[发明专利]一种基于分离映射机制的无源光网络用户保护的实现方法

说明书

技术领域

本发明涉及一种无源光网络用户保护的方法，具体涉及一种基于分离映射机制的无源光网络用户保护的实现方法。 

背景技术

随着宽带接入业务，如高清视频点播，IPTV，3D网络游戏等业务的不断出现和逐渐普及，传统的ADSL宽带接入技术已经无法满足用户对高带宽的需求。无源光网络PON以其高带宽、高QoS保障、电信级OAM、简单高效的适配封装等方面的优势，在未来宽带接入技术中具有较强的竞争力。因而PON网络的安全性也成为关注的重点。PON网络宽带接入面临的用户接入安全威胁主要包括： 

1)非法ONT对PON网络的接入与攻击。非法ONT的注册或错误授权，将会给整个网络带来严重的安全威胁。因此可以执行对ONT设备的物理标识或者序列号编码进行认证和绑定，保证网络设备的正常运行。 

2)PON接口数据安全威胁。针对PON网络中的EPON，可以通过启用三重搅动方法保证PON接口下行数据的安全；针对PON网络中的GPON，可以采取AES的加密机制，来防止下行方向数据被窃听的问题，使得数据安全性更强。 

3)用户的安全威胁。通常是采用将用户的宽带账号与接入设备的物理端口绑定的简单方式，通过特定账号只能通过特定的端口上网，来防止用户账号被盗。但这一简单的安全模式将大大限制用户设备的接入方式，尤其在移动网络中，该安全认证方式的弊端将会突显出来。 

一体化标识网络是一种新型网络体系架构，它将传统的网络结构体系模型 合并为两个层，即“网通层”和“服务层”。“网通层”完成网络的底层数据传输，负责网络的接入和互联互通，“服务层”实现服务和业务的应用。“网通层”又可分为虚拟接入子网和虚拟骨干子网。虚拟接入子网可支持多种异构终端的接入，虚拟骨干子网负责网络的路由及数据传输，其中虚拟骨干子网中包含的实体设备及功能如下： 

1)广义交换路由器GSR完成拥有源RID和目的RID的数据的路由和转发； 

2)用户认证中心UAC负责用户的接入认证和管理； 

3)标识映射服务器负责维护和管理网络中的映射关系。 

接入交换路由器ASR是连接虚拟接入子网与虚拟骨干子网的实体。 

当用户接入网络后，ASR负责给接入用户分配一个全球唯一的接入标识AID。当用户的数据到达ASR后，ASR会将数据包的源AID及目的AID映射成为相应的RID，实现标识分离映射机制。而当数据到达通信对端的ASR时，将根据映射关系将RID解映射为原始的AID，从而完成整个通信过程。分离映射机制使得窃听者无法根据窃取到的RID找到用户的AID，也无法根据AID获得相应的RID。因此一体化标识网络通过双重安全保障（用户接入认证与分离映射机制）增强了网络的安全性。 

将一体化标识网络中特有的分离映射机制与PON网络相结合，将大大提升PON网络的安全性，保障用户的安全。 

缩略语和关键术语定义 

PON   Passive Optical Network             无源光网络 

EPON  Ethernet PON                    以太网无源光网络 

GPON  Gigabit-Capable PON             千兆无源光网络 

OAM   Operations,Administration,and Maintenance  运营、管理、 

维护 

AES  Advanced Encryption Standard           高级加密标准 

OLT  Optical Line Terminal                  光线路终端 

ONT  Optical Network Terminal               光网络终端 

GEM  GPON Encapsulation Method              GPON封装方法 

ASR  Access Switch Router                   接入交换路由器 

GSR  General Switch Router                  广义交换路由器 

UAC  User Authentication Center             用户认证中心