专利名称:一种预防拒绝服务攻击的用户认证方法及系统的制作方法
技术领域:
本发明涉及通信安全领域,尤其涉及一种预防拒绝服务(Denial of Service, DOS)攻击的用户接入认证方法及系统。
背景技术:
随着社会的进步,对网络的需求量将越来越大,越来越离不开网络,所 需要的带宽将越来越高。当前在城域网上带宽容量非常充裕,通常其带宽瓶 颈出现在接入网部分,即通常所说的最后一公里瓶颈。
由于光纤传输具有容量大,耗损小,防电磁干扰能力强,设备占用面积 少,易于铺设,并且,随着技术的进步,需求的增加,光传输成本不断下降, 以后接入网的光纤化是必然的趋势,必然会实现光纤到家,无源光网络技术 是当前最具看好的,最具有潜力,最具有可行性的一种技术。而采用无源光 网络,通常一个光线路终端(OLT)通过光分配网(ODN, Optical Distribution Network)连接多个光网络终端/光网络单元(ONT/ONU), 一般有1: 32, 1: 64或者1: 128等,通常采用树型结构,采用点到多点的通信方式,即OLT 和ONT/ONU之间进行通信。宽带接入市场现阶段的基本特点可概括为一 是随着网络电视(IPTV)等宽带应用的起步,数字用户线(DSL)的提速改 造和接入网管控及服务质量(QoS)性能提升成为了现阶段运营商的工作重 心;二是光进铜退的趋势加速,针对商业用户的点对点光纤到商业用户 (FTTB)应用己日益普及,无源光网络(PON)也开始在光纤到路边 (FTTB/FTTC)、光纤到办公室(FTTO)、光纤到户(FTTH)等不同场合得 到局部应用,发展潜力巨大;三是FTTx+xDSL方式仍然是现阶段的主要建 设模式;四是宽带无线接入WiMAX (宽带无线城域网)开始得到局部试用, 在新兴地区有一定的市场潜力。
对于FTTx+xDSL、 FTTB/FTTC、 FTTO等方式, 一个ONU下可能连接 多个用户,按照当前业务开展方式, 一个用户要能够正常使用网络,首先需
要通过用户身份认证,对于身份认证可以在PON系统的OLT设备上完成或 者在专门认证服务器上进行。如果同时有很多用户发起认证,则很可能OLT 的认证或者认证服务器可能会处理不过来,当然所有正常用户同时发起认证 的可能性几乎没有,并且认证服务器应该有一定的处理能力。但是如果是黑 客采用认证包来发起对认证服务器的拒绝服务(DOS)攻击,可能仅仅从某 个ONU下进行攻击,服务器有可能能够处理过来,如果同时从多个ONU上 进行攻击,可能DOS攻击将会起到效果,将导致认证服务器下所有的正常用 户没有办法得到认证服务器的处理,导致没有办法正常使用网络,导致大面 积用户不能正常得到服务,不能正常使用网络,引起客户不满,进行投诉。 即用户认证采用全部在OLT或者认证服务器上进行认证,很可能受到DOS 攻击。
公开号为"CN1925399"的发明专利申请中披露了一种分布式的认证的 方法。在该方法中,在用户认证通过之前包括禁止来自ONT的非认证消息 的传输,即允许所有的认证消息协议包的传输,其缺点是不能有效地防止 DOS攻击。
发明内容
为了解决上述的技术问题,提供了一种预防DOS攻击的用户接入认证方 法及系统,其目的在于,有效防止恶意用户/黑客利用假认证信息包攻击OLT 或者认证服务器。
本发明提供了一种预防拒绝服务攻击的用户认证方法,包括
步骤l,光线路终端向用户侧设备下发用户身份信息;
步骤2,用户侧设备对用户身份进行认证;
步骤3,认证通过,则向光线路终端或者认证服务器转发用户身份信息, 并执行步骤4,否则丢弃用户身份信息;
步骤4,光线路终端或者认证服务器依据用户身份信息进行认证,并向 用户侧设备返回认证结果,用户侧设备依据认证结果允许或者禁止用户使用 网络。
步骤l中,用户侧设备将接收的用户身份信息保存在其掉电后信息丢失 的内存中。
步骤2包括用户侧设备将接收的用户身份信息和保存在该用户侧设备上 的用户身份信息进行比较,如果一致,则认证通过,否则认证失败。 保存在用户侧设备上的用户身份信息包含用户名。
步骤4中,如果认证结果为认证通过,用户侧设备还向用户返回认证成 功的信息;如果认证结果为认证失败,用户侧设备还向用户返回认证失败的 "(曰息。
本发明提供了一种预防拒绝服务攻击的用户认证系统,包括光线路终端 和/或认证服务器,用户侧设备,
光线路终端,用于向用户侧设备下发用户身份信息;
用户侧设备,用于对用户身份进行认证,认证通过,则向光线路终端或
者认证服务器转发用户身份信息,否则丢弃用户身份信息;还依据光线路终
端或者认证服务器返回的认证结果允许或者禁止用户使用网络-,
光线路终端或者认证服务器,用于依据用户身份信息进行认证,并向用
户侧设备返回认证结果。
用户侧设备为光网络单元,光网络终端,或者包含光网络单元的设备。
用户侧设备将接收的用户身份信息保存在其掉电后信息丢失的内存中。
光线路终端还用于控制用户侧设备管理数据的访问权限。
光线路终端,还用于当发送用户身份信息的速率超过了预设值时,则丢
弃用户身份信息,并且生成告警信息。
本发明能够预先过滤一些非法认证信息,防止恶意用户/黑客利用假认证
信息包攻击OLT或者认证服务器,减轻OLT或者认证服务器处理,并且采
用了一种安全控制对用户侧设备的访问机制,保证了在用户侧设备上的用户
身份信息安全。
图1是本发明提供的方法流程图。
具体实施例方式
本发明中,用户侧设备表示ONU、 ONT、或者包含ONU的设备(例如, ONU和DSLAM在同一个设备中)。
本发明提供的方法是在用户侧设备上接收到用户身份认证消息后,对用
户身份进行第一次简单认证,认证通过后才将用户身份认证信息转发到OLT
或者认证服务器进行认证;OLT或者认证服务器认证成功后,通知用户认证 成功,允许用户使用网络;如果认证失败,则禁止用户使用网络。如果在用 户侧设备上认证失败则直接丢弃用户身份认证信息包,不进行转发,并且禁
止用户使用网络。另外,还采取一种用户侧设备的安全访问机制,通过OLT
设置用户侧设备管理访问权限,避免在用户侧设备上的用户身份信息泄漏。
本发明提供的方法如图1所示,包括
步骤101,将用户身份信息下发到用户侧设备中保存,并且保证其信息 的安全;
步骤102,在用户侧设备上对用户进行身份认证;
步骤103,转发或者拒绝用户身份认证消息;
步骤104,在OLT或者认证服务器上对用户进行身份认证;
步骤105,转发认证结果到用户侧设备;
步骤106,根据认证结果,允许或者拒绝用户使用网络。
下面对本发明提供的方法进行详细描述。
首先来描述将用户身份信息下发到用户侧设备中保存,并且保证其信息 的安全的实现方法。在用户侧设备正常运行后,通过OLT来控制对用户侧设 备的管理数据的访问权限,即只有授权后才能进行安全访问。例如,可以授 权某个用户可以通过上联口或者用户口来访问管理数据;或者禁止所有的用 户访问用户侧设备的管理数据。这样可以保证管理数据的安全性,当然用户 身份信息也得到了安全保证,不会导致用户身份信息泄漏。另外,在用户侧 设备接收到用户身份信息后,仅仅保存在其内存中,不保存在掉电后信息不 丢失的存储器上(例如闪存,或者非易失性随机存取内存),以保证用户侧设 备在掉电后用户身份信息消失,避免通过其他手段从用户侧设备上获取用户 身份信息,进一步保证了用户身份信息的安全。
用户身份信息可以采用如下的方式下发到用户侧设备上,例如,在以太 无源光网络(EPON)中,通过定义其用户身份信息的分支/叶子(Branch/Leaf), 通过其运行、管理和维护(Operations, Administration and Maintenance, OAM) 通道;在千兆位无源光网络(GPON)中,通过定义其用户身份信息的受管
实体(Managed Entity, ME),通过其OMCI (ONU Management and Control Interface, ONU管理和控制接口 )管理通道下发。也可以采用其它方式下发, 如GPON中通过物理层操作维护管理(Physical Layer OAM, PLOAM)通道
下发等等,在此并不进行穷举。
在用户身份信息还没有下发到用户侧设备时,禁止所有的用户访问用户 侧设备,丢弃用户侧所有接收到的包,不进行任何处理,包括用户认证信息 包,即禁止用户的一切网络访问权限。当接收到OLT下发的用户身份信息后, 当还没有认证通过时,禁止用户的网络访问权限,仅仅处理用户认证信息包。 当接收到用户认证信息包时,提取用户身份信息,和保存在用户侧设备上的 信息进行比较,如果一致,则认为不是攻击认证服务器的认证信息,转发该 信息到OLT或者认证服务器,否则直接丢弃该包,同时也可以返回一个认证 失败的消息给用户。其中,保存在用户侧设备上的用户身份信息可以只包含 用户名,也可以根据需要包含其它任意信息。还可以对某个端口发送认证信 息包的速率进行控制,例如,可以每秒最多发送多少个认证信息包(具体数 值可以由用户设置),如果超过了该速率则直接丢弃认证信息包,并且OLT 上告一个告警信息通知网管。
在OLT或者认证服务器上,接收到认证信息包后,经过处理后,将认证 结果返回给用户侧设备。如果认证通过,则认为该用户是合法的用户,返回 认证成功的信息给用户,并且打开用户访问网络权限;如果认证失败,则认 为该用户是非法的用户,返回认证失败的信息给用户,并仍然继续禁止用户 访问网络的权限。
本发明提供的方法能够防止一些恶意、非法的用户采用用户认证信息包 来对OLT或者认证服务器的攻击,将用户认证的第一步分散到各个用户侧设 备上,先进行一次认证,进行过滤处理,分散了风险,分散了处理。即使存 在恶意、非法的用户攻击,也只能攻击某个用户侧设备,攻击将会无效,即 使攻击有效,只能用户侧设备下的部分用户受影响,不会造成大面积用户受 到影响,以致造成恶劣的影响。
本发明提供了一种预防拒绝服务攻击的用户认证系统,包括光线路终端 和/或认证服务器,用户侧设备,
光线路终端,用于向用户侧设备下发用户身份信息;用户侧设备,用于对用户身份进行认证,认证通过,则向光线路终端或 者认证服务器转发用户身份信息,否则丢弃用户身份信息包;还依据光线路 终端或者认证服务器返回的认证结果允许或者禁止用户使用网络
光线路终端或者认证服务器,用于依据用户身份信息进行认证,并向用 户侧设备返回认证结果。
用户侧设备为光网络单元,光网络终端,或者包含光网络单元的设备。 用户侧设备将接收的用户身份信息保存在其掉电后信息丢失的内存中。 光线路终端还用于控制用户侧设备管理数据的访问权限。 光线路终端,还用于当发送用户身份信息的速率超过了预设值时,则丢 弃用户身份信息,并且生成告警信息。
本领域的技术人员在不脱离权利要求书确定的本发明的精神和范围的条 件下,还可以对以上内容进行各种各样的修改。因此本发明的范围并不仅限 于以上的说明,而是由权利要求书的范围来确定的。
权利要求
1.一种预防拒绝服务攻击的用户认证方法,其特征在于,包括步骤1,光线路终端向用户侧设备下发用户身份信息;步骤2,用户侧设备对用户身份进行认证;步骤3,认证通过,则向光线路终端或者认证服务器转发用户身份信息,并执行步骤4,否则丢弃用户身份信息;步骤4,光线路终端或者认证服务器依据用户身份信息进行认证,并向用户侧设备返回认证结果,用户侧设备依据认证结果允许或者禁止用户使用网络。
2. 如权利要求1所述的预防拒绝服务攻击的用户认证方法,其特征在于, 步骤l中,用户侧设备将接收的用户身份信息保存在其掉电后信息丢失的内 存中。
3. 如权利要求1所述的预防拒绝服务攻击的用户认证方法,其特征在于, 步骤2包括用户侧设备将接收的用户身份信息和保存在该用户侧设备上的用户身份信息进行比较,如果一致,则认证通过,否则认证失败。
4. 如权利要求3所述的预防拒绝服务攻击的用户认证方法,其特征在于, 保存在用户侧设备上的用户身份信息至少包含用户名。
5. 如权利要求1所述的预防拒绝服务攻击的用户认证方法,其特征在于, 步骤4中,如果认证结果为认证通过,用户侧设备还向用户返回认证成功的 信息;如果认证结果为认证失败,用户侧设备还向用户返回认证失败的信息。
6. 如权利要求1-5任意一项所述的预防拒绝服务攻击的用户认证方法, 其特征在于,在用户侧设备正常运行后,光线路终端控制用户侧设备管理数 据的访问权限,用户被授权后才能进行安全访问。
7. 如权利要求1-5任意一项所述的预防拒绝服务攻击的用户认证方法, 其特征在于,步骤1中,如果发送用户身份信息的速率超过了预设值,贝瞎 弃用户身份信息,并且生成告警信息。
8. —种预防拒绝服务攻击的用户认证系统,包括光线路终端和/或认证 服务器,用户侧设备,其特征在于,光线路终端,用于向用户侧设备下发用户身份信息;用户侧设备,用于对用户身份进行认证,认证通过,则向光线路终端或 者认证服务器转发用户身份信息,否则丢弃用户身份信息;还依据光线路终 端或者认证服务器返回的认证结果允许或者禁止用户使用网络;光线路终端或者认证服务器,用于依据用户身份信息进行认证,并向用 户侧设备返回认证结果。
9. 如权利要求8所述的预防拒绝服务攻击的用户认证系统,其特征在于,用户侧设备为光网络单元,光网络终端,或者包含光网络单元的设备。
10. 如权利要求8所述的预防拒绝服务攻击的用户认证系统,其特征在于,用户侧设备将接收的用户身份信息保存在其掉电后信息丢失的内存中。
11. 如权利要求8所述的预防拒绝服务攻击的用户认证系统,其特征在 于,光线路终端还用于控制用户侧设备管理数据的访问权限。
12. 如权利要求8所述的预防拒绝服务攻击的用户认证系统,其特征在 于,光线路终端,还用于当发送用户身份信息的速率超过了预设值时,则丢 弃用户身份信息,并且生成告警信息。
全文摘要
本发明涉及一种预防拒绝服务攻击的用户认证方法,包括步骤1,光线路终端向用户侧设备下发用户身份信息;步骤2,用户侧设备对用户身份进行认证;步骤3,认证通过,则向光线路终端或者认证服务器转发用户身份信息,并执行步骤4,否则丢弃用户身份信息;步骤4,光线路终端或者认证服务器依据用户身份信息进行认证,并向用户侧设备返回认证结果,用户侧设备依据认证结果允许或者禁止用户使用网络。本发明能够预先过滤一些非法认证信息,防止恶意用户/黑客利用假认证信息包攻击OLT或者认证服务器,减轻OLT或者认证服务器处理,并且采用了一种安全控制对用户侧设备的访问机制,保证了在用户侧设备上的用户身份信息安全。
文档编号H04L9/32GK101197679SQ20081005566
公开日2008年6月11日 申请日期2008年1月4日 优先权日2008年1月4日
发明者卢金树 申请人:中兴通讯股份有限公司