CN102037663B - 用于无源光网络中数据保密的方法和装置 - Google Patents
用于无源光网络中数据保密的方法和装置 Download PDFInfo
- Publication number
- CN102037663B CN102037663B CN200980114981.XA CN200980114981A CN102037663B CN 102037663 B CN102037663 B CN 102037663B CN 200980114981 A CN200980114981 A CN 200980114981A CN 102037663 B CN102037663 B CN 102037663B
- Authority
- CN
- China
- Prior art keywords
- counter
- local
- frame
- remote
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000003287 optical effect Effects 0.000 title claims abstract description 13
- 238000000034 method Methods 0.000 title claims description 58
- 230000008569 process Effects 0.000 claims description 23
- 238000010586 diagram Methods 0.000 description 33
- 230000005540 biological transmission Effects 0.000 description 20
- 230000008859 change Effects 0.000 description 14
- 239000000835 fiber Substances 0.000 description 9
- 239000013307 optical fiber Substances 0.000 description 9
- 230000001360 synchronised effect Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000003213 activating effect Effects 0.000 description 2
- 238000012508 change request Methods 0.000 description 2
- 230000001276 controlling effect Effects 0.000 description 2
- 230000003247 decreasing effect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000001105 regulatory effect Effects 0.000 description 2
- 230000002123 temporal effect Effects 0.000 description 2
- 102100029359 Cytochrome P450 2C8 Human genes 0.000 description 1
- 101000919358 Homo sapiens Cytochrome P450 2C8 Proteins 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 230000002045 lasting effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/12—Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供了一种用于解密以太无源光网络中数据帧的系统。在操作中,该系统在本地节点设置本地密码计数器,并从远程节点接收根据远程输入分组和会话密钥加密的数据帧。远程输入分组是根据远程密码计数器和远程分组计数器创建的。该系统根据接收到的位于数据帧头的字段更新本地密码计数器,通过丢弃一定数量的最低有效位来删节本地密码计数器,以及根据删节的本地密码计数器、接收的字段和本地分组计数器为接收的数据帧创建本地输入分组。然后,该系统根据本地输入分组和会话密钥解密数据帧。
Description
技术领域
本发明涉及无源光网络的设计。更具体地说,本发明涉及用于无源光网络中数据保密的方法和装置。
背景技术
为了跟上因特网流量的增加速度,网络运营商已经广泛利用光纤和光传输设备,大幅度地增加了主干网络的容量。但是,在接入网络的容量方面的增加还不能赶上主干网络容量的增加速度。即使使用宽带技术,例如数字用户线(DSL)和线缆调制解调器(CM),现有技术接入网络提供的受限带宽仍然是为终端用户提供高带宽的严重瓶颈。
在竞争激烈的不同技术中,无源光网络(PONs)是下一代接入网络最好的选择之一。由于光纤的高带宽,PONs可以同时容纳宽带声音、数据和视频流量。使用DSL或CM技术很难提供这种集成的服务。另外,PONs可以用现有协议建立,例如以太网和ATM,这将为PONs和其它网络设备的兼容性提供便利。
典型地,PONs用于网络的“第一英里”,提供了服务供应商的中心局与用户端的连接。通常来说,“第一英里”是一个逻辑点对多点的网络,即一个中心局为一定数量的用户服务。例如,PON可以采用树状拓扑结构,其中主干光纤将中心局连接到无源光纤分流器/合流器。通过一定数量的分支光纤,无源光纤分流器/合流器可以分离和分配给用户的下行光信号以及合成来自用户的上行光信号(见图1)。注意,还可以使用其它拓扑结构,例如环状拓扑和网状拓扑。
PON中的传输通常在光线路终端(OLT)和光网络单元(ONUs)间进行。OLT通常位于中心局并将光接入网连接到城域主干网上,OLT可以是属于例如因特网服务供应商(ISP)或本地交换运营商的外部网络。ONU可以位于用户端并通过用户端设备(CPE)连接到用户的家庭网络上。
在以太网PON(EPON)的一个例子中,通信可以包括下行流量和上行流量。在下面的描述中,“下行”指从一个OLT到一个或多个ONU的方向,“上行”指从ONU到OLT的方向。在下行方向,由于1×N无源光纤耦合器的广播特性,由OLT向所有ONU广播数据包,再由目的地ONU选择性提取这些数据包。另外,每个ONU分配有一个或多个逻辑链路标识(LLID),由OLT发送的数据包通常具有其目的地ONU的独特LLID。在上行方向,ONU需要共享信道容量和资源,因为只有一个连接无源光纤耦合器和OLT的链路。
图1示出了一个无源光网络,该无源光网络包括一个中心局、通过光纤连接的一定数量的客户端以及一个无源光纤分流器(现有技术)。无缘光纤分流器102和光纤将客户端连接到中心局101。无源光纤分流器102可以位于终端用户附近以最大限度地减少初始光纤使用成本。中心局101可以连接到外部网络103上,例如由因特网服务供应商(ISP)运营的城域网。尽管图1示出的是树状拓扑结构,PON还可以基于其它拓扑结构,例如逻辑环状或逻辑总线型。注意,尽管本文中的很多例子是基于EPON的,当本发明的实施例并不限于EPON,而是可以应用于各种PON中,例如ATM PON(APON)和波分复用(WDM)PON。
在设计EPON时遇到的一个挑战是提高EPON的安全性。安全性影响着EPON的发展,因为EPON通常通过广播下行信道为非合作性、私人用户提供服务。这种信道在混杂的模式下可能允许任意具有终端操作功能的感兴趣的群体访问。一般而言,为了保证EPON的安全性,网络运营商需要保证客户的隐私。因此,控制客户访问相关设施的机制是很重要的。不幸地是,现有的加密算法并不是最好的选择,因为它们通常涉及修改底层通信协议或在传输的数据帧上增加相当的开销。对底层协议的修改可能影响这些协议的其它拓展及发展,而数据帧开销占用了珍贵的通信带宽。
因此,需要一种不影响现有协议未来拓展以及具有最小开销的EPON数据加密和解密方法。
发明内容
本发明提供了一种用于解密(decrypt)以太无源光网络(EPON)中数据帧的系统。在运行中,该系统在本地节点设置一个本地密码计数器(ciphercounter),并从远程节点接收数据帧,该数据帧是根据远程输入分组(input block)和会话密钥加密(encrypt)的。远程输入分组是根据远程密码计数器和远程分组计数器创建的。该系统根据接收到的位于数据帧帧头(preamble)的字段更新本地密码计数器,通过丢弃一定数量的最低有效位来删节(truncate)本地密码计数器,以及根据删节的本地密码计数器、所述接收到的字段和本地分组计数器为接收到的数据帧创建本地输入分组。然后,该系统根据本地输入分组和会话密钥解密所述数据帧。
在本发明的各种实施例中,所述远程密码计数器包括远程数据包号码(packet number,简称PN)计数器。
在本发明的各种实施例中,所述接收到的字段包括远程数据包号码计数器的n个最低有效位。
在本发明的各种实施例中,所述本地密码计数器包括本地数据包号码计数器,所述本地密码计数器通过丢弃n个最低有效位进行删节。
在本发明的各种实施例中,系统更新本地密码计数器是根据所述远程数据包号码和所述本地数据包号码间的区别进行的。
在本发明的各种实施例中,如果所述远程数据包号码的值减去所述本地数据包号码的值小于1,系统更新本地密码计数器是通过递增(incrementing)所述删节的本地密码计数器实现的。
在本发明的各种实施例中,所述远程密码计数器包括多点控制协议(MPCP)计数器。
在本发明的各种实施例中,所述接收到的字段包括远程多点控制协议计数器的位i(bit i)至位j(bit j)。
在本发明的各种实施例中,所述本地密码计数器包括本地多点控制协议计数器,所述本地密码计数器通过丢弃j个最低有效位进行删节。
在本发明的各种实施例中,如果所述接收到的字段的最高有效位和所述本地多点控制协议计数器的位j不同,系统更新所述本地密码计数器。如果未删节的本地密码计数器的最低有效的j位的十进制值大于或等于2(j-1),系统通过将所述本地密码计数器的位j递增(incrementing)1以及执行必要的结转(carry-over),来调节所述本地密码计数器。否则,系统通过将所述本地密码计数器的位j递减(decrementing)1以及执行必要的结转,来调节所述本地密码计数器。
在本发明的各种实施例中,i等于2以及j等于5。
在本发明的各种实施例中,创建本地输入分组包括连接所述删节的本地密码计数器、所述接收到的字段的至少一部分以及所述本地分组计数器。
在本发明的各种实施例中,该系统解密接收到的数据帧,即根据高级加密标准(AES)使用所述会话密钥加密所述创建的本地输入分组得到本地输出分组,以及通过对所述接收到的数据帧和所述本地输出分组中的128位的分组(其与所述分组计数器相关)执行异或(exclusive OR,简称XOR)操作以获得128位的分组的未加密数据。
附图说明
图1是现有技术PON的示意图,该PON中,中心局和一定数量的客户端通过光纤和无源光纤分流器连接;
图2A是根据本发明实施例的EPON数据帧加密方法的示意图;
图2B是根据本发明实施例的EPON数据帧解密方法的示意图;
图3A是现有技术根据MACsec协议的示范性数据帧的示意图;
图3B是现有技术根据MACsec协议的安全标签(SecTAG)报头字段的示意图;
图4是现有技术以太网数据帧和EPON数据帧的帧格式的示意图;
图5是根据本发明实施例的为了数据帧加密的修改的EPON帧帧头(preamble)的示意图;
图6是根据本发明实施例的接收站点的数据包号码(PN)计数器的示意图;
图7是根据本发明实施例的将本地PN计数器与远程PN计数器同步的过程的流程图;
图8A是根据本发明实施例的基于32位PN的48位密码计数器的示意图;
图8B是根据本发明实施例的示范性128位密码输入分组的结构示意图;
图9A是最小的1G EPON数据帧与32TQ的对比示意图;
图9B是一系列最小10G EPON数据帧与32TQ的对比示意图;
图10A是根据本发明实施例的修改的EPON帧帧头的示意图;
图10B是根据本发明实施例的基于MPCP计数器的48位密码计数器的示意图;
图10C是根据本发明实施例的示范性128位输入分组的结构示意图;
图11是根据本发明实施例的校准(aligning)ONU端密码计数器与OLT端密码计数器以便上行加密的示意图;
图12是根据本发明实施例的密钥交换消息的示范性格式示意图;
图13是根据本发明实施例的用于解密EPON数据帧的示范性系统的示意图;
图14是根据本发明实施例的用于解密EPON数据帧的示范性计算机系统的示意图;
表1是根据本发明实施例的用于根据接收到的MPCP-LB字段的MSB调节本地密码计数器的伪代码。
在附图中,相同的附图标记指代相同的附图元素。
具体实施方式
下面的描述是为了让本领域技术人员能够使用这些实施例,并在上下文中提供了特殊的应用及其要求。本发明的实施例的各种变化对本领域的技术人员来说是显而易见的,在不脱离本发明的精神和范围的情况下,可以将本发明应用于其它实施例和应用中。因此,本发明的范围不受此处所公开的具体实施例的限制,而是与本发明的原则和特征一致的最大范围。
综述
本发明提供了一种用于EPON中数据加密的方案。该EPON数据加密方案利用计数器模式中的128-ASE加密数据帧。为了创建可以由OLT和ONU共享的独特的、非重复性的密码输入分组,以及为了确保不在传输的数据帧上增加开销,在本发明的实施例中,将发送站点的计数器的一部分与数据帧一起发送,作为帧头的一部分。在本发明的一个实施例中,OLT和ONU都具有一个数据包号码(PN)计数器,在发送过程中,将本地PN计数器的低位在帧头中与数据帧一起发送。在本发明的另一个实施例中,将多点控制协议(MPCP)计数器中的大量(chunk)低位作为帧头的一部分进行发送,并且根据删节的本地MPCP计数器和帧头中的位来创建密码输入分组(cipher input block)。
EPON安全性
如上所述,由于从OLT发送的每个数据帧都向所有ONU广播,EPON体系结构中的潜在安全风险是很大的。在EPON中,只要在混杂模式操作ONU就可以实现窃听,即某个ONU窃听其它ONU的流量。尽管EPON的点对点仿真采用逻辑链路标识(LLID)来允许不同ONU过滤帧,ONU还是可以使这些过滤机制无效并镜像所有流量。
与下行流量相比,上行流量相对而言安全一些。通常,由于无源合流器的方向性,上行流量仅对OLT可见。然而,无源合流器中还是可能发生反射。无源合流器可以将上行信号的一些小片段在下行方向发送。一般而言,这种下行反射不构成巨大的安全威胁,因为通常将ONU的接收器调谐到接收下行发送,而下行发送波长不同于上行发送波长。因此,对于ONU来说,接收来自其它ONU反射的上行信号是比较困难的。
如果光纤分流器/合流器是对称设备(例如,星型耦合器),上行流量仍可以在光纤分流器/合流器被截取。在这种情况下,在分流器/合流器的数个端口可以反射上行流量。可以在分流器/合流器一个未使用的端口上连接对上行波长敏感的特殊接收器来截取所有上行流量。
为了减小前面提到的安全风险,通常在EPON中使用数据加密。具体来说,当加密密钥不共享时,对下行发送的加密可以防止窃听。下行加密可以给用户数据提供隐私保护,并可以使另一个ONU的冒名变得困难。
另外,当在EPON分流器/合流器上增加分接口(tap)时,上行加密可以防止对上行流量的截取。上行加密还可以防止冒名,因为生成上行帧的ONU应具备只有它自己知道的密钥。
加密机制
实现EPON中数据加密的一种方法是根据高级加密标准(AES),AES允许使用128位、192位或256位的密钥。美国国家标准技术局(NIST)提供了AES的操作方法,包括例如密码反馈(CFB)和计数器模式(CM)等模式。根据IEEE标准802.1ae,其中定义了媒体访问控制安全(MACsec)协议,默认的加密套件使用伽罗瓦/计数器模式(GCM)的AES-128对称分组密码操作。注意GCM将加密的计数器模式(CM)和身份验证的伽罗瓦模式结合。本发明讨论EPON安全的加密方面。
图2A是根据本发明实施例的基于CM-AES-128密码的EPON数据帧加密方案的示意图。在该实施例中,将传入的纯文本(即未加密的数据)分成128位的分组,每个分组单独加密。在操作中,AES加密器202根据计数器的输出和基于AES标准的会话密钥(K)206对128位的输入分组(Ui)204执行加密操作。该加密操作产生128位的输出分组Vi=E(Ui,K)。随后将输出分组Vi和128位的纯文本分组(Pi)208进行异或处理(逻辑异或,由符号代表)以产生128位的加密文本分组(Ci)210。
如图2A所示,该系统针对每个纯文本分组Pi生成不同的输入分组Ui。另一方面,密钥K直到会话结束才会过期。另外,由于消息不需要携带整数个128位的分组,将数据帧中最后一个纯文本分组(1至16字节长)与最后一个输出分组的最有效部分进行逻辑异或。这种方法不需要补充纯文本消息并提供了一种无开销的加密方法。这种加密方法由下述公式表示:
Vi=E(K,Ui) i=1,...,k (1)
其中,Pi是第i个纯文本分组,Ci是第i个加密文本分组,K是会话密钥,Vi是第i个加密输出分组,Ui是一系列输入128位值,其在给定的会话密钥的寿命期间只使用一次。
图2B是根据本发明实施例的CM-AES-128密码的EPON数据帧解密方案的示意图。为了解密消息,将收到的加密文本(即加密数据)分成128位的分组,对每个分组单独解密。在操作中,AES加密器212根据计数器输出和会话密钥(K)216对128位的输入分组(Ui)214执行加密操作。然后,加密操作会产生128位的输出分组Vi=E(Ui,K)。随后将输出分组Vi与128位的加密文本分组(Ci)218逻辑异或以产生的128位的纯文本分组(Pi)220。注意为了正确解密加密文本,接收/解密端理论上与发送/加密端使用相同的计数器序列和会话密钥。
数据包号码密码计数器
在CM加密方案中,非重复性128位密码输入分组值与每个128位的文本分组相关。这些密码输入分组值通常是基于某种计数器创建的。MACsec协议(在IEEE标准802.1e中定义的)创建了一个基于32位数据包号码(PN)的密码输入分组。为了保证接收站点可以正确重建相同的密码输入分组以便数据解密,MACsec指定将32位PN包括在加密的数据帧中。图3A是现有技术MACsec帧格式与未加密的数据帧格式的对比示意图。注意,在图3A中,所示的目的地地址和源地址参数与MAC服务数据单元(MSDU)是分开的,因为它们是每个服务需求的分离的参数。如图3A所示,除了安全数据,MACsec协议数据单元(MPDU)包括MACsec安全标签(SecTag)和完整性校验值(ICV)。
图3B是现有技术安全标签格式的示意图。安全标签包括2字节的MACsec以太网类型字段、4位的标签控制消息(TCI)字段、4位的相关号码(AN)字段、1字节的短长度(SL)字段、4字节的数据包号码(PN)字段和8字节的选择性编码的安全信道标识(SCI)字段。可以看到,安全标签的总长度是16字节,这对于原有以太网帧来说是很大的开销,尤其在原有帧很短时。
为了提供零开销EPON加密方案,本发明的一个实施例在发送和接收站点都设置PN计数器。通过同步化这些PN计数器,接收站点可以利用它的本地PN计数器正确重建密码输入分组。发送站点的PN计数器每发送一个数据包就递增一,接收站点的PN计数器每接收一个数据包就递增一。理论上,如果这两个计数器开始计数的初始化数字相同,它们将会相互同步。然而,由于发送过程中的数据包损耗,这两个PN计数器很容易失去同步。因此,提供一种能容忍数据包损耗的同步化方法是很重要的。在一个实施例中,将PN的一部分或全部与数据帧一起发送,并且为了避免附加的帧开销,将PN嵌入数据帧帧头。
图4是现有技术的传统以太网数据帧和EPON数据帧的示意图。传统以太网数据帧包括以太网帧头402,其包括7字节的帧头和1字节的帧起始定界符(SFD)。以太网帧头402用于确保适当的时钟恢复过程和数据流校准。当用于EPON时,将以太网帧头402修改为EPON帧头404,EPON帧头404包括4字节的保留字段406、1字节的逻辑链路标识(LLID)起始定界符(SLD)字段408、2字节的LLID字段410和1字节的循环冗余校验(CRC8)字段412。EPON帧剩下的部分与传统以太网帧是相同的。注意,EPON帧头404的保留字段406在PON中不使用,而是为以后的协议拓展保留的。
图5是根据本发明实施例的为了数据帧加密的修改的EPON帧帧头的示意图。在图5中,EPON帧头500包括3.5字节的保留字段502、4位的PN低位(PNLB)字段504、1字节SLD字段506、2字节LLID字段508和1字节CPC8字段510。4位长PNLB字段504携带了PN的4个最低有效位(LSB)。注意,PNLB字段504可以长于4位,因此可以传送PN的多于4个LSB。在一个实施例中,PNLB字段504有1字节长,携带了PN的8个LSB。然而,使用EPON帧头中的较长位作为保护可能影响未来基于保留位的协议拓展。
图6是根据本发明实施例的接收站点的数据包号码PN计数器的示意图。32位的本地PN计数器600包括两部分:28位的高位计数器602和4位的低位计数器604。低位计数器604的内容来自于接收到的EPON帧头,而高位计数器602的内容是推测的。为了保证本地高位计数器602与远程PN计数器的相同,这两个PN计数器的初始值都设为已知值例如零。在一个实施例中,高位计数器602在低位计数器结转时递增。
传送数据包的数据信道会有误码和损坏的数据的可能。这些错误和损坏的数据可以由CRC8字段510和EPON帧尾的FCS字段有效地检测到。为了给接收站点提供与发送站点同步的PN,帧头的PNLB字段504需要容忍丢失和损坏的计数器值。通过这种方法可容忍的丢失数据包数量是PNLB字段504长度的一部分。例如,4位(16个值)长PNLB字段的系统可以容忍多达15个连续的数据包损失。如果一行中有多于15个数据包损失,接收站点PN计数器将失去与发送站点PN计数器的同步性。这样,将强制该链路重新开始加密过程,在该过程中,将生成新的会话密钥,并且两个PN计数器重置为零。
图7是根据本发明实施例的将本地PN计数器与远程PN计数器同步的过程的流程图。在操作中,系统接收带帧头的数据帧(步骤700),并计算接收的PNLB字段和本地PN计数器低位的值的差值(步骤702)。然后,系统确定该差值是否小于1(步骤704),若是,系统确定低位结转;因此,系统递增本地计数器的高位(步骤706)。否则,不改变本地计数器的高位。然后,系统将本地计数器的低位设置为接收到的PNLB字段(步骤708),这样就可以同步化本地PN计数器和远程PN计数器。
图8A是根据本发明实施例的基于32位PN的48位密码计数器的示意图。密码计数器802的32个LSB(位0-位31)与PN计数器804的相同。密码计数器802剩下的16个最高有效位(MSB)可以是一个常量。
一个7位的分组计数器(图8A中未示出)用于对数据帧中128位分组的数量进行计数。分组计数器在每个帧的开头置零并对于每个128位分组递增一。
图8B是根据本发明实施例的示范性128位密码输入分组的结构示意图。128位密码输入分组806通过复制和连接55位值808三次以及丢弃得到的165位值中的最高有效37位而得到。55位值通过连接48位密码计数器802的44个MSB、EPON帧头的4位PNLB字段504(位32-位35)和7位分组计数器810而得到。注意,除了图8B所示的,还可以根据PN号码创建128位密码输入分组,只要得到的输入分组对于相同的会话密钥不重复。
MPCP密码计数器
除了PN,还可以根据多点控制协议(MPCP)计数器的值创建密码计数器。根据IEEE标准802.3,为避免冲突,EPON使用MPCP来调度ONU的传输。MPCP构建一个绝对时序模型,在该模型中,OLT中存在一个全球化时钟,ONU在初始化过程中将它们的本地时钟设置为OLT时钟。所有控制消息,例如MPCP GATE和REPORT消息,都带有本地时钟的时间戳,通过这些时间戳,设备可以同步化它们的时钟。注意,MPCP REPORT消息由ONU用来通知OLT在它的缓存区内将要发送的数据包数量,MPCP GATE消息由OLT用来准予ONU发送时隙。MPCP时间记录为一个32位整数,表示计数器的值。根据IEEE标准802.3中定义的,MPCP计数器的值每16ns递增一次。
理论上,OLT和ONU间的传输延迟是个常量,OLT的MPCP计数器和ONU的MPCP计数器是对准的。即,如果OLT在它的MPCP计数器是N时发送一个帧,这个帧将由ONU在其MPCP计数器也是N时接收。然而,根据IEEE标准802.3,时间戳抖动量在下行方向(OLT-ONU)可以高达8TQ(128ns),并且在环状(OLT-ONU-OLT)传输中可达12TQ(192ns)。这种时间抖动是由于物理层时钟和MAC控制时钟间的差别造成的。因此,OLT和ONU间的MPCP时间有微小的差别。这种差别往往反映为MPCP计数器低位的失准。为了利用MPCP时间建立同步化的密码输入分组,一个方法是删节MPCP计数器失准的低位,这样可以消除MPCP时间戳抖动。通常,删节MPCP计数器的后5位来允许32TQ(512ns)的变化。
该方法可以用于1G(Gigabit)的EPON,其中最小数据包的持续时间长于512ns。因此,可以保证删节的MPCP计数器在一个数据包长度内递增,这样可以防止加密方法对相同密钥重复使用相同的密码计数器值。图9A是最小的1G EPON数据帧与32TQ的对比示意图。最小的EPON数据包902有84字节长,其中包括64字节的数据、8字节的帧头和12字节的数据包间间隙(IPG)。对于1G EPON,84字节持续42TQ(672ns)。图9B是一系列最小10G EPON数据帧与32TQ的对比示意图。注意,在10G EPON中,MPCP时间工作在与1G EPON中相同的TQ(16ns)上。因此,最小10G EPON数据包904仅仅持续4.2TQ,32TQ时间段可以包括一个以上的数据包。所以,相同的32TQ时间段内的一个以上的数据包可以使用相同的密码计数器值来加密,这样就降低了安全等级。
为了解决删节的MPCP密码计数器的TQ不稳定性,本发明的一个实施例在创建密码输入分组时包括MPCP计数器的低位。由于时间抖动,这些MPCP计数器低位需要与加密的数据帧一起传送。为了避免帧开销,在一个实施例中,将MPCP计数器的4个低位(位2-位5)作为EPON帧帧头的一部分传送。
图10A是根据本发明实施例的修改的EPON帧帧头的示意图。EPON帧帧头1002包括3.5字节的保留字段1004、4位的MPCP低位(MPCP-LB)字段1006、1字节的SLD字段1008、2字节的LLID字段1010和1字节的CRC8字段1012。MPCP-LB字段1006包括发送站点的MPCP计数器的位2至位5。通过将MPCP计数器低位(位2-位5)与加密的数据帧一起发送,系统可以将密码输入分组的时间分辨率提高到4TQ(64ns),比10G最小EPON数据包的长度小,因此防止了对密码输入分组的重复使用。
图10B是根据本发明实施例的基于MPCP计数器的48位密码计数器的示意图。密码计数器1014的32个LSB(位0-位31)与MPCP计数器1016的相同。密码计数器1014剩下的16位最高有效位(MSB)可以是一个已知常量。7位分组计数器(图10B中未示出)用于对数据帧中128位分组的数量进行计数。分组计数器在每个帧的开始置零并对每个128位分组递增一。
图10C是根据本发明实施例的示范性128位输入分组的结构示意图。128位密码输入分组1018通过复制和连接53位值1020三次以及丢弃得到的159位值中的最高有效31位而得到。53位值通过连接48位密码计数器1016的43个MSB、EPON帧帧头的4位MPCP-LB字段1006的3个低位(位32-位34)和7位分组计数器1022而得到。
注意,OLT和ONU中的43位删节的密码计数器都是每512ns更新一次。但是,发送和接收站点的密码计数器的43个MSB还是可能失准。例如,由于传输延迟变化,接收站点的48位密码计数器内可能发生从位4到位5的结转。因此,发送和接收站点的43位删节的密码计数器可能失准。为了确保密码计数器是适当对准的,本发明的一个实施例根据帧头中传送的MPCP低位来更新本地密码计数器。
理论上,接收站点根据接收的数据帧的第一个字节注释它的本地密码计数器的值。通过比较帧头中MPCP-LB字段1006的最高有效位(MSB)(接收的发送站点的MPCP计数器的位5)与本地密码计数器的位5,就可以对本地密码计数器校准了。通过递增或递减本地密码计数器的值直到计数器的位5等于接收到的位5可以实现上述校准。究竟是递增还是递减计数器是根据哪个方向将导致较小的绝对变化而确定的。由于IEEE标准802.3允许的最大延迟变化小于位5更新时间的一半,仅有一个方向的调整是可能的。
表1是根据本发明实施例的用于根据接收到的MPCP-LB字段的MSB调节本地密码计数器的伪代码。这里,cipher_bit5表示接收的密码计数器的位5,cipher_counter[0:4]表示本地密码计数器的5个最低有效位。当接收的位5的值与本地值不同时,并且若密码计数器的低5位的值大于或等于24(以5个二进制值表示的最大值的一半),密码计数器递增直到它的位5改变。例如,可以通过给密码计数器增加它的低5位的取反值然后再加1来实现。这样可以确保发生位4到位5的结转。
类似地,如果密码计数器的低5位的值小于24,密码计数器递减直到它的位5改变。这可以通过从密码计数器减去它的低4位的值然后再减1来实现。
注意,当创建密码计数器时,除了删节本地MPCP时间的5个LSB和传送包含远程MPCP时间的位2到位5的4个低位,还可以使用其它组合。例如,在一个实施例中,删节本地MPCP时间的8个LSB,以及在帧头中传送远程MPCP时间的8个LSB。还要注意,如图10C所示的128位密码输入分组1018的结构只是一个例子,其它构建128位密码输入分组1018的方法也是可以的,只要它基于删节的MPCP计数器、包含远程MPCP时间的低位的帧头中的字段、和对数据帧中128位分组数量进行计数的分组计数器。
表1
下行加密
在本发明的一个实施例中,OLT仅需要一个密码计数器用来加密下行帧。在初始密钥交换过程中将OLT密码计数器的初始值传送给ONU(将在下文中描述)。
这里所提供的加密方法的一个优点是不会导致不需要的帧链(framechaining)。当丢失的或损坏的帧可能影响所有后续帧的适当解密时就会发生帧链。根据本发明的一个实施例,每个帧根据各自的PN或帧的离开和到达时间单独加密及解密。离开和到达时间与帧的第一个八位字节(octet)(目的地址字段的第一个八位字节)的发送时间相关。
对于单播逻辑链路,可以由OLT启动密钥交换请求并由ONU生成新的密钥。对于多播逻辑链路,由OLT启动密钥交换并生成新的密钥值。
选择性上行加密
在上行方向,不用像下行方向中一样对密码计数器进行校准。为了加密上行帧,ONU根据由OLT分配的发送时隙的开始时间使用其密码计数器的值。时隙中的第一个帧的第一分组将与对应于该时隙的开始时间的密码计数器值相关。于发送第一个帧的第一个字节的时间开始,密码计数器将继续每隔16ns递增。
为了解密接收的帧,理论上,OLT记住这个将来的时间(ONU的准许发送时隙开始的时间)。在这个时间以后到达的第一个帧将用与记住的将来时间相关的密码计数器值进行解密。
图11是根据本发明实施例的校准ONU端密码计数器与OLT端密码计数器以便上行加密的示意图。在操作中,OLT发送一个准予消息1114给ONU。消息1114分配给ONU一个上行发送时隙,该时隙的开始时间是0x4A(十六进制值)。由于ONU的时钟与OLT的时钟同步,ONU接收消息114的时间理论上与OLT的发送时间相同。
在本地时间0x4A,ONU开始在分配的发送时隙发送第一个帧1102。在发送帧1102前,ONU根据准予的开始时间适当设置它的密码计数器1110,这里是4A。另外,ONU将准予的开始时间的位2至位5包含在帧1102的帧头中。相应地,将与帧1102的第一个128位分组相关的密码计数器1110的开始值设为4A。在OLT端,OLT期望在时间T接收帧1102,其中,T是开始时间0x4A加上从ONU到OLT的往返延迟(OLT记录每个ONU的往返延迟。)然后,OLT在时间T将它的密码计数器1108设为4A。用这种方法,OLT密码计数器就可以与ONU的密码计数器同步。类似地,OLT和ONU上的密码计数器对于帧1104可以保持同步。
对上行帧的加密的实际过程与下行帧的加密相似。对于单播逻辑链路,可以由OLT启动密钥交换请求并由ONU生成新的密钥。对于多播逻辑链路,由OLT启动密钥交换并生成新的密钥值。
密钥交换机制
密钥交换消息可以由操作、实施和管理(OA&M)帧携带。图12是根据本发明实施例的密钥交换消息的示范性格式示意图。密钥交换消息的字段如下所述:
DA-由IEEE802.3标准3.2.4条定义的目的地MAC地址。
SA-由IEEE802.3标准3.2.5条定义的源MAC地址。
Length/type-由IEEE802.3标准3.2.6条定义的帧长或帧类别的识别字段。根据IEEE802.3标准,OAM消息由慢协议类型(88-09)识别。
Subtype-该字段识别封装的特定的慢协议。根据IEEE802.3标准定义的,由OAM协议数据单元(OAMPDU)携带子类型值0x03。
flags-由IEEE802.3标准57.4.2.1条定义的包含状态位的字段。
code-该字段识别特定的OAMPDU。对于供应商指定的OAMPDU,分配给该字段由IEEE802.3标准57.4.2.2条定义的值0xFE。
OUI-机构指定的OAMPDU数据字段的前三个八位字节将包含机构唯一标识符(OUI)。符合本规范的实施例理论上使用本地管理的OUI=FF-FF-FF。注意,上述字段也是由IEEE802.3标准定义的。
message_type-该字段识别在相同OUI组下的特定种类的消息。消息类型字段后面的PDU的格式依赖于消息类型。message_type定义了三种类型的密钥交换消息:
0x01(KEY_REQUEST):该消息由OLT发出,用来向ONU要求一个新的密钥。它还传达给ONU一个未来帧计数器值,在该值可以发生密钥切换。(注意,密钥切换是OLT或ONU改变它的会话密钥时的事件。)
0x02(KEY_ASSIGN):该消息由OLT发出,用来分配给ONU一个新的密钥。它还传达了一个未来帧计数器值,在该值可以发生密钥切换。通常,ONU根据OLT的请求生成一个新的密钥。然而,在一些情况下,OLT可以生成密钥。一个例子是多播信道的密钥交换,其中所有接收设备都使用相同的密钥。注意,若存在可多播的OAM拓展,可以将该消息的一个副本发送给每个ONU;否则,发送给每个ONU单独的消息。
0x03(KEY_RESPONSE):该消息由ONU发出以回应KEY_REQUEST或KEY_ASSIGN消息。在该消息中,ONU传送给OLT新的密钥值以便在切换后使用并确认密钥切换计数器的值。
options-该字段列出了密钥交换的具体要求。如果该字段的位0是0,该字段表示下行密钥交换。如果该字段的位0是1,该字段表示上行密钥交换。位1至位5是保留的。
cipher_counter-该字段包含对应于密钥交换消息的第一分组的密码计数器的16位最高有效位。尽管一个密码计数器有48位长,发送站点向接收站点实际发送的密码计数器不需要包含所有48位。因为它的低32位与MPCP计数器的相同,通常在发送站点和接收站点同步。整个长度,48位的密码计数器每16ns更新一次。对比来说,密码计数器的高16位部分的更新频率更小。因此,只发送高16位就可以明显减少控制机制的负担。
switch_counter-该字段表示激活给定密钥时密码计数器的值。在发送和接收同一消息时同步激活OLT和ONU的新密钥是很重要的。
key-该字段携带表示加密密钥的128位值。
pad-用于填充该帧的附加冗余位。
FCS-是帧检验序列。
在下行密钥交换中,OLT通过生成KEY_REQUEST消息开始密钥交换过程。switch_counter字段携带对应于第一个帧的帧号码以使用新的密钥值。将cipher_counter的值设为对应于KEY_REQUEST消息的第一分组的OLT自己的密码计数器的16位最高有效位。将options字段的位0设为0。在发送KEY_REQUEST消息的同时,OLT开启密钥交换计时器。
接收KEY_REQUEST消息后,ONU将接收的OLT密码计数器的16位最高有效位与本地MPCP计数器的组合载入它的密码计数器。然后,ONU存储接收的switch_counter的值。接下来,生成并存储新的密钥,以及通过发送KEY_RESPONSE消息来回应OLT,在KEY_RESPONSE消息中向OLT传送了新的密钥。KEY_RESPONSE消息的switch_counter字段携带了接收的switch_counter值的副本。key字段包含用作新密钥的新的128位值。将cipher_counter字段设为对应于KEY_RESPONSE消息的第一分组的ONU自己的密码计数器的16位最高有效位。将options字段的位0设为0、位1设为1。
KEY_RESPONSE消息的成功接收结束了密钥交换过程。如果密钥交换计时器过期前没有KEY_RESPONSE消息到达,或者若switch_counter的返回值与KEY_REQUEST消息中设置的值不相符,OLT将通过发出新的KEY_REQUEST消息来开始另一个密钥交换过程。当新的KEY_REQUEST消息到达时,ONU可以丢弃任意存储的以前生成的密钥并生成新的密钥。理论上,ONU使用最近接收的switch_counter值和最近生成的密钥。另外,OLT可以在预定的密钥切换时间前很好地开始密钥交换过程。这确保了密钥交换过程可以重复多次。
上行密钥交换过程与下行密钥交换过程相似,除了KEY_REQUEST和KEY_RESPONSE消息中的options字段的位0都是1。如果需要上行加密,上行信道的初始密钥交换过程理论上在下行信道的密钥交换前执行。
多个ONU的密码计数器的维持状态
一种OLT用来跟踪ONU密码计数器状态的方法是为每个ONU设置一个单独的密码计数器。然而,这种方法需要大量逻辑门。芯片上有限的晶粒区将影响采用这种方法的EPON的可扩展性。另外,需要在每次加密会话开始时和加密密钥改变时重置每个密码计数器。这种方法的另一个挑战是当MPCP计数器翻转时,每个密码计数器需要同步更新。因此,OLT中所有密码计数器的同步化难以控制。
本发明的一个实施例通过只使用一个计数器,即循环计数器来减轻上述问题。为了追踪不同ONU的密码计数器的状态,OLT为每个ONU提供了寄存器。通过使用这些寄存器,OLT可以追踪每个ONU的密码计数器与持续更新的循环计数器间的偏移。通过这种方法,OLT可以避免单独更新许多密码计数器。
在一个实施例中,OLT为每个ONU(或每个LLID)提供一个寄存器。只要密码计数器重置,OLT就将当前循环计数器的值写入寄存器。在加密过程中,所给ONU的密码计数器的值通过从循环计数器的当前值中减去相应寄存器的值而得到。通过这种方法,OLT只需要在MPCP计数器翻转时递增一个计数器。因此,可以明显减小硬件设施的复杂度。注意,寄存器不需要持续递增。而只在相应的密码计数器需要重置时更新。
计算机系统
图13是根据本发明实施例的用于解密EPON数据帧的示范性系统的示意图。数据帧解密系统1300包括设置装置1302、接收装置1304、更新装置1306、删节装置1308、创建装置1310和解密装置1312。在操作过程中,设置装置1302设置本地密码计数器;接收装置1304接收数据帧和会话密钥;以及更新装置根据接收的数据帧的帧头中的字段更新本地密码计数器。删节装置1308删节本地密码计数器,并且创建装置1310根据删节的密码计数器、接收的帧头中的字段和分组计数器创建密码输入分组。解密装置1312利用密码输入分组和会话密钥解密数据帧。
图14是根据本发明实施例的用于解密EPON数据帧的示范性计算机系统的示意图。在一个实施例中,计算机和通信系统1400包括处理器1402、内存1404和存储设备1406。存储设备1406存储数据解密应用程序1408以及其它应用程序,例如应用程序1410和1412。在操作中,数据解密应用程序1408从存储设备1406载入内存1404然后由处理器1402执行。在执行该程序时,处理器1402执行上述功能。计算机和通信系统1400与选择性显示器1414、键盘1416和指点设备1418连接。
本文所述的数据结构和代码通常存储在计算机可读存储媒介中,计算机可读存储媒介可以是由计算机系统用来存储代码和/或数据的任意设备或媒介。计算机可读存储媒介包括但不限于易失性存储器、非易失性存储器、磁光存储设备或其它能够存储已知或未来可发展的计算机可读媒介的设备,磁光存储设备可以是磁盘驱动器、磁带、CD(光盘)、DVD(数字视频光盘)。
在具体实施例部分描述的方法和过程可以用代码和/数据来表示,这些代码和/或数据可以存储在上述计算机可读存储媒介中。当计算机系统读取并执行存储在计算机可读存储媒介中的代码和/或数据时,计算机系统可以实现以数据结构和代码表示并存储在计算机可读存储媒介中方法和过程。
另外,本文所述的方法和过程可以包含在硬件模块或设备中。这些模块和设备可以包括但不限于专用集成电路(ASIC)芯片、现场可编程门阵列(FPGA)、在特定时间执行特定软件模块或代码片段的专用或共享的处理器、和/或其它已知或未来可发展的可编程逻辑设备。当激活硬件模块或设备时,它们实现所包含的方法和过程。
上述各种实施例仅为了说明和描述,而不是本发明的全部或不用于限制本发明。因此,对本领域技术人员来说,各种修改和变化是显而易见的。另外,上述说明不用于限制本发明。
Claims (12)
1.一种用于解密以太无源光网络中数据帧的计算机可执行方法,其特征在于,包括:
在本地节点设置一个本地密码计数器;
从远程节点接收根据远程输入分组和会话密钥加密的数据帧,所述远程输入分组是根据远程密码计数器和远程分组计数器创建的;
根据接收到的位于数据帧帧头的字段更新所述本地密码计数器;
通过丢弃一定数量的最低有效位对本地密码计数器进行删节处理;
根据所述删节的本地密码计数器、所接收到的字段和本地分组计数器为接收到的数据帧创建本地输入分组;以及
根据所述本地输入分组和所述会话密钥解密所述数据帧,
其中,所述远程密码计数器包括远程多点控制协议计数器,所述接收到的字段包括远程多点控制协议计数器的位i至位j。
2.根据权利要求1所述的方法,其特征在于,所述远程密码计数器还包括远程数据包号码计数器。
3.根据权利要求2所述的方法,其特征在于,所述接收到的字段包括远程数据包号码计数器的n个最低有效位。
4.根据权利要求3所述的方法,其特征在于,所述本地密码计数器包括本地数据包号码计数器,所述本地密码计数器通过丢弃n个最低有效位进行删节。
5.根据权利要求2所述的方法,其特征在于,所述更新本地密码计数器是根据远程数据包号码和本地数据包号码间的区别进行的。
6.根据权利要求5所述的方法,其特征在于,所述更新本地密码计数器包括在所述远程数据包号码的值减去所述本地数据包号码的值小于1时递增所述删节的本地密码计数器。
7.根据权利要求1所述的方法,其特征在于,所述本地密码计数器包括本地多点控制协议计数器,所述本地密码计数器通过丢弃j个最低有效位进行删节。
8.一种用于解密以太无源光网络中数据帧的系统,其特征在于,包括:
设置装置,用于在本地节点设置一个本地密码计数器;
接收装置,用于从远程节点接收根据远程输入分组和会话密钥加密的数据帧,所述远程输入分组是根据远程密码计数器和远程分组计数器创建的;
更新装置,用于根据接收到的位于数据帧帧头的字段更新所述本地密码计数器;
删节装置,用于通过丢弃一定数量的最低有效位对本地密码计数器进行删节处理;
创建装置,用于根据所述删节的本地密码计数器、所述接收到的字段和本地分组计数器为接收到的数据帧创建本地输入分组;以及
解密装置,用于根据所述本地输入分组和所述会话密钥解密所述数据帧,
其中,所述远程密码计数器包括远程多点控制协议计数器,所述接收到的字段包括远程多点控制协议计数器的位i至位j。
9.根据权利要求8所述的系统,其特征在于,所述远程密码计数器还包括远程数据包号码计数器。
10.根据权利要求9所述的系统,其特征在于,所述接收到的字段包括远程数据包号码计数器的n个最低有效位。
11.根据权利要求10所述的系统,其特征在于,所述本地密码计数器包括本地数据包号码计数器,所述本地密码计数器通过丢弃n个最低有效位进行删节。
12.根据权利要求9所述的系统,其特征在于,所述更新本地密码计数器是根据远程数据包号码和本地数据包号码间的区别进行的。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US4665408P | 2008-04-21 | 2008-04-21 | |
| US61/046,654 | 2008-04-21 | ||
| US12/414,963 US8335316B2 (en) | 2008-04-21 | 2009-03-31 | Method and apparatus for data privacy in passive optical networks |
| US12/414,963 | 2009-03-31 | ||
| PCT/US2009/040330 WO2009131858A2 (en) | 2008-04-21 | 2009-04-13 | Method and apparatus for data privacy in passive optical networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102037663A CN102037663A (zh) | 2011-04-27 |
| CN102037663B true CN102037663B (zh) | 2015-10-21 |
Family
ID=41201110
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200980114981.XA Active CN102037663B (zh) | 2008-04-21 | 2009-04-13 | 用于无源光网络中数据保密的方法和装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8335316B2 (zh) |
| EP (1) | EP2291931A2 (zh) |
| CN (1) | CN102037663B (zh) |
| TW (1) | TWI472214B (zh) |
| WO (1) | WO2009131858A2 (zh) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010183494A (ja) * | 2009-02-09 | 2010-08-19 | Hitachi Ltd | 光ネットワークシステムおよび暗号化鍵の切り替え方法 |
| US8693688B2 (en) * | 2009-03-03 | 2014-04-08 | Intel Corporation | Adaptive packet ciphering |
| CN101888268B (zh) * | 2009-05-14 | 2013-09-11 | 中兴通讯股份有限公司 | 一种在以太无源光网络实现主干光纤保护的方法和装置 |
| US8812833B2 (en) * | 2009-06-24 | 2014-08-19 | Marvell World Trade Ltd. | Wireless multiband security |
| US8560848B2 (en) | 2009-09-02 | 2013-10-15 | Marvell World Trade Ltd. | Galois/counter mode encryption in a wireless network |
| US8839372B2 (en) * | 2009-12-23 | 2014-09-16 | Marvell World Trade Ltd. | Station-to-station security associations in personal basic service sets |
| US8718281B2 (en) * | 2010-04-08 | 2014-05-06 | Cisco Technology, Inc. | Rekey scheme on high speed links |
| CN103138924B (zh) * | 2011-11-24 | 2017-12-08 | 中兴通讯股份有限公司 | 一种epon系统中加密数据帧解密方法及装置 |
| CN102412962B (zh) * | 2011-12-23 | 2018-07-20 | 南京中兴新软件有限责任公司 | 组安全连接联合密钥cak的分发方法及装置 |
| FR3009163B1 (fr) * | 2013-07-25 | 2015-09-04 | Thales Sa | Procede pour l'echange en securite d'une donnee sur un reseau ad-hoc mettant en oeuvre un service de diffusion xcast; noeud associe |
| CN103746814B (zh) | 2014-01-27 | 2018-04-20 | 华为技术有限公司 | 一种加密、解密的方法及设备 |
| US9843446B2 (en) * | 2014-10-14 | 2017-12-12 | Dropbox, Inc. | System and method for rotating client security keys |
| WO2016087395A1 (en) * | 2014-12-03 | 2016-06-09 | Nagravision S.A. | Block cryptographic method for encrypting/decrypting messages and cryptographic devices for implementing this method |
| CN111865906A (zh) * | 2015-07-17 | 2020-10-30 | 华为技术有限公司 | 报文传输的方法、装置和系统 |
| JP2017135461A (ja) * | 2016-01-25 | 2017-08-03 | 三菱電機株式会社 | 加入者終端装置、局側終端装置、光信号伝送装置および通信システム |
| FR3052896A1 (fr) * | 2016-06-16 | 2017-12-22 | Sigfox | Procede et dispositif d’emission de donnees chiffrees, procede et dispositif d’extraction de donnees |
| FR3058604B1 (fr) * | 2016-11-09 | 2022-12-16 | Sigfox | Procede et dispositif d’emission de donnees chiffrees, procede et dispositif d’extraction de donnees |
| US11394701B2 (en) * | 2017-11-01 | 2022-07-19 | Hewlett-Packard Development Company, L.P. | Non-compliance event notifications to companion devices |
| US11190528B2 (en) * | 2017-11-28 | 2021-11-30 | Avago Technologies International Sales Pte. Limited | Light-weight mechanism for checking message integrity in data packets |
| DE102018212361A1 (de) * | 2018-07-25 | 2020-01-30 | Robert Bosch Gmbh | Erstes fahrzeugseitiges Endgerät, Verfahren zum Betreiben des ersten Endgeräts, zweites fahrzeugseitiges Endgerät und Verfahren zum Betreiben des zweiten fahrzeugseitigen Endgeräts |
| US10887289B2 (en) * | 2018-08-21 | 2021-01-05 | Fujitsu Limited | Encryption in optical transport networks using multiple randomly selected keys |
| US20210092103A1 (en) * | 2018-10-02 | 2021-03-25 | Arista Networks, Inc. | In-line encryption of network data |
| US11606688B2 (en) * | 2019-02-20 | 2023-03-14 | Coretigo Ltd. | Secure key exchange mechanism in a wireless communication system |
| US11316869B2 (en) * | 2019-12-10 | 2022-04-26 | Cisco Technology, Inc. | Systems and methods for providing attestation of data integrity |
| CN111083804B (zh) * | 2020-01-21 | 2022-02-11 | 华为技术有限公司 | 一种数据传输方法及设备 |
| DE102020114081A1 (de) * | 2020-05-26 | 2021-12-02 | Krohne Messtechnik Gmbh | Verfahren zum Synchronisieren eines Empfänger-Initialisierungsvektors mit einem Sender-Initialisierungsvektor |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4654480A (en) * | 1985-11-26 | 1987-03-31 | Weiss Jeffrey A | Method and apparatus for synchronizing encrypting and decrypting systems |
| SE465797B (sv) * | 1990-03-07 | 1991-10-28 | Ericsson Telefon Ab L M | Foerfarande att oeverfoera synkroniseringsinformation vid krypterad oeverfoering i ett mobilradiosystem |
| US6870836B1 (en) | 2000-03-31 | 2005-03-22 | Nortel Networks Limited | System and method for transfer of IP data in an optical communication networks |
| US20020044651A1 (en) * | 2000-05-16 | 2002-04-18 | Tuvell Walter E. | Method and apparatus for improving the security of cryptographic ciphers |
| WO2003007518A2 (en) * | 2001-07-10 | 2003-01-23 | Salira Optical Network Systems, Inc | Allocation of upstream bandwidth in an ethernet passive optical network |
| KR100594153B1 (ko) | 2002-08-07 | 2006-06-28 | 삼성전자주식회사 | 점대다 토폴로지의 네트워크에서 논리링크의 형성과 그보안 통신 방법 |
| KR100933167B1 (ko) | 2002-10-02 | 2009-12-21 | 삼성전자주식회사 | 트리 구조 네트워크 상에서의 인증과 프라이버시 보장을위한 전송 방법 |
| KR100450771B1 (ko) * | 2002-11-04 | 2004-10-01 | 한국전자통신연구원 | 이더넷 pon에 있어서 상향 데이터 전송 제어 방법 및그 장치 |
| US20040136712A1 (en) | 2003-01-13 | 2004-07-15 | Globespan Virata Incorporated | Integrated PON processor |
| US8027473B2 (en) | 2003-01-13 | 2011-09-27 | Conexant Systems, Inc. | System and method for improved data protection in PONs |
| US7406103B2 (en) | 2003-02-24 | 2008-07-29 | Samsung Electronics Co, Ltd. | Method and apparatus for transmitting data in Gigabit Ethernet passive optical network |
| KR100523357B1 (ko) | 2003-07-09 | 2005-10-25 | 한국전자통신연구원 | 이더넷 기반 수동형 광네트워크의 보안서비스 제공을 위한키관리 장치 및 방법 |
| KR100547724B1 (ko) | 2003-08-26 | 2006-01-31 | 삼성전자주식회사 | 데이터를 안정적으로 전송할 수 있는 기가비트 이더넷기반의 수동 광가입자망 및 이를 이용한 데이터 암호화 방법 |
| CN1326340C (zh) * | 2003-10-21 | 2007-07-11 | 华为技术有限公司 | 无源光网络的动态带宽分配装置及方法 |
| US7349537B2 (en) * | 2004-03-11 | 2008-03-25 | Teknovus, Inc. | Method for data encryption in an ethernet passive optical network |
| US7797745B2 (en) | 2004-12-22 | 2010-09-14 | Electronics And Telecommunications Research Institute | MAC security entity for link security entity and transmitting and receiving method therefor |
| EP1834424B1 (en) * | 2005-01-03 | 2016-08-31 | Nokia Technologies Oy | Method and device of frame number encoding for synchronization of electronic devices |
| EP1864427B1 (en) * | 2005-03-17 | 2018-08-01 | Electronics and Telecommunications Research Institute | Method for negotiating security-related functions of subscriber station in wireless portable internet system |
| US7921463B2 (en) * | 2005-09-30 | 2011-04-05 | Intel Corporation | Methods and apparatus for providing an insertion and integrity protection system associated with a wireless communication platform |
| US7724899B2 (en) | 2005-12-07 | 2010-05-25 | Electronics And Telecommunications Research Insitute | Method for controlling security channel in MAC security network and terminal using the same |
| US7508803B2 (en) * | 2006-09-07 | 2009-03-24 | Motorola, Inc. | Transporting management traffic through a multi-hop mesh network |
| JP4081724B1 (ja) * | 2006-12-27 | 2008-04-30 | 日本電気株式会社 | クライアント端末、中継サーバ、通信システム、及び通信方法 |
| JP5080644B2 (ja) * | 2007-06-18 | 2012-11-21 | エルジー エレクトロニクス インコーポレイティド | ハンドオーバ中のダウンリンクパケットデータコンバージェンスプロトコル動作 |
-
2009
- 2009-03-31 US US12/414,963 patent/US8335316B2/en not_active Expired - Fee Related
- 2009-04-13 CN CN200980114981.XA patent/CN102037663B/zh active Active
- 2009-04-13 WO PCT/US2009/040330 patent/WO2009131858A2/en active Application Filing
- 2009-04-13 EP EP09733931A patent/EP2291931A2/en not_active Withdrawn
- 2009-04-13 TW TW98112183A patent/TWI472214B/zh not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| TWI472214B (zh) | 2015-02-01 |
| EP2291931A2 (en) | 2011-03-09 |
| WO2009131858A3 (en) | 2010-01-07 |
| US20090262937A1 (en) | 2009-10-22 |
| CN102037663A (zh) | 2011-04-27 |
| TW201004263A (en) | 2010-01-16 |
| US8335316B2 (en) | 2012-12-18 |
| WO2009131858A2 (en) | 2009-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102037663B (zh) | 用于无源光网络中数据保密的方法和装置 | |
| US7797745B2 (en) | MAC security entity for link security entity and transmitting and receiving method therefor | |
| US7349537B2 (en) | Method for data encryption in an ethernet passive optical network | |
| US7305551B2 (en) | Method of transmitting security data in an ethernet passive optical network system | |
| KR100594153B1 (ko) | 점대다 토폴로지의 네트워크에서 논리링크의 형성과 그보안 통신 방법 | |
| WO2021133204A1 (ru) | Комплекс для защищенной передачи данных в цифровой сети | |
| US20020110245A1 (en) | Method and system for synchronizing security keys in a point-to-multipoint passive optical network | |
| US20080247550A1 (en) | Pon System with Encryption Function and Encryption Method of Pon System | |
| JP5467574B2 (ja) | EPON(1GEPONと10GEPON)ネットワークにおけるIEEE802.1AEと802.1afセキュリティの実行方法 | |
| EP1830517B1 (en) | A method, communication system, central and peripheral communication unit for secure packet oriented transfer of information | |
| KR100723832B1 (ko) | 링크 보안을 위한 매체 접근 제어 보안 장치 및 송수신방법 | |
| Hajduczenia et al. | On EPON security issues | |
| US20090232313A1 (en) | Method and Device for Controlling Security Channel in Epon | |
| CN102035642B (zh) | 一种分组密码计数器运行模式中计数器的选择和同步方法 | |
| KR100594023B1 (ko) | 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법 | |
| US20040136372A1 (en) | Protecting data transmissions in a point-to-multipoint network | |
| JP2004260556A (ja) | 局側装置、加入者側装置、通信システムおよび暗号鍵通知方法 | |
| Meng et al. | Analysis and solutions of security issues in Ethernet PON | |
| KR100798921B1 (ko) | Mac 보안 서비스망에서의 보안 채널 제어 방법 및 이를구현하는 단말 장치 | |
| EP2304895B1 (en) | Secure communication method | |
| JP2005354504A (ja) | 光加入者線端局装置、光加入者線終端装置およびその通信方法 | |
| Kim et al. | The implementation of the link security module in an EPON access network | |
| JP6040631B2 (ja) | 暗号化装置及び暗号化システム | |
| JP2008281832A (ja) | 共通鍵暗号通信システム及び方法とこれに使用するponの送信機及び受信機 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1155862 Country of ref document: HK |
|
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: American California Applicant after: Teknovus Inc. Address before: American California Applicant before: Teknovus Inc. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20151105 Address after: American California Patentee after: Zyray Wireless Inc. Address before: American California Patentee before: Teknovus Inc. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20170309 Address after: Singapore Singapore Patentee after: Avago Technologies Fiber IP Singapore Pte. Ltd. Address before: American California Patentee before: Zyray Wireless Inc. |
|
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1155862 Country of ref document: HK |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20181022 Address after: Singapore Singapore Patentee after: Annwa high tech Limited by Share Ltd Address before: Singapore Singapore Patentee before: Avago Technologies Fiber IP Singapore Pte. Ltd. |