专利名称::一种无源光网络终端设备防序列号盗用认证方法
技术领域:
:本发明涉及一种网络终端设备认证管理方法,尤其涉及的是一种无源光网络(PON)环境下网络终端设备认证管理方法。技术背景目前网络终端设备认证管理领域已有一种基于序列号进行终端认证的方法,其克服了以太网无源光网络(EPON)系统只依赖介质访问控制子层协议(MAC)地址对光网络单元(ONU)进行认证时存在的问题,如图1所示,描述了光线路终端(OLT)通过对ONU中写入序列号认证结果判断ONU能否接入业务网络的方式。该方式的认证过程如下第一步在ONU本地,将特定的序列号写入ONU设备,作为ONU的标识;第二步在OLT侧,将网管认为"合法的"ONU序列号配置到OLT设备上,建立以序列号为标识的合法ONU信息库;第三步ONU使用MAC地址注册到OLT;第四步OLT侧通过扩展OAM<OperationAdministrationandMaintenance,操作管理维护)命令来获取ONU的序列号,并据此对ONU进行认证;第五步根据认证结果判断控制ONU能否接入业务网络。终端序列号有可能^L盗,导致非法用户ONU接入网络。因为只要将某个ONU序列号配置为已分配的合法序列号,该ONU就可以接入无源光网络使用业务。因此,现有技术有待于完善和发展。
发明内容本发明所要解决的技术问题针对上述现有技术缺陷,提供一种无源光网络终端设备防序列号盗用认证方法,能限制特定用户光网络单元序列号只能在指定的以太网无源光网络的光网络单元上使用的机制,可以有效地阻止非法光网络单元利用合法序列号接入网络。本发明的技术方案如下一种无源光网络终端设备防序列号盗用认证方法,其包括以下步骤A、通过无源光网络管理模块和光线路终端网络管理模块交互,配置光线路终端下各光网络单元序列号与介质访问控制子层协议的绑定状态表;B、为所述光网络单元配置与所述绑定状态表中相对应的序列号;C、在运行中通过序列号认证处理模块判断所述光网络单元的序列号与所述绑定状态表中序列号是否一致,用于防止被盗用。所述的方法,其中,所述步骤C中,包括以下步骤Cl、所述光网络单元完成媒体网关控制协议规定的介质访问控制子层协议认证后,所述光线路终端向所述光网络单元i奮求序列号;C2、所述光网络单元响应所述序列号请求,并将其序列号发送给所述光线路终端;C3、所述光线路终端的序列号认证处理模块^4居所述光网络单元响应的序列号与所述绑定状态表中的序列号进行认证。所述的方法,其中,所述步骤C3还包括才艮据认证的结果判断是否改写所述绑定状态表中的光网络单元序列号状态字^殳和介质访问控制子层协议字段。所述的方法,其中,所述步骤C3中,若所述绑定状态表中无对应的序列号,认证失败。所述的方法,其中,所述步骤C3中,若所述绑定状态表中有对应的光网络单元序列号且对应的状态为允许新光网络单元接入,则将其对应的介质访问控制子层协议地址写入所述绑定状态表的对应介质访问控制子层协议字段,并将其状态修改为已绑定,认证通过。所述的方法,其中,所述步骤C3中,若所述绑定状态表中有对应的光网络单元序列号,且其对应的状态为已绑定,比较其介质访问控制子层协议地址是否一致,若一致,则认证通过;不一致,则认证失败。所述的方法,其中,所述步骤C3中,若所述绑定状态表中有对应的光网络单元序列号,且其对应的状态为准备更换,则比较介质访问控制子层协议地址是否一致,若一致,认证通过;若不一致,更换新的光网络单元,并将其介质访问控制子层协议地址写入所述绑定状态表中的对应该介质访问控制子层协议字段,将其状态修改为已绑定,认证通过。所述的方法,其中,所述步骤C3中,若所述绑定状态表中无对应的光网络单元序列号,且对应的状态为禁止光网络单元接入,则认证失败。所述的方法,其中,在所述步骤A中配置所诉绑定状态表,是在所述光网络单元第一次接入网络时在所述光线路终端上自动完成的。所述的方法,其中,在所述步骤A中配置所述绑定状态表是在友好用户界面下实现的。本发明所提供的无源光网络终端设备防序列号盗用认证方法,由于采用了序列号认证处理模块根据ONU响应的序列号与ONU序列号-MAC的绑定状态表中数据进行序列号认证,通过其认-〖正结果判断所述用户ONU是否可以接入网络的机制,从而有效地阻止了非法的ONU用户被配置为合法的序列号后非法接入网络的可能,保证了EPON的安全性,提高了EPON的可运行维护能力。图1为现有技术中基于序列号EPON终端设备用户ONU认证方法操作流程图;图2是本发明方法ONU序列号-MAC绑定操作流程图;图3是本发明方法ONU序列号状态转换关系图。具体实施方式下面结合附图,将对本发明各较佳实施例进行更为详细的描述。本发明的无源光网络终端i殳备防序列号盗用"i人证方法,在无源光网络系统中OLT为局端设备,ONU为用户端设备,局端OLT和用户ONU间序列号认证的交互协议为扩展OAM协议,所述扩展OAM协议为本领域普通技术人员所了解,因此其具体实现方式在此不再赘述。本发明方法的系统包括以下模块ONU序列号配置模块,ONU序列号认证处理模块,OLT序列号认证处理模块,OLT网络管理模块,PON网络管理模块。所述ONU序列号配置模块处理序列号配置命令,将所述ONU序列号配置为指定的序列号。所述PON管理才莫块和所述OLT管理冲莫块交互,在友好用户界面下配置所述OLT下各ONU序列号与MAC地址的绑定状态表。所述OLT序列号认证处理^t块向所述ONU请求序列号,通过所述ONU序列号和所述绑定状态表进行序列号认证,并根据认证结果判断是否改写所述光绑定状态表中ONU序列号状态字段和MAC字段。所述ONU序列号认证处理模块根据局端OLT对所述ONU的序列号请求向所述OLT发送ONU序列号。本发明方法的实施例具体操作步骤如下第一步通过PON管理模块和OLT网络管理模块交互,在友好用户界面下配置OLT下各ONU序列号与MAC地址的绑定状态表;第二步维护人员通过工具为ONU配置与绑定状态表中相应的序列号。第三步ONU上电后,ONU首先自动完成媒体网关控制协议MGCP规定的MAC认证,然后OLT通过扩展OAM向ONU请求序列号。第四步ONU响应OLT序列号请求,ONU通过扩展OAM协议,将维护人员配置的ONU序列号发送给OLT。第五步OLT序列号认证处理模块根据对ONU序列号和所述绑定状态表进行序列号认证,并根据其认证结果判断是否改写绑定状态表中ONU序列号状态字)炎和MAC字段。为了更好地理解局端OLT序列号认证处理模块,在OLT上增设一表,即为所述绑定状态表,序列号为主键;状态(State)有四个取值允许新ONU接入(O)、已绑定(l)、准备更换ONU(2)、禁止ONU接入(3);<table>tableseeoriginaldocumentpage8</column></row><table>在OLT上以序列号为设备标识符初始配置ONU序列号后,把该ONU序列号写入所述绑定状态表中。OLT序列号认证处理流程如图2所示,其判断操作步骤如下ONU上电后,MAC认证自动完成,在进行序列号认证时,查询所述绑定状态表,分别具有以下几种情况若绑定状态表中无对应的ONU序列号行,认证失败,并告警有非法ONU接入。若绑定状态表中有对应的ONU序列号且对应的State为允许新ONU接入(O),则将其对应MAC地址写入绑定状态表的对应MAC字段,并将其State改写为已绑定(l),认证通过。若绑定状态表中无对应的ONU序列号且对应的State为已绑定(l),比较MAC地址是否一致,若一致,则认证通过;不一致,则认证失败,并告警有非法用户ONU接入。若绑定状态表中有对应ONU(2),则比较MAC地址是否一致,若一致(为老ONU,尚未更换,继续可以使用),^人证通过;若不一致,更换新的ONU,并将MAC地址写入绑定状态表中的对应该MAC字段,将其State改写为已绑定(l),则认证通过。若绑定状态表中无对应的ONU序列号且对应的State为禁止ONU接入(3),则认i正失败。在具体过程中ONU序列号-MAC绑定状态的序列号将可能发生迁移,如图3所示,该图描述了ONU绑定状态表中序列号状态的迁移过程。因此,在安装或更换新ONU,ONU第一次接入时,就完成了ONU序列号-MAC的绑定,从而阻止了其他非法用户ONU接入网络。应当理解的是,上述具体实施例的描述较为详细,不能因此而理解为对本发明专利保护范围的限制,本发明专利保护范围应以所附权利要求为权利要求1.一种无源光网络终端设备防序列号盗用认证方法,其包括以下步骤A、通过无源光网络管理模块和光线路终端网络管理模块交互,配置光线路终端下各光网络单元序列号与介质访问控制子层协议的绑定状态表;B、为所述光网络单元配置与所述绑定状态表中相对应的序列号;C、在运行中通过序列号认证处理模块判断所述光网络单元的序列号与所述绑定状态表中序列号是否一致,用于防止被盗用。2、根据权利要求l所述的方法,其特征在于,所述步骤C中,包括以下步骤C1、.所述光网络单元完成媒体网关控制协议规定的介质访问控制子层协议认证后,所述光线路终端向所述光网络单元请求序列号;C2、所述光网络单元响应所述序列号请求,并将其序列号发送给所述光线路终端;C3、所述光线路终端的序列号认证处理模块根据所述光网络单元响应的序列号与所述绑定状态表中的序列号进行认证。3、根据权利要求2所述的方法,其特征在于,所述步骤C3还包括根据认证的结果判断是否改写所述绑定状态表中的光网络单元序列号状态字段和介质访问控制子层协议字段。4、根据权利要求3所述的方法,其特征在于,所述步骤C3中,若所述绑定状态表中无对应的序列号,认证失败。5、根据权利要求3所述的方法,其特征在于,所述步骤C3中,若所单元接入,则将其对应的介质访问控制子层协议地址写入所述绑定状态表的对应介质访问控制子层协议字段,并将其状态修改为已绑定,认证通过。6、根据权利要求3所述的方法,其特征在于,所述步骤C3中,若所述绑定状态表中有对应的光网络单元序列号,且其对应的状态为已绑定,比较其介质访问控制子层协议地址是否一致,若一致,则认证通过;不一致,则认^正失败。7、根据权利要求3所述的方法,其特征在于,所述步骤C3中,若所述绑定状态表中有对应的光网络单元序列号,且其对应的状态为准备更换,则比较介质访问控制子层协议地址是否一致,若一致,认证通过;若不一致,更换新的光网络单元,并将其介质访问控制子层协议地址写入所述绑定状态表中的对应该介质访问控制子层协议字段,将其状态修改为已绑定,认证通过。8、根据权利要求3所述的方法,其特征在于,所述步骤C3中,若所述绑定状态表中无对应的光网络单元序列号,且对应的状态为禁止光网络单元接入,则认证失败。9、根据权利要求1所述的方法,其特征在于,在所述步骤A中配置所诉绑定状态表,是在所述光网络单元第一次接入网络时在所述光线路终端上自动完成的。10、根据权利要求1所述的方法,其特征在于,在所述步骤A中配置所述绑定状态表是在友好用户界面下实现的。全文摘要本发明揭示了一种无源光网络终端设备防序列号盗用认证方法,包括通过无源光网络管理模块和光线路终端网络管理模块交互,配置光线路终端下各光网络单元序列号与介质访问控制子层协议的绑定状态表;为所述光网络单元配置与所述绑定状态表中相对应的序列号;在运行中通过序列号认证处理模块判断所述光网络单元的序列号与所述绑定状态表中序列号是否一致,用于防止被盗用。本发明方法保证了无源光网络PON的安全性,提高了无源光网络PON的可运行维护能力。文档编号H04L12/56GK101267340SQ200810066210公开日2008年9月17日申请日期2008年3月25日优先权日2008年3月25日发明者立张,谢云鹏申请人:中兴通讯股份有限公司