专利名称:密钥切换方法、光线路终端以及光网络单元的制作方法
技术领域:
本发明涉及通信领域,具体而言,涉及一种密钥切换方法、光线路终端以及光网络单元。
背景技术:
目前,全业务接入网(Full Service Access Network,简称为FSAN)组织已经讨论 了很多下一代无源光网络(Next Generation Passive Optical Network,简称为 NG-PON) 的需求,例如,波长划分、线路编码、传输汇聚(Transmission Convergence,简称为TC)、层 的改进等,而且决定以国际电信联盟-电信标准部(International Telecommunications Union-Telecommunications standardization sector,简禾尔为 ITU-T)的千兆无源光 网络(Gigabit Passive Optical Network,简称为GP0N)的标准为基础发展NG-P0N标准。 NG-PON的技术将输入到ITU-T进行正式标准化。NG-PON密钥管理机制也将基于GPON的密 钥管理机制进行改进。GPON是基于ITU-T G. 984系列的宽带无源光接入技术,GPON系统通常由光线路 终端(Optical Line Terminal,简称为 0LT)、光网络单元(Optical Network Unit,简称为 0NU)和光分配网络(Optical Distribution Network,简称为0DN)组成。ODN通常为点到 多点结构,一个OLT通过ODN连接多个0NU。OLT发往ONU的数据称为下行数据,ONU发往 OLT的数据称为上行数据。在GPON系统中,下行数据具有天然广播特性,OLT发出的数据能够被下连的所有 ONU接收到。考虑到安全性,ITU-T GPON标准采用高级数据加密标准(Advanced Encryption Standard,简称为AES)加密技术对下行数据进行加密,OLT和ONU各自保存密钥并共同完成 密钥管理,OLT用本地保存的密钥对下行数据进行加密,ONU用本地保存的密钥对来自OLT 的下行数据进行解密。在GPON系统中,OLT和ONU之间的密钥管理流程可以分为三个阶段密钥交换、 密钥切换帧交换、密钥切换。OLT和ONU之间通过物理层操作管理维护(Physical Layer Operation, Administration&Maintenance,简称为PL0AM)消息完成密钥交换和密钥切换 帧交换。图1是根据相关技术的GPON密钥管理过程的示意图,如图1所示,密钥管理的流 程包括在密钥交换阶段,OLT向ONU发送请求密钥(RequestJfey)消息,ONU接收 到RequestJfey消息后,产生新密钥及索引并保存到备用密钥寄存器(shad0W_key_ register),然后,将该新密钥及索引通过加密密钥(Encryptionjfey)消息(其中密钥需 要分为两段通过两个Encryptionjfey消息(包括第一部分和第二部分)来发送,每个 Encryptionjfey消息中携带有相同的密钥索引)发送给0LT,OLT接收到Encryptior^ Key消息后,如果能够解析出正确的密钥及索引,则将解析出的密钥及索引保存到本地的 shadow_key_register, OLT和ONU完成密钥交换。如果OLT发出Request_Key消息后没有接收到或者没有正确解析出ONU发送的密钥及索引,则表示密钥交换失败,OLT会重新启动 密钥交换,如果密钥交换失败三次,则OLT声明一个密钥丢失(Loss of Key,简称为LOKi, 这里的i表示ONU的编号),并去激活0NU。如果密钥交换成功,则进入密钥切换帧交换阶段。在密钥切换帧交换阶段,OLT选 择一个未来的复帧(可以称为密钥切换帧)作为OLT和ONU开始使用新密钥的第一帧,并 将密钥切换帧的复帧号通过密钥切换时间(Key_SWitChing_Time)消息发送给ONU。ONU正 确接收到OLT发送的Key_SWitChing_Time消息后,向OLT发送确认(Acknowledge)消息表 示已经获取密钥切换帧的复帧号。如果OLT正确接收到ONU发送的Acknowledge消息,则 表示密钥切换帧交换成功,否则声明一个确认丢失(Loss of Acknowledge,简称为LOAi,i 表示ONU的编号),并去激活该0NU。如果密钥切换帧交换成功,则进入密钥切换阶段。在密钥切换阶段,OLT在开始发 送密钥切换帧时执行密钥切换复制本地shad0W_key_register中的密钥及索引到本地当 前运行的密钥寄存器(aCtive_key_regiSter),并用新密钥对下行帧(包括密钥切换帧)进 行加密;ONU在接收到密钥切换帧时执行密钥切换复制本地的Shad0W_key_regiSter中的 密钥及索引到本地aCtiVe_key_regiSter,并用新密钥对下行帧(包括密钥切换帧)进行解密。从上述描述可以看出,GPON现有的三个阶段的密钥管理机制比较复杂,部分消息 (例如,Encryption_Key, Key_Switching_Time)需要发送三次以增加可靠性,即使这样,为 了保护密钥管理过程,密钥交换过程可能重复三次、在密钥交换和密钥切换帧交换阶段还 可能去激活ONU (因为LOKi或者LOAi),GPON中的这些措施在处理过程中显得繁重而杂乱, 可是并不能保证密钥管理过程正确完成。在密钥交换阶段中,ONU接收到Requestjfey消息就会产生新密钥及索引,如果多 个Requestjfey消息先后到达0NU,则会多次产生新密钥及索引。由于每次产生新密钥及索 引ONU都会通过Encryptionjfey消息发送给0LT,因此,如果两次产生新密钥及索引之间的 时间间隔较短时,则可能会弓I起OLT和ONU之间的密钥不一致。GPON标准规定,如果ONU检 测到短暂的信号丢失(Loss of Signal,简称为LOS)/帧丢失(Loss of Frame,简称为L0F), 则OLT可能重新启动密钥管理过程,而密钥管理的重新启动可能会导致多个Requestjfey 消息先后到达0NU。在密钥切换阶段中,OLT和ONU的密钥切换完全依赖于一个预先选定的密钥切换 帧。如果密钥切换帧丢失,ONU将不会执行密钥切换,从而会导致OLT和ONU之间的密钥不 一致,并导致ONU无法正确解密下行帧,进一步导致ONU相关业务中断。而且GPON标准并 没有提供相关手段以检测密钥不一致情况的存在,也没有相关的异常报告和处理措施。如 果发生密钥不一致的情况,则这种情况将一直持续到下一次密钥切换的正确完成,两次密 钥切换动作之间的时间间隔取决于系统策略,可能是几分钟,也可能是几个小时。因此,密 钥切换帧的丢失对密钥管理所带来的结果比较严重,随着NG-PON传输距离的延长(要求至 少支持60公里)、分路比的提高(要求能够达到1 256)、速率的提升(下行10Gbit/S、上 行lOGbit/s或2. 5Gbit/s),光功率预算、比特误码率也将增加,帧丢失的概率将大大增加, 因此,完全依赖于一个单独的密钥切换帧的密钥管理机制可靠性比较低。
发明内容
针对相关技术中密钥切换帧的密钥管理机制可靠性比较低的问题而提出本发明,为此,本发明的主要目的在于提供一种改进的密钥切换方案,以解决上述问题。为了实现上述目的,根据本发明的一个方面,提供了一种密钥切换方法。根据本发明的密钥切换方法包括光线路终端向光网络单元提供密钥使用信息, 以便光网络单元根据密钥使用信息进行密钥切换。其中,在光线路终端向光网络单元提供密钥使用信息之前,上述方法还包括光线 路终端接收来自光网络单元的新密钥和新密钥的索引;光线路终端根据新密钥和新密钥的 索引进行密钥切换,更新光线路终端本地的密钥使用信息,以便光线路终端进行密钥使用 信息的通知。优选地,光线路终端执行密钥切换包括以下之一光线路终端在接收到所属光网 络终端发送的新密钥及索引后立即进行密钥切换;光线路终端在其接收到新密钥和新密钥 的索引起的预定时段后执行密钥切换。优选地,该方法还包括预先在光网络单元中设置至少两个寄存器,在光线路终端 中设置至少一个寄存器;在光网络单元中设置的寄存器至少包括保护寄存器和初始寄存 器,其中,保护寄存器用于存储密钥和该密钥的索引,并防止重复产生新密钥和该新密钥的 索引,初始寄存器用于存储新密钥和该新密钥的索引;在光线路终端中设置的寄存器用于 存储密钥和该密钥的索引;在光网络单元和光线路终端中设置的寄存器的状态包括以下之 一激活状态、未激活状态,对于在光网络单元或光线路终端中设置的寄存器,如果其中有 一个寄存器的状态为激活状态,则其它寄存器均为未激活状态。其中,当保护寄存器为激活状态时,光网络单元不产生新密钥和该新密钥的索引。优选地,当初始寄存器存储光网络单元产生的新密钥和该新密钥的索引之前,将 初始寄存器中存储的密钥和该密钥的索引以及初始寄存器的状态保存到在光网络单元中 设置的其他寄存器中,并将初始寄存器的状态设置为未激活状态。优选地,在光线路终端向光网络单元提供密钥使用信息之前,该方法还包括光线 路终端向光网络单元发送请求密钥消息;光线路终端接收来自光网络单元的密钥和该密钥 的索引,如果正确接收,则将密钥和该密钥的索引存储到本地的寄存器,并根据密钥和该密 钥的索引执行密钥切换;光线路终端将存储密钥和该密钥的索引的寄存器设置为激活状 态,并更新本地的密钥使用信息,以便光线路终端向光网络单元提供更新后的密钥使用信 肩、ο优选地,在光线路终端向光网络单元提供密钥使用信息之前,该方法还包括光网 络单元接收来自光线路终端的请求密钥消息;光网络单元检查保护寄存器的状态,如果保 护寄存器的状态为未激活状态,则光网络单元产生新密钥和该新密钥的索引,并将产生的 新密钥和该新密钥的索引存储到初始寄存器;光网络单元从初始寄存器中获取新密钥和该 新密钥的索引,并将获取的新密钥和该新密钥的索引发送给光线路终端,以便光线路终端 执行密钥切换并更新本地的密钥使用信息,以便光线路终端向光网络单元提供更新后的密 钥使用信息;光网络单元接收来自光线路终端的密钥使用信息,并根据密钥使用信息进行 密钥切换。其中,密钥使用信息至少包括以下之一目标密钥的索引、密钥切换指示。
优选地,在光线路终端将目标密钥的索引提供给光网络单元之后,该方法还包括 光网络单元判断其当前使用的密钥与通知的目标密钥的索引对应的密钥是否相同,在判断 结果为是的情况下,光网络单元继续使用其当前使用的密钥;否则,如果本地存储有目标密 钥,则光网络单元使用目标密钥更新当前使用的密钥。优选地,在光线路终端将密钥切换指示通知给光网络单元之后,该方法还包括光 网络单元判断其本地保存的密钥切换指示的值与通知的密钥切换指示的值是否相同,在判 断结果为是的情况下,光网络单元继续使用其当前使用的密钥;否则光网络单元执行密钥 切换,利用其本地寄存器中预先保存的目标密钥更新为当前使用的密钥。优选地,触发光线路终端向光网络单元提供密钥使用信息的操作包括光线路终 端向光网络单元发送千兆无源光网络封装模式帧。优选地,光线路终端向光网络单元提供密钥使用信息包括以下之一光线路终端 向光网络单元发送传输汇聚帧,其中,传输汇聚帧中携带有密钥使用信息;光线路终端向光 网络单元发送千兆无源光网络封装模式帧,其中,千兆无源光网络封装模式帧帧中携带有 密钥使用信息;光线路终端向光网络单元发送物理层操作管理维护消息,其中,物理层操作 管理维护消息中携带有密钥使用信息。为了实现上述目的,根据本发明的另一方面,提供了 一种光线路终端。根据本发明光线路终端,包括提供模块,用于向光网络单元提供密钥使用信息, 以便光网络单元根据密钥使用信息进行密钥切换。为了实现上述目的,根据本发明的再一方面,提供了一种光网络单元。根据本发明的光网络单元,包括接收模块,用于接收来自光线路终端的密钥使用 信息,以便根据光线路终端提供的密钥使用信息进行密钥切换。通过本发明,采用光线路终端向光网络单元提供密钥使用信息的方法,解决了相关 技术中密钥切换帧的密钥管理机制可靠性比较低的问题,进而提高了密钥切换的可靠性。
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发 明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图1是根据相关技术的GPON密钥管理过程的示意图;图2是根据相关技术的GPON TC帧结构的示意图;图3是根据相关技术的GPON GEM帧结构的示意图;图4是根据本发明实施例的NG-PON携带密钥索引的GEM帧结构的示意图;图5是根据本发明实施例的NG-PON携带密钥切换指示的GEM帧结构的示意图;图6是根据本发明实施例的NG-PON携带密钥索引的TC帧结构的示意图;图7是根据本发明实施例的NG-PON携带密钥切换指示的TC帧结构的示意图;图8是根据本发明实施例的NG-PON PLOAM消息携带密钥索引/密钥切换指示的 TC帧结构的示意图。
具体实施例方式功能概述
考虑到相关技术中密钥切换帧的密钥管理机制可靠性比较低的问题,本发明实施 例提供了一种改进的密钥切换方案,即,在NG-P0N系统中提供一种简化的、健壮的密钥管 理机制,0LT向0NU提供密钥使用信息,以便0NU根据密钥使用信息进行密钥切换,使得0NU 能够有效避免重复产生新密钥及索引,同时使得NG-P0N密钥管理具备对帧错误或者帧丢 失的容错能力,从而避免发生0LT和0NU之间的密钥不一致,并实现0LT和0NU之间密钥的 稳定可靠同步。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相 互组合。下面将参考附图并结合实施例来详细说明本发明。方法实施例根据本发明的实施例,提供了一种密钥切换方法,该方法包括0LT向0NU提供密 钥使用信息,以便0NU根据密钥使用信息进行密钥切换。在0LT向0NU提供密钥使用信息之前,该方法还可以进一步包括0LT接收来自 0NU的新密钥和新密钥的索引;0LT根据新密钥和新密钥的索引进行密钥切换,并更新0LT 本地的密钥使用信息,以便0LT进行密钥使用信息的通知。进一步地,0LT可以在下行方向向0NU反复提供密钥使用信息。其中,触发0LT向 0NU提供密钥使用信息的操作包括0LT向0NU发送GEM帧。其中,密钥使用信息至少可以包括以下之一但不限于目标密钥的索引、密钥切换 指示。如果密钥使用信息是目标密钥的索引,是指0LT通知0NU采用索引相关的密钥进行 解密(当前后密钥索引发生变化时,0NU执行密钥切换)。如果密钥使用信息是密钥切换指 示,是指0LT通知0NU进行密钥切换。进一步地,0LT在下行方向可以通过(但不限于)TC帧、GP0N封装模式(GP0N Encapsulation Method,简称为 GEM,其中,GP0N 是指千兆无源光网络,Gigabit Passive Optical Network)帧或者PLOAM消息携带密钥使用信息。也就是说,0LT向0NU提供密钥 使用信息的方式包括但不限于以下之一(1)0LT向0NU发送TC帧,其中,TC帧中携带有密钥使用信息。(2) 0LT向0NU发送GEM帧,其中,GEM帧中携带有密钥使用信息。(3) 0LT向0NU发送PL0AM消息,其中,PL0AM消息中携带有密钥使用信息。其中,0LT执行密钥切换可以包括以下操作之一(1)0LT可以在接收到0NU发送的新密钥及索引后立即进行密钥切换。(2)0LT在其接收到新密钥和新密钥的索引起的预定时段后执行密钥切换,S卩,可 以根据具体情况在接收到0NU发送的新密钥和新密钥的索引后延迟一段时间后再执行密 钥切换。进一步地,该方法还包括以下操作(1)在0NU中设置至少两个寄存器,每个寄存器保存一份密钥及其相关索引,每个 寄存器的状态可以是以下两种状态的一种激活状态和未激活状态。这些寄存器中有且只 有一个寄存器的状态是激活状态,其他寄存器均为未激活状态。其中,在0NU中设置的寄存器至少包括保护寄存器和初始寄存器,其中,保护寄 存器用于存储密钥和该密钥的索引,并防止重复产生新密钥和该新密钥的索引,初始寄存 器用于存储新密钥和该新密钥的索引。
具体地,指定其中一个寄存器为保护寄存器,当该保护寄存器为激活状态时,ONU 不再产生新密钥和该新密钥的索引;指定其中一个寄存器为初始寄存器,ONU产生的新密 钥及索引保存在初始寄存器。进一步地,在初始寄存器存储ONU产生的新密钥和该密钥的索引之前,可以将初 始寄存器中存储的密钥和该密钥的索引以及初始寄存器的状态保存到在ONU中设置的其 他寄存器中,并将初始寄存器的状态设置为未激活状态。(2)在OLT中至少设置一个寄存器,每个寄存器保存一份密钥及其相关索引,每个 寄存器的状态 可以是以下两种状态的一种激活状态和未激活状态,这些寄存器中有且只 有一个寄存器的状态是激活状态,其他寄存器均为未激活状态。结合本发明实施例提供的技术方案,NG-PON密钥管理过程包括如下步骤(I)OLT向ONU发送请求密钥消息,请求ONU向OLT发送一个密钥和该密钥的索引。(2)0NU接收到请求密钥消息后,进行以下两个子步骤的处理(2. 1)0NU检查本地保护寄存器的状态,如果保护寄存器的状态为激活状态,则 ONU不产生新密钥及索引;如果保护寄存器的状态为未激活状态,则ONU产生新密钥和该新 密钥的索引,并将产生的新密钥和该新密钥的索引存储到初始寄存器。(2. 2) ONU从初始寄存器中获取密钥和该密钥的索引,并将获取的密钥和该密钥的 索引发送给0LT,以便OLT执行密钥切换并更新本地的密钥使用信息,以便OLT向ONU提供 更新后的密钥使用信息。(3) OLT接收来自ONU的密钥和该密钥的索引,如果正确接收,则将密钥和该密钥 的索引存储到本地的寄存器,,并根据密钥和该密钥的索引执行密钥切换,其中,OLT可以立 即执行密钥切换,也可以根据具体情况延迟一段时间再执行密钥切换。(4) OLT—旦执行密钥切换,则将存储密钥和该密钥的索引的寄存器设置为激活状 态,并更新本地的密钥使用信息,以便OLT向ONU提供更新后的密钥使用信息,即,在下行方 向反复发送更新后的密钥使用信息。(5) ONU接收来自OLT的密钥使用信息,即,从下行帧中解析出密钥使用信息,根据 密钥使用信息决定密钥使用及是否执行密钥切换。具体地,如果OLT将目标密钥的索引提供给0NU,则ONU判断其当前使用的密钥与 通知的目标密钥的索引对应的密钥是否相同,在判断结果为是的情况下,ONU继续使用其 当前使用的密钥;否则,如果本地存储有目标密钥,则ONU使用目标密钥更新当前使用的密 钥。如果OLT将密钥切换指示通知给0NU,则ONU判断其本地保存的密钥切换指示的值 与通知的密钥切换指示的值是否相同,在判断结果为是的情况下,ONU继续使用其当前使用 的密钥;否则ONU执行密钥切换,利用其本地寄存器中预先保存的目标密钥更新为当前使 用的密钥。需要说明的是,本发明提供的密钥管理机制虽然是针对NG-PON提出的,但是本发 明并不排除其应用于GPON或者其他需要类似密钥管理的PON系统(例如,以太无源光网络 Ethernet Passive Optical Network,简称为 EPON)。下面将结合实例对本发明实施例的具体实现过程进行详细描述,首先对用于实施 本发明实例的相关内容进行描述。
1、GPON的TC帧和GEM帧格式在具体实现过程中,需要通过TC帧或者GEM帧携带密钥使用信息,下面首先对GPON的TC帧结构和GEM帧结构进行描述,GPON TC和GEM帧格式如图2、图3。这里的TC 帧或者GEM帧示例可以继续包含GPON TC帧或者GEM帧中的内容。(1) GPON TC帧结构如图2所示,由下行物理控制块和GPON传输汇聚层净 荷组成,其中,帧头包括帧同步(Psync)4字节(bytes)、复帧号(Ident) 4bytes、下行 PLOAM(PLOAMd) 13bytes、比特间插校验(BIP) lbytes、下行长度指示(Plend)4bytes、上行 带宽分配图(BWmap)。(2) GPON GEM帧结构如图3所示,由GEM帧头和GEM净荷组成,其中GEM帧头长度 为5字节,包括净荷长度指示(PLI) 12比特、GEM端口号(Port-ID) 12比特、净荷类型指示 (PTI) 3比特、帧头错误控制(HEC) 13比特。2、Encryption_Key 消息格式根据本发明实施例的Encryptionjfey消息格式,如表1所示,共18字节,其中,密 钥索引为4比特(第2字节的高4位)。GPON支持128比特位的密钥,而该消息格式可以支 持更多比特位的密钥(通过第2字节的低2位比特表示),如128比特、256比特、512比特、 1024比特,更多比特位的密钥可以增加安全性,但是需要分为多段通过多个Encryptioru Key消息发送(类似GP0N,将第2字节的中间2比特表示当前Encryptionjfey消息发送的 是哪一段密钥)。表 1NG-P0N 的 Encryption_Key 消息格式示例
3、ONU中的寄存器当ONU中的寄存器数为2和3时,寄存器的工作情况如下(1) ONU中寄存器数为2的情况在ONU中设置两个寄存器,分别为保护(Previous)寄存器和初始(Next)寄存器, 每个寄存器都保存一份密钥及其相关索引,其中,一个寄存器为激活状态,另一个寄存器为 未激活状态。当Previous寄存器为激活状态时,ONU接收到RequestJfey消息不会产生新 密钥及索引。当Next寄存器为激活状态时,ONU接收到Requestjfey消息后产生的新密钥 及索引,并且将该新密钥及索引保存在Next寄存器中,在保存该新密钥及索引之前,丢弃Previous寄存器中的内容,将Next寄存器的密钥、索引和寄存器状态转移到Previous寄存 器,然后,将Next寄存器设置为未激活状态。在初始条件下,Previous和Next寄存器的密钥索引都为0,PreViouS寄存器为未 激活状态,Next寄存器为激活状态。当下行帧携带的是密钥索引时,该密钥索引与哪个寄存器中的密钥索引一致 (即,比较两个密钥所有的值是否相同),则将哪个寄存器设置为激活状态(同时将另一个 寄存器设置为未激活状态),0NU始终采用处于激活状态的寄存器中的密钥对相关下行帧 进行解密。当下行帧携带的是密钥切换指示时,密钥切换指示每变化一次,0NU执行一次密钥 切换(将原来处于未激活状态的寄存器设置为激活状态,将原来处于激活状态的寄存器设 置为未激活状态),0NU始终采用处于激活状态的寄存器中的密钥对相关下行帧进行解密。(2) 0NU中寄存器数为3的情况在0NU中设置三个寄存器,分别为保护(Previous)寄存器、中间(Medium)寄存 器和初始(Next)寄存器,每个寄存器都保存一份密钥及其相关索引,其中,一个寄存器为 激活状态,另两个寄存器为未激活状态。当Previous寄存器为激活状态时,0NU接收到 Request_Key消息不会产生新密钥及索引。当Next或者Medium寄存器为激活状态时,0NU 接收到Requestjfey消息后,产生新密钥及索引,并且将该新密钥及索引保存在Next寄存 器中,在保存该新密钥及索引之前,丢弃Previous寄存器中的内容,将Medium寄存器的密 钥、索引和状态转移到Previous寄存器,将Next寄存器的密钥、索引和状态转移到Medium 寄存器,将Next寄存器设置为未激活状态。在初始条件下,Previous、Medium和Next寄存器的密钥索引都为0,Previous、 Medium寄存器为未激活状态,Next寄存器为激活状态。当下行帧携带的是密钥索引时,该密钥索引与哪个寄存器中的密钥索引一致,则 将哪个寄存器设置为激活状态(同时将原来处于激活状态的寄存器设置为未激活状态), 0NU始终采用处于激活状态的寄存器中的密钥对相关下行帧进行解密。当下行帧携带的是密钥切换指示时,密钥切换指示每变化一次,0NU执行一次密钥 切换(按照PreVious->Medium->Next->PreVious的循环顺序,将原来处于激活状态的寄 存器的下一个寄存器设置为激活状态,将原来处于激活状态的寄存器设置为未激活状态), 0NU始终采用处于激活状态的寄存器中的密钥对相关下行帧进行解密。当寄存器数多于3时,工作情况类似寄存器数为3的情况,在此不再赘述。为了简化说明,在后面的具体实施方式
中,以0NU中设置2个寄存器为例进行说 明。4、0LT中的寄存器当0LT中的寄存器数为1、2和3时,寄存器的工作情况如下(1)0LT中的寄存器数为1在0LT中设置一个寄存器,该寄存器保存一份密钥及其相关索引,该寄存器始终 为激活状态,相应地,每次该寄存器中的密钥及索引更新后0LT立即执行密钥切换。(2) 0LT中的寄存器数为2在0LT中设置两个寄存器,分别为Previous寄存器和Next寄存器,每个寄存器保存一份密钥及其相关索引,其中,一个寄存器为激活状态,另一个寄存器为未激活状态,OLT 始终采用处于激活状态的寄存器中的密钥对相关下行帧进行加密。OLT接收到ONU发送的密钥及索引,保存在Next寄存器中,在保存该新密钥及索引 之前,丢弃Previous寄存器中的内容,将Next寄存器中的密钥、索引和寄存器状态转移到 Previous寄存器,然后,将Next寄存器的状态设置为未激活状态。一旦Next寄存器中的内容更新,可以立即执行密钥切换(将原来处于未激活状 态的寄存器设置为激活状态,将原来处于激活状态的寄存器设置为未激活状态,如果下行 帧携带的是密钥切换指示,还需更新密钥切换指示),也可以根据实际情况稍后进行密钥切换。(3) OLT中的寄存器数为3在ONU中设置三个寄存器,分别为Previous寄存器、Medium寄存器和Next寄存 器,每个寄存器都保存一份密钥及其相关索引,其中,一个寄存器为激活状态,另两个寄存 器为未激活状态。OLT始终采用处于激活状态的寄存器中的密钥对相关下行帧进行加密。OLT接收到ONU发送的新密钥及索引,将该密钥及索引保存在Next寄存器中,在保 存新密钥及索引之前,丢弃Previous寄存器中的内容,将Medium寄存器中的密钥、索引和 状态转移到Previous寄存器,将Next寄存器中的密钥、索引和状态转移到Medium寄存器, 将Next寄存器的状态设置为未激活状态。在初始条件下,Previous、Medium和Next寄存器的密钥索引都为0,Previous、 Medium寄存器为未激活状态,Next寄存器为激活状态。一旦Next寄存器中的内容更新,可以立即执行密钥切换(按照 Previous->Medium->Next->Previous的循环顺序,将原来处于激活状态的寄存器的下一个 寄存器设置为激活状态,将原来处于激活状态的寄存器设置为未激活状态,如果下行帧携 带的是密钥切换指示,还需更新密钥切换指示),也可以根据实际情况稍后进行。当寄存器数多于3时,工作情况类似于寄存器数为3的情况,在此不再赘述。为了简化说明,在以下的实施例中,以OLT中设置1个寄存器为例进行描述。实例一 GEM帧携带密钥索引NG-PON携带密钥索引的GEM帧结构示例如图4所示,该帧结构考虑了 GPON已有 的GEM帧结构和NG-PON可能的改进,由GEM帧头和净荷组成,其中,帧头长度为8字节,包 括净荷长度指示(PLI)、GEM端口号(Port-ID)、密钥索引、净荷类型指示(PTI)、16位循环 冗余校验(CRC-16)、保留等域。需要说明的是,该帧结构主要为了说明GEM帧携带密钥索引的可行性,密钥索引 域的大小及其在NG-PON GEM帧中的位置仅仅是示例,本发明不排除其他可能性,其他域的 存在也仅仅是示例一个完整的GEM帧结构,不对GEM帧如何携带密钥索引构成限制。在该实例中,采用128比特密钥,因此,Encryption_Key消息中的Key_Size域为 00,Frag_Index域无效;采用4比特的密钥索引,密钥索引取值范围为0_7,其中,0表示不 加密。在该实例中,在ONU中设置两个寄存器=Previous寄存器和Next寄存器,每个寄 存器都保存一份密钥及其相关索引,其中,一个寄存器为激活状态(假设其中保存的索引为激活索引key_index_ACtive),另一个寄存器为未激活状态(假设其中保存的索引为非激活索引key_indeX_PaSSiVe)。其中,Previous寄存器为保护寄存器,当Previous寄存器 为激活状态时,0NU接收到Requestjfey消息后不产生新密钥及索引。Next寄存器为初始 寄存器,当Next寄存器为激活状态时,0NU接收到Request Key消息后产生新密钥及索引, 并将该新密钥及索引保存在Next寄存器中,在保存该新密钥及索引之前,将Next寄存器中 的密钥、索引和寄存器状态转移到Previous寄存器,然后,将Next寄存器设置为未激活状 态。在初始条件下,Previous和Next寄存器中的密钥及索引都为0,PreViouS寄存器为未 激活状态,Next寄存器为激活状态。在0LT中设置一个寄存器(Active),该寄存器保存一份密钥及索引,始终为激活 状态。初始条件下该寄存器中的密钥及索引都为0。在该实例中,NG-P0N系统的密钥管理过程为(1) 0LT 向 0NU 发送 Requestjfey 消息。(2) 0NU接收到Requestjfey消息后,分为以下两个子步骤进行处理(2. 1)0NU检查Previous寄存器的状态,如果Previous寄存器的状态为激活状态, 则0NU不产生新密钥及索引(Next寄存器中已经有密钥及索引);否则,0NU产生新的密钥 及索引,丢弃Previous寄存器中的密钥及索引,将Next寄存器中的密钥、索引及寄存器状 态转移到Previous寄存器,设置Next寄存器为未激活状态并将新密钥及索引保存入Next 寄存器。(2. 2)0NU取出Next寄存器中的密钥及索引,并通过表1所示的Encrytionjfey消 息发送给0LT。(3)在发送Requestjfey消息后,如果0LT从0NU接收到Encryption_Key消息并能 从中正确解析出新密钥及索引,则将新密钥及索引保存入Active寄存器,并立即执行密钥 切换,在后续的、与该0NU相关的下行GEM帧中携带新的密钥索引,进入步骤(4);否则0LT 声明一个LOKi并去激活该0NU。(4) 0NU每次接收到下行GEM帧,都从GEM帧头解析出密钥索引(假设该密钥索引 为key_index_GEM),并根据key_index_GEM进行判断后,执行(4. 1)当 key_index_GEM 为 0 时,表示该 GEM 帧未加密,0NU 对 Previous 和 Next 寄存器的内容和状态不作改动,并且不对该GEM帧解密。(4. 2)当 key_index_GEM 不为 0 并且等于 key_index_Active 时,0NU 对 Previous 和Next寄存器的内容和状态不作改动,使用处于激活状态的寄存器中的密钥进行解密。(4. 3)当 key_index_GEM 不为 0 并且等于 key_index_Passive 时,则 0NU 执行密钥 切换,具体操作包括同时将处于激活状态的寄存器的状态设置为未激活状态、处于未激活 状态的寄存器设置的状态为激活状态,然后用处于激活状态的寄存器中的密钥进行解密。(4. 4)当 key_index_GEM 不为 0 并且不等于 key_index_Active 也不等于 key_ index_Passive时,则0NU认为GEM帧携带的密钥索引不合法,丢弃该GEM帧并产生、保存、 报告密钥索引不合法事件。实例二 GEM帧携带密钥切换指示NG-P0N携带有密钥切换指示的GEM帧结构示例如图5所示,该帧结构考虑了 GP0N 已有的GEM帧结构和NG-P0N可能的改进,由GEM帧头和净荷组成,其中,帧头的长度为8字 节,包括净荷长度指示(PLI)、GEM端口号(Port-ID)、密钥切换指示、净荷类型指示(PTI)、16位循环冗余校验(CRC-16)、保留等域。该帧结构主要为了说明GEM帧携带密钥切换指示 的可行性,密钥切换指示域的大小及其在GEM帧中的位置仅仅是示例,本发明不排除其他 可能性,其他域的存在也仅仅是示例一个完整的GEM帧结构,不对GEM帧如何携带密钥切换 指示构成限制。 在本实例中,密钥切换指示的取值为0x5、OxA (其他值为非法),在OLT和ONU中各 保存一份密钥切换指示,初始值都为0x5。ONU中的寄存器设置如实例一。OLT中的寄存器设置如实例一。 在本实例中,NG-PON系统的密钥管理过程为(1)-(2)同实例一。(3)在发送Request_Key消息后,如果OLT从ONU接收到Encryption_Key消息并能 从中正确解析出新密钥及索引,则将该新密钥及索引保存入Active寄存器,立即执行密钥 切换,具体操作包括更新本地的密钥切换指示(若原密钥切换指示为0x5,则更新为OxA, 若原密钥切换指示为OxA则更新为0x5),并在后续的、与该ONU相关的下行GEM帧中携带新 的密钥切换指示,进入步骤(4);否则OLT声明一个LOKi并去激活该0NU。(4) ONU每次接收到下行GEM帧,从GEM帧头解析出密钥切换指示(假设该密钥切 换指示为key_SWitch_f lag),并根据key_SWitch_f lag进行判断并且执行(4. 1)如果key_switch_flag与ONU本地保存的密钥切换指示相同,则ONU对 Previous和Next寄存器的内容和状态不作改动,并仍然用处于激活状态的寄存器的密钥 进行解密。(4. 2)如果key_SWitCh_flag与ONU本地保存的密钥切换指示不一样且值为0x5 或OxA,则ONU执行密钥切换,具体操作包括同时将处于激活状态的寄存器设置为未激活 状态、处于未激活状态的寄存器设置为激活状态,然后用处于激活状态的寄存器中的密钥 进行解密,并将key_SWitCh_flag保存为本地密钥切换指示。(4. 3)如果key_switch_flag取值不为0x5也不为OxA,则认为下行GEM帧携带的 密钥切换指示不合法,丢弃该GEM帧并产生、保存、报告密钥切换指示不合法事件。实例三TC帧头携带密钥索引NG-PON携带有密钥索引的TC帧结构示例如图6所示,该帧结构考虑了 GPON已有 的TC帧结构和NG-PON可能的改进,由下行物理控制块和净荷组成,其中帧头包括帧同步 (Psync)、复帧号(Ident)、比特间插校验(BIP)、下行长度指示(Plend)、密钥索引域、下行 PLOAM组(PLOAMdg)、上行带宽分配图(BWmap),其中,密钥索引域包括256个ONU的密钥索 弓丨,每个ONU的密钥索引为4比特。需要说明的是,该帧结构主要为了说明TC帧携带密钥索引的可行性,密钥索引域 的大小、构成及其在NG-PON TC帧中的位置仅仅是示例,本发明不排除其他可能性,其他域 的存在也仅仅是示例一个完整的TC帧结构,不对TC帧如何携带密钥索引域构成限制。ONU中的寄存器设置如实例一。OLT中的寄存器设置如实例一。在本实例中,NG-PON系统的密钥管理过程基本同实例一,除了 OLT在下行帧中携 带密钥索引的方式不一样(实例一中OLT将密钥索引携带在下行GEM帧中,在本实例中,0LT将密钥索引携带在下行TC帧头中)、0NU从下行帧中解析密钥索引的方式也不一样(实 例一中0NU从下行GEM帧中解析密钥索引,在本实例中,0NU从下行TC帧头中解析密钥索 引)。因此,本实例不再赘述NG-P0N系统的密钥管理过程。实例四TC帧头携带密钥切换指示NG-P0N携带密钥切换指示的TC帧结构示例如图7所示,该帧结构考虑了 GP0N已 有的TC帧结构和NG-P0N可能的改进,由下行物理控制块和净荷组成,其中帧头包括帧同步 (Psync)、复帧号(Ident)、比特间插校验(BIP)、下行长度指示(Plend)、密钥切换指示域、 下行PL0AM组(PLOAMdg)、上行带宽分配图(BWmap),其中密钥切换指示域包括256个0NU 的密钥切换指示,每个0NU的密钥切换指示为4比特。需要说明的是,该帧结构主要为了说明TC帧携带密钥切换指示的可行性,密钥切 换指示域的大小、构成及其在NG-PON TC帧中的位置仅仅是示例,本发明不排除其他可能 性,其他域的存在也仅仅是示例一个完整的TC帧结构,不对TC帧如何携带密钥切换指示域 构成限制。0NU中的寄存器设置如实例一。0LT中的寄存器设置如实例一。在本实例中,NG-P0N系统的密钥管理过程基本同实例二,除了 0LT在下行帧中携 带密钥切换指示的方式不一样(实例二中0LT将密钥切换指示携带在下行GEM帧中,本实 例中,0LT将密钥切换指示携带在下行TC帧头中)、0NU从下行帧中解析密钥切换指示的方 式也不一样(实例二中0NU从下行GEM帧中解析密钥切换指示,本实例中,0NU从下行TC帧 头中解析密钥切换指示)。因此本实例不再赘述NG-P0N系统的密钥管理过程。实例五PL0AM消息携带密钥索引NG-PON PL0AM消息携带密钥索引的TC帧结构示例如图8所示,该帧结构考虑了 GP0N已有的TC帧结构和NG-P0N可能的改进,由下行物理控制块和净荷组成,其中帧头包括 帧同步(Psync)、复帧号(Ident)、比特间插校验(BIP)、下行长度指示(Plend)、下行PL0AM 组(PLOAMdg)、上行带宽分配图(BWmap),其中密钥索引域包括在PLOAMdg中。其中,PLOAMdg 由多个PLOAMd拼接而成(其中Plend域中的Plen域指示PLOAMd的个数),每个PLOAMd的 为20个字节长度。本实例定义一种新的PLOAMd消息Key_Index_Indication用于携带0NU 的密钥索引,如表2所示。当下行TC帧的净荷中有发送给某个0NU的GEM帧,则在PLOAMdg 中增加一条发送给该0NU的Key_Index_Indication消息。表2NG-P0N Key_Index_Indication 消息格式
该帧结构主要为了说明PL0AM消息携带密钥索引的可行性,密钥索引域的大小、 PL0AM消息格式以及密钥索引在PL0AM消息中的位置仅仅是示例,本发明不排除其他可能 性,TC帧中其他域的存在也 仅是示例一个完整的TC帧结构,不对PL0AM消息如何携带密钥切换指示域构成限制。ONU中的寄存器设置如实例一。OLT中的寄存器设置如实例一。在本实例中,NG-PON系统的密钥管理过程基本同实例一,除了 OLT在下行帧中携带密钥索引的方式不一样(实例一中OLT将密钥索引携带在下行GEM帧中,本实例中,OLT 将密钥索引携带在下行TC帧头的PLOAM消息组中)、ONU从下行帧中解析密钥索引的方式 也不一样(实例一中ONU从下行GEM帧中解析密钥索引,本实例中,ONU从下行TC帧头的 PLOAM消息组中解析密钥索引)。因此,本实例不再赘述NG-PON系统的密钥管理过程。实例六PLOAM消息携带密钥切换指示NG-PON PLOAM消息携带密钥切换指示的TC帧结构示例如图8所示,该帧结构考 虑了 GPON已有的TC帧结构和NG-PON可能的改进,由帧头和净荷组成,其中,帧头包括帧 同步(Psync)、复帧号及FEC指示(Ident)、比特间插校验(BIP)、长度指示(Plend)、下行 PLOAM组(PLOAMdg)、带宽分配图(BWmap),其中密钥切换指示域包括在PLOAMdg中。其中, PLOAMdg由多个PLOAMd拼接而成(其中Plend域中的Plen域指示PLOAMd的个数),每个 PLOAMd的为20个字节长度。本实例定义一种新的PLOAMd消息Key_Switch_Indication用 于携带ONU的密钥切换指示,如表3所示。当下行TC帧的净荷中有发送给某个ONU的GEM 帧,则在PLOAMdg中增加一条发送给该ONU的Key_Switch_Indication消息。表3Key_Switch_Indication 消息格式 该帧结构主要为了说明PLOAM消息携带密钥索引的可行性,密钥切换指示的大 小、PLOAM消息格式以及密钥切换指示在PLOAM消息中的位置仅仅是示例,本发明不排除其 他可能性,TC帧中其他域的存在也仅仅是示例一个完整的TC帧结构,不对PLOAM消息如何 携带密钥切换指示域构成限制。ONU中的寄存器设置如实例一。OLT中的寄存器设置如实例一。在本实例中,NG-PON系统的密钥管理过程基本同实例二,除了 OLT在下行帧中携 带密钥切换指示的方式不一样(实例二中OLT将密钥切换指示携带在下行GEM帧中,本实 例中,OLT将密钥切换指示携带在下行TC帧头的PLOAM消息组中)、0NU从下行帧中解析密 钥切换指示的方式也不一样(实例二中ONU从下行GEM帧中解析密钥切换指示,本实例中, ONU从下行TC帧头的PLOAM消息组中解析密钥切换指示)。因此本实例不再赘述NG-PON 系统的密钥管理过程。
装置实施例实施例一根据本发明的实施例,提供了 一种0LT,该0LT包括提供模块,该提供模块用于向 0NU提供密钥使用信息,以便0NU根据此密钥使用信息进行密钥切换。进一步地,0LT可以在下行方向向0NU反复提供密钥使用信息。其中,触发0LT向 0NU提供密钥使用信息的操作包括0LT向0NU发送GEM帧。其中,密钥使用信息至少可以包括以下之一但不限于目标密钥的索引、密钥切换 指示。如果密钥使用信息是目标密钥的索引,是指0LT通知0NU采用索引相关的密钥进行 解密(当前后密钥索引发生变化时也可以进行密钥切换)。如果密钥使用信息是密钥切换 指示,是指0LT通知0NU进行密钥切换。进一步地,0LT在下行方向可以通过(但不限于)TC帧、GEM帧或者PL0AM消息携 带密钥使用信息。实施例二根据本发明的实施例,提供了一种0NU。该0NU包括接收模块,用于接收来自0LT 的密钥使用信息,以便根据0LT提供的密钥使用信息进行密钥切换。具体地,0NU的接收模块接收来自0LT的密钥使用信息,也就是说,从下行帧中解 析出密钥使用信息,然后根据密钥使用信息决定密钥使用及是否执行密钥切换。综上所述,通过本发明的上述实施例,提供的密钥管理机制的优势体现在密钥管 理不再需要密钥切换帧交换阶段,简化了密钥管理过程;密钥交换阶段增加了重复请求密 钥消息的鉴别及保护手段,有效消除了重复请求密钥消息可能带来的密钥不一致;0NU的 密钥切换不再依赖于单独的密钥切换帧,而是依赖于0LT在下行方向反复提供的密钥使用 信息,具备密钥自恢复功能,有效消除了帧错误或者帧丢失所引起的密钥不一致。显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用 的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成 的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储 在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们 中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的 硬件和软件结合。以上仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人 员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、 等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
一种密钥切换方法,其特征在于,包括光线路终端向光网络单元提供密钥使用信息,以便所述光网络单元根据所述密钥使用信息进行密钥切换。
2.根据权利要求1所述的方法,其特征在于,在所述光线路终端向所述光网络单元提 供所述密钥使用信息之前,所述方法还包括所述光线路终端接收来自所述光网络单元的新密钥和所述新密钥的索引;所述光线路终端根据所述新密钥和所述新密钥的索引进行密钥切换,更新所述光线路 终端本地的密钥使用信息,以便所述光线路终端进行密钥使用信息的通知。
3.根据权利要求2所述的方法,其特征在于,所述光线路终端执行密钥切换包括以下 之一所述光线路终端在接收到所属光网络终端发送的新密钥及索引后立即进行密钥切换;所述光线路终端在其接收到所述新密钥和所述新密钥的索引起的预定时段后执行密 钥切换。
4.根据权利要求1所述的方法,其特征在于,还包括预先在所述光网络单元中设置至少两个寄存器,在所述光线路终端中设置至少一个寄 存器;在所述光网络单元中设置的所述寄存器至少包括保护寄存器和初始寄存器,其中,所 述保护寄存器用于存储密钥和该密钥的索引,并防止重复产生新密钥和该新密钥的索引, 所述初始寄存器用于存储新密钥和该新密钥的索引;在所述光线路终端中设置的所述寄存 器用于存储密钥和该密钥的索引;在所述光网络单元和所述光线路终端中设置的所述寄存器的状态包括以下之一激活 状态、未激活状态,对于在所述光网络单元或所述光线路终端中设置的所述寄存器,如果其 中有一个寄存器的状态为激活状态,则其它寄存器均为未激活状态。
5.根据权利要求4所述的方法,其特征在于,当所述保护寄存器为激活状态时,所述光 网络单元不产生新密钥和该新密钥的索引。
6.根据权利要求4所述的方法,其特征在于,当所述初始寄存器存储所述光网络单元 产生的新密钥和该新密钥的索引之前,将所述初始寄存器中存储的密钥和该密钥的索引以 及所述初始寄存器的状态保存到在所述光网络单元中设置的其他寄存器中,并将所述初始 寄存器的状态设置为未激活状态。
7.根据权利要求4所述的方法,其特征在于,在所述光线路终端向所述光网络单元提 供所述密钥使用信息之前,所述方法还包括所述光线路终端向所述光网络单元发送请求密钥消息;所述光线路终端接收来自所述光网络单元的密钥和该密钥的索引,如果正确接收,则 将所述密钥和该密钥的索引存储到本地的寄存器,并根据所述密钥和该密钥的索引执行密 钥切换;所述光线路终端将存储所述密钥和该密钥的索引的寄存器设置为激活状态,并更新本 地的密钥使用信息,以便所述光线路终端向所述光网络单元提供更新后的所述密钥使用信息。
8.根据权利要求4所述的方法,其特征在于,在所述光线路终端向所述光网络单元提 供所述密钥使用信息之前,所述方法还包括所述光网络单元接收来自所述光线路终端的请求密钥消息;所述光网络单元检查所述保护寄存器的状态,如果所述保护寄存器的状态为未激活状 态,则所述光网络单元产生新密钥和该新密钥的索引,并将产生的所述新密钥和该新密钥 的索引存储到所述初始寄存器;所述光网络单元从所述初始寄存器中获取所述新密钥和该新密钥的索引,并将获取的 所述新密钥和该新密钥的索引发送给所述光线路终端,以便所述光线路终端执行密钥切换 并更新本地的密钥使用信息,以便所述光线路终端向所述光网络单元提供更新后的所述密 钥使用信息;所述光网络单元接收来自所述光线路终端的所述密钥使用信息,并根据所述密钥使用 信息进行密钥切换。
9.根据权利要求1至8中任一项所述的方法,其特征在于,所述密钥使用信息至少包括 以下之一目标密钥的索引、密钥切换指示。
10.根据权利要求9所述的方法,其特征在于,在所述光线路终端将所述目标密钥的索 引提供给所述光网络单元之后,所述方法还包括所述光网络单元判断其当前使用的密钥与通知的所述目标密钥的索引对应的密钥是 否相同,在判断结果为是的情况下,所述光网络单元继续使用其当前使用的密钥;否则,如 果本地存储有所述目标密钥,则所述光网络单元使用所述目标密钥更新所述当前使用的密 钥。
11.根据权利要求9所述的方法,其特征在于,在所述光线路终端将所述密钥切换指示 通知给所述光网络单元之后,所述方法还包括所述光网络单元判断其本地保存的密钥切换指示的值与通知的所述密钥切换指示的 值是否相同,在判断结果为是的情况下,所述光网络单元继续使用其当前使用的密钥;否则 所述光网络单元执行密钥切换,利用其本地寄存器中预先保存的目标密钥更新为所述当前 使用的密钥。
12.根据权利要求1至8中任一项所述的方法,其特征在于,触发所述光线路终端向所 述光网络单元提供所述密钥使用信息的操作包括所述光线路终端向所述光网络单元发送千兆无源光网络封装模式帧。
13.根据权利要求1至8中任一项所述的方法,其特征在于,所述光线路终端向所述光 网络单元提供所述密钥使用信息包括以下之一所述光线路终端向光网络单元发送传输汇聚帧,其中,所述传输汇聚帧中携带有所述 密钥使用信息;所述光线路终端向光网络单元发送千兆无源光网络封装模式帧,其中,所述千兆无源 光网络封装模式帧帧中携带有所述密钥使用信息;所述光线路终端向光网络单元发送物理层操作管理维护消息,其中,所述物理层操作 管理维护消息中携带有所述密钥使用信息。
14.一种光线路终端,其特征在于,包括提供模块,用于向光网络单元提供密钥使用信息,以便所述光网络单元根据所述密钥 使用信息进行密钥切换。
15. 一种光网络单元,其特征在于,包括接收模块,用于接收来自光线路终端的密钥使用信息,以便根据所述光线路终端提供 的所述密钥使用信息进行密钥切换。
全文摘要
本发明公开了一种密钥切换方法、光线路终端以及光网络单元,该方法包括光线路终端向光网络单元提供密钥使用信息,以便光网络单元根据密钥使用信息进行密钥切换。本发明提高了密钥切换的可靠性。
文档编号H04Q11/00GK101841743SQ20091012931
公开日2010年9月22日 申请日期2009年3月19日 优先权日2009年3月19日
发明者张伟良, 马瑞克·海德杰尼 申请人:中兴通讯股份有限公司