基於分離映射機制的無源光網絡業務保護方法

2023-06-09 02:31:41 3

基於分離映射機制的無源光網絡業務保護方法
【專利摘要】本發明將一體化標識網絡所特有的分離映射機制運用在無源光網絡中，將無源光網絡的關鍵設備及提供業務的伺服器部署在虛擬骨幹子網中，使用分離映射機制來隔離虛擬骨幹子網與虛擬接入子網，從而保護虛擬骨幹子網內的設備。
【專利說明】基於分離映射機制的無源光網絡業務保護方法
【技術領域】
[0001]本發明涉及無源光網絡領域，具體涉及一種基於分離映射機制的無源光網絡業務保護方法。
【背景技術】
[0002]隨著寬帶接入業務，如高清視頻點播，IPTV，3D網路遊戲等業務的不斷出現和逐漸普及，傳統的ADSL寬帶接入技術已經無法滿足用戶對高帶寬的需求。無源光網絡PON以其高帶寬、高QoS保障、電信級0ΑΜ、簡單高效的適配封裝等方面的優勢,在未來寬帶接入技術中具有較強的競爭力。因而PON網絡的安全性也成為關注的重點。
[0003]PON網絡在為用戶提供了較大帶寬的同時，還為承載多種業務提供了條件。隨著FTTH的迅速應用及規模擴大，可以將無源光網絡與業務整合在一起，從而使用戶可以更加便捷高速的享受高帶寬的業務。因而針對這類業務也存在一定的安全威脅，即提供業務的伺服器也需要進行保護。而現有的技術大都是採用防火牆技術阻擋部分非法用戶的攻擊或入侵，而無法從根本上解決這一安全問題。
[0004]在PON網絡中，網管伺服器通過SNMP協議與OLT的管理接口進行通信，從而起到對OLT的管理和對ONU的認證、註冊、配置業務等控制。因此對於網管伺服器的安全保護尤
其重要。
[0005]根據上述的安全問題分析，尤其是針對解決業務的安全威脅這一難題，我們將具有良好安全特性的一體化標識網絡與PON網絡相結合，提出了一種基於分離映射機制的無源光網絡的實現方法。
[0006]一體化標識網絡是一種新型網絡體系架構，它將傳統的網絡結構體系模型合併為兩個層，即「網通層」和「服務層」。「網通層」完成網絡的底層數據傳輸，負責網絡的接入和互聯互通，「服務層」實現服務和業務的應用。「網通層」又可分為虛擬接入子網和虛擬骨幹子網。虛擬接入子網可支持多種異構終端的接入，虛擬骨幹子網負責網絡的路由及數據傳輸，其中虛擬骨幹子網中包含的實體設備及功能如下:
[0007]I)廣義交換路由器GSR完成擁有源RID和目的RID的數據的路由和轉發；
[0008]2)用戶認證中心UAC負責用戶的接入認證和管理；
[0009]3)標識映射伺服器負責維護和管理網絡中的映射關係。
[0010]接入交換路由器ASR是連接虛擬接入子網與虛擬骨幹子網的實體。
[0011]當用戶接入網絡後，ASR負責給接入用戶分配一個全球唯一的接入標識AID。當用戶的數據到達ASR後，ASR會將數據包的源AID及目的AID映射成為相應的RID，實現標識分離映射機制。而當數據到達通信對端的ASR時，將根據映射關係將RID解映射為原始的AID，從而完成整個通信過程。各個ASR存儲本域內的映射關係，而IDMS則存有全局的映射關係。在虛擬接入子網，數據包的源和目的均採用分配的AID，而在虛擬骨幹子網均採用路由標識RID。若出現非法的AID或RID，路由器將自動丟棄這些數據，從而保護了虛擬骨幹子網中設備的安全性。因此一體化標識網絡是從網絡架構設計原理上增加了對網絡安全性的考慮，並且通過分離映射這一核心機制增強了網絡的安全性。
[0012]將一體化標識網絡中特有的分離映射機制與PON網絡相結合，將大大提升PON網絡的安全性，保障用戶及業務的安全。

【發明內容】

[0013]本發明克服了現有技術中由於PON網絡在業務方面存在一定的安全威脅，並且現有的安全機制並不能有效的保護業務的安全性的不足，提供一種基於分離映射機制的無源光網絡業務保護方法。
[0014]本發明採用以下技術方案:
[0015]一種基於分離映射機制的無源光網絡業務保護方法，包括:
[0016]步驟一，合法的網絡埠通過網絡側的接入交換路由器接入一體化標識網絡的虛擬骨幹子網，由網絡側的接入交換路由器為接入的合法的網絡埠分配與其接入地址存在映射關係的第一路由標識；
[0017]步驟二，將合法的用戶終端通過光網絡終端接入光分配網絡，光分配網絡通過用戶側的接入交換路由器接入一體化標識網絡的虛擬骨幹子網，並由用戶側的接入交換路由器分配給接入的合法的用戶終端接入標識，用戶側的接入交換路由器存儲與接入標識存在映射關係的第二路由標識無源光網絡無源光網絡；
[0018]步驟三，將無源光網絡中關鍵設備及提供業務的伺服器接入一體化標識網絡的虛擬骨幹子網中，無源光網絡中關鍵設備及提供業務的伺服器都會獲得各自唯一的第三路由標識；
[0019]步驟四，網絡側的接入路由器判斷從合法的網絡埠進入的外來數據包中的接入地址是否是網絡側的接入交換路由器分配給接入的合法的網絡埠的映射關係中第一路由標識對應的接入地址；
[0020]步驟五，網絡側的接入路由器根據步驟四中的判斷結果進行與一體化標識網絡的虛擬骨幹子網中的無源光網絡中關鍵設備及提供業務的伺服器進行通信；
[0021]步驟六，用戶側的接入路由器判斷從合法的用戶終端進入的外來數據包中的接入標識是否是用戶側的接入交換路由器分配給接入的合法的用戶終端接入標識；
[0022]步驟七，用戶側的接入路由器根據步驟六中的判斷結果進行與一體化標識網絡的虛擬骨幹子網中的無源光網絡中關鍵設備及提供業務的伺服器進行通信。
[0023]更進一步的技術方案是，所述步驟四中的從合法的網絡埠進入的外來數據包中的接入地址是網絡側的接入交換路由器分配給接入的合法的網絡埠的映射關係中第一路由標識對應的接入地址，則所述網絡側的接入交換路由器進行與一體化標識網絡的虛擬骨幹子網中的無源光網絡中關鍵設備及提供業務的伺服器進行通信；所述步驟四中的從合法的網絡埠進入的外來數據包中的接入地址不是網絡側的接入交換路由器分配給接入的合法的網絡埠的映射關係中第一路由標識對應的接入地址，則所述網絡側的接入交換路由器不進行與一體化標識網絡的虛擬骨幹子網中的無源光網絡中關鍵設備及提供業務的伺服器進行通信。
[0024]更進一步的技術方案是，所述步驟六中的從合法的用戶終端進入的外來數據包中的接入標識是用戶側的接入交換路由器分配給接入的合法的用戶終端接入標識，則所述用戶側的接入交換路由器使用與接入標識存在映射關係的第二路由標識與一體化標識網絡的虛擬骨幹子網中的無源光網絡中關鍵設備及提供業務的伺服器進行通信；所述步驟六中的從合法的用戶終端進入的外來數據包中的接入標識不是用戶側的接入交換路由器分配給接入的合法的用戶終端接入標識，則所述用戶側的接入交換路由器不進行與一體化標識網絡的虛擬骨幹子網中的無源光網絡中關鍵設備及提供業務的伺服器進行通信。
[0025]更進一步的技術方案是，所述無源光網絡中關鍵設備及提供業務的伺服器包括網管伺服器、用戶認證中心、視頻伺服器或計費伺服器。
[0026]更進一步的技術方案是，所述網絡側的接入交換路由器存有合法的網絡埠接入地址與第一路由標識的映射關係。
[0027]更進一步的技術方案是，所述用戶側的接入交換路由器存有合法的用戶終端接入標識與第二路由標識的映射關係。
[0028]更進一步的技術方案是，所述合法的用戶終端包括用戶使用的筆記本、桌上型電腦、手機和平板電腦中的一種或多種。
[0029]更進一步的技術方案是，所述合法的網絡埠包括有線電視網、傳統電話網和網際網路中的一種或多種。
[0030]與現有技術相比，本發明的有益效果是:
[0031]本發明將一體化標識網絡所特有的分離映射機制運用在無源光網絡中，使用分離映射機制來隔離虛擬骨幹子網與虛擬接入子網，從而保護虛擬骨幹子網內的設備。
【專利附圖】

【附圖說明】
[0032]圖1為本發明一種實施例的無源光網絡業務保護方法結構示意圖。
[0033]如圖1所示，其中對應附圖標記名稱為:
[0034]I有線電視網，2傳統電視網，3網際網路，4網絡側的接入交換路由器，6網管伺服器，7用戶認證中心，8視頻伺服器，9計費伺服器，10 一體化標識網絡的虛擬骨幹子網，12用戶側的接入交換路由器，13光線路終端，14無源光網絡，15光網絡終端，16合法的用戶終端。
【具體實施方式】
[0035]下面結合附圖對本發明作進一步闡述。
[0036]如圖1所示的一種基於分離映射機制的無源光網絡業務保護方法，包括:
[0037]步驟一，合法的網絡埠通過網絡側的接入交換路由器4接入一體化標識網絡的虛擬骨幹子網10，由網絡側的接入交換路由器4為接入的合法的網絡埠分配與其接入地址存在映射關係的第一路由標識；
[0038]步驟二，將合法的用戶終端16通過光網絡終端15接入光分配網絡14，光分配網絡14通過用戶側的接入交換路由器12接入一體化標識網絡的虛擬骨幹子網10，並由用戶側的接入交換路由器12分配給接入的合法的用戶終端16接入標識，用戶側的接入交換路由器存儲與接入標識存在映射關係的第二路由標識；
[0039]步驟三，將無源光網絡中關鍵設備及提供業務的伺服器接入一體化標識網絡的虛擬骨幹子網10中，無源光網絡中關鍵設備及提供業務的伺服器都會獲得各自唯一的第三路由標識；[0040]步驟四，網絡側的接入路由器4判斷從合法的網絡埠進入的外來數據包中的接入地址是否是網絡側的接入交換路由器4分配給接入的合法的網絡埠的映射關係中第一路由標識對應的接入地址；
[0041]步驟五，網絡側的接入路由器4根據步驟四中的判斷結果進行與一體化標識網絡的虛擬骨幹子網10中的無源光網絡中關鍵設備及提供業務的伺服器進行通信；
[0042]步驟六，用戶側的接入路由器12判斷從合法的用戶終端16進入的外來數據包中的接入標識是否是用戶側的接入交換路由器12分配給接入的合法的用戶終端接入標識；
[0043]步驟七，用戶側的接入路由器12根據步驟六中的判斷結果進行與一體化標識網絡的虛擬骨幹子網中10的無源光網絡中關鍵設備及提供業務的伺服器進行通信。
[0044]根據本發明的一個實施例，所述步驟四中的從合法的網絡埠進入的外來數據包中的接入地址是網絡側的接入交換路由器4分配給接入的合法的網絡埠的映射關係中第一路由標識對應的接入地址，則所述網絡側的接入交換路由器4進行與一體化標識網絡的虛擬骨幹子網10中的無源光網絡中關鍵設備及提供業務的伺服器進行通信；所述步驟四中的從合法的網絡埠進入的外來數據包中的接入地址不是網絡側的接入交換路由器分4配給接入的合法的網絡埠的映射關係中第一路由標識對應的接入地址，則所述網絡側的接入交換路由器4不進行與一體化標識網絡的虛擬骨幹子網10中的無源光網絡中關鍵設備及提供業務的伺服器進行通信。
[0045]根據本發明的一個實施例，所述步驟六中的從合法的用戶終端16進入的外來數據包中的接入標識是用戶側的接入交換路由器12分配給接入的合法的用戶終端接入標識，則所述用戶側的接入交換路由器12使用與接入標識存在映射關係的第二路由標識與一體化標識網絡的虛擬骨幹子網10中的無源光網絡中關鍵設備及提供業務的伺服器進行通信；所述步驟六中的從合法的用戶終端16進入的外來數據包中的接入標識不是用戶側的接入交換路由器12分配給接入的合法的用戶終端接入標識，則所述用戶側的接入交換路由器12不進行與一體化標識網絡的虛擬骨幹子網10中的無源光網絡中關鍵設備及提供業務的伺服器進行通信。
[0046]根據本發明的一個實施例，所述無源光網絡中關鍵設備及提供業務的伺服器包括網管伺服器6、用戶認證中心7、視頻伺服器8、計費伺服器9。
[0047]根據本發明的一個實施例，所述網絡側的接入交換路由器4存有接入地址與第一路由標識的映射關係。
[0048]根據本發明的一個實施例，所述用戶側的接入交換路由器12存有合法用戶的接入標識與第二路由標識的映射關係。
[0049]根據本發明的一個實施例，所述合法的用戶終端16與光網絡終端15通過交換機或無線連接。
[0050]根據本發明的一個實施例，所述合法的用戶終端16包括用戶使用的筆記本、桌上型電腦、手機和平板電腦中的一種或多種。
[0051]根據本發明的一個實施例，所述合法的網絡埠包括有線電視網1、傳統電話網2和網際網路3中的一種或多種。
[0052]一體化標識網絡的虛擬骨幹子網10不能存在接入地址或接入標識，若有來至網絡埠以外的非法數據包，由於其接入地址在網絡側的接入交換路由器4為網絡埠分配的映射關係中並不存在，則該數據包到達網絡側的接入交換路由器4時，將會被網絡側的接入交換路由器4丟棄，無法進入一體化標識網絡的虛擬骨幹子網10。若有來自用戶終端16以外的非法數據包，由於其接入標識在用戶側接入交換路由器12為用戶終端16分配的映射關係中並不存在，則該數據包到達用戶側的接入交換路由器12時，將會被用戶側的接入交換路由器12丟棄，無法進入一體化標識網絡的虛擬骨幹子網10。因此當非法的接入地址或接入標識想要攻擊一體化標識網絡的虛擬骨幹子網10的無源光網絡中關鍵設備及提供業務的伺服器，由於找不到相應的映射關係，而首先被網絡側的接入交換路由器4或用戶側的接入交換路由器12丟棄。從而保障一體化標識網絡的虛擬骨幹子網10內核心設備的安全。
[0053]在本發明中，無論是網絡側的接入交換路由器4或者是用戶側的接入交換路由器12都具備標識分離映射功能。對於外網非法用戶對於一體化標識網絡的虛擬骨幹子網10內關鍵設備的攻擊，由網絡側的接入交換路由器4阻止及隔離。對於內網非法用戶，由用戶側的接入交換路由器12阻止及隔離。
[0054]在本說明書中所談到的「一個實施例」、「另一個實施例」、「實施例」、等，指的是結合該實施例描述的具體特徵、結構或者特點包括在本申請概括性描述的至少一個實施例中。在說明書中多個地方出現同種表述不是一定指的是同一個實施例。進一步來說，結合任一實施例描述一個具體特徵、結構或者特點時，所要主張的是結合其他實施例來實現這種特徵、結構或者特點也落在本發明的範圍內。
[0055]儘管這裡參照本發明的多個解釋性實施例對發明進行了描述，但是，應該理解，本領域技術人員可以設計出很多其他的修改和實施方式，這些修改和實施方式將落在本申請公開的原則範圍和精神之內。更具體地說，在本申請公開、附圖和權利要求的範圍內，可以對主題組合布局的組成部件和/或布局進行多種變型和改進。除了對組成部件和/或布局進行的變型和改進外，對於本領域技術人員來說，其他的用途也將是明顯的。
【權利要求】
1.一種基於分離映射機制的無源光網絡業務保護方法，包括: 步驟一，合法的網絡埠通過網絡側的接入交換路由器接入一體化標識網絡的虛擬骨幹子網，由網絡側的接入交換路由器為接入的合法的網絡埠分配與其接入地址存在映射關係的第一路由標識； 步驟二，將合法的用戶終端通過光網絡終端接入光分配網絡，光分配網絡通過用戶側的接入交換路由器接入一體化標識網絡的虛擬骨幹子網，並由用戶側的接入交換路由器分配給接入的合法的用戶終端接入標識，用戶側的接入交換路由器存儲與接入標識存在映射關係的第二路由標識； 步驟三，將無源光網絡中關鍵設備及提供業務的伺服器接入一體化標識網絡的虛擬骨幹子網中，無源光網絡中關鍵設備及提供業務的伺服器都會獲得各自唯一的第三路由標識； 步驟四，網絡側的接入路由器判斷從合法的網絡埠進入的外來數據包中的接入地址是否是網絡側的接入交換路由器分配給接入的合法的網絡埠的映射關係中第一路由標識對應的接入地址； 步驟五，網絡側的接入路由器根據步驟四中的判斷結果進行與一體化標識網絡的虛擬骨幹子網中的無源光網絡中關鍵設備及提供業務的伺服器進行通信； 步驟六，用戶側的接入路由器判斷從合法的用戶終端進入的外來數據包中的接入標識是否是用戶側的接入交換路由器分配給接入的合法的用戶終端接入標識； 步驟七，用戶側的接入路由器根據步驟六中的判斷結果進行與一體化標識網絡的虛擬骨幹子網中的無源光網絡中關鍵設備及提供業務的伺服器進行通信。
2.根據權利要求1所述的基於分離映射機制的無源光網絡業務保護方法，其特徵在於:所述步驟四中的從合法的網絡埠進入的外來數據包中的接入地址是網絡側的接入交換路由器分配給接入的合法的網絡埠的映射關係中第一路由標識對應的接入地址，則所述網絡側的接入交換路由器進行與一體化標識網絡的虛擬骨幹子網中的無源光網絡中關鍵設備及提供業務的伺服器進行通信；所述步驟四中的從合法的網絡埠進入的外來數據包中的接入地址不是網絡側的接入交換路由器分配給接入的合法的網絡埠的映射關係中第一路由標識對應的接入地址，則所述網絡側的接入交換路由器不進行與一體化標識網絡的虛擬骨幹子網中的無源光網絡中關鍵設備及提供業務的伺服器進行通信。
3.根據權利要求1所述的基於分離映射機制的無源光網絡業務保護方法，其特徵在於:所述步驟六中的從合法的用戶終端進入的外來數據包中的接入標識是用戶側的接入交換路由器分配給接入的合法的用戶終端接入標識，則所述用戶側的接入交換路由器使用與接入標識存在映射關係的第二路由標識與一體化標識網絡的虛擬骨幹子網中的無源光網絡中關鍵設備及提供業務的伺服器進行通信；所述步驟六中的從合法的用戶終端進入的外來數據包中的接入標識不是用戶側的接入交換路由器分配給接入的合法的用戶終端接入標識，則所述用戶側的接入交換路由器不進行與一體化標識網絡的虛擬骨幹子網中的無源光網絡中關鍵設備及提供業務的伺服器進行通信。
4.根據權利要求1-3中任一所述的基於分離映射機制的無源光網絡業務保護方法，其特徵在於:所述無源光網絡中關鍵設備及提供業務的伺服器包括網管伺服器、用戶認證中心、視頻伺服器或計費伺服器。
5.根據權利要求1所述的基於分離映射機制的無源光網絡業務保護方法，其特徵在於:所述網絡側的接入交換路由器存有合法網絡埠接入地址與第一路由標識的映射關係
6.根據權利要求1所述的基於分離映射機制的無源光網絡業務保護方法，其特徵在於:所述用戶側的接入交換路由器存有合法的用戶終端接入標識與第二路由標識的映射關係O
7.根據權利要求1所述的基於分離映射機制的無源光網絡業務保護方法，其特徵在於:所述合法的用戶終端與光網絡終端通過交換機或無線連接。
8.根據權利要求1或7所述的基於分離映射機制的無源光網絡業務保護方法，其特徵在於:所述合法的用戶終端包括用戶使用的筆記本、桌上型電腦、手機和平板電腦中的一種或多種。
9.根據權利要求1所述的基於分離映射機制的無源光網絡業務保護方法，其特徵在於:所述合法的網絡埠包括有線電視網、傳統電話網和網際網路中的一種或多種。
【文檔編號】H04L29/06GK103618751SQ201310684571
【公開日】2014年3月5日 申請日期:2013年12月12日 優先權日:2013年12月12日
【發明者】鄢歡, 袁曉君, 張宏科, 宋飛, 高陽陽, 權偉, 楊永祺 申請人:綿陽芯聯芯網絡科技有限公司