(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111376559.0 (22)申请日 2021.11.19 (65)同一申请的已公布的文献号 申请公布号 CN 113993013 A (43)申请公布日 2022.01.28 (73)专利权人 北京邮电大 学 地址 100876 北京市海淀区西土城路10号 (72)发明人 纪越峰　吴坤　王宏祥　 (74)专利代理 机构 北京挺立专利事务所(普通 合伙) 11265 专利代理师 高福勇 (51)Int.Cl. H04Q 11/00(2006.01) H04L 9/40(2022.01) G06N 3/08(2006.01)(56)对比文件 US 20151319 93 A1,2015.0 5.14 审查员 赵航 (54)发明名称 一种基于光纤信道特性与神经网络的PON身 份认证方法 (57)摘要 本发明公开了一种基于光纤信道特性与神 经网络的PON身份认证方法。 该方法分为四个步 骤： 1)光线路终端与合法光网络单元秘密协商； 2)光线路终端在本地训练神经网络； 3)光网络 单 元将探测序列和 信息比特调制到不同波长上， 然 后将调制后的信号传输到光线路终端； 4)光线路 终端将对应探测序列的接收数据输入训练好的 神经网络中进行身份认证。 如果是合法光网络单 元， 则处理该数据； 反之， 则丢弃该数据。 本发明 通过将合法光网络单元本地光纤对信号造成的 畸变作为合法用户指纹的方法， 有效的解决了非 法用户通过未授权光网络单元进行身份伪造攻 击问题， 实现了PON的物理层身份认证， 保证了 PON的高安全性。 权利要求书1页 说明书4页 附图5页 CN 113993013 B 2022.09.16 CN 113993013 B 1.一种基于光纤信道特性与神经网络的PON身份认证方法， 其特 征在于： 首先光线路终端与每个合法光网络单元协商合法光网络单元所使用本地光纤的长度、 探测序列、 两个光信号波长λ1和 λ2； 协商之后， 光线路终端在本地模拟其到每个合法光网络 单元的光纤路径， 并且获得探测序列输入下 的接收数据， 然后利用该接 收数据和探测序列 在本地训练一个具有光纤信道特性识别功能的神经网络， 该神经网络的输入数据是对应探 测序列的接收数据， 标签数据是探测序列； 光网络单元在通信之前， 先将探测序列和信息比 特调制到 不同的波 长 λ1和 λ2上， 然后将调制后的信号一起通过光纤传输到光线路 终端， 不同 合法光网络所使用的波长也必须是不一样的， 这是为了让光线路终端 可以区分出不同光网 络单元发送的数据； 当光线路终端接 收到数据之后， 将该数据中对应探测序列的接 收数据 输入到训练好的对应于该合法光网络单元的神经网络中， 如果神经网络输出数据与探测序 列的比特不匹配率大于 设定的临界值， 则认为该信号是非法光网络单元通过身份伪造发送 的； 反之， 则认为是合法光网络单元发送的数据； 如果该数据来自合法光网络单元， 则处理 该接收数据； 反 之， 则丢弃 该接收信息 。 2.根据权利要求1所述的基于光纤信道特性与神经网络的PON身份认证方法， 其特征在 于， 所述的协商， 是指合法光网络单元可以和光线路终端进 行保密通信少量比特信息， 需要 注意的是每个合法光网络单元所使用的光纤长度可能是不一样的， 只需要保证光线路终端 知道每个合法光网络单 元所用本地 光纤的长度即可。 3.根据权利要求1所述的基于光纤信道特性与神经网络的PON身份认证方法， 其特征在 于， 所述的神经网络的训练， 是指将探测序列输入 下的接收数据作为神经网络的输入数据， 探测序列 作为标签数据。 4.根据权利要求1所述的基于光纤信道特性与神经网络的PON身份认证方法， 其特征在 于， 所述的身份认证， 是指对应探测序列的接收数据输入已经训练好的神经网络中， 然后计 算神经网络的输出数据与探测序列的比特不匹配率， 如果在设定的误差范围之内， 则认为 该数据经历了合法光网络单元到光线路终端的光纤路径， 即匹配上了提前协商的信道特性 指纹， 认为是合法光网络单 元； 反之， 则指纹不匹配， 认为是非法光网络单 元。 5.根据权利要求1所述的基于光纤信道特性与神经网络的PON身份认证方法， 其特征在 于， 所述的处理接 收数据， 是指将对应信息比特 的接收数据利用信道补偿算法得到无误码 的信息比特， 从而实现了合法光网络单 元和光线路终端的安全认证和通信。权　利　要　求　书 1/1 页 2 CN 113993013 B 2一种基于光纤信 道特性与神经 网络的PON身份认证方 法 技术领域 [0001]本发明涉及一种PON中针对身份伪造攻击的解决方案， 基于光纤信道特性与神经 网络有效的实现了PON物理层的身份认证， 属于光网络安全技 术领域。 背景技术 [0002]无源光网络(PON)因为其具有高速、 可靠的数据传输、 低 功耗和低复杂度等优点被 广泛的应用， 特别的是被称为 “万兆无源光网络技术 ”被认为是未来互联网接入的核心 技术 之一。 然而， 因为无源光网络的广播特性和点到多点的拓扑结构， 所以在无源光网络中存在 着许多安全性威胁， 比如窃听、 干扰、 设备破坏和身份假冒攻击等等。 为了解决这些问题， 许 多不同类型的安全方案被调查和提出。 在这些安全方案中主要还只能保证数据在传输过程 中的安全， 然而网络攻击并不只会发生在传输链路上还有可能发生在接入侧， 也就是非法 接入设备进行身份伪造攻击， 并且这类攻击的攻击效果对于具有广播特性和点到多点拓扑 结构的无源光网络更为显著。 在无源光网络的上行传播中， 因为大量的光网络单元通过一 根共用的公共光纤与光线路终端连接并通信， 所以恶意的非法用户可以通过未授权的光网 络单元非法接入到无源光网络中。 因此， 能够在无源光网络中正确的识别合法光网络单元 和非法光网络单 元是非常重要的。 [0003]目前， 解决无源光网络中身份伪造攻击的方法主要是通过在光网络的上层用加密 算法的方式实现的， 比如密钥认证和身份识别码认证等的方式。 最理想的密码应该是很简 单就可以被记住、 很难去猜测并且可以抵御暴力破解， 同时有许多基于哈希函数 的安全增 强方案被提出， 但是这类方案因为具有泄漏、 修改和 假冒等风险依然无法满足需要更高安 全需求的具体场景。 另一方面， 虽然身份识别码认证由于其基于公钥加密的特性而安全性 更高， 但是身份识别码认证需要一个可靠的第三方， 也就是身份代理人机构进行数字码的 分发， 并且这个身份代理人机构需要提前部署， 在认证过程中还需要 执行一定的协 议， 所以 身份识别码认证是十分复杂以及昂贵的。 [0004]为了在无源光网络中提供更加有效的身份认证， 许多研究者开始调查基于物理层 的安全方案。 在射频通信中， 有研究者参照生物特征识别的原理提出了 设备指纹的概念， 设 备指纹是指物理层上不可复制且独一无二的特征。 同时， 有研究者利用光网络单元发送端 设备独一无二的设备不完美性作为设备指纹实现了PON的身份认证， 但是该指纹无法进行 修改， 即光网络单元和光线路终端无法在通信的时候对该指纹进行修改。 当非法光网络对 合法光网络单元发送的信号进 行接收和主成分分析之后， 该方案的指纹可以被模拟。 因此， 针对未来多变且不可预知的攻击模式， 利用固定的指纹实现的身份认证并不能够满足未来 高的安全需求。 [0005]基于以上问题， 本发明提出一种基于光纤信道特性与神经网络的PON身份认证方 法， 从物理层有效的解决了PON中身份伪造攻击问题。说　明　书 1/4 页 3 CN 113993013 B 3