基于分离映射机制的无源光网络业务保护方法

基于分离映射机制的无源光网络业务保护方法
【专利摘要】本发明将一体化标识网络所特有的分离映射机制运用在无源光网络中，将无源光网络的关键设备及提供业务的服务器部署在虚拟骨干子网中，使用分离映射机制来隔离虚拟骨干子网与虚拟接入子网，从而保护虚拟骨干子网内的设备。
【专利说明】基于分离映射机制的无源光网络业务保护方法
【技术领域】
[0001]本发明涉及无源光网络领域，具体涉及一种基于分离映射机制的无源光网络业务保护方法。
【背景技术】
[0002]随着宽带接入业务，如高清视频点播，IPTV，3D网络游戏等业务的不断出现和逐渐普及，传统的ADSL宽带接入技术已经无法满足用户对高带宽的需求。无源光网络PON以其高带宽、高QoS保障、电信级0ΑΜ、简单高效的适配封装等方面的优势,在未来宽带接入技术中具有较强的竞争力。因而PON网络的安全性也成为关注的重点。
[0003]PON网络在为用户提供了较大带宽的同时，还为承载多种业务提供了条件。随着FTTH的迅速应用及规模扩大，可以将无源光网络与业务整合在一起，从而使用户可以更加便捷高速的享受高带宽的业务。因而针对这类业务也存在一定的安全威胁，即提供业务的服务器也需要进行保护。而现有的技术大都是采用防火墙技术阻挡部分非法用户的攻击或入侵，而无法从根本上解决这一安全问题。
[0004]在PON网络中，网管服务器通过SNMP协议与OLT的管理接口进行通信，从而起到对OLT的管理和对ONU的认证、注册、配置业务等控制。因此对于网管服务器的安全保护尤
其重要。
[0005]根据上述的安全问题分析，尤其是针对解决业务的安全威胁这一难题，我们将具有良好安全特性的一体化标识网络与PON网络相结合，提出了一种基于分离映射机制的无源光网络的实现方法。
[0006]一体化标识网络是一种新型网络体系架构，它将传统的网络结构体系模型合并为两个层，即“网通层”和“服务层”。“网通层”完成网络的底层数据传输，负责网络的接入和互联互通，“服务层”实现服务和业务的应用。“网通层”又可分为虚拟接入子网和虚拟骨干子网。虚拟接入子网可支持多种异构终端的接入，虚拟骨干子网负责网络的路由及数据传输，其中虚拟骨干子网中包含的实体设备及功能如下:
[0007]I)广义交换路由器GSR完成拥有源RID和目的RID的数据的路由和转发；
[0008]2)用户认证中心UAC负责用户的接入认证和管理；
[0009]3)标识映射服务器负责维护和管理网络中的映射关系。
[0010]接入交换路由器ASR是连接虚拟接入子网与虚拟骨干子网的实体。
[0011]当用户接入网络后，ASR负责给接入用户分配一个全球唯一的接入标识AID。当用户的数据到达ASR后，ASR会将数据包的源AID及目的AID映射成为相应的RID，实现标识分离映射机制。而当数据到达通信对端的ASR时，将根据映射关系将RID解映射为原始的AID，从而完成整个通信过程。各个ASR存储本域内的映射关系，而IDMS则存有全局的映射关系。在虚拟接入子网，数据包的源和目的均采用分配的AID，而在虚拟骨干子网均采用路由标识RID。若出现非法的AID或RID，路由器将自动丢弃这些数据，从而保护了虚拟骨干子网中设备的安全性。因此一体化标识网络是从网络架构设计原理上增加了对网络安全性的考虑，并且通过分离映射这一核心机制增强了网络的安全性。
[0012]将一体化标识网络中特有的分离映射机制与PON网络相结合，将大大提升PON网络的安全性，保障用户及业务的安全。

【发明内容】

[0013]本发明克服了现有技术中由于PON网络在业务方面存在一定的安全威胁，并且现有的安全机制并不能有效的保护业务的安全性的不足，提供一种基于分离映射机制的无源光网络业务保护方法。
[0014]本发明采用以下技术方案:
[0015]一种基于分离映射机制的无源光网络业务保护方法，包括:
[0016]步骤一，合法的网络端口通过网络侧的接入交换路由器接入一体化标识网络的虚拟骨干子网，由网络侧的接入交换路由器为接入的合法的网络端口分配与其接入地址存在映射关系的第一路由标识；
[0017]步骤二，将合法的用户终端通过光网络终端接入光分配网络，光分配网络通过用户侧的接入交换路由器接入一体化标识网络的虚拟骨干子网，并由用户侧的接入交换路由器分配给接入的合法的用户终端接入标识，用户侧的接入交换路由器存储与接入标识存在映射关系的第二路由标识无源光网络无源光网络；
[0018]步骤三，将无源光网络中关键设备及提供业务的服务器接入一体化标识网络的虚拟骨干子网中，无源光网络中关键设备及提供业务的服务器都会获得各自唯一的第三路由标识；
[0019]步骤四，网络侧的接入路由器判断从合法的网络端口进入的外来数据包中的接入地址是否是网络侧的接入交换路由器分配给接入的合法的网络端口的映射关系中第一路由标识对应的接入地址；
[0020]步骤五，网络侧的接入路由器根据步骤四中的判断结果进行与一体化标识网络的虚拟骨干子网中的无源光网络中关键设备及提供业务的服务器进行通信；
[0021]步骤六，用户侧的接入路由器判断从合法的用户终端进入的外来数据包中的接入标识是否是用户侧的接入交换路由器分配给接入的合法的用户终端接入标识；
[0022]步骤七，用户侧的接入路由器根据步骤六中的判断结果进行与一体化标识网络的虚拟骨干子网中的无源光网络中关键设备及提供业务的服务器进行通信。
[0023]更进一步的技术方案是，所述步骤四中的从合法的网络端口进入的外来数据包中的接入地址是网络侧的接入交换路由器分配给接入的合法的网络端口的映射关系中第一路由标识对应的接入地址，则所述网络侧的接入交换路由器进行与一体化标识网络的虚拟骨干子网中的无源光网络中关键设备及提供业务的服务器进行通信；所述步骤四中的从合法的网络端口进入的外来数据包中的接入地址不是网络侧的接入交换路由器分配给接入的合法的网络端口的映射关系中第一路由标识对应的接入地址，则所述网络侧的接入交换路由器不进行与一体化标识网络的虚拟骨干子网中的无源光网络中关键设备及提供业务的服务器进行通信。
[0024]更进一步的技术方案是，所述步骤六中的从合法的用户终端进入的外来数据包中的接入标识是用户侧的接入交换路由器分配给接入的合法的用户终端接入标识，则所述用户侧的接入交换路由器使用与接入标识存在映射关系的第二路由标识与一体化标识网络的虚拟骨干子网中的无源光网络中关键设备及提供业务的服务器进行通信；所述步骤六中的从合法的用户终端进入的外来数据包中的接入标识不是用户侧的接入交换路由器分配给接入的合法的用户终端接入标识，则所述用户侧的接入交换路由器不进行与一体化标识网络的虚拟骨干子网中的无源光网络中关键设备及提供业务的服务器进行通信。
[0025]更进一步的技术方案是，所述无源光网络中关键设备及提供业务的服务器包括网管服务器、用户认证中心、视频服务器或计费服务器。
[0026]更进一步的技术方案是，所述网络侧的接入交换路由器存有合法的网络端口接入地址与第一路由标识的映射关系。
[0027]更进一步的技术方案是，所述用户侧的接入交换路由器存有合法的用户终端接入标识与第二路由标识的映射关系。
[0028]更进一步的技术方案是，所述合法的用户终端包括用户使用的笔记本、台式电脑、手机和平板电脑中的一种或多种。
[0029]更进一步的技术方案是，所述合法的网络端口包括有线电视网、传统电话网和互联网中的一种或多种。
[0030]与现有技术相比，本发明的有益效果是:
[0031]本发明将一体化标识网络所特有的分离映射机制运用在无源光网络中，使用分离映射机制来隔离虚拟骨干子网与虚拟接入子网，从而保护虚拟骨干子网内的设备。
【专利附图】

【附图说明】
[0032]图1为本发明一种实施例的无源光网络业务保护方法结构示意图。
[0033]如图1所示，其中对应附图标记名称为:
[0034]I有线电视网，2传统电视网，3互联网，4网络侧的接入交换路由器，6网管服务器，7用户认证中心，8视频服务器，9计费服务器，10 一体化标识网络的虚拟骨干子网，12用户侧的接入交换路由器，13光线路终端，14无源光网络，15光网络终端，16合法的用户终端。
【具体实施方式】
[0035]下面结合附图对本发明作进一步阐述。
[0036]如图1所示的一种基于分离映射机制的无源光网络业务保护方法，包括:
[0037]步骤一，合法的网络端口通过网络侧的接入交换路由器4接入一体化标识网络的虚拟骨干子网10，由网络侧的接入交换路由器4为接入的合法的网络端口分配与其接入地址存在映射关系的第一路由标识；
[0038]步骤二，将合法的用户终端16通过光网络终端15接入光分配网络14，光分配网络14通过用户侧的接入交换路由器12接入一体化标识网络的虚拟骨干子网10，并由用户侧的接入交换路由器12分配给接入的合法的用户终端16接入标识，用户侧的接入交换路由器存储与接入标识存在映射关系的第二路由标识；
[0039]步骤三，将无源光网络中关键设备及提供业务的服务器接入一体化标识网络的虚拟骨干子网10中，无源光网络中关键设备及提供业务的服务器都会获得各自唯一的第三路由标识；[0040]步骤四，网络侧的接入路由器4判断从合法的网络端口进入的外来数据包中的接入地址是否是网络侧的接入交换路由器4分配给接入的合法的网络端口的映射关系中第一路由标识对应的接入地址；
[0041]步骤五，网络侧的接入路由器4根据步骤四中的判断结果进行与一体化标识网络的虚拟骨干子网10中的无源光网络中关键设备及提供业务的服务器进行通信；
[0042]步骤六，用户侧的接入路由器12判断从合法的用户终端16进入的外来数据包中的接入标识是否是用户侧的接入交换路由器12分配给接入的合法的用户终端接入标识；
[0043]步骤七，用户侧的接入路由器12根据步骤六中的判断结果进行与一体化标识网络的虚拟骨干子网中10的无源光网络中关键设备及提供业务的服务器进行通信。
[0044]根据本发明的一个实施例，所述步骤四中的从合法的网络端口进入的外来数据包中的接入地址是网络侧的接入交换路由器4分配给接入的合法的网络端口的映射关系中第一路由标识对应的接入地址，则所述网络侧的接入交换路由器4进行与一体化标识网络的虚拟骨干子网10中的无源光网络中关键设备及提供业务的服务器进行通信；所述步骤四中的从合法的网络端口进入的外来数据包中的接入地址不是网络侧的接入交换路由器分4配给接入的合法的网络端口的映射关系中第一路由标识对应的接入地址，则所述网络侧的接入交换路由器4不进行与一体化标识网络的虚拟骨干子网10中的无源光网络中关键设备及提供业务的服务器进行通信。
[0045]根据本发明的一个实施例，所述步骤六中的从合法的用户终端16进入的外来数据包中的接入标识是用户侧的接入交换路由器12分配给接入的合法的用户终端接入标识，则所述用户侧的接入交换路由器12使用与接入标识存在映射关系的第二路由标识与一体化标识网络的虚拟骨干子网10中的无源光网络中关键设备及提供业务的服务器进行通信；所述步骤六中的从合法的用户终端16进入的外来数据包中的接入标识不是用户侧的接入交换路由器12分配给接入的合法的用户终端接入标识，则所述用户侧的接入交换路由器12不进行与一体化标识网络的虚拟骨干子网10中的无源光网络中关键设备及提供业务的服务器进行通信。
[0046]根据本发明的一个实施例，所述无源光网络中关键设备及提供业务的服务器包括网管服务器6、用户认证中心7、视频服务器8、计费服务器9。
[0047]根据本发明的一个实施例，所述网络侧的接入交换路由器4存有接入地址与第一路由标识的映射关系。
[0048]根据本发明的一个实施例，所述用户侧的接入交换路由器12存有合法用户的接入标识与第二路由标识的映射关系。
[0049]根据本发明的一个实施例，所述合法的用户终端16与光网络终端15通过交换机或无线连接。
[0050]根据本发明的一个实施例，所述合法的用户终端16包括用户使用的笔记本、台式电脑、手机和平板电脑中的一种或多种。
[0051]根据本发明的一个实施例，所述合法的网络端口包括有线电视网1、传统电话网2和互联网3中的一种或多种。
[0052]一体化标识网络的虚拟骨干子网10不能存在接入地址或接入标识，若有来至网络端口以外的非法数据包，由于其接入地址在网络侧的接入交换路由器4为网络端口分配的映射关系中并不存在，则该数据包到达网络侧的接入交换路由器4时，将会被网络侧的接入交换路由器4丢弃，无法进入一体化标识网络的虚拟骨干子网10。若有来自用户终端16以外的非法数据包，由于其接入标识在用户侧接入交换路由器12为用户终端16分配的映射关系中并不存在，则该数据包到达用户侧的接入交换路由器12时，将会被用户侧的接入交换路由器12丢弃，无法进入一体化标识网络的虚拟骨干子网10。因此当非法的接入地址或接入标识想要攻击一体化标识网络的虚拟骨干子网10的无源光网络中关键设备及提供业务的服务器，由于找不到相应的映射关系，而首先被网络侧的接入交换路由器4或用户侧的接入交换路由器12丢弃。从而保障一体化标识网络的虚拟骨干子网10内核心设备的安全。
[0053]在本发明中，无论是网络侧的接入交换路由器4或者是用户侧的接入交换路由器12都具备标识分离映射功能。对于外网非法用户对于一体化标识网络的虚拟骨干子网10内关键设备的攻击，由网络侧的接入交换路由器4阻止及隔离。对于内网非法用户，由用户侧的接入交换路由器12阻止及隔离。
[0054]在本说明书中所谈到的“一个实施例”、“另一个实施例”、“实施例”、等，指的是结合该实施例描述的具体特征、结构或者特点包括在本申请概括性描述的至少一个实施例中。在说明书中多个地方出现同种表述不是一定指的是同一个实施例。进一步来说，结合任一实施例描述一个具体特征、结构或者特点时，所要主张的是结合其他实施例来实现这种特征、结构或者特点也落在本发明的范围内。
[0055]尽管这里参照本发明的多个解释性实施例对发明进行了描述，但是，应该理解，本领域技术人员可以设计出很多其他的修改和实施方式，这些修改和实施方式将落在本申请公开的原则范围和精神之内。更具体地说，在本申请公开、附图和权利要求的范围内，可以对主题组合布局的组成部件和/或布局进行多种变型和改进。除了对组成部件和/或布局进行的变型和改进外，对于本领域技术人员来说，其他的用途也将是明显的。
【权利要求】
1.一种基于分离映射机制的无源光网络业务保护方法，包括: 步骤一，合法的网络端口通过网络侧的接入交换路由器接入一体化标识网络的虚拟骨干子网，由网络侧的接入交换路由器为接入的合法的网络端口分配与其接入地址存在映射关系的第一路由标识； 步骤二，将合法的用户终端通过光网络终端接入光分配网络，光分配网络通过用户侧的接入交换路由器接入一体化标识网络的虚拟骨干子网，并由用户侧的接入交换路由器分配给接入的合法的用户终端接入标识，用户侧的接入交换路由器存储与接入标识存在映射关系的第二路由标识； 步骤三，将无源光网络中关键设备及提供业务的服务器接入一体化标识网络的虚拟骨干子网中，无源光网络中关键设备及提供业务的服务器都会获得各自唯一的第三路由标识； 步骤四，网络侧的接入路由器判断从合法的网络端口进入的外来数据包中的接入地址是否是网络侧的接入交换路由器分配给接入的合法的网络端口的映射关系中第一路由标识对应的接入地址； 步骤五，网络侧的接入路由器根据步骤四中的判断结果进行与一体化标识网络的虚拟骨干子网中的无源光网络中关键设备及提供业务的服务器进行通信； 步骤六，用户侧的接入路由器判断从合法的用户终端进入的外来数据包中的接入标识是否是用户侧的接入交换路由器分配给接入的合法的用户终端接入标识； 步骤七，用户侧的接入路由器根据步骤六中的判断结果进行与一体化标识网络的虚拟骨干子网中的无源光网络中关键设备及提供业务的服务器进行通信。
2.根据权利要求1所述的基于分离映射机制的无源光网络业务保护方法，其特征在于:所述步骤四中的从合法的网络端口进入的外来数据包中的接入地址是网络侧的接入交换路由器分配给接入的合法的网络端口的映射关系中第一路由标识对应的接入地址，则所述网络侧的接入交换路由器进行与一体化标识网络的虚拟骨干子网中的无源光网络中关键设备及提供业务的服务器进行通信；所述步骤四中的从合法的网络端口进入的外来数据包中的接入地址不是网络侧的接入交换路由器分配给接入的合法的网络端口的映射关系中第一路由标识对应的接入地址，则所述网络侧的接入交换路由器不进行与一体化标识网络的虚拟骨干子网中的无源光网络中关键设备及提供业务的服务器进行通信。
3.根据权利要求1所述的基于分离映射机制的无源光网络业务保护方法，其特征在于:所述步骤六中的从合法的用户终端进入的外来数据包中的接入标识是用户侧的接入交换路由器分配给接入的合法的用户终端接入标识，则所述用户侧的接入交换路由器使用与接入标识存在映射关系的第二路由标识与一体化标识网络的虚拟骨干子网中的无源光网络中关键设备及提供业务的服务器进行通信；所述步骤六中的从合法的用户终端进入的外来数据包中的接入标识不是用户侧的接入交换路由器分配给接入的合法的用户终端接入标识，则所述用户侧的接入交换路由器不进行与一体化标识网络的虚拟骨干子网中的无源光网络中关键设备及提供业务的服务器进行通信。
4.根据权利要求1-3中任一所述的基于分离映射机制的无源光网络业务保护方法，其特征在于:所述无源光网络中关键设备及提供业务的服务器包括网管服务器、用户认证中心、视频服务器或计费服务器。
5.根据权利要求1所述的基于分离映射机制的无源光网络业务保护方法，其特征在于:所述网络侧的接入交换路由器存有合法网络端口接入地址与第一路由标识的映射关系
6.根据权利要求1所述的基于分离映射机制的无源光网络业务保护方法，其特征在于:所述用户侧的接入交换路由器存有合法的用户终端接入标识与第二路由标识的映射关系O
7.根据权利要求1所述的基于分离映射机制的无源光网络业务保护方法，其特征在于:所述合法的用户终端与光网络终端通过交换机或无线连接。
8.根据权利要求1或7所述的基于分离映射机制的无源光网络业务保护方法，其特征在于:所述合法的用户终端包括用户使用的笔记本、台式电脑、手机和平板电脑中的一种或多种。
9.根据权利要求1所述的基于分离映射机制的无源光网络业务保护方法，其特征在于:所述合法的网络端口包括有线电视网、传统电话网和互联网中的一种或多种。
【文档编号】H04L29/06GK103618751SQ201310684571
【公开日】2014年3月5日 申请日期:2013年12月12日 优先权日:2013年12月12日
【发明者】鄢欢, 袁晓君, 张宏科, 宋飞, 高阳阳, 权伟, 杨永祺 申请人:绵阳芯联芯网络科技有限公司