045]本領(lǐng)域技術(shù)人員可以理解����,前述步驟101中的0LT對原始代碼完整性計算也可以安排在步驟104中執(zhí)行�,0LT與0NU之間可對客戶端代碼目標屬性��、計算算法�����、或相關(guān)計算參數(shù)(例如:Key��,Challege值等)進行協(xié)商����,如此可滿足不同配置����、計算能力的0NU需要,0LT在獲取到客戶端0NU的客戶端代碼完整性計算結(jié)果后���,根據(jù)前述協(xié)商約定計算原始代碼的完整性并與所獲得的客戶端0NU報告的代碼完整性計算結(jié)果進行比較��。
[0046]根據(jù)本發(fā)明提供的一優(yōu)選實施例��,Ρ0Ν網(wǎng)絡(luò)系統(tǒng)中對0NU進行代碼完整性檢測可以配置在執(zhí)行0NU認證過程中執(zhí)行���,0LT在完成0NU客戶身份認證后、分配系統(tǒng)資源之前請求客戶端0NU側(cè)進行客戶端代碼完整性計算。0LT�、0NU可根據(jù)認證過程中協(xié)商的會話密鑰���,按規(guī)定的算法衍生代碼完整性計算所需要的Key��,0LT通過0MCI消息設(shè)置客戶端代碼完整性檢測目標���,挑戰(zhàn)值,算法�,0NU根據(jù)協(xié)商的代碼完整性計算所需要的Key,指定的目標和挑戰(zhàn)值和算法�,計算客戶端代碼完整性結(jié)果并將結(jié)果設(shè)置在管理實體中的相應(yīng)對象中,如此�����,0LT可通過0MCI消息獲取0NU客戶端代碼完整性檢測結(jié)果�,根據(jù)協(xié)商的代碼完整性Key,指定的目標和挑戰(zhàn)值和算法���,計算原始代碼完整性結(jié)果并將之與收到的0NU客戶端完整性結(jié)果進行比較����。
[0047]本領(lǐng)域技術(shù)人員可以理解�����,Ρ0Ν網(wǎng)絡(luò)系統(tǒng)中對0NU進行客戶端代碼完整性檢測也可以配置在0NU激活之后的任意時間執(zhí)行,由0LT向0NU發(fā)送0MCI消息啟動代碼完整性檢測��。
[0048]本領(lǐng)域技術(shù)人員可以理解�����,前述對0NU進行客戶端代碼完整性檢測也同樣適用于ΕΡ0Ν網(wǎng)絡(luò)���,目前在ΕΡ0Ν中認證和管理都比較簡單�,可以根據(jù)以上規(guī)定對ΕΡ0Ν的管理協(xié)議進行類似的擴展�����,通過ΕΡ0Ν的管理協(xié)議來完成相應(yīng)參數(shù)的交換就可以實現(xiàn)類似功能��。
[0049]圖2是本發(fā)明所提供的光纖線路終端0LT結(jié)構(gòu)示意圖例��,其包括確定裝置201�����,請求裝置202,獲取裝置203�����,處理裝置204���,其中:
[0050]確定裝置201,用于保存客戶端0NU的原始代碼�,確定裝置原始代碼完整可以通過特定的算法來計算原始代碼完整性,例如二使用SHA或MD5算法�����,輸入為原始代碼�,輸出為對應(yīng)前述原始代碼的完整性計算結(jié)果;或為了使得不同0NU對同一原始代碼的完整性返回不同的代碼��,可以使用SHA/MD5版本的HAMC算法���,0LT和0NU之間協(xié)商的機密信息作為Key�,該Key可以由0NU認證過程中0LT和0NU協(xié)商產(chǎn)生的Masterkey根據(jù)一定的算法衍生得來�����。
[0051]請求裝置202,用于請求0NU側(cè)執(zhí)行客戶端代碼完整性計算�,請求裝置202可通過0LT與0NU之間建立的0MCI通道發(fā)送0MCI消息請求0NU計算其所運行的客戶端代碼完整性。
[0052]優(yōu)選地���,請求裝置202可在請述請求消息中指定0NU進行客戶端代碼完整性計算的客戶端代碼目標屬性配置�、計算算法��、或相關(guān)計算參數(shù)等����,其中,客戶端代碼目標屬性可以設(shè)定要進行完整性檢測的目錄����、文件列表,以及在計算哈希值時目錄和文件的相對順序�;計算算法可以設(shè)定前述基于前述以何種特定的算法來計算原始代碼完整性,例如:SHA算法�、MD5算法或SHA/MD5版本的HAMC算法等;相關(guān)計算參數(shù)設(shè)定對前述客戶端代碼目標屬性進行特定計算所需要的計算參數(shù)���,可以是Key, Challege值等����。
[0053]優(yōu)選地,請求裝置202可在0LT執(zhí)行0NU認證過程中請求0NU側(cè)進行客戶端代碼完整性計算���。
[0054]獲取裝置203�,用于獲取0NU例客戶端代碼完整性計算結(jié)果����,獲取裝置203也可通過0LT與0NU之間建立的0MCI通道查詢0NU中客戶端代碼完整性管理實體ME中的客戶端代碼完整性計算結(jié)果,或接收0NU對前述請求裝置202的客戶端代碼完整性計算請求的相應(yīng)回應(yīng)消息�����。
[0055]處理裝置204��,將所接收的客戶端0NU側(cè)代碼完整性結(jié)果與局端側(cè)原始代碼完整性計算結(jié)果和進行比較�,若一致�����,則確定客戶端代碼完整��,若不一致����,則確定客戶端代碼不完整�。處理裝置204可進一步整觸發(fā)安全事件警告����,進而通過網(wǎng)絡(luò)管理系統(tǒng)對客戶端0NU的代碼進行更新,或釋放與0ΝΤ之間的連接以維護系統(tǒng)的安全性�。
[0056]圖3是本發(fā)明所提供的光網(wǎng)絡(luò)單元結(jié)構(gòu)示意圖例,其包括:接收裝置301���,計算裝置302���,響應(yīng)裝置303,其中:
[0057]接收裝置301����,用于接收來自局端0LT的的客戶端代碼完整性計算請求;該計算請求中可以包括:客戶端代碼目標屬性�、計算算法、或相關(guān)計算參數(shù)�。其中,客戶端代碼目標屬性可以是要進行完整性檢測的目錄�、文件列表,以及在計算哈希值時目錄和文件的相對順序��;計算算法可以是基于前述以何種特定的算法來計算原始代碼完整性�,例如:SHA算法����、MD5算法或SHA/MD5版本的HAMC算法等�;相關(guān)計算參數(shù)可以是對前述客戶端代碼目標屬性進行特定計算所需要的計算參數(shù),可以是Key, Challege值等
[0058]計算裝置302��,根據(jù)所述請求執(zhí)行0NU側(cè)客戶端代碼完整性計算����,它可以使用0NU與0LT之間約定的算法、相關(guān)計算參數(shù)計算其本地客戶端代碼目標屬性的完整性�,例如:SHA或MD5算法,輸入為客戶端0NU當前所運行的特定目標客戶端代碼文件�����,輸出為對應(yīng)前述代碼的完整性計算結(jié)果����;或為了使得本0NU對同一原始代碼的完整性返回不同的代碼��,可以使用HAMC版本的SHA/MD5算法���,0LT和0NU之間協(xié)商的機密信息作為Key�,該Key可以由0NU認證過程中0LT和0NU協(xié)商產(chǎn)生的Masterkey根據(jù)一定的算法衍生得來。計算裝置302所計算所獲得的客戶端代碼完整性計算結(jié)果可保存在特定的管理實體ME中����。
[0059]響應(yīng)裝置303,用于提供客戶端代碼完整性計算結(jié)果��。
[0060]根據(jù)本發(fā)明提供的一優(yōu)選實施例����,接收裝置301、響應(yīng)裝置303基于0MCI消息分別接收來自局端0LT的請求執(zhí)行代碼完整性計算����,或提供客戶端代碼完整性計算結(jié)果,響應(yīng)裝置303可根據(jù)局端0LT的查詢提供其客戶端代碼完整性管理實體ME中的客戶端代碼完整性計算結(jié)果���、或提供前述局端0LT的的客戶端代碼完整性計算請求的相應(yīng)響應(yīng)消息��。
[0061]通過以上的實施方式的描述�,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的硬件平臺的方式來實現(xiàn)����,當然也可以全部通過硬件來實施,但很多情況下前者是更佳的實施方式��。基于這樣的理解�,本發(fā)明的技術(shù)方案對【背景技術(shù)】做出貢獻的全部或者部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計算機軟件產(chǎn)品可以存儲在存儲介質(zhì)中���,如ROM/RAM���、磁碟、光盤等��,包括若干指令用以使得一臺計算機設(shè)備(可以是個人計算機���,服務(wù)器����,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例或者實施例的某些部分所述的方法�。
[0062]以上實施例僅用以說明本發(fā)明的技術(shù)方案而非對其進行限制,盡管參照較佳實施例對本發(fā)明進行了詳細的說明����,本領(lǐng)域的普通技術(shù)人員應(yīng)當理解:其依然可以對本發(fā)明的技術(shù)方案進行修改或者等同替換�����,而這些修改或者等同替換亦不能使修改后的技術(shù)方案脫離本發(fā)明技術(shù)方案的精神和范圍。
【主權(quán)項】
1.一種無源光網(wǎng)絡(luò)PON系統(tǒng)中客戶端代碼完整性檢測方法���,其特征在于包括步驟: 局端光纖線路終端0LT保存客戶端0NU的原始代碼����; 0LT請求0NU側(cè)執(zhí)行客戶端代碼完整性計算�����; 0NU根據(jù)所述請求執(zhí)行客戶端代碼完整性計算��、并保存客戶端代碼完整性計算結(jié)果��; 0LT獲取0NU的客戶端代碼完整性計算結(jié)果與原始代碼完整性計算結(jié)果進行比較���,若一致�����,則確定客戶端代碼完整�,若不一致��,則確定客戶端代碼不完整。2.如權(quán)利要求1所述的方法�����,其特征在于所述0LT在執(zhí)行0NU認證過程中請求0NU側(cè)進行客戶端代碼完整性計算�。3.如權(quán)利要求1所述的方法,其特征在于所述0LT基于0MCI消息請求0NU側(cè)進行客戶端代碼完整性計算���,并獲取客戶端代碼完整性計算結(jié)果�����。4.如權(quán)利要求1所述的方法����,其特征在于0LT在所述請求中進一步包括:客戶端代碼目標屬性���、計算算法�、或相關(guān)計算參數(shù)����。5.如權(quán)利要求1所述的方法,其特征在于0LT確定客戶端代碼不完整觸發(fā)安全事件警生口 ο6.一種光纖線路終端����,其特征在于包括: 確定裝置,用于保存客戶端0NU的原始代碼�����; 請求裝置����,用于請求0NU執(zhí)行客戶端代碼完整性計算; 獲取裝置��,用于獲取0NU的客戶端代碼完整性計算結(jié)果���; 處理裝置���,將所獲取0NU的客戶端代碼完整性計算結(jié)果與原始代碼完整性計算結(jié)果進行比較,若一致�����,則確定客戶端代碼完整����,若不一致,則確定客戶端代碼不完整。7.如權(quán)利要求6所述的光纖線路終端���,其特征在于所述請求裝置在執(zhí)行0NU認證過程中請求0NU進行客戶端代碼完整性計算���。8.如權(quán)利要求6所述的光纖線路終端,其特征在于所述請求裝置和獲取裝置基于0MCI消息請求0NU進行客戶端代碼完整性計算和獲取所述客戶端代碼完整性計算結(jié)果����。9.如權(quán)利要求6所述的光纖線路終端,其特征在于所述處理裝置確定客戶端代碼不完整觸發(fā)安全事件警告�。10.如權(quán)利要求6所述的光纖線路終端,其特征在于所述請求裝置在所述請求包括:客戶端代碼目標屬性����、計算算法、或相關(guān)計算參數(shù)���。11.一種光網(wǎng)絡(luò)單元����,其特征在于包括: 接收裝置�,用于接收來自局端光纖線路終端0LT的客戶端代碼完整性計算請求; 計算裝置�����,根據(jù)所述請求執(zhí)行0NU側(cè)代碼完整性計算; 響應(yīng)裝置�,用于發(fā)送客戶端0NU側(cè)代碼完整性計算結(jié)果��。12.如權(quán)利要求11所述的光網(wǎng)絡(luò)單元���,其特征在于所述接收裝置和響應(yīng)裝置基于0MCI消息接收客戶端代碼完整性計算請求和發(fā)送客戶端代碼完整性計算結(jié)果����。13.如權(quán)利要求11所述的光網(wǎng)絡(luò)單元�����,其特征在于所述客戶端代碼完整性計算請求包括:客戶端代碼目標屬性���、計算算法��、或相關(guān)計算參數(shù)���。14.一種Ρ0Ν網(wǎng)絡(luò)通信系統(tǒng),其特征在于����,包括權(quán)利要求6至10任一項所述的光纖線路終端和權(quán)利要求11至13任一項所述的光網(wǎng)絡(luò)單元��。
【專利摘要】本發(fā)明提供了一種無源光網(wǎng)絡(luò)PON系統(tǒng)中對客戶端代碼完整性檢測方法及裝置�����,其中�����,局端光纖線路終端OLT保存客戶端ONU的原始代碼���,OLT請求ONU側(cè)執(zhí)行客戶端代碼完整性計算,ONU根據(jù)所述請求執(zhí)行客戶端代碼完整性計算�、并保存客戶端代碼完整性計算結(jié)果,OLT獲取的客戶端代碼完整性計算結(jié)果與原始代碼完整性計算結(jié)果進行比較�,若一致,則確定客戶端代碼完整����,若不一致,則確定客戶端代碼不完整�。OLT可以在執(zhí)行ONU認證過程中通過PON網(wǎng)絡(luò)配置傳輸通道對ONU的客戶端代碼完整性進行檢測,該檢測方式安全�、靈活��。
【IPC分類】G06F21/50
【公開號】CN105447380
【申請?zhí)枴緾N201410507670
【發(fā)明人】姚亦峰
【申請人】上海貝爾股份有限公司
【公開日】2016年3月30日
【申請日】2014年9月28日