[发明专利]一种无源光纤网络的安全检测方法及系统

说明书

技术领域

本发明涉及网络技术领域，特别是涉及一种无源光纤网络的安全检测方法及系统。

背景技术

在网络中，攻击者经常使用MAC地址洪泛或MAC地址欺骗的方式攻击网络，导致网络瘫痪，运营商出于安全考虑，需要OLT设备能检测到MAC地址攻击，并自动切断攻击源，保持网络的畅通。

PON（无源光网络）系统是由OLT（光线路终端）、ONU（光网络单元）和ODN（光分配网络）等构成的点到多点的系统。OLT位于局端，ONU位于用户端，ODN由无源分光器和光纤线路组成。

OLT系统通过使用交换芯片汇聚各个PON口进来的数据帧做二层转发，交换芯片具有强大的学习功能以及容量，能通过动态学习数据帧的源MAC地址，形成并维护一张用于交换的MAC地址表（又称CAM表），该表记录MAC地址与接口的对应关系。当交换芯片接收到一个数据帧，提取出该数据帧的目的MAC地址，并依此为根据进行表查询，如果找到，将该数据帧通过对应的接口转发；如果没有找到，则向所有端口进行广播，此时，交换芯片把该数据帧的源MAC地址提取出来，查看MAC地址表，如果没有，则把MAC地址和接收到该MAC地址的端口写入到MAC地址表，这样当接收到一个发送到该MAC地址的数据帧时，就不需要向所有端口广播，这个过程称为MAC地址学习过程。交换芯片的动态学习并不是固定不变的，而是启动一个定时器，当该定时器递减到零时，该表项被删除，这个过程称为MAC地址老化，当然，每使用一次该地址转发，定时器恢复到初始值。

交换芯片一般都实现了VLAN功能，这个时候，MAC地址表由MAC地址与接口的对应关系变成了MAC地址、VLAN ID和接口的对应关系，当收到一个数据帧的时候，根据数据帧的目的MAC地址和VLAN ID两项来查询MAC地址表。

交换芯片的CAM表通常是有限的，攻击者很容易通过MAC地址洪泛的方式使得CAM表溢出，一旦溢出，所有的新进入的数据帧会不经交换处理，广播到所有端口。目前对于MAC地址攻击的防止，通常是通过设置交换芯片端口的MAC地址学习数量来控制MAC地址洪泛攻击，一旦端口学习的数量超过阈值，新来的数据包会被丢弃。

在OLT系统中，这种做法存在如下缺点：

（1）OLT系统的交换芯片通常用来做汇聚，芯片端口下行方向连接着PON芯片，而一旦出现MAC地址洪泛攻击，交换芯片会自动丢弃该PON口新进来的所有的合法数据包，由于OLT的PON口下连接至少32个ONU，所以这种通过交换端口限制MAC地址学习数量的方式导致大量合法用户仍然无法访问网络；

（2）一旦攻击者使用MAC地址欺骗的方式，如攻击者构造源MAC地址是OLT系统上联设备的MAC地址的数据帧，该非法数据包被交换芯片学习到后，交换芯片会将该地址和攻击者所在的端口进行绑定，发往该上联设备的合法数据帧都会转发至非法端口。

发明内容

鉴于以上所述现有技术的缺点，本发明的目标在于提供一种无源光纤网络的安全检测方法及系统，用于解决上述现有技术的无源光纤网络安全检测不精确、存在漏洞的问题。

为实现上述目标及其他相关目标，本发明提供一种无源光纤网络的安全检测方法，所述无源光纤网络包括：OLT设备、网络连接所述OLT设备的ONU设备，所述ONU设备具有独有的逻辑链路标记，所述安全检测方法包括：OLT设备学习所接收的数据信息的源MAC地址；根据所述源MAC地址获取对应的ONU设备MAC地址；将所述ONU设备MAC地址填充为对应ONU设备的逻辑链路标记，以生成对应所述ONU设备的ONU标示信息；建立包括所述源MAC地址、ONU标示信息的关联表；根据所述关联表检测OLT设备所接收的数据信息是否来自于攻击源。

优选的，所述无源光纤网络的安全检测方法还包括：根据检测为来自于攻击源的数据信息，定位所述攻击源的位置。