WO2014101084A1 - 一种认证方法、设备和系统 - Google Patents

Abstract

本发明实施例提供一种认证方法、设备和系统，涉及通信领域，能够避免由于人工输入认证密码信息或者由于长时间不修改认证密码信息而导致的密码泄露问题，提高了认证密码信息的安全性。其方法为：通过网络信息管理系统生成第一密码信息，并下发携带第一密码信息的第一通知消息给光线路终端，使得网络信息管理系统下发的第一通知消息通过光线路终端透传给光网络单元，光网络单元根据第一通知消息中的第一密码信息，完成与光线路终端之间的认证，其中，网络信息管理系统对第一密码信息进行定期更新。本发明实施例用于认证信息的更新。

Description

一种认证方法、 设备和系统 技术领域 本发明涉及通信领域， 尤其涉及一种认证方法、 设备和系统。 背景技术

PON ( Passive Optical Network, 无源光纤网络） 技术能够极大的节 省光纤资源， 目前已经广泛应用于接入领域。 PON 网络一般由 OLT ( Optical Line Termination, 光线路终端 )、 POS ( Passive Optical Splitter, 无源光纤分支器） 和 ONU ( Optical Network Unit , 光网络单元） 组成。 一般而言， 0LT的单个 Ρ0Ν接口会下挂多个 0NU,为了对各个 0NU 的接入进行控制， 0LT和 0NU之间都要使用认证机制。 该认证机制是基 于将 0LT和 0NU两端提供的认证信息进行比较来决定 0NU是否是合法 接入。 其中， 在布放 0LT和 0NU设备时， 需要在 0LT和 0NU中现场 手工输入需要的认证信息， 布放过程比较复杂。 另外， 在 0NU设备布放 的时候需要装机人员或用户现场人工输入认证密码信息， 进而无法做到 现场免软调， 并且人工输入认证密码信息容易导致密码泄露。 此外， 这 些存储在 0NU设备中的认证密码信息没有定期刷新机制， 长时间不修改 也很容易导致密码泄露。

发明内容 本发明的实施例提供一种认证方法、 设备和系统， 能够避免由于人 工输入认证密码信息或者由于长时间不修改认证密码信息而导致的密码 泄露问题， 提高了认证密码信息的安全性。 为达到上述目的， 本发明的实施例釆用如下技术方案： 第一方面， 提供一种认证方法， 应用于无源光网络系统中， 包括： 光网络单元接收光线路终端透传的第一通知消息， 所述第一通知消 息至少包括： 所述光网络单元认证所需的第一密码信息； 所述第一通知 消息是由网络信息管理系统下发的第一通知消息；

所述光网络单元根据所述第一通知消息中的第一密码信息， 完成与 所述光线路终端之间的认证。 在第一种可能实现的方式中， 结合第一方面， 所述第一密码信息为 经过第一密钥加密后的密码信息； 其中， 所述第一密钥为所述光网络单 元与所述网络信息管理系统共同约定的密钥。

在第二种可能实现的方式中， 结合第一方面或第一方面的第一种可 能实现的方式， 所述光网络单元根据所述第一通知消息中的第一密码信

所述光网络单元根据所述第一通知消息中的第一密码信息， 通过共 同约定的第一密钥对所述第一密码信息进行解析， 获取解密后的第一密 码信息；

根据所述解密后的第一密码信息， 完成与所述光线路终端之间的认 证。

在第三种可能实现的方式中， 结合第一方面， 所述方法还包括： 所述光网络单元接收所述光线路终端透传的第二通知消息， 所述第 二通知消息至少包括： 所述光网络单元认证所需的第二密码信息； 所述 第二通知消息是由网络信息管理系统下发的第二通知消息； 所述光网络单元以所述第一密码信息为第二密钥， 对所述接收的第 二密码信息进行解密， 获取所述解密后的第二密码信息；

所述光网络单元根据所述解密后的第二密码信息， 完成与所述光线 路终端之间的再次认证。

第二方面， 提供一种认证方法， 应用于无源光网络系统中， 包括： 网络信息管理系统生成第一密码信息， 所述第一密码信息为光网络 单元认证所需的密码信息； 所述网络信息管理系统下发携带所述第一密码信息的第一通知消息 给所述光线路终端， 使得所述网络信息管理系统下发的第一通知消 ,包、通 过所述光线路终端透传给所述光网络单元。

在第一种可能实现的方式中， 结合第二方面， 所述网络信息管理系 统生成第一密码信息具体包括：

所述网络信息管理系统通过第一密钥对所述第一密码信息进行加 密， 其中， 所述第一密钥为所述网络信息管理系统与所述光网络单元共 同约定的密钥； 所述网络信息管理系统下发携带所述第一密码信,包、的第 一通知消息给所述光线路终端具体包括：

所述网络信息管理系统下发携带所述加密后的第一密码信息的第一 通知消息给所述光线路终端。

在第二种可能实现的方式中， 结合第二方面， 所述方法还包括： 所述网络信息管理系统定期更新所述第一密码信息。

在第三种可能实现的方式中， 结合第二方面或第二方面的第二种可 能实现的方式， 所述方法还包括：

所述网络信息管理系统以所述第一密码信息为第二密钥， 生成第二 密码信息；

所述网络信息管理系统下发携带所述第二密码信息的第二通知消息 给所述光线路终端， 使得所述网络信息管理系统下发的第二通知消 ,包、通 过所述光线路终端的透传给所述光网络单元。

第三方面， 提供一种光网络单元， 所述光网络单元包括： 接收单元， 用于接收光线路终端透传的第一通知消息， 所述第一通 知消息至少包括： 所述光网络单元认证所需的第一密码信息； 所述第一 通知消息是由网络信息管理系统下发的第一通知消息；

认证单元， 用于根据所述第一通知消息中的第一密码信息， 完成与 所述光线路终端之间的认证。

在第一种可能实现的方式中， 结合第三方面， 所述第一密码信息为 经过第一密钥加密后的密码信息； 其中， 所述第一密钥为所述光网络单 元与所述网络信息管理系统共同约定的密钥。

在第二种可能实现的方式中， 结合第三方面或第三方面的第一种可 能实现的方式， 所述认证单元， 具体用于根据所述第一通知消息中的第 一密码信息， 通过共同约定的第一密钥对所述第一密码信息进行解析， 获取解密后的第一密码信息； 根据所述解密后的第一密码信息， 完成与 所述光线路终端之间的认证。 在第三种可能实现的方式中， 结合第三方面， 所述接收单元， 还用 于接收所述光线路终端透传的第二通知消息， 所述第二通知消息至少包 括： 认证所需的第二密码信息； 所述第二通知消息是由网络信息管理系 统下发的第二通知消息；

所述认证单元， 还用于以所述第一密码信息为第二密钥， 对所述接 收的第二密码信息进行解密， 获取所述解密后的第二密码信息； 根据所 述解密后的第二密码信息， 完成与所述光线路终端之间的再次认证。 第四方面， 提供一种网络信息管理系统， 所述网络信息信息管理系 统包括： 生成单元， 用于生成第一密码信息， 所述第一密码信息为光网络单 元认证所需的密码信息； 发送单元， 用于下发携带所述第一密码信息的第一通知消息给所述 光线路终端， 使得所述下发的第一通知消息通过所述光线路终端透传给 所述光网络单元。

在第一种可能实现的方式中， 结合第四方面， 所述生成单元， 具体 用于通过第一密钥对所述第一密码信息进行加密， 其中， 所述第一密钥 为所述网络信息管理系统与所述光网络单元共同约定的密钥； 所述发送单元， 具体用于下发携带所述加密后的第一密码信息的第 一通知消息给所述光线路终端。

在第二种可能实现的方式中， 结合第四方面， 所述网络信息管理系 统还包括： 更新单元， 用于定期更新所述第一密码信息；

所述生成单元， 还用于以所述第一密码信息为第二密钥， 生成第二 密码信息；

所述发送单元， 还用于下发携带所述第二密码信息的第二通知消息 给所述光线路终端， 使得所述网络信息管理系统下发的第二通知消 ,包、通 过所述光线路终端的透传给所述光网络单元。

第五方面， 提供一种认证系统， 所述认证系统包括： 如第三方面所 述的光网络单元和第四方面所述的网络管理系统。 本发明实施例提供一种认证方法、 设备和系统， 通过网络信息管理 系统生成第一密码信息， 并下发携带第一密码信息的第一通知消息给光 线路终端， 使得网络信息管理系统下发的第一通知消息通过光线路终端 透传给光网络单元， 光网络单元根据第一通知消息中的第一密码信息， 完成与光线路终端之间的认证， 其中， 网络信息管理系统对第一密码信 息进行定期更新， 从而能够避免由于人工输入认证密码信息或者由于长 时间不修改认证密码信息而导致的密码泄露问题， 提高了认证密码信息 的安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案， 下面将对 实施例或现有技术描述中所需要使用的附图作简单地介绍， 显而易见地， 下面描述中的附图仅仅是本发明的一些实施例， 对于本领域普通技术人员 来讲， 在不付出创造性劳动的前提下， 还可以根据这些附图获得其他的附 图。

图 1 为本发明实施例提供的一种认证方法流程示意图；

图 2为本发明又一实施例提供的一种认证方法流程示意图； 图 3为本发明又一实施例提供的一种认证方法流程示意图； 图 4为本发明又一实施例提供的一种光网络单元结构示意图； 图 5 为本发明又一实施例提供的一种网络信息管理系统结构示 意图；

图 6为本发明又一实施例提供的一种光网络单元结构示意图； 图 7 为本发明又一实施例提供的一种网络信息管理系统结构示 意图；

图 8为本发明又一实施例提供的一种认证系统结构示意图。 具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进 行清楚、 完整地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而不是全部的实施例。 基于本发明中的实施例， 本领域普通技术人员在没 有作出创造性劳动前提下所获得的所有其他实施例， 都属于本发明保护的 范围。 本发明实施例提供一种认证方法， 应用于无源光网络系统中， 如图

1所示， 包括：

S101、 网络信息管理系统生成第一密码信息， 第一密码信息为光网 络单元认证所需的密码信息。

其中，网络信息管理系统可以为 NMS( Network Management System, 网络管理系统） ， 或者可以为认证服务器。

S 102、 网络信息管理系统下发携带第一密码信息的第一通知消息给 光线路终端， 使得网络信息管理系统下发的第一通知消息通过光线路终 端透传给光网络单元。

示例性的， 第一密码信息可以为经过第一密钥加密后的密码信息， 其中， 第一密钥为光网络单元 ONU ( Optical Network Unit, 光网络单元） 与网络信息管理系统共同约定的密钥， 使得网络信息管理系统可以下发 经过第一密钥加密后的密码信息通过光线路终端 0LT ( Optical Line Termination, 光线路终端） 透传给光网络单元 ONU; 或者， 第一密码信 息可以为不经过密钥加密的密码信息， 使得网络信息管理系统可以下发 不经过密钥加密的密码信息通过光线路终端 0LT 透传给光网络单元 0NU。

S103、 光网络单元根据第一通知消息中的第一密码信息， 完成与光 线路终端之间的认证。

另外， 该认证方法还可以包括网络信息管理系统的更新策略， 该更 新策略可以定期更新第一密码信息， 当达到定期更新策略规定的更新时 间时， 网络信息管理系统向光网络单元发送更新后的密码信息。 本发明实施例提供一种认证方法， 通过网络信息管理系统生成第一 密码信息， 并下发携带第一密码信息的第一通知消息给光线路终端， 使 得网络信息管理系统下发的第一通知消息通过光线路终端透传给光网络 单元， 光网络单元根据第一通知消息中的第一密码信息， 完成与光线路 终端之间的认证， 其中， 网络信息管理系统对第一密码信息进行定期更 新， 从而能够避免由于人工输入认证密码信息或者由于长时间不修改认 证密码信息而导致的密码泄露问题， 提高了认证密码信息的安全性。 本发明又一实施例提供一种认证方法， 应用于 PON ( Passive Optical Network, 无源光纤网络） 系统中， 如图 2所示， 包括：

5201、 网络信息管理系统通过第一密钥对第一密码信息进行加密， 生成加密后的第一密码信息。 其中， 第一密码信息为光网络单元认证所需的密码信息， 第一密钥 为网络信息管理系统与光网络单元共同约定的密钥。 示例性的，网络信息管理系统可以为 NMS或者认证服务器。具体的， 可以将预发放的光网络单元 0 NU的认证密码信息预先部署在网络管理系 统 NMS中 , 当 ONU向光线路终端 OLT发送注册请求消息时， OLT将注 册请求消息发送至 NMS , NMS根据该注册请求消息生成与该 ONU对应 的第一密码信息， 并根据与该 ONU共同约定的密钥对该第一密码信息进 行力口密；

或者，可以将预发放的光网络单元 ONU的认证密码信息预先部署在 认证服务器中， 当 ONU向光线路终端 OLT发送注册请求消息时， OLT 将注册请求消息发送至网络管理系统 NMS , 认证服务器在接收到 NMS 发送的注册请求消息后，根据该注册请求消息生成与该 ONU对应的第一 密码信息，并根据与该 ONU共同约定的密钥对该第一密码信息进行加密。

这样， 认证密码信息可以在网络信息管理系统中进行集中式管理， 避免了各中间节点的泄密。 同时， 在布放光网络单元 ONU时， 可以现场 免软调， 避免了现场输入认证密码容易导致的密码泄露问题， 降低了现 场布放硬件的复杂度， 从机制上保证了密码信息的安全性。 其中， PON网络一般由 OLT、 POS ( Passive Optical Splitter, 无源 光分路器） 以及 ONU/ONT ( Optical Network Termination, 光网络终端） 组成。 OLT单个 PON接口可以下挂多个 ONU。 OLT 是主设备， 可以向 从设备 ONU以广播的方式发送数据， OLT并与前端（汇聚层 )交换机用 网线相连， 转化成光信号， 用单根光纤与用户端的 POS互联， 可以实现 对用户端设备 ONU的控制、 管理、 测距等功能。

5202、 网络信息管理系统下发携带加密后的第一密码信息的第一通 知消息给光线路终端， 使得网络信息管理系统下发的第一通知消息通过 光线路终端透传给光网络单元。 示例性的， 若网络信息管理系统为网络管理系统 NMS , 则 NMS下 发加密后的第一密码信息的第一通知消息给光线路终端 0LT , 光线路终 端 OLT 再将加密后的第一密码信息的第一通知消息透传给光网络单元 ONU;

若网络信息管理系统为认证服务器， 则认证服务器下发加密后的第 一密码信息的第一通知消息给网络管理系统 NMS , 网络管理系统 NMS 可以将该第一通知消息发送至光线路终端 OLT , 光线路终端 OLT将该第 一通知消息透传给光网络单元 ONU。

5203、 光网络单元根据第一通知消息中的第一密码信息， 通过共同 约定的第一密钥对第一密码信息进行解析， 获取解密后的第一密码信息。 示例性的， 若光网络单元 ONU接收光线路终端 OLT透传的第一密 码信息， 是由网络管理系统 NMS下发的， 则光网络单元 ONU可以通过 与网络管理系统 NM S共同约定的第一密钥对第一密码信息进行解析， 以 便光网络单元 ONU可以获取解密后的第一密码信息； 若光网络单元 ONU接收光线路终端 OLT透传的第一密码信息， 是 由认证服务器下发的， 则光网络单元 ONU可以通过与认证服务器共同约 定的第一密钥对第一密码信息进行解析， 以便光网络单元 ONU可以获取 解密后的第一密码信息。

5204、 光网络单元根据解密后的第一密码信息， 完成与光线路终端 之间的认证。

示例性的， 在光网络单元 ONU从光线路终端 OLT接收到透传给该 光网络单元 ONU的第一密码信息并进行解密过程中， 该密码信息可以同 时在光线路终端 OLT 中进行本地保存， 以便光网络单元 ONU可以开始 与光线路终端 OLT之间的认证。

其中， 该认证过程可以为： 当 OLT在自动发现窗口开窗时， 已经在 线的 ONU便停止发送上行数据，需要认证上线的 ONU便向 OLT发送注 册请求消息， OLT 在收到该注册请求消息后， 根据该注册请求消息中的 识别码 （如 SN或 MAC ) , 给 ONU分配一个 ONUID, 并将该 ONUID 发送至 ONU。而后， OLT会向 ONU进行测距并记录测距信息，并向 ONU 发送测距消息， 以便 ONU知道自己离 OLT的距离。 这时， 可以认为该 ONU已经临时上线了。随后， OLT向 ONU主动下发认证请求消息， ONU 在收到认证请求消息之后， 向 OLT发送本地保存的第一密码信息以及识 别码， 其中， 该第一密码信息可以是 Password (密码 /口令） ， 也可以是 LOID+ CHECKCODE (逻辑标识 +校验码） 等。 当 OLT收到该第一密码 信息以及识别码后， 将该第一密码信息以及识别码与 0LT本地保存的认 证密码信息以及识别码进行比较， 若 ONU发送的第一密码信息以及识别 码与 0LT本地保存的认证密码信息以及识别码一致， 则该 0NU为合法 设备， 0NU认证成功， 0LT便给该 0NU下发具体的业务配置； 若 0NU 发送的第一密码信息以及识别码与 0LT本地保存的认证密码信息以及识 别码不一致，则该 0NU为非法设备，该 0NU认证失败， 0LT便向该 0NU 发送去激活消息， 使得该 0NU可以进入初始化状态。

S205、 网络信息管理系统定期更新第一密码信息， 以第一密码信息 为第二密钥， 生成第二密码信息。 其中， 该第一密码信息需要定期更新。 可选的， 当网络信息管理系 统为网络管理系统 NMS时， 可以将密码更新策略部署在 NMS中， 该密 码更新策略可以使得网络管理系统 NMS在到达其周期时间时， 网络管理 系统 NMS可以定期触发该第一密码的更新。 该网络管理系统 NMS可以 以第一密码信息为第二密钥， 并生成第二密码信息， 以便获取加密后的 第二密码信息； 可选的， 当网络信息管理系统为认证服务器时， 可以将密码更新策 略部署在认证服务器中， 使得认证服务器在到达其周期时间时， 该认证 服务器可以定期触发该第一密码的更新。 该认证服务器可以以第一密码 信息为第二密钥， 并生成第二密码信息， 以便获取加密后的第二密码信 息。 这样， 密码信息可以按照更新策略进行周期更新， 从而可以提高该 密码信息的安全性。 需要说明的是， 该密码更新策略中的更新周期可以为定期或不定期 的。

S206、 网络信息管理系统下发携带第二密码信息的第二通知消息给 光线路终端， 使得网络信息管理系统下发的第二通知消息通过光线路终 端的透传给光网络单元。 具体的， 当网络信息管理系统定期触发密码信息的更新时， 可以由 网络管理系统 NMS或者认证服务器下发携带以第一密码信息为密钥的第 二密码信息的第二通知消息给光线路终端 OLT , 光线路终端 OLT便将该 第二通知消息透传给光网络单元， 同时， 光线路终端 OLT将该第二通知 消息中的第二密码信息进行本地保存， 以便光网络单元 ONU可以完成与 光线路终端 OLT的再次认证。 其中， 认证服务器在下发加密后的第二密 码信息时， 可以将该第二密码信息发送至网络管理系统 NMS , 再由网络 管理系统 NMS 将加密后的第二密码信息的第二通知消息给光线路终端 OLT, 光线路终端 OLT将该第二通知消息透传给光网络单元。

5207、 光网络单元以第一密码信息为第二密钥， 对接收的第二密码 信息进行解密， 获取解密后的第二密码信息。 具体的， 当第一密码需要进行更新时， 光网络单元 ONU可以从光线 路终端 OLT定期接收携带加密后的第二密码信息的第二通知消息。 光网 络单元 ONU可以以本地保存的第一密码信息为密钥， 对第二密码信息进 行解析， 获取解密后的第二密码信息。

5208、 光网络单元根据解密后的第二密码信息， 完成与光线路终端 之间的再次认证。 具体的， 光网络单元 ONU在获取了解密后的第二密码信息后， 用解 密后的第二密码信息代替本地保存的第一密码信息， 来完成与光线路终 端的再次认证。 这样， 当光网络单元 ONU掉线时， 可以以更新后的第二 密码信息进行再次认证， 从而提高了认证密码信息的安全性。 本发明又一实施例还提供一种认证方法， 如图 3所示， 包括：

5301、 网络信息管理系统生成第一密码信息， 第一密码信息为光网 络单元认证所需的密码信息。

示例性的，网络信息管理系统可以为网络管理系统 NMS或者认证服 务器。 当光网络单元 ONU请求注册并进行认证时， 网络管理系统 NMS 或者认证服务器可以生成第一密码信息， 其中， 该第一密码信息为不经 过加密的的密码信息， 即可以由网络管理系统 NMS或者认证服务器进行 明文发送。

5302、 网络信息管理系统下发携带第一密码信息的第一通知消息给 光线路终端， 使得下发的第一通知消息通过光线路终端透传给光网络单 元。 示例性的， 若网络信息管理系统为网络管理系统 NMS , 则 NMS下 发不经过加密后的第一密码信息的第一通知消息给光线路终端 OLT , 光 线路终端 OLT 再将该第一密码信息的第一通知消息透传给光网络单元 ONU;

若网络信息管理系统为认证服务器， 则认证服务器下发不经过加密 后的第一密码信息的第一通知消息给网络管理系统 NMS , 网络管理系统 NMS 可以将该第一通知消息发送至光线路终端 OLT , 光线路终端 OLT 将该第一通知消息透传给光网络单元 ONU。

5303、 光网络单元根据第一通知消息中的第一密码信息， 完成与光 线路终端之间的认证。 示例性的， 当光网络单元 ONU从光线路终端 OLT接收到第一通知 消息后， 以第一通知消息中的不经过加密后的第一密码信息， 完成与光 线路终端 OLT之间的认证。 认证过程与上述实施例 S204相同， 不再赘 述。

5304、 网络信息管理系统定期更新第一密码信息， 生成第二密码信 息。

示例性的， 可以在网络信息管理系统中部署密码更新策略， 对第一 密码信息进行定期更新。该网络信息管理系统可以为网络管理系统 NMS , 当网络管理系统 NM S到达其密码更新的周期时间时， 可以生成第二密码 信息。 其中， 该第二密码信息可以为不经过加密的密码信息； 或者， 网 络信息管理系统可以为认证服务器， 当认证服务器到达其密码更新的周 期时间时， 由认证服务器生成不加密的第二密码信息。

S305、 网络信息管理系统下发携带第二密码信息的第二通知消息给 光线路终端， 使得网络信息管理系统下发的第二通知消息通过光线路终 端的透传给光网络单元。 具体的， 当网络信息管理系统定期触发密码信息的更新时， 可以由 网络管理系统 NMS或者认证服务器下发携带不加密的第二密码信息的第 二通知消息给光线路终端 OLT , 光线路终端 OLT便将该第二通知消息透 传给光网络单元， 同时， 光线路终端 OLT将该第二通知消息中的第二密 码信息进行本地保存，以便光网络单元 ONU可以完成与光线路终端 OLT 的再次认证。

S306、 光网络单元根据第二密码信息， 完成与光线路终端之间的再 次认证。 具体的， 光网络单元 ONU从光线路终端 OLT定期接收到不加密的 第二密码信息后， 可以用第二密码信息代替本地保存的第一密码信息， 当光网络单元 ONU再次与光线路终端 OLT进行认证时， 可以以更新后 的第二密码信息进行认证， 从而提高了认证密码信息的安全性。 需要说明的是，上述实施例中对于 ONU的实施方法可以同样适用于 ONT , 且适用的设备包括但不限于 ONU、 ONT以及 OLT。 另外， 上述实施例可以适用于 GPON网络环境和 EPON网络环境之 外， 也可以适用于 XG-PON 网络环境、 10G-EPON 网络环境以及 WDM-PON网络环境。 本发明实施例提供一种认证方法， 通过网络信息管理系统生成第一 密码信息， 该第一密码信息是经过第一密钥加密后的密码信息或者不经 过加密的密码信息， 而后下发携带第一密码信息的第一通知消息给光线 路终端， 使得网络信息管理系统下发的第一通知消息通过光线路终端透 当网络信息管理系统定期更新第一密码信息时， 以第一密码信息为第二 密钥， 生成第二密码信息， 或者直接生成不加密的第二密码信息， 而后 下发携带第二密码信息的第二通知消息给光线路终端， 使得网络信息管 理系统下发的第二通知消息通过光线路终端的透传给光网络单元， 以便 输入认证密码信息或者由于长时间不修改认证密码信息而导致的密码泄 露问题， 提高了认证密码信息的安全性。

本发明又一实施例提供一种光网络单元 01 , 如图 4所示， 包括： 接收单元 011 , 用于接收光线路终端透传的第一通知消息， 第一通 知消息至少包括： 光网络单元认证所需的第一密码信息； 第一通知消息 是由网络信息管理系统下发的第一通知消 , 。 认证单元 012 , 用于根据第一通知消息中的第一密码信息， 完成与 光线路终端之间的认证。 进一步的， 第一密码信息为经过第一密钥加密后的密码信息； 其中， 第一密钥为光网络单元与网络信息管理系统共同约定的密钥。

再进一步的， 认证单元 012可以具体用于： 根据第一通知消息中的第一密码信息， 通过共同约定的第一密钥对 第一密码信息进行解析， 获取解密后的第一密码信息； 根据解密后的第 一密码信息， 完成与光线路终端之间的认证。

再进一步的， 接收单元 011还可以用于： 接收光线路终端透传的第二通知消息， 第二通知消息至少包括： 认 证所需的第二密码信息； 第二通知消息是由网络信息管理系统下发的第 二通知消息； 认证单元 012还可以用于以第一密码信息为第二密钥， 对接收的第 二密码信息进行解密， 获取解密后的第二密码信息； 根据解密后的第二 密码信息， 完成与光线路终端之间的再次认证。 本发明实施例提供一种光网络单元， 通过接收光线路终端透传的第 一通知消息， 第一通知消息至少包括光网络单元认证所需的第一密码信 息， 其中， 第一通知消息是由网络信息管理系统下发的第一通知消息， 进一步的， 根据第一通知消息中的第一密码信息， 完成与光线路终端之 间的认证， 从而能够避免由于人工输入密码信息而导致密码泄露， 提高 了密码信息的安全性。

本发明又一实施例提供一种网络信息管理系统 02 , 如图 5 所示， 包 括：

生成单元 021 , 用于生成第一密码信息， 第一密码信息为光网络单 元认证所需的密码信息。 发送单元 022 , 用于下发携带第一密码信息的第一通知消息给光线 路终端， 使得下发的第一通知消息通过光线路终端透传给光网络单元。 进一步的， 生成单元 021可以具体用于： 通过第一密钥对第一密码信息进行加密， 其中， 第一密钥为网络信 息管理系统与光网络单元共同约定的密钥；

发送单元 022可以具体用于： 下发携带加密后的第一密码信息的第一通知消息给光线路终端。 再进一步的， 网络信息管理系统 02还可以包括： 更新单元 023 , 可以用于定期更新第一密码信息；

生成单元 021 , 还可以用于以第一密码信息为第二密钥， 生成第二 密码信息；

发送单元 022 , 还可以用于下发携带第二密码信息的第二通知消息 给光线路终端， 使得网络信息管理系统下发的第二通知消息通过光线路 终端的透传给光网络单元。 本发明实施例提供一种网络信息管理系统，通过生成第一密码信息， 第一密码信息为光网络单元认证所需的密码信息， 并下发携带第一密码 信息的第一通知消息给光线路终端， 使得下发的第一通知消息通过光线 路终端透传给光网络单元， 且定期对第一密码信息进行更新， 从而能够 避免由于人工输入密码信息或者由于长时间不修改密码信息而导致的密 码泄露问题， 提高了密码信息的安全性。

本发明又一实施例提供一种光网络单元 03 , 如图 6 所示， 包括第一 总线 035 , 以及连接在第一总线 035的第一处理器 032、 第一接收机 031、 第一发射机 034、和第一存储器 033 ,其中第一存储器 054用于存储程序， 第一处理器 032 用于执行该程序来指示各个单元执行前述实施例所提供 的方法， 其中：

第一接收机 031 , 用于接收光线路终端透传的第一通知消息， 第一 通知消息至少包括： 光网络单元认证所需的第一密码信息； 第一通知消 息是由网络信息管理系统下发的第一通知消 ,包、。

第一处理器 032 , 用于根据第一通知消息中的第一密码信息， 完成 与光线路终端之间的认证。 进一步的， 第一密码信息为经过第一密钥加密后的密码信息； 其中， 第一密钥为光网络单元与网络信息管理系统共同约定的密钥。 再进一步的， 第一处理器 032 , 可以具体用于根据第一通知消息中 的第一密码信息， 通过共同约定的第一密钥对第一密码信息进行解析， 获取解密后的第一密码信息； 根据解密后的第一密码信息， 完成与光线 路终端之间的认证。 再进一步的， 第一接收机 031 , 还可以用于接收光线路终端透传的 第二通知消息， 第二通知消息至少包括： 认证所需的第二密码信息； 第 二通知消息是由网络信息管理系统下发的第二通知消息； 第一处理器 032 , 还可以用于以第一密码信息为第二密钥， 对接收 的第二密码信息进行解密， 获取解密后的第二密码信息； 根据解密后的 第二密码信息， 完成与光线路终端之间的再次认证。 本发明实施例提供一种光网络单元， 通过接收光线路终端透传的第 一通知消息， 第一通知消息至少包括光网络单元认证所需的第一密码信 息， 其中， 第一通知消息是由网络信息管理系统下发的第一通知消息， 进一步的， 根据第一通知消息中的第一密码信息， 完成与光线路终端之 间的认证， 从而能够避免由于人工输入密码信息而导致密码泄露， 提高 了密码信息的安全性。

本发明又一实施例提供一种网络信息管理系统 04 , 如图 7所示， 该 网络信息管理系统可以为网络管理系统 05或者认证服务器 06 ,可以包括 第二总线 045 , 以及连接在第二总线 045的第二处理器 042、 第二接收机 041、 第二发射机 044、 和第二存储器 043 , 其中第二存储器 044用于存 储程序， 第二处理器 042 用于执行该程序来指示各个单元执行前述实施 例所提供的方法， 其中：

第二处理器 042 , 用于生成第一密码信息， 第一密码信息为光网络 单元认证所需的密码信息。 第二发射机 044 , 用于下发携带第一密码信息的第一通知消息给光 线路终端， 使得下发的第一通知消息通过光线路终端透传给光网络单元。 进一步的， 第二处理器 042 , 可以具体用于通过第一密钥对第一密 码信息进行加密， 其中， 第一密钥为网络信息管理系统与光网络单元共 同约定的密钥；

第二发射机 044 , 可以具体用于下发携带加密后的第一密码信息的 第一通知消息给光线路终端。 再进一步的， 第二处理器 042还可以用于： 定期更新第一密码信息；

以第一密码信息为第二密钥， 生成第二密码信息。

第二发射机 044还可以用于下发携带第二密码信息的第二通知消息 给光线路终端， 使得网络信息管理系统下发的第二通知消息通过光线路 终端的透传给光网络单元。 本发明实施例提供一种网络信息管理系统，通过生成第一密码信息， 第一密码信息为光网络单元认证所需的密码信息， 并下发携带第一密码 信息的第一通知消息给光线路终端， 使得下发的第一通知消息通过光线 路终端透传给光网络单元， 且定期对第一密码信息进行更新， 从而能够 避免由于人工输入密码信息或者由于长时间不修改密码信息而导致的密 码泄露问题， 提高了密码信息的安全性。 本发明又一实施例提供一种认证系统 1 , 如图 8 所示， 包括前述实 施例提供的光网络单元 03和网络信息管理系统 04。 其中， 若网络信息管理系统 04 为网络管理系统 05 , 则网络管理系 统 05可以用于生成第一密码信息， 而后下发携带第一密码信息的第一通 知消息给光线路终端 07 , 使得下发的第一通知消息通过光线路终端透 07 传给光网络单元 03 , 且网络管理系统 05可以定期更新第一密码信息； 若网络信息管理系统 04为认证服务器 06 , 则认证服务器 06可以用 于生成第一密码信息， 而后下发携带第一密码信息的第一通知消息给网 络管理系统 05 ,网络管理系统 05下发携带第一密码信息的第一通知消息 给光线路终端 07 ,使得下发的第一通知消息通过光线路终端 07透传给光 网络单元 03 , 且认证服务器 06可以定期更新第一密码信息。 本发明实施例提供一种认证系统， 通过网络信息管理系统生成第一 密码信息， 第一密码信息为光网络单元认证所需的密码信息， 而后下发 携带第一密码信息的第一通知消息给光线路终端， 使得下发的第一通知 消息通过光线路终端透传给光网络单元， 其中， 网络信息管理系统定期 更新第一密码信息， 从而能够避免由于人工输入密码信息或者由于长时 间不修改密码信息而导致的密码泄露问题， 提高了密码信息的安全性。 在本申请所提供的几个实施例中， 应该理解到， 所揭露的系统， 设 备和方法， 可以通过其它的方式实现。 例如， 以上所描述的设备实施例 仅仅是示意性的， 例如， 所述单元的划分， 仅仅为一种逻辑功能划分， 实际实现时可以有另外的划分方式， 例如多个单元或组件可以结合或者 可以集成到另一个系统， 或一些特征可以忽略， 或不执行。 另一点， 所 显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接 口， 装置或单元的间接耦合或通信连接， 可以是电性， 机械或其它的形 式。 另外， 在本发明各个实施例中的设备和系统中， 各功能单元可以集 成在一个处理单元中， 也可以是各个单元单独物理包括， 也可以两个或 两个以上单元集成在一个单元中。 且上述的各单元既可以釆用硬件的形 式实现， 也可以釆用硬件加软件功能单元的形式实现。

实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬 件来完成， 前述的程序可以存储于一计算机可读取存储介质中， 该程序 在执行时， 执行包括上述方法实施例的步骤； 而前述的存储介质包括： U 盘、 移动硬盘、 只读存储器 （Read Only Memory, 简称 ROM ) 、 随机存 取存储器 （ Random Access Memory, 简称 RAM ) 、 磁碟或者光盘等各种 可以存储程序代码的介质。

以上所述， 仅为本发明的具体实施方式， 但本发明的保护范围并不 局限于此， 任何熟悉本技术领域的技术人员在本发明揭露的技术范围内， 可轻易想到变化或替换， 都应涵盖在本发明的保护范围之内。 因此， 本 发明的保护范围应所述以权利要求的保护范围为准。

Claims

权 利 要 求 书

1、 一种认证方法， 应用于无源光网络系统中， 其特征在于， 所述方 法包括：

光网络单元接收光线路终端透传的第一通知消息， 所述第一通知消 息至少包括： 所述光网络单元认证所需的第一密码信息； 所述第一通知 消息是由网络信息管理系统下发的第一通知消息；

所述光网络单元根据所述第一通知消息中的第一密码信息， 完成与 所述光线路终端之间的认证。

2、 根据权利要求 1所述的方法， 其特征在于， 所述第一密码信息为 经过第一密钥加密后的密码信息； 其中， 所述第一密钥为所述光网络单 元与所述网络信息管理系统共同约定的密钥。

3、 根据权利要求 2所述的方法， 其特征在于， 所述光网络单元根据 所述第一通知消息中的第一密码信息， 完成与所述光线路终端之间的认 证具体包括：

所述光网络单元根据所述第一通知消息中的第一密码信息， 通过共 同约定的第一密钥对所述第一密码信息进行解析， 获取解密后的第一密 码信息；

根据所述解密后的第一密码信息， 完成与所述光线路终端之间的认 证。

4、 根据权利要求 1所述的方法， 其特征在于， 所述方法还包括： 所述光网络单元接收所述光线路终端透传的第二通知消息， 所述第 二通知消息至少包括： 所述光网络单元认证所需的第二密码信息； 所述 第二通知消息是由网络信息管理系统下发的第二通知消息；

所述光网络单元以所述第一密码信息为第二密钥， 对所述接收的第 二密码信息进行解密， 获取所述解密后的第二密码信息；

所述光网络单元根据所述解密后的第二密码信息， 完成与所述光线 路终端之间的再次认证。

5、 一种认证方法， 应用于无源光网络系统中， 其特征在于， 包括： 网络信息管理系统生成第一密码信息， 所述第一密码信息为光网络 单元认证所需的密码信息；

所述网络信息管理系统下发携带所述第一密码信息的第一通知消息 给所述光线路终端， 使得所述网络信息管理系统下发的第一通知消 ,包、通 过所述光线路终端透传给所述光网络单元。

6、 根据权利要求 5所述的认证方法， 其特征在于， 所述网络信息管 理系统生成第一密码信息具体包括：

所述网络信息管理系统通过第一密钥对所述第一密码信息进行加 密， 其中， 所述第一密钥为所述网络信息管理系统与所述光网络单元共 同约定的密钥； 所述网络信息管理系统下发携带所述第一密码信,包、的第 一通知消息给所述光线路终端具体包括：

所述网络信息管理系统下发携带所述加密后的第一密码信息的第一 通知消息给所述光线路终端。

7、根据权利要求 5所述的认证方法， 其特征在于， 所述方法还包括： 所述网络信息管理系统定期更新所述第一密码信息。

8、根据权利要求 7所述的认证方法， 其特征在于， 所述方法还包括： 所述网络信息管理系统以所述第一密码信息为第二密钥， 生成第二 密码信息；

所述网络信息管理系统下发携带所述第二密码信息的第二通知消息 给所述光线路终端， 使得所述网络信息管理系统下发的第二通知消 ,包、通 过所述光线路终端的透传给所述光网络单元。

9、 一种光网络单元， 其特征在于， 所述光网络单元包括：

接收单元， 用于接收光线路终端透传的第一通知消息， 所述第一通 知消息至少包括： 所述光网络单元认证所需的第一密码信息； 所述第一 通知消息是由网络信息管理系统下发的第一通知消息；

认证单元， 用于根据所述第一通知消息中的第一密码信息， 完成与 所述光线路终端之间的认证。

10、 根据权利要求 9所述的光网络单元， 其特征在于， 所述第一密 码信息为经过第一密钥加密后的密码信息； 其中， 所述第一密钥为所述 光网络单元与所述网络信息管理系统共同约定的密钥。

11、 根据权利要求 10所述的光网络单元， 其特征在于， 所述认证单 元， 具体用于根据所述第一通知消息中的第一密码信息， 通过共同约定 的第一密钥对所述第一密码信息进行解析， 获取解密后的第一密码信息； 根据所述解密后的第一密码信息， 完成与所述光线路终端之间的认证。

12、 根据权利要求 9所述的光网络单元， 其特征在于， 所述接收单 元， 还用于接收所述光线路终端透传的第二通知消息， 所述第二通知消 息至少包括： 认证所需的第二密码信息； 所述第二通知消息是由网络信 息管理系统下发的第二通知消 ,包、；

所述认证单元， 还用于以所述第一密码信息为第二密钥， 对所述接 收的第二密码信息进行解密， 获取所述解密后的第二密码信息； 根据所 述解密后的第二密码信息， 完成与所述光线路终端之间的再次认证。

13、 一种网络信息管理系统， 其特征在于， 所述网络信息信息管理 系统包括：

生成单元， 用于生成第一密码信息， 所述第一密码信息为光网络单 元认证所需的密码信息；

发送单元， 用于下发携带所述第一密码信息的第一通知消息给所述 光线路终端， 使得所述下发的第一通知消息通过所述光线路终端透传给 所述光网络单元。

14、 根据权利要求 13所述的网络信息管理系统， 其特征在于， 所述 生成单元， 具体用于通过第一密钥对所述第一密码信息进行加密， 其中， 所述第一密钥为所述网络信息管理系统与所述光网络单元共同约定的密 钥；

所述发送单元， 具体用于下发携带所述加密后的第一密码信息的第 一通知消息给所述光线路终端。

15、 根据权利要求 13所述的网络信息管理系统， 其特征在于， 所述 网络信息管理系统还包括：

更新单元， 用于定期更新所述第一密码信息；

所述生成单元， 还用于以所述第一密码信息为第二密钥， 生成第二 密码信息；

所述发送单元， 还用于下发携带所述第二密码信息的第二通知消息 给所述光线路终端， 使得所述网络信息管理系统下发的第二通知消 ,包、通 过所述光线路终端的透传给所述光网络单元。

16、 一种认证系统， 其特征在于， 所述认证系统包括： 如权利要求 9 至 12中任意一项所述的光网络单元和如权利要求 13至 15中任意一项所 述的网络信息管理系统。