專利名稱:基于wdm和tdm的混合pon系統安全性實現方法
技術領域:
本發明涉及混合PON系統管理,特別是涉及一種基于WDM和TDM的混 合PON系統安全性實現方法。
背景技術:
隨著人民生活水平的不斷提高,人們對改善生活質量、獲取各種信息提出 了更高的需求。目前應用最為廣泛的"寬帶"解決方案主要是各種數字用戶線路 (xDSL)和Cable Modem技術,但是它們仍然無法滿足很多新興業務的需要, 如高清電視(HDTV)、視頻點播(VOD)、交互式游戲和雙向視頻會議等。以 太網無源光網絡(EPON)系統結合低成本的以太網設備和可靠的光纖基礎設 施,可以很好支持各種具有高帶寬需求的新業務,正成為下一代寬帶綜合接入 網絡建設的主流技術。
WDM-PON是在光纖上應用的基于WDMA的PON系統,如圖1所示, WDM-PON在技術上有很多優勢是EPON和GPON(都屬于TDM-PON)不具備 的。首先,WDM-PON能透明傳輸各種協議的所有業務流;其次,WDM-PON 不需改變物理設備就可以升級帶寬,因此能夠適應未來很長時間的帶寬需求, 設備的使用周期更長;第三,由于WDM-PON為每個ONU分配一個波長,不 同用戶之間不共享信息,因此不存在TDM-PON所有用戶都能收到相同信號帶 來的安全問題。但由于現階段用戶對帶寬的需求尚未達到每用戶一個波長的規 模,加之WDM-PON器件的成本較高,如圖2所示,結合TDM-PON和WDM-PON優勢的基于WDM和TDM的混合PON系統成為未來光接入領域 的發展方向,具有巨大的市場。
隨著基于IP技術的網絡建設的日漸普及,以及用戶業務類型的不斷豐富, 運營商需要增強對用戶業務數據進行更加精細和靈活的控制能力。在寬帶接入 (DSLAM、 PON、 LAN等)網絡中,需要通過用戶接入的寬帶接入服務器(BRAS ) 或業務路由器(SR)的物理端口和用戶接入線路(端口)來唯一地標識寬帶用戶 接入線路(端口)。特別是對于IPTV等平臺,目前普遍采用DHCP的IP地址 分配方式,如圖3所示,在DHCP方式中,DHCP中繼代理采用DHCP Option 82攜帶用戶的接入線路(端口)標識信息。另外,對于PPPoE認證方式,也 需要PPPoE中繼代理在相關報文中攜帶用戶的接入線路(端口)標識信息, 如圖4所示。隨著光纖接入技術的大量部署,要求寬帶接入系統支持對用戶接 入線路(端口)進行精確標識。
但是,目前基于WDM和TDM的混合PON系統,其上游的BRAS無法 或者難以從以太網數據包中獲取用戶端口信息,從而不能對用戶端口進行統一 的認證管理,不能有效地防范用戶賬號被盜用。
發明內容
本發明所要解決的技術問題是解決基于WDM和TDM的混合PON系統由 于不能對用戶端口進行精確地標識和定位,從而不能有效地防范用戶賬號被盜 用,造成該系統安全性差的問題。
為了解決上述技術問題,本發明所采用的技術方案是提供一種基于WDM 和TDM的混合PON系統安全性實現方法,在上行方向處理協議報文的過程中, 將用戶端、局端和服務器端的標識依次添加到相應的PPPoE+/DHCP option82標簽中并插入該報文,該報文經RADIUS服務器的認證后給用戶分配IP地址; 在下行方向處理協議報文的過程中,在向用戶轉發協議報文前刪除相應的
PPP0E+/DHCP option82標簽。
上述方法中,上行方向處理協議報文的過程如下
Al、判斷ONU是否支持PPPoE/DHCP中繼代理,如果不支持就透傳該 協議報文至OLT;
A2、 ONU根據用戶端口信息在PPPoE/DHCP消息中添加上用戶端的 PPPoE+/DHCP DHCP叩tion82標簽;
A3、 OLT根據ONU傳遞上來的協議報文并添加上局端的PPPoE+ZDHCP option82標簽;
A4、 BRAS/SR接收到協議報文后為PPPoE+/DHCP option82標簽添加上服 務器端標識信息;
A5、 BRAS/DHCP服務器分配IP地址。 下行方向處理協議報文的過程如下
Bl、 BRAS/SR接收到下行方向來自于BRAS/DHCP服務器的協議報文后, 刪除PPPoE+/DHCP option82標簽中的服務器端標識信息;
B2、 OLT接收到下行方向來自于BRAS/SR的協議報文后,刪除 PPPoE+/DHCP option82標簽中的局端標識信息;
B3、判斷ONU是否支持PPPoE /DHCP中繼代理,對于不需要支持PPPoE 中繼代理/DHCP中繼代理的ONU,將接收到來自于OLT的協議報文不作任何 處理,直接透傳到客戶端;
B4、 ONU接收到下行方向來自于OLT的協議報文后,刪除PPPoE+7DHCPoption82標簽中的ONU用戶端口標識信息。
其中,用戶端的PPPoE十/DHCP叩tion82標簽包括該ONU的UNI端口號, 即填寫ONU的ID號、ONU的類型、ONU的槽位號、ONU的子槽位號、ONU 的用戶端口 ID號以及用戶采用的接入技術。
局端的PPP0E+/DHCP option82標簽主要包括接入設備類別、設備所在局 所號、機架號、機框號、槽位號、業務板卡類型、子槽號、端口號以及用戶采 用的接入技術。
服務器端的PPPoE+/DHCP option82標簽標識信息主要包括BRAS/SR端口 類型、槽位號、子槽位號、端口號、用戶的SVLAN和用戶的CVLAN。
本發明,采用多級處理的方式在DHCP或者PPPoE協議報文中添加相應 的標簽,將用戶接入線路(端口)信息添加到PPPoE+7DHCPoption82標簽中, 協議報文中的其他字段不用進行任何修改,用以標識接入鏈路(端口),査看 其是否合法,如果是,再進行認證分配IP地址,否則認為其非法,則不進行 后續的認證和分配IP,這樣可以對端口進行定位,保護該接入鏈路(端口), 不會被仿冒或者欺騙。本發明不需修改系統中的硬件單元,完全依靠軟件單元 處理,用較低的成本實現了對用戶接入線路(端口)的識別和標識并進行統一 的認證管理,提高了系統安全性。
圖1表示現有的TDM-PON系統結構示意圖2表示基于WDM和TDM的混合PON系統結構示意圖3表示DHCP Option 82協議交互的示意圖4表示PPPoE +協議交互的示意圖;圖5表示上行報文處理流程示意圖; 圖6表示下行報文處理流程示意圖7表示ONU添加PPPoE+/DHCP option82標簽內容示意圖; 圖8表示OLT添加PPPoE+/DHCP option82標簽內容示意圖; 圖9表示BRAS/SR添加PPPoE+/DHCP option82標簽內容示意圖。
具體實施例方式
本發明提供的基于WDM和TDM的混合PON系統安全性實現方法,采 用DHCP或者PPPoE中繼代理方式,利用DHCP option82或者PPPoE+標簽 插入協議報文來攜帶用戶端口信息,實現了對用戶接入線路(端口)的精確地 標識和定位,提高了系統安全性,有效地防范用戶賬號被盜用,同時還能進行 快速故障定位,降低了寬帶接入用戶管理和網絡運維的復雜度。
本發明采用的技術方案是在上行方向處理協議報文的過程中,混合PON 系統和BRAS/RS將用戶接入線路信息添加到相應的PPPoE+/DHCP option82 標簽中并插入該協議報文,該報文如果能夠通過RADIUS服務器的認證,則給 用戶分配IP地址,否則就不分配;在下行方向處理協議報文的過程中,BRAS/RS 和混合PON系統在向用戶轉發PPPoE或者DHCP協議報文前刪除相應的 PPPoE+/DHCP option82標簽。
其中,上行方向處理協議報文的過程如圖5所示,具體步驟如下
Al 、判斷ONU是否支持PPPoE /DHCP中繼代理,對于FTTH/FTTO組網 模式,SFU、 HGU和SBU型的ONU不需要支持PPPoE中繼代理/DHCP中繼 代理等功能,此時對于接收到來自于客戶端的發現報文和請求報文不作任何處 理,直接透傳到OLT;對于FTTC/FTTCab/FTTB組網模式,MDU和MTU型的ONU需要支持PPPoE中繼代理/DHCP中繼代理功能,此時需要存儲來自于 客戶端的發現報文和請求報文,用作進行下一步的處理;
A2、ONU添加相應的PPPoE+/DHCP option82標簽如果ONU支持PPPoE 中繼代理/DHCP中繼代理功能,則在偵聽到PPPoE PADI/PADR或者DHCP Discover/Request消息時,在上述報文中插入PPP0E+/DHCP option82標簽,即 PPPoE TAG代理電路ID/ DHCP叩tion 82代理電路ID,主要填寫ONU的UNI 端口號,即填寫ONU的ID號、ONU的類型、ONU的槽位號、ONU的子槽位 號、ONU的用戶端口ID號,同時還需要填寫用戶采用的接入技術,例如LAN 接入、EPON接入、GPON接入、WDM TDM PON接入、IOGEPON接入等。 如果是內置MiniDSLAM的ONU,還可選包含該端口的VPI/VCI信息,其他 字段均填寫"0",如圖7所示。ONU添加完相應的PPPoE+ZDHCPoption82標 簽然后再將PPPoE/DHCP報文發送給OLT;
A3、 OLT添加相應的PPP0E+/DHCP option82標簽OLT收到含有 PPP0E+/DHCP option82標簽的協議報文后再添加上局端標識信息,主要包括 接入設備類別(OLT)、設備所在局所號、機架號、機框號、槽位號、業務板 卡類型、子槽號、端口號等信息,同時還需要填寫用戶采用的接入技術,例如 LAN接入、EPON接入、GPON接入、WDM TDM PON接入、IOGEPON接 入等,其他字段均填寫"0",如圖8所示,OLT添加完相應的PPPoE+ZDHCP option82標簽后再將該協議報文發送給BRAS/SR。
A4、 BRAS/SR添加相應的PPPoE+ZDHCP option82標簽BRAS/SR接收 到該報文后為PPPoE+/DHCP option82標簽添加上服務器端標識信息,主要包 括BRAS/SR端口類型(普通以太接口/ Trunk類型的以太接口)、槽位號、子槽位號、端口號、用戶的SVLAN、用戶的CVLAN等信息,如圖9所示,至 此,形成了一完整的用戶接入線路標識信息,本發明中定義為NAS—PORT_ID, PPPoE和DHCP標準中協議報文中預留了許多字節,本發明正是利用這些預留 字節添加上述了標簽。
例如NAS—PORT—ID="eth 31/31〃:4096.2345 olt|SHANGHAI001/1/3/1/0/1/2 0000000000001 A2B3C4D5E6F/0/0/0/12:atm/8.33 ,",
其中,BRAS/SR添加或者刪除的服務器端標識信息含義為BRAS設備的 用戶接口類型為以太接口; BRAS槽號為31; BRAS子槽號為31; BRAS端口 號為7; CVLANID為2345。
OLT添加或者刪除的局端標識信息含義為采用OLT設備接入;接入節 點OLT的標識為SHANGHAI001; OLT的機架號為1; OLT框號為3; OLT的 槽號為l; OLT的業務板卡類型為0; OLT的子槽號為l; OLT的端口號為2;
ONU添加或者刪除的用戶端標識信息含義為ONU的標識為 "0000000000001A2B3C4D5E6F, (MAC地址);ONU的類型為0; ONU的槽 號為0;子槽號為0;端口號為12; ONU的端口為DSL接口 ;其ATM層VPI 為8; VCI為33;該用戶采用WDMTDM混合PON技術。
A5、 BRAS/DHCP服務器分配IP地址對于BRAS/DHCP服務器,需要 支持對WDM TDM混合PON系統所打的PPPoE+/DHCP option82標簽的修改 (添加與BRAS相關的字段),并將攜帶用戶接入線路信息的NAS—PORT—ID 屬性通過Radius接口送給RADIUS服務器進行認證。若通過Radius認證,則 BRAS/DHCP服務器再利用PPPoE+/DHCP服務器分配IP地址,否則不給用戶 分配IP地址。下行方向處理協議報文的過程如圖6所示,具體步驟如下
Bl、 BRAS/SR刪除相應的PPPoE+7DHCP option82標簽BRAS/SR接收 到下行方向來自于BRAS/DHCP服務器的PPPoE/DHCP報文后,刪除 PPPoE+/DHCP option82標簽中的服務器端標識信息。
B2、 OLT刪除相應的PPPoE+/DHCPoption82標簽OLT接收到下行方向 來自于BRAS/SR的PPPoE/DHCP報文后,刪除PPPoE+/DHCP option82標簽 中的局端標識信息。
B3、判斷ONU是否支持PPPoE /DHCP中繼代理對于FTTH/FTTO組網 模式,SFU、 HGU和SBU型的ONU不需要支持PPPoE中繼代理/DHCP中繼 代理等功能,此時對于接收到來自于OLT的PPPoE/DHCP不作任何處理,直 接透傳到客戶端。對于FTTC/FTTCab/FTTB組網模式,MDU和MTU型的ONU 需要支持PPPoE中繼代理/DHCP中繼代理功能,此時需要處理來自于OLT的 PPPoE+/DHCPoption82標簽中的ONU用戶端口標識信息,然后送到客戶端。
B4、 ONU刪除相應的PPPoE+/DHCP option82標簽ONU接收到下行方 向來自于OLT的PPPoE/DHCP報文后,刪除PPPoE+/DHCP option82標簽中的 ONU用戶端口標識信息。
本發明中,報文都是采用標準的PPPoE/DHCP報文,只是其識別是借助于 PPPoE/DHCP報文中Agent Circuit ID Sub-option字段來承載用戶接入線路(端 口)信息。在不同組網方式下,ONU支持PPPoE/DHCP中繼代理的能力不同。 對于FTTH/FTTO組網模式,SFU、 HGU和SBU型的ONU不需要支持PPPoE 中繼代理/DHCP中繼代理等功能,此時需要OLT和BRAS/SR參與添加 PPPoE十/DHCP option82標簽,對于FTTC/FTTCab/FTTB組網模式,MDU和
iiMTU型的ONU需要支持PPPoE中繼代理/DHCP中繼代理功能,此時需要 ONU、 OLT和BRAS/SR都參與添加PPPoE+/DHCP option82標簽。
本發明的優點是采用多級處理的方式將用戶接入線路(端口)信息添加 至lj PPPoE+/DHCP option82標簽中,PPPoE/DHCP報文中的其他字段不用進行 任何修改。各級處理清晰簡單、配置靈活,工作量小,基本不需要什么開銷, 不需修改系統中的硬件單元,完全依靠軟件單元處理,成本較低。另外一個重 要的優點是該方式在上行和下行方向分別添加和刪除了相應的字段內容,對客 戶端來說是透明的,不需要參與任何處理。
此外,采用這種靈活的端口定位方式,擴展性較強,也適用于LAN接入 系統和DSLAM接入系統,只需要以太網匯聚交換機或者DSLAM設備支持 PPPoE/DHCP中繼代理功能即可,可采用與WDM TDM混合PON系統相同的 編碼方式。
本發明不局限于上述最佳實施方式,任何人應該得知在本發明的啟示下作 出的結構變化,凡是與本發明具有相同或相近的技術方案,均落入本發明的保 護范圍之內。
權利要求
1、基于WDM和TDM的混合PON系統安全性實現方法,其特征在于在上行方向處理協議報文的過程中,將用戶端、局端和服務器端的標識依次添加到相應的PPPoE+/DHCP option82標簽中并插入該報文,該報文經RADIUS服務器的認證后給用戶分配IP地址;在下行方向處理協議報文的過程中,在向用戶轉發協議報文前刪除相應的PPPoE+/DHCP option82標簽。
2、 如權利要求1所述的基于WDM和TDM的混合PON系統安全性實現 方法,其特征在于上行方向處理協議報文的過程如下-Al、判斷ONU是否支持PPPoE/DHCP中繼代理,如果不支持就透傳 PPPoE/DHCP協議報文至OLT;A2、 ONU根據用戶端口信息在PPPoE/DHCP消息中添加上用戶端的 PPPoE+/DHCP DHCP option82標簽;A3、 OLT根據ONU傳遞上來的協議報文并添加上局端的PPPoE+/DHCP option82標簽;A4、 BRAS/SR接收到協議報文后為PPP0E+/DHCP option82標簽添加上服 務器端標識信息;A5、 BRAS/DHCP服務器分配IP地址。
3、 如權利要求1所述的基于WDM和TDM的混合PON系統安全性實現 方法,其特征在于下行方向處理協議報文的過程如下Bl、 BRAS/SR接收到下行方向來自于BRAS/DHCP服務器的協議報文后, 刪除PPP0E+/DHCP option82標簽中的服務器端標識信息;B2、 OLT接收到下行方向來自于BRAS/SR的協議報文后,刪除 PPPoE+/DHCP option82標簽中的局端標識信息;B3、判斷ONU是否支持PPPoE /DHCP中繼代理,對于不需要支持PPPoE 中繼代理/DHCP中繼代理的ONU,將接收到來自于OLT的協議報文不作任何 處理,直接透傳到客戶端;B4、 ONU接收到下行方向來自于OLT的協議報文后,刪除PPPOE+/DHCP option82標簽中的ONU用戶端口標識信息。
4、 如權利要求2所述的基于WDM和TDM的混合PON系統安全性實現 方法,其特征在于用戶端的PPPoE+/DHCP叩tion82標簽包括該ONU的UNI 端口號,即填寫ONU的ID號、ONU的類型、ONU的槽位號、ONU的子槽位 號、ONU的用戶端口ID號以及用戶采用的接入技術。
5、 如權利要求2所述的基于WDM和TDM的混合PON系統安全性實現 方法,其特征在于局端的PPPoE+/DHCPoption82標簽主要包括接入設備類別、 設備所在局所號、機架號、機框號、槽位號、業務板卡類型、子槽號、端口號 以及用戶采用的接入技術。
6、 如權利要求2所述的基于WDM和TDM的混合PON系統安全性實現 方法,其特征在于服務器端的PPPoE+7DHCP option82標簽標識信息主要包括 BRAS/SR端口類型、槽位號、子槽位號、端口號、用戶的SVLAN和用戶的 CVLAN。
全文摘要
本發明涉及混合PON系統管理,是一種基于WDM和TDM的混合PON系統安全性實現方法,在上行方向處理協議報文的過程中,將用戶端、局端和服務器端的標識依次添加到相應的PPPoE+/DHCP option82標簽中并插入該報文,該報文通過RADIUS服務器的認證后給用戶分配IP地址;在下行方向處理協議報文的過程中,在向用戶轉發協議報文前刪除相應的PPPoE+/DHCPoption82標簽。本發明,通過DHCP中繼代理或者PPPoE中繼代理方式,對用戶接入端口進行精確標識,提高了混合PON設備與BRAS/DHCP服務器、BRAS/DHCP服務器與Radius服務器之間認證接口的一致性,降低寬帶接入用戶管理和網絡運維的復雜度。
文檔編號H04Q11/00GK101516048SQ20091013160
公開日2009年8月26日 申請日期2009年4月10日 優先權日2009年4月10日
發明者傲 張, 朱麗麗, 樊海東 申請人:烽火通信科技股份有限公司