[发明专利]一种以太网无源光网络(EPON)接入系统的认证方案

说明书

所属领域

本发明涉及一种接入网中用户接入的认证方法实现，属于宽带接入领域，具体的说，涉及以太网无源光网络接入网系统中，在局端和客户端设备上实现用户接入认证的方案。

背景技术

随着Internet的普及和宽带应用的发展，用户对网络带宽的需求越来越大，传统接入技术已经不能很好的解决带宽瓶颈问题，于是就涌现出了多种宽带接入技术方案。无源光网络(PON)作为一种优越的光纤接入方式，因其存在巨大的带宽潜力而受到了各大运营商的青睐。EPON(Ethernet based passive optical network)是基于千兆以太网的无源光网络技术，继承了以太网的低成本和易用性，以及光网络的高带宽，是实现FTTH众多技术中“性价比”最高的一种。

IEEE802.1x标准提供了一种独立于网络服务类型的基于网络端口访问介入控制的标准，用于基于以太网的局域网、城域网和各种宽带接入手段的用户和用户设备的接入认证。

随着EPON技术的不断成熟，众多厂商的大力投入，EPON接入网系统逐渐转入商用，面对大量用户的接入，需要提供更完善的管理和计费，如何利用IEEE 802.1x标准及局域网的优势实现EPON光网络接入用户的认证和授权，达到接受合法用户接入，保护网络安全的目的，成为EPON接入网系统需要解决的首要问题。另一方面，在实际应用中，802.1x虽然能够克服一系列局域网接入中的安全漏洞，但也存在一些安全隐患。

发明内容

本发明提供一种以太网无源光网络(EPON)接入系统的认证方案及实现方法，结合IEEE802.1x协议基于以太网端口访问控制的特点，对EPON系统各部分进行研究，提出了一种基于802.1x协议的EPON系统认证方案，既减少了认证服务器并发连接数，增加了服务器同时管理的用户数量，又实现了对传统认证架构的兼容，保证了扩展性，最终达到网络的可运营、可管理、可增值的目的。

本发明提出的以太网无源光网络(EPON)接入系统的认证方案，实现方式如下：

该方案按照EPON接入网的组网特点，采用802.1x集中式组网方式，基于MAC地址的端口访问控制模式，主要包括两大部分组成：申请者系统、认证者系统两大部分组成，分别完成认证发起及认证过程(如图1)。

申请者通过该申请者系统——硬件系统的驱动程序可以实现认证过程。用户从服务提供商处申请开通业务时，服务提供商将在给该用户使用的ONU上写入该用户的身份识别信息。只要该ONU处于工作状态，该用户申请的业务即被授权。

认证者系统主要实现802.1x/radius接口功能，对OLT芯片进行操作，实现端口的控制及加密的控制，分两部分：OLT芯片固件和CPU主程序，主要包括用户管理模块、PAE模块、后台任务模块和RADIUS客户端模块。用户管理模块主要用于认证消息的分发和维护在线用户的数据结构。PAE模块和后台任务模块实现认证者状态机的主体部分。RADIUS客户端模块负责收集认证者实体需要与认证服务器交互的消息，转换为RADIUS协议帧后与认证服务器通信。

申请者系统和认证者系统之间运行802.1x定义的EAPOL协议。结合EPON下行共享介质的特点，在EPON系统中采用PEAP协议通信，PEAP使用传输级别安全性(TLS)在正在验证的PEAP申请者和PEAP认证者之间创建加密通道。选择的加密算法为PEAP-MD5，该算法适合于PON网络，因为下行安全并且信道是加密的。另一方面，MD5简单，能够在具有小内存空间的ONU的CPU上执行，并降低系统成本。

本发明利用802.1x协议基于MAC地址的端口访问控制模式，实现了以太网无源光网络(EPON)的接入认证，实现了ONU的安全合法接入，克服一系列局域网接入中的安全漏洞，实现了对传统认证架构的兼容，保证了扩展性，最终达到网络的可运营、可管理、可增值的目的。

附图说明

利用对参考了附图的优选实施例的详细叙述，将会使本发明的上述目的及优点更加清楚明了，其中：

图1所示为以太网无源光网络接入认证的系统框图；

图2所示为认证者系统的功能模块；

图3所示为以太网无源光网络接入认证流程；

具体实施方案