一種10 Gbit/s EPON的綜合安全方案

占雪梅，李春瑩，張清淼

（鄭州鐵路職業(yè)技術(shù)學(xué)院，鄭州 450000）

一種10 Gbit/s EPON的綜合安全方案

占雪梅，李春瑩，張清淼

（鄭州鐵路職業(yè)技術(shù)學(xué)院，鄭州 450000）

設(shè)計(jì)了一種10 Gbit/s EPON（以太網(wǎng)無(wú)源光網(wǎng)絡(luò)）綜合安全方案，用于解決其點(diǎn)到多點(diǎn)拓?fù)浣Y(jié)構(gòu)造成的諸如竊聽(tīng)和偽裝對(duì)安全敏感類(lèi)業(yè)務(wù)的威脅。該方案包括含有密鑰交換的雙向認(rèn)證方案及基于時(shí)間標(biāo)簽的加密算法。其中，認(rèn)證方案可在注冊(cè)過(guò)程中驗(yàn)證OLT（光線(xiàn)路終端）及ONU（光網(wǎng)絡(luò)單元），加密算法可使用幀結(jié)構(gòu)中的時(shí)間戳生成時(shí)變的密鑰。實(shí)驗(yàn)結(jié)果證明了該綜合安全方案的有效性。

10 Gbit/s以太網(wǎng)無(wú)源光網(wǎng)絡(luò)；雙向認(rèn)證；加密算法；安全

0 引 言

作為EPON（以太網(wǎng)無(wú)源光網(wǎng)絡(luò)）的演進(jìn)技術(shù)，10 Gbit/s EPON在帶寬、分光比和傳輸距離等方面有了大幅提升，可與EPON兼容組網(wǎng)，實(shí)現(xiàn)平滑升級(jí)［1］。但10 Gbit/s EPON的網(wǎng)絡(luò)結(jié)構(gòu)仍是點(diǎn)到多點(diǎn)，未能解決EPON中的諸如竊聽(tīng)和偽裝等安全問(wèn)題，對(duì)于銀行賬號(hào)、個(gè)人隱私等敏感數(shù)據(jù)構(gòu)成較大威脅［2］，因此本文設(shè)計(jì)一種含有密鑰交換的雙向認(rèn)證方案及可產(chǎn)生時(shí)變密鑰的加密算法。

1 包含密鑰交換的雙向認(rèn)證方案

1.1 橢圓曲線(xiàn)數(shù)字簽名算法

本文采用ECDSA（橢圓曲線(xiàn)數(shù)字簽名算法）［3］作為基本認(rèn)證協(xié)議，其相關(guān)參數(shù)如表1所示。

表1 ECDSA參數(shù)

Bob對(duì)Alice的簽名認(rèn)證過(guò)程如圖1所示。

圖1 ECDSA簽名認(rèn)證過(guò)程

1.2 包含密鑰交換的雙向認(rèn)證協(xié)議

Diffie-Hellman是一種密鑰交換協(xié)議，它允許通信雙方在不安全的信道上共享一個(gè)密鑰s［4］，其密鑰交換過(guò)程如圖2所示。

密鑰交換步驟如下：（1）Alice和Bob事先約定一個(gè)素?cái)?shù)p和基g，其中g(shù)是素?cái)?shù)p的原根；（2）Alice選擇一個(gè)整數(shù)x并保密不公開(kāi)，發(fā)送A= gxmod p給Bob；（3）Bob選擇一個(gè)整數(shù)y并保密不公開(kāi)，發(fā)送B=gymod p給Alice；（4）Alice計(jì)算s=Bxmod p=gxymod p，Bob計(jì)算s=Aymod p=gxymod p，兩者共享密鑰s。

圖2 Diffie-Hellman密鑰交換過(guò)程

雖然Diffie-Hellman協(xié)議可抵抗竊聽(tīng)，但由于能被中間人攻擊攻破，因此需要對(duì)雙方身份進(jìn)行驗(yàn)證。

根據(jù)上述兩種協(xié)議和ONU（光網(wǎng)絡(luò)單元）的注冊(cè)過(guò)程，設(shè)計(jì)了一種雙向認(rèn)證方案，該方案可在ONU注冊(cè)過(guò)程中實(shí)現(xiàn)OLT（光線(xiàn)路終端）和ONU的互相認(rèn)證，并在認(rèn)證過(guò)程中實(shí)現(xiàn)密鑰交換，提高安全性及效率。該注冊(cè)認(rèn)證方案過(guò)程如圖3所示。

圖3 包含密鑰交換的雙向認(rèn)證

步驟如下：（1）OLT周期廣播DISCOVERY_ GATE消息，其中包含發(fā)現(xiàn)窗口起始時(shí)間及長(zhǎng)度，供ONU注冊(cè)；（2）需要注冊(cè)的ONU收到消息后，發(fā)送REGISTER_REQ給OLT，請(qǐng)求加入網(wǎng)絡(luò)；（3）OLT收到請(qǐng)求消息后，向ONU發(fā)送注冊(cè)信息REGISTER，為其分配新的LLID（邏輯鏈路標(biāo)識(shí)）；（4）OLT緊接著發(fā)送CERTIFICATION_GATE來(lái)驗(yàn)證ONU的身份，該消息中包含OLT的公鑰QOLT；（5）根據(jù)Diffie-Hellman協(xié)議，ONU計(jì)算圖2中的信息A，并使用ECDSA得到簽名Sign（A），使用私鑰dONU對(duì)前兩個(gè)信息加密，得到EONUd［A‖Sign（A）］，最后ONU使用OLT的公鑰對(duì)ONU的ID（IDONU）、OLT的ID（IDOLT）、ONU的公鑰（QONU）和簽名信息進(jìn)行加密，得到EOLTQ，發(fā)送給OLT；（6）OLT使用私鑰dOLT進(jìn)行解密，并驗(yàn)證ONU的身份，如果ONU合法，OLT將發(fā)送BACK_GATE信息給ONU，否則中斷注冊(cè)過(guò)程；（7）OLT再次發(fā)送BACK_GATE信息后緊接著對(duì)圖2中的消息B進(jìn)行簽名，得到EOLTd［B‖Sign（B）］，使用私鑰dOLT對(duì)B和簽名消息進(jìn)行加密。最后使用ONU的公鑰QONU進(jìn)行加密，發(fā)送給ONU；（8）ONU驗(yàn)證OLT的簽名，如果OLT合法，ONU將返回REGISTER_ACK確認(rèn)信息給OLT，否則中斷注冊(cè)過(guò)程；（9）注冊(cè)過(guò)程結(jié)束后，OLT和ONU可根據(jù)A和B共享密鑰s。

2 時(shí)變密碼的加密方案

10 Gbit/s EPON中OLT和ONU采用輪詢(xún)方式進(jìn)行信息傳輸，并且為了調(diào)整各個(gè)ONU的邏輯距離，OLT會(huì)對(duì)所有ONU進(jìn)行測(cè)距，而輪詢(xún)信息和測(cè)距信息中均含有時(shí)間戳，用于標(biāo)識(shí)本地時(shí)間。由于10 Gbit/s EPON下行采用廣播方式發(fā)送信息，任何人均可獲得所有信息，存在竊聽(tīng)危險(xiǎn)。

AES（高級(jí)加密標(biāo)準(zhǔn)）是一種安全快速的加密算法［5］，本文采用密鑰長(zhǎng)度為256位的AES-256作為基本加密算法。但長(zhǎng)期使用一個(gè)密鑰對(duì)于高安全敏感業(yè)務(wù)來(lái)說(shuō)存在風(fēng)險(xiǎn)，為了提高安全性，將時(shí)間戳與AES-256相結(jié)合，使密鑰隨時(shí)間變化。加入時(shí)間戳的加密方案如圖4所示。

在注冊(cè)過(guò)程結(jié)束后，OLT和ONU共享了密鑰s，將s按照512 bit分為n塊，每塊的數(shù)據(jù)和時(shí)間戳t進(jìn)行異或運(yùn)算，經(jīng)過(guò)SHA-256函數(shù)得到256 bit的密鑰，作為AES-256的加密密鑰。由于OLT和ONU在認(rèn)證注冊(cè)過(guò)程中本地時(shí)刻已調(diào)整至同一時(shí)鐘，且每次用于加密的時(shí)間戳不同，因此OLT和ONU在共享密鑰的情況下，可得到隨時(shí)間變化的加密密鑰，用于保證數(shù)據(jù)傳輸安全。

圖4 時(shí)變密碼的加密方案

3 仿真結(jié)果及分析

采用雙向認(rèn)證的發(fā)現(xiàn)注冊(cè)仿真結(jié)果如圖5所示。由于在一般發(fā)現(xiàn)注冊(cè)過(guò)程中加入了密鑰交換及雙向認(rèn)證過(guò)程，增加了注冊(cè)過(guò)程的時(shí)延，且隨著注冊(cè)O(shè)NU的數(shù)量增加，時(shí)延繼續(xù)增大。雖然增加了時(shí)延，但是在注冊(cè)過(guò)程中實(shí)現(xiàn)了認(rèn)證及密鑰交換，提高了安全性。對(duì)于安全敏感類(lèi)數(shù)據(jù)，避免了密鑰在不安全的信道上直接傳輸，同時(shí)驗(yàn)證了通信雙方的身份，因此犧牲部分時(shí)延來(lái)?yè)Q取更強(qiáng)的安全性是可取的。

圖5 發(fā)現(xiàn)注冊(cè)平均時(shí)延

采用時(shí)變密鑰加密方案的仿真結(jié)果如圖6所示，其時(shí)延與僅使用AES加密相差不多，因此并未對(duì)數(shù)據(jù)傳輸帶來(lái)太大影響，同時(shí)由于時(shí)間戳的變換，使加密密鑰也隨時(shí)間變化，提高了數(shù)據(jù)的安全性。

圖6 加密平均時(shí)延

圖7所示為綜合安全方案與一般情況下的平均吞吐量對(duì)比。從圖中可以看出，兩者的平均吞吐量基本保持一致，綜合安全方案負(fù)載在8 Gbit/s左右達(dá)到飽和，而一般情況的負(fù)載在8.5 Gbit/s左右達(dá)到飽和，兩者相差不大。

圖7 平均吞吐量

4 結(jié)束語(yǔ)

本文設(shè)計(jì)了一種10 Gbit/s EPON的綜合安全方案，該方案包括含有密鑰交換的雙向認(rèn)證協(xié)議和基于時(shí)間戳的加密算法，在發(fā)現(xiàn)注冊(cè)過(guò)程中可完成OLT和ONU的雙向認(rèn)證和密鑰的安全交換，生成隨時(shí)間變化的加密密鑰。該方案可用于解決安全敏感類(lèi)數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時(shí)被竊聽(tīng)和偽裝等安全問(wèn)題。仿真結(jié)果表明，該方案可在不影響網(wǎng)絡(luò)時(shí)延、吞吐量的前提下，提高網(wǎng)絡(luò)的安全性。

［1］ Tanaka K，Agata A，Horiuchi Y.IEEE 802.3av 10 GEPON Standardization and Its Research and Development Status［J］.Lightwave Technology，2010，28 （4）：651-661.

［2］ Chowdhury S，Maier M.Security Issues in Integrated EPON and Next-Generation WLAN Networks［C］// CCNC 2010.Las Vegas，US：IEEE，2010：1-2.

［3］ Marzouqi H，Al-Qutayri M，Salah K.Review of Elliptic Curve Cryptography processor designs［J］.Microprocessors and Microsystems，2015，39（2）：97-112.

［4］ Roh D，Hahn S G.On the bit security of the weak Diffie-Hellman problem［J］.Information Processing Letters，2010，110（s 18-19）：799-802.

［5］ Kumar P，Rana S B.Development of modified AES algorithm for data security［J］.Optik-International Journal for Light and Electron Optics，2016，127（4）：2341-2345.

An Integrated Security Scheme Based on 10 Gbit/s EPON

ZHAN Xue-mei，LI Chun-ying，ZHANG Qing-miao
（Zhengzhou Railway Vocational&Technical College，Zhengzhou 450000）

An integrated security scheme for 10 Gbit/s EPON is proposed to prevent eavesdropping and masquerading threats to sensitive data caused by its point-to-multi-point topology.This scheme includes a bilateral authentication method combining with key exchange protocol and an encryption algorithm based on the timestamp.The authentication method can verify the OLT and ONU during the registration process and the encryption algorithm adopts timestamp in the frameto generate time-varying cipher keys.The validity of the proposed scheme is demonstrated in the experiment.

10 Gbit/s EPON；bilateral authentication；encryption algorithm；security

TN915.6

A

1005-8788（2016）03-0013-03

10.13756/j.gtxyj.2016.03.005

2016-01-14

占雪梅（1987-），女，甘肅武威人。助教，碩士研究生，主要研究方向?yàn)楣馔ㄐ拧?/p>