CN101072094A - 一种pon***中密钥协商的方法和*** - Google Patents
一种pon***中密钥协商的方法和*** Download PDFInfo
- Publication number
- CN101072094A CN101072094A CN 200610060689 CN200610060689A CN101072094A CN 101072094 A CN101072094 A CN 101072094A CN 200610060689 CN200610060689 CN 200610060689 CN 200610060689 A CN200610060689 A CN 200610060689A CN 101072094 A CN101072094 A CN 101072094A
- Authority
- CN
- China
- Prior art keywords
- onu
- olt
- encryption key
- pon
- key agreement
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种PON***中密钥协商的方法和***,所述的方法包括光线路终端OLT或光网络单元ONU发送请求更新加密密钥消息;OLT或ONU分别根据随机数和***参数生成加密密钥;OLT或ONU发送请求启用加密密钥消息,完成密钥协商。所述的***包括光线路终端OLT和光网络单元ONU,所述的OLT和ONU分别根据随机数和***参数生成加密密钥,完成密钥协商。利用本发明所述的***和方法,能够极大的增加无源光网络***密钥交换过程的安全性。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种PON(PassiveOptical Network,无源光网络)***中密钥协商的方法和***。
背景技术
目前接入网领域在DSL(Digital Subscriber Loop,数字用户环路)技术充分发展之余,光接入技术也蓬勃兴起,尤其是PON技术更是受到业界的瞩目。PON技术是一种点到多点的光接入技术,与点到点技术相比,PON***局端用一根光纤即可分成数十甚至更多路光纤与用户连接,大大降低了建网成本。
如图1所示,PON***由OLT(Optical Line Termination,光线路终端)、ONU/ONT(Optical Network Unit,光网络单元/OpticalNetwork Termination,光网络终端)以及ODN(Optical DistributionNetwork,光分布网络)组成。OLT为PON***提供SNI(Service-network Interface,业务网络接口),并连接一个或多个ODN;ODN是无源分光器件,将OLT的数据分路传输到多个ONU,并将多个ONU的数据汇总传输到OLT;ONU为PON***提供UNI(User-network Interface,用户网络接口),并上行与ODN相连;如果ONU直接提供用户端口功能,如个人电脑上网用的以太网用户端口,则称为ONT。若无特殊说明,本说明书提到的ONU统指ONU和ONT。
在PON***中,从OLT到ONU称为下行,反之称为上行。由于OLT的下行数据是广播发送到ONU的,网络中所有的ONU都会收到OLT发送给其他ONU的数据。为此,现有技术采用了使用密钥对发送的下行数据进行加密的方案。具体通过以下方法实现:OLT向ONU广播发送请求更新密钥消息,ONU收到该消息后,生成并保存新的密钥,并将该密钥发送给OLT,OLT收到后保存密钥,与ONU约定启用新密钥的时间,在约定时刻,对下行数据启用新密钥。在该方案中,OLT使用与各ONU对应的密钥对发送给不同ONU的数据进行加密,使得***中任何一个ONU只能解密发送给自己的数据,而无法解密发送到其他ONU的数据。
但现有技术的方案通过网络直接传输明文密钥,使得密钥很容易被他人获取,因而其安全性很差。
发明内容
本发明的目的在于提供一种PON***中密钥协商的方法和***,旨在于实现无源光网络中的密钥协商更加安全的目的。
本发明的目的是通过以下技术方案实现的:
本发明提供一种PON***中密钥协商的方法,包括:
A、光线路终端OLT或光网络单元ONU发送请求更新加密密钥消息;
B、OLT或ONU分别根据随机数和***参数生成加密密钥;
C、OLT或ONU发送请求启用加密密钥消息,完成密钥协商。
所述的步骤B具体包括:
B11、OLT和ONU分别根据随机数、***参数生成传递数;
B12、OLT和ONU分别将所述的传递数传递给对方;
B13、OLT和ONU分别根据所述的传递数生成加密密钥。
所述的随机数为由OLT和ONU分别随机生成的数x和y。
所述的***参数为OLT和ONU都能获取的两个数a和b。
所述的步骤B具体包括:
B21、OLT根据公式X=ax mod b,计算出传递数X,ONU根据公式Y=ay mod b,计算出传递数Y;
B22、OLT和ONU分别将所述的传递数X和Y传递给对方;
B23、OLT根据公式k=Yx mod b生成加密密钥k,ONU根据公式k=Xy mod b生成加密密钥k。
所述的传递数在请求更新加密密钥消息中包含或单独发送。
所述的获取***参数的方法为下述方法中任一种:
***参数固化在OLT和ONU中、每次通信前双方协商生成、每次通信前一方临时指定给另一方、每次通信前双方按照某种规律变化生成。
本发明还提供一种PON***中密钥协商的***,所述的***包括光线路终端OLT和光网络单元ONU,所述的OLT和ONU分别根据随机数和***参数生成加密密钥,完成密钥协商。
所述的OLT和ONU分别包括:
随机数生成单元,用于随机生成随机数;
***参数获取单元,用于获取***参数;
传递数生成单元,用于根据所述的随机数和***参数生成传递数;
加密密钥生成单元,用于根据所述的传递数生成加密密钥。
所述的OLT和ONU还包括:
消息发送和接收单元,用于发送和接收所述的传递数,以及用于发送和接收请求更新加密密钥消息、请求启用加密密钥消息、确认响应消息。
由本发明提供的技术方案可以看出,本发明是由OLT和ONU根据随机数和***参数生成加密密钥进行密钥协商的,整个协商过程中传输的是由随机数和***参数生成的传递数,窃听者获取了传递数,甚至其获取了***参数,也因为不知道随机数而无法获得加密密钥,与现有技术通过网络直接传输明文密钥相比,大大的提高了密钥协商过程的安全性;另外本发明和现有技术相比,更关注于发送的是传递数,而不是明文密码,对基本的流程改动比较小,有利于密钥协商方案的推广和应用。而且在本发明中,发送的传递数或响应消息是采用分片后多次发送的方式进行的,将数据分片发送可以有效提高数据传输的安全性,而采用多次发送方式可以提高数据传输的可靠性。
附图说明
图1为PON***示意图;
图2为本发明方法的实现流程图;
图3为本发明中加密密钥生成示意图;
图4为本发明***的示意图。
具体实施方式
如图2、图3所示,本发明的密钥协商方法的具体流程介绍如下:
S1、OLT随机生成随机数X,并获取***参数a、b;
所述的随机数为大整数,a和b是大的素数,而且a是模b的本原元,本发明中获取***参数的方法可以为下述方法中的任一种:
固化在OLT和ONU中、在每次通信前双方协商生成、每次通信前一方临时指定给另一方或者每次通信前双方按照某种规律变化生成***参数。
S2、OLT根据密钥协商函数生成传递数X;
本发明中的密钥协商函数可以在通信前双方协商确定,或者每次通信前一方临时指定给另一方。
本实施例中OLT根据公式X=ax mod b生成传递数X。
S3、OLT通过下行信道广播或者单播发送请求更新加密密钥消息,所述的请求更新加密密钥消息中包含所述的传递数X;
S4、ONU接收到所述的请求更新加密密钥消息后,也随机生成一个大整数y,并获取***参数a、b;
S5、ONU根据密钥协商函数生成传递数Y;
本实施例中ONU根据公式Y=ay mod b生成传递数Y。
S6、ONU将所述的传递数Y传递给OLT;
S7、OLT根据密钥协商函数生成加密密钥,ONU根据密钥协商函数生成加密密钥;
本实施例中OLT根据公式k=Yx mod b计算出加密密钥,ONU根据公式k=Xy mod b计算出加密密钥,因为实际上k=axy mod b,所以两者计算的加密密钥相同,而且任何窃听者因为不知道x和y,所以不可能计算出这个值,因此k可以作为A和B之间的加密密钥。
S8、OLT发送请求启用加密密钥消息,ONU收到该消息后,返回确认响应信息,完成密钥协商。
本发明中的发送请求更新加密密钥消息也可以由ONU完成,本发明中的发送请求启用加密密钥消息也可由ONU完成,即本发明的密钥协商过程的发起方不一定是OLT,也可能是ONU,也可能是双方共同发起。
本发明中传递数可以在请求更新加密密钥消息中包含,也可以单独发送。
本发明的传递数可以分片、多次方式发送,以保证消息的可靠性,而且若OLT或ONU接收传递数时有任一分片每次都接收失败,则重新发送请求更新加密密钥消息;若已连续发送请求更新加密密钥消息次数大于预定请求更新加密密钥消息次数,则宣告密钥协商失败。
如图4所示,本发明还提供一种PON***中密钥协商的***,所述的***包括光线路终端OLT和光网络单元ONU,所述的OLT和ONU分别根据随机数和***参数生成加密密钥,完成密钥协商。
所述的OLT包括:
随机数生成单元,用于随机生成随机数x;
***参数获取单元,用于获取***参数a和b;
传递数生成单元,用于根据密钥协商函数生成传递数X;
消息发送和接收单元,用于发送和接收所述的传递数X,以及若OLT为本发明的密钥协商过程的发起方,则所述的消息发送和接收单元还用于发送请求更新加密密钥消息和发送请求启用加密密钥消息,接收确认响应消息,若ONU为本发明的密钥协商过程的发起方,则所述的消息发送和接收单元还用于发送确认响应消息,接收请求更新加密密钥消息和接收请求启用加密密钥消息;
加密密钥生成单元,用于根据密钥协商函数生成加密密钥。
所述的ONU包括:
随机数生成单元,用于随机生成随机数y;
***参数获取单元,用于获取***参数a和b;
传递数生成单元,用于根据密钥协商函数生成传递数Y;
消息发送和接收单元,用于发送和接收所述的传递数Y,以及若ONU为本发明的密钥协商过程的发起方,则所述的消息发送和接收单元还用于发送请求更新加密密钥消息和发送请求启用加密密钥消息,接收确认响应消息,若OLT为本发明的密钥协商过程的发起方,则所述的消息发送和接收单元还用于发送确认响应消息,接收请求更新加密密钥消息和接收请求启用加密密钥消息;
加密密钥生成单元,用于根据密钥协商函数生成加密密钥。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (10)
1、一种PON***中密钥协商的方法,其特征在于,包括:
A、光线路终端OLT或光网络单元ONU发送请求更新加密密钥消息;
B、OLT或ONU分别根据随机数和***参数生成加密密钥;
C、OLT或ONU发送请求启用加密密钥消息,完成密钥协商。
2、如权利要求1所述的一种PON***中密钥协商的方法,其特征在于,所述的步骤B具体包括:
B11、OLT和ONU分别根据随机数、***参数生成传递数;
B12、OLT和ONU分别将所述的传递数传递给对方;
B13、OLT和ONU分别根据所述的传递数生成加密密钥。
3、如权利要求1所述的一种PON***中密钥协商的方法,其特征在于,所述的随机数为由OLT和ONU分别随机生成的数。
4、如权利要求3所述的一种PON***中密钥协商的方法,其特征在于,所述的***参数为OLT和ONU都能获取的两个数。
5、如权利要求4所述的一种PON***中密钥协商的方法,其特征在于,所述的步骤B具体包括:
B21、OLT根据公式X=ax mod b,计算出传递数X,ONU根据公式Y=ay mod b,计算出传递数Y,其中,x、y为所述的随机数,a、b为所述的***参数;
B22、OLT和ONU分别将所述的传递数X和Y传递给对方;
B23、OLT根据公式k=Yx mod b生成加密密钥k,ONU根据公式k=Xy mod b生成加密密钥k。
6、如权利要求1至5中任一所述的一种PON***中密钥协商的方法,其特征在于,所述的传递数在请求更新加密密钥消息中包含或单独发送。
7、如权利要求1至5中任一所述的一种PON***中密钥协商的方法,其特征在于,所述的获取***参数的方法为下述方法中任一种:
***参数固化在OLT和ONU中、每次通信前双方协商生成、每次通信前一方临时指定给另一方、每次通信前双方按照某种规律变化生成。
8、一种PON***中密钥协商的***,所述的***包括光线路终端OLT和光网络单元ONU,其特征在于,所述的OLT和ONU分别根据随机数和***参数生成加密密钥,完成密钥协商。
9、如权利要求8所述的一种PON***中密钥协商的***,其特征在于,所述的OLT和ONU分别包括:
随机数生成单元,用于随机生成随机数;
***参数获取单元,用于获取***参数;
传递数生成单元,用于根据所述的随机数和***参数生成传递数;
加密密钥生成单元,用于根据所述的传递数生成加密密钥。
10、如权利要求8所述的一种PON***中密钥协商的***,其特征在于,所述的OLT和ONU还包括:
消息发送和接收单元,用于发送和接收所述的传递数,以及用于发送和接收请求更新加密密钥消息、请求启用加密密钥消息、确认响应消息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100606892A CN101072094B (zh) | 2006-05-14 | 2006-05-14 | 一种pon***中密钥协商的方法和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100606892A CN101072094B (zh) | 2006-05-14 | 2006-05-14 | 一种pon***中密钥协商的方法和*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101072094A true CN101072094A (zh) | 2007-11-14 |
| CN101072094B CN101072094B (zh) | 2011-10-05 |
Family
ID=38899101
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006100606892A Expired - Fee Related CN101072094B (zh) | 2006-05-14 | 2006-05-14 | 一种pon***中密钥协商的方法和*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101072094B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902664A (zh) * | 2009-05-26 | 2010-12-01 | 中兴通讯股份有限公司 | 一种提高无源光网络加解密速度的方法和*** |
| WO2011017847A1 (zh) * | 2009-08-14 | 2011-02-17 | 华为技术有限公司 | 交换密钥的方法及设备 |
| WO2017092465A1 (zh) * | 2015-11-30 | 2017-06-08 | 深圳市中兴微电子技术有限公司 | 广播报文加密方法、olt、onu及计算机存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2742616B1 (fr) * | 1995-12-18 | 1998-01-09 | Cit Alcatel | Dispositif de chiffrement et dispositif de dechiffrement d'informations transportees par des cellules a mode de transfert asynchrone |
| KR20060063271A (ko) * | 2004-12-07 | 2006-06-12 | 한국전자통신연구원 | Epon구간내에서 링크 보안 기술 적용을 위한 키 분배기법 |
| CN100459488C (zh) * | 2005-07-05 | 2009-02-04 | 江苏乐希科技有限公司 | 便携式一次性动态密码生成器以及使用其的安全认证*** |
-
2006
- 2006-05-14 CN CN2006100606892A patent/CN101072094B/zh not_active Expired - Fee Related
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902664A (zh) * | 2009-05-26 | 2010-12-01 | 中兴通讯股份有限公司 | 一种提高无源光网络加解密速度的方法和*** |
| WO2011017847A1 (zh) * | 2009-08-14 | 2011-02-17 | 华为技术有限公司 | 交换密钥的方法及设备 |
| CN102239661B (zh) * | 2009-08-14 | 2013-09-25 | 华为技术有限公司 | 交换密钥的方法及设备 |
| WO2017092465A1 (zh) * | 2015-11-30 | 2017-06-08 | 深圳市中兴微电子技术有限公司 | 广播报文加密方法、olt、onu及计算机存储介质 |
| CN106817352A (zh) * | 2015-11-30 | 2017-06-09 | 深圳市中兴微电子技术有限公司 | 广播报文加密方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101072094B (zh) | 2011-10-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5366108B2 (ja) | 光ネットワーク終端装置管理制御インターフェースベースの受動光ネットワークセキュリティ強化 | |
| CN100596060C (zh) | 一种防止无源光网络***中光网络单元被仿冒的方法、***及设备 | |
| US8490159B2 (en) | Method for increasing security in a passive optical network | |
| TWI351831B (en) | Self-healing ring-based passive optical network sy | |
| US20030072059A1 (en) | System and method for securing a communication channel over an optical network | |
| CN103023579A (zh) | 在无源光网络上实施量子密钥分发的方法及无源光网络 | |
| CN101102152A (zh) | 无源光网络中保证数据安全的方法 | |
| CN101998193B (zh) | 无源光网络的密钥保护方法和*** | |
| CN102239661A (zh) | 交换密钥的方法及设备 | |
| CN203251308U (zh) | 无源光网络 | |
| CN101072094B (zh) | 一种pon***中密钥协商的方法和*** | |
| EP2439871B1 (en) | Method and device for encrypting multicast service in passive optical network system | |
| WO2020015338A1 (zh) | 一种无源光网络***中协商加密算法的方法及*** | |
| JP4739419B2 (ja) | イーサネットポンにおける保安チャネルの制御方法及び装置 | |
| Malina et al. | Towards secure gigabit passive optical networks: Signal propagation based key establishment | |
| KR100594023B1 (ko) | 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법 | |
| CN103166758A (zh) | Gpon上行aes加密的密钥更新方法及*** | |
| CN101998180B (zh) | 一种支持光线路终端和光网络单元版本兼容的方法及*** | |
| CN108540286A (zh) | 一种可切换多类型量子终端网络通信***与密钥分配方法 | |
| CN101388765B (zh) | 一种吉比特无源光纤网络***的加密模式切换方法 | |
| CN101162947B (zh) | 一种实现无源光网络***组播业务安全传送的方法 | |
| WO2022062948A1 (zh) | 一种无源光网络中的安全通信方法和装置 | |
| WO2003023980A2 (en) | System and method for securing a communication channel | |
| CN103684704B (zh) | 光网络传输***端口id加解密使能切换的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111005 Termination date: 20160514 |