[发明专利]无源光网络中密钥管理方法、设备及无源光网络

说明书

技术领域

本发明涉及光网络技术领域，更具体地说，涉及一种无源光网络中密钥 管理的方法、设备及无源光网络。

背景技术

目前，接入网领域在数字用户环路(Digital Subscriberloop，DSL)充分 发展的时候，光接入技术也得到蓬勃的发展，尤其以点到多点传输为特征的 光接入技术——无源光网络(Passive Optical Network，PON)再次受到业 界的瞩目。与点到点光接入相比，PON局端用一根光纤，即可分成数十甚至 更多路光纤连接用户，大大降低建网成本。

图1为PON系统的结构示意图，从图中可以看出，PON系统由三个部 分组成，分别是：光线路终端(Optical Line Termination，OLT)1、光分布 网(Optical Distribution Network，ODN)2和光网络单元(Optical Network Unit，ONU)/光网络终端(Optical Network Termination，ONT)3。OLT1 为PON系统提供业务节点接口(Service Node Interface，SNI)，连接一个 或多个ODN2。无源分光器件将OLT4下行的数据分路传输到各个ONU3， 将多个ONU/ONT3的上行数据汇总传输到OLT1。ONU3为PON系统提供 用户网络接口(User Network Interface，UNI)，上行与ODN2相连，如果 ONU3直接提供用户端口功能，如个人电脑上网用的以太网用户端口，则称 为ONT1，下文将上述的ONU和ONT统称为ONU。

PON技术包括宽带无源光网络(Broadband Passive Optical Network， BPON)和Gbit无源光网络(Gigabit Passive Optical Network，GPON)等， BPON和GPON都是由国际电信联盟(ITU-T)制定的，GPON是在BPON 的基础上继承发展的，舆论认为其是当前几种PON技术中最全面、最有前途 的技术，具有线路速率高、维护管理完善的优点。

在PON系统中，从OLT到ONU称为下行，反之称为上行。下行数据方 式为OLT广播到各ONU，ONU的上行数据方式为由OLT分配发送区间，数 据经时分复用后上传到OLT。

由于下行数据是采用广播的方式进行发送的，各ONU能接收到发送给其 他ONU的数据，虽然在ONU上会根据配置的接口ID(Port ID)对数据进行 过滤，但仍然面临数据被窃的风险，所以需要对下行数据进行加密。目前， GPON国际标准中规定了一种加密算法——高级加密标准(Advanced Encryption Standard，AES)，所有下行单播数据需要加密时都是用该AES。 每个ONU使用独立的密钥，并不断更新密钥以保证加密的可靠性，密钥更新 流程如图2所示：

密钥更新流程大体分为两部分：密钥交换流程和密钥切换流程，具体过 程包括以下步骤：

步骤S11、OLT向ONU发送密钥请求消息(key_request_message)， 该信息以物理层维护管理信元(Physical Layer OAM，PLOAM)消息。

步骤S12、ONU产生、存储和发送密钥。

ONU在影像寄存器(shadow_key_register)中，由于PLOAM消息的 长度有限，密钥分为两部分进行发送，使用片断字段来对密钥的各部分进行 标识。为保证冗余，密钥的两部分都会被发送三次。

如果OLT未能成功接收密钥的任何一个部分三次，将会要求ONU产生 另外一个密钥，并发送新的密钥请求信息。密钥传送失败三次后，OLT将会 宣布密钥同步丢失。

如果OLT成功接收到密钥，有效密钥将被存储在其shadow_key_register 中，然后系统进行密钥切换：

步骤S13：OLT使用密钥切换消息(Key_switching_time)传送给ONU。

OLT确定选定帧(用于与ONU同时在该帧使用新密钥)，将该帧的超 帧编号通过Key_switching_time消息传送给ONU，该消息将被传送三次。

步骤S14：ONU向OLT回应确认消息Acknowledgement。

ONU仅需要接收OLT发送的多个信息中的一个正确的拷贝来获知变换 的时间。