随着Internet的迅速普及,宽带业务大量涌现,人们对带宽的需求日益增长,作为解决“最后一公里”问题的最佳方案,以太无源光网络EPON应运而生。但EPON的点到多点(P2M)结构,使其存在严重的安全隐患。研究和解决EPON系统的安全问题,对EPON的商业化进程具有重要的意义。而在安全问题上,没有制定解决方案的标准。目前常用的认证和加密解决安全问题的方案,或者存在缺陷,或者对某些问题无效。如何改进现有方案、研究新的措施,有其必然意义。论文在对EPON系统中各种安全攻击进行详细分析的基础上,针对具体的攻击方式,研究了一套基于注册过程的认证方式;对其过程与特点进行了分析,针对其不能对光链路端OLT进行认证的局限性,提出了一种基于ECC(椭圆曲线)加密的双向认证机制,并在OLT与光网络单元端ONU进行了实现。针对EPON上行拒绝服务攻击DoS的特征,研究和设计了EPON入侵检测系统。主要完成的工作和取得的成果如下:(1)分析了EPON系统各种安全攻击。针对EPON的结构特点,对EPON系统各种安全攻击包括被动监测、DoS、伪装和窃取服务ToS等进行了详细分析,重点研究了DoS实施的原理、过程及其危害性;并针对EPON中不同攻击,探讨了相应的对策,包括认证、安全封装、加密、入侵检测等。(2)提出基于ECC加密的OLT和ONU之间双向认证机制。在对ONU认证分析基础上,针对EPON认证注册过程中只对ONU进行认证、没有对OLT进行认证,从而导致恶意ONU假冒OLT与合法ONU交互所产生的安全漏洞,设计一种基于ECC加密的OLT和ONU之间双向认证机制,并在OLT与ONU端进行了实现,提高了其安全性。(3)对EPON中基于注册过程的认证过程与基于ECC加密的双向认证过程的性能进行仿真分析。利用NS2(网络模拟)软件搭建EPON模块,对基于注册过程的认证过程和基于ECC加密的双向认证过程的性能进行了仿真,得出:与其高安全性相比,基于ECC加密的双向认证过程消耗带宽较少。(4)首次采用入侵检测来解决EPON中DoS攻击的安全机制。针对EPON上行DoS攻击的特征,结合EPON的特点,引入了基于Snort入侵检测,设计了EPON入侵检测系统框架,并对各主要模块包括数据包捕获、规则库、协议解析、入侵检测、报警、日志数据库等,进行了研究和设计,尤其对其规则与协议解析进行了设计。