85、网络安全关键管理与应用安全新范式解析

网络安全关键管理与应用安全新范式解析

1. EPON 网络中的密钥管理

在以太网无源光网络（EPON）中，密钥管理是保障网络安全的关键环节，它主要涉及密钥分配、替换和恢复等方面。

1.1 密钥分配

为确保数据的机密性和隐私性，除发现门（Discovery GATE）消息外，所有多播点控制协议（MPCP）消息都使用会话密钥进行加密。在注册过程中，OLT（光线路终端）和 ONU（光网络单元）会进行一系列消息交互：
- OLT 发送发现门消息，内容包含授权信息和 OLT 能力。
- ONU 发送注册请求消息，包含物理层 ID 能力、ONU 能力、OLT 能力回音等。
- OLT 发送注册消息，包含物理层 ID 列表、ONU 能力回音等。
- OLT 再次发送门消息，授予带宽。
- ONU 发送注册确认消息，确认注册的物理层 ID。

与其他密钥交换方法相比，此方案采用对称密钥算法加密除发现门消息外的所有 MPCP 消息，使 EPON 工作更安全快速，且注册过程使用 ONU 的永久 MAC 地址，方案更简单。

1.2 密钥替换

密钥的安全管理是 EPON 安全的关键要素之一。会话密钥更换越频繁，安全性越高，因为攻击者针对特定会话密钥可利用的密文就越少。常见的密钥替换周期如下表所示：
| 加密算法 | 替换周期 |
| — | — |
| Churning (APON) | 2 秒 |
| DES (Data Encryption Standard) | 12 小时 |
| WEP (Wired Equivalent Priv