WO2022062948A1

WO2022062948A1 - 一种无源光网络中的安全通信方法和装置

Info

Publication number: WO2022062948A1
Application number: PCT/CN2021/118085
Authority: WO
Inventors: 胡永锋; 欧阳文斌; 郑刚
Original assignee: 华为技术有限公司
Priority date: 2020-09-22
Filing date: 2021-09-14
Publication date: 2022-03-31
Also published as: US20230231728A1; CN114302264A

Abstract

一种PON***的安全通信方法。首先，OLT向ONU发送第一消息，第一消息包括第一密钥算法，OLT的证书和OLT的公钥，该第一密钥算法为OLT和ONU都支持的密钥算法。ONU对OLT的证书进行验证，验证通过后，根据第一密钥算法和OLT的公钥确定共享密钥。之后，ONU向OLT发送第二消息，第二消息包括ONU的证书和ONU的公钥。OLT收到第二消息后，对ONU的证书进行验证，验证通过后，根据第一密钥算法和ONU的公钥确定共享密钥；进而，ONU和OLT可以使用该共享密钥对会话或通信的消息和数据进行加密通信。该方法在不引入其它设备或实体的情况下，实现了OLT和ONU的双向认证，不仅提升了***的安全性，降低了运维的难度，还加强了对数据的安全性保护，提升了通信的安全等级。

Description

一种无源光网络中的安全通信方法和装置

本申请要求于2020年9月22日提交中国国家知识产权局、申请号为202011002853.0、申请名称为“一种无源光网络中的安全通信方法和装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及光通信领域，更具体地，涉及一种无源光网络(Passive Optical Network，PON)的安全通信方法和装置。

背景技术

无源光网络(Passive Optical Network，PON)技术是一种点到多点的光纤接入技术。PON***可以包括光线路终端(Optical Line Terminal,OLT)、光分配网络(Optical Distribution Network，ODN)和至少一个光网络单元(Optical Network Unit，ONU)。OLT通过ODN与多个ONU连接。

为了确保通信安全，OLT需要对ONU进行安全认证。目前比较常见的认证方法主要有基于ONU序列号(serial number，SN)的认证，基于ONU媒体接入控制(Media Access Control，MAC)地址的认证，基于口令password的认证等。基于如上这些认证方法，OLT能够认证ONU的合法性。但是，由于如上认证方法中，SN、password等信息都是明文传输的，因此存在泄漏的风险；而且，由于这些方法都是单向认证，ONU无法认证OLT；如果存在仿冒的OLT对ONU进行配置和控制，会对终端用户的业务造成重大影响，存在巨大安全隐患。

因此，亟需一种安全性更高的PON***安全通信方法。

发明内容

本申请提出一种PON***安全通信的方法，及实现该方法的装置和***。

第一方面，本申请提出一种PON***的安全通信方法。首先，OLT向ONU发送第一消息，第一消息包括第一密钥算法，OLT的证书和OLT的公钥，该第一密钥算法为OLT和ONU都支持的密钥算法。ONU对OLT的证书进行验证，验证通过后，根据第一密钥算法和OLT的公钥确定共享密钥。之后，ONU向OLT发送第二消息，第二消息包括ONU的证书和ONU的公钥。OLT收到第二消息后，对ONU的证书进行验证，验证通过后，根据第一密钥算法和ONU的公钥确定共享密钥；需要说明的是，基于第一密钥算法，ONU所确定的共享密钥和OLT所确定的共享密钥是相同的。进而，ONU和OLT可以使用该共享密钥对会话或通信的消息和数据进行加密通信。

通过第一方面中所述的方法，不仅实现了OLT对ONU的认证，ONU还可以对OLT的合法性进行认证，在不引入其它设备或实体的情况下，实现了OLT和ONU的双向认证，提升了***的安全性，降低了运维的难度。而且认证完成后，还协商出了共享密钥，OLT和ONU间的通信通过共享密钥进行加密保护，加强了对数据的安全性保护，提升了通信的安全等级。

在第一方面的一种可能的实现方式中，OLT可以从ONU获取ONU支持的密钥算法。如OLT首先向ONU发送认证请求，ONU向OLT发送包含ONU支持的密钥算法的第三消息，OLT进而根据所述ONU支持的密钥算法和OLT支持的密钥算法，确定第一密钥算法。该实现方式不需要提前在OLT配置ONU支持的密钥算法，降低了运维的成本。

在第一方面的一种可能的实现方式中，第一消息中还包括密钥参数集合，密钥参数集合中包括一个或多个密钥参数。OLT将其使用的密钥参数通过消息传递给ONU，ONU和OLT在计算和生成密钥的过程中，使用相同的参数，保证了ONU和OLT最终计算获得的共享密钥的一致性。

在第一方面的一种可能的实现方式中，OLT将随机数作为OLT的私钥，OLT根据第一密钥算法，第一密钥参数和OLT的私钥确定OLT的公钥，第一密钥参数为密钥参数集合中的一个或多个密钥参数；ONU将随机数作为ONU的私钥，ONU根据第一密钥算法，第一密钥参数和ONU的私钥确定所述ONU的公钥。

在第一方面的一种可能的实现方式中，ONU根据所述第一密钥算法，第二密钥参数，OLT的公钥和ONU的私钥确定共享密钥，第二密钥参数为密钥参数集合中的一个或多个密钥参数；OLT根据第一密钥算法，第二密钥参数，ONU的公钥和OLT的私钥确定共享密钥。

如上所述，OLT和ONU在计算过程中使用相同的密钥算法和密钥参数，OLT和ONU双方不借助安全信道、交换的都是***息，协商出了一个只有彼此才知道的密钥。整个过程不需要第三方设备或网元的参与，也不需要提前协商并建立安全通道，不仅提升了OLT和ONU通信的安全性，相比现有技术，还降低了实施的难度和成本。

在第一方面的一种可能的实现方式中，为进一步提升安全性，OLT还可以使用OLT的证书对应的私钥对第一消息进行数字签名；相应的，ONU使用ONU的证书对应的私钥对第二消息进行数字签名。

在第一方面的一种可能的实现方式中，OLT在收到ONU的注册消息后，向所述ONU发起认证请求。

在第一方面的一种可能的实现方式中，如上OLT和ONU安全认证相关的消息，如第一消息，第二消息，第三消息和认证请求通过光网络终端管理控制接口(optical network terminal management and control interface，OMCI)消息传输。例如，认证消息和第一消息通过OMCI设置SET消息实现；第二消息和第三消息通过OMCI属性值修改(Attribute Value Change，AVC)消息实现。又比如，还可以新增OMCI的消息类型，分别对应第一消息，第二消息，第三消息和认证请求。

第二方面，本申请提出一种PON***设备。该设备包括处理器、存储器和收发器。其中，收发器，用于进行信号和数据的收发；存储器，用于存储程序指令；处理器，用于执行存储器中存储的程序，当所述程序被执行时，该设备执行如第一方面中所述OLT或ONU相关的方法。

第三方面，本申请提供一种PON安全通信***，该PON***包括如上方面所述的OLT和ONU。

第四方面，本申请提供了一种计算机可读存储介质，计算机可读存储介质存储有计算机程序，其中，计算机程序被硬件执行时能够实现上述第一方面中OLT或ONU相关的部分或全部步骤。

附图说明

图1为本申请实施例提供的一种PON***架构示意图；

图2为本申请实施例提供的一种PON***安全通信方法示意图；

图3为本申请实施例提供的另一种PON***安全通信方法示意图；

图4为本申请实施例提供的一种OLT或ONU设备的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。

本申请实施例的技术方案可以应用于各种无源光网络***，例如，下一代PON(next-generation PON，NG-PON)、NG-PON1、NG-PON2、千兆比特PON(gigabit-capable PON，GPON)、10吉比特每秒PON(10 gigabit per second PON，XG-PON)、对称10吉比特无源光网络(10-gigabit-capable symmetric passive optical network，XGS-PON)、以太网PON(Ethernet PON，EPON)、10吉比特每秒EPON(10gigabit per second EPON，10G-EPON)、下一代EPON(next-generation EPON，NG-EPON)、波分复用(wavelength-division multiplexing，WDM)PON、时分波分堆叠复用(time-and wavelength-division multiplexing，TWDM)PON、点对点(point-to-point，P2P)WDM PON(P2P-WDM PON)、异步传输模式PON(asynchronous transfer mode PON，APON)、宽带PON(broadband PON，BPON)，等等，以及25吉比特每秒PON(25gigabit per second PON，25G-PON)、50吉比特每秒PON(50gigabit per second PON，50G-PON)、100吉比特每秒PON(100gigabit per second PON，100G-PON)、25吉比特每秒EPON(25gigabit per second EPON，25G-EPON)、50吉比特每秒EPON(50gigabit per second EPON，50G-EPON)、100吉比特每秒EPON(100 gigabit per second EPON，100G-EPON)，以及其他速率的GPON、EPON等。

图1为适用本发明各个实施例的PON***的架构示意图，如图1所示，PON***100包括至少一个OLT110、至少一个ODN120和多个ONU130。其中，OLT110为PON***100提供网络侧接口，ONU130为PON***100提供用户侧接口，与ODN 120相连。如果ONU 130直接提供用户端口功能，则称为光网络终端(Optical Network Terminal，ONT)。为了便于描述，下文所提到的ONU130统指可以直接提供用户端口功能的ONT和提供用户侧接口的ONU。ODN 120是由光纤和无源分光器件组成的网络，用于连接OLT 110设备和ONU 130设备，用于分发或复用OLT 110和ONU 130之间的数据信号。

在该PON***100中，从OLT 110到ONU 130的方向定义为下行方向，而从ONU 130到OLT 110的方向定义为上行方向。在下行方向，OLT 110采用时分复用(Time Division Multiplexing，TDM)方式将下行数据广播给该OLT 110管理的多个ONU 130，各个ONU 130只接收携带自身标识的数据；而在上行方向，多个ONU 130采用时分多址(Time Division Multiple Access，TDMA)的方式与OLT 110进行通信，每个ONU 130按照OLT 110为其分配的时域资源发送上行数据。采用上述机制，OLT 110发送的下行光信号为连续光信号，而ONU 130发送的上行光信号为突发光信号。

该OLT 110通常位于中心局(Central Office，CO)，可以统一管理至少一个ONU 130，并在ONU 130与上层网络之间传输数据。具体来说，该OLT 110可以充当ONU 130与所述上层网络(比如因特网、公共交换电话网络(Public Switched Telephone Network，PSTN)之间的媒介，将从上层网络接收到的数据转发到ONU 130，以及将从ONU 130接收到的数据转发到该上层网络。该OLT 110的具体结构配置可能会因该PON***100的具体类型而异，比如，在一种实施例中，该OLT 110可以包括发射机和接收机，该发射机用于向ONU 130发送下行连续光信号，该接收机用于接收来自ONU 130的上行突发光信号，其中该下行光信号和上行光信号可以通过该ODN 120进行传输，但本发明实施例不限于此。

该ONU 130可以分布式地设置在用户侧位置(比如用户驻地)。该ONU 130可以为用于与OLT 110和用户进行通信的网络设备，具体而言，该ONU 130可以充当OLT 110与用户之间的媒介，例如，ONU 130可以将从该OLT 110接收到的数据转发到用户，以及将从该用户接收到的数据转发到OLT 110。

该ODN 120可以是一个数据分发网络，可以包括光纤、光耦合器、分光器或其他设备。在一个实施例中，该光纤、光耦合器、分光器或其他设备可以是无源光器件，具体来说，该光纤、光耦合器、分光器或其他设备可以是在OLT 110和ONU 130之间分发数据信号时不需要电源支持的器件。具体地说，以光分路器(Splitter)为例，该光分路器可以通过主干光纤连接到OLT 110，并分别通过多个分支光纤连接到多个ONU 130，从而实现OLT 110和ONU 130之间的点到多点连接。另外，在其他实施例中，该ODN 120还可以包括一个或多个处理设备，例如，光放大器或者中继设备(Relay device)。另外，ODN 120具体可以从OLT 110延伸到多个ONU 130，但也可以配置成其他任何点到多点的结构，本发明实施例不限于此。

PON***中，比较典型的安全威胁是不合法的ONU伪装成合法的ONU进行收发数据，大量占用带宽，浪费网络资源，导致正常用户无法注册；或不合法的ONU通过伪装成一个已注册成功的ONU窃取用户的重要信息。除此之外，OLT是PON***重要的局端设备，ONU设备的控制、管理等操作均由OLT负责，如果攻击者伪装成OLT，对其连接管理的大量ONU进行控制，会对终端用户造成极大的安全威胁。

下面，基于图1所示的PON***100，结合具体的实施例对本申请提出的安全通信的方法和装置进行介绍。

图2所示，为本申请提出的一种安全通信的方法流程图。

210：OLT向ONU发送第一消息，其中包括第一密钥算法，OLT的证书和OLT的公钥。

第一密钥算法可以是预置在OLT上的信息，也可以是OLT根据自身算法能力和ONU的算法能力选择确定的。如，OLT在执行该步骤之前，首先获取ONU支持的算法，如密钥算法，哈希算法，签名算法等一种或多种算法。OLT可以通过多种方式获取ONU支持的算法，如将ONU支持的算法预配置在OLT上，或OLT在该步骤之前向ONU发起认证请求，ONU将其支持的算法发给OLT。OLT根据自身支持的算法和ONU支持的算法，确定第一密钥算法，该第一密钥算法为OLT和ONU都支持的密钥算法。OLT还可以根据配置信息或从ONU获得的信息，确定OLT和ONU都支持的哈希算法和签名算法等。

OLT证书为预置在OLT设备中，或OLT设备提前到证书服务器申请的数字证书；OLT的证书由证书服务器颁发，用于身份验证、数字签名等。需要说明的是，证书对应私钥和公钥，证书中包含证书对应的公钥信息，证书的私钥在持有证书的设备端保存。设备可以使用证书对应的私钥对发送的消息进行签名，接收端使用证书对应的公钥对签名进行验证。

OLT的公钥一般由OLT通过密钥算法计算获得。如，OLT确定第一密钥算法对应的密钥参数(p和g)，并生成一个随机数Ys_a作为OLT的私钥。然后将OLT的私钥Ys_a和密钥参数(p和g)作为输入，根据第一密钥算法计算获得OLT的公钥Yc_a。例如，OLT通过如下公式计算获得公钥Yc_a：

Yc_a＝g^Ys_a mod p

需要说明的是，OLT的公钥和私钥，与OLT的证书对应的公钥和私钥是两套密钥。

另外，OLT还可以在第一消息中发送如下信息中的一种或多种，如OLT所使用的密钥参数的集合，OLT确定的哈希算法和签名算法等。为提高安全性，OLT还可以使用OLT的证书所对应的私钥对第一消息进行数字签名，以确保第一消息的安全性和完整性。需要说明的是， OLT使用确定的ONU和OLT都支持的哈希算法和签名算法对消息进行签名。

220:ONU对OLT的证书验证通过后，根据第一密钥算法和OLT的公钥确定共享密钥。

ONU收到OLT的第一消息，对第一消息中包含的OLT的证书的有效性进行验证，验证的内容包括OLT的证书是否超期，验证OLT的证书的二级证书，验证OLT的证书是否被吊销等一种或多种。如果OLT的证书验证失败，则向OLT返回失败消息。可选的，如果第一消息包含OLT的数字签名，则ONU在验证OLT的证书之前，首先使用OLT的证书中包含的公钥验证OLT的签名信息。如果签名信息验证失败，则向OLT回复失败消息；如果签名信息验证成功，则进一步验证OLT的证书的有效性。需要说明的是，ONU可以根据预配置的签名算法信息，或根据第一消息中携带的签名算法的信息，对OLT的签名信息进行验证。

ONU对OLT的证书验证成功后，根据第一密钥算法和OLT的公钥确定共享密钥。具体的，ONU确定第一密钥算法对应的密钥参数(p和g)，并生成一个随机数Ys_b作为ONU的私钥。然后将ONU的私钥Ys_b和密钥参数(p和g)作为输入，根据第一密钥算法计算获得ONU的公钥Yc_b；然后ONU将密钥参数p，ONU的私钥Ys_b，OLT的公钥Yc_a作为输入，根据第一密钥算法计算获得共享密钥SK。例如，ONU通过如下公式计算获得Yc_b和SK：

Yc_b＝g^Ys_b mod p；

SK＝Yc_a^Ys_b mod p

该共享密钥SK用于对OLT和ONU间通信进行加密和安全性保护。需要说明的是，ONU可以通过多种方式确定第一密钥算法对应的密钥参数(p和g)，如根据预配置的参数，或根据第一消息中携带的OLT使用的密钥参数的集合。

230:ONU向OLT发送第二消息，第二消息包括所述ONU的证书和所述ONU的公钥。

ONU的证书为预置在ONU设备中，或ONU设备提前到证书服务器申请的数字证书；ONU的证书由证书服务器颁发，用于身份验证、数字签名等。与OLT的证书类似，ONU的证书也对应私钥和公钥，且ONU的证书对应的私钥和公钥，和ONU的私钥和公钥是两套密钥。

为提高安全性，ONU还可以使用ONU的证书所对应的私钥对第二消息进行数字签名，以确保第二消息的安全性和完整性。可选的，ONU还可以在第二消息中包含ONU已经确定共享密钥的指示信息。

240：OLT对ONU的证书认证通过后，根据第一密钥算法和ONU的公钥确定共享密钥。

OLT收到ONU的第二消息，对第二消息中包含的ONU的证书的有效性进行验证，验证的内容包括ONU的证书是否超期，验证ONU的证书的二级证书，验证ONU的证书是否被吊销等一种或多种。如果ONU的证书验证失败，则向ONU返回失败消息。可选的，如果第一消息包含ONU的数字签名，则OLT在验证ONU的证书之前，首先使用ONU的证书中包含的公钥验证ONU的签名信息。如果签名信息验证失败，则向ONU回复失败消息；如果签名信息验证成功，则进一步验证ONU的证书的有效性。

OLT对ONU的证书验证成功后，根据第一密钥算法和ONU的公钥确定共享密钥。具体的，ONU将密钥参数p，OLT的私钥Ys_a，ONU的公钥Yc_b作为输入，根据第一密钥算法计算获得共享密钥SK。例如，OLT通过如下公式计算获得SK：

SK＝Yc_b^Ys_a mod p

基于模运算的定理(a^b mod P＝(a mod P)^b mod P)可以证明，OLT和ONU可以通过如上方法计算获得相同的共享密钥。

Yc_b^Ys_a mod p

＝(g^Ys_b mod p)^Ys_a mod p

＝(g^Ys_b^Ys_a)mod p

＝(g^Ys_a mod p)^Ys_b mod p

＝Yc_a^Ys_b mod p

可选的，OLT在确定共享密钥后，还可以向ONU发送消息，消息名称或消息内容用于指示OLT已经确定共享密钥。

250、ONU和OLT使用共享密钥双方之间的通信进行加密和解密。

可见，图2所示的方法中，不仅实现了OLT对ONU的认证，ONU还可以对OLT的合法性进行认证，在没有引入其它设备或实体的情况下，实现了OLT和ONU的双向认证，提升了***的安全性，降低了运维的难度。而且认证完成后，还协商出了共享密钥，OLT和ONU间的通信通过共享密钥进行加密保护，加强了对数据的安全性保护，提升了通信的安全等级。

基于图2所示的方法构思，图3给出了一种在GPON***中基于光网络单元管理控制接口实现该方法的示例。光网络单元管理控制接口(ONU Management and Control Interface，OMCI)是GPON标准中定义的一种OLT与ONT之间信息交互的协议，用于在GPON网络中OLT对ONT的管理，包括配置管理、故障管理、性能管理和安全管理等。

301：OLT向ONU发送启动认证的请求。OLT可以在收到ONU的注册消息，并完成ONU的测距后发送该消息。该消息具体可以由OMCI协议的设置SET消息来实现，SET消息中携带OMCI属性“启动证书双向认证”。

302：ONU收到OLT发送的认证请求后，向OLT发送ONU握手消息。该消息具体可以由OMCI的属性值修改AVC消息来实现，即AVC消息中携带OMCI属性“ONU握手”；ONU握手具体包括ONU支持的算法，如密钥算法(如DH)，签名算法(如RSA)，哈希算法(如SHA256)等。

310：该消息对应图2所示的210消息。具体的，可以由OMCI协议的设置SET消息来实现，SET消息中携带OMCI属性“OLT握手”，“OLT认证”和“OLT密钥交换”。其中，“OLT握手”中包括OLT确定的第一密钥算法；“OLT认证”包括OLT的证书；“OLT密钥交换”包括OLT的公钥。

320：该步骤参见图2所示的220步骤，此处不再赘述。

330：该消息对应图2所示的230消息。具体的，可以由OMCI协议的属性值修改AVC消息来实现，AVC消息中携带OMCI属性“ONU认证”和“ONU密钥交换”。其中“ONU认证”包括ONU的证书，“ONU密钥交换”包括ONU的公钥。

340：该步骤参见图2所示的240步骤，此处不再赘述。

350：该步骤参见图2所示的250步骤，此处不再赘述。

还需要说明的是，OMCI协议中将OLT管理ONT的各种资源和业务抽象成协议独立管理信息库(protocol-independent Management Information Base)，管理信息库的基本信息单元是管理实体(manage entity)，ONT在OLT的控制下实现各个ME的配置管理功能。因此，本实施例针新增一种OMCI实体类型“认证安全实体”，图3中认证和密钥协商相关的OMCI消息中携带此“认证安全实体”和相应的OMCI属性。在另一种实施例中，还可以通过新增OMCI消息类型的方式实现如图2所示的方法流程，如新增“ONU认证”，“ONU密钥交换”，“OLT握手”，“OLT认证”和“OLT密钥交换”等消息类型。

本申请还提供一种设备400。设备400具体可以用于实现本申请实施例中OLT 110或ONU130的功能。如图4所示，该设备包括处理器401、存储器402和收发器403，该处理器 401、存储器402和收发器403通过线路相互连接。

处理器401可以采用通用的中央处理器(Central Processing Unit，CPU)，微处理器，应用专用集成电路ASIC，或者至少一个集成电路，用于执行相关程序，以实现本发明实施例所提供的技术方案。处理器可以独立具备PON相关协议媒体访问控制(medium access control，MAC)的功能，也可以通过外置的芯片来实现PON协议MAC功能，以实现和OLT110和ONU 103间的通信。设备400可以包括多个处理器，每个处理器可以包括一个或多个CPU。处理器401具体负责执行本申请中OLT 110或ONU130相关的方法，并通过收发器403与OLT110或ONU130通信。

存储器402用于存储程序指令和数据。存储器可以是只读存储器(Read Only Memory，ROM)，静态存储设备，动态存储设备或者随机存取存储器(Random Access Memory，RAM)。在通过软件或者固件来实现本发明实施例提供的技术方案时，用于实现本发明实施例提供的技术方案的程序代码保存在存储器402中，并由处理器401来执行。存储器402还可以用来存储记录本申请实施例中所述的算法、参数和密钥等信息。

在一实施例中，处理器401内部可以包括存储器402。在另一实施例中，处理器401和存储器402是两个独立的结构。

收发器403用于执行上述各实施例中收发信号或数据的操作。收发器803包括光发射器和/或光接收器。光发射器可以用于发送光信号，光接收器可以用于接收光信号。光发射器可以通过发光器件，例如气体激光器、固体激光器、液体激光器、半导体激光器、直调激光器等实现。光接收器可以通过光检测器，例如光电检波器或者光电二极管(如雪崩二极管)等实现。收发器403还可以包括数模转换器和模数转换器。收发器403还可以包括波分复用器，用于实现不同波长光信号的复用和解复用。

本发明实施例同样具有上述各个方法实施例中所描述的各种有益效果，在此不再赘述。

本发明还提供一种PON安全通信***，该***包括上述所述的光线路终端OLT 110和一个或多个光网络单元ONU 130。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。

Claims

一种安全通信方法，其特征在于，包括：

OLT向ONU发送第一消息，所述第一消息包括第一密钥算法，所述OLT的证书和所述OLT的公钥，所述第一密钥算法为所述OLT和所述ONU都支持的密钥算法；

所述ONU对所述OLT的证书验证通过后，根据所述第一密钥算法和所述OLT的公钥确定共享密钥；

所述ONU向所述OLT发送第二消息，所述第二消息包括所述ONU的证书和所述ONU的公钥；

所述OLT对所述ONU的证书验证通过后，根据所述第一密钥算法和所述ONU的公钥确定所述共享密钥；

所述ONU和所述OLT使用所述共享密钥对所述ONU和所述OLT间的通信进行加密。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述ONU接收所述OLT发送的认证请求；

所述ONU向所述OLT发送第三消息，所述第三消息包括所述ONU支持的密钥算法；

所述OLT根据所述ONU支持的密钥算法和所述OLT支持的密钥算法，确定第一密钥算法。
根据权利要求1或2所述的方法，其特征在于，所述第一消息中还包括密钥参数集合，所述密钥参数集合中包括一个或多个密钥参数。
根据权利要求3所述的方法，其特征在于，所述方法还包括：

所述OLT将随机数作为所述OLT的私钥，所述OLT根据所述第一密钥算法，第一密钥参数和所述OLT的私钥确定所述OLT的公钥，所述第一密钥参数为所述密钥参数集合中的一个或多个密钥参数；

所述ONU将随机数作为所述ONU的私钥，所述ONU根据所述第一密钥算法，所述第一密钥参数和所述ONU的私钥确定所述ONU的公钥。
根据权利要求3所述的方法，其特征在于，

所述ONU根据所述第一密钥算法和所述OLT的公钥确定共享密钥，具体包括：

所述ONU根据所述第一密钥算法，第二密钥参数，所述OLT的公钥和所述ONU的私钥确定所述共享密钥，所述第二密钥参数为所述密钥参数集合中的一个或多个密钥参数；

所述OLT根据所述第一密钥算法和所述ONU的公钥确定共享密钥，具体包括：

所述OLT根据所述第一密钥算法，所述第二密钥参数，所述ONU的公钥和所述OLT的私钥确定所述共享密钥。
根据权利要求1-5任一所述的方法，其特征在于，所述OLT使用所述OLT的证书对应的私钥对所述第一消息进行数字签名；所述ONU使用所述ONU的证书对应的私钥对所述第二消息进行数字签名。
根据权利要求1-6任一所述的方法，其特征在于，所述OLT在收到所述ONU的注册消息后，向所述ONU发送所述第一消息。
根据权利要求2所述的方法，其特征在于，所述第一消息，第二消息，第三消息和认证请求通过光网络终端管理控制接口(optical network terminal management and control interface，OMCI)消息传输。
根据权利要求8所述的方法，其特征在于，所述认证消息和所述第一消息为OMCI设置SET消息；所述第二消息和所述第三消息为OMCI属性值修改(Attribute Value Change，AVC)消息。
根据权利要求8所述的方法，其特征在于，所述第一消息，第二消息，第三消息和认证请求分别对应OMCI不同的消息类型。
根据权利要求8所述的方法，其特征在于，用于传递所述第一消息，第二消息，第三消息，和认证请求的OMCI消息中还包括安全认证管理实体的标识。
根据权利要求1-11所述的方法，其特征在于，所述第二消息中还包括用于指示已经生成共享密钥的指示信息；所述OLT确定所述共享密钥后，所述OLT还向所述ONU发送指示信息，指示已经生成共享密钥。
一种安全通信方法，其特征在于，包括：

OLT向ONU发送第一消息，所述第一消息包括第一密钥算法，所述OLT的证书和所述OLT的公钥，所述第一密钥算法为所述OLT和所述ONU都支持的密钥算法；

所述OLT接收来自所述ONU的第二消息，所述第二消息包括所述ONU的证书和所述ONU的公钥；

所述OLT对所述ONU的证书验证通过后，根据所述第一密钥算法和所述ONU的公钥确定共享密钥，所述共享密钥用于对所述OLT和所述ONU间的会话进行加密。
根据权利要求13所述的方法，其特征在于，所述OLT发送第一消息之前，所述方法还包括：

所述OLT向所述ONU发送认证请求；

所述OLT接收所述ONU发送的第三消息，所述第三消息包括所述ONU支持的密钥算法；

所述OLT根据所述ONU支持的密钥算法和所述OLT支持的密钥算法，确定第一密钥算法。
根据权利要求13或14所述的方法，其特征在于，所述第一消息中还包括密钥参数集合，所述密钥参数集合中包括一个或多个密钥参数。
根据权利要求13所述的方法，其特征在于，所述方法还包括：

所述OLT将随机数作为所述OLT的私钥，所述OLT根据所述第一密钥算法，第一密钥参数和所述OLT的私钥确定所述OLT的公钥，所述第一密钥参数为所述密钥参数集合中的一个或多个密钥参数。
根据权利要求13所述的方法，其特征在于，所述OLT根据所述第一密钥算法和所述ONU的公钥确定共享密钥，具体包括：

所述OLT根据所述第一密钥算法，第二密钥参数，所述ONU的公钥和所述OLT的私钥确定所述共享密钥，所述第二密钥参数为所述密钥参数集合中的一个或多个密钥参数。
根据权利要求13-17任一所述的方法，其特征在于，所述OLT使用所述OLT的证书对应的私钥对所述第一消息进行数字签名。
根据权利要求13-18任一所述的方法，其特征在于，所述OLT在收到所述ONU的注册消息后，向所述ONU发送所述第一消息。
根据权利要求14所述的方法，其特征在于，所述第一消息，第二消息，第三消息和认证请求通过光网络终端管理控制接口(optical network terminal management and control interface，OMCI)消息传输。
根据权利要求20所述的方法，其特征在于，所述认证消息和所述第一消息为OMCI设置SET消息；所述第二消息和所述第三消息为OMCI属性值修改(Attribute Value Change， AVC)消息。
根据权利要求20所述的方法，其特征在于，所述第一消息，第二消息，第三消息和认证请求分别对应OMCI不同的消息类型。
根据权利要求20所述的方法，其特征在于，用于传递所述第一消息，第二消息，第三消息，和认证请求的OMCI消息中还包括安全认证管理实体的标识。
根据权利要求13-23所述的方法，其特征在于，所述第二消息中还包括用于指示已经生成共享密钥的指示信息；所述OLT确定所述共享密钥后，所述OLT还向所述ONU发送指示信息，指示已经生成共享密钥。
一种安全通信方法，其特征在于，包括：

ONU接收OLT发送的第一消息，所述第一消息包括第一密钥算法，所述OLT的证书和所述OLT的公钥，所述第一密钥算法为所述OLT和所述ONU都支持的密钥算法；

所述ONU对所述OLT的证书验证通过后，根据所述第一密钥算法和所述OLT的公钥确定共享密钥，所述共享密钥用于对所述OLT和所述ONU间的会话进行加密；

所述ONU向所述OLT发送第二消息，所述第二消息包括所述ONU的证书和所述ONU的公钥，所述ONU的公钥用于使OLT确定所述共享密钥。
根据权利要求25所述的方法，其特征在于，所述方法还包括：

所述ONU接收所述OLT发送的认证请求；

所述ONU向所述OLT发送第三消息，所述第三消息包括所述ONU支持的密钥算法。
根据权利要求25或26所述的方法，其特征在于，所述第一消息中还包括密钥参数集合，所述密钥参数集合中包括一个或多个密钥参数。
根据权利要求27所述的方法，其特征在于，所述方法还包括：

所述ONU将随机数作为所述ONU的私钥，所述ONU根据所述第一密钥算法，所述第一密钥参数和所述ONU的私钥确定所述ONU的公钥。
根据权利要求27所述的方法，其特征在于，

所述ONU根据所述第一密钥算法和所述OLT的公钥确定共享密钥，具体包括：

所述ONU根据所述第一密钥算法，第二密钥参数，所述OLT的公钥和所述ONU的私钥确定所述共享密钥，所述第二密钥参数为所述密钥参数集合中的一个或多个密钥参数。
根据权利要求25-29任一所述的方法，其特征在于，所述ONU使用所述ONU的证书对应的私钥对所述第二消息进行数字签名。
根据权利要求25-30任一所述的方法，其特征在于，所述ONU向所述OLT发送注册消息后，收到所述第一消息。
根据权利要求26所述的方法，其特征在于，所述第一消息，第二消息，第三消息和认证请求通过光网络终端管理控制接口(optical network terminal management and control interface，OMCI)消息传输。
根据权利要求32所述的方法，其特征在于，所述认证消息和所述第一消息为OMCI设置SET消息；所述第二消息和所述第三消息为OMCI属性值修改(Attribute Value Change，AVC)消息。
根据权利要求32所述的方法，其特征在于，所述第一消息，第二消息，第三消息和认证请求分别对应OMCI不同的消息类型。
根据权利要求32所述的方法，其特征在于，用于传递所述第一消息，第二消息，第三消息，和认证请求的OMCI消息中还包括安全认证管理实体的标识。
根据权利要求25-35所述的方法，其特征在于，所述第二消息中还包括用于指示已经生成共享密钥的指示信息。
一种光线路终端，其特征在于，所述光线路终端包括处理器、存储器、和收发器，其中，

所述收发器，用于进行信号或数据的收发；

所述存储器，用于存储程序指令；

所述处理器，用于执行所述存储器中存储的程序指令，当所述程序被执行时，所述光线路终端执行如权利要求13-24中任意一项所述的方法。
一种光网络单元，其特征在于，所述光网络单元包括处理器、存储器、和收发器，其中，

所述收发器，用于进行信号或数据的收发；

所述存储器，用于存储程序指令；

所述处理器，用于执行所述存储器中存储的程序指令，当所述程序被执行时，所述光网络单元执行如权利要求25-36中任意一项所述的方法。
一种PON安全通信***，其特征在于，所述PON安全通信***包括如权利要求37所述的光线路终端和如权利要求38所述的光网络单元。