[发明专利]一种PON系统中密钥协商的方法和系统

说明书

技术领域

本发明涉及网络通信技术领域，尤其涉及一种PON(PassiveOptical Network，无源光网络)系统中密钥协商的方法和系统。

背景技术

目前接入网领域在DSL(Digital Subscriber Loop，数字用户环路)技术充分发展之余，光接入技术也蓬勃兴起，尤其是PON技术更是受到业界的瞩目。PON技术是一种点到多点的光接入技术，与点到点技术相比，PON系统局端用一根光纤即可分成数十甚至更多路光纤与用户连接，大大降低了建网成本。

如图1所示，PON系统由OLT(Optical Line Termination，光线路终端)、ONU/ONT(Optical Network Unit，光网络单元/OpticalNetwork Termination，光网络终端)以及ODN(Optical DistributionNetwork，光分布网络)组成。OLT为PON系统提供SNI(Service-network Interface，业务网络接口)，并连接一个或多个ODN；ODN是无源分光器件，将OLT的数据分路传输到多个ONU，并将多个ONU的数据汇总传输到OLT；ONU为PON系统提供UNI(User-network Interface，用户网络接口)，并上行与ODN相连；如果ONU直接提供用户端口功能，如个人计算机上网用的以太网用户端口，则称为ONT。若无特殊说明，本说明书提到的ONU统指ONU和ONT。

在PON系统中，从OLT到ONU称为下行，反之称为上行。由于OLT的下行数据是广播发送到ONU的，网络中所有的ONU都会收到OLT发送给其它ONU的数据。为此，现有技术采用了使用密钥对发送的下行数据进行加密的方案。具体通过以下方法实现：OLT向ONU广播发送请求更新密钥消息，ONU收到该消息后，生成并保存新的密钥，并将该密钥发送给OLT，OLT收到后保存密钥，与ONU约定启用新密钥的时间，在约定时刻，对下行数据启用新密钥。在该方案中，OLT使用与各ONU对应的密钥对发送给不同ONU的数据进行加密，使得系统中任何一个ONU只能解密发送给自己的数据，而无法解密发送到其它ONU的数据。

但现有技术的方案通过网络直接传输明文密钥，使得密钥很容易被他人获取，因而其安全性很差。

发明内容

本发明的目的在于提供一种PON系统中密钥协商的方法和系统，旨在于实现无源光网络中的密钥协商更加安全的目的。

本发明的目的是通过以下技术方案实现的：

本发明提供一种PON系统中密钥协商的方法，包括：

A、光线路终端OLT或光网络单元ONU发送请求更新加密密钥消息；

B21、OLT根据公式X＝a^x mod b，计算出传递数X，ONU根据公式Y＝a^y mod b，计算出传递数Y；

B22、OLT和ONU分别将所述的传递数X和Y传递给对方；

B23、OLT根据公式k＝Y^x mod b生成加密密钥k，ONU根据公式k＝X^y mod b生成加密密钥k。

C、OLT或ONU发送请求启用加密密钥消息，完成密钥协商。

所述的随机数为由OLT和ONU分别随机生成的数x和y。

所述的系统参数为OLT和ONU都能获取的两个数a和b。

所述的传递数在请求更新加密密钥消息中包含或单独发送。

所述的获取系统参数的方法为下述方法中任一种：

系统参数固化在OLT和ONU中、每次通信前双方协商生成、每次通信前一方临时指定给另一方、每次通信前双方按照某种规律变化生成。

本发明还提供一种PON系统中密钥协商的系统，所述的系统包括光线路终端OLT和光网络单元ONU，所述的OLT和ONU分别根据随机数和系统参数生成加密密钥，完成密钥协商，其中：所述OLT用于根据公式X＝a^x mod b，计算出传递数X；所述ONU用于根据公式Y＝a^y mod b，计算出传递数Y；其中，x、y为所述的随机数，a、b为所述的系统参数；所述OLT和ONU分别将所述的传递数X和Y传递给对方；所述OLT根据公式k＝Y^x mod b生成加密密钥k，所述ONU根据公式k＝X^y mod b生成加密密钥k。

本发明还提供一种PON系统中密钥协商的方法，包括：