无源光网络中密钥管理方法、设备及无源光网络的制作方法

专利名称：：无源光网络中密钥管理方法、设备及无源光网络的制作方法
技术领域：
：本发明涉及光网络
技术领域：
，更具体地说，涉及一种无源光网络中密钥管理的方法、设备及无源光网络。
背景技术：
：目前，接入网领域在数字用户环路(DigitalSubscriberloop,DSL)充分发展的时候，光接入技术也得到蓬勃的发展，尤其以点到多点传输为特征的光接入技术——无源光网络(PassiveOpticalNetwork,PON)再次受到业界的瞩目。与点到点光接入相比，PON局端用一根光纤，即可分成数十甚至更多路光纤连"l妄用户，大大降低建网成本。图1为PON系统的结构示意图，从图中可以看出，PON系统由三个部分组成，分别是光线路终端(OpticalLineTermination,OLT)1、光分布网(OpticalDistributionNetwork,ODN)2和光网络单元(OpticalNetworkUnit,ONU)/光网络终端(OpticalNetworkTermination,ONT)3。OLT1为PON系统提供业务节点接口(ServiceNodeInterface,SNI),连接一个或多个ODN2。无源分光器件将OLT4下行的数据分路传输到各个ONU3,将多个ONU/ONT3的上行数据汇总传输到OLT1。ONU3为PON系统提供用户网^l妄口(UserNetworkInterface,UNI),上行与ODN2相连，如果ONU3直接，提供用户端口功能，如个人电脑上网用的以太网用户端口，则称为ONT1,下文将上述的ONU和ONT统称为ONU。PON才支术包括宽带无源光网络(BroadbandPassiveOpticalNetwork,BPON)和Gbit无源光网络(GigabitPassiveOpticalNetwork,GPON)等，BPON和GPON都是由国际电信联盟(ITU-T)制定的，GPON是在BPON的基础上继承发展的，舆论认为其是当前几种PON技术中最全面、最有前途的技术，具有线路速率高、维护管理完善的优点。在PON系统中，从OLT到ONU称为下行，反之称为上行。下行数据方式为OLT广播到各ONU,ONU的上行数据方式为由OLT分配发送区间，数据经时分复用后上传到OLT。由于下亍数据是采用广播的方式进行发送的，各ONU能接收到发送给其他ONU的数据，虽然在ONU上会根据配置的接口ID(PortID)对数据进行过滤，但仍然面临数据被窃的风险，所以需要对下行数据进行加密。目前，GPON国际标准中规定了一种加密算法——高级加密标准(AdvancedEncryptionStandard,AES),所有下行单播数据需要加密时都是用该AES。每个ONU使用独立的密钥，并不断更新密钥以保证加密的可靠性，密钥更新流程如图2所示密钥更新流程大体分为两部分密钥交换流程和密钥切换流程，具体过牙呈包括以下步骤步骤S11、OLT向ONU发送密钥请求消息(key—request—message),该信息以物理层维护管理信元(PhysicalLayerOAM,PLOAM)消息。步骤S12、ONU产生、存储和发送密钥。ONU在影像寄存器(shadow—key—register)中，由于PLOAM消息的长度有限，密钥分为两部分进行发送，使用片断字段来对密钥的各部分进行标识。为保证冗余，密钥的两部分都会被发送三次。如果OLT未能成功接收密钥的任何一个部分三次，将会要求ONU产生另外一个密钥，并发送新的密钥请求信息。密钥传送失败三次后，OLT将会宣布密钥同步丟失。如果OLT成功接收到密钥，有效密钥将被存储在其shadow—key—register中，然后系统进^"密钥切换步骤S13:OLT使用密钥切换消息(Key—switching—time)传送给ONU。OLT确定选定帧(用于与ONU同时在该帧使用新密钥)，将该帧的超帧编号通过Key—switching—time消息传送给ONU,该消息将^皮传送三次。步骤S14:ONU向OLT回应确认消息AcknowledgementONU仅需要接收OLT发送的多个信息中的一个正确的拷贝来获知变换的时间。从选定帧开始，OLT复制shadow_key—register的内容到现行存储器(active—key—register)。ONU将赋值它的shadow—key—register到active—key_register，这样，OLT和ONU都开始使用新密钥，它们交换的任l可新的信元或帧(PDU)边界都正好相同。但是，在上述密钥切换流程中，存在两种情况会^f吏得密钥切换失败第1种情况Key—switching—time消息丟失。笫2种情况确认消息Acknowledgement丢失。在上述第1种情况中，ONU不会使用新的密钥，OLT因没有到Acknowledgement消息，所以也不会更新密钥，因此，OLT和ONU两者的密钥保持一致。在第2种情况中，ONU将会使用新的密钥，而OLT因没有收到Acknowledgement消息而不会使用新的密钥，此时，OLT和ONU两者密钥不一致，导致通信失败。
发明内容有鉴于此，本发明实施例提供一种无源光网络中密钥管理方法、设备及无源光网络，以解决现有技术在通信失败的情况下，OLT和ONU两者密钥不一致，而导致通信失败的问题。本发明实施例是这样实现的一种无源光网络中密钥管理方法，包括光线路终端向光网络单元发送密钥切换消息；在确定通信失败的情况下，发送取消密钥切换消息，以指示光网络单元取消密钥切换。本发明实施例还公开了另一种一种保持光线路终端和光网络单元密钥一致性的方法，包括光线路终端获取光网络单元提供的密钥请求消息，该密钥消息至少包括用于指示光网络单元密钥切换状态的标志位数据；当该标志位数据指示所述光网络单元处于密钥切换激活状态时，发送取消密钥切换消息以指示光网络单元取消密钥切换，或者与光网络单元重新协商密钥。本发明同时还公开了另一种无源光网络中密钥管理方法，包括光线路终端获取光网络单元提供的密钥信息，该密钥消息包括当前密钥和用于指示光网络单元密钥切换状态的标志位数据；当该标志位数据指示所述光网络单元处于密钥切换激活状态时，根据该当前密钥与本身当前密钥的比较结果，确定光网络单元与本光线路终端当前密钥是否一致。无源光网络。从上述的技术方案可以看出，与现有技术相比，本发明实施例能够在OLT和ONU之间的通信线路发生短暂故障的情况下，通过指示ONU取消密钥切换这一方式，保持了OLT和ONU密钥的一致性。图1为现有的PON系统的结构框图；图2为现有密钥更新流程的流程图3为本发明一种无源光网络中密钥管理方法的一实施例的流程图；图4为本发明一种无源光网络中密钥管理方法的另一实施例流程图；图5为可实现本发明公开的方法一些实施例的系统的结构框图；图6为可实现本发明公开的方法一些实施例的系统的OLT的结构框图；图7为可实现本发明公开的方法另一些实施例的系统的OLT的结构框具体实施例方式造成OLT和ONU上的密钥不一致的情况是上行Acknowledge消息的丢失，下行Key—switching—time消息丢失则不会影响到OLT和ONU上密钥的一致性。而上行Acknowledge消息的丢失，存在的原因有以下两种第1种上行通道故障，下行通道正常。第2种上下行通道故障。如果上行Acknowledge消息的丢失是由上迷第2种原因引起的，此时，OLT和ONU上密钥是否一致已经没有多大意义了，'因为OLT和ONU都不能通信了，所以本发明主要针对第1种原因引起的上行Acknowledge消息的丟失的情况。本发明实施例在确认上行Acknowledge消息丟失后，由OLT发送给ONU一个取消密钥切换的消息，使得ONU在接收到该消息后取消密钥切换，从而使得OLT和ONU的密钥保持一致。附图和实施例对本发明技术方案进行详细描述。请参考图3,为本发明一种无源光网络中密钥管理方法的实施例的流程图。具体包括以下步骤步骤S101、OLT向ONU发送密钥切换消息。在密钥切换流程开始时，OLT向ONU发送密钥切换消息(Key—Switching—time)。ONU如果接收到该密钥切换消息后，向所述OLT发送确认(Acknowledge)消息，并按照所述密钥切换时间进行密钥切换用新密钥替换旧密钥。如果由于暂时的通信故障而无法接收到该密钥切换消息，则维持原先的密钥。步骤S102、OLT判断是否通信失败，若是，进入步骤S103;否则，进入步骤S104。OLT判断是否通信失败的方式可以由多种方式，例如判断在预设时间段内收到确认(Acknowledge)消息，若是，则表示通信正常，否则，则表示通信失败。步骤S103、OLT进行密钥切换。步骤S104、OLT发送取消密钥切换消息。OLT向ONU发送取消密钥切换消息(Cancel—key—Switching),指示ONU取消密钥切换，也就是恢复使用旧密钥。需要说明的是，可以预先在OLT和ONU上各设一标志位，用于标识OLT、ONU是否要进行密钥切换，默认情况下，该标志位置为False,说明不要进行密钥切换，可以称标志位置为False这种情况称为密钥切换的非激活状态。当ONU收到OLT发送的密钥切换消息时，将自身的标志位设置为True(可以称标志位置为True,这种情况称为密钥切换的激活状态)，那么ONU在OLT和ONU协商好的切换时间进行密钥切换，当切换后，该标志位立即变更为False。当ONU收到所述取消密钥切换消息时，ONU上的该标志位被置为False,ONU不进行密钥切换。也就是说，对于OLT、ONU来说，只有标志位置为True时，才会进行切换。于是，当OLT在预设的时间范围内收到确认(Acknowledge)消息时，将自身的标志位被置为True,那么OLT也在OLT和ONU协商好的切换时间(该切换时间在密钥交换流程中，已经由OLT发送给ONU,属于现有技术)进行密钥切换，之后该标志位立即变更为False;如果OLT在此预设时间内没有收到Acknowledge消息，该标志位仍为False。所以，在按照顺序进行上述步骤之后，OLT由于没有接受到ONU发送的确认(Acknowledge)消息而没有进行密码切换，仍然使用旧密钥，如果ONU接收到OLT发送的密钥切换消息后，将标志位设置为True，准备在协商好的切换时间进行密钥切换，其在收到所述取消密钥切换的消息后取消了切换，同样使用旧密钥。从而使得OLT和ONU均使用同样的旧密钥，保证了两者当前密钥的一致。OLT发送取消密钥切换消息(Cancel—Key—Switching)可以通过物理层维护信元(PLOAM)形式发送。其格式如表1所示表1<table>tableseeoriginaldocumentpage12</column></row><table>需要说明的是，OLT在向发送ONU发送密钥切换消息后，没有接收到ONU反馈的确认(Acknowledge)消息的情况下，其是不了解ONU目前的密钥情况的，也就是说，其不知道ONU是否接收到密钥切换消息。于是，在这种情况下，OLT如果能够获取目前ONU的密钥情况，则可以根据该密钥情况对本身正在使用的密钥进行相应处理，保证两者的密钥一致。因此，本发明还提供了一种片全测光线路终端和光网络单元密钥一致性的方法实例，并且还提供了基于该方法的另一种保持光线路终端和光网络单元密钥一致性的方法实施例，请参考图4，为无源光网络中密钥管理方法另一实施例流程图。具体包括以下步骤步骤S201、OLT向指定ONU发送密钥请求消息。OLT向ONU发送密钥请求消息，以指示ONU提供密钥消息。所述密钥消息至少包括标志位数据，还可以包括当前密钥(存储在active—key—register中的密钥)或者将切换的密钥(存4诸在shadow—key—register中的密钥)和密钥切换时间的组合。例如可以包括标志位、当前密钥和将切换密钥。该密钥请求消息的格式可以是如表2所示<table>tableseeoriginaldocumentpage13</column></row><table>指定ONU收到该密钥请求消息后，按该密钥请求消息的要求将相应的密钥信息发送给OLT。该密钥信息的格式可以是如表3所示:表3密钥信息字节编号内容描述'1ONU-ID指示发起此消息的ONU200001010表明消息类型为"Current—EncryptionJnfo"300000XTTTT=00:activekey;TT=01:shadowkey;TT=10:switchingtime(该消息的具体定义见表4)。乂=0:密钥切换的标志位为False;X-1:密钥切换的标志位为True。4Frag—Index索引，用于指示此消息承载的是密钥的哪部分(注)5KeyBYTE0密钥(Key—Index)的部分(Frag—Index)的第O字节6KeyBYTE1密钥(Keyjndex)的部分(Fragjndex)的第1字节7KeyB丫TE2密钥(Keyjndex)的部分(Frag—Index)的第2字节8KeyBYTE3密钥(Keyjndex)的部分(Fragjndex)的第3字节9KeyB丫TE4密钥(Keyjndex)的部分(Fragjndex)的第4字节10KeyBYTE5密钥(Keyjndex)的部分(Fragjndex)的第5字节11KeyB丫TE6密钥(Keyjndex)的部分(Fragjndex)的第6字节12KeyBYTE7密钥(Keyjndex)的部分(Fragjndex)的第7字节注如果要求多个部分携带密钥，则密钥的第一部分(字节0~7)的Frag—Index=0,第二部分(字节8~15)的Frag—lndex-1，以此类推。目前AES-128仅需要两部分来携带。承载密钥切换时间(switchmingtime)的密钥信息的格式可以是如表4所示表4<table>tableseeoriginaldocumentpage15</column></row><table>步骤S202、OLT判断是否在预设时间段内收到指定ONU发送的密钥消息，若是，进入步骤S203;否则，进入步骤S204。步骤S203、OLT根据收到的消息判断与ONU当前密钥/将要切换的密钥是否相一致。步骤S204、OLT宣称一致性检查失败，结束流程。需要说明的是，上述步骤S201密钥请求消息的发送的具体实现方式可以是定时发送，也可以是在接收到触发信息(如操作人员发送的特定消息)后进行发送，也可以是在确i人通信失败后进行发送。基于上述流程，OLT判断出ONU当前密钥是否与本身当前密钥或者将要切换的密钥相同后，即可根据判断结果选择合适的操作，以保证与ONU当前密钥的一致性。于是，基于上述流程，还存在另一种无源光网络中密钥管理方法实施例。在确认通信失败后(具体确认方式可参照上述步骤S102内容)，进行上述步骤S201-步骤S204的检测。上述实施例中，ONU发送的密钥信息包括标志位数据、当前密钥、将切换密钥及密钥切换时间，在其他的实施例中，ONU发送的密钥信息可以仅包括标志位数据，或者标志位数据和其他信息(当前密钥、将切换的密钥及密钥切换时间)的任意组合。包括的信息更具用户需求或者网络实际运行情况而定，例J(口所述密钥消息仅包括标志位数据，这时，OLT获取该密钥消息后，根据该标志位数据，即可了解所述ONU是否已经准备切换，如该标志位数据为预设数据(例如设置为True)时，表示该ONU处于密钥切换的激活状态，也就是准备在协商的切换时间进行密钥切换了。否则，如果该标志位数据为其它数据时(例如为False)时，则表示该ONU处于密钥切换的非激活状态，也就是说，不会进行密钥切换。OLT可以在了解到所述ONU处于密钥切换的激活状态时，发送取消密钥切换的消息，指示ONU取消密钥切换(也即将标志位数据置为False。由此使得ONU不进行切换，仍然使用旧密钥，从而与OLT当前密钥一致。上述情况是OLT预先知道ONU和本身的当前密钥一致的情况下进行的，实际上，OLT4艮有可能不了解ONU的当前密钥情况，所以作为上述情况的补充，所述密钥消息还可以进一步包括当前密钥，使得OLT能够根据该密钥消息确定ONU和本身的当前密钥是否一致。如果一致，可以采用发送取消密钥切换消息的方法以保证双方的密钥一致，否则，则可以重新协商新密钥及新密钥的切换时间。另外，作为更进一步的补充，所述密钥切换消息还可以进一步包括将切换的密钥及密钥切换时间，于是，OLT获取到该密钥消息后，比较双方的将切换的密钥是否一致，密钥切换时间是否一致，如果都一致，则可将本身的设置成密钥切换的激活状态(将标志位设置为True)，由此保证双方密钥的一致性。需要说明的是，对于ONU来说，刚刚交换后的密钥是保存在shadow—key—register中，而不是存在active—key—register中的，只有到要新的密钥时，才从shadow—key—register复制密钥到active—key—register中进行加/解密。所以本发明实施例并非单纯比较OLT和ONU中active—key—register的值，而是同时参考ONU的shadow—key—register密钥的密钥(也即将切换的密钥)切换时间来确定。本发明实施例能够在确认(Acknowledge)消息丢失的情况下，进行密钥切换取消或者根据ONU当前密钥确定是否进行密钥取消还是密钥切换，来保证OLT和ONU密钥的一致性。图5示出了可用于实现上述一些公开的实施例的系统框图。本发明实施例为一种PON(无源光网络)系统，包括光线路终端(OLT)100、光分布网(ODN)200和光网络单元(ONU/ONT)300。OLT100为PON系统提供业务节点接口(SNI),连接一个或多个ODN200。多个ONU300的上行数据汇总传输到OLT100。ONU300为PON系统提供用户网绍嵌口(UNI)。其中，所述OLT100包括、密钥切换消息发送单元111和密钥切换单元112。所述密钥切换消息发送单元111，用于在密钥切换流程开始时，发送密钥切换消息(Key—Switchingjime),以指示指定的ONU按照要求进行密钥切换。所述ONU接收到该密钥切换消息后，反馈确认消息，并将自身的标志位置为True,表示即将在预先协商好的时间进行密钥切换。所述密钥切换单元112用于进行密钥切换。其进行密钥切换的过程为将所在OLT的标志位置为Ture,然后在预先协商好的时间时将新密钥切换为当前密钥。所述OLT100还包括第一处理单元113和取消消息发送单元114。其中所述第一处理单元113,用于在确定通信失败的情况下，发送预定指示消息。所述取消消息发送单元114,用于在接收到所述预定指示消息时，发送取消密钥切换消息。ONU在接收到该取消密钥切换消息后，将自身的标志位置为False,表示不进行密钥切换。其中，所述第一处理单元113确定是否通信失败的方式存在多种，其中—种易行的方式是判断在所述密钥切换消息发送单元111发送密钥切换消息后的预设时间，是否受到所述ONU发送的确认消息。如果是，则确定通信正常，否则，确定通信失败。需要说明的是，OLT在向发送ONU发送密钥切换消息后，没有接收到ONU反馈的确认(Acknowledge)消息的情况下，其是不了解ONU目前的密钥情况，也就是说，不知道ONU是否接收到密钥切换消息。在这种情况下，OLT如果能够获取目前ONU的密钥情况，则可以根据该密钥情况对本身正在使用的密钥进行相应处理，保证两者的密钥一致。于是，本文4是供另外几种实施例。图6示出了另外一些系统的OLT的结构示意图。在上述实例的基础上，进一步包括密钥请求消息发送单元115,用于发送密钥请求消息，指示所述光网络羊元反馈密钥消息，该密钥消息包括标志位数据。第二处理单元116，用于在接收密钥消息后，根据该密钥消息，判断所述标志位数据为预设数据。第三处理单元117，用于根据所述第二处理单元的判断结果，当该结果措示所述标志位凝:据为预设数据时(表示该ONU处于密钥切换的激活状态)，发送指示信息。第一指示信息触发单元118,用于接收到所述指示信息后，指示所述第一处理单元113发送取消密钥切换消息的信息。在另外的一些实施例中，所述密钥消息进一步包括当前密钥，于是还可以在上述实例的基础上，进一步包括第四处理单元，用于接收密钥消息，并根据密钥消息确定ONU和OLT的当前密钥是否一致，如果是，则发送所述指示信息给所述第一指示信息触发单元118。另外，可以在其他的实施例中，所述密钥消息进一步包括将切换的密钥l密钥切换时间，于是可以在上述实施例的基础上进一步包括第五处理单元，用于接收密钥消息，在所述第二处理单元的判断结果指示所述标志位数据为预设数据时，根据密钥消息确定光网络单元和光线路终端的将切换的密钥和密钥切换时间是否一致，如果是，发送所述指示信息给所述第一指示信息触发单元118。'另外，可以在其他的实施例中，所述OLT100可以仅包括上述密钥切换消息发送单元111、密钥切换单元112、密钥请求消息发送单元115、第二处理单元116、第三处理单元117及第二指示信息触发单元119,如图7所示。所述第二指示信息触发单元119用于接收到所述指示信息后，发送取消密钥切换消息的信息，或者指示光线路终端与光网络单元重新协商新密钥及密钥切换时间。本发明实施例提供了一种另外一种OLT。所述OLT100包括密钥请求消息发送单元115，用于发送密钥请求消息，指示所述光网络单元反^t密钥消息，该密钥消息包括当前密钥和标志位数据；第六处理单元，用于在接收到所述密钥消息后，根据该消息，在标示位数据指示所述ONU处于密钥切换的激活状态时，确定所在光线路终端与所述指定的光网络单元的当前密钥是否一致。需要说明的是，所述密钥请求消息还可以进一步包括将切换密钥及密钥切换时间，所述OLT100还包括第七处理单元，用于比较ONU中将切换密钥、密钥切换时间与本OLT将切换密钥、密钥切换时间是否一致。本领域技术人员可以理解，可以使用许多不同的工艺和技术中的任意一种来表示信息、消息和信号。例如，上述说明中提到过的消息、信息都可以表示为电压、电流、电磁波、磁场或磁性粒子、光场或以上任意组合。专业人员还可以进一步应能意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或
技术领域：
内所公知的任意其它形式的存储介质中。对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。权利要求1、一种无源光网络中密钥管理方法，其特征在于，包括光线路终端向光网络单元发送密钥切换消息；在确定通信失败的情况下，发送取消密钥切换消息，以指示光网络单元取消密钥切换。2、如权利要求1所述的方法，其特征在于，确定通信失败的具体方式为如果在所述密钥切换消息发送后的预设时间段内没有收到确认消息时，确定通信失败。3、如权利要求1所述的方法，其特征在于，所述取消密钥切换消息是在确定光网络单元处于密钥切换激活状态时发送的。4、如权利要求3所述的方法，其特征在于，所述确定光网络单元处于密钥切换激活状态的步骤包括光线路终端获取光网络单元提供的密钥消息，该密钥消息至少包括用于鼎示光网络单元密钥切换状态的标志位数据；当该标志位数据与指示密钥切换激活状态的数据一致时确定光网络单元处于密钥切换激活状态。5、如权利要求1所述的方法，其特征在于，所述取消密钥切换消息是在确定光网络单元和本光线路终端当前密钥一致，并且所述光网络单元处于密4月切换激活状态时发送的。6、如权利要求5所述的方法，其特征在于，确定光网络单元和本光线路终端当前密钥一致，并且所述光网络单元处于密钥切换的激活状态的实现方弍为光线路终端获取光网络单元提供的密钥消息，该密钥消息包括当前密钥及月于指示光网络单元密钥切换状态的标志位数据；根据该当前密钥与本身的当前密钥的比较结果确定当前密钥的一致性，并当该标志位数据与指示密钥切换激活状态的数据一致时，确定光网络单元处于密钥切换激活状态。7、一种无源光网络中密钥管理方法，其特征在于，包括光线路终端获取光网络单元提供的密钥请求消息，该密钥消息至少包括月于指示光网络单元密钥切换状态的标志位数据；当该标志位数据指示所述光网络单元处于密钥切换激活状态时，发送取消密钥切换消息以指示光网络单元取消密钥切换，或者与光网络单元重新协商密钥。8、如权利要求7所述的方法，其特征在于，所述密钥消息还包括光网络单元的当前密钥，发送取消密钥切换消息是在所述光线路终端确定其与光网络单元的当前密钥一致的情况下进行的。9、如权利要求7所述的方法，其特征在于，当密钥请求消息还包括将切换密钥和密钥切换时间时，所述光线路终端接收到所述密钥消息后，还包括判断光网络单元和自身将切换密钥、密钥切换时间是否一致，如果是，则将本身的密钥切换状态设置成密钥切换激活状态。10、一种无源光网络中密钥管理方法，其特征在于，包括光线路终端获取光网络单元提供的密钥信息，该密钥消息包括当前密钥和用于指示光网络单元密钥切换状态的标志位数据；当该标志位数据指示所述光网络单元处于密钥切换激活状态时，根据该当前密钥与本身当前密钥的比较结果，确定光网络单元与本光线路终端当前密钥是否一致。11、如权利要求10所述的方法，其特征在于，所述密钥请求消息中还包括将要切换的密钥的信息和密钥切换时间时，所述光线路终端接收到所述密钥消息后，还包括根据该密钥请求消息中的将要切换的密钥、密钥切换时间和本身将要切换的密钥、密钥切换时间的比较结果，确定双方将切换的密钥是否一致。12、一种光线路终端，其特征在于，包括密钥切换消息发送单元，用于发送密钥切换消息，以指示指定的光网络单元进行密钥切换；密钥切换单元，用于进行密钥切换；第一处理单元，用于在确定通信失败的情况下，发送指示消息；取消消息发送单元，用于在接收到所述指示消息时，发送取消密钥切换的消息给所述指定的光网络单元。13、如权利要求12所述的光线路终端，其特征在于，还包括密钥请求消息发送单元，用于发送密钥请求消息，指示所述光网络单元反馈密钥消息，该密钥消息至少包括用于指示光网络单元密钥切换状态的标志位数据；第二处理单元，用于判断所述标志位数据是否为与指示密钥切换激活状态的数据一致；第三处理单元，用于当所述标志位数据与所述数据一致时，发送指示信台第一指示信息触发单元，用于接收到所述指示信息时，指示所述第一处理单元发送取消密钥切换消息的信息。14、如权利要求13所述的光线路终端，其特征在于，所述密钥请求消息还包括当前密钥，所述装置还包括第四处理单元，用于根据所述密钥消息瑜定光网络单元和光线路终端的当前密钥是否一致，如果是，则发送所述指示信息。15、如权利要求13所述的光线路终端，其特征在于，所述密钥请求消息还包括将切换密钥和密钥切换时间，所述光线路终端还包括第五处理单元，用于接收密钥消息，在所述标志位数据与指示密钥切换激活状态的数据一致时，根据密钥消息确定光网络单元和光线路终端的将切换的密钥和密钥切换时间是否一致，如果是，发送所述指示信息。16、一种光线路终端，其特征在于，包括密钥切换消息发送单元，用于发送密钥切换消息，以指示指定的光网络单元进行密钥切换；密钥切换单元，用于进行密钥切换；密钥请求消息发送单元，用于发送密钥请求消息，指示所述光网络单元反馈密钥消息，该密钥消息至少包括用于指示光网络单元密钥切换状态的标志位数据；第二处理单元，用于判断所述标志位数据是否与指示密钥切换激活状态的数据一致；第三处理单元，用于当该结果指示所述标志位数据与所述数据一致时，发送指示信息；第二指示信息触发单元，用于接收到所述指示信息时，发送取消密钥切换消息的信息，或者指示光线路终端与光网络单元重新协商密钥。17、如权利要求16所述的光线路终端，其特征在于，所述密钥请求消息还包括当前密钥，所述装置还包括第四处理单元，用于接收密钥消息，根据所述密钥消息确定光网络单元和光线路终端的当前密钥是否一致，如果是，则发送所述指示信息。18、如权利要求16所述的光线路终端，其特征在于，所述密钥请求消息还包括将要切换的密钥，所述装置还包括第五处理单元，用于在所述标志位数据与指示密钥切换激活状态的数据一致时，根据密钥消息确定光网络单元和光线路终端的将要切换的密钥是否一致，如果是，发送所述指示信息。19、一种光线路终端，其特征在于，包括密钥请求消息发送单元，用于发送密钥请求消息，指示所述光网络单元反馈密钥消息，该密钥消息包括当前密钥和标志位数据；第六处理单元，用于在标志位数据指示所述光网络单元处于密钥切换的激活状态时，确定所在光线路终端与所述指定的光网络单元的当前密钥是否一致。20、如权利要求19所述的光线路终端，其特征在于，所述密钥请求消息还包括将切换密钥和密钥切换时间，所述装置还包括第七处理单元，根据该密钥请求消息中的将切换密钥、密钥切换时间和本身将切换密钥、密钥切换时间的比较结果，确定双方将要切换的密钥是否一致。21、一种无源光网络系统，其特征在于，具备权利要求12-15任意一项所述的光线路终端。22、一种无源光网络系统，其特征在于，具备权利要求16、17或18所述的光线路终端。23、一种无源光网络系统，其特征在于，具备权利要求19或20所述的光线路终端。全文摘要本发明公开了一种无源光网络中密钥管理方法，包括光线路终端向光网络单元发送密钥切换消息；在确定通信失败的情况下，发送取消密钥切换消息，以指示光网络单元取消密钥切换。本发明同时还公开了另一种无源光网络中密钥管理方法，及执行上述方法的光线路终端，及包括该光线路终端的无源光网络系统。本发明实施例能够在OLT和ONU之间的通信线路发生短暂故障的情况下，通过指示ONU取消密钥切换这一方式，保持了OLT和ONU密钥的一致性。文档编号H04L29/06GK101547088SQ200810088058公开日2009年9月30日申请日期2008年3月27日优先权日2008年3月27日发明者彭桂开,梁选勤申请人:华为技术有限公司