CN102055583A - 一种组播密钥的安全分发方法、系统及设备 - Google Patents

一种组播密钥的安全分发方法、系统及设备 Download PDF

Info

Publication number
CN102055583A
CN102055583A CN 201110023141 CN201110023141A CN102055583A CN 102055583 A CN102055583 A CN 102055583A CN 201110023141 CN201110023141 CN 201110023141 CN 201110023141 A CN201110023141 A CN 201110023141A CN 102055583 A CN102055583 A CN 102055583A
Authority
CN
China
Prior art keywords
multicast
key
network unit
optical network
line terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN 201110023141
Other languages
English (en)
Other versions
CN102055583B (zh
Inventor
李琴
铁满霞
胡亚楠
杜志强
王轲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Iwncomm Co Ltd
Original Assignee
China Iwncomm Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Iwncomm Co Ltd filed Critical China Iwncomm Co Ltd
Priority to CN 201110023141 priority Critical patent/CN102055583B/zh
Publication of CN102055583A publication Critical patent/CN102055583A/zh
Priority to PCT/CN2011/079917 priority patent/WO2012097601A1/zh
Application granted granted Critical
Publication of CN102055583B publication Critical patent/CN102055583B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • H04L2209/601Broadcast encryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明提供了一种组播密钥的安全分发方法,包括1)光网络单元ONU与光线路终端OLT建立单播密钥USK;2)ONU向OLT发送组播密钥请求分组;3)OLT构建组播密钥通告分组发送给ONU;4)ONU解密或解密并扩展得到组播业务标识列表信息ListMSID字段中各组播业务标识MSID对应的组播密钥MSK。该方法克服了现有技术中EPON网络下行方向组播业务采用多拷贝模式浪费带宽,采用单拷贝模式节省带宽但不安全的缺点。本发明还提供了与所述方法相应的组播密钥的安全分发系统、光线路终端OLT以及光网络单元ONU。

Description

一种组播密钥的安全分发方法、系统及设备
技术领域
本发明属网络安全领域,涉及一种组播密钥的安全分发方法、系统及设备。
背景技术
以太网无源光网络EPON(Ethernet Passive Optical Network)是一种新型的光纤接入网技术,它通过一个单一的光纤接入系统,实现数据、语音及视频的综合业务接入,并具有良好的经济性。
EPON是一种融合了以太网和无源光网络PON优点的接入网技术,是一种媒质共享的网络,在局端的EPON设备叫光线路终端OLT(Optical NetworkTerminal);在用户端的系统则叫光网络单元ONU(Optical Network Unit)。ONU向OLT的上行数据传输,按时分复用原理进行,每一帧的数据都会被安排在特定的时隙中传输,且上行数据不会到达其它ONU;但被从OLT传送到ONU的下行数据传输是广播进行的,无源光分路器同时将数据包传送给所有的ONU。EPON系统下行信道采用广播方式,当ONU处于混杂模式下,凡是有意接收的终端站点都能接收其下行传输信息。
在EPON网络中,从OLT到ONU的组播业务报文采用广播发送,ONU进行选择接收。OLT节点对于组播业务的处理有两种模式,一种是单拷贝组播;另一种是多拷贝组播。单拷贝组播模式,可以有效的节省OLT和ONU之间的带宽,在OLT上不需要给属于该组播业务组的ONU分别发送单播包,而是发送一份组播包,由属于该组播业务组的ONU去接收,但是不能阻止不属于该组播组的ONU接收该组播业务报文;多拷贝组播模式,OLT节点给属于该组播业务组的每个ONU分别发生一份组播业务报文,处于混杂模式的非该组播业务组的ONU仍然可以接收到该组播业务报文;即使OLT分别发送组播业务报文给每个ONU时,采用加密的方式进行保护,确保处于混杂模式的非该组播业务组的ONU虽然可以接收但无法解析该组播业务报文,但这依然存在大量浪费OLT和ONU之间的带宽的问题。
因此,需要一种有效的方法,以克服现有技术中EPON网络下行方向组播业务采用多拷贝模式浪费带宽,采用单拷贝模式节省带宽但不安全的缺点。
发明内容
为了解决背景技术中存在的上述技术问题,本发明提供了一种组播密钥的安全分发方法、系统及设备。
本发明提供了一种组播密钥的安全分发方法:
该方法包括以下步骤:
1)光网络单元ONU与光线路终端OLT建立单播密钥USK;
2)光网络单元ONU向光线路终端OLT发送组播密钥请求分组,该分组包括:组播业务标识列表信息ListMSID字段以及光网络单元ONU的随机数NONU字段;其中:光网络单元ONU的随机数NONU字段:用于标识组播密钥请求分组的新鲜性;组播业务标识列表信息ListMSID字段:包含一个或多个组播业务标识MSID,是光网络单元ONU请求分发的组播密钥对应的组播业务标识MSID列表;
3)光线路终端OLT收到来自光网络单元ONU的组播密钥请求分组后,构建组播密钥通告分组发送给光网络单元ONU;光线路终端OLT通过组播密钥通告分组利用光线路终端OLT与该光网络单元ONU之间的单播密钥USK将组播业务标识列表信息ListMSID字段对应的组播通告主密钥列表ListNMK以通告主密钥数据列表ListE(NMK)的形式秘密通告给光网络单元ONU;
4)光网络单元ONU收到来自光线路终端OLT的组播密钥通告分组后,解密或解密并扩展得到组播业务标识列表信息ListMSID字段中各组播业务标识MSID对应的组播密钥MSK;
本发明还包括一种组播密钥的安全分发系统,所述的组播密钥分发系统包括光线路终端OLT以及光网络单元ONU,所述光网络单元ONU在与光线路终端OLT建立单播密钥后,在需要请求组播密钥时,发送组播密钥请求分组给光线路终端OLT;所述光线路终端OLT收到组播密钥请求分组后,构造组播密钥通告分组将对应的组播业务通告主密钥NMK列表以密文形式发送给光网络单元ONU;所述光网络单元ONU收到组播密钥通告分组后,解密或解密并扩展得到对应的组播业务的组播密钥MSK。
本发明还包括一种光线路终端OLT,所述光线路终端OLT包含:
单播密钥建立模块,用于与光网络单元ONU建立单播密钥USK;
组播密钥分发模块,用于接收光网络单元ONU发送的组播密钥请求分组,提取组播密钥请求分组中光网络单元ONU请求的组播密钥对应的组播业务标识列表信息;将各组播业务标识对应的组播通告主密钥NMK使用与光网络单元ONU之间的单播密钥进行加密,构造组播密钥通告分组发送给光网络单元ONU;组播密钥分发模块通过组播密钥通告分组将光网络单元ONU请求的组播业务标识列表对应的组播通告主密钥NMK列表秘密通告给光网络单元ONU。
本发明还包括一种光网络单元ONU,所述光网络单元ONU包含:
单播密钥建立模块,用于与光线路终端OLT建立单播密钥USK;
组播密钥请求模块,用于发送组播密钥请求分组给光线路终端OLT;组播密钥请求模块通过组播密钥请求分组将光网络单元ONU需要得到与组播密钥对应的组播业务标识列表信息告知光线路终端OLT;
组播密钥响应模块,用于接收光线路终端OLT发送的组播密钥通告分组,解密得到组播密钥通告分组中秘密通告的组播通告主密钥NMK列表,将各组播通告主密钥NMK直接作为组播密钥MSK或对各组播通告主密钥NMK使用单向hash算法进行扩展得到对应的组播密钥MSK。
本发明的优点是:
1)可以为EPON产品所支持的多个组播业务组分配不同的组播密钥;确保组播消息下行数据尽管在EPON中以广播形式传输,也只有拥有对应组播密钥MSK的光网络单元ONU才能正确接收,获得组播消息的明文信息;
2)充分利用了EPON上行数据的单向性,对于组播密钥请求分组,不计算完整性校验,光线路终端OLT不需要对每一个组播密钥请求验证完整性校验,降低密钥分发的计算复杂度;
3)在组播密钥请求分组、组播密钥通告分组以及组播密钥通告分组中均携带了随机数,保证了组播密钥分发过程中消息的新鲜性;
4)可以在一个过程中实现光网络单元ONU向光线路终端OLT请求获取多个组播业务对应的组播密钥。
附图说明
图1为本发明所提供不带确认分组的组播密钥分发过程框架示意图。
图2为本发明所提供带确认分组的组播密钥分发过程框架示意图。
具体实施方式
参见图1及图2,本发明提供了一种组播密钥的安全分发方法,该方法包括以下步骤:
1)光网络单元ONU与光线路终端OLT建立单播密钥USK;在本发明的较佳实施例中,双方均根据单播密钥USK导出密钥加密密钥KEK和完整性校验密钥MAK;
2)光网络单元ONU向光线路终端OLT发送组播密钥请求分组,该分组包括:组播业务标识列表信息ListMSID字段以及光网络单元ONU的随机数NONU字段;
其中:
光网络单元ONU的随机数NONU字段:用于标识组播密钥请求分组的新鲜性;
组播业务标识列表信息ListMSID字段:包含一个或多个组播业务标识MSID,是光网络单元ONU请求分发的组播密钥对应的组播业务标识MSID列表;具体实施时,所述组播业务标识MSID可以是组播逻辑链路标识LLID。
3)光线路终端OLT收到来自光网络单元ONU的组播密钥请求分组后,构建组播密钥通告分组发送给光网络单元ONU;光线路终端OLT通过组播密钥通告分组利用光线路终端OLT与该光网络单元ONU之间的单播密钥USK将组播业务标识列表信息ListMSID字段对应的组播通告主密钥列表ListNMK以通告主密钥数据列表ListE(NMK)的形式秘密通告给光网络单元ONU;
4)光网络单元ONU收到来自光线路终端OLT的组播密钥通告分组后,解密或解密并扩展得到组播业务标识列表信息ListMSID字段中各组播业务标识MSID对应的组播密钥MSK。
若光线路终端OLT本地策略不需要光网络单元ONU反馈组播密钥确认分组(如图1),则步骤3)具体处理过程如下:
3.1)光线路终端OLT本地查找组播业务标识列表信息ListMSID字段中各组播业务标识MSID对应的组播通告主密钥NMK,构造组播通告主密钥列表ListNMK;如本地没有ListMSID字段中某一个组播业务标识MSID对应的组播通告主密钥NMK,则生成一随机数作为该组播业务标识MSID对应的组播通告主密钥NMK,并本地保存该组播通告主密钥NMK;
3.2)光线路终端OLT利用与该光网络单元ONU之间的单播密钥USK(在本发明的较佳实施例中,光线路终端OLT利用根据单播密钥USK导出的密钥加密密钥KEK)对组播业务标识列表信息ListMSID字段对应的组播通告主密钥列表ListNMK进行加密得到通告主密钥数据列表ListE(NMK)
3.3)光线路终端OLT构造组播密钥通告分组,该分组包含组播业务标识列表信息ListMSID字段、光网络单元ONU的随机数NONU字段、通告主密钥数据列表ListE(NMK)、以及完整性校验MIC1字段;其中MIC1字段是光线路终端OLT利用与该光网络单元ONU之间的单播密钥USK(在本发明的较佳实施例中,光线路终端OLT利用根据单播密钥USK导出的完整性校验密钥MAK)对该组播密钥通告分组中除MIC1字段外所有字段计算得到的杂凑值;
3.4)光线路终端OLT将构造好的组播密钥通告分组发送给该光网络单元ONU;
若光线路终端OLT本地策略需要光网络单元ONU反馈组播密钥确认分组(如图2),则步骤3)具体处理过程如下:
3.1)光线路终端OLT本地查找组播业务标识列表信息ListMSID字段中各组播业务标识MSID对应的组播通告主密钥NMK,构造组播通告主密钥列表ListNMK;如本地没有ListMSID字段中某一个组播业务标识MSID对应的组播通告主密钥NMK,则生成一随机数作为该组播业务标识MSID对应的组播通告主密钥NMK,并本地保存该组播通告主密钥NMK;
3.2)光线路终端OLT利用与该光网络单元ONU之间的单播密钥USK(在本发明的较佳实施例中,光线路终端OLT利用根据单播密钥USK导出的密钥加密密钥KEK)对组播业务标识列表信息ListMSID字段对应的组播通告主密钥列表ListNMK进行加密得到通告主密钥数据列表ListE(NMK)
3.3)光线路终端OLT本地生成一随机数作为光线路终端OLT的随机数NOLT字段,用于标识此次密钥通告的新鲜性;
3.4)光线路终端OLT构造组播密钥通告分组,该分组包含组播业务标识列表信息ListMSID字段、光线路终端OLT的随机数NOLT字段、光网络单元ONU的随机数NONU字段、通告主密钥数据列表ListE(NMK)、以及完整性校验MIC2字段;其中MIC2字段是光线路终端OLT利用与该光网络单元ONU之间的单播密钥USK(在本发明的较佳实施例中,MIC1字段是光线路终端OLT利用根据单播密钥USK导出的完整性校验密钥MAK)对该组播密钥通告分组中除MIC2字段外所有字段计算得到的杂凑值;
3.5)光线路终端OLT将构造好的组播密钥通告分组发送给该光网络单元ONU。
若光网络单元ONU在收到组播密钥通告分组后,不需要发送组播密钥确认分组(如图1),则步骤4)具体处理过程如下:
4.1)光网络单元ONU提取组播密钥通告分组中的NONU字段以及组播业务标识列表信息ListMSID字段,对比这两个字段与之前发生的组播密钥请求分组中的对应字段是否一致,若一致;则执行步骤4.2);否则,丢弃该分组;
4.2)光网络单元ONU利用与光线路终端OLT之间的单播密钥USK(在本发明的较佳实施例中,光网络单元ONU利用根据单播密钥USK导出的完整性校验密钥MAK)验证收到的组播密钥通告分组中MIC1字段的正确性,若正确,则执行步骤4.3);否则,丢弃该分组;
4.3)光网络单元ONU利用与光线路终端OLT之间的单播密钥USK(在本发明的较佳实施例中,光网络单元ONU利用根据单播密钥USK导出的密钥加密密钥KEK)解密通告主密钥数据列表ListE(NMK)字段,即可得到组播业务标识列表信息ListMSID字段中各组播业务标识MSID对应的组播通告主密钥NMK,根据系统策略光网络单元ONU将组播通告主密钥NMK直接作为组播密钥MSK或对组播通告主密钥NMK使用单向hash算法进行扩展得到组播密钥MSK。
若光网络单元ONU在收到组播密钥通告分组后,需要发送组播密钥确认分组(如图2),则步骤4)具体处理过程如下:
4.1)光网络单元ONU提取组播密钥通告分组中的NONU字段以及组播业务标识列表信息ListMSID字段,对比这两个字段与之前发生的组播密钥请求分组中的对应字段是否一致,若一致;则执行步骤4.2);否则,丢弃该分组;
4.2)光网络单元ONU利用与光线路终端OLT之间的单播密钥USK(在本发明的较佳实施例中,光网络单元ONU利用根据单播密钥USK导出的完整性校验密钥MAK)验证收到的组播密钥通告分组中MIC2字段的正确性,若正确,则执行步骤4.3);否则,丢弃该分组;
4.3)光网络单元ONU利用与光线路终端OLT之间的单播密钥USK(在本发明的较佳实施例中,光网络单元ONU利用根据单播密钥USK导出的密钥加密密钥KEK)解密通告主密钥数据列表ListE(NMK)字段,即可得到组播业务标识列表信息ListMSID字段中各组播业务标识MSID对应的组播通告主密钥NMK,根据系统策略光网络单元ONU将组播通告主密钥NMK直接作为组播密钥MSK或对组播通告主密钥NMK使用单向hash算法进行扩展得到组播密钥MSK。
若光网络单元ONU在收到组播密钥通告分组后,需要发送组播密钥确认分组,上述步骤4)之后还包括步骤5)及6):
5)光网络单元ONU发送组播密钥确认分组给光线路终端OLT。步骤5)具体处理过程如下:
5.1)光网络单元ONU构造组播密钥确认分组,该分组包含组播业务标识列表信息ListMSID字段、光线路终端OLT的随机数NOLT字段以及完整性校验MIC3字段;其中MIC3字段是光网络单元ONU利用与光线路终端OLT之间的单播密钥USK(在本发明的较佳实施例中,MIC1字段是光线路终端OLT利用根据单播密钥USK导出的完整性校验密钥MAK)对该组播密钥确认分组中除MIC3字段外所有字段计算得到的杂凑值;
5.2)光网络单元ONU将构造好的组播密钥确认分组发送给光线路终端OLT。
6)光线路终端OLT接收来自光网络单元ONU的组播密钥确认分组,确认光网络单元ONU收到组播密钥,完成此次组播密钥的分发过程。步骤6)的具体处理过程如下:
6.1)光线路终端OLT提取组播密钥确认分组中的NOLT字段以及组播业务标识列表信息ListMSID字段,对比这两个字段与之前发生的组播密钥通告分组中的对应字段是否一致,若一致;则执行步骤6.2);否则,丢弃该分组;
6.2)光线路终端OLT利用与该光网络单元ONU之间的单播完整性校验密钥验证收到的组播密钥确认分组中MIC3字段的正确性,若正确,则确认光网络单元ONU收到组播密钥,完成此次组播密钥的安全分发过程;否则,丢弃该分组。
后续组播业务通信阶段,由光线路终端OLT发送给该光网络单元ONU对应该组播业务标识MSID的组播消息用建立的组播密钥MSK加密后发送;各个光网络单元ONU收到后,利用对应建立的组播密钥MSK解密得到组播消息的明文信息。
本发明还提供一种与组播密钥的安全分发方法相应的组播密钥的安全分发系统,所述的组播密钥分发系统包括光线路终端OLT以及光网络单元ONU,所述光网络单元ONU在与光线路终端OLT建立单播密钥后,在需要请求组播密钥时,发送组播密钥请求分组给光线路终端OLT;所述光线路终端OLT收到组播密钥请求分组后,构造组播密钥通告分组将对应的组播业务通告主密钥NMK列表以密文形式发送给光网络单元ONU;所述光网络单元ONU收到组播密钥通告分组后,解密或解密并扩展得到对应的组播业务的组播密钥MSK;组播密钥的安全分发系统中光网络单元ONU可选地构造组播密钥确认分组发送给光线路终端OLT;所述光线路终端OLT收到组播密钥确认分组后,确认光网络单元ONU收到组播密钥MSK,完成此次组播密钥的安全分发过程。
本发明还提供一种与组播密钥的安全分发方法相应的光线路终端OLT,所述光线路终端OLT包含:
单播密钥建立模块,用于与光网络单元ONU建立单播密钥USK;
组播密钥分发模块,用于接收光网络单元ONU发送的组播密钥请求分组,提取组播密钥请求分组中光网络单元ONU请求的组播密钥对应的组播业务标识列表信息;将各组播业务标识对应的组播通告主密钥NMK使用与光网络单元ONU之间的单播密钥进行加密,构造组播密钥通告分组发送给光网络单元ONU;组播密钥分发模块通过组播密钥通告分组将光网络单元ONU请求的组播业务标识列表对应的组播通告主密钥NMK列表秘密通告给光网络单元ONU;
所述光线路终端OLT,还包含组播密钥确认模块,用于接收光网络单元ONU发送的组播密钥确认分组,确认光网络单元ONU已收到光线路终端OLT组播密钥分发模块秘密通告的组播通告主密钥NMK列表;
本发明还提供一种与组播密钥的安全分发方法相应的光网络单元ONU,其特殊之处在于:所述光网络单元ONU包含:
单播密钥建立模块,用于与光线路终端OLT建立单播密钥USK;
组播密钥请求模块,用于发送组播密钥请求分组给光线路终端OLT;组播密钥请求模块通过组播密钥请求分组将光网络单元ONU需要得到的与组播密钥对应的组播业务标识列表信息告知光线路终端OLT;
组播密钥响应模块,用于接收光线路终端OLT发送的组播密钥通告分组,解密得到组播密钥通告分组中秘密通告的组播通告主密钥NMK列表,将各组播通告主密钥NMK直接作为组播密钥MSK或对各组播通告主密钥NMK使用单向hash算法进行扩展得到对应的组播密钥MSK;
上述光网络单元的ONU的组播密钥响应模块,还可以发送组播密钥确认分组给光线路终端OLT,告知光线路终端OLT光网络单元ONU已收到光线路终端OLT秘密通告的组播通告主密钥NMK列表。
综上所述,采用本发明,可以为EPON产品所支持的多个组播业务组分配不同的组播密钥;确保组播消息下行数据尽管在EPON中以广播形式传输,也只有拥有对应组播密钥MSK的光网络单元ONU才能正确接收,获得组播消息的明文信息。本发明充分利用了EPON上行数据的单向性,对于组播密钥请求分组,不计算完整性校验,光线路终端OLT不需要对每一个组播密钥请求验证完整性校验,降低密钥分发的计算复杂度。本发明在组播密钥请求分组、组播密钥通告分组以及组播密钥通告分组中均携带了随机数,保证了组播密钥分发过程中消息的新鲜性。另外,采用本发明通过列表的形式可以实现在一个过程中完成光网络单元ONU向光线路终端OLT请求获取多个组播业务对应的组播密钥。

Claims (10)

1.一种组播密钥的安全分发方法,其特征在于:该方法包括以下步骤:
1)光网络单元ONU与光线路终端OLT建立单播密钥USK;
2)光网络单元ONU向光线路终端OLT发送组播密钥请求分组,该分组包括:组播业务标识列表信息ListMSID字段以及光网络单元ONU的随机数NONU字段;其中,光网络单元ONU的随机数NONU字段用于标识组播密钥请求分组的新鲜性;组播业务标识列表信息ListMSID字段包含一个或多个组播业务标识MSID,是光网络单元ONU请求分发的组播密钥对应的组播业务标识MSID列表;
3)光线路终端OLT收到来自光网络单元ONU的组播密钥请求分组后,构建组播密钥通告分组发送给光网络单元ONU;光线路终端OLT通过组播密钥通告分组利用光线路终端OLT与该光网络单元ONU之间的单播密钥USK将组播业务标识列表信息ListMSID字段对应的组播通告主密钥列表ListNMK以通告主密钥数据列表ListE(NMK)的形式秘密通告给光网络单元ONU;
4)光网络单元ONU收到来自光线路终端OLT的组播密钥通告分组后,解密或解密并扩展得到组播业务标识列表信息ListMSID字段中各组播业务标识MSID对应的组播密钥MSK。
2.根据权利要求1所述的组播密钥的安全分发方法,其特征在于:
在步骤1)中,光网络单元ONU与光线路终端OLT建立单播密钥USK,均根据单播密钥USK导出密钥加密密钥KEK和完整性校验密钥MAK;
步骤3)具体处理过程包括:
3.1.1)光线路终端OLT本地查找组播业务标识列表信息ListMSID字段中各组播业务标识MSID对应的组播通告主密钥NMK,构造组播通告主密钥列表ListNMK;如本地没有ListMSID字段中某一个组播业务标识MSID对应的组播通告主密钥NMK,则生成一随机数作为该组播业务标识MSID对应的组播通告主密钥NMK,并本地保存该组播通告主密钥NMK;
3.1.2)光线路终端OLT利用与该光网络单元ONU之间的密钥加密密钥KEK对组播业务标识列表信息ListMSID字段对应的组播通告主密钥列表ListNMK进行加密得到通告主密钥数据列表ListE(NMK)
3.1.3)光线路终端OLT构造组播密钥通告分组,该分组包含组播业务标识列表信息ListMSID字段、光网络单元ONU的随机数NONU字段、通告主密钥数据列表ListE(NMK)、以及完整性校验MIC1字段;其中MIC1字段是光线路终端OLT利用与该光网络单元ONU之间的单播完整性校验密钥MAK对该组播密钥通告分组中除MIC 1字段外所有字段计算得到的杂凑值;
3.1.4)光线路终端OLT将构造好的组播密钥通告分组发送给该光网络单元ONU;
步骤4)具体处理过程包括:
4.1.1)光网络单元ONU提取组播密钥通告分组中的NONU字段以及组播业务标识列表信息ListMSID字段,对比这两个字段与之前发生的组播密钥请求分组中的对应字段是否一致,若一致;则执行步骤4.1.2);否则,丢弃该分组;
4.1.2)光网络单元ONU利用与光线路终端OLT之间的单播完整性校验密钥MAK验证收到的组播密钥通告分组中MIC1字段的正确性,若正确,则执行步骤4.1.3);否则,丢弃该分组;
4.1.3)光网络单元ONU利用与光线路终端OLT之间的密钥加密密钥KEK解密通告主密钥数据列表ListE(NMK)字段,即可得到组播业务标识列表信息ListMSID字段中各组播业务标识MSID对应的组播通告主密钥NMK,根据系统策略光网络单元ONU将组播通告主密钥NMK直接作为组播密钥MSK或对组播通告主密钥NMK使用单向hash算法进行扩展得到组播密钥MSK。
3.根据权利要求1所述的组播密钥的安全分发方法,其特征在于:
在步骤1)中光网络单元ONU与光线路终端OLT建立单播密钥USK均根据单播密钥USK导出密钥加密密钥KEK和完整性校验密钥MAK;
步骤3)的具体处理过程包括:
3.2.1)光线路终端OLT本地查找组播业务标识列表信息ListMSID字段中各组播业务标识MSID对应的组播通告主密钥NMK,构造组播通告主密钥列表ListNMK;如本地没有ListMSID字段中某一个组播业务标识MSID对应的组播通告主密钥NMK,则生成一随机数作为该组播业务标识MSID对应的组播通告主密钥NMK,并本地保存该组播通告主密钥NMK;
3.2.2)光线路终端OLT利用与该光网络单元ONU之间的密钥加密密钥KEK对组播业务标识列表信息ListMSID字段对应的组播通告主密钥列表ListNMK进行加密得到通告主密钥数据列表ListE(NMK)
3.2.3)光线路终端OLT本地生成一随机数作为光线路终端OLT的随机数NOLT字段,用于标识此次密钥通告的新鲜性;
3.2.4)光线路终端OLT构造组播密钥通告分组,该分组包含组播业务标识列表信息ListMSID字段、光线路终端OLT的随机数NOLT字段、光网络单元ONU的随机数NONU字段、通告主密钥数据列表ListE(NMK)、以及完整性校验MIC2字段;其中MIC2字段是光线路终端OLT利用与该光网络单元ONU之间的单播完整性校验密钥MAK对该组播密钥通告分组中除MIC2字段外所有字段计算得到的杂凑值;
3.2.5)光线路终端OLT将构造好的组播密钥通告分组发送给该光网络单元ONU;
步骤4)的具体处理过程包括:
4.2.1)光网络单元ONU提取组播密钥通告分组中的NONU字段以及组播业务标识列表信息ListMSID字段,对比这两个字段与之前发生的组播密钥请求分组中的对应字段是否一致,若一致;则执行步骤4.2.2);否则,丢弃该分组;
4.2.2)光网络单元ONU利用与光线路终端OLT之间的单播完整性校验密钥MAK验证收到的组播密钥通告分组中MIC2字段的正确性,若正确,则执行步骤4.2.3);否则,丢弃该分组;
4.2.3)光网络单元ONU利用与光线路终端OLT之间的密钥加密密钥KEK解密通告主密钥数据列表ListE(NMK)字段,即可得到组播业务标识列表信息ListMSID字段中各组播业务标识MSID对应的组播通告主密钥NMK,根据系统策略光网络单元ONU将组播通告主密钥NMK直接作为组播密钥MSK或对组播通告主密钥NMK使用单向hash算法进行扩展得到组播密钥MSK。
4.根据权利要求3所述的组播密钥的安全分发方法,其特征在于:步骤4)后还包括步骤5)光网络单元ONU发送组播密钥确认分组给光线路终端OLT;及步骤6)光线路终端OLT接收来自光网络单元ONU的组播密钥确认分组,确认光网络单元ONU收到组播密钥,完成此次组播密钥的分发过程;其中,
步骤5)包括:
5.1)光网络单元ONU构造组播密钥确认分组,该分组包含组播业务标识列表信息ListMSID字段、光线路终端OLT的随机数NOLT字段以及完整性校验MIC3字段;其中MIC3字段是光网络单元ONU利用与光线路终端OLT之间的单播完整性校验密钥MAK对该组播密钥确认分组中除MIC3字段外所有字段计算得到的杂凑值;
5.2)光网络单元ONU将构造好的组播密钥确认分组发送给光线路终端OLT;
步骤6)包括:
6.1)光线路终端OLT提取组播密钥确认分组中的NOLT字段以及组播业务标识列表信息ListMSID字段,对比这两个字段与之前发生的组播密钥通告分组中的对应字段是否一致,若一致;则执行步骤6.2);否则,丢弃该分组;
6.2)光线路终端OLT利用与该光网络单元ONU之间的单播完整性校验密钥验证收到的组播密钥确认分组中MIC3字段的正确性,若正确,则确认光网络单元ONU收到组播密钥,完成此次组播密钥的安全分发过程;否则丢弃该分组。
5.一种组播密钥的安全分发系统,其特征在于:所述的组播密钥分发系统包括光线路终端OLT以及光网络单元ONU,所述光网络单元ONU在与光线路终端OLT建立单播密钥后,在需要请求组播密钥时,发送组播密钥请求分组给光线路终端OLT;所述光线路终端OLT收到组播密钥请求分组后,构造组播密钥通告分组将对应的组播业务通告主密钥NMK列表以密文形式发送给光网络单元ONU;所述光网络单元ONU收到组播密钥通告分组后,解密或解密并扩展得到对应的组播业务的组播密钥MSK。
6.根据权利要求5所述的组播密钥的安全分发系统,其特征在于:组播密钥的安全分发系统中光网络单元ONU构造组播密钥确认分组发送给光线路终端OLT;所述光线路终端OLT收到组播密钥确认分组后,确认光网络单元ONU收到组播密钥MSK。
7.一种光线路终端OLT,其特征在于:所述光线路终端OLT包含:
单播密钥建立模块,用于与光网络单元ONU建立单播密钥USK;
组播密钥分发模块,用于接收光网络单元ONU发送的组播密钥请求分组,提取组播密钥请求分组中光网络单元ONU请求的组播密钥对应的组播业务标识列表信息;将各组播业务标识对应的组播通告主密钥NMK使用与光网络单元ONU之间的单播密钥进行加密,构造组播密钥通告分组发送给光网络单元ONU;组播密钥分发模块通过组播密钥通告分组将光网络单元ONU请求的组播业务标识列表对应的组播通告主密钥NMK列表秘密通告给光网络单元ONU。
8.根据权利要求7所述的光线路终端OLT,其特征在于:所述光线路终端OLT还包含组播密钥确认模块,用于接收光网络单元ONU发送的组播密钥确认分组,确认光网络单元ONU已收到光线路终端OLT组播密钥分发模块秘密通告的组播通告主密钥NMK列表。
9.一种光网络单元ONU,其特征在于:所述光网络单元ONU包含:
单播密钥建立模块,用于与光线路终端OLT建立单播密钥USK;
组播密钥请求模块,用于发送组播密钥请求分组给光线路终端OLT;组播密钥请求模块通过组播密钥请求分组将光网络单元ONU需要得到与组播密钥对应的组播业务标识列表信息告知光线路终端OLT;
组播密钥响应模块,用于接收光线路终端OLT发送的组播密钥通告分组,解密得到组播密钥通告分组中秘密通告的组播通告主密钥NMK列表,将各组播通告主密钥NMK直接作为组播密钥MSK或对各组播通告主密钥MK使用单向hash算法进行扩展得到对应的组播密钥MSK。
10.根据权利要求9所述的光网络单元ONU,其特征在于:所述光网络单元ONU的组播密钥响应模块,还发送组播密钥确认分组给光线路终端OLT,告知光线路终端OLT光网络单元ONU已收到光线路终端OLT秘密通告的组播通告主密钥NMK列表。
CN 201110023141 2011-01-20 2011-01-20 一种组播密钥的安全分发方法、系统及设备 Active CN102055583B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN 201110023141 CN102055583B (zh) 2011-01-20 2011-01-20 一种组播密钥的安全分发方法、系统及设备
PCT/CN2011/079917 WO2012097601A1 (zh) 2011-01-20 2011-09-21 一种组播密钥的安全分发方法、系统及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN 201110023141 CN102055583B (zh) 2011-01-20 2011-01-20 一种组播密钥的安全分发方法、系统及设备

Publications (2)

Publication Number Publication Date
CN102055583A true CN102055583A (zh) 2011-05-11
CN102055583B CN102055583B (zh) 2012-11-14

Family

ID=43959544

Family Applications (1)

Application Number Title Priority Date Filing Date
CN 201110023141 Active CN102055583B (zh) 2011-01-20 2011-01-20 一种组播密钥的安全分发方法、系统及设备

Country Status (2)

Country Link
CN (1) CN102055583B (zh)
WO (1) WO2012097601A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012097601A1 (zh) * 2011-01-20 2012-07-26 西安西电捷通无线网络通信股份有限公司 一种组播密钥的安全分发方法、系统及设备
CN113382320A (zh) * 2020-03-10 2021-09-10 中国电信股份有限公司 基于pon的调整方法、系统和olt

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101145900A (zh) * 2006-09-15 2008-03-19 华为技术有限公司 组播方法和组播系统以及组播设备
CN101150391A (zh) * 2006-09-20 2008-03-26 华为技术有限公司 一种防止无源光网络系统中光网络单元被仿冒的方法、系统及设备

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4889984B2 (ja) * 2005-09-05 2012-03-07 三菱電機株式会社 通信システムおよび通信方法
CN1953367A (zh) * 2005-10-17 2007-04-25 中兴通讯股份有限公司 一种以太网无源光网络中组播业务加密控制的方法
CN101808286B (zh) * 2010-03-16 2012-06-13 西安西电捷通无线网络通信股份有限公司 一种适合集群系统的组播密钥协商方法及系统
CN101800943B (zh) * 2010-03-31 2012-03-07 西安西电捷通无线网络通信股份有限公司 一种适合组呼系统的组播密钥协商方法及系统
CN102055583B (zh) * 2011-01-20 2012-11-14 西安西电捷通无线网络通信股份有限公司 一种组播密钥的安全分发方法、系统及设备

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101145900A (zh) * 2006-09-15 2008-03-19 华为技术有限公司 组播方法和组播系统以及组播设备
CN101150391A (zh) * 2006-09-20 2008-03-26 华为技术有限公司 一种防止无源光网络系统中光网络单元被仿冒的方法、系统及设备

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012097601A1 (zh) * 2011-01-20 2012-07-26 西安西电捷通无线网络通信股份有限公司 一种组播密钥的安全分发方法、系统及设备
CN113382320A (zh) * 2020-03-10 2021-09-10 中国电信股份有限公司 基于pon的调整方法、系统和olt
CN113382320B (zh) * 2020-03-10 2022-05-13 中国电信股份有限公司 基于pon的调整方法、系统和olt

Also Published As

Publication number Publication date
WO2012097601A1 (zh) 2012-07-26
CN102055583B (zh) 2012-11-14

Similar Documents

Publication Publication Date Title
KR101492179B1 (ko) 사용자 단말기들 사이의 보안 연결을 확립하기 위한 방법 및 시스템
US8280055B2 (en) Optical network system and method of changing encryption keys
CN102223586B (zh) 光网络单元的注册激活方法及系统
CN101902662B (zh) 光网络单元注册激活方法及系统
US8948401B2 (en) Method for filtering of abnormal ONT with same serial number in a GPON system
CN102656838A (zh) 基于光网络终端管理控制接口的无源光网络安全性增强
CN105610590B (zh) 一种组播报文传输方法和装置
CN1943162A (zh) 带加密功能的pon系统和pon系统的加密方法
CN106712941B (zh) 一种光网络中量子密钥的动态更新方法与系统
CN109039600B (zh) 一种无源光网络系统中协商加密算法的方法及系统
EP2439871B1 (en) Method and device for encrypting multicast service in passive optical network system
CN102055583B (zh) 一种组播密钥的安全分发方法、系统及设备
CN101778311A (zh) 光网络单元标识的分配方法以及光线路终端
CN102547693B (zh) 一种无线传感网分簇安全路由方法
US20090232313A1 (en) Method and Device for Controlling Security Channel in Epon
CN103634744A (zh) 一种集群组呼端到端加密的实现方法
CN102075320B (zh) 一种组播密钥的安全更新方法、系统及设备
CN101873516A (zh) 一种吉比特无源光网络系统的光网络单元注册激活方法
CN109274489B (zh) 一种在twdm-pon系统下的认证密钥协商方法
CN101547086A (zh) 一种宽带接入网络组播控制方法、系统及装置
CN102264013A (zh) 一种基于时间标签的epon加密方法
CN101841547A (zh) 一种端到端共享密钥的建立方法及系统
JP2004260556A (ja) 局側装置、加入者側装置、通信システムおよび暗号鍵通知方法
CN101834863B (zh) 一种局域网节点间安全连接建立方法及系统
WO2011134294A1 (zh) 一种节点间安全连接建立方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant