[发明专利]一种在TWDM-PON系统下的认证密钥协商方法

说明书

本发明涉及一种在TWDM‑PON系统下的认证密钥协商方法，属于光通信网络安全领域，包括步骤S1：由OLT生成系统主密钥和公开参数；S2：根据ONU的唯一身份标识，OLT为ONU生成部分私钥，并把部分私钥发送给ONU，再由ONU生成完整私钥和公钥；S3：OLT发送请求注册信息给ONU，ONU检查OLT发送的签名以验证真实性，获得OLT发送的随机数，并将携带注册值的信息进行签名并加密后发送给OLT；S4：OLT对ONU发送的信息进行解密并检查ONU签名，验证消息完整性和ONU身份,获得随机数和注册值；S5：根据相互传递的随机数和注册值，OLT和ONU各自生成主会话密钥。本发明能抵抗伪装、窃听、重放等攻击方式，保障主会话密钥的安全性。

技术领域

本发明属于光通信网络安全技术领域，涉及一种在TWDM-PON系统下的认证密钥协商方法。

背景技术

无源光网络(Passive Optical Network)以其易于接入，成本低，能提供高性能的数据、语音和视频的三重播放服务能力等优点，成为了目前主流的接入技术。但是，随着高带宽应用和互联网业务的快速增长，以10Gbps为最大的带宽速率的万兆以太网光网络与万兆无源光网络已无法满足未来对带宽及业务质量的需求。2011年5月，全业务接入网论坛发布下一代无源光网络第二阶段(Next Generation PON Stage 2,NG-PON2)的需求白皮书，将NG-PON2作为下一代PON技术的长期演进方案,主要立足于满足用户对高带宽的要求，需要达到至少40Gbps的速率。2012年，FSAN决定将时分波分复用无源光网络(Time andWavelength Division Multiplexed-PON,TWDM-PON)作为NG-PON2的主要研究方案，并开始起草G.989系列标准。TWDM-PON作为下一代无源光网络的有利候选者，采用波分复用和时分复用混合复用模式，结合时分复用高容量，以及波分复用能提供大量波长的优点，通过在不同波长上将波分复用帧传输给多个用户，可以大规模地提升系统的容量和速率。

无源光网络是典型的点到多点结构，光线路终端(Optical Line Terminal,OLT)可与多个光网络单元(Optical Network Units,ONUs)通信，在下行方向，OLT通过广播信道，传输同一数据到ONU，然后ONU选择与自己相关的数据进行接收，其余弃之；在上行方向，ONU独立地发送数据到OLT，然后OLT对ONU的数据进行处理和回应。然而，这种结构将给通信过程带来很大的安全问题。随着TWDM-PON技术的发展，每个OLT可以接入ONU的数量越来越多，在未来甚至可以达到256个，因此，验证OLT和ONU的真实性变得尤为重要。在国际电信联盟发布的G.989.3标准中，提出了三种认证机制，分别是基于注册值Registration_ID的认证机制，基于OMCI的认证机制和基于802.1X的认证机制，其工作位置与TWDM-PON的协议层关系如图1所示。同时，在系统中还增加了以往PON没有的Request_Registration信息和Registration信息用于ONU认证，希望以此解决TWDM-PON中面临的安全威胁，但是，标准中并没有提出详细的认证方法。

总的说来，关于TWDM-PON系统的安全研究目前面临两个问题：其一是为了OLT和ONU之间进行安全通信，在对PON的上下行数据进行加密之前，ONU和OLT还应当进行相互认证，然后双方计算出共同的主会话密钥；其二是目前存在认证方案大部分都只适用于以太网无源光网络系统，没有适用于TWDM-PON系统的详细认证密钥协商方案。

双线性对映射：令G₁和G₂分别为q阶加法循环群和乘法循环群，其中P为G₁中的任一生成元，称G₁和G₂之间的映射为一个双线性映射e:G₁×G₁→G₂。该双线性对映射满足以下条件：

(1)双线性。对于所有满足P,Q,R∈G₁，都有e(P+Q,R)＝e(P,R)e(Q,R)和e(P,Q+R)＝e(P,Q)e(P,R)。