[发明专利]一种无源光网络系统组播业务加密方法和装置

说明书

技术领域

本发明涉及光通信领域，具体涉及一种用于PON(Passive OpticalNetwork，无源光网络)系统中对组播业务数据进行加密的方法和装置。

背景技术

无源光网络的结构，是一个PON口对应于多个PON终端用户ONU(Optical Network Unit，光网络单元)设备，且在下行链路上，局侧OLT(Optical Line Terminal，光线路终端)发出的所有数据，每个用户ONU都能够进行接收。这里所说的“每个用户ONU”包含合法用户和恶意用户两种情况：

拥有合法的注册信息，在物理连接到PON的某一根分支光纤后，可以和OLT交互消息进行注册，这种用户称之为合法用户；

不具有合法的注册信息，仅仅是在物理上连接到PON的某一根分支光纤，从不理会OLT发出的注册要求，仅接收下行信息，这种用户可以称之为恶意用户。

即使是合法用户，在其物理链接到一根分支光纤后，并在成功注册之前，也可以接收到OLT PON端口下发的各种明文数据包。目前PON技术中定义了一些加密机制，如GPON(Gigabit-Capable Passive Optical Network，吉比特无源光网络)系统的AES(Advanced Encryption Standard，高级加密标准)加密机制，或者EPON(Ethernet Passive Optical Network，以太网无源光网络)系统中的搅动加密机制和三重搅动加密机制等等，都是单播加密机制。对于组播数据(即OLT PON端口仅有一份业务数据下发，所有的用户或者符合要求的一部分用户接收、使用该业务数据)，目前还没有有效的加密机制进行。一般运营商都是针对业务设置一个全网范围通用的密钥进行加密，但这种机制的缺点是一旦密钥被恶意用户得知，其全网所有业务内容都将被解密窃取。

运营商在无源光网络PON中目前采用的方法是将组播业务数据包复制到每一个PON端口和用户ONU的单播通道上，应用单播机制进行加密，来保护组播业务数据包不被恶意用户窃取。但是这种方法需要为每个ONU发送密钥，加重了OLT的负担。

发明内容

本发明要解决的技术问题是提供一种无源光网络系统组播业务加密方法和装置，提高安全性，简化OLT加密机制的复杂性，减轻OLT负荷。

为解决上述技术问题，本发明提供了一种无源光网络系统组播业务加密方法，包括：

光线路终端(OLT)生成公共密钥，并使用公共密钥对承载通道上的组播业务数据进行加密后发送，同一承载通道上的组播业务数据使用相同的公共密钥加密；

所述OLT通过管理控制通道将加密组播业务数据时所采用的公共密钥发送给注册成功的且申请接收所述组播业务数据的光网络单元(ONU)。

进一步地，所述ONU获取公共密钥后，使用所述公共密钥对承载通道上所述ONU申请接收的组播业务数据进行解密。

进一步地，所述OLT在生成公共密钥的同时为公共密钥设置老化时间，待老化时间到达后，重新生成新的公共密钥，并使用新的公共密钥加密承载通道上的组播业务数据，向注册成功的且申请所述组播业务数据的ONU发送所述新的公共密钥。

进一步地，所述OLT将加密组播业务数据时所采用的公共密钥发送给注册成功的且申请接收所述组播业务数据的ONU的步骤包括：

OLT判断ONU注册成功且申请接收组播业务数据，则主动将加密所述组播业务数据时所采用的公共密钥发送给所述ONU；或者

所述ONU向OLT请求密钥，所述OLT检测所述ONU注册成功且申请接收组播业务数据，则将加密所述组播业务数据所采用的公共密钥发送给所述ONU。

进一步地，不同承载通道上的组播业务数据使用的公共密钥相同或不同。

进一步地，所述OLT在向注册成功的且申请接收所述组播业务数据的ONU发送公共密钥的同时，还向所述ONU发送使用所述公共密钥进行组播业务数据加密的承载通道的承载通道标识。

为解决上述技术问题，本发明还提供了一种无源光网络系统组播业务加密装置，包括密钥生成单元，加密单元，发送单元，其中：

所述密钥生成单元，用于生成公共密钥；

所述加密单元，用于对承载在同一承载通道上的组播业务数据使用相同的公共密钥进行加密；

所述发送单元，用于发送加密后的组播业务数据，以及通过管理控制通道将加密组播业务数据时所采用的公共密钥发送给注册成功的且申请接收所述组播业务数据的光网络单元(ONU)。