CN111404661B - 一种光物理层混沌安全接入方法 - Google Patents

Abstract

本发明公开了一种光物理层混沌安全接入方法，设置OFDM信号传输时经过QAM调制和OFDM子载波分配后所得到的数据矩阵DATA的子矩阵划分方案，得到N个子矩阵，然后设置M个等级的混沌加密算法，令每个子矩阵分别从M个等级的混沌加密算法中选择一个等级的算法进行加密，得到M^N种加密方案，计算每种加密方案的复杂度权值和，根据复杂度权值和对加密方案进行分组，当光网络单元ONU需要接入时，首先和光线路终端OLT确定安全等级，在对应安全等级的加密方案中选择一个加密方案，对数据矩阵进行划分后采用所选择加密方案进行加密后发送。本发明采用分级加密方案，实现了针对不同安全需求的加密，同时提高了用户信息加密的效率。

Description

一种光物理层混沌安全接入方法

技术领域

本发明属于光接入网技术领域，更为具体地讲，涉及一种光物理层混沌安全接入方法。

背景技术

随着互联网产业的迅速发展，大规模数据信息从人们的日常生活、社会生产以及机构运行中产生并在网络中传播。信息化广泛而深入地改变了人们的生活，提高了社会效率，推动了经济发展，但网络安全带来的威胁和挑战也不容小觑。近年来，个人、企业乃至国家层面的网络安全事件层出不穷。在严峻的安全挑战下，国家政策也做出了明确指示，网络安全法律也得到了不断完善。

接入网作为网络安全中的重要一环备受关注，而接入技术以具有带宽优势的光接入为主，主要分为有源光网络(Active Optical Network，AON)和无源光网络(PassiveOptical Network，PON)。AON实现简单，但设备维护成本高。而PON易于扩容，维护和运营成本低，是未来的主要发展方向。依靠正交频分复用(Orthogonal Frequency DivisionMultiplexing，OFDM)的高频谱效率、高色散容忍性、低多径干扰，OFDM-PON成为了下一代光接入网的重要候选方案。但OFDM-PON的广播结构也对通信安全性提出了相应需求。

传统的光接入网络安全增强技术方案主要着眼于上层加密、光编解码以及混沌激光通信等角度，但这些方案分别存在着部分数据加密、密钥空间小以及同步性能差等缺陷。

发明内容

本发明的目的在于克服现有技术的不足，提供一种光物理层混沌安全接入方法，采用分级加密方案，实现了针对不同安全需求的加密，同时提高了用户信息加密的效率。

为实现上述发明目的，本发明光物理层混沌安全接入方法的具体步骤包括：

S1：设置OFDM信号传输时经过QAM调制和OFDM子载波分配后所得到的数据矩阵DATA的子矩阵划分方案，记所划分得到的子矩阵数量为N；

S2：根据需要设置M个安全性与计算复杂度正相关的混沌加密算法，将这些混沌加密算法按照安全性从低到高排列，得到M个等级，第m个等级所对应的算法记为F_m，并设置其对应的复杂度权重w_m，其中m＝1,2,…,M，且w_m＜w_m+1；

S3：令每个子矩阵分别从M个等级的混沌加密算法中选择一个等级的算法进行加密，从而得到M^N种加密方案，计算每种加密方案的复杂度权值和

其中k＝1,2,…,M^N，f_n表示子矩阵D_n所选择的混沌加密算法的等级，

表示第k个加密方案中子矩阵D_n所选择的等级f_n混沌加密算法的复杂度权值；将复杂度权值和的取值范围[w₁×N,w_m×N]划分为H个子区间，将复杂度权值和属于同一子区间的加密方案分为一组，记所得到的加密方案分组集合记为φ_h，h＝1,2,…,H；

S4：当光网络单元ONU需要接入时，光网络单元ONU向光线路终端OLT分享混沌参数SK，光网络单元ONU和光线路终端OLT建立相同的混沌模型并基于混沌参数SK生成混沌序列CS；

S5：光网络单元ONU生成安全等级请求SLR并发送给光线路终端OLT，记所设置的安全等级为h^*，光线路终端OLT在接收到安全等级请求SLR后向光网络单元ONU回复确认字符ACK，完成安全等级确认；在安全等级确定过程中，采用混沌序列CS对安全等级请求SLR和确认字符ACK进行异或加密；

S6：当光网络单元ONU和光线路终端OLT需要进行通信时，发送方采用步骤S1中确定的子矩阵划分方案对经过QAM调制和OFDM子载波分配后所得到的数据矩阵DATA进行子矩阵划分，得到N个子矩阵D_n，根据所确认的安全等级h^*从所对应的加密方案分组集合

中随机选择一种加密方案，记该加密方案中子矩阵D_n采用的混沌加密算法等级为f_n，将f_n转换为二进制数a_n，将N个二进制数a_n依次拼接得到动态密钥DK＝[a₁a₂…a_N]，采用混沌序列CS对动态密钥DK进行异或加密得到加密动态密钥EDK；

根据所选择的加密方案分别采用对应的混沌加密算法对子矩阵D_n进行加密，得到加密子矩阵ED_n；将加密子矩阵ED_n按照子矩阵划分方案的逆向方法合并为一个加密数据矩阵eDATA；将数据矩阵eDATA进行后续发送处理，将加密动态密钥EDK嵌入训练符号或导频中与数据一起传输；

接收方从接收信号中提取出加密动态密钥EDK，利用混沌序列CS解密出动态密钥DK，从而确定发送方的加密方案，然后采用相应的接收处理恢复出加密数据矩阵eDATA，按照子矩阵划分方案划分得到加密子矩阵ED_n，采用加密方案中各混沌加密算法对应的解密方法分别对各个加密子矩阵ED_n进行解密，得到子矩阵D_n，再按照子矩阵划分方案的逆向方法合并得到数据矩阵DATA，实现数据还原。

本发明光物理层混沌安全接入方法，设置OFDM信号传输时经过QAM调制和OFDM子载波分配后所得到的数据矩阵DATA的子矩阵划分方案，得到N个子矩阵，然后设置M个等级的混沌加密算法，令每个子矩阵分别从M个等级的混沌加密算法中选择一个等级的算法进行加密，得到M^N种加密方案，计算每种加密方案的复杂度权值和，根据复杂度权值和对加密方案进行分组，当光网络单元ONU需要接入时，首先和光线路终端OLT确定安全等级，在对应安全等级的加密方案中选择一个加密方案，对数据矩阵进行划分后采用所选择加密方案进行加密后发送。

本发明具有以下有益效果：

1)本发明通过对数据矩阵进行划分，同时对混沌加密算法安全性及复杂度进行分级，实现了面向不同安全需求的动态加密；

2)本发明通过混沌参数SK和动态密钥DK的设置，实现静态密钥与动态密钥的分离设计，混沌参数SK采用预分享获取，静态密钥DK在用户通信过程中设置并且可以动态更新，从而在不损失密钥安全性的前提下实现了可控的灵活加密；

3)本发明采用多种加密算法进行加密，可以增大密钥空间，丰富的加密等级梯度可以提高用户加密效率；

4)本发明可以针对不同用户采用不同加密方案，能有效提高系统整体加密效率，实现针对性的加密。

附图说明

图1是本发明光物理层混沌安全接入方法的具体实施方式流程图；

图2是本实施例中不同安全等级加密原理图；

图3是本实施例中密钥协商机制示例图；

图4是本实施例中数据发送和接收流程图。

具体实施方式

下面结合附图对本发明的具体实施方式进行描述，以便本领域的技术人员更好地理解本发明。需要特别提醒注意的是，在以下的描述中，当已知功能和设计的详细描述也许会淡化本发明的主要内容时，这些描述在这里将被忽略。

实施例

图1是本发明光物理层混沌安全接入方法的具体实施方式流程图。如图1所示，本发明光物理层混沌安全接入方法的具体步骤包括：

S101：设置OFDM信号数据分块方案：

当光线路终端OLT(Optical Line Terminal)和光网络单元ONU(Optical NetworkUnit)需要通信时，对数据依次经过QAM调制和OFDM子载波分配后，即可得到数据矩阵DATA。在本发明中，需要设置数据矩阵DATA的子矩阵划分方案，记所划分得到的子矩阵数量为N。为了使后续得到的加密方案的计算复杂度更加均衡，本实施例中采用的子矩阵划分方案为平均划分方案，即对数据矩阵DATA进行平均划分，其具体方法如下：

记得到的数据矩阵DATA的大小为X×Y，将数据矩阵DATA划分为R行L列共计N个子矩阵，即N＝R×L，R和L分别为预设的正整数，记第i行第j列子矩阵为D_n，n＝L×(i-1)+j，i＝1,2,…,R，j＝1,2,…,L，子矩阵D_n的大小为r_i×l_j，其中：

本实施例中设置X＝120，Y＝160，R＝L＝2。以16QAM调制为例说明，原始数据大小为X×Y×log₂(16)比特，预处理中先将原始数据比特进行串/并转换以满足调制要求，然后对数据进行16QAM调制和子载波分配得到数据矩阵DATA。r_i与l_j的计算式是为了使子矩阵的大小接近，经计算得到本实施例中r_i＝60,i＝1,2，l_j＝80,j＝1,2，即4个子矩阵D_n,n＝1,2,3,4的大小均为60×80。

S102：混沌加密算法安全分级：

根据需要设置M个安全性与计算复杂度正相关的混沌加密算法，将这些混沌加密算法按照安全性从低到高排列，得到M个等级，第m个等级所对应的算法记为F_m，并设置其对应的复杂度权重w_m，其中m＝1,2,…,M，且等级越高，复杂度权重越大，即w_m＜w_m+1。

在实际应用中，可以采用多类混沌算法、多轮混沌加密或不同粒度小区混沌加密方案设计出所需的M个混沌加密算法。多类混沌加密方案即为挑选存在一定复杂度梯度且加密性能与之匹配的混沌置乱算法组，实现算法组安全性与计算复杂度的映射。多轮混沌加密方案即为挑选置乱与扩散性能均衡、计算复杂度较低的混沌加密算法，使用不同加密轮数实现不同等级加密。以上两种方法比较简单，为了提高安全性，本实施例中采用不同粒度小区布朗运动混沌加密方案来设置混沌加密算法。小区布朗运动混沌加密算法的具体方法为：采用静态密钥SK生成混沌系统的初值(u₀,v₀,τ₀)与控制参数(p_u,p_v,p_τ)，采用logistic-sine系统(LSS)、logistic-tent系统(LTS)和tent-sine系统(TSS)三个混沌系统根据初值(u₀,v₀,τ₀)与控制参数(p_u,p_v,p_τ)迭代生成参数u、v和τ，然后采用以下方程生成混沌序列CS＝{dx,dy}：

a＝u×2×π,b＝v×2×π

其中，τ用于确定移动步长，a和b确定布朗运动方向。

将所需加密的数据矩阵划分为若干正方形数据块，根据混沌序列CS对数据块的位置进行布朗运动置乱，完成加密。

当正方形数据块边长取不同值时，数据矩阵的划分粒度、划分成的数据块总数，以及置换过程中迭代的次数也不同，从而导致加密的安全性及计算复杂度呈一定梯度。因此设置M个不同的正方形数据块边长，即可得到M个混沌加密算法。

本实施例中4个数据子矩阵D_n的大小均为60×80，n＝1,2,3,4，可以采用的正方形数据块边长集合Z＝{1,2,4,5,10,20}。考虑到实际运用中若粒度过大算法的置乱性能将下降，故优先选较小边长。本实例中选取{1,2,4,10}作为正方形数据块边长，所执行的加密算法分别需要迭代置乱4800、1200、300和48次，其安全性和计算复杂度依次降低，因此将这4个加密算法按照计算复杂从低到高排列，得得到加密算法F_m,m＝1,2,3,4，采用的正方形数据块边长分别为10，4，2，1，其对应的复杂度权重w₁＝1，w₂＝2，w₃＝3，w₄＝4。

S103：基于复杂度的加密方案分组：

由于存在N个子矩阵，令每个子矩阵分别从M个等级的混沌加密算法中选择一个等级的算法进行加密，从而得到M^N种加密方案。计算每种加密方案的复杂度权值和

其中k＝1,2,…,M^N，f_n表示子矩阵D_n所选择的混沌加密算法的等级，

表示第k个加密方案中子矩阵D_n所选择的等级f_n混沌加密算法f_n的复杂度权值；将复杂度权值和的取值范围[w₁×N,w_M×N]划分为H个子区间，将复杂度权值和属于同一子区间的加密方案分为一组，记所得到的加密方案分组集合记为φ_h，h＝1,2,…,H。

图2是本实施例中不同安全等级加密原理图。如图2所示，本实施例中N＝M＝4，即数据矩阵均分为4个子矩阵，加密算法分为4个等级，故共有4⁴＝256种加密方案。由于加密算法4个等级的计算复杂度权值w_m分别为1、2、3、4，则256个加密方案的复杂度权值和的取值范围为[4,16]，其中不同复杂度权值和的加密方案数量各不相同，将复杂度权值和取值最低和最高的四个等级分别合并，构成加密方案数量接近的7组加密方案，因此本实施例中安全等级请求所包含的安全等级为7级。表1是本实施例中加密方案分组表。

表1

S104：混沌参数分享：

当光网络单元ONU需要接入时，光网络单元ONU向光线路终端OLT分享混沌参数SK(Static Key)，光网络单元ONU和光线路终端OLT建立相同的混沌模型并基于混沌参数SK生成混沌序列CS(Chaos Sequence)。

S105：确定安全等级：

光网络单元ONU生成安全等级请求SLR(Security Level Request)并发送给光线路终端OLT，记所设置的安全等级为h^*，光线路终端OLT在接收到安全等级请求SLR后向光网络单元ONU回复确认字符ACK，完成安全等级确认。在安全等级确定过程中，采用混沌序列CS对安全等级请求SLR和确认字符ACK(Acknowledge character)进行异或加密。

图3是本实施例中密钥协商机制示例图。如图3所示，针对不同光网络单元ONU，可以通过设置不同的混沌参数SK来设置不同的加密方法，同时可以采用不同安全等级，从而能有效提高系统整体加密效率，实现针对性的加密。如果后续光网络单元ONU需要更换安全等级时，只需要重新向光线路终端OLT发送新的安全等级请求SLR即可。在实际应用中，也可周期性地更新安全等级，实现加密方案动态更新。

S106：加密通信：

当光网络单元ONU和光线路终端OLT需要进行通信时，发送方采用步骤S102中确定的子矩阵划分方案对经过QAM调制和OFDM子载波分配后所得到的数据矩阵DATA进行子矩阵划分，得到N个子矩阵D_n，根据所确认的安全等级h^*从所对应的加密方案分组集合

中随机选择一种加密方案，记该加密方案中子矩阵D_n采用的混沌加密算法等级为f_n，将f_n转换为二进制数a_n，将N个二进制数a_n依次拼接得到动态密钥DK＝[a₁a₂…a_N]，采用混沌序列CS对动态密钥DK进行异或加密得到加密动态密钥EDK(Encrypted Dynamic Key)。

根据所选择的加密方案分别采用对应的混沌加密算法对子矩阵D_n进行加密，得到加密子矩阵ED_n。将加密子矩阵ED_n按照子矩阵划分方案的逆向方法合并为一个加密数据矩阵eDATA。将数据矩阵eDATA进行后续发送处理，将加密动态密钥EDK嵌入训练符号或导频中与数据一起传输。

接收方从接收信号中提取出加密动态密钥EDK，利用混沌序列CS解密出动态密钥DK，从而确定发送方的加密方案，然后采用相应的接收处理恢复出加密数据矩阵eDATA，按照子矩阵划分方案划分得到加密子矩阵ED_n，采用加密方案中各混沌加密算法对应的解密方法分别对各个加密子矩阵ED_n进行解密，得到子矩阵D_n，再按照子矩阵划分方案的逆向方法合并得到数据矩阵DATA，实现数据还原。

本实施例中假设安全等级请求SLR取4，对应复杂度权值为10的加密方案，该分组共有44种排列方式。随机选取一种，如{3,4,1,2}，表示分组D₁ D₂ D₃ D₄分别采用F₃ F₄ F₁ F₂算法加密，对应的动态密钥DK＝[11000110](对算法序号进行模M运算后转换为二进制)。根据动态密钥DK指定的加密方案，利用混沌序列CS分别对子矩阵D_n,n＝1,2,3,4执行加密操作，最终得到经过加密子矩阵ED_n,n＝1,2,3,4。

本实施例在对动态密钥DK进行加密前，首先对其进行压缩。由表1可知，安全等级请求确定后，动态密钥DK选取范围为31-44种，远小于动态密钥DK信息量(8bit)。对每组动态密钥DK比特按大小排序，并重新编号为6bit的压缩动态密钥CDK。如本实施例中动态密钥DK大小位于组内第33位(弃用[000000]序列)，故得到压缩动态密钥CDK＝[100001]。接着利用600bit混沌序列CS对加密动态密钥CDK(Compressed Dynamic Key)进行异或加密得到加密动态密钥EDK。

然后将加密子矩阵ED_n按照子矩阵划分方案的逆向方法合并成大小为120×160的加密数据矩阵eDATA。将数据矩阵eDATA进行后续发送处理，将加密动态密钥EDK复制一份后作为总长度为1200bit的训练符号与数据一起传输。

图4是本实施例中数据发送和接收流程图。如图4所示，本实施例中，发送端采用OFDM-PON信号的一般处理方式，先对矩阵eDATA进行厄米共轭变换得到矩阵eDATA’，大小仍为120×160。将eDATA和eDATA’纵向拼接并添加0比特构成满足IFFT要求的大小为256×160的矩阵hDATA，进行IFFT后得到iDATA。对矩阵iDATA添加1/16的循环前缀CP(Cyclicprefix)得到cDATA，进行并/串转换得到比特序列bDATA。在序列前添加1200bit用于同步的训练符号，得到长为44720bits的sDATA后发送。

接收方利用预分享的静态密钥SK实现一个与发送方相同的混沌系统，并分别产生用于解密加密子矩阵ED_n,n＝1,2,3,4的混沌序列CS及用于解密加密动态密钥EDK的chaos_sequence，chaos_sequence由混沌序列CS＝{dx,dy}中的dx和dy异或得到。通过训练符号的自相关性实现数据同步，提取出加密动态密钥EDK，利用chaos_sequence解密出压缩动态密钥CDK，并结合当前安全等级请求值查表得到动态密钥DK。然后按照发送端的逆处理过程，解析出eDATA后划分成子矩阵，并根据动态密钥DK确定分别解密后再重新组合成数据矩阵DATA。

尽管上面对本发明说明性的具体实施方式进行了描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

Claims (3)

1.一种光物理层混沌安全接入方法，其特征在于，包括以下步骤：

S1：设置OFDM信号传输时经过QAM调制和OFDM子载波分配后所得到的数据矩阵DATA的子矩阵划分方案，记所划分得到的子矩阵数量为N；

S2：根据需要设置M个安全性与计算复杂度正相关的混沌加密算法，将这些混沌加密算法按照安全性从低到高排列，得到M个等级，第m个等级所对应的算法记为F_m，并设置其对应的复杂度权重w_m，其中m＝1,2,…,M，且w_m＜w_m+1；

S3：令每个子矩阵分别从M个等级的混沌加密算法中选择一个等级的算法进行加密，从而得到M^N种加密方案，计算每种加密方案的复杂度权值和

其中k＝1,2,…,M^N，f_n表示子矩阵D_n所选择的混沌加密算法的等级，

表示第k个加密方案中子矩阵D_n所选择的等级f_n混沌加密算法的复杂度权值；将复杂度权值和的取值范围[w₁×N,w_m×N]划分为H个子区间，将复杂度权值和属于同一子区间的加密方案分为一组，记所得到的加密方案分组集合记为φ_h，h＝1,2,…,H；

S4：当光网络单元ONU需要接入时，光网络单元ONU向光线路终端OLT分享混沌参数SK，光网络单元ONU和光线路终端OLT建立相同的混沌模型并基于混沌参数SK生成混沌序列CS；

S5：光网络单元ONU生成安全等级请求SLR并发送给光线路终端OLT，记所设置的安全等级为h^*，光线路终端OLT在接收到安全等级请求SLR后向光网络单元ONU回复确认字符ACK，完成安全等级确认；在安全等级确定过程中，采用混沌序列CS对安全等级请求SLR和确认字符ACK进行异或加密；

S6：当光网络单元ONU和光线路终端OLT需要进行通信时，发送方采用步骤S1中确定的子矩阵划分方案对经过QAM调制和OFDM子载波分配后所得到的数据矩阵DATA进行子矩阵划分，得到N个子矩阵D_n，根据所确认的安全等级h^*从所对应的加密方案分组集合

中随机选择一种加密方案，记该加密方案中子矩阵D_n采用的混沌加密算法等级为f_n，将f_n转换为二进制数a_n，将N个二进制数a_n依次拼接得到动态密钥DK＝[a₁a₂…a_N]，采用混沌序列CS对动态密钥DK进行异或加密得到加密动态密钥EDK；

根据所选择的加密方案分别采用对应的混沌加密算法对子矩阵D_n进行加密，得到加密子矩阵ED_n， 将加密子矩阵ED_n按照子矩阵划分方案的逆向方法合并为一个加密数据矩阵eDATA， 将数据矩阵eDATA进行后续发送处理，将加密动态密钥EDK嵌入训练符号或导频中与数据一起传输；

接收方从接收信号中提取出动态密钥EDK，利用混沌序列CS解密出动态密钥DK，从而确定发送方的加密方案，然后采用相应的接收处理恢复出加密数据矩阵eDATA，按照子矩阵划分方案划分得到加密子矩阵ED_n，采用加密方案中各混沌加密算法对应的解密方法分别对各个加密子矩阵ED_n进行解密，得到子矩阵D_n，再按照子矩阵划分方案的逆向方法合并得到数据矩阵DATA，实现数据还原。

2.根据权利要求1所述的光物理层混沌安全接入方法，其特征在于，所述步骤S1中子矩阵划分方案为对数据矩阵DATA进行平均划分。

3.根据权利要求1所述的光物理层混沌安全接入方法，其特征在于，所述步骤S2中M个混沌加密算法采用不同粒度小区布朗运动混沌加密方案来进行设置，小区布朗运动混沌加密算法的具体方法为：

基于静态密钥SK生成混沌系统的初值(u₀,v₀,τ₀)与控制参数(p_u,p_v,p_τ)，采用logistic-sine系统、logistic-tent系统和tent-sine系统三个混沌系统根据初值(u₀,v₀,τ₀)与控制参数(p_u,p_v,p_τ)迭代生成参数u、v和τ，然后采用以下方程生成混沌序列CS＝{dx,dy}：

a＝u×2×π,b＝v×2×π

其中，τ用于确定移动步长，a和b确定布朗运动方向，

将所需加密的数据矩阵划分为若干正方形数据块，根据混沌序列CS对数据块的位置进行布朗运动置乱，完成加密；

设置M个不同的正方形数据块边长，即可得到M个混沌加密算法。

Images