一种基于ONT的VPN快速接入系统和方法与流程

本发明涉及互联网领域，具体涉及一种基于ont的vpn快速接入系统和方法。

背景技术：

随着互联网和通信领域的飞速发展，vpn技术在远程访问、信息加密传输等方面的作用越来越被人们所重视；尤其是vpn在远程办公中的应用，更加被各个企业所看中。

当前的vpn接入方式主要有两种：方式一，在pc、手机等终端设备上安装vpn客户端软件，需要接入时，使用帐户和密码进行vpn登陆；方式二，家庭网关、无线路由器等用户前端设备上集成vpn客户端，由家庭完成登陆，用户只需要接入家庭网关就可以接入vpn。

这两种vpn接入方式各有利弊，方式一的优点在于接入方便，随时随地只要终端设备能连接上internet网络即可接入vpn，缺点是每次接入都需要人工登陆，比较繁琐，同时在不同终端上使用增加了帐户信息泄露的风险；方式二的优点在于使用方便，直接连接上家庭网关就可以使用vpn，同时帐户信息由家庭网关保管，避免多次输入带来的泄露风险，缺点是家庭网关等用户前端设备的使用地点比较固定，不利于移动。

因此，有必要提供一种既能保证用户信息安全，又能方便使用，并且可移动的快速vpn接入的系统和方法。

技术实现要素：

本发明的目的在于克服上述现有技术的不足，提供既能保证用户信息安全，又能方便使用，并且可移动的快速vpn接入的系统和方法。

为达到上述目的，本发明是这样实现的：一种基于ont的vpn快速接入系统，包括光网络终端、vpn和光网络远程管理模块，所述光网络终端通过光网络远程管理模块接入到所述vpn，其中：

所述光网络终端包括客户端和物理标示单元，所述客户端为用户接入所述vpn的端口，所述物理标示单元用于携带有用户鉴权身份的物理标示信息；

所述光网络远程管理模块包括鉴权控制单元，业务运营支撑单元和网元管理单元，所述鉴权控制单元用于接收和转发信息并管理所述光网络终端的vpn配置所述业务运营支撑单元用于接收光网络终端发出的请求信息，并对请求信息进行鉴权，所述网元管理单元用于管理光网络终端的上行通道；

用户启动所述光网络终端，所述光网络终端中的客户端向所述鉴权控制单元发送特定事件号，所述特定事件号携带有所述物理标示单元中的物理标志信息；

所述鉴权控制单元收到特定事件号后，通过北向接口向所述业务运营支撑单元发起接入vpn的请求；

所述业务运营支撑收到鉴权控制单元的接入请求后，对所述物理标志信息进行鉴权：如果鉴权失败，则所述客户端接入vpn失败；

如果鉴权成功，所述业务运营支撑单元会通过鉴权控制单元和所述网元管理单元获取所述光网络终端的vpn数据配置和上行通道信息：若所述光网络终端没有vpn数据配置，则所述业务运营支撑单元所述通知鉴权控制单元下发vpn配置给所述光网络终端，同时通知所述网元管理单元开通vpn的上行通道，所述光网络终端获取相应的vpn配置和上行通道后正常接入vpn；

若所述光网络终端含有vpn数据配置，所述业务运营支撑单元进行进一步的vpn数据和实际物理网络的检查:

若所述光网络终端的vpn数据配置和实际网络信息一致，则用户通过所述光网络终端正常接入vpn；

若光网络终端的vpn数据配置和实际网络信息不一致，所述业务运营支撑单元会通知鉴权控制单元对光网络终端的vpn配置进行更改，同时通知所述网元管理单元变更vpn的上行通道，所述光网络终端更改相应的vpn配置和上行通道后，所述用户通过所述光网络终端正常接入vpn。

优选地，所述光网络终端的启动可以为上电后自动启动或者用户手动触发启动。

优选地，所述用户手动触发启动包括本地页面管理接入，本地按键触发或者指纹识别触发。

优选地，所述物理标志信息包括mac、sn信息中的至少一项。

优选地，所述鉴权控制单元，业务运营支撑单元和网元管理单元分别采用acs、ems和boss服务器。

一种基于ont的vpn快速接入方法，应用于上述一种基于ont的vpn快速接入系统中，

该方法包括以下步骤：

s1、用户启动所述光网络终端；

s2、光网络终端启动完成后，所述客户端向所述鉴权控制单元发送特定事件号，所述特定事件号携带有所述物理标示单元中的物理标志信息；

s3、所述鉴权控制单元收到特定事件号后，通过北向接口向所述业务运营支撑单元发起接入vpn的请求；

s4、所述业务运营支撑收到鉴权控制单元的接入请求后，对所述物理标志信息进行鉴权：

s4.1、如果鉴权失败，则所述客户端接入vpn失败；

s4.2、如果鉴权成功，所述业务运营支撑单元会通过鉴权控制单元和所述网元管理单元获取所述光网络终端的vpn数据配置和上行通道信息：

s4.2-1、若所述光网络终端没有vpn数据配置，则所述业务运营支撑单元所述通知鉴权控制单元下发vpn配置给所述光网络终端，同时通知所述网元管理单元开通vpn的上行通道，所述光网络终端获取相应的vpn配置和上行通道后正常接入vpn；

s4.2-2、若所述光网络终端含有vpn数据配置，所述业务运营支撑单元进行进一步的vpn数据和实际物理网络的检查:

若所述光网络终端的vpn数据配置和实际网络信息一致，则用户通过所述光网络终端正常接入vpn；

若光网络终端的vpn数据配置和实际网络信息不一致，所述业务运营支撑单元会通知鉴权控制单元对光网络终端的vpn配置进行更改，同时通知所述网元管理单元变更vpn的上行通道，所述光网络终端更改相应的vpn配置和上行通道后，所述用户通过所述光网络终端正常接入vpn。

优选地，所述光网络终端的启动可以为上电后自动启动或者用户手动触发启动。

优选地，所述用户手动触发启动包括本地页面管理接入，本地按键触发或者指纹识别触发。

优选地，所述物理标志信息包括mac、sn信息中的至少一项。

优选地，所述鉴权控制单元，业务运营支撑单元和网元管理单元分别采用acs、ems和boss服务器。

本发明的有益效果：本发明借助ont及光网络远程管理模块实现了vpn的零配置接入，将vpn的帐户信息和配置参数等内部数据与实际使用者进行隔离，既具有pc等终端接入的可移动性，又具有家庭网关等用户前端设备接入的方便性和帐户信息保护，同时将ont设备的物理信息作为vpn接入的合法性校验的鉴权信息，使得vpn接入更加安全、可靠。

另外在ont上增加指纹识别等触发启动功能，可以让vpn接入和实际使用者进行绑定，进一步加强了vpn接入的合法性。

附图说明

图1为本发明一种基于ont的vpn快速接入系统的设备连接框图；

图2为本发明一种基于ont的vpn快速接入方法自动触发方式下的流程图。

图3为本发明一种基于ont的vpn快速接入方法手动触发方式下的流程图。

图4为本发明一种基于ont的vpn快速接入方法指纹触发方式下的流程图。

具体实施方式

下面结合附图对本发明的具体实施方式作进一步说明。

如图1所示，一种基于ont的vpn快速接入系统，包括光网络终端(ont)、vpn(虚拟专用网络，其功能是：在公用网络上建立专用网络，进行加密通讯，在企业网络中有广泛应用，vpn网关通过对数据包的加密和数据包目标地址的转换实现远程访问)和光网络远程管理模块，所述光网络终端通过光网络远程管理模块接入到所述vpn，且光网络终端与vpn之间采用tr069协议(客户终端设备广域网管理协议)进行通讯，其中：

所述光网络终端包括客户端和物理标示单元，所述客户端为用户接入所述vpn的端口，所述物理标示单元携带有用户鉴权身份(用于判定vpn使用者的身份信息是否合法)的物理标示信息；

所述光网络远程管理模块包括鉴权控制单元，业务运营支撑单元和网元管理单元，所述鉴权控制单元用于接收和转发信息并管理所述光网络终端的vpn配置(光网络终端上和vpn功能相关的配置数据)，所述业务运营支撑单元用于接收光网络终端发出的请求信息，并对请求信息进行进行鉴权，所述网元管理单元用于管理光网络终端的上行通道(光网络终端和上层网络间的物理链路)；

用户启动所述光网络终端，所述光网络终端中的客户端向所述鉴权控制单元发送特定事件号(光网络终端和鉴权控制单元间通信协议中的一种约定信息，当光网络终端发生一些特定情况时会上报指定的信息通知鉴权控制单元)，所述特定事件号携带有所述物理标示单元中的物理标志信息；

所述鉴权控制单元收到特定事件号后，通过北向接口(一种鉴权控制单元和运营支撑单元间特定的通信协议)向所述业务运营支撑单元发起接入vpn的请求；

所述业务运营支撑收到鉴权控制单元的接入请求后，对所述物理标志信息进行鉴权：如果鉴权失败，则所述客户端接入vpn失败；

如果鉴权成功，所述业务运营支撑单元会通过鉴权控制单元和所述网元管理单元获取所述光网络终端的vpn数据配置和上行通道信息：若所述光网络终端没有vpn数据配置，则所述业务运营支撑单元所述通知鉴权控制单元下发vpn配置给所述光网络终端，同时通知所述网元管理单元开通vpn的上行通道，所述光网络终端获取相应的vpn配置和上行通道后正常接入vpn；

若所述光网络终端含有vpn数据配置，所述业务运营支撑单元进行进一步的vpn数据和实际网络信息(光网络终端中的配置数据和当前所在物理及逻辑网络位置有一定关联关系，所以一台光网络终端更换物理位置后，其内部的vpn配置数据可能在当前网络中无法生效，需要调整或者更换数据，才能够正常接入vpn。这个实际网络信息的含义就是在当前网络中可以正常使用的vpn配置数据)的检查：

若所述光网络终端的vpn数据配置和实际网络信息一致，则用户通过所述光网络终端正常接入vpn；

若光网络终端的vpn数据配置和实际网络信息不一致，所述业务运营支撑单元会通知鉴权控制单元对光网络终端的vpn配置进行更改，同时通知所述网元管理单元变更vpn的上行通道，所述光网络终端更改相应的vpn配置和上行通道后，所述用户通过所述光网络终端正常接入vpn。

所述光网络终端的启动可以为上电后自动启动或者用户手动触发启动。

所述用户手动触发启动包括本地页面管理接入，本地按键触发或者指纹识别触发。

所述物理标志信息包括mac(mediaaccesscontrol物理地址、硬件地址)、sn(设备序列号)信息中的至少一项。

所述鉴权控制单元，业务运营支撑单元和网元管理单元分别采用acs(鉴权控制系统)、ems(elementmanagementsystem，网元管理系统，是管理特定类型的一个或多个电信ne：networkelement，网络单元的系统)和boss(business&operationsupportsystem，boss，指的是业务运营支撑系统，通常所说的boss分为四个部分：计费及结算系统、营业与账务系统、客户服务系统和决策支持系统)服务器，所述鉴权控制单元，业务运营支撑单元和网元管理单元不局限于前面所述的几个服务器。且由acs、ems、boss组成的光网络远程管理模块不光可以进行vpn接入的快速配置，同样可以进行vpn接入故障的远程诊断和远程故障排除。

vpn的使用者通过ont的以太网口或者无线网络接入ont，ont和olt(opticallineterminal光线路终端，用于连接光纤干线的终端设备)通过实际光路进行物理连接，中间会包含分光器等无源光网络器件；olt同ems、acs、vpn服务器采用ip方式进行逻辑连接，中间会包含bras、网关、交换、路由等设备，acs、ems同boss采用ip方式进行逻辑连接，中间会包含交换、路由等设备，这就构成了整个光网络的远程管理模块。

如图2所示，一种基于ont的vpn快速接入方法，应用于上述的一种基于ont的vpn快速接入系统中，该方法包括以下步骤：

s1、用户启动所述光网络终端；

s2、光网络终端启动完成后，所述客户端向所述鉴权控制单元发送特定事件号，所述特定事件号携带有所述物理标示单元中的物理标志信息；

s3、所述鉴权控制单元收到特定事件号后，通过北向接口向所述业务运营支撑单元发起接入vpn的请求；

s4、所述业务运营支撑收到鉴权控制单元的接入请求后，对所述物理标志信息进行鉴权：

s4.1、如果鉴权失败，则所述客户端接入vpn失败；

s4.2、如果鉴权成功，所述业务运营支撑单元会通过鉴权控制单元和所述网元管理单元获取所述光网络终端的vpn数据配置和上行通道信息：

s4.2-1、若所述光网络终端没有vpn数据配置，则所述业务运营支撑单元所述通知鉴权控制单元下发vpn配置给所述光网络终端，同时通知所述网元管理单元开通vpn的上行通道，所述光网络终端获取相应的vpn配置和上行通道后正常接入vpn；

s4.2-2、若所述光网络终端含有vpn数据配置，所述业务运营支撑单元进行进一步的vpn数据和实际物理网络的检查:

若所述光网络终端的vpn数据配置和实际网络信息一致，则用户通过所述光网络终端正常接入vpn；

若光网络终端的vpn数据配置和实际网络信息不一致，所述业务运营支撑单元会通知鉴权控制单元对光网络终端的vpn配置进行更改，同时通知所述网元管理单元变更vpn的上行通道，所述光网络终端更改相应的vpn配置和上行通道后，所述用户通过所述光网络终端正常接入vpn。

所述光网络终端的启动可以为上电后自动启动或者用户手动触发启动。

所述物理标志信息包括mac、sn信息中的至少一项。

所述鉴权控制单元，业务运营支撑单元和网元管理单元分别采用acs、ems和boss服务器。

所述用户手动触发启动包括本地页面管理接入，本地按键触发或者指纹识别触发。

如图3所示，当采用手动触发启动ont时，用户通过本地页面管理接入，本地按键触发的方式启动ont。

如图4所示，用户通过指纹识别启动ont,识别成功后，则进入后续的接入vpn流程；如果指纹识别失败则不发起vpn接入。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何在本申请揭露的技术范围内的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应该以权利要求的保护范围为准根据上述说明书的揭示和教导，本发明所属领域的技术人员还可以对上述实施方式进行变更和修改。因此，本发明并不局限于上面揭示和描述的具体实施方式，对发明的一些修改和变更也应当落入本发明的权利要求的保护范围内。此外，尽管本说明书中使用了一些特定的术语，但这些术语只是为了方便说明，并不对本发明构成任何限制。