[发明专利]无源光网络的密钥保护方法和系统

权利要求书

1.一种无源光网络的密钥保护方法，包括光线路终端和光网络单元，其特征在于，所述光线路终端/光网络单元给光网络单元/光线路终端发送加密信息时，同时携带密钥相关信息，将所述加密信息和密钥相关信息一起发送给所述光网络单元/光线路终端。

2.根据权利要求1所述的密钥保护方法，其特征在于，

所述光线路终端和光网络单元中发送所述加密信息和密钥相关信息的发送方利用所述密钥相关信息产生加密密钥，用所述加密密钥对发送的信息进行加密；所述光线路终端和光网络单元中接收所述加密信息和密钥相关信息的接收方利用所述密钥相关信息产生解密密钥，用所述解密密钥对接收的信息进行解密。

3.根据权利要求1或2所述的密钥保护方法，其特征在于，

所述密钥相关信息是存储在所述光线路终端/光网络单元的信息，或是所述光线路终端/光网络单元产生的信息，或是作为发送方的所述光线路终端/光网络单元与作为接收方的所述光网络单元/光线路终端协商后产生的信息。

4.根据权利要求1或2所述的密钥保护方法，其特征在于，

所述光线路终端和光网络单元均在本地存储一个相同的预共享密钥种子。

5.根据权利要求4所述的密钥保护方法，其特征在于，

所述预共享密钥种子采用下述三种方法中的任意一种方法产生：

在所述光线路终端和光网络单元之间第一次发送信息之前，所述光线路终端和光网络单元本地已经存储所述预共享密钥种子；

所述光线路终端和光网络单元中第一次发送信息的发送方产生所述预共享密钥种子，并将所述预共享密钥种子传递给所述光线路终端和光网络单元中第一次接收信息的接收方；或者

所述光线路终端和光网络单元中第一次发送信息的发送方与第一次接收信息的接收方协商后产生所述预共享密钥种子，所述发送方将所述预共享密钥种子传递给所述接收方。

6.根据权利要求4所述的密钥保护方法，其特征在于，

所述光线路终端和光网络单元根据所述密钥相关信息和所述预共享密钥种子在本地独立计算出所述加密密钥或者所述解密密钥。

7.根据权利要求6所述的密钥保护方法，其特征在于，

需要更新所述加密密钥时，所述光线路终端/光网络单元产生一个新的密钥相关信息，利用所述新的密钥相关信息和本地存储的所述预共享密钥种子产生新的加密密钥，并利用所述新的加密密钥对发送的信息进行加密，所述光线路终端/光网络单元给所述光网络单元/光线路终端发送所述加密信息的同时发送所述新的密钥相关信息；

所述光网络单元/光线路终端接收到所述加密信息和新的密钥相关信息后，利用所述新的密钥相关信息和本地存储的所述预共享密钥种子产生新的解密密钥，并利用所述新的解密密钥对接收到的所述加密信息进行解密。

8.根据权利要求1或2所述的密钥保护方法，其特征在于，所述密钥相关信息通过下述两种方式之一携带：

在所述加密信息中新定义一个域，利用该新定义的域传递所述密钥相关信息；或者

新定义一个与所述加密信息格式类似的信息，并将该新定义信息的信息类型标识为密钥相关信息，用于传递所述密钥相关信息。

9.根据权利要求8所述的密钥保护方法，其特征在于，在所述加密信息中新定义一个域来传递所述密钥相关信息具体包括以下方式：

在上行吉比特无源光网络封装模式GEM帧或下行GEM帧的非载荷域定义一个域用于携带所述密钥相关信息；

利用下行GEM帧或者上行GEM帧的非载荷域中的一个域携带所述密钥相关信息；

在GEM帧头中定义一个域，用于携带所述密钥相关信息；或者

在物理层操作管理维护PLOAM消息中增加字节用于携带所述密钥相关信息。

10.根据权利要求8所述的密钥保护方法，其特征在于，新定义一个与所述加密信息格式类似的信息，并将该新定义信息的信息类型标识为密钥相关信息，用于传递所述密钥相关信息具体包括以下方式：

定义一个新类型的GEM帧用于携带所述密钥相关信息；或者

定义一个新的PLOAM消息用于携带所述密钥相关信息。