CN103618749B - 一种基于分离映射机制的无源光网络用户保护的实现方法 - Google Patents
一种基于分离映射机制的无源光网络用户保护的实现方法 Download PDFInfo
- Publication number
- CN103618749B CN103618749B CN201310682767.2A CN201310682767A CN103618749B CN 103618749 B CN103618749 B CN 103618749B CN 201310682767 A CN201310682767 A CN 201310682767A CN 103618749 B CN103618749 B CN 103618749B
- Authority
- CN
- China
- Prior art keywords
- mark
- user
- network
- accesses
- mapping
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于分离映射机制的无源光网络用户保护的实现方法,利用一体化标识网络ASR的分离映射机制与无源光网络相结合,通过一体化标识网络的认证机制对接入无源光网络的用户身份进行认证,能够保证无源光网络用户身份信息不被外网用户所发现,保护用户隐私信息。通过接入标识与路由标识之间的分离映射,使得用户的身份信息和位置信息相隔离,使得攻击者即使知道用户的身份信息,也无法得知用户的位置信息,从而保护了用户的隐私性。
Description
技术领域
本发明涉及一种无源光网络用户保护的方法,具体涉及一种基于分离映射机制的无源光网络用户保护的实现方法。
背景技术
随着宽带接入业务,如高清视频点播,IPTV,3D网络游戏等业务的不断出现和逐渐普及,传统的ADSL宽带接入技术已经无法满足用户对高带宽的需求。无源光网络PON以其高带宽、高QoS保障、电信级OAM、简单高效的适配封装等方面的优势,在未来宽带接入技术中具有较强的竞争力。因而PON网络的安全性也成为关注的重点。PON网络宽带接入面临的用户接入安全威胁主要包括:
1)非法ONT对PON网络的接入与攻击。非法ONT的注册或错误授权,将会给整个网络带来严重的安全威胁。因此可以执行对ONT设备的物理标识或者序列号编码进行认证和绑定,保证网络设备的正常运行。
2)PON接口数据安全威胁。针对PON网络中的EPON,可以通过启用三重搅动方法保证PON接口下行数据的安全;针对PON网络中的GPON,可以采取AES的加密机制,来防止下行方向数据被窃听的问题,使得数据安全性更强。
3)用户的安全威胁。通常是采用将用户的宽带账号与接入设备的物理端口绑定的简单方式,通过特定账号只能通过特定的端口上网,来防止用户账号被盗。但这一简单的安全模式将大大限制用户设备的接入方式,尤其在移动网络中,该安全认证方式的弊端将会突显出来。
一体化标识网络是一种新型网络体系架构,它将传统的网络结构体系模型 合并为两个层,即“网通层”和“服务层”。“网通层”完成网络的底层数据传输,负责网络的接入和互联互通,“服务层”实现服务和业务的应用。“网通层”又可分为虚拟接入子网和虚拟骨干子网。虚拟接入子网可支持多种异构终端的接入,虚拟骨干子网负责网络的路由及数据传输,其中虚拟骨干子网中包含的实体设备及功能如下:
1)广义交换路由器GSR完成拥有源RID和目的RID的数据的路由和转发;
2)用户认证中心UAC负责用户的接入认证和管理;
3)标识映射服务器负责维护和管理网络中的映射关系。
接入交换路由器ASR是连接虚拟接入子网与虚拟骨干子网的实体。
当用户接入网络后,ASR负责给接入用户分配一个全球唯一的接入标识AID。当用户的数据到达ASR后,ASR会将数据包的源AID及目的AID映射成为相应的RID,实现标识分离映射机制。而当数据到达通信对端的ASR时,将根据映射关系将RID解映射为原始的AID,从而完成整个通信过程。分离映射机制使得窃听者无法根据窃取到的RID找到用户的AID,也无法根据AID获得相应的RID。因此一体化标识网络通过双重安全保障(用户接入认证与分离映射机制)增强了网络的安全性。
将一体化标识网络中特有的分离映射机制与PON网络相结合,将大大提升PON网络的安全性,保障用户的安全。
缩略语和关键术语定义
PON Passive Optical Network 无源光网络
EPON Ethernet PON 以太网无源光网络
GPON Gigabit-Capable PON 千兆无源光网络
OAM Operations,Administration,and Maintenance 运营、管理、
维护
AES Advanced Encryption Standard 高级加密标准
OLT Optical Line Terminal 光线路终端
ONT Optical Network Terminal 光网络终端
GEM GPON Encapsulation Method GPON封装方法
ASR Access Switch Router 接入交换路由器
GSR General Switch Router 广义交换路由器
UAC User Authentication Center 用户认证中心
IDMS Identifier Mapping Server 标识映射服务器
PSTN Public switched telephone network 公共交换电话网
CATV Cable Television 有线电视网
AID Access Identifier 接入标识
RID Route Identifier 路由标识
NMS Network Management Server 网管服务器
POS Passive Optical Splitter 无源光纤分路器
发明内容
本发明克服了现有技术的不足,提供一种基于分离映射机制的无源光网络用户保护的实现方法,以期待解决现有技术中PON网络在用户方面存在安全威胁问题。
为解决上述的技术问题,本发明采用以下技术方案:
一种基于分离映射机制的无源光网络用户保护的实现方法,所述的方法包括以下步骤:
当合法的无源光网络用户终端访问外网数据时,包含源接入标识和目的接入标识的以太网帧通过PON网络的ONT封装为GEM帧格式;
GEM帧格式的数据包在通过OLT后解封装回到源接入标识和目的接入标识的以太网帧;
以太网帧到达用户侧ASR时,用户侧ASR采用标识分离映射机制将源接入标识映射为源路由标识;
当存在目的标识的映射对,目的接入标识映射为目的路由标识,在虚拟骨干子网中传输;
网络侧ASR获得标识映射对,根据映射对解映射回到源接入标识和源目的标识。
更进一步的技术方案是目的接入标识在虚拟骨干子网中传输步骤是:当存在目的标识的映射对,目的接入标识映射为目的路由标识,在虚拟骨干子网中传输;若不存在目的标识的映射对,目的接入标识采用不映射,采用直接透传的方式在虚拟骨干子网中传输。
更进一步的技术方案是网络侧ASR获得标识映射对,根据映射对解映射回到源接入标识和源目的标识步骤是:当以太网帧到达网络侧的ASR时,若网络侧ASR已有解映射的映射对,根据映射对解映射回到源接入标识和源目的标识;当网络侧ASR无解映射的映射对,网络侧ASR向IDMS发送映射查询消息,查询相应的映射关系,得到映射关系后再进行解映射。
更进一步的技术方案是用户隐私信息包括:MAC地址,用户名,产品序列号。
与现有技术相比,本发明的有益效果是:本发明可以更好的保护用户、数据安全性及隐私性,同时也为PON网络的安全运行提供了保障,本发明通过接入标识与路由标识之间的分离映射,使得用户的身份信息和位置信息相隔离,使 得攻击者即使知道用户的身份信息,也无法得知用户的位置信息,从而保护了用户的隐私性。
附图说明
图1为本发明一个实施例的分离映射流程框图。
具体实施方式
下面结合附图对本发明作进一步阐述。
如图1所示,图1示出了本发明一个实施例中分离映射流程框图。本实施例基于分离映射机制的无源光网络用户保护的实现方法,包括以下步骤:用户终端向虚拟骨干子网中的用户认证中心发送入网注册请求,提供用户隐私信息;用户认证中心确认用户终端合法后,选取一个接入标识及认证密钥发送给用户终端,授权接入标识。上述步骤利用用户认证中心,根据用户多个身份属性进行授权,并根据这些信息分配唯一接入标识。与此同时,当用户为接入到网络,还会根据接入标识及密钥信息进行认证,从而保证用户的合法性。用户向用户认证中心发送入网注册请求,提供MAC地址,用户名,产品序列号等用户隐私信息。当用户认证中心在数据库中确认用户的合法后,在未启用的接入标识库中,随机选取一个接入标识及认证密钥发送给用户。用户认证中心以接入标识为索引,采用加密算法,将用户隐私信息及认证密钥存储在认证数据库的列表中,表明用户的接入标识已授权。
用户为了能接入网络还需要通过认证。用户向用户侧ASR发起认证申请,申请中包括加密后的用户接入标识与认证密钥。用户侧ASR接收到认证申请后,转发给用户认证中心进行查询。用户认证中心解密申请消息后,根据接入标识在 认证数据库列表中找到其对应的隐私信息,并与接收到的申请消息比较,若一致,则告知用户侧ASR该用户是合法的,可以允许其接入网络。
此步骤保证用户无论在何时何地连接网络身份信息不变,具有不可抵赖性,有效防止现有网络中源IP地址伪造攻击等隐患,在一定程度上加强了网络环境的安全。
当用户通过认证后,用户侧ASR会从路由标识地址池中为用户的接入标识AID1分配相应的路由标识RID1;用户侧ASR将由接入标识AID1和路由标识RID1这一对标识组成标识映射对存储在用户侧ASR的映射列表中;用户侧ASR将此映射关系通告给IDMS;IDMS将该映射关系存储在以接入标识为索引的全局映射列表中;用户访问外网数据时,包含源接入标识和目的接入标识的以太网帧通过PON网络的ONT封装为GEM帧格式。数据在ONT与OLT之间传输的过程中,都是以GEM帧格式传输,无需对源接入标识和目的接入标识进行处理。GEM帧格式的数据包在通过OLT后解封装回到源接入标识和目的接入标识的以太网帧。以太网帧到达用户侧ASR时,用户侧ASR采用标识分离映射机制将源接入标识映射为源路由标识。若存在目的标识的映射关系,目的接入标识映射为目的路由标识,在虚拟骨干子网中传输。若不存在目的标识的映射关系,目的接入标识采用不映射,直接透传的方式在虚拟骨干子网中传输。当以太网帧到达网络侧的ASR时,若网络侧ASR已有解映射的映射关系,则会根据映射关系解映射回到源接入标识和源目的标识。若网络侧ASR未有解映射的映射关系,则需要由网络侧ASR向IDMS发送映射查询消息,查询相应的映射关系,得到映射关系后再进行解映射,从而完成从用户到网络的分离映射过程。同理,从网络侧的ASR的分离映射过程也是如此,此处不再赘述。本实施例利用一体化标识网络ASR对代表身份信息的接入标识和代表位置信息的路由标识进行分离,并通过映射表进行关联,在虚拟接入子网 内使用身份标识,而在虚拟骨干子网之内使用位置标识。通过分离映射机制将虚拟接入子网数据和虚拟骨干子网数据分离,能够保证用户身份信息不被外网用户所发现,保护用户隐私信息。
执行分离映射机制的实体是ASR。本实施例通过接入标识与路由标识之间的分离映射,使得用户的身份信息和位置信息相隔离,使得攻击者即使知道用户的身份信息,也无法得知用户的位置信息,从而保护了用户的隐私性。
在本说明书中所谈到的“一个实施例”、“另一个实施例”、“实施例”、等,指的是结合该实施例描述的具体特征、结构或者特点包括在本申请概括性描述的至少一个实施例中。在说明书中多个地方出现同种表述不是一定指的是同一个实施例。进一步来说,结合任一个实施例描述一个具体特征、结构或者特点时,所要主张的是结合其他实施例来实现这种特征、结构或者特点也落在本发明的范围内。
尽管这里参照发明的多个解释性实施例对本发明进行了描述,但是,应该理解,本领域技术人员可以设计出很多其他的修改和实施方式,这些修改和实施方式将落在本申请公开的原则范围和精神之内。更具体地说,在本申请公开权利要求的范围内,可以对主题组合布局的组成部件和/或布局进行多种变型和改进。除了对组成部件和/或布局进行的变型和改进外,对于本领域技术人员来说,其他的用途也将是明显的。
Claims (3)
1.一种基于分离映射机制的无源光网络用户保护的实现方法,其特征在于所述的方法包括以下步骤:
当合法的无源光网络用户终端访问外网数据时,包含源接入标识和目的接入标识的以太网帧通过无源光网络网络的光网络终端封装为千兆无源光网络封装方法帧格式;
千兆无源光网络封装方法帧格式的数据包在通过光线路终端后解封装回到源接入标识和目的接入标识的以太网帧;
以太网帧到达用户侧接入交换路由器时,用户侧接入交换路由器采用标识分离映射机制将源接入标识映射为源路由标识;
目的接入标识在虚拟骨干子网中传输;
网络侧接入交换路由器获得标识映射对,根据映射对解映射回到源接入标识和源目的标识。
2.根据权利要求1所述的基于分离映射机制的无源光网络用户保护的实现方法,其特征在于所述的目的接入标识在虚拟骨干子网中传输步骤是:当存在目的标识的映射对,目的接入标识映射为目的路由标识,在虚拟骨干子网中传输;若不存在目的标识的映射对,目的接入标识采用不映射,采用直接透传的方式在虚拟骨干子网中传输。
3.根据权利要求1所述的基于分离映射机制的无源光网络用户保护的实现方法,其特征在于所述的网络侧接入交换路由器获得标识映射对,根据映射对解映射回到源接入标识和源目的标识步骤是:当以太网帧到达网络侧的接入交换路由器时,若网络侧接入交换路由器已有解映射的映射对,根据映射对解映射回到源接入标识和源目的标识;当网络侧接入交换路由器无解映射的映射对,网络侧接入交换路由器向标识映射服务器发送映射查询消息,查询相应的映射关系,得到映射关系后再进行解映射。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310682767.2A CN103618749B (zh) | 2013-12-12 | 2013-12-12 | 一种基于分离映射机制的无源光网络用户保护的实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310682767.2A CN103618749B (zh) | 2013-12-12 | 2013-12-12 | 一种基于分离映射机制的无源光网络用户保护的实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103618749A CN103618749A (zh) | 2014-03-05 |
| CN103618749B true CN103618749B (zh) | 2017-01-25 |
Family
ID=50169453
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310682767.2A Expired - Fee Related CN103618749B (zh) | 2013-12-12 | 2013-12-12 | 一种基于分离映射机制的无源光网络用户保护的实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103618749B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104506971A (zh) * | 2014-12-31 | 2015-04-08 | 绵阳芯联芯网络科技有限公司 | 基于分离映射机制的无源光网络移动漫游的实现方法 |
| CN109547470B (zh) * | 2018-12-20 | 2020-10-27 | 北京交通大学 | 保护网络空间安全的电子隔离墙方法、装置及系统 |
| CN114726819A (zh) * | 2020-12-21 | 2022-07-08 | 中兴通讯股份有限公司 | 位置信息转换方法、网关、控制器、终端、设备及介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101127663A (zh) * | 2007-09-13 | 2008-02-20 | 北京交通大学 | 一种移动自组织网络接入一体化网络的系统及方法 |
| CN101459591A (zh) * | 2007-12-11 | 2009-06-17 | 中兴通讯股份有限公司 | 在无源光网络接入设备上实现用户端口定位的方法 |
| CN101895535A (zh) * | 2010-06-28 | 2010-11-24 | 北京交通大学 | 用于标识分离映射网络的网络认证方法、装置以及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101730101B (zh) * | 2009-04-15 | 2012-07-04 | 中兴通讯股份有限公司 | 身份标识与位置分离的实现方法、系统及装置 |
-
2013
- 2013-12-12 CN CN201310682767.2A patent/CN103618749B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101127663A (zh) * | 2007-09-13 | 2008-02-20 | 北京交通大学 | 一种移动自组织网络接入一体化网络的系统及方法 |
| CN101459591A (zh) * | 2007-12-11 | 2009-06-17 | 中兴通讯股份有限公司 | 在无源光网络接入设备上实现用户端口定位的方法 |
| CN101895535A (zh) * | 2010-06-28 | 2010-11-24 | 北京交通大学 | 用于标识分离映射网络的网络认证方法、装置以及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 一体化网络接入交换路由器分离映射的设计与实现;王上;《中国优秀硕士学位论文全文数据库 信息科技辑》;20080815(第8期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103618749A (zh) | 2014-03-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8509115B2 (en) | Multicast control method in Ethernet Passive Optical Network | |
| CN102045314B (zh) | 匿名通信的方法、注册方法、信息收发方法及系统 | |
| CN101141492B (zh) | 实现dhcp地址安全分配的方法及系统 | |
| CN104935572B (zh) | 多层级权限管理方法及装置 | |
| US20110010769A1 (en) | Preventing Spoofing | |
| CN106921437B (zh) | 一种在光接入网中建立虚拟接入节点的方法和设备 | |
| CN104581875B (zh) | 微型基站接入方法和系统 | |
| CN103067337B (zh) | 一种身份联合的方法、IdP、SP及系统 | |
| CN101102188A (zh) | 一种移动接入虚拟局域网的方法与系统 | |
| JP2004072775A (ja) | イーサネット(登録商標)受動型光加入者ネットワークシステムでのセキュリティデータ伝送方法 | |
| CN101662511A (zh) | 网络地址分配方法及dhcp服务器、接入系统及方法 | |
| CN102624744B (zh) | 网络设备的认证方法、装置、系统和网络设备 | |
| CN103618749B (zh) | 一种基于分离映射机制的无源光网络用户保护的实现方法 | |
| CN101217435A (zh) | 一种L2TP over IPSEC远程接入的方法及装置 | |
| CN106027491B (zh) | 基于隔离ip地址的独立链路式通信处理方法和系统 | |
| CN102045705A (zh) | 一种匿名通信的方法及注册方法及所采用的接入节点 | |
| JP4812339B2 (ja) | 加入者通信ネットワークにおけるアクセス制御方法、アクセス認証装置、及びアクセス認証用コンピュータプログラム | |
| CN102170421A (zh) | 一种混合认证的实现方法和系统 | |
| CN103108302B (zh) | 一种安全策略下发方法及实现该方法的网元和系统 | |
| CN102098269A (zh) | 一种宽带接入系统中mac地址过滤的方法 | |
| WO2012100497A1 (zh) | 一种同轴以太网系统中的白名单配置方法及系统 | |
| JP5624124B2 (ja) | ユーザの関連を検証するための方法、インターセプトモジュールおよびネットワークノード要素 | |
| CN201571068U (zh) | 一种网络系统、保护管理装置 | |
| CN103618751B (zh) | 基于分离映射机制的无源光网络业务保护方法 | |
| CN106789921A (zh) | 一种支持vlan内成员端口隔离的交换方法及交换机 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170125 Termination date: 20201212 |