安全认证的方法、装置和系统的制作方法

安全认证的方法、装置和系统的制作方法
【专利摘要】本发明提供一种安全认证的方法、装置和系统。涉及通信【技术领域】。解决了EPOC系统的安全性问题。具体可以包括：获取报文，并从报文中获取光线路终端的媒体接入控制地址；根据媒体接入控制地址计算光线路终端公钥；根据同轴网络单元与光线路终端之间的任一第一会话密钥和光线路终端公钥以及同轴网络单元私钥计算第一签密密文；向光线路终端发送第一签密密文，以便光线路终端根据第一签密密文对同轴网络单元进行网络接入认证。该方法能同时实现光线路终端对同轴网络单元的接入注册、认证及密钥共享。
【专利说明】安全认证的方法、装置和系统
【技术领域】
[0001]本发明涉及通信【技术领域】，尤其涉及安全认证的方法、装置和系统。
【背景技术】
[0002]在EP0C(Ethernet Passive Optical Network Over Coaxial,基于同轴的以太无源光线路)系统中，OLT (Optical Line Terminal,光线路终端)通过光纤与CMC (CoaxialMedia Converter,铜轴媒体转换器)连接，CMC 与 CNU (Coaxial Network Unit,同轴网络単元)通过同轴电缆连接，CMC主要用于光域信号与铜域信号之间的转换，即将OLT发送的光域信号转换为CNU接收的铜域信号，或者，将CNU发送的铜域信号转换成OLT接收的光域信号。
[0003]为了提高EPOC系统的安全性，在CNU接入网络前，EPOC系统需要通过与该CNU绑定的OLT对该CNU进行认证。
[0004]对CNU进行认证的方法可以包括:0LT接收CNU发送的访问请求，访问请求中包含CNU的MAC (Medium Access Control，媒体接入控制层)地址信息；OLT将接收到的访问请求转发至认证服务器中，认证服务器根据CNU的MAC地址信息判断CNU是否被允许接入，即判断CNU是否通过认证，认证服务器中可以存储有被允许接入的CNU的MAC地址信息、或被允许接入的CNU的条件等；0LT接收并向CNU转发认证服务器发送的认证响应,认证响应用于描述CNU是否通过认证。
[0005]若CNU通过认证，则CNU与OLT之间传输的数据可以使用存储于CNU与OLT中的共享会话密钥进行加密和/或解密。
[0006]在实现上述EPOC系统安全认证的过程中，发明人发现现有技术中至少存在如下问题:EP0C系统中，OLT根据CNU的MAC地址信息进行认证，当恶意CNU伪造正常CNU的MAC地址信息后，也可能通过OLT的认证而接入EPOC系统中，导致恶意CNU占用正常CNU的MAC地址，使正常CNU无法接入网络；同时，由干，OLT中只存储有与其绑定的CNU的共享会话密钥，因此，OLT只能对与其绑定的CNU进行认证和数据传输，降低了 EPOC系统的灵活性。

【发明内容】

[0007]本发明的实施例提供ー种安全认证的方法、装置、系统，解决了 EPOC系统的安全性较低的问题。
[0008]为达到上述目的，本发明的实施例采用如下技术方案:
[0009]一方面，提供ー种安全认证的方法，应用于EPOC系统，包括:
[0010]获取报文，并从所述报文中获取光线路终端的媒体接入控制地址；
[0011]根据所述媒体接入控制地址计算光线路终端公钥；
[0012]根据同轴网络单元与所述光线路终端之间的任一第一会话密钥和所述光线路终端公钥以及同轴网络単元私钥计算第一签密密文；
[0013]向所述光线路终端发送所述第一签密密文，以便所述光线路终端根据所述第一签密密文对所述同轴网络单元进行网络接入认证。
[0014]另外，还另提供ー种安全认证的方法，应用于EPOC系统，包括:
[0015]接收同轴网络单元发送的第一签密密文；
[0016]根据接收的同轴网络単元的媒体接入控制地址计算同轴网络単元公钥；
[0017]根据所述第一签密密文和所述同轴网络单元公钥以及光线路终端私钥对所述同轴网络单元进行网络接入认证，使得光线路终端与网络接入认证通过后的同轴网络单元进行通信。
[0018]另ー方面，提供ー种安全认证的装置，包括:同轴网络単元和光线路终端。
[0019]一种同轴网络单元，包括:
[0020]接收器，用于获取报文，并从所述报文中获取光线路终端的媒体接入控制地址；
[0021]处理器，用于根据所述接收器获取到的媒体接入控制地址计算光线路终端公钥；根据所同轴网络単元与所述光线路终端之间的任一第一会话密钥和所述光线路终端公钥以及同轴网络単元私钥计算第一签密密文；
[0022]发送器，用于向所述光线路终端发送所述处理器计算的第一签密密文，以便所述光线路终端根据所述第一签密密文对所述同轴网络单元进行网络接入认证。
[0023]ー种光线路终端，包括:
[0024]接收器，用于接收同轴网络单元发送的第一签密密文；
[0025]处理器，用于根据接收的同轴网络単元的媒体接入控制地址计算同轴网络単元公钥；根据所述第一签密密文和所述同轴网络单元公钥以及光线路终端私钥对所述同轴网络单元进行网络接入认证，使得光线路终端与网络接入认证通过后的同轴网络单元进行通ィ目。
[0026]再一方面，提供ー种安全认证的系统，包括:上述提供的同轴网络単元和光线路终端。
[0027]采用上述方案后，同轴网络単元在接入网络之前，根据第一会话密钥、同轴网络单元私钥、光线路终端公钥计算第一签密密文；将第一签密密文发送至光线路终端，以便光线路终端根据同轴网络单元公钥、光线路终端私钥、第一签密密文对同轴网络单元进行网络接入认证，増加了新接入的同轴网络単元的安全性，进而一定程度上増加了 EPOC系统的安全性，并且，光线路终端可以对任意同轴网络单元进行认证和数据传输，増加了 EPOC系统的灵活性。
【专利附图】

【附图说明】
[0028]为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0029]图1为本实施例提供的一种同轴网络单元为执行主体的安全认证的方法流程图；
[0030]图2为本实施例提供的另ー种同轴网络単元为执行主体的安全认证的方法流程图；
[0031]图3为本实施例提供的注册请求帧格式示意图；[0032]图4为本实施例提供的一种光线路终端为执行主体的安全认证的方法流程图；
[0033]图5为本实施例提供的另ー种光线路终端为执行主体的安全认证的方法流程图；
[0034]图6为本实施例提供的一种同轴网络单元结构示意图；
[0035]图7为本实施例提供的ー种光线路终端结构示意图；
[0036]图8为本实施例提供的另一种光线路终端结构意图；
[0037]图9为本实施例提供的ー种安全认证的系统结构示意图。
【具体实施方式】
[0038]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0039]本发明主要是在EPOC系统中，采用签密方案对新接入的同轴网络单元进行认证和密钥管理(如会话密钥共享等)，有效的保证了认证的真实性和会话密钥的保密性，其中，光线路终端承担认证者的角色；同轴网络単元承担被认证的角色。
[0040]签密方案是ー种在合理的逻辑步骤内同时完成签名和加密两项功能的公钥密码原型，优点在于可以在ー个合理的逻辑步骤同时实现对数据的加密(或密钥共享)和认证。与传统的“先签名后加密或先加密后签名”方法相比，签密方案在实现对数据的机密性、完整性和认证等安全要求时需要更小的通信代价与计算量，且能同时实现数据的进行加密(或密钥共享)和认证。
[0041]签密方案中，光线路终端对同轴网络单元的认证及密共享的步骤可以包括:同轴网络单元接收到光线路终端发送的发现授权帧报文(GATE报文)后，从GATE报文中获取光线路终端地址信息，如，MAC (Medium Access Control,媒体接入控制层)地址等；根据MAC地址计算同轴网络単元公钥；随机选取会话密钥，井根据会话密钥、同轴网络単元公钥计算签密密文；向光线路终端发送签密密文和同轴网络単元的MAC地址；光线路终端根据从签密密文中获取会话密钥，以实现密钥的共享，同时，并对同轴网络单元进行认证。
[0042]下面提供一些实施例，对同轴网络单元接入网络时，光线路终端对同轴网络单元进行认证和与同轴网络単元进行密钥共享的步骤和方法进行举例说明。
[0043]实施例一
[0044]本实施例提供ー种安全认证的方法，该方法的执行主体为同轴网络单元，如图1所示，可以包括以下步骤:
[0045]101、同轴网络单元获取报文，并从报文中获取光线路终端的媒体接入控制地址(即MAC地址)。
[0046]同轴网络単元接收的光线路终端发送的报文，该报文可以为但不限于GATE报文(发现授权帧报文)，GATE报文中可以携带有GATE报文的源地址，即光线路终端的MAC地址。其中，源地址和地址信息可以为但不限于MAC地址。
[0047]102、根据媒体接入控制地址计算光线路终端公钥。
[0048]签密方案中提供了计算公钥的方法，即光线路终端公钥可以是根据光线路终端的MAC地址计算的。[0049]103、根据同轴网络单元与光线路终端之间的任一第一会话密钥和光线路终端公钥以及同轴网络単元私钥计算第一签密密文。
[0050]通常的，为了保证数据传输的安全性，发送端在发送数据之间使用第一会话密钥对数据进行加密，将加密后的数据发送至接收端，接收端在接收到数据之后，使用第一会话密钥对接收到的数据进行解密。
[0051]在发送端与接收端使用第一会话密钥对待传输数据进行加密之前，需要在发送端与接收端之间进行第一会话密钥共享。
[0052]本实施例中，为了为实现第一会话密钥在同轴网络単元和光线路终端之间的共享作铺垫，同轴网络単元根据第一会话密钥和光线路终端公钥以及同轴网络単元私钥计算第
ー签密密文。
[0053]104、向光线路终端发送第一签密密文，以便光线路终端根据第一签密密文对同轴网络单元进行网络接入认证、并计算出第一会话密钥。
[0054]为了使光线路终端获取并存储第一会话密钥，同轴网络単元向光线路终端发送第ー签密密文，光线路终端可以根据第一签密密文计算出第一会话密钥，以实现第一会话密钥的共享。
[0055]采用上述方案后，同轴网络単元在接入网络之前，根据第一会话密钥、同轴网络单元私钥、光线路终端公钥计算第一签密密文；将第一签密密文发送至光线路终端，以便光线路终端根据同轴网络单元公钥、光线路终端私钥、第一签密密文对同轴网络单元进行网络接入认证，増加了新接入的同轴网络単元的安全性，进而一定程度上増加了 EPOC系统的安全性，并且，光线路终端可以对任意同轴网络单元进行认证和数据传输，増加了 EPOC系统的灵活性。
[0056]实施例二
[0057]作为改进，本实施例提供另ー种安全认证的方法，该方法是对图1所示的方法的进ー步扩展，如图2所示，可以包括以下步骤:
[0058]201、同轴网络单元获取报文，并从报文中获取光线路终端的媒体接入控制地址(MAC地址)。
[0059]同轴网络単元接收的光线路终端发送的报文，该报文可以为但不限于GATE报文(发现授权帧报文)，GATE报文中可以携带有GATE报文的源地址，即光线路终端MAC地址。
[0060]GATE报文中可以携带时隙消息，时隙消息可以用于描述同轴网络单元被允许向光线路发送信息的时间范围等。
[0061]本实施例对GATE报文包含的内容和作用不作限定，为本领域技术人员熟知的技术，在此不再赘述。
[0062]202、根据媒体接入控制地址计算光线路终端公钥。
[0063]签密方案中提供了计算公钥的方法，即光线路终端公钥可以是根据光线路终端的MAC地址计算的。
[0064]具体的，在签密方案中，同轴网络単元可以根据公式Qolt = H0(ID0lt)计算光线路终端公钥，其中，Qolt为光线路终端公钥；IDolT为光线路终端的MAC地址h0(?)第一哈希函数。
[0065]203、根据同轴网络单元与光线路终端之间的任一第一会话密钥和光线路终端公钥以及同轴网络単元私钥计算第一签密密文。
[0066]第一会话密钥用于对同轴网络単元与光线路之间传输的数据进行加密或解密。
[0067]作为本实施例的一种实施方式，第一会话密钥可以为但不限于128 (bits)的二进制的字符串，第一会话密钥的取值范围可以为但不限于大于或等于0且小于或等于2127。
[0068]本实施例对使用第一会话密钥对数据进行加密或解密的方法不作限定，可以根据实际需要进行设定，在此不再赘述。
[0069]作为本实施例的一种实施方式，在签密方案中，第一签密密文可以包含两部分:X和y，根据同轴网络单元公钥计算X ;根据同轴网络单元私钥和光线路终端公钥计算w ;根据X和第一会话密钥计算Ii1;根据h和同轴网络単元私钥计算z ;根据z和w和第一会话密钥以及同轴网络単元的媒体接入控制地址计算I ;根据X和y生成第一签密密文。
[0070]具体的，X可以根据公式X=rQCNU计算，其中，r为常数；y可以根据公式ァ= i/2(w)?(Z||/DCM/||/?)计算，其中，H2(.)为第三哈希函数；w为もい)的自变量，w=e (rSCNU, Qolt) ; Z= (r+hj) Scnu ^1=H1 (X m)仰为第一会话密钥!H1 (?)为第二哈希函数；IDcnu为同轴网络单元的MAC地址；Qrau为同轴网络单元公钥；Sr为同轴网络単元私钥。根据上述描述可以看出，在计算第一密文时，利用了 Qolt、Sc；NU、m等。
[0071]本实施例对第一哈希函数、第二哈希函数、第三哈希函数的区别不作限定，例如，它们之间的区别可以为但不限干:值域不同和/或定义域不同等，可以根据实际需要进行设定，在此不再赘述。
[0072]本实施例对第一签密密文的内容不作限定，可以根据实际需要进行设定，在此不再赘述。
[0073]204、向光线路终端发送第一签密密文，以便光线路终端根据第一签密密文对同轴网络单元进行网络接入认证、并计算出第一会话密钥。
[0074]同一设备的私钥和公钥是配合使用的，发送端使用自己的私钥和接收端公钥对待传输数据进行签密即加密、或与待传输数据进行相应运算时，接收端使用接收端的私钥和发送端的公钥对接收到的数据进行解签密即解密、或进行运算后获得待传输数据。另ー种方法可以为:发送端使用会话密钥对待传输数据进行加密，接收端使用会话密钥解密出待传输数据。
[0075]在签密方案中，配置所属同一运营商的设备的私钥需要使用相同的主密钥，且还与公钥有关，具体的，可以根据公式S=sQ配置私钥，其中，S为私钥；8为主密钥；0为公钥。
[0076]为了使光线路终端获取并存储第一会话密钥，同轴网络単元向光线路终端发送第ー签密密文，光线路终端可以根据第一签密密文计算出第一会话密钥，以实现第一会话密钥的共享。
[0077]作为本实施例的一种实施方式，在签密方案中，由于，第一签密密文是根据同轴网络单元私钥、光线路终端公钥、第一会话密钥计算的，因此，光线路终端可以根据同轴网络単元公钥、光线路终端私钥以及第ー签密密文计算出第一会话密钥。也可以说是，同轴网络単元使用同轴网络単元私钥和光线路终端公钥对第一会话密钥进行加密，加密后获得第一签密密文；光线路终端使用同轴网络単元公钥和光线路终端私钥对第一签密密文进行解签密，从而获得第一会话密钥。
[0078]第一签密密文是根据同轴网络単元私钥和光线路终端公钥等參数计算的，由干，私钥是保密的，每个同轴网络単元的私钥只在其内部存储，因此，光线路终端还可以根据同轴网络単元公钥对该同轴网路设备进行认证，认证同轴网络単元公钥与私钥是否相对应，即认证该同轴网络单元是否是伪造的。
[0079]进ー步的，同轴网络単元可以向光线路终端发送包含有第一签密密文的报文。
[0080]作为本实施例的一种实施方式，如图3所示，为包含有第一签密密文的报文的帧结构，第一签密密文被添加在帧结构的信息域处。其中，该报文的帧结构中的操作码可以为
0004。本步骤中，源地址可以为同轴网络单元的MAC地址，目的地址可以为光线路终端的MAC地址。
[0081]205、向光线路终端发送包含有同轴网络単元的媒体接入控制地址的报文，使得光线路终端根据同轴网络单元的媒体接入控制地址获取同轴网络単元公钥。
[0082]206、接收光线路终端发送的注册响应，若通过认证，则注册响应帧结构的Flags(一种域的名称)域标识为3 ;若未通过认证,则注册响应帧结构的Flags域标识为4。若通过认证则执行步骤206 ;若未通过认证，则流程结束。
[0083]同轴网络単元在接收到注册响应后，根据注册响应的Flags域标识的数值判断是否通过认证，若通过认证，则使用第一会话密钥对数据进行加密；若未通过认证，则等待下次认证。
[0084]207、接收光线路终端发送的更新请求，更新请求用于指示同轴网络单元对第一会话密钥进行更新。
[0085]第一会话密 钥不能无限期的使用，由于，使用的时间越长，第一会话密钥被泄露的概率越大，因此，需要对第一会话密钥进行更新，以保证第一会话密钥的安全性。
[0086]为了对第一会话密钥进行更新，光线路终端向同轴网络单元发送更新请求。
[0087]作为本实施例的一种实施方式，更新请求帧结构的操作码可以为0007。
[0088]进ー步可选的，接收光线路终端发送的更新请求可以为:接收光线路终端周期性发送的更新请求。
[0089]本实施例对光线路终端发送更新请求的方式不作限定，可以根据实际需要进行设定，在此不再赘述。
[0090]208、同轴网络単元根据同轴网络单元与光线路终端之间的任一第二会话密钥和光线路终端公钥以及同轴网络単元私钥计算第二签密密文。
[0091]同轴网络単元计算第二签密密文的方法与步骤203中同轴网络単元计算第一签密密文的方法类似，在此不再赘述。
[0092]209、向光线路终端发送第二签密密文，以便光线路终端根据第二签密密文对同轴网络单元进行第二次网络接入认证、并计算出第二会话密钥。
[0093]其中，同轴网络単元可以向光线路终端发送包含有第二签密密文的密钥更新响应，更新响应帧格式的操作码可以为0008。更新响应帧格式与图3所示的格式类似。
[0094]210、当同轴网络単元通过光线路终端的网络接入认证后，将第一会话密钥更新为第二会话密钥，并使用第二会话密钥对光线路终端与同轴网络単元之间传输的数据进行加密。
[0095]211、接收光线路终端发送的密钥更新确认消息，若通过认证，则密钥更新确认消息中贞结构的Flags域标识为3 ;若未通过认证,则密钥更新确认消息帧结构的Flags域标识为4。钥更新确认消息帧结构的操作码为0009。
[0096]采用上述方案后，同轴网络単元在接入网络之前，根据第一会话密钥、同轴网络单元私钥、光线路终端公钥计算第一签密密文；将第一签密密文发送至光线路终端，以便光线路终端根据同轴网络单元公钥、光线路终端私钥、第一签密密文计算出第一会话密钥，以实现会话密钥共享，同时，还可以对同轴网络单元进行网络接入认证，増加了新接入的同轴网络单元的安全性，进而一定程度上増加了 EPOC系统的安全性，并且，光线路终端可以对任意同轴网络单元进行认证和数据传输，増加了 EPOC系统的灵活性。
[0097]实施例三
[0098]本实施例提供ー种安全认证的方法，应用于EPOC系统，该方法的执行主体为光线路终端，如图4所示，可以包括以下步骤:
[0099]401、光线路终端接收同轴网络单元发送的第一签密密文。
[0100]第一签密密文在实施例一与实施例二中已进行了描述，在此不再赘述。
[0101]402、根据接收的同轴网络単元的媒体接入控制地址计算同轴网络単元公钥。
[0102]403、根据第一签密密文和同轴网络単元公钥以及光线路终端私钥对同轴网络单元进行网络接入认证，使得光线路终端与网络接入认证通过后的同轴网络单元进行通信。
[0103]采用上述方案后，光线路终端根据同轴网络单元公钥、光线路终端私钥、第一签密密文对同轴网络单元进行网络接入认证，増加了新接入的同轴网络単元的安全性，进而ー定程度上增加了 EPOC系统的安全性。
[0104]实施例四
[0105]作为改进，本实施例提供另ー种安全认证的方法，该方法为图4所示的方法的进一步扩展，如图5所示，可以包括以下步骤:
[0106]501、光线路终端接收同轴网络单元发送的第一签密密文。
[0107]第一签密密文在实施例一与实施例二中已进行了描述，在此不再赘述。
[0108]502、根据接收的同轴网络単元的媒体接入控制地址计算同轴网络単元公钥。
[0109]根据签密方案计算公钥的方法在“实施例二”中的步骤202已进行描述，在此不再赘述。
[0110]同轴网络単元的媒体接入控制地址可以是通过接收包含有同轴网络単元的媒体接入控制地址的报文，并从该报文中获取的。
[0111]503、光线路终端根据第一签密密文和同轴网络単元公钥以及光线路终端私钥计算出第一会话密钥、并对同轴网络单元进行网络接入认证，以便在通过网络接入认证后，使用第一会话密钥对光线路终端与同轴网络単元之间传输的数据进行加密和/或解密，即，使得光线路终端与网络接入认证通过后的同轴网络单元进行通信。
[0112]作为本实施例的一种实施方式，根据“实施例二”中，步骤203所描述的，第一签密密文可以包含两部分:X和y，光线路终端根据第一签密密文和同轴网络単元公钥和光线路終端私钥计算出第一会话密钥可以包括:
[0113]根据同轴网络单元公钥和光线路终端私钥计算w ;根据y和w计算a，第一签密密文包含I ;根据同轴网络单元的媒体接入控制地址和a计算第一会话密钥。
[0114]具体的，光线路终端根据公式Z Il/DcaC = y?見(W)计算密钥m。其中，IDcnu为同轴网络单元MAC地址邱为第一会话密钥；H2( ?)为第三哈希函数。[0115]由于，
【权利要求】
1.ー种安全认证的方法，应用于基于同轴的以太无源光线路系统，其特征在于，包括: 获取报文，并从所述报文中获取光线路终端的媒体接入控制地址； 根据所述媒体接入控制地址计算光线路终端公钥； 根据同轴网络单元与所述光线路终端之间的任一第一会话密钥和所述光线路终端公钥以及同轴网络単元私钥计算第一签密密文； 向所述光线路终端发送所述第一签密密文，以便所述光线路终端根据所述第一签密密文对所述同轴网络单元进行网络接入认证。
2.根据权利要求1所述的方法，其特征在于，在所述向所述光线路终端发送所述第一签密密文之后,所述方法还包括: 接收所述光线路终端发送的更新请求，所述更新请求用于指示所述同轴网络单元对所述第一会话密钥进行更新； 根据所述同轴网络単元与所述光线路终端之间的任一第二会话密钥和所述光线路终端公钥以及所述同轴网络单元私钥计算第二签密密文； 向所述光线路终端发送所述第二签密密文，以便所述光线路终端根据所述第二签密密文对所述同轴网络单元进行第二次网络接入认证； 当所述同轴网络单元通过所述光线路终端的第二次网络接入认证后，将所述第一会话密钥更新为所述第二会话密钥。
3.根据权利要求1或2中任意一项所述的方法，其特征在于，所述方法还包括: 向所述光线路终端发送包含有所述同轴网络单元的媒体接入控制地址的报文，使得所述光线路终端根据所述同轴网络単元的媒体接入控制地址获取同轴网络単元公钥。
4.ー种安全认证的方法，应用于基于同轴的以太无源光线路系统，其特征在于，包括: 接收同轴网络单元发送的第一签密密文； 根据接收的同轴网络単元的媒体接入控制地址计算同轴网络単元公钥； 根据所述第一签密密文和所述同轴网络单元公钥以及光线路终端私钥对所述同轴网络单元进行网络接入认证，使得光线路终端与网络接入认证通过后的同轴网络单元进行通ィ目。
5.根据权利要求4所述的方法，其特征在于，在所述根据接收的同轴网络単元的媒体接入控制地址计算同轴网络単元公钥之后，所述方法还包括: 根据所述第一签密密文和所述同轴网络单元公钥以及光线路终端私钥计算出所述第ー会话密钥。
6.根据权利要求4或5所述的方法，其特征在于，在所述根据接收的同轴网络単元媒体接入控制地址计算同轴网络単元公钥之前，所述方法还包括: 接收包含有所述同轴网络单元的媒体接入控制地址的报文，并从所述报文中获取所述同轴网络単元的媒体接入控制地址。
7.根据权利要求4至6中任意一项所述的方法，其特征在于，在所述对所述同轴网络单元进行网络接入认证之后，若所述同轴网络单元通过所述网络接入认证，则所述方法还包括: 向所述同轴网络单元发送更新请求，所述更新请求用于指示所述同轴网络单元对所述第一会话密钥进行更新；接收所述同轴网络单元发送的第二签密密文； 根据所述第二签密密文和所述同轴网络单元公钥以及所述光线路终端私钥计算所述第二会话密钥、并对所述同轴网络单元进行第二次网络接入认证； 当所述同轴网络单元通过所述光线路终端的第二次网络接入认证后，将所述第一会话密钥更新为所述第二会话密钥。
8.一种同轴网络单元，其特征在于，包括: 接收器，用于获取报文，并从所述报文中获取光线路终端的媒体接入控制地址； 处理器，用于根据所述接收器获取到的媒体接入控制地址计算光线路终端公钥；根据所同轴网络単元与所述光线路终端之间的任一第一会话密钥和所述光线路终端公钥以及同轴网络単元私钥计算第一签密密文； 发送器，用于向所述光线路终端发送所述处理器计算的第一签密密文，以便所述光线路终端根据所述第一签密密文对所述同轴网络单元进行网络接入认证。
9.根据权利要求8所述的同轴网络単元，其特征在于，所述接收器，还用于接收所述光线路终端发送的更新请求，所述更新请求用于指示所述同轴网络单元对所述第一会话密钥进行更新； 所述处理器，还用于根据所述同轴网络単元与光线路终端之间的任一第二会话密钥和所述光线路终端公钥以及所述同轴网络单元私钥计算第二签密密文；当所述同轴网络单元通过所述光线路终端的第二次网络接入认证后，将所述第一会话密钥更新为所述第二会话密钥； 所述发送器，还用于向所`述光线路终端发送所述处理器计算的第二签密密文，以便所述光线路终端根据所述第二签密密文对所述同轴网络单元进行第二次网络接入认证。
10.根据权利要求8或9所述的同轴网络単元，其特征在于，所述发送器，还用于向所述光线路终端发送包含有所述同轴网络单元的媒体接入控制地址的报文，使得所述光线路终端根据所述同轴网络単元的媒体接入控制地址获取同轴网络単元公钥。
11.ー种光线路终端，其特征在于，包括: 接收器，用于接收同轴网络单元发送的第一签密密文； 处理器，用于根据接收的同轴网络単元的媒体接入控制地址计算同轴网络単元公钥；根据所述第一签密密文和所述同轴网络单元公钥以及光线路终端私钥对所述同轴网络单元进行网络接入认证，使得光线路终端与网络接入认证通过后的同轴网络单元进行通信。
12.根据权利要求11所述的光线路终端，其特征在于，所述处理器，还用于根据所述第ー签密密文和所述同轴网络单元公钥以及光线路终端私钥计算出所述第一会话密钥。
13.根据权利要求11或12所述的光线路终端，其特征在于，所述接收器，还用于接收包含有所述同轴网络单元的媒体接入控制地址的报文，并从所述报文中获取所述同轴网络单元的媒体接入控制地址。
14.根据权利要求11至13中任意一项所述的光线路终端，其特征在于，还包括: 发送器，用于若所述同轴网络单元通过所述网络接入认证，则向所述同轴网络单元发送更新请求，所述更新请求用于指示所述同轴网络单元对所述第一会话密钥进行更新； 所述接收器，还用于接收所述同轴网络单元发送的第二签密密文； 所述处理器，还用于根据所述接收器接收的第二签密密文和所述同轴网络单元公钥以及所述光线路终端私钥计算所述第二会话密钥、并对所述同轴网络单元进行第二次网络接入认证；当所述同轴网络单元通过所述光线路终端的第二次网络接入认证后，将所述第一会话密钥更新为所述第二会话密钥。
15.ー种安全认证的系统，其特征在于，包括:权利要求8至10任意一项所述的同轴网络单元和权利要求11至14任`意一项所述的光线路终端。
【文档编号】H04L9/32GK103609061SQ201280000849
【公开日】2014年2月26日 申请日期:2012年6月21日 优先权日:2012年6月21日
【发明者】孙艳宾, 孙方林, 赵泉波 申请人:华为技术有限公司