一种安全云OLT设备的管理方法与流程

本发明涉及设备管理技术，具体涉及一种安全云olt设备的管理方法。

背景技术：

1、光纤接入组网架构下，接入网络中存在海量的光网络单元或者光网络终端设备，为便于描述，以下统称光网络单元onu，为了实现对onu设备的管理，目前采取的实现方案是光线路终端通过操作管理维护或者ont管理控制接口代理管理onu。

2、该方案的具体实现方式如下：olt对外发布统一的公网管理ip地址，可通过该公网管理ip地址访问olt所带的onu并对其进行简单管理协议管理业务管理系统根据onu所在olt的公网管理ip地址发送访问onu的snmp报文，该snmp报文中携带olt的框号/槽位号/端口光纤网络终端标识信息，olt接收通过公网转发的snmp报文，获取该snmp报文中的olt/框/槽/端口/ontid信息，并将snmp报文转换成oam/omci报文(在epon系统中使用oam，在gpon系统中使用omci)，通过无源光网络线路管理通道发送到相应的onu设备。

3、现有的olt设备在进行使用时，接入网侧不断下沉的olt，故障排查极难，同时现有的olt设备在进行联网操作时相邻两个通信线路存在相互干扰。

技术实现思路

1、本发明的目的是提供一种安全云olt设备的管理方法，以解决现有技术中的上述不足之处。

2、为了实现上述目的，本发明提供如下技术方案：一种安全云olt设备的管理方法，所述安全云olt设备的具体管理方法为：

3、s1，olt设备发送加密发现报文；

4、s2，客户端接收到olt设备的发现报文后，解密发现报文；

5、s3，检查设备的mac地址是否被用户绑定，若检查结果为mac地址未被用户绑定，则将s1中发送的报文丢弃；

6、s4，若步骤s3检查结果为mac地址被用户设备绑定，则进行密钥协商；

7、s5，若步骤s4中密钥协商通过，则动态生成通过隧道，通过生成的通过隧道可供用户访问olt设备。

8、进一步地，所述olt设备加密报文的具体方式为：

9、a1，客户端执行待加密报文扫描后，会将原报文和新建报文的报文路径传递给报文过滤驱动，报文过滤驱动调用一个自定义的函数staticfileencrypt进行处理；

10、a2，调用iocreatfile函数打开原报文，获取报文句柄，调用rdbuf函数获取报文的字节流；

11、a3，客户端调用密钥生成功能生成报文加密的对称加密密钥，并用公钥完成非对称加密后传递给报文过滤驱动，报文过滤驱动将这个密钥和其他信息组合，构造加密标识并写入字节流的头部；

12、a4，将字节流重定向到新报文中，即向新报文中写入原报文内容，在此过程中触发io管理器的irp_mj_write消息，报文过滤驱动拦截后进入prewrite回调例程，首先对irp做预处理，将不符合加密条件的irp过滤掉；

13、a5，通过回调信息中的iopb获取即将要被加密处理的数据所在的缓冲区；

14、a6，从加密标识的encryptkey参数中获取密文形式的加解密密钥，使用私钥进行非对称解密，得到明文形式的密钥；

15、a7，调用exallocatepoolwithtag函数在内核空间申请一块长度为iopb->parameters.write.length的数据缓冲区；

16、a8，调用rtlcopymemory函数将步骤a2中获取到的缓冲区中的数据拷贝到新申请的缓冲区中；

17、a9，通过file_encryptbuffer函数，使用aes加密算法与密钥将缓冲区中的数据加密。

18、进一步地，所述云端解密报文的具体方法为：

19、b1，进入prewrite回调例程，首先对irp做预处理，将不符合解密条件的irp过滤掉；

20、b2，符合解密条件的irp将被发往报文系统驱动，待报文系统驱动将报文密文数据读出并向io管理器返回请求时，报文过滤驱动截获该请求，进入postread回调例程；

21、b3，通过回调信息中的iopb获取即将要被解密处理的数据所在缓冲区，可以通过两种途径获取到缓冲区，判断iopb->parameters.read.mdladdress是否为空；

22、b4，获取报文的数据长度，通过data->iostatus.information判断数据长度是否为0，如果读取到的数据长度为0则不进行任何处理，将请求返回给i/o管理器；

23、b5，获取报文的解密标识，对解密标识进行解析，根据标识中的标志位来确定该报文是否需要解密；

24、b6，从解密标识的encryptkey参数中获取密文形式的加解密密钥，并使用私钥进行非对称解密，得到明文形式的密钥；

25、b7，调用exallocatepoolwithtag函数在内核空间申请一块长度为iopb->parameters.read.length的数据缓冲区；

26、b8，通过file_encryptbuffer函数，使用aes解密算法与密钥将原缓冲区中的数据解密，放入新缓冲区中；

27、b9，将内核缓冲区中的报文明文数据拷贝到监控层空间的缓冲区；

28、b10，将存放明文形式密钥的内存空间释放，并将保存报文明文数据的缓冲区释放，完成postread回调例程，返回请求，解密过程结束。

29、进一步地，所述进行密钥协商的准备步骤为：

30、c1，公钥生成：

31、确定安全参数l，选择循环群g，其中g的阶为大素数q，生成元为p，其中q>2l，接收端选取私钥s∈zq*，计算ppub=sp，选择哈希函数h1；{0，1}lu×g2→zq*，h2；{0，1}lu×{0，1}lu×g2→zq*，h3；{0，1}lu×{0，1}lu×g5→{0，1}k，其中lu为身份标识的位数，将mac地址设为用户a，用户设备设为用户b；

32、c2，节点注册：

33、1，秘密值生成：用户a选取xa∈zq*，计算xa=xap：

34、2，部分私钥生成；a用安全信道将xa、ida发送给接收端，接收端选取随机数ra∈zq*，计算ra=rap，生成用户部分私钥da=sh1（ida，ra，xa）+ra，系统将da，ra发送给用户a，其中安全信道发送da，ra由公共信道发送：

35、3，部分私钥合法性验证：通过dapn=ra+h1（ida，ra，xa）ppub；

36、c3，节点注册完成后节点a的完整公由<xa，ra>构成，完整私钥由<xa，da>构呈成。

37、进一步地，所述进行密钥协商的具体方式为：

38、d1，用户a选择随机临时私钥a∈zq*，计算ta=ap，签名ga=a+h2（ida，idb，xb，ta），发送ga、ida、ra、ta、xa至用户b；

39、d2，验证gapn=ta+h2（ida，idb，xb，ta）（ra+h1（ida，ra，xa）ppub）等式是否成立；

40、d3，若步骤d2中等式成立则密钥协商通过。

41、进一步地，所述通过隧道的生成方式为：

42、e1，计算通过隧道接收功率，具体计算公式如下：

43、，

44、其中pr和pi分别表示通过隧道接收和发送功率，gi为信号增益，gr为信号在半径上的损耗，l为过客通道侧壁与信号之间的距离；

45、e2，计算相邻两个过客通道的距离lr，具体计算公式如下：

46、；

47、e3，计算相交通过隧道的交点与信号圆心的二分之一圆心角θ，具体计算公式如下：

48、；

49、e4，计算一侧的扇形面积，具体计算公式如下：

50、；

51、e5，计算相邻通过隧道在同一平面上的重叠面积，具体计算公式如下：

52、。

53、与现有技术相比，本发明提供的一种安全云olt设备的管理方法，通过olt设备发送加密发现报文，客户端接收到olt设备的发现报文后，解密发现报文，可以保证接入客户端的设备都是得到允许的设备，避免接入的设备为未得到允许的设备造成系统损坏，通过检查设备的mac地址是否被用户绑定可以避免由于发送的为空设备造成资源的浪费，通过生成的通过隧道可供用户访问olt设备，同时通过设置相邻通过隧道的重叠面积的检查功能，可以保证相邻通过隧道的信号通过率，避免造成信号干扰。