OLT设备与ONU设备相互认证方法及控制端与流程

本发明涉及网络通信技术领域，具体涉及一种olt设备与onu设备相互认证方法及控制端。

背景技术：

olt设备：opticallineterminal(光线路终端)，用于连接光纤干线的终端设备。onu设备：opticalnetworkunit(光网络单元)，分为有源光网络单元和无源光网络单元。为了提高olt设备与onu设备对接的安全性，协议《中国电信epon设备技术要求》提供了三种onu设备设备认证方法：基于物理标识的认证，基于逻辑标识的认证和混合方式。在epon系统中，对每个onu设备的具体认证方式由olt设备选择并发起相应的认证。然而这些认证方式只有olt设备对onu设备的认证，并没有onu设备对olt设备的认证，并且认证方式是明文传输，很容易被人截获，导致olt设备被非法onu设备连接上。

因此，现有技术需要改进。

技术实现要素：

有鉴于此，有必要针对上述的问题，提出一种olt设备与onu设备相互认证方法及控制端，以解决上述背景技术中的缺点。

为实现上述目的，本发明采取以下的技术方案：

一种olt设备与onu设备相互认证方法，应用于olt设备和与olt设备进行通信的onu设备，该olt设备与onu设备相互认证方法包括以下步骤：

s1，所述olt设备通过一第一协议报文将一第一许可安全码发送给onu设备；

s2，所述onu设备接收到来自olt设备的第一协议报文后，对来自olt设备的第一许可安全码与onu设备的一第一安全码进行比较，并根据第一许可安全码与第一安全码的比较结果进行保护处理；

s3，所述olt设备将一第二协议报文发送给onu设备；

s4，所述onu设备收到来自所述olt设备的第二协议报文后，将一第二许可安全码发送给olt设备；

s5，所述olt设备对来自onu设备的第二许可安全码与olt设备的一第二安全码进行比较，并根据第二许可安全码与第二安全码的比较结果进行保护处理。

进一步地，于s1之前，该olt设备与onu设备相互认证方法还包括以下步骤：

s10，所述olt设备生成第一许可安全码和第二安全码；所述onu设备生成第二许可安全码和第一安全码。

进一步地，于s1与s2之间还包括：

s6，判断所述onu设备是否在一时间阈值范围内未接收到来自olt设备的第一协议报文；若判断为是，则执行s7；若判断为否，则执行s2；

s7，判定olt设备为非法的olt设备，并重启onu设备。

进一步地，于s4与s5之间还包括：

s8，判断所述olt设备是否接收到来自onu设备的第二许可安全码；若判断为是，则执行s5；若判断为否，则执行s9；

s9，判定onu设备为非法的onu设备，olt设备不分配带宽给onu设备。

进一步地，所述s2包括以下步骤：

s21，所述onu设备接收到来自olt设备的第一协议报文后，判断来自olt设备的第一许可安全码是否与onu设备的一第一安全码相同；若判断为是，则执行s22；若判断为否，则执行s23；

s22，判定olt设备为合法的olt设备，并允许olt设备对onu设备进行管理，然后执行s3；

s23，判定olt设备为非法的olt设备，并重启onu设备。

进一步地，所述s5包括以下步骤：

s51，所述olt设备判断来自onu设备的第二许可安全码是否与olt设备的一第二安全码相同；若判断为是，则执行s52；若判断为否，则执行s53；

s52，判定onu设备为合法的onu设备，并允许onu设备完成注册；

s53，判定onu设备为非法的onu设备，olt设备不分配带宽给onu设备。

进一步地，所述第一协议报文采用extendedsetrequest操作码的协议报文；所述第二协议报文采用extendedgetrequest操作码的协议报文。

一种实现olt设备与onu设备相互认证的olt控制端，该olt控制端应用于olt设备，该olt控制端存储有实现olt设备与onu设备相互认证方法的应用程序，所述应用程序实现如上所述的olt设备与onu设备相互认证方法的步骤。

一种实现olt设备与onu设备相互认证的onu控制端，该onu控制端应用于onu设备，该onu控制端存储有实现olt设备与onu设备相互认证方法的应用程序，所述应用程序实现如上所述的olt设备与onu设备相互认证方法的步骤。

本发明的有益效果为：

本发明的报文定义简单明了，本发明的协议设计完全符合ieee802.3-2005clause57中关于oam扩展的规定，并与《中国电信epon设备技术要求》中扩展的oam层要求相兼容，便于对olt设备和onu设备进行双向开发。本发明使用双向认证方式：olt设备对onu设备进行认证和onu设备对olt设备进行认证，并在认证过程中以安全码形式传输，防止被违法分子破解，从而有效防止非法olt设备和非法onu设备的接入，大大提高olt设备与onu设备对接的安全性。

附图说明

图1为本发明的实施例1的olt设备与onu设备相互认证方法的工作流程图；

图2为本发明的实施例2的olt设备与onu设备相互认证方法的工作流程图；

图3为本发明的实施例3的olt设备与onu设备相互认证方法的工作流程图；

图4为本发明的实施例4的olt设备与onu设备相互认证方法的工作流程图；

图5为本发明的实施例5的olt设备与onu设备相互认证方法的工作流程图；

图6为本发明的实施例6的olt设备与onu设备相互认证方法的工作流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明实施例，对本发明的技术方案作进一步清楚、完整地描述。需要说明的是，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要理解的是，术语“上”、“下”、“前”、“后”、“左”、“右”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

“第一”、“第二”、“第三”、“第四”等术语仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”、“第三”、“第四”特征可以明示或者隐含地包括一个或者更多个该特征。

实施例1

如图1所示，一种olt设备与onu设备相互认证方法，应用于olt设备和与olt设备进行通信的onu设备，该olt设备与onu设备相互认证方法包括以下步骤：

s1，所述olt设备通过一第一协议报文将一第一许可安全码发送给onu设备；

s2，所述onu设备接收到来自olt设备的第一协议报文后，对来自olt设备的第一许可安全码与onu设备的一第一安全码进行比较，并根据第一许可安全码与第一安全码的比较结果进行保护处理；

s3，所述olt设备将一第二协议报文发送给onu设备；

s4，所述onu设备收到来自所述olt设备的第二协议报文后，将一第二许可安全码发送给olt设备；

s5，所述olt设备对来自onu设备的第二许可安全码与olt设备的一第二安全码进行比较，并根据第二许可安全码与第二安全码的比较结果进行保护处理。

实施例2

实施例2为实施例1的进一步优化；

如图2所示，于s1之前，该olt设备与onu设备相互认证方法还包括以下步骤：

s10，所述olt设备生成第一许可安全码和第二安全码；所述onu设备生成第二许可安全码和第一安全码。

实施例3

实施例3为实施例1的进一步优化；

如图3所示，于s1与s2之间还包括：

s6，判断所述onu设备是否在一时间阈值范围内未接收到来自olt设备的第一协议报文；若判断为是，则执行s7；若判断为否，则执行s2；

s7，判定olt设备为非法的olt设备，并重启onu设备。

实施例4

实施例4为实施例1的进一步优化；

如图4所示，于s4与s5之间还包括：

s8，判断所述olt设备是否接收到来自onu设备的第二许可安全码；若判断为是，则执行s5；若判断为否，则执行s9；

s9，判定onu设备为非法的onu设备，olt设备不分配带宽给onu设备。

实施例5

实施例5为实施例1的进一步优化；

如图5所示，所述s2包括以下步骤：

s21，所述onu设备接收到来自olt设备的第一协议报文后，判断来自olt设备的第一许可安全码是否与onu设备的一第一安全码相同；若判断为是，则执行s22；若判断为否，则执行s23；

s22，判定olt设备为合法的olt设备，并允许olt设备对onu设备进行管理，然后执行s3；

s23，判定olt设备为非法的olt设备，并重启onu设备。

实施例6

实施例6为实施例1的进一步优化；

如图6所示，所述s5包括以下步骤：

s51，所述olt设备判断来自onu设备的第二许可安全码是否与olt设备的一第二安全码相同；若判断为是，则执行s52；若判断为否，则执行s53；

s52，判定onu设备为合法的onu设备，并允许onu设备完成注册；

s53，判定onu设备为非法的onu设备，olt设备不分配带宽给onu设备。

实施例7

实施例7为实施例1的进一步优化；

所述第一协议报文采用extendedsetrequest操作码的协议报文；所述第二协议报文采用extendedgetrequest操作码的协议报文。

实施例8

实施例8为实施例2的进一步优化；

于s10中，当onu设备接入olt设备，完成mpcp(multi-pointcontrolprotocol，多点控制协议)注册和oam机制发现后，olt设备根据onu设备的ponmac地址利用一些安全算法生成第一许可安全码olt_key_1和第二安全码olt_key_2，onu设备根据同样的算法生成第二许可安全码onu_key_2和第一安全码onu_key_1。

第一许可安全码olt_key_1、第二安全码olt_key_2、第二许可安全码onu_key_2和第一安全码onu_key_1均为加密安全码，而且不同的onu设备生成不同的加密安全码，难以被不法分子破译，并且添加了onu设备对olt设备的认证过程，大大提高olt设备与onu设备对接的安全性。

本发明在olt设备与onu设备对接过程中，对如下表1所示的数据包进行交互：

表1

在完成如上表1的数据交互后，olt设备和onu设备完成相互之间的认证。

实施例9

实施例9为实施例1-8中任一实施例的进一步优化；

一种实现olt设备与onu设备相互认证的olt控制端，该olt控制端应用于olt设备，该olt控制端存储有实现olt设备与onu设备相互认证方法的应用程序，所述应用程序实现如上所述的olt设备与onu设备相互认证方法的步骤。

实施例10

实施例10为实施例1-8中任一实施例的进一步优化；

一种实现olt设备与onu设备相互认证的onu控制端，该onu控制端应用于onu设备，该onu控制端存储有实现olt设备与onu设备相互认证方法的应用程序，所述应用程序实现如上所述的olt设备与onu设备相互认证方法的步骤。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。