一种基于可变光纤信道指纹的OFDM-PON物理层认证方法

一种基于可变光纤信道指纹的ofdm-pon物理层认证方法
技术领域
1.本发明属于光纤通信安全领域，涉及一种基于可变光纤信道指纹的ofdm-pon物理层认证方法。


背景技术：

2.近几年，随着互联网技术的不断发展，人们对通信网络的带宽需求以爆炸性的速度在增长。接入网在通信网络中位于终端设备和核心网之间，是人们上网的首要途径，因此又被称作“最后一公里”。在众多的接入技术中，无源光网络技术凭借高带宽、成本低以及结构简单的特点，逐渐成为了当前大多数用户最喜爱的接入网技术。目前已经商用的pon技术是时分复用pon，包括epon和gpon。虽然tdm-pon的结构比较简单，但是由于tdm-pon是单波长调制，所以不可避免的存在速率瓶颈的问题[8]。为了解决单波长的速率瓶颈问题，研究者尝试将正交频分复用技术与pon结合起来，通过ofdm的多子载波正交调制技术来提升pon系统的带宽利用率。在这样的背景下，美国nec实验室于2007年在世界光通信大会上提出了ofdm-pon概念，之后又利用直接调制激光器在2.5ghz的信道带宽上实现了10gbit/s的ofdm-pon实验，引起了全世界研究者的兴趣。但是与tdm-pon一样，ofdm-pon的网络拓扑结构也是点到多点的形式，因此同样存在伪装攻击的威胁。为了抵抗非法用户的伪装攻击，有必要在ofdm-pon系统中对接入进来的每个onu设备进行身份认证。
[0003]
虽然传统pon标准协议的身份认证技术已经比较成熟，但是仍然存在一些不足，例如认证期间需要特定的加密算法和复杂的身份认证协议来支持。而物理层身份认证技术不需要加密算法参与，而且认证流程更为简单，因此研究物理层身份认证技术有着重要的学术价值和应用前景。但是目前已提出的ofdm-pon物理层认证方案，主要是凭借ofdm发射机自身的硬件指纹来实现认证的。不可否认的是，这种由于发射机自身硬件差异所产生的硬件指纹具有难以克隆的特性。但是设备的老化速度是一个比较漫长的过程，因此硬件指纹也会在较长时间内不会发生变化，这为非法用户通过信号分析等手段来获得合法onu的发射机硬件指纹提供了可能性。由于ofdm发射机的电子原件在生产的时候就已经被焊牢在电路板上，所以通过更换电子原件来实现可变的发射机硬件指纹不太现实。


技术实现要素：

[0004]
有鉴于此，本发明的目的在于通过ofdm-pon系统中的传输光纤，提供一种基于可变光纤信道指纹的ofdm-pon物理层认证方案。在光信号经过光纤信道时候，由于光纤信道的线性和非线性效应，所以到达接收端的光信号会携带光纤信道的物理层特性，可以被称为光纤信道指纹。与发射机硬件指纹不同的是，光纤信道指纹不仅是由传输光纤的生产材料所造成的、还与传输过程中所遭受的功率衰减、噪声、色散、散射等影响因有关。因此，光纤信道指纹除了具有唯一性以及难以克隆的性质外，还具有极强的随机性，可以作为认证依据。并且在实际的铺设过程中连接到onu设备的分支光纤都是足够长的，因此可以通过人为调节分支光纤的长度来实现可变光纤信道指纹。
[0005]
为达到上述目的，本发明提供如下技术方案：
[0006]
一种基于可变光纤信道指纹的ofdm-pon物理层认证方法，使用神经网络直接从ofdm光谱中学习每个合法onu的光纤信道指纹，然后在训练神经网络的过程中加入负样本来增强神经网络检测非法用户的能力，具体包括以下步骤：
[0007]
s1：认证准备阶段：光线路终端olt告知下行所有的合法onu设备下一轮认证所需要的认证信息，然后合法onu设备把认证信息封装成ofdm数据帧并发送给olt；本方案中的认证信息没有特殊的含义，其本质为一串比特序列；
[0008]
s2：离线训练阶段：olt接收到合法onu设备的ofdm光信号后，首先用光放大器对ofdm光信号进行放大，然后用光谱分析仪来获取ofdm光信号的光谱数据，并制作成数据集，用来训练神经网络，生成pca和1d-cnn认证模型以及相应的光纤信道指纹库；光纤信道指纹库里面不仅包括合法onu设备的光纤信道指纹，同时还有伪非法onu设备的光纤信道指纹；
[0009]
s3：在线认证阶段：首先onu设备发送认证数据给olt，然后olt将onu发送的认证数据输入进离线训练阶段所生成的pca和1d-cnn认证模型中，并根据已建立光纤信道指纹库来识别该onu设备的合法性；如果检测到该onu设备是合法的，则为其提供相对应的服务，否则拒绝提供服务。
[0010]
进一步，步骤s1具体包括以下步骤：
[0011]
s11：在认证前，每个合法onu设备掌握认证过程中所需要的认证信息，分为两种情况：
[0012]
对于已经部署好的合法onu设备而言，olt直接通过广播通信的方式将装有认证信息的ofdm数据帧派发给下行的所有合法onu设备；
[0013]
对于刚接入ofdm-pon系统的新合法onu设备来说，其认证信息由人工输入进onu设备中；
[0014]
s12：在获取到认证信息后，所述合法onu设备和olt进行如下步骤：
[0015]
在获取到认证信息后，所述合法onu设备将认证信息存储到磁盘中，并立即将认证数据发送给olt；
[0016]
当携带认证数据的ofdm光信号到达olt后，首先被光放大器进行光信号放大，然后根据每个onu用户所占用的不同时隙来将ofdm光信号分隔开，最后再用光谱分析仪来获取ofdm光信号的光谱数据并制作神经网络训练过程中所用到的数据集。
[0017]
进一步，步骤s2具体包括以下步骤：
[0018]
s21：根据每个合法用户所占用的不同时隙把ofdm光信号分隔开，分别制作成对应的正样本；
[0019]
s22：为合法onu设备准备负样本数据集，包括：
[0020]
选定合法onu设备周围0.6km的距离作为负样本的采集点，然后让合法onu在此位置发送认证数据给olt；
[0021]
olt首先用光放大器进行光信号放大，然后用光谱分析仪来获取ofdm光信号的光谱数据并制作成合法onu的负样本数据集；
[0022]
s23：将步骤s21和步骤s22的数据集划为训练集、验证集和测试集；
[0023]
s24：用pca算法对训练集进行初次特征提取以及降维，同时验证集和测试集也需要根据训练集的均值和方差进行pca算法预处理；
[0024]
s25：将经过pca预处理后的训练集和验证集输入进1d-cnn中进行训练；所述1d-cnn包括一个卷积层、一个relu激活层、一个最大池化层、一个全局平均池化层、一个全连接层和softmax分类器；
[0025]
s26：在经过多次迭代后，得到pca和1d-cnn认证模型，并建立对应的光纤信道指纹库，包括合法onui的光纤信道指纹以及伪非法onui的光纤信道指纹。
[0026]
进一步，步骤s3具体包括以下步骤：
[0027]
s31：olt向下行的onu设备发起认证，然后onu设备把olt告知的认证信息封装成ofdm数据帧，并在对应的时隙发送给olt；
[0028]
s32：olt端在收到某个onu设备的认证数据后，立即调用该合法onu设备对应的认证模型来检验该onu设备是不是合法用户所使用的；
[0029]
s33：如果识别结果为合法用户，则会该用户提供数据服务功能，如果识别结果为非法用户，则拒绝为其提供服务。
[0030]
本发明的有益效果在于：
[0031]
1)本发明从光纤的物理特性出发，利用光纤信道指纹作为认证的依据。并将onu与olt之间的传输光纤分为主干光纤和分支光纤两段，其中主干光纤的长度不变，分支光纤的长度可以由用户自行决定，实现可变的光纤信道指纹，从而进一步增强ofdm-pon系统认证的安全性。
[0032]
2)olt端为每个合法onu用户单独配置一个认证模型，便于olt管理每个onu设备，并且认证模型中也从多分类转为简单的二分类。
[0033]
本发明的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述，并且在某种程度上，基于对下文的考察研究对本领域技术人员而言将是显而易见的，或者可以从本发明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书来实现和获得。
附图说明
[0034]
为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作优选的详细描述，其中：
[0035]
图1为ofdm-pon仿真系统结构示意图；
[0036]
图2为eve非法onu发起攻击的位置示意图；
[0037]
图3为1d-cnn的结构以及每层的参数配置信息示意图；
[0038]
图4为一种基于可变光纤信道指纹的ofdm-pon物理层认证方法流程图；
[0039]
图5为认证模型对位于9km到11km范围内eve的识别准确率示意图；
[0040]
图6为认证模型对alice的识别准确率示意图。
具体实施方式
[0041]
以下通过特定的具体实例说明本发明的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本发明的精神下进行各种修饰或改变。需要说明的是，以下实施例中所提供的图示仅以示
意方式说明本发明的基本构想，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合。
[0042]
其中，附图仅用于示例性说明，表示的仅是示意图，而非实物图，不能理解为对本发明的限制；为了更好地说明本发明的实施例，附图某些部件会有省略、放大或缩小，并不代表实际产品的尺寸；对本领域技术人员来说，附图中某些公知结构及其说明可能省略是可以理解的。
[0043]
本发明实施例的附图中相同或相似的标号对应相同或相似的部件；在本发明的描述中，需要理解的是，若有术语“上”、“下”、“左”、“右”、“前”、“后”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此附图中描述位置关系的用语仅用于示例性说明，不能理解为对本发明的限制，对于本领域的普通技术人员而言，可以根据具体情况理解上述术语的具体含义。
[0044]
请参阅图1～图6，本发明提供一种基于可变光纤信道指纹的ofdm-pon物理层认证方法。在本实施例中，首先用matlab 2019b数学仿真软件、商业光学仿真软件vpi transmissionmaker v.9.5和tensorflow2.1机器学习框架联合搭建了基于强度调制的ofdm系统。然后搭建了两组onu，一个是合法onu，另一个是非法onu，且二者的硬件参数完全相同。为了方便区分，后面的叙述将用alice代表合法onu，用eve代表非法onu，如下图1所示。
[0045]
首先，onu端使用matlab 2019b数学仿真软件来产生ofdm基带信号。并且，关于ofdm符号的具体实现步骤可以概述为：首先将输入的比特数据流进行串并转换，生成多路并行数据。然后对每一路数据进行十六进制正交幅度调制(16qam)，并插入导频数据。接着将插入导频后的数据进行ifft变换就可以得到ofdm符号。其中ifft变换的长度与子载波数相同，本实施例中设置为256。然后将ofdm符号进行并串转换，并在每个ofdm符号之前添加一段循环前缀，其中循环前缀的长度是原来每个ofdm符号长度的1/8。最后将添加了循环前缀的ofdm符号进行数模转换，得到ofdm基带信号。对于vpi光学仿真平台，首先将ofdm基带信号分为两路，其中一路信号通过激光驱动电源1(laser driver1，ld1)器件来控制差分马赫曾德尔调制器(differential mach-zehnder modulator，dmzm)的左上臂的射频偏置电压，而另一路经过激光驱动电源2(laser driver2，ld2)器件来控制dmzm左下臂的射频偏置电压。通过上下两路的射频偏置电压，就可以让ofdm基带信号来对输入进dmzm的连续波长激光源进行光调制，完成ofdm基带信号到ofdm光信号的转变过程。此外，dmzm的右上臂和右下臂分别与直流电源1(direct current 1，dc1)器件和直流电源2(direct current 2，dc2)器件相连，并且dmzm的调制方式会受到直流半波电压差值的影响。由于本文所采用的ofdm光调制方式为强度调制，故将左上臂和右下臂的直流电源器件间的直流半波电压差值控制在dmzm半波电压的一半。此外，alice所发送的ofdm认证信息首先会经过自己所独占的分支光纤ssmf1，然后与其他onu的ofdm光信号相聚在光分/合路器处，接着光分/合路器会根据tdm的方式将alice与其他onu设备的数据通过主干光纤ssmf3发送给olt。当alice的ofdm光信号达到olt端时候，首先会经过oamp进行光信号放大，再通过osa来导出ofdm光谱数据，然后将ofdm光谱数据输入进专为alice用户搭建的pca和1d-cnn认证模型中。最后在认证策略阶段，根据认证模型的识别结果来决定是否为此onu设备提供服务。表1展示了vpi
中部分器件的参数信息：
[0046]
表1
[0047][0048]
由于光信号在光纤传输过程中会遭受线性和非线性的作用，所以到达接收端的光信号功率会受到一定程度上的影响。在影响光信号功率的因素中，光纤的传输损耗是最主要的影响因素，并且光纤的输入信号和输出信号的光功率计算表达式如下式所示：
[0049]
p
out
＝p
in exp(-αl)
[0050]
式中，p
out
表示光纤的输出信号光功率；p
in
表示光纤的输入信号光功率；l表示光纤的长度；α表示光纤的衰减系数。从上式可以看出，不同长度的光纤对光信号所施加的线性和非线性作用是不同的，从而使得不同长度的光纤体现出自己独有的光纤信道指纹。为了验证本发明的认证性能，本发明将eve的攻击位置设置在alice周围，如图2所示。
[0051]
由于发明所提出的认证方案为每个onu设备均搭建了一个认证模型，因此认证模型中的1d-cnn只用对指定的onu设备服务即可。并且图1中的pca和1d-cnn认证模型则是由tensorflow2.1机器学习框架所搭建的。其中，pca算法可以通过直接调用开源机器学习库中的sklearn库来实现。而所搭建的1d-cnn以及每层的参数配置信息如图3所示。此外，训练神经网络的参数配置如表2所示：
[0052]
表2
[0053][0054]
搭建好两组onu的ofdm通信系统后，下面来测试本发明的认证性能：
[0055]
s1：认证准备阶段：如图4所示，olt会告知下行所有的合法onu设备下一轮认证所需要的认证信息，然后合法onu设备将会把认证信息封装成ofdm数据帧并发送给olt。包括如下步骤：
[0056]
s11：olt可以通过广播通信的方式将装有认证信息的ofdm数据帧派发给下行的alice设备；
[0057]
s12：当alice获取到认证信息后，alice设备需要将认证信息存储到磁盘中，并立即将认证数据发送给olt；
[0058]
s2：离线训练阶段：olt接收到alice的ofdm光信号后，首先会用光放大器对ofdm光信号进行放大，然后用光谱分析仪来获取ofdm光信号的光谱数据。并制作成数据集，用来训练神经网络，生成pca和1d-cnn认证模型以及相应的光纤信道指纹库。包括如下步骤：
[0059]
s21：olt在接收到alice的ofdm光信号后，用光放大器将信号放大，然后用光谱分析仪导出ofdm光谱数据，并标记为alice正样本；
[0060]
s22：选定alice周围0.6km的位置作为负样本源采集点，然后alice从此位置再次发送携带有认证信息的ofdm信号。olt端再收到信号后，用光放大器将信号放大，然后用光谱分析仪导出ofdm光谱数据，并标记为alice负样本；
[0061]
s23：将上述数据集按照8:2的方式划分为训练集和测试集，并且为了观察训练过程中是否出现过拟合情况，再从训练集中划分出10％的样本作为验证集；
[0062]
s24：用pca算法对训练集进行预处理，也对验证集和测试集进行同样的降维操作，并且验证集和测试集的均值化操作应该以训练集的均值和方差为准。这是因为在实际的训练过程中，验证集和测试集的数据都是与训练集没有任何交集；
[0063]
s25：将经过pca预处理后的训练集和验证集输入进1d-cnn中进行训练；
[0064]
s26：得到pca和1d-cnn认证模型并建立对应的光纤信道指纹库。值得注意的是，该认证模型只会为alice服务，而光纤信道指纹库只包含alice这个onu的合法onu光纤信道指纹以及伪非法onu的指纹。
[0065]
s3：在线认证阶段：首先未知身份的onu设备发送认证数据给olt，然后olt将未知身份的onu所发送的认证数据输入进离线训练阶段所生成的pca和1d-cnn认证模型中，并根据已建立发射机硬件指纹库来识别该未知身份的onu设备的合法性。如果检测到该onu设备是合法的，则会为其提供相对应的服务，否则拒绝提供服务。包括如下步骤：
[0066]
s31：olt向下行的onu设备发起认证，然后alice或者eve将会把前面olt告知的认证信息封装成ofdm数据帧，并在对应的时隙发送给olt；
[0067]
s32：olt端在收到认证数据后，会根据所占用的时隙来调用该alice合法onu设备对应的认证模型，并检验该onu设备是不是合法用户所使用的；
[0068]
s33：如图5所示，在面对来自不同位置下eve的伪装攻击时候，该认证模型能够100％检测到距离alice所在位置0.6公里以外的伪装攻击。而在eve距离alice0.6公里以内时候，该认证模型不能够完全识别出eve的伪装攻击。且eve与alice之间的距离越近，该认证模型越难识别出eve伪装攻击。此外，该认证模型能够以100％识别准确率检测出合法用户alice，如图6所示。
[0069]
最后说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本技术方案的宗旨和范围，其均应涵盖在本发明的权利要求范围当中。

技术特征：
1.一种基于可变光纤信道指纹的ofdm-pon物理层认证方法，其特征在于：使用神经网络直接从ofdm光谱中学习每个合法onu的光纤信道指纹，然后在训练神经网络的过程中加入负样本来增强神经网络检测非法用户的能力，具体包括以下步骤：s1：认证准备阶段：光线路终端olt告知下行所有的合法onu设备下一轮认证所需要的认证信息，然后合法onu设备把认证信息封装成ofdm数据帧并发送给olt；s2：离线训练阶段：olt接收到合法onu设备的ofdm光信号后，首先用光放大器对ofdm光信号进行放大，然后用光谱分析仪来获取ofdm光信号的光谱数据，并制作成数据集，用来训练神经网络，生成pca和1d-cnn认证模型以及相应的光纤信道指纹库；光纤信道指纹库里面不仅包括合法onu设备的光纤信道指纹，同时还有伪非法onu设备的光纤信道指纹；s3：在线认证阶段：首先onu设备发送认证数据给olt，然后olt将onu发送的认证数据输入进离线训练阶段所生成的pca和1d-cnn认证模型中，并根据已建立光纤信道指纹库来识别该onu设备的合法性；如果检测到该onu设备是合法的，则为其提供相对应的服务，否则拒绝提供服务。2.根据权利要求1所述的基于可变光纤信道指纹的ofdm-pon物理层认证方法，其特征在于：步骤s1具体包括以下步骤：s11：在认证前，每个合法onu设备掌握认证过程中所需要的认证信息，分为两种情况：对于已经部署好的合法onu设备而言，olt直接通过广播通信的方式将装有认证信息的ofdm数据帧派发给下行的所有合法onu设备；对于刚接入ofdm-pon系统的新合法onu设备来说，其认证信息由人工输入进onu设备中；s12：在获取到认证信息后，所述合法onu设备和olt进行如下步骤：在获取到认证信息后，所述合法onu设备将认证信息存储到磁盘中，并立即将认证数据发送给olt；当携带认证数据的ofdm光信号到达olt后，首先被光放大器进行光信号放大，然后根据每个onu用户所占用的不同时隙来将ofdm光信号分隔开，最后再用光谱分析仪来获取ofdm光信号的光谱数据并制作神经网络训练过程中所用到的数据集。3.根据权利要求1所述的基于可变光纤信道指纹的ofdm-pon物理层认证方法，其特征在于：步骤s2具体包括以下步骤：s21：根据每个合法用户所占用的不同时隙把ofdm光信号分隔开，分别制作成对应的正样本；s22：为合法onu设备准备负样本数据集，包括：选定合法onu设备周围0.6km的距离作为负样本的采集点，然后让合法onu在此位置发送认证数据给olt；olt首先用光放大器进行光信号放大，然后用光谱分析仪来获取ofdm光信号的光谱数据并制作成合法onu的负样本数据集；s23：将步骤s21和步骤s22的数据集划为训练集、验证集和测试集；s24：用pca算法对训练集进行初次特征提取以及降维，同时验证集和测试集也需要根据训练集的均值和方差进行pca算法预处理；s25：将经过pca预处理后的训练集和验证集输入进1d-cnn中进行训练；所述1d-cnn包
括一个卷积层、一个relu激活层、一个最大池化层、一个全局平均池化层、一个全连接层和softmax分类器；s26：在经过多次迭代后，得到pca和1d-cnn认证模型，并建立对应的光纤信道指纹库，包括合法onui的光纤信道指纹以及伪非法onui的光纤信道指纹。4.根据权利要求1所述的基于可变光纤信道指纹的ofdm-pon物理层认证方法，其特征在于：步骤s3具体包括以下步骤：s31：olt向下行的onu设备发起认证，然后onu设备把olt告知的认证信息封装成ofdm数据帧，并在对应的时隙发送给olt；s32：olt端在收到某个onu设备的认证数据后，立即调用该合法onu设备对应的认证模型来检验该onu设备是不是合法用户所使用的；s33：如果识别结果为合法用户，则会该用户提供数据服务功能，如果识别结果为非法用户，则拒绝为其提供服务。

技术总结
本发明涉及一种基于可变光纤信道指纹的OFDM-PON物理层认证方法，属于光纤通信安全领域，将ONU与OLT之间的传输光纤分为主干光纤和分支光纤两段，通过调节分支光纤的长度来实现可变的光纤信道指纹，利用光谱作为光纤信道指纹特征的载体，在OLT端使用光谱分析仪来导出每个ONU设备的OFDM光谱数据，然后用主成分分析法对采集的原始OFDM光谱数据进行初次特征提取和降维，最后再利用一维卷积神经网络来分类识别。本发明不需要加密算法参与，而且认证流程更为简单。流程更为简单。流程更为简单。


技术研发人员：巩小雪 江振宇 张帆 张旭 张宇坤 郭磊
受保护的技术使用者：重庆邮电大学
技术研发日：2023.06.29
技术公布日：2023/9/14