专利名称:一种无源光网络系统组播业务加密方法和装置的制作方法
技术领域:
本发明涉及光通信领域,具体涉及一种用于PON(Passive OpticalNetwork,无源 光网络)系统中对组播业务数据进行加密的方法和装置。
背景技术:
无源光网络的结构,是一个PON 口对应于多个PON终端用户ONU (Optical Network Unit,光网络单元)设备,且在下行链路上,局侧0LT(0ptical Line Terminal,光线路终 端)发出的所有数据,每个用户ONU都能够进行接收。这里所说的“每个用户0NU”包含合 法用户和恶意用户两种情况拥有合法的注册信息,在物理连接到PON的某一根分支光纤后,可以和OLT交互消 息进行注册,这种用户称之为合法用户;不具有合法的注册信息,仅仅是在物理上连接到PON的某一根分支光纤,从不理 会OLT发出的注册要求,仅接收下行信息,这种用户可以称之为恶意用户。即使是合法用户,在其物理链接到一根分支光纤后,并在成功注册之前,也可 以接收到OLT PON端口下发的各种明文数据包。目前PON技术中定义了一些加密机 制,如 GPON(Gigabit-Capable Passive Optical Network,吉比特无源光网络)系统的 AES(Advanced Encryption Standard,高级力口密标准)力口密机制,或者 EPON(Ethernet Passive Optical Network,以太网无源光网络)系统中的搅动加密机制和三重搅动加密机 制等等,都是单播加密机制。对于组播数据(即OLT PON端口仅有一份业务数据下发,所有 的用户或者符合要求的一部分用户接收、使用该业务数据),目前还没有有效的加密机制进 行。一般运营商都是针对业务设置一个全网范围通用的密钥进行加密,但这种机制的缺点 是一旦密钥被恶意用户得知,其全网所有业务内容都将被解密窃取。运营商在无源光网络PON中目前采用的方法是将组播业务数据包复制到每一个 PON端口和用户ONU的单播通道上,应用单播机制进行加密,来保护组播业务数据包不被恶 意用户窃取。但是这种方法需要为每个ONU发送密钥,加重了 OLT的负担。
发明内容
本发明要解决的技术问题是提供一种无源光网络系统组播业务加密方法和装置, 提高安全性,简化OLT加密机制的复杂性,减轻OLT负荷。为解决上述技术问题,本发明提供了一种无源光网络系统组播业务加密方法,包 括光线路终端(OLT)生成公共密钥,并使用公共密钥对承载通道上的组播业务数据 进行加密后发送,同一承载通道上的组播业务数据使用相同的公共密钥加密;所述OLT通过管理控制通道将加密组播业务数据时所采用的公共密钥发送给注 册成功的且申请接收所述组播业务数据的光网络单元(ONU)。进一步地,所述ONU获取公共密钥后,使用所述公共密钥对承载通道上所述ONU申
4请接收的组播业务数据进行解密。进一步地,所述OLT在生成公共密钥的同时为公共密钥设置老化时间,待老化时 间到达后,重新生成新的公共密钥,并使用新的公共密钥加密承载通道上的组播业务数据, 向注册成功的且申请所述组播业务数据的ONU发送所述新的公共密钥。进一步地,所述OLT将加密组播业务数据时所采用的公共密钥发送给注册成功的 且申请接收所述组播业务数据的ONU的步骤包括OLT判断ONU注册成功且申请接收组播业务数据,则主动将加密所述组播业务数 据时所采用的公共密钥发送给所述ONU ;或者所述ONU向OLT请求密钥,所述OLT检测所述ONU注册成功且申请接收组播业务 数据,则将加密所述组播业务数据所采用的公共密钥发送给所述0NU。进一步地,不同承载通道上的组播业务数据使用的公共密钥相同或不同。进一步地,所述OLT在向注册成功的且申请接收所述组播业务数据的ONU发送公 共密钥的同时,还向所述ONU发送使用所述公共密钥进行组播业务数据加密的承载通道的 承载通道标识。为解决上述技术问题,本发明还提供了一种无源光网络系统组播业务加密装置, 包括密钥生成单元,加密单元,发送单元,其中所述密钥生成单元,用于生成公共密钥;所述加密单元,用于对承载在同一承载通道上的组播业务数据使用相同的公共密 钥进行加密;所述发送单元,用于发送加密后的组播业务数据,以及通过管理控制通道将加密 组播业务数据时所采用的公共密钥发送给注册成功的且申请接收所述组播业务数据的光 网络单元(ONU)。进一步地,所述装置还包括老化时间设置单元,用于为公共密钥设置老化时间,当 老化时间到达时,通知所述密钥生成单元重新生成公共密钥。进一步地,所述发送单元,进一步用于判断ONU注册成功且申请接收组播业务数 据后,主动将加密所述组播业务数据时采用的公共密钥发送给所述0NU;或者,用于在接收 到ONU请求密钥的请求后,判断所述ONU注册成功且申请接收组播业务数据,则将加密所述 组播业务数据所采用的公共密钥发送给所述0NU。进一步地,所述发送单元在向注册成功的且申请接收所述组播业务数据的ONU发 送公共密钥的同时,还向所述ONU发送使用所述公共密钥进行组播业务数据加密的承载通 道的承载通道标识。本发明通过采用承载通道加密机制,可以在保证组播业务加密的前提下,简化OLT 加密机制以及ONU解密机制复杂度。相比于现有的组播业务加密机制,可以将密码泄露后 的影响范围从全网限制到某一个PON 口,提高了组播业务内容的安全性。另外,通过对无源光网络承载的组播业务数据进行加密后传输,以及仅将密钥发 送给注册成功的用户,使得恶意用户无法获知上述密钥,且合法用户在注册之前也无法得 到密钥,从而防止恶意用户窃取组播业务内容的非法行为,同时不会影响合法用户在注册 后正常使用加密后的组播业务。
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发 明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图1为本发明实施例一的流程图;图2为本发明实施例二的流程图;图3为本发明实施例三的流程图;
图4为本发明实施例四的流程图。
具体实施例方式本发明的发明构思是0LT生成公共密钥,并使用公共密钥对承载通道上的组播 业务数据进行加密后发送,同一承载通道上的数据使用相同的公共密钥加密;所述OLT通 过管理控制通道(例如OMCI或者0ΑΜ)将加密组播业务数据时所采用的公共密钥发送给注 册成功的且申请接收所述组播业务数据的0NU。ONU获取公共密钥后,使用该密钥对承载通道上该ONU申请接收的组播业务数据 进行解密。优选地,OLT定期维护该公钥,可以在生成公共密钥的同时为公共密钥设置老化时 间(如通过定时器设置),待老化时间到达后,重新生成公共密钥并使用新生成的公共密钥 加密承载通道上的组播业务数据,向注册成功的且申请接收所述组播业务数据的ONU发送 新生成的公共密钥。多个公共密钥的老化时间可以相同也可以不同。或者OLT也可以在任 何需要的时候,更新该公共密钥。所述承载通道是PON的逻辑通道,可以是GPON端口承载的GEM(通用封装格 式,General Encapsulation Model)通道,或 EPON 端 口 的逻辑链路(Logical Link Identification, LLID)通道,且由OLT进行维护更新。所述管理控制通道也是PON的逻辑通道,例如可以是GPON系统的PLOAM通道或 OMCI通道,或者EPON系统中的扩展OAM通道。或者,采用数据通道发送公共密钥。OLT可同时生成多个公共密钥,分别用于对不同的承载通道进行数据加密。优选 的,同一 PON端口下的各条承载通道的公共密钥可以相同也可以不同,例如,可以设置每条 承载通道有不同的公共密钥,也可以使部分承载通道使用相同的公共密钥。当OLT对多条承载通道上的组播数据进行加密,且该多条承载通道可能发送给相 同的ONU时,可在向ONU发送公共密钥的同时将使用该公共密钥进行组播业务数据加密的 承载通道的承载通道标识一并发送给0NU,即将承载所述组播业务数据的承载通道的承载 通道标识发送给0NU,以便ONU解密。但也不排除ONU通过逐一解密的方法找到使用该公共 密钥的承载通道。下面举例说明其实施方式,只要符合本专利的思想,采用其他实施方式也可以。下 面就具体实时将来进行说明。实施例一 本实施例为GPON系统传送公共密钥的实施例,应用范围是整个GPON物理端口,如 图1所示,流程包括 步骤110,OLT生成应用于组播业务的公共密钥;
步骤120,OLT对将在PON端口发送的组播数据进行加密后传输;步骤130,ONU上电,接入GPON向OLT发起注册并申请组播业务;关于具体的注册过程以及申请组播业务的过程,GPON协议已经有相关定义,本文 不再赘述。步骤140,OLT检测该ONU注册成功且申请组播业务,将生成的公共密钥发送给该 ONU ;ONU是否注册成功以及ONU申请何种组播业务在OLT上均有记录。OLT根据自身策略可以在检测到ONU申请组播业务成功后向ONU发送公共密钥或 只要检测到ONU申请组播业务就向ONU发送公共密钥。OLT 可以采用 GPON 协议中的 PLOAM(Physical Layer OperationAdministration Maintenance,物理层操作管理维护)通道,或者 OMCI (ONUmanagement and Control hterface,光网络单元管理与控制接口 )通道或其他通道(如数据通道)将组播公共密钥 传递给注册成功的0NU。步骤150,ONU接收到组播加密的公共密钥后,对下行所有组播业务应用此密钥进 行解密。实施例二本实施例为EPON系统传送公共密钥且进行密钥更新的实施例,应用范围是整个 EPON物理端口,如图2所示,流程包括步骤210,OLT生成应用于组播业务的公共密钥,并为该公共密钥设定一个定时器 Tl ;该定时器用于控制公共密钥的老化时间。步骤220,OLT对将在PON端口发送的组播数据进行加密后传输;步骤230,ONU上电,接入EPON向OLT发起注册,并申请组播业务;具体的注册过程以及申请组播业务的过程,EPON协议已经有相关定义,本文不再 赘述。步骤MO,ONU请求OLT发送组播业务公共密钥;步骤250,OLT接收到ONU的请求后,查询该ONU如果处于注册成功状态且该ONU 申请组播业务,则将生成的公共密钥发送给该ONU ;OLT根据自身策略可以在检测到ONU申请组播业务成功后向ONU发送公共密钥或 只要检测到ONU申请组播业务就向ONU发送公共密钥。步骤沈0,ONU接收到组播加密的公共密钥后,对下行所有组播业务应用此密钥进 行解密;步骤270,当Tl定时器超时,OLT重新生成新的公共密钥,并重置Tl定时器(以便 下次Tl超时后再次更新密钥)。当有其他ONU请求OLT发送组播业务公共密钥时,OLT将新生成的公共密钥发送 给请求公共密钥的0NU。并且,OLT还需要为已经发送过公共密钥的ONU更新公共密钥。OLT可以采用EPON系统中的管理控制通道(如扩展OAM通道)或数据通道将生成 的组播公共密钥传递给注册成功的0NU。实施例三
本实施例为GPON系统中非法用户试图接入业务被拒绝的示例,应用范围是整个 GPON物理端口,如图3所示,流程包括步骤310,OLT生成应用于组播业务的公共密钥;步骤320,OLT对将在PON端口发送的组播数据进行加密后传输;步骤330,恶意用户ONU接入GPON ;恶意用户接入GPON后可能不发起注册,但如果发起注册的话必定无法注册成功, 也无法申请组播业务。步骤340,恶意用户ONU请求OLT发送组播业务公共密钥;步骤350,OLT接收到请求后,查询该ONU未能成功注册,拒绝发送该组播公共密 钥。此时恶意ONU将无法获取组播公共密钥,也就无法对组播业务内容进行解密,运 营商藉此防止了恶意用户的内容窃取。实施例四本实施例为GPON系统传送公共密钥的实施例,应用范围是GPON物理端口中对应 某一组播业务的一个GEM通道,本实施例中的ONU仅申请了第一 GEM通道上的组播业务,如 图4所示,流程包括步骤410,OLT生成应用于第一 GEM通道的组播公共密钥A,以及应用于第二 GEM通 道的组播公共密钥B ;步骤420,OLT将承载在第一 GEM通道的组播业务数据用公共密钥A加密后传输, 该通道所有ONU共享此公共密钥A ;步骤430,OLT将承载在第二 GEM通道的组播业务数据用公共密钥B加密后传输, 该通道所有ONU共享此公共密钥B ;上述步骤420和430的执行顺序不固定。步骤440,ONU上电,接入GPON向OLT发起注册并申请组播业务;步骤450,OLT检测到该ONU注册成功且申请接收的是第一 GEM通道上的组播业 务,将该公共密钥A和对应的第一 GEM通道标识传送给该ONU ;在其他实施例中,也可以由ONU主动发起密钥请求。OLT根据自身策略可以在检测到ONU申请组播业务成功后向ONU发送公共密钥或 只要检测到ONU申请组播业务就向ONU发送公共密钥。步骤460,ONU接收到公共密钥A和对应的第一 GEM通道标识后,对第一 GEM通道 中传输的组播业务数据进行解密。ONUl未接收到公钥B,无法解密下行GEM B通道数据。可见,当同一 ONU接收多个 组播业务且该多个组播业务数据承载在不同的承载通道上时,OLT需要在发送公钥的同时 将该公钥对应的承载通道标识发送给该0NU。OLT可以采用GPON协议中的PLOAM通道维护通道,或者OMCI管理通道或其他通道 将组播公共密钥传递给注册成功的0NU。一个公共密钥可以用于一条GEM通道,也可以用于多条,即多条GEM通道共用一个 密钥。实现上述方法的OLT包括密钥生成单元,加密单元,发送单元,其中
所述密钥生成单元,用于生成公共密钥;所述加密单元,用于对承载在同一承载通道上的组播业务数据使用相同的公共密 钥进行加密;所述发送单元,用于发送加密后的组播业务数据,以及通过管理控制通道将加密 组播业务数据时所采用的公共密钥发送给注册成功的且申请接收所述组播业务数据的
ONU。优选地,所述装置还包括老化时间设置单元,用于对密钥生成单元生成的公共密 钥设置老化时间,当老化时间到达时,通知所述密钥生成单元重新生成公共密钥。所述发送单元在向注册成功的且申请接收所述组播业务数据的ONU发送公共密 钥的同时,还向所述ONU发送使用所述公共密钥进行组播业务数据加密的承载通道的承载 通道标识。所述发送单元,进一步用于判断ONU注册成功且申请接收组播业务数据后,主动 将加密所述组播业务数据时采用的公共密钥发送给所述ONU ;或者,用于在接收到ONU请求 密钥的请求后,判断所述ONU注册成功且申请接收组播业务数据,则将加密所述组播业务 数据所采用的公共密钥发送给所述0NU。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技 术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修 改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种无源光网络系统组播业务加密方法,包括光线路终端(OLT)生成公共密钥,并使用公共密钥对承载通道上的组播业务数据进行 加密后发送,同一承载通道上的组播业务数据使用相同的公共密钥加密;所述OLT通过管理控制通道将加密组播业务数据时所采用的公共密钥发送给注册成 功的且申请接收所述组播业务数据的光网络单元(ONU)。
2.如权利要求1所述的方法,其特征在于,所述ONU获取公共密钥后,使用所述公共密钥对承载通道上所述ONU申请接收的组播 业务数据进行解密。
3.如权利要求1或2所述的方法,其特征在于,所述OLT在生成公共密钥的同时为公共密钥设置老化时间,待老化时间到达后,重新 生成新的公共密钥,并使用新的公共密钥加密承载通道上的组播业务数据,向注册成功的 且申请所述组播业务数据的ONU发送所述新的公共密钥。
4.如权利要求1所述的方法,其特征在于,所述OLT将加密组播业务数据时所采用的公共密钥发送给注册成功的且申请接收所 述组播业务数据的ONU的步骤包括OLT判断ONU注册成功且申请接收组播业务数据,则主动将加密所述组播业务数据时 所采用的公共密钥发送给所述ONU ;或者所述ONU向OLT请求密钥,所述OLT检测所述ONU注册成功且申请接收组播业务数据, 则将加密所述组播业务数据所采用的公共密钥发送给所述0NU。
5.如权利要求1所述的方法,其特征在于,不同承载通道上的组播业务数据使用的公共密钥相同或不同。
6.如权利要求1或2所述的方法,其特征在于,所述OLT在向注册成功的且申请接收所述组播业务数据的ONU发送公共密钥的同时, 还向所述ONU发送使用所述公共密钥进行组播业务数据加密的承载通道的承载通道标识。
7.一种无源光网络系统组播业务加密装置,包括密钥生成单元,加密单元,发送单元, 其中所述密钥生成单元,用于生成公共密钥;所述加密单元,用于对承载在同一承载通道上的组播业务数据使用相同的公共密钥进 行加密;所述发送单元,用于发送加密后的组播业务数据,以及通过管理控制通道将加密组播 业务数据时所采用的公共密钥发送给注册成功的且申请接收所述组播业务数据的光网络 单元(ONU)。
8.如权利要求7所述的装置,其特征在于,所述装置还包括老化时间设置单元,用于为公共密钥设置老化时间,当老化时间到达 时,通知所述密钥生成单元重新生成公共密钥。
9.如权利要求7所述的装置,其特征在于,所述发送单元,进一步用于判断ONU注册成功且申请接收组播业务数据后,主动将加 密所述组播业务数据时采用的公共密钥发送给所述ONU ;或者,用于在接收到ONU请求密钥 的请求后,判断所述ONU注册成功且申请接收组播业务数据,则将加密所述组播业务数据所采用的公共密钥发送给所述0NU。
10.如权利要求7或9所述的装置,其特征在于,所述发送单元在向注册成功的且申请接收所述组播业务数据的ONU发送公共密钥的 同时,还向所述ONU发送使用所述公共密钥进行组播业务数据加密的承载通道的承载通道 标识。
全文摘要
本发明公开了一种无源光网络系统组播业务加密方法和装置,提高安全性,简化OLT加密机制的复杂性,减轻OLT负荷。所述方法包括光线路终端(OLT)生成公共密钥,并使用公共密钥对承载通道上的组播业务数据进行加密后发送,同一承载通道上的组播业务数据使用相同的公共密钥加密;所述OLT通过管理控制通道将加密组播业务数据时所采用的公共密钥发送给注册成功的且申请接收所述组播业务数据的光网络单元(ONU)。
文档编号H04Q11/00GK102136907SQ20101010264
公开日2011年7月27日 申请日期2010年1月25日 优先权日2010年1月25日
发明者张德智, 袁立权 申请人:中兴通讯股份有限公司