一种基于MD5校验和AES加密的TWDM-PON系统物理层安全方法与流程
本发明属于通信技术领域,尤其涉及一种基于md5校验和aes(advancedencryptionstandard,高级加密标准)加密的twdm-pon(timeandwavelengthdivisionmultiplexing-passiveopticalnetwork,时分和波分复用无源光网络)系统物理层安全方法。
背景技术:
接入网技术具有覆盖面广、能准确知悉用户需求和低成本的特点。它既是连接用户和核心网络的桥梁,也是整个通信网可以健康高速发展的不可或缺的一部分。随着用户对带宽需求的持续增加,下一代接入网需要更加先进的调制技术和接入技术。twdm-pon是下一代无源光网络主流技术方案,这种技术不仅能提供高带宽,而且其成本适宜、高扩展性的接入需求等优势也受到了越来越多的关注。然而,在接入网技术大力发展的同时,网络安全性问题日益突出。为保证光接入网安全,主要措施为上层加密和物理层加密两类。但是上层加密存在两大问题:其一是上层加密无法保证报头或者控制信息的安全性,其二是上层加密的密钥管理十分复杂。物理层加密可以对所有的数据进行加密,并且物理层加密方式具有灵活、复杂度低、易于实现等优势,因而受到广泛的关注。物理层的加密方法有异或门扰乱、光编码、分组密码等。传统的异或门可以通过暴力破解,光编码面临多用户干扰和编码空间问题,无法满足未来高速网需求,des加密算法是分组加密算法中公开密码算法的先例,其安全性来源于破解密码计算上和时间上的困难性,然而计算机网络技术飞速发展,实验证明,有着56bit密钥的des已经不能作为可靠的加密算法应用在实际工作中了。鉴于此,aes算法应运而生,该算法密钥长度为128bit,192bit,256bit,是des算法的替代品,具有安全、高效的良好性能,因此,该算法具有较高的开发潜力。
技术实现要素:
本发明旨在解决以上现有技术的问题。提出了一种基于md5校验和aes加密的twdm-pon系统物理层安全方法。本发明的技术方案如下:
一种基于md5校验和aes加密的twdm-pon系统物理层安全方法,其包括以下步骤:
步骤1:在olt(光线路终端)中,产生多路实值的ofdm(正交频分复用)信号,每一路数据的比特流都来源于一幅图片的灰度值,对需要发送的比特流,计算出比特数据的md5值,md5是分组处理原文的信息,每512位为一组,每组16×32位进行计算,直到处理完所有的信息;
步骤2:对每路比特数据置乱后进行aes加密;
步骤3:对经过步骤2加密过后的比特数据进行ldpc编码,ldpc编码是以校验矩阵为前提,再由校验矩阵获得生成矩阵,生成矩阵再产生不同的码字;
步骤4:对经过步骤3编码处理过后的比特数据依次进行mqam和ofdm调制,再将加密的ofdm信号进行上采样、数模转换、滤波器滤波在内的操作,最后采用马赫增德尔调制器将电信号调制到光载波上,进而发送到光纤信道上传输;
步骤5:在接收端onu处,将接收到的光信号经过热调制fp滤波器进行滤波,选择合适的波长接收符合条件的光信号,接着传入光电转换器中将光信号转换成电信号,再对电信号加以与发送端相反的操作,依次为:滤波器滤波,模数转换,下采样,ofdm解调和mqam解调;
步骤6:对经过步骤5处理过后的比特数据进行ldpc解码;
步骤7:对经过步骤6处理过后的比特数据进行aes解密和解置乱,密钥扩展过程相同,然后根据密钥进行解密,解密操作过程是步骤2中加密过程的逆向操作,包括:逆向行移位、逆向字节代替、轮密钥加、逆向列混淆;
步骤8:最后,针对经过以上处理过后的比特数据,再计算其md5值,比较发送端和接收端的两次md5值,如果相同说明接收端接收到的数据完全正确,否则说明信息在传输过程中已经被窃取和篡改,用户端应该立即丢弃,其中onu和olt中相应的密钥相同。
进一步的,所述步骤1计算出比特数据的md5值:
步骤1-1:首先要对原文进行填充,保证扩展后数据长度是512个位的整数倍,填充方式如下:
(原文+n+64)%512=0(1)
其中64表示原文的长度对应64位数据信息,n表示原文填充方式中的n表示需要在原文后面添加多少位,一般添加1个1或n个0;
步骤1-2:在md5的计算过程中,需要引入初始链接变量,将其作为该算法的初始值。如果链接变量发生变化,那么同一段原文数据所计算出来的md5值也大不相同。因此,采用相同的初始链接变量和4个函数,保证了md5计算方法的前提是一致的,下面再来分析计算。将数据分组后,每512位为一组,每组16×32位进行计算。计算过程包括4轮主循环,每进行一轮计算都要使用四个函数对这16个数字进行一次处理。循环结束后,即可生成一列128bit的校验值。
进一步的,所述步骤2对每路比特数据置乱后进行aes加密,具体包括以下步骤:
步骤2-1:aes加密时,首先,发送端生成一个4×4的矩阵作为密钥,并对这16个字节进行密钥扩展操作,当为128比特,对应轮数为10时,aes密钥扩展具体算法,步骤如下:
步骤2-1-1:将初始密钥以列为主,转化为4个32bits长度的字,分别记为w[0,…,(nk-1)],其中w表示密钥矩阵,nk表示初始密钥矩阵的列重;
步骤2-1-2:这里将按照如下方式来依次求解w[j],其中,j是整数并且属于[4,k],k=nk×(nr+1),其中nr表示aes加密算法中的轮数,k表示扩展密钥矩阵的总列数,w[j]表示密钥矩阵的第j列;
步骤2-1-3:若j%4=0,则
步骤2-2:接下来加密过程,加密过程依次是:字节代替、行移位、列混淆和轮密钥加。其中字节替换功能是通过s盒完成一个字节到另一个字节的映射;行移位的功能是实现一个4×4矩阵内部字节之间的置换;列混淆功能是利用有限域上算术特性的一个代替;轮密钥加功能是:加密过程中,每轮的输入与密钥异或一次(当前分组和扩展密钥的一部分按位异或)。
进一步的,所述步骤3ldpc码校验矩阵的构造步骤如下:
首先生成一个全0矩阵,然后随机地将每列中的j个0置换成1,每行当中的k个0置换成1;
进一步的,当采用代数构造法生成一个无4环的规则(n,j,k)ldpc码的校验矩阵hm×n时,其中(n,j,k)中n表示ldpc编码生成码字位数,j表示ldpc编码校验矩阵的列重,k表示代数构造法中选取的参数个数;m表示ldpc码校验矩阵中的m表示校验节点的个数(校验方程数)。步骤3-1:选取k个素数p1,p2,…,pk且p1>p2>…>pk>2;(pi,m)=1,i=1,2,…k;代数构造法中k个参数的选取方法,先获取1张素数表,然后将其从小到大排列,接着划去大于m/2的素数,并划去与m不互素的数,然后选定两个较小的素数q1,q2,计算l1=2q2+q1,l2=2q2-q1,l3=2q1+q2,l4=2q1-q2,l1、l2、l3、l4表示素数选取过程中的中间参量。假设其中,li为素数,则将其去掉,并从表中再选择下一个小素数,记为q3,然后从已选定的素数中选取一个作为q,令q2=q3,q1=q,在计算一次li,如果为表中的素数,又将其从表中划去,重复这一过程,直到选定k个素数为止;
步骤3-2:把m个校验节点编号为0,1,…,(m-1),依次均匀地放在一个圆上;
步骤3-3:任意选择一个校验节点i,以pi为步长顺时针移动(m-1)次,连同节点i共计依次走过m各点,记为posi,把其中的点依次排列组成一个序列pos,这样就结束了一次循环;
步骤3-4:依次取素数pa,a=2,3,…,k,重复第三步;
步骤3-5:将pos中的m×k个元素按每j个一组进行划分,每组对应一个变量节点xi与eji,eji+1.eji+2,…,eji+j-1相连,完成了无4环规则ldpc码的h构造。
进一步的,所述步骤4对经过步骤3编码处理过后的比特数据依次进行mqam和ofdm调制,再将加密的ofdm信号进行上采样、数模转换、滤波器滤波在内的操作,最后采用马赫增德尔调制器将电信号调制到光载波上,进而发送到光纤信道上传输,具体包括:上采样的方法有插值法、转置卷积(又称为反卷积),我们常常用到的是插值法。数模转换器有权电阻网络数模转换器、权电流型数模转换器、权电容网络数模转换器、开关树型数模转换器。滤波器可以根据我们的设计方法划分为:巴特沃茨(butterworth)滤波器,切比雪夫(chebyshev)滤波器,椭圆(ellipse)滤波器等。马赫增德尔调制器既可以实现光信号强度调制,又可以实现光信号的相位调制,而且还可以根据信号的要求调整马赫增德尔调制器的偏置点。
本发明的优点及有益效果如下:
基于md5校验和aes加密的twdm-pon系统物理层安全方法,其优点在于(1)通过比较发送端和接收端比特数据的md5值确定数据的唯一性;(2)通过128位的aes加密增加了数据的安全性,并在一定程度上降低到了暴力破解的风险;(3)通过ldpc校验矩阵对接收端的数据进行纠错,提高数据的准确性。
附图说明
图1是本发明提供优选实施例为twdm—pon下行通信的原理图;
图2为基于md5校验和ldpc码的aes加密原理图;
图3为aes算法步骤图;
图4为aes密钥扩展原理图;
图5为非法onu与合法onu的加密和解密图片;
图6为发送端和接收端的md5值。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、详细地描述。所描述的实施例仅仅是本发明的一部分实施例。
本发明解决上述技术问题的技术方案是:
本发明中是在目前国内外对于twdm-pon的物理层安全性问题的研究少之又少的情况下。就twdm-pon的安全性增强技术提出了一种基于md5校验和aes加密的twdm-pon系统物理层安全方法。图2为基于md5校验和ldpc码的aes加密原理图。
本实例中参数设置rc={00,01,02,04,08,10,20,40,80,1b,36};nk=4,nr=10,
本实施例中涉及到的已知参数和变量定义如下:
rc:是一个一维数组;
n:原文填充方式中的n表示需要在原文后面添加多少位,一般添加1个1或n个0;
nk:初始密钥序列的列重
nr:aes加密算法中的轮数;
w[0,…,(nk-1)]:密钥矩阵;
(n,j,k):n:ldpc编码生成码字位数;j:ldpc编码校验矩阵的列重;k:代数构造法中选取的参数个数;
m:ldpc码校验矩阵中的m表示校验节点的个数(校验方程数)。
本实例中函数g的流程说明(图4aes密钥扩展原理图中有g函数相关流程):
(1)将w循环左移一个字节;
(2)分别对每个字节按s盒进行映射;
(3)与32bits的常量(rc[j/4],0,0,0)进行异或。
本实例中ldpc码是一种低密度的线性分组纠错码,使用简单方便,易于理解,可以用稀疏校验矩阵h进行描述,且使用的ldpc码为正则ldpc码,正则ldpc码的校验矩阵h满足下列三个条件:
(1)h矩阵的每行“1”的个数是和k相等;
(2)h矩阵的每列“1‘的个数是和j相等;
(3)与h矩阵的行数和列数相比,k和j都很小。
根据上述场景设置及参量定义,如下是本发明的实现步骤:
步骤1:在olt中,在matlab中产生4路实值的ofdm信号。每一路数据的比特流都来源于一幅图片的灰度值。对需要发送的比特流进行一次计算,计算出比特数据的md5值。md5是分组处理原文的信息,每512位为一组,每组16×32位进行计算,直到处理完所有的信息,具体步骤如下:
步骤1-1:首先要对原文进行填充,保证扩展后数据长度是512个位的整数倍,填充方式如下:
(原文+n+64)%512=0(1)
其中64表示原文的长度对应64位数据信息;
步骤1-2:在md5的计算过程中,需要引入初始链接变量,将其作为该算法的初始值。如果链接变量发生变化,那么同一段原文数据所计算出来的md5值也大不相同。因此,采用相同的初始链接变量和4个函数,保证了md5计算方法的前提是一致的,下面再来分析计算。将数据分组后,每512位为一组,每组16×32位进行计算。计算过程包括4轮主循环,每进行一轮计算都要使用四个函数对这16个数字进行一次处理。循环结束后,即可生成一列128bit的校验值。
步骤2:对每路比特数据置乱后进行aes加密。图3为aes算法步骤图,aes加密具体步骤如下:
步骤2-1:aes加密时,首先,发送端生成一个4×4的矩阵作为密钥,并对这16个字节进行密钥扩展操作,图4为aes密钥扩展原理图,aes密钥扩展具体算法(以128比特为例,对应轮数为10)步骤如下:
步骤2-1-1:将初始密钥以列为主,转化为4个32bits长度的字,这里将它们分别记为w[0,…,(nk-1)];
步骤2-1-2:这里将按照如下方式来依次求解w[j],其中,j是整数并且属于[4,k],k=nk×(nr+1);
步骤2-1-3:若j%4=0,则
步骤2-2:接下来加密过程,加密过程依次是:字节代替(subbytes)、行移位(shiftrows)、列混淆(mixcolumns)和轮密钥加(addroundkey)。
步骤3:对经过步骤2加密过后的比特数据进行ldpc编码。ldpc编码是以校验矩阵为前提,再由校验矩阵获得生成矩阵,生成矩阵再产生不同的码字。因此,设计校验矩阵也是ldpc码编码的关键。ldpc码校验矩阵的一般构造步骤如下:首先生成一个的全0矩阵,然后随机地将每列中的j个0置换成1,每行当中的k个0置换成1。但是置0还置1的过程中,有两种情况是必须要避免的:一种情况是在h矩阵构造时要避免4环以及短环的存在。小循环会对系统性能带来不良的影响,应该将其去除。另一种情况就是比特节点所连接的校验方程过于集中,如果这些特节点都出错时,校验方程都不能检测出错误的存在。对于计算机仿真来说,最简单最实用的是代数构造法。
下面假设生成一个无4环的规则(n,j,k)ldpc码的校验矩阵hm×n,当j<m时,采用以下步骤获得h矩阵:
步骤3-1:选取k个素数p1,p2,…,pk且p1>p2>…>pk>2;(pi,m)=1,i=1,2,…k。代数构造法中k个参数的选取方法,先获取1张大小合适的素数表,然后将其从小到大排列,接着划去大于m/2的素数,并划去与m不互素的数,然后选定两个较小的素数q1,q2,计算l1=2q2+q1,l2=2q2-q1,l3=2q1+q2,l3=2q1-q2,假设其中,li为素数,则将其去掉,并从表中再选择下一个小素数,记为q3,然后从已选定的素数中选取一个作为q,令q2=q3,q1=q,在计算一次li,如果为表中的素数,又将其从表中划去,重复这一过程,直到选定k个素数为止;
步骤3-2:把m个校验节点编号为0,1,…,(m-1),依次均匀地放在一个圆上;
步骤3-3:任意选择一个校验节点i,以pi为步长顺时针移动(m-1)次,连同节点i共计依次走过m各点,记为posi。把其中的点依次排列组成一个序列pos,这样就结束了一次循环;
步骤3-4:依次取素数pa,a=2,3,…,k,重复第三步;
步骤3-5:将pos中的m×k个元素按每j个一组进行划分,每组对应一个变量节点xi与eji,eji+1.eji+2,…,eji+j-1相连,完成了无4环规则ldpc码的h构造。
步骤4:对经过步骤3处理过后的比特数据再进行16qam和ofdm调制。再将加密的ofdm信号进行8倍上采样、数模转换、滤波器滤波的操作,最后采用马赫增德尔调制器将电信号调制到光载波上,进而发送到光纤信道上传输;
步骤5:在接收端onu处,将接收到的光信号经过热调制fp滤波器进行滤波,选择合适的波长接收符合条件的光信号,接着传入光电转换器中将光信号转换成电信号,再对电信号加以与发送端相反的操作,依次为:滤波器滤波,模数转换,8倍下采样,ofdm解调和16qam解调;
步骤6:对经过步骤5处理过后的比特数据进行ldpc解码(可采用置信传播算法);
步骤7:对经过步骤6处理过后的比特数据进行aes解密和解置乱,密钥扩展过程相同,然后根据密钥进行解密,解密操作过程是步骤2中加密过程的逆向操作,包括:逆向行移位、逆向字节代替、轮密钥加、逆向列混淆;
步骤8:最后,针对经过以上处理过后的比特数据,再计算其md5值,比较两次md5值,如果相同说明接收端接收到的数据完全正确,否则说明信息在传输过程中已经被窃取和篡改,用户端应该立即丢弃。其中onu和olt中相应的密钥相同。
根据上面的实施例,在合法onu接收方采用正确密钥,非法onu采用错误密钥,比较解密之后数据恢复的图片。
图5为非法onu与合法onu的加密和解密图片。图(a)中的四个图像从左到右依次是原始图像,加密前在olt上的映像,加密获得图像,具有错误密钥的非法onu所显示的图像。图(b)中四个图像从左到右依次是原始图像,加密前在olt上的映像,加密获得图像,具有正确密钥的合法onu所显示的图像。由此可以看出加密后的图像若使用非法onu接收,即没有使用正确的密钥解密,则无法逆向计算得到原始数据,也就出现了无法正确接收到原始图片的现象。若使用合法onu接收数据,即使用与加密相同的密钥进行解密,则可以逆向计算得到原始数据,则可以完全接收到原始图片。
图6为发送端和接收端的md5值。通过验证,合法用户用该加密方法计算出来的发送端和接收端md5值相同,即收发双方信息无误差,传输过程中没有被篡改,接收端可以放心接收信号。因为使用md5校验的目的是检查所接收到的文件是否为原始数据。在十几万甚至几百万个比特中,即使有一个比特被改动,收发双方的md5校验值也会大不相同。结果说明:基于md5校验和aes加密的twdm-pon系统物理层安全方案能够有效增强系统的安全性。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitorymedia),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上这些实施例应理解为仅用于说明本发明而不用于限制本发明的保护范围。在阅读了本发明的记载的内容之后,技术人员可以对本发明作各种改动或修改,这些等效变化和修饰同样落入本发明权利要求所限定的范围。
- 还没有人留言评论。精彩留言会获得点赞!