（H3C S5120V2-52P-LI）

核心结论

一、 设备如何支持加密：硬件与软件架构

1. 硬件基础：
   • 设备集成了 EPON OLT光模块/业务板卡，其核心是专用的PON处理芯片（ASIC）。
   • 该芯片内置硬件加密引擎，能够线速处理AES等加密算法，实现对GEM帧载荷的实时加解密，几乎不影响业务性能。
2. 软件实现：
   • Comware系统​ 中的EPON OLT功能模块，负责运行 OMCI协议栈。
   • 该系统提供命令行界面，允许网络管理员全局启用或禁用加密功能，并为特定业务或ONU设置加密策略。

二、 具体加密方式与流程

加密对象：GEM Port​ 上的用户数据载荷。

• 每个用户的业务（如上网、语音）在EPON中被映射到一个唯一的GEM Port。
• 加密以GEM Port为粒度，可以灵活控制。

标准加密算法：AES-128。

• 这是当前EPON标准中最普遍、强制支持的对称加密算法。
• 在生成和分发密钥时，使用AES算法进行加密保护，确保密钥自身传输的安全。

加密详细流程：

1. ONU插电后，与OLT进行发现、测距、注册。
2. 在此过程中，OLT会通过OMCI通道下发基本配置，并为管理通道建立初步的安全关联，为后续的业务密钥分发铺路。

1. 当管理员为某个ONU配置业务（如创建一个宽带连接）时，系统会在OLT和ONU上同时创建对应的GEM Port。
2. OLT通过OMCI消息向该ONU发送 “配置GEM Port”​ 指令，其中包含一个关键参数：Encryption mode = AES-128。这条指令的含义是：“从此以后，在这个GEM Port上传输的数据，请使用AES-128算法加密。”

1. 密钥生成：OLT的加密系统为这个GEM Port动态生成一个唯一的128位“会话密钥”（称为 GEM Port Encryption Key）。
2. 密钥分发：OLT通过一条安全的OMCI“Set Request”消息（消息类型例如是设置加密密钥），将这个会话密钥下发给对应的ONU。为了确保密钥本身不被窃听，这条消息在传输时，会使用由ONU序列号、LOID等派生出的更高级别的密钥进行保护。
3. 密钥安装：ONU收到指令后，将密钥安全存储在其非易失性存储器中，并与指定的GEM Port绑定。

1. 用户数据到达OLT，进入指定的已加密GEM Port。
2. OLT的PON芯片硬件加密引擎立即介入，使用该GEM Port当前有效的会话密钥，对GEM帧的载荷部分进行AES-128加密。
3. 加密后的帧通过广播下行发送至所有ONU。
4. 目标ONU的PON芯片使用其存储的相同密钥进行实时解密，恢复原始数据并上传。
5. 同一PON口下的其他ONU因没有此密钥，无法解密，将数据丢弃。

三、 密钥信息与管理机制

1. 密钥层级：
   • 会话密钥：用于直接加密业务数据，动态生成，与单个GEM Port绑定。
   • 主密钥/传输保护密钥：用于保护“会话密钥”在OMCI通道中分发的安全，通常基于ONU的认证信息（如SN/MAC）派生，或由OLT统一配置。
2. 密钥生命周期管理：
   • 生成：由OLT加密引擎随机生成，确保不可预测性。
   • 存储：
     • OLT侧：存储在设备的运行配置或内存中。
     • ONU侧：存储在安全存储区。
   • 更新：这是核心安全机制。OLT支持周期性自动更新会话密钥（例如每24小时）。更新时，OLT生成新密钥并通过安全通道下发给ONU，业务在极短的中断（毫秒级）后切换到新密钥，有效防范长期侦听破解。
   • 失效：当业务删除（GEM Port删除）或ONU下线时，与之关联的所有密钥被立即清除。
3. 设备管理命令（示例）：
   在H3C S5120V2-52P-LI上，加密功能通常是全局启用，并自动应用的。相关查看命令可能包括：
   display epon encryption status # 查看全局加密启用状态 display epon onu info interface EPON x/y/z # 查看特定ONU的详细信息，其中可能包含加密状态

总结