一种PON网络系统中客户端代码完整性检测方法及装置制造方法及图纸

技术编号:13086113 阅读:81 留言:0更新日期:2016-03-30 17:02
本发明专利技术提供了一种无源光网络PON系统中对客户端代码完整性检测方法及装置,其中,局端光纤线路终端OLT保存客户端ONU的原始代码,OLT请求ONU侧执行客户端代码完整性计算,ONU根据所述请求执行客户端代码完整性计算、并保存客户端代码完整性计算结果,OLT获取的客户端代码完整性计算结果与原始代码完整性计算结果进行比较,若一致,则确定客户端代码完整,若不一致,则确定客户端代码不完整。OLT可以在执行ONU认证过程中通过PON网络配置传输通道对ONU的客户端代码完整性进行检测,该检测方式安全、灵活。

【技术实现步骤摘要】

本专利技术涉及通信
的,尤其涉及一种无源光网络PON系统中对客户端代码的完整性检测的方法及其装置。
技术介绍
通信网络系统中,当恶意程序代码注入到网络设备后,受感染的文件(包括配置文件、可运行文件、管理文件等)一旦生效,恶意代码便会开始执行。如果网络设备上存在配置、程序、管理方面的漏洞,系统可能被入侵,恶意的代码文件被安装在设备中,或设备原始的代码被替换,设备可能被部分或完整地被恶意用户控制,例如僵尸网路。因此如何确保设备中代码、各种文件的完整性是成为通信网络中潜在的安全问题。通常,在网络中有异常情况时候,将启动对系统中异常客户端进行排查、定位追踪,并进一步根据其异常行为特征,对安装和运行于客户端上的程序代码、配置文件、目录内容等进行排查、定位,这种方式需要现场检测异常行为特征,排查定位效率低下。目前来看,保证代码完整性可以通过hash值计算、数字签名跟踪和文件修改跟踪等这几种方式来实施。然而,数字签名跟踪需要使用过于密集的资源才能保证一台客户端上的所有文件的完整性,它要求客户端具有较高的计算能力;而对于文件修改跟踪,现在的许多恶意程序都能够通过修改时间、欺骗等手段来绕过代码完整性检测。而对于PON通信网络系统中,一般的客户端ONU属于简单的用户终端设备,受限于计算能力及其他资源,数字签名跟踪和文件修改跟踪这两种方案不适用于ONU代码完整性检测,通信网络安全的现状迫切需要为ONU这类设备量身定制的可以远程进行代码完整性检测的方案。
技术实现思路
本专利技术旨在提供一种PON通信网络系统中可远程地对客户端代码完整性进行跟踪检查的技术方案,客户端ONU可持续地通过受控于OLT的OMCI信道向局端OLT提供其客户端代码完整性检测结果,从而提高系统安全性。根据本专利技术的一个方面,这里提供一种无源光网络PON系统中对客户端代码完整性检测方法,其包括步骤:局端光纤线路终端OLT保存客户端ONU的原始代码;OLT请求ONU侧执行客户端代码完整性计算;ONU根据所述请求执行客户端代码完整性计算、并保存客户端代码完整性计算结果;OLT获取ONU的客户端代码完整性计算结果与原始代码完整性计算结果进行比较,若一致,则确定客户端代码完整,若不一致,则确定客户端代码不完整。根据本专利技术的另外一个方面,这里提供一种光纤线路终端,其包括二确定装置,用于保存客户端ONU的原始代码;请求装置,用于请求ONU执行客户端代码完整性计算;获取装置,用于获取ONU的客户端代码完整性计算结果;处理装置,将所获取ONU的客户端代码完整性计算结果与原始代码完整性计算结果进行比较,若一致,则确定客户端代码完整,若不一致,则确定客户端代码不完整。根据本专利技术的另外一个方面,这里提供一种光网络单元,其包括:接收装置,用于接收来自局端光纤线路终端OLT的客户端代码完整性计算请求;计算装置,根据所述请求执行ONU侧代码完整性计算;响应装置,用于发送客户端ONU侧代码完整性计算结果。根据本专利技术实施例所提供的方法及其装置,系统侧OLT能够持续地或根据请求远程监视ONU的客户端代码完整性;能够检测任何客户端ONU重要数据的修改,和快速响应系统安全事件;节约代码或文件完整性的调查成本,且更加有效,它能实时的检测运行代码的修改,取决于系统侧OLT端的对客户端ONU代码完整性检测的轮询周期。附图说明通过下面提出的结合附图的详细描述,本专利技术的特征、性质和优点将变得更加明显,附图中相同的元件具有相同的标识,其中:图1是本专利技术所提供的PON网络系统中对ONU进行代码完整性检测实施图例;图2是本专利技术所提供的光纤线路终端结构示意图例;图3是本专利技术所提供的光网络单元结构示意图例;具体实施方式下面结合附图,对本专利技术的优选实施方式进行详细的说明。在以下优选的实施例的具体描述中,将参考构成本专利技术一部分的所附的附图。所附的附图通过示例的方式示出了能够实现本专利技术的特定的实施例。示例的实施例并不旨在穷尽根据本专利技术的所有实施例。需要说明的是,尽管本文中以特定顺序描述了本专利技术中有关方法的步骤,但是这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果,相反,本文中所描述的步骤可以改变执行顺序。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。图1是本专利技术所提供的PON网络系统中对ONU进行代码完整性检测实施例,本实施例中,客户端ONU软件代码在开发完成并配置到ONU之前,其原始代码被配置到OLT本地或中央服务器中,其中,原始代码包括:目录结构、文件列表等目标属性,之后,OLT可通过特定方式请求ONU计算其客户端代码完整性,OLT在获取客户端代码完整性结果后与OLT侧的原始代码完整性进行比较,判断客户侧ONU的代码是否被修改。步骤101,OLT保存客户端ONU的原始代码;基于所保存客户端ONU的原始代码,局端光纤线路终端OLT可以通过特定的算法来计算原始代码完整性。为了计算代码完整性,可以使用SHA或MD5算法,输入为原始代码,输出为对应前述原始代码的完整性计算结果。对应于MD5算法,其具体算式为:Code=MD5(原始代码)MD全称又称信息摘要算法,MD5从MD2/3/4演化而来,MD5散列长度通常是128位,也是目前被大量广泛使用的散列算法之一,主要用于密码加密和文件校验等。对应于SHA算法,其具体算式为:Code=SHA(原始代码)SHA又称安全哈希算法,原理和MD5原理相似,SHA可将一个最大2^64位信息,转换成一串160位(20字节)的散列值(摘要信息),目前也是应用最广泛的HASH算法。为了使得不同ONU对同一原始代码的完整性返回不同的代码,可以使用SHA/MD5版本的HAMC算法,其具体算式为:Code=HMAC-SHA/MD5(key,原始代码)其中,使用OLT和ONU之间协商的机密信息作为Key,前述Key可以是OLT和ONU预先保留的、或基于给个主控密钥签masterkey)衍生而来,masterkey以是OLT与ONU之间认证过程中的MasterSessionKey衍生而来。为进一步增强安全性,OLT将为每次代码完整性的请求生成随机的挑战值Challenge,HMAC是密钥相关的哈希运算消息认证码,HMAC运算利用哈希算法,以一个密钥和一个消息为输入,生成一个消息摘要作为输出。Code=HMAC-SHA/MD5(key,原始代码,Challenge)数字签名和基于HMAC的消息认证码都可以保证代码完整性,但两者的实现需要客户端ONU是一个可以值得信任的计算单元,否则,即使复杂的数字签名方案也只能实现消息认证码类似的功能,然而值得信任的计算单元是比较昂贵的。因此,对于ONU这样的简单设备选择基于前述哈希或HMAC方式的代码完整性,具有良好的性价比。步骤102,OLT请求ONU侧客户端代码完整性计算本文档来自技高网...

【技术保护点】
一种无源光网络PON系统中客户端代码完整性检测方法,其特征在于包括步骤:局端光纤线路终端OLT保存客户端ONU的原始代码;OLT请求ONU侧执行客户端代码完整性计算;ONU根据所述请求执行客户端代码完整性计算、并保存客户端代码完整性计算结果;OLT获取ONU的客户端代码完整性计算结果与原始代码完整性计算结果进行比较,若一致,则确定客户端代码完整,若不一致,则确定客户端代码不完整。

【技术特征摘要】
1.一种无源光网络PON系统中客户端代码完整性检测方法,其特征在于包
括步骤:
局端光纤线路终端OLT保存客户端ONU的原始代码;
OLT请求ONU侧执行客户端代码完整性计算;
ONU根据所述请求执行客户端代码完整性计算、并保存客户端代码完整性计
算结果;
OLT获取ONU的客户端代码完整性计算结果与原始代码完整性计算结果进行
比较,若一致,则确定客户端代码完整,若不一致,则确定客户端代码不完整。
2.如权利要求1所述的方法,其特征在于所述OLT在执行ONU认证过程中
请求ONU侧进行客户端代码完整性计算。
3.如权利要求1所述的方法,其特征在于所述OLT基于OMCI消息请求ONU
侧进行客户端代码完整性计算,并获取客户端代码完整性计算结果。
4.如权利要求1所述的方法,其特征在于OLT在所述请求中进一步包括:
客户端代码目标属性、计算算法、或相关计算参数。
5.如权利要求1所述的方法,其特征在于OLT确定客户端代码不完整触发
安全事件警告。
6.一种光纤线路终端,其特征在于包括:
确定装置,用于保存客户端ONU的原始代码;
请求装置,用于请求ONU执行客户端代码完整性计算;
获取装置,用于获取ONU的客户端代码完整性计算结果;
处理装置,将所获取ONU的客户端代码完整性计算结果与原始代码完整性
计算结果进行比较,若一致,则确定客户端代码完整,若不一致,则确定...

【专利技术属性】
技术研发人员:姚亦峰
申请(专利权)人:上海贝尔股份有限公司
类型:发明
国别省市:上海;31

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1