基于WDM和TDM的混合PON系统安全性实现方法.pdf

本发明涉及混合PON系统管理，是一种基于WDM和TDM的混合PON系统安全性实现方法，在上行方向处理协议报文的过程中，将用户端、局端和服务器端的标识依次添加到相应的PPPoE+/DHCP option82标签中并插入该报文，该报文通过RADIUS服务器的认证后给用户分配IP地址；在下行方向处理协议报文的过程中，在向用户转发协议报文前删除相应的PPPoE+/DHCPoption82标签。本发明，通过DHCP中继代理或者PPPoE中继代理方式，对用户接入端口进行精确标识，提高了混合PON设备与BRAS/DHCP服务器、BRAS/DHCP服务器与Radius服务器之间认证接口的一致性，降低宽带接入用户管理和网络运维的复杂度。

1、  基于WDM和TDM的混合PON系统安全性实现方法，其特征在于：
在上行方向处理协议报文的过程中，将用户端、局端和服务器端的标识依次添加到相应的PPPoE+/DHCP option82标签中并插入该报文，该报文经RADIUS服务器的认证后给用户分配IP地址；
在下行方向处理协议报文的过程中，在向用户转发协议报文前删除相应的PPPoE+/DHCP option82标签。

2、  如权利要求1所述的基于WDM和TDM的混合PON系统安全性实现方法，其特征在于上行方向处理协议报文的过程如下：
A1、判断ONU是否支持PPPoE/DHCP中继代理，如果不支持就透传PPPoE/DHCP协议报文至OLT；
A2、ONU根据用户端口信息在PPPoE/DHCP消息中添加上用户端的PPPoE+/DHCP DHCP option82标签；
A3、OLT根据ONU传递上来的协议报文并添加上局端的PPPoE+/DHCPoption82标签；
A4、BRAS/SR接收到协议报文后为PPPoE+/DHCP option82标签添加上服务器端标识信息；
A5、BRAS/DHCP服务器分配IP地址。

3、  如权利要求1所述的基于WDM和TDM的混合PON系统安全性实现方法，其特征在于下行方向处理协议报文的过程如下：
B1、BRAS/SR接收到下行方向来自于BRAS/DHCP服务器的协议报文后，删除PPPoE+/DHCP option82标签中的服务器端标识信息；
B2、OLT接收到下行方向来自于BRAS/SR的协议报文后，删除PPPoE+/DHCP option82标签中的局端标识信息；
B3、判断ONU是否支持PPPoE/DHCP中继代理，对于不需要支持PPPoE中继代理/DHCP中继代理的ONU，将接收到来自于OLT的协议报文不作任何处理，直接透传到客户端；
B4、ONU接收到下行方向来自于OLT的协议报文后，删除PPPoE+/DHCPoption82标签中的ONU用户端口标识信息。

4、  如权利要求2所述的基于WDM和TDM的混合PON系统安全性实现方法，其特征在于用户端的PPPoE+/DHCP option82标签包括该ONU的UNI端口号，即填写ONU的ID号、ONU的类型、ONU的槽位号、ONU的子槽位号、ONU的用户端口ID号以及用户采用的接入技术。

5、  如权利要求2所述的基于WDM和TDM的混合PON系统安全性实现方法，其特征在于局端的PPPoE+/DHCP option82标签主要包括接入设备类别、设备所在局所号、机架号、机框号、槽位号、业务板卡类型、子槽号、端口号以及用户采用的接入技术。

6、  如权利要求2所述的基于WDM和TDM的混合PON系统安全性实现方法，其特征在于服务器端的PPPoE+/DHCP option82标签标识信息主要包括BRAS/SR端口类型、槽位号、子槽位号、端口号、用户的SVLAN和用户的CVLAN。

基于WDM和TDM的混合PON系统安全性实现方法
技术领域
本发明涉及混合PON系统管理，特别是涉及一种基于WDM和TDM的混合PON系统安全性实现方法。
背景技术
随着人民生活水平的不断提高，人们对改善生活质量、获取各种信息提出了更高的需求。目前应用最为广泛的“宽带”解决方案主要是各种数字用户线路(xDSL)和Cable Modem技术，但是它们仍然无法满足很多新兴业务的需要，如高清电视(HDTV)、视频点播(VOD)、交互式游戏和双向视频会议等。以太网无源光网络(EPON)系统结合低成本的以太网设备和可靠的光纤基础设施，可以很好支持各种具有高带宽需求的新业务，正成为下一代宽带综合接入网络建设的主流技术。
WDM-PON是在光纤上应用的基于WDMA的PON系统，如图1所示，WDM-PON在技术上有很多优势是EPON和GPON(都属于TDM-PON)不具备的。首先，WDM-PON能透明传输各种协议的所有业务流；其次，WDM-PON不需改变物理设备就可以升级带宽，因此能够适应未来很长时间的带宽需求，设备的使用周期更长；第三，由于WDM-PON为每个ONU分配一个波长，不同用户之间不共享信息，因此不存在TDM-PON所有用户都能收到相同信号带来的安全问题。但由于现阶段用户对带宽的需求尚未达到每用户一个波长的规模，加之WDM-PON器件的成本较高，如图2所示，结合TDM-PON和WDM-PON优势的基于WDM和TDM的混合PON系统成为未来光接入领域的发展方向，具有巨大的市场。
随着基于IP技术的网络建设的日渐普及，以及用户业务类型的不断丰富，运营商需要增强对用户业务数据进行更加精细和灵活的控制能力。在宽带接入(DSLAM、PON、LAN等)网络中，需要通过用户接入的宽带接入服务器(BRAS)或业务路由器(SR)的物理端口和用户接入线路(端口)来唯一地标识宽带用户接入线路(端口)。特别是对于IPTV等平台，目前普遍采用DHCP的IP地址分配方式，如图3所示，在DHCP方式中，DHCP中继代理采用DHCP Option82携带用户的接入线路(端口)标识信息。另外，对于PPPoE认证方式，也需要PPPoE中继代理在相关报文中携带用户的接入线路(端口)标识信息，如图4所示。随着光纤接入技术的大量部署，要求宽带接入系统支持对用户接入线路(端口)进行精确标识。
但是，目前基于WDM和TDM的混合PON系统，其上游的BRAS无法或者难以从以太网数据包中获取用户端口信息，从而不能对用户端口进行统一的认证管理，不能有效地防范用户账号被盗用。
发明内容
本发明所要解决的技术问题是解决基于WDM和TDM的混合PON系统由于不能对用户端口进行精确地标识和定位，从而不能有效地防范用户账号被盗用，造成该系统安全性差的问题。
为了解决上述技术问题，本发明所采用的技术方案是提供一种基于WDM和TDM的混合PON系统安全性实现方法，在上行方向处理协议报文的过程中，将用户端、局端和服务器端的标识依次添加到相应的PPPoE+/DHCP option82标签中并插入该报文，该报文经RADIUS服务器的认证后给用户分配IP地址；在下行方向处理协议报文的过程中，在向用户转发协议报文前删除相应的PPPoE+/DHCP option82标签。
上述方法中，上行方向处理协议报文的过程如下：
A1、判断ONU是否支持PPPoE/DHCP中继代理，如果不支持就透传该协议报文至OLT；
A2、ONU根据用户端口信息在PPPoE/DHCP消息中添加上用户端的PPPoE+/DHCP DHCP option82标签；
A3、OLT根据ONU传递上来的协议报文并添加上局端的PPPoE+/DHCPoption82标签；
A4、BRAS/SR接收到协议报文后为PPPoE+/DHCP option82标签添加上服务器端标识信息；
A5、BRAS/DHCP服务器分配IP地址。
下行方向处理协议报文的过程如下：
B1、BRAS/SR接收到下行方向来自于BRAS/DHCP服务器的协议报文后，删除PPPoE+/DHCP option82标签中的服务器端标识信息；
B2、OLT接收到下行方向来自于BRAS/SR的协议报文后，删除PPPoE+/DHCP option82标签中的局端标识信息；
B3、判断ONU是否支持PPPoE/DHCP中继代理，对于不需要支持PPPoE中继代理/DHCP中继代理的ONU，将接收到来自于OLT的协议报文不作任何处理，直接透传到客户端；
B4、ONU接收到下行方向来自于OLT的协议报文后，删除PPPoE+/DHCPoption82标签中的ONU用户端口标识信息。
其中，用户端的PPPoE+/DHCP option82标签包括该ONU的UNI端口号，即填写ONU的ID号、ONU的类型、ONU的槽位号、ONU的子槽位号、ONU的用户端口ID号以及用户采用的接入技术。
局端的PPPoE+/DHCP option82标签主要包括接入设备类别、设备所在局所号、机架号、机框号、槽位号、业务板卡类型、子槽号、端口号以及用户采用的接入技术。
服务器端的PPPoE+/DHCP option82标签标识信息主要包括BRAS/SR端口类型、槽位号、子槽位号、端口号、用户的SVLAN和用户的CVLAN。
本发明，采用多级处理的方式在DHCP或者PPPoE协议报文中添加相应的标签，将用户接入线路(端口)信息添加到PPPoE+/DHCP option82标签中，协议报文中的其他字段不用进行任何修改，用以标识接入链路(端口)，查看其是否合法，如果是，再进行认证分配IP地址，否则认为其非法，则不进行后续的认证和分配IP，这样可以对端口进行定位，保护该接入链路(端口)，不会被仿冒或者欺骗。本发明不需修改系统中的硬件单元，完全依靠软件单元处理，用较低的成本实现了对用户接入线路(端口)的识别和标识并进行统一的认证管理，提高了系统安全性。
附图说明
图1表示现有的TDM-PON系统结构示意图；
图2表示基于WDM和TDM的混合PON系统结构示意图；
图3表示DHCP Option 82协议交互的示意图；
图4表示PPPoE+协议交互的示意图；
图5表示上行报文处理流程示意图；
图6表示下行报文处理流程示意图；
图7表示ONU添加PPPoE+/DHCP option82标签内容示意图；
图8表示OLT添加PPPoE+/DHCP option82标签内容示意图；
图9表示BRAS/SR添加PPPoE+/DHCP option82标签内容示意图。
具体实施方式
本发明提供的基于WDM和TDM的混合PON系统安全性实现方法，采用DHCP或者PPPoE中继代理方式，利用DHCP option82或者PPPoE+标签插入协议报文来携带用户端口信息，实现了对用户接入线路(端口)的精确地标识和定位，提高了系统安全性，有效地防范用户账号被盗用，同时还能进行快速故障定位，降低了宽带接入用户管理和网络运维的复杂度。
本发明采用的技术方案是：在上行方向处理协议报文的过程中，混合PON系统和BRAS/RS将用户接入线路信息添加到相应的PPPoE+/DHCP option82标签中并插入该协议报文，该报文如果能够通过RADIUS服务器的认证，则给用户分配IP地址，否则就不分配；在下行方向处理协议报文的过程中，BRAS/RS和混合PON系统在向用户转发PPPoE或者DHCP协议报文前删除相应的PPPoE+/DHCP option82标签。
其中，上行方向处理协议报文的过程如图5所示，具体步骤如下：
A1、判断ONU是否支持PPPoE/DHCP中继代理，对于FTTH/FTTO组网模式，SFU、HGU和SBU型的ONU不需要支持PPPoE中继代理/DHCP中继代理等功能，此时对于接收到来自于客户端的发现报文和请求报文不作任何处理，直接透传到OLT；对于FTTC/FTTCab/FTTB组网模式，MDU和MTU型的ONU需要支持PPPoE中继代理/DHCP中继代理功能，此时需要存储来自于客户端的发现报文和请求报文，用作进行下一步的处理；
A2、ONU添加相应的PPPoE+/DHCP option82标签：如果ONU支持PPPoE中继代理/DHCP中继代理功能，则在侦听到PPPoE PADI/PADR或者DHCPDiscover/Request消息时，在上述报文中插入PPPoE+/DHCP option82标签，即PPPoE TAG代理电路ID/DHCP option 82代理电路ID，主要填写ONU的UNI端口号，即填写ONU的ID号、ONU的类型、ONU的槽位号、ONU的子槽位号、ONU的用户端口ID号，同时还需要填写用户采用的接入技术，例如LAN接入、EPON接入、GPON接入、WDM TDM PON接入、10G EPON接入等。如果是内置Mini DSLAM的ONU，还可选包含该端口的VPI/VCI信息，其他字段均填写“0”，如图7所示。ONU添加完相应的PPPoE+/DHCP option82标签然后再将PPPoE/DHCP报文发送给OLT；
A3、OLT添加相应的PPPoE+/DHCP option82标签：OLT收到含有PPPoE+/DHCP option82标签的协议报文后再添加上局端标识信息，主要包括接入设备类别(OLT)、设备所在局所号、机架号、机框号、槽位号、业务板卡类型、子槽号、端口号等信息，同时还需要填写用户采用的接入技术，例如LAN接入、EPON接入、GPON接入、WDM TDM PON接入、10G EPON接入等，其他字段均填写“0”，如图8所示，OLT添加完相应的PPPoE+/DHCPoption82标签后再将该协议报文发送给BRAS/SR。
A4、BRAS/SR添加相应的PPPoE+/DHCP option82标签：BRAS/SR接收到该报文后为PPPoE+/DHCP option82标签添加上服务器端标识信息，主要包括BRAS/SR端口类型(普通以太接口/Trunk类型的以太接口)、槽位号、子槽位号、端口号、用户的SVLAN、用户的CVLAN等信息，如图9所示，至此，形成了一完整的用户接入线路标识信息，本发明中定义为NAS_PORT_ID，PPPoE和DHCP标准中协议报文中预留了许多字节，本发明正是利用这些预留字节添加上述了标签。
例如NAS_PORT_ID＝“eth 31/31/7：4096.2345 olt|SHANGHAI001/1/3/1/0/1/20000000000001A2B3C4D5E6F/0/0/0/12：atm/8.33WP”，
其中，BRAS/SR添加或者删除的服务器端标识信息含义为：BRAS设备的用户接口类型为以太接口；BRAS槽号为31；BRAS子槽号为31；BRAS端口号为7；CVLAN ID为2345。
OLT添加或者删除的局端标识信息含义为：采用OLT设备接入；接入节点OLT的标识为SHANGHAI001；OLT的机架号为1；OLT框号为3；OLT的槽号为1；OLT的业务板卡类型为0；OLT的子槽号为1；OLT的端口号为2；
ONU添加或者删除的用户端标识信息含义为：ONU的标识为“0000000000001A2B3C4D5E6F”(MAC地址)；ONU的类型为0；ONU的槽号为0；子槽号为0；端口号为12；ONU的端口为DSL接口；其ATM层VPI为8；VCI为33；该用户采用WDM TDM混合PON技术。
A5、BRAS/DHCP服务器分配IP地址：对于BRAS/DHCP服务器，需要支持对WDM TDM混合PON系统所打的PPPoE+/DHCP option82标签的修改(添加与BRAS相关的字段)，并将携带用户接入线路信息的NAS_PORT_ID属性通过Radius接口送给RADIUS服务器进行认证。若通过Radius认证，则BRAS/DHCP服务器再利用PPPoE+/DHCP服务器分配IP地址，否则不给用户分配IP地址。
下行方向处理协议报文的过程如图6所示，具体步骤如下：
B1、BRAS/SR删除相应的PPPoE+/DHCP option82标签：BRAS/SR接收到下行方向来自于BRAS/DHCP服务器的PPPoE/DHCP报文后，删除PPPoE+/DHCP option82标签中的服务器端标识信息。
B2、OLT删除相应的PPPoE+/DHCP option82标签：OLT接收到下行方向来自于BRAS/SR的PPPoE/DHCP报文后，删除PPPoE+/DHCP option82标签中的局端标识信息。
B3、判断ONU是否支持PPPoE/DHCP中继代理：对于FTTH/FTTO组网模式，SFU、HGU和SBU型的ONU不需要支持PPPoE中继代理/DHCP中继代理等功能，此时对于接收到来自于OLT的PPPoE/DHCP不作任何处理，直接透传到客户端。对于FTTC/FTTCab/FTTB组网模式，MDU和MTU型的ONU需要支持PPPoE中继代理/DHCP中继代理功能，此时需要处理来自于OLT的PPPoE+/DHCP option82标签中的ONU用户端口标识信息，然后送到客户端。
B4、ONU删除相应的PPPoE+/DHCP option82标签：ONU接收到下行方向来自于OLT的PPPoE/DHCP报文后，删除PPPoE+/DHCP option82标签中的ONU用户端口标识信息。
本发明中，报文都是采用标准的PPPoE/DHCP报文，只是其识别是借助于PPPoE/DHCP报文中Agent Circuit ID Sub-option字段来承载用户接入线路(端口)信息。在不同组网方式下，ONU支持PPPoE/DHCP中继代理的能力不同。对于FTTH/FTTO组网模式，SFU、HGU和SBU型的ONU不需要支持PPPoE中继代理/DHCP中继代理等功能，此时需要OLT和BRAS/SR参与添加PPPoE+/DHCP option82标签，对于FTTC/FTTCab/FTTB组网模式，MDU和MTU型的ONU需要支持PPPoE中继代理/DHCP中继代理功能，此时需要ONU、OLT和BRAS/SR都参与添加PPPoE+/DHCP option82标签。
本发明的优点是：采用多级处理的方式将用户接入线路(端口)信息添加到PPPoE+/DHCP option82标签中，PPPoE/DHCP报文中的其他字段不用进行任何修改。各级处理清晰简单、配置灵活，工作量小，基本不需要什么开销，不需修改系统中的硬件单元，完全依靠软件单元处理，成本较低。另外一个重要的优点是该方式在上行和下行方向分别添加和删除了相应的字段内容，对客户端来说是透明的，不需要参与任何处理。
此外，采用这种灵活的端口定位方式，扩展性较强，也适用于LAN接入系统和DSLAM接入系统，只需要以太网汇聚交换机或者DSLAM设备支持PPPoE/DHCP中继代理功能即可，可采用与WDM TDM混合PON系统相同的编码方式。
本发明不局限于上述最佳实施方式，任何人应该得知在本发明的启示下作出的结构变化，凡是与本发明具有相同或相近的技术方案，均落入本发明的保护范围之内。