EPON上行e家终端逻辑标识认证要求的开发090 915

     EPON上行e家终端逻辑标识认证要求的开发

     2009.9.15

     一、e家终端技术规范的相关要求

     1.1.1 设备注册认证功能

     对于EPON上行的e家终端，必须支持向OLT进行设备注册，注册流程参见《中国电信EPON设备技术要求》，EPON上行e家终端在采用了基于逻辑标识的认证方式向OLT注册时，在首次OLT注册认证成功并连接到ITMS后需自动触发基于逻辑ID设备首次认证流程。

     a) ONU逻辑标识的配置(仅针对EPON上行e家终端，电信维护人员和e家终端用户都具有该操作权限)

     对EPON上行e家终端，必须支持ONU逻辑标识(LOID+Password，具体要求参见《中国电信EPON设备技术要求》)设置，并将LOID、Password的值分别赋给ITMS管理参数InternetGatewayDevice.X_CT-COM_UserInfo.UserName和InternetGateway-Device.X_CT-COM_UserInfo.UserId。

     本地恢复出厂设置时，e家终端(e8)必须具备保留关键参数能力，各参数值以最后保存配置的为准，恢复出厂设置后第一次Inform上报不发”0 boot”。关键参数包括:

     — ITMS URL

     — e家终端(e8)和ITMS间双向Digest认证用户名/密码信息，

     — 电信维护账号的用户名/密码

     — TR069 使用的WAN连接及绑定关系(包含PVC/VLAN、绑定、路由等设置)

     — 其他WAN连接相关配置(包含PVC/VLAN、LAN/WLAN绑定关系、桥接/路由等设置、PPPoE用户名/密码)

     — 接入用户数相关参数

     — SSID,2,SSID,4相关参数

     — SIP PROXY域名、IP地址、端口号、用户账号、密码(适用于e家终端e8-C形态)

     — 端口映射相关参数

     — 设备认证状态(InternetGatewayDevice. X_CT-COM_ UserInfo.Times、InternetGatewayDevice. X_CT-COM_ UserInfo.Limit、InternetGateway-Device. X_CT-COM_

    UserInfo.Status、InternetGatewayDevice. X_CT-COM_ UserInfo.Result)

     — ONU逻辑标识(仅针对EPON上行e家终端)

     远程恢复出厂设置必须具备保留关键参数能力(各关键参数值以最后保存配置的为准)，其余配置必须恢复成出厂预配置，关键参数包括:

     — ONU逻辑标识(仅针对EPON上行e家终端)

     远程恢复出厂设置后e家终端(e8)第一次Inform上报必须发”0 boot”。

     二、GUI的相关要求

     三、附参考资料:《中国电信EPON设备技术要求》的相关内容

     1.2 ONU认证功能

     EPON系统应支持三种ONU认证方式:

     1) 基于物理标识的认证:采用ONU的物理标识(在EPON系统中，物理标识为ONU

     的MAC地址)作为认证标识的认证方法，具体实现见11.4.1节;

     2) 基于逻辑标识的认证:采用ONU的逻辑标识作为认证标识的认证方法，逻辑标识采

     用LOID+Password。具体实现见11.4.2节;

     3) 混合模式:这种模式下可以实现基于物理地址进行认证的ONU和基于逻辑标识的

     ONU认证方式的兼容，OLT针对不同的ONU采用上述两种认证方式中的一种。这种模式下，OLT先基于ONU的MAC地址进行认证，在认证不通过时，OLT会发起对该ONU的基于逻辑标识的认证，具体实现见11.4.3节。

     在EPON系统中，对每个ONU的具体认证模式由OLT选择并发起相应的认证。OLT的ONU认证模式应可配置。缺省情况下，OLT以混合模式对其下面的ONU进行认证。

     OLT应支持PON接口与ONU之间的绑定功能，即特定物理标识或者逻辑标识的ONU只能在特定的PON口上注册。 1.2.1 基于MAC地址的认证

     OLT应支持基于ONU的MAC地址对ONU合法性进行认证的能力，应拒绝非法ONU的接入。OLT应支持对该功能的开启和关闭配置。对于已被拒绝注册的ONU，应采用11.5节规定的静默机制。

     1.2.2 基于逻辑标识的ONU认证

     在EPON系统中，为实现灵活的、便于维护的ONU认证方法，本规范定义了一种基于逻辑标识的ONU认证方法，逻辑标识包括LOID(LOID――Logical ONU ID)和Password两部分，其中Password用户对LOID的校验。对于已被拒绝注册的ONU，应采用11.5节规定的静默机制。

     OLT及网管系统应支持基于逻辑标识的ONU认证时有二种处理方式:仅判断LOID、同时判断LOID+Password，并且可灵活配置。

     ONU应能本地保存逻辑标识(LOID和password)，当ONU恢复出厂配置后，ONU不会删除该逻辑标识信息。

     1.2.2.1 基于逻辑标识的ONU认证流程

     在基于逻辑标识的ONU认证系统中，ONU上存储着用于认证的逻辑标识LOID+Password，其主机(Host)执行Supplicant功能，向OLT上报其LOID和Password。OLT执行Authenticator功能。在OLT主机或者EMS服务器中存储所有ONU的逻辑标识(即LOID和Password)。OLT发起对ONU的认证并对ONU上报的LOID和Password进行校验，然后根据校验的结果控制ONU的接入。

     在基于逻辑标识的ONU认证系统中，ONU的认证状态决定了ONU是否能接入网络，在启用基于逻辑标识的ONU认证时ONU的初始认证状态一般为非授权(unauthorized)状态，在该状态下，除MPCP报文、OAM发现与搅动密钥更新以及ONU基本信息查询OAM报文、ONU认证报文外OLT不允许来自该ONU的任何数据输入、输出通讯(OLT对接受到的来自该ONU的数据报文进行丢弃处理)。当ONU通过基于逻辑标识的ONU认证后，则该ONU的认证状态切换到授权状态(authorized)，在该状态下OLT允许ONU进行正常通讯。

     基于逻辑标识的ONU认证流程如图32(a)和32(b)(分别为认证成功和失败的情况)所示。

     一般情况下，OLT通过向ONU发送Auth_Request消息发起对ONU的认证。ONU收到该消息后向OLT发送Auth_Response消息，该消息包含其逻辑标识(LOID和Password)。OLT对该ONU的逻辑标识的合法性和正确性进行验证。如果验证通过，则向ONU发送Auth_Sucess消息并将该ONU的认证状态切换为“授权(authorized)”状态。如果ONU认证失败，则OLT向ONU发送Auth_Failure消息，并保持该ONU处于unauthorized状态，然后向ONU发送Register消息(Flag,0x02:Deregister)使ONU解注册。ONU收到Auth_Failure消息后通过OAMPDU.indication原语通知高层。ONU在收到Deregister消息后应通过MACI(REGISTER，status ?deregistered)通知高层并转移到Wait状态。在ONU高层在收到该消息后，将启动一个定时器RegTmr，该定时器表示启动下一次注册过程的时延Ts。在定时器RegTmr未超时之前，ONU高层不会发出MACR (DA, REGISTER_REQ, STATUS<=>

    REIGSTER)命令;Ts的值暂定为60s;在ONU高层未发出MACR (DA, REGISTER_REQ,

    STATUS<=>命令之前，ONU保持在WAIT状态。当定时器RegTmr超时后，ONU高层将发出MACR (DA, REGISTER_REQ, STATUS<=>命令，ONU将从WAIT状态转移到REGISTERING状态，并等待OLT发出的DISCOVERY GATE消息。当下一个发现窗口打开时，ONU将发送REGISTER_REQ消息以实现MPCP注册。当MPCP完成后进行OAM发现并随后进行基于逻辑标识的ONU认证过程。

     Supplicant

     (ONU)Authenticator(OLT)

     图 32(a)基于逻辑标识的ONU认证的流程(认证成功)

     Supplicant

     (ONU)Authenticator(OLT)

     图32(b) 基于逻辑标识的ONU认证的流程(认证失败)

     当ONU的逻辑标识中的任何一个字段被修改或者通过ONU本地管理界面配置其“重启动基于逻辑标识的ONU认证”后，ONU软件重启动后ONU重新认证。此后的过程与OLT发起的认证过程相同，如图33所示。

     Supplicant

     (ONU)

     Authenticator(OLT)

     图33 ONU发起基于逻辑标识的ONU认证的流程

     OLT和ONU之间通过本标准定义的基于扩展OAM的ONU认证消息进行通讯。本规范仅规定OLT和ONU之间的认证协议，对于OLT与OLT主机或网管服务器之间进行ONU+Password校验的通讯协议不在本标准范围内。

     如果出现两个ONU认证时使用的LOID和Password冲突，则先通过认证的ONU正常使用，后发起认证的ONU被拒绝，发送认证失败Auth_Failure消息，且Failure_Type,0x03，同时，OLT应向网管上报告警。

     此外，对于基于逻辑标识的ONU认证失败事件，OLT应记录并上报网元管理系统。

     1.2.2.2 基于逻辑标识的ONU认证消息

     如6.5.3.2节规定，用于基于逻辑标识的ONU认证的OAM消息采用值为“0x05”的扩展的操作码(Ext. Opcode)。具体消息格式如图34所示。

     Octets

     6

     6

     2

     1

     2

     1

     3

     1

     1

     2

     X

     Y

     4

     图34 用于基于逻辑标识的ONU认证的OAMPDU格式

     图中Auth_Code字段(长度为1字节)表示具体的ONU认证操作。包括如下4种操作类型:

     ——认证请求(Auth_Request):值为0x01，由OLT向ONU发出，以请求ONU上报其LOID和Password;

     ——认证响应(Auth_Response):值为0x02，作为ONU对OLT发来的Auth_Request报文的响应，向OLT上报其LOID和Password;

     ——认证成功(Auth_Sucess):值为0x03，由OLT向ONU发出，表明该ONU已经通过认证;

     ——认证失败(Auth_Failure):值为0x04，由OLT向ONU发出，表明该ONU认证失败。

     Length of Authentication Data字段(长度为2字节)表示其后面的Authentication Data字段的长度，单位为字节。

     Authentication Data字段(其长度和内容取决于Auth_Code)为具体的数据，具体规定如下:

     1) 认证请求报文(Auth_Request):

     Auth_Request报文的Authentication Data字段包括Auth_Type字段，长度为1字节。Auth_Type字段表示认证类型。在Auth_Request报文中Auth_Type默认取值为0x01:表示LOID+Password方式，即要求ONU在Auth_Response报文上报其LOID和Password;其他取值保留作为扩展。

     2) 认证响应(Auth_Response):

     Auth_Response报文的Authentication Data字段包括Auth_Type字段(长度为1字节)和Auth_Type_Data字段(长度可变)。

     Auth_Type字段表示认证类型。目前，在Auth_Request报文中Auth_Type有2个取值:取值为0x01时的定义与Auth_Request报文中的定义相同;取值为0x02时表示ONU不支持或

     不能接受Auth_Request消息中请求的认证类型(Auth_Type)，即Nak(这个取值仅对Auth_Response有意义，即Auth_Response Only);其他取值保留。

     当Auth_Type,0x01时，Auth_Response报文中的Auth_Type_Data字段包含24字节的LOID和12字节的Password。实际的LOID和Password(不包含为补足24/12字节而填充的“0”)均不应以“0”开始，可以以“0”结束。LOID和Password均以ASCII码表示。这种情况下的Auth_Response报文及Auth_Type_Data字段的格式如图 35(a)所示。如果LOID/Password的实际长度小于24字节/12字节，则在实际的ONU_ID/Password前面填“0”以补足24字节/12字节。

     当Auth_Type,0x02时，Auth_Response报文中的Auth_Type_Data字段包含长度为一个字节的Desired Auth_Type，该字段表示ONU希望采用的认证类型(当前的缺省值为0x01，表示希望采用的认证类型为LOID+Password方式，因为暂时没有其他认证类型)。这种情况下