专利名称:一种gpon网络中onu身份认证方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种千兆无源光网络(GPON)系统中的光网络单元(ONU)身份认证方法。
背景技术:
GPON技术是基于国际电信联盟ITU-T G.984.x标准的最新一代宽带无源光综合接入技术,具有高带宽、高效率、大覆盖范围、用户接口丰富等众多优点,被大多数运营商视为实现接入网业务宽带化、综合化改造的理想技术。但是,GPON网络安全性方面存在诸多问题,包括但不限于:I),拒绝服务攻击(DOS):此类攻击种类繁多,可以在不同的层面上实施。恶意的ONU可以在数据链路层实施攻击,如伪装合法用户进行注册,通过频繁注册来耗尽OLT的资源从而使得合法用户无法注册等等。2),窃听:由于PON(无源光网络)系统的点到多点结构特性,其下行传输是广播式的,一个ONU在物理上可以收到光线路终端(OLT)发向其他ONU的信息,恶意用户就有可能在某个下路点侦听到下行帧的信息,而为保障下行信息安全,GPON在传输汇聚层引入安全加密机制,OLT通过ONU提供的密钥,对下行流量进行加密处理。在这方面GPON最初使用安全性较低的加扰算法,目前已经更新为安全性更高的高级加密标准(AES),其中的加密密钥是以明文的形式由ONU定时发送给OLT的。然而这样的安全机制是建立在PON光通讯的有向性(即当一个ONU向OLT发送光信号是,其他ONU不能接收到该ONU发给OLT的上行光信号)的基础上的。实际部署经验表明由于光分离器和施工质量等原因,ONU也有可能接收或检测到其它ONU发送的光信号。由此可见目前的安全机制存在缺陷,OLT与ONU之间的密钥协商机制不具有可扩展性且安全性差。此外,上行链路的安全性也值得考虑,ONU的上行帧以明文(包括密钥)传送到0LT,恶意用户可由此获取其他ONU的密钥或其他信息。鉴于前述原因,ITU-T G.987.3规范约定了几种基本认证方式,OLT可支持序列号、序列号加密码、或仅密码的方式对ONU进行身份认证、以及基于明文的密钥交换机制。例如,ONU在激活过程中通过物理层操作管理和维护(PLOAM)消息将ONU序列号、密码上报给OLT, OLT可以根据这两个信息验证ONU的合法性,但前述几种认证方式仅仅为GPON提供基本级别的认证机制,是强制要求实现的基本认证功能。作为GPON的延伸,XG-PON规范进一步增加了两种新的ONU身份认证方法,称为强认证方式(Strong Authentication),第一种是基于操作管理控制接口(OMCI)来实现身份认证,第二种是基于802.1X来完成身份认证以及密钥协商。但这两种身份认证方式还存在着共同的弱点:在进行这两种强认证方式之前,ONU需要通过基本认证方式的认证,此时在通常意义上ONU已经完成了注册激活并进入正常工作状态,更进一步地,OLT已经为该ONU分配了相应的资源:基于OMCI的身份认证在执行强认证时,OLT已经为将要对其进行身份认证的ONU分配了 OMCI专用的GPON封装方法(GEM)端口 ;基于802.1X的身份认证在执行强认证时,OLT不仅已经分配了 OMCI专用GEM端口以及用于802.1X认证的GEM端口,还已经分配了进行802.1X认证所必须的资源。总而言之,以上两种身份认证方式在执行强认证之前实际上已经接受了 ONU注册,并为其分配了资源,因此存在可以实施针对OLT资源的DOS攻击以及使用OLT已经分配的GEM端口交换其他信息等安全问题。
发明内容
本发明旨在提供一种GPON网络中对ONU进行身份认证的技术方案,可使得GPON网络系统中的身份认证具有较强的可扩展性,增强系统的安全性。根据本发明的一个方面,这里提供一种GPON网络系统中对ONU进行身份认证的方法,所述GPON网络系统包括OLT及其所连接若干0NU,首先,约定用于身份认证的PLOAM消息类型;之后,OLT与ONU之间根据所述PLOAM消息类型进行基于EAP (扩展认证协议)的身份认证协议报文交换,OLT根据所述协议报文交换对ONU进行认证处理。 优选地,前述方法中,OLT与ONU可进一步执行基于EAP的身份认证协议下的密钥机制协商,其中密钥机制协商过程由EAP所封装的身份认证方法所规定。优选地,前述方法中的认证处理可被配置在ONU激活之前,OLT根据认证处理结果确定是否接受ONU注册。根据本发明的另外一个方面,这里提供一种GPON网络系统的OLT中对ONU进行认证的方法,首先,它确定用于身份认证的PLOAM消息类型;之后,它通过所述PLOAM消息类型与ONU进行基于EAP的身份认证协议报文交换;最后,根据所述协议报文交换对ONU进行认证处理。优选地,前述方法中,OLT可进一步通过所述EAP报文交换与ONU进行密钥机制协商,其中密钥机制协商过程由EAP报文所封装的身份认证方法所规定。优选地,前述方法中,OLT对ONU的认证处理可被配置在ONU激活之前,OLT根据认证处理结果确定是否接受ONU注册。根据本发明的另外一个方面,这里提供一种GPON网络系统的ONU中进行身份认证的方法,ONU确定用于身份认证的PLOAM消息类型;通过所述PLOAM消息类型与OLT进行基于EAP的身份认证协议报文交换;接收来自OLT的身份认证处理结果。优选地,前述方法中,ONU可通过所述EAP报文交换进一步与OLT进行密钥机制协商,其中密钥机制协商过程由EAP所封装的身份认证方法所规定。本发明技术优势:通过本发明所提供的实施例方案,OLT和ONU通过特定PLOAM消息类型来交换EAP报文,从而可支持多种类型的身份认证方法,系统可选的身份认证方式灵活,可扩展性强,并且可做到后向兼容现有标准安全方案。进一步地,根据EAP报文中所使用的身份认证方法规定的密钥机制协商,OLT与ONU之间可根据协商后的加解密算法及密钥对上、下行数据流进行加解密处理,它们之间不以明文形式交换密钥信息、密钥交换可更为安全;现有的加密和解密功能也可被再利用。通过本发明所提供的实施例方案,在ONU认证成功之前,ONU没有进入工作状态、系统不需要为该ONU建立OMC I通道和GEM端口,如此,可避免OLT受到针对这些资源而进行DoS攻击,杜绝了非法用户利用这些资源进行通信或者其他用途的可能,从而保障系统 更加安全。
通过下面提出的结合附图的详细描述,本发明的特征、性质和优点将变得更加明显,附图中相同的元件具有相同的标识,其中:图1为本发明所提供的GPON系统中的协议栈结构图例;图2为本发明所提供的基于特定PLOAM消息类型的EAP报文结构图例;图3为本发明所提供的GPON系统中ONU激活流程图例;图4为本发明所提供的GPON系统中ONU身份认证流程图例.
具体实施例方式下面结合附图,对本发明的优选实施方式进行详细的说明。图1是本发明所提供的GPON系统中的协议栈结构图例,它包括一个物理介质(PMD)层、GPON传输汇聚(GTC)层、以及PLOAM模块,OMCI模块,GEM客户端。其中:PMD层为对应于OLT和ONU之间的光传输接口 ;GTC层是GPON的核心层,包括GTC成帧子层和GTC适配子层:GTC成帧子层包括复用和解复用、帧头生成和解码、内部路由功能3个功能;GTC适配子层提供了 2个TC适配器,即GEMTC适配器和OMCI适配器,OMCI适配器通过规范的ONT管理控制接口接收来自OLT中的相关OMCI指令来控制ONT,GEMTC适配器生成来自GTC成帧子层各GEM块的协议数据单元(TOU),并将这些PDU映射到相应的块。PLOAM模块用于物理层的操作、管理及维护,完成ONU的注册及ID分配、测距、端口号(Port ID)分配、VPI/VCI分配、数据加密管理、状态检测、误码率监视等功能。OMCI模块提供了一种管理更高层的通用方式,通过它OLT可建立和释放与ONT之间的连接、管理ONT上的UN1、请求配置信息和性能统计、向系统管理员自动上报事件,如链路故障等。如前所述,在OLT接受ONU注册之后,OLT为该ONU分配OMCI专用的GEM资源,OLT与ONU之间可通过该OMCI机制来进行身份认证和密钥协商,OLT可启动双向认证过程,OLT和ONU之间共享一个MSK,但该认证方式与询问握手认证协议(CHAP)协议相似,可扩展性差,如果要支持新增的身份认证协议需要逐一扩展OMCI消息。GEM客户端通过GEM端口 ID来标识自己的业务流量并利用GPON来进行通信;如前所述,在OLT接受ONU注册之后,OLT和ONU之间可基于该GEM客户端来实现基于802.1X的身份认证和密钥协商.实现该方式下的强身份认证时,OLT不仅已经分配了 OMCI专用GEM端口以及用于802.1X认证的GEM端口,还已经分配了进行802.1X认证所必须得资源;而且,在使用802.1x进行身份认证时,需要按照802.1X的模型对非受控端口(UncontrolledPort)和受控端口(Controlled Port)按照认证过程进行分别控制。根据本发明所提供的实施例中,协议栈结构将进一步包含一个EAP(扩展认证协议)模块,我们将基于PLOAM模块来交换用于身份认证的EAP报文、实现ONU的身份认证。OLT及ONU之间可通过特定PLOAM消息类型来承载基于EAP的身份认证协议报文,OLT可对ONU所提供的身份信息进行本地认证处理,进而决定是否接受该ONU注册并为该ONU分配资源。
OLT在进行认证处理时,也可执行认证服务器和ONU之间的的EAP报文转发,由认证服务器来实现EAP报文所封装使用的各种身份认证方法,OLT只需关心认证服务器返回的认证结果,进而决定是否接受该ONU注册并为该ONU分配资源。根据EAP所封装使用的身份认证方法不同,EAP方式下的某些身份认证协议可进一步支持密钥机制协商,OLT(或认证服务器)与ONU之间可自行协商密钥机制,包括:0LT和ONU所使用的加解密算法、及密钥等,以支持对上、下行的数据加解密处理。如此,在现有AES加密算法被破解的情形下,系统可以使用更强的加密算法,为系统更新为安全性更高的高级加密标准;0NU的上行数据帧可按照约定的加密算法以非明文方式传送到0LT,其安全性得到保证。从前述协议栈结构图例可见,由于系统在ONU认证成功之前只接受特定类型的PLOAM消息,实现方 式更为简单;在ONU身份认证成功之前,系统不需要为该ONU建立OMCI通道和GEM端口,如此,可避免OLT受到针对这些资源的DoS攻击,杜绝了利用这些通道进行通信或者其他用途的可能,从而更加安全。图2为本发明所提供的基于特定PLOAM消息类型的EAP报文结构图例,一个PLOAM消息有13字节长,包括Message_ID、0NU_ID、Data、CRC域,其中:Message_ID表示该PLOAM消息的类型,在G.984.3协议规范中定义了 19种下行PLOAM消息类型,9种上行PLOAM消息类型,可实现ONU的注册及ID分配、测距、状态检测、误码率监视等功能,这里OLT与ONU之间可以约定特定的上、下行PLOAM消息类型以实现EAP报文交换。0NU_ID表示该PLOAM消息所对应的目的ONU,ONU ID = 11111111表示是广播信
息OCRC是该域的校验字段,如果CRC校验出错,就丢弃该消息。根据本发明所提供的实施例,Data域用于表示前述约定PLOAM消息类型下的负荷为EAP数据包,一个EAP数据包结构包括Code, Ident ifier, Length, Data字段,其中:Code字段为I个字节,指明EAP数据包的类型,共有4种=Request (请求)、Response (响应)^Success (成功)、Failure (失败),其中:Success 和 Failure 类型的 EAP包没有Data域,相应的Length域的值为4 ;Request和Response类型的EAP包的Data域格式将进一步包括一个EAP Type,以表示EAP的身份认证方法类型,以及一个Type Data,其内容由前述身份认证方法类型决定。例如,EAP Type值为I时代表I dent it y,用来查询对方的身份;EAP Type值为4时,代表EAP-MD5认证方法,类似于PPP CHAP协议,包含质询消息,EAP Type值为13时指明为EAP-TLS认证方法。I dentifier字段:用于匹配Request消息和Response消息。Length 字段:EAP 包的长度,其长度包含 Code、Identifier、Length 和 Data 域,由Code类型决定,单位为字节。值得说明的是,鉴于PLOAM消息的长度限制,一个EAP消息在发送端可被分段处理封装在多个PLOAM消息中,并在接收端重新进行组装,由于PLOAM消息和EAP消息都没有消息序列号,但都是请求、应答式协议,因此可以重新组装。从前述结构图例可见,通过特定PLOAM消息类型以实现身份认证,可扩展性上比较灵活,可扩展性好,如果系统要支持新增的身份认证协议也不需要再对PLOAM消息进行扩展,OLT与ONU基于前述EAP报文结构即可协商指定双方都支持的认证方法、甚至密钥机制。图3为本发明所提供的GPON系统中ONU激活流程图例,在GPON相关规范中,OLT和ONU之间协商工作参数、测量OLT和ONU之间的逻辑距离、建立上下行通信通道,ONU的激活过程由OLT控制,其激活过程大致包括三个阶段:0NU初始化、序列号获取、测距。根据本发明所提供的实施例,OLT在ONU激活之前中将对其进行身份认证,认证成功后ONU方可被激活进入工作状态,OLT为其分配相关资源;对认证失败的0NU,由于系统不需要为该ONU建立OMCI通道和GEM端口等相关资源,从而可避免不必要的系统资源开销、也可一定程度上避免OLT受到DoS攻击,降低系统风险,结合图例ONU激活流程,包括如下步骤:步骤S301, ONU初始化,ONU通过Upstream_Overhead消息接收工作参数,ONU根据接收到的工作参数调整自己的参数(如:发送光功率);步骤S302,序列号获取,OLT通过Serial_Number_Acquisition流程发现新ONU的序列号,OLT给所有新ONU分配0NU_ID ; 步骤S303,ONU根据所获得的0NU_ID进行身份认证,在认证过程中,OLT与ONU之间将基于约定的PLOAM消息类型进行EAP报文交换,ONU可通过其最终获得的EAP-SUCCESS或EAP-FAILURE消息知道是否通过身份认证,其具体流程图例可进一步参考以下图例4的说明。步骤S304,测距,在ONU身份认证通过后,OLT测量该ONU的均衡时延,OLT将测量的均衡时延传送给0NU,该ONU根据均衡时延调整其上行帧的发送起始点。步骤S305,ONU被激活进入工作状态,此时,系统局端OLT为其分配好相关资源。以上激活过程是通过交互上下行标记(Flag)以及PLOAM消息来完成的。在前述实施例中,ONU在执行步骤S303的身份认证之后,再启动步骤S304下的测距操作。由于ONU身份认证安排在测距之前,ONU和OLT之间的认证通信使用静默窗口的形式。静默窗口的特性决定了当多个ONU在同一静默窗口内与OLT进行通信的时候可能会造成冲突、从而存在重发消息而导致认证效率可能会降低,但是在ONU认证成功之前,系统不需要对其进行测距操作,可在一定程度上节约系统资源。根据本发明所提供的另外一种实施例,前述ONU激活过程中,ONU在获得新的0NU_ID后可首先执行步骤S304下的测距操作,在测距完成之后,各个ONU即可使用各自授权窗口与OLT通信,再启动步骤S303的身份认证,在认证过程中,OLT与ONU之间将基于约定的PLOAM消息类型进行EAP报文交换,如此,ONU使用各自专用通道与OLT进行通信不会造成不同ONU之间的冲突,认证效率比较高。图4为本发明所提供的GPON系统中ONU身份认证流程图例,结合前图例3中的ONU激活过程,在ONU获得的其0NU_ID之后,它可发起身份认证,在认证过程中,OLT与ONU之间将基于约定的PLOAM消息类型进行基于EAP方式下的身份认证报文交换,本例中我们以采用EAP-MD5认证方法为例进行说明:S401, ONU向OLT发送EAP-Start,请求进行接入认证,开始认证过程。S402, OLT 向 ONU 发送 EAP-REQUEST-1dentity 要求验证该 ONU 身份的请求。S403,0NU向OLT发送EAP-RESPONSE-1dentity回应,其中包括该ONU的用户信息,其用户信息可以是ONU序列号(Serial Number)、密码(Password)或其它约定信息,如此可提升认证的灵活性。S404,0LT 向 ONU 发送 EAP-REQUEST-MD5_Challenge 要求验证密码的 MD5 校验值。S405, ONU 向 OLT 发送 EAP-RESP0NSE-MD5_ChalIenge 回应。S406, OLT根据用户信息及所提供的MD5校验值,做MD5算法,可通过本地认证处理方式判断该ONU用户是否合法,即OLT终结所接收到的EAP报文,根据本地的ONU认证数据库完成对该ONU的身份认证然后发送EAP-Success或EAP-Failure (成功或失败)报文到0NU。如果认证成功,OLT则接受ONU注册,它可在前述EAP-Success报文携带协商参数,以及该ONU用户的相关业务属性给用户;如果认证失败,OLT则拒绝ONU注册,它可通过前述EAP-Failure报文通知ONU。在前述实施例中,OLT可通过远程认证处理方式判断该ONU用户是否合法,即OLT不终结所接收到的EAP报文,而是执行认证服务器和ONU之间的EAP报文转发,具体地,它提取来自ONU的PLOAM消息中的EAP报文,将其封装在一个RADIUS (远程用户拨号认证)协议消息或者DIAMETER协议消息中传递给远程认证服务器,即:将前述步骤S403、S405中来自 ONU 的 EAP-RESP0NSE 报文(EAP-RESPONSE/Identity、EAP-Response-MD5-Challege)封装到一个RADIUS Access-Request (接入请求)报文中发送给远方的认证服务器;或将来自认证服务器的RADIUS消息或者DIAMETER消息中EAP报文封装在特定类型的PLOAM消息中传递给0NU。如此,由认证服务器来真正实现各种认证方法,OLT只需关心认证结果,进而决定是否接受该ONU注册并为该ONU分配资源。值得说明的是,EAP是一个认证框架协议,不是一个特殊的认证机制,EAP提供一些公共的功能,并且允许认证双方协商所希望的EAP认证方法,现在大约有40种不同的认证方法。IETF(Internet工程任务组)的RFC中定义的方法包括:EAP_MD5,EAP-OTP,EAP-GTC, EAP-TLS, EAP-SMjP EAP-AKA,前述实施例中所示意的EAP-MD5认证方法是一个IETF开放标准,提供最少的安全。OLT与ONU之间还可基于前述EAP报文来实现密钥机制协商,密钥机制协商可以通过两种方式完成:1)、通过特定的身份认证方法所规定密钥交换方式来完成密钥机制协商,如传输层安全协议(EAP-TLS)身份认证方法,它在身份认证的过程中已经支持在数据交换之前进行相互鉴定,并协商加密算法和密钥。协商结果的密钥可以作为主控密钥MK (MasterKey),MK经过一定的变换(例如使用MD5与其他认证双方交换的一些随机信息进行处理)将变换得到密钥作为数据加密密钥;或者将MK或前述变换后的密钥作为密钥加密密钥KEK (Key Encryption Key),用 KEK 对数据加密密钥(Data Encryption Key:DEK)进行加密之后再封装在EAP消息中在认证的双方间进行交换(密文形式的交换)。2)、在身份认证协议的基础上也可定义扩展密钥交换协议,并使用扩展EAP消息来交换密钥信息,这里不再累述。如此,OLT与ONU之间如果对数据加解密使用现有算法处理,它们可自行协商密钥机制以支持对上下行的数据加密,OLT和ONU现有的加密和解密功能可被再利用;此外,OLT与ONU之间也可通过密钥机制协商约定相互支持的上、下行加解密算法及密钥参数,系统可以使用更强的加密算法,为系统更新为安全性更高的高级加密标准。尽管上述说明为本发明提供了一些实施例,并非用来限定本发明的保护范围,本领域的技术人员能进一步理解,结合这里公开的实施例所描述的各种说明性的逻辑模块或步骤可以作为电子硬件、计算机软件或二者的组合来实现。为了清楚说明硬件和软件之间的互换性,各种说明性的逻辑模块或步骤一般按照其功能性进行了阐述。这些功能性究竟作为硬件或软件来实现取决于整个系统所采用的特定的应用程序和设计。技术人员可以认识到这些情况下硬件和软件的交互性,以及怎样最好地实现每个特定应用程序的所述功能。技术人员可能以对于每个特定应用不同的方式来实现所述功能,但这种实现决定不应被解释为造成背离本发明的范围。
权利要求
1.一种GPON(千兆无源光网络)系统中对ONU(光网络单元)进行身份认证的方法,所述GPON网络系统包括OLT (光线路终端)及其所连接若干0NU,其特征在于,包括如下步骤: a.约定用于身份认证的PLOAM(物理层操作管理和维护)消息类型; b.0LT与ONU之间根据所述PLOAM消息类型进行基于EAP (扩展认证协议)的身份认证协议报文交换; c.0LT根据所述协议报文交换对ONU进行认证处理。
2.如权利要求1所述的方法,其特征在于所述步骤c中,认证处理被配置在ONU激活之前,OLT根据认证处理结果确定是否接受ONU注册。
3.如权利要求1所述的方法,其特征在于所述步骤c中,OLT在进行认证处理时,可执行认证服务器和ONU之间的的EAP报文转发,OLT根据认证服务器的认证处理结果确定是否接受ONU注册。
4.如权利要求1至3任一权项所述的方法,其特征在于所述步骤b中,OLT与ONU进一步执行基于EAP的身份认证协议下的密钥机制协商,其中密钥机制协商过程由EAP报文所封装的身份认证方法所规定。
5.一种GPON网络系统的OLT中对ONU进行认证的方法,其特征在于包括如下步骤: al,确定用于身份认证的PLOAM消息类型; bl,通过所述PLOAM消息类型与ONU进行基于EAP的身份认证协议报文交换; Cl,根据所述协议报文交换对ONU进行认证处理。
6.如权利要求5所述的方法,其特征在于所述步骤Cl中认证处理被配置在ONU激活之前,OLT根据认证处理结果确定是否接受ONU注册。
7.如权利要求5所述的方法,其特征在于所述步骤Cl中,OLT在进行认证处理时,可执行认证服务器和ONU之间的的EAP报文转发,OLT根据认证服务器的认证处理结果确定是否接受ONU注册。
8.如权利要求5至7任一权项所述的方法,其特征在于所述步骤bl中,OLT进一步通过所述EAP报文交换与ONU进行密钥机制协商,其中密钥机制协商过程由EAP报文所封装的身份认证方法所规定。
9.如权利要求5至7任一权项所述的方法,其特征在于所述认证处理被配置在对ONU进行测距之前执行,ONU和OLT之间的用于身份认证的PLOAM消息使用静默窗口形式。
10.如权利要求5至7任一权项所述的方法,其特征在于所述认证处理被配置在ONU测距之后执行。
11.一种GPON网络系统的ONU中进行身份认证的方法,其特征在于包括如下步骤: a2.确定用于身份认证的PLOAM消息类型; b2.通过所述PLOAM消息类型与OLT进行基于EAP的身份认证协议报文交换; c2.接收来自OLT的认证处理结果。
12.如权利要求10所述的方法,其特征在于所述步骤b2中,ONU通过所述EAP报文交换进一步与OLT进行密钥机制协商,其中密钥机制协商过程由EAP所封装的身份认证方法所规定。
全文摘要
本发明提供了一种GPON网络系统中对ONU进行身份认证的方法,所述GPON网络系统包括OLT及其所连接若干ONU,其中,OLT与ONU之间约定用于身份认证的PLOAM消息类型,根据所述PLOAM消息类型进行基于EAP的身份认证协议报文交换;OLT根据所述协议报文交换对ONU进行认证处理,认证处理可被配置在ONU激活之前,OLT根据认证处理结果确定是否接受ONU注册。使用本发明技术方案下的GPON系统可支持多种类型的身份认证方法,可扩展性强,并可进一步根据所使用的身份认证方法规定的密钥机制协商来协商加解密算法及密钥,以对上、下行数据流加密;在ONU认证成功之前,系统不需要为该ONU建立相关资源且系统更加安全。
文档编号H04L9/08GK103200161SQ201210006479
公开日2013年7月10日 申请日期2012年1月10日 优先权日2012年1月10日
发明者姚亦峰 申请人:上海贝尔股份有限公司