CN105592040B - Epon中实现onu的安全注册方法和设备 - Google Patents
Epon中实现onu的安全注册方法和设备 Download PDFInfo
- Publication number
- CN105592040B CN105592040B CN201510452439.2A CN201510452439A CN105592040B CN 105592040 B CN105592040 B CN 105592040B CN 201510452439 A CN201510452439 A CN 201510452439A CN 105592040 B CN105592040 B CN 105592040B
- Authority
- CN
- China
- Prior art keywords
- onu
- encryption key
- register
- message
- olt
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 27
- 238000013475 authorization Methods 0.000 claims abstract description 68
- 230000005540 biological transmission Effects 0.000 claims abstract description 36
- 230000003287 optical effect Effects 0.000 claims description 36
- 230000004048 modification Effects 0.000 claims description 6
- 238000012986 modification Methods 0.000 claims description 6
- 230000008859 change Effects 0.000 claims description 4
- 230000007246 mechanism Effects 0.000 claims description 4
- 230000008569 process Effects 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 2
- 230000027455 binding Effects 0.000 description 1
- 238000009739 binding Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000000686 essence Substances 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000005303 weighing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q11/00—Selecting arrangements for multiplex systems
- H04Q11/0001—Selecting arrangements for multiplex systems using optical switching
- H04Q11/0062—Network aspects
- H04Q11/0067—Provisions for optical access or distribution networks, e.g. Gigabit Ethernet Passive Optical Network (GE-PON), ATM-based Passive Optical Network (A-PON), PON-Ring
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供了EPON中实现ONU的安全注册方法和设备。本发明中,通过利用ONU发送的加密密钥对待向ONU发送的Register消息、GATE授权消息分别进行加密并广播发送,能够在ONU与OLT设备之间形成比较安全可靠的MPCP注册通道,其他ONU是无法感知并侦听到该ONU的MAC地址、LLID标识和数据发送时隙,避免了网络中的恶意注册攻击。
Description
技术领域
本申请涉及以太网无源光网络(EPON:Ethernet Passive Optical Network)技术,特别涉及EPON中实现光网络单元(ONU:Optical Network Unit)的安全注册方法和设备。
背景技术
EPON,是一种实现光纤到户的重要技术,将以太网和无源光网络(PON:PassiveOptical Network)技术结合,在物理层采用PON技术,在数据链路层使用以太网协议,利用PON的拓扑结构实现以太网接入。
在EPON中,ONU的注册主要分为图1所示的四个阶段:
发现GATE阶段(Discovery gate generation process):光线路终端(OLT:Optical Line Terminal)周期性地广播GATE发现消息,GATE发现消息中携带ONU发现窗口开始时间和长度;ONU发现自身还没有注册至OLT,则在接收到GATE发现消息后等待,直至到达GATE发现消息中携带的ONU发现窗口开始时间,向OLT发送注册请求(REGISTER_REQ)消息,REGISTER_REQ消息中至少携带ONU的MAC地址。
请求接收阶段(Request reception process):OLT接收到ONU发送的REGISTER_REQ消息后,认为发送该REGISTER_REQ消息的ONU为目的ONU,为目的ONU分配一个LLID,将该目的ONU的MAC地址和目的ONU被分配的LLID绑定,并计算时延差异(RTT:Round TripTime)。
注册发生阶段(Register generation process):OLT向目的ONU广播Register消息,Register消息的目的MAC地址为目的ONU的MAC地址也即上述REGISTER_REQ消息携带的MAC地址,Register消息至少携带目的ONU被分配的LLID。
注册结束阶段(Finnal Registration process):OLT为目的ONU分配数据发送时隙,将目的ONU被分配的LLID、数据发送时隙携带在GATE授权消息(也即标准的GATE消息)中广播发送给所有ONU,GATE授权消息的目的MAC地址为组播MAC地址,该GATE授权消息的目的MAC地址之前有一个前导符,该前导符是目的ONU被分配的LLID,当目的ONU收到GATE授权消息后,发现该GATE授权消息中目的MAC之前的前导符为OLT为本ONU分配的LLID,则向OLT返回REGISTER_ACK。当OLT接收到REGISTER_ACK,表示目的ONU注册至OLT,也意味着目的ONU上线且可以按照OLT分配的数据发送时隙正常发送的消息流。
在上面描述的ONU注册过程中,Register消息、GATE授权消息是OLT以广播方式发送的,这样,所有ONU都会收到Register消息、GATE授权消息,这给蓄意攻击和窃听留下了风险,比如,ONU通过收到的Register消息、GATE授权消息截取其他ONU的MAC地址、被分配的LLID和数据发送时隙,并利用截取的这些信息接收其他ONU的数据,还可以伪装成其他ONU攻击OLT,因此现有的ONU注册是不安全的。
发明内容
本申请提供了EPON中实现ONU的安全注册方法和设备,以实现ONU的安全注册。
本申请提供的技术方案包括:
一种以太网无源光网络EPON中实现光网络单元ONU的安全注册方法,该方法应用于光线路终端OLT,包括:
接收ONU广播的注册请求REGISTER_REQ消息;
在REGISTER_REQ消息中的安全标记字段Security Flag为用于表示携带加密密钥的第一标记值时,从REGISTER_REQ消息中的加密密钥字段Security Key中获取加密密钥;
利用所述加密密钥对待向ONU发送的注册Register消息、GATE授权消息分别进行加密并广播发送。
一种以太网无源光网络EPON中光网络单元ONU发现机制的安全实现方法,该方法应用于ONU,包括:
对待向光线路终端OLT发送的注册请求REGISTER_REQ消息进行以下修改并广播至OLT:增加安全标记字段Security Flag和加密密钥字段Security Key,设置Security Flag为用于表示携带加密密钥的第一标记值,将本地配置的加密密钥添加至所述SecurityKey;
接收来自OLT的加密的注册Register消息,利用本地配置的所述加密密钥对Register消息进行解密,如果解密成功,获取Register消息携带的第一数据参数;第一数据参数至少包括OLT为本ONU分配的LLID;
接收OLT来自OLT的加密的GATE授权消息,利用本地配置的所述加密密钥对GATE授权消息进行解密,如果解密成功,获取GATE授权消息携带的第二数据参数;第二数据参数至少包括OLT为本ONU分配的数据发送时隙。
一种以太网无源光网络EPON中实现光网络单元ONU的安全注册设备,该设备应用于光线路终端OLT,包括:
接收单元,用于接收ONU广播的注册请求REGISTER_REQ消息;
解析单元,用于在REGISTER_REQ消息中的安全标记字段Security Flag为用于表示携带加密密钥的第一标记值时,从REGISTER_REQ消息中的加密密钥字段Security Key中获取加密密钥;
加密单元,用于利用所述加密密钥对待向ONU发送的注册Register消息、GATE授权消息分别进行加密并广播发送。
一种以太网无源光网络EPON中光网络单元ONU发现机制的安全实现设备,该设备应用于ONU,包括:
发送单元,用于对待向光线路终端OLT发送的注册请求REGISTER_REQ消息进行以下修改并广播至OLT:增加安全标记字段Security Flag和加密密钥字段Security Key,设置Security Flag为用于表示携带加密密钥的第一标记值,将本地配置的加密密钥添加至Security Key;
接收单元,用于接收来自OLT的加密的注册Register消息,利用本地配置的所述加密密钥对Register消息进行解密,如果解密成功,获取Register消息携带的第一数据参数;第一数据参数至少包括OLT为本ONU分配的LLID;以及,
接收OLT来自OLT的加密的GATE授权消息,利用本地配置的所述加密密钥对GATE授权消息进行解密,如果解密成功,获取GATE授权消息携带的第二数据参数;第二数据参数至少包括OLT为本ONU分配的数据发送时隙。
由以上技术方案可以看出,本发明中,通过利用ONU发送的加密密钥对待向ONU发送的Register消息、GATE授权消息分别进行加密并广播发送,能够在ONU与OLT设备之间形成比较安全可靠的MPCP注册通道,其他ONU是无法感知并侦听到该ONU的MAC地址、LLID标识和数据发送时隙,避免了网络中的恶意注册攻击。
附图说明
图1为ONU注册流程图;
图2为本发明提供的方法流程图;
图3为本发明提供的REGISTER_REQ消息的结构图;
图4为本发明提供的Register消息的结构图;
图5为本发明提供的修改后的Register消息的结构图;
图6为本发明提供的GATE授权消息的结构图;
图7为本发明提供的实施例结构图;
图8为本发明提供的设备结构图;
图9为本发明提供的另一设备结构图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
由于OLT向ONU发送的Register消息和GATE授权消息会广播到所有ONU上,使得每个ONU都能获取到其他ONU的MAC地址、LLID以及发送时隙,为可能存在的蓄意攻击和窃听留下了风险。本发明为了避免该风险,对现有ONU注册进行了优化,具体见图2所示流程。
参见图2,图2为本发明提供的方法流程图。如图2所示,该流程可包括以下步骤:
步骤201,ONU对待向OLT发送的REGISTER_REQ消息进行以下修改并发送至OLT:增加安全标记字段(Security Flag)和加密密钥字段(Security Key),设置Security Flag为用于表示携带加密密钥的第一标记值,将本地配置的加密密钥添加至Security Key。
当ONU接收到OLT周期性广播地GATE发现消息时,ONU发现目前本ONU还未注册至OLT,则等待,直至到达GATE发现消息中携带的ONU发现窗口开始时间,当到达GATE发现消息中携带的ONU发现窗口开始时间时,向OLT发送REGISTER_REQ消息。
本步骤201中,ONU向OLT发送的REGISTER_REQ消息是在现有REGISTER_REQ消息的基础上对现有REGISTER_REQ消息进行了如步骤201中的修改。此时,该修改后的REGISTER_REQ消息不再等同于现有的REGISTER_REQ消息,因此,为和现有的REGISTER_REQ消息区分,这里可设置REGISTER_REQ消息中的标记字段(Flags)不再为现有数值,而是为不同于现有数值且用于表示扩展REGISTER_REQ消息的值比如为0x4。图3示出了修改后的REGISTER_REQ消息的结构。
需要说明的是,本发明中,可为每一ONU配置加密密钥,也可有针对性地为某些ONU配置加密密钥,不同ONU配置的加密密钥不同,基于此,当ONU未被配置加密密钥时,其仍按照现有ONU注册过程中ONU的处理方式执行。
步骤202,OLT接收ONU广播的REGISTER_REQ消息。
步骤203,OLT在REGISTER_REQ消息中的Security Flag为用于表示携带加密密钥的第一标记值时,从REGISTER_REQ消息中的Security Key中获取加密密钥。
步骤204,OLT利用加密密钥对待向ONU发送的Register消息、GATE授权消息分别进行加密并广播发送。
具体地,如背景技术描述的,当OLT接收到ONU发送的REGISTER_REQ消息后,认为发送该REGISTER_REQ消息的ONU为目的ONU,为目的ONU分配一个LLID,提取该REGISTER_REQ消息携带的MAC地址,将该目的ONU的MAC地址和目的ONU被分配的LLID绑定,分配完LLID后,OLT生成待向ONU发送的Register消息,Register消息至少携带分配的LLID。
优选地,作为本发明的一个实施例,步骤204中,OLT利用加密密钥对待向ONU发送的Register消息进行加密并广播发送具体实现时可包括:
利用加密密钥对Register消息中的介于MAC控制帧类型字段(OpCode)和帧校验序列字段(FCS)之间的所有字段进行加密,广播发送加密后的Register消息。
为便于理解,图4示出了Register消息的结构。基于图4所示的Register消息的结构,则Register消息中介于OpCode和FCS之间的所有字段具体可包括:时间戳字段(Timestamp)、指定端口字段(Assigned Port)、注册类型标识字段(Flags)、同步时间字段(Sync Time)、用于表示OLT已经知晓ONU的缓存空间的字段(Echo Pending Grants)、Pad。在图4中,Assigned Port用于携带LLID。
需要说明的是,在ONU注册过程中,Register消息的目的MAC地址为上述目的ONU的MAC地址,为了防止上述目的ONU的MAC地址被其他ONU侦听到,则可以将Register消息的目的MAC地址进行修改,修改为针对多点控制协议(MPCP)协议数据单元(PDU)统一设定的MAC地址比如01-80-C2-00-00-01,同时还在Register消息中介于OpCode和FCS之间的位置额外增加注册MAC地址字段(Register MAC),注册MAC地址字段携带上述目的ONU的MAC地址。结合图4所示的Register消息的结构,则通过本段的描述,最终Register消息的结构变化为图5所示的结构。通过图5所示的Register消息的结构,则当OLT广播图5所示的Register消息时,即使其他ONU收到该Register消息,因为其本地未配置目的ONU上的加密密钥,其是不能解析出Register消息中的加密字段,进而不能获取Register消息中加密字段携带的参数,比如目的ONU被分配的LLID、目的ONU的MAC地址等。只有当目的ONU收到Register消息后,解析出Register消息中的加密字段携带的参数,比如目的ONU被分配的LLID、目的ONU的MAC地址等,具体见步骤205
再如背景技术描述的:OLT为目的ONU分配数据发送时隙,将目的ONU被分配的LLID、数据发送时隙携带在GATE授权消息(也即标准的GATE消息)中广播发送给所有ONU。则作为一个优选实施例,本步骤204中利用加密密钥对GATE授权消息进行加密并广播发送可包括:
利用加密密钥对GATE授权消息中的介于OpCode和FCS之间的所有字段进行加密,广播发送加密后的GATE授权消息。
为便于理解,图6示出了GATE授权消息的结构。基于图6所示的GATE授权消息的结构,则GATE授权消息中介于OpCode和FCS之间的所有字段具体可包括:
Timestamp、授权个数字段(Number of grants/flags)、窗口授权开始时间(GrantStart Time)、窗口授权长度(Grant Length)、Pad。在图6中,Number of grants/flags多不超过4,其值从0变化至4,当为0时,表示不授权,当为1时,表示携带1个窗口授权参数,当为2时,表示携带2个窗口授权参数,当为3时,表示携带3个窗口授权参数,当为4时,表示携带4个窗口授权参数。
在ONU注册过程中,GATE授权消息的目的MAC地址为组播MAC地址,该GATE授权消息的目的MAC地址之前有一个前导符,该前导符不同于ONU注册过程中其他报文中的前导符(具体为广播LLID),其具体是目的ONU被分配的LLID。基于此,本发明中,当OLT广播GATE授权消息后,即使其他ONU收到该GATE授权消息,因为GATE授权消息的前导符有LLID,其能解析出LLID,但其只是解析出LLID,并不知道该LLID是哪一个ONU被分配的LLID,并且,由于其他ONU本地未配置目的ONU上的加密密钥,其是不能解析出GATE授权消息中的加密字段,进而不能获取GATE授权消息中加密字段携带的参数,比如目的ONU被分配的数据发送时隙等。只有当目的ONU收到GATE授权消息后,发现该GATE授权消息中目的MAC之前的前导符为OLT为本ONU分配的LLID,则向OLT返回REGISTER_ACK,并解析出GATE授权消息中加密字段携带的参数比如数据发送时隙,具体见步骤205。
步骤205,ONU接收来自OLT的加密的注册Register消息,利用本地配置的所述加密密钥对Register消息进行解密,如果解密成功,获取Register消息携带的第一数据参数;以及,接收OLT来自OLT的加密的GATE授权消息,利用本地配置的所述加密密钥对GATE授权消息进行解密,如果解密成功,获取GATE授权消息携带的第二数据参数;第二数据参数至少包括OLT为本ONU分配的数据发送时隙。
这里,第一数据参数至少包括OLT为本ONU分配的LLID。对于如上描述的Register消息,因为目的MAC地址修改为MPCP PDU统一设定的MAC地址,同时在Register消息的消息体中携带目的ONU的MAC地址且被加密,如此,当OLT广播Register消息后,虽然其他ONU也能接收到Register消息,但是由于Register消息的目的MAC地址是MPCP PDU统一设定的MAC地址、且Register消息的消息体经过加密处理,是无法得知目的ONU的任何信息比如LLID、MAC地址等。
这里,第二数据参数至少包括OLT为本ONU分配的数据发送时隙。如上描述的GATE授权消息,则当OLT广播GATE授权消息后,即使其他ONU收到该GATE授权消息,因为GATE授权消息的前导符有LLID,其能解析出LLID,但其只是解析出LLID,并不知道该LLID是哪一个ONU被分配的LLID,并且,OLT发送的GATE授权消息是从OpCode字段开始进行加密的,由于其他ONU本地未配置目的ONU上的加密密钥,其是不能解析出GATE授权消息中的加密字段,进而不能获取GATE授权消息中加密字段携带的参数,比如目的ONU被分配的数据发送时隙等。只有当目的ONU收到GATE授权消息后,发现该GATE授权消息中目的MAC之前的前导符为OLT为本ONU分配的LLID,则向OLT返回REGISTER_ACK,并解析出GATE授权消息中加密字段携带的参数比如数据发送时隙。
综上可以看出,本发明中,通过利用ONU发送的加密密钥对待向ONU发送的Register消息、GATE授权消息分别进行加密并广播发送,能够在ONU与OLT设备之间形成比较安全可靠的MPCP注册通道,其他ONU是无法感知并侦听到该ONU的MAC地址、LLID标识和数据发送时隙,避免了网络中的恶意注册攻击。
至此,完成图2所示的流程。
下面通过一个具体实施例对图2所示流程进行详细描述:
如图7所示的EPON,三个ONU分别接入到EPON,其中ONU3本地配置了加密密钥,这意味着ONU3采用图2所示流程进行注册和连接,其余ONU1和ONU2本地未配置加密密钥,这意味着ONU1和ONU2采用现有方式进行注册和连接。
以ONU1和ONU3为例进行比较说明。
OLT周期性地广播GATE发现消息,GATE发现消息中携带ONU发现窗口开始时间和长度。
ONU1接收到GATE发现消息后,发现本ONU1还未注册至OLT,则向OLT发送REGISTER_REQ消息请求注册。
OLT接收到ONU1发送的REGISTER_REQ消息后学习REGISTER_REQ消息携带的ONU1的MAC地址,计算RTT,并为ONU1分配LLID和数据发送时隙,向ONU1广播发送Register消息(记为消息11)和GATE授权消息(记为消息12),则消息11和消息12会广播到所有ONU。
ONU2、ONU3收到消息11和消息12后,会监听到ONU1的MAC地址、LLID和数据发送时隙。
ONU1收到消息11后,发现消息11的目的MAC地址为自身的MAC地址,则获取消息11中的LLID;ONU1收到消息12后,发现消息12中目的MAC地址之前的前导符为自身的LLID,则获取消息12中的数据发送时隙,向OLT发送REGISTER_ACK消息,至此完成注册。
当ONU3接收到GATE发现消息后,发现本ONU3还未注册至OLT,由于本ONU3已配置了加密密钥,则ONU3向OLT发送携带Security Flag和Security Key的REGISTER_REQ消息请求注册。REGISTER_REQ消息中的Security Flag为用于表示携带加密密钥的第一标记值,REGISTER_REQ消息中的Security Key为ONU3本地配置的加密密钥。
OLT接收到ONU3发送的REGISTER_REQ消息后从REGISTER_REQ消息获取REGISTER_REQ消息携带的ONU3的MAC地址、加密密钥,计算RTT,为ONU3分配LLID和数据发送时隙。
OLT生成待向ONU3发送的Register消息,这里,Register消息的目的MAC地址为MPCP PDU统一设定的MAC地址比如01-80-C2-00-00-01,Register消息中介于OpCode和FCS之间的位置额外增加Register MAC(携带ONU3的MAC地址)。
OLT利用获取的加密密钥对Register消息中介于OpCode和FCS之间的所有字段进行加密,广播发送加密后的Register消息(记为消息13);
OLT生成待向ONU3发送的GATE授权消息,利用获取的加密密钥对GATE授权消息中介于OpCode和FCS之间的所有字段进行加密,广播发送加密后的GATE授权消息(记为消息14)。
OLT发送的消息13和消息14会到达所有ONU,当ONU1和ONU2收到消息13和消息14后,但无法成功解密,其因为无法成功解密而监听不到消息13携带的ONU的MAC地址、LLID,也监听不到消息14携带的数据发送时隙;当ONU3收到消息13和消息14后,利用本地配置的加密密钥正确解析出自己的LLID和数据发送时隙,向OLT发送REGISTER_ACK消息,至此完成注册。
ONU2因为监听到ONU1的MAC地址、LLID、数据发送时隙,其可以伪装成ONU1撤销ONU1的注册,比如ONU2伪装成ONU1向OLT发送取消注册的请求消息,OLT就会错误的启动对ONU1的撤销注册,清除ONU1设备的注册信息;而对于ONU3,ONU2因为无法监听到ONU3的MAC地址、LLID、数据发送时隙,无法对ONU3进行破坏。这相比于ONU1,提升ONU3自身的安全性,对整个EPON网络的安全也有较大的保证。
至此,完成图7所示的实施例描述。
以上对本发明提供的方法进行了描述,下面对本发明提供的设备进行描述:
参见图8,图8为本发明提供的设备结构图。该设备应用于光线路终端OLT,如图8所示,该设备包括:
接收单元,用于接收ONU广播的注册请求REGISTER_REQ消息;
解析单元,用于在所述REGISTER_REQ消息中的安全标记字段Security Flag为用于表示携带加密密钥的第一标记值时,从所述REGISTER_REQ消息中的加密密钥字段Security Key中获取加密密钥;
加密单元,用于利用所述加密密钥对待向ONU发送的注册Register消息、GATE授权消息分别进行加密并广播发送。
优选地,加密单元利用加密密钥对待向ONU广播发送的注册Register消息、GATE授权消息分别进行加密并广播发送包括:
利用所述加密密钥对Register消息中的介于MAC控制帧类型字段OpCode和帧校验序列字段FCS之间的所有字段进行加密,广播发送加密后的Register消息;
利用所述加密密钥对GATE授权消息中的介于MAC控制帧类型字段OpCode和帧校验序列字段FCS之间的所有字段进行加密,广播发送加密后的GATE授权消息。
优选地,加密单元利用加密密钥对所述Register消息中的介于MAC控制帧类型字段OpCode和帧校验序列字段FCS之间的所有字段进行加密包括:
将Register消息中的目的MAC地址字段中的目的MAC地址修改为针对多点控制协议MPCP协议数据单元PDU统一设定的MAC地址;
在Register消息中介于OpCode和FCS之间的位置额外增加注册MAC地址字段,注册MAC地址字段携带ONU的MAC地址;
利用加密密钥对所述Register消息中介于OpCode和FCS之间的所有字段进行加密。
至此,完成图8所示的设备结构描述。
参见图9,图9为本发明提供的另一设备结构图。该设备应用于ONU,包括:
发送单元,用于对待向光线路终端OLT发送的注册请求REGISTER_REQ消息进行以下修改并广播至OLT:增加安全标记字段Security Flag和加密密钥字段Security Key,设置所述Security Flag为用于表示携带加密密钥的第一标记值,将本地配置的加密密钥添加至Security Key;
接收单元,用于接收来自OLT的加密的注册Register消息,利用本地配置的所述加密密钥对Register消息进行解密,如果解密成功,获取Register消息携带的第一数据参数;第一数据参数至少包括OLT为本ONU分配的LLID;以及,
接收OLT来自OLT的加密的GATE授权消息,利用本地配置的所述加密密钥对GATE授权消息进行解密,如果解密成功,获取GATE授权消息携带的第二数据参数;第二数据参数至少包括OLT为本ONU分配的数据发送时隙。
至此,完成图9所示的设备结构描述。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (8)
1.一种以太网无源光网络EPON中实现光网络单元ONU的安全注册方法,其特征在于,ONU对待向光线路终端OLT发送的注册请求REGISTER_REQ消息进行了以下修改:增加安全标记字段Security Flag和加密密钥字段Security Key,设置所述Security Flag为用于表示携带加密密钥的第一标记值,将本地配置的加密密钥添加至所述Security Key;该方法应用于光线路终端OLT,包括:
接收ONU广播的注册请求REGISTER_REQ消息;
在所述REGISTER_REQ消息中的安全标记字段Security Flag为用于表示携带加密密钥的第一标记值时,从所述REGISTER_REQ消息中的加密密钥字段Security Key中获取加密密钥;
利用所述加密密钥对待向所述ONU发送的注册Register消息、GATE授权消息分别进行加密并广播发送。
2.根据权利要求1所述的方法,其特征在于,所述利用加密密钥对待向ONU广播发送的注册Register消息、GATE授权消息分别进行加密并广播发送包括:
利用所述加密密钥对所述Register消息中的介于MAC控制帧类型字段OpCode和帧校验序列字段FCS之间的所有字段进行加密,广播发送加密后的Register消息;
利用所述加密密钥对所述GATE授权消息中的介于MAC控制帧类型字段OpCode和帧校验序列字段FCS之间的所有字段进行加密,广播发送加密后的GATE授权消息。
3.根据权利要求2所述的方法,其特征在于,所述利用加密密钥对所述Register消息中的介于MAC控制帧类型字段OpCode和帧校验序列字段FCS之间的所有字段进行加密包括:
将Register消息中的目的MAC地址字段中的目的MAC地址修改为针对多点控制协议MPCP协议数据单元PDU统一设定的MAC地址;
在所述Register消息中介于OpCode和FCS之间的位置额外增加注册MAC地址字段,所述注册MAC地址字段携带所述ONU的MAC地址;
利用加密密钥对所述Register消息中介于OpCode和FCS之间的所有字段进行加密。
4.一种以太网无源光网络EPON中光网络单元ONU发现机制的安全实现方法,其特征在于,该方法应用于ONU,包括:
对待向光线路终端OLT发送的注册请求REGISTER_REQ消息进行以下修改并广播至OLT:增加安全标记字段Security Flag和加密密钥字段Security Key,设置所述Security Flag为用于表示携带加密密钥的第一标记值,将本地配置的加密密钥添加至所述SecurityKey;
接收来自OLT的加密的注册Register消息,利用本地配置的所述加密密钥对所述Register消息进行解密,如果解密成功,获取所述Register消息携带的第一数据参数;所述第一数据参数至少包括OLT为本ONU分配的LLID;
接收OLT来自OLT的加密的GATE授权消息,利用本地配置的所述加密密钥对所述GATE授权消息进行解密,如果解密成功,获取所述GATE授权消息携带的第二数据参数;第二数据参数至少包括OLT为本ONU分配的数据发送时隙。
5.一种以太网无源光网络EPON中实现光网络单元ONU的安全注册设备,其特征在于,ONU对待向光线路终端OLT发送的注册请求REGISTER_REQ消息进行了以下修改:增加安全标记字段Security Flag和加密密钥字段Security Key,设置所述Security Flag为用于表示携带加密密钥的第一标记值,将本地配置的加密密钥添加至所述Security Key;该设备应用于光线路终端OLT,包括:
接收单元,用于接收ONU广播的注册请求REGISTER_REQ消息;
解析单元,用于在所述REGISTER_REQ消息中的安全标记字段Security Flag为用于表示携带加密密钥的第一标记值时,从所述REGISTER_REQ消息中的加密密钥字段SecurityKey中获取加密密钥;
加密单元,用于利用所述加密密钥对待向所述ONU发送的注册Register消息、GATE授权消息分别进行加密并广播发送。
6.根据权利要求5所述的设备,其特征在于,所述加密单元利用加密密钥对待向ONU广播发送的注册Register消息、GATE授权消息分别进行加密并广播发送包括:
利用所述加密密钥对所述Register消息中的介于MAC控制帧类型字段OpCode和帧校验序列字段FCS之间的所有字段进行加密,广播发送加密后的Register消息;
利用所述加密密钥对所述GATE授权消息中的介于MAC控制帧类型字段OpCode和帧校验序列字段FCS之间的所有字段进行加密,广播发送加密后的GATE授权消息。
7.根据权利要求6所述的设备,其特征在于,所述加密单元利用加密密钥对所述Register消息中的介于MAC控制帧类型字段OpCode和帧校验序列字段FCS之间的所有字段进行加密包括:
将Register消息中的目的MAC地址字段中的目的MAC地址修改为针对多点控制协议MPCP协议数据单元PDU统一设定的MAC地址;
在所述Register消息中介于OpCode和FCS之间的位置额外增加注册MAC地址字段,所述注册MAC地址字段携带所述ONU的MAC地址;
利用加密密钥对所述Register消息中介于OpCode和FCS之间的所有字段进行加密。
8.一种以太网无源光网络EPON中光网络单元ONU发现机制的安全实现设备,其特征在于,该设备应用于ONU,包括:
发送单元,用于对待向光线路终端OLT发送的注册请求REGISTER_REQ消息进行以下修改并广播至OLT:增加安全标记字段Security Flag和加密密钥字段Security Key,设置所述Security Flag为用于表示携带加密密钥的第一标记值,将本地配置的加密密钥添加至所述Security Key;
接收单元,用于接收来自OLT的加密的注册Register消息,利用本地配置的所述加密密钥对所述Register消息进行解密,如果解密成功,获取所述Register消息携带的第一数据参数;所述第一数据参数至少包括OLT为本ONU分配的LLID;以及,
接收OLT来自OLT的加密的GATE授权消息,利用本地配置的所述加密密钥对所述GATE授权消息进行解密,如果解密成功,获取所述GATE授权消息携带的第二数据参数;第二数据参数至少包括OLT为本ONU分配的数据发送时隙。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510452439.2A CN105592040B (zh) | 2015-07-29 | 2015-07-29 | Epon中实现onu的安全注册方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510452439.2A CN105592040B (zh) | 2015-07-29 | 2015-07-29 | Epon中实现onu的安全注册方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105592040A CN105592040A (zh) | 2016-05-18 |
| CN105592040B true CN105592040B (zh) | 2018-11-09 |
Family
ID=55931258
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510452439.2A Active CN105592040B (zh) | 2015-07-29 | 2015-07-29 | Epon中实现onu的安全注册方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105592040B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4061002A4 (en) * | 2019-11-30 | 2022-12-28 | Huawei Technologies Co., Ltd. | UPLINK RESOURCE AUTHORIZATION METHOD, ASSOCIATED DEVICE AND COMPUTER READABLE STORAGE MEDIA |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107872739B (zh) * | 2016-09-26 | 2020-09-22 | 中国电信股份有限公司 | 一种onu的llid的分配方法、olt和epon系统 |
| CN107872738B (zh) * | 2016-09-26 | 2020-12-25 | 中国电信股份有限公司 | 一种onu的llid的管理方法、olt和epon系统 |
| CN107919917B (zh) * | 2017-12-29 | 2020-09-29 | 武汉长光科技有限公司 | 一种阻止非法onu注册上线的方法 |
| CN111182378B (zh) * | 2019-12-31 | 2022-11-08 | 瑞斯康达科技发展股份有限公司 | 一种epon onu的注册装置及方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101183934A (zh) * | 2007-10-23 | 2008-05-21 | 中兴通讯股份有限公司 | 无源光网络中密钥更新方法 |
| CN101577620A (zh) * | 2009-04-10 | 2009-11-11 | 北京邮电大学 | 一种以太网无源光网络(epon)系统认证方法 |
| CN101662705A (zh) * | 2009-10-19 | 2010-03-03 | 国网信息通信有限公司 | 以太网无源光网络epon的设备认证方法及系统 |
| CN103905209A (zh) * | 2014-04-30 | 2014-07-02 | 殷爱菡 | 基于NTRUSign无源光网络接入双向认证的方法 |
-
2015
- 2015-07-29 CN CN201510452439.2A patent/CN105592040B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101183934A (zh) * | 2007-10-23 | 2008-05-21 | 中兴通讯股份有限公司 | 无源光网络中密钥更新方法 |
| CN101577620A (zh) * | 2009-04-10 | 2009-11-11 | 北京邮电大学 | 一种以太网无源光网络(epon)系统认证方法 |
| CN101662705A (zh) * | 2009-10-19 | 2010-03-03 | 国网信息通信有限公司 | 以太网无源光网络epon的设备认证方法及系统 |
| CN103905209A (zh) * | 2014-04-30 | 2014-07-02 | 殷爱菡 | 基于NTRUSign无源光网络接入双向认证的方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4061002A4 (en) * | 2019-11-30 | 2022-12-28 | Huawei Technologies Co., Ltd. | UPLINK RESOURCE AUTHORIZATION METHOD, ASSOCIATED DEVICE AND COMPUTER READABLE STORAGE MEDIA |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105592040A (zh) | 2016-05-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105592040B (zh) | Epon中实现onu的安全注册方法和设备 | |
| AU2014265030B2 (en) | A computer implemented system and method for lightweight authentication on datagram transport for internet of things | |
| US9319220B2 (en) | Method and apparatus for secure network enclaves | |
| KR100675836B1 (ko) | Epon 구간내에서의 링크 보안을 위한 인증 방법 | |
| WO2011017099A3 (en) | Secure communication using asymmetric cryptography and light-weight certificates | |
| KR101495070B1 (ko) | Ptp프로토콜을 위한 키들을 분배하기 위한 방법들 및 장치들 | |
| CN106209897B (zh) | 一种基于代理的软件定义网络分布式多粒度控制器安全通信方法 | |
| CN111447053B (zh) | 一种数据安全传输方法及系统 | |
| CN105577680A (zh) | 密钥生成方法、解析加密数据方法、装置及密钥管理中心 | |
| CN105391549B (zh) | 客户端与服务器之间通信动态密钥实现方法 | |
| CN108964895B (zh) | 基于群组密钥池和改进Kerberos的User-to-User身份认证系统和方法 | |
| AU2015234221A1 (en) | Persistent authentication system incorporating one time pass codes | |
| KR101421259B1 (ko) | 스위치 장비들 사이에서 보안 연결을 확립하는 방법 및 시스템 | |
| EP2277297A1 (en) | Verifying a message in a communication network | |
| WO2011143943A1 (zh) | 一种端到端安全连接的建立方法、系统及装置 | |
| CN106789057A (zh) | 卫星通信协议下的密钥协商方法及系统 | |
| CN102045601A (zh) | 一种gpon系统中的onu激活方法及系统 | |
| CN102136907A (zh) | 一种无源光网络系统组播业务加密方法和装置 | |
| CN108965266B (zh) | 一种基于群组密钥池和Kerberos的User-to-User身份认证系统和方法 | |
| WO2011134293A1 (zh) | 一种局域网节点间安全连接建立方法及系统 | |
| WO2011134291A1 (zh) | 一种节点间密钥的建立方法、系统及装置 | |
| WO2011143945A1 (zh) | 一种端到端共享密钥的建立方法、系统及装置 | |
| WO2006062345A1 (en) | Method of distributing keys over epon | |
| KR20060063271A (ko) | Epon구간내에서 링크 보안 기술 적용을 위한 키 분배기법 | |
| WO2011134294A1 (zh) | 一种节点间安全连接建立方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: NEW H3C TECHNOLOGIES Co.,Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: HANGZHOU H3C TECHNOLOGIES Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240625 Address after: Room 301, Block D, Building 1, No. 459 Jianghong Road, Hangzhou City, Zhejiang Province, 310052 Patentee after: H3C INFORMATION TECHNOLOGY Co.,Ltd. Country or region after: China Address before: 310052 Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, No. 466 Patentee before: NEW H3C TECHNOLOGIES Co.,Ltd. Country or region before: China |