專利名稱：一種pon系統(tǒng)中密鑰協(xié)商的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，尤其涉及一種PON(PassiveOptical Network，無源光網(wǎng)絡(luò))系統(tǒng)中密鑰協(xié)商的方法和系統(tǒng)。
背景技術(shù)：
目前接入網(wǎng)領(lǐng)域在DSL(Digital Subscriber Loop，數(shù)字用戶環(huán)路)技術(shù)充分發(fā)展之余，光接入技術(shù)也蓬勃興起，尤其是PON技術(shù)更是受到業(yè)界的矚目。PON技術(shù)是一種點到多點的光接入技術(shù)，與點到點技術(shù)相比，PON系統(tǒng)局端用一根光纖即可分成數(shù)十甚至更多路光纖與用戶連接，大大降低了建網(wǎng)成本。
如圖1所示，PON系統(tǒng)由OLT(Optical Line Termination，光線路終端)、ONU/ONT(Optical Network Unit，光網(wǎng)絡(luò)單元/OpticalNetwork Termination，光網(wǎng)絡(luò)終端)以及ODN(Optical DistributionNetwork，光分布網(wǎng)絡(luò))組成。OLT為PON系統(tǒng)提供SNI(Service-network Interface，業(yè)務(wù)網(wǎng)絡(luò)接口)，并連接一個或多個ODN；ODN是無源分光器件，將OLT的數(shù)據(jù)分路傳輸?shù)蕉鄠€ONU，并將多個ONU的數(shù)據(jù)匯總傳輸?shù)絆LT；ONU為PON系統(tǒng)提供UNI(User-network Interface，用戶網(wǎng)絡(luò)接口)，并上行與ODN相連；如果ONU直接提供用戶端口功能，如個人電腦上網(wǎng)用的以太網(wǎng)用戶端口，則稱為ONT。若無特殊說明，本說明書提到的ONU統(tǒng)指ONU和ONT。
在PON系統(tǒng)中，從OLT到ONU稱為下行，反之稱為上行。由于OLT的下行數(shù)據(jù)是廣播發(fā)送到ONU的，網(wǎng)絡(luò)中所有的ONU都會收到OLT發(fā)送給其他ONU的數(shù)據(jù)。為此，現(xiàn)有技術(shù)采用了使用密鑰對發(fā)送的下行數(shù)據(jù)進行加密的方案。具體通過以下方法實現(xiàn)OLT向ONU廣播發(fā)送請求更新密鑰消息，ONU收到該消息后，生成并保存新的密鑰，并將該密鑰發(fā)送給OLT，OLT收到后保存密鑰，與ONU約定啟用新密鑰的時間，在約定時刻，對下行數(shù)據(jù)啟用新密鑰。在該方案中，OLT使用與各ONU對應(yīng)的密鑰對發(fā)送給不同ONU的數(shù)據(jù)進行加密，使得系統(tǒng)中任何一個ONU只能解密發(fā)送給自己的數(shù)據(jù)，而無法解密發(fā)送到其他ONU的數(shù)據(jù)。
但現(xiàn)有技術(shù)的方案通過網(wǎng)絡(luò)直接傳輸明文密鑰，使得密鑰很容易被他人獲取，因而其安全性很差。

發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種PON系統(tǒng)中密鑰協(xié)商的方法和系統(tǒng)，旨在于實現(xiàn)無源光網(wǎng)絡(luò)中的密鑰協(xié)商更加安全的目的。
本發(fā)明的目的是通過以下技術(shù)方案實現(xiàn)的本發(fā)明提供一種PON系統(tǒng)中密鑰協(xié)商的方法，包括A、光線路終端OLT或光網(wǎng)絡(luò)單元ONU發(fā)送請求更新加密密鑰消息；B、OLT或ONU分別根據(jù)隨機數(shù)和系統(tǒng)參數(shù)生成加密密鑰；C、OLT或ONU發(fā)送請求啟用加密密鑰消息，完成密鑰協(xié)商。
所述的步驟B具體包括B11、OLT和ONU分別根據(jù)隨機數(shù)、系統(tǒng)參數(shù)生成傳遞數(shù)；B12、OLT和ONU分別將所述的傳遞數(shù)傳遞給對方；
B13、OLT和ONU分別根據(jù)所述的傳遞數(shù)生成加密密鑰。
所述的隨機數(shù)為由OLT和ONU分別隨機生成的數(shù)x和y。
所述的系統(tǒng)參數(shù)為OLT和ONU都能獲取的兩個數(shù)a和b。
所述的步驟B具體包括B21、OLT根據(jù)公式X＝axmod b，計算出傳遞數(shù)X，ONU根據(jù)公式Y(jié)＝aymod b，計算出傳遞數(shù)Y；B22、OLT和ONU分別將所述的傳遞數(shù)X和Y傳遞給對方；B23、OLT根據(jù)公式k＝Y(jié)xmod b生成加密密鑰k，ONU根據(jù)公式k＝Xymod b生成加密密鑰k。
所述的傳遞數(shù)在請求更新加密密鑰消息中包含或單獨發(fā)送。
所述的獲取系統(tǒng)參數(shù)的方法為下述方法中任一種系統(tǒng)參數(shù)固化在OLT和ONU中、每次通信前雙方協(xié)商生成、每次通信前一方臨時指定給另一方、每次通信前雙方按照某種規(guī)律變化生成。
本發(fā)明還提供一種PON系統(tǒng)中密鑰協(xié)商的系統(tǒng)，所述的系統(tǒng)包括光線路終端OLT和光網(wǎng)絡(luò)單元ONU，所述的OLT和ONU分別根據(jù)隨機數(shù)和系統(tǒng)參數(shù)生成加密密鑰，完成密鑰協(xié)商。
所述的OLT和ONU分別包括隨機數(shù)生成單元，用于隨機生成隨機數(shù)；系統(tǒng)參數(shù)獲取單元，用于獲取系統(tǒng)參數(shù)；傳遞數(shù)生成單元，用于根據(jù)所述的隨機數(shù)和系統(tǒng)參數(shù)生成傳遞數(shù)；加密密鑰生成單元，用于根據(jù)所述的傳遞數(shù)生成加密密鑰。
所述的OLT和ONU還包括消息發(fā)送和接收單元，用于發(fā)送和接收所述的傳遞數(shù)，以及用于發(fā)送和接收請求更新加密密鑰消息、請求啟用加密密鑰消息、確認(rèn)響應(yīng)消息。
由本發(fā)明提供的技術(shù)方案可以看出，本發(fā)明是由OLT和ONU根據(jù)隨機數(shù)和系統(tǒng)參數(shù)生成加密密鑰進行密鑰協(xié)商的，整個協(xié)商過程中傳輸?shù)氖怯呻S機數(shù)和系統(tǒng)參數(shù)生成的傳遞數(shù)，竊聽者獲取了傳遞數(shù)，甚至其獲取了系統(tǒng)參數(shù)，也因為不知道隨機數(shù)而無法獲得加密密鑰，與現(xiàn)有技術(shù)通過網(wǎng)絡(luò)直接傳輸明文密鑰相比，大大的提高了密鑰協(xié)商過程的安全性；另外本發(fā)明和現(xiàn)有技術(shù)相比，更關(guān)注于發(fā)送的是傳遞數(shù)，而不是明文密碼，對基本的流程改動比較小，有利于密鑰協(xié)商方案的推廣和應(yīng)用。而且在本發(fā)明中，發(fā)送的傳遞數(shù)或響應(yīng)消息是采用分片后多次發(fā)送的方式進行的，將數(shù)據(jù)分片發(fā)送可以有效提高數(shù)據(jù)傳輸?shù)陌踩?，而采用多次發(fā)送方式可以提高數(shù)據(jù)傳輸?shù)目煽啃浴?br>

圖1為PON系統(tǒng)示意圖；圖2為本發(fā)明方法的實現(xiàn)流程圖；圖3為本發(fā)明中加密密鑰生成示意圖；圖4為本發(fā)明系統(tǒng)的示意圖。
具體實施例方式
如圖2、圖3所示，本發(fā)明的密鑰協(xié)商方法的具體流程介紹如下S1、OLT隨機生成隨機數(shù)X，并獲取系統(tǒng)參數(shù)a、b；所述的隨機數(shù)為大整數(shù)，a和b是大的素數(shù)，而且a是模b的本原元，本發(fā)明中獲取系統(tǒng)參數(shù)的方法可以為下述方法中的任一種
固化在OLT和ONU中、在每次通信前雙方協(xié)商生成、每次通信前一方臨時指定給另一方或者每次通信前雙方按照某種規(guī)律變化生成系統(tǒng)參數(shù)。
S2、OLT根據(jù)密鑰協(xié)商函數(shù)生成傳遞數(shù)X；本發(fā)明中的密鑰協(xié)商函數(shù)可以在通信前雙方協(xié)商確定，或者每次通信前一方臨時指定給另一方。
本實施例中OLT根據(jù)公式X＝axmod b生成傳遞數(shù)X。
S3、OLT通過下行信道廣播或者單播發(fā)送請求更新加密密鑰消息，所述的請求更新加密密鑰消息中包含所述的傳遞數(shù)X；S4、ONU接收到所述的請求更新加密密鑰消息后，也隨機生成一個大整數(shù)y，并獲取系統(tǒng)參數(shù)a、b；S5、ONU根據(jù)密鑰協(xié)商函數(shù)生成傳遞數(shù)Y；本實施例中ONU根據(jù)公式Y(jié)＝aymod b生成傳遞數(shù)Y。
S6、ONU將所述的傳遞數(shù)Y傳遞給OLT；S7、OLT根據(jù)密鑰協(xié)商函數(shù)生成加密密鑰，ONU根據(jù)密鑰協(xié)商函數(shù)生成加密密鑰；本實施例中OLT根據(jù)公式k＝Y(jié)xmod b計算出加密密鑰，ONU根據(jù)公式k＝Xymod b計算出加密密鑰，因為實際上k＝axymod b，所以兩者計算的加密密鑰相同，而且任何竊聽者因為不知道x和y，所以不可能計算出這個值，因此k可以作為A和B之間的加密密鑰。
S8、OLT發(fā)送請求啟用加密密鑰消息，ONU收到該消息后，返回確認(rèn)響應(yīng)信息，完成密鑰協(xié)商。
本發(fā)明中的發(fā)送請求更新加密密鑰消息也可以由ONU完成，本發(fā)明中的發(fā)送請求啟用加密密鑰消息也可由ONU完成，即本發(fā)明的密鑰協(xié)商過程的發(fā)起方不一定是OLT，也可能是ONU，也可能是雙方共同發(fā)起。
本發(fā)明中傳遞數(shù)可以在請求更新加密密鑰消息中包含，也可以單獨發(fā)送。
本發(fā)明的傳遞數(shù)可以分片、多次方式發(fā)送，以保證消息的可靠性，而且若OLT或ONU接收傳遞數(shù)時有任一分片每次都接收失敗，則重新發(fā)送請求更新加密密鑰消息；若已連續(xù)發(fā)送請求更新加密密鑰消息次數(shù)大于預(yù)定請求更新加密密鑰消息次數(shù)，則宣告密鑰協(xié)商失敗。
如圖4所示，本發(fā)明還提供一種PON系統(tǒng)中密鑰協(xié)商的系統(tǒng)，所述的系統(tǒng)包括光線路終端OLT和光網(wǎng)絡(luò)單元ONU，所述的OLT和ONU分別根據(jù)隨機數(shù)和系統(tǒng)參數(shù)生成加密密鑰，完成密鑰協(xié)商。
所述的OLT包括隨機數(shù)生成單元，用于隨機生成隨機數(shù)x；系統(tǒng)參數(shù)獲取單元，用于獲取系統(tǒng)參數(shù)a和b；傳遞數(shù)生成單元，用于根據(jù)密鑰協(xié)商函數(shù)生成傳遞數(shù)X；消息發(fā)送和接收單元，用于發(fā)送和接收所述的傳遞數(shù)X，以及若OLT為本發(fā)明的密鑰協(xié)商過程的發(fā)起方，則所述的消息發(fā)送和接收單元還用于發(fā)送請求更新加密密鑰消息和發(fā)送請求啟用加密密鑰消息，接收確認(rèn)響應(yīng)消息，若ONU為本發(fā)明的密鑰協(xié)商過程的發(fā)起方，則所述的消息發(fā)送和接收單元還用于發(fā)送確認(rèn)響應(yīng)消息，接收請求更新加密密鑰消息和接收請求啟用加密密鑰消息；加密密鑰生成單元，用于根據(jù)密鑰協(xié)商函數(shù)生成加密密鑰。
所述的ONU包括隨機數(shù)生成單元，用于隨機生成隨機數(shù)y；
系統(tǒng)參數(shù)獲取單元，用于獲取系統(tǒng)參數(shù)a和b；傳遞數(shù)生成單元，用于根據(jù)密鑰協(xié)商函數(shù)生成傳遞數(shù)Y；消息發(fā)送和接收單元，用于發(fā)送和接收所述的傳遞數(shù)Y，以及若ONU為本發(fā)明的密鑰協(xié)商過程的發(fā)起方，則所述的消息發(fā)送和接收單元還用于發(fā)送請求更新加密密鑰消息和發(fā)送請求啟用加密密鑰消息，接收確認(rèn)響應(yīng)消息，若OLT為本發(fā)明的密鑰協(xié)商過程的發(fā)起方，則所述的消息發(fā)送和接收單元還用于發(fā)送確認(rèn)響應(yīng)消息，接收請求更新加密密鑰消息和接收請求啟用加密密鑰消息；加密密鑰生成單元，用于根據(jù)密鑰協(xié)商函數(shù)生成加密密鑰。
以上所述，僅為本發(fā)明較佳的具體實施方式
，但本發(fā)明的保護范圍并不局限于此，任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到的變化或替換，都應(yīng)涵蓋在本發(fā)明的保護范圍之內(nèi)。因此，本發(fā)明的保護范圍應(yīng)該以權(quán)利要求的保護范圍為準(zhǔn)。
權(quán)利要求
1.一種PON系統(tǒng)中密鑰協(xié)商的方法，其特征在于，包括A、光線路終端OLT或光網(wǎng)絡(luò)單元ONU發(fā)送請求更新加密密鑰消息；B、OLT或ONU分別根據(jù)隨機數(shù)和系統(tǒng)參數(shù)生成加密密鑰；C、OLT或ONU發(fā)送請求啟用加密密鑰消息，完成密鑰協(xié)商。
2.如權(quán)利要求1所述的一種PON系統(tǒng)中密鑰協(xié)商的方法，其特征在于，所述的步驟B具體包括B11、OLT和ONU分別根據(jù)隨機數(shù)、系統(tǒng)參數(shù)生成傳遞數(shù)；B12、OLT和ONU分別將所述的傳遞數(shù)傳遞給對方；B13、OLT和ONU分別根據(jù)所述的傳遞數(shù)生成加密密鑰。
3.如權(quán)利要求1所述的一種PON系統(tǒng)中密鑰協(xié)商的方法，其特征在于，所述的隨機數(shù)為由OLT和ONU分別隨機生成的數(shù)。
4.如權(quán)利要求3所述的一種PON系統(tǒng)中密鑰協(xié)商的方法，其特征在于，所述的系統(tǒng)參數(shù)為OLT和ONU都能獲取的兩個數(shù)。
5.如權(quán)利要求4所述的一種PON系統(tǒng)中密鑰協(xié)商的方法，其特征在于，所述的步驟B具體包括B21、OLT根據(jù)公式X＝axmod b，計算出傳遞數(shù)X，ONU根據(jù)公式Y(jié)＝aymod b，計算出傳遞數(shù)Y，其中，x、y為所述的隨機數(shù)，a、b為所述的系統(tǒng)參數(shù)；B22、OLT和ONU分別將所述的傳遞數(shù)X和Y傳遞給對方；B23、OLT根據(jù)公式k＝Y(jié)xmod b生成加密密鑰k，ONU根據(jù)公式k＝Xymod b生成加密密鑰k。
6.如權(quán)利要求1至5中任一所述的一種PON系統(tǒng)中密鑰協(xié)商的方法，其特征在于，所述的傳遞數(shù)在請求更新加密密鑰消息中包含或單獨發(fā)送。
7.如權(quán)利要求1至5中任一所述的一種PON系統(tǒng)中密鑰協(xié)商的方法，其特征在于，所述的獲取系統(tǒng)參數(shù)的方法為下述方法中任一種系統(tǒng)參數(shù)固化在OLT和ONU中、每次通信前雙方協(xié)商生成、每次通信前一方臨時指定給另一方、每次通信前雙方按照某種規(guī)律變化生成。
8.一種PON系統(tǒng)中密鑰協(xié)商的系統(tǒng)，所述的系統(tǒng)包括光線路終端OLT和光網(wǎng)絡(luò)單元ONU，其特征在于，所述的OLT和ONU分別根據(jù)隨機數(shù)和系統(tǒng)參數(shù)生成加密密鑰，完成密鑰協(xié)商。
9.如權(quán)利要求8所述的一種PON系統(tǒng)中密鑰協(xié)商的系統(tǒng)，其特征在于，所述的OLT和ONU分別包括隨機數(shù)生成單元，用于隨機生成隨機數(shù)；系統(tǒng)參數(shù)獲取單元，用于獲取系統(tǒng)參數(shù)；傳遞數(shù)生成單元，用于根據(jù)所述的隨機數(shù)和系統(tǒng)參數(shù)生成傳遞數(shù)；加密密鑰生成單元，用于根據(jù)所述的傳遞數(shù)生成加密密鑰。
10.如權(quán)利要求8所述的一種PON系統(tǒng)中密鑰協(xié)商的系統(tǒng)，其特征在于，所述的OLT和ONU還包括消息發(fā)送和接收單元，用于發(fā)送和接收所述的傳遞數(shù)，以及用于發(fā)送和接收請求更新加密密鑰消息、請求啟用加密密鑰消息、確認(rèn)響應(yīng)消息。
全文摘要
本發(fā)明公開了一種PON系統(tǒng)中密鑰協(xié)商的方法和系統(tǒng)，所述的方法包括光線路終端OLT或光網(wǎng)絡(luò)單元ONU發(fā)送請求更新加密密鑰消息；OLT或ONU分別根據(jù)隨機數(shù)和系統(tǒng)參數(shù)生成加密密鑰；OLT或ONU發(fā)送請求啟用加密密鑰消息，完成密鑰協(xié)商。所述的系統(tǒng)包括光線路終端OLT和光網(wǎng)絡(luò)單元ONU，所述的OLT和ONU分別根據(jù)隨機數(shù)和系統(tǒng)參數(shù)生成加密密鑰，完成密鑰協(xié)商。利用本發(fā)明所述的系統(tǒng)和方法，能夠極大的增加無源光網(wǎng)絡(luò)系統(tǒng)密鑰交換過程的安全性。
文檔編號H04L9/14GK101072094SQ200610060689
公開日2007年11月14日 申請日期2006年5月14日 優(yōu)先權(quán)日2006年5月14日
發(fā)明者劉利鋒, 鄭志彬, 王飛 申請人:華為技術(shù)有限公司