專利名稱:以太網(wǎng)無源光網(wǎng)絡(luò)epon的設(shè)備認(rèn)證方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,特別是涉及一種以太網(wǎng)無源光網(wǎng)絡(luò)EPON的 設(shè)備認(rèn)證方法及系統(tǒng)。
背景技術(shù):
隨著網(wǎng)絡(luò)的發(fā)展與普及,用戶對(duì)通信帶寬要求的不斷增長(zhǎng),接入網(wǎng) 技術(shù)面臨一系列業(yè)務(wù)模式和技術(shù)的改變,以適應(yīng)用戶的需求變化。從當(dāng) 前接入網(wǎng)的發(fā)展趨勢(shì)看,光纖必然代替電纜,從而實(shí)現(xiàn)純光纖接入。無 源光網(wǎng)絡(luò)(PON , passive optical network ),即在光纖線^各上采用無源設(shè) 備進(jìn)行傳輸線路切分的網(wǎng)絡(luò),并且具有節(jié)省光纖資源、對(duì)網(wǎng)絡(luò)協(xié)議透明 的特性,在光接入網(wǎng)中具有良好的應(yīng)用前景。以太網(wǎng)無源光網(wǎng)絡(luò)(EPON, Ethernet based passive optical network)是以太網(wǎng)和PON的結(jié)合,綜合了兩 者的優(yōu)點(diǎn),低成本、高帶寬、靈活易用、管理方便,是目前接入網(wǎng)技術(shù) 中光纖到戶的理想解決方案。
EPON系統(tǒng)包括光線路終端(OLT, optical line terminal)和光網(wǎng)絡(luò)單 元(ONU, Optical Network Unit),其中,OLT和ONU的拓樸結(jié)構(gòu)為總線 形,如圖l所示,l個(gè)OLTl與4個(gè)ONU2相連,ONU2為OLTl的分支。
現(xiàn)有EPON技術(shù)由IEEE 802.1 X標(biāo)準(zhǔn)化,其中,IEEE 802.1 X標(biāo)準(zhǔn)提供 了 一種獨(dú)立于網(wǎng)絡(luò)服務(wù)類型的基于網(wǎng)絡(luò)端口訪問介入控制的標(biāo)準(zhǔn),用于 基于以太網(wǎng)的局域網(wǎng)、城域網(wǎng)以及各種寬帶接入手段的設(shè)備接入認(rèn)證。 在IEEE 802.1 X標(biāo)準(zhǔn)中,EPON系統(tǒng)設(shè)備OLT和ONU進(jìn)行設(shè)備接入認(rèn)證時(shí),
數(shù)字證書驗(yàn)證其身份的合法性,并且利用非對(duì)稱密鑰機(jī)制將認(rèn)證信息用 接收方的公鑰加密。但是這種方法只是假定OLT身份是合法的,卻沒有對(duì) OLT的身份進(jìn)行認(rèn)證,使得EPON系統(tǒng)的安全性降低,并且這種方法使用 非對(duì)稱密鑰機(jī)制對(duì)認(rèn)證信息進(jìn)行認(rèn)證,使得ONU模塊的計(jì)算量增大。因此,目前需要本領(lǐng)域技術(shù)人員迫切解決的一個(gè)技術(shù)問題就是如 何能夠提出 一 種以太網(wǎng)無緣光網(wǎng)絡(luò)的設(shè)備認(rèn)證方法,用以解決現(xiàn)有技術(shù) 沒有對(duì)OLT的身份進(jìn)行認(rèn)證而造成EPON系統(tǒng)安全性降低的問題。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種以太網(wǎng)無源光網(wǎng)絡(luò)EPON的 設(shè)備認(rèn)證方法,用以解決現(xiàn)有技術(shù)沒有對(duì)OLT的身份進(jìn)行認(rèn)證而造成 EPON系統(tǒng)安全性降低的問題。
本發(fā)明的另一個(gè)目的是將上述構(gòu)思應(yīng)用于具體的應(yīng)用環(huán)境中,提供 一種以太網(wǎng)無源光網(wǎng)絡(luò)EPON的設(shè)備認(rèn)證系統(tǒng),從而保證該方法的實(shí)現(xiàn) 和應(yīng)用。
為解決上述技術(shù)問題,本發(fā)明實(shí)施例提供了一種以太網(wǎng)無源光網(wǎng)絡(luò) EPON的設(shè)備認(rèn)證方法,包括
一種以太網(wǎng)無源光網(wǎng)絡(luò)EPON的設(shè)備i人i正方法,包括
光網(wǎng)絡(luò)單元ONU發(fā)送注冊(cè)請(qǐng)求REGISTER_REQ幀至光線路終端 OLT,實(shí)現(xiàn)注冊(cè),所述注冊(cè)請(qǐng)求幀攜帶ONU的介質(zhì)訪問控制MAC地址;
LT根據(jù)所述ONU的MAC地址獲取所述ONU的ONU公鑰,根 據(jù)所述ONU公鑰和預(yù)存的OLT私鑰,計(jì)算得到共享密鑰;
ONU根據(jù)預(yù)存的共享密鑰對(duì)第 一隨機(jī)數(shù)進(jìn)行加密,發(fā)送加密后的第 一隨才幾數(shù)至OLT;
OLT對(duì)所述加密后的第 一 隨機(jī)數(shù)進(jìn)行解密得到第 一 隨機(jī)數(shù),根據(jù)所 述共享密鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密,發(fā)送第 一隨機(jī)數(shù)和加密后的第二隨 機(jī)數(shù)至ONU;
ONU對(duì)所述加密后的第二隨機(jī)數(shù)進(jìn)行解密得到第二隨機(jī)數(shù),發(fā)送第 二隨機(jī)數(shù)至OLT,實(shí)現(xiàn)ONU和OLT的雙向身份認(rèn)證。
優(yōu)選地,所述方法中,所述OLT根據(jù)所述ONU的MAC地址獲取 所述ONU的ONU公鑰,具體為
OLT發(fā)送所述ONU的MAC地址至輕量級(jí)目錄訪問協(xié)議LDAP服務(wù) 器,以便于LDAP服務(wù)器根據(jù)預(yù)存的ONU MAC地址與ONU公鑰對(duì)應(yīng)列表,判斷所述ONU的MAC地址是否合法,當(dāng)所述ONU的MAC地 址合法時(shí),LDAP服務(wù)器獲取所述ONU的ONU公鑰;
OLT接收LDAP服務(wù)器發(fā)送的所述ONU的ONU公鑰。
優(yōu)選地,所述方法中,所述OLT預(yù)存的OLT私鑰、所述ONU預(yù)存 的共享密鑰和所述LDAP服務(wù)器預(yù)存的ONU MAC地址與ONU公鑰對(duì) 應(yīng)列表由密鑰管理服務(wù)器KMS生成和分配。
優(yōu)選地,所述方法中,所述ONU預(yù)存的共享密鑰由密鑰管理服務(wù) 器KMS生成,具體為
KMS根據(jù)ONU的MAC地址和OLT的MAC地址,采用橢圓曲線 密碼體制ECC生成OLT和ONU的公私鑰對(duì)(OLT私鑰,OLT公鑰) 和(ONU私鑰,ONU 7>鑰);
KMS根據(jù)所述ONU公鑰和所述OLT私鑰計(jì)算得到共享密鑰,將所 述共享密鑰注入ONU進(jìn)行存儲(chǔ)。
優(yōu)選地,所述方法中,所述LDAP服務(wù)器在線,所述KMS離線。
優(yōu)選地,所述方法中,所述光網(wǎng)絡(luò)單元ONU發(fā)送注冊(cè)請(qǐng)求消息至 光線路終端OLT,實(shí)現(xiàn)注冊(cè),具體為
ONU接收OLT發(fā)送的門GATE幀,發(fā)送注冊(cè)請(qǐng)求消息至OLT;
ONU接收OLT發(fā)送的注冊(cè)REGISTER幀,確認(rèn)注冊(cè)。
本發(fā)明實(shí)施例還提供了 一種以太網(wǎng)無源光網(wǎng)絡(luò)EPON的設(shè)備認(rèn)證系 統(tǒng),包括
一種以太網(wǎng)無源光網(wǎng)絡(luò)EPON的設(shè)備認(rèn)證系統(tǒng),包括 光網(wǎng)絡(luò)單元ONU,用于發(fā)送注冊(cè)請(qǐng)求REGISTER_REQ幀至光線路 終端OLT,實(shí)現(xiàn)注冊(cè),所述注冊(cè)請(qǐng)求幀攜帶ONU的介質(zhì)訪問控制MAC 地址;根據(jù)預(yù)存的共享密鑰對(duì)第一隨機(jī)數(shù)進(jìn)行加密,發(fā)送加密后的第一 隨機(jī)數(shù)至OLT;對(duì)所述加密后的第二隨機(jī)數(shù)進(jìn)行解密得到第二隨機(jī)數(shù), 發(fā)送所述第二隨機(jī)數(shù)至OLT,實(shí)現(xiàn)ONU和OLT的雙向身份認(rèn)證;
光線3各終端OLT,用于才艮據(jù)所述ONU的MAC地址獲取所述ONU 的ONU公鑰,根據(jù)所述ONU公鑰和預(yù)存的OLT私鑰,計(jì)算得到共享 密鑰;對(duì)所述加密后的第一隨機(jī)數(shù)進(jìn)行解密得到第一隨機(jī)數(shù),根據(jù)所述共享密鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密,發(fā)送所述第 一 隨機(jī)數(shù)和加密后的第二
隨機(jī)數(shù)至ONU。
優(yōu)選地,所述系統(tǒng)中,所述光網(wǎng)絡(luò)單元ONU包括
注冊(cè)才莫塊,用于發(fā)送注冊(cè)請(qǐng)求REGISTER—REQ幀至光線^各終端 OLT,實(shí)現(xiàn)注冊(cè),所述注冊(cè)請(qǐng)求幀攜帶ONU的介質(zhì)訪問控制MAC地址;
第 一加密模塊,用于根據(jù)預(yù)存的共享密鑰對(duì)第 一隨機(jī)數(shù)進(jìn)行加密, 發(fā)送加密后的第 一隨^U數(shù)至OLT;
第 一解密模塊,用于對(duì)所述加密后的第二隨機(jī)數(shù)進(jìn)行解密得到第二 隨機(jī)數(shù);
認(rèn)證完成模塊,發(fā)送所述第二隨機(jī)數(shù)至OLT,實(shí)現(xiàn)ONU和OLT的 雙向身份認(rèn)證。
優(yōu)選地,所述系統(tǒng)中,所述注冊(cè)模塊包括
收發(fā)子模塊,用于接收OLT發(fā)送的門GATE幀,發(fā)送注冊(cè)請(qǐng)求幀至
OLT;
確i人子模塊,用于接收OLT發(fā)送的注冊(cè)REGISTER幀,確認(rèn)注冊(cè)。 優(yōu)選地,所述系統(tǒng)中,所述光線^各終端OLT包括 獲取才莫塊,用于才艮據(jù)所述ONU的MAC地址獲取所述ONU的ONU 公鑰;
計(jì)算模塊,用于根據(jù)所述ONU公鑰和預(yù)存的OLT私鑰,計(jì)算得到 共享密鑰;
第二解密模塊,用于對(duì)所述加密后的第一隨機(jī)數(shù)進(jìn)行解密得到第一 隨機(jī)數(shù);
第二加密模塊,用于根據(jù)所述共享密鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密; 發(fā)送模塊,用于發(fā)送所述第一隨機(jī)數(shù)和加密后的第二隨機(jī)數(shù)至 ONU。
優(yōu)選地,所述系統(tǒng)中,所述獲取模塊包括
發(fā)送子模塊,用于發(fā)送所述ONU的MAC地址至輕量級(jí)目錄訪問協(xié) 議LDAP服務(wù)器,以便于LDAP服務(wù)器根據(jù)預(yù)存的ONU MAC地址與 ONU公鑰對(duì)應(yīng)列表,判斷所述ONU的MAC地址是否合法,當(dāng)所述ONU
8的MAC地址合法時(shí),LDAP服務(wù)器獲取所述ONU的ONU公鑰;
接收子模塊,用于接收LDAP服務(wù)器發(fā)送的所述ONU的ONU公鑰。 優(yōu)選地,所述系統(tǒng)中,所述OLT預(yù)存的OLT私鑰、所述ONU預(yù)存
的共享密鑰和所述LDAP服務(wù)器預(yù)存的ONU MAC地址與ONU公鑰對(duì)
應(yīng)列表由密鑰管理服務(wù)器KMS生成和分配。 與現(xiàn)有技術(shù)相比,本發(fā)明具有以下優(yōu)點(diǎn)
在本實(shí)施例中,不僅僅實(shí)現(xiàn)了對(duì)ONU身份的認(rèn)證,而且實(shí)現(xiàn)了對(duì)OLT 身份的認(rèn)證,保證只有合法身份的ONU和OLT設(shè)備才能接入到EPON系 統(tǒng)中,使得EPON系統(tǒng)的安全性提高;并且OLT和ONU的身份認(rèn)證使用 的密鑰與MAC地址有關(guān),既保證了合法OLT的服務(wù)不被竊取,也能保證 合法ONU得到需要的服務(wù),不會(huì)被偽裝;本實(shí)施例還采用LDAP服務(wù)器 對(duì)ONU的MAC地址的合法性進(jìn)行驗(yàn)證,實(shí)現(xiàn)了 OLT對(duì)ONU身份認(rèn)證的 雙重保證。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將 對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見 地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技 術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)性的前提下,還可以根據(jù)這些附圖獲 得其他的附圖。
圖1是現(xiàn)有技術(shù)EPON系統(tǒng)中OLT和ONU的網(wǎng)絡(luò)拓樸圖; 圖2是本發(fā)明的一種EPON的設(shè)備認(rèn)證方法實(shí)施例1的流程圖; 圖3是本發(fā)明的一種EPON的設(shè)備認(rèn)證方法實(shí)施例2的流程圖; 圖4是本發(fā)明的 一種光網(wǎng)絡(luò)單元ONU的結(jié)構(gòu)示意圖; 圖5是本發(fā)明的一種光線路終端OLT的結(jié)構(gòu)示意圖。
具體實(shí)施例方式
為使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂,下面結(jié)合
9附圖和具體實(shí)施方式
對(duì)本發(fā)明作進(jìn)一步詳細(xì)的說明。
本發(fā)明可用于眾多通用或?qū)S玫挠?jì)算裝置環(huán)境或配置中。例如個(gè) 人計(jì)算機(jī)、服務(wù)器計(jì)算機(jī)、手持設(shè)備或便攜式設(shè)備、平板型設(shè)備、多處 理器裝置、包括以上任何裝置或設(shè)備的分布式計(jì)算環(huán)境等等。
本發(fā)明可以在由計(jì)算機(jī)執(zhí)行的計(jì)算機(jī)可執(zhí)行指令的 一般上下文中描 述,例如程序模塊。 一般地,程序模塊包括執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定抽 象數(shù)據(jù)類型的例程、程序、對(duì)象、組件、數(shù)據(jù)結(jié)構(gòu)等等。也可以在分布 式計(jì)算環(huán)境中實(shí)踐本發(fā)明,在這些分布式計(jì)算環(huán)境中,由通過通信網(wǎng)絡(luò) 而被連接的遠(yuǎn)程處理設(shè)備來執(zhí)行任務(wù)。在分布式計(jì)算環(huán)境中,程序模塊 可以位于包括存儲(chǔ)設(shè)備在內(nèi)的本地和遠(yuǎn)程計(jì)算機(jī)存儲(chǔ)介質(zhì)中。
參考圖2,示出了本發(fā)明的一種EPON的設(shè)備認(rèn)證方法實(shí)施例1的 流程圖,所述設(shè)備認(rèn)i正方法流程包括
S101: ONU發(fā)送注冊(cè)請(qǐng)求消息至OLT,實(shí)現(xiàn)注冊(cè),所述注冊(cè)請(qǐng)求 消息攜帶ONU的介質(zhì)訪問控制MAC地址。
在實(shí)際應(yīng)用中,ONU接收OLT發(fā)送的門GATE幀后,發(fā)送注冊(cè)請(qǐng) 求REGISTER_REQ幀至OLT,所述注冊(cè)請(qǐng)求幀攜帶ONU的介質(zhì)訪問 控制MAC地址;OLT發(fā)送注冊(cè)REGISTER幀至ONU, ONU接收所述 注冊(cè)REGISTER幀,確認(rèn)注冊(cè)成功。
S102: OLT才艮據(jù)所述ONU的MAC地址獲取所述ONU的ONU公 鑰,根據(jù)所述ONU公鑰和預(yù)存的OLT私鑰,計(jì)算得到共享密鑰。
本實(shí)施例中,OLT根據(jù)預(yù)存的ONU MAC地址與ONU公鑰對(duì)應(yīng)列 表判斷所述ONU的MAC地址是否合法,從而當(dāng)所述ONU的MAC地 址合法時(shí)獲取所述ONU的ONU公鑰;
其中,所述ONU MAC地址與ONU公鑰對(duì)應(yīng)列表可以預(yù)存于OLT 中,但是為了使得EPON系統(tǒng)的安全性提高,優(yōu)選地,將所述ONU MAC 地址與ONU 〃>鑰對(duì)應(yīng)列表預(yù)存于輕量級(jí)目錄訪問協(xié)議(LDAP , Lightweight Directory Access Protocol).月良務(wù)器,戶斤述LDAP月良務(wù)器為具 有目錄查找和搜索功能的在線服務(wù)器。
LDAP服務(wù)器查詢所述預(yù)存的ONU MAC地址與ONU公鑰對(duì)應(yīng)列表中是否存在所述ONU的MAC地址,如果存在,則在線查找所述ONU 的MAC地址對(duì)應(yīng)的ONU公鑰,如果所述ONU公鑰存在,則所述ONU 的MAC地址合法,獲取所述ONU 7>鑰,發(fā)送所述ONU公鑰至OLT; 如果所述ONU的MAC地址不存在,或者所述ONU的MAC地址存在 但是所述ONU公鑰不存在時(shí),都認(rèn)為所述ONU的MAC地址不合法。OLT接收所述ONU公鑰,纟艮據(jù)所述ONU >鑰和預(yù)存的OLT私鑰, 計(jì)算得到共享密鑰,所述共享密鑰的計(jì)算公式為共享密鑰=ONU公鑰* OLT私鑰S103: ONU根據(jù)預(yù)存的共享密鑰對(duì)第一隨機(jī)數(shù)進(jìn)行加密,發(fā)送加 密后的第一隨機(jī)數(shù)至OLT。ONU獲取第一隨機(jī)數(shù),在實(shí)際應(yīng)用中,所述ONU獲取第一隨機(jī)數(shù) 可以為,ONU生成第一隨機(jī)數(shù);然后根據(jù)預(yù)存的共享密鑰對(duì)所述第一隨 機(jī)數(shù)進(jìn)行加密,發(fā)送所述加密后的第 一隨機(jī)數(shù)至OLT。ONU MAC地址與ONU公鑰對(duì)應(yīng)列表及S103中所述ONU預(yù)存的共享 密鑰均由密鑰管理服務(wù)器(KMS, Key Management System)生成和分 配,其中,所述ONU預(yù)存的共享密鑰由密鑰管理服務(wù)器KMS生成,具 體可以為KMS根據(jù)ONU的MAC地址和OLT的MAC地址,采用橢圓曲線 密碼體制(ECC, EllipticCurve Cryptosystems )生成OLT和ONU的7> 私鑰對(duì)(OLT私鑰,OLT公鑰)和(ONU私鑰,ONU公鑰);KMS根據(jù)所述ONU公鑰和所述OLT私鑰計(jì)算得到共享密鑰,將所 述共享密鑰注入ONU進(jìn)行存儲(chǔ),其中,所述共享密鑰二ONU公鑰tOLT 私鑰。從所述共享密鑰的生成過程可以獲知,所述ONU預(yù)存的共享密鑰 與所述OLT計(jì)算得到的共享密鑰相同。KMS將所述OLT私鑰注入OLT進(jìn)行存儲(chǔ);KMS才艮據(jù)所述ONU的 MAC i也址與對(duì)應(yīng)的ONU 7>鑰生成ONU MAC地址與ONU 〃>鑰對(duì)應(yīng)列 表,將所述列表分配給LDAP服務(wù)器進(jìn)行存儲(chǔ)。S104: OLT對(duì)所述加密后的第 一 隨機(jī)數(shù)進(jìn)行解密得到第 一 隨機(jī)數(shù), 根據(jù)所述共享密鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密,發(fā)送第一隨機(jī)數(shù)和加密后的 第二隨機(jī)數(shù)至ONU。 'OLT利用所述計(jì)算得到的共享密鑰對(duì)所述加密后的第 一 隨機(jī)數(shù)進(jìn) 行解密后,得到第一隨機(jī)數(shù);同時(shí),OLT獲取第二隨機(jī)數(shù),根據(jù)所述計(jì) 算得到的共享密鑰對(duì)所述第二隨機(jī)數(shù)進(jìn)行加密,發(fā)送所述解密得到的第 一隨機(jī)數(shù)和所述加密后的第二隨機(jī)數(shù)至ONU。其中,所述OLT獲取第 二隨機(jī)數(shù),在實(shí)際應(yīng)用中,可以為OLT生成第二隨才幾數(shù)。S105: ONU對(duì)所述加密后的第二隨機(jī)數(shù)進(jìn)行解密得到第二隨機(jī)數(shù), 發(fā)送第二隨機(jī)數(shù)至OLT,實(shí)現(xiàn)ONU和OLT的雙向身份認(rèn)證。ONU利用所述預(yù)存的共享密鑰對(duì)所述機(jī)密后的第二隨機(jī)數(shù)進(jìn)行解密 后,得到所述第二隨機(jī)數(shù),將所述第二隨機(jī)數(shù)發(fā)送至OLT, OLT驗(yàn)證所述 第二隨機(jī)數(shù)正確后,則確認(rèn)了 ONU和OLT的合法身份,這樣就實(shí)現(xiàn)了 ONU 和OLT的雙向身份認(rèn)證。本實(shí)施例不僅僅實(shí)現(xiàn)了對(duì)ONU身份的認(rèn)證,而且實(shí)現(xiàn)了對(duì)OLT身份 的認(rèn)證,保證只有合法身份的ONU和OLT設(shè)備才能接入到EPON系統(tǒng)中, 使得系統(tǒng)的安全性提高;并且OLT和ONU的身份認(rèn)證使用的密鑰與MAC 地址有關(guān),既保證了合法OLT的服務(wù)不被竊取,也能保證合法ONU得到 需要的服務(wù),不會(huì)被偽裝;本實(shí)施例還采用LDAP服務(wù)器對(duì)ONU的MAC 地址的合法性進(jìn)行驗(yàn)證,實(shí)現(xiàn)了 OLT對(duì)ONU身份認(rèn)證的雙重保證。此外,本實(shí)施采用非對(duì)稱加密算法和對(duì)稱加密算法相結(jié)合的方法,即 釆用非對(duì)稱算法橢圓密碼曲線機(jī)制ECC生成公私密鑰,再采用該公私密鑰 生成對(duì)稱加密算法的對(duì)稱密鑰作為共享密鑰使用,保證了密鑰的可靠性, 并且減小了計(jì)算量。本實(shí)施例使用了離線的KMS對(duì)密鑰集中管理,提高了設(shè)備的安全性, 便于對(duì)密鑰的維護(hù),并且離線分配密鑰還可以保證合法ONU和OLT的身 份不會(huì)被偽造冒充。本實(shí)施例采用注冊(cè)和認(rèn)證相分離的方法,降低了注冊(cè)和認(rèn)證的關(guān)聯(lián)性, 便于實(shí)現(xiàn)更靈活的認(rèn)證機(jī)制。12為了使本領(lǐng)域技術(shù)人員更好地理解本發(fā)明實(shí)施例,下面結(jié)合實(shí)際的 應(yīng)用場(chǎng)景對(duì)本發(fā)明實(shí)施例做進(jìn)一步描述。本實(shí)施例中,假設(shè)存在一可信任的管理機(jī)構(gòu)(TA, Trust agent),所 述TA包括一密鑰服務(wù)器KMS和一 LDAP服務(wù)器,所述TA對(duì)所述KMS 和LDAP服務(wù)器進(jìn)行管理和維護(hù),其中,所述KMS是離線的,所述LDAP 服務(wù)器是在線的,任何裝配到EPON系統(tǒng)中的設(shè)備須得到所述TA的許可。KMS根據(jù)ONU的MAC地址和OLT的MAC地址,采用橢圓曲線 密碼體制ECC生成OLT和ONU的公私鑰對(duì)(b, bp )和(a, ap ),所 述b為OLT私鑰,bp為OLT公鑰,a為ONU私鑰,ap為ONU公鑰; 將所述ONU公鑰a和所述OLT私鑰bp進(jìn)行點(diǎn)乘,計(jì)算得到共享密鑰 abp,預(yù)先將所述共享密鑰abp注入ONU進(jìn)行存儲(chǔ),使得KMS和ONU 之間共享abp;預(yù)先將OLT私鑰b注入ONU進(jìn)行存儲(chǔ),使得KMS和 OLT之間共享b;根據(jù)所述ONU的MAC地址與對(duì)應(yīng)ONU公鑰ap生成 ONU MAC地址與ONU公鑰對(duì)應(yīng)列表,預(yù)先將所述列表分配給LDAP 服務(wù)器進(jìn)行存儲(chǔ)。參考圖3,示出了本發(fā)明的一種EPON的設(shè)備認(rèn)證方法實(shí)施例2的 流程圖,所述設(shè)備認(rèn)證方法流程包括S201: OLT發(fā)送GATE幀至ONU。實(shí)際應(yīng)用中,OLT以廣播方式周期性的發(fā)送GATE幀,所述GATE幀 允許接收到此幀的ONU立即或者在指定時(shí)間段發(fā)送注冊(cè)請(qǐng)求 REGISTER一REQ幀。S202: ONU接收所述GATE幀,發(fā)送REGISTER—REQ幀至OLT,所 述REGISTER—REQ幀攜帶所述ONU的MAC地址。所述REGISTER—REQ幀用于在注冊(cè)過程中ONU請(qǐng)求注冊(cè)。S203: OLT接收所述REGISTER—REQ幀,發(fā)送REGISTER幀至ONU, 實(shí)現(xiàn)注冊(cè)。所述REGISTER幀用于在注冊(cè)的過程中OLT通知ONU已識(shí)別注冊(cè)請(qǐng) 求,所述ONU已注冊(cè)成功,實(shí)現(xiàn)注冊(cè)。S204: OLT發(fā)送所述ONU的MAC地址至LDAP服務(wù)器。在進(jìn)行ONU的身份認(rèn)證時(shí),OLT向LDAP服務(wù)器發(fā)送所述ONU 的MAC地址對(duì)所述ONU的身份進(jìn)行驗(yàn)證,若身份驗(yàn)證通過,則OLT 將獲取所述ONU對(duì)應(yīng)的公鑰ap,這樣LOT就可以將公鑰ap與自己的 私鑰b共同組成握手協(xié)議需要的會(huì)話密鑰(共享密鑰),具體請(qǐng)參見S205 和S206中的相關(guān)描述。S205: LDAP服務(wù)器查詢所述預(yù)存的ONU MAC地址與ONU公鑰 對(duì)應(yīng)列表,判斷所述ONU的MAC地址是否合法,如果是,根據(jù)所述 ONU的MAC地址獲取所述ONU的ONU公鑰ap,發(fā)送所述ap至OLT。本實(shí)施例中,ONU MAC地址與ONU 7>鑰對(duì)應(yīng)列表中存儲(chǔ)了合法 的ONU的MAC地址,并且合法ONU的MAC地址都與其公鑰相對(duì)應(yīng); 如果LDAP月良務(wù)器查詢所述ONU MAC地址與ONU^^鑰對(duì)應(yīng)列表中存 在所述ONU的MAC地址,則在線查找所述ONU的MAC地址對(duì)應(yīng)的 ONU公鑰,如果所述ONU公鑰存在,則所述ONU的MAC地址合法, 獲取所述ONU公鑰ap,發(fā)送所述ONU公鑰ap至OLT;如果所述ONU 的MAC地址不存在,或者所述ONU的MAC地址存在但是所述ONU 公鑰ap不存在時(shí),都認(rèn)為所述ONU的MAC地址不合法。S206: OLT根據(jù)所述ONU公鑰ap和預(yù)存的OLT私鑰b,計(jì)算得到 共享密鑰。OLT接收所述ONU公鑰,才艮據(jù)所述ONU公鑰ap和預(yù)存的OLT私 鑰b,計(jì)算得到共享密鑰abp,所述共享密鑰abp的計(jì)算公式為 共享密鑰=ONU公鑰*OLT私鑰其中,所述共享密鑰abp作為進(jìn)行握手協(xié)議時(shí)的會(huì)話密鑰來使用。 S207: ONU根據(jù)預(yù)存的共享密鑰對(duì)第一隨機(jī)數(shù)Rb進(jìn)行加密,發(fā)送加密后的第 一隨機(jī)數(shù)Rb至OLT。在實(shí)際應(yīng)用中,ONU首先生成第一隨機(jī)數(shù)Rb,然后根據(jù)預(yù)存的共享密鑰abp對(duì)所述第一隨機(jī)數(shù)Rb進(jìn)行加密,發(fā)送所述加密后的第一隨機(jī)數(shù)Rb至OLT。S208: OLT對(duì)所述加密后的第一隨機(jī)數(shù)Rb進(jìn)行解密得到第一隨機(jī)14數(shù)Rb,根據(jù)所述共享密鑰abp對(duì)第二隨機(jī)數(shù)Ra進(jìn)行加密,發(fā)送第一隨 機(jī)數(shù)Rb和加密后的第二隨機(jī)數(shù)Ra至ONU。OLT利用所述共享密鑰abp對(duì)所述加密后的第一隨機(jī)數(shù)Rb進(jìn)行解 密后,得到第一隨機(jī)數(shù)Rb;同時(shí),OLT生成第二隨機(jī)數(shù)Ra,根據(jù)所述 共享密鑰abp對(duì)所述第二隨機(jī)數(shù)Ra進(jìn)行加密,發(fā)送所述解密得到的第 一隨機(jī)數(shù)Rb和所述加密后的第二隨機(jī)數(shù)Ra至ONU。S209: ONU對(duì)所述加密后的第二隨機(jī)數(shù)Ra進(jìn)行解密得到第二隨機(jī) 數(shù)Ra,發(fā)送第二隨機(jī)數(shù)Ra至OLT。ONU利用所述預(yù)存的共享密鑰abp對(duì)所述機(jī)密后的第二隨機(jī)數(shù)Ra進(jìn) 行解密后,得到所述第二隨機(jī)數(shù)Ra,將所述第二隨機(jī)數(shù)Ra發(fā)送至OLT。S210: OLT接收所述第二隨機(jī)數(shù)Ra,對(duì)所述第二隨機(jī)數(shù)Ra進(jìn)行驗(yàn) 證,實(shí)現(xiàn)OLT和ONU之間的雙向認(rèn)證。OLT驗(yàn)證所述第二隨機(jī)數(shù)Ra是否與自身之前生成的Ra相同,如果 相同,則確認(rèn)了 ONU和OLT的合法身份,從而實(shí)現(xiàn)了 OLT和ONU之 間的雙向認(rèn)證,即OLT和ONU的身份都經(jīng)過認(rèn)證合法后便可以加入到 EPON系統(tǒng)中進(jìn)行通信。本實(shí)施例不僅僅實(shí)現(xiàn)了對(duì)ONU身份的認(rèn)證,而且實(shí)現(xiàn)了對(duì)OLT身份 的認(rèn)證,保證只有合法身份的ONU和OLT設(shè)備才能接入到EPON系統(tǒng)中, 使得系統(tǒng)的安全性提高;并且OLT和ONU的身份認(rèn)證使用的密鑰與MAC 地址有關(guān),既保證了合法OLT的服務(wù)不被竊取,也能保證合法ONU得到 需要的服務(wù),不會(huì)被偽裝;本實(shí)施例還采用LDAP服務(wù)器對(duì)ONU的MAC 地址的合法性進(jìn)行驗(yàn)證,實(shí)現(xiàn)了 OLT對(duì)ONU身份認(rèn)證的雙重保證。此外,本實(shí)施采用非對(duì)稱加密算法和對(duì)稱加密算法相結(jié)合的方法,即 采用非對(duì)稱算法橢圓密碼曲線機(jī)制ECC生成公私密鑰,再采用該公私密鑰 生成對(duì)稱加密算法的對(duì)稱密鑰作為共享密鑰使用,保證了密鑰的可靠性, 并且減小了計(jì)算量。本實(shí)施例使用了離線的KMS對(duì)密鑰集中管理,提高了設(shè)備的安全性, 便于對(duì)密鑰的維護(hù),并且離線分配密鑰還可以保i正合法ONU和OLT的身 份不會(huì)被偽造冒充。在上述EPON的設(shè)備認(rèn)證方法的基礎(chǔ)上,本發(fā)明還提供了一種EPON 的設(shè)備認(rèn)證系統(tǒng),所述設(shè)備認(rèn)證系統(tǒng)包括
光網(wǎng)絡(luò)單元ONU,用于發(fā)送注冊(cè)請(qǐng)求REGISTER—REQ幀至光線路 終端OLT,實(shí)現(xiàn)注冊(cè),所述注冊(cè)請(qǐng)求幀攜帶ONU的介質(zhì)訪問控制MAC 地址;根據(jù)預(yù)存的共享密鑰對(duì)第一隨機(jī)數(shù)進(jìn)行加密,發(fā)送加密后的第一 隨機(jī)數(shù)至OLT;對(duì)所述加密后的第二隨機(jī)數(shù)進(jìn)行解密得到第二隨機(jī)數(shù), 發(fā)送所述第二隨機(jī)數(shù)至OLT,實(shí)現(xiàn)ONU和OLT的雙向身份認(rèn)證。
光線路終端OLT,用于才艮據(jù)所述ONU的MAC地址獲取所述ONU 的ONU公鑰,根據(jù)所述ONU公鑰和預(yù)存的OLT私鑰,計(jì)算得到共享 密鑰;對(duì)所述加密后的第一隨機(jī)數(shù)進(jìn)行解密得到第一隨機(jī)數(shù),根據(jù)所述 共享密鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密,發(fā)送所述第 一隨機(jī)數(shù)和加密后的第二 隨機(jī)數(shù)至ONU。
其中,所述光網(wǎng)絡(luò)單元ONU包括注冊(cè)才莫塊401、第一加密才莫塊402、 第一解密模塊403和認(rèn)證完成模塊404,如圖4所示
所述注冊(cè)模塊401,用于發(fā)送注冊(cè)請(qǐng)求REGISTER—REQ幀至光線 路終端OLT,實(shí)現(xiàn)注冊(cè),所述注冊(cè)請(qǐng)求幀攜帶ONU的介質(zhì)訪問控制MAC 地址。
所述注冊(cè)模塊401包括收發(fā)子模塊4011和確認(rèn)子模塊4012;
所述收發(fā)子模塊4011,用于接收OLT發(fā)送的門GATE幀,發(fā)送注 冊(cè)請(qǐng)求REGISTER—REQ幀至OLT。
實(shí)際應(yīng)用中,OLT以廣播方式周期性的發(fā)送GATE幀,所述GATE幀 允許接收到此幀的ONU立即或者在指定時(shí)間段發(fā)送注冊(cè)請(qǐng)求 REGISTER—REQ幀。所述REGISTER—REQ幀用于在注冊(cè)過程中ONU請(qǐng) 求注冊(cè)。
所述確認(rèn)子才莫塊4012,用于接收OLT發(fā)送的注冊(cè)REGISTER幀, 確i人注冊(cè)。
所述REGISTER幀用于在注冊(cè)的過程中OLT通知ONU已識(shí)別注冊(cè)請(qǐng) 求,所述ONU已注冊(cè)成功,實(shí)現(xiàn)注冊(cè)。所述第一加密模塊402,用于根據(jù)預(yù)存的共享密鑰對(duì)第一隨機(jī)數(shù)進(jìn)
行加密,發(fā)送加密后的第一隨機(jī)數(shù)至OLT。
所述第一解密模塊403,用于對(duì)所述加密后的第二隨機(jī)數(shù)進(jìn)行解密 得到第二隨機(jī)數(shù)。
所述認(rèn)證完成模塊404,發(fā)送所述第二隨機(jī)數(shù)至OLT,實(shí)現(xiàn)ONU 和OLT的雙向身份認(rèn)證。
其中,所述光線路終端OLT包括獲取模塊501、計(jì)算模塊502、第 二解密模塊503、第二加密模塊504和發(fā)送模塊505,如圖5所示
所述獲取模塊501,用于才艮據(jù)所述ONU的MAC地址獲取所述ONU 的ONU 7>鑰。
所述獲取模塊501包括發(fā)送子模塊5011和接收子模塊5012;
所述發(fā)送子模塊5011,用于發(fā)送所述ONU的MAC地址至LDAP 服務(wù)器,以便于LDAP服務(wù)器根據(jù)預(yù)存的ONU MAC地址與ONU公鑰 對(duì)應(yīng)列表,判斷所述ONU的MAC地址是否合法,當(dāng)所述ONU的MAC 地址合法時(shí),LDAP服務(wù)器獲取所述ONU的ONU公鑰。
所述接收子模塊5012,用于接收LDAP服務(wù)器發(fā)送的所述ONU的 ONU公鑰。
所述計(jì)算模塊502,用于根據(jù)所述ONU公鑰和預(yù)存的OLT私鑰,
計(jì)算得到共享密鑰。
所述共享密鑰的計(jì)算公式為共享密鑰=ONU公鑰* O LT私鑰 所述第二解密模塊503,用于對(duì)所述加密后的第一隨機(jī)數(shù)進(jìn)行解密
得到第一隨機(jī)數(shù)。
所述第二加密模塊504,用于根據(jù)所述共享密鑰對(duì)第二隨機(jī)數(shù)進(jìn)行
加密;
所述發(fā)送模塊505,用于發(fā)送所述第一隨機(jī)數(shù)和加密后的第二隨機(jī) 數(shù)至ONU。
所述計(jì)算模塊502中預(yù)存的OLT私釩、所述第一加密模塊402中預(yù) 存的共享密鑰和所述LDAP力良務(wù)器預(yù)存的ONU MAC地址與ONU公鑰 對(duì)應(yīng)列表均由密鑰管理力良務(wù)器KMS生成和分配。密鑰管理服務(wù)器KMS和LDAP服務(wù)器屬于某一可信任的管理機(jī)構(gòu) TA,所述KMS是離線的,所述LDAP服務(wù)器是在線的。所述密鑰管理 服務(wù)器KMS用于生成、授權(quán)、管理和注銷各種密鑰、數(shù)字證書等信息, 是一個(gè)數(shù)據(jù)庫系統(tǒng)。所述LDAP服務(wù)器為具有目錄查找和搜索功能的服 務(wù)器。
本實(shí)施例中,所述KMS根據(jù)ONU的MAC地址和OLT的MAC地 址,采用橢圓曲線密碼體制ECC生成OLT和ONU的 >私鑰對(duì)(b, bp) 和(a, ap ),所述b為OLT私鑰,bp為OLT公鑰,a為ONU私鑰,ap 為ONU公鑰;將所述ONU公鑰a和所述OLT私鑰bp進(jìn)行點(diǎn)乘,計(jì)算 得到共享密鑰abp,預(yù)先將所述共享密鑰abp注入ONU進(jìn)行存儲(chǔ),使得 KMS和ONU之間共享abp;預(yù)先將OLT私鑰b注入ONU進(jìn)行存儲(chǔ), 使得KMS和OLT之間共享b;根據(jù)所述ONU的MAC地址與對(duì)應(yīng)ONU 公鑰ap生成ONUMAC地址與ONU公鑰對(duì)應(yīng)列表,預(yù)先將所述列表分 配給LDAP服務(wù)器進(jìn)行存儲(chǔ)。
本實(shí)施例不僅僅實(shí)現(xiàn)了對(duì)ONU身份的認(rèn)證,而且實(shí)現(xiàn)了對(duì)OLT身份 的認(rèn)證,保證只有合法身份的ONU和OLT設(shè)備才能接入到EPON系統(tǒng)中, 使得EPON系統(tǒng)的安全性提高;并且OLT和ONU的身份認(rèn)證使用的密鑰 與MAC地址有關(guān),既保證了合法OLT的服務(wù)不被竊取,也能保證合法ONU 得到需要的服務(wù),不會(huì)被偽裝;本實(shí)施例還采用LDAP服務(wù)器對(duì)ONU的 MAC地址的合法性進(jìn)行驗(yàn)證,實(shí)現(xiàn)了 OLT對(duì)ONU身份認(rèn)證的雙重保證。
本實(shí)施例使用了離線的KMS對(duì)密鑰集中管理,提高了設(shè)備的安全性, 便于對(duì)密鑰的維護(hù),并且離線分配密鑰還可以保-〖正合法ONU和OLT的身 份不會(huì)被偽造冒充。
需要說明的是,本說明書中的各個(gè)實(shí)施例均釆用遞進(jìn)的方式描述, 每個(gè)實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處,各個(gè)實(shí)施例之間 相同相似的部分互相參見即可。對(duì)于裝置類實(shí)施例而言,由于其與方法 實(shí)施例基本相似,所以描述的比較簡(jiǎn)單,相關(guān)之處參見方法實(shí)施例的部 分說明即可。
18需要說明的是,在本文中,諸如第一和第二等之類的關(guān)系術(shù)語僅僅 用來將一個(gè)實(shí)體或者操作與另一個(gè)實(shí)體或操作區(qū)分開來,而不一定要求 或者暗示這些實(shí)體或操作之間存在任何這種實(shí)際的關(guān)系或者順序。而 且,術(shù)語"包括"、"包含"或者其任何其他變體意在涵蓋非排他性的包 含,從而使得包括一系列要素的過程、方法、物品或者設(shè)備不僅包括那 些要素,而且還包括沒有明確列出的其他要素,或者是還包括為這種過 程、方法、物品或者設(shè)備所固有的要素。在沒有更多限制的情況下,由 語句"包括一個(gè)......"限定的要素,并不排除在包括所述要素的過程、
方法、物品或者設(shè)備中還存在另外的相同要素。
以上對(duì)本發(fā)明所提供的一種EPON的設(shè)備認(rèn)證方法及系統(tǒng)進(jìn)行了詳
述,以上實(shí)施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想; 同時(shí),對(duì)于本領(lǐng)域的一般技術(shù)人員,依據(jù)本發(fā)明的思想,在具體實(shí)施方 式及應(yīng)用范圍上均會(huì)有改變之處,綜上所述,本說明書內(nèi)容不應(yīng)理解為 對(duì)本發(fā)明的限制。
權(quán)利要求
1、一種以太網(wǎng)無源光網(wǎng)絡(luò)EPON的設(shè)備認(rèn)證方法,其特征在于,包括光網(wǎng)絡(luò)單元ONU發(fā)送注冊(cè)請(qǐng)求REGISTER_REQ幀至光線路終端OLT,實(shí)現(xiàn)注冊(cè),所述注冊(cè)請(qǐng)求幀攜帶ONU的介質(zhì)訪問控制MAC地址;OLT根據(jù)所述ONU的MAC地址獲取所述ONU的ONU公鑰,根據(jù)所述ONU公鑰和預(yù)存的OLT私鑰,計(jì)算得到共享密鑰;ONU根據(jù)預(yù)存的共享密鑰對(duì)第一隨機(jī)數(shù)進(jìn)行加密,發(fā)送加密后的第一隨機(jī)數(shù)至OLT;OLT對(duì)所述加密后的第一隨機(jī)數(shù)進(jìn)行解密得到第一隨機(jī)數(shù),OLT根據(jù)所述共享密鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密,發(fā)送第一隨機(jī)數(shù)和加密后的第二隨機(jī)數(shù)至ONU;ONU對(duì)所述加密后的第二隨機(jī)數(shù)進(jìn)行解密得到第二隨機(jī)數(shù),發(fā)送第二隨機(jī)數(shù)至OLT,實(shí)現(xiàn)ONU和OLT的雙向身份認(rèn)證。
2、 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述OLT根據(jù)所述 ONU的MAC地址獲取所述ONU的ONU公鑰,具體為OLT發(fā)送所述ONU的MAC地址至輕量級(jí)目錄訪問協(xié)議LDAP服務(wù) 器,以便于LDAP服務(wù)器根據(jù)預(yù)存的ONU MAC地址與ONU公鑰對(duì)應(yīng) 列表,判斷所述ONU的MAC地址是否合法,當(dāng)所述ONU的MAC地 址合法時(shí),LDAP服務(wù)器獲取所述ONU的ONU公鑰;OLT接收LDAP服務(wù)器發(fā)送的所述ONU的ONU公鑰。
3、 根據(jù)權(quán)利要求2所述的方法,其特征在于,所述OLT預(yù)存的OLT 私鑰、所述ONU預(yù)存的共享密鑰和所述LDAP服務(wù)器預(yù)存的ONU MAC 地址與ONU ^鑰對(duì)應(yīng)列表由密鑰管理服務(wù)器KMS生成和分配。
4、 根據(jù)權(quán)利要求3所述的方法,其特征在于,所述ONU預(yù)存的共 享密鑰由密鑰管理服務(wù)器KMS生成,具體為KMS根據(jù)ONU的MAC地址和OLT的MAC地址,采用橢圓曲線 密碼體制ECC生成OLT和ONU的公私鑰對(duì)(OLT私鑰,OLT公鑰) 和(ONU私鑰,ONU />鑰);KMS根據(jù)所述ONU公鑰和所述OLT私鑰計(jì)算得到共享密鑰,將所 述共享密鑰注入ONU進(jìn)行存儲(chǔ)。
5、 根據(jù)權(quán)利要求3所述的方法,其特征在于,所述LDAP服務(wù)器 在線,所述KMS離線。
6、 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述光網(wǎng)絡(luò)單元ONU 發(fā)送注冊(cè)請(qǐng)求消息至光線路終端OLT,實(shí)現(xiàn)注冊(cè),具體為ONU接收OLT發(fā)送的門GATE幀,發(fā)送注冊(cè)請(qǐng)求消息至OLT; ONU接收OLT發(fā)送的注冊(cè)REGISTER幀,確認(rèn)注冊(cè)。
7、 一種以太網(wǎng)無源光網(wǎng)絡(luò)EPON的設(shè)備認(rèn)證系統(tǒng),其特征在于, 包括光網(wǎng)絡(luò)單元ONU,用于發(fā)送注冊(cè)請(qǐng)求REGISTER_REQ幀至光線路 終端OLT,實(shí)現(xiàn)注冊(cè),所述注冊(cè)請(qǐng)求幀攜帶ONU的介質(zhì)訪問控制MAC 地址;根據(jù)預(yù)存的共享密鑰對(duì)第一隨機(jī)數(shù)進(jìn)行加密,發(fā)送加密后的第一 隨機(jī)數(shù)至OLT;對(duì)所述加密后的第二隨機(jī)數(shù)進(jìn)行解密得到第二隨機(jī)數(shù), 發(fā)送所述第二隨機(jī)數(shù)至OLT,實(shí)現(xiàn)ONU和OLT的雙向身份認(rèn)證;光線3各終端OLT,用于根據(jù)所述ONU的MAC地址獲取所述ONU 的ONU公鑰,根據(jù)所述ONU公鑰和預(yù)存的OLT私鑰,計(jì)算得到共享 密鑰;對(duì)所述加密后的第一隨機(jī)數(shù)進(jìn)行解密得到第一隨機(jī)數(shù),根據(jù)所述 共享密鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密,發(fā)送所述第一隨機(jī)數(shù)和加密后的第二 隨機(jī)數(shù)至ONU。
8、 根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于,所述光網(wǎng)絡(luò)單元ONU 包括注冊(cè)才莫塊,用于發(fā)送注冊(cè)請(qǐng)求REGISTER_REQ幀至光線路終端 OLT,實(shí)現(xiàn)注冊(cè),所述注冊(cè)請(qǐng)求幀攜帶ONU的介質(zhì)訪問控制MAC地址;第 一加密模塊,用于根據(jù)預(yù)存的共享密鑰對(duì)第 一 隨機(jī)數(shù)進(jìn)行加密, 發(fā)送加密后的第一隨機(jī)數(shù)至OLT;第一解密模塊,用于對(duì)所述加密后的第二隨機(jī)數(shù)進(jìn)行解密得到第二 隨機(jī)數(shù);認(rèn)證完成模塊,發(fā)送所述第二隨機(jī)數(shù)至OLT,實(shí)現(xiàn)ONU和OLT的雙向身份認(rèn)證。
9、 根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于,所述注冊(cè)模塊包括 收發(fā)子模塊,用于接收OLT發(fā)送的門GATE幀,發(fā)送注冊(cè)請(qǐng)求幀至OLT;確認(rèn)子模塊,用于接收OLT發(fā)送的注冊(cè)REGISTER幀,確認(rèn)注冊(cè)。
10、 根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于,所述光線路終端 OLT包括獲取才莫塊,用于根據(jù)所述ONU的MAC地址獲耳又所述ONU的ONU 公鑰;計(jì)算模塊,用于根據(jù)所述ONU公鑰和預(yù)存的OLT私鑰,計(jì)算得到 共享密鑰;第二解密模塊,用于對(duì)所述加密后的第 一 隨機(jī)數(shù)進(jìn)行解密得到第一 隨機(jī)數(shù);第二加密模塊,用于根據(jù)所述共享密鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密; 發(fā)送模塊,用于發(fā)送所述第一隨機(jī)數(shù)和加密后的第二隨機(jī)數(shù)至 ONU。
11、 根據(jù)權(quán)利要求10所述的系統(tǒng),其特征在于,所述獲取模塊包括發(fā)送子模塊,用于發(fā)送所述ONU的MAC地址至輕量級(jí)目錄訪問協(xié) 議LDAP服務(wù)器,以便于LDAP服務(wù)器根據(jù)預(yù)存的ONU MAC地址與 ONU公鑰對(duì)應(yīng)列表,判斷所述ONU的MAC地址是否合法,當(dāng)所述ONU 的MAC地址合法時(shí),LDAP服務(wù)器獲取所述ONU的ONU公鑰;
12、 根據(jù)權(quán)利要求11所述的系統(tǒng),其特征在于,所述OLT預(yù)存的 OLT私鑰、所述ONU預(yù)存的共享密鑰和所述LDAP服務(wù)器預(yù)存的ONU MAC地址與ONU公鑰對(duì)應(yīng)列表由密鑰管理服務(wù)器KMS生成和分配。
全文摘要
本發(fā)明提供了一種以太網(wǎng)無源光網(wǎng)絡(luò)EPON的設(shè)備認(rèn)證方法及系統(tǒng)。一種EPON的設(shè)備認(rèn)證方法實(shí)施例包括ONU發(fā)送注冊(cè)請(qǐng)求幀至OLT,實(shí)現(xiàn)注冊(cè);OLT根據(jù)ONU的MAC地址獲取ONU公鑰,根據(jù)ONU公鑰和預(yù)存的OLT私鑰,計(jì)算得共享密鑰;ONU根據(jù)預(yù)存的共享密鑰對(duì)第一隨機(jī)數(shù)進(jìn)行加密,發(fā)送加密后的第一隨機(jī)數(shù)至OLT;OLT對(duì)加密后的第一隨機(jī)數(shù)進(jìn)行解密得第一隨機(jī)數(shù),根據(jù)共享密鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密,發(fā)送第一隨機(jī)數(shù)和加密后的第二隨機(jī)數(shù)至ONU;ONU對(duì)加密后的第二隨機(jī)數(shù)進(jìn)行解密得第二隨機(jī)數(shù),發(fā)送第二隨機(jī)數(shù)至OLT,實(shí)現(xiàn)ONU和OLT的雙向身份認(rèn)證。本發(fā)明使得EPON系統(tǒng)的安全性提高。
文檔編號(hào)H04Q11/00GK101662705SQ20091018052
公開日2010年3月3日 申請(qǐng)日期2009年10月19日 優(yōu)先權(quán)日2009年10月19日
發(fā)明者孫中偉, 孫鳳杰, 王一蓉, 趙丙鎮(zhèn), 雷學(xué)義, 霍司天, 馬亞寧 申請(qǐng)人:國(guó)網(wǎng)信息通信有限公司;華北電力大學(xué)