CN102036128A - 吉比特无源光网络中实现信息交互安全的方法及系统 - Google Patents
吉比特无源光网络中实现信息交互安全的方法及系统 Download PDFInfo
- Publication number
- CN102036128A CN102036128A CN2009101763860A CN200910176386A CN102036128A CN 102036128 A CN102036128 A CN 102036128A CN 2009101763860 A CN2009101763860 A CN 2009101763860A CN 200910176386 A CN200910176386 A CN 200910176386A CN 102036128 A CN102036128 A CN 102036128A
- Authority
- CN
- China
- Prior art keywords
- onu
- olt
- esn
- sequence number
- number information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q11/00—Selecting arrangements for multiplex systems
- H04Q11/0001—Selecting arrangements for multiplex systems using optical switching
- H04Q11/0062—Network aspects
- H04Q11/0067—Provisions for optical access or distribution networks, e.g. Gigabit Ethernet Passive Optical Network (GE-PON), ATM-based Passive Optical Network (A-PON), PON-Ring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q11/00—Selecting arrangements for multiplex systems
- H04Q11/0001—Selecting arrangements for multiplex systems using optical switching
- H04Q11/0062—Network aspects
- H04Q2011/0079—Operation or maintenance aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q2213/00—Indexing scheme relating to selecting arrangements in general and for multiplex systems
- H04Q2213/1301—Optical transmission, optical switches
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种吉比特无源光网络中实现信息交互安全的方法,该方法包括:光线路终端(OLT)与光网络单元(ONU)之间需交互ONU的序列号信息时,在OLT与ONU之间传输ONU的加密后的序列号信息(ESN)。本发明还公开了一种吉比特无源光网络中实现信息交互安全的系统,该系统中,传输单元用于OLT与ONU之间需交互ONU的序列号信息时,在OLT与ONU之间传输ESN。采用本发明的方法及系统,避免了OLT与ONU之间交互的信息,特别是在注册激活场景下交互的信息被非法监听到,从而提高了信息交互的传输安全。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种吉比特无源光网络(GPON,Gigabit-Capable Passive Optical Network)中光线路终端(OLT,Optical Line Terminal)与光网络单元(ONU,Optical Network Unit)之间实现信息交互安全的方法及系统。
背景技术
GPON技术是无源光网络(PON)家族中一个重要的技术分支,和其它PON技术类似,GPON也是一种采用点到多点拓扑结构的无源光接入技术。GPON由局侧的OLT、用户侧的ONU以及光分配网络(ODN,Optical Distributio Network)组成,通常采用点到多点的网络结构。ODN由单模光纤、光分路器、光连接器等无源光器件组成,为OLT和ONU之间的物理连接提供光传输媒质。
出于对OLT与ONU之间信息交互安全的考虑,ONU接入OLT前,OLT需要对ONU的合法性进行认证。举例来说,OLT支持基于ONU的序列号(SN,Serial Number)对ONU的合法性进行验证的方法,拒绝非法ONU的接入。下面阐述相关技术中ONU的注册流程,主要包括以下几个步骤:
步骤101、ONU侦听OLT发送的下行GPON传输汇聚(GTC,GPON Transmission Convergence)帧并获取帧同步。
步骤102、ONU侦听并获取OLT周期性发送的上行开销参数(Upstream_overhead parameters)消息中的参数配置;或者,ONU侦听并获取OLT周期性发送的Upstream_overhead parameters消息和扩展突发长度(Extended_Burst_Length)消息中的参数配置。
步骤103、未注册激活的ONU侦听OLT发送的序列号请求消息(SN_Request);收到SN_Request后,ONU向OLT发送序列号响应消息(Serial_Number_ONU),该消息中携带有ONU的序列号。
步骤104、OLT收到某个ONU发送的Serial_Number_ONU并获得相应的序列号后,向该ONU发送分配ONU标识消息(Assign_ONU-ID),为该ONU分配ONU-ID值,ONU进入测距过程。
步骤105、OLT向该ONU发送测距请求消息(Ranging_Request),开始对该ONU进行测距。
步骤106、该ONU收到Ranging_Request后,仍然向OLT响应Serial_Number_ONU。
步骤107、OLT收到该ONU发送的Serial_Number_ONU后,计算测距结果即均衡延迟(EqD,Equalization Delay),并将测距结果EqD通过测距时间消息(Ranging_Time)发送给该ONU,完成ONU的注册激活过程。
步骤108、如果OLT不认识ONU的序列号,则通过密码请求消息(Password_Requst)向ONU请求注册标识(RegID,Registration ID),ONU将自身的RegID通过密码消息(Password message)发送给OLT,如果OLT判断ONU的RegID是合法的,则ONU完成注册激活过程。
在上述ONU的注册激活过程中,ONU给OLT发送自身的序列号信息和OLT给ONU分配ONU-ID值时,都是通过物理层操作管理维护(PLOAM,Physical layer Operations,Administration and Maintenance)通道传递的,而现有GPON系统中,PLOAM消息是以明文的形式发送的。
针对下行方向而言,由于下行方向,即由OLT到ONU的方向为天然广播方式,因此,各个ONU都将收到所有的PLOAM消息,并且根据ONU-ID来获得属于自己的PLOAM消息,抛弃发送给其他ONU的PLOAM消息。如果网络中存在被重新编程的恶意ONU,恶意ONU就会监听OLT发给其他ONU的PLOAM消息。针对上行方向而言,上行方向传输的PLOAM消息存在两种被非法监听的威胁。第一种:如果GPON中的光分路器使用的是2:N的分光器,如图1所示,不法用户可以通过如图1所示的B端口监听所有ONU的上行PLOAM消息;第二种:不法用户也可以通过比如弯折光纤的方式探测上行信号光,从而监听上行PLOAM消息。如果恶意ONU监听到某一个合法ONU的序列号,则它可以在合法ONU掉电后,利用合法ONU的序列号完成自身的注册激活过程,导致非法ONU可以接入到PON系统中。
综上所述,正是由于上述原因的存在,现有GPON系统中上、下行的PLOAM消息都是以明文传输,因此上、下行方向都存在被非法监听的可能,对GPON系统中信息交互的传输安全造成了威胁。目前特别是针对ONU注册激活的场景,现有技术中尚未提供避免非法监听并能提高信息交互传输安全的解决方案。
发明内容
有鉴于此,本发明的主要目的在于提供一种GPON中实现信息交互安全的方法及系统,避免了OLT与ONU之间交互的信息,特别是在注册激活场景下交互的信息被非法监听到,从而提高了信息交互的传输安全。
为达到上述目的,本发明的技术方案是这样实现的:
一种吉比特无源光网络中实现信息交互安全的方法,该方法包括:光线路终端(OLT)与光网络单元(ONU)之间需交互ONU的序列号信息时,在OLT与ONU之间传输ONU的加密后的序列号信息(ESN)。
其中,在OLT侧对ONU的序列号信息加密时,OLT进一步采用与ONU约定的方式,对每个ONU序列号信息中所包含的各个字节分别加密并获得ESN。
其中,在ONU侧对ONU的序列号信息加密时,ONU进一步采用与OLT约定的方式,对每个ONU序列号信息中所包含的各个字节分别加密并获得ESN。
其中,该方法进一步包括:在OLT侧解密ESN,其具体过程包括:
当OLT侧存储的验证ONU身份的合法信息为ONU的序列号信息时,OLT根据存储的每个ONU的ESN与ONU的序列号信息的对应关系,获得与所述ESN相对应的ONU的序列号信息;
或者,当OLT侧存储的验证ONU身份的合法信息为ONU的非序列号信息时,OLT向ONU请求并从ONU获取ONU的非序列号信息;根据存储的每个ONU的非序列号信息与解密ESN的算法和/或密钥之间的对应关系得到解密ESN的密钥,OLT根据所述解密ESN的密钥对ESN解密后获得与所述ESN相对应的ONU的序列号信息;
或者,当OLT侧存储的验证ONU身份的合法信息包括ONU的序列号信息和ONU的非序列号信息时,如果OLT从ONU接收的ESN属于自身存储的ESN与ONU的序列号信息的对应关系,则采用所述合法信息为ONU的序列号信息时的解密过程解密;如果OLT从ONU接收的ESN不属于自身存储的ESN与ONU的序列号信息的对应关系,则采用所述合法信息为ONU的非序列号信息时的解密过程解密。
其中,该方法进一步包括:在ONU侧判断OLT发送的包含ESN的消息是否为发送给当前ONU自身的消息,其具体过程包括:
当前ONU将接收到的ESN与当前ONU自身存储的ESN比较,如果相同,则判断OLT发送的包含ESN的消息是发送给自己的,并接受所述消息,否则,丢弃所述消息。
其中,在OLT侧,所述OLT每次与ONU之间传输包含ESN的消息之前,进一步根据需要对加密序列号信息的密钥进行更新,并采用与ONU约定的方式,再次对每个ONU序列号信息中所包含的各个字节分别加密,获得更新后的ESN。
其中,在ONU侧,所述ONU每次与OLT之间传输包含ESN的消息之前,进一步根据需要对加密序列号信息的密钥进行更新,并采用与OLT约定的方式,再次对每个ONU序列号信息中所包含的各个字节分别加密,获得更新后的ESN。
其中,在ESN更新的情况下,在ONU侧判断OLT发送的包含ESN的消息是否为发送给当前ONU自身的消息,其具体过程包括:
当前ONU更新自身的ESN,并将接收到的ESN与更新的ESN比较,如果相同,则判断OLT发送的包含ESN的消息是发送给自己的,并接受所述消息,否则,丢弃所述消息。
一种吉比特无源光网络中实现信息交互安全的系统,该系统包括:传输单元,用于OLT与ONU之间需交互ONU的序列号信息时,在OLT与ONU之间传输ONU的加密后的序列号信息(ESN)。
其中,该系统还包括OLT侧的加密单元,用于在OLT侧对ONU的序列号信息加密时,OLT采用与ONU约定的方式,对每个ONU序列号信息中所包含的各个字节分别加密并获得ESN。
其中,该系统还包括:ONU侧的加密单元,用于在ONU侧对ONU的序列号信息加密时,ONU采用与OLT约定的方式,对每个ONU序列号信息中所包含的各个字节分别加密并获得ESN。
其中,该系统还包括:OLT侧的解密单元,用于当OLT侧存储的验证ONU身份的合法信息为ONU的序列号信息时,OLT根据存储的每个ONU的ESN与ONU的序列号信息的对应关系,获得与所述ESN相对应的ONU的序列号信息;
或者,OLT侧的解密单元,用于当OLT侧存储的验证ONU身份的合法信息为ONU的非序列号信息时,OLT向ONU请求并从ONU获取ONU的非序列号信息;根据存储的每个ONU的非序列号信息与解密ESN的算法和/或密钥之间的对应关系得到解密ESN的密钥,OLT根据所述解密ESN的密钥对ESN解密后获得与所述ESN相对应的ONU的序列号信息;
或者,OLT侧的解密单元,用于当OLT侧存储的验证ONU身份的合法信息包括ONU的序列号信息和ONU的非序列号信息时,如果OLT从ONU接收的ESN属于自身存储的ESN与ONU的序列号信息的对应关系,则采用所述合法信息为ONU的序列号信息时的解密过程解密;如果OLT从ONU接收的ESN不属于自身存储的ESN与ONU的序列号信息的对应关系,则采用所述合法信息为ONU的非序列号信息时的解密过程解密。
其中,该系统还包括:ONU侧的比较单元,用于当前ONU将接收到的ESN与当前ONU自身存储的ESN比较,如果相同,则判断OLT发送的包含ESN的消息是发送给自己的,并接受所述消息,否则,丢弃所述消息。
其中,该系统还包括:OLT侧的更新单元,用于在OLT每次与ONU之间传输包含ESN的消息之前,进一步根据需要对加密序列号信息的密钥进行更新,并采用与ONU约定的方式,再次对每个ONU序列号信息中所包含的各个字节分别加密,获得更新后的ESN。
其中,该系统还包括:ONU侧的更新单元,用于在ONU每次与OLT之间传输包含ESN的消息之前,进一步根据需要对加密序列号信息的密钥进行更新,并采用与OLT约定的方式,再次对每个ONU序列号信息中所包含的各个字节分别加密,获得更新后的ESN。
本发明的OLT与ONU之间需交互ONU的序列号信息时,在OLT与ONU之间传输ONU的加密后的序列号信息(ESN)。
由于本发明在OLT与ONU之间传输ONU的加密后的序列号信息,区别于现有技术传输ONU的不加密的序列号信息,因此,采用本发明,避免了OLT与ONU之间交互的信息,特别是在注册激活场景下交互的信息被非法监听到,从而提高了信息交互的传输安全。
附图说明
图1为现有GPON系统的拓扑结构图;
图2为本发明方法实施例一的实现流程示意图。
具体实施方式
本发明的基本思想是:OLT与ONU之间需交互ONU的序列号信息时,在OLT与ONU之间传输ONU的ESN。
下面结合附图对技术方案的实施作进一步的详细描述。
一种GPON中实现信息交互安全的方法,该方法包括:OLT与ONU之间需交互ONU的序列号信息时,在OLT与ONU之间传输ESN,尤其适用于ONU注册激活过程中传输ONU的序列号信息的场景。
这里,在OLT侧对序列号信息加密时,OLT进一步采用与ONU约定的方式,对每个ONU序列号信息中所包含的各个字节分别加密并获得ESN。
这里,在ONU侧对序列号信息加密时,ONU进一步采用与OLT约定的方式,对每个ONU序列号信息中所包含的各个字节分别加密并获得ESN。
需要指出的是:以上涉及到的约定的方式是:OLT与ONU之间事先约定好相同的加密/解密方式,也就是说,OLT侧与ONU侧采用相同的加密/解密方式,对上行帧或下行帧中需包含序列号信息的消息进行加密/解密,在实际传输消息时,用ESN代替序列号信息,也就是说实际传输的是包含ESN的消息。
这里,该方法进一步包括:在OLT侧解密ESN的过程。该过程基于不同的情况包括以下三方面内容。
一:OLT侧存储的验证ONU身份的合法信息为:ONU的序列号信息的情况。
此时,OLT根据存储的每个ONU的ESN与序列号信息的对应关系,获得与所述ESN相对应的序列号信息。这样,采用查ESN与序列号信息对应关系的方式,获得与ESN相对应的序列号信息就相当于对ESN解密了。
二:OLT侧存储的验证ONU身份的合法信息为:ONU的非序列号信息的情况。
此时,OLT向ONU请求并从ONU获取ONU的非序列号信息;根据存储的每个ONU的非序列号信息与解密ESN的算法和/或密钥之间的对应关系得到解密ESN的密钥,OLT对ESN解密后获得与所述ESN相对应的序列号信息。
三:当OLT侧存储的验证ONU身份的合法信息包括:ONU的序列号信息和ONU的非序列号信息的情况。
此时,需要根据接收的ESN的不同情况,分别选择上述第一方面或第二方面内容涉及的处理过程。
具体来说,如果OLT从ONU接收的ESN属于自身存储的ESN与序列号信息的对应关系,则采用上述第一方面的合法信息为ONU的序列号信息时的解密过程解密;如果OLT从ONU接收的ESN不属于自身存储的ESN与序列号信息的对应关系,则采用上述第二方面的合法信息为ONU的非序列号信息时的解密过程解密。
这里,该方法进一步包括:在ONU侧判断OLT发送的包含ESN的消息是否为发送给当前ONU自身的消息。其具体过程包括:当前ONU将接收到的ESN与当前ONU自身存储的ESN比较,如果相同,则判断OLT发送的包含ESN的消息是发送给自己的,并接受该包含ESN的消息继续后续处理,否则,丢弃该包含ESN的消息,不予处理。
这里需要指出的是:ESN是可以更新的,以下对OLT和ONU侧的ESN更新分别阐述。
在OLT侧,OLT每次与ONU之间传输包含ESN的消息之前,进一步根据需要对加密序列号信息的密钥进行更新,并采用与ONU事先约定的方式,再次对每个ONU序列号信息中所包含的各个字节分别加密,获得更新后的ESN。
在ONU侧,ONU每次与OLT之间传输包含ESN的消息之前,进一步根据需要对加密序列号信息的密钥进行更新,并采用与OLT事先约定的方式,再次对每个ONU序列号信息中所包含的各个字节分别加密,获得更新后的ESN。
其中,在ESN更新的情况下,在ONU侧判断OLT发送的包含ESN的消息是否为发送给当前ONU自身的消息,其具体过程包括:当前ONU更新自身的ESN,并将接收到的ESN与更新的ESN比较,如果相同,则判断OLT发送的包含ESN的消息是发送给自己的,并接受该包含ESN的消息继续后续处理,否则,丢弃该包含ESN的消息,不予处理。
综上所述,本发明主要包括以下内容:
1)当OLT处存储的用于验证ONU身份的合法信息为:ONU的序列号信息时,OLT按照与ONU事先约定的算法对本地存储的合法ONU的SN进行加密,并得到ESN。OLT还需存储各个ONU的ESN与序列号信息之间的对应关系列表,以便于根据该对应关系,通过ESN查找到合法的序列号信息。这里,OLT可以根据需要选择对上述ESN的值进行更新,并更新各个ONU的ESN与序列号信息之间的对应关系列表。
当OLT处存储的用于验证ONU身份的合法信息为:ONU的非序列号信息时,OLT还需存储各个ONU的非序列号信息与解密ONU序列号信息的算法和/或密钥之间的对应关系,以便于OLT得到解密ESN的密钥对ESN解密并获得合法的序列号信息。
2)ONU按照约定的算法对序列号信息进行加密后得到ESN,并存储ESN,进一步地,ONU可以根据需要对上述ESN的值进行更新。
3)OLT和ONU交互的信息中含有ONU的SN时,发送方需要通过发送ESN来代替对应的序列号信息的发送。
4)在OLT侧,OLT接收到ONU发送的ESN后,可以采用下述两种方式之一进行解密:
4.1)如果接收到的ESN属于自身存储的ESN与序列号信息的对应关系列表,OLT可以根据ESN与序列号信息的对应关系列表,获得该ONU的序列号信息。
4.2)如果接收到的ESN不属于自身存储的ESN与序列号信息的对应关系列表,OLT可以在获得ONU提供的非序列号信息后,再根据自身存储的ONU的非序列号信息与解密该ONU序列号信息的算法和/或密钥之间的对应关系得到解密该ESN的密钥,再利用该密钥对该ESN进行解密,获得该ONU的序列号信息。
5)在ONU侧,ONU接收到上述第3)步内容中OLT发送的ESN后,ONU采用下面两种方式、或两种方式之一判断OLT发送的包含ESN的消息是否是发送给自己的:
5.1)ONU通过将接收到的ESN与自身存储的ESN进行比较,如果相同,则判断OLT发送的包含ESN的消息是发送给自己的。
5.2)ONU更新自身的ESN,并将接收到的ESN与更新的ESN进行比较,如果相同,则判断OLT发送的包含ESN的消息是发送给自己的。
综上所述,本发明对注册激活过程中传输的序列号信息进行加密,防止合法ONU的序列号信息被盗用。在ONU的序列号信息加密的情况下,OLT识别ONU的身份,并根据ONU的身份解密获得ONU的序列号信息,解决了GPON系统中上行帧和下行帧中的ONU序列号信息的加密和解密问题,从而降低了序列号信息被盗用的危险,进而达到了提高GPON系统中信息传输安全性的效果。
以下对本发明进行举例阐述。
如图2所示为本发明方法实施例一的处理流程,包括以下步骤:
步骤201、在OLT侧对序列号信息加密,获得ESN。
步骤202、在ONU侧对序列号信息加密,获得ESN。
步骤203、在OLT与ONU之间传输ESN。
步骤204、在OLT侧对收到的包含ESN的消息中的ESN进行解密。
步骤205、在ONU侧对收到的包含ESN的消息进行判断,以识别是否为OLT发送给ONU自身的消息。
这里需要指出的是,在其它实施例中,以上步骤在次序上可作调整、可并行处理或省略其中步骤。具体的实现方案参见下面的实例。这里,OLT侧存储的信息不同,对应的具体实现也有所不同,以下分别阐述。另,需要指出的是:在不冲突的情况下,以下本发明中的实例及实例中的特征可以相互组合。
实例一:OLT处存储了所有ONU的序列号信息。
在本发明的GPON系统中,OLT处存储了所有合法ONU的序列号信息;OLT和ONU处存储了相同的用于计算加密密钥(Key)的算法;OLT和ONU处存储了一个预共享密钥种子,预共享密钥种子也称为用于生成Key的第一号密钥种子;OLT处存储各个第一号密钥种子和各个ONU的序列号信息之间的对应关系。ONU的注册激活过程包括以下内容:
1)ONU侦听OLT发送的下行GTC帧并获取帧同步。
2)ONU侦听OLT周期性发送的Upstream_Overhead、或者侦听Upstream_Overhead和Extended_Burst_Length消息,并获取消息中的参数配置。
3)OLT发送SN_Request,同时OLT将携带上述SN_Request的下行帧中超帧计数器中的超帧号作为第二号密钥种子,OLT利用生成密钥算法对上述对应各个ONU的第一号密钥种子和上述第二号密钥种子进行计算,得到对应各个ONU的Key。
由于每个ONU序列号信息是8个字节,因此在对序列号信息中的各个字节分别加密时,OLT利用生成密钥的算法分别对Key和C1、C2...C8进行计算,分别得到Key1、Key2...Key8,然后OLT利用上述Key1对相应ONU的序列号信息的第一个字节进行加密,利用上述Key2对相应ONU的序列号信息的第二个字节进行加密,...,利用上述Key8对相应ONU的序列号信息的第八个字节进行加密,以这种分段加密的方式对每个ONU的序列号信息所包含的8个字节分别加密后,得到各个ONU的ESN1,OLT存储了ESN1、对应的ONU的序列号信息和对应的第一号密钥种子的对应关系。
其中,C1、C2...C8为8个常数,C1、C2...C8的值可以预存在OLT和ONU中;或者,C1、C2...C8的值也可以由OLT或ONU产生并传递给对方;或者,C1、C2...C8的值也可以由OLT和ONU协商产生。本文涉及到的有关C1、C2...C8的描述皆为这里的含义,以下不做赘述。
4)ONU侦听OLT发送的SN_Request,收到SN_Request后,将发送SN_Request的下行帧中超帧计数器中的超帧号作为第二号密钥种子,ONU利用生成密钥的算法对第一号密钥种子和上述第二号密钥种子进行计算得到Key,然后ONU利用生成密钥的算法对Key和C1进行计算,得到Key1。ONU利用生成密钥的算法对Key和C2进行计算,得到Key2...ONU利用生成密钥的算法对Key和C8进行计算,得到Key8。然后ONU利用上述Key1对自身的序列号信息的第一个字节进行加密,利用上述Key2对自身序列号信息的第二个字节进行加密...利用上述Key8对自身的序列号信息的第八个字节进行加密,得到ESN1。ONU将ESN1放入到Serial_Number_ONU消息中的第三到第十字节发送给OLT。
5)OLT收到ONU发送的上述Serial_Number_ONU消息后,如果Serial_Number_ONU消息中的ESN1属于OLT存储的ESN1列表,OLT通过ESN1与某个ONU的序列号信息的对应关系,可以得到ONU的序列号信息。
OLT将发送Assign_ONU-ID消息的下行帧中超帧计数器中的超帧号作为第二号密钥种子,OLT按照上述第3)步内容中生成Key1、Key2...Key8的方法生成对应该ONU的新的Key1、Key2...Key8,并利用所述新的Key1、Key2...Key8对该ONU序列号信息的各个字节分别加密,得到对应该ONU的ESN2,并存储上述ESN2、对应ONU的序列号信息和对应的第一号密钥种子的对应关系,OLT向该ONU发送Assign_ONU-ID消息,Assign_ONU-ID消息中的第四到第十一字节为上述ESN2,OLT通过Assign_ONU-ID消息向该ONU分配ONU-ID。
6)ONU接收到包含ESN2的Assign_ONU-ID消息后,将发送Assign_ONU-ID消息的下行帧中超帧计数器中的超帧号作为第二号密钥种子,ONU按照上述第4)步内容中生成Key1、Key2...Key8的方法生成新的Key1、Key2...Key8,并利用所述新的Key1、Key2...Key8对自身序列号信息的各个字节分别加密,得到ESN2,如果ESN2与上述Assign_ONU-ID消息中的ESN2值相同,则ONU存储Assign_ONU-ID消息中OLT分配给自身的ONU-ID值,否则ONU丢弃接收到的Assign_ONU-ID消息。
7)OLT将发送Ranging_Request的下行帧中超帧计数器中的超帧号作为第二号密钥种子,按照上述第3)步内容的方法再次计算对应该ONU的一个ESN3,并存储上述ESN3与ONU的序列号信息的关系,同时,OLT向该ONU发送Ranging_Request。
8)ONU接收到上述Ranging_Request后,将发送Ranging_Request的下行帧中超帧计数器中的超帧号作为第二号密钥种子,按照上述第4)步内容的方法再次计算一个ESN3,并将ESN3放入到Serial_Number_ONU消息中发送给OLT。
9)OLT接收到ONU发送的Serial_Number_ONU后,如果Serial_Number_ONU中的ESN3信息属于OLT本地存储的ESN3列表,OLT计算测距结果EqD,并将EqD通过Ranging_Time消息发送给该ONU,完成ONU注册激活过程。
上述1)~9)的内容中,OLT和ONU在传输包含ONU序列号信息的消息时,OLT和ONU对ONU序列号信息进行了加密,在第3)和第4)的内容中,OLT和ONU得到了加密后的ONU的序列号的值ESN1,在第5)、6)、7)和8)的内容中,双方采用了相同的算法更新加密的ONU序列号的值,比如,在第5)和第6)的内容中,OLT和ONU得到了加密后的ONU的序列号的值ESN2,即:将之前的ESN1更新为ESN2;在第7)和第8)的内容中,OLT和ONU得到了加密后的ONU的序列号的值ESN3,即:将之前的ESN2继续更新为ESN3。
需要指出的是:OLT和ONU也可以在第5)、6)、7)和8)的内容中不更新加密的ONU序列号的值,仍然始终采用ESN1,如果不更新,则在第5)、6)、7)和8)的内容中,当OLT和ONU传输的消息中包含加密后的序列号信息时,OLT和ONU可以始终采用ESN1,即:采用上述ESN1的值代替ESN2和ESN3的值。
实例二:OLT处未存储任何ONU的序列号信息,OLT处存储了ONU的RegID的信息。
本实例提出了一种GPON系统中ONU的注册激活方法。在ONU的注册激活过程中,OLT和ONU之间交互的序列号信息是加密的,并且OLT支持对ONU的密码(Password)进行认证。这里进行的认证,具体采用RegID来认证。
在本发明的GPON系统中,OLT和ONU处存储了相同的用于计算Key的算法;OLT和ONU处存储了一个预共享密钥种子,预共享密钥种子也称为用于生成Key的第一号密钥种子;OLT和部分ONU处存储了一个用于标识ONU身份的RegID,OLT存储了RegID和对应的第一号密钥种子的对应关系。ONU的注册激活过程包括以下内容:
1)ONU侦听OLT发送的下行GTC帧并获取帧同步。
2)ONU侦听OLT周期性发送的Upstream_Overhead、或者侦听Upstream_Overhead和Extended_Burst_Length消息,并获取消息中的参数配置。
3)OLT发送SN_Request,同时OLT存储携带SN_Request的下行帧中超帧计数器中的超帧号。
4)ONU侦听OLT发送的SN_Request,收到SN_Request后,将携带SN_Request的下行帧中超帧计数器中的超帧号作为第二号密钥种子,ONU利用生成Key的算法对第一号密钥种子和上述第二号密钥种子进行计算得到Key,然后ONU利用生成密钥的算法对Key和C1进行计算,得到Key1;ONU利用生成密钥的算法对Key和C2进行计算,得到Key2...ONU利用生成密钥的算法对Key和C8进行计算,得到Key8,然后ONU利用上述Key1对自身的序列号信息的第一个字节进行加密,利用上述Key2对自身序列号信息的第二个字节进行加密...利用上述Key8对自身的序列号信息的第八个字节进行加密,得到ESN1,ONU存储了ESN1。ONU将ESN1放入到Serial_Number_ONU消息中的第三到第十字节发送给OLT。
5)OLT收到ONU发送的上述Serial_Number_ONU消息后,OLT存储该ESN1,并向该ONU发送Assign_ONU-ID消息,Assign_ONU-ID消息中的SN为上述ESN1,OLT通过Assign_ONU-ID消息向该ONU分配ONU-ID。
6)ONU接收到包含ESN1的Assign_ONU-ID消息后,如果Assign_ONU-ID消息中的ESN1与上述第4)步内容中ONU存储的ESN1值相同,则ONU存储Assign_ONU-ID消息中OLT分配给自身的ONU-ID值,否则,ONU丢弃Assign_ONU-ID消息。
7)OLT向该ONU发送Ranging_Request。
8)ONU接收到Ranging_Request后,将上述第4)步内容中ONU存储的ESN1值放入到Serial_Number_ONU中发送给OLT,OLT接收到Serial_Number_ONU后,如果Serial_Number_ONU中的ESN1值等于第5)步内容中OLT接收并存储的ESN1值,则OLT计算测距结果EqD,并将EqD通过Ranging_Time消息发送给该ONU。
9)OLT向该ONU发送Password_Request。
10)ONU接收到Password_Request后,ONU将自身的RegID放入到Password消息中发送给OLT。
11)OLT接收到上述Password消息后,如果ONU的RegID属于OLT的RegID列表,则OLT可以得到该ONU的第一号密钥种子,OLT将第3)步内容中存储的超帧号作为第二号密钥种子,并利用生成密钥算法对上述第一号密钥种子和第二号密钥种子进行计算,得到Key,并利用实例一的方法得到相应的Key1、Key2...Key8。然后OLT利用上述Key1、Key2...Key8分别对该ONU的ESN1的各个字节解密,得到该ONU的序列号信息,ONU存储该序列号信息为合法ONU的序列号信息,并存储该ONU的第一号密钥种子和该ONU的序列号之间的对应关系,ONU完成注册激活过程。
由于此时,OLT已经存储了ONU的序列号信息,因此,如果ONU掉电重启后,OLT和ONU采用实例一的方法完成ONU的注册激活过程。
如果ONU的RegID不属于OLT的RegID列表,则OLT给该ONU发送去激活ONU-ID的消息(Deactivate ONU-ID),该ONU的ONU-ID失效,该ONU注册激活过程失败。
实例三:OLT处存储了部分ONU的序列号信息,和部分ONU的RegID的信息。
本实例提出了一种GPON系统中ONU的注册激活方法。在ONU的注册激活过程中,OLT和ONU之间交互的序列号信息是加密的,并且OLT支持对ONU的Password进行认证。
在本发明的GPON系统中,OLT和ONU处存储了相同的用于计算Key的算法;OLT和ONU处存储了一个预共享密钥种子,预共享密钥种子也称为用于生成Key的第一号密钥种子;OLT处存储各个第一号密钥种子和各个ONU的序列号之间的对应关系;OLT和部分ONU处存储了用于标识ONU身份的RegID,OLT存储了RegID和对应的第一号密钥种子的对应关系。ONU的注册激活过程包括以下内容:
1)ONU侦听OLT发送的下行GTC帧并获取帧同步。
2)ONU侦听OLT周期性发送的Upstream Overhead、或者侦听Upstream_Overhead和Extended_Burst_Length消息,并获取消息中的参数配置。
3)OLT发送SN_Request,同时OLT将携带上述SN_Request的下行帧中超帧计数器中的超帧号作为第二号密钥种子,OLT存储上述第二号密钥种子,OLT利用生成密钥算法对上述对应各个ONU的第一号密钥种子和上述第二号密钥种子进行计算,得到对应各个ONU的Key。OLT利用生成密钥的算法对Key和C1进行计算,得到Key1;OLT利用生成密钥的算法对Key和C2进行计算,得到Key2,...OLT利用生成密钥的算法对Key和C8进行计算,得到Key8,然后OLT利用上述Key1对相应ONU的序列号信息的第一个字节进行加密,利用上述Key2对相应ONU的序列号信息的第二个字节进行加密...利用上述Key8对相应ONU的序列号信息的第八个字节进行加密,得到各个ONU的ESN1,OLT存储了ESN1、对应的ONU的序列号和对应的第一号密钥种子的对应关系。
4)ONU侦听OLT发送的SN_Request,收到SN_Request后,将携带SN_Request的下行帧中超帧计数器中的超帧号作为第二号密钥种子,ONU利用生成Key的算法对第一号密钥种子和上述第二号密钥种子进行计算得到Key,然后ONU利用生成密钥的算法对Key和C1进行计算,得到Key1;ONU利用生成密钥的算法对Key和C2进行计算,得到Key2,...ONU利用生成密钥的算法对Key和C8进行计算,得到Key8,然后ONU利用上述Key1对自身的序列号信息的第一个字节进行加密,利用上述Key2对自身序列号信息的第二个字节进行加密...利用上述Key8对自身的序列号信息的第八个字节进行加密,得到ESN1,ONU存储了ESN1。ONU将ESN1放入到Serial_Number_ONU消息中的第三到第十字节发送给OLT。
5)OLT收到ONU发送的上述Serial_Number_ONU消息后,OLT和ONU根据收到的ESN1是否属于OLT本地存储的ESN1列表,而选择采取下述5.1)或5.2)中的具体实现过程。
5.1)当Serial_Number_ONU中的ESN1信息属于OLT本地存储的ESN1列表时,具体实现过程包括以下内容:
5.1.1)OLT可以通过ESN1与某个ONU的序列号信息的对应关系得到ONU的序列号信息。OLT将携带Assign_ONU-ID消息的下行帧中超帧计数器中的超帧号作为第二号密钥种子,OLT按照上述第3)步内容中生成Key1、Key2...Key8的方法生成对应该ONU的新的Key1、Key2...Key8,并利用所述新的Key1、Key2...Key8对该ONU序列号的各个字节分别加密,得到对应该ONU的ESN2,并存储上述ESN2与ONU的序列号信息的关系,OLT向该ONU发送Assign_ONU-ID消息,Assign_ONU-ID消息中的第四到第十一字节为上述ESN2,OLT通过Assign_ONU-ID消息向该ONU分配ONU-ID。
5.1.2)ONU接收到包含ESN2的Assign_ONU-ID消息后,将发送Assign_ONU-ID消息的下行帧中超帧计数器中的超帧号作为第二号密钥种子,ONU按照上述第4)步内容中生成Key1、Key2...Key8的方法生成新的Key1、Key2...Key8,并利用所述新的Key1、Key2...Key8对自身序列号的各个字节分别加密,得到ESN2,如果ESN2与上述Assign_ONU-ID消息中的ESN2值相同,则ONU存储Assign_ONU-ID消息中OLT分配给自身的ONU-ID值,否则ONU丢弃接收到的Assign_ONU-ID消息。
5.1.3)OLT将发送Ranging_Request的下行帧中超帧计数器中的超帧号作为第二号密钥种子,按照第3)步内容的方法再次计算该ONU的一个ESN3,并存储上述ESN3与ONU的序列号信息的关系,同时,OLT向该ONU发送Ranging_Request。
5.1.4)ONU接收到上述Ranging_Request后,将发送Ranging_Request的下行帧中超帧计数器中的超帧号作为第二号密钥种子,按照第4)步内容的方法再次计算一个ESN3,并将ESN3放入到Serial_Number_ONU消息中发送给OLT。
5.1.5)OLT接收到ONU发送的Serial_Number_ONU后,如果Serial_Number_ONU中的ESN3信息属于OLT本地存储的ESN3列表,OLT计算测距结果EqD,并将EqD通过Ranging_Time消息发送给该ONU,完成ONU注册激活过程。
5.2)当Serial_Number_ONU中的ESN1信息不属于OLT本地存储的ESN1列表时,具体实现过程包括以下内容:
5.2.1)OLT存储该ESN1,并向该ONU发送Assign_ONU-ID消息,Assign_ONU-ID消息中的SN为本步内容中OLT接收到并存储的ESN1,OLT通过Assign_ONU-ID消息向该ONU分配ONU-ID。
5.2.2)ONU接收到包含ESN1的Assign_ONU-ID消息后,如果Assign_ONU-ID消息中的ESN1与上述第4)步内容中ONU存储的ESN1值相同,则ONU存储Assign_ONU-ID消息中OLT分配给自身的ONU-ID值,否则,ONU丢弃Assign_ONU-ID消息。
5.2.3)OLT向该ONU发送Ranging_Request。
5.2.4)该ONU将上述第4)步内容中自身存储的ESN1值放入到Serial_Number_ONU中发送给OLT。
5.2.5)OLT接收到Serial_Number_ONU后,如果Serial_Number_ONU中的ESN1值等于5.2.1)步内容中OLT接收并存储的ESN1值,则OLT计算测距结果EqD,并将EqD通过Ranging_Time消息发送给该ONU。
5.2.6)OLT向该ONU发送Password_Request。
5.2.7)ONU接收到Password_Request后,ONU将自身的RegID放入到Password消息中发送给OLT。
5.2.8)OLT接收到上述Password消息后,如果ONU的RegID属于OLT的RegID列表,则OLT可以得到该ONU的第一号密钥种子,OLT利用生成密钥算法对上述第一号密钥种子和第3)步内容中存储的第二号密钥种子进行计算,得到Key,并利用第3)步内容的方法得到相应的Key1、Key2...Key8。然后OLT利用上述Key1、Key2...Key8分别对该ONU的ESN1的各个字节解密,得到该ONU的序列号信息,ONU存储该序列号信息为合法ONU的序列号信息,并存储该ONU的第一号密钥种子和该ONU的序列号之间的对应关系,ONU完成注册激活过程。
如果ONU掉电重启后,OLT和ONU采用实例一的方法完成ONU的注册激活过程。
如果ONU的RegID不属于OLT的RegID列表,则OLT给该ONU发送Deactivate ONU-ID消息,该ONU的ONU-ID失效,该ONU注册激活过程失败。
上述1)~5)的内容中,OLT和ONU在传输包含ONU序列号信息的消息时,OLT和ONU对ONU序列号进行了加密,在第3)和第4)的内容中,OLT和ONU得到了加密后的ONU的序列号的值ESN1,在第5.1.1)、5.1.2)、5.1.3)和5.1.4)的内容中,OLT和ONU双方都采用了相同的方法更新加密后的ONU序列号的值,在第5.1.1)和第5.1.2)的内容中,OLT和ONU得到了加密后的ONU的序列号的值ESN2;在第5.1.3)和第5.1.4)的内容中,OLT和ONU得到了加密后的ONU的序列号的值ESN3。
OLT和ONU也可以在第5.1.1)、5.1.2)、5.1.3)和5.1.4)的内容中不更新加密的ONU序列号的值,在第5.1.1)、5.1.2)、5.1.3)和5.1.4)的内容中,OLT和ONU传输的消息中包含加密序列号信息时,OLT和ONU采用上述ESN1的值代替ESN2和ESN3的值。
一种GPON中实现信息交互安全的系统,该系统包括:传输单元,用于OLT与ONU之间需交互ONU的序列号信息时,在OLT与ONU之间传输ESN。
这里,该系统还包括OLT侧的加密单元,用于在OLT侧对ONU的序列号信息加密时,OLT采用与ONU事先约定的方式,对每个ONU序列号信息中所包含的各个字节分别加密并获得ESN。
这里,该系统还包括:ONU侧的加密单元,用于在ONU侧对ONU的序列号信息加密时,ONU采用与OLT事先约定的方式,对每个ONU序列号信息中所包含的各个字节分别加密并获得ESN。
该系统还包括:OLT侧的解密单元,以下对不同情况下,解密单元的不同具体实现进行阐述。
第一种具体实现:OLT侧的解密单元,用于当OLT侧存储的验证ONU身份的合法信息为ONU的序列号信息时,OLT根据存储的每个ONU的ESN与ONU的序列号信息的对应关系,获得与ESN相对应的序列号信息。
第二种具体实现:OLT侧的解密单元,用于当OLT侧存储的验证ONU身份的合法信息为ONU的非序列号信息时,OLT向ONU请求并从ONU获取ONU的非序列号信息;根据存储的每个ONU的非序列号信息与解密ESN的算法和/或密钥之间的对应关系获得解密密钥,OLT对ESN解密后获得与ESN相对应的ONU的的序列号信息。
第三种具体实现:OLT侧的解密单元,用于当OLT侧存储的验证ONU身份的合法信息包括ONU的序列号信息和ONU的非序列号信息时,根据不同情况选择采用上述第一种或第二种具体实现。
如果OLT从ONU接收的ESN属于自身存储的ESN与序列号信息的对应关系,则选择采用上述第一种具体实现,即:合法信息为ONU的序列号信息时的解密过程解密。如果OLT从ONU接收的ESN不属于自身存储的ESN与序列号信息的对应关系,则选择采用上述第二种具体实现,即:合法信息为ONU的非序列号信息时的解密过程解密。
这里,该系统还包括:ONU侧的比较单元,用于当前ONU将接收到的ESN与当前ONU自身存储的ESN比较,如果相同,则判断OLT发送的包含ESN的消息是发送给自己的,并接受该包含ESN的消息,否则,丢弃该包含ESN的消息。
这里,该系统还包括OLT侧的更新单元,用于在OLT每次与ONU之间传输包含ESN的消息之前,进一步根据需要对加密序列号信息的密钥进行更新,并采用与ONU事先约定的方式,再次对每个ONU序列号信息中所包含的各个字节分别加密,获得更新后的ESN。
这里,该系统还包括ONU侧的更新单元,用于在ONU每次与OLT之间传输包含ESN的消息之前,进一步根据需要对加密序列号信息的密钥进行更新,并采用与OLT事先约定的方式,再次对每个ONU序列号信息中所包含的各个字节分别加密,获得更新后的ESN。
以上涉及到的ONU的序列号,以SN表示,英文全称为Serial Number;超帧计数器用Super Frame Counter表示。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (15)
1.一种吉比特无源光网络中实现信息交互安全的方法,其特征在于,该方法包括:光线路终端(OLT)与光网络单元(ONU)之间需交互ONU的序列号信息时,在OLT与ONU之间传输ONU的加密后的序列号信息(ESN)。
2.根据权利要求1所述的方法,其特征在于,在OLT侧对ONU的序列号信息加密时,OLT进一步采用与ONU约定的方式,对每个ONU序列号信息中所包含的各个字节分别加密并获得ESN。
3.根据权利要求2所述的方法,其特征在于,在ONU侧对ONU的序列号信息加密时,ONU进一步采用与OLT约定的方式,对每个ONU序列号信息中所包含的各个字节分别加密并获得ESN。
4.根据权利要求3所述的方法,其特征在于,该方法进一步包括:在OLT侧解密ESN,其具体过程包括:
当OLT侧存储的验证ONU身份的合法信息为ONU的序列号信息时,OLT根据存储的每个ONU的ESN与ONU的序列号信息的对应关系,获得与所述ESN相对应的ONU的序列号信息;
或者,当OLT侧存储的验证ONU身份的合法信息为ONU的非序列号信息时,OLT向ONU请求并从ONU获取ONU的非序列号信息;根据存储的每个ONU的非序列号信息与解密ESN的算法和/或密钥之间的对应关系得到解密ESN的密钥,OLT根据所述解密ESN的密钥对ESN解密后获得与所述ESN相对应的ONU的序列号信息;
或者,当OLT侧存储的验证ONU身份的合法信息包括ONU的序列号信息和ONU的非序列号信息时,如果OLT从ONU接收的ESN属于自身存储的ESN与ONU的序列号信息的对应关系,则采用所述合法信息为ONU的序列号信息时的解密过程解密;如果OLT从ONU接收的ESN不属于自身存储的ESN与ONU的序列号信息的对应关系,则采用所述合法信息为ONU的非序列号信息时的解密过程解密。
5.根据权利要求3所述的方法,其特征在于,该方法进一步包括:在ONU侧判断OLT发送的包含ESN的消息是否为发送给当前ONU自身的消息,其具体过程包括:
当前ONU将接收到的ESN与当前ONU自身存储的ESN比较,如果相同,则判断OLT发送的包含ESN的消息是发送给自己的,并接受所述消息,否则,丢弃所述消息。
6.根据权利要求1至5中任一项所述的方法,其特征在于,在OLT侧,所述OLT每次与ONU之间传输包含ESN的消息之前,进一步根据需要对加密序列号信息的密钥进行更新,并采用与ONU约定的方式,再次对每个ONU序列号信息中所包含的各个字节分别加密,获得更新后的ESN。
7.根据权利要求1至5中任一项所述的方法,其特征在于,在ONU侧,所述ONU每次与OLT之间传输包含ESN的消息之前,进一步根据需要对加密序列号信息的密钥进行更新,并采用与OLT约定的方式,再次对每个ONU序列号信息中所包含的各个字节分别加密,获得更新后的ESN。
8.根据权利要求7所述的方法,其特征在于,在ESN更新的情况下,在ONU侧判断OLT发送的包含ESN的消息是否为发送给当前ONU自身的消息,其具体过程包括:
当前ONU更新自身的ESN,并将接收到的ESN与更新的ESN比较,如果相同,则判断OLT发送的包含ESN的消息是发送给自己的,并接受所述消息,否则,丢弃所述消息。
9.一种吉比特无源光网络中实现信息交互安全的系统,其特征在于,该系统包括:传输单元,用于OLT与ONU之间需交互ONU的序列号信息时,在OLT与ONU之间传输ONU的加密后的序列号信息(ESN)。
10.根据权利要求9所述的系统,其特征在于,该系统还包括OLT侧的加密单元,用于在OLT侧对ONU的序列号信息加密时,OLT采用与ONU约定的方式,对每个ONU序列号信息中所包含的各个字节分别加密并获得ESN。
11.根据权利要求10所述的系统,其特征在于,该系统还包括:ONU侧的加密单元,用于在ONU侧对ONU的序列号信息加密时,ONU采用与OLT约定的方式,对每个ONU序列号信息中所包含的各个字节分别加密并获得ESN。
12.根据权利要求11所述的系统,其特征在于,该系统还包括:OLT侧的解密单元,用于当OLT侧存储的验证ONU身份的合法信息为ONU的序列号信息时,OLT根据存储的每个ONU的ESN与ONU的序列号信息的对应关系,获得与所述ESN相对应的ONU的序列号信息;
或者,OLT侧的解密单元,用于当OLT侧存储的验证ONU身份的合法信息为ONU的非序列号信息时,OLT向ONU请求并从ONU获取ONU的非序列号信息;根据存储的每个ONU的非序列号信息与解密ESN的算法和/或密钥之间的对应关系得到解密ESN的密钥,OLT根据所述解密ESN的密钥对ESN解密后获得与所述ESN相对应的ONU的序列号信息;
或者,OLT侧的解密单元,用于当OLT侧存储的验证ONU身份的合法信息包括ONU的序列号信息和ONU的非序列号信息时,如果OLT从ONU接收的ESN属于自身存储的ESN与ONU的序列号信息的对应关系,则采用所述合法信息为ONU的序列号信息时的解密过程解密;如果OLT从ONU接收的ESN不属于自身存储的ESN与ONU的序列号信息的对应关系,则采用所述合法信息为ONU的非序列号信息时的解密过程解密。
13.根据权利要求11所述的系统,其特征在于,该系统还包括:ONU侧的比较单元,用于当前ONU将接收到的ESN与当前ONU自身存储的ESN比较,如果相同,则判断OLT发送的包含ESN的消息是发送给自己的,并接受所述消息,否则,丢弃所述消息。
14.根据权利要求9至13中任一项所述的系统,其特征在于,该系统还包括:OLT侧的更新单元,用于在OLT每次与ONU之间传输包含ESN的消息之前,进一步根据需要对加密序列号信息的密钥进行更新,并采用与ONU约定的方式,再次对每个ONU序列号信息中所包含的各个字节分别加密,获得更新后的ESN。
15.根据权利要求9至13中任一项所述的系统,其特征在于,该系统还包括:ONU侧的更新单元,用于在ONU每次与OLT之间传输包含ESN的消息之前,进一步根据需要对加密序列号信息的密钥进行更新,并采用与OLT约定的方式,再次对每个ONU序列号信息中所包含的各个字节分别加密,获得更新后的ESN。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101763860A CN102036128A (zh) | 2009-09-29 | 2009-09-29 | 吉比特无源光网络中实现信息交互安全的方法及系统 |
PCT/CN2010/074678 WO2010145599A1 (zh) | 2009-09-29 | 2010-06-29 | 无源光网络中实现信息交互安全的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101763860A CN102036128A (zh) | 2009-09-29 | 2009-09-29 | 吉比特无源光网络中实现信息交互安全的方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102036128A true CN102036128A (zh) | 2011-04-27 |
Family
ID=43355885
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009101763860A Pending CN102036128A (zh) | 2009-09-29 | 2009-09-29 | 吉比特无源光网络中实现信息交互安全的方法及系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN102036128A (zh) |
WO (1) | WO2010145599A1 (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101083589A (zh) * | 2007-07-13 | 2007-12-05 | 华为技术有限公司 | 无源光网络中的终端检测认证方法、装置及操作管理系统 |
CN101150391A (zh) * | 2006-09-20 | 2008-03-26 | 华为技术有限公司 | 一种防止无源光网络系统中光网络单元被仿冒的方法、系统及设备 |
CN101499898A (zh) * | 2008-02-03 | 2009-08-05 | 中兴通讯股份有限公司 | 密钥交互方法及装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7873276B2 (en) * | 2007-06-06 | 2011-01-18 | At&T Intellectual Property I, L.P. | System and method for registration of network units |
CN101267340B (zh) * | 2008-03-25 | 2013-03-20 | 中兴通讯股份有限公司 | 一种防序列号盗用认证方法 |
-
2009
- 2009-09-29 CN CN2009101763860A patent/CN102036128A/zh active Pending
-
2010
- 2010-06-29 WO PCT/CN2010/074678 patent/WO2010145599A1/zh active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101150391A (zh) * | 2006-09-20 | 2008-03-26 | 华为技术有限公司 | 一种防止无源光网络系统中光网络单元被仿冒的方法、系统及设备 |
CN101083589A (zh) * | 2007-07-13 | 2007-12-05 | 华为技术有限公司 | 无源光网络中的终端检测认证方法、装置及操作管理系统 |
CN101499898A (zh) * | 2008-02-03 | 2009-08-05 | 中兴通讯股份有限公司 | 密钥交互方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
WO2010145599A1 (zh) | 2010-12-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8850197B2 (en) | Optical network terminal management control interface-based passive optical network security enhancement | |
US8490159B2 (en) | Method for increasing security in a passive optical network | |
KR100933167B1 (ko) | 트리 구조 네트워크 상에서의 인증과 프라이버시 보장을위한 전송 방법 | |
CN100596060C (zh) | 一种防止无源光网络系统中光网络单元被仿冒的方法、系统及设备 | |
CN102223586B (zh) | 光网络单元的注册激活方法及系统 | |
CN101998193B (zh) | 无源光网络的密钥保护方法和系统 | |
CN102045601B (zh) | 一种gpon系统中的onu激活方法及系统 | |
EP2439871B1 (en) | Method and device for encrypting multicast service in passive optical network system | |
CN105592040A (zh) | Epon中实现onu的安全注册方法和设备 | |
CN101778311A (zh) | 光网络单元标识的分配方法以及光线路终端 | |
US20090232313A1 (en) | Method and Device for Controlling Security Channel in Epon | |
CN102264013B (zh) | 一种基于时间标签的epon加密方法 | |
CN101499898A (zh) | 密钥交互方法及装置 | |
CN101998180B (zh) | 一种支持光线路终端和光网络单元版本兼容的方法及系统 | |
Roh et al. | Security model and authentication protocol in EPON-based optical access network | |
CN101998188A (zh) | 无源光网络的加密/解密方法及系统 | |
CN102036128A (zh) | 吉比特无源光网络中实现信息交互安全的方法及系统 | |
CN102237999B (zh) | 消息处理方法及消息发送装置 | |
Sun et al. | Access control for distribution automation using Ethernet passive optical network | |
Jun-Suo | A security communication scheme for Real-Time EPON | |
Wang et al. | Design of EPON system data encryption based on time function and service level | |
WO2007066951A1 (en) | Method and device for controlling security channel in epon |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110427 |