CN101998193A - 无源光网络的密钥保护方法和系统 - Google Patents
无源光网络的密钥保护方法和系统 Download PDFInfo
- Publication number
- CN101998193A CN101998193A CN2009101896256A CN200910189625A CN101998193A CN 101998193 A CN101998193 A CN 101998193A CN 2009101896256 A CN2009101896256 A CN 2009101896256A CN 200910189625 A CN200910189625 A CN 200910189625A CN 101998193 A CN101998193 A CN 101998193A
- Authority
- CN
- China
- Prior art keywords
- related information
- key
- line terminal
- network unit
- cipher key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供一种无源光网络的密钥保护方法和系统,包括光线路终端和光网络单元,该方法包括:光线路终端/光网络单元给光网络单元/光线路终端发送加密信息时,同时携带密钥相关信息,将加密信息和密钥相关信息一起发送给光网络单元/光线路终端。本发明的方法和系统,通过加密信息之间相互独立,使PON系统更为安全,且无需额外的密钥交换过程和密钥更新机制,加密过程更为高效。
Description
技术领域
本发明涉及通信领域,特别是涉及一种无源光网络的密钥保护方法和系统。
背景技术
吉比特无源光网络(Gigabit-Capable Passive Optical Network,简称为GPON)技术是无源光网络(PON)家族中一个重要的技术分支,和其它PON技术类似,GPON也是一种采用点到多点拓扑结构的无源光接入技术。
GPON由局侧的光线路终端(Optical Line Terminal,简称为OLT)、用户侧的光网络单元(Optical Network Unit,简称为ONU)以及光分配网络(Optical Distributio Network,简称为ODN)组成,通常采用点到多点的网络结构。ODN由单模光纤、光分路器、光连接器等无源光器件组成,为OLT和ONU之间的物理连接提供光传输媒质。
为了实现OLT对ONU的部分管理功能,ITU-T的G.984.3标准定义了物理层操作管理维护(Physicallayer Operations,Administration and Maintenance,简称PLOAM)通道,GPON利用PLOAM通道传输PLOAM消息,实现对传输汇聚层的管理,包括ONU激活,ONU管理控制通道的建立,加密配置,密钥管理等。
GPON系统中,PLOAM消息是以明文的形式发送的。由于下行方向(由OLT到ONU)为天然广播方式,因此各个ONU都将收到所有的PLOAM消息,并且根据ONU-ID来获得属于自己的PLOAM消息,抛弃发送给其他ONU的PLOAM消息。如果网络中存在被重新编程的恶意ONU,恶意ONU就会监听OLT发给其他ONU的PLOAM消息。如果恶意ONU监听某个下行PLOAM消息中携带的合法ONU的序列号,则它可以在合法ONU掉电后,利用合法ONU的序列号完成自身的注册激活过程,导致非法ONU可以接入到PON系统中,且组织合法ONU的再次成功注册。ONU发送的上行方向传输的PLOAM消息和GEM(GPON Encapsulation Method,GPON封装模式)帧数据存在两种被非法监听的威胁:如果GPON中的光分路器使用的是2:N的分光器,如图1所示,不法用户可以通过如图1所示的B端口监听所有ONU发送的PLOAM消息和GEM帧的内容;当光纤弯折时,会有一部分光从光纤中泄漏,不法用户可以通过弯折光纤的方式探测上行信号光,从而监听上行PLOAM消息和GEM帧的内容。由于上述原因的存在,PON系统的安全受到了威胁。
发明内容
本发明旨在提供一种无源光网络的密钥保护方法和系统,通过加密信息之间相互独立,使PON系统更为安全,且加密过程更为高效。
为了实现上述目的,在一方面,提供了一种无源光网络的密钥保护方法,包括光线路终端和光网络单元,光线路终端/光网络单元给光网络单元/光线路终端发送加密信息时,同时携带密钥相关信息,将加密信息和密钥相关信息一起发送给光网络单元/光线路终端。
优选地,光线路终端和光网络单元中发送加密信息和密钥相关信息的发送方利用密钥相关信息产生加密密钥,用加密密钥对发送的信息进行加密;光线路终端和光网络单元中接收加密信息和密钥相关信息的接收方利用密钥相关信息产生解密密钥,用解密密钥对接收的信息进行解密。
优选地,密钥相关信息是存储在光线路终端/光网络单元的信息,或是光线路终端/光网络单元产生的信息,或是作为发送方的光线路终端/光网络单元与作为接收方的光网络单元/光线路终端协商后产生的信息。
优选地,光线路终端和光网络单元均在本地存储一个相同的预共享密钥种子。
优选地,预共享密钥种子采用下述三种方法中的任意一种方法产生:
在光线路终端和光网络单元之间第一次发送信息之前,光线路终端和光网络单元本地已经存储预共享密钥种子;
光线路终端和光网络单元中第一次发送信息的发送方产生预共享密钥种子,并将预共享密钥种子传递给光线路终端和光网络单元中第一次接收信息的接收方;或者
光线路终端和光网络单元中第一次发送信息的发送方与第一次接收信息的接收方协商后产生预共享密钥种子,发送方将预共享密钥种子传递给接收方。
优选地,光线路终端和光网络单元根据密钥相关信息和预共享密钥种子在本地独立计算出加密密钥或者解密密钥。
优选地,需要更新加密密钥时,光线路终端/光网络单元产生一个新的密钥相关信息,利用新的密钥相关信息和本地存储的预共享密钥种子产生新的加密密钥,并利用新的加密密钥对发送的信息进行加密,光线路终端/光网络单元给光网络单元/光线路终端发送加密信息的同时发送新的密钥相关信息;
光网络单元/光线路终端接收到加密信息和新的密钥相关信息后,利用新的密钥相关信息和本地存储的预共享密钥种子产生新的解密密钥,并利用新的解密密钥对接收到的加密信息进行解密。
优选地,密钥相关信息通过下述两种方式之一携带:
在加密信息中新定义一个域,利用该新定义的域传递密钥相关信息;或者
新定义一个与加密信息格式类似的信息,并将该新定义信息的信息类型标识为密钥相关信息,用于传递密钥相关信息。
优选地,在加密信息中新定义一个域来传递密钥相关信息具体包括以下方式:
在上行吉比特无源光网络封装模式GEM帧或下行GEM帧的非载荷域定义一个域用于携带密钥相关信息;
利用下行GEM帧或者上行GEM帧的非载荷域中的一个域携带密钥相关信息;
在GEM帧头中定义一个域,用于携带密钥相关信息;或者
在物理层操作管理维护PLOAM消息中增加字节用于携带密钥相关信息。
优选地,新定义一个与加密信息格式类似的信息,并将该新定义信息的信息类型标识为密钥相关信息,用于传递密钥相关信息具体包括以下方式:
定义一个新类型的GEM帧用于携带密钥相关信息;或者
定义一个新的PLOAM消息用于携带密钥相关信息。
优选地,利用密钥相关信息和预共享密钥种子产生加密密钥/解密密钥的密钥生成算法通过以下任意一种方式得到:
光线路终端和光网络单元在第一次发送信息之前将密钥生成算法存储在本地;
光线路终端和光网络单元在双方建立通信的初期阶段或建立通信后,由其中一方选择一个密钥生成算法并传递给另一方后存储在双方本地;或者
光线路终端和光网络单元在双方建立通信的初期阶段或建立通信后,在双方协商之后选择一个共同支持的密钥生成算法,并存储在双方本地。
优选地,光线路终端/光网络单元给光网络单元/光线路终端发送非加密信息时,同时携带密钥相关信息,且在携带密钥相关信息的区域携带一个预设值,用来表示所发送的消息没有加密。
其中,预设值的取值在光线路终端/光网络单元产生密钥相关信息的取值范围之外。
本发明的另一个方面,提供了一种无源光网络的密钥保护系统,包括光线路终端和光网络单元,其中,
光线路终端/光网络单元给光网络单元/光线路终端发送加密信息时,同时携带密钥相关信息,将加密信息和密钥相关信息一起发送给光网络单元/光线路终端;
光线路终端和光网络单元中发送加密信息和密钥相关信息的发送方利用密钥相关信息产生加密密钥,用加密密钥对发送的信息进行加密;光线路终端和光网络单元中接收加密信息和密钥相关信息的接收方利用密钥相关信息产生解密密钥,用解密密钥对接收的信息进行解密。
优选地,光线路终端/光网络单元给光网络单元/光线路终端发送非加密信息时,同时携带密钥相关信息,且在携带密钥相关信息的区域携带一个预设值,用来表示所发送的消息没有加密。
本发明的方法和系统至少存在以下技术效果:根据密钥信息能够产生相应的密钥,不需要额外的密钥交换过程;只要密钥相关信息变化了,密钥就会随着变化,不要额外的密钥更新机制;每条加密信息都独立携带相应的密钥信息,加密信息之间不会互相影响。以上这些使得加密过程更为高效。
附图说明
图1为GPON系统的拓扑结构图;
图2为本发明以OLT为实施例的方法流程图;
图3为本发明实施例的携带密钥相关信息域的下行GEM帧格式示意图;
图4为本发明实施例的携带密钥相关信息域的上行GEM帧格式示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对具体实施例进行详细描述。
如图2所示,以OLT作为信息发送方为例,本发明的方法包括如下步骤:
S102、OLT利用密钥相关信息产生加密密钥,用加密密钥对要发送的信息进行加密;
S104、OLT给ONU发送加密信息时,同时携带密钥相关信息,将加密信息和密钥相关信息一起发送给ONU;
S106、ONU接收加密信息后,利用密钥相关信息产生解密密钥,用解密密钥对接收的信息进行解密。
同样,ONU给OLT发送信息时,也参照上述方法进行。
下面对本发明在PON系统中的应用作详细描述。
实例一PLOAM消息的加密
本实施例说明利用扩展的PLOAM消息(即利用增加PLOAM消息的字节)传输密钥相关信息的方法和系统。
在本实施例的GPON系统中,OLT和ONU处存储了一个相同的预共享密钥种子,预共享密钥种子也称为用于生成加密密钥(Key)的第一号密钥种子;OLT和ONU处存储了用于计算Key的算法;扩展的PLOAM消息的格式如表1、表2和表3所示。表1中,密钥相关信息,也称为用于生成加密密钥的第二号密钥种子,位于ONU-ID和Message ID之间。表2中,该第二号密钥种子也可以位于Message ID和Data之间。表3中,该第二号密钥种子也可以位于Data和CRC之间。
表1第一种扩展的PLOAM消息格式
| ONU ID |
| 密钥相关信息 |
| Message ID |
| Data |
| CRC |
表2第二种扩展的PLOAM消息格式
| ONU ID |
| Message ID |
| 密钥相关信息 |
| Data |
| CRC |
表3第三种扩展的PLOAM消息格式
| ONU ID |
| Message ID |
| Data |
| 密钥相关信息 |
| CRC |
当OLT(ONU)给ONU(OLT)发送的PLOAM信息需要加密时,OLT(ONU)在本地产生一个密钥相关信息,上述密钥相关信息是用于产生密钥的第二号密钥种子。OLT(ONU)利用本地存储用于生成Key的算法对上述第一号密钥种子和第二号密钥种子进行计算,得到Key,利用上述Key对PLOAM消息进行加密,并把第二号密钥种子以明文的形式放在PLOAM消息中传输给ONU(OLT),第二号密钥种子的位置如表1所示(也可以采用表2和表3的格式)。当OLT(ONU)给ONU(OLT)发送的PLOAM信息不需要加密时,OLT(ONU)在PLOAM消息中放置第二号密钥种子的字节写入全零。
当ONU接收到OLT发送的PLOAM消息后,首先进行CRC校验,如果校验结果错误,ONU丢弃此PLOAM消息,如果校验结果正确,ONU根据PLOAM消息中的ONU ID判断此PLOAM消息是否是发给自己的,如果判断不是发送给自己的,ONU丢弃此PLOAM消息,如果判断是发送给自己的,ONU检查第二号密钥种子的值,如果第二号种子的值为全零,ONU判断收到的PLOAM消息没有加密,并根据PLOAM中的Message ID和Data的内容执行相应的操作。如果第二号种子的值为非零值,ONU判断收到的PLOAM消息已经加密,ONU利用本地存储用于生成Key的算法对上述第一号密钥种子和接收到的第二号密钥种子进行计算,得到Key,利用上述Key对PLOAM消息进行解密,得到PLOAM消息的内容,然后根据PLOAM中的Message ID和Data的内容执行相应的操作。
当OLT接收到ONU发送的PLOAM消息后,首先进行CRC校验,如果校验结果错误,OLT丢弃此PLOAM消息,如果校验结果正确,OLT检查第二号密钥种子的值,如果第二号种子的值为全零,OLT判断收到的PLOAM消息没有加密,并根据PLOAM中的Message ID和Data的内容执行相应的操作。如果第二号种子的值为非零值,OLT判断收到的PLOAM消息已经加密,OLT利用本地存储用于生成Key的算法对上述第一号密钥种子和接收到的第二号密钥种子进行计算,得到Key,利用上述Key对PLOAM消息进行解密,得到PLOAM消息的内容,然后根据PLOAM中的Message ID和Data的内容执行相应的操作。
OLT(ONU)需要更新上述Key时,OLT(ONU)利用上述产生密钥相关信息(即第二号密钥种子)的方法产生一个新的密钥相关信息,然后OLT(ONU)利用上述新的密钥相关信息和本地存储的预共享密钥种子产生新的Key并利用新的Key对发送的PLOAM消息进行加密,OLT(ONU)给ONU(OLT)发送加密PLOAM消息的同时把新的密钥相关信息以明文形式放在如表1所示的密钥相关信息字节进行发送。ONU(OLT)接收到加密PLOAM消息和PLOAM消息中新的密钥相关信息后,ONU(OLT)利用上述新的密钥相关信息和本地存储的预共享密钥种子产生新的密钥,并利用新的密钥对接收到的加密PLOAM消息进行解密。
在本实施例中,OLT(ONU)在本地产生一个密钥相关信息(即第二号密钥种子);OLT(ONU)也可以在本地存储一个密钥相关信息表,在需要对PLOAM消息加密时,从密钥相关信息表中取出一个密钥相关信息;OLT(ONU)也可以和ONU(OLT)协商产生密钥相关信息。
在本实施例中,OLT和ONU都在本地存储一个用于计算密钥的算法;OLT和ONU也可以把自身支持的密钥算法传递给对方;OLT(ONU)也可以和ONU(OLT)协商产生密钥算法。
在本实施例中,OLT和ONU商定密钥相关信息的值为全零值,表示没有对PLOAM消息进行加密,OLT和ONU也可以商定密钥相关信息为其他值表示没有对PLOAM消息进行加密。
在本实施例中,不对第二号种子信息进行加密,第二号种子信息以明文发送,可以对整个PLOAM消息进行加密,也可以对PLOAM消息的部分字节进行加密。
实例二
本实施例说明利用新建的PLOAM消息传输密钥相关信息的方法和系统。
在本实施例的GPON系统中,OLT和ONU处存储了一个相同的预共享密钥种子,预共享密钥种子也称为用于生成加密密钥(Key)的第一号密钥种子;OLT和ONU处存储了相同的用于计算Key的算法;新建用于传输密钥相关信息的PLOAM消息的名称为Ralative_information_Key,格式如表4所示。表中,密钥相关信息,也称为用于生成加密密钥的第二号密钥种子。
表4Ralative_information_Key消息的格式
当OLT(ONU)给ONU(OLT)发送的PLOAM信息需要加密时,OLT(ONU)在本地产生一个密钥相关信息,上述密钥相关信息是用于产生密钥的第二号密钥种子。OLT(ONU)利用本地存储用于生成Key的算法对上述第一号密钥种子和第二号密钥种子进行计算,得到Key,利用上述Key对需要加密的PLOAM消息进行加密,并把第二号密钥种子以明文的形式放在表4所示的Ralative_information_Key消息,OLT(ONU)不对Ralative_information_Key消息进行加密。OLT(ONU)将Ralative_information_Key消息和加密的PLOAM消息一起传输给ONU(OLT)(优选将Ralative_information_Key消息放在前面)。当OLT(ONU)给ONU(OLT)发送的PLOAM信息不需要加密时,OLT(ONU)在给ONU(OLT)发送PLOAM消息时不发送上述Ralative_information_Key消息。
当ONU接收到OLT发送的Ralative_information_Key消息和加密PLOAM消息后,首先进行CRC校验,如果上述两个消息中任何一个CRC校验结果错误,ONU丢弃上述两个PLOAM消息,如果上述消息中两个CRC校验结果正确,ONU根据PLOAM消息中的ONU ID判断此PLOAM消息是否是发给自己的,如果判断不是发送给自己的,ONU丢弃此PLOAMd消息,如果判断是发送给自己的,ONU取出Ralative_information_Key消息中的第二号密钥种子的值,ONU利用本地存储用于生成Key的算法对上述第一号密钥种子和接收到的第二号密钥种子进行计算,得到Key,利用上述Key对加密PLOAM消息进行解密,得到PLOAM消息的内容,然后根据PLOAM中的Message ID和Data的内容执行相应的操作。
如果ONU只接受到一个PLOAM消息,而没有接收到Ralative_information_Key消息,ONU判断收到的PLOAM消息没有加密,并根据PLOAM中的Message ID和Data的内容执行相应的操作。
当OLT接收到ONU发送的Ralative_information_Key消息和加密PLOAM消息后,首先进行CRC校验,如果上述两个消息中任何一个CRC校验结果错误,OLT丢弃上述两个PLOAM消息,如果上述消息中两个CRC校验结果正确,OLT取出Ralative_information_Key消息中的第二号密钥种子的值,OLT利用本地存储用于生成Key的算法对上述第一号密钥种子和上述第二号密钥种子进行计算,得到Key,利用上述Key对加密PLOAM消息进行解密,得到PLOAM消息的内容,然后根据PLOAM中的Message ID和Data的内容执行相应的操作。
如果OLT只接受到一个PLOAM消息,而没有接收到Ralative_information_Key消息,OLT判断收到的PLOAM消息没有加密,并根据PLOAM中的Message ID和Data的内容执行相应的操作。
OLT(ONU)需要更新上述Key时,OLT(ONU)利用上述产生密钥相关信息(即第二号密钥种子)的方法产生一个新的密钥相关信息,然后OLT(ONU)利用上述新的密钥相关信息和本地存储的预共享密钥种子产生新的Key并利用新的Key对发送的PLOAM消息进行加密,OLT(ONU)给ONU(OLT)发送加密PLOAM消息的同时把新的密钥相关信息以明文形式放在Ralative_information_Key消息中进行发送。ONU(OLT)接收到加密PLOAM消息和Ralative_information_Key消息中新的密钥相关信息后,ONU(OLT)利用生成密钥算法对上述新的密钥相关信息和本地存储的预共享密钥种子进行计算,产生新的密钥,并利用新的密钥对接收到的加密PLOAM消息进行解密。
在本实施例中,OLT(ONU)在本地产生一个密钥相关信息(即第二号密钥种子);OLT(ONU)也可以在本地存储一个密钥相关信息表,在需要对PLOAM消息加密时,从密钥相关信息表中取出一个密钥相关信息;OLT(ONU)也可以和ONU(OLT)协商产生密钥相关信息。
在本实施例中,OLT和ONU都在本地存储一个用于计算密钥的算法;OLT和ONU也可以把自身支持的密钥算法传递给对方;OLT(ONU)也可以和ONU(OLT)协商产生密钥算法。
在本实施例中,不对第二号种子信息进行加密,第二号种子信息以明文发送。可以利用Key对整个PLOAM消息进行加密,也可以对PLOAM消息的部分字节进行加密。
实例三
本实施例说明利用扩展GEM帧头的字节(即GEM帧头中增加一个域)传输密钥相关信息的方法和系统。
在本实施例的GPON系统中,OLT和ONU处存储了一个相同的预共享密钥种子,预共享密钥种子也称为用于生成加密密钥(Key)的第一号密钥种子;OLT和ONU处存储了用于计算Key的算法;扩展的GEM帧头的格式如表5所示,GEM帧头由五部分组成,分别为PLI(净荷长度指示)、Port ID(端口标识)、PTI(净荷类型指示)、RIK(密钥相关信息)和HEC(帧头差错控制)。GEM帧头后是Payload(净荷)。GEM帧头中的RIK域用于携带密钥相关信息,上述密钥相关信息也称为用于生成加密密钥的第二号密钥种子。表5中的RIK域位于PTI域与HEC域之间,RIK域也可以位于PLI域与Port ID域之间,RIK域也可以位于Port ID域与PTI域之间。
表5扩展的GEM帧头和帧结构
当OLT(ONU)给ONU(OLT)的某个GEM PORT发送的GEM帧需要加密时,OLT(ONU)在本地产生一个密钥相关信息,上述密钥相关信息是用于产生密钥的第二号密钥种子。OLT(ONU)利用本地存储用于生成Key的算法对上述第一号密钥种子和第二号密钥种子进行计算,得到Key,利用上述Key对GEM帧的净荷进行加密,并把第二号密钥种子放在表5所示的RIK域,OLT(ONU)不对GEM帧头进行加密。OLT(ONU)将扩展后的帧头和加密的GEM净荷一起传输给ONU(OLT)。当OLT(ONU)给ONU(OLT)的某个GEM PORT发送的GEM帧不需要加密时,OLT(ONU)在给ONU(OLT)的某个GEM PORT发送的GEM帧头中的RIK域写入全零。
当ONU接收到OLT发送的GEM帧后,首先进行HEC校验,如果HEC校验结果错误,ONU丢弃上述GEM帧,如果HEC校验结果正确,ONU根据CEM帧头中的PORT ID判断此PLOAM消息是否是发给自己的,如果判断不是发送给自己的,ONU丢弃此CEM帧,如果判断是发送给自己的,ONU取出RIK域中的第二号密钥种子的值,如果ONU接收的GEM帧的RIK域的值为全零,ONU判断收到的GEM帧没有加密。如果ONU接收的GEM帧的RIK域的值为非零值,ONU判断收到的GEM帧已经加密。ONU利用本地存储用于生成Key的算法对上述第一号密钥种子和接收到的第二号密钥种子进行计算,得到Key,利用上述Key对加密GEM帧的净荷进行解密,得到GEM帧的内容。
当OLT接收到ONU发送的GEM帧后,首先进行HEC校验,如果HEC校验结果错误,OLT丢弃上述GEM帧,如果HEC校验结果正确,OLT取出RIK域中的第二号密钥种子的值,如果OLT接收的GEM帧的RIK域的值为全零,OLT判断收到的GEM帧没有加密。如果ONU接收的GEM帧的RIK域的值为非零值,ONU判断收到的GEM帧已经加密。ONU利用本地存储用于生成Key的算法对上述第一号密钥种子和接收到的第二号密钥种子进行计算,得到Key,利用上述Key对加密GEM帧的净荷进行解密,得到GEM帧的内容。
OLT(ONU)需要更新上述Key时,OLT(ONU)利用上述产生密钥相关信息(即第二号密钥种子)的方法产生一个新的密钥相关信息,然后OLT(ONU)利用上述新的密钥相关信息和本地存储的预共享密钥种子产生新的Key并利用新的Key对发送的GEM帧进行加密,并且OLT(ONU)把第二号密钥种子的值写入加密GEM帧的帧头内的RIK域。ONU(OLT)接收到加密GEM帧后,ONU(OLT)利用生成密钥算法对上述新的密钥相关信息和本地存储的预共享密钥种子进行计算,产生新的密钥,并利用新的密钥对接收到的加密PLOAM消息进行解密。
在本实施例中,OLT(ONU)在本地产生一个密钥相关信息(即第二号密钥种子);OLT(ONU)也可以在本地存储一个密钥相关信息表,在需要对GEM帧加密时,从密钥相关信息表中取出一个密钥相关信息;OLT(ONU)也可以和ONU(OLT)协商产生密钥相关信息。
在本实施例中,OLT和ONU都在本地存储一个用于计算密钥的算法;OLT和ONU也可以把自身支持的密钥算法传递给对方;OLT(ONU)也可以和ONU(OLT)协商产生密钥算法。
在本实施例中,OLT和ONU商定密钥相关信息的值为全零值,表示没有对GEM进行加密;OLT和ONU也可以商定密钥相关信息的值为其他值表示没有对GEM进行加密;OLT和ONU也可以根据Port ID判断是否对GEM进行了加密,如果判断GEM帧已被加密,则按照本实例的方法进行解密,如果判断GEM帧未被加密,则忽略密钥相关信息的值。
在本实施例中,不对第二号种子信息进行加密,第二号种子信息以明文发送。
实例四
本实施例说明利用新定义的GEM帧类型(即本发明提出了一种GEM帧类型,用于携带密钥相关信息)传输密钥相关信息的方法和系统。
在本实施例的GPON系统中,OLT和ONU处存储了一个相同的预共享密钥种子,预共享密钥种子也称为用于生成加密密钥(Key)的第一号密钥种子;OLT和ONU处存储了用于计算Key的算法;新定义的GEM帧格式如表6所示,GEM帧头由四部分组成,分别为PLI(净荷长度指示)、Port ID(端口标识)、PTI(净荷类型指示)和HEC。GEM帧头后面是Payload(净荷)。上述的PTI域为3比特,当PTI的值为111时,表明此GEM帧的净荷域携带的是密钥相关信息,上述密钥相关信息也称为用于生成加密密钥的第二号密钥种子。当PTI的值为除111以外的其他值时,表明此GEM帧的净荷域携带的是数据信息。
表6扩展的GEM帧头和帧结构
当OLT(ONU)给ONU(OLT)的某个GEM PORT发送的GEM帧需要加密时,OLT(ONU)在本地产生一个密钥相关信息,上述密钥相关信息是用于产生密钥的第二号密钥种子。OLT(ONU)利用本地存储用于生成Key的算法对上述第一号密钥种子和第二号密钥种子进行计算,得到Key,利用上述Key对GEM帧的净荷进行加密,并把第二号密钥种子放在表6所示的净荷域,把表6的PTI值设为111。OLT(ONU)不对GEM帧头进行加密。OLT(ONU)将加密的GEM帧和表6所示的用于传输第二号密钥种子的GEM帧一起传输给ONU(OLT),表6所示的用于传输第二号密钥种子的GEM帧紧跟在加密的GEM帧后面(或者加密的GEM帧紧跟在图6所示的用于传输第二号密钥种子的GEM帧后面)。当OLT(ONU)给ONU(OLT)的某个GEM PORT发送的GEM帧不需要加密时,OLT(ONU)不发送表6所示的用于传输第二号密钥种子的GEM帧。
当ONU接收到OLT发送的GEM帧后,首先进行HEC校验,如果HEC校验结果错误,ONU丢弃上述GEM帧,如果HEC校验结果正确,ONU根据CEM帧头中的PORT ID判断此GEM帧是否是发给自己的,如果判断不是发送给自己的,ONU丢弃此CEM帧,如果判断是发送给自己的,ONU根据PortID判断此GEM帧是否加密,如果GEM帧没有加密,ONU直接读取GEM净荷内容。如果GEM帧为加密帧,ONU判断下一个(或者前一个)GEM帧的PTI的值是否为111,如果PTI的值不是111,则抛弃当前的加密GEM帧;如果下一个(或者前一个)GEM帧的PTI的值为111,取出下一个(或者前一个)GEM帧净荷域中的第二号密钥种子的值。ONU利用本地存储用于生成Key的算法对上述第一号密钥种子和接收到的第二号密钥种子进行计算,得到Key,利用上述Key对加密GEM帧的净荷进行解密,得到GEM帧的内容。
当OLT接收到ONU发送的GEM帧后,首先进行HEC校验,如果HEC校验结果错误,OLT丢弃上述GEM帧,如果HEC校验结果正确,OLT根据Port ID判断此GEM帧是否加密,如果GEM帧没有加密,OLT直接读取GEM净荷内容。如果GEM帧为加密帧,OLT判断下一个(或者前一个)GEM帧的PTI的值是否为111,如果PTI的值不是111,则抛弃当前的加密GEM帧;如果下一个(或者前一个)GEM帧的PTI的值为111,取出下一个(或者前一个)GEM帧净荷域中的第二号密钥种子的值。OLT利用本地存储用于生成Key的算法对上述第一号密钥种子和接收到的第二号密钥种子进行计算,得到Key,利用上述Key对加密GEM帧的净荷进行解密,得到GEM帧的内容。
OLT(ONU)需要更新上述Key时,OLT(ONU)利用上述产生密钥相关信息(即第二号密钥种子)的方法产生一个新的密钥相关信息,然后OLT(ONU)利用上述新的密钥相关信息和本地存储的预共享密钥种子产生新的Key并利用新的Key对发送的GEM帧进行加密,并且OLT(ONU)把第二号密钥种子的值写入表6所示的PTI值为111的GEM帧的净荷域。ONU(OLT)接收到加密GEM帧后,ONU(OLT)利用生成密钥算法对上述新的密钥相关信息和本地存储的预共享密钥种子进行计算,产生新的密钥,并利用新的密钥对接收到的加密PLOAM消息进行解密。
在本实施例中,OLT(ONU)在本地产生一个密钥相关信息(即第二号密钥种子);OLT(ONU)也可以在本地存储一个密钥相关信息表,在需要对GEM帧加密时,从密钥相关信息表中取出一个密钥相关信息;OLT(ONU)也可以和ONU(OLT)协商产生密钥相关信息。
在本实施例中,OLT和ONU都在本地存储一个用于计算密钥的算法;OLT和ONU也可以把自身支持的密钥算法传递给对方;OLT(ONU)也可以和ONU(OLT)协商产生密钥算法。
本实施例中,当PTI的值为111时,表明此GEM帧的净荷域携带的是密钥相关信息,当PTI的值为除111以外的其他值时,表明此GEM帧的净荷域携带的是数据信息。也可以选择当PTI的值为010、011或者110时,表明此GEM帧的净荷域携带的是密钥相关信息,当PTI的值为除010、011和110以外的其他值时,表明此GEM帧的净荷域携带的是数据信息。
在本实施例中,不对第二号种子信息进行加密,第二号种子信息以明文发送。
实例五
本实施例说明通过在上行GEM帧和下行GEM帧中非载荷域增加一个域携带密钥相关信息的方法和系统。
在本实施例的GPON系统中,OLT和ONU处存储了一个相同的预共享密钥种子,预共享密钥种子也称为用于生成加密密钥(Key)的第一号密钥种子;OLT和ONU处存储了用于计算Key的算法;增加携带密钥相关信息域的下行GEM帧和上行GEM帧的格式分别如图3和图4所示。本发明的下行GEM帧结构如图3所示。下行GEM帧由PCBd和净荷两部分组成,其中,PCBd进一步包括:物理同步(Physical Synchronization,简称为Psync)域、Ident域、密钥相关信息(RIK)、PLOAMd域、比特间插奇偶校验域(Bit Interleaved Parity,简称为BIP)、信息净荷长度域(Payload Length downstream,简称为Plend)和上行带宽映射域(US BWmap)组成。其中RIK域用于携带密钥相关信息,上述密钥相关信息也称为用于生成加密密钥的第二号密钥种子。图3中的RIK域位于Ident域与PLOAM域之间。在其它实施例中,RIK域也可以位于Psync域与Ident域之间,或者位于PLOAMd域与BIP域之间,或者位于BIP域与Plend域之间,或者位于Plend域与US BWmap域之间。
本发明的上行GEM帧结构如图4所示。上行GEM帧由上行物理层开销(Physical Layer Overhead upstream,简称PLOu)、密钥相关信息(RIK)、PLOAMu、上行动态带宽报告(Dynamic Bandwidth Report upstream,简称DBRu)和净荷组成。其中RIK域用于携带密钥相关信息,上述密钥相关信息也称为用于生成加密密钥的第二号密钥种子。图4中的RIK域位于PLO域与PLOAM域之间,在其它实施例中,RIK域也可以位于PLOAM域与DBRu域之间,或者位于DBRu域与Payload域之间。
当OLT(ONU)给ONU(OLT)的发送的某个PLOAM消息和/或OLT(ONU)给ONU(OLT)的GEM PORT发送的GEM帧需要加密时,OLT(ONU)在本地产生一个密钥相关信息,上述密钥相关信息是用于产生密钥的第二号密钥种子。OLT(ONU)利用本地存储用于生成Key的算法对上述第一号密钥种子和第二号密钥种子进行计算,得到Key,利用上述Key对需要加密的PLOAM消息和GEM帧的净荷进行加密,并把第二号密钥种子放在图3(或图4)所示的RIK域,OLT(ONU)不对GEM帧头进行加密。OLT(ONU)将图3所示的下行GEM帧(或图4所示的上行GEM帧)发送给ONU(OLT)。当OLT(ONU)给ONU(OLT)的发送的PLOAM消息和OLT(ONU)给ONU(OLT)的GEM PORT发送的GEM帧都不需要加密时,OLT(ONU)将下行GEM帧(上行GEM帧)中的RIK域写入全零。
当ONU接收到OLT发送的PLOAM消息后,首先进行CRC校验,如果校验结果错误,ONU丢弃此PLOAM消息,如果校验结果正确,ONU根据PLOAM消息中的ONU ID判断此PLOAM消息是否是发给自己的,如果判断不是发送给自己的,ONU丢弃此PLOAM消息,如果判断是发送给自己的,ONU根据PLOAM消息的Message ID判断该PLOAM消息是否加密,如果没有加密,ONU直接读取PLOAM消息的内容,然后根据PLOAM中的MessageID和Data的内容执行相应的操作;如果ONU判断PLOAM消息已经加密,ONU利用本地存储用于生成Key的算法对上述第一号密钥种子和接收到的RIK中的第二号密钥种子进行计算,得到Key,利用上述Key对PLOAM消息进行解密,得到PLOAM消息的内容,然后根据PLOAM中的Message ID和Data的内容执行相应的操作。
当ONU接收到OLT发送的GEM帧后,首先进行HEC校验,如果HEC校验结果错误,ONU丢弃上述GEM帧,如果HEC校验结果正确,ONU根据CEM帧头中的PORT ID判断此PLOAM消息是否是发给自己的,如果判断不是发送给自己的,ONU丢弃此CEM帧,如果判断是发送给自己的,ONU根据PORT ID判断该GEM帧是否加密,如果没有加密,ONU直接读取GEM帧的内容;如果ONU判断该GEM帧已经加密,ONU取出RIK域中的第二号密钥种子的值,ONU利用本地存储用于生成Key的算法对上述第一号密钥种子和接收到的第二号密钥种子进行计算,得到Key,利用上述Key对加密GEM帧的净荷进行解密,得到GEM帧的内容。
当OLT接收到ONU发送的PLOAM消息后,首先进行CRC校验,如果校验结果错误,OLT丢弃此PLOAM消息,如果校验结果正确,OLT根据PLOAM消息的Message ID判断该PLOAM消息是否加密,如果没有加密,OLT直接读取PLOAM消息的内容,然后根据PLOAM中的Message ID和Data的内容执行相应的操作;如果OLT判断PLOAM消息已经加密,OLT利用本地存储用于生成Key的算法对上述第一号密钥种子和接收到的RIK中的第二号密钥种子进行计算,得到Key,利用上述Key对PLOAM消息进行解密,得到PLOAM消息的内容,然后根据PLOAM中的Message ID和Data的内容执行相应的操作。
当OLT接收到ONU发送的GEM帧后,首先进行HEC校验,如果HEC校验结果错误,OLT丢弃上述GEM帧,如果HEC校验结果正确,OLT根据PORT ID判断该GEM帧是否加密,如果没有加密,OLT直接读取GEM帧的内容;如果OLT判断该GEM帧已经加密,OLT取出RIK域中的第二号密钥种子的值,OLT利用本地存储用于生成Key的算法对上述第一号密钥种子和接收到的第二号密钥种子进行计算,得到Key,利用上述Key对加密GEM帧的净荷进行解密,得到GEM帧的内容。
OLT(ONU)需要更新上述Key时,OLT(ONU)利用上述产生密钥相关信息(即第二号密钥种子)的方法产生一个新的密钥相关信息,然后OLT(ONU)利用上述新的密钥相关信息和本地存储的预共享密钥种子产生新的Key,并利用新的Key对需要加密的PLOAM消息和GEM帧进行加密,并且OLT(ONU)把第二号密钥种子的值写入RIK域。ONU(OLT)接收到上述PLOAM消息和GEM帧后,ONU(OLT)利用上述方法判断接收到的PLOAM消息和GEM帧是否加密,并利用上述方法对加密的信息进行解密,此处不再赘述。
在本实施例中,OLT(ONU)在本地产生一个密钥相关信息(即第二号密钥种子);OLT(ONU)也可以在本地存储一个密钥相关信息表,在需要对PLOAM消息和/或GEM帧加密时,从密钥相关信息表中取出一个密钥相关信息;OLT(ONU)也可以和ONU(OLT)协商产生密钥相关信息。
在本实施例中,OLT和ONU都在本地存储一个用于计算密钥的算法;OLT和ONU也可以把自身支持的密钥算法传递给对方;OLT(ONU)也可以和ONU(OLT)协商产生密钥算法。
在本实施例中,OLT和ONU商定密钥相关信息的值为全零值,表示没有对PLOAM消息和GEM帧进行加密;OLT和ONU也可以商定密钥相关信息的值为其他值表示没有对GEM进行加密。
在本实施例中OLT(ONU)通过在下行GEM帧(上行GEM帧)中新建了一个RIK域携带密钥相关信息,OLT(ONU)也可以通过下行GEM帧(上行GEM帧)中的其他域携带密钥相关信息。
在本实施例中,不对第二号种子信息进行加密,第二号种子信息以明文发送。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (15)
1.一种无源光网络的密钥保护方法,包括光线路终端和光网络单元,其特征在于,所述光线路终端/光网络单元给光网络单元/光线路终端发送加密信息时,同时携带密钥相关信息,将所述加密信息和密钥相关信息一起发送给所述光网络单元/光线路终端。
2.根据权利要求1所述的密钥保护方法,其特征在于,
所述光线路终端和光网络单元中发送所述加密信息和密钥相关信息的发送方利用所述密钥相关信息产生加密密钥,用所述加密密钥对发送的信息进行加密;所述光线路终端和光网络单元中接收所述加密信息和密钥相关信息的接收方利用所述密钥相关信息产生解密密钥,用所述解密密钥对接收的信息进行解密。
3.根据权利要求1或2所述的密钥保护方法,其特征在于,
所述密钥相关信息是存储在所述光线路终端/光网络单元的信息,或是所述光线路终端/光网络单元产生的信息,或是作为发送方的所述光线路终端/光网络单元与作为接收方的所述光网络单元/光线路终端协商后产生的信息。
4.根据权利要求1或2所述的密钥保护方法,其特征在于,
所述光线路终端和光网络单元均在本地存储一个相同的预共享密钥种子。
5.根据权利要求4所述的密钥保护方法,其特征在于,
所述预共享密钥种子采用下述三种方法中的任意一种方法产生:
在所述光线路终端和光网络单元之间第一次发送信息之前,所述光线路终端和光网络单元本地已经存储所述预共享密钥种子;
所述光线路终端和光网络单元中第一次发送信息的发送方产生所述预共享密钥种子,并将所述预共享密钥种子传递给所述光线路终端和光网络单元中第一次接收信息的接收方;或者
所述光线路终端和光网络单元中第一次发送信息的发送方与第一次接收信息的接收方协商后产生所述预共享密钥种子,所述发送方将所述预共享密钥种子传递给所述接收方。
6.根据权利要求4所述的密钥保护方法,其特征在于,
所述光线路终端和光网络单元根据所述密钥相关信息和所述预共享密钥种子在本地独立计算出所述加密密钥或者所述解密密钥。
7.根据权利要求6所述的密钥保护方法,其特征在于,
需要更新所述加密密钥时,所述光线路终端/光网络单元产生一个新的密钥相关信息,利用所述新的密钥相关信息和本地存储的所述预共享密钥种子产生新的加密密钥,并利用所述新的加密密钥对发送的信息进行加密,所述光线路终端/光网络单元给所述光网络单元/光线路终端发送所述加密信息的同时发送所述新的密钥相关信息;
所述光网络单元/光线路终端接收到所述加密信息和新的密钥相关信息后,利用所述新的密钥相关信息和本地存储的所述预共享密钥种子产生新的解密密钥,并利用所述新的解密密钥对接收到的所述加密信息进行解密。
8.根据权利要求1或2所述的密钥保护方法,其特征在于,所述密钥相关信息通过下述两种方式之一携带:
在所述加密信息中新定义一个域,利用该新定义的域传递所述密钥相关信息;或者
新定义一个与所述加密信息格式类似的信息,并将该新定义信息的信息类型标识为密钥相关信息,用于传递所述密钥相关信息。
9.根据权利要求8所述的密钥保护方法,其特征在于,在所述加密信息中新定义一个域来传递所述密钥相关信息具体包括以下方式:
在上行吉比特无源光网络封装模式GEM帧或下行GEM帧的非载荷域定义一个域用于携带所述密钥相关信息;
利用下行GEM帧或者上行GEM帧的非载荷域中的一个域携带所述密钥相关信息;
在GEM帧头中定义一个域,用于携带所述密钥相关信息;或者
在物理层操作管理维护PLOAM消息中增加字节用于携带所述密钥相关信息。
10.根据权利要求8所述的密钥保护方法,其特征在于,新定义一个与所述加密信息格式类似的信息,并将该新定义信息的信息类型标识为密钥相关信息,用于传递所述密钥相关信息具体包括以下方式:
定义一个新类型的GEM帧用于携带所述密钥相关信息;或者
定义一个新的PLOAM消息用于携带所述密钥相关信息。
11.根据权利要求6所述的密钥保护方法,其特征在于,利用所述密钥相关信息和预共享密钥种子产生所述加密密钥/解密密钥的密钥生成算法通过以下任意一种方式得到:
所述光线路终端和光网络单元在第一次发送信息之前将所述密钥生成算法存储在本地;
所述光线路终端和光网络单元在双方建立通信的初期阶段或建立通信后,由其中一方选择一个密钥生成算法并传递给另一方后存储在双方本地;或者
所述光线路终端和光网络单元在双方建立通信的初期阶段或建立通信后,在双方协商之后选择一个共同支持的密钥生成算法,并存储在双方本地。
12.根据权利要求1或2所述的密钥保护方法,其特征在于,还包括,
所述光线路终端/光网络单元给光网络单元/光线路终端发送非加密信息时,同时携带所述密钥相关信息,且在携带所述密钥相关信息的区域携带一个预设值,用来表示所发送的消息没有加密。
13.根据权利要求12所述的密钥保护方法,其特征在于,
所述预设值的取值在所述光线路终端/光网络单元产生所述密钥相关信息的取值范围之外。
14.一种无源光网络的密钥保护系统,包括光线路终端和光网络单元,其特征在于,
所述光线路终端/光网络单元给光网络单元/光线路终端发送加密信息时,同时携带密钥相关信息,将所述加密信息和密钥相关信息一起发送给所述光网络单元/光线路终端;
所述光线路终端和光网络单元中发送所述加密信息和密钥相关信息的发送方利用所述密钥相关信息产生加密密钥,用所述加密密钥对发送的信息进行加密;所述光线路终端和光网络单元中接收所述加密信息和密钥相关信息的接收方利用所述密钥相关信息产生解密密钥,用所述解密密钥对接收的信息进行解密。
15.根据权利要求14所述的密钥保护系统,其特征在于,所述光线路终端/光网络单元给光网络单元/光线路终端发送非加密信息时,同时携带所述密钥相关信息,且在携带所述密钥相关信息的区域携带一个预设值,用来表示所发送的消息没有加密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910189625.6A CN101998193B (zh) | 2009-08-25 | 2009-08-25 | 无源光网络的密钥保护方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910189625.6A CN101998193B (zh) | 2009-08-25 | 2009-08-25 | 无源光网络的密钥保护方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101998193A true CN101998193A (zh) | 2011-03-30 |
| CN101998193B CN101998193B (zh) | 2015-10-21 |
Family
ID=43787641
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910189625.6A Active CN101998193B (zh) | 2009-08-25 | 2009-08-25 | 无源光网络的密钥保护方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101998193B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103166758A (zh) * | 2011-12-19 | 2013-06-19 | 中兴通讯股份有限公司 | Gpon上行aes加密的密钥更新方法及系统 |
| CN103684762A (zh) * | 2012-09-06 | 2014-03-26 | 上海贝尔股份有限公司 | 用于增强无源光网络中的传输安全性的方法 |
| CN103780398A (zh) * | 2014-03-04 | 2014-05-07 | 上海交通大学 | Ofdm-pon中基于onu端时变秘钥的物理层加密/解密方法 |
| CN104393989A (zh) * | 2014-10-30 | 2015-03-04 | 北京神州泰岳软件股份有限公司 | 一种密钥协商方法及装置 |
| CN104410052A (zh) * | 2014-09-29 | 2015-03-11 | 国家电网公司 | 基于pon网络通信的电流差动保护系统及其保护方法 |
| WO2017088565A1 (zh) * | 2015-11-26 | 2017-06-01 | 深圳市中兴微电子技术有限公司 | 一种加密解密方法、加密解密装置及数据传输系统 |
| CN111064571A (zh) * | 2020-01-09 | 2020-04-24 | 青岛海信移动通信技术股份有限公司 | 一种通信终端、服务器及动态更新预共享密钥的方法 |
| CN113810121A (zh) * | 2021-09-02 | 2021-12-17 | 中国科学院国家授时中心 | 一种基于加密通信的光纤时间同步方法及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100364332C (zh) * | 2004-09-01 | 2008-01-23 | 华为技术有限公司 | 一种保护宽带视音频广播内容的方法 |
| CN101183934A (zh) * | 2007-10-23 | 2008-05-21 | 中兴通讯股份有限公司 | 无源光网络中密钥更新方法 |
-
2009
- 2009-08-25 CN CN200910189625.6A patent/CN101998193B/zh active Active
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103166758A (zh) * | 2011-12-19 | 2013-06-19 | 中兴通讯股份有限公司 | Gpon上行aes加密的密钥更新方法及系统 |
| CN103684762A (zh) * | 2012-09-06 | 2014-03-26 | 上海贝尔股份有限公司 | 用于增强无源光网络中的传输安全性的方法 |
| CN103780398A (zh) * | 2014-03-04 | 2014-05-07 | 上海交通大学 | Ofdm-pon中基于onu端时变秘钥的物理层加密/解密方法 |
| CN103780398B (zh) * | 2014-03-04 | 2016-10-05 | 上海交通大学 | Ofdm-pon中基于onu端时变密钥的物理层加密/解密方法 |
| CN104410052A (zh) * | 2014-09-29 | 2015-03-11 | 国家电网公司 | 基于pon网络通信的电流差动保护系统及其保护方法 |
| CN104393989A (zh) * | 2014-10-30 | 2015-03-04 | 北京神州泰岳软件股份有限公司 | 一种密钥协商方法及装置 |
| WO2017088565A1 (zh) * | 2015-11-26 | 2017-06-01 | 深圳市中兴微电子技术有限公司 | 一种加密解密方法、加密解密装置及数据传输系统 |
| CN106803783A (zh) * | 2015-11-26 | 2017-06-06 | 深圳市中兴微电子技术有限公司 | 一种加密解密方法、加密解密装置及数据传输系统 |
| CN111064571A (zh) * | 2020-01-09 | 2020-04-24 | 青岛海信移动通信技术股份有限公司 | 一种通信终端、服务器及动态更新预共享密钥的方法 |
| CN113810121A (zh) * | 2021-09-02 | 2021-12-17 | 中国科学院国家授时中心 | 一种基于加密通信的光纤时间同步方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101998193B (zh) | 2015-10-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101998193B (zh) | 无源光网络的密钥保护方法和系统 | |
| US9838363B2 (en) | Authentication and initial key exchange in ethernet passive optical network over coaxial network | |
| AU2010278478B2 (en) | Optical network terminal management control interface-based passive optical network security enhancement | |
| CN101102152B (zh) | 无源光网络中保证数据安全的方法 | |
| WO2007135858A1 (ja) | 光通信システム、局側装置および加入者側装置 | |
| CN101183934A (zh) | 无源光网络中密钥更新方法 | |
| CN103023579A (zh) | 在无源光网络上实施量子密钥分发的方法及无源光网络 | |
| CN101197663A (zh) | 一种吉比特无源光网络加密业务的保护方法 | |
| CN101247220B (zh) | 一种无源光网络系统密钥交换的方法 | |
| CN203251308U (zh) | 无源光网络 | |
| CN102239661A (zh) | 交换密钥的方法及设备 | |
| CN102149027B (zh) | 通路切换方法、系统及下行数据发送方法 | |
| CN101499898A (zh) | 密钥交互方法及装置 | |
| CN102264013B (zh) | 一种基于时间标签的epon加密方法 | |
| CN102035642B (zh) | 一种分组密码计数器运行模式中计数器的选择和同步方法 | |
| CN111885436A (zh) | 一种基于epon技术的配电网自动化通信系统 | |
| CN101998180B (zh) | 一种支持光线路终端和光网络单元版本兼容的方法及系统 | |
| CN103765918A (zh) | 支持增强特征的无源光网络中的透明开销 | |
| CN102148682B (zh) | 一种对发光异常光网络单元正确定位的方法及系统 | |
| CN101388765B (zh) | 一种吉比特无源光纤网络系统的加密模式切换方法 | |
| CN103166758A (zh) | Gpon上行aes加密的密钥更新方法及系统 | |
| CN102739305A (zh) | 无源光网络系统中异常onu的定位方法、系统及装置 | |
| CN102237999B (zh) | 消息处理方法及消息发送装置 | |
| CN101998188A (zh) | 无源光网络的加密/解密方法及系统 | |
| CN102036128A (zh) | 吉比特无源光网络中实现信息交互安全的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |