一種基于多業(yè)務(wù)承載epon注冊(cè)過程的加密認(rèn)證方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于計(jì)算機(jī)信息安全技術(shù)領(lǐng)域��,特別是涉及一種基于多業(yè)務(wù)承載ΕΡ0Ν注 冊(cè)過程的加密認(rèn)證方法。
【背景技術(shù)】
[0002] ΕΡ0Ν系統(tǒng)面臨的安全威脅主要有竊聽����、拒絕服務(wù)攻擊和偽裝竊取服務(wù)等形式。 ΕΡ0Ν中的認(rèn)證方法主要用來防止ΕΡ0Ν中的兩種威脅:自動(dòng)發(fā)現(xiàn)和注冊(cè)過程中光網(wǎng)絡(luò)單元 (0NU)自動(dòng)分配到LLID的問題和非法入侵的0NU假裝合法的0NU發(fā)送數(shù)據(jù)從而威脅正常的 ΕΡ0Ν系統(tǒng)通信的問題��。這兩個(gè)問題都可以通過認(rèn)證過程來解決��。
[0003] 針對(duì)基于注冊(cè)過程的加密認(rèn)證�,目前一般多采用基于注冊(cè)過程的簡(jiǎn)單加密認(rèn)證方 法。圖1為已有技術(shù)中基于注冊(cè)過程的簡(jiǎn)單加密認(rèn)證過程圖�;如圖1所示,該簡(jiǎn)單加密認(rèn)證 方法的具體步驟如下:
[0004] 1.光線路模塊(0LT)周期性地發(fā)送發(fā)現(xiàn)授權(quán)��,用于提供授權(quán)給新注冊(cè)的0NU�。該 授權(quán)包含了發(fā)現(xiàn)窗口的起始時(shí)間和長(zhǎng)度。
[0005] 2.新注冊(cè)的0NU發(fā)送REGISTER_REQ��,該消息中包含了 0NU的MAC地址����。REGISTER_ REQ消息可以用來注冊(cè)或去注冊(cè),可以由flag字節(jié)決定�。EFM定義PeddingGrant字節(jié)后 的38個(gè)字節(jié)用于填充。0LT收到注冊(cè)請(qǐng)求后對(duì)該填充字節(jié)不考慮��。為了完成認(rèn)證,0NU在 用于請(qǐng)求注冊(cè)的REGISTER_REQ中攜帶認(rèn)證秘鑰��,認(rèn)證秘鑰在該消息中的位置如表1所示��。 其中�,認(rèn)證秘鑰占用了 16個(gè)字節(jié)的填充����。128bit的秘鑰可人為配置,存放在EEPR0M中���, EEPR0M是存儲(chǔ)單元���,斷電后消息不會(huì)丟失。
[0006] 表1認(rèn)證秘鑰在REGISTER_REQ消息中的位置
[0009]3.當(dāng)0LT收到用于注冊(cè)的REGISTER_REQ消息后����,首先提取用戶的認(rèn)證秘鑰并和自 己的認(rèn)證秘鑰表進(jìn)行對(duì)比,如果認(rèn)證秘鑰正確��,則按照注冊(cè)過程繼續(xù)分配LLID����,LLID分配 后組成Flag值為3的注冊(cè)成功REGISTER消息;反之,當(dāng)0LT發(fā)現(xiàn)0NU的認(rèn)證秘鑰錯(cuò)誤后����, 則組成Flag值為4的注冊(cè)失敗REGISTER消息,不分配LLID����。0NU的秘鑰和0LT的秘鑰表 同時(shí)由人工進(jìn)行配置。秘鑰表中包含了所有ONU的MAC地址以及相對(duì)應(yīng)的秘鑰��。秘鑰表存 放EEPR0M中����,掉電后數(shù)據(jù)不會(huì)丟失。
[0010] 4.發(fā)送REGISTER消息后�����,0LT組成數(shù)據(jù)GATE用于0NU進(jìn)行確認(rèn)�。
[0011] 5. 0NU收到REGISGER和數(shù)據(jù)GATE后,如果REGISTER的Flag值為3表示分配LLID 成功����,則0NU組成REGISTER_ACK并在GATE時(shí)隙內(nèi)發(fā)送,向0LT確認(rèn)成功�����。如果REGISTER的 Flag值為4表示認(rèn)證和注冊(cè)失敗,則0NU組成REGISTER_ACK消息并在GATE時(shí)隙內(nèi)發(fā)送�����,向 0LT確認(rèn)失敗��。
[0012] 上述基于注冊(cè)過程的簡(jiǎn)單加密認(rèn)證方法是根據(jù)ΕΡ0Ν系統(tǒng)自身特點(diǎn)���,針對(duì)ΕΡ0Ν系 統(tǒng)面臨的威脅而設(shè)計(jì)的,其能夠在一定程度上保證ΕΡ0Ν系統(tǒng)的安全性�����,認(rèn)證方式簡(jiǎn)單�,0NU 端只需要1個(gè)128bit的寄存器,0LT端僅需維護(hù)一張MAC地址到認(rèn)證秘鑰的認(rèn)證表���,實(shí)現(xiàn) 成本低廉�����。但該方法存在以下缺點(diǎn):
[0013] 1)該方法以ΕΡ0Ν上行信道安全為前提���,明文傳輸秘鑰�。
[0014] 2)沒有對(duì)0LT進(jìn)行認(rèn)證�����。0LT的網(wǎng)橋功能使得0NU可以模仿偽裝成0LT�。惡意的 0NU通過冒充0LT竊取其他0NU的LLID并對(duì)其進(jìn)行攻擊,使得被攻擊的0NU不能接入到系 統(tǒng)��。
【發(fā)明內(nèi)容】
[0015] 為了解決上述問題�����,本發(fā)明的目的在于提供一種基于多業(yè)務(wù)承載ΕΡ0Ν注冊(cè)過程 的加密認(rèn)證方法���。
[0016] 為了達(dá)到上述目的�����,本發(fā)明提供的基于多業(yè)務(wù)承載ΕΡ0Ν注冊(cè)過程的加密認(rèn)證方 法包括按順序進(jìn)行的下列步驟:
[0017]步驟101) 0NU-旦收到注冊(cè)發(fā)現(xiàn)幀(DISC0VER_GATE)��,就發(fā)送注冊(cè)請(qǐng)求幀 (REGISTER_REQ)到 0LT請(qǐng)求注冊(cè)�;
[0018] 步驟102) 0LT收到注冊(cè)請(qǐng)求幀以后����,通過注冊(cè)幀(REGISTER)給0NU分配LLID��,并 發(fā)送(CERTIFICATION_GATE)給0NU�,建立安全聯(lián)盟��;
[0019]步驟 103) 0NU發(fā)送包括 0NU的ID(ID_onu)�����,0LT的ID(ID_olt)�,0NU的非對(duì)稱公鑰 和0NU的簽名S(onu)的安全信息給0LT;
[0020] 步驟104) 0LT收到這些信息后��,核對(duì)0LT和0NU的ID�����,并用0NU的非對(duì)稱公鑰Kg_ onu來驗(yàn)證0NU的簽名以確認(rèn)0NU的合法身份��;待確認(rèn)0NU的合法身份后��,0LT用Kg_onu 來加密ID_onu�����、ID_olt、0LT端的公鑰Kg_olt����、和0LT的簽名S(olt)的安全信息,再發(fā)送給 0NU�����;
[0021] 步驟105)0NU收到這些信息后����,用0NU的私鑰Ks_onu進(jìn)行解密,核對(duì)0LT和0NU 的ID號(hào)�����,得到0LT的公鑰Kg_olt��,并用Kg_olt驗(yàn)證0LT的簽名�����;完成0LT的認(rèn)證后����,0NU 用0LT的公鑰Kg_olt加密注冊(cè)確認(rèn)幀(REGISTER_ACK)發(fā)送給0LT�,完成雙方的認(rèn)證����。
[0022] 本發(fā)明提供的基于多業(yè)務(wù)承載ΕΡ0Ν注冊(cè)過程的加密認(rèn)證方法的效果:
[0023] 1)本認(rèn)證方法利用了 0NU的注冊(cè)過程,實(shí)現(xiàn)了注冊(cè)與認(rèn)證的無縫連接�。由注冊(cè)開 始的0LT發(fā)送注冊(cè)發(fā)現(xiàn)幀給0NU,到0NU發(fā)送注冊(cè)請(qǐng)求幀���,再到0LT通過注冊(cè)幀給0NU分配 LLID�����,建立邏輯鏈接����,此時(shí)不進(jìn)行注冊(cè)過程的最后一步����,而是進(jìn)行0NU與0LT的雙向認(rèn)證��,最 后進(jìn)行注冊(cè)確認(rèn)��。認(rèn)證時(shí)無需拆除注冊(cè)時(shí)建立的邏輯鏈接和重新建立新的邏輯鏈接�����,從而 實(shí)現(xiàn)了注冊(cè)于認(rèn)證的無縫鏈接。
[0024] 2)本認(rèn)證方法改進(jìn)了基于注冊(cè)過程的簡(jiǎn)單加密認(rèn)證方法的漏洞�����。不對(duì)0LT進(jìn)行認(rèn) 證���,會(huì)導(dǎo)致惡意的0NU冒充0LT���,與合法的0NU進(jìn)行交互,獲取合法0NU的信息�����,再假冒合法 的0NU訪問信道����,使得合法的0NU無法訪問信道和獲取服務(wù),導(dǎo)致產(chǎn)生DoS�。雙向認(rèn)證改進(jìn) 了對(duì)基于注冊(cè)過程的簡(jiǎn)單加密漏洞,實(shí)現(xiàn)了 0LT和0NU之間的雙向認(rèn)證���,因此安全性大幅提 尚���。
[0025] 3)采用非對(duì)稱加密算法加密�����,安全性也得到大幅提高���。相較于對(duì)稱加密,非對(duì)稱加 密的安全性更高�。
【附圖說明】
[0026] 圖1為已有技術(shù)中基于注冊(cè)過程的簡(jiǎn)單加密認(rèn)證過程圖;
[0027] 圖2為本發(fā)明提供的基于多業(yè)務(wù)承載ΕΡ0Ν注冊(cè)過程的加密認(rèn)證方法中0LT側(cè)狀 態(tài)機(jī)實(shí)現(xiàn)圖��;
[0028] 圖3為本加密認(rèn)證方法中0NU側(cè)狀態(tài)機(jī)實(shí)現(xiàn)圖����;
[0029] 圖4為本加密認(rèn)證方法中基于注冊(cè)過程的非對(duì)稱加密雙向認(rèn)證過程圖。
【具體實(shí)施方式】
[0030] 下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明提供的基于多業(yè)務(wù)承載ΕΡ0Ν注冊(cè)過程的加 密認(rèn)證方法進(jìn)行詳細(xì)說明�����。
[0031] 如圖4所示�����,本發(fā)明提供的基于多業(yè)務(wù)承載ΕΡ0Ν注冊(cè)過程的加密認(rèn)證方法包括按 順序進(jìn)行的下列步驟:
[0032]步驟101) 0NU-旦收到注冊(cè)發(fā)現(xiàn)幀(DISC0VER_GATE)���,就發(fā)送注冊(cè)請(qǐng)求幀 (REGISTER_REQ)到 0LT請(qǐng)求注冊(cè)��;
[0033] 步驟102) 0LT收到注冊(cè)請(qǐng)求幀以后��,通過注冊(cè)幀(REGISTER)給0NU分配LLID���,并 發(fā)送(CERTIFICATION_GATE)給0NU,建立安全聯(lián)盟��;
[0034]步驟 103) 0NU發(fā)送包括 0NU的ID(ID_onu)�����,0LT的