[发明专利]无源光网络中密钥更新方法

说明书

技术领域

本发明涉及密钥更新技术，尤其涉及一种无源光网络中密钥更新方法。

背景技术

无源光网络(PON，Passive Optical Network)是一种宽带无源光接入技术、点到多点的光纤接入技术，它由安装于中心控制站的光线路终端(OLT，OpticalLine Terminal)、一批配套安装于用户场所的光网络单元(ONU，Optical NetworkUnit)以及光分配网络(ODN，Optical Distribution Network)组成。ODN通常为点到多点结构，一个OLT连接多个ONU。在OLT与ONU之间的ODN包含了光纤以及无源分光器或耦合器等无源器件，不含有任何有源设备。PON由于在光纤接入方式中具有相对成本低，方便平滑升级等优势，成为未来接入网宽带发展的方向。

PON有多种形式，如APON(ATM Passive Optical Network，ATM无源光网络(ATM，异步转移模式))、BPON(Broadband Passive Optical Network，宽带无源光网络)、EPON(Ethernet Passive Optical Network，以太网无源光网络)、GPON(Gigabit Passive Optical Network，吉比特无源光网络)等，但是其基本构造基本差异不大。传送数据过程中，下行采用广播方式，由局端的OLT将下行的光信号经过光分路器，分成多路给各个ONU，而每个ONU上行的信号逆向通过光耦合器合成在一根光纤多任务传送给OLT。

以下以目前较常用的GPON为例说明ONU与OLT之间的密钥更新方式。

PON系统中，下行数据具有天然广播特性，OLT发出的数据能够被下连的所有ONU接收到。考虑到安全性，国际电信联盟ITU-T G.984.3建议在GPON系统中使用高级加密标准(AES，Advanced Encryption Standard)技术对下行数据进行加密，OLT对下行数据采用密钥进行加密，ONU用密钥对来自OLT的数据进行解密。

OLT和ONU各自保存一份密钥并共同完成密钥管理，OLT和ONU之间的密钥管理流程可分为两个阶段：密钥交换和密钥切换。

在密钥交换阶段，OLT向ONU发送Key_Request消息，ONU产生新密钥并保存到shadow_key_register寄存器，然后将新密钥通过Encryption_Key消息发送给OLT，OLT将密钥保存到自己的shadow_key_register寄存器中。

在密钥切换阶段，OLT选择一个待发送数据帧作为开始使用新密钥的第一帧，OLT通过Key_Switching_Time消息携带密钥切换帧的复帧编号给ONU。Key_Switching_Time消息将会发送三次，ONU仅需接收其中一个正确的拷贝来获知密钥切换帧的复帧编号。ONU每收到OLT发送的Key_Switching_Time消息就向OLT发送确认消息表示已经获取密钥切换帧的复帧编号。在密钥切换帧开始时，OLT复制本地shadow_key_register寄存器的内容到本地的active_key_register寄存器，ONU复制本地的shadow_key_register寄存器的内容到active_key_register寄存器，OLT和ONU从密钥切换帧开始使用新密钥对下行数据进行加密和解密。

在密钥切换阶段，发送Key_Switching_Time消息后，如果OLT没有收到ONU的确认消息，OLT将无法知道ONU是否收到Key_Switching_Time消息，这时OLT无论是否进行密钥切换，都有可能引起OLT和ONU之间的当前密钥不一致：如果OLT进行密钥切换而ONU没有收到OLT的密钥切换命令，ONU不会发生密钥切换；如果OLT不进行密钥切换，而ONU已经接收到OLT发送的Key_Switching_Tme消息，只是OLT没有接收到ONU发送的确认消息，ONU会发生密钥切换。因此，PON系统中现有的密钥切换过程可能导致OLT和ONU的密钥不同步，密钥不同步将会导致ONU端的所接收数据无法解密，从而导致ONU端的数据丢失。其他PON系统如APON、BPON、EPON等系统中也存在类似的问题，不再一一赘述。

发明内容

有鉴于此，本发明的主要目的在于提供一种无源光网络中密钥更新方法，以保证ONU端始终可对OLT端发送数据进行解密，保证ONU端接收数据准确。

为达到上述目的，本发明的技术方案是这样实现的：