CN105100088B - 一种防止非法克隆cm接入docsis网络的方法及系统 - Google Patents

一种防止非法克隆cm接入docsis网络的方法及系统 Download PDF

Info

Publication number
CN105100088B
CN105100088B CN201510398962.1A CN201510398962A CN105100088B CN 105100088 B CN105100088 B CN 105100088B CN 201510398962 A CN201510398962 A CN 201510398962A CN 105100088 B CN105100088 B CN 105100088B
Authority
CN
China
Prior art keywords
clone
management system
network management
docsis
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510398962.1A
Other languages
English (en)
Other versions
CN105100088A (zh
Inventor
刘明亮
徐冉
刘健文
张治�
荀廷伟
谭鑫
孙亮
叶梓聪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Radio and television Guangzhou network Co.,Ltd.
Original Assignee
Guangzhou Zhujiang Digital Group Ltd By Share Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou Zhujiang Digital Group Ltd By Share Ltd filed Critical Guangzhou Zhujiang Digital Group Ltd By Share Ltd
Priority to CN201510398962.1A priority Critical patent/CN105100088B/zh
Publication of CN105100088A publication Critical patent/CN105100088A/zh
Application granted granted Critical
Publication of CN105100088B publication Critical patent/CN105100088B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/60Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client 
    • H04N21/61Network physical structure; Signal processing
    • H04N21/6106Network physical structure; Signal processing specially adapted to the downstream path of the transmission network
    • H04N21/6118Network physical structure; Signal processing specially adapted to the downstream path of the transmission network involving cable transmission, e.g. using a cable modem

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Multimedia (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种防止非法克隆CM接入DOCSIS网络的方法及系统,方法包括:BOSS系统和网管系统定时同步一次CM的MAC地址和用户地址的对应关系并将该对应关系存储至网管系统的数据库;轮询全网DOCSIS设备,获取所有CM的MAC地址以及在线信息;将获取的CM信息与数据库中存储的数据进行对比,将在不同设备上具有相同MAC地址且均在线的CM存入克隆CM处理列表中;根据克隆CM处理列表中的信息进行非法克隆CM判断,从而从克隆CM处理列表中区分出非法克隆CM;对非法克隆CM进行防接入DOCSIS网络处理。本发明的方法具有可移值性高、使用成本较低和操作方便的优点,可广泛应用于有线电视领域。

Description

一种防止非法克隆CM接入DOCSIS网络的方法及系统
技术领域
本发明涉及有线电视领域,尤其是一种防止非法克隆CM接入DOCSIS网络的方法及系统。
背景技术
基于DOCSIS(有线电缆数据业务接口规范)的双向网络是目前广电行业的主流技术,也是最成熟的广电网络接入方案。
CM(CableModem,电缆调制解调器)的MAC地址在DOCSIS网络安全中非常重要,DOCSIS系统中对CM的业务发放和授权都是以CM的MAC地址来作为标识的,因此需要防止非法CM通过复制合法CM的MAC地址接入DOCSIS网络。DOCSIS早期的BPI(Baseline PrivacyInterface Plus,基线加密接口增强)规范中密钥管理协议不能鉴别CM,业务保护能力较弱。有鉴于此,BPI+增加了基于CM鉴别数字凭证(即X.509数字证书认证),增强了业务的保护能力。
BPI+定义了CM必须携带有X.509数字证书,该证书包含有CM的合法MAC地址,并需使用厂商证书进行数字签名处理,以证明CM的合法性。DOCSIS设备在CM接入DOCSIS网络的过程中,会对CM上报的数字证书进行X.509认证,校验数字证书中的MAC地址是否和CM的MAC地址一致,如果一致,则认为是合法的CM,否则就拒绝CM接入DOCSIS网络。CM的数字证书还使用了厂商证书的签名,很难伪造,大大提升了DOCSIS系统的安全性。
DOCSIS标准的X.509认证流程中数字证书管理采用以下三层管理的方式:
(1).由CableLabs(Cable Television Laboratories,美国有线电视实验室)统一发布和维护根CA证书(Root Certificate Authority证书,简写为Root CA证书);
(2).厂商向CableLabs申请厂商CA证书(即Manufacturer CA证书);
(3).厂商通过自己的CA证书来签发各自厂商CM设备证书。
其中,X.509认证流程中的数字证书分类如下表1所示。
表1数字证书分类
X.509认证中证书的验证机制需遵循RFC3280的“Basic Path Validation”的要求。证书的X.509验证过程如下:
(1).CM上报CM设备证书,以及Manufacturer CA证书。
(2).DOCSIS设备使用Manufacturer CA证书校验CM设备证书的签名(Manufacturer CA证书,优先选择使用系统中导入的Manufacturer CA证书,如果系统配置的Manufacturer CA证书不存在,那么才使用CM上报的Manufacturer CA证书)。
(3).DOCSIS设备需要验证Manufacturer CA证书的合法性,由于Manufacturer CA证书是采用Root CA来签名的,因此需要采用Root CA证书来验证Manufacturer CA证书。
(4).DOCSIS设备需要验证Root CA证书的合法性,Root CA证书是自签名证书,因此可以自己验证自己。
但是,BPI+技术存在着以下缺点:(1)对于不携带X.509数字证书的CM无法支持,需更换不支持BPI+的CM,可移值性较低;(2)DOCSIS设备需先导入Root CA证书,新采购的CM需安装设备证书和对应的私钥文件,且不能对外提供任何读写私钥文件的接口,使用成本较高,操作起来也不够方便。
发明内容
为了解决上述技术问题,本发明的目的是:提供一种可移值性高、使用成本较低和操作方便的,防止非法克隆CM接入DOCSIS网络的方法。
本发明的另一目的是:提供一种可移值性高、使用成本较低和操作方便的,防止非法克隆CM接入DOCSIS网络的系统。
本发明解决其技术问题所采用的技术方案是:
一种防止非法克隆CM接入DOCSIS网络的方法,包括:
S1、BOSS系统和网管系统定时同步一次CM的MAC地址和用户地址的对应关系并将该对应关系存储至网管系统的数据库;
S2、网管系统轮询全网DOCSIS设备,获取所有CM的MAC地址以及在线信息;
S3、网管系统将获取的CM信息与数据库中存储的数据进行对比,将在不同设备上具有相同MAC地址且均在线的CM存入克隆CM处理列表中;
S4、网管系统根据克隆CM处理列表中的信息进行非法克隆CM判断,从而从克隆CM处理列表中区分出非法克隆CM;
S5、对非法克隆CM进行防接入DOCSIS网络处理。
进一步,所述步骤S1,其包括:
S11、BOSS系统每天将所有CM的MAC地址与相应的用户地址写入对应关系文件中;
S12、BOSS系统的服务器将对应关系文件发送给网管系统的采集服务器;
S13、网管系统的采集服务器将对应关系文件转换为数据库文件后存入网管系统的数据库。
进一步,所述步骤S2,其具体为:
网管系统每小时通过SNMP的方式查询全网的DOCSIS设备,获取这些DOCSIS设备上所记录的CM MAC地址以及CM是否在线的信息,并将获取的信息存入数据库。
进一步,所述克隆CM处理列表中的信息包括但不限于CM的用户地址信息、CM所在设备信息、光节点信息和光节点所带CM的明细用户地址信息。
进一步,所述步骤S4,其包括:
网管系统根据CM的用户地址、CM所属区域和机房信息进行非法克隆CM判断,从而从克隆CM处理列表中区分出非法克隆CM;
网管系统根据CM的用户地址与上行端口信息进行非法克隆CM判断,从而从克隆CM处理列表中区分出非法克隆CM;
网管系统通过上行端口中所带CM的明细用户地址进行模糊匹配,从而从克隆CM处理列表中区分出非法克隆CM。
进一步,所述步骤S4,其包括:
网管系统将克隆CM处理列表发送给相应地段的外线维护人员,由相应地段的外线维护人员从克隆CM处理列表中区分出非法克隆CM。
进一步,所述步骤S5,其具体为:
网管系统获取非法克隆CM的CPE地址,并将获取的CPE地址发送给宽带出口处的网页推送系统,由网页推送系统对非法克隆CM用户的上网行为进行拦截。
进一步,所述步骤S5,其具体为:
网管系统利用预配置好的设备登录命令自动登录DOCSIS设备,对非法克隆CM调用重启CM命令或禁止CM登录命令,以使非法CM用户无法正常使用。
本发明解决其技术问题所采用的另一技术方案是:
一种防止非法克隆CM接入DOCSIS网络的系统,包括:
同步存储模块,用于BOSS系统和网管系统定时同步一次CM的MAC地址和用户地址的对应关系并将该对应关系存储至网管系统的数据库;
轮询模块,用于网管系统轮询全网DOCSIS设备,获取所有CM的MAC地址以及在线信息;
对比模块,用于网管系统将获取的CM信息与数据库中存储的数据进行对比,将在不同设备上具有相同MAC地址且均在线的CM存入克隆CM处理列表中;
判断模块,用于网管系统根据克隆CM处理列表中的信息进行非法克隆CM判断,从而从克隆CM处理列表中区分出非法克隆CM;
处理模块,用于对非法克隆CM进行防接入DOCSIS网络处理;
所述同步存储模块的输出端依次通过轮询模块、对比模块和判断模块进而与处理模块的输入端连接。
进一步,所述同步存储模块包括:
定时写入单元,用于BOSS系统每天将所有CM的MAC地址与相应的用户地址写入对应关系文件中;
发送单元,用于BOSS系统的服务器将对应关系文件发送给网管系统的采集服务器;
转换存储单元,用于网管系统的采集服务器将对应关系文件转换为数据库文件后存入网管系统的数据库;
所述定时写入单元的输出端通过发送单元进而与转换存储单元的输入端连接,所述转换存储单元的输出端与轮询模块的输入端连接。
本发明的方法的有益效果是:利用在不同设备上具有相同MAC地址的CM不会出现同时在线情况的特性,对全网DOCSIS设备上的CM进行查询,找出同一时间在线并具有相同MAC地址的CM存入克隆CM处理列表中,然后根据克隆CM处理列表中的信息,从克隆CM处理列表中区分出非法克隆CM,并对之进行防接入DOCSIS网络处理,与传统的X.509认证方式相比,不再需要X.509数字证书,可支持不携带X.509数字证书的CM,可移值性较高;原理简单,操作方便,既不需要先导入Root CA证书,也无需安装设备证书和对应的私钥文件,使用成本低。
本发明的系统的有益效果是:利用在不同设备上具有相同MAC地址的CM不会出现同时在线情况的特性,通过轮询模块和对比模块对全网DOCSIS设备上的CM进行查询,找出同一时间在线并具有相同MAC地址的CM存入克隆CM处理列表中,然后在判断模块中根据克隆CM处理列表中的信息,从克隆CM处理列表中区分出非法克隆CM,并对之进行防接入DOCSIS网络处理,与传统的X.509认证系统相比,不再需要X.509数字证书,可支持不携带X.509数字证书的CM,可移值性较高;原理简单,操作方便,既不需要先导入Root CA证书,也无需安装设备证书和对应的私钥文件,使用成本低。
附图说明
下面结合附图和实施例对本发明作进一步说明。
图1为本发明一种防止非法克隆CM接入DOCSIS网络的方法的整体流程图;
图2为本发明步骤S1的流程图;
图3为本发明一种防止非法克隆CM接入DOCSIS网络的系统的整体结构图;
图4为本发明同步存储模块的结构框图;
图5为本发明实施例一防止非法克隆CM接入DOCSIS网络的方法的具体处理过程示意图。
具体实施方式
参照图1,一种防止非法克隆CM接入DOCSIS网络的方法,包括:
S1、BOSS系统和网管系统定时同步一次CM的MAC地址和用户地址的对应关系并将该对应关系存储至网管系统的数据库;
S2、网管系统轮询全网DOCSIS设备,获取所有CM的MAC地址以及在线信息;
S3、网管系统将获取的CM信息与数据库中存储的数据进行对比,将在不同设备上具有相同MAC地址且均在线的CM存入克隆CM处理列表中;
S4、网管系统根据克隆CM处理列表中的信息进行非法克隆CM判断,从而从克隆CM处理列表中区分出非法克隆CM;
S5、对非法克隆CM进行防接入DOCSIS网络处理。
参照图2,进一步作为优选的实施方式,所述步骤S1,其包括:
S11、BOSS系统每天将所有CM的MAC地址与相应的用户地址写入对应关系文件中;
S12、BOSS系统的服务器将对应关系文件发送给网管系统的采集服务器;
S13、网管系统的采集服务器将对应关系文件转换为数据库文件后存入网管系统的数据库。
进一步作为优选的实施方式,所述步骤S2,其具体为:
网管系统每小时通过SNMP的方式查询全网的DOCSIS设备,获取这些DOCSIS设备上所记录的CM MAC地址以及CM是否在线的信息,并将获取的信息存入数据库。
进一步作为优选的实施方式,所述克隆CM处理列表中的信息包括但不限于CM的用户地址信息、CM所在设备信息、光节点信息和光节点所带CM的明细用户地址信息。
进一步作为优选的实施方式,所述步骤S4,其包括:
网管系统根据CM的用户地址、CM所属区域和机房信息进行非法克隆CM判断,从而从克隆CM处理列表中区分出非法克隆CM;
网管系统根据CM的用户地址与上行端口信息进行非法克隆CM判断,从而从克隆CM处理列表中区分出非法克隆CM;
网管系统通过上行端口中所带CM的明细用户地址进行模糊匹配,从而从克隆CM处理列表中区分出非法克隆CM。
进一步作为优选的实施方式,所述步骤S4,其包括:
网管系统将克隆CM处理列表发送给相应地段的外线维护人员,由相应地段的外线维护人员从克隆CM处理列表中区分出非法克隆CM。
进一步作为优选的实施方式,所述步骤S5,其具体为:
网管系统获取非法克隆CM的CPE地址,并将获取的CPE地址发送给宽带出口处的网页推送系统,由网页推送系统对非法克隆CM用户的上网行为进行拦截。
进一步作为优选的实施方式,所述步骤S5,其具体为:
网管系统利用预配置好的设备登录命令自动登录DOCSIS设备,对非法克隆CM调用重启CM命令或禁止CM登录命令,以使非法CM用户无法正常使用。
参照图3,一种防止非法克隆CM接入DOCSIS网络的系统,包括:
同步存储模块,用于BOSS系统和网管系统定时同步一次CM的MAC地址和用户地址的对应关系并将该对应关系存储至网管系统的数据库;
轮询模块,用于网管系统轮询全网DOCSIS设备,获取所有CM的MAC地址以及在线信息;
对比模块,用于网管系统将获取的CM信息与数据库中存储的数据进行对比,将在不同设备上具有相同MAC地址且均在线的CM存入克隆CM处理列表中;
判断模块,用于网管系统根据克隆CM处理列表中的信息进行非法克隆CM判断,从而从克隆CM处理列表中区分出非法克隆CM;
处理模块,用于对非法克隆CM进行防接入DOCSIS网络处理;
所述同步存储模块的输出端依次通过轮询模块、对比模块和判断模块进而与处理模块的输入端连接。
参照图4,进一步作为优选的实施方式,所述同步存储模块包括:
定时写入单元,用于BOSS系统每天将所有CM的MAC地址与相应的用户地址写入对应关系文件中;
发送单元,用于BOSS系统的服务器将对应关系文件发送给网管系统的采集服务器;
转换存储单元,用于网管系统的采集服务器将对应关系文件转换为数据库文件后存入网管系统的数据库;
所述定时写入单元的输出端通过发送单元进而与转换存储单元的输入端连接,所述转换存储单元的输出端与轮询模块的输入端连接。
下面结合说明书附图和具体实施例对本发明作进一步详细说明。
实施例一
在DOCSIS网络中,只有经BOSS(用户管理)系统授权的CM才能正常上线并正常使用。且该CM的MAC地址在网络中是唯一存在的,因为DOCSIS设备对CM上线情况会有记录,而同一个MAC地址的不同CM是不能在同一台DOCSIS设备上同时上线的(当出现有相同MAC地址的新CM上线时,DOCSIS设备会自动将前一个CM踢下线,以保证设备上只会有唯一的MAC地址的CM,所以非法克隆CM和正常的CM只会出现在不同的DOCSIS设备上)。由于网络调整或用户迁移的情况存在,CM的MAC地址可能会在多台DOCSIS设备上出现,但正常使用时绝不会出现具有同一个MAC地址的CM在不同DOCSIS设备上同时在线的情况。本发明正是利用这种特性,对全网DOCSIS设备上的CM进行查询,找出同一时间在线具有相同MAC地址的CM,然后利用BOSS系统中CM所在的用户地址,分辨出哪个是克隆非法CM,并对之进行处理。
参照图5,本实施例防止非法克隆CM接入DOCSIS网络的方法的具体处理过程为:
(一)网管系统与BOSS系统每天同步一次CM的MAC地址与用户地址的对应关系。
BOSS系统在用户办理业务时就已经录入了用户安装CM的MAC地址和安装CM的用户地址。BOSS系统每天将DOCSIS网络所有CM的MAC地址与用户地址生成对应关系文件发送至网管系统的服务器,网管系统的服务器将生成的对应关系文件转成数据库文件后存入网管系统的数据库中。
(二)网管系统每小时对全网DOCSIS设备通过SNMP方式进行查询(即轮询),获取这些设备上记录的CM的MAC地址以及这些CM是否在线的信息,并存入数据库中。
(三)网管系统在数据库将每小时获取到的CM信息结果与数据库的数据进行对比处理,并将在不同设备上有相同MAC地址且均为在线的记录的CM存入克隆CM处理列表中。
其中,克隆CM处理列表如下表1所示:
表1克隆CM处理列表
其中,表1的MAC地址为网管系统从DOCSIS设备上读取到的CM的MAC地址,用户地址为BOSS系统中该CM对应的用户地址。区域-机房为设备所在区域和机房的信息。CMTS(管理控制Cable Modem的设备)和上行端口为网管系统查询CM所在设备的记录。
(四)网管系统根据CM的用户地址信息、CM所在设备信息、光节点信息和光节点所带CM的明细用户地址信息进行判断,可实现自动或人工区分哪个CM为非法克隆CM。
其中,区分哪个CM为非法克隆CM的具体判别方法如下:
(1)网管系统根据用户地址和所属区域-机房先初步判断哪个CM为非法克隆CM,如下表2所示。
表2
由表2可以看出,同一个MAC地址的CM分别在两个不同区域的设备上。根据用户地址和区域-机房信息可以判断出第二个CM为克隆非法CM,因为真实用户地址为海珠区,而该CM在荔湾分公司区域上线。
(2)对于无法根据用户地址和所属区域-机房来判断非法克隆CM的情况,可继续根据用户地址与上行端口信息来判断非法克隆CM,如表3所示:
表3
由表3可以看出,通过用户地址和上行端口信息进行对比,可以判断出第二个为克隆非法CM,因为用户地址为泓景花园,而第二个CM所在端口信息为紫山大街南天阁。
(3)对于根据用户地址与上行端口信息还无法自动判断的,可通过上行端口中所带CM的用户地址进行模糊匹配来判断非法克隆CM,如表4所示:
表4
由表4可以看出,无法由用户地址、区域-机房和上行端口信息判断哪个为非法克隆CM。此时就需要用到上行端口所带的CM的明细用户地址来进行模糊匹配,从而判断出非法克隆CM。如下表5所示:
表5
由表5可以看出,上行端口为C8/1/3/U0沙地直街[HZ4]所带的CM的用户地址开头均为海珠区滨江东路沙地直街。而上行端口为Logical Upstream Channel12/2/0海洋研究所[HZ2]所带的CM的用户地址开头均为海珠区新港西路164号大院,与被克隆的CM真实用户地址(海珠区新港西路164号大院19号28栋301房)开头相同,所以可以通过模糊匹配判断出第一个在上行端口为C8/1/3/U0沙地直街[HZ4]的CM为非法克隆CM。
(4)通过上述步骤(1)~(3)所述的三种办法,网管系统可以自动将绝大多数的非法克隆CM判断出来。剩余少量的克隆CM可由人工进行判断(通过询问熟悉该地段的外线维护人员即可判断清楚)。
(五)对非法克隆CM进行防接入DOCSIS网络处理。
对判断完的克隆CM有以下两种处理方法:
(1)网管系统对克隆非法CM每5分钟做一次查询,获取到该CM的CPE地址(CPE地址是指用户通过接在CM后的终端设备,如路由器或电脑,所获取到的IP地址)。网管系统将获取到的CPE地址发送给宽带出口处的网页推送系统。当非法克隆CM有上网请求时,网页推送系统在宽带出口处进行拦截,将用户请求调度至推送页面,并告知用户使用的CM为非法克隆CM,要求用户停止使用或通过正常途径进行报装。
(2)网管系统利用配置好的设备登录命令自动登录DOCSIS设备,对克隆CM调用重启CM或禁止CM登陆命令,以使非法CM用户无法正常使用。
与现有技术相比,本发明具有以下优点:
(a)不再需要X.509数字证书,不需更换广电网络原有不支持BPI+的CM,可移值性较高。
(b)不再需要X.509数字证书,不需增加CM和DOCSIS设备成本,使用成本低。
(c)可实现自动辨别和处理克隆非法CM,不需对DOCSIS设备进行导入证书和私钥等操作,操作方便。
以上是对本发明的较佳实施进行了具体说明,但本发明创造并不限于所述实施例,熟悉本领域的技术人员在不违背本发明精神的前提下还可做作出种种的等同变形或替换,这些等同的变形或替换均包含在本申请权利要求所限定的范围内。

Claims (10)

1.一种防止非法克隆CM接入DOCSIS网络的方法,其特征在于:包括:
S1、BOSS系统和网管系统定时同步一次CM的MAC地址和用户地址的对应关系并将该对应关系存储至网管系统的数据库;
S2、网管系统轮询全网DOCSIS设备,获取所有CM的MAC地址以及在线信息;
S3、网管系统将获取的CM信息与数据库中存储的数据进行对比,将在不同设备上具有相同MAC地址且均在线的CM存入克隆CM处理列表中;
S4、网管系统根据克隆CM处理列表中的信息进行非法克隆CM判断,从而从克隆CM处理列表中区分出非法克隆CM;
S5、对非法克隆CM进行防接入DOCSIS网络处理。
2.根据权利要求1所述的一种防止非法克隆CM接入DOCSIS网络的方法,其特征在于:所述步骤S1,其包括:
S11、BOSS系统每天将所有CM的MAC地址与相应的用户地址写入对应关系文件中;
S12、BOSS系统的服务器将对应关系文件发送给网管系统的采集服务器;
S13、网管系统的采集服务器将对应关系文件转换为数据库文件后存入网管系统的数据库。
3.根据权利要求1所述的一种防止非法克隆CM接入DOCSIS网络的方法,其特征在于:所述步骤S2,其具体为:
网管系统每小时通过SNMP的方式查询全网的DOCSIS设备,获取这些DOCSIS设备上所记录的CM MAC地址以及CM是否在线的信息,并将获取的信息存入数据库。
4.根据权利要求1所述的一种防止非法克隆CM接入DOCSIS网络的方法,其特征在于:所述克隆CM处理列表中的信息包括但不限于CM的用户地址信息、CM所在设备信息、光节点信息和光节点所带CM的明细用户地址信息。
5.根据权利要求4所述的一种防止非法克隆CM接入DOCSIS网络的方法,其特征在于:所述步骤S4,其包括:
网管系统根据CM的用户地址、CM所属区域和机房信息进行非法克隆CM判断,从而从克隆CM处理列表中区分出非法克隆CM;
网管系统根据CM的用户地址与上行端口信息进行非法克隆CM判断,从而从克隆CM处理列表中区分出非法克隆CM;
网管系统通过上行端口中所带CM的明细用户地址进行模糊匹配,从而从克隆CM处理列表中区分出非法克隆CM。
6.根据权利要求4所述的一种防止非法克隆CM接入DOCSIS网络的方法,其特征在于:所述步骤S4,其包括:
网管系统将克隆CM处理列表发送给相应地段的外线维护人员,由相应地段的外线维护人员从克隆CM处理列表中区分出非法克隆CM。
7.根据权利要求1-6任一项所述的一种防止非法克隆CM接入DOCSIS网络的方法,其特征在于:所述步骤S5,其具体为:
网管系统获取非法克隆CM的CPE地址,并将获取的CPE地址发送给宽带出口处的网页推送系统,由网页推送系统对非法克隆CM用户的上网行为进行拦截。
8.根据权利要求1-6任一项所述的一种防止非法克隆CM接入DOCSIS网络的方法,其特征在于:所述步骤S5,其具体为:
网管系统利用预配置好的设备登录命令自动登录DOCSIS设备,对非法克隆CM调用重启CM命令或禁止CM登录命令,以使非法CM用户无法正常使用。
9.一种防止非法克隆CM接入DOCSIS网络的系统,其特征在于:包括:
同步存储模块,用于BOSS系统和网管系统定时同步一次CM的MAC地址和用户地址的对应关系并将该对应关系存储至网管系统的数据库;
轮询模块,用于网管系统轮询全网DOCSIS设备,获取所有CM的MAC地址以及在线信息;
对比模块,用于网管系统将获取的CM信息与数据库中存储的数据进行对比,将在不同设备上具有相同MAC地址且均在线的CM存入克隆CM处理列表中;
判断模块,用于网管系统根据克隆CM处理列表中的信息进行非法克隆CM判断,从而从克隆CM处理列表中区分出非法克隆CM;
处理模块,用于对非法克隆CM进行防接入DOCSIS网络处理;
所述同步存储模块的输出端依次通过轮询模块、对比模块和判断模块进而与处理模块的输入端连接。
10.根据权利要求9所述的一种防止非法克隆CM接入DOCSIS网络的系统,其特征在于:所述同步存储模块包括:
定时写入单元,用于BOSS系统每天将所有CM的MAC地址与相应的用户地址写入对应关系文件中;
发送单元,用于BOSS系统的服务器将对应关系文件发送给网管系统的采集服务器;
转换存储单元,用于网管系统的采集服务器将对应关系文件转换为数据库文件后存入网管系统的数据库;
所述定时写入单元的输出端通过发送单元进而与转换存储单元的输入端连接,所述转换存储单元的输出端与轮询模块的输入端连接。
CN201510398962.1A 2015-07-08 2015-07-08 一种防止非法克隆cm接入docsis网络的方法及系统 Active CN105100088B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510398962.1A CN105100088B (zh) 2015-07-08 2015-07-08 一种防止非法克隆cm接入docsis网络的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510398962.1A CN105100088B (zh) 2015-07-08 2015-07-08 一种防止非法克隆cm接入docsis网络的方法及系统

Publications (2)

Publication Number Publication Date
CN105100088A CN105100088A (zh) 2015-11-25
CN105100088B true CN105100088B (zh) 2018-06-05

Family

ID=54579635

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510398962.1A Active CN105100088B (zh) 2015-07-08 2015-07-08 一种防止非法克隆cm接入docsis网络的方法及系统

Country Status (1)

Country Link
CN (1) CN105100088B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA3016611C (en) * 2016-03-14 2021-01-19 Arris Enterprises Llc Cable modem anti-cloning
CN106656699A (zh) * 2017-01-11 2017-05-10 鼎点视讯科技有限公司 通信终端的接入方法和装置
CN109120917B (zh) * 2018-07-25 2020-06-05 湖北省广播电视信息网络股份有限公司武汉分公司 一种克隆cm的检测方法和系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101207607A (zh) * 2006-12-20 2008-06-25 深圳市同洲电子股份有限公司 Cable Modem双证书支持方法
CN103312696A (zh) * 2013-05-22 2013-09-18 上海云视科技有限公司 广电接入网架构系统以及eoc网管系统与boss系统的对接方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7716468B2 (en) * 2006-03-01 2010-05-11 Cisco Technology, Inc. Method and system for cloned cable modem detection
US20070276943A1 (en) * 2006-03-14 2007-11-29 General Instrument Corporation Prevention of Cloning Attacks in a DOCSIS Network
US7986690B2 (en) * 2008-08-12 2011-07-26 Cisco Technology, Inc. Inter-gateway cloned device detector using provisioning request analysis

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101207607A (zh) * 2006-12-20 2008-06-25 深圳市同洲电子股份有限公司 Cable Modem双证书支持方法
CN103312696A (zh) * 2013-05-22 2013-09-18 上海云视科技有限公司 广电接入网架构系统以及eoc网管系统与boss系统的对接方法

Also Published As

Publication number Publication date
CN105100088A (zh) 2015-11-25

Similar Documents

Publication Publication Date Title
US11178130B2 (en) Zero sign-on authentication
CN102947797B (zh) 使用横向扩展目录特征的在线服务访问控制
JP5701715B2 (ja) エネルギー管理装置、電力管理システムおよびプログラム
CN102724189B (zh) 一种控制用户url访问的方法及装置
US20110158406A1 (en) Zero sign-on authentication
CN102298647B (zh) 数据文件审核分配系统及方法
CN101540755B (zh) 一种修复数据的方法、系统和装置
CN105100088B (zh) 一种防止非法克隆cm接入docsis网络的方法及系统
CN101783795B (zh) 一种安全等级认证的方法和系统
CN106254398A (zh) 一种Wi‑Fi网络系统及其信息推送方法
CN106411673A (zh) 一种网络准入控制管理平台及管理方法
CN103905395A (zh) 一种基于重定向的web访问控制方法及系统
JP4681620B2 (ja) マルチキャストipフローへのアクセスを制御するための方法および装置
CN101222721A (zh) 通过客户端软件实现终端设备数据维护的方法
CN104702573B (zh) 家庭网络终端及其自动鉴权方法和自动鉴权系统
CN110061876B (zh) 运维审计系统的优化方法及系统
CN1622519A (zh) 信息同步管理系统及方法
CN102201935A (zh) 一种基于view的访问控制方法及其装置
CN101770553B (zh) 一种移动终端、以及移动终端中根证书的调用方法
CN102053584B (zh) 一种油气管道自控智能设备远程维护授权管理方法
CN101207607A (zh) Cable Modem双证书支持方法
TWI772721B (zh) 運用區塊鏈管理網路設備之系統及方法
CN105656840A (zh) 一种基于权限管控的网络安全准入认证系统及方法
CN116055486B (zh) 一种基于区块链的策略安全管理装置及方法
CN112508754A (zh) 一种基于智慧城市的家政服务o2o管理与服务平台

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 510010, Guangdong, Guangzhou province Yuexiu District Ring Road No. 233 color TV Center

Applicant after: Guangzhou Zhujiang digital group Limited by Share Ltd

Address before: 510010, Guangdong, Guangzhou province Yuexiu District Ring Road No. 233 color TV Center

Applicant before: Guangzhou Zhujiang Digital Group Co., Ltd.

COR Change of bibliographic data
GR01 Patent grant
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Method and system for preventing illegal clone cable modem (CM) from accessing data over cable system interface specification (DOCSIS) network

Effective date of registration: 20200611

Granted publication date: 20180605

Pledgee: China Co. truction Bank Corp Guangzhou Yuexiu branch

Pledgor: GUANGZHOU ZHUJIANG DIGITAL MEDIA GROUP Co.,Ltd.

Registration number: Y2020980002976

CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 510010 in the color TV Center, 233 Huanshi Middle Road, Yuexiu District, Guangzhou, Guangdong

Patentee after: China Radio and television Guangzhou network Co.,Ltd.

Address before: 510010 in the color TV Center, 233 Huanshi Middle Road, Yuexiu District, Guangzhou, Guangdong

Patentee before: GUANGZHOU ZHUJIANG DIGITAL MEDIA GROUP CO.,LTD.

PC01 Cancellation of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20220509

Granted publication date: 20180605

Pledgee: China Co. truction Bank Corp Guangzhou Yuexiu branch

Pledgor: GUANGZHOU ZHUJIANG DIGITAL MEDIA GROUP CO.,LTD.

Registration number: Y2020980002976