專利名稱:一種gpon網絡中onu身份認證方法
技術領域:
本發明涉及通信技術領域,尤其涉及一種千兆無源光網絡(GPON)系統中的光網絡單元(ONU)身份認證方法。
背景技術:
GPON技術是基于國際電信聯盟ITU-T G.984.x標準的最新一代寬帶無源光綜合接入技術,具有高帶寬、高效率、大覆蓋范圍、用戶接口豐富等眾多優點,被大多數運營商視為實現接入網業務寬帶化、綜合化改造的理想技術。但是,GPON網絡安全性方面存在諸多問題,包括但不限于:I),拒絕服務攻擊(DOS):此類攻擊種類繁多,可以在不同的層面上實施。惡意的ONU可以在數據鏈路層實施攻擊,如偽裝合法用戶進行注冊,通過頻繁注冊來耗盡OLT的資源從而使得合法用戶無法注冊等等。2),竊聽:由于PON(無源光網絡)系統的點到多點結構特性,其下行傳輸是廣播式的,一個ONU在物理上可以收到光線路終端(OLT)發向其他ONU的信息,惡意用戶就有可能在某個下路點偵聽到下行幀的信息,而為保障下行信息安全,GPON在傳輸匯聚層引入安全加密機制,OLT通過ONU提供的密鑰,對下行流量進行加密處理。在這方面GPON最初使用安全性較低的加擾算法,目前已經更新為安全性更高的高級加密標準(AES),其中的加密密鑰是以明文的形式由ONU定時發送給OLT的。然而這樣的安全機制是建立在PON光通訊的有向性(即當一個ONU向OLT發送光信號是,其他ONU不能接收到該ONU發給OLT的上行光信號)的基礎上的。實際部署經驗表明由于光分離器和施工質量等原因,ONU也有可能接收或檢測到其它ONU發送的光信號。由此可見目前的安全機制存在缺陷,OLT與ONU之間的密鑰協商機制不具有可擴展性且安全性差。此外,上行鏈路的安全性也值得考慮,ONU的上行幀以明文(包括密鑰)傳送到0LT,惡意用戶可由此獲取其他ONU的密鑰或其他信息。鑒于前述原因,ITU-T G.987.3規范約定了幾種基本認證方式,OLT可支持序列號、序列號加密碼、或僅密碼的方式對ONU進行身份認證、以及基于明文的密鑰交換機制。例如,ONU在激活過程中通過物理層操作管理和維護(PLOAM)消息將ONU序列號、密碼上報給OLT, OLT可以根據這兩個信息驗證ONU的合法性,但前述幾種認證方式僅僅為GPON提供基本級別的認證機制,是強制要求實現的基本認證功能。作為GPON的延伸,XG-PON規范進一步增加了兩種新的ONU身份認證方法,稱為強認證方式(Strong Authentication),第一種是基于操作管理控制接口(OMCI)來實現身份認證,第二種是基于802.1X來完成身份認證以及密鑰協商。但這兩種身份認證方式還存在著共同的弱點:在進行這兩種強認證方式之前,ONU需要通過基本認證方式的認證,此時在通常意義上ONU已經完成了注冊激活并進入正常工作狀態,更進一步地,OLT已經為該ONU分配了相應的資源:基于OMCI的身份認證在執行強認證時,OLT已經為將要對其進行身份認證的ONU分配了 OMCI專用的GPON封裝方法(GEM)端口 ;基于802.1X的身份認證在執行強認證時,OLT不僅已經分配了 OMCI專用GEM端口以及用于802.1X認證的GEM端口,還已經分配了進行802.1X認證所必須的資源。總而言之,以上兩種身份認證方式在執行強認證之前實際上已經接受了 ONU注冊,并為其分配了資源,因此存在可以實施針對OLT資源的DOS攻擊以及使用OLT已經分配的GEM端口交換其他信息等安全問題。
發明內容
本發明旨在提供一種GPON網絡中對ONU進行身份認證的技術方案,可使得GPON網絡系統中的身份認證具有較強的可擴展性,增強系統的安全性。根據本發明的一個方面,這里提供一種GPON網絡系統中對ONU進行身份認證的方法,所述GPON網絡系統包括OLT及其所連接若干0NU,首先,約定用于身份認證的PLOAM消息類型;之后,OLT與ONU之間根據所述PLOAM消息類型進行基于EAP (擴展認證協議)的身份認證協議報文交換,OLT根據所述協議報文交換對ONU進行認證處理。 優選地,前述方法中,OLT與ONU可進一步執行基于EAP的身份認證協議下的密鑰機制協商,其中密鑰機制協商過程由EAP所封裝的身份認證方法所規定。優選地,前述方法中的認證處理可被配置在ONU激活之前,OLT根據認證處理結果確定是否接受ONU注冊。根據本發明的另外一個方面,這里提供一種GPON網絡系統的OLT中對ONU進行認證的方法,首先,它確定用于身份認證的PLOAM消息類型;之后,它通過所述PLOAM消息類型與ONU進行基于EAP的身份認證協議報文交換;最后,根據所述協議報文交換對ONU進行認證處理。優選地,前述方法中,OLT可進一步通過所述EAP報文交換與ONU進行密鑰機制協商,其中密鑰機制協商過程由EAP報文所封裝的身份認證方法所規定。優選地,前述方法中,OLT對ONU的認證處理可被配置在ONU激活之前,OLT根據認證處理結果確定是否接受ONU注冊。根據本發明的另外一個方面,這里提供一種GPON網絡系統的ONU中進行身份認證的方法,ONU確定用于身份認證的PLOAM消息類型;通過所述PLOAM消息類型與OLT進行基于EAP的身份認證協議報文交換;接收來自OLT的身份認證處理結果。優選地,前述方法中,ONU可通過所述EAP報文交換進一步與OLT進行密鑰機制協商,其中密鑰機制協商過程由EAP所封裝的身份認證方法所規定。本發明技術優勢:通過本發明所提供的實施例方案,OLT和ONU通過特定PLOAM消息類型來交換EAP報文,從而可支持多種類型的身份認證方法,系統可選的身份認證方式靈活,可擴展性強,并且可做到后向兼容現有標準安全方案。進一步地,根據EAP報文中所使用的身份認證方法規定的密鑰機制協商,OLT與ONU之間可根據協商后的加解密算法及密鑰對上、下行數據流進行加解密處理,它們之間不以明文形式交換密鑰信息、密鑰交換可更為安全;現有的加密和解密功能也可被再利用。通過本發明所提供的實施例方案,在ONU認證成功之前,ONU沒有進入工作狀態、系統不需要為該ONU建立OMC I通道和GEM端口,如此,可避免OLT受到針對這些資源而進行DoS攻擊,杜絕了非法用戶利用這些資源進行通信或者其他用途的可能,從而保障系統 更加安全。
通過下面提出的結合附圖的詳細描述,本發明的特征、性質和優點將變得更加明顯,附圖中相同的元件具有相同的標識,其中:圖1為本發明所提供的GPON系統中的協議棧結構圖例;圖2為本發明所提供的基于特定PLOAM消息類型的EAP報文結構圖例;圖3為本發明所提供的GPON系統中ONU激活流程圖例;圖4為本發明所提供的GPON系統中ONU身份認證流程圖例.
具體實施例方式下面結合附圖,對本發明的優選實施方式進行詳細的說明。圖1是本發明所提供的GPON系統中的協議棧結構圖例,它包括一個物理介質(PMD)層、GPON傳輸匯聚(GTC)層、以及PLOAM模塊,OMCI模塊,GEM客戶端。其中:PMD層為對應于OLT和ONU之間的光傳輸接口 ;GTC層是GPON的核心層,包括GTC成幀子層和GTC適配子層:GTC成幀子層包括復用和解復用、幀頭生成和解碼、內部路由功能3個功能;GTC適配子層提供了 2個TC適配器,即GEMTC適配器和OMCI適配器,OMCI適配器通過規范的ONT管理控制接口接收來自OLT中的相關OMCI指令來控制ONT,GEMTC適配器生成來自GTC成幀子層各GEM塊的協議數據單元(TOU),并將這些PDU映射到相應的塊。PLOAM模塊用于物理層的操作、管理及維護,完成ONU的注冊及ID分配、測距、端口號(Port ID)分配、VPI/VCI分配、數據加密管理、狀態檢測、誤碼率監視等功能。OMCI模塊提供了一種管理更高層的通用方式,通過它OLT可建立和釋放與ONT之間的連接、管理ONT上的UN1、請求配置信息和性能統計、向系統管理員自動上報事件,如鏈路故障等。如前所述,在OLT接受ONU注冊之后,OLT為該ONU分配OMCI專用的GEM資源,OLT與ONU之間可通過該OMCI機制來進行身份認證和密鑰協商,OLT可啟動雙向認證過程,OLT和ONU之間共享一個MSK,但該認證方式與詢問握手認證協議(CHAP)協議相似,可擴展性差,如果要支持新增的身份認證協議需要逐一擴展OMCI消息。GEM客戶端通過GEM端口 ID來標識自己的業務流量并利用GPON來進行通信;如前所述,在OLT接受ONU注冊之后,OLT和ONU之間可基于該GEM客戶端來實現基于802.1X的身份認證和密鑰協商.實現該方式下的強身份認證時,OLT不僅已經分配了 OMCI專用GEM端口以及用于802.1X認證的GEM端口,還已經分配了進行802.1X認證所必須得資源;而且,在使用802.1x進行身份認證時,需要按照802.1X的模型對非受控端口(UncontrolledPort)和受控端口(Controlled Port)按照認證過程進行分別控制。根據本發明所提供的實施例中,協議棧結構將進一步包含一個EAP(擴展認證協議)模塊,我們將基于PLOAM模塊來交換用于身份認證的EAP報文、實現ONU的身份認證。OLT及ONU之間可通過特定PLOAM消息類型來承載基于EAP的身份認證協議報文,OLT可對ONU所提供的身份信息進行本地認證處理,進而決定是否接受該ONU注冊并為該ONU分配資源。
OLT在進行認證處理時,也可執行認證服務器和ONU之間的的EAP報文轉發,由認證服務器來實現EAP報文所封裝使用的各種身份認證方法,OLT只需關心認證服務器返回的認證結果,進而決定是否接受該ONU注冊并為該ONU分配資源。根據EAP所封裝使用的身份認證方法不同,EAP方式下的某些身份認證協議可進一步支持密鑰機制協商,OLT(或認證服務器)與ONU之間可自行協商密鑰機制,包括:0LT和ONU所使用的加解密算法、及密鑰等,以支持對上、下行的數據加解密處理。如此,在現有AES加密算法被破解的情形下,系統可以使用更強的加密算法,為系統更新為安全性更高的高級加密標準;0NU的上行數據幀可按照約定的加密算法以非明文方式傳送到0LT,其安全性得到保證。從前述協議棧結構圖例可見,由于系統在ONU認證成功之前只接受特定類型的PLOAM消息,實現方 式更為簡單;在ONU身份認證成功之前,系統不需要為該ONU建立OMCI通道和GEM端口,如此,可避免OLT受到針對這些資源的DoS攻擊,杜絕了利用這些通道進行通信或者其他用途的可能,從而更加安全。圖2為本發明所提供的基于特定PLOAM消息類型的EAP報文結構圖例,一個PLOAM消息有13字節長,包括Message_ID、0NU_ID、Data、CRC域,其中:Message_ID表示該PLOAM消息的類型,在G.984.3協議規范中定義了 19種下行PLOAM消息類型,9種上行PLOAM消息類型,可實現ONU的注冊及ID分配、測距、狀態檢測、誤碼率監視等功能,這里OLT與ONU之間可以約定特定的上、下行PLOAM消息類型以實現EAP報文交換。0NU_ID表示該PLOAM消息所對應的目的ONU,ONU ID = 11111111表示是廣播信
息OCRC是該域的校驗字段,如果CRC校驗出錯,就丟棄該消息。根據本發明所提供的實施例,Data域用于表示前述約定PLOAM消息類型下的負荷為EAP數據包,一個EAP數據包結構包括Code, Ident ifier, Length, Data字段,其中:Code字段為I個字節,指明EAP數據包的類型,共有4種=Request (請求)、Response (響應)^Success (成功)、Failure (失敗),其中:Success 和 Failure 類型的 EAP包沒有Data域,相應的Length域的值為4 ;Request和Response類型的EAP包的Data域格式將進一步包括一個EAP Type,以表示EAP的身份認證方法類型,以及一個Type Data,其內容由前述身份認證方法類型決定。例如,EAP Type值為I時代表I dent it y,用來查詢對方的身份;EAP Type值為4時,代表EAP-MD5認證方法,類似于PPP CHAP協議,包含質詢消息,EAP Type值為13時指明為EAP-TLS認證方法。I dentifier字段:用于匹配Request消息和Response消息。Length 字段:EAP 包的長度,其長度包含 Code、Identifier、Length 和 Data 域,由Code類型決定,單位為字節。值得說明的是,鑒于PLOAM消息的長度限制,一個EAP消息在發送端可被分段處理封裝在多個PLOAM消息中,并在接收端重新進行組裝,由于PLOAM消息和EAP消息都沒有消息序列號,但都是請求、應答式協議,因此可以重新組裝。從前述結構圖例可見,通過特定PLOAM消息類型以實現身份認證,可擴展性上比較靈活,可擴展性好,如果系統要支持新增的身份認證協議也不需要再對PLOAM消息進行擴展,OLT與ONU基于前述EAP報文結構即可協商指定雙方都支持的認證方法、甚至密鑰機制。圖3為本發明所提供的GPON系統中ONU激活流程圖例,在GPON相關規范中,OLT和ONU之間協商工作參數、測量OLT和ONU之間的邏輯距離、建立上下行通信通道,ONU的激活過程由OLT控制,其激活過程大致包括三個階段:0NU初始化、序列號獲取、測距。根據本發明所提供的實施例,OLT在ONU激活之前中將對其進行身份認證,認證成功后ONU方可被激活進入工作狀態,OLT為其分配相關資源;對認證失敗的0NU,由于系統不需要為該ONU建立OMCI通道和GEM端口等相關資源,從而可避免不必要的系統資源開銷、也可一定程度上避免OLT受到DoS攻擊,降低系統風險,結合圖例ONU激活流程,包括如下步驟:步驟S301, ONU初始化,ONU通過Upstream_Overhead消息接收工作參數,ONU根據接收到的工作參數調整自己的參數(如:發送光功率);步驟S302,序列號獲取,OLT通過Serial_Number_Acquisition流程發現新ONU的序列號,OLT給所有新ONU分配0NU_ID ; 步驟S303,ONU根據所獲得的0NU_ID進行身份認證,在認證過程中,OLT與ONU之間將基于約定的PLOAM消息類型進行EAP報文交換,ONU可通過其最終獲得的EAP-SUCCESS或EAP-FAILURE消息知道是否通過身份認證,其具體流程圖例可進一步參考以下圖例4的說明。步驟S304,測距,在ONU身份認證通過后,OLT測量該ONU的均衡時延,OLT將測量的均衡時延傳送給0NU,該ONU根據均衡時延調整其上行幀的發送起始點。步驟S305,ONU被激活進入工作狀態,此時,系統局端OLT為其分配好相關資源。以上激活過程是通過交互上下行標記(Flag)以及PLOAM消息來完成的。在前述實施例中,ONU在執行步驟S303的身份認證之后,再啟動步驟S304下的測距操作。由于ONU身份認證安排在測距之前,ONU和OLT之間的認證通信使用靜默窗口的形式。靜默窗口的特性決定了當多個ONU在同一靜默窗口內與OLT進行通信的時候可能會造成沖突、從而存在重發消息而導致認證效率可能會降低,但是在ONU認證成功之前,系統不需要對其進行測距操作,可在一定程度上節約系統資源。根據本發明所提供的另外一種實施例,前述ONU激活過程中,ONU在獲得新的0NU_ID后可首先執行步驟S304下的測距操作,在測距完成之后,各個ONU即可使用各自授權窗口與OLT通信,再啟動步驟S303的身份認證,在認證過程中,OLT與ONU之間將基于約定的PLOAM消息類型進行EAP報文交換,如此,ONU使用各自專用通道與OLT進行通信不會造成不同ONU之間的沖突,認證效率比較高。圖4為本發明所提供的GPON系統中ONU身份認證流程圖例,結合前圖例3中的ONU激活過程,在ONU獲得的其0NU_ID之后,它可發起身份認證,在認證過程中,OLT與ONU之間將基于約定的PLOAM消息類型進行基于EAP方式下的身份認證報文交換,本例中我們以采用EAP-MD5認證方法為例進行說明:S401, ONU向OLT發送EAP-Start,請求進行接入認證,開始認證過程。S402, OLT 向 ONU 發送 EAP-REQUEST-1dentity 要求驗證該 ONU 身份的請求。S403,0NU向OLT發送EAP-RESPONSE-1dentity回應,其中包括該ONU的用戶信息,其用戶信息可以是ONU序列號(Serial Number)、密碼(Password)或其它約定信息,如此可提升認證的靈活性。S404,0LT 向 ONU 發送 EAP-REQUEST-MD5_Challenge 要求驗證密碼的 MD5 校驗值。S405, ONU 向 OLT 發送 EAP-RESP0NSE-MD5_ChalIenge 回應。S406, OLT根據用戶信息及所提供的MD5校驗值,做MD5算法,可通過本地認證處理方式判斷該ONU用戶是否合法,即OLT終結所接收到的EAP報文,根據本地的ONU認證數據庫完成對該ONU的身份認證然后發送EAP-Success或EAP-Failure (成功或失敗)報文到0NU。如果認證成功,OLT則接受ONU注冊,它可在前述EAP-Success報文攜帶協商參數,以及該ONU用戶的相關業務屬性給用戶;如果認證失敗,OLT則拒絕ONU注冊,它可通過前述EAP-Failure報文通知ONU。在前述實施例中,OLT可通過遠程認證處理方式判斷該ONU用戶是否合法,即OLT不終結所接收到的EAP報文,而是執行認證服務器和ONU之間的EAP報文轉發,具體地,它提取來自ONU的PLOAM消息中的EAP報文,將其封裝在一個RADIUS (遠程用戶撥號認證)協議消息或者DIAMETER協議消息中傳遞給遠程認證服務器,即:將前述步驟S403、S405中來自 ONU 的 EAP-RESP0NSE 報文(EAP-RESPONSE/Identity、EAP-Response-MD5-Challege)封裝到一個RADIUS Access-Request (接入請求)報文中發送給遠方的認證服務器;或將來自認證服務器的RADIUS消息或者DIAMETER消息中EAP報文封裝在特定類型的PLOAM消息中傳遞給0NU。如此,由認證服務器來真正實現各種認證方法,OLT只需關心認證結果,進而決定是否接受該ONU注冊并為該ONU分配資源。值得說明的是,EAP是一個認證框架協議,不是一個特殊的認證機制,EAP提供一些公共的功能,并且允許認證雙方協商所希望的EAP認證方法,現在大約有40種不同的認證方法。IETF(Internet工程任務組)的RFC中定義的方法包括:EAP_MD5,EAP-OTP,EAP-GTC, EAP-TLS, EAP-SMjP EAP-AKA,前述實施例中所示意的EAP-MD5認證方法是一個IETF開放標準,提供最少的安全。OLT與ONU之間還可基于前述EAP報文來實現密鑰機制協商,密鑰機制協商可以通過兩種方式完成:1)、通過特定的身份認證方法所規定密鑰交換方式來完成密鑰機制協商,如傳輸層安全協議(EAP-TLS)身份認證方法,它在身份認證的過程中已經支持在數據交換之前進行相互鑒定,并協商加密算法和密鑰。協商結果的密鑰可以作為主控密鑰MK (MasterKey),MK經過一定的變換(例如使用MD5與其他認證雙方交換的一些隨機信息進行處理)將變換得到密鑰作為數據加密密鑰;或者將MK或前述變換后的密鑰作為密鑰加密密鑰KEK (Key Encryption Key),用 KEK 對數據加密密鑰(Data Encryption Key:DEK)進行加密之后再封裝在EAP消息中在認證的雙方間進行交換(密文形式的交換)。2)、在身份認證協議的基礎上也可定義擴展密鑰交換協議,并使用擴展EAP消息來交換密鑰信息,這里不再累述。如此,OLT與ONU之間如果對數據加解密使用現有算法處理,它們可自行協商密鑰機制以支持對上下行的數據加密,OLT和ONU現有的加密和解密功能可被再利用;此外,OLT與ONU之間也可通過密鑰機制協商約定相互支持的上、下行加解密算法及密鑰參數,系統可以使用更強的加密算法,為系統更新為安全性更高的高級加密標準。盡管上述說明為本發明提供了一些實施例,并非用來限定本發明的保護范圍,本領域的技術人員能進一步理解,結合這里公開的實施例所描述的各種說明性的邏輯模塊或步驟可以作為電子硬件、計算機軟件或二者的組合來實現。為了清楚說明硬件和軟件之間的互換性,各種說明性的邏輯模塊或步驟一般按照其功能性進行了闡述。這些功能性究竟作為硬件或軟件來實現取決于整個系統所采用的特定的應用程序和設計。技術人員可以認識到這些情況下硬件和軟件的交互性,以及怎樣最好地實現每個特定應用程序的所述功能。技術人員可能以對于每個特定應用不同的方式來實現所述功能,但這種實現決定不應被解釋為造成背離本發明的范圍。
權利要求
1.一種GPON(千兆無源光網絡)系統中對ONU(光網絡單元)進行身份認證的方法,所述GPON網絡系統包括OLT (光線路終端)及其所連接若干0NU,其特征在于,包括如下步驟: a.約定用于身份認證的PLOAM(物理層操作管理和維護)消息類型; b.0LT與ONU之間根據所述PLOAM消息類型進行基于EAP (擴展認證協議)的身份認證協議報文交換; c.0LT根據所述協議報文交換對ONU進行認證處理。
2.如權利要求1所述的方法,其特征在于所述步驟c中,認證處理被配置在ONU激活之前,OLT根據認證處理結果確定是否接受ONU注冊。
3.如權利要求1所述的方法,其特征在于所述步驟c中,OLT在進行認證處理時,可執行認證服務器和ONU之間的的EAP報文轉發,OLT根據認證服務器的認證處理結果確定是否接受ONU注冊。
4.如權利要求1至3任一權項所述的方法,其特征在于所述步驟b中,OLT與ONU進一步執行基于EAP的身份認證協議下的密鑰機制協商,其中密鑰機制協商過程由EAP報文所封裝的身份認證方法所規定。
5.一種GPON網絡系統的OLT中對ONU進行認證的方法,其特征在于包括如下步驟: al,確定用于身份認證的PLOAM消息類型; bl,通過所述PLOAM消息類型與ONU進行基于EAP的身份認證協議報文交換; Cl,根據所述協議報文交換對ONU進行認證處理。
6.如權利要求5所述的方法,其特征在于所述步驟Cl中認證處理被配置在ONU激活之前,OLT根據認證處理結果確定是否接受ONU注冊。
7.如權利要求5所述的方法,其特征在于所述步驟Cl中,OLT在進行認證處理時,可執行認證服務器和ONU之間的的EAP報文轉發,OLT根據認證服務器的認證處理結果確定是否接受ONU注冊。
8.如權利要求5至7任一權項所述的方法,其特征在于所述步驟bl中,OLT進一步通過所述EAP報文交換與ONU進行密鑰機制協商,其中密鑰機制協商過程由EAP報文所封裝的身份認證方法所規定。
9.如權利要求5至7任一權項所述的方法,其特征在于所述認證處理被配置在對ONU進行測距之前執行,ONU和OLT之間的用于身份認證的PLOAM消息使用靜默窗口形式。
10.如權利要求5至7任一權項所述的方法,其特征在于所述認證處理被配置在ONU測距之后執行。
11.一種GPON網絡系統的ONU中進行身份認證的方法,其特征在于包括如下步驟: a2.確定用于身份認證的PLOAM消息類型; b2.通過所述PLOAM消息類型與OLT進行基于EAP的身份認證協議報文交換; c2.接收來自OLT的認證處理結果。
12.如權利要求10所述的方法,其特征在于所述步驟b2中,ONU通過所述EAP報文交換進一步與OLT進行密鑰機制協商,其中密鑰機制協商過程由EAP所封裝的身份認證方法所規定。
全文摘要
本發明提供了一種GPON網絡系統中對ONU進行身份認證的方法,所述GPON網絡系統包括OLT及其所連接若干ONU,其中,OLT與ONU之間約定用于身份認證的PLOAM消息類型,根據所述PLOAM消息類型進行基于EAP的身份認證協議報文交換;OLT根據所述協議報文交換對ONU進行認證處理,認證處理可被配置在ONU激活之前,OLT根據認證處理結果確定是否接受ONU注冊。使用本發明技術方案下的GPON系統可支持多種類型的身份認證方法,可擴展性強,并可進一步根據所使用的身份認證方法規定的密鑰機制協商來協商加解密算法及密鑰,以對上、下行數據流加密;在ONU認證成功之前,系統不需要為該ONU建立相關資源且系統更加安全。
文檔編號H04L9/08GK103200161SQ201210006479
公開日2013年7月10日 申請日期2012年1月10日 優先權日2012年1月10日
發明者姚亦峰 申請人:上海貝爾股份有限公司