专利名称:一种分组密码计数器运行模式中计数器的选择和同步方法
一种分组密码计数器运行模式中计数器的选择和同步方法技术领域
本发明属网络安全领域,涉及一种分组密码计数器运行模式中计数器的选择和同 步方法,尤其涉及一种适合在EPON系统中使用分组密码计数器运行模式的计数器的选择 和同步方法。
背景技术:
EPON(Ethernet Passive Optical Network,以太无源光网络)是一种新型的 光纤接入网技术,由 0LT(0ptical Line ^Terminal,光线路终端)、ONU(Optical Network Unit,光网络单元)和POSG^assive Optical Splitter,无源光分路器)组成,它采用点 到多点拓扑结构、无源光纤传输,在以太网之上提供多种业务,其中点到多点拓扑结构利 用MPCP(Muti-Point Control Protocol,多点控制协议)协议来控制,该协议主要包括 LLID (Logical link identifier,逻辑链路标识)、状态机、源地址、目的地址、同步EPON系 统时间的MPCP时钟等信息。它在物理层采用了 PON(Passive Optical Network,无源光 网络)技术,在链路层使用以太网Khernet协议,利用PON的拓扑结构实现了以太网的接 入。因此,它综合了 PON技术和以太网技术的优点低成本、高带宽、扩展性强、灵活快速 的服务重、与现有以太网的兼容性和方便的管理等。EPON系统下行方向OLT采用广播方 式向ONU传输数据,ONU根据广播中的LLID来获取属于自己的数据,恶意ONU很容易截获 系统中其它ONU的信息,为提高数据的保密性,许多运营商都在EPON系统中利用分组密 码(Block Cipher)机制对OLT和ONU之间传输的数据提供了加密功能。分组密码机制包 括两部分第一,分组密码算法的选择,例如美国的AES (Advanced Encryption Standard) 和中国的SMS4(a!ang Mi Suanfa 4)分组密码算法;第二,算法运行模式的选择,例如 ECB (Electronic Code Book,电子密码本)、CBC (Cipher Block Chaining,密码分组链接)、 CFB (Cipher Feedback,密码反馈)、OFB (Output Feedback,输出反馈)和 CTR (Counter,计 数器)等模式。其中,选择使用的分组密码算法的CTR计数器运行模式如图1所示,它的特 点是当进行加密计算时,首先使用计数器作为输入分组,利用分组密码算法加密,然后将 加密输出分组和需要加密的明文进行异或计算产生相应的密文,每一组所使用的计数器都 不相同;当进行解密计算时,首先使用计数器作为输入分组,利用分组密码算法加密,然后 将加密输出分组和需要解密的密文进行异或计算产生相应的明文,每一组数据所使用的计 数器相同。
当利用分组密码计数器运行模式进行数据加密处理时,如果每次作为输入分组的 计数器相同的话,则通过分组密码算法加密输出的结果都是相同的,这样大大降低了计数 器运行模式的安全性。因此,分组密码计数器运行模式中计数器的选择至关重要。
当利用分组密码计数器运行模式进行数据解密处理时,解密每一组数据所使用的 计数器需要和加密时使用的相同。因此,分组密码计数器运行模式中加解密双方对计数器 使用的同步也至关重要。发明内容
为了解决背景技术中存在的上述技术问题,本发明提供了一种安全有效的的适合 在EPON系统中使用分组密码计数器运行模式的计数器的选择和同步方法。
本发明的技术解决方案是本发明提供了一种分组密码计数器运行模式中计数器 的选择和同步方法,其特殊之处在于所述方法包括以下步骤
1)发送方选择需要保护的EPON信息;
2)发送方选择合适的计数器并使用分组密码计数器运行模式加密步骤1)中所选 择的需要保护的EPON信息;
3)发送方同步选择的计数器并将步骤2)加密的被保护的信息发送给接收方;
4)接收方收到来自步骤幻的加密的被保护的信息后,同步发送方加密选择的计 数器,解密被保护的信息。
上述步骤1)中发送方所选择的需要保护的EPON信息包括目的地址DA字段、源地 址SA字段、类型/长度Type/Len字段、数据Data字段、填充Pad字段以及校验FCS字段, 所述需要保护的EPON信息不包括前导码I^eamble。
上述步骤幻中发送方所选择合适的计数器包括常数、MPCP时钟以及组计数器;
其中
常数发送方与接收方所使用的固定值,根据具体应用环境,所述常数包括MAC地 址以及逻辑链路标识LLID ;其中逻辑链路标识LLID取值与MPCP协议中包含的逻辑链路标 识LLID数值相同;MAC地址与LLID对应,是发送方与LLID对应的MAC实体地址;
MPCP时钟长度32比特,取值与MPCP协议中包含的MPCP时钟数值相同;其中, MPCP时钟的最低6比特会在网络传输过程中在发送方和接收方产生偏差,造成发送方和接 收方加解密所使用的计数器无法同步,不相同;
组计数器需要保护的EPON信息以分组密码的分组长度为单位,每增加一组数 据,组计数器值增加1,初始值设为1或非1的其他数值。
上述步骤幻的具体实现方式是发送方在前导码!Preamble原有格式中新增加安 全SEC字段;
其中
安全SEC字段长度为8比特,安全SEC字段用于传输发送方使用的MPCP时钟的 最低6比特位,MPCP时钟的最低6比特位用于接收方同步发送方加密选择的计数器,解密 被保护的信息。
上述步骤3)中所述安全SEC字段表示发送方是否启动加密保护EPON信息的机 制。
上述步骤幻中发送方不启动加密保护EPON信息机制时,所述安全SEC字段值为 0x55。
上述步骤3)中发送方启动加密保护EPON信息的机制,同步选择的计数器并将加 密的被保护的信息发送给接收方时,所述安全SEC字段包括MPCP最低有效位、标识以及密 钥索引,其中
MPCP最低有效位长度是6比特,是发送方的MPCP时钟的最低有效位;
标识长度是1比特,取值为1表示加密;取值为0表示未加密;
密钥索引长度是1比特,表示安全SEC字段所使用的密钥标识。
上述步骤4)的具体实现方式是接收方收到发送方发送的被保护的信息之后,使 用分组密码计数器运行模式解密被保护的EPON信息;所述同步计数器包括常数、MPCP时钟 以及组计数器;
其中
常数发送方与接收方所使用的固定值,根据具体应用环境,包括MAC地址以及逻 辑链路标识LLID,其中逻辑链路标识LLID取值与MPCP协议中包含的逻辑链路标识LLID数 值相同;MAC地址与LLID对应,是发送方与LLID对应的MAC实体地址;
MPCP时钟长度32比特,取值与MPCP协议中包含的MPCP时钟数值相同;
组计数器需要保护的EPON信息以分组密码的分组长度为单位,每增加一组数 据,组计数器值增加1,初始值为与发送方设置的组计数器的初始值相同;
其中,MPCP时钟的最低6比特会在网络传输过程中在发送方和接收方产生偏差, 接收方使用前导码I^reamble中安全SEC字段所传输的发送方使用的6比特的MPCP最低有 效位代替MPCP协议中包含的MPCP时钟的最低6比特值。
本发明的优点是
本发明提供了一种适合在EPON系统中使用分组密码计数器运行模式的计数器的 选择和同步方法,实现了发送方加密时使用的计数器的新鲜性,又实现了接收方解密时所 使用的计数器和发送方加密时使用的相同,大大提高了 EPON系统使用分组密码计数器运 行模式的安全性和有效性。
图1是公知的分组密码算法的CTR计数器运行模式示意图。
图2是本发明所提出的需要保护的EPON信息。
图3是本发明所提出的计数器的组成。
图4是本发明所提出的安全SEC字段的组成。
图5是本发明所提出的安全SEC字段的字段值。
具体实施方式
本发明提供了一种分组密码计数器运行模式中计数器的选择和同步方法,OLT和 ONU之间传输的数据时,主动发送加密数据的一方为发送方,对接收到的加密数据进行解密 处理的一方为接收方,该方法包括以下步骤
1)发送方选择需要保护的EPON信息;参见图2,发送方需要保护的EPON信息包括 数据帧的目的地址DA字段、源地址SA字段、类型/长度Type/Len字段、数据Data字段、填 充Pad字段以及校验FCS字段,不包含前导码I^eamble。
2)发送方选择合适的计数器,使用分组密码计数器运行模式加密步骤1)中选择 的需要保护的EPON信息;参见图3,选择的计数器由三部分组成常数、MPCP时钟和组计数 器,其中
常数发送方与接收方所使用的固定值,根据具体应用环境,可包括MAC地址和逻 辑链路标识LLID等,其中逻辑链路标识LLID取值与技术背景中所述的MPCP协议中包含的逻辑链路标识LLID数值相同;MAC地址与LLID对应,是发送方与LLID对应的MAC实体地 址;
MPCP时钟长度32比特,取值与技术背景中所述的MPCP协议中包含的MPCP时钟 数值相同。其中,MPCP时钟的最低6比特会在网络传输过程中在发送方和接收方产生偏差, 造成发送方和接收方加解密所使用的计数器无法同步,不相同;
组计数器需要保护的EPON信息以分组密码的分组长度为单位,每增加一组数 据,组计数器值增加1,初始值可设为1或其他数值。
3)发送方同步选择的计数器,发送步骤2、加密的被保护的信息给接收方;发送方 同步选择的计数器时在前导码!Gamble原有格式中新增加安全SEC字段,长度为8比特, 此字段用来传输发送方使用的MPCP时钟的最低6比特位,MPCP时钟的最低6比特位用于 接收方同步发送方加密选择的计数器,解密被保护的信息。参见4,其中安全SEC字段的定 义如下
安全SEC 长度为8比特,如果发送方不启动加密保护EPON信息的机制,则此字段 值为0x55 ;如果发送方启动加密保护EPON信息的机制,则安全SEC字段值定义如图5所示, 包括MPCP最低有效位、标识以及密钥索引,其中
MPCP最低有效位长度是6比特,是发送方的MPCP时钟的最低有效位;
标识长度是1比特,取值为1表示加密;取值为0表示未加密;
密钥索引长度是1比特,表示安全SEC字段所使用的密钥标识。
4)接收方收到来自步骤幻的加密的被保护的信息后,同步发送方加密选择的计 数器,解密被保护的信息。接收方收到发送方发送的被保护的信息之后,使用分组密码计数 器运行模式解密被保护的EPON信息,同步计数器的方法和步骤2、中发送方的实现方式相 同,由三部分组成常数、MPCP时钟和组计数器。如图3所示,其中
常数发送方与接收方所使用的固定值,根据具体应用环境,可包括MAC地址和逻 辑链路标识LLID等,其中逻辑链路标识LLID取值与技术背景中所述的MPCP协议中包含的 逻辑链路标识LLID数值相同;MAC地址与LLID对应,是发送方与LLID对应的MAC实体地 址;
MPCP时钟长度32比特,取值与技术背景中所述的MPCP协议中包含的MPCP时钟 数值相同;
组计数器需要保护的EPON信息以分组密码的分组长度为单位,每增加一组数 据,组计数器值增加1,初始值与发送方设置的组计数器的初始值相同。
其中,MPCP时钟的最低6比特会在网络传输过程中在发送方和接收方产生偏差, 接收方使用前导码I^reamble中安全SEC字段所传输的OLT使用的6比特的MPCP最低有效 位代替MPCP协议中包含的MPCP时钟的最低6比特值。
接收方根据上述方式同步计数器后,使用分组密码计数器运行模式解密被保护的 EPON信息。
权利要求
1.一种分组密码计数器运行模式中计数器的选择和同步方法,其特征在于所述方法 包括以下步骤1)发送方选择需要保护的EPON信息;2)发送方选择计数器并使用分组密码计数器运行模式加密步骤1)中所选择的需要保 护的EPON信息;3)发送方同步其所选择的计数器并将步骤幻加密的被保护的信息发送给接收方;4)接收方收到来自步骤幻的加密的被保护的信息后,同步发送方加密选择的计数器, 解密被保护的信息。
2.根据权利要求1所述的分组密码计数器运行模式中计数器的选择和同步方法,其特 征在于所述步骤1)中发送方所选择的需要保护的EPON信息包括目的地址DA字段、源地 址SA字段、类型/长度Type/Len字段、数据Data字段、填充Pad字段以及校验FCS字段, 所述需要保护的EPON信息不包括前导码I^eamble。
3.根据权利要求2所述的分组密码计数器运行模式中计数器的选择和同步方法,其特 征在于所述步骤2~)中发送方所选择合适的计数器包括常数、MPCP时钟以及组计数器;其中常数发送方与接收方所使用的固定值,根据具体应用环境,所述常数包括MAC地址以 及逻辑链路标识LLID ;其中逻辑链路标识LLID取值与MPCP协议中包含的逻辑链路标识 LLID数值相同;MAC地址与LLID对应,是发送方与LLID对应的MAC实体地址;MPCP时钟长度32比特,取值与MPCP协议中包含的MPCP时钟数值相同;其中,MPCP时 钟的最低6比特会在网络传输过程中在发送方和接收方产生偏差,造成发送方和接收方加 解密所使用的计数器无法同步,不相同;组计数器需要保护的EPON信息以分组密码的分组长度为单位,每增加一组数据,组 计数器值增加1,初始值设为1或非1的其他数值。
4.根据权利要求3所述的分组密码计数器运行模式中计数器的选择和同步方法,其特 征在于所述步骤3)的具体实现方式是发送方在前导码I^eamble原有格式中新增加安 全SEC字段;其中安全SEC字段长度为8比特,安全SEC字段用于传输发送方使用的MPCP时钟的最低 6比特位,MPCP时钟的最低6比特位用于接收方同步发送方加密选择的计数器,解密被保护 的信息。
5.根据权利要求4所述的分组密码计数器运行模式中计数器的选择和同步方法,其特 征在于所述步骤3)中所述安全SEC字段表示发送方是否启动加密保护EPON信息的机制。
6.根据权利要求5所述的分组密码计数器运行模式中计数器的选择和同步方法,其特 征在于所述步骤幻中发送方不启动加密保护EPON信息机制时,所述安全SEC字段值为 0x55。
7.根据权利要求5所述的分组密码计数器运行模式中计数器的选择和同步方法,其特 征在于所述步骤幻中发送方启动加密保护EPON信息的机制,同步选择的计数器并将加密 的被保护的信息发送给接收方时,所述安全SEC字段包括MPCP最低有效位、标识以及密钥 索引,其中MPCP最低有效位长度是6比特,是发送方的MPCP时钟的最低有效位; 标识长度是1比特,取值为1表示加密;取值为0表示未加密; 密钥索引长度是1比特,表示安全SEC字段所使用的密钥标识。
8.根据权利要求4或5或6或7所述的分组密码计数器运行模式中计数器的选择和同 步方法,其特征在于所述步骤4)的具体实现方式是接收方收到发送方发送的被保护的 信息之后,使用分组密码计数器运行模式解密被保护的EPON信息;所述同步计数器包括常 数、MPCP时钟以及组计数器; 其中常数发送方与接收方所使用的固定值,根据具体应用环境,包括MAC地址以及逻辑链 路标识LLID,其中逻辑链路标识LLID取值与MPCP协议中包含的逻辑链路标识LLID数值相 同;MAC地址与LLID对应,是发送方与LLID对应的MAC实体地址;MPCP时钟长度32比特,取值与MPCP协议中包含的MPCP时钟数值相同; 组计数器需要保护的EPON信息以分组密码的分组长度为单位,每增加一组数据,组 计数器值增加1,初始值为与发送方设置的组计数器的初始值相同;其中,MPCP时钟的最低6比特会在网络传输过程中在发送方和接收方产生偏差,接收 方使用前导码I^reamble中安全SEC字段所传输的发送方使用的6比特的MPCP最低有效位 代替MPCP协议中包含的MPCP时钟的最低6比特值。
全文摘要
本发明涉及一种分组密码计数器运行模式中计数器的选择和同步方法,该方法包括以下步骤1)发送方选择需要保护的EPON信息;2)发送方选择合适的计数器并使用分组密码计数器运行模式加密步骤1)中所选择的需要保护的EPON信息;3)发送方同步选择的计数器并将步骤2)加密的被保护的信息发送给接收方;4)接收方收到来自步骤3)的加密的被保护的信息后,同步发送方加密选择的计数器,解密被保护的信息。本发明提供了一种安全有效的的适合在EPON系统中使用分组密码计数器运行模式的计数器的选择和同步方法。
文档编号H04Q11/00GK102035642SQ20101059764
公开日2011年4月27日 申请日期2010年12月20日 优先权日2010年12月20日
发明者李琴, 胡亚楠, 铁满霞 申请人:西安西电捷通无线网络通信股份有限公司