專利名稱:一種預防拒絕服務攻擊的用戶認證方法及系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及通信安全領域�,尤其涉及一種預防拒絕服務(Denial of Service, DOS)攻擊的用戶接入認證方法及系統(tǒng)���。
背景技術:
隨著社會的進步���,對網絡的需求量將越來越大,越來越離不開網絡����,所 需要的帶寬將越來越高�。當前在城域網上帶寬容量非常充裕�,通常其帶寬瓶 頸出現在接入網部分,即通常所說的最后一公里瓶頸����。
由于光纖傳輸具有容量大,耗損小��,防電磁干擾能力強��,設備占用面積 少�����,易于鋪設����,并且,隨著技術的進步����,需求的增加�,光傳輸成本不斷下降, 以后接入網的光纖化是必然的趨勢�,必然會實現光纖到家��,無源光網絡技術 是當前最具看好的��,最具有潛力����,最具有可行性的一種技術���。而采用無源光 網絡�,通常一個光線路終端(OLT)通過光分配網(ODN��, Optical Distribution Network)連接多個光網絡終端/光網絡單元(ONT/ONU)���, 一般有1: 32��, 1: 64或者1: 128等�����,通常采用樹型結構��,采用點到多點的通信方式���,即OLT 和ONT/ONU之間進行通信����。寬帶接入市場現階段的基本特點可概括為一 是隨著網絡電視(IPTV)等寬帶應用的起步���,數字用戶線(DSL)的提速改 造和接入網管控及服務質量(QoS)性能提升成為了現階段運營商的工作重 心��;二是光進銅退的趨勢加速���,針對商業(yè)用戶的點對點光纖到商業(yè)用戶 (FTTB)應用己日益普及,無源光網絡(PON)也開始在光纖到路邊 (FTTB/FTTC)��、光纖到辦公室(FTTO)�、光纖到戶(FTTH)等不同場合得 到局部應用,發(fā)展?jié)摿薮?�;三是FTTx+xDSL方式仍然是現階段的主要建 設模式���;四是寬帶無線接入WiMAX (寬帶無線城域網)開始得到局部試用��, 在新興地區(qū)有一定的市場潛力��。
對于FTTx+xDSL���、 FTTB/FTTC、 FTTO等方式��, 一個ONU下可能連接 多個用戶�����,按照當前業(yè)務開展方式�, 一個用戶要能夠正常使用網絡,首先需
要通過用戶身份認證��,對于身份認證可以在PON系統(tǒng)的OLT設備上完成或 者在專門認證服務器上進行�。如果同時有很多用戶發(fā)起認證,則很可能OLT 的認證或者認證服務器可能會處理不過來��,當然所有正常用戶同時發(fā)起認證 的可能性幾乎沒有��,并且認證服務器應該有一定的處理能力�����。但是如果是黑 客采用認證包來發(fā)起對認證服務器的拒絕服務(DOS)攻擊����,可能僅僅從某 個ONU下進行攻擊,服務器有可能能夠處理過來�,如果同時從多個ONU上 進行攻擊�,可能DOS攻擊將會起到效果�,將導致認證服務器下所有的正常用 戶沒有辦法得到認證服務器的處理,導致沒有辦法正常使用網絡�����,導致大面 積用戶不能正常得到服務��,不能正常使用網絡�����,引起客戶不滿�����,進行投訴����。 即用戶認證采用全部在OLT或者認證服務器上進行認證,很可能受到DOS 攻擊���。
公開號為"CN1925399"的發(fā)明專利申請中披露了一種分布式的認證的 方法�。在該方法中,在用戶認證通過之前包括禁止來自ONT的非認證消息 的傳輸�����,即允許所有的認證消息協(xié)議包的傳輸���,其缺點是不能有效地防止 DOS攻擊。
發(fā)明內容
為了解決上述的技術問題�,提供了一種預防DOS攻擊的用戶接入認證方 法及系統(tǒng),其目的在于���,有效防止惡意用戶/黑客利用假認證信息包攻擊OLT 或者認證服務器����。
本發(fā)明提供了一種預防拒絕服務攻擊的用戶認證方法���,包括
步驟l�,光線路終端向用戶側設備下發(fā)用戶身份信息���;
步驟2���,用戶側設備對用戶身份進行認證;
步驟3,認證通過�,則向光線路終端或者認證服務器轉發(fā)用戶身份信息, 并執(zhí)行步驟4���,否則丟棄用戶身份信息�����;
步驟4,光線路終端或者認證服務器依據用戶身份信息進行認證�����,并向 用戶側設備返回認證結果���,用戶側設備依據認證結果允許或者禁止用戶使用 網絡。
步驟l中��,用戶側設備將接收的用戶身份信息保存在其掉電后信息丟失 的內存中�����。
步驟2包括用戶側設備將接收的用戶身份信息和保存在該用戶側設備上 的用戶身份信息進行比較�,如果一致,則認證通過����,否則認證失敗�。 保存在用戶側設備上的用戶身份信息包含用戶名。
步驟4中�����,如果認證結果為認證通過���,用戶側設備還向用戶返回認證成 功的信息;如果認證結果為認證失敗����,用戶側設備還向用戶返回認證失敗的 "(曰息。
本發(fā)明提供了一種預防拒絕服務攻擊的用戶認證系統(tǒng)����,包括光線路終端 和/或認證服務器,用戶側設備�,
光線路終端,用于向用戶側設備下發(fā)用戶身份信息����;
用戶側設備,用于對用戶身份進行認證���,認證通過����,則向光線路終端或
者認證服務器轉發(fā)用戶身份信息,否則丟棄用戶身份信息�;還依據光線路終
端或者認證服務器返回的認證結果允許或者禁止用戶使用網絡-,
光線路終端或者認證服務器����,用于依據用戶身份信息進行認證,并向用
戶側設備返回認證結果����。
用戶側設備為光網絡單元,光網絡終端���,或者包含光網絡單元的設備�����。
用戶側設備將接收的用戶身份信息保存在其掉電后信息丟失的內存中�。
光線路終端還用于控制用戶側設備管理數據的訪問權限����。
光線路終端����,還用于當發(fā)送用戶身份信息的速率超過了預設值時��,則丟
棄用戶身份信息��,并且生成告警信息���。
本發(fā)明能夠預先過濾一些非法認證信息���,防止惡意用戶/黑客利用假認證
信息包攻擊OLT或者認證服務器,減輕OLT或者認證服務器處理����,并且采
用了一種安全控制對用戶側設備的訪問機制�����,保證了在用戶側設備上的用戶
身份信息安全��。
圖1是本發(fā)明提供的方法流程圖���。
具體實施例方式
本發(fā)明中����,用戶側設備表示ONU、 ONT���、或者包含ONU的設備(例如���, ONU和DSLAM在同一個設備中)。
本發(fā)明提供的方法是在用戶側設備上接收到用戶身份認證消息后�,對用
戶身份進行第一次簡單認證,認證通過后才將用戶身份認證信息轉發(fā)到OLT
或者認證服務器進行認證��;OLT或者認證服務器認證成功后��,通知用戶認證 成功����,允許用戶使用網絡;如果認證失敗�,則禁止用戶使用網絡。如果在用 戶側設備上認證失敗則直接丟棄用戶身份認證信息包�,不進行轉發(fā),并且禁
止用戶使用網絡��。另外�,還采取一種用戶側設備的安全訪問機制�,通過OLT
設置用戶側設備管理訪問權限�,避免在用戶側設備上的用戶身份信息泄漏。
本發(fā)明提供的方法如圖1所示���,包括
步驟101�����,將用戶身份信息下發(fā)到用戶側設備中保存�,并且保證其信息 的安全��;
步驟102�����,在用戶側設備上對用戶進行身份認證�;
步驟103���,轉發(fā)或者拒絕用戶身份認證消息����;
步驟104���,在OLT或者認證服務器上對用戶進行身份認證�;
步驟105,轉發(fā)認證結果到用戶側設備�;
步驟106,根據認證結果��,允許或者拒絕用戶使用網絡���。
下面對本發(fā)明提供的方法進行詳細描述���。
首先來描述將用戶身份信息下發(fā)到用戶側設備中保存,并且保證其信息 的安全的實現方法�����。在用戶側設備正常運行后�����,通過OLT來控制對用戶側設 備的管理數據的訪問權限�����,即只有授權后才能進行安全訪問���。例如�����,可以授 權某個用戶可以通過上聯口或者用戶口來訪問管理數據���;或者禁止所有的用 戶訪問用戶側設備的管理數據��。這樣可以保證管理數據的安全性��,當然用戶 身份信息也得到了安全保證�����,不會導致用戶身份信息泄漏�����。另外����,在用戶側 設備接收到用戶身份信息后����,僅僅保存在其內存中,不保存在掉電后信息不 丟失的存儲器上(例如閃存�����,或者非易失性隨機存取內存)��,以保證用戶側設 備在掉電后用戶身份信息消失�����,避免通過其他手段從用戶側設備上獲取用戶 身份信息�����,進一步保證了用戶身份信息的安全���。
用戶身份信息可以采用如下的方式下發(fā)到用戶側設備上�,例如���,在以太 無源光網絡(EPON)中���,通過定義其用戶身份信息的分支/葉子(Branch/Leaf), 通過其運行、管理和維護(Operations, Administration and Maintenance, OAM) 通道�;在千兆位無源光網絡(GPON)中,通過定義其用戶身份信息的受管
實體(Managed Entity, ME)���,通過其OMCI (ONU Management and Control Interface, ONU管理和控制接口 )管理通道下發(fā)�。也可以采用其它方式下發(fā)�����, 如GPON中通過物理層操作維護管理(Physical Layer OAM��, PLOAM)通道
下發(fā)等等�����,在此并不進行窮舉����。
在用戶身份信息還沒有下發(fā)到用戶側設備時,禁止所有的用戶訪問用戶 側設備�,丟棄用戶側所有接收到的包,不進行任何處理�����,包括用戶認證信息 包,即禁止用戶的一切網絡訪問權限�。當接收到OLT下發(fā)的用戶身份信息后��, 當還沒有認證通過時����,禁止用戶的網絡訪問權限,僅僅處理用戶認證信息包�。 當接收到用戶認證信息包時,提取用戶身份信息����,和保存在用戶側設備上的 信息進行比較,如果一致��,則認為不是攻擊認證服務器的認證信息���,轉發(fā)該 信息到OLT或者認證服務器�,否則直接丟棄該包���,同時也可以返回一個認證 失敗的消息給用戶���。其中����,保存在用戶側設備上的用戶身份信息可以只包含 用戶名�����,也可以根據需要包含其它任意信息���。還可以對某個端口發(fā)送認證信 息包的速率進行控制�,例如���,可以每秒最多發(fā)送多少個認證信息包(具體數 值可以由用戶設置)���,如果超過了該速率則直接丟棄認證信息包,并且OLT 上告一個告警信息通知網管�。
在OLT或者認證服務器上,接收到認證信息包后�,經過處理后,將認證 結果返回給用戶側設備�����。如果認證通過�,則認為該用戶是合法的用戶�����,返回 認證成功的信息給用戶�,并且打開用戶訪問網絡權限����;如果認證失敗�,則認 為該用戶是非法的用戶,返回認證失敗的信息給用戶�����,并仍然繼續(xù)禁止用戶 訪問網絡的權限�����。
本發(fā)明提供的方法能夠防止一些惡意���、非法的用戶采用用戶認證信息包 來對OLT或者認證服務器的攻擊���,將用戶認證的第一步分散到各個用戶側設 備上,先進行一次認證���,進行過濾處理����,分散了風險,分散了處理��。即使存 在惡意����、非法的用戶攻擊,也只能攻擊某個用戶側設備�,攻擊將會無效,即 使攻擊有效�����,只能用戶側設備下的部分用戶受影響�����,不會造成大面積用戶受 到影響��,以致造成惡劣的影響���。
本發(fā)明提供了一種預防拒絕服務攻擊的用戶認證系統(tǒng)���,包括光線路終端 和/或認證服務器����,用戶側設備�,
光線路終端,用于向用戶側設備下發(fā)用戶身份信息��;用戶側設備���,用于對用戶身份進行認證,認證通過�����,則向光線路終端或 者認證服務器轉發(fā)用戶身份信息�����,否則丟棄用戶身份信息包�;還依據光線路 終端或者認證服務器返回的認證結果允許或者禁止用戶使用網絡
光線路終端或者認證服務器,用于依據用戶身份信息進行認證�,并向用 戶側設備返回認證結果。
用戶側設備為光網絡單元��,光網絡終端,或者包含光網絡單元的設備�。 用戶側設備將接收的用戶身份信息保存在其掉電后信息丟失的內存中。 光線路終端還用于控制用戶側設備管理數據的訪問權限�。 光線路終端,還用于當發(fā)送用戶身份信息的速率超過了預設值時�����,則丟 棄用戶身份信息����,并且生成告警信息。
本領域的技術人員在不脫離權利要求書確定的本發(fā)明的精神和范圍的條 件下����,還可以對以上內容進行各種各樣的修改。因此本發(fā)明的范圍并不僅限 于以上的說明��,而是由權利要求書的范圍來確定的��。
權利要求
1.一種預防拒絕服務攻擊的用戶認證方法���,其特征在于���,包括步驟1�,光線路終端向用戶側設備下發(fā)用戶身份信息���;步驟2����,用戶側設備對用戶身份進行認證�����;步驟3���,認證通過,則向光線路終端或者認證服務器轉發(fā)用戶身份信息���,并執(zhí)行步驟4�,否則丟棄用戶身份信息�����;步驟4�����,光線路終端或者認證服務器依據用戶身份信息進行認證,并向用戶側設備返回認證結果���,用戶側設備依據認證結果允許或者禁止用戶使用網絡�。
2. 如權利要求1所述的預防拒絕服務攻擊的用戶認證方法�,其特征在于, 步驟l中���,用戶側設備將接收的用戶身份信息保存在其掉電后信息丟失的內 存中��。
3. 如權利要求1所述的預防拒絕服務攻擊的用戶認證方法�,其特征在于�����, 步驟2包括用戶側設備將接收的用戶身份信息和保存在該用戶側設備上的用戶身份信息進行比較���,如果一致�����,則認證通過��,否則認證失敗��。
4. 如權利要求3所述的預防拒絕服務攻擊的用戶認證方法���,其特征在于�, 保存在用戶側設備上的用戶身份信息至少包含用戶名��。
5. 如權利要求1所述的預防拒絕服務攻擊的用戶認證方法����,其特征在于, 步驟4中��,如果認證結果為認證通過��,用戶側設備還向用戶返回認證成功的 信息�;如果認證結果為認證失敗,用戶側設備還向用戶返回認證失敗的信息�����。
6. 如權利要求1-5任意一項所述的預防拒絕服務攻擊的用戶認證方法�, 其特征在于�����,在用戶側設備正常運行后,光線路終端控制用戶側設備管理數 據的訪問權限��,用戶被授權后才能進行安全訪問�����。
7. 如權利要求1-5任意一項所述的預防拒絕服務攻擊的用戶認證方法�, 其特征在于,步驟1中���,如果發(fā)送用戶身份信息的速率超過了預設值����,貝瞎 棄用戶身份信息��,并且生成告警信息���。
8. —種預防拒絕服務攻擊的用戶認證系統(tǒng)��,包括光線路終端和/或認證 服務器�,用戶側設備��,其特征在于,光線路終端�����,用于向用戶側設備下發(fā)用戶身份信息�;用戶側設備,用于對用戶身份進行認證��,認證通過���,則向光線路終端或 者認證服務器轉發(fā)用戶身份信息�����,否則丟棄用戶身份信息�;還依據光線路終 端或者認證服務器返回的認證結果允許或者禁止用戶使用網絡���;光線路終端或者認證服務器�,用于依據用戶身份信息進行認證��,并向用 戶側設備返回認證結果��。
9. 如權利要求8所述的預防拒絕服務攻擊的用戶認證系統(tǒng)���,其特征在于���,用戶側設備為光網絡單元,光網絡終端�����,或者包含光網絡單元的設備�����。
10. 如權利要求8所述的預防拒絕服務攻擊的用戶認證系統(tǒng)����,其特征在于,用戶側設備將接收的用戶身份信息保存在其掉電后信息丟失的內存中�����。
11. 如權利要求8所述的預防拒絕服務攻擊的用戶認證系統(tǒng)�,其特征在 于,光線路終端還用于控制用戶側設備管理數據的訪問權限�。
12. 如權利要求8所述的預防拒絕服務攻擊的用戶認證系統(tǒng),其特征在 于����,光線路終端�,還用于當發(fā)送用戶身份信息的速率超過了預設值時���,則丟 棄用戶身份信息���,并且生成告警信息。
全文摘要
本發(fā)明涉及一種預防拒絕服務攻擊的用戶認證方法��,包括步驟1���,光線路終端向用戶側設備下發(fā)用戶身份信息���;步驟2,用戶側設備對用戶身份進行認證����;步驟3,認證通過�,則向光線路終端或者認證服務器轉發(fā)用戶身份信息,并執(zhí)行步驟4����,否則丟棄用戶身份信息����;步驟4��,光線路終端或者認證服務器依據用戶身份信息進行認證���,并向用戶側設備返回認證結果,用戶側設備依據認證結果允許或者禁止用戶使用網絡���。本發(fā)明能夠預先過濾一些非法認證信息�����,防止惡意用戶/黑客利用假認證信息包攻擊OLT或者認證服務器���,減輕OLT或者認證服務器處理,并且采用了一種安全控制對用戶側設備的訪問機制���,保證了在用戶側設備上的用戶身份信息安全����。
文檔編號H04L9/32GK101197679SQ20081005566
公開日2008年6月11日 申請日期2008年1月4日 優(yōu)先權日2008年1月4日
發(fā)明者盧金樹 申請人:中興通訊股份有限公司