[发明专利]一种以太网无源光网络(EPON)系统认证方法

说明书

技术领域

本发明涉及一种光接入网系统设备与用户接入的认证方法，特别地涉及一种采用伽罗华域消息认证码(GMAC)的以太网无源光网络(EPON)系统认证方法，属于信息安全技术领域。

背景技术

目前，随着网络技术的不断发展与宽带业务的日益丰富，用户对网络带宽的需求也不断增长。与数字化、高度集成、智能化的核心网络相比，接入网的建设进程相对滞后，接入网已成为全网宽带化及进一步发展的瓶颈。近年来，各种宽带接入技术纷纷涌现。其中，以太网无源光网络(EPON)结合了物理层的PON技术与链路层的以太网协议，在PON的拓扑结构上实现了以太网的接入，具有点到多点的网络拓扑结构和高带宽、低成本、易维护、业务灵活等优点，被认为是目前面向FTTH的最佳宽带接入方式。而今接入网需要建立高度可信的网络服务环境，对于EPON系统来说，可信性必须成为可以衡量和验证的指标。

目前在EPON系统中存在诸多安全威胁。首先，在IEEE 802.3ah EPON的标准中没有定义相关的认证方式。根据EPON的“自动发现过程”，新添加的ONU通过直接发送注册请求帧就可以从网络上分配得到逻辑链路标识符(LLID)，并完成注册过程，建立逻辑链路，从而实现网络的接入。由于OLT广播发送所有的下行信息，所以每个ONU都可以窃听到其它用户的下行数据。其次，EPON系统采用的以太网帧结构具有透明性，非法用户依据该结构伪造控制帧和OAM帧并利用分配好的上行时隙发送，不仅可以利用伪造的控制帧骗取授权信息，而且可以利用OAM帧更改参数。因此通过假冒合法用户，一些受限资源被非法用户获得，对系统安全造成了威胁。此外，在EPON系统的上行方向，ONU共享上行带宽和资源。恶意ONU通过向网络发送大量有效或无效的信息，造成网络拥塞，使得网络资源和OAM信息不可用，从而导致其它ONU分配不到带宽，即构成了拒绝服务DoS攻击或分布式拒绝服务DDoS攻击。因此，作为保证EPON系统安全的重要手段之一，应通过设计安全机制，在EPON系统中提供认证功能，保证源真实性与认证信息的完整性，从而防止部分恶意攻击，为EPON系统创造一个安全运行的环境。

针对在EPON系统中提供认证功能已提出了一些方案，其中，IEEE 802.1x协议被称为基于端口的访问控制协议，其符合IEEE 802协议集的局域网接入控制协议，如何利用它来实现EPON系统的认证和授权，达到保护网络安全的目的，已成为EPON系统需要解决的重要问题。IEEE 802.1x协议采用现有的扩展认证协议(EAP)，该消息包含在IEEE 802.3以太网帧中，被称为EAPoL，在申请者和认证者之间传输。认证者和认证服务器间同样运行EAP协议，EAP帧中封装了认证数据，将该协议承载在其它高层协议中，如Radius，以便穿越复杂的网络到达认证服务器完成认证。在实际应用中，IEEE 802.1x协议较好地解决了传统认证方式所带来的问题，但是该协议本身也存在一些设计缺陷。这源于其是一个不对称的协议，其单向认证的策略会给EPON系统带来一定的安全隐患，另外还要防止认证信息在传输的过程中被非法篡改，保证数据的完整性，故需要结合EPON系统的特点对基于IEEE 802.1x的认证方法进行改进。

目前，消息认证码(MAC)算法越来越被予以重视，其作为密码学中保证数据完整性的一种重要工具，被广泛应用于各种安全系统中。伽罗华域消息认证码GMAC(Galois Message Authentication Code)是一种由基于二元伽罗华域乘法器的散列函数构造的消息认证码，其与EPON系统认证过程相结合，可以有效保证认证信息的完整性。在EPON系统中，密钥是秘密的，仅由参与通信的双方共享，故采用GMAC也可以验证消息来源的真实性，克服单向认证的安全隐患。GMAC具有可证明的安全性，尤其是其内在结构的并行性使GMAC适于硬件高速实现，已证明可达10Gbps以上，且比其它结构更节省硬件资源。同时，GMAC具有增量认证的特性，故而认证效率更高，是一种优秀的消息认证码。

发明内容

本发明提出了一种以太网无源光网络(EPON)系统认证方法，结合伽罗华域消息认证码(GMAC)实现了EPON系统的认证过程，能够同时支持ONU认证和用户认证，并设计了EPON系统GMAC认证的帧结构，以及ONU认证和用户认证的协议流程。本方法能够克服IEEE 802.1x端口访问控制模式下EPON系统认证方式所存在的单向认证缺陷，有效保证了认证的源真实性和数据完整性，具有良好的安全性。