CN105027482B - 同轴网络上的以太网无源光网络中的认证和初始密钥交换 - Google Patents

同轴网络上的以太网无源光网络中的认证和初始密钥交换 Download PDF

Info

Publication number
CN105027482B
CN105027482B CN201480010330.7A CN201480010330A CN105027482B CN 105027482 B CN105027482 B CN 105027482B CN 201480010330 A CN201480010330 A CN 201480010330A CN 105027482 B CN105027482 B CN 105027482B
Authority
CN
China
Prior art keywords
key
cnu
fcu
encryption
olt
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201480010330.7A
Other languages
English (en)
Other versions
CN105027482A (zh
Inventor
孙艳宾
吴广生
张利
吉姆·陈
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN105027482A publication Critical patent/CN105027482A/zh
Application granted granted Critical
Publication of CN105027482B publication Critical patent/CN105027482B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0471Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B10/00Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
    • H04B10/27Arrangements for networking
    • H04B10/272Star-type networks or tree-type networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • H04L9/0858Details about key distillation or coding, e.g. reconciliation, error correction, privacy amplification, polarisation coding or phase coding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Electromagnetism (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

一种方法,其包括:在密钥交换计时器过期之后生成经更新安全密钥;将所述经更新安全密钥传递到同轴网络单元(CNU);保留初始密钥,其中所述经更新安全密钥包括与所述初始密钥相比不同的密钥识别编号;接受并解密采用或所述初始密钥或所述经更新密钥的上行流量;在将所述经更新安全密钥传递到所述CNU之后形成密钥切换计时器;在所述密钥切换计时器过期之前验证从逻辑链路上的所述CNU传递的上行流量使用所述经更新安全密钥;并且当上行流量是使用所述经更新安全密钥加密时,开始使用所述经更新安全密钥以加密下行流量并清除所述密钥切换计时器。

Description

同轴网络上的以太网无源光网络中的认证和初始密钥交换
相关申请案交叉申请
本发明要求2013年4月5日由Yanbin Sun等人递交的发明名称为“用于在同轴以太网无源光网络协议中的认证和初始密钥交换的方法和装置(Method and Apparatus forAuthentication and Initial Key Exchange in an Ethernet Passive OpticalNetwork Protocol over Coax)”的第61/809,162号美国临时专利申请案以及2013年5月15日由Yanbin Sun等人递交的发明名称为“用于在同轴以太网无源光网络协议中的认证和初始密钥交换的方法和装置(Method and Apparatus for Authentication and InitialKey Exchange in an Ethernet Passive Optical Network Protocol over Coax)”的第61/823,506号美国临时专利申请案的在先申请优先权,并且要求2014年4月2日由YanbinSun等人递交的发明名称为“在同轴网络上的以太网无源光网络中的认证和初始密钥交换(Authentication and Initial Key Exchange in Ethernet Passive Optical Networkover Coax Network)”的第14/243,387号美国专利申请案的在先申请优先权,所述全部在先申请的内容如同全文复制一般以引入的方式并入本文本中。
技术领域
本申请案涉及通信技术的领域,并且更确切地说涉及在同轴网络上的以太网无源光网络中的认证和初始密钥交换。
背景技术
无源光网络(PON)是用于提供访问终端用户的核心网络的一种系统。PON可以是具有位于光分配网络(ODN)中的无源分离器以使得来自中心局的单个供给光纤服务于多个用户端的点对多点(P2MP)网络。PON可采用不同波长以用于上行和下行传输。以太网PON(EPON)是由电气和电子工程师学会(IEEE)研发并且在IEEE文档802.3ah和802.3av中说明的PON标准,所述文档以引用的方式并入本文中。采用EPON和其它网络类型这两者的混合接入网络已经吸引了越来越多的注意力。
发明内容
在一个实施例中,本发明包含光纤同轴单元(FCU),其包括:光接口,用于通过PON耦合到光线路终端(OLT);处理器,耦合到光接口;电接口,耦合到处理器,并且用于通过同轴以太网PON(EPoC)网络耦合到同轴网络单元(CNU),并通过EPoC将多个加密的安全密钥转发到CNU。
在另一实施例中,本发明包含OLT,其包括:接收器,耦合到PON并且用于通过PON接收来自FCU的安全密钥请求;处理器,耦合到接收器,并且用于响应于来自FCU的安全密钥请求生成第一安全密钥,并在安全密钥响应消息中加密第一安全密钥;以及发射器,耦合到处理器并且用于通过PON将包括加密的第一安全密钥的安全密钥响应消息传输到FCU。
在另一实施例中,本发明包含一种方法,其包括:在密钥交换计时器过期之后生成经更新安全密钥;将经更新安全密钥传递到CNU;保留初始密钥,其中经更新安全密钥包括与初始密钥相比不同的密钥识别编号;接受并解密采用或初始密钥或更新密钥的上行流量;在将经更新安全密钥传递到CNU之后形成密钥切换计时器;在密钥切换计时器过期之前验证从逻辑链路上的CNU传递的上行流量使用经更新安全密钥;并且当上行流量是使用经更新安全密钥加密时,开始使用经更新安全密钥以加密下行流量并清除密钥切换计时器。
从结合附图以及权利要求书进行的以下详细描述中将更清楚地理解这些以及其他特征。
附图说明
为了更透彻地理解本发明,现参阅结合附图和具体实施方式而描述的以下简要说明,其中的相同参考标号表示相同部分。
图1是通用光学同轴网络的一个实施例的示意图。
图2是网元(NE)的一个实施例的示意图,所述网元可以用作通用光学同轴网络中的节点。
图3是通过中继器FCU的下行认证和密钥交换的方法的一个实施例的协议图。
图4是通过网桥FCU的下行认证和密钥交换的方法的一个实施例的协议图。
图5是通过网桥FCU的双向认证和密钥交换的方法的一个实施例的协议图。
图6是通过网桥FCU的双向认证和密钥交换的方法的另一实施例的协议图。
图7是通过网桥FCU的密钥切换的方法的一个实施例的协议图。
图8是通过中继器FCU的密钥切换的方法的一个实施例的协议图。
图9是密钥切换验证的方法的一个实施例的协议图。
具体实施方式
首先应理解,尽管下文提供一项或多项实施例的说明性实施方案,但所公开的系统和/或方法可使用任何数目的技术来实施,无论该技术是当前已知还是现有的。本发明决不应限于下文所说明的说明性实施方案、附图和技术,包括本文所说明并描述的示例性设计和实施方案,而是可在所附权利要求书的范围以及其等效物的完整范围内修改。
EPoC系统可以是采用光学技术和同轴技术这两者的混合接入网络。EPoC可以包括:光学区段,其可以包括PON;以及同轴区段,其可以包括同轴电缆网络。在PON区段中,OLT可以位于本地交换局或中心局中,其中OLT可将EPoC接入网络连接到互联网协议(IP)、同步光网络(SONET)和/或异步传递模式(ATM)骨干。在同轴区段中,CNU可以位于终端用户位置处,并且每个CNU可服务于可以被称为订户的多个(例如,三个到四个)终端用户。FCU可合并网络的PON区段与同轴区段之间的接口。FCU可以是单个箱式单元,其可以位于光网络和电网络耦合在一起处,例如,在路缘或在公寓楼的地下室处。
PON系统可以假定为安全的,因为PON系统的所有元件可以由PON运营商控制。CNU可以位于用户端上,并且由于EPoC网络的无源树传输本质,每个CNU可接收指向其它CNU的数据。因为每个CNU可接收其它CNU数据,所以CNU可能遭受窃听,并且可能被视为不安全的。因此,EPoC CNU可能产生在仅光网络中不可能存在的安全问题。
本文中所揭示的是在EPoC网络中与CNU交换和更新安全密钥的机制。密钥可以用于加密和/或解密消息以抵御除既定CNU外的收听者的窃听。在一个实施例中,CNU可在认证到EPoC网络中之后请求和接收来自OLT的安全密钥。密钥可以是加密的以防止密钥被其它收听者获得。位于OLT与CNU之间的FCU可充当中继器,并且可透明地将密钥传递到CNU。在另一实施例中,FCU可以网桥模式配置并且可充当代理伺服器,方法是在光网络和电网络中生成密钥和/或保持独立的安全域。此类密钥可以用于加密仅下行消息和/或双向消息。FCU和/或OLT可在计时器过期之后进一步传递经更新安全密钥。OLT和/或FCU也可以验证至经更新密钥的转换是成功的。
图1是通用光学同轴网络100的一个实施例的示意图,所述光学同轴网络包括:光域150,例如,光纤/PON域;以及同轴域152,例如,EPoC域。网络100可以包含:OLT 110;至少一个CNU 130,耦合到多个订户设备140;以及FCU 120,其位于OLT 110与CNU 130之间,例如,位于光域150与同轴域152之间。OLT 110可以通过ODN 115耦合到FCU 120,并且任选地耦合到一或多个ONU 170,或光域150中的一或多个混合光纤同轴(HFC)节点160。ODN 115可以包括光纤、光学分离器117和/或将OLT 110耦合到FCU 120和任何ONU 170的1×M个无源光学分离器的级联。EPoC中M的值,例如,FCU的数目,可例如是4、8、16或其它值并且可以由运营商取决于光功率预算等因素来选择。FCU 120可以通过电力分配网络(EDN)135耦合到CNU 130,所述电力分配网络可以包括电缆分离器137、分接头/分离器的级联和/或一或多个放大器。每个OLT 110端口可服务32、64、128或256个CNU 130。应注意,由于分接头的方向性特性来自CNU 130的上行传输可到达FCU 120而不是其它CNU 130。OLT 110与ONU 170和/或FCU 120之间的距离可在大约10到大约20千米(km)的范围内,并且FCU 120与CNU 130之间的距离可在大约100到大约500米(m)的范围内。网络100可以包括任何数目的HFC 160、FCU120和对应的CNU 130。网络100的组件可以按图1中所示布置或是任何其它合适的布置。
网络100的光域150可以包括PON。光域150可以是可能不需要有源组件以在OLT110与FCU 120之间分配数据的通信网络。实际上,光域150可采用ODN 115中的无源光组件以在OLT 110与FCU 120之间分配数据。可以在光域150中实施的合适的协议的实例可以包含:由国际电信联盟(ITU)电信标准化部门(ITU-T)文档G.983定义的异步传递模式PON(APON)或宽带PON(BPON)、由ITU-T文档G.984定义的千兆比特PON(GPON)、由IEEE文档802.3ah和802.3av定义的EPON,所有所述文档如同全文复制一般以引用的方式并入;波分复用(WDM)PON(WDM-PON)以及由IEEE开发的下一代EPON(NGEPON)。
OLT 110可以是用于通过FCU 120与CNU 130通信的任何设备。OLT110可充当FCU120和/或CNU 130与另一骨干网(例如,互联网)之间的中介。OLT 110可将从骨干网接收的数据转发到FCU 120和/或CNU 130,并且将从FCU 120或CNU 130接收的数据转发到骨干网上。虽然OLT 110的特定配置可取决于在光域150中实施的光学协议的类型而改变,但是在一个实施例中,OLT 110可以包括光发射器和光接收器。当骨干网采用不同于在光域150中使用的协议的网络协议时,OLT 110可以包括可以将骨干网协议转换成光域150的协议的转换器。OLT转换器也可以将光域150协议转换成骨干网协议。在一个实施例中,OLT 110可以用于充当有线数据传输业务接口规范(DOCSIS)设备,并且可以实施如在DOCSIS文档DPoE-SP-IPNEv1.0-I06-130808中所论述的EPON的DOCSIS供应(DPoE)方案和/或GPON的DOCSIS供应(DPoG)方案,所述文档以引用的方式并入。
ODN 115可以是可以包括光纤电缆、耦合器、分离器、分配器和/或其它设备的数据分配系统。在一个实施例中,光纤电缆、耦合器、分离器、分配器和/或其它设备可以是无源光组件。具体来说,光纤电缆、耦合器、分离器、分配器和/或其它设备可以是并不需要任何电力以在OLT 110与FCU 120之间分配数据信号的组件。应注意,在一些实施例中光纤电缆可以由任何光传输媒体替代。在一些实施例中,ODN 115可以包括一或多个光放大器。在一些实施例中,跨越ODN分布的数据可以使用多路复用方案与有线电视(CATV)服务组合。ODN115可在如图1中所示的分支配置中从OLT 110延伸到FCU 120和任何可选ONU 170,但是可以如所属领域的技术人员所确定的替代地进行配置。如下文所论述,OLT 110也可以管理OLT 110与FCU 120之间的安全和/或OLT 110与CNU 130之间的安全。
FCU 120可以是用于将来自OLT 110的下行数据转发到对应的CNU130以及将来自CNU 130的上行数据转发到OLT 110的任何设备或组件。FCU 120可适当地转换下行数据和上行数据以在光域150与同轴域152之间传递数据。在ODN 115上传递的数据可以呈光信号的形式传输和/或接收,并且在EDN 135上传递的数据可以呈可具有相比于光信号相同或不同逻辑结构的电信号的形式传输和/或接收。因此,FCU 120可以不同方式包封或框住光域150和同轴部分152中的数据。在一个实施例中,对应于在相应的媒体上承载的信号的类型,FCU 120可以包含媒体接入控制(MAC)层和物理(PHY)层。MAC层可向PHY层提供寻址和信道接入控制服务。因此,PHY可以包括光学PHY和同轴PHY。在许多实施例中,FCU 120可以对CNU130和OLT 110透明,因为从OLT 110发送到CNU 130的帧可以直接寻址到CNU 130(例如,在目的地地址中),且反之亦然。因此,FCU 120可位于网络部分之间的中间,即,在图1的实例中的光域150与同轴部分152之间的中间。在一些实施例中,FCU 120可用于用作中继器或用作网桥。当用作中继器时,FCU 120可在ODN 115与EDN 135之间透明地转发数据,方法是执行光电转换而无需改变相关联的信号。中继器FCU 120可仅执行开放系统互连(OSI)层1功能。当用作网桥时,FCU可执行路由功能、数据更改、安全功能等。举例来说,处于网桥模式的FCU120可维持ODN 115与EDN 135之间的独立的安全域。FCU 120也可以充当代理伺服器、中继器等,并且可执行安全认证、安全密钥生成、消息加密、消息解密,和/或如下文中更全面地讨论的其它安全或路由功能。
ONU 170可以是用于与OLT 110通信的任何设备并且可终止网络的光域150。ONU170可表示到终端用户的客户服务接口。
网络100的同轴域152可以类似于任何已知的电通信系统。同轴域152可能不需要任何有源组件以在FCU 120与CNU 130之间分配数据。实际上,同轴域152可使用EDN 135中的无源电力组件以在FCU 120与CNU130之间分配数据。替代地,同轴域152可使用一些有源组件,例如,放大器。可以在同轴域152中实施的合适的协议的实例包含同轴电缆多媒体联盟(MoCA)、G.hn、家庭电话线连网联盟(HPNA)和家用电力线A/V。
EDN 135可以是可以包括电力电缆(例如,同轴电缆、绞合线等)、耦合器、分离器、分配器和/或其它设备的数据分配系统。在一个实施例中,电力电缆、耦合器、分离器、分配器和/或其它设备可以是无源电力组件。具体来说,电力电缆、耦合器、分离器、分配器和/或其它设备可以是并不需要任何电力以在FCU 120与CNU 130之间分配数据信号的组件。应注意,在一些实施例中电力电缆可以由任何电力传输媒体替代。在一些实施例中,EDN 135可以包括一或多个电力放大器。EDN 135可在如图1中所示的分支配置中从FCU 120延伸到CNU130,但是可以如所属领域的技术人员所确定的替代地进行配置。
在一个实施例中,CNU 130可以是用于与OLT 110、FCU 120和任何订户设备140通信的任何设备。CNU 130可充当FCU 120与订户设备140之间的中介。举例来说,CNU 130可将从FCU 120接收的数据转发到订户设备140,并且可将从订户设备140接收的数据转发到OLT110。虽然CNU130的特定配置可取决于网络100的类型而改变,但是在一个实施例中,CNU130可以包括用于将电信号发送到FCU 120的电力发射器以及用于从FCU 120接收电信号的电力接收器。另外,CNU 130可以包括转换器,其可以将FCU 120电信号转换成用于订户设备140的电信号,例如,IEEE802.11无线局域网(WiFi)协议中的信号。CNU 130可进一步包括可发送和/或接收经转换电信号到订户设备140的第二发射器和/或接收器。CNU130可以通常位于经分配位置处,例如,用户端,但是也可以位于其它位置处。
订户设备140可以是用于与用户或用户设备介接的任何设备。举例来说,签约设备140可以包含电缆调制解调器(CM)台式计算机、膝上型计算机、平板计算机、移动电话、住宅网关、电视、机顶盒(STB)和类似设备。
由于光纤通信的本质,例如ODN 115等PON对于窃听和其它形式的安全威胁可以是本质安全的。因此,PON可能总体上不传送加密的通信。相比之下,例如EDN 135等电力网络可能易受此类安全威胁的影响,例如,因为电力线路可以无源地监控而无需中断连接。另外,未经授权的设备可能尝试利用EPoC网络的广播本质以窃听在第一CNU 130处接收到的意图用于不相关的第二CNU 130的通信。另外,未经授权的设备可能主动地尝试模仿经过授权的CNU 130。因此,EDN 135可能不被视为安全的。因此,网络100可能采用本文中讨论的任何协议以在OLT 110、特定的FCU120和特定的CNU 130之间加密和交换安全密钥。一旦安全地交换了密钥,网络100就可通过采用密钥加密和/或解密通信。另外,可以例如基于计时器将密钥设定成过期。网络100可采用本文中所揭示的任何协议以从第一密钥/第一组密钥切换到第二密钥/第二组密钥和/或验证切换的完成。
图2是NE 200的一个实施例的示意图,NE 200可通过实施本文中描述的任何方案充当OLT、FCU和/或CNU(例如,相应地OLT 110、FCU 120和/或CNU 130)。在一些实施例中NE200也可以充当网络100中的其它节点。所属领域的技术人员将认识到术语NE涵盖宽广范围的设备,其中NE 200仅仅是一个实例。为了便于清晰的讨论而包含NE 200,但绝不意图将本发明的应用限制于特定NE实施例或NE实施例的类别。本发明中描述的特征/方法中的至少一些可以例如NE 200等网络装置或组件实施。举例来说,本发明中的特征/方法可以使用硬件、固件和/或经安装以在硬件上运行的软件来实施。如图2中所示,NE 200可以包括收发器(Tx/Rx)210,其可以是发射器、接收器或其组合。相应地,Tx/Rx 210可以耦合到多个下行端口220以用于发射和/或接收来自其它节点的帧,并且Tx/Rx210可以耦合到多个上行端口250以用于发射和/或接收来自其它节点的帧。相应地,下行端口220和/或上行端口250可含有电力和/或光学传输和/或接收组件以用于与下行和/或上行网络通信。处理器230可以耦合到Tx/Rx 210以处理帧和/或确定发送帧到哪些节点。处理器230可以包括一或多个多核心处理器和/或存储器设备232,其可充当数据存储装置、缓冲器等。处理器230可以实施为通用处理器或可以是一或多个专用集成电路(ASIC)和/或数字信号处理器(DSP)的一部分。处理器230可以包括安全模块234,所述安全模块可用于交换安全密钥、认证设备、执行切换、验证切换完成、加密通信和/或执行本文中所揭示的任何协议。在替代性实施例中,安全模块234可实施为存储于存储器设备232中的指令,所述指令可以由处理器230执行。在另一个替代性实施例中,安全模块234可以在独立的NE 200上实施。存储器设备232可以包括用于临时存储内容的高速缓冲存储器,例如,随机存取存储器(RAM)。另外,存储器设备232可以包括用于相对更长地存储内容的长期存储装置,例如,只读存储器(ROM)。举例来说,高速缓冲存储器和长期存储装置可以包含动态随机存取存储器(DRAM)、固态驱动器(SSD)、硬盘,或其组合。
应理解,通过将可执行指令编程和/或加载到NE 200上,处理器230、存储器设备232、Tx/Rx 210、下行端口220和/或上行端口250中的至少一者发生改变,从而将NE 200部分地转换成具有本发明所教示的新颖功能的特定机器或装置,例如,多核心转发架构。对于电力工程及软件工程技术来说基本的是,可通过将可执行软件加载到计算机中而实施的功能性可通过熟知设计规则而转换为硬件实施方案。在软件还是硬件中实施概念之间的决策通常与对设计的稳定性和待产生的单元的数目的考虑有关,而与从软件域转移到硬件域所涉及的任何问题无关。通常,仍在经受频繁改变的设计优选可在软件中实施,因为重改硬件实施方案比重改软件设计更为昂贵。通常,将以较大量产生的稳定的设计可以优选在硬件中实施,例如在ASIC中实施,因为运行硬件实施方案的大型生产可能比软件实施方案更便宜。通常,设计可以软件形式开发和测试,并且随后通过熟知设计规则转换为用以硬线连接软件的指令的ASIC中的等效硬件实施方案。以与由新ASIC控制的机器为特定机器或装置相同的方式,同样,已经编程和/或加载有可执行指令的计算机可看作特定机器或装置。
图3是通过中继器FCU的下行认证和密钥交换的方法300的一个实施例的协议图,所述方法可以在例如网络100等网络中实施,方法是采用OLT、以中继器模式操作的FCU,以及CNU,例如,相应地,OLT 110、FCU 120以及CNU 130。因为FCU用作中继器,所以FCU可在OLT与CNU之间转发通信,并且从协议角度来看可基本上保持对通信透明。在步骤301处,CNU可连接到网络并且可通过FCU与OLT通信而以在OLT上操作的DPoE/DPoG系统注册。在注册期间,CNU可以指派唯一逻辑链路识别符(LLID),所述识别符可以用于表示如去往CNU/从CNU接收的特定通信。CNU与OLT之间的所有通信可以通过与指派LLID相关联的逻辑链路传输。在步骤303处,OLT上的DPoE/DPoG系统可通过FCU通过与CNU交换操作、管理和维护(OAM)消息而发现CNU能力。
在步骤310处可以通过执行步骤311、313、315和/或317来执行CNU认证。在步骤311处,CNU可将传输层安全(TLS)客户端问候消息传输到OLT,这可开始与OLT的握手。在步骤313处,响应于TLS客户端问候,OLT可传输一或多个消息,包括TLS服务器问候、请求来自CNU的证书的证书请求、以及指示握手完成的TLS问候完成。在步骤315处,CNU可将所请求的TLS证书传输到OLT。证书可以由OLT采用以验证CNU是经过授权的CNU且不是入侵者。CNU可进一步传输证书验证和/或完成消息以请求OLT验证证书并且指示证书传输完成。在步骤317处,OLT可传输证书完成消息以指示证书经验证且CNU经认证。应注意,在一些实施例中,OLT也可以传输单独的成功消息以指示成功的验证。
在步骤320处,OLT可通过采用步骤321、323和/或325与CNU交换安全密钥以用于通信加密。在步骤321处,CNU可将开始密钥交换请求传输到OLT。开始密钥交换请求可以包括用于CNU的公共密钥。在步骤323处,OLT可选择随机安全注意密钥(SAK)以用于与CNU通信。SAK可以通过采用来自CNU的公共密钥用Rivest、Shamir、Adleman(RSA)算法加密。OLT可随后将RSA加密的SAK连同SAK的散列一起传输到CNU,SAK的散列可以由CNU采用以验证SAK。在步骤325处,CNU可采用与公共密钥相关联的私用密钥以解密和验证SAK。CNU可随后传输确认到OLT以指示已经接收到和/或安装SAK。可以根据ITU-T文档推荐X.509选择公共密钥和私用密钥,所述文档以引用的方式并入。一旦解密和/或安装在CNU上,SAK就可以用于加密/解密OLT与CNU之间的下行和/或上行通信,以便确保CNU和OLT(但不是未经授权的设备)可以解密通信。方法300可用于防止CNU和/或连接到CNU上的未经授权的设备窃听与其它CNU相关联的下行通信。因此,来自OLT的树上的每个CNU可接收到针对所述树上的所有其它CNU的下行帧。然而,每个CNU仅可能够解密其自身的帧。另外,位于CNU与OLT之间的未经授权的监听设备可无法解密在OLT与CNU之间(例如,上行和/或下行)传输的帧。
图4是通过网桥FCU的下行认证和密钥交换的方法400的一个实施例的协议图,所述方法可以在例如网络100等网络中实施,方法是采用OLT、以网桥模式操作的FCU,以及CNU,例如,相应地OLT 110、FCU120以及CNU 130。方法400可以类似于方法300,但是可采用FCU处的认证中继器来管理电域中的加密。方法400可以用于允许电域中的下行加密的管理从OLT移到FCU。在步骤401处,OLT可与FCU的光纤/光学侧交换加密密钥。在步骤403处,FCU可以通过在OLT上操作的DPoE和/或DPoG系统认证。在步骤405处,CNU可以实质上类似于步骤301的方式以在OLT上操作的DPoE和/或DPoG系统注册。也可以类似于步骤303的方式在步骤405处发现CNU能力。在步骤410处,CNU可以通过步骤411到418认证。步骤411、413、415和417可以相应地实质上类似于步骤311、313、315和317。然而,步骤411、413、415和417的消息可以在相应地在步骤412、414、416和418处转发之前由FCU拦截和/或解释。在步骤420处,FCU可通过采用步骤421、423和425与CNU交换密钥。步骤421、423和425可以实质上类似于步骤321、323和325,但是FCU可以是负责生成加密的SAK并且将其传输到CNU的实体。桥接的FCU可维持跨越电域加密/解密消息的职责并且OLT可维持跨越光域加密/解密消息的职责。FCU可接收来自OLT的加密的消息、解密消息、重新加密它们以用于电域(例如,通过采用差异SAK),并且将它们转发到CNU,且反之亦然。在替代性实施例中,消息可以不跨越光域加密且可以仅跨越电域加密(例如,通过FCU)。
图5是通过网桥FCU的双向认证和密钥交换的方法500的一个实施例的协议图,所述方法可以在例如网络100等网络中实施,方法是采用OLT、以网桥模式操作的FCU,以及CNU,例如,相应地,OLT 110、FCU120以及CNU 130。步骤501、503、505和511可以相应地实质上类似于步骤401、403、405和411。FCU可以包括认证代理伺服器,所述代理伺服器可以接受511的TLS客户端问候消息并且可以在步骤513处将TLS服务器密钥交换请求和证书请求传输到CNU而无需与OLT通信。服务器密钥交换请求可以包括用于FCU的RSA公共密钥。FCU可采用2048位公共密钥/私用密钥对以支持预备主密码(PMS)的交换。
在步骤515处,CNU可在接收步骤513的证书请求之后通过传输TLS证书开始双向认证。CNU也可以传输客户端密钥交换消息和/或证书验证消息以请求证书的验证。CNU可生成PMS以包含在客户端密钥交换消息中,当生成相关联的SAK时PMS可以由FCU采用。PMS值可以使用RSA算法和与FCU相关联的公共密钥加密。FCU可以察觉与公共密钥相关联的私用密钥并且可采用所述私用密钥以解密PMS。网桥模式FCU可不包括证书和/或认证功能,因此FCU可在步骤516处以类似于步骤416的方式将CNU TLS证书和证书验证中继转发到OLT。OLT可在步骤517处以类似于步骤417的方式传输证书完成消息以确认证书的接收。在步骤518处,OLT可进一步传输成功消息以指示CNU证书的成功认证。
在接收步骤518的成功消息之后,FCU可执行步骤520以生成用于消息加密的SAK。举例来说,在步骤515处从CNU接收的PMS可以用于生成连接关联密钥(CAK)。可以将高级加密标准(AES)加密消息认证码(CMAC)应用于CAK以生成密钥加密密钥(KEK)。在互联网工程任务组(IETF)文档请求注解(RFC)4493中讨论了AES CMAC,所述文档以引用的方式并入。在IEEE文档802.1X中讨论了CAK和KEK,所述文档以引用的方式并入。FCU可采用随机数生成器(RNG)来生成随机SAK并且使用KEK加密SAK,方法是采用如在IETF文档RFC 3394中所论述的AES加密算法,所述文档以引用的方式并入。加密的SAK可以使用如在IEEE 802.1AE中所论述的MACsec密钥协商(MKA)协议消息传输到CNU,IEEE 802.1AE以引用的方式并入。
在步骤521处,CNU可以类似于步骤520的方式从PMS中生成KEK。在接收来自步骤523的MKA消息之后,CNU可采用衍生的KEK以解密消息并且获得SAK。SAK可随后由CNU和/或FCU采用以跨越电域加密上行和/或下行通信。此类通信可以由FCU加密/解密以用于传输到光域/从光域传输。采用一些其它加密机制,当采用在步骤501中传输的密钥跨越光域传输时此类通信可以得到加密,和/或可以普通文本传输。
图6是通过网桥FCU的双向认证和密钥交换的方法600的另一实施例的协议图,所述方法可以在例如网络100等网络中实施,方法是采用OLT、以网桥模式操作的FCU,以及CNU,例如,相应地,OLT 110、FCU120以及CNU 130。方法600可以包括类似于方法400和/或500的步骤,但是可以将PMS传递到OLT以用于SAK的生成。步骤601、603、605、611和612可以相应地实质上类似于步骤401、403、405、411和412。在接收步骤612的TLS客户端问候消息之后,OLT可在步骤613处以类似于步骤513的方式传输TLS服务器密钥交换和证书请求消息。证书请求消息可以包括用于OLT的公共密钥。在步骤614处,FCU可传输TLS FCU密钥交换和证书请求消息到CNU。步骤614的消息可以类似于步骤613的消息,但是替代或补充用于OLT的公共密钥可以包括用于FCU的公共密钥。在步骤615处,CNU可以类似于步骤515的方式采用FCU公共密钥以将PMS传输到FCU。在步骤616处,FCU可以类似于步骤615的方式通过采用OLT公共密钥获得PMS并且将PMS转发到OLT。在步骤622处,OLT可通过采用PMS形成CAK并且可以类似于步骤520的方式生成SAK。在步骤620和621处,FCU和CNU相应地可以类似于步骤521的方式通过采用PMS生成KEK。在步骤623处,OLT可以类似于步骤523的方式在通过KEK加密的MKA消息中传输SAK。在步骤624处,FCU可将MKA消息转发到CNU。在步骤625和627处,FCU和CNU相应地可通过采用KEK解密MKA消息以获得该SAK。随后SAK可用于OLT与CNU之间的上行和/或下行通信。可以通过OLT、FCU和CNU加强安全,因为每个设备可以察觉SAK。
在步骤728处,FCU可已经接收到经更新/新的SAK。FCU可以继续采用当前的/旧的SAK直至检测到通过CNU的使用防止已在传输的消息通过CNU变成不可用(例如,在此类消息在经更新SAK在CNU处配置之前到达的情况下)。在步骤729处,CNU可以接收经更新SAK并且可以开始针对所有上行通信采用经更新SAK。因为FCU发送经更新SAK,所以CNU可以假定FCU可以已经采用经更新SAK。CNU也可以保留当前的SAK用于解密下行通信直至切换完成。在步骤731处,所有上行通信可以采用经更新SAK,而所有下行通信可以继续采用当前SAK。FCU可以维持经更新密钥和当前密钥这两者,并且可以接受任何接收到的加密文本并且用任一密钥解密所述文本。在步骤733处,FCU可以接收来自采用经更新密钥的CNU的消息。FCU可以通过存储在消息的帧标中的密钥识别数据检测消息采用经更新密钥。FCU可以随后切换并且开始用经更新密钥传输所有下行消息。在步骤735处,下行和上行通信都可以采用经更新SAK。在步骤737处,CNU可以开始接收通过经更新密钥加密的下行通信,在该点SAK使用可以经过同步并且切换可以视作完成的。经更新SAK可以用于双向通信直至经更新SAK例如由于计时器过期而过期。此类计时器可以在步骤723和/或724处的MKA消息的传输之后、在步骤733处的同步检测和/或方法700中的任何其它步骤之后启动。在计时器过期之后,经更新SAK可以被当作当前的/旧的SAK并且另一经更新/新的SAK可以通过方法700指派。
图8是通过中继器FCU的密钥切换的方法800的一个实施例的协议图,所述方法可以在例如网络100等网络中实施,方法是采用OLT、以中继器模式操作的FCU,以及CNU,例如,相应地,OLT 110、FCU 120以及CNU 130。方法800可以类似于方法700,但是可以采用保持对切换透明的FCU,这可以引起通过OLT管理而不是通过FCU管理。在步骤823处,OLT可以类似于步骤723的方式用加密的经更新SAK传输MKA消息。在步骤825和827处,OLT和CNU相应地可以类似于步骤725和727的方式解密和/或安装经更新SAK。在步骤828处,OLT可以继续采用当前密钥用于下行通信加密并且以类似于步骤728的方式通过或当前密钥或经更新密钥准备解密上行通信。在步骤829处,CNU可以如步骤729接收经更新SAK并且开始采用经更新SAK用于上行通信。在步骤831处,所有上行通信可以采用经更新SAK,而所有下行通信可以继续采用当前SAK。步骤833、835和837可以实质上类似于步骤733、735和737,但是可以代替于FCU在OLT上的相关部分中执行。
图9是密钥切换验证的方法900的一个实施例的协议图,所述方法可以在例如网络100等网络中实施,方法是采用OLT、以网桥模式操作的FCU,以及CNU,例如,相应地,OLT110、FCU 120以及CNU 130。当在OLT处需要切换的明确确认时可以采用方法900。步骤923、924、925和927可以相应地实质上类似于步骤723、724、725和727。在完成步骤925和927之后,FCU和CNU相应地可以开始传输通过经更新SAK加密的上行通信。在步骤931处,OLT可以将以太网OAM(eOAM)CNU密钥切换消息传输到FCU以请求验证经更新SAK由CNU相应地在步骤924和927处成功地接收并安装。在步骤932处,FCU可以将eOAM CNU密钥切换消息转发到CNU。在步骤933处,CNU可以传输eOAM CNU密钥切换确认消息以指示在CNU处切换是成功的。FCU可以随后开始采用经更新SAK用于加密下行通信。在步骤934处,eOAM CNU密钥切换确认消息可以转发至OLT。在步骤935处,OLT可以将eOAM FCU密钥切换消息传输到FCU以验证经更新SAK由FCU相应地在步骤923和925处成功地接收并安装。在步骤937处,FCU可以传输eOAM FCU密钥切换确认消息以指示在FCU处切换是成功的。在接收两个确认(例如,934和937)之后,OLT可以开始采用经更新SAK用于下行通信。
总而言之就本文中所讨论的材料来说,本发明描述对DPoE规范的扩展以在EPoC网络中支持订户数据保密性和流量加密。订户数据保密性可以包含设备认证和密钥交换以验证FCU和CNU(以及所附证书)可以确保用于订户数据的数据路径加密。在EPoC网络中,DPoE系统可以使用FCU光纤接口(FCU-F)MAC地址作为FCU的身份,并且使用CNU MAC地址作为CNU的身份。当连接到中继器FCU(R-FCU)的CNU开启时,每个逻辑链路可以通过多点控制协议(MPCP)发现过程将其MAC地址报告给DPoE系统。当连接到网桥FCU(B-FCU)的CNU开启时,CNU可以用B-FCU注册其逻辑链路。B-FCU可以使用如本文中所论述的OAM消息将每个逻辑链路的MAC地址报告给DPoE系统。当B-FCU或R-FCU开启时,它可以将耦合到EPON的每个逻辑链路报告给DPoE系统。
在EPoC网络中,DPoE系统(例如,在OLT中)可以使用如本文中所说明的ITU-TX.509证书验证每个CNU和FCU。本发明规定机制和协议以支持通过R-FCU的DPoE系统与CNU之间的双向流量加密、同轴链路上的B-FCU与CNU之间的双向流量加密以及EPON链路上的DPoE系统与B-FCU之间的双向流量加密。
如本文中所说明,具有中继器FCU、DPoE系统和CNU的EPoC网络可以支持双向端到端流量加密和CNU认证。在具有网桥FCU的EPoC网络中,流量可以在两个单独的域中加密:光域和同轴域。如本文中所说明,B-FCU和CNU可以支持同轴域中的双向流量加密。如本文中所说明,DPoE系统和B-FCU可以支持光域中的双向流量加密。为了能够转发流量,B-FCU可以解密从两个域中的任一者接收的流量。当同轴域使用不同加密密钥时,B-FCU可以在将流量转发到同轴域之前对流量进行加密。当光域使用不同加密密钥时,B-FCU可以在将流量转发到光域之前对流量进行加密。
DPoE系统可以使用X.509证书来认证CNU,如本文中所论述的所述证书可以使用可扩展认证协议(EAP)-TLS修复。DPoE系统可以验证CNU证书并且拒绝服务于呈现无效证书的CNU。一旦CNU已经成功地得到认证,LLID流量就可以使用密钥加密,所述密钥是使用本文中说明的密钥交换协议交换的。
当出现密钥交换时,DPoE系统可以创建初始化至配置值的计时器,所述配置值可以至少是10秒并且可以不超过65535秒。此计时器可以用于密钥交换计时器过期事件。当给定逻辑链路已经配置为安全信道时,DPoE系统可以生成与所述链路相关联的128位随机密钥字符串。所述密钥字符串可用于在DPoE系统与CNU之间加密和解密数据。新密钥可以使用MACSec密钥协商(MKA)协议传输到CNU。密钥交换机制可以使密钥过期以限制成功的密钥提取攻击的使用寿命。密钥交换计时器的过期可以触发DPoE系统以生成新安全密钥并且传送新密钥到CNU。DPoE系统可以保留初始密钥并且可以传送具有与初始密钥不同的密钥识别编号的新密钥。DPoE系统可以通过或有源的或下一密钥接受并解密加密文本。在加密文本的标中传送的密钥识别编号可以识别由CNU使用的用于该帧的加密密钥。图8可描绘在密钥交换计时器过期时采用的密钥交换过程。
在传递新SAK到CNU之后,DPoE系统可以创建密钥切换计时器。在此计时器过期之前,DPoE系统可以验证CNU使用新SAK在上行逻辑链路上传递加密文本。如果上行逻辑链路仍然接收普通文本或在密钥切换计时器过期时通过先前密钥加密的流量,那么DPoE系统可以向管理软件发信号告警,并且可以将密钥重新传输到CNU。如果在三次连续尝试之后,DPOE系统并未检测到逻辑链路上的上行流量在使用新SAK,那么DPOE系统可以注销逻辑链路。如果上行流量是使用新SAK加密的,那么DPoE系统可以开始使用新SAK以加密下行流量并清除密钥切换计时器。
本文所述的DPoE系统和B-FCU可以支持认证和双向密钥交换过程。DPoE系统与B-FCU之间的认证和双向密钥交换过程可以类似于在DPoE系统与具有R-FCU的CNU之间使用的双向过程。在CNU已经成功地注册到B-FCU之后,DPoE系统可以采用如本文中所论述的过程来认证CNU。DPoE系统、B-FCU和CNU可以使用本文中描述的密钥交换过程以支持同轴链路上的双向加密。DPoE系统可以使用OAM消息将MSK发送到B-FCU。当B-FCU接收OAM消息时,B-FCU可以生成CAK、KEK和新SAK。当SAK成功地安装在CNU中时,CNU可以使用SAK加密经传输的帧。B-FCU可以使用相同SAK解密从CNU接收的帧。当光域SAK不同于同轴域的SAK时,B-FCU可以在上行传输之前使用光域SAK加密帧。在下行方向上,B-FCU可以使用光域SAK解密从DPoE系统接收的帧。B-FCU可以处理经解密的帧以确定用于每个帧的转发行为。当光域SAK不同于同轴域的SAK时,在将帧传输到CNU之前,B-FCU可以使用同轴域SAK加密帧。
当出现密钥交换时,B-FCU可以创建初始化至配置值的计时器,所述配置值可以至少是十秒并且可以不超过65535秒。当此计时器过期时,B-FCU可以生成新SAK。当给定CNU逻辑链路已经配置为安全信道时,B-FCU可以生成与所述链路相关联的128位随机密钥字符串。密钥字符串(例如,SAK)可用于在B-FCU与CNU之间加密和解密数据。SAK第一次生成时可以是在B-FCU接收来自DPoE系统的MSK时。之后B-FCU可以在密钥交换计时器过期时生成SAK。新密钥可以使用MKA协议发送到CNU。在B-FCU已经将新SAK发送到CNU之后,B-FCU可以启动切换计时器。B-FCU可以保留当前SAK和新SAK。B-FCU可以继续使用当前SAK用于下行流量加密直至它检测到CNU上行流量以新SAK加密为止。如图7中所示,当B-FCU检测到CNU上行流量以新SAK加密时,B-FCU可以开始使用新SAK用于下行流量加密并清除新密钥切换计时器。当密钥切换计时器过期时,B-FCU可以重新传输包含新SAK的MKA消息到CNU。如果在3次连续尝试之后,B-FCU并未检测到逻辑链路上的上行流量在使用新SAK,那么B-FCU可以注销逻辑链路。
本发明公开至少一项实施例,且所属领域的普通技术人员对所述实施例和/或所述实施例的特征作出的变化、组合和/或修改均在本发明公开的范围内。因组合、合并和/或省略所述实施例的特征而得到的替代性实施例也在本发明的范围内。在明确说明数字范围或限制的情况下,此类表达范围或限制应被理解成包括在明确说明的范围或限制内具有相同大小的迭代范围或限制(例如,从约为1到约为10包括2、3、4等;大于0.10包括0.11、0.12、0.13等)。例如,只要公开具有下限Rl和上限Ru的数字范围,则明确公开了此范围内的任何数字。具体而言,在所述范围内的以下数字是明确公开的:R=R1+k×(Ru-R1),其中k为从1%到100%范围内以1%递增的变量,即,k为1%、2%、3%、4%、7%……70%、71%、72%……97%、96%、97%、98%、99%或100%。此外,由上文所定义的两个数字R定义的任何数字范围也是明确公开的。除非另有说明,否则术语约是指随后数字的±10%。相对于权利要求的任一元素使用术语"选择性地"意味着所述元素是需要的,或者所述元素是不需要的,两种替代方案均在所述权利要求的范围内。使用如“包括”、“包含”和“具有”等较广术语应被理解为提供对如“由……组成”、“基本上由……组成”以及“大体上由……组成”等较窄术语的支持。因此,保护范围不受上文所陈述的说明限制,而是由所附权利要求书界定,所述范围包含所附权利要求书的标的物的所有等效物。每一和每条权利要求作为进一步揭示内容并入说明书中,且所附权利要求书是本发明的实施例。对所述揭示内容中的参考进行的论述并非承认其为现有技术,尤其是具有在本申请案的在先申请优先权日期之后的公开日期的任何参考。本发明中所引用的所有专利、专利申请案和公开案的揭示内容特此以引用的方式并入本文本中,其提供补充本发明的示例性、程序性或其它细节。
虽然本发明中已提供若干实施例,但应理解,在不脱离本发明的精神或范围的情况下,本发明所公开的系统和方法可以以许多其他特定形式来体现。本发明的实例应被视为说明性而非限制性的,且本发明并不限于本文本所给出的细节。例如,各种元件或部件可以在另一系统中组合或合并,或者某些特征可以省略或不实施。
此外,在不脱离本发明的范围的情况下,各种实施例中描述和说明为离散或单独的技术、系统、子系统和方法可以与其它系统、模块、技术或方法进行组合或合并。展示或论述为彼此耦合或直接耦合或通信的其它项也可以采用电方式、机械方式或其它方式通过某一接口、设备或中间部件间接地耦合或通信。其他变化、替代和改变的示例可以由本领域的技术人员在不脱离本文精神和所公开的范围的情况下确定。

Claims (17)

1.一种光纤同轴单元(FCU),其特征在于,包括:
光接口,用于通过无源光网络(PON)耦合到光线路终端(OLT);以及从所述OLT接收下行流量;
处理器,耦合到所述光接口;
电接口,耦合到所述处理器并且用于通过同轴以太网PON(EPoC)网络耦合到同轴网络单元(CNU);通过所述EPoC将多个加密的安全密钥传输到所述CNU;以及转发所述下行流量至所述CNU,其中所述下行流量通过所述多个安全密钥加密;
所述FCU用于转发从所述CNU接收的上行流量至所述OLT,并且其中所述上行流量通过所述多个安全密钥加密;
所述多个加密的安全密钥包括当前安全密钥和经更新安全密钥,其中所述FCU进一步用于执行从通过所述当前安全密钥的流量加密到通过所述经更新安全密钥的流量加密的切换。
2.根据权利要求1所述的FCU,其特征在于,执行所述切换包括:
从所述光接口接收所述加密的经更新安全密钥;
通过所述电接口将所述加密的经更新安全密钥转发到所述CNU;
通过所述处理器解密所述加密的经更新安全密钥;
在解密所述经更新安全密钥之后,采用所述经更新安全密钥用于转发至所述OLT的所述上行流量的加密;以及
在解密所述经更新安全密钥之后,采用所述当前安全密钥用于转发至所述OLT的所述下行流量的加密。
3.根据权利要求2所述的FCU,其特征在于,执行所述切换进一步包括:
在将所述加密的经更新安全密钥转发到所述CNU之后,从所述CNU接收所述上行流量的消息,其中所述消息通过所述经更新安全密钥加密;
在接收通过所述经更新安全密钥加密的所述消息之后,采用所述经更新安全密钥用于转发至所述OLT的所述下行流量的加密。
4.根据权利要求1所述的FCU,其特征在于,所述电接口进一步用于将密钥切换验证消息传输到所述CNU,并且其中所述密钥切换验证消息请求确认所述切换在所述CNU处完成。
5.根据权利要求4所述的FCU,其特征在于,所述光接口进一步用于从所述OLT接收所述切换验证消息,并且其中所述光接口进一步用于在接收到来自所述电接口上的CNU的确认之后将密钥切换确认传输到所述OLT。
6.根据权利要求1所述的FCU,其特征在于,所述光接口进一步用于从所述OLT接收用于所述CNU的所述多个加密的安全密钥。
7.根据权利要求6所述的FCU,其特征在于,所述电接口进一步用于从所述CNU接收密钥交换请求,其中所述光接口进一步用于将所述密钥交换请求传输到所述OLT,并且其中所述多个加密的安全密钥中的至少一者是响应于被传输到所述OLT的所述密钥交换请求接收到的。
8.根据权利要求7所述的FCU,其特征在于,所述密钥交换请求包括预备主密码(PMS),其中所述处理器用于:
基于所述PMS生成密钥加密密钥(KEK);以及
验证从所述OLT接收的所述至少一个加密的安全密钥是在将所述至少一个加密的安全密钥转发到所述CNU之前通过所述KEK接收到的。
9.根据权利要求1所述的FCU,其特征在于,所述电接口进一步用于从所述CNU接收密钥交换请求,并且其中所述处理器进一步用于响应于从所述CNU接收所述密钥交换请求生成所述多个加密的安全密钥中的至少一者。
10.根据权利要求9所述的FCU,其特征在于,所述密钥交换请求包括预备主密码(PMS),并且其中所述处理器进一步用于基于所述PMS以 密钥加密密钥(KEK)加密所述至少一个加密的安全密钥。
11.一种光线路终端(OLT),其特征在于,包括:
接收器,耦合到无源光网络(PON)并且用于通过所述PON接收来自光纤同轴单元(FCU)的安全密钥请求;
处理器,耦合到所述接收器并且用于响应于来自所述FCU的所述安全密钥请求生成第一安全密钥;以及在安全密钥响应消息中加密所述第一安全密钥;以及
发射器,耦合到所述处理器并且用于通过所述PON将包括所述加密的第一安全密钥的所述安全密钥响应消息传输到所述FCU;
所述发射器进一步用于通过所述FCU和同轴以太网PON(EPoC)网络传输下行消息至同轴网络单元(CNU),其中所述接收器进一步用于通过所述FCU和所述EPoC网络从所述CNU接收上行消息,并且
其中所述处理器进一步用于用所述第一安全密钥加密所述下行消息;以及用所述第一安全密钥解密所述上行消息。
12.根据权利要求11所述的OLT,其特征在于,所述处理器进一步用于在计时器过期之后开始从所述第一安全密钥到第二安全密钥的切换。
13.根据权利要求12所述的OLT,其特征在于,所述切换包括:
通过所述处理器生成并加密所述第二安全密钥;
通过所述发射器传输所述加密的第二安全密钥至所述CNU;
用所述第一安全密钥加密下行流量直至所述接收器接收到来自所述CNU的用所述第二安全密钥加密的上行流量;以及
在接收到用所述第二安全密钥加密的上行流量之后,用所述第二安全密钥加密下行流量。
14.根据权利要求12所述的OLT,其特征在于,所述发射器进一步用于传输密钥切换验证消息以请求确认所述切换在所述CNU处完成。
15.根据权利要求14所述的OLT,其特征在于,所述发射器进一步用 于传输密钥切换验证消息以请求确认所述切换在所述FCU处完成。
16.一种加密方法,其特征在于,所述方法包括:
在密钥交换计时器过期之后生成经更新安全密钥;
将所述经更新安全密钥传递到同轴网络单元(CNU);
保留初始密钥,其中所述经更新安全密钥包括与所述初始密钥相比不同的密钥识别编号;
接受并解密采用或所述初始密钥或所述经更新密钥的上行流量;
在将所述经更新安全密钥传递到所述CNU之后形成密钥切换计时器;
在所述密钥切换计时器过期之前验证从逻辑链路上的所述CNU传递的上行流量使用所述经更新安全密钥;并且
当上行流量是使用所述经更新安全密钥加密时,开始使用所述经更新安全密钥以加密下行流量并清除所述密钥切换计时器。
17.根据权利要求16所述的方法,其特征在于,所述安全密钥各自包括与所述逻辑链路相关联的128位随机密钥字符串。
CN201480010330.7A 2013-04-05 2014-04-08 同轴网络上的以太网无源光网络中的认证和初始密钥交换 Active CN105027482B (zh)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
US201361809162P 2013-04-05 2013-04-05
US61/809,162 2013-04-05
US201361823506P 2013-05-15 2013-05-15
US61/823,506 2013-05-15
US14/243,387 2014-04-02
US14/243,387 US9270651B2 (en) 2013-04-05 2014-04-02 Authentication and initial key exchange in ethernet passive optical network over coaxial network
PCT/CN2014/074907 WO2014161510A2 (en) 2013-04-05 2014-04-08 Authentication and initial key exchange in ethernet passive optical network over coaxial network

Publications (2)

Publication Number Publication Date
CN105027482A CN105027482A (zh) 2015-11-04
CN105027482B true CN105027482B (zh) 2017-11-24

Family

ID=51655344

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201480010330.7A Active CN105027482B (zh) 2013-04-05 2014-04-08 同轴网络上的以太网无源光网络中的认证和初始密钥交换

Country Status (4)

Country Link
US (2) US9270651B2 (zh)
EP (1) EP2957053B1 (zh)
CN (1) CN105027482B (zh)
WO (1) WO2014161510A2 (zh)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9331786B2 (en) * 2012-10-05 2016-05-03 Futurewei Technologies, Inc. Managing downstream non-broadcast transmission in an ethernet passive optical network (EPON) protocol over coax (EPoC) network
US9736055B2 (en) * 2013-05-31 2017-08-15 Metanoia Communications Inc. Inter-medium bridging with inter-domain routing and multi-medium domain coordination
US9264141B2 (en) * 2013-12-06 2016-02-16 Cable Television Laboratories, Inc. Multi-domain scheduling for subordinate networking
US20160373441A1 (en) * 2015-06-16 2016-12-22 Avaya Inc. Providing secure networks
CN106656349B (zh) * 2015-10-28 2019-10-25 深圳光启智能光子技术有限公司 光子ca认证方法及系统
CN105848007A (zh) * 2016-06-17 2016-08-10 国网福建省电力有限公司 无线加同轴电缆的双向数据传输系统
CN106534123B (zh) * 2016-11-17 2019-08-06 深圳创维数字技术有限公司 一种基于eoc网络的数据安全传输方法及系统
EP3432509B1 (en) * 2017-07-21 2021-06-09 ID Quantique S.A. Quantum enhanced application security
US10686595B2 (en) 2017-11-17 2020-06-16 Hewlett Packard Enterprise Development Lp Configuring connectivity association key and connectivity association name in a media access control security capable device
US11582204B2 (en) * 2017-12-19 2023-02-14 Mobulus Net. Ltd Systems, and methods for transferring data between secure networks through less secure networks
US20210092103A1 (en) * 2018-10-02 2021-03-25 Arista Networks, Inc. In-line encryption of network data
CN112055270B (zh) * 2019-06-05 2023-03-21 中兴通讯股份有限公司 一种支持DPoG技术的GPON系统、设备接入方法及OLT
CN110838945B (zh) * 2019-11-15 2020-11-24 中国人民解放军陆军工程大学 基于权限依赖图的网络运维脆弱性分析方法
KR20220120566A (ko) 2019-12-26 2022-08-30 바이트댄스 아이엔씨 비디오 비트스트림들에서의 가상 참조 디코더 파라미터들의 시그널링에 대한 제약들
CN114868399A (zh) 2019-12-26 2022-08-05 字节跳动有限公司 条带类型和视频层的信令通知
WO2021134054A1 (en) 2019-12-27 2021-07-01 Bytedance Inc. Subpicture signaling in video coding
US11212265B2 (en) * 2020-01-09 2021-12-28 Cisco Technology, Inc. Perfect forward secrecy (PFS) protected media access control security (MACSEC) key distribution
US10783174B1 (en) * 2020-03-20 2020-09-22 Coupang Corp. Systems and methods for collection, management, and distribution of data using a crowdsourced knowledge database
US11368294B2 (en) * 2020-05-06 2022-06-21 Juniper Networks, Inc. Facilitating hitless security key rollover using data plane feedback
CN113630242A (zh) 2020-05-06 2021-11-09 瞻博网络公司 使用数据平面反馈促进无损安全密钥翻转
US11233635B1 (en) * 2020-09-01 2022-01-25 Schweitzer Engineering Laboratories, Inc. Media access control security (MACSEC) application cryptographic fingerprinting
US11489554B2 (en) * 2020-10-30 2022-11-01 Schweitzer Engineering Laboratories, Inc. Systems and methods for establishing secure communication in an electric power distribution system with software defined network
US11425167B1 (en) * 2021-03-15 2022-08-23 Schweitzer Engineering Laboratories, Inc. Systems and methods for establishing a secure communication link in an electric power distribution system
US11601278B2 (en) * 2021-03-25 2023-03-07 Schweitzer Engineering Laboratories, Inc. Authentication of intelligent electronic devices (IEDs) using secure association keys (SAKs)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011031831A1 (en) * 2009-09-09 2011-03-17 Broadcom Corporation Ethernet passive optical network over coaxial (epoc)
CN102158992A (zh) * 2006-01-18 2011-08-17 华为技术有限公司 基站和有线网络互连的方法和系统
CN102549952A (zh) * 2011-12-09 2012-07-04 华为技术有限公司 一种带宽资源管理方法、系统与装置
CN102577181A (zh) * 2009-09-25 2012-07-11 华为技术有限公司 经由下一代光纤-同轴电缆混合网络的无源光网络电缆数据业务接口规范上游代理架构

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050113024A1 (en) 2003-11-24 2005-05-26 Capece Christopher J. Wireless distributed base station
KR100547829B1 (ko) * 2003-12-18 2006-01-31 삼성전자주식회사 암호화 키 교환을 통해 데이터를 안정적으로 전송할 수있는 기가비트 이더넷 기반의 수동 광가입자망 및 이를이용한 데이터 암호화 방법
JP4688426B2 (ja) * 2004-03-09 2011-05-25 富士通株式会社 無線通信システム
WO2005112336A1 (ja) * 2004-05-14 2005-11-24 Mitsubishi Denki Kabushiki Kaisha 暗号機能付きponシステム及びponシステムの暗号化方法
CN101388818A (zh) 2008-09-12 2009-03-18 杭州华三通信技术有限公司 数据接入方法和数据接入系统
US8566593B2 (en) * 2009-07-06 2013-10-22 Intel Corporation Method and apparatus of deriving security key(s)
CN101715099A (zh) 2009-09-11 2010-05-26 数源科技股份有限公司 基于区域信息实现数据广播定向播发系统及方法
US8611540B2 (en) * 2010-06-23 2013-12-17 Damaka, Inc. System and method for secure messaging in a hybrid peer-to-peer network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102158992A (zh) * 2006-01-18 2011-08-17 华为技术有限公司 基站和有线网络互连的方法和系统
WO2011031831A1 (en) * 2009-09-09 2011-03-17 Broadcom Corporation Ethernet passive optical network over coaxial (epoc)
CN102577181A (zh) * 2009-09-25 2012-07-11 华为技术有限公司 经由下一代光纤-同轴电缆混合网络的无源光网络电缆数据业务接口规范上游代理架构
CN102549952A (zh) * 2011-12-09 2012-07-04 华为技术有限公司 一种带宽资源管理方法、系统与装置

Also Published As

Publication number Publication date
WO2014161510A2 (en) 2014-10-09
WO2014161510A3 (en) 2014-12-04
US20160134600A1 (en) 2016-05-12
US20140304500A1 (en) 2014-10-09
EP2957053B1 (en) 2017-06-07
US9838363B2 (en) 2017-12-05
CN105027482A (zh) 2015-11-04
EP2957053A4 (en) 2016-05-18
EP2957053A2 (en) 2015-12-23
US9270651B2 (en) 2016-02-23

Similar Documents

Publication Publication Date Title
CN105027482B (zh) 同轴网络上的以太网无源光网络中的认证和初始密钥交换
JP5366108B2 (ja) 光ネットワーク終端装置管理制御インターフェースベースの受動光ネットワークセキュリティ強化
EP2351311B1 (en) Method for increasing security in a passive optical network
KR100715679B1 (ko) 인증 암호화를 통해 보안 전송을 가능하게 하는 gpon시스템 및 그 인증 암호화 방법
US20050008158A1 (en) Key management device and method for providing security service in ethernet-based passive optical network
JP2017135461A (ja) 加入者終端装置、局側終端装置、光信号伝送装置および通信システム
CN111885436B (zh) 一种基于epon技术的配电网自动化通信系统
US20090232313A1 (en) Method and Device for Controlling Security Channel in Epon
CN109039600A (zh) 一种无源光网络系统中协商加密算法的方法及系统
Jun-Suo A security communication scheme for Real-Time EPON
WO2022062948A1 (zh) 一种无源光网络中的安全通信方法和装置
Hu et al. NIS03-3: RC4-based security in Ethernet passive optical networks
Jin et al. Analysis of security vulnerabilities and countermeasures of ethernet passive optical network (EPON)
Velentzas et al. Security Mechanisms For ATM PONS

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant