一种无源光纤网络的安全检测方法及系统的制作方法
【专利摘要】本发明提供一种无源光纤网络的安全检测方法及系统,所述无源光纤网络包括:OLT设备、网络连接所述OLT设备的ONU设备,所述ONU设备具有独有的逻辑链路标记,通过OLT设备学习所接收的数据信息的源MAC地址,再根据所述源MAC地址获取对应的ONU设备MAC地址,进而将所述ONU设备MAC地址填充为对应ONU设备的逻辑链路标记,以生成对应所述ONU设备的ONU标示信息;建立包括所述源MAC地址、ONU标示信息的关联表,再根据所述关联表检测OLT设备所接收的数据信息是否来自于攻击源,并可判定攻击源的类别,解决现有网络安全机制无法精确网络限制、以及OLT无法检测到MAC地址欺骗等漏洞问题。
【专利说明】一种无源光纤网络的安全检测方法及系统
【技术领域】
[0001]本发明涉及网络【技术领域】,特别是涉及一种无源光纤网络的安全检测方法及系统。
【背景技术】
[0002]在网络中,攻击者经常使用MAC地址洪泛或MAC地址欺骗的方式攻击网络,导致网络瘫痪,运营商出于安全考虑,需要OLT设备能检测到MAC地址攻击,并自动切断攻击源,保持网络的畅通。
[0003]PON (无源光网络)系统是由OLT (光线路终端)、ONU (光网络单元)和ODN (光分配网络)等构成的点到多点的系统。OLT位于局端,ONU位于用户端,ODN由无源分光器和光纤线路组成。
[0004]OLT系统通过使用交换芯片汇聚各个PON 口进来的数据帧做二层转发,交换芯片具有强大的学习功能以及容量,能通过动态学习数据帧的源MAC地址,形成并维护一张用于交换的MAC地址表(又称CAM表),该表记录MAC地址与接口的对应关系。当交换芯片接收到一个数据帧,提取出该数据帧的目的MAC地址,并依此为根据进行表查询,如果找到,将该数据帧通过对应的接口转发;如果没有找到,则向所有端口进行广播,此时,交换芯片把该数据帧的源MAC地址提取出来,查看MAC地址表,如果没有,则把MAC地址和接收到该MAC地址的端口写入到MAC地址表,这样当接收到一个发送到该MAC地址的数据帧时,就不需要向所有端口广播,这个过程称为MAC地址学习过程。交换芯片的动态学习并不是固定不变的,而是启动一个定时器,当该定时器递减到零时,该表项被删除,这个过程称为MAC地址老化,当然,每使用一次该地址转发,定时器恢复到初始值。
[0005]交换芯片一般都实现了 VLAN功能,这个时候,MAC地址表由MAC地址与接口的对应关系变成了 MAC地址、VLAN ID和接口的对应关系,当收到一个数据帧的时候,根据数据帧的目的MAC地址和VLAN ID两项来查询MAC地址表。
[0006]交换芯片的CAM表通常是有限的,攻击者很容易通过MAC地址洪泛的方式使得CAM表溢出,一旦溢出,所有的新进入的数据帧会不经交换处理,广播到所有端口。目前对于MAC地址攻击的防止,通常是通过设置交换芯片端口的MAC地址学习数量来控制MAC地址洪泛攻击,一旦端口学习的数量超过阈值,新来的数据包会被丢弃。
[0007]在OLT系统中,这种做法存在如下缺点:
[0008](I)OLT系统的交换芯片通常用来做汇聚,芯片端口下行方向连接着PON芯片,而一旦出现MAC地址洪泛攻击,交换芯片会自动丢弃该PON 口新进来的所有的合法数据包,由于OLT的PON 口下连接至少32个0NU,所以这种通过交换端口限制MAC地址学习数量的方式导致大量合法用户仍然无法访问网络;
[0009](2)—旦攻击者使用MAC地址欺骗的方式,如攻击者构造源MAC地址是OLT系统上联设备的MAC地址的数据帧,该非法数据包被交换芯片学习到后,交换芯片会将该地址和攻击者所在的端口进行绑定,发往该上联设备的合法数据帧都会转发至非法端口。
【发明内容】
[0010]鉴于以上所述现有技术的缺点,本发明的目标在于提供一种无源光纤网络的安全检测方法及系统,用于解决上述现有技术的无源光纤网络安全检测不精确、存在漏洞的问题。
[0011]为实现上述目标及其他相关目标,本发明提供一种无源光纤网络的安全检测方法,所述无源光纤网络包括:0LT设备、网络连接所述OLT设备的ONU设备,所述ONU设备具有独有的逻辑链路标记,所述安全检测方法包括:0LT设备学习所接收的数据信息的源MAC地址;根据所述源MAC地址获取对应的ONU设备MAC地址;将所述ONU设备MAC地址填充为对应ONU设备的逻辑链路标记,以生成对应所述ONU设备的ONU标示信息;建立包括所述源MAC地址、ONU标示信息的关联表;根据所述关联表检测OLT设备所接收的数据信息是否来自于攻击源。
[0012]优选的,所述无源光纤网络的安全检测方法还包括:根据检测为来自于攻击源的数据信息,定位所述攻击源的位置。
[0013]优选的,所述根据所述关联表检测OLT设备所接收的数据信息是否来自于攻击源,包括:提取OLT设备所接收的数据信息中的待检源MAC地址;将所述待检源MAC地址与待接收所述数据信息的目的设备的目的MAC地址比对;若比对相同,则认定待检源MAC地址为伪造MAC地址;若比对不同,则在所述关联表查找待检源MAC地址是否存在;若不存在,则将待检源MAC地址以及对应生成的待检ONU标识信息加入到该关联表;设定地址生命周期时间;检测在所述地址生命周期时间内,OLT设备学习到的对应待检ONU标识信息的待检MAC地址数量是否超出阈值;若超出,则认定为MAC地址泛洪攻击;若所述待检源MAC地址存在于关联表,则更新所述待检源MAC地址的地址生命周期时间为初始值。
[0014]优选的,当所述地址生命周期时间到期,则在关联表中对包括ONU标识信息及对应的MAC地址的到期条目作老化删除,并更新所述关联表。
[0015]优选的,所述关联表为HASH表;所述在关联表中查找待检源MAC地址是否存在,包括:通过预设HASH函数将待检源MAC地址计算出对应的索引值,通过所计算的索引值查找并比对HASH表以判断待检源MAC地址是否已存在。
[0016]为实现上述目标及其他相关目标,本发明提供一种无源光纤网络的安全检测系统,所述无源光纤网络包括:0LT设备、网络连接所述OLT设备的ONU设备,所述ONU设备具有独有的逻辑链路标记,所述安全检测系统包括:学习模块,用于使OLT设备学习所接收的数据信息的源MAC地址;地址获取模块,用于根据所述源MAC地址获取对应的ONU设备MAC地址;标示信息生成模块,用于将所述ONU设备MAC地址填充为对应ONU设备的逻辑链路标记,以生成对应所述ONU设备的ONU标示信息;关联表建立模块,用于建立包括所述源MAC地址、ONU标示信息的关联表;检测模块,用于根据所述关联表检测OLT设备所接收的数据信息是否来自于攻击源。
[0017]优选的,所述无源光纤网络的安全检测系统还包括:定位模块,用于根据检测为来自于攻击源的数据信息,定位所述攻击源的位置。
[0018]优选的,所述检测模块包括:提取模块,用于提取OLT设备所接收的数据信息中的待检源MAC地址;比对模块,用于将所述待检源MAC地址与待接收所述数据信息的目的设备的目的MAC地址比对;查找模块,用于在所述比对不同时,在所述关联表查找待检源MAC地址是否存在;更新模块,用于在所述查找不存在时,将待检源MAC地址以及对应生成的待检ONU标识信息加入到该关联表;定时模块,用于设定地址生命周期时间,并在所述查找待检源MAC地址存在于所述关联表时,更新所述待检源MAC地址的地址生命周期时间为初始值;攻击认定模块,用于在所述比对相同时,认定待检源MAC地址为伪造MAC地址;所述攻击认定模块,还用于在所述查找的待检源MAC地址不存在于所述关联表时,检测在所述地址生命周期时间内,OLT设备学习到的对应待检ONU标识信息的待检源MAC地址数量是否超出阈值,若超出,则认定为MAC地址泛洪攻击。
[0019]优选的,所述更新模块,还用于在所述地址生命周期时间到期时,在关联表中对包括ONU标识信息及对应的MAC地址的到期条目作老化删除,并更新所述关联表。
[0020]优选的,所述关联表为HASH表;所述查找模块,用于通过预设HASH函数将待检源MAC地址计算出对应的索引值,通过所计算的索引值查找并比对HASH表以判断待检源MAC地址是否已存在。
[0021]如上所述,本发明提供一种无源光纤网络的安全检测方法及系统,所述无源光纤网络包括:0LT设备、网络连接所述OLT设备的ONU设备,所述ONU设备具有独有的逻辑链路标记,所述方法及系统通过OLT设备学习所接收的数据信息的源MAC地址,再根据所述源MAC地址获取对应的ONU设备MAC地址,进而将所述ONU设备MAC地址填充为对应ONU设备的逻辑链路标记,以生成对应所述ONU设备的ONU标示信息;建立包括所述源MAC地址、ONU标示信息的关联表,再根据所述关联表检测OLT设备所接收的数据信息是否来自于攻击源,并可判定攻击源的类别,解决现有网络安全机制无法精确网络限制、以及OLT无法检测到MAC地址欺骗等漏洞问题。
【专利附图】
【附图说明】
[0022]图1显示为本发明的无源光纤网络的安全检测方法的一实施例的步骤流程示意图。
[0023]图2显示为本发明的无源光纤网络的安全检测方法的一实施例的步骤流程示意图。
[0024]图3显示为本发明的无源光纤网络的安全检测系统的一实施例的结构示意图。
[0025]图4显示为本发明的无源光纤网络的安全检测系统的一实施例的结构示意图。
[0026]元件标号说明
[0027]
【权利要求】
1.一种无源光纤网络的安全检测方法,所述无源光纤网络包括:OLT设备、网络连接所述OLT设备的ONU设备,所述ONU设备具有独有的逻辑链路标记,其特征在于,所述安全检测方法包括: OLT设备学习所接收的数据信息的源MAC地址; 根据所述源MAC地址获取对应的ONU设备MAC地址; 将所述ONU设备MAC地址填充为对应ONU设备的逻辑链路标记,以生成对应所述ONU设备的ONU标示信息; 建立包括所述源MAC地址、ONU标示信息的关联表; 根据所述关联表检测OLT设备所接收的数据信息是否来自于攻击源。
2.根据权利要求1所述的无源光纤网络的安全检测方法,其特征在于,还包括:根据检测为来自于攻击源的数据信息,定位所述攻击源的位置。
3.根据权利要求1所述的无源光纤网络的安全检测方法,其特征在于,所述根据所述关联表检测OLT设备所接收的数据信息是否来自于攻击源,包括: 提取OLT设备所接收的数据信息中的待检源MAC地址; 将所述待检源MAC地址与待接收所述数据信息的目的设备的目的MAC地址比对; 若比对相同,则认定待检源MAC地址为伪造MAC地址; 若比对不同,则在所述关联表查找待检源MAC地址是否存在; 若不存在,则将待检源MAC地址以及对应生成的待检ONU标识信息加入到该关联表; 设定地址生命周期时间; 检测在所述地址生命周期时间内,OLT设备学习到的对应待检ONU标识信息的待检MAC地址数量是否超出阈值; 若超出,则认定为MAC地址泛洪攻击; 若所述待检源MAC地址存在于关联表,则更新所述待检源MAC地址的地址生命周期时间为初始值。
4.根据权利要求3所述的无源光纤网络的安全检测方法,其特征在于,当所述地址生命周期时间到期,则在关联表中对包括ONU标识信息及对应的MAC地址的到期条目作老化删除,并更新所述关联表。
5.根据权利要求3或4所述中的无源光纤网络的安全检测方法,其特征在于,所述关联表为HASH表;所述在关联表中查找待检源MAC地址是否存在,包括: 通过预设HASH函数将待检源MAC地址计算出对应的索引值,通过所计算的索引值查找并比对HASH表以判断待检源MAC地址是否已存在。
6.一种无源光纤网络的安全检测系统,所述无源光纤网络包括:0LT设备、网络连接所述OLT设备的ONU设备,所述ONU设备具有独有的逻辑链路标记,其特征在于,所述安全检测系统包括: 学习模块,用于使 OLT设备学习所接收的数据信息的源MAC地址; 地址获取模块,用于根据所述源MAC地址获取对应的ONU设备MAC地址; 标示信息生成模块,用于将所述ONU设备MAC地址填充为对应ONU设备的逻辑链路标记,以生成对应所述ONU设备的ONU标示信息; 关联表建立模块,用于建立包括所述源MAC地址、ONU标示信息的关联表;检测模块,用于根据所述关联表检测OLT设备所接收的数据信息是否来自于攻击源。
7.根据权利要求6所述的无源光纤网络的安全检测系统,其特征在于,还包括:定位模块,用于根据检测为来自于攻击源的数据信息,定位所述攻击源的位置。
8.根据权利要求6所述的无源光纤网络的安全检测系统,其特征在于,所述检测模块包括: 提取模块,用于提取OLT设备所接收的数据信息中的待检源MAC地址; 比对模块,用于将所述待检源MAC地址与待接收所述数据信息的目的设备的目的MAC地址比对; 查找模块,用于在所述比对不同时,在所述关联表查找待检源MAC地址是否存在; 更新模块,用于在所述查找不存在时,将待检源MAC地址以及对应生成的待检ONU标识信息加入到该关联表; 定时模块,用于设定地址生命周期时间,并在所述查找待检源MAC地址存在于所述关联表时,更新所述待检源MAC地址的地址生命周期时间为初始值; 攻击认定模块,用于在所述比对相同时,认定待检源MAC地址为伪造MAC地址;所述攻击认定模块,还用于在所述查找的待检源MAC地址不存在于所述关联表时,检测在所述地址生命周期时间内,OLT设备学习到的对应待检ONU标识信息的待检源MAC地址数量是否超出阈值,若超出,则认定为MAC地址泛洪攻击。
9.根据权利要求8所述的无源光纤网络的安全检测系统,其特征在于,所述更新模块,还用于在所述地址生命周期时间到期时,在关联表中对包括ONU标识信息及对应的MAC地址的到期条目作老化删除,并更新所述关联表。
10.根据权利要求8或9所述中的无源光纤网络的安全检测系统,其特征在于,所述关联表为HASH表;所述查找模块,用于通过预设HASH函数将待检源MAC地址计算出对应的索引值,通过所计算的索引值查找并比对HASH表以判断待检源MAC地址是否已存在。
【文档编号】H04L29/06GK103685265SQ201310665263
【公开日】2014年3月26日 申请日期:2013年12月9日 优先权日:2013年12月9日
【发明者】张健 申请人:上海斐讯数据通信技术有限公司