同轴网络上的以太网无源光网络中的认证和初始密钥交换的制作方法
【专利说明】同轴网络上的以太网无源光网络中的认证和初始密钥交换
[0001]相关申请案交叉申请
[0002]本发明要求2013年4月5日由Yanbin Sun等人递交的发明名称为“用于在同轴以太网无源光网络协议中的认证和初始密钥交换的方法和装置(Method and Apparatus forAuthenticat1n and Initial Key Exchange in an Ethernet Passive Optical NetworkProtocol over Coax) ”的第61/809,162号美国临时专利申请案以及2013年5月15日由Yanbin Sun等人递交的发明名称为“用于在同轴以太网无源光网络协议中的认证和初始密钥交换的方法和装置(Method and Apparatus for Authenticat1n and InitialKey Exchange in an Ethernet Passive Optical Network Protocol over Coax),,的第61/823,506号美国临时专利申请案的在先申请优先权,并且要求2014年4月2日由YanbinSun等人递交的发明名称为“在同轴网络上的以太网无源光网络中的认证和初始密钥交换(Authenticat1n and Initial Key Exchange in Ethernet Passive Optical Networkover Coax Network) ”的第14/243,387号美国专利申请案的在先申请优先权,所述全部在先申请的内容如同全文复制一般以引入的方式并入本文本中。
技术领域
[0003]本申请案涉及通信技术的领域,并且更确切地说涉及在同轴网络上的以太网无源光网络中的认证和初始密钥交换。
【背景技术】
[0004]无源光网络(PON)是用于提供访问终端用户的核心网络的一种系统。PON可以是具有位于光分配网络(ODN)中的无源分离器以使得来自中心局的单个供给光纤服务于多个用户端的点对多点(P2MP)网络。PON可采用不同波长以用于上行和下行传输。以太网PON(EPON)是由电气和电子工程师学会(IEEE)研发并且在IEEE文档802.3ah和802.3av中说明的PON标准,所述文档以引用的方式并入本文中。采用EPON和其它网络类型这两者的混合接入网络已经吸引了越来越多的注意力。
【发明内容】
[0005]在一个实施例中,本发明包含光纤同轴单元(rcu),其包括:光接口,用于通过PON耦合到光线路终端(OLT);处理器,耦合到光接口 ;电接口,耦合到处理器,并且用于通过同轴以太网PON(EPoC)网络耦合到同轴网络单元(CNU),并通过EPoC将多个加密的安全密钥转发到CNU。
[0006]在另一实施例中,本发明包含OLT,其包括:接收器,耦合到PON并且用于通过PON接收来自FCU的安全密钥请求;处理器,耦合到接收器,并且用于响应于来自FCU的安全密钥请求生成第一安全密钥,并在安全密钥响应消息中加密第一安全密钥;以及发射器,耦合到处理器并且用于通过PON将包括加密的第一安全密钥的安全密钥响应消息传输到FCU。
[0007]在另一实施例中,本发明包含一种方法,其包括:在密钥交换计时器过期之后生成经更新安全密钥;将经更新安全密钥传递到CNU ;保留初始密钥,其中经更新安全密钥包括与初始密钥相比不同的密钥识别编号;接受并解密采用或初始密钥或更新密钥的上行流量;在将经更新安全密钥传递到CNU之后形成密钥切换计时器;在密钥切换计时器过期之前验证从逻辑链路上的CNU传递的上行流量使用经更新安全密钥;并且当上行流量是使用经更新安全密钥加密时,开始使用经更新安全密钥以加密下行流量并清除密钥切换计时器。
[0008]从结合附图以及权利要求书进行的以下详细描述中将更清楚地理解这些以及其他特征。
【附图说明】
[0009]为了更透彻地理解本发明,现参阅结合附图和【具体实施方式】而描述的以下简要说明,其中的相同参考标号表不相同部分。
[0010]图1是通用光学同轴网络的一个实施例的示意图。
[0011]图2是网元(NE)的一个实施例的示意图,所述网元可以用作通用光学同轴网络中的节点。
[0012]图3是通过中继器F⑶的下行认证和密钥交换的方法的一个实施例的协议图。
[0013]图4是通过网桥F⑶的下行认证和密钥交换的方法的一个实施例的协议图。
[0014]图5是通过网桥rcu的双向认证和密钥交换的方法的一个实施例的协议图。
[0015]图6是通过网桥rcu的双向认证和密钥交换的方法的另一实施例的协议图。
[0016]图7是通过网桥F⑶的密钥切换的方法的一个实施例的协议图。
[0017]图8是通过中继器F⑶的密钥切换的方法的一个实施例的协议图。
[0018]图9是密钥切换验证的方法的一个实施例的协议图。
【具体实施方式】
[0019]首先应理解,尽管下文提供一项或多项实施例的说明性实施方案,但所公开的系统和/或方法可使用任何数目的技术来实施,无论该技术是当前已知还是现有的。本发明决不应限于下文所说明的说明性实施方案、附图和技术,包括本文所说明并描述的示例性设计和实施方案,而是可在所附权利要求书的范围以及其等效物的完整范围内修改。
[0020]EPoC系统可以是采用光学技术和同轴技术这两者的混合接入网络。EPoC可以包括:光学区段,其可以包括Ρ0Ν;以及同轴区段,其可以包括同轴电缆网络。在PON区段中,OLT可以位于本地交换局或中心局中,其中OLT可将EPoC接入网络连接到互联网协议(IP)、同步光网络(SONET)和/或异步传递模式(ATM)骨干。在同轴区段中,CNU可以位于终端用户位置处,并且每个CNU可服务于可以被称为订户的多个(例如,三个到四个)终端用户。FCU可合并网络的PON区段与同轴区段之间的接口。FCU可以是单个箱式单元,其可以位于光网络和电网络耦合在一起处,例如,在路缘或在公寓楼的地下室处。
[0021]PON系统可以假定为安全的,因为PON系统的所有元件可以由PON运营商控制。CNU可以位于用户端上,并且由于EPoC网络的无源树传输本质,每个CNU可接收指向其它CNU的数据。因为每个CNU可接收其它CNU数据,所以CNU可能遭受窃听,并且可能被视为不安全的。因此,EPoC CNU可能产生在仅光网络中不可能存在的安全问题。
[0022]本文中所揭示的是在EPoC网络中与CNU交换和更新安全密钥的机制。密钥可以用于加密和/或解密消息以抵御除既定CNU外的收听者的窃听。在一个实施例中,CNU可在认证到EPoC网络中之后请求和接收来自OLT的安全密钥。密钥可以是加密的以防止密钥被其它收听者获得。位于OLT与CNU之间的FCU可充当中继器,并且可透明地将密钥传递到CNU。在另一实施例中,F⑶可以网桥模式配置并且可充当代理伺服器,方法是在光网络和电网络中生成密钥和/或保持独立的安全域。此类密钥可以用于加密仅下行消息和/或双向消息。F⑶和/或OLT可在计时器过期之后进一步传递经更新安全密钥。OLI^P/或F⑶也可以验证至经更新密钥的转换是成功的。
[0023]图1是通用光学同轴网络100的一个实施例的示意图,所述光学同轴网络包括:光域150,例如,光纤/PON域;以及同轴域152,例如,EPoC域。网络100可以包含:0LT 110 ?’至少一个CNU 130,耦合到多个订户设备140 ;以及FCU 120,其位于OLT 110与CNU 130之间,例如,位于光域150与同轴域152之间。OLT 110可以通过ODN 115耦合到FCU 120,并且任选地耦合到一或多个ONU 170,或光域150中的一或多个混合光纤同轴(HFC)节点160。ODN 115可以包括光纤、光学分离器117和/或将OLT 110耦合到TOU 120和任何ONU 170的I XM个无源光学分离器的级联。EPoC中M的值,例如,的数目,可例如是4、8、16或其它值并且可以由运营商取决于光功率预算等因素来选择。FCU 120可以通过电力分配网络(EDN) 135耦合到CNU 130,所述电力分配网络可以包括电缆分离器137、分接头/分离器的级联和/或一或多个放大器。每个OLT 110端口可服务32、64、128或256个CNU 130。应注意,由于分接头的方向性特性来自CNU 130的上行传输可到达F⑶120而不是其它CNU130。OLT 110与ONU 170和/或F⑶120之间的距离可在大约10到大约20千米(km)的范围内,并且F⑶120与CNU 130之间的距离可在大约100到大约500米(m)的范围内。网络100可以包括任何数目的HFC 160、TOU120和对应的CNU 130。网络100的组件可以按图1中所示布置或是任何其它合适的布置。
[0024]网络100的光域150可以包括Ρ0Ν。光域150可以是可能不需要有源组件以在OLT110与F⑶120之间分配数据的通信网络。实际上,光域150可采用ODN 115中的无源光组件以在OLT 110与rcu 120之间分配数据。可以在光域150中实施的合适的协议的实例可以包含:由国际电信联盟(ITU)电信标准化部门(ITU-T)文档G.983定义的异步传递模式PON(APON)或宽带PON(BPON)、由ITU-T文档G.984定义的千兆比特PON(GPON)、由IEEE文档802.3ah和802.3av定义的ΕΡ0Ν,所有所述文档如同全文复制一般以引用的方式并入;波分复用(WDM) PON(WDM-PON)以及由IEEE开发的下一代EPON(NGEPON)。
[0025]OLT 110可以是用于通过F⑶120与CNU 130通信的任何设备。0LT110可充当F⑶120和/SCNU 130与另一骨干网(例如,互联网)之间的中介。OLT 110可将从骨干网接收的数据转发到F⑶120和/SCNU 130,并且将从F⑶120或CNU