一種基于MD5校驗的電光混合加密方法

宣 冉，鞏小雪，張琦涵，李 瑞，喬一競，侯維剛

(1.重慶郵電大學 通信與信息工程學院，重慶 400065； 2.東北大學 計算機科學與工程學院，沈陽 110819)

0 引 言

隨著無源光網絡的迅猛發展，以及人們對于敏感數據重視度的不斷提升，光接入網安全[1-3]問題將會成為未來通信發展需要解決的基本問題。數據加密是一種解決光接入網通信安全問題的有效方法。根據加密的數據形式，加密可以劃分為電信號加密(簡稱電加密)和光信號加密(簡稱光加密)。目前，應用比較廣泛的方法是電加密，電加密主要采用復雜的數字信號處理(Digital Signal Processing，DSP)方案來實現數據的加解密[4-9]。但受限于復雜的DSP算法，電加密需耗費大量的中央處理器(Central Processing Unit，CPU)資源，其無法實時加解密，也易于被復制、分析和理解。并且由于光纖上并沒有引用任何安全方案，導致系統關鍵數據將面臨被竊聽和攻擊的風險。

為了提高光接入網通信系統的安全性，本文提出了一種基于MD5校驗的電光混合加密方案。通過高級加密標準(Advanced Encryption Standard，AES)算法和置亂算法實現數據加密，并把加密數據的MD5值作為校驗碼，用來衡量經過光纖傳輸后接收加密數據的正確性。同時，將由加密數據的MD5值、AES密鑰和置亂密鑰合成的新密鑰通過超結構光纖布拉格光柵(Superstructure Fiber Bragg Grating，SSFBG)編碼后再進行傳輸，實現了密鑰在光纖上的保密傳輸。仿真結果表明，該方案不僅實現了數據的安全傳輸，而且可以有效阻止惡意數據的接入，同時還提高了DSP的處理速度。

1 電光混合加密系統分析

電光混合加密系統主要由兩個部分組成，分別為原始數據電加解密和合成密鑰的編解碼。圖1所示為本文所提基于MD5校驗的電光混合加密系統原理結構圖。如圖所示，在發送端，首先對原始比特數據置亂后進行AES加密，得到加密比特。AES加密過程依次是：字節代替、行移位、列混淆和輪密鑰加。然后，加密比特分為兩路處理：對其中一路加密比特進行低密度奇偶校驗碼(Low Density Parity Check Code，LDPC)編碼和正交頻分復用(Orthogonal Frequency Division Multiplexing，OFDM)調制，再將加密的OFDM信號進行數/模轉換，最后采用馬赫曾德爾調制器(Mach-Zehnder Modulator，MZM)將電信號調制到光載波上；另一路加密比特首先通過MD5算法計算出加密比特的MD5校驗值，然后與AES密鑰和置亂密鑰合成新密鑰，經過二進制轉換和光脈沖生成器生成窄光脈沖信號，最后通過SSFBG得到編碼信號，進而發送到光纖信道上傳輸。在接收端，接收到的信號同樣分為兩路。第一路信號經過濾波器、放大器和SSFBG解碼得到合成密鑰，合成密鑰經過分解可以得到加密比特的MD5校驗值、AES密鑰和置亂密鑰;另一路信號經過濾波器和光電二極管(Photo-Diode，PD)得到電信號，再對電信號加以與發送端相反的操作，依次為：模/數轉換、OFDM解調和LDPC解碼，最終會得到加密比特，然后比較當前加密比特的MD5校驗值和接收到的MD5校驗值。如果比較結果相等，加密比特通過AES解密和解置亂就可以得到與發送端相同的原始比特數據。AES解密操作過程是AES加密過程的逆向操作，包括：逆向行移位、逆向字節代替、輪密鑰加和逆向列混淆。

圖1 基于MD5校驗的電光混合加密系統原理結構圖

本方案中，為了保證接收端接收到的加密數據和發送端發送的加密數據的完全一致性，本文采用MD5算法和LDPC校驗。MD5算法用于確保信息傳輸的完整一致。該算法通過分組處理原文信息，每512位為一組，每組16×32位進行計算，直到處理完所有的信息，具體步驟如下：首先要對原文進行填充，保證擴展后數據長度是512位的整數倍，填充方式為

式中：n為需要在原文后面添加的位數，一般添加1個1或n個0；64為原文的長度，對應64位數據信息。在MD5算法的計算過程中，需要引入初始鏈接變量，將其作為該算法的初始值。若鏈接變量發生變化，那么同一段原文數據所計算出來的MD5值也大不相同，這也是MD5算法可以確保信息一致性的原因。因此，采用相同的初始鏈接變量和4個函數，保證了MD5算法計算方法的前提是一致的，下面再來分析計算。將數據分組，每512位為一組，每組16×32位進行計算。計算過程包括4輪主循環，每進行一輪計算都要使用4個函數對這16個數字進行一次處理。循環結束后，即可生成一列128 bit的MD5校驗值。

由于信道特征不理想，接收端無法保證收到的加密數據完全無誤碼，因此，本文采用LDPC校驗。當接收端接收到的加密數據有誤碼時，加密數據可以通過糾錯方式恢復，為后續AES解密提供正確加密數據。LDPC編碼是以校驗矩陣為前提，再由校驗矩陣獲得生成矩陣，生成矩陣再產生不同的碼字。因此，設計校驗矩陣是LDPC碼編碼的關鍵?？紤]編解碼的復雜度，校驗矩陣采用代數構造法[10]。

另外，本方案中，為了防止密鑰在光纖信道中被竊聽，本文將SSFBG編解碼信道作為安全信道傳輸密鑰。圖2所示為基于SSFBG的編解碼系統結構。

圖2 基于SSFBG的編解碼系統結構

如圖所示，入射信號為窄光脈沖，經過SSFBG編碼后，窄光脈沖信號會出現有規律的時域展寬，同時信號的功率驟降。時域展寬的規律取決于設計SSFBG的折射率變化函數。并且由于信號功率極低，編碼信號會具有在時域和頻域同時隱藏的特點。接收端只有經過匹配的SSFBG解碼后，才能恢復出窄光脈沖。以下是光柵的設計原理：在滿足弱耦合近似時，結合耦合模式理論[11]可知，布拉格光柵的反射譜p為

式中：κ(z)和σ分別為光柵的交流和直流耦合系數；L為光柵長度；z為光柵上某一點位置；i為虛部單位。另外，κ(z)和σ滿足κ(z)=π/c·fB·Δn(z)和σ=2neffπ(f-fB)/c，κ(z)和Δn(z)成正比，式中，c為光速；fB為布拉格頻率；Δn(z)為光柵的折射率變化函數；neff為光纖波導內均勻分布的有效折射率；f-fB為入射光信號頻率相對光柵布拉格頻率的偏移量。注意到耦合系數的傅里葉變換K(2πχ)(以z為自變量)為

式中，χ=2neff(f-fB)/c。對比式(2)和式(3)可得到光柵反射譜為

由式(4)可知，在弱耦合近似下，光柵的折射率變化函數和光柵的頻率響應滿足傅里葉變換關系。

2 仿真設置與結果分析

本文使用VPI Transmission Maker 9.5軟件平臺和Matlab R2018a軟件平臺進行了聯合仿真驗證，并給出了系統的性能。主要仿真參數設置如表1所示。

表1 主要仿真參數設置

圖3所示為AES加解密前后圖形的仿真結果。圖中，從左往右，依次是原始圖形、AES加密后圖形、接收端接收數據誤碼率(Bit Error Ratio，BER)在2e-2情況下AES解密后圖形以及接收端無誤碼情況下AES解密后圖形。對比AES加密前后圖形可知，加密后圖形的像素點已經完全混亂。同時為了解決圖形相同像素點堆積的問題，本方案使用了置亂算法，使得加密后圖形混亂無序。另外，對比兩張AES解密圖形可知，當接收端無法正確恢復加密數據時，AES解密后圖形會出現噪點，無法恢復出原始圖形。

圖3 AES加解密前后圖形

圖4所示為光纖信道中密鑰編碼信號和加密OFDM信號波形對比圖。由圖可知，光纖信道中傳輸的編碼信號功率遠遠小于加密OFDM數據的光信號，經測量，編碼信號的功率約為-50 dBm，與加密OFDM數據的光信號功率相差約為47 dBm。當信道遭受竊聽攻擊時，小功率的編碼信號極大地增加了竊聽難度，并且由于SSFBG提供了信號編碼功能，系統可以為數據提供更高的安全性。

圖4 光纖信道中密鑰編碼信號與加密OFDM信號波形對比圖

圖5所示為接收端加密OFDM信號的BER曲線。當接收光功率(Received Optical Power，ROP)不同時，所對應的BER也有所差別，但其均為下降趨勢。傳輸距離為10 km、未加入LDPC編碼時，接收端BER達到硬判決門限的ROP約為-8.1 dBm，加入LDPC編碼后，接收端BER達到LDPC軟判決門限的ROP約為-11.8 dBm；傳輸距離為60 km時，未加入LDPC編碼時，接收端BER達到硬判決門限的ROP約為-4.4 dBm，加入LDPC編碼后，接收端BER達到LDPC軟判決門限的ROP約為-9.7 dBm。對比可知，加入LDPC編碼，可有效降低接收機靈敏度，并且隨著距離的提升，降低的接收機靈敏度有上升的趨勢。

圖5 接收端加密OFDM信號的BER曲線圖

3 結束語

本文提出了一種基于MD5算法用作數據校驗的電光混合加密方案。仿真結果表明，該方案不僅能夠實現圖片數據的加解密和密鑰的隱匿傳輸，還能夠通過MD5校驗的方式提高通信系統抵抗惡意攻擊的能力，同時還能提高DSP的處理速度。針對下一代無源光網絡，方案中隱匿傳輸具有的防竊聽能力以及MD5校驗所具有的抗干擾攻擊能力可以極大地增強通信網絡的安全性。