[发明专利]密钥交互方法及装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种PON(Passive OpticalNetwork，无源光网络)系统的密钥交换方法及装置。

背景技术

PON是基于ITU-T G.984系列和IEEE 802.3系列的宽带无源光接入技术，PON系统通常由光线路终端(Optical Line Terminal，OLT)、光网络单元(Optical Network Unit，ONU)和光分配网络(Optical Distribution Network，ODN)组成。ODN通常为点到多点结构，一个OLT连接多个ONU。OLT发往ONU的数据称为下行数据，ONU发往OLT的数据称为上行数据。

在PON系统中，下行数据具有天然广播特性，OLT发出的数据能够被下联的所有ONU接收到。考虑到安全性，ITU-T G.984.3和IEEE 802.3规定使用对称加密技术对下行数据进行加密，密钥由ONU产生并发送给OLT。

在目前的ITU-T G.984.3和IEEE 802.3标准中，ONU直接发送密钥明文给OLT，因此在上行方向存在密钥明文被窃听的可能。

目前，针对该安全性的问题，尚未提出有效的解决方案。

发明内容

考虑到上述问题而做出本发明，为此，本发明的主要目的在于提供一种密钥交互方法及装置，解决了在光线路终端和光网络单元之间交换数据密钥不安全的问题。

根据本发明的实施例，提供了一种密钥交互方法，用于光线路终端和光网络单元之间的数据密钥交互，其中，所述数据密钥用于对数据进行加密。

该方法包括：光线路终端向光网络单元发送数据密钥更新请求，并在密钥更新请求中携带安全密钥的相关信息，其中，安全密钥用于对数据密钥进行加密；光网络单元根据安全密钥的相关信息得到安全密钥，并用安全密钥对光线路终端请求更新的数据密钥进行加密；光网络单元将加密后的数据密钥发送至光线路终端。

其中，光线路终端将其与光网络单元的公知的系统配置或系统参数作为安全密钥源，并根据安全密钥源设置相关信息。

其中，安全密钥源的类型包括：光线路终端和光网络单元预先保存的安全密钥组、光网络单元的版本映像、光网络单元的序列号、光网络单元的IP地址、光网络单元的媒体接入控制地址、以及测距信息，其中，每个安全密钥源的类型均对应于各自的安全密钥源类型信息。

其中，在安全密钥源的类型为安全密钥组的情况下，相关信息包括安全密钥组中安全密钥的标识、以及安全密钥组对应的安全密钥源类型信息。

其中，在安全密钥源的类型为光网络单元的版本映像的情况下，相关信息包括版本映像中的起始位置和长度、以及版本映像对应的安全密钥源类型信息。

其中，在安全密钥源的类型为光网络单元的序列号、光网络单元的IP地址、光网络单元的媒体接入控制地址、以及测距信息中的一个时，相关信息为与其对应的安全密钥源类型信息。

此外，该方法进一步包括：光线路终端根据相关信息得到对数据密钥进行加密所使用的安全密钥，对接收到的加密后的数据密钥进行解密。

根据本发明的另一实施例，提供了一种密钥交互装置，用于光线路终端和光网络单元之间的数据密钥交互，其中，数据密钥用于对数据进行加密。

该装置包括：发送模块，用于将数据密钥更新请求从光线路终端发送至光网络单元，并在密钥更新请求中携带安全密钥的相关信息，其中，安全密钥用于对数据密钥进行加密；以及将经过安全密钥加密的数据密钥从光网络单元发送至光线路终端；加密模块，光网络单元根据安全密钥的相关信息得到安全密钥，并用安全密钥对光线路终端请求更新的数据密钥进行加密；

该装置进一步包括：确定模块，用于将光线路终端与光网络单元的公知的系统配置或系统参数作为安全密钥源，并根据安全密钥源设置相关信息。

该装置进一步包括：解密模块，位于光线路终端，用于根据相关信息得到对数据密钥进行加密所使用的安全密钥，并对接收到的加密后的数据密钥进行解密。

通过本发明的上述技术方案，可以在光线路终端和光网络单元之间实现安全的密钥交换，降低了数据密钥被窃听的可能性，提高了光线路终端和光网络单元之间数据交换的安全性。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明方法实施例的密钥交互方法的流程图；以及

图2是根据本发明装置实施例的密钥交互装置的框图。

具体实施方式