本發(fā)明涉及光通信領(lǐng)域，尤其涉及一種廣播報文加密方法及裝置。

背景技術(shù)：

如圖1所示，在以太網(wǎng)無源光網(wǎng)絡(luò)(Ethernet Passive Optical Network，簡稱EPON系統(tǒng)中包括光線路終端(Optical Line Terminal，簡稱OLT)、光配線網(wǎng)絡(luò)(Optical Distribution Network，ODN)和光網(wǎng)絡(luò)單元(Optical Network Unit，簡稱ONU)。所述OLT和與ONU之間能夠進行光信號傳輸；且從OLT向ONU的發(fā)送通道稱為下行通道，發(fā)送的數(shù)據(jù)為下行數(shù)據(jù)。ODN用于在OLT和ONU間提供光通道。

如圖1所示，一個光線路終端可以通過分光器與多個光網(wǎng)絡(luò)單元連接。若OLT傳輸給ONU的下行數(shù)據(jù)不加密的話，ONU可能偷聽到別的ONU信息，為了避免這種情況的出現(xiàn)，必須對于下行數(shù)據(jù)采取加密，以防止ONU間信息的泄漏。

目前現(xiàn)有技術(shù)中提出了一些對下行數(shù)據(jù)進行加密的方法，可是在實際使用時，依然發(fā)現(xiàn)有一些信息還是被其他ONU竊取導(dǎo)致信息的泄露。

技術(shù)實現(xiàn)要素：

有鑒于此，本發(fā)明實施例期望提供廣播報文加密方法及裝置，能夠至少部分解決信息泄露的問題。

為達到上述目的，本發(fā)明的技術(shù)方案是這樣實現(xiàn)的：

本發(fā)明實施例第一方面提供了一種廣播報文加密方法，所述方法包括：

光線路終端OLT確定待加密的指定廣播報文；

對所述指定廣播報文進行加密，形成廣播加密報文；

向光網(wǎng)絡(luò)單元ONU發(fā)送所述廣播加密報文。

基于上述方案，所述方法還包括：

所述OLT與ONU協(xié)商加密密鑰，確定加密密鑰和密鑰索引；

所述對所述指定廣播報文進行加密，形成廣播加密報文，包括：

利用所述加密密鑰對所述指定廣播報文的待加密部分進行加密，并將所述密鑰索引攜帶在所述指定廣播報文的明文部分，形成所述廣播加密報文；

其中，所述密鑰索引用于所述ONU確定所述加密密鑰。

基于上述方案，所述OLT與ONU協(xié)商加密密鑰，確定加密密鑰和密鑰索引，包括：

向接收所述廣播加密報文的ONU發(fā)送密鑰請求消息；

在發(fā)送所述密鑰請求消息后，啟動第一計時；

在所述第一計時的計時時間內(nèi)，接收所述ONU基于所述密鑰請求消息返回的響應(yīng)消息；

從所述響應(yīng)消息中提取所述加密密鑰。

基于上述方案，所述OLT與ONU協(xié)商加密密鑰，確定加密密鑰和密鑰索引，還包括：

若所述第一計時超時還未接收到所述響應(yīng)消息或未提取到加密密鑰，則重新發(fā)送所述密鑰請求消息。

基于上述方案，所述光線路終端OLT確定待加密的指定廣播報文，包括：

解析報文的前導(dǎo)碼和操作碼opcode字段，獲得解析信息；

根據(jù)所述解析信息確定所述報文是否為待加密的指定報文。

基于上述方案，所述方法還包括：

檢測廣播加密使能開關(guān)；

所述對所述指定廣播報文進行加密，形成廣播加密報文，包括：

若所述廣播加密使能開關(guān)處于使能狀態(tài)，則對所述指定廣播報文進行加密，形成廣播加密報文。

本發(fā)明實施例第二方面提供了一種廣播報文加密方法，所述方法包括：

ONU與OLT協(xié)商加密密鑰，確定加密密鑰和密鑰索引；

存儲所述加密密鑰和密鑰索引；

其中，所述加密密鑰和所述密鑰索引用于所述OLT對廣播報文進行加密及ONU解密所述OLT加密形成的廣播加密報文。

基于上述方案，所述方法還包括：

接收OLT發(fā)送的所述廣播加密報文；

解析所述廣播加密報文的明文部分，確定密鑰索引；

根據(jù)所述密鑰索引查詢加密密鑰；

基于所述加密密鑰解密所述廣播加密報文的密文部分。

本發(fā)明實施例第三方面提供一種光線路終端OLT，所述OLT包括：

第一確定單元，用于確定待加密的指定廣播報文；

形成單元，用于對所述指定廣播報文進行加密，形成廣播加密報文；

第一發(fā)送單元，用于向光網(wǎng)絡(luò)單元ONU發(fā)送所述廣播加密報文。

基于上述方案，所述OLT還包括：

第一協(xié)商單元，用于OLT與ONU協(xié)商加密密鑰，確定加密密鑰和密鑰索引；

所述形成單元，具體用于利用所述加密密鑰對所述指定廣播報文的待加密部分進行加密，并將所述密鑰索引攜帶在所述指定廣播報文的明文部分，形成所述廣播加密報文；

其中，所述密鑰索引用于所述ONU確定所述加密密鑰。

基于上述方案，所述第一發(fā)送單元，還用于向接收所述廣播加密報文的ONU發(fā)送密鑰請求消息；在發(fā)送所述密鑰請求消息后，啟動第一計時；

所述OLT還包括：

第一接收單元，用于在所述第一計時的計時時間內(nèi)，接收所述ONU基于所述密鑰請求消息返回的響應(yīng)消息；

所述第一協(xié)商單元，具體用于從所述響應(yīng)消息中提取所述加密密鑰。

基于上述方案，所述第一發(fā)送單元，還用于若所述第一計時超時還未接收 到所述響應(yīng)消息或未提取到加密密鑰，則重新發(fā)送所述密鑰請求消息。

基于上述方案，所述第一確定單元，具體用于解析報文的前導(dǎo)碼和操作碼opcode字段，獲得解析信息；及根據(jù)所述解析信息確定所述報文是否為待加密的指定報文。

基于上述方案，所述OLT還包括：

檢測單元，用于檢測廣播加密使能開關(guān)；

所述形成單元，具體用于若所述廣播加密使能開關(guān)處于使能狀態(tài)，則對所述指定廣播報文進行加密，形成廣播加密報文。

本發(fā)明實施例第四方面提供了一種光網(wǎng)絡(luò)單元ONU，所述ONU包括：

第二協(xié)商單元，用于與OLT協(xié)商加密密鑰，確定加密密鑰和密鑰索引；

存儲單元，用于存儲所述加密密鑰和密鑰索引；

其中，所述加密密鑰和所述密鑰索引用于所述OLT對廣播報文進行加密及ONU解密所述OLT加密形成的廣播加密報文。

基于上述方案，所述ONU還包括：

第二接收單元，用于接收OLT發(fā)送的所述廣播加密報文；

解析單元，用于解析所述廣播加密報文的明文部分，確定密鑰索引；

查詢單元，用于根據(jù)所述密鑰索引查詢加密密鑰；

解密單元，用于基于所述加密密鑰解密所述廣播加密報文的密文部分。

本發(fā)明實施例提供的廣播報文加密方法及裝置，會確定出需要加密的指定廣播報文，然后對廣播報文進行加密形成廣播加密報文，OLT向ONU發(fā)送的廣播加密報文，這樣就避免了ONU接收到廣播報文后，導(dǎo)致廣播報文被竊取和信息泄露，增大信息泄露的難度，提高了信息安全性。

附圖說明

圖1為一種EPON系統(tǒng)的結(jié)構(gòu)示意圖；

圖2為本發(fā)明實施例提供的第一種廣播報文加密方法的流程示意圖；

圖3為本發(fā)明實施例提供的第二種廣播報文加密方法的流程示意圖；

圖4為本發(fā)明實施例提供的第三種廣播報文加密方法的流程示意圖；

圖5為本發(fā)明實施例提供的第四種廣播報文加密方法的流程示意圖；

圖6為本發(fā)明實施例提供的一種OLT的結(jié)構(gòu)示意圖；

圖7為本發(fā)明實施例提供的一種ONU的結(jié)構(gòu)示意圖；

圖8為本發(fā)明實施例提供的報文的部分結(jié)構(gòu)示意圖；

圖9為本發(fā)明實施例提供的AES加密的流程示意圖；

圖10為本發(fā)明實施例提供的利用三重攪動加密前后的數(shù)據(jù)幀的比對示意圖；

圖11為本發(fā)明實施例提供的三重攪動加密過程中加密密鑰協(xié)商流程示意圖。

具體實施方式

研究發(fā)現(xiàn)，光線路終端發(fā)送至光網(wǎng)絡(luò)單元的數(shù)據(jù)都會采取各種加密方式進行加密傳輸。但是僅對普通的單播和組播業(yè)務(wù)數(shù)據(jù)加密，沒有專門針對廣播數(shù)據(jù)加密的，而導(dǎo)致某些廣播數(shù)據(jù)被非法ONU竊取并泄露。有鑒于此，本實施例提供了一種廣播報文加密方法，對待加密的指定廣播報文進行加密，提高信息安全性。以下結(jié)合說明書附圖及具體實施例對本發(fā)明的技術(shù)方案做進一步的詳細闡述。

實施例一：

如圖2所示，本實施例提供一種廣播報文加密方法，所述法包括：

步驟S110：光線路終端OLT確定待加密的指定廣播報文；

步驟S120：對所述指定廣播報文進行加密，形成廣播加密報文；

步驟S130：向光網(wǎng)絡(luò)單元ONU發(fā)送所述廣播加密報文。

在本實施例中所述OLT發(fā)送下行數(shù)據(jù)之前，若發(fā)送的下行數(shù)據(jù)為廣播報文，將會確定是否是需要加密的指定廣播報文。這里的指定廣播報文可為指定類型的廣播報文。具體的如廣播報文可分為注冊廣播報文和非注冊廣播報文；所述指定廣播報文可為非注冊廣播報文。在比如，所述OLT接收到指示指令， 該指示指令加密某一個廣播報文，該指定要加密的廣播報文即為所述指定廣播報文。當(dāng)然在具體實現(xiàn)時，還可解析所述廣播報文的正文部分，根據(jù)正文部分內(nèi)容的安全性要求，確定對應(yīng)的廣播報文是否為所述指定廣播報文。

在步驟S120中將對指定廣播報文進行加密，形成廣播加密報文，這樣的話，就算是其他ONU竊取到該廣播報文，沒有密鑰也無法獲取廣播報文的內(nèi)容或竊取廣播報文的內(nèi)容的難度增大。在步驟S120中對所述廣播報文進行加密可包括全部加密或部分加密。這里的部分加密可為僅對廣播報文的部分內(nèi)容進行加密，例如不對廣播報文的包頭進行加密，而僅對廣播報文的正文進行加密。所述全部加密為對整個廣播報文進行加密。

在步驟S130中將加密后形成的廣播加密報文發(fā)送給ONU，這里的發(fā)送可通過ODN下發(fā)到ONU。

本實施例所述的廣播報文加密方法，不僅提高了OLT與ONU之間信息傳輸?shù)陌踩?，減少了信息泄露，還具有實現(xiàn)簡便的特點。

如圖3所示，在本實施例中，所述方法還包括：

步驟S101：所述OLT與ONU協(xié)商加密密鑰，確定加密密鑰和密鑰索引；

所述步驟S120可包括：利用所述加密密鑰對所述指定廣播報文的待加密部分進行加密，并將所述密鑰索引攜帶在所述指定廣播報文的明文部分，形成所述廣播加密報文；其中，所述密鑰索引用于所述ONU確定所述加密密鑰。

在本實施例中所述OLT會與需要接收該廣播報文的ONU進行加密密鑰協(xié)商，這樣的話，OLT和對應(yīng)的ONU將確定出加密密鑰，方便后續(xù)ONU對廣播加密報文的解密。在實現(xiàn)過程中，可以由所述OLT確定出一個加密密鑰，下發(fā)給ONU即可，也可以O(shè)NU確定出一個加密密鑰，發(fā)送給OLT。但是在本實施例中為了避免其他ONU竊取加密密鑰，通常優(yōu)選為由ONU確定出加密密鑰，通過上行光通道發(fā)送給OLT。在本實施例中還會確定一個密鑰索引，這個密鑰索引方便ONU接收到所述廣播加密報文之后，從廣播加密報文的明文部分中提取出來，進而確定出所述加密密鑰。這里的所述密鑰索引同樣可以是所述ONU確定的，也可以是所述OLT確定的，在本實施例中優(yōu)選為所述密鑰索引 由形成所述加密密鑰的一方來確定。

本實施例中承載所述密鑰索引的明文部分，可包括位于報文中包頭內(nèi)的前導(dǎo)碼。例如，可利用前導(dǎo)碼的第5個字節(jié)中的部分比特來表示所述密鑰索引；具體如，利用所述第5個字節(jié)中最后2個比特來表示所述密鑰索引。

總之，本實施例所述方法，OLT會事先與ONU進行加密密鑰的協(xié)商，從而確定出加密密鑰和密鑰索引，以方便后續(xù)廣播加密報文的解密。

當(dāng)然在具體的實現(xiàn)過程中，所述OLT和ONU可以預(yù)先設(shè)置多個加密密鑰，后續(xù)在進行協(xié)商時，僅需協(xié)商加密密鑰對應(yīng)的密鑰索引即可。在本實施例中為了進一步提升信息安全性，所述加密密鑰對于OLT和ONU其中一端是動態(tài)生成，而非從多個預(yù)先設(shè)置的密鑰中選擇的。

進一步地，所述步驟S101可包括：

向接收所述廣播加密報文的ONU發(fā)送密鑰請求消息；

在發(fā)送所述密鑰請求消息后，啟動第一計時器；

在所述第一計時器的計時時間內(nèi)，接收所述ONU基于所述密鑰請求消息返回的響應(yīng)消息；

從所述響應(yīng)消息中提取所述加密密鑰。

在本實施例中所述密鑰請求消息可對應(yīng)于一個密鑰請求幀，例如所述OLT通過向接收對應(yīng)廣播報文的ONU發(fā)送一個密鑰請求幀，ONU在接收到所述密鑰請求幀之后會恢復(fù)一個攜帶有加密密鑰的密鑰通知幀作為所述響應(yīng)消息。這樣OLT就能夠從所述響應(yīng)消息中提取出進行廣播報文加密的加密密鑰。通常所述響應(yīng)消息中還包括密鑰索引，這里的密鑰索引可為所述密鑰的序號等。

在本實施例中，所述OLT發(fā)送完所述密鑰請求消息后，會啟動計時器進行計時或啟動計數(shù)器進行計數(shù)來進行計時，若OLT在第一計時時間內(nèi)接收到所述響應(yīng)消息，表示此次協(xié)商成功；這樣對密鑰協(xié)商的失效性進行了限定，避免了密鑰協(xié)商過程中忽視時效性導(dǎo)致的加密密鑰的安全性問題。

進一步地，所述步驟S101還包括：若所述第一計時超時還未接收到所述響應(yīng)消息或未提取到加密密鑰，還未接收到所述響應(yīng)消息，則重新發(fā)送所述密鑰 請求消息。若當(dāng)前OLT有數(shù)據(jù)需要發(fā)送，在本實施例中所述OLT還會在第一計時超時或未提取到加密密鑰時，重新發(fā)送所述密鑰請求消息，以重新進行密鑰協(xié)商以確保廣播報文的正常發(fā)送。

當(dāng)然在具體的實現(xiàn)過程中可能當(dāng)前ONU出現(xiàn)故障，即便繼續(xù)發(fā)送所述密鑰請求消息也沒有用，反而會導(dǎo)致OLT負荷過大；這樣的話，在本實施例中可以規(guī)定指定次數(shù)，若連續(xù)協(xié)商的次數(shù)超過指定次數(shù)，則停止發(fā)送所述密鑰請求消息或停止指定時長之后在發(fā)送所述密鑰協(xié)商請求消息，或輸出密鑰協(xié)商失敗等提示信息。

在本實施例中，所述步驟S110可包括：

步驟S111：解析報文的前導(dǎo)碼和操作碼opcode字段，獲得解析信息；

步驟S112：根據(jù)所述解析信息確定所述報文是否為待加密的指定報文。

所述步驟S111可包括：解析廣播報文的前導(dǎo)碼，提取所述前導(dǎo)碼中的模式位和邏輯鏈路標(biāo)識；根據(jù)所述模式位和/或邏輯鏈路標(biāo)識，確定所述報文是否為廣播報文。

報文可分為廣播報文、單播報文和組播報文。報文又可分為包頭和正文兩個部分，在報文中包括前導(dǎo)碼、目的地址(Destination Address，DA)、源地址(Sources Address,SA)和類型字段等信息。在前導(dǎo)碼中包括兩個邏輯鏈路標(biāo)識(Logic Link Identification，LLID)字段。通常每一個LLID包括8個比特；從而兩個LLID字段共16比特，這16比特的最高位的比特為所述模式位，后15個比特為用來記錄該廣播報文的邏輯鏈路標(biāo)識。在通常情況下若所述模式位為1，表示該報文為廣播報文，若后15位全為1也表示該報文為廣播報文。

步驟S112為解析所述opcode字段中的內(nèi)容，確定出該廣播報文是否為不能夠進行加密的注冊報文。例如，所述opcode字段的內(nèi)容為02、04、05、06時，通常表示該本廣播報文為注冊報文，這里的02、04、05、06對應(yīng)的是16進制數(shù)。故在步驟S112中若opcode字段的內(nèi)容不是16進制的02、04、05及06時，則該廣播報文可以作為所述待加密的指定廣播報文。

作為本實施例的進一步改進，通常情況下廣播報文是不加密的，僅在一些 特殊場景下，例如對某些ONU進行廣播報文收發(fā)測試等處理時，可能僅需要將廣播報文發(fā)送給特定的ONU。在本實施例中為了與現(xiàn)有技術(shù)進行更好的兼容個，在本實施例中所述方法還包括：檢測廣播加密使能開關(guān)；所述步驟S120包括：若所述廣播加密使能開關(guān)處于使能狀態(tài)，則對所述指定廣播報文進行加密，形成廣播加密報文。在本實施例中可事先為OLT配置一個加密使能開關(guān)，若當(dāng)前需要發(fā)送需要加密的廣播報文，則將所述廣播加密使能開關(guān)處于使能狀態(tài)，這樣的話，才會觸發(fā)所述OLT執(zhí)行上述步驟S110至步驟S130。所述廣播加密使能開關(guān)的默認狀態(tài)為非使能狀態(tài)，在非使能狀態(tài)下，所述OLT不會對廣播報文進行加密處理。

所述步驟S130中對指定廣播報文進行加密的方式有多種，以下提供兩種可選方式。

第一種：對所述指定報文進行高級加密標(biāo)準(zhǔn)(Advanced Encryption Standard，簡稱AES)加密。AES加密為一種基于區(qū)塊加密標(biāo)準(zhǔn)的加密方式，在本實施例中可以將指定廣播報文中需要加密的加密部分劃分為多個塊，例如，將加密部分中的連續(xù)分布的128位數(shù)據(jù)劃分為一個塊，利用長度為128位的加密密鑰對每一個塊進行加密處理。

第二種：

利用攪動密鑰對指定廣播報文進行攪動加密，例如，利用攪動密鑰對所述指定廣播報文進行三重攪動加密。攪動加密為利用攪動密鑰打亂需要加密的內(nèi)容，從而使攪動加密之后的信息呈現(xiàn)出亂序性，這樣沒有攪動密鑰的ONU即便竊取到該報文，也會認為是一個沒有意義的亂碼報文。在本實施例中為了提升加密效果，提升廣播報文的安全性，在本實施例中可選為采用三重攪動，對指定廣播報文進行至少三次的攪動加密。

總之，本實施例提供了一種廣播報文加密方法，可以對部分需要加密的廣播報文進行加密，提高廣播報文的信息安全性，減少信息的泄露。

實施例二：

如圖4所示，本實施例提供一種廣播報文加密方法，所述方法包括：

步驟S210：ONU與OLT協(xié)商加密密鑰，確定加密密鑰和密鑰索引；

步驟S220：存儲所述加密密鑰和密鑰索引；

其中，所述加密密鑰和所述密鑰索引用于所述OLT對廣播報文進行加密及ONU解密所述OLT加密形成的廣播加密報文。

本實施例所述廣播報文加密方法為應(yīng)用于ONU中的方法，該OUN會與OLT進行廣播報文加密的加密密鑰的協(xié)商，確定出加密密鑰和密鑰索引。在步驟S220中將存儲所述加密密鑰及密鑰索引，這樣后續(xù)接收到廣播加密報文時，可以利用所述密鑰索引查找到所述加密密鑰，并利用所述加密密鑰解密所述廣播加密報文；這樣能夠減少廣播報文被其他不相關(guān)的ONU竊取的現(xiàn)象。

值得注意的是：本實施例所述步驟S220可能發(fā)生在所述步驟S210之前，例如，ONU預(yù)先存儲了多個加密密鑰及加密密鑰對應(yīng)的密鑰索引，在執(zhí)行步驟S210時，所述ONU從預(yù)先存儲的加密密鑰和密鑰索引中挑選一組作為與OLT本次進行廣播報文交互的加密密鑰和密鑰索引。故在本實施例中所述步驟S210和步驟S220的執(zhí)行順序可以如圖4所示，也可以是步驟S220之前，步驟S210在后。

如圖5所示，作為本實施例的進一步改進，所述方法還包括：

步驟S230：接收OLT發(fā)送的廣播加密報文；

步驟S240：解析所述廣播加密報文的明文部分，確定密鑰索引；

步驟S250：根據(jù)所述密鑰索引查詢加密密鑰；

步驟S260：基于所述加密密鑰解密所述廣播加密報文的密文部分。

在本實施例中ONU接收到廣播加密報文，解析廣播加密報文的明文部分，這里的明文部分可包括前導(dǎo)碼。通過解析前導(dǎo)碼承載所述密鑰索引的字段，得到所述密鑰索引，進而利用密鑰索引查找到對應(yīng)的加密密鑰，最終執(zhí)行步驟S260利用所述加密密鑰解碼所述廣播加密報文的密文部分；具有實現(xiàn)簡便的特點。值得注意的是：在步驟S260中若廣播加密報文的加密方式是對稱加密，則所述加密密鑰也就是解密密鑰，可以直接利用所述加密密鑰對所述廣播加密報文進行解碼。若所述廣播加密報文的加密方式為非對稱加密，則所述加密密鑰 對應(yīng)有解密密鑰，則需要根據(jù)該加密密鑰確定出所述解密密鑰，利用解密密鑰來機密所述廣播加密報文。

實施例三：

如圖6所示，本發(fā)明實施例提供一種光線路終端OLT，所述OLT包括：

第一確定單元110，用于確定待加密的指定廣播報文；

形成單元120，用于對所述指定廣播報文進行加密，形成廣播加密報文；

第一發(fā)送單元130，用于向光網(wǎng)絡(luò)單元ONU發(fā)送所述廣播加密報文。

本實施例提供一種OLT，該OLT包括所述第一確定單元110、形成單元120和第一發(fā)送單元130。所述第一確定單元110和所述形成單元120均可對應(yīng)于所述OLT中的處理器或處理電路，所述處理器可包括中央處理器、應(yīng)用處理器、微處理器、數(shù)字信號處理器或可編程陣列。所述處理器或處理電路通過執(zhí)行指定代碼，實現(xiàn)所述第一確定單元110和所述形成單元120的功能。

所述第一發(fā)送單元130對應(yīng)于所述OLT的光發(fā)送接口，例如，對應(yīng)于所述OLT向ONU發(fā)送信號的下行發(fā)送接口，能夠用于將所述OUN發(fā)送加密報文。

在本實施例中所述OLT會對需要加密的廣播報文進行加密，避免不需要接收該廣播報文的其他ONU泄露該廣播報文的信息內(nèi)容，提升信息的安全性。

進一步地，所述OLT還包括：第一協(xié)商單元，用于OLT與ONU協(xié)商加密密鑰，確定加密密鑰和密鑰索引；所述形成單元120，具體用于利用所述加密密鑰對所述指定廣播報文的待加密部分進行加密，并將所述密鑰索引攜帶在所述指定廣播報文的明文部分，形成所述廣播加密報文；其中，所述密鑰索引用于所述ONU確定所述加密密鑰。所述第一協(xié)商單元可對應(yīng)于通信接口或處理器，能夠通過與OUN多次信息交互和信息解析提取等操作，確定出所述加密密鑰和密鑰索引。在本實施例中通過第一協(xié)商單元的設(shè)置，可以簡便的協(xié)商出加密密鑰，從而能夠方便ONU后續(xù)解密所述廣播加密報文。

進一步地，所述第一發(fā)送單元130，還用于向接收所述廣播加密報文的ONU發(fā)送密鑰請求消息；在發(fā)送所述密鑰請求消息后，啟動第一計時；

所述OLT還包括：

第一接收單元，用于在所述第一計時的計時時間內(nèi)，接收所述ONU基于所述密鑰請求消息返回的響應(yīng)消息；

所述第一協(xié)商單元，具體用于從所述響應(yīng)消息中提取所述加密密鑰。

所述第一接收單元可包括OLT的下行接收接口，能夠用于從ONU接收所述響應(yīng)消息。在本實施例中，還設(shè)置了第一計時，避免因協(xié)商時間過長導(dǎo)致的各種信息安全性問題，這里的信息安全性問題可包括加密密鑰被泄露。

在本實施例中，所述第一發(fā)送單元130，還用于若所述第一計時超時還未接收到所述響應(yīng)消息或未提取到加密密鑰，則重新發(fā)送所述密鑰請求消息。在本實施例中當(dāng)然為了保證廣播報文的順利發(fā)送，若出現(xiàn)上述三種情況的至少其中之一時，將重新發(fā)送所述密鑰請求消息。在具體實現(xiàn)時，所述第一發(fā)送單元130向同一個ONU發(fā)送所述密鑰請求消息的次數(shù)直至達到指定次數(shù)后才停止，或停止一段時間后間隔發(fā)送，或向上層設(shè)備發(fā)送協(xié)商失敗的警告信息等。

具體地，所述第一確定單元110，具體用于解析報文的前導(dǎo)碼和操作碼opcode字段，獲得解析信息；及根據(jù)所述解析信息確定所述報文是否為待加密的指定報文。所述前導(dǎo)碼包括前述實施例中提到的模式位和邏輯鏈路標(biāo)識等信息，根據(jù)前導(dǎo)碼可確定出當(dāng)前需要發(fā)送的報文是否為廣播報文，根據(jù)所述opcode字段的內(nèi)容可確定出是否待加密的指定廣播報文，具有結(jié)構(gòu)簡單及實現(xiàn)簡便的特點。

進一步地，所述OLT還包括：

檢測單元，用于檢測廣播加密使能開關(guān)；

所述形成單元120，具體用于若所述廣播加密使能開關(guān)處于使能狀態(tài)，則對所述指定廣播報文進行加密，形成廣播加密報文。

在本實施例中所述檢測單元可對應(yīng)于處理器或處理電路，可以檢測所述OLT內(nèi)的表示所述廣播加密使能的字段是否被置為對應(yīng)于所述使能狀態(tài)的指定值，來確定所述廣播加密使能開關(guān)的狀態(tài)。當(dāng)然這只是一種實現(xiàn)，具體的實現(xiàn)結(jié)構(gòu)還有多種，不限于上述實現(xiàn)結(jié)構(gòu)。

通過檢測單元的設(shè)置，通過檢測單元對廣播加密使能開關(guān)的狀態(tài)的檢測， 可以與現(xiàn)有技術(shù)中很好的兼容，在默認狀態(tài)下所述廣播加密使能開關(guān)通常為非使能狀態(tài)，以避免影響大多數(shù)不需要加密的廣播報文的發(fā)送。

實施例四：

如圖7所示，本實施例提供一種光網(wǎng)絡(luò)單元ONU，所述ONU包括：

第二協(xié)商單元210，用于與OLT協(xié)商加密密鑰，確定加密密鑰和密鑰索引；

存儲單元220，用于存儲所述加密密鑰和密鑰索引；

其中，所述加密密鑰和所述密鑰索引用于所述OLT對廣播報文進行加密及ONU解密所述OLT加密形成的廣播加密報文。

本實施例所述第二協(xié)商單元210可對應(yīng)于所述ONU中的光通信接口和處理器或處理電路等，利用光通信接口與OLT進行信息交互，通過信息交互確定出密鑰索引和密鑰索引。例如，利用所述光通信接口將確定好的加密密鑰和密鑰索引的至少其中之一，發(fā)送給所述OLT。所述ONU還包括存儲單元220可對應(yīng)于所述ONU中的各種存儲介質(zhì)，可用于存儲所述加密密鑰和密鑰索引。

總之，本實施例所述ONU通過與OLT之間的協(xié)商，可以協(xié)助OLT確定加密密鑰，方便OLT利用該加密密鑰對待加密的廣播報文進行加密，以提高廣播報文的信息安全性。

進一步地，所述ONU還包括：

第二接收單元，用于接收OLT發(fā)送的所述廣播加密報文；

解析單元，用于解析所述廣播加密報文的明文部分，確定密鑰索引；

查詢單元，用于根據(jù)所述密鑰索引查詢加密密鑰；

解密單元，用于基于所述加密密鑰解密所述廣播加密報文的密文部分。

本實施例所述第二接收單元可對應(yīng)于能夠與OLT進行光通信的光通信接口，能夠從OLT接收信息，例如所述廣播加密報文。在本實施例中所述廣播加密報文可包括明文部分和密文部分；在本發(fā)明實施例中需要保密的信息位于在所述密文部分中。所述明文部分可包括報文的前導(dǎo)碼等信息。所述密鑰索引也位于所述明文部分。故在本實施例中解析單元會對明文部分進行解密，獲得所述密鑰索引，在根據(jù)密鑰索引確定出加密密鑰，從而基于加密密鑰解密所述廣 播加密報文的加密部分，從而獲得解密后的原始廣播報文的報文內(nèi)容，實現(xiàn)了廣播報文的加密交互，能夠防止信息的泄露，提高了信息的安全性。

以下結(jié)合上述任意實施例提供一個示例：

本示例提供一種廣播報文加密系統(tǒng)，該系統(tǒng)可為應(yīng)用于OLT和ONU中的系統(tǒng)，包括：廣播業(yè)務(wù)包鑒別單元、交互單元、前導(dǎo)碼修改單元、AES加密單元及三重攪動加密單元。

利用上述廣播報文加密系統(tǒng)，執(zhí)行廣播報文加密包括以下步驟：

第一步：；利用廣播(Broadcast)業(yè)務(wù)包鑒別單元，完成廣播包的鑒別。在EPON系統(tǒng)中，可以利用邏輯鏈路標(biāo)識和模式位的內(nèi)容確定出對應(yīng)的報文是否為廣播報文。通常若模式位取值為1，表示該報文為廣播報文；或者，當(dāng)邏輯鏈路標(biāo)識的各比特均為1，表示該報文為廣播報文。圖8為報文的部分示意圖，報文包括前導(dǎo)碼，目的地址DA字段、源地址SA字段、長度/類型字段、OP-code字段等字段；還有數(shù)據(jù)區(qū)域等字段未在圖8中顯示。所述前導(dǎo)碼包括保留字段1、保留字段2、幀起始定界符(Start of Packet Delimiter，SPD)字段、兩個字節(jié)長度的LLID以及校驗CRC字段。報文

第二步：利用交互單元，確定是否進行加密及加密方式等各種加密參數(shù)。該步驟具體可包括：每當(dāng)收到新廣播數(shù)據(jù)包頭的時候，根據(jù)預(yù)先配置的廣播加密使能開關(guān)，決定是否申請加密密鑰。在本示例中，廣播報文密鑰索引用直接寄存器進行配置，若廣播加密開關(guān)處于使能狀態(tài)，則直接查詢直接寄存器配置的密鑰索引，根據(jù)密鑰索引判斷是否需要加密及加密方式。本示例中的加密方式可包括AES加密和三重攪動加密。

第三步：前導(dǎo)碼修改單元，根據(jù)前面的密鑰交互單元的處理，決定是否修改前導(dǎo)碼即(前導(dǎo)碼修改單元)，在申請加密密鑰后，廣播加密使開關(guān)的狀態(tài)依然保持使能有效，則將前導(dǎo)碼中的第5字節(jié)的低2bit改為1和密鑰索引,并對修改后的前導(dǎo)碼做校驗，生成校驗值。例如，對修改后的前導(dǎo)碼做循環(huán)校驗，生成循環(huán)校驗值。

第四步：根據(jù)第二步的加密使能以及加密方式，進行加密。所述加密方 式可包括AES加密和三重攪動加密。以下分別介紹一下AES加密和三重攪動加密的具體實現(xiàn)。

利用AES加密單元進行AES加密時，將要加密的數(shù)據(jù)進行分割成一個多個數(shù)據(jù)塊，其中每一個數(shù)據(jù)塊包括128比特。如圖9所示，將分割形成的數(shù)據(jù)塊作為輸入塊，與加密密鑰一同作為加密邏輯的輸入，經(jīng)過AES加密后，將形成加密后的輸出塊。通常輸出塊包括的比特數(shù)與所述輸入塊包括的比特數(shù)相同。接下來，將輸出塊與對應(yīng)明文塊的后16字節(jié)進行異或運算，得到完成了AES加密的密文。

所述AES加密單元還會用于最終確定加密密鑰；具體如可包括：

1)OLT發(fā)出KEY_ASSIGN消息。在該KEY_ASSIGN消息包括16位加密輸入值中的初始值、第一密鑰激活時間、128位初始密鑰。這里的KEY_ASSIGN消息對應(yīng)于前述實施例中的密鑰請求消息。

2)OLT發(fā)出KEY_ASSIGN消息的同時，啟動一個超時計數(shù)器。

3)接收ONU發(fā)送KEY_RESPONSE消息。該KEY_RESPONSE消息內(nèi)含有128位更新后的密鑰，以及第二密鑰激活時間。這里的KEY_RESPONSE消息對應(yīng)于前述實施例中的響應(yīng)消息。

4)如果OLT的超時計數(shù)器表示已經(jīng)超時，還未收到KEY_RESPONSE，或者基于第一密鑰激活時間和第二密鑰激活時間判斷出OLT與ONU協(xié)商失敗未提取到加密密鑰，就重啟密鑰交互過程。第一密鑰激活時間為OLT發(fā)送KEY_ASSIGN消息的時間戳，第二密鑰激活時間為發(fā)送KEY_RESPONSE消息的時間戳，根據(jù)這兩個時間戳，就能夠確定出傳輸時延，若傳輸時延大于預(yù)定時延，這樣的話，可認為協(xié)商失敗。

OLT發(fā)送的128初始密鑰可以作為所述ONU形成128更新后的密鑰的初始值。所述128初始密鑰與128更新后的密鑰也可以完全沒有關(guān)系，在本實施例中所述128更新后的密鑰為前述實施例中用來加密指定廣播報文的加密密鑰。

第六步：三重攪動加密單元用于三重攪動加密。在三重攪動加密過程中， OLT提出密鑰更新要求，ONU提供3字節(jié)攪動密鑰，OLT使用此攪動密鑰完成攪動加密。在啟用攪動加密后，對非注冊廣播報文所有的數(shù)據(jù)幀和OAM幀進行攪動。這的非注冊廣播報文即對應(yīng)于前述的指定廣播報文。

攪動密鑰是ONU由上行用戶數(shù)據(jù)中提取的3字節(jié)數(shù)據(jù)與3字節(jié)隨機數(shù)或相加的結(jié)果。

前導(dǎo)碼中的第五個字節(jié)作為攪動密鑰索引的標(biāo)識字段來實現(xiàn)密鑰同步。在圖10中顯示有廣播數(shù)據(jù)幀攪動加密前的格式和攪動加密后的格式。在圖10所示的攪動加密前的數(shù)據(jù)幀包括前導(dǎo)碼和以明文形式存在的其他數(shù)據(jù)。在前導(dǎo)碼中2個字節(jié)長度的LLID字段，在該字段中存儲有模式位和邏輯鏈路標(biāo)識，和兩個長均為2個字節(jié)的保留字段1和保留字段2。在攪動加密后的數(shù)據(jù)幀中，簽到碼的保留字段2的后一個字節(jié)中添加了加密索引。且在攪動加密的數(shù)據(jù)中，利用攪動密鑰對數(shù)據(jù)攪動攪動區(qū)進行攪動加密。

在圖10所示的數(shù)據(jù)攪動區(qū)可包括目的地址DA字段、源地址SA字段、長度/類型字段及數(shù)據(jù)區(qū)域和FCS字段。所述FCS為Frame Check Sequence的縮寫，是校驗字段；可以利用保存該數(shù)據(jù)幀的循環(huán)校驗碼等校驗數(shù)據(jù)。FCS中存儲的校驗數(shù)據(jù)可用于對數(shù)據(jù)區(qū)域內(nèi)存儲的數(shù)據(jù)進行校驗。在前導(dǎo)碼循環(huán)校驗碼CRC字段存儲的校驗碼，可用于對前導(dǎo)碼內(nèi)存儲數(shù)據(jù)的校驗。

密鑰更新由新密鑰請求幀(new_key_request)和密鑰通知幀(new_churning_key)來實現(xiàn)。OLT向ONU發(fā)出包括新密鑰請求的新密鑰請求幀，該請求幀包含當(dāng)前正在用于下行加密的密鑰的序號。這里的新密鑰請求幀相當(dāng)于前述實施例中密鑰請求消息。

ONU收到新密鑰請求幀后產(chǎn)生新的攪動密鑰，該攪動密鑰的序號可為二進制序號，可以為是所接收到的新密鑰請求幀中In-use_Key_Index字節(jié)最低位的二進制的補碼。

ONU向OLT發(fā)送新密鑰通知幀，新密鑰通知幀中包含新密鑰索引字段和新攪動密鑰字段。通常新密鑰索引字段包括密鑰索引，數(shù)據(jù)長度為1個字節(jié)，新攪動密鑰字段包括攪動密鑰，數(shù)據(jù)長度為3個字節(jié)。新密鑰序索引字 段(New_Key_Index)的最低位的值為新密鑰索引，剩余比特值均可以置為指定值，這里的指定值可為0或1。這里的新密鑰通知幀可相當(dāng)于前述實施例中的基于密鑰請求消息返回的響應(yīng)消息。

OLT收到新密鑰通知幀后，就可以使用新攪動密鑰對隨后的幀進行攪動加密。密鑰同步依靠每個幀中的保留字段2中的第2個字節(jié)來實現(xiàn)，只要ONU收到OLT發(fā)送的攪動幀中，密鑰索引Key_Index可為新密鑰通知幀中的密鑰編號，則ONU使用新密鑰進行解攪動。所述保留字段2的第2個字節(jié)中可設(shè)置有Flag和加密索引；所述Flag可包括1個比特，表示當(dāng)前報文是否有加密，例如當(dāng)該比特的內(nèi)容為0表示未加密，當(dāng)該比特為1表示加密。所述加密索引對應(yīng)的比特表示的加密密鑰的密鑰標(biāo)號等索引信息。

OLT有一個定時器key_update_timer，用于控制密鑰更新周期。當(dāng)該定時器超時，OLT則啟動上述密鑰更新過程。OLT使用另一個定時器Churning_Timer用于作為在無法獲得密鑰更新幀情況下啟動下一次密鑰更新請求的機制，以增加密鑰更新的可靠性。這里的定時器Churning_Timer相當(dāng)于前述實施例中對第一計時進行計時的計時器。

當(dāng)OLT每次發(fā)出新密鑰請求幀時，啟動定時器Churning_Timer。當(dāng)OLT在Churning_Timer超時前收到了ONU發(fā)來的正確的新密鑰通知幀，則OLT啟用新密鑰作為攪動密鑰進行攪動加密，并將Churning_Timer復(fù)位。

當(dāng)定時器Churning_Timer超時后OLT仍沒有收到新密鑰通知幀，則認為密鑰交互失敗，將Churning_Timer復(fù)位；且OLT發(fā)送新一輪的新密鑰請求幀。

在新密鑰成功交互之前，ONU仍然使用原來的密鑰，并且由OLT將密鑰交互失敗的信息上報給網(wǎng)管。如果OLT連續(xù)3次發(fā)送新密鑰請求幀后仍然無法在Churning_Timer超時前收到密鑰更新幀，則OLT應(yīng)向網(wǎng)管告警。下行業(yè)務(wù)仍然使用舊的密鑰進行攪動。密鑰更新周期T_key和定時器Churning_Timer的值均可配置。T_key的缺省值為10s。密鑰更新與同步過程。

圖11提供了OLT和ONU之間進行攪動密鑰交互的流程示意圖，包括：

OLT在一個密鑰更新周期T_key時間內(nèi)向ONU發(fā)送新密鑰請求。

ONU接收到新密鑰請求后，向OLT返回攪動密鑰0。

OLT接收攪動密鑰0。

OLT利用攪動密鑰0進行攪動加密。

ONU后續(xù)在接收到廣播加密報文后，會利用攪動密鑰0解攪動加密。

OLT在下一個T_key時間內(nèi)，發(fā)送新密鑰請求。

OLT ONU接收到新密鑰請求后，向OLT返回攪動密鑰1。

OLT利用攪動密鑰1進行攪動加密。

ONU后續(xù)在接收到廣播加密報文后，會利用攪動密鑰1解攪動加密。

在本申請所提供的幾個實施例中，應(yīng)該理解到，所揭露的設(shè)備和方法，可以通過其它的方式實現(xiàn)。以上所描述的設(shè)備實施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實際實現(xiàn)時可以有另外的劃分方式，如：多個單元或組件可以結(jié)合，或可以集成到另一個系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另外，所顯示或討論的各組成部分相互之間的耦合、或直接耦合、或通信連接可以是通過一些接口，設(shè)備或單元的間接耦合或通信連接，可以是電性的、機械的或其它形式的。

上述作為分離部件說明的單元可以是、或也可以不是物理上分開的，作為單元顯示的部件可以是、或也可以不是物理單元，即可以位于一個地方，也可以分布到多個網(wǎng)絡(luò)單元上；可以根據(jù)實際的需要選擇其中的部分或全部單元來實現(xiàn)本實施例方案的目的。

另外，在本發(fā)明各實施例中的各功能單元可以全部集成在一個處理模塊中，也可以是各單元分別單獨作為一個單元，也可以兩個或兩個以上單元集成在一個單元中；上述集成的單元既可以采用硬件的形式實現(xiàn)，也可以采用硬件加軟件功能單元的形式實現(xiàn)。

本領(lǐng)域普通技術(shù)人員可以理解：實現(xiàn)上述方法實施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成，前述的程序可以存儲于一計算機可讀取存儲介質(zhì)中，該程序在執(zhí)行時，執(zhí)行包括上述方法實施例的步驟；而前述 的存儲介質(zhì)包括：移動存儲設(shè)備、只讀存儲器(ROM，Read-Only Memory)、隨機存取存儲器(RAM，Random Access Memory)、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。

以上所述，僅為本發(fā)明的具體實施方式，但本發(fā)明的保護范圍并不局限于此，任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到變化或替換，都應(yīng)涵蓋在本發(fā)明的保護范圍之內(nèi)。因此，本發(fā)明的保護范圍應(yīng)以所述權(quán)利要求的保護范圍為準(zhǔn)。