一种基于多业务承载epon注册过程的加密认证方法
【技术领域】
[0001] 本发明属于计算机信息安全技术领域,特别是涉及一种基于多业务承载ΕΡ0Ν注 册过程的加密认证方法。
【背景技术】
[0002] ΕΡ0Ν系统面临的安全威胁主要有窃听、拒绝服务攻击和伪装窃取服务等形式。 ΕΡ0Ν中的认证方法主要用来防止ΕΡ0Ν中的两种威胁:自动发现和注册过程中光网络单元 (0NU)自动分配到LLID的问题和非法入侵的0NU假装合法的0NU发送数据从而威胁正常的 ΕΡ0Ν系统通信的问题。这两个问题都可以通过认证过程来解决。
[0003] 针对基于注册过程的加密认证,目前一般多采用基于注册过程的简单加密认证方 法。图1为已有技术中基于注册过程的简单加密认证过程图;如图1所示,该简单加密认证 方法的具体步骤如下:
[0004] 1.光线路模块(0LT)周期性地发送发现授权,用于提供授权给新注册的0NU。该 授权包含了发现窗口的起始时间和长度。
[0005] 2.新注册的0NU发送REGISTER_REQ,该消息中包含了 0NU的MAC地址。REGISTER_ REQ消息可以用来注册或去注册,可以由flag字节决定。EFM定义PeddingGrant字节后 的38个字节用于填充。0LT收到注册请求后对该填充字节不考虑。为了完成认证,0NU在 用于请求注册的REGISTER_REQ中携带认证秘钥,认证秘钥在该消息中的位置如表1所示。 其中,认证秘钥占用了 16个字节的填充。128bit的秘钥可人为配置,存放在EEPR0M中, EEPR0M是存储单元,断电后消息不会丢失。
[0006] 表1认证秘钥在REGISTER_REQ消息中的位置
[0009]3.当0LT收到用于注册的REGISTER_REQ消息后,首先提取用户的认证秘钥并和自 己的认证秘钥表进行对比,如果认证秘钥正确,则按照注册过程继续分配LLID,LLID分配 后组成Flag值为3的注册成功REGISTER消息;反之,当0LT发现0NU的认证秘钥错误后, 则组成Flag值为4的注册失败REGISTER消息,不分配LLID。0NU的秘钥和0LT的秘钥表 同时由人工进行配置。秘钥表中包含了所有ONU的MAC地址以及相对应的秘钥。秘钥表存 放EEPR0M中,掉电后数据不会丢失。
[0010] 4.发送REGISTER消息后,0LT组成数据GATE用于0NU进行确认。
[0011] 5. 0NU收到REGISGER和数据GATE后,如果REGISTER的Flag值为3表示分配LLID 成功,则0NU组成REGISTER_ACK并在GATE时隙内发送,向0LT确认成功。如果REGISTER的 Flag值为4表示认证和注册失败,则0NU组成REGISTER_ACK消息并在GATE时隙内发送,向 0LT确认失败。
[0012] 上述基于注册过程的简单加密认证方法是根据ΕΡ0Ν系统自身特点,针对ΕΡ0Ν系 统面临的威胁而设计的,其能够在一定程度上保证ΕΡ0Ν系统的安全性,认证方式简单,0NU 端只需要1个128bit的寄存器,0LT端仅需维护一张MAC地址到认证秘钥的认证表,实现 成本低廉。但该方法存在以下缺点:
[0013] 1)该方法以ΕΡ0Ν上行信道安全为前提,明文传输秘钥。
[0014] 2)没有对0LT进行认证。0LT的网桥功能使得0NU可以模仿伪装成0LT。恶意的 0NU通过冒充0LT窃取其他0NU的LLID并对其进行攻击,使得被攻击的0NU不能接入到系 统。
【发明内容】
[0015] 为了解决上述问题,本发明的目的在于提供一种基于多业务承载ΕΡ0Ν注册过程 的加密认证方法。
[0016] 为了达到上述目的,本发明提供的基于多业务承载ΕΡ0Ν注册过程的加密认证方 法包括按顺序进行的下列步骤:
[0017]步骤101) 0NU-旦收到注册发现帧(DISC0VER_GATE),就发送注册请求帧 (REGISTER_REQ)到 0LT请求注册;
[0018] 步骤102) 0LT收到注册请求帧以后,通过注册帧(REGISTER)给0NU分配LLID,并 发送(CERTIFICATION_GATE)给0NU,建立安全联盟;
[0019]步骤 103) 0NU发送包括 0NU的ID(ID_onu),0LT的ID(ID_olt),0NU的非对称公钥 和0NU的签名S(onu)的安全信息给0LT;
[0020] 步骤104) 0LT收到这些信息后,核对0LT和0NU的ID,并用0NU的非对称公钥Kg_ onu来验证0NU的签名以确认0NU的合法身份;待确认0NU的合法身份后,0LT用Kg_onu 来加密ID_onu、ID_olt、0LT端的公钥Kg_olt、和0LT的签名S(olt)的安全信息,再发送给 0NU;
[0021] 步骤105)0NU收到这些信息后,用0NU的私钥Ks_onu进行解密,核对0LT和0NU 的ID号,得到0LT的公钥Kg_olt,并用Kg_olt验证0LT的签名;完成0LT的认证后,0NU 用0LT的公钥Kg_olt加密注册确认帧(REGISTER_ACK)发送给0LT,完成双方的认证。
[0022] 本发明提供的基于多业务承载ΕΡ0Ν注册过程的加密认证方法的效果:
[0023] 1)本认证方法利用了 0NU的注册过程,实现了注册与认证的无缝连接。由注册开 始的0LT发送注册发现帧给0NU,到0NU发送注册请求帧,再到0LT通过注册帧给0NU分配 LLID,建立逻辑链接,此时不进行注册过程的最后一步,而是进行0NU与0LT的双向认证,最 后进行注册确认。认证时无需拆除注册时建立的逻辑链接和重新建立新的逻辑链接,从而 实现了注册于认证的无缝链接。
[0024] 2)本认证方法改进了基于注册过程的简单加密认证方法的漏洞。不对0LT进行认 证,会导致恶意的0NU冒充0LT,与合法的0NU进行交互,获取合法0NU的信息,再假冒合法 的0NU访问信道,使得合法的0NU无法访问信道和获取服务,导致产生DoS。双向认证改进 了对基于注册过程的简单加密漏洞,实现了 0LT和0NU之间的双向认证,因此安全性大幅提 尚。
[0025] 3)采用非对称加密算法加密,安全性也得到大幅提高。相较于对称加密,非对称加 密的安全性更高。
【附图说明】
[0026] 图1为已有技术中基于注册过程的简单加密认证过程图;
[0027] 图2为本发明提供的基于多业务承载ΕΡ0Ν注册过程的加密认证方法中0LT侧状 态机实现图;
[0028] 图3为本加密认证方法中0NU侧状态机实现图;
[0029] 图4为本加密认证方法中基于注册过程的非对称加密双向认证过程图。
【具体实施方式】
[0030] 下面结合附图和具体实施例对本发明提供的基于多业务承载ΕΡ0Ν注册过程的加 密认证方法进行详细说明。
[0031] 如图4所示,本发明提供的基于多业务承载ΕΡ0Ν注册过程的加密认证方法包括按 顺序进行的下列步骤:
[0032]步骤101) 0NU-旦收到注册发现帧(DISC0VER_GATE),就发送注册请求帧 (REGISTER_REQ)到 0LT请求注册;
[0033] 步骤102) 0LT收到注册请求帧以后,通过注册帧(REGISTER)给0NU分配LLID,并 发送(CERTIFICATION_GATE)给0NU,建立安全联盟;
[0034]步骤 103) 0NU发送包括 0NU的ID(ID_onu),0LT的