技術領域

本發明涉及光通信技術及光接入網技術EPON（以太無源光網絡）的安全通信領域，尤其涉及用來對三網融合中的保密業務進行加密和解密的基于時間函數的加密方案。

背景技術

近幾年，隨著電信網、廣播電視網和互聯網三網融合的快速推進，我國將在2013年至2015年，全面實現三網融合業務。在三網融合業務中，PON（無源光網絡）是解決FTTH（光纖到戶）的主要技術，而基于以太網的EPON是目前應用最成熟也是最理想的接入網方案。EPON是一種融合了以太網和無源光網絡優點的接入網技術，既能充分利用現有的以太網資源，又能有效地支持IP數據的傳輸。

然而EPON是一個點到多點的系統，下行信道以廣播方式發送給與之相連接的所有ONU（光網絡單元），每個ONU僅僅根據分配到的LLID（邏輯鏈路標識）來決定是否接收數據，一旦攻擊者把ONU設置成“混雜”模式，它將能接收到所有的下行傳輸信息。另一方面，EPON系統具有自動發現功能，對于新加入的ONU可以自動完成注冊，如果ONU不采取任何認證措施，那么非法ONU將會隨意接入到系統，對網絡構成極大的安全威脅。同時，由于以太網幀結構的透明性，非法用戶可以依據該結構偽造MAC（媒質接入控制）幀和OAM（運行管理維護）幀，并利用分配好的上行時隙發送，不僅可以使用控制幀騙取授權信息，而且可以利用OAM幀更改系統參數甚至搗毀系統。因此，MAC幀和OAM幀的安全保障在EPON中顯得尤為重要，目前沒有特別理想的安全措施來解決這一隱患。

現有的一些加密措施中，基本上采用AES（高級加密標準）、DES（數據加密算法）、3DES（三重攪動算法）對數據進行加密，或者是將2種加密算法相結合，如AES和ECC（橢圓曲線密碼）算法相結合。當然，也有對業務進行分級的加密方法，根據業務對安全性和實時性的不同需求，對不同的業務采用不同的加密算法。這些方法對安全性要求不是很高的數據業務，以及語音、視頻業務而言，是能夠滿足其安全需求的。但是，對于OAM、MAC幀和認證信令業務，它們對安全性要求非常高，現有的加密措施都不能保證其安全，故需要設計一種新的加密方法來保證它們的安全性。本發明為了保證密鑰的安全性和唯一性，讓AES算法與時間標簽相結合形成密鑰，而時間標簽是在OLT對每個ONU測距的時候提取的，每個ONU測距的時間標簽都是不同的，且隨著時間變化，因此，每個ONU的密鑰也是隨著時間在變化，這樣既達到了密鑰的唯一性，也提高了密鑰的安全性。

發明內容

本發明的目的在于提供一種基于時間標簽的EPON加密方法，該方法實現密鑰的動態更新，達到密鑰的唯一性，以確保密鑰的絕對安全。。

本發明的技術方案為：一種基于時間標簽的EPON加密方法，其步驟包括：a?首先在EPON測距的控制幀中提取4個字節的時間標簽；b?將AES算法與時間標簽相結合，形成時間函數，將這個時間函數作為密鑰；c?將輸入數據與密鑰一起進入加/解密模塊；d?在OLT局端，若是發送下行數據，則OLT端完成加密功能，輸出密文發送出去給用戶端ONU；若是上行發來的數據，則OLT端完成解密功能，輸出明文；e在ONU用戶端，若是接受下行發來的數據，則ONU端完成解密功能；若是發送上行數據，則ONU端完成加密功能，并把密文發給OLT。

時間標簽是在EPON系統測距的時候提取，在測距的GATE和REPORT幀結構中，有專門的4個字節是用于放置時間標簽的，每個ONU對應一個時間標簽，測距的同時可完成OLT和ONU兩端時間標簽的同步。每個ONU在測距過程中時間標簽是不斷變化的，因此密鑰也隨著時間標簽動態更新，發送端需要給出相應的指示，接收端才能判斷接收到的數據是否經過了加密處理，以及密鑰是否經過了更新。在EPON的幀結構中的前導碼八個字節里，有三個字節是保留字節，沒有填充任何信息。本發明設計在前導碼的第五個字節的頭兩個比特中引入指示信息，這兩個比特包括加密指示比特EIB和密鑰更新指示比特UIB，指示比特在0和1之間來回變換，用于密鑰的動態更新和同步。?

本發明的優點在于：在加密算法上引入了時間函數，讓密鑰保持與時間的同步，實現密鑰的動態更新，保證密鑰的絕對安全；本發明在不改動現有芯片結構和不增加硬件成本的基礎上，對加密方法做了創新性設計；本發明克服了傳統加密方法中存在的缺陷，充分保障了EPON系統中的安全性。?

附圖說明

圖1為本發明基于時間函數的加/解密流程圖；

圖2為本發明使用的AES算法和時間標簽相結合的流程圖；

圖3為本發明的時間標簽4個字節在測距控制幀中的位置示意圖；