[发明专利]无源光网络的密钥保护方法和系统

说明书

技术领域

本发明涉及通信领域，特别是涉及一种无源光网络的密钥保护方法和系统。

背景技术

吉比特无源光网络(Gigabit-Capable Passive Optical Network，简称为GPON)技术是无源光网络(PON)家族中一个重要的技术分支，和其它PON技术类似，GPON也是一种采用点到多点拓扑结构的无源光接入技术。

GPON由局侧的光线路终端(Optical Line Terminal，简称为OLT)、用户侧的光网络单元(Optical Network Unit，简称为ONU)以及光分配网络(Optical Distributio Network，简称为ODN)组成，通常采用点到多点的网络结构。ODN由单模光纤、光分路器、光连接器等无源光器件组成，为OLT和ONU之间的物理连接提供光传输媒质。

为了实现OLT对ONU的部分管理功能，ITU-T的G.984.3标准定义了物理层操作管理维护(Physicallayer Operations，Administration and Maintenance，简称PLOAM)通道，GPON利用PLOAM通道传输PLOAM消息，实现对传输汇聚层的管理，包括ONU激活，ONU管理控制通道的建立，加密配置，密钥管理等。

GPON系统中，PLOAM消息是以明文的形式发送的。由于下行方向(由OLT到ONU)为天然广播方式，因此各个ONU都将收到所有的PLOAM消息，并且根据ONU-ID来获得属于自己的PLOAM消息，抛弃发送给其他ONU的PLOAM消息。如果网络中存在被重新编程的恶意ONU，恶意ONU就会监听OLT发给其他ONU的PLOAM消息。如果恶意ONU监听某个下行PLOAM消息中携带的合法ONU的序列号，则它可以在合法ONU掉电后，利用合法ONU的序列号完成自身的注册激活过程，导致非法ONU可以接入到PON系统中，且组织合法ONU的再次成功注册。ONU发送的上行方向传输的PLOAM消息和GEM(GPON Encapsulation Method，GPON封装模式)帧数据存在两种被非法监听的威胁：如果GPON中的光分路器使用的是2:N的分光器，如图1所示，不法用户可以通过如图1所示的B端口监听所有ONU发送的PLOAM消息和GEM帧的内容；当光纤弯折时，会有一部分光从光纤中泄漏，不法用户可以通过弯折光纤的方式探测上行信号光，从而监听上行PLOAM消息和GEM帧的内容。由于上述原因的存在，PON系统的安全受到了威胁。

发明内容

本发明旨在提供一种无源光网络的密钥保护方法和系统，通过加密信息之间相互独立，使PON系统更为安全，且加密过程更为高效。

为了实现上述目的，在一方面，提供了一种无源光网络的密钥保护方法，包括光线路终端和光网络单元，光线路终端/光网络单元给光网络单元/光线路终端发送加密信息时，同时携带密钥相关信息，将加密信息和密钥相关信息一起发送给光网络单元/光线路终端。

优选地，光线路终端和光网络单元中发送加密信息和密钥相关信息的发送方利用密钥相关信息产生加密密钥，用加密密钥对发送的信息进行加密；光线路终端和光网络单元中接收加密信息和密钥相关信息的接收方利用密钥相关信息产生解密密钥，用解密密钥对接收的信息进行解密。

优选地，密钥相关信息是存储在光线路终端/光网络单元的信息，或是光线路终端/光网络单元产生的信息，或是作为发送方的光线路终端/光网络单元与作为接收方的光网络单元/光线路终端协商后产生的信息。

优选地，光线路终端和光网络单元均在本地存储一个相同的预共享密钥种子。

优选地，预共享密钥种子采用下述三种方法中的任意一种方法产生：

在光线路终端和光网络单元之间第一次发送信息之前，光线路终端和光网络单元本地已经存储预共享密钥种子；

光线路终端和光网络单元中第一次发送信息的发送方产生预共享密钥种子，并将预共享密钥种子传递给光线路终端和光网络单元中第一次接收信息的接收方；或者

光线路终端和光网络单元中第一次发送信息的发送方与第一次接收信息的接收方协商后产生预共享密钥种子，发送方将预共享密钥种子传递给接收方。

优选地，光线路终端和光网络单元根据密钥相关信息和预共享密钥种子在本地独立计算出加密密钥或者解密密钥。