EPON中实现ONU的安全注册方法和设备技术

本申请提供了EPON中实现ONU的安全注册方法和设备。本发明专利技术中，通过利用ONU发送的加密密钥对待向ONU发送的Register消息、GATE授权消息分别进行加密并广播发送，能够在ONU与OLT设备之间形成比较安全可靠的MPCP注册通道，其他ONU是无法感知并侦听到该ONU的MAC地址、LLID标识和数据发送时隙，避免了网络中的恶意注册攻击。

【技术实现步骤摘要】

本申请涉及以太网无源光网络(EPON:Ethernet Passive Optical Network)技术，特别涉及EPON中实现光网络单元(ONU:0ptical Network Unit)的安全注册方法和设备。
技术介绍
ΕΡ0Ν，是一种实现光纤到户的重要技术，将以太网和无源光网络(PON =PassiveOptical Network)技术结合，在物理层采用PON技术，在数据链路层使用以太网协议，利用PON的拓扑结构实现以太网接入。在EPON中，ONU的注册主要分为图1所示的四个阶段:发现GATE 阶段(Discovery gate generat1n process):光线路终端(0LT:Optical Line Terminal)周期性地广播GATE发现消息，GATE发现消息中携带ONU发现窗口开始时间和长度；0NU发现自身还没有注册至0LT，则在接收到GATE发现消息后等待，直至到达GATE发现消息中携带的ONU发现窗口开始时间，向OLT发送注册请求(REGISTER_REQ)消息，REGISTER_REQ消息中至少携带ONU的MAC地址。请求接收阶段(Requestrecept1n process):0LT 接收到 ONU 发送的 REGISTER_REQ消息后，认为发送该REGISTER_REQ消息的ONU为目的0NU，为目的ONU分配一个LLID，将该目的ONU的MAC地址和目的ONU被分配的LLID绑定，并计算时延差异(RTT =Round TripTime)ο注册发生阶段(Registergenerat1n process):0LT 向目的 ONU 广播 Register消息，Register消息的目的MAC地址为目的ONU的MAC地址也即上述REGISTER_REQ消息携带的MAC地址，Register消息至少携带目的ONU被分配的LLID。注册结束阶段(Finnal Registrat1n process): OLT为目的ONU分配数据发送时隙，将目的ONU被分配的LLID、数据发送时隙携带在GATE授权消息(也即标准的GATE消息)中广播发送给所有0NU，GATE授权消息的目的MAC地址为组播MAC地址，该GATE授权消息的目的MAC地址之前有一个前导符，该前导符是目的ONU被分配的LLID，当目的ONU收到GATE授权消息后，发现该GATE授权消息中目的MAC之前的前导符为OLT为本ONU分配的LLID，则向OLT返回REGISTER_ACK。当OLT接收到REGISTER_ACK，表示目的ONU注册至0LT,也意味着目的ONU上线且可以按照OLT分配的数据发送时隙正常发送的消息流。在上面描述的ONU注册过程中，Register消息、GATE授权消息是OLT以广播方式发送的，这样，所有ONU都会收到Register消息、GATE授权消息，这给蓄意攻击和窃听留下了风险，比如，ONU通过收到的Register消息、GATE授权消息截取其他ONU的MAC地址、被分配的LLID和数据发送时隙，并利用截取的这些信息接收其他ONU的数据，还可以伪装成其他ONU攻击0LT，因此现有的ONU注册是不安全的。
技术实现思路
本申请提供了 EPON中实现ONU的安全注册方法和设备，以实现ONU的安全注册。本申请提供的技术方案包括: 一种以太网无源光网络EPON中实现光网络单元ONU的安全注册方法，该方法应用于光线路终端0LT，包括:接收ONU广播的注册请求REGISTER_REQ消息；在REGISTER_REQ消息中的安全标记字段Security Flag为用于表示携带加密密钥的第一标记值时，从REGISTER_REQ消息中的加密密钥字段Security Key中获取加密密钥；利用所述加密密钥对待向ONU发送的注册Register消息、GATE授权消息分别进行加密并广播发送。一种以太网无源光网络EPON中光网络单元ONU发现机制的安全实现方法，该方法应用于ONU，包括:对待向光线路终端OLT发送的注册请求REGISTER_REQ消息进行以下修改并广播至OLT:增加安全标记字段Security Flag和加密密钥字段Security Key，设置SecurityFlag为用于表示携带加密密钥的第一标记值，将本地配置的加密密钥添加至所述SecurityKey ；接收来自OLT的加密的注册Register消息，利用本地配置的所述加密密钥对Register消息进行解密，如果解密成功，获取Register消息携带的第一数据参数；第一数据参数至少包括OLT为本ONU分配的LLID ；接收OLT来自OLT的加密的GATE授权消息，利用本地配置的所述加密密钥对GATE授权消息进行解密，如果解密成功，获取GATE授权消息携带的第二数据参数；第二数据参数至少包括OLT为本ONU分配的数据发送时隙。—种以太网无源光网络EPON中实现光网络单元ONU的安全注册设备，该设备应用于光线路终端0LT，包括:接收单元，用于接收ONU广播的注册请求REGISTER_REQ消息；解析单元，用于在REGISTER_REQ消息中的安全标记字段Security Flag为用于表示携带加密密钥的第一标记值时，从REGISTER_REQ消息中的加密密钥字段Security Key中获取加密密钥；加密单元，用于利用所述加密密钥对待向ONU发送的注册Register消息、GATE授权消息分别进行加密并广播发送。—种以太网无源光网络EPON中光网络单元ONU发现机制的安全实现设备，该设备应用于ONU，包括:发送单元，用于对待向光线路终端OLT发送的注册请求REGISTER_REQ消息进行以下修改并广播至OLT:增加安全标记字段Security Flag和加密密钥字段Security Key，设置Security Flag为用于表示携带加密密钥的第一标记值，将本地配置的加密密钥添加至Security Key ；接收单元，用于接收来自OLT的加密的注册Register消息，利用本地配置的所述加密密钥对Register消息进行解密，如果解密成功，获取Register消息携带的第一数据参数；第一数据参数至少包括OLT为本ONU分配的LLID ;以及，接收OLT来自OLT的加密的GATE授权消息，利用本地配置的所述加密密钥对GATE授权消息进行解密，如果解密成功，获取GATE授权消息携带的第二数据参数；第二数据参数至少包括OLT为本ONU分配的数据发送时隙。由以上技术方案可以看出，本专利技术中，通过利用ONU发送的加密密钥对待向ONU发送的Register消息、GATE授权消息分别进行加密并广播发送，能够在ONU与OLT设备之间形成比较安全可靠的MPCP注册通道，其他ONU是无法感知并侦听到该ONU的MAC地址、LLID标识和数据发送时隙，避免了网络中的恶意注册攻击。【附图说明】图1为ONU注册流程图；图2为本专利技术提供的方法流程图；图3为本专利技术提供的REGISTER_REQ消息的结构图；图4为本专利技术提供的Register消息的结构图；图5为本专利技术提供的修改后的Register消息的结构图；图6为本专利技术提供的GATE授权消息的结构图本文档来自技高网...

【技术保护点】
一种以太网无源光网络EPON中实现光网络单元ONU的安全注册方法，其特征在于，该方法应用于光线路终端OLT，包括：接收ONU广播的注册请求REGISTER_REQ消息；在所述REGISTER_REQ消息中的安全标记字段Security Flag为用于表示携带加密密钥的第一标记值时，从所述REGISTER_REQ消息中的加密密钥字段Security Key中获取加密密钥；利用所述加密密钥对待向所述ONU发送的注册Register消息、GATE授权消息分别进行加密并广播发送。

【技术特征摘要】

【专利技术属性】
技术研发人员：宋小恒，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：浙江;33