CN101064719A

CN101064719A - Pon系统中加密算法协商方法

Info

Publication number: CN101064719A
Application number: CNA2006100789319A
Authority: CN
Inventors: 杨敏; 高海; 吴炜
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2006-04-27
Filing date: 2006-04-27
Publication date: 2007-10-31
Also published as: WO2007124658A1

Abstract

本发明公开了PON系统中加密算法协商方法，该方法包括步骤：获取光网络单元支持的算法模式；依据预置策略允许的算法模式选定算法模式；设置光网络单元使用所述选定的算法模式。本发明可以提供在系统配置过程中多种加密算法模式的算法协商过程方法，通过改进现有协议，实现多种加密算法并存的应用需求，提高产品的兼容性。

Description

PON系统中加密算法协商方法

技术领域

本发明涉及光通讯领域无源光网络技术，尤其涉及PON系统中多种加密算法协商过程的方法。

背景技术

目前接入网领域在DSL充分发展的时候，光接入技术也得到蓬勃的发展，尤其以点到多点传输为特征的光接入技术——PON(Passive Optical Network，无源光网络)再次受到业界的瞩目。与点到点光接入相比，PON局端用一根光纤，即可分成数十甚至更多路光纤连接用户，大大降低建网成本。

请参考图1，PON系统由三个部分组成：OLT(Optical Line Termination，光线路终端)、ODN(Optical Distribution Network，光分布网)和ONU/ONT(Optical Network Unit，光网络单元/Optical Network Termination，光网络终端)。

OLT为PON系统提供网络侧接口(SNI)，连接一个或多个ODN。无源分光器件，将OLT下行的数据分路传输到各个ONU，同时将多个ONU/ONT的上行数据汇总传输到OLT。ONU为PON系统提供用户侧接口(UNI)，上行与ODN相连，如果ONU直接提供用户端口功能，如PC上网用的以太网用户端口，则称为ONT。

无特殊说明，本说明书提到的ONU包括ONU和ONT。

在PON系统中，从OLT到ONU称为下行，反之为上行。下行数据方式为OLT广播到各ONU，ONU的上行数据方式为由OLT分配发送区间，数据经时分复用后上传到OLT。

PON技术包括BPON(Broadband Passive Optical Network，宽带无源光网络)，GPON(Gigabit Passive Optical Network，Gbit无源光网络)等，GPON是在BPON(Broadband Passive Optical Network，宽带无源光网络)的基础上继承发展的，是当前几种PON中技术最全面的、最成熟的技术，具有线路速率高、维护管理完善等优点。BPON和GPON都是由国际电信联盟(ITU-T)制定的。BPON只支持ATM信元的承载，而GPON支持承载ATM信元，也支持适应于IP数据的GEM封装。它们具有相似的管理模式，例如使用同样的OMCI(ONT management and controlinterface，ONT管理控制接口)管理协议和近似的PLOAM(Physical Layer OAM，物理层OAM)消息机制。BPON和GPON标准中的OMCI分别在G983.2和G.984.4中定义，其中G984.4是对G983.2的继承和补充。

请参考图2，是GPON协议栈模型。GPON标准协议将物理介质以上分为GPM层(G-PON Physical Media Dependent Layer，GPON物理介质相关层)和GTC层(G-PON Transmission Convergence Layer，GPON传输汇聚层)。GTC再分为成帧子层(GTC framing sub-layer)和TC适配子层(GTC adaptersub-layer)。GTC层提供两种业务数据的封装方式：ATM封装方式将业务数据封装在ATM信元中传输，信元是长度53字节；GEM封装方式是变长封装的，支持根据业务数据帧的长度改变GEM封装帧的长度。

OLT和ONU之间的数据传输基于T-CONT(Transmission Container，传输容器)，T-CONT的标识是allocid。一个T-CONT只能是ATM或者GEM类型的，一个T-CONT通道内可以分成由VPI、VCI标识的多个PVC通道，在GEM封装时可分成PORT id标识的多个port通道。

GPON的管理维护有3种方式。Embedded OAM方式(EmbeddedOperations，Administration and Maintenance，嵌入操作、管理和维护)，在帧头的个别字段中携带，实时性强，实现如上行带宽授权等功能。PLOAM方式，提供13字节固定格式的消息，需要时在帧头中插入，实现物理线路OAM功能。OMCI方式，有自己的报文格式，承载在指定VPI、VCI或port id的通道上，适合实时性不强的消息传输，如配置消息。OMCI是主从式管理协议，OLT是主设备，ONU是从设备，OLT通过OMCI通道控制OLT下面连接的多个ONU设备。

业务数据和管理数据分别作为ATM client/GEM client和OMCI client。GTC适配子层向上层提供ATM、GEM和OMCI处理接口，将数据封装成ATM信元或GEM报文，即指定了VPI、VCI或port id，也就确定了T-CONT的id。GTC成帧子层生成GPON帧头，在帧头中插入PLOAM消息，将ATM信元和GEM报文放入净荷部分，组装成GPON帧。最后经GPM层传送到光纤上，在接收端进行逆处理。Embedded OAM功能直接在成帧子层完成。

由于下行数据是广播的，虽然在ONU上会根据配置的port id过滤丢掉不属于自己的数据，但是仍面临数据被窃的风险，所以对GPON帧的净荷部分需要加密。下行数据的加密是很必要的。目前GPON国际标准中只规定了一种加密算法——AES算法(Advanced Encryption Standard，高级加密标准)，所有下行单播数据需要加密时都使用AES算法。每个ONU使用独立的密钥，并不断更新密钥，保证加密的可靠性。

OMCI现有机制中和加密有关的定义只有两个属性，位于表示ONU设备的全局性信息和能力(如设备版本、是否支持GEM和ATM等)的ONT2-G或ONU2-G ME中。为了描述方便，本说明书将ONT2-G和ONU2-G ME合称为ONU/T2-G ME。表示同样的信息的还有ONT-G或ONU-G ME，ONT2-G或ONU2-G ME附属于ONT-G或ONU-G ME。安全能力(Security Capability)表示ONU能够支持的加密算法模式，安全模式(Security Mode)表示当前ONU选用的算法模式。不过因为国际标准中目前只定义了一个加密算法，不需要进行任何选择，所以安全模式属性中定义ONU创建ME时，该属性直接取值为1，表示采用AES加密算法。这两个参数在OMCI配置过程中是用不到的，加密配置完全由PLOAM消息实现。以下是现有技术对Security Capability和Security Mode的定义：

Security Capability：本属性表示ONU能够支持的高级安全模式。编码格式定义如下：

0：保留为以后使用；

1：支持对下行净荷的AES加密算法；

2..255：保留为以后使用.

(只读)(强制实现)(长度：1byte)

Security Mode：本属性表示ONU实际选用的高级安全模式。注意，不管何时，一个ONU上所有加密的VP/VC或者GEM端口的数据必须使用相同的安全模式。编码格式定义如下：

0：保留为以后使用；

1：对单播流量将使用AES加密算法；

2..255：保留为以后使用.

ONU自动创建该ME的实例时，本属性的值取0x01.(可读，可写)(强制实现)(长度：1byte)

BPON与GPON的数据加密机制相似，目前国际标准中对BPON只定义了一种高级加密算法。

PON产品的研发要求能够适应不同国家、不同地区和不同网络运营商的应用需要，不同国家可能使用不同的加密算法，不同网络运营商也可能使用不同的加密算法。

从以上对PON国际标准的介绍可以看出，现有技术方案只考虑了一种数据加密算法模式，没有在ONU连接到OLT的配置阶段提供多算法模式协商过程，缺乏对多种加密算法的兼容处理，不能满足多国家，多地区和多网络运营商对PON设备要求支持多种加密算法的需求。

发明内容

本发明要解决的技术问题是提供一种PON系统中加密算法协商方法，该协商方法可以实现PON设备对多种加密算法的支持。

为解决上述技术问题，本发明是通过以下技术方案实现的：

PON系统中加密算法协商方法，其特征在于，包括步骤：1)获取光网络单元支持的算法模式；2)依据预置策略允许的算法模式选定算法模式；3)设置光网络单元使用所述选定的算法模式。

优选的，所述步骤1)获取的过程包括：11)发送获得支持算法模式的命令到光网络单元；12)光网络单元反馈支持的算法模式。

优选的，所述步骤1)获取的过程包括：当光网络单元属性值变化的时候，所述光网络单元通过属性值变化AVC消息上报支持的算法模式。

优选的，所述光网络单元上报支持的算法模式之前，包括：c1)发送复位命令到光网络单元；c2)光网络单元响应复位结果。

优选的，所述预置的策略包括：依据不同国家、不同地区或不同网络运营商而采用的不同使用标准。

优选的，所述步骤2)选定的过程包括：判断所述允许的算法模式和所述光网络单元支持的算法模式是否有相同的算法模式，如果是，从所述相同的算法模式中选定算法模式，否则，作为协商失败处理。

优选的，所述协商失败处理过程包括：从所述允许的算法模式中选定算法模式；或将不表示任何实际算法的无效算法模式作为选定的算法模式，所述无效算法模式使用特定形式的值表示。

优选的，所述步骤3)设置的过程包括：31)发送包括所述选定的算法模式的设置命令到光网络单元；32)光网络单元回应设置结果。

优选的，其特征在于，使用连续的取值或比特bit表示所述算法模式。

从以上技术方案可以看出，本发明在ONU配置阶段，首先获取ONU支持的算法模式，然后把依据预置策略选定的算法模式设置到ONU上，从而实现支持多种加密算法模式的算法协商过程。本发明通过改进现有协议，实现多种加密算法并存的应用需求，提高产品的兼容性。

进一步，本发明还提供了通过使用连续的取值或使用比特bit定义算法模式，扩充了安全能力和安全模式两个参数的表达能力，使得多种加密算法的选用具有灵活性。

附图说明

图1为PON系统连接图；

图2为GPON协议栈模型；

图3为本发明的加密算法协商方法流程图；

图4为本发明的加密算法协商方法实施例一示意图；

图5为本发明的加密算法协商方法实施例二示意图。

具体实施方式

本发明提供了PON系统中加密算法协商方法，应用于ONU连接到OLT后的配置阶段。

请参考图3，是本发明的加密算法协商方法流程图。该方法流程包括以下步骤：

p1)光线路终端获取光网络单元支持的算法模式；

p2)光线路终端依据预置策略允许的算法模式选定使用的算法模式；

p3)光线路终端设置光网络单元使用所述选定的算法模式。

为了便于进一步理解本发明，以下结合具体实施例对本发明进行详细的描述，以下描述的两个实施例基于GPON系统。

在ONU连接到OLT后，启动过程分成链路层注册阶段和OMCI配置阶段两部分。在链路层注册阶段，设备使用PLOAM消息完成链路建立，包括配置光路物理层使其正确连通，以及ONU向OLT的注册过程。注册过程主要环节为ONU向OLT上报自己的串号(serial number，ONU设备的全球唯一的编号)，OLT给该ONU分配ONU id，ONU id在OLT一个光接口连接的所有ONU中是唯一的。注册建链后，OLT再用PLOAM消息创建ONU上的第一个T-CONT，并在该T-CONT内建立port或pvc通道，用于OMCI消息交互，然后进入OMCI配置阶段，由OMCI通道完成业务通道建立、配置数据下发等后续启动操作。整个启动过程完成后，PLOAM消息还需要处理OLT和ONU之间链路的维护，以及处理其它底层相关的信息和命令交互，如链路故障指示的告警传达、通道加密功能启用等。

OMCI协议将OLT管理ONU的各种数据抽象成协议独立管理信息库(protocol-independent Management Information Base，简称MIB)，管理信息库的基本信息单元是管理实体(manage entity 简称ME)。根据ONU的各种类型的配置数据，OMCI定义了用于OLT控制ONU的各种ME，ONU在OLT的控制下实现各种ME的配置管理功能。ME由属性(Attributes)组成，属性可以被OLT读写。有的ME由ONU自动创建，有的ME由OLT下发命令创建。

本技术方案利用了已有的ONU/T2-G ME中的属性定义，本方法在ONU连接到OLT启动过程的OMCI配置阶段中，增加了一个多算法模式协商的过程定义。

在ONU的管理实体中，ONU/T-G是其他所有ME的根节点，在表示基本设备信息的ME创建后，才能进行具体业务的配置，所以ONU/T-G和ONU/T2-G ME在OMCI配置过程开始前就创建了。现有加密功能的配置过程使用在加密算法已经选定的情况，故本发明新增的协商过程位于原有加密过程之前，这个协商过程属于OMCI的具体业务配置阶段。

请参阅图4，为为本发明的加密算法协商方法实施例一示意图，在本实施例中，OLT通过使用Get命令获取支持的加密算法模式。

本技术方案的加密算法协商过程如下：

A1)OLT使用Get命令，读取ONU上ONU/T2-G ME中security capability属性的值。

A2)ONU响应Get命令，上报自身支持的加密算法模式。

A3)OLT收到后，根据事先静态或动态配置的策略决定应当使用的算法模式。

具体的，在决定使用算法模式之前，依据不同国家、不同地区或不同网络运营商的使用标准允许不同的算法模式，判断所述允许的算法模式和所述光网络单元支持的算法模式是否有相同的算法模式，如果是，从所述相同的算法模式中选定算法模式，否则，作为协商失败处理。

上述协商失败处理过程可为从允许的算法模式中选定算法模式。

上述协商失败处理过程也可为将不表示任何实际算法的无效算法模式作为选定的算法模式，所述无效算法模式使用特定形式的值表示。

A4)OLT使用Set命令，设置ONU上ONU/T2-G ME中Security mode属性为选定的算法模式取值。

A5)ONU配置完成后，响应OLT，表示Set操作结果。

A6)系统启动加密流程。

以下为使用AES算法对下行数据加密时的启动过程：

1)用通道加密PLOAM消息对有需要的port通道下发加密命令，一般用于单播数据的通道都应加密；

2)OLT向ONU请求加密用的密钥；

3)收到请求的ONU自主生成一个AES算法的密钥，送交OLT，并在本地保留该密钥，用于解密；

4)OLT收到密钥后，对相关的ONU下发密钥切换命令，在确定的时刻开始使用该密钥。

对于步骤1)、4)，OLT命令下发后，需要ONU回应确认消息。

与密钥切换相关的步骤2)到步骤4)，还用于密钥的新旧替换控制。

为了支持多算法模式，在保持Security capability和Security mode属性的意义不变的基础上，本发明对这两个参数取值定义进行扩充。

1)security capability使用连续的取值表示ONU能够支持的算法模式，包括同时支持多种算法模式的组合选项，举例如下：

0：只支持加密算法A；

1：只支持加密算法B；

2：只支持加密算法C；

3：同时支持加密算法A和B；

4：同时支持加密算法B和C；

5..255：保留为以后使用.

(只读)(强制实现)(长度：1byte)

上述连续的取值可为：包含0在内的自然数值或整数。

可以理解的是，以上所举的组合选项例子，不一定遍历算法的所有组合关系。不排除在应用中根据本发明原理衍生出其他组合方法。

2)security mode的取值定义可以和security capability相同，通常只需要表示单个算法模式的值；当协商失败，可以使用特定形式的值表示无效算法，比如：使用255表示无效算法。举例如下：

0：将使用加密算法A；

1：将使用加密算法B；

2：将使用加密算法C；

3..254：保留为以后使用；

255：表示无效算法.

(可读，可写)(强制实现)(长度：1byte)

请参阅图5，为本发明的加密算法协商方法实施例二示意图，在本实施中，ONU通过AVC(Attribute Value Change，属性值变化)消息上报支持的加密算法模式。

本实施例从ONU连接到OLT开始，然后到启动阶段OMCI配置过程，在ONU上创建ONU/T2-G ME后，ONU使用AVC功能上报security capability属性的数值，即ONU实际支持的能力，本方法使用ONU的AVC上报替换第一种实施例中的OLT的Get操作。安全能力属性属于ONU/T2-G ME，这个ME是OMCI配置过程的开始时创建的。

B1)ONU上电启动，ONU还没有mib，先创建ONU/T-G、ONU/T2-G和ONT data ME。ONT data ME保存mib同步状态参数，用于检查ONU上mib和OLT上保存的对应mib之间的同步状态。mib同步状态参数是一个序列号，在ONU mib发生变化时该值增加。OLT在本地保留对ONU mib的映象，通过核对该值以判断是否需要更新本地mib。

B2)OLT下发ONTData MIBReset cmd命令，ONU接受到该命令后清除自身的mib，使ONU上的mib只剩下缺省的ME，缺省ME表示设备基本软硬件信息，包括ONU/T-G、ONU/T2-G、ONT data和其他必要的ME。

B3)ONU回应ONTData MIBReset rsp，表示mib复位成功。

B4)OLT本地创建对应此ONU的mib，包括ONU/T-G、ONU/T2-G、ONTdata和其他必要的ME。

B5)这时，ONU和OLT上创建的ME属性都是缺省值，不一定符合ONU实际情况，例如Security Capability属性的值并没有正确表示ONU实际的能力。所以本步骤中，ONU根据内存中的实际设备信息更新ONU/T-G、ONU/T2-GME的属性值，刷新后的值通过AVC消息主动上报给OLT。

B6)OLT从收到的AVC消息中得到变化后的属性值(包括上报SecurityCapability属性的值)，刷新OLT上的mib映象数据，并根据事先静态或动态配置的策略决定应当使用的算法模式。

上述协商失败处理过程可为直接中断加密算法配置过程。

B7)OLT使用Set命令，设置ONU上ONU/T2-G ME中Security mode的属性为选定的算法模式取值。

B8)ONU配置完成后，响应OLT，表示Set操作结果。

B9)系统启动加密过程。

在本实施例中，本发明对Security capability和Security mode属性的取值使用了另一种方式进行定义。

1)security capability通过使用字段比特bit表示ONU支持的一种算法模式，几个bit值同时有效表示同时支持几种算法模式。举例如下：

bit0：为1表示支持加密算法A，为0表示不支持；

bit1：为1表示支持加密算法B，为0表示不支持；

bit2：为1表示支持加密算法C，为0表示不支持；

bit3..bit7：保留为以后使用.

(只读)(强制实现)(长度：1byte)

2)security mode的取值定义同security capabilty。在选定了有效算法时，同一时间只有一个算法模式有效，表示选用的算法；当协商失败，可以使用特定形式的值表示无效算法，比如：使用bit7或同时使多个算法模式同时有效的形式表示无效算法。举例如下：

bit0：为1表示将使用加密算法A，否则为0；

bit1：为1表示将使用加密算法B，否则为0；

bit2：为1表示将使用加密算法C，否则为0；

bit3..bit6：保留为以后使用.

bit7：为1表示无效算法，否则为0.

(可读，可写)(强制实现)(长度：1byte)

上述的比特bit可为：由若干个bit组成的二进制计数值。

可以理解的是，在以上两个实施例中，本发明使用连续的取值或比特bit定义算法模式和算法模式的组合，扩充了安全能力和安全模式两个参数的表达能力，不排除对安全能力和安全模式属性字段的长度进行扩展的可能，以及扩展长度后改变所属ME的可能。

需要说明的是，因为BPON系统使用和GPON系统相同的OMCI协议，上述两个基于GPON系统实施例的多算法协商过程思路同样可以用在BPON系统。可以理解的是，不排除其他PON技术使用本技术方案原理实现多算法协商。

以上对本发明所提供的一种PON系统中加密算法协商方法进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

1.PON系统中加密算法协商方法，其特征在于，包括步骤：

1)获取光网络单元支持的算法模式；

2)依据预置策略允许的算法模式选定算法模式；

3)设置光网络单元使用所述选定的算法模式。

2.根据权利要求1所述的方法，其特征在于，所述步骤1)获取的过程包括：

11)发送获得支持算法模式的命令到光网络单元；

12)光网络单元反馈支持的算法模式。

3.根据权利要求1所述的方法，其特征在于，所述步骤1)获取的过程包括：

当光网络单元属性值变化的时候，所述光网络单元通过属性值变化AVC消息上报支持的算法模式。

4.根据权利要求3所述的方法，其特征在于，所述光网络单元上报支持的算法模式之前，包括：

c1)发送复位命令到光网络单元；

c2)光网络单元响应复位结果。

5.根据权利要求1所述的方法，其特征在于，所述预置的策略包括：依据不同国家、不同地区或不同网络运营商而采用的不同使用标准。

6.根据权利要求1所述的方法，其特征在于，所述步骤2)选定的过程包括：判断所述允许的算法模式和所述光网络单元支持的算法模式是否有相同的算法模式，如果是，从所述相同的算法模式中选定算法模式，否则，作为协商失败处理。

7.根据权利要求6所述的方法，其特征在于，所述协商失败处理过程包括：从所述允许的算法模式中选定算法模式；或将不表示任何实际算法的无效算法模式作为选定的算法模式，所述无效算法模式使用特定形式的值表示。

8.根据权利要求1所述的方法，其特征在于，所述步骤3)设置的过程包括：

31)发送包括所述选定的算法模式的设置命令到光网络单元；

32)光网络单元回应设置结果。

9.根据权利要求1～8其中之一所述的方法，其特征在于，使用连续的取值表示所述算法模式。

10.根据权利要求1～8其中之一所述的方法，其特征在于，使用比特bit表示所述算法模式。