（计算机应用技术专业论文）epon安全认证与入侵检测系统研究.pdf

江苏大学硕士学位论文 摘要 随着i n t e r n e t 的迅速普及，宽带业务大量涌现，人们对带宽的需求 日益增长，作为解决“最后一公里”问题的最佳方案，以太无源光网络 e p o n 应运而生。但e p o n 的点到多点( p 2 峋结构，使其存在严重的安 全隐患。研究和解决e p o n 系统的安全问题，对e p o n 的商业化进程 具有重要的意义。 而在安全问题上，没有制定解决方案的标准。目前常用的认证和 加密解决安全问题的方案，或者存在缺陷，或者对某些问题无效。如 何改进现有方案、研究新的措施，有其必然意义。 论文在对e p o n 系统中各种安全攻击进行详细分析的基础上，针 对具体的攻击方式，研究了一套基于注册过程的认证方式；对其过程 与特点进行了分析，针对其不能对光链路端o l t 进行认证的局限性， 提出了一种基于e c c ( 椭圆曲线) 加密的双向认证机制，并在o l t 与 光网络单元端o n u 进行了实现。针对e p o n 上行拒绝服务攻击d o s 的特征，研究和设计了e p o n 入侵检测系统。 主要完成的工作和取得的成果如下： ( 1 ) 分析了e p o n 系统各种安全攻击。针对e p o n 的结构特点，对 e p o n 系统各种安全攻击包括被动监测、d o s 、伪装和窃取服务t o s 等 进行了详细分析，重点研究了d o s 实施的原理、过程及其危害性；并 针对e p o n 中不同攻击，探讨了相应的对策，包括认证、安全封装、 加密、入侵检测等。 t 江苏大学硕士学位论文 ( 2 ) 提出基于e c c 加密的o l t 和o n u 之间双向认证机制。在对 o n u 认证分析基础上，针对e p o n 认证注册过程中只对o n u 进行认 证、没有对o l t 进行认证，从而导致恶意o n u 假冒o l t 与合法o n u 交互所产生的安全漏洞，设计一种基于e c c 加密的o l t 和o n u 之间 双向认证机制，并在o l t 与o n u 端进行了实现，提高了其安全性。 ( 3 ) 对e p o n 中基于注册过程的认证过程与基于e c c 加密的双向 认证过程的性能进行仿真分析。利用n s 2 ( 网络模拟) 软件搭建e p o n 模块，对基于注册过程的认证过程和基于e c c 加密的双向认证过程的 性能进行了仿真，得出：与其高安全性相比，基于e c c 加密的双向认 证过程消耗带宽较少。 ( 4 ) 首次采用入侵检测来解决e p o n 中d o s 攻击的安全机制。针对 e p o n 上行d o s 攻击的特征，结合e p o n 的特点，引入了基于s n o r t 入侵检测，设计了e p o n 入侵检测系统框架，并对各主要模块包括数 据包捕获、规则库、协议解析、入侵检测、报警、日志数据库等，进 行了研究和设计，尤其对其规则与协议解析进行了设计。 关键i 百- - - jt 以太无源光网络( e p o n ) ，安全，认证，d o s ，入侵检测， s n o r t 呲t h ef a c tt h a tt h ei n t e r a c tp r o m p t n e s sp o p u l a r i z e s ，b f o a d b a n d b u s i n e s ss p r i n 莎u pi n1 a 玛ea m o u n t ，p e o p l e i n c r e a s e sb yg r a d u a l l yt ot h e b a n d w i d t l ln e e d ，e p o n ( e t h e r n e tp a s s i v eo p t i c a ln e t w o r k ) a r i s e s 砒t h e h i s t o r i ci n o m e n ta st h ep r e f e r r e dp l a nr e s o l v i n g ”t h e f i r s to n e1 m l e ” p r o b l e mt h e n e p o ns y s t e mh a ss e r i o u ss e c u r i t y i s s u e sf o ri t sp a n 蜘l a r p 2 m ( p o i n tt om u l t i - p o i n t ) a r c h i t e c t u r e i t i ss i g n i f i c a n tt o 咖d yo n 删 s o i v es e c u r i t yi s s u e so fe p o n f o ri t sm a s sc o m m e r c i a ld e p l o y m e m h o w e v e r t h e r ei sn os t a n d a r ds o l u t i o nt o s e c u r ee p o n 咖p t l o n a n da u t h e n t i c a t i o n ，c u r r e n t l yu s e df o rs e c u r i t yi s s u e s ，a r ee i t h e rd e f e c t i v e o r n o te f f e c t i v et ot h es o m ep r o b l e m i ti sb o u n d t oi t ss i g n i f i c a n c et h a th o w t o i i n p r o v et h ee x i s t i n gp r o g r a m a n dt od e v e l o p et h en e w m e a s u r e s 。 w ea n a l v z es e v e r a ls e c u r i t yi s s u e so fe p o n i nd e t a i lt h eb a s e do ni t s a r c h i t e c t u r ef i r s t l y t h e ns t u d yar e g i s t r a t i o n 。p r o c e s s 。b a s e da u t h e n t l c a t l o n m e c h a n i s ma i m e da ts p e c i a l a t t a c k sa n dp u tf o r w a r d ab o t h - t e m i n a l a u t h 础幽nm e c h 洳，w h i c h i st h e nr e a l i z e di nb o t ho l t a n do n u ( o p t i c a l n e 俩o r ku n i t ) l a t e r , a i m e d a ti t sl i m i t a t i o n o fm e r e l y a u t h e 赦釉gt h eo l t ( o p t i c a l l i n et e r m i n a l ) f i n a l l y , a n i n t i u s l o n d e t e c t i o ns y s t e mo fe p o nh a sb e e nd e s i g n e d t os o l v eu p s t r e a md o s ( d e n i a lo fs e r v i c e ) a t t a c ko f e p o n t h em a j o rr e s e a r c hr e s u l t sw e r ea sf o l l o w s ： md 证e f e n t a t t a c k sf o re p o nw e r ea n a l y z e d b a s e do n t h e c h a r a d e r i s t i c so fa r c h i t e c t u r ea n dw o r k i n gp r i n c i p l e so fe p o n w e l a b o r e d t h e 卸l e m e n t i n gp r i n c i p l e ，p r o c e s sa n d h a r m so ft h e s ea t t a c k sm l u m n g s i m p l ep a s s i v em o n i t o r i n g ，d e n i a lo fd o s ，m a s q u e r a d i n g a n dt o s ( t h e f to f s e r v i 耐 a j l dd i s c u s s e dc o r r e s p o n d i n g c o u n t e r m e a s u r e s ， s u c n a s 江苏大学硕士学位论文 a u t h e n t i c a t i o n ，s o - c a l l e ds e c u r ep a c k a g i n ga n de n c r y p t i o na n di n t r u s i o n d e t e c t i o ne t c ( 2 ) ab o t h - t e r m i n a t i o n a u t h e n t i c a t i o nm e c h a n i s mb a s e do ne c c e n c r y p t i o nw a si n t r o d u c e d b a s e do nt h ea n a l y s i so fo n ua u t h e n t i c a t i o n ，o n l y o n uo t h e rt h a no l tw a sc e r t i f i e di nt h ep r o c e s so fe p o n ，r e s u l t i n gt h e s e c u r i t yh o l ew a sg e n e r a t e db y t h ei n t e r a c t i o nb e t w e e nt h el e g a lo n ua n dt h e o l tf a k e db yt h em a l i c i o u so n u ，t h e nw ei n t r o d u c eab o t h t e r m i n a t i o n a u t h e n t i c a t i o nm e c h a n i s mb a s e do ne c c e n c r y p t i o n ，a n dr e a l i z ei ti nt h eo l t a n do n us i d e ，t h ep r o p e r t yo fs e c u r i t yi sa l s oi m p r o v e d ( 3 ) t h ep e r f o r m a n c eo ft h er e g i s t r a t i o n - p r o c e s s - b a s e da u t h e n t i c a t i o n a n dt h eb o t h t e r m i n a t i o na u t h e n t i c a t i o nm e c h a n i s mb a s e do ne c c e n c r y p t i o na r es i m u l a t e d t h em o d u l eo fe p o nc o n s t r u c t e db yn s 2 ( a s o f t w a r ef o rn e t w o r ks i m u l a t i o n ) i su s e dt os i m u l a t et h ep e r f o r m a n c eo ft h e r e g i s t r a t i o n p r o c e s s - b a s e d a u t h e n t i c a t i o na n dt h eb o t h - t e r m i n a t i o n a u t h e n t i c a t i o nm e c h a n i s mb a s e do ne c c e n c r y p t i o n ，w i t ht h es i m u l a t i o n r e s u l tt h a tt h eb o t h t e r m i n a t i o na u t h e n t i c a t i o nm e c h a n i s mb a s e do ne c c e n c r y p t i o n s e c u r et h eh i g h e rs e c u r i t yb u tn e e ds o m el e s s e x p e n do f b a n d 丽d t h ( 4 ) t h ei n t r u s i o n d e t e c t i o ni s f i r s t l y u s e dt os o l v e t h es e c u r i t y m e c h a n i s m a g a i n s tt h ed o sa t t a c ko fe p o n a c c o r d i n g t ot h ec h a r a c t e r so f t h ed o sa t t a c k ，i n t e g r a t i n gw i t ht h e p r o p e r t yo fe p o n ，t h ei n t r u s i o n d e t e c t i o ni si n t r o d u c e da n das y s t e mf r a m e w o r ko fe p o ni sd e v i s e d a n d t h em a i nm o d u l ei n c l u d i n gp a c k e tc a p t u r e ，t h er u l eb a s e ，t h er e s o l u t i o n a g r e e m e n t ，i n t r u s i o nd e t e c t i o n , a l a r m ，l o gd a t a b a s ei s r e s e a r c h e da n d d e v i s e d ，e s p e c i a l l yt h er u l ea n da g r e e m e n tp a r s ea r ed e v i s e d k e y w o r d s ： e t h e r n e tp a s s i v eo p t i c a ln e t w o r k ( e p o n ) ，s e c u r i t y ，d o s ， a u t h e n t i c a t i o n ，i n t r u s i o nd e t e c t i o n ，s n o r t i v 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定， 同意学校保留并向国家有关部门或机构送交论文的复印件和电子版， 允许论文被查阅和借阅。本人授权江苏大学可以将本学位论文的全部 内容或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫 描等复制手段保存和汇编本学位论文。 本学位论文属于 保密口，在年解密后适用本授权书。 不保密阢 学位敝储繇厶 滞f 阴f 男日 指导教师签名：辈1 琊年f 明谚日 独创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独 立进行研究工作所取得的成果。除文中已注明引用的内容以外，本论 文不包含任何其他个人或集体已经发表或撰写过的作品成果。对本文 的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本 人完全意识到本声明的法律结果由本人承担。 学位论文作者签名：二毛a 日期：砂6 年f 月馏日 江苏大学硕士学位论文 1 1 研究背景 第一章绪论 不到十年时间，i n t e r n e t 以前所未有的速度席卷全球，并深刻影响甚至改变了 人们传统的生活和工作方式。今天，人们已经离不开i n t e r n e t 的魅力之网。近年 来，随着i n t e m e t 的普及和宽带应用型业务的大量涌现，用户的带宽需求日益增 长。 而骨干网传输速率得到持续增长，目前已经可以达到1 0 0t b i t s ，同时，以太 网技术也得到了的飞跃发展，用户网络如局域网( l a n ) 和家庭驻地网的带宽也 在最近十年内迅速由1 0 m b s 和1 0 0m b s 升级到1 g b s ，甚至1 0 gb s 。在核心网 络和用户驻地网的速度都达到吉比特级别同时，接入网部分又沦为整个网络的“瓶 颈”。 由于光纤传输频带宽、容量大、损耗低、抗干扰等优点，且目前光纤价格的 大幅下降，在接入网中采用光纤作为传输介质逐步被业界认同【l 】。因此出现了 嬲系列概念，并被写入i r ug 9 8 2 和g ；p o n b 等标准1 2 。硎( 光纤到户) 是 指将光网络单元( o n t o 安装在住家用户或企业用户处，是删系列中除m ( 光纤到桌面) 外最靠近用户的光接入网应用类型。硎作为接入网的最终理想， 已经被人们重视并开始大量应用。 无源光网络( p o n ) 由于具有节点无源、铺设运行维护成本低、对业务透明传 输以及升级容易等优点而备受关注【3 】【4 】。 p o n 技术始于2 0 世纪8 0 年代初，目前市场上的p o n 产品按照其采用的技 术，主要分为a p o n b p o n ( a t m p o n 宽带p o n ) 、e p o nf 以太网p o n ) 和g p o n ( 千兆比特p o n t ) ，其中，g p o n 是最新标准化和产品化的技术。a p o n 是在1 9 9 5 年提出的，当时，a t m 被期望为在局域网( l o 邶、城域网( m a n ) 和主干网占 据主要地位，然而从那以后，以太网技术发展超过了a t m 。现在以太网已经发展 成为了一个广为接受的标准，现在全球有超过4 0 0 万个以太端口，9 5 的l a n 都是使用以太网技术。以太网技术发展很快，传输速率从1 0m b i t s 1 0 0m b i t s 、 到1 0 0 0m b i t s 、1 0g b i t s 甚至4 0g b i t s ，呈数量级提高；应用环境也从l a n 向 m a n 、核心网发展。e p o n ，是基于以太网的宽带接入系统，它利用p o n 的拓扑 结构实现以太网的接入，是以太网和p o n 的融合。它是i e e e 8 0 2 3e f m ( e t h e m e 江苏大学硕士学位论文 i i lt h ef i r s tm i l e ) 研究小组最早提出的，由于利用了低成本的以太网设备和低成本 的光纤设施，相比于m ，f s a n ( 国际电信联盟全业务接入网工作组) 制定的 g p o n ，具有价格低、协议灵活、技术成熟等优势，而被认为是解决“最后一公里” 或“第一英里”问题极赋前景的解决方案【5 1 。 自在2 0 0 4 年6 月发布e p o n 技术规范i e e e8 0 2 3a h 以来，e p o n 技术得到 快速发展，目前相关的芯片和设备均已基本成熟，并有较大规模的应用。在日本， n 1 1 、k d d i 、y a h o o b b 等运营商从2 0 0 4 年开始部署e p o n ，采用硎、 册c + v d s 啪s l 2 + 等多种组网方式，为用户提供高带宽互联网接入业务。 目前，日本市场上已经部署了超过5 0 0 力线的e p o n 设备，而且每月新增的f t r h 用户数已经超过了d s l 用户。在韩国，k t 也在2 0 0 5 年左右开始e p o n 的商用 部署，并在2 0 0 6 年一次性采购了8 0 万线e p o n 设备，估计目前韩国的e p o n 规 模也己超过1 0 0 万线i 6 1 。我国在2 0 0 5 年4 月，烽火通信助力武汉电信成功开通了 国内首个由运营商主导的紫菘花园册商用工程，由此揭开了我国删的商 用序幕。作为国内最高标准的小区建设项目、被申报国家建设部“数字社区示 范工程的江苏省镇江虬叵美嘉园册试验由恒顺房地产开发有限公司开 发的“智能住宅小区 ，也已经在2 0 0 5 年内竣工并实现交付。到2 0 0 6 年，国内的 e p o n 市场规模已达到1 0 万线左右。2 0 0 7 年8 月，中国电信完成硎相关试 点、测试、选型工作，并进行了集采，首批采集数量达4 万线。目前，中国电信 正在积极筹划第二轮的集采工作。据统计，2 0 0 8 年，中国电信南方各省将会有2 0 万线以上的硎建设需求；未来3 年，其f i - m 用户数将保持每年2 - - - 3 倍的增 长速度。2 0 0 8 年3 月，中国网通也进行了首轮e p o n 设备集采。到目前为止，中 国网通仅在北京的删用户数就已超过2 万。 以太网和p o n 两种技术在给e p o n 带来便利的同时，其自身的安全性也给 其在接入网领域的应用提出了一个巨大的挑战。安全问题能否很好的解决对 e p o n 在接入网领域的大规模推广具有十分重要的意义。 1 2 研究现状 e p o n 是由i e e e8 0 2 3 工作组在2 0 0 0 年1 1 月成立的e f m ( e t h e m e ti nt h e f i r s tm i l e ) 研究小组提出的。开始正式研究包括1 2 5 g b i t s 的e p o n 在内的e f m 相关标准。e p o n 标准i e e e8 0 2 3 a h 已于2 0 0 4 年6 月正式颁布。 2 江苏大学硕士学位论文 由于e p o n 国内外标准规范的制订没有考虑到产品实际应用中会碰到的问 题，按照标准规范制订出来的e p o n 产品在市场推广应用中会存在一些需要解决 的问题。其中t d m 业务的承载、实时业务的o o s 问题、o a m ( 运行管理维护) 问题、安全问题等，研究的较多，对于e p o n 安全方面的研究相对较少。 众所周知，以太网技术最初主要应用在局域网，共享介质的特点存在安全隐 患，然而在私有网络环境下，安全性问题不是考虑的重点p o n 技术由于下行广播， 安全问题由来己久，早在a p o n 阶段业界就讨论很多，n u 在制定a p o n 标准时 还专门提出了安全相关策略。e p o n 在利用以太网技术和p o n 技术的同时，两者 的安全问题也得到了继承。和骨干网和城域网不同，接入网一个显著特点在于用 户侧的设备都在用户控制之下，设备对终端用户开放，因此安全问题更加突出。 e f m 专门在2 0 0 2 年9 月召开安全专题的讨论，经过激烈讨论，代表对e p o n 安全问题的存在性达成普遍共识，由于一些分歧，没有形成e p o n 的安全标准， 但对e p o n 安全措施的必要性达成了共识。目前普遍采用加密和认证的措施来保 障e p o n 的安全【7 一9 1 。但没有一套完整的e p o n 安全机制。文献 1 0 1 提出一套基 于“扰码”的加密方式，借助于密钥更新来提供安全策略，但扰码加密的安全性不 高，且诸多学者对a p o n 选用该加密方式存在质疑【6 j 。文献7 1 采用了高级加密标 准( a e s ) 对下行数据流进行加密，但文中只涉及到如何处理最后一个分组的方法， 加密整体方案没有讨论。对于认证的研究文献，多是提及借鉴常用宽带接入网的 认证方式对用户端进行认证，如文献 1 1 1 。但是认证的措施还有缺陷，且加密对 一些问题也不能很好的解决。因此，研究和改进e p o n 现有的安全解决方案，有 重要现实意义。 1 3 论文研究内容 论文从e p o n 的系统结构和原理入手，分析e p o n 系统中存在的各种安全问 题，重点研究d o s ，探讨了各种安全问题相应的对策，在此基础上重点研究e p o n 的认证方法，包括e p o n 的用户端认证的方式和一套基于注册过程的o n u 端认 证方案，设计一套双向认证方案改进基于注册过程的o n u 端认证方案只能对 o n u 进行认证产生安全隐患的缺点，最后针对d o s ，提出并设计入侵检测系统来 解决。 论文主要研究内容有： 3 江苏大学硕士学位论文 ( 1 ) 针对e p o n 的结构特点，详细分析e p o n 系统各种安全攻击，包括被动 监测、d o s 、伪装和t o s ，重点研究d o s 实施的原理、过程及其危害性；并针对 e p o n 中不同攻击，探讨相应的对策。 ( 2 ) 研究e p o n 的的用户端认证的方式和一套基于注册过程的o n u 端认证方 案，针对e p o n 认证注册过程中只对o n u 进行认证、没有对o l t 进行认证从而 导致恶意o n u 假冒o l t 与合法o n u 交互所产生的安全漏洞，提出一种基于e c c 加密的o l t 和o n u 之间双向认证机制，并在o l t 与o n u 端进行实现。 ( 3 ) 利用n s 2 ( 网络模拟) 软件搭建的e p o n 模块，分别对基于注册过程的 认证与基于e c c 加密的双向认证过程的性能进行仿真，比较两者性能。 ( 4 ) 针对e p o n 上行d o s 攻击的特征，结合e p o n 的特点，引入基于s n o r t 入侵检测，设计e p o n 入侵检测系统框架，并对各主要模块包括数据包捕获、规 则库、协议解析、入侵检测、报警、日志数据库等，进行研究和设计。 1 4 全文的组织安排 全文内容安排如下： 第一章：绪论，介绍课题的研究背景、研究现状、研究意义和本文所要从事 的主要工作。 第二章：简单介绍e p o n 系统的结构以及主要工作原理，重点介绍了e p o n 的多点控制协议，为实现e p o n 的安全策略打下基础。 第三章：分析了e p o n 系统中各种安全攻击实施的原理、过程及其危害性， 并探讨了相应的对策，并研究了e p o n 的认证方法。 第四章：提出并实现了一套基于e c c 加密的双向认证方案，分析了该方案在 e p o n 中的安全性、仿真了比较了两种方案的性能。 第五章：简单介绍了入侵检测的理论知识，针对上行d o s 攻击，结合e p o n 的特点，提出了基于s n o r t 入侵检测系统的框架，然后对基于e p o n 的入侵检测 系统的各主要模块进行了研究和设计。 第六章：对论文进行总结，并对研究的问题进行了延伸。 4 江苏大学硕士学位论文 第二章e p o n 体系结构 e p o n ( 以太无源光网络) ，即利用p o n ( 无源光网络) 的拓扑结构实现以 太网的接入。e p o n 是一种采用点到多点网络结构、无源光纤传输方式、基于高 速以太网平台和t d m 时分m a c ( m e d i aa c c e s sc o n t r o o 媒体访问控制方式、提 供多种综合业务的宽带接入技术。 2 1e p o n 拓扑结构 e p o n 是一种采用点到多点( p 2 m p ) 结构的单纤双向光接入网络，其典型结 构为树型结构。 典型的e p o n 系统一个典型的e p o n 系统主要由光线路终端( o l t ，o p t i c a l l i n et e r m i n a t i o n ) 、光网络单元( o n u ，o p t i c a ln e t w o r ku n i o 以及光分配网络 ( o d n ，o p t i c a ld i s t r i b u t i o nn e t w o r k ) 组成，为单纤双向系统。其中，下行方向为， o l t 发送的信号通过o d n 到达各o n u ；上行方向，各o n u 发送的信号只会到 达o l t ，而不会到达其他o n u 。为了避免数据冲突并提高网络利用效率，上行 方向采用t d m a 多址接入方式，并对各o n u 的数据进行仲裁。e p o n 的系统参 考结构如图2 1 所示。 用户 注：o d n 中的无源光分路器可以是一个或多少光分路器的级联 图2 1e p o n 的系统参考结构图 其中o l t 通常位于网络侧，放在中心局端( c o ，c e n t r a lo f f i c e ) ，用于把光 接入网连接到城域网或者广域网。它可以是一各l 2 交换机或l 3 路由器，提供网 络集中和接入，能完成光电转换、带宽分配和控制各信道的连接，并有实时监控、 管理及维护功能。 5 江苏大学硕士学位论文 o n u 通常位于用户侧，如小区( f t r c ) 、大楼( f r m ) 、用户家庭( f t r h ) 等，主要用来接入用户终端。它采用以太网协议，实现以太网第二层和第三层交 换功能。 o d n 一般采用无源光纤分支器( p o s ，p a s s i v eo p t i c a ls p l i t t e r ) ，它是一个连接 o n u 和o l t 的无源设备，用来分发下行数据并集中上行数据。o d n 的分光比为 1 ：1 6 到1 ：1 2 8 之间，即一个o l t 可以承担1 6 到1 2 8 个o n u ，但考虑到目前 的技术水平和经济因素，o l t 一般承担3 2 到6 4 个o n u 。 e p o n 作为一种新的宽带接入技术，应该是个全业务提供平台，能支持数据 业务，也能支持语音和视频等实时业务。i e e e 8 0 2 3 a h 规范的e p o n 技术是在单 根光纤上采用下行1 4 9 0 n m 上行1 3 1 0 n m 波长组合的波分复用技术( w d m ) ，并 增加一个1 5 5 0 r i m 波长。其中1 4 9 0 n m 携带下行数据、数字视频和语音业务，1 3 1 0 n m 传输上行用户语音信号、数字视频点播( v o d ) 和下载数据的请求，而增加的 1 5 5 0 n m 用来传输模拟视频信号【8 j 。上下行速率均为1 2 5 g b i t s ，传输距离是 1 0 2 0 k m ，分路比是3 2 1 6 。 2 2e p o n 帧结构 e p o n 帧格式基本与i e e e8 0 2 3 的以太数据帧格式兼容，只在以太帧中加入 时戳( r t m es t a m p ) 、l l i d 等信息。 e p o n 的上行帧结构如图2 2 所利5 1 。下行数据流被分割成具有固定长度的 帧，每帧含有多个不同长度的数据包。时钟信息以同步标记的形式存在于每一帧 的开始处。每隔一定的时间( 与上行传输的帧的长度有关，图中为2 m s ) 传输一 次同步标记以使o n u 与o l t 同步。 图2 2e p o n 的下行帧结构 每个可变长度的数据包被赋予某个o n u 的地址，用1 ，2 ，3 n 表示o n u 6 江苏大学硕士学位论文 的序号。数据包由可变长度的净荷、信头和错误校验区组成。 e p o n 的上行帧结构如图2 3 所示5 1 。上行传输的数据流被分成有固定长度的 帧，每帧又被分成指定给各个o n u 的时隙，每个时隙可包含几个变长的数据包。 每帧的开始处含有帧的标识。 帧长2 m s 1 4 一一“ 长反司燹 图2 3 e p o n 的上行帧结构 上行传输的每一帧中都赋予每个o n u 以相应的时隙，用o n u 的序号1 ，2 ， 3 n 表示。每个时隙中包含变长的数据包和时隙开销，时隙开销主要包括保护带 宽，时间标识及信号功率标识等。如在指定的时隙中o n u 没有数据上传，则以 填充位填充1 9 1 。 2 3e p o n 工作原理 当o l t 启动后，它会周期性的在本端口上广播允许接入的时隙等信息。o n u 上电后，根据o l t 广播的允许接入信息，主动发起注册请求，o l t 通过对o n u 的认证( 本过程可选) ，允许o n u 接入，并给请求注册的o n u 分配一个本o l t 端v i 唯一的一个逻辑链路标识( l l i d ) 。 2 3 1e p o n 下行数据传输 数据从o l t 到多个o n u 以广播式下行( 时分复用技术t d m ) ，根据 i e e e 8 0 2 3 a h 协议，每一个数据帧的帧头包含前面注册时分配的、特定o n u 的逻 辑链路标识( l l i d ) ，该标识表明本数据帧是给o n u ( o n u l 、o n u 2 、o n u 3 o n u n ) 中的唯一一个。另外，部分数据帧可以是给所有的o n u ( 广播式) 或者 特殊的一组o n u ( 组播) ，在图2 4 的组网结构下，在分光器处，流量分成独立 的三组信号，每一组载到所有o n u 的信号。当数据信号到达o n u 时，o n u 根 据l l i d ，在物理层上做判断，接收给它自己的数据帧，摒弃那些给其它o n u 的 7 江苏大学硕士学位论文 数据帧。举例，图2 4 中，o n u 2 收到包2 、1 、3 、1 ，但是它仅仅发送包2 给终 端用户2 ，摒弃其他。 2 3 2e p o n 上行数据传输 图2 4e p o n 下行传输 对于上行，采用时分多址接入技术e m m a ) 分时隙给o n u 传输上行流量。 当o n u 在注册时成功后，o l t 会根据系统的配置，给o n u 分配特定的带宽，( 在 采用动态带宽调整时，o l t 会根据指定的带宽分配策略和各个o n u 的状态报告， 动态的给每一个o n u 分配带宽) 。带宽对于p o n 层面来说，就是多少可以传输 数据的基本时隙，每一个基本时隙单位时间长度为1 6 n s 。在一个o l t 端口( p o n 端口1 下面，所有的o n u 与o l tp o n 端e 1 之间时钟是严格同步的，每一个o n u 只能够在o l t 给他分配的时刻上面开始，用分配给它的时隙长度传输数据。通过 时隙分配和时延补偿，确保多个o n u 的数据信号耦合到一根光纤时，各个o n u 的上行包不会互相干扰。上行传输原理如图2 5 。 图2 5e p o n 上行传输 8 江苏大学硕士学位论文 2 4e p o n 协议 2 4 1e p o n 的协议层次模型 对于以太网技术而言，p o n 是一个新的媒质。8 0 2 3 工作组定义了新的物理 层。而对以太网m a c 层以及m a c 层以上则尽量做最小的改动以支持新的应用 和媒质。e p o n 的层次模型如图2 6 t 5 】： 图2 6 e p o n 的层次模型 其中：f e c = 前向纠错，g m i i = 千兆比媒质独立接口，p c s = 物理编码子层， m d i = 媒质相关接口，o a m = 运行、管理和维护，p 加= 物理介质相关子层，p m a = 物理介质附加子层，r s = 调和子层。 2 4 2e p o n 的物理层子层 e p o n 的物理层构成整个网络数据传输的基础，它通过g m i i 接口与r s 层相 连，担负着为m a c 层传送可靠数据的责任。 e p o n 物理层定义了物理编码子层( p c s ) 、物理介质附加子层( p m a ) 、物 理介质相关子层( p m d ) 和调和子层限s ) 。p c s 将g m i i 发送的数据进行编码 解码，使之适合在物理媒体上传送；p m a 生成并接收线路上的信号；p m d 提供 与传输介质的物理连接；r s 层的基本功能为将g m i i 的数据与相关控制信号映射 到百兆以太网的p l s 服务原语。 9 江苏大学硕士学位论文 2 4 3 多点控制协议m p c p m p c p 协议是m a c 控制子层的主要部分，用于实现一个可控制的网络配置， 如o n u 的自动发现和注册、测距以及上行接入技术等【1 3 】。如图2 8 所示，m a c 控制子层位于m a c 之上，m a c 客户端的数据首先通过m a c 控制子层，数据和 m a c 子层的数据复接后送到m a c 层，进一步传到链路上。在o n u 端，所有数 据首先通过m a c 层，控制解析模块将对收到的数据进行解析，进而解析出正常 的数据帧和m p c p 帧。正常的数据帧将会继续上传给m a c 客户层，而m a c 控 制帧将对o n u 产生相应操作，并终止在m a c 控制层。因此，从m a c 客户层角 度来讲，控制帧都是不可见的，m p c p 帧只在e p o n 内部传送，传送过程如图2 7 所示。 o l to n u 一 数 据 弋， 堑接砖 m a c m l 一一龛 图2 7m p c p 消息传送过程 2 4 3 1m p c p 控制帧 由i e e e 8 0 2 3 a h 任务组开发的多点控制协议( m p c p ) 是一种信号协议，用来 给每个o n u 分配上行传输时隙，控制o l t 与o n u 之间的信息传递。m p c p 协 议在m a c 控制层实现，为了完成点对多点的控制功能，引入五个新的m p c p 控 制帧：g a t e 、r e p o r t 、耻i s t e rr e o 、r e g i s t e r 和r e g i s t e ra c k 。这 五个m p c p 控制帧采用标准的以太网帧格式，长度为最小以太网帧的长度斟 个字节，图2 8 为m p c p 消息帧格式。和普通以太网帧不同的是，m p c p 消息帧 的类型字段为8 8 0 8 ，操作码字段用于区分不同的m p c p 控制帧，各种控制帧操 作码如表2 1 所示。这五种m p c p 控制帧在e p o n 中分别被赋予了不同的用途， 1 0 江苏大学硕士学位论文 其中，g a t e 和r e p o r t 用于带宽分配机制和测距，g a t e 、r e p o r t 、 l 也g i s t e rr e q 、r e g i s t e r 和r e g i s t e ra c k 用于自动发现和注册过程。 p r e a m b l e s f d ( 前导码) 8 字节 m a c d a ( 源地址)6 字节 m a c s a ( 源地址)6 字节 长度类型= 8 8 0 8 2 字节 o p c o d e ( 操作码) 2 字诲 t i m e s t a m p ( 时戳) 4 字节 d a t a r e s e v e d p a d ( 数据域)4 0 字节 f c s ( 帧校检序列) 4 字节 图2 8 m p c p 控制帧结构 表2 1m p c p 控制帧的操作码 m p c p d u 操作码 g a l l b 0 0 0 2 r e p o r t0 0 0 3 r e g i s t e rr e q0 0 0 4 r e g i s t e r0 0 0 5 r e g i s t ea c k0 0 0 6 2 4 3 2q 虹e 砌珀o r t 机制 在g 椰e p o r t 机制中，o n u 端等待o l t 发出的g a t e ，然后通过r e p o r t 向o l t 报告自己的状态，并请求自己所需要的带宽。o l t 端则先产生时间标记 ( t i m es t a m p ) ，并给每个o n u 分配一个初始带宽，通过g a t e 发给o n u ，然后 通过o n u 的r e p o r t 完成测距，并根据o n u 的状态再发出授权( g r a n t ) ，从 而成功建立连接。 2 4 3 3 自动发现及注册流程 自动发现和注册是保证o l t 和o n u 之间能够正常通信的关键技术之一。自 动发现是如何让最近连接的或者离线的o n u 能够接入到p o n 上的一个流程。 e p o n 上行采用t d m a 技术，o l t 根据系统中在线的o n u 的状态通过动态带宽 分配方法分配上行时隙，断电的o n u 将被去除从而不参与带宽分配。因此对于 江苏大学硕士学位论文 重新加电和新添加的o n u ，系统必须具有自动发现的功能，即o l t 必须能够定 期或不定期地检查网络状态，以便确定是否有新加入的o n u 需要激活并分配带 宽。自动发现和注册过程主要完成以下功能： 1 1 系统复位或上电后发现各个o n u 以及正常工作过程中发现需要加入的 o n u ； 劲完成新加入的o n u 的l l i d 的分配工作； 3 ) 粗测o n u 的往返时延( r r t ，r o u n d t r i pt i m e ) 值； 钔协商o n u 的相关参数。 自动发现和注册过程使用g a t e 、r e g i s t e r 、 和_req r e g i s t e r r e g i s t e ra c k 四种m p c p 消息。其中g a t e 帧有两个功能，一是用于分配上 行数据的时隙，二是用于完成o n u 注册请求消息的发送。这两种g a t e 信息通 过发现标志位( d i s c o v e r y ) 来区分，当d i s c o v e r y - 1 时，表示该g a t e 帧 用于新的o n u 的发现和注册，称为发现g a t e 帧，反之，表示该g a t e