专利名称:一种以太网无源光网络控制报文的加密方法
技术领域:
本发明涉及通讯领域,特别涉及以太网无源光网络系统中l艮文的加密方法。
背景技术:
无源光网络由位于局端的光线^各终端(Optical Line Terminal, OLT)和 位于远端的光网络单元(Optical Network Unit, ONU )和/或光网络终端 (Optical Network Terminal , ONT)组成,并由光分配网络(ODN )连接形 成一个点到多点的网络。OLT位于根节点,通过ODN与各个ONU/ONT相连。
目前,随着以太网无源光网络(EPON, Ethernet Passive Optical Network) 的部署,EPON系统的安全可靠性的要求越来越高。其中能够有限地防范非 法用户对EPON系统进行侦听、业务盗用和恶意攻击已成为EPON系统的一 项重要功能。
EPON的标准中定义了两种控制报文,分别是EPON OAM (Operation Administration and Maintenance,操作管理维护)帧(其以太网协议类型为 0x8809)和EPON MAC (Medium Access Control, J 某体访问控制)控制帧 (以太网协议类型为0x8808 ),这两种控制报文用于EPON系统的操:作、 管理和维护、时分多址接入、动态带宽分配等重要功能,其安全性关系到整 个EPON系统能否正确运行。
从下行方向上看,EPON是一个点到多点的广播系统,OLT和ONU/ONT 通过密钥请求/获取、实时更新机制釆用搅动技术对下行数据和控制报文进 行了全部加密,有效地防范了下行方向上非法用户侦听、业务盗用和恶意攻 击。EPON从上行方向看是一个点到点的系统,天然隔离了各用户, 一定程 度上规避了非法侦听、业务盗用的问题。但是由于EPON系统是一个基于以 太网的网络系统,传输的数据都以以太网包的形式进行收发,且由于上行数 据无加密,因此存在着^f艮大的安全隐患。
发明内容
本发明要解决的技术问题是提供一种以太网无源光网络控制报文的加 密方法,增强EPON系统的安全性。
为了解决上述技术问题,本发明提供了一种以太网无源光网络控制报文 的加密方法,包括光网络单元ONU和/或光网络终端ONT使用与下行搅 动相同的密钥对上行操作管理维护OAM帧或媒体访问控制MAC控制帧进 行搅动加密后上行发送。
进一步地,上述方法还可具有以下特点,所述方法进一步包括以下步骤 (a )ONU和/或ONT使用与下行搅动相同的密钥对MAC控制帧或OAM帧 进行搅动后发送;(b)光线路终端OLT对接收到的OAM帧或MAC控制 帧进行解搅动处理之后,再进行后续校验处理。
进一步地,上述方法还可具有以下特点,所述ONU和/或ONT对MAC 它区域。
进一步地,上述方法还可具有以下特点,在所述步骤(b)中,所述后 续校验处理是指所述OLT对经解搅动解密的OAM帧或MAC控制帧进行 帧检验序列FCS校验,判断FCS校验值是否正确,如果是,OLT依据报文 内容进行相应处理,否则,OLT丢弃或者过滤这些报文至本地处理模块。
进一步地,上述方法还可具有以下特点,所述ONU和/或ONT对MAC 控制帧或OAM帧进行搅动的搅动区间为从以太网协议类型域后到FCS 域,包含FCS域。
进一步地,上述方法还可具有以下特点,当下行搅动的密钥更新后,上 行发送数据时采用更新后的密钥进行上行搅动加密。本发明技术适用于EPON系统所有应用场合。由于采用了以上的技术方 案,有效地提高了上行方向数据的安全性。本发明设计筒单,继承使用EPON 系统标准的下行方向搅动加密技术,无需额外的加解密系统,降低了系统的 复杂度,提高了系统的可靠性,是EPON系统标准技术的有益补充。
图1EPON下行传输流程图2为本实施例EPON系统处理流程图。
具体实施例方式
下行传输过程如图l所示,包括以下步骤
步骤110, OLT与ONU和/或ONT通过EPON系统标准的密钥请求通 知交换机制获取和同步密钥;
步骤120, OLT使用该密钥对下行的数据进行搅动加密,ONU使用该 密钥进行解搅动,实行下行lt据的正确接收。
EPON系统对上行的控制报文进行搅动加密,如图2所示,包括如下步
骤
步骤210, ONU和/或ONT使用和下行搅动相同的密钥对上行MAC控 制帧和OAM帧进行搅动加密后发送,搅动区间为数据帧中除以太网头(包 括目的地址、源地址)和协议类型域以外的其它区域,即从以太网协议类型 域后到帧检验序列(Frame Check Sequence, FCS )域,包含FCS域,但不 含以太网头和以太网协议类型域;
步骤220, OLT接收到以太网类型为0x8808和0x8809的数据帧后,对 搅动区间为以太网协议类型域之后到FCS域的字段进行解搅动处理;
步骤230, OLT对经解搅动解密的EPON控制报文进行FCS校验,判
5断FCS校验值是否正确,如果是,执行步骤240,否则执行步骤250;
步骤240, FCS校验值正确,表明这是合法的控制报文,OLT依据控制 才艮文内容进4亍相应处理;
步骤250, FCS校验值错误,表明这是用户伪造的EPON控制报文,帧 或者控制报文传送错误,OLT可以丟弃或者过滤这些报文至本地异常处理 模块。
当下行密钥更新后,上行发送数据时采用更新后的密钥进行上行搅动加密。
由于下行数据传输已应用一套完备的加密机制(含密钥交换、更新维护 等),本发明在上行传输中平滑沿用下行传输的加密系统,即上行不再独立 增加额外的加密算法。这样简单易行、减轻系统负荷。
权利要求
1、一种以太网无源光网络控制报文的加密方法,其特征在于,光网络单元ONU和/或光网络终端ONT使用与下行搅动相同的密钥对上行操作管理维护OAM帧或媒体访问控制MAC控制帧进行搅动加密后上行发送。
2、 如权利要求l所述的方法,其特征在于,所述方法进一步包括以下 步骤(a) ONU和/或ONT使用与下行搅动相同的密钥对MAC控制帧或 OAM帧进行搅动后发送;(b )光线路终端OLT对接收到的OAM帧或MAC控制帧进行解搅动 处理之后,再进行后续校验处理。
3、 如权利要求1或2所述的方法,其特征在于,所述ONU和/或ONT对MAC控制帧或OAM帧进行搅动的搅动区间为 除以太网头和协议类型域以外的其它区域。
4、 如权利要求2所述的方法,其特征在于,在所述步骤(b)中,所述 后续校验处理是指所述OLT对经解搅动解密的OAM帧或MAC控制帧进行帧检验序列 FCS校验,判断FCS校验值是否正确,如果是,OLT依据报文内容进行相 应处理,否则,OLT丟弃或者过滤这些报文至本地处理模块。
5、 如权利要求3所述的方法,其特征在于,所述ONU和/或ONT对MAC控制帧或OAM帧进行搅动的搅动区间为 从以太网协议类型域后到FCS域,包含FCS域。
6、 如权利要求l所述的方法,其特征在于,当下行搅动的密钥更新后,上行发送数据时采用更新后的密钥进行上行 搅动力口密。
全文摘要
本发明公开了一种以太网无源光网络控制报文的加密方法,增强EPON系统的安全性。所述方法包括光网络单元即ONU和/或光网络终端即ONT使用与下行搅动相同的密钥对上行操作管理维护帧即OAM帧或媒体访问控制控制帧即MAC控制帧进行搅动加密后上行发送。
文档编号H04L9/08GK101447865SQ20071019379
公开日2009年6月3日 申请日期2007年11月27日 优先权日2007年11月27日
发明者张博山 申请人:中兴通讯股份有限公司