一种基于分离映射机制的无源光网络用户保护的实现方法
【专利摘要】本发明公开了一种基于分离映射机制的无源光网络用户保护的实现方法,利用一体化标识网络ASR的分离映射机制与无源光网络相结合,通过一体化标识网络的认证机制对接入无源光网络的用户身份进行认证,能够保证无源光网络用户身份信息不被外网用户所发现,保护用户隐私信息。通过接入标识与路由标识之间的分离映射,使得用户的身份信息和位置信息相隔离,使得攻击者即使知道用户的身份信息,也无法得知用户的位置信息,从而保护了用户的隐私性。
【专利说明】—种基于分离映射机制的无源光网络用户保护的实现方法
【技术领域】
[0001]本发明涉及一种无源光网络用户保护的方法,具体涉及一种基于分离映射机制的无源光网络用户保护的实现方法。
【背景技术】
[0002]随着宽带接入业务,如高清视频点播,IPTV,3D网络游戏等业务的不断出现和逐渐普及,传统的ADSL宽带接入技术已经无法满足用户对高带宽的需求。无源光网络PON以其高带宽、高QoS保障、电信级0ΑΜ、简单高效的适配封装等方面的优势,在未来宽带接入技术中具有较强的竞争力。因而PON网络的安全性也成为关注的重点。PON网络宽带接入面临的用户接入安全威胁主要包括:
[0003]I)非法ONT对PON网络的接入与攻击。非法ONT的注册或错误授权,将会给整个网络带来严重的安全威胁。因此可以执行对ONT设备的物理标识或者序列号编码进行认证和绑定,保证网络设备的正常运行。
[0004]2)PON接口数据安全威胁。针对PON网络中的ΕΡ0Ν,可以通过启用三重搅动方法保证PON接口下行数据的安全;针对PON网络中的GP0N,可以采取AES的加密机制,来防止下行方向数据被窃听的问题,使得数据安全性更强。
[0005]3)用户的安全威胁。通常是采用将用户的宽带账号与接入设备的物理端口绑定的简单方式,通过特定账号只能通过特定的端口上网,来防止用户账号被盗。但这一简单的安全模式将大大限制用户设备的接入方式,尤其在移动网络中,该安全认证方式的弊端将会关显出来。
[0006]一体化标识网络是一种新型网络体系架构,它将传统的网络结构体系模型合并为两个层,即“网通层”和“服务层”。“网通层”完成网络的底层数据传输,负责网络的接入和互联互通,“服务层”实现服务和业务的应用。“网通层”又可分为虚拟接入子网和虚拟骨干子网。虚拟接入子网可支持多种异构终端的接入,虚拟骨干子网负责网络的路由及数据传输,其中虚拟骨干子网中包含的实体设备及功能如下:
[0007]I)广义交换路由器GSR完成拥有源RID和目的RID的数据的路由和转发;
[0008]2)用户认证中心UAC负责用户的接入认证和管理;
[0009]3)标识映射服务器负责维护和管理网络中的映射关系。
[0010]接入交换路由器ASR是连接虚拟接入子网与虚拟骨干子网的实体。
[0011]当用户接入网络后,ASR负责给接入用户分配一个全球唯一的接入标识AID。当用户的数据到达ASR后,ASR会将数据包的源AID及目的AID映射成为相应的RID,实现标识分离映射机制。而当数据到达通信对端的ASR时,将根据映射关系将RID解映射为原始的AID,从而完成整个通信过程。分离映射机制使得窃听者无法根据窃取到的RID找到用户的AID,也无法根据AID获得相应的RID。因此一体化标识网络通过双重安全保障(用户接入认证与分离映射机制)增强了网络的安全性。
[0012]将一体化标识网络中特有的分离映射机制与PON网络相结合,将大大提升PON网络的安全性,保障用户的安全。
[0013]缩略语和关键术语定义
[0014]PON Passive Optical Network无源光网络
[0015]EPON Ethernet PON以太网无源光网络
[0016]GPON Gigabit-Capable PON千兆无源光网络
[0017]OAM Operations, Administration, and Maintenance 运营、管理、
[0018]维护
[0019]AES Advanced Encryption Standard高级加密标准
[0020]OLT Optical Line Terminal光线路终端
[0021]ONT Optical Network Terminal光网络终端
[0022]GEM GPON Encapsulation MethodGPON 封装方法
[0023]ASR Access Switch Router接入交换路由器
[0024]GSR General Switch Router广义交换路由器
[0025]UAC User Authentication Center用户认证中心
[0026]IDMS Identifi er Mapping Server标识映射服务器
[0027]PSTN Public switched telephone network公共交换电话网
[0028]CATV Cable Television有线电视网
[0029]AID Access Identifier接入标识
[0030]RID Route Identifier路由标识
[0031]NMS Network Management Server网管服务器
[0032]POS Passive Optical Splitter无源光纤分路器
【发明内容】
[0033]本发明克服了现有技术的不足,提供一种基于分离映射机制的无源光网络用户保护的实现方法,以期待解决现有技术中PON网络在用户方面存在安全威胁问题。
[0034]为解决上述的技术问题,本发明采用以下技术方案:
[0035]一种基于分离映射机制的无源光网络用户保护的实现方法,所述的方法包括以下步骤:
[0036]当合法的无源光网络用户终端访问外网数据时,包含源接入标识和目的接入标识的以太网帧通过PON网络的ONT封装为GEM帧格式;
[0037]GEM帧格式的数据包在通过OLT后解封装回到源接入标识和目的接入标识的以太网帧;
[0038]以太网帧到达用户侧ASR时,用户侧ASR采用标识分离映射机制将源接入标识映射为源路由标识;
[0039]当存在目的标识的映射对,目的接入标识映射为目的路由标识,在虚拟骨干子网中传输;
[0040]网络侧ASR获得标识映射对,根据映射对解映射回到源接入标识和源目的标识。
[0041]更进一步的技术方案是目的接入标识在虚拟骨干子网中传输步骤是:当存在目的标识的映射对,目的接入标识映射为目的路由标识,在虚拟骨干子网中传输;若不存在目的标识的映射对,目的接入标识采用不映射,采用直接透传的方式在虚拟骨干子网中传输。
[0042]更进一步的技术方案是网络侧ASR获得标识映射对,根据映射对解映射回到源接入标识和源目的标识步骤是:当以太网帧到达网络侧的ASR时,若网络侧ASR已有解映射的映射对,根据映射对解映射回到源接入标识和源目的标识;当网络侧ASR无解映射的映射对,网络侧ASR向IDMS发送映射查询消息,查询相应的映射关系,得到映射关系后再进行解映射。
[0043]更进一步的技术方案是用户隐私信息包括:MAC地址,用户名,产品序列号。
[0044]与现有技术相比,本发明的有益效果是:本发明可以更好的保护用户、数据安全性及隐私性,同时也为PON网络的安全运行提供了保障,本发明通过接入标识与路由标识之间的分离映射,使得用户的身份信息和位置信息相隔离,使得攻击者即使知道用户的身份信息,也无法得知用户的位置信息,从而保护了用户的隐私性。
【专利附图】
【附图说明】
[0045]图1为本发明一个实施例的分离映射流程框图。
【具体实施方式】
[0046]下面结合附图对本发明作进一步阐述。
[0047]如图1所示,图1示出了本发明一个实施例中分离映射流程框图。本实施例基于分离映射机制的无源光网络用户保护的实现方法,包括以下步骤:用户终端向虚拟骨干子网中的用户认证中心发送入网注册请求,提供用户隐私信息;用户认证中心确认用户终端合法后,选取一个接入标识及认证密钥发送给用户终端,授权接入标识。上述步骤利用用户认证中心,根据用户多个身份属性进行授权,并根据这些信息分配唯一接入标识。与此同时,当用户为接入到网络,还会根据接入标识及密钥信息进行认证,从而保证用户的合法性。用户向用户认证中心发送入网注册请求,提供MAC地址,用户名,产品序列号等用户隐私信息。当用户认证中心在数据库中确认用户的合法后,在未启用的接入标识库中,随机选取一个接入标识及认证密钥发送给用户。用户认证中心以接入标识为索引,采用加密算法,将用户隐私信息及认证密钥存储在认证数据库的列表中,表明用户的接入标识已授权。
[0048]用户为了能接入网络还需要通过认证。用户向用户侧ASR发起认证申请,申请中包括加密后的用户接入标识与认证密钥。用户侧ASR接收到认证申请后,转发给用户认证中心进行查询。用户认证中心解密申请消息后,根据接入标识在认证数据库列表中找到其对应的隐私信息,并与接收到的申请消息比较,若一致,则告知用户侧ASR该用户是合法的,可以允许其接入网络。
[0049]此步骤保证用户无论在何时何地连接网络身份信息不变,具有不可抵赖性,有效防止现有网络中源IP地址伪造攻击等隐患,在一定程度上加强了网络环境的安全。
[0050]当用户通过认证后,用户侧ASR会从路由标识地址池中为用户的接入标识AIDl分配相应的路由标识RIDl ;用户侧ASR将由接入标识AIDl和路由标识RIDl这一对标识组成标识映射对存储在用户侧ASR的映射列表中;用户侧ASR将此映射关系通告给IDMS ;IDMS将该映射关系存储在以接入标识为索引的全局映射列表中;用户访问外网数据时,包含源接入标识和目的接入标识的以太网帧通过PON网络的ONT封装为GEM帧格式。数据在ONT与OLT之间传输的过程中,都是以GEM帧格式传输,无需对源接入标识和目的接入标识进行处理。GEM帧格式的数据包在通过OLT后解封装回到源接入标识和目的接入标识的以太网帧。以太网帧到达用户侧ASR时,用户侧ASR采用标识分离映射机制将源接入标识映射为源路由标识。若存在目的标识的映射关系,目的接入标识映射为目的路由标识,在虚拟骨干子网中传输。若不存在目的标识的映射关系,目的接入标识采用不映射,直接透传的方式在虚拟骨干子网中传输。当以太网帧到达网络侧的ASR时,若网络侧ASR已有解映射的映射关系,则会根据映射关系解映射回到源接入标识和源目的标识。若网络侧ASR未有解映射的映射关系,则需要由网络侧ASR向IDMS发送映射查询消息,查询相应的映射关系,得到映射关系后再进行解映射,从而完成从用户到网络的分离映射过程。同理,从网络侧的ASR的分离映射过程也是如此,此处不再赘述。本实施例利用一体化标识网络ASR对代表身份信息的接入标识和代表位置信息的路由标识进行分离,并通过映射表进行关联,在虚拟接入子网内使用身份标识,而在虚拟骨干子网之内使用位置标识。通过分离映射机制将虚拟接入子网数据和虚拟骨干子网数据分离,能够保证用户身份信息不被外网用户所发现,保护用户隐私信息。
[0051]执行分离映射机制的实体是ASR。本实施例通过接入标识与路由标识之间的分离映射,使得用户的身份信息和位置信息相隔离,使得攻击者即使知道用户的身份信息,也无法得知用户的位置信息,从而保护了用户的隐私性。
[0052]在本说明书中所谈到的“一个实施例”、“另一个实施例”、“实施例”、等,指的是结合该实施例描述的具体特征、结构或者特点包括在本申请概括性描述的至少一个实施例中。在说明书中多个地方出现同种表述不是一定指的是同一个实施例。进一步来说,结合任一个实施例描述一个具体特征、结构或者特点时,所要主张的是结合其他实施例来实现这种特征、结构或者特点也落在本发明的范围内。
[0053]尽管这里参照发明的多个解释性实施例对本发明进行了描述,但是,应该理解,本领域技术人员可以设计出很多其他的修改和实施方式,这些修改和实施方式将落在本申请公开的原则范围和精神之内。更具体地说,在本申请公开权利要求的范围内,可以对主题组合布局的组成部件和/或布局进行多种变型和改进。除了对组成部件和/或布局进行的变型和改进外,对于本领域技术人员来说,其他的用途也将是明显的。
【权利要求】
1.一种基于分离映射机制的无源光网络用户保护的实现方法,其特征在于所述的方法包括以下步骤: 当合法的无源光网络用户终端访问外网数据时,包含源接入标识和目的接入标识的以太网帧通过PON网络的ONT封装为GEM帧格式; GEM帧格式的数据包在通过OLT后解封装回到源接入标识和目的接入标识的以太网帧; 以太网帧到达用户侧ASR时,用户侧ASR采用标识分离映射机制将源接入标识映射为源路由标识; 目的接入标识在虚拟骨干子网中传输; 网络侧ASR获得标识映射对,根据映射对解映射回到源接入标识和源目的标识。
2.根据权利要求1所述的基于分离映射机制的无源光网络用户保护的实现方法,其特征在于所述的目的接入标识在虚拟骨干子网中传输步骤是:当存在目的标识的映射对,目的接入标识映射为目的路由标识,在虚拟骨干子网中传输;若不存在目的标识的映射对,目的接入标识采用不映射,采用直接透传的方式在虚拟骨干子网中传输。
3.根据权利要求1所述的基于分离映射机制的无源光网络用户保护的实现方法,其特征在于所述的网络侧ASR获得标识映射对,根据映射对解映射回到源接入标识和源目的标识步骤是:当以太网帧到达网络侧的ASR时,若网络侧ASR已有解映射的映射对,根据映射对解映射回到源接入标识和源目的标识;当网络侧ASR无解映射的映射对,网络侧ASR向IDMS发送映射查询消息,查询相应的映射关系,得到映射关系后再进行解映射。
【文档编号】H04Q11/00GK103618749SQ201310682767
【公开日】2014年3月5日 申请日期:2013年12月12日 优先权日:2013年12月12日
【发明者】鄢欢, 袁晓君, 张宏科, 宋飞, 高阳阳, 权伟, 杨永祺 申请人:绵阳芯联芯网络科技有限公司