CN109120419B - 光网络单元onu版本的升级方法、装置及存储介质 - Google Patents
光网络单元onu版本的升级方法、装置及存储介质 Download PDFInfo
- Publication number
- CN109120419B CN109120419B CN201710479986.9A CN201710479986A CN109120419B CN 109120419 B CN109120419 B CN 109120419B CN 201710479986 A CN201710479986 A CN 201710479986A CN 109120419 B CN109120419 B CN 109120419B
- Authority
- CN
- China
- Prior art keywords
- version
- cvc
- authentication
- target onu
- onu version
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/082—Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供了一种光网络单元ONU版本的升级方法、装置及存储介质,包括:接收通过了光线路终端OLT数字签名认证的目标ONU版本;对目标ONU版本进行数字签名认证;在认证通过的情况下根据目标ONU版本对待升级的ONU版本进行升级。通过本发明,解决了相关技术中存在的对ONU版本的认证安全性不高的问题,进而达到了提高ONU版本的安全性认证的效果。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种光网络单元ONU版本的升级方法、装置及存储介质。
背景技术
现有的以太网无源光网络DPOE(DOCSIS Provisioning of EPON)或有线电缆数据服务接口规范配置的GPON(Data Over Cable Service Interface SpecificationsProvisioning of GPON,简称为DPOG)网络中,光线路终端(Optical Line Terminal,简称为OLT)对光网络单元(Optical Network Unit,简称为ONU)ONU(DPOE ONU或DPOG ONU,为方便起见,以下简称ONU)进行管理,包括配置下发、版本升级、数据推送等操作。如图1所示为典型的流程示意图。此种方式存在诸多缺陷。
首先,ONU版本下载到OLT前,我们可以对目标版本进行相应的预处理,以便确定是既定厂家及型号的ONU版本文件,如果出现版本文件不合法,则无需下载,退出升级操作,简化流程。
其次,ONU版本文件下载到OLT后,在往ONU设备推送前,需根据文件内容再次判断版本文件的合法性,以及版本文件数据的合法性,如不合法,则无需推送,退出升级操作,简化流程。
再者,根据DPOE/DPOG规范,每次升级一台ONU,都需从后台网管下载一次ONU版本文件到OLT。现网几百上千台同一型号ONU,升级的都是同一个版本文件,如果每次下载,则会极大的浪费资源,可以实现同一型号ONU批量升级只下载一次版本文件,一旦OLT中已经存在则无需再次下载,所有同型号ONU升级推送同一个版本文件。
针对现有技术中存在的对ONU版本升级时,安全性认证安全性不高的问题,相关技术中尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种光网络单元ONU版本的升级方法、装置及存储介质,以至少解决相关技术中对ONU版本的认证安全性不高的问题。
根据本发明的一个实施例,提供了一种光网络单元ONU版本的升级方法,包括:接收通过了光线路终端OLT数字签名认证的目标ONU版本;对所述目标ONU版本进行数字签名认证;在认证通过的情况下根据所述目标ONU版本对待升级的ONU版本进行升级。
可选地,对所述目标ONU版本进行数字签名认证包括:读取所述目标ONU版本中的版本文件的认证证书(Code Verification Certification,简称为CVC)的证书信息,其中,所述CVC是根据根证书ROOT_CA与二级认证证书CVC_CA进行确定的;根据签发所述CVC时生成的私钥与所述CVC的证书信息对所述目标ONU版本进行数字签名认证。
可选地,所述CVC的证书信息包括:证书公钥、制造厂商、所述CVC的发布时间、所述CVC的扩展字段、所述CVC的有效期、签名时间。
可选地,根据签发所述CVC时生成的私钥与所述CVC的证书信息对所述目标ONU版本进行数字签名认证包括:根据所述证书公钥对所述目标ONU版本中用私钥加密过的哈希Hash值进行解密,得到所述目标ONU版本的初始Hash值,通过验证所述初始Hash值与所述OLT根据所述目标ONU版本文件计算的Hash值是否相同来对所述目标ONU版本进行数字签名认证;通过验证所述目标ONU版本的制造厂商与所述待升级的ONU版本的制造厂商是否相同来对所述目标ONU版本进行数字签名认证;通过验证所述目标ONU版本的所述CVC的发布时间是否晚于所述待升级的ONU版本的CVC的发布时间来对所述目标ONU版本进行数字签名认证;通过验证所述目标ONU版本的版本签名时间是否晚于所述待升级的ONU版本的版本签名时间来对所述目标ONU版本进行数字签名认证;通过验证所述目标ONU版本的版本签名是否在所述CVC的有效期内来对所述目标ONU版本进行数字签名认证;通过验证所述目标ONU版本的所述CVC与所述OLT中的根证书ROOT_CA、二级认证证书CVC_CA是否形成证书链来对所述目标ONU版本进行数字签名认证;通过验证所述目标ONU版本的所述CVC的扩展字段是否符合预定规范来对所述目标ONU版本进行数字签名认证。
可选地,在对所述目标ONU版本进行数字签名认证之后,所述方法还包括:在确定所述目标ONU版本通过所述数字签名认证的情况下,向所述OLT返回标识信息,其中,所述标识信息用于标识所述目标ONU版本通过所述数字签名认证。
可选地,所述目标ONU版本包括以下内容:图像镜像;数字签名认证信息。
根据本发明的另一个实施例,还提供一种光网络单元ONU版本的升级方法,包括:对目标ONU版本进行数字签名认证;将通过所述数字签名认证的所述目标ONU版本发送到光网络单元ONU中,以指示所述ONU对所述目标ONU版本进行数字签名认证,并在认证通过的情况下根据所述目标ONU版本对待升级的ONU版本进行升级。
可选地,对所述目标ONU版本进行数字签名认证包括:读取所述目标ONU版本中的版本文件的认证证书CVC的证书信息,其中,所述CVC是根据根证书ROOT_CA与二级认证证书CVC_CA进行确定的;根据签发所述CVC时生成的私钥与所述CVC的证书信息对所述目标ONU版本进行数字签名认证。
可选地,所述CVC的证书信息包括:证书公钥、制造厂商、所述CVC的发布时间、所述CVC的扩展字段、所述CVC的有效期、签名时间。
可选地,根据签发所述CVC时生成的私钥与所述CVC的证书信息对所述目标ONU版本进行数字签名认证包括:根据所述证书公钥对所述目标ONU版本中用私钥加密过的哈希Hash值进行解密,得到所述目标ONU版本的初始Hash值,通过验证所述初始Hash值与所述OLT根据所述目标ONU版本文件计算的Hash值是否相同来对所述目标ONU版本进行数字签名认证;通过验证所述目标ONU版本的制造厂商与所述待升级的ONU版本的制造厂商是否相同来对所述目标ONU版本进行数字签名认证;通过验证所述目标ONU版本的所述CVC的发布时间是否晚于所述待升级的ONU版本的CVC的发布时间来对所述目标ONU版本进行数字签名认证;通过验证所述目标ONU版本的版本签名时间是否晚于所述待升级的ONU版本的版本签名时间来对所述目标ONU版本进行数字签名认证;通过验证所述目标ONU版本的版本签名是否在所述CVC的有效期内来对所述目标ONU版本进行数字签名认证;通过验证所述目标ONU版本的所述CVC与所述OLT中的根证书ROOT_CA、二级认证证书CVC_CA是否形成证书链来对所述目标ONU版本进行数字签名认证;通过验证所述目标ONU版本的所述CVC的扩展字段是否符合预定规范来对所述目标ONU版本进行数字签名认证。
可选地,所述方法还包括:对所述ROOT_CA和所述CVC_CA进行更新。
可选地,所述目标ONU版本包括:图像镜像;数字签名认证信息。
可选地,所述方法还包括:通过线程对所述目标ONU版本进行扫描,在预定时间内,所述目标ONU版本没有读取操作时,删除所述目标ONU版本。
根据本发明的另一个实施例,还提供一种光网络单元ONU版本的升级装置,包括:接收模块,用于接收通过了光线路终端OLT数字签名认证的目标ONU版本;第一认证模块,用于对所述目标ONU版本进行数字签名认证;升级模块,用于在认证通过的情况下根据所述目标ONU版本对待升级的ONU版本进行升级。
可选地,所述第一认证模块包括:第一读取单元,用于读取所述目标ONU版本中的版本文件的认证证书CVC的证书信息,其中,所述CVC是根据根证书ROOT_CA与二级认证证书CVC_CA进行确定的;第一认证单元,用于根据签发所述CVC时生成的私钥与所述CVC的证书信息对所述目标ONU版本进行数字签名认证。
可选地,所述CVC的证书信息包括:证书公钥、制造厂商、所述CVC的发布时间、所述CVC的扩展字段、所述CVC的有效期、签名时间。
可选地,所述第一认证单元包括:第一认证子单元,用于根据所述证书公钥对所述目标ONU版本中用私钥加密过的哈希Hash值进行解密,得到所述目标ONU版本的初始Hash值,通过验证所述初始Hash值与所述OLT根据所述目标ONU版本文件计算的Hash值是否相同来对所述目标ONU版本进行数字签名认证;第一认证子单元,用于通过验证所述目标ONU版本的制造厂商与所述待升级的ONU版本的制造厂商是否相同来对所述目标ONU版本进行数字签名认证;第二认证子单元,用于通过验证所述目标ONU版本的所述CVC的发布时间是否晚于所述待升级的ONU版本的CVC的发布时间来对所述目标ONU版本进行数字签名认证;第三认证子单元,用于通过验证所述目标ONU版本的版本签名时间是否晚于所述待升级的ONU版本的版本签名时间来对所述目标ONU版本进行数字签名认证;第四认证子单元,用于通过验证所述目标ONU版本的版本签名是否在所述CVC的有效期内来对所述目标ONU版本进行数字签名认证;第五认证子单元,用于通过验证所述目标ONU版本的所述CVC与所述OLT中的根证书ROOT_CA、二级认证证书CVC_CA是否形成证书链来对所述目标ONU版本进行数字签名认证;第六认证子单元,用于通过验证所述目标ONU版本的所述CVC的扩展字段是否符合预定规范来对所述目标ONU版本进行数字签名认证。
根据本发明的另一个实施例,还提供一种光网络单元ONU版本的升级装置,包括:第二认证模块,用于对目标ONU版本进行数字签名认证;发送模块,用于将通过所述数字签名认证的所述目标ONU版本发送到光网络单元ONU中,以指示所述ONU对所述目标ONU版本进行数字签名认证,并在认证通过的情况下根据所述目标ONU版本对待升级的ONU版本进行升级。
可选地,所述第二认证模块包括:第一读取单元,用于读取所述目标ONU版本中的版本文件的认证证书CVC的证书信息,其中,所述CVC是根据根证书ROOT_CA与二级认证证书CVC_CA进行确定的;第二读取单元,用于根据签发所述CVC时生成的私钥与所述CVC的证书信息对所述目标ONU版本进行数字签名认证。
可选地,所述CVC的证书信息包括:证书公钥、制造厂商、所述CVC的发布时间、所述CVC的扩展字段、所述CVC的有效期、签名时间。
可选地,所述第二读取单元包括:第七认证子单元,用于根据所述证书公钥对所述目标ONU版本中用私钥加密过的哈希Hash值进行解密,得到所述目标ONU版本的初始Hash值,通过验证所述初始Hash值与所述OLT根据所述目标ONU版本文件计算的Hash值是否相同来对所述目标ONU版本进行数字签名认证;第八认证子单元,用于通过验证所述目标ONU版本的制造厂商与所述待升级的ONU版本的制造厂商是否相同来对所述目标ONU版本进行数字签名认证;第九认证子单元,用于通过验证所述目标ONU版本的所述CVC的发布时间是否晚于所述待升级的ONU版本的CVC的发布时间来对所述目标ONU版本进行数字签名认证;第十认证子单元,用于通过验证所述目标ONU版本的版本签名时间是否晚于所述待升级的ONU版本的版本签名时间来对所述目标ONU版本进行数字签名认证;第十一认证子单元,用于通过验证所述目标ONU版本的版本签名是否在所述CVC的有效期内来对所述目标ONU版本进行数字签名认证;第十二认证子单元,用于通过验证所述目标ONU版本的所述CVC与所述OLT中的根证书ROOT_CA、二级认证证书CVC_CA是否形成证书链来对所述目标ONU版本进行数字签名认证;第十三认证子单元,用于通过验证所述目标ONU版本的所述CVC的扩展字段是否符合预定规范来对所述目标ONU版本进行数字签名认证。
根据本发明的又一个实施例,还提供了一种存储介质,所述存储介质包括存储的程序,其中,所述程序运行时执行上述任一项所述的方法。
根据本发明的又一个实施例,还提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述任一项所述的方法。
通过本发明,由于ONU从OLT中接收通过了光线路终端OLT数字签名认证的目标ONU版本;并对收到的目标ONU版本进行数字签名认证;在认证通过的情况下根据目标ONU版本对待升级的ONU版本进行升级。因此,可以解决相关技术中存在的对ONU版本的认证安全性不高的问题,达到提高ONU版本的安全性认证的效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是相关技术中的DPOE/G系统组网架构;
图2是本发明实施例的一种光网络单元ONU版本的升级方法的移动终端的硬件结构框图;
图3是根据本发明实施例的光网络单元ONU版本的升级方法的流程图(一);
图4是根据本发明实施例的光网络单元ONU版本的升级方法的流程图(二);
图5是根据本发明实施例的ONU版本的文件结构示意图;
图6是根据本发明实施例的ONU版本SSD认证总体流程图;
图7a是根据本发明实施例的OLT对ONU配置文件的认证流程图(一);
图7b是根据本发明实施例的OLT对ONU配置文件的认证流程图(二);
图8是根据本发明实施例的OLT对ONU目标版本的认证流程图;
图9是根据本发明实施例的ONU版本以PKCS#7格式的数字签名流程图;
图10是根据本发明实施例的OLT对ONU目标版本文件的时间老化流程图;
图11是根据本发明实施例的光网络单元ONU版本的升级装置的结构框图(一);
图12是根据本发明实施例的光网络单元ONU版本的升级装置的结构框图(二)。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
本申请实施例所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在移动终端上为例,图2是本发明实施例的一种光网络单元ONU版本的升级方法的移动终端的硬件结构框图。如图2所示,移动终端20可以包括一个或多个(图2中仅示出一个)处理器202(处理器202可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器204、以及用于通信功能的传输装置206。本领域普通技术人员可以理解,图2所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,移动终端20还可包括比图2中所示更多或者更少的组件,或者具有与图2所示不同的配置。
存储器204可用于存储应用软件的软件程序以及模块,如本发明实施例中的光网络单元ONU版本的升级方法对应的程序指令/模块,处理器202通过运行存储在存储器204内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器204可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器204可进一步包括相对于处理器202远程设置的存储器,这些远程存储器可以通过网络连接至移动终端20。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置206用于经由一个网络接收或者发送数据。上述的网络具体实例可包括移动终端20的通信供应商提供的无线网络。在一个实例中,传输装置206包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置206可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种光网络单元ONU版本的升级方法,图3是根据本发明实施例的光网络单元ONU版本的升级方法的流程图(一),如图3所示,该流程包括如下步骤:
步骤S302,接收通过了光线路终端OLT数字签名认证的目标ONU版本;
步骤S304,对上述目标ONU版本进行数字签名认证;
步骤S306,在认证通过的情况下根据上述目标ONU版本对待升级的ONU版本进行升级。
通过上述步骤,由于ONU从OLT中接收通过了光线路终端OLT数字签名认证的目标ONU版本;并对收到的目标ONU版本进行数字签名认证;在认证通过的情况下根据目标ONU版本对待升级的ONU版本进行升级。因此,可以解决相关技术中存在的对ONU版本的认证安全性不高的问题,达到提高ONU版本的安全性认证的效果。
可选地,上述步骤的执行主体可以为ONU等,但不限于此。
在一个可选的实施例中,对上述目标ONU版本进行数字签名认证包括:读取上述目标ONU版本中的版本文件的认证证书CVC的证书信息,其中,所述CVC是根据根证书ROOT_CA与二级认证证书CVC_CA进行确定的;根据签发上述CVC时生成的私钥与所述CVC的证书信息对上述目标ONU版本进行数字签名认证。在本实施例中,CVC的证书信息包括在ONU版本中的数字签名认证中。数字签名认证即是对ONU版本进行加解密。将CVC的证书信息解密后进行认证。
在一个可选的实施例中,上述CVC的证书信息包括:证书公钥、制造厂商、上述CVC的发布时间、上述CVC的扩展字段、上述CVC的有效期、签名时间。在本实施例中,CVC的证书信息中的信息都需要认证,CVC的证书所包括的信息不限于上述中的信息,如果CVC的证书中包括其他的信息,也是需要一一进行验证的。
在一个可选的实施例中,根据签发上述CVC时生成的私钥与所述CVC的证书信息对上述目标ONU版本进行数字签名认证包括:根据上述证书公钥对上述目标ONU版本中用私钥加密过的哈希Hash值进行解密,得到上述目标ONU版本的初始Hash值,通过验证上述初始Hash值与OLT根据目标ONU版本文件计算的Hash值是否相同来对上述目标ONU版本进行数字签名认证;通过验证上述目标ONU版本的制造厂商与上述待升级的ONU版本的制造厂商是否相同来对上述目标ONU版本进行数字签名认证;通过验证上述目标ONU版本的上述CVC的发布时间是否晚于上述待升级的ONU版本的CVC的发布时间来对上述目标ONU版本进行数字签名认证;通过验证上述目标ONU版本的版本签名时间是否晚于上述待升级的ONU版本的版本签名时间来对上述目标ONU版本进行数字签名认证;通过验证上述目标ONU版本的版本签名是否在上述CVC的有效期内来对上述目标ONU版本进行数字签名认证;通过验证上述目标ONU版本的上述CVC与上述OLT中的根证书ROOT_CA、二级认证证书CVC_CA是否形成证书链来对上述目标ONU版本进行数字签名认证;通过验证上述目标ONU版本的上述CVC的扩展字段是否符合预定规范来对上述目标ONU版本进行数字签名认证。在本实施例中,上述中的认证需要满足以下内容才能说明通过了认证:目标ONU版本的解密后的Hash值与目标ONU版本的原始Hash值相同,目标ONU版本的制造厂商与待升级的ONU版本的制造厂商相同;目标ONU版本的上述CVC的发布时间晚于上述待升级的ONU版本的CVC的发布时间;目标ONU版本的版本签名时间晚于待升级的ONU版本的版本签名时间;目标ONU版本的版本签名在上述CVC的有效期内;目标ONU版本的上述CVC与OLT中的根证书ROOT_CA、二级认证证书CVC_CA形成证书链;目标ONU版本的CVC的扩展字段符合预定规范。只要有其中一条不满足,则验证不通过。其中,根据放在目标ONU版本文件中的证书公钥,对目标ONU版本文件中用私钥加密过的哈希Hash值进行解密,得到ONU版本文件的解密哈希Hash值,然后由ONU求出目标ONU版本文件的哈希Hash值(相当于ONU再计算一次ONU版本文件的哈希Hash值,即原始哈希Hash值(原始哈希Hash值是在制作ONU版本文件时,计算整个版本文件得到的),和制作ONU版本时一样),两者进行比较,如果相同,则进行验证,所有验证通过,表明ONU目标版本从服务器传到OLT的过程是安全的且数据可靠,则将ONU版本推送给目标ONU。在目标ONU侧,接收完版本文件后,会完整的再进行一次与OLT侧相同的验证,如果验证通过,表明ONU目标版本从OLT传送到ONU是安全的且数据可靠,则ONU会运行新版本。
在一个可选的实施例中,在对上述目标ONU版本进行数字签名认证之后,上述方法还包括:在确定上述目标ONU版本通过上述数字签名认证的情况下,向上述OLT返回标识信息,其中,上述标识信息用于标识上述目标ONU版本通过上述数字签名认证。在本实施例中,标识信息的形式不限,可以是文字信息、语音信息等。
在一个可选的实施例中,上述目标ONU版本包括以下内容:图像镜像;数字签名认证信息。在本实施例中,数字签名认证信息包括上述中的认证信息。
在本实施例中提供了一种光网络单元ONU版本的升级方法(二),图4是根据本发明实施例的光网络单元ONU版本的升级方法的流程图(二),如图4所示,该流程包括如下步骤:
步骤S402,对目标ONU版本进行数字签名认证;
步骤S404,将通过上述数字签名认证的上述目标ONU版本发送到光网络单元ONU中,以指示上述ONU对上述目标ONU版本进行数字签名认证,并在认证通过的情况下根据上述目标ONU版本对待升级的ONU版本进行升级。
通过上述步骤,由于OLT从终端接收通过了光线路终端OLT数字签名认证的目标ONU版本;并对收到的目标ONU版本进行数字签名认证;将通过数字签名认证的目标ONU版本发送到光网络单元ONU中,以指示ONU对目标ONU版本进行数字签名认证,并在认证通过的情况下根据目标ONU版本对待升级的ONU版本进行升级。因此,可以解决相关技术中存在的对ONU版本的认证安全性不高的问题,达到提高ONU版本的安全性认证的效果。
在本实施例中,OLT可以是从终端接收设置了数字签名认证的目标ONU版本,也可以是从其他地方接收。目标ONU版本的确定方式不限。
可选地,上述步骤的执行主体可以为OLT等,但不限于此。
在一个可选的实施例中,ONU版本进行数字签名认证包括:读取上述目标ONU版本中的版本文件的认证证书CVC的证书信息,其中,所述CVC是根据根证书ROOT_CA与二级认证证书CVC_CA进行确定的;根据签发上述CVC时生成的私钥与所述CVC的证书信息对上述目标ONU版本进行数字签名认证。
在一个可选的实施例中,上述CVC的证书信息包括:证书公钥、制造厂商、上述CVC的发布时间、上述CVC的扩展字段、上述CVC的有效期、签名时间。
在一个可选的实施例中,根据签发上述CVC时生成的私钥与所述CVC的证书信息对上述目标ONU版本进行数字签名认证包括:根据上述证书公钥对上述目标ONU版本中用私钥加密过的哈希Hash值进行解密,得到上述目标ONU版本的初始Hash值,通过验证上述初始Hash值与OLT根据所述目标ONU版本文件计算的Hash值是否相同来对上述目标ONU版本进行数字签名认证;通过验证上述目标ONU版本的制造厂商与上述待升级的ONU版本的制造厂商是否相同来对上述目标ONU版本进行数字签名认证;通过验证上述目标ONU版本的上述CVC的发布时间是否晚于上述待升级的ONU版本的CVC的发布时间来对上述目标ONU版本进行数字签名认证;通过验证上述目标ONU版本的版本签名时间是否晚于上述待升级的ONU版本的版本签名时间来对上述目标ONU版本进行数字签名认证;通过验证上述目标ONU版本的版本签名是否在上述CVC的有效期内来对上述目标ONU版本进行数字签名认证;通过验证上述目标ONU版本的上述CVC与上述OLT中的根证书ROOT_CA、二级认证证书CVC_CA是否形成证书链来对上述目标ONU版本进行数字签名认证;通过验证上述目标ONU版本的上述CVC的扩展字段是否符合预定规范来对上述目标ONU版本进行数字签名认证。
在一个可选的实施例中,上述方法还包括:对上述ROOT_CA和上述CVC_CA进行更新。在本实施例中,对ROOT_CA和CVC_CA进行更新的时间并不限。
在一个可选的实施例中,上述目标ONU版本包括:图像镜像;数字签名认证信息。
在一个可选的实施例中,上述方法还包括:通过线程对上述目标ONU版本进行扫描,在预定时间内,上述目标ONU版本没有读取操作时,删除上述目标ONU版本。在本实施例中,通过删除不使用的目标ONU版本,实现了对目标ONU版本的时间老化更能。
在本实施例中,还包括终端或者是系统设置目标ONU版本的过程,具体的设施方式详见具体实施例。
下面结合具体实施例对本发明进行详细说明:
具体实施例1:
本实施例所要解决的技术问题是:利用证书认证机构(以下简称CA)签发的X.509标准格式定义的根证书(CableLabs Code Verification ROOT CA Certificate,以下简称ROOT_CA),以及CA授权给设备厂商制作的X.509二级数字证书(CableLabs CodeVerification CA Certificate,以下简称CVC_CA),共同签发ONU版本的数字证书(CableLabs Code Verification Certificate,以下简称CVC),以上三个证书形成一个证书链,并通过签发CVC时生成的秘钥对,进行ONU版本文件的数字签名和解签名,解决需升级ONU目标版本文件所存在的合法性及安全性的缺陷。同时利用OLT的单拷贝及版本时间老化功能,解决批量升级耗费资源的问题,提高升级效率。
技术方案涉及以下几个子系统:
1、后台网管系统
此系统主要提供普通文件传送协议(Trivial File Transfer Protocol,简称为TFTP)、动态主机配置协议(Dynamic Host Configuration Protocol,简称为DHCP)、简单网络管理协议(Simple Network Management Protocol,简称为SNMP)等服务,存放ONU版本文件,ONU配置文件,证书文件,tftp、dhcp、snmp配置文件等。网管系统为运营商提供,主要提供基础性配置及服务需求。网管系统统筹管理OLT和ONU以及实现其他的功能。
2、OLT
OLT为局端设备,与前端(汇聚层)交换机用网线相连,转化成光信号,用单根光纤与用户端的分光器互联,实现对用户端ONU的控制、管理,并和ONU设备一样,是光电一体的设备。此发明OLT主要实现支持数字证书的升级,对ONU版本文件的下载及下载后的合法性验证,并透传给ONU,以及ONU版本的单拷贝及时间老化功能。
3、用户终端设备光网络单元ONU
ONU,OLT通过分光器及光纤连接到ONU,接收OLT发送的数据,响应OLT发出的控制命令,对用户的以太网数据进行处理并向上行方向发送。本实施例中,ONU设备出厂时需预装发布的版本,版本内容包括image镜像及签名信息,签名信息包括CVC证书、ONU设备制造厂商、ONU的CVC证书发布时间、ONU出厂版本生成时间等信息(如图5所示),以便版本升级时,实现对升级操作以及接收版本数据的合法性验证。
应用场景:
此流程用于OLT设备在电信运营商开局时,或者ONU版本需要远程升级时使用。这两种场景对于本实施例而言没有区别,可以视为同一种场景。以上几种子系统在场景中的结构如图1所示。
本实施例利用DPOE/G网络中各系统的协同作用,使得ONU终端设备在远程升级时,升级的是合法的且经过认证的并安全传输的版本,保证版本在ONU设备上的正常运行。认证流程如图6所示,包括以下步骤:
步骤601:设备商对目标ONU版本进行设置;步骤602:通过CVC/CVS对目标版本进行设置;步骤603:把带CVC/CVS的ONU版本文件提交给运营商;步骤604:运营商再次对ONU版本文件进行签名(可选);步骤605:S605:运行商把Version(带设备商CVC/CVS)一起发给OLT(运行商的再次签名暂不考虑);步骤606:OLT使用ONU版本中的CVC证书里自带的公钥对ONU版本文件进行认证,并验证CVC的扩展字段及与ROOT_CA和CVC_CA三者的证书成链;步骤607:S607:OLT把Version(带设备商CVC/CVS)一起发给ONU;步骤608:ONU使用其版本中的CVC证书里自带的公钥对ONU版本文件进行认证,并验证CVC的扩展字段及与ROOT_CA和CVC_CA三者的证书成链。
具体实施例2:
(1)OLT开局之前,向Certificate Authority(以下简称CA)机构申请根证书ROOT_CA,得到授权并由OLT设备厂商制作二级认证证书CVC_CA,CVC_CA主要包含OLT设备厂商签发的信息,主要为对一个或多个ONU厂商的认证内容。此两份证书需放在OLT系统里,以供ONU版本升级认证时使用。
(2)由ROOT_CA和CVC_CA,共同签发制作ONU版本认证证书CVC,同时生成一对秘钥,公钥放在CVC证书中,私钥单独生成一个文件,用于对ONU版本进行数字签名。
(3)通过openssl工具,用私钥以及CVC证书,对ONU版本进行数字签名,具体为,求出版本文件的Hash值,用私钥Private Key对Hash值做加密,提取CVC证书相关信息(包括公钥、厂商、签名时间、扩展字段、证书发布时间、证书有效期等)以PKCS#7格式做在ONU版本文件里。PKCS#7格式如图7a、图7b所示。
(4)OLT支持对证书文件ROOT_CA及CVC_CA进行升级更新,以便证书到期替换及适配其它厂商ONU设备的加入。
(5)后台网管系统,相应服务端路径需放置ONU配置文件,ONU需升级的版本文件,ONU配置文件中加入需升级ONU的CVC证书信息,包括需升级ONU的设备制造商、CVC证书发布时间、ONU出厂版本时间等,用于验证升级操作是否合法。
(6)OLT开局后,通过tftp获取到ONU配置文件并解析,使得ONU设备上线,根据升级策略,ONU第一次上线需要升级ONU版本文件,这时OLT会验证配置文件中的厂商名与现网升级目标ONU的厂商名是否一致,配置文件CVC证书发布时间是否新与现网的CVC证书发布时间,配置文件CVC证书与OLT上的ROOT_CA、CVC_CA是否证书成链,证书的扩展字段是否满足X.509规范。验证通过后则从配置文件中得到tftp服务器的ip地址以及ONU版本文件名等信息并保存在OLT,将现网ONU的版本生成时间保存在OLT。不通过则退出升级流程,无需下载目标版本。此步骤完成下载前的认证,如图8所示,具体包括以下步骤:
步骤801:验证ONU配置文件中CVC证书的扩展字段Extended Key Usageextension;
步骤802:验证ONU配置文件中的CVC证书与OLT的ROOT_CA和CVC_CA证书成链;
步骤803:验证ONU配置文件中厂商Name与目标ONU的一致;
步骤804:ONU配置文件中CVC证书起始时间>=现网ONU中CVC证书的起始时间;
步骤805:更新目标ONU设备上版本签名时间到ONU配置文件中,以便后续比对。
(7)通过第6步获取的ip地址及ONU版本名,通过tftp从服务端下载ONU版本文件到OLT文件系统。考虑到DPOX规范中,对每个相同型号ONU升级都下载一次相同的目标版本,这样会极大浪费内存与cpu调度资源。故OLT在批量相同型号ONU上线时,会检测文件系统,如果有目标版本已存在,则无需下载,保持一个备份。此步骤完成OLT单拷贝的功能。
(8)下载完成后,读取ONU目标版本中的CVC证书信息,包括证书公钥、ONU设备制造厂商、ONU的CVC证书发布时间、扩展字段、证书有效期、版本签名时间等。用证书中的公钥对加密过的Hash进行解密,然后求出版本文件的Hash值,两者进行比对是否相同。相同则继续比较,目标版本中CVC证书中的厂商名与现网升级目标ONU的厂商名是否相同,前者的证书发布时间是否晚于后者的证书发布时间,前者的版本签名时间是否晚于后者的版本生成时间以及是否在证书有效期内,前者与OLT上的ROOT_CA、CVC_CA是否证书成链,证书的扩展字段是否满足X.509规范。以上验证流程如果均通过,则完成了下载目标版本后推送目标版本前的认证,有任何一项不通过则退出升级流程,删除目标版本。此步骤完成下载后对目标版本的认证,如图9所示,具体包括以下步骤:
步骤901:验证ONU目标版本中厂商Name与目标ONU的一致;
步骤902:ONU目标版本的签名时间>=目标ONU的签名时间;
步骤903:ONU目标版本的签名时间>=其证书有效起始时间;
步骤904:ONU目标版本的签名时间<=其证书有效结束时间;
步骤905:ONU目标版本的CVC证书有效起始时间>=目标ONU中CVC证书有效起始时间;
步骤906:验证ONU目标版本的CVC证书的扩展字段Extended Key Usageextension;
步骤907:验证ONU目标版本的CVC证书与OLT的ROOT_CA和CVC_CA证书成链。
(9)通过扩展OAM协议Ext-Oam,向目标ONU设备推送版本,此协议通道为加密过的,可保证数据传输的可靠性。推送的版本包括image镜像及数字签名信息。如果批量ONU升级,则同时对同一个目标版本文件进行数据读取并推送。
(10)版本传送到ONU的flash后,ONU对新接收的版本,进行再一次认证,流程与步骤(8)相同。验证通过,返回成功标志给OLT,OLT记录并控制下一次ONU上线不进行升级操作,接着OLT复位ONU使其运行新版本并上线;验证不通过则ONU返回升级失败给OLT,OLT记录并控制下一次ONU上线时继续升级操作。此步骤完成ONU对需升级版本的认证功能。
(11)OLT文件系统中的ONU目标版本文件,在升级流程完成后,则使用完毕,这时已经没有必要再存放在OLT系统中,故OLT会用一个线程对目标版本文件进行定时扫描,一定时间内对此文件没有任何的读取操作,则默认升级流程结束,删除该版本文件。此步骤完成对ONU目标版本文件的时间老化功能,如图10所示。
上述对于批量升级的单拷贝及时间老化功能,只对同一厂商同一型号的ONU批量升级的情况进行了说明,此方法同时适用于多厂商不同型号ONU批量升级的情况,原理相同,所有升级的相同的版本文件只保留一份拷贝,对所有在文件系统中保存的各型号版本文件进行扫描。对于ONU版本升级,业界已有多种技术方案实现,本发明以版本安全升级及升级效率提升的实现,来替代已有升级方式的优选实施案例。对于本领域的技术人员来说,本发明可以有各种更改及变化,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
在本实施例中还提供了一种光网络单元ONU版本的升级装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图11是根据本发明实施例的光网络单元ONU版本的升级装置的结构框图(一),如图11所示,该装置包括:接收模块1102、第一认证模块1104和升级模块1106,下面对该装置进行详细说明:
接收模块1102,用于接收通过了光线路终端OLT数字签名认证的目标ONU版本;第一认证模块1104,连接至上述中的接收模块1102,用于对上述目标ONU版本进行数字签名认证;升级模块1106,连接至上述中的第一认证模块1104,用于在认证通过的情况下根据上述目标ONU版本对待升级的ONU版本进行升级。
在一个可选的实施例中,第一认证模块1104包括:第一读取单元,用于读取上述目标ONU版本中的版本文件的认证证书CVC的证书信息,其中,所述CVC是根据根证书ROOT_CA与二级认证证书CVC_CA进行确定的;第一认证单元,用于根据签发上述CVC时生成的私钥与所述CVC的证书信息对上述目标ONU版本进行数字签名认证。
在一个可选的实施例中,上述CVC的证书信息包括:证书公钥、制造厂商、上述CVC的发布时间、上述CVC的扩展字段、上述CVC的有效期、签名时间。
在一个可选的实施例中,上述第一认证单元包括:第一认证子单元,用于根据上述证书公钥对上述目标ONU版本中用私钥加密过的Hash进行解密,得到上述目标ONU版本的初始Hash值,通过验证上述初始Hash值与OLT根据目标ONU版本文件计算的Hash值是否相同来对上述目标ONU版本进行数字签名认证;第一认证子单元,用于通过验证上述目标ONU版本的制造厂商与上述待升级的ONU版本的制造厂商是否相同来对上述目标ONU版本进行数字签名认证;第二认证子单元,用于通过验证上述目标ONU版本的上述CVC的发布时间是否晚于上述待升级的ONU版本的CVC的发布时间来对上述目标ONU版本进行数字签名认证;第三认证子单元,用于通过验证上述目标ONU版本的版本签名时间是否晚于上述待升级的ONU版本的版本签名时间来对上述目标ONU版本进行数字签名认证;第四认证子单元,用于通过验证上述目标ONU版本的版本签名是否在上述CVC的有效期内来对上述目标ONU版本进行数字签名认证;第五认证子单元,用于通过验证上述目标ONU版本的上述CVC与上述OLT中的根证书ROOT_CA、二级认证证书CVC_CA是否形成证书链来对上述目标ONU版本进行数字签名认证;第六认证子单元,用于通过验证上述目标ONU版本的上述CVC的扩展字段是否符合预定规范来对上述目标ONU版本进行数字签名认证。
在一个可选的实施例中,在对上述目标ONU版本进行数字签名认证之后,上述装置还包括:返回模块,用于在确定上述目标ONU版本通过上述数字签名认证的情况下,向上述OLT返回标识信息,其中,上述标识信息用于标识上述目标ONU版本通过上述数字签名认证。
在一个可选的实施例中,目标ONU版本包括以下内容:图像镜像;数字签名认证信息。
图12是根据本发明实施例的光网络单元ONU版本的升级装置的结构框图(二),如图12所示,该装置包括:第二认证模块1202和发送模块1204,下面对该装置进行详细说明:
第二认证模块1202,用于对目标ONU版本进行数字签名认证;发送模块1204,用于将通过上述数字签名认证的上述目标ONU版本发送到光网络单元ONU中,以指示上述ONU对上述目标ONU版本进行数字签名认证,并在认证通过的情况下根据上述目标ONU版本对待升级的ONU版本进行升级。
在一个可选的实施例中,上述第二认证模块1202包括:第一读取单元,用于读取上述目标ONU版本中的版本文件的认证证书CVC的证书信息,其中,所述CVC是根据根证书ROOT_CA与二级认证证书CVC_CA进行确定的;第二读取单元,用于根据签发上述CVC时生成的私钥与所述CVC的证书信息对上述目标ONU版本进行数字签名认证。
在一个可选的实施例中,上述CVC的证书信息包括:证书公钥、制造厂商、上述CVC的发布时间、上述CVC的扩展字段、上述CVC的有效期、签名时间。
在一个可选的实施例中,上述第二读取单元包括:第七认证子单元,用于根据上述证书公钥对上述目标ONU版本中用私钥加密过的哈希Hash值进行解密,得到上述目标ONU版本的初始Hash值,通过验证上述初始Hash值与OLT根据目标ONU版本文件计算的Hash值是否相同来对上述目标ONU版本进行数字签名认证;第八认证子单元,用于通过验证上述目标ONU版本的制造厂商与上述待升级的ONU版本的制造厂商是否相同来对上述目标ONU版本进行数字签名认证;第九认证子单元,用于通过验证上述目标ONU版本的上述CVC的发布时间是否晚于上述待升级的ONU版本的CVC的发布时间来对上述目标ONU版本进行数字签名认证;第十认证子单元,用于通过验证上述目标ONU版本的版本签名时间是否晚于上述待升级的ONU版本的版本签名时间来对上述目标ONU版本进行数字签名认证;第十一认证子单元,用于通过验证上述目标ONU版本的版本签名是否在上述CVC的有效期内来对上述目标ONU版本进行数字签名认证;第十二认证子单元,用于通过验证上述目标ONU版本的上述CVC与上述OLT中的根证书ROOT_CA、二级认证证书CVC_CA是否形成证书链来对上述目标ONU版本进行数字签名认证;第十三认证子单元,用于通过验证上述目标ONU版本的上述CVC的扩展字段是否符合预定规范来对上述目标ONU版本进行数字签名认证。
在一个可选的实施例中,上述装置还包括:更新模块,用于对上述ROOT_CA和上述CVC_CA进行更新。
在一个可选的实施例中,上述目标ONU版本包括:图像镜像;数字签名认证信息。
在一个可选的实施例中,上述装置还包括:删除模块,用于通过线程对上述目标ONU版本进行扫描,在预定时间内,上述目标ONU版本没有读取操作时,删除上述目标ONU版本。
根据本发明的又一个实施例,还提供了一种存储介质,所述存储介质包括存储的程序,其中,所述程序运行时执行上述任一项所述的方法。
根据本发明的又一个实施例,还提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述任一项所述的方法。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以上各步骤的程序代码。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种光网络单元ONU版本的升级方法,其特征在于,包括:
接收通过了光线路终端OLT数字签名认证的目标ONU版本;
对所述目标ONU版本进行数字签名认证;
在认证通过的情况下根据所述目标ONU版本对待升级的ONU版本进行升级;
其中,对所述目标ONU版本进行数字签名认证包括:
读取所述目标ONU版本中的版本文件的认证证书CVC的证书信息,其中,所述CVC是根据根证书ROOT_CA与二级认证证书CVC_CA进行确定的;
根据签发所述CVC时生成的私钥与所述CVC的证书信息对所述目标ONU版本进行数字签名认证;
其中,所述CVC的证书信息包括:
证书公钥、制造厂商、所述CVC的发布时间、所述CVC的扩展字段、所述CVC的有效期、签名时间;
其中,根据签发所述CVC时生成的私钥与所述CVC的证书信息对所述目标ONU版本进行数字签名认证包括:
根据所述证书公钥对所述目标ONU版本中用私钥加密过的哈希Hash值进行解密,得到所述目标ONU版本的初始Hash值,通过验证所述初始Hash值与所述OLT根据所述目标ONU版本文件计算的Hash值是否相同来对所述目标ONU版本进行数字签名认证;
通过验证所述目标ONU版本的制造厂商与所述待升级的ONU版本的制造厂商是否相同来对所述目标ONU版本进行数字签名认证;
通过验证所述目标ONU版本的所述CVC的发布时间是否晚于所述待升级的ONU版本的CVC的发布时间来对所述目标ONU版本进行数字签名认证;
通过验证所述目标ONU版本的版本签名时间是否晚于所述待升级的ONU版本的版本签名时间来对所述目标ONU版本进行数字签名认证;
通过验证所述目标ONU版本的版本签名是否在所述CVC的有效期内来对所述目标ONU版本进行数字签名认证;
通过验证所述目标ONU版本的所述CVC与所述OLT中的根证书ROOT_CA、二级认证证书CVC_CA是否形成证书链来对所述目标ONU版本进行数字签名认证;
通过验证所述目标ONU版本的所述CVC的扩展字段是否符合预定规范来对所述目标ONU版本进行数字签名认证。
2.根据权利要求1所述的方法,其特征在于,在对所述目标ONU版本进行数字签名认证之后,所述方法还包括:
在确定所述目标ONU版本通过所述数字签名认证的情况下,向所述OLT返回标识信息,其中,所述标识信息用于标识所述目标ONU版本通过所述数字签名认证。
3.根据权利要求1所述的方法,其特征在于,所述目标ONU版本包括以下内容:
图像镜像;
数字签名认证信息。
4.一种光网络单元ONU版本的升级方法,其特征在于,包括:
对目标ONU版本进行数字签名认证;
将通过所述数字签名认证的所述目标ONU版本发送到光网络单元ONU中,以指示所述ONU对所述目标ONU版本进行数字签名认证,并在认证通过的情况下根据所述目标ONU版本对待升级的ONU版本进行升级;
其中,对所述目标ONU版本进行数字签名认证包括:
读取所述目标ONU版本中的版本文件的认证证书CVC的证书信息,其中,所述CVC是根据根证书ROOT_CA与二级认证证书CVC_CA进行确定的;
根据签发所述CVC时生成的私钥与所述CVC的证书信息对所述目标ONU版本进行数字签名认证;
其中,所述CVC的证书信息包括:
证书公钥、制造厂商、所述CVC的发布时间、所述CVC的扩展字段、所述CVC的有效期、签名时间;
其中,根据签发所述CVC时生成的私钥与所述CVC的证书信息对所述目标ONU版本进行数字签名认证包括:
根据所述证书公钥对所述目标ONU版本中用私钥加密过的哈希Hash值进行解密,得到所述目标ONU版本的初始Hash值,通过验证所述初始Hash值与光线路终端OLT根据所述目标ONU版本文件计算的Hash值是否相同来对所述目标ONU版本进行数字签名认证;
通过验证所述目标ONU版本的制造厂商与所述待升级的ONU版本的制造厂商是否相同来对所述目标ONU版本进行数字签名认证;
通过验证所述目标ONU版本的所述CVC的发布时间是否晚于所述待升级的ONU版本的所述CVC的发布时间来对所述目标ONU版本进行数字签名认证;
通过验证所述目标ONU版本的版本签名时间是否晚于所述待升级的ONU版本的版本签名时间来对所述目标ONU版本进行数字签名认证;
通过验证所述目标ONU版本的版本签名是否在所述CVC的有效期内来对所述目标ONU版本进行数字签名认证;
通过验证所述目标ONU版本的所述CVC与所述OLT中的根证书ROOT_CA、二级认证证书CVC_CA是否形成证书链来对所述目标ONU版本进行数字签名认证;
通过验证所述目标ONU版本的所述CVC的扩展字段是否符合预定规范来对所述目标ONU版本进行数字签名认证。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
对所述ROOT_CA和所述CVC_CA进行更新。
6.根据权利要求4所述的方法,其特征在于,所述目标ONU版本包括:
图像镜像;
数字签名认证信息。
7.根据权利要求4所述的方法,其特征在于,所述方法还包括:
通过线程对所述目标ONU版本进行扫描,在预定时间内,所述目标ONU版本没有读取操作时,删除所述目标ONU版本。
8.一种光网络单元ONU版本的升级装置,其特征在于,包括:
接收模块,用于接收通过了光线路终端OLT数字签名认证的目标ONU版本;
第一认证模块,用于对所述目标ONU版本进行数字签名认证;
升级模块,用于在认证通过的情况下根据所述目标ONU版本对待升级的ONU版本进行升级;
其中,所述第一认证模块包括:
第一读取单元,用于读取所述目标ONU版本中的版本文件的认证证书CVC的证书信息,其中,所述CVC是根据根证书ROOT_CA与二级认证证书CVC_CA进行确定的;
第一认证单元,用于根据签发所述CVC时生成的私钥与所述CVC的证书信息对所述目标ONU版本进行数字签名认证;
其中,所述CVC的证书信息包括:
证书公钥、制造厂商、所述CVC的发布时间、所述CVC的扩展字段、所述CVC的有效期、签名时间;
其中,所述第一认证单元包括:
第一认证子单元,用于根据所述证书公钥对所述目标ONU版本中用私钥加密过的哈希Hash值进行解密,得到所述目标ONU版本的初始Hash值,通过验证所述初始Hash值与所述OLT根据所述目标ONU版本文件计算的Hash值是否相同来对所述目标ONU版本进行数字签名认证;
第一认证子单元,用于通过验证所述目标ONU版本的制造厂商与所述待升级的ONU版本的制造厂商是否相同来对所述目标ONU版本进行数字签名认证;
第二认证子单元,用于通过验证所述目标ONU版本的所述CVC的发布时间是否晚于所述待升级的ONU版本的所述CVC的发布时间来对所述目标ONU版本进行数字签名认证;
第三认证子单元,用于通过验证所述目标ONU版本的版本签名时间是否晚于所述待升级的ONU版本的版本签名时间来对所述目标ONU版本进行数字签名认证;
第四认证子单元,用于通过验证所述目标ONU版本的版本签名是否在所述CVC的有效期内来对所述目标ONU版本进行数字签名认证;
第五认证子单元,用于通过验证所述目标ONU版本的所述CVC与所述OLT中的根证书ROOT_CA、二级认证证书CVC_CA是否形成证书链来对所述目标ONU版本进行数字签名认证;
第六认证子单元,用于通过验证所述目标ONU版本的所述CVC的扩展字段是否符合预定规范来对所述目标ONU版本进行数字签名认证。
9.一种光网络单元ONU版本的升级装置,其特征在于,包括:
第二认证模块,用于对目标ONU版本进行数字签名认证;
发送模块,用于将通过所述数字签名认证的所述目标ONU版本发送到光网络单元ONU中,以指示所述ONU对所述目标ONU版本进行数字签名认证,并在认证通过的情况下根据所述目标ONU版本对待升级的ONU版本进行升级;
其中,所述第二认证模块包括:
第一读取单元,用于读取所述目标ONU版本中的版本文件的认证证书CVC的证书信息,其中,所述CVC是根据根证书ROOT_CA与二级认证证书CVC_CA进行确定的;
第二读取单元,用于根据签发所述CVC时生成的私钥与所述CVC的证书信息对所述目标ONU版本进行数字签名认证;
其中,所述CVC的证书信息包括:
证书公钥、制造厂商、所述CVC的发布时间、所述CVC的扩展字段、所述CVC的有效期、签名时间;
其中,所述第二读取单元包括:
第七认证子单元,用于根据所述证书公钥对所述目标ONU版本中用私钥加密过的哈希Hash值进行解密,得到所述目标ONU版本的初始Hash值,通过验证所述初始Hash值与光线路终端OLT根据所述目标ONU版本文件计算的Hash值是否相同来对所述目标ONU版本进行数字签名认证;
第八认证子单元,用于通过验证所述目标ONU版本的制造厂商与所述待升级的ONU版本的制造厂商是否相同来对所述目标ONU版本进行数字签名认证;
第九认证子单元,用于通过验证所述目标ONU版本的所述CVC的发布时间是否晚于所述待升级的ONU版本的所述CVC的发布时间来对所述目标ONU版本进行数字签名认证;
第十认证子单元,用于通过验证所述目标ONU版本的版本签名时间是否晚于所述待升级的ONU版本的版本签名时间来对所述目标ONU版本进行数字签名认证;
第十一认证子单元,用于通过验证所述目标ONU版本的版本签名是否在所述CVC的有效期内来对所述目标ONU版本进行数字签名认证;
第十二认证子单元,用于通过验证所述目标ONU版本的所述CVC与所述OLT中的根证书ROOT_CA、二级认证证书CVC_CA是否形成证书链来对所述目标ONU版本进行数字签名认证;
第十三认证子单元,用于通过验证所述目标ONU版本的所述CVC的扩展字段是否符合预定规范来对所述目标ONU版本进行数字签名认证。
10.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序运行时使处理器执行权利要求1至7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710479986.9A CN109120419B (zh) | 2017-06-22 | 2017-06-22 | 光网络单元onu版本的升级方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710479986.9A CN109120419B (zh) | 2017-06-22 | 2017-06-22 | 光网络单元onu版本的升级方法、装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109120419A CN109120419A (zh) | 2019-01-01 |
| CN109120419B true CN109120419B (zh) | 2023-06-20 |
Family
ID=64732554
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710479986.9A Active CN109120419B (zh) | 2017-06-22 | 2017-06-22 | 光网络单元onu版本的升级方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109120419B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112055270B (zh) * | 2019-06-05 | 2023-03-21 | 中兴通讯股份有限公司 | 一种支持DPoG技术的GPON系统、设备接入方法及OLT |
| CN111131246B (zh) * | 2019-12-24 | 2022-06-28 | 南京南瑞继保工程技术有限公司 | 一种适用于电力系统嵌入式设备的信息升级、备份方法和系统 |
| CN115174392B (zh) * | 2022-09-07 | 2023-01-31 | 武汉长光科技有限公司 | 光网络单元onu的升级方法、服务器和存储介质 |
| CN115396758B (zh) * | 2022-10-31 | 2023-07-28 | 深圳市亿联无限科技有限公司 | 一种olt通过omci升级onu的方法和系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105391717A (zh) * | 2015-11-13 | 2016-03-09 | 福建联迪商用设备有限公司 | 一种apk签名认证方法及其系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102064939B (zh) * | 2009-11-13 | 2013-06-12 | 福建联迪商用设备有限公司 | Pos文件认证的方法及认证证书的维护方法 |
| CN103108262B (zh) * | 2013-03-07 | 2016-03-23 | 烽火通信科技股份有限公司 | Gpon系统中光网络单元配置文件升级的方法 |
-
2017
- 2017-06-22 CN CN201710479986.9A patent/CN109120419B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105391717A (zh) * | 2015-11-13 | 2016-03-09 | 福建联迪商用设备有限公司 | 一种apk签名认证方法及其系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109120419A (zh) | 2019-01-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11943376B1 (en) | Template based credential provisioning | |
| EP3567888B1 (en) | Method for updating certificate issuer public key, and related device and system | |
| CN109417545B (zh) | 下载网络接入简档的方法、安全模块、移动终端和介质 | |
| CN109120419B (zh) | 光网络单元onu版本的升级方法、装置及存储介质 | |
| US9923724B2 (en) | Method and apparatus for installing profile | |
| EP2326047B1 (en) | Method and system for terminal configuration and management | |
| CN108848496B (zh) | 基于TEE的虚拟eSIM卡的认证方法、TEE终端和管理平台 | |
| CN112203271B (zh) | 一种通信连接方法、装置及系统 | |
| EP1712992A1 (en) | Updating of data instructions | |
| CN110688648B (zh) | 安全芯片固件更新方法及装置 | |
| CN111783068A (zh) | 设备认证方法、系统、电子设备及存储介质 | |
| CN109492371B (zh) | 一种数字证书空发方法及装置 | |
| CN110650478A (zh) | Ota方法、系统、设备、se模块、程序服务器和介质 | |
| CN100571470C (zh) | 一种修改终端配置的方法,网络侧管理单元、终端和系统 | |
| CN104796255A (zh) | 一种客户端的安全认证方法、设备及系统 | |
| CN112533211A (zh) | eSIM卡的证书更新方法和系统以及存储介质 | |
| CN115134154B (zh) | 认证方法、装置、远程控制车辆的方法及系统 | |
| CN112040484A (zh) | 密码更新方法及装置、存储介质、电子装置 | |
| WO2014169802A1 (zh) | 终端、网络侧设备、终端应用控制方法及系统 | |
| CN116232766B (zh) | 一种基于ota的数据加密系统及方法 | |
| CN113169953B (zh) | 用于验证设备或用户的方法和装置 | |
| CN110636473A (zh) | 车辆蓝牙通信方法、装置、电子设备及可读存储介质 | |
| CN110830243A (zh) | 对称密钥分发方法、装置、车辆及存储介质 | |
| CN112219416A (zh) | 用于认证通过蜂窝网络传输的数据的技术 | |
| CN113098933B (zh) | 一种远程安装认证应用的方法、eUICC及SM-SR |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |