一种防止无源光网络系统中光网络单元被仿冒的方法、系统及设备

摘要

本发明涉及一种防止无源光网络系统中光网络单元被仿冒的方法、系统及设备。本发明所述的方法包括：A.光线路终端OLT利用加密密钥对光网络单元ONU的标识信息进行加密，并将加密得到的结果发送给ONU；B.ONU根据解密密钥从所述加密的结果中获取ONU的标识信息。本发明所述的系统包括：OLT密钥管理模块、ONU认证模块，所述ONU认证模块具体包括：ONU密钥管理模块、比较判断模块。本发明所述的设备包括：一种无源光网络中的光线路终端设备和一种无源光网络中的光网络单元设备。本发明通过在ONU激活过程的分配逻辑标识的过程中，对下行的消息进行加密，从而达到防止ONU被仿冒的目的。

说明书

技术领域

本发明涉及一种通信技术领域，尤其涉及一种防止无源光网络系统中光网络单元被仿冒的方法、系统及设备。

背景技术

光接入技术，尤其PON(无源光网络)是接入网领域中的一项重要接入技术。PON包括GPON(吉比特无源光网络)和EPON(以太网无源光网络)。

如图1所示，PON系统由三个部分组成：OLT(光线路终端)、ODN(光分布网)和ONU/ONT(光网络单元/光网络终端)。

OLT为系统提供网络侧接口，连接至少一个ODN；ODN是无源分光器件，将OLT下行的数据分路传输给各个ONU/ONT，同时将多个ONU/ONT的上行数据汇总传输到OLT；ONU为PON系统提供用户侧接口，上行与ODN相连，如果ONU直接提供用户端口功能，如PC上网用的以太网用户端口，则称为ONT。

GPON系统，在ONU上电激活的过程中，采用PLOAM消息进行，OLT向ONU发送获取ONU的SN(SN，序列号)的申请，ONU响应所述申请，并给ONU分配ONU-ID。

GPON系统中OLT为ONU分配ONU-ID发生在ONU激活过程的SN-State(序列号获取状态)，具体过程为：

OLT发送一个SN Request(序列号请求)PLOAM消息给ONU，所述OLT发送的PLOAM消息为广播消息；

ONU收到SN Request PLOAM消息后，通过SN-response(序列号响应)PLOAM消息把ONU的SN(序列号)发送给OLT；

OLT收到ONU的SN-response PLOAM消息后，通过Assign ONU-ID(分配ONU标识)PLOAM消息为ONU分配一个该PON系统下的唯一的ONU标识。Assign ONU-IDPLOAM消息通过明文方式发送ONU的SN和OLT分配给ONU的ONU-ID；

ONU收到Assign ONU-ID消息后，如果其中的SN与该ONU的SN匹配，则该ONU用所分配的ONU-ID作为标识向OLT发送PLOAM消息用于识别该ONU；

EPON系统中的ONU发现过程，OLT通过MPCPDU(多点控制协议报文)为ONU分配LLID(逻辑链路标识)。ONU在OLT授权的发现窗口内发送REGISTER_REQ(注册请求)MPCPDU报文。OLT收到ONU的REGISTER_REQ报文后，根据ONU的MAC地址为ONU分配一个LLID，并把LLID和ONU的MAC地址通过REGISTER(注册)MPCPDU报文发送给ONU。OLT还把分配给ONU的LLID和ONU的MAC地址绑定。如果REGISTER MPCPDU报文中的目的MAC地址是本ONU的MAC地址，则ONU接收该报文，获得OLT所分配的LLID。

由于PON网络的固有特性--下行广播，所以所有的ONU都能收到OLT发送给ONU的PLOAM消息或下行MPCPDU报文。而激活过程中分配ONU-ID或LLID的消息或报文中，用于适配的SN或MAC地址通过明文方式发送，因此一个ONU能获取到所有其它ONU的SN和ONU-ID或MAC地址和LLID。而在ONU激活过程中，是采用ONU的设备标识(ONU的SN或MAC地址)来验证ONU是否是合法的。

这样，非法用户通过监听ONU激活过程的PLOAM消息或MPCPDU报文就有可能获取到其它ONU的SN或MAC地址，并在接下来的任何合适的时间，用合法ONU的SN或MAC地址来向OLT注册，完成其它ONU的激活过程，因此，PON系统的安全问题就得不到保障。

发明内容

鉴于上述现有技术所存在的问题，本发明的目的是提供一种防止无源光网络系统中光网络单元被仿冒的方法、系统及设备，通过在ONU激活过程或发现过程的分配逻辑标识(ONU-ID或LLID)的过程中，对下行的消息进行加密，达到防止ONU的设备标识(SN或MAC地址)和/或OLT分配给ONU的逻辑标识(ONU-ID或LLID)被窃听的目的，从而避免了ONU被仿冒的问题。

本发明的目的是通过以下技术方案实现的：

本发明提供了一种防止无源光网络系统中光网络单元被仿冒的方法，包括：

A、光线路终端OLT利用加密密钥对光网络单元ONU的标识信息进行加密，并将加密得到的结果发送给ONU；

B、ONU根据解密密钥从所述加密的结果中获取ONU的标识信息。

其中，所述步骤A还包括：在OLT和每个ONU间配置至少一个密钥对，所述密钥对包括加密密钥和解密密钥。

所述步骤A还包括：

OLT在多个密钥对中选择加密密钥，并将选择的加密密钥的序号发送给ONU，ONU根据所述选择的加密密钥的序号选择解密密钥。

所述步骤A还包括：

ONU将其设定或生成的加密密钥发送给OLT。

所述ONU的标识信息包括：ONU的设备标识和/或ONU的逻辑标识。

所述步骤B具体包括：

ONU根据所述解密密钥对所述的加密结果进行解密，得到ONU的设备标识和/或ONU的逻辑标识，并将解密得到的设备标识与ONU存储的设备标识进行比较，如果相同，则接受所述逻辑标识。

当所述标识信息为ONU的设备标识时，所述步骤A具体包括：

OLT利用加密密钥对ONU的设备标识进行加密，得到加密的结果XSN，将加密的结果和OLT给ONU分配的逻辑标识发送给ONU；

当所述标识信息是ONU的设备标识时，所述步骤B具体包括：

ONU根据所述解密密钥对ONU的设备标识进行加密，得到加密的结果RSN，将RSN与XSN进行比较，如果相同，则接受所述逻辑标识；

或者，

ONU根据所述解密密钥对XSN进行解密，得到设备标识，并将解密得到的设备标识与ONU存储的设备标识进行比较，如果相同，则接受所述逻辑标识。

本发明还提供了一种防止无源光网络系统中光网络单元仿冒的系统，包括：

OLT密钥管理模块，根据加密密钥对ONU的标识信息进行加密，并将加密的结果XSN发送给ONU，所述标识信息包括：设备标识和/或逻辑标识；

ONU认证模块：根据所述加密的结果，从中获取ONU的标识信息。

其中，所述ONU认证模块具体包括：

ONU密钥管理模块：根据所述解密密钥对ONU的标识信息进行加密，得到加密结果RSN，或根据所述共享密钥对XSN进行解密，得到设备标识和/或逻辑标识，然后触发比较模块；

比较判断模块：将RSN与XSN进行比较，如果相同，则接受所述标识；或者，将解密得到的设备标识与ONU存储的设备标识进行比较，如果相同，则接受所述逻辑标识。

本发明还提供了一种无源光网络中的光线路终端设备，包括：

密钥管理模块：接收ONU发来的设备标识，并根据加密密钥对ONU的标识信息进行加密，并将加密的结果XSN发送给ONU，所述标识信息包括：设备标识和/或逻辑标识。

本发明还提供了一种无源光网络中的光网络单元设备，包括：ONU认证模块，所述ONU认证模块具体包括：

密钥管理模块：接收经OLT加密的ONU的标识信息，根据解密密钥对ONU的标识信息进行加密，得到加密结果RSN，或根据所述解密密钥对XSN进行解密，得到ONU的设备标识和/或逻辑标识，然后触发比较模块；

比较判断模块：将RSN与XSN进行比较，如果相同，则接受所述逻辑标识；或者，将解密得到的设备标识与ONU存储的设备标识进行比较，如果相同，则接受所述逻辑标识。

由上述本发明提供的技术方案可以看出，本发明利用在OLT和ONU之间设置密钥。OLT对ONU通过上行链路发送的ONU标识信息进行加密，并把加密结果通过下行链路送给ONU，ONU进行解密，将解密得到的设备标识与ONU的设备标识进行比较，如果相同，则接受OLT给其分配的逻辑标识，否则不接受所分配的逻辑标识，这样，每个ONU的设备标识都不能被其它ONU获得，从而达到防止PON系统中ONU被仿冒的目的。

附图说明

图1为现有技术的PON系统的结构示意图；

图2为本发明实施例的分配ONU_ID的交互图；

图3为本发明实施例的利用单共享密钥进行加密的过程示意图；

图4为本发明实施例的利用多共享密钥进行加密的过程示意图。

具体实施方式

本发明的核心思想是本发明的目的是提供一种防止无源光网络系统中光网络单元被仿冒的方法、系统及设备，通过在ONU上激活过程中的分配逻辑标识的过程中，对下行的消息进行加密，从而防止ONU被仿冒。

下面结合附图2到附图4对本发明所述的方法、系统及设备作详细阐述。

在这里，仅以GPON为例进行说明，其中，ONU的设备标识通常为SN，ONU的逻辑标识通常为ONU-ID。

首先对本发明所述的方法进行详细阐述。

如图2所示，本发明需要在OLT和ONU之间预先设置密钥，具体的说就是，首先对OLT和多个ONU分别设置不同的密钥对，所述密钥对包括加密密钥和解密密钥，加密密钥可以与解密密钥相同，也可以不同；

现有密码学主要有两种加密方式：对称加密和非对称加密。对称加密算法中，加密密钥可以从解密密钥推导出来，解密密钥也可以从加密密钥推导出来，一般加密密钥和解密密钥是一样的，它要求发送者和接收者在安全通信之前，商定一个密钥；非对称加密算法，也叫公开密钥算法，加密密钥不同于解密密钥，解密密钥不能根据加密密钥计算出来。加密密钥能够公开，任何人都可以获得加密密钥，但只有解密密钥才能解密信息。公开密钥体系中，每个用户拥有一个密钥对：加密密钥叫做公开密钥，可以公开；解密密钥叫做私人密钥，由用户秘密保存。本发明中，可以根据具体的情况采用对称加密或非对称加密，对于这两种加密算法，现有技术中已有成熟的方案，这不是本发明所要讨论的问题，在这里，仅以共享密钥(加密密钥和解密密钥相同)为例进行说明。

所述OLT和ONU共享至少一个密钥，即，OLT与ONU之间可以有单个共享密钥；也可以有多个共享密钥，并从多个共享密钥中随机选择一个共享密钥作为当前进行加密或解密的密钥。

然后，OLT对ONU通过上行链路发送的SN进行加密生成XSN，并把加密结果XSN和分配给该ONU的ONU-ID通过下行链路送给ONU，ONU采用同样的密钥对SN进行运算，得到运算结果RSN，ONU比较RSN和XSN。ONU再根据比较结果判断是否接受所分配的ONU-ID，如果比较结果相同，则接受所分配的ONU-ID，否则不接受所分配的ONU-ID。

或者，OLT对ONU通过上行链路发送的SN进行加密生成XSN，并把加密结果XSN和分配给该ONU的ONU-ID通过下行链路送给ONU，ONU采用同样的密钥对XSN进行解密，得到一个SN，ONU把解密得到的SN与本地储存的SN比较，如果相同，则接受所分配的ON-ID，否则不接受所分配的ONU-ID。

下面分别利用单共享密钥对SN进行加密的过程和利用多共享密钥对SN进行加密的过程分别进行详细说明。

利用单共享密钥对SN进行加密的具体过程如图3所示，首先OLT和ONU之间配置一个共享密钥PW，当ONU上电后并进入激活过程的O3状态(SN状态)时，则实施以下方案之一：

方案一

1、OLT发送序列号请求，即，OLT通过SN request PLOAM消息请求ONU的SN；

2、ONT响应序列号请求，即，ONU通过接收SN request PLOAM消息后，响应请求，并通过发送SN response PLOAM消息把SN发送给OLT；

3、OLT计算XSN＝f(PW，SN)，即，OLT根据共享密钥PW对从ONU获得的SN进行加密，加密得到的结果为XSN；

4、ONU计算RSN＝f(PW，SN)，即，ONU根据共享密钥PW对ONU的SN进行加密，加密得到的结果为RSN；

5、OLT通过Assign ONU_ID PLOAM消息把XSN和分配给ONU的ONU_ID发给ONU；

6、ONU比较XSN和RSN，如果相同，则接受ONU_ID并进入激活过程的测距(O4)状态；

上面流程中的第3和第4步，没有必然的先后顺序，而且第4步可以发生在第6步前的任何位置。

方案二

1、OLT发送序列号请求，即，OLT通过SN request PLOAM消息请求ONU的SN；

2、ONT响应序列号请求，即，ONU通过接收SN request PLOAM消息后，响应请求，并通过发送SN response PLOAM消息把SN发送给OLT；

3、OLT计算XSN＝f(PW，SN)，即，OLT根据共享密钥PW对从ONU获得的SN进行加密，加密得到的结果为XSN；

4、OLT通过Assign ONU_ID PLOAM消息把XSN和分配给ONU的ONU_ID发给ONU；

5、ONU根据共享密钥对XSN进行解密，得到SN；

6、ONU比较解密得到的SN和其自身存储的SN，如果相同，则接受ONU_ID并进入激活过程的测距(O4)状态。

上述流程是基于OLT和ONU的只有一个共享密钥的场景，当OLT和ONU有多个共享密钥时，流程和当个共享密钥的情况类似，具体如下：

方案一

1、OLT发送序列号请求，即，OLT通过SN request PLOAM消息请求ONU的SN；

2、ONT响应序列号请求，即，ONU接收SN request PLOAM消息后，响应请求，并通过SN response PLOAM消息把SN发送给OLT；

3、OLT随机选择一个PWn，OLT计算XSN＝f(PW，SN)，即，OLT可以有多个共享密钥PW，然后在其中选择PW，根据所述PW对SN进行加密，加密得到的结果为XSN；

4、OLT通过Assign ONU_ID PLOAM消息把XSN和分配给ONU的ONU_ID以及选择的PW的序号n发送给ONU；

5、ONU从Assign ONU_ID PLOAM消息中获知共享密钥的序号n，选择PW，计算RSN＝f(PW，SN)，即，ONU根据所述PW对ONU的SN进行加密，加密得到的结果为RSN；

6、ONU将从OLT得到的XSN与ONT加密得到的RSN进行比较，如果相同，则接受ONU_ID，进入激活过程的测距(O4)状态。

方案二

1、OLT发送序列号请求，即，OLT通过SN request PLOAM消息请求ONU的SN；

2、ONT响应序列号请求，即，ONU接收SN request PLOAM消息后，响应请求，并通过SN response PLOAM消息把SN发送给OLT；

3、OLT随机选择一个PWn，OLT计算XSN＝f(PW，SN)，即，OLT可以有多个共享密钥PW，然后在其中选择PW，根据所述PW对SN进行加密，加密得到的结果为XSN；

4、OLT通过Assign ONU_ID PLOAM消息把XSN和分配给ONU的ONU_ID以及选择的PW的序号n发送给ONU；

5、ONU从Assign ONU_ID PLOAM消息中获知共享密钥的序号n，选择PW，对XSN进行解密，得到SN；

6、ONU将解密得到的SN与其自身存储的SN进行比较，如果相同，则接受ONU_ID，并进入激活过程的测距(O4)状态。

上面以PON系统中的一个ONU为例进行了说明，对于PON系统中的其它ONU的处理是一样，由于OLT和每个ONU间分别设置不同的共享密钥，这样，ONU就无法得到其它ONU的SN，那么，非法用户通过监听ONU激活过程的PLOAM消息就不能获取到其它ONU的SN，从而保证了PON系统中认证过程的安全性。

上面所述的是在OLT和ONT之间预先设定共享密钥，但本领域的技术人员应该知道本发明除了可以在OLT和ONT之间预先设定密钥以外，还可以由ONU随机产生密钥，然后ONU在给OLT发送SN的时候或之前或之后，将密钥发送给OLT，OLT根据所述密钥进行加密，其它的处理过程同上，在此就不再赘述。

在这里，仅以OLT对SN进行加密为例，对发明所述的方法进行详细阐述，但本领域的现有技术人员应该知道，本发明还包括对SN和OLT给ONU分配的ONU标识一同进行加密，这样，ONU根据所述密钥对XSN进行解密，解密得到的结果中包括了SN和ONU标识，然后ONU将解密得到的SN与ONU的SN进行比较，如果相同，则接受所述标识；本发明还可以对OLT给ONU分配的ONU标识单独进行加密，这样，所述ONU标识在传输过程中的安全性得到了比较好的保障。

下面对本发明所述的系统及设备作详细阐述。

本发明所述系统，包括：

OLT密钥管理模块：根据共享密钥对ONU的标识信息进行加密，并将加密的结果XSN发送给ONU；

具体的说就是OLT密钥管理模块根据共享密钥对ONU的标识信息进行加密，所述密钥可以在OLT密钥管理模块中预先设定，也可以由ONT随机产生共享密钥，并在给OLT发送SN的时候或之前或之后，发送共享密钥给OLT密钥管理模块，所述OLT密钥管理模块接收所述共享密钥，并根据密钥对ONU的标识信息进行加密；所述标识信息包括：ONU的SN和/或ONU标识；

在OLT密钥管理模块可以在多个密钥中选择单个共享密钥，也可以选择多个共享密钥，具体的获取过程如上文方法中所述，在此就不再赘述；

OLT密钥管理模块在进行加密的时候，还可以对ONU的SN和ONU标识同时进行加密，本发明还可以对OLT给ONU分配的ONU标识单独进行加密。

ONU认证模块：根据所述加密的结果，从中获取ONU的标识信息；

所述ONU认证模块具体包括：

ONU密钥管理模块：根据所述密钥对ONU的标识信息进行加密或根据所述密钥对XSN进行解密，然后触发比较判断模块；

具体的说就是，如果OLT密钥管理模块根据共享密钥对SN进行加密，则ONU密钥管理模块ONU根据所述密钥对ONU的序列号进行加密，然后触发比较判断模块，或者，ONU根据所述密钥对XSN进行解密，然后触发比较判断模块；

如果OLT密钥管理模块对ONU的SN和ONU标识一并进行加密，ONU密钥管理模块根据所述密钥对XSN进行解密，解密得到的结果中包括了SN和ONU标识；所述ONU密钥管理模块还可对OLT给ONU分配的ONU标识单独进行加密。

比较判断模块：如果OLT密钥管理模块仅对SN进行加密，所述比较判断模块将加密得到的结果RSN与XSN进行比较，如果相同，则接受所述标识；或者，所述比较判断模块将解密得到的SN与ONU的SN进行比较，如果相同，则接受所述标识；

如果OLT密钥管理模块对ONU的SN和ONU标识一并进行加密，所述比较判断模块将解密得到的SN与ONU的SN进行比较，如果相同，则接受所述标识。

本发明还包括一种无源光网络中的光线路终端设备，包括：

密钥管理模块：OLT发送序列号请求给ONU，ONU响应OLT的请求，并发送SN，密钥管理模块接收ONU发来的SN，并根据共享密钥对ONU的SN和/或其给ONU分配的ONU标识进行加密，并将加密的结果XSN发送给ONU。

本发明还包括一种无源光网络中的光网络单元设备，包括：ONU认证模块，所述ONU认证模块具体包括：

密钥管理模块：接收经OLT加密的ONU的标识信息，所述标识信息包括ONU的SN和/或ONU标识，如果OLT仅对标识信息中的SN进行加密，所述密钥管理模块根据共享密钥对ONU的SN进行加密，得到加密结果RSN，或根据所述共享密钥对XSN进行解密，得到ONU的SN和/或ONU标识，然后触发比较模块；

比较判断模块：将RSN与XSN进行比较，如果相同，则接受所述标识；或者，将解密得到的SN与ONU的SN进行比较，如果相同，则接受所述标识。

由于本发明所述的光路终端设备和光网络单元设备，在对于系统的说明时已作详细描述，所以在此就不再赘述了。

上面对本发明的方法、系统及设备进行阐述的时候，都是以ONU为例进行说明的，但本领域技术人员应该知道，如果ONU直接提供用户端口功能，如PC上网用的以太网用户端口，则称为ONT，本发明中所述的ONU是包括ONT的。

在这里，只是以GPON标准为例对本发明进行了说明，即，在激活过程的分配ONU-ID的过程中，对下行的消息进行加密，通过防止ONU的设备标识(SN)和/或OLT分配给ONU的逻辑标识(ONU-ID)被窃听，从而防止ONU的被仿冒问题。被仿冒就是ONU的设备标识被其它非法ONU知道后，被利用来向OLT注册；但本领域技术人员应该知道，本发明同样适用于EPON，EPON标准中，设备标识是ONU的MAC地址、逻辑标识为逻辑链路标识(LLID)，EPON中ONU发现过程的分配LLID的过程也类似GPON，OLT先需要获得ONU的MAC地址，再分配LLID给ONU，分配LLID给ONU的报文中有ONU的MAC地址和LLID。

另外，本发明仅以共享密钥为例，对本发明作了详细说明，如果采用非对称加密算法，加密密钥不同于解密密钥，那么在进行解密的时候就采取对应的解密密钥就可以了，至于加密或解密的具体过程，这不是本发明所要关心的，因此就不再详细阐述。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。