专利名称:一种pon系统中密钥协商的方法和系统的制作方法
技术领域:
本发明涉及网络通信技术领域,尤其涉及一种PON(PassiveOptical Network,无源光网络)系统中密钥协商的方法和系统。
背景技术:
目前接入网领域在DSL(Digital Subscriber Loop,数字用户环路)技术充分发展之余,光接入技术也蓬勃兴起,尤其是PON技术更是受到业界的瞩目。PON技术是一种点到多点的光接入技术,与点到点技术相比,PON系统局端用一根光纤即可分成数十甚至更多路光纤与用户连接,大大降低了建网成本。
如图1所示,PON系统由OLT(Optical Line Termination,光线路终端)、ONU/ONT(Optical Network Unit,光网络单元/OpticalNetwork Termination,光网络终端)以及ODN(Optical DistributionNetwork,光分布网络)组成。OLT为PON系统提供SNI(Service-network Interface,业务网络接口),并连接一个或多个ODN;ODN是无源分光器件,将OLT的数据分路传输到多个ONU,并将多个ONU的数据汇总传输到OLT;ONU为PON系统提供UNI(User-network Interface,用户网络接口),并上行与ODN相连;如果ONU直接提供用户端口功能,如个人电脑上网用的以太网用户端口,则称为ONT。若无特殊说明,本说明书提到的ONU统指ONU和ONT。
在PON系统中,从OLT到ONU称为下行,反之称为上行。由于OLT的下行数据是广播发送到ONU的,网络中所有的ONU都会收到OLT发送给其他ONU的数据。为此,现有技术采用了使用密钥对发送的下行数据进行加密的方案。具体通过以下方法实现OLT向ONU广播发送请求更新密钥消息,ONU收到该消息后,生成并保存新的密钥,并将该密钥发送给OLT,OLT收到后保存密钥,与ONU约定启用新密钥的时间,在约定时刻,对下行数据启用新密钥。在该方案中,OLT使用与各ONU对应的密钥对发送给不同ONU的数据进行加密,使得系统中任何一个ONU只能解密发送给自己的数据,而无法解密发送到其他ONU的数据。
但现有技术的方案通过网络直接传输明文密钥,使得密钥很容易被他人获取,因而其安全性很差。
发明内容
本发明的目的在于提供一种PON系统中密钥协商的方法和系统,旨在于实现无源光网络中的密钥协商更加安全的目的。
本发明的目的是通过以下技术方案实现的本发明提供一种PON系统中密钥协商的方法,包括A、光线路终端OLT或光网络单元ONU发送请求更新加密密钥消息;B、OLT或ONU分别根据随机数和系统参数生成加密密钥;C、OLT或ONU发送请求启用加密密钥消息,完成密钥协商。
所述的步骤B具体包括B11、OLT和ONU分别根据随机数、系统参数生成传递数;B12、OLT和ONU分别将所述的传递数传递给对方;
B13、OLT和ONU分别根据所述的传递数生成加密密钥。
所述的随机数为由OLT和ONU分别随机生成的数x和y。
所述的系统参数为OLT和ONU都能获取的两个数a和b。
所述的步骤B具体包括B21、OLT根据公式X=axmod b,计算出传递数X,ONU根据公式Y=aymod b,计算出传递数Y;B22、OLT和ONU分别将所述的传递数X和Y传递给对方;B23、OLT根据公式k=Yxmod b生成加密密钥k,ONU根据公式k=Xymod b生成加密密钥k。
所述的传递数在请求更新加密密钥消息中包含或单独发送。
所述的获取系统参数的方法为下述方法中任一种系统参数固化在OLT和ONU中、每次通信前双方协商生成、每次通信前一方临时指定给另一方、每次通信前双方按照某种规律变化生成。
本发明还提供一种PON系统中密钥协商的系统,所述的系统包括光线路终端OLT和光网络单元ONU,所述的OLT和ONU分别根据随机数和系统参数生成加密密钥,完成密钥协商。
所述的OLT和ONU分别包括随机数生成单元,用于随机生成随机数;系统参数获取单元,用于获取系统参数;传递数生成单元,用于根据所述的随机数和系统参数生成传递数;加密密钥生成单元,用于根据所述的传递数生成加密密钥。
所述的OLT和ONU还包括消息发送和接收单元,用于发送和接收所述的传递数,以及用于发送和接收请求更新加密密钥消息、请求启用加密密钥消息、确认响应消息。
由本发明提供的技术方案可以看出,本发明是由OLT和ONU根据随机数和系统参数生成加密密钥进行密钥协商的,整个协商过程中传输的是由随机数和系统参数生成的传递数,窃听者获取了传递数,甚至其获取了系统参数,也因为不知道随机数而无法获得加密密钥,与现有技术通过网络直接传输明文密钥相比,大大的提高了密钥协商过程的安全性;另外本发明和现有技术相比,更关注于发送的是传递数,而不是明文密码,对基本的流程改动比较小,有利于密钥协商方案的推广和应用。而且在本发明中,发送的传递数或响应消息是采用分片后多次发送的方式进行的,将数据分片发送可以有效提高数据传输的安全性,而采用多次发送方式可以提高数据传输的可靠性。
图1为PON系统示意图;图2为本发明方法的实现流程图;图3为本发明中加密密钥生成示意图;图4为本发明系统的示意图。
具体实施例方式
如图2、图3所示,本发明的密钥协商方法的具体流程介绍如下S1、OLT随机生成随机数X,并获取系统参数a、b;所述的随机数为大整数,a和b是大的素数,而且a是模b的本原元,本发明中获取系统参数的方法可以为下述方法中的任一种
固化在OLT和ONU中、在每次通信前双方协商生成、每次通信前一方临时指定给另一方或者每次通信前双方按照某种规律变化生成系统参数。
S2、OLT根据密钥协商函数生成传递数X;本发明中的密钥协商函数可以在通信前双方协商确定,或者每次通信前一方临时指定给另一方。
本实施例中OLT根据公式X=axmod b生成传递数X。
S3、OLT通过下行信道广播或者单播发送请求更新加密密钥消息,所述的请求更新加密密钥消息中包含所述的传递数X;S4、ONU接收到所述的请求更新加密密钥消息后,也随机生成一个大整数y,并获取系统参数a、b;S5、ONU根据密钥协商函数生成传递数Y;本实施例中ONU根据公式Y=aymod b生成传递数Y。
S6、ONU将所述的传递数Y传递给OLT;S7、OLT根据密钥协商函数生成加密密钥,ONU根据密钥协商函数生成加密密钥;本实施例中OLT根据公式k=Yxmod b计算出加密密钥,ONU根据公式k=Xymod b计算出加密密钥,因为实际上k=axymod b,所以两者计算的加密密钥相同,而且任何窃听者因为不知道x和y,所以不可能计算出这个值,因此k可以作为A和B之间的加密密钥。
S8、OLT发送请求启用加密密钥消息,ONU收到该消息后,返回确认响应信息,完成密钥协商。
本发明中的发送请求更新加密密钥消息也可以由ONU完成,本发明中的发送请求启用加密密钥消息也可由ONU完成,即本发明的密钥协商过程的发起方不一定是OLT,也可能是ONU,也可能是双方共同发起。
本发明中传递数可以在请求更新加密密钥消息中包含,也可以单独发送。
本发明的传递数可以分片、多次方式发送,以保证消息的可靠性,而且若OLT或ONU接收传递数时有任一分片每次都接收失败,则重新发送请求更新加密密钥消息;若已连续发送请求更新加密密钥消息次数大于预定请求更新加密密钥消息次数,则宣告密钥协商失败。
如图4所示,本发明还提供一种PON系统中密钥协商的系统,所述的系统包括光线路终端OLT和光网络单元ONU,所述的OLT和ONU分别根据随机数和系统参数生成加密密钥,完成密钥协商。
所述的OLT包括随机数生成单元,用于随机生成随机数x;系统参数获取单元,用于获取系统参数a和b;传递数生成单元,用于根据密钥协商函数生成传递数X;消息发送和接收单元,用于发送和接收所述的传递数X,以及若OLT为本发明的密钥协商过程的发起方,则所述的消息发送和接收单元还用于发送请求更新加密密钥消息和发送请求启用加密密钥消息,接收确认响应消息,若ONU为本发明的密钥协商过程的发起方,则所述的消息发送和接收单元还用于发送确认响应消息,接收请求更新加密密钥消息和接收请求启用加密密钥消息;加密密钥生成单元,用于根据密钥协商函数生成加密密钥。
所述的ONU包括随机数生成单元,用于随机生成随机数y;
系统参数获取单元,用于获取系统参数a和b;传递数生成单元,用于根据密钥协商函数生成传递数Y;消息发送和接收单元,用于发送和接收所述的传递数Y,以及若ONU为本发明的密钥协商过程的发起方,则所述的消息发送和接收单元还用于发送请求更新加密密钥消息和发送请求启用加密密钥消息,接收确认响应消息,若OLT为本发明的密钥协商过程的发起方,则所述的消息发送和接收单元还用于发送确认响应消息,接收请求更新加密密钥消息和接收请求启用加密密钥消息;加密密钥生成单元,用于根据密钥协商函数生成加密密钥。
以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
权利要求
1.一种PON系统中密钥协商的方法,其特征在于,包括A、光线路终端OLT或光网络单元ONU发送请求更新加密密钥消息;B、OLT或ONU分别根据随机数和系统参数生成加密密钥;C、OLT或ONU发送请求启用加密密钥消息,完成密钥协商。
2.如权利要求1所述的一种PON系统中密钥协商的方法,其特征在于,所述的步骤B具体包括B11、OLT和ONU分别根据随机数、系统参数生成传递数;B12、OLT和ONU分别将所述的传递数传递给对方;B13、OLT和ONU分别根据所述的传递数生成加密密钥。
3.如权利要求1所述的一种PON系统中密钥协商的方法,其特征在于,所述的随机数为由OLT和ONU分别随机生成的数。
4.如权利要求3所述的一种PON系统中密钥协商的方法,其特征在于,所述的系统参数为OLT和ONU都能获取的两个数。
5.如权利要求4所述的一种PON系统中密钥协商的方法,其特征在于,所述的步骤B具体包括B21、OLT根据公式X=axmod b,计算出传递数X,ONU根据公式Y=aymod b,计算出传递数Y,其中,x、y为所述的随机数,a、b为所述的系统参数;B22、OLT和ONU分别将所述的传递数X和Y传递给对方;B23、OLT根据公式k=Yxmod b生成加密密钥k,ONU根据公式k=Xymod b生成加密密钥k。
6.如权利要求1至5中任一所述的一种PON系统中密钥协商的方法,其特征在于,所述的传递数在请求更新加密密钥消息中包含或单独发送。
7.如权利要求1至5中任一所述的一种PON系统中密钥协商的方法,其特征在于,所述的获取系统参数的方法为下述方法中任一种系统参数固化在OLT和ONU中、每次通信前双方协商生成、每次通信前一方临时指定给另一方、每次通信前双方按照某种规律变化生成。
8.一种PON系统中密钥协商的系统,所述的系统包括光线路终端OLT和光网络单元ONU,其特征在于,所述的OLT和ONU分别根据随机数和系统参数生成加密密钥,完成密钥协商。
9.如权利要求8所述的一种PON系统中密钥协商的系统,其特征在于,所述的OLT和ONU分别包括随机数生成单元,用于随机生成随机数;系统参数获取单元,用于获取系统参数;传递数生成单元,用于根据所述的随机数和系统参数生成传递数;加密密钥生成单元,用于根据所述的传递数生成加密密钥。
10.如权利要求8所述的一种PON系统中密钥协商的系统,其特征在于,所述的OLT和ONU还包括消息发送和接收单元,用于发送和接收所述的传递数,以及用于发送和接收请求更新加密密钥消息、请求启用加密密钥消息、确认响应消息。
全文摘要
本发明公开了一种PON系统中密钥协商的方法和系统,所述的方法包括光线路终端OLT或光网络单元ONU发送请求更新加密密钥消息;OLT或ONU分别根据随机数和系统参数生成加密密钥;OLT或ONU发送请求启用加密密钥消息,完成密钥协商。所述的系统包括光线路终端OLT和光网络单元ONU,所述的OLT和ONU分别根据随机数和系统参数生成加密密钥,完成密钥协商。利用本发明所述的系统和方法,能够极大的增加无源光网络系统密钥交换过程的安全性。
文档编号H04L9/14GK101072094SQ200610060689
公开日2007年11月14日 申请日期2006年5月14日 优先权日2006年5月14日
发明者刘利锋, 郑志彬, 王飞 申请人:华为技术有限公司