一种阻止非法ONU注册上线的方法技术

本发明专利技术公开了一种阻止非法ONU注册上线的方法，用于在光纤到户网络中，包括以下步骤：S1、在网管系统上生成MAC地址；S2、网管系统对每个MAC地址进行加密，生成对应的数字签名，保存在网管系统中；S3、光网络单元ONU接入局端设备OLT后，OLT监测到ONU的注册请求，获取该ONU的MAC地址和数字签名并上报给网管系统；S4、网管系统将上报的MAC地址和数字签名与本地保存的数字签名进行比较，若比较结果一致，则判定该ONU是合法的；若比较结果不一致，则认为该ONU是非法的；S5、网管系统向OLT下发报文，对于合法的光网络单元ONU，允许其注册上线，对于非法的光网络单元ONU，则不允许注册上线。本发明专利技术可以使阻止未经安全认证的非法光网络单元ONU注册上线开展业务，保护网络系统安全。

A method to prevent the illegal ONU registration

The invention discloses a method for preventing illegal ONU registration on the line, used in FTTH network, which comprises the following steps: S1, generate MAC address in network management system, network management system; S2 encryption and digital signature for each MAC address, generate the corresponding, stored in the network management system; S3 and optical network unit ONU access terminal OLT, OLT monitoring to ONU registration request, MAC address and access to the digital signature of ONU and reported to the network management system; S4 network management system, will be submitted to the MAC address and the digital signature and digital signature which is stored locally compared, if the results are consistent, whether the ONU is legal; if the results are not consistent, is that the ONU is illegal; S5, send messages to the OLT network management system, the optical network unit ONU to allow the registration of legal and illegal online, for single optical network Yuan ONU is not allowed to register online. The invention can prevent the illegal optical network unit ONU without security authentication to register and launch the service and protect the security of the network system.

【技术实现步骤摘要】
一种阻止非法ONU注册上线的方法
本专利技术涉及FTTH(FiberToTheHome)网络及光网络单元ONU数字签名生成
，尤其涉及一种阻止非法ONU注册上线的方法。
技术介绍
随着FTTH(光纤到户)业务的快速发展，光网络单元ONU已经进入千家万户，但是随之而来的是ONU技术准入门槛降低，生产成本下降，大量良莠不齐的公司进入这一领域，假冒伪劣的ONU产品层出不穷，对网络安全造成严重的隐患。为了阻止这一现象继续恶化，需要开发一种功能，对ONU进行安全认证，只有通过认证的ONU才能接入网络，开展后续业务，未经认证的ONU将无法上线，以此来保证网络安全，方便网络管理人员对网络进行管理。
技术实现思路
本专利技术要解决的技术问题在于针对现有技术中网络安全难以保证的缺陷，提供一种阻止非法ONU注册上线的方法。本专利技术解决其技术问题所采用的技术方案是：本专利技术提供一种阻止非法ONU注册上线的方法，用于在光纤到户网络中，通过网管系统生成MAC地址和数字签名，对接入局端设备OLT的光网络单元ONU进行管理，该方法包括以下步骤：S1、在网管系统上生成MAC地址；S2、网管系统对每个MAC地址进行加密，生成对应的数字签名，保存在网管系统中；S3、光网络单元ONU接入局端设备OLT后，局端设备OLT监测到光网络单元ONU的注册请求，获取该光网络单元ONU的MAC地址和数字签名并上报给网管系统；S4、网管系统将上报的MAC地址和数字签名与本地保存的数字签名进行比较，若比较结果一致，则判定该光网络单元ONU是合法的；若比较结果不一致，则认为该光网络单元ONU是非法的；S5、网管系统向局端设备OLT下发报文，对于合法的光网络单元ONU，允许其注册上线，对于非法的光网络单元ONU，则不允许注册上线。进一步地，本专利技术的步骤S1中生成的每个MAC地址都是唯一的，所有的MAC地址构成一个MAC地址池，MAC地址池在光纤到户网络开通前期规划完成，只有MAC地址在池中的光网络单元ONU才能接入局端设备OLT。进一步地，本专利技术的步骤S1中生成MAC地址的方法包括两种：在网管系统上按照预定的规则生成MAC地址；从外部文档中导入MAC地址到网管系统上。进一步地，本专利技术的步骤S2中对每个MAC地址进行加密的方法具体为：网管系统使用TEA加密算法对每个MAC地址进行加密，生成对应的数字签名；TEA算法利用不断增加的Delta值作为变化，使得每轮的加密不同，加密算法的迭代次数可变，网管系统上的迭代次数为32轮；加密完成后，将所得的密文拼接到MAC地址之后，组成一个长度为38字节的字符串；该字符串中MAC地址长度为6字节，密文长度为32字节；若加密后得到的密文长度不足32字节，则在其后补0使其达到32字节；最后，再将该长度为40字节的字符串进行BASE64编码，得到最终的数字签名。进一步地，本专利技术的步骤S3的方法具体为：光网络单元ONU接入局端设备OLT的PON口，上电或者复位后，向局端设备OLT发送注册请求，局端设备OLT监测到光网络单元ONU的注册请求后，获取该光网络单元ONU的MAC地址和数字签名，并以告警的形式上报给网管系统。进一步地，本专利技术的步骤S4的方法具体为：网管系统根据告警类型，将上报的MAC地址和数字签名与本地保存的数字签名进行比较，比较结果一致则认为该光网络单元ONU是经过安全认证的合法的，比较结果不一致则认为该光网络单元ONU是非法的。进一步地，本专利技术的步骤S4中将上报的MAC地址和数字签名与本地保存的数字签名进行比较的方法具体为：将上报的数字签名和本地保存的数字签名分别进行BASE64解码，然后再将解码后的字符串前6个字节分别与上报的MAC地址进行对比；将解码后的两个字符串后32个字节进行对比；若对比结果均相同，则认为比对结果是一致的。进一步地，本专利技术的步骤S5的方法具体为：网管系统根据步骤S4的判断结果，向局端设备OLT下发光网络单元ONU是否经过安全认证的报文，向局端设备OLT接收到报文后，根据报文类型，决定是否允许光网络单元ONU注册上线。本专利技术产生的有益效果是：本专利技术的阻止非法ONU注册上线的方法，具有以下优点：1、本专利技术可阻止未经安全认证的光网络单元ONU接入网络系统，保护网络系统安全；2、本专利技术可直接在OLT对接入的光网络单元ONU进行注册上线之前，对ONU进行安全认证，能有效的阻止非法的假冒伪劣产品接入网络系统，降低网络安全隐患，极大的方便了运维人员进行管理。附图说明下面将结合附图及实施例对本专利技术作进一步说明，附图中：图1是本专利技术实施例中阻止非法ONU注册上线的方法流程图；图2是本专利技术实施例中阻止非法ONU注册上线的方法时序图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本专利技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本专利技术，并不用于限定本专利技术。如图1所示，本专利技术实施例的阻止非法ONU注册上线的方法，用于在光纤到户网络中，通过网管系统生成MAC地址和数字签名，对接入局端设备OLT的光网络单元ONU进行管理，该方法包括以下步骤：S1、在网管系统上生成MAC地址；S2、网管系统对每个MAC地址进行加密，生成对应的数字签名，保存在网管系统中；S3、光网络单元ONU接入局端设备OLT后，局端设备OLT监测到光网络单元ONU的注册请求，获取该光网络单元ONU的MAC地址和数字签名并上报给网管系统；S4、网管系统将上报的MAC地址和数字签名与本地保存的数字签名进行比较，若比较结果一致，则判定该光网络单元ONU是合法的；若比较结果不一致，则认为该光网络单元ONU是非法的；S5、网管系统向局端设备OLT下发报文，对于合法的光网络单元ONU，允许其注册上线，对于非法的光网络单元ONU，则不允许注册上线。在本专利技术的另一个具体实施例中：本专利技术通过在网管系统生成数字签名并保存网管系统中，在ONU接入局端设备OLT时，发送注册请求，OLT接收到ONU的注册请求报文后，获取ONU的MAC地址和数字签名，然后将其上报给网管系统。网管系统接收到上报的MAC地址和数字签名，将其与系统中保存的数字签名进行比较，判断该ONU是否经过安全认证，来实现对ONU的甄别，使未经安全认证的ONU无法进行注册，无法上线开通业务。参照图2所示的阻止非法ONU注册上线的方法时序图，该流程基于图1的方法流程，具体过程如下：步骤1：在网管系统中设置起始MAC地址和结束MAC地址，然后开始生成MAC地址，将生成一组连续的MAC地址，最多不超过10万个。或者将外部表格文档中已经规划分配好的MAC地址导入到系统中。这些MAC地址将用于对接入的ONU进行安全认证，必须具有唯一性。步骤2：在网管系统中对每个MAC地址进行加密，生成对应的数字签名。加密采用TEA加密算法，将MAC地址和私有密钥组成原始数据，然后进行加密，并迭代加密多次，保证安全性。由于组成的原始数据具有唯一性，加密生成的数字密钥也是唯一的；对每个MAC地址进行加密的方法具体为：网管系统使用TEA加密算法对每个MAC地址进行加密，生成对应的数字签名；TEA算法利用不断增加的Delta值作为变化，使得每轮的加密不同，该加密算法的迭代次数可以改变，网管系统上本文档来自技高网...

【技术保护点】
一种阻止非法ONU注册上线的方法，其特征在于，用于在光纤到户网络中，通过网管系统生成MAC地址和数字签名，对接入局端设备OLT的光网络单元ONU进行管理，该方法包括以下步骤：S1、在网管系统上生成MAC地址；S2、网管系统对每个MAC地址进行加密，生成对应的数字签名，保存在网管系统中；S3、光网络单元ONU接入局端设备OLT后，局端设备OLT监测到光网络单元ONU的注册请求，获取该光网络单元ONU的MAC地址和数字签名并上报给网管系统；S4、网管系统将上报的MAC地址和数字签名与本地保存的数字签名进行比较，若比较结果一致，则判定该光网络单元ONU是合法的；若比较结果不一致，则认为该光网络单元ONU是非法的；S5、网管系统向局端设备OLT下发报文，对于合法的光网络单元ONU，允许其注册上线，对于非法的光网络单元ONU，则不允许注册上线。

【技术特征摘要】
1.一种阻止非法ONU注册上线的方法，其特征在于，用于在光纤到户网络中，通过网管系统生成MAC地址和数字签名，对接入局端设备OLT的光网络单元ONU进行管理，该方法包括以下步骤：S1、在网管系统上生成MAC地址；S2、网管系统对每个MAC地址进行加密，生成对应的数字签名，保存在网管系统中；S3、光网络单元ONU接入局端设备OLT后，局端设备OLT监测到光网络单元ONU的注册请求，获取该光网络单元ONU的MAC地址和数字签名并上报给网管系统；S4、网管系统将上报的MAC地址和数字签名与本地保存的数字签名进行比较，若比较结果一致，则判定该光网络单元ONU是合法的；若比较结果不一致，则认为该光网络单元ONU是非法的；S5、网管系统向局端设备OLT下发报文，对于合法的光网络单元ONU，允许其注册上线，对于非法的光网络单元ONU，则不允许注册上线。2.根据权利要求1所述的阻止非法ONU注册上线的方法，其特征在于，步骤S1中生成的每个MAC地址都是唯一的，所有的MAC地址构成一个MAC地址池，MAC地址池在光纤到户网络开通前期规划完成，只有MAC地址在池中的光网络单元ONU才能接入局端设备OLT。3.根据权利要求1所述的阻止非法ONU注册上线的方法，其特征在于，步骤S1中生成MAC地址的方法包括两种：在网管系统上按照预定的规则生成MAC地址；从外部文档中导入MAC地址到网管系统上。4.根据权利要求1所述的阻止非法ONU注册上线的方法，其特征在于，步骤S2中对每个MAC地址进行加密的方法具体为：网管系统使用TEA加密算法对每个MAC地址进行加密，生成对应的数字签名；TEA算法利用不断增加的Delta值作为变化，使得每轮的加密不同，加密算法的迭代次数可变，网管系统上的迭代次数...

【专利技术属性】
技术研发人员：董建峰，李明，郑直，王培佩，
申请(专利权)人：武汉长光科技有限公司，
类型：发明
国别省市：湖北,42