提高无源光网络中的安全性的方法

摘要

公开了一种提高无源光网络中的安全性的方法。所述方法包括在OLT处：检测光终端设备并建立与光终端设备的连接；生成包括第一随机数的第一PLOAM消息；以及通过建立的连接来传送第一PLOAM消息。所述方法还包括在光终端设备处：接收第一PLOAM消息；利用第一随机数和保存在光终端设备处的保密代码来计算第一认证码；以及生成包括第一认证码的第二PLOAM消息，并把第二PLOAM消息传送给OLT。所述方法还包括在OLT处：接收第二PLOAM消息；利用第一随机数和保存在光路终端处的保密代码来计算第二认证码；以及如果第一认证码匹配第二认证码，则认证光终端设备。

说明书

技术领域

本发明涉及光接入网络。具体地说，本发明涉及提高无源光网络中 的安全性的方法。此外，本发明涉及适合于实现这种方法的光路终端， 光终端设备和无源光网络。

背景技术

网际协议(IP)正在成为在通信网络中实现网络层的最普及协议之一。 特别地，下一代网络(简写成NGN)已为人们所知，即，在其网络层利用 IP的基于分组的网络。这样的NGN能够利用多种启动QoS的宽带传输 技术，而服务相关功能与下面的传输层技术无关。预期NGN将能够向用 户交付通信密集的服务，比如VoIP(网际协议话音)、视频通话、IPTV(网 际协议电视)和其它多媒体通信服务。

通信网络一般包含传输主干和一个或多个接入网络。尽管近年来， 传输主干已经历显著的增长，然而接入网络几乎没有变化。结果，“最后 一英里”仍然是大容量局域网(LAN)和传输主干之间的主要瓶颈。

今天，实现接入网络的最普遍解决方案是数字用户线路(简写成DSL) 网络和线缆调制解调器(简写为CM)网络。尽管这些解决方案相对于 56Kbps拨号线路来说是一种改进，但它们不能为上述通信密集的服务提 供足够的带宽。

更特别地，DSL和线缆调制解调器都跟不上这种通信密集的服务的 日益增长的带宽需求，因为这两种技术都建立在未针对数据业务优化的 现有通信基础结构之上。事实上，在CM网络中，只有少数信道专用于 数据的传输，而大部分的带宽被用于传送模拟视频信号。至于DSL网络， 由于信号失真和串扰，它们不允许在要求的距离提供足够的数据速率。 无源光网络(简写成PON)，尤其是千兆比特无源光网络(简写成GPON) 目前被认为是实现适合于提供这种基于IP的通信密集服务的接入网络的 最佳候选者之一。PON通常被看作“最后一英里”问题的一种有吸引力的 解决方案，因为PON使光收发器、中心局终端和光纤部署的数目降至最 小。

PON是一种在从源点到目的地的信号路径中没有任何有源元件的 点对多点(P2MP)光网络。PON中使用的唯一元件是无源光学组件，比如 光纤、光纤接头和分光器。

更特别地，PON一般包含光路终端(简称为OLT)和光分配网络(简称 为ODN)。ODN包含布置成形成从OLT辐射出的点-多点结构的多个光 链路(一般包含二氧化硅单模光纤)和分光器。

OLT适合于使ODN与传输主干，比如城域网(简写成MAN)或广域 网(简写成WAN)接口。

另一方面，CDN适合于允许OLT以一般可高于100Mbit/s的传输 速率与连接在其光链路远端的用户交换业务。这有利地允许用户共享 OLT的使用(于是均分OLT的费用)，从而允许用户以可接受的成本访问 宽带数据服务和宽带电话服务。

当PON被用于FTTB(光纤到楼)或FTTC(光纤到路边)应用时，ODN 的每个光链路在其远端与相应的光网络单元(简写成ONU)端接，所述光 网络单元可以位于建筑物的底部，或者位于一个或多个建筑物附近的路 边。

另一方面，当PON用于FTTH(光纤到家)应用时，ODN的每个光链 路在其远端与相应的光网络终端(简称为ONT)端接，所述光网络终端一 般位于用户的家中。

在本说明书和权利要求书中，表述“光终端设备”将指定适合于在 ODN的光链路的远端端接所述光链路的光学设备，即，或者是ONU(就 FTTB或FTTC应用来说)，或者是ONT(就FTTH应用来说)。

最近，发现了对用于FTTH应用的PON的几种安全威胁。多数的 这种安全威胁涉及拒绝服务(DoS)攻击，以及涉及对通过PON传送的业 务的保密性的攻击。

对用于FTTH应用的PON的严重威胁是恶意实体窃取已供应并启 动的ONT，随后在无认证和/或授权的情况下访问PON的可能性。这是 因为ONT一般未进行物理保护，因为ONT是由用户直接管理的。此外， 降低新的ONT的启动和管理成本的需要使得难以采用诸如以智能卡为 基础的安全机制的鲁棒安全机制。

利用窃取的ONT，恶意实体(例如，黑客)会对PON运营商、服务提 供者和用户造成一些安全问题。

例如，通过把窃取的ONT连接到ODN的分光器的未用端口，黑客 能够接入PON。另一方面，黑客能够在ODN的链路中增加分光器，并 把窃取的ONT连接到增加的分光器。这样，黑客可以接收指向另一个用 户的至少一部分业务。在上面的情况下，黑客的ONT充当合法客户的 ONT。

此外，例如，黑客能够创建欺骗性的ONT，随后把欺骗性的ONT 用于截取传送给其它ONT的业务，或者用于干扰从其它ONT到OLT 的传输。

为了面对上面提及的涉及PON的安全问题，提出了许多解决方案。

首先，每当光终端设备被连接到ODN的光链路并被接通时，一般 必须在OLT启动该光终端设备。特别地，ITU-T建议G.984.3(02/2004) 公开了在OLT的控制下进行启动处理。该处理由OLT起动，OLT定期 检查新的光终端设备的可能启动，和/或关闭的光终端设备的可能重新启 动。按照上面提及的ITU-T建议G.984.3，启动过程包括三个阶段：参 数学习、序列号获取和测距。

在参数学习阶段内，光终端设备在保持无源的同时，获得将用于上 游传输的操作参数。

在序列号获取阶段内，OLT通过开启上游传输窗口(称为“测距窗口”) 并要求序列号传输，发现可能的新的光终端设备。在这个测距窗口中， 新的光终端设备把它们各自的序列号发送给OLT。当收到每个序列号时， OLT把该序列号与未用的光终端设备标识符相关联，并把所述光终端设 备标识符发送给对应的光终端设备。

ITU-T建议G.984.3(02/2004)的段落10.1.1公开了获得新的光终端设 备的序列号的两种方法。

按照第一种方法(“方法A”)，在光终端设备首次被接通之前，网络提 供者把光终端设备的序列号记录在OLT的本地存储器中。因此，当OLT 检测到该光终端设备时，OLT从其本地存储器中检索光终端设备的序列 号，并检查该检索的序列号是否是已保存的序列号之一。在肯定的情况 下，OLT启动该光终端设备，而在否定的情况下，OLT停止启动过程。

另一方面，按照第二种方法(“方法B”)，当首次检测到光终端设备时， OLT自动检索该光终端设备的序列号。具体地，当OLT检测到光终端 设备时，OLT从该光终端设备检索光终端设备的序列号，并检查检索的 序列号是否是已保存的序列号之一。在肯定的情况下，OLT认为该光终 端设备已被启动，而在否定的情况下，OLT确定该光终端设备应当被首 次启动。在后一情况下，OLT把检索的序列号保存在它的本地存储器中， 并启动该光终端设备。

在测距阶段中，OLT测量它自己和每个光终端设备之间的光程。测 距阶段的目的是向每个光终端设备分配用于上游传输的时间间隔，从而 使光终端设备的上游传输同步，使得每个光终端设备所传送的上游业务 不冲突地到达OLT。

ITU-T建议G.984.3(02/2004)的段落9.2.1-9.2.2公开了当测距阶段结 束时，可通过利用OLT和光终端设备所共享的口令来执行允许OLT认 证启动的光终端设备的可选阶段。按照这个可选的认证阶段，OLT向光 终端传送Request_Password消息。当收到Request_Password消息时， 光终端设备答复以包含所述口令的Password消息。保存(在序列号获取 阶段期间提供的)序列号和预期口令之间的关联的OLT随后检查从光终 端设备接收的口令是否与预期口令相符。在肯定的情况下，OLT允许光 终端设备接入PON；否则，OLT可以拒绝光终端设备的接入。就FTTH 应用来说，该过程允许OLT检查该ONT是否始终由知道与其ONT的 序列号相关联的口令的同一用户使用。例如，这有助于防止除该用户外 的各方欺骗性地使用被窃取的ONT。

ITU-T建议G.984.3(02/2004)还在段落12.3中公开了当测距阶段结束 时，可以执行允许OLT和光终端设备交换用于对从OLT传送给光终端 设备的数据(也称为“下行链路”或“下游”传输)进行加密的加密密钥的可 选阶段。按照这个可选阶段，OLT向光终端设备传送Key_Request消息。 当收到Key_Request消息时，光终端设备生成加密密钥，并且一般通过 利用包含所述加密密钥的各个片段的Encryption_key消息把所述加密密 钥传送给OLT。OLT随后把接收的加密密钥用于对将被传送给光终端设 备的数据进行加密。在下行链路传输被未经授权方偷听的情况下，该过 程允许保持下行链路传输的保密性。

此外，US 2007/0274720公开了一种启动ONU的过程。首先，可以 使账户与端口ID和第一ID相关联。随后，可以接收包括设备的序列号 和接收的ID的启动数据。随后，可以确定所述数据是在与端口ID相对 应的端口接收的，以及接收的ID对应于第一ID。之后，响应于确定所 述数据是在与端口ID相对应的端口接收的，以及接收的ID对应于第一 ID，设备可被启动，以接收与所述账户相关联的至少一个服务。

另外，US 2008/0040604公开了通过对GPON中的OLT的下行链路 传输中的每个ONU的认证加密来提供安全传输的系统和方法。GPON 系统包括通过从外部服务提供者接收数据来生成GTC下行链路帧的 OLT，和从OLT接收GTC下行链路帧，并处理接收的GTC下行链路 帧的ONU。OLT通过包括认证发生器，按照ONU执行关于生成的GTC 下行链路帧的认证加密，以及ONU通过认证检查器检查接收的GTC下 行链路帧的认证，来确定GTC下行链路帧是否允许被处理。

发明内容

申请人认识到在OLT认证光终端设备和/或加密下行链路传输的所 有上述已知解决方案都依赖于上行链路传输固有地免受窃听的假设。这 种假设实质上基于ODN，尤其是包括在ODN中的分光器的强定向特性。

最近，D.Gutierrez等人在“TDM-PON Security Issues：Upstream  Encryption is Needed”(Conference on Optical Fiber Communication and  National Fiber Optic Engineers Conference 2007(OFC/NFOEC 2007)， 2007年3月25-29日，Anaheim(CA)，1-3页，ISBN 1-55752-831-4)中公开 了从光终端设备传送给OLT的光信号(即，上行链路传输)在OLT处会 受到反射，即，它们会被部分朝着光终端设备反射。这意味着通过截取 这样的反射，上行链路传输也会被窃听。

事实上，在所有的上述解决方案中，允许OLT认证光终端设备和/ 或加密下行链路传输的信息是沿上行链路传输的，而没有提供这些信息 的任何保护机制，比如编码、加密等。

特别地，按照上面提及的ITU-T推荐G.984.3(02/2004)的段落9.2.2， Password消息是在没有任何保护机制的情况下，从光终端设备沿上行链 路传送给OLT的。类似地，按照ITU-T推荐G.984.3(02/2004)的段落12.3， Encryption_Key消息是在没有任何保护机制的情况下，从光终端设备沿 上行链路传送给OLT的。相同的考虑也适用于US 2007/0274720的接收 ID以及US 2008/0040604的加密密钥。

从而，PON中的上行链路传输的易窃听性不仅不利地影响上行链路 传输本身的保密性，而且不利地影响在OLT处认证光终端设备和/或加 密下行链路传输的上述已知解决方案的安全性。

事实上，例如，就ITU-T推荐G.984.3(02/2004)的段落9.2.1-9.2.2说 明的上述认证过程来说，黑客可截取承载Password消息的上行链路光信 号的反射。黑客随后能够窃听口令，并把所述口令用于在OLT欺骗地进 行认证。

类似地，就ITU-T推荐G.984.3(02/2004)的段落12.3说明的加密下 行链路传输的上述过程来说，黑客可截取承载Encryption_Key消息的上 行链路光信号的反射。黑客随后能够窃听加密密钥，并把加密密钥用于 解密下行链路传输。

类似的考虑也适用于US 2007/0274720和US 2008/0040604公开的解 决方案。

此外，申请人注意到不利的是，在OLT处认证光终端设备和/或加 密下行链路传输的上述解决方案不允许在光终端设备处认证OLT，即， 这些解决方案不允许用户检查他/她把其光终端设备连接到的PON是否 是“可信的”PON。

因此，申请人解决了当利用光终端设备接入无源光网络时，提高无 源光网络中的安全性的问题。

按照本发明，通过消除光接入网络上的文本口令和/或加密密钥的明 文传输，从而使通过ODN传送的业务(特别地，上行链路业务)的可能窃 听无效，提高了无源光网络中的安全性。

更特别地，按照本发明，通过提供OLT和光终端设备之间的强认证 机制，扩展了ITU-T推荐G.984.3(02/2004)所公开的上述过程。表述“强 认证”意味着在OLT和光终端设备之间决不以明文来交换保密代码。最 好在测距阶段结束之后立即执行这种机制。如上所述，测距阶段对应于 使链接到光路终端的光终端设备的上游传输同步。例如，可用OLT对光 终端设备的均匀延迟传输来结束测距阶段。均匀延迟基于测量OLT和被 测距的光终端设备之间的往返延迟。

强认证机制最好基于OLT和光终端设备都知道的秘密(即，保密代 码)。在OLT和光终端设备之间决不以明文来交换所述秘密。在相互认 证处理中，OLT和光终端设备只相互证明它们知道保密代码，而不通过 无源光网络来传送保密代码。

按照本发明的优选实施例，还提供一种生成加密密钥的机制，这种 机制允许OLT和光终端设备(在成功的相互认证之后)独立地生成加密密 钥，而不通过无源光网络以明文来传送加密密钥。

特别地，在成功完成相互认证之后，OLT和光终端设备最好交换与 保密代码相结合，允许OLT和光终端设备两者独立地生成加密密钥的数 据。

最好，所述方法还提供刷新加密密钥的安全密钥更新机制。这是通 过交换允许OLT和光终端设备独立地生成新的加密密钥，而不通过无源 光网络传送新的加密密钥的认证消息来实现的。

按照这种更新加密密钥的机制，OLT和光终端设备最好交换与保密 代码相结合，允许OLT和光终端设备两者独立地生成新的加密密钥的认 证数据。

按照本发明的优选实施例，通过在OLT和光终端设备之间交换物理 层操作和管理消息(PLOAM)，来实现上面的认证机制以及生成和更新加 密密钥的机制。最好，在分层模型的一层，在OLT和光终端设备之间交 换所述物理层操作和管理消息，该层提供PON管理功能，比如测距、光 终端设备的启动、报警传送和可能的其它功能。例如，该层对应于OSI 七层模型中涉及把数据分组分成比特以便通过层1发送的层2，更具体地 说，对应于层2的媒体访问控制(MAC)子层。层2还包括被称为无线电 链路控制的另一子层。媒体访问控制(MAC)子层控制网络上的设备如何 获得对数据的访问以及得到传送数据的许可，而无线电链路控制(RLC) 子层控制传输本身。

具体地说，PLOAM消息是可由OLT向下游发给OTD以及由OTD 向上游发给OLT，以在它们之间传送操作和管理功能的专用消息。

有利的是，这允许避免用于实现认证机制以及生成和更新加密密钥 的机制的其它消息的增加。这允许使认证过程的成本保持很低。有利的 是，这还允许从用户的观点来看，不改变由ITU-T推荐G.984.3定义的 认证过程。这是有利的，因为用户可仍然执行在已知的认证过程中他习 惯于执行的相同操作，而不需要学习任何新的认证过程。换句话说，对 用户来说，从ITU-T推荐G.984.3所定义的已知认证过程转到按照本发 明的认证过程是完全透明的。

此外有利的是，借助PLOAM消息(PLOAM消息是在认证完成之前， 可通过网络传送的唯一消息)，在测距过程之后立即进行强认证过程，并 且只有在成功完成强认证过程之后，才允许光终端设备的传输，使得可 以提供非常安全的无源光网络接入机制。事实上，由于在强认证过程中 只允许光终端设备传送PLOAM消息，只有在被OLT认证之后才允许 该光终端设备传送更高层的业务，不存在未被认证的光终端设备能够向 OLT传送更高层业务的任何时段。

按照特别有利的实施例，通过在OLT和光终端设备之间交换ITU-T 推荐G.984.3(02/2004)所定义的上述Request_Password、Password、 Request_Key和Enctyption_Key消息形式的消息，来实现上面的认证机 制以及生成和更新加密密钥的机制。按照这种特别有利的变形，只有 ITU-T推荐G.984.3(02/2004)定义成UNSPECIFIED的字节才被用于承载 可用于实现上述机制的信息。这允许在对ITU-T推荐G.984.3所定义的 标准消息进行最少修改的情况下，实现强认证过程。

按照第一方面，本发明提供一种提高包括光终端设备和光路终端的 无源光网络中的安全性的方法，其中，所述方法包括：

a)在光路终端：

a1)检测光终端设备对无源光网络的接入；

a2)建立与光终端设备的连接；

a3)生成包括与光终端设备相关的第一随机数的第一认证消息， 第一认证消息被配置成物理层操作和维护消息；以及

a4)通过建立的连接来传送第一认证消息；

b)在光终端设备：

b1)通过建立的连接来接收第一认证消息；

b2)利用第一随机数和保存在光终端设备处的保密代码来计算 第一认证码；以及

b3)生成包括第一认证码的第二认证消息，并通过建立的连接来 传送第二认证消息，第二认证消息被配置成物理层操作和维护消息；

c)在光路终端：

c1)接收第二认证消息；

c2)利用第一随机数和保存在光路终端处的保密代码来计算第 二认证码；以及

c3)如果第一认证码匹配第二认证码，则认证光终端设备。

最好，网络包括与光路终端连接的多个光终端设备，步骤a2)包括向 光终端设备分配用于上游传输的时间间隔；和使多个光终端设备的上游 传输同步。

最好，步骤a3)包括在光路终端处：

d1)设定表示光路终端所支持的至少一个认证码生成算法和/或至少 一个加密密钥生成算法和/或至少一个加密密钥长度的第一信息；和

d2)在第一认证消息中传送第一信息。

有利的是，步骤b2)包括在光终端设备处：

e1)生成第二随机数；

e2)设定表示光终端设备所支持的认证码生成算法和/或加密密钥生 成算法和/或加密密钥长度的第二信息；以及

e3)利用第二随机数、第一信息和第二信息来计算第一认证码。

最好：

-步骤b3)包括在光终端设备处：

f1)在第二认证消息中传送第二随机数和第二信息；以及

-步骤c2)包括在光路终端处：

g1)从第二认证消息中检索第二随机数和第二信息；和

g2)利用第二随机数、第一信息和第二信息来计算第二认证码。

最好，所述方法还包括：

h)在光路终端处：

h1)生成第三随机数；

h2)利用第三随机数和保存在光路终端处的保密代码来计算第 一反认证码；以及

h3)生成包括第三随机数和反认证码的第三认证消息，并通过建 立的连接来传送第三认证消息，第三认证消息被配置成物理层操作和维 护消息；

i)在光终端设备处：

i1)接收第三认证消息；

i2)利用第三随机数和保存在光终端设备处的保密代码来计算第 二反认证码；以及

i3)如果第一反认证码与第二反认证码匹配，则反认证光路终端。

有利的是，步骤h2)包括：

l1)利用第一随机数、第二随机数和保存在光路终端处的保密代码来 计算第一认证密钥；和

l2)利用第三随机数和第一认证密钥来计算第一反认证码。

最好，步骤i2)包括：

m1)利用第一随机数、第二随机数和保存在光终端设备处的保密代码 来计算第二认证密钥；和

m2)利用第三随机数和第二认证密钥来计算第二反认证码。

有利的是，所述方法还包括：

n)在光终端设备处：

n1)生成第四随机数；

n2)利用第三随机数、第四随机数和保存在光终端设备处的保密 代码来计算第一加密密钥；

n3)利用第三随机数、第四随机数和加密密钥来计算第一加密- 认证码；

n4)生成包含第四随机数和第一加密-认证码的第一加密密钥消 息，第一加密密钥消息被配置成物理层操作和维护消息；以及

n5)通过建立的连接来传送第一加密密钥消息；

k)在光路终端处：

k1)接收第一加密密钥消息；

k2)利用第三随机数、第四随机数和保存在光终端设备处的保密 代码来计算第二加密密钥；

k3)利用第三随机数、第四随机数和第二加密密钥来生成第二加 密-认证码；

k4)确定第一加密-认证码是否与第二加密-认证码匹配，从而确 定第一加密密钥是否具有与第二加密密钥相同的值，以及在肯定的情况 下，

k5)利用加密密钥来加密建立的连接。

最好，步骤n2)包括利用第一信息和第二信息来计算第一加密密钥； 以及步骤n3)包括利用第一信息、第二信息和第二认证密钥来计算第一加 密-认证码。

最好，步骤k2)包括利用第一信息和第二信息来计算第二加密密钥； 步骤k3)包括利用第一信息、第二信息和认证密钥来计算第二加密-认证 码。

最好，所述方法还包括周期性重复步骤h-k，从而在光路终端处利用 第二加密密钥以及在光终端设备处利用第一加密密钥来刷新第一和第二 加密密钥。

按照本发明的第二方面，本发明提供一种用于无源光网络的光路终 端，所述光路终端适合于：

-检测光终端设备对无源光网络的接入；

-通过向光终端设备分配用于上游传输的时间间隔来建立与光终端 设备的连接；

-生成包含与光终端设备相关的第一随机数的第一认证消息，第一认 证消息被配置成物理层操作和维护消息；

-通过建立的连接来传送第一认证消息；

-通过建立的连接来接收第二认证消息，第二认证消息包含第一认证 码，第二认证消息被配置成物理层操作和维护消息；

-利用第一随机数和保存在光路终端处的保密代码来计算第二认证 码；以及

-如果第一认证码与第二认证码匹配，则认证光终端设备。

按照第三方面，本发明提供一种适合于接入无源光网络的光终端设 备，所述无源光网络包括光路终端，所述光终端设备适合于：

-具有被分配用于与光路终端的上游传输的时间间隔；

-通过建立的连接来接收第一认证消息，第一认证消息包含与光终端 设备相关的第一随机数，第一认证消息被配置成物理层操作和维护消息；

-利用第一随机数和保存在光终端设备处的保密代码来计算认证码； 以及

-生成包含第一认证码的第二认证消息，并通过建立的连接来传送第 二认证消息，第二认证消息被配置成物理层操作和维护消息。

按照第四方面，本发明提供一种包含如上所述的光路终端和光终端 设备的无源光网络。

按照第五方面，本发明提供一种包含计算机程序代码装置的计算机 程序，当在用于无源光网络的光路终端上运行所述程序时，所述计算机 程序代码装置适合于执行下述步骤，

-检测光终端设备对无源光网络的接入；

-通过向光终端设备分配用于上游传输的时间间隔来建立与光终端 设备的连接；

-生成包含与光终端设备相关的第一随机数的第一认证消息，第一认 证消息被配置成物理层操作和维护消息；

-通过建立的连接来传送第一认证消息；

-通过建立的连接来接收第二认证消息，第二认证消息包含第一认证 码，第二认证消息被配置成物理层操作和维护消息；

-利用第一随机数和保存在光路终端处的保密代码来计算第二认证 码；以及

-如果第一认证码与第二认证码匹配，则认证光终端设备。

按照第六方面，本发明提供一种包含计算机程序代码装置的计算机 程序，当在适合于接入无源光网络的光终端设备上运行所述程序时，所 述计算机程序代码装置适合于执行下述步骤，

-具有被分配用于与光路终端的上游传输的时间间隔；

-通过建立的连接来接收第一认证消息，第一认证消息包含与光终端 设备相关的第一随机数，第一认证消息被配置成物理层操作和维护消息；

-利用第一随机数和保存在光终端设备处的保密代码来计算认证码； 和

-生成包含第一认证码的第二认证消息，并通过建立的连接来传送第 二认证消息，第二认证消息被配置成物理层操作和维护消息。

附图说明

根据参考附图阅读的下述详细说明，本发明将变得更清楚，下述详 细说明是作为例子给出的，而不是对本发明限制，附图中：

-图1示意示出了用于FTTH应用的PON；

-图2是在OLT处认证图1中所示的PON的光终端设备之一的过程 的流程图；

图3是在光终端设备处反认证OLT的过程的流程图；

图4是在OLT和光终端设备处生成加密密钥的过程的流程图；

图5a和5b分别示出了第一认证消息和第二认证信息的结构；

图6a和6b分别示出了反认证消息和加密认证消息的结构；

图7是在加密密钥更新过程中，在光终端设备处反认证OLT的过程 的流程图；以及

图8是在加密密钥更新过程中，在OLT和光终端设备处生成新的加 密密钥的过程的流程图。

具体实施方式

图1示意地示出了在后面说明的例证实施例中，适合于FTTH应用 的PON 1。然而，PON 1可以用于其它应用，比如用于上面提及的FTTB 和FTTC应用。PON 1最好包括ODN 10和OLT 100。

最好，ODN 10包括三个分光器SP1、SP2和SP3。分光器SP1具有 连接到OLT 100的输入光链路和两个输出光链路。分光器SP2具有连接 到分光器SP1的输出光链路之一的输入光链路和两个输出光链路。类似 地，分光器SP3具有连接到分光器SP1的另一个输出光链路的输入光链 路和两个输出光链路。

图1中所示的ODN 10仅仅是例证性的。事实上，如上所述，ODN 一般包含布置成形成从OLT 100辐射出的点到多点结构的光链路和分光 器。

最好，分光器SP2和SP3的每个输出光链路可由相应的光终端设备 OTD1、OTD2、OTD3和OTD4端接。由于已假定PON 1适合于FTTH 应用，因此，每个光终端设备OTD1、OTD2、OTD3和OTD4是可位于 相应用户的住宅U1、U2、U3和U4内的光终端设备。

最好，OLT 100适合于与关联表AT合作。最好，对于将由OLT 100 管理的每个光终端设备，关联表AT包含含有该光终端设备的注册标识 符和与所述注册标识符相关的保密代码的一行。

注册标识符最好识别用户(在光终端设备是ONT的情况下)或者光终 端设备本身(在光终端设备是ONU的情况下)。最好，注册标识符在后面 详细说明的认证过程中，从光终端设备被传送给OLT 100，随后被OLT 用于识别用户(或ONU)和检索相关的保密代码。此外，OLT使用注册标 识符来检索光终端设备的序列号。有利的是，这允许OLT把给定用户(即， 给定注册标识符)与给定光终端设备相关联，而不预先在OLT处配置这 种关联。

为了简单起见，在图1的关联表AT中，只描述了光终端设备OTD2 的注册标识符Reg-ID2及其关联保密代码SC2。在光终端设备OTD2首 次被接通之前，可由网络提供者在OLT 100处提供注册标识符Reg-ID2 和保密代码SC2。或者，注册标识符Reg-ID2和保密代码SC2可由用户 (在ONT的情况下)或者安装/修理人员(在ONU终端的情况下)传送。

关联表AT可被保存在OLT 100的本地数据库中，或者可被保存在 例如位于PON 1的中心局的中央数据库中，OLT 100可以访问所述中央 数据库。关联表AT的作用将在后面详细说明。

最好，OLT 100适合于执行至少一种认证码生成算法。例如，OLT 100适合于执行三种不同的认证码生成算法AA1、AA2、AA3。最好， 每种认证码生成算法AA1、AA2、AA3是散列消息认证码(HMAC)函数 或者加密散列消息认证码(KHMAC)函数，即，与保密密钥结合使用的、 不允许从其输出值开始回溯其输入值的散列函数。这种单向散列函数的 例子是MD5(消息摘要算法5)散列函数或者SHA-1(安全散列算法)散列函 数。认证码生成算法AA1、AA2、AA3的作用将在后面详细说明。

此外，最好，OLT适合于执行至少一种加密密钥生成算法。例如， OLT 100适合于执行两种不同的加密密钥生成算法EA1、EA2。最好， 每种加密密钥生成算法EA1、EA2是类似于HMAC函数的、与保密密 钥结合使用的散列函数，比如MD5散列函数、SHA散列函数等等。加 密密钥生成算法EA1、EA2的作用将在后面详细说明。

参见图2，详细说明按照本发明的一个实施例，用于认证连接到PON 1的光终端设备OTD1、OTD2、OTD3和OTD4至少之一的方法。特别 地，将参考位于用户的住宅U2内的光终端设备OTD2来说明所述方法。

在图2的流程图中，步骤200-204和213-217由OLT 100执行，而 步骤205-212由光终端设备OTD2执行。

具体地说，当光终端设备OTD2连接到ODN 10并被接通时，首先 它经历OLT 100所起动的启动过程(步骤200)。最好，上述启动过程是 按照ITU-T推荐G.984.3(02/2004)的段落10.1.1说明的过程执行的，包含 上面说明的参数学习阶段、序列号获取阶段和测距阶段。

按照本发明的实施例，当步骤200完成时，OLT 100已把设备标识 符OTD2-ID分配给光终端OTD2，并且已把该设备标识符OTD2-ID传 送给光终端设备OTD2。设备标识符OTD2-ID与光终端设备OTD2的序 列号相关。具体地说，为了把设备标识符OTD2-ID分配给光终端设备 OTD2，OLT 100寻找空闲的(还未被分配的)设备标识符。在后面说明的 所有过程中，OLT 100利用设备标识符OTD2-ID而不是序列号来寻址特 定的光终端设备OTD2。这样，避免了认证过程中的序列号的传输。事 实上，序列号是敏感信息，因为它允许单义地识别与之相关的光终端设 备。OLT 100随后最好把设备标识符OTD2-ID和光终端设备OTD2的 序列号之间的关联保存在其分配记录中。

最好，每次在OLT 100处认证光终端设备OTD2时，设备标识符 OTD2-ID和序列号之间的关联可发生变化。如后详细所述，如果OLT 100 未成功认证光终端设备OTD2，那么最好从分配记录中除去光终端设备 OTD2的设备标识符OTD2-ID和序列号之间的关联，设备标识符 OTD2-ID是空闲的，于是可以与另一个光终端设备的序列号相关联。

随后，OLT 100生成第一数C1(步骤201)。第一数C1最好是由在 OLT 100处执行的随机数生成算法生成的整数。最好，在步骤201中， OLT 100把第一数C1保存在本地存储器中，并把设备标识符OTD2-ID 和第一数相关联。

随后，OLT 100最好设定信息OLT_A_S，信息OLT_A_S表示OLT 100所支持的认证码生成算法AA1、AA2、AA3和加密密钥生成算法EA1、 EA2(步骤202)。

随后，最好OLT生成第一认证消息AM1(步骤203)。

最好，第一认证消息AM1是PLOAM(物理层操作和维护)消息。最 好，在分层模型的提供PON管理功能，比如测距、光终端设备的启动、 报警传送和可能的其它功能的一层，在OLT和光终端设备之间交换所述 物理层操作和管理消息。例如，该层对应于OSI七层模型中涉及把数据 分组分成比特以便通过层1发送的层2，更具体地说，对应于层2的媒体 访问控制(MAC)子层。层2还包括被称为无线电链路控制的另一子层。 媒体访问控制(MAC)子层控制网络上的设备如何获得对数据的访问以及 得到传送数据的许可，而无线电链路控制(RLC)子层控制传输本身。具 体地，PLOAM消息是可由OLT向下游发送给OTD以及可由OTD向 上游发送给OLT以在它们之间传送操作和管理功能的专用消息。更可取 的是，类似于由ITU-T推荐G.984.3(02/2004)的段落9.2.3.9定义的 Request_Password消息，来格式化第一认证消息AM1。特别地，ITU-T 推荐G.984.3(02/2004)的段落9.2.3.9公开了Request_Password消息具有 12个八位字节：八位字节1包括识别Request_Password消息所寻址的 光终端设备的设备标识符OTD2-ID，八位字节2包括消息类型 (“00001001”指示Request_Password消息)，而其它10个八位字节未被规 定。

图5a中示出了按照本发明实施例的第一认证消息AM1的结构。

如图5a中所示，第一认证消息AM1的八位字节1和2遵守ITU-T 推荐G.984.3(02/2004)的段落9.2.3.9，即，它们分别包含 Request_Password消息所寻址的光终端设备的设备标识符(即，OTD2-ID) 和消息类型“00001001”。

另外，最好，八位字节3包括信息OLT_A_S，该信息包括 “KLENCAUT”(“密钥长度、加密、认证”)内容。具体地说，从八位字节 3的最低有效位开始，比特1-3表示对认证码生成来说OLT 100所支持 的认证码生成算法AA1、AA2、AA3。比特4-6表示对于加密密钥生成 来说OLT 100所支持的加密密钥生成算法EA1、EA2。比特7-8最好表 示对要生成的加密密钥来说OLT 100所支持的密钥长度。

最好，当比特1-3被设定成值“001”时，它们指示对认证码生成来说， OLT 100只支持SHA-1(160比特)函数。最好，当比特1-3被设定成值 “010”时，它们指示对认证码生成来说，OLT 100只支持SHA-256(256 比特)函数。最好，当比特1-3被设定成值“100”时，它们指示对认证码生 成来说，OLT 100只支持SHA-512(512比特)函数。比特1-3的剩余可能 值可被用于定义SHA函数的任何可能的组合。例如，当比特1-3被设定 成值“101”时，它们指示对认证码生成来说，OLT 100支持SHA-1(160 比特)和SHA-512(512比特)函数两者。最好，当比特1-3被设定成值“110” 时，它们指示对认证码生成来说，OLT 100支持SHA-256(256比特)和 SHA-512(512比特)函数。最好，当比特1-3被设定成值“011”时，它们指 示对认证码生成来说，OLT 100支持SHA-1(160比特)和SHA-256(256 比特)函数。最好，当比特1-3被设定成值“111”时，它们指示对认证码生 成来说，OLT 100支持所有的SHA函数，即，SHA-1(160比特)、 SHA-256(256比特)和SHA-512(512比特)。

按照优选实施例，当八位字节3的比特4-6被设定成值“001”时，它 们指示对加密密钥生成来说，OLT 100只支持SHA-1(160比特)函数。最 好，当比特4-6被设定成值“010”时，它们指示对加密密钥生成来说，OLT 100只支持SHA-256(256比特)函数。最好，当比特4-6被设定成值“100” 时，它们指示对加密密钥生成来说，OLT 100只支持SHA-512(512比特) 函数。比特4-6的剩余可能值可被用于定义SHA函数的任何可能的组合。 例如，当比特4-6被被设定成值“101”时，它们指示对加密密钥生成来说， OLT 100支持SHA-1(160比特)和SHA-512(512比特)函数两者。最好， 当比特4-6被被设定成值“110”时，它们指示对加密密钥生成来说，OLT 100支持SHA-256(256比特)和SHA-512(512比特)函数。最好，当比特 4-6被被设定成值“011”时，它们指示对加密密钥生成来说，OLT 100支 持SHA-1(160比特)和SHA-256(256比特)函数。最好，当比特4-6被被 设定成值“111”时，它们指示对加密密钥生成来说，OLT 100支持所有的 SHA函数，即，SHA-1(160比特)、SHA-256(256比特)和SHA-512(512 比特)。

最好，当八位字节3的比特7和8被设定成值“00”时，它们指示OLT 100支持128比特的密钥长度。最好，当比特7和8被设定成值“01”时， 它们指示OLT 100支持192比特的密钥长度。最好，当比特7和8被设 定成值“10”时，它们指示OLT 100支持256比特的密钥长度。最好，当 比特7和8被设定成值“11”时，它们指示OLT 100支持任意前述密钥长 度，即，128比特、192比特和256比特。

因此，例如，等于“00001001”的信息OLT_A_S可指示OLT 100支 持既作为认证码生成算法，又作为加密密钥生成算法的SHA-1散列函数， 而对加密密钥来说支持的密钥长度为128比特。此外，例如，等于 “00010001”的信息OLT_A_S可指示OLT 100支持作为认证码生成算法 的SHA-1散列函数和作为加密密钥生成算法的SHA-256散列函数，而 对加密密钥来说支持的密钥长度为128比特。此外，例如，等于“00110001” 的信息OLT_A_S可指示OLT 100支持作为认证码生成算法的SHA-1散 列函数以及作为加密密钥生成算法的SHA-256和SHA-512散列函数，而 对加密密钥来说支持的密钥长度为128比特。此外，例如，等于“11111111” 的信息OLT_A_S可指示OLT 100支持所有可能的认证码生成算法和所 有可能的加密密钥生成算法，以及所有可能的密钥长度。

另外，最好，Request_Password消息的剩余9个八位字节4-12被用 于传送第一数C1。最好，假定用二进制编码表示的第一数C1具有等于 或小于9个八位字节的最大长度，即64比特(8个八位字节)。有利的是， 这允许利用单个Request_Password消息来传送第一数C1，从而避免把 第一数C1分割在不同的Request_Password消息中。

重新参见图2，最好，OLT 100借助ODN 10把第一认证消息AM1 传送给光终端设备OTD2(步骤204)。

最好，可利用“状态”来描述光终端设备的行为，每种状态指示光终 端设备在其操作期间可能处于的特定状况。例证的状态是接通状态和测 距状态。ITU-T推荐G.984.3的段落10.2.2.2说明了OTD的状态图。按 照本发明的实施例，在上面的ITU-T推荐中所示的状态中增加了认证状 态。最好，当光终端设备从OLT 100收到第一认证消息AM1时，在完 成测距阶段之后光终端设备进入认证状态。此外，最好，当认证过程结 束(成功或者不成功)时，光终端设备退出认证状态。

按照本发明的实施例，当在收到第一认证消息AM1后光终端设备 OTD2进入其认证状态时(步骤205)，它首先检查其寄存器 active_key_register和shadow_key_register是否已包含在先前的加密密 钥生成过程中生成的加密密钥。

如ITU-T推荐G.984.3的段落12.3公开的那样，active_key_register 是位于OLT和光终端设备处的被配置成保存当前使用的加密密钥的存 储区。如后更详细所述，OLT可定期请求光终端设备计算新的加密密钥。 shadow_key_register是位于OLT和光终端设备处的被配置成临时保存 新计算的加密密钥的存储区。当OLT决定开始利用新计算的加密密钥来 加密要传送给光终端设备的业务时，用新计算的加密密钥来盖写 active_key_register的值。

重新参见图2，如果光终端设备OTD2确定其寄存器 active_key_register和shadow_key_register已包含加密密钥，则它从这 些寄存器中除去这种加密密钥的值。当OTD 2被接通时或者应当被认证 的任何时候，例如在失去光信号的情况下，预期要由OTD2执行该过程。

随后，光终端设备OTD2最好从本地存储器中检索另一个保密代码 SC2^＊(对应于保存在OLT 100处的保密代码SC)，如后详细所述，保密 代码SC2^＊将被用作认证码生成算法的保密密钥(步骤206)。为了把所述另 一个保密代码SC2^＊插入光终端设备OTD2中，所述设备OTD2可以配备 例如与之连接的用户输入/输出模块。这些用户输入/输出模块被配置成向 用户呈现插入另一个保密代码SC2^＊的请求，并允许用户输入所述另一个 保密代码SC2^＊。最好，同一个用户输入/输出模块也可被用于把注册标识 符Reg-ID2插入设备OTD2中。

此外，在步骤207中，光终端设备OTD2检索它的注册标识符 Reg-ID2和分配的设备标识符ONT2-ID(它已在测距阶段内从OLT 100 收到所述标识符)。

随后，光终端设备OTD2最好生成第二数C2(步骤208)，第二数C2 最好是由在OTD2处执行的随机数生成算法生成的整数。

在步骤209，光终端设备OTD2随后最好设定另一个信息 OTD2_A_S。最好，所述另一个信息OTD2_A_S包括由光终端设备OTD2 在OLT 100所支持并在第一认证消息AM1中指出的认证码生成算法 AA1、AA2、AA3中选择的特定认证码生成算法AAi(i＝1、2或3)的指示。 此外，所述另一个信息OTD2_A_S最好包括特定的加密密钥生成算法 EAj(j＝1或2)的指示和特定的密钥长度的指示。所述特定的加密密钥生 成算法和特定的密钥长度是由光终端设备OTD2分别在OLT 100所支持 并在第一认证消息AM1中指出的加密密钥生成算法EA1、EA2和密钥 长度中选择的。

随后，光终端设备OTD2最好通过把作为所选SC^＊的密钥检索的另 一个保密代码用作选择的认证码生成算法AAi的密钥，把选择的认证码 生成算法AAi应用于第一数C1和下述至少之一：第二数C2、信息 OLT_A_S、另一个信息OTD2_A_S、设备标识符OTD2-ID和注册标识 符Reg-ID2，来计算认证码AC^＊(步骤210)。更可取的是，把选择的认证码 生成算法AAi应用于第一数C1、第二数C2、信息OLT_A_S、另一个 信息OTD2_A_S、设备标识符OTD2-ID和注册标识符Reg-ID2。最好， 检索的另一个保密代码SC2^＊被用作选择的认证码生成算法AAi的密钥。

随后，最好，光终端设备OTD2生成第二认证消息AM2(步骤211)。

最好，所述第二认证消息AM2也是PLOAM消息。更可取的是， 类似于ITU-T推荐G.984.3(02/2004)的段落9.2.4.2所定义的Password消 息，格式化所述第二认证消息AM2。具体地说，ITU-T推荐 G.984.3(02/2004)的段落9.2.4.2公开了Password消息具有12个八位字 节：八位字节1包括生成Password消息的光终端设备的标识符，八位字 节2包括消息类型(“00000010”指示Password消息)，而其它10个八位字 节被用于传送该口令。

图5b中示出了按照本发明的实施例，实现成Password消息的第二 认证消息AM2的结构。

如图5b中所示，第二认证消息AM2的八位字节1和2遵守ITU-T 推荐G.984.3(02/2004)的段落9.2.4.2，即，它们分别包含从其传送 Password消息的光终端设备的设备标识符(即，设备标识符OTD2-ID)和 消息类型“00000010”。另外，剩余的10个八位字节最好不遵守ITU-T 推荐G.984.3(02/2004)的段落9.2.4.2。有利的是，这允许增大第二认证消 息AM2的安全性。事实上，代替利用剩余的10个八位字节以明文把保 密代码传送给OLT 100，剩余的10个八位字节被用于传送OLT 100认 证光终端设备OTD2所需的信息，同时使口令(即，保密代码)保密。

具体地，最好，Password消息的八位字节3包含表示光终端设备 OTD2在步骤209中选择的认证码生成算法AAi、加密密钥生成算法EAj 和密钥长度的另一个信息OTD2_A_S。

具体地说，八位字节3包含上面提及的KLENCAUT(“密钥长度、加 密、认证”)内容。具体地说，从最低有效位开始，比特1-3最好表示光终 端设备OTD2所选择的消息认证码生成算法AAi。最好，比特4-6表示 由光终端设备OTD2选择的加密密钥生成算法EAj。最好，比特7和8 表示由光终端设备OTD2选择的密钥长度。

最好，当比特1-3被设定为值“001”时，它们指示对于认证码生成， 光终端设备OTD2选择了SHA-1(160比特)函数。在这种情况下，传送整 个散列(所有160比特)。最好，当比特1-3被设定为值“010”时，它们指 示对于认证码生成，光终端设备OTD2选择了SHA-256(256比特)函数。 同样在这种情况下，传送整个散列(所有256比特)。最好，当比特1-3被 设定为值“100”时，它们指示对于认证码生成，光终端设备OTD2选择了 SHA-512(512比特)函数。同样在这种情况下，传送整个散列(所有512比 特)。最好，当比特1-3被设定为值“101”时，它们指示对于认证码生成， 光终端设备OTD2选择了SHA-1(160比特)函数。这种情况下，只传送计 算的散列的128比特，所述128比特是通过截去160比特输出的32个最 高有效位得到的。最好，当比特1-3被设定为值“110”时，它们指示对于 认证码生成，光终端设备OTD2选择了SHA-256(256比特)函数。在这种 情况下，只传送计算的散列的128比特，所述128比特是通过截去256 比特输出的128个最高有效位得到的。最好，当比特1-3被设定为值“111” 时，它们指示对于认证码生成，光终端设备OTD2选择了SHA-512(512 比特)函数。在这种情况下，只传送计算的散列的128比特，所述128比 特是通过截去512比特输出的384个最高有效位得到的。

最好，当比特4-6被设定为值“001”时，它们指示光终端设备OTD2 选择了用于加密密钥生成的SHA-1(160比特)函数。最好，当比特4-6被 设定为值“010”时，它们指示光终端设备OTD2选择了用于加密密钥生成 的SHA-256(256比特)函数。最好，当比特4-6被设定为值“100”时，它 们指示光终端设备OTD2选择了用于加密密钥生成的SHA-512(512比特) 函数。按照本发明，比特4-6的剩余的可能值不使用。

最好，当比特7和8被设定为值“00”时，它们指示光终端设备OTD2 能够生成长度128比特的加密密钥。当比特7和8被设定为值“01”时， 它们指示光终端设备OTD2能够生成长度192比特的加密密钥。当比特 7和8被设定为值“10”时，它们指示光终端设备OTD2能够生成长度256 比特的加密密钥。按照本发明的实施例，比特7-8的值“11”不使用。

例如，等于“00001001”的另一个信息OTD2_A_S可指示光终端设备 OTD2已选择SHA-1散列函数作为认证码生成算法以及作为加密密钥生 成算法，而加密密钥的长度应为128比特。因此，OLT 100和光终端设 备OTD2都知道它们必须应用于生成加密密钥的加密密钥生成算法，而 不需要通过ODN 10来传送密钥。例如，等于“00001010”的另一个信息 OTD2_A_S可指示光终端设备OTD2已选择SHA-256散列函数作为认证 码生成算法，以及选择SHA-1散列函数作为加密密钥生成算法，而加密 密钥的长度应为128比特。因此，OLT 100和光终端设备OTD2都知道 由加密密钥生成函数生成的散列(其长度为160比特)应被截短，以便获得 长度为128比特的加密密钥。这是通过截去160比特输出的32个最高有 效位实现的。例如，等于“00001111”的另一个信息OTD2_A_S可指示光 终端设备OTD2已选择SHA-512散列函数作为认证码生成算法。不应传 送整个散列(所有512比特)，而是应把该散列截短到128比特。这是通过 截去512比特输出的384个最高有效位实现的。对加密密钥生成来说， 光终端设备OTD2和OLT 100必须生成长度为256比特的密钥。然而， 由于SHA-1算法只能够生成长度为160比特的密钥，因此OLT 100和光 终端设备OTD2还必须应用SHA交织函数。例如，在与SRP-SHA1 RFC2945相关的段落3.1中说明了这种函数(在本申请的申请日，可从 http://www.ietf.org/rfc/rfc2945.txt获得)。SHA交织函数所生成的加密密 钥的长度为SHA-1函数的160比特输出的两倍，更具体地说，该密钥的 长度为320比特。由于加密密钥的长度应为256比特，因此光终端设备 OTD2和OLT 100可以只使用SHA1交织函数输出的320比特的64个 最高有效位。

此外，最好，Password消息的剩余9个八位字节被用于传送光终端 设备OTD2在步骤210计算的认证码AC^＊、在步骤208中生成的第二数 C2、以及光终端设备OTD2在步骤207检索的注册标识符Reg-ID2。

由于在只使用单个Password消息的情况下，剩余的9个八位字节(72 比特)并不足以传送所有这些信息(AC2^＊、C2、Reg-ID2)，因此第二认证 消息AM2对应于一系列的Password消息，每个Password消息包含认 证码AC^＊或者第二数C2或者注册标识符Reg-ID2的片段。

为此，最好，每个Password消息的八位字节4包含片段索引FI， 所述片段索引FI识别用Password消息传送的信息的类型(认证码AC^＊、 第二数C2或者注册标识符Reg-ID2)。最好，在传送认证码AC^＊的片段 的情况下，片段索引FI还指示传送的片段是哪个片段。

Password消息的剩余8个八位字节5-12最好按照片段索引FI所提 供的指示来传送认证码AC^＊、第二数C2或者注册标识符Reg-ID2的片 段。例如，片段索引FI的值“00000000”可指示在Password消息的剩余 八位字节5-12中传送注册标识符Reg-ID2的片段。另一方面，片段索引 FI的值“11111111”可指示在Password消息的剩余八位字节5-12中传送 第二数C2。此外，包含在范围“00000001”-“01111111”范围中的值可指 示在Password消息的剩余八位字节5-12中传送认证码AC^＊的哪个片段。

更具体地，在光终端设备OTD2使用MD5-128散列函数来生成128 比特认证码AC^＊的情况下，第二认证消息AM2对应于一系列4个 Password消息。特别地，第一个Password消息具有带有设备标识符 OTD2-ID的八位字节1，带有消息类型的八位字节2，带有表示光终端 设备OTD2所选择的认证码生成算法AAi和加密密钥生成算法EAj的另 一个信息OTD2_A_S的八位字节3，带有第一片段索引FI(例如，等于 “00000001”)的八位字节4，以及带有认证码AC^＊的前64比特的剩余8个 八位字节5-12。此外，第二个Password消息具有带有光终端设备OTD2 的设备标识符OTD2-ID的八位字节1，带有消息类型的八位字节2，带 有表示光终端设备OTD2所选择的认证码生成算法AAi和加密密钥生成 算法EAj的另一个信息OTD2_A_S的八位字节3，带有第二片段索引 FI(例如，等于“00000010”)的八位字节4，以及带有认证码AC^＊的后64 比特的剩余8个八位字节5-12。此外，第三个Password消息具有带有光 终端设备OTD2的设备标识符OTD2-ID的八位字节1，带有消息类型的 八位字节2，带有表示光终端设备OTD2所选择的认证码生成算法AAi 和加密密钥生成算法EAj的另一个信息OTD2_A_S的八位字节3，带有 第三片段索引FI(例如，等于“11111111”)的八位字节4，和带有64比特 的第二数C2的值的剩余8个八位字节5-12。此外，第四个Password消 息具有带有光终端设备OTD2的设备标识符OTD2-ID的八位字节1，带 有消息类型的八位字节2，带有表示光终端设备OTD2所选择的认证码 生成算法AAi和加密密钥生成算法EAj的另一个信息OTD2_A_S的八 位字节3，带有第四片段索引FI(例如，等于“00000000”)的八位字节4， 以及带有注册标识符Reg-ID2值的剩余8个八位字节5-12。

重新参见图2，最好，光终端设备OTD2把可能呈一个或多个 Password消息形式的第二认证消息AM2传送给OLT 100(步骤212)。

当OLT 100从光终端设备OTD2收到第二认证消息AM2时(步骤 213)，它最好执行下述操作(步骤214)：

-它从第二认证消息AM2中检索表示光终端设备OTD2在步骤209 中选择的认证码生成算法AAi、加密密钥生成算法EAj和密钥长度的另 一个信息OTD2_A_S。这样，有利的是，OLT 100和光终端设备OTD2 对共同类型的认证码生成算法和共同类型的加密密钥生成算法达成协 议，如后更详细所述；

-它从关联表AT中检索与光终端设备OTD2的注册标识符Reg-ID2 相关的保密代码SC2；

-它从其本地寄存器中检索它已为光终端设备OTD2生成的第一数 C1；

-它从第二认证消息AM2中检索第二数C2；以及

-它通过把保密代码SC2用作认证码生成算法AAi的密钥，把认证 码生成算法AAi应用于第一数C1和下述至少之一：第二数C2、信息 OLT2_A_S、另一个信息ONT2_A_S、标识符ONT-ID2和注册标识符 Reg-ID2，计算另一个认证码AC(步骤214)。

按照特别优选的实施例，OLT 100通过把保密代码SC2用作认证码 生成算法AAi的密钥，对第一数C1、第二数C2、信息OLT2_A_S、另 一个信息ONT2_A_S、标识符ONT-ID2和注册标识符Reg-ID2应用认 证码生成算法AAi，来计算另一个认证码AC。

随后，OLT 100最好比较从光终端设备OTD2接收的认证码AC^＊和 在步骤214中计算的另一个认证码AC(步骤215)。

如果认证码AC^＊等于另一个认证码AC，那么OLT 100认证光终端 设备OTD2(步骤216)。只有当OLT 100用于计算另一个认证码AC的保 密代码SC2等于用户在光终端设备OTD2输入并被光终端设备OTD2用 于计算认证码AC^＊的另一个保密代码SC2^＊时，才达到这个条件。当成功 认证光终端设备OTD2时，OLT 100随后最好把在步骤200结束时检索 的光终端设备OTD2的序列号与注册标识符Reg-ID2相关联。

光终端设备OTD2的序列号和注册标识符Reg-ID2之间的关联最好 被永久保存在OLT 100的本地寄存器中。最好只有在例如由于故障，光 终端设备OTD2被另一个光终端设备替换的情况下，才修改这种关联。

否则，如果认证码AC^＊不等于另一个认证码AC，那么OLT 100最 好中断认证过程(步骤217)。在这种情况下，OLT 100最好向光终端设备 OTD2发送停用命令，并从其本地寄存器中除去(当步骤200结束时检索 的)光终端设备OTD2的序列号和设备标识符OTD2-ID之间的关联。另 一方面，在步骤217中，OLT 100可向光终端设备OTD2发送通知，所 述通知向光终端设备OTD2的用户通知认证过程未成功完成。

另一方面，当收到停用命令时，光终端设备OTD2最好关闭其发射 器，从而停止生成上行链路业务。

因此，有利的是，按照本发明实施例的在OLT 100处认证光终端设 备OTD2的方法对上行链路和下行链路业务的可能窃听有很好的鲁棒 性。

事实上，有利的是，光终端设备OTD2和OLT 100不交换如果被黑 客窃听的话则使黑客通过利用他/她自己的光终端设备，或者通过窃取光 终端设备OTD2并设法利用光终端设备OTD2来接入PON 1，可以在 OLT 100处进行认证的任何信息。

事实上，认证要求同时知道等于保密代码SC2的另一个保密代码 SC2^＊以及下述至少之一：第一数C1、第二数C2、注册标识符Reg-ID2、 设备标识符OTD2-ID、信息OLT_A_S以及定义用于计算认证代码AC^＊的认证码生成算法的另一个信息OTD2_A_S。

此外，有利的是，另一个保密代码SC2^＊和保密代码SC2决不会被窃 听，因为决不通过ODN 10以明文来传送它们。因此，即使黑客成功地 窃听到第一数C1和/或第二数C2和/或注册标识符Reg-ID2和/或设备标 识符OTD2-ID和/或信息OLT_A_S和/或另一个信息OTD2_A_S，他/ 她也不能通过假装成光终端设备OTD2的用户来重复认证过程，因为他/ 她不能计算认证码AC^＊。

通过增大OLT 100和光终端设备OTD2用于计算认证码的信息的数 量，PON 1的安全性得以提高，因为黑客为了能够计算认证码而必须窃 听的信息的数量增大。

此外，窃听OLT 100和光终端设备OTD2在认证过程中交换的一个 或多个信息(即，第一数C1、信息OLT_A_S、认证码AC^＊、注册标识符 Reg-ID2、设备标识符OTD2-ID和另一个信息OTD2_A_S)的黑客不能从 窃听的信息开始获得另一个保密代码SC2^＊。有利的是，这归因于加密散 列消息认证码生成算法AAi使用单向散列函数的事实。

因此有利的是，对窃听来说，上述认证方法具有很好的鲁棒性。

此外有利的是，借助PLOAM消息(它们是在完成认证之前可通过网 络传送的唯一消息)，在测距过程之后立即进行强认证过程，并且只有在 成功完成强认证过程之后才允许光终端设备的传输使得可以提供非常安 全的无源光网络接入机制。事实上，由于在强认证过程中，只允许光终 端设备传送PLOAM消息，而该光终端设备只有在被OLT认证之后才 被允许传送更高层的业务，不存在未被认证的光终端设备能够向OLT传 送更高层的业务的任何时段。

在OLT 100认证了光终端设备OTD2之后，必须转而在光终端设备 OTD2处认证OLT 100。这里将把这种过程称为“反认证”。有利的是， 这允许提供OLT 100和光终端设备OTD2之间的相互认证。

特别地，参见图3(其中步骤300-304由OLT 100执行，步骤305-310 由光终端设备OTD2执行)，当OLT 100成功完成光终端设备OTD2的 认证时(参见图2的步骤216)，OLT 100最好生成第一随机数(“只使用一 次的数”)N1(步骤300)。第一随机数N1最好是由在OLT 100处执行的随 机数生成算法生成的整数。最好，在步骤300中，OLT 100把第一随机 数N1保存在其本地存储器中，并且OLT 100把第一随机数与设备标识 符OTD2-ID相关联。

随后，OLT 100最好通过把保密代码SC2用作认证码生成算法AAi 的密钥，对第一数C1、第二数C2和下述至少之一：信息OLT_A_S和 另一个信息OTD2_A_S应用光终端设备OTD2在步骤209中选择的认证 码生成算法AAi，来计算认证密钥Ka(步骤301)。

按照特别优选的实施例，在步骤301中，OLT 100通过把保密代码 SC2用作认证码生成算法AAi的密钥，对第一数C1、第二数C2、信息 OLT_A_S和另一个信息OTD2_A_S应用认证码生成算法AAi，来计算 认证密钥Ka。

随后，OLT 100最好通过把在前一步骤(301)计算的认证密钥Ka用 作用于认证码生成算法AAi的密钥，对第一随机数N1和下述至少之一： 信息OLT_A_S、另一个信息OTD2_A_S、设备标识符ONT2-ID和注册 标识符Reg-ID2，应用光终端设备OTD2在步骤209中选择的认证码生 成算法AAi，来计算反认证码C-AC(步骤302)。

按照特别优选的实施例，在步骤302中，OLT 100通过把认证密钥 Ka用作用于认证码生成算法AAi的密钥，对第一随机数N1、信息 OLT_A_S、另一个信息OTD2_A_S、设备标识符ONT2-ID和注册标识 符Reg-ID2应用认证码生成算法AAi，来计算反认证码C-AC。

随后，OLT 100最好生成反认证消息C-AM(步骤303)。最好，反认 证消息C-AM包括：

-第一随机数N1；和

-反认证码C-AC。

最好，反认证消息C-AM也是PLOAM消息。更可取的是，类似于 由ITU-T推荐G.984.3(02/2004)的段落9.2.3.13定义的Request_Key消息， 格式化反认证消息C-AM。特别地，ITU-T推荐G.984.3(02/2004)的段落 9.2.3.13公开了Request_Key消息具有12个八位字节：八位字节1包括 Request_Key消息所寻址的光终端设备的设备标识符OTD2-ID，八位字 节2包括消息类型(“00001101”指示Request_Key消息)，而其它10个八 位字节未被规定。

按照本发明的实施例，图6a中示出了实现成Request_Key消息的反 认证消息C-AM的结构。

如图6a中所示，反认证消息C-AM的八位字节1和2遵守ITU-T 推荐G.984.3(02/2004)的段落9.2.3.13，而剩余的10个八位字节用于传送 第一随机数N1和/或反认证码C-AC。

特别地，由于第一随机数N1和反认证码C-AC的总长度(用比特表 示)可能大于80比特(即，10个八位字节)，因此，反认证消息C-AM对 应于一系列的Request_Key消息，每个Request_Key消息包含第一随机 数N1或者反认证码C-AC的相应片段。

更特别地，每个Request_Key消息的八位字节3最好包含第一随机 数片段索引N1-FI，表示Request_Key消息所传送的第一随机数N1的片 段。此外，每个Request_Key消息的八位字节4最好包含反认证码片段 索引C-AC-FI，表示Request_Key消息所传送的反认证码C-AC的片段。 最好，Request_Key消息的剩余8个八位字节5-12用于传送第一随机数 N1值的片段或者反认证码C-AC的片段。

例如，当Request_Key消息的第一随机数片段索引N1-FI等于 “00000001”时，它指示Request_Key消息在传送第一随机数N1的第一 个片段。当Request_Key消息的第一随机数片段索引N1-FI等于 “00000010”时，它指示Request_Key消息在传送第一随机数N1的第二 个片段。依次类推，直到第一随机数N1的最后一个片段被传送为止。此 外，当第一随机数片段索引N1-FI具有指示Request_Key消息在传送第 一随机数N1的给定片段的值时，反认证码片段索引C-AC-FI最好具有 指示Request_Key消息未传送反认证码C-AC的任何片段的预定值(例 如，“00000000”)。

类似地，当Request_Key消息的反认证码片段索引C-AC-FI等于 “00000001”时，它指示Request_Key消息在传送反认证码C-AC的第一 个片段。当Request_Key消息的反认证码片段索引C-AC-FI等于 “00000010”时，它指示Request Key消息在传送反认证码C-AC的第二 个片段。依次类推，直到反认证码C-AC的最后一个片段被传送为止。 最好，当反认证码片段索引C-AC-FI具有指示Request_Key消息在传送 反认证码C-AC的给定片段的值时，第一随机数片段索引N1-FI具有指 示Request_Key消息未传送第一随机数N1的任何片段的预定值(例如， “00000000”)。

重新参见图3，OLT 100最好把可能呈一个或多个Request_Key消 息的形式的反认证消息C-AM传送给光终端设备OTD2(步骤304)。

当光终端设备OTD2收到反认证消息C-AM时(步骤305)，它最好 从反认证消息C-AM中检索第一随机数N1。

随后，光终端设备OTD2检查其寄存器(shadow_key_register和 active_key_register)是否保存有任意加密密钥(步骤306)。

如果寄存器为空，那么在确认反认证码C-AC值之前，光终端设备 OTD2计算另一个认证密钥Ka^＊(步骤307)。这在每当在OLT 100和光终 端设备OTD2之间执行全认证过程时发生，这意味着每当光终端设备 OTD2收到重置保存在其寄存器中的任意加密密钥的第一认证消息 AM1(实现成Request Password)时发生。这也在其它情况下，例如，当 要求加密密钥的更新而不需要进行全认证时发生。在这种情况下，光终 端设备OTD2不接收第一认证消息AM1(实现成Request Password)，而 只接收反认证消息C-AM(实现成Request_Key)，并且在确认接收的反认 证码C-AC值之前，光终端设备OTD2不计算另一个认证密钥Ka^＊，因 为光终端设备OTD2的寄存器不为空，并且从active_key_register检索 的加密密钥被用作认证密钥。更新加密密钥的过程将在下面更详细地说 明。

在步骤307(如果密钥寄存器为空)，光终端设备OTD2最好通过把保 密代码SC2^＊用作用于认证码生成算法AAi的密钥，对第一数C1、第二 数C2、以及下述至少之一：信息OLT_A_S和另一个信息OTD2_A_S， 应用在步骤209中选择的认证码生成算法AAi，来计算另一个认证密钥 Ka^＊。

按照特别优选的实施例，在步骤307中，光终端设备OTD2通过把 保密代码SC2^＊用作用于认证码生成算法AAi的密钥，对第一数C1、第 二数C2、信息OLT_A_S和另一个信息OTD2_A_S应用认证码生成算 法AAi，来计算另一个认证密钥Ka^＊。

随后，光终端设备OTD2最好通过把在步骤307中计算的另一个认 证密钥Ka^＊用作用于认证码生成算法AAi的密钥，对第一随机数N1和 下述至少之一：信息OLT_A_S、另一个信息OTD2_A_S、设备标识符 OTD2-ID和注册标识符Reg-ID2，应用在步骤209中选择的认证码生成 算法AAi，来计算另一个反认证码C-AC^＊(步骤308)。

按照特别优选的实施例，在步骤308中，光终端设备OTD2最好通 过把另一个认证密钥Ka^＊用作用于认证码生成算法AAi的密钥，对检索 的第一随机数N1、信息OLT_A_S、另一个信息OTD2_A_S、设备标识 符OTD2-ID和注册标识符Reg-ID2应用认证码生成算法AAi，来计算另 一个反认证码C-AC^＊。

随后，在步骤309，光终端设备OTD2最好比较从OLT 100接收的 反认证码C-AC和在步骤308中计算的另一个反认证码C-AC^＊。

如果反认证码C-AC等于另一个反认证码C-AC^＊，那么光终端设备 OTD2认证OLT 100(步骤310)。同样，只有当OLT 100用于计算认证 密钥Ka的保密代码SC2等于用户在光终端设备OTD2输入并被光终端 设备OTD2用于计算另一个认证密钥Ka^＊的另一个保密代码SC2^＊时，才 达到这个条件。

否则，光终端设备OTD2最好中断反认证过程(步骤311)。

因此，有利的是，按照本实施例的、在光终端设备OTD2处认证OLT 100的过程对上行链路和下行链路业务的可能窃听也有很好的鲁棒性。

事实上有利的是，同样在反认证过程中，光终端设备OTD2和OLT 100不交换如果被黑客窃听，则使黑客能够通过假装成服务提供者(即， OLT 100)而在光终端设备OTD2处进行认证的任何信息。

事实上，反认证也要求知道第一随机数N1、信息OLT_A_S、另一 个信息OTD2_A_S、设备标识符OTD2-ID和注册标识符Reg-ID2中的 一个或多个。此外，认证密钥Ka的计算取决于对保密代码SC2的认识， 以及对在先前的步骤中在OLT和光终端设备OTD2之间交换的一个或 多个其它参数(第一数C1和/或第二数C2和/或信息OLT_A_S和/或另一 个信息OTD2_A_S)的认识。注意，保密代码SC2决不会被窃听，因为 决不通过ODN 10以明文来传送它。因此，即使黑客成功地窃听到第一 随机数N1和/或信息OLT_A_S和/或另一个信息OTD2_A_S和/或设备 标识符OTD2-ID和/或注册标识符Reg-ID2值，他/她也不能通过假装成 服务提供者(即，OLT 100)来重复反认证过程，因为他/她不能计算反认 证码C-AC。

此外，窃听OLT 100和光终端设备OTD2在反认证过程中交换的一 个或多个信息(即，第一随机数N1和/或信息OLT_A_S、另一个信息 OTD2_A_S和/或设备标识符OTD2-ID和/或注册标识符Reg-ID2)的黑客 不能从窃听的信息开始，回溯保密代码SC2。有利的是，这归因于HMAC 码生成算法AAi使用单向散列函数的事实。

在光终端设备OTD2处反认证OLT 100之后(步骤310)，可在光终 端设备OTD2处执行用于生成加密密钥的过程。这样的加密密钥可特别 用于加密以如上所述特别易被窃听的光终端设备OTD2为目的地的下行 链路业务。

特别地，参考图4(其中步骤400-404和410由光终端设备OTD2执 行，步骤405-409由OLT 100执行)，当光终端设备OTD2成功完成OLT 100的反认证时(参见图3的步骤310)，光终端设备OTD2最好生成第二 随机数N2(步骤400)。第二随机数N2最好是由在光终端设备OTD2处执 行的随机数生成算法生成的整数。

随后，光终端设备OTD2最好通过把保密代码SC2^＊用作用于加密密 钥生成算法EAj的密钥，对第一随机数N1、第二随机数N2、以及下述 至少之一：信息OLT_A_S、另一个信息OTD2_A_S和设备标识符 OTD2-ID，应用光终端设备OTD2在步骤209中选择的特定加密密钥生 成算法EAj，来计算加密密钥EK^＊(步骤401)。

按照特别优选的实施例，在步骤401中，光终端设备OTD2通过把 保密代码SC2^＊用作用于加密密钥生成算法EAj的密钥，对第一随机数 N1、第二随机数N2、信息OLT_A_S、另一个信息OTD2_A_S和设备标 识符OTD2-ID应用加密密钥生成算法EAj，来计算加密密钥EK^＊。

随后，光终端设备OTD2最好通过把另一个加密密钥EK^＊用作用于 认证码生成算法AAi的密钥，对第一随机数N1、第二随机数N2、和下 述至少之一：信息OLT_A_S、另一个信息OTD2_A_S、设备标识符 OTD2-ID、注册标识符Reg-ID2以及在步骤307检索的认证密钥Ka^＊， 应用光终端设备OTD2在步骤209中选择的认证码生成算法AAi，来计 算加密-认证码E-AC^＊(步骤402)。

按照特别优选的实施例，在步骤402中，光终端设备OTD2通过把 另一个加密密钥EK^＊用作用于认证码生成算法AAi的密钥，对第一随机 数N1、第二随机数N2、信息OLT_A_S、另一个信息OTD2_A_S、设备 标识符OTD2-ID、注册标识符Reg-ID2和认证密钥Ka^＊应用认证码生成 算法AAi，来计算加密-认证码E-AC^＊。

随后，光终端设备OTD2最好生成加密-认证消息E-AM(步骤403)。 最好，加密-认证消息E-AM包括：

-第二随机数N2；和

-加密-认证码E-AC^＊。

最好，加密-认证消息E-AM也是PLOAM(物理层操作和维护)消息。 更可取的是，类似于ITU-T推荐G.984.3(02/2004)的段落9.2.4.5所定义 的Encryption_Key消息，来格式化加密-认证消息E-AM。具体地说， ITU-T推荐G.984.3(02/2004)的段落9.2.4.5公开了Encryption_Key消息 具有12个八位字节：八位字节1包括生成Encryption_Key消息的光终 端设备的设备标识符OTD2-ID，八位字节2包括消息类型(“00000101” 指示Encryption_Key消息)，八位字节3包括表示密钥类型的Key_Index KI。Key_Index KI指示给定片段所属的密钥。最好，每次加密密钥被更 新时，递增Key_Index KI。此外，八位字节4最好包括表示 Encryption_Key消息传送的加密密钥的片段的Frag_Index FI，而剩余 的8个八位字节5-12包括加密密钥的各个片段。

按照本发明的实施例，图6b中示出了实现成Encryption_Key消息 的加密-认证消息E-AM的结构。

如图6b中所示，加密-认证消息E-AM的前4个八位字节遵守ITU-T 推荐G.984.3(02/2004)的段落9.2.4.5，而剩余的8个八位字节可用于传送 第二随机数N2的片段或者加密-认证码E-AC^＊的片段。

特别地，为了区分传送第二随机数N2的片段的Encryption_Key消 息和传送加密-认证码E-AC^＊的片段的Encryption_Key消息，包括 Frag_Index FI的八位字节4的可能值被分成两个范围。值的第一个范围 (例如，从“00000000”到“01111111”)指示加密-认证码E-AC^＊的片段被包 括在Encryption_Key消息中。值的第二个范围(例如，从“10000000”到 “11111111”)指示第二随机数N2的片段被包括在Encryption_Key消息 中。因此，Encryption_Key消息的剩余八位字节5-12包括加密-认证码 E-AC^＊的片段或者第二随机数N2的片段。

重新参见图4，随后，光终端设备OTD2最好把可能呈一个或多个 Encryption_Key消息形式的加密-认证消息E-AM传送给OLT 100(步骤 404)。

当OLT 100收到加密-认证消息E-AM时(步骤405)，它最好从其本 地寄存器中检索第二随机数N2；随后，它通过把保密代码SC2用作用于 加密密钥生成算法EAj的密钥，对第一随机数N1、第二随机数N2、和 下述至少之一：信息OLT_A_S、另一个信息OTD2_A_S和设备标识符 OTD2-ID，应用光终端设备OTD2在步骤209中选择的特定加密密钥生 成算法EAj，来计算加密密钥EK(步骤406)。

按照特别优选的实施例，在步骤406中，OLT 100通过把保密代码 SC2用作用于加密密钥生成算法EAj的密钥，对第一随机数N1、第二随 机数N2、信息OLT_A_S、另一个信息OTD2_A_S和设备标识符OTD2-ID 应用加密密钥生成算法EAj，来计算加密密钥EK。

随后，OLT 100最好通过把另一个加密密钥EK用作用于认证码生 成算法AAi的密钥，对第一随机数N1、第二随机数N2、和下述至少之 一：信息OLT_A_S、另一个信息OTD2_A_S、设备标识符OTD2-ID、 注册标识符Reg-ID2和在步骤301生成的认证密钥Ka，应用在步骤209 中选择的认证码生成算法AAi，来计算另一个加密-认证码E-AC(步骤 407)。

按照特别优选的实施例，在步骤407中，OLT 100通过把另一个加 密密钥EK用作用于认证码生成算法AAi的密钥，对第一随机数N1、第 二随机数N2、信息OLT_A_S、另一个信息OTD2_A_S、设备标识符 OTD2-ID、注册标识符Reg-ID2和在步骤301生成的认证密钥Ka，应用 认证码生成算法AAi，来计算另一个加密-认证码E-AC。

随后，OLT 100最好比较从光终端设备OTD2接收的加密-认证码 E-AC^＊和在步骤407中计算的另一个加密-认证码E-AC(步骤408)。

同样，只有当OLT 100用于计算另一个加密密钥EK(它随后被用作 用于加密-认证码E-AC计算的密钥)的保密代码SC2等于用户在光终端 设备OTD2输入并被光终端设备OTD2用于计算加密密钥EK^＊(它随后被 用作用于加密-认证码E-AC^＊计算的密钥)的另一个保密代码SC2^＊时，才 达到这个条件。在这种情况下，分别由光终端设备OTD2和OLT 100计 算的加密密钥EK^＊和另一个加密密钥EK具有相同的值。

如果加密-认证码E-AC^＊等于另一个加密-认证码E-AC，那么整个认 证过程结束。随后，OLT 100和光终端设备OTD2最好把加密密钥EK 保存在各自的shadow_key_register中。如在ITU-T推荐G.984.3(02/2004) 的段落12.3中所述，OLT 100选择未来成为利用生成的加密密钥的第一 帧的帧编号。OLT 100利用Key_Switching_Time消息，把该帧的编号(即， 将利用加密密钥加密的第一帧的编号)传送给光终端设备OTD2。在所选 帧的开始，OLT 100和光终端设备OTD2都把shadow_key_register的内 容复制到active_key_register中。这样，OLT 100和光终端设备OTD2 都正好从相同帧开始利用生成的加密密钥。

否则，如果加密-认证码E-AC^＊不等于另一个加密-认证码E-AC，那 么OLT 100最好中断生成加密密钥的过程(步骤409)。在这种情况下， OLT 100最好向光终端设备OTD2发送停用命令，并从其本地寄存器中 除去光终端设备OTD2的序列号和设备标识符OTD2-ID之间的关联。 另一方面，当收到停用命令时(步骤410)，光终端设备OTD2最好关闭其 发射器，从而停止生成上行链路业务。或者，在步骤409，OLT 100可 向光终端设备OTD2发送通知，所述通知向光终端设备OTD2的用户告 知生成加密密钥的过程未成功完成。

因此，有利的是，生成加密密钥的上述过程对于上行链路和下行链 路业务的可能窃听也有很好的鲁棒性。

事实上，有利的是，在生成加密密钥的上述过程中，光终端设备 OTD2和OLT 100也不交换如果被黑客窃听，则使黑客可以恢复加密密 钥并利用加密密钥来解密加密业务的任何信息。

事实上，加密密钥的计算要求同时知道保密代码SC2和下列中的至 少一个：第一随机数N1、第二随机数N2、要使用的加密密钥生成算法、 特别是信息OLT_A_S和另一个信息OTD2_A_S。此外，保密代码SC2 决不会被窃听，因为决不通过ODN 10以明文来传送它。因此，即使黑 客成功窃听第一随机数(在图3的反认证过程中)和/或第二随机数(在图4 的生成加密密钥的过程中)和/或信息OLT_A_S和/或另一个信息 OTD2_A_S和设备标识符OTD2-ID(在图2的认证过程中)，他/她也不能 计算加密密钥EK^＊(和另一个加密密钥EK)。

此外，窃听OLT 100和光终端设备OTD2在认证过程或者反认证过 程或者生成加密密钥的过程中交换的一个或多个信息的黑客不能从窃听 的信息开始回溯保密代码SC2。这有利地归因于认证码生成算法AAi是 单向散列函数的事实。

现在参见图7，说明更新在OLT 100和光终端设备OTD2之间使用 的加密密钥EK的方法。

更新加密密钥EK的过程由OLT 100启动，OLT 100向光终端设备 OTD2发送实现成Key_Request消息的反认证消息C_AM。

特别地，参见图7(其中步骤500-504由OLT 100执行，步骤505-510 由光终端设备OTD2执行)，当OLT 100希望光终端设备OTD2计算新 的加密密钥EK时，OLT 100最好生成新的第一随机数N1(步骤500)， 新的第一随机数N1的值很可能不同于在步骤300中生成的第一随机数 N1的值。新的第一随机数N1最好是由在OLT 100处执行的随机数生成 算法生成的整数。最好，在步骤500中，OLT 100把新的第一随机数N1 保存在其本地存储器中(从而，盖写在步骤300生成的第一随机数N1的 在先值)，并把新的第一随机数N1和设备标识符OTD2-ID相关联。

随后，在步骤501，OLT 100最好从其寄存器之一，具体地说从 active_key_register中检索它正在与标识符OTD2-ID所识别的光终端设 备OTD2使用的加密密钥EK。

加密密钥EK被用于计算反认证码C-AC(步骤502)。具体地说，通 过把加密密钥EK用作用于认证码生成算法AAi的密钥，对下述至少之 一：新的第一随机数N1、信息OLT_A_S、另一个信息OTD2_A_S、设 备标识符OTD2-ID和注册标识符Reg-ID2，应用光终端设备OTD2在步 骤209选择的认证码生成算法AAi，来计算反认证码C-AC。

按照特别优选的实施例，在步骤502中，通过把加密密钥EK用作 用于认证码生成算法AAi的密钥，对新的第一随机数N1、信息 OLT_A_S、另一个信息OTD2_A_S、设备标识符OTD2-ID和注册标识 符Reg-ID2应用认证码生成算法AAi，来计算反认证码C-AC。

随后，OLT 100最好生成反认证消息C-AM(步骤503)。最好，反认 证消息C-AM包括：

-新的第一随机数N1；和

-反认证码C-AC。

最好，如上所述，反认证消息C-AM是PLOAM消息。更可取的是， 类似于由ITU-T推荐G.984.3(02/2004)的段落9.2.3.13定义的 Request_Key消息，来格式化反认证消息C-AM。具体地说，ITU-T推 荐G.984.3(02/2004)的段落9.2.3.13公开了Request_Key消息具有12个 八位字节：八位字节1包括Request_Key消息所寻址的光终端设备的标 识符(OTD2-ID)，八位字节2包括消息类型(“00001101”指示Request_Key 消息)，而其它10个八位字节未被规定。

按照本发明，图6a中示出了实现成Request_Key消息的反认证消息 C-AM的结构。

如图6a中所示，反认证消息C-AM的八位字节1和2遵守ITU-T 推荐G.984.3(02/2004)的段落9.2.3.13，而剩余的10个八位字节用于传送 新的第一随机数N1和/或反认证码C-AC。

特别地，由于新的第一随机数N1和反认证码C-AC的总长度(用比 特表示)通常大于80比特(即，10个八位字节)，因此反认证消息C-AM 对应于一系列的Request_Key消息，每个Request_Key消息包含新的第 一随机数N1或者反认证码C-AC的相应片段。

更特别地，每个Request_Key消息的八位字节3最好包含第一随机 数片段索引N1-FI，第一随机数片段索引N1-FI表示Request_Key所传 送的新的第一随机数N1的片段。此外，每个Request_Key消息的八位 字节4最好包含反认证码片段索引C-AC-FI，反认证码片段索引C-AC-FI 表示Request_Key所传送的反认证码C-AC的片段。最好，Request_Key 消息的剩余8个八位字节5-12用于传送新的第一随机数N1值的片段， 或者反认证码C-AC的片段。

当光终端设备OTD2收到反认证消息C-AM时(步骤505)，它最好 从反认证消息C-AM中检索新的第一随机数N1。

随后，光终端设备OTD2检查其寄存器(shadow_key_register和 active_key_register)是否保存有任意加密密钥(步骤506)。

如果寄存器不为空，那么在确认反认证码C-AC值之前，光终端设 备OTD2随后改变加密密钥EK^＊(步骤307)。最好，在这种情况下，在确 认接收的反认证码C-AC值之前，光终端设备OTD2并不如在全认证过 程中所述那样(参见图3，步骤307)计算另一个认证密钥Ka^＊。这归因于 光终端设备OTD2的寄存器不为空，并且保存在寄存器中的加密密钥被 用作认证密钥的事实。

随后，在步骤507，光终端设备OTD2从其active_key_register中检 索加密密钥EK^＊。随后，光终端设备OTD2最好在步骤508，通过把在 步骤507中检索的加密密钥EK^＊用作用于认证码生成算法AAi的密钥， 对下述至少之一：检索的新的第一随机数N1、信息OLT_A_S、另一个 信息OTD2_A_S、设备标识符OTD2-ID和注册标识符Reg-ID2，应用光 终端设备OTD2在步骤209中选择的认证码生成算法AAi，来计算另一 个反认证码C-AC^＊。

按照特别优选的实施例，在步骤508，光终端设备OTD2通过把加 密密钥EK^＊用作用于认证码生成算法AAi的密钥，对新的第一随机数N1、 信息OLT_A_S、另一个信息OTD2_A_S、设备标识符OTD2-ID和注册 标识符Reg-ID2应用认证码生成算法AAi，来计算另一个反认证码 C-AC^＊。

随后在步骤509，光终端设备OTD2比较从OLT 100接收的反认证 码C-AC和另一个反认证码C-AC^＊。

如果反认证码C-AC等于另一个反认证码C-AC^＊，那么光终端设备 OTD2认证OLT 100及其更新加密密钥EK的请求(步骤510)。再次，只 有当OLT 100用于计算反认证码C-AC的加密密钥EK等于光终端设备 OTD2所使用的加密密钥EK^＊时，才达到这个条件。

否则，光终端设备OTD2最好中断反认证过程(步骤511)。

在光终端设备OTD2处反认证OLT 100之后(步骤510)，可在光终 端设备OTD2处执行生成新的加密密钥的过程。

特别地，参考图8(其中步骤600-604和610由光终端设备OTD2执 行，步骤605-609由OLT 100执行)，当光终端设备OTD2成功完成OLT 100的反认证时(参见图7的步骤510)，光终端设备OTD2最好生成新的 第二随机数N2(步骤600)，新的第二随机数N2的值很可能不同于在步骤 400中生成的第二随机数N2的值。新的第二随机数N2最好是由在光终 端设备OTD2处执行的随机数生成算法生成的整数。

随后，光终端设备OTD2最好通过把保密代码SC2^＊用作用于加密密 钥生成算法EAj的密钥，对下述至少之一：新的第一随机数N1、新的第 二随机数N2、信息OLT_A_S、另一个信息OTD2_A_S和设备标识符 OTD2-ID，应用光终端设备OTD2在步骤209中选择的加密密钥生成算 法EAj，来计算新的加密密钥NEK^＊(步骤601)。

按照特别优选的实施例，在步骤601中，光终端设备OTD2通过把 保密代码SC2^＊用作用于加密密钥生成算法EAj的密钥，对新的第一随机 数N1、新的第二随机数N2、信息OLT_A_S、另一个信息OTD2_A_S 和设备标识符OTD2-ID应用加密密钥生成算法EAj，来计算新的加密密 钥NEK^＊。

随后，光终端设备OTD2最好通过把新的加密密钥NEK^＊用作用于 认证码生成算法AAi的密钥，对下述至少之一：新的第一随机数N1、新 的第二随机数N2、信息OLT_A_S、另一个信息OTD2_A_S、设备标识 符OTD2-ID、注册标识符Reg-ID2和加密密钥EK^＊，应用光终端设备 OTD2在步骤209中选择的认证码生成算法AAi，来计算加密-认证码 E-AC^＊(步骤602)。

按照特别优选的实施例，在步骤602中，光终端设备OTD2通过把 新的加密密钥NEK^＊用作用于认证码生成算法AAi的密钥，对新的第一 随机数N1、新的第二随机数N2、信息OLT_A_S、另一个信息OTD2_A_S、 设备标识符OTD2-ID、注册标识符Reg-ID2和加密密钥EK^＊应用认证码 生成算法AAi，来计算加密-认证码E-AC^＊。

随后，光终端设备OTD2最好生成加密-认证消息E-AM(步骤603)。 最好，加密-认证消息E-AM包括：

-新的第二随机数N2；和

-加密-认证码E-AC^＊。

最好，如上所述，加密-认证消息E-AM也是PLOAM消息。更可取 的是，类似于ITU-T推荐G.984.3(02/2004)的段落9.2.4.5定义的 Encryption_Key消息，来格式化加密-认证消息E-AM。具体地说，ITU-T 推荐G.984.3(02/2004)的段落9.2.4.5公开Encryption_Key消息具有12 个八位字节：八位字节1包括生成Encryption_Key消息的光终端设备的 设备标识符OTD2-ID，八位字节2包括消息类型(“00000101”指示 Encryption_Key消息)，八位字节3包括表示密钥类型的Key_Index KI， 八位字节4包括表示Encryption_Key消息所传送的加密密钥的片段的 Frag_Index FI，而剩余的8个八位字节5-12包括加密密钥的各个片段。

按照本发明的实施例，图6b中示出了实现成Encryption_Key消息 的加密-认证消息E-AM的结构。

如图6b中所示，加密-认证消息E-AM的前4个八位字节遵守ITU-T 推荐G.984.3(02/2004)的段落9.2.4.5，而剩余的8个八位字节可用于传送 新的第二随机数N2的片段或者加密-认证码E-AC^＊的片段。

特别地，为了区分传送新的第二随机数N2的片段的Encryption_Key 消息和传送加密-认证码E-AC^＊的片段的Encryption_Key消息，包括 Frag_Index FI的八位字节4的可能值被分成两个范围。值的第一个范围 (例如，从“00000000”到“01111111”)指示加密-认证码E-AC^＊的片段被包 括在Encryption_Key消息中。值的第二个范围(例如，从“10000000”到 “11111111”)指示新的第二随机数N2的片段被包括在Encryption_Key消 息中。因此，Encryption_Key消息的剩余八位字节5-12包括加密-认证 码E-AC^＊的片段或者新的第二随机数N2的片段。

当OLT 100收到加密-认证消息E-AM(步骤605)时，它最好从加密- 认证消息E-AM中检索新的第二随机数N2，随后通过把保密代码SC2 用作用于加密密钥生成算法EAj的密钥，对下述至少之一：新的第一随 机数N1、新的第二随机数N2、信息OLT_A_S、另一个信息OTD2_A_S 和设备标识符OTD2-ID，应用光终端设备OTD2在步骤209中选择的加 密密钥生成算法EAj，来计算新的加密密钥NEK(步骤606)。

按照特别优选的实施例，在步骤606中，OLT 100通过把保密代码 SC2用作用于加密密钥生成算法EAj的密钥，对新的第一随机数N1、新 的第二随机数N2、信息OLT_A_S、另一个信息OTD2_A_S和设备标识 符OTD2-ID应用加密密钥生成算法EAj，来计算新的加密密钥NEK。

随后，OLT 100最好通过把在步骤606中计算的新的加密密钥NEK 用作用于认证码生成算法AAi的密钥，对下述至少之一：新的第一随机 数N1、新的第二随机数N2、信息OLT_A_S、另一个信息OTD2_A_S、 设备标识符OTD2-ID、注册标识符Reg-ID2和先前的加密密钥EK，应 用光终端设备OTD2在步骤209中选择的认证码生成算法AAi，来计算 另一个加密-认证码E-AC(步骤607)。

按照特别优选的实施例，在步骤607中，OLT 100通过把新的加密 密钥NEK用作用于认证码生成算法AAi的密钥，对新的第一随机数N1、 新的第二随机数N2、信息OLT_A_S、另一个信息OTD2_A_S、设备标 识符OTD2-ID、注册标识符Reg-ID2和先前的加密密钥EK应用认证码 生成算法AAi，来计算另一个加密-认证码E-AC。

随后，OLT 100最好比较从光终端设备OTD2接收的加密-认证码 E-AC^＊和在步骤607中计算的另一个加密-认证码E-AC(步骤608)。

如果加密-认证码E-AC^＊等于另一个加密-认证码E-AC，那么密钥更 新过程结束。优选地，OLT 100和光终端设备OTD2把新的加密密钥NEK 保存在它们各自的shadow_key_registers中。如在ITU-T推荐 G.984.3(02/2004)的段落12.3中所述，OLT选择指示将利用新的加密密 钥加密的寻址光终端设备OTD2的第一帧的帧编号。OLT 100最好利用 Key_Switching_Time消息，把该帧编号传送给光终端设备OTD2。在该 帧编号所识别的帧的开始，OLT把保存在其shadow_key_register中的 新生成的加密密钥NEK^＊复制到其active_key_register中，而光终端设备 OTD2同样把新生成的加密密钥NEK复制到其active_key_register中。 OLT 100和光终端设备OTD2随后都开始利用新生成的加密密钥NEK。

否则，如果加密-认证码E-AC^＊不等于另一个加密-认证码E-AC，那 么OLT 100最好中断密钥更新过程(步骤609)。在这种情况下，OLT 100 向光终端设备OTD2发送停用命令，并从其本地寄存器中除去光终端设 备OTD2的序列号和设备标识符OTD2-ID之间的关联。另一方面，当 收到停用命令时(步骤610)，光终端设备OTD2最好关闭其发射器，从而 停止生成上行链路业务。

按照这里说明的特别优选的实施例，第一认证消息、第二认证消息、 反认证消息和加密-认证消息是分别以ITU-T推荐G.984.3(02/2004)所定 义的上述Request_Password、Password、Request_Key和Enctyption_Key 消息的形式来实现的。这样有利的是，可在不修改ITU-T推荐G.984.3 (02/2004)中涉及这些消息的部分的情况下，实现上述相互认证机制和加 密密钥的生成机制。

显然，在OLT和光终端设备OTD2之间交换的信息的用法可被修 改，以包括更多的不同加密算法(例如，新的认证码算法和新的加密密钥 生成算法)。