CN102035642B - 一种分组密码计数器运行模式中计数器的选择和同步方法 - Google Patents
一种分组密码计数器运行模式中计数器的选择和同步方法 Download PDFInfo
- Publication number
- CN102035642B CN102035642B CN 201010597644 CN201010597644A CN102035642B CN 102035642 B CN102035642 B CN 102035642B CN 201010597644 CN201010597644 CN 201010597644 CN 201010597644 A CN201010597644 A CN 201010597644A CN 102035642 B CN102035642 B CN 102035642B
- Authority
- CN
- China
- Prior art keywords
- counter
- llid
- mpcp
- information
- transmit leg
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明涉及一种分组密码计数器运行模式中计数器的选择和同步方法,该方法包括以下步骤:1)发送方选择需要保护的EPON信息;2)发送方选择合适的计数器并使用分组密码计数器运行模式加密步骤1)中所选择的需要保护的EPON信息;3)发送方同步选择的计数器并将步骤2)加密的被保护的信息发送给接收方;4)接收方收到来自步骤3)的加密的被保护的信息后,同步发送方加密选择的计数器,解密被保护的信息。本发明提供了一种安全有效的适合在EPON系统中使用分组密码计数器运行模式的计数器的选择和同步方法。
Description
技术领域
本发明属网络安全领域,涉及一种分组密码计数器运行模式中计数器的选择和同步方法,尤其涉及一种适合在EPON系统中使用分组密码计数器运行模式的计数器的选择和同步方法。
背景技术
EPON(Ethernet Passive Optical Network,以太无源光网络)是一种新型的光纤接入网技术,由OLT(Optical Line Terminal,光线路终端)、ONU(OpticalNetwork Unit,光网络单元)和POS(Passive Optical Splitter,无源光分路器)组成,它采用点到多点拓扑结构、无源光纤传输,在以太网之上提供多种业务,其中点到多点拓扑结构利用MPCP(Muti-Point Control Protocol,多点控制协议)协议来控制,该协议主要包括LLID(Logical link identifier,逻辑链路标识)、状态机、源地址、目的地址、同步EPON系统时间的MPCP时钟等信息。它在物理层采用了PON(Passive Optical Network,无源光网络)技术,在链路层使用以太网Ethernet协议,利用PON的拓扑结构实现了以太网的接入。因此,它综合了PON技术和以太网技术的优点:低成本、高带宽、扩展性强、灵活快速的服务重、与现有以太网的兼容性和方便的管理等。EPON系统下行方向OLT采用广播方式向ONU传输数据,ONU根据广播中的LLID来获取属于自己的数据,恶意ONU很容易截获系统中其它ONU的信息,为提高数据的保密性,许多运营商都在EPON系统中利用分组密码(Block Cipher)机制对OLT和ONU之间传输的数据提供了加密功能。分组密码机制包括两部分:第一,分组密码算法的选择,例如美国的AES(Advanced Encryption Standard)和中国的SMS4(Shang Mi Suanfa 4)分组密码算法;第二,算法运行模式的选择,例如ECB(Electronic Code Book,电子密码本)、CBC(Cipher Block Chaining,密码分组链接)、CFB(Cipher Feedback,密码反馈)、OFB(Output Feedback,输出反馈)和CTR(Counter,计数器)等模式。其中,选择使用的分组密码算法的CTR计数器运行模式如图1所示,它的特点是:当进行加密计算时,首先使用计数器作为输入分组,利用分组密码算法加密,然后将加密输出分组和需要加密的明文进行异或计算产生相应的密文,每一组所使用的计数器都不相同;当进行解密计算时,首先使用计数器作为输入分组,利用分组密码算法加密,然后将加密输出分组和需要解密的密文进行异或计算产生相应的明文,每一组数据所使用的计数器相同。
当利用分组密码计数器运行模式进行数据加密处理时,如果每次作为输入分组的计数器相同的话,则通过分组密码算法加密输出的结果都是相同的,这样大大降低了计数器运行模式的安全性。因此,分组密码计数器运行模式中计数器的选择至关重要。
当利用分组密码计数器运行模式进行数据解密处理时,解密每一组数据所使用的计数器需要和加密时使用的相同。因此,分组密码计数器运行模式中加解密双方对计数器使用的同步也至关重要。
发明内容
为了解决背景技术中存在的上述技术问题,本发明提供了一种安全有效的的适合在EPON系统中使用分组密码计数器运行模式的计数器的选择和同步方法。
本发明的技术解决方案是:本发明提供了一种分组密码计数器运行模式中计数器的选择和同步方法,其特殊之处在于:所述方法包括以下步骤:
1)发送方选择需要保护的EPON信息;
2)发送方选择合适的计数器并使用分组密码计数器运行模式加密步骤1)中所选择的需要保护的EPON信息;
3)发送方同步选择的计数器并将步骤2)加密的被保护的信息发送给接收方;
4)接收方收到来自步骤3)的加密的被保护的信息后,同步发送方加密选择的计数器,解密被保护的信息。
上述步骤1)中发送方所选择的需要保护的EPON信息包括目的地址DA字段、源地址SA字段、类型/长度Type/Len字段、数据Data字段、填充Pad字段以及校验FCS字段,所述需要保护的EPON信息不包括前导码Preamble。
上述步骤2)中发送方所选择合适的计数器包括:常数、MPCP时钟以及组计数器;
其中:
常数:发送方与接收方所使用的固定值,根据具体应用环境,所述常数包括MAC地址以及逻辑链路标识LLID;其中逻辑链路标识LLID取值与MPCP协议中包含的逻辑链路标识LLID数值相同;MAC地址与LLID对应,是发送方与LLID对应的MAC实体地址;
MPCP时钟:长度32比特,取值与MPCP协议中包含的MPCP时钟数值相同;其中,MPCP时钟的最低6比特会在网络传输过程中在发送方和接收方产生偏差,造成发送方和接收方加解密所使用的计数器无法同步,不相同;
组计数器:需要保护的EPON信息以分组密码的分组长度为单位,每增加一组数据,组计数器值增加1,初始值设为1或非1的其他数值。
上述步骤3)的具体实现方式是:发送方在前导码Preamble原有格式中新增加安全SEC字段;
其中:
安全SEC字段:长度为8比特,安全SEC字段用于传输发送方使用的MPCP时钟的最低6比特位,MPCP时钟的最低6比特位用于接收方同步发送方加密选择的计数器,解密被保护的信息。
上述步骤3)中所述安全SEC字段表示发送方是否启动加密保护EPON信息的机制。
上述步骤3)中发送方不启动加密保护EPON信息机制时,所述安全SEC字段值为0x55。
上述步骤3)中发送方启动加密保护EPON信息的机制,同步选择的计数器并将加密的被保护的信息发送给接收方时,所述安全SEC字段包括MPCP最低有效位、标识以及密钥索引,其中:
MPCP最低有效位:长度是6比特,是发送方的MPCP时钟的最低有效位;
标识:长度是1比特,取值为1表示加密;取值为0表示未加密;
密钥索引:长度是1比特,表示安全SEC字段所使用的密钥标识。
上述步骤4)的具体实现方式是:接收方收到发送方发送的被保护的信息之后,使用分组密码计数器运行模式解密被保护的EPON信息;所述同步计数器包括常数、MPCP时钟以及组计数器;
其中:
常数:发送方与接收方所使用的固定值,根据具体应用环境,包括MAC地址以及逻辑链路标识LLID,其中逻辑链路标识LLID取值与MPCP协议中包含的逻辑链路标识LLID数值相同;MAC地址与LLID对应,是发送方与LLID对应的MAC实体地址;
MPCP时钟:长度32比特,取值与MPCP协议中包含的MPCP时钟数值相同;
组计数器:需要保护的EPON信息以分组密码的分组长度为单位,每增加一组数据,组计数器值增加1,初始值为与发送方设置的组计数器的初始值相同;
其中,MPCP时钟的最低6比特会在网络传输过程中在发送方和接收方产生偏差,接收方使用前导码Preamble中安全SEC字段所传输的发送方使用的6比特的MPCP最低有效位代替MPCP协议中包含的MPCP时钟的最低6比特值。
本发明的优点是:
本发明提供了一种适合在EPON系统中使用分组密码计数器运行模式的计数器的选择和同步方法,实现了发送方加密时使用的计数器的新鲜性,又实现了接收方解密时所使用的计数器和发送方加密时使用的相同,大大提高了EPON系统使用分组密码计数器运行模式的安全性和有效性。
附图说明
图1是公知的分组密码算法的CTR计数器运行模式示意图。
图2是本发明所提出的需要保护的EPON信息。
图3是本发明所提出的计数器的组成。
图4是本发明所提出的安全SEC字段的组成。
图5是本发明所提出的安全SEC字段的字段值。
具体实施方式
本发明提供了一种分组密码计数器运行模式中计数器的选择和同步方法,OLT和ONU之间传输的数据时,主动发送加密数据的一方为发送方,对接收到的加密数据进行解密处理的一方为接收方,该方法包括以下步骤:
1)发送方选择需要保护的EPON信息;参见图2,发送方需要保护的EPON信息包括数据帧的目的地址DA字段、源地址SA字段、类型/长度Type/Len字段、数据Data字段、填充Pad字段以及校验FCS字段,不包含前导码Preamble。
2)发送方选择合适的计数器,使用分组密码计数器运行模式加密步骤1)中选择的需要保护的EPON信息;参见图3,选择的计数器由三部分组成:常数、MPCP时钟和组计数器,其中:
常数:发送方与接收方所使用的固定值,根据具体应用环境,可包括MAC地址和逻辑链路标识LLID等,其中逻辑链路标识LLID取值与技术背景中所述的MPCP协议中包含的逻辑链路标识LLID数值相同;MAC地址与LLID对应,是发送方与LLID对应的MAC实体地址;
MPCP时钟:长度32比特,取值与技术背景中所述的MPCP协议中包含的MPCP时钟数值相同。其中,MPCP时钟的最低6比特会在网络传输过程中在发送方和接收方产生偏差,造成发送方和接收方加解密所使用的计数器无法同步,不相同;
组计数器:需要保护的EPON信息以分组密码的分组长度为单位,每增加一组数据,组计数器值增加1,初始值可设为1或其他数值。
3)发送方同步选择的计数器,发送步骤2)加密的被保护的信息给接收方;发送方同步选择的计数器时在前导码Preamble原有格式中新增加安全SEC字段,长度为8比特,此字段用来传输发送方使用的MPCP时钟的最低6比特位,MPCP时钟的最低6比特位用于接收方同步发送方加密选择的计数器,解密被保护的信息。参见4,其中安全SEC字段的定义如下:
安全SEC:长度为8比特,如果发送方不启动加密保护EPON信息的机制,则此字段值为0x55;如果发送方启动加密保护EPON信息的机制,则安全SEC字段值定义如图5所示,包括MPCP最低有效位、标识以及密钥索引,其中:
MPCP最低有效位:长度是6比特,是发送方的MPCP时钟的最低有效位;
标识:长度是1比特,取值为1表示加密;取值为0表示未加密;
密钥索引:长度是1比特,表示安全SEC字段所使用的密钥标识。
4)接收方收到来自步骤3)的加密的被保护的信息后,同步发送方加密选择的计数器,解密被保护的信息。接收方收到发送方发送的被保护的信息之后,使用分组密码计数器运行模式解密被保护的EPON信息,同步计数器的方法和步骤2)中发送方的实现方式相同,由三部分组成:常数、MPCP时钟和组计数器。如图3所示,其中:
常数:发送方与接收方所使用的固定值,根据具体应用环境,可包括MAC地址和逻辑链路标识LLID等,其中逻辑链路标识LLID取值与技术背景中所述的MPCP协议中包含的逻辑链路标识LLID数值相同;MAC地址与LLID对应,是发送方与LLID对应的MAC实体地址;
MPCP时钟:长度32比特,取值与技术背景中所述的MPCP协议中包含的MPCP时钟数值相同;
组计数器:需要保护的EPON信息以分组密码的分组长度为单位,每增加一组数据,组计数器值增加1,初始值与发送方设置的组计数器的初始值相同。
其中,MPCP时钟的最低6比特会在网络传输过程中在发送方和接收方产生偏差,接收方使用前导码Preamble中安全SEC字段所传输的OLT使用的6比特的MPCP最低有效位代替MPCP协议中包含的MPCP时钟的最低6比特值。
接收方根据上述方式同步计数器后,使用分组密码计数器运行模式解密被保护的EPON信息。
Claims (5)
1.一种分组密码计数器运行模式中计数器的选择和同步方法,其特征在于:所述方法包括以下步骤:
1)发送方选择需要保护的EPON信息;
2)发送方选择计数器并使用分组密码计数器运行模式加密步骤1)中所选择的需要保护的EPON信息;所述发送方选择的计数器包括:常数、MPCP时钟以及组计数器;
其中:
常数:发送方与接收方所使用的固定值,所述常数包括MAC地址以及逻辑链路标识LLID;其中逻辑链路标识LLID取值与MPCP协议中包含的逻辑链路标识LLID数值相同;MAC地址与LLID对应,是发送方与LLID对应的MAC实体地址;
MPCP时钟:长度32比特,取值与MPCP协议中包含的MPCP时钟数值相同;
组计数器:需要保护的EPON信息以分组密码的分组长度为单位,每增加一组数据,组计数器值增加1,初始值设为1或非1的其他数值;
3)发送方同步其所选择的计数器并将步骤2)加密的被保护的信息及前导码Preamble发送给接收方;发送方在前导码Preamble原有格式中新增加安全SEC字段;其中,安全SEC字段用于传输发送方使用的MPCP时钟的最低6比特位,MPCP时钟的最低6比特位用于接收方同步发送方加密选择的计数器,解密被保护的信息;
4)接收方收到来自步骤3)的加密的被保护的信息后,同步发送方加密选择的计数器,使用分组密码计数器运行模式解密被保护的EPON信息;接收方同步选择的计数器包括常数、MPCP时钟以及组计数器;
其中:
常数:发送方与接收方所使用的固定值,包括MAC地址以及逻辑链路标识LLID,其中逻辑链路标识LLID取值与MPCP协议中包含的逻辑链路标识LLID数值相同;MAC地址与LLID对应,是发送方与LLID对应的MAC实体地址;
MPCP时钟:长度32比特,取值与MPCP协议中包含的MPCP时钟数值相同;
组计数器:需要保护的EPON信息以分组密码的分组长度为单位,每增加一组数据,组计数器值增加1,初始值为与发送方设置的组计数器的初始值相同;
其中,接收方使用接收到的前导码Preamble中安全SEC字段所传输的发送方使用的6比特的MPCP最低有效位代替MPCP协议中包含的MPCP时钟的最低6比特值。
2.根据权利要求1所述的分组密码计数器运行模式中计数器的选择和同步方法,其特征在于:所述步骤1)中发送方所选择的需要保护的EPON信息包括目的地址DA字段、源地址SA字段、类型/长度Type/Len字段、数据Data字段、填充Pad字段以及校验FCS字段,所述需要保护的EPON信息不包括前导码Preamble。
3.根据权利要求1所述的分组密码计数器运行模式中计数器的选择和同步方法,其特征在于:所述步骤3)中所述安全SEC字段表示发送方是否启动加密保护EPON信息的机制。
4.根据权利要求3所述的分组密码计数器运行模式中计数器的选择和同步方法,其特征在于:所述步骤3)中发送方不启动加密保护EPON信息机制时,所述安全SEC字段值为0x55。
5.根据权利要求3所述的分组密码计数器运行模式中计数器的选择和同步方法,其特征在于:所述步骤3)中发送方启动加密保护EPON信息的机制,同步选择的计数器并将加密的被保护的信息发送给接收方时,所述安全SEC字段包括MPCP最低有效位、标识以及密钥索引,其中:
MPCP最低有效位:长度是6比特,是发送方的MPCP时钟的最低有效位;
标识:长度是1比特,取值为1表示加密;取值为0表示未加密;
密钥索引:长度是1比特,表示安全SEC字段所使用的密钥标识。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010597644 CN102035642B (zh) | 2010-12-20 | 2010-12-20 | 一种分组密码计数器运行模式中计数器的选择和同步方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010597644 CN102035642B (zh) | 2010-12-20 | 2010-12-20 | 一种分组密码计数器运行模式中计数器的选择和同步方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102035642A CN102035642A (zh) | 2011-04-27 |
| CN102035642B true CN102035642B (zh) | 2013-02-13 |
Family
ID=43888020
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010597644 Active CN102035642B (zh) | 2010-12-20 | 2010-12-20 | 一种分组密码计数器运行模式中计数器的选择和同步方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102035642B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2882117B1 (en) | 2012-07-31 | 2017-07-05 | Kuang-Chi Intelligent Photonic Technology Ltd. | Visible light encryption method, decryption method, communication device and communication system |
| CN103516773A (zh) * | 2012-12-26 | 2014-01-15 | 深圳市友讯达科技发展有限公司 | 一种同步数据传输方法、设备及系统 |
| CN105049204A (zh) * | 2015-07-30 | 2015-11-11 | 苏州中科启慧软件技术有限公司 | 基于ctr模式和分组密码vh的轻量级流密码技术vhc |
| CN109286460B (zh) * | 2017-07-21 | 2021-06-08 | 北京智云芯科技有限公司 | 一种基于无线通信的时间同步方法和系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1823356A (zh) * | 2003-07-14 | 2006-08-23 | 索尼株式会社 | 加密/解密设备和方法 |
| CN101114903A (zh) * | 2007-03-05 | 2008-01-30 | 中兴通讯股份有限公司 | 一种吉比特无源光网络系统中高级加密标准加密装置及其实现方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080044012A1 (en) * | 2006-08-15 | 2008-02-21 | Nokia Corporation | Reducing Security Protocol Overhead In Low Data Rate Applications Over A Wireless Link |
-
2010
- 2010-12-20 CN CN 201010597644 patent/CN102035642B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1823356A (zh) * | 2003-07-14 | 2006-08-23 | 索尼株式会社 | 加密/解密设备和方法 |
| CN101114903A (zh) * | 2007-03-05 | 2008-01-30 | 中兴通讯股份有限公司 | 一种吉比特无源光网络系统中高级加密标准加密装置及其实现方法 |
Non-Patent Citations (2)
| Title |
|---|
| 付子义等.EPON中块加密方案的研究.《光通信技术》.2010,(第3期), * |
| 周宇等.10GEPON下行传输加密方案的研究.《光通信技术》.2009,(第11期), * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102035642A (zh) | 2011-04-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102037663B (zh) | 用于无源光网络中数据保密的方法和装置 | |
| EP2697931B1 (en) | Qkd key management system | |
| CN1323507C (zh) | 分组加密算法中对短分组的处理方法 | |
| CN101102152B (zh) | 无源光网络中保证数据安全的方法 | |
| CN102447698B (zh) | 一种网络通信信息加密传输方法 | |
| CN101478548B (zh) | 数据传输的加密和完整性校验方法 | |
| CN103684794A (zh) | 一种基于des、rsa、sha-1加密算法的通信数据加解密方法 | |
| KR20120048625A (ko) | 광 네트워크 단말 관리 제어 인터페이스에 기초한 수동 광 네트워크 보안성 강화 | |
| CN102035642B (zh) | 一种分组密码计数器运行模式中计数器的选择和同步方法 | |
| CN101998193B (zh) | 无源光网络的密钥保护方法和系统 | |
| CN104980228A (zh) | 一种光信号传输方法和装置 | |
| CN104486756A (zh) | 一种密笺短信的加解密方法及系统 | |
| CN107659405B (zh) | 一种变电站主子站间数据通信的加密解密方法 | |
| CN102932137B (zh) | 基于光纤波分复用系统中信号全光加解密的密钥分配方法 | |
| CN102264013B (zh) | 一种基于时间标签的epon加密方法 | |
| CN104158788A (zh) | 一种端到端传输数据的方法 | |
| CN101902664A (zh) | 一种提高无源光网络加解密速度的方法和系统 | |
| CN100459492C (zh) | 一种适用于同步数字系列的加密方法 | |
| KR20030088643A (ko) | 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법 | |
| CN104579645A (zh) | 基于aes加密系统的密钥更新方法 | |
| CN101330513A (zh) | 一种实用的分组密码运行模式中初始向量iv的同步方法 | |
| CN101388806B (zh) | 密钥一致性检测方法和装置 | |
| JP2004260556A (ja) | 局側装置、加入者側装置、通信システムおよび暗号鍵通知方法 | |
| CN107659396B (zh) | 一种动态加密方法 | |
| JP2003198532A (ja) | 親局及び子局及び暗号化システム及び暗号化方法及び暗号化プログラム及び復号方法及び復号プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |