以太网无源光网络EPON的设备认证方法及系统

摘要

本发明提供了一种以太网无源光网络EPON的设备认证方法及系统。一种EPON的设备认证方法实施例包括：ONU发送注册请求帧至OLT，实现注册；OLT根据ONU的MAC地址获取ONU公钥，根据ONU公钥和预存的OLT私钥，计算得共享密钥；ONU根据预存的共享密钥对第一随机数进行加密，发送加密后的第一随机数至OLT；OLT对加密后的第一随机数进行解密得第一随机数，根据共享密钥对第二随机数进行加密，发送第一随机数和加密后的第二随机数至ONU；ONU对加密后的第二随机数进行解密得第二随机数，发送第二随机数至OLT，实现ONU和OLT的双向身份认证。本发明使得EPON系统的安全性提高。

说明书

技术领域

本发明涉及通信领域，特别是涉及一种以太网无源光网络EPON的设备认证方法及系统。

背景技术

随着网络的发展与普及，用户对通信带宽要求的不断增长，接入网技术面临一系列业务模式和技术的改变，以适应用户的需求变化。从当前接入网的发展趋势看，光纤必然代替电缆，从而实现纯光纤接入。无源光网络(PON，passive optical network)，即在光纤线路上采用无源设备进行传输线路切分的网络，并且具有节省光纤资源、对网络协议透明的特性，在光接入网中具有良好的应用前景。以太网无源光网络(EPON，Ethernet based passive optical network)是以太网和PON的结合，综合了两者的优点，低成本、高带宽、灵活易用、管理方便，是目前接入网技术中光纤到户的理想解决方案。

EPON系统包括光线路终端(OLT，optical line terminal)和光网络单元(ONU，Optical Network Unit)，其中，OLT和ONU的拓扑结构为总线形，如图1所示，1个OLT1与4个ONU2相连，ONU2为OLT1的分支。

现有EPON技术由IEEE 802.1X标准化，其中，IEEE 802.1X标准提供了一种独立于网络服务类型的基于网络端口访问介入控制的标准，用于基于以太网的局域网、城域网以及各种宽带接入手段的设备接入认证。在IEEE 802.1X标准中，EPON系统设备OLT和ONU进行设备接入认证时，ONU在自动发现和注册过程中引入了OLT和ONU之间的安全连接，通过数字证书验证其身份的合法性，并且利用非对称密钥机制将认证信息用接收方的公钥加密。但是这种方法只是假定OLT身份是合法的，却没有对OLT的身份进行认证，使得EPON系统的安全性降低，并且这种方法使用非对称密钥机制对认证信息进行认证，使得ONU模块的计算量增大。

因此，目前需要本领域技术人员迫切解决的一个技术问题就是：如何能够提出一种以太网无缘光网络的设备认证方法，用以解决现有技术没有对OLT的身份进行认证而造成EPON系统安全性降低的问题。

发明内容

本发明所要解决的技术问题是提供一种以太网无源光网络EPON的设备认证方法，用以解决现有技术没有对OLT的身份进行认证而造成EPON系统安全性降低的问题。

本发明的另一个目的是将上述构思应用于具体的应用环境中，提供一种以太网无源光网络EPON的设备认证系统，从而保证该方法的实现和应用。

为解决上述技术问题，本发明实施例提供了一种以太网无源光网络EPON的设备认证方法，包括：

一种以太网无源光网络EPON的设备认证方法，包括：

光网络单元ONU发送注册请求REGISTER_REQ帧至光线路终端OLT，实现注册，所述注册请求帧携带ONU的介质访问控制MAC地址；

OLT根据所述ONU的MAC地址获取所述ONU的ONU公钥，根据所述ONU公钥和预存的OLT私钥，计算得到共享密钥；

ONU根据预存的共享密钥对第一随机数进行加密，发送加密后的第一随机数至OLT；

OLT对所述加密后的第一随机数进行解密得到第一随机数，根据所述共享密钥对第二随机数进行加密，发送第一随机数和加密后的第二随机数至ONU；

ONU对所述加密后的第二随机数进行解密得到第二随机数，发送第二随机数至OLT，实现ONU和OLT的双向身份认证。

优选地，所述方法中，所述OLT根据所述ONU的MAC地址获取所述ONU的ONU公钥，具体为：

OLT发送所述ONU的MAC地址至轻量级目录访问协议LDAP服务器，以便于LDAP服务器根据预存的ONU MAC地址与ONU公钥对应列表，判断所述ONU的MAC地址是否合法，当所述ONU的MAC地址合法时，LDAP服务器获取所述ONU的ONU公钥；

OLT接收LDAP服务器发送的所述ONU的ONU公钥。

优选地，所述方法中，所述OLT预存的OLT私钥、所述ONU预存的共享密钥和所述LDAP服务器预存的ONU MAC地址与ONU公钥对应列表由密钥管理服务器KMS生成和分配。

优选地，所述方法中，所述ONU预存的共享密钥由密钥管理服务器KMS生成，具体为：

KMS根据ONU的MAC地址和OLT的MAC地址，采用椭圆曲线密码体制ECC生成OLT和ONU的公私钥对(OLT私钥，OLT公钥)和(ONU私钥，ONU公钥)；

KMS根据所述ONU公钥和所述OLT私钥计算得到共享密钥，将所述共享密钥注入ONU进行存储。

优选地，所述方法中，所述LDAP服务器在线，所述KMS离线。

优选地，所述方法中，所述光网络单元ONU发送注册请求消息至光线路终端OLT，实现注册，具体为：

ONU接收OLT发送的门GATE帧，发送注册请求消息至OLT；

ONU接收OLT发送的注册REGISTER帧，确认注册。

本发明实施例还提供了一种以太网无源光网络EPON的设备认证系统，包括：

一种以太网无源光网络EPON的设备认证系统，包括：

光网络单元ONU，用于发送注册请求REGISTER_REQ帧至光线路终端OLT，实现注册，所述注册请求帧携带ONU的介质访问控制MAC地址；根据预存的共享密钥对第一随机数进行加密，发送加密后的第一随机数至OLT；对所述加密后的第二随机数进行解密得到第二随机数，发送所述第二随机数至OLT，实现ONU和OLT的双向身份认证；

光线路终端OLT，用于根据所述ONU的MAC地址获取所述ONU的ONU公钥，根据所述ONU公钥和预存的OLT私钥，计算得到共享密钥；对所述加密后的第一随机数进行解密得到第一随机数，根据所述共享密钥对第二随机数进行加密，发送所述第一随机数和加密后的第二随机数至ONU。

优选地，所述系统中，所述光网络单元ONU包括：

注册模块，用于发送注册请求REGISTER_REQ帧至光线路终端OLT，实现注册，所述注册请求帧携带ONU的介质访问控制MAC地址；

第一加密模块，用于根据预存的共享密钥对第一随机数进行加密，发送加密后的第一随机数至OLT；

第一解密模块，用于对所述加密后的第二随机数进行解密得到第二随机数；

认证完成模块，发送所述第二随机数至OLT，实现ONU和OLT的双向身份认证。

优选地，所述系统中，所述注册模块包括：

收发子模块，用于接收OLT发送的门GATE帧，发送注册请求帧至OLT；

确认子模块，用于接收OLT发送的注册REGISTER帧，确认注册。

优选地，所述系统中，所述光线路终端OLT包括：

获取模块，用于根据所述ONU的MAC地址获取所述ONU的ONU公钥；

计算模块，用于根据所述ONU公钥和预存的OLT私钥，计算得到共享密钥；

第二解密模块，用于对所述加密后的第一随机数进行解密得到第一随机数；

第二加密模块，用于根据所述共享密钥对第二随机数进行加密；

发送模块，用于发送所述第一随机数和加密后的第二随机数至ONU。

优选地，所述系统中，所述获取模块包括：

发送子模块，用于发送所述ONU的MAC地址至轻量级目录访问协议LDAP服务器，以便于LDAP服务器根据预存的ONU MAC地址与ONU公钥对应列表，判断所述ONU的MAC地址是否合法，当所述ONU的MAC地址合法时，LDAP服务器获取所述ONU的ONU公钥；

接收子模块，用于接收LDAP服务器发送的所述ONU的ONU公钥。

优选地，所述系统中，所述OLT预存的OLT私钥、所述ONU预存的共享密钥和所述LDAP服务器预存的ONU MAC地址与ONU公钥对应列表由密钥管理服务器KMS生成和分配。

与现有技术相比，本发明具有以下优点：

在本实施例中，不仅仅实现了对ONU身份的认证，而且实现了对OLT身份的认证，保证只有合法身份的ONU和OLT设备才能接入到EPON系统中，使得EPON系统的安全性提高；并且OLT和ONU的身份认证使用的密钥与MAC地址有关，既保证了合法OLT的服务不被窃取，也能保证合法ONU得到需要的服务，不会被伪装；本实施例还采用LDAP服务器对ONU的MAC地址的合法性进行验证，实现了OLT对ONU身份认证的双重保证。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是现有技术EPON系统中OLT和ONU的网络拓扑图；

图2是本发明的一种EPON的设备认证方法实施例1的流程图；

图3是本发明的一种EPON的设备认证方法实施例2的流程图；

图4是本发明的一种光网络单元ONU的结构示意图；

图5是本发明的一种光线路终端OLT的结构示意图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

本发明可用于众多通用或专用的计算装置环境或配置中。例如：个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器装置、包括以上任何装置或设备的分布式计算环境等等。

本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

参考图2，示出了本发明的一种EPON的设备认证方法实施例1的流程图，所述设备认证方法流程包括：

S101：ONU发送注册请求消息至OLT，实现注册，所述注册请求消息携带ONU的介质访问控制MAC地址。

在实际应用中，ONU接收OLT发送的门GATE帧后，发送注册请求REGISTER_REQ帧至OLT，所述注册请求帧携带ONU的介质访问控制MAC地址；OLT发送注册REGISTER帧至ONU，ONU接收所述注册REGISTER帧，确认注册成功。

S102：OLT根据所述ONU的MAC地址获取所述ONU的ONU公钥，根据所述ONU公钥和预存的OLT私钥，计算得到共享密钥。

本实施例中，OLT根据预存的ONU MAC地址与ONU公钥对应列表判断所述ONU的MAC地址是否合法，从而当所述ONU的MAC地址合法时获取所述ONU的ONU公钥；

其中，所述ONU MAC地址与ONU公钥对应列表可以预存于OLT中，但是为了使得EPON系统的安全性提高，优选地，将所述ONU MAC地址与ONU公钥对应列表预存于轻量级目录访问协议(LDAP，Lightweight Directory Access Protocol)服务器，所述LDAP服务器为具有目录查找和搜索功能的在线服务器。

LDAP服务器查询所述预存的ONU MAC地址与ONU公钥对应列表中是否存在所述ONU的MAC地址，如果存在，则在线查找所述ONU的MAC地址对应的ONU公钥，如果所述ONU公钥存在，则所述ONU的MAC地址合法，获取所述ONU公钥，发送所述ONU公钥至OLT；如果所述ONU的MAC地址不存在，或者所述ONU的MAC地址存在但是所述ONU公钥不存在时，都认为所述ONU的MAC地址不合法。

OLT接收所述ONU公钥，根据所述ONU公钥和预存的OLT私钥，计算得到共享密钥，所述共享密钥的计算公式为：

共享密钥＝ONU公钥*OLT私钥

S103：ONU根据预存的共享密钥对第一随机数进行加密，发送加密后的第一随机数至OLT。

ONU获取第一随机数，在实际应用中，所述ONU获取第一随机数可以为，ONU生成第一随机数；然后根据预存的共享密钥对所述第一随机数进行加密，发送所述加密后的第一随机数至OLT。

上述S102中所述OLT预存的OLT私钥和所述LDAP服务器预存的ONU MAC地址与ONU公钥对应列表及S103中所述ONU预存的共享密钥均由密钥管理服务器(KMS，Key Management System)生成和分配，其中，所述ONU预存的共享密钥由密钥管理服务器KMS生成，具体可以为：

KMS根据ONU的MAC地址和OLT的MAC地址，采用椭圆曲线密码体制(ECC，EllipticCurve Cryptosystems)生成OLT和ONU的公私钥对(OLT私钥，OLT公钥)和(ONU私钥，ONU公钥)；

KMS根据所述ONU公钥和所述OLT私钥计算得到共享密钥，将所述共享密钥注入ONU进行存储，其中，所述共享密钥＝ONU公钥*OLT私钥。

从所述共享密钥的生成过程可以获知，所述ONU预存的共享密钥与所述OLT计算得到的共享密钥相同。

KMS将所述OLT私钥注入OLT进行存储；KMS根据所述ONU的MAC地址与对应的ONU公钥生成ONU MAC地址与ONU公钥对应列表，将所述列表分配给LDAP服务器进行存储。

S104：OLT对所述加密后的第一随机数进行解密得到第一随机数，根据所述共享密钥对第二随机数进行加密，发送第一随机数和加密后的第二随机数至ONU。

OLT利用所述计算得到的共享密钥对所述加密后的第一随机数进行解密后，得到第一随机数；同时，OLT获取第二随机数，根据所述计算得到的共享密钥对所述第二随机数进行加密，发送所述解密得到的第一随机数和所述加密后的第二随机数至ONU。其中，所述OLT获取第二随机数，在实际应用中，可以为OLT生成第二随机数。

S105：ONU对所述加密后的第二随机数进行解密得到第二随机数，发送第二随机数至OLT，实现ONU和OLT的双向身份认证。

ONU利用所述预存的共享密钥对所述机密后的第二随机数进行解密后，得到所述第二随机数，将所述第二随机数发送至OLT，OLT验证所述第二随机数正确后，则确认了ONU和OLT的合法身份，这样就实现了ONU和OLT的双向身份认证。

本实施例不仅仅实现了对ONU身份的认证，而且实现了对OLT身份的认证，保证只有合法身份的ONU和OLT设备才能接入到EPON系统中，使得系统的安全性提高；并且OLT和ONU的身份认证使用的密钥与MAC地址有关，既保证了合法OLT的服务不被窃取，也能保证合法ONU得到需要的服务，不会被伪装；本实施例还采用LDAP服务器对ONU的MAC地址的合法性进行验证，实现了OLT对ONU身份认证的双重保证。

此外，本实施采用非对称加密算法和对称加密算法相结合的方法，即采用非对称算法椭圆密码曲线机制ECC生成公私密钥，再采用该公私密钥生成对称加密算法的对称密钥作为共享密钥使用，保证了密钥的可靠性，并且减小了计算量。

本实施例使用了离线的KMS对密钥集中管理，提高了设备的安全性，便于对密钥的维护，并且离线分配密钥还可以保证合法ONU和OLT的身份不会被伪造冒充。

本实施例采用注册和认证相分离的方法，降低了注册和认证的关联性，便于实现更灵活的认证机制。

为了使本领域技术人员更好地理解本发明实施例，下面结合实际的应用场景对本发明实施例做进一步描述。

本实施例中，假设存在一可信任的管理机构(TA，Trust agent)，所述TA包括一密钥服务器KMS和一LDAP服务器，所述TA对所述KMS和LDAP服务器进行管理和维护，其中，所述KMS是离线的，所述LDAP服务器是在线的，任何装配到EPON系统中的设备须得到所述TA的许可。

KMS根据ONU的MAC地址和OLT的MAC地址，采用椭圆曲线密码体制ECC生成OLT和ONU的公私钥对(b，bp)和(a，ap)，所述b为OLT私钥，bp为OLT公钥，a为ONU私钥，ap为ONU公钥；将所述ONU公钥a和所述OLT私钥bp进行点乘，计算得到共享密钥abp，预先将所述共享密钥abp注入ONU进行存储，使得KMS和ONU之间共享abp；预先将OLT私钥b注入ONU进行存储，使得KMS和OLT之间共享b；根据所述ONU的MAC地址与对应ONU公钥ap生成ONU MAC地址与ONU公钥对应列表，预先将所述列表分配给LDAP服务器进行存储。

参考图3，示出了本发明的一种EPON的设备认证方法实施例2的流程图，所述设备认证方法流程包括：

S201：OLT发送GATE帧至ONU。

实际应用中，OLT以广播方式周期性的发送GATE帧，所述GATE帧允许接收到此帧的ONU立即或者在指定时间段发送注册请求REGISTER_REQ帧。

S202：ONU接收所述GATE帧，发送REGISTER_REQ帧至OLT，所述REGISTER_REQ帧携带所述ONU的MAC地址。

所述REGISTER_REQ帧用于在注册过程中ONU请求注册。

S203：OLT接收所述REGISTER_REQ帧，发送REGISTER帧至ONU，实现注册。

所述REGISTER帧用于在注册的过程中OLT通知ONU已识别注册请求，所述ONU已注册成功，实现注册。

S204：OLT发送所述ONU的MAC地址至LDAP服务器。

在进行ONU的身份认证时，OLT向LDAP服务器发送所述ONU的MAC地址对所述ONU的身份进行验证，若身份验证通过，则OLT将获取所述ONU对应的公钥ap，这样LOT就可以将公钥ap与自己的私钥b共同组成握手协议需要的会话密钥(共享密钥)，具体请参见S205和S206中的相关描述。

S205：LDAP服务器查询所述预存的ONU MAC地址与ONU公钥对应列表，判断所述ONU的MAC地址是否合法，如果是，根据所述ONU的MAC地址获取所述ONU的ONU公钥ap，发送所述ap至OLT。

本实施例中，ONU MAC地址与ONU公钥对应列表中存储了合法的ONU的MAC地址，并且合法ONU的MAC地址都与其公钥相对应；如果LDAP服务器查询所述ONU MAC地址与ONU公钥对应列表中存在所述ONU的MAC地址，则在线查找所述ONU的MAC地址对应的ONU公钥，如果所述ONU公钥存在，则所述ONU的MAC地址合法，获取所述ONU公钥ap，发送所述ONU公钥ap至OLT；如果所述ONU的MAC地址不存在，或者所述ONU的MAC地址存在但是所述ONU公钥ap不存在时，都认为所述ONU的MAC地址不合法。

S206：OLT根据所述ONU公钥ap和预存的OLT私钥b，计算得到共享密钥。

OLT接收所述ONU公钥，根据所述ONU公钥ap和预存的OLT私钥b，计算得到共享密钥abp，所述共享密钥abp的计算公式为：

共享密钥＝ONU公钥*OLT私钥

其中，所述共享密钥abp作为进行握手协议时的会话密钥来使用。

S207：ONU根据预存的共享密钥对第一随机数Rb进行加密，发送加密后的第一随机数Rb至OLT。

在实际应用中，ONU首先生成第一随机数Rb，然后根据预存的共享密钥abp对所述第一随机数Rb进行加密，发送所述加密后的第一随机数Rb至OLT。

S208：OLT对所述加密后的第一随机数Rb进行解密得到第一随机数Rb，根据所述共享密钥abp对第二随机数Ra进行加密，发送第一随机数Rb和加密后的第二随机数Ra至ONU。

OLT利用所述共享密钥abp对所述加密后的第一随机数Rb进行解密后，得到第一随机数Rb；同时，OLT生成第二随机数Ra，根据所述共享密钥abp对所述第二随机数Ra进行加密，发送所述解密得到的第一随机数Rb和所述加密后的第二随机数Ra至ONU。

S209：ONU对所述加密后的第二随机数Ra进行解密得到第二随机数Ra，发送第二随机数Ra至OLT。

ONU利用所述预存的共享密钥abp对所述机密后的第二随机数Ra进行解密后，得到所述第二随机数Ra，将所述第二随机数Ra发送至OLT。

S210：OLT接收所述第二随机数Ra，对所述第二随机数Ra进行验证，实现OLT和ONU之间的双向认证。

OLT验证所述第二随机数Ra是否与自身之前生成的Ra相同，如果相同，则确认了ONU和OLT的合法身份，从而实现了OLT和ONU之间的双向认证，即OLT和ONU的身份都经过认证合法后便可以加入到EPON系统中进行通信。

本实施例不仅仅实现了对ONU身份的认证，而且实现了对OLT身份的认证，保证只有合法身份的ONU和OLT设备才能接入到EPON系统中，使得系统的安全性提高；并且OLT和ONU的身份认证使用的密钥与MAC地址有关，既保证了合法OLT的服务不被窃取，也能保证合法ONU得到需要的服务，不会被伪装；本实施例还采用LDAP服务器对ONU的MAC地址的合法性进行验证，实现了OLT对ONU身份认证的双重保证。

此外，本实施采用非对称加密算法和对称加密算法相结合的方法，即采用非对称算法椭圆密码曲线机制ECC生成公私密钥，再采用该公私密钥生成对称加密算法的对称密钥作为共享密钥使用，保证了密钥的可靠性，并且减小了计算量。

本实施例使用了离线的KMS对密钥集中管理，提高了设备的安全性，便于对密钥的维护，并且离线分配密钥还可以保证合法ONU和OLT的身份不会被伪造冒充。

在上述EPON的设备认证方法的基础上，本发明还提供了一种EPON的设备认证系统，所述设备认证系统包括：

光网络单元ONU，用于发送注册请求REGISTER_REQ帧至光线路终端OLT，实现注册，所述注册请求帧携带ONU的介质访问控制MAC地址；根据预存的共享密钥对第一随机数进行加密，发送加密后的第一随机数至OLT；对所述加密后的第二随机数进行解密得到第二随机数，发送所述第二随机数至OLT，实现ONU和OLT的双向身份认证。

光线路终端OLT，用于根据所述ONU的MAC地址获取所述ONU的ONU公钥，根据所述ONU公钥和预存的OLT私钥，计算得到共享密钥；对所述加密后的第一随机数进行解密得到第一随机数，根据所述共享密钥对第二随机数进行加密，发送所述第一随机数和加密后的第二随机数至ONU。

其中，所述光网络单元ONU包括注册模块401、第一加密模块402、第一解密模块403和认证完成模块404，如图4所示：

所述注册模块401，用于发送注册请求REGISTER_REQ帧至光线路终端OLT，实现注册，所述注册请求帧携带ONU的介质访问控制MAC地址。

所述注册模块401包括收发子模块4011和确认子模块4012；

所述收发子模块4011，用于接收OLT发送的门GATE帧，发送注册请求REGISTER_REQ帧至OLT。

实际应用中，OLT以广播方式周期性的发送GATE帧，所述GATE帧允许接收到此帧的ONU立即或者在指定时间段发送注册请求REGISTER_REQ帧。所述REGISTER_REQ帧用于在注册过程中ONU请求注册。

所述确认子模块4012，用于接收OLT发送的注册REGISTER帧，确认注册。

所述REGISTER帧用于在注册的过程中OLT通知ONU已识别注册请求，所述ONU已注册成功，实现注册。

所述第一加密模块402，用于根据预存的共享密钥对第一随机数进行加密，发送加密后的第一随机数至OLT。

所述第一解密模块403，用于对所述加密后的第二随机数进行解密得到第二随机数。

所述认证完成模块404，发送所述第二随机数至OLT，实现ONU和OLT的双向身份认证。

其中，所述光线路终端OLT包括获取模块501、计算模块502、第二解密模块503、第二加密模块504和发送模块505，如图5所示：

所述获取模块501，用于根据所述ONU的MAC地址获取所述ONU的ONU公钥。

所述获取模块501包括发送子模块5011和接收子模块5012；

所述发送子模块5011，用于发送所述ONU的MAC地址至LDAP服务器，以便于LDAP服务器根据预存的ONU MAC地址与ONU公钥对应列表，判断所述ONU的MAC地址是否合法，当所述ONU的MAC地址合法时，LDAP服务器获取所述ONU的ONU公钥。

所述接收子模块5012，用于接收LDAP服务器发送的所述ONU的ONU公钥。

所述计算模块502，用于根据所述ONU公钥和预存的OLT私钥，计算得到共享密钥。

所述共享密钥的计算公式为：共享密钥＝ONU公钥*OLT私钥

所述第二解密模块503，用于对所述加密后的第一随机数进行解密得到第一随机数。

所述第二加密模块504，用于根据所述共享密钥对第二随机数进行加密；

所述发送模块505，用于发送所述第一随机数和加密后的第二随机数至ONU。

所述计算模块502中预存的OLT私钥、所述第一加密模块402中预存的共享密钥和所述LDAP服务器预存的ONU MAC地址与ONU公钥对应列表均由密钥管理服务器KMS生成和分配。

密钥管理服务器KMS和LDAP服务器属于某一可信任的管理机构TA，所述KMS是离线的，所述LDAP服务器是在线的。所述密钥管理服务器KMS用于生成、授权、管理和注销各种密钥、数字证书等信息，是一个数据库系统。所述LDAP服务器为具有目录查找和搜索功能的服务器。

本实施例中，所述KMS根据ONU的MAC地址和OLT的MAC地址，采用椭圆曲线密码体制ECC生成OLT和ONU的公私钥对(b，bp)和(a，ap)，所述b为OLT私钥，bp为OLT公钥，a为ONU私钥，ap为ONU公钥；将所述ONU公钥a和所述OLT私钥bp进行点乘，计算得到共享密钥abp，预先将所述共享密钥abp注入ONU进行存储，使得KMS和ONU之间共享abp；预先将OLT私钥b注入ONU进行存储，使得KMS和OLT之间共享b；根据所述ONU的MAC地址与对应ONU公钥ap生成ONU MAC地址与ONU公钥对应列表，预先将所述列表分配给LDAP服务器进行存储。

本实施例不仅仅实现了对ONU身份的认证，而且实现了对OLT身份的认证，保证只有合法身份的ONU和OLT设备才能接入到EPON系统中，使得EPON系统的安全性提高；并且OLT和ONU的身份认证使用的密钥与MAC地址有关，既保证了合法OLT的服务不被窃取，也能保证合法ONU得到需要的服务，不会被伪装；本实施例还采用LDAP服务器对ONU的MAC地址的合法性进行验证，实现了OLT对ONU身份认证的双重保证。

本实施例使用了离线的KMS对密钥集中管理，提高了设备的安全性，便于对密钥的维护，并且离线分配密钥还可以保证合法ONU和OLT的身份不会被伪造冒充。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个......”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上对本发明所提供的一种EPON的设备认证方法及系统进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。