CN105357182A - 一种基于多业务承载epon注册过程的加密认证方法 - Google Patents

一种基于多业务承载epon注册过程的加密认证方法 Download PDF

Info

Publication number
CN105357182A
CN105357182A CN201510644343.6A CN201510644343A CN105357182A CN 105357182 A CN105357182 A CN 105357182A CN 201510644343 A CN201510644343 A CN 201510644343A CN 105357182 A CN105357182 A CN 105357182A
Authority
CN
China
Prior art keywords
onu
olt
registration
registration process
authentication method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510644343.6A
Other languages
English (en)
Inventor
闫龙
操彦
张程炜
王剑锋
李霜冰
王建波
马涛
罗先南
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
State Grid Tianjin Electric Power Co Ltd
Nari Information and Communication Technology Co
Nanjing NARI Group Corp
Original Assignee
State Grid Corp of China SGCC
State Grid Tianjin Electric Power Co Ltd
Nari Information and Communication Technology Co
Nanjing NARI Group Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, State Grid Tianjin Electric Power Co Ltd, Nari Information and Communication Technology Co, Nanjing NARI Group Corp filed Critical State Grid Corp of China SGCC
Priority to CN201510644343.6A priority Critical patent/CN105357182A/zh
Publication of CN105357182A publication Critical patent/CN105357182A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B10/00Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
    • H04B10/80Optical aspects relating to the use of optical transmission for specific applications, not provided for in groups H04B10/03 - H04B10/70, e.g. optical power feeding or optical transmission through water
    • H04B10/85Protection from unauthorised access, e.g. eavesdrop protection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Storage Device Security (AREA)

Abstract

一种基于多业务承载EPON注册过程的加密认证方法。该方法利用ONU的注册过程,实现了注册与认证的无缝连接;改进了基于注册过程的简单加密认证方案的漏洞;采用非对称加密算法加密,安全性也得到大幅提高。本发明在基于注册过程的简单加密认证方法的基础上实现了基于注册过程的非对称加密双向认证方法;这种认证方法涉及到OLT和ONU、LLID、注册信息、请求信息,在整个注册过程中都涉及到秘钥、认证等相关内容;这种加密认证方法认证方式简单,认证速度较快,安全性相对较高;该认证方法可以有效解决EPON系统面临的安全威胁,例如窃听、拒绝服务攻击和伪装窃取服务等形式。

Description

一种基于多业务承载EPON注册过程的加密认证方法
技术领域
本发明属于计算机信息安全技术领域,特别是涉及一种基于多业务承载EPON注册过程的加密认证方法。
背景技术
EPON系统面临的安全威胁主要有窃听、拒绝服务攻击和伪装窃取服务等形式。EPON中的认证方法主要用来防止EPON中的两种威胁:自动发现和注册过程中光网络单元(ONU)自动分配到LLID的问题和非法入侵的ONU假装合法的ONU发送数据从而威胁正常的EPON系统通信的问题。这两个问题都可以通过认证过程来解决。
针对基于注册过程的加密认证,目前一般多采用基于注册过程的简单加密认证方法。图1为已有技术中基于注册过程的简单加密认证过程图;如图1所示,该简单加密认证方法的具体步骤如下:
1.光线路模块(OLT)周期性地发送发现授权,用于提供授权给新注册的ONU。该授权包含了发现窗口的起始时间和长度。
2.新注册的ONU发送REGISTER_REQ,该消息中包含了ONU的MAC地址。REGISTER_REQ消息可以用来注册或去注册,可以由flag字节决定。EFM定义PeddingGrant字节后的38个字节用于填充。OLT收到注册请求后对该填充字节不考虑。为了完成认证,ONU在用于请求注册的REGISTER_REQ中携带认证秘钥,认证秘钥在该消息中的位置如表1所示。其中,认证秘钥占用了16个字节的填充。128bit的秘钥可人为配置,存放在EEPROM中,EEPROM是存储单元,断电后消息不会丢失。
表1认证秘钥在REGISTER_REQ消息中的位置
3.当OLT收到用于注册的REGISTER_REQ消息后,首先提取用户的认证秘钥并和自己的认证秘钥表进行对比,如果认证秘钥正确,则按照注册过程继续分配LLID,LLID分配后组成Flag值为3的注册成功REGISTER消息;反之,当OLT发现ONU的认证秘钥错误后,则组成Flag值为4的注册失败REGISTER消息,不分配LLID。ONU的秘钥和OLT的秘钥表同时由人工进行配置。秘钥表中包含了所有ONU的MAC地址以及相对应的秘钥。秘钥表存放EEPROM中,掉电后数据不会丢失。
4.发送REGISTER消息后,OLT组成数据GATE用于ONU进行确认。
5.ONU收到REGISGER和数据GATE后,如果REGISTER的Flag值为3表示分配LLID成功,则ONU组成REGISTER_ACK并在GATE时隙内发送,向OLT确认成功。如果REGISTER的Flag值为4表示认证和注册失败,则ONU组成REGISTER_ACK消息并在GATE时隙内发送,向OLT确认失败。
上述基于注册过程的简单加密认证方法是根据EPON系统自身特点,针对EPON系统面临的威胁而设计的,其能够在一定程度上保证EPON系统的安全性,认证方式简单,ONU端只需要1个128bit的寄存器,OLT端仅需维护一张MAC地址到认证秘钥的认证表,实现成本低廉。但该方法存在以下缺点:
1)该方法以EPON上行信道安全为前提,明文传输秘钥。
2)没有对OLT进行认证。OLT的网桥功能使得ONU可以模仿伪装成OLT。恶意的ONU通过冒充OLT窃取其他ONU的LLID并对其进行攻击,使得被攻击的ONU不能接入到系统。
发明内容
为了解决上述问题,本发明的目的在于提供一种基于多业务承载EPON注册过程的加密认证方法。
为了达到上述目的,本发明提供的基于多业务承载EPON注册过程的加密认证方法包括按顺序进行的下列步骤:
步骤101)ONU一旦收到注册发现帧(DISCOVER_GATE),就发送注册请求帧(REGISTER_REQ)到OLT请求注册;
步骤102)OLT收到注册请求帧以后,通过注册帧(REGISTER)给ONU分配LLID,并发送(CERTIFICATION_GATE)给ONU,建立安全联盟;
步骤103)ONU发送包括ONU的ID(ID_onu),OLT的ID(ID_olt),ONU的非对称公钥和ONU的签名S(onu)的安全信息给OLT;
步骤104)OLT收到这些信息后,核对OLT和ONU的ID,并用ONU的非对称公钥Kg_onu来验证ONU的签名以确认ONU的合法身份;待确认ONU的合法身份后,OLT用Kg_onu来加密ID_onu、ID_olt、OLT端的公钥Kg_olt、和OLT的签名S(olt)的安全信息,再发送给ONU;
步骤105)ONU收到这些信息后,用ONU的私钥Ks_onu进行解密,核对OLT和ONU的ID号,得到OLT的公钥Kg_olt,并用Kg_olt验证OLT的签名;完成OLT的认证后,ONU用OLT的公钥Kg_olt加密注册确认帧(REGISTER_ACK)发送给OLT,完成双方的认证。
本发明提供的基于多业务承载EPON注册过程的加密认证方法的效果:
1)本认证方法利用了ONU的注册过程,实现了注册与认证的无缝连接。由注册开始的OLT发送注册发现帧给ONU,到ONU发送注册请求帧,再到OLT通过注册帧给ONU分配LLID,建立逻辑链接,此时不进行注册过程的最后一步,而是进行ONU与OLT的双向认证,最后进行注册确认。认证时无需拆除注册时建立的逻辑链接和重新建立新的逻辑链接,从而实现了注册于认证的无缝链接。
2)本认证方法改进了基于注册过程的简单加密认证方法的漏洞。不对OLT进行认证,会导致恶意的ONU冒充OLT,与合法的ONU进行交互,获取合法ONU的信息,再假冒合法的ONU访问信道,使得合法的ONU无法访问信道和获取服务,导致产生DoS。双向认证改进了对基于注册过程的简单加密漏洞,实现了OLT和ONU之间的双向认证,因此安全性大幅提高。
3)采用非对称加密算法加密,安全性也得到大幅提高。相较于对称加密,非对称加密的安全性更高。
附图说明
图1为已有技术中基于注册过程的简单加密认证过程图;
图2为本发明提供的基于多业务承载EPON注册过程的加密认证方法中OLT侧状态机实现图;
图3为本加密认证方法中ONU侧状态机实现图;
图4为本加密认证方法中基于注册过程的非对称加密双向认证过程图。
具体实施方式
下面结合附图和具体实施例对本发明提供的基于多业务承载EPON注册过程的加密认证方法进行详细说明。
如图4所示,本发明提供的基于多业务承载EPON注册过程的加密认证方法包括按顺序进行的下列步骤:
步骤101)ONU一旦收到注册发现帧(DISCOVER_GATE),就发送注册请求帧(REGISTER_REQ)到OLT请求注册;
步骤102)OLT收到注册请求帧以后,通过注册帧(REGISTER)给ONU分配LLID,并发送(CERTIFICATION_GATE)给ONU,建立安全联盟;
步骤103)ONU发送包括ONU的ID(ID_onu),OLT的ID(ID_olt),ONU的非对称公钥和ONU的签名S(onu)的安全信息给OLT;
步骤104)OLT收到这些信息后,核对OLT和ONU的ID,并用ONU的非对称公钥Kg_onu来验证ONU的签名以确认ONU的合法身份;待确认ONU的合法身份后,OLT用Kg_onu来加密ID_onu、ID_olt、OLT端的公钥Kg_olt、和OLT的签名S(olt)的安全信息,再发送给ONU;
步骤105)ONU收到这些信息后,用ONU的私钥Ks_onu进行解密,核对OLT和ONU的ID号,得到OLT的公钥Kg_olt,并用Kg_olt验证OLT的签名;完成OLT的认证后,ONU用OLT的公钥Kg_olt加密注册确认帧(REGISTER_ACK)发送给OLT,完成双方的认证。
在上述注册过程中,OLT的状态有5个:空闲、注册中、认证ONU、认证OLT,已注册;
如图2所示,OLT侧状态转移控制方法包括:
1.1)系统复位时,状态机首先进入“空闲”状态,等待认证过程;
1.2)在“空闲”状态下,当OLT收到ONU发送的“REGISTER_REQ”消息,状态机转移到“注册中”状态;OLT通过注册帧“REGISTER”给ONU分配LLID,并发送数据GATE(CERTIFICATION_GATE);
1.3)在“注册中”状态下,OLT收到ONU发送的ID_onu,ID_olt,Kg_onu,S(onu)信息后,状态机转移到“认证ONU”;
1.4)在“认证ONU”状态下,核对ONU和OLT的ID,并用ONU的非对称公钥Kg_onu来验证ONU的签名;OLT确认ONU的合法身份后,用Kg_onu加密ID_onu、ID_olt、OLT端的公钥Kg_olt、OLT的签名S(olt),再发送给ONU,并转移到“认证OLT”;若身份不合法,ONU认证Flag标志位失败,转到“空闲”状态;
1.5)在“认证OLT”状态下,若收到ONU发送的用Kg_olt加密的REGISTER_ACK,表示认证成功,OLT转移到“已注册”;否则,认证失败,转移到“空闲”状态;
1.6)在“已注册”状态下,若收到去注册、重新注册的指令后,将转移到“空闲”状态,等待重新认证。
在上述注册过程中,ONU的状态有5个:空闲、注册中、认证ONU、认证OLT,已注册;
如图3所示,ONU侧状态转移控制方法包括:
2.1)系统复位时,状态机首先进入“空闲”状态,等待认证过程;
2.2)在“空闲”状态下,当ONU收到OLT发送的注册发现帧(DISCOVER_GATE)消息,则启动注册过程,状态机转移到“注册中”状态;同时发送注册请求帧(REGISTER_REQ)到OLT请求注册;
2.3)在“注册中”状态下,当收到OLT发送的REGISTER和数据帧GATE(CERTIFICATION_GATE)消息时,状态机转移到“认证ONU”;ONU发送包括ONU的ID(ID_onu),OLT的ID(ID_olt),ONU的公钥Kg_onu和ONU的签名S(onu)给OLT;若超时没收到OLT的消息,则回到“空闲”状态;
2.4)在“认证ONU”状态下,若收到OLT发送的BA_GATE和用Kg_onu加密后的信息E(Kg_onu,(ID_onu,ID_olt,Kg_olt,S(olt)))则状态机转移到“认证OLT”状态,否则,超时没有收到OLT发送的消息,则表示认证ONU失败,状态机转移到“空闲”状态;
2.5)在“认证OLT”状态下,用ONU的私钥Ks_onu来解密收到的信息,核对OLT和ONU的ID,得到OLT的公钥Kg_olt,并用Kg_olt来验证OLT的签名;若认证成功,用OLT的公钥Kg_olt加密REGISTER_ACK并发送给OLT,转移到“已注册”状态,否则转移到“空闲”状态;
2.6)在“已注册”状态下,当收到去注册或重新注册的指令则转移到“空闲”状态,等待新的注册过程。
图中各种符号表示的含义如下:
符号 符号含义
ID_onu ONU的ID号
ID_olt OLT的ID号
Kg_onu ONU的公钥
Kg_olt OLT的公钥
S(onu) ONU的签名信息
S(olt) OLT的签名信息
Ks_onu ONU的私钥
Ks_olt Olt的私钥
本发明提供的基于多业务承载EPON注册过程的加密认证方法,在基于注册过程的简单加密认证方法的基础上实现了基于注册过程的非对称加密双向认证方法;这种认证方法涉及到OLT和ONU、LLID、注册信息、请求信息,在整个注册过程中都涉及到秘钥、认证等相关内容;这种加密认证方法认证方式简单,认证速度较快,安全性相对较高;该认证方法可以有效解决EPON系统面临的安全威胁,例如窃听、拒绝服务攻击和伪装窃取服务等形式。

Claims (1)

1.一种基于多业务承载EPON注册过程的加密认证方法,其特征在于:所述的基于多业务承载EPON注册过程的加密认证方法包括按顺序进行的下列步骤:
步骤101)ONU一旦收到注册发现帧(DISCOVER_GATE),就发送注册请求帧(REGISTER_REQ)到OLT请求注册;
步骤102)OLT收到注册请求帧以后,通过注册帧(REGISTER)给ONU分配LLID,并发送(CERTIFICATION_GATE)给ONU,建立安全联盟;
步骤103)ONU发送包括ONU的ID(ID_onu),OLT的ID(ID_olt),ONU的非对称公钥和ONU的签名S(onu)的安全信息给OLT;
步骤104)OLT收到这些信息后,核对OLT和ONU的ID,并用ONU的非对称公钥Kg_onu来验证ONU的签名以确认ONU的合法身份;待确认ONU的合法身份后,OLT用Kg_onu来加密ID_onu、ID_olt、OLT端的公钥Kg_olt、和OLT的签名S(olt)的安全信息,再发送给ONU;
步骤105)ONU收到这些信息后,用ONU的私钥Ks_onu进行解密,核对OLT和ONU的ID号,得到OLT的公钥Kg_olt,并用Kg_olt验证OLT的签名;
完成OLT的认证后,ONU用OLT的公钥Kg_olt加密注册确认帧(REGISTER_ACK)发送给OLT,完成双方的认证。
CN201510644343.6A 2015-10-08 2015-10-08 一种基于多业务承载epon注册过程的加密认证方法 Pending CN105357182A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510644343.6A CN105357182A (zh) 2015-10-08 2015-10-08 一种基于多业务承载epon注册过程的加密认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510644343.6A CN105357182A (zh) 2015-10-08 2015-10-08 一种基于多业务承载epon注册过程的加密认证方法

Publications (1)

Publication Number Publication Date
CN105357182A true CN105357182A (zh) 2016-02-24

Family

ID=55333046

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510644343.6A Pending CN105357182A (zh) 2015-10-08 2015-10-08 一种基于多业务承载epon注册过程的加密认证方法

Country Status (1)

Country Link
CN (1) CN105357182A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107444175A (zh) * 2017-08-28 2017-12-08 上海蔚来汽车有限公司 充换电站
CN109495321A (zh) * 2018-12-24 2019-03-19 深圳市友华通信技术有限公司 一种自动配置onu的方法
CN110650113A (zh) * 2018-04-24 2020-01-03 物联智慧股份有限公司 数据加解密方法及系统与连网装置及其数据加解密方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060136715A1 (en) * 2004-12-22 2006-06-22 Kyeong Soo Han MAC security entity for link security entity and transmitting and receiving method therefor
CN101577620A (zh) * 2009-04-10 2009-11-11 北京邮电大学 一种以太网无源光网络(epon)系统认证方法
CN103905209A (zh) * 2014-04-30 2014-07-02 殷爱菡 基于NTRUSign无源光网络接入双向认证的方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060136715A1 (en) * 2004-12-22 2006-06-22 Kyeong Soo Han MAC security entity for link security entity and transmitting and receiving method therefor
CN101577620A (zh) * 2009-04-10 2009-11-11 北京邮电大学 一种以太网无源光网络(epon)系统认证方法
CN103905209A (zh) * 2014-04-30 2014-07-02 殷爱菡 基于NTRUSign无源光网络接入双向认证的方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
赵丹: "《EPON安全认证与入侵检测系统研究》", 《EPON安全认证与入侵检测系统研究》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107444175A (zh) * 2017-08-28 2017-12-08 上海蔚来汽车有限公司 充换电站
CN110650113A (zh) * 2018-04-24 2020-01-03 物联智慧股份有限公司 数据加解密方法及系统与连网装置及其数据加解密方法
CN109495321A (zh) * 2018-12-24 2019-03-19 深圳市友华通信技术有限公司 一种自动配置onu的方法

Similar Documents

Publication Publication Date Title
CN108270571B (zh) 基于区块链的物联网身份认证系统及其方法
CN103532713B (zh) 传感器认证和共享密钥产生方法和系统以及传感器
CN109347809A (zh) 一种面向自主可控环境下的应用虚拟化安全通信方法
CN107896147B (zh) 一种基于国密算法协商临时会话密钥的方法及其系统
CN104158653A (zh) 一种基于商密算法的安全通信方法
CN110020524B (zh) 一种基于智能卡的双向认证方法
CN112350826A (zh) 一种工业控制系统数字证书签发管理方法和加密通信方法
US11308240B2 (en) Cryptographic circuit and data processing
CN103699920A (zh) 基于椭圆曲线的射频识别双向认证方法
CN105162808A (zh) 一种基于国密算法的安全登录方法
CN102036235A (zh) 一种用于身份认证的装置和方法
CN110753344A (zh) 基于NB-IoT的智能表安全接入系统
CN101577620A (zh) 一种以太网无源光网络(epon)系统认证方法
CN101192927B (zh) 基于身份保密的授权与多重认证方法
CN108632251A (zh) 基于云计算数据服务的可信认证方法及其加密算法
CN117278330B (zh) 一种电力物联网设备网络的轻量级组网与安全通信方法
CN111416712B (zh) 基于多个移动设备的量子保密通信身份认证系统及方法
CN103905209A (zh) 基于NTRUSign无源光网络接入双向认证的方法
CN116388995A (zh) 一种基于puf的轻量级智能电网认证方法
KR102219086B1 (ko) 드론(Unnamed Aerial vehicle)시스템을 위한 HMAC기반의 송신원 인증 및 비밀키 공유 방법 및 시스템
CN105357182A (zh) 一种基于多业务承载epon注册过程的加密认证方法
CN111682936B (zh) 一种基于物理不可克隆函数的Kerberos鉴权方法
CN115835194B (zh) 一种nb-iot物联网终端安全接入系统及接入方法
CN101702807A (zh) 一种无线安全接入认证方法
CN100589384C (zh) 一种用户终端接入软交换系统的安全交互方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20160224

WD01 Invention patent application deemed withdrawn after publication