专利名称:一种以太网无源光网络防攻击方法
技术领域:
本发明涉及通讯领域,特别涉及以太网无源光网络系统防攻击的安全技术。
背景技术:
无源光网络由位于局端的光线路终端(Optical Line Terminal , OLT)和 位于远端的光网络单元(Optical Network Unit , ONU) /光网络终端(Optical Network Terminal, ONT )组成,并由光分配网络(ODN)连4妄形成一个点 到多点的网络。OLT位于根节点,通过ODN与各个ONU/ONT相连。
目前,随着以太网无源光网络(EPON, Ethernet Passive Optical Network) 的部署,EPON系统的安全可靠性的要求越来越高。其中能够有限地防范非 法用户对EPON系统进行侦听、业务盗用和恶意攻击已成为EPON系统的一 项重要功能。
EPON的标准中定义了两种控制报文,分别是EPON OAM (Operation Administration and Maintenance, l喿作管理维护)帧(其以太网协i义类型为 0x8809)和EPON MAC (Medium Access Control, 士某体访问控制)控制帧 (以太网协议类型为0x8808 ),这两种控制寺艮文用于EPON系统的操:作、 管理和维护、时分多址接入、动态带宽分配等重要功能,其安全性关系到整 个EPON系统能否正确运4亍。
从下行方向上看,EPON是一个点到多点的广播系统,OLT和ONU/ONT 通过密钥请求/获取、实时更新机制采用搅动技术对下行数据和控制报文进 行了全部加密,有效地防范了下行方向上非法用户侦听、业务盗用和恶意攻 击。
EPON从上行方向看是一个点到点的系统,天然隔离了各用户, 一定程度上规避了非法侦听、业务盗用的问题。但是由于EPON系统是一个基于以 太网的网络系统,传输的数据都以以太网包的形式进行收发,随着以太网网 络部署和相关技术应用,用户侧的恶意用户可以轻易地仿制EPON系统的控 制才艮文(包括OAM帧和MAC控制帧)通过ONU/ONT侧的以太网网绍4妻 口向上发送进EPON网络中;而OLT无法区别这些控制报文是ONU/ONT
OLT进行例常处理会导致EPON系统的崩溃。
发明内容
本发明要解决的技术问题是提供一种以太网无源光网络防攻击方法,解 决非法用户防冒EPON控制帧对EPON系统进行恶意攻击的问题,增强 EPON系统的安全性。
为了解决上述技术问题,本发明提供了一种以太网无源光网络防攻击方 法,包括在光网络单元即ONU和/或光网络终端即ONT侧设置过滤规则, 将用户上行发送的操作管理维护OAM帧或媒体访问控制MAC控制帧过滤 掉。
进一步地,上述方法还可具有以下特点,ONU和/或ONT收到用户侧 上行以太网包后,检测上行以太网包的协议字段,如果协议类型为OAM帧 或MAC控制帧,则不向上转发该以太网包。
进一步地,上述方法还可具有以下特点,所述ONU和/或ONT不向上 转发该以太网包是指,ONU和/或ONT丟弃该以太网包或将所述以太网包 送至本地处理模块。
进一步地,上述方法还可具有以下特点,如果协议类型指示该以太网包 不是OAM帧或MAC控制帧,则ONU和/或ONT进行正常的转发处理,向 上转发所述以太网包。
本发明技术适用于EPON系统所有应用场合。由于采用了以上的技术方的控制报文对EPON系统的恶意攻击。本发明设计简单,容易实现,且提高 了系统的安全性。
图1为本实施例EPON系统处理流程图。
具体实施例方式
下面结合附图和具体实施方式
对本发明作进一步详细说明。
为了防止受到用户非法仿制报文,需要在ONU和/或ONT (以下简称 为ONU/ONT)设置过滤规则,强制过滤掉用户侧向上发送的EPON系统的 OAM帧和MAC控制帧,该设置可以在出厂时进行,也可以在设备运行期 间进行。
无源光网络防攻击方法如图1所示,包括如下步骤
步骤110, ONU/ONT设定针对用户侧上行数据的强制过滤规则;
步骤120, ONU/ONT在收到上行的以太网包后,检测上行的每一个以 太网包的协议字,殳,判断以太包的协议类型是否为OAM帧或MAC控制帧, 如果是执行步骤130,否则,执行步骤140;
步骤130,当才全测到协议类型为0x8808或0x8809的以太网包时, ONU/ONT不向上转发该以太网包,ONU/ONT丢弃该包或提取至本地异常 处理模块;
由于在正常情况下OAM帧和MAC控制帧这两种特殊的MAC帧都由 ONU/ONT内部产生,而非ONU/ONT下的用户的生成,因此ONU/ONT需 要将用户侧发上来的这两种帧全部过滤掉。
步骤140, ONU/ONT进行正常转发处理,向上转发该以太网包。
权利要求
1、一种以太网无源光网络防攻击方法,其特征在于,在光网络单元即ONU和/或光网络终端即ONT侧设置过滤规则,将用户上行发送的操作管理维护OAM帧或媒体访问控制MAC控制帧过滤掉。
2、 如权利要求l所述的方法,其特征在于,所述方法进一步包括ONU和/或ONT收到用户侧上行以太网包后,;险测上4亍以太网包的协 议字段,如果协议类型为OAM帧或MAC控制帧,则不向上转发该以太网 包。
3、 如权利要求2所述的方法,其特征在于,所述ONU和/或ONT不向上转发该以太网包是指,ONU和/或ONT丢 弃该以太网包或将所述以太网包送至本地处理才莫块。
4、 如权利要求2所述的方法,其特征在于,如果协议类型指示该以太网包不是OAM帧或MAC控制帧,则ONU 和/或ONT进行正常的转发处理,向上转发所述以太网包。
全文摘要
本发明公开了一种以太网无源光网络防攻击方法,解决非法用户防冒EPON控制帧对EPON系统进行恶意攻击的问题,增强EPON系统的安全性。所述方法包括在光网络单元即ONU和/或光网络终端即ONT侧设置过滤规则,将用户上行发送的操作管理维护OAM帧或媒体访问控制MAC控制帧过滤掉。
文档编号H04L29/06GK101453464SQ20071019651
公开日2009年6月10日 申请日期2007年11月28日 优先权日2007年11月28日
发明者张博山 申请人:中兴通讯股份有限公司