專利名稱:一種吉比特?zé)o源光網(wǎng)絡(luò)中的密鑰更新方法及光線路終端的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于吉比特?zé)o源光網(wǎng)絡(luò)(GPON)技術(shù)領(lǐng)域,特別涉及一種GPON中的密鑰更 新方法及光線路終端(OLT)
背景技術(shù):
光接入網(wǎng)可解決固網(wǎng)瓶頸即接入網(wǎng)問題�,目前正以誘人性價比成為接入網(wǎng)新寵, 而無源光網(wǎng)絡(luò)(PON)又以其拓?fù)浣Y(jié)構(gòu)的簡單和維護(hù)成本的低廉成為其中的尖銳�����。作為PON 主要技術(shù)之一的GP0N�����,以豐富操作維護(hù)管理(OAM)功能吸引運營商的同時,也以技術(shù)實現(xiàn) 上的繁雜減緩著商用進(jìn)度�。在一個GPON系統(tǒng)中,一個局端的光線路終端(OLT)總控多個用戶端的光網(wǎng)絡(luò)單元 (ONU)���,OLT以特定速率將固定長度的傳輸匯聚(GTC)幀下行廣播給ONU���。GTC幀中包含給 所有ONU的數(shù)據(jù),因此一個ONU可以接收到OLT給其他所有ONU的數(shù)據(jù)��,而直接傳輸這些下 行數(shù)據(jù)將毫無安全可言����,因此需要引入加密機(jī)制,例如�����,現(xiàn)在廣泛使用的下行高級加密系統(tǒng) (AES)加密機(jī)制���。不同ONU有不同的AES密鑰,每個ONU的密鑰只有它自己和OLT知道,OLT 以特定的密鑰加密特定ONU的數(shù)據(jù)���,這樣就只有這個特定ONU可解密出正確數(shù)據(jù)��。但密鑰 如果一成不變�����,惡意ONU也可輕而易舉破解出來并一勞永逸地使用��,為此更需要將些密鑰 進(jìn)行周期更新,以防止密鑰的惡意破解從而根本保證下行的安全性。AES的密鑰更新過程由OLT周期發(fā)起�,ONU收到OLT相應(yīng)命令后產(chǎn)生新密鑰,自己 保留一份的同時拷貝一份上行給OLT,OLT收到新密鑰后配置新密鑰切換時間�����,自己也保留 一份并拷貝一份下行給0NU��,密鑰切換時間在這里是指下行GTC幀號���,OLT和ONU在這個指 定幀號同時切換才能保證數(shù)據(jù)的正確性���。新密鑰切換應(yīng)該在老密鑰加密數(shù)據(jù)發(fā)送之后和新 密鑰加密數(shù)據(jù)發(fā)送之前完成�����,而且每個切換必須并且只能執(zhí)行一次,同時還要盡量快速地 完成以保證所有ONU新密鑰可以得到切換����,并且要避免影響下行數(shù)據(jù)處理速率����。目前的AES密鑰更新機(jī)制中,完成一個ONU的密鑰切換后才開始下一個ONU的密 鑰切換,單個ONU的密鑰切換對資源進(jìn)行獨占使得總體密鑰切換時間過長�����,一方面導(dǎo)致每 次密鑰切換有個數(shù)限制給系統(tǒng)設(shè)計帶來缺陷�����,另一方面導(dǎo)致實際下行速率的降低�����,由此可 能導(dǎo)致某些設(shè)計的OLT下行斷流甚至系統(tǒng)重啟��。因此,如何實現(xiàn)在GPON下行數(shù)據(jù)處理中進(jìn)行可靠和及時的密鑰更新就成為亟待 解決的技術(shù)問題�����。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種吉比特?zé)o源光網(wǎng)絡(luò)中的密鑰更新方法及 光線路終端�����,以實現(xiàn)對ONU可靠且及時的密鑰更新���。一種吉比特?zé)o源光網(wǎng)絡(luò)中的密鑰更新方法,包括�����,在光線路終端中設(shè)置如下三個 對應(yīng)關(guān)系表第一對應(yīng)關(guān)系表�,存儲ONU標(biāo)識及對應(yīng)的新密鑰標(biāo)識、密鑰切換幀號����;
第二對應(yīng)關(guān)系表,存儲ONU標(biāo)識及對應(yīng)的新密鑰����;第三對應(yīng)關(guān)系表,存儲ONU標(biāo)識及對應(yīng)的當(dāng)前密鑰;OLT對當(dāng)前下GTC幀的加密處理結(jié)束后�����,并行執(zhí)行如下步驟A�����、以O(shè)NU標(biāo)識為索引輪詢第一對應(yīng)關(guān)系表�����,獲取對應(yīng)的新密鑰標(biāo)識���、密鑰切換幀 號��;B��、對于每個ONU標(biāo)識�,判斷對應(yīng)的新密鑰標(biāo)識的值是否為真�,并判斷對應(yīng)的密鑰 切換幀號是否為當(dāng)前GTC幀號加1,若判斷結(jié)果均為是����,則確定需要對相應(yīng)的ONU進(jìn)行密鑰 切換�����;C�����、對于需要進(jìn)行密鑰切換的0NU,以O(shè)NU標(biāo)識為索引查詢第二對應(yīng)關(guān)系表�����,獲取對 應(yīng)的新密鑰����,并將第一對應(yīng)關(guān)系表中相應(yīng)的新密鑰標(biāo)識的值更新為假;D�、以獲取到的新密鑰更新第三對應(yīng)關(guān)系表中相應(yīng)的當(dāng)前密鑰。上述的方法�,步驟A中還包括在查詢完最后一個條目后,啟動一定時器���,定時器溢出后�����,指示OLT中的下行數(shù)據(jù) 處理模塊進(jìn)行下一 GTC幀的加密處理�����。上述的方法���,其中����,所述定時器的定時時間不小于針對查詢到的最后一個條目對 應(yīng)的ONU執(zhí)行完步驟B到步驟D所需要的時間���。上述的方法�����,其中���,所述密鑰為高級加密系統(tǒng)AES密鑰。一種光線路終端��,包括下行數(shù)據(jù)處理模塊��、第一查詢模塊�����、判斷模塊、第二查詢模 塊����、密鑰更新模塊以及如下三個對應(yīng)關(guān)系表第一對應(yīng)關(guān)系表,存儲ONU標(biāo)識及對應(yīng)的新密鑰標(biāo)識�、密鑰切換幀號;第二對應(yīng)關(guān)系表�����,存儲ONU標(biāo)識及對應(yīng)的新密鑰����;第三對應(yīng)關(guān)系表��,存儲ONU標(biāo)識及對應(yīng)的當(dāng)前密鑰����;所述下行數(shù)據(jù)處理模塊,用于對當(dāng)前下行GTC幀的加密處理結(jié)束后�����,將當(dāng)前GTC幀 號發(fā)送給所述判斷模塊,并觸發(fā)所述第一查詢模塊��;所述第一查詢模塊���,用于以O(shè)NU標(biāo)識為索引輪詢第一對應(yīng)關(guān)系表�,獲取對應(yīng)的新 密鑰標(biāo)識��、密鑰切換幀號���;所述判斷模塊����,用于對于每個ONU標(biāo)識����,判斷對應(yīng)的新密鑰標(biāo)識的值是否為真,并 判斷對應(yīng)的密鑰切換幀號是否為當(dāng)前GTC幀號加1�,若判斷結(jié)果均為是,則確定需要對相應(yīng) 的ONU進(jìn)行密鑰切換�����;所述第二查詢模塊�����,用于對于需要進(jìn)行密鑰切換的0NU,以O(shè)NU標(biāo)識為索引查詢第二 對應(yīng)關(guān)系表�,獲取對應(yīng)的新密鑰,并將第一對應(yīng)關(guān)系表中相應(yīng)的新密鑰標(biāo)識的值更新為假��;所述密鑰更新模塊���,用于以獲取到的新密鑰更新第三對應(yīng)關(guān)系表中相應(yīng)的當(dāng)前密 鑰����。本發(fā)明實施例以流水操作進(jìn)行密鑰切換過程�,能夠顯著提高密鑰切換速度,從而 保證了 ONU密鑰更新的及時性��,使得在一輪密鑰切換中能夠更新所有ONU的密鑰�����,進(jìn)而提高 了下行數(shù)據(jù)流的穩(wěn)定性��。
圖1為本發(fā)明實施例的光線路終端的結(jié)構(gòu)示意圖2為本發(fā)明實施例的密鑰更新方法中的四級流水處理流程圖���。
具體實施例方式為使本發(fā)明的目的���、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合附圖及具體實施例對 本發(fā)明進(jìn)行詳細(xì)描述����。參照圖1,本發(fā)明實施例的光線路終端(OLT)�����,主要包括下行數(shù)據(jù)處理模塊��、第一 查詢模塊��、判斷模塊�、第二查詢模塊、密鑰更新模塊以及第一對應(yīng)關(guān)系表(SWITCH表)�����、第二 對應(yīng)關(guān)系表(SHADOW表)和第三對應(yīng)關(guān)系表(ACTIVE表)�。其中SWITCH表,存儲ONU標(biāo)識(ONU ID)及對應(yīng)的新密鑰標(biāo)識����、密鑰切換幀號����; SHADOW表�,存儲ONU標(biāo)識及對應(yīng)的新密鑰;ACTIVE表���,存儲ONU標(biāo)識及對應(yīng)的當(dāng)前密鑰����。密鑰更新過程由OLT周期發(fā)起����,ONU收到OLT相應(yīng)命令后產(chǎn)生新密鑰,自己保留一 份的同時拷貝一份上行給OLT�,OLT收到新密鑰后將ONU標(biāo)識及對應(yīng)的新密鑰存儲到SHADOW 表中,并產(chǎn)生密鑰切換幀號(新密鑰切換時間)����,將ONU標(biāo)識及對應(yīng)的新密鑰標(biāo)識(此時的 值為真)���、密鑰切換幀號存儲到SWITCH表中���,并將所述密鑰切換幀號拷貝一份下行給0NU����。 所述新密鑰標(biāo)識為一邏輯型變量��,值為真時表示對應(yīng)的新密鑰還未進(jìn)行切換����,值為假時,表 示對應(yīng)的新密鑰已經(jīng)進(jìn)行切換���。下行數(shù)據(jù)處理模塊對GTC幀進(jìn)行加密處理���,所使用的密鑰為ACTIVE表中存儲的當(dāng) 前密鑰,即�����,從ACTIVE表中根據(jù)ONU標(biāo)識查找當(dāng)前密鑰�,根據(jù)查找到的當(dāng)前密鑰對相應(yīng)的 ONU的GTC幀進(jìn)行加密。在加密處理結(jié)束后����,將當(dāng)前GTC幀號發(fā)送給所述判斷模塊,并觸發(fā) 所述第一查詢模塊,即���,觸發(fā)密鑰切換過程�����。密鑰切換過程是在每兩幀的間隙進(jìn)行�,采用四 級流水進(jìn)行���。第一查詢模塊����,執(zhí)行一級流水操作以O(shè)NU標(biāo)識為索引輪詢SWITCH表�,獲取對應(yīng)的 新密鑰標(biāo)識、密鑰切換幀號����。判斷模塊,執(zhí)行二級流水操作對于每個ONU標(biāo)識���,判斷對應(yīng)的新密鑰標(biāo)識的值是 否為真����,并判斷對應(yīng)的密鑰切換幀號是否為當(dāng)前GTC幀號加1���,若判斷結(jié)果均為是�����,則確定 需要對相應(yīng)的ONU進(jìn)行密鑰切換��。判斷模塊在第一查詢模塊有一個查詢結(jié)果就開始執(zhí)行����, 不必等待輪詢完成��。第二查詢模塊�����,執(zhí)行三級流水操作對于需要進(jìn)行密鑰切換的0NU�,以O(shè)NU標(biāo)識為 索引查詢SHADOW表,獲取對應(yīng)的新密鑰�����,并將SWITCH表中相應(yīng)的新密鑰標(biāo)識的值更新為 假��。第二查詢模塊在判斷模塊確定有需要進(jìn)行密鑰切換的ONU就執(zhí)行,不需要等待判斷模 塊對所有ONU的判斷都完成����。密鑰更新模塊,執(zhí)行四級流水操作以獲取到的新密鑰更新ACTIVE表中相應(yīng)ONU 的當(dāng)前密鑰對�����。密鑰更新模塊在第二查詢模塊有查詢結(jié)果時就執(zhí)行�,不需要等待第二查詢 模塊完成所有查詢。其中���,所述第一查詢模塊在查詢完最后一個條目后���,還啟動一定時器,定時器溢出 后�����,指示所述下行數(shù)據(jù)處理模塊進(jìn)行下一 GTC幀的加密處理�����。所述定時器的定時時間不小于所述判斷模塊�����、所述第二查詢模塊和所述密鑰更 新模塊分別針對查詢到的最后一個條目對應(yīng)的ONU執(zhí)行相應(yīng)操作所需要的時間之和。也就 是說���,要保證對所有ONU標(biāo)識的操作都完成后,再進(jìn)行下一 GTC幀的加密處理��。
可見�,本發(fā)明實施例的上述模塊執(zhí)行的是流水處理(并行處理),不必等所有模塊 都完成對一個ONU的處理后再執(zhí)行對下一個ONU的處理��,這樣�����,能夠顯著提高密鑰切換速度����。另外,本實施例中�,對所述密鑰的類型不作限定,即可以是AES密鑰�,也可以是 GPON中使用的其他類型的密鑰。參照圖2����,為本發(fā)明實施例的密鑰更新方法中的四級流水處理過程如下下行GTC幀結(jié)束啟動一輪密鑰切換��,每輪都以四級流水快速實現(xiàn)所有ONU的密鑰 切換����,GTC幀結(jié)束觸發(fā)新一輪一級流水開始���;一級流水中�,以O(shè)NU ID為索引輪詢SWITCH表�,獲取對應(yīng)的新密鑰標(biāo)識、密鑰切換 幀號����,ONU ID要遍歷所有取值;二級流水中�����,首先對一級流水得到的ONU ID的新密鑰標(biāo)識進(jìn)行判斷�,如果新密鑰 標(biāo)識的值為真,再判斷對應(yīng)的密鑰切換幀號是否為當(dāng)前GTC幀號加1����,若判斷結(jié)果為是����,則 確定需要對相應(yīng)的ONU進(jìn)行密鑰切換���,否則不作處理��;三級流水中,對于需要進(jìn)行密鑰切換的0NU��,以O(shè)NU標(biāo)識為索引查詢SHADOW表��,獲 取對應(yīng)的新密鑰�����,并將SWITCH表中相應(yīng)的新密鑰標(biāo)識的值更新為假���;四級流水中�,以O(shè)NU ID為索弓丨��,以獲取到的新密鑰更新ACTIVE表中相應(yīng)的當(dāng)前密鑰�����。另外,在二級流水中還有一個并行操作判斷是否從SWITCH表中讀完了最后一個 ONU ID條目�����,若是����,則啟動一定時器,定時器溢出后����,指示下行數(shù)據(jù)處理模塊可以進(jìn)行下一 GTC幀的加密處理,對所有ONU都使用最近切換成功后的新密鑰�。其中,所述定時器的定時 時間不小于針對查詢到的最后一個條目對應(yīng)的ONU執(zhí)行完二級流水到四級流水所需要的 時間�����;也就是說��,要保證對所有ONU標(biāo)識的操作都完成后�����,再進(jìn)行下一 GTC幀的加密處理。最后應(yīng)當(dāng)說明的是��,以上實施例僅用以說明本發(fā)明的技術(shù)方案而非限制��,本領(lǐng)域 的普通技術(shù)人員應(yīng)當(dāng)理解���,可以對本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換��,而不脫離本 發(fā)明技術(shù)方案的精神范圍��,其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中��。
權(quán)利要求
一種吉比特?zé)o源光網(wǎng)絡(luò)GPON中的密鑰更新方法,其特征在于���,在光線路終端OLT中設(shè)置如下三個對應(yīng)關(guān)系表第一對應(yīng)關(guān)系表����,存儲光網(wǎng)絡(luò)單元ONU標(biāo)識及對應(yīng)的新密鑰標(biāo)識����、密鑰切換幀號;第二對應(yīng)關(guān)系表����,存儲ONU標(biāo)識及對應(yīng)的新密鑰����;第三對應(yīng)關(guān)系表��,存儲ONU標(biāo)識及對應(yīng)的當(dāng)前密鑰���;OLT對當(dāng)前下行傳輸匯聚GTC幀的加密處理結(jié)束后�,并行執(zhí)行如下步驟A���、以O(shè)NU標(biāo)識為索引輪詢第一對應(yīng)關(guān)系表��,獲取對應(yīng)的新密鑰標(biāo)識���、密鑰切換幀號;B���、對于每個ONU標(biāo)識��,判斷對應(yīng)的新密鑰標(biāo)識的值是否為真���,并判斷對應(yīng)的密鑰切換幀號是否為當(dāng)前GTC幀號加1����,若判斷結(jié)果均為是���,則確定需要對相應(yīng)的ONU進(jìn)行密鑰切換��;C���、對于需要進(jìn)行密鑰切換的ONU,以O(shè)NU標(biāo)識為索引查詢第二對應(yīng)關(guān)系表��,獲取對應(yīng)的新密鑰����,并將第一對應(yīng)關(guān)系表中相應(yīng)的新密鑰標(biāo)識的值更新為假;D��、以獲取到的新密鑰更新第三對應(yīng)關(guān)系表中相應(yīng)的當(dāng)前密鑰�����。
2.如權(quán)利要求1所述的方法�,其特征在于��,步驟A中還包括在查詢完最后一個條目后,啟動一定時器����,定時器溢出后,指示OLT中的下行數(shù)據(jù)處理 模塊進(jìn)行下一 GTC幀的加密處理���。
3.如權(quán)利要求2所述的方法��,其特征在于所述定時器的定時時間不小于針對查詢到的最后一個條目對應(yīng)的ONU執(zhí)行完步驟B 到步驟D所需要的時間����。
4.如權(quán)利要求1所述的方法�,其特征在于 所述密鑰為高級加密系統(tǒng)AES密鑰。
5.一種光線路終端0LT�����,其特征在于�,包括下行數(shù)據(jù)處理模塊、第一查詢模塊�、判斷模 塊、第二查詢模塊���、密鑰更新模塊以及如下三個對應(yīng)關(guān)系表第一對應(yīng)關(guān)系表�����,存儲光網(wǎng)絡(luò)單元ONU標(biāo)識及對應(yīng)的新密鑰標(biāo)識���、密鑰切換幀號�����; 第二對應(yīng)關(guān)系表�����,存儲ONU標(biāo)識及對應(yīng)的新密鑰�; 第三對應(yīng)關(guān)系表,存儲ONU標(biāo)識及對應(yīng)的當(dāng)前密鑰;所述下行數(shù)據(jù)處理模塊��,用于對當(dāng)前下行傳輸匯聚GTC幀的加密處理結(jié)束后,將當(dāng)前 GTC幀號發(fā)送給所述判斷模塊�,并觸發(fā)所述第一查詢模塊;所述第一查詢模塊��,用于以O(shè)NU標(biāo)識為索引輪詢第一對應(yīng)關(guān)系表��,獲取對應(yīng)的新密鑰 標(biāo)識�、密鑰切換幀號;所述判斷模塊�,用于對于每個ONU標(biāo)識,判斷對應(yīng)的新密鑰標(biāo)識的值是否為真�,并判斷 對應(yīng)的密鑰切換幀號是否為當(dāng)前GTC幀號加1,若判斷結(jié)果均為是�,則確定需要對相應(yīng)的 ONU進(jìn)行密鑰切換;所述第二查詢模塊��,用于對于需要進(jìn)行密鑰切換的0NU����,以O(shè)NU標(biāo)識為索引查詢第二對 應(yīng)關(guān)系表,獲取對應(yīng)的新密鑰���,并將第一對應(yīng)關(guān)系表中相應(yīng)的新密鑰標(biāo)識的值更新為假�; 所述密鑰更新模塊�,用于以獲取到的新密鑰更新第三對應(yīng)關(guān)系表中相應(yīng)的當(dāng)前密鑰。
6.如權(quán)利要求5所述的光線路終端�,其特征在于所述第一查詢模塊還用于,在查詢完最后一個條目后�,啟動一定時器,定時器溢出后��, 指示所述下行數(shù)據(jù)處理模塊進(jìn)行下一 GTC幀的加密處理���。
7.如權(quán)利要求6所述的光線路終端�����,其特征在于所述定時器的定時時間不小于所述判斷模塊���、所述第二查詢模塊和所述密鑰更新模 塊分別針對查詢到的最后一個條目對應(yīng)的ONU執(zhí)行相應(yīng)操作所需要的時間之和��。
8.如權(quán)利要求5所述的光線路終端�����,其特征在于 所述密鑰為高級加密系統(tǒng)AES密鑰���。
全文摘要
本發(fā)明提供一種吉比特?zé)o源光網(wǎng)絡(luò)中的密鑰更新方法及光線路終端。所述方法包括���,OLT對當(dāng)前下GTC幀的加密處理結(jié)束后���,并行執(zhí)行如下步驟A、以O(shè)NU標(biāo)識為索引輪詢第一對應(yīng)關(guān)系表�,獲取對應(yīng)的新密鑰標(biāo)識、密鑰切換幀號;B�、對于每個ONU標(biāo)識��,判斷對應(yīng)的新密鑰標(biāo)識的值是否為真��,并判斷對應(yīng)的密鑰切換幀號是否為當(dāng)前GTC幀號加1����,若判斷結(jié)果均為是,則確定需要對相應(yīng)的ONU進(jìn)行密鑰切換����;C、對于需要進(jìn)行密鑰切換的ONU����,以O(shè)NU標(biāo)識為索引查詢第二對應(yīng)關(guān)系表,獲取對應(yīng)的新密鑰����,并將第一對應(yīng)關(guān)系表中相應(yīng)的新密鑰標(biāo)識的值更新為假;D�、以獲取到的新密鑰更新第三對應(yīng)關(guān)系表中相應(yīng)的當(dāng)前密鑰。本發(fā)明實現(xiàn)了對ONU可靠且及時的密鑰更新�����。
文檔編號H04Q11/00GK101931830SQ200910086698
公開日2010年12月29日 申請日期2009年6月18日 優(yōu)先權(quán)日2009年6月18日
發(fā)明者袁偉 申請人:中興通訊股份有限公司