CN101197663B - 一种吉比特无源光网络加密业务的保护方法 - Google Patents
一种吉比特无源光网络加密业务的保护方法 Download PDFInfo
- Publication number
- CN101197663B CN101197663B CN2008100559797A CN200810055979A CN101197663B CN 101197663 B CN101197663 B CN 101197663B CN 2008100559797 A CN2008100559797 A CN 2008100559797A CN 200810055979 A CN200810055979 A CN 200810055979A CN 101197663 B CN101197663 B CN 101197663B
- Authority
- CN
- China
- Prior art keywords
- key
- onu
- olt
- message
- frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种吉比特无源光网络加密业务的保护方法,该方法包括:OLT向ONU发送密钥切换消息之后,根据ONU对密钥切换消息的反馈情况确定是否进行密钥切换;ONU进行密钥切换之后,根据帧校验结果确定是否重新启用切换前的密钥。本发明是在ITU-T G.984.3基础上,对GPON系统密钥切换过程中增加了保护机制,通过设置OLT的保护时间、以及ONU对帧头及帧净荷的校验,以便在确定OLT与ONU在密钥可能发生不同步时,同时采用ONU密钥切换前的密钥,从而减小OLT和ONU实际所使用密钥不同步的可能性,提高密钥使用的一致性和可靠性。
Description
技术领域
本发明涉及吉比特无源光网络(GPON,Gigabit Passive Optical Network)领域,特别是一种GPON系统中加密业务的保护方法。
背景技术
GPON是基于ITU-T G.984.x标准的新一代宽带无源光综合接入技术,系统结构如图1所示,通常由局侧的光线路终端(OLT,Optical Line Terminal)、用户侧的光网络单元(ONU,Optical Network Unit)/光网络终端(ONT,OpticalNetwork Termination)和光分配网络(ODN,Optical Distribution Network)组成。ODN由单模光纤和光分路器、光连接器等无源光器件组成,为OLT和ONU之间的物理连接提供光传输媒质。ODN通常为点到多点结构,即一个OLT连接多个ONU。OLT发往ONU的数据称为下行数据,ONU发往OLT的数据称为上行数据。如图2所示,每个ONU中有一个Active Key寄存器和一个ShadowKey寄存器,OLT中包含对应各个ONU的Active Key寄存器和Shadow Key寄存器。
GPON系统中,下行数据具有广播特性,恶意用户可以通过对其掌握的ONU重新编程,从而监听到所有用户的所有下行数据。为此,ITU-T G.984.3建议使用一种基于先进加密标准(AES,Advanced Encryption Standard)的加密技术来加以防范,该加密技术的流程可分为两个阶段:密钥交换和密钥切换。
在密钥交换阶段:OLT向ONU发送密钥请求消息Request_Key,ONU产生新密钥并保存到自身的shadow_key寄存器,然后将新密钥发给OLT,OLT将密钥保存到自己的shadow_key寄存器中。
在密钥切换阶段:OLT选择一个帧号作为开始使用新密钥的第一帧,并通过密钥交换时间消息Key_switching_time传送该帧的复帧编号给ONU。该消息将会发送三次,ONU仅需要接收其中一个正确的拷贝来获知更换时间,并且,ONU通过确认消息Acknowledge进行确认响应。在开始使用新密钥的第一帧的起始位置进行密钥切换操作,具体的,OLT复制自身shadow_key寄存器的内容到自身的active_key寄存器,ONU复制自身的shadow_key寄存器到自身的active_key寄存器,OLT和ONU开始使用新密钥对下行数据进行加密和解密。
在密钥切换阶段,如果OLT没有成功收到Acknowledge消息,将会有严重后果。在选定帧到来时,由于不确定ONU是否会进行密钥切换,此时OLT无论是否进行切换,都会存在与ONU实际使用密钥不同步的可能性,进而造成ONU对下行数据解密失败。目前,在ITU-T G.984.3中,没有对此风险加以说明和规定应对措施。
发明内容
有鉴于此,本发明的主要目的在于提供一种吉比特无源光网络加密业务的保护方法,能提高GPON系统的安全性,减小OLT和ONU实际使用密钥不同步的风险。
为达到上述目的,本发明的技术方案是这样实现的:
一种吉比特无源光网络加密业务的保护方法,该方法包括:
步骤A:OLT向ONU发送密钥切换消息之后,根据ONU对密钥切换消息的反馈情况确定是否进行密钥切换;
步骤B:ONU进行密钥切换之后,当异步传输模式(ATM)信元头或GPON封装模式帧(GEM帧)头校验正确时,对ATM信元净荷或GEM帧净荷进行解密,若解密后若校验错误,则重新启用密钥切换前使用的旧密钥对下行数据进行解密,否则保持使用密钥切换后的新密钥对下行数据进行解密;当ATM信元头或GEM帧头校验错误时,保持使用密钥切换后的新密钥对下行数据进行解密。
步骤A之前,该方法还包括设定保护时间,所设定的保护时间大于下行物理层维护管理信元PLOAM消息从OLT传送到ONU的时间、ONU的响应PLOAM消息时间、以及上行PLOAM消息从ONU传送到OLT的时间之和。
步骤A中所述OLT确定是否进行密钥切换进一步包括:
A11、判断OLT等待ONU的应答时间是否已超过所设定的保护时间,如果是,则保持当前使用的密钥对下行数据加密,结束当前处理流程;否则执行步骤A12;
A12、判断是否收到ONU发来的ACK消息,如果收到,则执行步骤A13,否则执行步骤A11;
A13、在密钥切换消息中规定的帧号到来时,进行密钥切换,使用新密钥对下行数据加密。
步骤A中OLT按G.984规定的流程向ONU发送密钥切换消息;步骤B中ONU按G.984规定的流程进行密钥切换。
本发明是在ITU-T G.984.3基础上,对GPON系统密钥切换过程中增加了保护机制,通过设置OLT的保护时间、以及ONU对帧头及帧净荷的校验,以便在确定OLT与ONU在密钥可能发生不同步时,同时采用ONU密钥切换前的密钥,从而减小OLT和ONU实际所使用密钥不同步的可能性,提高密钥使用的一致性和可靠性。
附图说明
图1为GPON网络结构示意图;
图2为OLT与ONU的内部结构示意图;
图3为本发明OLT对密钥切换保护处理流程图;
图4为本发明ONU对密钥切换保护处理流程图。
具体实施方式
本发明的基本思想是:GPON系统中,OLT向ONU发送Key_switching_time消息后,收到ONU的Acknowledge消息则准备进行密钥切换,否则不进行密钥切换。ONU收到Key_switching_time消息后,在该消息的复帧编号到来时进行密钥切换,若切换后ATM信元头/GEM帧头校验正确,而ATM信元净荷/GEM帧净荷解密后校验错误,则自行采取保护措施:重新启用密钥切换前使用的密钥进行解密。
利用本发明GPON加密业务保护方法的流程,包括以下部分:
OLT设定保护时间,并按G.984规定的流程向ONU发送密钥切换消息之后,OLT根据ONU对密钥切换消息的反馈情况,确定是否进行密钥切换。
GPON系统下行帧的净荷部分有两种类型:异步传输模式(ATM,Asynchronous Transfer Mode)信元和GPON封装模式(GEM,GPONEncapsulation Method)帧。一个ATM信元包括5字节的ATM信元头和48字节的ATM信元净荷。一个GEM帧包括5字节的GEM帧头和不定长的GEM帧净荷。OLT只对ATM信元净荷和GEM帧净荷进行加密。
OLT按ITU-T G.984.3规定流程发起密钥切换,OLT任意选择一个帧号i作为开始使用新密钥的第一帧,并通过Key_switching_time消息传送所选帧的复帧编号给ONU,Key_switching_time消息一般会发送三次。
OLT设定保护时间,保护时间要大于下行物理层维护管理信元(PLOAM,Physical Layer Operation Administration and Maintenance)消息从OLT传送到ONU的时间、ONU的响应PLOAM消息时间、以及上行PLOAM消息从ONU传送到OLT的时间之和。
OLT的密钥切换过程具体如图3所示,包括以下步骤:
步骤2a:判断OLT等待ONU的应答时间是否已超过所设置的保护时间,如果是,则保持使用当前密钥对下行数据加密,结束当前处理流程,否则执行步骤2b;
步骤2b:判断是否收到ONU发来的Acknowledge消息,如果收到,则执行步骤2c,否则执行步骤2a;
步骤2c:准备在Key_switching_time规定的帧号i帧到来时,进行密钥切换,即使用新密钥对下行数据加密。
ONU按G.984规定的流程进行密钥切换之后,根据帧校验结果确定是否重新启用切换前的密钥。
以密钥切换后下行收到的第1个数据帧为GEM帧,并且没有分片,GEM帧净荷中是以太网帧为例,说明ONU按ITU-T G.984.3规定进行密钥切换后的帧校验的具体过程,如图4所示:
步骤3a:若GEM帧头HEC字段校验正确,则进入步骤3b,否则保持使用密钥切换后的新密钥对下行数据进行解密,结束当前处理流程;
步骤3b:对GEM帧净荷进行解密,得到一个以太网帧;
步骤3c:对步骤3b得到的以太网帧FCS字段进行校验,若校验错误,则重新启用这次密钥切换前使用的旧密钥对此后的收到的下行数据进行解密,否则,保持使用密钥切换后的新密钥对下行数据进行解密。
对ATM帧,同样采用对ATM信头、ATM信元净荷分别校验,以确定采用密钥切换前的旧密钥、还是密钥切换后的新密钥对下行数据解密。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (4)
1.一种吉比特无源光网络加密业务的保护方法,其特征在于,该方法包括:
A、光线路终端(OLT)向光网络单元(ONU)发送密钥切换消息之后,根据ONU对密钥切换消息的反馈情况确定是否进行密钥切换;
B、ONU进行密钥切换之后,当异步传输模式(ATM)信元头或GPON封装模式帧(GEM帧)头校验正确时,对ATM信元净荷或GEM帧净荷进行解密,若解密后若校验错误,则重新启用密钥切换前使用的旧密钥对下行数据进行解密,否则保持使用密钥切换后的新密钥对下行数据进行解密;当ATM信元头或GEM帧头校验错误时,保持使用密钥切换后的新密钥对下行数据进行解密。
2.根据权利要求1所述的吉比特无源光网络加密业务的保护方法,其特征在于,步骤A之前,该方法还包括设定保护时间,所设定的保护时间大于下行物理层维护管理信元PLOAM消息从OLT传送到ONU的时间、ONU的响应PLOAM消息时间、以及上行PLOAM消息从ONU传送到OLT的时间之和。
3.根据权利要求2所述的吉比特无源光网络加密业务的保护方法,其特征在于,步骤A中所述OLT确定是否进行密钥切换进一步包括:
A11、判断OLT等待ONU的应答时间是否已超过所设定的保护时间,如果是,则保持当前使用的密钥对下行数据加密,结束当前处理流程;否则执行步骤A12;
A12、判断是否收到ONU发来的ACK消息,如果收到,则执行步骤A13,否则执行步骤A11;
A13、在密钥切换消息中规定的帧号到来时,进行密钥切换,使用新密钥对下行数据加密。
4.根据权利要求1所述的吉比特无源光网络加密业务的保护方法,其特征在于,步骤A中OLT按G.984规定的流程向ONU发送密钥切换消息;步骤B中ONU按G.984规定的流程进行密钥切换。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008100559797A CN101197663B (zh) | 2008-01-03 | 2008-01-03 | 一种吉比特无源光网络加密业务的保护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008100559797A CN101197663B (zh) | 2008-01-03 | 2008-01-03 | 一种吉比特无源光网络加密业务的保护方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101197663A CN101197663A (zh) | 2008-06-11 |
CN101197663B true CN101197663B (zh) | 2010-12-29 |
Family
ID=39547833
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008100559797A Expired - Fee Related CN101197663B (zh) | 2008-01-03 | 2008-01-03 | 一种吉比特无源光网络加密业务的保护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101197663B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101841743B (zh) * | 2009-03-19 | 2014-03-12 | 中兴通讯股份有限公司 | 密钥切换方法、光线路终端以及光网络单元 |
CN103138918B (zh) * | 2011-11-28 | 2017-11-07 | 中兴通讯股份有限公司 | 避免gpon系统加密使能瞬间丢包的方法、装置及系统 |
CN103595527B (zh) | 2012-08-13 | 2016-12-21 | 西安西电捷通无线网络通信股份有限公司 | 一种双向密钥的切换方法及实现装置 |
CN103684704B (zh) * | 2012-08-31 | 2018-03-20 | 中兴通讯股份有限公司 | 光网络传输系统端口id加解密使能切换的方法及装置 |
CN106301768B (zh) * | 2015-05-18 | 2020-04-28 | 中兴通讯股份有限公司 | 一种基于光传输网otn的密钥更新的方法、装置和系统 |
CN105915328B (zh) * | 2016-06-01 | 2019-03-01 | 北京必创科技股份有限公司 | 对同步帧的接收处理方法和装置 |
CN106921499B (zh) * | 2016-11-01 | 2020-02-14 | 阿里巴巴集团控股有限公司 | 利用状态机来管理数字证书的方法及装置 |
CN110870233B (zh) * | 2017-07-27 | 2021-02-23 | 华为技术有限公司 | 数据处理方法、光线路终端、光网络单元及系统 |
CN117579182B (zh) * | 2024-01-17 | 2024-05-03 | 中兴通讯股份有限公司 | 无源光网络系统的业务加密方法、电子设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5805705A (en) * | 1996-01-29 | 1998-09-08 | International Business Machines Corporation | Synchronization of encryption/decryption keys in a data communication network |
CN1897500A (zh) * | 2006-05-11 | 2007-01-17 | 中国电信股份有限公司 | 一种应用于以太网无源光网络系统的搅动密钥更新与同步机制 |
CN1943162A (zh) * | 2004-05-14 | 2007-04-04 | 三菱电机株式会社 | 带加密功能的pon系统和pon系统的加密方法 |
CN1983924A (zh) * | 2006-05-30 | 2007-06-20 | 华为技术有限公司 | 一种解密密码切换方法、解密装置及终端设备 |
CN101056167A (zh) * | 2007-05-31 | 2007-10-17 | 中兴通讯股份有限公司 | 一种吉比特无源光网络密钥交换及切换的方法 |
-
2008
- 2008-01-03 CN CN2008100559797A patent/CN101197663B/zh not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5805705A (en) * | 1996-01-29 | 1998-09-08 | International Business Machines Corporation | Synchronization of encryption/decryption keys in a data communication network |
CN1943162A (zh) * | 2004-05-14 | 2007-04-04 | 三菱电机株式会社 | 带加密功能的pon系统和pon系统的加密方法 |
CN1897500A (zh) * | 2006-05-11 | 2007-01-17 | 中国电信股份有限公司 | 一种应用于以太网无源光网络系统的搅动密钥更新与同步机制 |
CN1983924A (zh) * | 2006-05-30 | 2007-06-20 | 华为技术有限公司 | 一种解密密码切换方法、解密装置及终端设备 |
CN101056167A (zh) * | 2007-05-31 | 2007-10-17 | 中兴通讯股份有限公司 | 一种吉比特无源光网络密钥交换及切换的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN101197663A (zh) | 2008-06-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101197663B (zh) | 一种吉比特无源光网络加密业务的保护方法 | |
US8850197B2 (en) | Optical network terminal management control interface-based passive optical network security enhancement | |
CN100596060C (zh) | 一种防止无源光网络系统中光网络单元被仿冒的方法、系统及设备 | |
CN101102152B (zh) | 无源光网络中保证数据安全的方法 | |
CN101998193B (zh) | 无源光网络的密钥保护方法和系统 | |
CN103023579A (zh) | 在无源光网络上实施量子密钥分发的方法及无源光网络 | |
CN101247220B (zh) | 一种无源光网络系统密钥交换的方法 | |
CN203251308U (zh) | 无源光网络 | |
CN102239661A (zh) | 交换密钥的方法及设备 | |
CN102136907A (zh) | 一种无源光网络系统组播业务加密方法和装置 | |
CN101056167B (zh) | 一种吉比特无源光网络密钥交换及切换的方法 | |
CN111885436A (zh) | 一种基于epon技术的配电网自动化通信系统 | |
KR100594023B1 (ko) | 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법 | |
CN101998180B (zh) | 一种支持光线路终端和光网络单元版本兼容的方法及系统 | |
EP2151946B1 (en) | A method for detecting the key of the gigabit passive optical network | |
CN101388765B (zh) | 一种吉比特无源光纤网络系统的加密模式切换方法 | |
CN101388806B (zh) | 密钥一致性检测方法和装置 | |
CN101841743B (zh) | 密钥切换方法、光线路终端以及光网络单元 | |
CN101325452B (zh) | G比特无源光网络系统中加密模式的一致性检测方法 | |
CN101394265A (zh) | 一种吉比特无源光纤网络系统的加密模式切换方法 | |
CN101800914A (zh) | 一种密钥切换方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101229 Termination date: 20210103 |