CN102571350B - 光网络单元认证方法及装置 - Google Patents
光网络单元认证方法及装置 Download PDFInfo
- Publication number
- CN102571350B CN102571350B CN201110454149.3A CN201110454149A CN102571350B CN 102571350 B CN102571350 B CN 102571350B CN 201110454149 A CN201110454149 A CN 201110454149A CN 102571350 B CN102571350 B CN 102571350B
- Authority
- CN
- China
- Prior art keywords
- onu
- olt
- authentication information
- authentication
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种光网络单元认证方法及装置,该方法包括:光线路终端OLT接收到来自光网络单元ONU的加密的认证信息;对加密的认证信息进行解密;使用解密后的认证信息对ONU进行认证。本发明提高了认证过程的安全性。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种光网络单元认证方法及装置。
背景技术
无源光网络(Passive Optical Networks,简称为PON)系统是一种点到多点的基于光纤传输的现代网络系统。PON系统中的网元设备包括:光线路终端(Optical LineTerminal,简称为OLT)、无源光网络单元(Optical Network Unit,简称为ONU)和无源光网络终端(Optical Network Termination,简称为ONT)。其中OLT为局端侧设备,ONU和ONT为用户侧设备。OLT和ONU/ONT之间使用光分配网络(Optical Distribution Network,简称为ODN)相连接。ONU提供(直接或远程的)用户侧接口,ONT是用于FTTH(Fiber To The Home)并具有用户端口功能的ONU。本说明书的下文中用ONU来代表ONU和ONT。
在OLT的一个PON端口下,通过光分配网络ODN可以连接32个、64个甚至128个ONU。这些ONU在网络中可由某种唯一标志符表示,例如,EPON系统中可以通过其媒质访问控制(Medium Access Control,简称为MAC)地址来唯一标识ONU,GPON系统可以通过序列号(Serial Number,简称为SN)来唯一标识ONU。OLT一般也是根据MAC或SN对ONU进行认证,只要ONU的MAC或SN信息在OLT的一个PON上是合法的,该ONU便可在此PON口下正常工作,而不会考虑其他因素(有时OLT会对ONU进行MAC/SN加密码PASSWORD的混合认证)。
传统的ONU认证方式比较简单,存在一些弊端。先举其中的两个方面进行详述。
第一,ONU的标志信息过于简短,携带的信息量少、格式不灵活。EPON系统中采用MAC地址进行认证,只能使用数字表示,6个字节长度携带的信息量比较少。GPON系统采用SN进行认证,SN的长度总共为8个字节,其中前4个字节为供应商标志,后4个字节为数字序号,携带的信息量也比较少,且格式不灵活。即使系统采用与PASSWORD混合的认证方式,因为PASSWORD最长只有10个字节,携带的信息量仍然有限。而在现实应用中,许多运营商都希望ONU的标识字段能够携带更多的信息,比如可以存放用户的详细家庭地址,例如:XXX市XXX区XXX镇XXX街XXX号XXX室。
第二,在传统的ONU认证过程中,重要信息容易被人窃听利用。OLT和ONU之间信息传输是通过ODN进行传输的,通过在原有的ODN网络中串接入分光计Splitter,就能够轻易地将OLT和ONU之间的传输信息分离出来,比如:非法用户通过窃听,获取到合法用户的ONUSN后,在自己的ONU上设置与合法用户完全相同的SN,然后断开原合法用户的ONU与OLT之间的连接,并将自己ONU连接到ODN网络中。在这种情况下,由于ONU标识信息SN是完全一样的,该非法用户的ONU是可以在原OLT下认证成功的,从而获得与原来合法用户一样的网路服务。
发明内容
本发明提供了一种光网络单元认证方法及装置,以至少解决相关技术中ONU认证过程中,信息容易被窃听利用的问题。
根据本发明的一个方面,提供了一种光网络单元认证方法,包括:光线路终端OLT接收到来自光网络单元ONU的加密的认证信息;对加密的认证信息进行解密;使用解密后的认证信息对ONU进行认证。
优选地,在OLT接收到来自ONU的加密的认证信息之前,还包括:OLT与ONU协商对认证信息进行加密的加密方式。
优选地,OLT与ONU协商对认证信息进行加密的加密方式包括:OLT确定自身的加密算法与ONU的加密算法之间的交集;OLT在交集中确定加密方式中的加密算法。
优选地,在OLT接收到来自ONU的加密的认证信息之前,还包括:ONU在认证信息中的标识字段采用字符串指针,字符串指针指向认证信息中的长度大于标识字段的字符串。
优选地,在使用解密后的认证信息对ONU进行认证之后,还包括:删除解密后的认证信息。
根据本发明的另一个方面,提供了一种光网络单元认证装置,包括:接收模块,用于接收来自光网络单元ONU的加密的认证信息;解密模块,用于对加密的认证信息进行解密;认证模块,用于使用解密后的认证信息对ONU进行认证。
优选地,上述装置还包括:协商模块,用于与ONU协商对认证信息进行加密的加密方式。
优选地,协商模块包括:第一确定模块,用于确定自身的加密算法与ONU的加密算法之间的交集;第二确定模块,用于在交集中确定加密方式中的加密算法。
优选地,上述装置还包括:ONU在认证信息中的标识字段采用字符串指针,字符串指针指向认证信息中的长度大于标识字段的字符串。
优选地,上述装置还包括:删除模块,用于删除解密后的认证信息。
通过本发明,采用对认证信息进行加密的方式,解决了相关技术中ONU认证过程中,信息容易被窃听利用的问题,提高了认证过程的安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的光网络单元认证方法的流程图;
图2是根据本发明实施例的ONU认证状态迁移流程图;
图3是根据本发明实施例的OLT和ONU之间的认证交互处理流程图;
图4是根据本发明实施例的光网络单元认证装置的结构框图;
图5是根据本发明优选实施例的光网络单元认证装置的结构框图一;
图6是根据本发明优选实施例的光网络单元认证装置的结构框图二;
图7是根据本发明优选实施例的光网络单元认证装置的结构框图三。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
本发明提供了一种光网络单元认证及装置,图1是根据本发明实施例的光网络单元认证方法的流程图,包括如下的步骤S102至步骤S106。
步骤S102,光线路终端OLT接收到来自光网络单元ONU的加密的认证信息。
步骤S104,对加密的认证信息进行解密。
步骤S106,使用解密后的认证信息对ONU进行认证。
相关技术中,在ONU的认证过程中,认证信息中的一些珍贵信息容易被人窃听利用。本发明实施例中,通过对认证信息进行加密,提高了认证过程的安全性。
为了给后续认证提供基础,在OLT接收到来自ONU的加密的认证信息之前,还包括:OLT与ONU协商对认证信息进行加密的加密方式。
出于简化流程的目的,OLT与ONU协商对认证信息进行加密的加密方式包括:OLT确定自身的加密算法与ONU的加密算法之间的交集;OLT在交集中确定加密方式中的加密算法。在本优选实施例中,由OLT从其与ONU共用的加密方式中任意选择,使协商加密的过程更简单。
对于上述加密过程的下行交互,采用目前国际标准中对GEM PORT加密的方式来实现,可以起到保密性,本发明不额外增加新方式。
上述下行交互可以这样实现:(1)OLT和ONU先进行协商,确认采用哪种加密算法;(2)加密算法确定之后,OLT在本地随机产生一个128位的密码,通过下行加密的OMCI通道告诉ONU;(3)当OLT获取认证信息时,ONU根据之前确定的加密方式以及OLT下发的密码进行加密,然后放入OMCI通道返回给OLT;(4)OLT接受到该消息后使用先前生成的随机密钥进行解密。如果ONU不支持对认证消息加密;或者OLT和ONU之间加密算法没有交集,此时上行认证消息将不采用加密进行传输。
为了增大用于认证的标识信息的信息量,在OLT接收到来自ONU的加密的认证信息之前,还包括:ONU在认证信息中的标识字段采用字符串指针,字符串指针指向认证信息中的长度大于标识字段的字符串。
作为一种优选的实现方式,本发明实施例准备引入一个ONU认证管理实体ME(Management Entity),在该ME中,定义一个指向长字符串(Large String)的指针,用于保存认证信息的实例;该长字符串的长度可以不受传统认证方式中MAC、SN或PASSWORD字符长度的影响。在本发明实施例中,暂定其长度为256个字节,可以存储多达128个字符,用以保存ONU认证信息。
通过引入ONU认证管理实体ME,能够方便运营商对ONU的认证标志进行灵活的定义,可以使用数字加字符的组合,可以配置更长的内容,使ONU的标志信息更为清晰。从而增强运营商ONU认证系统的实用性和灵活性。
为了更好地体现认证的安全性,在使用解密后的认证信息对ONU进行认证之后,还包括:删除解密后的认证信息。
在以上ONU认证管理过程中,本发明实施例充分考虑了对国际标准的兼容性因此重新定义了G.984标准中的ONU状态机。规定了ONU认证管理过程中的A0,A1,A2,A3,A4,A5,A6等7个状态,这些状态与G.984标准中的O1,O2,O3,O4,O5,06,O7等状态相互关联。在本发明的具体实施方式中将对此进行详细叙述。
下面将结合实例对本发明实施例的实现过程进行详细描述。
在基于逻辑标识的ONU认证系统中,ONU的认证状态决定了ONU是否能接入网络。在ONU完成认证之前,除OMCI和PLOAM消息外,OLT不允许来自该ONU的任何数据输入、输出通讯(OLT对接受到的来自该ONU的数据报文进行丢弃处理)。当ONU通过基于逻辑标识的ONU认证后,该ONU的认证状态切换到认证成功状态,在该状态下OLT允许ONU进行正常通讯。现对整个认证过程进行详述,包括如下的步骤1至7。
步骤1,在ONU上电后,即创建ONU Authentication ME。ONU Authentication ME包括以下属性:
ME ID:仅标记一个实体,值固定为0(R)(2bytes)。
ONU authentication capabilities:ONU支持的认证模式,用比特位来表示,1表示支持,0表示不支持,其各个比特表示如下:
Bit 0(Bit position=1):CTC LOID认证模式(G.984.3 adm1中ONURegistrationMethods的Other forms of authentication);
Bit 1(Bit position=2):CTC LOID+PASSWORD认证模式(G.984.3 adm1中ONURegistration Methods的Other forms of authentication);
Bit 2(Bit position=6):CTC PASSWORD认证模式(G.984.3 adm1中ONURegistrationMethods的Other forms of authentication);
Bit 3至127保留。(R)(16bytes);
OLT select authentication mode:OLT选择的认证模式,0缺省值,表示OLT没有通知ONU当前采用的认证模式,N表示选择ONU authentication capabilities中相应Bitposition=N代表的模式,例如,1表示OLT通知ONU将采用CTC LOID认证模式,以此类推,缺省值为0;当OLT侧需要通过该ME进行认证时,当ONU迁移到O5,OMCI通道建立之后,OLT需要首先设置该属性,通知ONU开始进行认证;(R,W)(1byte)。
ONU authentication information length:ONU上报OLT指定认证模式的认证信息的长度,即当OLT设置了OLT select authentication mode属性之后,ONU需要立刻通过AVC上报当前认证信息长度。例如,如果选择了CTC LOID认证模式,则上报24,如果选择了CTCLOID+PASSWORD认证模式,则上报36,如果选择了CTC PASSWORD认证模式,则上报12,以此类推,缺省值为0;(R)(2bytes)。
Authentication information pointer:指向Large String的指针,保存认证信息的实例;当OLT接收到ONU上报的属性ONU authentication information length AVC后,创建一个LargeString实例,根据上报长度来设置其number of parts属性值,然后OLT设置该属性值为LargeString MEID;缺省值为0xFFFF(空指针)(R,W)(2Bytes)。
ONU report authentication information status:ONU接受Auth informationpointer后,将认证信息填入相应的属性之后,上报认证信息状态,OLT是否可以开始获取认证信息了,0表示无效,当前ONU还没有准备认证信息或者Authentication informationpointer属性为空指针,1表示当前信息有效,OLT可以通过Get Large String获取ONU上的认证信息;缺省值为0;(R)(1Byte)。
ONU crypto capabilities:该属性表示ONU支持的加密能力,当OLT获知ONU已经准备好认证信息后,OLT查询该ME获取其加密的能力,如果OLT和ONU有相同加密方式,则OLT选择一种加密方式,通知ONU启用;以比特位来表示,1表示支持,0表示不支持,其各个比特表示如下:
Bit 0(Bit position=1,lsb=1,msb=128):AES-CMAC-128;
Bit1至15保留,0表示ONU不支持,即上行认证信息不经过加密进行发送。(R)(可选)(2Bytes);
OLT select crypto mode:OLT获取ONU对认证信息加密的能力后,选择一种加密方式,通知ONU,定义如下:
0:表示不加密;
1:采用AES-CMAC-128(即N表示采用ONU支持的对应Bit position N比特位的加密方法);(R,W)(可选)(1Byte)。
Authentication crypto key:该属性由OLT随机产生的一个16Bytes密钥,用于对上行认证信息加密的密钥,即在发送之前,先采用OLT select crypto mode选择的方法,采用该密钥属性对认证信息先加密然后再送到OMCI通道发送(R,W)(可选)(16Bytes)。
ONU authentication status:该属性用于表示该ONU当前处于的认证状态,有下列状态:
0:表示A0状态,初始状态,对应G.984.3标准中的O1,O2,O3,O4,O7等状态;
1:表示A1状态,未认证O5状态,ONU迁移到O5后,立刻从A0状态迁移到该状态,此时OLT还没有通过该ME来对ONU进行认证;
2:表示A2状态,认证模式选择状态,当ONU接受到OLT设置OLT selectauthenticationmode属性之后,由A1状态迁移到该状态;同时上报该认证模式下ONU的保存的认证信息长度;
3:表示A3状态:上报认证信息状态,当ONU接受OLT设置Auth informationpointer属性之后,立刻由A2状态迁移到该状态;在相关的Large String ME中保存认证信息,同时上报AVC,通知OLT认证信息已经有效,OLT可以获取相关的认证信息;
4:表示A4状态,认证成功状态;
5:表示A5状态,认证失败状态;
6:表示A6状态,认证错误状态;
7至255:保留,其中,缺省值为0,OLT仅仅能够设置A4,A5状态,A5状态不能够由ONU来迁移,(R,W)(1Byte)。
创建ONU Authentication ME之后,设置ONU authentication capabilities为其实际支持的能力,OLT select authentication mode为0,ONU authenticationinformation length为0,Authentication information pointer为0xFFFF,ONU reportauthentication information status为0,OLT select crypto mode为0,Authenticationcrypto key为NULL(空字符串),ONUauthentication status为0(A0状态)。本发明实施例定义了A0,A1,A2,A3,A4,A5,A6等7个状态,图2是根据本发明实施例的ONU认证状态迁移示意图。
设置Authentication crypto key的初始值之后,OLT和ONU之间开始协商加密方式,以便后续的认证信息交互是在该加密方式下完成。
步骤2,对于下行交互:采用目前国际标准中对GEM PORT加密的方式来实现,可以起到保密性,本发明不额外增加新方式。
步骤3,对于下行交互可以这样实现:首先,OLT和ONU先进行协商,确认采用哪种加密算法。加密算法的协商可以在OLT和ONU支持加密算法的交集中确定,只要OLT和ONU存在加密算法交集,OLT任意选择一种交集中的算法即可。
步骤4,加密算法确定之后,OLT在本地随机产生一个128位的密码,通过下行加密的OMCI通道告诉ONU。
步骤5,当OLT获取认证信息时,ONU根据之前确定的加密方式以及OLT下发的密码进行加密,然后放入OMCI通道返回给OLT。
步骤6,OLT接受到该消息后使用先前生成的随机密钥进行解密。
步骤7,如果ONU不支持对认证消息加密;或者OLT和ONU之间加密算法没有交集,此时上行认证消息将不采用加密进行传输。
G.984.3标准状态迁移包括如下步骤S200至步骤S800
步骤S200,ONU连接至OLT,并通过OLT激活后,G.984.3标准状态迁移到O5状态后,ONU迁移到A1状态,未认证状态,等待OLT后续处理,启动定时器T1;同时上报属性ONUauthentication status AVC信息,表明ONU迁移到A1状态。各定时器的参考值如下。
T1定时器:等待OLT开始认证处理或者开始同步处理ME,建议6秒(主要考虑兼容旧OLT,支持扩展认证模式将有Get何Set两个操作),即ONU迁移到O5状态后经过T1后OLT没有后续的任何动作,此时迁移到A6状态。
T2定时器:等待OLT创建Large String,ONU构造认证信息,建议9秒(该状态下有Create,Set,Set三个操作),如果超时ONU迁移到A6。
T3定时器:等待OLT下发认证结果,建议6秒(至少一个Get和Set操作),如果超时迁移到A6。
T4定时器:认证失败定时器,建议3秒,在OLT认证失败的后续操作由OLT自己确定(例如,可以下发Deactive让ONU迁移到O2,可以等待一定时间在将该ONU激活再次进行认证),如果超时迁移到标准的O2状态,同时开始响应OLT的Discover消息,OLT的是否再次发起认证有OLT自定,如果是认证失败建议OLT间隔一定时间,例如,5分钟或者其他时间。
T5定时器:认证错误定时器,3秒,如果超时迁移到标准的O2状态,同时开始响应OLT的Discover消息。
以上定时器均为串行定时器,即不会同时启动多个定时器。
步骤S300,ONU处于A1状态下,考虑到与原标准中OLT和ONU间处理的兼容性,如果OLT下发GET ONU authentication capabilities属性,则表示OLT将采用该ME进行认证,如果此时OLT下发其他ME的操作,例如,MIB RESET或者GET MIB SYNC DATA计数器,即目前标准中规定的通用流程,表示该OLT不支持或者不采用扩展ME认证模式,不需要通过该ME来进行认证,ONU直接将状态迁移到A6;当OLT下发GET ONU authentication capabilities属性,如果ONU返回不支持(即该ONU不支持通过采用该ME认证ONU),则认证失败;如果ONU支持,返回成功。OLT根据本地配置属性和ONU支持认证模式预先判断是否能够认证成功(如果ONU返回支持认证模式中不包括在OLT当前采用的模式,例如,OLT设置该ONU为CTC LOID模式,但是ONU返回模式为SN,SN+PASSWORD,PASSWORD模式,不包含CTC LOID模式,则认证失败),接着OLT下发设置OLT select authentication mode属性,ONU接受后将状态迁移到A2模式,同时响应OLT的OLT select authentication mode属性的设置;上报属性ONUauthentication information length和ONUauthentication status AVC信息,表明ONU迁移到A2状态;同时启动定时器T2。
步骤S400,在A2状态下,等待OLT下发命令,当OLT接收到ONU为A2状态后,创建Large String实例,根据上报的长度设置numbe of parts属性值,设置Authenticationinformation pointer属性,ONU接受Authentication information pointer属性值后,响应Set操作,状态立刻迁移到A3状态,同时将当前选中的模式的认证属性拷贝到LargeString实例的属性中,上报属性ONU authentication status AVC信息,表明ONU迁移到A3状态;同时启动定时器T3。
步骤S500,在A3状态下,等待OLT设置当前认证成功或者失败,当OLT接受到AVC,获知ONU已经准备好认证信息,下发Get消息获取Large String实例中的属性,然后OLT与本地数据库中的认证信息比较,判定是认证成功还是认证失败,如果是认证成功则SetONUauthentication status属性值为4,即认证成功状态,否则Set为5,即认证失败状态,当为失败状态时,启动定时器T4。
步骤S600,当ONU状态为A4时,则表明认证成功,可以认证结束;同时OLT则下发删除保存认证信息的large String,同时设置Authentication information pointer为0xFFFF无效值,如果采用了上行认证信息加密,同时设置OLT select crypto mode为0,Authenticationcrypto key为NULL(空字符串),当ONU接受设置值为0xFFFF时,除了ONUauthenticationstatus值以外,其他全部恢复为缺省值(这样将保密认证信息,在ONU上不能获知当前采用的是那种认证模式,以及其认证信息,达到认证信息保密)。
步骤S700,当ONU状态为A5时,则表示认证失败,同时启动定时器T5。
步骤S800,A6状态为认证错误,即在认证过程中出现异常则ONU状态迁移到该状态,例如定时器超时,或者设置错误,例如,当ONU不在A3状态时候,接收到OLT设置A4或者A5状态,则迁移到A6状态,同时启动定时器T5。
图3是根据本发明实施例的OLT和ONU之间的认证交互处理流程图,如图3所示,包括如下的步骤S302至步骤S344。
步骤S302,在A1状态时,ONU向OLT上报认证状态。
步骤S304,OLT从ONU获取支持的认证方式。
步骤S306,ONU向OLT反馈支持的认证方式。
步骤S308,OLT设置ONU的认证模式。
步骤S310,在A2状态时,ONU向OLT反馈设置结果。
步骤S312,ONU向OLT上报ONU认证信息长度。
步骤S314,OLT指示ONU创建认证Large String管理实体。
步骤S316,ONU向OLT反馈创建Large String结果。
步骤S318,OLT对ONU设置分段数。
步骤S320,ONU向OLT反馈设置分段数结果。
步骤S322,OLT对ONU设置auth info pointer。
步骤S324,在A3状态,ONU向OLT反馈auth info pointer设置结果。
步骤S326,ONU向OLT上报认证状态。
步骤S328,可选地,OLT与ONU密钥交互。
步骤S330,OLT从ONU获取Large String认证信息。
步骤S332,ONU向OLT反馈Large String认证信息。
步骤S334,OLT对ONU设置认证状态。
步骤S336,在A4或A5状态,ONU向OLT反馈设置认证状态结果。
步骤S338,OLT向ONU删除Large String。
步骤S340,ONU向OLT反馈删除Large String结果。
步骤S342,OLT对ONU设置auth info pointer。
步骤S344,ONU向OLT反馈设置auth info pointer结果。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本发明实施例提供了一种光网络单元认证装置,该装置可以用于实现上述光网络单元认证方法。图4是根据本发明实施例的光网络单元认证装置的结构框图,如图4所示,上述装置包括解密模块42和解密模块44和认证模块46。下面对其结构进行详细描述。
接收模块42,用于接收来自光网络单元ONU的加密的认证信息;解密模块44,连接至接收模块42,用于对加密的认证信息进行解密;认证模块46,连接至解密模块44,用于使用解密后的认证信息对ONU进行认证。
图5是根据本发明优选实施例的光网络单元认证装置的结构框图一,如图5所示,上述装置还包括:协商模块48,用于与ONU协商对认证信息进行加密的加密方式。
图6是根据本发明优选实施例的光网络单元认证装置的结构框图二,如图6所示,协商模块48包括:第一确定模块482,用于确定自身的加密算法与ONU的加密算法之间的交集;第二确定模块484,连接至第一确定模块482,用于在交集中确定加密方式中的加密算法。
图7是根据本发明优选实施例的光网络单元认证装置的结构框图三,如图7所示,上述装置还包括:删除模块410,用于删除解密后的认证信息。
综上所述,根据本发明的上述实施例,提供了一种光网络单元认证方法及装置。通过本发明,采用对认证信息进行加密的方式,解决了相关技术中ONU认证过程中,信息容易被窃听利用的问题,提高了认证过程的安全性。
需要说明的是,装置实施例中描述的光网络单元认证装置对应于上述的方法实施例,其具体的实现过程在方法实施例中已经进行过详细说明,在此不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种光网络单元认证方法,其特征在于包括:
光线路终端OLT接收到来自光网络单元ONU的加密的认证信息,其中,所述认证信息中的标识字段采用字符串指针,所述字符串指针指向所述认证信息中的长度大于所述标识字段的字符串;
对所述加密的认证信息进行解密;
使用解密后的所述认证信息对所述ONU进行认证。
2.根据权利要求1所述的方法,其特征在于,在OLT接收到来自ONU的加密的认证信息之前,还包括:所述OLT与所述ONU协商对所述认证信息进行加密的加密方式。
3.根据权利要求2所述的方法,其特征在于,所述OLT与所述ONU协商对所述认证信息进行加密的加密方式包括:
所述OLT确定自身的加密算法与所述ONU的加密算法之间的交集;
所述OLT在所述交集中确定所述加密方式中的加密算法。
4.根据权利要求1所述的方法,其特征在于,在使用解密后的所述认证信息对所述ONU进行认证之后,还包括:删除解密后的所述认证信息。
5.一种光网络单元认证装置,其特征在于包括:
接收模块,用于接收来自光网络单元ONU的加密的认证信息,其中,所述认证信息中的标识字段采用字符串指针,所述字符串指针指向所述认证信息中的长度大于所述标识字段的字符串;
解密模块,用于对所述加密的认证信息进行解密;
认证模块,用于使用解密后的所述认证信息对所述ONU进行认证。
6.根据权利要求5所述的装置,其特征在于,所述装置还包括:协商模块,用于与所述ONU协商对所述认证信息进行加密的加密方式。
7.根据权利要求6所述的装置,其特征在于,所述协商模块包括:
第一确定模块,用于确定自身的加密算法与所述ONU的加密算法之间的交集;
第二确定模块,用于在所述交集中确定所述加密方式中的加密算法。
8.根据权利要求5所述的装置,其特征在于,所述装置还包括:删除模块,用于删除解密后的所述认证信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110454149.3A CN102571350B (zh) | 2011-12-30 | 2011-12-30 | 光网络单元认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110454149.3A CN102571350B (zh) | 2011-12-30 | 2011-12-30 | 光网络单元认证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102571350A CN102571350A (zh) | 2012-07-11 |
| CN102571350B true CN102571350B (zh) | 2018-04-10 |
Family
ID=46415891
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110454149.3A Active CN102571350B (zh) | 2011-12-30 | 2011-12-30 | 光网络单元认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102571350B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102970072B (zh) * | 2012-12-24 | 2016-12-28 | 上海斐讯数据通信技术有限公司 | 一种判断设备认证状态的方法 |
| CN107919917B (zh) * | 2017-12-29 | 2020-09-29 | 武汉长光科技有限公司 | 一种阻止非法onu注册上线的方法 |
| CN111526107B (zh) * | 2019-02-01 | 2022-07-19 | 中国移动通信有限公司研究院 | 一种网络设备认证方法、装置和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101064599A (zh) * | 2006-04-26 | 2007-10-31 | 华为技术有限公司 | 对光网络单元认证的方法和系统、密钥协商的方法和系统及光线路终端和光网络单元 |
| CN101150391A (zh) * | 2006-09-20 | 2008-03-26 | 华为技术有限公司 | 一种防止无源光网络系统中光网络单元被仿冒的方法、系统及设备 |
| CN101662705A (zh) * | 2009-10-19 | 2010-03-03 | 国网信息通信有限公司 | 以太网无源光网络epon的设备认证方法及系统 |
| CN102045601A (zh) * | 2009-10-22 | 2011-05-04 | 中兴通讯股份有限公司 | 一种gpon系统中的onu激活方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8850197B2 (en) * | 2009-07-31 | 2014-09-30 | Futurewei Technologies, Inc. | Optical network terminal management control interface-based passive optical network security enhancement |
-
2011
- 2011-12-30 CN CN201110454149.3A patent/CN102571350B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101064599A (zh) * | 2006-04-26 | 2007-10-31 | 华为技术有限公司 | 对光网络单元认证的方法和系统、密钥协商的方法和系统及光线路终端和光网络单元 |
| CN101150391A (zh) * | 2006-09-20 | 2008-03-26 | 华为技术有限公司 | 一种防止无源光网络系统中光网络单元被仿冒的方法、系统及设备 |
| CN101662705A (zh) * | 2009-10-19 | 2010-03-03 | 国网信息通信有限公司 | 以太网无源光网络epon的设备认证方法及系统 |
| CN102045601A (zh) * | 2009-10-22 | 2011-05-04 | 中兴通讯股份有限公司 | 一种gpon系统中的onu激活方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102571350A (zh) | 2012-07-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5366108B2 (ja) | 光ネットワーク終端装置管理制御インターフェースベースの受動光ネットワークセキュリティ強化 | |
| US8934864B2 (en) | Cellular device security apparatus and method | |
| CN101641976B (zh) | 认证方法 | |
| CN102246487B (zh) | 提高无源光网络中的安全性的方法 | |
| US9917692B2 (en) | Key exchange system, key exchange method, key exchange device, control method thereof, and recording medium for storing control program | |
| CN106851540A (zh) | 一种蓝牙配对的实现方法及装置 | |
| CN107317674A (zh) | 密钥分发、认证方法,装置及系统 | |
| CN107317789A (zh) | 密钥分发、认证方法,装置及系统 | |
| CN104010297B (zh) | 无线终端配置方法及装置和无线终端 | |
| US20030149876A1 (en) | Method and system for performing perfectly secure key exchange and authenticated messaging | |
| CA2540590C (en) | System and method for secure access | |
| CN102571350B (zh) | 光网络单元认证方法及装置 | |
| CN110381075A (zh) | 基于区块链的设备身份认证方法和装置 | |
| CN102239661A (zh) | 交换密钥的方法及设备 | |
| JP2011505034A (ja) | 使い捨て用仮想秘密情報認証システムおよび認証方法 | |
| CN108965824A (zh) | 基于cpk的视频监控方法、系统、摄像头、服务器及客户端 | |
| CN102546240A (zh) | 网络通信方法、网络通信系统、网络通信装置及其程序 | |
| CN101778311A (zh) | 光网络单元标识的分配方法以及光线路终端 | |
| CN115913521A (zh) | 基于量子密钥进行身份认证的方法 | |
| EP2091176A1 (en) | Data communication | |
| CN103516515A (zh) | Gpon系统中加解密无缝切换的实现方法、olt和onu | |
| KR20090013319A (ko) | 무선 통신 네트워크 상에서의 사용자 인증 방법 | |
| JP3230726B2 (ja) | 暗号化通信方法 | |
| CN113905367A (zh) | 无线通信加密方法 | |
| Eun et al. | The design of key security in ethernet pon |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |