CN111526107A - 一种网络设备认证方法、装置和存储介质 - Google Patents
一种网络设备认证方法、装置和存储介质 Download PDFInfo
- Publication number
- CN111526107A CN111526107A CN201910103616.4A CN201910103616A CN111526107A CN 111526107 A CN111526107 A CN 111526107A CN 201910103616 A CN201910103616 A CN 201910103616A CN 111526107 A CN111526107 A CN 111526107A
- Authority
- CN
- China
- Prior art keywords
- network
- olt
- virtual
- authentication
- function entity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q11/00—Selecting arrangements for multiplex systems
- H04Q11/0001—Selecting arrangements for multiplex systems using optical switching
- H04Q11/0062—Network aspects
- H04Q11/0067—Provisions for optical access or distribution networks, e.g. Gigabit Ethernet Passive Optical Network (GE-PON), ATM-based Passive Optical Network (A-PON), PON-Ring
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种网络设备认证方法、装置和存储介质,针对网络功能虚拟化的应用场景中,保证网络设备之间认证结果的可靠性,提高网络访问的安全性。网络设备认证方法,应用于网络功能虚拟化的无源光纤网络PON中;所述方法,包括:在第一网络设备与第二网络设备进行双向认证过程中,虚拟网络功能实体接收所述第二网络设备发送的属性值改变AVC消息,所述AVC消息用于通知所述虚拟网络功能实体认证结果表属性已建立,所述认证结果表属性为所述第二网络设备利用所述第一网络设备的第一设备标识确定出的,所述第一设备标识为所述第二网络设备在注册过程中获得的;所述虚拟网络功能实体获取所述第二网络设备认证结果表。
Description
技术领域
本发明涉及计算机网络技术领域,尤其涉及一种网络设备认证方法、装置和存储介质。
背景技术
PON(Passive Optical Network,无源光纤网络)技术是构建于无源光分配网络上(ODN)的宽带接入技术,向上连接CMMET(中国移动互联网)城域网、IMS(IP MultimediaSubsystem,IP多媒体子系统)、CATV(Community Antenna Television,有线电视网)等网络,向下连接各类用户终端,主要承载普通集团专线、家庭宽带接入和WLAN(无线局域网)热点接入。xGPON(x Gigabit-Capable PON)凭借技术上的优势(更高带宽、更大分路比等)成为主流的PON技术之一。XGPON指满足ITU-T(国际电联电信标准化部门)ONU(OpticalNetwork Unit,光网络单元)管理控制接口规范要求的PON技术,包括但不限于GPON(Gigabit-Capable PON)、XG-PON(非对称)、XGS-PON(对称)。如图1所示,其为传统的xGPON系统架构示意图,传统架构下xGPON的OLT(Optical Line Terminal,光线路终端)和ONU之间的认证机制有三种,其中一种为基于OMCI(ONU Management and Control Interface,光网络单元管理控制接口)接口的OLT和ONU之间的双向认证。
由于传统的xGPON系统架构下,OLT OMCI功能模块(认证流程发起端)与实体OLT设备耦合,因此,能够保证认证结果的可靠性,但是,在新一代网络通信系统中,网络设备功能虚拟化后,OMCI功能模块虚拟化,其与实体OLT设备解耦,这样,就存在一个虚拟OLT可能对应多个实体OLT OMCI功能模块的问题,而如何在网络功能虚拟化后实现OLT与ONU之间的认证,保证网络访问的安全性,成为现有技术中亟待解决的技术问题之一。
发明内容
本发明实施例提供一种网络设备认证方法、装置和存储介质,针对网络功能虚拟化的应用场景中,保证网络设备之间认证结果的可靠性,提高网络访问的安全性。
第一方面,提供一种网络设备认证方法,应用于网络功能虚拟化的无源光纤网络PON中;
所述方法,包括:
在第一网络设备与第二网络设备进行双向认证过程中,虚拟网络功能实体接收所述第二网络设备发送的属性值改变AVC消息,所述AVC消息用于通知所述虚拟网络功能实体认证结果表属性已建立,所述认证结果表属性为所述第二网络设备利用所述第一网络设备的第一设备标识确定出的,所述第一设备标识为所述第二网络设备在注册过程中获得的;
所述虚拟网络功能实体获取所述第二网络设备认证结果表。
可选地,所述第一设备标识为所述第二网络设备按照以下流程获得的:
虚拟网络功能实体接收所述第一网络设备发送的第一激活请求,所述第一激活请求中携带有所述第一设备标识和所述第二网络设备的第二设备标识,其中,所述第一激活请求为所述第一网络设备接收到所述第二网络设备发送的第二激活请求后发送的,所述第二激活请求中携带有所述第二设备标识;
所述虚拟化网络功能实体建立所述第一设备标识和第二设备标识之间的对应关系,并向所述第二网络设备发送所述第一设备标识。
可选地,所述第一网络设备为光线路终端OLT,所述第二网络设备为光网络单元ONU,所述虚拟网络功能实体为虚拟OLT。
可选地,虚拟网络功能实体接收所述第二网络设备发送的属性值改变AVC消息,具体包括:
虚拟网络功能实体通过虚拟光网络单元管理控制接口OMCI接收所述第二网络设备发送的属性值改变AVC消息;以及
所述虚拟网络功能实体获取所述第二网络设备认证结果表,具体包括:
所述虚拟网络功能实体通过所述虚拟OMCI接口读取所述第二网络设备认证结果表。
第二方面,提供一种网络设备认证方法,应用于网络功能虚拟化的无源光纤网络PON中;
所述方法,包括:
第二网络设备获得虚拟网络功能实体发送的第一网络设备的第一设备标识;
所述第二网络设备在与第一网络设备进行双向认证过程中,利用所述第一设备标识确定认证结果表;
所述第二网络设备向所述虚拟网络功能实体发送属性值改变AVC消息,所述AVC消息用于通知所述虚拟网络功能实体所述认证结果表属性已建立。
可选地,第二网络设备获得虚拟网络功能实体发送的第一网络设备的第一设备标识,具体包括:
所述第二网络设备向所述第一网络设备发送第二激活请求,所述第二激活请求中携带有所述第二网络设备的第二设备标识,由所述第一网络设备根据所述第二激活请求向所述虚拟网络功能实体发送第一激活请求,所述第一激活请求中携带有第一设备标识和第二设备标识;
接收所述虚拟网络功能实体发送的第一设备标识,所述第一设备标识为所述虚拟网络功能实体根据所述第一激活请求建立所述第一设备标识和第二设备标识之间的对应关系后发送的。
可选地,所述第一网络设备为光线路终端OLT,所述第二网络设备为光网络单元ONU,所述虚拟网络功能实体为虚拟OLT。
可选地,所述第二网络设备向所述虚拟网络功能实体发送属性值改变AVC消息,具体包括:
所述第二网络设备通过虚拟光网络单元管理控制接口OMCI向所述虚拟网络功能实体发送AVC消息。
第三方面,提供一种网络设备认证装置,应用于网络功能虚拟化的无源光纤网络PON中;
所述装置,包括:
接收单元,用于在第一网络设备与第二网络设备进行双向认证过程中,接收第二网络设备发送的属性值改变AVC消息,所述AVC消息用于通知认证结果表属性已建立,所述认证结果表属性为所述第二网络设备利用所述第一网络设备的第一设备标识确定出的,所述第一设备标识为所述第二网络设备在注册过程中获得的;
获取单元,用于获取所述第二网络设备认证结果表。
可选地,所述接收单元,还用于接收所述第一网络设备发送的第一激活请求,所述第一激活请求中携带有所述第一设备标识和所述第二网络设备的第二设备标识,其中,所述第一激活请求为所述第一网络设备接收到所述第二网络设备发送的第二激活请求后发送的,所述第二激活请求中携带有所述第二设备标识;
映射单元,用于建立所述第一设备标识和第二设备标识之间的对应关系,并向所述第二网络设备发送所述第一设备标识。
可选地,所述第一网络设备为光线路终端OLT,所述第二网络设备为光网络单元ONU,所述网络设备认证装置设置于虚拟网络功能实体OLT中。
可选地,所述接收单元,用于通过虚拟光网络单元管理控制接口OMCI接收所述第二网络设备发送的属性值改变AVC消息;
所述获取单元,用于通过所述虚拟OMCI接口读取所述第二网络设备认证结果表。
第四方面,提供一种网络设备认证装置,应用于网络功能虚拟化的无源光纤网络PON中,所述网络设备认证装置设置于第二网络设备中;
所述装置,包括:
获得单元,用于获得虚拟网络功能实体发送的第一网络设备的第一设备标识;
确定单元,用于在与第一网络设备进行双向认证过程中,利用所述第一设备标识确定认证结果表;
发送单元,用于向所述虚拟网络功能实体发送属性值改变AVC消息,所述AVC消息用于通知所述虚拟网络功能实体所述认证结果表属性已建立。
可选地,所述获得单元,具体用于向所述第一网络设备发送第二激活请求,所述第二激活请求中携带有所述第二网络设备的第二设备标识,由所述第一网络设备根据所述第二激活请求向所述虚拟网络功能实体发送第一激活请求,所述第一激活请求中携带有第一设备标识和第二设备标识;接收所述虚拟网络功能实体发送的第一设备标识,所述第一设备标识为所述虚拟网络功能实体根据所述第一激活请求建立所述第一设备标识和第二设备标识之间的对应关系后发送的。
可选地,所述第一网络设备为光线路终端OLT,所述第二网络设备为光网络单元ONU,所述虚拟网络功能实体为虚拟OLT。
可选地,所述发送单元,具体用于通过虚拟光网络单元管理控制接口OMCI向所述虚拟网络功能实体发送AVC消息。
第五方面,提供一种计算装置,包括至少一个处理器、以及至少一个存储器,其中,所述存储器存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行上述任一网络设备认证方法所述的任一步骤。
第六方面,提供一种计算机可读介质,其存储有可由计算装置执行的计算机程序,当所述程序在计算装置上运行时,使得所述计算装置执行上述任一网络设备认证方法所述的任一步骤。
本发明实施例提供的网络设备认证方法、装置和存储介质中,在第一网络设备与第二网络设备进行双向认证的过程中引入第一网络设备的设备标识来标识第一网络设备,这样,在虚拟网络功能实体可以根据第一网络设备的设备标识建立第一网络设备与第二网络设备之间的对应关系,并据此完成第一网络设备与第二网络设备之间的认证,保证网络访问的安全性。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为现有技术中,传统的xGPON系统结构示意图;
图2为根据本发明实施方式的基于OMCI的双向认证处理流程示意图;
图3为根据本发明实施方式的应用于网络功能虚拟化的PON网络中的基于OMCI的双向认证处理流程示意图;
图4为根据本发明实施方式的网络设备激活流程示意图;
图5a为根据本发明实施方式的网络功能虚拟化后的xGPON系统结构示意图;
图5b为根据本发明实施方式的网络功能虚拟化后,OLT设备与ONU设备之间的网络连接结构示意图。
图6为根据本发明实施方式的OLT与ONU之间进行双向认证时的消息交互流程示意图;
图7为根据本发明实施方式的又一网络设备认证方法的实施流程示意图;
图8为根据本发明实施方式的网络设备认证装置的结构示意图;
图9为根据本发明实施方式的又一网络设备认证装置的结构示意图;
图10为根据本发明实施方式的计算装置的结构示意图。
具体实施方式
为了提高网络设备功能虚拟化中网络设备认证结果的可靠性,提高网络访问的安全性,本发明实施例提供了一种网络设备认证方法、装置和存储介质。
本发明实施例中的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。
在本文中提及的“多个或者若干个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
为了提高PON网络安全性,可以通过使用OMCI(ONU Management and ControlInterface,光网络单元管理控制接口)来交换安全参数和数据,OMCI可用于提供多个安全特征,例如,安全能力发现、ONU认证、OLT认证、密钥保密,或其组合等等。其中,ONU认证功能可使得OLT能够验证ONU是经授权的用户和/或满足一个或一个以上安全限定标准。在一实施例中,OLT可经由OMCI与ONU交换用于ONU认证的信息。举例来说,ONU认证程序可包括挑战响应认证程序,其可使用OMCI建立于OLT与ONU之间。在挑战响应认证程序期间,OLT可经由OMCI将呈随机数形式的挑战,例如随机产生的数字,发送到ONU。随后,ONU可经由OMCI将包括随机数与相互共享的秘密的散列组合的响应发送到OLT。举例来说,OLT可将随机数写入ONU的OMCIME中,且随后从OMCIME读取散列组合。OLT可通过验证所述散列组合实质上等于可通过OLT独立于散列组合计算出的ONU认证值而验证ONU。在一些实施例中,OLT可在确定散列组合实质上等于ONU认证值之后经由OMCI将ONU认证确认消息发送到ONU。ONU认证确认消息可指示ONU已由OLT认证。
OLT认证功能可使得ONU能够验证OLT是例如指派给ONU的合法OLT和/或满足一个或一个以上安全限定标准。在一实施例中,ONU可经由OMCI与OLT交换OLT认证所必需的信息。举例来说,OLT认证可包括挑战响应认证程序,其可使用OMCI建立于OLT与ONU之间。在挑战响应认证程序期间,ONU可经由OMCI将呈随机数的形式的挑战发送到OLT。作为响应,OLT可经由OMCI将含有随机数与相互共享的秘密的散列组合的消息发送到ONU。举例来说,OLT可从ONU处的OMCIME读取随机数,且随后在所述OMCI ME处写入散列组合。ONU可将散列组合与由ONU计算出的OLT认证值进行比较,以认证OLT。
在一些实施例中,ONU可在确认散列组合实质上等于OLT认证值之后经由OMCI将OLT认证确认消息发送到OLT。散列组合和OLT认证值可分别由OLT和ONU独立地计算。此外,用于OLT认证程序中的随机数和散列组合可不同于ONU认证程序中所使用的随机数和散列组合。
基于OMCI的双向认证使用G.988的OMCI,在OLT和ONU之间使用332号实体交互,即可以完成基于OMCI的双向认证。XG-PON基于OMCI的双向认证主要是通过Enhancedsecurity control ME(增强型安全控制管理实体)实现,Enhanced security control ME包括多个ME属性,ME属性可包括ME ID属性、OLT密码能力属性、OLT随机挑战表属性、OLT挑战状态属性、ONU选定的密码能力属性、ONU随机挑战表属性、ONU认证结果表属性、OLT认证结果表属性、OLT结果状态属性、ONU认证状态属性、主会话密钥名称属性、广播密钥表属性、有效密钥长度属性,或其组合,相关的详细描述如下所述:
Managed entity id(ME标识):2字节的实体ID,实体号332。
OLT crypto capabilities(OLT密码能力):认证第一阶段中,OLT通过这个能力集向ONU报告局端的加解密能力,1表示支持,0表示不支持。该属性总共16字节,目前只使用前面的3个bit,后面的125个bit都暂不使用。
OLT密码能力属性可指定OLT可用或支持的密码机制中的一者或一者以上。在一实施例中,OLT密码能力属性可被格式化为位图,其中位图中的位中的每一者可对应于一算法,如表1中所示。因此,位可被设定为1,以指示对应的密码或认证算法由OLT支持,或设定为0,以指示对应的算法不受OLT支持。OLT密码能力属性可为可写的,且长度为约16字节。在一些情况下,OLT密码能力属性中的每一位可被设定为0,以指示OLT不支持任何算法。
表1
| 位位置 | 算法 |
| 1(LSB) | AES-CMAC-128 |
| 2 | HMAC-SHA-256 |
| 3 | HMAC-SHA-512 |
| 4-128 | 保留 |
具体来说,位图中的不同位位置可对应于不同的密码算法。举例来说,位位置1(最低有效位(LSB))可对应于AES-CMAC-128算法,位位置2可对应于HMAC-SHA-256算法,位位置3可对应于HM C-SHA-512算法,且位位置4到128可保留。
OLT random challenge table(OLT随机挑战表):大小为17*N bytes,这个属性描述的是在认证第一阶段OLT发出的随机挑战数据,组建成一张表,每个表项17个字节。第一个字节是表项序列号,后面16个字节是表项内容。通常用法是OLT写下所有的表项,这样触发ONU使用OLT挑战状态属性处理整张表(OLT随机挑战表)。OLT随机挑战表的大小是OLT的最大索引表示。OLT可以通过设置操作设置0来清除表项。这个表项总共16×N个字节,目前N的大小在标准里面还没有说明,可选命令行配置,也可以直接限定为默认值。
OLT随机挑战表属性可指定由OLT在认证序列期间发布的随机挑战。在一实施例中,OLT随机挑战表属性可为包括可由管理者确定的N个条目(N为整数)的表。数据表中的每一条目可具有固定长度,例如约17字节,其中每一条目的第一字节可包括条目索引或条目识别符,且每一条目的剩余字节可包括内容。OLT可将所述条目写入表中,且随后例如使用OLT挑战状态属性来触发ONU处理所述表条目。由于OLT随机挑战表属性可具有可变数目个条目(例如,N个),所以随机挑战的长度且因此复杂性可在需要时增加,以改进认证功能的安全性。OLT随机挑战表属性可为可读的、可写的,且长度为约17×N个字节。
OLT challenge status(OLT挑战状态):1字节属性,认证第一阶段使用的二进制属性,控制和报告OLT加密能力和随机挑战表属性,作为随机挑战表属性的时候,0表示ME未完成,1表示完成。属性表示如下:如果OLT写OLT加密能力或者OLT随机挑战表,OLT的挑战状态属性变为无效;如果OLT挑战状态属性是无效的且OLT设置挑战状态属性为有效,ONU使用选好的加密的hash算法来处理OLT加密能力集和OLT随机挑战表的内容;ONU初始化这个属性为无效。
OLT挑战状态属性可用于控制并报告OLT密码能力属性和/或OLT随机挑战表属性的状态。在一实施例中,OLT挑战状态属性可为布尔属性,其可在OLT密码能力属性和/或OLT随机挑战表属性是完整时被设定为第一或真布尔值(例如,为1),或在OLT密码能力属性和/或OLT随机挑战表属性不完整时被设定为第二或假布尔值(例如,为0)。举例来说,OLT可在写入OLT密码能力属性和/或OLT随机挑战表属性之前或在写入OLT密码能力属性和/或OLT随机挑战表属性时将OLT挑战状态属性设定为假值(例如,为0)。随后,OLT可在完成写入OLT密码能力属性和/或OLT随机挑战表属性的过程后即刻将OLT挑战状态属性设定为真值(例如,为1)。OLT可将OLT挑战状态属性设定为假值,将多个条目写入OLT密码能力属性和/或OLT随机挑战表属性中,将OLT挑战状态属性设定为真值,且因此触发ONU来处理OLT密码能力属性和/或OLT随机挑战表属性的内容。OLT挑战状态属性可为可读的、可写的,且长度为1个字节。
ONU selected crypto capabilities(ONU选定的密码能力):1字节属性,ONU选择的加密能力:认证第二阶段中ONU选择的加密能力,依据OLT支持的加密能力做选择(AES-CMAC-128、HMAC-SHA-256、HMAC-SHA-512等)。
ONU选定的密码能力属性可指定由ONU例如在认证序列中选择的密码能力。ONU选定的密码能力属性可被设定为一值,所述值指示由OLT例如在OLT密码能力属性中支持的算法。所述值可指定位位置中的曾在OLT密码能力属性中被设定为1的一个位位置。
ONU random challenge table:ONU随机挑战表,认证第二阶段中ONU发出的随机挑战数据。表示成为一张表,每个表项有16个字节的内容。当OLT使用OLT挑战状态属性来触发ONU的响应,ONU发出响应并且写这个表。属性值的变化消息告诉OLT挑战已经准备好了,这样OLT可以通过get/get-next操作来获取这张表的内容。这个表项总共16×P个字节,目前P的大小在标准里面还没有说明,可选命令行配置,也可以直接限定为默认值。
ONU随机挑战表属性可指定由ONU在认证序列期间发布的随机挑战。在一实施例中,ONU随机挑战表属性可为包括可由管理者设定的P个条目(P为整数)的表。数据表中的每一条目可具有固定长度,例如约16字节,其中每一条目的第一字节可包括条目索引或条目识别符,且每一条目的剩余字节可包括内容。ONU可响应于OLT产生OLT挑战状态属性而写入ONU随机挑战表属性。在产生了ONU随机挑战表属性之后,ONU可例如使用属性值改变(AVC)动作来向OLT通知挑战表已建立以触发OLT开始取得/取得下一个序列来获得表内容。由于ONU随机挑战表属性可具有可变数目个条目,所以随机挑战的长度且因此复杂性可能会增加,以改进认证功能的安全性。ONU随机挑战表属性可为可读的、可写的,且长度为约16×P个字节。
ONU authentication result table(ONU认证结果表):ONU认证结果,认证第二阶段使用的属性,包含ONU的认证计算结果,认证的结果:
SelectedHashFunction(PSK,(ONU_selected_crypto capabilities|OLT_random_challenge_table|ONU_random_challenge_table|0x0000 0000 00000000),“|”表示串联。ONU在收到OLT通知启动加密认证的通知(OLT challenge status由0到1)后,计算出认证结果,并且发送AVC消息给OLT,这样,OLT就可以通过get/get-next操作来获取这个表项的内容进行下一步的认证操作。这个表项一共16×Q个字节,Q个表项,是OLT RCT和ONURCT的计算结果。Q=N+P+2。
具体地,ONU认证结果表属性可根据ONU的选定的密码能力属性而指定来自ONU的认证挑战的结果。ONU认证结果表属性的值可使用由ONU选定的散列函数而产生,且ONU_selected_crypto_capabilities表示由ONU选择的密码能力。
在一实施例中,ONU认证结果表属性可为包括可由管理者确定的Q个条目(Q为整数)的数据表。数据表中的每一条目可具有固定长度,例如约16字节。ONU可响应于OLT产生OLT挑战状态属性而写入ONU认证结果表属性。在产生了ONU认证结果表属性之后,ONU可例如使用AVC消息或通知来向OLT通知表已建立以触发OLT开始取得/取得下一个序列来获得表内容。由于ONU认证响应表属性可具有可变数目个条目,所以散列组合的长度且因此复杂性可在需要时增加,以改进ONU认证功能的安全性。ONU认证结果表属性可为可读的,且长度为约16×Q个字节。
OLT authentication result table(OLT认证结果表):OLT认证结果,认证第三阶段使用,包含OLT的认证计算结果:SelectedHashFunction(PSK,(ONU_selected_cryptocapabilities|ONU_random_challenge_table|OLT_random_challenge_table|ONU_serial_number)。
ONU_serial number是ONU-G ME的序号属性,其可由ONU序号属性指定。设置第一项会清除这个表,这个表项一共16×R个字节,R个表项,是OLT RCT和ONU RCT的计算结果。R=Q。
在一实施例中,OLT认证结果表属性可为包括可由管理者设定的R个条目(R为整数)的数据表。数据表中的每一条目可具有固定长度,例如约17字节,其中每一条目的第一字节可包括条目索引或条目识别符,且其中每一条目的剩余字节可包括内容。OLT可在OLT认证结果表属性中写入所述条目,且随后触发ONU来用OLT结果状态属性来处理所述表。由于OLT认证结果表可具有可变数目个条目,所以所述结果的长度且因此复杂性可在需要时增加,以改进OLT认证功能的安全性。OLT认证响应表可为可写的,且长度为约17×R个字节。
OLT result status(OLT结果状态):认证第三步阶段使用的属性,1个字节的属性,用来表征和控制OLT认证结果状态表属性,0表示未完成,1表示完成。
OLT写入OLT认证结果表项,OLT结果状态变为无效,如果OLT结果状态是无效的而OLT设置了结果状态为有效,那么ONU启动算法处理OLT认证结果表。
OLT结果状态属性可用于控制和/或报告OLT认证结果表属性的状态。在一实施例中,OLT结果状态属性可为布尔属性,所述布尔属性可在ONU认证结果表属性为完整时被设定为1的真值,或在ONU认证结果表属性不完整时被设定为0的假布尔值。举例来说,OLT可在写入OLT认证结果表属性之前或在写入OLT认证结果表属性时将OLT结果状态属性设定为假(例如,为0),且随后在完成将结果写入到OLT认证结果表属性的过程后即刻将OLT结果状态属性设定为真(例如,为1)。OLT可将OLT认证结果状态属性设定为假,将多个条目写入到OLT认证结果表属性,将OLT结果状态属性设定为真,且因此触发ONU处理OLT结果表属性。OLT结果状态属性可为可读的、可写的,且长度为1个字节。
ONU authentication state(ONU认证状态):1字节属性,ONU认证状态机的状态,密钥交换必须先完成到状态3。
ONU认证状态属性可指示来自ONU的认证关系的状态。ONU认证状态属性可具有为0的值,以指示ONU处于认证程序不活动的非活动状态S0。ONU认证状态属性可具有为1的值,以指示ONU处于例如在认证程序在进行中时的OLT挑战待决状态S1。ONU认证状态属性可具有为2的值,以指示ONU处于ONU挑战待决状态S2。ONU认证状态属性可具有为3的值,以指示ONU处于例如在完成了认证程序且ONU已认证OLT时的认证成功状态S3。ONU认证状态属性可具有约四的值,以指示ONU处于例如在完成了认证程序且ONU未认证OLT时的认证失败状态S4。或者,ONU认证状态属性可具有为5的值,以指示ONU处于例如在认证程序已开始但无法完成时的认证错误状态S5。当ONU认证属性具有为3的值,例如处于认证成功状态S2时,可例如使用G.984中所描述的主会话密钥或G.987中所描述的密钥加密密钥在传送器(TC)层中交换多个加密密钥,G.984中所描述的主会话密钥或G.987中所描述的密钥加密密钥以全文引入的方式并入本文中。OLT可在起始密钥开关之前检查ONU认证状态属性的值。另外,OLT可告警ONU认证状态属性的状态的改变,例如由于经由OMCI信道从ONU接收到AVC消息或通知而从状态S1到状态S2的改变。ONU认证状态属性可为可读的,且长度为1字节。
Master session key name(主会话密钥名称):认证成功后生成Master sessionkey。定义如下:SelectedHashFunction(PSK,(OLT random_challenge|ONU randomchallenge))。master session key名字如下:
SelectedHashFunction(PSK,(ONU random challenge|OLT random challenge|0x 3141 5926 5358 9793 3141 5926 5358 9793))。名字如果超过128bit,就截断到128bit。Master session key重新初始化为0。
Broadcast key table:广播密钥表,广播密钥表属性可包括由OLT产生的广播密钥。广播密钥表属性可包括一表,所述表包括一个或一个以上行。每一行可包括行控制部分、行识别符部分,和密钥分片部分。所述行控制可包括约一个字节,所述行识别符也可包括约一个字节,且所述密钥分片可包括约16字节。因而,所述广播密钥表属性可为可读的和可写的,任选的,且长度为约18×N字节。
所述行控制可描述将对指定行,例如,由行识别符指定的行采取的动作。行控制中的约两个LSB可确定在设定动作下的属性的行为,如表2中所示。
表2
| LSB | 设定动作下的行为 |
| 00 | 设置特定的表项 |
| 01 | 清除特定的表项 |
| 10 | 清除整块表 |
| 11 | 保留 |
表2中的表项如下:Row control(1byte):最低的两个bit控制表项的操作:00设置特定的表项
01清除特定的表项
10清除整块表
11保留
最高4bit表示密钥的长度,0表示16字节
Row identifier(行识别符):1byte属性,最高两bit是用于XGEM帧结构里面的密钥序号,0表示未加密XGEM,不会在这张表里出现。最低的4个bit表示密钥片段的序号,序号从0开始。
行识别符中的约两个MSB可表示密钥索引,所述密钥索引可出现在经加密的多播GPON加密方法(GEM)帧的标头处。约零的密钥索引可指示明码文本,且因此不可出现在行识别符中。行识别符中的约四个LSB可识别密钥分片编号,且可从约零开始。行识别符中的剩余约两个位可保留。密钥分片可包括例如由ONU指定的密钥部分。举例来说,密钥部分可使用密钥加密密钥(KEK)用AES-电子码簿(ECB)进行加密。
Key fragment(16bytes):密钥片段(AES-ECB加密,KEK密钥)。
Effective key length(有效密钥长度):单位是bit,ONU产生的密钥长度。有效密钥长度属性可指定由ONU产生的密钥的最大有效长度(例如,以位计)。有效密钥长度属性可为可读的、任选的,且长度为约两个字节。
OLT可在经由OMCI与ONU通信时使用各种动作,例如指令类型,例如取得动作(Get)、取得下一个动作(Get Next),和设定动作(Set)。取得动作可允许OLT读取ONU处的OMCI ME的一个或一个以上属性,取得下一个动作可允许OLT读取OMCIME的属性的串或集合,且设定动作可允许ONU写入OMCI ME的一个或一个以上属性。
OLT还可接收一个或一个以上OMCI通知。OMCI通知可呈AVC消息的形式被接收,所述AVC消息可经由OMCI进行传送。每一AVC消息可具有一数值,其可对应于不同消息类型,例如,如表3所示。举例来说,与ONU随机挑战表属性相关联的AVC消息被指派为5的值。与ONU认证结果表属性相关联的AVC消息可被指派为6的值。与ONU认证状态属性相关联的AVC消息可被指派为10的值。例如,从1到4、从7到9,以及从11到16的剩余值可保留。
表3
如图2所示,其为本发明实施例中,基于OMCI的双向认证处理流程示意图,包括以下步骤:
S21、OLT使用设定动作写入OLT密码能力属性和/或OLT随机挑战表属性。
S22、OLT使用设定动作写入OLT挑战状态属性。
例如,将真值(T)写入到OLT挑战状态属性,以向ONU指示OLT密码能力属性和/或OLT随机挑战表属性已建立。
S23、OLT从ONU接收AVC消息,所述AVC消息向OLT通知ONU随机挑战表属性已建立。
S24、OLT从ONU接收AVC消息,所述AVC消息向OLT通知ONU认证结果表属性已建立。
S25、OLT使用取得动作向ONU请求ONU选定的密码能力属性、ONU随机挑战表属性、ONU认证结果表属性,或其组合。
S26、ONU通过使用get_response动作发送所请求的信息而响应于OLT。
S27、OLT使用设定动作写入OLT认证结果表属性。
在步骤27处,OLT可使用设定动作写入OLT认证结果表属性。
S28、OLT使用设定动作将真值写入到OLT结果状态属性。
S29、OLT从ONU接收AVC消息,所述AVC消息向OLT通知ONU认证状态属性已建立。
S210、OLT使用取得动作向ONU请求主会话密钥名称属性。
S211、ONU通过使用get_response动作发送所请求的信息而响应于OLT。
随后可结束认证消息交换。
需要说明的是,图2中Set*指示需要时用以填满表格的多个设定操作。
在上述过程中,ONU状态和OLT挑战状态变化如图2所示,其中,T表示真值TRUE,F表示假值FALSE。
具体实施时,ONU注册后,处于S0(非活动状态),OLT通过写OLT random challegetable启动认证过程。
OLT challenge pending–S1,当OLT写入OLT random challenge table,ONU进入S1态。当ONU选择ONU random challenge table并且计算出ONU authentication resulttable后,ONU进入S2态。如果ONU不能够进行进入S2的两个动作(选择ONU randomchallenge table和计算出ONU authenticaiton result table),ONU进入S5。当ONU处于S1态的时候,OLT不应该写新的值到OLT random challenge table。
ONU challenge pending–S2
在S2态,ONU等待OLT读取相关表(selected crpto capabilities,ONU RCT,ONUauth result table)和写入ONU认证挑战结果到OLT authentication result table。如果在T1超时前,ONU没有等待到OLT authentication result table,ONU进入认证错误态,如果等待到了OLT authentication result table,ONU检查OLT authentication resulttable的有效性,根据结果选择进入S3态或者S4态。
Authentication success–S3
在ONU进入S3态前,ONU必须设置一个有效的master key name属性值。当OLT收到状态变化到S3的属性值变化AVC通知后,OLT读取该属性值,保证ONU可以开始TC的PLOAM加密功能。
Authentication failure–S4
在S2状态认证失败(比如PSK不匹配)后进入S4态。
Authentication error–S5
认证可以正常进行但是本地运算出现错误。
ONU上电后先走注册流程,当OLT判断到PON口有ONU认证方式是基于OMCI的认证方式,则对所有自动发现的ONU,通过下发332实体来启动双向认证流程。当双向认证进入S3阶段后,OLT再开始ONU的配置恢复过程。
当网络功能虚拟化后,一个虚拟网络功能实体可能对应多个实体网络设备,这样,导致原有的认证方法无法应用于网络设备的双向认证,有鉴于此,本发明实施例提供了一种网络设备认证方法,应用于网络功能虚拟化的PON网络中,如图3所示,可以包括以下步骤:
S31、在第一网络设备与第二网络设备进行双向认证过程中,虚拟网络功能实体接收所述第二网络设备发送的AVC消息。
其中,所述AVC(属性值改变)消息用于通知所述虚拟网络功能实体认证结果表属性已建立,所述认证结果表属性为所述第二网络设备利用所述第一网络设备的第一设备标识确定出的,所述第一设备标识为所述第二网络设备在注册过程中获得的。
S32、虚拟网络功能实体获取所述第二网络设备认证结果表。
具体实施时,第一设备标识可以为在第二网络设备注册过程中,由虚拟网络功能实体提供给第二网络设备的,本发明实施例中,第二网络设备可以在激活流程中获得第一网络设备的第一设备标识,具体地,可以按照图4所示的流程获得第一网络设备的第一设备标识:
S41、第二网络设备向第一网络设备发送第二激活请求。
具体实施时,在第二网络设备上电后,向其连接的第一网络设备发送第二激活请求,其中,在第二激活请求中携带有第二网络设备的第二设备标识。
S42、第一网络设备向虚拟网络功能实体发送第一激活请求。
其中,第一激活请求中携带有第一网络设备的第一设备标识和第二设备标识。
S43、虚拟网络功能实体建立第一设备标识和第二设备标识之间的对应关系。
具体实施时,虚拟网络功能实体根据第二设备标识对第二网络设备完成注册流程,并建立第一设备标识和第二设备标识之间的对应关系。
S44、虚拟网络功能实体向第二网络设备发送第一设备标识。
具体实施时,步骤S43和步骤S44并没有一定的先后执行顺序,步骤S44也可以先于步骤S43执行。
至此,第二网络设备获得了第一网络设备对应的第一设备标识,这样,在进行双向认证时,第二网络设备可以在认证参数中加入第一设备标识,根据第一设备标识完成与第一网络设备之间的认证。
需要说明的是,具体实施时,第一网络设备和第二网络设备均为实体网络设备,在网络功能虚拟化后的PON网络中,第一网络设备可以为OLT,第二网络设备可以为ONU,虚拟网络功能实体可以为虚拟OLT。在这种实施方式下,步骤S41中,虚拟网络功能实体可以通过虚拟OMCI接收所述第二网络设备发送的AVC消息,步骤S42中,虚拟网络功能实体通过所述虚拟OMCI接口读取所述第二网络设备认证结果表。
为了更好地理解本发明实施例,以下结合网络功能虚拟化后的PON网络中,ONU与OLT之间的双向认证流程对本发明实施例提供的网络设备认证方法进行详细说明。
如图5a所示,其为网络功能虚拟化后的xGPON系统结构示意图。虚拟网络功能实体(vOLT)中设置有vOMCI,一个虚拟网络功能实体连接多个实体OLT设备,这样,在OLT与INU通过vOMCI(虚拟OMCI)进行双向认证时,由于vOMCI连接多个实体OLT,按照现有的技术方案无法完成认证流程。有鉴于此,为了实现网络功能虚拟化后,OLT与ONU之间的双向认证,在ONU与虚拟OLT通过vOMCI交互的消息中引入了实体OLT的设备标识,以建立实体OLT与ONU之间的一一对应关系,进而实现两者之间的双向认证。如图5b所示,其为OLT设备与ONU设备之间的网络连接结构示意图。其中,SNMP为简单网络管理协议,NETCONF基于XML(可扩展标记语言)的网络配置协议,gRPC是一个高性能、开源和通用的RPC(远程过程调用协议)框架。
基于此,具体实施时,可以通过扩展OLT-G ME定义OLTID属性,如表4所示,其为本发明实施例中扩展的OLTID属性:
表4
本发明实施例中,基于OMCI的双向认证主要是通过Enhanced security controlME(增强型安全控制管理实体)实现,引入OLTID参与认证,如图6所示,OLT与ONU之间进行双向认证时的消息交互流程示意图,可以包括以下步骤:
S61、ONU向连接的实体OLT发送激活请求。
其中,在ONU发送的激活请求中携带有ONU标识。
S62、实体OLT向虚拟OLT发送激活请求。
其中,实体OLT发送的激活请求中携带有实体OLT标识和ONU标识。
S63、虚拟OLT建立实体OLT标识和ONU标识之间的对应关系。
具体实施时,虚拟OLT(vOLT)根据ONU标识针对ONU完成激活流程,并建立实体OLT标识和ONU标识之间的对应关系。
S64、虚拟OLT向ONU发送实体OLT标识。
当ONU与实体OLT之间需要进行双向认证时,可以按照以下流程实施:
S65、vOLT使用设定动作写入OLT密码能力属性和/或OLT随机挑战表属性。
S66、vOLT使用设定动作写入OLT挑战状态属性。
S67、ONU向vOLT发送AVC消息,所述AVC消息向OLT通知ONU认证结果表属性已建立。
其中,ONU认证结果为ONU利用OLTID计算得到的,具体实施时,ONU可以按照以下方法确定ONU认证结果:
SelectedHashFunction(PSK,(ONU_selected_crypto capabilities|OLT_random_challenge_table|ONU_random_challenge_table|OLTID)。
OLTID是OLT-G ME实体的OLTID属性值,SelectedHashFunction()为OLT与ONU协商的加密算法。
S68、vOLT使用取得动作向ONU请求ONU选定的密码能力属性、ONU随机挑战表属性、ONU认证结果表属性,或其组合。
S69、vOLT使用设定动作写入OLT认证结果表属性。
S610、vOLT使用设定动作将真值写入到OLT结果状态属性。
S611、vOLT从ONU接收AVC消息,所述AVC消息向vOLT通知ONU认证状态属性。
S612、vOLT使用取得动作请求ONU认证状态属性。
相应地,本发明实施例还提供了另外一种网络认证方法,如图7所示,可以包括以下步骤:
S71、第二网络设备获得虚拟网络功能实体发送的第一网络设备的第一设备标识。
S72、第二网络设备在与第一网络设备进行双向认证过程中,利用所述第一设备标识确定认证结果表。
S73、第二网络设备向所述虚拟网络功能实体发送属性值改变AVC消息,所述AVC消息用于通知所述虚拟网络功能实体所述认证结果表属性已建立。
可选地,第二网络设备获得虚拟网络功能实体发送的第一网络设备的第一设备标识,具体包括:
所述第二网络设备向所述第一网络设备发送第二激活请求,所述第二激活请求中携带有所述第二网络设备的第二设备标识,由所述第一网络设备根据所述第二激活请求向所述虚拟网络功能实体发送第一激活请求,所述第一激活请求中携带有第一设备标识和第二设备标识;
接收所述虚拟网络功能实体发送的第一设备标识,所述第一设备标识为所述虚拟网络功能实体根据所述第一激活请求建立所述第一设备标识和第二设备标识之间的对应关系后发送的。
可选地,所述第一网络设备为光线路终端OLT,所述第二网络设备为光网络单元ONU,所述虚拟网络功能实体为虚拟OLT。
可选地,所述第二网络设备向所述虚拟网络功能实体发送属性值改变AVC消息,具体包括:
所述第二网络设备通过虚拟光网络单元管理控制接口OMCI向所述虚拟网络功能实体发送AVC消息。
本发明实施例提供的网络设备认证方法,在第一网络设备与第二网络设备进行双向认证的过程中引入第一网络设备的设备标识来标识第一网络设备,这样,在虚拟网络功能实体可以根据第一网络设备的设备标识建立第一网络设备与第二网络设备之间的对应关系,并据此完成第一网络设备与第二网络设备之间的认证,保证网络访问的安全性。
基于同一发明构思,本发明实施例中还提供了一种网络设备认证装置,由于上述装置解决问题的原理与网络设备认证方法相似,因此上述装置的实施可以参见方法的实施,重复之处不再赘述。
如图8所示,其为本发明实施例提供的第一种网络设备认证装置结构示意图,包括:
接收单元81,用于在第一网络设备与第二网络设备进行双向认证过程中,接收第二网络设备发送的属性值改变AVC消息,所述AVC消息用于通知认证结果表属性已建立,所述认证结果表属性为所述第二网络设备利用所述第一网络设备的第一设备标识确定出的,所述第一设备标识为所述第二网络设备在注册过程中获得的;
获取单元82,用于获取所述第二网络设备认证结果表。
可选地,所述接收单元,还用于接收所述第一网络设备发送的第一激活请求,所述第一激活请求中携带有所述第一设备标识和所述第二网络设备的第二设备标识,其中,所述第一激活请求为所述第一网络设备接收到所述第二网络设备发送的第二激活请求后发送的,所述第二激活请求中携带有所述第二设备标识;
映射单元,用于建立所述第一设备标识和第二设备标识之间的对应关系,并向所述第二网络设备发送所述第一设备标识。
可选地,所述第一网络设备为光线路终端OLT,所述第二网络设备为光网络单元ONU,所述网络设备认证装置设置于虚拟网络功能实体OLT中。
可选地,所述接收单元,用于通过虚拟光网络单元管理控制接口OMCI接收所述第二网络设备发送的属性值改变AVC消息;
所述获取单元,用于通过所述虚拟OMCI接口读取所述第二网络设备认证结果表。
上述第一种网络设备认证装置可以应用于网络功能虚拟化的PON网络中,其可以设置于虚拟网络功能实体中。
如图9所示,其为本发明实施例提供的第二种网络设备认证装置的结构示意图,包括:
获得单元91,用于获得虚拟网络功能实体发送的第一网络设备的第一设备标识;
确定单元92,用于在与第一网络设备进行双向认证过程中,利用所述第一设备标识确定认证结果表;
发送单元93,用于向所述虚拟网络功能实体发送属性值改变AVC消息,所述AVC消息用于通知所述虚拟网络功能实体所述认证结果表属性已建立。
可选地,所述获得单元,具体用于向所述第一网络设备发送第二激活请求,所述第二激活请求中携带有所述第二网络设备的第二设备标识,由所述第一网络设备根据所述第二激活请求向所述虚拟网络功能实体发送第一激活请求,所述第一激活请求中携带有第一设备标识和第二设备标识;接收所述虚拟网络功能实体发送的第一设备标识,所述第一设备标识为所述虚拟网络功能实体根据所述第一激活请求建立所述第一设备标识和第二设备标识之间的对应关系后发送的。
可选地,所述第一网络设备为光线路终端OLT,所述第二网络设备为光网络单元ONU,所述虚拟网络功能实体为虚拟OLT。
可选地,所述发送单元,具体用于通过虚拟光网络单元管理控制接口OMCI向所述虚拟网络功能实体发送AVC消息。
上述第一种网络设备认证装置可以应用于网络功能虚拟化的PON网络中,其可以设置于第二网络设备,例如ONU中。
为了描述的方便,以上各部分按照功能划分为各模块(或单元)分别描述。当然,在实施本发明时可以把各模块(或单元)的功能在同一个或多个软件或硬件中实现。
在介绍了本发明示例性实施方式的网络设备认证方法和装置之后,接下来,介绍根据本发明的另一示例性实施方式的计算装置。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
在一些可能的实施方式中,根据本发明的计算装置可以至少包括至少一个处理器、以及至少一个存储器。其中,所述存储器存储有程序代码,当所述程序代码被所述处理器执行时,使得所述处理器执行本说明书上述描述的根据本发明各种示例性实施方式的网络设备认证方法中的步骤。例如,所述处理器可以执行如图3中所示的步骤S31、在第一网络设备与第二网络设备进行双向认证过程中,虚拟网络功能实体接收所述第二网络设备发送的AVC消息,和步骤S32、虚拟网络功能实体获取所述第二网络设备认证结果表;或者执行如图7中所示的步骤S71、第二网络设备获得虚拟网络功能实体发送的第一网络设备的第一设备标识,步骤S72、所述第二网络设备在与第一网络设备进行双向认证过程中,利用所述第一设备标识确定认证结果表;以及步骤S73、所述第二网络设备向所述虚拟网络功能实体发送属性值改变AVC消息,所述AVC消息用于通知所述虚拟网络功能实体所述认证结果表属性已建立。
下面参照图10来描述根据本发明的这种实施方式的计算装置100。图10显示的计算装置100仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图10所示,计算装置100以通用计算设备的形式表现。计算装置100的组件可以包括但不限于:上述至少一个处理器101、上述至少一个存储器102、连接不同系统组件(包括存储器102和处理器101)的总线103。
总线103表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器、外围总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。
存储器102可以包括易失性存储器形式的可读介质,例如随机存取存储器(RAM)1021和/或高速缓存存储器1022,还可以进一步包括只读存储器(ROM)1023。
存储器102还可以包括具有一组(至少一个)程序模块1024的程序/实用工具1025,这样的程序模块1024包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
计算装置100也可以与一个或多个外部设备104(例如键盘、指向设备等)通信,还可与一个或者多个使得用户能与计算装置100交互的设备通信,和/或与使得该计算装置100能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口105进行。并且,计算装置100还可以通过网络适配器106与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器106通过总线103与用于计算装置100的其它模块通信。应当理解,尽管图中未示出,可以结合计算装置100使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
在一些可能的实施方式中,本发明提供的网络设备认证方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在计算机设备上运行时,所述程序代码用于使所述计算机设备执行本说明书上述描述的根据本发明各种示例性实施方式的网络设备认证方法中的步骤,例如,所述计算机设备可以执行如图3中所示的步骤S31、在第一网络设备与第二网络设备进行双向认证过程中,虚拟网络功能实体接收所述第二网络设备发送的AVC消息,和步骤S32、虚拟网络功能实体获取所述第二网络设备认证结果表;或者执行如图7中所示的步骤S71、第二网络设备获得虚拟网络功能实体发送的第一网络设备的第一设备标识,步骤S72、所述第二网络设备在与第一网络设备进行双向认证过程中,利用所述第一设备标识确定认证结果表;以及步骤S73、所述第二网络设备向所述虚拟网络功能实体发送属性值改变AVC消息,所述AVC消息用于通知所述虚拟网络功能实体所述认证结果表属性已建立。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
本发明的实施方式的用于网络设备认证的程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在计算设备上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了装置的若干单元或子单元,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本发明的实施方式,上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之,上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
此外,尽管在附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (18)
1.一种网络设备认证方法,其特征在于,应用于网络功能虚拟化的无源光纤网络PON中;
所述方法,包括:
在第一网络设备与第二网络设备进行双向认证过程中,虚拟网络功能实体接收所述第二网络设备发送的属性值改变AVC消息,所述AVC消息用于通知所述虚拟网络功能实体认证结果表属性已建立,所述认证结果表属性为所述第二网络设备利用所述第一网络设备的第一设备标识确定出的,所述第一设备标识为所述第二网络设备在注册过程中获得的;
所述虚拟网络功能实体获取所述第二网络设备认证结果表。
2.如权利要求1所述的方法,其特征在于,所述第一设备标识为所述第二网络设备按照以下流程获得的:
虚拟网络功能实体接收所述第一网络设备发送的第一激活请求,所述第一激活请求中携带有所述第一设备标识和所述第二网络设备的第二设备标识,其中,所述第一激活请求为所述第一网络设备接收到所述第二网络设备发送的第二激活请求后发送的,所述第二激活请求中携带有所述第二设备标识;
所述虚拟化网络功能实体建立所述第一设备标识和第二设备标识之间的对应关系,并向所述第二网络设备发送所述第一设备标识。
3.如权利要求2所述的方法,其特征在于,所述第一网络设备为光线路终端OLT,所述第二网络设备为光网络单元ONU,所述虚拟网络功能实体为虚拟OLT。
4.如权利要求3所述的方法,其特征在于,虚拟网络功能实体接收所述第二网络设备发送的属性值改变AVC消息,具体包括:
虚拟网络功能实体通过虚拟光网络单元管理控制接口OMCI接收所述第二网络设备发送的属性值改变AVC消息;以及
所述虚拟网络功能实体获取所述第二网络设备认证结果表,具体包括:
所述虚拟网络功能实体通过所述虚拟OMCI接口读取所述第二网络设备认证结果表。
5.一种网络设备认证方法,其特征在于,应用于网络功能虚拟化的无源光纤网络PON中;
所述方法,包括:
第二网络设备获得虚拟网络功能实体发送的第一网络设备的第一设备标识;
所述第二网络设备在与第一网络设备进行双向认证过程中,利用所述第一设备标识确定认证结果表;
所述第二网络设备向所述虚拟网络功能实体发送属性值改变AVC消息,所述AVC消息用于通知所述虚拟网络功能实体所述认证结果表属性已建立。
6.如权利要求5所述的方法,其特征在于,第二网络设备获得虚拟网络功能实体发送的第一网络设备的第一设备标识,具体包括:
所述第二网络设备向所述第一网络设备发送第二激活请求,所述第二激活请求中携带有所述第二网络设备的第二设备标识,由所述第一网络设备根据所述第二激活请求向所述虚拟网络功能实体发送第一激活请求,所述第一激活请求中携带有第一设备标识和第二设备标识;
接收所述虚拟网络功能实体发送的第一设备标识,所述第一设备标识为所述虚拟网络功能实体根据所述第一激活请求建立所述第一设备标识和第二设备标识之间的对应关系后发送的。
7.如权利要求6所述的方法,其特征在于,所述第一网络设备为光线路终端OLT,所述第二网络设备为光网络单元ONU,所述虚拟网络功能实体为虚拟OLT。
8.如权利要求6所述的方法,其特征在于,所述第二网络设备向所述虚拟网络功能实体发送属性值改变AVC消息,具体包括:
所述第二网络设备通过虚拟光网络单元管理控制接口OMCI向所述虚拟网络功能实体发送AVC消息。
9.一种网络设备认证装置,其特征在于,应用于网络功能虚拟化的无源光纤网络PON中;
所述装置,包括:
接收单元,用于在第一网络设备与第二网络设备进行双向认证过程中,接收第二网络设备发送的属性值改变AVC消息,所述AVC消息用于通知认证结果表属性已建立,所述认证结果表属性为所述第二网络设备利用所述第一网络设备的第一设备标识确定出的,所述第一设备标识为所述第二网络设备在注册过程中获得的;
获取单元,用于获取所述第二网络设备认证结果表。
10.如权利要求9所述的装置,其特征在于,
所述接收单元,还用于接收所述第一网络设备发送的第一激活请求,所述第一激活请求中携带有所述第一设备标识和所述第二网络设备的第二设备标识,其中,所述第一激活请求为所述第一网络设备接收到所述第二网络设备发送的第二激活请求后发送的,所述第二激活请求中携带有所述第二设备标识;
映射单元,用于建立所述第一设备标识和第二设备标识之间的对应关系,并向所述第二网络设备发送所述第一设备标识。
11.如权利要求10所述的装置,其特征在于,所述第一网络设备为光线路终端OLT,所述第二网络设备为光网络单元ONU,所述网络设备认证装置设置于虚拟网络功能实体OLT中。
12.如权利要求11所述的装置,其特征在于,
所述接收单元,用于通过虚拟光网络单元管理控制接口OMCI接收所述第二网络设备发送的属性值改变AVC消息;
所述获取单元,用于通过所述虚拟OMCI接口读取所述第二网络设备认证结果表。
13.一种网络设备认证装置,其特征在于,应用于网络功能虚拟化的无源光纤网络PON中,所述网络设备认证装置设置于第二网络设备中;
所述装置,包括:
获得单元,用于获得虚拟网络功能实体发送的第一网络设备的第一设备标识;
确定单元,用于在与第一网络设备进行双向认证过程中,利用所述第一设备标识确定认证结果表;
发送单元,用于向所述虚拟网络功能实体发送属性值改变AVC消息,所述AVC消息用于通知所述虚拟网络功能实体所述认证结果表属性已建立。
14.如权利要求13所述的装置,其特征在于,
所述获得单元,具体用于向所述第一网络设备发送第二激活请求,所述第二激活请求中携带有所述第二网络设备的第二设备标识,由所述第一网络设备根据所述第二激活请求向所述虚拟网络功能实体发送第一激活请求,所述第一激活请求中携带有第一设备标识和第二设备标识;接收所述虚拟网络功能实体发送的第一设备标识,所述第一设备标识为所述虚拟网络功能实体根据所述第一激活请求建立所述第一设备标识和第二设备标识之间的对应关系后发送的。
15.如权利要求14所述的装置,其特征在于,所述第一网络设备为光线路终端OLT,所述第二网络设备为光网络单元ONU,所述虚拟网络功能实体为虚拟OLT。
16.如权利要求15所述的装置,其特征在于,
所述发送单元,具体用于通过虚拟光网络单元管理控制接口OMCI向所述虚拟网络功能实体发送AVC消息。
17.一种计算装置,其特征在于,包括至少一个处理器、以及至少一个存储器,其中,所述存储器存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行权利要求1~8任一权利要求所述方法的步骤。
18.一种计算机可读介质,其特征在于,其存储有可由计算装置执行的计算机程序,当所述程序在计算装置上运行时,使得所述计算装置执行权利要求1~8任一所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910103616.4A CN111526107B (zh) | 2019-02-01 | 2019-02-01 | 一种网络设备认证方法、装置和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910103616.4A CN111526107B (zh) | 2019-02-01 | 2019-02-01 | 一种网络设备认证方法、装置和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111526107A true CN111526107A (zh) | 2020-08-11 |
| CN111526107B CN111526107B (zh) | 2022-07-19 |
Family
ID=71900046
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910103616.4A Active CN111526107B (zh) | 2019-02-01 | 2019-02-01 | 一种网络设备认证方法、装置和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111526107B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112787801A (zh) * | 2021-01-21 | 2021-05-11 | 深圳市西迪特科技有限公司 | 基于md5算法的pon设备间认证的方法 |
| CN114257889A (zh) * | 2021-12-22 | 2022-03-29 | 中兴通讯股份有限公司 | 网元管理方法及其系统、网元、存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902447A (zh) * | 2009-05-28 | 2010-12-01 | 华为技术有限公司 | 无源光网络中的认证方法、装置及一种无源光网络 |
| CN102571350A (zh) * | 2011-12-30 | 2012-07-11 | 中兴通讯股份有限公司 | 光网络单元认证方法及装置 |
| CN102656838A (zh) * | 2009-07-31 | 2012-09-05 | 华为技术有限公司 | 基于光网络终端管理控制接口的无源光网络安全性增强 |
-
2019
- 2019-02-01 CN CN201910103616.4A patent/CN111526107B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902447A (zh) * | 2009-05-28 | 2010-12-01 | 华为技术有限公司 | 无源光网络中的认证方法、装置及一种无源光网络 |
| CN102656838A (zh) * | 2009-07-31 | 2012-09-05 | 华为技术有限公司 | 基于光网络终端管理控制接口的无源光网络安全性增强 |
| CN102571350A (zh) * | 2011-12-30 | 2012-07-11 | 中兴通讯股份有限公司 | 光网络单元认证方法及装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112787801A (zh) * | 2021-01-21 | 2021-05-11 | 深圳市西迪特科技有限公司 | 基于md5算法的pon设备间认证的方法 |
| CN114257889A (zh) * | 2021-12-22 | 2022-03-29 | 中兴通讯股份有限公司 | 网元管理方法及其系统、网元、存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111526107B (zh) | 2022-07-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108111301B (zh) | 基于后量子密钥交换实现ssh协议的方法及其系统 | |
| EP3726804B1 (en) | Device authentication method, service access control method, device, and non-transitory computer-readable recording medium | |
| EP2449718B1 (en) | Optical network terminal management control interface-based passive optical network security enhancement | |
| CN111435913B (zh) | 一种物联网终端的身份认证方法、装置和存储介质 | |
| US9154503B2 (en) | Authorization method and terminal device | |
| WO2012072001A1 (zh) | 一种安全发卡方法、发卡设备和系统 | |
| WO2010031269A1 (zh) | 一种实现用户侧终端获取密码的方法、系统和设备 | |
| CN111526107B (zh) | 一种网络设备认证方法、装置和存储介质 | |
| US10320917B2 (en) | Key negotiation processing method and apparatus | |
| CN116134825A (zh) | 一种内容传输保护的方法及其相关设备 | |
| CN109088731B (zh) | 一种物联网云端通信方法及其装置 | |
| US9191390B1 (en) | System, method, and computer program for managing user access credentials in a computer network | |
| CN114124513B (zh) | 身份认证方法、系统、装置、电子设备和可读介质 | |
| CN115550002A (zh) | 一种基于tee的智能家居远程控制方法及相关装置 | |
| CN113660285A (zh) | 多媒体会议在网终端管控方法、装置、设备及存储介质 | |
| CN118432826B (zh) | 群组设备的注册与身份认证方法、系统、设备及存储介质 | |
| CN115941338A (zh) | 微服务场景下的会话加密方法和装置 | |
| CN118525542A (zh) | 传输层安全性协议的建立方法及装置 | |
| CN118803751A (zh) | 认证鉴权方法、装置、网络设备及存储介质 | |
| CN112866202A (zh) | 设备授权管理方法及其系统、通信设备和存储介质 | |
| CN118018343A (zh) | 设备绑定方法、设备以及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |