[发明专利]一种以太网无源光网络(EPON)系统认证方法

权利要求书

1、一种以太网无源光网络(EPON)系统认证方法，其特征在于结合伽罗华域消息认证码(GMAC)实现了EPON系统的认证过程，能够同时支持ONU认证和用户认证，并设计了EPON系统GMAC认证的帧结构，以及ONU认证和用户认证的协议流程。

2、如权利要求1所述的一种以太网无源光网络(EPON)系统认证方法，其特征在于在EPON系统的认证过程中采用了GMAC认证标签。当申请者请求加入网络、申请网络资源或服务时，申请者通过ONU上的GMAC认证模块将认证信息与密钥遵循GMAC算法生成认证标签，并将认证标签与要传送的认证信息一起发送给认证者；认证者在接收到申请者的认证信息后，利用在密钥分配阶段与申请者共享的密钥重新计算认证标签，并与接收到的标签进行比较，如果匹配则说明了认证信息的完整性。认证者发送给申请者的认证信息也采用本方法来保证完整性。同时，密钥是秘密的，仅由参与通信的双方共享，申请者和认证者通过采用本方法也可以验证消息来源的真实性。

3、如权利要求1所述的一种以太网无源光网络(EPON)系统认证方法，其特征在于能够同时支持ONU认证和用户认证，两级认证的作用在于分别认证和授权ONU和用户访问EPON系统的资源和服务，同时用户认证还包括防止非授权用户接入ONU。

4、如权利要求1所述的一种以太网无源光网络(EPON)系统认证方法，其特征在于设计了EPON系统GMAC认证的帧结构，即基于扩展认证协议EAP，在EAPoL数据包中增加一个GMAC认证标签字段。

5、如权利要求1所述的一种以太网无源光网络(EPON)系统认证方法，其特征在于设计了EPON系统ONU认证的协议流程。其中，ONU和OLT上运行具有GMAC功能的认证模块，OLT上还运行Radius客户端模块。设计ONU认证在ONU注册的同时进行，且在该过程中完成密钥分配进而在ONU和OLT之间建立安全连接。其具体认证过程为：

(1)OLT发送注册授权帧Discovery_Gate；

(2)新加入的ONU收到注册授权帧Discovery_Gate后，发送注册请求帧Register_Request，其中，注册请求帧Register_Request的净荷部分携带ONU随机产生的密钥；

(3)OLT收到注册请求帧Register_Request后，安装这个密钥，同时发出EAP_Request请求帧，该帧携带OLT产生的GMAC认证标签；

(4)ONU收到EAP_Request请求帧后，将自己的认证信息通过EAP_Response帧发送给OLT，该帧携带ONU产生的GMAC认证标签；

(5)OLT收到EAP_Response帧后，通过Radius客户端模块将EAPoL帧结构转换成标准的Radius帧结构，并向Radius认证服务器转发EAP_Response消息；

(6)认证成功后，Radius认证服务器向OLT发送EAP_Success消息；

(7)OLT向ONU转发EAP_Success消息，该消息携带OLT产生的GMAC认证标签；

(8)ONU收到EAP_Success消息后，认证成功；

(9)OLT为该ONU分配ONU ID，向该ONU发送注册帧Register，而后再给该ONU发送Gate授权帧；

(10)ONU收到Register帧后，用新的ONU ID覆盖原来的ONU ID，并等待OLT的Gate授权帧以发送注册确认帧Register_ACK；

(11)OLT收到Register_ACK消息后，则认为该ONU刷新ONU ID完成，ONU认证注册成功，否则认证注册失败。

6、如权利要求1所述的一种以太网无源光网络(EPON)系统认证方法，其特征在于设计了EPON系统用户认证的协议流程。设计用户认证在ONU认证后进行，认证服务器独立于OLT实现，并将认证服务器中的用户认证信息备份在OLT的缓存中。其具体认证过程为：

(1)OLT发送Gate授权帧授权ONU带宽；

(2)用户发出EAPoL_Start消息启动用户认证过程，该帧经过ONU的GMAC认证模块后携带认证标签；

(3)OLT收到EAPoL_Start帧后，若不知道用户身份则发出EAP_Request/ID消息，并发送Gate授权帧授权ONU带宽，EAP_Request/ID帧携带OLT的GMAC认证模块产生的认证标签；

(4)ONU收到EAP_Request/ID帧后，将EAP_Request/ID消息通知用户，同时用户发出EAP_Response消息回应ID给OLT，该帧经过ONU的GMAC认证模块后携带认证标签；

(5)OLT收到EAP_Response消息后，通过Radius客户端模块将EAPoL帧结构转换成标准的Radius帧结构，并向Radius认证服务器转发EAP_Response消息；

(6)ID认证成功后，OLT再次发出EAP_Request/Password消息，并发送Gate帧授权ONU带宽，EAP_Request/Password帧携带OLT的GMAC认证模块产生的认证标签；

(7)ONU收到EAP_Request/Password帧后，将EAP_Request/Password消息通知用户，同时用户发出EAP_Response消息回应Password给OLT，该帧经过ONU的GMAC认证模块后携带认证标签；

(8)OLT收到EAP_Response消息后，通过Radius客户端模块将EAPoL帧结构转换成标准的Radius帧结构，并向Radius认证服务器转发EAP_Response消息；

(9)Password认证成功后，OLT发出EAP_Success消息，该消息携带OLT的GMAC认证模块产生的认证标签；反之则发送EAP_Failure消息；

(10)在认证用户ID与Password的过程中，首先查找OLT的缓存，若用户认证信息已暂存在OLT的缓存中，则直接通过认证，免去了与Radius认证服务器通信的环节。