EPON 上行e 家終端邏輯標(biāo)識認(rèn)證要求的開發(fā)2009.9.15一、e 家終端技術(shù)規(guī)范的相關(guān)要求1.1.1 設(shè)備注冊認(rèn)證功能對于EPON 上行的e 家終端，必須支持向OLT 進(jìn)行設(shè)備注冊，注冊流程參見

EPON 上行e 家終端邏輯標(biāo)識認(rèn)證要求的開發(fā)

2009.9.15

一、e 家終端技術(shù)規(guī)范的相關(guān)要求

1.1.1 設(shè)備注冊認(rèn)證功能

對于EPON 上行的e 家終端，必須支持向OLT 進(jìn)行設(shè)備注冊，注冊流程參見《中國電信EPON 設(shè)備技術(shù)要求》，EPON 上行e 家終端在采用了基于邏輯標(biāo)識的認(rèn)證方式向OLT 注冊時，在首次OLT 注冊認(rèn)證成功并連接到ITMS 后需自動觸發(fā)基于邏輯ID 設(shè)備首次認(rèn)證流程。

a) ONU 邏輯標(biāo)識的配置（僅針對EPON 上行e 家終端，電信維護(hù)人員和e 家終端用戶都具有該操作權(quán)限）

對EPON 上行e 家終端，必須支持ONU 邏輯標(biāo)識（LOID Password，具體要求參見《中國電信EPON 設(shè)備技術(shù)要求》）設(shè)置，并將LOID 、Password 的值分別賦給ITMS 管理參數(shù)InternetGatewayDevice.X_CT-COM_UserInfo.UserName和InternetGateway-Device.X_CT-COM_UserInfo.UserId。

本地恢復(fù)出廠設(shè)置時，e 家終端（e8）必須具備保留關(guān)鍵參數(shù)能力，各參數(shù)值以最后保存配置的為準(zhǔn)，恢復(fù)出廠設(shè)置后第一次Inform 上報不發(fā)”0 boot”。關(guān)鍵參數(shù)包括：

— ITMS URL

— e 家終端（e8）和ITMS 間雙向Digest 認(rèn)證用戶名/密碼信息，

— 電信維護(hù)帳號的用戶名/密碼

— TR069 使用的WAN 連接及綁定關(guān)系（包含PVC/VLAN、綁定、路由等設(shè)置）

— 其他W AN 連接相關(guān)配置（包含PVC/VLAN、LAN/WLAN綁定關(guān)系、橋接/路由等設(shè)置、PPPoE 用戶名/密碼）

— 接入用戶數(shù)相關(guān)參數(shù)

— SSID －2～SSID －4相關(guān)參數(shù)

— SIP PROXY域名、IP 地址、端口號、用戶帳號、密碼（適用于e 家終端e8-C 形態(tài)）

— 端口映射相關(guān)參數(shù)

— 設(shè)備認(rèn)證狀態(tài)（InternetGatewayDevice. X_CT-COM_ UserInfo.Times 、InternetGatewayDevice. X_CT-COM_ UserInfo.Limit 、InternetGateway-Device. X_CT-COM_ UserInfo.Status、InternetGatewayDevice. X_CT-COM_ UserInfo.Result ）

— ONU 邏輯標(biāo)識（僅針對EPON 上行e 家終端）

遠(yuǎn)程恢復(fù)出廠設(shè)置必須具備保留關(guān)鍵參數(shù)能力（各關(guān)鍵參數(shù)值以最后保存配置的為準(zhǔn)），其余配置必須恢復(fù)成出廠預(yù)配置，關(guān)鍵參數(shù)包括：

— ONU 邏輯標(biāo)識（僅針對EPON 上行e 家終端）

遠(yuǎn)程恢復(fù)出廠設(shè)置后e 家終端（e8）第一次Inform 上報必須發(fā)”0 boot”。

二、GUI 的相關(guān)要求

三、附參考資料：《中國電信EPON 設(shè)備技術(shù)要求》的相關(guān)內(nèi)容

1.2 ONU 認(rèn)證功能

EPON 系統(tǒng)應(yīng)支持三種ONU 認(rèn)證方式：

1） 基于物理標(biāo)識的認(rèn)證：采用ONU 的物理標(biāo)識（在EPON 系統(tǒng)中，物理標(biāo)識為ONU

的MAC 地址）作為認(rèn)證標(biāo)識的認(rèn)證方法，具體實現(xiàn)見11.4.1節(jié)；

2） 基于邏輯標(biāo)識的認(rèn)證：采用ONU 的邏輯標(biāo)識作為認(rèn)證標(biāo)識的認(rèn)證方法，邏輯標(biāo)識采

用LOID Password。具體實現(xiàn)見11.4.2節(jié)；

3） 混合模式：這種模式下可以實現(xiàn)基于物理地址進(jìn)行認(rèn)證的ONU 和基于邏輯標(biāo)識的

ONU 認(rèn)證方式的兼容，OLT 針對不同的ONU 采用上述兩種認(rèn)證方式中的一種。這種模式下，OLT 先基于ONU 的MAC 地址進(jìn)行認(rèn)證，在認(rèn)證不通過時，OLT 會發(fā)起對該ONU 的基于邏輯標(biāo)識的認(rèn)證，具體實現(xiàn)見11.4.3節(jié)。

在EPON 系統(tǒng)中，對每個ONU 的具體認(rèn)證模式由OLT 選擇并發(fā)起相應(yīng)的認(rèn)證。OLT 的ONU 認(rèn)證模式應(yīng)可配置。缺省情況下，OLT 以混合模式對其下面的ONU 進(jìn)行認(rèn)證。

OLT 應(yīng)支持PON 接口與ONU 之間的綁定功能，即特定物理標(biāo)識或者邏輯標(biāo)識的ONU 只能在特定的PON 口上注冊。 1.2.1 基于MAC 地址的認(rèn)證

OLT 應(yīng)支持基于ONU 的MAC 地址對ONU 合法性進(jìn)行認(rèn)證的能力，應(yīng)拒絕非法ONU 的接入。OLT 應(yīng)支持對該功能的開啟和關(guān)閉配置。對于已被拒絕注冊的ONU ，應(yīng)采用11.5節(jié)規(guī)定的靜默機制。

1.2.2 基于邏輯標(biāo)識的ONU 認(rèn)證

在EPON 系統(tǒng)中，為實現(xiàn)靈活的、便于維護(hù)的ONU 認(rèn)證方法，本規(guī)范定義了一種基于邏輯標(biāo)識的ONU 認(rèn)證方法，邏輯標(biāo)識包括LOID （LOID ――Logical ONU ID ）和Password 兩部分，其中Password 用戶對LOID 的校驗。對于已被拒絕注冊的ONU ，應(yīng)采用11.5節(jié)規(guī)定的靜默機制。

OLT 及網(wǎng)管系統(tǒng)應(yīng)支持基于邏輯標(biāo)識的ONU 認(rèn)證時有二種處理方式：僅判斷LOID 、同時判斷LOID Password，并且可靈活配置。

ONU 應(yīng)能本地保存邏輯標(biāo)識（LOID 和password ），當(dāng)ONU 恢復(fù)出廠配置后，ONU 不會刪除該邏輯標(biāo)識信息。

1.2.2.1 基于邏輯標(biāo)識的ONU 認(rèn)證流程

在基于邏輯標(biāo)識的ONU 認(rèn)證系統(tǒng)中，ONU 上存儲著用于認(rèn)證的邏輯標(biāo)識LOID Password，其主機（Host ）執(zhí)行Supplicant 功能，向OLT 上報其LOID 和Password 。OLT 執(zhí)行Authenticator 功能。在OLT 主機或者EMS 服務(wù)器中存儲所有ONU 的邏輯標(biāo)識（即LOID 和Password ）。OLT 發(fā)起對ONU 的認(rèn)證并對ONU 上報的LOID 和Password 進(jìn)行校驗，然后根據(jù)校驗的結(jié)果控制ONU 的接入。

在基于邏輯標(biāo)識的ONU 認(rèn)證系統(tǒng)中，ONU 的認(rèn)證狀態(tài)決定了ONU 是否能接入網(wǎng)絡(luò)，在啟用基于邏輯標(biāo)識的ONU 認(rèn)證時ONU 的初始認(rèn)證狀態(tài)一般為非授權(quán)（unauthorized ）狀態(tài)，在該狀態(tài)下，除MPCP 報文、OAM 發(fā)現(xiàn)與攪動密鑰更新以及ONU 基本信息查詢OAM 報文、ONU 認(rèn)證報文外OLT 不允許來自該ONU 的任何數(shù)據(jù)輸入、輸出通訊（OLT 對接受到的來自該ONU 的數(shù)據(jù)報文進(jìn)行丟棄處理）。當(dāng)ONU 通過基于邏輯標(biāo)識的ONU 認(rèn)證后，則該ONU 的認(rèn)證狀態(tài)切換到授權(quán)狀態(tài)（authorized ），在該狀態(tài)下OLT 允許ONU 進(jìn)行正常通訊。

基于邏輯標(biāo)識的ONU 認(rèn)證流程如圖32（a ）和32（b ）（分別為認(rèn)證成功和失敗的情況）所示。

一般情況下，OLT 通過向ONU 發(fā)送Auth_Request消息發(fā)起對ONU 的認(rèn)證。ONU 收到該消息后向OLT 發(fā)送Auth_Response消息，該消息包含其邏輯標(biāo)識（LOID 和Password ）。OLT 對該ONU 的邏輯標(biāo)識的合法性和正確性進(jìn)行驗證。如果驗證通過，則向ONU 發(fā)送Auth_Sucess消息并將該ONU 的認(rèn)證狀態(tài)切換為“授權(quán)（authorized ）”狀態(tài)。如果ONU 認(rèn)證失敗，則OLT 向ONU 發(fā)送Auth_Failure消息，并保持該ONU 處于unauthorized 狀態(tài)，然后向ONU 發(fā)送Register 消息（Flag ＝0x02：Deregister ）使ONU 解注冊。ONU 收到Auth_Failure消息后通過OAMPDU.indication 原語通知高層。ONU 在收到Deregister 消息后應(yīng)通過MACI(REGISTER，status ?deregistered) 通知高層并轉(zhuǎn)移到Wait 狀態(tài)。在ONU 高層在收到該消息后，將啟動一個定時器RegTmr ，該定時器表示啟動下一次注冊過程的時延Ts 。在定時器RegTmr 未超時之前，ONU 高層不會發(fā)出MACR (DA, REGISTER_REQ, STATUS<= REIGSTER) 命令；Ts 的值暫定為60s ；在ONU 高層未發(fā)出MACR (DA, REGISTER_REQ, STATUS<= REIGSTER) 命令之前，ONU 保持在WAIT 狀態(tài)。當(dāng)定時器RegTmr 超時后，ONU 高層將發(fā)出MACR (DA, REGISTER_REQ, STATUS<= REIGSTER)命令，ONU 將從WAIT 狀態(tài)轉(zhuǎn)移到REGISTERING 狀態(tài)，并等待OLT 發(fā)出的DISCOVERY GATE 消息。當(dāng)下一個發(fā)現(xiàn)窗口打開時，ONU 將發(fā)送REGISTER_REQ消息以實現(xiàn)MPCP 注冊。當(dāng)MPCP 完成后進(jìn)行OAM 發(fā)現(xiàn)并隨后進(jìn)行基于邏輯標(biāo)識的ONU 認(rèn)證過程。

Supplicant

(ONU)Authenticator (OLT)

圖 32（a ）基于邏輯標(biāo)識的ONU 認(rèn)證的流程（認(rèn)證成功）

Supplicant

(ONU)Authenticator (OLT)

圖32（b ） 基于邏輯標(biāo)識的ONU 認(rèn)證的流程（認(rèn)證失敗）

當(dāng)ONU 的邏輯標(biāo)識中的任何一個字段被修改或者通過ONU 本地管理界面配置其“重啟動基于邏輯標(biāo)識的ONU 認(rèn)證”后，ONU 軟件重啟動后ONU 重新認(rèn)證。此后的過程與OLT 發(fā)起的認(rèn)證過程相同，如圖33所示。

Supplicant

(ONU)

Authenticator (OLT)

圖33 ONU發(fā)起基于邏輯標(biāo)識的ONU 認(rèn)證的流程

OLT 和ONU 之間通過本標(biāo)準(zhǔn)定義的基于擴展OAM 的ONU 認(rèn)證消息進(jìn)行通訊。本規(guī)范僅規(guī)定OLT 和ONU 之間的認(rèn)證協(xié)議，對于OLT 與OLT 主機或網(wǎng)管服務(wù)器之間進(jìn)行ONU Password校驗的通訊協(xié)議不在本標(biāo)準(zhǔn)范圍內(nèi)。

如果出現(xiàn)兩個ONU 認(rèn)證時使用的LOID 和Password 沖突，則先通過認(rèn)證的ONU 正常使用，后發(fā)起認(rèn)證的ONU 被拒絕，發(fā)送認(rèn)證失敗Auth_Failure消息，且Failure_Type＝0x03，同時，OLT 應(yīng)向網(wǎng)管上報告警。

此外，對于基于邏輯標(biāo)識的ONU 認(rèn)證失敗事件，OLT 應(yīng)記錄并上報網(wǎng)元管理系統(tǒng)。

1.2.2.2 基于邏輯標(biāo)識的ONU 認(rèn)證消息

如6.5.3.2節(jié)規(guī)定，用于基于邏輯標(biāo)識的ONU 認(rèn)證的OAM 消息采用值為“0x05”的擴展的操作碼（Ext. Opcode）。具體消息格式如圖34所示。

Octets

6

6

2

1

2

1

3

1

1

2

X

Y

4

圖34 用于基于邏輯標(biāo)識的ONU 認(rèn)證的OAMPDU 格式

圖中Auth_Code字段（長度為1字節(jié)）表示具體的ONU 認(rèn)證操作。包括如下4種操作類型：

——認(rèn)證請求（Auth_Request）：值為0x01，由OLT 向ONU 發(fā)出，以請求ONU 上報其LOID 和Password ；

——認(rèn)證響應(yīng)（Auth_Response）：值為0x02，作為ONU 對OLT 發(fā)來的Auth_Request報文的響應(yīng)，向OLT 上報其LOID 和Password ；

——認(rèn)證成功（Auth_Sucess）：值為0x03，由OLT 向ONU 發(fā)出，表明該ONU 已經(jīng)通過認(rèn)證；

——認(rèn)證失?。ˋuth_Failure）：值為0x04，由OLT 向ONU 發(fā)出，表明該ONU 認(rèn)證失敗。

Length of Authentication Data字段（長度為2字節(jié)）表示其后面的Authentication Data字段的長度，單位為字節(jié)。

Authentication Data字段（其長度和內(nèi)容取決于Auth_Code）為具體的數(shù)據(jù)，具體規(guī)定如下：

1） 認(rèn)證請求報文（Auth_Request）：

Auth_Request報文的Authentication Data 字段包括Auth_Type字段，長度為1字節(jié)。Auth_Type字段表示認(rèn)證類型。在Auth_Request報文中Auth_Type默認(rèn)取值為0x01：表示LOID Password方式，即要求ONU 在Auth_Response報文上報其LOID 和Password ；其他取值保留作為擴展。

2） 認(rèn)證響應(yīng)（Auth_Response）：

Auth_Response報文的Authentication Data 字段包括Auth_Type字段（長度為1字節(jié)）和Auth_Type_Data字段（長度可變）。

Auth_Type字段表示認(rèn)證類型。目前，在Auth_Request報文中Auth_Type有2個取值：取值為0x01時的定義與Auth_Request報文中的定義相同；取值為0x02時表示ONU 不支持或

不能接受Auth_Request消息中請求的認(rèn)證類型（Auth_Type），即Nak （這個取值僅對Auth_Response有意義，即Auth_Response Only）；其他取值保留。

當(dāng)Auth_Type＝0x01時，Auth_Response報文中的Auth_Type_Data字段包含24字節(jié)的LOID 和12字節(jié)的Password 。實際的LOID 和Password （不包含為補足24/12字節(jié)而填充的“0”）均不應(yīng)以“0”開始，可以以“0”結(jié)束。LOID 和Password 均以ASCII 碼表示。這種情況下的Auth_Response報文及Auth_Type_Data字段的格式如圖 35（a ）所示。如果LOID/Password的實際長度小于24字節(jié)/12字節(jié)，則在實際的ONU_ID/Password前面填“0”以補足24字節(jié)/12字節(jié)。

當(dāng)Auth_Type＝0x02時，Auth_Response報文中的Auth_Type_Data字段包含長度為一個字節(jié)的Desired Auth_Type，該字段表示ONU 希望采用的認(rèn)證類型（當(dāng)前的缺省值為0x01，表示希望采用的認(rèn)證類型為LOID Password方式，因為暫時沒有其他認(rèn)證類型）。這種情況下的Auth_Response報文及Auth_Type_Data字段的格式如圖35（b ）所示。

通常Auth_Response中的Auth_Type域和Auth_Request中的Auth_Type域相同，除Auth_Response中返回值為Nak 的Auth_Type情況除外。

3） 認(rèn)證成功（Auth_Sucess）：

Auth_Sucess報文不存在Authentication Data 字段，所以其Length of Authentication Data 字段為0x00。

4） 認(rèn)證失敗（Auth_Failure）

Auth_Failure報文格式如圖35（c ）所示，其Length of Authentication Data字段為0x01，其Authentication Data字段僅包含一個字節(jié)的“Failure_Type”字段。Failure_Type＝0x01表示LOID 不存在；Failure_Type＝0x02表示LOID 存在但Password 錯誤；Failure_Type＝0x03表示LOID 沖突，即已有該LOID 的ONU 認(rèn)證成功。

1 Octet1 Octet2 Octets1 Octet24 Octets

12 Octets

（a ） Auth_Response報文格式（LOID PW類型）

1 Octet1 Octet2 Octets1 Octet1 Octet

（b

） Auth_Response報文格式（Nak 類型）

1 Octet

1 Octet2 Octets1 Octet

（c ） Auth_Failure報文格式

圖35 幾種典型認(rèn)證報文的格式

1.2.3 混合認(rèn)證模式

為實現(xiàn)對現(xiàn)網(wǎng)中大量基于MAC 地址進(jìn)行認(rèn)證的ONU （即不支持基于邏輯標(biāo)識的認(rèn)證方式的ONU ）的兼容，OLT 設(shè)備同時支持基于MAC 地址的ONU 認(rèn)證方式和基于邏輯標(biāo)識的ONU 認(rèn)證方式：

OLT 具有一個合法ONU MAC地址數(shù)據(jù)庫，對于網(wǎng)絡(luò)上原有的ONU ，在未進(jìn)行軟件升級前仍然執(zhí)行基于MAC 地址的認(rèn)證方式。對于通過MAC 認(rèn)證的ONU ，OLT 直接將該ONU 設(shè)為授權(quán)狀態(tài)，OLT 允許來自該ONU 的OAM 和數(shù)據(jù)業(yè)務(wù)通過。

對于未通過MAC 地址認(rèn)證的ONU （在OLT 的MAC 地址庫中沒有改ONU 的MAC 地址），OLT 仍然允許其完成MPCP 發(fā)現(xiàn)和OAM 發(fā)現(xiàn)，并啟動基于邏輯標(biāo)識的ONU 認(rèn)證（OLT 發(fā)起）。通過基于邏輯標(biāo)識的認(rèn)證的ONU 的數(shù)據(jù)通道打開，未通過基于邏輯標(biāo)識的認(rèn)證的ONU 的數(shù)據(jù)通道保持關(guān)閉并使ONU 解注冊。此時，OLT 及網(wǎng)管系統(tǒng)應(yīng)支持三種處理方式：僅判斷LOID 、同時判斷LOID Password，并且可靈活配置。

1.3 ONU 的靜默機制

對于已被拒絕注冊的非法ONU ，應(yīng)減少ONU 不斷嘗試注冊給系統(tǒng)帶來的負(fù)面影響，同時考慮工程的便利，仍然給該ONU 一定的嘗試注冊的機會。ONU 的MPCP 層次的狀態(tài)機應(yīng)符合IEEE802.3-2005的規(guī)定，并且ONU 的高層協(xié)議應(yīng)支持被OLT 拒絕注冊后的靜默機制。ONU 的靜默機制利用WAIT 和DENIED 狀態(tài)之間的轉(zhuǎn)移過程實現(xiàn)，具體非法ONU 的注冊過程和靜默機制如下所述：

1) OLT 向所有ONU 廣播一個Discovery Gate消息，打開ONU 發(fā)現(xiàn)窗口；

2) ONU 向OLT 發(fā)送一個Register_REQ消息，該消息中包含其MAC 地址信息；然后

ONU 等待OLT 發(fā)送Register 消息；

3) 如果ONU 是非法ONU ，OLT 將發(fā)送Nack Register消息（flag ＝4）；

4) ONU 收到Nack Register 消息后，應(yīng)通過MACI(REGISTER，status ?denied) 通知

高層；

5) 在ONU 高層在收到該MACI 消息后，將啟動一個定時器RegTmr ，該定時器表示啟

動下一次注冊過程的時延Ts 。在定時器RegTmr 未超時之前，ONU 高層不會發(fā)出MACR (DA, REGISTER_REQ, STATUS<= REIGSTER)命令；Ts 的值暫定為60s ；在ONU 高層未發(fā)出MACR (DA, REGISTER_REQ, STATUS<= REIGSTER) 命令之前，ONU 保持在WAIT 狀態(tài)；

6) 當(dāng)定時器RegTmr 超時后，ONU 高層將發(fā)出MACR (DA, REGISTER_REQ,

STATUS<= REIGSTER)命令，ONU 將從WAIT 狀態(tài)轉(zhuǎn)移到REGISTERING 狀態(tài)，并等待OLT 發(fā)出的DISCOVERY GATE 消息。當(dāng)下一個發(fā)現(xiàn)窗口打開時，ONU 將發(fā)送REGISTER_REQ消息以實現(xiàn)注冊。

此外，當(dāng)OLT 發(fā)現(xiàn)非法ONU 的注冊事件后，應(yīng)上報網(wǎng)元管理系統(tǒng)。