CN101499898A - 密钥交互方法及装置 - Google Patents
密钥交互方法及装置 Download PDFInfo
- Publication number
- CN101499898A CN101499898A CNA2008100061368A CN200810006136A CN101499898A CN 101499898 A CN101499898 A CN 101499898A CN A2008100061368 A CNA2008100061368 A CN A2008100061368A CN 200810006136 A CN200810006136 A CN 200810006136A CN 101499898 A CN101499898 A CN 101499898A
- Authority
- CN
- China
- Prior art keywords
- key
- network unit
- data
- safe
- optical network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种密钥交互方法,用于光线路终端和光网络单元之间的数据密钥交互,其中,所述数据密钥用于对数据进行加密。该方法包括:光线路终端向光网络单元发送数据密钥更新请求,并在密钥更新请求中携带安全密钥的相关信息,其中,安全密钥用于对数据密钥进行加密;光网络单元根据安全密钥的相关信息得到安全密钥,并用安全密钥对光线路终端请求更新的数据密钥进行加密;光网络单元将加密后的数据密钥发送至光线路终端。此外,本发明还公开了一种密钥交互装置。通过使用本发明,可以在光线路终端和光网络单元之间实现安全的密钥交换,降低了数据密钥被窃听的可能性,提高了光线路终端和光网络单元之间数据交换的安全性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种PON(Passive OpticalNetwork,无源光网络)***的密钥交换方法及装置。
背景技术
PON是基于ITU-T G.984系列和IEEE 802.3系列的宽带无源光接入技术,PON***通常由光线路终端(Optical Line Terminal,OLT)、光网络单元(Optical Network Unit,ONU)和光分配网络(Optical Distribution Network,ODN)组成。ODN通常为点到多点结构,一个OLT连接多个ONU。OLT发往ONU的数据称为下行数据,ONU发往OLT的数据称为上行数据。
在PON***中,下行数据具有天然广播特性,OLT发出的数据能够被下联的所有ONU接收到。考虑到安全性,ITU-T G.984.3和IEEE 802.3规定使用对称加密技术对下行数据进行加密,密钥由ONU产生并发送给OLT。
在目前的ITU-T G.984.3和IEEE 802.3标准中,ONU直接发送密钥明文给OLT,因此在上行方向存在密钥明文被窃听的可能。
目前,针对该安全性的问题,尚未提出有效的解决方案。
发明内容
考虑到上述问题而做出本发明,为此,本发明的主要目的在于提供一种密钥交互方法及装置,解决了在光线路终端和光网络单元之间交换数据密钥不安全的问题。
根据本发明的实施例,提供了一种密钥交互方法,用于光线路终端和光网络单元之间的数据密钥交互,其中,所述数据密钥用于对数据进行加密。
该方法包括:光线路终端向光网络单元发送数据密钥更新请求,并在密钥更新请求中携带安全密钥的相关信息,其中,安全密钥用于对数据密钥进行加密;光网络单元根据安全密钥的相关信息得到安全密钥,并用安全密钥对光线路终端请求更新的数据密钥进行加密;光网络单元将加密后的数据密钥发送至光线路终端。
其中,光线路终端将其与光网络单元的公知的***配置或***参数作为安全密钥源,并根据安全密钥源设置相关信息。
其中,安全密钥源的类型包括:光线路终端和光网络单元预先保存的安全密钥组、光网络单元的版本映像、光网络单元的序列号、光网络单元的IP地址、光网络单元的媒体接入控制地址、以及测距信息,其中,每个安全密钥源的类型均对应于各自的安全密钥源类型信息。
其中,在安全密钥源的类型为安全密钥组的情况下,相关信息包括安全密钥组中安全密钥的标识、以及安全密钥组对应的安全密钥源类型信息。
其中,在安全密钥源的类型为光网络单元的版本映像的情况下,相关信息包括版本映像中的起始位置和长度、以及版本映像对应的安全密钥源类型信息。
其中,在安全密钥源的类型为光网络单元的序列号、光网络单元的IP地址、光网络单元的媒体接入控制地址、以及测距信息中的一个时,相关信息为与其对应的安全密钥源类型信息。
此外,该方法进一步包括:光线路终端根据相关信息得到对数据密钥进行加密所使用的安全密钥,对接收到的加密后的数据密钥进行解密。
根据本发明的另一实施例,提供了一种密钥交互装置,用于光线路终端和光网络单元之间的数据密钥交互,其中,数据密钥用于对数据进行加密。
该装置包括:发送模块,用于将数据密钥更新请求从光线路终端发送至光网络单元,并在密钥更新请求中携带安全密钥的相关信息,其中,安全密钥用于对数据密钥进行加密;以及将经过安全密钥加密的数据密钥从光网络单元发送至光线路终端;加密模块,光网络单元根据安全密钥的相关信息得到安全密钥,并用安全密钥对光线路终端请求更新的数据密钥进行加密;
该装置进一步包括:确定模块,用于将光线路终端与光网络单元的公知的***配置或***参数作为安全密钥源,并根据安全密钥源设置相关信息。
该装置进一步包括:解密模块,位于光线路终端,用于根据相关信息得到对数据密钥进行加密所使用的安全密钥,并对接收到的加密后的数据密钥进行解密。
通过本发明的上述技术方案,可以在光线路终端和光网络单元之间实现安全的密钥交换,降低了数据密钥被窃听的可能性,提高了光线路终端和光网络单元之间数据交换的安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明方法实施例的密钥交互方法的流程图;以及
图2是根据本发明装置实施例的密钥交互装置的框图。
具体实施方式
下面参考附图,详细说明本发明的具体实施方式。
方法实施例
在本实施例中,提供了一种密钥交互方法,用于OLT和ONU之间的数据密钥交互,其中,所述数据密钥用于对数据进行加密。
如图1所示,根据本实施例的密钥交互方法包括:步骤S102,网络单元发送数据密钥更新请求,并在密钥更新请求中携带安全密钥的相关信息,其中,安全密钥用于对数据密钥进行加密;步骤S104,络单元根据安全密钥的相关信息得到安全密钥,并用安全密钥对OLT请求更新的数据密钥进行加密;步骤S106ONU将加密后的数据密钥发送至OLT。
其中,OLT将其与ONU的公知的***配置或***参数作为安全密钥源,并根据安全密钥源设置相关信息。也就是说,在OLT和ONU之间交换数据密钥时,对数据密钥用安全密钥进行加密后再发送,安全密钥的加密解密方法可以与数据密钥的加密解密方法一样,也可以不一样。
其中,安全密钥源的类型包括但不限于:OLT和ONU预先保存的安全密钥组、ONU的版本映像、ONU的序列号、ONU的IP地址、ONU的媒体接入控制地址、以及测距信息,其中,每个安全密钥源的类型均对应于各自的安全密钥源类型信息。其中,OLT和ONU预先保存的安全密钥组和ONU的版本映像位***配置,而ONU的序列号、ONU的IP地址、ONU的媒体接入控制地址、以及测距信息位***参数。
其中,在安全密钥源的类型为安全密钥组的情况下,相关信息包括安全密钥组中安全密钥的标识、以及安全密钥组对应的安全密钥源类型信息。
其中,在安全密钥源的类型为ONU的版本映像的情况下,相关信息包括版本映像中的起始位置和长度、以及版本映像对应的安全密钥源类型信息。
其中,在安全密钥源的类型为ONU的序列号、ONU的IP地址、ONU的媒体接入控制地址、以及测距信息中的一个时,相关信息为与其对应的安全密钥源类型信息。即,此时仅需将采用哪个***参数告知ONU。
优选地,可以预先配置安全密钥源类型与安全密钥源类型信息的对应关系,安全密钥源类型信息可以是一个标识,并位于密钥更新请求消息中未占用的位。
此外,该方法进一步包括:OLT根据相关信息得到对数据密钥进行加密所使用的安全密钥,对接收到的加密后的数据密钥进行解密。
下面将结合具体实例描述本发明。
在OLT和ONU预设若干共享的密钥;采用OLT和ONU共知的参数作为密钥等。
本发明实例的密钥交换方法关键步骤为:
步骤(1),OLT向ONU发送数据密钥更新请求,如果对安全密钥有要求,可在数据密钥更新请求中携带安全密钥相关信息。
步骤(2),ONU产生数据密钥,根据数据密钥更新请求中的安全密钥相关信息获得安全密钥,将数据密钥用安全密钥加密后再通过数据密钥更新响应发送给OLT。
步骤(3),OLT从数据密钥更新响应中获得经过加密的数据密钥,并用安全密钥进行解密以获得数据密钥。
下面将结合具体的实例描述本发明。
实例1
在该实例中,以GPON(吉比特无源光网络)***为例,在初次安装ONU时,在ONU中预设若干安全密钥,并分别设定不同的编号,在OLT中也设定相同的安全密钥和编号。不同ONU之间的安全密钥和编号要求不一样。
在采用密钥组作为密钥源的情况下,具体实现过程如下:
OLT确定安全密钥编号并在本地存储,向ONU发送密钥更新请求(Request_Key)消息,以更新数据密钥,Request_Key消息中携带安全密钥编号;
ONU从Request_Key消息获得安全密钥编号并进一步从本地保存的安全密钥组获得安全密钥,生成数据密钥,将数据密钥用安全密钥加密后再通过加密密钥(Encryption_Key)消息发送给OLT;
OLT根据本地存储的安全密钥编号获得安全密钥,从Encryption_Key消息中获得经过加密的数据密钥,并用安全密钥进行解密以获得数据密钥。
实例2
在该实例中,以GPON***为例。OLT和ONU以ONU的软件版本映像作为安全密钥源,由于ONU的软件版本映像是通过OLT传送给ONU的,OLT和ONU能够共同获得ONU的软件版本映像。由于ONU软件版本映像更换较少,因此只要保证ONU软件版本安全即可保证安全密钥的安全。OLT告知ONU安全密钥在软件版本映像中的起始位置。
在采用版本映像作为密钥源的情况下,具体的实现过程如下:
OLT确定安全密钥在软件版本映像中的起始位置,并在本地存储,向ONU发送Request_Key消息,Request_Key消息中安全密钥在软件版本映像中的位置;
ONU从Request_Key消息获得安全密钥在软件版本映像中的位置,并进一步从本地获得安全密钥,生成数据密钥,将数据密钥用安全密钥加密后再通过Encryption_Key消息送给OLT;
OLT根据本地存储的安全密钥在软件版本映像中的位置获得安全密钥,从Encryption_Key消息中获得经过加密的数据密钥,并用安全密钥进行解密以获得数据密钥。
装置实施例
在本实施例中,提供了一种密钥交互装置,用于OLT和ONU之间的数据密钥交互,其中,数据密钥用于对数据进行加密。
如图2所示,根据本实施例的密钥交互装置包括:发送模块202,用于将数据密钥更新请求从OLT发送至ONU,并在密钥更新请求中携带安全密钥的相关信息,其中,安全密钥用于对数据密钥进行加密;以及将经过安全密钥加密的数据密钥从ONU发送至OLT;加密模块204,ONU根据安全密钥的相关信息得到安全密钥,并用安全密钥对OLT请求更新的数据密钥进行加密;
此外,该装置可进一步包括:确定模块,用于将OLT与ONU的公知的***配置或***参数作为安全密钥源,并根据安全密钥源设置相关信息。
此外,该装置进一步包括:解密模块,位于OLT,用于根据相关信息得到对数据密钥进行加密所使用的安全密钥,并对接收到的加密后的数据密钥进行解密。
通过本发明的上述技术方案,可以在OLT和ONU之间实现安全的密钥交换,降低了数据密钥被窃听的可能性,提高了OLT和ONU之间数据交换的安全性。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种密钥交互方法,用于光线路终端和光网络单元之间的数据密钥交互,其中,所述数据密钥用于对数据进行加密,所述方法包括:
所述光线路终端向所述光网络单元发送数据密钥更新请求,并在所述密钥更新请求中携带安全密钥的相关信息,其中,所述安全密钥用于对数据密钥进行加密;
所述光网络单元根据所述安全密钥的相关信息得到所述安全密钥,并用所述安全密钥对所述光线路终端请求更新的数据密钥进行加密;
所述光网络单元将加密后的所述数据密钥发送至所述光线路终端。
2.根据权利要求1所述的方法,其特征在于,所述光线路终端将其与所述光网络单元的公知的***配置或***参数作为安全密钥源,并根据所述安全密钥源设置所述相关信息。
3.根据权利要求2所述的方法,其特征在于,所述安全密钥源的类型包括:光线路终端和所述光网络单元预先保存的安全密钥组、所述光网络单元的版本映像、所述光网络单元的序列号、所述光网络单元的IP地址、所述光网络单元的媒体接入控制地址、以及测距信息,其中,每个安全密钥源的类型均对应于各自的安全密钥源类型信息。
4.根据权利要求3所述的方法,其特征在于,在所述安全密钥源的类型为所述安全密钥组的情况下,所述相关信息包括所述安全密钥组中安全密钥的标识、以及所述安全密钥组对应的安全密钥源类型信息。
5.根据权利要求3所述的方法,其特征在于,在所述安全密钥源的类型为所述光网络单元的版本映像的情况下,所述相关信息包括所述版本映像中的起始位置和长度、以及所述版本映像对应的安全密钥源类型信息。
6.根据权利要求3所述的方法,其特征在于,在所述安全密钥源的类型为所述光网络单元的序列号、所述光网络单元的IP地址、所述光网络单元的媒体接入控制地址、以及测距信息中的一个时,所述相关信息为与其对应的安全密钥源类型信息。
7.根据权利要求1至6中任一项所述的方法,其特征在于,进一步包括:
所述光线路终端根据所述相关信息得到对所述数据密钥进行加密所使用的所述安全密钥,对接收到的加密后的所述数据密钥进行解密。
8.一种密钥交互装置,用于光线路终端和光网络单元之间的数据密钥交互,其中,所述数据密钥用于对数据进行加密,所述装置包括:
发送模块,用于将数据密钥更新请求从所述光线路终端发送至所述光网络单元,并在所述密钥更新请求中携带安全密钥的相关信息,其中,所述安全密钥用于对数据密钥进行加密;以及将经过所述安全密钥加密的所述数据密钥从所述光网络单元发送至所述光线路终端;
加密模块,所述光网络单元根据所述安全密钥的相关信息得到所述安全密钥,并用所述安全密钥对所述光线路终端请求更新的数据密钥进行加密。
9.根据权利要求8所述的装置,其特征在于,进一步包括:确定模块,用于将所述光线路终端与所述光网络单元的公知的***配置或***参数作为安全密钥源,并根据所述安全密钥源设置所述相关信息。
10.根据权利要求8或9所述的装置,其特征在于,进一步包括:解密模块,位于所述光线路终端,用于根据所述相关信息得到对所述数据密钥进行加密所使用的所述安全密钥,并对接收到的加密后的所述数据密钥进行解密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008100061368A CN101499898A (zh) | 2008-02-03 | 2008-02-03 | 密钥交互方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008100061368A CN101499898A (zh) | 2008-02-03 | 2008-02-03 | 密钥交互方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101499898A true CN101499898A (zh) | 2009-08-05 |
Family
ID=40946791
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2008100061368A Pending CN101499898A (zh) | 2008-02-03 | 2008-02-03 | 密钥交互方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101499898A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010145599A1 (zh) * | 2009-09-29 | 2010-12-23 | 中兴通讯股份有限公司 | 无源光网络中实现信息交互安全的方法及*** |
| CN101959189A (zh) * | 2010-09-21 | 2011-01-26 | 中兴通讯股份有限公司 | 一种管理接入密码和基础密钥的方法及*** |
| CN102045601A (zh) * | 2009-10-22 | 2011-05-04 | 中兴通讯股份有限公司 | 一种gpon***中的onu激活方法及*** |
| CN102256188A (zh) * | 2010-01-31 | 2011-11-23 | Pmc-塞拉以色列有限公司 | 用于在以太网无源光网络(EPONs)中冗余的*** |
| CN114710780A (zh) * | 2022-03-16 | 2022-07-05 | 湖南斯北图科技有限公司 | 一种卫星测控链路通信秘钥在轨更新和管理的方法 |
-
2008
- 2008-02-03 CN CNA2008100061368A patent/CN101499898A/zh active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010145599A1 (zh) * | 2009-09-29 | 2010-12-23 | 中兴通讯股份有限公司 | 无源光网络中实现信息交互安全的方法及*** |
| CN102036128A (zh) * | 2009-09-29 | 2011-04-27 | 中兴通讯股份有限公司 | 吉比特无源光网络中实现信息交互安全的方法及*** |
| CN102045601A (zh) * | 2009-10-22 | 2011-05-04 | 中兴通讯股份有限公司 | 一种gpon***中的onu激活方法及*** |
| CN102045601B (zh) * | 2009-10-22 | 2015-06-10 | 中兴通讯股份有限公司 | 一种gpon***中的onu激活方法及*** |
| CN102256188A (zh) * | 2010-01-31 | 2011-11-23 | Pmc-塞拉以色列有限公司 | 用于在以太网无源光网络(EPONs)中冗余的*** |
| CN102256188B (zh) * | 2010-01-31 | 2014-03-05 | Pmc-塞拉以色列有限公司 | 用于在以太网无源光网络(EPONs)中冗余的*** |
| CN101959189A (zh) * | 2010-09-21 | 2011-01-26 | 中兴通讯股份有限公司 | 一种管理接入密码和基础密钥的方法及*** |
| CN114710780A (zh) * | 2022-03-16 | 2022-07-05 | 湖南斯北图科技有限公司 | 一种卫星测控链路通信秘钥在轨更新和管理的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8490159B2 (en) | Method for increasing security in a passive optical network | |
| AU2010278478B2 (en) | Optical network terminal management control interface-based passive optical network security enhancement | |
| KR100933167B1 (ko) | 트리 구조 네트워크 상에서의 인증과 프라이버시 보장을위한 전송 방법 | |
| US8948401B2 (en) | Method for filtering of abnormal ONT with same serial number in a GPON system | |
| CN105027482A (zh) | 同轴网络上的以太网无源光网络中的认证和初始密钥交换 | |
| CN101102152B (zh) | 无源光网络中保证数据安全的方法 | |
| CN101998193B (zh) | 无源光网络的密钥保护方法和*** | |
| CN101499898A (zh) | 密钥交互方法及装置 | |
| US8942378B2 (en) | Method and device for encrypting multicast service in passive optical network system | |
| CN109039600B (zh) | 一种无源光网络***中协商加密算法的方法及*** | |
| KR100737527B1 (ko) | 이더넷 폰에서 보안 채널 제어 방법 및 장치 | |
| CN101778311A (zh) | 光网络单元标识的分配方法以及光线路终端 | |
| CN101282177B (zh) | 一种数据传输方法和终端 | |
| CN101998180B (zh) | 一种支持光线路终端和光网络单元版本兼容的方法及*** | |
| CN101388765B (zh) | 一种吉比特无源光纤网络***的加密模式切换方法 | |
| KR20060063271A (ko) | Epon구간내에서 링크 보안 기술 적용을 위한 키 분배기법 | |
| CN102237999B (zh) | 消息处理方法及消息发送装置 | |
| CN101998188A (zh) | 无源光网络的加密/解密方法及*** | |
| CN102036128A (zh) | 吉比特无源光网络中实现信息交互安全的方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20090805 |