一種基于多業(yè)務(wù)承載epon注冊(cè)過(guò)程的加密認(rèn)證方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于計(jì)算機(jī)信息安全技術(shù)領(lǐng)域,特別是涉及一種基于多業(yè)務(wù)承載ΕΡ0Ν注 冊(cè)過(guò)程的加密認(rèn)證方法。
【背景技術(shù)】
[0002] ΕΡ0Ν系統(tǒng)面臨的安全威脅主要有竊聽(tīng)、拒絕服務(wù)攻擊和偽裝竊取服務(wù)等形式。 ΕΡ0Ν中的認(rèn)證方法主要用來(lái)防止ΕΡ0Ν中的兩種威脅:自動(dòng)發(fā)現(xiàn)和注冊(cè)過(guò)程中光網(wǎng)絡(luò)單元 (0NU)自動(dòng)分配到LLID的問(wèn)題和非法入侵的0NU假裝合法的0NU發(fā)送數(shù)據(jù)從而威脅正常的 ΕΡ0Ν系統(tǒng)通信的問(wèn)題。這兩個(gè)問(wèn)題都可以通過(guò)認(rèn)證過(guò)程來(lái)解決。
[0003] 針對(duì)基于注冊(cè)過(guò)程的加密認(rèn)證,目前一般多采用基于注冊(cè)過(guò)程的簡(jiǎn)單加密認(rèn)證方 法。圖1為已有技術(shù)中基于注冊(cè)過(guò)程的簡(jiǎn)單加密認(rèn)證過(guò)程圖;如圖1所示,該簡(jiǎn)單加密認(rèn)證 方法的具體步驟如下:
[0004] 1.光線路模塊(0LT)周期性地發(fā)送發(fā)現(xiàn)授權(quán),用于提供授權(quán)給新注冊(cè)的0NU。該 授權(quán)包含了發(fā)現(xiàn)窗口的起始時(shí)間和長(zhǎng)度。
[0005] 2.新注冊(cè)的0NU發(fā)送REGISTER_REQ,該消息中包含了 0NU的MAC地址。REGISTER_ REQ消息可以用來(lái)注冊(cè)或去注冊(cè),可以由flag字節(jié)決定。EFM定義PeddingGrant字節(jié)后 的38個(gè)字節(jié)用于填充。0LT收到注冊(cè)請(qǐng)求后對(duì)該填充字節(jié)不考慮。為了完成認(rèn)證,0NU在 用于請(qǐng)求注冊(cè)的REGISTER_REQ中攜帶認(rèn)證秘鑰,認(rèn)證秘鑰在該消息中的位置如表1所示。 其中,認(rèn)證秘鑰占用了 16個(gè)字節(jié)的填充。128bit的秘鑰可人為配置,存放在EEPR0M中, EEPR0M是存儲(chǔ)單元,斷電后消息不會(huì)丟失。
[0006] 表1認(rèn)證秘鑰在REGISTER_REQ消息中的位置
[0009]3.當(dāng)0LT收到用于注冊(cè)的REGISTER_REQ消息后,首先提取用戶(hù)的認(rèn)證秘鑰并和自 己的認(rèn)證秘鑰表進(jìn)行對(duì)比,如果認(rèn)證秘鑰正確,則按照注冊(cè)過(guò)程繼續(xù)分配LLID,LLID分配 后組成Flag值為3的注冊(cè)成功REGISTER消息;反之,當(dāng)0LT發(fā)現(xiàn)0NU的認(rèn)證秘鑰錯(cuò)誤后, 則組成Flag值為4的注冊(cè)失敗REGISTER消息,不分配LLID。0NU的秘鑰和0LT的秘鑰表 同時(shí)由人工進(jìn)行配置。秘鑰表中包含了所有ONU的MAC地址以及相對(duì)應(yīng)的秘鑰。秘鑰表存 放EEPR0M中,掉電后數(shù)據(jù)不會(huì)丟失。
[0010] 4.發(fā)送REGISTER消息后,0LT組成數(shù)據(jù)GATE用于0NU進(jìn)行確認(rèn)。
[0011] 5. 0NU收到REGISGER和數(shù)據(jù)GATE后,如果REGISTER的Flag值為3表示分配LLID 成功,則0NU組成REGISTER_ACK并在GATE時(shí)隙內(nèi)發(fā)送,向0LT確認(rèn)成功。如果REGISTER的 Flag值為4表示認(rèn)證和注冊(cè)失敗,則0NU組成REGISTER_ACK消息并在GATE時(shí)隙內(nèi)發(fā)送,向 0LT確認(rèn)失敗。
[0012] 上述基于注冊(cè)過(guò)程的簡(jiǎn)單加密認(rèn)證方法是根據(jù)ΕΡ0Ν系統(tǒng)自身特點(diǎn),針對(duì)ΕΡ0Ν系 統(tǒng)面臨的威脅而設(shè)計(jì)的,其能夠在一定程度上保證ΕΡ0Ν系統(tǒng)的安全性,認(rèn)證方式簡(jiǎn)單,0NU 端只需要1個(gè)128bit的寄存器,0LT端僅需維護(hù)一張MAC地址到認(rèn)證秘鑰的認(rèn)證表,實(shí)現(xiàn) 成本低廉。但該方法存在以下缺點(diǎn):
[0013] 1)該方法以ΕΡ0Ν上行信道安全為前提,明文傳輸秘鑰。
[0014] 2)沒(méi)有對(duì)0LT進(jìn)行認(rèn)證。0LT的網(wǎng)橋功能使得0NU可以模仿偽裝成0LT。惡意的 0NU通過(guò)冒充0LT竊取其他0NU的LLID并對(duì)其進(jìn)行攻擊,使得被攻擊的0NU不能接入到系 統(tǒng)。
【發(fā)明內(nèi)容】
[0015] 為了解決上述問(wèn)題,本發(fā)明的目的在于提供一種基于多業(yè)務(wù)承載ΕΡ0Ν注冊(cè)過(guò)程 的加密認(rèn)證方法。
[0016] 為了達(dá)到上述目的,本發(fā)明提供的基于多業(yè)務(wù)承載ΕΡ0Ν注冊(cè)過(guò)程的加密認(rèn)證方 法包括按順序進(jìn)行的下列步驟:
[0017]步驟101) 0NU-旦收到注冊(cè)發(fā)現(xiàn)幀(DISC0VER_GATE),就發(fā)送注冊(cè)請(qǐng)求幀 (REGISTER_REQ)到 0LT請(qǐng)求注冊(cè);
[0018] 步驟102) 0LT收到注冊(cè)請(qǐng)求幀以后,通過(guò)注冊(cè)幀(REGISTER)給0NU分配LLID,并 發(fā)送(CERTIFICATION_GATE)給0NU,建立安全聯(lián)盟;
[0019]步驟 103) 0NU發(fā)送包括 0NU的ID(ID_onu),0LT的ID(ID_olt),0NU的非對(duì)稱(chēng)公鑰 和0NU的簽名S(onu)的安全信息給0LT;
[0020] 步驟104) 0LT收到這些信息后,核對(duì)0LT和0NU的ID,并用0NU的非對(duì)稱(chēng)公鑰Kg_ onu來(lái)驗(yàn)證0NU的簽名以確認(rèn)0NU的合法身份;待確認(rèn)0NU的合法身份后,0LT用Kg_onu 來(lái)加密ID_onu、ID_olt、0LT端的公鑰Kg_olt、和0LT的簽名S(olt)的安全信息,再發(fā)送給 0NU;
[0021] 步驟105)0NU收到這些信息后,用0NU的私鑰Ks_onu進(jìn)行解密,核對(duì)0LT和0NU 的ID號(hào),得到0LT的公鑰Kg_olt,并用Kg_olt驗(yàn)證0LT的簽名;完成0LT的認(rèn)證后,0NU 用0LT的公鑰Kg_olt加密注冊(cè)確認(rèn)幀(REGISTER_ACK)發(fā)送給0LT,完成雙方的認(rèn)證。
[0022] 本發(fā)明提供的基于多業(yè)務(wù)承載ΕΡ0Ν注冊(cè)過(guò)程的加密認(rèn)證方法的效果:
[0023] 1)本認(rèn)證方法利用了 0NU的注冊(cè)過(guò)程,實(shí)現(xiàn)了注冊(cè)與認(rèn)證的無(wú)縫連接。由注冊(cè)開(kāi) 始的0LT發(fā)送注冊(cè)發(fā)現(xiàn)幀給0NU,到0NU發(fā)送注冊(cè)請(qǐng)求幀,再到0LT通過(guò)注冊(cè)幀給0NU分配 LLID,建立邏輯鏈接,此時(shí)不進(jìn)行注冊(cè)過(guò)程的最后一步,而是進(jìn)行0NU與0LT的雙向認(rèn)證,最 后進(jìn)行注冊(cè)確認(rèn)。認(rèn)證時(shí)無(wú)需拆除注冊(cè)時(shí)建立的邏輯鏈接和重新建立新的邏輯鏈接,從而 實(shí)現(xiàn)了注冊(cè)于認(rèn)證的無(wú)縫鏈接。
[0024] 2)本認(rèn)證方法改進(jìn)了基于注冊(cè)過(guò)程的簡(jiǎn)單加密認(rèn)證方法的漏洞。不對(duì)0LT進(jìn)行認(rèn) 證,會(huì)導(dǎo)致惡意的0NU冒充0LT,與合法的0NU進(jìn)行交互,獲取合法0NU的信息,再假冒合法 的0NU訪問(wèn)信道,使得合法的0NU無(wú)法訪問(wèn)信道和獲取服務(wù),導(dǎo)致產(chǎn)生DoS。雙向認(rèn)證改進(jìn) 了對(duì)基于注冊(cè)過(guò)程的簡(jiǎn)單加密漏洞,實(shí)現(xiàn)了 0LT和0NU之間的雙向認(rèn)證,因此安全性大幅提 尚。
[0025] 3)采用非對(duì)稱(chēng)加密算法加密,安全性也得到大幅提高。相較于對(duì)稱(chēng)加密,非對(duì)稱(chēng)加 密的安全性更高。
【附圖說(shuō)明】
[0026] 圖1為已有技術(shù)中基于注冊(cè)過(guò)程的簡(jiǎn)單加密認(rèn)證過(guò)程圖;
[0027] 圖2為本發(fā)明提供的基于多業(yè)務(wù)承載ΕΡ0Ν注冊(cè)過(guò)程的加密認(rèn)證方法中0LT側(cè)狀 態(tài)機(jī)實(shí)現(xiàn)圖;
[0028] 圖3為本加密認(rèn)證方法中0NU側(cè)狀態(tài)機(jī)實(shí)現(xiàn)圖;
[0029] 圖4為本加密認(rèn)證方法中基于注冊(cè)過(guò)程的非對(duì)稱(chēng)加密雙向認(rèn)證過(guò)程圖。
【具體實(shí)施方式】
[0030] 下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明提供的基于多業(yè)務(wù)承載ΕΡ0Ν注冊(cè)過(guò)程的加 密認(rèn)證方法進(jìn)行詳細(xì)說(shuō)明。
[0031] 如圖4所示,本發(fā)明提供的基于多業(yè)務(wù)承載ΕΡ0Ν注冊(cè)過(guò)程的加密認(rèn)證方法包括按 順序進(jìn)行的下列步驟:
[0032]步驟101) 0NU-旦收到注冊(cè)發(fā)現(xiàn)幀(DISC0VER_GATE),就發(fā)送注冊(cè)請(qǐng)求幀 (REGISTER_REQ)到 0LT請(qǐng)求注冊(cè);
[0033] 步驟102) 0LT收到注冊(cè)請(qǐng)求幀以后,通過(guò)注冊(cè)幀(REGISTER)給0NU分配LLID,并 發(fā)送(CERTIFICATION_GATE)給0NU,建立安全聯(lián)盟;
[0034]步驟 103) 0NU發(fā)送包括 0NU的ID(ID_onu),0LT的