OFDM-PON中基于ONU端时变秘钥的物理层加密/解密方法

摘要

一种安全通信领域的OFDM-PON中基于ONU端时变秘钥的物理层加密方法，通过将各个ONU的上行数据上行传输至OLT上作为秘钥且与OLT上检测到的下行数据进行异或运算得到加密后的数据，从而实现下行数据的加密，该加密数据通过下行的子载波下行传输至各个相应的ONU后，各个ONU根据本地存储的上行数据进行解密得到解密后的下行数据。本发明的秘钥随上行数据实时变动，进一步实现了加密的可靠性，从而有效的提升了OFDM-PON系统的安全特性。

说明书

技术领域

本发明涉及的是一种安全通信领域的方法，具体是一种OFDM-PON（Orthogonal frequency division multiplexing-passive optical network，正交频分复用的无源光网络）中基于ONU（Optical Network Unit，光网络单元）端时变秘钥的物理层加密/解密方法。 

背景技术

信息与通信技术给人类社会带来了翻天覆地的变化，随着各种视频业务和大数据流量对于系统的影响，接入网系统所需要的带宽急剧增加，因此需要新的技术来增加接入网系统的容量，与此同时随着网络交易，电子银行，电子商务的普及，网络系统的安全需要有效的被保护。 

在无源的光接入网系统中，最初采用的是时分复用的无源光网络（Time-Division-Multiplexing Passive Optical Network，TDM-PON）技术，在这种系统中每个用户之间通过时间上的独立分配来完成上行和下行通信的通信。同时通过以太网为基础的无源光网络系统（Ethernet Passive Optical Network，EPON）和数据率超过吉比特无源光网络（Gigabit-Capable Passive Optical Network，GPON）技术大大提升了系统的容量，同时还提出了波分复用的无源光网络（Wavelength Division-Multiplexing Passive Optical Network，WDM-PON）也有很大的发展前景。然而随着互联网数据量的增加和使用网络人数的增加，同时随着用户需求的日益多样化，各种各样的业务需求需要在PON系统传输，提升网络的传输容量成为一个重要的研究方向。随着OFDM技术在光通信领域的迅速发展，在接入网系统中已经采用了OFDM-PON技术。OFDM-PON系统中每个载波可以采用高阶的码型，同时采用了DSP（Digital signal processing，数字信号处理），很有效的提升了系统的容量和系统对于色散的抵抗能力。然而由于OFDM-PON系统的广播特性（Broadcasting Nature），每个ONU都可以接收到所有用户的下行数据，因此网络的安全性能需要提升。 

经过对于现有论文的检索发现，2012年Optics Express第20卷22期的论文：Bo Liu，Lijia Zhang，Xiangjun Xin，and Jianjun Yu，“Constellation-masked secure communication technique for OFDM-PON，”北京邮电大学的刘波等人提出，通过在OFDM的下行数据处理的时候对下行数据的星座图进行相应的旋转，相移和幅度变换，使信号的星座图在指定的参数下变形，从而实现了加密，在ONU端只有知道加密的各种参数才可以用一个逆向的过程就能解调出之前的数据，从而只有知道秘钥的ONU才能获得下行数据，实现了系统有效的加密。但该技术中 加密的秘钥是固定不变的，因此加密性能较差。 

进一步的论文的检索发现，2014年发表的Photonics Technology Letter中第26卷2期的论文：Bo Liu，Lijia Zhang，Xiangjun Xin，and Yongjun Wang，“Physical layer security in OFDM-PON based on dimension-transformed chaotic permutation，”北京邮电大学的刘波等人又提出，通过在OFDM的系统中引入一种时域，频域等多个维度的混沌加密参数，实现了系统的加密，因此在ONU端只有获得混沌加密的各种参数的用户才能从加密的数据中恢复出之前的数据。但该技术中只要有秘钥的用户均能得到下行数据，其加密性能收到极大局限。 

发明内容

本发明针对现有技术存在的上述不足，提供一种OFDM-PON中基于ONU端时变秘钥的物理层加密/解密方法，秘钥随上行数据实时变动，进一步实现了加密的可靠性，从而有效的提升了OFDM-PON系统的安全特性。 

本发明是通过以下技术方案实现的： 

本发明涉及一种OFDM-PON中基于ONU时变秘钥的物理层加密/解密方法，通过将各个ONU的上行数据上行传输至OLT上作为秘钥且与OLT上检测到的下行数据进行异或运算（Exclusive or，XOR）得到加密后的数据，从而实现下行数据的加密，该加密数据通过下行的子载波下行传输至各个相应的ONU后，各个ONU根据本地存储的上行数据进行解密得到解密后的下行数据。 

所述的每个ONU上行数据和下行数据不对称时，根据(A-1)<(Rd/Ru)≤A，且A为整数，计算出每个用户的非对称系数A，然后根据计算获得的A，将上行数据拓展A倍使其长度与下行数据相同，然后再与下行数据进行异或运算来实现加密操作，其中：Rd和Ru分别为针对ONU的下行数据和上行数据的数据率。 

所述的拓展是指：将上行数据依次复制A次生成新的数据。 

所述的上行数据和下行数据在加密或解密的之前或之后由数字信号处理实现二进制的数据和OFDM数据之间的相互转换，该过程的运算包括：串并转换S-P、并串转换P-S、傅里叶变换FFT、反傅里叶变换IFFT、映射Mapping、数模转换ADC、模数转换DAC、插入和去除循环前缀Cyclic prefix、均衡Equalization。 

所述的上行数据是指从ONU传输至OLT的数据，上行传输是指从ONU传输至OLT的过程，下行数据是指从OLT传输至ONU的数据，下行传输是指从OLT传输至ONU的过程。 

所述的进行下行传输的加密后的数据在远端节点处（Remote Node，RN）由光分路器分成多路，传输至相应的ONU。 

所述的各个ONU的上行数据分配到对应了不同载波的各个上行频率上进行上行传输。 

本发明涉及一种基于上述方法的装置，包括：设置于OLT内用于加密计算的异或模块、非对称数据率计算模块，设置于各个ONU内用于解密的异或模块、上行数据存储模块，其中：非对称数据率计算模块的输出端与用于加密计算的异或模块相连并向其输出上行数据和下行数据不对称时的非对称传输系数用于加密计算的异或模块由终端机向各个ONU内用于解密的异或模块传输加密的下行数据，用于解密的异或模块与上行数据存储模块相连，从而从加密的数据中得到解密的下行数据。 

本发明通过将每个ONU的上行数据作为自身的秘钥，在OLT每个ONU的上行数据分别于自身的上行数据进行异或运算，这样运算结果的数据含有下行数据和上行数据的信息，接着将加密后的数据通过光纤传输到各个用户端，然后每个用户在自身可以得加密后的所有数据，但是由于每个ONU只有储存的自身的上行数据，因此只有ONU本身可以解密相应的数据而其它用户由于缺少非本身的上行数据，从而不能解调出数据，使非法用户无法窃取数据。同时根据通的实际速率可以调节相应的参数，从而满足实时可变的加密目的。 

技术效果 

本发明利用用户本身各个ONU的上行数据作为秘钥不仅减低了复杂度，而且其它用户无法获得秘钥，秘钥可以根据实际的速率改变，因此系统的安全性大大提升，复杂程度大大减少。 

附图说明

图1为二进制的异或运算XOR加密、解密过程示意图； 

图2为OLT的加密，ONU1和ONU2端的解密过程示意图； 

图3为OFDM-PON系统上行传输过程示意图； 

图4为OFDM-PON系统的加密下行传输和解密过程示意图； 

图5为实施例1中非对称系数为4的加密和解密过程示意图； 

图6为实施例1的实验方案和各处的数字信号处理过程示意图； 

图7为实施例中的电谱图； 

图中：a-d为ONU1、ONU2、ONU1与ONU2一起的下行加密数据的电谱图； 

图8为实施例1中的误码曲线示意图； 

图中：a为ONU1和ONU2上行数据b-t-b和传输25km的误码曲线；b为下行解密数据的误码和非法不匹配数据的误码曲线； 

图9为本发明的简要示意图。 

具体实施方式

下面对本发明的实施例作详细说明，本实施例在以本发明技术方案为前提下进行实施， 给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下述的实施例。 

实施例1 

如图1、图8和图6所示，本实施例以ONU1、ONU2两个单位为例，加密方法具体为：通过将ONU1、ONU2的上行数据上行传输至OLT上作为秘钥且与OLT上检测到的下行数据进行异或运算得到加密后的数据，从而实现下行数据的加密，该加密数据通过下行的子载波下行传输至ONU1、ONU2后，ONU1、ONU2根据本地存储的上行数据进行解密得到解密后的下行数据。 

所述的上行数据和下行数据不对称时，根据(A-1)<(Rd/Ru)≤A计算非对称系数A，将上行数据重复A次进行异或运算的加密操作，其中：Rd和Ru分别为下行数据和上行数据的数据率。 

所述的进行下行传输的加密后的数据在远端节点处由光分路器分成多路，分别传输至ONU1、ONU2。 

所述的ONU1、ONU2的上行数据分配到对应了不同载波的各个上行频率上进行上行传输。 

如图1所示，二进制异或运算作为加密的基本过程，异或运算可以简单的认为是二进制的加法，上行数据的二进制秘钥和下行数据相加，得到相应的输出作为加密后的数据。经过的处理生成相应的OFDM数据，产生OFDM传输到ONU1、ONU2，ONU1、ONU2选择相应的载波再用恢复出数据，与本地存储的上行数据秘钥再次进行异或运算的操作，从而得到相应的下行数据。 

如图2所示，ONU1和ONU2的数据在OLT加密的过程，采用的最小粒度为一个OFDM的帧结构，此处示意图通过载波演示。加密数据在ONU1和ONU2的解密过程可以看出，由于只有用户本身有上行数据作为秘钥，从而每个用户只有想用的自身的数据是可以解密出来。 

如图3所示，OFDM系统数据的上行传播过程，ONU1、ONU2的数据分别调节到不同载波的不同射频载波上，从而进过上行传输在OLT可以通过一个简单的Rx可以得到所有ONU的上行数据。 

如图4所示，下行加密数据解密和传输情况。加密后的所有用户的数据进行下行传输，数据在远端节点处处经过光分路器分成多路，然后传输到每个用户端，在每个用户端可以通过本身储存的上行数据作为秘钥来解密得加密的数据，从而得到解密后的下行传输数据。 

如图5所示，当ONU1的上下行数据不对称的情况，定义一个非对称系数A，满足：(A-1)<(Rd/Ru)≤A，且A为整数，其中Rd和Ru分别为下行数据和上行数据的数据率，当数据率满足上述公式的时候，可以通过将上行数据重复A次，然后和下行数据进行异或运算的加 密操作。在极少数的情况下，下行数据会少于上行的数据，可以将部分的上行数据和下行数据进行叠加，从而有效的完成加密过程，相应的解密过程为上述程序的逆过程。同时每个用户的非对称系数也会有不同。与此同时非对称系数根据自身的上下行的数据率情况进行实时的改变。 

图中为非对称系数为4的加密和解密过程。 

如图6所示本实施例的传输示意图，通过两个ONU1、ONU2验证实验过程，上行的两路数据分别有64个有效载波，同时有4个载波作为隔离带。在采样率为5GS/s的强度调制直接检测IMDD的OFDM信号中，当采用16-正交幅度调制QAM是每个用户的上行数据率为1.25Gb/s，在1555nm和1556nm两个波长上进行上行的传输。下行在OLT对下行的1550nm波长进行加密数据的传输，此处ONU1和ONU2的下行数据分别为1.25Gb/s和3.75Gb/s，因此两者的非对称系数分别为1和3。ONU1可以进行直接的异或运算加密和解密。ONU2则需要对上行数据重复3次，然后和下行数据进行分别进行相应的加密和解密处理。 

如图7所示，图7中a中给出了ONU1的电谱图，在256个有效的载波中其占有64个。总带宽为5GHz的系统中可以有1.25Gb/s的总数据量，采用16QAM码型谱效率为4。同时图7中b给出了ONU2的电谱图，它的载波数目为64个，在总带宽为5GHz的系统中也可以有1.25Gb/s的总数据量。图7中c给出了上行数据传输到OLT被Rx接收后的电谱，可以明显的看到其中间的4子载波作为隔离带宽。整个下行数据率为5Gb/s的数据，占满了整个带宽，电谱如图7中d所示。 

如图8所示，上行数据b-t-b和25km标准单模光纤传输误码率，功率敏感度为-20dBm，如图8中a所示。图8中b给出了下行解密后数据的误码率，误码略微上升，主要由于受上行数据误码的叠加影响。对于非法和不匹配的ONU误码率为0.5，也就是根本无法解调出相应的数据，从而实现了系统时变灵活的加密特性。 

如图6所示，本实施例数据传输的装置包括：激光器CW、数字信号处理DSP、马赫曾德尔调制器MZM、环形器、光的掺饵光纤放大器EDFA、滤波器TOF、光电探测的接收机PD/Rx、光分路合路器Optical Coupler，光衰减器和25km的标准单模光纤。 

ONU1、ONU2的上行数据分配到对应不同的载波的不同的上行频率上进行上行传输，本实施例演示了两个用户的情况，上行数据经过放大调制在不同的光波长上，分别为1555nm和1556nm，然后经过3dB耦合器的合路，再经过用于模拟1：16的分光比的12dB的光衰减器，经过25km光纤的传输到ONU进行上行的检测，上行数据经过数字信号处理的离线处理得到了上行的伪随机数据PRBS。同时将每个用户的上行数据和下行数据进行相应的异或运算操作，然后再通过离线的数字信号处理得到加密后的OFDM数据，数据通过光纤传输回到ONU1、ONU2，每个用户可以根据本地存储的数据来解密下行的加密数据，从而实现了下行数据的加密过程。由于ONU1或ONU2只能拥有自己上行数据，因此只有其自身可以解调相应的下行数 据。同时由于上行数据实时改变，因此相对应的作为秘钥也在随着时间不同的改变，从而最终实现动态的加密技术。 

所述的激光器CW是一种能产生窄线宽的光载波的激光器，可以用于将电的OFDM信号转移到光上面。 

所述的马赫曾德尔调制器MZM是一种有电光效应的调制器，用于将电上面的信号调制到光域中进行传输，本实施例中调制器均偏置在正交点，从而实现线性的电光转换。 

所述的数字信号处理通过离线处理实现，包括：串并转换S-P、并串转换P-S、傅里叶变换FFT、反傅里叶变换IFFT、映射Mapping、数模转换ADC、模数转换DAC、插入和去除循环前缀Cyclic prefix、均衡Equalization。 

本实施例的传输光纤是一段长度约为25km的标准单模光纤，损耗衰减系数为0.2dB/km。 

所述的光分路器用于将两路光信号合成到一路光信号，或者将一路信号分成两路信号。同时满足分光比为50：50。 

所述的光的掺饵光纤放大器EDFA、滤波器TOF用于光信号的放大和过滤自发辐射噪声ASE，增加光信号的功率并且减少噪声的影响。 

所述的光衰减器用于模拟1:16的分光比，结合前面的分路器，可以使系统支持的用户数达到32个，即16*2。 

实施例2 

如图6所示，基于实施例1所述方法的装置，包括：设置于OLT内用于加密计算的异或模块、非对称数据率计算模块，设置于各个ONU内用于解密的异或模块、上行数据存储模块，其中：非对称数据率计算模块的输出端与用于加密计算的异或模块相连并向其输出上行数据和下行数据不对称时的非对称传输系数用于加密计算的异或模块由终端机向各个ONU内用于解密的异或模块传输加密的下行数据，用于解密的异或模块与上行数据存储模块相连，从而从加密的数据中得到解密的下行数据。