基于NTRUSign無源光網(wǎng)絡(luò)接入雙向認(rèn)證的方法
【專利摘要】本發(fā)明公開一種基于NTRUSign無源光網(wǎng)絡(luò)接入的雙向認(rèn)證協(xié)議,該方法利用NTRUSign數(shù)字簽名算法實現(xiàn)對OLT與ONU的雙向認(rèn)證��。并且在雙向認(rèn)證成功之后,OLT與ONU還會協(xié)商出會話密鑰��,用于對后續(xù)傳輸?shù)臄?shù)據(jù)進(jìn)行加密��,保障系統(tǒng)的安全����。此外,在雙向認(rèn)證協(xié)議中還定義了3個幀�����,分別是認(rèn)證幀CERTIFICATION_GATE�,信息幀MONU和信息幀MOLT。通過這三個幀���,OLT與ONU可以高效安全的完成認(rèn)證��,充分保障了系統(tǒng)的安全�。
【專利說明】基于NTRUSign無源光網(wǎng)絡(luò)接入雙向認(rèn)證的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及光纖接入網(wǎng)【技術(shù)領(lǐng)域】����,尤其涉及一種基于NTRUSig算法雙向認(rèn)證協(xié)議和三個自定義的幀結(jié)構(gòu)在無源光網(wǎng)絡(luò)接入中的方法。
【背景技術(shù)】
[0002]智慧城市是未來城市發(fā)展的趨勢,而光網(wǎng)絡(luò)在其中起到了重要的作用����。PON網(wǎng)絡(luò)具有鋪設(shè)成本低,業(yè)務(wù)功能靈活��,容易升級等優(yōu)點��,因此被認(rèn)為是城市光網(wǎng)建設(shè)中理想的光纖接入網(wǎng)絡(luò)��。
[0003]然而由于PON以廣播的方式向下發(fā)送數(shù)據(jù)�,因而存在一定的安全威脅�����。比較典型的安全威脅是不合法的ONU偽裝成合法的ONU進(jìn)行收發(fā)數(shù)據(jù)���,大量占用帶寬�����,浪費網(wǎng)絡(luò)資源���。當(dāng)不合法的ONU想加入PON系統(tǒng)并收發(fā)數(shù)據(jù)時,它可以通過偽裝成一個已注冊成功的合法ONU來欺騙0LT,以便成功收發(fā)數(shù)據(jù)�����。在此種情況下����,系統(tǒng)很有可能會被此惡意ONU竊取到重要信息,而對系統(tǒng)安全帶來危害���。除此之外�,OLT是PON系統(tǒng)重要的局端設(shè)備����,ONU設(shè)備的控制、管理�、測距等操作均由它負(fù)責(zé)。所以更需要對OLT的身份進(jìn)行驗證��,保證OLT是合法的���。如果攻擊者偽裝成0LT�,將可以對ONU進(jìn)行控制����,對用戶端造成很大的損害��。因此���,對OLT與ONU的雙向認(rèn)證很有必要,當(dāng)前還沒有特別理想的解決方案����。
[0004]目前,對PON網(wǎng)絡(luò)的雙向認(rèn)證還比較少����,大多只考慮了對ONU的認(rèn)證����,忽略了對OLT的認(rèn)證。常用的簽名認(rèn)證技術(shù)有RSA�,E⑶SA。而RSA與E⑶SA簽名算法涉及大數(shù)求余��,因而運算相對較慢����,對系統(tǒng)帶寬和存儲性能要求較高����,給PON系統(tǒng)帶來很大的時延���。故需要設(shè)計一種低時延高效的雙向認(rèn)證方法�����。本發(fā)明為了實現(xiàn)對OLT與ONU的雙向認(rèn)證�����,采用了一種簽名與驗證效率均很高的數(shù)字簽名算法NTRUSign���。此算法中主要的運算是積和運算,可以大幅降低運算量�����,因而對系統(tǒng)時延影響較小���。通過對OLT與ONU各自生成的簽名的驗證來判斷OLT與ONU身份的合法性�����,從而實現(xiàn)了雙向認(rèn)證��。OLT與ONU還協(xié)商出了會話密鑰�����,方便后續(xù)數(shù)據(jù)的加密�����,這樣即防止了系統(tǒng)中可能存在的偽裝��,竊取等安全問題����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的目的在于提供一種基于NTRUSig無源光網(wǎng)絡(luò)接入雙向認(rèn)證的方法,該方法實現(xiàn)了 PON系統(tǒng)中OLT與ONU的雙向認(rèn)證�,保證了系統(tǒng)安全��。
[0006]本發(fā)明的技術(shù)方案如下:
[0007]一種基于NTRUSign無源光網(wǎng)絡(luò)接入雙向認(rèn)證的方法��,所述方法包括以下步驟:
[0008]步驟A =PON系統(tǒng)的局端OLT與用戶側(cè)ONU利用NTRUSign簽名算法的密鑰生成算法生成各自的公私鑰��,同時生成證書QmZQm及隨機(jī)值R_/IVT ����;
[0009]步驟B =OLT向ONU發(fā)送自定義的認(rèn)證幀CERTIFICATION_GATE�����,此幀與標(biāo)準(zhǔn)的控制幀一樣也有64個字節(jié)��,在該幀的信息域中攜帶了分別占據(jù)了 2個字節(jié)的OLT的公鑰PKQU�,證書Qm以及隨機(jī)值IVt��。ONU驗證OLT的證書CaT�����,驗證通過后則生成隨機(jī)參數(shù)F1�����,并用ONU的私鑰SK_按照NTRUSign的簽名生成算法生成簽名s_��。利用密鑰導(dǎo)出算法生成加密密鑰K = KD-HMAC-SHA256 (PSK, Rolt)���,用此加密密鑰K加密ONU的證書C_�����,公鑰PK_����,隨機(jī)值R_,隨機(jī)參數(shù)A以及簽名Somj得到密文EM_�。并利用信息幀Mwu將密文EMwu發(fā)送給OLT ;
[0010]步驟C =OLT收到ONU發(fā)送的信息幀M_�����,將提取出該幀中信息域攜帶的密文信息EM_���。OLT利用密鑰導(dǎo)出算法生成相同的加密密鑰K = KD-HMAC-SHA256 (PSK, Rou)�,解密密文ΕΜ_得到ONU的證書Cwu與簽名sow����。OLT首先驗證ONU的證書C_,驗證通過則用ONU的公鑰PK_按照NTRUSign的驗證算法對收到的簽名進(jìn)行驗證����,驗證通過�,則ONU是合法的。OLT用私鑰SKcm按照NTRUSign的簽名生成算法生成OLT的簽名Souo用加密密鑰K加密簽名Scm得到密文ΕΜ%Τ����。并利用信息幀Mcm將密文EMcm發(fā)送給ONU ��;
[0011]步驟D =ONU收到OLT發(fā)送的信息幀MaT�����,將提取出該幀中信息域攜帶的密文信息EMQlT�。解密密文獲得OLT的簽名S(M����。用OLT的公鑰按照NTRUSign的驗證算法驗證OLT的簽名,驗證通過后�,雙方協(xié)商出會話密鑰。
[0012]步驟A進(jìn)一步包括以下步驟:
[0013]Al����、ONU首先隨機(jī)選取兩個多項式fQNU e Lf和gQNU e Lg,然后根據(jù)NTRUSign數(shù)字簽名算法中的密鑰生成算法生成自己的公鑰與私鑰,其中公鑰為PK_���,私鑰SK_為(foNU, gQNU, Fonu, Gonu)�。ONU存儲自己生成的公私鑰對���。
[0014]A2�、生成隨機(jī)值Rqnu,并將ONU的公鑰PK_和隨機(jī)值Rwu這兩個參數(shù)串聯(lián)進(jìn)行哈希變化得到哈希值,然后利用ONU生成的私鑰對哈希值進(jìn)行簽名����,生成ONU的證書C_。ONU端初始化完成����。
[0015]A3、OLT首先隨機(jī)選取兩個多項式fQLT e Lf和g(M e Lg,然后根據(jù)NTRUSign數(shù)字簽名算法中的密鑰生成算法生成自己的公鑰與私鑰��,其中公鑰為PKcm��,私鑰SKcm為(fQLT, g0LT, Folt, Golt)���。ONU存儲自己生成的公私鑰對��。
[0016]A4���、生成隨機(jī)值Rqu,并將OLT的公鑰PKqu和隨機(jī)值Rqu這兩個參數(shù)串聯(lián)進(jìn)行哈希變化得到哈希值��,然后利用OLT生成的私鑰對哈希值進(jìn)行簽名����,生成ONU的證書0?。OLT端初始化完成����。
[0017]步驟B進(jìn)一步包括以下步驟:
[0018]B1、OLT向ONU發(fā)送認(rèn)證幀CERTIFICATION_GATE�����,其中攜帶了 OLT的初始化參數(shù)PKolt, C0LTj Rolto
[0019]B2�、ONU依據(jù)NTRUSign簽名算法的驗證算法驗證OLT證書的合法性,驗證通過則會生成隨機(jī)參數(shù)
[0020]B3�、計算Qonu = Rolt I r1; m = h (PKonu | | Qonu)���。然后對信息m進(jìn)行模q運算,計算出多項式 Oii1, m2)���。接著按如下兩個公式計算_FQNU*m2 = A+q*B, -gONu*mi+foNu*m2 = a+q*b,則可得到參數(shù)B與b,最后計算公式Sonu = fONu*B+FoNu*b (modq),即得到ONU的簽名Somjo
[0021]B4、利用密鑰導(dǎo)出算法生成加密密鑰K = KD-HMAC-SHA256 (PSK, Rolt)���,并計算EMwu=E (K, PKonu, Ronu, Conu, sonu, rι)����,利用信息幀 Mtmi 將密文 ΕΜ_ 發(fā)送給 OLT。
[0022]步驟C進(jìn)一步包括以下步驟:
[0023]Cl���、OLT收到信息幀Μ_后���,先用密鑰導(dǎo)出算法計算得到加密密鑰K =KD-HMAC-SHA256 (PSK, Rolt),然后解密收到的密文信息ΕΜ_獲得ONU的證書C.����,ONU的簽名
sONU等?目息。
[0024]C2�����、0LT根據(jù)NTRUSign數(shù)字簽名算法的驗證算法驗證ONU證書的合法性�。當(dāng)證書驗證通過,為了確認(rèn)隨機(jī)參數(shù)A的正確性和驗證ONU身份的合法性��,OLT下一步要對ONU的簽名sow進(jìn)行驗證�。
[0025]C3、OLT 計算 Qqnu = Rolt lr^m = h (PKonu| | Qonu),并對信息 m 進(jìn)行模 q 運算,計算出多項式 Oii1, m2)�。接著計算 t_ = s_*PK_ (modq),若不等式 | | SmjI1 |2+| t0NU-m21 2 ^ NormBound2成立,則ONU的簽名是有效的�,即ONU的身份是合法的。
[0026]C4�����、OLT對ONU發(fā)送的隨機(jī)值Rtmi進(jìn)行簽名獲得自己的簽名信息Sou。然后計算EMolt = E (K, s0LT)�����,并利用信息幀MaT將密文EMcm發(fā)送給0NU�。[0027]步驟D進(jìn)一步包括以下步驟:
[0028]DUONU收到OLT發(fā)送的信息幀MaT�,將利用加密密鑰K解密密文EMcm獲得OLT的簽名信息Solto
[0029]D2、0NU根據(jù)NTRUSign數(shù)字簽名算法的驗證算法判斷OLT簽名的有效性���。驗證通過���,則表明OLT是合法的,雙向認(rèn)證成功�����。
[0030]D3��、OLT與ONU進(jìn)入密鑰協(xié)商階段生成會話密鑰����。OLT與ONU分別計算Karara =h(RonuI RoltI Ir1)作為它們雙方共享的會話密鑰�。該會話密鑰可以用于后續(xù)數(shù)據(jù)的加密�����,保證了數(shù)據(jù)傳輸?shù)陌踩?br>
[0031]本發(fā)明還在雙向認(rèn)證過程中定義了 3個幀:認(rèn)證幀�,信息幀Mmu,信息幀MaT。認(rèn)證幀(CERTIFICATION_GATE)用于對要加入PON系統(tǒng)的ONU發(fā)起認(rèn)證過程��,當(dāng)ONU收到此信息后�����,則開始認(rèn)證���。認(rèn)證幀的幀結(jié)構(gòu)如標(biāo)準(zhǔn)控制幀一樣���,也具有一個6字節(jié)MAC目的地址字段DA, 一個6字節(jié)MAC源地址字段SA,一個2字節(jié)長度/類型字段以及2字節(jié)的操作碼�。在信息域中,包括一個I字節(jié)的認(rèn)證標(biāo)志字段���,以及OLT發(fā)給ONU的3個分別占了 2個字節(jié)的認(rèn)證信息(證書0^��,公鑰PKcm,隨機(jī)值U���,未使用的33個字節(jié)的保留字段��,則填充為O�����。認(rèn)證標(biāo)志字段用于識別當(dāng)前ONU的認(rèn)證狀態(tài)����。當(dāng)認(rèn)證標(biāo)志字段為十進(jìn)制I時表示ONU未被認(rèn)證��,當(dāng)認(rèn)證標(biāo)志字段為2時表示當(dāng)前ONU已被認(rèn)證過����,無需再進(jìn)行ONU的認(rèn)證過程�。
[0032]信息幀Mwu的幀結(jié)構(gòu)與認(rèn)證幀類似,但對信息域進(jìn)行了重新定義��,包括一個I字節(jié)的認(rèn)證標(biāo)志字段和16個字節(jié)的信息EM_���,未使用部分�,則填充為O�。當(dāng)認(rèn)證標(biāo)志字段為I時意味著OLT發(fā)送給ONU的證書Craj驗證通過,是有效合法的��;當(dāng)認(rèn)證標(biāo)志字段為2時意味著OLT發(fā)送給ONU的證書Ccm未驗證通過���,將停止注冊認(rèn)證過程。
[0033]信息幀Mcm的幀結(jié)構(gòu)與信息幀Mwu類似��,但對信息域進(jìn)行了重新定義�,包括一個I字節(jié)的認(rèn)證標(biāo)志字段和8個字節(jié)的信息EMcm,未使用部分,則填充為O��。當(dāng)認(rèn)證標(biāo)志字段顯示為I時即ONU簽名認(rèn)證通過�,ONU是合法的;當(dāng)認(rèn)證標(biāo)志為2時則ONU簽名未通過認(rèn)證�����,即ONU是非法的�����,注冊認(rèn)證過程失敗�,OLT則會終止ONU的注冊認(rèn)證,ONU需重新進(jìn)行注冊認(rèn)證過程����。此幀中的目的地址字段存放的是相應(yīng)ONU的MAC地址����,即表明信息幀MaT是面向特定的ONU的����,只發(fā)送給當(dāng)前正要認(rèn)證的0NU。
[0034]本發(fā)明的優(yōu)點在于:利用NTRUSign算法的簽名生成和簽名驗證效率高�,運算量小的優(yōu)勢,采用基于NTRUSign的雙向認(rèn)證方式在PON系統(tǒng)的OLT與ONU之間建立雙向認(rèn)證���,可以有效抵抗多種攻擊����,如偽裝攻擊�����,重放攻擊����,中間人攻擊���,已知會話密鑰攻擊���;在雙向認(rèn)證完成之后OLT與ONU雙方協(xié)商出了會話密鑰�����,其中會話密鑰是由隨機(jī)數(shù)生成的���,因而具有新鮮性和前向安全性,且可以用此共享密鑰加密傳輸?shù)臄?shù)據(jù)�����,防止數(shù)據(jù)被竊取和篡改����;本發(fā)明在認(rèn)證過程中還自定義了 3個幀,利用這三個幀��,認(rèn)證雙方可以知道自己當(dāng)前的認(rèn)證狀態(tài)��, 避免了重復(fù)認(rèn)證的情況��,節(jié)約系統(tǒng)資源����。
【專利附圖】
【附圖說明】
[0035]圖1為本發(fā)明雙向認(rèn)證的總流程圖����;
[0036]圖2為本發(fā)明OLT端認(rèn)證流程圖�����;
[0037]圖3為本發(fā)明ONU端認(rèn)證流程圖�;
[0038]圖4為本發(fā)明自定義認(rèn)證幀幀結(jié)構(gòu)示意圖;
[0039]圖5為本發(fā)明自定義信息幀M_幀結(jié)構(gòu)示意圖��;
[0040]圖6為本發(fā)明自定義信息幀Mcm幀結(jié)構(gòu)示意圖�����;
【具體實施方式】
[0041]下面結(jié)合附圖并通過【具體實施方式】來進(jìn)一步說明本發(fā)明的技術(shù)方案�����。本發(fā)明是在注冊過程中實現(xiàn)了對OLT與ONU的認(rèn)證���,無需額外設(shè)計認(rèn)證協(xié)議,因而不需要增加額外的成本�。
[0042]本發(fā)明具體方案如下:
[0043]圖1是本發(fā)明【具體實施方式】中雙向認(rèn)證的總流程圖。如圖1所示,雙向認(rèn)證流程包括以下步驟:
[0044]步驟101�����、在自動發(fā)現(xiàn)過程開始時��,OLT會周期性的向所有ONU廣播發(fā)送一條DISCOVERY_GATE信息���,在此信息中包括了用于注冊的窗口的開始時間和結(jié)束時間以及相關(guān)系統(tǒng)參數(shù)����。
[0045]步驟102�、想加入系統(tǒng)的ONU等到自己注冊周期的開始,向OLT發(fā)送REGISTER_REQ信息��,在注冊請求信息中包括了 ONU測距信息和自己請求的帶寬等參數(shù)��;
[0046]步驟103�、0LT接收到ONU發(fā)送的注冊請求信息后,經(jīng)核實為有效信息���,則會注冊該ONU����。然后OLT向該ONU發(fā)送注冊幀,在此幀中包括了 OLT規(guī)定的同步時間�����。之后向該ONU發(fā)送認(rèn)證幀(CERTIFICATION_GATE)告知ONU開始認(rèn)證過程����。
[0047]步驟104、0NU收到OLT發(fā)送的認(rèn)證信息后���,首先驗證OLT證書的有效性�����,驗證通過后將會生成自己的簽名信息sONU���,并將該信息發(fā)送給OLT。OLT收到信息后�����,將用NTRUSign算法的簽名驗證算法對ONU的簽名進(jìn)行驗證來判斷ONU身份的合法性�。
[0048]步驟105����、驗證成功,貝U會向ONU發(fā)送標(biāo)準(zhǔn)的授權(quán)巾貞(Normal_GATE),同時OLT還會生成自己的簽名信息并發(fā)送給ONU��,ONU收到OLT發(fā)送的簽名信息后�,將對OLT的簽名進(jìn)行驗證����,如果驗證成功,則表明OLT的身份也是合法的��。
[0049]步驟106�����、ONU為了告知OLT注冊認(rèn)證過程已完成����,需要向OLT發(fā)送注冊確認(rèn)信息(REGISTER_ACK)。同時雙方協(xié)商出共享的會話密鑰�。
[0050]圖2是本發(fā)明【具體實施方式】中OLT端認(rèn)證流程圖,如圖2所示�,認(rèn)證流程包括以下步驟:
[0051]步驟201、EPON系統(tǒng)初始化時�����,OLT端處于發(fā)現(xiàn)狀態(tài),周期性的廣播發(fā)送DISCOVERY_GATE幀����,并生成自己的初始化信息參數(shù)(證書C0LT,公鑰PK0LT�����,隨機(jī)值R0LT)���,等待未注冊O(shè)NU的響應(yīng)���。
[0052]步驟202、當(dāng)有ONU響應(yīng)OLT發(fā)送的DISCOVERY_GATE信息后會向OLT發(fā)送REGISTER_REQ信息���,OLT收到此信息后���,將會核查此信息。若有效���,OLT會接受ONU的注冊請求����,向ONU發(fā)送注冊幀(REGISTER),同時向ONU發(fā)送認(rèn)證幀(CERTIFICATION_GATE)�,發(fā)起認(rèn)證過程����,在該幀中包含了 OLT的證書CONU,OLT的公鑰PKOLT等信息����,若此幀中標(biāo)志字段為I,表示當(dāng)前ONU未被認(rèn)證過����。
[0053]步驟203、0LT收到ONU發(fā)送來的信息幀M0NU�,若此幀中的認(rèn)證標(biāo)志字段為1,表示OLT的證書驗證通過��。則開始計算加密密鑰K�����,然后解密信息EMONU獲得ONU的證書CONU和簽名sONU等信息��,開始對ONU的合法性進(jìn)行認(rèn)證�。
[0054]步驟204���、OLT首先驗證ONU證書C0NU。若證書是合法的��,則用ONU的公鑰PKONU來驗證ONU的簽名sONU�。若ONU的簽名通過驗證,則表明ONU的身份是合法的�。
[0055]步驟205、ONU認(rèn)證成功后����,OLT將會用自己的私鑰SKOLT對隨機(jī)值RONU進(jìn)行簽名生成簽名信息sOLT。并用計算所得的加密秘鑰K加密OLT的簽名來確保其傳輸?shù)陌踩?,并將加密信息EMOLT = E (K, sOLT)通過信息幀MOLT發(fā)送給0NU。等待ONU認(rèn)證回應(yīng)���。若收到了 ONU發(fā)送的注冊認(rèn)證確認(rèn)信息REGISTER_ACK����,并告知OLT認(rèn)證成功�����,則完成了 ONU與OLT的雙向認(rèn)證�����。
[0056]圖3是本發(fā)明【具體實施方式】中ONU端認(rèn)證流程圖,如圖3所示���,認(rèn)證流程包括以下步驟:
[0057]步驟301、EP0N系統(tǒng)初始化時��,ONU處于等待狀態(tài)��,等待自己周期的開始���,以便進(jìn)行注冊認(rèn)證過程加入EPON系統(tǒng)��。
[0058]步驟302����、當(dāng)ONU收到OLT周期性廣播發(fā)送的DISCOVERY_GATE幀后�����,則激活注冊過程��,并生成自己的初始化信息參數(shù)(證書C0NU���,公鑰PK0NU�,隨機(jī)值R0NU)。然后向OLT發(fā)送信息請求加入EPON系統(tǒng)�。
[0059]步驟303、當(dāng)ONU收到OLT發(fā)送的注冊幀(REGISTER)和認(rèn)證幀(CERTIFICATION,GATE)后�����,將首先判斷認(rèn)證幀中所攜帶的OLT證書COLT的合法性�。若驗證結(jié)果是合法的,ONU還要生成一個隨機(jī)參數(shù)rl����,同時計算出加密密鑰K,并用私鑰SKONU進(jìn)行簽名獲得自己的簽名信息sONU�。最后用加密密鑰K加密ONU的證書C0NU,公鑰PK0NU��,隨機(jī)值RONU以及簽名sONU得到密文EM0NU����,并利用信息幀MONU此密文EMONU發(fā)送給0LT,等待OLT對自己的認(rèn)證結(jié)果����。
[0060]步驟304�����、ONU收到OLT發(fā)送的信息幀M0LT�����,若此幀中的認(rèn)證標(biāo)志字段為1�����,表示ONU的身份驗證通過。則用加密密鑰K解密收到的密文信息EMOLT獲得OLT的簽名信息sOLT�。
[0061]步驟305、ONU用OLT的公鑰PKOLT根據(jù)NTRUSign簽名算法的驗證算法驗證OLT的簽名sOLT��。若簽名驗證通過���,則判定OLT的身份是合法的�,OLT的認(rèn)證成功���,即成功完成了 OLT與ONU的雙向認(rèn)證�,并向OLT發(fā)送REGISTER_ACK。告知OLT注冊認(rèn)證已完成�����。
[0062]根據(jù)本發(fā)明身份認(rèn)證的方法按照MAC控制幀的要求自定義了 3個幀����,分別是認(rèn)證幀(CERTIFICAT10N_GATE),信息幀 M0NU���,信息幀 M0LT���。
[0063]圖4是OLT發(fā)給ONU的認(rèn)證幀(CERTIFICAT10N_GATE)的幀結(jié)構(gòu)示意圖。如圖4所示���,本發(fā)明使用的認(rèn)證幀具有一個6字節(jié)MAC目的地址字段(DA)�����,一個6字節(jié)MAC源地址字段(SA)�,一個2字節(jié)長度/類型字段以及2字節(jié)的操作碼���。在信息域中����,包括一個I字節(jié)的認(rèn)證標(biāo)志字段,以及OLT發(fā)給ONU的3個認(rèn)證信息(PK0LT�,COLT, R0LT),未使用的33個字節(jié)的保留字段����,則填充為O。當(dāng)認(rèn)證標(biāo)志字段為I時表示ONU未被認(rèn)證��,當(dāng)認(rèn)證標(biāo)志字段為2時表示當(dāng)前ONU已被認(rèn)證過�����,無需再進(jìn)行ONU的認(rèn)證過程����。
[0064]圖5是ONU發(fā)給OLT的信息幀MONU的幀結(jié)構(gòu)�。如圖5所示,本發(fā)明定義的信息幀MONU與認(rèn)證幀結(jié)構(gòu)類似����,但對信息域進(jìn)行了重新定義,包括一個I字節(jié)的認(rèn)證標(biāo)志字段和16個字節(jié)的信息EM0NU����,未使用部分�����,則填充為O�。當(dāng)認(rèn)證標(biāo)志字段為I時意味著OLT發(fā)送給ONU的證書Qm驗證通過����,是有效合法的;當(dāng)認(rèn)證標(biāo)志字段為2時意味著OLT發(fā)送給ONU的證書Qm未驗證通過���,將停止注冊認(rèn)證過程�����。
[0065]圖6是OLT發(fā)給ONU的信息幀MOLT的幀結(jié)構(gòu)��。如圖6所示�����,本發(fā)明定義的信息幀MOLT與認(rèn)證幀結(jié)構(gòu)類似����,對信息域進(jìn)行了重新定義,包括一個I字節(jié)的認(rèn)證標(biāo)志字段和8個字節(jié)的信息EM0LT�,未使用部分,則填充為O���。當(dāng)認(rèn)證標(biāo)志字段顯示為I時即ONU簽名認(rèn)證通過����,ONU是合法的�����;當(dāng)認(rèn)證標(biāo)志為2時則ONU簽名未通過認(rèn)證����,即ONU是非法的,注冊認(rèn)證過程失敗��,OLT則會終止ONU的注冊認(rèn)證�,ONU需重新進(jìn)行注冊認(rèn)證過程����。此幀中的目的地址字段存放的是相應(yīng)ONU的MAC地址,即表明信息幀MOLT是面向特定的ONU的���,只發(fā)送給當(dāng)前正要認(rèn)證的0NU��。
【權(quán)利要求】
1.基于NTRUSign無源光網(wǎng)絡(luò)接入雙向認(rèn)證的方法���,其特征在于�����,所述方法包括以下步驟: 步驟A =PON系統(tǒng)的局端OLT與用戶側(cè)ONU利用NTRUSign簽名算法的密鑰生成算法生成各自的公私鑰�����,同時生成證書QmZQm及隨機(jī)值R_/IVT ���; 步驟B:0LT向ONU發(fā)送自定義的認(rèn)證幀CERTIFICATION_GATE,此幀與標(biāo)準(zhǔn)的控制幀一樣也有64個字節(jié)���,在該幀的信息域中攜帶了分別占據(jù)了 2個字節(jié)的OLT的公鑰PKcm��,證書Colt以及隨機(jī)值IVt �����;0NU驗證OLT的證書Qm,驗證通過后則生成隨機(jī)參數(shù)r1;并用ONU的私鑰SKtmi按照NTRUSign的簽名生成算法生成簽名s_ ;利用密鑰導(dǎo)出算法生成加密密鑰K�����,用此加密密鑰K加密ONU的證書C_�����,公鑰PK_��,隨機(jī)值R.�����,隨機(jī)參數(shù)η以及簽名S(M得到密文ΕΜ_ ;并利用信息幀Mwu將密文EMwu發(fā)送給OLT ��; 步驟C =OLT收到ONU發(fā)送的信息幀Μ_���,將提取出該幀中信息域攜帶的密文信息EMwu ����;OLT利用密鑰導(dǎo)出算法生成相同的加密密鑰K���,解密密文EMtmi得到ONU的證書C_與簽名Sonu ����;0LT首先驗證ONU的證書Cwu,驗證通過則用ONU的公鑰PKmj按照NTRUSign的驗證算法對收到的簽名進(jìn)行驗證��,驗證通過�,則ONU是合法的;0LT用私鑰SKcm按照NTRUSign的簽名生成算法生成OLT的簽名S(M ;用加密密鑰K加密簽名S(M得到密文ΕΜ%Τ��,并利用信息幀Molt將密文EMcm發(fā)送給ONU ����; 步驟D =ONU收到OLT發(fā)送的信息幀Mcm,將提取出該幀中信息域攜帶的密文信息EMcm ;解密密文獲得OLT的簽名Soui ;用OLT的公鑰按照NTRUSign的驗證算法驗證OLT的簽名�,驗證通過后,雙方協(xié)商出會話密鑰���。
2.根據(jù)權(quán)利要求1所述基于NTRUSign無源光網(wǎng)絡(luò)接入雙向認(rèn)證的方法��,其特征在于:在認(rèn)證過程中自定義了 3個幀�����,分別是認(rèn)證幀��,信息幀Μ_��,信息幀Mcm ;此三個幀均是在標(biāo)準(zhǔn)控制幀的基礎(chǔ)上設(shè)計的����,其中在原有信息域中未使用的40個字節(jié)進(jìn)行了自定義;認(rèn)證幀CERTIFICATION_GATE自定義了 7個字節(jié)��,信息幀11_自定義了 17個字節(jié)�����,信息幀Mcm自定義了 9個字節(jié)��,此三個幀用于傳輸OLT與ONU的認(rèn)證信息����,保證高效安全的完成認(rèn)證過程。
3.根據(jù)權(quán)利要求1�����、2所述基于NTRUSign無源光網(wǎng)絡(luò)接入雙向認(rèn)證的方法����,其特征在于:在認(rèn)證過程中自定義的認(rèn)證幀,該幀用于對要加入PON系統(tǒng)的ONU發(fā)起認(rèn)證過程����,當(dāng)ONU收到此信息后��,則開始認(rèn)證��;認(rèn)證幀的幀結(jié)構(gòu)如標(biāo)準(zhǔn)控制幀一樣,也具有一個6字節(jié)MAC目的地址字段DA�����,一個6字節(jié)MAC源地址字段SA�����,一個2字節(jié)長度/類型字段以及2字節(jié)的操作碼�����;在信息域中��,包括一個I字節(jié)的認(rèn)證標(biāo)志字段�,以及OLT發(fā)給ONU的3個各占了2個字節(jié)的認(rèn)證信息,分別為證書Qm,公鑰PKcm和隨機(jī)值Rcm,剩下未使用的33個字節(jié)的保留字段���,則填充為O ;認(rèn)證標(biāo)志字段用于識別當(dāng)前ONU的認(rèn)證狀態(tài)�;當(dāng)認(rèn)證標(biāo)志字段為十進(jìn)制I時表示ONU未被認(rèn)證,當(dāng)認(rèn)證標(biāo)志字段為2時表示當(dāng)前ONU已被認(rèn)證過���,無需再進(jìn)行ONU的認(rèn)證過程����。
4.根據(jù)權(quán)利要求1��、2所述基于NTRUSign無源光網(wǎng)絡(luò)接入雙向認(rèn)證的方法��,其特征在于:在認(rèn)證過程中自定義了信息幀M_�����,該幀是ONU發(fā)給OLT的關(guān)鍵信息���,其中包含了對ONU的簽名s_����,隨機(jī)參數(shù)ι�,證書C_,公鑰PKwu以及隨機(jī)值Rwu加密后的密文EMmu,方便OLT對ONU進(jìn)行認(rèn)證��;信息幀M_的幀結(jié)構(gòu)與認(rèn)證幀類似�,但對信息域進(jìn)行了重新定義�����,包括一個I字節(jié)的認(rèn)證標(biāo)志字段和16個字節(jié)的信息EMwu�,剩下未使用23個字節(jié)的保留字段�����,則填充為O ;當(dāng)認(rèn)證標(biāo)志字段為I時意味著OLT發(fā)送給ONU的證書Ccm驗證通過��,是有效合法的����;當(dāng)認(rèn)證標(biāo)志字段為2時意味著OLT發(fā)送給ONU的證書Ccm未驗證通過�,將停止注冊認(rèn)證過程。
5.根據(jù)權(quán)利要求1��、2所述基于NTRUSign無源光網(wǎng)絡(luò)接入雙向認(rèn)證的方法�����,其特征在于:在認(rèn)證過程中自定義了信息幀MaT��,該幀是OLT發(fā)給ONU的關(guān)鍵信息���,其中包含了對OLT的簽名Scm加密后的密文EMcm, ONU通過驗證此信息來判斷OLT身份的合法性���;信息幀Mqu的幀結(jié)構(gòu)與信息幀Mwu類似�����,但對信息域進(jìn)行了重新定義����,包括一個I字節(jié)的認(rèn)證標(biāo)志字段和8個字節(jié)的信息EMcm���,剩下未使用31字節(jié)的保留字段�����,則填充為O ;當(dāng)認(rèn)證標(biāo)志字段顯示為I時即ONU簽名認(rèn)證通過��,ONU是合法的���;當(dāng)認(rèn)證標(biāo)志為2時則ONU簽名未通過認(rèn)證,即ONU是非法的��,注冊認(rèn)證過程失敗����,OLT則會終止ONU的注冊認(rèn)證���,ONU需重新進(jìn)行注冊認(rèn)證過程;此幀中的目的地址字段存放的是相應(yīng)ONU的MAC地址�����,即表明信息幀Mou是面向特定的ONU的�����,只發(fā)送給當(dāng)前正要認(rèn)證的0NU�����。
【文檔編號】H04L29/06GK103905209SQ201410178038
【公開日】2014年7月2日 申請日期:2014年4月30日 優(yōu)先權(quán)日:2014年4月30日
【發(fā)明者】殷愛菡, 胡逸飛 申請人:殷愛菡