[发明专利]一种在TWDM-PON系统下的认证密钥协商方法

权利要求书

1.一种在TWDM-PON系统下的认证密钥协商方法，其特征在于：在所述TWDM-PON系统中，只存在两类认证实体：一个光线路终端OLT和多个光网络单元ONU，不存在第三方认证中心或私钥生成中心；包括以下步骤：

S1：初始化阶段，由光线路终端OLT生成系统主密钥和公开参数；

S2：注册阶段，根据光网络单元ONU的唯一身份标识，光线路终端OLT为光网络单元ONU生成部分私钥，并把所述部分私钥由安全信道发送给光网络单元ONU，再由光网络单元ONU根据收到的所述部分私钥生成完整私钥和公钥；

S3：双向认证阶段一，光线路终端OLT发送请求注册信息给光网络单元ONU，光网络单元ONU通过检查光线路终端OLT发送的签名以验证光线路终端OLT的真实性，获得光线路终端OLT发送的随机数，并将携带注册值Registration_ID的信息进行签名并加密后发送给光线路终端OLT；

S4：双向认证阶段二，光线路终端OLT对光网络单元ONU发送的信息进行解密并检查光网络单元ONU的签名，验证消息完整性和光网络单元ONU的身份，最后获得生成主会话密钥所需的随机数和注册值；

S5：密钥生成阶段，根据相互传递的随机数和Registration_ID，光线路终端OLT和光网络单元ONU各自生成主会话密钥。

2.根据权利要求1所述的在TWDM-PON系统下的认证密钥协商方法，其特征在于：所述光网络单元ONU的唯一身份标识包括光网络单元ONU的序列号SN，以及光线路终端OLT为光网络单元ONU分配的ONU-ID。

3.根据权利要求1所述的在TWDM-PON系统下的认证密钥协商方法，其特征在于：步骤S3和步骤S4中的进行签名的运算方式包括双线性对运算、哈希运算和标量乘运算，加密、解密运算包括异或运算、哈希运算、标量乘运算和双线性对运算。

4.根据权利要求1所述的在TWDM-PON系统下的认证密钥协商方法，其特征在于：在步骤S5中，生成主会话密钥需要的信息包括：光线路终端OLT自生成的身份信息和光网络单元ONU的唯一身份标识，双方生成的两个随机数及光网络单元ONU传递的注册值；

步骤S5的具体步骤包括：

S51：根据所述随机数和光线路终端OLT公钥计算共享密钥；

S52：根据共享密钥、光线路终端OLT自生成的身份信息、光网络单元ONU的唯一身份标识和注册值，通过散列值运算生成主会话密钥；

其中所述注册值Registration_ID是TWDM-PON系统特有的，生成主会话密钥必须的特殊参数。

5.根据权利要求1所述的在TWDM-PON系统下的认证密钥协商方法，其特征在于：在进行认证和密钥生成过程中，进行信息传递的步骤如下：

在步骤S1所述的初始化阶段：光线路终端OLT通过Serial_Number_Request信息将公开参数广播传递给每个需要进行注册的光网络单元ONU中；

在步骤S2所述的注册阶段：光网络单元ONU通过Serial_Number-ONU信息将光网络单元ONU的序列号Serial_Number发送给认证者光线路终端OLT；

在步骤S2所述的注册阶段：光线路终端OLT通过Assign_ONU-ID信息将为光网络单元ONU分配的ONU-ID发送给该光网络单元ONU；

在步骤S3所述的双向认证阶段一：光线路终端OLT将光线路终端OLT的数据进行签名后，通过Registration_Request信息发送给该光网络单元ONU；

在步骤S3所述的双向认证阶段一：光网络单元ONU将数据进行签名和加密后，通过Registration信息发送给光线路终端OLT；

上述所有的信息都存放在TWDM-PON系统的传输汇聚层下的成帧子层的PLOAM部分中，固定字长为48字节。

6.根据权利要求5所述的在TWDM-PON系统下的认证密钥协商方法，其特征在于：Registration_Request帧和Registration帧均为TWDM-PON的特有帧，是区分TWDM-PON系统和其它PON系统的重要标识。