宣 冉，鞏小雪，張琦涵，李 瑞，喬一競(jìng)，侯維剛

(1.重慶郵電大學(xué) 通信與信息工程學(xué)院，重慶 400065； 2.東北大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院，沈陽(yáng) 110819)

0 引 言

隨著無(wú)源光網(wǎng)絡(luò)的迅猛發(fā)展，以及人們對(duì)于敏感數(shù)據(jù)重視度的不斷提升，光接入網(wǎng)安全[1-3]問(wèn)題將會(huì)成為未來(lái)通信發(fā)展需要解決的基本問(wèn)題。數(shù)據(jù)加密是一種解決光接入網(wǎng)通信安全問(wèn)題的有效方法。根據(jù)加密的數(shù)據(jù)形式，加密可以劃分為電信號(hào)加密(簡(jiǎn)稱電加密)和光信號(hào)加密(簡(jiǎn)稱光加密)。目前，應(yīng)用比較廣泛的方法是電加密，電加密主要采用復(fù)雜的數(shù)字信號(hào)處理(Digital Signal Processing，DSP)方案來(lái)實(shí)現(xiàn)數(shù)據(jù)的加解密[4-9]。但受限于復(fù)雜的DSP算法，電加密需耗費(fèi)大量的中央處理器(Central Processing Unit，CPU)資源，其無(wú)法實(shí)時(shí)加解密，也易于被復(fù)制、分析和理解。并且由于光纖上并沒有引用任何安全方案，導(dǎo)致系統(tǒng)關(guān)鍵數(shù)據(jù)將面臨被竊聽和攻擊的風(fēng)險(xiǎn)。

為了提高光接入網(wǎng)通信系統(tǒng)的安全性，本文提出了一種基于MD5校驗(yàn)的電光混合加密方案。通過(guò)高級(jí)加密標(biāo)準(zhǔn)(Advanced Encryption Standard，AES)算法和置亂算法實(shí)現(xiàn)數(shù)據(jù)加密，并把加密數(shù)據(jù)的MD5值作為校驗(yàn)碼，用來(lái)衡量經(jīng)過(guò)光纖傳輸后接收加密數(shù)據(jù)的正確性。同時(shí)，將由加密數(shù)據(jù)的MD5值、AES密鑰和置亂密鑰合成的新密鑰通過(guò)超結(jié)構(gòu)光纖布拉格光柵(Superstructure Fiber Bragg Grating，SSFBG)編碼后再進(jìn)行傳輸，實(shí)現(xiàn)了密鑰在光纖上的保密傳輸。仿真結(jié)果表明，該方案不僅實(shí)現(xiàn)了數(shù)據(jù)的安全傳輸，而且可以有效阻止惡意數(shù)據(jù)的接入，同時(shí)還提高了DSP的處理速度。

1 電光混合加密系統(tǒng)分析

電光混合加密系統(tǒng)主要由兩個(gè)部分組成，分別為原始數(shù)據(jù)電加解密和合成密鑰的編解碼。圖1所示為本文所提基于MD5校驗(yàn)的電光混合加密系統(tǒng)原理結(jié)構(gòu)圖。如圖所示，在發(fā)送端，首先對(duì)原始比特?cái)?shù)據(jù)置亂后進(jìn)行AES加密，得到加密比特。AES加密過(guò)程依次是：字節(jié)代替、行移位、列混淆和輪密鑰加。然后，加密比特分為兩路處理：對(duì)其中一路加密比特進(jìn)行低密度奇偶校驗(yàn)碼(Low Density Parity Check Code，LDPC)編碼和正交頻分復(fù)用(Orthogonal Frequency Division Multiplexing，OFDM)調(diào)制，再將加密的OFDM信號(hào)進(jìn)行數(shù)/模轉(zhuǎn)換，最后采用馬赫曾德爾調(diào)制器(Mach-Zehnder Modulator，MZM)將電信號(hào)調(diào)制到光載波上；另一路加密比特首先通過(guò)MD5算法計(jì)算出加密比特的MD5校驗(yàn)值，然后與AES密鑰和置亂密鑰合成新密鑰，經(jīng)過(guò)二進(jìn)制轉(zhuǎn)換和光脈沖生成器生成窄光脈沖信號(hào)，最后通過(guò)SSFBG得到編碼信號(hào)，進(jìn)而發(fā)送到光纖信道上傳輸。在接收端，接收到的信號(hào)同樣分為兩路。第一路信號(hào)經(jīng)過(guò)濾波器、放大器和SSFBG解碼得到合成密鑰，合成密鑰經(jīng)過(guò)分解可以得到加密比特的MD5校驗(yàn)值、AES密鑰和置亂密鑰;另一路信號(hào)經(jīng)過(guò)濾波器和光電二極管(Photo-Diode，PD)得到電信號(hào)，再對(duì)電信號(hào)加以與發(fā)送端相反的操作，依次為：模/數(shù)轉(zhuǎn)換、OFDM解調(diào)和LDPC解碼，最終會(huì)得到加密比特，然后比較當(dāng)前加密比特的MD5校驗(yàn)值和接收到的MD5校驗(yàn)值。如果比較結(jié)果相等，加密比特通過(guò)AES解密和解置亂就可以得到與發(fā)送端相同的原始比特?cái)?shù)據(jù)。AES解密操作過(guò)程是AES加密過(guò)程的逆向操作，包括：逆向行移位、逆向字節(jié)代替、輪密鑰加和逆向列混淆。

圖1 基于MD5校驗(yàn)的電光混合加密系統(tǒng)原理結(jié)構(gòu)圖

本方案中，為了保證接收端接收到的加密數(shù)據(jù)和發(fā)送端發(fā)送的加密數(shù)據(jù)的完全一致性，本文采用MD5算法和LDPC校驗(yàn)。MD5算法用于確保信息傳輸?shù)耐暾恢隆Ｔ撍惴ㄍㄟ^(guò)分組處理原文信息，每512位為一組，每組16×32位進(jìn)行計(jì)算，直到處理完所有的信息，具體步驟如下：首先要對(duì)原文進(jìn)行填充，保證擴(kuò)展后數(shù)據(jù)長(zhǎng)度是512位的整數(shù)倍，填充方式為

式中：n為需要在原文后面添加的位數(shù)，一般添加1個(gè)1或n個(gè)0；64為原文的長(zhǎng)度，對(duì)應(yīng)64位數(shù)據(jù)信息。在MD5算法的計(jì)算過(guò)程中，需要引入初始鏈接變量，將其作為該算法的初始值。若鏈接變量發(fā)生變化，那么同一段原文數(shù)據(jù)所計(jì)算出來(lái)的MD5值也大不相同，這也是MD5算法可以確保信息一致性的原因。因此，采用相同的初始鏈接變量和4個(gè)函數(shù)，保證了MD5算法計(jì)算方法的前提是一致的，下面再來(lái)分析計(jì)算。將數(shù)據(jù)分組，每512位為一組，每組16×32位進(jìn)行計(jì)算。計(jì)算過(guò)程包括4輪主循環(huán)，每進(jìn)行一輪計(jì)算都要使用4個(gè)函數(shù)對(duì)這16個(gè)數(shù)字進(jìn)行一次處理。循環(huán)結(jié)束后，即可生成一列128 bit的MD5校驗(yàn)值。

由于信道特征不理想，接收端無(wú)法保證收到的加密數(shù)據(jù)完全無(wú)誤碼，因此，本文采用LDPC校驗(yàn)。當(dāng)接收端接收到的加密數(shù)據(jù)有誤碼時(shí)，加密數(shù)據(jù)可以通過(guò)糾錯(cuò)方式恢復(fù)，為后續(xù)AES解密提供正確加密數(shù)據(jù)。LDPC編碼是以校驗(yàn)矩陣為前提，再由校驗(yàn)矩陣獲得生成矩陣，生成矩陣再產(chǎn)生不同的碼字。因此，設(shè)計(jì)校驗(yàn)矩陣是LDPC碼編碼的關(guān)鍵?？紤]編解碼的復(fù)雜度，校驗(yàn)矩陣采用代數(shù)構(gòu)造法[10]。

另外，本方案中，為了防止密鑰在光纖信道中被竊聽，本文將SSFBG編解碼信道作為安全信道傳輸密鑰。圖2所示為基于SSFBG的編解碼系統(tǒng)結(jié)構(gòu)。

圖2 基于SSFBG的編解碼系統(tǒng)結(jié)構(gòu)

如圖所示，入射信號(hào)為窄光脈沖，經(jīng)過(guò)SSFBG編碼后，窄光脈沖信號(hào)會(huì)出現(xiàn)有規(guī)律的時(shí)域展寬，同時(shí)信號(hào)的功率驟降。時(shí)域展寬的規(guī)律取決于設(shè)計(jì)SSFBG的折射率變化函數(shù)。并且由于信號(hào)功率極低，編碼信號(hào)會(huì)具有在時(shí)域和頻域同時(shí)隱藏的特點(diǎn)。接收端只有經(jīng)過(guò)匹配的SSFBG解碼后，才能恢復(fù)出窄光脈沖。以下是光柵的設(shè)計(jì)原理：在滿足弱耦合近似時(shí)，結(jié)合耦合模式理論[11]可知，布拉格光柵的反射譜p為

式中：κ(z)和σ分別為光柵的交流和直流耦合系數(shù)；L為光柵長(zhǎng)度；z為光柵上某一點(diǎn)位置；i為虛部單位。另外，κ(z)和σ滿足κ(z)=π/c·fB·Δn(z)和σ=2neffπ(f-fB)/c，κ(z)和Δn(z)成正比，式中，c為光速；fB為布拉格頻率；Δn(z)為光柵的折射率變化函數(shù)；neff為光纖波導(dǎo)內(nèi)均勻分布的有效折射率；f-fB為入射光信號(hào)頻率相對(duì)光柵布拉格頻率的偏移量。注意到耦合系數(shù)的傅里葉變換K(2πχ)(以z為自變量)為

式中，χ=2neff(f-fB)/c。對(duì)比式(2)和式(3)可得到光柵反射譜為

由式(4)可知，在弱耦合近似下，光柵的折射率變化函數(shù)和光柵的頻率響應(yīng)滿足傅里葉變換關(guān)系。

2 仿真設(shè)置與結(jié)果分析

本文使用VPI Transmission Maker 9.5軟件平臺(tái)和Matlab R2018a軟件平臺(tái)進(jìn)行了聯(lián)合仿真驗(yàn)證，并給出了系統(tǒng)的性能。主要仿真參數(shù)設(shè)置如表1所示。

表1 主要仿真參數(shù)設(shè)置

圖3所示為AES加解密前后圖形的仿真結(jié)果。圖中，從左往右，依次是原始圖形、AES加密后圖形、接收端接收數(shù)據(jù)誤碼率(Bit Error Ratio，BER)在2e-2情況下AES解密后圖形以及接收端無(wú)誤碼情況下AES解密后圖形。對(duì)比AES加密前后圖形可知，加密后圖形的像素點(diǎn)已經(jīng)完全混亂。同時(shí)為了解決圖形相同像素點(diǎn)堆積的問(wèn)題，本方案使用了置亂算法，使得加密后圖形混亂無(wú)序。另外，對(duì)比兩張AES解密圖形可知，當(dāng)接收端無(wú)法正確恢復(fù)加密數(shù)據(jù)時(shí)，AES解密后圖形會(huì)出現(xiàn)噪點(diǎn)，無(wú)法恢復(fù)出原始圖形。

圖3 AES加解密前后圖形

圖4所示為光纖信道中密鑰編碼信號(hào)和加密OFDM信號(hào)波形對(duì)比圖。由圖可知，光纖信道中傳輸?shù)木幋a信號(hào)功率遠(yuǎn)遠(yuǎn)小于加密OFDM數(shù)據(jù)的光信號(hào)，經(jīng)測(cè)量，編碼信號(hào)的功率約為-50 dBm，與加密OFDM數(shù)據(jù)的光信號(hào)功率相差約為47 dBm。當(dāng)信道遭受竊聽攻擊時(shí)，小功率的編碼信號(hào)極大地增加了竊聽難度，并且由于SSFBG提供了信號(hào)編碼功能，系統(tǒng)可以為數(shù)據(jù)提供更高的安全性。

圖4 光纖信道中密鑰編碼信號(hào)與加密OFDM信號(hào)波形對(duì)比圖

圖5所示為接收端加密OFDM信號(hào)的BER曲線。當(dāng)接收光功率(Received Optical Power，ROP)不同時(shí)，所對(duì)應(yīng)的BER也有所差別，但其均為下降趨勢(shì)。傳輸距離為10 km、未加入LDPC編碼時(shí)，接收端BER達(dá)到硬判決門限的ROP約為-8.1 dBm，加入LDPC編碼后，接收端BER達(dá)到LDPC軟判決門限的ROP約為-11.8 dBm；傳輸距離為60 km時(shí)，未加入LDPC編碼時(shí)，接收端BER達(dá)到硬判決門限的ROP約為-4.4 dBm，加入LDPC編碼后，接收端BER達(dá)到LDPC軟判決門限的ROP約為-9.7 dBm。對(duì)比可知，加入LDPC編碼，可有效降低接收機(jī)靈敏度，并且隨著距離的提升，降低的接收機(jī)靈敏度有上升的趨勢(shì)。

圖5 接收端加密OFDM信號(hào)的BER曲線圖

3 結(jié)束語(yǔ)

本文提出了一種基于MD5算法用作數(shù)據(jù)校驗(yàn)的電光混合加密方案。仿真結(jié)果表明，該方案不僅能夠?qū)崿F(xiàn)圖片數(shù)據(jù)的加解密和密鑰的隱匿傳輸，還能夠通過(guò)MD5校驗(yàn)的方式提高通信系統(tǒng)抵抗惡意攻擊的能力，同時(shí)還能提高DSP的處理速度。針對(duì)下一代無(wú)源光網(wǎng)絡(luò)，方案中隱匿傳輸具有的防竊聽能力以及MD5校驗(yàn)所具有的抗干擾攻擊能力可以極大地增強(qiáng)通信網(wǎng)絡(luò)的安全性。