EPON是一种融合了以太网和无源光网络优点的接入网技术,具有容量大、成本低、对IP业务支持好、技术成熟和维护简单等优点,是未来实现FTTx的理想方案之一。由于EPON专门用于用户接入网,且EPON为非合作的、私有的用户服务;另一方面,EPON系统下行信道采用广播方式,在混杂模式下,凡是有意接收的终端站点都能接收其下行传输信息。因此,安全问题在EPON中将显得尤为重要。EPON的安全问题能否得到解决,在很大程度上影响着EPON应用的进展,特别是在军事上的应用。为此,研究确保EPON网络信息安全的EPON加密系统是十分必要的。
一、EPON原理概述
EPON是一种应用于接入网,局端设备(OLT)与多个用户端设备(ONU//ONT)之间通过无源的光缆、光分//合路器等组成的光分配网(ODN)连接的网络。EPON系统由光线路终端OLT(Optical Line Terminal)、光网络单元ONU(OpticalNetwork Unit)、光网络终端ONT(Optical NetworkTerminal),以及光分配网ODN(Optical DisNetwork)等组成。典型的EPON系统采用波分复用技术,在一根单模光纤中实现全双工传输。下行方向采用广播的方式,光线路终端(OLT)把以太网通过1:N的分路器用广播的方式发送到各个光网络单元(ONU),ONU根据自己分配到的逻辑链路标示(LLID)决定是否提取该以太网帧,其原理如图1所示。
上行方向通过时分复用(TDM)方式,ONU在OLT已经分配好的时隙中发送自己的以太网包,其原理如图2所示。
二、EPON的安全隐患及常用的安全技术
在EPON系统中,下行方向具有共享介质的特点,对于下行广播的数据,每个ONU仅仅依据分配到的LLID决定是否接受数据,这样的机制从安全角度考虑明显是不够的。
如果攻击者把ONU设置成混杂模式,不管LLID,从而提取所有下行以太网帧,则一方面可以窃听到其他用户接收的通信内容,另一方面可以截获下行的控制帧和OAM帧,从而获取授权以及网络的管理信息。
此外,EPON系统具有自动发现功能,对于新加入的ONU可以自动完成注册,从而接入系统.该功能在给用户带来快捷方便的同时也给非法用户提供了自由接入系统的机会。对于处于用户端的设备ONU不采取任何鉴权措施,随意接入到系统是不能令人接受的。同时,由于以太网帧结构的透明性,非法用户依据该结构伪造控制帧和OAM帧并利用分配好的上行时隙发送,不仅可以使用控制帧骗取授权信息,而且可以利用控制网络资源的OAM帧更改系统参数甚至捣毁系统。
针对EPON的安全性问题,IEEE802.3工作组专门进行了讨论,提出了采用鉴权和加密技术来保证EPON系统的安全性。
1、鉴权策略
鉴权策略在初始时刻和数据通信两个阶段采用。在初始时刻,对于要求接入到系统的ONU,需要有鉴权机制来确认它的身份,从而决定是否允许该ONU完成注册过程。在数据通信过程中,为了确保通信的安全性,需要采取措施进行用户鉴权,确认正在通信的对方是合法用户。
2、加密技术
加密技术对数据文件加密,可保证非法用户不能获得有效的信息。无疑,加密是确保EPON网络数据传输安全最直接有效的手段。
三、EPON加密系统的设计思路
1、加密位置
加密可以在数据链路层、物理层或者三层以上进行。
MAC层以上的加密只加密净负荷,而帧头和MAC地址信息都保留,这就使得非法ONU仍然可以获得任何其他ONU的MAC地址。MAC层以下的加密可以使OLT对整个MAC帧各个部分都加密吗,给每个合法的ONU分配不同的密钥,利用密钥对MAC的地址字节、净负荷、校验字节甚至整个MAC帧加密。
在物理层加密也是一种比较有效的方法,它能对整个比特流(包括帧头和CRC)进行加密。在接收端,物理层首先对数据进行解密,然后将解密的数据传送给MAC层验证。因为每个ONU采用不同的密钥,即使收到别的ONU的数据帧,也不能够将其解密成具有正确格式的帧,因而不会被MAC层接受。在这种方案中吗,恶意的ONU不能获得任何信息。文中采用在链路层对传输帧进行加密的方式。
2、加密范围
EPON基本的帧格式如图3所示。
其中,前导码除了可实现收发双方时钟同步外,还携带了LLID起始定界符(SLD),包括模式比特和逻辑链路标识的LLID域,以及8比特循环冗余校验码(CRC-8)。模式比特和逻辑链路标识是接收方向用于鉴定这个帧应该定向给哪个MAC的信息。因此,基于链路层的加密选择除前导码以外的字节进行加密。FCS为帧校验序列,可用于解密后帧校验的依据,对其也不进行加密。
综上所述,EPON帧的加密范围定位在前导码与FCS之间的数据域。
3、加密方法
在加密方法上,在EPON网络设备中常用的有两种类型加密方法,即三重搅动加密机制和AES加密机制。三重搅动加密机制是借鉴APON的加密机制,采用3个字节24位的密钥搅动机制;AES加密算法是2002年5月,美国国家标准与技术研究所(NIST)建立的新的高级数据加密标准规范,是一个新的可用于保护电子数据的加密算法,是可变密钥长度的迭代块密码,其加密和解密使用相同的密钥,可以使用128、192、256位密钥,并且用128位分组加密和解密数据。AES较三重搅动在安全性、代价、算法和实现特性等各项测试指标的综合中最为优秀。以上两种算法均是公开算法,对于一些专有的应用领域,根据自身的需要选择专用的算法。
4、密钥的处理
在对称密钥加密体制下,密钥本身的保护和传递十分重要。同时,为了进一步提高安全性,普遍采用密钥周期性更新的原则。
在设计中,可通过自定义的EPON数据帧,或者一些空闲字节,传输加密系统中密钥分发和协商等交互信息,确保密钥的定期、同步更换。密钥分发信息在传递时,用专用密钥对其进行加密保护。
四、集成式EPON加密系统的设计和实现
集成式EPON加密系统是指集成在EPON网络设备中,由EPON网络进行统一管理,它是EPON网络设备内部的一个模块,是目前EPON加密系统常见的设计和实现方式。文中就集成式EPON加密系统提出两种设计和实现方案。
1、基于包含加密模块的EPON专用物理层芯片的实现
目前,部分主流的EPON专用物理层芯片内部,集成了加密模块,这些加密模块采用通用的三重搅动加密算法和AES加密算法,可对EPON帧进行加密和解密处理。在设计OLT和ONU设备时,采用这类芯片,既可以完成EPON协议的处理,又可实现对数据帧的加密保护。该原理框架如图4所示。
由于光纤上传输的信号速率为1.25Gb//s,物理层芯片一般不直接处理频率这么高的信号,因此,在物理层芯片之前加入一个串并变换模块,此模块通过一个SERDES芯片,实现1.25Gb//s串行数据与10位125Mb//s并行数据信号的转换,再通过10位TBI与物理层芯片相连。加密模块位于物理层芯片的EPON MAC模块与Packet Processor模块之间,对封装后的数据帧进行加密处理。由于EPON MPCP帧在EPONMAC模块内处理,所以加密模块无法对EPON MPCP进行加密保护。基于物理层芯片的实现方案在技术上较为简单,但是方案采用的是公开的加密算法,大大降低了加密系统的安全性;另一方面,方案对MPCP帧无法进行保护,EPON系统只能完全依靠鉴权机制,防止非法用户的接入,在保护手段上比较单一。
2、基于现场可编程逻辑阵列(FPGA)的实现
图5为基于FPGA的集成式EPON加密系统实现方案的原理框图。
该方案在EPON物理层芯片和串并转换芯片(SERDES)之间,增加了一个基于FPGA的加密模块,该加密模块由一个EPON帧解析FPGA、一个加密和解密FPGA和一个CPU组成,其中EPON帧解析FPGA位于EPON物理层芯片和串并转换芯片(SERDES)之间,对进出EPON设备的帧进行分析,将需要加密和解密的帧送到加密和解密FPGA进行加密和解密处理,并将加密和解密后的数据重新封装到EPON帧中。在设计时,采用专用的FPGA来实现加密和解密算法,在加密和解密FPGA与帧解析FPGA之间定义出标准的接口提供给用户,用户可根据需要在此FPGA内部使用自己的算法。
该方案中的加密模块与EPON物理层芯片在功能上相对独立,它不参与和影响EPON网络自身运行、管理、维护协议的处理,只对EPON帧进行保护。由于加密模块位于EPON物理层芯片的后端,因此,它可以对所有EPON帧,包括数据帧、MPCP帧、控制帧进行加密保护。为了有效地实现逻辑链路之间用户信息的隔离,OLT和ONU中的加密模块在数据处理上有一定的差异。
在OLT侧,对于广播信道上传输的EPON帧,应该被所有的ONU接收,因此,这种类型的EPON帧采用公用的安全策略对其加密和解密,以便被所有合法的ONU获取;对于单播信道上传送的EPON帧,应该只能被相应信道对应的ONU接收到,因此,分别采用各自信道特有的安全策略进行加密和解密保护。在ONU侧,与OLT侧加密和解密模块对应,对于广播信道上传输的EPON帧,采用公用的安全策略解密和加密;对于单播信道上传送的EPON帧,只能用本条信道对应的安全策略去解密和加密属于本条信道的EPON帧,对于其他信道的EPON帧,无法处理。
综上所述,基于FPGA的集成式EPON加密系统,采用了基于逻辑链路属性的安全策略选择机制,有效地加强了逻辑链路之间用户信息的隔离,确保各条逻辑链路上传输信息的安全。此外,在加加密和解密FPGA内可以根据EPON设备的应用领域,选择专用的加密和解密算法对EPON帧进行加密和解密,从而进一步提高系统的加密强度。另一方面,此方案实现了对MPCP帧的加密保护,进一步加强了对非法用户恶意接入的防范。
小知识之EPON
EPON(以太无源光网络)是一种新型的光纤接入网技术,它采用点到多点结构、无源光纤传输,在以太网之上提供多种业务。它在物理层采用了PON技术,在链路层使用以太网协议,利用PON的拓扑结构实现了以太网的接入。因此,它综合了PON技术和以太网技术的优点:低成本;高带宽;扩展性强,灵活快速的服务重组;与现有以太网的兼容性;方便的管理等等。