EPON加密系统的设计和实现

　　此外，EPON系统具有自动发现功能，对于新加入的ONU可以自动完成注册，从而接入系统.该功能在给用户带来快捷方便的同时也给非法用户提供了自由接入系统的机会。对于处于用户端的设备ONU不采取任何鉴权措施，随意接入到系统是不能令人接受的。同时，由于以太网帧结构的透明性，非法用户依据该结构伪造控制帧和OAM帧并利用分配好的上行时隙发送，不仅可以使用控制帧骗取授权信息，而且可以利用控制网络资源的OAM帧更改系统参数甚至捣毁系统。

　　针对EPON的安全性问题，IEEE802．3工作组专门进行了讨论，提出了采用鉴权和加密技术来保证EPON系统的安全性。

　　1、鉴权策略

　　鉴权策略在初始时刻和数据通信两个阶段采用。在初始时刻，对于要求接入到系统的ONU，需要有鉴权机制来确认它的身份，从而决定是否允许该ONU完成注册过程。在数据通信过程中，为了确保通信的安全性，需要采取措施进行用户鉴权，确认正在通信的对方是合法用户。

　　2、加密技术

　　加密技术对数据文件加密，可保证非法用户不能获得有效的信息。无疑，加密是确保EPON网络数据传输安全最直接有效的手段。

　　三、EPON加密系统的设计思路

　　1、加密位置

　　加密可以在数据链路层、物理层或者三层以上进行。

　　MAC层以上的加密只加密净负荷，而帧头和MAC地址信息都保留，这就使得非法ONU仍然可以获得任何其他ONU的MAC地址。MAC层以下的加密可以使OLT对整个MAC帧各个部分都加密吗，给每个合法的ONU分配不同的密钥，利用密钥对MAC的地址字节、净负荷、校验字节甚至整个MAC帧加密。

　　在物理层加密也是一种比较有效的方法，它能对整个比特流（包括帧头和CRC）进行加密。在接收端，物理层首先对数据进行解密，然后将解密的数据传送给MAC层验证。因为每个ONU采用不同的密钥，即使收到别的ONU的数据帧，也不能够将其解密成具有正确格式的帧，因而不会被MAC层接受。在这种方案中吗，恶意的ONU不能获得任何信息。文中采用在链路层对传输帧进行加密的方式。

　　2、加密范围

　　EPON基本的帧格式如图3所示。

　　其中，前导码除了可实现收发双方时钟同步外，还携带了LLID起始定界符（SLD），包括式比特和逻辑链路标识的LLID域，以及8比特循环冗余校验码（CRC-8）。式比特和逻辑链路标识是接收方向用于鉴定这个帧应该定向给哪个MAC的信息。因此，基于链路层的加密选择除前导码以外的字节进行加密。FCS为帧校验序列，可用于解密后帧校验的依据，对其也不进行加密。

　　综上所述，EPON帧的加密范围定位在前导码与FCS之间的数据域。