CN101197679B - 一种预防拒绝服务攻击的用户认证方法及系统 - Google Patents

一种预防拒绝服务攻击的用户认证方法及系统 Download PDF

Info

Publication number
CN101197679B
CN101197679B CN2008100556676A CN200810055667A CN101197679B CN 101197679 B CN101197679 B CN 101197679B CN 2008100556676 A CN2008100556676 A CN 2008100556676A CN 200810055667 A CN200810055667 A CN 200810055667A CN 101197679 B CN101197679 B CN 101197679B
Authority
CN
China
Prior art keywords
user
user side
side equipment
subscriber identity
identity information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN2008100556676A
Other languages
English (en)
Other versions
CN101197679A (zh
Inventor
卢金树
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN2008100556676A priority Critical patent/CN101197679B/zh
Publication of CN101197679A publication Critical patent/CN101197679A/zh
Application granted granted Critical
Publication of CN101197679B publication Critical patent/CN101197679B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明涉及一种预防拒绝服务攻击的用户认证方法,包括:步骤1,光线路终端向用户侧设备下发用户身份信息;步骤2,用户侧设备对用户身份进行认证;步骤3,认证通过,则向光线路终端或者认证服务器转发用户身份信息,并执行步骤4,否则丢弃用户身份信息;步骤4,光线路终端或者认证服务器依据用户身份信息进行认证,并向用户侧设备返回认证结果,用户侧设备依据认证结果允许或者禁止用户使用网络。本发明能够预先过滤一些非法认证信息,防止恶意用户/黑客利用假认证信息包攻击OLT或者认证服务器,减轻OLT或者认证服务器处理,并且采用了一种安全控制对用户侧设备的访问机制,保证了在用户侧设备上的用户身份信息安全。

Description

一种预防拒绝服务攻击的用户认证方法及系统
技术领域
本发明涉及通信安全领域,尤其涉及一种预防拒绝服务(Denial ofService,DOS)攻击的用户接入认证方法及系统。
背景技术
随着社会的进步,对网络的需求量将越来越大,越来越离不开网络,所需要的带宽将越来越高。当前在城域网上带宽容量非常充裕,通常其带宽瓶颈出现在接入网部分,即通常所说的最后一公里瓶颈。
由于光纤传输具有容量大,耗损小,防电磁干扰能力强,设备占用面积少,易于铺设,并且,随着技术的进步,需求的增加,光传输成本不断下降,以后接入网的光纤化是必然的趋势,必然会实现光纤到家,无源光网络技术是当前最具看好的,最具有潜力,最具有可行性的一种技术。而采用无源光网络,通常一个光线路终端(OLT)通过光分配网(ODN,Optical DistributionNetwork)连接多个光网络终端/光网络单元(ONT/ONU),一般有1∶32,1∶64或者1∶128等,通常采用树型结构,采用点到多点的通信方式,即OLT和ONT/ONU之间进行通信。宽带接入市场现阶段的基本特点可概括为:一是随着网络电视(IPTV)等宽带应用的起步,数字用户线(DSL)的提速改造和接入网管控及服务质量(QoS)性能提升成为了现阶段运营商的工作重心;二是光进铜退的趋势加速,针对商业用户的点对点光纤到商业用户(FTTB)应用已日益普及,无源光网络(PON)也开始在光纤到路边(FTTB/FTTC)、光纤到办公室(FTTO)、光纤到户(FTTH)等不同场合得到局部应用,发展潜力巨大;三是FTTx+xDSL方式仍然是现阶段的主要建设模式;四是宽带无线接入WiMAX(宽带无线城域网)开始得到局部试用,在新兴地区有一定的市场潜力。
对于FTTx+xDSL、FTTB/FTTC、FTTO等方式,一个ONU下可能连接多个用户,按照当前业务开展方式,一个用户要能够正常使用网络,首先需要通过用户身份认证,对于身份认证可以在PON系统的OLT设备上完成或者在专门认证服务器上进行。如果同时有很多用户发起认证,则很可能OLT的认证或者认证服务器可能会处理不过来,当然所有正常用户同时发起认证的可能性几乎没有,并且认证服务器应该有一定的处理能力。但是如果是黑客采用认证包来发起对认证服务器的拒绝服务(DOS)攻击,可能仅仅从某个ONU下进行攻击,服务器有可能能够处理过来,如果同时从多个ONU上进行攻击,可能DOS攻击将会起到效果,将导致认证服务器下所有的正常用户没有办法得到认证服务器的处理,导致没有办法正常使用网络,导致大面积用户不能正常得到服务,不能正常使用网络,引起客户不满,进行投诉。即用户认证采用全部在OLT或者认证服务器上进行认证,很可能受到DOS攻击。
公开号为“CN1925399”的发明专利申请中披露了一种分布式的认证的方法。在该方法中,在用户认证通过之前包括禁止来自ONT的非认证消息的传输,即允许所有的认证消息协议包的传输,其缺点是不能有效地防止DOS攻击。
发明内容
为了解决上述的技术问题,提供了一种预防DOS攻击的用户接入认证方法及系统,其目的在于,有效防止恶意用户/黑客利用假认证信息包攻击OLT或者认证服务器。
本发明提供了一种预防拒绝服务攻击的用户认证方法,包括:
步骤1,光线路终端向用户侧设备下发用户身份信息,在用户身份信息还没有下发到用户侧设备时,禁止所有的用户访问用户侧设备,丢弃用户侧设备所有接收到的包,不进行任何处理;
步骤2,用户侧设备将接收的用户身份信息和保存在该用户侧设备上的用户身份信息进行比较,如果一致,则认证通过,否则认证失败;
步骤3,认证通过,则向光线路终端或者认证服务器转发用户身份信息,并执行步骤4,否则丢弃用户身份信息;
步骤4,光线路终端或者认证服务器依据用户身份信息进行认证,并向用户侧设备返回认证结果,用户侧设备依据认证结果允许或者禁止用户使用网络。
步骤1中,用户侧设备将接收的用户身份信息保存在其掉电后信息丢失的内存中。
保存在用户侧设备上的用户身份信息包含用户名。
步骤4中,如果认证结果为认证通过,用户侧设备还向用户返回认证成功的信息;如果认证结果为认证失败,用户侧设备还向用户返回认证失败的信息。
本发明提供了一种预防拒绝服务攻击的用户认证系统,包括光线路终端和认证服务器,用户侧设备,
光线路终端,用于向用户侧设备下发用户身份信息,在用户身份信息还没有下发到用户侧设备时,禁止所有的用户访问用户侧设备,丢弃用户侧设备所有接收到的包,不进行任何处理;
用户侧设备,用于将接收的用户身份信息和保存在该用户侧设备上的用户身份信息进行比较,如果一致,认证通过,则向光线路终端或者认证服务器转发用户身份信息,否则丢弃用户身份信息;还依据光线路终端或者认证服务器返回的认证结果允许或者禁止用户使用网络;
光线路终端或者认证服务器,用于依据用户身份信息进行认证,并向用户侧设备返回认证结果。
用户侧设备为光网络单元,光网络终端,或者包含光网络单元的设备。
用户侧设备将接收的用户身份信息保存在其掉电后信息丢失的内存中。
光线路终端还用于控制用户侧设备管理数据的访问权限。
光线路终端,还用于当发送用户身份信息的速率超过了预设值时,则丢弃用户身份信息,并且生成告警信息。
本发明能够预先过滤一些非法认证信息,防止恶意用户/黑客利用假认证信息包攻击OLT或者认证服务器,减轻OLT或者认证服务器处理,并且采用了一种安全控制对用户侧设备的访问机制,保证了在用户侧设备上的用户身份信息安全。
附图说明
图1是本发明提供的方法流程图。
具体实施方式
本发明中,用户侧设备表示ONU、ONT、或者包含ONU的设备(例如,ONU和DSLAM在同一个设备中)。
本发明提供的方法是在用户侧设备上接收到用户身份认证消息后,对用户身份进行第一次简单认证,认证通过后才将用户身份认证信息转发到OLT或者认证服务器进行认证;OLT或者认证服务器认证成功后,通知用户认证成功,允许用户使用网络;如果认证失败,则禁止用户使用网络。如果在用户侧设备上认证失败则直接丢弃用户身份认证信息包,不进行转发,并且禁止用户使用网络。另外,还采取一种用户侧设备的安全访问机制,通过OLT设置用户侧设备管理访问权限,避免在用户侧设备上的用户身份信息泄漏。
本发明提供的方法如图1所示,包括:
步骤101,将用户身份信息下发到用户侧设备中保存,并且保证其信息的安全;
步骤102,在用户侧设备上对用户进行身份认证;
步骤103,转发或者拒绝用户身份认证消息;
步骤104,在OLT或者认证服务器上对用户进行身份认证;
步骤105,转发认证结果到用户侧设备;
步骤106,根据认证结果,允许或者拒绝用户使用网络。
下面对本发明提供的方法进行详细描述。
首先来描述将用户身份信息下发到用户侧设备中保存,并且保证其信息的安全的实现方法。在用户侧设备正常运行后,通过OLT来控制对用户侧设备的管理数据的访问权限,即只有授权后才能进行安全访问。例如,可以授权某个用户可以通过上联口或者用户口来访问管理数据;或者禁止所有的用户访问用户侧设备的管理数据。这样可以保证管理数据的安全性,当然用户身份信息也得到了安全保证,不会导致用户身份信息泄漏。另外,在用户侧设备接收到用户身份信息后,仅仅保存在其内存中,不保存在掉电后信息不丢失的存储器上(例如闪存,或者非易失性随机存取内存),以保证用户侧设备在掉电后用户身份信息消失,避免通过其他手段从用户侧设备上获取用户身份信息,进一步保证了用户身份信息的安全。
用户身份信息可以采用如下的方式下发到用户侧设备上,例如,在以太无源光网络(EPON)中,通过定义其用户身份信息的分支/叶子(Branch/Leaf),通过其运行、管理和维护(Operations,Administration and Maintenance,OAM)通道;在千兆位无源光网络(GPON)中,通过定义其用户身份信息的受管实体(Managed Entity,ME),通过其OMCI(ONU Management and ControlInterface,ONU管理和控制接口)管理通道下发。也可以采用其它方式下发,如GPON中通过物理层操作维护管理(Physical Layer OAM,PLOAM)通道下发等等,在此并不进行穷举。
在用户身份信息还没有下发到用户侧设备时,禁止所有的用户访问用户侧设备,丢弃用户侧所有接收到的包,不进行任何处理,包括用户认证信息包,即禁止用户的一切网络访问权限。当接收到OLT下发的用户身份信息后,当还没有认证通过时,禁止用户的网络访问权限,仅仅处理用户认证信息包。当接收到用户认证信息包时,提取用户身份信息,和保存在用户侧设备上的信息进行比较,如果一致,则认为不是攻击认证服务器的认证信息,转发该信息到OLT或者认证服务器,否则直接丢弃该包,同时也可以返回一个认证失败的消息给用户。其中,保存在用户侧设备上的用户身份信息可以只包含用户名,也可以根据需要包含其它任意信息。还可以对某个端口发送认证信息包的速率进行控制,例如,可以每秒最多发送多少个认证信息包(具体数值可以由用户设置),如果超过了该速率则直接丢弃认证信息包,并且OLT上告一个告警信息通知网管。
在OLT或者认证服务器上,接收到认证信息包后,经过处理后,将认证结果返回给用户侧设备。如果认证通过,则认为该用户是合法的用户,返回认证成功的信息给用户,并且打开用户访问网络权限;如果认证失败,则认为该用户是非法的用户,返回认证失败的信息给用户,并仍然继续禁止用户访问网络的权限。
本发明提供的方法能够防止一些恶意、非法的用户采用用户认证信息包来对OLT或者认证服务器的攻击,将用户认证的第一步分散到各个用户侧设备上,先进行一次认证,进行过滤处理,分散了风险,分散了处理。即使存在恶意、非法的用户攻击,也只能攻击某个用户侧设备,攻击将会无效,即使攻击有效,只能用户侧设备下的部分用户受影响,不会造成大面积用户受到影响,以致造成恶劣的影响。
本发明提供了一种预防拒绝服务攻击的用户认证系统,包括光线路终端和/或认证服务器,用户侧设备,
光线路终端,用于向用户侧设备下发用户身份信息;
用户侧设备,用于对用户身份进行认证,认证通过,则向光线路终端或者认证服务器转发用户身份信息,否则丢弃用户身份信息包;还依据光线路终端或者认证服务器返回的认证结果允许或者禁止用户使用网络
光线路终端或者认证服务器,用于依据用户身份信息进行认证,并向用户侧设备返回认证结果。
用户侧设备为光网络单元,光网络终端,或者包含光网络单元的设备。
用户侧设备将接收的用户身份信息保存在其掉电后信息丢失的内存中。
光线路终端还用于控制用户侧设备管理数据的访问权限。
光线路终端,还用于当发送用户身份信息的速率超过了预设值时,则丢弃用户身份信息,并且生成告警信息。
本领域的技术人员在不脱离权利要求书确定的本发明的精神和范围的条件下,还可以对以上内容进行各种各样的修改。因此本发明的范围并不仅限于以上的说明,而是由权利要求书的范围来确定的。

Claims (11)

1.一种预防拒绝服务攻击的用户认证方法,其特征在于,包括:
步骤1,光线路终端向用户侧设备下发用户身份信息,在用户身份信息还没有下发到用户侧设备时,禁止所有的用户访问用户侧设备,丢弃用户侧设备所有接收到的包,不进行任何处理;
步骤2,用户侧设备将接收的用户身份信息和保存在该用户侧设备上的用户身份信息进行比较,如果一致,则认证通过,否则认证失败;
步骤3,认证通过,则向光线路终端或者认证服务器转发用户身份信息,并执行步骤4,否则丢弃用户身份信息;
步骤4,光线路终端或者认证服务器依据用户身份信息进行认证,并向用户侧设备返回认证结果,用户侧设备依据认证结果允许或者禁止用户使用网络。
2.如权利要求1所述的预防拒绝服务攻击的用户认证方法,其特征在于,步骤1中,用户侧设备将接收的用户身份信息保存在其掉电后信息丢失的内存中。
3.如权利要求1所述的预防拒绝服务攻击的用户认证方法,其特征在于,保存在用户侧设备上的用户身份信息至少包含用户名。
4.如权利要求1所述的预防拒绝服务攻击的用户认证方法,其特征在于,步骤4中,如果认证结果为认证通过,用户侧设备还向用户返回认证成功的信息;如果认证结果为认证失败,用户侧设备还向用户返回认证失败的信息。
5.如权利要求1-4任意一项所述的预防拒绝服务攻击的用户认证方法,其特征在于,在用户侧设备正常运行后,光线路终端控制用户侧设备管理数据的访问权限,用户被授权后才能进行安全访问。
6.如权利要求1-4任意一项所述的预防拒绝服务攻击的用户认证方法,其特征在于,步骤1中,如果发送用户身份信息的速率超过了预设值,则丢弃用户身份信息,并且生成告警信息。
7.一种预防拒绝服务攻击的用户认证系统,包括光线路终端和认证服务器,用户侧设备,其特征在于,
光线路终端,用于向用户侧设备下发用户身份信息,在用户身份信息还没有下发到用户侧设备时,禁止所有的用户访问用户侧设备,丢弃用户侧设备所有接收到的包,不进行任何处理;
用户侧设备,用于将接收的用户身份信息和保存在该用户侧设备上的用户身份信息进行比较,如果一致,认证通过,则向光线路终端或者认证服务器转发用户身份信息,否则丢弃用户身份信息;还依据光线路终端或者认证服务器返回的认证结果允许或者禁止用户使用网络;
光线路终端或者认证服务器,用于依据用户身份信息进行认证,并向用户侧设备返回认证结果。
8.如权利要求7所述的预防拒绝服务攻击的用户认证系统,其特征在于,用户侧设备为光网络单元,光网络终端,或者包含光网络单元的设备。
9.如权利要求7所述的预防拒绝服务攻击的用户认证系统,其特征在于,用户侧设备将接收的用户身份信息保存在其掉电后信息丢失的内存中。
10.如权利要求7所述的预防拒绝服务攻击的用户认证系统,其特征在于,光线路终端还用于控制用户侧设备管理数据的访问权限。
11.如权利要求7所述的预防拒绝服务攻击的用户认证系统,其特征在于,光线路终端,还用于当发送用户身份信息的速率超过了预设值时,则丢弃用户身份信息,并且生成告警信息。
CN2008100556676A 2008-01-04 2008-01-04 一种预防拒绝服务攻击的用户认证方法及系统 Active CN101197679B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2008100556676A CN101197679B (zh) 2008-01-04 2008-01-04 一种预防拒绝服务攻击的用户认证方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2008100556676A CN101197679B (zh) 2008-01-04 2008-01-04 一种预防拒绝服务攻击的用户认证方法及系统

Publications (2)

Publication Number Publication Date
CN101197679A CN101197679A (zh) 2008-06-11
CN101197679B true CN101197679B (zh) 2010-09-08

Family

ID=39547848

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2008100556676A Active CN101197679B (zh) 2008-01-04 2008-01-04 一种预防拒绝服务攻击的用户认证方法及系统

Country Status (1)

Country Link
CN (1) CN101197679B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101917669A (zh) * 2010-08-31 2010-12-15 华为技术有限公司 列车安全登录方法和装置
CN112449204B (zh) * 2019-08-30 2022-09-09 武汉斗鱼网络科技有限公司 一种混淆数据的方法及相关装置
CN113014554B (zh) * 2021-02-07 2023-06-13 博为科技有限公司 上网通道自动切换方法和系统、onu设备、olt设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1523923A (zh) * 2003-02-17 2004-08-25 �й��ƶ�ͨ�ż��Ź�˾ 对移动终端用户身份进行安全认证的方法
CN1620034A (zh) * 2003-11-21 2005-05-25 维豪信息技术有限公司 认证网关及其数据处理方法
CN1925399A (zh) * 2005-09-01 2007-03-07 阿尔卡特公司 分布式认证功能性
CN1968089A (zh) * 2006-09-29 2007-05-23 华为技术有限公司 一种无源光网络的用户认证方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1523923A (zh) * 2003-02-17 2004-08-25 �й��ƶ�ͨ�ż��Ź�˾ 对移动终端用户身份进行安全认证的方法
CN1620034A (zh) * 2003-11-21 2005-05-25 维豪信息技术有限公司 认证网关及其数据处理方法
CN1925399A (zh) * 2005-09-01 2007-03-07 阿尔卡特公司 分布式认证功能性
CN1968089A (zh) * 2006-09-29 2007-05-23 华为技术有限公司 一种无源光网络的用户认证方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
杨宗凯等.EPON系统安全机制研究及实现.重庆邮电学院学报(自然科学版)Vol.18 No.5.2006,Vol.18(No.5),553-557. *

Also Published As

Publication number Publication date
CN101197679A (zh) 2008-06-11

Similar Documents

Publication Publication Date Title
RU2507691C2 (ru) Улучшение безопасности пассивной оптической сети, основанной на интерфейсе административного управления терминалом оптической сети
JP6111486B2 (ja) 光ネットワークユニット検出方法および装置、ならびに受動光ネットワークシステム
EP2007063A1 (en) A user authentication method, apparatus and system for passive optical network
CN100583760C (zh) 一种认证的实现方法和装置
CN102740174B (zh) Gpon系统中管理onu接入的方法
CN104584478B (zh) 无源光网络中的终端认证方法、装置及系统
CN101197679B (zh) 一种预防拒绝服务攻击的用户认证方法及系统
CN102045601B (zh) 一种gpon系统中的onu激活方法及系统
Horvath et al. On security in gigabit passive optical networks
JP4812339B2 (ja) 加入者通信ネットワークにおけるアクセス制御方法、アクセス認証装置、及びアクセス認証用コンピュータプログラム
CN102170421A (zh) 一种混合认证的实现方法和系统
US20090313476A1 (en) Method and apparatus for restricting user access to fiber to an optic network terminal
CN109495481A (zh) Olt设备与onu设备相互认证方法及控制端
CN101873516A (zh) 一种吉比特无源光网络系统的光网络单元注册激活方法
CN101998180A (zh) 一种支持光线路终端和光网络单元版本兼容的方法及系统
Atan et al. Security enhanced dynamic bandwidth allocation algorithm against degradation attacks in next generation passive optical networks
KR100606095B1 (ko) 수동 광가입자망 시스템에서 가입자 인증 후 암호화 키의전달 방법 및 장치
Atan et al. An overview on security issues in the optical access network
JP5492127B2 (ja) 通信監視装置及び通信監視方法
WO2022062948A1 (zh) 一种无源光网络中的安全通信方法和装置
Jin et al. Analysis of security vulnerabilities and countermeasures of ethernet passive optical network (EPON)
De Lutiis et al. Managing emerging NGA security.
Kartalopoulos et al. Vulnerabilities and security strategy for the next generation bandwidth elastic PON
Kartalopoulos et al. Vulnerability assessment and security of scalable and bandwidth elastic next generation PONs

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant