专利名称::光网络单元标识的分配方法以及光线路终端的制作方法
技术领域:
:本发明涉及通信领域,具体而言,涉及一种光网络单元标识的分配方法以及光线路终端。
背景技术:
:千兆无源光网络(GigabitPassiveOpticalNetwork,简称为GPON)系统由光线路终端(OpticalLineTerminal,简称为OLT)、光网络单元(OpticalNetworkUnit,简称为ONU)和光分配网络(OpticalDistributionNetwork,简称为ODN)组成,ODN为点到多点结构,一个OLT通过ODN连接多个ONU。在GPON系统中,为了防止非法ONU接入0LT,一般OLT需要对ONU进行认证。OLT对ONU的认证是基于ONU的序列号(SerialNumber)来实现,ONU的序列号由设备厂商设置而且是唯一的,包括8个字节,其中,前四个字节为设备商标识(VenderID),后四位是设备商分配的序列号。目前,GPON系统中,OLT对ONU的认证在ONU激活(activation)过程中实现,ONU激活过程主要包括以下步骤步骤1,ONU侦听OLT发送的下行帧并获取帧同步。步骤2,ONU侦听并获取OLT周期性发送的参数配置。步骤3,ONU侦听OLT周期性发送的序列号请求,并向OLT发送序列号。步骤4,OLT对ONU的认证通过后,根据序列号向ONU分配0NU-ID,需要说明的是,OLT会将ONU-ID和序列号一起发送。步骤5,OLT对ONU进行测距,并将测距结果通知给ONU。OLT对ONU的认证主要体现在ONU激活过程的步骤3和步骤4中。在ONU激活过程的步骤3中,OLT向ONU广播一个特殊的上行带宽分配作为序列号请求,该序列号请求用于指示未激活的ONU发送序列号。图1是根据相关技术的GPON系统的上行带宽分配格式的示意图,如图l所示,在GPON系统中上行带宽分配格式中,上行带宽分配组(UpstreamBWmap)N*8字节包括分配结构1至分配结构N8字节,其中,每个分配结构包括分配标识(AllocationIdentifier,简称为Alloc-ID,该分配标识一般是传输容器(TransmissionContainer,简称为T-CONT)标识)、标志(Flags,带宽的选项,12位比特,比特ll-O,其中,比特IO用于通知ONU在该上行带宽中发送物理层操作、管理与维护(PhysicalLayerOperation,Administraion&Maintenance,简称为PhysicalLayer0AM或PLOAM)消息,比特6-0为保留)、带宽起始时间(StartTime),带宽结束时间(StopTime),循环冗余校验码(CRC)。其中,OLT用于序列号请求的特殊上行带宽为Alloc-ID为0xFE(0xFE为一个16进制值,专门用于序列号请求),Flags的bitl0置1(通知ONU发送PLOAM消息),StartTime和StopTime组成一个13字节的上行带宽(在GPON系统中PLOAM格式固定为13字节)。在ONU激活过程的步骤4中,OLT根据序列号向ONU分配0NU-ID,该操作通过向ONU发送分配ONU标识(Assign_ONU-ID)消息来实现,其中,Assign_ONU_ID为PLOAM消息,其格式如表1所示,其中,携带0NU的序列号(字节4-11)以及分配的0NU-ID(字节3),该消息是广播消息(字节1为广播ONU-IDllllllll),需要获取ONU-ID的ONU接收该消息后,将消息中的序列号与本地的序列号比较,如果比较结果相同,则将该消息中的ONU-ID作为自己的ONU-ID。表1分配ONU标识(Assign_ONU_ID)消息格式分配ONU标识消息(Assign—ONU-IDmessage)<table>tableseeoriginaldocumentpage4</column></row><table>由于Assign_0NU-ID消息为广播消息,且每个ONU都可能解析,因此,ONU的序列号、以及ONU-ID和序列号之间的对应关系将可能被侦听,恶意0NU将可能仿冒其他0NU。由此可见,目前GP0N系统中的ONU认证过程和ONU-ID分配过程存在不安全性。另外,OLT对ONU的认证仅仅在ONU激活过程中进行,没有反复认证机制,这将使得仿冒其他ONU的恶意ONU很难被发现。针对相关技术中GPON系统中的ONU认证过程会导致恶意ONU仿冒其他ONU以及仿冒其他ONU的恶意ONU很难被发现的问题,目前尚未提出有效的解决方案。
发明内容针对相关技术中GPON系统中的ONU认证过程会导致恶意ONU仿冒其他ONU以及仿冒其他ONU的恶意ONU很难被发现的问题而提出本发明,为此,本发明的主要目的在于提供一种改进的光网络单元标识的分配方案,以解决上述问题至少之一。为了实现上述目的,根据本发明的一个方面,提供了一种光网络单元标识的分配方法。根据本发明的光网络单元标识的分配方法包括光线路终端为光网络单元分配光网络标识,向光网络单元发送光网络单元标识分配消息,并在其中携带光网络单元标识和光网络单元的指示信息,其中,指示信息与光网络单元的序列号相关。优选地,指示信息为序列号的预定字节信息。优选地,指示信息为对序列号进行加密后获得的信息。优选地,在发送光网络单元标识分配消息之后,上述方法还包括光网络单元接收来自光线路终端的光网络单元标识分配消息,并获取光网络单元标识分配消息中的光网络单元标识和指示信息;如果指示信息与光网络单元保存的序列号的预定信息匹配,则光网络单元将光网络单元标识作为自身标识。优选地,在发送光网络单元标识分配消息之后,上述方法还包括光线路终端对光网络单元进行认证。优选地,光线路终端对光网络单元进行认证包括光线路终端在网管系统的控制下对光网络单元进行认证。优选地,光线路终端对光网络单元进行认证包括光线路终端定时对光网络单元进行认证。优选地,光线路终端对光网络单元进行认证包括光线路终端向光网络单元发送请求消息,请求消息用于请求光网络单元的序列号和光网络单元标识;光线路终端接收来自光网络单元的序列号和光网络单元标识,并根据本地保存的预定对应关系、接收的序列号和光网络单元标识对光网络单元进行认证,其中,预定对应关系为序列号与光网络单元标识的对应关系。为了实现上述目的,根据本发明的另一个方面,提供了一种光线路终端。根据本发明的光线路终端包括分配模块,用于为光网络单元分配光网络单元标识;获取模块,用于获取光网络单元的指示信息,其中,指示信息与光网络单元的序列号相关;发送模块,用于向光网络单元发送光网络单元标识分配消息,其中,光网络单元标识分配消息中携带有光网络单元标识和指示信息。优选地,上述光线路终端还包括认证模块,用于对光网络单元进行认证。通过本发明,采用在光网络单元标识分配消息中仅携带光网络单元标识和光网络单元的指示信息的方法,解决了相关技术中GP0N系统中的0NU认证过程会导致恶意0NU仿冒其他ONU的问题,进而提高了系统的安全性。此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图1是根据相关技术的GP0N系统的上行带宽分配格式的示意图;图2是根据本发明实施例的光线路终端的结构框图。具体实施方式功能概述考虑到相关技术中GP0N系统中的0NU认证过程会导致恶意0NU仿冒其他0NU以及仿冒其他0NU的恶意0NU很难被发现的问题,本发明实施例提供一种在GP0N系统中基于序列号的0NU认证机制,以实现保护0NU的序列号并对0NU进行反复认证。在0NU激活过程中,0LT给0NU分配0NU-ID时,只携带0NU序列号相关的指示信息,而不是完整的0NU序列号,从而达到保护0NU序列号的目的。此外,本发明实施例还提供了一种0NU的反复认证机制,0LT或者更高层次的系统(例如,网管系统等)可以根据需要对ONU进行反复认证,以检查0NU是否合法。5需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。方法实施例根据本发明的实施例,提供了一种0NU标识的分配方法,该方法包括0LT为0NU分配光网络标识,向ONU发送ONU标识分配消息,并在其中携带ONU标识和ONU的指示信息,其中,指示信息与ONU的序列号相关。其中,指示信息可以包括但不限于以下信息之一(1)指示信息可以为序列号的预定字节信息。(2)指示信息可以为对序列号进行加密后获得的信息。在OLT向ONU发送ONU标识分配消息之后,ONU可以进行如下处理ONU接收来自OLT的ONU标识分配消息,并获取ONU标识分配消息中的ONU标识和指示信息;如果指示信息与ONU保存的序列号的预定信息匹配,则ONU将ONU标识作为自身标识。在OLT向ONU发送ONU标识分配消息之后,OLT还可以对ONU进行认证,该认证操作可以由OLT发起,也可以由网管系统发起,即,OLT在网管系统的控制下对ONU进行认证。通过对ONU进行反复认证,可以发现潜在的ONU仿冒危险。具体地,OLT可以定时对ONU进行认证,即,OLT可以对ONU进行反复认证,该认证过程包括以下处理(1)OLT向ONU发送请求消息,请求消息用于请求ONU的序列号和ONU标识;此后,ONU将序列号和ONU标识发送给OLT;(2)OLT接收来自ONU的序列号和ONU标识,并根据本地保存的预定对应关系、接收的序列号和ONU标识对ONU进行认证,即,检查ONU的序列号与ONU-ID之间的对应关系,其中,预定对应关系为序列号与ONU标识的对应关系。需要说明的是,可以在OLT或者更高层次的系统中保存序列号和ONU-ID之间的对应关系。通过该实施例,OLT向ONU分配ONU-ID时,隐藏ONU的序列号,有效防止ONU的序列号被侦听,同时,OLT能够反复对ONU进行基于序列号的认证,有效地防止ONU被仿冒的安全隐患。下面将结合实例对本发明实施例的实现过程进行详细描述。实例1在该实施例中,上述的ONU的指示信息为序列号的预定字节信息,GPON系统可以采用以下具体措施来实现基于序列号的ONU认证机制。首先,重新定义Assign_ONU-ID消息格式以及相关认证过程。具体地,在Assign_ONU-ID消息中,不直接携带完整的ONU序列号,而是携带ONU序列号相关的指示信息,本实施例为了简化方案,在AssignJ)NU-ID消息中,只携带序列号中的一个字节,并在消息中指出是序列号的哪个字节,具体实现如表2所示。其中,字节1仍然表示广播ONU-ID,字节2为新的AssignJ)NU-ID的消息类型,字节3仍然为分配的0NU-ID,字节4表示序列号的某个字节在序列号中的位置(取值为l-8,分别对应表l中的Serialnumberbyte1-8),字节5为序列号中的某个字节,其在序列号中的位置在字节4中表示。表2隐藏ONU序列号的Assign_ONU_ID消息示例6<table>tableseeoriginaldocumentpage7</column></row><table>根据本发明的实施例,改进后的ONU激活过程的主要包括以下步骤步骤1,ONU侦听0LT发送的下行帧并获取帧同步。步骤2,ONU侦听并获取0LT周期性发送的参数配置。步骤3,ONU侦听0LT周期性发送的序列号请求,并向0LT发送序列号。步骤4,0LT对ONU的认证通过后,根据序列号向ONU分配0NU-ID(该ONU-ID和序列号相关的指示信息一起发送),该步骤可以包括以下处理(l)OLT选择一个ONU的序列号,该ONU的序列号满足该序列号的某个字节与其他ONU序列号相应位置的字节都不相同。(2)0LT针对该ONU分配ONU-ID,将ONU-ID和序列号中的特定字节信息通过改进后的Assign_ONU-ID消息发送给ONU。(3)ONU比较AssignJ)NU-ID中的序列号相关的特定字节与本地的序列号对应的特定字节,如果一致,则将Assign_ONU-ID中的ONU-ID作为自己的ONU-ID。步骤5,OLT对ONU进行测距,并将测距结果通知给ONU。根据本发明的实施例,反复认证ONU的过程可以通过如下描述来实现。在该实施例中,OLT定时对ONU进行基于序列号的认证,设定一个周期定时器Tl,其时长为10分钟,S卩,OLT每10分钟对ONU进行一次基于序列号的认证。对于OLT来说,OLT通过一个特殊的上行带宽分配向ONU请求序列号,该上行带宽满足Alloc-ID与ONU-ID的值相同(每个ONU都有一个T-CONT,其Alloc-ID值与ONU-ID相同,在本实施例中该Alloc-ID用于请求一个特定的ONU发送序列号),Flags的bitlO置1(通知ONU发送PLOAM消息,该PLOAM消息携带ONU的序列号),Flags的保留bit6置1(表示该上行带宽为序列号请求)StartTime和StopTime组成一个13字节的上行带宽(在GPON系统中PLOAM格式固定为13字节)。对于ONU来说,ONU通过Serial_Number_ONU消息向ONU发送序列号,其中,Serial_Number_ONU为PLOAM消息,在GPON标准国际电信联盟一电信标准部(InternationalTe1ecommunicationsUnion—Telecommunicationsstandardizationsector,简称为ITU-T)G.984.3中定义,其格式如表3所示,其中,字节1为发送该消息的0NU的0NU-ID,字节2表示消息类型Serial_Number—0NU,字节3-10为序列号。表3序列号ONU(Serial—Number_0NU)消息格式<table>tableseeoriginaldocumentpage9</column></row><table>(1)0LT向ONU发送上述的特定的上行带宽分配,向ONU请求序列号。(2)ONU向OLT应答Serial_number_ONU消息,并在其中携带ONU的序列号。(3)0LT比较ONU的ONU-ID与序列号之间的对应关系,并对ONU执行相应的认证结果。通过该实施例,提供了OLT向ONU发送ONU标识分配消息中携带ONU的指示信息为序列号的预定字节信息的OLT对ONU进行认证的详细处理过程。实例2在该实施例中,上述的ONU的指示信息为对序列号进行加密后获得的信息。在向ONU分配ONU-ID过程中,也可以对其中的ONU序列号进行加密,以提高保护程度。首先,需要获得一个密钥以及一种加密算法以实现对ONU序列号的加密。为了简化,本实施采用以下方式获得密钥在ONU过程中,OLT向ONU发送序列号请求,作为响应,ONU向OLT发送Serial_Number_ONU消息,ONU发送该Serial_Number_ONU消息时会采取随机延迟,该随机延迟反映在Serial_Number_ONU消息中(例如,表3所示的11字节以及12字节的高4位),由于是随机延迟,可以考虑将该值作为密钥,本实施例将该随机延迟的低8位(S卩,表3中的11字节的低4位以及12字节的高4位组成一个8比特的密钥)。需要说明的是,本实施例仅以上述加密方式为例进行说明,但是本发明并不排除其他方式获得密钥。为了简化,本实施例采用异或的加密方式,S卩,用上述获得的8bit密钥对序列号的每个字节进行逐个异或。OLT对ONU的序列号进行加密处理后,仍然通过Assign_ONU_ID消息向ONU分配ONU-ID,只是AssignJ)NU-ID的4-11字节含义改变为加密后的序列号。表4分配ONU标识(Assign_ONU_ID)消息格式<table>tableseeoriginaldocumentpage10</column></row><table>根据本发明的实施例,改进后的ONU激活过程的主要包括以下步骤步骤1,ONU侦听OLT发送的下行帧并获取帧同步。步骤2,ONU侦听并获取OLT周期性发送的参数配置。步骤3,ONU侦听OLT周期性发送的序列号请求,并向OLT发送序列号,并将随机延迟的低8位比特作为密钥。步骤4,0LT对ONU的认证通过后,根据序列号向ONU分配ONU-ID(该ONU-ID和序列号相关的指示信息一起发送),该步骤可以包括以下处理(1)从ONU发送的Serial_Number_ONU消息中获得11字节的低4位比特和12字节的高4位比特组成一个8比特的密钥,并对序列号的每个字节用密钥进行异或处理,形成对序列号加密后的密文。(2)OLT针对该ONU分配ONU-ID,将ONU-ID和对序列号加密后的密文通过表4的Assign_ONU-ID消息发送给ONU。(3)ONU从AssignJ)NU-ID消息解析出序列号相关的密文并用之前保存的密钥解密获得序列号,如果该序列号与本地的序列号一致则将AssignJ)NU-ID中的ONU-ID作为自己的ONU-ID。步骤5,OLT对ONU进行测距,并将测距结果通知给ONU。通过该实施例,提供了OLT向ONU发送ONU标识分配消息中携带ONU的指示信息为对序列号进行加密后获得的信息的OLT对ONU进行认证的详细处理过程。装置实施例根据本发明的实施例,提供了一种OLT。图2是根据本发明实施例的OLT的结构框图,如图2所示,该OLT包括分配模块22、获取模块24、发送模块26,下面对上述结构进行描述。分配模块22,用于为ONU分配ONU标识;获取模块24,用于获取ONU的指示信息,其中,指示信息与ONU的序列号相关;发送模块26,连接至分配模块22和获取模块24,用于向ONU发送ONU标识分配消息,其中,ONU标识分配消息中携带有ONU标识和指示信息。其中,指示信息可以包括但不限于以下信息之一(1)指示信息可以为序列号的预定字节信息。(2)指示信息可以为对序列号进行加密后获得的信息。在OLT的发送模块26向ONU发送ONU标识分配消息之后,ONU可以根据ONU标识分配消息进行如下处理ONU接收来自OLT的ONU标识分配消息,并获取ONU标识分配消息中的ONU标识和指示信息;如果指示信息与ONU保存的序列号的预定信息匹配,则ONU将ONU标识作为自身标识。进一步地,上述OLT还包括认证模块(图中未示出),用于对ONU进行认证。通过认证模块的认证,OLT能够反复对ONU进行基于序列号的认证,有效地防止ONU被仿冒的安全隐患。综上,通过本发明的上述实施例,采用在ONU标识分配消息中仅携带ONU标识和ONU的指示信息的方法,解决了相关技术中GPON系统中的ONU认证过程会导致恶意ONU仿冒其他ONU的问题,进而提高了系统的安全性。显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。权利要求一种光网络单元标识的分配方法,其特征在于,包括光线路终端为光网络单元分配光网络标识,向所述光网络单元发送光网络单元标识分配消息,并在其中携带所述光网络单元标识和所述光网络单元的指示信息,其中,所述指示信息与所述光网络单元的序列号相关。2.根据权利要求1所述的方法,其特征在于,所述指示信息为所述序列号的预定字节信息。3.根据权利要求1所述的方法,其特征在于,所述指示信息为对所述序列号进行加密后获得的信息。4.根据权利要求1所述的方法,其特征在于,在发送所述光网络单元标识分配消息之后,所述方法还包括所述光网络单元接收来自所述光线路终端的所述光网络单元标识分配消息,并获取所述光网络单元标识分配消息中的所述光网络单元标识和所述指示信息;如果所述指示信息与所述光网络单元保存的所述序列号的预定信息匹配,则所述光网络单元将所述光网络单元标识作为自身标识。5.根据权利要求1所述的方法,其特征在于,在发送所述光网络单元标识分配消息之后,所述方法还包括所述光线路终端对所述光网络单元进行认证。6.根据权利要求5所述的方法,其特征在于,所述光线路终端对所述光网络单元进行认证包括所述光线路终端在网管系统的控制下对所述光网络单元进行认证。7.根据权利要求5所述的方法,其特征在于,所述光线路终端对所述光网络单元进行认证包括所述光线路终端定时对所述光网络单元进行认证。8.根据权利要求5所述的方法,其特征在于,所述光线路终端对所述光网络单元进行认证包括所述光线路终端向所述光网络单元发送请求消息,所述请求消息用于请求所述光网络单元的序列号和光网络单元标识;所述光线路终端接收来自所述光网络单元的序列号和光网络单元标识,并根据本地保存的预定对应关系、接收的所述序列号和所述光网络单元标识对所述光网络单元进行认证,其中,所述预定对应关系为所述序列号与所述光网络单元标识的对应关系。9.一种光线路终端,其特征在于,包括分配模块,用于为光网络单元分配光网络单元标识;获取模块,用于获取所述光网络单元的指示信息,其中,所述指示信息与所述光网络单元的序列号相关;发送模块,用于向光网络单元发送光网络单元标识分配消息,其中,所述光网络单元标识分配消息中携带有所述光网络单元标识和所述指示信息。10.根据权利要求9所述的光线路终端,其特征在于,还包括认证模块,用于对所述光网络单元进行认证。全文摘要本发明公开了一种光网络单元标识的分配方法以及光线路终端,其中,该方法包括光线路终端为光网络单元分配光网络标识,向光网络单元发送光网络单元标识分配消息,并在其中携带光网络单元标识和光网络单元的指示信息,其中,指示信息与光网络单元的序列号相关。本发明提高了系统的安全性。文档编号H04Q11/00GK101778311SQ20091000012公开日2010年7月14日申请日期2009年1月8日优先权日2009年1月8日发明者张伟良申请人:中兴通讯股份有限公司