JP4069013B2 - COMMUNICATION DEVICE, COMMUNICATION SYSTEM, AND COMMUNICATION METHOD - Google Patents
COMMUNICATION DEVICE, COMMUNICATION SYSTEM, AND COMMUNICATION METHOD Download PDFInfo
- Publication number
- JP4069013B2 JP4069013B2 JP2003144338A JP2003144338A JP4069013B2 JP 4069013 B2 JP4069013 B2 JP 4069013B2 JP 2003144338 A JP2003144338 A JP 2003144338A JP 2003144338 A JP2003144338 A JP 2003144338A JP 4069013 B2 JP4069013 B2 JP 4069013B2
- Authority
- JP
- Japan
- Prior art keywords
- type identifier
- combination
- address
- serial number
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、時分割多重アクセス方式を行う通信装置の識別に関するもので、ある通信装置があたかも他の通信装置であるかのように振舞う「なりすまし」を通信装置のアドレス及び製造番号を用いて検出、防止することにより、通信システムのセキュリティを向上せしめる通信装置、通信システム及び通信方法に関する。
【0002】
【従来の技術】
複数の装置が単一の通信媒体を共用して互いに通信するためには、ある装置が送信した信号を他が送信した信号と区別して判読できることが必要である。この方式は一般に多重アクセス方式と呼ばれ、その1つとして時分割多重アクセス方式がある。
【0003】
時分割多重アクセス方式は、各装置が送信する時間を違えることにより区別を可能とする方式である。時分割多重アクセス方式においては、ある時点で通信媒体に信号を送信する装置の数は常に1以下であり、信号の衝突が発生しないように制御される。従って、その通信媒体から信号を受信する装置は他の装置からのデータを全て判読することが可能となる。
【0004】
時分割多重アクセス方式には、すべての装置が同一の手続きで多重アクセスを制御するものと、ある装置が一元的に多重アクセスを制御するものの二種類に大別される。ここで、前者を「自律型」時分割多重アクセス方式、後者を「集中制御型」時分割多重アクセス方式と定義する。「自律型」時分割多重アクセス方式の例としては、イーサネット(登録商標)やトークンリングなどがある。「集中制御型」時分割多重アクセス方式の例として、FTTH(ファイバートゥザホーム)型の通信媒体を介するSCM−PDS(サブキャリアマルチプレクス−パッシブダブルスター)方式、ATM−PDS(アシンクロナストランスファーモード−パッシブダブルスター)方式がある。
【0005】
典型的な集中制御型時分割多重アクセス方式(以下、「時分割多重アクセス方式」と記載する)が実現する通信は、例えば、図1に示すように、情報を提供する通信事業局側の装置と、情報の提供を依頼するサービスの加入者側の装置群との「1対多」の通信である。通信事業局側装置とサービス加入者側装置群は、下り用通信媒体と上り用通信媒体にて相互に接続され、通信事業局側装置が送信する信号は下り用通信媒体を介して全てのサービス加入者側装置に到達する。全てのサービス加入者側装置が送信する信号は上り用通信媒体を介して通信事業局側装置に達する。この上りの通信の方式に時分割多重アクセス方式が使用される。
【0006】
通信事業局側装置は下り用通信媒体を介して加入者側装置の上り送信を起動する信号を送信する。この信号には送信すべき1つの加入者側装置を特定する情報が含まれ、その加入者側装置が送信するタイミングや、送信期間を指定する情報が含まれる。この信号を受信した加入者側装置は、その信号が自装置を特定している場合、信号の指示に従って上り送信を開始し、終了する。通信事業局側装置は加入者側装置の上り送信を起動する信号を適切に送信することにより、加入者側装置群の時分割多重アクセス、即ち上り通信を集中的に制御する。
【0007】
次に、時分割多重アクセス方式において、加入者宅側装置群の中から唯一の加入者宅側装置を特定する為の、加入者宅側装置の識別の仕組みについて説明する。通常の識別では、少なくとも同一の通信媒体に接続される加入者宅側装置群において、他の加入者宅側装置とは異なる番号もしくは文字列などの識別子を各加入者宅側装置に与える。通信事業局側装置はその識別子を加入者宅側装置への信号に含むことによって加入者宅側装置を特定する。自装置の識別子を含んだ通信事業局側装置からの信号を受信した加入者宅側装置は、その信号が自装置に宛てられていると理解する。また、加入者宅側装置から通信事業局側装置への信号も加入者宅側装置の識別子を含み、通信事業局側装置は信号を受信したならば、その信号に含まれる識別子を読んで、どの加入者宅側装置からの受信であるのかを判断する。
【0008】
このように加入者宅側装置には上記の識別子を付与すること必要である。各加入者宅側装置は自装置の識別子の値を認知した上で動作しなければならず、その値は加入者宅側装置を構成する電子回路が認識できる形で加入者宅側装置内に保持される。識別子の付与の方法にはいくつかの種類があるが、最も代表的な例としては、アドレス型識別子付与方法及び製造番号型識別子付与方法がある。アドレス型識別子付与方法は、加入者宅側装置を使用し始める際に、加入者宅側装置の加入者が所望する値を設定するタイプの識別子付与方法である。加入者及び加入者宅設置業者は、スイッチ等の入力装置を用いてアドレス型識別子(以下、「アドレス」と記載」)を加入者宅側装置に設定する。以下において、これに用いる識別子を便宜上「アドレス型識別子」と記載する。アドレス型識別子では、ユーザはスイッチ、その他の入力装置を用いてアドレス型識別子を加入者宅側装置に設定する。製造番号型識別子付与方法は、加入者宅側装置を製造する者が、加入者宅側装置にユニークな識別子を予め設定する識別子付与方法である。以下において、これに用いる識別子を便宜上「製造番号型識別子」と呼ぶ。
【0009】
上記した時分割多重アクセスの通信システムでは、アドレスのみによる識別を行って加入者宅側装置を特定し、通信を実現している。加入者宅側装置の識別子は、単に通信事業局側装置加入者宅側装置間の通信を成立させるためだけではなく、加入者毎の管理等のためにも使用されることが多い。
【0010】
例えば、ある時分割多重アクセス方式の通信システムに新たに加入者宅側装置(並びに当該加入者宅側装置に接続するユーザ)を追加しようとする場合、通信事業局側装置には追加されようとしている加入者宅側装置との通信を可能とすることを始め、当該加入者宅側装置(若しくはユーザ)に提供すべき通信サービスについてのいくつかの事項を設定する必要がある。その場合、通信事業局側装置を運用、管理する者は加入者宅側装置の識別子を使用して、これらの事項を通信事業局側装置に設定等する。
【0011】
この際、各装置のアドレス又は製造番号を用いて、各装置のなりすましを発見並びに対策する為のネットワーク監視方法および装置(たとえば、特許文献1参照。)は多数存在する。
【0012】
【特許文献1】
特開2002−164899号公報
【0013】
【発明が解決しようとする課題】
しかしながら、従来の時分割多重アクセスの通信システムでは、アドレス型識別子又は製造番号型識別子のいずれかを唯一のよりどころとして加入者宅側装置と特定し、通信を実現している。
【0014】
アドレス型識別子の場合、もしも本来付与されるべき値と異なる値の識別子が付与されてしまったならば、その加入者宅側装置は、あたかも別の識別子の加入者宅側装置として動作してしまう。アドレス型識別子は加入者宅側装置のスイッチなどの入力装置を操作すれば、色々な値の設定が可能となる。これにより、例えば悪意を持ったユーザが作為的にアドレス型識別子の値を変更して、別のユーザになりすまし、別のユーザの情報をのぞき見たり、本来自分に課金されるべき通信を、他の者に課金させたりする危険がある。
【0015】
一方、通信システムを運用、管理する者にとっては、アドレス型識別子は大きな長所を持つ。管理者は自身が計画した識別子体系に沿って、追加しようとする加入者宅側装置の識別子を決め、通信事業局側装置側に予め必要な設定を施しておくことができる。また、運用中に加入者宅側装置を、故障などの理由により別の個体に取り替える場合も、新しい個体に従来使用していた識別子を付与すれば、設定を変更する必要がない。
【0016】
製造番号型識別子は、製造者が製造工程にて個別の値を加入者宅側装置にプログラミングする。多くの場合、製造番号型識別子はユーザが書き換えることはできない。従って、製造番号型識別子はなりすましの可能性が低いという長所を持つ。
【0017】
一方、管理者の設定作業の観点では、製造番号型識別子は不便である。例えば、加入者宅側装置の設置、運用開始前に通信事業局側装置に設定を施すためには、予め追加するユーザが使用する加入者宅側装置の識別子の値が必要である。すなわち、管理者は、まず追加するユーザが使用する加入者宅側装置の個体を決め、製造番号型識別子の値を得て、その個体を間違えることなく追加するユーザ用に設置しなくてはならない。また、運用中に加入者宅側装置を、故障などの理由により別の個体に取り替える場合は、通信事業局側装置の設定を変更する必要が生じる。
【0018】
本発明は、上記問題点を解決する為になされたものであり、時分割多重アクセス方式を行う通信装置の識別を行なう際に、通信装置のなりすましを検出、防止することにより、通信システムのセキュリティを向上せしめる通信装置、通信システム及び通信方法に関する。
【0019】
【課題を解決するための手段】
上記の問題点を鑑みて、本発明の第1の特徴は、(イ)情報を要求するクライアント側に対し、情報の提供を行なうサーバ側の通信装置であって、クライアント側に対して製造番号を問い合わせる製造番号問合せ手段と、(ロ)クライアント側より、問合せに対する回答である製造番号を受信する問合せ回答受信手段と、(ハ)受信した製造番号より生成される製造番号型識別子の接続状態及び接続禁止状態を規定する情報を格納する製造番号型識別子記憶装置と、(ニ)製造番号の送信元のアドレスより生成されるアドレス型識別子の接続状態を規定する情報を格納するアドレス型識別子記憶装置と、(ホ)クライアント側に、対応するアドレス型識別子及び製造番号型識別子の組み合わせを通知する通知手段と、(ヘ)組み合わせの通知を受信したクライアント側において組み合わせに矛盾が発見された場合に送信される検出結果を受信する検出結果受信手段と、(ト)受信した検出結果を基に、その送信元であるクライアント側に対するデータの送信を中断するか否かを判断し、送信元に判断結果を通知する判断手段とを備える通信装置であることを要旨とする。更に、本発明の第1の特徴は、(チ)判断結果に基づき、アドレス型識別子記憶装置及び製造番号型識別子記憶装置に格納される情報を更新する識別子更新手段を更に備え、(リ)アドレス型識別子記憶装置及び製造番号型識別子記憶装置内の情報は、クライアント側に配置される装置毎に紐付けられて格納されていることを加えても良い。
【0020】
本発明の第2の特徴は、(イ)情報の提供を行なうサーバ側に対し、情報を要求するクライアント側の通信装置であって、自装置の製造番号を認識する製造番号認識手段と、(ロ)サーバ側より製造番号の問合せがあった際に、サーバ側へ製造番号を通知する製造番号通知手段と、(ハ)サーバ側より自装置の製造番号に関する製造番号型識別子及びアドレスに関するアドレス型識別子の組み合わせを受信する通知受信手段と、(ニ)受信した組み合わせと、自ら認識している製造番号及びアドレスに矛盾があるか否かを検出する検出手段と、(ホ)矛盾を検出した際に、サーバ側へ対し検出結果を通知する検出結果通知手段とを備える通信装置であることを要旨とする。更に、本発明の第2の特徴は、(ヘ)組み合わせに矛盾を検出した際に、サーバ側へ対するデータの送信を中断する中断手段を更に備え、(ト)検出結果に回答するサーバ側からの指示に従い、サーバ側との間におけるデータ送信の制御を行なう通信制御手段を更に備えることを加えても良い。
【0021】
本発明の第3の特徴は、(イ)情報を要求するクライアント側と、情報の提供を行なうサーバ側に設けられた通信装置よりなる通信システムであって、クライアント側に対して製造番号を問い合わせる製造番号問合せ手段、クライアント側より問合せに対する回答である製造番号を受信する問合せ回答受信手段、受信した製造番号より生成される製造番号型識別子の接続状態及び接続禁止状態を規定する情報を格納する製造番号型識別子記憶装置、製造番号の送信元のアドレスより生成されるアドレス型識別子の接続状態を規定する情報を格納するアドレス型識別子記憶装置、クライアント側に対応するアドレス型識別子及び製造番号型識別子の組み合わせを通知する通知手段、組み合わせの通知を受信したクライアント側において組み合わせに矛盾が発見された場合に送信される検出結果を受信する検出結果受信手段、受信した検出結果を基にその送信元であるクライアント側に対するデータの送信を中断するか否かを判断し送信元に判断結果を通知する判断手段とを備えるサーバ側の通信装置と、(ロ)自装置の製造番号を認識する製造番号認識手段、サーバ側より製造番号の問合せがあった際にサーバ側へ製造番号を通知する製造番号通知手段、サーバ側より製造番号型識別子及びアドレス型識別子の組み合わせを受信する通知受信手段、受信した組み合わせと自ら認識している製造番号及びアドレスに矛盾があるか否かを検出する検出手段、矛盾を検出した際に、サーバ側へ対し検出結果を通知する検出結果通知手段とを備えるクライアント側の通信装置とを有する通信システムであることを要旨とする。
【0022】
本発明の第4の特徴は、(イ)情報を要求するクライアント側に対して製造番号を問い合わせるステップと、(ロ)クライアント側より問合せに対する回答である製造番号を受信するステップと、(ハ)受信した製造番号より生成される製造番号型識別子の接続状態及び接続禁止状態を規定する情報を製造番号型識別子記憶装置に格納するステップと、(ニ)製造番号の送信元のアドレスより生成されるアドレス型識別子の接続状態を規定する情報をアドレス型識別子記憶装置に格納するステップと、(ホ)クライアント側に、対応するアドレス型識別子及び製造番号型識別子の組み合わせを通知するステップと、(ヘ)組み合わせの通知を受信したクライアント側において組み合わせに矛盾が発見された場合に送信される検出結果を受信する検出結果受信ステップと、(ト)受信した検出結果を基にその送信元であるクライアント側に対するデータの送信を中断するか否かを判断し送信元に判断結果を通知するステップとを有する通信方法であることを要旨とする。
【0023】
【発明の実施の形態】
(通信システムの概要)
始めに、本発明の実施の形態に係る通信システムの概要について図1を用いて説明する。以下に述べる通信事業者側とその加入者側間を結ぶ時分割多重アクセス方式として、特に効果を発揮する一例としてPON(パッシブオプチカルネットワーク)を使用したインターネット接続用アクセス方式を使用することを前提として説明する。
【0024】
このアクセス方式による通信システムは、サーバ側である、通信事業局側装置内の光加入者線端局装置10(OLT:オプティカルラインターミナル。以下「OLT」と記載)及びクライアント側である、加入者宅側装置内の光加入者線終端装置20a,20b,20c…(ONU:オプティカルネットワークユニット。以下「ONU」と記載)の二種類の装置で構成される。
【0025】
又、PONでは、ネットワークとして、光ファイバケーブル1を使用する。一般に光ファイバケーブル1は放射状に分岐されている。時分割多重アクセスはこのネットワークを用いて通信事業者局から複数のサービス加入者までの通信を実現するのに適している。OLT10は、通信事業者である電話会社の交換センターやケーブルテレビ会社の中継局(ヘッド・エンド)等のサービス・プロバイダの設備に設置される。一方、ONU20a,20b,20c…は、住宅、マンション及びオフィスビル近隣に配置されるファイバー・ツー・ザ・カーブ構成の分散ハブに設置される。信号は、光ファイバケーブル1を介してOLT10とONU20a,20b,20c…間を伝搬する。この際、1台のOLT10から32台の固定されたONUへの通信が可能である。
【0026】
尚、ONU20a,20b,20c…からOLT10へ向かう上りの通信に1.3μm、OLT10からONU20a,20b,20c…へ向かう下りの通信に1.49μmの波長を使用して上下100Mbpsのインターネット接続を可能にする。この他、1.55μmの波長にケーブルテレビの放送を重畳させることも可能である。
【0027】
本発明の実施の形態に係る通信システムでは、図1に示すように、通信事業局側は、OLT10、光スプリッタ2、交換機3及び配信サーバ4等を配置し、加入者宅側は、ONU20a,20b,20c…及びこれに接続されるパソコン、電話、ビデオ等の家庭内用機器を備える。
【0028】
OLT10は光ファイバケーブル1を流れてきた信号を変換し、自装置内で使用できるようにする。交換機3は自社内の内線同士の電話接続及び公衆回線との接続を行なう。具体的にPBX(プライベートブランチエクスチェンジ)等を指す。配信サーバ4は、加入者に要求された映像等の動画、写真等の静画、文字等のテキストデータ等の情報を検索し、要求元加入者に配信するサーバである。光スプリッタ2は加入者網に対して送信する光信号を通信系の光信号と合流させ、それを分岐して、各加入者のONU20a,20b,20c…へ送信する。
【0029】
ONU20a,20b,20c…では、光信号が終端され、電気信号に変換される。その後電気信号はONU20a,20b,20c…から、LAN5a,5b,5cを介し、加入社宅のパソコン、電話及びビデオ等に出力され、STB(セットトップボックス)等を通じて各機器内に入力される。
【0030】
本発明の実施の形態に係るOLT10は、各々のONU20a,20b,20c…にユニークな識別番号を割り当てることにより、同一の識別番号を保有するONU20a,20b,20c…が通信を行なうことを防止する。
【0031】
OLT10、ONU20a,20b,20c…間において実際に通信を行う際の「接続」の処理について説明する。OLT10及びONU20a,20b,20c…は自装置で制御用のメッセージ(以下、「制御メッセージ」と記載)を発生させ、OLT10及びONU20a,20b,20c…間でこれを交換する。尚、上記の接続のあと、OLT10及びONU20a,20b,20c…間では、ユーザからの要求等のデータが伝達される。
【0032】
本発明の実施の形態では、OLT10が各ONU20a,20b,20c…のアドレスを基に生成されるアドレス型識別子と、各ONU20a,20b,20cが固有する製造番号を基に生成される製造番号型識別子を、適宜組み合わせて予め格納する。OLT10は、このアドレス型識別子及び製造番号型識別子の組み合わせを、所定の間隔にて、各ONU20a,20b,20c…に送信する。これを受信した各ONU20a,20b,20c…は、この組み合わせに矛盾、誤りがないか、つまり悪意の第三者のなりすましを目的とする改変等を受けていないかを判断する。組み合わせに矛盾、誤り等が存在した場合には、改変された可能性があるとして、OLT10間とのデータ送信の一時停止や、適切なアドレスの新設定等をおこなう。以下に通信システムに関する装置についての詳細を述べる。
【0033】
(光加入者線端局装置)
本発明の実施の形態に係るOLT10は、図2に示すように、入力装置11、出力装置12、通信制御装置13、主記憶装置14、処理制御装置(CPU)15、アドレス型識別子記憶装置16、製造番号型識別子記憶装置17及びプログラム記憶装置18等を備えている。CPU15は、製造番号問合せ手段15a、問合せ回答受信手段15b、通知手段15c、検出結果受信手段15d、判断手段15e、判断結果通知手段15f及び識別子更新手段15g等を備えている。
【0034】
アドレス型識別子記憶装置16は、アドレス型識別子の接続状態を規定する為の情報を格納する。具体的には図4に示すように、アドレス型識別子の値と、OLT10及びONU20a,20b,20c…間の接続状態の組み合わせを記憶する。製造番号型識別子記憶装置17は、製造番号型識別子の接続状態及び接続禁止状態を規定する為の情報を格納する。具体的には接続状態の規定については、図5に示すように、製造番号型識別子の値と、OLT10及びONU20a,20b,20c…間の接続の許可、アドレス指定等の接続状態の組み合わせを記憶する。接続禁止状態の規定については、図6に示すように、製造番号型識別子の値及び禁止の期限等を記憶する。プログラム記憶装置18は、CPU15にて演算処理を行なう為のプログラムを格納する。
【0035】
製造番号問合せ手段15aは、ONU20a,20b,20c…毎に対し、各々のONU20a,20b,20c…が有するユニークな製造番号を問い合わせる為のモジュールである。問合せ回答受信手段15bは、各々のONU20a,20b,20c…からの製造番号の問合せに対する回答等を受信するモジュールである。
【0036】
通知手段15cは、ONU20a,20b,20c…に対し、各ONU20a,20b,20c…のアドレス型識別子及び製造番号識別子の組み合わせを制御メッセージを用いて通知するモジュールである。
【0037】
検出結果受信手段15dは、ONU20a,20b,20c…が、アドレス型識別子及び製造番号識別子の組み合わせに矛盾、誤り等を発見した際に送信してくる検出結果を受信する為のモジュールである。判断手段15eは、受信した検出結果を基に、その送信元ONUに対するデータの送信を継続するか中断するかを判断するモジュールである。
【0038】
判断結果通知手段15fは、判断手段15eの判断結果をその送信元ONUに通知するモジュールである。識別子更新手段15gは、判断手段15eの判断結果に基づき、アドレス型識別子記憶装置16及び製造番号型識別子記憶装置17に格納するデータの更新等をおこなうモジュールである。
【0039】
入力装置11は、加入者宅側装置からの入力信号を受信するインターフェイスである。出力装置12は、加入者宅側装置へ向けて出力信号を送信するインターフェイスである。通信制御装置13は、無線、有線等のネットワーク及び光ファイバケーブル1を介してデータを送受信する為の制御信号を生成する。主記憶装置14は、処理の手順を記述したプログラムや処理されるべきデータを一時的に記憶し、CPU15の要請に従ってプログラムの機械命令やデータを引き渡す。CPU15で処理されたデータは主記憶装置14に書き込まれる。主記憶装置14とCPU15はアドレスバス、データバス、制御信号等で結ばれている。
【0040】
(光加入者線終端装置)
本発明の実施の形態に係るONU20a,20b,20c…は、図3に示すように、入力装置21、出力装置22、通信制御装置23、主記憶装置24、処理制御装置(CPU)25、送信データ記憶装置26及びプログラム記憶装置27等を備えている。CPU25は、製造番号認識手段25a、製造番号通知手段25b、通知受信手段25c、製造番号問合せ受信手段25d、検出手段25e、中断手段25f、検出結果通知手段25g及び通信制御手段25h等から構成される。
【0041】
製造番号認識手段25aは、各ONU20a,20b,20c…が、自装置にプログラムされたユニークな製造番号を認識する為のモジュールである。製造番号通知手段25bは、各ONU20a,20b,20c…が、自装置固有の製造番号を、OLT10へ対し制御メッセージを用いて通知する為のモジュールである。
【0042】
通知受信手段25cは、OLT10から送信された各ONU20a,20b,20c…のアドレス型識別子及び製造番号型識別子の組み合わせを受信する為のモジュールである。製造番号問合せ受信手段25dは、OLT10から送信された各ONU20a,20b,20c…の製造番号の問合せを受信するモジュールである。
【0043】
検出手段25eは、受信したアドレス型識別子及び製造番号型識別子の組み合わせに矛盾、誤り等がないかを検出するモジュールである。中断手段25fは、アドレス型識別子及び製造番号型識別子の組み合わせに矛盾、誤り等を検出した場合に、OLT10へ対するデータの送信を自立的に中断するモジュールである。
【0044】
検出結果通知手段25gは、アドレス型識別子及び製造番号型識別子の組み合わせに矛盾、誤り等を検出したことをOLT10へ対して通知するモジュールである。通信制御手段25hは、検出結果に対するOLT10からの通知に従い、OLT10及び自装置ONU間のデータの送信の継続、中断等を制御するモジュールである。
【0045】
入力装置21は、通信事業局側装置方向からの入力信号を受信するインターフェイスである。出力装置22は、通信事業局側装置方向へ向けて出力信号を送信するインターフェイスである。通信制御装置23は、無線、有線等のネットワーク及び光ファイバケーブル1を介してデータを送受信する為の制御信号を生成する。尚、他の装置はOLT10と同様である為説明を省略する。
【0046】
(光加入者線端局装置による通信方法)
先ず、OLT10が、ONU20a,20b,20c…の製造番号及びアドレスを取得し、格納する動作について図7を用いて説明する。
【0047】
(a)初めにステップS101において、ユーザデータの送信開始前の接続確認時に、図2の製造番号問合せ手段15aは、ONU20a,20b,20c…に対し、製造番号を取得する為の制御メッセージを送信する。
【0048】
(b)ステップS102において、問合せ回答受信手段15bは、ONU20a,20b,20c…より、製造番号を受信し、製造番号型識別子を作成する。更に、同時にONU20a,20b,20c…の送信元アドレスより、アドレス型識別子を作成する。
【0049】
(c)ステップS103において、アドレス型識別子はアドレス型識別子記憶装置16に図4に示すように格納される。製造番号型識別子は製造番号型識別子記憶装置17に図5に示すように格納される。尚、アドレス型識別子及び製造番号型識別子は、一対一に紐付けされた状態で格納される。
【0050】
次に、OLT10が、製造番号型識別子及びアドレス型識別子の組み合わせをONU20a,20b,20c…に定期的に送信することにより、なりすましを防止するための動作について図8を用いて説明する。
【0051】
(a)初めにステップS201においては、図2の通知手段15cは、アドレス型識別子記憶装置16内のアドレス型識別子及び製造番号型識別子記憶装置17内の製造番号型識別子の組み合わせを取得し、その組み合わせのリストを制御メッセージとしてONU20a,20b,20c…に定期的に通知する。
【0052】
(b)ステップS202で、図2の検出結果受信手段15dが、組み合わせの制御メッセージに回答する制御メッセージをONU20a,20b,20c…より受信する。ステップS203においては、判断手段15eは、受信した制御メッセージが、組み合わせ矛盾を通知する検出結果であるか否かを判断する。組み合わせ矛盾を通知する検出結果であれば、ステップS204へ進む。組み合わせ矛盾の通知ではない検出結果であれば、ステップS207へ進み、通常通り通信を継続する。
【0053】
(c)ステップS204では、図2の判断手段15eは、受信したアドレス型識別子及び製造番号型識別子と、アドレス型識別子記憶装置16及び製造番号型識別子記憶装置17内に格納されているアドレス型識別子及び製造番号型識別子の組み合わせの照合を行なう。更に、ステップS205において、照合結果の適正を判断し、なりすまし等の目的により第三者に改変された可能性があるか判断する。識別子更新手段15gは、この判断に従い、図5の接続状態の規定及び図6の接続禁止状態の規定を更新する。
【0054】
(d)最後にステップS206では、判断結果通知手段15fは、判断の結果及び今後の通信に関する中止、継続等の指示をONU20a,20b,20c…に送信する。
【0055】
上記によると、時分割多重アクセス方式において、ONU20a,20b,20c…のアドレス及び製造番号を用いることにより、なりすましの検出、防止を行なうことができる。
【0056】
(光加入者者終端装置による通信方法)
次に、ONU20a,20b,20c…が、OLT10より製造番号を要求され、要求に回答する動作について図9を用いて説明する。
【0057】
(a)ステップS301において、図2のONU20a,20b,20cの製造番号問合せ受信手段25dは、OLT10より製造番号問合せの制御メッセージを受信する。ステップS302において、製造番号認識手段25aは、自装置ONUのユニークな製造番号を検出する。尚、ONU20a,20b,20c…の識別子はアドレス型識別子である。更に、ONU20a,20b,20c…には製造番号型識別子と同様の手法で製造番号型識別子相当の情報がプログラミングされており、ONU20a,20b,20c…を構成する電子回路は、アドレス型識別子と製造番号型識別子の両方を認識することが可能であるものとする。
【0058】
(b)ステップS303においては、製造番号通知手段25bは、問い合わせの回答として、製造番号をOLT10に通知する。
【0059】
次に、OLT10より製造番号型識別子及びアドレス型識別子の組み合わせを定期的に受信することにより、ONU20a,20b,20c…がなりすましを発見する動作について図8を用いて説明する。
【0060】
(a)初めにステップS401においては、図3のONU20a,20b,20c…の通知受信手段25cは、OLT10より製造番号型識別子及びアドレス型識別子の組み合わせを定期的に受信する。ステップS402では、検出手段25eが、受信した組み合わせの識別子が自装置ONUと一致する識別子か否かを検出する。
【0061】
(b)ステップS403において、組み合わせの矛盾が検出された場合、ステップS404へ進む。組み合わせの矛盾が検出されなかった場合、ステップS407へ進み、通常通り通信を継続する。尚、組み合わせの矛盾とは、OLT10から通知される組み合わせリスト中の製造番号に対応する自装置を指すアドレス型識別子の値が、自装置ONUに設定されているアドレス型識別子の値と異なること、及び/若しくは、組み合わせリスト中の製造番号に対応する自装置を指す製造番号型識別子の値が、自装置ONUが固有する製造番号型識別子の値と異なることを指す。
【0062】
(c)ステップS404において、アドレス型識別子又は製造番号型識別子の値の不一致を認識したならば、なりすましの目的により悪意の第三者からアドレス等が改変されている可能性がある。よって、図3の中断手段25fは、自律的にユーザデータの送信を中断する。又、S405において、検出結果通知手段25gは、制御メッセージを用いてOLT10にアドレス型識別子が変更されたことを通知する。この場合、OLT10とONU20a,20b,20c…間の通信で使用するアドレス型識別子として、変更前の値を用いるか、変更後の値を用いるかを決めておく必要はあるが、どちらを使用しても良いものとする。
【0063】
(d)この後、ステップS406にて、OLT10からの指示を受けると、図2の通信制御手段25hは、この指示に従って、ユーザデータの送信を中止する等の方法で、なりすましの発生を未然に、若しくは初期の段階で防ぐ。
【0064】
上記によると、時分割多重アクセス方式において、ONU20a,20b,20c…のアドレス及び製造番号を用いることにより、なりすましの検出、防止を行なうことができる。
【0065】
時分割多重アクセス方式の基本的な手続きは変更されないので、プログラムの改変のみですみ、実施が容易である。識別子としてアドレス型識別子を用いるので、運用管理が便利である。更に、各ONU20a,20b,20c…固有の製造番号を併用するので、悪意の第三者によるなりすましを確実に検出でき、システム全体のセキュリティを向上させることができる。
【0066】
尚、本発明の実施の形態においては便宜上、「通信事業局側のOLT」、「加入者宅側のONU」なる配置関係を用いるが、その物理的形態及び設置する位置には一切の制限はなく、これらがある物理的な装置の一機能部位であってもよい。又、これらの装置が物理的には単一の装置であっても構わない。
【0067】
更に、本発明の実施の形態においては光ファイバ技術を使用するためにOLT及びONUを終端装置に用いているが、本発明はこの実施形態のみにとらわれず、インターネット、イントラネット、LAN等のいずれの通信ネットワークケーブルにおいても応用できることは勿論である。
【0068】
【発明の効果】
本発明により、時分割多重アクセス方式にて通信装置の識別を行なう際に、通信装置のなりすましを通信装置のアドレス及び製造番号を用いて検出、防止することにより、通信システムのセキュリティを向上せしめる為の通信装置、通信システム及び通信方法を提供することができる。
【図面の簡単な説明】
【図1】本発明の実施の形態に係る通信装置を用いた通信システムの概要図である。
【図2】本発明の実施の形態に係る光加入者線端局装置の内部構成図である。
【図3】本発明の実施の形態に係る光加入者線終端装置の内部構成図である。
【図4】アドレス型識別子記憶装置内のデータ構成図である。
【図5】製造番号型識別子記憶装置内のデータ構成図である。
【図6】製造番号型識別子記憶装置内のデータ構成図である。
【図7】光加入者線端局装置の製造番号問合せ動作を示すフロー図である。
【図8】光加入者線端局装置のなりすまし検出の動作を示すフロー図である。
【図9】光加入者線終端装置の製造番号問合せ動作を示すフロー図である。
【図10】光加入者線終端装置のなりすまし検出の動作を示すフロー図である。
【符号の説明】
1…光ファイバケーブル
2…光スプリッタ
3…交換機
4…配信サーバ
5a,5b,5c…LAN
10…光加入者線端局装置(OLT)
11…入力装置
12…出力装置
13…通信制御装置
14…主記憶装置
15…CPU
15a…製造番号問合せ手段
15b…問合せ回答受信手段
15c…通知手段
15d…検出結果受信手段
15e…判断手段
15f…判断結果通知手段
15g…識別子更新手段
16…アドレス型識別子記憶装置
17…製造番号型識別子記憶装置
18…プログラム記憶装置
20a,20b,20c…光加入者線終端装置(ONU)
21…入力装置
22…出力装置
23…通信制御装置
24…主記憶装置
25…CPU
25a…製造番号認識手段
25b…製造番号通知手段
25c…通知受信手段
25d…受信手段
25e…検出手段
25f…中断手段
25g…検出結果通知手段
25h…通信制御手段
26…送信データ記憶装置
27…プログラム記憶装置[0001]
BACKGROUND OF THE INVENTION
The present invention relates to identification of a communication device that performs a time division multiple access method, and detects “spoofing” that behaves as if a communication device is another communication device by using the address and serial number of the communication device. The present invention relates to a communication device, a communication system, and a communication method that improve the security of a communication system by preventing.
[0002]
[Prior art]
In order for a plurality of devices to communicate with each other using a single communication medium, it is necessary that a signal transmitted from one device can be distinguished from a signal transmitted from another device. This method is generally called a multiple access method, and one of them is a time division multiple access method.
[0003]
The time division multiple access method is a method that enables distinction by changing the transmission time of each device. In the time division multiple access system, the number of devices that transmit signals to a communication medium at a certain time is always 1 or less, and control is performed so that signal collision does not occur. Therefore, a device that receives a signal from the communication medium can read all data from other devices.
[0004]
The time division multiple access system is roughly divided into two types: one in which all devices control multiple access in the same procedure, and the other in which a certain device controls multiple access in a unified manner. Here, the former is defined as an “autonomous” time division multiple access method, and the latter is defined as a “centralized control” time division multiple access method. Examples of “autonomous” time division multiple access methods include Ethernet (registered trademark) and token ring. Examples of “centralized control” time division multiple access systems include SCM-PDS (Subcarrier Multiplex-Passive Double Star) system, ATM-PDS (Asynchronous Transfer Mode-Passive) via FTTH (Fiber to the Home) type communication medium. Double star) method.
[0005]
Communication realized by a typical centralized control time division multiple access method (hereinafter referred to as “time division multiple access method”) is, for example, a device on the side of a communication business station that provides information as shown in FIG. And “one-to-many” communication with a group of devices on the subscriber side of a service requesting provision of information. The communication business station side device and the service subscriber side device group are connected to each other via a downlink communication medium and an upstream communication medium, and signals transmitted by the communication business station side device are all transmitted via the downlink communication medium. The subscriber side device is reached. Signals transmitted by all the service subscriber side devices reach the communication business station side device via the upstream communication medium. A time division multiple access scheme is used for the uplink communication scheme.
[0006]
The communication business station side device transmits a signal for starting the uplink transmission of the subscriber side device via the downlink communication medium. This signal includes information for specifying one subscriber-side device to be transmitted, and includes information for specifying the transmission timing and transmission period of the subscriber-side device. When the signal identifies this device, the subscriber-side device that has received this signal starts and finishes uplink transmission according to the signal instruction. The communication business station side device centrally controls time division multiple access, that is, uplink communication, of the subscriber side device group by appropriately transmitting a signal for starting the uplink transmission of the subscriber side device.
[0007]
Next, in the time division multiple access method, a mechanism for identifying a subscriber home side device for specifying a single subscriber home side device from the subscriber home side device group will be described. In normal identification, at least in a subscriber premises apparatus group connected to the same communication medium, an identifier such as a number or a character string different from other subscriber premises apparatuses is given to each subscriber premises apparatus. The communication business station side device identifies the subscriber home device by including the identifier in the signal to the subscriber home device. The subscriber premises apparatus that receives the signal from the communication business station side apparatus including the identifier of the own apparatus understands that the signal is addressed to the own apparatus. In addition, the signal from the subscriber's home side device to the communication business station side device also includes the identifier of the subscriber home side device, and if the communication business station side device receives the signal, read the identifier included in the signal, It is determined from which subscriber premises equipment the reception is.
[0008]
Thus, it is necessary to give the above identifier to the subscriber premises apparatus. Each subscriber premises device must operate after recognizing the identifier value of its own device, and the value is stored in the subscriber premises device in a form that can be recognized by the electronic circuit constituting the subscriber premises device. Retained. There are several kinds of methods for assigning identifiers. The most typical examples are an address type identifier assigning method and a production number type identifier assigning method. The address type identifier assigning method is a type of identifier assigning method in which a value desired by the subscriber of the subscriber premises apparatus is set when starting to use the subscriber premises apparatus. The subscriber and the subscriber home installer set an address type identifier (hereinafter referred to as “address”) in the subscriber home side device using an input device such as a switch. In the following, the identifier used for this will be referred to as an “address identifier” for convenience. In the address type identifier, the user sets the address type identifier in the subscriber premises apparatus using a switch or other input device. The manufacturing number type identifier assigning method is an identifier assigning method in which a person who manufactures a subscriber premises apparatus presets a unique identifier in the subscriber premises apparatus. Hereinafter, the identifier used for this is referred to as a “manufacturing number type identifier” for convenience.
[0009]
In the above-described time division multiple access communication system, communication is realized by identifying a subscriber premises apparatus by performing identification only by an address. The identifier of the subscriber premises apparatus is often used not only for establishing communication between the communication business station side apparatus subscriber premises apparatuses but also for management for each subscriber.
[0010]
For example, when a new subscriber premises device (and a user connected to the subscriber premises device) is added to a certain time division multiple access communication system, it is about to be added to the communication business station side device. It is necessary to set several items regarding communication services to be provided to the subscriber premises apparatus (or user) such as enabling communication with a subscriber premises apparatus. In this case, a person who operates and manages the communication business station side device sets these items in the communication business station side device using the identifier of the subscriber home side device.
[0011]
At this time, there are a large number of network monitoring methods and devices (see, for example, Patent Document 1) for finding and taking measures against impersonation of each device using the address or serial number of each device.
[0012]
[Patent Document 1]
JP 2002-164899 A
[0013]
[Problems to be solved by the invention]
However, in a conventional time division multiple access communication system, communication is realized by specifying an address type identifier or a serial number type identifier as a unique source and a subscriber premises apparatus.
[0014]
In the case of an address type identifier, if an identifier having a value different from the value that should originally be assigned is assigned, the subscriber home device operates as if it is a subscriber home device with a different identifier. . Various values can be set for the address type identifier by operating an input device such as a switch of the subscriber premises apparatus. As a result, for example, a malicious user intentionally changes the value of the address type identifier to impersonate another user, peep at another user's information, or other communication that should be charged to himself. There is a risk of charging someone.
[0015]
On the other hand, for those who operate and manage the communication system, the address type identifier has a great advantage. The administrator can determine the identifier of the subscriber premises device to be added according to the identifier system planned by the administrator, and can make necessary settings in advance on the communication business station side device side. Also, even when the subscriber's home side device is replaced with another individual during operation, it is not necessary to change the setting if an identifier that has been conventionally used is assigned to the new individual.
[0016]
The manufacturing number type identifier is programmed by the manufacturer into the subscriber premises apparatus in the manufacturing process. In many cases, the serial number identifier cannot be rewritten by the user. Therefore, the serial number type identifier has the advantage that the possibility of impersonation is low.
[0017]
On the other hand, the serial number type identifier is inconvenient from the viewpoint of the administrator's setting work. For example, in order to set the communication business station side device before the installation and operation of the subscriber home side device, the value of the identifier of the subscriber home side device used by the user to be added in advance is required. That is, the administrator must first determine the individual subscriber-side device used by the user to be added, obtain the value of the serial number type identifier, and install it for the user who adds the individual without making a mistake. . In addition, when the subscriber's home side device is replaced with another individual during operation, it is necessary to change the setting of the communication business station side device.
[0018]
The present invention has been made in order to solve the above-described problems. When identifying a communication apparatus that performs a time division multiple access scheme, the present invention detects and prevents spoofing of the communication apparatus, thereby improving the security of the communication system. The present invention relates to a communication device, a communication system, and a communication method that improve the performance.
[0019]
[Means for Solving the Problems]
In view of the above problems, the first feature of the present invention is (a) a server-side communication device that provides information to a client side that requests information, and a serial number for the client side. Manufacturing number inquiry means for inquiring, (b) inquiry response receiving means for receiving a manufacturing number as a response to the inquiry from the client side, and (c) a connection state of a manufacturing number type identifier generated from the received manufacturing number, and Manufacturing number type identifier storage device for storing information for specifying connection prohibition state, and (d) Address type identifier storage device for storing information for specifying connection state of address type identifier generated from source address of manufacturing number And (e) notification means for notifying the client side of the combination of the corresponding address type identifier and serial number type identifier, and (f) notification of the combination A detection result receiving means for receiving a detection result transmitted when a contradiction is found in the combination on the receiving client side, and (g) transmission of data to the client side that is the transmission source based on the received detection result The gist of the present invention is that the communication apparatus includes a determination unit that determines whether or not to interrupt the transmission and notifies the transmission source of the determination result. Further, the first feature of the present invention is further provided with identifier updating means for updating information stored in the address type identifier storage device and the production number type identifier storage device based on the determination result, The information in the type identifier storage device and the serial number type identifier storage device may be stored in association with each device arranged on the client side.
[0020]
The second feature of the present invention is: (a) a communication device on the client side that requests information from the server side that provides information, and a serial number recognition unit that recognizes the serial number of the device itself; (B) Production number notification means for notifying the server side of the production number when the server side asks for the production number; (c) Address number type relating to the production number type identifier and address relating to the production number of the own device from the server side A notification receiving means for receiving a combination of identifiers; (d) a detecting means for detecting whether or not there is a contradiction between the received combination, a manufacturing number and an address recognized by itself; and (e) when a contradiction is detected. Further, the gist of the present invention is a communication device including a detection result notifying unit for notifying a server side of a detection result. Furthermore, the second feature of the present invention is that (f) further comprising interruption means for interrupting transmission of data to the server side when a contradiction is detected in the combination, and (g) from the server side answering the detection result According to the instruction, it may be possible to add further communication control means for controlling data transmission with the server side.
[0021]
A third feature of the present invention is (a) a communication system comprising a communication device provided on the client side requesting information and the server side providing information, and inquiring the serial number of the client side. Manufacturing number inquiry means, inquiry response receiving means for receiving a manufacturing number which is a reply to the inquiry from the client side, manufacturing for storing information defining the connection state and connection prohibition state of the manufacturing number type identifier generated from the received manufacturing number Number type identifier storage device, address type identifier storage device for storing information defining the connection state of the address type identifier generated from the transmission source address of the production number, address type identifier and serial number type identifier corresponding to the client side Notification means to notify the combination, combination on the client side that received the combination notification Detection result receiving means for receiving a detection result transmitted when a contradiction is found in the data, and determining whether or not to interrupt the transmission of data to the client side that is the transmission source based on the received detection result (B) manufacturing number recognizing means for recognizing the manufacturing number of the own device, manufacturing to the server side when the server asks for the manufacturing number Serial number notification means for notifying the number, notification receiving means for receiving a combination of serial number type identifier and address type identifier from the server side, whether the received combination and the serial number and address recognized by itself are inconsistent or not A communication system comprising: a detecting means for detecting; and a detection result notifying means for notifying the server side of a detection result when a contradiction is detected. And summarized in that a Temu.
[0022]
The fourth feature of the present invention is that (a) a step of inquiring a manufacturing number with respect to a client side requesting information, (b) a step of receiving a manufacturing number as a response to the inquiry from the client side, and (c) A step of storing in the manufacturing number type identifier storage device information defining the connection state and connection prohibition state of the manufacturing number type identifier generated from the received manufacturing number, and (d) generated from the source address of the manufacturing number. (E) storing information defining the connection state of the address type identifier in the address type identifier storage device; (e) notifying the client side of the combination of the corresponding address type identifier and serial number type identifier; Receiving the detection result sent when the client receiving the notification of the combination finds a contradiction in the combination A communication method comprising: a detection result receiving step; and (g) a step of determining whether or not to interrupt the transmission of data to the client that is the transmission source based on the received detection result and notifying the transmission source of the determination result. It is a summary.
[0023]
DETAILED DESCRIPTION OF THE INVENTION
(Outline of communication system)
First, an outline of a communication system according to an embodiment of the present invention will be described with reference to FIG. As a time-division multiple access method for connecting between the telecommunications carrier side and the subscriber side described below, it is assumed that an access method for Internet connection using a PON (passive optical network) is used as an example that exhibits a particularly effective effect. explain.
[0024]
The communication system using this access method is a server side, an optical subscriber line terminal station device 10 (OLT: Optical Line Terminal; hereinafter referred to as “OLT”) in a communication business station side device, and a client side subscriber. Optical subscriber
[0025]
In PON, an optical fiber cable 1 is used as a network. Generally, the optical fiber cable 1 is branched radially. Time division multiple access is suitable for realizing communication from a carrier station to a plurality of service subscribers using this network. The
[0026]
It is possible to connect to the Internet up and down by 100 Mbps using 1.3 μm for upstream communication from
[0027]
In the communication system according to the embodiment of the present invention, as shown in FIG. 1, the communication business station side arranges the
[0028]
The
[0029]
In the
[0030]
The
[0031]
A process of “connection” when actual communication is performed between the
[0032]
In the embodiment of the present invention, the
[0033]
(Optical subscriber line terminal equipment)
As shown in FIG. 2, the
[0034]
The address type
[0035]
The production number inquiry means 15a is a module for making an inquiry about the unique production number of each
[0036]
The notification means 15c is a module that notifies the
[0037]
The detection
[0038]
The determination
[0039]
The
[0040]
(Optical subscriber line termination equipment)
As shown in FIG. 3, the
[0041]
The production number recognition means 25a is a module for each
[0042]
The
[0043]
The detecting
[0044]
The detection
[0045]
The
[0046]
(Communication method using optical subscriber line terminal equipment)
First, the operation in which the
[0047]
(A) First, in step S101, upon confirmation of connection before starting transmission of user data, the serial number inquiry means 15a in FIG. 2 transmits a control message for acquiring serial numbers to the
[0048]
(B) In step S102, the inquiry response receiving means 15b receives the production number from the
[0049]
(C) In step S103, the address type identifier is stored in the address type
[0050]
Next, an operation for preventing spoofing by the
[0051]
(A) First, in step S201, the
[0052]
(B) In step S202, the detection
[0053]
(C) In step S204, the
[0054]
(D) Lastly, in step S206, the determination
[0055]
According to the above, impersonation can be detected and prevented by using the addresses and serial numbers of the
[0056]
(Communication method using optical subscriber termination equipment)
Next, an operation in which the
[0057]
(A) In step S301, the serial number
[0058]
(B) In step S303, the serial
[0059]
Next, an operation of detecting spoofing by the
[0060]
(A) First, in step S401, the notification receiving means 25c of the
[0061]
(B) If a contradiction in combination is detected in step S403, the process proceeds to step S404. If no combination contradiction is detected, the process proceeds to step S407, and communication is continued as usual. The combination contradiction means that the value of the address type identifier indicating the own device corresponding to the serial number in the combination list notified from the
[0062]
(C) If it is recognized in step S404 that the address type identifier or the serial number type identifier does not match, the address or the like may have been altered by a malicious third party for the purpose of impersonation. Therefore, the interruption means 25f in FIG. 3 autonomously interrupts transmission of user data. In S405, the detection
[0063]
(D) Thereafter, when receiving an instruction from the
[0064]
According to the above, impersonation can be detected and prevented by using the addresses and serial numbers of the
[0065]
Since the basic procedure of the time division multiple access method is not changed, it is only necessary to modify the program and it is easy to implement. Since an address type identifier is used as an identifier, operation management is convenient. Furthermore, since each
[0066]
In the embodiment of the present invention, for the sake of convenience, the arrangement relationship of “OLT on the telecommunications business station side” and “ONU on the subscriber premises side” is used, but there are no restrictions on the physical form and the installation location. Instead, they may be one functional part of a physical device. These devices may be physically a single device.
[0067]
Further, in the embodiment of the present invention, the OLT and the ONU are used for the termination device in order to use the optical fiber technology. Of course, it can also be applied to communication network cables.
[0068]
【The invention's effect】
In order to improve the security of a communication system by detecting and preventing spoofing of a communication apparatus using the address and serial number of the communication apparatus when identifying the communication apparatus by the time division multiple access method according to the present invention. Communication apparatus, communication system, and communication method can be provided.
[Brief description of the drawings]
FIG. 1 is a schematic diagram of a communication system using a communication apparatus according to an embodiment of the present invention.
FIG. 2 is an internal block diagram of an optical subscriber line terminal station apparatus according to an embodiment of the present invention.
FIG. 3 is an internal configuration diagram of an optical subscriber line terminating apparatus according to an embodiment of the present invention.
FIG. 4 is a data configuration diagram in an address type identifier storage device;
FIG. 5 is a data configuration diagram in a serial number type identifier storage device;
FIG. 6 is a data configuration diagram in a serial number type identifier storage device;
FIG. 7 is a flowchart showing a serial number inquiry operation of the optical subscriber line terminal equipment.
FIG. 8 is a flowchart showing an operation of detecting impersonation of an optical subscriber line terminal device.
FIG. 9 is a flowchart showing a serial number inquiry operation of the optical subscriber line terminating device.
FIG. 10 is a flowchart showing an operation of detecting impersonation of an optical subscriber line terminating device.
[Explanation of symbols]
1 ... Optical fiber cable
2 ... Optical splitter
3 ... switch
4 ... Distribution server
5a, 5b, 5c ... LAN
10. Optical subscriber line terminal equipment (OLT)
11 ... Input device
12 ... Output device
13. Communication control device
14 ... Main memory
15 ... CPU
15a ... Manufacturing number inquiry means
15b: Inquiry answer receiving means
15c: Notification means
15d: Detection result receiving means
15e ... Judgment means
15f ... Judgment result notification means
15g ... identifier update means
16: Address type identifier storage device
17 ... Manufacturing number type identifier storage device
18 ... Program storage device
20a, 20b, 20c ... Optical subscriber line termination unit (ONU)
21 ... Input device
22 ... Output device
23. Communication control device
24. Main memory device
25 ... CPU
25a ... Manufacturing number recognition means
25b ... Manufacturing number notification means
25c: Notification receiving means
25d. Receiving means
25e ... detection means
25f ... Interruption means
25g ... Detection result notification means
25h: Communication control means
26: Transmission data storage device
27. Program storage device
Claims (8)
前記クライアント側に対して製造番号を問い合わせる製造番号問合せ手段と、
前記クライアント側より、前記問合せに対する回答である前記製造番号を受信する問合せ回答受信手段と、
受信した前記製造番号より生成される製造番号型識別子の接続状態及び接続禁止状態を規定する情報を格納する製造番号型識別子記憶装置と、
前記製造番号の送信元のアドレスより生成されるアドレス型識別子の接続状態を規定する情報を格納するアドレス型識別子記憶装置と、
前記クライアント側に、対応する前記アドレス型識別子及び前記製造番号型識別子の組み合わせを通知する通知手段と、
前記組み合わせの通知を受信した前記クライアント側において前記組み合わせに矛盾が発見された場合に送信される検出結果を受信する検出結果受信手段と、
受信した前記検出結果を基に、その送信元である前記クライアント側に対するデータの送信を中断するか否かを判断し、前記送信元に判断結果を通知する判断手段
とを備えることを特徴とする通信装置。A server-side communication device that provides the information to a client that requests information,
A serial number inquiry means for inquiring a serial number from the client side;
Inquiry answer receiving means for receiving the manufacturing number which is an answer to the inquiry from the client side,
A production number type identifier storage device for storing information defining the connection state and connection prohibition state of the production number type identifier generated from the received production number;
An address type identifier storage device for storing information defining a connection state of an address type identifier generated from an address of a transmission source of the manufacturing number;
Notifying means for notifying the client side of the combination of the corresponding address type identifier and the serial number type identifier;
A detection result receiving means for receiving a detection result transmitted when a contradiction is found in the combination on the client side that has received the notification of the combination;
And determining means for determining whether to interrupt transmission of data to the client that is the transmission source based on the received detection result, and notifying the transmission source of the determination result. Communication device.
自装置の製造番号を認識する製造番号認識手段と、
前記サーバ側より前記製造番号の問合せがあった際に、前記サーバ側へ前記製造番号を通知する製造番号通知手段と、
前記サーバ側より自装置の前記製造番号に関する製造番号型識別子及びアドレスに関するアドレス型識別子の組み合わせを受信する通知受信手段と、
受信した前記組み合わせと、自ら認識している前記製造番号及び前記アドレスに矛盾があるか否かを検出する検出手段と、
前記矛盾を検出した際に、前記サーバ側へ対し前記検出結果を通知する検出結果通知手段
とを備えることを特徴とする通信装置。A client side communication device that requests the information from the server side that provides the information,
Serial number recognition means for recognizing the serial number of the device itself;
A manufacturing number notification means for notifying the manufacturing number to the server side when the server receives an inquiry about the manufacturing number;
A notification receiving means for receiving a combination of a serial number type identifier relating to the serial number of the own device and an address type identifier relating to an address from the server side;
Detecting means for detecting whether or not there is a contradiction between the received combination and the serial number and the address recognized by the device;
A communication apparatus comprising: a detection result notifying unit that notifies the server side of the detection result when the contradiction is detected.
前記クライアント側に対して製造番号を問い合わせる製造番号問合せ手段、前記クライアント側より前記問合せに対する回答である前記製造番号を受信する問合せ回答受信手段、受信した前記製造番号より生成される製造番号型識別子の接続状態及び接続禁止状態を規定する情報を格納する製造番号型識別子記憶装置、前記製造番号の送信元のアドレスより生成されるアドレス型識別子の接続状態を規定する情報を格納するアドレス型識別子記憶装置、前記クライアント側に対応する前記アドレス型識別子及び前記製造番号型識別子の組み合わせを通知する通知手段、前記組み合わせの通知を受信した前記クライアント側において前記組み合わせに矛盾が発見された場合に送信される検出結果を受信する検出結果受信手段、受信した前記検出結果を基にその送信元である前記クライアント側に対するデータの送信を中断するか否かを判断し前記送信元に判断結果を通知する判断手段とを備える前記サーバ側の通信装置と、
自装置の製造番号を認識する製造番号認識手段、前記サーバ側より前記製造番号の問合せがあった際に前記サーバ側へ前記製造番号を通知する製造番号通知手段、前記サーバ側より前記製造番号型識別子及び前記アドレス型識別子の組み合わせを受信する通知受信手段、受信した前記組み合わせと自ら認識している前記製造番号及び前記アドレスに矛盾があるか否かを検出する検出手段、前記矛盾を検出した際に、前記サーバ側へ対し前記検出結果を通知する検出結果通知手段とを備える前記クライアント側の通信装置
とを有することを特徴とする通信システム。A communication system comprising a communication device provided on a client side that requests information and a server side that provides the information,
A manufacturing number inquiry means for inquiring a manufacturing number with respect to the client side, an inquiry response receiving means for receiving the manufacturing number as a response to the inquiry from the client side, and a manufacturing number type identifier generated from the received manufacturing number Manufacturing number type identifier storage device for storing information for specifying connection state and connection prohibition state, and address type identifier storage device for storing information for specifying connection state of address type identifier generated from address of transmission source of manufacturing number A notification means for notifying the combination of the address type identifier and the serial number identifier corresponding to the client side, and a detection transmitted when an inconsistency is found in the combination on the client side that has received the notification of the combination Detection result receiving means for receiving a result, the received detection Said server side communication device and a determination unit for notifying the determination result on whether the determined the source to interrupt transmission of data to the client-side which is a transmission source based on fruit,
Manufacturing number recognizing means for recognizing the manufacturing number of the device itself, manufacturing number notifying means for notifying the manufacturing number to the server side when the server asks for the manufacturing number, and the manufacturing number type from the server side A notification receiving means for receiving a combination of an identifier and the address type identifier; a detecting means for detecting whether or not there is a contradiction between the received serial number and the address recognized by the combination; and when the contradiction is detected And a communication device on the client side provided with detection result notification means for notifying the detection result to the server side.
前記クライアント側より前記問合せに対する回答である前記製造番号を受信するステップと、
受信した前記製造番号より生成される製造番号型識別子の接続状態及び接続禁止状態を規定する情報を製造番号型識別子記憶装置に格納するステップと、
前記製造番号の送信元のアドレスより生成されるアドレス型識別子の接続状態を規定する情報をアドレス型識別子記憶装置に格納するステップと、
前記クライアント側に、対応する前記アドレス型識別子及び前記製造番号型識別子の組み合わせを通知するステップと、
前記組み合わせの通知を受信した前記クライアント側において前記組み合わせに矛盾が発見された場合に送信される検出結果を受信する検出結果受信ステップと、
受信した前記検出結果を基にその送信元である前記クライアント側に対するデータの送信を中断するか否かを判断し前記送信元に判断結果を通知するステップとを有することを特徴とする通信方法。Inquiring the serial number from the client requesting information;
Receiving the serial number which is an answer to the inquiry from the client side;
Storing information defining the connection state and connection prohibition state of the production number type identifier generated from the received production number in the production number type identifier storage device;
Storing in the address type identifier storage device information defining the connection state of the address type identifier generated from the address of the transmission source of the manufacturing number;
Notifying the client side of the combination of the corresponding address type identifier and the serial number type identifier;
A detection result receiving step of receiving a detection result transmitted when a contradiction is found in the combination on the client side that has received the notification of the combination;
And determining whether to interrupt the transmission of data to the client, which is the transmission source, based on the received detection result, and notifying the transmission source of the determination result.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003144338A JP4069013B2 (en) | 2003-05-22 | 2003-05-22 | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, AND COMMUNICATION METHOD |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003144338A JP4069013B2 (en) | 2003-05-22 | 2003-05-22 | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, AND COMMUNICATION METHOD |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004350002A JP2004350002A (en) | 2004-12-09 |
JP4069013B2 true JP4069013B2 (en) | 2008-03-26 |
Family
ID=33531802
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003144338A Expired - Fee Related JP4069013B2 (en) | 2003-05-22 | 2003-05-22 | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, AND COMMUNICATION METHOD |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4069013B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102142897B (en) | 2011-03-29 | 2014-08-20 | 华为技术有限公司 | Detection method and device of ONU (optical network unit) as well as passive optical network system |
-
2003
- 2003-05-22 JP JP2003144338A patent/JP4069013B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2004350002A (en) | 2004-12-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8630183B2 (en) | Packet transfer system | |
EP3285411B1 (en) | Method for registering an optical network unit to an optical line terminal, apparatus for processing a registering of an optical network unit, and optical line terminal | |
CN101179603B (en) | Method and device for controlling user network access in IPv6 network | |
EP3154222B1 (en) | Service configuration data processing method and apparatus | |
JP4368853B2 (en) | PON system and subscriber side device connection method | |
US9270480B1 (en) | Systems and methods for Ethernet-based management of optical networks using OMCI | |
KR100690762B1 (en) | A telephone call method and system for using many number in mobile communication station | |
US20100030346A1 (en) | Control system and control method for controlling controllable device such as peripheral device, and computer program for control | |
CN103069750B (en) | The method and system of the connection for being efficiently used between communication network and this communication network and customer rs premise equipment | |
US8495371B2 (en) | Network device authentication | |
CA2670970C (en) | Method and apparatus for provisioning a communication device | |
JP4069013B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, AND COMMUNICATION METHOD | |
CN115086061B (en) | Authentication and network access control method and system for FTTR | |
CN111010425A (en) | Server connection method, load balancing equipment and electronic equipment | |
JP4170815B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, AND COMMUNICATION METHOD | |
JP7038986B2 (en) | IP device remote control system | |
US10785685B2 (en) | Cloud radio access network system and control method thereof | |
KR20040055446A (en) | Control point and cognition method among control points | |
US20200028789A1 (en) | Cloud radio access network system and control method thereof | |
CN113766353B (en) | Building intercom system and method thereof | |
JP7375588B2 (en) | PON system, station side equipment, management server, setting method, and installation method | |
KR20000024838A (en) | Method for extending internet protocol network | |
WO2023062806A1 (en) | Data processing device | |
US10567970B2 (en) | Cloud radio access network system and control method thereof | |
JP2009278638A (en) | Pon system, subscriber-side device connection method, station-side device and subscriber-side device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20051205 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20071210 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080108 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080111 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110118 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110118 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110118 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120118 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120118 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130118 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130118 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140118 Year of fee payment: 6 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |