專(zhuān)利名稱(chēng):一種以太網(wǎng)無(wú)源光網(wǎng)絡(luò)(epon)接入系統(tǒng)的認(rèn)證方案的制作方法
一種以太網(wǎng)無(wú)源光網(wǎng)絡(luò)(EP0N)接入系統(tǒng)的認(rèn)證方案所屬領(lǐng)域本發(fā)明涉及一種接入網(wǎng)中用戶(hù)接入的認(rèn)證方法實(shí)現(xiàn)��,屬于寬帶接 入領(lǐng)域���,具體的說(shuō),涉及以太網(wǎng)無(wú)源光網(wǎng)絡(luò)接入網(wǎng)系統(tǒng)中�,在局端和 客戶(hù)端設(shè)備上實(shí)現(xiàn)用戶(hù)接入認(rèn)證的方案���。
背景技術(shù):
隨著Internet的普及和寬帶應(yīng)用的發(fā)展,用戶(hù)對(duì)網(wǎng)絡(luò)帶寬的需求 越來(lái)越大��,傳統(tǒng)接入技術(shù)已經(jīng)不能很好的解決帶寬瓶頸問(wèn)題��,于是就 涌現(xiàn)出了多種寬帶接入技術(shù)方案�。無(wú)源光網(wǎng)絡(luò)(PON)作為一種優(yōu)越 的光纖接入方式,因其存在巨大的帶寬潛力而受到了各大運(yùn)營(yíng)商的青 睞����。EPON (Ethernet based passive optical network)是基于千兆以 太網(wǎng)的無(wú)源光網(wǎng)絡(luò)技術(shù)�����,繼承了以太網(wǎng)的低成本和易用性,以及光網(wǎng) 絡(luò)的高帶寬����,是實(shí)現(xiàn)FTTH眾多技術(shù)中"性?xún)r(jià)比"最高的一種。IEEE802. lx標(biāo)準(zhǔn)提供了 一種獨(dú)立于網(wǎng)絡(luò)服務(wù)類(lèi)型的基于網(wǎng)絡(luò)端口 訪問(wèn)介入控制的標(biāo)準(zhǔn)���,用于基于以太網(wǎng)的局域網(wǎng)�、城域網(wǎng)和各種寬帶 接入手段的用戶(hù)和用戶(hù)設(shè)備的接入認(rèn)證��。隨著EPON技術(shù)的不斷成熟���,眾多廠商的大力投入,EPON接入網(wǎng) 系統(tǒng)逐漸轉(zhuǎn)入商用����,面對(duì)大量用戶(hù)的接入�����,需要提供更完善的管理和 計(jì)費(fèi),如何利用IEEE 802. lx標(biāo)準(zhǔn)及局域網(wǎng)的優(yōu)勢(shì)實(shí)現(xiàn)EPON光網(wǎng)絡(luò) 接入用戶(hù)的認(rèn)證和授權(quán)�����,達(dá)到接受合法用戶(hù)接入�����,保護(hù)網(wǎng)絡(luò)安全的目 的,成為EPON接入網(wǎng)系統(tǒng)需要解決的首要問(wèn)題。另一方面����,在實(shí)際應(yīng)用中�,802. lx雖然能夠克服一系列局域網(wǎng)接入中的安全漏洞���,但也存在一些安全隱患��。發(fā)明內(nèi)容本發(fā)明提供一種以太網(wǎng)無(wú)源光網(wǎng)絡(luò)(EPON)接入系統(tǒng)的認(rèn)證方案及 實(shí)現(xiàn)方法,結(jié)合IEEE802. lx協(xié)議基于以太網(wǎng)端口訪問(wèn)控制的特點(diǎn)���, 對(duì)EPON系統(tǒng)各部分進(jìn)行研究���,提出了一種基于802. lx協(xié)議的EPON 系統(tǒng)認(rèn)證方案�����,既減少了認(rèn)證服務(wù)器并發(fā)連接數(shù)�����,增加了服務(wù)器同時(shí) 管理的用戶(hù)數(shù)量�����,又實(shí)現(xiàn)了對(duì)傳統(tǒng)認(rèn)證架構(gòu)的兼容�����,保證了擴(kuò)展性��, 最終達(dá)到網(wǎng)絡(luò)的可運(yùn)營(yíng)、可管理、可增值的目的。本發(fā)明提出的以太網(wǎng)無(wú)源光網(wǎng)絡(luò)(EPON)接入系統(tǒng)的認(rèn)證方案���,實(shí) 現(xiàn)方式如下該方案按照EPON接入網(wǎng)的組網(wǎng)特點(diǎn)���,采用802. lx集中式組網(wǎng)方 式��,基于MAC地址的端口訪問(wèn)控制模式�����,主要包括兩大部分組成申 請(qǐng)者系統(tǒng)、認(rèn)證者系統(tǒng)兩大部分組成����,分別完成認(rèn)證發(fā)起及認(rèn)證過(guò)程 (如圖1)。申請(qǐng)者通過(guò)該申請(qǐng)者系統(tǒng)——硬件系統(tǒng)的驅(qū)動(dòng)程序可以實(shí)現(xiàn)認(rèn)證 過(guò)程。用戶(hù)從服務(wù)提供商處申請(qǐng)開(kāi)通業(yè)務(wù)時(shí)�,服務(wù)提供商將在給該用 戶(hù)使用的ONU上寫(xiě)入該用戶(hù)的身份識(shí)別信息���。只要該0NU處于工作狀 態(tài),該用戶(hù)申請(qǐng)的業(yè)務(wù)即被授權(quán)。認(rèn)證者系統(tǒng)主要實(shí)現(xiàn)802. lx/radius接口功能���,對(duì)0LT芯片進(jìn)行 操作����,實(shí)現(xiàn)端口的控制及加密的控制�,分兩部分0LT芯片固件和 CPU主程序,主要包括用戶(hù)管理模塊�����、PAE模塊�、后臺(tái)任務(wù)模塊和 RADIUS客戶(hù)端模塊。用戶(hù)管理模塊主要用于認(rèn)證消息的分發(fā)和維護(hù) 在線用戶(hù)的數(shù)據(jù)結(jié)構(gòu)。PAE模塊和后臺(tái)任務(wù)模塊實(shí)現(xiàn)認(rèn)證者狀態(tài)機(jī)的 主體部分。RADIUS客戶(hù)端模塊負(fù)責(zé)收集認(rèn)證者實(shí)體需要與認(rèn)證服務(wù) 器交互的消息�����,轉(zhuǎn)換為RADIUS協(xié)議幀后與認(rèn)證服務(wù)器通信��。申請(qǐng)者系統(tǒng)和認(rèn)證者系統(tǒng)之間運(yùn)行802. lx定義的EAP0L協(xié)議���。結(jié) 合EP0N下行共享介質(zhì)的特點(diǎn)���,在EP0N系統(tǒng)中采用PEAP協(xié)議通信�, PEAP使用傳輸級(jí)別安全性(TLS)在正在驗(yàn)證的PEAP申請(qǐng)者和PEAP 認(rèn)證者之間創(chuàng)建加密通道。選擇的加密算法為PEAP-MD5����,該算法適 合于P0N網(wǎng)絡(luò)��,'因?yàn)橄滦邪踩⑶倚诺朗羌用艿?����。另一方面,MD5簡(jiǎn) 單����,能夠在具有小內(nèi)存空間的0NU的CPU上執(zhí)行��,并降低系統(tǒng)成本�。本發(fā)明利用802. lx協(xié)議基于MAC地址的端口訪問(wèn)控制模式,實(shí)現(xiàn) 了以太網(wǎng)無(wú)源光網(wǎng)絡(luò)(EPON)的接入認(rèn)證�,實(shí)現(xiàn)了 ONU的安全合法接 入��,克服一系列局域網(wǎng)接入中的安全漏洞,實(shí)現(xiàn)了對(duì)傳統(tǒng)認(rèn)證架構(gòu)的 兼容����,保證了擴(kuò)展性��,最終達(dá)到網(wǎng)絡(luò)的可運(yùn)營(yíng)、可管理、可增值的目 的���。
利用對(duì)參考了附圖的優(yōu)選實(shí)施例的詳細(xì)敘述,將會(huì)使本發(fā)明的上 述目的及優(yōu)點(diǎn)更加清楚明了����,其中圖1所示為以太網(wǎng)無(wú)源光網(wǎng)絡(luò)接入認(rèn)證的系統(tǒng)框圖2所示為認(rèn)證者系統(tǒng)的功能模塊;圖3所示為以太網(wǎng)無(wú)源光網(wǎng)絡(luò)接入認(rèn)證流程;具體實(shí)施方案本發(fā)明根據(jù)以太網(wǎng)無(wú)源光網(wǎng)絡(luò)的特點(diǎn),提出了基于MAC地址的端 口訪問(wèn)控制模式����,對(duì)0冊(cè)或?qū)NU的接入用戶(hù)進(jìn)行認(rèn)證及鑒權(quán)��。參見(jiàn) 圖1本發(fā)明系統(tǒng)總體設(shè)計(jì)框圖����。圖中�,0NU側(cè)SYSTEM-SOFT(系統(tǒng)軟件) 完成申請(qǐng)者功能�����,通過(guò)PON接口與OLT側(cè)認(rèn)證者系統(tǒng)通信��,完成認(rèn)證 過(guò)程��,其中0LT側(cè)0LT chip Firmware (固件)完成認(rèn)證者功能����。其中�,申請(qǐng)者系統(tǒng)(S叩plicant System)運(yùn)行于ONU的CPU中���,通 過(guò)硬件系統(tǒng)的驅(qū)動(dòng)程序來(lái)實(shí)現(xiàn)申請(qǐng)功能���。其中驅(qū)動(dòng)程序包括802. lx 申請(qǐng)者代碼���,包含兩種實(shí)現(xiàn)模式API模式和獨(dú)立模式。API模式中����,ONU的申請(qǐng)者程序調(diào)用驅(qū)動(dòng)程序以實(shí)現(xiàn)802. lx的認(rèn) 證功能。其中包含如下3個(gè)參數(shù)activate—8021x-s叩plicant,是 否調(diào)用802. lx申請(qǐng)者功能�����,l為調(diào)用,O則不調(diào)用��;user_name,包 含用戶(hù)名稱(chēng)的字符串��;password,包含相應(yīng)的密碼。O而的申請(qǐng)者程 序可以從相關(guān)源(如�����,智能卡接口����, flash等)載入。獨(dú)立模式中,SYSTEM-SOFT獨(dú)立運(yùn)行于ONU的CPU上,在ONU啟 動(dòng)初始化后,驅(qū)動(dòng)程序從flash中讀取用戶(hù)名及密碼���,開(kāi)始執(zhí)行 802. lx的申請(qǐng)過(guò)程�����。認(rèn)證者系統(tǒng)(Authenticator System),基于802. lx協(xié)議的EP0N 接入認(rèn)證方案認(rèn)證者系統(tǒng)包括3方面的功能和申請(qǐng)者系統(tǒng)進(jìn)行通
信���,802. lx分組包和RADIUS信息的轉(zhuǎn)換,以及和RADIUS服務(wù)器通 信(RADIUS client ),如圖2��。與申請(qǐng)者系統(tǒng)通信模塊����,在OLT芯片中以固件的形式實(shí)現(xiàn)�����。該固 件實(shí)現(xiàn)802. lx協(xié)議棧,其中包括分組包的解析并為每一個(gè)申請(qǐng)者一 一ONU產(chǎn)生EAP狀態(tài)信息����。協(xié)議棧在OLT啟動(dòng)時(shí)自動(dòng)^fe調(diào)用���,并一直 處于運(yùn)行狀態(tài)��,除非OLT關(guān)閉�����。當(dāng)然�����,該固件程序包含定時(shí)功能�,負(fù) 責(zé)處理未收到認(rèn)證服務(wù)器響應(yīng)的事件。802. lx分組包和RADIUS消息的轉(zhuǎn)換(包括端口控制)�,這部分功 能也在OLT芯'片中以固件的形式實(shí)現(xiàn)。802. lx協(xié)議棧實(shí)現(xiàn)EAP分組 包和RADIUS消息間的轉(zhuǎn)換,并根據(jù)RADIUS消息控制端口的通斷�。如, 有效地EAP-Response包將轉(zhuǎn)化為Radius-Access-Request消息����, Radius-Access-Accept消息將轉(zhuǎn)為EAP-Success包并回復(fù)給申請(qǐng)者 系統(tǒng)(相關(guān)ONU)�,同時(shí)打開(kāi)相應(yīng)端口以傳輸數(shù)據(jù)����。如果ONU沒(méi)有被認(rèn)證��,端口關(guān)閉���,OLT芯片將不允許該0而進(jìn)行 上行/下行的數(shù)據(jù)傳輸�,除了 EAP認(rèn)證消息。和RADIUS Server通]言才莫塊�����,該功能由"RADIUS client module" 來(lái)執(zhí)行����。主要實(shí)現(xiàn)以下具體功能(1) 登陸RADIUS服務(wù)器�����;(2) 從OLT芯片接收RADIUS消息,并封裝進(jìn)RADIUS分組包��,再 發(fā)送至RADIUS服務(wù)器�;(3)接收來(lái)自RADIUS服務(wù)器的RADIUS分組 包����,解析出RADIUS消息再傳送給OLT芯片����。申請(qǐng)者系統(tǒng)���、認(rèn)證者系統(tǒng)及RADIUS Server之間通信流程如圖3
所述I )認(rèn)證者系統(tǒng)發(fā)出注冊(cè)指令�,申請(qǐng)者發(fā)送應(yīng)答消息完成PON的注 冊(cè)過(guò)程;2) 申請(qǐng)者系統(tǒng)發(fā)出EAPOL-Start消息發(fā)起認(rèn)證過(guò)程��;3) 認(rèn)證者系統(tǒng)發(fā)出EAPOL-REQ請(qǐng)求幀�����,要求客戶(hù)輸入用戶(hù)名���;4) 客戶(hù)機(jī)響應(yīng)請(qǐng)求�����,將自己的用戶(hù)名信息通過(guò)數(shù)據(jù)幀EAPOL-REP 發(fā)送給認(rèn)證者系統(tǒng);5 )認(rèn)證者系統(tǒng)將客戶(hù)的用戶(hù)名信息重新封裝成 Radius-Access-Request包發(fā)送給服務(wù)器;6) RADIUS服務(wù)器驗(yàn)證用戶(hù)名合法后向客戶(hù)機(jī)發(fā)送自己的數(shù)字證 書(shū)Radius-Access-Challenge;7) 客戶(hù)機(jī)通過(guò)證書(shū)驗(yàn)證服務(wù)器的身份����;8) 客戶(hù)機(jī)給服務(wù)器發(fā)送自己的數(shù)字證書(shū);9) 服務(wù)器通過(guò)證書(shū)驗(yàn)證客戶(hù)身份��,完成相互認(rèn)證�����;10) 在相互認(rèn)證的過(guò)程中�,客戶(hù)機(jī)和服務(wù)器也獲得了主會(huì)話密鑰 Master_Session—Key;II )認(rèn)證成功�����,RAD IUS服務(wù)器向認(rèn)證者系統(tǒng)發(fā)送RADIUS-ACCEPT 消息�,其中包括密鑰信息���;12 )認(rèn)證者系統(tǒng)向客戶(hù)機(jī)轉(zhuǎn)發(fā)EAP-Suece s s消息,認(rèn)證成功��。 802. lx認(rèn)證通過(guò)前�,通道的狀態(tài)為Unauthorized,此時(shí)只能通過(guò) EAPOL的802. lx認(rèn)證報(bào)文���;認(rèn)證通過(guò)時(shí),通道的狀態(tài)切換為 authorized,此時(shí)從遠(yuǎn)端認(rèn)證服務(wù)器可以傳遞用戶(hù)的信息����,比如CAR 參數(shù)、優(yōu)先級(jí)、用戶(hù)的訪問(wèn)控制列表等信息�����;認(rèn)證通過(guò)后����,用戶(hù)的流 量就將接受上述參數(shù)的監(jiān)管���,此時(shí)該通道可以通過(guò)任何"l艮文�。如圖3可知����,申請(qǐng)者系統(tǒng)要先給認(rèn)證者系統(tǒng)發(fā)送EAP0L-S tar t報(bào) 文開(kāi)始進(jìn)行認(rèn)證,接入設(shè)備收到報(bào)文后給申請(qǐng)者系統(tǒng)發(fā)送 EAP-Reques t/Ident i ty請(qǐng)求�,客戶(hù)端這時(shí)回應(yīng)相應(yīng)的報(bào)文(其中包括 用戶(hù)名),最后收到EAP-Success報(bào)文標(biāo)志著認(rèn)證成功�����。認(rèn)證成功后��, 可以進(jìn)行計(jì)費(fèi)�����、流量控制���、限速等其他操作。
權(quán)利要求
1����、一種以太網(wǎng)無(wú)源光網(wǎng)絡(luò)(EPON)接入系統(tǒng)的認(rèn)證方案���,其特征在于��,按照EPON接入網(wǎng)的組網(wǎng)特點(diǎn),采用802.1x集中式組網(wǎng)方式���,基于MAC地址的端口訪問(wèn)控制模式,對(duì)ONU或?qū)NU的接入用戶(hù)進(jìn)行認(rèn)證及鑒權(quán)���。申請(qǐng)者系統(tǒng)運(yùn)行于ONU板CPU上��,申請(qǐng)者通過(guò)該申請(qǐng)者系統(tǒng)可以實(shí)現(xiàn)認(rèn)證過(guò)程���。用戶(hù)從服務(wù)提供商處申請(qǐng)開(kāi)通業(yè)務(wù)時(shí)��,服務(wù)提供商將在給該用戶(hù)使用的ONU上寫(xiě)入該用戶(hù)的身份識(shí)別信息��。只要該ONU處于工作狀態(tài),該用戶(hù)申請(qǐng)的業(yè)務(wù)即被授權(quán)。認(rèn)證者系統(tǒng)運(yùn)行于OLT板CPU上����,實(shí)現(xiàn)802.1x/radius接口功能,對(duì)OLT芯片進(jìn)行操作�,實(shí)現(xiàn)端口的控制及加密的控制�����,主要包括用戶(hù)管理模塊��、PAE模塊、后臺(tái)任務(wù)模塊和RADIUS客戶(hù)端模塊��。用戶(hù)管理模塊主要用于認(rèn)證消息的分發(fā)和維護(hù)在線用戶(hù)的數(shù)據(jù)結(jié)構(gòu)��。PAE模塊和后臺(tái)任務(wù)模塊實(shí)現(xiàn)認(rèn)證者狀態(tài)機(jī)的主體部分���。RADIUS客戶(hù)端模塊負(fù)責(zé)收集認(rèn)證者實(shí)體需要與認(rèn)證服務(wù)器交互的消息���,轉(zhuǎn)換為RADIUS協(xié)議幀后與認(rèn)證服務(wù)器通信。
2���、 根據(jù)權(quán)利要求1所述的一種以太網(wǎng)無(wú)源光網(wǎng)絡(luò)(EPON)接入系統(tǒng) 的認(rèn)證方案���,其特征在于,所述的基于MAC地址的端口訪問(wèn)控制模式�����, 在0而接入端口在接入端口就將業(yè)務(wù)流和認(rèn)證流分離�,并利用EPON 的匯聚能力�����,將眾多的認(rèn)證點(diǎn)的信息匯聚后再傳遞給認(rèn)證服務(wù)器。
3、 根據(jù)權(quán)利要求1所述的一種以太網(wǎng)無(wú)源光網(wǎng)絡(luò)(EPON)接入系統(tǒng)的認(rèn)證方案��,其特征在于�,.所述的申請(qǐng)者系統(tǒng)運(yùn)行于0NU的CPU中, 通過(guò)硬件系統(tǒng)的驅(qū)動(dòng)程序來(lái)實(shí)現(xiàn)申請(qǐng)功能。
4����、根據(jù)權(quán)利要求1所述的一種以太網(wǎng)無(wú)源光網(wǎng)絡(luò)(EPON)接入系統(tǒng) 的認(rèn)證方案,其特征在于�����,所述的認(rèn)證者系統(tǒng)運(yùn)行于0LT的CPU中�����, 位于申請(qǐng)者系統(tǒng)和認(rèn)證服務(wù)器之間�����,主要由以下兩部分組成OLT芯 片固件和CPU主程序�。
5 、根據(jù)權(quán)利要求4所述的 一種以太網(wǎng)無(wú)源光網(wǎng)絡(luò)(EPON)接入系統(tǒng) 的認(rèn)證方案��,其特征在于�����,所述的OLT芯片固件實(shí)現(xiàn)EPON MAC控制��, 完成以下幾方面任務(wù)802. lx認(rèn)證者�����,完成802. lx包和RADIUS信 息間的轉(zhuǎn)換;點(diǎn)到點(diǎn)仿真,實(shí)現(xiàn)不同ONU的數(shù)據(jù)對(duì)應(yīng)不同的授控端口; 獨(dú)立控制每個(gè)授控端口 ���;所有不被控制的授控端口不能接入OLT ship 內(nèi)部CPU;通過(guò)OLT芯片固件來(lái)實(shí)現(xiàn)MAC接入控制功能。
6、根據(jù)權(quán)利要求4所述的一種以太網(wǎng)無(wú)源光網(wǎng)絡(luò)(EPON)接入系統(tǒng) 的認(rèn)證方案���,其特征在于,所述的CPU主程序?qū)崿F(xiàn)802. lx/radius接 口功能����,對(duì)OLT芯片操作��,實(shí)現(xiàn)端口的控制及加密的控制�。
全文摘要
本發(fā)明公開(kāi)了一種以太網(wǎng)無(wú)源光網(wǎng)絡(luò)(EPON)接入系統(tǒng)的認(rèn)證方案�,包括申請(qǐng)者系統(tǒng)��,認(rèn)證者系統(tǒng)和認(rèn)證服務(wù)器系統(tǒng)3部分組成���,申請(qǐng)者系統(tǒng)向認(rèn)證者系統(tǒng)請(qǐng)求對(duì)網(wǎng)絡(luò)服務(wù)的訪問(wèn)�,并對(duì)認(rèn)證者的協(xié)議報(bào)文進(jìn)行應(yīng)答��;認(rèn)證者系統(tǒng)控制申請(qǐng)者對(duì)網(wǎng)絡(luò)服務(wù)的訪問(wèn)���,并在認(rèn)證過(guò)程中將請(qǐng)求者的認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)至認(rèn)證服務(wù)器����,然后根據(jù)認(rèn)證服務(wù)器的指示執(zhí)行對(duì)請(qǐng)求者的授權(quán)�����;認(rèn)證服務(wù)器系統(tǒng)負(fù)責(zé)存儲(chǔ)有關(guān)用戶(hù)信息,執(zhí)行驗(yàn)證請(qǐng)求者身份的功能,并指明請(qǐng)求者是否通過(guò)驗(yàn)證允許其接入認(rèn)證者的網(wǎng)絡(luò)服務(wù)���;本發(fā)明解決了EPON接入網(wǎng)系統(tǒng)接入認(rèn)證��、授權(quán)、計(jì)費(fèi)問(wèn)題��,有效地增強(qiáng)了接入網(wǎng)絡(luò)的安全�����,防止非法用戶(hù)進(jìn)入網(wǎng)絡(luò),并保證了網(wǎng)絡(luò)的“可運(yùn)營(yíng)、可管理、可增值”能力���。
文檔編號(hào)H04L12/28GK101150474SQ20071017724
公開(kāi)日2008年3月26日 申請(qǐng)日期2007年11月13日 優(yōu)先權(quán)日2007年11月13日
發(fā)明者劉俊濤, 昱 堯, 張永軍, 顧畹儀 申請(qǐng)人:北京郵電大學(xué)