[发明专利]密钥一致性检测方法和装置

说明书

技术领域

本发明涉及通信技术领域，更具体地，涉及一种在吉比特无源光网络(Gigabit Passive Optical Network，GPON)中的光线路终端(optical line terminal)与光网络单元(optical network unit)之间检测当前密钥是否一致的密钥一致性检测方法和装置。

背景技术

GPON是基于ITU-T G984.x标准的新一代宽带无源光综合接入技术，系统通常由局侧的OLT、用户侧的ONU(Optical NetworkUnit，光网络单元)/ONT(Optical Network Termination，光网络终端)和ODN(Optical Distribution Network，光分配网络)组成。ODN由单模光纤和光分路器、光连接器等无源光器件组成，为OLT和ONU之间提供光传输媒质。ODN通常为点到多点结构，即一个OLT连接多个ONU。OLT发往ONU的数据称为下行数据，ONU发往OLT的数据称为上行数据。

GPON系统中，下行数据具有广播特性，OLT发出的数据能够被下联的所有ONU接收到，恶意用户可以通过对其掌握的ONU重新编程，从而监听到所有用户的所有下行数据。考虑到安全性，ITU-T G984.3建议使用一种基于AES(Advanced EncryptionStandard，先进加密标准)加密技术对下行数据进行加密，OLT和ONU共同完成密钥管理并各自保存一份密钥，OLT对下行数据用密钥进行加密，ONU用密钥对来自OLT的数据进行解密。OLT和ONU之间的密钥管理流程可分为两个阶段：密钥交换和密钥切换。

在密钥交换阶段，OLT向ONU发送key_request_message消息，ONU产生新密钥并保存到shadow_key_register寄存器，然后将新密钥发给OLT，OLT将密钥保存到自己的shadow_key_register寄存器中。

在密钥切换阶段，OLT选择一个未来的帧(可以称为密钥切换帧)作为开始使用新密钥的第一帧，OLT通过Key_switching_time消息携带密钥切换帧的复帧编号给ONU。Key_switching_time消息将会发送三次，ONU仅需要接收其中一个正确的拷贝来获知密钥切换帧的复帧编号。ONU每收到OLT发送的Key_switching_time消息就向OLT发送确认消息表示已经获取密钥切换帧的复帧编号。在密钥切换帧开始时，OLT复制本地shadow_key_register寄存器的内容到本地的active_key_register寄存器，ONU复制本地的shadow_key_register寄存器的内容到active_key_register寄存器，OLT和ONU从密钥切换帧开始使用新密钥对下行数据进行加密和解密。OLT和ONU中active_key_register寄存器中的密钥可以称为当前密钥。

在密钥切换阶段，如果发生异常，也就是说发送Key_switching_time消息后如果OLT没有收到ONU的确认消息，OLT将无法知道ONU是否收到Key_switching_time消息，这时OLT无论是否进行密钥切换，都有可能引起OLT和ONU之间的当前密钥不一致：

如果OLT进行密钥切换而ONU并没有收到OLT的密钥切换命令，ONU不会发生密钥切换；

如果OLT不进行密钥切换，而ONU已经接收到OLT发送的Key_switching_time消息，只是OLT没有接收到ONU发送的确认消息，ONU会发生密钥切换。

密钥切换异常可能导致OLT和ONU之间的当前密钥不一致，OLT和ONU之间的当前密钥不一致将直接导致OLT发送的加密数据无法被ONU正确解密，并进一步导致ONU相关的业务异常。ITU-T G.984.x没有对OLT和ONU之间当前密钥不一致的情况做描述，也没有提供OLT和ONU之间当前密钥的一致性检测方法。

发明内容

为了解决现有技术中的问题，本发明提出了一种密钥一致性检测方案，以便GPON系统能够方便及时地检测OLT和ONU之间的当前密钥是否一致，发现潜在的OLT和ONU之间的当前密钥不一致情况，减小这种不一致情况所带来的业务异常风险。