專利名稱:在以太無源光網(wǎng)絡(luò)中的認(rèn)證方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及IEEE(電氣和電子工程師學(xué)會(huì))802中討論的鏈接安全性�,是以IEEE 802.3和802.1d為中心的標(biāo)準(zhǔn)化進(jìn)程。這種鏈接安全性可以通過基于IEEE 802.1x(基于端口的網(wǎng)絡(luò)接入控制)的認(rèn)證方法或基于IEEE802.10的SDE(安全數(shù)據(jù)交換)結(jié)構(gòu)來實(shí)現(xiàn)�。具體地說,本發(fā)明實(shí)現(xiàn)一種基于802.1x的簡單而有效的認(rèn)證方法�,適用于EPON(以太無源光網(wǎng)絡(luò))結(jié)構(gòu)中的認(rèn)證。
背景技術(shù):
IEEE 802.1x既支持在每一終端和橋接LAN設(shè)備�����,即EAPOL(LAN上的EAP(可擴(kuò)展認(rèn)證協(xié)議))之間的認(rèn)證��,又支持在橋接LAN設(shè)備和RADIUS(遠(yuǎn)距認(rèn)證撥入用戶服務(wù))服務(wù)器�����,即RFC 2869中描述的在RADIUS上的EAP之間的一種協(xié)議�。
為了實(shí)現(xiàn)在現(xiàn)存網(wǎng)絡(luò)結(jié)構(gòu)中的認(rèn)證,應(yīng)該安裝一個(gè)外部RADIUS服務(wù)器�。在無線LAN中,由IEEE 802.1x建議的認(rèn)證協(xié)議被用于實(shí)現(xiàn)針對用戶的認(rèn)證�。該認(rèn)證協(xié)議包括PAP(口令認(rèn)證協(xié)議)、CHAP(查詢信號(hào)交換認(rèn)證協(xié)議)�����、EAP(擴(kuò)展認(rèn)證協(xié)議)等����。在認(rèn)證中使用MD-5(信息提要-5)算法來提供用于加密一個(gè)PDU(協(xié)議數(shù)據(jù)單元)的散列函數(shù)。具體地說��,是在認(rèn)證碼和RADIUS服務(wù)器之間執(zhí)行針對在RADIUS幀中的口令的加密處理���。
圖1是說明在使用MD-5查詢一個(gè)傳統(tǒng)EAP認(rèn)證方法的實(shí)例中的信號(hào)流程示意圖��。用于一般EAP認(rèn)證的系統(tǒng)包括一臺(tái)作為客戶機(jī)的PC(個(gè)人計(jì)算機(jī))11�、提供認(rèn)證服務(wù)的認(rèn)證服務(wù)器13和用于網(wǎng)絡(luò)接入的NAS(網(wǎng)絡(luò)接入服務(wù)器)12�����。
操作中����,首先在PC 11和NAS 12之間確定的一個(gè)認(rèn)證協(xié)議(101)。在此過程中��,NAS 12僅執(zhí)行對該認(rèn)證服務(wù)器13的中繼操作�。NAS 12還基于在認(rèn)證服務(wù)器13和PC 11之間建立的認(rèn)證而用于允許一個(gè)端口的使用�。隨后�,PC 11使用一個(gè)用戶名嘗試對該認(rèn)證服務(wù)器13的EAP認(rèn)證(102)。
響應(yīng)該認(rèn)證嘗試����,該認(rèn)證服務(wù)器13把包括用于一個(gè)散列函數(shù)的查詢值的MD-5查詢發(fā)送至該P(yáng)C 11(103)。然后該P(yáng)C 11則把包含一個(gè)散列值的MD-5發(fā)送至該認(rèn)證服務(wù)器13(104)�。如果該發(fā)送的MD-5響應(yīng)是正確的,則確定已經(jīng)建立了成功認(rèn)證�����。在此情況中����,該認(rèn)證服務(wù)器13發(fā)送一個(gè)認(rèn)證成功信息(105)。隨后該認(rèn)證服務(wù)器13與一個(gè)目的地址連接����。另一方面,如果從PC 11發(fā)送到認(rèn)證服務(wù)器13的MD-5不正確��,則確定該認(rèn)證失敗��。在此情況中,該認(rèn)證服務(wù)器13發(fā)送一個(gè)認(rèn)證失敗信息(105)�,并且拒絕PC 11的接入。
圖2是說明在上述EAP認(rèn)證處理過程中使用CHAP的傳統(tǒng)信號(hào)流程的示意圖�。“CHAP”也稱作“MD-5 CHAP”��,使用基于MD-5的單向表�,通過加密響應(yīng)來提供針對未授權(quán)接入的高級(jí)安全性�。當(dāng)PC 21,即一個(gè)接入客戶機(jī)使用用戶名登錄到RADIUS服務(wù)器22時(shí)(201)����,該RADIUS服務(wù)器22向PC 21發(fā)送一個(gè)包括對話ID和可選擇查詢字符串的CHAP查詢(202)。PC 21隨即RADIUS服務(wù)器22發(fā)送一個(gè)包含用戶名�����、由可選密碼單向加密的查詢字符串���、對話ID和密碼的CHAP響應(yīng)信息(203)�。RADIUS服務(wù)器22核查該CHAP響應(yīng)信息��,如果該CHAP響應(yīng)信息有效(204)則發(fā)送CHAP成功信息(204)���,從而實(shí)現(xiàn)該P(yáng)C 21的接入�����。
圖3是說明一個(gè)通常EAPOL幀格式的一個(gè)實(shí)例的示意圖����,包括目的地址(DA)301、信源地址(SA)302�、傳播類型(E類型)303、版本304���、分組類型305����、數(shù)據(jù)包主體長度306和數(shù)據(jù)包主體307���。E類型303表示使用“0x88-8e”的幀結(jié)構(gòu)�。但是��,這樣一個(gè)傳播類型“0x88-8e”被使用在現(xiàn)存的無線LAN中���,所以應(yīng)該使用“0x88-8e”之外的傳播類型��,以便避免混淆���。
EPON是IEEE 802標(biāo)準(zhǔn)化協(xié)會(huì)現(xiàn)行實(shí)行的生效的標(biāo)準(zhǔn)����,與傳統(tǒng)的點(diǎn)對點(diǎn)以太網(wǎng)相比�����,其操作在以點(diǎn)對多點(diǎn)類型的光通信網(wǎng)絡(luò)中��,因此與點(diǎn)對點(diǎn)類型網(wǎng)絡(luò)相比其具備經(jīng)濟(jì)上的優(yōu)勢���。正在進(jìn)行中的有效研究針對的是稱為“MPCP(多點(diǎn)控制協(xié)議)”的一個(gè)集中MAC(媒體接入控制)協(xié)議,以及用于模擬在EPON上點(diǎn)對點(diǎn)傳遞的一個(gè)方案�。
但是,盡管IEEE 802.1x期望借助指定在端口單元中的控制操作的優(yōu)勢來提供用于標(biāo)準(zhǔn)認(rèn)證的一個(gè)基礎(chǔ)指導(dǎo)�,但是由于目前沒有定義用于認(rèn)證目標(biāo)端點(diǎn)的標(biāo)準(zhǔn),因而在上述EPON中存在安全性的問題���。因此需要設(shè)計(jì)在EPON結(jié)構(gòu)中可用的一個(gè)認(rèn)證協(xié)議�����。
但是在此連接方式中���,圖1和圖2示出的傳統(tǒng)認(rèn)證方法都具有各種問題���。首先,在使用現(xiàn)存RADIUS服務(wù)器來實(shí)現(xiàn)光網(wǎng)絡(luò)單元(ONU)的認(rèn)證的場合����,即使在小的ONU數(shù)量時(shí),由于為了一個(gè)期望的認(rèn)證應(yīng)該附加地構(gòu)成一個(gè)外部服務(wù)器��,因而其帶來了運(yùn)營成本的增加和操作無效率����。其次,其難以在ONU(光網(wǎng)絡(luò)單元)和OLT(光線路終端)之間使用一個(gè)EAP��。在現(xiàn)存的以太網(wǎng)類型以重疊方式用于ONU的場合�,存在的問題是,由于不同以太網(wǎng)類型是完全相同的��,因而其不可能把用于無線LAN和用于EPON的以太網(wǎng)類型彼此區(qū)別開�。因此需要使用不同于現(xiàn)存以太網(wǎng)類型的一個(gè)新傳播類型的幀結(jié)構(gòu),即需要能夠容易實(shí)現(xiàn)的一個(gè)新的格式���。
第三��,必須修改或簡化用于該ONU和OLT的認(rèn)證協(xié)議�����。
第四��,基于傳統(tǒng)的IEEE 802.1x的結(jié)構(gòu)不能被用于使用針對端口控制的邏輯鏈接ID(LLID)的EPON結(jié)構(gòu)��,因?yàn)樗鼈兪枪ぷ髟诨跇蚪悠鞫丝诳刂乒δ艿幕A(chǔ)上��。
發(fā)明內(nèi)容
為解決這些問題���,本發(fā)明在一個(gè)方案中提供一種認(rèn)證方法,使得OLT實(shí)現(xiàn)RADIUS服務(wù)器認(rèn)證ONU的功能����。本方法簡化適于使用在OLT和RADIUS服務(wù)器之間的MD-5算法,適于在一個(gè)EPON結(jié)構(gòu)中的OLT和ONU之間使用����。而且,提供了實(shí)現(xiàn)該認(rèn)證方法的記錄有一個(gè)程序的計(jì)算機(jī)可讀記錄介質(zhì)���。
在本發(fā)明的另一方案中��,與使用MAC地址實(shí)現(xiàn)端口控制的傳統(tǒng)結(jié)構(gòu)相比���,使得端口的控制能夠使用一個(gè)口令和一個(gè)LLID變換表��。
在一個(gè)方案中���,本發(fā)明提供了在一個(gè)以太無源光網(wǎng)絡(luò)(EPON)中的一種認(rèn)證方法,包括步驟(A)使得一個(gè)光線路終端(OLT)從一個(gè)光網(wǎng)絡(luò)單元(ONU)接收一個(gè)通知認(rèn)證處理的開始的數(shù)據(jù)包��,并且響應(yīng)該接收控制該OLT�����,以便把用于請求該ONU標(biāo)識(shí)符的一個(gè)數(shù)據(jù)包發(fā)送到該ONU���;(B)使得該OLT從ONU接收該識(shí)別符���,并且把該標(biāo)識(shí)符與先前的存儲(chǔ)值比較,以便確定該標(biāo)識(shí)符是否對應(yīng)于該先前的存儲(chǔ)值�����;(C)當(dāng)確定存在該對應(yīng)關(guān)系時(shí),則發(fā)送一個(gè)認(rèn)證成功數(shù)據(jù)包到該ONU���;(D)當(dāng)確定不存在該對應(yīng)關(guān)系時(shí)�����,則發(fā)送一個(gè)認(rèn)證失敗數(shù)據(jù)包到該ONU�����;以及(E)在完成步驟(C)或(D)之后����,控制該OLT來通知該ONU已經(jīng)結(jié)束一個(gè)認(rèn)證處理�����。
在另一個(gè)方案中�����,本發(fā)明提供了在一個(gè)以太無源光網(wǎng)絡(luò)(EPON)中的一種認(rèn)證方法�����,包括步驟(A)控制一個(gè)光網(wǎng)絡(luò)單元(ONU)把通知一個(gè)認(rèn)證處理的開始的數(shù)據(jù)包發(fā)送到一個(gè)光線路終端(OLT)����,并且使得該ONU從該OLT接收用于請求該ONU的一個(gè)標(biāo)識(shí)符的數(shù)據(jù)包;(B)控制該ONU把該ONU的標(biāo)識(shí)符發(fā)送到該OLT�����;(C)當(dāng)確定在該識(shí)別符和先前存儲(chǔ)在該OLT中的一個(gè)值之間存在對應(yīng)關(guān)系時(shí)����,響應(yīng)該認(rèn)證成功數(shù)據(jù)包的發(fā)送而以O(shè)NU接收一個(gè)認(rèn)證成功數(shù)據(jù)包,并且根據(jù)該確定而以該ONU進(jìn)行處理過程�����;(D)當(dāng)確定不存在該對應(yīng)關(guān)系時(shí)����,響應(yīng)該認(rèn)證失敗數(shù)據(jù)包的發(fā)送而以O(shè)NU接收一個(gè)認(rèn)證成功數(shù)據(jù)包,并且根據(jù)該對應(yīng)關(guān)系不存在的確定而以該ONU進(jìn)行處理過程���;以及(E)使得該ONU從該OLT接收通知一個(gè)認(rèn)證處理已經(jīng)結(jié)束的數(shù)據(jù)包����,該通知數(shù)據(jù)包被作為步驟(C)或(D)的所說確定的結(jié)果而發(fā)送。
在另一個(gè)方案中�,本發(fā)明提供了在一個(gè)以太無源光網(wǎng)絡(luò)(EPON)中的一種認(rèn)證裝置,包括一個(gè)總線接口�����,用于從外部路由器輸入數(shù)據(jù)并且把數(shù)據(jù)輸出到外部路由器���;一個(gè)控制單元���,用于根據(jù)一個(gè)認(rèn)證處理接收一個(gè)OAM(操作、管理和維護(hù))數(shù)據(jù)包���,并且控制用于一個(gè)光網(wǎng)絡(luò)單元(ONU)的數(shù)據(jù)服務(wù)����;以及一個(gè)下游單元����,用于在控制單元的控制之下交換通過該總線接口接收的數(shù)據(jù)����。
通過參照附圖的最佳實(shí)施例的詳細(xì)描述���,本發(fā)明的上述和其它特征以及優(yōu)點(diǎn)將變得顯見,其中圖1是說明在使用MD-5查詢一個(gè)傳統(tǒng)EAP認(rèn)證方法的實(shí)例中的信號(hào)流程示意圖��;圖2是說明在使用CHAP的一個(gè)傳統(tǒng)認(rèn)證方法的實(shí)例中的信號(hào)流程的示意圖���;圖3是示出一般EAPOL幀格式的一個(gè)實(shí)例的示意圖��;圖4是根據(jù)本發(fā)明用于在EPON中的ONU和OLT之間建立一個(gè)認(rèn)證的方法流程圖�;圖5是說明使用在根據(jù)本發(fā)明的用于在EPON中的ONU和OLT之間建立一個(gè)認(rèn)證的方法中所使用的認(rèn)證數(shù)據(jù)包的結(jié)構(gòu)實(shí)例的示意圖��;以及圖6是用于根據(jù)本發(fā)明的認(rèn)證處理的OLT的一個(gè)LLID認(rèn)證處理部件的實(shí)例方框圖����。
具體實(shí)施例方式
將參照附圖詳細(xì)描述本發(fā)明的最佳實(shí)施例。在本發(fā)明的下列描述中���,為了清楚起見����,在此的結(jié)合已知功能和結(jié)構(gòu)的詳細(xì)描述將被省略���。
雖然IEEE 802.1x既能夠?qū)崿F(xiàn)在每一終端和橋接LAN設(shè)備��,即EAPOL之間的認(rèn)證��,又能夠?qū)崿F(xiàn)在橋接LAN設(shè)備和RADIUS服務(wù)器����,即RFC 2869中描述的在RADIUS上的EAP之間的一種協(xié)議,但是本發(fā)明將實(shí)現(xiàn)使用一個(gè)OLT的RADIUS功能��。
圖4是根據(jù)本發(fā)明用于在EPON中的ONU和OLT之間建立一個(gè)認(rèn)證的方法流程圖���。該ONU首先把通知認(rèn)證處理的開始的一個(gè)數(shù)據(jù)包送到OLT(401)����。在該OLT中����,如下面涉及圖5進(jìn)一步討論的那樣,將重新定義在ONU和OLT之間交換的數(shù)據(jù)包��。該開始數(shù)據(jù)包具有對應(yīng)于表示一個(gè)認(rèn)證操作的開始的“開始”的代碼值����。
當(dāng)認(rèn)證操作開始時(shí),OLT送出請求一個(gè)用戶名的標(biāo)識(shí)的數(shù)據(jù)包(402)。此時(shí)����,數(shù)據(jù)包的代碼值具有對應(yīng)于表示請求該用戶名的標(biāo)識(shí)的“請求”的一個(gè)值��。
響應(yīng)該“請求”數(shù)據(jù)包�,ONU送出用戶名到該OLT(403)。此時(shí)����,數(shù)據(jù)包的代碼值具有對應(yīng)于表示該響應(yīng)的“響應(yīng)”值。
該OLT隨即標(biāo)識(shí)在由該ONU送出的認(rèn)證數(shù)據(jù)包中所含有的該ONU的特征值或標(biāo)識(shí)符(在圖示的實(shí)施例中的用戶名)�����。當(dāng)OLT標(biāo)識(shí)該ONU具有一個(gè)有效的“用戶名”時(shí)����,其送出一個(gè)認(rèn)證成功數(shù)據(jù)包,即一個(gè)接入接受數(shù)據(jù)包(404)�。另一方面,在該ONU具有一個(gè)無效的“用戶名”的場合����,該OLT送出一個(gè)認(rèn)證拒絕數(shù)據(jù)包,即一個(gè)接入拒絕數(shù)據(jù)包(404)。該ONU根據(jù)該“用戶名”的有效或無效的確定進(jìn)入處理����。
在接入接受或拒絕之后(404),OLT把通知該認(rèn)證處理結(jié)束的數(shù)據(jù)包發(fā)送至該ONU���。此時(shí)����,該數(shù)據(jù)包具有對應(yīng)于“認(rèn)證結(jié)束”的代碼值�。
圖5是說明使用在根據(jù)本發(fā)明的用于在EPON中的ONU和OLT之間建立一個(gè)認(rèn)證的方法中所使用的認(rèn)證數(shù)據(jù)包的結(jié)構(gòu)實(shí)例的示意圖。如圖5所示���,該認(rèn)證數(shù)據(jù)包包括目的地址(DA)��、信源地址(SA)�、邏輯鏈接標(biāo)識(shí)符(LLID)���、類型���、子類型、版本��、代碼、數(shù)據(jù)/PDU和幀校驗(yàn)序列(FCS)��。
DA字段501指示數(shù)據(jù)包的目的地�����,SA字段502表示數(shù)據(jù)包的來源���、LLID字段503表示邏輯連接標(biāo)識(shí)符、類型字段504表示數(shù)據(jù)包該傳播類型���、子類型字段505表示當(dāng)其類型字段504與另一數(shù)據(jù)包的類型字段相同時(shí)的數(shù)據(jù)包���、版本字段506表示數(shù)據(jù)包的版本信息、代碼字段507表示根據(jù)該數(shù)據(jù)包的一個(gè)認(rèn)證操作�、數(shù)據(jù)/PDU字段508表示該數(shù)據(jù)包的數(shù)據(jù)、FCS字段509表示FCS信息�����,該FCS信息用于檢測對應(yīng)于該數(shù)據(jù)包的包括在將要以幀單元發(fā)送的信息中的一個(gè)幀的誤差����。FCS信息被放置在該幀的末端��。
具體地說�����,認(rèn)證數(shù)據(jù)包把IEEE 802.3ah EFM子類型“0x04”結(jié)合到一個(gè)傳統(tǒng)的OAM(操作���、管理和維護(hù))幀中。此幀格式直至另一傳播類型被設(shè)定之前可被使用而沒有任何問題��,因?yàn)镮EEE 802.3ah不使用該子類型“0x04”�����,并且避免了上述可能由該E類型“0x888e”的使用而引發(fā)的混淆的可能性�。
版本或代碼字段506指示該認(rèn)證數(shù)據(jù)包操作的方式。下列表格1中描述了認(rèn)證數(shù)據(jù)包的不同操作表1
根據(jù)上述的認(rèn)證處理���,EPON的OLT執(zhí)行該ONU的認(rèn)證����。與此操作相關(guān)聯(lián)����,OLT需要一個(gè)處理部件����,用于進(jìn)行在針對該ONU的一個(gè)初始注冊處理之后所需要的認(rèn)證處理的處理功能�,以便減輕在下游方向(OLT→ONU)中把不用認(rèn)證的數(shù)據(jù)服務(wù)提供到該ONU的需要。使用在上游方向(ONU←OLT)中的一個(gè)端口級(jí)控制功能�,該處理部件進(jìn)一步減輕為了防止在一個(gè)具體服務(wù)器的端口上的溢出攻擊的需要。
圖6示出根據(jù)本發(fā)明的一個(gè)OLT的LLID認(rèn)證處理部件的實(shí)例���。該部件包括一個(gè)用于相對于一個(gè)外部路由器61執(zhí)行數(shù)據(jù)的輸入/輸出的總線接口62���、用于根據(jù)一個(gè)認(rèn)證處理接收一個(gè)OAM數(shù)據(jù)包從而控制器針對該ONU的數(shù)據(jù)服務(wù)的控制單元64��、和在控制器64的控制下交換經(jīng)由總線接口62接收的數(shù)據(jù)的一個(gè)下游單元63�����。
根據(jù)例如圖5的一個(gè)已收的OAM幀并且使用“ALTM(地址查找表格管理)+ACT(認(rèn)證控制表)”����,該控制單元64控制包括在該下游單元中的一個(gè)端口的切換操作。ALTM協(xié)議的使用使得能夠在一個(gè)點(diǎn)到多點(diǎn)PON結(jié)構(gòu)中�,例如在一個(gè)共享式局域網(wǎng)結(jié)構(gòu)中的ONU之間進(jìn)行通信。通常���,使用CAM(信息地址存儲(chǔ)器)實(shí)現(xiàn)ALTM����。
當(dāng)連接到該OLT的一個(gè)ONU期望發(fā)送數(shù)據(jù)到該OLT時(shí),將以在其將要發(fā)送的數(shù)據(jù)中插入一個(gè)LLID的狀態(tài)執(zhí)行數(shù)據(jù)傳輸��。該OLT在其ALT中查尋一個(gè)目標(biāo)單元MAC地址�����。在該OLT確定該目的地MAC地址對應(yīng)于該OLT中的一個(gè)站點(diǎn)的場合�,其在發(fā)送期望數(shù)據(jù)之前改變該LLID。該ALTM部件執(zhí)行重新改變或刪除一個(gè)接收幀的SA字段的功能����。
使用該功能,有可能通過在一個(gè)訓(xùn)驗(yàn)處理中完全產(chǎn)生的表格中查尋該MAC地址��,來把根據(jù)該ONU的MAC地址分別改變的LLID重新發(fā)送至該OLT的ONU下游����。使用一個(gè)過濾功能,每一ONU都能夠只接收發(fā)送到其上的一幀�。因此,有可能在ONU之間通信�����。
在一個(gè)ACT的初始注冊之后,每一ONU都通過該OLT的規(guī)劃器把分配其上的一個(gè)LLID和其MAC地址輸入到該OLT的ALT作為初始值���,然后把請求認(rèn)證的一個(gè)“開始”幀發(fā)送到該OLT����。該MAC地址被以包括在相關(guān)的ONU的用戶名中的狀態(tài)發(fā)送到該OLT����,使得其被用作一個(gè)ONU的認(rèn)證所需要的參數(shù)。
該OLT把通過一個(gè)“響應(yīng)”幀重新輸入的LLID與作為MAC地址而先前指定和輸入到該ALT的對應(yīng)LLID進(jìn)行比較�����。僅當(dāng)該MAC地址彼此相同時(shí)���,該OLT才提供根據(jù)其端口控制操作提供期望的服務(wù)。
使用“ALTM+ACT”進(jìn)行的認(rèn)證方法實(shí)行如下�����。首先�����,控制單元64接收一個(gè)OAM幀。當(dāng)一個(gè)“開始”幀中的用戶名與預(yù)先設(shè)置在該OLT中的值相同時(shí)�,控制單元64發(fā)送一個(gè)“請求”幀,并且把一個(gè)LLID輸入到下游單元63�。當(dāng)根據(jù)來自O(shè)NU的一個(gè)“響應(yīng)”幀隨后作出成功認(rèn)證時(shí),控制單元64產(chǎn)生一個(gè)端口匹配信號(hào)����,從而標(biāo)準(zhǔn)連接端口對應(yīng)于該LLID。
另一方面���,當(dāng)認(rèn)證失敗時(shí)�����,控制單元64產(chǎn)生一個(gè)端口不匹配信號(hào)����,從而防止該端口被連接�����。
下列表2中描述了ACT的一個(gè)實(shí)例表2
如從上述說明顯見的那樣,本發(fā)明提供了用于在一個(gè)EPON中認(rèn)證ONU的簡單協(xié)議����,并且避免當(dāng)使用無線LAN時(shí)可能出現(xiàn)的傳播類型的重疊。
此外�����,有可能使用不實(shí)施任何RADIUS服務(wù)器的存在算法�,并且以使用LLID的一個(gè)端口控制的方式來實(shí)現(xiàn)一個(gè)可靠的認(rèn)證方法。
本發(fā)明的上述方法能夠以一個(gè)計(jì)算機(jī)可讀程序的形式實(shí)現(xiàn)��,使得其能夠存儲(chǔ)在例如CD-ROM����、軟磁盤、硬盤�、或磁光盤的一個(gè)記錄介質(zhì)上。
雖然已經(jīng)結(jié)合了被認(rèn)為是目前最實(shí)際和最佳的實(shí)施例描述了本發(fā)明���,但是應(yīng)該理解的是本發(fā)明不局限于該公開的實(shí)施例,相反�,本發(fā)明將力圖覆蓋所附的權(quán)利要求書的精神和范圍之內(nèi)的各種修改。
權(quán)利要求
1.在一個(gè)以太無源光網(wǎng)絡(luò)(EPON)中的一種認(rèn)證方法����,包括步驟(A)使得一個(gè)光線路終端(OLT)從一個(gè)光網(wǎng)絡(luò)單元(ONU)接收一個(gè)通知認(rèn)證處理的開始的數(shù)據(jù)包���,并且響應(yīng)該接收控制該OLT,以便把用于請求該ONU標(biāo)識(shí)符的一個(gè)數(shù)據(jù)包發(fā)送到該ONU�;(B)使得該OLT從ONU接收該識(shí)別符,并且把該標(biāo)識(shí)符與先前的存儲(chǔ)值比較���,以便確定該標(biāo)識(shí)符是否對應(yīng)于該先前的存儲(chǔ)值����;(C)當(dāng)在該步驟(B)確定有該對應(yīng)關(guān)系時(shí)�����,則發(fā)送一個(gè)認(rèn)證成功數(shù)據(jù)包到該ONU�;(當(dāng)在該步驟(B)確定不存在該對應(yīng)關(guān)系時(shí),則發(fā)送一個(gè)認(rèn)證失敗數(shù)據(jù)包到該ONU��;并且(E)在完成步驟(C)或(D)之后����,控制該OLT來通知該ONU已經(jīng)結(jié)束一個(gè)認(rèn)證處理。
2.根據(jù)權(quán)利要求1的認(rèn)證方法���,其中該ONU的標(biāo)識(shí)符是一個(gè)用戶名�����。
3.根據(jù)權(quán)利要求2的認(rèn)證方法�����,其中使用在該認(rèn)證方法中的數(shù)據(jù)包的每一個(gè)都包括用于指示該數(shù)據(jù)包的目的地的目的地址(DA)字段��;用于指示該數(shù)據(jù)包的來源的信源地址(SA)字段�;用于指示一個(gè)LLID的邏輯連接標(biāo)識(shí)符(LLID)字段;用于指示數(shù)據(jù)包的傳播類型的類型字段���;用于在其類型字段與其它數(shù)據(jù)包的類型字段完全相同時(shí)標(biāo)識(shí)該數(shù)據(jù)包的子類型字段�����;用于指示該數(shù)據(jù)包的版本信息的版本字段��;用于指示根據(jù)該數(shù)據(jù)包的一個(gè)認(rèn)證操作的代碼字段��;用于指示該數(shù)據(jù)包的數(shù)據(jù)的數(shù)據(jù)/協(xié)議數(shù)據(jù)單元(PDU)字段���;以及用于指示FCS信息的幀校驗(yàn)序列(FCS)字段,該FCS信息用于檢測對應(yīng)于該數(shù)據(jù)包的包括在將要以幀單元發(fā)送的信息中的一個(gè)幀的誤差��,該FCS信息被放置在該幀的末端�����。
4.根據(jù)權(quán)利要求3的認(rèn)證方法�,其中該代碼字段包括一個(gè)值“0x00”,用于指示一個(gè)認(rèn)證處理的開始���;一個(gè)值“0x01”�����,用于指示對于認(rèn)證內(nèi)容的一個(gè)請求�;一個(gè)值“0x02”����,用于指示對于認(rèn)證內(nèi)容的發(fā)送;一個(gè)值“0x03”�����,用于指示一個(gè)認(rèn)證處理的結(jié)束��;一個(gè)值“0x04”,用于指示認(rèn)證成功�����;以及一個(gè)值“0x05”�,用于指示認(rèn)證失敗。
5.根據(jù)權(quán)利要求1的認(rèn)證方法���,其中使用在該認(rèn)證方法中的數(shù)據(jù)包的每一個(gè)都包括用于指示該數(shù)據(jù)包的目的地的目的地址(DA)字段�����;用于指示該數(shù)據(jù)包的來源的信源地址(SA)字段�;用于指示一個(gè)LLID的邏輯連接標(biāo)識(shí)符(LLID)字段����;用于指示數(shù)據(jù)包的傳播類型的類型字段;用于在其類型字段與其它數(shù)據(jù)包的類型字段完全相同時(shí)標(biāo)識(shí)該數(shù)據(jù)包的子類型字段�;用于指示該數(shù)據(jù)包的版本信息的版本字段;用于指示根據(jù)該數(shù)據(jù)包的一個(gè)認(rèn)證操作的代碼字段����;用于指示該數(shù)據(jù)包的數(shù)據(jù)的數(shù)據(jù)/協(xié)議數(shù)據(jù)單元(PDU)字段;以及用于指示FCS信息的幀校驗(yàn)序列(FCS)字段�����,該FCS信息用于檢測對應(yīng)于該數(shù)據(jù)包的包括在將要以幀單元發(fā)送的信息中的一個(gè)幀的誤差���,該FCS信息被放置在該幀的末端�����。
6.根據(jù)權(quán)利要求5的認(rèn)證方法��,其中該代碼字段包括一個(gè)值“0x00”�,用于指示一個(gè)認(rèn)證處理的開始�����;一個(gè)值“0x01”��,用于指示對于認(rèn)證內(nèi)容的一個(gè)請求���;一個(gè)值“0x02”����,用于指示對于認(rèn)證內(nèi)容的發(fā)送����;一個(gè)值“0x03”����,用于指示一個(gè)認(rèn)證處理的結(jié)束��;一個(gè)值“0x04”����,用于指示認(rèn)證成功;以及一個(gè)值“0x05”����,用于指示認(rèn)證失敗。
7.在一個(gè)以太無源光網(wǎng)絡(luò)(EPON)中的一種認(rèn)證方法�����,包括步驟(A)控制一個(gè)光網(wǎng)絡(luò)單元(ONU)把通知一個(gè)認(rèn)證處理的開始的數(shù)據(jù)包發(fā)送到一個(gè)光線路終端(OLT)�,并且使得該ONU從該OLT接收用于請求該ONU的一個(gè)標(biāo)識(shí)符的數(shù)據(jù)包;(B)控制該ONU把該ONU的標(biāo)識(shí)符發(fā)送到該OLT�;(C)當(dāng)確定在該識(shí)別符和先前存儲(chǔ)在該OLT中的一個(gè)值之間存在對應(yīng)關(guān)系時(shí),響應(yīng)該認(rèn)證成功數(shù)據(jù)包的發(fā)送而以O(shè)NU接收一個(gè)認(rèn)證成功數(shù)據(jù)包��,并且根據(jù)該確定而以該ONU進(jìn)行處理過程�;(D)當(dāng)確定不存在該對應(yīng)關(guān)系時(shí)��,響應(yīng)該認(rèn)證失敗數(shù)據(jù)包的發(fā)送而以O(shè)NU接收一個(gè)認(rèn)證成功數(shù)據(jù)包�,并且根據(jù)該對應(yīng)關(guān)系不存在的確定而以該ONU進(jìn)行處理過程���;以及(E)使得該ONU從該OLT接收通知一個(gè)認(rèn)證處理已經(jīng)結(jié)束的數(shù)據(jù)包�,該通知數(shù)據(jù)包被作為步驟(C)或(D)的所說確定的結(jié)果而發(fā)送����。
8.根據(jù)權(quán)利要求7的認(rèn)證方法����,其中該ONU的標(biāo)識(shí)符是一個(gè)用戶名。
9.根據(jù)權(quán)利要求8的認(rèn)證方法�,其中使用在該認(rèn)證方法中的數(shù)據(jù)包的每一個(gè)都包括用于指示該數(shù)據(jù)包的目的地的目的地址(DA)字段;用于指示該數(shù)據(jù)包的來源的信源地址(SA)字段���;用于指示一個(gè)LLID的邏輯連接標(biāo)識(shí)符(LLID)字段���;用于指示數(shù)據(jù)包的傳播類型的類型字段;用于在其類型字段與其它數(shù)據(jù)包的類型字段完全相同時(shí)標(biāo)識(shí)該數(shù)據(jù)包的子類型字段���;用于指示該數(shù)據(jù)包的版本信息的版本字段�����;用于指示根據(jù)該數(shù)據(jù)包的一個(gè)認(rèn)證操作的代碼字段�;用于指示該數(shù)據(jù)包的數(shù)據(jù)的數(shù)據(jù)/協(xié)議數(shù)據(jù)單元(PDU)字段;以及用于指示FCS信息的幀校驗(yàn)序列(FCS)字段��,該FCS信息用于檢測對應(yīng)于該數(shù)據(jù)包的包括在將要以幀單元發(fā)送的信息中的一個(gè)幀的誤差����,該FCS信息被放置在該幀的末端。
10.根據(jù)權(quán)利要求9的認(rèn)證方法�,其中該代碼字段包括一個(gè)值“0x00”,用于指示一個(gè)認(rèn)證處理的開始���;一個(gè)值“0x01”�,用于指示對于認(rèn)證內(nèi)容的一個(gè)請求����;一個(gè)值“0x02”,用于指示對于認(rèn)證內(nèi)容的發(fā)送��;一個(gè)值“0x03”�,用于指示一個(gè)認(rèn)證處理的結(jié)束;一個(gè)值“0x04”,用于指示認(rèn)證成功�����;以及一個(gè)值“0x05”�����,用于指示認(rèn)證失敗��。
11.根據(jù)權(quán)利要求7的認(rèn)證方法����,其中使用在該認(rèn)證方法中的數(shù)據(jù)包的每一個(gè)都包括用于指示該數(shù)據(jù)包的目的地的目的地址(DA)字段����;用于指示該數(shù)據(jù)包的來源的信源地址(SA)字段;用于指示一個(gè)LLID的邏輯連接標(biāo)識(shí)符(LLID)字段�;用于指示數(shù)據(jù)包的傳播類型的類型字段;用于在其類型字段與其它數(shù)據(jù)包的類型字段完全相同時(shí)標(biāo)識(shí)該數(shù)據(jù)包的子類型字段�����;用于指示該數(shù)據(jù)包的版本信息的版本字段�;用于指示根據(jù)該數(shù)據(jù)包的一個(gè)認(rèn)證操作的代碼字段;用于指示該數(shù)據(jù)包的數(shù)據(jù)的數(shù)據(jù)/協(xié)議數(shù)據(jù)單元(PDU)字段;以及用于指示FCS信息的幀校驗(yàn)序列(FCS)字段�����,該FCS信息用于檢測對應(yīng)于該數(shù)據(jù)包的包括在將要以幀單元發(fā)送的信息中的一個(gè)幀的誤差���,該FCS信息被放置在該幀的末端�����。
12.根據(jù)權(quán)利要求11的認(rèn)證方法��,其中該代碼字段包括一個(gè)值“0x00”�����,用于指示一個(gè)認(rèn)證處理的開始��;一個(gè)值“0x01”�����,用于指示對于認(rèn)證內(nèi)容的一個(gè)請求�����;一個(gè)值“0x02”����,用于指示對于認(rèn)證內(nèi)容的發(fā)送;一個(gè)值“0x03”����,用于指示一個(gè)認(rèn)證處理的結(jié)束;一個(gè)值“0x04”����,用于指示認(rèn)證成功;以及一個(gè)值“0x05”�����,用于指示認(rèn)證失敗�����。
13.在一個(gè)以太無源光網(wǎng)絡(luò)(EPON)中的一種認(rèn)證裝置��,包括用于從外部路由器輸入數(shù)據(jù)并且把數(shù)據(jù)輸出到外部路由器的一個(gè)總線接口���;一個(gè)控制單元,用于根據(jù)一個(gè)認(rèn)證處理接收一個(gè)OAM(操作、管理和維護(hù))數(shù)據(jù)包���,并且控制用于一個(gè)光網(wǎng)絡(luò)單元(ONU)的數(shù)據(jù)服務(wù)�����;以及一個(gè)下游單元��,用于在控制單元的控制之下交換通過該總線接口接收的數(shù)據(jù)����。
14.根據(jù)權(quán)利要求13的認(rèn)證裝置���,其中該控制單元基于接收的OAM數(shù)據(jù)包���、邏輯連接ID(LLID)和ACT(認(rèn)證控制表)并且根據(jù)一個(gè)ALTM(地址查找表格管理)協(xié)議來控制包括在該下游單元中的一個(gè)下游端口的切換操作。
15.一種計(jì)算機(jī)可讀記錄介質(zhì)��,具有記錄在其中的可由以太無源光網(wǎng)絡(luò)(EPON)的光線路終端(OLT)的處理器執(zhí)行的程序�,該程序包括(A)指令,當(dāng)由所說處理器執(zhí)行時(shí)��,使得該OLT從光網(wǎng)絡(luò)單元(ONU)接收通知一個(gè)認(rèn)證處理的開始的一個(gè)數(shù)據(jù)包���,并且響應(yīng)該接收而控制該OLT把用于請求該ONU的一個(gè)標(biāo)識(shí)符的數(shù)據(jù)包發(fā)送到該ONU�����;(B)指令,當(dāng)由所說處理器執(zhí)行時(shí),使得該OLT從ONU接收該識(shí)別符����,并且把該標(biāo)識(shí)符與先前的存儲(chǔ)值比較�����,以便確定該標(biāo)識(shí)符是否對應(yīng)于該先前的存儲(chǔ)值���;(C)指令,當(dāng)由所說處理器執(zhí)行時(shí)�,在確定該對應(yīng)關(guān)系存在時(shí),使得一個(gè)認(rèn)證成功數(shù)據(jù)包發(fā)送到該ONU���;(D)指令,當(dāng)由所說處理器執(zhí)行時(shí)��,在確定該對應(yīng)關(guān)系不存在時(shí)����,使得一個(gè)認(rèn)證失敗數(shù)據(jù)包發(fā)送到該ONU��;以及(E)指令����,當(dāng)由所說處理器執(zhí)行時(shí)���,在該(C)指令或該(D)指令的執(zhí)行之后���,控制該OLT來通知該ONU一個(gè)認(rèn)證處理已經(jīng)結(jié)束。
16.根據(jù)權(quán)利要求15的介質(zhì)���,其中該ONU的標(biāo)識(shí)符是一個(gè)用戶名���。
17.根據(jù)權(quán)利要求16的介質(zhì),其中使用在該認(rèn)證方法中的數(shù)據(jù)包的每一個(gè)都包括用于指示該數(shù)據(jù)包的目的地的目的地址(DA)字段��;用于指示該數(shù)據(jù)包的來源的信源地址(SA)字段�;用于指示一個(gè)LLID的邏輯連接標(biāo)識(shí)符(LLID)字段;用于指示數(shù)據(jù)包的傳播類型的類型字段�����;用于在其類型字段與其它數(shù)據(jù)包的類型字段完全相同時(shí)標(biāo)識(shí)該數(shù)據(jù)包的子類型字段;用于指示該數(shù)據(jù)包的版本信息的版本字段�;用于指示根據(jù)該數(shù)據(jù)包的一個(gè)認(rèn)證操作的代碼字段;用于指示該數(shù)據(jù)包的數(shù)據(jù)的數(shù)據(jù)/協(xié)議數(shù)據(jù)單元(PDU)字段��;以及用于指示FCS信息的幀校驗(yàn)序列(FCS)字段��,該FCS信息用于檢測對應(yīng)于該數(shù)據(jù)包的包括在將要以幀單元發(fā)送的信息中的一個(gè)幀的誤差���,該FCS信息被放置在該幀的末端���。
18.一種計(jì)算機(jī)可讀記錄介質(zhì),具有記錄在其中的可由以太無源光網(wǎng)絡(luò)(EPON)的光網(wǎng)絡(luò)單元(ONU)的處理器執(zhí)行的程序�����,該程序包括(A)指令��,當(dāng)由所說處理器執(zhí)行時(shí)�����,控制該ONU把通知一個(gè)認(rèn)證處理的開始的數(shù)據(jù)包發(fā)送到一個(gè)光線路終端(OLT)����,并且使得該ONU從該OLT接收用于請求該ONU的標(biāo)識(shí)符的數(shù)據(jù)包;(B)指令���,當(dāng)由所說處理器執(zhí)行時(shí)�����,控制該ONU把該ONU的標(biāo)識(shí)符發(fā)送到該OLT���;(C)指令,當(dāng)由所說處理器執(zhí)行時(shí)�����,在其確定該標(biāo)識(shí)符和先前存儲(chǔ)在該OLT中的一個(gè)值之間存在一個(gè)對應(yīng)關(guān)系時(shí)使得該ONU接收一個(gè)認(rèn)證成功數(shù)據(jù)包��,并且基于該確定而繼續(xù)以該ONU進(jìn)行處理�;(D)指令,當(dāng)由所說處理器執(zhí)行時(shí)��,在其確定該標(biāo)識(shí)符和先前存儲(chǔ)在該OLT中的一個(gè)值之間不存在一個(gè)對應(yīng)關(guān)系時(shí)����,使得該ONU接收一個(gè)認(rèn)證失敗數(shù)據(jù)包,并且基于該對應(yīng)關(guān)系不存在的確定而繼續(xù)以該ONU進(jìn)行處理�����;以及(E)指令,當(dāng)由所說的處理器執(zhí)行時(shí)�����,使得該ONU從該OLT接收通知一個(gè)認(rèn)證處理已經(jīng)結(jié)束的數(shù)據(jù)包��,該通知被作為確定該對應(yīng)關(guān)系的存在或不存在的結(jié)果發(fā)送�����。
19.根據(jù)權(quán)利要求18的介質(zhì)�,其中該ONU的標(biāo)識(shí)符是一個(gè)用戶名。
20.根據(jù)權(quán)利要求19的介質(zhì)����,其中使用在該認(rèn)證方法中的數(shù)據(jù)包的每一個(gè)都包括用于指示該數(shù)據(jù)包的目的地的目的地址(DA)字段;用于指示該數(shù)據(jù)包的來源的信源地址(SA)字段���;用于指示一個(gè)LLID的邏輯連接標(biāo)識(shí)符(LLID)字段��;用于指示數(shù)據(jù)包的傳播類型的類型字段����;用于在其類型字段與其它數(shù)據(jù)包的類型字段完全相同時(shí)標(biāo)識(shí)該數(shù)據(jù)包的子類型字段;用于指示該數(shù)據(jù)包的版本信息的版本字段����;用于指示根據(jù)該數(shù)據(jù)包的一個(gè)認(rèn)證操作的代碼字段用于指示該數(shù)據(jù)包的數(shù)據(jù)的數(shù)據(jù)/協(xié)議數(shù)據(jù)單元(PDU)字段���;以及用于指示FCS信息的幀校驗(yàn)序列(FCS)字段����,該FCS信息用于檢測對應(yīng)于該數(shù)據(jù)包的包括在將要以幀單元發(fā)送的信息中的一個(gè)幀的誤差��,該FCS信息被放置在該幀的末端����。
全文摘要
基于在IEEE(電氣和電子工程師學(xué)會(huì))802中討論的、同時(shí)以IEEE 802.3和802.1d為中心進(jìn)行標(biāo)準(zhǔn)化的鏈接安全性方法�,提供一種認(rèn)證方法,能夠使得OLT實(shí)現(xiàn)認(rèn)證ONU的一個(gè)RADIUS服務(wù)器的功能����。根據(jù)在OLT和ONU之間的使用,簡化適于在OLT和RADIUS服務(wù)器之間使用的MD-5算法����,使得其可被用在一個(gè)EPON結(jié)構(gòu)中�。記錄有程序的一種計(jì)算機(jī)可讀記錄介質(zhì)實(shí)現(xiàn)該認(rèn)證方法�����。該認(rèn)證方法包括把一個(gè)開始代碼從光網(wǎng)絡(luò)單元(ONU)發(fā)送到一個(gè)光線路終端(OLT)的步驟����。該ONU在響應(yīng)中接收針對該ONU的一個(gè)識(shí)別符的請求。從包括該標(biāo)識(shí)符的該ONU的響應(yīng)�����,該OLT確定該認(rèn)證是否成功或失敗����,并且把分別的信息發(fā)送到該ONU,并且發(fā)送通知該ONU該認(rèn)證處理已經(jīng)結(jié)束的一個(gè)附加信息�����。
文檔編號(hào)H04L29/06GK1531246SQ20041000704
公開日2004年9月22日 申請日期2004年2月26日 優(yōu)先權(quán)日2003年3月10日
發(fā)明者金洙亨, 金榮錫, 吳潤濟(jì) 申請人:三星電子株式會(huì)社