专利名称:密钥交互方法及装置的制作方法
技术领域:
本发明涉及ii/[言^l支术4页i或,尤其涉及一种PON ( Passive Optical Network,无源光网络)系统的密钥交换方法及装置。
背景技术:
PON是基于ITU-T G984系列和IEEE 802.3系列的宽带无源光 ^妄入^支术,PON系统通常由光线鴻4冬端(Optical Line Terminal, OLT)、光网络单元(Optical Network Unit, ONU)和光分配网络 (Optical Distribution Network, ODN )组成。ODN通常为点到多点 结构, 一个OLT连接多个ONU。 OLT发往ONU的数据称为下行 数据,ONU发往OLT的数据称为上行数据。
在PON系统中,下行数据具有天然广^"特性,OLT发出的数 据能够被下联的所有ONU接收到。考虑到安全性,ITU-T G.984.3 和IEEE 802.3失见定^f吏用对称加密技术对下4亍ft据进^f亍加密,密钥由 ONU产生并发送纟合OLT 。
在目前的ITU-T G.984.3和IEEE 802.3标准中,ONU直接发送 密钥明文给OLT,因此在上行方向存在密钥明文被窃听的可能。
目前,针对该安全性的问题,尚未提出有效的解决方案。
发明内容
考虑到上述问题而做出本发明,为此,本发明的主要目的在于 提供一种密钥交互方法及装置,解决了在光线路终端和光网络单元 之间交换数据密钥不安全的问题。
才艮据本发明的实施例,4是供了一种密钥交互方法,用于光线路 终端和光网络单元之间的数据密钥交互,其中,所述凄t据密钥用于 只于凄史才居进4亍力口密。
该方法包括光线路终端向光网络单元发送数据密钥更新请求, 并在密钥更新请求中携带安全密钥的相关信息,其中,安全密钥用 于对数据密钥进行加密;光网络单元根据安全密钥的相关信息得到 安全密钥,并用安全密钥对光线路终端请求更新的数据密钥进行加 密;光网络单元将加密后的数据密钥发送至光线路终端。
其中,光线鴻4冬端;)夸其与光网*各单元的/>知的系统配置或系统 参数作为安全密钥源,并根据安全密钥源设置相关信息。
其中,安全密钥源的类型包括光线路终端和光网络单元预先 保存的安全密钥组、光网络单元的版本映像、光网络单元的序列号、 光网络单元的IP地址、光网络单元的媒体接入控制地址、以及测距 信息,其中,每个安全密钥源的类型均对应于各自的安全密钥源类 型信息。
其中,在安全密钥源的类型为安全密钥组的情况下,相关信息 包括安全密钥组中安全密钥的标识、以及安全密钥组对应的安全密 钥源类型信息。
6其中,在安全密钥源的类型为光网络单元的版本映像的情况下, 相关信息包括纟反本映^象中的起始位置和长度、以及版本映像对应的 安全密钥源类型信息。
其中,在安全密钥源的类型为光网络单元的序列号、光网络单 元的IP地址、光网络单元的+某体接入控制地址、以及测距信息中的 一个时,相关信息为与其对应的安全密钥源类型信息。
此外,该方法进一步包括光线路终端根据相关信息得到对数 据密钥进行加密所4吏用的安全密钥,对接收到的加密后的数据密钥 进行解密。
根据本发明的另一实施例,提供了一种密钥交互装置,用于光 线^各终端和光网络单元之间的凄t据密钥交互,其中,凄t据密钥用于 对凄史据进行加密。
该装置包括发送模块,用于将数据密钥更新请求从光线路终 端发送至光网络单元,并在密钥更新请求中携带安全密钥的相关信 息,其中,安全密钥用于对数据密钥进行加密;以及将经过安全密 钥加密的数据密钥从光网络单元发送至光线路终端;加密模块,光 网络单元根据安全密钥的相关信息得到安全密钥,并用安全密钥对 光线路终端请求更新的数据密钥进行加密;
该装置进一步包括确定模块,用于将光线路终端与光网络单 元的公知的系统配置或系统参数作为安全密钥源,并根据安全密钥 源设置相关信息。
该装置进一步包括解密模块,位于光线路终端,用于根据相 关信息得到对数据密钥进行加密所使用的安全密钥,并对接收到的 加密后的数据密钥进行解密。通过本发明的上述4支术方案,可以在光线赠4冬端和光网络单元 之间实现安全的密钥交换,降低了数据密钥被窃听的可能性,提高 了光线路终端和光网络单元之间数据交换的安全性。
此处所说明的附图用来才是供对本发明的进一步理解,构成本申 请的一部分,本发明的示意性实施例及其说明用于解释本发明,并
不构成对本发明的不当限定。在附图中
图l是根据本发明方法实施例的密钥交互方法的流程图;以及
图2是根据本发明装置实施例的密钥交互装置的框图。
具体实施例方式
下面参考附图,详细i兌明本发明的具体实施方式
。 方法实施例
在本实施例中,4是供了一种密钥交互方法,用于OLT和ONU 之间的凄"居密钥交互,其中,所述数据密钥用于对数据进行加密。
如图l所示,才艮才居本实施例的密钥交互方法包4舌步驶《S102, 网络单元发送数据密钥更新请求,并在密钥更新请求中携带安全密 钥的相关信息,其中,安全密钥用于对数据密钥进行加密;步骤 S104,络单元根据安全密钥的相关信息得到安全密钥,并用安全密 钥对OLT请求更新的数据密钥进行加密;步骤S106ONU将加密后 的数据密钥发送至OLT。
其中,OLT将其与ONU的公知的系统配置或系统参数作为安 全密钥源,并根据安全密钥源设置相关信息。也就是说,在OLT和ONU之间交换数据密钥时,对数据密钥用安全密钥进行加密后再发 送,安全密钥的加密解密方法可以与^t据密钥的加密解密方法一样, 也可以不一冲羊。
其中,安全密钥源的类型包括但不限于OLT和ONU预先保 存的安全密钥组、ONU的版本映#>、 ONU的序列号、ONU的IP 地址、ONU的+某体接入控制地址、以及测距信息,其中,每个安全 密钥源的类型均对应于各自的安全密钥源类型信息。其中,OLT和 ONU预先保存的安全密钥组和ONU的版本映像位系统配置,而 ONU的序列号、ONU的IP地址、ONU的々某体4妾入控制地址、以 及测距信息位系统参数。
其中,在安全密钥源的类型为安全密钥组的情况下,相关信息 包括安全密钥组中安全密钥的标识、以及安全密钥组对应的安全密 钥源类型信息。
其中,在安全密钥源的类型为ONU的版本映像的情况下,相 关信息包括版本映像中的起始位置和长度、以及版本映像对应的安 全密钥源类型信息。
其中,在安全密钥源的类型为ONU的序列号、ONU的IP地址、 ONU的媒体接入控制地址、以及测距信息中的一个时,相关信息为 与其对应的安全密钥源类型信息。即,此时仅需将采用哪个系统参 数告知ONUo
优选地,可以预先配置安全密钥源类型与安全密钥源类型信息 的对应关系,安全密钥源类型信息可以是一个标识,并位于密钥更 新请求消息中未占用的位。此外,该方法进一步包括OLT根据相关信息得到对数据密钥 进行加密所使用的安全密钥,对接收到的加密后的数据密钥进行解 密。
下面将结合具体实例描述本发明。
在OLT和ONU预i殳若干共享的密钥;采用OLT和ONU共知 的参数作为密钥等。
本发明实例的密钥交换方法关键步骤为
步骤(1 ), OLT向ONU发送数据密钥更新二清求,如果对安全 密钥有要求,可在数据密钥更新请求中携带安全密钥相关信息。
步骤(2), ONU产生H据密钥,根据数据密钥更新请求中的安 全密钥相关信息获得安全密钥,将数据密钥用安全密钥加密后再通 过数据密钥更新响应发送给OLT。
步骤(3), OLT从数据密钥更新响应中获得经过加密的数据密 钥,并用安全密钥进行解密以获得数据密钥。
下面将结合具体的实例描述本发明。
实例1
在该实例中,以GPON (吉比特无源光网络)系统为例,在初 次安装ONU时,在ONU中预i殳若干安全密钥,并分别i殳定不同的 编号,在OLT中也设定相同的安全密钥和编号。不同ONU之间的 安全密钥和编号要求不一样。
在采用密钥组作为密钥源的情况下,具体实现过程如下OLT确定安全密钥编号并在本地存^f诸,向ONU发送密钥更新 _清求(Request_Key )消息,以更新lt才居密钥,Request—Key消息中 携带安全密钥编号;
ONU从R叫uest—Key消息获得安全密钥编号并进一步从本地保 存的安全密钥组获得安全密钥,生成数据密钥,将数据密钥用安全 密钥加密后再通过加密密钥(Encryption_Key )消息发送纟会OLT;
OLT根据本地存储的安全密钥编号获得安全密钥,从 Encryption—Key消息中获4寻经过加密的凝:才居密钥,并用安全密钥进 行解密以获得数据密钥。
实例2
在该实例中,以GPON系统为例。OLT和ONU以ONU的软 件片反本映i象作为安全密钥源,由于ONU的库欠件;1反本映<象是通过OLT 传送给ONU的,OLT和ONU能够共同获得ONU的软件版本映像。 由于ONU软件版本映像更换较少,因此只要保证ONU软件版本安 全即可保证安全密钥的安全。OLT告知ONU安全密钥在软件版本 映i象中的起始^f立置。
在采用版本映像作为密钥源的情况下,具体的实现过程如下
OLT确定安全密钥在软件版本映像中的起始位置,并在本地存 小者,向ONU发送Request—Key消息,Request_Key消息中安全密钥 在软件版本映像中的位置;
ONU从Request—Key消息获得安全密钥在软件版本映像中的位 置,并进一步乂人本地获得安全密钥,生成数据密钥,将数据密钥用 安全密钥力口密后再通过Encryption—Key消息送纟会OLT;OLT根据本地存储的安全密钥在软件版本映像中的位置获得安 全密钥,从Encryption—Key消息中获得经过加密的数据密钥,并用 安全密钥进行解密以获得数据密钥。
装置实施例
在本实施例中,提供—r 一种密钥交互装直,用于OLT和ONU 之间的数据密钥交互,其中,数据密钥用于对数据进4亍加密。
如图2所示,根据本实施例的密钥交互装置包括发送模块202, 用于将lt据密钥更新请求从OLT发送至ONU,并在密钥更新请求 中携带安全密钥的相关信息,其中,安全密钥用于对数据密钥进行 加密;以及将经过安全密钥加密的数据密钥从ONU发送至OLT; 加密模块204, ONU根据安全密钥的相关信息得到安全密钥,并用 安全密钥对OLT请求更新的数据密钥进行加密;
此外,该装置可进一步包4舌确定才莫块,用于^夸OLT与ONU 的/>知的系统配置或系统参数作为安全密钥源,并4艮据安全密钥源 设置相关信息。
此外,该装置进一步包括解密模块,位于OLT,用于根据相 关信息得到对数据密钥进行加密所使用的安全密钥,并对接收到的 加密后的ifet据密钥进4于解密。
通过本发明的上述技术方案,可以在OLT和ONU之间实现安 全的密钥交换,降低了数据密钥被窃听的可能性,提高了 OLT和 ONU之间数据交换的安全性。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明, 乂于于本4页J或的冲支术人员来i兌,本发明可以有各种更改和变^f匕。凡在 本发明的精神和原则之内,所作的任何^修改、等同替换、改进等, 均应包含在本发明的保护范围之内。
1权利要求
1. 一种密钥交互方法,用于光线路终端和光网络单元之间的数据密钥交互,其中,所述数据密钥用于对数据进行加密,所述方法包括所述光线路终端向所述光网络单元发送数据密钥更新请求,并在所述密钥更新请求中携带安全密钥的相关信息,其中,所述安全密钥用于对数据密钥进行加密;所述光网络单元根据所述安全密钥的相关信息得到所述安全密钥,并用所述安全密钥对所述光线路终端请求更新的数据密钥进行加密;所述光网络单元将加密后的所述数据密钥发送至所述光线路终端。
2. 才艮据权利要求1所述的方法,其特征在于,所述光线路终端将 其与所述光网络单元的公知的系统配置或系统参数作为安全 密钥源,并一艮据所述安全密钥源设置所述相关信息。
3. 根据权利要求2所述的方法,其特征在于,所述安全密钥源的 类型包括光线^各终端和所述光网络单元预先保存的安全密钥 组、所述光网络单元的版本映像、所述光网络单元的序列号、 所述光网络单元的IP地址、所述光网络单元的媒体接入控制 地址、以及测距信息,其中,每个安全密钥源的类型均对应于 各自的安全密钥源类型信息。
4. 才艮据权利要求3所述的方法,其特征在于,在所述安全密钥源 的类型为所述安全密钥组的情况下,所述相关信息包括所述安全密钥组中安全密钥的标识、以及所述安全密钥组对应的安全 密钥源类型信息。
5. 根据权利要求3所述的方法,其特征在于,在所述安全密钥源 的类型为所述光网络单元的版本映像的情况下,所述相关信息 包括所述版本映像中的起始位置和长度、以及所述版本映像对 应的安全密钥源类型信息。
6. 根据权利要求3所述的方法,其特征在于,在所述安全密钥源 的类型为所述光网络单元的序列号、所述光网络单元的IP地 址、所述光网络单元的媒体接入控制地址、以及测距信息中的 一个时,所述相关信息为与其对应的安全密钥源类型信息。
7. 根据权利要求1至6中任一项所述的方法,其特征在于,进一 步包括所述光线路终端根据所述相关信息得到对所述数据密钥 进行加密所-使用的所述安全密钥,对4妄收到的加密后的所述^: 据密钥进4于解密。
8. —种密钥交互装置,用于光线^各终端和光网络单元之间的l史据 密钥交互,其中,所述数据密钥用于对数据进行加密,所述装 置包括发送模块,用于将数据密钥更新请求从所述光线路终端发 送至所述光网络单元,并在所述密钥更新请求中携带安全密钥 的相关信息,其中,所述安全密钥用于对数据密钥进行加密; 以及将经过所述安全密钥加密的所述数据密钥从所述光网络 单元发送至所述光线路终端;加密模块,所述光网络单元根据所述安全密钥的相关信息 得到所述安全密钥,并用所述安全密钥对所述光线路终端请求 更新的数据密钥进行加密。
9. 根据权利要求8所述的装置,其特征在于,进一步包括确定模块,用于将所述光线路终端与所述光网络单元的公 知的系统配置或系统参凄t作为安全密钥源,并4艮据所述安全密 钥源设置所述相关信息。
10. 根据权利要求8或9所述的装置,其特征在于,进一步包括解密才莫块,位于所述光线^各终端,用于根据所述相关信息 得到对所述数据密钥进行加密所使用的所述安全密钥,并对接 收到的加密后的所述数据密钥进行解密。
全文摘要
本发明公开了一种密钥交互方法,用于光线路终端和光网络单元之间的数据密钥交互,其中,所述数据密钥用于对数据进行加密。该方法包括光线路终端向光网络单元发送数据密钥更新请求,并在密钥更新请求中携带安全密钥的相关信息,其中,安全密钥用于对数据密钥进行加密;光网络单元根据安全密钥的相关信息得到安全密钥,并用安全密钥对光线路终端请求更新的数据密钥进行加密;光网络单元将加密后的数据密钥发送至光线路终端。此外,本发明还公开了一种密钥交互装置。通过使用本发明,可以在光线路终端和光网络单元之间实现安全的密钥交换,降低了数据密钥被窃听的可能性,提高了光线路终端和光网络单元之间数据交换的安全性。
文档编号H04L9/08GK101499898SQ20081000613
公开日2009年8月5日 申请日期2008年2月3日 优先权日2008年2月3日
发明者张伟良, 陶东明 申请人:中兴通讯股份有限公司