专利名称:一种认证的实现方法和装置的制作方法
技术领域:
本发明涉及网络通讯技术领域,具体涉及一种认证的实现方法和装置。
背景技术:
在宽带接入网络中,城域核心网、城域边缘网的SONET/SDH/GE(同步光纤网/同步数字层次结构/吉比特)的带宽容量非常充裕,而接入网部分存在严重的带宽瓶颈问题。
与电缆传输相比较,光纤传输具有容量大、损耗小、防电磁干扰能力强等优势,随着光纤传输成本的逐步下降,接入网部分的光纤化是接入网发展的必然趋势。
代表着“最后一公里”的接入网段,需要有超低成本、简单结构以及便于实现等特点,这给接入网的具体实现带来了很大的挑战。PON(无源光网络)由于采用无源器件,是实现宽带光接入网中最有潜力的技术。
无源光网络的结构示意图如附图1所示。
在图1中,无源光网络通常包括位于CO(中心局)的OLT(光线路终端)、一系列位于用户驻地的ONT/ONU(光网络单元/光网络终端)即PON用户终端、位于OLT和ONT/ONU之间的由光纤、无源分光器或耦合器构成的ODN(光配线网络)。
PON网络可从服务交换局拉出单根光纤到宽带业务子区或办公园区,然后再用无源分光器或耦合器从主光纤分离出若干支路到各个大楼或业务设备上。该方式可使多个PON用户终端共享从交换局到用户驻地这段相对昂贵的光纤链路,从而极大地降低了光纤到楼(FTTB)和光纤到户(FTTH)的使用成本。
为了有效管理PON中的PON用户终端,防止非法PON用户终端使用网络资源,PON用户终端在使用网络资源前通常需要在局端OLT设备处进行认证。
目前,对用户终端进行认证的方法很多,主要包括如下两种。
方法一运营商在用户终端开户时将认证信息写入PON用户终端,这样,PON用户终端在每次上电之初,在完成PON协议规定的注册过程后,通常会自动向局端OLT设备发起一个认证过程,即PON用户终端读取其内部存储的认证信息并发送给局端OLT设备,如果认证通过,则允许该PON用户终端上网;否则,禁止该PON用户终端上网。
方法二运营商在PON用户终端开户时,将认证信息直接提供给用户。用户在每次上网前通过计算机输入认证信息,计算机通过以太网链路等将认证信息传递给PON用户终端,PON用户终端再根据该输入的认证信息向局端OLT设备发起认证。
在上述目前的认证方法中,PON用户终端的认证信息主要包括MAC地址、序列号、用户名、密码等,或是各元素的任意组合。如果PON用户终端失窃,或者认证信息被他人非法读取而复制到另一台PON用户终端上,或者需要用户输入的认证信息失密,那么他人就可以盗用正常用户的权利上网。
因而,现有的认证方法主要依赖于认证信息的保密性,使认证的安全性差。
发明内容
本发明的目的在于,提供一种认证的实现方法和装置,利用用户终端的位置信息进行认证,以实现提高认证安全性的目的。
为达到上述目的,本发明提供的技术方案包括一种认证的实现方法,包括a、获取用户终端的位置信息;
b、根据所述获取的位置信息、该用户终端对应的预定位置信息对该用户终端进行认证。
所述步骤b具体包括判断所述获取的位置信息与该用户终端对应的预定位置信息的差值是否在预定差值范围内匹配;如果匹配,确定该用户终端为合法的用户终端,认证成功;如果不匹配,确定该用户终端为非法的用户终端,认证失败。
所述步骤b具体包括判断用户终端传输来的认证信息是否与该用户终端对应的预定认证信息匹配、且所述获取的位置信息与该用户终端对应的预定位置信息的差值是否在预定差值范围内匹配;如果用户终端传输来的认证信息与该用户终端对应的预定认证信息匹配、且所述获取的位置信息与该用户终端对应的预定位置信息的差值在预定差值范围内匹配,确定该用户终端为合法的用户终端,认证成功;否则,确定该用户终端为非法的用户终端,认证失败。
所述认证失败的步骤还包括拒绝所述用户终端使用网络资源;和/或产生所述用户终端位置移动的告警信息。
所述位置信息包括折返时间。
所述步骤a之前还包括设置各用户终端与局端设备的数据传输长度至少相差预定长度。
所述局端设备包括局端的光线路终端设备。
所述方法还包括根据需要修改用户终端对应的预定位置信息。
一种认证的实现装置,包括
获取位置信息模块获取用户终端的位置信息,并传输至认证模块;认证模块根据所述获取的位置信息、其存储的用户终端对应的预定位置信息对该用户终端进行认证。
所述装置还包括修改模块修改所述认证模块中存储的用户终端对应的预定位置信息。
通过上述技术方案的描述可知,本发明充分利用PON技术中已有的参数,如RTT值,将RTT值结合用户终端的认证过程,对合法的用户终端予以安全保护,排除了潜在的非法用户终端盗用合法用户终端使用网络资源的情况;由于RTT值在各PON技术中均可方便获得,使本发明的认证方法简单、易实现;通过仅根据RTT值进行认证,或将RTT值与其他认证信息结合起来实现认证,使本发明的认证方法实现灵活;从而通过本发明提供的技术方案实现了提高PON网络用户终端认证安全性的目的。
图1是无源光网络的结构示意图;图2是PON中测量距离功能的实现原理示意图;图3是本发明的认证的实现装置示意图。
具体实施例方式
本发明的方法核心是获取用户终端的位置信息,根据所述位置信息、该用户终端对应的预定位置信息对该用户终端进行认证。
下面基于本发明的核心思想对本发明提供的技术方案做进一步的描述。
由于PON技术在上行链路中使用了TDMA(时分多址)技术,为了充分利用带宽,各种PON技术都应用了测量距离技术来补偿各个PON用户终端到局端OLT设备的距离差。PON中测量距离功能的实现原理如附图2所示。
在图2中,T1与T2的差值即为用户终端的RTT(折返时间)值,RTT值表示PON用户终端到局端OLT设备的距离。
虽然在不同PON技术中实现测量距离的方式略有差异,但各PON技术中都可提供每个在线用户终端的RTT值。
本发明充分利用PON中的已有参数,即RTT值,将RTT值作为用户终端的位置信息,并将用户终端的位置信息作为用户终端在进行认证时的一个认证信息。
本发明中各用户终端对应的预定RTT值应各不相同,这样,在进行PON网络布线时,可人为地使局端OLT设备到各PON用户终端的光纤长度各不相同。
为保证各用户终端在登陆PON网络时,测量出的RTT值各不相同,局端OLT设备到各用户终端的光纤长度的具体差值大于10米即可。在实际布线过程中,由于各用户终端分散在不同地点,各用户终端经过的ODN也各不相同,所以,上述差值大于10米的布线要求很容易满足。
本发明的各用户终端对应的预定RTT值可以为用户终端在开户后,第一次登陆网络时,局端OLT设备主动或被动获取的该用户终端的RTT值;也可以为在指定的某次调试登陆网络时,局端OLT设备主动或被动获取的该用户终端的RTT值。
各用户终端对应的预定RTT值可存储在局端OLT设备认证信息数据库中。上述存储的用户终端对应的预定RTT值可根据需要进行修改,如根据用户终端的修改请求来修改预定RTT值。
在将用户终端对应的预定RTT值存储在认证信息数据库中后,当用户终端以后再次登陆网络需要进行认证时,局端OLT设备可首先主动或被动测量该用户终端的RTT值,然后,将测量的RTT值与其存储的该用户终端对应的预定RTT值进行比较,如果测量的RTT值与其存储的该用户终端对应的预定RTT值的差值在预定的差值范围内,则确定该用户终端为合法的用户终端,认证成功,否则,说明该用户终端的位置已经移动,确定该用户终端为非法的用户终端,认证失败,局端OLT设备应进行认证失败的处理过程,如拒绝该用户终端登陆网络,或产生告警日志以提示维护人员确认处理等。
本发明也可以在用户终端认证时,将位置信息与其他认证信息结合起来对用户终端进行认证。其他认证信息可以为MAC地址信息、序列号、用户名、密码等,其他认证信息也可以是上述认证信息元素的任意组合。
当需要将位置信息与其他认证信息结合起来对用户终端进行认证时,不仅需要用户终端的RTT值与预定RTT值在预定的差值范围内,还需要其他认证信息与局端OLT设备中存储的该用户终端的预定认证信息匹配,才能够确定该用户终端为合法的用户终端,认证成功。
结合其他认证信息进行认证的具体过程举例如下首先,局端OLT设备获取用户终端的RTT值,然后,比较该用户终端传输来的认证信息与其存储的该用户终端对应的预定认证信息是否匹配,如果不匹配,则确定该用户终端为非法用户终端,认证失败,拒绝该用户终端登陆网络;如果匹配,则继续判断该用户终端的RTT值与其存储的预定RTT值的差值是否在预定差值范围内匹配,如果在预定差值范围内匹配,则确定该用户终端为合法用户终端,认证成功;如果在预定差值范围内不匹配,说明该用户终端的位置已经移动,认证失败,局端OLT设备进行位置不匹配认证失败的处理过程,如拒绝该用户终端登陆网络,或产生告警日志以提示维护人员确认处理等。
在设置了用户终端对应的预定RTT值后,当用户终端以后再次登陆网络需要进行认证时,也可以不对用户终端进行有关位置信息的认证,只根据用户终端传输来的认证信息进行认证。
本发明提供的认证的实现装置如附图3所示。
在图3中,本发明的认证的实现装置包括获取位置信息模块、认证模块和修改模块。
认证模块中存储有各用户终端的认证信息,如用户终端对应的预定位置信息。认证模块中还可以存储各用户终端的其他认证信息,如MAC地址、序列号、用户名、密码等。
认证模块接收用户终端的认证请求,并将需要获取该用户终端位置信息的信息传输至获取位置信息模块。
获取位置信息模块获取用户终端的位置信息,并将其传输至认证模块。
认证模块根据获取位置信息模块传输来的位置信息、其存储的该用户终端对应的预定位置信息对该用户终端进行认证,并输出认证成功或认证失败的认证结果。
认证模块进行认证的过程与上述方法中的描述过程相同,如认证模块可以不仅仅根据用户终端的位置信息进行认证,还可以根据用户终端的位置信息、用户终端传输来的其他认证信息对用户终端进行认证。认证模块的认证过程在此不再详细描述。
修改模块主要用于修改认证模块中存储的用户终端对应的预定位置信息,修改模块可以根据用户终端的修改位置信息的申请修改该用户终端对应的位置信息。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,如认证端也可以为其他局端设备、用户终端的位置信息以其他参数来表示等,本发明的申请文件的权利要求包括这些变形和变化。
权利要求
1.一种认证的实现方法,其特征在于,包括a、获取用户终端的位置信息;b、根据所述获取的位置信息、该用户终端对应的预定位置信息对该用户终端进行认证。
2.如权利要求1所述的一种认证的实现方法,其特征在于,所述步骤b具体包括判断所述获取的位置信息与该用户终端对应的预定位置信息的差值是否在预定差值范围内匹配;如果匹配,确定该用户终端为合法的用户终端,认证成功;如果不匹配,确定该用户终端为非法的用户终端,认证失败。
3.如权利要求1所述的一种认证的实现方法,其特征在于,所述步骤b具体包括判断用户终端传输来的认证信息是否与该用户终端对应的预定认证信息匹配、且所述获取的位置信息与该用户终端对应的预定位置信息的差值是否在预定差值范围内匹配;如果用户终端传输来的认证信息与该用户终端对应的预定认证信息匹配、且所述获取的位置信息与该用户终端对应的预定位置信息的差值在预定差值范围内匹配,确定该用户终端为合法的用户终端,认证成功;否则,确定该用户终端为非法的用户终端,认证失败。
4.如权利要求2或3所述的一种认证的实现方法,其特征在于,所述认证失败的步骤还包括拒绝所述用户终端使用网络资源;和/或产生所述用户终端位置移动的告警信息。
5.如权利要求1或2或3所述的一种认证的实现方法,其特征在于,所述位置信息包括折返时间。
6.如权利要求5所述的一种认证的实现方法,其特征在于,所述步骤a之前还包括设置各用户终端与局端设备的数据传输长度至少相差预定长度。
7.如权利要求6所述的一种认证的实现方法,其特征在于,所述局端设备包括局端的光线路终端设备。
8.如权利要求1或2或3所述的一种认证的实现方法,其特征在于,所述方法还包括根据需要修改用户终端对应的预定位置信息。
9.一种认证的实现装置,其特征在于,包括获取位置信息模块获取用户终端的位置信息,并传输至认证模块;认证模块根据所述获取的位置信息、其存储的用户终端对应的预定位置信息对该用户终端进行认证。
10.一种认证的实现装置,其特征在于,所述装置还包括修改模块修改所述认证模块中存储的用户终端对应的预定位置信息。
全文摘要
本发明提供一种认证的实现方法和装置,其方法的核心为获取用户终端的位置信息,根据所述获取的位置信息、该用户终端对应的预定位置信息对该用户终端进行认证。本发明充分利用PON技术中已有的参数,如RTT值,将RTT值结合用户终端的认证过程,对合法的用户终端予以安全保护,排除了潜在的非法用户终端盗用合法用户终端使用网络资源的情况;从而实现了提高PON网络用户终端认证安全性的目的。
文档编号H04Q7/38GK1855813SQ200510066528
公开日2006年11月1日 申请日期2005年4月27日 优先权日2005年4月27日
发明者高海 申请人:华为技术有限公司