1.本发明涉及光纤宽带网络,尤其是涉及应用于智慧社区的宽带网络多重认证、加密方法。
背景技术:
2.无源光网络(pon)是近几年在光接入网中的主流技术,pon系统由olt(optical line terminal,光线路终端)、onu(optical network unit,光网络单元)和odn(optical distribution network,光纤分布网)组成。其中,olt位于局端,是整个pon系统的核心部件,向上提供接入网与核心网/城域网的高速接口,向下提供面向pon的一点对多点的pon接口,以广播方式向各onu发送数据。odn是由pos(passive optical splitter,无源光纤分路器)组成的光纤分配网络,使得一个pon接口的光纤传输带宽可以由多个onu共享。nu位于用户端,实现数据、话音等多业务的接入。
3.随着“互联网+”时代的发展,智慧社区建设进入快车道。2020年以来,由于新冠疫情的发生,使得人车识别、社区监控、智能门禁等业务成为政府刚需,抗疫需求加速了智慧社区建设。
4.当前,电信运营商宽带端口总体实占率平均40%,大量闲置资源亟需网业协同发展。传统建设模式下,家庭宽带业务、政企宽带业务、行业应用等存在多张业务网络。利用现有宽带端口构建智慧社区的宽带网络,不失为一种光纤宽带网络业务的资源利用。但是,根据国家安全部门来说,光纤宽带网络属于互联网,被认为不够安全,需要进一步加强安全传输、数据加密、系统认证及终端认证,否则光纤宽带网络将不被允许应用于平安城市、智慧社区等场景。
技术实现要素:
5.本发明目的在于提供一种应用于智慧社区的宽带网络多重认证、加密方法。
6.为实现上述目的,本发明采取下述技术方案:本发明所述应用于智慧社区的宽带网络多重认证、加密方法,包括下述步骤:s1, 社区的pon链路层认证及所述pon加密;s1.1, pon的onu注册认证;s1.1.1,olt通过广播一个发现gate消息来通知所述onu发现窗口的周期;s1.1.2,onu发送含mac地址的注册请求消息;s1.1.3,注册onu,分配和制定onu的逻辑lid,绑定mac和onu的逻辑lid;s1.2,pon加密;由于下行数据在pos上为广播复制,每个onu都可以收到同样的数据;在olt上需要采用加密处理,提高线路数据的可靠性;gpon与epon支持的加密算法不同,gpon采用aes128加密处理,epon采用三重搅动算法;s2,终端管理系统认证;当完成所述olt与onu之间的链路连接后,则onu开启对终端管理系统通过tr069协
议认证,目的是实现终端管理系统对各种cpe(也包括各个厂商onu的业务服务进行无差别的管理和配置);s3,宽带接入服务认证;完成底层连接和终端管理配置后,再完成网络注册认证服务,正式接入到互联网;通常采用ipoe和pppoe技术:以pppoe为例:由个onu终端启动一个pppoe会话,它首先必须完成发现阶段,确定对端server的以太网mac地址,并建立一个唯一的pppoe会话号(session_id);ppp协议一般包括三个协商阶段:lcp(链路控制协议)阶段,认证阶段(比如chap/pap),ncp(网络层控制协议,比如ipcp)阶段;拨号后,用户计算机和局方的接入服务器在lcp阶段协商底层链路参数,然后在认证阶段进行用户计算机将用户名和密码发送给接入服务器认证,接入服务器可以进行本地认证,可以通过radius协议将用户名和密码发送给aaa服务器进行认证;认证通过后,在ncp(ipcp)协商阶段,接入服务器给用户计算机分配网络层参数如ip地址等;经过ppp的三个协商阶段后,用户就可以发送和接受网络报文,用户收发的所有网络层报文都封装在ppp报文中;s4,公安系统认证及数据加密;s4.1在智慧社区的onu内置安全模块,所述安全模块用于:1)数据传输保护;通过安全模块与公安系统平台之间建立加密通道对数据进行加密保护,例如采用ssl等加密算法,确保数据传输安全;2)安全模块的身份认证;安全模块与公安系统的安全认证模块实现双向认证,确保数据安全无误发送到公安系统;3)前端设备接入认证;安全模块对小区的前端设备摄像头、门禁实现特征识别和绑定,根据数据特点形成所述前端设备指纹,防止假冒设备上传数据,确保前端设备真实可靠;4)应用流量识别:安全模块具备对图像信息、结构化数据的识别能力,对前端设备采集的信息进行数据预处理,并过滤、去重、格转、校验;5)恶意代码检测:安全模块具备对网络传输数据解析和恶意代码检测分析功能,有效防范病毒、蠕虫传播;6)本地管理和远程管理:本地管理,设置安全模块的主机信息:包括ip 地址、dns、接入小区信息、地址信息;远程管理,实现对安全模块的状态监控和配置管理,包括自动上联到安全模块管理平台,实时上报cpu、内存、网络带宽以及监听服务状态的本地运行状态,对安全模块的远程配置以及程序补丁的在线升级;s4.2,在公安系统平台设置分布式的、区块链方式的终端安全认证管理子系统,对各类终端,包括onu内置的安全模块进行发放、认证,以充分保障可信性、安全性;s4.3,在公安系统平台设置数据加密模块,实现与安全模块之间的进一步加密通信,以充分保障数据信息安全;
s5,onu内置的安全模块的入网及产品识别;s5.1,安全模块验证入网的机制:当安全模块通过共享宽带网络连接到区块链终端安全认证管理子系统时,要与区块链终端安全认证管理子系统进行双向认证;s5.1.1,安全模块的区块链模块中包括出厂模块、发放模块;s5.1.2,onu出厂时,启动所述出厂模块,建立起始区块,形成信息追溯链;s5.1.3, 安全模块验证:采用安全模块的产品公钥对安全模块的验证码进行解密,解密过程使用椭圆曲线算法,如果验证所述验证码是由安全模块的产品私钥生成,则反馈激活成功信息,证明安全模块为真;如果验证所述验证码不是由安全模块的所述产品私钥生成,则反馈激活失败信息,证明安全模块为假,不能成为区块链节点使用;s5.2,安全模块认证完成后,区块链终端安全认证管理子系统给安全模块下发安全参数,例如密钥等信息;同时区块链终端安全认证管理子系统的该节点将相关信息保存起来,并传递给其他节点,并供其他子系统或者其他管理模块调用;s5.3,安全模块根据其服务运营商或服务者的服务范围、服务类型指标,分为不同的型号和档次;根据这些不同的型号和档次,对各个智慧社区onu内置的安全模块做相应的标识,称之为服务标识;通过所述服务标识识别出各个智慧社区onu内置的安全模块的服务商、服务位置信息;在安全模块入网认证时,除去onu内置的安全模块本身的位置区码信息外,区块链终端安全认证管理子系统还记录每个智慧社区onu内置的安全模块的服务标识;s6,前端设备的应用机制;前端设备的入网流程如下:s6.1,每个前端设备(例如小区监控摄像头、门禁)入网使用时,首先完成与宽带网络所下带的智慧社区onu内置的安全模块建立物理或无线连接;s6.2,通过智慧社区onu内置的安全模块查询区块链终端安全认证管理子系统的索引和目录,选择到对应的终端安全认证管理子系统,建立与对应的应用关联,并完成注册认证;s6.3,注册认证成功后,区块链终端安全认证管理子系统通告与该前端设备所连接的智慧社区onu内置的安全模块,该前端设备进入服务应用状态;s6.4,区块链终端安全认证管理子系统对其他节点进行信息扩散;s7,前端设备之间及与区块链终端安全认证管理子系统;前端设备与区块链集中管理系统之间建立虚通道,实现前端设备所产生的每一条流量信息传递到区块链终端安全认证管理子系统;s7.1,第一连接的区块链终端安全认证管理子系统将前端设备的服务情况、流量信息摘要发送给其他相关节点;s7.2,其他相关节点判断是否该信息已获取,若信息已获取,则丢弃新信息;若该信息未获取,则区块链终端安全认证管理子系统对信息传递扩散。
7.s2中,所述tr
‑
069协议完成以下四方面的工作:一是用户设备自动配置和动态的业务配置:对于acs来说,每个用户设备在协议中
对自己作出标志(例如型号、版本等),根据设定的规则,所述acs对某一个特定的所述用户设备下发配置,或对某一组用户设备下发配置;cpe在开机后自动请求acs中的配置信息,或acs在任意需要的时刻主动发起配置;通过该功能可以实现用户设备的“零配置安装”功能,或是可以从网络侧控制业务参数的动态改变;二是对用户设备的软件、固件的管理:tr
‑
069协议提供了对用户设备中的软件、固件进行管理和下载的功能;acs识别用户设备的版本号,决定是否远程更新用户设备的软件版本,并且在更新完成后得知是否成功;例如,当用户设备需要加载新的软件以实现新的业务功能时,或是当前软件存在必须修复的bug时,通过该功能可以实现对用户设备的远程管理升级。
8.三是对用户设备的状态和性能进行监测:tr
‑
069协议定义了acs对用户设备的状态和性能进行监测的手段,其中包括了通用的性能参数,反映当前用户设备的工作状态;另外还提供了标准的语法,运营商可以定义额外的参数;四是对通信故障的诊断:tr
‑
069协议定义了用户端自我诊断和报告的能力;例如在acs的指示下,用户端可以通过ping或其它手段检查用户端与网络业务提供点之间的连通性、带宽等,检测结果返回给acs。这样,运营商通过在远端操作,就可以对用户申告的设备故障进行简单定位,并作相应的处理。
9.s5.1.2中,所述出厂模块的工作过程如下:在所述起始区块中记录所述区块链模块的id和生产信息,生产厂商节点签名后,盖上时间戳,建立起始区块,加入到信息追溯链中,起始区块就是所述信息追溯链中的第一个区块;所述区块链模块在入网使用时启动所述发放模块,向区块链终端安全认证管理子系统发送认证请求,区块链集中管理节点进行验证,成功后建立区块,盖上时间戳,并加入到所述信息追溯链中。
10.本发明优点在于利用运营商已在社区楼道部署的用于家庭宽带接入的pos(无源光纤分路器),打造一张网络提供家宽、企业、社区等多业务接入,可大幅提升基础设施效率、降低建设和运营成本(经多场景测算,可降低40%
‑
70%的网络建设成本);采用虚拟化切片技术,为智慧社区业务建立单独通道。
附图说明
11.图1是本发明的工作流程示意图。
12.图2是本发明所述智慧社区的宽带网络示意图。
具体实施方式
13.下面结合附图对本发明的实施例作详细说明,本实施例在以本发明技术方案为前提下进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述实施例。
14.如图1、2所示,本发明所述应用于智慧社区的宽带网络多重认证、加密方法,包括下述步骤:s1, pon链路层认证及pon加密;
s1.1,pon的onu注册认证;s1.1.1,olt通过广播一个发现gate消息来通知onu发现窗口的周期;s1.1.2,onu发送含mac地址的注册请求消息;s1.1.3,注册onu,分配和制定onu的逻辑lid,绑定mac和onu的逻辑lid;s1.2,pon加密;由于下行数据在pos上为广播复制,每个onu都可以收到同样的数据;在olt上需要采用加密处理,提高线路数据的可靠性;由于gpon与epon支持的加密算不同,gpon采用aes128加密处理,epon采用三重搅动算法;s2,终端管理系统认证;当完成olt与onu之间的链路连接后,则onu开启对终端管理系统通过tr069协议认证,目的是实现终端管理系统对各种cpe(customer premise equipment,移动信号接入设备)的认证,也包括各个厂商onu的业务服务进行无差别的管理和配置;tr
‑
069主要完成以下四方面的工作:一是用户设备自动配置和动态的业务配置。对于acs来说,每个用户设备可以在协议中对自己作出标志(例如型号、版本等),根据可设定的规则,acs可以对某一个特定用户设备下发配置,也可以对某一组用户设备下发配置。cpe可以在开机后自动请求acs中的配置信息,acs也可在任意需要的时刻主动发起配置。通过该功能可以实现用户设备的“零配置安装”功能,或是可以从网络侧控制业务参数的动态改变;二是对用户设备的软件、固件的管理。tr
‑
069的协议提供了对用户设备中的软件、固件进行管理和下载的功能。acs可以识别用户设备的版本号,决定是否远程更新用户设备的软件版本,并且在更新完成后能够得知是否成功。例如,当用户设备需要加载新的软件以实现新的业务功能时,或是当前软件存在必须修复的bug时,通过该功能可以实现对用户设备的远程管理升级;三是对用户设备的状态和性能进行监测。tr
‑
069定义了acs对用户设备的状态和性能进行监测的手段。其中包括了一些通用的性能参数,可以反映当前用户设备的工作状态;另外还提供了标准的语法,运营商可以定义额外的参数;四是对通信故障的诊断。tr
‑
069还定义了可以用户端自我诊断和报告的能力,例如在acs的指示下,用户端可以通过ping或其它手段检查用户端与网络业务提供点之间的连通性、带宽等,检测结果返回给acs。这样,运营商通过在远端操作,就可以对用户申告的设备故障进行简单定位,并作相应的处理;s3,宽带接入服务认证;完成底层连接和终端管理配置后,再完成网络注册认证服务,正式接入到互联网;网络注册认证服务通常采用ipoe和pppoe技术:以pppoe为例:由onu终端启动一个pppoe会话,它首先必须完成发现阶段,确定对端server的以太网mac地址,并建立一个唯一的pppoe会话号(session_id);ppp协议一般包括三个协商阶段:lcp(链路控制协议)阶段,认证阶段(比如chap/pap),ncp(网络层控制协议,比如ipcp)阶段;拨号后,用户计算机和局方的接入服务器在lcp阶段协商底层链路参数,然后在认证阶段进行用户计算机将用户名和密码发送给接入服务器认证,接入服务器可以进行本地认证,可以通过radius协议将用户名和密码发送给aaa服务器进行认证;认证
通过后,在ncp(ipcp)协商阶段,接入服务器给用户计算机分配网络层参数如ip地址等;经过ppp的三个协商阶段后,用户就可以发送和接受网络报文,用户收发的所有网络层报文都封装在ppp报文中;s4,公安系统认证及数据加密;s4.1在智慧社区的onu内置安全模块,所述安全模块用于:1)数据传输保护;通过安全模块与公安系统平台之间建立加密通道对数据进行加密保护,例如采用ssl等加密算法,确保数据传输安全;2)安全模块的身份认证;安全模块与公安系统的安全认证模块实现双向认证,确保数据安全无误发送到公安系统;3)前端设备接入认证;安全模块对小区的前端设备摄像头、智慧门禁实现特征识别和绑定,根据数据特点形成所述前端设备指纹,防止假冒设备上传数据,确保前端设备真实可靠;4)应用流量识别:安全模块具备对图像信息、结构化数据的识别能力,对前端设备采集的信息进行数据预处理,并过滤、去重、格转、校验;5)恶意代码检测:安全模块具备对网络传输数据解析和恶意代码检测分析功能,有效防范病毒、蠕虫传播;6)本地管理和远程管理:本地管理,设置安全模块的主机信息:包括ip 地址、dns、接入小区信息、地址信息;远程管理,实现对安全模块的状态监控和配置管理,主要包括自动上联到部署在光网络单元onu内置的安全模块管理平台,实时上报cpu、内存、网络带宽以及监听服务状态的本地运行状态,对安全模块的远程配置以及程序补丁的在线升级;公安系统认证及数据加密具体流程如下:1)在公安系统平台设置分布式的、区块链方式的终端安全认证管理子系统(即公安系统也是个分布式系统),对各类终端,包括安全模块进行发放、认证,以充分保障可信性、安全性;2)在公安系统平台设置数据加密模块,实现与安全模块之间的进一步加密通信,以充分保障数据信息安全;s5,安全模块的入网及产品识别;s5.1,安全模块验证入网的机制:当安全模块通过共享宽带网络连接到区块链终端安全认证管理子系统时,要与区块链终端安全认证管理子系统进行双向认证;s5.1.1,安全模块的区块链模块中包括出厂模块、发放模块;s5.1.2, onu出厂时,启动所述出厂模块,建立起始区块,形成信息追溯链;出厂模块的工作过程如下:在所述起始区块中记录所述区块链模块的所述产品id和生产信息,所述生产厂商节点签名后,盖上时间戳,建立起始区块,加入到信息追溯链中,所述起始区块就是所述信
息追溯链中的第一个区块;所述区块链模块在入网使用时启动所述发放模块,向区块链终端安全认证管理子系统发送认证请求,区块链集中管理节点进行验证,成功后建立区块,盖上时间戳,并加入到所述信息追溯链中;s5.1.3,验证过程如下:采用安全模块的产品公钥对安全模块的验证码进行解密,解密过程使用所述椭圆曲线算法,如果验证所述验证码是由安全模块的产品私钥生成,则反馈激活成功信息,证明安全模块为真;如果验证所述验证码不是由安全模块的所述产品私钥生成,则反馈激活失败信息,证明安全模块为假,不能成为区块链节点使用;s5.2,安全模块认证完成后,区块链终端安全认证管理子系统给智慧社区的安全模块下发安全参数,如设备的密钥等信息,同时区块链终端安全认证管理子系统的该节点将相关信息保存起来,并传递给其他节点,并供其他子系统或者其他管理模块调用;s5.3,智慧社区的安全模块根据其服务运营商或服务者的服务范围、服务类型指标的不同,分为不同的型号和档次,根据这些不同型号和档次,对各个智慧社区onu内置的安全模块做相应的标识,称之为服务标识;通过所述服务标识识别出各个智慧社区onu内置的安全模块的服务商、服务位置信息;在智慧社区onu内置的安全模块入网认证时,除去onu内置的安全模块本身的位置区码信息外,区块链终端安全认证管理子系统还记录每个智慧社区onu内置的安全模块的服务标识;s6,前端设备的应用机制;前端设备的入网流程如下:s6.1,每个前端设备(例如小区监控摄像头、门禁等)入网使用时,首先完成与宽带网络所下带的智慧社区onu内置的安全模块建立物理或无线连接;s6.2,通过智慧社区onu内置的安全模块查询区块链终端安全认证管理子系统的索引和目录,选择到对应的终端安全认证管理子系统,建立与对应的应用的关联,并完成注册认证;s6.3,注册认证成功后,区块链终端安全认证管理子系统通告与该前端设备所连接的智慧社区onu内置的安全模块,该前端设备进入服务应用状态;s6.4,区块链终端安全认证管理子系统对其他节点进行信息扩散;s7,前端设备之间及与区块链终端安全认证管理子系统;前端设备与区块链集中管理系统之间建立虚通道,实现前端设备所产生的每一条流量信息传递到区块链终端安全认证管理子系统;s7.1,第一连接的区块链终端安全认证管理子系统将前端设备的服务情况、流量信息摘要发送给其他相关节点;s7.2,其他相关节点判断是否该信息已获取,若信息已获取,则丢弃新信息;若该信息未获取,则区块链终端安全认证管理子系统对信息传递扩散。