[发明专利]GPON上行AES加密的密钥更新方法及系统

说明书

技术领域

本发明涉及通信领域，尤其涉及一种GPON(Gigabit-CapablePON)上行AES(Advanced Encryption Standard，高级加密标准)加密的密钥更新方法及系统。

背景技术

FTTH(Fiber To The Home，光纤到户)是光纤接入的终极目标，是国际发达运营商当前GPON规模商用的主流模式，GPON的网络结构如图1所示，主要由OLT(光线路终端)，ODN(光分配网络)和ONU/ONT(光用户单元/光用户终端)组成，其中，AF为适配功能块，可以集成在ONU里；NE是网络设备，WDM是光波分复用模块，UNI是用户网络接口，SNI是业务网络接口，S、R均为节点，S在下行方向指OLT和光器件的连接点，在上行方向指ONU和光器件的连接点；R在下行方向指光器件和ONU的连接点，上行方向指OLT和光器件的连接点。OLT为局端设备，向上提供多种业务接口，是GPON系统的核心部分，具有成帧、媒质接入控制、OAM(运行管理维护)、DBA(动态带宽分配)、为交叉连接功能提供PDU(协议数据单元)定界和ONU管理等功能。ONU/ONT为用户侧设备，向用户提供10、100BASE-T接口，E1接口，POTS接口等；AF(适配功能块)可以集成在ONU里；ODN为连接在OLT和ONU的无源光网络，由光分路器，耦合器等无源器件组成，理论上可以提供1：128的分路比，系统的最大逻辑距离规定为60km；GPON系统上下行可采用单纤双向或者双纤双向传输方式，采用单线双线传输方式时，上下行采用不同的波长；采用双纤双向传输方式时，上下行采用相同的波长，分别在2根独立的光纤上传输；下行数据采用广播的方式发送，上行数据采用基于统计复用的时分多址(TDMA)方式接入；上行支持1.25G，下行支持2.5G的传输比特率；

从上面的介绍中可以看出，在PON(Passive Optical Network，无源光纤网络)网络结构中，下行数据要广播给PON上的所有ONU。目前，上行数据以明文的方式发送到OLT，窃听者可以通过某些技术手段获取未经加密的密钥，轻松解密下行信息，例如：

(1)恶意用户在物理上接入到ONU，并在光纤上接入一个光分路器就可以“听”到上行信元。由于上行信元是未经加密的，恶意用户就可以获取数据以及密钥。而且ONU在断开或重新连接后可以自动恢复到以前的正常状态，所以“正常”使用者不会发觉这个用户的存在；

(2)在(1)的基础上，在光纤上再接入一个光分路器，恶意用户就可以既“听”上行信息也“听”下行信息；这种情况下，恶意用户也同样不会被“正常”的使用者觉察，因为已经知道了密钥，可以轻松解密下行信元；

(3)恶意用户利用2个CWDM(Coarse Wavelength DivisionMultiplexing，粗波分复用器)复用/解复用器就可以实现上行(和、或下行)的发送，这种情况下恶意用户既可以“听”也可以“发”，尽管非常复杂，技术上确是可行的。

发明内容

本发明的目的是，提供一种GPON上行AES加密的密钥更新方法及系统，以改善现有的AES加密方法安全性不高的问题。

本发明提供了一种GPON上行AES加密的密钥更新方法，上述方法为：

OLT将上行AES加密的密钥值及更新时间发送给ONU；

上述更新时间到时后，上述OLT及上述ONU更新本地密钥值。

本发明进一步提供了一种GPON上行AES加密的密钥更新系统，上述系统包括OLT及ONU，其中：

上述OLT，用于将上行AES加密的密钥值及更新时间发送给上述ONU，并在上述更新时间到时后，更新本地密钥值；

上述ONU，用于接收上述OLT发送的密钥值及更新时间，并在上述更新时间到时后，更新本地密钥值。

本发明更新过程简单，更新速度快，保证了密钥值和更新时间的安全性；实现了无缝的切换。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本发明的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是现有的GPON网络结构示意图；

图2是本发明GPON上行AES加密的密钥更新方法中OLT侧的优选实施例的流程图；

图3是本发明GPON上行AES加密的密钥更新方法中ONU侧的优选实施例的流程图；

图4是GEM帧的帧头格式示意图；