专利名称:一种gpon系统中的onu激活方法及系统的制作方法
技术领域:
本发明涉及GPON(Gigabit Passive Optical Network,吉比特无源光网络)领域, 更具体的说,涉及一种GPON系统中的ONU激活方法及系统。
背景技术:
GPON 系统一般由 OLT(Optical Line Terminal,光线路终端)、 ONU(OpticalNetwork Unit,光网络单元)和 0DN(0ptical Distribution Network,光分配 网络)组成,ODN为点到多点结构,一个OLT通过ODN连接多个0NU。在GPON系统中,为了防止非法ONU接入0LT,一般OLT需要对ONU进行认证。OLT 对 ONU 的认证是基于 ONU 的 SN(Serial Number,序列号)或者 RegID (Registration ID,注 册身份标识)来实现的。OLT对ONU的认证是在ONU激活过程后期进行的,ONU的激活过程 主要包括以下步骤步骤1、ONU 侦听 OLT 发送的下行 GTC (GP0N Transmission Convergence, GPON 传 输汇聚)帧并获取帧同步;步骤2、ONU侦听并获取OLT周期性发送的参数配置;步骤3、ONU侦听OLT周期性发送的序列号请求,并向OLT发送SN ;步骤4、OLT根据SN向该ONU分配ONU标识(0NU-ID);步骤5、0LT对该ONU发送测距请求(该测距请求为一个带宽分配)进行测距,ONU 发送测距响应,OLT计算测距结果并将测距结果通知给ONU ;步骤6、OLT 向 ONU 请求 RegID,ONU 向 OLT 发送 RegID ;步骤7、0LT对ONU的SN和RegID进行认证,如果认证通过则对ONU进行进一步的 配置并提供业务,否则将去激活ONU并收回分配的0NU-ID。可以看出ONU激活过程是占用系统资源的,如步骤4中分配的0NU-ID,在一个PON 口下只有256个取值可用,因此ONU-ID是GPON系统中非常重要的资源;如步骤5中的测距 请求实际上是一个带宽分配,步骤6中OLT和ONU之间交互RegID也涉及带宽分配,而带宽 是也GPON系统中非常重要的资源;步骤7中还需要回收分配给非法ONU的0NU-ID,也增加 了 GPON系统及其管理系统的额外工作。另外,步骤3、4中ONU的SN以及步骤6中ONU的RegID都是明文发送的,容易被 窃听和仿冒;步骤5中ONU发送的测距响应没有任何保护措施,恶意ONU只要知道其它ONU 的ONU-ID即可仿冒发送测距响应,可能造成测距结果的不准确。
发明内容
有鉴于此,本发明的主要目的在于提供一种GPON系统中的ONU激活方法及系统, 用于解决ONU激活过程中上行认证信息被窃听以及恶意注册的非法ONU占用GPON系统资 源的技术问题。为达到上述目的,本发明的技术方案是这样实现的
一种GPON系统中的ONU激活方法,包括所述光网络单元(ONU)在激活过程中向光线路终端(OLT)发送设备标识和加密的 用户标识,所述OLT对所述ONU发送的设备标识和加密的用户标识进行认证,若认证成功则 继续ONU激活过程,否则终止ONU激活过程。进一步地,所述加密的用户标识由所述ONU利用用户密钥对用户标识进行加密而 获得,所述用户标识及用户密钥在所述ONU激活之前分配给所述0NU,所述OLT中保存有设 备标识与用户标识以及用户密码之间的对应关系。进一步地,所述OLT对所述ONU发送的加密的用户标识进行认证的方法为所述OLT通过所述设备标识获得所述ONU对应的本地保存的用户密钥和用户标 识;所述OLT用本地用户密钥对本地用户标识进行加密并与所述ONU发送的加密的用 户标识进行比较,如果一致则认证成功,否则认证失败;或所述OLT用本地用户密钥对所述 ONU发送的加密的用户标识进行解密并与本地的用户标识进行比较,如果一致则认证成功, 否则认证失败。
进一步地,基于实施例一,所述ONU在接收到所述OLT发送的设备认证请求后向所 述OLT发送自身的设备标识、加密的用户标识,所述设备标识至少包括所述ONU的序列号或 注册身份标识;所述OLT对所述ONU发送的设备标识和加密的用户标识进行认证,认证成功 后,所述OLT根据所述ONU的序列号向所述ONU分配ONU标识(ONU-ID)。基于上述方法,所述ONU在接收到所述OLT的测距请求后,向所述OLT发送测距响 应和加密的用户标识;所述OLT对所述加密的用户标识进行认证,若认证成功则将测距结 果通知给所述0NU,否则终止所述ONU的激活过程。进一步地,基于实施例二,所述ONU在接收到所述OLT发送的设备认证请求后向所 述OLT发送自身的设备标识;所述OLT对所述ONU发送的设备标识进行认证,认证成功后,所述OLT根据所述 ONU的设备标识向所述ONU分配ONU标识(ONU-ID);所述ONU在接收到所述OLT发送的测距请求后向所述OLT发送所述加密的用户标 识作为测距响应,所述OLT对所述ONU发送的加密的用户标识进行认证,认证成功后,将测 距结果通知给所述0NU。基于上述方法,所述设备标识为所述ONU的序列号或注册身份标识;若所述设备 标识为注册身份标识,则还包括所述OLT向所述ONU请求获取序列号的过程。进一步地,在所述OLT对所述ONU发送的设备标识和加密的用户标识认证成功后, 所述OLT和所述ONU更新所述ONU对应的用户密钥,并各自存储在本地,供下一次认证使用。本发明还提出一种GPON系统中的ONU激活系统,包括光线路终端(OLT)、光网络单 元(ONU),所述OLT侧中还包括设备标识认证单元,位于OLT侧,用于对所述ONU发送的设备标识进行认证;加密用户标识认证单元,位于OLT侧,用于对ONU发送的加密的用户标识进行认 证;所述OLT对根据所述设备标识和加密的用户标识的认证结果执行进一步地处理。
进一步地,所述加密的用户标识由所述ONU利用用户密钥对用户标识进行加密而 获得,所述用户标识及用户密钥在所述ONU激活之前分配给所述0NU,所述OLT中保存有设 备标识与用户标识以及用户密码之间的对应关系。进一步地,所述加密用户标识认证单元通过所述设备标识获得所述ONU对应的本 地保存的用户密钥和用户标识,所述加密用户标识认证单元用本地用户密钥对本地用户标识进行加密并与所述 ONU发送的加密的用户标识进行比较,如果一致则对所述加密用户标识的认证成功,否则认 证失败;或所述加密用户标识认证单元用本地用户密钥对所述ONU发送的加密的用户标识 进行解密并与本地的用户标识进行比较,如果一致则对所述加密用户标识的认证成功,否 则认证失败。进一步地,基于实施例一,所述ONU在接收到所述OLT发送的设备认证请求后向所 述OLT发送自身的设备标识、加密的用户标识;所述设备标识至少包括所述ONU的序列号或 注册身份标识;所述设备标识认证单元对所述设备标识进行认证,若认证失败则终止ONU 激活过程;若认证成功则由所述加密用户标识认证单元对加密的用户标识进行认证,若认 证成功则OLT根据所述ONU的序列号向所述ONU分配ONU标识(ONU-ID),若认证失败则终 止ONU激活过程。基于上述方法,所述ONU在接收到所述OLT的测距请求后,向所述OLT发送测距响 应和加密的用户标识;所述设备标识认证单元对所述加密的用户标识进行认证,若认证成 功则将测距结果通知给所述0NU,否则终止所述ONU的激活过程。进一步地,基于实施例二,所述ONU在接收到所述OLT发送的设备认证请求后向所 述OLT发送自身的设备标识;所述设备标识认证单元对所述ONU发送的设备标识进行认证,认证成功后,所述 OLT根据所述ONU的设备标识向所述ONU分配ONU标识(ONU-ID);所述ONU在接收到所述OLT发送的测距请求后向所述OLT发送所述加密的用户 标识作为测距响应,所述加密用户标识认证单元对所述ONU发送的加密的用户标识进行认 证,认证成功后,将测距结果通知给所述0NU。进一步地,在所述设备标识认证单元对所述设备标识进行认证及所述加密用户标 识认证单元对所述加密的用户标识进行认证成功后,所述OLT和所述ONU更新所述ONU对 应的用户密钥,并各自存储在本地,供下一次认证使用。本发明改进了 GPON系统现有的ONU认证过程,避免非法ONU激活时占用消耗GPON 系统的资源,同时防止恶意用户对ONU认证过程的窃听和仿冒,从而保证了 ONU设备认证的安全性。
图1集中发送认证信息的ONU设备认证过程;图2对集中发送的认证信息的认证过程;图3分散发送认证信息的ONU设备认证过程。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚明白,以下举实施例并参照附图,对 本发明进一步详细说明。ONU的应用场景一般存在以下两种情况(1) ONU设备是运营商分配的这种情况下,ONU的序列号(Serial Number, SN) 一般已经配置在OLT的数据库中, 也就是说ONU的序列号是合法的,因此ONU激活过程仅需要序列号而不需要RegID,OLT对 ONU的初始激活过程和后续激活过程都是基于序列号SN进行的。(2)ONU设备是用户自行购买的这种情况下,运营商不知道该设备的序列号,运营商需要给用户分配一个RegID, ONU设备初次认证需提供RegID,使得OLT通过合法的RegID让序列号成为合法。以后的 ONU激活过程中序列号已经配置在OLT中,该序列号类同于第一种情况,ONU设备初次激活 之后的激活过程只需要序列号。本发明中,为了保证ONU设备认证的安全性,为OLT和ONU预先分配用户标识和用 户密钥,OLT在本地保存设备标识(包括序列号和/或RegID)与用户标识以及用户密钥的 对应关系。ONU在激活过程中向OLT提供设备标识、加密的用户标识,OLT通过所述设备标 识获得ONU对应的本地保存的用户密钥和用户标识,然后对所述ONU发送的加密的用户标 识进行ONU设备认证。其中,加密的用户标识是用用户密钥对用户标识进行加密而得到的, 设备标识是明文发送的。本发明中,为了防止恶意用户侦听、仿冒ONU发送的加密的用户标识,在ONU设备 认证成功后需更新ONU的用户密钥,用户密钥的更新过程可由OLT发起也可以由ONU发起, 主要有以下两种方式a、用户密钥更新过程由OLT发起(发起端)。OLT产生新的用户密钥,并用旧的用 户密钥加密,再将加密后的新用户密钥发送给ONU (对端);ONU收到OLT发送的加密的新用 户密钥,用旧的用户密钥解密得到新的用户密钥,并保存新的用户密钥。下一次ONU激活过 程中,OLT和ONU都采用新的用户密钥。b、用户密钥更新过程由ONU发起(发起端)。ONU产生新的用户密钥,并用旧的用 户密钥加密,再将加密后的新用户密钥发送给OLT (对端),OLT收到ONU发送的加密的新用 户密钥,用旧的用户密钥解密得到新的用户密钥。下一次ONU激活过程中,OLT和ONU都采 用新的用户密钥。实施例一集中发送认证信息的ONU激活过程本实施例在ONU设备激活过程中集中发送ONU的认证信息,如图1所示,关键步骤包括:步骤101 =OLT发送设备认证请求给ONU ;步骤102 =ONU向OLT发送设备标识(包括序列号和RegID)和加密的用户标识;步骤103 =OLT针对ONU发送的设备标识和加密的用户标识进行认证,认证成功进 入步骤104,否则终止ONU激活过程并停止与ONU进一步交互。为实现对设备标识及加密的用户标识的认证,本发明在OLT中增添两个模块,分 别是用于进行设备标识认证的设备标识认证单元及用于对加密的用户标识进行认证的加 密用户标识认证单元。本实施例中,步骤103同时调用这两个单元分别对设备标识和加密的用户标识进行认证。该实施例中的设备标识包括ONU的序列号及RegID,具体认证过程如 图2所示。步骤104 =OLT根据ONU的序列号向该ONU分配0NU-ID,并发送新的用户密钥;步骤105 =OLT向该ONU发送测距请求;步骤106 =ONU发送测距响应和加密的用户标识给OLT ;步骤107 =OLT首先判断加密的用户标识是否合法,如果合法则计算测距结果,进 入步骤108,否则终止ONU的激活过程;该步骤中,OLT调用加密用户标识认证单元对加密的用户标识进行认证,如果ONU 提供的加密的用户标识合法则认证成功。步骤108 =OLT将测距结果通知给ONU ;图2为本发明OLT对ONU的设备标识和加密的用户标识的认证过程步骤201 =OLT调用设备标识认证单元判断ONU的序列号是否合法,如果合法,则 OLT根据序列号获得OLT本地保存的对应ONU的用户标识和用户密码,进入步骤203,否则 进入步骤202 ;步骤202 如果存在RegID,则OLT调用设备标识认证单元判断RegID是否合法,若 合法则将序列号也设置为合法,并根据RegID获得OLT本地保存的对应ONU的用户标识和 用户密码,进入步骤203,否则认证失败;步骤203 =OLT调用加密用户标识认证单元用本地用户密钥对本地用户标识进行 加密并与ONU发送的加密的用户标识进行比较,如果一致则认证成功,否则认证失败。实施例二 分散发送认证信息的ONU激活过程本实施例在ONU激活过程中分散发送ONU的认证信息,如图3所示,关键步骤包 括步骤301 =OLT发送设备认证请求;步骤302 =ONU向OLT发送设备标识,设备标识为序列号或者RegID ;步骤303 =OLT调用设备标识认证单元判断设备标识(序列号或者RegID)是否合 法,如果合法则进入步骤304 ;否则终止ONU激活过程并停止与ONU进一步交互;步骤304 OLT根据合法的ONU设备标识(序列号或者RegID)向该ONU分配 ONU-ID ;步骤305 =OLT对该ONU发送测距请求进行测距;步骤306 =ONU发送加密的用户标识作为对测距请求的响应;步骤307 =OLT调用加密用户标识认证单元对ONU发送的加密的用户标识进行认 证,该单元根据设备标识获得本地保存的ONU对应的用户标识和用户密码,用本地用户密 钥对ONU发送的加密的用户标识进行解密并与本地的用户标识进行比较,如果一致则计算 测距结果,进入步骤308,否则终止ONU的激活认证过程;步骤308 =OLT将测距结果通知给ONU ;步骤309 若在步骤303中ONU发送的是RegID,则OLT向ONU发送序列号请求;步骤310 =ONU发送序列号给OLT ;步骤311 =ONU向OLT发送新的用户密钥。以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
1.一种GPON系统中的ONU激活方法,其特征在于,包括所述光网络单元(ONU)在激活过程中向光线路终端(OLT)发送设备标识和加密的用户 标识,所述OLT对所述ONU发送的设备标识和加密的用户标识进行认证,若认证成功则继续 ONU激活过程,否则终止ONU激活过程。
2.根据权利要求1所述的方法,其特征在于,所述加密的用户标识由所述ONU利用用户 密钥对用户标识进行加密而获得,所述用户标识及用户密钥在所述ONU激活之前分配给所 述0NU,所述OLT中保存有设备标识与用户标识以及用户密码之间的对应关系。
3.根据权利要求2所述的方法,其特征在于,所述OLT对所述ONU发送的加密的用户标 识进行认证的方法为所述OLT通过所述设备标识获得所述ONU对应的本地保存的用户密钥和用户标识;所述OLT用本地用户密钥对本地用户标识进行加密并与所述ONU发送的加密的用户标 识进行比较,如果一致则认证成功,否则认证失败;或,所述OLT用本地用户密钥对所述ONU发送的加密的用户标识进行解密并与本地的用户 标识进行比较,如果一致则认证成功,否则认证失败。
4.根据权利要求3所述的方法,其特征在于,所述ONU在接收到所述OLT发送的设备认证请求后向所述OLT发送自身的设备标识、 加密的用户标识,所述设备标识至少包括所述ONU的序列号或注册身份标识;所述OLT对所述ONU发送的设备标识和加密的用户标识进行认证,认证成功后,所述 OLT根据所述ONU的序列号向所述ONU分配ONU标识(ONU-ID)。
5.根据权利要求4所述的方法,其特征在于,所述ONU在接收到所述OLT的测距请求 后,向所述OLT发送测距响应和加密的用户标识;所述OLT对所述加密的用户标识进行认 证,若认证成功则将测距结果通知给所述0NU,否则终止所述ONU的激活过程。
6.根据权利要求3所述的方法,其特征在于,所述ONU在接收到所述OLT发送的设备认证请求后向所述OLT发送自身的设备标识;所述OLT对所述ONU发送的设备标识进行认证,认证成功后,所述OLT根据所述ONU的 设备标识向所述ONU分配ONU标识(ONU-ID);所述ONU在接收到所述OLT发送的测距请求后向所述OLT发送所述加密的用户标识作 为测距响应,所述OLT对所述ONU发送的加密的用户标识进行认证,认证成功后,将测距结 果通知给所述ONU。
7.根据权利要求6所述的方法,其特征在于,所述设备标识为所述ONU的序列号或注册 身份标识;若所述设备标识为注册身份标识,则还包括所述OLT向所述ONU请求获取序列号 的过程。
8.根据权利要求1所述的方法,其特征在于,在所述OLT对所述ONU发送的设备标识和 加密的用户标识认证成功后,所述OLT和所述ONU更新所述ONU对应的用户密钥,并各自存 储在本地,供下一次认证使用。
9.一种GPON系统中的ONU激活系统,包括光线路终端(OLT)、光网络单元(ONU),其特 征在于,还包括设备标识认证单元,位于OLT侧,用于对所述ONU发送的设备标识进行认证;加密用户标识认证单元,位于OLT侧,用于对ONU发送的加密的用户标识进行认证;所述OLT对根据所述设备标识和加密的用户标识的认证结果执行进一步地处理。
10.根据权利要求9所述的系统,其特征在于,所述加密的用户标识由所述ONU利用用 户密钥对用户标识进行加密而获得,所述用户标识及用户密钥在所述ONU激活之前分配给 所述0NU,所述OLT中保存有设备标识与用户标识以及用户密码之间的对应关系。
11.根据权利要求10所述的系统,其特征在于,所述加密用户标识认证单元通过所述设备标识获得所述ONU对应的本地保存的用户 密钥和用户标识,所述加密用户标识认证单元用本地用户密钥对本地用户标识进行加密并与所述ONU 发送的加密的用户标识进行比较,如果一致则对所述加密用户标识的认证成功,否则认证 失败;或,所述加密用户标识认证单元用本地用户密钥对所述ONU发送的加密的用户标识进行 解密并与本地的用户标识进行比较,如果一致则对所述加密用户标识的认证成功,否则认 证失败。
12.根据权利要求11所述的系统,其特征在于,所述ONU在接收到所述OLT发送的设备 认证请求后向所述OLT发送自身的设备标识、加密的用户标识;所述设备标识至少包括所 述ONU的序列号或注册身份标识;所述设备标识认证单元对所述设备标识进行认证,若认证失败则终止ONU激活过程; 若认证成功则由所述加密用户标识认证单元对加密的用户标识进行认证,若认证成功则 OLT根据所述ONU的序列号向所述ONU分配ONU标识(ONU-ID),若认证失败则终止ONU激 活过程。
13.根据权利要求12所述的系统,其特征在于,所述ONU在接收到所述OLT的测距请 求后,向所述OLT发送测距响应和加密的用户标识;所述设备标识认证单元对所述加密的 用户标识进行认证,若认证成功则将测距结果通知给所述0NU,否则终止所述ONU的激活过程。
14.根据权利要求11所述的系统,其特征在于,所述ONU在接收到所述OLT发送的设备认证请求后向所述OLT发送自身的设备标识;所述设备标识认证单元对所述ONU发送的设备标识进行认证,认证成功后,所述OLT根 据所述ONU的设备标识向所述ONU分配ONU标识(ONU-ID);所述ONU在接收到所述OLT发送的测距请求后向所述OLT发送所述加密的用户标识作 为测距响应,所述加密用户标识认证单元对所述ONU发送的加密的用户标识进行认证,认 证成功后,将测距结果通知给所述0NU。
15.根据权利要求9所述的系统,其特征在于,在所述设备标识认证单元对所述设备 标识进行认证及所述加密用户标识认证单元对所述加密的用户标识进行认证成功后,所述 OLT和所述ONU更新所述ONU对应的用户密钥,并各自存储在本地,供下一次认证使用。
全文摘要
本发明公开了一种GPON系统中的ONU激活方法及系统,用于解决ONU激活过程中上行认证信息被窃听以及恶意注册的非法ONU占用GPON系统资源的技术问题。本发明为了保证ONU设备认证的安全性,为OLT和ONU预先分配用户标识和用户密钥,OLT在本地保存设备标识与用户标识以及用户密钥的对应关系,ONU在激活过程中向OLT提供设备标识、加密的用户标识,OLT通过所述设备标识获得ONU对应的本地保存的用户密钥和用户标识,对加密的用户标识进行ONU设备认证。本发明能够避免非法ONU激活时占用消耗GPON系统的资源,防止恶意用户对ONU认证过程的窃听和仿冒,保证了ONU设备认证的安全性。
文档编号H04Q11/00GK102045601SQ20091020437
公开日2011年5月4日 申请日期2009年10月22日 优先权日2009年10月22日
发明者张伟良, 张德智, 袁立权 申请人:中兴通讯股份有限公司