EPON三重搅动加密算法

2022-10-28

EPON搅动加密算法是针对PON结构提出的一种安全解决方案，目前搅动加密算法分为单重搅动和三重搅动。三重搅动算法是在单重搅动算法的基础上扩展而成，其增加了搅动后数据的时域关联性，进而提高用户数据的安全性。

一、三重搅动算法原理

EPON系统下行方向采用广播方式，恶意用户很容易截获系统中其它用户的信息。ONU为了使自己的信息不被其他ONU读懂，要求OLT在发送它的数据信息前按每个ONU自己提供的密码(搅动键)在TC层进行搅动加密。

应OLT的要求，ONU提供搅动键，使用3个字节的键完成搅动功能。搅动键是从上行用户数据中提取出来的3个字节数据和3个字节随机产生数的异或相加的结果。这三个字节共24位码，它们是X1-X8和P1-P16，均映射在信息域中。通过对X1-X8和P1-P16的逻辑运算，产生搅动键K1-K10。在搅动端利用K1、K2、P1-P12共14比特按照固定对8比特宽的数据流进行搅动,在解搅动端利用同样的14比特对8比特长的经过搅动的数据(密文)进行解搅动。

为防止窃听者逐个试探解密，需要对搅动键定时更新，每个ONU更新的频率至少每秒更新一次。

三重搅动加密算法是在单重搅动加密算法的基础上扩展而成，其增加了搅动后数据的时域关联性，进而提高用户数据的安全性。为提高用户数据的保密性，系统支持针对每个LLID的搅动功能.每个LLID都有独立的密钥。搅动由OLT提出密钥更新要求，ONU提供3字节搅动密钥，OLT使用此密钥完成搅动功能。在启用搅动功能后，对所有的数据帧和OAM帧进行搅动。搅动密钥的更新和同步过程采用基于OrganizationSpecific Exfension的OAM PDU方式。

户数据的安全性。为提高用户数据的保密性，系统支持针对每个LLID的搅动功能.每个LLID都有独立的密钥。搅动由OLT提出密钥更新要求，ONU提供3字节搅动密钥，OLT使用此密钥完成搅动功能。在启用搅动功能后，对所有的数据帧和OAM帧进行搅动。搅动密钥的更新和同步过程采用基于OrganizationSpecific Exfension的OAM PDU方式。

第一级搅动引擎chutning_1的输出与两个8位矢量进行逐比特的异或(XOR)运算：第一个矢量是前一个输入加密字节，当所加密的字节为一个数据帧的第一个加密字节时,该矢量为密钥的最低位字节。第二个矢量是4个字节前的三重搅动后的数据输出。对于一个帧中的前4个加密字节，用"0"代替data_out[N-4]。XOR_1的输出经过比特移位输入ehurning_2。移位规则如下：比特2、4交换，比特3、5交换，比特0、1、6、7位置不变。

第二级搅动引擎Churning_2的输出也与两个矢量进行逐比特XOR运算：第一个矢量是二字节前的输入加密字节，当所加密的字节为一个数据帧的第一个加密字节时，该矢量为密钥的第二低位字节。当所加密的字节为一个数据帧的第二个加密字节时，该矢量为密钥的最低位字节。第二个矢量是5个字节前的三重搅动后的数据输出。XOR_2的输出仍然经过比特移位输入第三级搅动引擎chuming_3，移位规则同前。三重解搅动的实现为三重搅动功能的简单镜像，其实现方案如图所示。

二、三重搅动加密算法的安全性

ITU-T G.983标准描述的单重搅动采用3字节随机数作为搅动码.搅动码和其生成的10比特辅助搅动参数构成一组搅动密钥.在搅动端对固定8bit宽的数据流进行搅动。24比特对8比特明文搅动得到8比特密文,但上文已知对半个字节的搅动密钥仅有8比特,而高半字节和低半字节搅动过程中没有相关性，因此对于8比特明文的搅动所使用到的密钥最多不超过16个,密钥总数相当于216=65536，采用穷举法破译.每微秒可搜索一百万次的计算机所需破译时间不到0.1μs。

为了提高异或运算的破译难度，三重搅动算法将加密算子的数量设为两个。一个是第4或第5字节前三重搅动的输出数据，一个是第1或第2字节前的输入数据。该方式可以使当前搅动输出与以前的搅动输出相关联，使单重搅动情况下容易重复出现的某些图案在三重搅动情况下无法被探测到。时域关联使加密算子无规律地更新。

三重搅动采用比特移位的方式，使高半字节和低半字节相关联。和单重搅动相比，单独破译出半字节数据的情形将不再出现，每比特数据对应的密钥数由原来的8个增加到14个，如比特3原来只由有K1、K2、P1-P4、P9和P10共8比特密钥决定，现在则为K1-K2和P1-P12共14比特密钥决定，文件加密的复杂性得到提高。

单重搅动加密算法的密钥长度短，安全级别低，最简单的穷举攻击也能对它实现短时间破译。三重搅动加密算法使用三个级联搅动器，增加密钥数量，采用时域关联的异或运算，并用比特移位实现了明文高低半字节之间的搅动连接。三重搅动加密算法保留了搅动方案所特有的优点，并且成本较低，从而弥补了单重搅动加密算法安全性不高的缺陷。

小知识之EPON：

EPON（以太无源光网络）是一种新型的光纤接入网技术，它采用点到多点结构、无源光纤传输，在以太网之上提供多种业务。它在物理层采用了PON技术，在链路层使用以太网协议，利用PON的拓扑结构实现了以太网的接入。因此，它综合了PON技术和以太网技术的优点：低成本；高带宽；扩展性强，灵活快速的服务重组；与现有以太网的兼容性；方便的管理等等。