CN101072094B - 一种pon系统中密钥协商的方法和系统 - Google Patents
一种pon系统中密钥协商的方法和系统 Download PDFInfo
- Publication number
- CN101072094B CN101072094B CN2006100606892A CN200610060689A CN101072094B CN 101072094 B CN101072094 B CN 101072094B CN 2006100606892 A CN2006100606892 A CN 2006100606892A CN 200610060689 A CN200610060689 A CN 200610060689A CN 101072094 B CN101072094 B CN 101072094B
- Authority
- CN
- China
- Prior art keywords
- onu
- olt
- encryption key
- mod
- formula
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明公开了一种PON系统中密钥协商的方法和系统,所述的方法包括光线路终端OLT或光网络单元ONU发送请求更新加密密钥消息;OLT或ONU分别根据随机数和系统参数生成加密密钥;OLT或ONU发送请求启用加密密钥消息,完成密钥协商。所述的系统包括光线路终端OLT和光网络单元ONU,所述的OLT和ONU分别根据随机数和系统参数生成加密密钥,完成密钥协商。利用本发明所述的系统和方法,能够极大的增加无源光网络系统密钥交换过程的的安全性。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种PON(PassiveOptical Network,无源光网络)系统中密钥协商的方法和系统。
背景技术
目前接入网领域在DSL(Digital Subscriber Loop,数字用户环路)技术充分发展之余,光接入技术也蓬勃兴起,尤其是PON技术更是受到业界的瞩目。PON技术是一种点到多点的光接入技术,与点到点技术相比,PON系统局端用一根光纤即可分成数十甚至更多路光纤与用户连接,大大降低了建网成本。
如图1所示,PON系统由OLT(Optical Line Termination,光线路终端)、ONU/ONT(Optical Network Unit,光网络单元/OpticalNetwork Termination,光网络终端)以及ODN(Optical DistributionNetwork,光分布网络)组成。OLT为PON系统提供SNI(Service-network Interface,业务网络接口),并连接一个或多个ODN;ODN是无源分光器件,将OLT的数据分路传输到多个ONU,并将多个ONU的数据汇总传输到OLT;ONU为PON系统提供UNI(User-network Interface,用户网络接口),并上行与ODN相连;如果ONU直接提供用户端口功能,如个人计算机上网用的以太网用户端口,则称为ONT。若无特殊说明,本说明书提到的ONU统指ONU和ONT。
在PON系统中,从OLT到ONU称为下行,反之称为上行。由于OLT的下行数据是广播发送到ONU的,网络中所有的ONU都会收到OLT发送给其它ONU的数据。为此,现有技术采用了使用密钥对发送的下行数据进行加密的方案。具体通过以下方法实现:OLT向ONU广播发送请求更新密钥消息,ONU收到该消息后,生成并保存新的密钥,并将该密钥发送给OLT,OLT收到后保存密钥,与ONU约定启用新密钥的时间,在约定时刻,对下行数据启用新密钥。在该方案中,OLT使用与各ONU对应的密钥对发送给不同ONU的数据进行加密,使得系统中任何一个ONU只能解密发送给自己的数据,而无法解密发送到其它ONU的数据。
但现有技术的方案通过网络直接传输明文密钥,使得密钥很容易被他人获取,因而其安全性很差。
发明内容
本发明的目的在于提供一种PON系统中密钥协商的方法和系统,旨在于实现无源光网络中的密钥协商更加安全的目的。
本发明的目的是通过以下技术方案实现的:
本发明提供一种PON系统中密钥协商的方法,包括:
A、光线路终端OLT或光网络单元ONU发送请求更新加密密钥消息;
B21、OLT根据公式X=ax mod b,计算出传递数X,ONU根据公式Y=ay mod b,计算出传递数Y;
B22、OLT和ONU分别将所述的传递数X和Y传递给对方;
B23、OLT根据公式k=Yx mod b生成加密密钥k,ONU根据公式k=Xy mod b生成加密密钥k。
C、OLT或ONU发送请求启用加密密钥消息,完成密钥协商。
所述的随机数为由OLT和ONU分别随机生成的数x和y。
所述的系统参数为OLT和ONU都能获取的两个数a和b。
所述的传递数在请求更新加密密钥消息中包含或单独发送。
所述的获取系统参数的方法为下述方法中任一种:
系统参数固化在OLT和ONU中、每次通信前双方协商生成、每次通信前一方临时指定给另一方、每次通信前双方按照某种规律变化生成。
本发明还提供一种PON系统中密钥协商的系统,所述的系统包括光线路终端OLT和光网络单元ONU,所述的OLT和ONU分别根据随机数和系统参数生成加密密钥,完成密钥协商,其中:所述OLT用于根据公式X=ax mod b,计算出传递数X;所述ONU用于根据公式Y=ay mod b,计算出传递数Y;其中,x、y为所述的随机数,a、b为所述的系统参数;所述OLT和ONU分别将所述的传递数X和Y传递给对方;所述OLT根据公式k=Yx mod b生成加密密钥k,所述ONU根据公式k=Xy mod b生成加密密钥k。
本发明还提供一种PON系统中密钥协商的方法,包括:
OLT与ONU中作为发起方的一方选取随机数x,获取系统参数a、b;并根据公式X=ax mod b生成传递数X,发送请求更新加密密钥消息,所述的请求更新加密密钥消息中包含所述的传递数X;
OLT与ONU中的另一方接收到所述的请求更新加密密钥消息后,选取随机数y,获取系统参数a、b;并根据公式Y=ay mod b生成传递数Y,传递所述的传递数Y;
所述OLT与ONU中作为发起方的一方根据公式k=Yx mod b计算出加密密钥,所述OLT与ONU中的另一方根据公式k=Xy mod b计算出加密密钥;
所述OLT与ONU中作为发起方的一方发送请求启用加密密钥消息,所述OLT与ONU中的另一方收到该消息后,返回确认响应信息,完成密钥协商。
由本发明提供的技术方案可以看出,本发明是由OLT和ONU根据随机数和系统参数生成加密密钥进行密钥协商的,整个协商过程中传输的是由随机数和系统参数生成的传递数,窃听者获取了传递数,甚至其获取了系统参数,也因为不知道随机数而无法获得加密密钥,与现有技术通过网络直接传输明文密钥相比,大大的提高了密钥协商过程的安全性;另外本发明和现有技术相比,更关注于发送的是传递数,而不是明文密码,对基本的流程改动比较小,有利于密钥协商方案的推广和应用。而且在本发明中,发送的传递数或响应消息是采用分片后多次发送的方式进行的,将资料分片发送可以有效提高数据传输的安全性,而采用多次发送方式可以提高数据传输的可靠性。
附图说明
图1为PON系统示意图;
图2为本发明方法的实现流程图;
图3为本发明中加密密钥生成示意图;
图4为本发明系统的示意图。
具体实施方式
如图2、图3所示,本发明的密钥协商方法的具体流程介绍如下:S1、OLT随机生成随机数x,并获取系统参数a、b;
所述的随机数为大整数,a和b是大的素数,而且a是模b的本原元,本发明中获取系统参数的方法可以为下述方法中的任一种:
固化在OLT和ONU中、在每次通信前双方协商生成、每次通信前一方临时指定给另一方或者每次通信前双方按照某种规律变化生成系统参数。
S2、OLT根据密钥协商函数生成传递数X;
本发明中的密钥协商函数可以在通信前双方协商确定,或者每次通信前一方临时指定给另一方。
本实施例中OLT根据公式X=ax mod b生成传递数X。
S3、OLT通过下行通道广播或者单播发送请求更新加密密钥消息,所述的请求更新加密密钥消息中包含所述的传递数X;
S4、ONU接收到所述的请求更新加密密钥消息后,也随机生成一个大整数y,并获取系统参数a、b;
S5、ONU根据密钥协商函数生成传递数Y;
本实施例中ONU根据公式Y=ay mod b生成传递数Y。
S6、ONU将所述的传递数Y传递给OLT;
S7、OLT根据密钥协商函数生成加密密钥,ONU根据密钥协商函数生成加密密钥;
本实施例中OLT根据公式k=Yx mod b计算出加密密钥,ONU根据公式k=Xy mod b计算出加密密钥,因为实际上k=axy mod b,所以两者计算的加密密钥相同,而且任何窃听者因为不知道x和y,所以不可能计算出这个值,因此k可以作为A和B之间的加密密钥。
S8、OLT发送请求启用加密密钥消息,ONU收到该消息后,返回确认响应信息,完成密钥协商。
本发明中的发送请求更新加密密钥消息也可以由ONU完成,本发明中的发送请求启用加密密钥消息也可由ONU完成,即本发明的密钥协商过程的发起方不一定是OLT,也可能是ONU,也可能是双方共同发起。
本发明中传递数可以在请求更新加密密钥消息中包含,也可以单独发送。
本发明的传递数可以分片、多次方式发送,以保证消息的可靠性,而且若OLT或ONU接收传递数时有任一分片每次都接收失败,则重新发送请求更新加密密钥消息;若已连续发送请求更新加密密钥消息次数大于预定请求更新加密密钥消息次数,则宣告密钥协商失败。
如图4所示,本发明还提供一种PON系统中密钥协商的系统,所述的系统包括光线路终端OLT和光网络单元ONU,所述的OLT和ONU分别根据随机数和系统参数生成加密密钥,完成密钥协商。
所述的OLT包括:
随机数生成单元,用于随机生成随机数x;
系统参数获取单元,用于获取系统参数a和b;
传递数生成单元,用于根据密钥协商函数生成传递数X;
消息发送和接收单元,用于发送和接收所述的传递数X,以及若OLT为本发明的密钥协商过程的发起方,则所述的消息发送和接收单元还用于发送请求更新加密密钥消息和发送请求启用加密密钥消息,接收确认响应消息,若ONU为本发明的密钥协商过程的发起方,则所述的消息发送和接收单元还用于发送确认响应消息,接收请求更新加密密钥消息和接收请求启用加密密钥消息;
加密密钥生成单元,用于根据密钥协商函数生成加密密钥。
所述的ONU包括:
随机数生成单元,用于随机生成随机数y;
系统参数获取单元,用于获取系统参数a和b;
传递数生成单元,用于根据密钥协商函数生成传递数Y;
消息发送和接收单元,用于发送和接收所述的传递数Y,以及若ONU为本发明的密钥协商过程的发起方,则所述的消息发送和接收单元还用于发送请求更新加密密钥消息和发送请求启用加密密钥消息,接收确认响应消息,若OLT为本发明的密钥协商过程的发起方,则所述的消息发送和接收单元还用于发送确认响应消息,接收请求更新加密密钥消息和接收请求启用加密密钥消息;
加密密钥生成单元,用于根据密钥协商函数生成加密密钥。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (7)
1.一种PON系统中密钥协商的方法,其特征在于,包括:
A、光线路终端OLT或光网络单元ONU发送请求更新加密密钥消息;
B21、OLT根据公式X=ax mod b,计算出传递数X,ONU根据公式Y=ay mod b,计算出传递数Y,其中,x、y为随机数,a、b为系统参数;
B22、OLT和ONU分别将所述的传递数X和Y传递给对方;
B23、OLT根据公式k=Yx mod b生成加密密钥k,ONU根据公式k=Xy mod b生成加密密钥k;
C、OLT或ONU发送请求启用加密密钥消息,完成密钥协商。
2.如权利要求1所述的一种PON系统中密钥协商的方法,其特征在于,所述的随机数为由OLT和ONU分别随机生成的数。
3.如权利要求2所述的一种PON系统中密钥协商的方法,其特征在于,所述的系统参数为OLT和ONU都能获取的两个数。
4.如权利要求1所述的一种PON系统中密钥协商的方法,其特征在于,所述的传递数在请求更新加密密钥消息中包含或单独发送。
5.如权利要求3所述的一种PON系统中密钥协商的方法,其特征在于,所述的获取系统参数的方法为下述方法中任一种:
系统参数固化在OLT和ONU中、每次通信前双方协商生成、每次通信前一方临时指定给另一方、每次通信前双方按照某种规律变化生成。
6.一种PON系统中密钥协商的系统,所述的系统包括光线路终端OLT和光网络单元ONU,其特征在于,所述的OLT和ONU分别根据随机数和系统参数生成加密密钥,完成密钥协商,其中:所述OLT用于根据公式X=ax mod b,计算出传递数X;所述ONU用于根据公式Y=ay mod b,计算出传递数Y;其中,x、y为随机数,a、b为系统参数;所述OLT和ONU分别将所述的传递数X和Y传递给对方;所述OLT根据公式k=Yx mod b生成加密密钥k,所述ONU根据公式k=Xy mod b生成加密密钥k。
7.一种PON系统中密钥协商的方法,其特征在于,包括:
OLT与ONU中作为发起方的一方选取随机数X,获取系统参数a、b;并根据公式X=ax mod b生成传递数X,发送请求更新加密密钥消息,所述的请求更新加密密钥消息中包含所述的传递数X;
OLT与ONU中的另一方接收到所述的请求更新加密密钥消息后,选取随机数y,获取系统参数a、b;并根据公式Y=ay mod b生成传递数Y,传递所述的传递数Y;
所述OLT与ONU中作为发起方的一方根据公式k=Yx mod b计算出加密密钥,所述OLT与ONU中的另一方根据公式k=Xymod b计算出加密密钥;
所述OLT与ONU中作为发起方的一方发送请求启用加密密钥消息,所述OLT与ONU中的另一方收到该消息后,返回确认响应信息,完成密钥协商。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2006100606892A CN101072094B (zh) | 2006-05-14 | 2006-05-14 | 一种pon系统中密钥协商的方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2006100606892A CN101072094B (zh) | 2006-05-14 | 2006-05-14 | 一种pon系统中密钥协商的方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101072094A CN101072094A (zh) | 2007-11-14 |
CN101072094B true CN101072094B (zh) | 2011-10-05 |
Family
ID=38899101
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2006100606892A Expired - Fee Related CN101072094B (zh) | 2006-05-14 | 2006-05-14 | 一种pon系统中密钥协商的方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101072094B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101902664A (zh) * | 2009-05-26 | 2010-12-01 | 中兴通讯股份有限公司 | 一种提高无源光网络加解密速度的方法和系统 |
CN102239661B (zh) * | 2009-08-14 | 2013-09-25 | 华为技术有限公司 | 交换密钥的方法及设备 |
CN106817352A (zh) * | 2015-11-30 | 2017-06-09 | 深圳市中兴微电子技术有限公司 | 广播报文加密方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1159108A (zh) * | 1995-12-18 | 1997-09-10 | 阿尔卡塔尔Cit有限公司 | 用在异步传输模式信元传送信息的加密和解密器件 |
CN1703002A (zh) * | 2005-07-05 | 2005-11-30 | 江苏乐希科技有限公司 | 便携式一次性动态密码生成器以及使用其的安全认证系统 |
CN101073221A (zh) * | 2004-12-07 | 2007-11-14 | 韩国电子通信研究院 | 在以太网无源光网络上分发密钥的方法 |
-
2006
- 2006-05-14 CN CN2006100606892A patent/CN101072094B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1159108A (zh) * | 1995-12-18 | 1997-09-10 | 阿尔卡塔尔Cit有限公司 | 用在异步传输模式信元传送信息的加密和解密器件 |
CN101073221A (zh) * | 2004-12-07 | 2007-11-14 | 韩国电子通信研究院 | 在以太网无源光网络上分发密钥的方法 |
CN1703002A (zh) * | 2005-07-05 | 2005-11-30 | 江苏乐希科技有限公司 | 便携式一次性动态密码生成器以及使用其的安全认证系统 |
Also Published As
Publication number | Publication date |
---|---|
CN101072094A (zh) | 2007-11-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5366108B2 (ja) | 光ネットワーク終端装置管理制御インターフェースベースの受動光ネットワークセキュリティ強化 | |
CN100596060C (zh) | 一种防止无源光网络系统中光网络单元被仿冒的方法、系统及设备 | |
TWI351831B (en) | Self-healing ring-based passive optical network sy | |
US8490159B2 (en) | Method for increasing security in a passive optical network | |
CN101047494A (zh) | 一种pon系统中密钥协商的方法和系统 | |
CN103023579A (zh) | 在无源光网络上实施量子密钥分发的方法及无源光网络 | |
CN102239661A (zh) | 交换密钥的方法及设备 | |
CN101102152A (zh) | 无源光网络中保证数据安全的方法 | |
CN203251308U (zh) | 无源光网络 | |
CN101072094B (zh) | 一种pon系统中密钥协商的方法和系统 | |
WO2020015338A1 (zh) | 一种无源光网络系统中协商加密算法的方法及系统 | |
CN110049387A (zh) | 一种全通型多用户光量子通信网络保密专用路由器 | |
JP2009510895A (ja) | イーサネットポンにおける保安チャネルの制御方法及び装置 | |
KR100594023B1 (ko) | 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법 | |
Malina et al. | Towards secure gigabit passive optical networks: Signal propagation based key establishment | |
CN103166758A (zh) | Gpon上行aes加密的密钥更新方法及系统 | |
CN101998180B (zh) | 一种支持光线路终端和光网络单元版本兼容的方法及系统 | |
CN108540286A (zh) | 一种可切换多类型量子终端网络通信系统与密钥分配方法 | |
CN101388765B (zh) | 一种吉比特无源光纤网络系统的加密模式切换方法 | |
CN101162947B (zh) | 一种实现无源光网络系统组播业务安全传送的方法 | |
CN101325460A (zh) | 一种gpon系统中下行广播、洪泛业务的处理方法 | |
WO2022062948A1 (zh) | 一种无源光网络中的安全通信方法和装置 | |
Kang et al. | An Authentication and Key Management Protocol for Secure Data Exchange in EPON MAC Layer |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111005 Termination date: 20160514 |
|
CF01 | Termination of patent right due to non-payment of annual fee |