一種10 Gbit/s EPON的綜合安全方案

占雪梅，李春瑩，張清淼

（鄭州鐵路職業(yè)技術(shù)學(xué)院，鄭州 450000）

一種10 Gbit/s EPON的綜合安全方案

占雪梅，李春瑩，張清淼

（鄭州鐵路職業(yè)技術(shù)學(xué)院，鄭州 450000）

設(shè)計(jì)了一種10 Gbit/s EPON（以太網(wǎng)無源光網(wǎng)絡(luò)）綜合安全方案，用于解決其點(diǎn)到多點(diǎn)拓?fù)浣Y(jié)構(gòu)造成的諸如竊聽和偽裝對(duì)安全敏感類業(yè)務(wù)的威脅。該方案包括含有密鑰交換的雙向認(rèn)證方案及基于時(shí)間標(biāo)簽的加密算法。其中，認(rèn)證方案可在注冊(cè)過程中驗(yàn)證OLT（光線路終端）及ONU（光網(wǎng)絡(luò)單元），加密算法可使用幀結(jié)構(gòu)中的時(shí)間戳生成時(shí)變的密鑰。實(shí)驗(yàn)結(jié)果證明了該綜合安全方案的有效性。

10 Gbit/s以太網(wǎng)無源光網(wǎng)絡(luò)；雙向認(rèn)證；加密算法；安全

0 引 言

作為EPON（以太網(wǎng)無源光網(wǎng)絡(luò)）的演進(jìn)技術(shù)，10 Gbit/s EPON在帶寬、分光比和傳輸距離等方面有了大幅提升，可與EPON兼容組網(wǎng)，實(shí)現(xiàn)平滑升級(jí)［1］。但10 Gbit/s EPON的網(wǎng)絡(luò)結(jié)構(gòu)仍是點(diǎn)到多點(diǎn)，未能解決EPON中的諸如竊聽和偽裝等安全問題，對(duì)于銀行賬號(hào)、個(gè)人隱私等敏感數(shù)據(jù)構(gòu)成較大威脅［2］，因此本文設(shè)計(jì)一種含有密鑰交換的雙向認(rèn)證方案及可產(chǎn)生時(shí)變密鑰的加密算法。

1 包含密鑰交換的雙向認(rèn)證方案

1.1 橢圓曲線數(shù)字簽名算法

本文采用ECDSA（橢圓曲線數(shù)字簽名算法）［3］作為基本認(rèn)證協(xié)議，其相關(guān)參數(shù)如表1所示。

表1 ECDSA參數(shù)

Bob對(duì)Alice的簽名認(rèn)證過程如圖1所示。

圖1 ECDSA簽名認(rèn)證過程

1.2 包含密鑰交換的雙向認(rèn)證協(xié)議

Diffie-Hellman是一種密鑰交換協(xié)議，它允許通信雙方在不安全的信道上共享一個(gè)密鑰s［4］，其密鑰交換過程如圖2所示。

密鑰交換步驟如下：（1）Alice和Bob事先約定一個(gè)素?cái)?shù)p和基g，其中g(shù)是素?cái)?shù)p的原根；……