专利名称:光网络单元认证方法及装置的制作方法
技术领域:
本发明涉及通信领域,具体而言,涉及ー种光网络单元认证方法及装置。
背景技术:
无源光网络(Passive Optical Networks,简称为PON)系统是ー种点到多点的基于光纤传输的现代网络系统。PON系统中的网元设备包括光线路终端(Optical Line Terminal,简称为0LT)、无源光网络单元(Optical Network Unit,简称为0NU)和无源光网络终端(Optical Network ^Termination,简称为0NT)。其中OLT为局端侧设备,ONU和ONT 为用户侧设备。OLT和0NU/0NT之间使用光分配网络(Optical Distribution Network,简称为0DN)相连接。ONU提供(直接或远程的)用户侧接ロ,ONT是用于FTTH (Fiber To The Home)并具有用户端ロ功能的0NU。本说明书的下文中用ONU来代表ONU和0ΝΤ。在OLT的ー个PON端口下,通过光分配网络ODN可以连接32个、64个甚至1 个 0NU。这些ONU在网络中可由某种唯一标志符表示,例如,EPON系统中可以通过其媒质访问控制(Medium Access Control,简称为MAC)地址来唯一标识0NU,GPON系统可以通过序列号(Serial Number,简称为SN)来唯一标识0NU。OLT —般也是根据MAC或SN对ONU进行认证,只要ONU的MAC或SN信息在OLT的ー个PON上是合法的,该ONU便可在此PON ロ下正常工作,而不会考虑其他因素(有时OLT会对ONU进行MAC/SN加密码PASSWORD的混合认 ii£)。传统的ONU认证方式比较简単,存在ー些弊端。先举其中的两个方面进行详述。第一,ONU的标志信息过于简短,携帯的信息量少、格式不灵活。EPON系统中采用 MAC地址进行认证,只能使用数字表示,6个字节长度携帯的信息量比较少。GPON系统采用 SN进行认证,SN的长度总共为8个字节,其中前4个字节为供应商标志,后4个字节为数字序号,携帯的信息量也比较少,且格式不灵活。即使系统采用与PASSWORD混合的认证方式, 因为PASSWORD最长只有10个字节,携带的信息量仍然有限。而在现实应用中,许多运营商都希望ONU的标识字段能够携带更多的信息,比如可以存放用户的详细家庭地址,例如 XXX 市 XXX 区 XXX 镇 XXX 街 XXX 号 XXX 室。第二,在传统的ONU认证过程中,重要信息容易被人窃听利用。OLT和ONU之间信息传输是通过ODN进行传输的,通过在原有的ODN网络中串接入分光计Splitter,就能够轻易地将OLT和ONU之间的传输信息分离出来,比如非法用户通过窃听,获取到合法用户的 ONU SN后,在自己的ONU上设置与合法用户完全相同的SN,然后断开原合法用户的ONU与 OLT之间的连接,并将自己ONU连接到ODN网络中。在这种情况下,由于ONU标识信息SN是完全一祥的,该非法用户的ONU是可以在原OLT下认证成功的,从而获得与原来合法用户ー 样的网路服务。
发明内容
本发明提供了ー种光网络单元认证方法及装置,以至少解决相关技术中ONU认证过程中,信息容易被窃听利用的问题。根据本发明的ー个方面,提供了ー种光网络单元认证方法,包括光线路终端OLT 接收到来自光网络单元ONU的加密的认证信息;对加密的认证信息进行解密;使用解密后的认证信息对ONU进行认证。优选地,在OLT接收到来自ONU的加密的认证信息之前,还包括0LT与ONU协商对认证信息进行加密的加密方式。优选地,OLT与ONU协商对认证信息进行加密的加密方式包括0LT确定自身的加密算法与ONU的加密算法之间的交集;OLT在交集中确定加密方式中的加密算法。优选地,在OLT接收到来自ONU的加密的认证信息之前,还包括0NU在认证信息中的标识字段采用字符串指针,字符串指针指向认证信息中的长度大于标识字段的字符
ψ ο优选地,在使用解密后的认证信息对ONU进行认证之后,还包括删除解密后的认 1 £ η 息 ο根据本发明的另ー个方面,提供了ー种光网络单元认证装置,包括接收模块,用于接收来自光网络单元ONU的加密的认证信息;解密模块,用于对加密的认证信息进行解密;认证模块,用于使用解密后的认证信息对ONU进行认证。优选地,上述装置还包括协商模块,用干与ONU协商对认证信息进行加密的加密方式。优选地,协商模块包括第一确定模块,用于确定自身的加密算法与ONU的加密算法之间的交集;第二确定模块,用于在交集中确定加密方式中的加密算法。优选地,上述装置还包括0NU在认证信息中的标识字段采用字符串指针,字符串指针指向认证信息中的长度大于标识字段的字符串。优选地,上述装置还包括删除模块,用于删除解密后的认证信息。通过本发明,采用对认证信息进行加密的方式,解决了相关技术中ONU认证过程中,信息容易被窃听利用的问题,提高了认证过程的安全性。
此处所说明的附图用来提供对本发明的进ー步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图1是根据本发明实施例的光网络单元认证方法的流程图;图2是根据本发明实施例的ONU认证状态迁移流程图;图3是根据本发明实施例的OLT和ONU之间的认证交互处理流程图;图4是根据本发明实施例的光网络单元认证装置的结构框图;图5是根据本发明优选实施例的光网络单元认证装置的结构框图ー;图6是根据本发明优选实施例的光网络单元认证装置的结构框图ニ ;图7是根据本发明优选实施例的光网络单元认证装置的结构框图三。
具体实施例方式需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互組合。下面将參考附图并结合实施例来详细说明本发明。本发明提供了一种光网络单元认证及装置,图1是根据本发明实施例的光网络单元认证方法的流程图,包括如下的步骤S102至步骤S106。步骤S102,光线路终端OLT接收到来自光网络单元ONU的加密的认证信息。步骤S104,对加密的认证信息进行解密。步骤S106,使用解密后的认证信息对ONU进行认证。相关技术中,在ONU的认证过程中,认证信息中的一些珍贵信息容易被人窃听利用。本发明实施例中,通过对认证信息进行加密,提高了认证过程的安全性。为了给后续认证提供基础,在OLT接收到来自ONU的加密的认证信息之前,还包括0LT与ONU协商对认证信息进行加密的加密方式。出于简化流程的目的,OLT与ONU协商对认证信息进行加密的加密方式包括0LT 确定自身的加密算法与ONU的加密算法之间的交集;OLT在交集中确定加密方式中的加密算法。在本优选实施例中,由OLT从其与ONU共用的加密方式中任意选择,使协商加密的过
程更简単。对于上述加密过程的下行交互,采用目前国际标准中对GEM PORT加密的方式来实现,可以起到保密性,本发明不额外增加新方式。上述下行交互可以这样实现(1)0LT和ONU先进行协商,确认采用哪种加密算法; (2)加密算法确定之后,OLT在本地随机产生ー个1 位的密码,通过下行加密的OMCI通道告诉ONU ; (3)当OLT获取认证信息吋,ONU根据之前确定的加密方式以及OLT下发的密码进行加密,然后放入OMCI通道返回给OLT ; (4) OLT接受到该消息后使用先前生成的随机密钥进行解密。如果ONU不支持对认证消息加密;或者OLT和ONU之间加密算法没有交集,此时上行认证消息将不采用加密进行传输。为了増大用于认证的标识信息的信息量,在OLT接收到来自ONU的加密的认证信息之前,还包括ONU在认证信息中的标识字段采用字符串指针,字符串指针指向认证信息中的长度大于标识字段的字符串。作为ー种优选的实现方式,本发明实施例准备引入ー个ONU认证管理实体 ME (Management Entity),在该ME中,定义ー个指向长字符串(Large String)的指针,用于保存认证信息的实例;该长字符串的长度可以不受传统认证方式中MAC、SN或PASSWORD字符长度的影响。在本发明实施例中,暂定其长度为256个字节,可以存储多达1 个字符, 用以保存ONU认证信息。通过引入ONU认证管理实体ME,能够方便运营商对ONU的认证标志进行灵活的定义,可以使用数字加字符的组合,可以配置更长的内容,使ONU的标志信息更为清晰。从而增强运营商ONU认证系统的实用性和灵活性。为了更好地体现认证的安全性,在使用解密后的认证信息对ONU进行认证之后, 还包括删除解密后的认证信息。在以上ONU认证管理过程中,本发明实施例充分考虑了对国际标准的兼容性因此重新定义了 G. 984标准中的ONU状态机。规定了 ONU认证管理过程中的A0,Al,A2,A3,A4, A5,A6等7个状态,这些状态与G. 984标准中的01,02,03,04,05,06,07等状态相互关联。 在本发明的具体实施方式
中将对此进行详细叙述。
下面将结合实例对本发明实施例的实现过程进行详细描述。在基于逻辑标识的ONU认证系统中,ONU的认证状态决定了 ONU是否能接入网络。 在ONU完成认证之前,除OMCI和PLOAM消息外,OLT不允许来自该ONU的任何数据输入、输出通讯(0LT对接受到的来自该ONU的数据报文进行丢弃处理)。当ONU通过基于逻辑标识的ONU认证后,该ONU的认证状态切換到认证成功状态,在该状态下OLT允许ONU进行正常通讯。现对整个认证过程进行详述,包括如下的步骤1至7。步骤1,在 ONU 上电后,即创建 ONU Authentication ME。ONU Authentication ME 包括以下属性ME ID 仅标记ー个实体,值固定为0 (R) (2bytes)。ONU authentication capabilities :0NU支持的认证模式,用比特位来表示,1表示支持,0表示不支持,其各个比特表示如下Bit 0(Bit position = 1) :CTC LOID 认证模式(G. 984. 3 adml 中 ONU RegistrationMethods 的 Other forms of authentication;;Bit 1 (Bit position = 2) :CTC L0ID+PASSW0RD 认证模式(G. 984. 3 adml 中 ONURegistration Methods 的 Other forms of authentication);Bit 2 (Bit position = 6) :CTC PASSWORD 认证模式(G. 984. 3 adml 中 ONU RegistrationMethods 的 Other forms of authentication;;Bit 3 至 127 保留。(R) (16bytes);OLT select authentication mode :0LT 选择的认证模式,O 缺省值,表示 OLT 没有通知ONU当前采用的认证模式,N表示选择ONU authentication capabilities中相应 Bit position = N代表的模式,例如,1表示OLT通知ONU将采用CTC LOID认证模式,以此类推,缺省值为O ;当OLT侧需要通过该ME进行认证时,当ONU迁移到05,OMCI通道建立之后,OLT需要首先设置该属性,通知ONU开始进行认证;(R,W) (Ibyte)。ONU authentication information length :0NU 上报 OLT 指定认证模式的认证信息的长度,即当OLT设置了 OLT select authentication mode属性之后,ONU需要立刻通过AVC上报当前认证信息长度。例如,如果选择了 CTC LOID认证模式,则上报对,如果选择了 CTCL0ID+PASSW0RD认证模式,则上报36,如果选择了 CTC PASSWORD认证模式,则上报 12,以此类推,缺省值为O ; (R) (2bytes)。ONU report authentication information status :ONU 接受 Auth information pointer后,将认证信息填入相应的属性之后,上报认证信息状态,OLT是否可以开始获取认证信息了,O表示无效,当前ONU还没有准备认证信息或者Authentication information pointer属性为空指针,1表示当前信息有效,OLT可以通过Get Large Mring获取ONU上的认证信息;缺省值为O ; (R) (IByte)。ONU crypto capabilities 该属性表示ONU支持的加密能力,当OLT获知ONU已经准备好认证信息后,OLT查询该ME获取其加密的能力,如果OLT和ONU有相同加密方式,则OLT选择ー种加密方式,通知ONU启用;以比特位来表示,1表示支持,0表示不支持,其各个比特表示如下Bit 0(Bit position = 1,Isb = 1,msb = 128) :AES-CMAC_128 ;Bitl至15保留,0表示ONU不支持,即上行认证信息不经过加密进行发送。(R) (可选)(2Bytes);OLT select crypto mode :0LT获取ONU对认证信息加密的能力后,选择ー种加密方式,通知0NU,定义如下0 表示不加密;1 采用AES-CMAC-U8 (即N表示采用ONU支持的对应Bit position N比特位的加密方法);(R,W)(可选)(IByte)。Authentication crypto key 该属性由OLT随机产生的ー个16Bytes密钥,用于对上行认证信息加密的密钥,即在发送之前,先采用OLT select crypto mode选择的方法, 采用该密钥属性对认证信息先加密然后再送到OMCI通道发送(R,W)(可选)(16ByteS)。ONU authentication status 该属性用于表示该ONU当前处于的认证状态,有下列状态0 表示AO状态,初始状态,对应G. 984. 3标准中的01,02,03,04,07等状态;1 表示Al状态,未认证05状态,ONU迁移到05后,立刻从AO状态迁移到该状态, 此时OLT还没有通过该ME来对ONU进行认证;2 表示A2状态,认证模式选择状态,当ONU接受到OLT设置OLT select authenticationmode属性之后,由Al状态迁移到该状态;同时上报该认证模式下ONU的保存的认证信息长度;3 表示A3状态上报认证信息状态,当ONU接受OLT设置Auth information pointer属性之后,立刻由A2状态迁移到该状态;在相关的Large String ME中保存认证信息,同时上报AVC,通知OLT认证信息已经有效,OLT可以获取相关的认证信息;4 表示A4状态,认证成功状态;5 表示A5状态,认证失败状态;6 表示A6状态,认证错误状态;7至255 保留,其中,缺省值为0,OLT仅仅能够设置A4,A5状态,A5状态不能够由 ONU 来迁移,(R, W) (IByte)。仓Il 建 ONU Authentication ME 之后,设置 ONU authentication capabilities 为其头际支持的!!E 力,OLT select authentication mode 为 0, ONU authentication information lengtn 为 0, Autnentication information pointer 为 OxFFFF, ONU report authentication information status为0,OLT select crypto mode为0,Authentication crypto key 为 NULL (空字符串),ONUauthentication status 为 0 (AO 状态)。本发明实施例定义了 A0,Al,A2,A3,A4,A5,A6等7个状态,图2是根据本发明实施例的ONU认证状态迁移示意图。设置Authentication crypto key的初始值之后,OLT和ONU之间开始协商加密方式,以便后续的认证信息交互是在该加密方式下完成。步骤2,对于下行交互采用目前国际标准中对GEM PORT加密的方式来实现,可以起到保密性,本发明不额外增加新方式。步骤3,对于下行交互可以这样实现首先,OLT和ONU先进行协商,确认采用哪种加密算法。加密算法的协商可以在OLT和ONU支持加密算法的交集中确定,只要OLT和ONU 存在加密算法交集,OLT任意选择ー种交集中的算法即可。步骤4,加密算法确定之后,OLT在本地随机产生ー个1 位的密码,通过下行加密的OMCI通道告诉ONU。步骤5,当OLT获取认证信息吋,ONU根据之前确定的加密方式以及OLT下发的密码进行加密,然后放入OMCI通道返回给0LT。步骤6,OLT接受到该消息后使用先前生成的随机密钥进行解密。步骤7,如果ONU不支持对认证消息加密;或者OLT和ONU之间加密算法没有交集, 此时上行认证消息将不采用加密进行传输。G. 984. 3标准状态迁移包括如下步骤S200至步骤S800步骤S200,ONU连接至0LT,并通过OLT激活后,G. 984. 3标准状态迁移到05状态后,ONU迁移到Al状态,未认证状态,等待OLT后续处理,启动定时器Tl ;同时上报属性ONU authentication status AVC信息,表明ONU迁移到Al状态。各定时器的參考值如下。Tl定时器等待OLT开始认证处理或者开始同步处理ME,建议6秒(主要考虑兼容旧0LT,支持扩展认证模式将有Get何Set两个操作),即ONU迁移到05状态后经过Tl 后OLT没有后续的任何动作,此时迁移到A6状态。T2定时器等待OLT创建Large String, ONU构造认证信息,建议9秒(该状态下有Create, Set, Set三个操作),如果超时ONU迁移到A6。T3定时器等待OLT下发认证結果,建议6秒(至少ー个Get和Set操作),如果超时迁移到A6。T4定时器认证失败定时器,建议3秒,在OLT认证失败的后续操作由OLT自己确定(例如,可以下发Deactive让ONU迁移到02,可以等待一定时间在将该ONU激活再次进行认证),如果超时迁移到标准的02状态,同时开始响应OLT的Discover消息,OLT的是否再次发起认证有OLT自定,如果是认证失败建议OLT间隔一定时间,例如,5分钟或者其他时间。T5定时器认证错误定时器,3秒,如果超时迁移到标准的02状态,同时开始响应 OLT 的 Discover 消息。以上定时器均为串行定时器,即不会同时启动多个定时器。步骤S300,ONU处于Al状态下,考虑到与原标准中OLT和ONU间处理的兼容性, 如果OLT下发GET ONU authentication capabilities属性,则表示OLT将采用该ME进行认证,如果此时OLT下发其他ME的操作,例如,MIB RESET或者GET MIB SYNC DATA计数器,即目前标准中规定的通用流程,表示该OLT不支持或者不采用扩展ME认证模式,不需要通过该ME来进行认证,ONU直接将状态迁移到A6 ;当OLT下发GET ONU authentication capabilities属性,如果ONU返回不支持(即该ONU不支持通过采用该ME认证0NU),则认证失败;如果ONU支持,返回成功。OLT根据本地配置属性和ONU支持认证模式预先判断是否能够认证成功(如果ONU返回支持认证模式中不包括在OLT当前采用的模式,例如,OLT 设置该ONU为CTC LOID模式,但是ONU返回模式为SN,SN+PASSW0RD, PASSWORD模式,不包含CTC LOID模式,则认证失败),接着OLT下发设置OLT select authentication mode属性,ONU接受后将状态迁移到A2模式,同时响应OLT的OLT select authentication mode 属性的设置;上 艮属性 ONU authentication information length 禾ロ ONUauthentication status AVC信息,表明ONU迁移到A2状态;同时启动定时器T2。步骤S400,在A2状态下,等待OLT下发命令,当OLT接收到ONU为A2状态后,创建Large Mring实例,根据上报的长度设置numbe of parts属性值,设置Authentication information pointer 属性,ONU 接受 Autnentication information pointer ι性值后, 响应Set操作,状态立刻迁移到A3状态,同时将当前选中的模式的认证属性拷贝到Large String实例的属性中,上报属性ONU authentication status AVC信息,表明ONU迁移到 A3状态;同时启动定时器T3。步骤S500,在A3状态下,等待OLT设置当前认证成功或者失败,当OLT接受到AVC, 获知ONU已经准备好认证信息,下发Get消息获取Large String实例中的属性,然后OLT 与本地数据库中的认证信息比较,判定是认证成功还是认证失败,如果是认证成功则Set ONUauthentication status属性值为4,即认证成功状态,否则kt为5,即认证失败状态, 当为失败状态时,启动定时器T4。步骤S600,当ONU状态为A4时,则表明认证成功,可以认证结束;同时OLT则下发删除保イ子认证 1苜息的 large String,同时仅;^ Authentication information pointer 为 OxFFFF无效值,如果采用了上行认证信息加密,同时设置OLT select crypto mode为0, Authenticationcrypto key 为 NULL (空字符串),当 ONU 接受设置值为 OxFFFF 时,除了 ONU authenticationstatus值以外,其他全部恢复为缺省值(这样将保密认证信息,在ONU上不能获知当前采用的是那种认证模式,以及其认证信息,达到认证信息保密)。步骤S700,当ONU状态为A5时,则表示认证失败,同时启动定时器T5。步骤S800,A6状态为认证错误,即在认证过程中出现异常则ONU状态迁移到该状态,例如定时器超吋,或者设置错误,例如,当ONU不在A3状态时候,接收到OLT设置A4或者A5状态,则迁移到A6状态,同时启动定时器T5。图3是根据本发明实施例的OLT和ONU之间的认证交互处理流程图,如图3所示, 包括如下的步骤S302至步骤S344。步骤S302,在Al状态时,ONU向OLT上报认证状态。步骤S304,OLT从ONU获取支持的认证方式。步骤S306,ONU向OLT反馈支持的认证方式。步骤S308,OLT设置ONU的认证模式。步骤S310,在A2状态时,ONU向OLT反馈设置结果。步骤S312,ONU向OLT上报ONU认证信息长度。步骤S314,OLT指示ONU创建认证Large String管理实体。步骤S316,ONU 向 OLT 反馈创建 Large String 结果。步骤S318,OLT对ONU设置分段数。步骤S320,ONU向OLT反馈设置分段数结果。步骤S322, OLT 对 ONU 设置 auth info pointer。步骤S3M,在A3状态,ONU向OLT反馈auth info pointer设置结果。
步骤,ONU向OLT上报认证状态。步骤,可选地,OLT与ONU密钥交互。步骤S330,OLT 从 ONU 获取 Large String 认证信息。步骤S332,ONU 向 OLT 反馈 Large String 认证信息。步骤S3;34,OLT对ONU设置认证状态。步骤S336,在A4或A5状态,ONU向OLT反馈设置认证状态结果。步骤S338, OLT 向 ONU 删除 Large String。步骤S340,ONU 向 OLT 反馈删除 Large String 结果。步骤S342, OLT 对 ONU 设置 auth info pointer。步骤S344, ONU 向 OLT 反馈设置 auth info pointer 结果。需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。本发明实施例提供了ー种光网络单元认证装置,该装置可以用于实现上述光网络単元认证方法。图4是根据本发明实施例的光网络单元认证装置的结构框图,如图4所示, 上述装置包括解密模块42和解密模块44和认证模块46。下面对其结构进行详细描述。接收模块42,用于接收来自光网络单元ONU的加密的认证信息;解密模块44,连接至接收模块42,用于对加密的认证信息进行解密;认证模块46,连接至解密模块44,用于使用解密后的认证信息对ONU进行认证。图5是根据本发明优选实施例的光网络单元认证装置的结构框图一,如图5所示, 上述装置还包括协商模块48,用干与ONU协商对认证信息进行加密的加密方式。图6是根据本发明优选实施例的光网络单元认证装置的结构框图ニ,如图6所示, 协商模块48包括第一确定模块482,用于确定自身的加密算法与ONU的加密算法之间的交集;第二确定模块484,连接至第一确定模块482,用于在交集中确定加密方式中的加密算法。图7是根据本发明优选实施例的光网络单元认证装置的结构框图三,如图7所示, 上述装置还包括删除模块410,用于删除解密后的认证信息。综上所述,根据本发明的上述实施例,提供了一种光网络单元认证方法及装置。通过本发明,采用对认证信息进行加密的方式,解决了相关技术中ONU认证过程中,信息容易被窃听利用的问题,提高了认证过程的安全性。需要说明的是,装置实施例中描述的光网络单元认证装置对应于上述的方法实施例,其具体的实现过程在方法实施例中已经进行过详细说明,在此不再赘述。显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所組成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分別制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技CN 102571350 A说明书9/9 页术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.ー种光网络单元认证方法,其特征在于包括光线路终端OLT接收到来自光网络单元ONU的加密的认证信息;对所述加密的认证信息进行解密;使用解密后的所述认证信息对所述ONU进行认证。
2.根据权利要求1所述的方法,其特征在干,在OLT接收到来自ONU的加密的认证信息之前,还包括所述OLT与所述ONU协商对所述认证信息进行加密的加密方式。
3.根据权利要求2所述的方法,其特征在干,所述OLT与所述ONU协商对所述认证信息进行加密的加密方式包括所述OLT确定自身的加密算法与所述ONU的加密算法之间的交集;所述OLT在所述交集中确定所述加密方式中的加密算法。
4.根据权利要求1所述的方法,其特征在干,在OLT接收到来自ONU的加密的认证信息之前,还包括所述ONU在所述认证信息中的标识字段采用字符串指针,所述字符串指针指向所述认证信息中的长度大于所述标识字段的字符串。
5.根据权利要求1所述的方法,其特征在干,在使用解密后的所述认证信息对所述ONU 进行认证之后,还包括删除解密后的所述认证信息。
6.ー种光网络单元认证装置,其特征在于包括接收模块,用于接收来自光网络单元ONU的加密的认证信息;解密模块,用于对所述加密的认证信息进行解密;认证模块,用于使用解密后的所述认证信息对所述ONU进行认证。
7.根据权利要求6所述的装置,其特征在干,所述装置还包括协商模块,用干与所述 ONU协商对所述认证信息进行加密的加密方式。
8.根据权利要求7所述的装置,其特征在干,所述协商模块包括第一确定模块,用于确定自身的加密算法与所述ONU的加密算法之间的交集;第二确定模块,用于在所述交集中确定所述加密方式中的加密算法。
9.根据权利要求6所述的装置,其特征在于,还包括所述ONU在所述认证信息中的标识字段采用字符串指针,所述字符串指针指向所述认证信息中的长度大于所述标识字段的字符串。
10.根据权利要求6所述的装置,其特征在干,所述装置还包括删除模块,用于删除解密后的所述认证信息。
全文摘要
本发明公开了一种光网络单元认证方法及装置,该方法包括光线路终端OLT接收到来自光网络单元ONU的加密的认证信息;对加密的认证信息进行解密;使用解密后的认证信息对ONU进行认证。本发明提高了认证过程的安全性。
文档编号H04Q11/00GK102571350SQ201110454149
公开日2012年7月11日 申请日期2011年12月30日 优先权日2011年12月30日
发明者卢金树, 曾定洲, 蔡新成 申请人:中兴通讯股份有限公司