（光学工程专业论文）epon系统安全机制的研究.pdf

摘要 近年来，通信网的骨干部分已经发生了巨大的变化，而接入网却没有多大的 变化。无源光网络( p o n ) 由于其传输距离长、维护费用低廉等优点，最近已开 始在接入网开始商业铺设了。在p o n 技术中，e p o n 由于其速率高、费用低、互 操作性、低开销等多种特性，已由i e e e 成立“第一英里以太网”( e f m ) 研究 组8 0 2 3 a 1 1 进行其标准化工作，因此e p o n 被认为是f t t h 的最佳实现方案之一。 但e p o n 下行是点对多点、上行是多点到点的拓扑结构；在下行方向，o l t 以广 播的方式将信息发送给每一个o n u ，每一个0 n u 可以监听所有的下行流量而不 会被发现；o n u 共享上行信道和资源，因此e p o n 面临着诸多威胁，如假冒、监 听和拒绝服务等等，因此e p o n 需要各种安全业务，如验证、加密等，来抵御不 同的安全威胁。 本文首先介绍了e p o n 的系统结构、原理和关键技术，分析了各种安全威胁 和提出了多种安全业务，并对安全的不同要求提出了相应的验证业务。 本文讨论的重点是加密业务，首先论证了简单的搅动算法是不适合作为e p o n 的加密算法，而a e s 加密算法则是理想的选择；而后详细介绍了a e s 算法的特点， 并对a e s 加解密过程及其中间状态和变换进行了详细的分析，并在此基础上通过 编程成功实现了密钥的扩展和a e s 算法加解密过程，而后从安全性的角度选定了 e p o n 加密的位置、对象和加密前后帧格式的变化。首先采用完全填充法( 填充最 后一个分组使之构成一个完整分组的方法) 实现了利用a e s 算法对e p o n 下行流量 的加密，而后从效率的角度对加密方案优化：提出了半填充法和不填充法，使效 率锝到了较大的改进。 最后在d s p 硬件平台上实现了以上三种加密方案，并主要就加密时延进行了 分析，在这基础上结合不同的业务进一步提出并实现了优化方案，以降低时延， 并能满足不同的安全性要求。 关键字：e p o n 安全业务验证搅动a e s 算法数字信号处理器 a b s t r a c t w h i l et h eb a c k b o n en e t 、v o r k sh “ee x p e r i e n c e ds u b s t a n t i a lc h a n g e si 1 1m el a s t d e c a d e ；t h e a c c e s sn e t w o r k sh a v en o t c h a n g e dm u c h r e c e n t l y ，p a s s i v eo p t i c a l n e t w o r k s ( p o n s ) s e e mt ob er e a d yf o rc o m m e r c i a ld e p l o y m e n ti na c c e s sn e t 、o r k s d u et ot h cm a t u r i t yo fan 啪b e ro f e n a b l i n gt e c l l i 】d 1 0 9 i e s ，s u c ha sl o n gd i s 切n c ea 1 1 d r e d u c e dm a i m e n a n c e a m o n gp o n t e c i m 0 1 0 9 i e s ，血ee t h e m e tp o n ( e p o n ) p r e s e m l y b e i n gs t a n d a r d i z e db y m ei e e e8 0 2 3 a he t h c m e ti nt 1 1 ef i r s tm i l e s ( e f dt a s kf o r c e i sm o s ta t t r a c t i v eb e c a u s eo fi t s h i g hs p e e d ，1 0 wc o s t ，i n t e r o p e r a b i l i t y 姐d l o w o v e r h e a d ，s oe p o n i s e x p e c t e dt ob eo n eo fm e b e s ts o l u t i o n sf o rm ef t t h b u t e p o ni sa p o i n t t o m u l t i p o i n tt o p o l o g y i n 1 e ： d o w n s t r e a md i r e c t i o na n d m u l t i p o i n t t o - p o i n tt o p o l o g yi nt h cu p s 仃e 锄d i r e c t i o n 0 n t h ed o w n s t r e 锄d i r e c t i o n ， a no l tb r o a d c a s t st h ei n f 曲m a t i o nt oa l lo n u s e v e r yo n uc a ne a v e s d r o p d o w n s t r e 枷仃a m cu n n o t i c e d o n u ss h a r e 也eu p s t r e 锄c h a m e lc 印a c i t y a 1 1 d n e t 、v o r kr e s o u r c e s t h e r e f o r e ，t h ee p o ni se x p o s e dt 1 1 r e a t ss u c ha si m p e r s o n a t i o n ， e a v e s d r o p p i n ga n dd e n i a lo f s e r v i c e sa n ds oo n ，a n dt h ee p o nr e q u i r e st h es e c u r i t y s e r v i c e ，s u c ha sa u t h e n t i c a t i o n ，c o n f i d e n t i a l i t y ，e t c ，i no r d e r t op r o t e c ta g a i n s tv a r i o u s s e c u “t yt 1 1 砖a t s t h i st h e s i si n t r o d u c e st h es y s t e ms t m c t u r e ，p r i n c i p l ea n dk e yt e c h n o l o g i e so f e p o n ，t h e na n a l y s e ss e v e m ls e c u r et 1 1 r e a t s a n dp u t sf o r w a r ds e c u r es e i c e s ，a 1 1 d i n t r o d u c e sm a t c h i n ga m h e n t i c a t i o ns e i c e sa c c o r d i n g t od i f 绝r e n td e m a n df o rs e c u r e t h i sm e s i sd i s c u s s e sm a i n l yt h ec i p h e rs e r 访e e f i r s t l yw ed e m o n s r a t e t h a t s i m p l ec h u r n i n ga l g o r i t h mi si m p m p e rt o 印p l y t oe p o n ，w h i l ea d v a n c e de n c r y p t i o n s t a i l d a r d ( a e s ) i st h ep e r f e c tc h o i c e s e c o n d l yw e i m r o d u c ec h a r a c t e r i s t i co fa e si n d e t a i l ，a n d d i s c u s sm ep r o c e s so fe n c r y p t i o n 趔e c r y p t i o n a 芏l dm i d d l es t a t ea n d t r a n s f b r m a t i o n s b a s e do nt h es t u d yo fa e sa i g o r i t h i n ，k e ye x p a i l s i o n a n d e n c r y p “o i l d e c r y p t i o np r o c e s sa r e r e a l i z e dw i mcp r o g r a m ，o nt l eo t h e rs i d e ，m e 1 0 c a t i o n ，o b j e c ta n d t h ef r 吼ec h a l l g ei nt h ee n c r y p t i o no f e p o n a r ec o n f i r m e d i nt l l e 2 f i r s ti n s t a n c e ，t h ef u l l p a d ，i nw h i c ht l l el a s t 掣。印i sp a d d e dt ob ea n i n t e g r a t eo n e ，i s a d o p t e d t or e a l i z et l l ee n c r ) ，p t i o no nt 1 1 ed o w n s t r e 锄d a t a ，t 1 1 e nt 1 1 ee n c r y p t i o ns o l u t i o n i so p t i m i z e da c c o r d i n gt om e e m c i e n c y ，i n c l u d i n gh a l f - p a da n d n o - p a d a tl a s t ，t h r e es 0 1 u t i o n sa r er e a l i z e do nd s p ，a 1 1 da i l a l y z em ec i p h c rd e l a y ，t h 。n c o m b i n e dw i md i f f e r e n ts e r v i c e s ，w eb r i n gf b 刑a r da n dr ：e a l i z et h ed i f 强r e n tc i p h e r s o l u t i o n st 0o p t i r n i z et h ed e l a ya r l dt 0m e e td i f 话r e n td e m a n do fs e c u r i t y 1 ( e y w o r d s ：e p o n ；s e c u r i t ys e r v i c e s ；a u t l l 鼬t i c a 垃o n ；c h u n 她；a e sa l g o r i 吐n ；d s p 3 南京邮电学院硕士学位论文 第一章绪论 第一章绪论 近年来通信的主干部分发生了巨大的变化，而在接入部分却变化很少。传统 的接入网主要是铜缆网，所承载的业务主要是语音业务，但随着数据业务，特别 是具有高带宽要求的高速数据业务的出现，1 m e m e t 数据流的激增加剧了接入部 分的容量限制。“最后一公里”的接入部分仍然是高速的局域网( l a n ) 和主干 网之间的瓶颈。主干网光纤化带来的巨大的带宽资源使人们考虑已经成为网络瓶 颈的接入网也应该实现光纤化、宽带化“”。 世界上绝大多数数据都是以i p 以太网方式产生的，e p o n 由于其基础是以太 网，而以太网是当今和未来世界上使用最广泛的网络技术，其相关器件、设备价 格最低。用e p o n 作接入网，成本低、通用性好；免去了i p 数据传输的协议和格 式转换，效率高，管理简单；加上p o n 具有传输带宽大、传输距离远、能综合各 种业务等优点，因此经由以太网的网络技术加上p o n 的接入技术构成的e p o n 传 输i p 是最好的方案( i p o v e re p o n ) ，也被认为是最终解决“最后一公里”瓶颈 的最佳方案。1 。然而，e p o n 现在还存在这一些问题，其中安全问题尤为重要，因 为e p o n 与无线网络相似，是点到多点的共享型网络。为此i e e e8 0 2 3 a h 工作组 从2 0 0 2 年下半年起召开几次的会议，专门讨论有关e p o n 的链路安全性的问题， 决定单独成立个任务组结合e p o n 的具体情况，负责整个8 0 2 体系的安全性问 题的研究和解决。2 0 0 3 年1 月份以原e p o n 安全小组的主要成员为主的新的工作 组l i n k s e c 已经召开会议，将在尽量保证以太网体系架构的基础上，结合8 0 2 1 x 、 8 0 2 1 0 等已有以太网关于安全性的协议，加强和完善e p o n 和其他以太网应用的 安全性。 因此e p o n 需要一种能够提供足够安全的加密算法，a e s ( a d y a n c e de n c r y t i o n s t a n d a r d ) 是一个理想的选择，因为诸多算法中，a e s 在安全性、代价、算法和 实现特性的各项测试指标的综合中最为优秀，将成为未来数十年最重要的密码算 法。2 0 0 1 年夏天，美国国家标准技术协会( n i s t ) 已经将a e s 作为下一代密码算 法的标准6 1 。正因为如此，a e s 被广泛采用。 本文结构安排如下：第二章简要介绍了接入网的现状和e p 0 悄技术及其发 南京邮电学院硕士学位论文第一章绪论 展；第三章首先简要分析了e p o n 存在的各种安全威胁，以及需要提供的安全 业务，并对加密算法的选择进行了探讨；第四章详细介绍了a e s 算法的特点， 并对a e s 加解密过程进行了详细的分析，接着实现了密钥的扩展和a e s 算法的 加密；第五章首先给出了加密的定位、内容和加密前后帧格式的变化，最后采用 完全填充法实现了利用a e s 算法对e p o n 下行流量的加密。第六章主要从效率 的角度对加密方案优化：分别采用了半填充法和不填充法，而后对三种方法的效 率做了比较分析：第七章主要在d s p 平台上实现了三种加密方法，并主要把m a c 帧分为短帧和中长帧分别作了时延分析，在这基础上，从对时延和安全性的要求 的不同提出并实现了不同的加密方案。最后一章为全文简单的总结和下一步工作 的展望。 南京邮电学院硕士学位论文 第二章e p o n 技术及其发展 第二章e p o n 技术及其发展 2 ，1 接入网现状 近年来通信的主干部分发生了巨大的变化，而在接入部分却变化很少。传统 的接入网主要是铜缆网，所承载的业务主要是语音业务，但随着数据业务，特别 是具有高带宽要求的高速数据业务的出现，i n t e m c t l 数据流的激增加剧了接入部 分的容量限制。“最后一公里”的接入部分仍然是高速的局域网( l a n ) 和主干 网之间的瓶颈。主干网光纤化带来的巨大的带宽资源使人们考虑已经成为网络瓶 颈的接入网也应该实现光纤化、宽带化“1 。 光纤接入网主要面对小企业用户以及住宅用户。它不仅能提供原来铜缆网所 提供的2 m b p s 以下的窄带业务，还可以升级提供图像、数据等宽带业务。并且 接入网设备不依赖于交换机的型号，可以在多厂家、多类型交换机环境中工作。 同时铜缆网的故障率很高，特别是其中的配线网部分是主要故障段，维护运 行成本也很高，仅美国贝尔电话运营公司每年用于其用户铜缆网维护运行和满足 新用户增长的花费就达3 0 亿美元。在光通信时代，花费巨额费用去维护运行一 个将要淘汰的铜缆网实在是迫不得已之举。光纤网的引入正是为了将上述大规模 接入网投资和花费逐渐转向光纤。总体来说，采用光接入网的最基本目的有以下 几个： 1 首先是为了减少铜缆网的维护运行费用并降低故障率。据估算，采用光 接入网后，每年的维护运行成本可以比传统铜缆网节约至少5 0 美元线，对于一 亿用户线相对于每年可以节约5 0 亿美元。2 0 年累计可达1 0 0 0 亿美元。已完全 可以用这笔经费作为建设光缆网所需的新投资。3 ，而且，故障率也会大大降低。 2 其次是为了支持开发新业务，特别是多媒体和宽带新业务，从而增加竞 争力，增加新业务收入，补偿建设光接入网所需的投资。近年来由于光器件价格 的持续稳定下降和铜缆价格的持续上升，光接入网的初装费用也已经可以与传统 铜缆网相比，在传输距离大约为2 3 公里以上时己低于传统铜缆网。 3 引入光按入网后，传输距离可以大大延长，大量的小型交换机和远端交 换模块可以逐步减少。整个电信网可以向节点数较少，覆盖区较大，结构更加简 南京邮电学院硕士学位论文第二章e p o n 技术及其发展 单的方向演进，特别是宽带业务网的结构需要朝这一方向发展。 4 最后，引入光接入网后，特别是f t t c f t t b 以后，剩下的双绞线或同 轴电缆的距离已经很短，这就使宽带业务的传送成为可能，这样将光纤和现有双 绞线和同轴电缆结合可以充分利用现有的巨大网络投资，提供一种经济的宽带混 合接入网。 除了上述基本目标外，采用光纤接入网可以满足用户希望较快提供业务，改 进业务质量和可用性的要求，总带宽可以在用户之间重新分配而不影响业务，也 可以节约城市拥挤不堪的地下管道空间，延长传输覆盖距离。总之，采用光接入 网已经成为解决电信网发展瓶颈的重要途径。 2 2 无源光接入网络 1 光接入网 光接入网( o p t i c a la c c e s s n e t w o r k ：o a n ) 口 6 1 原理结构如图2 1 所示。o a n 采用光纤传输技术，本地交换机或远端模块与用户模块之间采用光纤或者部分采 用光纤传输系统。它是采用基带数字传输技术并以双向交互式业务为目的的接入 传输系统，将来能够升级以适应宽带广播和交互业务的需要。 图2 1o 丸n 结构 图2 1 所示的基本参考配置，可适合于f t t h 、f t t b 、f t t c 等多种情况。 南京邮电学院硕士学位论文 第二章e p o n 技术及其发展 f t t b ，c 和f t t c a b ( 光纤到配线柜) 网络结构只是在应用上略有区别，可以看成一 类。对于f t t b c c a b ，可以提供p s t n 、i s d n 业务( 作为接入网必须能够灵活 地提供窄带电话业务) 以及其它对称或者非对称的宽带业务( 前者包括小商业用 户的电信业务、远程商谈等：后者例如数字广播业务、v 0 d 、远程教学、远程医 疗等) 【”。 f t t h 应用提供的业务大致同上，并且由于可以考虑使用室内光线路终端 ( a n u ) ，使o n u 的工作环境得以改善，从而简化了设备，再加上传输网络全 部为光纤，使得维护工作量减少、成本降低。对于网络将来可能的带宽或业务升 级，o n u 可不作改动。 o l t 位于接入网的局端，它的位置可以就在局内本地交换机的接口处，也可 以是野外的远端模块，与远端集中器或复用器接口。它的作用是为光接入网提供 网络与本地交换机之间的接口，并经过个或多个o d n 与用户侧的o n u 通信， o l t 与o n u 的关系是主从关系。0 l t 可以分离交换与非交换业务，管理来自 o n u 的信令和监控信息，为o n u 和自身提供维护功能。 光配线网( o d n ) 为o l t 和o n u 之间的光传输手段，其主要功能是完成 光信号和光功率的分配任务，o d n 一般为树形或者环形结构。 o n u 的作用是为光接入网提供直接或者远端的用户侧接口，位于o d n 的用 户侧。o n u 终结来自o d n 的光纤，处理光信号并为若干用户提供业务接口。 o n u 的网络侧为光接口，用户侧为电接口，因此需要光，电和电光转换功能， o n u 还要完成对语音信号的数模和模数转换、信令处理、复用以及维护管理功 能。o n u 的位置有很大的灵活性，可以设置在用户住宅处，也可以设置在户外 的分线箱，按照其位置不同，o a n 被划分为三种不同的基本应用类型：光纤到 户( f t t h ) 、光纤到楼( f t t b ) 和光纤到路边( f t t c ) 。 适配功能( a f ) 为用户和o n u 提供适配功能，它可以包含在o n u 内，也 可以是独立的( 提供最后的引入线上的传输功能) 。 2 无源光接入网 根据接入网室外传输设施中是否含有源设备，o a n 可以划分为有源光网络 ( a o n ：a c t i v e o d t i c a l n e t w o r k ) 和无源光网络( p o n ：p a s s i v e o p t i c a l n e t 、o r k ) 吼如果o d n 全部由无源器件( 光纤、无源光分路器、波分复用器等) 组成， 南京邮电学院硕士学位论文 第二章e p o n 技术及其茬展 而不包含任何有源节点，如图2 2 ，这种接入网称为无源光接入网，在p o n 中采 用e t h e m e t 帧的形式来传输信息的，称为e t l l e m e t p o n 或简称e p o n 。一个以太 化的无源光网络可以通过利用以太帧的集中和统计复用，再结合无源分路器对光 纤和光线路终端的共享作用，使成本可望比传统的以电路交换为基础的 p d s d h 接入系统低2 0 一4 0 。 图2 2p o n 基本构成框图 p o n 中的上行接入可以使用t d m a 、w d m 、c d m a 等多种技术，现在一 般采用t d m a 方式，因为这样可以使用较为简单的光器件，相对比较经济。典 型窄带p o n 系统的下行采用t d m ，丽上行采用1 d m a 技术，每一户可以有高 达2 m b ，s 的速率可用，其应用主要面向分散的中小企业和居民用户。 p o n 中o l t 到o n u 的下行信号传输比较简单，即采用时分复用的方式成 帧，通过无源的光分路器以广播的方式发送到各个o n u ，0 n u 收到信号后从中 提取时钟并取出属于自己那一部分信息。 2 3e t h e m e t 的发展过程 1 9 8 2 年1 2 月l e e e8 0 23 标准的出现，标志着以太网技术标准的起步，同时 也标志着符合国际标准、具有高度互通性的以太网产品的面世。i e e e 8 0 23 标准 规定以太网是以1 0 m b i 眺的速度运行，采用载波侦听多路访问冲突检测( 简称 为c s m c d ) ”介质存取控制( 简称m a c ) 协议在共享介质上传输数据的技术。 不久以太网产品在局域网中得到了广泛的应用。 1 9 9 0 年，为了提高网络带宽，一种能同时提供多条传输路径的以太网设各 南京邮电学院硕士学位论文 第二章e p o n 技术及其发展 出现了，这就是以太网交换机，它标志着以太网从共享时代进入了交换时代。以 太网交换机是一个多端口网络设备，不仅将竞争信道的端口数减少到2 个，还支 持在几个端口同时传输数据，因此，它的出现，改变了共享式集线器多个端口共 享1 0 m b i “s 带宽的局面，显著地提高了网络的整体带宽。 1 9 9 3 年，全双工以太网的出现，又改变了以太网半双工的工作模式，不仅 使以太网的传输速度又翻了一番，彻底解决了多个端口的信道竞争。 1 9 9 5 年3 月，i e e e8 0 2 3 u 规范的通过，标志着以1 0 0 m b i “s 的速度运行的 快速以太网时代的来临。 1 9 9 8 年6 月，i e e e8 0 2 3 z 规范的通过，又使以太网进入到了高速网络的行 列，运行速度达到了1 0 0 0 m b i “s ( 即l g b s ) 。这标志着高速以太网时代( 或称 为千兆位以太网时代) 的到来，以快速以太网连接桌面，高速以太网连接核心的 高速局域网的轮廓已依稀可见了。 2 0 0 2 年6 月，i e e e8 0 2 3 a e 作为1 0 g b i t s 以太网( 万兆以太网) 标准获得正 式批准，以太网技术一直被当作局域网技术来使用，而万兆以太网有望成为最简 单、最快速以及最高性价比的骨干网络技术。这也是万兆以太网技术不同于以往 的以太网技术的一个突破性的进展。随着局域网、广域网和城域网的界线越来越 模糊，网络的统一成了大势所趋。在不需要大量网管的情况下，如何简单、经济 地将各个网络连接是一个急需解决的问题。 2 4e p o n 的由来 为了将以太网应用于接入网，人们提出了采用类似电话网星形布线的交换型 结构，此时业务将不再自动广播给所有计算机，而是由交换机根据其地址，经过 连接至特定计算机的双绞线传送给用户，这在一定程度上实现了计算机间的信息 隔离，同时解决了系统带宽问题。另外，以太网转向全双工传输，消除了链路带 宽的竞争，因而也就可以省掉传统以太网必需的c s m 刖c d 算法。由于采用专用 的无碰撞全双工链接，使以太网的传输距离有所扩展，在一定程度上，可以满足 接入网和城域网的应用需要。但是这种结构的传输介质仍为铜线，性能差，传输 距离有限，速率也上不去，另外采用星形布线，所用的双绞线数量多。 南京邮电学院硕士学位论文 第二章e p o n 技术及其发展 为此，在2 0 0 0 年1 2 月，以太网设备供应商提出了将p o n 以太网用于接入 网的标准研究计划，这种使用p o n 的以太网成为e p o n 。接着在i e e e8 0 2 3 里 成立了以太网接入研究组e f m ( e t h e m e ti n 也ef i r s tm i l e ) ，该组的目标是起草一 个标准，试图将现在广泛使用的以太网联网协议应用到接入网市场。目前已有 3 c o m 、a l l o p t i c 、a u r an e t w o r k s 、c d l 丫m o h a w k 、c i s c os y s t e m s 、d o m i n e ts y s t e m 、 i n t e l 、m c iw o r l d c o m 和w o r l dw i d ep a c k e t s 等6 9 个公司已经或将要参加这个组 织。除i e e e 研究组外，e p o n 提倡者还计划参加其它标准化组织，例如i t u t 和i e t f ( i n t e r n e te n g i n e e m g t a s kf o r c e ) 。g 9 8 3 关于a t m p o n ( 简称a p o n 的许多内容对e p o n 仍然有效，i e e e8 0 2 3e f m 组将参照f s a n 的有关内容集 中开发e p o n 的m a c 协议这是建立e p o n 标准的最快途径，几个大的公司如 c i s c o 和n o n e ln e 铆o r k s 在a p o n 的基础上开发e p o n 标准。 e p o n 与a p o n 相比，上下行传输速率比a p o n 的高e p o n 提供较大的 带宽和较低的用户设备成本，除帧结构和a p o n 不同外，其余所用的技术与g 9 8 3 建议中的许多内容类似，如下行采用t d m ，上行采用t d m a 。 e p o n 和a p o n 一样，可应用于f t t b 和f t t c ，最终的目标是在一个平台 上提供全业务( 语音、视频和数据) 接入。 可以预见，随着e p o n 标准的制定和e p o n 的使用，在w a n 和l a n 连接 时将减少a p o n 在a t m 和i p 协议间转换的需要。 2 5e p o n 的工作原理和关键技术概述 1 e p o n 技术的优势”1 i e e ee f m 工作组的目的是在现有i e e e 8 0 2 3 协议的基础上，通过较小的修 改实现在用户接入网络中传输以太网帧。e p o n 相对于现有类似技术的优势归纳 起来主要体现在以下几个方面： ( 1 ) 与现有以太网的兼容性。以太网技术，是迄今为止最成功和成熟的局 域网技术。e p o n 只是对现有i e e e 8 0 2 3 协议作一定的补充，基本上是与其兼容 的。随着e p o n 标准的制定和e p o n 的使用。在w a n 和l a n 连接时将减少a p o n 中存在a t m 和i p 协议间转换的需要。 南京邮电学院硕士学位论文 第二章e p o n 技术及其发展 ( 2 ) 高带宽。根据目前的讨论，e p o n 的下行信道为百兆千兆的广播方式， 而上行信道为用户共享的百兆千兆信道。这比目前的接入方式，如m o d e m 、 i s d n 、a d s l 甚至a p o n ( 下行6 2 2 1 5 5 m b w s ，上行共享1 5 5 m b i “s ) 都要高得 多。 ( 3 ) 低成本。e p o n 提供较大的带宽和较低的用户设备成本。首先，由于 采用p o n 的结构，e p o n 网络中减少了大量的光纤和光器件以及维护的成本， 降低了预先支付的设备资金和与s o n e t 及a t m 有关的运行成本。其次，以太 网本身的价格优势，如廉价的器件和安装维护使e p o n 具有a p o n 所无法比拟 的低成本。 ( 4 ) 为灵活和快速的服务重组提供了方便。提供了多层安全，例如限制用 户访问、支持虚拟专用网的v l a n 、i p 安全( i p s e c ) 等。最后，电信公司可以 通过在e p o n 体系结构上开发的广泛而灵活的服务来增加收入，例如管理防火 墙、语音交易支持、v p n 和i n t e m e t 接入等。 2 e p o n 的系统构成和工作原理 e p o n 采用的是点到多点的无源光网络，主要由o l t 、o d n 、o n u 组成， 由无源光分路器件将o u 的光信号分到各个o n u 。o l t 为o a n 提供网络侧接 口并连到一个或多个o d n ；0 m q 为o l t 和o n u 提供光传输手段，主要功能是 完成光信号的分配：o n u 为o a n 提供用户侧接口并和o d n 相连，其网络侧为 光接口，用户侧为电接口，因此需要光电转换功能，以及数模转换、复用解复 用、信令处理和维护管理功能；a f 为适配功能。 e p o n 系统通常采用总线型( b u sp o n ) 、树型( 1 r c ep o n ) 或环型( r i n gp o n ) 拓扑结构。1 ，如图2 3 所示： 图2 _ 3 e p o n 的拓扑结构 南京邮屯学脘硕士学位论文 第二章e p o n 技术及其发展 在e p o n 中表现为o l t 以由e t h c m e t 帧组成的下行帧的形式向o n u 发送 信息，每个0 n u 收到全部的数据流，然后根据o n u 的媒体访问控制( m a c ) 地址提取出特定的数据包。如图2 4 所示： 图24e p o n 下行数据流示意图 e p o n 的上行信道则采用较为复杂的时分多址技术，将上行信道划分为若干 时隙，每个时隙内安排一个o n u 发送一个上行分组，即由o l t 安排o n u 按照 一定的】峨序依次向上发送e n ”m e t 数据帧，如图25 所示。为了保证各个0 n u 发送的数据包在上行传送时不发送相互的碰撞，需要严格对各个o n u 的发送进 行定时。由于各个o n u 到o i j 的物理距离不同以及环境因素不同，各个o n u 到o l l 的传输延时和信号衰减程度是不同的，所以除了要进行测距以便对各个 o n u 的上行发送时刻进行规定以外，还要在o u 端采用突发模式的光接收机， 在每个o n u 的上行分组( e t h e m e t 帧) 的最先几个比特到达时根据其幅度动态 地决定合理的信号判决门限。同时，o l t 端也必须使用快速比特同步的技术，以 便在上行分组到达时迅速建立提取信号所需的时钟相位。 图2 5 e p o n 上行数据漉示意图 3 e p o n 关键技术概述“”1 基于以太网技术的e p o n 宽带接入网，与传统的用于计算机局域网的以太 网技术不同，它仅采用了以太网的帧结构和接口，而网络结构和工作原理完全不 同。e p o n 的实现涉及到许多关键的技术，下面分别作介绍 南京邮电学院硕士学位论文 第二章e p o n 技术及其发展 ( 1 ) 上行多址接入技术 时分多址复用方式又可以采用固定时隙的时分多址复用、统计时分多址复 用、随机接入等方式。固定时隙时分多址复用方式的不足之处有：当其中有的时 隙未用时，还是占用一样的带宽：对高突发率业务适应力不强；o n u 需要同步。 随机接入没有确定的接入时间：由于采用c s m a c d ，故有传输距离的限制。而统 计时分多址复用可以克服前两者的不足，所以一般都选择采用统计时分多址复 用。上行信号传输在o n u 被分配到的时隙里发送以太网帧，统计复用通过提供数 据量的大小来改变时隙大小的方法来实现。 时分多址( t d m a ) 的实现方法是重点，即如何使用t d m a 的方法使上行信道 的带宽利用率、时延和时延抖动等指标达到要求。其中，上行带宽的分配方法、 o n u 发送窗口固定还是可变、最大的0 n u 发送窗口应为多大、o n u 发送窗口的间 隔、以太网帧是否切割等问题都是需要研究确定的。 由于数据视频业务流是自相似的，不存在最佳大小的固定时隙，故流量聚 合也不能起多大作用。突发包大小分布为长相关性( 大的拖尾) ，即大多数突发 包都比较小，但绝大多数都是有大量的突发包同时出现。 ( 2 ) 测距和o n u 数据发送时刻控制“” p o n 上行传输采用t d m a 方式接入，一个0 l t 可以接1 6 6 4 个o n u ， o n u 至o 【t 之间的距离最短的可以是几十米，最长的可达3 0 公里。光在光纤 上传输，每公里的传输延时约为5us ；由于环境温度的变化和器件的老化，传 输延时也在不断的变化。为了实现t d m a 接入，保证每一个o n u 的上行信号 在公用光纤汇合后，插入指定的时隙，彼此间既不发生碰撞，也不要间隙太大， o l t 必须不断地对每一个o n u 与o l l 、的距离进行精确测定，以便控制每个o n u 发送上行信号的时刻。g 9 8 3 1 建议要求测距精度为l b i t o 测距过程一般是这样的，首先o l t 发出一个测距信息，该信息经过o l t 内 的电子电路和光电转换延时后，光信号进入光纤传输并产生延时，然后到达 o n u ，经过o n u 内的光电转换和电子电路延时后，又发送光信号到光纤并再次 产生延时，最后到达o l t ，o 【t 把收到的传输延时信号和它发出去的信号相位 进行比较，从而获得传输延时值。o 【t 以离自己最远的o n u 的延时为基准，可 以算出每个o n u 的延时补偿值t d ，并通知0 n u 。该q u 在收到o l t 允许它 南京邮电学院硕士学位论文 第二章e p o n 技术及其发展 发送信息的授权后，经过延时补偿值t d 后再发送自己的信息，这样各个0 n u 采 用不同的补偿延时t d 调整自己的发送时刻，以便使所有0 n u 到达o l t 的时间 都相同。 ( 3 ) 同步时钟提取和突发同步 出于e p o n 上行信道是所有o n u 分时复用的，每个o n u 只能在指定的时 间窗口内发送数据。因此，e p o n 上行信道中传输的是突发信号，这就要求在 o n u 和o l t 中使用支持突发信号的光器件。现有的大部分光器件还不能满足这 一要求，少数突发模式的光器件也只能工作在1 5 5 m b i “s 的速率上，目前虽有能 工作在1 g b p s 上的突发器件，但价格过于昂贵。为了实现突发模式，在收发端 也要采用特别的技术。光突发发送电路要求能够快速地开启和关断，迅速建立信 号，因而传统的电光转换模块中采用的反馈型自动功率控制将不适用，并且需要 使用响应速度很快的激光器。而且由于p o n 上每个0 n u 到o l l 的距离各不相 同，所以每个o n u 到o l l l 的路径传输损耗也互不相同，在所有o n u 的发送光 功率相同的情况下，到达o u l 后的光功率就互不相同，显然0 u 的上行光接收 机不能采用传统的a g c 办法，而必须采用特殊办法来保证能够接收足够大的动 态范围光功率。可以说，这是e p o n 技术面临的一大问题，但是，目前已有厂 商研制并推出了满足e p o n 要求的光器件，相信随着e p o n 标准的制定，会有 更多的产品出现。 此外，突发模式的上行信号会引入光放大器的“浪涌”效应。e d f a 输出会 达到数瓦，这种高功率有可能“烧坏”光连接器和接收枫。 ( 4 ) 实时业务传输质量 传输实时语音和视频业务对传输延时和延时抖动要求很高。由于以太网技术 的固有机制，不提供端到端的包延时、包丢失率以及带宽控制能力，因此难以支 持实时业务的服务质量。如何确保实时语音和i p 视频业务的服务质量是一个亟 待解决的问题。e p o n 倡导者准备从几个方面着手解决这个问题“。其中一种实 现技术是采用d i f f s e r v 厂r o s 字段，1 o s 字段提供3 p 沁共8 个优先级，从而保证 数据包按照重要程度传输；另一种技术叫做资源预留( r s v p ) ，它提供了一条开 放的高速通道，专门用来传输高优先级的语音业务，以便确保p o t s 业务的质量。 与实时业务传输质量密切相关的就是带宽分配问题，分配给每个o n u 的上 1 2 南京邮电学院硬士学位论文第二章p o n 技术及其发展 行接入带宽由o l t 控制决定，它与分配给o n u 的窗口大小和上行传输速率有关。 下行带宽也受下行传输速率限制。带宽分配又分静态和动态两种，静态带宽由开 的窗口尺寸决定，动态带宽则根据0 n u 的需要向o l t 发出请求，由o l t 发送 授权信息分配带宽。 ( 5 ) 安全机制 e p o n 由于其共享型的网络拓扑机构，存在着各种安全隐患，因此需要提供 各种安全业务，这也正是本文主要论述的问题，在此就不再赘述。 南京邸i 色学院碗士学位论文 第三章e p o n 中的安全问题和安全业务 第三章e p o n 中的安全河题和安全业务 3 1 网络安全基础 网络的诞生，为人类交换信息，促进科学、技术、文化、教育、生产的发展， 对提高现代人的生活质量提供了极大的便利。但同时网络也是一把“双刃剑”， 也给国家、单位和个人的信息安全带来了极大的威胁。由于网络的全球性、开放 性、无缝连接性、共享性、动态性，使得任何人都可以自由的利用各种网络，其 中有善者，也会有恶者，而这些恶者将会采用各种攻击手段进行破坏活动。 各种信息、信息资产以及信息产品对于我们的日常生活及我们所生活的这个 世界是至关重要的。加强网络安全的必要性可以从经常见诸各种媒体的具体发生 的安全事件中得到证明；另一方面，我们注意到各种公开报道的安全事件，由于 各种原因，实际上只是实际发生中的很少的一部分，据专家估计，由网络攻击者 所造成的实际的经济损失每年将高达1 5 0 亿美元1 。 由于现实中存在的各种强有力的密码分析方法及各种攻击手段，人们不得不 考虑采用复杂的防护措施的成本。然而，由于通信技术的发展存在下面三种主要 趋势，使人们对成本的考虑已放在次要的地位，而将通信安全方面的考虑提高到 越来越重要的位置上： ( 1 1 系统互联与网络互联数量的日益增长，使任何系统都潜在地存在着已知 或未知用户对网络进行非法访问的可能性。 ( 2 1 人们越来越多的使用计算机及各种网络产品来传送安全敏感的信息。例 如，人们用计算机网络进行电子金融汇兑( e f t ) 、商业数据交换、政府秘密信 息传递等等。 f 3 1 对攻击者来说，可以得到的技术越来越先进，并且这些技术的成本在不 断的下降，从而使密码分析技术的工程实现变得越来越容易a 网络安全的根本在于保护网络中的信息免受各种攻击，因此我们有必要了解 信息安全的表征参数，各种安全威胁以及各种基本防护措施a 信息安全有两层内容，一是信息系统的安全，二是信息的安全，而保护信息 的安全则是最终的目标。信息的安全性通常由保密性、完整性、可用性和可控性 1 4 南京邮电学院硕d 上学位论文 第三章e p o n 中的安全问题和安全业务 等四个参数来表示。 ( 1 ) 保密性( c o n f i d e m i a l i t y ) 所谓保密性，即利用加密技术对敏感信息进行加密处理，同时采用抑制、屏 蔽等措施，以防电磁泄漏，保证信息不泄漏给非授权的个人和实体，只有合法用 户才能利用。这是信息系统安全性最重要的要求。通常涉及以下内容：加密体制、 密钥管理、传输管理、传输加密保护、存储加密保护、防止电磁信息泄漏等。 ( 2 ) 完整性( i n t e g r i t y ) 所谓完整性，即防止信息在存储或传输过程中被非法复制、修改、丢失和破 坏等，以保证信息的正确性、有效性、一致性。保证信息完整性是信息安全性的 又一个基本要求。通常信息系统的完整性包括：软件完整性、数据完整性、存储 媒体的完整性及信息交换过程中的数据完整性。 ( 3 ) 可用性( a v a i l a b i l i 奶 所谓可用性，一方面要防止未授权者进入系统访问，窃取或破坏信息资源， 另一方面应保证合法用户能够访问和有权访问的信息及信息系统。在网络环境 下，破坏网络和有关系统的正常运行，就属于对可用性的攻击。通常对可用性的