CN105592040B - Epon中实现onu的安全注册方法和设备 - Google Patents

Epon中实现onu的安全注册方法和设备 Download PDF

Info

Publication number
CN105592040B
CN105592040B CN201510452439.2A CN201510452439A CN105592040B CN 105592040 B CN105592040 B CN 105592040B CN 201510452439 A CN201510452439 A CN 201510452439A CN 105592040 B CN105592040 B CN 105592040B
Authority
CN
China
Prior art keywords
onu
encryption key
register
message
olt
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510452439.2A
Other languages
English (en)
Other versions
CN105592040A (zh
Inventor
宋小恒
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Information Technologies Co Ltd
Original Assignee
New H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Technologies Co Ltd filed Critical New H3C Technologies Co Ltd
Priority to CN201510452439.2A priority Critical patent/CN105592040B/zh
Publication of CN105592040A publication Critical patent/CN105592040A/zh
Application granted granted Critical
Publication of CN105592040B publication Critical patent/CN105592040B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/0001Selecting arrangements for multiplex systems using optical switching
    • H04Q11/0062Network aspects
    • H04Q11/0067Provisions for optical access or distribution networks, e.g. Gigabit Ethernet Passive Optical Network (GE-PON), ATM-based Passive Optical Network (A-PON), PON-Ring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请提供了EPON中实现ONU的安全注册方法和设备。本发明中,通过利用ONU发送的加密密钥对待向ONU发送的Register消息、GATE授权消息分别进行加密并广播发送,能够在ONU与OLT设备之间形成比较安全可靠的MPCP注册通道,其他ONU是无法感知并侦听到该ONU的MAC地址、LLID标识和数据发送时隙,避免了网络中的恶意注册攻击。

Description

EPON中实现ONU的安全注册方法和设备
技术领域
本申请涉及以太网无源光网络(EPON:Ethernet Passive Optical Network)技术,特别涉及EPON中实现光网络单元(ONU:Optical Network Unit)的安全注册方法和设备。
背景技术
EPON,是一种实现光纤到户的重要技术,将以太网和无源光网络(PON:PassiveOptical Network)技术结合,在物理层采用PON技术,在数据链路层使用以太网协议,利用PON的拓扑结构实现以太网接入。
在EPON中,ONU的注册主要分为图1所示的四个阶段:
发现GATE阶段(Discovery gate generation process):光线路终端(OLT:Optical Line Terminal)周期性地广播GATE发现消息,GATE发现消息中携带ONU发现窗口开始时间和长度;ONU发现自身还没有注册至OLT,则在接收到GATE发现消息后等待,直至到达GATE发现消息中携带的ONU发现窗口开始时间,向OLT发送注册请求(REGISTER_REQ)消息,REGISTER_REQ消息中至少携带ONU的MAC地址。
请求接收阶段(Request reception process):OLT接收到ONU发送的REGISTER_REQ消息后,认为发送该REGISTER_REQ消息的ONU为目的ONU,为目的ONU分配一个LLID,将该目的ONU的MAC地址和目的ONU被分配的LLID绑定,并计算时延差异(RTT:Round TripTime)。
注册发生阶段(Register generation process):OLT向目的ONU广播Register消息,Register消息的目的MAC地址为目的ONU的MAC地址也即上述REGISTER_REQ消息携带的MAC地址,Register消息至少携带目的ONU被分配的LLID。
注册结束阶段(Finnal Registration process):OLT为目的ONU分配数据发送时隙,将目的ONU被分配的LLID、数据发送时隙携带在GATE授权消息(也即标准的GATE消息)中广播发送给所有ONU,GATE授权消息的目的MAC地址为组播MAC地址,该GATE授权消息的目的MAC地址之前有一个前导符,该前导符是目的ONU被分配的LLID,当目的ONU收到GATE授权消息后,发现该GATE授权消息中目的MAC之前的前导符为OLT为本ONU分配的LLID,则向OLT返回REGISTER_ACK。当OLT接收到REGISTER_ACK,表示目的ONU注册至OLT,也意味着目的ONU上线且可以按照OLT分配的数据发送时隙正常发送的消息流。
在上面描述的ONU注册过程中,Register消息、GATE授权消息是OLT以广播方式发送的,这样,所有ONU都会收到Register消息、GATE授权消息,这给蓄意攻击和窃听留下了风险,比如,ONU通过收到的Register消息、GATE授权消息截取其他ONU的MAC地址、被分配的LLID和数据发送时隙,并利用截取的这些信息接收其他ONU的数据,还可以伪装成其他ONU攻击OLT,因此现有的ONU注册是不安全的。
发明内容
本申请提供了EPON中实现ONU的安全注册方法和设备,以实现ONU的安全注册。
本申请提供的技术方案包括:
一种以太网无源光网络EPON中实现光网络单元ONU的安全注册方法,该方法应用于光线路终端OLT,包括:
接收ONU广播的注册请求REGISTER_REQ消息;
在REGISTER_REQ消息中的安全标记字段Security Flag为用于表示携带加密密钥的第一标记值时,从REGISTER_REQ消息中的加密密钥字段Security Key中获取加密密钥;
利用所述加密密钥对待向ONU发送的注册Register消息、GATE授权消息分别进行加密并广播发送。
一种以太网无源光网络EPON中光网络单元ONU发现机制的安全实现方法,该方法应用于ONU,包括:
对待向光线路终端OLT发送的注册请求REGISTER_REQ消息进行以下修改并广播至OLT:增加安全标记字段Security Flag和加密密钥字段Security Key,设置Security Flag为用于表示携带加密密钥的第一标记值,将本地配置的加密密钥添加至所述SecurityKey;
接收来自OLT的加密的注册Register消息,利用本地配置的所述加密密钥对Register消息进行解密,如果解密成功,获取Register消息携带的第一数据参数;第一数据参数至少包括OLT为本ONU分配的LLID;
接收OLT来自OLT的加密的GATE授权消息,利用本地配置的所述加密密钥对GATE授权消息进行解密,如果解密成功,获取GATE授权消息携带的第二数据参数;第二数据参数至少包括OLT为本ONU分配的数据发送时隙。
一种以太网无源光网络EPON中实现光网络单元ONU的安全注册设备,该设备应用于光线路终端OLT,包括:
接收单元,用于接收ONU广播的注册请求REGISTER_REQ消息;
解析单元,用于在REGISTER_REQ消息中的安全标记字段Security Flag为用于表示携带加密密钥的第一标记值时,从REGISTER_REQ消息中的加密密钥字段Security Key中获取加密密钥;
加密单元,用于利用所述加密密钥对待向ONU发送的注册Register消息、GATE授权消息分别进行加密并广播发送。
一种以太网无源光网络EPON中光网络单元ONU发现机制的安全实现设备,该设备应用于ONU,包括:
发送单元,用于对待向光线路终端OLT发送的注册请求REGISTER_REQ消息进行以下修改并广播至OLT:增加安全标记字段Security Flag和加密密钥字段Security Key,设置Security Flag为用于表示携带加密密钥的第一标记值,将本地配置的加密密钥添加至Security Key;
接收单元,用于接收来自OLT的加密的注册Register消息,利用本地配置的所述加密密钥对Register消息进行解密,如果解密成功,获取Register消息携带的第一数据参数;第一数据参数至少包括OLT为本ONU分配的LLID;以及,
接收OLT来自OLT的加密的GATE授权消息,利用本地配置的所述加密密钥对GATE授权消息进行解密,如果解密成功,获取GATE授权消息携带的第二数据参数;第二数据参数至少包括OLT为本ONU分配的数据发送时隙。
由以上技术方案可以看出,本发明中,通过利用ONU发送的加密密钥对待向ONU发送的Register消息、GATE授权消息分别进行加密并广播发送,能够在ONU与OLT设备之间形成比较安全可靠的MPCP注册通道,其他ONU是无法感知并侦听到该ONU的MAC地址、LLID标识和数据发送时隙,避免了网络中的恶意注册攻击。
附图说明
图1为ONU注册流程图;
图2为本发明提供的方法流程图;
图3为本发明提供的REGISTER_REQ消息的结构图;
图4为本发明提供的Register消息的结构图;
图5为本发明提供的修改后的Register消息的结构图;
图6为本发明提供的GATE授权消息的结构图;
图7为本发明提供的实施例结构图;
图8为本发明提供的设备结构图;
图9为本发明提供的另一设备结构图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
由于OLT向ONU发送的Register消息和GATE授权消息会广播到所有ONU上,使得每个ONU都能获取到其他ONU的MAC地址、LLID以及发送时隙,为可能存在的蓄意攻击和窃听留下了风险。本发明为了避免该风险,对现有ONU注册进行了优化,具体见图2所示流程。
参见图2,图2为本发明提供的方法流程图。如图2所示,该流程可包括以下步骤:
步骤201,ONU对待向OLT发送的REGISTER_REQ消息进行以下修改并发送至OLT:增加安全标记字段(Security Flag)和加密密钥字段(Security Key),设置Security Flag为用于表示携带加密密钥的第一标记值,将本地配置的加密密钥添加至Security Key。
当ONU接收到OLT周期性广播地GATE发现消息时,ONU发现目前本ONU还未注册至OLT,则等待,直至到达GATE发现消息中携带的ONU发现窗口开始时间,当到达GATE发现消息中携带的ONU发现窗口开始时间时,向OLT发送REGISTER_REQ消息。
本步骤201中,ONU向OLT发送的REGISTER_REQ消息是在现有REGISTER_REQ消息的基础上对现有REGISTER_REQ消息进行了如步骤201中的修改。此时,该修改后的REGISTER_REQ消息不再等同于现有的REGISTER_REQ消息,因此,为和现有的REGISTER_REQ消息区分,这里可设置REGISTER_REQ消息中的标记字段(Flags)不再为现有数值,而是为不同于现有数值且用于表示扩展REGISTER_REQ消息的值比如为0x4。图3示出了修改后的REGISTER_REQ消息的结构。
需要说明的是,本发明中,可为每一ONU配置加密密钥,也可有针对性地为某些ONU配置加密密钥,不同ONU配置的加密密钥不同,基于此,当ONU未被配置加密密钥时,其仍按照现有ONU注册过程中ONU的处理方式执行。
步骤202,OLT接收ONU广播的REGISTER_REQ消息。
步骤203,OLT在REGISTER_REQ消息中的Security Flag为用于表示携带加密密钥的第一标记值时,从REGISTER_REQ消息中的Security Key中获取加密密钥。
步骤204,OLT利用加密密钥对待向ONU发送的Register消息、GATE授权消息分别进行加密并广播发送。
具体地,如背景技术描述的,当OLT接收到ONU发送的REGISTER_REQ消息后,认为发送该REGISTER_REQ消息的ONU为目的ONU,为目的ONU分配一个LLID,提取该REGISTER_REQ消息携带的MAC地址,将该目的ONU的MAC地址和目的ONU被分配的LLID绑定,分配完LLID后,OLT生成待向ONU发送的Register消息,Register消息至少携带分配的LLID。
优选地,作为本发明的一个实施例,步骤204中,OLT利用加密密钥对待向ONU发送的Register消息进行加密并广播发送具体实现时可包括:
利用加密密钥对Register消息中的介于MAC控制帧类型字段(OpCode)和帧校验序列字段(FCS)之间的所有字段进行加密,广播发送加密后的Register消息。
为便于理解,图4示出了Register消息的结构。基于图4所示的Register消息的结构,则Register消息中介于OpCode和FCS之间的所有字段具体可包括:时间戳字段(Timestamp)、指定端口字段(Assigned Port)、注册类型标识字段(Flags)、同步时间字段(Sync Time)、用于表示OLT已经知晓ONU的缓存空间的字段(Echo Pending Grants)、Pad。在图4中,Assigned Port用于携带LLID。
需要说明的是,在ONU注册过程中,Register消息的目的MAC地址为上述目的ONU的MAC地址,为了防止上述目的ONU的MAC地址被其他ONU侦听到,则可以将Register消息的目的MAC地址进行修改,修改为针对多点控制协议(MPCP)协议数据单元(PDU)统一设定的MAC地址比如01-80-C2-00-00-01,同时还在Register消息中介于OpCode和FCS之间的位置额外增加注册MAC地址字段(Register MAC),注册MAC地址字段携带上述目的ONU的MAC地址。结合图4所示的Register消息的结构,则通过本段的描述,最终Register消息的结构变化为图5所示的结构。通过图5所示的Register消息的结构,则当OLT广播图5所示的Register消息时,即使其他ONU收到该Register消息,因为其本地未配置目的ONU上的加密密钥,其是不能解析出Register消息中的加密字段,进而不能获取Register消息中加密字段携带的参数,比如目的ONU被分配的LLID、目的ONU的MAC地址等。只有当目的ONU收到Register消息后,解析出Register消息中的加密字段携带的参数,比如目的ONU被分配的LLID、目的ONU的MAC地址等,具体见步骤205
再如背景技术描述的:OLT为目的ONU分配数据发送时隙,将目的ONU被分配的LLID、数据发送时隙携带在GATE授权消息(也即标准的GATE消息)中广播发送给所有ONU。则作为一个优选实施例,本步骤204中利用加密密钥对GATE授权消息进行加密并广播发送可包括:
利用加密密钥对GATE授权消息中的介于OpCode和FCS之间的所有字段进行加密,广播发送加密后的GATE授权消息。
为便于理解,图6示出了GATE授权消息的结构。基于图6所示的GATE授权消息的结构,则GATE授权消息中介于OpCode和FCS之间的所有字段具体可包括:
Timestamp、授权个数字段(Number of grants/flags)、窗口授权开始时间(GrantStart Time)、窗口授权长度(Grant Length)、Pad。在图6中,Number of grants/flags多不超过4,其值从0变化至4,当为0时,表示不授权,当为1时,表示携带1个窗口授权参数,当为2时,表示携带2个窗口授权参数,当为3时,表示携带3个窗口授权参数,当为4时,表示携带4个窗口授权参数。
在ONU注册过程中,GATE授权消息的目的MAC地址为组播MAC地址,该GATE授权消息的目的MAC地址之前有一个前导符,该前导符不同于ONU注册过程中其他报文中的前导符(具体为广播LLID),其具体是目的ONU被分配的LLID。基于此,本发明中,当OLT广播GATE授权消息后,即使其他ONU收到该GATE授权消息,因为GATE授权消息的前导符有LLID,其能解析出LLID,但其只是解析出LLID,并不知道该LLID是哪一个ONU被分配的LLID,并且,由于其他ONU本地未配置目的ONU上的加密密钥,其是不能解析出GATE授权消息中的加密字段,进而不能获取GATE授权消息中加密字段携带的参数,比如目的ONU被分配的数据发送时隙等。只有当目的ONU收到GATE授权消息后,发现该GATE授权消息中目的MAC之前的前导符为OLT为本ONU分配的LLID,则向OLT返回REGISTER_ACK,并解析出GATE授权消息中加密字段携带的参数比如数据发送时隙,具体见步骤205。
步骤205,ONU接收来自OLT的加密的注册Register消息,利用本地配置的所述加密密钥对Register消息进行解密,如果解密成功,获取Register消息携带的第一数据参数;以及,接收OLT来自OLT的加密的GATE授权消息,利用本地配置的所述加密密钥对GATE授权消息进行解密,如果解密成功,获取GATE授权消息携带的第二数据参数;第二数据参数至少包括OLT为本ONU分配的数据发送时隙。
这里,第一数据参数至少包括OLT为本ONU分配的LLID。对于如上描述的Register消息,因为目的MAC地址修改为MPCP PDU统一设定的MAC地址,同时在Register消息的消息体中携带目的ONU的MAC地址且被加密,如此,当OLT广播Register消息后,虽然其他ONU也能接收到Register消息,但是由于Register消息的目的MAC地址是MPCP PDU统一设定的MAC地址、且Register消息的消息体经过加密处理,是无法得知目的ONU的任何信息比如LLID、MAC地址等。
这里,第二数据参数至少包括OLT为本ONU分配的数据发送时隙。如上描述的GATE授权消息,则当OLT广播GATE授权消息后,即使其他ONU收到该GATE授权消息,因为GATE授权消息的前导符有LLID,其能解析出LLID,但其只是解析出LLID,并不知道该LLID是哪一个ONU被分配的LLID,并且,OLT发送的GATE授权消息是从OpCode字段开始进行加密的,由于其他ONU本地未配置目的ONU上的加密密钥,其是不能解析出GATE授权消息中的加密字段,进而不能获取GATE授权消息中加密字段携带的参数,比如目的ONU被分配的数据发送时隙等。只有当目的ONU收到GATE授权消息后,发现该GATE授权消息中目的MAC之前的前导符为OLT为本ONU分配的LLID,则向OLT返回REGISTER_ACK,并解析出GATE授权消息中加密字段携带的参数比如数据发送时隙。
综上可以看出,本发明中,通过利用ONU发送的加密密钥对待向ONU发送的Register消息、GATE授权消息分别进行加密并广播发送,能够在ONU与OLT设备之间形成比较安全可靠的MPCP注册通道,其他ONU是无法感知并侦听到该ONU的MAC地址、LLID标识和数据发送时隙,避免了网络中的恶意注册攻击。
至此,完成图2所示的流程。
下面通过一个具体实施例对图2所示流程进行详细描述:
如图7所示的EPON,三个ONU分别接入到EPON,其中ONU3本地配置了加密密钥,这意味着ONU3采用图2所示流程进行注册和连接,其余ONU1和ONU2本地未配置加密密钥,这意味着ONU1和ONU2采用现有方式进行注册和连接。
以ONU1和ONU3为例进行比较说明。
OLT周期性地广播GATE发现消息,GATE发现消息中携带ONU发现窗口开始时间和长度。
ONU1接收到GATE发现消息后,发现本ONU1还未注册至OLT,则向OLT发送REGISTER_REQ消息请求注册。
OLT接收到ONU1发送的REGISTER_REQ消息后学习REGISTER_REQ消息携带的ONU1的MAC地址,计算RTT,并为ONU1分配LLID和数据发送时隙,向ONU1广播发送Register消息(记为消息11)和GATE授权消息(记为消息12),则消息11和消息12会广播到所有ONU。
ONU2、ONU3收到消息11和消息12后,会监听到ONU1的MAC地址、LLID和数据发送时隙。
ONU1收到消息11后,发现消息11的目的MAC地址为自身的MAC地址,则获取消息11中的LLID;ONU1收到消息12后,发现消息12中目的MAC地址之前的前导符为自身的LLID,则获取消息12中的数据发送时隙,向OLT发送REGISTER_ACK消息,至此完成注册。
当ONU3接收到GATE发现消息后,发现本ONU3还未注册至OLT,由于本ONU3已配置了加密密钥,则ONU3向OLT发送携带Security Flag和Security Key的REGISTER_REQ消息请求注册。REGISTER_REQ消息中的Security Flag为用于表示携带加密密钥的第一标记值,REGISTER_REQ消息中的Security Key为ONU3本地配置的加密密钥。
OLT接收到ONU3发送的REGISTER_REQ消息后从REGISTER_REQ消息获取REGISTER_REQ消息携带的ONU3的MAC地址、加密密钥,计算RTT,为ONU3分配LLID和数据发送时隙。
OLT生成待向ONU3发送的Register消息,这里,Register消息的目的MAC地址为MPCP PDU统一设定的MAC地址比如01-80-C2-00-00-01,Register消息中介于OpCode和FCS之间的位置额外增加Register MAC(携带ONU3的MAC地址)。
OLT利用获取的加密密钥对Register消息中介于OpCode和FCS之间的所有字段进行加密,广播发送加密后的Register消息(记为消息13);
OLT生成待向ONU3发送的GATE授权消息,利用获取的加密密钥对GATE授权消息中介于OpCode和FCS之间的所有字段进行加密,广播发送加密后的GATE授权消息(记为消息14)。
OLT发送的消息13和消息14会到达所有ONU,当ONU1和ONU2收到消息13和消息14后,但无法成功解密,其因为无法成功解密而监听不到消息13携带的ONU的MAC地址、LLID,也监听不到消息14携带的数据发送时隙;当ONU3收到消息13和消息14后,利用本地配置的加密密钥正确解析出自己的LLID和数据发送时隙,向OLT发送REGISTER_ACK消息,至此完成注册。
ONU2因为监听到ONU1的MAC地址、LLID、数据发送时隙,其可以伪装成ONU1撤销ONU1的注册,比如ONU2伪装成ONU1向OLT发送取消注册的请求消息,OLT就会错误的启动对ONU1的撤销注册,清除ONU1设备的注册信息;而对于ONU3,ONU2因为无法监听到ONU3的MAC地址、LLID、数据发送时隙,无法对ONU3进行破坏。这相比于ONU1,提升ONU3自身的安全性,对整个EPON网络的安全也有较大的保证。
至此,完成图7所示的实施例描述。
以上对本发明提供的方法进行了描述,下面对本发明提供的设备进行描述:
参见图8,图8为本发明提供的设备结构图。该设备应用于光线路终端OLT,如图8所示,该设备包括:
接收单元,用于接收ONU广播的注册请求REGISTER_REQ消息;
解析单元,用于在所述REGISTER_REQ消息中的安全标记字段Security Flag为用于表示携带加密密钥的第一标记值时,从所述REGISTER_REQ消息中的加密密钥字段Security Key中获取加密密钥;
加密单元,用于利用所述加密密钥对待向ONU发送的注册Register消息、GATE授权消息分别进行加密并广播发送。
优选地,加密单元利用加密密钥对待向ONU广播发送的注册Register消息、GATE授权消息分别进行加密并广播发送包括:
利用所述加密密钥对Register消息中的介于MAC控制帧类型字段OpCode和帧校验序列字段FCS之间的所有字段进行加密,广播发送加密后的Register消息;
利用所述加密密钥对GATE授权消息中的介于MAC控制帧类型字段OpCode和帧校验序列字段FCS之间的所有字段进行加密,广播发送加密后的GATE授权消息。
优选地,加密单元利用加密密钥对所述Register消息中的介于MAC控制帧类型字段OpCode和帧校验序列字段FCS之间的所有字段进行加密包括:
将Register消息中的目的MAC地址字段中的目的MAC地址修改为针对多点控制协议MPCP协议数据单元PDU统一设定的MAC地址;
在Register消息中介于OpCode和FCS之间的位置额外增加注册MAC地址字段,注册MAC地址字段携带ONU的MAC地址;
利用加密密钥对所述Register消息中介于OpCode和FCS之间的所有字段进行加密。
至此,完成图8所示的设备结构描述。
参见图9,图9为本发明提供的另一设备结构图。该设备应用于ONU,包括:
发送单元,用于对待向光线路终端OLT发送的注册请求REGISTER_REQ消息进行以下修改并广播至OLT:增加安全标记字段Security Flag和加密密钥字段Security Key,设置所述Security Flag为用于表示携带加密密钥的第一标记值,将本地配置的加密密钥添加至Security Key;
接收单元,用于接收来自OLT的加密的注册Register消息,利用本地配置的所述加密密钥对Register消息进行解密,如果解密成功,获取Register消息携带的第一数据参数;第一数据参数至少包括OLT为本ONU分配的LLID;以及,
接收OLT来自OLT的加密的GATE授权消息,利用本地配置的所述加密密钥对GATE授权消息进行解密,如果解密成功,获取GATE授权消息携带的第二数据参数;第二数据参数至少包括OLT为本ONU分配的数据发送时隙。
至此,完成图9所示的设备结构描述。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (8)

1.一种以太网无源光网络EPON中实现光网络单元ONU的安全注册方法,其特征在于,ONU对待向光线路终端OLT发送的注册请求REGISTER_REQ消息进行了以下修改:增加安全标记字段Security Flag和加密密钥字段Security Key,设置所述Security Flag为用于表示携带加密密钥的第一标记值,将本地配置的加密密钥添加至所述Security Key;该方法应用于光线路终端OLT,包括:
接收ONU广播的注册请求REGISTER_REQ消息;
在所述REGISTER_REQ消息中的安全标记字段Security Flag为用于表示携带加密密钥的第一标记值时,从所述REGISTER_REQ消息中的加密密钥字段Security Key中获取加密密钥;
利用所述加密密钥对待向所述ONU发送的注册Register消息、GATE授权消息分别进行加密并广播发送。
2.根据权利要求1所述的方法,其特征在于,所述利用加密密钥对待向ONU广播发送的注册Register消息、GATE授权消息分别进行加密并广播发送包括:
利用所述加密密钥对所述Register消息中的介于MAC控制帧类型字段OpCode和帧校验序列字段FCS之间的所有字段进行加密,广播发送加密后的Register消息;
利用所述加密密钥对所述GATE授权消息中的介于MAC控制帧类型字段OpCode和帧校验序列字段FCS之间的所有字段进行加密,广播发送加密后的GATE授权消息。
3.根据权利要求2所述的方法,其特征在于,所述利用加密密钥对所述Register消息中的介于MAC控制帧类型字段OpCode和帧校验序列字段FCS之间的所有字段进行加密包括:
将Register消息中的目的MAC地址字段中的目的MAC地址修改为针对多点控制协议MPCP协议数据单元PDU统一设定的MAC地址;
在所述Register消息中介于OpCode和FCS之间的位置额外增加注册MAC地址字段,所述注册MAC地址字段携带所述ONU的MAC地址;
利用加密密钥对所述Register消息中介于OpCode和FCS之间的所有字段进行加密。
4.一种以太网无源光网络EPON中光网络单元ONU发现机制的安全实现方法,其特征在于,该方法应用于ONU,包括:
对待向光线路终端OLT发送的注册请求REGISTER_REQ消息进行以下修改并广播至OLT:增加安全标记字段Security Flag和加密密钥字段Security Key,设置所述Security Flag为用于表示携带加密密钥的第一标记值,将本地配置的加密密钥添加至所述SecurityKey;
接收来自OLT的加密的注册Register消息,利用本地配置的所述加密密钥对所述Register消息进行解密,如果解密成功,获取所述Register消息携带的第一数据参数;所述第一数据参数至少包括OLT为本ONU分配的LLID;
接收OLT来自OLT的加密的GATE授权消息,利用本地配置的所述加密密钥对所述GATE授权消息进行解密,如果解密成功,获取所述GATE授权消息携带的第二数据参数;第二数据参数至少包括OLT为本ONU分配的数据发送时隙。
5.一种以太网无源光网络EPON中实现光网络单元ONU的安全注册设备,其特征在于,ONU对待向光线路终端OLT发送的注册请求REGISTER_REQ消息进行了以下修改:增加安全标记字段Security Flag和加密密钥字段Security Key,设置所述Security Flag为用于表示携带加密密钥的第一标记值,将本地配置的加密密钥添加至所述Security Key;该设备应用于光线路终端OLT,包括:
接收单元,用于接收ONU广播的注册请求REGISTER_REQ消息;
解析单元,用于在所述REGISTER_REQ消息中的安全标记字段Security Flag为用于表示携带加密密钥的第一标记值时,从所述REGISTER_REQ消息中的加密密钥字段SecurityKey中获取加密密钥;
加密单元,用于利用所述加密密钥对待向所述ONU发送的注册Register消息、GATE授权消息分别进行加密并广播发送。
6.根据权利要求5所述的设备,其特征在于,所述加密单元利用加密密钥对待向ONU广播发送的注册Register消息、GATE授权消息分别进行加密并广播发送包括:
利用所述加密密钥对所述Register消息中的介于MAC控制帧类型字段OpCode和帧校验序列字段FCS之间的所有字段进行加密,广播发送加密后的Register消息;
利用所述加密密钥对所述GATE授权消息中的介于MAC控制帧类型字段OpCode和帧校验序列字段FCS之间的所有字段进行加密,广播发送加密后的GATE授权消息。
7.根据权利要求6所述的设备,其特征在于,所述加密单元利用加密密钥对所述Register消息中的介于MAC控制帧类型字段OpCode和帧校验序列字段FCS之间的所有字段进行加密包括:
将Register消息中的目的MAC地址字段中的目的MAC地址修改为针对多点控制协议MPCP协议数据单元PDU统一设定的MAC地址;
在所述Register消息中介于OpCode和FCS之间的位置额外增加注册MAC地址字段,所述注册MAC地址字段携带所述ONU的MAC地址;
利用加密密钥对所述Register消息中介于OpCode和FCS之间的所有字段进行加密。
8.一种以太网无源光网络EPON中光网络单元ONU发现机制的安全实现设备,其特征在于,该设备应用于ONU,包括:
发送单元,用于对待向光线路终端OLT发送的注册请求REGISTER_REQ消息进行以下修改并广播至OLT:增加安全标记字段Security Flag和加密密钥字段Security Key,设置所述Security Flag为用于表示携带加密密钥的第一标记值,将本地配置的加密密钥添加至所述Security Key;
接收单元,用于接收来自OLT的加密的注册Register消息,利用本地配置的所述加密密钥对所述Register消息进行解密,如果解密成功,获取所述Register消息携带的第一数据参数;所述第一数据参数至少包括OLT为本ONU分配的LLID;以及,
接收OLT来自OLT的加密的GATE授权消息,利用本地配置的所述加密密钥对所述GATE授权消息进行解密,如果解密成功,获取所述GATE授权消息携带的第二数据参数;第二数据参数至少包括OLT为本ONU分配的数据发送时隙。
CN201510452439.2A 2015-07-29 2015-07-29 Epon中实现onu的安全注册方法和设备 Active CN105592040B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510452439.2A CN105592040B (zh) 2015-07-29 2015-07-29 Epon中实现onu的安全注册方法和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510452439.2A CN105592040B (zh) 2015-07-29 2015-07-29 Epon中实现onu的安全注册方法和设备

Publications (2)

Publication Number Publication Date
CN105592040A CN105592040A (zh) 2016-05-18
CN105592040B true CN105592040B (zh) 2018-11-09

Family

ID=55931258

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510452439.2A Active CN105592040B (zh) 2015-07-29 2015-07-29 Epon中实现onu的安全注册方法和设备

Country Status (1)

Country Link
CN (1) CN105592040B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4061002A4 (en) * 2019-11-30 2022-12-28 Huawei Technologies Co., Ltd. UPLINK RESOURCE AUTHORIZATION METHOD, ASSOCIATED DEVICE AND COMPUTER READABLE STORAGE MEDIA

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107872739B (zh) * 2016-09-26 2020-09-22 中国电信股份有限公司 一种onu的llid的分配方法、olt和epon系统
CN107872738B (zh) * 2016-09-26 2020-12-25 中国电信股份有限公司 一种onu的llid的管理方法、olt和epon系统
CN107919917B (zh) * 2017-12-29 2020-09-29 武汉长光科技有限公司 一种阻止非法onu注册上线的方法
CN111182378B (zh) * 2019-12-31 2022-11-08 瑞斯康达科技发展股份有限公司 一种epon onu的注册装置及方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101183934A (zh) * 2007-10-23 2008-05-21 中兴通讯股份有限公司 无源光网络中密钥更新方法
CN101577620A (zh) * 2009-04-10 2009-11-11 北京邮电大学 一种以太网无源光网络(epon)系统认证方法
CN101662705A (zh) * 2009-10-19 2010-03-03 国网信息通信有限公司 以太网无源光网络epon的设备认证方法及系统
CN103905209A (zh) * 2014-04-30 2014-07-02 殷爱菡 基于NTRUSign无源光网络接入双向认证的方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101183934A (zh) * 2007-10-23 2008-05-21 中兴通讯股份有限公司 无源光网络中密钥更新方法
CN101577620A (zh) * 2009-04-10 2009-11-11 北京邮电大学 一种以太网无源光网络(epon)系统认证方法
CN101662705A (zh) * 2009-10-19 2010-03-03 国网信息通信有限公司 以太网无源光网络epon的设备认证方法及系统
CN103905209A (zh) * 2014-04-30 2014-07-02 殷爱菡 基于NTRUSign无源光网络接入双向认证的方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4061002A4 (en) * 2019-11-30 2022-12-28 Huawei Technologies Co., Ltd. UPLINK RESOURCE AUTHORIZATION METHOD, ASSOCIATED DEVICE AND COMPUTER READABLE STORAGE MEDIA

Also Published As

Publication number Publication date
CN105592040A (zh) 2016-05-18

Similar Documents

Publication Publication Date Title
CN105592040B (zh) Epon中实现onu的安全注册方法和设备
AU2014265030B2 (en) A computer implemented system and method for lightweight authentication on datagram transport for internet of things
US9319220B2 (en) Method and apparatus for secure network enclaves
KR100675836B1 (ko) Epon 구간내에서의 링크 보안을 위한 인증 방법
WO2011017099A3 (en) Secure communication using asymmetric cryptography and light-weight certificates
KR101495070B1 (ko) Ptp프로토콜을 위한 키들을 분배하기 위한 방법들 및 장치들
CN106209897B (zh) 一种基于代理的软件定义网络分布式多粒度控制器安全通信方法
CN111447053B (zh) 一种数据安全传输方法及系统
CN105577680A (zh) 密钥生成方法、解析加密数据方法、装置及密钥管理中心
CN105391549B (zh) 客户端与服务器之间通信动态密钥实现方法
CN108964895B (zh) 基于群组密钥池和改进Kerberos的User-to-User身份认证系统和方法
AU2015234221A1 (en) Persistent authentication system incorporating one time pass codes
KR101421259B1 (ko) 스위치 장비들 사이에서 보안 연결을 확립하는 방법 및 시스템
EP2277297A1 (en) Verifying a message in a communication network
WO2011143943A1 (zh) 一种端到端安全连接的建立方法、系统及装置
CN106789057A (zh) 卫星通信协议下的密钥协商方法及系统
CN102045601A (zh) 一种gpon系统中的onu激活方法及系统
CN102136907A (zh) 一种无源光网络系统组播业务加密方法和装置
CN108965266B (zh) 一种基于群组密钥池和Kerberos的User-to-User身份认证系统和方法
WO2011134293A1 (zh) 一种局域网节点间安全连接建立方法及系统
WO2011134291A1 (zh) 一种节点间密钥的建立方法、系统及装置
WO2011143945A1 (zh) 一种端到端共享密钥的建立方法、系统及装置
WO2006062345A1 (en) Method of distributing keys over epon
KR20060063271A (ko) Epon구간내에서 링크 보안 기술 적용을 위한 키 분배기법
WO2011134294A1 (zh) 一种节点间安全连接建立方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Applicant after: NEW H3C TECHNOLOGIES Co.,Ltd.

Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Applicant before: HANGZHOU H3C TECHNOLOGIES Co.,Ltd.

GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20240625

Address after: Room 301, Block D, Building 1, No. 459 Jianghong Road, Hangzhou City, Zhejiang Province, 310052

Patentee after: H3C INFORMATION TECHNOLOGY Co.,Ltd.

Country or region after: China

Address before: 310052 Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, No. 466

Patentee before: NEW H3C TECHNOLOGIES Co.,Ltd.

Country or region before: China