EPON加密系统的设计和实现

录入：edatop.com 点击：

　　3、加密方法

　　在加密方法上，在EPON网络设备中常用的有两种类型加密方法，即三重搅动加密机制和AES加密机制。三重搅动加密机制是借鉴APON的加密机制，采用3个字节24位的密钥搅动机制；AES加密算法是2002年5月，美国国家标准与技术研究所(NIST)建立的新的高级数据加密标准规范，是一个新的可用于保护电子数据的加密算法，是可变密钥长度的迭代块密码，其加密和解密使用相同的密钥，可以使用128、192、256位密钥，并且用128位分组加密和解密数据。AES较三重搅动在安全性、代价、算法和实现特性等各项测试指标的综合中最为优秀。以上两种算法均是公开算法，对于一些专有的应用领域，根据自身的需要选择专用的算法。

　　4、密钥的处理

　　在对称密钥加密体制下，密钥本身的保护和传递十分重要。同时，为了进一步提高安全性，普遍采用密钥周期性更新的原则。

　　在设计中，可通过自定义的EPON数据帧，或者一些空闲字节，传输加密系统中密钥分发和协商等交互信息，确保密钥的定期、同步更换。密钥分发信息在传递时，用专用密钥对其进行加密保护。

　　四、集成式EPON加密系统的设计和实现

　　集成式EPON加密系统是指集成在EPON网络设备中，由EPON网络进行统一管理，它是EPON网络设备内部的一个块，是目前EPON加密系统常见的设计和实现方式。文中就集成式EPON加密系统提出两种设计和实现方案。

　　1、基于包含加密块的EPON专用物理层芯片的实现

　　目前，部分主流的EPON专用物理层芯片内部，集成了加密块，这些加密块采用通用的三重搅动加密算法和AES加密算法，可对EPON帧进行加密和解密处理。在设计OLT和ONU设备时，采用这类芯片，既可以完成EPON协议的处理，又可实现对数据帧的加密保护。该原理框架如图4所示。

　　由于光纤上传输的信号速率为1．25Gb//s，物理层芯片一般不直接处理频率这么高的信号，因此，在物理层芯片之前加入一个串并变换块，此块通过一个SERDES芯片，实现1．25Gb//s串行数据与10位125Mb//s并行数据信号的转换，再通过10位TBI与物理层芯片相连。加密块位于物理层芯片的EPON MAC块与Packet Processor块之间，对封装后的数据帧进行加密处理。由于EPON MPCP帧在EPONMAC块内处理，所以加密块无法对EPON MPCP进行加密保护。基于物理层芯片的实现方案在技术上较为简单，但是方案采用的是公开的加密算法，大大降低了加密系统的安全性；另一方面，方案对MPCP帧无法进行保护，EPON系统只能完全依靠鉴权机制，防止非法用户的接入，在保护手段上比较单一。

　　2、基于现场可编程逻辑阵列（FPGA）的实现