CN116684768A - 一种安全云olt设备的管理方法 - Google Patents

Abstract

本发明公开了一种安全云OLT设备的管理方法，涉及设备管理领域，所述安全云OLT设备的具体管理方法为：S1，OLT设备发送加密发现报文；S2，客户端接收到OLT设备的发现报文后，解密发现报文；该安全云OLT设备的管理方法，通过OLT设备发送加密发现报文，客户端接收到OLT设备的发现报文后，解密发现报文，可以保证接入客户端的设备都是得到允许的设备，避免接入的设备为未得到允许的设备造成系统损坏，通过检查设备的MAC地址是否被用户绑定可以避免由于发送的为空设备造成资源的浪费，通过生成的通过隧道可供用户访问OLT设备，同时通过设置相邻通过隧道的重叠面积的检查功能，可以保证相邻通过隧道的信号通过率，避免造成信号干扰。

Description

一种安全云OLT设备的管理方法

技术领域

本发明涉及设备管理技术，具体涉及一种安全云OLT设备的管理方法。

背景技术

光纤接入组网架构下，接入网络中存在海量的光网络单元或者光网络终端设备，为便于描述，以下统称光网络单元ONU，为了实现对ONU设备的管理，目前采取的实现方案是光线路终端通过操作管理维护或者ONT管理控制接口代理管理ONU。

该方案的具体实现方式如下：OLT对外发布统一的公网管理IP地址，可通过该公网管理IP地址访问OLT所带的ONU并对其进行简单管理协议管理业务管理系统根据ONU所在OLT的公网管理IP地址发送访问ONU的SNMP报文，该SNMP报文中携带OLT的框号/槽位号/端口光纤网络终端标识信息，OLT接收通过公网转发的SNMP报文，获取该SNMP报文中的OLT/框/槽/端口/ONTID信息，并将SNMP报文转换成OAM/OMCI报文(在EPON系统中使用OAM，在GPON系统中使用OMCI)，通过无源光网络线路管理通道发送到相应的ONU设备。

现有的OLT设备在进行使用时，接入网侧不断下沉的OLT，故障排查极难，同时现有的OLT设备在进行联网操作时相邻两个通信线路存在相互干扰。

发明内容

本发明的目的是提供一种安全云OLT设备的管理方法，以解决现有技术中的上述不足之处。

为了实现上述目的，本发明提供如下技术方案：一种安全云OLT设备的管理方法，所述安全云OLT设备的具体管理方法为：

S1，OLT设备发送加密发现报文；

S2，客户端接收到OLT设备的发现报文后，解密发现报文；

S3，检查设备的MAC地址是否被用户绑定，若检查结果为MAC地址未被用户绑定，则将S1中发送的报文丢弃；

S4，若步骤S3检查结果为MAC地址被用户设备绑定，则进行密钥协商；

S5，若步骤S4中密钥协商通过，则动态生成通过隧道，通过生成的通过隧道可供用户访问OLT设备。

进一步地，所述OLT设备加密报文的具体方式为：

A1，客户端执行待加密报文扫描后，会将原报文和新建报文的报文路径传递给报文过滤驱动，报文过滤驱动调用一个自定义的函数StaticFileEncrypt进行处理；

A2，调用IoCreatFile函数打开原报文，获取报文句柄，调用rdbuf函数获取报文的字节流；

A3，客户端调用密钥生成功能生成报文加密的对称加密密钥，并用公钥完成非对称加密后传递给报文过滤驱动，报文过滤驱动将这个密钥和其他信息组合，构造加密标识并写入字节流的头部；

A4，将字节流重定向到新报文中，即向新报文中写入原报文内容，在此过程中触发IO管理器的IRP_MJ_WRITE消息，报文过滤驱动拦截后进入PreWrite回调例程，首先对IRP做预处理，将不符合加密条件的IRP过滤掉；

A5，通过回调信息中的iopb获取即将要被加密处理的数据所在的缓冲区；

A6，从加密标识的EncryptKey参数中获取密文形式的加解密密钥，使用私钥进行非对称解密，得到明文形式的密钥；

A7，调用ExAllocatePoolWithTag函数在内核空间申请一块长度为iopb->Parameters.Write.Length的数据缓冲区；

A8，调用RtlCopyMemory函数将步骤A2中获取到的缓冲区中的数据拷贝到新申请的缓冲区中；

A9，通过File_EncryptBuffer函数，使用AES加密算法与密钥将缓冲区中的数据加密。

进一步地，所述云端解密报文的具体方法为：

B1，进入PreWrite回调例程，首先对IRP做预处理，将不符合解密条件的IRP过滤掉；

B2，符合解密条件的IRP将被发往报文系统驱动，待报文系统驱动将报文密文数据读出并向IO管理器返回请求时，报文过滤驱动截获该请求，进入PostRead回调例程；

B3，通过回调信息中的iopb获取即将要被解密处理的数据所在缓冲区，可以通过两种途径获取到缓冲区，判断iopb->Parameters.Read.MdlAddress是否为空；

B4，获取报文的数据长度，通过Data->IoStatus.Information判断数据长度是否为0，如果读取到的数据长度为0则不进行任何处理，将请求返回给I/O管理器；

B5，获取报文的解密标识，对解密标识进行解析，根据标识中的标志位来确定该报文是否需要解密；

B6，从解密标识的EncryptKey参数中获取密文形式的加解密密钥，并使用私钥进行非对称解密，得到明文形式的密钥；

B7，调用ExAllocatePoolWithTag函数在内核空间申请一块长度为iopb->Parameters.Read.Length的数据缓冲区；

B8，通过File_EncryptBuffer函数，使用AES解密算法与密钥将原缓冲区中的数据解密，放入新缓冲区中；

B9，将内核缓冲区中的报文明文数据拷贝到监控层空间的缓冲区；

B10，将存放明文形式密钥的内存空间释放，并将保存报文明文数据的缓冲区释放，完成PostRead回调例程，返回请求，解密过程结束。

进一步地，所述进行密钥协商的准备步骤为：

C1，公钥生成：

确定安全参数l，选择循环群G，其中G的阶为大素数q，生成元为P，其中q>2^l，接收端选取私钥s∈Z_q ^*，计算P_pub=sP，选择哈希函数H₁；{0，1}^LU×G²→Z_q ^*，H₂；{0，1}^LU×{0，1}^LU×G²→Z_q ^*，H₃；{0，1}^LU×{0，1}^LU×G⁵→{0，1}^K，其中L_U为身份标识的位数，将MAC地址设为用户A，用户设备设为用户B；

C2，节点注册：

1，秘密值生成：用户A选取X_A∈Z_q ^*，计算X_A=x_AP：

2，部分私钥生成；A用安全信道将X_A、ID_A发送给接收端，接收端选取随机数r_A∈Z_q ^*，计算R_A=r_AP，生成用户部分私钥D_A=sH₁（ID_A，R_A，X_A）+r_A，系统将D_A，R_A发送给用户A，其中安全信道发送D_A，R_A由公共信道发送：

3，部分私钥合法性验证：通过D_APⁿ=R_A+H₁（ID_A，R_A，X_A）P_pub；

C3，节点注册完成后节点A的完整公由<X_A，R_A>构成，完整私钥由<x_A，D_A>构呈成。

进一步地，所述进行密钥协商的具体方式为：

D1，用户A选择随机临时私钥a∈Z_q ^*，计算T_A=aP，签名g_A=a+H₂（ID_A，ID_B，X_B，T_A），发送g_A、ID_A、R_A、T_A、X_A至用户B；

D2，验证g_APⁿ=T_A+H₂（ID_A，ID_B，X_B，T_A）（R_A+H₁（ID_A，R_A，X_A）P_pub）等式是否成立；

D3，若步骤D2中等式成立则密钥协商通过。

进一步地，所述通过隧道的生成方式为：

E1，计算通过隧道接收功率，具体计算公式如下：

，

其中P_r和P_i分别表示通过隧道接收和发送功率，Gi为信号增益，Gr为信号在半径上的损耗，l为过客通道侧壁与信号之间的距离；

E2，计算相邻两个过客通道的距离l_r，具体计算公式如下：

；

E3，计算相交通过隧道的交点与信号圆心的二分之一圆心角θ，具体计算公式如下：

；

E4，计算一侧的扇形面积，具体计算公式如下：

；

E5，计算相邻通过隧道在同一平面上的重叠面积，具体计算公式如下：

。

与现有技术相比，本发明提供的一种安全云OLT设备的管理方法，通过OLT设备发送加密发现报文，客户端接收到OLT设备的发现报文后，解密发现报文，可以保证接入客户端的设备都是得到允许的设备，避免接入的设备为未得到允许的设备造成系统损坏，通过检查设备的MAC地址是否被用户绑定可以避免由于发送的为空设备造成资源的浪费，通过生成的通过隧道可供用户访问OLT设备，同时通过设置相邻通过隧道的重叠面积的检查功能，可以保证相邻通过隧道的信号通过率，避免造成信号干扰。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的整体流程结构示意图。

具体实施方式

为了使本领域的技术人员更好地理解本发明的技术方案，下面将结合附图对本发明作进一步的详细介绍。

请参阅图1，一种安全云OLT设备的管理方法，安全云OLT设备的具体管理方法为：

S1，OLT设备发送加密发现报文；

S2，客户端接收到OLT设备的发现报文后，解密发现报文；

S3，检查设备的MAC地址是否被用户绑定，若检查结果为MAC地址未被用户绑定，则将S1中发送的报文丢弃；

S4，若步骤S3检查结果为MAC地址被用户设备绑定，则进行密钥协商；

S5，若步骤S4中密钥协商通过，则动态生成通过隧道，通过生成的通过隧道可供用户访问OLT设备。

这样设置安全云OLT设备的具体管理方法为通过OLT设备发送加密发现报文，客户端接收到OLT设备的发现报文后，解密发现报文，这样设置可以保证接入客户端的设备都是得到允许的设备，避免接入的设备为未得到允许的设备造成系统损坏，检查设备的MAC地址是否被用户绑定，若检查结果为MAC地址未被用户绑定，则将发送的报文丢弃，若检查结果为MAC地址被用户设备绑定，这样设置可以保证OLT设备全为被用户绑定的设备，避免由于发送的为空设备造成资源的浪费，则进行密钥协商，若中密钥协商通过，则动态生成通过隧道，通过生成的通过隧道可供用户访问OLT设备，同时通过设置相邻通过隧道的重叠面积的检查功能，可以保证相邻通过隧道的信号通过率，避免造成信号干扰。

OLT设备加密报文的具体方式为：

A1，客户端执行待加密报文扫描后，会将原报文和新建报文的报文路径传递给报文过滤驱动，报文过滤驱动调用一个自定义的函数StaticFileEncrypt进行处理；

A2，调用IoCreatFile函数打开原报文，获取报文句柄，调用rdbuf函数获取报文的字节流；

A3，客户端调用密钥生成功能生成报文加密的对称加密密钥，并用公钥完成非对称加密后传递给报文过滤驱动，报文过滤驱动将这个密钥和其他信息组合，构造加密标识并写入字节流的头部；

A4，将字节流重定向到新报文中，即向新报文中写入原报文内容，在此过程中触发IO管理器的IRP_MJ_WRITE消息，报文过滤驱动拦截后进入PreWrite回调例程，首先对IRP做预处理，将不符合加密条件的IRP过滤掉；

A5，通过回调信息中的iopb获取即将要被加密处理的数据所在的缓冲区；

A6，从加密标识的EncryptKey参数中获取密文形式的加解密密钥，使用私钥进行非对称解密，得到明文形式的密钥；

A7，调用ExAllocatePoolWithTag函数在内核空间申请一块长度为iopb->Parameters.Write.Length的数据缓冲区；

A8，调用RtlCopyMemory函数将步骤A2中获取到的缓冲区中的数据拷贝到新申请的缓冲区中；

A9，通过File_EncryptBuffer函数，使用AES加密算法与密钥将缓冲区中的数据加密。

这样设置

云端解密报文的具体方法为：

B1，进入PreWrite回调例程，首先对IRP做预处理，将不符合解密条件的IRP过滤掉；

B2，符合解密条件的IRP将被发往报文系统驱动，待报文系统驱动将报文密文数据读出并向IO管理器返回请求时，报文过滤驱动截获该请求，进入PostRead回调例程；

B3，通过回调信息中的iopb获取即将要被解密处理的数据所在缓冲区，可以通过两种途径获取到缓冲区，判断iopb->Parameters.Read.MdlAddress是否为空；

B4，获取报文的数据长度，通过Data->IoStatus.Information判断数据长度是否为0，如果读取到的数据长度为0则不进行任何处理，将请求返回给I/O管理器；

B5，获取报文的解密标识，对解密标识进行解析，根据标识中的标志位来确定该报文是否需要解密；

B6，从解密标识的EncryptKey参数中获取密文形式的加解密密钥，并使用私钥进行非对称解密，得到明文形式的密钥；

B7，调用ExAllocatePoolWithTag函数在内核空间申请一块长度为iopb->Parameters.Read.Length的数据缓冲区；

B8，通过File_EncryptBuffer函数，使用AES解密算法与密钥将原缓冲区中的数据解密，放入新缓冲区中；

B9，将内核缓冲区中的报文明文数据拷贝到监控层空间的缓冲区；

B10，将存放明文形式密钥的内存空间释放，并将保存报文明文数据的缓冲区释放，完成PostRead回调例程，返回请求，解密过程结束。

这样设置

进行密钥协商的准备步骤为：

C1，公钥生成：

确定安全参数l，选择循环群G，其中G的阶为大素数q，生成元为P，其中q>2^l，接收端选取私钥s∈Z_q ^*，计算P_pub=sP，选择哈希函数H₁；{0，1}^LU×G²→Z_q ^*，H₂；{0，1}^LU×{0，1}^LU×G²→Z_q ^*，H₃；{0，1}^LU×{0，1}^LU×G⁵→{0，1}^K，其中L_U为身份标识的位数，将MAC地址设为用户A，用户设备设为用户B；

C2，节点注册：

1，秘密值生成：用户A选取X_A∈Z_q ^*，计算X_A=x_AP：

2，部分私钥生成；A用安全信道将X_A、ID_A发送给接收端，接收端选取随机数r_A∈Z_q ^*，计算R_A=r_AP，生成用户部分私钥D_A=sH₁（ID_A，R_A，X_A）+r_A，系统将D_A，R_A发送给用户A，其中安全信道发送D_A，R_A由公共信道发送：

3，部分私钥合法性验证：通过D_APⁿ=R_A+H₁（ID_A，R_A，X_A）P_pub；

C3，节点注册完成后节点A的完整公由<X_A，R_A>构成，完整私钥由<x_A，D_A>构呈成。

进行密钥协商的具体方式为：

D1，用户A选择随机临时私钥a∈Z_q ^*，计算T_A=aP，签名g_A=a+H₂（ID_A，ID_B，X_B，T_A），发送g_A、ID_A、R_A、T_A、X_A至用户B；

D2，验证g_APⁿ=T_A+H₂（ID_A，ID_B，X_B，T_A）（R_A+H₁（ID_A，R_A，X_A）P_pub）等式是否成立；

D3，若步骤D2中等式成立则密钥协商通过。

通过隧道的生成方式为：

E1，计算通过隧道接收功率，具体计算公式如下：

，

其中P_r和P_i分别表示通过隧道接收和发送功率，Gi为信号增益，Gr为信号在半径上的损耗，l为过客通道侧壁与信号之间的距离；

E2，计算相邻两个过客通道的距离l_r，具体计算公式如下：

；

E3，计算相交通过隧道的交点与信号圆心的二分之一圆心角θ，具体计算公式如下：

；

E4，计算一侧的扇形面积，具体计算公式如下：

；

E5，计算相邻通过隧道在同一平面上的重叠面积，具体计算公式如下：

，

在通过隧道的生成过程中只需要保证S为最小值即可保证相邻通过隧道的相互干扰最小。

工作原理：使用时，通过OLT设备发送加密发现报文，客户端接收到OLT设备的发现报文后，解密发现报文，这样设置可以保证接入客户端的设备都是得到允许的设备，避免接入的设备为未得到允许的设备造成系统损坏，检查设备的MAC地址是否被用户绑定，若检查结果为MAC地址未被用户绑定，则将发送的报文丢弃，若检查结果为MAC地址被用户设备绑定，这样设置可以保证OLT设备全为被用户绑定的设备，避免由于发送的为空设备造成资源的浪费，则进行密钥协商，若中密钥协商通过，则动态生成通过隧道，通过生成的通过隧道可供用户访问OLT设备，同时通过设置相邻通过隧道的重叠面积的检查功能，可以保证相邻通过隧道的信号通过率，避免造成信号干扰。

以上只通过说明的方式描述了本发明的某些示范性实施例，毋庸置疑，对于本领域的普通技术人员，在不偏离本发明的精神和范围的情况下，可以用各种不同的方式对所描述的实施例进行修正。因此，上述附图和描述在本质上是说明性的，不应理解为对本发明权利要求保护范围的限制。

Claims (6)

1.一种安全云OLT设备的管理方法，其特征在于，所述安全云OLT设备的具体管理方法为：

S1，OLT设备发送加密发现报文；

S2，客户端接收到OLT设备的发现报文后，解密发现报文；

S3，检查设备的MAC地址是否被用户绑定，若检查结果为MAC地址未被用户绑定，则将S1中发送的报文丢弃；

S4，若步骤S3检查结果为MAC地址被用户设备绑定，则进行密钥协商；

S5，若步骤S4中密钥协商通过，则动态生成通过隧道，通过生成的通过隧道可供用户访问OLT设备。

2.根据权利要求1所述的一种安全云OLT设备的管理方法，其特征在于，所述OLT设备加密报文的具体方式为：

A1，客户端执行待加密报文扫描后，会将原报文和新建报文的报文路径传递给报文过滤驱动，报文过滤驱动调用一个自定义的函数进行处理；

A2，打开原报文，获取报文句柄，获取报文的字节流；

A3，客户端调用密钥生成功能生成报文加密的对称加密密钥，并用公钥完成非对称加密后传递给报文过滤驱动，报文过滤驱动将这个密钥和其他信息组合，构造加密标识并写入字节流的头部；

A4，将字节流重定向到新报文中，即向新报文中写入原报文内容，在此过程中触发IO管理器的IRP_MJ_WRITE消息，报文过滤驱动拦截后进入PreWrite回调例程，首先对IRP做预处理，将不符合加密条件的IRP过滤掉；

A5，通过回调信息中的iopb获取即将要被加密处理的数据所在的缓冲区；

A6，从加密标识的EncryptKey参数中获取密文形式的加解密密钥，使用私钥进行非对称解密，得到明文形式的密钥；

A7，在内核空间申请一块长度为iopb->Parameters.Write.Length的数据缓冲区；

A8，将步骤A2中获取到的缓冲区中的数据拷贝到新申请的缓冲区中；

A9，使用AES加密算法与密钥将缓冲区中的数据加密。

3.根据权利要求1所述的一种安全云OLT设备的管理方法，其特征在于，所述云端解密报文的具体方法为：

B1，进入PreWrite回调例程，首先对IRP做预处理，将不符合解密条件的IRP过滤掉；

B2，符合解密条件的IRP将被发往报文系统驱动，待报文系统驱动将报文密文数据读出并向IO管理器返回请求时，报文过滤驱动截获该请求，进入PostRead回调例程；

B3，通过回调信息中的iopb获取即将要被解密处理的数据所在缓冲区，可以通过两种途径获取到缓冲区，判断iopb->Parameters.Read.MdlAddress是否为空；

B4，获取报文的数据长度，通过Data->IoStatus.Information判断数据长度是否为0，如果读取到的数据长度为0则不进行任何处理，将请求返回给I/O管理器；

B5，获取报文的解密标识，对解密标识进行解析，根据标识中的标志位来确定该报文是否需要解密；

B6，从解密标识的EncryptKey参数中获取密文形式的加解密密钥，并使用私钥进行非对称解密，得到明文形式的密钥；

B7，在内核空间申请一块长度为iopb->Parameters.Read.Length的数据缓冲区；

B8，使用AES解密算法与密钥将原缓冲区中的数据解密，放入新缓冲区中；

B9，将内核缓冲区中的报文明文数据拷贝到监控层空间的缓冲区；

B10，将存放明文形式密钥的内存空间释放，并将保存报文明文数据的缓冲区释放，完成PostRead回调例程，返回请求，解密过程结束。

4.根据权利要求1所述的一种安全云OLT设备的管理方法，其特征在于，所述进行密钥协商的准备步骤为：

C1，公钥生成：

确定安全参数l，选择循环群G，其中G的阶为大素数q，生成元为P，其中q>2^l，接收端选取私钥s∈Z_q ^*，计算P_pub=sP，选择哈希函数H₁；{0，1}^LU×G²→Z_q ^*，H₂；{0，1}^LU×{0，1}^LU×G²→Z_q ^*，H₃；{0，1}^LU×{0，1}^LU×G⁵→{0，1}^K，其中L_U为身份标识的位数，将MAC地址设为用户A，用户设备设为用户B；

C2，节点注册：

1，秘密值生成：用户A选取X_A∈Z_q ^*，计算X_A=x_AP：

2，部分私钥生成；A用安全信道将X_A、ID_A发送给接收端，接收端选取随机数r_A∈Z_q ^*，计算R_A=r_AP，生成用户部分私钥D_A=sH₁（ID_A，R_A，X_A）+r_A，系统将D_A，R_A发送给用户A，其中安全信道发送D_A，R_A由公共信道发送：

3，部分私钥合法性验证：通过D_APⁿ=R_A+H₁（ID_A，R_A，X_A）P_pub；

C3，节点注册完成后节点A的完整公由<X_A，R_A>构成，完整私钥由<x_A，D_A>构呈成。

5.根据权利要求4所述的一种安全云OLT设备的管理方法，其特征在于，所述进行密钥协商的具体方式为：

D1，用户A选择随机临时私钥a∈Z_q ^*，计算T_A=aP，签名g_A=a+H₂（ID_A，ID_B，X_B，T_A），发送g_A、ID_A、R_A、T_A、X_A至用户B；

D2，验证g_APⁿ=T_A+H₂（ID_A，ID_B，X_B，T_A）（R_A+H₁（ID_A，R_A，X_A）P_pub）等式是否成立；

D3，若步骤D2中等式成立则密钥协商通过。

6.根据权利要求1所述的一种安全云OLT设备的管理方法，其特征在于，所述通过隧道的生成方式为：

E1，计算通过隧道接收功率，具体计算公式如下：

，

其中P_r和P_i分别表示通过隧道接收和发送功率，Gi为信号增益，Gr为信号在半径上的损耗，l为过客通道侧壁与信号之间的距离；

E2，计算相邻两个过客通道的距离l_r，具体计算公式如下：

；

E3，计算相交通过隧道的交点与信号圆心的二分之一圆心角θ，具体计算公式如下：

；

E4，计算一侧的扇形面积，具体计算公式如下：

；

E5，计算相邻通过隧道在同一平面上的重叠面积，具体计算公式如下：

。