技術領域

本發明涉及通信技術領域，尤其涉及一種吉比特無源光網絡(GPON，Gigabit-Capable?Passive?Optical?Network)中光線路終端(OLT，Optical?Line?Terminal)與光網絡單元(ONU，Optical?Network?Unit)之間實現信息交互安全的方法及系統。

背景技術

GPON技術是無源光網絡(PON)家族中一個重要的技術分支，和其它PON技術類似，GPON也是一種采用點到多點拓撲結構的無源光接入技術。GPON由局側的OLT、用戶側的ONU以及光分配網絡(ODN，Optical?Distributio?Network)組成，通常采用點到多點的網絡結構。ODN由單模光纖、光分路器、光連接器等無源光器件組成，為OLT和ONU之間的物理連接提供光傳輸媒質。

出于對OLT與ONU之間信息交互安全的考慮，ONU接入OLT前，OLT需要對ONU的合法性進行認證。舉例來說，OLT支持基于ONU的序列號(SN，Serial?Number)對ONU的合法性進行驗證的方法，拒絕非法ONU的接入。下面闡述相關技術中ONU的注冊流程，主要包括以下幾個步驟：

步驟101、ONU偵聽OLT發送的下行GPON傳輸匯聚(GTC，GPON?Transmission?Convergence)幀并獲取幀同步。

步驟102、ONU偵聽并獲取OLT周期性發送的上行開銷參數(Upstream_overhead?parameters)消息中的參數配置；或者，ONU偵聽并獲取OLT周期性發送的Upstream_overhead?parameters消息和擴展突發長度(Extended_Burst_Length)消息中的參數配置。

步驟103、未注冊激活的ONU偵聽OLT發送的序列號請求消息(SN_Request)；收到SN_Request后，ONU向OLT發送序列號響應消息(Serial_Number_ONU)，該消息中攜帶有ONU的序列號。

步驟104、OLT收到某個ONU發送的Serial_Number_ONU并獲得相應的序列號后，向該ONU發送分配ONU標識消息(Assign_ONU-ID)，為該ONU分配ONU-ID值，ONU進入測距過程。

步驟105、OLT向該ONU發送測距請求消息(Ranging_Request)，開始對該ONU進行測距。

步驟106、該ONU收到Ranging_Request后，仍然向OLT響應Serial_Number_ONU。

步驟107、OLT收到該ONU發送的Serial_Number_ONU后，計算測距結果即均衡延遲(EqD，Equalization?Delay)，并將測距結果EqD通過測距時間消息(Ranging_Time)發送給該ONU，完成ONU的注冊激活過程。

步驟108、如果OLT不認識ONU的序列號，則通過密碼請求消息(Password_Requst)向ONU請求注冊標識(RegID，Registration?ID)，ONU將自身的RegID通過密碼消息(Password?message)發送給OLT，如果OLT判斷ONU的RegID是合法的，則ONU完成注冊激活過程。

在上述ONU的注冊激活過程中，ONU給OLT發送自身的序列號信息和OLT給ONU分配ONU-ID值時，都是通過物理層操作管理維護(PLOAM，Physical?layer?Operations，Administration?and?Maintenance)通道傳遞的，而現有GPON系統中，PLOAM消息是以明文的形式發送的。

針對下行方向而言，由于下行方向，即由OLT到ONU的方向為天然廣播方式，因此，各個ONU都將收到所有的PLOAM消息，并且根據ONU-ID來獲得屬于自己的PLOAM消息，拋棄發送給其他ONU的PLOAM消息。如果網絡中存在被重新編程的惡意ONU，惡意ONU就會監聽OLT發給其他ONU的PLOAM消息。針對上行方向而言，上行方向傳輸的PLOAM消息存在兩種被非法監聽的威脅。第一種：如果GPON中的光分路器使用的是2:N的分光器，如圖1所示，不法用戶可以通過如圖1所示的B端口監聽所有ONU的上行PLOAM消息；第二種：不法用戶也可以通過比如彎折光纖的方式探測上行信號光，從而監聽上行PLOAM消息。如果惡意ONU監聽到某一個合法ONU的序列號，則它可以在合法ONU掉電后，利用合法ONU的序列號完成自身的注冊激活過程，導致非法ONU可以接入到PON系統中。