用于增強(qiáng)無(wú)源光網(wǎng)絡(luò)中的傳輸安全性的方法
【專利摘要】本發(fā)明涉及一種增強(qiáng)無(wú)源光網(wǎng)絡(luò)(PON)中的傳輸安全性的方法。特別地�����,本發(fā)明提出了一種在PON中的光線路終端(OLT)中用于增強(qiáng)所述PON中的傳輸安全性的方法����,其包括以下步驟:從所述OLT所連接的光網(wǎng)絡(luò)單元(ONU)接收第二消息����,其包含由所述ONU所生成的公私鑰對(duì)中的公鑰;生成待用于所述OLT與所述ONU間的數(shù)據(jù)傳輸?shù)臄?shù)據(jù)密鑰�����;通過用所述公鑰加密所述數(shù)據(jù)密鑰而獲得經(jīng)加密的所述數(shù)據(jù)密鑰;向所述ONU發(fā)送第三消息���,其包含所述經(jīng)加密的所述數(shù)據(jù)密鑰����。采用本發(fā)明的方案�,避免了以明文形式傳輸數(shù)據(jù)密鑰,由此顯著降低了數(shù)據(jù)密鑰被截獲的可能性����,從而增強(qiáng)了傳輸安全性。此外�����,由OLT而非由ONU生成數(shù)據(jù)密鑰��,這能夠防止惡意用戶冒充ONU發(fā)送數(shù)據(jù)密鑰���。
【專利說明】用于增強(qiáng)無(wú)源光網(wǎng)絡(luò)中的傳輸安全性的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及無(wú)源光網(wǎng)絡(luò)���,尤其涉及用于增強(qiáng)無(wú)源光網(wǎng)絡(luò)中的傳輸安全性的方法?����!颈尘凹夹g(shù)】
[0002]無(wú)源光網(wǎng)絡(luò)(PassiveOptical Network,PON)是用于提供光纖接入(Fiber-to-x,FTTx)的常用技術(shù)之一。眾多運(yùn)營(yíng)商將PON視為極具吸引力的�����、可用于提供高速寬帶接入的解決方案���。一般來說�,一個(gè)PON包括一個(gè)光線路終端(Optical Line Terminal, 0LT)以及經(jīng)由光分配網(wǎng)絡(luò)(Optical Distribution Network, 0DN)連接至該OLT的若干光網(wǎng)絡(luò)單元(Optical Network Unit, 0NU)����。在現(xiàn)有PON系統(tǒng)中,通常認(rèn)為下行幀對(duì)于所有光網(wǎng)絡(luò)單元都是可見的�,而上行幀僅對(duì)于光線路終端是可見的�����。因而��,在現(xiàn)有的PON系統(tǒng)中����,僅對(duì)下行數(shù)據(jù)幀進(jìn)行加密���,而上行幀均是以明文傳輸?shù)摹?br>
[0003]然而,在實(shí)際應(yīng)用中�,上行幀并不一定僅對(duì)于光線路終端是可見的。例如��,惡意用戶能夠在光分配網(wǎng)絡(luò)中對(duì)上行光線干線(fier trunk upstream)進(jìn)行竊聽,從而有可能非法獲得上行信息���。另外���,惡意用戶也有可能利用光纖網(wǎng)絡(luò)中的光反射而非法獲得上行信息。
[0004]圖1示出了現(xiàn)有PON系統(tǒng)中的密鑰交換和加密的方法的流程圖���。參照?qǐng)D1��,在步驟SlOl中��,OLT 10向ONU 20發(fā)送新密鑰請(qǐng)求���;接著,在步驟S103中�����,ONU 20將新的加密密鑰KeyO發(fā)送給OLT 10。一旦接收到新的加密密鑰KeyO��,OLT 10便使用該加密密鑰KeyO對(duì)下行數(shù)據(jù)進(jìn)行加密并且向ONU 20發(fā)送經(jīng)加密的下行數(shù)據(jù)���。相應(yīng)地�,ONU 20使用該加密密鑰KeyO對(duì)接收到的下行數(shù)據(jù)進(jìn)行解密�����。此外��,OLT 10每隔一段預(yù)定的時(shí)間Tkey將發(fā)送新密鑰請(qǐng)求����。繼續(xù)參照?qǐng)D1,在步驟S105中��,OLT 10再次向ONU 20發(fā)送新密鑰請(qǐng)求����;接著�����,在步驟S107中,ONU 20將新的加密密鑰Keyl發(fā)送給OLT 10 ;一旦接收到新的加密密鑰Keyl��,OLT10便使用該加密密鑰Keyl代替之前使用的加密密鑰KeyO對(duì)下行數(shù)據(jù)進(jìn)行加密��。相應(yīng)地���,ONU 20使用該加密密鑰Keyl對(duì)接收到的下行數(shù)據(jù)進(jìn)行解密����。
[0005]在現(xiàn)有PON系統(tǒng)中����,由于上行幀均是以明文傳輸?shù)模虼藧阂庥脩粲锌赡塬@得任一 ONU的上行數(shù)據(jù)�����。因而�����,現(xiàn)有PON系統(tǒng)中的上行傳輸是不安全的��。此外,由于用于加密下行數(shù)據(jù)的密鑰是通過上行幀發(fā)送給OLT的���,因此惡意用戶有可能獲得該密鑰�。而一旦獲得了該密鑰�,惡意用戶便能夠使用該密鑰來解密下行數(shù)據(jù)。因而����,現(xiàn)有PON系統(tǒng)中的下行傳輸也是不安全的。
[0006]因此��,需要提供一種能夠增強(qiáng)PON系統(tǒng)中傳輸安全性的方案��。
【發(fā)明內(nèi)容】
[0007]針對(duì)上述技術(shù)問題���,本發(fā)明的一個(gè)目的在于提供一種用于增強(qiáng)PON系統(tǒng)中傳輸安全性的方法����。
[0008]根據(jù)本發(fā)明的一個(gè)方面��,提供了一種在無(wú)源光網(wǎng)絡(luò)中的光線路終端中用于增強(qiáng)所述無(wú)源光網(wǎng)絡(luò)中的傳輸安全性的方法�����,其包括以下步驟:B.從所述光線路終端所連接的光網(wǎng)路單元接收第二消息��,其包含由所述光網(wǎng)路單元所生成的公私鑰對(duì)中的公鑰�;C.生成待用于所述光線路終端與所述光網(wǎng)路單元間的數(shù)據(jù)傳輸?shù)臄?shù)據(jù)密鑰;D.通過用所述公鑰加密所述數(shù)據(jù)密鑰而獲得經(jīng)加密的所述數(shù)據(jù)密鑰���;E.向所述光網(wǎng)路單元發(fā)送第三消息���,其包含所述經(jīng)加密的所述數(shù)據(jù)密鑰。
[0009]采用本發(fā)明的方案��,避免了以明文形式傳輸數(shù)據(jù)密鑰���,由此顯著降低了數(shù)據(jù)密鑰被惡意用戶所截獲的可能性��,從而增強(qiáng)了傳輸安全性����。
[0010]特別地���,光網(wǎng)絡(luò)單元生成公私密鑰對(duì)并且將公鑰發(fā)送給光線路終端�;接著��,光線路終端以公鑰加密生成的數(shù)據(jù)密鑰并且將經(jīng)加密的數(shù)據(jù)密鑰發(fā)送給光網(wǎng)絡(luò)單元;相應(yīng)地�����,光網(wǎng)絡(luò)單元在接收到經(jīng)加密的數(shù)據(jù)密鑰之后以私鑰解密經(jīng)加密的數(shù)據(jù)密鑰而獲得數(shù)據(jù)密鑰���。換言之����,在傳輸數(shù)據(jù)密鑰時(shí)�����,采用了非對(duì)稱的加密技術(shù)對(duì)數(shù)據(jù)密鑰進(jìn)行加密��。如此一來���,即便惡意用戶竊聽到了公鑰以及經(jīng)加密的數(shù)據(jù)密鑰�,惡意用戶也因沒有私鑰而無(wú)法獲得數(shù)據(jù)密鑰����。
[0011]此外,根據(jù)本發(fā)明�����,由光線路終端而非由光網(wǎng)絡(luò)單元生成數(shù)據(jù)密鑰,這能夠防止惡意用戶冒充該光網(wǎng)絡(luò)單元發(fā)送數(shù)據(jù)密鑰�。
[0012]假設(shè)以下由光網(wǎng)絡(luò)單元生成數(shù)據(jù)密鑰的情形:光線路終端生成公私密鑰對(duì)并且將公鑰發(fā)送給光網(wǎng)絡(luò)單元�����;接著�����,光網(wǎng)絡(luò)單元以公鑰加密生成的數(shù)據(jù)密鑰Kl并且將經(jīng)加密的數(shù)據(jù)密鑰發(fā)送給光線路終端��;相應(yīng)地�,光線路終端在接收到經(jīng)加密的數(shù)據(jù)密鑰之后以私鑰解密經(jīng)加密的數(shù)據(jù)密鑰而獲得數(shù)據(jù)密鑰。在該情形下����,惡意用戶有可能竊聽到公鑰,以公鑰加密其所生成的數(shù)據(jù)密鑰K2���,并且冒充該光網(wǎng)絡(luò)單元將經(jīng)加密的數(shù)據(jù)密鑰發(fā)送給光線路終端���。此時(shí)��,光線路終端將獲得來自該光線路終端的兩個(gè)數(shù)據(jù)密鑰Kl和K2并且無(wú)法難以鑒別出其中一個(gè)實(shí)際上來自惡意用戶�。
[0013]與之相反����,根據(jù)本發(fā)明,由光線路終端生成數(shù)據(jù)密鑰�����,而惡意用戶冒充光線路終端是幾乎不可能的�。
[0014]根據(jù)本發(fā)明的一個(gè)實(shí)施例,上述方法在所述步驟B之前包括以下步驟:A.向所述光網(wǎng)路單元發(fā)送包含第一信息的第一消息���,所述第一信息用于請(qǐng)求所述光網(wǎng)路單元發(fā)送所述公鑰���。
[0015]相應(yīng)地,響應(yīng)于所接收的第一消息����,光網(wǎng)絡(luò)單元將生成公私鑰對(duì),并且將公鑰發(fā)送給光線路終端���。附加地或者替代地�����,光網(wǎng)絡(luò)單元能夠自發(fā)地發(fā)送公鑰而無(wú)需光線路終端進(jìn)行請(qǐng)求��。例如��,光網(wǎng)絡(luò)單元能夠以一預(yù)定的時(shí)間段周期性地生成公私鑰對(duì)并將公鑰發(fā)送給光線路終端���。
[0016]根據(jù)本發(fā)明的另一個(gè)實(shí)施例,以一預(yù)定的周期執(zhí)行所述步驟A��。如此一來��,能夠周期性地更新數(shù)據(jù)密鑰��,從而進(jìn)一步增強(qiáng)傳輸安全性���。
[0017]根據(jù)本發(fā)明的另一個(gè)實(shí)施例���,上述方法在所述步驟E之后還包括以下步驟:G1.通過用所述數(shù)據(jù)密鑰加密待發(fā)送給所述光網(wǎng)路單元的下行數(shù)據(jù)而獲得經(jīng)加密的所述下行數(shù)據(jù);G2.向所述光網(wǎng)路單元發(fā)送第六消息����,其包含所述經(jīng)加密的所述下行數(shù)據(jù)��。
[0018]根據(jù)本發(fā)明的另一個(gè)實(shí)施例����,上述方法在所述步驟E和所述步驟Gl之間還包括以下步驟:F.從所述光網(wǎng)路單元接收包含第二信息的第四消息���,所述第二信息用于指示所述光網(wǎng)路單元已通過解密所述經(jīng)加密的所述數(shù)據(jù)密鑰而獲得所述數(shù)據(jù)密鑰�����;以及在步驟F之后���,執(zhí)行所述步驟Gl至所述步驟G2。
[0019]如此一來�,能夠確保光線路終端只有當(dāng)光網(wǎng)絡(luò)單元已經(jīng)獲得該數(shù)據(jù)密鑰時(shí)才使用該數(shù)據(jù)密鑰進(jìn)行下行傳輸,從而確保下行數(shù)據(jù)的正確傳輸�����。盡管光線路終端在將包含經(jīng)加密的數(shù)據(jù)密鑰的第三消息發(fā)送給光網(wǎng)絡(luò)單元(即步驟E)之后才發(fā)送包含以該數(shù)據(jù)密鑰加密的下行數(shù)據(jù)的第六消息(即步驟G2)����,然而有可能的是:光網(wǎng)絡(luò)單元先于第三消息而收到第六消息(例如在有可能先發(fā)后至的系統(tǒng)中);或者光網(wǎng)絡(luò)單元沒有收到包含經(jīng)加密的數(shù)據(jù)密鑰的第三消息,或者收到了第三消息卻尚未成功獲得該數(shù)據(jù)密鑰�����。由此���,光網(wǎng)絡(luò)單元可能會(huì)錯(cuò)誤地使用不同于該數(shù)據(jù)密鑰的先前的數(shù)據(jù)密鑰來解密第六消息中的經(jīng)該數(shù)據(jù)密鑰加密的下行數(shù)據(jù)�����。
[0020]作為上述步驟F的替代���,光線路終端能夠在完成步驟E之后����,等待一預(yù)定的時(shí)間段再執(zhí)行步驟Gl和G2。能夠如此選擇該預(yù)定的時(shí)間段���,以使得光網(wǎng)絡(luò)單元在接收到第六消息之前已經(jīng)收到第三消息并獲得包含其中的數(shù)據(jù)密鑰���。
[0021]根據(jù)本發(fā)明的另一個(gè)實(shí)施例,所述第六消息還包含第四信息��,其用于標(biāo)識(shí)所述數(shù)據(jù)密鑰。
[0022]相應(yīng)地�����,光網(wǎng)絡(luò)單元在接收到第六消息之后����,用所述第四信息所標(biāo)識(shí)的數(shù)據(jù)密鑰對(duì)第六消息中所包含的經(jīng)加密的下行數(shù)據(jù)進(jìn)行解密。如此一來�����,能夠進(jìn)一步確保光網(wǎng)絡(luò)單元總是使用正確的數(shù)據(jù)密鑰對(duì)下行數(shù)據(jù)進(jìn)行解密�����。
[0023]根據(jù)本發(fā)明的另一個(gè)實(shí)施例����,上述方法還包括以下步驟:H1.從所述光網(wǎng)路單元接收第五消息,其包含經(jīng)所述數(shù)據(jù)密鑰加密的所述光網(wǎng)路單元的上行數(shù)據(jù)�����;H2.通過用所述數(shù)據(jù)密鑰解密所接收的所述經(jīng)所述數(shù)據(jù)密鑰加密的所述上行數(shù)據(jù)而獲得所述上行數(shù)據(jù)�。
[0024]由此,上行數(shù)據(jù)也均得到了數(shù)據(jù)密鑰的保護(hù),從而實(shí)現(xiàn)了雙向加密����,增強(qiáng)了上行傳輸?shù)陌踩浴?br>
[0025]根據(jù)本發(fā)明的另一方面,提供了一種在無(wú)源光網(wǎng)絡(luò)中的光網(wǎng)路單元中用于增強(qiáng)所述無(wú)源光網(wǎng)絡(luò)的傳輸安全性的方法�,包括以下步驟:b.生成公私鑰對(duì),其包含公鑰和私鑰��;
c.向所述光網(wǎng)路單元所連接的光線路終端發(fā)送第二消息�,其包含所述公鑰;d.從所述光線路終端接收第三消息�,其包含經(jīng)所述公鑰加密的數(shù)據(jù)密鑰;e.通過用所述私鑰解密所述經(jīng)所述公鑰加密的所述數(shù)據(jù)密鑰而獲得所述數(shù)據(jù)密鑰�����。
【專利附圖】
【附圖說明】
[0026]通過參照附圖閱讀以下所作的對(duì)非限制性實(shí)施例的詳細(xì)描述���,本發(fā)明的其它特征、目的和優(yōu)點(diǎn)將會(huì)變得更明顯�����。
[0027]圖1示出了現(xiàn)有PON系統(tǒng)中的密鑰交換和加密的方法的流程圖�;
[0028]圖2示出了根據(jù)本發(fā)明的一個(gè)實(shí)施例的用于增強(qiáng)PON的傳輸安全性的方法的流程圖;
[0029]圖3示出了圖2中步驟S217的流程圖;以及
[0030]圖4示出了根據(jù)本發(fā)明的一個(gè)實(shí)施例的用于增強(qiáng)PON的傳輸安全性的方法的流程圖����;
[0031]其中,相同或相似的附圖標(biāo)記表示相同或相似的步驟特征或裝置/模塊����。
【具體實(shí)施方式】
[0032]圖2示出了根據(jù)本發(fā)明的一個(gè)實(shí)施例的用于增強(qiáng)PON的傳輸安全性的方法的流程圖。圖3示出了圖2中步驟S217的流程圖����。
[0033]如前所述,無(wú)源光網(wǎng)絡(luò)(PON)通常包括一個(gè)光線路終端(OLT)以及連接至該OLT的若干光網(wǎng)絡(luò)單元(ONU)�。在此,PON能夠是E-PON(Ethernet PON,以太網(wǎng)無(wú)源光網(wǎng)絡(luò))���、G-P0N(1G bit PON��,IG 無(wú)源光網(wǎng)絡(luò))��、XG-P0N(10G bit PON����,IOG 無(wú)源光網(wǎng)絡(luò))���、TffDM-PON(time and wavelength division multiplexed PON,時(shí)分波分復(fù)用無(wú)源光網(wǎng)絡(luò))或者其他的現(xiàn)有的或?qū)黹_發(fā)的無(wú)源光網(wǎng)絡(luò)��。此外�,雖然附圖中僅示出了一個(gè)ONU 10,但是本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解能夠存在多個(gè)ONU并且根據(jù)本發(fā)明的方案能夠適用于各個(gè)0NU�����。
[0034]參照?qǐng)D2����,在步驟S201中,在OLT 10與ONU 20之間完成ONU注冊(cè)過程�����。例如�����,在E-PON中�����,該注冊(cè)過程例如包括MPCP (multipoint control protocol,多點(diǎn)控制協(xié)議)注冊(cè)過程以及0AM(operation, administration, maintenance,操作管理維護(hù))消息發(fā)現(xiàn)過程�����。
[0035]接著�,在步驟S203中,OLT 10向ONU 20發(fā)送第一消息���,其包含用于請(qǐng)求ONU 20發(fā)送會(huì)話密鑰(即用于加密數(shù)據(jù)密鑰的公鑰)的第一信息����。
[0036]響應(yīng)于所接收的第一消息�,在步驟S205中,ONU 20生成一公私鑰對(duì)�����,其包含公鑰PubKeyO以及私鑰PriKeyO��。在此���,公私鑰對(duì)以及相應(yīng)的非對(duì)稱加密算法能夠采用任何一種合適的非對(duì)稱加密技術(shù)�����。在步驟207中����,ONU 20向OLT 10發(fā)送第二消息,其包含其所生成的公鑰PubKeyO�。
[0037]在步驟S209中,OLT 10生成數(shù)據(jù)密鑰TrKeyO以用于其與0NU20之間的數(shù)據(jù)傳輸�����,并且以所接收到的公鑰PubKeyO對(duì)生成的數(shù)據(jù)密鑰TrKeyO進(jìn)行加密����。在步驟S211中,OLT10向ONU 20發(fā)送第三消息�,其包含經(jīng)加密的數(shù)據(jù)密鑰TrKeyO。
[0038]在接收到第三消息之后��,在步驟S213中�,ONU 20用私鑰PriKeyO對(duì)第三消息中所包含的經(jīng)加密的數(shù)據(jù)密鑰TrKeyO進(jìn)行解密以獲得該數(shù)據(jù)密鑰TrKeyO。接著��,在步驟S215中����,ONU 20向OLT 10發(fā)送第四消息,其包含用于指示ONU 20已獲得數(shù)據(jù)密鑰TrKeyO的第
二信息�����。
[0039]隨后�����,在步驟S217中����,OLT 10和ONU 20使用數(shù)據(jù)密鑰TrKeyO進(jìn)行數(shù)據(jù)傳輸。也就是說�,OLT 10和ONU 20之間傳輸?shù)纳闲小⑾滦袛?shù)據(jù)均由數(shù)據(jù)密鑰TrKeyO進(jìn)行加密��。在此��,數(shù)據(jù)密鑰以及相應(yīng)的對(duì)稱加密算法能夠采用任何一種合適的對(duì)稱加密技術(shù)���。
[0040]根據(jù)本發(fā)明的一個(gè)實(shí)施例���,能夠通過擴(kuò)展PON的管理消息來實(shí)現(xiàn)第一、第二���、第
三�、第四消息。例如�,在E-PON中,能夠通過擴(kuò)展的OAM消息來實(shí)現(xiàn)第一��、第二����、第三、第四消息���;在G-PON或XG-PON中��,能夠通過擴(kuò)展的PLOAM(physicallayer 0AM,物理層0AM)消息來實(shí)現(xiàn)第一��、第二��、第三�����、第四消息���。
[0041]下面參照?qǐng)D3對(duì)圖2中的步驟S217進(jìn)行說明。
[0042]參照?qǐng)D3,在步驟S301中�,ONU 20以數(shù)據(jù)密鑰TrKeyO對(duì)待發(fā)送給OLT 10的上行數(shù)據(jù)進(jìn)行加密以獲得經(jīng)TrKeyO加密的上行數(shù)據(jù),以及在步驟S303中�,向OLT 10發(fā)送第五消息,其包含經(jīng)TrKeyO加密的上行數(shù)據(jù)��。
[0043]在接收到第五消息之后�����,在步驟S305中�,OLT 10以數(shù)據(jù)密鑰TrKeyO對(duì)第五消息中的經(jīng)加密的上行數(shù)據(jù)進(jìn)行解密以獲得來自O(shè)NU 20的上行數(shù)據(jù)����。
[0044]由此,通過步驟S301至S305�,上行數(shù)據(jù)以密文形式從ONU 20發(fā)送至OLT 10。
[0045]類似地��,通過步驟S307至S311�����,下行數(shù)據(jù)以密文形式從OLT 10發(fā)送至ONU 20��。
[0046]具體地,在步驟S307中�����,OLT 10以數(shù)據(jù)密鑰TrKeyO對(duì)待發(fā)送給ONU 20的下行數(shù)據(jù)進(jìn)行加密以獲得經(jīng)TrKeyO加密的下行數(shù)據(jù)����,以及在步驟S309中,向ONU 20發(fā)送第六消息��,其包含經(jīng)TrKeyO加密的下行數(shù)據(jù)����。
[0047]在接收到第六消息之后,在步驟S311中�����,ONU 20以數(shù)據(jù)密鑰TrKeyO對(duì)第六消息中的經(jīng)加密的下行數(shù)據(jù)進(jìn)行解密以獲得來自0LT10的下行數(shù)據(jù)��。
[0048]上述第五消息和第六消息例如能夠分別是上行數(shù)據(jù)幀和下行數(shù)據(jù)幀�。不同于現(xiàn)有的上行、下行數(shù)據(jù)幀���,本發(fā)明中的上行�����、下行數(shù)據(jù)幀中包含的是以密文形式的數(shù)據(jù)���,而非以明文形式的數(shù)據(jù)���。
[0049]根據(jù)本發(fā)明的一個(gè)實(shí)施例,能夠?qū)借€對(duì)和/或數(shù)據(jù)密鑰進(jìn)行更新�。這種更新能夠是周期性地,也能夠由其他事件觸發(fā)�����。例如����,光網(wǎng)絡(luò)單元以第一時(shí)間段周期性地生成公私鑰對(duì)并將其中的公鑰發(fā)送給光線路終端�����,以及光線路終端以第二時(shí)間段周期性地生成數(shù)據(jù)密鑰并使用當(dāng)前的公鑰對(duì)之加密后發(fā)送給光網(wǎng)絡(luò)單元��。在一個(gè)例子中���,第一時(shí)間段和第二時(shí)間段能夠是相同的���。在另一個(gè)例子中�,第一時(shí)間段能夠比第二時(shí)間段長(zhǎng)��,即在一個(gè)公私鑰對(duì)的有效期內(nèi)��,數(shù)據(jù)密鑰可能被更新過若干次��。
[0050]圖4示出了根據(jù)本發(fā)明的一個(gè)實(shí)施例的用于增強(qiáng)PON的傳輸安全性的方法的流程圖�����。在該實(shí)施例中���,每當(dāng)公私鑰對(duì)被更新后都將更新數(shù)據(jù)密鑰���。
[0051]參照?qǐng)D4,在步驟S401中�,OLT 10與ONU 20使用數(shù)據(jù)密鑰TrKeyO進(jìn)行數(shù)據(jù)傳輸。類似于圖2中的步驟S201�����,在步驟S401,0NU 20向OLT 10發(fā)送第五消息�,其包含經(jīng)數(shù)據(jù)密鑰TrKeyO加密的上行數(shù)據(jù),而OLT 10向ONU 20發(fā)送第六消息�,其包含經(jīng)數(shù)據(jù)密鑰TrKeyO加密的下行數(shù)據(jù)。
[0052]接著��,在步驟S403中�,OLT 10向ONU 20發(fā)送第一消息以用于請(qǐng)求會(huì)話密鑰(即用于加密數(shù)據(jù)密鑰的公鑰)。例如�����,OLT 10能夠設(shè)有一個(gè)定時(shí)器以定期觸發(fā)該步驟S403���。又例如,能夠由其他事件(例如來自某一管理信息的指示����、或者來自系統(tǒng)管理員的指令等)來觸發(fā)該步驟S403。
[0053]接著����,通過步驟S405至步驟S415,將公私鑰對(duì)和數(shù)據(jù)密鑰分別更新為PubKeyl�、PriKeyl和TrKeyl�。步驟S405至步驟S415與圖2中的步驟S205至步驟S215相類似�,在此不予贅述。
[0054]在步驟S417中���,OLT 10與ONU 20使用更新后的數(shù)據(jù)密鑰TrKeyl進(jìn)行數(shù)據(jù)傳輸���。類似于圖2中的步驟S201,在步驟S417中�,ONU 20向OLT 10發(fā)送第五消息,其包含經(jīng)數(shù)據(jù)密鑰TrKeyl加密的上行數(shù)據(jù)����,而OLT 10向ONU 20發(fā)送第六消息,其包含經(jīng)數(shù)據(jù)密鑰TrKeyl加密的下行數(shù)據(jù)���。
[0055]根據(jù)本發(fā)明的一個(gè)實(shí)施例�,除了經(jīng)加密的上行/下行數(shù)據(jù)�����,第五消息和第六消息還包含用于標(biāo)識(shí)所使用的數(shù)據(jù)密鑰的信息����,例如數(shù)據(jù)密鑰的標(biāo)識(shí)或序號(hào)��。例如��,在步驟S401中�,第五消息和第六消息均包含數(shù)據(jù)密鑰TrKeyO的序號(hào)�����,而在步驟S417中���,第五消息和第六消息均包含數(shù)據(jù)密鑰TrKeyl的序號(hào)����。
[0056]根據(jù)本發(fā)明的一個(gè)實(shí)施例�����,數(shù)據(jù)密鑰的序號(hào)能夠以I個(gè)比特表示����。例如數(shù)據(jù)密鑰TrKeyO的序號(hào)是0�,而數(shù)據(jù)密鑰TrKeyl的序號(hào)是I。該I比特的信息足以將當(dāng)前的數(shù)據(jù)密鑰TrKeyl與上一個(gè)數(shù)據(jù)密鑰TrKeyO區(qū)分開�。
[0057]本領(lǐng)域技術(shù)人員應(yīng)能理解����,上述實(shí)施例均是示例性而非限制性的���。在不同實(shí)施例中出現(xiàn)的不同技術(shù)特征可以進(jìn)行組合�,以取得有益效果�。本領(lǐng)域技術(shù)人員在研究附圖、說明書及權(quán)利要求書的基礎(chǔ)上�,應(yīng)能理解并實(shí)現(xiàn)所揭示的實(shí)施例的其他變化的實(shí)施例。在權(quán)利要求書中�,術(shù)語(yǔ)“包括”并不排除其他裝置或步驟;不定冠詞“一個(gè)”不排除多個(gè)����;術(shù)語(yǔ)“第一”、“第二”用于標(biāo)示名稱而非用于表示任何特定的順序�����。權(quán)利要求中的任何附圖標(biāo)記均不應(yīng)被理解為對(duì)保護(hù)范圍的限制�。某些技術(shù)特征出現(xiàn)在不同的從屬權(quán)利要求中并不意味著不能將這些技術(shù)特征進(jìn)行組合以取得有益效果。
【權(quán)利要求】
1.一種在無(wú)源光網(wǎng)絡(luò)中的光線路終端中用于增強(qiáng)所述無(wú)源光網(wǎng)絡(luò)中的傳輸安全性的方法�,包括以下步驟: B.從所述光線路終端所連接的光網(wǎng)路單元接收第二消息,其包含由所述光網(wǎng)路單元所生成的公私鑰對(duì)中的公鑰; C.生成待用于所述光線路終端與所述光網(wǎng)路單元間的數(shù)據(jù)傳輸?shù)臄?shù)據(jù)密鑰�����; D.通過用所述公鑰加密所述數(shù)據(jù)密鑰而獲得經(jīng)加密的所述數(shù)據(jù)密鑰�����; E.向所述光網(wǎng)路單元發(fā)送第三消息��,其包含所述經(jīng)加密的所述數(shù)據(jù)密鑰���。
2.根據(jù)權(quán)利要求1所述的方法����,其特征在于�,在所述步驟B之前包括以下步驟: A.向所述光網(wǎng)路單元發(fā)送包含第一信息的第一消息,所述第一信息用于請(qǐng)求所述光網(wǎng)路單元發(fā)送所述公鑰�。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于���,以一預(yù)定的周期執(zhí)行所述步驟A���。
4.根據(jù)權(quán)利要求1所述的方法��,其特征在于,在所述步驟E之后還包括以下步驟: Gl.通過用所述數(shù)據(jù)密鑰加密待發(fā)送給所述光網(wǎng)路單元的下行數(shù)據(jù)而獲得經(jīng)加密的所述下行數(shù)據(jù)��; G2.向所述光網(wǎng)路單元發(fā)送第六消息�����,其包含所述經(jīng)加密的所述下行數(shù)據(jù)���。
5.根據(jù)權(quán)利要求4所述的方法�,其特征在于���,所述步驟E和所述步驟Gl之間還包括以下步驟: F.從所述光網(wǎng)路單元接收包含第二信息的第四消息���,所述第二信息用于指示所述光網(wǎng)路單元已通過解密所述經(jīng)加密的所述數(shù)據(jù)密鑰而獲得所述數(shù)據(jù)密鑰;以及 在步驟F之后����,執(zhí)行所述步驟Gl至所述步驟G2。
6.根據(jù)權(quán)利要求4所述的方法����,其特征在于,所述第六消息還包含第四信息,其用于標(biāo)識(shí)所述數(shù)據(jù)密鑰����。
7.根據(jù)權(quán)利要求1所述的方法,其特征在于�����,還包括以下步驟: Hl.從所述光網(wǎng)路單元接收第五消息����,其包含經(jīng)所述數(shù)據(jù)密鑰加密的所述光網(wǎng)路單元的上行數(shù)據(jù); H2.通過用所述數(shù)據(jù)密鑰解密所接收的所述經(jīng)所述數(shù)據(jù)密鑰加密的所述上行數(shù)據(jù)而獲得所述上行數(shù)據(jù)��。
8.根據(jù)權(quán)利要求7所述的方法�����,其特征在于: 所述第五消息還包含第三信息����,其用于標(biāo)識(shí)所述數(shù)據(jù)密鑰; 在所述步驟H2中�����,通過用所述第三信息所標(biāo)識(shí)的數(shù)據(jù)密鑰解密所接收的所述經(jīng)所述數(shù)據(jù)密鑰加密的所述上行數(shù)據(jù)而獲得所述上行數(shù)據(jù)。
9.一種在無(wú)源光網(wǎng)絡(luò)中的光網(wǎng)路單元中用于增強(qiáng)所述無(wú)源光網(wǎng)絡(luò)的傳輸安全性的方法���,包括以下步驟: b.生成公私鑰對(duì),其包含公鑰和私鑰��; c.向所述光網(wǎng)路單元所連接的光線路終端發(fā)送第二消息����,其包含所述公鑰; d.從所述光線路終端接收第三消息�����,其包含經(jīng)所述公鑰加密的數(shù)據(jù)密鑰�; e.通過用所述私鑰解密所述經(jīng)所述公鑰加密的所述數(shù)據(jù)密鑰而獲得所述數(shù)據(jù)密鑰。
10.根據(jù)權(quán)利要求9所述的方法�,其特征在于,在所述步驟b之前還包括以下步驟: a.從所述光線路終端接收包含第一信息的第一消息����,所述第一信息用于請(qǐng)求所述光網(wǎng)路單元發(fā)送所述公鑰;以及 響應(yīng)于所接收的所述第一消息�,執(zhí)行所述步驟b至所述步驟e。
11.根據(jù)權(quán)利要求9所述的方法�����,其特征在于,在所述步驟e之后還包括以下步驟: fl.通過用所述數(shù)據(jù)密鑰加密待發(fā)送給所述光線路終端的上行數(shù)據(jù)而獲得經(jīng)加密的所述上行數(shù)據(jù)�; f2.向所述光線路終端發(fā)送第五消息,其包含所述經(jīng)加密的所述上行數(shù)據(jù)�。
12.根據(jù)權(quán)利要求11所述的方法,其特征在于�,所述第五消息還包含第三信息,其用于標(biāo)識(shí)所述數(shù)據(jù)密鑰��。
13.根據(jù)權(quán)利要求9所述的方法���,其特征在于���,所述步驟e還包括: 向所述光線路終端發(fā)送包含第二信息的第四消息,所述第二信息用于指示所述光網(wǎng)路單元已通過解密所述經(jīng)加密的所述數(shù)據(jù)密鑰而獲得所述數(shù)據(jù)密鑰��。
14.根據(jù)權(quán)利要求9所述的方法�,其特征在于,還包括以下步驟: gl.從所述光線路終端接收第六消息�����,其包含經(jīng)所述數(shù)據(jù)密鑰加密的所述光網(wǎng)路單元的下行數(shù)據(jù)��; g2.通過用所述數(shù)據(jù)密鑰解密所接收的所述經(jīng)所述數(shù)據(jù)密鑰加密的所述下行數(shù)據(jù)而獲得所述下行數(shù)據(jù)。
15.根據(jù)權(quán)利要求14所述的方法���,其特征在于: 所述第六消息還包含第四信息`��,其用于標(biāo)識(shí)所述數(shù)據(jù)密鑰�����; 在所述步驟g2中,通過用所述第四信息所標(biāo)識(shí)的數(shù)據(jù)密鑰解密所接收的所述經(jīng)所述數(shù)據(jù)密鑰加密的所述下行數(shù)據(jù)而獲得所述下行數(shù)據(jù)�。
【文檔編號(hào)】H04L29/06GK103684762SQ201210328069
【公開日】2014年3月26日 申請(qǐng)日期:2012年9月6日 優(yōu)先權(quán)日:2012年9月6日
【發(fā)明者】周睿, 王磊, 熊誠(chéng)鋒, 徐毅鈞 申請(qǐng)人:上海貝爾股份有限公司