[发明专利]密钥交换方法和装置

说明书

技术领域

本发明涉及通信领域，尤其涉及一种密钥交换方法和装置。

背景技术

吉比特无源光网络(Gigabit Passive Optical Network，简称为GPON)是一种基于ITU-T G.984系列的宽带无源光接入技术，GPON系统一般包括光线路终端(Optical Line Terminal，简称为OLT)OLT、光网络单元(Optical Network Unit，简称为ONU)和光分布网络(Optical Distribution Network，简称为ODN)。其中，ODN为点到多点结构，一个OLT通过ODN连接多个ONU，在数据传输过程汇总，OLT向ONU发送的数据称为下行数据，ONU向OLT发送的数据称为上行数据。

在GPON系统中，下行数据具有天然广播特性，OLT发送的数据能够被所有与其相连接的ONU接收到。出于安全性的考虑，ITU-TGPON标准采用(Advanced Encryption Standard，简称为AES)加密技术对下行数据进行加密，OLT和ONU各自保存密钥共同完成密钥管理，OLT利用本地保存的密钥对其发送的下行数据进行加密，ONU利用本地保存的密钥对来自OLT的下行数据进行解密。

图1是GPON系统中，OLT和ONU进行密钥切换的消息交互示意图，如图1所示，在GPON系统中，OLT和ONU之间的密钥管理流程可分为三个阶段：密钥交换、密钥切换帧交换、密钥切换。其中，OLT和ONU之间通过物理层操作管理维护(Physical LayerOperation Administration & Maintenance，简称为PLOAM)消息完成密钥交换和密钥切换帧交换。

在密钥交换阶段，OLT向ONU发送Request_Key(请求密钥)消息，ONU接收到Request_Key消息之后，产生新的密钥及索引，并将该新的密钥及索引保存到shadow_key_register(备用密钥寄存器)。然后，将上述新的密钥及索引通过Encryption_Key(加密密钥)消息发送给OLT，其中，新的密钥及索引需要分为两段通过两个Encryption_Key消息进行发送，且每个Encryption_Key消息中携带相同的密钥索引。

OLT接收到上述Encryption_Key消息之后，如果能解析出正确的密钥及索引，则将解析出的密钥及索引保存到本地的shadow_key_register寄存器，此时，OLT和ONU完成密钥交换过程。如果OLT没有接收到或者正确解析出ONU发送的密钥及索引，则表示密钥交换失败，OLT会重新启动密钥交换，如果密钥交换的失败次数为三次，则OLT会声明一个LOKi并去激活ONU，其中，LOK表示密钥丢失(Loss of Key)，i表示ONU的编号。

如果密钥交换成功，则进入密钥切换帧交换阶段。在密钥切换帧交换阶段，OLT选择一个未来的复帧(可以称为密钥切换帧)作为OLT和ONU开始使用新密钥的第一帧，并将密钥切换帧的复帧号通过Key_Switching_Time(密钥切换时间)消息发送给ONU。ONU正确收到OLT发送的Key_Switching_Time消息则向OLT发送Acknowledge(确认)消息表示已经获取密钥切换帧的复帧号。如果OLT正确收到ONU发送的Acknowledge消息则表示密钥切换帧交换成功，否则声明一个LOAi(LOA，Loss of Acknowledge，确认丢失，i表示ONU编号)并去激活该ONU。

如果密钥切换帧交换成功，则进入密钥切换阶段。在密钥切换阶段，OLT在开始发送密钥切换帧时执行密钥切换，具体为：复制本地shadow_key_register寄存器中的密钥及索引到本地的active_key_register寄存器)，并用新密钥对下行帧(包括密钥切换帧)进行加密；ONU在接收到密钥切换帧时执行密钥切换(复制本地的shadow_key_register寄存器中的密钥及索引到active_key_register(在用密钥寄存器))并用新密钥对下行帧(包括密钥切换帧)进行解密。

GPON标准规定，如果ONU检测到短暂的信号丢失(Loss ofSignal，简称为LOS)/帧丢失(Loss ofFrame，简称为LOF)，OLT可能会重新启动密钥管理过程(这种发送策略会导致密钥请求消息的频繁发送，加大了网络负担，并且在发送之前缺少对发送条件的判断，因此发送处理是盲目执行的)，而密钥管理的重新启动可能会导致多个Request_Key消息先后到达ONU。