的设计可以优选在硬件中实施,例如在ASIC中实施,因为运行硬件实施方案的大型生产可能比软件实施方案更便宜。通常,设计可以软件形式开发和测试,并且随后通过熟知设计规则转换为用以硬线连接软件的指令的ASIC中的等效硬件实施方案。以与由新ASIC控制的机器为特定机器或装置相同的方式,同样,已经编程和/或加载有可执行指令的计算机可看作特定机器或装置。
[0036]图3是通过中继器F⑶的下行认证和密钥交换的方法300的一个实施例的协议图,所述方法可以在例如网络100等网络中实施,方法是采用0LT、以中继器模式操作的F⑶,以及CNU,例如,相应地,OLT 110、F⑶120以及CNU 130。因为F⑶用作中继器,所以F⑶可在OLT与CNU之间转发通信,并且从协议角度来看可基本上保持对通信透明。在步骤301处,CNU可连接到网络并且可通过rcu与OLT通信而以在OLT上操作的DPoE/DPoG系统注册。在注册期间,CNU可以指派唯一逻辑链路识别符(LLID),所述识别符可以用于表示如去往CNU/从CNU接收的特定通信。CNU与OLT之间的所有通信可以通过与指派LLID相关联的逻辑链路传输。在步骤303处,OLT上的DPoE/DPoG系统可通过TOU通过与CNU交换操作、管理和维护(OAM)消息而发现CNU能力。
[0037]在步骤310处可以通过执行步骤311、313、315和/或317来执行CNU认证。在步骤311处,CNU可将传输层安全(TLS)客户端问候消息传输到OLT,这可开始与OLT的握手。在步骤313处,响应于TLS客户端问候,OLT可传输一或多个消息,包括TLS服务器问候、请求来自CNU的证书的证书请求、以及指示握手完成的TLS问候完成。在步骤315处,CNU可将所请求的TLS证书传输到0LT。证书可以由OLT采用以验证CNU是经过授权的CNU且不是入侵者。CNU可进一步传输证书验证和/或完成消息以请求OLT验证证书并且指示证书传输完成。在步骤317处,OLT可传输证书完成消息以指示证书经验证且CNU经认证。应注意,在一些实施例中,OLT也可以传输单独的成功消息以指示成功的验证。
[0038]在步骤320处,OLT可通过采用步骤321、323和/或325与CNU交换安全密钥以用于通信加密。在步骤321处,CNU可将开始密钥交换请求传输到0LT。开始密钥交换请求可以包括用于CNU的公共密钥。在步骤323处,OLT可选择随机安全注意密钥(SAK)以用于与CNU通信。SAK可以通过米用来自CNU的公共密钥用Rivest、Shamir、Adleman(RSA)算法加密。OLT可随后将RSA加密的SAK连同SAK的散列一起传输到CNU,SAK的散列可以由CNU采用以验证SAK。在步骤325处,CNU可采用与公共密钥相关联的私用密钥以解密和验证SAK。CNU可随后传输确认到OLT以指示已经接收到和/或安装SAK。可以根据ITU-T文档推荐X.509选择公共密钥和私用密钥,所述文档以引用的方式并入。一旦解密和/或安装在CNU上,SAK就可以用于加密/解密OLT与CNU之间的下行和/或上行通信,以便确保CNU和OLT (但不是未经授权的设备)可以解密通信。方法300可用于防止CNU和/或连接到CNU上的未经授权的设备窃听与其它CNU相关联的下行通信。因此,来自OLT的树上的每个CNU可接收到针对所述树上的所有其它CNU的下行帧。然而,每个CNU仅可能够解密其自身的帧。另外,位于CNU与OLT之间的未经授权的监听设备可无法解密在OLT与CNU之间(例如,上行和/或下行)传输的帧。
[0039]图4是通过网桥F⑶的下行认证和密钥交换的方法400的一个实施例的协议图,所述方法可以在例如网络100等网络中实施,方法是采用0LT、以网桥模式操作的FCU,以及CNU,例如,相应地OLT 110、F⑶120以及CNU 130。方法400可以类似于方法300,但是可采用FCU处的认证中继器来管理电域中的加密。方法400可以用于允许电域中的下行加密的管理从OLT移到FCU。在步骤401处,OLT可与FCU的光纤/光学侧交换加密密钥。在步骤403处,rcu可以通过在OLT上操作的DPoE和/或DPoG系统认证。在步骤405处,CNU可以实质上类似于步骤301的方式以在OLT上操作的DPoE和/或DPoG系统注册。也可以类似于步骤303的方式在步骤405处发现CNU能力。在步骤410处,CNU可以通过步骤411到418认证。步骤411、413、415和417可以相应地实质上类似于步骤311、313、315和317。然而,步骤411、413、415和417的消息可以在相应地在步骤412、414、416和418处转发之前由F⑶拦截和/或解释。在步骤420处,F⑶可通过采用步骤421、423和425与CNU交换密钥。步骤421、423和425可以实质上类似于步骤321、323和325,但是F⑶可以是负责生成加密的SAK并且将其传输到CNU的实体。桥接的FCU可维持跨越电域加密/解密消息的职责并且OLT可维持跨越光域加密/解密消息的职责。FCU可接收来自OLT的加密的消息、解密消息、重新加密它们以用于电域(例如,通过采用差异SAK),并且将它们转发到CNU,且反之亦然。在替代性实施例中,消息可以不跨越光域加密且可以仅跨越电域加密(例如,通过 FCU)。
[0040]图5是通过网桥F⑶的双向认证和密钥交换的方法500的一个实施例的协议图,所述方法可以在例如网络100等网络中实施,方法是采用0LT、以网桥模式操作的FCU,以及CNU,例如,相应地,OLT 110、FCU120以及CNU 130。步骤501、503、505和511可以相应地实质上类似于步骤401、403、405和411。F⑶可以包括认证代理伺服器,所述代理伺服器可以接受511的TLS客户端问候消息并且可以在步骤513处将TLS服务器密钥交换请求和证书请求传输到CNU而无需与OLT通信。服务器密钥交换请求可以包括用于FCU的RSA公共密钥。FCU可采用2048位公共密钥/私用密钥对以支持预备主密码(PMS)的交换。
[0041]在步骤515处,CNU可在接收步骤513的证书请求之后通过传输TLS证书开始双向认证。CNU也可以传输客户端密钥交换消息和/或证书验证消息以请求证书的验证。CNU可生成PMS以包含在客户端密钥交换消息中,当生成相关联的SAK时PMS可以由FCU采用。PMS值可以使用RSA算法和与FCU相关联的公共密钥加密。FCU可以察觉与公共密钥相关联的私用密钥并且可采用所述私用密钥以解密PMS。网桥模式FCU可不包括证书和/或认证功能,因此F⑶可在步骤516处以类似于步骤416的方式将CNU TLS证书和证书验证中继转发到OLT。OLT可在步骤517处以类似于步骤417的方式传输证书完成消息以确认证书的接收。在步骤518处,OLT可进一步传输成功消息以指示CNU证书的成功认证。
[0042]在接收步骤518的成功消息之后,FCU可执行步骤520以生成用于消息加密的SAK。举例来说,在步骤515处从CNU接收的PMS可以用于生成连接关联密钥(CAK)。可以将高级加密标准(AES)加密消息认证码(CMAC)应用于CAK以生成密钥加密密钥(KEK)。在互联网工程任务组(IETF)文档请求注解(RFC) 4493中讨论了 AES CMAC,所述文档以引用的方式并入。在IEEE文档802.1X中讨论了 CAK和KEK,所述文档以引用的方式并入。TOU可采用随机数生成器(RNG)来生成随机SAK并且使用KEK加密SAK,方法是采用如在IETF文档RFC 3394中所论述的AES加密算法,所述文档以引用的方式并入。加密的SAK可以使用如在IEEE 802.1AE中所论述的MACsec密钥协商(MKA)协议消息传输到CNU,IEEE 802.1AE以引用的方式并入。
[0043]在步骤521处,CNU可以类似于步骤520的方式从PMS中生成KEK。在接收来自步骤523的MKA消息之后,CNU可采用衍生的KEK以解密消息并且获得SAK。SAK可随后由CNU和/或F⑶采用以跨越电域加密上行和/或下行通信。此类通信可以由F⑶加密/解密以用于传输到光域/从光域传输。采用一些其它加密机制,当采用在步骤501中传输的密钥跨越光域传输时此类通信可以得到加密,和/或可以普通文本传输。
[0044]图6是通过网桥F⑶的双向认证和密钥交换的方法600的另一实施例的协议图,所述方法可以在例如网络100等网络中实施,方法是采用0LT、以网桥模式操作的FCU,以及CNU,例如,相应地,OLT 110、F⑶120以及CNU 130。方法600可以包括类似于方法400和/或500的步骤,但是可以将PMS传递到OLT以用于SAK的生成。步骤601、603、605、611和612可以相应地实质上类似于步骤401、403、405、411和412。在接收步骤612的TLS客户端问候消息之后,OLT可在步骤613处以类似于步骤513的方式传输TLS服务器密钥交换和证书请求消息。证书请求消息可以包括用于OLT的公共密钥。在步骤614处,rcu可传输TLS F⑶密钥交换和证书请求消息到CNU。步骤614的消息可以类似于步骤613的消息,但是替代或补充用于OLT的公共密钥可以包括用于FCU的公共密钥。在步骤615处,CNU可以类似于步骤515的方式采用FCU公共密钥以将PMS传输到FCU。在步骤616处,FCU可以类似于步骤615的方式通过采用OLT公共密钥获得PMS并且将PMS转发到0LT。在步骤622处,OLT可通过采用PMS形成CAK并且可以类似于步骤520的方式生成SAK。在步骤620和621处,和CNU相应地可以类似于步骤521的方式通过采用PMS生成KEK。在步骤623处,OLT可以类似于步骤523的方式在通过KEK加密的MKA消息中传输SAK。在步骤624处,
可将MKA消息转发到CNU。在步骤625和627处,TOU和CNU相应地可通过采用KEK解密MKA消息以获得该SAK。随后SAK可用于OLT与CNU之间的上行和/或下行通信。可以通过OLT、FCU和CNU加强安全,因为每个设备可以察觉SAK。
[0045]在步骤728处,F