技術領域

本發明涉及通訊領域在無源光網絡上實施量子密鑰的分發方法，尤其涉及一種在無源光網絡上實施量子密鑰分發的方法及無源光網絡。

背景技術

無源光網絡（Passive?Optical?Network，PON）由位于局端的光線路終端（Optical?Line?Terminal，OLT）和位于遠端的光網絡單元（Optical?Network?Unit，ONU）和/或光網絡終端（Optical?Network?Terminal,ONT）組成，并由光分配網絡（Optical?Distribution?Network，ODN）連接形成一個點到多點的網絡。OLT位于根節點，通過ODN與各個ONU/ONT相連。PON技術始于20世紀80年代初，目前市場上的PON產品按采用的技術，主要分為ATM?PON/寬帶PON（APON/BPON）、以太網PON（EPON）和千兆比特PON（GPON）幾種。隨著無源光網絡（Passive?Optical?Network，PON）的部署，對PON系統的安全可靠性的要求越來越高。其中能夠有效防范非法用戶對PON系統進行偵聽、業務盜用和惡意攻擊已成為PON系統的一項重要功能。

從上行方向看，PON是一個點到點的系統，從下行方向上看，PON是一個點到多點的廣播系統，OLT和ONT通過密鑰請求/獲取、數據加密，有效的防范了上下行方向上非法用戶的偵聽、業務盜用和惡意攻擊。目前，傳統的無緣光網絡使用的密鑰是使用因特網信息交換（IKE）方案，所使用的密鑰都是在傳統的網絡上進行信息交換后經計算得到，傳統的網絡密鑰交換過程很容易遭到外界的攻擊，在安全上存在很大的風險；另外IKE體系是建立在運算復雜度的基礎上的，而這個運算復雜度是無法理論證實是絕對安全可靠的，在遭到攻擊的時候，存在被攻破的可能，因此存在著很大的安全隱患。考慮到目前的PON系統空閑的光纖數目比較多，在現有的PON系統上借助于空閑光纖信道實施量子密鑰分發無需更改目前的網絡結構和網絡線路，易于實施而且還能更充分的利用現有的PON系統資源，更有利于保障數據的安全傳輸。

發明內容

本發明所要解決的技術方案是針對上述現有技術中的無源光網絡密鑰系統所使用的密鑰在安全方面的不足，提供一種在無源光網絡上實施量子密鑰分發的方法以及一種無源光網絡。本發明在無源光網絡上實施量子密鑰分發的方法以及本發明無源光網絡能夠保證量子密鑰在傳輸過程中的絕對安全。

為解決上述技術問題，本發明采取的技術方案為：一種在無源光網絡上實施量子密鑰分發的方法，所述光線路終端和光網絡終端之間通過光分配網絡相連；其特征在于：所述光線路終端和/或光網絡終端通過量子密鑰對需要在無源光網絡上傳輸的通信數據進行加密和解密；所述量子密鑰由量子密鑰分發設備進行分發。

作為本發明進一步改進的技術方案，所述光線路終端與一個量子密鑰分發設備相對應，所述量子密鑰分發設備通過光纖分別與光線路終端和光分配網絡相連，以建立光線路量子密鑰讀取通道，光線路終端通過光線路量子密鑰讀取通道獲取量子密鑰；每個光網絡終端分別與一個量子密鑰分發設備相對應，所述量子密鑰分發設備通過光纖與光網絡終端和光分配網絡相連，以建立光網絡量子密鑰讀取通道，光網絡終端通過光網絡量子密鑰讀取通道獲取量子密鑰。

作為本發明進一步改進的技術方案，所述光纖通過連接接口與光分配網絡連接。

作為本發明進一步改進的技術方案，所述連接接口為網絡接口、USB接口或者Serial接口。

作為本發明進一步改進的技術方案，所述光線路終端和光網絡終端分別向量子密鑰分發設備發送量子密鑰請求，量子密鑰分發設備根據量子密鑰請求，向光線路終端和光網絡終端發送量子密鑰；光線路終端和光網絡終端獲取量子密鑰后，進行量子密鑰同步處理；如果光線路終端和光網絡終端分別獲取的量子密鑰一致，則同步正確，光線路終端和光網絡終端分別用獲取的量子密鑰對通信數據進行加密和解密；如果光線路終端和光網絡終端分別獲取的量子密鑰不一致，則同步不正確，光線路終端和光網絡終端分別重新向量子密鑰分發設備發送量子密鑰請求。

作為本發明進一步改進的技術方案，量子密鑰分發設備在收到光線路終端或者光網絡終端的量子密鑰請求時，根據量子密鑰管理算法，如果有可用的量子密鑰，光線路終端或者光網絡終端則與量子密鑰分發設備之間建立會話，量子密鑰分發設備發送量子密鑰給光線路終端或者光網絡終端。