密钥管理的保护方法和装置.pdf

摘要
申请专利号：	CN200810006135.3	申请日：	2008.02.03
公开号：	CN101499897A	公开日：	2009.08.05
当前法律状态：	驳回	有效性：	无权
法律详情：	发明专利申请公布后的驳回IPC(主分类):H04L 9/08申请公布日:20090805\|\|\|实质审查的生效IPC(主分类):H04L 9/08申请日:20080203\|\|\|公开
IPC分类号：	H04L9/08; H04L12/24; H04L12/26	主分类号：	H04L9/08
申请人：	中兴通讯股份有限公司
发明人：	张伟良
地址：	518057广东省深圳市南山区高新技术产业园科技南路中兴通讯大厦
优先权：
专利代理机构：	北京康信知识产权代理有限责任公司	代理人：	尚志峰;吴孟秋
PDF下载：	PDF下载

内容摘要

本发明公开了一种密钥管理的保护方法，包括：根据光线路终端和光网络单元的处理状态以及二者的交互消息来判断密钥管理是否出现异常情况；在判断密钥管理出现异常情况的情况下，进行保护处理。此外，本发明还公开了一种密钥管理的保护装置。通过使用本发明，能够在OLT和ONU的消息交互过程中能够及时检测到异常消息并进行相应的保护处理，从而有效防止OLT和ONU之间的业务或者消息交互出现异常。

权利要求书

1.  一种密钥管理的保护方法，用于包括光线路终端和光网络单元的吉比特无源光网络，其特征在于，所述方法包括：
根据所述光线路终端和所述光网络单元的处理状态以及二者的交互消息来判断密钥管理是否出现异常情况；
在判断所述密钥管理出现异常情况的情况下，进行保护处理。

2.  根据权利要求1所述的方法，其特征在于，所述处理状态为空闲状态或密钥交换状态。

3.  根据权利要求2所述的方法，其特征在于，如果所述光线路终端接收到加密密钥消息，且接收到的所述加密密钥消息的数量超过预定值，则判断所述密钥管理出现异常情况。

4.  根据权利要求2或3所述的方法，其特征在于，所述保护处理包括：
向网管系统上报告警信息、定位所述光网络单元。

5.  根据权利要求3所述的方法，其特征在于，如果接收到的所述加密密钥消息的数量未超过所述预定值，则所述光线路终端丢弃所述加密密钥消息。

6.  根据权利要求1所述的方法，其特征在于，所述处理状态为空闲状态或密钥切换状态。

7.  根据权利要求6所述的方法，其特征在于，如果所述光网络单元接收到密钥切换时间消息，则判断所述密钥管理出现异常情况。

8.  根据权利要求6或7所述的方法，其特征在于，所述保护处理包括：
向所述光线路终端接报告接收到异常消息。

9.  一种密钥管理的保护装置，用于包括光线路终端和光网络单元的吉比特无源光网络，其特征在于，所述装置包括：
判断模块，用于根据所述光线路终端和所述光网络单元的处理状态以及二者的交互消息来判断密钥管理是否出现异常情况；
保护处理模块，用于在所述判断模块判断所述密钥管理出现异常情况的情况下，进行保护处理。

10.  根据权利要求9所述的装置，其特征在于，在所述处理状态为空闲状态或密钥交换状态，并且所述光线路终端接收到加密密钥消息的情况下，如果所述加密密钥消息的数量达到预定值，则所述判断模块判断所述密钥管理出现异常情况。

11.  根据权利要求9所述的装置，其特征在于，在所述处理状态为空闲状态或密钥切换状态，并且所述光网络单元接收到密钥切换时间消息的情况下，所述判断模块判断所述密钥管理出现异常情况。

说明书

密钥管理的保护方法和装置
技术领域
本发明涉及通信领域，并且具体地，涉及用于吉比特无源光网络(Gigabit Passive Optical Network，GPON)。
背景技术
GPON是基于ITU-T G.984系列的宽带无源光接入技术，GPON系统通常由光线路终端(Optical Line Terminal，OLT)、光网络单元(Optical Network Unit，ONU)和光分配网络(Optical DistributionNetwork，ODN)组成。ODN通常为点到多点结构，一个OLT通过ODN连接多个ONU。OLT发往ONU的数据帧称为下行数据帧，ONU发往OLT的数据称为上行数据帧。
在现有的ITU-T G.984系列标准框架内，存在一种安全隐患，即，恶意ONU可能对OLT或者其它ONU进行欺骗攻击。下面以密钥管理过程为例说明这种安全隐患。
GPON系统中，下行数据帧具有天然广播特性，OLT发出的数据帧能够被下联的所有ONU接收到。考虑到安全性，ITU-T G.984.3使用AES(Advanced Encryption Standard)加密技术对下行数据帧的净荷进行加密，OLT对下行数据帧的净荷用密钥进行加密，ONU用密钥对来自OLT的数据帧净荷进行解密。相对于下行数据帧，上行数据帧安全性较高，ONU发送的上行数据帧只有OLT能够收到，因此ITU-T G.984系列标准未对上行数据帧进行加密。
OLT和ONU各自保存一份密钥并共同完成密钥管理，OLT和ONU之间的密钥管理流程可分为两个阶段：密钥交换和密钥切换。
在密钥交换阶段，OLT向ONU发送密钥请求(Key Request)消息，ONU产生新密钥并保存到shadow_key_register寄存器(备用密钥寄存器)，然后将新密钥通过加密密钥(Encryption_Key)消息发送给OLT，OLT将密钥保存到自己的shadow_key_register寄存器中。
在密钥切换阶段，OLT选择一个未来的帧(可以称为密钥切换帧)作为开始使用新密钥的第一帧，OLT通过密钥切换时间(Key_Switching_Time)消息携带密钥切换帧的复帧编号给ONU。Key_Switching_Time消息将会发送三次，ONU仅需要接收其中一个正确的拷贝来获知密钥切换帧的复帧编号。ONU每收到OLT发送的Key_Switching_Time消息就向OLT发送确认消息表示已经获取密钥切换帧的复帧编号。在密钥切换帧开始时，OLT复制本地shadow_key_register寄存器的内容到本地的当前运行的寄存器(active_key_register)，ONU复制本地的shadow_key_register寄存器的内容到active_key_register寄存器，OLT和ONU从密钥切换帧开始使用新密钥对下行数据进行加密和解密。
由于OLT只要接收到Encryption_Key消息并且能成功组装密钥，就会发起密钥切换过程，恶意ONU就可以利用这种OLT特性对其它ONU进行攻击，过程为：恶意ONU向OLT发送欺骗Encryption_Key消息，Encryption_Key消息中的密钥为随机选择，ONU-ID为被攻击的ONU的ONU-ID；OLT成功解析Encryption_Key消息后，根据Encryption_Key消息中的ONU-ID，将对被攻击ONU发起密钥切换过程；在密钥切换过程中，恶意ONU继续发送欺骗确认消息，该消息中的ONU-ID为被攻击ONU的ONU-ID；OLT在相应的密钥切换帧进行密钥切换，而被攻击ONU并没有发生密钥切换，从而导致被攻击ONU无法正常解密下行数据并进而导致相关业务异常甚至中断。
然而，至今尚未提出能够解决这种安全问题的技术方案。
发明内容
考虑到上述问题而做出本发明，为此，本发明的主要目的在于提供一种密钥管理的保护机制，以消除相关技术中光网络单元的上行传输存在的安全隐患。
根据本发明的实施例，提供了一种密钥管理的保护方法，用于包括光线路终端和光网络单元的吉比特无源光网络。
该方法包括：根据光线路终端和光网络单元的处理状态以及二者的交互消息来判断密钥管理是否出现异常情况；在判断密钥管理出现异常情况的情况下，进行保护处理。
其中，处理状态可以为空闲状态或密钥交换状态。此时，如果光线路终端接收到加密密钥消息，且接收到的加密密钥消息的数量超过预定值，则判断密钥管理出现异常情况。在这种情况下，保护处理可以包括：向网管系统上报告警信息、定位光网络单元。
而如果接收到的加密密钥消息的数量未超过预定值，则光线路终端丢弃加密密钥消息。
另外，处理状态可以为空闲状态或密钥切换状态。此时，如果光网络单元接收到密钥切换时间消息，则判断密钥管理出现异常情况。在这种情况下，保护处理可以包括：向光线路终端接报告接收到异常消息。
根据本发明的另一实施例，提供了一种密钥管理的保护装置，用于包括光线路终端和光网络单元的吉比特无源光网络。
该装置包括：判断模块，用于根据光线路终端和光网络单元的处理状态以及二者的交互消息来判断密钥管理是否出现异常情况；保护处理模块，用于在判断模块判断密钥管理出现异常情况的情况下，进行保护处理。
其中，在处理状态为空闲状态或密钥交换状态，并且光线路终端接收到加密密钥消息的情况下，如果加密密钥消息的数量达到预定值，则判断模块判断密钥管理出现异常情况。
另一方面，在处理状态为空闲状态或密钥切换状态，并且光网络单元接收到密钥切换时间消息的情况下，判断模块判断密钥管理出现异常情况。
通过本发明的上述技术方案，能够在OLT和ONU的消息交互过程中能够及时检测到异常消息并进行相应的保护处理，从而有效防止OLT和ONU之间的业务或者消息交互出现异常。
附图说明
此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：
图1是根据本发明方法实施例的密钥管理的保护方法的流程图；以及
图2是根据本发明装置实施例的密钥管理的保护装置的框图。
具体实施方式
方法实施例
在本实施例中，提供了一种密钥管理的保护方法，用于包括OLT和光网络单元的GPON系统，该方法能够防止欺骗攻击方法，以保护OLT、ONU之间的业务以及消息交互。
如图1所示，根据本实施例的密钥管理的保护方法包括：步骤S102，根据OLT和光网络单元的处理状态以及二者的交互消息来判断密钥管理是否出现异常情况；步骤S104，在判断密钥管理出现异常情况的情况下，进行保护处理。
其中，处理状态可以为空闲状态或密钥交换状态。此时，如果OLT接收到加密密钥消息，且接收到的加密密钥消息的数量超过预定值，则判断密钥管理出现异常情况(对于OLT而言，各种状态下的处理如下面的表1所示)。在这种情况下，保护处理可以包括：向网管系统上报告警信息、定位光网络单元。
而如果接收到的加密密钥消息的数量未超过预定值，则OLT丢弃加密密钥消息。
另外，处理状态可以为空闲状态或密钥切换状态。此时，如果光网络单元接收到密钥切换时间消息，则判断密钥管理出现异常情况(对于ONU而言，各种状态下的处理如下面的表2所示)。在这种情况下，保护处理可以包括：向OLT接报告接收到异常消息。
也就是说，该方法是OLT在本地创建状态机(如下面的表1所示)，在与ONU消息交互过程中，检查在特定状态下接收的消息或者发生的事件是否正确，如果正确则进行处理以及状态迁移，否则进行保护处理，如丢弃异常消息、终止相关的消息交互、通知相关ONU、通知网管系统、原因定位与排除等；以及ONU在本地创建状态机(如下面的表2所示)，在与OLT消息交互过程中，检查在特定状态下接收的消息或者发生的事件是否正确，如果正确则进行处理以及状态迁移，否则进行保护处理，如丢弃异常消息、终止相关的消息交互、通知OLT、原因定位与排除等。
OLT密钥管理过程状态机如表1所示。

空闲状态密钥交换状态密钥切换状态密钥交换触发事件向ONU发送Request_Key消息，进入密钥交换状态------Encryption_Key消息检测到异常Encryption_Key消息，本地做记录，如果超过一定次数则进行异常处理进行密钥组装，如果成功则向ONU发送Key_Switching_Time消息并进入密钥切换状态；否则，判断已经发送Request_Key消息的次数n，如果n已经超过最大次数N则报告异常并进入空闲状态，否则继续向ONU发送Request_Key消息并计数，同时保持密钥交换状态检测到异常Encryption_Key消息，本地做记录，如果超过一定次数则进行异常处理密钥切换Acknowledge消息------等待密钥切换帧到来，保持密钥切换状态密钥切换帧到来------进行密钥切换，进入空闲状态

表1
在表1中，第一行表示密钥管理过程所处的各种状态，如空闲状态、密钥交换状态、密钥切换状态等，第一列为密钥管理过程中发生的各种事件或接收的各种消息，如密钥交换触发事件、Encryption_Key消息、密钥切换确认(Acknowledge)消息、密钥切换帧到来事件等。OLT密钥管理过程状态机规定了在特定的状态下发生或接收到特定的事件或消息所做的处理以及状态迁移，其中“---”表示不作任何处理。表1包含了对Encryption_Key消息的保护处理，可以有效防止恶意ONU发起的Encryption_Key欺骗攻击。
在OLT防止欺骗攻击的具体处理措施如下：
OLT在空闲状态下接收到Encryption_Key消息是不正常的，如果次数比较少，可以丢弃Encryption_Key消息不作任何处理，当次数超过预先设定的值时，OLT认为有恶意ONU在进行攻击其它ONU，需要进行异常处理，如向网管系统上报告警、进行恶意ONU定位等；
OLT在密钥交换状态下接收到Encryption_Key消息是正常的，因为OLT之前主动向ONU发送了Request Key消息；
OLT在密钥切换状态下接收到Encryption_Key消息，在一定次数内是正常的。因为ONU在应答Request_Key消息时会连续发送3遍密钥，每份密钥通过2次Encryption_Key消息发送，在密钥交换状态OLT至少接收到2次Encryption_Key消息进行密钥组装，因此在密钥切换状态OLT最多能够接收到4次Encryption_Key消息，因此如果OLT在密钥切换状态接收到超过4次Encryption_Key消息则认为异常，需进行异常处理，异常处理如向网管系统上报告警、进行恶意ONU定位等。在密钥切换状态接收到超过4次Encryption_Key消息，可能的情况有：恶意ONU连续地发送欺骗Encryption_Key消息、恶意ONU监测到OLT发送给某个ONU的Request_Key消息后向OLT发送欺骗Encryption_Key消息。
ONU密钥管理过程状态机如表2所示。
空闲状态密钥交换状态密钥切换状态Request_Key消息向OLT应答Encryption_Key消息，进入密钥交换状态------Key_Switching_Time消息检测到异常Key_Switching_Time消息，本地做记录，并进行异常处理获取密钥切换帧号，进入密钥切换状态检测到异常Key_Switching_Time消息，本地做记录，如果超过一定次数则进行异常处理密钥切换帧到来------进行密钥切换，进入空闲状态

表2
在表2中，第一行表示密钥管理过程所处的各种状态，如空闲状态、密钥交换状态、密钥切换状态等，第一列为密钥管理过程中发生的各种事件或接收的各种消息，如Request_Key消息、Key_Switching_Time消息、密钥切换帧到来事件等。ONU密钥管理过程状态机规定了在特定的状态下发生或接收到特定的事件或消息所做的处理以及状态迁移，其中“---”表示不作任何处理。如果OLT接受了恶意ONU的欺骗Encryption_Key消息，则OLT会向被攻击ONU发送Key_Switching_Time消息，该Key_Switching_Time消息虽不是欺骗消息，但是欺骗消息引起的消息，ONU需要对这样的消息进行检查。
表2包含了对Key_Switching_Time消息的保护处理，可以有效防止恶意ONU发起的Encryption_Key欺骗攻击，具体措施如下：
ONU在空闲状态下接收到Key_Switching_Time消息是不正常的，该消息可能是OLT在接收到欺骗Encryption_Key消息时产生的，因此需要进行异常处理，如向OLT报告接收到异常Key_Switching_Time消息等；
ONU在密钥切换状态下接收到Key_Switching_Time消息，在一定次数内是正常的，由于OLT向ONU连续发送3次Key_Switching_Time消息，ONU在密钥交换状态接收到Key_Switching_Time消息会转到密钥切换状态，因此ONU在密钥切换状态最多接收到2次Key_Switching_Time消息，如果超过了2次则是不正常的，在出现异常的情况下，该消息可能是OLT在接收到欺骗Encryption_Key消息时产生的，因此需要进行异常处理，如向OLT报告接收到异常Key_Switching_Time消息。
装置实施例
在本实施例中，提供了一种密钥管理的保护装置，用于包括OLT和ONU的吉比特无源光网络。
如图2所示，根据本实施例的密钥管理的保护装置包括：判断模块202，用于根据OLT和ONU的处理状态以及二者的交互消息来判断密钥管理是否出现异常情况；保护处理模块204，用于在判断模块202判断密钥管理出现异常情况的情况下，进行保护处理。
其中，在处理状态为空闲状态或密钥交换状态，并且OLT接收到加密密钥消息的情况下，如果加密密钥消息的数量达到预定值，则判断模块判断密钥管理出现异常情况。
另一方面，在处理状态为空闲状态或密钥切换状态，并且ONU接收到密钥切换时间消息的情况下，判断模块202判断密钥管理出现异常情况。
综上所述，本发明通过检查特定状态下是否出现不期望的消息(事件)来判断是否出现异常情况。
借助于本发明的技术方案，能够在OLT和ONU的消息交互过程中能够及时检测到异常消息并进行相应的保护处理，从而有效防止OLT和ONU之间的业务或者消息交互出现异常。
以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。