专利名称:一种认证方法、设备和系统的制作方法
技术领域:
本发明涉及通信领域,尤其涉及一种认证方法、设备和系统。
背景技术:
PON(Passive Optical Network,无源光纤网络)技术能够极大的节省光纤资源,目前已经广泛应用于接入领域。PON网络一般由OLT (Optical Line Termination,光线路终端)、POS(Passive Optical Splitter,无源光纤分支器)ONU(Optical Network Unit,光网络单元)组成。一般而言,OLT的单个PON接口会下挂多个ONU,为了对各个ONU的接入进行控制,OLT和ONU之间都要使用认证机制。该认证机制是基于将OLT和ONU两端提供的认证信息进行比较来决定ONU是否是合法接入。其中,在布放OLT和ONU设备时,需要在OLT和ONU中现场手工输入需要的认证信息,布放过程比较复杂。另外,在ONU设备布放的时候需要装机人员或用户现场人工输入认证密码信息,进而无法做到现场免软调,并且人工输入认证密码信息容易导致密码泄露。此外,这些存储在ONU设备中的认证密码信息没有定期刷新机制,长时间不修改也很容易导致密码泄露。
发明内容
本发明的实施例提供一种认证方法、设备和系统,能够避免由于人工输入认证密码信息或者由于长时间不修改认证密码信息而导致的密码泄露问题,提高了认证密码信息的安全性。为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,提供一种认证方法,应用于无源光网络系统中,包括:光网络单元接收光线路终端透传的第一通知消息,所述第一通知消息至少包括:所述光网络单元认证所需的第一密码信息;所述第一通知消息是由网络信息管理系统下发的第一通知消息;所述光网络单元根据所述第一通知消息中的第一密码信息,完成与所述光线路终端之间的认证。在第一种可能实现的方式中,结合第一方面,所述第一密码信息为经过第一密钥加密后的密码信息;其中,所述第一密钥为所述光网络单元与所述网络信息管理系统共同约定的密钥。在第二种可能实现的方式中,结合第一方面或第一方面的第一种可能实现的方式,所述光网络单元根据所述第一通知消息中的第一密码信息,完成与所述光线路终端之间的认证具体包括:所述光网络单元根据所述第一通知消息中的第一密码信息,通过共同约定的第一密钥对所述第一密码信息进行解析,获取解密后的第一密码信息;根据所述解密后的第一密码信息,完成与所述光线路终端之间的认证。
在第三种可能实现的方式中,结合第一方面,所述方法还包括:所述光网络单元接收所述光线路终端透传的第二通知消息,所述第二通知消息至少包括:所述光网络单元认证所需的第二密码信息;所述第二通知消息是由网络信息管理系统下发的第二通知消息;所述光网络单元以所述第一密码信息为第二密钥,对所述接收的第二密码信息进行解密,获取所述解密后的第二密码信息;所述光网络单元根据所述解密后的第二密码信息,完成与所述光线路终端之间的再次认证。第二方面,提供一种认证方法,应用于无源光网络系统中,包括:网络信息管理系统生成第一密码信息,所述第一密码信息为光网络单元认证所需的密码信息;所述网络信息管理系统下发携带所述第一密码信息的第一通知消息给所述光线路终端,使得所述网 络信息管理系统下发的第一通知消息通过所述光线路终端透传给所述光网络单元。在第一种可能实现的方式中,结合第二方面,所述网络信息管理系统生成第一密码信息具体包括:所述网络信息管理系统通过第一密钥对所述第一密码信息进行加密,其中,所述第一密钥为所述网络信息管理系统与所述光网络单元共同约定的密钥;所述网络信息管理系统下发携带所述第一密码信息的第一通知消息给所述光线路终端具体包括:所述网络信息管理系统下发携带所述加密后的第一密码信息的第一通知消息给所述光线路终端。在第二种可能实现的方式中,结合第二方面,所述方法还包括:所述网络信息管理系统定期更新所述第一密码信息。在第三种可能实现的方式中,结合第二方面或第二方面的第二种可能实现的方式,所述方法还包括:所述网络信息管理系统以所述第一密码信息为第二密钥,生成第二密码信息;所述网络信息管理系统下发携带所述第二密码信息的第二通知消息给所述光线路终端,使得所述网络信息管理系统下发的第二通知消息通过所述光线路终端的透传给所述光网络单元。第三方面,提供一种光网络单元,所述光网络单元包括:接收单元,用于接收光线路终端透传的第一通知消息,所述第一通知消息至少包括:所述光网络单元认证所需的第一密码信息;所述第一通知消息是由网络信息管理系统下发的第一通知消息;认证单元,用于根据所述第一通知消息中的第一密码信息,完成与所述光线路终端之间的认证。在第一种可能实现的方式中,结合第三方面,所述第一密码信息为经过第一密钥加密后的密码信息;其中,所述第一密钥为所述光网络单元与所述网络信息管理系统共同约定的密钥。在第二种可能实现的方式中,结合第三方面或第三方面的第一种可能实现的方式,所述认证单元,具体用于根据所述第一通知消息中的第一密码信息,通过共同约定的第一密钥对所述第一密码信息进行解析,获取解密后的第一密码信息;根据所述解密后的第一密码信息,完成与所述光线路终端之间的认证。在第三种可能实现的方式中,结合第三方面,所述接收单元,还用于接收所述光线路终端透传的第二通知消息,所述第二通知消息至少包括:认证所需的第二密码信息;所述第二通知消息是由网络信息管理系统下发的第二通知消息;所述认证单元,还用于以所述第一密码信息为第二密钥,对所述接收的第二密码信息进行解密,获取所述解密后的第二密码信息;根据所述解密后的第二密码信息,完成与所述光线路终端之间的再次认证。第四方面,提供一种网络信息管理系统,所述网络信息信息管理系统包括:生成单元,用于生成第一密码信息,所述第一密码信息为光网络单元认证所需的密码信息;发送单元,用于下发携带所 述第一密码信息的第一通知消息给所述光线路终端,使得所述下发的第一通知消息通过所述光线路终端透传给所述光网络单元。在第一种可能实现的方式中,结合第四方面,所述生成单元,具体用于通过第一密钥对所述第一密码信息进行加密,其中,所述第一密钥为所述网络信息管理系统与所述光网络单元共同约定的密钥;所述发送单元,具体用于下发携带所述加密后的第一密码信息的第一通知消息给所述光线路终端。在第二种可能实现的方式中,结合第四方面,所述网络信息管理系统还包括:更新单元,用于定期更新所述第一密码信息;所述生成单元,还用于以所述第一密码信息为第二密钥,生成第二密码信息;所述发送单元,还用于下发携带所述第二密码信息的第二通知消息给所述光线路终端,使得所述网络信息管理系统下发的第二通知消息通过所述光线路终端的透传给所述光网络单元。第五方面,提供一种认证系统,所述认证系统包括:如第三方面所述的光网络单元和第四方面所述的网络管理系统。本发明实施例提供一种认证方法、设备和系统,通过网络信息管理系统生成第一密码信息,并下发携带第一密码信息的第一通知消息给光线路终端,使得网络信息管理系统下发的第一通知消息通过光线路终端透传给光网络单元,光网络单元根据第一通知消息中的第一密码信息,完成与光线路终端之间的认证,其中,网络信息管理系统对第一密码信息进行定期更新,从而能够避免由于人工输入认证密码信息或者由于长时间不修改认证密码信息而导致的密码泄露问题,提高了认证密码信息的安全性。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种认证方法流程示意图;图2为本发明又一实施例提供的一种认证方法流程示意图;图3为本发明又一实施例提供的一种认证方法流程示意图;图4为本发明又一实施例提供的一种光网络单元结构示意图;图5为本发明又一实施例提供的一种网络信息管理系统结构示意图;图6为本发明又一实施例提供的一种光网络单元结构示意图;图7为本发明又一实施例提供的一种网络信息管理系统结构示意图;图8为本发明又一实施例提供的一种认证系统结构示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。本发明实施例提供一种认证方法,应用于无源光网络系统中,如图1所示,包括:S101、网络信息管理系统生成第 一密码信息,第一密码信息为光网络单元认证所需的密码信息。其中,网络信息管理系统可以为NMS(Network Management System,网络管理系统),或者可以为认证服务器。S102、网络信息管理系统下发携带第一密码信息的第一通知消息给光线路终端,使得网络信息管理系统下发的第一通知消息通过光线路终端透传给光网络单元。示例性的,第一密码信息可以为经过第一密钥加密后的密码信息,其中,第一密钥为光网络单元ONU(Optical Network Unit,光网络单元)与网络信息管理系统共同约定的密钥,使得网络信息管理系统可以下发经过第一密钥加密后的密码信息通过光线路终端OLT (Optical Line Termination,光线路终端)透传给光网络单元ONU ;或者,第一密码信息可以为不经过密钥加密的密码信息,使得网络信息管理系统可以下发不经过密钥加密的密码信息通过光线路终端OLT透传给光网络单元0NU。S103、光网络单元根据第一通知消息中的第一密码信息,完成与光线路终端之间的认证。另外,该认证方法还可以包括网络信息管理系统的更新策略,该更新策略可以定期更新第一密码信息,当达到定期更新策略规定的更新时间时,网络信息管理系统向光网络单元发送更新后的密码信息。本发明实施例提供一种认证方法,通过网络信息管理系统生成第一密码信息,并下发携带第一密码信息的第一通知消息给光线路终端,使得网络信息管理系统下发的第一通知消息通过光线路终端透传给光网络单元,光网络单元根据第一通知消息中的第一密码信息,完成与光线路终端之间的认证,其中,网络信息管理系统对第一密码信息进行定期更新,从而能够避免由于人工输入认证密码信息或者由于长时间不修改认证密码信息而导致的密码泄露问题,提高了认证密码信息的安全性。本发明又一实施例提供一种认证方法,应用于PON(Passive Optical Network,无源光纤网络)系统中,如图2所示,包括:S201、网络信息管理系统通过第一密钥对第一密码信息进行加密,生成加密后的
第一密码信息。其中,第一密码信息为光网络单元认证所需的密码信息,第一密钥为网络信息管理系统与光网络单元共同约定的密钥。示例性的,网络信息管理系统可以为NMS或者认证服务器。具体的,可以将预发放的光网络单元ONU的认证密码信息预先部署在网络管理系统匪S中,当ONU向光线路终端OLT发送注册请求消息时,OLT将注册请求消息发送至WS,WS根据该注册请求消息生成与该ONU对应的第一密码信息,并根据与该ONU共同约定的密钥对该第一密码信息进行加密;或者,可以将预发放的光网络单元ONU的认证密码信息预先部署在认证服务器中,当ONU向光线 路终端OLT发送注册请求消息时,OLT将注册请求消息发送至网络管理系统NMS,认证服务器在接收到NMS发送的注册请求消息后,根据该注册请求消息生成与该ONU对应的第一密码信息,并根据与该ONU共同约定的密钥对该第一密码信息进行加密。这样,认证密码信息可以在网络信息管理系统中进行集中式管理,避免了各中间节点的泄密。同时,在布放光网络单元ONU时,可以现场免软调,避免了现场输入认证密码容易导致的密码泄露问题,降低了现场布放硬件的复杂度,从机制上保证密码信息的安全性。其中,PON网络一般由 0LT、P0S (Passive Optical Splitter,无源光分路器)以及0NU/0NT (Optical Network Termination,光网络终端)组成。OLT 单个 PON 接口可以下挂多个ONU。OLT是主设备,可以向从设备ONU以广播的方式发送数据,OLT并与前端(汇聚层)交换机用网线相连,转化成光信号,用单根光纤与用户端的POS互联,可以实现对用户端设备ONU的控制、管理、测距等功能。S202、网络信息管理系统下发携带加密后的第一密码信息的第一通知消息给光线路终端,使得网络信息管理系统下发的第一通知消息通过光线路终端透传给光网络单元。示例性的,若网络信息管理系统为网络管理系统匪S,则匪S下发加密后的第一密码信息的第一通知消息给光线路终端0LT,光线路终端OLT再将加密后的第一密码信息的第一通知消息透传给光网络单元ONU ;若网络信息管理系统为认证服务器,则认证服务器下发加密后的第一密码信息的第一通知消息给网络管理系统WS,网络管理系统匪S可以将该第一通知消息发送至光线路终端0LT,光线路终端OLT将该第一通知消息透传给光网络单元0NU。S203、光网络单元根据第一通知消息中的第一密码信息,通过共同约定的第一密钥对第一密码信息进行解析,获取解密后的第一密码信息。示例性的,若光网络单元ONU接收光线路终端OLT透传的第一密码信息,是由网络管理系统WS下发的,则光网络单元ONU可以通过与网络管理系统匪S共同约定的第一密钥对第一密码信息进行解析,以便光网络单元ONU可以获取解密后的第一密码信息;若光网络单元ONU接收光线路终端OLT透传的第一密码信息,是由认证服务器下发的,则光网络单元ONU可以通过与认证服务器共同约定的第一密钥对第一密码信息进行解析,以便光网络单元ONU可以获取解密后的第一密码信息。
S204、光网络单元根据解密后的第一密码信息,完成与光线路终端之间的认证。示例性的,在光网络单元ONU从光线路终端OLT接收到透传给该光网络单元ONU的第一密码信息并进行解密过程中,该密码信息可以同时在光线路终端OLT中进行本地保存,以便光网络单元ONU可以开始与光线路终端OLT之间的认证。其中,该认证过程可以为:当OLT在自动发现窗口开窗时,已经在线的ONU便停止发送上行数据,需要认证上线的ONU便向OLT发送注册请求消息,OLT在收到该注册请求消息后,根据该注册请求消息中的识别码(如SN或MAC),给ONU分配一个0NUID,并将该ONUID发送至0NU。而后,OLT会向ONU进行测距并记录测距信息,并向ONU发送测距消息,以便ONU知道自己离OLT的距离。这时,可以认为该ONU已经临时上线了。随后,OLT向ONU主动下发认证请求消息,ONU在收到认证请求消息之后,向OLT发送本地保存的第一密码信息以及识别码,其中,该第一密码信息可以是Password (密码/ 口令),也可以是L0ID+CHECKC0DE (逻辑标识+校验码)等。当OLT收到该第一密码信息以及识别码后,将该第一密码信息以及识别码与OLT本地保存的认证密码信息以及识别码进行比较,若ONU发送的第一密码信息以及识别码与OLT本地保存的认证密码信息以及识别码一致,则该ONU为合法设备,ONU认证成功,OLT便给该ONU下发具体的业务配置;若ONU发送的第一密码信息以及识别码与OLT本地保存的认证密码信息以及识别码不一致,则该ONU为非法设备,该ONU认证失败,OLT便向该ONU发送去激活消息,使得该ONU可以进入初始化状态。S205、网络信息管理系统定期更新第一密码信息,以第一密码信息为第二密钥,生成第二密码信息。其中,该第一密码信息需要定期更新。可选的,当网络信息管理系统为网络管理系统NMS时,可以将密码更新策略部署在WS中,该密码更新策略可以使得网络管理系统WS在到达其周期时间时,网络管理系统匪S可以定期触发该第一密码的更新。该网络管理系统NMS可以以第一密码信 息为第二密钥,并生成第二密码信息,以便获取加密后的第二密码息;可选的,当网络信息管理系统为认证服务器时,可以将密码更新策略部署在认证服务器中,使得认证服务器在到达其周期时间时,该认证服务器可以定期触发该第一密码的更新。该认证服务器可以以第一密码信息为第二密钥,并生成第二密码信息,以便获取加密后的第二密码信息。这样,密码信息可以按照更新策略进行周期更新,从而可以提高该密码信息的安全性。需要说明的是,该密码更新策略中的更新周期可以为定期或不定期的。S206、网络信息管理系统下发携带第二密码信息的第二通知消息给光线路终端,使得网络信息管理系统下发的第二通知消息通过光线路终端的透传给光网络单元。具体的,当网络信息管理系统定期触发密码信息的更新时,可以由网络管理系统NMS或者认证服务器下发携带以第一密码信息为密钥的第二密码信息的第二通知消息给光线路终端0LT,光线路终端OLT便将该第二通知消息透传给光网络单元,同时,光线路终端OLT将该第二通知消息中的第二密码信息进行本地保存,以便光网络单元ONU可以完成与光线路终端OLT的再次认证。其中,认证服务器在下发加密后的第二密码信息时,可以将该第二密码信息发送至网络管理系统WS,再由网络管理系统WS将加密后的第二密码信息的第二通知消息给光线路终端0LT,光线路终端OLT将该第二通知消息透传给光网络单元。
S207、光网络单元以第一密码信息为第二密钥,对接收的第二密码信息进行解密,获取解密后的第二密码信息。具体的,当第一密码需要进行更新时,光网络单元ONU可以从光线路终端OLT定期接收携带加密后的第二密码信息的第二通知消息。光网络单元ONU可以以本地保存的第一密码信息为密钥,对第二密码信息进行解析,获取解密后的第二密码信息。S208、光网络单元根据解密后的第二密码信息,完成与光线路终端之间的再次认证。具体的,光网络单元ONU在获取了解密后的第二密码信息后,用解密后的第二密码信息代替本地保存的第一密码信息,来完成与光线路终端的再次认证。这样,当光网络单元ONU掉线时,可以以更新后的第二密码信息进行再次认证,从而提高了认证密码信息的安全性。本发明又一实施例还提供一种认证方法,如图3所示,包括:S301、网络信息管理系统生成第一密码信息,第一密码信息为光网络单元认证所需的密码信息。示例性的,网络信息管理系统可以为网络管理系统匪S或者认证服务器。当光网络单元ONU请求注册并进行认证时,网络管理系统匪S或者认证服务器可以生成第一密码信息,其中,该第一密码信息为不经过加密的的密码信息,即可以由网络管理系统匪S或者认证服务器进行明文发送。S302、网络信息管理系统下发携带第一密码信息的第一通知消息给光线路终端,使得下发的第一通知消息通过光线路终端透传给光网络单元。示例性的,若网络信息管理系统`为网络管理系统NMS,则NMS下发不经过加密后的第一密码信息的第一通知消息给光线路终端0LT,光线路终端OLT再将该第一密码信息的第一通知消息透传给光网络单元ONU ;若网络信息管理系统为认证服务器,则认证服务器下发不经过加密后的第一密码信息的第一通知消息给网络管理系统WS,网络管理系统WS可以将该第一通知消息发送至光线路终端0LT,光线路终端OLT将该第一通知消息透传给光网络单元0NU。S303、光网络单元根据第一通知消息中的第一密码信息,完成与光线路终端之间的认证。示例性的,当光网络单元ONU从光线路终端OLT接收到第一通知消息后,以第一通知消息中的不经过加密后的第一密码信息,完成与光线路终端OLT之间的认证。认证过程与上述实施例S204相同,不再赘述。S304、网络信息管理系统定期更新第一密码信息,生成第二密码信息。示例性的,可以在网络信息管理系统中部署密码更新策略,对第一密码信息进行定期更新。该网络信息管理系统可以为网络管理系统NMS,当网络管理系统NMS到达其密码更新的周期时间时,可以生成第二密码信息。其中,该第二密码信息可以为不经过加密的密码信息;或者,网络信息管理系统可以为认证服务器,当认证服务器到达其密码更新的周期时间时,由认证服务器生成不加密的第二密码信息。S305、网络信息管理系统下发携带第二密码信息的第二通知消息给光线路终端,使得网络信息管理系统下发的第二通知消息通过光线路终端的透传给光网络单元。
具体的,当网络信息管理系统定期触发密码信息的更新时,可以由网络管理系统匪S或者认证服务器下发携带不加密的第二密码信息的第二通知消息给光线路终端0LT,光线路终端OLT便将该第二通知消息透传给光网络单元,同时,光线路终端OLT将该第二通知消息中的第二密码信息进行本地保存,以便光网络单元ONU可以完成与光线路终端OLT的再次认证。S306、光网络单元根据第二密码信息,完成与光线路终端之间的再次认证。具体的,光网络单元ONU从光线路终端OLT定期接收到不加密的第二密码信息后,可以用第二密码信息代替本地保存的第一密码信息,当光网络单元ONU再次与光线路终端OLT进行认证时,可以以更新后的第二密码信息进行认证,从而提高了认证密码信息的安全性。需要说明的是,上述实施例中对于ONU的实施方法可以同样适用于0ΝΤ,且适用的设备包括但不限于ONU、ONT以及OLT。另外,上述实施例可以适用于GPON网络环境和EPON网络环境之外,也可以适用于XG-PON网络环境、10G-EP0N网络环境以及WDM-PON网络环境。
本发明实施例提供一种认证方法,通过网络信息管理系统生成第一密码信息,该第一密码信息是经过第一密钥加密后的密码信息或者不经过加密的密码信息,而后下发携带第一密码信息的第一通知消息给光线路终端,使得网络信息管理系统下发的第一通知消息通过光线路终端透传给光网络单元,以便光网络单元完成与光线路终端之间的认证,其中,当网络信息管理系统定期更新第一密码信息时,以第一密码信息为第二密钥,生成第二密码信息,或者直接生成不加密的第二密码信息,而后下发携带第二密码信息的第二通知消息给光线路终端,使得网络信息管理系统下发的第二通知消息通过光线路终端的透传给光网络单元,以便光网络单元完成与光线路终端之间的再次认证,从而能够避免由于人工输入认证密码信息或者由于长时间不修改认证密码信息而导致的密码泄露问题,提高了认证密码信息的安全性。本发明又一实施例提供一种光网络单元01,如图4所示,包括:接收单元011,用于接收光线路终端透传的第一通知消息,第一通知消息至少包括:光网络单元认证所需的第一密码信息;第一通知消息是由网络信息管理系统下发的第一通知消息。认证单元012,用于根据第一通知消息中的第一密码信息,完成与光线路终端之间的认证。进一步的,第一密码信息为经过第一密钥加密后的密码信息;其中,第一密钥为光网络单元与网络信息管理系统共同约定的密钥。再进一步的,认证单元012可以具体用于:根据第一通知消息中的第一密码信息,通过共同约定的第一密钥对第一密码信息进行解析,获取解密后的第一密码信息;根据解密后的第一密码信息,完成与光线路终端之间的认证。再进一步的,接收单元011还可以用于:接收光线路终端透传的第二通知消息,第二通知消息至少包括:认证所需的第二密码信息;第二通知消息是由网络信息管理系统下发的第二通知消息;
认证单元012还可以用于以第一密码信息为第二密钥,对接收的第二密码信息进行解密,获取解密后的第二密码信息;根据解密后的第二密码信息,完成与光线路终端之间的再次认证。本发明实施例提供一种光网络单元,通过接收光线路终端透传的第一通知消息,第一通知消息至少包括光网络单元认证所需的第一密码信息,其中,第一通知消息是由网络信息管理系统下发的第一通知消息,进一步的,根据第一通知消息中的第一密码信息,完成与光线路终端之间的认证,从而能够避免由于人工输入密码信息而导致密码泄露,提高了密码信息的安全性。本发明又一实施例提供一种网络信息管理系统02,如图5所示,包括:生成单元021,用于生成第一密码信息,第一密码信息为光网络单元认证所需的密码息。发送单元022,用于下发携带第一密码信息的第一通知消息给光线路终端,使得下发的第一通知消息通过光线路终端透传给光网络单元。进一步的,生成单元021可以具体用于:通过第一密钥对第一密码信息进行加密,其中,第一密钥为网络信息管理系统与光网络单元共同约定的密钥;发送单元022可以具体用于:下发携带加密后的第一密码信息的第一通知消息给光线路终端。再进一步的,网络信息管理系统02还可以包括:更新单元023, 可以用于定期更新第一密码信息;生成单元021,还可以用于以第一密码信息为第二密钥,生成第二密码信息;发送单元022,还可以用于下发携带第二密码信息的第二通知消息给光线路终端,使得网络信息管理系统下发的第二通知消息通过光线路终端的透传给光网络单元。本发明实施例提供一种网络信息管理系统,通过生成第一密码信息,第一密码信息为光网络单元认证所需的密码信息,并下发携带第一密码信息的第一通知消息给光线路终端,使得下发的第一通知消息通过光线路终端透传给光网络单元,且定期对第一密码信息进行更新,从而能够避免由于人工输入密码信息或者由于长时间不修改密码信息而导致的密码泄露问题,提高了密码信息的安全性。本发明又一实施例提供一种光网络单元03,如图6所示,包括第一总线035,以及连接在第一总线035的第一处理器032、第一接收机031、第一发射机034、和第一存储器033,其中第一存储器054用于存储程序,第一处理器032用于执行该程序来指示各个单元执行前述实施例所提供的方法,其中:第一接收机031,用于接收光线路终端透传的第一通知消息,第一通知消息至少包括:光网络单元认证所需的第一密码信息;第一通知消息是由网络信息管理系统下发的第一通知消息。第一处理器032,用于根据第一通知消息中的第一密码信息,完成与光线路终端之间的认证。进一步的,第一密码信息为经过第一密钥加密后的密码信息;其中,第一密钥为光网络单元与网络信息管理系统共同约定的密钥。
再进一步的,第一处理器032,可以具体用于根据第一通知消息中的第一密码信息,通过共同约定的第一密钥对第一密码信息进行解析,获取解密后的第一密码信息;根据解密后的第一密码信息,完成与光线路终端之间的认证。再进一步的,第一接收机031,还可以用于接收光线路终端透传的第二通知消息,第二通知消息至少包括:认证所需的第二密码信息;第二通知消息是由网络信息管理系统下发的第二通知消息;第一处理器032,还可以用于以第一密码信息为第二密钥,对接收的第二密码信息进行解密,获取解密后的第二密码信息;根据解密后的第二密码信息,完成与光线路终端之间的再次认证。本发明实施例提供一种光网络单元,通过接收光线路终端透传的第一通知消息,第一通知消息至少包括光网络单元认证所需的第一密码信息,其中,第一通知消息是由网络信息管理系统下发的第一通知消息,进一步的,根据第一通知消息中的第一密码信息,完成与光线路终端之间的认证,从而能够避免由于人工输入密码信息而导致密码泄露,提高了密码信息的安全性。本发明又一实施例提供一种网络信息管理系统04,如图7所示,该网络信息管理系统可以为网络管理系统05或者认证服务器06,可以包括第二总线045,以及连接在第二总线045的第二处理器042、第二接收机041、第二发射机044、和第二存储器043,其中第二存储器044用于存储程序,第二处理器042用于执行该程序来指示各个单元执行前述实施例所提供的方法,其中:第二处理器042,用于生成第一密码信息,第一密码信息为光网络单元认证所需的密码信息。第二发射机044,用于下发携带第一密码信息的第一通知消息给光线路终端,使得下发的第一通知消息通过光 线路终端透传给光网络单元。进一步的,第二处理器042,可以具体用于通过第一密钥对第一密码信息进行加密,其中,第一密钥为网络信息管理系统与光网络单元共同约定的密钥;第二发射机044,可以具体用于下发携带加密后的第一密码信息的第一通知消息给光线路终端。再进一步的,第二处理器042还可以用于:定期更新第一密码信息;以第一密码信息为第二密钥,生成第二密码信息。第二发射机044还可以用于下发携带第二密码信息的第二通知消息给光线路终端,使得网络信息管理系统下发的第二通知消息通过光线路终端的透传给光网络单元。本发明实施例提供一种网络信息管理系统,通过生成第一密码信息,第一密码信息为光网络单元认证所需的密码信息,并下发携带第一密码信息的第一通知消息给光线路终端,使得下发的第一通知消息通过光线路终端透传给光网络单元,且定期对第一密码信息进行更新,从而能够避免由于人工输入密码信息或者由于长时间不修改密码信息而导致的密码泄露问题,提高了密码信息的安全性。本发明又一实施例提供一种认证系统1,如图8所示,包括前述实施例提供的光网络单元03和网络信息管理系统04。
其中,若网络信息管理系统04为网络管理系统05,则网络管理系统05可以用于生成第一密码信息,而后下发携带第一密码信息的第一通知消息给光线路终端07,使得下发的第一通知消息通过光线路终端透07传给光网络单元03,且网络管理系统05可以定期更新第一密码信息;若网络信息管理系统04为认证服务器06,则认证服务器06可以用于生成第一密码信息,而后下发携带第一密码信息的第一通知消息给网络管理系统05,网络管理系统05下发携带第一密码信息的第一通知消息给光线路终端07,使得下发的第一通知消息通过光线路终端07透传给光网络单元03,且认证服务器06可以定期更新第一密码信息。本发明实施例提供一种认证系统,通过网络信息管理系统生成第一密码信息,第一密码信息为光网络单元认证所需的密码信息,而后下发携带第一密码信息的第一通知消息给光线路终端,使得下发的第一通知消息通过光线路终端透传给光网络单元,其中,网络信息管理系统定期更新第一密码信息,从而能够避免由于人工输入密码信息或者由于长时间不修改密码信息而导致的密码泄露问题,提高了密码信息的安全性。在本申请所提供的几个实施例中,应该理解到,所揭露的系统,设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。另外,在本发明各个实施例中的设备和系统中,各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理包括,也可以两个或两个以上单元集成在一个单元中。且上述的各单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一 计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。以上所述,仅为本发明的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
权利要求
1.一种认证方法,应用于无源光网络系统中,其特征在于,所述方法包括: 光网络单元接收光线路终端透传的第一通知消息,所述第一通知消息至少包括:所述光网络单元认证所需的第一密码信息;所述第一通知消息是由网络信息管理系统下发的第一通知消息; 所述光网络单元根据所述第一通知消息中的第一密码信息,完成与所述光线路终端之间的认证。
2.根据权利要求1所述的方法,其特征在于,所述第一密码信息为经过第一密钥加密后的密码信息;其中,所述第一密钥为所述光网络单元与所述网络信息管理系统共同约定的密钥。
3.根据权利要求2所述的方法,其特征在于,所述光网络单元根据所述第一通知消息中的第一密码信息,完成与所述光线路终端之间的认证具体包括: 所述光网络单元根据所述第一通知消息中的第一密码信息,通过共同约定的第一密钥对所述第一密码信息进行解析,获取解密后的第一密码信息; 根据所述解密后的第一密码信息,完成与所述光线路终端之间的认证。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括: 所述光网络单元接收所述光线路终端透传的第二通知消息,所述第二通知消息至少包括:所述光网络单元认证所需的第二密码信息;所述第二通知消息是由网络信息管理系统下发的第二通知消息; 所述光网络单元以所述第一密码信息为第二密钥,对所述接收的第二密码信息进行解密,获取所述解密后的第二密码信息; 所述光网络单元根据所述解密后的第二密码信息,完成与所述光线路终端之间的再次认证。
5.一种认证方法,应用于无源光网络系统中,其特征在于,包括: 网络信息管理系统生成第一密码信息,所述第一密码信息为光网络单元认证所需的密码息; 所述网络信息管理系统下发携带所述第一密码信息的第一通知消息给所述光线路终端,使得所述网络信息管理系统下发的第一通知消息通过所述光线路终端透传给所述光网络单元。
6.根据权利要求5所述的认证方法,其特征在于,所述网络信息管理系统生成第一密码信息具体包括: 所述网络信息管理系统通过第一密钥对所述第一密码信息进行加密,其中,所述第一密钥为所述网络信息管理系统与所述光网络单元共同约定的密钥;所述网络信息管理系统下发携带所述第一密码信息的第一通知消息给所述光线路终端具体包括: 所述网络信息管理系统下发携带所述加密后的第一密码信息的第一通知消息给所述光线路终端。
7.根据权利要求5所述的认证方法,其特征在于,所述方法还包括: 所述网络信息管理系统定期更新所述第一密码信息。
8.根据权利要求7所述的认证方法,其特征在于,所述方法还包括: 所述网络信息管理系统以所述第一密码信息为第二密钥,生成第二密码信息;所述网络信息管理系统下发携带所述第二密码信息的第二通知消息给所述光线路终端,使得所述网络信息管理系统下发的第二通知消息通过所述光线路终端的透传给所述光网络单元。
9.一种光网络单元,其特征在于,所述光网络单元包括: 接收单元,用于接收光线路终端透传的第一通知消息,所述第一通知消息至少包括:所述光网络单元认证所需的第一密码信息;所述第一通知消息是由网络信息管理系统下发的第一通知消息; 认证单元,用于根据所述第一通知消息中的第一密码信息,完成与所述光线路终端之间的认证。
10.根据 权利要求9所述的光网络单元,其特征在于,所述第一密码信息为经过第一密钥加密后的密码信息;其中,所述第一密钥为所述光网络单元与所述网络信息管理系统共同约定的密钥。
11.根据权利要求10所述的光网络单元,其特征在于,所述认证单元,具体用于根据所述第一通知消息中的第一密码信息,通过共同约定的第一密钥对所述第一密码信息进行解析,获取解密后的第一密码信息;根据所述解密后的第一密码信息,完成与所述光线路终端之间的认证。
12.根据权利要求9所述的光网络单元,其特征在于,所述接收单元,还用于接收所述光线路终端透传的第二通知消息,所述第二通知消息至少包括:认证所需的第二密码信息;所述第二通知消息是由网络信息管理系统下发的第二通知消息; 所述认证单元,还用于以所述第一密码信息为第二密钥,对所述接收的第二密码信息进行解密,获取所述解密后的第二密码信息;根据所述解密后的第二密码信息,完成与所述光线路终端之间的再次认证。
13.—种网络信息管理系统,其特征在于,所述网络信息信息管理系统包括: 生成单元,用于生成第一密码信息,所述第一密码信息为光网络单元认证所需的密码信息; 发送单元,用于下发携带所述第一密码信息的第一通知消息给所述光线路终端,使得所述下发的第一通知消息通过所述光线路终端透传给所述光网络单元。
14.根据权利要求13所述的网络信息管理系统,其特征在于,所述生成单元,具体用于通过第一密钥对所述第一密码信息进行加密,其中,所述第一密钥为所述网络信息管理系统与所述光网络单元共同约定的密钥; 所述发送单元,具体用于下发携带所述加密后的第一密码信息的第一通知消息给所述光线路终端。
15.根据权利要求13所述的网络信息管理系统,其特征在于,所述网络信息管理系统还包括: 更新单元,用于定期更新所述第一密码信息; 所述生成单元,还用于以所述第一密码信息为第二密钥,生成第二密码信息; 所述发送单元,还用于下发携带所述第二密码信息的第二通知消息给所述光线路终端,使得所述网络信息管理系统下发的第二通知消息通过所述光线路终端的透传给所述光网络单元。
16.一种认证系统,其特征在于,所述认证系统包括:如权利要求9至12中任意一项所述的光网络单元和如权利要求13至15中任意一项所述的网络信息管理系统。
全文摘要
本发明实施例提供一种认证方法、设备和系统,涉及通信领域,能够避免由于人工输入认证密码信息或者由于长时间不修改认证密码信息而导致的密码泄露问题,提高了认证密码信息的安全性。其方法为通过网络信息管理系统生成第一密码信息,并下发携带第一密码信息的第一通知消息给光线路终端,使得网络信息管理系统下发的第一通知消息通过光线路终端透传给光网络单元,光网络单元根据第一通知消息中的第一密码信息,完成与光线路终端之间的认证,其中,网络信息管理系统对第一密码信息进行定期更新。本发明实施例用于认证信息的更新。
文档编号H04L12/24GK103229453SQ201280002367
公开日2013年7月31日 申请日期2012年12月28日 优先权日2012年12月28日
发明者程彪 申请人:华为技术有限公司