亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種以太網(wǎng)無源光網(wǎng)絡(luò)(epon)系統(tǒng)認(rèn)證方法

文檔序號(hào):7699591閱讀:262來源:國知局
專利名稱:一種以太網(wǎng)無源光網(wǎng)絡(luò)(epon)系統(tǒng)認(rèn)證方法
技術(shù)領(lǐng)域
本發(fā)明涉及一種光接入網(wǎng)系統(tǒng)設(shè)備與用戶接入的認(rèn)證方法,特別地涉及一種采用伽羅華
域消息認(rèn)證碼(GMAC)的以太網(wǎng)無源光網(wǎng)絡(luò)(EPON)系統(tǒng)認(rèn)證方法,屬于信息安全技術(shù)領(lǐng)域。
背景技術(shù)
目前,隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展與寬帶業(yè)務(wù)的日益豐富,用戶對(duì)網(wǎng)絡(luò)帶寬的需求也不斷
增長。與數(shù)字化、高度集成、智能化的核心網(wǎng)絡(luò)相比,接入網(wǎng)的建設(shè)進(jìn)程相對(duì)滯后,接入網(wǎng)已成為全網(wǎng)寬 帶化及進(jìn)一步發(fā)展的瓶頸。近年來,各種寬帶接入技術(shù)紛紛涌現(xiàn)。其中,以太網(wǎng)無源光網(wǎng)絡(luò)(EPON)結(jié) 合了物理層的PON技術(shù)與鏈路層的以太網(wǎng)協(xié)議,在PON的拓?fù)浣Y(jié)構(gòu)上實(shí)現(xiàn)了以太網(wǎng)的接入,具有點(diǎn)到多 點(diǎn)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和高帶寬、低成本、易維護(hù)、業(yè)務(wù)靈活等優(yōu)點(diǎn),被認(rèn)為是目前面向FTTH的最佳寬帶接 入方式。而今接入網(wǎng)需要建立高度可信的網(wǎng)絡(luò)服務(wù)環(huán)境,對(duì)于EPON系統(tǒng)來說,可信性必須成為可以衡量 和驗(yàn)證的指標(biāo)。
目前在EPON系統(tǒng)中存在諸多安全威脅。首先,在IEEE 802.3ahEPON的標(biāo)準(zhǔn)中沒有定義相關(guān)的認(rèn)證 方式。根據(jù)EPON的"自動(dòng)發(fā)現(xiàn)過程",新添加的ONU通過直接發(fā)送注冊請(qǐng)求幀就可以從網(wǎng)絡(luò)上分配得 到邏輯鏈路標(biāo)識(shí)符(LLID),并完成注冊過程,建立邏輯鏈路,從而實(shí)現(xiàn)網(wǎng)絡(luò)的接入。由于OLT廣播發(fā) 送所有的下行信息,所以每個(gè)ONU都可以竊聽到其它用戶的下行數(shù)據(jù)。其次,EPON系統(tǒng)采用的以太網(wǎng) 幀結(jié)構(gòu)具有透明性,非法用戶依據(jù)該結(jié)構(gòu)偽造控制幀和OAM幀并利用分配好的上行時(shí)隙發(fā)送,不僅可以 利用偽造的控制幀騙取授權(quán)信息,而且可以利用OAM幀更改參數(shù)。因此通過假冒合法用戶, 一些受限資 源被非法用戶獲得,對(duì)系統(tǒng)安全造成了威脅。此外,在EPON系統(tǒng)的上行方向,ONU共享上行帶寬和資 源。惡意ONU通過向網(wǎng)絡(luò)發(fā)送大量有效或無效的信息,造成網(wǎng)絡(luò)擁塞,使得網(wǎng)絡(luò)資源和OAM信息不可 用,從而導(dǎo)致其它ONU分配不到帶寬,即構(gòu)成了拒絕服務(wù)DoS攻擊或分布式拒絕服務(wù)DDoS攻擊。因此, 作為保證EPON系統(tǒng)安全的重要手段之一,應(yīng)通過設(shè)計(jì)安全機(jī)制,在EPON系統(tǒng)中提供認(rèn)證功能,保證源 真實(shí)性與認(rèn)證信息的完整性,從而防止部分惡意攻擊,為EPON系統(tǒng)創(chuàng)造一個(gè)安全運(yùn)行的環(huán)境。
針對(duì)在EPON系統(tǒng)中提供認(rèn)證功能已提出了一些方案,其中,1EEE 802.1x協(xié)議被稱為基于端口的訪 問控制協(xié)議,其符合正EE 802協(xié)議集的局域網(wǎng)接入控制協(xié)議,如何利用它來實(shí)現(xiàn)EPON系統(tǒng)的認(rèn)證和授 權(quán),達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的,已成為EPON系統(tǒng)需要解決的重要問題。正EE 802.1x協(xié)議采用現(xiàn)有的擴(kuò) 展認(rèn)證協(xié)議(EAP),該消息包含在IEEE 802.3以太網(wǎng)幀中,被稱為EAPoL,在申請(qǐng)者和認(rèn)證者之間傳輸。 認(rèn)證者和認(rèn)證服務(wù)器間同樣運(yùn)行EAP協(xié)議,EAP幀中封裝了認(rèn)證數(shù)據(jù),將該協(xié)議承載在其它高層協(xié)議中, 如Radius,以便穿越復(fù)雜的網(wǎng)絡(luò)到達(dá)認(rèn)證服務(wù)器完成認(rèn)證。在實(shí)際應(yīng)用中,IEEE 802.1x協(xié)議較好地解決了傳統(tǒng)認(rèn)證方式所帶來的問題,但是該協(xié)議本身也存在一些設(shè)計(jì)缺陷。這源于其是一個(gè)不對(duì)稱的協(xié)議,其 單向認(rèn)證的策略會(huì)給EPON系統(tǒng)帶來一定的安全隱患,另外還要防止認(rèn)證信息在傳輸?shù)倪^程中被非法篡改, 保證數(shù)據(jù)的完整性,故需要結(jié)合EPON系統(tǒng)的特點(diǎn)對(duì)基于IEEE S02.1x的認(rèn)證方法進(jìn)行改進(jìn)。
目前,消息認(rèn)證碼(MAC)算法越來越被予以重視.其作為密碼學(xué)中保證數(shù)據(jù)完整性的一種重要工具, 被廣泛應(yīng)用于各種安全系統(tǒng)中。伽羅華域消息認(rèn)證碼GMAC (Galois Message Authentication Code)是一種 由基于二元伽羅華域乘法器的散列函數(shù)構(gòu)造的消息認(rèn)證碼,其與EPON系統(tǒng)認(rèn)證過程相結(jié)合,可以有效保 證認(rèn)證信息的完整性。在EPON系統(tǒng)中.密鑰是秘密的,僅由參與通信的雙方共享,故采用GMAC也可 以驗(yàn)證消息來源的真實(shí)性,克服單向認(rèn)證的安全隱患。GMAC具有可證明的安全性,尤其是其內(nèi)在結(jié)構(gòu)的 并行性使GMAC適于硬件高速實(shí)現(xiàn),己證明可達(dá)10Gbps以上,且比其它結(jié)構(gòu)更節(jié)省硬件資源。同時(shí),GMAC 具有增量認(rèn)證的特性,故而認(rèn)證效率更高,是一種優(yōu)秀的消息認(rèn)i止碼
發(fā)明內(nèi)容
本發(fā)明提出了一種以太網(wǎng)無源光網(wǎng)絡(luò)〔epon)系統(tǒng)認(rèn)證方法,結(jié)合伽羅華域消息認(rèn)證
碼(GMAC)實(shí)現(xiàn)了 EPON系統(tǒng)的認(rèn)證過程,能夠同時(shí)支持ONU認(rèn)證和用戶認(rèn)證,并設(shè)計(jì)了EPON系統(tǒng) GMAC認(rèn)證的幀結(jié)構(gòu),以及ONU認(rèn)證和用戶汄證的協(xié)議流程。本方法能夠克服IEEE 802.1x端口訪問控 制模式下EPON系統(tǒng)認(rèn)證方式所存在的單向認(rèn)證缺陷,有效保證了認(rèn)證的源真實(shí)性和數(shù)據(jù)完整性,具有良 好的安全性。
本方法在EPON系統(tǒng)認(rèn)證過程中所采用的伽羅華域消息認(rèn)證碼(GMAC)首先使用二元伽羅華域的散 列函數(shù)將長消息散列成較短的字串,然后加密這個(gè)字串得到認(rèn)證標(biāo)記,用二元伽羅華域上的乘法。下面以 基丁—加羅華域OF(2128)(—祌有限域)構(gòu)造的GMAC為例對(duì)其算法予以說明。
定義義,yeGF(2'")的乘法為義'y,定義義和r的加法為;r ;r (在gf(2'")上的加法等同于xor
操作)。函數(shù)Ze"O返回64比特的非負(fù)整數(shù),表示其參數(shù)所包含的比特?cái)?shù)。0'表示/個(gè)0的串,^IS表示^ 與S的連接。GMAC能夠同時(shí)認(rèn)證兩個(gè)不同的比特流,方便了其在能同時(shí)提供加密認(rèn)證的分組密碼T.作模 式中的使用。這里定義輸入為力和C, ^是僅需要認(rèn)證的數(shù)據(jù),C是需要加密和認(rèn)證的數(shù)據(jù)。GMAC的其 它輸入是散列密鑰0^,/: ,尺/0 £({0,1}128)3和可變長的nouce值7V。每個(gè)密鑰對(duì)應(yīng)一個(gè)不同的nouce值。 GMAC返回f比特的認(rèn)證標(biāo)簽7, 6128。算法中按照偽隨機(jī)函數(shù)GPRF來定義GMAC: {0, 1}'28X{0, l}'28 X{0, 1,—{0, 1}"',輸入128比特密鑰和/比特nouce值返回,"比特。已經(jīng)有定理證明,當(dāng)GPRF是安 全的時(shí)候GMAC也是安全的。GMAC算法明確了認(rèn)證標(biāo)簽產(chǎn)生過程,包括ffl密鑰計(jì)算消息的MAC值, 以及當(dāng)標(biāo)簽匹配計(jì)算值的時(shí)候接受消息/標(biāo)簽對(duì)。
基于GF(2'2s)的GMAC認(rèn)證算法如下
輸入(1>(、 C兩個(gè)消息比特流 (2)密鑰K(^^",^)和iV輸出z比特認(rèn)證標(biāo)簽r
步驟^ — 0
在^后補(bǔ)"0"直到^1的長度是128的倍數(shù) For0《i. S/e"G4)/128 - ] do
Set Afto bits 128''through 128'.+ 127 o".
End for
在C后補(bǔ)"0"直到C的長度是128的倍數(shù) For0《/《/e"(C)/〗28- 1 do
Set M to bits 128"hrough 128,.+ 127 of C.
Z —卿M) . & End for
,T — (% (/—) II
Set S是GPRF(A;,&,7V)最左邊^(qū)匕特
返回義①S最左邊Z比特作為認(rèn)證標(biāo)簽r, ?《128
本方法根據(jù)認(rèn)證層次的不同,能夠同時(shí)支持ONU認(rèn)證和用戶認(rèn)證,兩級(jí)認(rèn)證的作用在丁分別認(rèn)證和 授權(quán)ONU和用戶訪問EPON系統(tǒng)的資源和服務(wù),同時(shí)用戶認(rèn)i正還包括防LL:非授權(quán)用戶接入ONU。當(dāng)ONU 加電或要求新的LLID時(shí),ONU必須通過網(wǎng)絡(luò)的"向動(dòng)發(fā)現(xiàn)過程"進(jìn)行注冊和認(rèn)證,即ONU認(rèn)證。EPON 系統(tǒng)中, 一個(gè)ONU被一個(gè)或多個(gè)用戶共用,因此一個(gè)ONU能集中幾個(gè)用戶的業(yè)務(wù)發(fā)送給OLT。 EPON中 通信的實(shí)體是OLT和ONU,所以通過ONU傳送業(yè)務(wù)的用戶即使沒有在OLT注冊,也必須被授權(quán)才能訪 問EPON系統(tǒng)的資源和服務(wù),即用戶認(rèn)證。
在ONU認(rèn)證的過程中,ONU和OLT上運(yùn)行具有GMAC功能的認(rèn)證模塊,OLT上還運(yùn)行Radius客戶 端模塊。EPON通過標(biāo)準(zhǔn)規(guī)定的"自動(dòng)發(fā)現(xiàn)過程"初始化邏輯連接。"自動(dòng)發(fā)現(xiàn)過程"的目的是將ONU注 冊到OLT,且僅在OLT通過Gate消息分配帶寬給ONU后,ONU才能發(fā)送消息給OLT。鑒于交換認(rèn)證消 息的增加將引入網(wǎng)絡(luò)的延時(shí)和能夠分配給用戶的帶寬的減少,故沒計(jì)ONU認(rèn)證在ONU注冊的同時(shí)進(jìn)行, 且在該過程中完成密鑰分配進(jìn)而在ONU和OLT之間建立安全連接。因?yàn)?自動(dòng)發(fā)現(xiàn)過程"已能夠完成對(duì) 新加入ONU的識(shí)別,因此IEEE 802.1x定義的EAPoL_Start幀可以省略。認(rèn)證服務(wù)器通過比較ONU上報(bào) 的認(rèn)證信息與用戶設(shè)備數(shù)據(jù)庫中相應(yīng)的內(nèi)容相符與否來判斷接入沒備是否合法。ONU只有在認(rèn)證通過后 才可能成功注冊到相應(yīng)的OLT設(shè)備,并獲取配置信總,從而止常訪問網(wǎng)絡(luò)的各種資源和服務(wù)。此種方式 可以從源頭上防止非法ONU接入網(wǎng)絡(luò),增強(qiáng)了 EPON系統(tǒng)的安全性能。
在用戶認(rèn)證的過程中,ONU和OLT上運(yùn)行具有GMAC功能的認(rèn)證模塊,OLT上還運(yùn)行Radius客戶端模塊。中請(qǐng)者是安裝在用戶終端上的客戶端軟件,認(rèn)證者主要實(shí)現(xiàn)包括認(rèn)證消息的分發(fā),與認(rèn)證服務(wù)器 通信及在線用戶管理等功能,認(rèn)證服務(wù)器獨(dú)立于OLT實(shí)現(xiàn),從而一個(gè)認(rèn)證服務(wù)器可為多個(gè)OLT服務(wù)。用 戶認(rèn)證在ONU認(rèn)證后進(jìn)行,用戶名、密碼等認(rèn)證信息預(yù)先在認(rèn)證服務(wù)器上注冊存儲(chǔ)。在ONU收到來自 OLT的Gate消息后,接受用戶認(rèn)證信息的ONU把這些消息發(fā)送給OLT。鑒于每個(gè)待認(rèn)證用戶都訪問認(rèn)證 服務(wù)器將增加用戶認(rèn)證的延時(shí)及用戶數(shù)據(jù)以外的網(wǎng)絡(luò)流量,故設(shè)計(jì)將認(rèn)證服務(wù)器中的用戶認(rèn)證信息備份在 OLT的緩存中,如果OLT暫存有用戶認(rèn)證信息,則當(dāng)OLT收到來自用戶的EAP_Response消息時(shí),OLT 通過比較收到的用戶認(rèn)證信息與緩存中相應(yīng)的內(nèi)容相符與否來判斷用戶接入EPON系統(tǒng)是否合法,否則 OLT向認(rèn)證服務(wù)器發(fā)送接入請(qǐng)求消息,由認(rèn)證服務(wù)器來確認(rèn)用戶的接入是否合法,從而有效提高了認(rèn)證效 率。
本方法基于擴(kuò)展認(rèn)證協(xié)議(EAP)設(shè)計(jì)了 EPON系統(tǒng)GMAC認(rèn)證的幀結(jié)構(gòu),即在EAPoL數(shù)據(jù)包中增 加一個(gè)GMAC認(rèn)證標(biāo)簽字段。在認(rèn)證的過程中,當(dāng)申請(qǐng)者請(qǐng)求加入網(wǎng)絡(luò)或申請(qǐng)網(wǎng)絡(luò)資源和服務(wù)時(shí),申請(qǐng) 者通過ONU上的GMAC認(rèn)證模塊將認(rèn)證信息與密鑰遵循GMAC算法生成認(rèn)證標(biāo)簽,并將認(rèn)證標(biāo)簽與要 傳送的認(rèn)i止信息一起發(fā)送給認(rèn)證者,認(rèn)證者在接收到申請(qǐng)者的認(rèn)證信息后,利用在密鑰分配階段與申請(qǐng)者 共享的密鑰重新計(jì)算認(rèn)證標(biāo)簽,并與接收到的標(biāo)簽進(jìn)行比較,如果匹配則說明了認(rèn)證信息的完整性。認(rèn)證 者發(fā)送給申請(qǐng)者的認(rèn)證信息也采用木方法來保證完整性。同時(shí),由于密鑰是秘密的,僅由參與通信的雙方 共享,故申請(qǐng)者和認(rèn)證者雙方可以通過數(shù)據(jù)源認(rèn)證來確認(rèn)消息是從正確的發(fā)送方發(fā)送過來的,故能夠克服 正EE 802.1x端口訪問控制模式下EPON系統(tǒng)認(rèn)證方式所存在的單向認(rèn)證缺陷,保證了認(rèn)證的源真實(shí)性。
GMAC算法將認(rèn)證信息與共享密鑰連接在一起進(jìn)行散列運(yùn)算,根據(jù)散列函數(shù)的強(qiáng)無碰撞特性,對(duì)數(shù)據(jù) 的任何細(xì)微改動(dòng)都會(huì)對(duì)消息認(rèn)證碼的值產(chǎn)生較大影響,從而能夠防止攻擊者對(duì)截獲的認(rèn)證信息進(jìn)行篡改, 具有良好的安全性。此外,將認(rèn)證信息和密鑰相結(jié)合,能夠防止重放攻擊等安全威脅,使該認(rèn)證方法的可 用性得以提高。
GMAC具有可證明的安全性,尤其是其內(nèi)在結(jié)構(gòu)的并行性使GMAC適于硬件高速實(shí)現(xiàn),已證明可達(dá) 10Gbps以上,且比其它結(jié)構(gòu)更節(jié)省硬件資源。同時(shí),GMAC具有增^認(rèn)證特性,故而認(rèn)證效率更高,能 夠較好地滿足EPON系統(tǒng)高速、有效身份認(rèn)證的需求。


圖1是采用GMAC的以太網(wǎng)無源光網(wǎng)絡(luò)(EPON)系統(tǒng)模塊結(jié)構(gòu)圖。 圖2是帶有GMAC認(rèn)證標(biāo)簽字段的EAPoL數(shù)據(jù)幀結(jié)構(gòu)。 圖3是采用GMAC的以太網(wǎng)無源光網(wǎng)絡(luò)(EPON)系統(tǒng)ONU認(rèn)證流程圖。 圖4是釆用GMAC的以太網(wǎng)無源光網(wǎng)絡(luò)(EPON)系統(tǒng)用戶認(rèn)證流程圖。
具體實(shí)施方式
本發(fā)吸結(jié)合伽羅華域消息認(rèn)證碼(GMAC)實(shí)現(xiàn)了 EPON系統(tǒng)的認(rèn)證過程'能夠同
時(shí)支持ONU認(rèn)證和用戶認(rèn)證,并設(shè)計(jì)了 EPON系統(tǒng)GMAC認(rèn)證的幀結(jié)構(gòu),以及ONU認(rèn)證和用戶認(rèn)證的 協(xié)議流程,能夠克服IEEE 802.1X端口訪問控制模式下EPON系統(tǒng)認(rèn)證方式所存在的單向認(rèn)證缺陷,有效 保證了認(rèn)證的源真實(shí)性和數(shù)據(jù)完整性。整個(gè)認(rèn)證過稈涉及用戶、ONU、 OLT和Radius認(rèn)證服務(wù)器四部分, 在ONU認(rèn)證與用戶認(rèn)證的實(shí)施過程中,它們相應(yīng)承擔(dān)申請(qǐng)者、認(rèn)證者和認(rèn)證服務(wù)器的角色,確保合法ONU 和授權(quán)用戶接入EPON系統(tǒng)。其中,ONU和OLT上運(yùn)行具有GMAC功能的認(rèn)證模塊,OLT上還運(yùn)行Radius 客戶端模塊,其系統(tǒng)模塊結(jié)構(gòu)圖如附圖1所不。
附圖2是帶有GMAC認(rèn)證標(biāo)簽字段的EAPoL數(shù)據(jù)幀結(jié)構(gòu),以下以基丁'伽羅華域0^(2'28)構(gòu)造的GMAC 為例結(jié)合附圖3、 4詳細(xì)描述本方法實(shí)現(xiàn)EPON系統(tǒng)認(rèn)證的具體實(shí)施流程。
—、ONU認(rèn)證
附圖3是采用GMAC的以太網(wǎng)無源光網(wǎng)絡(luò)(EPON)系統(tǒng)ONU認(rèn)證流程圖。在ONU認(rèn)證過程中, EPON系統(tǒng)通過標(biāo)準(zhǔn)規(guī)定的"自動(dòng)發(fā)現(xiàn)過程"進(jìn)行ONU的初始化,將ONU注冊到OLT。在本方法中設(shè)計(jì) ONU認(rèn)證在ONU注冊的同時(shí)進(jìn)行,且在該過程中完成密鑰分配進(jìn)而在ONU和OLT之間建立安全連接。 ONU認(rèn)證的具體實(shí)施流程如下
(1) OLT周期地向系統(tǒng)各個(gè)ONU廣'播發(fā)送目的地址為廣播LUD(全零)的注冊授權(quán)幀Discovery—Gate;
(2) 新加入的ONU在收到注冊授權(quán)幀Discovery—Gate后,在授權(quán)分配的時(shí)間里向OLT發(fā)送注冊請(qǐng)求幀 Register_Request,其中,注冊請(qǐng)求幀Register—Request的凈荷部分?jǐn)y帶16字節(jié)ONU隨機(jī)產(chǎn)生的128bit密 鑰;
(3) OLT在接收到來自O(shè)NU發(fā)出的注冊請(qǐng)求幀Register—Request之后,安裝這個(gè)密鑰,同時(shí)向ONU發(fā) 出EAP—Request請(qǐng)求幀,要求采集ONU的相關(guān)信息,該請(qǐng)求幀攜帶OLT產(chǎn)生的GMAC認(rèn)證標(biāo)簽;
(4) ONU接收到EAP—R叫uest請(qǐng)求幀后,重新計(jì)算認(rèn)證標(biāo)簽,若與接收到的認(rèn)證標(biāo)簽相同,則響應(yīng)該 幀,并將自己的認(rèn)證信息通過EAP—Response幀發(fā)送給OLT,同時(shí)該響應(yīng)幀攜帶ONU產(chǎn)生的GMAC認(rèn)證 標(biāo)簽;
(5) OLT在收到EAP—Response幀后,重新計(jì)算認(rèn)證標(biāo)簽,若與接收到的認(rèn)證標(biāo)簽相同,則通過Radius 客戶端模塊將EAPoL幀結(jié)構(gòu)轉(zhuǎn)換成標(biāo)準(zhǔn)的Radius幀結(jié)構(gòu),并向Radius認(rèn)證服務(wù)器轉(zhuǎn)發(fā)EAP—Response消 息;
(6) 認(rèn)證成功后,Radius認(rèn)證服務(wù)器向OLT發(fā)送EAP—Success消息;
(7) OLT再將Radius幀結(jié)構(gòu)轉(zhuǎn)換成EAPoL幀結(jié)構(gòu),并向ONU轉(zhuǎn)發(fā)EAP_Success消總,表示認(rèn)證成功, 同時(shí)該消息攜帶OLT產(chǎn)生的GMAC認(rèn)證標(biāo)簽;
(8) ONU在收到EAP—Success消息后,重新計(jì)算認(rèn)證標(biāo)簽,以確認(rèn)認(rèn)證成功消息來源的真實(shí)性;
(9) OLT為該ONU分配ONU ID,然后廣播LLID向該ONU發(fā)送注冊幀Register,目的MAC地址指向該ONU,而后再給該ONU發(fā)送Gate授權(quán)幀以使該ONU發(fā)送注冊確認(rèn)幀Register—ACK,并等待該ONU 發(fā)出的注冊確認(rèn)幀,該授權(quán)在OLT認(rèn)為ONU注冊失敗前始終有效;
(IO)ONU在收到Register幀后,用新的ONU ID覆蓋原來的ONU ID,并等待OLT的注冊確認(rèn)幀授權(quán) 以發(fā)送注冊確認(rèn)幀Register—ACK,通知OLT新ONU ID刷新成功,同時(shí)等待帶寬授權(quán)。
(l l)OLT在發(fā)送注冊確認(rèn)幀授權(quán)后的一段時(shí)間內(nèi)收到ONU的Register—ACK消息,則OLT認(rèn)為該ONU 刷新ONUID完成,該ONU注冊成功,從而完成ONU認(rèn)證注冊過程;否則認(rèn)為ONU認(rèn)證注冊失敗。
二、用戶認(rèn)證
附圖4是釆用GMAC的以太網(wǎng)無源光網(wǎng)絡(luò)(EPON)系統(tǒng)用戶認(rèn)證流程圖。在用戶認(rèn)證過程中,申請(qǐng) 者是安裝在用戶終端上的客戶端軟件,認(rèn)證者主要實(shí)現(xiàn)包括認(rèn)證消息的分發(fā),與認(rèn)證服務(wù)器通信及在線用 戶管理等功能。認(rèn)證服務(wù)器獨(dú)立于OLT實(shí)現(xiàn),從而一個(gè)認(rèn)證服務(wù)器可為多個(gè)OLT服務(wù)。用戶認(rèn)證在ONU 認(rèn)證后進(jìn)行,用戶名,密碼等認(rèn)證信息預(yù)先在認(rèn)證服務(wù)器上注冊存儲(chǔ)。本方法設(shè)計(jì)將認(rèn)證服務(wù)器中的用戶 認(rèn)證信息備份在OLT的緩存中,以提高認(rèn)證效率。用戶認(rèn)證的具體實(shí)施流程如下
(1) 在ONU認(rèn)證和注冊過程完成后,OLT向ONU發(fā)送Gate授權(quán)幀授權(quán)ONU帶寬
(2) 用戶作為申請(qǐng)者,發(fā)出EAPoL—Start消息啟動(dòng)用戶認(rèn)證過程,該幀經(jīng)過ONU的GMAC認(rèn)證模塊后 攜帶認(rèn)證標(biāo)簽;
(3) OLT收到EAPoL—Start幀后,重新計(jì)算認(rèn)證標(biāo)簽,若與接收到的認(rèn)證標(biāo)簽相同,且不知道用戶身份 時(shí)則發(fā)出EAP—R叫uest/ID消息,并發(fā)送Gate授權(quán)幀授權(quán)ONU帶寬,要求用戶響應(yīng)ID信息,EAP—R叫uest/D 幀攜帶OLT的GMAC認(rèn)證模塊產(chǎn)生的認(rèn)證標(biāo)簽;
(4) ONU收到EAP—R叫uest/ID幀后,重新計(jì)算認(rèn)i正標(biāo)簽,若與接收到的認(rèn)證標(biāo)簽相同,則將 EAP-R叫uest/ID消息通知用戶,同時(shí)用戶發(fā)出EAP—Response消息回應(yīng)ID給OLT,該幀經(jīng)過ONU的GMAC 汄證模塊后攜帶認(rèn)證標(biāo)簽;
(5) OLT在收到EAP一Response消息后,重新計(jì)算認(rèn)證標(biāo)簽,若與接收到的認(rèn)證標(biāo)簽相同,則接受ID 消息,并通過Radius客戶端模塊將EAPoL幀結(jié)構(gòu)轉(zhuǎn)換成標(biāo)準(zhǔn)的Radius幀結(jié)構(gòu),并向Radius認(rèn)證服務(wù)器轉(zhuǎn) 發(fā)EAP—Response消息,以確認(rèn)用戶的ID是否合法;
(6) ID認(rèn)證成功后,OLT再次發(fā)出EAP—Request/Password消息,并發(fā)送Gate幀授權(quán)ONU帶寬,要求 用戶響應(yīng)Password信息,EAP—R叫uest/Password幀攜帶OLT的GMAC認(rèn)證模塊產(chǎn)生的認(rèn)證標(biāo)簽;
(7) ONU收到EAP_Request/Password幀后,重新計(jì)算認(rèn)證標(biāo)簽,若與接收到的認(rèn)證標(biāo)簽相同,則將 EAP—R叫uest/Password消息通知用戶,同時(shí)用戶發(fā)出EAP_Response消息回應(yīng)Password給OLT,該幀經(jīng)過 ONU的GMAC認(rèn)證模塊后攜帶認(rèn)證標(biāo)簽;
(8) OLT在收到EAP—Response消息后,重新計(jì)算認(rèn)證標(biāo)簽,若與接收到的認(rèn)證標(biāo)簽相同,則接受 Password消息,并通過Radius客戶端模塊將EAPoL幀結(jié)構(gòu)轉(zhuǎn)換成標(biāo)準(zhǔn)的Radius幀結(jié)構(gòu),并向Radius認(rèn)證服務(wù)器轉(zhuǎn)發(fā)EAP—Response消息,以確認(rèn)用戶的Password是否合法;
(9) Password認(rèn)證成功后,OLT發(fā)出EAP—Success消息,告知用戶認(rèn)證成功,可以接入網(wǎng)絡(luò),該消息 攜帶OLT的GMAC認(rèn)證模塊產(chǎn)生的認(rèn)證標(biāo)簽;反之則發(fā)送EAP—Failure消息,用戶認(rèn)證失?。?br> (10) 在認(rèn)證用戶ID與Password的過程中,首先査找OLT的緩存,若用戶認(rèn)證信息己暫存在OLT的緩 存中,則直接通過認(rèn)證,免去了與Radius認(rèn)證服務(wù)器通信的環(huán)節(jié),故而認(rèn)證效率更高。
本方法所涉及的采用GMAC的以太網(wǎng)無源光網(wǎng)絡(luò)(EPON)系統(tǒng)認(rèn)證過程按照先ONU認(rèn)證,后用戶 認(rèn)證的過程進(jìn)行。在用戶認(rèn)證成功后,OLT的Radius客戶端模塊發(fā)送Radius報(bào)文給認(rèn)證服務(wù)器,要求服 務(wù)器開始進(jìn)行計(jì)費(fèi)操作,認(rèn)證服務(wù)器響應(yīng)Radius報(bào)文;當(dāng)用戶離開網(wǎng)絡(luò)后,ONU終結(jié)用戶會(huì)話,并通知 OLT的Radius客戶端模塊用戶已經(jīng)離線,要求終止本次網(wǎng)絡(luò)計(jì)費(fèi),Radius客戶端模塊將EAPoL離線報(bào)文 轉(zhuǎn)換成標(biāo)準(zhǔn)的Radius報(bào)文,并發(fā)送給認(rèn)證服務(wù)器,要求終止計(jì)費(fèi)過程,認(rèn)證服務(wù)器響應(yīng)Radius報(bào)文。
權(quán)利要求
1、一種以太網(wǎng)無源光網(wǎng)絡(luò)(EPON)系統(tǒng)認(rèn)證方法,其特征在于結(jié)合伽羅華域消息認(rèn)證碼(GMAC)實(shí)現(xiàn)了EPON系統(tǒng)的認(rèn)證過程,能夠同時(shí)支持ONU認(rèn)證和用戶認(rèn)證,并設(shè)計(jì)了EPON系統(tǒng)GMAC認(rèn)證的幀結(jié)構(gòu),以及ONU認(rèn)證和用戶認(rèn)證的協(xié)議流程。
2、 如權(quán)利要求1所述的一種以太網(wǎng)無源光網(wǎng)絡(luò)(EPON)系統(tǒng)認(rèn)證方法,其特征在于在EPON系統(tǒng) 的認(rèn)證過程中采用了 GM八C認(rèn)證標(biāo)簽。當(dāng)申請(qǐng)者請(qǐng)求加入網(wǎng)絡(luò)、申請(qǐng)網(wǎng)絡(luò)資源或服務(wù)時(shí),申請(qǐng)者通過ONU 上的GMAC認(rèn)證模塊將認(rèn)證信息與密鑰遵循GMAC算法生成認(rèn)證標(biāo)簽,并將認(rèn)證標(biāo)簽與要傳送的認(rèn)證信 息一起發(fā)送給認(rèn)證者;認(rèn)證者在接收到申請(qǐng)者的認(rèn)證信息后,利用在密鑰分配階段ij中諾者共享的密鑰重 新計(jì)算認(rèn)證標(biāo)簽,并與接收到的標(biāo)簽進(jìn)行比較,如果匹配則說明了認(rèn)證信息的完整性。認(rèn)證者發(fā)送給申請(qǐng) 者的認(rèn)證信息也采用本方法來保證完整性。同時(shí),密鑰是秘密的,僅由參與通信的雙方共享,申請(qǐng)者和認(rèn) 證者通過采用本方法也可以驗(yàn)證消息來源的真實(shí)性。
3、 如權(quán)利要求所述的一種以太網(wǎng)無源光網(wǎng)絡(luò)(EPON)系統(tǒng)認(rèn)證方法,其特征在T能夠同時(shí)支持 ONU認(rèn)證和用戶認(rèn)證,兩級(jí)認(rèn)證的作用在于分別認(rèn)證和授權(quán)ONU和用戶訪問EPON系統(tǒng)的資源和服務(wù), 同時(shí)用戶認(rèn)證還包括防Ih1「授權(quán)用戶接入ONU。
4、 如權(quán)利要求1所述的一種以太網(wǎng)無源光網(wǎng)絡(luò)〔EPON)系統(tǒng)認(rèn)證方法,其特扯在F設(shè)計(jì)了 EPON 系統(tǒng)GMAC認(rèn)證的幀結(jié)構(gòu),即基丁'擴(kuò)展認(rèn)證協(xié)議EAP,在EAPoL數(shù)據(jù)包中增加--個(gè)GMAC認(rèn)證標(biāo)簽字 段。
5、 如權(quán)利要求1所述的一種以太網(wǎng)無源光網(wǎng)絡(luò)(EPON)系統(tǒng)認(rèn)證方法,其特征在T設(shè)計(jì)了 EPON 系統(tǒng)ONU認(rèn)證的協(xié)議流程。其中,ONU和OLT上運(yùn)行具有GMAC功能的認(rèn)證模塊,OLT t還運(yùn)行Radius 客戶端模塊。設(shè)計(jì)ONU認(rèn)證在ONU注冊的同時(shí)進(jìn)行,且在該過程中完成密鑰分配進(jìn)而在ONU和OLT 之間建立安全連接。其具體認(rèn)證過程為(1) OLT發(fā)送注冊授權(quán)幀Discovery—Gate;(2) 新加入的ONU收到注冊授權(quán)幀Discovery—Gate后,發(fā)送注冊請(qǐng)求幀Register_Request,其中,注冊 請(qǐng)求幀Register—Request的凈荷部分?jǐn)y帶ONU隨機(jī)產(chǎn)生的密鑰-,(3) OLT收到注冊請(qǐng)求幀Register—Request后,安裝這個(gè)密鑰,同時(shí)發(fā)出EAP_Request請(qǐng)求幀,該幀攜 帶OLT產(chǎn)生的GMAC認(rèn)證標(biāo)簽; '(4) ONU收到EAP—R叫uest請(qǐng)求幀后,將自己的認(rèn)證信息通過EAP—Response幀發(fā)送給OLT,該幀攜 帶ONU產(chǎn)生的GMAC認(rèn)證標(biāo)簽;(5) OLT收到EAP—Response幀后,通過Radius客戶端模塊將EAPoL幀結(jié)構(gòu)轉(zhuǎn)換成標(biāo)準(zhǔn)的Radius幀結(jié) 構(gòu),并向Radius認(rèn)證服務(wù)器轉(zhuǎn)發(fā)EAP—Response消息;(6) 認(rèn)證成功后,Radius認(rèn)證服務(wù)器向OLT發(fā)送EAP—Success消息-,(7) OLT向ONU轉(zhuǎn)發(fā)EAP—Success消息,該消息攜帶OLT產(chǎn)生的GMAC認(rèn)證標(biāo)簽(8) ONU收到EAP_Success消息后,認(rèn)證成功;(9) OLT為該ONU分配ONU ID,向該ONU發(fā)送注冊幀Register,而后再給該ONU發(fā)送Gate授權(quán)幀;(10) ONU收到Register幀后,用新的ONU ID覆蓋原來的ONU ID,并等待OLT的Gate授權(quán)幀以發(fā) 送注冊確認(rèn)幀Register一ACK;(11) OLT收到Register—ACK消息后,則認(rèn)為該ONU刷新ONU ID完成,ONU認(rèn)證注冊成功,否則認(rèn) 證注冊失敗。
6、如權(quán)利要求1所述的一種以太網(wǎng)無源光網(wǎng)絡(luò)(EPON)系統(tǒng)認(rèn)證方法,其特征在于設(shè)計(jì)了 EPON 系統(tǒng)用戶認(rèn)證的協(xié)議流程。設(shè)計(jì)用戶認(rèn)證在ONU認(rèn)證后進(jìn)行,認(rèn)證服務(wù)器獨(dú)立于OLT實(shí)現(xiàn),并將認(rèn)證服 務(wù)器中的用戶認(rèn)證信息備份在OLT的緩存中。其具體認(rèn)證過程為(l)OLT發(fā)送Gate授權(quán)幀授權(quán)ONU帶寬;(2訴戶發(fā)出EAPoL—Start消息啟動(dòng)用戶認(rèn)證過程,該幀經(jīng)過ONU的GMAC認(rèn)證模塊后攜帶認(rèn)證標(biāo)簽;(3) OLT收到EAPoL—Start幀后,若不知道用戶身份則發(fā)出EAP—Request/ID消息,并發(fā)送Gate授權(quán)幀 授權(quán)ONU帶寬,EAP_Request/ID幀攜帶OLT的GMAC認(rèn)證模塊產(chǎn)生的認(rèn)證標(biāo)簽;(4) ONU收到EAP—R叫uest/ID幀后,將EAP—Request/ID消息通知用戶,同時(shí)用戶發(fā)出EAP—Response 消息回應(yīng)ID給OLT,該幀經(jīng)過ONU的GMAC認(rèn)證模塊后攜帶認(rèn)證標(biāo)簽;(5) OLT收到EAP—Response消息后,通過Radius客戶端模塊將EAPoL幀結(jié)構(gòu)轉(zhuǎn)換成標(biāo)準(zhǔn)的Radius幀 結(jié)構(gòu),并向Radius認(rèn)證服務(wù)器轉(zhuǎn)發(fā)EAP—Response消息;(6) ID認(rèn)證成功后,OLT再次發(fā)出EAP—R叫uest/Password消息,并發(fā)送Gate幀授權(quán)ONU帶寬, EAP—R叫uest/Password幀攜帶OLT的GMAC認(rèn)證模塊產(chǎn)生的認(rèn)證標(biāo)簽;(7) ONU收到EAP—R叫uest/Password幀后,將EAP—R叫uest/Password消息通知用戶,同時(shí)用戶發(fā)出 EAP—Response消息回應(yīng)Password給OLT,該幀經(jīng)過ONU的GMAC認(rèn)證模塊后攜帶認(rèn)證標(biāo)簽;(8) OLT收到EAP一Response消息后,通過Radius客戶端模塊將EAPoL幀結(jié)構(gòu)轉(zhuǎn)換成標(biāo)準(zhǔn)的Radius幀 結(jié)構(gòu),并向Radius認(rèn)證服務(wù)器轉(zhuǎn)發(fā)EAP—Response消息;(9) Password認(rèn)證成功后,OLT發(fā)出EAP—Success消息,該消息攜帶OLT的GMAC認(rèn)證模塊產(chǎn)生的認(rèn) 證標(biāo)簽;反之則發(fā)送EAP—Failure消息;(10) 在認(rèn)證用戶ID與Password的過程中,首先查找OLT的緩存,若用戶認(rèn)證信息已暫存在OLT的緩 存中,則直接通過認(rèn)證,免去了與Radius認(rèn)證服務(wù)器通信的環(huán)節(jié)。
全文摘要
本發(fā)明提出了一種以太網(wǎng)無源光網(wǎng)絡(luò)(EPON)系統(tǒng)認(rèn)證方法,結(jié)合伽羅華域消息認(rèn)證碼(GMAC)實(shí)現(xiàn)了EPON系統(tǒng)的認(rèn)證過程,能夠同時(shí)支持ONU認(rèn)證和用戶認(rèn)證,并設(shè)計(jì)了EPON系統(tǒng)GMAC認(rèn)證的幀結(jié)構(gòu),以及ONU認(rèn)證和用戶認(rèn)證的協(xié)議流程。本方法能夠克服IEEE 802.1x端口訪問控制模式下EPON系統(tǒng)認(rèn)證方式所存在的單向認(rèn)證缺陷,有效保證了認(rèn)證的源真實(shí)性和數(shù)據(jù)完整性。GMAC具有可證明的安全性,其基于二元伽羅華域乘法器的散列函數(shù)結(jié)構(gòu)適于硬件并行高速實(shí)現(xiàn),且具有增量認(rèn)證的特性,使得本方法能夠較好地滿足EPON系統(tǒng)高速、有效身份認(rèn)證的需求,具有良好的安全性。
文檔編號(hào)H04Q11/00GK101577620SQ200910081769
公開日2009年11月11日 申請(qǐng)日期2009年4月10日 優(yōu)先權(quán)日2009年4月10日
發(fā)明者帆 寧, 壽國礎(chǔ), 屈善新, 胡怡紅, 郭志剛, 錢宗玨, 陽 陸, 甲 霍, 高澤華 申請(qǐng)人:北京郵電大學(xué)
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1