无源光网络的加密／解密方法及系统技术方案

本发明专利技术公开了一种无源光网络的加密／解密方法及系统，该方法包括：光线路终端ＯＬＴ存储与每个光网络单元ＯＮＵ对应的第一加密信息，其中，第一加密信息用于对ＯＮＵ的序列号信息进行加密和／或解密；ＯＬＴ接收来自ＯＮＵ的携带有ＯＮＵ的第二加密信息的消息，并根据第二加密信息从本地获取ＯＮＵ的序列号信息。通过本发明专利技术降低了序列号信息被盗用的危险，提高了ＰＯＮ系统的安全性。

【技术实现步骤摘要】

本专利技术涉及通信领域，具体而言，涉及一种无源光网络(PassiveOptical Network,简称为PON)的加密/解密方法及系统。
技术介绍
吉比特无源光网络(Gigabit-Capable Passive Optical Network，简称为 GPON) 技术是无源光网络(Passive Optical Network，简称为PON)家族中一个重要的技术分支， 和其它PON技术类似，GPON也是一种采用点到多点拓扑结构的无源光接入技术。GPON由局侧的光线路终端(Optical Line Terminal，简称为0LT)、用户侧的光网 络单元以及光分配网络(Optical DistributionNetwork，简称为0DN)组成，通常采用点到 多点的网络结构。ODN由单模光纤、光分路器、光连接器等无源光器件组成，为OLT和ONU之 间的物理连接提供光传输媒质。为了实现OLT对ONU的部分管理功能，国际电信联盟-电信标准部 (International Telecommunications Union-Telecommunicationsstandardizatio η sector,简称为ITU-T)的G. 984. 3标准定义了物理层操作管理维护(Physical layer Operations, Administration andMaintenance，简称 PL0AM)通道，GPON 利用 PLOAM 通道传 输PLOAM消息，实现对传输汇聚层的管理，包括ONU激活，ONU管理控制通道的建立，加密配 置，密钥管理等。在GPON系统中，PLOAM消息是以明文的形式发送的。由于下行方向(由OLT到 0NU)为天然广播方式，因此，各个ONU都将收到所有的PLOAM消息，并且根据ONU-ID来获 得属于自己的PLOAM消息，抛弃发送给其他ONU的PLOAM消息。如果网络中存在被重新编 程的恶意0NU，恶意ONU就会监听OLT发给其他ONU的PLOAM消息。上行方向传输的PLOAM 消息存在两种被非法监听的威胁如果GPON中的光分路器使用的是2:N的分光器，图1是 根据相关技术的GPON系统的拓扑结构的示意图，如图1所示，非法用户可以通过图1中的 的B端口监听所有ONU的上行PLOAM消息；非法用户也可以通过如弯折光纤的方式探测上 行信号光，从而监听上行PLOAM消息。如果恶意ONU监听到某一个合法ONU的序列号，则它 可以在合法ONU掉电后，利用合法ONU的序列号完成自身的注册激活过程，导致非法ONU可 以接入到PON系统中。由于上述原因的存在，PON系统的安全受到了威胁。基于对上述安全因素的考虑，应该对GPON系统中传输的PLOAM消息进行加密，尤 其应该对关系系统安全的PLOAM消息进行加密，例如，ONU的序列号信息。但是，当ONU刚 接入到系统中，ONU需要一个注册激活过程，在此过程中，OLT通过ONU的序列号信息识别 0NU,如果ONU的序列号信息加密，存在OLT不知道如何解密序列号的问题。现有的ITU-T 的G. 984. 3标准中没有提供关于GPON系统中对ONU的序列号信息加密和解密的方法。
技术实现思路
针对相关技术中没有提供对ONU序列号信息进行加密/解密的方法而导致PON系统存在安全隐患的问题而提出本专利技术，为此，本专利技术的主要目的在于提供一种基于ONU序 列号信息的无源光网络的加密/解密方案，以解决上述问题。为了实现上述目的，根据本专利技术的一个方面，提供了一种无源光网络的加密/解 密方法。根据本专利技术的无源光网络的加密/解密方法包括光线路终端OLT存储与每个光 网络单元ONU对应的第一加密信息，其中，第一加密信息用于对ONU的序列号信息进行加密 和/或解密；OLT接收来自ONU的携带有ONU的第二加密信息的消息，并根据第二加密信息 从本地获取ONU的序列号信息。优选地，第一加密信息包括加密算法、密钥信息、ONU身份的注册标识；第二加密 信息包括加密后的序列号信息和ONU身份的注册标识，或者，第二加密信息包括加密后的 序列号信息。优选地，在第二加密信息包括加密后的序列号信息和ONU身份的注册标识的情况 下，OLT根据第二加密信息获取ONU的序列号信息包括0LT从消息中获得ONU的注册标识， 并根据注册标识从本地获得ONU对应的第一加密信息；OLT根据第一加密信息对加密后的 序列号信息进行解密以获取ONU的序列号信息。优选地，在OLT接收来自ONU的携带有ONU的第二加密信息的消息之前，上述方法 还包括0NU向OLT发送消息，并保存加密后的序列号信息。优选地，在OLT从消息中获得ONU的注册标识之前，上述方法还包括0LT保存注 册标识与加密算法、密钥信息之间的对应关系。优选地，上述方法还包括0LT在获取ONU的序列号信息之后保存加密后的序列号 信息与ONU的序列号信息和/或第一加密信息的对应关系；或者，OLT在接收来自ONU的携 带有ONU的第二加密信息的消息之前预先保存加密后的序列号信息与ONU的序列号信息和 /或第一加密信息的对应关系。优选地，第二加密信息包括加密后的序列号信息的情况下，OLT根据第二加密信息 获取ONU的序列号信息包括0LT从消息中获得ONU的加密后的序列号信息，并根据加密后 的序列号信息从本地获得ONU的第一加密信息。优选地，在OLT接收来自ONU的携带有ONU的第二加密信息的消息之前，上述方法 还包括0LT和ONU使用相同的算法分别对本地保存的加密后的序列号信息进行更新。优选地，在OLT和ONU使用相同的算法分别对本地保存的加密后的序列号信息进 行更新之后，上述方法还包括0LT保存加密后的序列号信息与第一加密信息之间的对应 关系。优选地，在OLT接收来自ONU的携带有第二加密消息的消息之前，上述方法包括 ONU采用加密算法对第一号密钥种子和注册标识进行计算得到密钥，ONU根据密钥对ONU的 序列号信息进行加密，并将加密后的序列号信息以及ONU的注册标识发送给0LT。优选地，在OLT获取ONU的序列号信息之后，上述方法还包括0LT向ONU发送分 配标识消息，其中，分配标识信息中携带有为ONU分配的ONU标识；分配标识消息中还携带 有OLT本地储存的ONU的加密后的序列号信息或对ONU的序列号信息进行重新加密后产生 的重新加密后的序列号信息。优选地，在OLT向ONU发送分配标识消息之后，上述方法还包括0NU接收并从分配标识信息中获取加密后的序列号信息或重新加密后的序列号信息；ONU根据加密后的序 列号信息或重新加密后的序列号信息判断分配标识消息的目的ONU是否为本地，并在判断 结果为是的情况下，从分配标识消息中获取ONU标识。优选地，ONU根据加密后的序列号信息判断分配标识消息的目的ONU是否为本地 包括0NU判断接收到的加密后的序列号信息是否与本地的加密后的序列号信息一致，如 果一致，则分配标识消息的目的ONU是本地，否则，分配标识信息的目的ONU不是本地。优选地，OLT对ONU的序列号进行重新加密包括0LT使用加密算法对第一号密钥 种子和第二号密钥种子进行计算产生第一密钥，并根据第一密钥对ONU的序列号信息进行 加密，其中，OLT将第二号密钥本文档来自技高网...

【技术保护点】
一种无源光网络的加密／解密方法，其特征在于，包括：　　光线路终端ＯＬＴ存储与每个光网络单元ＯＮＵ对应的第一加密信息，其中，所述第一加密信息用于对ＯＮＵ的序列号信息进行加密和／或解密；　　所述ＯＬＴ接收来自ＯＮＵ的携带有所述ＯＮＵ的第二加密信息的消息，并根据所述第二加密信息从本地获取所述ＯＮＵ的序列号信息。

【技术特征摘要】
1.一种无源光网络的加密/解密方法，其特征在于，包括光线路终端OLT存储与每个光网络单元ONU对应的第一加密信息，其中，所述第一加密 信息用于对ONU的序列号信息进行加密和/或解密；所述OLT接收来自ONU的携带有所述ONU的第二加密信息的消息，并根据所述第二加 密信息从本地获取所述ONU的序列号信息。2.根据权利要求1所述的方法，其特征在于，所述第一加密信息包括加密算法、密钥信 息、ONU身份的注册标识；所述第二加密信息包括加密后的序列号信息和ONU身份的注册标 识，或者，所述第二加密信息包括加密后的序列号信息。3.根据权利要求2所述的方法，其特征在于，在所述第二加密信息包括所述加密后的 序列号信息和所述ONU身份的注册标识的情况下，所述OLT根据所述第二加密信息获取所 述ONU的序列号信息包括所述OLT从所述消息中获得所述ONU的注册标识，并根据所述注册标识从本地获得所 述ONU对应的第一加密信息；所述OLT根据所述第一加密信息对所述加密后的序列号信息进行解密以获取所述ONU 的序列号信息。4.根据权利要求3所述的方法，其特征在于，在所述OLT接收来自ONU的携带有所述 ONU的第二加密信息的消息之前，所述方法还包括所述ONU向所述OLT发送所述消息，并保存所述加密后的序列号信息。5.根据权利要求3所述的方法，其特征在于，在所述OLT从所述消息中获得所述ONU的 注册标识之前，所述方法还包括所述OLT保存所述注册标识与所述加密算法、所述密钥信息之间的对应关系。6.根据权利要求3所述的方法，其特征在于，所述方法还包括所述OLT在获取所述ONU的序列号信息之后保存所述加密后的序列号信息与所述ONU 的序列号信息和/或所述第一加密信息的对应关系；或者，所述OLT在接收来自ONU的携带有所述ONU的第二加密信息的所述消息之前预先保存 所述加密后的序列号信息与所述ONU的序列号信息和/或所述第一加密信息的对应关系。7.根据权利要求2所述的方法，其特征在于，所述第二加密信息包括所述加密后的序 列号信息的情况下，所述OLT根据所述第二加密信息获取所述ONU的序列号信息包括所述OLT从所述消息中获得所述ONU的加密后的序列号信息，并根据所述加密后的序 列号信息从本地获得所述ONU的第一加密信息。8.根据权利要求7所述的方法，其特征在于，在所述OLT接收来自ONU的携带有所述 ONU的第二加密信息的所述消息之前，所述方法还包括所述OLT和所述ONU使用相同的算法分别对本地保存的所述加密后的序列号信息进行 更新。9.根据权利要求8所述的方法，其特征在于，在所述OLT和所述ONU使用相同的算法分 别对本地保存的所述加密后的序列号信息进行更新之后，所述方法还包括所述OLT保存加密后的序...

【专利技术属性】
技术研发人员：张伟良，耿丹，张德智，马瑞克海德杰尼，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：94[中国|深圳]