WO2008040256A1 - Procédé, dispositif et système d'authentification pour réseau optique passif - Google Patents

Description

一种无源光网络的用户认证方法、 装置及系统 本申请要求于 2006 年 09 月 29 日提交中国专利局、 申请号为 200610062942.8、发明名称为"一种无源光网络的用户认证方法"的中国专利 申请的优先权， 其全部内容通过引用结合在本申请中。 技术领域

本发明涉及通信技术领域， 特别涉及通信安全技术， 具体地说， 涉及 一种无源光网络的用户认证方法、 装置及系统。 背景技术

在规模越来越大的宽带接入网络中， 现有的大部分局域网 （LAN )都 运行在 100Mbit/s 的网络上， 许多大规模的商业公司正在向吉比特以太网 ( GE )过渡。 而在城域核心网和城域边缘网上， SONET/SDH/GE带宽容量 非常充裕， 这使得接入网部分产生了严重的带宽瓶颈。

与电缆传输相比较， 光纤传输具有容量大、 损耗小、 防电磁干扰能力 强等优势， 因而， 随着光纤传输的成本逐步下降， 接入网的光纤化是必然 的发展趋势。 代表着 "最后一公里 "部分的接入网段， 有超低成本、 简单结构 以及便于实现等要求， 这给技术实现带来了很大的挑战。 而无源光网络 ( PON, Passive Optical Network )釆用了无源器件， 是实现宽带光接入网 最有潜力的技术。

从承载的内容来分类， PON技术主要包括 ATM无源光网络（APON, ATM Based PONs )、 以太网无源光网络（ EPON , Ethernet Based PONs ) 以 及千兆以太网无源光网络（GPON, Gigabit PONs )等。 无源光网络从中心 交换局到用户驻地网之间不存在任何有源器件， 取而代之的是将无源光器 件插入到网络中， 并在整个路径上通过分离光波长的功率来引导传输的流 量。 这种替换使得服务提供商不再需要向传输环路中的有源器件供能和保 养， 节约了服务提供商的成本。 无源的分光器和耦合器只起到传递和限制 光的作用， 不需要供电和信息处理， 而且具有不受限制的平均故障间隔时 间 （MTBF ), 可以全面降低服务供应商的维护成本。

如图 1所示， 无源光网络通常是由位于中心局 （CO, Central Office ) 的光线路终端（ OLT, Optical Line Terminal )和一系列位于用户驻地的光网 络单元（ ONU , Optical Network Unit )构成， 在这些器件中间是由光纤、 无 源分光器或耦合器构成的光配线网络（ODN )。 在一个 PON网络中， 可从 服务交换局拉出单根光纤到宽带业务子区或办公园区， 然后再用无源分光 器或耦合器从主光纤分离出若干支路到各个大楼或业务设备上。 该方式可 使多个用户共享从交换局到用户驻地这段相对昂贵的光纤链路， 因而也极 大降低了光纤到楼（FTTB )和光纤到户 （FTTH ) 的使用成本。

通过釆用 APON/BPON、 EPON或即将标准化的 GPON技术， 在 PON 的主干光纤上可以支持 155Mbit/s、 622Mbit/s、 1.25Gbit/s或 2.5Gbit/s的速 率。 为同时支持语音、 数据和视频应用， 每个用户的带宽分配可以是静态 的， 也可以是动态的。

ONU承载的业务开始使用时一般需要进行认证，目前按照网络层次和级 另¹ J , 可以分为两阶段认证： OLT认证和宽带远程接入服务器 （BRAS , Broadband Remote Access Server )认证。 OLT认证负责从 PON网络到汇聚层 网络的闸门开关， BRAS认证负责从用户终端到 Internet (业务网络）的闸门 开关。

当前 PON网络 OLT认证过程一般使用 ONU的 MAC地址或序列号进 行认证， 即用户在 PON网络开户时， 服务器登记该用户 ONU的 MAC地 址或序列号， 以后该 ONU注册到 PON网络时按其 MAC地址或序列号进 行认证， 决定是否允许该用户接入运营商网络。

以上过程， 在 EPON网络中， 认证关键信息是 MAC地址； 在 GPON 网络中， 认证关键信息是 ONU序列号。 这种认证方式是针对 ONU终端设 备的， 用户更换 ONU后， 将导致认证失败， 无法接入网络； 用户开户需要 ——登记领用 ONU的特征信息（MAC地址， 序列号等）， 流程复杂， 极为 不便。 发明内容 用户更换 ONU而不影响接入网络， 且不需要用户——登记领用 ONU的特 征信息。 本发明提供的一种用户认证方法， 包括：

光线路终端 OLT接收光网络单元 ONU发起的用户认证请求， 该认证 请求中携带有密码标识；

所述 OLT根据所述 ONU上报的用户密码标识进行认证判决， 并根据 判决结果控制 ONU到网络侧的通道。

本发明提供一种无源光网络，包括光线路终端 OLT和光网络单元 ONU , 所述光网络单元 ONU包括：

发送单元， 用于发送携带有密码标识的用户认证请求；

所述光线路终端 OLT包括：

接收单元，用于接收所述光网络单元 ONU发送的携带有密码标识的用 户认证请求；

认证单元， 根据所述 ONU上报的用户密码标识对相应用户进行认证； 控制单元， 用于根据所述认证结果控制 ONU到网络侧的通道； 在所述 认证通过后 , 打开 ONU到网络侧的通道。

本发明还提供一种光线路终端 OLT, 包括：

接收单元，用于接收所述光网络单元 ONU发送的携带有密码标识的用 户认证请求；

认证单元， 根据所述 ONU上报的用户密码标识对相应用户进行认证； 控制单元， 根据所述认证结果控制 ONU到网络侧的通道； 在所述认证 通过后， 打开 ONU到网络侧的通道。 发送请求报文， 请求报文中携带密码标识， OLT根据接收的密码标识判断 是否打开 ONU到网络汇聚层的通道，使无源光网络用户管理和维护更加简 捷方便， 提高终端互换性和用户安全性， 且用户更换 ONU后， 新的 ONU 利用密码标识也能接入网络。 附图说明

图 1为现有技术的无源光网络的功能框图；

图 2为本发明实施例中的无源光网络的用户认证方法的流程图； 图 3为本发明实施例中的无源光网络的功能框图。 具体实施方式

在本发明实施例的技术方案中， PON 网络用户向运营商登记开户申请 时， 获得一个用户名和密码， 该用户名和密码也可以通过其他方式获得， 例如 PON网络用户向运营商服务器登记开户申请， 由服务器自动配发用户 名和密码。 对于 PON网络的 ONU设备， 用户可以自行购买市场上符合标 准的产品或从运营商得到。

将 ONU设备和个人电脑 PC等连接正确并上电后， ONU设备开始注册 到 PON网络的 OLT设备。 这时用户通过 PC访问 Internet, ONU设备要求 用户输入用户名和密码（可以通过超文本传输协议 HTTP Portal的方式）。

ONU得到用户输入的用户名和密码后， 通过协议将用户名和密码发送给 OLT进行认证， OLT根据内部的认证信息数据库， 判断该用户名和密码是 否合法。 如果合法， 则允许该用户上下行流量通过 OLT, 即所述用户上下 行流量可通过该 ONU到网络汇聚层的通道； 如果不合法， 则不允许该用户 上下行流量通过 OLT,即对于该用户而言该 ONU到网络汇聚层的通道是关 闭的。

运营商服务器提供给用户的用户名和密码可能表现为单一的用户名或 密码， 用户将输入一串字符作为密码标识， 下文将统一使用密码标识指代 用户得到的用户名和密码信息。 用户在第一次接入网络时， ONU会提示用 户输入密码标识， 具体实现是通过 HTTP portal或 Web网管方式， ONU得 到用户的密码标识， 将通过下述的通信过程向 OLT发起用户认证请求， 根 据认证结果， 决定 ONU是否被允许接入运营商汇聚层网络。 ONU内部可 暂时存储用户的密码标识， 以便后续接入网络时， ONU根据暂存的密码标 识自动向 OLT发起用户认证， 省略用户输入密码标识的步骤， 方便用户使 用。

如图 2所示， 光网络单元 ONU上电注册、 发起用户认证的过程描述如 下：

步骤 100: 在 EPON中， ONU上电后根据 OLT下发的协议消息发起注 册或在 GPON 中发起测距请求， 在此过程中， ONU上报自身设备信息给 OLT , 如 MAC地址和序列号等； 步骤 110: OLT分配相应的逻辑通道给该 ONU, 如在 EPON中， 分配 EPON协议中的 LLID给所述 ONU、在 GPON中分配 GPON协议中的 ONUID 或 PortID给所述 ONU,在 OLT和 ONU之间建立了一条逻辑上的点对点通 信链路， OLT将该 ONU标识为注册但未认证的状态， 使其到网络侧上层的 通道维持关闭状态， 此时该 ONU无法接入运营商汇聚层网络；

步骤 120: ONU扩展当前协议， 向 OLT发送认证请求消息报文， 消息 中包含用户输入或内部暂存的密码标识；

其中， ONU出厂时用户密码标识为空， ONU发起认证请求之前， 将检 查密码标识是否为空， 如果为空， 则向用户提示输入密码标识信息， 可通 过超文本传输协议 HTTP方式实现；

在 EPON 网络中， 通过扩展以太网操作维护管理 （OAM, Operation Administration Management )协议（在 EPON 网络中即 EPON OAM协议） 承载认证请求消息报文。 如， 在 802.3ah协议规范中， 利用 OAM的厂商扩 展 Organization Specific Information TLV (参考 IEEE Draft P 802.3ah/D3.3第 57.5.2.3节), 自定义 Organizationally Unique Identifier后, 在 Organization Specific Value字段自定义用户认证请求报文的格式，在 EPON OAM协议层 实现控制报文认证请求消息报文的承载；

在 GPON网络中， ONU通过测距阶段后 , OLT给 ONU分配 ONU ID。

ONU可利用 OMCI (操作管理控制接口）或物理层操作维护管理（PLOAM, Physical Layer OAM ) 消息向 OLT发送用户认证请求报文；

步骤 130: OLT收到 ONU发出的认证请求消息包， 根据密码标识在内 部认证信息库中搜索比较， 判断密码标识匹配是否正确， 如果匹配正确并 且权限正常， 进入步骤 140, 如果匹配失败或权限异常， 则进入步骤 150; 步骤 140: OLT打开 ONU到网络侧的通道， 向该 ONU回送认证结果 报文， 然后进行后续 ONU配置下发等操作；

步骤 150: 当匹配失败或权限异常， OLT关闭或维持关闭 ONU到网络 侧上层的通道， 向该 ONU回送携带认证失败信息的报文；

步骤 160: ONU接收到认证结果报文后， 确定认证是否成功， 并在内 部标记认证状态（成功或失败）， 并根据认证状态确定报文处理模式， 如果 认证成功， 进入步骤 170, 如果认证失败， 则进入步骤 180;

步骤 170: ONU在 PON口和用户端口之间透明传输数据报文； 步骤 180: ONU捕获用户数据报文到 ONU内部的 CPU, 并向用户提 示输入密码标识， 重新进行认证。 网络， 电力线 PLC网络或 Cable接入网络。

本发明实施例中提供的一种光线路终端 OLT, 包括：

接收单元，用于接收所述光网络单元 ONU发送的携带有密码标识的用 户认证请求； 认证单元， 根据所述 ONU上报的用户密码标识对相应用户进 行认证； 控制单元， 包括若干开关， 在所述认证通过后， 打开 ONU到网络 侧的通道。

如图 3所示， 在 OLT设备内部使用 Kl、 Κ2、 Κ3表示 ONUl、 ONU2、 ONU3这三个 ONU的控制开关， PON网络用户的 OLT认证过程即是通过 识别用户的设备信息、 用户名密码信息等控制这些开关的打开或关闭。

本发明实施例提供的一种光线路终端 OLT, 接收所述光网络单元 ONU 发送的用户认证请求； 根据所述用户的设备信息以及用户密码标识对相应 用户进行认证；

根据判决结果打开 ONU到网络侧汇聚层的通道或维持 ONU到网络侧 汇聚层的通道关闭；

若认证通过并该用户具有权限， 接通相应控制开关， 打开相应 ONU到 网络侧汇聚层的通道，如接通开关 K1 ,打开 ONU1到网络侧汇聚层的通道。

本发明实施例中涉及的无源光网络， 包括光线路终端 OLT和光网络单 元 ONU;

该光网络单元 ONU包括发送单元，用于发送携带有密码标识的用户认 证请求； 光线路终端 OLT接收光网络单元 ONU发送的携带有密码标识的 用户认证请求， 并根据 ONU上报的用户密码标识对相应用户进行认证； 根 据认证结果控制 ONU到网络侧上层的通道。所述无源光网络中光线路终端 OLT与光网络单元 ONU之间的认证及控制过程具体如下：

光线路终端 OLT接收 ONU发出的认证请求消息报文， 根据密码标识 在内部认证信息库中搜索比较；

密码标识匹配正确并且具有权限， OLT打开 ONU到网络侧的通道， 向 该 ONU回送认证结果报文， 然后进行后续 ONU配置下发等操作；

密码标识匹配失败或权限异常， OLT维持 ONU到网络侧上层的通道 关闭， 并向该 ONU回送认证结果报文。

本领域技术人员可以理解， 上述实施例中的全部或部分单元或各步骤 是可以通过程序来指令相关硬件来实现， 所述程序可存储于计算机可读取 存储介质中， 所述存储介质， 如 ROM/RAM、 磁盘、 光碟等。 或者将它们 分别制作成各个集成电路模块， 或者将它们中的多个单元或步骤制作成单 个集成电路模块来实现。 这样， 本发明不限制于任何特定的硬件和软件结 合。

以上所述， 仅为本发明较佳的具体实施方式， 但本发明的保护范围并 不局限于此， 任何熟悉本技术领域的技术人员在本发明揭露的技术范围内， 可轻易想到的变化或替换， 都应涵盖在本发明的保护范围之内。 因此， 本 发明的保护范围应该以权利要求的保护范围为准。

Claims

权 利 要 求

1、 一种用户认证方法， 其特征在于， 包括：

光线路终端 OLT接收光网络单元 ONU发起的用户认证请求， 该认证 请求中携带有密码标识；

所述 OLT根据所述 ONU上报的用户密码标识进行认证， 并根据认证 结果控制 ONU到网络侧上层的通道的状态。

2、 如权利要求 1所述的用户认证方法， 其特征在于， 在所述 OLT根据 ONU上 4艮的用户密码标识进行认证之前， 还包括：

所述 OLT接收所述光网络单元 ONU发起的注册或测距请求； 所述 OLT分配相应的逻辑通道给所述 ONU。

3、 如权利要求 2所述的用户认证方法， 其特征在于， 还包括： 所述 OLT获取所述 ONU上报的自身设备信息， 以识别用户。

4、如权利要求 1所述的用户认证方法，其特征在于，在 EPON网络中， 所述认证请求是通过扩展以太网操作维护管理 OAM协议进行承载，以发送 所述认证请求艮文。

5、 如权利要求 1或 2所述的用户认证方法， 其特征在于， 还包括： 所述 OLT接收 ONU发出的认证请求消息， 根据密码标识在内部认证 信息库中搜索比较；

密码标识匹配正确并且具有权限， OLT打开 ONU到网络侧的通道， 向 该 ONU回送认证结果报文。

6、 如权利要求 1至 3中任一项所述的用户认证方法， 其特征在于， 所 述密码标识是 PON网络用户向运营商登记开户申请而获得。

7、 一种无源光网络， 包括光线路终端 OLT和光网络单元 ONU, 其特 征在于， 所述光网络单元 ONU包括：

发送单元， 用于发送携带有密码标识的用户认证请求；

所述光线路终端 OLT包括：

接收单元，用于接收所述光网络单元 ONU发送的携带有密码标识的用 户认证请求；

认证单元， 根据所述 ONU上报的用户密码标识对用户进行认证； 控制单元， 根据所述认证结果控制 ONU到网络侧的通道； 在所述认证 通过后， 打开 ONU到网络侧的通道。

8、 如权利要求 7所述的无源光网络， 其特征在于，

所述 OLT接收所述 ONU发出的认证请求消息报文后， 所述认证单元 根据密码标识在内部认证信息库中搜索比较；

若密码标识匹配正确并且具有权限，所述控制单元打开 ONU到网络侧 的通道， 向该 ONU回送认证结果报文。

9、 如权利要求 8所述的无源光网络， 其特征在于，

所述 ONU接收到认证结果报文后， 在内部标记认证状态， 并根据认证 状态确定报文处理模式。

10、 如权利要求 7所述的无源光网络， 其特征在于，

所述 ONU发起认证请求前， 检查 ONU内部的密码标识是否为空， 如 果为空， 则向用户提示输入密码标识信息。

11、 如权利要求 7 所述的无源光网络， 其特征在于， 所述无源光网络 为千兆以太网无源光网络 GPON网络， 所述 ONU利用操作管理控制接口

OMCI或物理层操作维护管理 PLOAM消息向 OLT发送用户认证请求 4艮文。

12、 如权利要求 7所述的无源光网络， 其特征在于，

认证成功后，所述 ONU在 PON口和用户端口之间透明传输数据报文； 认证失败后， 所述 ONU向用户提示输入密码标识， 重新进行认证。

13、 如权利要求 12所述的无源光网络， 其特征在于， 所述 ONU通过 超文本传输协议 HTTP向用户提示输入密码标识。

14、 一种光线路终端 OLT, 其特征在于， 包括：

接收单元，用于接收光网络单元 ONU发送的携带有密码标识的用户认 证请求；

认证单元， 根据所述 ONU上报的用户密码标识对相应用户进行认证； 控制单元， 根据所述认证结果控制 ONU到网络侧的通道； 在所述认证 通过后， 打开 ONU到网络侧的通道。

15、 如权利要求 14所述的光线路终端 OLT, 其特征在于， 所述控制单 元包括： 多个开关， 用于接通或关闭 ONU到网络侧的通道。