EPON加密系统的设计和实现

　　该方案在EPON物理层芯片和串并转换芯片（SERDES）之间，增加了一个基于FPGA的加密块，该加密块由一个EPON帧解析FPGA、一个加密和解密FPGA和一个CPU组成，其中EPON帧解析FPGA位于EPON物理层芯片和串并转换芯片（SERDES）之间，对进出EPON设备的帧进行分析，将需要加密和解密的帧送到加密和解密FPGA进行加密和解密处理，并将加密和解密后的数据重新封装到EPON帧中。在设计时，采用专用的FPGA来实现加密和解密算法，在加密和解密FPGA与帧解析FPGA之间定义出标准的接口提供给用户，用户可根据需要在此FPGA内部使用自己的算法。

　　该方案中的加密块与EPON物理层芯片在功能上相对独立，它不参与和影响EPON网络自身运行、管理、维护协议的处理，只对EPON帧进行保护。由于加密块位于EPON物理层芯片的后端，因此，它可以对所有EPON帧，包括数据帧、MPCP帧、控制帧进行加密保护。为了有效地实现逻辑链路之间用户信息的隔离，OLT和ONU中的加密块在数据处理上有一定的差异。

　　在OLT侧，对于广播信道上传输的EPON帧，应该被所有的ONU接收，因此，这种类型的EPON帧采用公用的安全策略对其加密和解密，以便被所有合法的ONU获取；对于单播信道上传送的EPON帧，应该只能被相应信道对应的ONU接收到，因此，分别采用各自信道特有的安全策略进行加密和解密保护。在ONU侧，与OLT侧加密和解密块对应，对于广播信道上传输的EPON帧，采用公用的安全策略解密和加密；对于单播信道上传送的EPON帧，只能用本条信道对应的安全策略去解密和加密属于本条信道的EPON帧，对于其他信道的EPON帧，无法处理。

　　综上所述，基于FPGA的集成式EPON加密系统，采用了基于逻辑链路属性的安全策略选择机制，有效地加强了逻辑链路之间用户信息的隔离，确保各条逻辑链路上传输信息的安全。此外，在加加密和解密FPGA内可以根据EPON设备的应用领域，选择专用的加密和解密算法对EPON帧进行加密和解密，从而进一步提高系统的加密强度。另一方面，此方案实现了对MPCP帧的加密保护，进一步加强了对非法用户恶意接入的防范。