专利名称:无源光网络的密钥保护方法和系统的制作方法
技术领域:
本发明涉及通信领域,特别是涉及一种无源光网络的密钥保护方法和系统。
背景技术:
吉比特无源光网络(Gigabit-Capable Passive Optical Network,简称为 GPON) 技术是无源光网络(PON)家族中一个重要的技术分支,和其它PON技术类似,GPON也是一 种采用点到多点拓扑结构的无源光接入技术。GPON由局侧的光线路终端(Optical Line Terminal,简称为OLT)、用户侧的光 网络单元(Optical Network Unit,简称为 0NU)以及光分配网络(Optical Distributio Network,简称为0DN)组成,通常采用点到多点的网络结构。ODN由单模光纤、光分路器、光 连接器等无源光器件组成,为OLT和ONU之间的物理连接提供光传输媒质。为了实现OLT对ONU的部分管理功能,ITU-T的G. 984. 3标准定义了物理层操作 管理维护(Physicallayer Operations, Administration and Maintenance,简禾尔 PL0AM) 通道,GPON利用PLOAM通道传输PLOAM消息,实现对传输汇聚层的管理,包括ONU激活,ONU 管理控制通道的建立,加密配置,密钥管理等。GPON系统中,PLOAM消息是以明文的形式发送的。由于下行方向(由OLT到0NU) 为天然广播方式,因此各个ONU都将收到所有的PLOAM消息,并且根据ONU-ID来获得属于 自己的PLOAM消息,抛弃发送给其他ONU的PLOAM消息。如果网络中存在被重新编程的恶 意0NU,恶意ONU就会监听OLT发给其他ONU的PLOAM消息。如果恶意ONU监听某个下行 PLOAM消息中携带的合法ONU的序列号,则它可以在合法ONU掉电后,利用合法ONU的序列 号完成自身的注册激活过程,导致非法ONU可以接入到PON系统中,且组织合法ONU的再次 成功注册。ONU发送的上行方向传输的PLOAM消息和GEM(GP0N Encapsulation Method, GPON封装模式)帧数据存在两种被非法监听的威胁如果GPON中的光分路器使用的是2:N 的分光器,如图1所示,不法用户可以通过如图1所示的B端口监听所有ONU发送的PLOAM 消息和GEM帧的内容;当光纤弯折时,会有一部分光从光纤中泄漏,不法用户可以通过弯折 光纤的方式探测上行信号光,从而监听上行PLOAM消息和GEM帧的内容。由于上述原因的 存在,PON系统的安全受到了威胁。
发明内容
本发明旨在提供一种无源光网络的密钥保护方法和系统,通过加密信息之间相互 独立,使PON系统更为安全,且加密过程更为高效。为了实现上述目的,在一方面,提供了一种无源光网络的密钥保护方法,包括光线 路终端和光网络单元,光线路终端/光网络单元给光网络单元/光线路终端发送加密信息 时,同时携带密钥相关信息,将加密信息和密钥相关信息一起发送给光网络单元/光线路 终端。优选地,光线路终端和光网络单元中发送加密信息和密钥相关信息的发送方利用密钥相关信息产生加密密钥,用加密密钥对发送的信息进行加密;光线路终端和光网络单 元中接收加密信息和密钥相关信息的接收方利用密钥相关信息产生解密密钥,用解密密钥 对接收的信息进行解密。优选地,密钥相关信息是存储在光线路终端/光网络单元的信息,或是光线路终 端/光网络单元产生的信息,或是作为发送方的光线路终端/光网络单元与作为接收方的 光网络单元/光线路终端协商后产生的信息。优选地,光线路终端和光网络单元均在本地存储一个相同的预共享密钥种子。优选地,预共享密钥种子采用下述三种方法中的任意一种方法产生在光线路终端和光网络单元之间第一次发送信息之前,光线路终端和光网络单元 本地已经存储预共享密钥种子;光线路终端和光网络单元中第一次发送信息的发送方产生预共享密钥种子,并将 预共享密钥种子传递给光线路终端和光网络单元中第一次接收信息的接收方;或者光线路终端和光网络单元中第一次发送信息的发送方与第一次接收信息的接收 方协商后产生预共享密钥种子,发送方将预共享密钥种子传递给接收方。优选地,光线路终端和光网络单元根据密钥相关信息和预共享密钥种子在本地独 立计算出加密密钥或者解密密钥。优选地,需要更新加密密钥时,光线路终端/光网络单元产生一个新的密钥相关 信息,利用新的密钥相关信息和本地存储的预共享密钥种子产生新的加密密钥,并利用新 的加密密钥对发送的信息进行加密,光线路终端/光网络单元给光网络单元/光线路终端 发送加密信息的同时发送新的密钥相关信息;光网络单元/光线路终端接收到加密信息和新的密钥相关信息后,利用新的密钥 相关信息和本地存储的预共享密钥种子产生新的解密密钥,并利用新的解密密钥对接收到 的加密信息进行解密。优选地,密钥相关信息通过下述两种方式之一携带在加密信息中新定义一个域,利用该新定义的域传递密钥相关信息;或者新定义一个与加密信息格式类似的信息,并将该新定义信息的信息类型标识为密 钥相关信息,用于传递密钥相关信息。优选地,在加密信息中新定义一个域来传递密钥相关信息具体包括以下方式在上行吉比特无源光网络封装模式GEM帧或下行GEM帧的非载荷域定义一个域用 于携带密钥相关信息;利用下行GEM帧或者上行GEM帧的非载荷域中的一个域携带密钥相关信息;在GEM帧头中定义一个域,用于携带密钥相关信息;或者在物理层操作管理维护PLOAM消息中增加字节用于携带密钥相关信息。优选地,新定义一个与加密信息格式类似的信息,并将该新定义信息的信息类型 标识为密钥相关信息,用于传递密钥相关信息具体包括以下方式定义一个新类型的GEM帧用于携带密钥相关信息;或者定义一个新的PLOAM消息用于携带密钥相关信息。优选地,利用密钥相关信息和预共享密钥种子产生加密密钥/解密密钥的密钥生 成算法通过以下任意一种方式得到
光线路终端和光网络单元在第一次发送信息之前将密钥生成算法存储在本地;光线路终端和光网络单元在双方建立通信的初期阶段或建立通信后,由其中一方 选择一个密钥生成算法并传递给另一方后存储在双方本地;或者光线路终端和光网络单元在双方建立通信的初期阶段或建立通信后,在双方协商 之后选择一个共同支持的密钥生成算法,并存储在双方本地。优选地,光线路终端/光网络单元给光网络单元/光线路终端发送非加密信息时, 同时携带密钥相关信息,且在携带密钥相关信息的区域携带一个预设值,用来表示所发送 的消息没有加密。其中,预设值的取值在光线路终端/光网络单元产生密钥相关信息的取值范围之 外。本发明的另一个方面,提供了一种无源光网络的密钥保护系统,包括光线路终端 和光网络单元,其中,光线路终端/光网络单元给光网络单元/光线路终端发送加密信息时,同时携带 密钥相关信息,将加密信息和密钥相关信息一起发送给光网络单元/光线路终端;光线路终端和光网络单元中发送加密信息和密钥相关信息的发送方利用密钥相 关信息产生加密密钥,用加密密钥对发送的信息进行加密;光线路终端和光网络单元中接 收加密信息和密钥相关信息的接收方利用密钥相关信息产生解密密钥,用解密密钥对接收 的信息进行解密。优选地,光线路终端/光网络单元给光网络单元/光线路终端发送非加密信息时, 同时携带密钥相关信息,且在携带密钥相关信息的区域携带一个预设值,用来表示所发送 的消息没有加密。本发明的方法和系统至少存在以下技术效果根据密钥信息能够产生相应的密 钥,不需要额外的密钥交换过程;只要密钥相关信息变化了,密钥就会随着变化,不要额外 的密钥更新机制;每条加密信息都独立携带相应的密钥信息,加密信息之间不会互相影响。 以上这些使得加密过程更为高效。
图1为GPON系统的拓扑结构图; 图2为本发明以OLT为实施例的方法流程图;图3为本发明实施例的携带密钥相关信息域的下行GEM帧格式示意图;图4为本发明实施例的携带密钥相关信息域的上行GEM帧格式示意图。
具体实施例方式为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对具体实 施例进行详细描述。如图2所示,以OLT作为信息发送方为例,本发明的方法包括如下步骤S102、OLT利用密钥相关信息产生加密密钥,用加密密钥对要发送的信息进行加 密;S104、OLT给ONU发送加密信息时,同时携带密钥相关信息,将加密信息和密钥相关信息一起发送给ONU ;S106、ONU接收加密信息后,利用密钥相关信息产生解密密钥,用解密密钥对接收 的信息进行解密。同样,ONU给OLT发送信息时,也参照上述方法进行。下面对本发明在PON系统中的应用作详细描述。
实例一 PLOAM消息的加密本实施例说明利用扩展的PLOAM消息(即利用增加PLOAM消息的字节)传输密钥 相关信息的方法和系统。在本实施例的GPON系统中,OLT和ONU处存储了一个相同的预共享密钥种子,预 共享密钥种子也称为用于生成加密密钥(Key)的第一号密钥种子;OLT和ONU处存储了用 于计算Key的算法;扩展的PLOAM消息的格式如表1、表2和表3所示。表1中,密钥相关 信息,也称为用于生成加密密钥的第二号密钥种子,位于ONU-ID和Message ID之间。表2 中,该第二号密钥种子也可以位于Message ID和Data之间。表3中,该第二号密钥种子也 可以位于Data和CRC之间。表1第一种扩展的PLOAM消息格式
权利要求
1.一种无源光网络的密钥保护方法,包括光线路终端和光网络单元,其特征在于,所述 光线路终端/光网络单元给光网络单元/光线路终端发送加密信息时,同时携带密钥相关 信息,将所述加密信息和密钥相关信息一起发送给所述光网络单元/光线路终端。
2.根据权利要求1所述的密钥保护方法,其特征在于,所述光线路终端和光网络单元中发送所述加密信息和密钥相关信息的发送方利用所 述密钥相关信息产生加密密钥,用所述加密密钥对发送的信息进行加密;所述光线路终端 和光网络单元中接收所述加密信息和密钥相关信息的接收方利用所述密钥相关信息产生 解密密钥,用所述解密密钥对接收的信息进行解密。
3.根据权利要求1或2所述的密钥保护方法,其特征在于,所述密钥相关信息是存储在所述光线路终端/光网络单元的信息,或是所述光线路终 端/光网络单元产生的信息,或是作为发送方的所述光线路终端/光网络单元与作为接收 方的所述光网络单元/光线路终端协商后产生的信息。
4.根据权利要求1或2所述的密钥保护方法,其特征在于,所述光线路终端和光网络单元均在本地存储一个相同的预共享密钥种子。
5.根据权利要求4所述的密钥保护方法,其特征在于,所述预共享密钥种子采用下述三种方法中的任意一种方法产生在所述光线路终端和光网络单元之间第一次发送信息之前,所述光线路终端和光网络 单元本地已经存储所述预共享密钥种子;所述光线路终端和光网络单元中第一次发送信息的发送方产生所述预共享密钥种子, 并将所述预共享密钥种子传递给所述光线路终端和光网络单元中第一次接收信息的接收 方;或者所述光线路终端和光网络单元中第一次发送信息的发送方与第一次接收信息的接收 方协商后产生所述预共享密钥种子,所述发送方将所述预共享密钥种子传递给所述接收 方。
6.根据权利要求4所述的密钥保护方法,其特征在于,所述光线路终端和光网络单元根据所述密钥相关信息和所述预共享密钥种子在本地 独立计算出所述加密密钥或者所述解密密钥。
7.根据权利要求6所述的密钥保护方法,其特征在于,需要更新所述加密密钥时,所述光线路终端/光网络单元产生一个新的密钥相关信 息,利用所述新的密钥相关信息和本地存储的所述预共享密钥种子产生新的加密密钥,并 利用所述新的加密密钥对发送的信息进行加密,所述光线路终端/光网络单元给所述光网 络单元/光线路终端发送所述加密信息的同时发送所述新的密钥相关信息;所述光网络单元/光线路终端接收到所述加密信息和新的密钥相关信息后,利用所述 新的密钥相关信息和本地存储的所述预共享密钥种子产生新的解密密钥,并利用所述新的 解密密钥对接收到的所述加密信息进行解密。
8.根据权利要求1或2所述的密钥保护方法,其特征在于,所述密钥相关信息通过下述 两种方式之一携带在所述加密信息中新定义一个域,利用该新定义的域传递所述密钥相关信息;或者新定义一个与所述加密信息格式类似的信息,并将该新定义信息的信息类型标识为密钥相关信息,用于传递所述密钥相关信息。
9.根据权利要求8所述的密钥保护方法,其特征在于,在所述加密信息中新定义一个 域来传递所述密钥相关信息具体包括以下方式在上行吉比特无源光网络封装模式GEM帧或下行GEM帧的非载荷域定义一个域用于携 带所述密钥相关信息;利用下行GEM帧或者上行GEM帧的非载荷域中的一个域携带所述密钥相关信息;在GEM帧头中定义一个域,用于携带所述密钥相关信息;或者在物理层操作管理维护PLOAM消息中增加字节用于携带所述密钥相关信息。
10.根据权利要求8所述的密钥保护方法,其特征在于,新定义一个与所述加密信息格 式类似的信息,并将该新定义信息的信息类型标识为密钥相关信息,用于传递所述密钥相 关信息具体包括以下方式定义一个新类型的GEM帧用于携带所述密钥相关信息;或者定义一个新的PLOAM消息用于携带所述密钥相关信息。
11.根据权利要求6所述的密钥保护方法,其特征在于,利用所述密钥相关信息和预共 享密钥种子产生所述加密密钥/解密密钥的密钥生成算法通过以下任意一种方式得到所述光线路终端和光网络单元在第一次发送信息之前将所述密钥生成算法存储在本地;所述光线路终端和光网络单元在双方建立通信的初期阶段或建立通信后,由其中一方 选择一个密钥生成算法并传递给另一方后存储在双方本地;或者所述光线路终端和光网络单元在双方建立通信的初期阶段或建立通信后,在双方协商 之后选择一个共同支持的密钥生成算法,并存储在双方本地。
12.根据权利要求1或2所述的密钥保护方法,其特征在于,还包括,所述光线路终端/光网络单元给光网络单元/光线路终端发送非加密信息时,同时携 带所述密钥相关信息,且在携带所述密钥相关信息的区域携带一个预设值,用来表示所发 送的消息没有加密。
13.根据权利要求12所述的密钥保护方法,其特征在于,所述预设值的取值在所述光线路终端/光网络单元产生所述密钥相关信息的取值范 围之外。
14.一种无源光网络的密钥保护系统,包括光线路终端和光网络单元,其特征在于,所述光线路终端/光网络单元给光网络单元/光线路终端发送加密信息时,同时携 带密钥相关信息,将所述加密信息和密钥相关信息一起发送给所述光网络单元/光线路终 端;所述光线路终端和光网络单元中发送所述加密信息和密钥相关信息的发送方利用所 述密钥相关信息产生加密密钥,用所述加密密钥对发送的信息进行加密;所述光线路终端 和光网络单元中接收所述加密信息和密钥相关信息的接收方利用所述密钥相关信息产生 解密密钥,用所述解密密钥对接收的信息进行解密。
15.根据权利要求14所述的密钥保护系统,其特征在于,所述光线路终端/光网络单元 给光网络单元/光线路终端发送非加密信息时,同时携带所述密钥相关信息,且在携带所 述密钥相关信息的区域携带一个预设值,用来表示所发送的消息没有加密。
全文摘要
本发明提供一种无源光网络的密钥保护方法和系统,包括光线路终端和光网络单元,该方法包括光线路终端/光网络单元给光网络单元/光线路终端发送加密信息时,同时携带密钥相关信息,将加密信息和密钥相关信息一起发送给光网络单元/光线路终端。本发明的方法和系统,通过加密信息之间相互独立,使PON系统更为安全,且无需额外的密钥交换过程和密钥更新机制,加密过程更为高效。
文档编号H04Q11/00GK101998193SQ20091018962
公开日2011年3月30日 申请日期2009年8月25日 优先权日2009年8月25日
发明者张伟良, 张德智, 耿丹, 马瑞克.海德杰尼 申请人:中兴通讯股份有限公司