專利名稱:無源光網(wǎng)絡中保證數(shù)據(jù)安全的方法
技術領域:
本發(fā)明涉及網(wǎng)絡通訊領域�,尤其涉及一種無源光網(wǎng)絡中保證數(shù)據(jù)安全的 方法�。
背景技術:
目前的寬帶接入技術主要區(qū)分為銅線接入技術和光接入技術����。銅線接入
技術包括各種DSL (數(shù)字用戶線)技術等,由光接入技術實現(xiàn)的接入網(wǎng)稱為 OAN (optical access network,光接入網(wǎng))。
PON (passive optical network,無源光網(wǎng)絡)是OAN的一種實現(xiàn)技術����, PON技術是一種點對多點傳送的光接入技術�����,PON系統(tǒng)的基本結構如圖1所示。
PON系統(tǒng)由OLT (Optical Line Terminal,光線路終端)��、ODN (Optical Distribute Network,光分布網(wǎng))�����、ONU (Optical Network Unit,
光網(wǎng)絡單元)組成�����,各個部分的功能如下
OLT:為OAN提供SNI (網(wǎng)絡側接口 )���,連接一個或者多個ODN;
ODN:為無源分光器件��,ODN將OLT下行的數(shù)據(jù)通過光分路傳輸?shù)礁鱾€ ONU,同樣����,ODN將ONU的上行數(shù)據(jù)進行匯聚后傳輸?shù)絆LT。
ONU:為OAN提供UNI (用戶側接口)�����,同時與ODN相連。如果ONU同 時提供用戶端口功能��,如提供Ethernet (以太網(wǎng))用戶端口或者POTS (Plain Old Telephone Service,傳統(tǒng)電話業(yè)務)用戶端口��,則ONU也稱為
ONT (Optical Network Termination,光網(wǎng)絡終端),在本發(fā)明中�����,我們將 ONU�����、 ONT統(tǒng)一稱為ONT���。
在PON系統(tǒng)中��,OLT到ONT的下行流量以廣播的方式廣播到所有ONT����, 各個ONT按需接收需要的流量;OLT為每個ONT分配傳輸時隙�����,每個ONT在 指定的時隙向OLT發(fā)送數(shù)據(jù),OLT控制每個ONT到OLT的上行流量����。
GPON (Giga-bit Passive Optical Network,吉比特無源光網(wǎng)絡)技術標 準是最新的PON技術標準�����,GPON技術標準對應ITU-T (國際電信聯(lián)盟)的 G984.1�����、 G984.2�、 G984.3���、 G984.4系列���。
GPON標準為業(yè)務數(shù)據(jù)提供兩種承載方式,ATM (Asynchronous Transfer Mode,異步傳輸模式)承載方式和GEM ( G-PON Encapsulation Method, GPON封裝方法)承栽方式。ATM承載方式是將業(yè)務數(shù)據(jù)封裝成53 字節(jié)的ATM信元�����,將該ATM信元通過OLT為ONT分配的ATM PVP (Permanet Virtual Path,永久虛通道)通道來傳輸;GEM承載方式是將業(yè) 務數(shù)據(jù)封裝成GEM封裝幀��,將該GEM封裝幀通過OLT為ONT分配的GEM PORT通道來傳輸,GEM承載方式是變長封裝的,支持根據(jù)業(yè)務數(shù)據(jù)幀的長 度改變GEM封裝幀的長度���。在ATM承栽方式中��,數(shù)據(jù)傳輸通道ATM PVP的 標識是VPI (Virtual Path Identifier,虛通道標識)��,在GEM承載方式中�����,數(shù) 據(jù)傳輸通道GEM PORT的標識是PORTJD����。
ONT向OLT注冊完成后,OLT根據(jù)ONT業(yè)務數(shù)據(jù)傳輸?shù)囊?��,指定兩?通信的傳輸通道是ATM PVP或者GEM PORT,并且分配具體的VPI和 PORTJD的數(shù)值�����。上述ATM PVP或者GEM PORT傳輸通道可以是單向的�, 也可以是雙向的���,OLT支持為一個ONT分配多個傳輸通道�����。
在PON系統(tǒng)中,OLT到ONT的下行數(shù)據(jù)是通過廣播方式傳輸?shù)剿蠴NT 的��。雖然ONT要求只接收屬于自己傳輸通道的數(shù)據(jù),但是如果有惡意用戶對
某個ONT進行重新編程�����,那該ONT就能夠接收到不屬于自己傳輸通道中的數(shù) 據(jù),OLT到其他ONT的所有下行數(shù)據(jù)都有可能被該ONT竊聽�。
現(xiàn)有技術中一種PON中保證數(shù)據(jù)安全的方法的處理流程如圖2所示,具 體處理過程為
目前GPON標準的解決方案是通過對OLT到ONT的下行數(shù)據(jù)進行加密的 方式來保證數(shù)據(jù)安全。加密的最小單位是OLT為ONT分配的傳輸通道即ATM PVP或者GEM PORT�����。加密的密鑰由ONT生成并通知給OLT, 一個ONT上的 每個傳輸通道可以配置為加密����,也可以配置為不加密��。
在OLT側,OLT通過ONT提供的密鑰���,將屬于這個ONT且配置了加密屬 性的傳輸通道的傳輸數(shù)據(jù)進行加密�����;在ONT側�,通過密鑰對數(shù)據(jù)進行解密操 作����。因為不同的ONT提供給OLT的密鑰是不同的,ONT只能解密屬于自己的 數(shù)據(jù),這樣就保證了下行數(shù)據(jù)傳輸?shù)乃矫苄浴鬏斖ǖ赖募用軐傩缘呐渲檬?OLT通過Encrypted—Port-ID/VPI (加密通道配置消息)消息通知ONT的����,一 個ONT的所有加密的傳輸通道共享相同的密鑰���。
為保證密鑰的安全性,需要對密鑰進行定期更新�����,密鑰的定期更新是 OLT發(fā)起的����,定期更新時間可以配置���。具體的密鑰更新過程為
OLT通過向ONT下發(fā)Request Key (密鑰請求)消息請求ONT生成新的 密鑰�����。ONT收到上述Request Key消息后,生成新的密鑰,將該新的密鑰通 過Encryption Key (密鑰響應)消息發(fā)送給OLT���。為保證數(shù)據(jù)在OLT上加密和 在ONT上解密的密鑰是相同的,新密鑰的啟用需要有同步機制,OLT收到 ONT發(fā)送的Encryption Key消息后,決定未來的某一個時刻開始啟用新的密 鑰�,并通過Key switching Time (密鑰切換消息)將新密鑰的切換時間通知 ONT。在該切換時間到達時�����,OLT開始用新密鑰進行加密�,同時ONT開始用 新密鑰進行解密。
上述現(xiàn)有4支術的方法的缺點為如果OLT給某個ONT配置的加密通道是 ONT的第一個加密通道��,則如圖2所示��,OLT會首先向ONU發(fā)送加密通道配 置消息,OLT收到ONU返回的加密通道配置響應消息后�,由于之前OLT沒有 獲得該ONT的密鑰,OLT會繼續(xù)啟動密鑰請求的流程,即向ONU發(fā)送 Request—Key消息��,獲得ONT的密鑰�����。然后���,在密鑰切換時刻,OLT開始用 新密鑰進行加密��,同時ONT開始用新密鑰進行解密����。OLT和ONT之間實現(xiàn)了 加解密的同步���。
如果OLT再給上述ONT配置另外一個加密通道時���,則由于ONT已經(jīng)有了 密鑰���,ONT收到OLT發(fā)送的針對該加密通道的加密通道配置消息后���,則向 OLT返回加密通道配置響應消息后�����,立刻開始對這個加密通道的數(shù)據(jù)開始按 照加密的數(shù)據(jù)處理��,但是此時有可能OLT還沒有接收到或者處理完成上述 ONT返回的加密通道配置響應消息,此時OLT發(fā)送的數(shù)據(jù)仍然是未加密的數(shù) 據(jù)��,這樣因為OLT和OLT的加密數(shù)據(jù)不同步導致ONT無法正確地解析數(shù)據(jù)���, 從而導致業(yè)務的暫時中斷�。
同樣�,如果OLT需要給上述ONT的加密通道取消加密屬性時�,ONT收到 OLT發(fā)送的針對該加密通道的取消加密通道配置消息后��,向OLT返回取消加 密通道配置響應消息后,立刻開始對這個加密通道的數(shù)據(jù)開始按照明文數(shù)據(jù) 處理,但是此時有可能OLT還沒有接收到或者處理完成上述ONT返回的取消 加密通道配置響應消息�����,此時OLT發(fā)送的數(shù)據(jù)仍然是加密的數(shù)據(jù)��,從而也將 導致ONT無法正確地解析數(shù)據(jù),導致業(yè)務的暫時中斷�����。
發(fā)明內容
鑒于上述現(xiàn)有技術所存在的問題,本發(fā)明的目的是提供一種無源光網(wǎng)絡 中保證數(shù)據(jù)安全的方法,從而可以在OLT給ONU/ONT的傳輸通道配置或者取 消加密屬性的過程中�,實現(xiàn)OLT和ONU/ONT之間加解密的同步。
本發(fā)明的目的是通過以下4支術方案實現(xiàn)的 一種無源光網(wǎng)絡中保證數(shù)據(jù)安全的方法�,包括
密屬性時��,在設定的密鑰切換時刻��,所述OLT和所述ONU/ONT同時使用新的 密鑰在所述配置了加密屬性的傳輸通道上進行密文數(shù)據(jù)處理。 所述的方法具體包括步驟
A���、 OLT給ONU/ONT的傳輸通道配置加密屬性����;
B��、 所述OLT更新獲得所述ONU/ONT生成的密鑰并確定密鑰切換時刻�;
C���、 在所述密鑰切換時刻到達后��,在屬于所述ONU/ONT的配置了加密屬 性的所有傳輸通道上�,所述OLT使用所述ONU/ONT生成的新的密鑰進行數(shù)據(jù) 發(fā)送,所述ONU/ONT使用所述生成的新的密鑰進行數(shù)據(jù)接收��。
所述的步驟A具體包括
A1、當OLT給ONU/ONT的傳輸通道配置加密屬性時,所述OLT向 ONU/ONT發(fā)送所述傳輸通道的加密通道配置消息�����;
A2����、所述ONU/ONT接收到所述加密通道配置消息后,向所述OLT返回 加密通道配置響應消息,所述ONU/ONT在所述傳輸通道上進行明文數(shù)據(jù)接 收處理���;
A3���、所述OLT接收到所述加密通道配置響應消息后�����,在所述傳輸通道上 進行明文數(shù)據(jù)發(fā)送處理����。 所述的步驟B具體包括
B1���、所述OLT在設定的時刻向所述ONU/ONT發(fā)送密鑰請求消息��,所述 ONU/ONT接收到該密鑰請求消息后���,生成新的密鑰,向所述OLT返回攜帶新 的密鑰信息的密鑰響應消息;
B2����、所述OLT接收到所述密鑰響應消息后,向所述ONU/ONT發(fā)送攜帶 確定的密鑰切換時刻的密鑰切換消息����。
所述的步驟B1中的所述OLT在設定的時刻向所述ONU/ONT發(fā)送密鑰請
求消息具體包括
所述OLT立即向所述ONU/ONT發(fā)送所述密鑰請求消息����;
或者��,
所述OLT在系統(tǒng)設定的下一個密鑰更新時刻到達后�����,向所述ONU/ONT發(fā) 送所述密鑰請求消息; 或者��,
所述O LT設定 一 個時間閾值�,如果當前時間距離系統(tǒng)的下 一 次密鑰更新 時刻的剩余時間小于該時間閾值����,則在該系統(tǒng)設定的下一個密鑰更新時刻到 達后���,向所述ONU/ONT發(fā)送所迷密鑰請求消息���;否則,立即向所述 ONU/ONT發(fā)送所述密鑰請求消息。絡����。
一種無源光網(wǎng)絡中保證數(shù)據(jù)安全的方法�,包括
當OLT給ONU/ONT的傳輸通道取消加密屬性時,在設定的密鑰切換時
所述的方法具體包括步驟
D����、 OLT給ONU/ONT的傳輸通道取消加密屬性�����;
E���、 所述OLT更新獲得所述ONU/ONT生成的密鑰并確定密鑰切換時刻;
F�����、 在所述密鑰切換時刻到達后,所述OLT在所述取消了加密屬性的傳輸 通道上進行明文數(shù)據(jù)發(fā)送��,同時所述ONU/ONT在所述取消了加密屬性的傳 輸通道上進行明文數(shù)據(jù)接收�。
所述的步驟的D具體包括
D1����、當OLT給ONU/ONT的傳輸通道取消加密屬性時����,所述OLT向 ONU/ONT發(fā)送所述傳輸通道的加密通道取消消息��;
D2 ��、所述ONU/ONT接收到所述加密通道取消消息后���,向所述OLT返回 加密通道取消響應消息�����,所述ONU/ONT在所述傳輸通道上進行密文數(shù)據(jù)接 收處理����;
D3、所述OLT接收到所述加密通道取消響應消息后��,在所述傳輸通道上 進行密文數(shù)據(jù)發(fā)送處理�。 所述的步驟E具體包括
E1����、所述OLT在設定的時刻向所述ONU/ONT發(fā)送密鑰請求消息����,所述 ONU/ONT接收到該密鑰請求消息后�,生成新的密鑰�,向所述OLT返回攜帶新 的密鑰信息的密鑰響應消息���;
E2��、所述OLT接收到所述密鑰響應消息后��,向所述ONU/ONT發(fā)送攜帶 確定的密鑰切換時刻的密鑰切換消息��。
所述的步驟E1中的在設定的時刻向所述ONU/ONT發(fā)送攜帶確定的密鑰
切換時刻的密鑰切換消息具體包括
所述OLT立即向所述ONU/ONT發(fā)送所述密鑰切換消息���;
或者�����,
所述OLT在系統(tǒng)設定的下一個密鑰更新時刻到達后��,向所述ONU/ONT發(fā) 送所述密鑰切換消息��; 或者,
所述O LT設定 一 個時間閾值���,如果當前時間距離系統(tǒng)的下 一 次密鑰更新 時刻的剩余時間小于該時間閾值,則在該系統(tǒng)i殳定的下一個密鑰更新時刻到 達后����,向所述ONU/ONT發(fā)送所述密鑰切換消息�����;否則��,立即向所述 ONU/ONT發(fā)送所述密鑰切換消息�。
由上述本發(fā)明提供的技術方案可以看出,本發(fā)明通過在設定的密鑰切換 時刻到達后,OLT和ONT同時啟用新密鑰進行數(shù)據(jù)加密和數(shù)據(jù)解密�。或者���, OLT和ONT同時取消傳輸通道的加密屬性���。從而可以在OLT給ONT進行加密
通道配置或者取消加密通道的加密屬性的過程中,實現(xiàn)OLT和ONT之間加解 密的同步�。解決了現(xiàn)有GPON技術在配置加密通道過程中導致的暫時數(shù)據(jù)丟 失��、業(yè)務中斷的問題。
圖1為PON系統(tǒng)的基本結構示意圖2為現(xiàn)有技術的從配置加密通道到密鑰切換的處理流程圖; 圖3為本發(fā)明提供的實施例1的具體處理流程圖; 圖4為本發(fā)明提供的實施例2的具體處理流程圓�����。
具體實施例方式
本發(fā)明提供了一種無源光網(wǎng)絡中保證數(shù)據(jù)安全的方法�,本發(fā)明的核心 為在設定的密鑰切換時刻到達后,OLT和ONT同時啟用新密鑰進行數(shù)據(jù)加 密和數(shù)據(jù)解密�?��;蛘撸琌LT和ONT同時取消傳輸通道的加密屬性。
下面結合附圖來詳細描迷本發(fā)明�,在OLT對ONT的傳輸通道配置加密屬 性時����,本發(fā)明提供了本發(fā)明所述方法的三個實施例���,實施例1的具體處理流 程如圖3所示,包括如下步驟
步驟31��、 OLT在給ONT配置第一個加密通道的時候����,還是按照圖2所示 的現(xiàn)有技術的處理流程進行加密通道配置和密鑰更新���。
OLT在繼續(xù)給ONT的某個傳輸通道配置加密屬性的時候,OLT向ONT發(fā) 送針對該傳輸通道的加密通道配置消息����,ONT收到該加密通道配置消息后�, 向OLT返回加密通道配置響應消息���。然后��,ONT對該傳輸通道的數(shù)據(jù)繼續(xù)按 照沒有加密的數(shù)據(jù)的接收方式來接收���。
在實際應用中�,為保證完備性,上述加密通道配置消息和加密通道配置 響應消息都要發(fā)三次。
步驟32、 OLT收到ONT返回的上述加密通道配置響應消息后,對這個傳 輸通道的數(shù)據(jù)繼續(xù)按照沒有加密的數(shù)據(jù)的發(fā)送方式來發(fā)送�����。
步驟33、在系統(tǒng)設定的下一次定時密鑰更新時間到達后���,OLT與ONT進 行密鑰更新消息交互�����。即OLT向ONT發(fā)送密鑰請求消息����,ONT收到該密鑰請 求消息后,生成新的128位密鑰����,將生成的密鑰分三次發(fā)送給OLT, OLT因此 獲得了ONT生成的新的密鑰���。
OLT然后確定下一次進行密鑰切換的時刻��,然后將確定的密鑰切換時刻 通過密鑰切換消息發(fā)送給ONT����。
在實際應用中�����,為保證完備性��,上述密鑰切換消息要發(fā)三次����。
步驟34���、在上述密鑰切換時刻到達后�����,OLT將以前給該ONT配置的加密 通道和本次需要配置的加密通道的密鑰全部更新為上述新的密鑰�����,OLT開始 用新密鑰對所有加密通道上給ONT發(fā)送的數(shù)據(jù)進行加密,同時ONT開始用新 密鑰對所有加密通道上接收到的數(shù)據(jù)進行解密。
如果密鑰更新的時間周期很長�,例如每24小時更新一次,通過上面的實 施1的方法來保證新的傳輸通道的數(shù)據(jù)加密同步��,可能要等待很長的時間才 開始加密數(shù)據(jù)的傳輸����。因此�,本發(fā)明提供的實施例2對上述實施例1的方法進 行改進,實施例2的具體處理流程如圖4所示��,包括如下步驟
步驟41���、 OLT在給ONT配置第一個加密通道的時候,還是按照圖2所示 的現(xiàn)有技術的處理流程進行加密通道配置和密鑰更新��。
OLT在繼續(xù)給ONT的某個傳輸通道配置加密屬性的時候,OLT向ONT發(fā) 送針對該傳輸通道的加密通道配置消息�����,ONT收到該加密通道配置消息后�����, 向OLT返回加密通道配置響應消息���。然后�����,ONT對該傳輸通道的數(shù)據(jù)繼續(xù)按 照沒有加密的數(shù)據(jù)的接收方式來接收�。
在實際應用中�����,為保i正完備性�,上述加密通道配置消息和加密通道配置 響應消息都要發(fā)三次���。
步驟42���、 OLT收到ONT返回的上述加密通道配置響應消息后�,對這個傳 輸通道的數(shù)據(jù)繼續(xù)按照沒有加密的數(shù)據(jù)的發(fā)送方式來發(fā)送��,并且不管密鑰更 新周期是否到來�,立刻開始與ONT的密鑰更新交互流程���。
步驟43���、 OLT與ONT進行密鑰更新消息交互�。即OLT向ONT發(fā)送密鑰請 求消息���,ONT收到該密鑰請求消息后,生成新的128位密鑰,將生成的密鑰 分三次發(fā)送給OLT, OLT因此獲得了 ONT生成的新的密鑰�����。
OLT然后確定下一次進行密鑰切換的時刻�,然后將確定的密鑰切換時刻 信息通過密鑰切換消息發(fā)送給ONT。
在實際應用中�,為保證完備性����,上述密鑰切換消息要發(fā)三次����。
步驟44、在上述密鑰切換時刻到達后,OLT將以前給該ONT配置的加密 通道和本次需要配置的加密通道的密鑰全部更新為上述新的密鑰����,OLT開始 用新密鑰對所有加密通道上給ONT發(fā)送的數(shù)據(jù)進行加密�,同時ONT開始用新 密鑰對所有加密通道上接收到的數(shù)據(jù)進行解密��。
本發(fā)明提供的實施例3對上述實施例1和實施例2的處理流程進行綜合和 改進,實施例3的具體處理流程包括如下步驟
步驟51���、 OLT在給ONT配置第一個加密通道的時候,還是按照圖2所示 的現(xiàn)有技術的處理流程進^f亍加密通道配置和密鑰更新����。
OLT在繼續(xù)給ONT的某個傳輸通道配置加密屬性的時候����,OLT向ONT發(fā) 送針對該傳輸通道的加密通道配置消息����,ONT收到該加密通道配置消息后, 向OLT返回加密通道配置響應消息�����。然后��,ONT對該傳輸通道的數(shù)據(jù)繼續(xù)按 照沒有加密的數(shù)據(jù)的接收方式來接收。
在實際應用中�����,為保證完備性����,上述加密通道配置消息和加密通道配置
響應消息都要發(fā)三次��。
步驟52���、 OLT收到ONT返回的上述加密通道配置響應消息后,對這個傳 輸通道的數(shù)據(jù)繼續(xù)按照沒有加密的數(shù)據(jù)的發(fā)送方式來發(fā)送。
步驟53�����、該實施例需要在ONT中定義一個時間閾值�����,如果目前時間距離 系統(tǒng)設定的下 一 次密鑰更新的剩余時間小于該時間閾值,則按照實施例1的 流程來處理�����,即在系統(tǒng)設定的下一次密鑰更新時間進行上述與ONT的密鑰更 新交互流程����。
如果系統(tǒng)設定的下一次密鑰更新的剩余時間大于上述定義的時間閾值, 則按照實施例2的流程來處理����,即立即進行上述與ONT的密鑰更新交互流程。
步驟54���、在密鑰切換時刻到達后�����,OLT將以前給該ONT配置的加密通道 和本次需要配置的加密通道的密鑰全部更新為上述新的密鑰���,OLT開始用新 密鑰對所有加密通道上給ONT發(fā)送的數(shù)據(jù)進行加密,同時ONT開始用新密鑰 對所有加密通道上接收到的數(shù)據(jù)進行解密。
總之,通過上述本發(fā)明所述的處理流程��,可以保證OLT給ONT配置加密 通道時��,保證OLT和ONT之間實現(xiàn)加解密的同步���。
上述本發(fā)明所述方法同樣適用于OLT對ONT的加密通道取消加密屬性的 過程。在OLT對ONT的加密通道取消加密屬性的過程中,本發(fā)明所述方法的 處理過程如下
當OLT需要給ONU/ONT的某個傳輸通道取消加密屬性時�����,OLT向ONT發(fā) 送所述傳輸通道的取消加密通道配置消息。ONT接收到所述加密通道配置消 息后�����,向所述OLT返回取消加密通道配置響應消息��,所述ONT在所述傳輸通 道上使用以前的密鑰進行數(shù)據(jù)接收處理。
所述OLT接收到所述取消加密通道配置響應消息后�,在所述傳輸通道上 進行密文數(shù)據(jù)發(fā)送處理��。然后,所述OLT在設定的時刻向所述ONU/ONT發(fā)送
密鑰請求消息��,所述ONU/ONT接收到該密鑰請求消息后����,生成新的密鑰�, 向所述OLT返回攜帶生成的新的密鑰信息的密鑰響應消息�����。
所述OLT接收到所述密鑰響應消息后��,在設定的時刻向所述ONT發(fā)送攜 帶確定的密鑰切換時刻的密鑰切換消息����。在所述密鑰切換時刻到達后���,所述 OLT在所述傳輸通道上進行明文數(shù)據(jù)發(fā)送處理��,所述ONT在所述傳輸通道上 進行明文數(shù)據(jù)接收處理。
上述設定的時刻包括所述OLT立即向所述ONU/ONT發(fā)送所述密鑰切換 消息;或者���,所述OLT在系統(tǒng)設定的下一個密鑰更新時刻到達后���,向所述 ONU/ONT發(fā)送所逸密鑰切換消息�;或者���,所述OLT設定一個時間閾值�����,如果 當前時間距離系統(tǒng)的下一次密鑰更新時刻的剩余時間小于該時間閾值���,則在 該系統(tǒng)設定的下一個密鑰更新時刻到達后���,向所述ONU/ONT所述密鑰切換 消息����;否則,立即向所述ONU/ONT發(fā)送所述密鑰切換消息��。
以上所述,僅為本發(fā)明較佳的具體實施方式
�,但本發(fā)明的保護范圍并不 局限于此�����,任何熟悉本技術領域的技術人員在本發(fā)明揭露的技術范圍內�����,可 輕易想到的變化或替換���,都應涵蓋在本發(fā)明的保護范圍之內�。因此,本發(fā)明 的保護范圍應該以權利要求的保護范圍為準�����。
權利要求
1、一種無源光網(wǎng)絡中保證數(shù)據(jù)安全的方法�����,其特征在于��,包括當光線路終端OLT給光網(wǎng)絡單元ONU/光網(wǎng)絡終端ONT的傳輸通道配置加密屬性時�,在設定的密鑰切換時刻����,所述OLT和所述ONU/ONT同時使用新的密鑰在所述配置了加密屬性的傳輸通道上進行密文數(shù)據(jù)處理。
2����、 根據(jù)權利要求1所述的方法�����,其特征在于���,所述的方法具體包括步驟A���、 OLT給ONU/ONT的傳輸通道配置加密屬性���;B���、 所述OLT更新獲得所述ONU/ONT生成的密鑰并確定密鑰切換時刻;C���、 在所述密鑰切換時刻到達后�����,在屬于所述ONU/ONT的配置了加密屬 性的所有傳輸通道上,所述OLT使用所述ONU/ONT生成的新的密鑰進行數(shù)據(jù) 發(fā)送����,所述ONU/ONT使用所述生成的新的密鑰進行數(shù)據(jù)接收��。
3���、 根據(jù)權利要求2所述的方法�����,其特征在于�,所述的步驟A具體包括 A1、當OLT給ONU/ONT的傳輸通道配置加密屬性時��,所述OLT向ONU/ONT發(fā)送所述傳輸通道的加密通道配置消息��;A2�、所述ONU/ONT接收到所述加密通道配置消息后���,向所述OLT返回 加密通道配置響應消息,所述ONU/ONT在所述傳輸通道上進行明文數(shù)據(jù)接 收處理�����;A3��、所述OLT接收到所述加密通道配置響應消息后���,在所述傳輸通道上 進行明文數(shù)據(jù)發(fā)送處理����。
4����、 根據(jù)權利要求3所述的方法��,其特征在于�,所述的步驟B具體包括 B1、所述OLT在設定的時刻向所述ONU/ONT發(fā)送密鑰請求消息�,所述ONU/ONT接收到該密鑰請求消息后�����,生成新的密鑰�����,向所述OLT返回攜帶新 的密鑰信息的密鑰響應消息��; B2、所述OLT接收到所述密鑰響應消息后�����,向所述ONU/ONT發(fā)送攜帶 確定的密鑰切換時刻的密鑰切換消息。
5����、 根據(jù)權利要求4所述的方法,其特征在于,所述的步驟B1中的所述 OLT在設定的時刻向所述ONU/ONT發(fā)送密鑰請求消息具體包括所述OLT立即向所述ONU/ONT發(fā)送所述密鑰請求消息�; 或者����,所述OLT在系統(tǒng)設定的下一個密鑰更新時刻到達后���,向所述ONU/ONT發(fā)送所述密鑰請求消息���; 或者,所述OLT設定一個時間閾值,如果當前時間距離系統(tǒng)的下一次密鑰更新 時刻的剩余時間小于該時間閾值��,則在該系統(tǒng)設定的下一個密鑰更新時刻到 達后,向所述ONU/ONT發(fā)送所述密鑰請求消息����;否則����,立即向所述 ONU/ONT發(fā)送所述密鑰請求消息��。
6�����、 根據(jù)權利要求5所述的方法,其特征在于��,所述的無源光網(wǎng)絡包括基 于吉比特無源光網(wǎng)絡GPON標準的無源光網(wǎng)絡�����。
7�、 一種無源光網(wǎng)絡中保證數(shù)據(jù)安全的方法�����,其特征在于�����,包括當OLT給ONU/ONT的傳輸通道取消加密屬性時�����,在設定的密鑰切換時刻�����,
8��、 根據(jù)權利要求7所述的方法����,其特征在于����,所述的方法具體包括步驟D�����、 OLT給ONU/ONT的傳輸通道取消加密屬性�����;E、 所述OLT更新獲得所述ONU/ONT生成的密鑰并確定密鑰切換時刻;F、 在所述密鑰切換時刻到達后����,所述OLT在所述取消了加密屬性的傳輸 通道上進行明文數(shù)據(jù)發(fā)送��,同時所述ONU/ONT在所述取消了加密屬性的傳 輸通道上進行明文數(shù)據(jù)接收���。
9、 才艮據(jù)權利要求8所述的方法��,其特征在于,所述的步驟的D具體包括D1、當OLT給ONU/ONT的傳輸通道取消加密屬性時�����,所述OLT向 ONU/ONT發(fā)送所述傳輸通道的加密通道取消消息;D2�����、所述ONU/ONT接收到所述加密通道取消消息后�,向所述OLT返回 加密通道取消響應消息,所述ONU/ONT在所述傳輸通道上進行密文數(shù)據(jù)接 收處理;D3�����、所述OLT接收到所述加密通道取消響應消息后,在所述傳輸通道上 進行密文數(shù)據(jù)發(fā)送處理�����。
10��、 根據(jù)權利要求9所述的方法���,其特征在于,所述的步驟E具體包括 E1�����、所述OLT在設定的時刻向所述ONU/ONT發(fā)送密鑰請求消息�����,所述ONU/ONT接收到該密鑰請求消息后�����,生成新的密鑰��,向所述OLT返回攜帶新 的密鑰信息的密鑰響應消息;E2����、所述OLT接收到所述密鑰響應消息后,向所述ONU/ONT發(fā)送攜帶 確定的密鑰切換時刻的密鑰切換消息。
11�����、 根據(jù)權利要求10所述的方法�,其特征在于����,所述的步驟E1中的在設 定的時刻向所述ONU/ONT發(fā)送攜帶確定的密鑰切換時刻的密鑰切換消息具 體包括所述OLT立即向所述ONU/ONT發(fā)送所述密鑰切換消息;或者,所述OLT在系統(tǒng)設定的下一個密鑰更新時刻到達后���,向所述ONU/ONT發(fā) 送所述密鑰切換消息; 或者,所述OLTi殳定一個時間閾值����,如果當前時間距離系統(tǒng)的下一次密鑰更新 時刻的剩余時間小于該時間閾值��,則在該系統(tǒng)i殳定的下一個密鑰更新時刻到 達后�,向所述ONU/ONT發(fā)送所述密鑰切換消息���;否則�����,立即向所述 ONU/ONT發(fā)送所述密鑰切換消息。
全文摘要
本發(fā)明提供了一種無源光網(wǎng)絡中保證數(shù)據(jù)安全的方法����,該方法主要包括當OLT(光線路終端)給ONU(光網(wǎng)絡單元)/ONT(光網(wǎng)絡終端)的傳輸通道配置加密屬性時�,在設定的密鑰切換時刻,所述OLT和所述ONU/ONT同時使用新的密鑰在所述配置了加密屬性的傳輸通道上進行密文數(shù)據(jù)處理���。當OLT給ONU/ONT的傳輸通道取消加密屬性時�,在設定的密鑰切換時刻,所述OLT和所述ONU/ONT同時在所述傳輸通道上進行明文數(shù)據(jù)處理�����。利用本發(fā)明所述方法����,可以在OLT給ONU/ONT的傳輸通道配置或者取消加密屬性的過程中�����,實現(xiàn)OLT和ONU/ONT之間加解密的同步����。
文檔編號H04L9/00GK101102152SQ200610090369
公開日2008年1月9日 申請日期2006年7月3日 優(yōu)先權日2006年7月3日
發(fā)明者敏 楊, 牛樂宏 申請人:華為技術有限公司