基于光网络终端管理控制接口的无源光网络安全性增强制造技术

一种网络组件包括至少一个处理器，所述至少一个处理器耦合到存储器且经配置以经由光网络单元(ONU)管理控制接口(OMCI)信道使用ONU中的管理实体(ME)中的多个属性来交换安全信息，其中所述ME支持保护所述ONU与光线路终端(OLT)之间的上游发射的多个安全功能。还包含一种设备，所述设备包括经配置以耦合到OLT的ONU且包括OMCIME，其中所述OMCI?ME包括支持用于所述ONU与所述OLT之间的上游发射的多个安全特征，且其中所述属性经由所述ONU与所述OLT之间的OMCI信道进行传送，且为所述ONU和所述OLT提供所述安全特征。

【技术实现步骤摘要】
【国外来华专利技术】基于光网络终端管理控制接口的无源光网络安全性增强本专利技术要求2009年7月31日递交的申请号为61/230，520的美国临时专利申请案以及2009年7月27日递交的申请号为US12/844173的美国非临时专利申请案的优先权，所述申请案的全部内容以引入的方式并入本文本中。
技术介绍
无源光网络(PON)是一种用于经由“最后一英里”提供网络接入的系统。PON是点对多点网络，其包括中心局处的光线路终端(OLT)、光分配网络(ODN)，和客户驻地处的多个光网络单元(ONU)。使用时分多址(TDMA)或波分多址(WDMA)将下游数据传输广播给所有0NU，同时将上游数据发射发射到0LT。例如千兆比特PON(GPON)等PON系统可支持一些安全特征来保护用户数据，例如用于下游广播。举例来说，从OLT到ONU的广播发射可经过加密。
技术实现思路
在一个实施例中，本专利技术包含网络组件，所述网络组件包括至少一个处理器，所述至少一个处理器耦合到存储器且经配置以经由ONU管理控制接口(OMCI)信道使用ONU中的管理实体(ME)中的多个属性来交换安全信息，其中所述ME支持保护ONU与OLT之间的上游发射的多个安全功能。在另一实施例中，本专利技术包含一种设备，所述设备包括经配置以耦合到OLT的ONU且包括OMCI ME,其中所述OMCI ME包括支持用于ONU与OLT之间的上游发射的多个安全特征的多个属性，且其中所述属性经由ONU与OLT之间的OMCI信道进行传送，且为ONU和OLT提供安全特征。在又一实施例中，本专利技术包含一种方法，所述方法包括使用OMCI信道与ONU交换多个安全属性，进而为来自ONU的上游通信提供多个安全特征，其中在不修改OLT与ONU之间的物理层运行管理维护(PLOAM)信道的情况下交换所述属性。从结合附图和权利要求书进行的以下详细描述将更清楚地理解这些和其它特征。附图简述为了更完整地理解本专利技术，现在参考以下结合附图和详细描述进行的简要描述，其中相同参考标号表不相同部分。图I是PON的一实施例的示意图。图2是ONU的一实施例的示意图。图3是认证消息交换序列的一实施例的协议图。图4是多个ONU状态的一实施例的示意图。图5说明通用计算机系统的一实施例的示意图。具体实施例方式最初应理解，尽管下文提供一个或一个以上实施例的说明性实施方案，但可使用任何数目的技术，不管是当前已知还是现有的，来实施所揭示的系统和/或方法。本专利技术决不应限于下文所说明的所述说明性实施方案、图式和技术，包含本文所说明并描述的示范性设计和实施方案，而是可在所附权利要求书的范围以及其均等物的完整范围内修改。在PON系统中，从OLT到ONU的下游广播发射可能容易受到安全危胁，例如可由恶意用户尝试的“窃听危胁”。举例来说，未预订的用户可能尝试接收来自OLT的未经授权信道和/或时隙。为了克服此类安全危胁，通常加密下游广播。还可加密上游发射。然而，上游发射可能比下游广播发射更安全，因为归因于PON的物理架构和光信号的方向性质，合法或经授权的ONU无法接收来自其它ONU的上游发射。因此，通常从ONU上游以明码文本格式，例如在不加密的情况下，发射保密信息。然而，例如分接光发射缆线等增强的攻击方法可能仍在PON系统中造成安全问题。因此，可需要用于PON系统中的下游和/或上游发射的安全改进，例如以保护加密密钥和/或其它口令信息。先前已提出用于提供一些安全改进的手段，但其通常需要修改PLOAM信道。由于PLOAM处理通常发生于物理层处，因此修改PLOAM信道可能涉及升级例如ONU和/或OLT处的多个网络组件中的硬件。PLOAM信道可能没那么容易经由软件修改，且可能需要远程现场安装来更新系统的组件中的硬件。因此，基于修改PLOAM信道的先前提出的安全改进可能 是不实际或经济的。本文中所揭示的是一种用于提供PON系统中的改进的安全性的方法和系统。所述安全性可通过使用OMCI信道来交换安全参数和数据而得以改进，所述OMCI信道可用于提供多个安全特征。所提供的安全特征可包括安全能力发现、ONU认证、OLT认证、密钥保密，或其组合。可通过在OMCI信道中传送多个对应的属性来支持所述安全特征。可使用OMCIME来将所述属性添加到OMCI信道。可由OMCI经由软件实施方案来提供安全特征，且因此安全特征可在没有实质性困难的情况下扩展和升级以适应系统改变。因而，可在不对PLOAM信道进行实质性改变或修改的情况下提供安全特征。图I说明PON 100的一个实施例。PON 100可包括OLT 110、多个ONU 120，和ODN130，ODN 130可耦合到OLT 110和ONU 120。PON 100可为不需要任何有源组件来在OLT110与ONU 120之间分配数据的通信网络。实际上，P0N100可使用ODN 130中的无源光组件来在OLT 110与ONU 120之间分配数据。PON 100可为下一代接入(NGA)系统，例如十千兆比特每秒(Gbps) GPON (或XGP0N)，其可具有约十Gbps的下游带宽和至少约2. 5Gbps的上游带宽。合适的PON 100的其它实例包含由国际电信联盟电信标准化部门(ITU-T)G. 983标准界定的异步传递模式PON(APON)和宽带PON(BPON)、由ITU-T G. 984标准界定的GP0N、由电气与电子工程师协会(IEEE) 802. 3ah标准界定的以太网PON(EPON)、由IEEE 802. 3av标准界定的10G-EP0N，和波分复用(WDM)PON(WPON)，其全部以全文引入的方式并入本文中。在一实施例中，OLT 110可为经配置以与ONU 120和另一网络(未图示)通信的任何装置。具体来说，OLT 110可充当其它网络与ONU 120之间的媒介物。举例来说，OLT110可将从网络接收到的数据转发到ONU 120，且将从0NU120接收到的数据转发到其它网络上。虽然OLT 110的具体配置可依据PON 100的类型而变化，但在一实施例中，OLT 110可包括发射器和接收器。当其它网络正在使用与PON 100中所使用的PON协议不同的网络协议时，例如以太网或同步光联网(SONET)同步数字体系(SDH)，OLT 110可包括将所述网络协议转换为PON协议的转换器。OLT 110转换器还可将PON协议转换成所述网络协议。OLT 110可通常位于中央位置处,例如中心局,但也可位于其它位置处。在一实施例中，ONU 120可为经配置以与OLT 110和客户或用户(未图示)通信的任何装置。具体来说，ONU可充当OLT 110与客户之间的媒介物。举例来说，OLT 120可将从OLT 110接收到的数据转发到客户，且将从客户接收到的数据转发到OLT 110上。虽然ONU 120的具体配置可依据PON 100的类型而变化，但在一实施例中，ONU 120可包括经配置以将光信号发送到OLT 110的光发射器和经配置以从OLT 110接收光信号的光接收器。另外，ONU 120可包括为客户将光信号转换为例如以太网协议中的信号等电信号的转换器，和可发送和/或接收去往客户装置的电信号的第二发射器和/或接收器。在一些实施例中，ONU 120和光网络终端(O本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】2009.07.31 US 61/230,520;2010.07.27 US 12/844,1731.一种网络组件，其包括 至少一个处理器，其耦合到存储器且经配置以 经由光网络单元(ONU)管理控制接口(OMCI)信道使用ONU中的管理实体(ME)中的多个属性来交换安全信息， 其中所述ME支持保护所述ONU与光线路终端(OLT)之间的上游发射的多个安全功能，且其中所述属性为所述ONU和所述OLT提供安全特征。2.根据权利要求I所述的设备，其中所述安全功能包括安全能力发现功能、ONU认证功能、OLT认证功能，和密钥保密功能。3.根据权利要求2所述的设备，其中所述安全能力发现功能向所述OLT指示安全功能的存在和由所述ONU支持的多个算法，且其中所述安全能力发现功能允许所述OLT选择激活所述安全算法中的哪一者。4.根据权利要求2所述的设备，其中所述ONU认证功能允许所述OLT将随机数发送到所述ME，并从所述ME获得所述随机数和在所述ONU与所述OLT之间的相互共享秘密的散列组合，且其中所述OLT将所述散列组合与所计算出的值进行比较以认证所述0NU。5.根据权利要求2所述的设备，其中所述OLT认证功能允许所述OLT从所述ME获得随机数，并将所述随机数和在所述ONU与所述OLT之间的相互共享秘密的散列组合发送到所述ME，且其中所述ONU将所述散列组合与所计算出的值进行比较以认证所述0LT。6.根据权利要求2所述的设备，其中所述密钥保密功能允许所述OLT将公共密钥发送到所述ME，其中所述ONU使用所述公共密钥来加密高级加密标准(AES)密钥以获得私用密钥，且随后经由物理层运行管理维护(PLOAM)信道将所述私用密钥发送到所述0LT，且其中所述OLT从所述私用密钥解密所述AES密钥。7.一种设备，其包括 光网络单元(ONU)，其经配置以耦合到光线路终端(OLT)且包括ONU管理控制接口(OMCI)管理实体(ME)， 其中所述OMCI ME包括支持用于所述ONU与所述OLT之间的上游发射的多个安全特征的多个属性，且 其中所述属性经由所述ONU与所述OLT之间的OMCI信道进行传送，且为所述ONU和所述OLT提供所述安全特征。8.根据权利要求7所述的设备，其中所述属性包括识别所述ME的实例的约两个字节的ME识别符(ID)属性。9.根据权利要求7所述的设备，其中所述属性由所述OLT写入，且包括 OLT密码能力属性，其指定所述OLT处可用的密码机制，且包括约16个字节的位图，其中位位置一对应于AES-CMAC-128算法，位位置二对应于HMAC-SHA-256算法，位位置三对应于HMAC-SHA-512算法，且位位置四到128经保留； OLT随机挑战表格属性，其指定由所述OLT发布的随机挑战且包括约17个字节的条目；以及 OLT挑战状态属性是约一个字节的布尔属性，其报告所述OLT密码能力属性和所述OLT随机挑战表格属性的状态。10.根据权利要求7所述的设备，其中所述属性进一步包括OLT认证结果表格属性，其指定由所述OLT进行的认证计算的结果且包括约17个字节的条目；以及 OLT结果状态属性是约一个字节的布尔属性，其报告所述OLT认证结果表格属性的状态。11.根据权利要求7所述的设备，其中所述属性由所述ONU设定，且包括 ONU密码能力属性，其包括约一个字节且指定由所述ONU通过在所述OLT密码能力属性中指定被设定为约一的位位置而选出的密码能力。ONU随机挑战表格属性，其指定由所述ONU发布的随机挑战且包括约16个字节的条目；以及 ONU认证结果表格属性，其包括由所述ONU根据所述ONU选定的密码能力属性进行的认证计算的结果，且包括响应于所述OLT挑战状态属性而产生的约16个字节的条目。12.根据权利要求7所述的设备，其中所述属性包括由所述ONU设定的ONU认证状态属性，其指示所述ONU的立场的认证关系的状态，且包括 约零的值，其表示在认证程序不活动时的非活动状态SO ； 约一的值，其表不在所述认证程序未完成时的OLT挑战待决状态SI ； 约~■的值，其表不在所述认证程序未完成时的ONU挑战待决状态S2 ； 约三的值，其表示在所述认证程序完成且所述ONU已认证所述OLT时的认证成功状态53； 约四的值，其表示在所述认证程序完成且所述ONU未认证所述OLT时的认证失败状态54;以及 约五的值，其表...

【专利技术属性】
技术研发人员：J·埃芬博格·弗兰克，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：