專利名稱:一種在無源光網(wǎng)絡(luò)中實現(xiàn)802.1x認(rèn)證的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及光網(wǎng)絡(luò)技術(shù)���,特別是涉及一種在無源光網(wǎng)絡(luò)(PON)中實現(xiàn) 802.lx i人i正的方法和系統(tǒng)��。
背景技術(shù):
無源光網(wǎng)絡(luò)(PON)技術(shù)是一種點對多點傳送的光接入技術(shù)�����。圖1是 PON系統(tǒng)的示意圖��。參見圖1, PON系統(tǒng)主要包括光線路終端(OLT)�、 光分布網(wǎng)(ODN )和光網(wǎng)絡(luò)單元(ONU )��,其中��,OLT提供網(wǎng)絡(luò)側(cè)接口 SNI�, 連接一個或者多個ODN; ODN是無源分光器件,將OLT下行的數(shù)據(jù)通過 光分路傳輸?shù)礁鱾€ONU,并將ONU的上行數(shù)據(jù)通過匯聚傳輸?shù)絆LT�����。在進行業(yè)務(wù)傳輸時��,在下行方向���,OLT的下行流量通過時分復(fù)用方式 廣播到ONU,各個ONU按需接收需要的流量��;在上行方向��,多個ONU共 享同一條鏈路的帶寬���,ONU的上行流量通過OLT的控制����,同一個時刻只允 許特定的ONU傳輸數(shù)據(jù)����,通過時分多址方式傳輸?shù)絆LT。在PON系統(tǒng)中����,由于用戶設(shè)備可以與ONU相連����,通過ONU與OLT 交互數(shù)據(jù)報文,因此���,未經(jīng)授權(quán)的非法用戶設(shè)備很可能通過ONU接入網(wǎng)絡(luò)���, 對網(wǎng)絡(luò)進行攻擊�,因此��,在PON系統(tǒng)中必須對接入的用戶設(shè)備進行接入認(rèn) 證��。目前����,對用戶設(shè)備進行認(rèn)證的一種較佳的協(xié)議為802.1x。 802.1x是一種 基于端口的認(rèn)證協(xié)議��,其最終目的就是確定一個端口是否可用����。對于與用戶 設(shè)備相連的端口,如果認(rèn)證成功����,那么就"打開"這個端口,允許用戶設(shè)備 的所有報文通過�����;如果認(rèn)證不成功���,就使這個端口保持"關(guān)閉'��,�����,即只允許 用戶設(shè)備的802.1x認(rèn)證協(xié)議報文通過�,其他數(shù)據(jù)報文則不允許通過。 圖2是802.1x體系結(jié)構(gòu)示意圖�����。參見圖2��,在802.1x體系結(jié)構(gòu)中�,主 要包括請求者系統(tǒng)、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器系統(tǒng)三部分����,其中����,請求者系統(tǒng) 是位于局域網(wǎng)鏈路一端的實體,通常是支持802.1x認(rèn)證的用戶設(shè)備����,用戶 設(shè)備通過啟動客戶端軟件發(fā)起802.1x認(rèn)證���;認(rèn)證系統(tǒng)通常為支持802.1x十辦議 的網(wǎng)絡(luò)設(shè)備,它為作為請求者的用戶設(shè)備提供服務(wù)端口���,認(rèn)證系統(tǒng)通常由網(wǎng) 絡(luò)中的接入設(shè)備來實現(xiàn)�����;認(rèn)證服務(wù)器系統(tǒng)為認(rèn)證系統(tǒng)提供認(rèn)證服務(wù)����,實現(xiàn)認(rèn) 證和授權(quán)功能���。在802.1x體系結(jié)構(gòu)中�����,請求者系統(tǒng)和認(rèn)證系統(tǒng)之間運行802.1x定義的 EAPoL協(xié)議�����。當(dāng)認(rèn)證系統(tǒng)工作于中繼方式時�����,認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間 也運行EAP協(xié)議�,EAPoL幀中封裝認(rèn)證數(shù)據(jù),將該協(xié)議承載在其它高層次 協(xié)議中��,以便穿越復(fù)雜的網(wǎng)絡(luò)到達認(rèn)證服務(wù)器����;當(dāng)認(rèn)證系統(tǒng)工作于終結(jié)方式 時,認(rèn)i正系統(tǒng)終結(jié)EAPoL消息��,并轉(zhuǎn)換為其它i人i正協(xié)議����,傳遞用戶^人i正信 息給認(rèn)證服務(wù)器系統(tǒng)。認(rèn)證系統(tǒng)每個端口(可以是物理端口或邏輯端口)內(nèi)部包含有受控端口 和非受控端口�����。非受控端口始終處于雙向連通狀態(tài)�����,主要用來傳遞EAPoL 協(xié)議幀�,可隨時保證接收請求者發(fā)出的EAPoL認(rèn)證報文;受控端口只有在 認(rèn)證通過的狀態(tài)下才打開����,用于傳遞網(wǎng)絡(luò)資源和服務(wù)。由以上描述可以看出�����,802.1x提供了對用戶設(shè)備進行認(rèn)證的解決方案����。 因此,在PON系統(tǒng)中對用戶設(shè)備的認(rèn)證過程可以考慮使用802.1x認(rèn)證流程 實現(xiàn)�����。但是����,目前,卻并不存在任何在PON系統(tǒng)中實現(xiàn)802.1x認(rèn)證的業(yè)務(wù) 流程����,從而無法從根本上保證在PON系統(tǒng)中對用戶設(shè)備的合法性認(rèn)證��,無 法保證PON系統(tǒng)通信的安全性����。另外���,由于PON系統(tǒng)是點到多點的系統(tǒng)����,實現(xiàn)接入設(shè)備功能的實體包 括ONU和OLT兩個設(shè)備�����,ONU和OLT的功能又密不可分����,ONU的帶寬 由OLT來分配,OLT通過OAM通道控制和配置ONU的部分或全部功能�, 因此,如果不考慮ONU和OLT在802.1x認(rèn)證過程的具體業(yè)務(wù)功能����,也無 法保證在PON系統(tǒng)中實現(xiàn)802.lx認(rèn)證
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的第一目的在于提供一種在無源光網(wǎng)絡(luò)中實現(xiàn)802.1x 認(rèn)證的方法�,本發(fā)明的第二目的在于提供一種在無源光網(wǎng)絡(luò)中實現(xiàn)802.1x 認(rèn)證的系統(tǒng)����,以保證在無源光網(wǎng)絡(luò)中實現(xiàn)對用戶設(shè)備的認(rèn)證�����,保證通信的安 全性��;本發(fā)明的第三目的在于提供一種上報鏈路信息的方法�,本發(fā)明的第四目 的在于提供一種ONU��,在無源光網(wǎng)絡(luò)中在實現(xiàn)802.1x認(rèn)證過程中�����,上報用 戶設(shè)備的鏈路信息�����,保證對用戶設(shè)備的定位��。為了達到上述目的�����,本發(fā)明的技術(shù)方案是這樣實現(xiàn)的 一種在無源光網(wǎng)絡(luò)中實現(xiàn)802.1x認(rèn)證的方法,該方法包括A��、 無源光網(wǎng)絡(luò)中的接入設(shè)備接收用戶設(shè)備發(fā)來的認(rèn)證報文�,將該認(rèn)證 報文發(fā)送至認(rèn)證服務(wù)器;B�����、 認(rèn)證服務(wù)器根據(jù)接收到的認(rèn)證報文對用戶設(shè)備進行認(rèn)證���。 在步驟B之后��,進一步包括在認(rèn)證通過后����,認(rèn)證服務(wù)器將認(rèn)證成功消息發(fā)送至無源光網(wǎng)絡(luò)中的接入設(shè)備�����;無源光網(wǎng)絡(luò)中的接入設(shè)備打開與用戶設(shè)備間 的受控端口����。所述無源光網(wǎng)絡(luò)中的接入設(shè)備為光網(wǎng)絡(luò)單元ONU。該方法進一步包括認(rèn)證服務(wù)器將用戶^:備對應(yīng)的業(yè)務(wù)參數(shù)����,直接發(fā)送至 ONU和OLT,或通過控制層的其他設(shè)備發(fā)送至ONU和OLT��, OLT接收到業(yè)務(wù) 參數(shù)后����,為所述ONU分配網(wǎng)絡(luò)資源���,并將所分配的網(wǎng)絡(luò)資源發(fā)送至ONU。該方法進一步包括在用戶開通業(yè)務(wù)時�����,在認(rèn)證服務(wù)器和/或控制層的其他 設(shè)備中登記用戶的標(biāo)識�����,該標(biāo)識中包括用戶設(shè)備所連的ONU的標(biāo)識���、所連ONU 的端口�、 OLT的標(biāo)識�����,在認(rèn)證通過后,認(rèn)證服務(wù)器或/和控制層的其它設(shè)備將根 據(jù)用戶標(biāo)識獲取的ONU的標(biāo)識發(fā)送至OLT;認(rèn)證服務(wù)器或/和控制層的其它設(shè)備根據(jù)所登記的ONU和OLT的標(biāo)識執(zhí)行 所述發(fā)送的過程�; OLT根據(jù)認(rèn)證服務(wù)器或/和控制層的其它設(shè)備發(fā)來的ONU的標(biāo)識執(zhí)行所述 發(fā)送的過程。在步驟A中�,所述將認(rèn)證報文發(fā)送至認(rèn)證服務(wù)器的步驟包括ONU和/或 OLT在認(rèn)證報文中插入鏈路信息,該鏈路信息包括ONU的標(biāo)識和OLT的標(biāo)識����, 然后將該認(rèn)證報文發(fā)送至認(rèn)證服務(wù)器;認(rèn)證服務(wù)器或/和控制層的其它設(shè)備根據(jù)從認(rèn)證報文鏈路信息中獲取的 ONU和OLT的標(biāo)識���,執(zhí)行所述發(fā)送的過程���;OLT根據(jù)從發(fā)送給認(rèn)證服務(wù)器的認(rèn)證報文中獲取的ONU標(biāo)識執(zhí)行所迷發(fā) 送的過程。在步驟B之后��,進一步包括在認(rèn)證通過后���,所述ONU將EAPoL協(xié)議的 認(rèn)證成功消息給用戶設(shè)備�。所述無源光網(wǎng)絡(luò)中的接入設(shè)備包括ONU和OLT;所述步驟A包括用戶設(shè)備將認(rèn)證報文發(fā)送至ONU, ONU將認(rèn)證報文透 傳至OLT����, OLT將認(rèn)證報文發(fā)送至認(rèn)證服務(wù)器;所述將認(rèn)證成功消息發(fā)送至無源光網(wǎng)絡(luò)中的接入設(shè)備的步驟包括認(rèn)證服 務(wù)器將認(rèn)證成功消息發(fā)送至OLT; OLT接收到認(rèn)證成功消息后,將連通命令發(fā) 送至ONU;由ONU執(zhí)行所述的打開與用戶設(shè)備間的受控端口的步驟���。該方法進一步包括認(rèn)證服務(wù)器將用戶設(shè)備對應(yīng)的業(yè)務(wù)參數(shù)��,直接發(fā)送至 OLT或通過控制層的其他設(shè)備發(fā)送至OLT; OLT為所述ONU分配網(wǎng)絡(luò)資源�����, 將所分配的網(wǎng)絡(luò)資源和用戶設(shè)備對應(yīng)的業(yè)務(wù)參數(shù)發(fā)送至ONU�。該方法進一步包括在用戶開通業(yè)務(wù)時��,在認(rèn)i正^^務(wù)器和/或控制層的其他 設(shè)備中登記用戶的標(biāo)識���,該標(biāo)識中包括用戶設(shè)備所連的ONU的標(biāo)識;所述認(rèn)證服務(wù)器將認(rèn)證成功消息發(fā)送至OLT的步驟包括認(rèn)證服務(wù)器或/ 和控制層的其它設(shè)備將所登記的ONU的標(biāo)識攜帶在認(rèn)證成功消息中發(fā)送至 OLT;OLT根據(jù)認(rèn)證成功消息中攜帶的ONU標(biāo)識執(zhí)行所述發(fā)送的過程����。
在步驟A中,在ONU接收到認(rèn)證報文后��,進一步包括ONU將i人證 報文的定位信息和用戶設(shè)備的鏈路信息����,通過OLT和ONU之間的運營管理 維護通道發(fā)送給OLT,其中����,該鏈路信息包含ONU的標(biāo)識和用戶設(shè)備所連 的端口�,定位信息包括會話標(biāo)識�����;OLT根據(jù)接收到的定位信息和用戶設(shè)備的鏈路信息執(zhí)行所述發(fā)送的過程���。在步驟A中����,進一步包括ONU在認(rèn)證報文中插入鏈路信息��,該鏈路 信息包括ONU的標(biāo)識�,然后將該認(rèn)證報文發(fā)送至OLT;OLT根據(jù)從發(fā)送給認(rèn)證服務(wù)器的認(rèn)證報文中獲取的ONU標(biāo)識,執(zhí)行所 述發(fā)送的過程����。所述與認(rèn)證服務(wù)器直接交互報文的接入設(shè)備工作在中繼模式;所述用戶設(shè) 備發(fā)來的認(rèn)證報文為EAPoL協(xié)議的認(rèn)證報文����;在步驟A中,所述將認(rèn)證報文發(fā)送至認(rèn)證服務(wù)器的步驟包括與認(rèn)證服務(wù) 器直接交互報文的無源光網(wǎng)絡(luò)中的接入設(shè)備,將認(rèn)證報文中封裝了認(rèn)證數(shù)據(jù)的 EAP幀承載在其它高層協(xié)議中發(fā)送至認(rèn)證服務(wù)器����;所述將認(rèn)證成功消息發(fā)送至無源光網(wǎng)絡(luò)中的接入設(shè)備的步驟包括認(rèn)證服 務(wù)器將認(rèn)證成功消息封裝在EAP幀中,通過高層協(xié)議發(fā)送至所述與認(rèn)證服務(wù)器 直接交互報文的無源光網(wǎng)絡(luò)中的接入設(shè)備�。所述與認(rèn)證服務(wù)器直接交互報文的接入設(shè)備工作在終結(jié)模式;所述用戶設(shè) 備發(fā)來的認(rèn)證報文為EAPoL協(xié)議的認(rèn)證報文���;在步驟A中�,所述將認(rèn)證報文發(fā)送至認(rèn)證服務(wù)器的步驟包括與認(rèn)證服務(wù) 器直接交互報文的無源光網(wǎng)絡(luò)中的接入設(shè)備���,將EAPoL協(xié)議的認(rèn)證報文轉(zhuǎn)換為 其它協(xié)議的認(rèn)證報文����,然后發(fā)送至認(rèn)證服務(wù)器����;所述將認(rèn)證成功消息發(fā)送至無源光網(wǎng)絡(luò)中的接入設(shè)備的步驟包括認(rèn)證服 務(wù)器采用所述其它協(xié)議將認(rèn)證成功消息發(fā)送至所述與認(rèn)證服務(wù)器直接交互報文 的無源光網(wǎng)絡(luò)中的接入設(shè)備��。在步驟B之后���,進一步包括在認(rèn)證通過后�,OLT將EAPoL協(xié)議的認(rèn)證
成功消息發(fā)送至用戶設(shè)備。一種在無源光網(wǎng)絡(luò)中實現(xiàn)802.1x認(rèn)證的系統(tǒng)����,該系統(tǒng)包括用戶設(shè)備、無源光網(wǎng)絡(luò)中的接入設(shè)備和認(rèn)證服務(wù)器�����,其中�,用戶設(shè)備,用于將認(rèn)證報文發(fā)送至無源光網(wǎng)絡(luò)中的接入設(shè)備�����; 無源光網(wǎng)絡(luò)中的接入設(shè)備�,用于接收用戶設(shè)備發(fā)來的認(rèn)證報文,將該i^證凈艮文發(fā)送至認(rèn)證服務(wù)器��;認(rèn)證服務(wù)器����,根據(jù)接收到的認(rèn)證報文對用戶設(shè)備進行認(rèn)證。 所述認(rèn)證服務(wù)器��,用于在認(rèn)證通過后����,將認(rèn)證成功消息發(fā)送至無源光網(wǎng)絡(luò)中的接入設(shè)備�;所述無源光網(wǎng)絡(luò)中的接入設(shè)備�,用于在接收到認(rèn)證成功消息后,打開與用 戶設(shè)備間的受控端口����。所述無源光網(wǎng)絡(luò)中的接入設(shè)備為ONU,該ONU通過OLT將認(rèn)證報文發(fā)送 至認(rèn)證服務(wù)器���。所述無源光網(wǎng)絡(luò)中的接入設(shè)備包括ONU和OLT;ONU����,用于接收用戶設(shè)備的認(rèn)證報文���,將該認(rèn)證報文透傳至OLT���,在 接收到OLT的連通命令后,打開與用戶設(shè)備間的受控端口����;OLT,用于將接收到的認(rèn)證報文發(fā)送至認(rèn)證服務(wù)器����,在接收到認(rèn)證成功 消息后����,將連通命令發(fā)送至ONU�。所述ONU,進一步用于在接收到用戶設(shè)備的認(rèn)證報文后���,將用戶設(shè)備 的鏈路信息攜帶在認(rèn)證報文中通過OLT發(fā)送至認(rèn)證服務(wù)器�。所述OLT,進一步用于在接收到ONU發(fā)來的認(rèn)證報文后�,將鏈路信息 攜帶在認(rèn)證報文中發(fā)送至認(rèn)證服務(wù)器。所述OLT與所述認(rèn)證服務(wù)器集成在同一個物理設(shè)備內(nèi)���,或位于不同物 理設(shè)備內(nèi)�。一種上報鏈路信息的方法����,該方法包括無源光網(wǎng)絡(luò)中的第 一接入設(shè)備接收到用戶設(shè)備發(fā)來的認(rèn)證報文,將請求 認(rèn)證的用戶設(shè)備的鏈路信息作為認(rèn)證報文中的一個或多個選項option插入
認(rèn)證報文中��,然后將認(rèn)證報文發(fā)送至認(rèn)證服務(wù)器���。所述無源光網(wǎng)絡(luò)中的第一接入設(shè)備包括單獨作為認(rèn)證系統(tǒng)的ONU,且 該ONU工作在終結(jié)模式��;ONU接收到的用戶設(shè)備發(fā)來的認(rèn)證報文為EAPoL協(xié)議的認(rèn)證報文�����;所述將鏈路信息作為認(rèn)證報文中的一個或多個選項option插入認(rèn)i正報 文中的步驟包括ONU將EAPoL協(xié)議的認(rèn)證報文轉(zhuǎn)換成高層協(xié)議報文�����,并 將請求認(rèn)證的用戶設(shè)備的鏈路信息插入轉(zhuǎn)換后的高層協(xié)議認(rèn)證報文的承載 位置信息的Option中�。所述無源光網(wǎng)絡(luò)中的第 一接入設(shè)備包括OLT;在將認(rèn)證報文發(fā)送至認(rèn)證服務(wù)器之前,進一步包括OLT作為高層協(xié) 議的代理或中繼���,監(jiān)聽從PON接口收到的ONU發(fā)來的高層協(xié)議的認(rèn)證報文���, 將鏈路信息作為Option插入高層協(xié)議的認(rèn)證報文中。所述無源光網(wǎng)絡(luò)中的第一接入設(shè)備包括與OLT共同作為認(rèn)證系統(tǒng)的 ONU;ONU接收到的用戶設(shè)備發(fā)來的認(rèn)證報文為EAPoL協(xié)議的認(rèn)證報文�; 所述將鏈路信息作為認(rèn)證報文中的一個或多個選項option插入認(rèn)證報文中的步驟包括ONU把請求認(rèn)證的用戶設(shè)備的鏈路信息作為EAPoL協(xié)議的認(rèn)證報文的 一 個或多個option,插入該EAPoL協(xié)議的認(rèn)證報文中�;所述將認(rèn)證報文發(fā)送至認(rèn)證服務(wù)器的步驟包括ONU將插入鏈路信息的EAPoL協(xié)議的認(rèn)證報文發(fā)送至OLT, OLT將認(rèn)證報文發(fā)送至認(rèn)證服務(wù)器。 所述將認(rèn)證報文發(fā)送至認(rèn)證服務(wù)器的步驟包括ONU將認(rèn)證報文發(fā)送至OLT; OLT從接收到的認(rèn)證報文中獲取用戶設(shè)備的鏈路信息��,然后去掉或保留ONU在EAPoL協(xié)議的認(rèn)證報文中插入的鏈路信息��,并以中繼方式或終結(jié)方式把認(rèn)證報文傳遞給認(rèn)證服務(wù)器��。所述OLT保留ONU在EAPoL協(xié)議的認(rèn)證報文中插入的鏈路信息���; 該方法進一步包括認(rèn)證服務(wù)器從認(rèn)證報文中獲得請求認(rèn)證的用戶設(shè)備的鏈路信息����。
該方法進一步包括認(rèn)證服務(wù)器將認(rèn)證報文中的鏈路信息發(fā)送至控制層 的其他設(shè)備����。一種上報鏈路信息的方法,該方法包括ONU探聽用戶端口收到EAPoL 協(xié)議的認(rèn)證報文后����,把認(rèn)證報文的定位信息和用戶設(shè)備的鏈路信息通過OLT 和ONU之間的OAM通道發(fā)送給OLT。一種ONU,該ONU用于在接收到用戶設(shè)備發(fā)來的認(rèn)證報文后��,將用戶 設(shè)備的鏈路信息插入認(rèn)證報文中�����,然后輸出插入鏈路信息的認(rèn)證報文�����。所述ONU將請求認(rèn)證的用戶設(shè)備的鏈路信息作為EAPoL協(xié)議的認(rèn)-〖正報 文的 一 個或多個Option插入EAPoL協(xié)議的認(rèn)證報文中�����,直接輸出或?qū)⒃摬?入了鏈路信息的EAPoL協(xié)議的認(rèn)證報文承載在高層協(xié)議中后輸出。所述ONU將接收到的EAPoL協(xié)議的認(rèn)證報文承載在高層協(xié)議中��,并將 請求認(rèn)證的用戶設(shè)備的鏈路信息插入承載在高層協(xié)議認(rèn)證報文的一個或多 個承載位置信息的Option中��,并輸出���。所述ONU將EAPoL協(xié)議的認(rèn)證凈艮文轉(zhuǎn)換成高層協(xié)議的認(rèn)證報文��,并將 請求認(rèn)證的用戶設(shè)備的鏈路信息插入轉(zhuǎn)換后的高層協(xié)議認(rèn)證報文的承栽位 置信息的Option中���,并輸出。由此可見�����,本發(fā)明提供了完整的��、在無源光網(wǎng)絡(luò)中實現(xiàn)802.1x認(rèn)證的 業(yè)務(wù)流程����,因此,能夠從根本上保證在PON系統(tǒng)中對用戶設(shè)備的合法性認(rèn) 證,保證PON系統(tǒng)通信的安全性�。另外,本發(fā)明提供了作為接入設(shè)備的ONU和OLT在802.1x認(rèn)證過程 中所分別完成的具體業(yè)務(wù)功能�����。其中��,當(dāng)僅由ONU作為認(rèn)證系統(tǒng)時��,本發(fā) 明實現(xiàn)了在距離用戶設(shè)備最近的地方對用戶設(shè)備進行認(rèn)證�,因此��,能夠提高 認(rèn)證過程的安全性�����,防止非法用戶擠占PON系統(tǒng)的帶寬資源�����;當(dāng)由ONU和 OLT同時作為認(rèn)證系統(tǒng)時�,本發(fā)明實現(xiàn)了由OLT集中進行認(rèn)證處理,而無 需每一個ONU分別進行認(rèn)證處理�,因此,降低了 PON系統(tǒng)的成本,提高了 PON系統(tǒng)的帶寬效率����。在本發(fā)明中,進一步提出了通過802.1x認(rèn)證過程����,將用戶設(shè)備的鏈路
信息包括ONU和OLT的標(biāo)識進行上報,從而使得認(rèn)證服務(wù)器獲得了 ONU 和OLT的位置信息��,OLT獲得了 ONU的位置信息�,保證了各種認(rèn)證信息 能夠準(zhǔn)確下發(fā),并保證OLT能夠下發(fā)為ONU分配的網(wǎng)絡(luò)資源��,從而保iit了 用戶設(shè)備能夠通過PON系統(tǒng)訪問網(wǎng)絡(luò)資源���。
圖1是PON系統(tǒng)的示意圖�。 圖2是802.1x體系結(jié)構(gòu)示意圖���。圖3是在本發(fā)明中在無源光網(wǎng)絡(luò)中實現(xiàn)802.1x認(rèn)證的系統(tǒng)的基本結(jié)構(gòu)示意圖��。圖3A是在本發(fā)明中當(dāng)無源光網(wǎng)絡(luò)中的接入設(shè)備為ONU時的系統(tǒng)結(jié)構(gòu) 示意圖�����。圖3B是在本發(fā)明中當(dāng)無源光網(wǎng)絡(luò)中的接入設(shè)備包括ONU和OLT時的 系統(tǒng)結(jié)構(gòu)示意圖��。圖4是在本發(fā)明中由ONU作為認(rèn)證系統(tǒng)時在無源光網(wǎng)絡(luò)中實現(xiàn)802.1x 認(rèn)證的流程圖��。圖5是在本發(fā)明中由ONU和OLT共同作為認(rèn)證系統(tǒng)時在無源光網(wǎng)絡(luò)中 實現(xiàn)802.lx i^〖正的流程圖���。
具體實施方式
本發(fā)明提出了一種在無源光網(wǎng)絡(luò)中實現(xiàn)802.1x認(rèn)證的方法�,其核心思 想是無源光網(wǎng)絡(luò)中的接入設(shè)備接收用戶設(shè)備發(fā)來的認(rèn)證報文����,將該認(rèn)證報 文發(fā)送至認(rèn)證服務(wù)器����;認(rèn)證服務(wù)器根據(jù)接收到的認(rèn)證報文對用戶設(shè)備進行認(rèn) 證,在認(rèn)證通過后����,將認(rèn)證成功消息發(fā)送至無源光網(wǎng)絡(luò)中的接入設(shè)備;無源 光網(wǎng)絡(luò)中的接入設(shè)備打開與用戶設(shè)備間的受控端口 �����。其中��,完成認(rèn)證系統(tǒng)功能的、所述無源光網(wǎng)絡(luò)中的接入設(shè)備可以為 ONU;或者���,完成認(rèn)證系統(tǒng)功能的�����、所述無源光網(wǎng)絡(luò)中的接入設(shè)備可以包括ONU和OLT�。相應(yīng)的��,本發(fā)明還提出了一種在無源光網(wǎng)絡(luò)中實現(xiàn)802.1x認(rèn)證的系統(tǒng)��。 圖3是在本發(fā)明中在無源光網(wǎng)絡(luò)中實現(xiàn)802.1x認(rèn)證的系統(tǒng)的基本結(jié)構(gòu)示意 圖��。參見圖3����,本發(fā)明系統(tǒng)的基本結(jié)構(gòu)包括用戶設(shè)備、無源光網(wǎng)絡(luò)中的接 入設(shè)備和認(rèn)證服務(wù)器����,其中,用戶設(shè)備�,用于將認(rèn)證報文發(fā)送至無源光網(wǎng)絡(luò)中的接入設(shè)備;無源光網(wǎng)絡(luò)中的接入設(shè)備�,用于接收用戶設(shè)備發(fā)來的認(rèn)證報文��,將該認(rèn) 證報文發(fā)送至認(rèn)證服務(wù)器��,在接收到認(rèn)證成功消息后����,打開與用戶設(shè)備間的 受控端口���;認(rèn)證服務(wù)器根據(jù)接收到的認(rèn)證報文對用戶設(shè)備進行認(rèn)證����,在認(rèn)證 通過后�����,將認(rèn)證成功消息發(fā)送至無源光網(wǎng)絡(luò)中的接入設(shè)備�。圖3A是在本發(fā)明中當(dāng)無源光網(wǎng)絡(luò)中的接入設(shè)備為ONU時的系統(tǒng)結(jié)構(gòu) 示意圖���。參見圖3A���,在本發(fā)明系統(tǒng)中,完成認(rèn)證系統(tǒng)功能的�、所述無源光 網(wǎng)絡(luò)中的接入設(shè)備可以為ONU����。圖3B是在本發(fā)明中當(dāng)無源光網(wǎng)絡(luò)中的接入設(shè)備包括ONU和OLT時的 系統(tǒng)結(jié)構(gòu)示意圖�。參見圖3B,在本發(fā)明系統(tǒng)中���,完成認(rèn)證系統(tǒng)功能的�����、所 述無源光網(wǎng)絡(luò)中的接入設(shè)備可以包括ONU和OLT�,其中��,ONU,用于將接收到的用戶設(shè)備的認(rèn)證報文傳遞給OLT����,在接收到OLT 的連通命令后,打開與用戶設(shè)備間的受控端口����;OLT,用于將接收到的認(rèn)證報文發(fā)送至認(rèn)證服務(wù)器�����,在接收到認(rèn)證成功 消息后,將連通消息發(fā)送至ONU�����。為了進一步保證在認(rèn)證成功后�,用戶能夠通過PON系統(tǒng)訪問網(wǎng)絡(luò)資源, 在本發(fā)明中�����,OLT獲取ONU的標(biāo)識���,根據(jù)所獲取的ONU的標(biāo)識�,將所分 配的網(wǎng)絡(luò)資源����,比如帶寬和優(yōu)先級等,發(fā)送至ONU�。參見圖3A和圖3B,在本發(fā)明中���,PON系統(tǒng)的OLT和認(rèn)證服務(wù)器可以 集成在同一個物理設(shè)備內(nèi)�����,也可以位于不同的物理設(shè)備內(nèi)�。為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚���,下面結(jié)合附圖及具體實 施例對本發(fā)明作進一步地詳細描述�����。
圖4是在本發(fā)明中由ONU作為認(rèn)證系統(tǒng)時在無源光網(wǎng)絡(luò)中實現(xiàn)802.1x認(rèn)證的流程圖����。參見圖3A和圖4����,在本發(fā)明中,由于ONU是PON系統(tǒng)中 的接入設(shè)備����,所以O(shè)NU可以完成802.1x體系架構(gòu)中的認(rèn)證系統(tǒng)功能,此時��, 在PON系統(tǒng)中實現(xiàn)802.lx認(rèn)證的過程包括以下步驟步驟401:用戶設(shè)備將認(rèn)證信息攜帶在EAPoL協(xié)議的認(rèn)證報文中發(fā)送 至ONU���。步驟402: ONU接收到EAPoL協(xié)議的認(rèn)證報文后����,通過OLT將認(rèn)i正報 文發(fā)送至認(rèn)證服務(wù)器。步驟403:認(rèn)證服務(wù)器接收到認(rèn)證報文后��,根據(jù)該認(rèn)證報文中攜帶的認(rèn) 證信息對用戶設(shè)備進行認(rèn)證����。步驟404:認(rèn)證服務(wù)器判斷是否認(rèn)證成功,如果是���,則執(zhí)行步驟405, 否則���,結(jié)束當(dāng)前流程。步驟405:認(rèn)證服務(wù)器通過OLT將認(rèn)證成功消息發(fā)送至ONU���。在本發(fā)明中�����,ONU可以工作在中繼模式或終結(jié)模式����,當(dāng)ONU工作在中繼模式時��,在上述步驟402中���,ONU接收到EAPoL 協(xié)議的認(rèn)證報文后����,把認(rèn)證報文中封裝了認(rèn)證數(shù)據(jù)的EAP幀承載在其它高 層協(xié)議�����,比如Radius協(xié)議中��,然后通過OLT發(fā)送給認(rèn)證服務(wù)器��;在上述步 驟405中���,認(rèn)證服務(wù)器將認(rèn)證成功消息封裝在EAP幀中��,通過高層協(xié)議比 如Radius協(xié)議���,通過OLT發(fā)送至ONU。當(dāng)ONU工作在終結(jié)模式時����,在步驟402中�����,ONU接收到EAPoL協(xié)議 的認(rèn)證才艮文后�����,將該EAPoL協(xié)議的認(rèn)證報文轉(zhuǎn)換為其它協(xié)議比如Radius協(xié) 議的認(rèn)證報文����,然后通過OLT發(fā)送至認(rèn)證服務(wù)器���;在上述步驟405中���,認(rèn) 證服務(wù)器采用該其它協(xié)議如Radius協(xié)議,通過OLT將認(rèn)證成功消息發(fā)送至 ONU����。步驟406: ONU接收到認(rèn)證成功消息后,執(zhí)行打開自身與用戶設(shè)備間的 受控端口及其他相關(guān)業(yè)務(wù)處理��。這里���,ONU打開自身與用戶設(shè)備間的受控端口后�����,則允許用戶設(shè)備通
過PON系統(tǒng)訪問網(wǎng)絡(luò)資源或月良務(wù)�����。另外����,所述其他相關(guān)業(yè)務(wù)處理可以為將該打開的受控端口與用戶設(shè)備標(biāo) 識比如MAC (介質(zhì)訪問控制)地址�����,進行綁定等處理�。步驟407: ONU將EAPoL協(xié)議的認(rèn)證成功消息發(fā)送至用戶設(shè)備。 為了進一步保證在用戶設(shè)備通過認(rèn)證后���,能夠通過PON系統(tǒng)訪問網(wǎng)絡(luò) 資源�,則必須在ONU中為用戶設(shè)備分配相應(yīng)的上行資源����。因此�,在上述圖 4所示流程中�����,在步驟405中�,認(rèn)證服務(wù)器和/或控制層的其他設(shè)備可以進一 步將用戶設(shè)備對應(yīng)的業(yè)務(wù)參數(shù)攜帶在認(rèn)證成功消息中或攜帶在其他消息中 發(fā)送至ONU;并且,在步驟404中認(rèn)證成功以后��,認(rèn)證服務(wù)器可以將用戶 設(shè)備對應(yīng)的業(yè)務(wù)參數(shù)��,直接發(fā)送至OLT或通過控制層的其他設(shè)備發(fā)送至 OLT, OLT接收到業(yè)務(wù)參數(shù)后��,為所述ONU分配相應(yīng)的網(wǎng)絡(luò)資源���,比如帶 寬和業(yè)務(wù)級別等�,并將所分配的網(wǎng)絡(luò)資源發(fā)送至ONU���。此后�,用戶設(shè)備則 可通過ONU上打開的受控端口將數(shù)據(jù)報文發(fā)送至PON網(wǎng)絡(luò)���,完成對相應(yīng)網(wǎng) 絡(luò)資源的訪問�。其中��,由于OLT的一個PON接口由多個ONU共享, 一個ONU又可 能由多個用戶通過物理或邏輯端口共享����,且在實現(xiàn)為ONU分配網(wǎng)絡(luò)資源時, 認(rèn)證服務(wù)器和/或控制層的其它服務(wù)器(如策略服務(wù)器���,資源管理服務(wù)器)需要 將用戶設(shè)備對應(yīng)的業(yè)務(wù)參數(shù)發(fā)送至ONU和OLT,且OLT需要將分配的網(wǎng) 絡(luò)資源發(fā)送至ONU,所以認(rèn)證服務(wù)器和/或控制層的其它服務(wù)器(如策略服務(wù) 器,資源管理服務(wù)器)事先需要獲取ONU和OLT的標(biāo)識���,且OLT事先需要 獲取ONU的標(biāo)識��。在本發(fā)明中���,當(dāng)由ONU作為認(rèn)證系統(tǒng)在無源光網(wǎng)絡(luò)中實現(xiàn)802.1x認(rèn)證 時,使得認(rèn)證服務(wù)器獲取ONU和OLT的標(biāo)識���,且OLT獲取ONU的標(biāo)識的 過程包括以下三種實現(xiàn)方式方式一�、在用戶開通業(yè)務(wù)時���,在認(rèn)證服務(wù)器側(cè)登記用戶的標(biāo)識���,該標(biāo)識 可以包括用戶設(shè)備所連的ONU的標(biāo)識�、所連的端口�、 OLT的標(biāo)識等;在認(rèn) 證成功后��,認(rèn)證服務(wù)器根據(jù)登記的用戶標(biāo)識獲取OLT的位置以及用戶所連
的ONU的標(biāo)識�����,并根椐所獲取的ONU的標(biāo)識��,執(zhí)行上述的將用戶設(shè)備對 應(yīng)的業(yè)務(wù)參數(shù)發(fā)送至ONU的過程�����;并且�,認(rèn)證服務(wù)器可以根據(jù)所獲取的OLT 的標(biāo)識,將ONU的標(biāo)識直接發(fā)送至OLT或通過控制層的其他設(shè)備發(fā)送至 OLT,使得OLT獲取了對應(yīng)的ONU的標(biāo)識����,從而完成上述的將所分配的網(wǎng) 絡(luò)資源發(fā)送至ONU的過程。
在方式一中����,在開通業(yè)務(wù)后,用戶不能移動����,用戶只有連接到業(yè)務(wù)開通 時所登記的ONU才能通過認(rèn)證����。
方式二���、在認(rèn)證過程中����,在用戶設(shè)備�����、ONU和認(rèn)證服務(wù)器交互時�����,由 ONU和/或OLT在用戶設(shè)備發(fā)給認(rèn)證服務(wù)器的認(rèn)證報文中插入鏈路信息�,該 鏈路信息包括ONU的標(biāo)識��,OLT的標(biāo)識或IP地址等��,其中���,可以由ONU 插入全部鏈路信息�;或OLT插入全部鏈路信息;或ONU和OLT各插入一 部分鏈路信息(例如�����,ONU插入的鏈路信息包含ONU標(biāo)識�����、請求認(rèn)證i殳備 所連的端口 ��, OLT插入的鏈路信息包含OLT的標(biāo)識或地址����、收到認(rèn)證報文 的PON接口標(biāo)識),認(rèn)證服務(wù)器根據(jù)接收到的認(rèn)證報文中的鏈路信息可以 獲知OLT和ONU的標(biāo)識����。
在該方式二中,ONU在認(rèn)證報文中插入鏈路信息的具體實現(xiàn)包括
在上述圖4所示過程中��,當(dāng)ONU收到用戶設(shè)備發(fā)來的EAPoL協(xié)議的認(rèn) 證報文后�,將請求認(rèn)證的用戶設(shè)備的鏈路信息(包括所連的端口、 ONU標(biāo) 識)作為該EAPoL協(xié)議的認(rèn)證報文中的一個或多個option (選項)或作為 高層協(xié)議(如Radius協(xié)議)的一個或多個Option,傳遞給認(rèn)證服務(wù)器,
其中���,當(dāng)ONU工作在中繼模式時�,如果ONU把鏈路信息作為EAPoL 協(xié)議的認(rèn)證報文的一個或多個Option時���,ONU先在EAPoL協(xié)議的認(rèn)證凈艮文 中插入請求認(rèn)證的用戶設(shè)備的鏈路信息�����,再將該插入了鏈路信息的EAPoL 協(xié)議的認(rèn)證報文承載在高層協(xié)議中傳遞給認(rèn)證服務(wù)器����;如果ONU把標(biāo)識作 為高層協(xié)議(如Radius)的 一個或多個Option時�����,ONU把收到的EAPoL協(xié)議 的認(rèn)證報文承栽在高層協(xié)議中���,直接將請求認(rèn)證的用戶設(shè)備的鏈路信息插入 高層協(xié)議的一個或多個承載標(biāo)識的Option中;
當(dāng)ONU工作在終結(jié)才莫式時��,ONU把收到的EAPoL協(xié)i義的i人i正才艮文轉(zhuǎn) 換成高層協(xié)議報文(如Radius),并將請求認(rèn)證的用戶設(shè)備的鏈路信息插入高 層協(xié)議的承栽標(biāo)識的Option中���。
在該方式二中�,OLT在認(rèn)證報文中插入鏈路信息的具體實現(xiàn)包括 OLT可以作為高層協(xié)議的代理或中繼(如Radius協(xié)議代理或中繼),監(jiān)聽 PON接口收到的高層協(xié)議報文(如Radius報文)��,把鏈路信息(包含OLT的標(biāo) 識或地址�、PON接口標(biāo)識等)作為Option插入高層協(xié)議才艮文(如Radius協(xié)議 報文)中。
方式三��、認(rèn)證過程���,ONU探聽到用戶端口收到EAPoL協(xié)議的認(rèn)證才艮文 后����,把EAPoL協(xié)議的認(rèn)證報文的定位信息(如會話標(biāo)識或EAPoL協(xié)議的認(rèn) 證報文中的用戶設(shè)備的標(biāo)識�,比如MAC地址)和用戶設(shè)備的鏈路信息(包含 ONU的標(biāo)識、用戶設(shè)備所連的端口)通過OLT和ONU之間的OAM (運營 管理維護)通道(如GPON協(xié)議的OMCI通道)發(fā)送給OLT��。
圖5是在本發(fā)明中由ONU和OLT共同作為認(rèn)證系統(tǒng)時在無源光網(wǎng)絡(luò)中 實現(xiàn)802.1x認(rèn)證的流程圖��。參見圖3B和圖5��,在本發(fā)明中���,由于ONU和 OLT都是PON系統(tǒng)中的接入設(shè)備��,所以O(shè)NU和OLT可以共同完成802.1x 體系架構(gòu)中的認(rèn)證系統(tǒng)功能����,此時,在PON系統(tǒng)中實現(xiàn)802.1x認(rèn)證的過程 包括以下步驟
步驟501:用戶設(shè)備將認(rèn)證信息攜帶在EAPoL協(xié)議的認(rèn)證報文中發(fā)送 至ONU���。
步驟502: ONU將接收到的EAPoL協(xié)議的認(rèn)證報文透傳至OLT���。 步驟503: OLT接收到EAPoL協(xié)議的認(rèn)證報文后,將認(rèn)證報文發(fā)送至 認(rèn)證服務(wù)器��。
步驟504:認(rèn)證服務(wù)器接收到認(rèn)證報文后�,根據(jù)該認(rèn)證報文中攜帶的認(rèn) 證信息對用戶設(shè)備進行認(rèn)證。
步驟505:認(rèn)證服務(wù)器判斷是否認(rèn)證成功�,如果是,則執(zhí)行步驟506, 否則�,結(jié)束當(dāng)前流程。
步驟506:認(rèn)證服務(wù)器將認(rèn)證成功消息發(fā)送至OLT���。
在本發(fā)明中,OLT可以工作在中繼模式或終結(jié)模式��,當(dāng)OLT工作在中繼模式時���,在上述步驟503中�����,OLT接收到EAPoL 協(xié)議的認(rèn)證報文后��,把封裝了認(rèn)證數(shù)據(jù)的EAP幀承栽在其它高層協(xié)議�,比 如Radius協(xié)議中,然后發(fā)送給認(rèn)證服務(wù)器�;在上述步驟506中,認(rèn)證月l務(wù) 器將認(rèn)證成功消息封裝在EAP幀中���,通過高層協(xié)議比如Radius協(xié)議��,發(fā)送 至OLT�����。
當(dāng)OLT工作在終結(jié)模式時�����,在步驟503中�,OLT接收到EAPoL協(xié)議的 認(rèn)證報文后�����,將該EAPoL協(xié)議的認(rèn)證報文轉(zhuǎn)換為其它協(xié)議比如Radius協(xié)議 的認(rèn)證報文,然后發(fā)送至認(rèn)證服務(wù)器�;在上述步驟506中,認(rèn)證服務(wù)器采用 該其它協(xié)議如Radius協(xié)議���,將認(rèn)證成功信息發(fā)送至OLT�����。
步驟507: OLT接收到認(rèn)證成功消息后�,將連通命令發(fā)送至ONU�。
步驟508: ONU接收到連通命令后,執(zhí)行打開自身與用戶設(shè)備間的受控 端口及其他相關(guān)業(yè)務(wù)處理����。
這里,OLT打開自身與用戶設(shè)備間的受控端口后����,則允許用戶設(shè)備通 過PON系統(tǒng)訪問網(wǎng)絡(luò)資源或月良務(wù)。
另外�����,所述其他相關(guān)業(yè)務(wù)處理可以為將該打開的受控端口與用戶設(shè)備進 行綁定等處理���。
步驟509: OLT將EAPoL協(xié)議的認(rèn)證成功消息發(fā)送至ONU�。 步驟510: ONU將EAPoL協(xié)議的認(rèn)證成功消息發(fā)送至用戶設(shè)備����。 為了進一步保證在用戶設(shè)備通過認(rèn)證后,能夠通過PON系統(tǒng)訪問網(wǎng)絡(luò) 資源�����,則必須在ONU中為用戶設(shè)備分配相應(yīng)的上行資源���。因此�����,在上述圖 5所示流程中��,在步驟506中����,認(rèn)證服務(wù)器和/或控制層的其他設(shè)備可以進一 步將用戶設(shè)備對應(yīng)的業(yè)務(wù)參數(shù)攜帶在認(rèn)證成功消息中發(fā)送至OLT; OLT接 收到用戶設(shè)備對應(yīng)的業(yè)務(wù)參數(shù)后����,為所述ONU分配相應(yīng)的PON網(wǎng)絡(luò)資源�, 比如帶寬和業(yè)務(wù)級別等���,然后將所分配的網(wǎng)絡(luò)資源和用戶設(shè)備對應(yīng)的業(yè)務(wù)參 數(shù)發(fā)送至ONU���。此后,用戶設(shè)備則可通過ONU上打開的受控端口將數(shù)據(jù)報
文發(fā)送至PON網(wǎng)絡(luò)����,完成對相應(yīng)網(wǎng)絡(luò)資源的訪問。
其中����,由于OLT的一個PON接口由多個ONU共享, 一個ONU又可 能由多個用戶通過物理或邏輯端口共享��,且在實現(xiàn)為ONU分配網(wǎng)絡(luò)資源時�����, OLT需要將分配的網(wǎng)絡(luò)資源發(fā)送至ONU��,所以O(shè)LT事先需要獲取ONU的 標(biāo)識��,另外,較佳地���,也可以將用戶設(shè)備的鏈路信息發(fā)送給認(rèn)證服務(wù)器,使 得認(rèn)證服務(wù)器也能夠獲取用戶設(shè)備的鏈路信息����。
在本發(fā)明中,當(dāng)由ONU和OLT共同作為認(rèn)證系統(tǒng)在無源光網(wǎng)絡(luò)中實現(xiàn) 802.1x認(rèn)證時��,使得OLT獲取ONU的標(biāo)識的過程包括以下三種實現(xiàn)方式
方式A��、用戶開通業(yè)務(wù)時����,在認(rèn)證服務(wù)器側(cè)登記用戶的標(biāo)識(包括用戶 設(shè)備所連的ONU的標(biāo)識、所連的端口�����、所連的OLT的標(biāo)識等)��。認(rèn)證時����, 認(rèn)證服務(wù)器根據(jù)登記的用戶標(biāo)識可以獲取用戶所連的ONU和OLT的標(biāo)識�����, 認(rèn)證服務(wù)器可以將所獲取的用戶所連的ONU的標(biāo)識發(fā)送至OLT,使得OLT 獲取了 ONU的標(biāo)識���,從而完成將所分配的網(wǎng)絡(luò)資源發(fā)送至ONU的過程。
在方式A中����,在開通業(yè)務(wù)后,用戶不能移動��,用戶只有連接到業(yè)務(wù)開 通時所登記的ONU才能通過認(rèn)證�����。
方式B�、認(rèn)證過程,ONU探聽到用戶端口收到EAPoL協(xié)議的認(rèn)證才艮文 后�,把EAPoL協(xié)議的認(rèn)證報文的定位信息(如會話標(biāo)識或EAPoL協(xié)議的認(rèn) 證報文中的用戶設(shè)備的標(biāo)識,比如MAC地址)和用戶設(shè)備的鏈路信息(包含 ONU的標(biāo)識�、用戶設(shè)備所連的端口)通過OLT和ONU之間的OAM (運營 管理維護)通道(如GPON協(xié)議的OMCI通道)發(fā)送給OLT。
方式C�����、在認(rèn)證過程中,在用戶設(shè)備�、ONU和OLT、認(rèn)證服務(wù)器的交 互時����,ONU或OLT可以在用戶設(shè)備發(fā)給認(rèn)證服務(wù)器的認(rèn)證報文中插入鏈路 信息(包括ONU的標(biāo)識,OLT的標(biāo)識或IP地址等)�,認(rèn)證服務(wù)器從這些報文 中的鏈路信息中可以獲知OLT的位置�。
其中,ONU插入鏈路信息的方法是ONU探聽與用戶設(shè)備相連端口收 到的EAPoL協(xié)議的認(rèn)證報文�,把請求認(rèn)證的用戶設(shè)備的鏈路信息(包括所連 的端口 、ONU標(biāo)識)作為EAPoL協(xié)議的認(rèn)證才艮文的一個或多個option(選項)�����,
插入與用盧設(shè)備相連端口收到的EAPoL協(xié)議的認(rèn)證報文中���,帶有鏈路信息 的EAPoL協(xié)議的認(rèn)證報文到達OLT后�����,OLT可以從EAPoL協(xié)議的認(rèn)證報 文中的承載鏈路信息的Option中得到用戶設(shè)備的鏈路信息��,確定用戶所連 的ONU,從而完成后續(xù)的分配網(wǎng)絡(luò)資源的過程����。根據(jù)需要,OLT可以進一 步把用戶設(shè)備的鏈路信息和認(rèn)證報文的會話標(biāo)識作關(guān)聯(lián)保存在本地��。根據(jù)需 要OLT可以去掉或保留ONU在EAPoL協(xié)議的認(rèn)證報文中插入的鏈路信息�����, 然后以中繼方式或終結(jié)方式把認(rèn)證報文傳遞給認(rèn)證服務(wù)器���。根據(jù)需要OLT 還可以在發(fā)送認(rèn)證服務(wù)器的認(rèn)證報文中插入鏈路信息(如OLT的標(biāo)識����、PON 端口)�。如果認(rèn)證報文中有鏈路信息,認(rèn)證服務(wù)器可以從認(rèn)證報文中獲得請 求認(rèn)證的用戶設(shè)備的鏈路信息�,并傳遞給其它服務(wù)器(如提供策略服務(wù)的服 務(wù)器或資源管理的服務(wù)器)。
在通過認(rèn)證后�����,認(rèn)證服務(wù)器需要將鏈路信息攜帶在認(rèn)證成功消息中發(fā)送 至OLT, OLT收到認(rèn)證服務(wù)器發(fā)送的認(rèn)證成功消息后��,OLT根據(jù)認(rèn)證成功 消息中的用戶鏈路信息獲得用戶設(shè)備的鏈路信息(如用戶所連的ONU的標(biāo) 識,用戶i殳備所連的端口)確定用戶所連的ONU��, 乂人而完成后續(xù)的分配網(wǎng)絡(luò) 資源的過程�����。此種處理過程對應(yīng)方式A,可選地�����,也可以對應(yīng)方式B和方式 C。在上述方式B中�����,認(rèn)證服務(wù)器也可以不將鏈路信息攜帶在認(rèn)證成功消息 中����,這樣,OLT可以根據(jù)認(rèn)證成功消息中的會話標(biāo)識從本地保存的會話標(biāo)識 與用戶標(biāo)識的關(guān)聯(lián)信息中獲得用戶的標(biāo)識(如用戶所連的ONU的標(biāo)識����,用戶 設(shè)備所連的端口)���,確定用戶所連的ONU���,從而完成后續(xù)的分配網(wǎng)絡(luò)資源的 過程��。
在本發(fā)明中�����,所述的ONU也可以記為ONT,均指光網(wǎng)絡(luò)單元��。
總之,以上所述僅為本發(fā)明的較佳實施例而已�����,并非用于限定本發(fā)明的
保護范圍��。凡在本發(fā)明的精神和原則之內(nèi)��,所作的任何修改�、等同替換�、改
進等,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)����。
權(quán)利要求
1、一種在無源光網(wǎng)絡(luò)中實現(xiàn)802.1x認(rèn)證的方法�,其特征在于,該方法包括A���、無源光網(wǎng)絡(luò)中的接入設(shè)備接收用戶設(shè)備發(fā)來的認(rèn)證報文�,將該認(rèn)證報文發(fā)送至認(rèn)證服務(wù)器�;B、認(rèn)證服務(wù)器根據(jù)接收到的認(rèn)證報文對用戶設(shè)備進行認(rèn)證���。
2����、 根據(jù)權(quán)利要求1所述的方法,其特征在于��,在步驟B之后��,進一步包括 在認(rèn)證通過后��,認(rèn)證服務(wù)器將認(rèn)證成功消息發(fā)送至無源光網(wǎng)絡(luò)中的接入設(shè)備����; 無源光網(wǎng)絡(luò)中的接入設(shè)備打開與用戶設(shè)備間的受控端口 。
3�、 根據(jù)權(quán)利要求2所述的方法,其特征在于�,所述無源光網(wǎng)絡(luò)中的接入設(shè) 備為光網(wǎng)絡(luò)單元ONU。
4�����、 根據(jù)權(quán)利要求3所述的方法�,其特征在于��,該方法進一步包括認(rèn)證服 務(wù)器將用戶設(shè)備對應(yīng)的業(yè)務(wù)參數(shù),直接發(fā)送至ONU和OLT,或通過控制層的 其他設(shè)備發(fā)送至ONU和OLT, OLT接收到業(yè)務(wù)參數(shù)后�����,為所述ONU分配網(wǎng)絡(luò) 資源���,并將所分配的網(wǎng)絡(luò)資源發(fā)送至ONU�。
5�、 根據(jù)權(quán)利要求4所述的方法,其特征在于����,該方法進一步包括在用戶 開通業(yè)務(wù)時,在認(rèn)證服務(wù)器和/或控制層的其他設(shè)備中登記用戶的標(biāo)識��,該標(biāo)識 中包括用戶設(shè)備所連的ONU的標(biāo)識���、所連ONU的端口 �����、 OLT的標(biāo)識����,在認(rèn)證 通過后,認(rèn)證服務(wù)器或/和控制層的其它設(shè)備將根據(jù)用戶標(biāo)識獲取的ONU的標(biāo) 識發(fā)送至OLT;認(rèn)證服務(wù)器或/和控制層的其它設(shè)備根據(jù)所登記的ONU和OLT的標(biāo)識執(zhí)行 所述發(fā)送的過程����;OLT根據(jù)認(rèn)證服務(wù)器或/和控制層的其它設(shè)備發(fā)來的ONU的標(biāo)識執(zhí)行所述 發(fā)送的過程。
6�����、 根據(jù)權(quán)利要求4所述的方法����,其特征在于,在步驟A中�����,所述將認(rèn)證 才艮文發(fā)送至認(rèn)證服務(wù)器的步驟包括ONU和/或OLT在認(rèn)證報文中插入鏈路信 息���,該鏈路信息包括ONU的標(biāo)識和OLT的標(biāo)識����,然后將該認(rèn)證報文發(fā)送至認(rèn) 證服務(wù)器����;認(rèn)證服務(wù)器或/和控制層的其它設(shè)備根據(jù)從認(rèn)證報文鏈路信息中獲取的 ONU和OLT的標(biāo)識,執(zhí)行所述發(fā)送的過程��;OLT根據(jù)從發(fā)送給認(rèn)證服務(wù)器的認(rèn)證報文中獲取的ONU標(biāo)識執(zhí)行所述發(fā) 送的過程�。
7、 根據(jù)權(quán)利要求3所述的方法�,其特征在于,在步驟B之后�,進一步包括 在認(rèn)證通過后,所述ONU將EAPoL協(xié)議的認(rèn)證成功消息給用戶設(shè)備�。
8、 根據(jù)權(quán)利要求2所述的方法�,其特征在于,所述無源光網(wǎng)絡(luò)中的接入設(shè) 備包括ONU和OLT;所述步驟A包括用戶設(shè)備將認(rèn)證報文發(fā)送至ONU, ONU將認(rèn)證報文透 傳至OLT��, OLT將認(rèn)證報文發(fā)送至認(rèn)證服務(wù)器��;所述將認(rèn)證成功消息發(fā)送至無源光網(wǎng)絡(luò)中的接入設(shè)備的步驟包括iU正服 務(wù)器將認(rèn)證成功消息發(fā)送至OLT; OLT接收到認(rèn)證成功消息后���,將連通命令發(fā) 送至ONU;由ONU執(zhí)行所述的打開與用戶設(shè)備間的受控端口的步驟�����。
9��、 根據(jù)權(quán)利要求8所述的方法�����,其特征在于���,該方法進一步包括認(rèn)證服 務(wù)器將用戶設(shè)備對應(yīng)的業(yè)務(wù)參數(shù)���,直接發(fā)送至OLT或通過控制層的其他設(shè)備發(fā) 送至OLT; OLT為所述ONU分配網(wǎng)絡(luò)資源,將所分配的網(wǎng)絡(luò)資源和用戶設(shè)備 對應(yīng)的業(yè)務(wù)參數(shù)發(fā)送至ONU�����。
10����、 根據(jù)權(quán)利要求9所述的方法,其特征在于����,該方法進一步包括在用 戶開通業(yè)務(wù)時,在認(rèn)證服務(wù)器和/或控制層的其他設(shè)備中登記用戶的標(biāo)識���,該標(biāo) 識中包括用戶設(shè)備所連的ONU的標(biāo)識���;所述認(rèn)證服務(wù)器將認(rèn)證成功消息發(fā)送至OLT的步驟包括認(rèn)證服務(wù)器或/ 和控制層的其它設(shè)備將所登記的ONU的標(biāo)識攜帶在認(rèn)證成功消息中發(fā)送至 OLT;OLT根據(jù)認(rèn)證成功消息中攜帶的ONU標(biāo)識執(zhí)行所述發(fā)送的過程�。
11���、 根據(jù)權(quán)利要求9所述的方法��,其特征在于,在步驟A中�,在ONU 接收到認(rèn)證報文后,進一步包括ONU將認(rèn)證報文的定位信息和用戶i殳備 的鏈路信息���,通過OLT和ONU之間的運營管理維護通道發(fā)送給OLT��,其 中�,該鏈路信息包含ONU的標(biāo)識和用戶設(shè)備所連的端口 �����,定位信息包4奮會 話標(biāo)識��;OLT根據(jù)接收到的定位信息和用戶設(shè)備的鏈路信息執(zhí)行所述發(fā)送的過程�。
12、 根據(jù)權(quán)利要求9所述的方法�����,其特征在于,在步驟A中�,進一步 包括ONU在認(rèn)證報文中插入鏈路信息,該鏈路信息包括ONU的標(biāo)識���,然 后將該認(rèn)證報文發(fā)送至OLT;OLT根據(jù)從發(fā)送給認(rèn)證服務(wù)器的認(rèn)證報文中獲取的ONU標(biāo)識����,執(zhí)行所 述發(fā)送的過程����。
13、 根據(jù)權(quán)利要求3或8所述的方法����,其特征在于,所述與認(rèn)證服務(wù)器直 接交互報文的接入設(shè)備工作在中繼模式����;所述用戶設(shè)備發(fā)來的認(rèn)證報文為 EAPoL協(xié)議的認(rèn)證報文;在步驟A中����,所述將認(rèn)證報文發(fā)送至認(rèn)證服務(wù)器的步驟包括與認(rèn)證服務(wù) 器直接交互報文的無源光網(wǎng)絡(luò)中的接入設(shè)備���,將認(rèn)證報文中封裝了認(rèn)證數(shù)據(jù)的 EAP幀承載在其它高層協(xié)議中發(fā)送至認(rèn)證服務(wù)器;所述將認(rèn)證成功消息發(fā)送至無源光網(wǎng)絡(luò)中的接入設(shè)備的步驟包括認(rèn)證服 務(wù)器將認(rèn)證成功消息封裝在EAP幀中��,通過高層協(xié)議發(fā)送至所述與認(rèn)證服務(wù)器 直接交互報文的無源光網(wǎng)絡(luò)中的接入設(shè)備�。
14、 根據(jù)權(quán)利要求3或8所述的方法���,其特征在于�,所述與認(rèn)證服務(wù)器直 接交互報文的接入設(shè)備工作在終結(jié)模式;所述用戶設(shè)備發(fā)來的認(rèn)證報文為 EAPoL協(xié)議的認(rèn)證報文��;在步驟A中����,所述將認(rèn)證報文發(fā)送至認(rèn)證服務(wù)器的步驟包括與認(rèn)證服務(wù) 器直接交互報文的無源光網(wǎng)絡(luò)中的接入設(shè)備,將EAPoL協(xié)議的認(rèn)證報文轉(zhuǎn)換為 其它協(xié)議的認(rèn)證報文�,然后發(fā)送至認(rèn)證服務(wù)器;所述將認(rèn)證成功消息發(fā)送至無源光網(wǎng)絡(luò)中的接入設(shè)備的步驟包括認(rèn)i正服 務(wù)器采用所述其它協(xié)議將認(rèn)證成功消息發(fā)送至所述與認(rèn)證服務(wù)器直接交互報文 的無源光網(wǎng)絡(luò)中的接入設(shè)備�����。
15��、 根據(jù)權(quán)利要求8所述的方法,其特征在于����,在步驟B之后,進一步包 括在認(rèn)證通過后���,OLT將EAPoL協(xié)議的認(rèn)證成功消息發(fā)送至用戶設(shè)備���。
16、 一種在無源光網(wǎng)絡(luò)中實現(xiàn)802.1x認(rèn)證的系統(tǒng)���,其特征在于�����,該系統(tǒng)包 括用戶設(shè)備�、無源光網(wǎng)絡(luò)中的接入設(shè)備和認(rèn)證服務(wù)器���,其中����,用戶設(shè)備��,用于將認(rèn)證報文發(fā)送至無源光網(wǎng)絡(luò)中的接入設(shè)備�����; 無源光網(wǎng)絡(luò)中的接入設(shè)備�,用于接收用戶設(shè)備發(fā)來的認(rèn)證報文,將該iU正 報文發(fā)送至認(rèn)證服務(wù)器���;認(rèn)證服務(wù)器,根據(jù)接收到的認(rèn)證報文對用戶設(shè)備進行認(rèn)證���。
17����、 根據(jù)權(quán)利要求16所述的系統(tǒng)�,其特征在于,所述認(rèn)證服務(wù)器�,用于在 認(rèn)證通過后,將認(rèn)證成功消息發(fā)送至無源光網(wǎng)絡(luò)中的接入設(shè)備����;所述無源光網(wǎng)絡(luò)中的接入設(shè)備,用于在接收到認(rèn)證成功消息后�,打開與用 戶設(shè)備間的受控端口。
18�����、 根據(jù)權(quán)利要求16所述的系統(tǒng)����,其特征在于,所述無源光網(wǎng)絡(luò)中的接入 設(shè)備為ONU,該ONU通過OLT將認(rèn)證報文發(fā)送至認(rèn)證服務(wù)器��。
19�、 根據(jù)權(quán)利要求16所述的系統(tǒng)����,其特征在于,所述無源光網(wǎng)絡(luò)中的接 入i殳備包括ONU和OLT;ONU,用于接收用戶設(shè)備的認(rèn)證報文����,將該認(rèn)證報文透傳至OLT,在 接收到OLT的連通命令后��,打開與用戶設(shè)備間的受控端口�����;OLT����,用于將接收到的認(rèn)證報文發(fā)送至認(rèn)證服務(wù)器,在接收到認(rèn)證成功 消息后���,將連通命令發(fā)送至ONU�。
20���、 根據(jù)權(quán)利要求16至19中任意一項所述的系統(tǒng)����,其特征在于�,所述 ONU,進一步用于在接收到用戶設(shè)備的認(rèn)證報文后��,將用戶設(shè)備的鏈路信息 攜帶在認(rèn)證報文中通過OLT發(fā)送至認(rèn)證服務(wù)器�����。
21�����、 根據(jù)權(quán)利要求16至19中任意一項所述的系統(tǒng)�����,其特征在于��,所述 OLT,進一步用于在接收到ONU發(fā)來的認(rèn)證報文后��,將鏈路信息攜帶在認(rèn) 證報文中發(fā)送至認(rèn)證服務(wù)器��。
22�、 根據(jù)權(quán)利要求16至19中任意一項所述的系統(tǒng)�,其特征在于,所述 OLT與所述認(rèn)證服務(wù)器集成在同 一個物理設(shè)備內(nèi)����,或位于不同物理設(shè)備內(nèi)。
23�、 一種上報鏈路信息的方法,其特征在于����,該方法包括無源光網(wǎng)絡(luò)中的第 一接入設(shè)備接收到用戶設(shè)備發(fā)來的認(rèn)證報文��,將請求 認(rèn)證的用戶設(shè)備的鏈路信息作為認(rèn)證報文中的一個或多個選項option插入 認(rèn)證報文中����,然后將認(rèn)證報文發(fā)送至認(rèn)證服務(wù)器�。
24、 根據(jù)權(quán)利要求23所述的方法��,其特征在于�,所述用戶設(shè)備的鏈路 信息包括ONU的標(biāo)識、OLT的標(biāo)識以及用戶設(shè)備所連端口信息中的4壬意 一個或多個的組合��。
25��、 根據(jù)權(quán)利要求23所述的方法����,其特征在于,所述無源光網(wǎng)絡(luò)中的 第一接入設(shè)備包括單獨作為認(rèn)證系統(tǒng)的ONU�,且該ONU工作在中繼模式;ONU接收到的用戶設(shè)備發(fā)來的認(rèn)證報文為EAPoL協(xié)議的認(rèn)證報文��; 所述將鏈路信息作為認(rèn)證報文中的一個或多個選項option插入認(rèn)證報 文中的步驟包括ONU將請求認(rèn)證的用戶設(shè)備的鏈路信息作為EAPoL協(xié)議的認(rèn)證報文的 一個或多個Option插入EAPoL協(xié)議的認(rèn)證報文中�����,并將該插入了鏈路信息 的EAPoL協(xié)議的認(rèn)證^艮文承栽在高層協(xié)議中��;或者�����,ONU將接收到的EAPoL協(xié)議的認(rèn)證報文承載在高層協(xié)議中��,并 將請求認(rèn)證的用戶設(shè)備的鏈路信息插入承載在高層協(xié)議認(rèn)證報文的 一個或 多個承載位置信息的Option中�����。
26��、 根據(jù)權(quán)利要求23所述的方法���,其特征在于���,所述無源光網(wǎng)絡(luò)中的 第一接入設(shè)備包括單獨作為認(rèn)證系統(tǒng)的ONU,且該ONU工作在終結(jié)模式�;ONU接收到的用戶設(shè)備發(fā)來的認(rèn)證報文為EAPoL協(xié)議的認(rèn)證報文; 所述將鏈路信息作為認(rèn)證報文中的一個或多個選項option插入認(rèn)證報 文中的步驟包括ONU將EAPoL協(xié)議的認(rèn)證報文轉(zhuǎn)換成高層協(xié)議報文���,并 將請求認(rèn)證的用戶設(shè)備的鏈路信息插入轉(zhuǎn)換后的高層協(xié)議認(rèn)證報文的����,K栽位置信息的Option中。
27��、 根據(jù)權(quán)利要求25或26所述的方法��,其特征在于�����,所述無源光網(wǎng)絡(luò) 中的第 一接入設(shè)備包括OLT;在將認(rèn)證報文發(fā)送至認(rèn)證服務(wù)器之前����,進一步包括OLT作為高層協(xié) 議的代理或中繼,監(jiān)聽從PON接口收到的ONU發(fā)來的高層協(xié)議的認(rèn)證報文����, 將鏈路信息作為Option插入高層協(xié)議的認(rèn)證報文中。
28�、 根據(jù)權(quán)利要求23所述的方法,其特征在于�,所述無源光網(wǎng)絡(luò)中的 第 一接入i殳備包括與OLT共同作為認(rèn)證系統(tǒng)的ONU;ONU接收到的用戶設(shè)備發(fā)來的認(rèn)證報文為EAPoL協(xié)議的認(rèn)證報文; 所述將鏈路信息作為認(rèn)證報文中的一個或多個選項option插入認(rèn)證報 文中的步驟包括ONU把請求認(rèn)證的用戶設(shè)備的鏈路信息作為EAPoL協(xié)議 的認(rèn)證報文的一個或多個option,插入該EAPoL協(xié)議的認(rèn)證報文中���;所述將認(rèn)證報文發(fā)送至認(rèn)證服務(wù)器的步驟包括ONU將插入鏈路信息 的EAPoL協(xié)議的認(rèn)證報文發(fā)送至OLT���,OLT將認(rèn)證報文發(fā)送至認(rèn)證服務(wù)器。
29����、 根據(jù)權(quán)利要求28所述的方法,其特征在于�����,所述將認(rèn)證報文發(fā)送 至認(rèn)證服務(wù)器的步驟包括ONU將認(rèn)證報文發(fā)送至OLT; OLT從接收到的 認(rèn)證報文中獲取用戶設(shè)備的鏈路信息����,然后去掉或保留ONU在EAPoL協(xié)議 的認(rèn)證報文中插入的鏈路信息,并以中繼方式或終結(jié)方式把認(rèn)證報文傳遞給 認(rèn)證服務(wù)器����。
30、 根據(jù)權(quán)利要求29所述的方法��,其特征在于�,所述OLT保留ONU 在EAPoL協(xié)議的認(rèn)證報文中插入的鏈路信息;該方法進一步包括認(rèn)證服務(wù)器從認(rèn)證報文中獲得請求認(rèn)證的用戶設(shè)備 的鏈路信息�。
31����、 根據(jù)權(quán)利要求23所述的方法����,其特征在于,該方法進一步包括 認(rèn)證服務(wù)器將認(rèn)證報文中的鏈路信息發(fā)送至控制層的其他設(shè)備����。
32、 一種上報鏈路信息的方法�����,其特征在于���,該方法包括ONU探聽用戶端口收到EAPoL協(xié)議的認(rèn)證報文后��,把認(rèn)證報文的定位信息和用戶設(shè) 備的鏈路信息通過OLT和ONU之間的OAM通道發(fā)送給OLT��。
33���、 一種ONU,其特征在于,該ONU用于在接收到用戶設(shè)備發(fā)來的認(rèn) 證報文后��,將用戶設(shè)備的鏈路信息插入認(rèn)證報文中,然后輸出插入鏈路信息 的認(rèn)證報文����。
34、 根據(jù)權(quán)利要求33所述的ONU�,其特征在于,所述ONU將請求認(rèn) 證的用戶設(shè)備的鏈路信息作為EAPoL協(xié)議的認(rèn)證報文的一個或多個Option 插入EAPoL協(xié)議的認(rèn)證報文中�����,直接輸出或?qū)⒃摬迦肓随溌沸畔⒌腅APoL 協(xié)議的認(rèn)證報文承載在高層協(xié)議中后輸出��。
35����、 根據(jù)權(quán)利要求33所述的ONU����,其特征在于,所述ONU將接收到 的EAPoL協(xié)議的認(rèn)證報文承載在高層協(xié)議中����,并將請求認(rèn)證的用戶設(shè)備的 鏈路信息插入承載在高層協(xié)議認(rèn)證報文的 一 個或多個承載位置信息的 Option中,并輸出��。
36、 根據(jù)權(quán)利要求33所述的ONU�����,其特征在于����,所述ONU將EAPoL 協(xié)議的認(rèn)證報文轉(zhuǎn)換成高層協(xié)議的認(rèn)證報文,并將請求認(rèn)證的用戶設(shè)備的鏈 路信息插入轉(zhuǎn)換后的高層協(xié)議認(rèn)證報文的承載位置信息的Option中���,并輸 出����。
全文摘要
本發(fā)明公開了一種在無源光網(wǎng)絡(luò)中實現(xiàn)802.1x認(rèn)證的方法和系統(tǒng)���。無源光網(wǎng)絡(luò)中的接入設(shè)備接收用戶設(shè)備發(fā)來的認(rèn)證報文����,將該認(rèn)證報文發(fā)送至認(rèn)證服務(wù)器����;認(rèn)證服務(wù)器根據(jù)接收到的認(rèn)證報文對用戶設(shè)備進行認(rèn)證,在認(rèn)證通過后,將認(rèn)證成功消息發(fā)送至無源光網(wǎng)絡(luò)中的接入設(shè)備�;無源光網(wǎng)絡(luò)中的接入設(shè)備打開與用戶設(shè)備間的受控端口。本發(fā)明能夠保證在無源光網(wǎng)絡(luò)中實現(xiàn)802.1x認(rèn)證過程�,從而實現(xiàn)在無源光網(wǎng)絡(luò)中對用戶設(shè)備的合法性認(rèn)證,保證了網(wǎng)絡(luò)的安全性�����,提高了業(yè)務(wù)服務(wù)質(zhì)量���。
文檔編號H04L9/32GK101127598SQ20061010985
公開日2008年2月20日 申請日期2006年8月18日 優(yōu)先權(quán)日2006年8月18日
發(fā)明者楊素林 申請人:華為技術(shù)有限公司