CN101267340B - 一种防序列号盗用认证方法 - Google Patents
一种防序列号盗用认证方法 Download PDFInfo
- Publication number
- CN101267340B CN101267340B CN 200810066210 CN200810066210A CN101267340B CN 101267340 B CN101267340 B CN 101267340B CN 200810066210 CN200810066210 CN 200810066210 CN 200810066210 A CN200810066210 A CN 200810066210A CN 101267340 B CN101267340 B CN 101267340B
- Authority
- CN
- China
- Prior art keywords
- sequence number
- network unit
- optical network
- state table
- binding state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明揭示了一种无源光网络终端设备防序列号盗用认证方法,包括:通过无源光网络管理模块和光线路终端网络管理模块交互,配置光线路终端下各光网络单元序列号与介质访问控制子层协议的绑定状态表;为所述光网络单元配置与所述绑定状态表中相对应的序列号;在运行中通过序列号认证处理模块判断所述光网络单元的序列号与所述绑定状态表中序列号是否一致,用于防止被盗用。本发明方法保证了无源光网络PON的安全性,提高了无源光网络PON的可运行维护能力。
Description
技术领域
本发明涉及一种网络终端设备认证管理方法,尤其涉及的是一种无源光网络(PON)环境下网络终端设备认证管理方法。
背景技术
目前网络终端设备认证管理领域已有一种基于序列号进行终端认证的方法,其克服了以太网无源光网络(EPON)系统只依赖介质访问控制子层协议(MAC)地址对光网络单元(ONU)进行认证时存在的问题,如图1所示,描述了光线路终端(OLT)通过对ONU中写入序列号认证结果判断ONU能否接入业务网络的方式。该方式的认证过程如下:
第一步:在ONU本地,将特定的序列号写入ONU设备,作为ONU的标识;
第二步:在OLT侧,将网管认为“合法的”ONU序列号配置到OLT设备上,建立以序列号为标识的合法ONU信息库;
第三步:ONU使用MAC地址注册到OLT;
第四步:OLT侧通过扩展OAM(Operation Administration andMaintenance,操作管理维护)命令来获取ONU的序列号,并据此对ONU进行认证;
第五步:根据认证结果判断控制ONU能否接入业务网络。
但是,以上现有技术使用序列号进行终端认证的方式存在以下缺陷:终端序列号有可能被盗,导致非法用户ONU接入网络。因为只要将某个ONU序列号配置为已分配的合法序列号,该ONU就可以接入无源光网络使用业务。因此,现有技术有待于完善和发展。
发明内容
本发明所要解决的技术问题针对上述现有技术缺陷,提供一种防序列号盗用认证方法,能限制特定用户光网络单元序列号只能在指定的以太网无源光网络的光网络单元上使用的机制,可以有效地阻止非法光网络单元利用合法序列号接入网络。
本发明的技术方案如下:
一种防序列号盗用认证方法,其包括以下步骤:
A、通过无源光网络管理模块和光线路终端网络管理模块交互,配置光线路终端下各光网络单元序列号与介质访问控制子层协议地址的绑定状态表;
B、为所述光网络单元配置与所述绑定状态表中相对应的序列号;
C、在运行中通过序列号认证处理模块判断所述光网络单元的序列号与所述绑定状态表中序列号是否一致,用于防止被盗用;
所述的方法,其中,所述步骤C中,包括以下步骤:
C1、所述光网络单元完成媒体网关控制协议规定的介质访问控制子层协议认证后,所述光线路终端向所述光网络单元请求序列号;
C2、所述光网络单元响应所述序列号请求,并将其序列号发送给所述光线路终端;
C3、所述光线路终端的序列号认证处理模块根据所述光网络单元响应的序列号与所述绑定状态表中的序列号进行认证;
所述的方法,其中,所述步骤C3还包括:根据认证的结果判断是否改写所述绑定状态表中的光网络单元序列号状态字段和介质访问控制子层协议字段;
所述的方法,其中,所述步骤C3中,若所述绑定状态表中无对应的序列号,认证失败;
所述的方法,其中,所述步骤C3中,若所述绑定状态表中有对应的光网络单元序列号且对应的状态为允许新光网络单元接入,则将所述光网络单元对应的介质访问控制子层协议地址写入所述绑定状态表的对应介质访问控制子层协议字段,并将所述光网络单元状态修改为已绑定,认证通过;
所述的方法,其中,所述步骤C3中,若所述绑定状态表中有对应的光网络单元序列号,且其对应的状态为已绑定,比较所述光网络单元对应的介质访问控制子层协议地址与所述绑定状态表中的介质访问控制子层协议地址是否一致,若一致,则认证通过;不一致,则认证失败;
所述的方法,其中,所述步骤C3中,若所述绑定状态表中有对应的光网络单元序列号,且其对应的状态为准备更换,则比较所述光网络单元对应的介质访问控制子层协议地址与所述绑定状态表中的介质访问控制子层协议地址是否一致,若一致,认证通过;若不一致,更换新的光网络单元,并将其介质访问控制子层协议地址写入所述绑定状态表中的对应该介质访问控制子层协议字段,将其状态修改为已绑定,认证通过。
所述的方法,其中,所述步骤C3中,若所述绑定状态表中无对应的光网络单元序列号,则认证失败。
所述的方法,其中,在所述步骤A中配置所述绑定状态表,是在所述光网络单元第一次接入网络时在所述光线路终端上自动完成的。
所述的方法,其中,在所述步骤A中配置所述绑定状态表是在友好用户界面下实现的。
本发明所提供的防序列号盗用认证方法,由于采用了序列号认证处理模块根据ONU响应的序列号与ONU序列号-MAC的绑定状态表中数据进行序列号认证,通过其认证结果判断所述用户ONU是否可以接入网络的机制,从而有效地阻止了非法的ONU用户被配置为合法的序列号后非法接入网络的可能,保证了EPON的安全性,提高了EPON的可运行维护能力。
附图说明
图1为现有技术中基于序列号EPON终端设备用户ONU认证方法操作流程图;
图2是本发明方法ONU序列号-MAC绑定操作流程图;
图3是本发明方法ONU序列号状态转换关系图。
具体实施方式
下面结合附图,将对本发明各较佳实施例进行更为详细的描述。
本发明的防序列号盗用认证方法,在无源光网络系统中OLT为局端设备,ONU为用户端设备,局端OLT和用户ONU间序列号认证的交互协议为扩展OAM协议,所述扩展OAM协议为本领域普通技术人员所了解,因此其具体实现方式在此不再赘述。
本发明方法的系统包括以下模块:
ONU序列号配置模块,ONU序列号认证处理模块,OLT序列号认证处理模块,OLT网络管理模块,PON网络管理模块。
所述ONU序列号配置模块处理序列号配置命令,将所述ONU序列号配置为指定的序列号。
所述PON管理模块和所述OLT管理模块交互,在友好用户界面下配置所述OLT下各ONU序列号与MAC地址的绑定状态表。
所述OLT序列号认证处理模块向所述ONU请求序列号,通过所述ONU序列号和所述绑定状态表进行序列号认证,并根据认证结果判断是否改写所述光绑定状态表中ONU序列号状态字段和MAC字段。
所述ONU序列号认证处理模块根据局端OLT对所述ONU的序列号请求向所述OLT发送ONU序列号。
本发明方法的实施例具体操作步骤如下:
第一步:通过PON管理模块和OLT网络管理模块交互,在友好用户界面下配置OLT下各ONU序列号与MAC地址的绑定状态表;
第二步:维护人员通过工具为ONU配置与绑定状态表中相应的序列号。
第三步:ONU上电后,ONU首先自动完成媒体网关控制协议MGCP规定的MAC认证,然后OLT通过扩展OAM向ONU请求序列号。
第四步:ONU响应OLT序列号请求,ONU通过扩展OAM协议,将维护人员配置的ONU序列号发送给OLT。
第五步:OLT序列号认证处理模块根据对ONU序列号和所述绑定状态表进行序列号认证,并根据其认证结果判断是否改写绑定状态表中ONU序列号状态字段和MAC字段。
为了更好地理解局端OLT序列号认证处理模块,在OLT上增设一表,即为所述绑定状态表,序列号为主键;状态(State)有四个取值:允许新ONU接入(0)、已绑定(1)、准备更换ONU(2)、禁止ONU接入(3);
| 序列号 | MAC | State |
在OLT上以序列号为设备标识符初始配置ONU序列号后,把该ONU序列号写入所述绑定状态表中。
OLT序列号认证处理流程如图2所示,其判断操作步骤如下:
ONU上电后,MAC认证自动完成,在进行序列号认证时,查询所述绑定状态表,分别具有以下几种情况:
若绑定状态表中无对应的ONU序列号行,认证失败,并告警:有非法ONU接入。
若绑定状态表中有对应的ONU序列号且对应的State为允许新ONU接入(0),则将其对应MAC地址写入绑定状态表的对应MAC字段,并将其State改写为已绑定(1),认证通过。
若绑定状态表中无对应的ONU序列号且对应的State为已绑定(1),比较MAC地址是否一致,若一致,则认证通过;不一致,则认证失败,并告警:有非法用户ONU接入。
若绑定状态表中有对应的ONU序列号且对应的State为准备更换ONU(2),则比较MAC地址是否一致,若一致(为老ONU,尚未更换,继续可以使用),认证通过;若不一致,更换新的ONU,并将MAC地址写入绑定状态表中的对应该MAC字段,将其State改写为已绑定(1),则认证通过。
若绑定状态表中无对应的ONU序列号且对应的State为禁止ONU接入(3),则认证失败。
在具体过程中ONU序列号-MAC绑定状态的序列号将可能发生迁移,如图3所示,该图描述了ONU绑定状态表中序列号状态的迁移过程。
因此,在安装或更换新ONU,ONU第一次接入时,就完成了ONU序列号-MAC的绑定,从而阻止了其他非法用户ONU接入网络。
应当理解的是,上述具体实施例的描述较为详细,不能因此而理解为对本发明专利保护范围的限制,本发明专利保护范围应以所附权利要求为准。
Claims (3)
1.一种防序列号盗用认证方法,其包括以下步骤:
A、通过无源光网络管理模块和光线路终端网络管理模块交互,配置光线路终端下各光网络单元序列号与介质访问控制子层协议地址的绑定状态表;
B、为所述光网络单元配置与所述绑定状态表中相对应的序列号;
C、在运行中通过序列号认证处理模块判断所述光网络单元的序列号与所述绑定状态表中序列号是否一致,用于防止被盗用;
所述步骤C中,包括以下步骤:
C1、所述光网络单元完成媒体网关控制协议规定的介质访问控制子层协议认证后,所述光线路终端向所述光网络单元请求序列号;
C2、所述光网络单元响应所述序列号请求,并将其序列号发送给所述光线路终端;
C3、所述光线路终端的序列号认证处理模块根据所述光网络单元响应的序列号与所述绑定状态表中的序列号进行认证;
所述步骤C3还包括:根据认证的结果判断是否改写所述绑定状态表中的光网络单元序列号状态字段和介质访问控制子层协议字段;
所述步骤C3中:
若所述绑定状态表中无对应的序列号,认证失败;
若所述绑定状态表中有对应的光网络单元序列号且对应的状态为允许新光网络单元接入,则将所述光网络单元对应的介质访问控制子层协议地址写入所述绑定状态表的对应介质访问控制子层协议字段,并将所述光网络单元状态修改为已绑定,认证通过;
若所述绑定状态表中有对应的光网络单元序列号,且其对应的状态为已绑定,比较所述光网络单元对应的介质访问控制子层协议地址与所述绑定状态表中的介质访问控制子层协议地址是否一致,若一致,则认证通过;不一致,则认证失败;
若所述绑定状态表中有对应的光网络单元序列号,且其对应的状态为准备更换,则比较所述光网络单元对应的介质访问控制子层协议地址与所述绑定状态表中的介质访问控制子层协议地址是否一致,若一致,认证通过;若不一致,更换新的光网络单元,并将其介质访问控制子层协议地址写入所述绑定状态表中的对应的介质访问控制子层协议字段,将其状态修改为已绑定,认证通过。
2.根据权利要求1所述的方法,其特征在于,在所述步骤A中配置所述绑定状态表,是在所述光网络单元第一次接入网络时在所述光线路终端上自动完成的。
3.根据权利要求1所述的方法,其特征在于,在所述步骤A中配置所述绑定状态表是在友好用户界面下实现的。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810066210 CN101267340B (zh) | 2008-03-25 | 2008-03-25 | 一种防序列号盗用认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810066210 CN101267340B (zh) | 2008-03-25 | 2008-03-25 | 一种防序列号盗用认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101267340A CN101267340A (zh) | 2008-09-17 |
| CN101267340B true CN101267340B (zh) | 2013-03-20 |
Family
ID=39989489
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200810066210 Active CN101267340B (zh) | 2008-03-25 | 2008-03-25 | 一种防序列号盗用认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101267340B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102036128A (zh) * | 2009-09-29 | 2011-04-27 | 中兴通讯股份有限公司 | 吉比特无源光网络中实现信息交互安全的方法及系统 |
| CN102740174B (zh) * | 2012-06-06 | 2014-12-03 | 烽火通信科技股份有限公司 | Gpon系统中管理onu接入的方法 |
| CN104469561B (zh) * | 2015-01-06 | 2018-01-02 | 烽火通信科技股份有限公司 | Gpon系统中控制非法厂商onu接入能力的方法及装置 |
| CN105791012A (zh) * | 2016-03-08 | 2016-07-20 | 中国联合网络通信集团有限公司 | 认证方法及接入网元 |
| CN113365123B (zh) * | 2021-06-02 | 2022-10-28 | 深圳市环球数码科技有限公司 | 一种利用光源芯片操作影院放映服务器方法、系统及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1697405A (zh) * | 2005-06-23 | 2005-11-16 | 烽火通信科技股份有限公司 | 一种远端光网络单元设备向网络管理系统自动上报mac地址的方法 |
| CN101068145A (zh) * | 2007-07-05 | 2007-11-07 | 杭州华三通信技术有限公司 | Epon网元配置方法及epon |
| CN101119158A (zh) * | 2007-09-21 | 2008-02-06 | 中兴通讯股份有限公司 | 基于以太网无源光网络设备的管理方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100713351B1 (ko) * | 2005-02-07 | 2007-05-04 | 삼성전자주식회사 | 인터넷 프로토콜 방송 서비스를 제공하기 위한 시스템 및방법 |
-
2008
- 2008-03-25 CN CN 200810066210 patent/CN101267340B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1697405A (zh) * | 2005-06-23 | 2005-11-16 | 烽火通信科技股份有限公司 | 一种远端光网络单元设备向网络管理系统自动上报mac地址的方法 |
| CN101068145A (zh) * | 2007-07-05 | 2007-11-07 | 杭州华三通信技术有限公司 | Epon网元配置方法及epon |
| CN101119158A (zh) * | 2007-09-21 | 2008-02-06 | 中兴通讯股份有限公司 | 基于以太网无源光网络设备的管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101267340A (zh) | 2008-09-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101232372B (zh) | 认证方法、认证系统和认证装置 | |
| CA2578186C (en) | System and method for access control | |
| KR100963612B1 (ko) | 스마트 카드를 이용한 네트워크 접근 장치 관리 방법 및시스템 | |
| CN100591011C (zh) | 一种认证方法及系统 | |
| CN101217575B (zh) | 一种在用户终端认证过程中分配ip地址的方法及装置 | |
| CN101267340B (zh) | 一种防序列号盗用认证方法 | |
| CN1655504B (zh) | 基于端口的对等访问控制方法 | |
| JP2003069573A (ja) | 情報記録媒体を用いたネットワーク機器の管理システム及び方法 | |
| CN103227776A (zh) | 配置方法、配置设备、计算机程序产品和控制系统 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| CN101436934A (zh) | 一种控制用户上网的方法、系统及设备 | |
| US8024466B2 (en) | System and method for providing security backup services to a home network | |
| CN101711029A (zh) | 终端的接入认证方法和设备及恢复设备合法性的方法 | |
| CN103369529A (zh) | 身份认证方法、访问点及访问控制器 | |
| CN106411673A (zh) | 一种网络准入控制管理平台及管理方法 | |
| CN106161442A (zh) | 一种系统控制用户登录方法 | |
| CN102271134A (zh) | 网络配置信息的配置方法、系统、客户端及认证服务器 | |
| CN102170421A (zh) | 一种混合认证的实现方法和系统 | |
| CN105279453B (zh) | 一种支持分离存储管理的文件分区隐藏系统及其方法 | |
| CN106992978A (zh) | 网络安全管理方法及服务器 | |
| EP1927254B1 (en) | Method and a device to suspend the access to a service | |
| JP2007208759A (ja) | Macアドレスとユーザ認証を組み合わせた認証セキュリティシステム | |
| CN101150474A (zh) | 一种以太网无源光网络(epon)接入系统的认证方案 | |
| CN102316119B (zh) | 一种安全控制方法和设备 | |
| CN201846357U (zh) | 非现场行业安全网络构架 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |