CN101998188A - 无源光网络的加密/解密方法及系统 - Google Patents
无源光网络的加密/解密方法及系统 Download PDFInfo
- Publication number
- CN101998188A CN101998188A CN2009101668866A CN200910166886A CN101998188A CN 101998188 A CN101998188 A CN 101998188A CN 2009101668866 A CN2009101668866 A CN 2009101668866A CN 200910166886 A CN200910166886 A CN 200910166886A CN 101998188 A CN101998188 A CN 101998188A
- Authority
- CN
- China
- Prior art keywords
- onu
- sequence number
- olt
- message
- number information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种无源光网络的加密/解密方法及系统,该方法包括:光线路终端OLT存储与每个光网络单元ONU对应的第一加密信息,其中,第一加密信息用于对ONU的序列号信息进行加密和/或解密;OLT接收来自ONU的携带有ONU的第二加密信息的消息,并根据第二加密信息从本地获取ONU的序列号信息。通过本发明降低了序列号信息被盗用的危险,提高了PON系统的安全性。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种无源光网络(PassiveOptical Network,简称为PON)的加密/解密方法及系统。
背景技术
吉比特无源光网络(Gigabit-Capable Passive Optical Network,简称为GPON)技术是无源光网络(Passive Optical Network,简称为PON)家族中一个重要的技术分支,和其它PON技术类似,GPON也是一种采用点到多点拓扑结构的无源光接入技术。
GPON由局侧的光线路终端(Optical Line Terminal,简称为OLT)、用户侧的光网络单元以及光分配网络(Optical DistributionNetwork,简称为ODN)组成,通常采用点到多点的网络结构。ODN由单模光纤、光分路器、光连接器等无源光器件组成,为OLT和ONU之间的物理连接提供光传输媒质。
为了实现OLT对ONU的部分管理功能,国际电信联盟-电信标准部(International Telecommunications Union-Telecommunicationsstandardization sector,简称为ITU-T)的G.984.3标准定义了物理层操作管理维护(Physical layer Operations,Administration andMaintenance,简称PLOAM)通道,GPON利用PLOAM通道传输PLOAM消息,实现对传输汇聚层的管理,包括ONU激活,ONU管理控制通道的建立,加密配置,密钥管理等。
在GPON系统中,PLOAM消息是以明文的形式发送的。由于下行方向(由OLT到ONU)为天然广播方式,因此,各个ONU都将收到所有的PLOAM消息,并且根据ONU-ID来获得属于自己的PLOAM消息,抛弃发送给其他ONU的PLOAM消息。如果网络中存在被重新编程的恶意ONU,恶意ONU就会监听OLT发给其他ONU的PLOAM消息。上行方向传输的PLOAM消息存在两种被非法监听的威胁:如果GPON中的光分路器使用的是2:N的分光器,图1是根据相关技术的GPON系统的拓扑结构的示意图,如图1所示,非法用户可以通过图1中的的B端口监听所有ONU的上行PLOAM消息;非法用户也可以通过如弯折光纤的方式探测上行信号光,从而监听上行PLOAM消息。如果恶意ONU监听到某一个合法ONU的序列号,则它可以在合法ONU掉电后,利用合法ONU的序列号完成自身的注册激活过程,导致非法ONU可以接入到PON系统中。由于上述原因的存在,PON系统的安全受到了威胁。
基于对上述安全因素的考虑,应该对GPON系统中传输的PLOAM消息进行加密,尤其应该对关系系统安全的PLOAM消息进行加密,例如,ONU的序列号信息。但是,当ONU刚接入到系统中,ONU需要一个注册激活过程,在此过程中,OLT通过ONU的序列号信息识别ONU,如果ONU的序列号信息加密,存在OLT不知道如何解密序列号的问题。现有的ITU-T的G.984.3标准中没有提供关于GPON系统中对ONU的序列号信息加密和解密的方法。
发明内容
针对相关技术中没有提供对ONU序列号信息进行加密/解密的方法而导致PON系统存在安全隐患的问题而提出本发明,为此,本发明的主要目的在于提供一种基于ONU序列号信息的无源光网络的加密/解密方案,以解决上述问题。
为了实现上述目的,根据本发明的一个方面,提供了一种无源光网络的加密/解密方法。
根据本发明的无源光网络的加密/解密方法包括:光线路终端OLT存储与每个光网络单元ONU对应的第一加密信息,其中,第一加密信息用于对ONU的序列号信息进行加密和/或解密;OLT接收来自ONU的携带有ONU的第二加密信息的消息,并根据第二加密信息从本地获取ONU的序列号信息。
优选地,第一加密信息包括加密算法、密钥信息、ONU身份的注册标识;第二加密信息包括加密后的序列号信息和ONU身份的注册标识,或者,第二加密信息包括加密后的序列号信息。
优选地,在第二加密信息包括加密后的序列号信息和ONU身份的注册标识的情况下,OLT根据第二加密信息获取ONU的序列号信息包括:OLT从消息中获得ONU的注册标识,并根据注册标识从本地获得ONU对应的第一加密信息;OLT根据第一加密信息对加密后的序列号信息进行解密以获取ONU的序列号信息。
优选地,在OLT接收来自ONU的携带有ONU的第二加密信息的消息之前,上述方法还包括:ONU向OLT发送消息,并保存加密后的序列号信息。
优选地,在OLT从消息中获得ONU的注册标识之前,上述方法还包括:OLT保存注册标识与加密算法、密钥信息之间的对应关系。
优选地,上述方法还包括:OLT在获取ONU的序列号信息之后保存加密后的序列号信息与ONU的序列号信息和/或第一加密信息的对应关系;或者,OLT在接收来自ONU的携带有ONU的第二加密信息的消息之前预先保存加密后的序列号信息与ONU的序列号信息和/或第一加密信息的对应关系。
优选地,第二加密信息包括加密后的序列号信息的情况下,OLT根据第二加密信息获取ONU的序列号信息包括:OLT从消息中获得ONU的加密后的序列号信息,并根据加密后的序列号信息从本地获得ONU的第一加密信息。
优选地,在OLT接收来自ONU的携带有ONU的第二加密信息的消息之前,上述方法还包括:OLT和ONU使用相同的算法分别对本地保存的加密后的序列号信息进行更新。
优选地,在OLT和ONU使用相同的算法分别对本地保存的加密后的序列号信息进行更新之后,上述方法还包括:OLT保存加密后的序列号信息与第一加密信息之间的对应关系。
优选地,在OLT接收来自ONU的携带有第二加密消息的消息之前,上述方法包括:ONU采用加密算法对第一号密钥种子和注册标识进行计算得到密钥,ONU根据密钥对ONU的序列号信息进行加密,并将加密后的序列号信息以及ONU的注册标识发送给OLT。
优选地,在OLT获取ONU的序列号信息之后,上述方法还包括:OLT向ONU发送分配标识消息,其中,分配标识信息中携带有为ONU分配的ONU标识;分配标识消息中还携带有OLT本地储存的ONU的加密后的序列号信息或对ONU的序列号信息进行重新加密后产生的重新加密后的序列号信息。
优选地,在OLT向ONU发送分配标识消息之后,上述方法还包括:ONU接收并从分配标识信息中获取加密后的序列号信息或重新加密后的序列号信息;ONU根据加密后的序列号信息或重新加密后的序列号信息判断分配标识消息的目的ONU是否为本地,并在判断结果为是的情况下,从分配标识消息中获取ONU标识。
优选地,ONU根据加密后的序列号信息判断分配标识消息的目的ONU是否为本地包括:ONU判断接收到的加密后的序列号信息是否与本地的加密后的序列号信息一致,如果一致,则分配标识消息的目的ONU是本地,否则,分配标识信息的目的ONU不是本地。
优选地,OLT对ONU的序列号进行重新加密包括:OLT使用加密算法对第一号密钥种子和第二号密钥种子进行计算产生第一密钥,并根据第一密钥对ONU的序列号信息进行加密,其中,OLT将第二号密钥种子和分配标识信息一起发送给ONU,或者,在OLT和ONU上预先设置相同的第二号相同的密钥种子,或者,通过OLT与ONU进行协商以产生相同的第二号密钥种子。
为了实现上述目的,根据本发明的另一方面,还提供了一种无源光网络的加密/解密系统。
根据本发明的无源光网络的加密/解密系统,包括OLT和一个或多个ONU,OLT用于存储与每个ONU对应的第一加密信息,其中,第一加密信息用于对ONU的序列号信息进行加密和/或解密;ONU用于根据第一加密信息对ONU的序列号信息进行加密,并向OLT发送携带有ONU的第二加密信息的消息;OLT还用于接收来自ONU的携带有ONU的第二加密信息的消息,并根据第二加密信息从本地获取ONU的序列号信息。
本发明在ONU的序列号信息加密的情况下,OLT识别ONU的身份并根据ONU的身份找到并解密ONU的序列号,解决了PON系统中上行帧和下行帧中的ONU序列号信息的加密和解密问题,从而降低了序列号信息被盗用的危险,进而提高了PON系统的安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据相关技术的GPON系统的拓扑结构的示意图;
图2是根据本发明实施例的无源光网络的加密/解密方法;
图3是根据本发明实施例的第一种扩展的PLOAM消息格式的示意图;
图4是根据本发明实施例的Serial_Number消息的结构示意图;
图5是根据本发明实施例的Assign_ONU-ID消息格式示意图;
图6是根据本发明实施例的ESN_ONU消息的格式示意图;
图7是根据本发明实施例的Secret_Seed消息的格式示意图。
具体实施方式
功能概述
考虑到相关技术中没有提供对ONU序列号信息进行加密/解密的方法而导致PON系统存在安全隐患的问题,本发明实施例提供了基于ONU序列号信息的加密/解密方案,该方案处理原则如下:OLT存储加密信息,其中,加密信息与每个ONU上存储的用于加密的加密信息相同,加密信息包括:加密算法、第一号密钥种子、用于标识ONU身份的注册标识(Registration ID,简称为RegID),每个ONU上存储的第一号密钥种子和注册标识均不相同;OLT向ONU发送用于获取ONU的序列号信息的序列号请求消息;在OLT接收来自ONU的注册标识以及根据加密信息加密后的序列号信息之后,OLT根据ONU的注册标识获取对应的加密信息,并根据对应的加密信息对加密后的序列号信息进行解密,以获取ONU的序列号信息。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
在以下实施例中,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
方法实施例
根据本发明的实施例,提供了一种基于ONU序列号信息的加密/解密方法,图2是根据本发明实施例的无源光网络的加密/解密方法,如图2所示,该方法包括如下的步骤S2至步骤S6:
步骤S2,OLT存储与每个ONU对应的第一加密信息,其中,第一加密信息用于对ONU的序列号信息进行加密和/或解密;
步骤S4,OLT接收来自ONU的携带有该ONU的第二加密信息的消息,并根据第二加密信息从本地获取ONU的序列号。
其中,第二加密信息包括加密后的序列号信息。OLT可以从该消息中获得该ONU的加密后的序列号信息,如果OLT本地保存有该ONU的加密后的序列号信息和序列号信息的对应关系,则OLT可以根据加密后的序列号信息获得该ONU的加密信息,也可以直接获取ONU的序列号信息。
优选地,第二加密信息还可以包括用于标识ONU身份的注册标识和加密后的序列号信息,第一加密信息可以包括加密算法、密钥信息、标识ONU身份的注册标识。该OLT从该消息中获得所述ONU的注册标识,如果OLT本地保存有注册标识和加密信息的对应关系,在OLT根据注册标识从本地获得ONU对应的加密算法、密钥信息。在获取到加密算法和密钥信息之后,根据加密算法和密钥信息对加密后的序列号信息进行解密以获取该ONU的序列号信息。
优选地,OLT保存注册标识与加密算法、密钥信息之间的对应关系。
优选地,OLT保存加密后的序列号信息和ONU的序列号信息的对应关系。
优选地,OLT保存加密后的序列号信息与加密算法、密钥信息之间的对应关系。
下面结合OLT与ONU之间的交互过程对加密解密过程进行详细的说明。该过程主要包括如下步骤:
步骤S12,OLT存储加密信息,其中,加密信息与每个ONU上存储的用于加密的加密信息相同,加密信息包括:加密算法、第一号密钥种子、用于标识ONU身份的注册标识(Registration ID,简称为RegID),每个ONU上存储的第一号密钥种子和注册标识均不相同。
步骤S14,OLT向ONU发送用于获取ONU的序列号信息的序列号请求消息。
步骤S16,在OLT接收来自ONU的注册标识以及根据加密信息加密后的序列号信息之后,OLT根据ONU的注册标识获取对应的加密信息,并根据对应的加密信息对加密后的序列号信息进行解密,以获取ONU的序列号信息。
下面结合上述步骤S12至步骤S16对OLT与ONU之间的加密解密过程进行详细的说明,该过程包括如下具体的步骤:
步骤S21,OLT和ONU处存储了相同的用于计算密钥(Key,用于加密序列号)的算法,即,加密算法,OLT和ONU处存储了相同的用于生成Key的第一号密钥种子,每个ONU处存储的第一号密钥种子不同,在获取到ONU的序列号之后,OLT存储ONU的序列号和对应的第一号密钥种子的对应关系。
步骤S22,OLT命令ONU发送其自身的序列号信息,ONU可以根据情况采用以下方式对序列号信息进行加密,并发送给OLT,然后OLT采用对应的方法解密ONU发送的加密序列号。
方式一,ONU采用加密算法对第一号密钥种子和注册标识进行计算得到密钥,ONU根据密钥对ONU的序列号信息进行加密,并将加密后的序列号信息以及ONU的注册标识发送给OLT。即,方法一:当OLT和ONU处存储了一个用于标识ONU身份的注册标识RegID,且OLT存储了RegID、对应的ONU的序列号和对应的第一号密钥种子的对应关系,ONU利用计算Key的算法(即,密钥算法)对自身存储的第一号密钥种子和RegID进行计算得到Key,并利用Key对自身的序列号信息进行加密,然后ONU将加密的序列号和RegID一起发送给OLT。OLT接收到ONU发送的加密的序列号和RegID后,OLT通过ONU的RegID得到对应的ONU的第一号密钥种子,OLT利用计算Key的算法对上述第一号密钥种子和上述RegID进行计算得到Key,并利用Key对加密序列号信息进行解密,得到ONU的序列号信息。
步骤S23,OLT接收加密后的序列号信息以及ONU的注册标识,OLT存储加密后的序列号信息和ONU的序列号信息。
步骤S24,在OLT获取ONU的序列号信息,OLT向ONU发送分配标识消息,其中,分配标识信息中携带有为ONU分配的ONU标识;分配标识消息中还携带有OLT本地储存的ONU的加密后的序列号信息或对ONU的序列号信息进行重新加密后产生的重新加密后的序列号信息。
步骤S25,ONU接收并从分配标识信息中获取加密后的序列号信息或重新加密后的序列号信息;ONU根据加密后的序列号信息或重新加密后的序列号信息判断分配标识消息的目的ONU是否为本地,并在判断结果为是的情况下,从分配标识消息中获取ONU标识。
其中,ONU根据加密后的序列号信息判断分配标识消息的目的ONU是否为本地有两种方式:方式一,ONU判断接收到的加密后的序列号信息是否与本地的加密后的序列号信息一致,如果一致,则分配标识消息的目的ONU是本地,否则,分配标识信息的目的ONU不是本地。方式二,ONU判断接收到的加密后的序列号信息是否与本地的使用与OLT相同的重新加密的方式对的序列号信息进行重新加密后产生的重新加密后的序列号信息是否一致,如果一致,则分配标识消息的目的ONU是本地,否则,分配标识信息的目的ONU不是本地。
如果ONU需要再次注册(例如,ONU掉电重启),ONU可以通过以下方式发送加密后的序列号信息。
方式一,当OLT存储了加密的序列号、对应的ONU的序列号和对应的第一号密钥种子的对应关系时,OLT发送要求ONU发送序列号的命令的同时,OLT在本地采用了一定的方法更新ONU的加密序列号,ONU接收到OLT发送的要求其发送序列号的命令的同时,ONU在本地采用了与OLT相同的方法更新自身的加密序列号,并将更新后的加密序列号发送给OLT,OLT接收到ONU发送的更新加密序列号后,根据更新加密序列号与对应的ONU的序列号的关系获得ONU的序列号信息。
方式二,当OLT处存储了加密的序列号、对应的ONU的序列号和对应的第一号密钥种子的对应关系,且OLT处和ONU处都存储了相同的ONU加密序列号信息时,ONU将自身存储的上述加密序列号信息发送给OLT,OLT根据接收到的加密序列号信息得到ONU的序列号信息。
方式三,当OLT已经为该ONU分配ONU-ID时,ONU利用一个数充当第二号密钥种子,并利用计算Key的算法对第一号密钥种子和第二号密钥种子进行计算得到Key,然后,ONU利用Key对序列号信息进行加密,得到加密的序列号。ONU将上述加密的序列号发送给OLT(如果OLT没有第二号密钥种子,则也将第二号密钥种子发送给OLT)。OLT通过ONU的ONU-ID得到对应的ONU的第一号密钥种子,OLT利用计算Key的算法对上述第一号密钥种子和上述充当第二号密钥种子的数进行计算得到Key,并利用Key对加密序列号信息进行解密,得到ONU的序列号信息。需要说明的是,充当第二密钥种子的数可以是ONU在本地产生,然后和下述的加密的序列号信息一起发送给OLT,也可以是通过OLT和ONU按照预先约定的方法产生,ONU不需要将该数发送给OLT。
在接收到ONU发送的加密的序列号信息之后,OLT根据ONU发送的加密的序列号信息后根据该信息从本地获取序列号信息。
下面将结合实例对本发明实施例的实现过程进行详细描述。
通过以下实例可以用于对GPON系统中携带ONU的序列号(Serial Number)信息的PLOAM消息进行加密和解密。下面具体说明上述加密和解密的方法,以及ONU的注册激活过程。
实例一
OLT和ONU处存储了一个预共享密钥种子,预共享密钥种子也称为用于生成加密密钥(Key)的第一号密钥种子;OLT和ONU处存储了一个用于标识ONU身份的注册标识,OLT存储了RegID、对应的ONU的序列号和对应的第一号密钥种子的对应关系;OLT和ONU处存储了相同的用于计算Key的算法;图3是根据本发明实施例的第一种扩展的PLOAM消息格式的示意图,如图3所示,用于生成加密密钥的第二号密钥种子,位于ONU-ID和Message ID之间,也可以位于Message ID和Data之间,也可以位于Data和CRC之间。
ONU的注册激活过程如下:
步骤S101,ONU侦听OLT发送的下行GPON传输汇聚(GPONTransmission Convergence,简称为GTC)帧并获取帧同步。
步骤S102,ONU侦听OLT周期性发送的Upstream_Overhead(和Extended_Burst_Length)消息并获取消息中的参数配置。
步骤S103,未注册激活的ONU侦听OLT发送的序列号请求(SN_Request),在接收到SN_Request后,ONU将用于标识自身身份的RegID作为第二号密钥种子,并利用计算Key的算法对第一号密钥种子和第二号密钥种子进行计算得到Key,然后,ONU利用Key对序列号信息进行加密,得到加密后的序列号(Encryption SerialNumber,简称为ESN),ONU存储此ESN。ONU将加密后的序列号和自身的RegID通过本实施例的Serial_Number消息发送给OLT,图4是根据本发明实施例的Serial_Number消息的结构示意图,如图4所示,该消息的第一字节为ONU-ID,第二字节表示PLOAM消息的类型为Serial_Number,第三字节携带第二号密钥种子,第四到第十一字节携带加密后的序列号信息,第十二字节和第十四字节的内容如图4所示,在此不再赘述。
步骤S104,OLT接收到某个ONU发送的Serial_Number消息后,通过ONU发送的RegID可以在本地查询此RegID对应的ONU的第一号密钥种子,OLT利用计算Key的算法对第一号密钥种子和第二号密钥种子进行计算得到Key,并利用Key对接收的序列号进行解密,得到ONU的序列号信息,OLT存储接收到的ESN,并存储ESN、对应的ONU的序列号和对应的第一号密钥种子的对应关系。OLT向该ONU通过发送Assign_ONU-ID(分配ONU标识)消息向该ONU分配ONU-ID,图5是根据本发明实施例的Assign_ONU-ID消息格式示意图,如图5所示,该消息的第一字节为ONU-ID,第二字节表明消息类型为“Assign_ONU-ID”,第三字节表示OLT给此ONU分配的ONU-ID,第四到第十一字节的内容为ONU在Serial_Number消息中发给OLT的ESN,其他字节的内容如图5所示,在此不再赘述。Assign_ONU-ID消息的含义为:ONU响应OLT发送的SN_Request时,ONU发送了加密的Serial Number信息,即ESN给OLT,然后OLT给发送上述ESN的ONU分配ONU-ID。ONU收到上述Assign_ONU-ID消息后,ONU判断Assign_ONU-ID中的ESN与自身存储的ESN是否相同,如果相同,ONU存储上述Assign_ONU-ID消息中的ONU-ID。
步骤S105,OLT向该ONU发送测距请求(Ranging_Request),开始对该ONU进行测距。
步骤S106,该ONU接收到Ranging_Request后,ONU在本地产生一个用于充当第二号密钥种子的随机数,并利用计算Key的算法对第一号密钥种子和第二号密钥种子进行计算得到Key,然后ONU利用Key对序列号信息进行加密,得到新的ESN。ONU将上述新的ESN和上述用于充当第二号密钥种子的随机数通过图3所示的Serial_Number消息发送给OLT。
步骤S107,OLT接收到该ONU发送的Serial_Number消息后,OLT利用计算Key的算法对第一号密钥种子和第二号密钥种子进行计算得到Key,并利用Key对接收的序列号进行解密,得到ONU的序列号信息,OLT计算测距结果均衡延迟(Equalization Delay,简称为EqD)并将测距结果EqD通过测距时间(Ranging_Time)消息发送给该ONU,完成ONU注册激活过程。OLT存储ONU-ID、对应的ONU的序列号和对应的第一号密钥种子的对应关系。
在上述注册激活过程中,OLT可以在收到ONU的序列号后的任何时刻对ONU的序列号信息进行认证,例如OLT可以在上述步骤S104接收到序列号信息后对其进行认证,也可以在上述步骤S107接收到序列号信息后对其进行认证。
当上述ONU掉电重启后,ONU再次进入注册激活过程,ONU的注册激活过程的步骤如下:
步骤S201,ONU侦听OLT发送的下行GTC帧并获取帧同步。
步骤S202,ONU侦听OLT周期性发送的Upstream_Overhead(和Extended_Burst_Length)消息并获取消息中的参数配置。
未注册激活的ONU侦听OLT发送的SN_Request(序列号请求),在接收到SN_Request之后,ONU将存储的ESN通过本发明的ESN_ONU(ONU的加密序列号)消息发送给OLT。图6是根据本发明实施例的ESN_ONU消息的格式示意图,如图6所示,该消息的第一字节为ONU-ID,第二字节表示PLOAM消息的类型为ESN_ONU,第三字节到第十字节携带ESN,第十一到第十二字节为预留字节,第十三字为CRC。
步骤S203,OLT接收到某个ONU发送的上述ESN_ONU消息后,如果此ESN信息属于OLT本地存储的ESN列表,OLT可以找到上述ESN与某个ONU的Serial Number以及第一号密钥种子的对应关系,则OLT判断此ONU已经完成过认证。OLT向该ONU通过发送Assign_ONU-ID消息向该ONU分配ONU-ID,Assign_ONU-ID消息的格式见图5。ONU收到上述Assign_ONU-ID消息后,ONU判断Assign_ONU-ID中的ESN与自身存储的ESN是否相同,如果相同,ONU存储上述Assign_ONU-ID消息中的ONU-ID。
步骤S204,OLT向该ONU发送测距请求Ranging_Request,开始对该ONU进行测距。
步骤S205,该ONU收到Ranging_Request后,ONU在本地产生一个用于充当第二号密钥种子的随机数,并利用计算Key的算法对第一号密钥种子和第二号密钥种子进行计算得到Key,然后ONU利用Key对序列号信息进行加密,得到新的ESN。ONU将上述新的ESN和上述用于充当第二号密钥种子的随机数通过图4所示的Serial_Number消息发送给OLT。
步骤S206,OLT接收到该ONU发送的Serial_Number消息后,OLT利用计算Key的算法对第一号密钥种子和第二号密钥种子进行计算得到Key,并利用Key对接收的序列号进行解密,得到ONU的序列号信息,OLT计算测距结果EqD并将测距结果EqD通过Ranging_Time消息发送给该ONU,完成ONU注册激活过程。OLT存储ONU-ID、对应的ONU的序列号和对应的第一号密钥种子的对应关系。
在上述注册激活过程中,OLT可以在收到ONU的序列号后的任何时刻对ONU的序列号信息进行认证,例如,OLT可以在上述步骤S107接收到序列号信息后对其进行认证。
在本实例中,第二号密钥种子信息是通过在携带ESN的PLOAM消息中增加一个字节传送,也可以根据需要增加两个或多个字节传递第二号密钥种子。也可以新建一个名为Secret_Seed的PLOAM消息传递第二号密钥种子,图7是根据本发明实施例的Secret_Seed消息的格式示意图,如图7所示。在上述需要传递第二号密钥种子的PLOAM消息后紧跟Secret_Seed消息(或在上述需要传递第二号密钥种子的PLOAM消息前传输Secret_Seed消息)。第二号密钥种子也可以在传递ESN的上行帧或下行帧中定义一个域携带。
在本实例中,ONU可以利用图6中的ESN_ONU消息给OLT发送自身的加密序列号消息,ONU也可以利用GPON系统中用于发送序列号的Serial_Number_ONU消息发送加密的序列号,ONU将加密的序列号代替明文的序列号放入Serial_Number_ONU消息中发送给OLT即可。
在本实例中,可以不对第二号种子信息进行加密,第二号种子信息以明文发送,可以对整个PLOAM消息进行加密,也可以对PLOAM消息的部分字节进行加密。
实例二
OLT和ONU处存储了一个预共享密钥种子,预共享密钥种子也称为用于生成加密密钥(Key)的第一号密钥种子;OLT和ONU处存储了一个用于标识ONU身份的注册标识RegID,OLT存储了RegID、对应的ONU的序列号和对应的第一号密钥种子的对应关系;OLT和ONU处存储了相同的用于计算Key的算法;扩展的PLOAM消息的格式在实例一中已经进行了说明,在此不在赘述。
ONU的注册激活过程如下:
步骤S301,ONU侦听OLT发送的下行GTC帧并获取帧同步。
步骤S302,ONU侦听OLT周期性发送的Upstream_Overhead(和Extended_Burst_Length)消息并获取消息中的参数配置。
步骤S303,未注册激活的ONU侦听OLT发送的SN_Request,接收到SN_Request之后,ONU将用于标识自身身份的RegID作为第二号密钥种子,并利用计算Key的算法对第一号密钥种子和第二号密钥种子进行计算得到Key,然后,ONU利用Key对序列号信息进行加密,得到ESN并存储ESN。ONU将ESN和自身的RegID通过Serial_Number消息发送给OLT,Serial_Number消息在实例一中已经进行了说明,在此不再赘述。ONU计算ESN+C(C为一个常数)的值为ESNN,ONU用ESSN值取代RegID的值,即,更新了RegID的值。
步骤S304,OLT接收到某个ONU发送的上述Serial_Number消息后,通过ONU发送的RegID可以在本地查询此RegID对应的ONU的第一号密钥种子,OLT利用计算Key的算法对第一号密钥种子和第二号密钥种子进行计算得到Key,并利用Key对接收的序列号进行解密,得到ONU的序列号信息。OLT计算ESN+C的值为ESNN,OLT用ESSN值取代RegID的值,即,更新了RegID的值,OLT存储所述更新的RegID、对应的ONU的序列号和对应的第一号密钥种子的对应关系。OLT向该ONU通过发送Assign_ONU-ID消息向该ONU分配ONU-ID,Assign_ONU-ID消息的格式在实例一中已经进行了说明,在此不再赘述。ONU接收到上述Assign_ONU-ID消息之后,ONU判断Assign_ONU-ID中的ESN与自身存储的ESN是否相同,如果相同,则ONU存储上述Assign_ONU-ID消息中的ONU-ID。
步骤S305,OLT向该ONU发送Ranging_Request,开始对该ONU进行测距。
步骤S306,该ONU接收到Ranging_Request后,ONU在本地产生一个用于充当第二号密钥种子的随机数,并利用计算Key的算法对第一号密钥种子和第二号密钥种子进行计算得到Key,然后ONU利用Key对序列号信息进行加密,得到新的ESN。ONU将上述新的ESN和上述用于充当第二号密钥种子的随机数通过Serial_Number消息发送给OLT;
步骤S307,OLT接收到该ONU发送的Serial_Number消息后,OLT利用计算Key的算法对第一号密钥种子和第二号密钥种子进行计算得到Key,并利用Key对接收的序列号进行解密,得到ONU的序列号信息,OLT计算测距结果EqD并将测距结果EqD通过Ranging_Time消息发送给该ONU,完成ONU注册激活过程。OLT存储ONU-ID、对应的ONU的序列号和对应的第一号密钥种子的对应关系。
当上述ONU掉电重启后,ONU再次进入注册激活过程,ONU接收到OLT发送的SN_Request后,ONU将上述用于标识自身身份而且更新后的RegID作为第二号密钥种子,其他步骤与ONU第一次接入到GPON系统中进行注册激活的过程相同,此处不再赘述。
在上述注册激活过程中,OLT可以在收到ONU的序列号后的任何时刻对ONU的序列号信息进行认证,例如,OLT可以在上述步骤S307接收到序列号信息后对其进行认证。
在本实例中,第二号密钥种子信息是通过在携带ESN的PLOAM消息中增加一个字节传送,也可以根据需要增加两个或多个字节传递第二号密钥种子。也可以新建一个名为Secret_Seed的PLOAM消息传递第二号密钥种子,图7是根据本发明实施例的Secret_Seed消息的格式示意图,如图7所示。在上述需要传递第二号密钥种子的PLOAM消息后紧跟Secret_Seed消息(或在上述需要传递第二号密钥种子的PLOAM消息前传输Secret_Seed消息)。第二号密钥种子也可以在传递ESN的上行帧或下行帧中定义一个域携带。
在本实例中,可以不对第二号种子信息进行加密,第二号种子信息以明文发送,可以对整个PLOAM消息进行加密,也可以对PLOAM消息的部分字节进行加密。
实例三
OLT和ONU处存储了一个预共享密钥种子,预共享密钥种子也称为用于生成加密密钥(Key)的第一号密钥种子;OLT和ONU处存储了一个用于标识ONU身份的注册标识RegID,OLT存储了RegID、对应的ONU的序列号和对应的第一号密钥种子的对应关系;OLT和ONU处存储了相同的用于计算Key的算法;扩展的PLOAM消息的格式在实例一中已经进行了说明,在此不再赘述。
ONU的注册激活过程如下:
步骤S401,ONU侦听OLT发送的下行GTC帧并获取帧同步。
步骤S402,ONU侦听OLT周期性发送的Upstream_Overhead(和Extended_Burst_Length)消息并获取消息中的参数配置。
步骤S403,未注册激活的ONU侦听OLT发送的SN_Request,接收到SN_Request后,ONU将用于标识自身身份的RegID作为第二号密钥种子,并利用计算Key的算法对第一号密钥种子和第二号密钥种子进行计算得到Key,然后,ONU利用Key对序列号信息进行加密,得到ESN并存储ESN。ONU将加密后的序列号和自身的RegID通过Serial_Number消息发送给OLT,该消息在实例一中已经进行了说明,在此不再赘述。
步骤S404,OLT收到某个ONU发送的上述Serial_Number消息后,通过ONU发送的RegID可以在本地查询此RegID对应的ONU的第一号密钥种子,OLT利用计算Key的算法对第一号密钥种子和第二号密钥种子进行计算得到Key,并利用Key对接收的序列号进行解密,得到ONU的序列号信息,OLT存储接收到的ESN,并存储ESN、对应的ONU的序列号和对应的第一号密钥种子的对应关系。OLT向该ONU通过发送Assign_ONU-ID消息向该ONU分配ONU-ID,Assign_ONU-ID消息的格式在实例一中已经进行了说明,在此不再赘述。ONU收到上述Assign_ONU-ID消息后,ONU判断Assign_ONU-ID中的ESN与自身存储的ESN是否相同,如果相同,ONU存储上述Assign_ONU-ID消息中的ONU-ID。
步骤S405,OLT向该ONU发送Ranging_Request,开始对该ONU进行测距。
步骤S406,该ONU接收到Ranging_Request后,ONU在本地产生一个用于充当第二号密钥种子的随机数,并利用计算Key的算法对第一号密钥种子和第二号密钥种子进行计算得到Key,然后ONU利用Key对序列号信息进行加密,得到新的ESN。ONU将上述新的ESN和上述用于充当第二号密钥种子的随机数通过的Serial_Number消息发送给OLT,该消息在实例一中已经进行了说明,在此不再赘述。
步骤S407,OLT接收到该ONU发送的Serial_Number消息后,OLT利用计算Key的算法对第一号密钥种子和第二号密钥种子进行计算得到Key,并利用Key对接收的序列号进行解密,得到ONU的序列号信息,OLT计算测距结果EqD并将测距结果EqD通过Ranging_Time消息发送给该ONU,完成ONU注册激活过程。OLT存储ONU-ID、对应的ONU的序列号和对应的第一号密钥种子的对应关系。
在上述注册激活过程中,OLT可以在收到ONU的序列号后的任何时刻对ONU的序列号信息进行认证,例如,OLT可以在上述步骤S404收到序列号信息后对其进行认证,也可以在步骤S407接收到序列号信息后对其进行认证。
当上述ONU掉电重启后,ONU再次进入注册激活过程,ONU的注册激活过程的步骤如下:
步骤S501,ONU侦听OLT发送的下行GTC帧并获取帧同步。
步骤S502,ONU侦听OLT周期性发送的Upstream_Overhead(和Extended_Burst_Length)消息并获取消息中的参数配置。
步骤S503,OLT发送SN_Request的同时采用下述方法更新本地存储的已注册过的所有ONU的ESN值:OLT将发送SN_Request的下行帧中的超帧计数器(Super Frame Counter)中的超帧号作为第二号密钥种子,OLT利用生成Key的算法对第一号密钥种子和上述第二号密钥种子进行计算得到Key,然后,OLT利用上述Key对ONU的Serial Number进行加密,得到更新后的ESN的值,OLT用更新后的ESN的值覆盖对应的前一个ESN的值,完成已注册过的ONU的ESN值的更新。
步骤S504,完成过注册并掉电后重新进入注册激活过程的ONU侦听OLT发送的SN_Request,收到SN_Request后,将发送SN_Request的下行帧中Super Frame Counter中的超帧号作为第二号密钥种子,ONU利用生成Key的算法对第一号密钥种子和上述第二号密钥种子进行计算得到Key,然后ONU利用上述Key对自身的Serial Number进行加密,得到更新后的ESN并存储更新后的ESN,ONU将更新后的ESN通过本发明的ESN_ONU(ONU的加密序列号)消息发送给OLT。ESN_ONU消息的格式在实例一中已经进行了说明,在此不再赘述。
步骤S505,OLT接收到ONU发送的上述ESN_ONU消息后,如果此ESN信息属于OLT本地存储的ESN列表,OLT可以找到上述ESN与某个ONU的Serial Number以及第一号密钥种子的对应关系,OLT判断此ONU已经完成过认证。OLT向该ONU通过发送Assign_ONU-ID消息向该ONU分配ONU-ID,Assign_ONU-ID消息的格式在实例一中已经进行了说明,在此不再赘述。ONU收到上述Assign_ONU-ID消息后,ONU判断Assign_ONU-ID中的ESN与自身存储的ESN是否相同,如果相同,ONU存储上述Assign_ONU-ID消息中的ONU-ID。
步骤S506,OLT向该ONU发送Ranging_Request,开始对该ONU进行测距。
步骤S507,该ONU接收到Ranging_Request后,ONU在本地产生一个用于充当第二号密钥种子的随机数,并利用计算Key的算法对第一号密钥种子和第二号密钥种子进行计算得到Key,然后ONU利用Key对序列号信息进行加密,得到新的ESN。ONU将上述新的ESN和上述用于充当第二号密钥种子的随机数通过图3所示的Serial_Number消息发送给OLT。
步骤S508,OLT收到该ONU发送的Serial_Number消息后,OLT利用计算Key的算法对第一号密钥种子和第二号密钥种子进行计算得到Key,并利用Key对接收的序列号进行解密,得到ONU的序列号信息,OLT计算测距结果EqD并将测距结果EqD通过Ranging_Time消息发送给该ONU,完成ONU注册激活过程。OLT存储ONU-ID、对应的ONU的序列号和对应的第一号密钥种子的对应关系。
在上述注册激活过程中,OLT可以在收到ONU的序列号后的任何时刻对ONU的序列号信息进行认证,例如,OLT可以在上述步骤S507接收到序列号信息后对其进行认证。
在本实例中,第二号密钥种子信息是通过在携带ESN的PLOAM消息中增加一个字节传送,也可以根据需要增加两个或多个字节传递第二号密钥种子。也可以新建一个名为Secret_Seed的PLOAM消息传递第二号密钥种子,图7是根据本发明实施例的Secret_Seed消息的格式示意图,如图7所示。在上述需要传递第二号密钥种子的PLOAM消息后紧跟Secret_Seed消息(或在上述需要传递第二号密钥种子的PLOAM消息前传输Secret_Seed消息)。第二号密钥种子也可以在传递ESN的上行帧或下行帧中定义一个域携带。
在本实例中,ONU利用ESN_ONU消息给OLT发送自身的加密序列号消息,该消息在实例一中已经进行了说明,在此不再赘述。ONU也可以利用GPON系统中用于发送序列号的Serial_Number_ONU消息发送加密的序列号,ONU将加密的序列号代替明文的序列号放入Serial_Number_ONU消息中发送给OLT即可。
在本实例中,不对第二号种子信息进行加密,第二号种子信息以明文发送,可以对整个PLOAM消息进行加密,也可以对PLOAM消息的部分字节进行加密。
实例四
OLT和ONU处存储了相同的用于计算Key的算法;OLT和ONU处存储了一个预共享密钥种子,预共享密钥种子也称为用于生成加密密钥(Key)的第一号密钥种子;OLT每次发送SN_Request、Ranging_Request带宽分配或者包含ONU序列号信息的Disable_Serial_Number消息时,OLT将携带上述SN_Request、Ranging_Request或Disable_Serial_Number的下行帧中Super FrameCounter中的超帧号作为第二号密钥种子,OLT利用生成密钥算法对上述对应各个ONU的第一号密钥种子和上述第二号密钥种子进行计算,得到对应各个ONU的Key,OLT利用上述不同的Key分别对对应的ONU的序列号进行加密,得到各个ONU的ESN,OLT存储了ESN、对应的ONU的序列号和对应的第一号密钥种子的对应关系。每次OLT发送SN_Request和Ranging_Request的带宽分配或者Disable_Serial_Number message消息时,OLT更新上述各个ONU的ESN,并更新各个ONU的ESN、对应的ONU的序列号和对应的第一号密钥种子的对应关系。
ONU的注册激活过程的步骤如下:
步骤S601,ONU侦听OLT发送的下行GTC帧并获取帧同步。
步骤S602,ONU侦听OLT周期性发送的Upstream_Overhead(和Extended_Burst_Length)消息并获取消息中的参数配置。
步骤S603,OLT发送SN_Request的同时更新上述各个ONU的ESN,并更新各个ONU的ESN、对应的ONU的序列号和对应的第一号密钥种子的对应关系。
步骤S604,ONU侦听OLT发送的SN_Request,收到SN_Request后,将发送SN_Request的下行帧中Super Frame Counter中的超帧号作为第二号密钥种子,ONU利用生成Key的算法对第一号密钥种子和上述第二号密钥种子进行计算得到Key,然后ONU利用上述Key对自身的Serial Number进行加密,得到更新后的ESN,ONU将更新后的ESN通过本发明的ESN_ONU(ONU的加密序列号)消息发送给OLT。ESN_ONU消息的格式在实例一中已经进行了说明,在此不再赘述。
步骤S605,OLT接收到ONU发送的上述ESN_ONU消息后,如果此ESN信息属于OLT本地存储的ESN列表,OLT可以找到上述ESN与某个ONU的Serial Number以及第一号密钥种子的对应关系,OLT可以得到ONU的序列号信息。OLT向该ONU发送Assign_ONU-ID消息时,OLT更新上述各个ONU的ESN,并更新各个ONU的ESN、对应的ONU的序列号和对应的第一号密钥种子的对应关系。OLT将更新的ESN放入到的Assign_ONU-ID消息中携带ESN的域,该消息在实例一中已经进行了说明,在此不再赘述。OLT通过Assign_ONU-ID消息向该ONU分配ONU-ID。ONU接收到包含上述加密序列号的Assign_ONU-ID消息后,将发送Ranging_Request的下行帧中Super Frame Counter中的超帧号作为第二号密钥种子,ONU利用生成Key的算法对第一号密钥种子和上述第二号密钥种子进行计算得到Key,并利用Key对接收到的加密序列号信息进行解密,得到ONU的序列号信息。如果解密后序列号信息与自身的序列号信息相同,ONU可以判断OLT发送的上述包含加密序列号的Assign_ONU-ID消息是发送给自己的,ONU存储OLT发送的ONU-ID的信息,否则,ONU抛弃OLT发送的上述消息。
步骤S606,OLT向该ONU发送Ranging_Request的同时更新上述各个ONU的ESN,并更新各个ONU的ESN、对应的ONU的序列号和对应的第一号密钥种子的对应关系。OLT开始对该ONU进行测距。
步骤S607,该ONU接收到Ranging_Request后,将发送Ranging_Request的下行帧中Super Frame Counter中的超帧号作为第二号密钥种子,ONU利用生成Key的算法对第一号密钥种子和上述第二号密钥种子进行计算得到Key,然后ONU利用上述Key对自身的Serial Number进行加密,得到更新后的ESN,ONU将更新后的ESN通过本发明的ESN_ONU消息发送给OLT。ESN_ONU消息的格式在实例一中已经进行了说明,在此不再赘述。
步骤S608,OLT接收到该ONU发送的ESN_ONU消息后,如果此ESN信息属于OLT本地存储的ESN列表,OLT可以找到上述ESN与某个ONU的Serial Number以及第一号密钥种子的对应关系,OLT可以得到ONU的序列号信息。OLT计算测距结果EqD并将测距结果EqD通过Ranging_Time消息发送给该ONU,完成ONU注册激活过程。OLT存储ONU-ID、对应的ONU的序列号和对应的第一号密钥种子的对应关系。
在本施例中,ONU利用ESN_ONU消息给OLT发送自身的加密序列号消息,该消息在实例一中已经进行了说明,在此不再赘述。ONU也可以利用GPON系统中用于发送序列号的Serial_Number_ONU消息发送加密的序列号,ONU将加密的序列号代替明文的序列号放入Serial_Number_ONU消息中发送给OLT即可。
在本实例中,将下行帧中Super Frame Counter中的超帧号作为第二号密钥种子,也可以将上行帧或下行帧中其它域的内容作为第二号密钥种子。第二号密钥种子可以在上行帧或下行帧中定义一个域携带。
系统实施例
根据本发明的实施例,还提供了一种无源光网络的加密/解密系统,包括OLT和一个或多个ONU,在该系统中:
OLT用于存储与每个ONU对应的第一加密信息,其中,第一加密信息用于对ONU的序列号信息进行加密和/或解密;ONU用于根据第一加密信息对ONU的序列号信息进行加密,并向OLT发送携带有ONU的第二加密信息的消息;OLT还用于接收来自ONU的携带有ONU的第二加密信息的消息,并根据第二加密信息从本地获取ONU的序列号信息。
需要说明的是,该系统与上述的方法实施中的方法相对应,该系统中的OLT和ONU的处理方式在上述实施例中已经详细描述,在此不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (15)
1.一种无源光网络的加密/解密方法,其特征在于,包括:
光线路终端OLT存储与每个光网络单元ONU对应的第一加密信息,其中,所述第一加密信息用于对ONU的序列号信息进行加密和/或解密;
所述OLT接收来自ONU的携带有所述ONU的第二加密信息的消息,并根据所述第二加密信息从本地获取所述ONU的序列号信息。
2.根据权利要求1所述的方法,其特征在于,所述第一加密信息包括加密算法、密钥信息、ONU身份的注册标识;所述第二加密信息包括加密后的序列号信息和ONU身份的注册标识,或者,所述第二加密信息包括加密后的序列号信息。
3.根据权利要求2所述的方法,其特征在于,在所述第二加密信息包括所述加密后的序列号信息和所述ONU身份的注册标识的情况下,所述OLT根据所述第二加密信息获取所述ONU的序列号信息包括:
所述OLT从所述消息中获得所述ONU的注册标识,并根据所述注册标识从本地获得所述ONU对应的第一加密信息;
所述OLT根据所述第一加密信息对所述加密后的序列号信息进行解密以获取所述ONU的序列号信息。
4.根据权利要求3所述的方法,其特征在于,在所述OLT接收来自ONU的携带有所述ONU的第二加密信息的消息之前,所述方法还包括:
所述ONU向所述OLT发送所述消息,并保存所述加密后的序列号信息。
5.根据权利要求3所述的方法,其特征在于,在所述OLT从所述消息中获得所述ONU的注册标识之前,所述方法还包括:
所述OLT保存所述注册标识与所述加密算法、所述密钥信息之间的对应关系。
6.根据权利要求3所述的方法,其特征在于,所述方法还包括:
所述OLT在获取所述ONU的序列号信息之后保存所述加密后的序列号信息与所述ONU的序列号信息和/或所述第一加密信息的对应关系;或者,
所述OLT在接收来自ONU的携带有所述ONU的第二加密信息的所述消息之前预先保存所述加密后的序列号信息与所述ONU的序列号信息和/或所述第一加密信息的对应关系。
7.根据权利要求2所述的方法,其特征在于,所述第二加密信息包括所述加密后的序列号信息的情况下,所述OLT根据所述第二加密信息获取所述ONU的序列号信息包括:
所述OLT从所述消息中获得所述ONU的加密后的序列号信息,并根据所述加密后的序列号信息从本地获得所述ONU的第一加密信息。
8.根据权利要求7所述的方法,其特征在于,在所述OLT接收来自ONU的携带有所述ONU的第二加密信息的所述消息之前,所述方法还包括:
所述OLT和所述ONU使用相同的算法分别对本地保存的所述加密后的序列号信息进行更新。
9.根据权利要求8所述的方法,其特征在于,在所述OLT和所述ONU使用相同的算法分别对本地保存的所述加密后的序列号信息进行更新之后,所述方法还包括:
所述OLT保存加密后的序列号信息与第一加密信息之间的对应关系。
10.根据权利要求3所述的方法,其特征在于,在所述OLT接收来自ONU的携带有所述第二加密消息的消息之前,所述方法包括:
所述ONU采用所述加密算法对所述第一号密钥种子和所述注册标识进行计算得到密钥,所述ONU根据所述密钥对所述ONU的序列号信息进行加密,并将所述加密后的序列号信息以及所述ONU的注册标识发送给所述OLT。
11.根据权利要求1至10中任一项所述的方法,其特征在于,在所述OLT获取所述ONU的序列号信息之后,所述方法还包括:
所述OLT向所述ONU发送分配标识消息,其中,所述分配标识信息中携带有为所述ONU分配的ONU标识;所述分配标识消息中还携带有所述OLT本地储存的所述ONU的加密后的序列号信息或对所述ONU的序列号信息进行重新加密后产生的重新加密后的序列号信息。
12.根据权利要求11所述的方法,其特征在于,在所述OLT向所述ONU发送所述分配标识消息之后,所述方法还包括:
所述ONU接收并从所述分配标识信息中获取所述加密后的序列号信息或所述重新加密后的序列号信息;
所述ONU根据所述加密后的序列号信息或所述重新加密后的序列号信息判断所述分配标识消息的目的ONU是否为本地,并在判断结果为是的情况下,从所述分配标识消息中获取所述ONU标识。
13.根据权利要求12所述的方法,其特征在于,所述ONU根据所述加密后的序列号信息判断所述分配标识消息的目的ONU是否为本地包括:
所述ONU判断接收到的加密后的序列号信息是否与本地的加密后的序列号信息一致,如果一致,则所述分配标识消息的目的ONU是本地,否则,所述分配标识信息的目的ONU不是本地。
14.根据权利要求11所述的方法,其特征在于,所述OLT对所述ONU的序列号进行重新加密包括:
所述OLT使用所述加密算法对所述第一号密钥种子和第二号密钥种子进行计算产生第一密钥,并根据所述第一密钥对所述ONU的序列号信息进行加密,其中,所述OLT将所述第二号密钥种子和所述分配标识信息一起发送给所述ONU,或者,在所述OLT和所述ONU上预先设置相同的第二号相同的密钥种子,或者,通过OLT与ONU进行协商以产生相同的第二号密钥种子。
15.一种无源光网络的加密/解密系统,包括OLT和一个或多个ONU,其特征在于:
所述OLT用于存储与每个ONU对应的第一加密信息,其中,所述第一加密信息用于对ONU的序列号信息进行加密和/或解密;
所述ONU用于根据所述第一加密信息对所述ONU的序列号信息进行加密,并向所述OLT发送携带有所述ONU的第二加密信息的消息;
所述OLT还用于接收来自ONU的携带有所述ONU的第二加密信息的消息,并根据所述第二加密信息从本地获取所述ONU的序列号信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101668866A CN101998188A (zh) | 2009-08-27 | 2009-08-27 | 无源光网络的加密/解密方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101668866A CN101998188A (zh) | 2009-08-27 | 2009-08-27 | 无源光网络的加密/解密方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101998188A true CN101998188A (zh) | 2011-03-30 |
Family
ID=43787640
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009101668866A Pending CN101998188A (zh) | 2009-08-27 | 2009-08-27 | 无源光网络的加密/解密方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101998188A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102740174A (zh) * | 2012-06-06 | 2012-10-17 | 烽火通信科技股份有限公司 | Gpon系统中管理onu接入的方法 |
CN106534123A (zh) * | 2016-11-17 | 2017-03-22 | 深圳创维数字技术有限公司 | 一种基于eoc网络的数据安全传输方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101087202A (zh) * | 2007-05-22 | 2007-12-12 | 中兴通讯股份有限公司 | 一种gpon系统组播方法及其装置 |
CN101150391A (zh) * | 2006-09-20 | 2008-03-26 | 华为技术有限公司 | 一种防止无源光网络系统中光网络单元被仿冒的方法、系统及设备 |
CN101183934A (zh) * | 2007-10-23 | 2008-05-21 | 中兴通讯股份有限公司 | 无源光网络中密钥更新方法 |
-
2009
- 2009-08-27 CN CN2009101668866A patent/CN101998188A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101150391A (zh) * | 2006-09-20 | 2008-03-26 | 华为技术有限公司 | 一种防止无源光网络系统中光网络单元被仿冒的方法、系统及设备 |
CN101087202A (zh) * | 2007-05-22 | 2007-12-12 | 中兴通讯股份有限公司 | 一种gpon系统组播方法及其装置 |
CN101183934A (zh) * | 2007-10-23 | 2008-05-21 | 中兴通讯股份有限公司 | 无源光网络中密钥更新方法 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102740174A (zh) * | 2012-06-06 | 2012-10-17 | 烽火通信科技股份有限公司 | Gpon系统中管理onu接入的方法 |
CN102740174B (zh) * | 2012-06-06 | 2014-12-03 | 烽火通信科技股份有限公司 | Gpon系统中管理onu接入的方法 |
CN106534123A (zh) * | 2016-11-17 | 2017-03-22 | 深圳创维数字技术有限公司 | 一种基于eoc网络的数据安全传输方法及系统 |
CN106534123B (zh) * | 2016-11-17 | 2019-08-06 | 深圳创维数字技术有限公司 | 一种基于eoc网络的数据安全传输方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7853801B2 (en) | System and method for providing authenticated encryption in GPON network | |
AU2010278478B2 (en) | Optical network terminal management control interface-based passive optical network security enhancement | |
EP2351311B1 (en) | Method for increasing security in a passive optical network | |
CN101662705B (zh) | 以太网无源光网络epon的设备认证方法及系统 | |
CN100596060C (zh) | 一种防止无源光网络系统中光网络单元被仿冒的方法、系统及设备 | |
KR100933167B1 (ko) | 트리 구조 네트워크 상에서의 인증과 프라이버시 보장을위한 전송 방법 | |
CN108259407B (zh) | 一种基于时间戳的对称加密方法及系统 | |
CN101998193B (zh) | 无源光网络的密钥保护方法和系统 | |
CN111080299B (zh) | 一种交易信息的防抵赖方法及客户端、服务器 | |
CN102045601B (zh) | 一种gpon系统中的onu激活方法及系统 | |
EP2439871B1 (en) | Method and device for encrypting multicast service in passive optical network system | |
US20150156014A1 (en) | Method And Apparatus For ONU Authentication | |
CN109039600B (zh) | 一种无源光网络系统中协商加密算法的方法及系统 | |
CN101778311A (zh) | 光网络单元标识的分配方法以及光线路终端 | |
CN102264013B (zh) | 一种基于时间标签的epon加密方法 | |
CN101998188A (zh) | 无源光网络的加密/解密方法及系统 | |
CN101499898A (zh) | 密钥交互方法及装置 | |
WO2014101084A1 (zh) | 一种认证方法、设备和系统 | |
CN101998180B (zh) | 一种支持光线路终端和光网络单元版本兼容的方法及系统 | |
WO2006062345A1 (en) | Method of distributing keys over epon | |
CN102237999B (zh) | 消息处理方法及消息发送装置 | |
CN102036128A (zh) | 吉比特无源光网络中实现信息交互安全的方法及系统 | |
CN103684762A (zh) | 用于增强无源光网络中的传输安全性的方法 | |
RU16964U1 (ru) | Система защиты пакетов данных в процессе их передачи в выделенном защищаемом фрагменте сети передачи данных общего пользования с коммутацией пакетов от несанкционированных воздействий |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110330 |