專利名稱:密鑰交互方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及ii/[言^l支術(shù)4頁i或,尤其涉及一種PON ( Passive Optical Network,無源光網(wǎng)絡(luò))系統(tǒng)的密鑰交換方法及裝置。
背景技術(shù):
PON是基于ITU-T G984系列和IEEE 802.3系列的寬帶無源光 ^妄入^支術(shù),PON系統(tǒng)通常由光線鴻4冬端(Optical Line Terminal, OLT)、光網(wǎng)絡(luò)單元(Optical Network Unit, ONU)和光分配網(wǎng)絡(luò) (Optical Distribution Network, ODN )組成。ODN通常為點(diǎn)到多點(diǎn) 結(jié)構(gòu), 一個(gè)OLT連接多個(gè)ONU。 OLT發(fā)往ONU的數(shù)據(jù)稱為下行 數(shù)據(jù),ONU發(fā)往OLT的數(shù)據(jù)稱為上行數(shù)據(jù)。
在PON系統(tǒng)中,下行數(shù)據(jù)具有天然廣^"特性,OLT發(fā)出的數(shù) 據(jù)能夠被下聯(lián)的所有ONU接收到。考慮到安全性,ITU-T G.984.3 和IEEE 802.3失見定^f吏用對(duì)稱加密技術(shù)對(duì)下4亍ft據(jù)進(jìn)^f亍加密,密鑰由 ONU產(chǎn)生并發(fā)送纟合OLT 。
在目前的ITU-T G.984.3和IEEE 802.3標(biāo)準(zhǔn)中,ONU直接發(fā)送 密鑰明文給OLT,因此在上行方向存在密鑰明文被竊聽的可能。
目前,針對(duì)該安全性的問題,尚未提出有效的解決方案。
發(fā)明內(nèi)容
考慮到上述問題而做出本發(fā)明,為此,本發(fā)明的主要目的在于 提供一種密鑰交互方法及裝置,解決了在光線路終端和光網(wǎng)絡(luò)單元 之間交換數(shù)據(jù)密鑰不安全的問題。
才艮據(jù)本發(fā)明的實(shí)施例,4是供了一種密鑰交互方法,用于光線路 終端和光網(wǎng)絡(luò)單元之間的數(shù)據(jù)密鑰交互,其中,所述凄t據(jù)密鑰用于 只于凄史才居進(jìn)4亍力口密。
該方法包括光線路終端向光網(wǎng)絡(luò)單元發(fā)送數(shù)據(jù)密鑰更新請求, 并在密鑰更新請求中攜帶安全密鑰的相關(guān)信息,其中,安全密鑰用 于對(duì)數(shù)據(jù)密鑰進(jìn)行加密;光網(wǎng)絡(luò)單元根據(jù)安全密鑰的相關(guān)信息得到 安全密鑰,并用安全密鑰對(duì)光線路終端請求更新的數(shù)據(jù)密鑰進(jìn)行加 密;光網(wǎng)絡(luò)單元將加密后的數(shù)據(jù)密鑰發(fā)送至光線路終端。
其中,光線鴻4冬端;)夸其與光網(wǎng)*各單元的/>知的系統(tǒng)配置或系統(tǒng) 參數(shù)作為安全密鑰源,并根據(jù)安全密鑰源設(shè)置相關(guān)信息。
其中,安全密鑰源的類型包括光線路終端和光網(wǎng)絡(luò)單元預(yù)先 保存的安全密鑰組、光網(wǎng)絡(luò)單元的版本映像、光網(wǎng)絡(luò)單元的序列號(hào)、 光網(wǎng)絡(luò)單元的IP地址、光網(wǎng)絡(luò)單元的媒體接入控制地址、以及測距 信息,其中,每個(gè)安全密鑰源的類型均對(duì)應(yīng)于各自的安全密鑰源類 型信息。
其中,在安全密鑰源的類型為安全密鑰組的情況下,相關(guān)信息 包括安全密鑰組中安全密鑰的標(biāo)識(shí)、以及安全密鑰組對(duì)應(yīng)的安全密 鑰源類型信息。
6其中,在安全密鑰源的類型為光網(wǎng)絡(luò)單元的版本映像的情況下, 相關(guān)信息包括纟反本映^象中的起始位置和長度、以及版本映像對(duì)應(yīng)的 安全密鑰源類型信息。
其中,在安全密鑰源的類型為光網(wǎng)絡(luò)單元的序列號(hào)、光網(wǎng)絡(luò)單 元的IP地址、光網(wǎng)絡(luò)單元的+某體接入控制地址、以及測距信息中的 一個(gè)時(shí),相關(guān)信息為與其對(duì)應(yīng)的安全密鑰源類型信息。
此外,該方法進(jìn)一步包括光線路終端根據(jù)相關(guān)信息得到對(duì)數(shù) 據(jù)密鑰進(jìn)行加密所4吏用的安全密鑰,對(duì)接收到的加密后的數(shù)據(jù)密鑰 進(jìn)行解密。
根據(jù)本發(fā)明的另一實(shí)施例,提供了一種密鑰交互裝置,用于光 線^各終端和光網(wǎng)絡(luò)單元之間的凄t據(jù)密鑰交互,其中,凄t據(jù)密鑰用于 對(duì)凄史據(jù)進(jìn)行加密。
該裝置包括發(fā)送模塊,用于將數(shù)據(jù)密鑰更新請求從光線路終 端發(fā)送至光網(wǎng)絡(luò)單元,并在密鑰更新請求中攜帶安全密鑰的相關(guān)信 息,其中,安全密鑰用于對(duì)數(shù)據(jù)密鑰進(jìn)行加密;以及將經(jīng)過安全密 鑰加密的數(shù)據(jù)密鑰從光網(wǎng)絡(luò)單元發(fā)送至光線路終端;加密模塊,光 網(wǎng)絡(luò)單元根據(jù)安全密鑰的相關(guān)信息得到安全密鑰,并用安全密鑰對(duì) 光線路終端請求更新的數(shù)據(jù)密鑰進(jìn)行加密;
該裝置進(jìn)一步包括確定模塊,用于將光線路終端與光網(wǎng)絡(luò)單 元的公知的系統(tǒng)配置或系統(tǒng)參數(shù)作為安全密鑰源,并根據(jù)安全密鑰 源設(shè)置相關(guān)信息。
該裝置進(jìn)一步包括解密模塊,位于光線路終端,用于根據(jù)相 關(guān)信息得到對(duì)數(shù)據(jù)密鑰進(jìn)行加密所使用的安全密鑰,并對(duì)接收到的 加密后的數(shù)據(jù)密鑰進(jìn)行解密。通過本發(fā)明的上述4支術(shù)方案,可以在光線贈(zèng)4冬端和光網(wǎng)絡(luò)單元 之間實(shí)現(xiàn)安全的密鑰交換,降低了數(shù)據(jù)密鑰被竊聽的可能性,提高 了光線路終端和光網(wǎng)絡(luò)單元之間數(shù)據(jù)交換的安全性。
此處所說明的附圖用來才是供對(duì)本發(fā)明的進(jìn)一步理解,構(gòu)成本申 請的一部分,本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明,并
不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中
圖l是根據(jù)本發(fā)明方法實(shí)施例的密鑰交互方法的流程圖;以及
圖2是根據(jù)本發(fā)明裝置實(shí)施例的密鑰交互裝置的框圖。
具體實(shí)施例方式
下面參考附圖,詳細(xì)i兌明本發(fā)明的具體實(shí)施方式
。 方法實(shí)施例
在本實(shí)施例中,4是供了一種密鑰交互方法,用于OLT和ONU 之間的凄"居密鑰交互,其中,所述數(shù)據(jù)密鑰用于對(duì)數(shù)據(jù)進(jìn)行加密。
如圖l所示,才艮才居本實(shí)施例的密鑰交互方法包4舌步駛《S102, 網(wǎng)絡(luò)單元發(fā)送數(shù)據(jù)密鑰更新請求,并在密鑰更新請求中攜帶安全密 鑰的相關(guān)信息,其中,安全密鑰用于對(duì)數(shù)據(jù)密鑰進(jìn)行加密;步驟 S104,絡(luò)單元根據(jù)安全密鑰的相關(guān)信息得到安全密鑰,并用安全密 鑰對(duì)OLT請求更新的數(shù)據(jù)密鑰進(jìn)行加密;步驟S106ONU將加密后 的數(shù)據(jù)密鑰發(fā)送至OLT。
其中,OLT將其與ONU的公知的系統(tǒng)配置或系統(tǒng)參數(shù)作為安 全密鑰源,并根據(jù)安全密鑰源設(shè)置相關(guān)信息。也就是說,在OLT和ONU之間交換數(shù)據(jù)密鑰時(shí),對(duì)數(shù)據(jù)密鑰用安全密鑰進(jìn)行加密后再發(fā) 送,安全密鑰的加密解密方法可以與^t據(jù)密鑰的加密解密方法一樣, 也可以不一沖羊。
其中,安全密鑰源的類型包括但不限于OLT和ONU預(yù)先保 存的安全密鑰組、ONU的版本映#>、 ONU的序列號(hào)、ONU的IP 地址、ONU的+某體接入控制地址、以及測距信息,其中,每個(gè)安全 密鑰源的類型均對(duì)應(yīng)于各自的安全密鑰源類型信息。其中,OLT和 ONU預(yù)先保存的安全密鑰組和ONU的版本映像位系統(tǒng)配置,而 ONU的序列號(hào)、ONU的IP地址、ONU的々某體4妾入控制地址、以 及測距信息位系統(tǒng)參數(shù)。
其中,在安全密鑰源的類型為安全密鑰組的情況下,相關(guān)信息 包括安全密鑰組中安全密鑰的標(biāo)識(shí)、以及安全密鑰組對(duì)應(yīng)的安全密 鑰源類型信息。
其中,在安全密鑰源的類型為ONU的版本映像的情況下,相 關(guān)信息包括版本映像中的起始位置和長度、以及版本映像對(duì)應(yīng)的安 全密鑰源類型信息。
其中,在安全密鑰源的類型為ONU的序列號(hào)、ONU的IP地址、 ONU的媒體接入控制地址、以及測距信息中的一個(gè)時(shí),相關(guān)信息為 與其對(duì)應(yīng)的安全密鑰源類型信息。即,此時(shí)僅需將采用哪個(gè)系統(tǒng)參 數(shù)告知ONUo
優(yōu)選地,可以預(yù)先配置安全密鑰源類型與安全密鑰源類型信息 的對(duì)應(yīng)關(guān)系,安全密鑰源類型信息可以是一個(gè)標(biāo)識(shí),并位于密鑰更 新請求消息中未占用的位。此外,該方法進(jìn)一步包括OLT根據(jù)相關(guān)信息得到對(duì)數(shù)據(jù)密鑰 進(jìn)行加密所使用的安全密鑰,對(duì)接收到的加密后的數(shù)據(jù)密鑰進(jìn)行解 密。
下面將結(jié)合具體實(shí)例描述本發(fā)明。
在OLT和ONU預(yù)i殳若干共享的密鑰;采用OLT和ONU共知 的參數(shù)作為密鑰等。
本發(fā)明實(shí)例的密鑰交換方法關(guān)鍵步驟為
步驟(1 ), OLT向ONU發(fā)送數(shù)據(jù)密鑰更新二清求,如果對(duì)安全 密鑰有要求,可在數(shù)據(jù)密鑰更新請求中攜帶安全密鑰相關(guān)信息。
步驟(2), ONU產(chǎn)生H據(jù)密鑰,根據(jù)數(shù)據(jù)密鑰更新請求中的安 全密鑰相關(guān)信息獲得安全密鑰,將數(shù)據(jù)密鑰用安全密鑰加密后再通 過數(shù)據(jù)密鑰更新響應(yīng)發(fā)送給OLT。
步驟(3), OLT從數(shù)據(jù)密鑰更新響應(yīng)中獲得經(jīng)過加密的數(shù)據(jù)密 鑰,并用安全密鑰進(jìn)行解密以獲得數(shù)據(jù)密鑰。
下面將結(jié)合具體的實(shí)例描述本發(fā)明。
實(shí)例1
在該實(shí)例中,以GPON (吉比特?zé)o源光網(wǎng)絡(luò))系統(tǒng)為例,在初 次安裝ONU時(shí),在ONU中預(yù)i殳若干安全密鑰,并分別i殳定不同的 編號(hào),在OLT中也設(shè)定相同的安全密鑰和編號(hào)。不同ONU之間的 安全密鑰和編號(hào)要求不一樣。
在采用密鑰組作為密鑰源的情況下,具體實(shí)現(xiàn)過程如下OLT確定安全密鑰編號(hào)并在本地存^f諸,向ONU發(fā)送密鑰更新 _清求(Request_Key )消息,以更新lt才居密鑰,Request—Key消息中 攜帶安全密鑰編號(hào);
ONU從R叫uest—Key消息獲得安全密鑰編號(hào)并進(jìn)一步從本地保 存的安全密鑰組獲得安全密鑰,生成數(shù)據(jù)密鑰,將數(shù)據(jù)密鑰用安全 密鑰加密后再通過加密密鑰(Encryption_Key )消息發(fā)送纟會(huì)OLT;
OLT根據(jù)本地存儲(chǔ)的安全密鑰編號(hào)獲得安全密鑰,從 Encryption—Key消息中獲4尋經(jīng)過加密的凝:才居密鑰,并用安全密鑰進(jìn) 行解密以獲得數(shù)據(jù)密鑰。
實(shí)例2
在該實(shí)例中,以GPON系統(tǒng)為例。OLT和ONU以O(shè)NU的軟 件片反本映i象作為安全密鑰源,由于ONU的庫欠件;1反本映<象是通過OLT 傳送給ONU的,OLT和ONU能夠共同獲得ONU的軟件版本映像。 由于ONU軟件版本映像更換較少,因此只要保證ONU軟件版本安 全即可保證安全密鑰的安全。OLT告知ONU安全密鑰在軟件版本 映i象中的起始^f立置。
在采用版本映像作為密鑰源的情況下,具體的實(shí)現(xiàn)過程如下
OLT確定安全密鑰在軟件版本映像中的起始位置,并在本地存 小者,向ONU發(fā)送Request—Key消息,Request_Key消息中安全密鑰 在軟件版本映像中的位置;
ONU從Request—Key消息獲得安全密鑰在軟件版本映像中的位 置,并進(jìn)一步乂人本地獲得安全密鑰,生成數(shù)據(jù)密鑰,將數(shù)據(jù)密鑰用 安全密鑰力口密后再通過Encryption—Key消息送纟會(huì)OLT;OLT根據(jù)本地存儲(chǔ)的安全密鑰在軟件版本映像中的位置獲得安 全密鑰,從Encryption—Key消息中獲得經(jīng)過加密的數(shù)據(jù)密鑰,并用 安全密鑰進(jìn)行解密以獲得數(shù)據(jù)密鑰。
裝置實(shí)施例
在本實(shí)施例中,提供—r 一種密鑰交互裝直,用于OLT和ONU 之間的數(shù)據(jù)密鑰交互,其中,數(shù)據(jù)密鑰用于對(duì)數(shù)據(jù)進(jìn)4亍加密。
如圖2所示,根據(jù)本實(shí)施例的密鑰交互裝置包括發(fā)送模塊202, 用于將lt據(jù)密鑰更新請求從OLT發(fā)送至ONU,并在密鑰更新請求 中攜帶安全密鑰的相關(guān)信息,其中,安全密鑰用于對(duì)數(shù)據(jù)密鑰進(jìn)行 加密;以及將經(jīng)過安全密鑰加密的數(shù)據(jù)密鑰從ONU發(fā)送至OLT; 加密模塊204, ONU根據(jù)安全密鑰的相關(guān)信息得到安全密鑰,并用 安全密鑰對(duì)OLT請求更新的數(shù)據(jù)密鑰進(jìn)行加密;
此外,該裝置可進(jìn)一步包4舌確定才莫塊,用于^夸OLT與ONU 的/>知的系統(tǒng)配置或系統(tǒng)參數(shù)作為安全密鑰源,并4艮據(jù)安全密鑰源 設(shè)置相關(guān)信息。
此外,該裝置進(jìn)一步包括解密模塊,位于OLT,用于根據(jù)相 關(guān)信息得到對(duì)數(shù)據(jù)密鑰進(jìn)行加密所使用的安全密鑰,并對(duì)接收到的 加密后的ifet據(jù)密鑰進(jìn)4于解密。
通過本發(fā)明的上述技術(shù)方案,可以在OLT和ONU之間實(shí)現(xiàn)安 全的密鑰交換,降低了數(shù)據(jù)密鑰被竊聽的可能性,提高了 OLT和 ONU之間數(shù)據(jù)交換的安全性。
以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已,并不用于限制本發(fā)明, 乂于于本4頁J或的沖支術(shù)人員來i兌,本發(fā)明可以有各種更改和變^f匕。凡在 本發(fā)明的精神和原則之內(nèi),所作的任何^修改、等同替換、改進(jìn)等, 均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
1權(quán)利要求
1. 一種密鑰交互方法,用于光線路終端和光網(wǎng)絡(luò)單元之間的數(shù)據(jù)密鑰交互,其中,所述數(shù)據(jù)密鑰用于對(duì)數(shù)據(jù)進(jìn)行加密,所述方法包括所述光線路終端向所述光網(wǎng)絡(luò)單元發(fā)送數(shù)據(jù)密鑰更新請求,并在所述密鑰更新請求中攜帶安全密鑰的相關(guān)信息,其中,所述安全密鑰用于對(duì)數(shù)據(jù)密鑰進(jìn)行加密;所述光網(wǎng)絡(luò)單元根據(jù)所述安全密鑰的相關(guān)信息得到所述安全密鑰,并用所述安全密鑰對(duì)所述光線路終端請求更新的數(shù)據(jù)密鑰進(jìn)行加密;所述光網(wǎng)絡(luò)單元將加密后的所述數(shù)據(jù)密鑰發(fā)送至所述光線路終端。
2. 才艮據(jù)權(quán)利要求1所述的方法,其特征在于,所述光線路終端將 其與所述光網(wǎng)絡(luò)單元的公知的系統(tǒng)配置或系統(tǒng)參數(shù)作為安全 密鑰源,并一艮據(jù)所述安全密鑰源設(shè)置所述相關(guān)信息。
3. 根據(jù)權(quán)利要求2所述的方法,其特征在于,所述安全密鑰源的 類型包括光線^各終端和所述光網(wǎng)絡(luò)單元預(yù)先保存的安全密鑰 組、所述光網(wǎng)絡(luò)單元的版本映像、所述光網(wǎng)絡(luò)單元的序列號(hào)、 所述光網(wǎng)絡(luò)單元的IP地址、所述光網(wǎng)絡(luò)單元的媒體接入控制 地址、以及測距信息,其中,每個(gè)安全密鑰源的類型均對(duì)應(yīng)于 各自的安全密鑰源類型信息。
4. 才艮據(jù)權(quán)利要求3所述的方法,其特征在于,在所述安全密鑰源 的類型為所述安全密鑰組的情況下,所述相關(guān)信息包括所述安全密鑰組中安全密鑰的標(biāo)識(shí)、以及所述安全密鑰組對(duì)應(yīng)的安全 密鑰源類型信息。
5. 根據(jù)權(quán)利要求3所述的方法,其特征在于,在所述安全密鑰源 的類型為所述光網(wǎng)絡(luò)單元的版本映像的情況下,所述相關(guān)信息 包括所述版本映像中的起始位置和長度、以及所述版本映像對(duì) 應(yīng)的安全密鑰源類型信息。
6. 根據(jù)權(quán)利要求3所述的方法,其特征在于,在所述安全密鑰源 的類型為所述光網(wǎng)絡(luò)單元的序列號(hào)、所述光網(wǎng)絡(luò)單元的IP地 址、所述光網(wǎng)絡(luò)單元的媒體接入控制地址、以及測距信息中的 一個(gè)時(shí),所述相關(guān)信息為與其對(duì)應(yīng)的安全密鑰源類型信息。
7. 根據(jù)權(quán)利要求1至6中任一項(xiàng)所述的方法,其特征在于,進(jìn)一 步包括所述光線路終端根據(jù)所述相關(guān)信息得到對(duì)所述數(shù)據(jù)密鑰 進(jìn)行加密所-使用的所述安全密鑰,對(duì)4妄收到的加密后的所述^: 據(jù)密鑰進(jìn)4于解密。
8. —種密鑰交互裝置,用于光線^各終端和光網(wǎng)絡(luò)單元之間的l史據(jù) 密鑰交互,其中,所述數(shù)據(jù)密鑰用于對(duì)數(shù)據(jù)進(jìn)行加密,所述裝 置包括發(fā)送模塊,用于將數(shù)據(jù)密鑰更新請求從所述光線路終端發(fā) 送至所述光網(wǎng)絡(luò)單元,并在所述密鑰更新請求中攜帶安全密鑰 的相關(guān)信息,其中,所述安全密鑰用于對(duì)數(shù)據(jù)密鑰進(jìn)行加密; 以及將經(jīng)過所述安全密鑰加密的所述數(shù)據(jù)密鑰從所述光網(wǎng)絡(luò) 單元發(fā)送至所述光線路終端;加密模塊,所述光網(wǎng)絡(luò)單元根據(jù)所述安全密鑰的相關(guān)信息 得到所述安全密鑰,并用所述安全密鑰對(duì)所述光線路終端請求 更新的數(shù)據(jù)密鑰進(jìn)行加密。
9. 根據(jù)權(quán)利要求8所述的裝置,其特征在于,進(jìn)一步包括確定模塊,用于將所述光線路終端與所述光網(wǎng)絡(luò)單元的公 知的系統(tǒng)配置或系統(tǒng)參凄t作為安全密鑰源,并4艮據(jù)所述安全密 鑰源設(shè)置所述相關(guān)信息。
10. 根據(jù)權(quán)利要求8或9所述的裝置,其特征在于,進(jìn)一步包括解密才莫塊,位于所述光線^各終端,用于根據(jù)所述相關(guān)信息 得到對(duì)所述數(shù)據(jù)密鑰進(jìn)行加密所使用的所述安全密鑰,并對(duì)接 收到的加密后的所述數(shù)據(jù)密鑰進(jìn)行解密。
全文摘要
本發(fā)明公開了一種密鑰交互方法,用于光線路終端和光網(wǎng)絡(luò)單元之間的數(shù)據(jù)密鑰交互,其中,所述數(shù)據(jù)密鑰用于對(duì)數(shù)據(jù)進(jìn)行加密。該方法包括光線路終端向光網(wǎng)絡(luò)單元發(fā)送數(shù)據(jù)密鑰更新請求,并在密鑰更新請求中攜帶安全密鑰的相關(guān)信息,其中,安全密鑰用于對(duì)數(shù)據(jù)密鑰進(jìn)行加密;光網(wǎng)絡(luò)單元根據(jù)安全密鑰的相關(guān)信息得到安全密鑰,并用安全密鑰對(duì)光線路終端請求更新的數(shù)據(jù)密鑰進(jìn)行加密;光網(wǎng)絡(luò)單元將加密后的數(shù)據(jù)密鑰發(fā)送至光線路終端。此外,本發(fā)明還公開了一種密鑰交互裝置。通過使用本發(fā)明,可以在光線路終端和光網(wǎng)絡(luò)單元之間實(shí)現(xiàn)安全的密鑰交換,降低了數(shù)據(jù)密鑰被竊聽的可能性,提高了光線路終端和光網(wǎng)絡(luò)單元之間數(shù)據(jù)交換的安全性。
文檔編號(hào)H04L9/08GK101499898SQ20081000613
公開日2009年8月5日 申請日期2008年2月3日 優(yōu)先權(quán)日2008年2月3日
發(fā)明者張偉良, 陶東明 申請人:中興通訊股份有限公司