當前位置:
  1. 首頁
  2. 加密算法

EPON三重攪動加密算法

admin 加密算法

EPON攪動加密算法是針對PON結構提出的一種安全解決方案,目前攪動加密算法分為單重攪動和三重攪動。三重攪動算法是在單重攪動算法的基礎上擴展而成,其增加了攪動后數據的時域關聯性,進而提高用戶數據的安全性。

一、三重攪動算法原理

EPON系統(tǒng)下行方向采用廣播方式,惡意用戶很容易截獲系統(tǒng)中其它用戶的信息。ONU為了使自己的信息不被其他ONU讀懂,要求OLT在發(fā)送它的數據信息前按每個ONU自己提供的密碼(攪動鍵)在TC層進行攪動加密。

應OLT的要求,ONU提供攪動鍵,使用3個字節(jié)的鍵完成攪動功能。攪動鍵是從上行用戶數據中提取出來的3個字節(jié)數據和3個字節(jié)隨機產生數的異或相加的結果。這三個字節(jié)共24位碼,它們是X1-X8和P1-P16,均映射在信息域中。 通過對X1-X8和P1-P16的邏輯運算,產生攪動鍵K1-K10。在攪動端利用K1、K2、P1-P12共14比特按照固定對8比特寬的數據流進行攪動,在解攪動端利用同樣的14比特對8比特長的經過攪動的數據(密文)進行解攪動。

為防止竊聽者逐個試探解密,需要對攪動鍵定時更新,每個ONU更新的頻率至少每秒更新一次。

三重攪動加密算法是在單重攪動加密算法的基礎上擴展而成,其增加了攪動后數據的時域關聯性,進而提高用戶數據的安全性。為提高用戶數據的保密性,系統(tǒng)支持針對每個LLID的攪動功能.每個LLID都有獨立的密鑰。攪動由OLT提出密鑰更新要求,ONU提供3字節(jié)攪動密鑰,OLT使用此密鑰完成攪動功能。在啟用攪動功能后,對所有的數據幀和OAM幀進行攪動。攪動密鑰的更新和同步過程采用基于OrganizationSpecific Exfension的OAM PDU方式。

戶數據的安全性。為提高用戶數據的保密性,系統(tǒng)支持針對每個LLID的攪動功能.每個LLID都有獨立的密鑰。攪動由OLT提出密鑰更新要求,ONU提供3字節(jié)攪動密鑰,OLT使用此密鑰完成攪動功能。在啟用攪動功能后,對所有的數據幀和OAM幀進行攪動。攪動密鑰的更新和同步過程采用基于OrganizationSpecific Exfension的OAM PDU方式。

第一級攪動引擎chutning_1的輸出與兩個8位矢量進行逐比特的異或(XOR)運算:第一個矢量是前一個輸入加密字節(jié),當所加密的字節(jié)為一個數據幀的第一個加密字節(jié)時,該矢量為密鑰的最低位字節(jié)。第二個矢量是4個字節(jié)前的三重攪動后的數據輸出。對于一個幀中的前4個加密字節(jié),用"0"代替data_out[N-4]。XOR_1的輸出經過比特移位輸入ehurning_2。移位規(guī)則如下:比特2、4交換,比特3、5交換,比特0、1、6、7位置不變。

第二級攪動引擎Churning_2的輸出也與兩個矢量進行逐比特XOR運算:第一個矢量是二字節(jié)前的輸入加密字節(jié),當所加密的字節(jié)為一個數據幀的第一個加密字節(jié)時,該矢量為密鑰的第二低位字節(jié)。當所加密的字節(jié)為一個數據幀的第二個加密字節(jié)時,該矢量為密鑰的最低位字節(jié)。第二個矢量是5個字節(jié)前的三重攪動后的數據輸出。XOR_2的輸出仍然經過比特移位輸入第三級攪動引擎chuming_3,移位規(guī)則同前。三重解攪動的實現為三重攪動功能的簡單鏡像,其實現方案如圖所示。

二、三重攪動加密算法的安全性

ITU-T G.983標準描述的單重攪動采用3字節(jié)隨機數作為攪動碼.攪動碼和其生成的10比特輔助攪動參數構成一組攪動密鑰.在攪動端對固定8bit寬的數據流進行攪動。24比特對8比特明文攪動得到8比特密文,但上文已知對半個字節(jié)的攪動密鑰僅有8比特,而高半字節(jié)和低半字節(jié)攪動過程中沒有相關性,因此對于8比特明文的攪動所使用到的密鑰最多不超過16個,密鑰總數相當于216=65536,采用窮舉法破譯.每微秒可搜索一百萬次的計算機所需破譯時間不到0.1μs。

ITU-T G.983標準描述的單重攪動采用3字節(jié)隨機數作為攪動碼.攪動碼和其生成的10比特輔助攪動參數構成一組攪動密鑰.在攪動端對固定8bit寬的數據流進行攪動。24比特對8比特明文攪動得到8比特密文,但上文已知對半個字節(jié)的攪動密鑰僅有8比特,而高半字節(jié)和低半字節(jié)攪動過程中沒有相關性,因此對于8比特明文的攪動所使用到的密鑰最多不超過16個,密鑰總數相當于216=65536,采用窮舉法破譯.每微秒可搜索一百萬次的計算機所需破譯時間不到0.1μs。

為了提高異或運算的破譯難度,三重攪動算法將加密算子的數量設為兩個。一個是第4或第5字節(jié)前三重攪動的輸出數據,一個是第1或第2字節(jié)前的輸入數據。該方式可以使當前攪動輸出與以前的攪動輸出相關聯,使單重攪動情況下容易重復出現的某些圖案在三重攪動情況下無法被探測到。時域關聯使加密算子無規(guī)律地更新。

三重攪動采用比特移位的方式,使高半字節(jié)和低半字節(jié)相關聯。和單重攪動相比,單獨破譯出半字節(jié)數據的情形將不再出現,每比特數據對應的密鑰數由原來的8個增加到14個,如比特3原來只由有K1、K2、P1-P4、P9和P10共8比特密鑰決定,現在則為K1-K2和P1-P12共14比特密鑰決定,文件加密的復雜性得到提高。

單重攪動加密算法的密鑰長度短,安全級別低,最簡單的窮舉攻擊也能對它實現短時間破譯。三重攪動加密算法使用三個級聯攪動器,增加密鑰數量,采用時域關聯的異或運算,并用比特移位實現了明文高低半字節(jié)之間的攪動連接。三重攪動加密算法保留了攪動方案所特有的優(yōu)點,并且成本較低,從而彌補了單重攪動加密算法安全性不高的缺陷。

小知識之EPON:

EPON(以太無源光網絡)是一種新型的光纖接入網技術,它采用點到多點結構、無源光纖傳輸,在以太網之上提供多種業(yè)務。它在物理層采用了PON技術,在鏈路層使用以太網協(xié)議,利用PON的拓撲結構實現了以太網的接入。因此,它綜合了PON技術和以太網技術的優(yōu)點:低成本;高帶寬;擴展性強,靈活快速的服務重組;與現有以太網的兼容性;方便的管理等等。