CN101102152A - 无源光网络中保证数据安全的方法 - Google Patents
无源光网络中保证数据安全的方法 Download PDFInfo
- Publication number
- CN101102152A CN101102152A CN200610090369.1A CN200610090369A CN101102152A CN 101102152 A CN101102152 A CN 101102152A CN 200610090369 A CN200610090369 A CN 200610090369A CN 101102152 A CN101102152 A CN 101102152A
- Authority
- CN
- China
- Prior art keywords
- ont
- olt
- onu
- key
- transmission channel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04J—MULTIPLEX COMMUNICATION
- H04J3/00—Time-division multiplex systems
- H04J3/16—Time-division multiplex systems in which the time allocation to individual channels within a transmission cycle is variable, e.g. to accommodate varying complexity of signals, to vary number of channels transmitted
- H04J3/1694—Allocation of channels in TDM/TDMA networks, e.g. distributed multiplexers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供了一种无源光网络中保证数据安全的方法,该方法主要包括:当OLT(光线路终端)给ONU(光网络单元)/ONT(光网络终端)的传输通道配置加密属性时,在设定的密钥切换时刻,所述OLT和所述ONU/ONT同时使用新的密钥在所述配置了加密属性的传输通道上进行密文数据处理。当OLT给ONU/ONT的传输通道取消加密属性时,在设定的密钥切换时刻,所述OLT和所述ONU/ONT同时在所述传输通道上进行明文数据处理。利用本发明所述方法,可以在OLT给ONU/ONT的传输通道配置或者取消加密属性的过程中,实现OLT和ONU/ONT之间加解密的同步。
Description
技术领域
本发明涉及网络通讯领域,尤其涉及一种无源光网络中保证数据安全的方法。
背景技术
目前的宽带接入技术主要区分为铜线接入技术和光接入技术。铜线接入技术包括各种DSL(数字用户线)技术等,由光接入技术实现的接入网称为OAN(optical access network,光接入网)。
PON(passive optical network,无源光网络)是OAN的一种实现技术,PON技术是一种点对多点传送的光接入技术,PON系统的基本结构如图1所示。
PON系统由OLT(Optical Line Terminal,光线路终端)、ODN(Optical Distribute Network,光分布网)、ONU(Optical Network Unit,光网络单元)组成,各个部分的功能如下:
OLT:为OAN提供SNI(网络侧接口),连接一个或者多个ODN;
ODN:为无源分光器件,ODN将OLT下行的数据通过光分路传输到各个ONU,同样,ODN将ONU的上行数据进行汇聚后传输到OLT。
ONU:为OAN提供UNl(用户侧接口),同时与ODN相连。如果ONU同时提供用户端口功能,如提供Ethernet(以太网)用户端口或者POTS(Plain Old Telephone Service,传统电话业务)用户端口,则ONU也称为ONT(Optical Network Termination,光网络终端),在本发明中,我们将ONU、ONT统一称为ONT。
在PON系统中,OLT到ONT的下行流量以广播的方式广播到所有ONT,各个ONT按需接收需要的流量;OLT为每个ONT分配传输时隙,每个ONT在指定的时隙向OLT发送数据,OLT控制每个ONT到OLT的上行流量。
GPON(Giga-bit Passive Optical Network,吉比特无源光网络)技术标准是最新的PON技术标准,GPON技术标准对应ITU-T(国际电信联盟)的G984.1、G984.2、G984.3、G984.4系列。
GPON标准为业务数据提供两种承载方式,ATM(AsynchronousTransfer Mode,异步传输模式)承载方式和GEM(G-PON EncapsulationMethod,GPON封装方法)承载方式。ATM承载方式是将业务数据封装成53字节的ATM信元,将该ATM信元通过OLT为ONT分配的ATM PVP(Permanet Virtual Path,永久虚通道)通道来传输;GEM承载方式是将业务数据封装成GEM封装帧,将该GEM封装帧通过OLT为ONT分配的GEMPORT通道来传输,GEM承载方式是变长封装的,支持根据业务数据帧的长度改变GEM封装帧的长度。在ATM承载方式中,数据传输通道ATM PVP的标识是VPI(Virtual Path Identifier,虚通道标识),在GEM承载方式中,数据传输通道GEM PORT的标识是PORT_ID。
ONT向OLT注册完成后,OLT根据ONT业务数据传输的要求,指定两者通信的传输通道是ATM PVP或者GEM PORT,并且分配具体的VPI和PORT_ID的数值。上述ATM PVP或者GEM PORT传输通道可以是单向的,也可以是双向的,OLT支持为一个ONT分配多个传输通道。
在PON系统中,OLT到ONT的下行数据是通过广播方式传输到所有ONT的。虽然ONT要求只接收属于自己传输通道的数据,但是如果有恶意用户对某个ONT进行重新编程,那该ONT就能够接收到不属于自己传输通道中的数据,OLT到其他ONT的所有下行数据都有可能被该ONT窃听。
现有技术中一种PON中保证数据安全的方法的处理流程如图2所示,具体处理过程为:
目前GPON标准的解决方案是通过对OLT到ONT的下行数据进行加密的方式来保证数据安全。加密的最小单位是OLT为ONT分配的传输通道即ATMPVP或者GEM PORT。加密的密钥由ONT生成并通知给OLT,一个ONT上的每个传输通道可以配置为加密,也可以配置为不加密。
在OLT侧,OLT通过ONT提供的密钥,将属于这个ONT且配置了加密属性的传输通道的传输数据进行加密;在ONT侧,通过密钥对数据进行解密操作。因为不同的ONT提供给OLT的密钥是不同的,ONT只能解密属于自己的数据,这样就保证了下行数据传输的私密性。传输通道的加密属性的配置是OLT通过Encrypted_Port-ID/VPI(加密通道配置消息)消息通知ONT的,一个ONT的所有加密的传输通道共享相同的密钥。
为保证密钥的安全性,需要对密钥进行定期更新,密钥的定期更新是OLT发起的,定期更新时间可以配置。具体的密钥更新过程为:
OLT通过向ONT下发Request Key(密钥请求)消息请求ONT生成新的密钥。ONT收到上述Request Key消息后,生成新的密钥,将该新的密钥通过Encryption Key(密钥响应)消息发送给OLT。为保证数据在OLT上加密和在ONT上解密的密钥是相同的,新密钥的启用需要有同步机制,OLT收到ONT发送的Encryption Key消息后,决定未来的某一个时刻开始启用新的密钥,并通过Key switching Time(密钥切换消息)将新密钥的切换时间通知ONT。在该切换时间到达时,OLT开始用新密钥进行加密,同时ONT开始用新密钥进行解密。
上述现有技术的方法的缺点为:如果OLT给某个ONT配置的加密通道是ONT的第一个加密通道,则如图2所示,OLT会首先向ONU发送加密通道配置消息,OLT收到ONU返回的加密通道配置响应消息后,由于之前OLT没有获得该ONT的密钥,OLT会继续启动密钥请求的流程,即向ONU发送Request_Key消息,获得ONT的密钥。然后,在密钥切换时刻,OLT开始用新密钥进行加密,同时ONT开始用新密钥进行解密。OLT和ONT之间实现了加解密的同步。
如果OLT再给上述ONT配置另外一个加密通道时,则由于ONT已经有了密钥,ONT收到OLT发送的针对该加密通道的加密通道配置消息后,则向OLT返回加密通道配置响应消息后,立刻开始对这个加密通道的数据开始按照加密的数据处理,但是此时有可能OLT还没有接收到或者处理完成上述ONT返回的加密通道配置响应消息,此时OLT发送的数据仍然是未加密的数据,这样因为OLT和OLT的加密数据不同步导致ONT无法正确地解析数据,从而导致业务的暂时中断。
同样,如果OLT需要给上述ONT的加密通道取消加密属性时,ONT收到OLT发送的针对该加密通道的取消加密通道配置消息后,向OLT返回取消加密通道配置响应消息后,立刻开始对这个加密通道的数据开始按照明文数据处理,但是此时有可能OLT还没有接收到或者处理完成上述ONT返回的取消加密通道配置响应消息,此时OLT发送的数据仍然是加密的数据,从而也将导致ONT无法正确地解析数据,导致业务的暂时中断。
发明内容
鉴于上述现有技术所存在的问题,本发明的目的是提供一种无源光网络中保证数据安全的方法,从而可以在OLT给ONU/ONT的传输通道配置或者取消加密属性的过程中,实现OLT和ONU/ONT之间加解密的同步。
本发明的目的是通过以下技术方案实现的:
一种无源光网络中保证数据安全的方法,包括:
当光线路终端OLT给光网络单元ONU/光网络终端ONT的传输通道配置加密属性时,在设定的密钥切换时刻,所述OLT和所述ONU/ONT同时使用新的密钥在所述配置了加密属性的传输通道上进行密文数据处理。
所述的方法具体包括步骤:
A、OLT给ONU/ONT的传输通道配置加密属性;
B、所述OLT更新获得所述ONU/ONT生成的密钥并确定密钥切换时刻;
C、在所述密钥切换时刻到达后,在属于所述ONU/ONT的配置了加密属性的所有传输通道上,所述OLT使用所述ONU/ONT生成的新的密钥进行数据发送,所述ONU/ONT使用所述生成的新的密钥进行数据接收。
所述的步骤A具体包括:
A1、当OLT给ONU/ONT的传输通道配置加密属性时,所述OLT向ONU/ONT发送所述传输通道的加密通道配置消息;
A2、所述ONU/ONT接收到所述加密通道配置消息后,向所述OLT返回加密通道配置响应消息,所述ONU/ONT在所述传输通道上进行明文数据接收处理;
A3、所述OLT接收到所述加密通道配置响应消息后,在所述传输通道上进行明文数据发送处理。
所述的步骤B具体包括:
B1、所述OLT在设定的时刻向所述ONU/ONT发送密钥请求消息,所述ONU/ONT接收到该密钥请求消息后,生成新的密钥,向所述OLT返回携带新的密钥信息的密钥响应消息;
B2、所述OLT接收到所述密钥响应消息后,向所述ONU/ONT发送携带确定的密钥切换时刻的密钥切换消息。
所述的步骤B1中的所述OLT在设定的时刻向所述ONU/ONT发送密钥请求消息具体包括:
所述OLT立即向所述ONU/ONT发送所述密钥请求消息;
或者,
所述OLT在系统设定的下一个密钥更新时刻到达后,向所述ONU/ONT发送所述密钥请求消息;
或者,
所述OLT设定一个时间阈值,如果当前时间距离系统的下一次密钥更新时刻的剩余时间小于该时间阈值,则在该系统设定的下一个密钥更新时刻到达后,向所述ONU/ONT发送所述密钥请求消息;否则,立即向所述ONU/ONT发送所述密钥请求消息。
所述的无源光网络包括基于吉比特无源光网络GPON标准的无源光网络。
一种无源光网络中保证数据安全的方法,包括:
当OLT给ONU/ONT的传输通道取消加密属性时,在设定的密钥切换时刻,所述OLT和所述ONU/ONT同时在所述传输通道上进行明文数据处理。
所述的方法具体包括步骤:
D、OLT给ONU/ONT的传输通道取消加密属性;
E、所述OLT更新获得所述ONU/ONT生成的密钥并确定密钥切换时刻;
F、在所述密钥切换时刻到达后,所述OLT在所述取消了加密属性的传输通道上进行明文数据发送,同时所述ONU/ONT在所述取消了加密属性的传输通道上进行明文数据接收。
所述的步骤的D具体包括:
D1、当OLT给ONU/ONT的传输通道取消加密属性时,所述OLT向ONU/ONT发送所述传输通道的加密通道取消消息;
D2、所述ONU/ONT接收到所述加密通道取消消息后,向所述OLT返回加密通道取消响应消息,所述ONU/ONT在所述传输通道上进行密文数据接收处理;
D3、所述OLT接收到所述加密通道取消响应消息后,在所述传输通道上进行密文数据发送处理。
所述的步骤E具体包括:
E1、所述OLT在设定的时刻向所述ONU/ONT发送密钥请求消息,所述ONU/ONT接收到该密钥请求消息后,生成新的密钥,向所述OLT返回携带新的密钥信息的密钥响应消息;
E2、所述OLT接收到所述密钥响应消息后,向所述ONU/ONT发送携带确定的密钥切换时刻的密钥切换消息。
所述的步骤E1中的在设定的时刻向所述ONU/ONT发送携带确定的密钥切换时刻的密钥切换消息具体包括:
所述OLT立即向所述ONU/ONT发送所述密钥切换消息;
或者,
所述OLT在系统设定的下一个密钥更新时刻到达后,向所述ONU/ONT发送所述密钥切换消息;
或者,
所述OLT设定一个时间阈值,如果当前时间距离系统的下一次密钥更新时刻的剩余时间小于该时间阈值,则在该系统设定的下一个密钥更新时刻到达后,向所述ONU/ONT发送所述密钥切换消息;否则,立即向所述ONU/ONT发送所述密钥切换消息。
由上述本发明提供的技术方案可以看出,本发明通过在设定的密钥切换时刻到达后,OLT和ONT同时启用新密钥进行数据加密和数据解密。或者,OLT和ONT同时取消传输通道的加密属性。从而可以在OLT给ONT进行加密通道配置或者取消加密通道的加密属性的过程中,实现OLT和ONT之间加解密的同步。解决了现有GPON技术在配置加密通道过程中导致的暂时数据丢失、业务中断的问题。
附图说明
图1为PON系统的基本结构示意图;
图2为现有技术的从配置加密通道到密钥切换的处理流程图;
图3为本发明提供的实施例1的具体处理流程图;
图4为本发明提供的实施例2的具体处理流程图。
具体实施方式
本发明提供了一种无源光网络中保证数据安全的方法,本发明的核心为:在设定的密钥切换时刻到达后,OLT和ONT同时启用新密钥进行数据加密和数据解密。或者,OLT和ONT同时取消传输通道的加密属性。
下面结合附图来详细描述本发明,在OLT对ONT的传输通道配置加密属性时,本发明提供了本发明所述方法的三个实施例,实施例1的具体处理流程如图3所示,包括如下步骤:
步骤31、OLT在给ONT配置第一个加密通道的时候,还是按照图2所示的现有技术的处理流程进行加密通道配置和密钥更新。
OLT在继续给ONT的某个传输通道配置加密属性的时候,OLT向ONT发送针对该传输通道的加密通道配置消息,ONT收到该加密通道配置消息后,向OLT返回加密通道配置响应消息。然后,ONT对该传输通道的数据继续按照没有加密的数据的接收方式来接收。
在实际应用中,为保证完备性,上述加密通道配置消息和加密通道配置响应消息都要发三次。
步骤32、OLT收到ONT返回的上述加密通道配置响应消息后,对这个传输通道的数据继续按照没有加密的数据的发送方式来发送。
步骤33、在系统设定的下一次定时密钥更新时间到达后,OLT与ONT进行密钥更新消息交互。即OLT向ONT发送密钥请求消息,ONT收到该密钥请求消息后,生成新的128位密钥,将生成的密钥分三次发送给OLT,OLT因此获得了ONT生成的新的密钥。
OLT然后确定下一次进行密钥切换的时刻,然后将确定的密钥切换时刻通过密钥切换消息发送给ONT。
在实际应用中,为保证完备性,上述密钥切换消息要发三次。
步骤34、在上述密钥切换时刻到达后,OLT将以前给该ONT配置的加密通道和本次需要配置的加密通道的密钥全部更新为上述新的密钥,OLT开始用新密钥对所有加密通道上给ONT发送的数据进行加密,同时ONT开始用新密钥对所有加密通道上接收到的数据进行解密。
如果密钥更新的时间周期很长,例如每24小时更新一次,通过上面的实施1的方法来保证新的传输通道的数据加密同步,可能要等待很长的时间才开始加密数据的传输。因此,本发明提供的实施例2对上述实施例1的方法进行改进,实施例2的具体处理流程如图4所示,包括如下步骤:
步骤41、OLT在给ONT配置第一个加密通道的时候,还是按照图2所示的现有技术的处理流程进行加密通道配置和密钥更新。
OLT在继续给ONT的某个传输通道配置加密属性的时候,OLT向ONT发送针对该传输通道的加密通道配置消息,ONT收到该加密通道配置消息后,向OLT返回加密通道配置响应消息。然后,ONT对该传输通道的数据继续按照没有加密的数据的接收方式来接收。
在实际应用中,为保证完备性,上述加密通道配置消息和加密通道配置响应消息都要发三次。
步骤42、OLT收到ONT返回的上述加密通道配置响应消息后,对这个传输通道的数据继续按照没有加密的数据的发送方式来发送,并且不管密钥更新周期是否到来,立刻开始与ONT的密钥更新交互流程。
步骤43、OLT与ONT进行密钥更新消息交互。即OLT向ONT发送密钥请求消息,ONT收到该密钥请求消息后,生成新的128位密钥,将生成的密钥分三次发送给OLT,OLT因此获得了ONT生成的新的密钥。
OLT然后确定下一次进行密钥切换的时刻,然后将确定的密钥切换时刻信息通过密钥切换消息发送给ONT。
在实际应用中,为保证完备性,上述密钥切换消息要发三次。
步骤44、在上述密钥切换时刻到达后,OLT将以前给该ONT配置的加密通道和本次需要配置的加密通道的密钥全部更新为上述新的密钥,OLT开始用新密钥对所有加密通道上给ONT发送的数据进行加密,同时ONT开始用新密钥对所有加密通道上接收到的数据进行解密。
本发明提供的实施例3对上述实施例1和实施例2的处理流程进行综合和改进,实施例3的具体处理流程包括如下步骤:
步骤51、OLT在给ONT配置第一个加密通道的时候,还是按照图2所示的现有技术的处理流程进行加密通道配置和密钥更新。
OLT在继续给ONT的某个传输通道配置加密属性的时候,OLT向ONT发送针对该传输通道的加密通道配置消息,ONT收到该加密通道配置消息后,向OLT返回加密通道配置响应消息。然后,ONT对该传输通道的数据继续按照没有加密的数据的接收方式来接收。
在实际应用中,为保证完备性,上述加密通道配置消息和加密通道配置响应消息都要发三次。
步骤52、OLT收到ONT返回的上述加密通道配置响应消息后,对这个传输通道的数据继续按照没有加密的数据的发送方式来发送。
步骤53、该实施例需要在ONT中定义一个时间阈值,如果目前时间距离系统设定的下一次密钥更新的剩余时间小于该时间阈值,则按照实施例1的流程来处理,即在系统设定的下一次密钥更新时间进行上述与ONT的密钥更新交互流程。
如果系统设定的下一次密钥更新的剩余时间大于上述定义的时间阈值,则按照实施例2的流程来处理,即立即进行上述与ONT的密钥更新交互流程。
步骤54、在密钥切换时刻到达后,OLT将以前给该ONT配置的加密通道和本次需要配置的加密通道的密钥全部更新为上述新的密钥,OLT开始用新密钥对所有加密通道上给ONT发送的数据进行加密,同时ONT开始用新密钥对所有加密通道上接收到的数据进行解密。
总之,通过上述本发明所述的处理流程,可以保证OLT给ONT配置加密通道时,保证OLT和ONT之间实现加解密的同步。
上述本发明所述方法同样适用于OLT对ONT的加密通道取消加密属性的过程。在OLT对ONT的加密通道取消加密属性的过程中,本发明所述方法的处理过程如下:
当OLT需要给ONU/ONT的某个传输通道取消加密属性时,OLT向ONT发送所述传输通道的取消加密通道配置消息。ONT接收到所述加密通道配置消息后,向所述OLT返回取消加密通道配置响应消息,所述ONT在所述传输通道上使用以前的密钥进行数据接收处理。
所述OLT接收到所述取消加密通道配置响应消息后,在所述传输通道上进行密文数据发送处理。然后,所述OLT在设定的时刻向所述ONU/ONT发送密钥请求消息,所述ONU/ONT接收到该密钥请求消息后,生成新的密钥,向所述OLT返回携带生成的新的密钥信息的密钥响应消息。
所述OLT接收到所述密钥响应消息后,在设定的时刻向所述ONT发送携带确定的密钥切换时刻的密钥切换消息。在所述密钥切换时刻到达后,所述OLT在所述传输通道上进行明文数据发送处理,所述ONT在所述传输通道上进行明文数据接收处理。
上述设定的时刻包括:所述OLT立即向所述ONU/ONT发送所述密钥切换消息;或者,所述OLT在系统设定的下一个密钥更新时刻到达后,向所述ONU/ONT发送所述密钥切换消息;或者,所述OLT设定一个时间阈值,如果当前时间距离系统的下一次密钥更新时刻的剩余时间小于该时间阈值,则在该系统设定的下一个密钥更新时刻到达后,向所述ONU/ONT所述密钥切换消息;否则,立即向所述ONU/ONT发送所述密钥切换消息。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (11)
1、一种无源光网络中保证数据安全的方法,其特征在于,包括:
当光线路终端OLT给光网络单元ONU/光网络终端ONT的传输通道配置加密属性时,在设定的密钥切换时刻,所述OLT和所述ONU/ONT同时使用新的密钥在所述配置了加密属性的传输通道上进行密文数据处理。
2、根据权利要求1所述的方法,其特征在于,所述的方法具体包括步骤:
A、OLT给ONU/ONT的传输通道配置加密属性;
B、所述OLT更新获得所述ONU/ONT生成的密钥并确定密钥切换时刻;
C、在所述密钥切换时刻到达后,在属于所述ONU/ONT的配置了加密属性的所有传输通道上,所述OLT使用所述ONU/ONT生成的新的密钥进行数据发送,所述ONU/ONT使用所述生成的新的密钥进行数据接收。
3、根据权利要求2所述的方法,其特征在于,所述的步骤A具体包括:
A1、当OLT给ONU/ONT的传输通道配置加密属性时,所述OLT向ONU/ONT发送所述传输通道的加密通道配置消息;
A2、所述ONU/ONT接收到所述加密通道配置消息后,向所述OLT返回加密通道配置响应消息,所述ONU/ONT在所述传输通道上进行明文数据接收处理;
A3、所述OLT接收到所述加密通道配置响应消息后,在所述传输通道上进行明文数据发送处理。
4、根据权利要求3所述的方法,其特征在于,所述的步骤B具体包括:
B1、所述OLT在设定的时刻向所述ONU/ONT发送密钥请求消息,所述ONU/ONT接收到该密钥请求消息后,生成新的密钥,向所述OLT返回携带新的密钥信息的密钥响应消息;
B2、所述OLT接收到所述密钥响应消息后,向所述ONU/ONT发送携带确定的密钥切换时刻的密钥切换消息。
5、根据权利要求4所述的方法,其特征在于,所述的步骤B1中的所述OLT在设定的时刻向所述ONU/ONT发送密钥请求消息具体包括:
所述OLT立即向所述ONU/ONT发送所述密钥请求消息;
或者,
所述OLT在系统设定的下一个密钥更新时刻到达后,向所述ONU/ONT发送所述密钥请求消息;
或者,
所述OLT设定一个时间阈值,如果当前时间距离系统的下一次密钥更新时刻的剩余时间小于该时间阈值,则在该系统设定的下一个密钥更新时刻到达后,向所述ONU/ONT发送所述密钥请求消息;否则,立即向所述ONU/ONT发送所述密钥请求消息。
6、根据权利要求5所述的方法,其特征在于,所述的无源光网络包括基于吉比特无源光网络GPON标准的无源光网络。
7、一种无源光网络中保证数据安全的方法,其特征在于,包括:
当OLT给ONU/ONT的传输通道取消加密属性时,在设定的密钥切换时刻,所述OLT和所述ONU/ONT同时在所述传输通道上进行明文数据处理。
8、根据权利要求7所述的方法,其特征在于,所述的方法具体包括步骤:
D、OLT给ONU/ONT的传输通道取消加密属性;
E、所述OLT更新获得所述ONU/ONT生成的密钥并确定密钥切换时刻;
F、在所述密钥切换时刻到达后,所述OLT在所述取消了加密属性的传输通道上进行明文数据发送,同时所述ONU/ONT在所述取消了加密属性的传输通道上进行明文数据接收。
9、根据权利要求8所述的方法,其特征在于,所述的步骤的D具体包括:
D1、当OLT给ONU/ONT的传输通道取消加密属性时,所述OLT向ONU/ONT发送所述传输通道的加密通道取消消息;
D2、所述ONU/ONT接收到所述加密通道取消消息后,向所述OLT返回加密通道取消响应消息,所述ONU/ONT在所述传输通道上进行密文数据接收处理;
D3、所述OLT接收到所述加密通道取消响应消息后,在所述传输通道上进行密文数据发送处理。
10、根据权利要求9所述的方法,其特征在于,所述的步骤E具体包括:
E1、所述OLT在设定的时刻向所述ONU/ONT发送密钥请求消息,所述ONU/ONT接收到该密钥请求消息后,生成新的密钥,向所述OLT返回携带新的密钥信息的密钥响应消息;
E2、所述OLT接收到所述密钥响应消息后,向所述ONU/ONT发送携带确定的密钥切换时刻的密钥切换消息。
11、根据权利要求10所述的方法,其特征在于,所述的步骤E1中的在设定的时刻向所述ONU/ONT发送携带确定的密钥切换时刻的密钥切换消息具体包括:
所述OLT立即向所述ONU/ONT发送所述密钥切换消息;
或者,
所述OLT在系统设定的下一个密钥更新时刻到达后,向所述ONU/ONT发送所述密钥切换消息;
或者,
所述OLT设定一个时间阈值,如果当前时间距离系统的下一次密钥更新时刻的剩余时间小于该时间阈值,则在该系统设定的下一个密钥更新时刻到达后,向所述ONU/ONT发送所述密钥切换消息;否则,立即向所述ONU/ONT发送所述密钥切换消息。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200610090369.1A CN101102152B (zh) | 2006-07-03 | 2006-07-03 | 无源光网络中保证数据安全的方法 |
US11/770,292 US20080013728A1 (en) | 2006-07-03 | 2007-06-28 | Method and Device for Ensuring Data Security in Passive Optical Network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200610090369.1A CN101102152B (zh) | 2006-07-03 | 2006-07-03 | 无源光网络中保证数据安全的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101102152A true CN101102152A (zh) | 2008-01-09 |
CN101102152B CN101102152B (zh) | 2011-05-11 |
Family
ID=38949267
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200610090369.1A Active CN101102152B (zh) | 2006-07-03 | 2006-07-03 | 无源光网络中保证数据安全的方法 |
Country Status (2)
Country | Link |
---|---|
US (1) | US20080013728A1 (zh) |
CN (1) | CN101102152B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103138918A (zh) * | 2011-11-28 | 2013-06-05 | 中兴通讯股份有限公司 | 避免gpon系统加密使能瞬间丢包的方法、装置及系统 |
CN106301768A (zh) * | 2015-05-18 | 2017-01-04 | 中兴通讯股份有限公司 | 一种基于光传输网otn的密钥更新的方法、装置和系统 |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009194524A (ja) * | 2008-02-13 | 2009-08-27 | Oki Electric Ind Co Ltd | 受動光ネットワーク通信システム |
EP2091176A1 (en) * | 2008-02-18 | 2009-08-19 | British Telecommunications Public Limited Company | Data communication |
EP2209234A1 (en) * | 2009-01-14 | 2010-07-21 | Nokia Siemens Networks OY | Method and device for data processing in an optical network |
US20110135301A1 (en) | 2009-12-08 | 2011-06-09 | Vello Systems, Inc. | Wavelocker for Improving Laser Wavelength Accuracy in WDM Networks |
US20140193154A1 (en) * | 2010-02-22 | 2014-07-10 | Vello Systems, Inc. | Subchannel security at the optical layer |
US8705741B2 (en) * | 2010-02-22 | 2014-04-22 | Vello Systems, Inc. | Subchannel security at the optical layer |
CN102263637B (zh) * | 2010-05-28 | 2015-03-11 | 陈勇 | 一种信息加密方法及设备 |
CN104935433B (zh) * | 2015-03-13 | 2018-11-16 | 天地融科技股份有限公司 | 一种通讯过程中密钥跳变的方法、通讯装置和通讯系统 |
US11258580B2 (en) * | 2019-10-04 | 2022-02-22 | Red Hat, Inc. | Instantaneous key invalidation in response to a detected eavesdropper |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4201430B2 (ja) * | 1999-04-16 | 2008-12-24 | 富士通株式会社 | 光加入者線終端装置 |
US6804256B2 (en) * | 2001-07-24 | 2004-10-12 | Glory Telecommunications Co., Ltd. | Automatic bandwidth adjustment in a passive optical network |
US6697374B1 (en) * | 2001-12-05 | 2004-02-24 | Flexlight Networks | Optical network communication system |
KR100484306B1 (ko) * | 2002-11-26 | 2005-04-20 | 한국전자통신연구원 | 광-부반송-다중화 방식의 다중 채널 접속을 이용한 동적서비스 제공 시스템 및 그 제어 방법 |
KR100594128B1 (ko) * | 2003-04-30 | 2006-06-28 | 삼성전자주식회사 | 기가 비트 수동 광가입자 망에서의 gem oam 프레임전송 방법 |
WO2005067200A1 (ja) * | 2003-12-26 | 2005-07-21 | Mitsubishi Denki Kabushiki Kaisha | 認証装置及び被認証装置及び鍵更新方法 |
CN1300974C (zh) * | 2004-02-09 | 2007-02-14 | 华为技术有限公司 | 一种实现多媒体广播/组播业务密钥分发的方法 |
US7349537B2 (en) * | 2004-03-11 | 2008-03-25 | Teknovus, Inc. | Method for data encryption in an ethernet passive optical network |
WO2005112336A1 (ja) * | 2004-05-14 | 2005-11-24 | Mitsubishi Denki Kabushiki Kaisha | 暗号機能付きponシステム及びponシステムの暗号化方法 |
US7797745B2 (en) * | 2004-12-22 | 2010-09-14 | Electronics And Telecommunications Research Institute | MAC security entity for link security entity and transmitting and receiving method therefor |
-
2006
- 2006-07-03 CN CN200610090369.1A patent/CN101102152B/zh active Active
-
2007
- 2007-06-28 US US11/770,292 patent/US20080013728A1/en not_active Abandoned
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103138918A (zh) * | 2011-11-28 | 2013-06-05 | 中兴通讯股份有限公司 | 避免gpon系统加密使能瞬间丢包的方法、装置及系统 |
CN103138918B (zh) * | 2011-11-28 | 2017-11-07 | 中兴通讯股份有限公司 | 避免gpon系统加密使能瞬间丢包的方法、装置及系统 |
CN106301768A (zh) * | 2015-05-18 | 2017-01-04 | 中兴通讯股份有限公司 | 一种基于光传输网otn的密钥更新的方法、装置和系统 |
CN106301768B (zh) * | 2015-05-18 | 2020-04-28 | 中兴通讯股份有限公司 | 一种基于光传输网otn的密钥更新的方法、装置和系统 |
Also Published As
Publication number | Publication date |
---|---|
US20080013728A1 (en) | 2008-01-17 |
CN101102152B (zh) | 2011-05-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101102152B (zh) | 无源光网络中保证数据安全的方法 | |
US8335316B2 (en) | Method and apparatus for data privacy in passive optical networks | |
US9032209B2 (en) | Optical network terminal management control interface-based passive optical network security enhancement | |
US7305551B2 (en) | Method of transmitting security data in an ethernet passive optical network system | |
US20020110245A1 (en) | Method and system for synchronizing security keys in a point-to-multipoint passive optical network | |
JPWO2005112336A1 (ja) | 暗号機能付きponシステム及びponシステムの暗号化方法 | |
US7450719B2 (en) | Gigabit Ethernet-based passive optical network and data encryption method | |
CN101998193B (zh) | 无源光网络的密钥保护方法和系统 | |
JP4685659B2 (ja) | 局側装置、加入者側装置およびponシステム | |
CN102035642B (zh) | 一种分组密码计数器运行模式中计数器的选择和同步方法 | |
KR100594023B1 (ko) | 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법 | |
CN101499898A (zh) | 密钥交互方法及装置 | |
CN101388765B (zh) | 一种吉比特无源光纤网络系统的加密模式切换方法 | |
CN101547086A (zh) | 一种宽带接入网络组播控制方法、系统及装置 | |
JP5368519B2 (ja) | 光回線終端装置および鍵切替方法 | |
JP2004260556A (ja) | 局側装置、加入者側装置、通信システムおよび暗号鍵通知方法 | |
JPWO2001050686A1 (ja) | 情報送受信装置 | |
CN101325460B (zh) | 一种gpon系统中下行广播、洪泛业务的处理方法 | |
CN101388806B (zh) | 密钥一致性检测方法和装置 | |
JP2015133610A (ja) | 局側装置、ponシステムおよび局側装置の制御方法 | |
CN101394265B (zh) | 一种吉比特无源光纤网络系统的加密模式切换方法 | |
CN103684762A (zh) | 用于增强无源光网络中的传输安全性的方法 | |
JP2006245778A (ja) | 通信装置、通信方法、およびプログラム | |
Kim et al. | The implementation of the link security module in an EPON access network | |
Hu et al. | NIS03-3: RC4-based security in Ethernet passive optical networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |