[发明专利]基于分离映射机制的无源光网络业务保护方法

说明书

技术领域

本发明涉及无源光网络领域，具体涉及一种基于分离映射机制的无源光网络业务保护方法。

背景技术

随着宽带接入业务，如高清视频点播，IPTV，3D网络游戏等业务的不断出现和逐渐普及，传统的ADSL宽带接入技术已经无法满足用户对高带宽的需求。无源光网络PON以其高带宽、高QoS保障、电信级OAM、简单高效的适配封装等方面的优势，在未来宽带接入技术中具有较强的竞争力。因而PON网络的安全性也成为关注的重点。

PON网络在为用户提供了较大带宽的同时，还为承载多种业务提供了条件。随着FTTH的迅速应用及规模扩大，可以将无源光网络与业务整合在一起，从而使用户可以更加便捷高速的享受高带宽的业务。因而针对这类业务也存在一定的安全威胁，即提供业务的服务器也需要进行保护。而现有的技术大都是采用防火墙技术阻挡部分非法用户的攻击或入侵，而无法从根本上解决这一安全问题。

在PON网络中，网管服务器通过SNMP协议与OLT的管理接口进行通信，从而起到对OLT的管理和对ONU的认证、注册、配置业务等控制。因此对于网管服务器的安全保护尤其重要。

根据上述的安全问题分析，尤其是针对解决业务的安全威胁这一难题，我们将具有良好安全特性的一体化标识网络与PON网络相结合，提出了一种基于分离映射机制的无源光网络的实现方法。

一体化标识网络是一种新型网络体系架构，它将传统的网络结构体系模型合并为两个层，即“网通层”和“服务层”。“网通层”完成网络的底层数据传输，负责网络的接入和互联互通，“服务层”实现服务和业务的应用。“网通层”又可分为虚拟接入子网和虚拟骨干子网。虚拟接入子网可支持多种异构终端的接入，虚拟骨干子网负责网络的路由及数据传输，其中虚拟骨干子网中包含的实体设备及功能如下：

1)广义交换路由器GSR完成拥有源RID和目的RID的数据的路由和转发；

2)用户认证中心UAC负责用户的接入认证和管理；

3)标识映射服务器负责维护和管理网络中的映射关系。

接入交换路由器ASR是连接虚拟接入子网与虚拟骨干子网的实体。

当用户接入网络后，ASR负责给接入用户分配一个全球唯一的接入标识AID。当用户的数据到达ASR后，ASR会将数据包的源AID及目的AID映射成为相应的RID，实现标识分离映射机制。而当数据到达通信对端的ASR时，将根据映射关系将RID解映射为原始的AID，从而完成整个通信过程。各个ASR存储本域内的映射关系，而IDMS则存有全局的映射关系。在虚拟接入子网，数据包的源和目的均采用分配的AID，而在虚拟骨干子网均采用路由标识RID。若出现非法的AID或RID，路由器将自动丢弃这些数据，从而保护了虚拟骨干子网中设备的安全性。因此一体化标识网络是从网络架构设计原理上增加了对网络安全性的考虑，并且通过分离映射这一核心机制增强了网络的安全性。

将一体化标识网络中特有的分离映射机制与PON网络相结合，将大大提升PON网络的安全性，保障用户及业务的安全。

发明内容

本发明克服了现有技术中由于PON网络在业务方面存在一定的安全威胁，并且现有的安全机制并不能有效的保护业务的安全性的不足，提供一种基于分离映射机制的无源光网络业务保护方法。

本发明采用以下技术方案：

一种基于分离映射机制的无源光网络业务保护方法，包括：

步骤一，合法的网络端口通过网络侧的接入交换路由器接入一体化标识网络的虚拟骨干子网，由网络侧的接入交换路由器为接入的合法的网络端口分配与其接入地址存在映射关系的第一路由标识；

步骤二，将合法的用户终端通过光网络终端接入光分配网络，光分配网络通过用户侧的接入交换路由器接入一体化标识网络的虚拟骨干子网，并由用户侧的接入交换路由器分配给接入的合法的用户终端接入标识，用户侧的接入交换路由器存储与接入标识存在映射关系的第二路由标识无源光网络无源光网络；

步骤三，将无源光网络中关键设备及提供业务的服务器接入一体化标识网络的虚拟骨干子网中，无源光网络中关键设备及提供业务的服务器都会获得各自唯一的第三路由标识；

步骤四，网络侧的接入路由器判断从合法的网络端口进入的外来数据包中的接入地址是否是网络侧的接入交换路由器分配给接入的合法的网络端口的映射关系中第一路由标识对应的接入地址；

步骤五，网络侧的接入路由器根据步骤四中的判断结果进行与一体化标识网络的虚拟骨干子网中的无源光网络中关键设备及提供业务的服务器进行通信；