[发明专利]一种预防拒绝服务攻击的用户认证方法及系统

说明书

技术领域

本发明涉及通信安全领域，尤其涉及一种预防拒绝服务(Denial ofService，DOS)攻击的用户接入认证方法及系统。

背景技术

随着社会的进步，对网络的需求量将越来越大，越来越离不开网络，所需要的带宽将越来越高。当前在城域网上带宽容量非常充裕，通常其带宽瓶颈出现在接入网部分，即通常所说的最后一公里瓶颈。

由于光纤传输具有容量大，耗损小，防电磁干扰能力强，设备占用面积少，易于铺设，并且，随着技术的进步，需求的增加，光传输成本不断下降，以后接入网的光纤化是必然的趋势，必然会实现光纤到家，无源光网络技术是当前最具看好的，最具有潜力，最具有可行性的一种技术。而采用无源光网络，通常一个光线路终端(OLT)通过光分配网(ODN，Optical DistributionNetwork)连接多个光网络终端/光网络单元(ONT/ONU)，一般有1∶32，1∶64或者1∶128等，通常采用树型结构，采用点到多点的通信方式，即OLT和ONT/ONU之间进行通信。宽带接入市场现阶段的基本特点可概括为：一是随着网络电视(IPTV)等宽带应用的起步，数字用户线(DSL)的提速改造和接入网管控及服务质量(QoS)性能提升成为了现阶段运营商的工作重心；二是光进铜退的趋势加速，针对商业用户的点对点光纤到商业用户(FTTB)应用已日益普及，无源光网络(PON)也开始在光纤到路边(FTTB/FTTC)、光纤到办公室(FTTO)、光纤到户(FTTH)等不同场合得到局部应用，发展潜力巨大；三是FTTx+xDSL方式仍然是现阶段的主要建设模式；四是宽带无线接入WiMAX(宽带无线城域网)开始得到局部试用，在新兴地区有一定的市场潜力。

对于FTTx+xDSL、FTTB/FTTC、FTTO等方式，一个ONU下可能连接多个用户，按照当前业务开展方式，一个用户要能够正常使用网络，首先需要通过用户身份认证，对于身份认证可以在PON系统的OLT设备上完成或者在专门认证服务器上进行。如果同时有很多用户发起认证，则很可能OLT的认证或者认证服务器可能会处理不过来，当然所有正常用户同时发起认证的可能性几乎没有，并且认证服务器应该有一定的处理能力。但是如果是黑客采用认证包来发起对认证服务器的拒绝服务(DOS)攻击，可能仅仅从某个ONU下进行攻击，服务器有可能能够处理过来，如果同时从多个ONU上进行攻击，可能DOS攻击将会起到效果，将导致认证服务器下所有的正常用户没有办法得到认证服务器的处理，导致没有办法正常使用网络，导致大面积用户不能正常得到服务，不能正常使用网络，引起客户不满，进行投诉。即用户认证采用全部在OLT或者认证服务器上进行认证，很可能受到DOS攻击。

公开号为“CN1925399”的发明专利申请中披露了一种分布式的认证的方法。在该方法中，在用户认证通过之前包括禁止来自ONT的非认证消息的传输，即允许所有的认证消息协议包的传输，其缺点是不能有效地防止DOS攻击。

发明内容

为了解决上述的技术问题，提供了一种预防DOS攻击的用户接入认证方法及系统，其目的在于，有效防止恶意用户/黑客利用假认证信息包攻击OLT或者认证服务器。

本发明提供了一种预防拒绝服务攻击的用户认证方法，包括：

步骤1，光线路终端向用户侧设备下发用户身份信息；

步骤2，用户侧设备对用户身份进行认证；

步骤3，认证通过，则向光线路终端或者认证服务器转发用户身份信息，并执行步骤4，否则丢弃用户身份信息；

步骤4，光线路终端或者认证服务器依据用户身份信息进行认证，并向用户侧设备返回认证结果，用户侧设备依据认证结果允许或者禁止用户使用网络。

步骤1中，用户侧设备将接收的用户身份信息保存在其掉电后信息丢失的内存中。

步骤2包括用户侧设备将接收的用户身份信息和保存在该用户侧设备上的用户身份信息进行比较，如果一致，则认证通过，否则认证失败。

保存在用户侧设备上的用户身份信息包含用户名。

步骤4中，如果认证结果为认证通过，用户侧设备还向用户返回认证成功的信息；如果认证结果为认证失败，用户侧设备还向用户返回认证失败的信息。

本发明提供了一种预防拒绝服务攻击的用户认证系统，包括光线路终端和/或认证服务器，用户侧设备，

光线路终端，用于向用户侧设备下发用户身份信息；