专利名称:一种应用于以太网无源光网络系统的搅动密钥更新与同步机制的制作方法
技术领域:
本发明涉及一种应用于以太网无源光网络(EPON)系统中下行数据搅动(Churning)的密钥更新与同步方法,用于解决在EPON系统进行下行数据搅动加密方式下的密钥更新与同步问题。
本发明可用于EPON系统,属于宽带光纤接入技术领域。
背景技术:
随着Internet的迅速发展和IPTV等新业务、新应用对接入带宽提出了更高的要求,光纤接入成为宽带接入网发展的必然方向。从技术的成熟度和运营成本考虑,无源光网络PON是光纤接入的最主要实现手段,也是最具发展潜力的接入技术。
在无源光网络(PON)系统(包括基于ATM的BPON、基于以太网的EPON、具有吉比特每秒传输能力的GPON)中采用带宽共享的点到多点的拓扑结构,每个光线路终端(OLTOptical Line Terminal)通过光分配网络(ODNOptical Distribution Network)连接多个光网络单元(ONUOptical Network Unit)。在PON系统中,下行方向的数据采取广播方式。为确保用户数据安全性,应采用加密或搅动方式进行下行数据的加密,每个ONU的下行数据采用不同的密钥,防止恶意用户的窃听。在几种主要的PON技术中,EPON具有技术简单,成本低,可扩展性强,对数据业务的适配效率高等优点,能够以较低成本高效率地传送IP业务,且技术已经基本成熟,所以具有很好的发展前途,将在未来的宽带光纤接入网中发挥重要作用。在EPON系统中,可以采用AES-128或者搅动方式进行下行数据的加密。在采用搅动方法进行下行数据加密的EPON系统中,由OLT按照特定的密钥对特定ONU的下行数据搅动,ONU按照相同的密钥进行解搅动(Dechurning)。在启用搅动功能后,对所有的数据帧和OAM帧进行搅动。
在EPON系统中实现搅动的关键是如何实现搅动密钥的更新与同步。
为了防止同一密钥长期使用后被破译,系统需要定期更换新的密钥。密钥更新就是指新密钥的请求和发布过程。密钥同步是指在OLT启用新密钥的过程中,需要通知ONU某个以太网帧使用哪个密钥(新的还是旧的)。目前,针对在EPON系统中采用搅动方式进行数据加密,尚无可靠的密钥更新与密钥同步方法。基于EPON系统自身的特点,本发明实现了一种新的搅动密钥更新与同步机制。
发明内容
本发明的目的在于针对采用搅动进行下行数据加密的EPON系统,提出一种搅动密钥更新与密钥同步的方法。本发明的密钥更新和同步方法简单、易于实现、灵活、开销小、可靠性高等优点。
为实现上述目的,本发明采用基于机构扩展(Organization-Specific Extension)的操作维护管理(OAM)协议数据单元方式实现密钥的更新过程,采用下行数据帧中前导码(Preamble)的第五个字节的最低2位比特作为搅动密钥同步的索引,此外,OLT采用2个定时器分别控制密钥交换的频率、和在无法获得ONU的密钥更新帧情况下启动下一次密钥更新请求的机制,增加了密钥更新的可靠性。
在EPON系统中,为确保初始密钥传输的安全性,搅动密钥是ONU产生并发布给OLT的。产生办法是ONU从上行用户数据中提取的3字节数据与3字节随机数异或(XOR)的结果。这24位码,分别定义为{(MSB)X1~X8,P1~P16(LSB)}。MSB表示高位,LSB表示低位。OLT按照ONU发布的密钥进行下行数据的搅动,ONU按照该密钥进行解搅动。
附图1示出了根据本发明的一个实施例的用于搅动密钥更新的机构扩展的OAMPDU中负载(Payload)域的格式。
附图2示出了根据本发明的一个实施例的新密钥请求帧(new_key_request)的格式。
附图3示出了根据本发明的一个实施例的新密钥通知帧(new_churning_key)的格式。
附图4示出了根据本发明的一个实施例的基于扩展的OAMPDU方式的搅动密钥更新和同步过程。
附图5示出了根据本发明的一个实施例的搅动区和前导码中用于密钥同步Enc字节的定义。
具体实施例方式
图1显示了用于搅动密钥更新的机构扩展的OAMPDU帧格式,遵从IEEE802.3ah的规范。
图1中阴影部分为扩展的OAM帧中“负载(Payload)”域,包含OUI、Ext.Opcode、Churning Code、Data/Padding等4部分-OUI为机构唯一标识,由IEEE分配给各运营商、厂商、研究机构;-扩展操作码(Ext.Opcode)表示该消息用于消息类型,对于用于搅动密钥更新的OAM帧,其值为“0x09”,其他值用于其他OAM用途;-搅动消息类型(Churning Code)用于标识具体的搅动密钥更新消息类型;当值为“0x00”时,表示新密钥请求帧(new_key_request);当值为“0x01”时,表示新密钥通知帧(new_churning_key);其他值做为保留值;-数据/填充(Data/Padding)包括密钥索引和密钥的值以及填充字节。
本发明采用基于机构扩展的(Organization-Specific Extension)的操作维护管理(OAM)协议数据单元的方式定义了如下两种类型的搅动密钥更新消息,为实现密钥的更新1)新密钥请求帧(new_key_request)OLT利用该消息请求ONU发布新的密钥。同时,该帧也包含当前正在使用的密钥索引(KeyIndex)。
2)新密钥通知帧(new_churning_key)ONU利用该消息向OLT发布新的密钥及其密钥索引。
新密钥请求帧(new_key_request)格式如图2所示。对于新密钥请求帧,“搅动消息编码(Churning_code)”的值为“0x00”,“在用密钥索引(In-use_Key_Index)”字节的最低位用于指示OLT正在使用的密钥的序号(“0”或者“1”),其他比特为“0”。“In-use Key Index”域之后为填充字节,填充内容为“0x00”。
新密钥通知帧(new_churning_key)格式如图3所示。对于新密钥通知帧,“搅动消息编码(Churning_code)”的值为“0x01”;“新密钥索引(New_Key_Index)”字节的最低位用于指示所发送的密钥的序号(“0”或者“1”),其他比特为“0”;长度为3个字节的“搅动密钥(Churning Key)”字段包含所要更换的新搅动密钥,传送顺序为[(MSB)X1,X2,...,X8,P1,P2,...,P16(LSB)];“搅动密钥”字段之后为填充字节。
密钥更新过程如图4所示OLT向ONU发出新密钥请求帧,ONU收到新密钥请求帧后向OLT发一个新密钥通知帧。新密钥请求帧中包含OLT当前所用的密钥的索引。新密钥通知帧中包含新的密钥以及该密钥的索引。OLT收到新密钥通知帧后,就可以使用新密钥对随后的帧进行搅动。当ONU收到OLT发送的搅动的以太网数据帧时,如果该以太网帧前导码中的搅动信息标识字段的“key_index”比特等于新密钥通知帧中的密钥索引,则ONU使用新密钥进行解搅动。
OLT使用一个定时器key_update_timer,以控制密钥更新周期。当该定时器超时时,OLT则启动上述密钥更新过程。
另一方面,OLT使用另一个定时器Churning_Timer用于作为在无法获得密钥更新帧情况下启动下一次密钥更新请求的机制,以增加密钥更新的可靠性。当OLT每次发出新密钥请求帧时,启动定时器Churning_Timer。当OLT在Churning_Timer超时前收到了ONU发来的正确的新密钥通知帧,则OLT启用新密钥,并将Churning_Timer复位。当定时器超时后OLT仍没有收到新密钥通知帧,则认为密钥交互失败,将Churning_Timer复位,OLT发送新一轮的新密钥请求帧。在新密钥成功交互之前,ONU仍然使用原来的密钥,并且由OLT将密钥交互失败的信息上报给网管。
密钥更新周期Tkey和定时器Churning_Timer的值均可配置。Tkey的缺省值为10s。
为实现OLT和ONU之间的密钥同步功能,本发明采用下行以太网帧前导码中的第五个字节作为搅动信息标识字段(Enc)来实现密钥同步,帧格式如图5所示Enc字段的高六位比特的取值仍遵循IEEE 802.3ah的标准,对低2位比特进行了如下定义-Flag位(bit 1)搅动标记,表示该帧是否被搅动;0明文;1密文。
-Key_Index位(bit 0)密钥索引,指示ONU在解搅动过程中要采用的密钥编号。
此外,当搅动功能关闭时,即所述Flag位取0时,Key_Index位的值应为“1”,以保持和现有协议IEEE802.3ah的兼容。
当ONU收到OLT发送的搅动的以太网数据帧时,ONU按照该以太网帧前导码中的搅动信息标识字段的“key_index”比特的值选择相同“key_index”的密钥进行解搅动。因此,可以容易的实现搅动的同步。
用于密钥更新的机构扩展的OAM协议数据单元中,除本发明扩展定义的“负载(Payload)”外,其他字段的值必须严格符合IEEE802.3ah的相关规定。
权利要求
1.一种用于以太网无源光网络(EPON)系统的搅动密钥更新和同步方法,所述以太网无源光网络包括光线路终端(OLT)和光分配网络(ONU),所述方法包括光线路终端向光分配网络发送一个新密钥请求帧;光分配网络向光线路终端回复一个新密钥通知帧,所述新密钥通知帧包括一个新的搅动密钥、以及一个相应的新密钥索引;光线路终端使用所收到的新搅动密钥对消息进行搅动处理,以及在下行以太网帧的前导码中指示该新搅动密钥的密钥索引;光分配网络提取所接收的帧的前导码所指示的密钥索引,并使用该密钥索引指示的密钥进行解搅动处理。
2.根据权利要求1的方法,还包括周期性的发送所述新密钥请求帧,从而以一定的频率更新密钥。
3.根据权利要求1的方法,其中还包括在光线路终端发出新密钥请求帧之后一个预定时间内如果没有获得ONU的新密钥通知帧,则重新发送一次新密钥请求帧。
4.根据权利要求1的方法,其中光分配网络提取所接收的帧的前导码所指示的密钥索引之后,如果该密钥索引与所述密钥通知帧中的密钥索引相一致,则使用该密钥索引指示的密钥进行解搅动处理。
5.根据权利要求1的方法,其中所述新密钥请求帧还包括一个当前使用的搅动密钥的密钥索引。
6.根据权利要求1的方法,其中所述新密钥请求帧是基于IEEE802.3ah规定的机构扩展(Organization-Specific Extension)操作维护管理(OAM)协议数据单元,其中还包括机构唯一标识;扩展操作码,用于指示消息用途;搅动消息类型,用于指示本消息为新密钥请求帧。
7.根据权利要求1的方法,其中所述新密钥通知帧是基于IEEE802.3ah规定的机构扩展(Organization-Specific Extension)操作维护管理(OAM)协议数据单元,其中还包括机构唯一标识;扩展操作码,用于指示消息用途;搅动消息类型,用于指示本消息为新密钥通知帧。
8.根据权利要求1的方法,其中还包括利用下行以太网数据帧的前导码中第五个字节的bit 1作为表示该帧是否被搅动的标记,以及采用前导码中第五个字节的bit 0作为密钥索引,从而指示ONU在解搅动过程中要采用的密钥编号。
全文摘要
一种用于EPON系统下行数据搅动的搅动密钥更新和同步方法。其密钥更新方法是采用机构扩展的OAMPDU方式定义了两种搅动密钥更新消息类型新密钥请求帧和新密钥通知帧,利用简单的消息交互过程实现密钥的更新过程。其密钥同步方法是OLT采用下行以太网帧的前导码的第五字节作为搅动密钥同步的索引,ONU根据该比特的值进行密钥的同步。此外,OLT采用2个定时器分别控制密钥交换的频率和在无法获得ONU的密钥更新帧情况下启动下一次密钥更新请求的机制,增加了密钥更新的可靠性。
文档编号H04L9/08GK1897500SQ20061008177
公开日2007年1月17日 申请日期2006年5月11日 优先权日2006年5月11日
发明者沈成彬, 余景文, 王晓平, 王作强, 王波 申请人:中国电信股份有限公司