无源光以太网(EPON)具有长距离，高带宽，低成本，易维护等优越特点，在最后一公里接入的竞争中倍受青睐，并由传送单一数据业务开始向传送多业务发展。 EPON在下行共享光纤带宽，为了防止信息被窃取，保证系统可靠安全，需要对信息进行加密，而在G.983标准中采用的搅动作为加密措施，这对于应用日益丰富的EPON存在很大的安全隐患。 由于单一的加密算法无法在安全性和处理负荷之间取得很好的均衡，考虑到不同业务之间流量差别和安全性要求并不相同，本文对流媒体，数据业务，认证信令业务分别采用搅动、AES、RSA三种加密算法进行加密，从而使这一加密方案在获得较高安全性的同时，也取得高吞吐量。 在设计方案中，为了不影响高层，使加密模块保持相对的独立性，本文根据以太网的接口特性，在MAC子层和RS子层之间实现一个加密子层，通过仿真GMⅡ接口，实现向上对MAC层向下对RS子层为透明，选取的加密范围包括了原地址，目的地址，数据域和校验域，并在导引序列中划分一块作为业务加密指示域，根据上层DiffServ服务在IP包中指示的TOS字段，标示不同的业务用于加密指示。 在具体实现时，使用DSP软件处理加密算法会带来大量的延时，本文提出了一种FPGA软核处理器+协处理器的硬件方案来实现这一加密系统。搅动处理简单，由FPGA全硬件逻辑实现；AES存在较多的轮过程，通过构建相应的协处理器来实现；RSA处理的数据量较少，由软核处理器软件实现；同时利用RSA的私钥密码算法特性，本文也给出一种用RSA算法对AES和搅动的公钥密码分配的方案。然后通过使用ModelSim软件对FPGA加密模块进行软件仿真，验证了本文设计的加密模块功能的正确性，为高吞吐量环境中多业务EPON系统提供了一种可行的加密安全技术。 最后，本文为这一多业务加密方案的应用提出了一种实现的参考设计方案，在MPC8560微处理器和TLK2201太网络收发芯片间加入我们的FPGA加密芯片，通过仿真GMⅡ接口实现了加密模块的具体应用。