专利名称:一种无源光网络的用户认证方法
技术领域:
本发明涉及通信技术领域,特别涉及一种无源光网络的用户认证方法。
背景技术:
在规模越来越大的宽带接入网络中,现有的大部分局域网(LAN)都运行在100Mbit/s的网络上,许多大规模的商业公司正在向吉比特以太网(GE)过渡。而在城域核心网和城域边缘网上,SONET/SDH/GE带宽容量非常充裕,这使得接入网部分产生了严重的带宽瓶颈。
与电缆传输相比较,光纤传输具有容量大、损耗小、防电磁干扰能力强等优势,因而,随着光纤传输的成本逐步下降,接入网的光纤化是必然的发展趋势。代表着“最后一公里”部分的接入网段,有超低成本、简单结构以及便于实现等要求,这给技术实现带来了很大的挑战。而无源光网络(PON,PassiveOptical Network)采用了无源器件,是实现宽带光接入网最有潜力的技术。
从承载的内容来分类,PON技术主要包括APON(ATM Based PONs)、EPON(Ethernet Based PONs)以及GPON(Gigabit PONs)等。无源光网络从中心交换局到用户驻地网之间不存在任何有源器件,取而代之的是将无源光器件插入到网络中,并在整个路径上通过分离光波长的功率来引导传输的流量。这种替换使得服务提供商不再需要向传输环路中的有源器件供能和保养,节约了服务提供商的成本。无源的分光器和耦合器只起到传递和限制光的作用,不需要供电和信息处理,而且具有不受限制的平均故障间隔时间(MTBF),可以全面降低服务供应商的维护成本。
如图1所示,无源光网络通常是由位于中心局(Central Office,CO)的光线路终端(OLT,Optical Line Terminal)和一系列位于用户驻地的光网络单元(ONU,Optical Network Unit)构成,在这些器件中间是由光纤、无源分光器或耦合器构成的光配线网络(ODN)。在一个PON网络中,可从服务交换局拉出单根光纤到宽带业务子区或办公园区,然后再用无源分光器或耦合器从主光纤分离出若干支路到各个大楼或业务设备上。该方式可使多个用户共享从交换局到用户驻地这段相对昂贵的光纤链路,因而也极大降低了光纤到楼(FTTB)和光纤到户(FTTH)的使用成本。
通过采用APON/BPON、EPON或即将标准化的GPON技术,在PON的主干光纤上可以支持155Mbit/s、622Mbit/s、1.25Gbit/s或2.5Gbit/s的速率。为同时支持语音、数据和视频应用,每个用户的带宽分配可以是静态的,也可以是动态的。
ONU承载的业务开始使用时一般需要进行认证,目前按照网络层次和级别,可以分为两阶段认证OLT认证和BRAS(Broadband Remote Access Server,宽带远程接入服务器)认证。OLT认证负责从PON网络到汇聚层网络的闸门开关,BRAS认证负责从用户终端到Internet(业务网络)的闸门开关。
当前PON网络OLT认证过程一般使用ONU的MAC地址或序列号进行认证,即用户在PON网络开户时,服务器登记该用户ONU的MAC地址或序列号,以后该ONU注册到PON网络时按其MAC地址或序列号进行认证,决定是否允许该用户接入运营商网络。
以上过程,在EPON网络中,认证关键信息是MAC地址;在GPON网络中,认证关键信息是ONU序列号。这种认证方式是针对ONU终端设备的,其缺点如下用户更换ONU后,将导致认证失败,无法接入网络;用户开户需要一一登记领用ONU的特征信息(MAC地址,序列号等),流程复杂,极为不便。
发明内容
本发明提供无源光网络的用户认证方法,能够解决用户更换ONU无法接入网络的问题,且不需要用户一一登记领用ONU的特征信息。
本发明的无源光网络的用户认证方法,包括A、光网络单元ONU向光线路终端OLT发起注册或测距请求;B、OLT分配相应的逻辑通道给ONU,并将ONU标识为注册但未认证的状态,关闭ONU到网络侧的通道;C、ONU向OLT发起用户认证请求,在认证请求中携带密码标识;D、OLT根据ONU上报的用户密码标识进行认证判决,并根据判决结果打开或关闭ONU到网络侧的通道。
所述步骤A还包括ONU上报自身设备信息给OLT。
所述步骤C还包括ONU发起认证请求前,检查ONU内部的密码标识是否为空,如果为空,则向用户提示输入密码标识信息。
在EPON网络中,通过扩展以太网操作维护管理OAM协议发送认证请求报文。
在GPON网络中,ONU利用操作管理控制接口OMCI或物理层操作维护管理PLOAM消息向OLT发送用户认证请求报文。
所述步骤D包括D1、OLT接收ONU发出的认证请求消息包,根据密码标识在内部认证信息库中搜索比较;D2、密码标识匹配正确并且权限正常,OLT打开ONU到网络侧的通道,向该ONU回送认证结果报文,然后进行后续ONU配置下发等操作D3、密码标识匹配失败或权限异常,OLT关闭ONU到网络侧的通道,向该ONU回送认证结果报文。
本发明的无源光网络的用户认证方法还包括ONU接收到认证结果报文后,在内部标记认证状态,并根据认证状态确定报文处理模式。
如果认证成功,ONU在PON口和用户端口之间透明传输数据报文;如果认证失败,ONU捕获用户数据报文到ONU内部的CPU,并向用户提示输入密码标识,重新进行认证。
向用户提示输入密码标识通过超文本传输协议HTTP实现。
所述密码标识是PON网络用户向运营商登记开户申请而获得。
发明所述技术方案的有益效果如下本发明的无源光网络的用户认证方法,通过ONU向OLT发送请求报文,请求报文中携带密码标识,OLT根据接收的密码标识判断是否打开ONU到网络汇聚层的通道,使无源光网络用户管理和维护更加简捷方便,提高终端互换性和用户安全性,且用户更换ONU后,新的ONU利用密码标识也能接入网络。
图1为现有技术的无源光网络的功能框图;图2为本发明的无源光网络的用户认证方法的流程图。
图3为本发明的无源光网络的功能框图。
具体实施例方式
在本发明的技术方案中,PON网络用户向运营商登记开户申请时,获得一个用户名和密码,该用户名和密码也可以通过其他方式获得,例如PON网络用户向运营商服务器登记开户申请,由服务器自动配发用户名和密码。对于PON网络的ONU设备,用户可以自行购买市场上符合标准的产品或从运营商领取。
将ONU设备和个人电脑PC等连接正确并上电后,ONU设备开始注册到PON网络的OLT设备。这时用户通过PC访问Internet,ONU设备要求用户输入用户名和密码(譬如通过超文本传输协议HTTP Portal的方式)。ONU得到用户输入的用户名和密码后,通过协议将用户名和密码发送给OLT进行认证,OLT根据内部的认证信息数据库,判断该用户名和密码是否合法。如果合法,则允许该用户上下行流量通过OLT,即打开该ONU到网络汇聚层的通道;如果不合法,则不允许该用户上下行流量通过OLT,即关闭该ONU到网络汇聚层的通道。
运营商服务器提供给用户的用户名和密码可能表现为单一的用户名或密码,用户将输入一串字符作为密码标识,下文将统一使用密码标识指代用户得到的用户名和密码信息。用户在第一次接入网络时,ONU会提示用户输入密码标识,具体实现是通过HTTP portal或Web网管方式,ONU得到用户的密码标识,将通过下述的通信过程向OLT发起用户认证请求,根据认证结果,决定ONU是否被允许接入运营商汇聚层网络。ONU内部可暂时存储用户的密码标识,以便后续接入网络时,ONU根据暂存的密码标识自动向OLT发起用户认证,省略用户输入密码标识的步骤,方便用户使用。
如图2所示,光网络单元ONU上电注册、发起用户认证的过程描述如下步骤100ONU上电后根据OLT下发的协议消息发起注册(EPON)或测距(GPON)请求,在此过程中,ONU上报自身设备信息(MAC地址,序列号等)给OLT;步骤110OLT分配相应的逻辑通道给该ONU(EPON协议中的LLID、GPON协议中的ONUID或PortID),在OLT和ONU之间建立了一条逻辑上的点对点通信链路,OLT将该ONU标识为注册但未认证的状态,关闭其到网络侧的通道,此时该ONU无法接入运营商汇聚层网络;步骤120ONU扩展当前协议,向OLT发送认证请求消息报文,消息中包含用户输入或内部暂存的密码标识;其中,ONU出厂时用户密码标识为空,ONU发起认证请求之前,将检查密码标识是否为空,如果为空,则向用户提示输入密码标识信息,可通过超文本传输协议HTTP方式实现;在EPON网络中,通过扩展以太网OAM(Operation AdministrationManagement,操作维护管理)协议(在EPON网络中即EPON OAM协议)承载。譬如,在802.3ah协议规范中,利用OAM的厂商扩展OrganizationSpecific Information TLV(参考IEEE Draft P 802.3ah/D3.3第57.5.2.3节),自定义Organizationally Unique Identifier后,在Organization Specific Value字段自定义用户认证请求报文的格式,在EPON OAM协议层实现控制报文的承载;在GPON网络中,ONU通过测距阶段后,OLT给ONU分配ONU ID。ONU可利用OMCI(操作管理控制接口)或PLOAM(Physical Layer OAM,物理层操作维护管理)消息向OLT发送用户认证请求报文;步骤130OLT收到ONU发出的认证请求消息包,根据密码标识在内部认证信息库中搜索比较,判断密码标识匹配是否正确,如果匹配正确并且权限正常,进入步骤140,如果匹配失败或权限异常,则进入步骤150;步骤140OLT打开ONU到网络侧的通道,向该ONU回送认证结果报文,然后进行后续ONU配置下发等操作;步骤150OLT关闭ONU到网络侧的通道,向该ONU回送认证结果报文;步骤160ONU接收到认证结果报文后,确定认证是否成功,并在内部标记认证状态(成功或失败),并根据认证状态确定报文处理模式,如果认证成功,进入步骤170,如果认证失败,则进入步骤180;步骤170ONU在PON口和用户端口之间透明传输数据报文;步骤180ONU捕获用户数据报文到ONU内部的CPU,并向用户提示输入密码标识,重新进行认证。
本发明的无源光网络的用户认证方法也可适应于其他的网络,如Xdsl网络,电力线PLC网络或Cable接入网络。
如图3所示,在OLT设备内部使用K1、K2、K3表示ONU1、ONU2、ONU3这三个ONU的控制开关,PON网络用户的OLT认证过程即是通过识别用户的设备信息、用户名密码信息等控制这些开关的打开或关闭。
以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
权利要求
1.一种无源光网络的用户认证方法,包括A、光网络单元ONU向光线路终端OLT发起注册或测距请求;B、OLT分配相应的逻辑通道给ONU,并将ONU标识为注册但未认证的状态,关闭ONU到网络侧的通道;C、ONU向OLT发起用户认证请求,在认证请求中携带密码标识;D、OLT根据ONU上报的用户密码标识进行认证判决,并根据判决结果打开或关闭ONU到网络侧的通道。
2.如权利要求1所述的无源光网络的用户认证方法,其特征在于所述步骤A还包括ONU上报自身设备信息给OLT。
3.如权利要求1所述的无源光网络的用户认证方法,其特征在于所述步骤C还包括ONU发起认证请求前,检查ONU内部的密码标识是否为空,如果为空,则向用户提示输入密码标识信息。
4.如权利要求1、2或3所述的无源光网络的用户认证方法,其特征在于在EPON网络中,通过扩展以太网操作维护管理OAM协议发送认证请求报文。
5.如权利要求1、2或3所述的无源光网络的用户认证方法,其特征在于所述步骤B包括在GPON网络中,ONU利用操作管理控制接口OMCI或物理层操作维护管理PLOAM消息向OLT发送用户认证请求报文。
6.如权利要求1所述的无源光网络的用户认证方法,其特征在于所述步骤D包括D1、OLT接收ONU发出的认证请求消息包,根据密码标识在内部认证信息库中搜索比较;D2、密码标识匹配正确并且权限正常,OLT打开ONU到网络侧的通道,向该ONU回送认证结果报文,然后进行后续ONU配置下发等操作;D3、密码标识匹配失败或权限异常,OLT关闭ONU到网络侧的通道,向该ONU回送认证结果报文。
7.如权利要求6所述的无源光网络的用户认证方法,其特征在于还包括ONU接收到认证结果报文后,在内部标记认证状态,并根据认证状态确定报文处理模式。
8.如权利要求7所述的无源光网络的用户认证方法,其特征在于如果认证成功,ONU在PON口和用户端口之间透明传输数据报文,如果认证失败,ONU捕获用户数据报文,将数据报文传送至ONU内部的CPU,ONU向用户提示输入密码标识,重新进行认证。
9.如权利要求3或7所述的无源光网络的用户认证方法,其特征在于向用户提示输入密码标识通过超文本传输协议HTTP实现。
10.如权利要求1、2、3、6、7或8所述的无源光网络的用户认证方法,其特征在于所述密码标识是PON网络用户向运营商登记开户申请而获得。
全文摘要
本发明涉及一种无源光网络的用户认证方法。本发明的无源光网络的用户认证方法包括光网络单元ONU向光线路终端OLT发起注册或测距请求;OLT分配相应的逻辑通道给ONU,并将ONU标识为注册但未认证的状态,关闭ONU到网络侧的通道;ONU向OLT发起用户认证请求,在认证请求中携带密码标识;OLT根据ONU上报的用户密码标识进行认证判决,并根据判决结果打开或关闭ONU到网络侧的通道。本发明无源光网络的用户认证方法使无源光网络用户管理和维护更加简捷方便,提高终端互换性和用户安全性,且用户更换ONU后,新的ONU利用密码标识也能接入网络。
文档编号H04B10/272GK1968089SQ20061006294
公开日2007年5月23日 申请日期2006年9月29日 优先权日2006年9月29日
发明者高海, 林华枫 申请人:华为技术有限公司