[发明专利]用于增强无源光网络中的传输安全性的方法

说明书

技术领域

本发明涉及无源光网络，尤其涉及用于增强无源光网络中的传输安全性的方法。

背景技术

无源光网络(Passive Optical Network，PON)是用于提供光纤接入(Fiber-to-x，FTTx)的常用技术之一。众多运营商将PON视为极具吸引力的、可用于提供高速宽带接入的解决方案。一般来说，一个PON包括一个光线路终端(Optical Line Terminal，OLT)以及经由光分配网络(Optical Distribution Network，ODN)连接至该OLT的若干光网络单元(Optical Network Unit，ONU)。在现有PON系统中，通常认为下行帧对于所有光网络单元都是可见的，而上行帧仅对于光线路终端是可见的。因而，在现有的PON系统中，仅对下行数据帧进行加密，而上行帧均是以明文传输的。

然而，在实际应用中，上行帧并不一定仅对于光线路终端是可见的。例如，恶意用户能够在光分配网络中对上行光线干线(fier trunk upstream)进行窃听，从而有可能非法获得上行信息。另外，恶意用户也有可能利用光纤网络中的光反射而非法获得上行信息。

图1示出了现有PON系统中的密钥交换和加密的方法的流程图。参照图1，在步骤S101中，OLT 10向ONU 20发送新密钥请求；接着，在步骤S103中，ONU 20将新的加密密钥Key0发送给OLT 10。一旦接收到新的加密密钥Key0，OLT 10便使用该加密密钥Key0对下行数据进行加密并且向ONU 20发送经加密的下行数据。相应地，ONU 20使用该加密密钥Key0对接收到的下行数据进行解密。此外，OLT 10每隔一段预定的时间T_key将发送新密钥请求。继续参照图1，在步骤S105中，OLT 10再次向ONU 20发送新密钥请求；接着，在步骤S107中，ONU 20将新的加密密钥Key1发送给OLT 10；一旦接收到新的加密密钥Key1，OLT 10便使用该加密密钥Key1代替之前使用的加密密钥Key0对下行数据进行加密。相应地，ONU 20使用该加密密钥Key1对接收到的下行数据进行解密。

在现有PON系统中，由于上行帧均是以明文传输的，因此恶意用户有可能获得任一ONU的上行数据。因而，现有PON系统中的上行传输是不安全的。此外，由于用于加密下行数据的密钥是通过上行帧发送给OLT的，因此恶意用户有可能获得该密钥。而一旦获得了该密钥，恶意用户便能够使用该密钥来解密下行数据。因而，现有PON系统中的下行传输也是不安全的。

因此，需要提供一种能够增强PON系统中传输安全性的方案。

发明内容

针对上述技术问题，本发明的一个目的在于提供一种用于增强PON系统中传输安全性的方法。

根据本发明的一个方面，提供了一种在无源光网络中的光线路终端中用于增强所述无源光网络中的传输安全性的方法，其包括以下步骤：B.从所述光线路终端所连接的光网路单元接收第二消息，其包含由所述光网路单元所生成的公私钥对中的公钥；C.生成待用于所述光线路终端与所述光网路单元间的数据传输的数据密钥；D.通过用所述公钥加密所述数据密钥而获得经加密的所述数据密钥；E.向所述光网路单元发送第三消息，其包含所述经加密的所述数据密钥。

采用本发明的方案，避免了以明文形式传输数据密钥，由此显著降低了数据密钥被恶意用户所截获的可能性，从而增强了传输安全性。

特别地，光网络单元生成公私密钥对并且将公钥发送给光线路终端；接着，光线路终端以公钥加密生成的数据密钥并且将经加密的数据密钥发送给光网络单元；相应地，光网络单元在接收到经加密的数据密钥之后以私钥解密经加密的数据密钥而获得数据密钥。换言之，在传输数据密钥时，采用了非对称的加密技术对数据密钥进行加密。如此一来，即便恶意用户窃听到了公钥以及经加密的数据密钥，恶意用户也因没有私钥而无法获得数据密钥。

此外，根据本发明，由光线路终端而非由光网络单元生成数据密钥，这能够防止恶意用户冒充该光网络单元发送数据密钥。