JP5269641B2 - User authentication system and user authentication method - Google Patents
User authentication system and user authentication method Download PDFInfo
- Publication number
- JP5269641B2 JP5269641B2 JP2009039013A JP2009039013A JP5269641B2 JP 5269641 B2 JP5269641 B2 JP 5269641B2 JP 2009039013 A JP2009039013 A JP 2009039013A JP 2009039013 A JP2009039013 A JP 2009039013A JP 5269641 B2 JP5269641 B2 JP 5269641B2
- Authority
- JP
- Japan
- Prior art keywords
- onu
- user terminal
- olt
- mac address
- frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
Description
本発明はネットワークにおけるユーザ認証技術に関する。 The present invention relates to a user authentication technique in a network.
近年、ブロードバンドアクセスサービスが広く普及している。ブロードバンドアクセスシステムとして、従来は通信事業者が通信局舎に設置する加入者収容装置としてメディアコンバータが用いられていたが、ブロードバンドの普及と料金低廉化に伴い、安価なコストでブロードバンド加入者を収容する方式として、イーサネット(登録商標)規格を用いたEthernet(登録商標)−PON(Passive Optical Network)システムが主流になってきている。 In recent years, broadband access services have become widespread. As a broadband access system, media converters were conventionally used as subscriber accommodation devices installed in communication stations by telecommunications carriers, but broadband subscribers can be accommodated at a lower cost as broadband spreads and prices are reduced. As a method for this, an Ethernet (registered trademark) -PON (Passive Optical Network) system using the Ethernet (registered trademark) standard has become mainstream.
また、通信事業者によるブロードバンドアクセスサービスにおいて、ユーザ認証の仕組みがない場合は、勝手にネットワークを使用されたり、契約外のサービスを使用されるなどの問題が生じるため、ブロードバンドアクセスサービスではユーザ認証を行う認証システムが必須となっている。 In addition, if there is no user authentication mechanism in the broadband access service provided by the telecommunications carrier, problems such as using the network without permission or using a service outside the contract may occur. An authentication system to perform is essential.
そこで、国内の通信事業者によるブロードバンドアクセスサービスでは、ユーザがインターネットヘ接続する時に、例えばIETFのRFC2516で標準化されているPPPoE(Point−to−Point Protocol over Ethernet)と呼ばれるプロトコルを用いてインターネットバックボーンヘの入り口となる地域アクセスポイントに設置されたBRAS(Broadband Remote Access Server)に接続し、ユーザ認証を受けるようになっている(例えば、特許文献1参照)。 Therefore, in a broadband access service by a domestic telecommunications carrier, when a user connects to the Internet, for example, a protocol called PPPoE (Point-to-Point Protocol over Ethernet) standardized by RFC2516 of IETF is used to connect to the Internet backbone. It is connected to a BRAS (Broadband Remote Access Server) installed at a regional access point that is the entrance of the network and receives user authentication (see, for example, Patent Document 1).
ところが、PPPoEプロトコルによってユーザ認証を行うBRAS装置は、認証処理が可能な1台当たりのユーザ数が限られている。また、全てのユーザデータはBRASを通して上位のネットワークへ転送されるので、BRASへのアクセスが集中してBRASがネットワークのボトルネックになってしまうという問題がある。そこで、複数台のBRASを設置して負荷を分散することが行われているが、高価なBRASを複数台設置しなければならず、コスト的或いは局舎のスペース的に通信事業者にとって負荷が重いという問題がある。 However, BRAS devices that perform user authentication using the PPPoE protocol have a limited number of users that can be authenticated. In addition, since all user data is transferred to an upper network through BRAS, there is a problem that access to BRAS is concentrated and BRAS becomes a network bottleneck. Therefore, a plurality of BRAS is installed to distribute the load. However, a plurality of expensive BRAS must be installed, which is a burden on the telecommunications carrier in terms of cost or space of the station building. There is a problem of being heavy.
本発明の目的は、ユーザ認証装置としてのBRASを必要とせず、簡易的なシステムでユーザ認証を実現できるユーザ認証システムおよびユーザ認証方法を提供することである。 An object of the present invention is to provide a user authentication system and a user authentication method capable of realizing user authentication with a simple system without requiring a BRAS as a user authentication device.
本発明のユーザ認証システムは、配下に形成する波長多重PONシステムからのアクセスを上位ネットワークに接続するOLTと、ユーザ端末を前記OLTに接続する複数のONUと、前記複数のONUを波長多重して前記OLTに接続する光カプラと、前記ユーザ端末にIPアドレスの発行を行うDHCPサーバーとで構成される波長多重PONシステムにおけるユーザ認証システムにおいて、前記ONUは、前記ユーザ端末から送出されるフレームのフィルタリングを行う透過フィルタ部と、自己のMACアドレスを含む定期フレームを前記OLTに定期的に送信する定期フレーム送信部と、前記ONUに前記透過フィルタ部を通過させる前記ユーザ端末のパケットのMACアドレスとIPアドレスの対応を記憶する透過フィルタテーブルと、前記ユーザ端末と前記DHCPサーバとの間で送受信するDHCPrequestフレームのスヌーピングにより前記ユーザ端末のMACアドレスをモニタし、さらにDHCPackフレームのスヌーピングにより前記ユーザ端末に割り当てられるIPアドレスをモニタし、前記ユーザ端末のMACアドレスとIPアドレスの対応を前記透過フィルタテーブルに登録するONU側モニタ部と、前記透過フィルタ部のフィルタリング制御を行うONU制御部とで構成され、前記OLTは、自己のOLTの配下に設置された全ての前記ONUのMACアドレスが予め記憶された登録済ONUテーブルと、前記登録済ONUテーブルの中から認証された前記ONUおよび該MACアドレスを記憶する認証済ONUテーブルと、前記ONUから送出された前記定期フレームを受信する定期フレーム受信部と、前記定期フレーム受信部が受信した前記定期フレームに格納された前記ONUのMACアドレスが前記登録済ONUテーブルに記憶されたMACアドレスに合致するか否かを判別し、合致する場合に当該ONUおよび該MACアドレスを前記認証済ONUテーブルに登録する認証済ONUテーブル登録部と、前記ONUから送出されるフレームのフィルタリングを行うパケットフィルタ部と、前記ユーザ端末と前記DHCPサーバとの間で送受信するDHCPrequestフレームのスヌーピングにより前記ユーザ端末のMACアドレスをモニタし、さらにDHCPackフレームのスヌーピングにより前記ユーザ端末に割り当てられるIPアドレスをモニタして、当該ユーザ端末のMACアドレスおよびIPアドレスを認証済端末テーブルに登録するOLT側モニタ部と、前記パケットフィルタ部のフィルタリング制御を行うOLT制御部とで構成され、前記ユーザ端末から送信される全フレームを上位のネットワークに通さない第1の状態と、前記ユーザ端末から送信されるブロードキャストパケットを上位のネットワークに通す第2の状態と、前記ユーザ端末から送信される全フレームを上位のネットワークに通す第3の状態と、を有し、前記第1の状態では、前記OLT制御部は、前記ONUの電源投入後に前記ONUから受信した前記定期フレームに格納された前記ONUのMACアドレスが前記登録済ONUテーブルおよび前記認証済ONUテーブルに登録されていない場合、当該ONUから受信するブロードキャストパケットを上位のネットワークに通さない状態にし、前記ONU制御部は、前記ユーザ端末から送信されるブロードキャストパケットを前記OLTに通す状態にし、前記第2の状態では、前記OLT制御部は、前記ONUから受信した前記定期フレームに格納された前記ONUのMACアドレスが前記認証済ONUテーブルに登録されている場合、当該ONUから受信するブロードキャストパケットを上位のネットワークに通す状態にし、前記ONU制御部は、前記ユーザ端末から送信されるブロードキャストパケットを前記OLTに通す状態にし、前記第3の状態では、前記OLT制御部は、前記ONUから受信した前記定期フレームに格納された前記ONUのMACアドレスが前記認証済ONUテーブルに登録されている場合、且つ、当該ONUを介してユーザ端末から受信するフレームに格納された前記ユーザ端末の前記MACアドレスおよび前記IPアドレスが前記認証済端末テーブルに登録された前記MACアドレスと前記IPアドレスとが一致する場合、当該ユーザ端末から受信する全フレームを上位のネットワークに通す状態にし、前記ONU制御部は、前記ユーザ端末から受信したフレームに格納された前記ユーザ端末の前記MACアドレスおよび前記IPアドレスが前記透過フィルタテーブルに登録されている場合、当該ユーザ端末から受信する全フレームを前記OLTに通す状態にすることを特徴とする。 The user authentication system of the present invention wavelength-multiplexes an OLT for connecting an access from a wavelength multiplexing PON system formed thereunder to an upper network, a plurality of ONUs for connecting user terminals to the OLT, and the plurality of ONUs. In a user authentication system in a wavelength division multiplexing PON system including an optical coupler connected to the OLT and a DHCP server that issues an IP address to the user terminal, the ONU performs filtering of frames transmitted from the user terminal A transmission filter unit that performs transmission, a periodic frame transmission unit that periodically transmits a periodic frame including its own MAC address to the OLT, and the MAC address and IP of the packet of the user terminal that allows the ONU to pass through the transmission filter unit Transparent filter table that memorizes address correspondence If the monitored MAC address of the user terminal by snooping DHCPrequest frames transmitted to and received from the user terminal and the DHCP server, monitors the further IP address assigned to the user terminal by snooping DHCPack frame, the user It consists of an ONU side monitor unit that registers the correspondence between the MAC address and IP address of the terminal in the transparent filter table, and an ONU control unit that performs filtering control of the transparent filter unit, and the OLT is under its own OLT. and all of the ONU registered ONU table MAC address is stored in advance in the installation has been, and authenticated ONU table storing the ONU and the MAC address is authenticated from among the registered ONU table, from the ONU And regular frame receiving unit that receives the periodic frame issued, matching the regular frame receiving unit is MAC address of the ONU stored in the regular frame received is stored in the registered ONU table MAC address An ONU table registration unit that registers the ONU and the MAC address in the authenticated ONU table if they match, a packet filter unit that filters frames sent from the ONU, The MAC address of the user terminal is monitored by snooping of a DHCP request frame transmitted and received between the user terminal and the DHCP server, and the IP address assigned to the user terminal is monitored by snooping of the DHCPPack frame. An OLT-side monitor unit that registers the MAC address and IP address of the terminal in the authenticated terminal table and an OLT control unit that performs filtering control of the packet filter unit . A first state in which the user terminal does not pass through, a second state in which a broadcast packet transmitted from the user terminal passes through the upper network, and a third state in which all frames transmitted from the user terminal pass through the upper network. In the first state, the OLT control unit stores the ONU MAC address stored in the periodic frame received from the ONU after the ONU is powered on and the registered ONU table and the If not registered in the authenticated ONU table, blanking received from the ONU Was over de cast packets to a state impervious to the upper network, the ONU control unit, in a state passing broadcast packets transmitted from the user terminal to the OLT, and in the second state, the OLT control unit, When the MAC address of the ONU stored in the periodic frame received from the ONU is registered in the authenticated ONU table, the broadcast packet received from the ONU is put into a higher network, and the ONU control unit Puts the broadcast packet transmitted from the user terminal through the OLT, and in the third state, the OLT control unit determines that the MAC address of the ONU stored in the periodic frame received from the ONU is Registered in the authenticated ONU table If, and, with the MAC address and the IP address of the MAC address and the IP address of the user terminal stored in the frame received from the user terminal is registered in the authenticated terminal table via the ONU matches In this case, all frames received from the user terminal are put through a higher-level network, and the ONU control unit is configured so that the MAC address and the IP address of the user terminal stored in the frame received from the user terminal are When registered in the transmission filter table, all frames received from the user terminal are put into a state of passing through the OLT .
また、より好ましくは、前記定期フレームは、Ethernet−OAMのCCフレームであることを特徴とする。 More preferably, the periodic frame is an Ethernet-OAM CC frame.
本発明のユーザ認証方法は、配下に形成する波長多重PONシステムからのアクセスを上位ネットワークに接続するOLTと、ユーザ端末を前記OLTに接続する複数のONUと、前記複数のONUを波長多重して前記OLTに接続する光カプラと、前記ユーザ端末にIPアドレスの発行を行うDHCPサーバーとで構成される波長多重PONシステムにおけるユーザ認証方法において、前記ONUは、前記ユーザ端末から送出されるフレームのフィルタリングを行う透過フィルタ手順と、自己のMACアドレスを含む定期フレームを前記OLTに定期的に送信する定期フレーム送信手順と、前記ユーザ端末と前記DHCPサーバとの間で送受信するDHCPrequestフレームのスヌーピングにより前記ユーザ端末のMACアドレスをモニタし、さらにDHCPackフレームのスヌーピングにより前記ユーザ端末に割り当てられるIPアドレスをモニタし、前記ユーザ端末のMACアドレスとIPアドレスの対応を透過フィルタテーブルに登録するONU側モニタ手順と、前記透過フィルタ手順のフィルタリング制御を行うONU制御手順とを実行し、前記OLTは、前記ONUから送出された前記定期フレームを受信する定期フレーム受信手順と、前記定期フレーム受信手順で受信した前記定期フレームに格納された前記ONUのMACアドレスが自己のOLTの配下に設置された全ての前記ONUのMACアドレスが予め記憶された登録済ONUテーブルに記憶されたMACアドレスに合致するか否かを判別し、合致する場合に当該ONUおよび該MACアドレスを認証済ONUテーブルに登録する認証済ONUテーブル登録手順と、前記ONUから送出されるフレームのフィルタリングを行うパケットフィルタ手順と、前記ユーザ端末と前記DHCPサーバとの間で送受信するDHCPrequestフレームのスヌーピングにより前記ユーザ端末のMACアドレスをモニタし、さらにDHCPackフレームのスヌーピングにより前記ユーザ端末に割り当てられるIPアドレスをモニタして、当該ユーザ端末のMACアドレスおよびIPアドレスを認証済端末テーブルに登録するOLT側モニタ手順と、前記パケットフィルタ手順のフィルタリング制御を行うOLT制御手順とを実行し、前記ユーザ端末から送信される全フレームを上位のネットワークに通さない第1の状態と、前記ユーザ端末から送信されるブロードキャストパケットを上位のネットワークに通す第2の状態と、前記ユーザ端末から送信される全フレームを上位のネットワークに通す第3の状態と、を有し、前記第1の状態では、前記OLT制御手順は、前記ONUの電源投入後に前記ONUから受信した前記定期フレームに格納された前記ONUのMACアドレスが前記登録済ONUテーブルおよび前記認証済ONUテーブルに登録されていない場合、当該ONUから受信するブロードキャストパケットを上位のネットワークに通さない状態にし、前記ONU制御手順は、前記ユーザ端末から送信されるブロードキャストパケットを前記OLTに通す状態にし、前記第2の状態では、前記OLT制御手順は、前記ONUから受信した前記定期フレームに格納された前記ONUのMACアドレスが前記認証済ONUテーブルに登録されている場合、当該ONUから受信するブロードキャストパケットを上位のネットワークに通す状態にし、前記ONU制御手順は、前記ユーザ端末から送信されるブロードキャストパケットを前記OLTに通す状態にし、前記第3の状態では、前記OLT制御手順は、前記ONUから受信した前記定期フレームに格納された前記ONUのMACアドレスが前記認証済ONUテーブルに登録されている場合、且つ、当該ONUを介して前記ユーザ端末から受信するフレームに格納された前記ユーザ端末の前記MACアドレスおよび前記IPアドレスが前記認証済端末テーブルに登録された前記MACアドレスおよび前記IPアドレスと一致する場合、当該ONUを介して前記ユーザ端末から受信する全フレームを上位のネットワークに通す状態にし、前記ONU制御手順は、前記ユーザ端末から受信するフレームに格納された前記ユーザ端末の前記MACアドレスおよび前記IPアドレスが前記透過フィルタテーブルに登録されている場合、当該ユーザ端末から受信する全フレームを前記OLTに通す状態にすることを特徴とする。 The user authentication method according to the present invention includes an OLT that connects an access from a wavelength division multiplexing PON system formed thereunder to an upper network, a plurality of ONUs that connect user terminals to the OLT, and a wavelength multiplexing of the plurality of ONUs. In a user authentication method in a wavelength division multiplexing PON system including an optical coupler connected to the OLT and a DHCP server that issues an IP address to the user terminal, the ONU performs filtering of frames transmitted from the user terminal The transmission filter procedure for performing a periodic frame transmission procedure for periodically transmitting a periodic frame including its own MAC address to the OLT, and snooping of a DHCP request frame transmitted and received between the user terminal and the DHCP server. The MAC address of the device Nitashi further monitors the IP address assigned to the user terminal by snooping DHCPack frame, the ONU-side monitoring procedure for registering the correspondence between the MAC address and IP address of the user terminal to the transmission filter table, the transmission filter Procedure run the ONU control procedure for filtering control, the OLT, and periodic frame receiving step of receiving said periodic frame sent from the ONU, stored in the regular frame received by the regular frame reception procedure wherein When the MAC addresses of ONUs match with the MAC addresses stored in the registered ONU table stored in advance, the MAC addresses of all the ONUs installed under the own OLT are determined. Recognize the ONU and the MAC address Authenticated ONU table registration procedure for registering in the completed ONU table, packet filter procedure for filtering frames transmitted from the ONU, and snooping of DHCP request frames transmitted and received between the user terminal and the DHCP server OLT-side monitoring procedure for monitoring the MAC address of the terminal, further monitoring the IP address assigned to the user terminal by snooping the DHCPPack frame , and registering the MAC address and IP address of the user terminal in the authenticated terminal table; run the OLT control procedure for filtering control of the packet filtering procedure, the first state impervious to all frames on top of the network to be transmitted from the user terminal, it is transmitted from the user terminal A second state in which broadcast packets to be transmitted are passed through the upper network, and a third state in which all frames transmitted from the user terminal are passed through the upper network. In the first state, the OLT control is performed. procedure, when the MAC address of the ONU stored in said periodic frame after power received from the ONU of the ONU is not registered in the registered ONU table and the authenticated ONU table is received from the ONU The broadcast packet transmitted from the user terminal is passed through the OLT, the broadcast packet transmitted from the user terminal is passed through the OLT, and in the second state, the OLT control procedure includes the ONU control procedure. the ONU which has been stored in the periodic frame received from If the MAC address is registered in the authenticated ONU table, in a state passing broadcast packets received from the ONU to the upper network, the ONU control procedure, a broadcast packet transmitted from the user terminal to the OLT If the pass into a state, the third state, the OLT control procedure, the MAC address of the ONU stored in the regular frame received from the ONU is registered in the authenticated ONU table, and, the If the MAC address and the IP address of the user terminal stored in the frame received from the user terminal via the ONU match the MAC address and the IP address registered in the authenticated terminal table, the ONU Via the user terminal A state through all frames received on top of the network, the ONU control procedure, the MAC address and the IP address of the user terminal stored in the frame received from the user terminal is registered in the transmission filter table If so, all frames received from the user terminal are put into a state of passing through the OLT .
また、より好ましくは、前記定期フレームは、Ethernet−OAMのCCフレームであることを特徴とする。 More preferably, the periodic frame is an Ethernet-OAM CC frame.
本発明のユーザ認証システムおよびユーザ認証方法は、ユーザ認証装置としてのBRASを必要とせず、簡易的なシステムでユーザ認証を実現できる。 The user authentication system and the user authentication method of the present invention do not require BRAS as a user authentication device, and can realize user authentication with a simple system.
本発明に係るユーザ認証システムおよびユーザ認証方法の実施形態について説明する。尚、本実施形態では、通信事業者はEthernet−PONシステムを用いてアクセス系を構成するものとする。また、PONシステム設置時に、ユーザ宅側に設置されるONU(光加入者装置)のMACアドレス情報が予め局側のOLT(光回線終端装置)に登録されているものとする。そして、通信事業者と契約したユーザは、自宅内に設置されたONUにパソコンなどのユーザ端末を接続してインターネットにアクセスする。 Embodiments of a user authentication system and a user authentication method according to the present invention will be described. In the present embodiment, it is assumed that the communication carrier configures an access system using the Ethernet-PON system. In addition, it is assumed that the MAC address information of the ONU (optical subscriber unit) installed at the user's home side is registered in advance in the station side OLT (optical line termination unit) when the PON system is installed. Then, a user who has contracted with a telecommunications carrier connects a user terminal such as a personal computer to an ONU installed in his home and accesses the Internet.
ここで、MAC(Media Access Control)アドレスは、ユーザ端末のネットワークインターフェースカードやルーターなどのネットワーク端末固有ののシリアル番号である。通信事業者は、ユーザの宅内にONUを設置する際に、ユーザの住所や氏名などと共に設置したONUのMACアドレスを知ることができる。 Here, the MAC (Media Access Control) address is a serial number unique to a network terminal such as a network interface card or a router of the user terminal. When installing the ONU in the user's home, the communication carrier can know the MAC address of the ONU installed together with the user's address and name.
また、本実施形態ではIEEE802.1ag規格のEthernet−OAMを使用する。Ethernet−OAMは、レイヤ2ネットワーク内におけるネットワーク機器の保守やネットワークの障害診断のために用いられる。また、OLTとONU間でEthernet−OAM規格のCCフレーム(接続性確認フレーム)を送受信することで、OLT側でONUの認証を行う。
In the present embodiment, IEEE-OAM Ethernet-OAM is used. The Ethernet-OAM is used for maintenance of network devices in the
以下、本実施形態に係るユーザ認証システムの構成について詳しく説明する。 Hereinafter, the configuration of the user authentication system according to the present embodiment will be described in detail.
図1は、ONU101と、ONU102と、ONU103の3つのONUで構成されるEthernet−PONシステムの構成例を示すブロック図である。図1において、ONU101とONU102とONU103では、それぞれONU配下に接続されるPC(PC112、ONU103およびPC113)から送信されるパケットを電気信号から光信号への変換または逆変換を行う。それぞれのONUで光信号に変換されたパケットは光カプラ104にて多重されてOLT105に入力される。それぞれのONUからOLT105への上り方向光信号が衝突しないように、各ONUの信号送出タイミングがOLT105によって自動制御される。また、OLT105からそれぞれのONUへの下り方向光信号と、前述の上り方向光信号とが衝突しないように波長多重され、上り信号には波長λ1、下り信号には波長λ2がそれぞれ使用される。
FIG. 1 is a block diagram illustrating a configuration example of an Ethernet-PON system including three ONUs of an ONU 101, an ONU 102, and an ONU 103. In FIG. 1, an ONU 101, an ONU 102, and an ONU 103 each convert a packet transmitted from a PC (PC 112, ONU 103, and PC 113) connected under the ONU from an electric signal to an optical signal or reverse conversion. Packets converted into optical signals by each ONU are multiplexed by the
逆に、DHCPサーバ106やバックボーンからOLT105に送られてくるパケットは、全てのONUへ送信されるが、ONU配下に接続される各PCから各ONUに送信されるデータによってPCのMACアドレスを学習しており、各ONUでは学習したMACアドレスと合致する宛先MACアドレスを有するパケットのみを各ONUに接続されたPCに送られる。
Conversely, packets sent from the DHCP
ここで、BRASを用いた従来のネットワークのユーザ認証について図2を用いて説明する。図2に示すように、従来はBRAS210を介してバックボーンに接続するようになっている。尚、図2において、本実施形態の図1と同様に、ONU201と、ONU202と、ONU203は、光カプラ204と、OLT205とでEthernet−PONシステムを構成している。また、ユーザ端末のパソコンPC111、PC112、PC113およびDHCPサーバ106は図1と同じものである。尚、BRAS210は製品によってはDHCPサーバ106の機能を統合している場合もある。ここで、各ユーザ端末は、PPPoEプロトコルによってBRASにアクセスし、ユーザ認証を行う。そして、BRAS210でユーザ認証が行われた後、認証されたユーザ端末に対してDHCPサーバ106からIPアドレスが割り当てられる。ところが、1台当りのBRASの配下に接続できるユーザ端末数が限られており、Ethernet−PONシステムを利用するユーザ端末数が増えると、1台のBRASだけでは対応できなくなる。このため、通信事業者は高価なBRASを複数台設置しなければならず、設備コストが高くなるという問題があった。
Here, conventional user authentication of a network using BRAS will be described with reference to FIG. As shown in FIG. 2, it is conventionally connected to the backbone via the BRAS 210. In FIG. 2, as in FIG. 1 of the present embodiment, the ONU 201, the ONU 202, and the ONU 203 constitute an Ethernet-PON system with the
これに対して本実施形態では、高価なBRASを必要としないので、通信事業者は安価なコストでEthernet−PONシステムを導入することが可能になる。本実施形態では、ONU101、ONU102、ONU103およびOLT105を用いてユーザ認証を行い、ユーザ認証後にDHCPサーバ106から各ユーザ端末にIPアドレスが割り当てるようになっている。このため、従来、ユーザ認証を行っていたBRASが不要となる。
On the other hand, in this embodiment, since expensive BRAS is not required, it becomes possible for a communication carrier to introduce an Ethernet-PON system at a low cost. In this embodiment, user authentication is performed using the
次に、本実施形態におけるユーザ認証システム100の構成について説明する。図3は、ユーザ認証システム100でユーザ認証を行うための主要部であるOLT105とONU101の構成を中心に描いたブロック図である。尚、図3ではONU101のみ描いてあるが、図1のONU102およびONU103も図3のONU101と同じ構成である。
Next, the configuration of the
図3において、ONU101は、透過フィルタ部121と、ONU制御部122と、CCフレーム送出部123と、DHCPモニタ部124と、透過フィルタテーブル記憶部125とで構成される。また、OLT105は、パケットフィルタ部131と、OLT制御部132と、CCフレーム受信部133と、DHCPモニタ部134と、登録済ONUテーブル記憶部135と、認証済ONUテーブル記憶部136と、認証済端末テーブル記憶部137とで構成される。尚、図3は、パケットの流れを中心に描いてあり、ONU101およびOLT105の光変復調部などは省略してある。
3, the
先ず、ONU101の動作について説明する。透過フィルタ部121は、ユーザ端末111から送信されるパケットのフィルタリングを行う。フィルタリングは、ONU制御部122の指令に応じて行われ、例えば、全パケットを通さない設定、DHCPパケットなどブロードキャストパケットのみ透過する設定、或いは全パケットを通す設定などを有する。尚、本実施形態では、ONU101の電源投入時の透過フィルタ部121は、DHCPパケットなどブロードキャストパケットのみ透過する設定になっているものとする。
First, the operation of the
ここで、DHCPパケットについて説明する。DHCPパケットは、DHCPサーバ106とユーザ端末との間で送受信される制御用パケットで、DHCPサーバ106からIPアドレスの割り当てを受けるために使用される。図4は、ユーザ端末のPC111がDHCPサーバ106からIPアドレスの付与を受ける手順を示した図である。図4において、301はDHCPdiscoverフレーム、302はDHCPofferフレーム、303はDHCPrequestフレーム、304はDHCPackフレームの流れをそれぞれ示している。最初は、PC111はDHCPサーバの所在が分からないので、DHCPサーバを探すためにDHCPdiscoverフレーム301をIEEE802.3規格のブロードキャスト形式でネットワーク全体に送信する。そして、DHCPdiscoverフレーム301を受信したネットワーク内のDHCPサーバはDHCPofferフレーム302を送信元のPC111に返信する。もし、ネットワーク内に複数のDHCPサーバがあれば、PC111は複数のDHCPofferフレーム302を受信することになる。通常は、複数のDHCPofferフレーム302を受けた場合は、最も先に受信したものを選択するようになっている。この結果、PC111はDHCPサーバの所在を知ることができる。そして、PC111は、図4に示すDHCPサーバ106から受けたDHCPofferフレーム302により、割り当て可能なIPアドレスを得る。次に、PC111はDHCPサーバ106に対してDHCPrequestフレーム303を返信し、そのIPアドレスの使用を要求する。DHCPrequestフレーム303を受けたDHCPサーバ106は、許可する場合は、許可されたIPアドレスが記載されたDHCPackフレーム304をPC111に返信し、許可しない場合は、図には示していないが、許可されなかったことを示すDHCPnackフレームをPC111に返信する。尚、DHCPサーバ106からDHCPnackフレームが送られてきた場合は、PC111はIPアドレスの割り当てを受けられず、ネットワークを利用することができないので、再度、DHCP処理を行うことになる。
Here, the DHCP packet will be described. The DHCP packet is a control packet that is transmitted and received between the
また、上記で説明した一連のDHCP処理は、レイヤ2のデータリンク層のフレーム構造を用いており、データの部分にネットワーク層であるIPパケットが、さらにIPパケットの上にはトランスポート層であるTCP(Transmission Control Protocol)パケットあるいはUDP(User Datagram Protocol)パケットが搭載される。上記のDHCP処理はUDPパケットで行われ、ブロードキャスト形式で送出する場合は、発信元のMACアドレスにユーザ端末のPC111のMACアドレスを記載し、宛先MACアドレスはFF−FF−FF−FF−FF−FFに設定する。そして、ネットワーク上の各装置は宛先MACアドレスを見てブロードキャスト形式のパケットであるか否かを認識することができる。
In addition, the series of DHCP processes described above uses the frame structure of the data link layer of
ここで、図1のONU101,ONU102,ONU103およびOLT105は、PC111からDHCPサーバ106に送信されるDHCPrequestフレーム303をモニタすることにより、PC111のMACアドレスを知ることができる。同様に、図1のONU101,ONU102,ONU103およびOLT105は、DHCPサーバ106からPC111に送信されるDHCPackフレーム304をモニタすることにより、PC111に割り当てられるIPアドレスを知ることができる。このような機能をスヌーピング機能と呼んでいる。
Here, the
図3のONU101のDHCPモニタ部124と、OLT105のDHCPモニタ部134は、上記で説明したスヌーピング機能を有する。
The
DHCPモニタ部124は、スヌーピング機能によって得られたPC111のMACアドレスとIPアドレスとをONU制御部122に出力する。そして、ONU制御部122は、PC111のMACアドレスとIPアドレスとの対応を透過フィルタテーブル記憶部125に記憶する。図5に透過フィルタテーブルの一例を示す。図5において、ユーザ端末のPC111に割り当てられているIPアドレスは(192,168,0,20)、MACアドレスは55−44−33−22−11−00である。尚、ONU101の配下に複数のユーザ端末がある場合は、図5のPC112のように追加登録される。PC112に割り当てられているIPアドレスは(192,168,0,21)、MACアドレスは66−55−44−33−22−11である。
The
CCフレーム送出部123は、IEEE802.1ag規格のEthernet−OAMのCCフレーム(接続性確認フレーム)を送信する。尚、Ethernet−OAMは、PONシステムの保守管理のために搭載されている機能であり、本来はユーザ認証の機能ではないが、本実施形態では、ONU101、ONU102、ONU103の各ONUとOLT105との間のユーザ認証に利用する。CCフレーム送出部123は、ONU制御部122の指令に応じて、予め設定された間隔(例えば1秒毎など)で定期的にCCフレームをOLT105に送信する。
The CC
次に、OLT105の動作について説明する。パケットフィルタ部131は、光カプラ104を介して送られてくる各ユーザ端末のパケットのフィルタリングを行う。フィルタリングは、OLT制御部132から設定されたユーザ端末のMACアドレスとIPアドレス毎に行われ、例えば、全パケットを通さない設定、DHCPパケットなどブロードキャストパケットのみ透過する設定、或いは全パケットを通す設定などを有する。
Next, the operation of the
CCフレーム受信部133は、ONU101のCCフレーム送出部123が定期的に送信するCCフレームを受信し、OLT制御部132に出力する。OLT制御部132は、ONU側のMACアドレスが記載されたCCフレームの受信により、ONU側のMACアドレスを知ることができる。そして、OLT制御部132は、CCフレームに記載されていたMACアドレスが予め登録済ONUテーブル記憶部135に登録されいるONUのMACアドレスに一致するか否かを判別する。図6に登録済ONUテーブルの一例を示す。図6において、ONU101のMACアドレスは00−11−22−33−44−55で、ONU102のMACアドレスは00−22−33−44−55−66で、ONU103のMACアドレスは00−33−44−55−66−77であることがわかる。ここで、例えば、図3のONU101から送られてきたMACアドレスが00−11−22−33−44−55である場合は、登録済ONUテーブル記憶部135に予め登録されたONU101のMACアドレスに一致するので、ONU101を正当なONUと判断し、ONU名とそのMACアドレスを認証済ONUテーブル記憶部136に記憶する。図7に認証済ONUテーブルの一例を示す。図7において、ONU101のMACアドレスが認証されると、ONU101の欄にMACアドレス:00−11−22−33−44−55が記憶される。この時、認証されていないONU102やONU103のMACアドレス欄は空欄になっている。そして、OLT制御部132は、認証済ONUテーブル記憶部136に記憶されている認証済みのONUを介して送られてくるブロードキャストパケットのみ上位ネットワークに通過させるようにパケットフィルタ部131に指令する。このようにして、ユーザ端末のPC111はONU101およびOLT105を介して、DHCPサーバ106との間でDHCPパケットを送受信することができる。尚、パケットフィルタ部131は、入力されるユーザ認証されていないONUの全パケットを当該ONUのMACアドレスの認証が完了するまで上位ネットワークには通さない。
The CC
DHCPモニタ部134は、先に説明したスヌーピング機能によって、得られたPC111のMACアドレスとIPアドレスとをOLT制御部132に出力し、認証済端末テーブル記憶部137に登録する。この結果、OLT制御部132は、DHCPサーバ106からPC111にDHCPackフレーム304が送信されたことを知り、一連のDHCP制御の完了を検出する。そして、OLT制御部132は、PC111のMACアドレスとIPアドレスとを対応させて、認証済端末テーブル記憶部137に登録する。認証済端末テーブル記憶部137に登録されたユーザ端末のPC111から送信される全パケットを上位のネットワークに通すようにパケットフィルタ部131に指令する。このようにして、ユーザ端末のPC111はONU101およびOLT105を介して、バックボーンのネットワークにアクセスすることができる。
The
次に、ユーザ端末のPC111がONU101に接続された後、バックボーンのネットワークにアクセスできるようになるまでの処理の流れについて図8のフローチャートを用いて説明する。尚、図8のフローチャートは、図3に示したユーザ端末のPC111と、ONU101と、OLT105と、DHCPサーバ106とのそれぞれの処理関係が分かり易いように描いてある。
Next, the flow of processing from when the
(ステップS101)ONU101の電源が投入される。電源が投入されたONU101は、先に説明したように、CCフレーム送信部123からCCフレーム300を定期的にOLT105に送信する。
(Step S101) The
(ステップS102)OLT105のCCフレーム受信部133はONU101から送られてくるCCフレーム300を受信する。
(Step S102) The CC
(ステップS103)OLT105のOLT制御部132は、CCフレーム受信部133で受信したCCフレームの送信元MACアドレスが登録済ONUテーブル記憶部135に予め登録されているONUのMACアドレスと一致するか否かを判別する。一致する場合はステップS104に進み、一致しない場合はステップS102に戻ってCCフレーム300を受信する。尚、実際には、CCフレーム受信部133はONU101から定期的に送られてくるCCフレーム300を常時受信しているので、ステップS104に進んだ後も受信動作は継続される。
(Step S103) The
(ステップS104)OLT105のOLT制御部132は、CCフレーム受信部133で受信したCCフレーム300の送信元MACアドレスが登録済ONUテーブル記憶部135に予め登録されているONUのMACアドレスと一致したので、当該ONU名とMACアドレスを認証済ONUテーブル記憶部136に記憶する。さらに、OLT制御部132は、認証済ONUテーブル記憶部136に記憶されている正当なONUを介して送られてくるブロードキャストパケットを上位のネットワークに通すようにパケットフィルタ部131に指令する。この状態で、DHCPパケットはパケットフィルタ部131を透過できるようになり、ユーザ端末のPC111とDHCPサーバ106との間でDHCPパケットの送受信を行うことができる。
(Step S104) Since the
(ステップS105)ユーザ端末のPC111は、IPアドレスの割り当てを受けるためにブロードキャストパケットであるDHCPdiscoverフレーム301をONU101およびOLT105を介してDHCPサーバ106に送信する。尚、この時点までにもPC111はIPアドレスの割り当てを受けるためにブロードキャストパケットであるDHCPdiscoverフレーム301をONU101およびOLT105側に送信し続けているが、OLT105でフィルタリングされるため、DHCPサーバ106には届いていない。
(Step S <b> 105) The
(ステップS106)PC111から送信されたDHCPdiscoverフレーム301を受信したDHCPサーバ106は、使用可能なIPアドレスを記載したDHCPofferフレーム302をPC111に送信する。
(Step S <b> 106) Upon receiving the DHCP discover
(ステップS107)DHCPサーバ106から送信されたDHCPofferフレーム302を受信したPC111は、DHCPサーバ106から受信したIPアドレスの使用許可を要求するDHCPrequestフレーム303をDHCPサーバ106に送信する。
(Step S <b> 107) Upon receiving the
(ステップS108)ONU101のDHCPモニタ部124は、PC111から送信されたDHCPrequestフレーム303をスヌーピングし、ONU制御部122はPC111がDHCPrequestフレーム303を送信したことと、PC111のMACアドレスを知る。
(Step S108) The
(ステップS109)OLT105のDHCPモニタ部134は、PC111から送信されたDHCPrequestフレーム303をスヌーピングし、OLT制御部132はPC111がDHCPrequestフレーム303を送信したことと、PC111のMACアドレスを知る。
(Step S109) The
(ステップS110)PC111から送信されたDHCPrequestフレーム303を受信したDHCPサーバ106は、PC111に許可するIPアドレスを記載したDHCPackフレーム304をPC111に送信する。
(Step S <b> 110) Upon receiving the
(ステップS111)OLT105のDHCPモニタ部134は、DHCPサーバ106から送信されたDHCPackフレーム304をスヌーピングし、OLT制御部132はDHCPサーバ106がDHCPackフレーム304を送信したことと、PC111のIPアドレスを知る。そして、PC111のMACアドレスとIPアドレスとを認証済端末テーブル記憶部137に登録する。
(Step S111) The
(ステップS112)ONU101のDHCPモニタ部124は、DHCPサーバ106から送信されたDHCPackフレーム304をスヌーピングし、ONU制御部122はDHCPサーバ106がDHCPackフレーム304を送信したことと、PC111のIPアドレスを知る。この時点で、ONU制御部122は、PC111のユーザ認証が完了したことを知り、PC111に許可されたIPアドレスと、ステップS108でモニタしたPC111のMACアドレスとを対応させて、透過フィルタテーブル記憶部125に記憶する。以降、ONU101の透過フィルタ部125は、透過フィルタテーブル記憶部125に記憶されたMACアドレスおよびIPアドレスを有するユーザ端末からの全パケットを透過する。
(Step S112) The
(ステップS113)DHCPサーバ106から送信されたDHCPackフレーム304を受信したPC111は、許可されたIPアドレスを用いてユニキャストやマルチキャストによるバックボーンへのアクセスが可能になる。
(Step S113) The
このように、Ethernet−PONシステムを用いたアクセスネットワークにおいて、従来のように高価なBRASを設けることなくユーザ端末のPC111のユーザ認証を行うことができる。しかも、ONU101とOLT105との間で送受信されるEthernet−OAMのCCフレーム300を利用することにより、OLT105はONU101の認証を行うことができ、さらに、PC111とDHCPサーバとの間で送受信されるDHCPパケットをスヌーピングすることにより、PC111のパケットを特定して上位ネットワークへの通信を許可することができる。特に、ONU101でPC111のパケットをフィルタリングする透過フィルタ部121を設けているので、例えばONU101でユーザ認証されていないPC112にPC111と同じIPアドレスを設定してONU101に接続して上位のネットワークにアクセスしようとしても、PC112のMACアドレスがPC111と異なるので、ONU101の透過フィルタ121でPC112のパケットが阻止される。これは、PC112のMACアドレスとIPアドレスの対応がONU101の透過フィルタテーブル記憶部125に記憶されていないからである。このようにして、ONU101に不正端末を接続して不正利用することを防止できる。
As described above, in an access network using the Ethernet-PON system, user authentication of the
同様に、ユーザ認証済でONU101の透過フィルタテーブル記憶部125にIPアドレスとMACアドレスとの対応が記憶されたPC111をONU102に接続した場合、ONU102の透過フィルタテーブル記憶部125に相当する透過フィルタテーブルには、PC111のMACアドレスとIPアドレスの対応が記憶されていないので、上位ネットワークにアクセスすることはできない。もし、各ONUの透過フィルタ部121ではなく、OLT105のパケットフィルタ部131でPC111のMACアドレスとIPアドレスの対応をチェックするようにした場合は、同じOLT105の配下にあるONU101やONU102或いはONU103のいずれにPC111を接続した場合でも上位ネットワークへのアクセスが可能になってしまうという問題が生じるが、本実施形態のように、各ONU側でユーザ端末のMACアドレスとIPアドレスとの対応を確認することにより、同じOLT105の配下にあるONU102またはONU103に移動してPC111を接続した場合の上位ネットワークへの不正アクセスを防止できる。もちろん、OLT105とは異なるOLTの配下のONUに接続した場合は、ONU側で阻止されるだけでなく、OLT側でもブロードキャストパケット以外のパケットはユーザ認証が完了してユーザ認証済ONUテーブル記憶部136に登録されるまで阻止されるので、上位ネットワークへの不正アクセスを防止することができる。
Similarly, when the
ここで、ユーザ端末から上位ネットワークへ送信されるパケットのフィルタ状態の遷移について図9を用いて説明する。図9は、ONU101,ONU102,ONU103およびOLT105によってフィルタリングされるユーザ端末のPC111,PC112およびPC113が送信するパケットのフィルタ状態を中心に描いた図である。従って、図9のフィルタリング処理は、各ONUの透過フィルタ部121およびOLT105のパケットフィルタ部131の両方のフィルタリング処理を含んでいる。
Here, the transition of the filter state of a packet transmitted from the user terminal to the upper network will be described with reference to FIG. FIG. 9 is a diagram depicting the filtering state of packets transmitted by the
以下、図9のフィルタ状態の遷移を順に説明する。 Hereinafter, the transition of the filter state of FIG. 9 will be described in order.
(ステップS201)この時点では、各ONUの電源が投入され、各ONUに接続されるユーザ端末が送出する全パケットは阻止された状態(フィルタ状態)になっている。尚、ブロードキャストパケット以外は各ONUの透過フィルタ部で阻止され、ブロードキャストパケットはOLT105のパケットフィルタ131で阻止される。
(Step S201) At this time, the power of each ONU is turned on, and all packets sent by the user terminal connected to each ONU are blocked (filter state). It should be noted that other than broadcast packets are blocked by the transmission filter unit of each ONU, and broadcast packets are blocked by the
この状態では、各ONUは定期的にCCフレームをOLT105に送信し、これを受けたOLT105は、予め登録済ONUテーブル記憶部135に登録されているか否かを確認して、CCフレームを送出したONUのMACアドレスを認証する。
In this state, each ONU periodically transmits a CC frame to the
(ステップS202)この時点では、OLT105のパケットフィルタ131のブロードキャストパケットの阻止が解除され、各ユーザ端末から送出されるDHCPパケットは上位ネットワーク側にあるDHCPサーバ106に送信される。尚、ブロードキャストパケット以外のパケットは、依然として各ONUの透過フィルタ部121で阻止される。
(Step S202) At this time, the blocking of the broadcast packet by the
この状態では、各ONUは各ユーザ端末とDHCPサーバ106との間で送受信されるDHCPrequestフレーム303とDHCPackフレーム304とをモニタして、各ユーザ端末のMACアドレスとIPアドレスとの対応を透過フィルタテーブル記憶部125に登録する。同様に、OLT105においても各ユーザ端末とDHCPサーバ106との間で送受信されるDHCPrequestフレーム303とDHCPackフレーム304とをモニタして、各ユーザ端末のMACアドレスとIPアドレスとの対応を認証済端末テーブル記憶部137に登録する。
In this state, each ONU monitors the
また、この状態で、各ONUとOLT105との間で定期的に送受信されるCCフレームが一定時間内にOLT105で検出されなかった場合はCCフレームタイムアウトとして、ステップS201の状態に戻り、ユーザ認証をやり直す。或いは、OLT105の認証済ONUテーブル記憶部136に登録外のMACアドレスを有するONUからのCCフレームをOLT105が受信した場合は、ONUのすり替えがあったと判断して、ステップS201の状態に戻り、ユーザ認証をやり直す。
In this state, if a CC frame periodically transmitted / received between each ONU and the
(ステップS203)この時点では、各ONUの透過フィルタ121の全パケットの阻止が解除され、さらにOLT105のパケットフィルタ131の全パケットの阻止も解除されるので、各ユーザ端末から送出されるブロードキャスト,ユニキャストおよびマルチキャストの全パケットは上位ネットワーク側に送信される。
(Step S203) At this point, the blocking of all packets of the
この状態で、各ONUとOLT105との間で定期的に送受信されるCCフレームが一定時間内にOLT105で検出されなかった場合はCCフレームタイムアウトとして、ステップS201の状態に戻り、ユーザ認証をやり直す。或いは、DHCPdiscoverフレーム301をスヌーピングした場合は、ユーザ端末の電源が再投入されたものと判断して、ステップS201の状態に戻り、ユーザ認証をやり直す。または、OLT105の認証済ONUテーブル記憶部136に登録外のMACアドレスを有するONUからのCCフレームをOLT105が受信した場合は、ONUのすり替えがあったと判断して、ステップS201の状態に戻り、ユーザ認証をやり直す。
In this state, if the CC frame periodically transmitted / received between each ONU and the
このようにして、本実施形態に係るユーザ認証システム100は、BRASを用いることなく、Ethernet−PONシステムを利用したアクセスネットワークにおけるユーザ認証システムを提供することができる。特に、ONU101,ONU102,ONU103,光カプラ104,OLT105,DHCPサーバ106の既存の装置を利用して、ONUやOLTのソフトウェアの変更のみで実現することができるので、安価かつ容易にユーザ認証システムを提供することができる。
As described above, the
100・・・ユーザ認証システム
101・・・ONU
102・・・ONU
103・・・ONU
104・・・光カプラ
105・・・OLT
106・・・DHCPサーバ
121・・・透過フィルタ部
122・・・ONU制御部
123・・・CCフレーム送出部
124・・・DHCPモニタ部
125・・・透過フィルタテーブル記憶部
131・・・パケットフィルタ部
132・・・OLT制御部
133・・・CCフレーム受信部
134・・・DHCPモニタ部
135・・・登録済ONUテーブル記憶部
136・・・認証済ONUテーブル記憶部
137・・・認証済端末テーブル記憶部
100: User authentication system 101: ONU
102 ... ONU
103 ... ONU
104 ...
106:
Claims (4)
ユーザ端末を前記OLTに接続する複数のONUと、
前記複数のONUを波長多重して前記OLTに接続する光カプラと、
前記ユーザ端末にIPアドレスの発行を行うDHCPサーバーと
で構成される波長多重PONシステムにおけるユーザ認証システムにおいて、
前記ONUは、
前記ユーザ端末から送出されるフレームのフィルタリングを行う透過フィルタ部と、
自己のMACアドレスを含む定期フレームを前記OLTに定期的に送信する定期フレーム送信部と、
前記ONUに前記透過フィルタ部を通過させる前記ユーザ端末のパケットのMACアドレスとIPアドレスの対応を記憶する透過フィルタテーブルと、
前記ユーザ端末と前記DHCPサーバとの間で送受信するDHCPrequestフレームのスヌーピングにより前記ユーザ端末のMACアドレスをモニタし、さらにDHCPackフレームのスヌーピングにより前記ユーザ端末に割り当てられるIPアドレスをモニタし、前記ユーザ端末のMACアドレスとIPアドレスの対応を前記透過フィルタテーブルに登録するONU側モニタ部と、
前記透過フィルタ部のフィルタリング制御を行うONU制御部と
で構成され、
前記OLTは、
自己のOLTの配下に設置された全ての前記ONUのMACアドレスが予め記憶された登録済ONUテーブルと、
前記登録済ONUテーブルの中から認証された前記ONUおよび該MACアドレスを記憶する認証済ONUテーブルと、
前記ONUから送出された前記定期フレームを受信する定期フレーム受信部と、
前記定期フレーム受信部が受信した前記定期フレームに格納された前記ONUのMACアドレスが前記登録済ONUテーブルに記憶されたMACアドレスに合致するか否かを判別し、合致する場合に当該ONUおよび該MACアドレスを前記認証済ONUテーブルに登録する認証済ONUテーブル登録部と、
前記ONUから送出されるフレームのフィルタリングを行うパケットフィルタ部と、
前記ユーザ端末と前記DHCPサーバとの間で送受信するDHCPrequestフレームのスヌーピングにより前記ユーザ端末のMACアドレスをモニタし、さらにDHCPackフレームのスヌーピングにより前記ユーザ端末に割り当てられるIPアドレスをモニタして、当該ユーザ端末のMACアドレスおよびIPアドレスを認証済端末テーブルに登録するOLT側モニタ部と、
前記パケットフィルタ部のフィルタリング制御を行うOLT制御部と
で構成され、
前記ユーザ端末から送信される全フレームを上位のネットワークに通さない第1の状態と、前記ユーザ端末から送信されるブロードキャストパケットを上位のネットワークに通す第2の状態と、前記ユーザ端末から送信される全フレームを上位のネットワークに通す第3の状態と、を有し、
前記第1の状態では、前記OLT制御部は、前記ONUの電源投入後に前記ONUから受信した前記定期フレームに格納された前記ONUのMACアドレスが前記登録済ONUテーブルおよび前記認証済ONUテーブルに登録されていない場合、当該ONUから受信するブロードキャストパケットを上位のネットワークに通さない状態にし、前記ONU制御部は、前記ユーザ端末から送信されるブロードキャストパケットを前記OLTに通す状態にし、
前記第2の状態では、前記OLT制御部は、前記ONUから受信した前記定期フレームに格納された前記ONUのMACアドレスが前記認証済ONUテーブルに登録されている場合、当該ONUから受信するブロードキャストパケットを上位のネットワークに通す状態にし、前記ONU制御部は、前記ユーザ端末から送信されるブロードキャストパケットを前記OLTに通す状態にし、
前記第3の状態では、前記OLT制御部は、前記ONUから受信した前記定期フレームに格納された前記ONUのMACアドレスが前記認証済ONUテーブルに登録されている場合、且つ、当該ONUを介してユーザ端末から受信するフレームに格納された前記ユーザ端末の前記MACアドレスおよび前記IPアドレスが前記認証済端末テーブルに登録された前記MACアドレスと前記IPアドレスとが一致する場合、当該ユーザ端末から受信する全フレームを上位のネットワークに通す状態にし、前記ONU制御部は、前記ユーザ端末から受信したフレームに格納された前記ユーザ端末の前記MACアドレスおよび前記IPアドレスが前記透過フィルタテーブルに登録されている場合、当該ユーザ端末から受信する全フレームを前記OLTに通す状態にする
ことを特徴とするユーザ認証システム。 An OLT for connecting an access from a wavelength division multiplexing PON system formed under the network to an upper network;
A plurality of ONUs connecting user terminals to the OLT;
An optical coupler that multiplexes the plurality of ONUs and connects to the OLT;
In a user authentication system in a wavelength division multiplexing PON system configured with a DHCP server that issues an IP address to the user terminal,
The ONU is
A transmission filter unit for filtering frames transmitted from the user terminal;
A periodic frame transmitting unit that periodically transmits a periodic frame including its own MAC address to the OLT;
A transmission filter table that stores the correspondence between the MAC address and IP address of the packet of the user terminal that allows the ONU to pass through the transmission filter unit;
The MAC address of the user terminal is monitored by snooping of a DHCP request frame transmitted and received between the user terminal and the DHCP server, and the IP address assigned to the user terminal is monitored by snooping of the DHCPPack frame, and the user terminal An ONU-side monitoring unit that registers the correspondence between the MAC address and the IP address in the transparent filter table ;
An ONU control unit that performs filtering control of the transmission filter unit,
The OLT is
A registered ONU table in which MAC addresses of all the ONUs installed under its own OLT are stored in advance;
And authenticated ONU table storing the ONU and the MAC address is authenticated from among the registered ONU table,
And regular frame receiving unit that receives the periodic frame sent from the ONU,
The ONU and the when the periodic frame receiving unit is MAC address of the ONU stored in the regular frame received to determine whether they meet the MAC address stored in the registered ONU table matches An authenticated ONU table registration unit for registering a MAC address in the authenticated ONU table;
A packet filter unit for filtering frames transmitted from the ONU;
The MAC address of the user terminal is monitored by snooping of a DHCP request frame transmitted and received between the user terminal and the DHCP server, and the IP address assigned to the user terminal is monitored by snooping of a DHCPPack frame, and the user terminal An OLT-side monitor unit that registers the MAC address and IP address of the device in the authenticated terminal table;
An OLT control unit that performs filtering control of the packet filter unit,
A first state in which all frames transmitted from the user terminal are not passed through an upper network, a second state in which a broadcast packet transmitted from the user terminal is passed through an upper network, and a transmission from the user terminal A third state in which all frames are passed through the upper network,
In the first state, the OLT control unit registers the MAC address of the ONU stored in the periodic frame received from the ONU after powering on the ONU in the registered ONU table and the authenticated ONU table. If not, then the broadcast packets received from the ONU to the state impervious to the upper network, the ONU control unit, in a state passing broadcast packets transmitted from the user terminal to the OLT,
In the second state, the OLT control unit receives a broadcast packet received from the ONU when the MAC address of the ONU stored in the periodic frame received from the ONU is registered in the authenticated ONU table. And the ONU control unit sets a broadcast packet transmitted from the user terminal to pass through the OLT,
In the third state, the OLT control unit, when the MAC address of the ONU stored in the regular frame received from the ONU is registered in the authenticated ONU table, and via the ONU When the MAC address and the IP address of the user terminal stored in the frame received from the user terminal match the MAC address registered in the authenticated terminal table and the IP address, receive from the user terminal When all frames are passed through an upper network, and the ONU control unit registers the MAC address and the IP address of the user terminal stored in the frame received from the user terminal in the transparent filter table , All frames received from the user terminal User authentication system, characterized by a state to pass.
前記定期フレームは、Ethernet−OAMのCCフレームであることを特徴とするユーザ認証システム。 The user authentication system according to claim 1,
The user authentication system, wherein the periodic frame is an Ethernet-OAM CC frame.
ユーザ端末を前記OLTに接続する複数のONUと、
前記複数のONUを波長多重して前記OLTに接続する光カプラと、
前記ユーザ端末にIPアドレスの発行を行うDHCPサーバーと
で構成される波長多重PONシステムにおけるユーザ認証方法において、
前記ONUは、
前記ユーザ端末から送出されるフレームのフィルタリングを行う透過フィルタ手順と、
自己のMACアドレスを含む定期フレームを前記OLTに定期的に送信する定期フレーム送信手順と、
前記ユーザ端末と前記DHCPサーバとの間で送受信するDHCPrequestフレームのスヌーピングにより前記ユーザ端末のMACアドレスをモニタし、さらにDHCPackフレームのスヌーピングにより前記ユーザ端末に割り当てられるIPアドレスをモニタし、前記ユーザ端末のMACアドレスとIPアドレスの対応を透過フィルタテーブルに登録するONU側モニタ手順と、
前記透過フィルタ手順のフィルタリング制御を行うONU制御手順と
を実行し、
前記OLTは、
前記ONUから送出された前記定期フレームを受信する定期フレーム受信手順と、
前記定期フレーム受信手順で受信した前記定期フレームに格納された前記ONUのMACアドレスが自己のOLTの配下に設置された全ての前記ONUのMACアドレスが予め記憶された登録済ONUテーブルに記憶されたMACアドレスに合致するか否かを判別し、合致する場合に当該ONUおよび該MACアドレスを認証済ONUテーブルに登録する認証済ONUテーブル登録手順と、
前記ONUから送出されるフレームのフィルタリングを行うパケットフィルタ手順と、
前記ユーザ端末と前記DHCPサーバとの間で送受信するDHCPrequestフレームのスヌーピングにより前記ユーザ端末のMACアドレスをモニタし、さらにDHCPackフレームのスヌーピングにより前記ユーザ端末に割り当てられるIPアドレスをモニタして、当該ユーザ端末のMACアドレスおよびIPアドレスを認証済端末テーブルに登録するOLT側モニタ手順と、
前記パケットフィルタ手順のフィルタリング制御を行うOLT制御手順と
を実行し、
前記ユーザ端末から送信される全フレームを上位のネットワークに通さない第1の状態と、前記ユーザ端末から送信されるブロードキャストパケットを上位のネットワークに通す第2の状態と、前記ユーザ端末から送信される全フレームを上位のネットワークに通す第3の状態と、を有し、
前記第1の状態では、前記OLT制御手順は、前記ONUの電源投入後に前記ONUから受信した前記定期フレームに格納された前記ONUのMACアドレスが前記登録済ONUテーブルおよび前記認証済ONUテーブルに登録されていない場合、当該ONUから受信するブロードキャストパケットを上位のネットワークに通さない状態にし、前記ONU制御手順は、前記ユーザ端末から送信されるブロードキャストパケットを前記OLTに通す状態にし、
前記第2の状態では、前記OLT制御手順は、前記ONUから受信した前記定期フレームに格納された前記ONUのMACアドレスが前記認証済ONUテーブルに登録されている場合、当該ONUから受信するブロードキャストパケットを上位のネットワークに通す状態にし、前記ONU制御手順は、前記ユーザ端末から送信されるブロードキャストパケットを前記OLTに通す状態にし、
前記第3の状態では、前記OLT制御手順は、前記ONUから受信した前記定期フレームに格納された前記ONUのMACアドレスが前記認証済ONUテーブルに登録されている場合、且つ、当該ONUを介して前記ユーザ端末から受信するフレームに格納された前記ユーザ端末の前記MACアドレスおよび前記IPアドレスが前記認証済端末テーブルに登録された前記MACアドレスおよび前記IPアドレスと一致する場合、当該ONUを介して前記ユーザ端末から受信する全フレームを上位のネットワークに通す状態にし、前記ONU制御手順は、前記ユーザ端末から受信するフレームに格納された前記ユーザ端末の前記MACアドレスおよび前記IPアドレスが前記透過フィルタテーブルに登録されている場合、当該ユーザ端末から受信する全フレームを前記OLTに通す状態にする
ことを特徴とするユーザ認証方法。 An OLT for connecting an access from a wavelength division multiplexing PON system formed under the network to an upper network;
A plurality of ONUs connecting user terminals to the OLT;
An optical coupler that multiplexes the plurality of ONUs and connects to the OLT;
In a user authentication method in a wavelength division multiplexing PON system configured with a DHCP server that issues an IP address to the user terminal,
The ONU is
A transmission filter procedure for filtering frames transmitted from the user terminal;
A periodic frame transmission procedure for periodically transmitting a periodic frame including its own MAC address to the OLT;
The MAC address of the user terminal is monitored by snooping of a DHCP request frame transmitted and received between the user terminal and the DHCP server, and the IP address assigned to the user terminal is monitored by snooping of the DHCPPack frame, and the user terminal An ONU-side monitoring procedure for registering the correspondence between the MAC address and the IP address in the transparent filter table ;
An ONU control procedure for performing filtering control of the transmission filter procedure;
Run
The OLT is
And regular frame receiving step of receiving said periodic frame sent from the ONU,
MAC address of the stored in the regular frame received ONU is stored in the registered ONU table MAC addresses of all of the ONU placed under the own OLT is stored in advance in the periodic frame reception procedure An ONU table registration procedure for determining whether or not to match the MAC address, and registering the ONU and the MAC address in the authenticated ONU table if they match,
A packet filter procedure for filtering frames sent from the ONU;
The MAC address of the user terminal is monitored by snooping of a DHCP request frame transmitted and received between the user terminal and the DHCP server, and the IP address assigned to the user terminal is monitored by snooping of a DHCPPack frame , and the user terminal An OLT-side monitoring procedure for registering the MAC address and IP address of the device in the authenticated terminal table;
An OLT control procedure for performing filtering control of the packet filter procedure;
Run
A first state in which all frames transmitted from the user terminal are not passed through an upper network, a second state in which a broadcast packet transmitted from the user terminal is passed through an upper network, and a transmission from the user terminal A third state in which all frames are passed through the upper network,
In the first state, the OLT control procedure registers the ONU MAC address stored in the periodic frame received from the ONU after the ONU is powered on in the registered ONU table and the authenticated ONU table. If not, then the broadcast packets received from the ONU to the state impervious to the upper network, the ONU control procedure in a state through a broadcast packet transmitted from the user terminal to the OLT,
In the second state, the OLT control procedure is a broadcast packet received from the ONU when the MAC address of the ONU stored in the periodic frame received from the ONU is registered in the authenticated ONU table. And the ONU control procedure sets the broadcast packet transmitted from the user terminal to pass through the OLT,
In the third state, the OLT control procedure is performed when the MAC address of the ONU stored in the periodic frame received from the ONU is registered in the authenticated ONU table and through the ONU. when matching the MAC address and the IP address, the MAC address and the IP address is registered in the authenticated terminal table of the user terminal stored in the frame received from the user terminal, wherein via the ONU All frames received from the user terminal are put through a higher-level network, and the ONU control procedure is such that the MAC address and the IP address of the user terminal stored in the frame received from the user terminal are stored in the transparent filter table. If registered, receive from the user terminal User authentication method which is characterized in that the entire frame of the state through the OLT.
前記定期フレームは、Ethernet−OAMのCCフレームであることを特徴とするユーザ認証方法。 The user authentication method according to claim 3 , wherein
The user authentication method, wherein the periodic frame is an Ethernet-OAM CC frame.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009039013A JP5269641B2 (en) | 2009-02-23 | 2009-02-23 | User authentication system and user authentication method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009039013A JP5269641B2 (en) | 2009-02-23 | 2009-02-23 | User authentication system and user authentication method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010199673A JP2010199673A (en) | 2010-09-09 |
JP5269641B2 true JP5269641B2 (en) | 2013-08-21 |
Family
ID=42823979
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009039013A Expired - Fee Related JP5269641B2 (en) | 2009-02-23 | 2009-02-23 | User authentication system and user authentication method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5269641B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109167770A (en) * | 2018-08-21 | 2019-01-08 | 北京小米移动软件有限公司 | Export method, networking method, device and the storage medium of networking certification information |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8850197B2 (en) | 2009-07-31 | 2014-09-30 | Futurewei Technologies, Inc. | Optical network terminal management control interface-based passive optical network security enhancement |
JP5529081B2 (en) * | 2011-06-29 | 2014-06-25 | 富士通テレコムネットワークス株式会社 | Network system, transmission apparatus, and connection management method |
JP6242376B2 (en) * | 2015-11-19 | 2017-12-06 | 三菱電機株式会社 | Communication system and subscriber side device |
JP6683646B2 (en) * | 2017-03-21 | 2020-04-22 | 日本電信電話株式会社 | Subscriber line termination device authentication device and subscriber line termination device authentication method |
CN108183910B (en) * | 2018-01-02 | 2020-12-08 | 新华三技术有限公司 | ONU equipment authentication method, OLT equipment and ONU equipment authentication system |
JP7190967B2 (en) * | 2019-05-31 | 2022-12-16 | 三菱電機株式会社 | Optical communication device, control method, and control program |
WO2022215221A1 (en) * | 2021-04-08 | 2022-10-13 | 日本電信電話株式会社 | Network system, control method, database, controller, and program |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003204345A (en) * | 2002-01-08 | 2003-07-18 | Nec Corp | Communication system, packet repeating apparatus, method for repeating packet and repeating program |
JP4290526B2 (en) * | 2003-10-29 | 2009-07-08 | 富士通株式会社 | Network system |
JP2007129283A (en) * | 2005-11-01 | 2007-05-24 | Alaxala Networks Corp | Data transfer apparatus |
US20110174307A1 (en) * | 2006-01-04 | 2011-07-21 | Lessi Stephane | Device for Supplying Oxygen to the Occupants of an Aircraft and Pressure Regulator for Such a Device |
JP4881672B2 (en) * | 2006-07-31 | 2012-02-22 | パナソニック電工ネットワークス株式会社 | Communication device and communication control program |
JP5105942B2 (en) * | 2007-04-13 | 2012-12-26 | 三菱電機株式会社 | ONU automatic registration method |
-
2009
- 2009-02-23 JP JP2009039013A patent/JP5269641B2/en not_active Expired - Fee Related
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109167770A (en) * | 2018-08-21 | 2019-01-08 | 北京小米移动软件有限公司 | Export method, networking method, device and the storage medium of networking certification information |
CN109167770B (en) * | 2018-08-21 | 2021-02-09 | 北京小米移动软件有限公司 | Method for outputting networking authentication information, networking method, networking device and storage medium |
Also Published As
Publication number | Publication date |
---|---|
JP2010199673A (en) | 2010-09-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5269641B2 (en) | User authentication system and user authentication method | |
US10439862B2 (en) | Communication terminal with multiple virtual network interfaces | |
US10103982B2 (en) | System and method for automatic routing of dynamic host configuration protocol (DHCP) traffic | |
EP1841114B1 (en) | Station-side apparatus of wavelength multiplexing PON system, wavelength and network address allotting method and program thereof | |
JP4680866B2 (en) | Packet transfer device with gateway load balancing function | |
US8630183B2 (en) | Packet transfer system | |
CN101048008B (en) | Channel switchover system and method for IPTV service in passive optical network | |
US20130100913A1 (en) | Method and system for efficient use of a telecommunication network and the connection between the telecommunications network and a customer premises equipment | |
CN105812252A (en) | Home gateway, system and method for accessing multicast service by terminal | |
JP5256118B2 (en) | Information distribution system and information distribution method | |
US11153267B2 (en) | Using dynamic host control protocol (DHCP) and a special file format to convey quality of service (QOS) and service information to customer equipment | |
US9032083B2 (en) | Method and system for efficient use of a telecommunications network and the connection between the telecommunications network and a customer premises equipment | |
US10945036B2 (en) | Set top box security tracking | |
US20130198396A1 (en) | Method for efficient initialization of a telecommunications network and telecommunications network | |
CN112438026A (en) | Information transmission method, optical line terminal, optical network unit and communication system | |
CN115086061B (en) | Authentication and network access control method and system for FTTR | |
US11700228B2 (en) | Hardware address consistency management | |
EP2795816B1 (en) | Systems and methods for sharing of optical network terminals in passive optical network | |
US11930037B2 (en) | Validation and implementation of flow specification (Flowspec) rules | |
JP6107773B2 (en) | Communication apparatus and communication system | |
WO2021002036A1 (en) | Optical network unit, communication network system, and communication method | |
JP2008236674A (en) | Subscriber side optical line termination apparatus | |
JP2014155097A (en) | Ge-pon system and olt |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110310 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120621 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120703 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120827 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121211 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130201 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130430 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130508 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |