[go: up one dir, main page]

CN101056167B - 一种吉比特无源光网络密钥交换及切换的方法 - Google Patents

一种吉比特无源光网络密钥交换及切换的方法 Download PDF

Info

Publication number
CN101056167B
CN101056167B CN2007101060955A CN200710106095A CN101056167B CN 101056167 B CN101056167 B CN 101056167B CN 2007101060955 A CN2007101060955 A CN 2007101060955A CN 200710106095 A CN200710106095 A CN 200710106095A CN 101056167 B CN101056167 B CN 101056167B
Authority
CN
China
Prior art keywords
frame number
key
optical network
network unit
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2007101060955A
Other languages
English (en)
Other versions
CN101056167A (zh
Inventor
夏顺东
王康
戴瑞春
李明生
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN2007101060955A priority Critical patent/CN101056167B/zh
Publication of CN101056167A publication Critical patent/CN101056167A/zh
Application granted granted Critical
Publication of CN101056167B publication Critical patent/CN101056167B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

本发明提供一种吉比特无源光网络密钥交换及切换的方法,其特征在于,OLT每隔一个周期向ONU发起密钥交换,交换成功后进入本周期的密钥切换阶段,包括:(a)OLT选择本周期内的一个帧号并将所述帧号发送给ONU,所述帧号应该大于当前帧号,且所述帧号所对应的时刻与当前时刻的差值至少应大于ONU的响应时间;(b)若OLT在预定时间内未收到ONU反馈的确认响应消息,则OLT及ONU均取消本周期内的密钥切换。本发明减小了现有技术中密钥切换阶段由于OLT未收到ONU返回的Acknowledge消息,在选定帧到来时不确定是否进行密钥切换而可能导致的OLT与ONU使用密钥不同步进而造成ONU对下行数据解密失败的影响,提高了GPON系统中密钥切换的安全性。

Description

一种吉比特无源光网络密钥交换及切换的方法
技术领域
本发明涉及GPON(Gigabit-capable Passive Optical Network,吉比特无源光网络)领域,更具体的说,涉及一种提高GPON系统密钥切换安全性的方法。
背景技术
GPON是基于ITU-T G.984.x标准的新一代宽带无源光综合接入技术,系统通常由局侧的OLT(Optical Line Terminal,光线路终端)、用户侧的ONU(Optical Network Unit,光网络单元)/ONT(Optical Network Termination,光网络终端)和ODN(Optical Distribution Network,光分配网络)组成。ODN由单模光纤和光分路器、光连接器等无源光器件组成,为OLT和ONU之间的物理连接提供光传输媒质。ODN通常为点到多点结构,即一个OLT连接多个ONU。OLT发往ONU的数据称为下行数据,ONU发往OLT的数据称为上行数据。
GPON系统中,下行数据具有广播特性,恶意用户可以通过对其掌握的ONU重新编程,从而听到所有用户的所有下行数据。为此,ITU-T G.984.3建议使用一种基于AES(Advanced Encryption Standard,先进加密标准)加密技术的安全措施来加以防范,流程可分为两个阶段:密钥交换和密钥切换。
在密钥交换阶段:OLT向ONU发送Request_Key(请求密钥)消息,ONU产生新密钥并保存到shadow_key(影子密钥)寄存器,然后将新密钥发给OLT,OLT将密钥保存到自己的shadow_key寄存器中。
在密钥切换阶段:OLT选择一个帧号作为开始使用新密钥的第一帧,并通过Key_switching_time(密钥切换时间)消息传送该帧的复帧编号给ONU。该消息将会发送三次,ONU仅需要接收其中一个正确的拷贝来获知更换时间。ONU通过Acknowledge(确认)消息进行确认响应。在开始使用新密钥的第一帧的起始位置进行密钥切换操作,即OLT复制shadow_key寄存器的内容到active_key(活动密钥)寄存器,ONU复制它的shadow_key寄存器到active_key寄存器,OLT和ONU开始使用新密钥对下行数据进行加密和解密。
在密钥切换阶段,如果OLT没有成功收到Acknowledge消息,将会有严重后果。在选定帧到来时,由于不确定ONU是否会进行密钥切换,此时OLT无论是否进行切换,都会有和ONU实际使用密钥不同步的可能性,造成ONU对下行数据解密失败。ITU-T G.984.3没有对这个风险加以说明和规定应对措施。
发明内容
本发明要解决的技术问题是,提供一种吉比特无源光网络密钥交换及切换的方法,以提高GPON系统密钥切换阶段的安全性,减小OLT和ONU实际使用密钥不同步的风险。
为解决该技术问题,本发明提供一种吉比特无源光网络密钥交换及切换的方法,即光线路终端每隔一个周期向光网络单元发起密钥交换,交换成功后进入本周期的密钥切换阶段,包括:
(a)光线路终端选择本周期内的一个帧号并将所述帧号发送给光网络单元,所述帧号应该大于光线路终端在选择所述帧号时所对应的当前帧号,且所述帧号所对应的时刻与所述当前帧号所对应的当前时刻的差值至少应大于光网络单元的响应时间;
(b)若光线路终端在预定时间内未收到光网络单元反馈的确认响应消息,则光线路终端及光网络单元均取消本周期内的密钥切换;所述光线路终端取消本周期内的密钥切换的方法为:光线路终端选择另一帧号发送给光网络单元,所述另一帧号大于或等于光线路终端在选择所述另一帧号时所对应的当前时刻的两周期后的时刻所对应的帧号;如果上次收到的密钥切换消息规定的所述帧号和新消息规定的所述另一帧号不同,并且所述帧号对应的帧还没有到来,则不再准备在所述帧号对应的帧进行密钥切换操作。
进一步地,光线路终端每隔一个周期向光网络单元发起密钥交换是指:设定一个周期固定的定时器,当定时器变为超时状态时进行密钥交换并复位定时器。
进一步地,光线路终端与光网络单元密钥交换按ITU-T G.984.3规定的流程操作。
进一步地,所述的密钥交换成功是指光线路终端在一定时间内成功收到光网络单元产生的新密钥。
进一步地,本周期内所述一定时间之后有足够的时间完成光线路终端向光网络单元发送所述帧号,等待光网络单元的响应时间,及取消本周期内的密钥切换。
进一步地,光线路终端向光网络单元发送密钥切换帧号的方法同ITU-TG.984.3规定。
进一步地,步骤(b)中所述的预定时间指等待光网络单元响应的时间。
进一步地,步骤(b)中:若光线路终端在预定时间内成功接收到光网络单元回馈的确认响应消息,则准备在所述帧号对应的帧到来时使用新密钥对下行数据进行加密,本周期流程结束。
进一步地,所述的光线路终端将所述另一帧号发送给光网络单元后本周期流程结束。
进一步地,所述周期的时间长度等于或大于下列时间长度之和:完成ITU-T G.984.3规定的密钥交换所需要的时间、光线路终端向光网络单元发送所述帧号的时间、等待光网络单元的响应的时间,及取消本周期内的密钥切换的时间。
采用了本发明的技术方案后,减小了现有技术中密钥切换阶段由于OLT未收到ONU返回的Acknowledge消息,在选定帧到来时不确定是否进行密钥切换而可能导致的OLT与ONU使用密钥不同步进而造成ONU对下行数据解密失败的影响,因此提高了GPON系统中密钥切换的安全性。
附图说明
图1是本发明GPON系统密钥交换和切换的总体流程图;
图2是本发明OLT密钥交换和切换的具体实施流程图;
图3是本发明ONU密钥切换的具体实施流程图。
具体实施方式
下面将结合附图及实施例对本发明的技术方案进行更详细的说明。
如图1所示,OLT密钥交换和切换的方法为:
GPON系统中,OLT每隔一个周期向ONU发起密钥交换,交换成功后进入密钥切换阶段。如果OLT在ONU响应时间内收到Acknowledge消息则准备进行密钥切换;否则取消本周期内的密钥切换,取消方法是把若干周期之后(至少大于或等于2个周期)的某个帧号做为新的切换帧号,通过Key_switching_time消息将新的帧号发给ONU。
如图2所示,OLT处于就绪状态后完成以下步骤:
步骤1:设立一个周期固定的定时器(为方便表述,该定时器的周期用T表示),该周期的时间长度要等于或大于密钥交换时间和密钥切换时间长度之和;所述密钥交换时间即完成ITU-T G.984.3规定的密钥交换所需要的时间;所述密钥切换时间即OLT向ONU第一次发送帧号所需的时间,加等待ONU响应的时间,再加上取消本周期密钥切换——即OLT发送另一帧号所需的时间。该定时器初始为工作状态,等T时间过后,自动变为超时状态。
步骤2:读取定时器状态。
步骤3:判断定时器是否处于超时状态,如果是转步骤4,否则转步骤2。
步骤4:复位定时器,定时器回到工作状态,等T时间过后,自动变为超时状态。
步骤5:按ITU-T G.984.3规定流程向ONU发起密钥交换。
步骤6:如果步骤5密钥交换成功结束(即OLT在一定时间内成功接收到ONU产生的新密钥;所述一定时间的长度由用户根据需要确定,可以是ONU响应时间,也可以更长,但要保证本周期内所述一定时间之后有足够的时间完成密钥切换阶段的工作,包括OLT向ONU第一次发送帧号、等待光网络单元的响应时间、及取消本周密钥切换——即OLT向ONU发送另一帧号),则转步骤7,否则转步骤2。
步骤7:选定一个帧号(该帧作为使用新密钥的第一帧,为了方便表述,以下用帧号i表示),i应该大于选定帧号i时的当前帧号,i所对应的时刻与当前帧号对应的当前时刻——即选定帧号i的时刻(为了方便表述以下用t1表示)的差值应大于ONU的响应时间,并且小于下个周期中的任意帧号。
步骤8:通过Key_switching_time消息将帧号i发送给ONU,消息发送3次,步骤7中所述的响应时间是从ONU收到第3次消息开始计算。
步骤9:判断等待ONU应答是否已经超时,如果是则转步骤10,否则转步骤12。
步骤10:取消本周期内的密钥切换,取消方法可以但不限于为选定另一个帧号(为了方便表述以下用帧号j表示),j应大于或等于选定帧号j的时刻(为了方便表述以下用t2表示)两周期后的时刻所对应的帧号,即j应该大于或等于(t2+2×T)时刻所对应的帧号。
步骤11:OLT通过Key_switching_time消息将帧号j发送给ONU,消息发送3次,转步骤2,即本周期流程结束并等待下一个定时器超时的到来。
步骤12:查询上行消息队列。
步骤13:判断是否收到ONU发来的Acknowledge消息,如果是转步骤14,否则转步骤2,即本周期流程结束并等待下一个定时器超时的到来。
步骤14:在第i帧到来时使用步骤5中获得的新密钥对下行数据进行加密,转步骤2。
ONU密钥交换阶段的处理方法同ITU-T G.984.3规定;且OLT向ONU发送密钥切换帧号i及j的方法同ITU-T G.984.3规定,即连续发送3次Key_switching_time消息;ONU收到新的Key_switching_time消息后仍按ITU-T G.984.3规定处理,只是增加下面处理逻辑,即密钥切换消息覆盖机制:
如果上次收到的Key_switching_time消息规定的帧号i和新消息规定的帧号j不同,并且第i帧还没有到来,则不再准备在第i帧进行密钥切换操作。成功结束后,新密钥应保存在shadow_key寄存器中。密钥切换阶段处理方法如图3所示:
步骤1:将key_switch_ready寄存器置为0。
步骤2:查询是否收到新的Key_switching_time消息?如果是则转步骤3,否则转步骤5。
步骤3:将该消息中的帧号写入key_switch_frame寄存器,向OLT回复Acknowledge消息。
步骤4:将key_switch_ready寄存器置为1。
步骤5:如果key_switch_ready寄存器中的值为1,并且当前下行数据的帧号等于key_switch_frame寄存器中的值,则转步骤6,否则转步骤2。
步骤6:复制shadow_key寄存器的内容到active_key寄存器,从此开始使用active_key寄存器中的密钥对下行数据解密,转步骤1。
上述T,t1,t2,i,j只用于说明,并无限制作用,即可用其他任何形式的符号表示。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

Claims (10)

1.一种吉比特无源光网络密钥交换及切换的方法,其特征在于,光线路终端每隔一个周期向光网络单元发起密钥交换,交换成功后进入本周期的密钥切换阶段,包括:
(a)光线路终端选择本周期内的一个帧号并将所述帧号发送给光网络单元,所述帧号应该大于光线路终端在选择所述帧号时所对应的当前帧号,且所述帧号所对应的时刻与所述当前帧号所对应的当前时刻的差值至少应大于光网络单元的响应时间;
(b)若光线路终端在预定时间内未收到光网络单元反馈的确认响应消息,则光线路终端及光网络单元均取消本周期内的密钥切换;所述光线路终端取消本周期内的密钥切换的方法为:光线路终端选择另一帧号发送给光网络单元,所述另一帧号大于或等于光线路终端在选择所述另一帧号时所对应的当前时刻的两周期后的时刻所对应的帧号;光网络单元取消本周期内的密钥切换的方法为:如果光网络单元上次收到的密钥切换消息规定的所述帧号和新消息规定的所述另一帧号不同,并且所述帧号对应的帧还没有到来,则光网络单元不再准备在所述帧号对应的帧进行密钥切换操作。
2.如权利要求1所述的方法,其特征在于,光线路终端每隔一个周期向光网络单元发起密钥交换是指:设定一个周期固定的定时器,当定时器变为超时状态时进行密钥交换并复位定时器。
3.如权利要求1所述的方法,其特征在于,光线路终端与光网络单元密钥交换按ITU-T G.984.3规定的流程操作。
4.如权利要求1所述的方法,其特征在于,所述的密钥交换成功是指光线路终端在一定时间内成功收到光网络单元产生的新密钥。
5.如权利要求4所述的方法,其特征在于,本周期内所述一定时间之后有足够的时间完成光线路终端向光网络单元发送所述帧号,等待光网络单元的响应时间,及取消本周期内的密钥切换。
6.如权利要求1所述的方法,其特征在于,光线路终端向光网络单元发送密钥切换帧号的方法同ITU-T G.984.3规定。
7.如权利要求1所述的方法,其特征在于,步骤(b)中所述的预定时间指等待光网络单元响应的时间。
8.如权利要求1所述的方法,其特征在于,步骤(b)中:若光线路终端在预定时间内成功接收到光网络单元回馈的确认响应消息,则准备在所述帧号对应的帧到来时使用新密钥对下行数据进行加密,本周期流程结束。
9.如权利要求1所述的方法,其特征在于,所述的光线路终端将所述另一帧号发送给光网络单元后本周期流程结束。
10.如权利要求1所述的方法,其特征在于,所述周期的时间长度等于或大于下列时间长度之和:完成ITU-T G.984.3规定的密钥交换所需要的时间、光线路终端向光网络单元发送所述帧号的时间、等待光网络单元的响应的时间,及取消本周期内的密钥切换的时间。
CN2007101060955A 2007-05-31 2007-05-31 一种吉比特无源光网络密钥交换及切换的方法 Expired - Fee Related CN101056167B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2007101060955A CN101056167B (zh) 2007-05-31 2007-05-31 一种吉比特无源光网络密钥交换及切换的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2007101060955A CN101056167B (zh) 2007-05-31 2007-05-31 一种吉比特无源光网络密钥交换及切换的方法

Publications (2)

Publication Number Publication Date
CN101056167A CN101056167A (zh) 2007-10-17
CN101056167B true CN101056167B (zh) 2010-08-18

Family

ID=38795798

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2007101060955A Expired - Fee Related CN101056167B (zh) 2007-05-31 2007-05-31 一种吉比特无源光网络密钥交换及切换的方法

Country Status (1)

Country Link
CN (1) CN101056167B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101197663B (zh) * 2008-01-03 2010-12-29 中兴通讯股份有限公司 一种吉比特无源光网络加密业务的保护方法
WO2010061051A1 (en) * 2008-11-03 2010-06-03 Nokia Corporation Method, apparatus and computer program product for providing security during handover between a packet-switched network and a circuit-switched network
CN101800914B (zh) * 2009-02-06 2014-03-12 中兴通讯股份有限公司 一种密钥切换方法和系统
JP2010183494A (ja) * 2009-02-09 2010-08-19 Hitachi Ltd 光ネットワークシステムおよび暗号化鍵の切り替え方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1866857A (zh) * 2005-09-19 2006-11-22 华为技术有限公司 一种pon系统组播权限管控方法
CN1897500A (zh) * 2006-05-11 2007-01-17 中国电信股份有限公司 一种应用于以太网无源光网络系统的搅动密钥更新与同步机制
CN1943462A (zh) * 2006-10-27 2007-04-11 钱乃全 感应供电理疗鞋及其供电电源

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1866857A (zh) * 2005-09-19 2006-11-22 华为技术有限公司 一种pon系统组播权限管控方法
CN1897500A (zh) * 2006-05-11 2007-01-17 中国电信股份有限公司 一种应用于以太网无源光网络系统的搅动密钥更新与同步机制
CN1943462A (zh) * 2006-10-27 2007-04-11 钱乃全 感应供电理疗鞋及其供电电源

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ITU-T G.984.3 Gigabit-capable Passiver Optical Networks(G-PON):Transmission convergence layer specification.INTERNATIONALTELECOMMUNICATION UNION.2004,86-87. *

Also Published As

Publication number Publication date
CN101056167A (zh) 2007-10-17

Similar Documents

Publication Publication Date Title
EP3125465B1 (en) Optical network terminal management control interface-based passive optical network security enhancement
CN101291224B (zh) 在通信系统中处理数据的方法和系统
CN113114460B (zh) 一种基于量子加密的配电网信息安全传输方法
CN101056167B (zh) 一种吉比特无源光网络密钥交换及切换的方法
CN101197663B (zh) 一种吉比特无源光网络加密业务的保护方法
CZ9700881A3 (cs) Způsob zajiątění identifikace pohyblivého uľivatele v komunikačním systému a přenosný vstupní přístroj k provádění tohoto způsobu
CN105027482A (zh) 同轴网络上的以太网无源光网络中的认证和初始密钥交换
CN101183934A (zh) 无源光网络中密钥更新方法
WO2010031269A1 (zh) 一种实现用户侧终端获取密码的方法、系统和设备
CN101247220B (zh) 一种无源光网络系统密钥交换的方法
CN100596060C (zh) 一种防止无源光网络系统中光网络单元被仿冒的方法、系统及设备
CN106549502B (zh) 一种配电安全防护监控系统
CN101998193A (zh) 无源光网络的密钥保护方法和系统
WO2014101084A1 (zh) 一种认证方法、设备和系统
EP2439871A1 (en) Method and device for encrypting multicast service in passive optical network system
TW201723948A (zh) 線下支付方法、終端設備、後臺支付裝置及線下支付系統
CN103595527A (zh) 一种双向密钥的切换方法及实现装置
CN101499898A (zh) 密钥交互方法及装置
CN101304309B (zh) 一种gpon系统的密钥管理方法
CN102571350B (zh) 光网络单元认证方法及装置
CN102035642B (zh) 一种分组密码计数器运行模式中计数器的选择和同步方法
CN101388765B (zh) 一种吉比特无源光纤网络系统的加密模式切换方法
CN101998180B (zh) 一种支持光线路终端和光网络单元版本兼容的方法及系统
CN101394265B (zh) 一种吉比特无源光纤网络系统的加密模式切换方法
US20230214475A1 (en) Systems and methods for coarse wavelength division multiplexing security

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20100818

CF01 Termination of patent right due to non-payment of annual fee