WO2017092465A1 - 广播报文加密方法、olt、onu及计算机存储介质 - Google Patents

Abstract

本发明实施例公开了一种广播报文加密方法、OLT及ONU，所述方法包括：光线路终端OLT确定待加密的指定广播报文；对所述指定广播报文进行加密，形成广播加密报文；向光网络单元ONU发送所述广播加密报文。本发明实施例还公开了一种计算机存储介质。

Description

广播报文加密方法、OLT、ONU及计算机存储介质 技术领域

本发明涉及光通信领域，尤其涉及一种广播报文加密方法、OLT、ONU及计算机存储介质。

背景技术

如图1所示，在以太网无源光网络(Ethernet Passive Optical Network，简称EPON***中包括光线路终端(Optical Line Terminal，简称OLT)、光配线网络(Optical Distribution Network，ODN)和光网络单元(Optical Network Unit，简称ONU)。所述OLT和与ONU之间能够进行光信号传输；且从OLT向ONU的发送通道称为下行通道，发送的数据为下行数据。ODN用于在OLT和ONU间提供光通道。

如图1所示，一个光线路终端可以通过分光器与多个光网络单元连接。若OLT传输给ONU的下行数据不加密的话，ONU可能偷听到别的ONU信息，为了避免这种情况的出现，必须对于下行数据采取加密，以防止ONU间信息的泄漏。

目前现有技术中提出了一些对下行数据进行加密的方法，可是在实际使用时，依然发现有一些信息还是被其他ONU窃取导致信息的泄露。

发明内容

有鉴于此，本发明实施例期望提供广播报文加密方法、OLT、ONU及计算机存储介质，能够至少部分解决信息泄露的问题。

本发明实施例的技术方案是这样实现的：

本发明实施例第一方面提供了一种广播报文加密方法，所述方法包括：

光线路终端OLT确定待加密的指定广播报文；

对所述指定广播报文进行加密，形成广播加密报文；

向光网络单元ONU发送所述广播加密报文。

基于上述方案，所述方法还包括：

所述OLT与ONU协商加密密钥，确定加密密钥和密钥索引；

所述对所述指定广播报文进行加密，形成广播加密报文，包括：

利用所述加密密钥对所述指定广播报文的待加密部分进行加密，并将所述密钥索引携带在所述指定广播报文的明文部分，形成所述广播加密报文；

其中，所述密钥索引用于所述ONU确定所述加密密钥。

基于上述方案，所述OLT与ONU协商加密密钥，确定加密密钥和密钥索引，包括：

向接收所述广播加密报文的ONU发送密钥请求消息；

在发送所述密钥请求消息后，启动第一计时；

在所述第一计时的计时时间内，接收所述ONU基于所述密钥请求消息返回的响应消息；

从所述响应消息中提取所述加密密钥。

基于上述方案，所述OLT与ONU协商加密密钥，确定加密密钥和密钥索引，还包括：

若所述第一计时超时还未接收到所述响应消息或未提取到加密密钥，则重新发送所述密钥请求消息。

基于上述方案，所述光线路终端OLT确定待加密的指定广播报文，包括：

解析报文的前导码和操作码opcode字段，获得解析信息；

根据所述解析信息确定所述报文是否为待加密的指定报文。

基于上述方案，所述方法还包括：

检测广播加密使能开关；

所述对所述指定广播报文进行加密，形成广播加密报文，包括：

若所述广播加密使能开关处于使能状态，则对所述指定广播报文进行加密，形成广播加密报文。

本发明实施例第二方面提供了一种广播报文加密方法，所述方法包括：

ONU与OLT协商加密密钥，确定加密密钥和密钥索引；

存储所述加密密钥和密钥索引；

其中，所述加密密钥和所述密钥索引用于所述OLT对广播报文进行加密及ONU解密所述OLT加密形成的广播加密报文。

基于上述方案，所述方法还包括：

接收OLT发送的所述广播加密报文；

解析所述广播加密报文的明文部分，确定密钥索引；

根据所述密钥索引查询加密密钥；

基于所述加密密钥解密所述广播加密报文的密文部分。

本发明实施例第三方面提供一种光线路终端OLT，所述OLT包括：

第一确定单元，配置为确定待加密的指定广播报文；

形成单元，配置为对所述指定广播报文进行加密，形成广播加密报文；

第一发送单元，配置为向光网络单元ONU发送所述广播加密报文。

基于上述方案，所述OLT还包括：

第一协商单元，配置为OLT与ONU协商加密密钥，确定加密密钥和密钥索引；

所述形成单元，配置为利用所述加密密钥对所述指定广播报文的待加密部分进行加密，并将所述密钥索引携带在所述指定广播报文的明文部分，形成所述广播加密报文；

其中，所述密钥索引用于所述ONU确定所述加密密钥。

基于上述方案，所述第一发送单元，还配置为向接收所述广播加密报文的ONU发送密钥请求消息；在发送所述密钥请求消息后，启动第一计时；

所述OLT还包括：

第一接收单元，配置为在所述第一计时的计时时间内，接收所述ONU基于所述密钥请求消息返回的响应消息；

所述第一协商单元，配置为从所述响应消息中提取所述加密密钥。

基于上述方案，所述第一发送单元，还配置为若所述第一计时超时还未接收到所述响应消息或未提取到加密密钥，则重新发送所述密钥请求消息。

基于上述方案，所述第一确定单元，配置为解析报文的前导码和操作码opcode字段，获得解析信息；及根据所述解析信息确定所述报文是否为待加密的指定报文。

基于上述方案，所述OLT还包括：

检测单元，配置为检测广播加密使能开关；

所述形成单元，配置为若所述广播加密使能开关处于使能状态，则对所述指定广播报文进行加密，形成广播加密报文。

本发明实施例第四方面提供了一种光网络单元ONU，所述ONU包括：

第二协商单元，配置为与OLT协商加密密钥，确定加密密钥和密钥索引；

存储单元，配置为存储所述加密密钥和密钥索引；

其中，所述加密密钥和所述密钥索引用于所述OLT对广播报文进行加密及ONU解密所述OLT加密形成的广播加密报文。

基于上述方案，所述ONU还包括：

第二接收单元，配置为接收OLT发送的所述广播加密报文；

解析单元，配置为解析所述广播加密报文的明文部分，确定密钥索引；

查询单元，配置为根据所述密钥索引查询加密密钥；

解密单元，配置为基于所述加密密钥解密所述广播加密报文的密文部分。

本发明实施例还公开了一种计算机存储介质，所述计算机存储介质中存储有计算机可执行指令，所述计算机可执行指令用于执行所述广播报文加密方法的至少其中之一。

本发明实施例提供的广播报文加密方法、OLT、ONU及计算机存储介质，会确定出需要加密的指定广播报文，然后对广播报文进行加密形成广播加密报文，OLT向ONU发送的广播加密报文，这样就减少了广播报文在传输过程中因明文传输导致的被窃取和信息泄露，通过加密广播报文，增大信息泄露的难度，提高了信息安全性。

附图说明

图1为一种EPON***的结构示意图；

图2为本发明实施例提供的第一种广播报文加密方法的流程示意图；

图3为本发明实施例提供的第二种广播报文加密方法的流程示意图；

图4为本发明实施例提供的第三种广播报文加密方法的流程示意图；

图5为本发明实施例提供的第四种广播报文加密方法的流程示意图；

图6为本发明实施例提供的一种OLT的结构示意图；

图7为本发明实施例提供的一种ONU的结构示意图；

图8为本发明实施例提供的报文的部分结构示意图；

图9为本发明实施例提供的AES加密的流程示意图；

图10为本发明实施例提供的利用三重搅动加密前后的数据帧的比对示意图；

图11为本发明实施例提供的三重搅动加密过程中加密密钥协商流程示 意图。

具体实施方式

研究发现，光线路终端发送至光网络单元的数据都会采取各种加密方式进行加密传输。但是仅对普通的单播和组播业务数据加密，没有专门针对广播数据加密的，而导致某些广播数据被非法ONU窃取并泄露。有鉴于此，本实施例提供了一种广播报文加密方法，对待加密的指定广播报文进行加密，提高信息安全性。以下结合说明书附图及具体实施例对本发明的技术方案做进一步的详细阐述，应当理解，以下所说明的优选实施例仅用于说明和解释本发明，并不用于限定本发明。

实施例一：

如图2所示，本实施例提供一种广播报文加密方法，所述法包括：

步骤S110：光线路终端OLT确定待加密的指定广播报文；

步骤S120：对所述指定广播报文进行加密，形成广播加密报文；

步骤S130：向光网络单元ONU发送所述广播加密报文。

在本实施例中所述OLT发送下行数据之前，若发送的下行数据为广播报文，将会确定是否是需要加密的指定广播报文。这里的指定广播报文可为指定类型的广播报文。具体的如广播报文可分为注册广播报文和非注册广播报文；所述指定广播报文可为非注册广播报文。在比如，所述OLT接收到指示指令，该指示指令加密某一个广播报文，该指定要加密的广播报文即为所述指定广播报文。当然在具体实现时，还可解析所述广播报文的正文部分，根据正文部分内容的安全性要求，确定对应的广播报文是否为所述指定广播报文。

在步骤S120中将对指定广播报文进行加密，形成广播加密报文，这样的话，就算是其他ONU窃取到该广播报文，没有密钥也无法获取广播报文的内容或窃取广播报文的内容的难度增大。在步骤S120中对所述广播报文 进行加密可包括全部加密或部分加密。这里的部分加密可为仅对广播报文的部分内容进行加密，例如不对广播报文的包头进行加密，而仅对广播报文的正文进行加密。所述全部加密为对整个广播报文进行加密。

在步骤S130中将加密后形成的广播加密报文发送给ONU，这里的发送可通过ODN下发到ONU。

本实施例所述的广播报文加密方法，不仅提高了OLT与ONU之间信息传输的安全性，减少了信息泄露，还具有实现简便的特点。

如图3所示，在本实施例中，所述方法还包括：

步骤S101：所述OLT与ONU协商加密密钥，确定加密密钥和密钥索引；

所述步骤S120可包括：利用所述加密密钥对所述指定广播报文的待加密部分进行加密，并将所述密钥索引携带在所述指定广播报文的明文部分，形成所述广播加密报文；其中，所述密钥索引用于所述ONU确定所述加密密钥。

在本实施例中所述OLT会与需要接收该广播报文的ONU进行加密密钥协商，这样的话，OLT和对应的ONU将确定出加密密钥，方便后续ONU对广播加密报文的解密。在实现过程中，可以由所述OLT确定出一个加密密钥，下发给ONU即可，也可以ONU确定出一个加密密钥，发送给OLT。但是在本实施例中为了避免其他ONU窃取加密密钥，通常可选为由ONU确定出加密密钥，通过上行光通道发送给OLT。在本实施例中还会确定一个密钥索引，这个密钥索引方便ONU接收到所述广播加密报文之后，从广播加密报文的明文部分中提取出来，进而确定出所述加密密钥。这里的所述密钥索引同样可以是所述ONU确定的，也可以是所述OLT确定的，在本实施例中优选为所述密钥索引由形成所述加密密钥的一方来确定。

本实施例中承载所述密钥索引的明文部分，可包括位于报文中包头内 的前导码。例如，可利用前导码的第5个字节中的部分比特来表示所述密钥索引；具体如，利用所述第5个字节中最后2个比特来表示所述密钥索引。

总之，本实施例所述方法，OLT会事先与ONU进行加密密钥的协商，从而确定出加密密钥和密钥索引，以方便后续广播加密报文的解密。

当然在具体的实现过程中，所述OLT和ONU可以预先设置多个加密密钥，后续在进行协商时，仅需协商加密密钥对应的密钥索引即可。在本实施例中为了进一步提升信息安全性，所述加密密钥对于OLT和ONU其中一端是动态生成，而非从多个预先设置的密钥中选择的。

可选地，所述步骤S101可包括：

向接收所述广播加密报文的ONU发送密钥请求消息；

在发送所述密钥请求消息后，启动第一计时器；

在所述第一计时器的计时时间内，接收所述ONU基于所述密钥请求消息返回的响应消息；

从所述响应消息中提取所述加密密钥。

在本实施例中所述密钥请求消息可对应于一个密钥请求帧，例如所述OLT通过向接收对应广播报文的ONU发送一个密钥请求帧，ONU在接收到所述密钥请求帧之后会恢复一个携带有加密密钥的密钥通知帧作为所述响应消息。这样OLT就能够从所述响应消息中提取出进行广播报文加密的加密密钥。通常所述响应消息中还包括密钥索引，这里的密钥索引可为所述密钥的序号等。

在本实施例中，所述OLT发送完所述密钥请求消息后，会启动计时器进行计时或启动计数器进行计数来进行计时，若OLT在第一计时时间内接收到所述响应消息，表示此次协商成功；这样对密钥协商的失效性进行了限定，避免了密钥协商过程中忽视时效性导致的加密密钥的安全性问题。

可选地，所述步骤S101还包括：若所述第一计时超时还未接收到所述响应消息或未提取到加密密钥，还未接收到所述响应消息，则重新发送所述密钥请求消息。若当前OLT有数据需要发送，在本实施例中所述OLT还会在第一计时超时或未提取到加密密钥时，重新发送所述密钥请求消息，以重新进行密钥协商以确保广播报文的正常发送。

当然在具体的实现过程中可能当前ONU出现故障，即便继续发送所述密钥请求消息也没有用，反而会导致OLT负荷过大；这样的话，在本实施例中可以规定指定次数，若连续协商的次数超过指定次数，则停止发送所述密钥请求消息或停止指定时长之后在发送所述密钥协商请求消息，或输出密钥协商失败等提示信息。

在本实施例中，所述步骤S110可包括：

步骤S111：解析报文的前导码和操作码opcode字段，获得解析信息；

步骤S112：根据所述解析信息确定所述报文是否为待加密的指定报文。

所述步骤S111可包括：解析广播报文的前导码，提取所述前导码中的模式位和逻辑链路标识；根据所述模式位和/或逻辑链路标识，确定所述报文是否为广播报文。

报文可分为广播报文、单播报文和组播报文。报文又可分为包头和正文两个部分，在报文中包括前导码、目的地址(Destination Address，DA)、源地址(Sources Address，SA)和类型字段等信息。在前导码中包括两个逻辑链路标识(Logic Link Identification，LLID)字段。通常每一个LLID包括8个比特；从而两个LLID字段共16比特，这16比特的最高位的比特为所述模式位，后15个比特为用来记录该广播报文的逻辑链路标识。在通常情况下若所述模式位为1，表示该报文为广播报文，若后15位全为1也表示该报文为广播报文。

步骤S112为解析所述opcode字段中的内容，确定出该广播报文是否 为不能够进行加密的注册报文。例如，所述opcode字段的内容为02、04、05、06时，通常表示该本广播报文为注册报文，这里的02、04、05、06对应的是16进制数。故在步骤S112中若opcode字段的内容不是16进制的02、04、05及06时，则该广播报文可以作为所述待加密的指定广播报文。

在一些实施例中，通常情况下广播报文是不加密的，仅在一些特殊场景下，例如对某些ONU进行广播报文收发测试等处理时，可能仅需要将广播报文发送给特定的ONU。在本实施例中为了与现有技术进行更好的兼容个，在本实施例中所述方法还包括：检测广播加密使能开关；所述步骤S120包括：若所述广播加密使能开关处于使能状态，则对所述指定广播报文进行加密，形成广播加密报文。在本实施例中可事先为OLT配置一个加密使能开关，若当前需要发送需要加密的广播报文，则将所述广播加密使能开关处于使能状态，这样的话，才会触发所述OLT执行上述步骤S110至步骤S130。所述广播加密使能开关的默认状态为非使能状态，在非使能状态下，所述OLT不会对广播报文进行加密处理。

所述步骤S130中对指定广播报文进行加密的方式有多种，以下提供两种可选方式。

第一种：对所述指定报文进行高级加密标准(Advanced Encryption Standard，简称AES)加密。AES加密为一种基于区块加密标准的加密方式，在本实施例中可以将指定广播报文中需要加密的加密部分划分为多个块，例如，将加密部分中的连续分布的128位数据划分为一个块，利用长度为128位的加密密钥对每一个块进行加密处理。

第二种：

利用搅动密钥对指定广播报文进行搅动加密，例如，利用搅动密钥对所述指定广播报文进行三重搅动加密。搅动加密为利用搅动密钥打乱需要加密的内容，从而使搅动加密之后的信息呈现出乱序性，这样没有搅动密 钥的ONU即便窃取到该报文，也会认为是一个没有意义的乱码报文。在本实施例中为了提升加密效果，提升广播报文的安全性，在本实施例中可选为采用三重搅动，对指定广播报文进行至少三次的搅动加密。

总之，本实施例提供了一种广播报文加密方法，可以对部分需要加密的广播报文进行加密，提高广播报文的信息安全性，减少信息的泄露。

实施例二：

如图4所示，本实施例提供一种广播报文加密方法，所述方法包括：

步骤S210：ONU与OLT协商加密密钥，确定加密密钥和密钥索引；

步骤S220：存储所述加密密钥和密钥索引；

其中，所述加密密钥和所述密钥索引用于所述OLT对广播报文进行加密及ONU解密所述OLT加密形成的广播加密报文。

本实施例所述广播报文加密方法为应用于ONU中的方法，该OLN会与OLT进行广播报文加密的加密密钥的协商，确定出加密密钥和密钥索引。在步骤S220中将存储所述加密密钥及密钥索引，这样后续接收到广播加密报文时，可以利用所述密钥索引查找到所述加密密钥，并利用所述加密密钥解密所述广播加密报文；这样能够减少广播报文被其他不相关的ONU窃取的现象。

值得注意的是：本实施例所述步骤S220可能发生在所述步骤S210之前，例如，ONU预先存储了多个加密密钥及加密密钥对应的密钥索引，在执行步骤S210时，所述ONU从预先存储的加密密钥和密钥索引中挑选一组作为与OLT本次进行广播报文交互的加密密钥和密钥索引。故在本实施例中所述步骤S210和步骤S220的执行顺序可以如图4所示，也可以是步骤S220之前，步骤S210在后。

如图5所示，作为本实施例的进一步改进，所述方法还包括：

步骤S230：接收OLT发送的广播加密报文；

步骤S240：解析所述广播加密报文的明文部分，确定密钥索引；

步骤S250：根据所述密钥索引查询加密密钥；

步骤S260：基于所述加密密钥解密所述广播加密报文的密文部分。

在本实施例中ONU接收到广播加密报文，解析广播加密报文的明文部分，这里的明文部分可包括前导码。通过解析前导码承载所述密钥索引的字段，得到所述密钥索引，进而利用密钥索引查找到对应的加密密钥，最终执行步骤S260利用所述加密密钥解码所述广播加密报文的密文部分；具有实现简便的特点。值得注意的是：在步骤S260中若广播加密报文的加密方式是对称加密，则所述加密密钥也就是解密密钥，可以直接利用所述加密密钥对所述广播加密报文进行解码。若所述广播加密报文的加密方式为非对称加密，则所述加密密钥对应有解密密钥，则需要根据该加密密钥确定出所述解密密钥，利用解密密钥来机密所述广播加密报文。

实施例三：

如图6所示，本发明实施例提供一种光线路终端OLT，所述OLT包括：

第一确定单元110，配置为确定待加密的指定广播报文；

形成单元120，配置为对所述指定广播报文进行加密，形成广播加密报文；

第一发送单元130，配置为向光网络单元ONU发送所述广播加密报文。

本实施例提供一种OLT，该OLT包括所述第一确定单元110、形成单元120和第一发送单元130。所述第一确定单元110和所述形成单元120均可对应于所述OLT中的处理器或处理电路，所述处理器可包括中央处理器、应用处理器、微处理器、数字信号处理器或可编程阵列。所述处理器或处理电路通过执行指定代码，实现所述第一确定单元110和所述形成单元120的功能。

所述第一发送单元130对应于所述OLT的光发送接口，例如，对应于 所述OLT向ONU发送信号的下行发送接口，能够用于将所述OUN发送加密报文。

在本实施例中所述OLT会对需要加密的广播报文进行加密，避免不需要接收该广播报文的其他ONU泄露该广播报文的信息内容，提升信息的安全性。

可选地，所述OLT还包括：第一协商单元，配置为OLT与ONU协商加密密钥，确定加密密钥和密钥索引；所述形成单元120，配置为利用所述加密密钥对所述指定广播报文的待加密部分进行加密，并将所述密钥索引携带在所述指定广播报文的明文部分，形成所述广播加密报文；其中，所述密钥索引用于所述ONU确定所述加密密钥。所述第一协商单元可对应于通信接口或处理器，能够通过与OUN多次信息交互和信息解析提取等操作，确定出所述加密密钥和密钥索引。在本实施例中通过第一协商单元的设置，可以简便的协商出加密密钥，从而能够方便ONU后续解密所述广播加密报文。

可选地，所述第一发送单元130，还配置为向接收所述广播加密报文的ONU发送密钥请求消息；在发送所述密钥请求消息后，启动第一计时；

所述OLT还包括：

第一接收单元，配置为在所述第一计时的计时时间内，接收所述ONU基于所述密钥请求消息返回的响应消息；

所述第一协商单元，配置为从所述响应消息中提取所述加密密钥。

所述第一接收单元可包括OLT的下行接收接口，能够用于从ONU接收所述响应消息。在本实施例中，还设置了第一计时，避免因协商时间过长导致的各种信息安全性问题，这里的信息安全性问题可包括加密密钥被泄露。

在本实施例中，所述第一发送单元130，还配置为若所述第一计时超时 还未接收到所述响应消息或未提取到加密密钥，则重新发送所述密钥请求消息。在本实施例中当然为了保证广播报文的顺利发送，若出现上述三种情况的至少其中之一时，将重新发送所述密钥请求消息。在具体实现时，所述第一发送单元130向同一个ONU发送所述密钥请求消息的次数直至达到指定次数后才停止，或停止一段时间后间隔发送，或向上层设备发送协商失败的警告信息等。

具体地，所述第一确定单元110，配置为解析报文的前导码和操作码opcode字段，获得解析信息；及根据所述解析信息确定所述报文是否为待加密的指定报文。所述前导码包括前述实施例中提到的模式位和逻辑链路标识等信息，根据前导码可确定出当前需要发送的报文是否为广播报文，根据所述opcode字段的内容可确定出是否待加密的指定广播报文，具有结构简单及实现简便的特点。

可选地，所述OLT还包括：

检测单元，配置为检测广播加密使能开关；

所述形成单元120，配置为若所述广播加密使能开关处于使能状态，则对所述指定广播报文进行加密，形成广播加密报文。

在本实施例中所述检测单元可对应于处理器或处理电路，可以检测所述OLT内的表示所述广播加密使能的字段是否被置为对应于所述使能状态的指定值，来确定所述广播加密使能开关的状态。当然这只是一种实现，具体的实现结构还有多种，不限于上述实现结构。

通过检测单元的设置，通过检测单元对广播加密使能开关的状态的检测，可以与现有技术中很好的兼容，在默认状态下所述广播加密使能开关通常为非使能状态，以避免影响大多数不需要加密的广播报文的发送。

实施例四：

如图7所示，本实施例提供一种光网络单元ONU，所述ONU包括：

第二协商单元210，配置为与OLT协商加密密钥，确定加密密钥和密钥索引；

存储单元220，配置为存储所述加密密钥和密钥索引；

其中，所述加密密钥和所述密钥索引用于所述OLT对广播报文进行加密及ONU解密所述OLT加密形成的广播加密报文。

本实施例所述第二协商单元210可对应于所述ONU中的光通信接口和处理器或处理电路等，利用光通信接口与OLT进行信息交互，通过信息交互确定出密钥索引和密钥索引。例如，利用所述光通信接口将确定好的加密密钥和密钥索引的至少其中之一，发送给所述OLT。所述ONU还包括存储单元220可对应于所述ONU中的各种存储介质，可用于存储所述加密密钥和密钥索引。

总之，本实施例所述ONU通过与OLT之间的协商，可以协助OLT确定加密密钥，方便OLT利用该加密密钥对待加密的广播报文进行加密，以提高广播报文的信息安全性。

可选地，所述ONU还包括：

第二接收单元，配置为接收OLT发送的所述广播加密报文；

解析单元，配置为解析所述广播加密报文的明文部分，确定密钥索引；

查询单元，配置为根据所述密钥索引查询加密密钥；

解密单元，配置为基于所述加密密钥解密所述广播加密报文的密文部分。

本实施例所述第二接收单元可对应于能够与OLT进行光通信的光通信接口，能够从OLT接收信息，例如所述广播加密报文。在本实施例中所述广播加密报文可包括明文部分和密文部分；在本发明实施例中需要保密的信息位于在所述密文部分中。所述明文部分可包括报文的前导码等信息。所述密钥索引也位于所述明文部分。故在本实施例中解析单元会对明文部 分进行解密，获得所述密钥索引，在根据密钥索引确定出加密密钥，从而基于加密密钥解密所述广播加密报文的加密部分，从而获得解密后的原始广播报文的报文内容，实现了广播报文的加密交互，能够防止信息的泄露，提高了信息的安全性。

本发明实施例还提供了一种计算机存储介质，所述计算机存储介质中存储有计算机可执行指令，所述计算机可执行指令用于执行前述任意一个或多个广播报文加密方法，例如可图2、图3、图4及图5中一个或多个所示的广播报文加密方法。

本实施例所述的计算机存储介质可为光盘、硬盘、磁盘、磁带、闪盘等各种计算机存储介质，可选为非瞬间存储介质。

以下结合上述任意实施例提供一个示例：

本示例提供一种广播报文加密***，该***可为应用于OLT和ONU中的***，包括：广播业务包鉴别单元、交互单元、前导码修改单元、AES加密单元及三重搅动加密单元。

利用上述广播报文加密***，执行广播报文加密包括以下步骤：

第一步：；利用广播(Broadcast)业务包鉴别单元，完成广播包的鉴别。在EPON***中，可以利用逻辑链路标识和模式位的内容确定出对应的报文是否为广播报文。通常若模式位取值为1，表示该报文为广播报文；或者，当逻辑链路标识的各比特均为1，表示该报文为广播报文。图8为报文的部分示意图，报文包括前导码，目的地址DA字段、源地址SA字段、长度/类型字段、OP-code字段等字段；还有数据区域等字段未在图8中显示。所述前导码包括保留字段1、保留字段2、帧起始定界符(Start of Packet Delimiter，SPD)字段、两个字节长度的LLID以及校验CRC字段。报文

第二步：利用交互单元，确定是否进行加密及加密方式等各种加密 参数。该步骤具体可包括：每当收到新广播数据包头的时候，根据预先配置的广播加密使能开关，决定是否申请加密密钥。在本示例中，广播报文密钥索引用直接寄存器进行配置，若广播加密开关处于使能状态，则直接查询直接寄存器配置的密钥索引，根据密钥索引判断是否需要加密及加密方式。本示例中的加密方式可包括AES加密和三重搅动加密。

第三步：前导码修改单元，根据前面的密钥交互单元的处理，决定是否修改前导码即(前导码修改单元)，在申请加密密钥后，广播加密使开关的状态依然保持使能有效，则将前导码中的第5字节的低2bit改为1和密钥索引，并对修改后的前导码做校验，生成校验值。例如，对修改后的前导码做循环校验，生成循环校验值。

第四步：根据第二步的加密使能以及加密方式，进行加密。所述加密方式可包括AES加密和三重搅动加密。以下分别介绍一下AES加密和三重搅动加密的具体实现。

利用AES加密单元进行AES加密时，将要加密的数据进行分割成一个多个数据块，其中每一个数据块包括128比特。如图9所示，将分割形成的数据块作为输入块，与加密密钥一同作为加密逻辑的输入，经过AES加密后，将形成加密后的输出块。通常输出块包括的比特数与所述输入块包括的比特数相同。接下来，将输出块与对应明文块的后16字节进行异或运算，得到完成了AES加密的密文。

所述AES加密单元还会用于最终确定加密密钥；具体如可包括：

1)OLT发出KEY_ASSIGN消息。在该KEY_ASSIGN消息包括16位加密输入值中的初始值、第一密钥激活时间、128位初始密钥。这里的KEY_ASSIGN消息对应于前述实施例中的密钥请求消息。

2)OLT发出KEY_ASSIGN消息的同时，启动一个超时计数器。

3)接收ONU发送KEY_RESPONSE消息。该KEY_RESPONSE消 息内含有128位更新后的密钥，以及第二密钥激活时间。这里的KEY_RESPONSE消息对应于前述实施例中的响应消息。

4)如果OLT的超时计数器表示已经超时，还未收到KEY_RESPONSE，或者基于第一密钥激活时间和第二密钥激活时间判断出OLT与ONU协商失败未提取到加密密钥，就重启密钥交互过程。第一密钥激活时间为OLT发送KEY_ASSIGN消息的时间戳，第二密钥激活时间为发送KEY_RESPONSE消息的时间戳，根据这两个时间戳，就能够确定出传输时延，若传输时延大于预定时延，这样的话，可认为协商失败。

OLT发送的128初始密钥可以作为所述ONU形成128更新后的密钥的初始值。所述128初始密钥与128更新后的密钥也可以完全没有关系，在本实施例中所述128更新后的密钥为前述实施例中用来加密指定广播报文的加密密钥。

第六步：三重搅动加密单元用于三重搅动加密。在三重搅动加密过程中，OLT提出密钥更新要求，ONU提供3字节搅动密钥，OLT使用此搅动密钥完成搅动加密。在启用搅动加密后，对非注册广播报文所有的数据帧和OAM帧进行搅动。这的非注册广播报文即对应于前述的指定广播报文。

搅动密钥是ONU由上行用户数据中提取的3字节数据与3字节随机数或相加的结果。

前导码中的第五个字节作为搅动密钥索引的标识字段来实现密钥同步。在图10中显示有广播数据帧搅动加密前的格式和搅动加密后的格式。在图10所示的搅动加密前的数据帧包括前导码和以明文形式存在的其他数据。在前导码中2个字节长度的LLID字段，在该字段中存储有模式位和逻辑链路标识，和两个长均为2个字节的保留字段1和保留字 段2。在搅动加密后的数据帧中，签到码的保留字段2的后一个字节中添加了加密索引。且在搅动加密的数据中，利用搅动密钥对数据搅动搅动区进行搅动加密。

在图10所示的数据搅动区可包括目的地址DA字段、源地址SA字段、长度/类型字段及数据区域和FCS字段。所述FCS为Frame Check Sequence的缩写，是校验字段；可以利用保存该数据帧的循环校验码等校验数据。FCS中存储的校验数据可用于对数据区域内存储的数据进行校验。在前导码循环校验码CRC字段存储的校验码，可用于对前导码内存储数据的校验。

密钥更新由新密钥请求帧(new_key_request)和密钥通知帧(new_churning_key)来实现。OLT向ONU发出包括新密钥请求的新密钥请求帧，该请求帧包含当前正在用于下行加密的密钥的序号。这里的新密钥请求帧相当于前述实施例中密钥请求消息。

ONU收到新密钥请求帧后产生新的搅动密钥，该搅动密钥的序号可为二进制序号，可以为是所接收到的新密钥请求帧中In-use_Key_Index字节最低位的二进制的补码。

ONU向OLT发送新密钥通知帧，新密钥通知帧中包含新密钥索引字段和新搅动密钥字段。通常新密钥索引字段包括密钥索引，数据长度为1个字节，新搅动密钥字段包括搅动密钥，数据长度为3个字节。新密钥序索引字段(New_Key_Index)的最低位的值为新密钥索引，剩余比特值均可以置为指定值，这里的指定值可为0或1。这里的新密钥通知帧可相当于前述实施例中的基于密钥请求消息返回的响应消息。

OLT收到新密钥通知帧后，就可以使用新搅动密钥对随后的帧进行搅动加密。密钥同步依靠每个帧中的保留字段2中的第2个字节来实现，只要ONU收到OLT发送的搅动帧中，密钥索引Key_Index可为新密钥 通知帧中的密钥编号，则ONU使用新密钥进行解搅动。所述保留字段2的第2个字节中可设置有Flag和加密索引；所述Flag可包括1个比特，表示当前报文是否有加密，例如当该比特的内容为0表示未加密，当该比特为1表示加密。所述加密索引对应的比特表示的加密密钥的密钥标号等索引信息。

OLT有一个定时器key_update_timer，用于控制密钥更新周期。当该定时器超时，OLT则启动上述密钥更新过程。OLT使用另一个定时器Churning_Timer用于作为在无法获得密钥更新帧情况下启动下一次密钥更新请求的机制，以增加密钥更新的可靠性。这里的定时器Churning_Timer相当于前述实施例中对第一计时进行计时的计时器。

当OLT每次发出新密钥请求帧时，启动定时器Churning_Timer。当OLT在Churning_Timer超时前收到了ONU发来的正确的新密钥通知帧，则OLT启用新密钥作为搅动密钥进行搅动加密，并将Churning_Timer复位。

当定时器Churning_Timer超时后OLT仍没有收到新密钥通知帧，则认为密钥交互失败，将Churning_Timer复位；且OLT发送新一轮的新密钥请求帧。

在新密钥成功交互之前，ONU仍然使用原来的密钥，并且由OLT将密钥交互失败的信息上报给网管。如果OLT连续3次发送新密钥请求帧后仍然无法在Churning_Timer超时前收到密钥更新帧，则OLT应向网管告警。下行业务仍然使用旧的密钥进行搅动。密钥更新周期T_key和定时器Churning_Timer的值均可配置。T_key的缺省值为10s。密钥更新与同步过程。

图11提供了OLT和ONU之间进行搅动密钥交互的流程示意图，包括：

OLT在一个密钥更新周期T_key时间内向ONU发送新密钥请求。

ONU接收到新密钥请求后，向OLT返回搅动密钥0。

OLT接收搅动密钥0。

OLT利用搅动密钥0进行搅动加密。

ONU后续在接收到广播加密报文后，会利用搅动密钥0解搅动加密。

OLT在下一个T_key时间内，发送新密钥请求。

OLT ONU接收到新密钥请求后，向OLT返回搅动密钥1。

OLT利用搅动密钥1进行搅动加密。

ONU后续在接收到广播加密报文后，会利用搅动密钥1解搅动加密。

在本申请所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个***，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。

上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元，即可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。

另外，在本发明各实施例中的各功能单元可以全部集成在一个处理模块中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，凡按照本发明原理所作的修改，都应当理解为落入本发明的保护范围。

工业实用性

本发明实施例中，提供了一种对指定的广播报文也会加密的方法，这样可以避免广播报文明文发送，一旦被窃取就泄露的现象，提升了信息安全性，在信息技术领域具有广泛的应用前景。

Claims (17)

1. 一种广播报文加密方法，所述方法包括：

   光线路终端OLT确定待加密的指定广播报文；

   对所述指定广播报文进行加密，形成广播加密报文；

   向光网络单元ONU发送所述广播加密报文。
2. 根据权利要求1所述的方法，其中，

   所述方法还包括：

   所述OLT与ONU协商加密密钥，确定加密密钥和密钥索引；

   所述对所述指定广播报文进行加密，形成广播加密报文，包括：

   利用所述加密密钥对所述指定广播报文的待加密部分进行加密，并将所述密钥索引携带在所述指定广播报文的明文部分，形成所述广播加密报文；

   其中，所述密钥索引用于所述ONU确定所述加密密钥。
3. 根据权利要求2所述的方法，其中，

   所述OLT与ONU协商加密密钥，确定加密密钥和密钥索引，包括：

   向接收所述广播加密报文的ONU发送密钥请求消息；

   在发送所述密钥请求消息后，启动第一计时；

   在所述第一计时的计时时间内，接收所述ONU基于所述密钥请求消息返回的响应消息；

   从所述响应消息中提取所述加密密钥。
4. 根据权利要求3所述的方法，其中，

   所述OLT与ONU协商加密密钥，确定加密密钥和密钥索引，还包括：

   若所述第一计时超时还未接收到所述响应消息或未提取到加密密钥，则重新发送所述密钥请求消息。
5. 根据权利要求1所述的方法，其中，

   所述光线路终端OLT确定待加密的指定广播报文，包括：

   解析报文的前导码和操作码opcode字段，获得解析信息；

   根据所述解析信息确定所述报文是否为待加密的指定报文。
6. 根据权利要求1至5任一项所述的方法，其中，

   所述方法还包括：

   检测广播加密使能开关；

   所述对所述指定广播报文进行加密，形成广播加密报文，包括：

   若所述广播加密使能开关处于使能状态，则对所述指定广播报文进行加密，形成广播加密报文。
7. 一种广播报文加密方法，所述方法包括：

   ONU与OLT协商加密密钥，确定加密密钥和密钥索引；

   存储所述加密密钥和密钥索引；

   其中，所述加密密钥和所述密钥索引用于所述OLT对广播报文进行加密及ONU解密所述OLT加密形成的广播加密报文。
8. 根据权利要求7所述的方法，其中，

   所述方法还包括：

   接收OLT发送的所述广播加密报文；

   解析所述广播加密报文的明文部分，确定密钥索引；

   根据所述密钥索引查询加密密钥；

   基于所述加密密钥解密所述广播加密报文的密文部分。
9. 一种光线路终端OLT，所述OLT包括：

   第一确定单元，配置为确定待加密的指定广播报文；

   形成单元，配置为对所述指定广播报文进行加密，形成广播加密报文；

   第一发送单元，配置为向光网络单元ONU发送所述广播加密报文。
10. 根据权利要求9所述的OLT，其中，

    所述OLT还包括：

    第一协商单元，配置为于OLT与ONU协商加密密钥，确定加密密钥和密钥索引；

    所述形成单元，配置为利用所述加密密钥对所述指定广播报文的待加密部分进行加密，并将所述密钥索引携带在所述指定广播报文的明文部分，形成所述广播加密报文；

    其中，所述密钥索引用于所述ONU确定所述加密密钥。
11. 根据权利要求10所述的OLT，其中，

    所述第一发送单元，还配置为向接收所述广播加密报文的ONU发送密钥请求消息；在发送所述密钥请求消息后，启动第一计时；

    所述OLT还包括：

    第一接收单元，配置为在所述第一计时的计时时间内，接收所述ONU基于所述密钥请求消息返回的响应消息；

    所述第一协商单元，配置为从所述响应消息中提取所述加密密钥。
12. 根据权利要求11所述的OLT，其中，

    所述第一发送单元，还配置为若所述第一计时超时还未接收到所述响应消息或未提取到加密密钥，则重新发送所述密钥请求消息。
13. 根据权利要求9所述的OLT，其中，

    所述第一确定单元，配置为解析报文的前导码和操作码opcode字段，获得解析信息；及根据所述解析信息确定所述报文是否为待加密的指定报文。
14. 根据权利要求9至13任一项所述的OLT，其中，

    所述OLT还包括：

    检测单元，配置为检测广播加密使能开关；

    所述形成单元，配置为若所述广播加密使能开关处于使能状态，则对所述指定广播报文进行加密，形成广播加密报文。
15. 一种光网络单元ONU，所述ONU包括：

    第二协商单元，配置为与OLT协商加密密钥，确定加密密钥和密钥索引；

    存储单元，配置为存储所述加密密钥和密钥索引；

    其中，所述加密密钥和所述密钥索引用于所述OLT对广播报文进行加密及ONU解密所述OLT加密形成的广播加密报文。
16. 根据权利要求15所述的ONU，其中，

    所述ONU还包括：

    第二接收单元，配置为接收OLT发送的所述广播加密报文；

    解析单元，配置为解析所述广播加密报文的明文部分，确定密钥索引；

    查询单元，配置为根据所述密钥索引查询加密密钥；

    解密单元，配置为基于所述加密密钥解密所述广播加密报文的密文部分。
17. 一种计算机存储介质，所述计算机存储介质中存储有计算机可执行指令，所述计算机可执行指令用于执行权利要求1至8任一项所述广播报文加密方法。

Images