專利名稱:光網(wǎng)絡單元認證方法及裝置的制作方法
技術領域:
本發(fā)明涉及通信領域��,具體而言���,涉及ー種光網(wǎng)絡單元認證方法及裝置。
背景技術:
無源光網(wǎng)絡(Passive Optical Networks�����,簡稱為PON)系統(tǒng)是ー種點到多點的基于光纖傳輸?shù)默F(xiàn)代網(wǎng)絡系統(tǒng)���。PON系統(tǒng)中的網(wǎng)元設備包括光線路終端(Optical Line Terminal�,簡稱為0LT)、無源光網(wǎng)絡單元(Optical Network Unit���,簡稱為0NU)和無源光網(wǎng)絡終端(Optical Network ^Termination�����,簡稱為0NT)。其中OLT為局端側設備����,ONU和ONT 為用戶側設備。OLT和0NU/0NT之間使用光分配網(wǎng)絡(Optical Distribution Network�����,簡稱為0DN)相連接�����。ONU提供(直接或遠程的)用戶側接ロ����,ONT是用于FTTH (Fiber To The Home)并具有用戶端ロ功能的0NU。本說明書的下文中用ONU來代表ONU和0ΝΤ��。在OLT的ー個PON端口下,通過光分配網(wǎng)絡ODN可以連接32個���、64個甚至1 個 0NU���。這些ONU在網(wǎng)絡中可由某種唯一標志符表示,例如�����,EPON系統(tǒng)中可以通過其媒質(zhì)訪問控制(Medium Access Control�����,簡稱為MAC)地址來唯一標識0NU��,GPON系統(tǒng)可以通過序列號(Serial Number,簡稱為SN)來唯一標識0NU�����。OLT —般也是根據(jù)MAC或SN對ONU進行認證����,只要ONU的MAC或SN信息在OLT的ー個PON上是合法的,該ONU便可在此PON ロ下正常工作�,而不會考慮其他因素(有時OLT會對ONU進行MAC/SN加密碼PASSWORD的混合認 ii£)�。傳統(tǒng)的ONU認證方式比較簡単�����,存在ー些弊端�����。先舉其中的兩個方面進行詳述����。第一�,ONU的標志信息過于簡短,攜帯的信息量少�、格式不靈活。EPON系統(tǒng)中采用 MAC地址進行認證��,只能使用數(shù)字表示�����,6個字節(jié)長度攜帯的信息量比較少���。GPON系統(tǒng)采用 SN進行認證���,SN的長度總共為8個字節(jié)���,其中前4個字節(jié)為供應商標志,后4個字節(jié)為數(shù)字序號�����,攜帯的信息量也比較少�����,且格式不靈活����。即使系統(tǒng)采用與PASSWORD混合的認證方式, 因為PASSWORD最長只有10個字節(jié)�,攜帶的信息量仍然有限。而在現(xiàn)實應用中��,許多運營商都希望ONU的標識字段能夠攜帶更多的信息����,比如可以存放用戶的詳細家庭地址,例如 XXX 市 XXX 區(qū) XXX 鎮(zhèn) XXX 街 XXX 號 XXX 室����。第二�����,在傳統(tǒng)的ONU認證過程中�����,重要信息容易被人竊聽利用�����。OLT和ONU之間信息傳輸是通過ODN進行傳輸?shù)?����,通過在原有的ODN網(wǎng)絡中串接入分光計Splitter,就能夠輕易地將OLT和ONU之間的傳輸信息分離出來���,比如非法用戶通過竊聽��,獲取到合法用戶的 ONU SN后����,在自己的ONU上設置與合法用戶完全相同的SN,然后斷開原合法用戶的ONU與 OLT之間的連接��,并將自己ONU連接到ODN網(wǎng)絡中�����。在這種情況下��,由于ONU標識信息SN是完全一祥的�����,該非法用戶的ONU是可以在原OLT下認證成功的���,從而獲得與原來合法用戶ー 樣的網(wǎng)路服務�����。
發(fā)明內(nèi)容
本發(fā)明提供了ー種光網(wǎng)絡單元認證方法及裝置����,以至少解決相關技術中ONU認證過程中��,信息容易被竊聽利用的問題���。根據(jù)本發(fā)明的ー個方面�,提供了ー種光網(wǎng)絡單元認證方法,包括光線路終端OLT 接收到來自光網(wǎng)絡單元ONU的加密的認證信息��;對加密的認證信息進行解密�;使用解密后的認證信息對ONU進行認證。優(yōu)選地���,在OLT接收到來自ONU的加密的認證信息之前�,還包括0LT與ONU協(xié)商對認證信息進行加密的加密方式�。優(yōu)選地,OLT與ONU協(xié)商對認證信息進行加密的加密方式包括0LT確定自身的加密算法與ONU的加密算法之間的交集�;OLT在交集中確定加密方式中的加密算法。優(yōu)選地����,在OLT接收到來自ONU的加密的認證信息之前,還包括0NU在認證信息中的標識字段采用字符串指針�,字符串指針指向認證信息中的長度大于標識字段的字符
ψ ο優(yōu)選地�,在使用解密后的認證信息對ONU進行認證之后,還包括刪除解密后的認 1 £ η 息 ο根據(jù)本發(fā)明的另ー個方面����,提供了ー種光網(wǎng)絡單元認證裝置�,包括接收模塊����,用于接收來自光網(wǎng)絡單元ONU的加密的認證信息;解密模塊���,用于對加密的認證信息進行解密�;認證模塊����,用于使用解密后的認證信息對ONU進行認證。優(yōu)選地���,上述裝置還包括協(xié)商模塊���,用干與ONU協(xié)商對認證信息進行加密的加密方式。優(yōu)選地��,協(xié)商模塊包括第一確定模塊���,用于確定自身的加密算法與ONU的加密算法之間的交集���;第二確定模塊�,用于在交集中確定加密方式中的加密算法����。優(yōu)選地,上述裝置還包括0NU在認證信息中的標識字段采用字符串指針�,字符串指針指向認證信息中的長度大于標識字段的字符串。優(yōu)選地�����,上述裝置還包括刪除模塊���,用于刪除解密后的認證信息����。通過本發(fā)明�����,采用對認證信息進行加密的方式�,解決了相關技術中ONU認證過程中,信息容易被竊聽利用的問題����,提高了認證過程的安全性。
此處所說明的附圖用來提供對本發(fā)明的進ー步理解�,構成本申請的一部分,本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明����,并不構成對本發(fā)明的不當限定。在附圖中圖1是根據(jù)本發(fā)明實施例的光網(wǎng)絡單元認證方法的流程圖���;圖2是根據(jù)本發(fā)明實施例的ONU認證狀態(tài)遷移流程圖��;圖3是根據(jù)本發(fā)明實施例的OLT和ONU之間的認證交互處理流程圖�����;圖4是根據(jù)本發(fā)明實施例的光網(wǎng)絡單元認證裝置的結構框圖����;圖5是根據(jù)本發(fā)明優(yōu)選實施例的光網(wǎng)絡單元認證裝置的結構框圖ー��;圖6是根據(jù)本發(fā)明優(yōu)選實施例的光網(wǎng)絡單元認證裝置的結構框圖ニ ;圖7是根據(jù)本發(fā)明優(yōu)選實施例的光網(wǎng)絡單元認證裝置的結構框圖三���。
具體實施例方式需要說明的是�����,在不沖突的情況下�,本申請中的實施例及實施例中的特征可以相互組合。下面將參考附圖并結合實施例來詳細說明本發(fā)明�����。本發(fā)明提供了一種光網(wǎng)絡單元認證及裝置����,圖1是根據(jù)本發(fā)明實施例的光網(wǎng)絡單元認證方法的流程圖,包括如下的步驟S102至步驟S106���。步驟S102�,光線路終端OLT接收到來自光網(wǎng)絡單元ONU的加密的認證信息���。步驟S104��,對加密的認證信息進行解密����。步驟S106����,使用解密后的認證信息對ONU進行認證�����。相關技術中�,在ONU的認證過程中,認證信息中的一些珍貴信息容易被人竊聽利用����。本發(fā)明實施例中����,通過對認證信息進行加密,提高了認證過程的安全性����。為了給后續(xù)認證提供基礎���,在OLT接收到來自ONU的加密的認證信息之前��,還包括0LT與ONU協(xié)商對認證信息進行加密的加密方式�。出于簡化流程的目的,OLT與ONU協(xié)商對認證信息進行加密的加密方式包括0LT 確定自身的加密算法與ONU的加密算法之間的交集;OLT在交集中確定加密方式中的加密算法����。在本優(yōu)選實施例中,由OLT從其與ONU共用的加密方式中任意選擇���,使協(xié)商加密的過
程更簡単��。對于上述加密過程的下行交互,采用目前國際標準中對GEM PORT加密的方式來實現(xiàn)�,可以起到保密性,本發(fā)明不額外增加新方式��。上述下行交互可以這樣實現(xiàn)(1)0LT和ONU先進行協(xié)商,確認采用哪種加密算法����; (2)加密算法確定之后��,OLT在本地隨機產(chǎn)生ー個1 位的密碼���,通過下行加密的OMCI通道告訴ONU ��; (3)當OLT獲取認證信息吋,ONU根據(jù)之前確定的加密方式以及OLT下發(fā)的密碼進行加密���,然后放入OMCI通道返回給OLT �����; (4) OLT接受到該消息后使用先前生成的隨機密鑰進行解密。如果ONU不支持對認證消息加密�����;或者OLT和ONU之間加密算法沒有交集,此時上行認證消息將不采用加密進行傳輸�。為了増大用于認證的標識信息的信息量,在OLT接收到來自ONU的加密的認證信息之前����,還包括ONU在認證信息中的標識字段采用字符串指針,字符串指針指向認證信息中的長度大于標識字段的字符串�����。作為ー種優(yōu)選的實現(xiàn)方式���,本發(fā)明實施例準備引入ー個ONU認證管理實體 ME (Management Entity)�,在該ME中����,定義ー個指向長字符串(Large String)的指針,用于保存認證信息的實例����;該長字符串的長度可以不受傳統(tǒng)認證方式中MAC、SN或PASSWORD字符長度的影響�。在本發(fā)明實施例中����,暫定其長度為256個字節(jié)���,可以存儲多達1 個字符, 用以保存ONU認證信息�����。通過引入ONU認證管理實體ME�����,能夠方便運營商對ONU的認證標志進行靈活的定義���,可以使用數(shù)字加字符的組合���,可以配置更長的內(nèi)容,使ONU的標志信息更為清晰���。從而增強運營商ONU認證系統(tǒng)的實用性和靈活性����。為了更好地體現(xiàn)認證的安全性,在使用解密后的認證信息對ONU進行認證之后�����, 還包括刪除解密后的認證信息���。在以上ONU認證管理過程中����,本發(fā)明實施例充分考慮了對國際標準的兼容性因此重新定義了 G. 984標準中的ONU狀態(tài)機�����。規(guī)定了 ONU認證管理過程中的A0�,Al,A2�,A3,A4��, A5��,A6等7個狀態(tài)����,這些狀態(tài)與G. 984標準中的01�,02�,03,04��,05�����,06�����,07等狀態(tài)相互關聯(lián)�����。 在本發(fā)明的具體實施方式
中將對此進行詳細敘述��。
下面將結合實例對本發(fā)明實施例的實現(xiàn)過程進行詳細描述��。在基于邏輯標識的ONU認證系統(tǒng)中��,ONU的認證狀態(tài)決定了 ONU是否能接入網(wǎng)絡�。 在ONU完成認證之前��,除OMCI和PLOAM消息外,OLT不允許來自該ONU的任何數(shù)據(jù)輸入�、輸出通訊(0LT對接受到的來自該ONU的數(shù)據(jù)報文進行丟棄處理)。當ONU通過基于邏輯標識的ONU認證后�,該ONU的認證狀態(tài)切換到認證成功狀態(tài),在該狀態(tài)下OLT允許ONU進行正常通訊?�,F(xiàn)對整個認證過程進行詳述�,包括如下的步驟1至7。步驟1�,在 ONU 上電后,即創(chuàng)建 ONU Authentication ME��。ONU Authentication ME 包括以下屬性ME ID 僅標記ー個實體����,值固定為0 (R) (2bytes)。ONU authentication capabilities :0NU支持的認證模式��,用比特位來表示���,1表示支持����,0表示不支持,其各個比特表示如下Bit 0(Bit position = 1) :CTC LOID 認證模式(G. 984. 3 adml 中 ONU RegistrationMethods 的 Other forms of authentication;����;Bit 1 (Bit position = 2) :CTC L0ID+PASSW0RD 認證模式(G. 984. 3 adml 中 ONURegistration Methods 的 Other forms of authentication);Bit 2 (Bit position = 6) :CTC PASSWORD 認證模式(G. 984. 3 adml 中 ONU RegistrationMethods 的 Other forms of authentication;����;Bit 3 至 127 保留。(R) (16bytes)�����;OLT select authentication mode :0LT 選擇的認證模式�����,O 缺省值����,表示 OLT 沒有通知ONU當前采用的認證模式�����,N表示選擇ONU authentication capabilities中相應 Bit position = N代表的模式�,例如,1表示OLT通知ONU將采用CTC LOID認證模式,以此類推�,缺省值為O ;當OLT側需要通過該ME進行認證時��,當ONU遷移到05�����,OMCI通道建立之后���,OLT需要首先設置該屬性�����,通知ONU開始進行認證����;(R����,W) (Ibyte)。ONU authentication information length :0NU 上報 OLT 指定認證模式的認證信息的長度����,即當OLT設置了 OLT select authentication mode屬性之后�,ONU需要立刻通過AVC上報當前認證信息長度���。例如��,如果選擇了 CTC LOID認證模式��,則上報對����,如果選擇了 CTCL0ID+PASSW0RD認證模式�����,則上報36��,如果選擇了 CTC PASSWORD認證模式�,則上報 12����,以此類推,缺省值為O ����; (R) (2bytes)����。ONU report authentication information status :ONU 接受 Auth information pointer后��,將認證信息填入相應的屬性之后�,上報認證信息狀態(tài),OLT是否可以開始獲取認證信息了���,O表示無效����,當前ONU還沒有準備認證信息或者Authentication information pointer屬性為空指針�,1表示當前信息有效,OLT可以通過Get Large Mring獲取ONU上的認證信息���;缺省值為O �����; (R) (IByte)����。ONU crypto capabilities 該屬性表示ONU支持的加密能力����,當OLT獲知ONU已經(jīng)準備好認證信息后���,OLT查詢該ME獲取其加密的能力,如果OLT和ONU有相同加密方式��,則OLT選擇ー種加密方式��,通知ONU啟用���;以比特位來表示���,1表示支持,0表示不支持��,其各個比特表示如下Bit 0(Bit position = 1�,Isb = 1,msb = 128) :AES-CMAC_128 ����;Bitl至15保留���,0表示ONU不支持��,即上行認證信息不經(jīng)過加密進行發(fā)送�����。(R) (可選)(2Bytes)����;OLT select crypto mode :0LT獲取ONU對認證信息加密的能力后,選擇ー種加密方式���,通知0NU����,定義如下0 表示不加密���;1 采用AES-CMAC-U8 (即N表示采用ONU支持的對應Bit position N比特位的加密方法)���;(R,W)(可選)(IByte)�。Authentication crypto key 該屬性由OLT隨機產(chǎn)生的ー個16Bytes密鑰,用于對上行認證信息加密的密鑰����,即在發(fā)送之前�����,先采用OLT select crypto mode選擇的方法����, 采用該密鑰屬性對認證信息先加密然后再送到OMCI通道發(fā)送(R��,W)(可選)(16ByteS)�����。ONU authentication status 該屬性用于表示該ONU當前處于的認證狀態(tài)�����,有下列狀態(tài)0 表示AO狀態(tài)�����,初始狀態(tài)�����,對應G. 984. 3標準中的01��,02����,03,04�����,07等狀態(tài)�����;1 表示Al狀態(tài)��,未認證05狀態(tài)�,ONU遷移到05后,立刻從AO狀態(tài)遷移到該狀態(tài)���, 此時OLT還沒有通過該ME來對ONU進行認證�;2 表示A2狀態(tài)��,認證模式選擇狀態(tài)��,當ONU接受到OLT設置OLT select authenticationmode屬性之后,由Al狀態(tài)遷移到該狀態(tài)�;同時上報該認證模式下ONU的保存的認證信息長度;3 表示A3狀態(tài)上報認證信息狀態(tài)����,當ONU接受OLT設置Auth information pointer屬性之后,立刻由A2狀態(tài)遷移到該狀態(tài)��;在相關的Large String ME中保存認證信息�����,同時上報AVC�����,通知OLT認證信息已經(jīng)有效��,OLT可以獲取相關的認證信息���;4 表示A4狀態(tài)�����,認證成功狀態(tài)��;5 表示A5狀態(tài)��,認證失敗狀態(tài)�����;6 表示A6狀態(tài)��,認證錯誤狀態(tài)�;7至255 保留����,其中,缺省值為0����,OLT僅僅能夠設置A4,A5狀態(tài)��,A5狀態(tài)不能夠由 ONU 來遷移��,(R, W) (IByte)���。倉Il 建 ONU Authentication ME 之后��,設置 ONU authentication capabilities 為其頭際支持的��!!E 力��,OLT select authentication mode 為 0, ONU authentication information lengtn 為 0, Autnentication information pointer 為 OxFFFF, ONU report authentication information status為0,OLT select crypto mode為0,Authentication crypto key 為 NULL (空字符串)���,ONUauthentication status 為 0 (AO 狀態(tài))����。本發(fā)明實施例定義了 A0�����,Al���,A2�����,A3��,A4����,A5,A6等7個狀態(tài)��,圖2是根據(jù)本發(fā)明實施例的ONU認證狀態(tài)遷移示意圖����。設置Authentication crypto key的初始值之后,OLT和ONU之間開始協(xié)商加密方式�,以便后續(xù)的認證信息交互是在該加密方式下完成��。步驟2�,對于下行交互采用目前國際標準中對GEM PORT加密的方式來實現(xiàn),可以起到保密性����,本發(fā)明不額外增加新方式。步驟3��,對于下行交互可以這樣實現(xiàn)首先���,OLT和ONU先進行協(xié)商���,確認采用哪種加密算法。加密算法的協(xié)商可以在OLT和ONU支持加密算法的交集中確定�����,只要OLT和ONU 存在加密算法交集,OLT任意選擇ー種交集中的算法即可����。步驟4,加密算法確定之后���,OLT在本地隨機產(chǎn)生ー個1 位的密碼�����,通過下行加密的OMCI通道告訴ONU�。步驟5����,當OLT獲取認證信息吋,ONU根據(jù)之前確定的加密方式以及OLT下發(fā)的密碼進行加密�����,然后放入OMCI通道返回給0LT�����。步驟6,OLT接受到該消息后使用先前生成的隨機密鑰進行解密����。步驟7,如果ONU不支持對認證消息加密����;或者OLT和ONU之間加密算法沒有交集, 此時上行認證消息將不采用加密進行傳輸�。G. 984. 3標準狀態(tài)遷移包括如下步驟S200至步驟S800步驟S200,ONU連接至0LT�,并通過OLT激活后���,G. 984. 3標準狀態(tài)遷移到05狀態(tài)后�,ONU遷移到Al狀態(tài)��,未認證狀態(tài)���,等待OLT后續(xù)處理�����,啟動定時器Tl ��;同時上報屬性ONU authentication status AVC信息�,表明ONU遷移到Al狀態(tài)。各定時器的參考值如下����。Tl定時器等待OLT開始認證處理或者開始同步處理ME,建議6秒(主要考慮兼容舊0LT���,支持擴展認證模式將有Get何Set兩個操作)�,即ONU遷移到05狀態(tài)后經(jīng)過Tl 后OLT沒有后續(xù)的任何動作����,此時遷移到A6狀態(tài)。T2定時器等待OLT創(chuàng)建Large String, ONU構造認證信息����,建議9秒(該狀態(tài)下有Create, Set, Set三個操作),如果超時ONU遷移到A6�。T3定時器等待OLT下發(fā)認證結果,建議6秒(至少ー個Get和Set操作)�,如果超時遷移到A6。T4定時器認證失敗定時器��,建議3秒�����,在OLT認證失敗的后續(xù)操作由OLT自己確定(例如,可以下發(fā)Deactive讓ONU遷移到02����,可以等待一定時間在將該ONU激活再次進行認證),如果超時遷移到標準的02狀態(tài)�,同時開始響應OLT的Discover消息,OLT的是否再次發(fā)起認證有OLT自定���,如果是認證失敗建議OLT間隔一定時間�����,例如,5分鐘或者其他時間�����。T5定時器認證錯誤定時器�,3秒,如果超時遷移到標準的02狀態(tài)��,同時開始響應 OLT 的 Discover 消息����。以上定時器均為串行定時器�����,即不會同時啟動多個定時器�����。步驟S300��,ONU處于Al狀態(tài)下�,考慮到與原標準中OLT和ONU間處理的兼容性����, 如果OLT下發(fā)GET ONU authentication capabilities屬性,則表示OLT將采用該ME進行認證��,如果此時OLT下發(fā)其他ME的操作�,例如,MIB RESET或者GET MIB SYNC DATA計數(shù)器�����,即目前標準中規(guī)定的通用流程,表示該OLT不支持或者不采用擴展ME認證模式�����,不需要通過該ME來進行認證���,ONU直接將狀態(tài)遷移到A6 ��;當OLT下發(fā)GET ONU authentication capabilities屬性�����,如果ONU返回不支持(即該ONU不支持通過采用該ME認證0NU)���,則認證失敗����;如果ONU支持,返回成功��。OLT根據(jù)本地配置屬性和ONU支持認證模式預先判斷是否能夠認證成功(如果ONU返回支持認證模式中不包括在OLT當前采用的模式���,例如,OLT 設置該ONU為CTC LOID模式,但是ONU返回模式為SN�,SN+PASSW0RD, PASSWORD模式,不包含CTC LOID模式���,則認證失敗)����,接著OLT下發(fā)設置OLT select authentication mode屬性�����,ONU接受后將狀態(tài)遷移到A2模式�,同時響應OLT的OLT select authentication mode 屬性的設置;上 艮屬性 ONU authentication information length 禾ロ ONUauthentication status AVC信息���,表明ONU遷移到A2狀態(tài)�����;同時啟動定時器T2����。步驟S400���,在A2狀態(tài)下�����,等待OLT下發(fā)命令����,當OLT接收到ONU為A2狀態(tài)后,創(chuàng)建Large Mring實例����,根據(jù)上報的長度設置numbe of parts屬性值,設置Authentication information pointer 屬性����,ONU 接受 Autnentication information pointer ι性值后, 響應Set操作����,狀態(tài)立刻遷移到A3狀態(tài),同時將當前選中的模式的認證屬性拷貝到Large String實例的屬性中����,上報屬性ONU authentication status AVC信息,表明ONU遷移到 A3狀態(tài)�;同時啟動定時器T3。步驟S500���,在A3狀態(tài)下�,等待OLT設置當前認證成功或者失敗����,當OLT接受到AVC, 獲知ONU已經(jīng)準備好認證信息����,下發(fā)Get消息獲取Large String實例中的屬性,然后OLT 與本地數(shù)據(jù)庫中的認證信息比較���,判定是認證成功還是認證失敗����,如果是認證成功則Set ONUauthentication status屬性值為4�,即認證成功狀態(tài),否則kt為5�,即認證失敗狀態(tài), 當為失敗狀態(tài)時�����,啟動定時器T4。步驟S600����,當ONU狀態(tài)為A4時,則表明認證成功�,可以認證結束;同時OLT則下發(fā)刪除保イ子認證 1苜息的 large String,同時僅;^ Authentication information pointer 為 OxFFFF無效值�����,如果采用了上行認證信息加密�,同時設置OLT select crypto mode為0, Authenticationcrypto key 為 NULL (空字符串)�,當 ONU 接受設置值為 OxFFFF 時,除了 ONU authenticationstatus值以外���,其他全部恢復為缺省值(這樣將保密認證信息��,在ONU上不能獲知當前采用的是那種認證模式�,以及其認證信息��,達到認證信息保密)�����。步驟S700,當ONU狀態(tài)為A5時���,則表示認證失敗,同時啟動定時器T5����。步驟S800,A6狀態(tài)為認證錯誤����,即在認證過程中出現(xiàn)異常則ONU狀態(tài)遷移到該狀態(tài),例如定時器超吋�,或者設置錯誤,例如�����,當ONU不在A3狀態(tài)時候����,接收到OLT設置A4或者A5狀態(tài),則遷移到A6狀態(tài)��,同時啟動定時器T5��。圖3是根據(jù)本發(fā)明實施例的OLT和ONU之間的認證交互處理流程圖,如圖3所示�����, 包括如下的步驟S302至步驟S344���。步驟S302���,在Al狀態(tài)時,ONU向OLT上報認證狀態(tài)��。步驟S304����,OLT從ONU獲取支持的認證方式。步驟S306�����,ONU向OLT反饋支持的認證方式��。步驟S308�,OLT設置ONU的認證模式�����。步驟S310���,在A2狀態(tài)時,ONU向OLT反饋設置結果�。步驟S312,ONU向OLT上報ONU認證信息長度��。步驟S314����,OLT指示ONU創(chuàng)建認證Large String管理實體��。步驟S316�����,ONU 向 OLT 反饋創(chuàng)建 Large String 結果��。步驟S318�����,OLT對ONU設置分段數(shù)��。步驟S320,ONU向OLT反饋設置分段數(shù)結果��。步驟S322, OLT 對 ONU 設置 auth info pointer�。步驟S3M,在A3狀態(tài)�,ONU向OLT反饋auth info pointer設置結果。
步驟��,ONU向OLT上報認證狀態(tài)�����。步驟�����,可選地���,OLT與ONU密鑰交互���。步驟S330,OLT 從 ONU 獲取 Large String 認證信息���。步驟S332�,ONU 向 OLT 反饋 Large String 認證信息。步驟S3;34�����,OLT對ONU設置認證狀態(tài)�。步驟S336,在A4或A5狀態(tài)�,ONU向OLT反饋設置認證狀態(tài)結果。步驟S338, OLT 向 ONU 刪除 Large String�。步驟S340,ONU 向 OLT 反饋刪除 Large String 結果�����。步驟S342, OLT 對 ONU 設置 auth info pointer�。步驟S344, ONU 向 OLT 反饋設置 auth info pointer 結果����。需要說明的是,在附圖的流程圖示出的步驟可以在諸如一組計算機可執(zhí)行指令的計算機系統(tǒng)中執(zhí)行��,并且�,雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不同于此處的順序執(zhí)行所示出或描述的步驟����。本發(fā)明實施例提供了ー種光網(wǎng)絡單元認證裝置,該裝置可以用于實現(xiàn)上述光網(wǎng)絡単元認證方法�。圖4是根據(jù)本發(fā)明實施例的光網(wǎng)絡單元認證裝置的結構框圖,如圖4所示��, 上述裝置包括解密模塊42和解密模塊44和認證模塊46��。下面對其結構進行詳細描述��。接收模塊42��,用于接收來自光網(wǎng)絡單元ONU的加密的認證信息�����;解密模塊44���,連接至接收模塊42����,用于對加密的認證信息進行解密�;認證模塊46����,連接至解密模塊44�����,用于使用解密后的認證信息對ONU進行認證�。圖5是根據(jù)本發(fā)明優(yōu)選實施例的光網(wǎng)絡單元認證裝置的結構框圖一,如圖5所示�, 上述裝置還包括協(xié)商模塊48,用干與ONU協(xié)商對認證信息進行加密的加密方式�。圖6是根據(jù)本發(fā)明優(yōu)選實施例的光網(wǎng)絡單元認證裝置的結構框圖ニ,如圖6所示�, 協(xié)商模塊48包括第一確定模塊482,用于確定自身的加密算法與ONU的加密算法之間的交集����;第二確定模塊484��,連接至第一確定模塊482��,用于在交集中確定加密方式中的加密算法��。圖7是根據(jù)本發(fā)明優(yōu)選實施例的光網(wǎng)絡單元認證裝置的結構框圖三����,如圖7所示�, 上述裝置還包括刪除模塊410�,用于刪除解密后的認證信息。綜上所述���,根據(jù)本發(fā)明的上述實施例���,提供了一種光網(wǎng)絡單元認證方法及裝置。通過本發(fā)明���,采用對認證信息進行加密的方式�,解決了相關技術中ONU認證過程中��,信息容易被竊聽利用的問題�,提高了認證過程的安全性。需要說明的是�����,裝置實施例中描述的光網(wǎng)絡單元認證裝置對應于上述的方法實施例����,其具體的實現(xiàn)過程在方法實施例中已經(jīng)進行過詳細說明��,在此不再贅述�。顯然���,本領域的技術人員應該明白�����,上述的本發(fā)明的各模塊或各步驟可以用通用的計算裝置來實現(xiàn)����,它們可以集中在單個的計算裝置上��,或者分布在多個計算裝置所組成的網(wǎng)絡上�,可選地,它們可以用計算裝置可執(zhí)行的程序代碼來實現(xiàn)����,從而,可以將它們存儲在存儲裝置中由計算裝置來執(zhí)行����,或者將它們分別制作成各個集成電路模塊����,或者將它們中的多個模塊或步驟制作成單個集成電路模塊來實現(xiàn)�。這樣�����,本發(fā)明不限制于任何特定的硬件和軟件結合����。以上所述僅為本發(fā)明的優(yōu)選實施例而已,并不用于限制本發(fā)明�,對于本領域的技CN 102571350 A說明書9/9 頁術人員來說,本發(fā)明可以有各種更改和變化��。凡在本發(fā)明的精神和原則之內(nèi)���,所作的任何修改�����、等同替換��、改進等��,均應包含在本發(fā)明的保護范圍之內(nèi)���。
權利要求
1.ー種光網(wǎng)絡單元認證方法��,其特征在于包括光線路終端OLT接收到來自光網(wǎng)絡單元ONU的加密的認證信息�;對所述加密的認證信息進行解密��;使用解密后的所述認證信息對所述ONU進行認證����。
2.根據(jù)權利要求1所述的方法,其特征在干�����,在OLT接收到來自ONU的加密的認證信息之前����,還包括所述OLT與所述ONU協(xié)商對所述認證信息進行加密的加密方式。
3.根據(jù)權利要求2所述的方法���,其特征在干����,所述OLT與所述ONU協(xié)商對所述認證信息進行加密的加密方式包括所述OLT確定自身的加密算法與所述ONU的加密算法之間的交集;所述OLT在所述交集中確定所述加密方式中的加密算法�。
4.根據(jù)權利要求1所述的方法��,其特征在干��,在OLT接收到來自ONU的加密的認證信息之前����,還包括所述ONU在所述認證信息中的標識字段采用字符串指針,所述字符串指針指向所述認證信息中的長度大于所述標識字段的字符串����。
5.根據(jù)權利要求1所述的方法,其特征在干�����,在使用解密后的所述認證信息對所述ONU 進行認證之后���,還包括刪除解密后的所述認證信息���。
6.ー種光網(wǎng)絡單元認證裝置,其特征在于包括接收模塊����,用于接收來自光網(wǎng)絡單元ONU的加密的認證信息��;解密模塊���,用于對所述加密的認證信息進行解密;認證模塊���,用于使用解密后的所述認證信息對所述ONU進行認證����。
7.根據(jù)權利要求6所述的裝置�,其特征在干,所述裝置還包括協(xié)商模塊�,用干與所述 ONU協(xié)商對所述認證信息進行加密的加密方式。
8.根據(jù)權利要求7所述的裝置���,其特征在干�,所述協(xié)商模塊包括第一確定模塊����,用于確定自身的加密算法與所述ONU的加密算法之間的交集;第二確定模塊���,用于在所述交集中確定所述加密方式中的加密算法����。
9.根據(jù)權利要求6所述的裝置,其特征在于�����,還包括所述ONU在所述認證信息中的標識字段采用字符串指針���,所述字符串指針指向所述認證信息中的長度大于所述標識字段的字符串。
10.根據(jù)權利要求6所述的裝置�,其特征在干,所述裝置還包括刪除模塊����,用于刪除解密后的所述認證信息。
全文摘要
本發(fā)明公開了一種光網(wǎng)絡單元認證方法及裝置����,該方法包括光線路終端OLT接收到來自光網(wǎng)絡單元ONU的加密的認證信息;對加密的認證信息進行解密�;使用解密后的認證信息對ONU進行認證。本發(fā)明提高了認證過程的安全性����。
文檔編號H04Q11/00GK102571350SQ201110454149
公開日2012年7月11日 申請日期2011年12月30日 優(yōu)先權日2011年12月30日
發(fā)明者盧金樹, 曾定洲, 蔡新成 申請人:中興通訊股份有限公司