一种基于子载波挑选掩蔽的高安全非对称加密方法与流程

本发明涉及光传输通信技术领域，具体涉及一种基于子载波挑选掩蔽的高安全非对称加密方法。

背景技术：

近些年来，随着5g时代的到来，高清晰度电视、在线游戏以及云计算等宽带互联网应用飞速发展，这意味着通信网络需要更大的容量。而光接入网由于高带宽、低成本、带宽分配灵活等优点，被视为未来接入网的发展方向。其中，无源光网络(pon)作为连接核心网与用户端的新型光接入技术，被认为是未来宽带接入中最有前途的技术之一。由于pon广泛的应用支持以及灵活的资源分配等优势，已经有数以百万计的用户从其不断增加的带宽中收益。而正交频分复用技术(ofdm)作为多载波调制接入技术，由于其高光谱效率、色散容差以及均衡简单等优势，已被广泛应用于各种高容量通信业务。同时ofdm-pon技术也被广泛研究。但是由于pon结构相对简单以及业务交互频繁，ofdm-pon中的安全性成为了值得关注的问题。

在pon安全问题中，由于光处理技术具有速度快、传输容量大以及传输信息维度丰富等优点，光加密技术被认为是很有前途的从物理层提高安全性的方法。此外，由于ofdm信号具有方便的数字信号处理(dsp)特性，所以在物理层对ofdm-pon进行安全处理十分便捷可行。在提高物理层安全的方案中通常采用光隐写、异或置乱以及光码分多址等技术，但是光隐写技术在接收端的相干性和时延不适用于具有噪声特征的ofdm信号，而异或置乱容易被暴利破解，此外光码分多址由于较高的峰均功率比也不适用于ofdm信号。因此在ofdm系统中，通过对子载波或者符号进行扰动加密，是被广泛研究的安全方案。

由于dsp技术的高灵活性和稳定性，通过时域/频域扰乱、比特异或、子载波置换等加密方式，可以有效的将数字域加密技术引入到光加密方案上。目前对子载波加密的处理方式通常是利用混沌加密技术进行，利用混沌的随机性对载波序列进行扰动，使得加密后的信息序列与原有的信息序列具有较大的不相关性。由于混沌序列的特性，在使用混沌加密的方案中通常采用对称加密的方式，从而减小加密以及解密过程计算的复杂程度。在对称加密中，接收端与发送端是共享密钥的，这显然存在安全性的隐患，尤其是在pon中，接收端往往存在多个不同的用户单元。因此在pon中使用非对称加密是一种更可靠的加密手段，即发送端与接收端采用不同的密钥，每个用户使用独立的私钥，发送端用对应的公钥统一加密。

技术实现要素：

(一)解决的技术问题

本发明的目的在于提供一种基于子载波挑选掩蔽的高安全非对称加密方法，本发明基于rsa算法对ofdm-pon系统进行非对称加密，pon系统中不同的用户单元拥有独立的密钥，并且由用户端产生密钥发送到公共网络，加密与解密采用不同的密钥，极大的提升了用户通信的安全性，适用于多接收单元的ofdm-pon系统。

(二)技术方案

为实现上述目的，本发明提供如下技术方案：一种基于子载波挑选掩蔽的高安全非对称加密方法，具体包括以下步骤：

s1：将多个用户的数据分别经过无载波幅度相位调制(cap)由比特数据映射为符号数据；

s2：通过rsa算法生成公钥与私钥，公钥发送至光线路终端(olt)，私钥由用户保留；

s3：所述符号数据进入ofdm系统的子载波加密映射模块，通过生成的密钥在子载波加密映射模块内完成符号数据在子载波上的加密分配映射，完成加密过程；

s4：完成ofdm符号的映射加密后，再通过快速逆傅里叶变换(ifft)得到数字时域信号；

s5：插入循环前缀以阻止由于信道衰弱而引起的符号间干扰；

s6：最后通过数模转换成实时的信号波形，并调制到光信号上；光信号通过环行器后从光线路终端(olt)发送出，通过光纤链路后在由光分配节点(odn)分配到对应用户单元；

s7：在光网络单元(onu)中，信号光通过环行器后进入ofdm接收机，首先进行光电转换将光信号转换为电信号；再通过模数转换抽样，然后通过快速傅里叶变换(fft)后在频域上进行解调；在ofdm符号解映射单元，用户需要利用私钥进行解密后才能正确的提取符号并解映射；最后通过并串变换对基带信号进行处理恢复出原始数据。

进一步的，所述步骤s1具体包括以下步骤：多个用户的数据的二进制比特流r(k)通过星座映射将每4个比特映射为一个符号，一共映射为16种符号，接着输出一路复数信号a(i)之后在上采样单元根据滤波器的采样率进行m倍上采样获得复数信号a(n)；再将复数信号的实部与虚部分离成两路并行的实数信号，分别通过滤波器后得到两路波形，最后通过加法器单元将两路信号合并成一路实数信号后s(t)输出。

进一步的，所述步骤s2中的通过rsa算法生成公钥与私钥的过程具体包括：根据rsa算法，随机选择两个不相等的质数p、q，计算其乘积n，n的长度就是密钥的长度，一般取1024位(二进制)，接着根据欧拉函数计算出小于n的正整数中与n成互质关系的正整数的个数z，再随机选取一个与z互质的整数e，其中1<e<z，接下来需要计算出e关于z的模反元素d，即e与d的积除以z的余数为1，数学表达为e×d-1＝k×z，其中k为任意整数，用户端就可以获得公钥(n,e)和私钥(n,d)。

进一步的，所述步骤s3具体包括：在光线路终端(olt)，根据用户数量建立多个加密参数，建立足够大的参数用于加密，首先通过公钥对参数进行加密，通过对加密后的参数进行二进制转换，可以得到多组足够长的元素为01的加密序列，加密序列对子载波进行筛选分配，然后将数据加密映射到子载波上加密输出。

进一步的，所述光线路终端(olt)与光网络单元(onu)中都包含ofdm发送机与ofdm接收机。

(三)有益效果

本发明基于rsa算法进行非对称加密，与对称加密不同，能够在同一个加密的pon系统下，实现独立用户独立密钥；并且密钥由用户产生，用于解密的私钥仅用户知道，不用担心通讯泄露，是一种高安全的ofdm-pon加密方案。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明整体系统结构示意图；

图2为本发明cap调制流程图；

图3为本发明密钥生成流程图；

图4为本发明子载波加密映射模块流程图；

图5为本发明载波加密挑选示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

请参阅图1，本发明提供一种基于子载波挑选掩蔽的ofdm-pon高安全非对称加密系统模型主要由于光线路终端(olt)、光分配节点(odn)以及光网络单元(onu)组成。olt与onu中都包含ofdm发送机与接收机，odn由无源的光分束器构成。

整个ofdm-pon系统的工作流程为：多个用户的数据首先分别经过无载波幅度相位调制(cap)由比特数据映射为符号数据；之后进入ofdm系统的子载波加密映射模块，在该模块完成符号数据在子载波上的加密分配映射，加密过程在该模块完成；完成ofdm符号的映射后，通过快速逆傅里叶变换(ifft)得到数字时域信号，随后插入循环前缀以阻止由于信道衰弱而引起的符号间干扰；最后通过数模转换成实时的信号波形，并调制到光信号上；光信号通过环行器后从olt发送出，通过光纤链路后在由odn分配到对应用户单元；在onu中，信号光通过环行器后进入ofdm接收机，首先进行光电转换将光信号转换为电信号；再通过模数转换抽样，然后通过快速傅里叶变换(fft)后在频域上进行解调；在ofdm符号解映射单元，用户需要利用私钥进行解密后才能正确的提取符号并解映射；最后通过并串变换对基带信号进行处理恢复出原始数据。

各个模块的具体工作流程如下所述：

(1)cap映射单元

请参阅图2，本发明以16cap为例，调制的流程为：二进制比特流r(k)通过星座映射将每4个比特映射为一个符号，一共映射为16种符号，接着输出一路复数信号a(i),之后在上采样单元根据滤波器的采样率进行m倍上采样获得复数信号a(n)。再将复数信号的实部与虚部分离成两路并行的实数信号，分别通过滤波器后得到两路波形，最后通过加法器单元将两路信号合并成一路实数信号后s(t)输出。

(2)密钥生成单元

请参阅如图3，根据rsa算法，首先随机选择两个不相等的质数p、q，计算其乘积n，n的长度就是密钥的长度，一般取1024位(二进制)，接着根据欧拉函数计算出小于n的正整数中与n成互质关系的正整数的个数z。再随机选取一个与z互质的整数e，其中1<e<z，接下来需要计算出e关于z的模反元素d，即e与d的积除以z的余数为1，数学表达为e×d-1＝k×z，其中k为任意整数。至此，用户端就可以获得两组密钥(n,e)，(n,d)，前者作为公钥发送至olt，后者作为私钥自己保留。

olt收到公钥(n,e)后，设定一个足够大的值q，作为加密参数，将q转化为二级制序列[c1,c2,lcn]，利用该序列对原始信息进行加密，并同时对参数值q根据密钥进行加密，加密为q，其加密原理如q^e-q＝kn，即令q^e对n进行取余运算，余数则为加密后的q；p与k的加密过程同理。

(3)子载波加密映射单元

子载波加密映射是本发明系统中的核心单元，数据通过该单元实现加密，本单元的流程如图4所示。

首先由用户基于rsa算法生成公钥与私钥，将公钥上传到网络终端，私钥自己保留。在olt，首先根据用户数量建立多个加密参数，这里以三个用户为例，建立足够大的参数q,p,k用于加密。首先通过公钥对q,p,k加密，加密后的参数表示为q,p,k。通过对q,p,k进行二进制转换，可以得到三组足够长的元素为01的加密序列，用于对子载波进行加密。

在将cap符号映射到子载波上之前，我们先将参数q,p,k调制到多载波的首部，将其与数据一起传输。接着对多载波进行分组，首先将多载波分为三组，分别用于传输三组数据。接着将多载波与加密序列进行匹配，设其中一组载波的矩阵为[f1,f2,l,fn]，扰动矩阵为[c1,c2,lcn]，将矩阵中每个元素相乘，获得加密后的新序列[a1,a2,l,an]，其中当ci＝1时，ai＝fi，否则ai＝0。通过上述处理后，获得加密后的子载波序列[a1,a2,l,an]，序列中元素为0的项则表示不使用这个载波。通过对每一组载波进行相同处理后，所有载波则分为可使用与不使用两种状态，再将cap符号分别映射到标记为可使用的载波上，而标记为不使用的载波，我们对其加上噪声k，作为对真正信息的掩蔽。对载波处理的示意图如图5所示。通过加密后，输出的加密ofdm信号可以表示为：

其中，n表示子载波的总数，si表示第i个载波上的符号信息，ki表示噪声信息，fi表示载波频率。对信息的加密完成后，为了保证在有时延的情况下，ofdm符号仍然在fft周期内有整数倍的周期，需要对其增加循环前缀，即将一个ofdm符号后面一段数据进行复制，并且添加到整个符号的前面，构成一个循环结构。

信号通过数模转换后转化为连续的电信号，并通过光电调制器调制到光载波上进行传输。

(4)接收解密单元

加密ofdm信号通过olt中的环行器后进入光纤链路，根据odn中的分离器分配到对应onu，通过环行器后进入ofdm接收机。解调过程是加密过程的反向操作。即通过私钥(n,d)还原出扰动矩阵[c1,c2,lcn]，利用该扰动矩阵进行反向操作，讲置乱后的子载波再依次挑选出来。

首先通过光电转换后，将光信号转换为电信号，再通过模数转换，将模拟信号转化为数字信号，在数字域进行处理。通过快速傅里叶变换后，对子载波进行解映射处理。首先提取出子载波首部的信息q,p,k，根据用户的私钥(n,d)进行解密，解密的原理为q^d-q＝kn，即可根据加密后的参数反向算出原始参数。由于每个用户只拥有一个私钥，所以只能解出对应的扰动参数q/p/k，再根据扰动参数从加了噪声掩蔽的多载波中提取出属于自己的子载波序列，对序列上的符号进行数据判决解映射。

在本公开中参照附图来描述本发明的各方面，附图中示出了许多说明的实施例。本公开的实施例不必定义在包括本发明的所有方面。应当理解，上面介绍的多种构思和实施例，以及下面更加详细地描述的那些构思和实施方式可以以很多方式中任意一种来实施，这是因为本发明所公开的构思和实施例并不限于任何实施方式。另外，本发明公开的一些方面可以单独使用，或者与本发明公开的其他方面的任何适当组合来使用。

以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节，也不限制该发明仅为的具体实施方式。显然，根据本说明书的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。