一种防止非法克隆cm接入docsis网络的方法及系统的制作方法
【技术领域】
[0001] 本发明涉及有线电视领域,尤其是一种防止非法克隆CM接入DOCSIS网络的方法 及系统。
【背景技术】
[0002] 基于DOCSIS (有线电缆数据业务接口规范)的双向网络是目前广电行业的主流技 术,也是最成熟的广电网络接入方案。
[0003] CM(CableModem,电缆调制解调器)的MAC地址在DOCSIS网络安全中非常重要, DOCSIS系统中对CM的业务发放和授权都是以CM的MAC地址来作为标识的,因此需要防 止非法CM通过复制合法CM的MAC地址接入DOCSIS网络。DOCSIS早期的BPI (Baseline Privacy Interface Plus,基线加密接口增强)规范中密钥管理协议不能鉴别CM,业务保护 能力较弱。有鉴于此,BPI+增加了基于CM鉴别数字凭证(即X. 509数字证书认证),增强 了业务的保护能力。
[0004] BPI+定义了 CM必须携带有X. 509数字证书,该证书包含有CM的合法MAC地址, 并需使用厂商证书进行数字签名处理,以证明CM的合法性。DOCSIS设备在CM接入DOCSIS 网络的过程中,会对CM上报的数字证书进行X. 509认证,校验数字证书中的MAC地址是否 和CM的MAC地址一致,如果一致,则认为是合法的CM,否则就拒绝CM接入DOCSIS网络。CM 的数字证书还使用了厂商证书的签名,很难伪造,大大提升了 DOCSIS系统的安全性。
[0005] DOCSIS标准的X. 509认证流程中数字证书管理采用以下三层管理的方式:
[0006] (1) ·由 CableLabs (Cable Television Laboratories,美国有线电视实验室)统 一发布和维护根CA证书(Root Certificate Authority证书,简写为Root CA证书);
[0007] (2) ·厂商向 CableLabs 申请厂商 CA 证书(即 Manufacturer CA 证书);
[0008] (3).厂商通过自己的CA证书来签发各自厂商CM设备证书。
[0009] 其中,X. 509认证流程中的数字证书分类如下表1所示。
[0010] 表1数字证书分类
[0011]
[0012] X. 509认证中证书的验证机制需遵循RFC3280的"Basic Path Validation"的要 求。证书的X. 509验证过程如下:
[0013] (1) · CM上报CM设备证书,以及Manufacturer CA证书。
[0014] (2). DOCSIS设备使用Manufacturer CA证书校验CM设备证书的签名 (Manufacturer CA证书,优先选择使用系统中导入的Manufacturer CA证书,如果系统配置 的Manufacturer CA证书不存在,那么才使用CM上报的Manufacturer CA证书)。
[0015] (3). DOCSIS 设备需要验证 Manufacturer CA 证书的合法性,由于 Manufacturer CA证书是采用Root CA来签名的,因此需要采用Root CA证书来验证Manufacturer CA证 书。
[0016] (4). DOCSIS设备需要验证Root CA证书的合法性,Root CA证书是自签名证书,因 此可以自己验证自己^
[0017] 但是,BPI+技术存在着以下缺点:(1)对于不携带X.509数字证书的CM无法支持, 需更换不支持BPI+的CM,可移值性较低;(2) DOCSIS设备需先导入Root CA证书,新采购的 CM需安装设备证书和对应的私钥文件,且不能对外提供任何读写私钥文件的接口,使用成 本较高,操作起来也不够方便。
【发明内容】
[0018] 为了解决上述技术问题,本发明的目的是:提供一种可移值性高、使用成本较低和 操作方便的,防止非法克隆CM接入DOCSIS网络的方法。
[0019] 本发明的另一目的是:提供一种可移值性高、使用成本较低和操作方便的,防止非 法克隆CM接入DOCSIS网络的系统。
[0020] 本发明解决其技术问题所采用的技术方案是:
[0021] -种防止非法克隆CM接入DOCSIS网络的方法,包括:
[0022] Sl、BOSS系统和网管系统定时同步一次CM的MAC地址和用户地址的对应关系并 将该对应关系存储至网管系统的数据库;
[0023] S2、网管系统轮询全网DOCSIS设备,获取所有CM的MAC地址以及在线信息;
[0024] S3、网管系统将获取的CM信息与数据库中存储的数据进行对比,将在不同设备上 具有相同MAC地址且均在线的CM存入克隆CM处理列表中;
[0025] S4、网管系统根据克隆CM处理列表中的信息进行非法克隆CM判断,从而从克隆CM 处理列表中区分出非法克隆CM ;
[0026] S5、对非法克隆CM进行防接入DOCSIS网络处理。
[0027] 进一步,所述步骤Sl,其包括:
[0028] Sll、BOSS系统每天将所有CM的MAC地址与相应的用户地址写入对应关系文件 中;
[0029] S12、BOSS系统的服务器将对应关系文件发送给网管系统的采集服务器;
[0030] S13、网管系统的采集服务器将对应关系文件转换为数据库文件后存入网管系统 的数据库。
[0031] 进一步,所述步骤S2,其具体为:
[0032] 网管系统每小时通过SNMP的方式查询全网的DOCSIS设备,获取这些DOCSIS设备 上所记录的CM MAC地址以及CM是否在线的信息,并将获取的信息存入数据库。
[0033] 进一步,所述克隆CM处理列表中的信息包括但不限于CM的用户地址信息、CM所 在设备信息、光节点信息和光节点所带CM的明细用户地址信息。
[0034] 进一步,所述步骤S4,其包括:
[0035] 网管系统根据CM的用户地址、CM所属区域和机房信息进行非法克隆CM判断,从 而从克隆CM处理列表中区分出非法克隆CM ;
[0036] 网管系统根据CM的用户地址与上行端口信息进行非法克隆CM判断,从而从克隆 CM处理列表中区分出非法克隆CM ;
[0037] 网管系统通过上行端口中所带CM的明细用户地址进行模糊匹配,从而从克隆CM 处理列表中区分出非法克隆CM。
[0038] 进一步,所述步骤S4,其包括:
[0039] 网管系统将克隆CM处理列表发送给相应地段的外线维护人员,由相应地段的外 线维护人员从克隆CM处理列表中区分出非法克隆CM。
[0040] 进一步,所述步骤S5,其具体为:
[0041] 网管系统获取非法克隆CM的CPE地址,并将获取的CPE地址发送给宽带出口处的 网页推送系统,由网页推送系统对非法克隆CM用户的上网行为进行拦截。
[0042] 进一步,所述步骤S5,其具体为:
[0043] 网管系统利用预配置好的设备登录命令自动登录DOCSIS设备,对非法克隆CM调 用重启CM命令或禁止CM登录命令,以使非法CM用户无法正常使用。
[0044] 本发明解决其技术问题所采用的另一技术方案是:
[0045] -种防止非法克隆CM接入DOCSIS网络的系统,包括:
[0046] 同步存储模块,用于BOSS系统和网管系统定时同步一次CM的MAC地址和用户地 址的对应关系并将该对应关系存储至网管系统的数据库;
[0047] 轮询模块,用于网管系统轮询全网DOCSIS设备,获取所有CM的MAC地址以及在线 信息;
[0048] 对比模块,用于网管系统将获取的CM信息与数据库中存储的数据进行对比,将在 不同设备上具有相同MAC地址且均在线的CM存入克隆CM处理列表中;
[0049] 判断模块,用于网管系统根据克隆CM处理列表中的信息进行非法克隆CM判断,从 而从克隆CM处理列表中区分出非法克隆CM ;
[0050] 处理模块,用于对非法克隆CM进行防接入DOCSIS网络处理;
[0051] 所述同步存储模块的输出端依次通过轮询模块、对比模块和判断模块进而与处理 模块的输入端连接。
[0052] 进一步,所述同步存储模块包括:
[0053] 定时写入单元,用于BOSS系统每天将所有CM的MAC地址与相应的用户地址写入 对应关系文件中;
[0054] 发送单元,用于BOSS系统的服务器将对应关系文件发送给网管系统的采集服务 器;
[0055] 转换存储单元,用于网管系统的采集服务器将对应关系文件转换为数据库文件后 存入网管系统的数据库;
[0056] 所述定时写入单元的输出端通过发送单元进而与转换存储单元的输入端连接,所 述转换存储单元的输出端与轮询模块的输入端连接。
[0057] 本发明的方法的有益效果是:利用在不同设备上具有相同MAC地址的CM不会出现 同时在线情况的特性,对全网DOCSIS设备上的CM进行查询,找出同一时间在线并具有相同 MAC地址的CM存入克隆CM处理列表中,然后根据克隆CM处理列表中的信息,从克隆CM处 理列表中区分出