格林威尔MS-EPON系统安全性分析与保证

关健 邓羽 孙曙和（格林威尔公司 100085）
摘要：本文分析了威胁MS-EPON系统安全性的主要因素；阐述了格林威尔MS－EPON系统采用搅动保证安全性的解决方案；论述了该解决方案的可行性。
关键字：MS-EPON、安全、搅动
1.引言
     格林威尔MS-EPON（Multi Service Ethernet Passive Optical Network）系统基于千兆以太网和无源光纤网络技术，提供多业务承载能力和电信级运营服务质量的宽带接入。该项目起源于国家高技术研究发展计划(863计划)课题任务合同——基于千兆以太网的宽带无源光纤网络系统。
    格林威尔MS－EPON产品的目标是通过建立一套成本低廉，且其带宽容量又是其他接入技术无法企及的端到端的解决方案，从而打破带宽的瓶颈，为终端用户提供可靠的数据，话音以及视频业务，其所能提供的带宽远大于现有接入技术。虽然有上述优点，但要作为公共网上满足用户和运营商的要求还必须解决一个重要问题——安全性问题，所以信息传输的安全保障是MS－EPON的关键技术之一。本文分析威胁EPON安全性的主要因素，有针对性地提出保证MS－EPON系统安全性的解决方案。
2.MS-EPON系统的安全性分析
    MS－EPON系统的安全性是指系统的信息安全，信息安全涉及到信息的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、可控性(Controllability)。 保密性就是保证信息不被泄漏给未经授权的人。 完整性就是防止信息被未经授权的篡改。可用性就是保证信息及信息系统确实为授权使用者所用。可控性就是对信息及信息系统实施安全监控。
    本文所分析的MS－EPON系统的安全性就是要确保MS－EPON系统的信息完整性、保密性、可用性和可控性。由于MS－EPON是PON技术和以太网技术的结合，我们就要针对PON和以太网的技术特点，以及EPON系统的应用环境和拓扑结构（如图1所示）来进行安全性分析。
 
                图1 EPON应用结构示意图
    如图1所示，MS－EPON系统采用星形拓扑结构，OLT是局端设备，ONU是用户端设备，对系统的控制、管理、维护功能都集中在OLT侧，不允许ONU之间直接进行通信，所以主要需要考虑ONU侧存在的安全性威胁或从ONU侧可能对系统进行的攻击。
1.保密性威胁：MS－EPON下行方向的数据采取广播形式（如图2a所示），每个ONU能接收到所有的下行数据，802.3ah标准中为每个连接设定LLID逻辑链路标识，每个ONU只能接收带有属于自己的LLID的数据包，其余的数据包丢弃不再转发。不过LLID主要是为了区分不同连接而设定的，ONU侧如果只是简单根据LLID进行过滤很显然还是不够的，因为传送的是标准的以太网帧，所以用户可以以某种方式不管LLID，而获取非本ONU的信息，信息的保密性收到威胁，这显然是运营商和用户所不愿看到的，为了隔离用户信息，保证每个ONU数据的私密性，需要在下行方向对每个ONU的数据进行加密算法；
2.完整性威胁：根据IEEE802.3ah草案，MS－EPON通过定义新的MAC控制帧和OAM帧来实现OLT与ONU的动态交互，包括：带宽请求、带宽授权、测距、P2P仿真、保护倒换等等。所定义的MAC控制帧和OAM帧的帧格式与以太网帧是一样的，由于以太网帧的结构对用户是透明的，同时ONU作为用户侧设备为用户提供以太网口接入，这样上行方向存在合法的用户通过数据通道伪造MAC控制帧或OAM帧，来更改系统配置或捣毁系统的威胁，比如用户可以通过能够做数据包的仪器（如以太网测试仪）伪造带宽请求帧，破坏系统的正常运行，为了保证系统的安全性，需要对MAC控制帧和OAM帧进行加密；
3.可用性威胁：考虑接入用户的合法性，要对用户进行认证管理、消息鉴权，目前的认证方式主要有WEB/Portal认证方式，PPPoE认证方式；802.1X认证方式。需要在高层实现，本文暂不考虑。

                  （a）下行  

                  （b）上行
                 图2 MS－EPON的上下行传输方式示意图
3.MS－EPON系统的信息安全保证
    参考G.983标准中对下行搅动的建议，根据MS－EPON的安全性需求和对实现代价的综合考虑，我们在MS－EPON系统中采用搅动方案来实现信息安全保证。通过对下行数据的搅动解搅动，保证用户信息的隔离，下行数据只有目的ONU可以接收；通过对上行MAC控制帧和OAM帧的搅动解搅动，防止用户通过数据通道伪造MAC控制帧或OAM帧，来更改系统配置或捣毁系统。本文所描述的方案是在二层实现的，主要针对前面叙述的前两种威胁，整个方案都通过FPGA实现。
3.1.MS－EPON系统的信息安全保证方案
3.1.1 搅动实现过程
    搅动过程包括OLT和ONU间密钥的同步和更新，下行搅动解搅动，上行搅动解搅动。
    我们通过定义新的OAM帧来实现OLT与ONU之间密钥的握手动态交互，包括：新密钥请求帧，新密钥确认帧，搅动失步通知帧。根据IEEE 802.3ah草案，OAM帧格式上包括了通用以太网帧格式中所有的域，通过唯一的类型标识符0x8809标识，并以2BYTE操控代码区分不同的OAM帧。
这三个OAM帧格式为：
Preamble DA SA Length/Type SubType Version Flags OAM Code OAM PDU FCS
8 6 6 (0x8809) 1(0x03) 1(0x01) 2 1(0x91)表示搅动 105 4
其中阴影部分表示它们的PDU部分，分别为有不同的定义： 
我们定义的搅动过程如下（如图3所示）：
1.OLT周期地向下广播发送“新密钥请求帧”（OLT每次所请求的新密钥的key值与当前所使用的密钥的key_state值相反）；
2.ONU收到来自OLT的“新密钥请求帧”后，根据PDU中与本ONU相对应的内容，随机产生搅动参数，计算出密钥，通过“新密钥通知帧”发送给OLT；
3.OLT收到正确的新密钥通知帧后，设置本地的搅动控制寄存器该ONU对应部分为有效，同时设置key值寄存器为相应的值（使用哪个密钥）。OLT在网管配置寄存器、搅动控制寄存器和key_state值寄存器的控制下对下行帧前导码的第五byte的低两位flag和key_state进行设置，并根据flag和key_state进行下行搅动；
4.ONU发现所收到帧前导码第五byte的flag位为搅动模式时，即知道握手成功，随即开始对上行控制帧和OAM帧进行搅动，使用和下行搅动相同的密钥。对OAM帧和控制帧将前导码第五byte的低两位flag和key_state进行相应设置，OLT侧可根据前导码判断该帧是否要进行解搅。
5.当由于某种原因导致OLT与ONU两侧的搅动码不一致后，此时ONU不能对下行数据正确的解搅动，在ONU侧连续检测到FCS错误。当然连续的FCS错误不一定是搅动码不一致引起，可以结合前导码中的CRC码进行判断，如果CRC计算正确，FCS错误则是搅动码不一致引起的；如果CRC计算错误，FCS错误则不一定是搅动码不一致引起的，要进行其它处理。连续检测到搅动码不一致引起的FCS错误后，ONU要首先停止上行搅动，同时向OLT发送搅动失步通知帧报告错误。OLT收到后，会对该ONU进行搅动的屏蔽，但依然以1秒为间隔发送新密钥请求帧，回到握手过程，等和ONU重新握手后恢复搅动处理。

             图3 搅动过程示意图
3.1.2 搅动对安全性威胁的解决
通过实现上面的搅动过程，就能解决EPON系统存在的安全性威胁，其中，在MS－EPON的下行方向（如图2），为了隔离用户数据，OLT侧根据下行数据的目的地的不同采用不同的密钥进行搅动处理，为了充分保密，除了保证搅动正常进行的前导码不搅动外，搅动区间为目的MAC地址到FCS域；在ONU侧，对接收到的数据的相应字段根据与OLT侧相一致的密钥，进行解搅动处理，恢复搅动之前的数据。通过这种方式，不同的ONU下行数据根据不同的搅动密钥进行了处理之后，使得不同ONU之间的下行数据互不相知，达到了保证ONU下行数据私密性的要求。

图4 下行搅动原理示意图
在MS－EPON的上行方向（如图3），为了防止用户假冒，ONU侧对MAC控制帧和OAM帧进行搅动处理，由于要判断帧类型，搅动区间为帧类型标识符0x8808或0x8809之后到FCS域，在OLT侧根据帧类型标识对控制帧和OAM帧的相应字段进行解搅动处理，然后进行FCS校验，如果正确则表明这是合法的控制帧，进行相关处理。如果出现FCS错误表明这是用户伪造的控制帧或者控制帧在线路上传输错误，应当丢弃，从而防止了合法用户伪造OAM帧或控制帧。

    图5 上行搅动原理示意图
3.2 MS-EPON系统安全性保证方案的有效性分析
1.对密钥的分析
    G.983规定的搅动算法是：用3byte随机数（X1-X8,P1-P16）作为搅动码，用搅动码根据固定算法生成10bit的辅助搅动参数K1到K10，这34个比特构成了一组搅动密钥，在搅动端利用P1到P8和K1到K10共18比特按照固定对8比特宽的数据流进行搅动，在解搅动端利用同样的18比特对8比特宽的经过搅动的数据流进行解搅动。
    产生有较好随机性的随机数是这个算法的关键，我们选用随机性较好的M序列，利用反馈移位寄存器产生，并从M序列中随机取3byte作为搅动码。
    根据密码学的原则加密算法是可以公开的，而密钥是保密的，EPON也是如此。EPON的搅动加密是单钥体制（对称密钥），即无论加密还是解密都使用同一个密钥。它的优点是：安全性高、加解密速度快。OLT和ONU双方通过握手和同步机制保证密钥同步，密钥是由OLT进行请求，ONU产生，上行发送给OLT的，不可能被用户截获。从连续不断运算的M序列中随机取3byte作为搅动码，1byte共有28＝256种可能组合，从中随机取3byte共有256×254×253＝16581120种组合，抗密码分析能力很强。
2.可认证性分析
    OAM帧和MAC控制帧关系到系统的正常运行，不光需要加密，还要求接收端具有验证的能力，使接收者能够识别和确认消息的真伪，实现这类功能的密码系统被称为认证系统。为此，在EPON系统中，OLT和ONU之间经过搅动的数据，在接收端，我们对前导码进行CRC校验，对搅动域进行解搅动操作，然后进行FCS校验，如果前导码的CRC校验结果正确，搅动域的FCS校验错误，则说明搅动错误或者该帧是用户伪造的数据，则应予以丢弃，这样就实现了EPON搅动加密的可认证性，保证了信息的合法性和真实性。
3. 密钥更新时间的分析
    根据信息安全系统的“动态化”的原则：整个系统内应该尽可能引入更多的可变因素。EPON搅动加密系统中的密钥是随机生成的，而且我们以较小的周期对其进行更新，这就增加了破解的难度。更新周期越小，安全性越高，但同时开销也就越大，实现复杂性也越大，每更新一次密钥，OLT要下行发送一个长度为136byte的OAM帧，每个ONU要上行发送136byte的OAM帧，以1秒为周期，下行开销是1088比特/秒，约占下行带宽的百万分之一，上行每个ONU的开销是1088比特/秒，假设某ONU带宽100M，约占其上行带宽的十万分之一。我们兼顾安全性、开销和实现代价而设定密钥更新周期为1秒。
    EPON系统OLT到ONU的比特速率是1.25Gbps，位宽是8bit，FPGA电路的工作频率是125M，周期是8ns。要想破解搅动加密，首先要知道密钥，其次需要高频的硬件解密电路实现解搅算法，而根据以上分析，搅动加密的设计使破译实际上是非常困难的。
4.小结
    MS－EPON系统存在安全性威胁，为了提高MS－EPON系统的安全性，我们采用搅动加密方案，在OLT到ONU的下行方向，我们对数据进行搅动解搅动，保证对用户数据的隔离。在ONU到OLT的上行方向，对ONU的MAC控制帧和OAM帧进行搅动解搅动，防止用户伪造它们以更改系统配置或破坏系统。本文论述了搅动加密过程实现的关键点——密钥生成算法、握手过程和对密钥一致性的保证。通过进一步对密钥算法、认证性和搅动关键参数的分析表明采用这种方案能有效地保证MS－EPON系统的安全性。通过实现本文的搅动加密方案，能够保证MS－EPON系统数据的保密性、完整性和可用性。

参考文献：
1.《EPON——掀开光纤接入的新篇章》  邓羽 孙曙和 陈雪 刘冬    
2.《宽带接入的认证管理方式分析》     陈晓涛
3. IEEE 802.3ah（EFM工作组文档） 
4.《网络信息安全与保密》，杨义先等 , 北京邮电大学出版社,1999