JP5269641B2 - User authentication system and user authentication method - Google Patents

User authentication system and user authentication method Download PDF

Info

Publication number
JP5269641B2
JP5269641B2 JP2009039013A JP2009039013A JP5269641B2 JP 5269641 B2 JP5269641 B2 JP 5269641B2 JP 2009039013 A JP2009039013 A JP 2009039013A JP 2009039013 A JP2009039013 A JP 2009039013A JP 5269641 B2 JP5269641 B2 JP 5269641B2
Authority
JP
Japan
Prior art keywords
onu
user terminal
olt
mac address
frame
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009039013A
Other languages
Japanese (ja)
Other versions
JP2010199673A (en
Inventor
功児 箭内
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Telecom Networks Ltd
Original Assignee
Fujitsu Telecom Networks Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Telecom Networks Ltd filed Critical Fujitsu Telecom Networks Ltd
Priority to JP2009039013A priority Critical patent/JP5269641B2/en
Publication of JP2010199673A publication Critical patent/JP2010199673A/en
Application granted granted Critical
Publication of JP5269641B2 publication Critical patent/JP5269641B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To avoid installation of a plurality of expensive BRAS (Broadband Remote Access Server) apparatuses. <P>SOLUTION: An ONU includes a transparent filter section for filtering a frame sent from a terminal, a regular frame transmitting section for regularly transmitting a frame including a MAC address to an OLT, an ONU side monitoring section for monitoring a DHCP packet, and an ONU control section for performing filtering control of the transparent filter section. The OLT includes a registered ONU table previously storing the MAC addresses of all the ONUs subordinate thereto, a regular frame receiving section for receiving the frame from the ONU, an authenticated ONU table registering section for determining whether or not the MAC address of the received frame matches the registered ONU table, and if it matches, registering the ONU and the MAC address to the authenticated ONU table, a filter section for filtering the frame from the ONU, an OLT side monitoring section for monitoring the DHCP packet, and an OLT control section for performing filtering control. <P>COPYRIGHT: (C)2010,JPO&amp;INPIT

Description

本発明はネットワークにおけるユーザ認証技術に関する。   The present invention relates to a user authentication technique in a network.

近年、ブロードバンドアクセスサービスが広く普及している。ブロードバンドアクセスシステムとして、従来は通信事業者が通信局舎に設置する加入者収容装置としてメディアコンバータが用いられていたが、ブロードバンドの普及と料金低廉化に伴い、安価なコストでブロードバンド加入者を収容する方式として、イーサネット(登録商標)規格を用いたEthernet(登録商標)−PON(Passive Optical Network)システムが主流になってきている。 In recent years, broadband access services have become widespread. As a broadband access system, media converters were conventionally used as subscriber accommodation devices installed in communication stations by telecommunications carriers, but broadband subscribers can be accommodated at a lower cost as broadband spreads and prices are reduced. As a method for this, an Ethernet (registered trademark) -PON (Passive Optical Network) system using the Ethernet (registered trademark) standard has become mainstream.

また、通信事業者によるブロードバンドアクセスサービスにおいて、ユーザ認証の仕組みがない場合は、勝手にネットワークを使用されたり、契約外のサービスを使用されるなどの問題が生じるため、ブロードバンドアクセスサービスではユーザ認証を行う認証システムが必須となっている。   In addition, if there is no user authentication mechanism in the broadband access service provided by the telecommunications carrier, problems such as using the network without permission or using a service outside the contract may occur. An authentication system to perform is essential.

そこで、国内の通信事業者によるブロードバンドアクセスサービスでは、ユーザがインターネットヘ接続する時に、例えばIETFのRFC2516で標準化されているPPPoE(Point−to−Point Protocol over Ethernet)と呼ばれるプロトコルを用いてインターネットバックボーンヘの入り口となる地域アクセスポイントに設置されたBRAS(Broadband Remote Access Server)に接続し、ユーザ認証を受けるようになっている(例えば、特許文献1参照)。   Therefore, in a broadband access service by a domestic telecommunications carrier, when a user connects to the Internet, for example, a protocol called PPPoE (Point-to-Point Protocol over Ethernet) standardized by RFC2516 of IETF is used to connect to the Internet backbone. It is connected to a BRAS (Broadband Remote Access Server) installed at a regional access point that is the entrance of the network and receives user authentication (see, for example, Patent Document 1).

ところが、PPPoEプロトコルによってユーザ認証を行うBRAS装置は、認証処理が可能な1台当たりのユーザ数が限られている。また、全てのユーザデータはBRASを通して上位のネットワークへ転送されるので、BRASへのアクセスが集中してBRASがネットワークのボトルネックになってしまうという問題がある。そこで、複数台のBRASを設置して負荷を分散することが行われているが、高価なBRASを複数台設置しなければならず、コスト的或いは局舎のスペース的に通信事業者にとって負荷が重いという問題がある。   However, BRAS devices that perform user authentication using the PPPoE protocol have a limited number of users that can be authenticated. In addition, since all user data is transferred to an upper network through BRAS, there is a problem that access to BRAS is concentrated and BRAS becomes a network bottleneck. Therefore, a plurality of BRAS is installed to distribute the load. However, a plurality of expensive BRAS must be installed, which is a burden on the telecommunications carrier in terms of cost or space of the station building. There is a problem of being heavy.

本発明の目的は、ユーザ認証装置としてのBRASを必要とせず、簡易的なシステムでユーザ認証を実現できるユーザ認証システムおよびユーザ認証方法を提供することである。   An object of the present invention is to provide a user authentication system and a user authentication method capable of realizing user authentication with a simple system without requiring a BRAS as a user authentication device.

本発明のユーザ認証システムは、配下に形成する波長多重PONシステムからのアクセスを上位ネットワークに接続するOLTと、ユーザ端末を前記OLTに接続する複数のONUと、前記複数のONUを波長多重して前記OLTに接続する光カプラと、前記ユーザ端末にIPアドレスの発行を行うDHCPサーバーとで構成される波長多重PONシステムにおけるユーザ認証システムにおいて、前記ONUは、前記ユーザ端末から送出されるフレームのフィルタリングを行う透過フィルタ部と、自己のMACアドレスを含む定期フレームを前記OLTに定期的に送信する定期フレーム送信部と、前記ONUに前記透過フィルタ部を通過させる前記ユーザ端末のパケットのMACアドレスとIPアドレスの対応を記憶する透過フィルタテーブルと、前記ユーザ端末と前記DHCPサーバとの間で送受信するDHCPrequestフレームのスヌーピングにより前記ユーザ端末のMACアドレスをモニタし、さらにDHCPackフレームのスヌーピングにより前記ユーザ端末に割り当てられるIPアドレスをモニタし、前記ユーザ端末のMACアドレスとIPアドレスの対応を前記透過フィルタテーブルに登録するONU側モニタ部と、前記透過フィルタ部のフィルタリング制御を行うONU制御部とで構成され、前記OLTは、自己のOLTの配下に設置された全ての前記ONUのMACアドレスが予め記憶された登録済ONUテーブルと、前記登録済ONUテーブルの中から認証された前記ONUおよび該MACアドレスを記憶する認証済ONUテーブルと、前記ONUから送出された前記定期フレームを受信する定期フレーム受信部と、前記定期フレーム受信部が受信した前記定期フレームに格納された前記ONUのMACアドレスが前記登録済ONUテーブルに記憶されたMACアドレスに合致するか否かを判別し、合致する場合に当該ONUおよび該MACアドレスを前記認証済ONUテーブルに登録する認証済ONUテーブル登録部と、前記ONUから送出されるフレームのフィルタリングを行うパケットフィルタ部と、前記ユーザ端末と前記DHCPサーバとの間で送受信するDHCPrequestフレームのスヌーピングにより前記ユーザ端末のMACアドレスをモニタし、さらにDHCPackフレームのスヌーピングにより前記ユーザ端末に割り当てられるIPアドレスをモニタして、当該ユーザ端末のMACアドレスおよびIPアドレスを認証済端末テーブルに登録するOLT側モニタ部と、前記パケットフィルタ部のフィルタリング制御を行うOLT制御部とで構成され、前記ユーザ端末から送信される全フレームを上位のネットワークに通さない第1の状態と、前記ユーザ端末から送信されるブロードキャストパケットを上位のネットワークに通す第2の状態と、前記ユーザ端末から送信される全フレームを上位のネットワークに通す第3の状態と、を有し、前記第1の状態では、前記OLT制御部は、前記ONUの電源投入後に前記ONUから受信した前記定期フレームに格納された前記ONUのMACアドレス前記登録済ONUテーブルおよび前記認証済ONUテーブルに登録されていない場合、当該ONUから受信するブロードキャストパケットを上位のネットワークに通さない状態にし、前記ONU制御部は、前記ユーザ端末から送信されるブロードキャストパケットを前記OLTに通す状態にし、前記第2の状態では、前記OLT制御部は、前記ONUから受信した前記定期フレームに格納された前記ONUのMACアドレスが前記認証済ONUテーブルに登録されている場合、当該ONUから受信するブロードキャストパケットを上位のネットワークに通す状態にし、前記ONU制御部は、前記ユーザ端末から送信されるブロードキャストパケットを前記OLTに通す状態にし、前記第3の状態では、前記OLT制御部は、前記ONUから受信した前記定期フレームに格納された前記ONUのMACアドレスが前記認証済ONUテーブルに登録されている場合、且つ、当該ONUを介してユーザ端末から受信するフレームに格納された前記ユーザ端末の前記MACアドレスおよび前記IPアドレスが前記認証済端末テーブルに登録された前記MACアドレスと前記IPアドレスとが一致する場合、当該ユーザ端末から受信する全フレームを上位のネットワークに通す状態にし、前記ONU制御部は、前記ユーザ端末から受信したフレームに格納された前記ユーザ端末の前記MACアドレスおよび前記IPアドレスが前記透過フィルタテーブルに登録されている場合、当該ユーザ端末から受信する全フレームを前記OLTに通す状態にすることを特徴とする。 The user authentication system of the present invention wavelength-multiplexes an OLT for connecting an access from a wavelength multiplexing PON system formed thereunder to an upper network, a plurality of ONUs for connecting user terminals to the OLT, and the plurality of ONUs. In a user authentication system in a wavelength division multiplexing PON system including an optical coupler connected to the OLT and a DHCP server that issues an IP address to the user terminal, the ONU performs filtering of frames transmitted from the user terminal A transmission filter unit that performs transmission, a periodic frame transmission unit that periodically transmits a periodic frame including its own MAC address to the OLT, and the MAC address and IP of the packet of the user terminal that allows the ONU to pass through the transmission filter unit Transparent filter table that memorizes address correspondence If the monitored MAC address of the user terminal by snooping DHCPrequest frames transmitted to and received from the user terminal and the DHCP server, monitors the further IP address assigned to the user terminal by snooping DHCPack frame, the user It consists of an ONU side monitor unit that registers the correspondence between the MAC address and IP address of the terminal in the transparent filter table, and an ONU control unit that performs filtering control of the transparent filter unit, and the OLT is under its own OLT. and all of the ONU registered ONU table MAC address is stored in advance in the installation has been, and authenticated ONU table storing the ONU and the MAC address is authenticated from among the registered ONU table, from the ONU And regular frame receiving unit that receives the periodic frame issued, matching the regular frame receiving unit is MAC address of the ONU stored in the regular frame received is stored in the registered ONU table MAC address An ONU table registration unit that registers the ONU and the MAC address in the authenticated ONU table if they match, a packet filter unit that filters frames sent from the ONU, The MAC address of the user terminal is monitored by snooping of a DHCP request frame transmitted and received between the user terminal and the DHCP server, and the IP address assigned to the user terminal is monitored by snooping of the DHCPPack frame. An OLT-side monitor unit that registers the MAC address and IP address of the terminal in the authenticated terminal table and an OLT control unit that performs filtering control of the packet filter unit . A first state in which the user terminal does not pass through, a second state in which a broadcast packet transmitted from the user terminal passes through the upper network, and a third state in which all frames transmitted from the user terminal pass through the upper network. In the first state, the OLT control unit stores the ONU MAC address stored in the periodic frame received from the ONU after the ONU is powered on and the registered ONU table and the If not registered in the authenticated ONU table, blanking received from the ONU Was over de cast packets to a state impervious to the upper network, the ONU control unit, in a state passing broadcast packets transmitted from the user terminal to the OLT, and in the second state, the OLT control unit, When the MAC address of the ONU stored in the periodic frame received from the ONU is registered in the authenticated ONU table, the broadcast packet received from the ONU is put into a higher network, and the ONU control unit Puts the broadcast packet transmitted from the user terminal through the OLT, and in the third state, the OLT control unit determines that the MAC address of the ONU stored in the periodic frame received from the ONU is Registered in the authenticated ONU table If, and, with the MAC address and the IP address of the MAC address and the IP address of the user terminal stored in the frame received from the user terminal is registered in the authenticated terminal table via the ONU matches In this case, all frames received from the user terminal are put through a higher-level network, and the ONU control unit is configured so that the MAC address and the IP address of the user terminal stored in the frame received from the user terminal are When registered in the transmission filter table, all frames received from the user terminal are put into a state of passing through the OLT .

また、より好ましくは、前記定期フレームは、Ethernet−OAMのCCフレームであることを特徴とする。   More preferably, the periodic frame is an Ethernet-OAM CC frame.

本発明のユーザ認証方法は、配下に形成する波長多重PONシステムからのアクセスを上位ネットワークに接続するOLTと、ユーザ端末を前記OLTに接続する複数のONUと、前記複数のONUを波長多重して前記OLTに接続する光カプラと、前記ユーザ端末にIPアドレスの発行を行うDHCPサーバーとで構成される波長多重PONシステムにおけるユーザ認証方法において、前記ONUは、前記ユーザ端末から送出されるフレームのフィルタリングを行う透過フィルタ手順と、自己のMACアドレスを含む定期フレームを前記OLTに定期的に送信する定期フレーム送信手順と、前記ユーザ端末と前記DHCPサーバとの間で送受信するDHCPrequestフレームのスヌーピングにより前記ユーザ端末のMACアドレスをモニタし、さらにDHCPackフレームのスヌーピングにより前記ユーザ端末に割り当てられるIPアドレスをモニタし、前記ユーザ端末のMACアドレスとIPアドレスの対応を透過フィルタテーブルに登録するONU側モニタ手順と、前記透過フィルタ手順のフィルタリング制御を行うONU制御手順とを実行し、前記OLTは、前記ONUから送出された前記定期フレームを受信する定期フレーム受信手順と、前記定期フレーム受信手順で受信した前記定期フレームに格納された前記ONUのMACアドレスが自己のOLTの配下に設置された全ての前記ONUのMACアドレスが予め記憶された登録済ONUテーブルに記憶されたMACアドレスに合致するか否かを判別し、合致する場合に当該ONUおよび該MACアドレスを認証済ONUテーブルに登録する認証済ONUテーブル登録手順と、前記ONUから送出されるフレームのフィルタリングを行うパケットフィルタ手順と、前記ユーザ端末と前記DHCPサーバとの間で送受信するDHCPrequestフレームのスヌーピングにより前記ユーザ端末のMACアドレスをモニタし、さらにDHCPackフレームのスヌーピングにより前記ユーザ端末に割り当てられるIPアドレスをモニタして、当該ユーザ端末のMACアドレスおよびIPアドレスを認証済端末テーブルに登録するOLT側モニタ手順と、前記パケットフィルタ手順のフィルタリング制御を行うOLT制御手順とを実行し前記ユーザ端末から送信される全フレームを上位のネットワークに通さない第1の状態と、前記ユーザ端末から送信されるブロードキャストパケットを上位のネットワークに通す第2の状態と、前記ユーザ端末から送信される全フレームを上位のネットワークに通す第3の状態と、を有し、前記第1の状態では、前記OLT制御手順は、前記ONUの電源投入後に前記ONUから受信した前記定期フレームに格納された前記ONUのMACアドレス前記登録済ONUテーブルおよび前記認証済ONUテーブルに登録されていない場合、当該ONUから受信するブロードキャストパケットを上位のネットワークに通さない状態にし、前記ONU制御手順は、前記ユーザ端末から送信されるブロードキャストパケットを前記OLTに通す状態にし、前記第2の状態では、前記OLT制御手順は、前記ONUから受信した前記定期フレームに格納された前記ONUのMACアドレスが前記認証済ONUテーブルに登録されている場合、当該ONUから受信するブロードキャストパケットを上位のネットワークに通す状態にし、前記ONU制御手順は、前記ユーザ端末から送信されるブロードキャストパケットを前記OLTに通す状態にし、前記第3の状態では、前記OLT制御手順は、前記ONUから受信した前記定期フレームに格納された前記ONUのMACアドレスが前記認証済ONUテーブルに登録されている場合、且つ、当該ONUを介して前記ユーザ端末から受信するフレームに格納された前記ユーザ端末の前記MACアドレスおよび前記IPアドレスが前記認証済端末テーブルに登録された前記MACアドレスおよび前記IPアドレスと一致する場合、当該ONUを介して前記ユーザ端末から受信する全フレームを上位のネットワークに通す状態にし、前記ONU制御手順は、前記ユーザ端末から受信するフレームに格納された前記ユーザ端末の前記MACアドレスおよび前記IPアドレスが前記透過フィルタテーブルに登録されている場合、当該ユーザ端末から受信する全フレームを前記OLTに通す状態にすることを特徴とする。 The user authentication method according to the present invention includes an OLT that connects an access from a wavelength division multiplexing PON system formed thereunder to an upper network, a plurality of ONUs that connect user terminals to the OLT, and a wavelength multiplexing of the plurality of ONUs. In a user authentication method in a wavelength division multiplexing PON system including an optical coupler connected to the OLT and a DHCP server that issues an IP address to the user terminal, the ONU performs filtering of frames transmitted from the user terminal The transmission filter procedure for performing a periodic frame transmission procedure for periodically transmitting a periodic frame including its own MAC address to the OLT, and snooping of a DHCP request frame transmitted and received between the user terminal and the DHCP server. The MAC address of the device Nitashi further monitors the IP address assigned to the user terminal by snooping DHCPack frame, the ONU-side monitoring procedure for registering the correspondence between the MAC address and IP address of the user terminal to the transmission filter table, the transmission filter Procedure run the ONU control procedure for filtering control, the OLT, and periodic frame receiving step of receiving said periodic frame sent from the ONU, stored in the regular frame received by the regular frame reception procedure wherein When the MAC addresses of ONUs match with the MAC addresses stored in the registered ONU table stored in advance, the MAC addresses of all the ONUs installed under the own OLT are determined. Recognize the ONU and the MAC address Authenticated ONU table registration procedure for registering in the completed ONU table, packet filter procedure for filtering frames transmitted from the ONU, and snooping of DHCP request frames transmitted and received between the user terminal and the DHCP server OLT-side monitoring procedure for monitoring the MAC address of the terminal, further monitoring the IP address assigned to the user terminal by snooping the DHCPPack frame , and registering the MAC address and IP address of the user terminal in the authenticated terminal table; run the OLT control procedure for filtering control of the packet filtering procedure, the first state impervious to all frames on top of the network to be transmitted from the user terminal, it is transmitted from the user terminal A second state in which broadcast packets to be transmitted are passed through the upper network, and a third state in which all frames transmitted from the user terminal are passed through the upper network. In the first state, the OLT control is performed. procedure, when the MAC address of the ONU stored in said periodic frame after power received from the ONU of the ONU is not registered in the registered ONU table and the authenticated ONU table is received from the ONU The broadcast packet transmitted from the user terminal is passed through the OLT, the broadcast packet transmitted from the user terminal is passed through the OLT, and in the second state, the OLT control procedure includes the ONU control procedure. the ONU which has been stored in the periodic frame received from If the MAC address is registered in the authenticated ONU table, in a state passing broadcast packets received from the ONU to the upper network, the ONU control procedure, a broadcast packet transmitted from the user terminal to the OLT If the pass into a state, the third state, the OLT control procedure, the MAC address of the ONU stored in the regular frame received from the ONU is registered in the authenticated ONU table, and, the If the MAC address and the IP address of the user terminal stored in the frame received from the user terminal via the ONU match the MAC address and the IP address registered in the authenticated terminal table, the ONU Via the user terminal A state through all frames received on top of the network, the ONU control procedure, the MAC address and the IP address of the user terminal stored in the frame received from the user terminal is registered in the transmission filter table If so, all frames received from the user terminal are put into a state of passing through the OLT .

また、より好ましくは、前記定期フレームは、Ethernet−OAMのCCフレームであることを特徴とする。   More preferably, the periodic frame is an Ethernet-OAM CC frame.

本発明のユーザ認証システムおよびユーザ認証方法は、ユーザ認証装置としてのBRASを必要とせず、簡易的なシステムでユーザ認証を実現できる。   The user authentication system and the user authentication method of the present invention do not require BRAS as a user authentication device, and can realize user authentication with a simple system.

本実施形態に係るユーザ認証システム100を用いるEthernet−PONシステムの構成例を示すブロック図である。It is a block diagram which shows the structural example of the Ethernet-PON system using the user authentication system 100 which concerns on this embodiment. 従来のEthernet−PONシステムの構成例を示すブロック図である。It is a block diagram which shows the structural example of the conventional Ethernet-PON system. 本実施形態に係るユーザ認証システム100の構成例を示すブロック図である。It is a block diagram which shows the structural example of the user authentication system 100 which concerns on this embodiment. DHCP処理手順を示す説明図である。It is explanatory drawing which shows a DHCP process procedure. 透過フィルタテーブルの一例を示す説明図である。It is explanatory drawing which shows an example of the permeation | transmission filter table. 登録済ONUテーブルの一例を示す説明図である。It is explanatory drawing which shows an example of the registered ONU table. 認証済ONUテーブルの一例を示す説明図である。It is explanatory drawing which shows an example of the authenticated ONU table. 本実施形態に係るユーザ認証システム100のユーザ認証手順示すフローチャートである。It is a flowchart which shows the user authentication procedure of the user authentication system 100 which concerns on this embodiment. 本実施形態に係るユーザ認証システム100のフィルタ状態の遷移を示す説明図である。It is explanatory drawing which shows the transition of the filter state of the user authentication system 100 which concerns on this embodiment.

本発明に係るユーザ認証システムおよびユーザ認証方法の実施形態について説明する。尚、本実施形態では、通信事業者はEthernet−PONシステムを用いてアクセス系を構成するものとする。また、PONシステム設置時に、ユーザ宅側に設置されるONU(光加入者装置)のMACアドレス情報が予め局側のOLT(光回線終端装置)に登録されているものとする。そして、通信事業者と契約したユーザは、自宅内に設置されたONUにパソコンなどのユーザ端末を接続してインターネットにアクセスする。   Embodiments of a user authentication system and a user authentication method according to the present invention will be described. In the present embodiment, it is assumed that the communication carrier configures an access system using the Ethernet-PON system. In addition, it is assumed that the MAC address information of the ONU (optical subscriber unit) installed at the user's home side is registered in advance in the station side OLT (optical line termination unit) when the PON system is installed. Then, a user who has contracted with a telecommunications carrier connects a user terminal such as a personal computer to an ONU installed in his home and accesses the Internet.

ここで、MAC(Media Access Control)アドレスは、ユーザ端末のネットワークインターフェースカードやルーターなどのネットワーク端末固有ののシリアル番号である。通信事業者は、ユーザの宅内にONUを設置する際に、ユーザの住所や氏名などと共に設置したONUのMACアドレスを知ることができる。   Here, the MAC (Media Access Control) address is a serial number unique to a network terminal such as a network interface card or a router of the user terminal. When installing the ONU in the user's home, the communication carrier can know the MAC address of the ONU installed together with the user's address and name.

また、本実施形態ではIEEE802.1ag規格のEthernet−OAMを使用する。Ethernet−OAMは、レイヤ2ネットワーク内におけるネットワーク機器の保守やネットワークの障害診断のために用いられる。また、OLTとONU間でEthernet−OAM規格のCCフレーム(接続性確認フレーム)を送受信することで、OLT側でONUの認証を行う。   In the present embodiment, IEEE-OAM Ethernet-OAM is used. The Ethernet-OAM is used for maintenance of network devices in the layer 2 network and for fault diagnosis of the network. Further, the OLT authenticates the ONU by transmitting and receiving an Ethernet-OAM standard CC frame (connectivity confirmation frame) between the OLT and the ONU.

以下、本実施形態に係るユーザ認証システムの構成について詳しく説明する。   Hereinafter, the configuration of the user authentication system according to the present embodiment will be described in detail.

図1は、ONU101と、ONU102と、ONU103の3つのONUで構成されるEthernet−PONシステムの構成例を示すブロック図である。図1において、ONU101とONU102とONU103では、それぞれONU配下に接続されるPC(PC112、ONU103およびPC113)から送信されるパケットを電気信号から光信号への変換または逆変換を行う。それぞれのONUで光信号に変換されたパケットは光カプラ104にて多重されてOLT105に入力される。それぞれのONUからOLT105への上り方向光信号が衝突しないように、各ONUの信号送出タイミングがOLT105によって自動制御される。また、OLT105からそれぞれのONUへの下り方向光信号と、前述の上り方向光信号とが衝突しないように波長多重され、上り信号には波長λ1、下り信号には波長λ2がそれぞれ使用される。   FIG. 1 is a block diagram illustrating a configuration example of an Ethernet-PON system including three ONUs of an ONU 101, an ONU 102, and an ONU 103. In FIG. 1, an ONU 101, an ONU 102, and an ONU 103 each convert a packet transmitted from a PC (PC 112, ONU 103, and PC 113) connected under the ONU from an electric signal to an optical signal or reverse conversion. Packets converted into optical signals by each ONU are multiplexed by the optical coupler 104 and input to the OLT 105. The signal transmission timing of each ONU is automatically controlled by the OLT 105 so that the upstream optical signal from each ONU to the OLT 105 does not collide. In addition, the downstream optical signal from the OLT 105 to each ONU and the upstream optical signal are wavelength-multiplexed so as not to collide, and the wavelength λ1 is used for the upstream signal and the wavelength λ2 is used for the downstream signal.

逆に、DHCPサーバ106やバックボーンからOLT105に送られてくるパケットは、全てのONUへ送信されるが、ONU配下に接続される各PCから各ONUに送信されるデータによってPCのMACアドレスを学習しており、各ONUでは学習したMACアドレスと合致する宛先MACアドレスを有するパケットのみを各ONUに接続されたPCに送られる。   Conversely, packets sent from the DHCP server 106 or backbone to the OLT 105 are sent to all ONUs, but the MAC address of the PC is learned from the data sent from each PC connected to the ONU to each ONU. Each ONU sends only a packet having a destination MAC address that matches the learned MAC address to the PC connected to each ONU.

ここで、BRASを用いた従来のネットワークのユーザ認証について図2を用いて説明する。図2に示すように、従来はBRAS210を介してバックボーンに接続するようになっている。尚、図2において、本実施形態の図1と同様に、ONU201と、ONU202と、ONU203は、光カプラ204と、OLT205とでEthernet−PONシステムを構成している。また、ユーザ端末のパソコンPC111、PC112、PC113およびDHCPサーバ106は図1と同じものである。尚、BRAS210は製品によってはDHCPサーバ106の機能を統合している場合もある。ここで、各ユーザ端末は、PPPoEプロトコルによってBRASにアクセスし、ユーザ認証を行う。そして、BRAS210でユーザ認証が行われた後、認証されたユーザ端末に対してDHCPサーバ106からIPアドレスが割り当てられる。ところが、1台当りのBRASの配下に接続できるユーザ端末数が限られており、Ethernet−PONシステムを利用するユーザ端末数が増えると、1台のBRASだけでは対応できなくなる。このため、通信事業者は高価なBRASを複数台設置しなければならず、設備コストが高くなるという問題があった。   Here, conventional user authentication of a network using BRAS will be described with reference to FIG. As shown in FIG. 2, it is conventionally connected to the backbone via the BRAS 210. In FIG. 2, as in FIG. 1 of the present embodiment, the ONU 201, the ONU 202, and the ONU 203 constitute an Ethernet-PON system with the optical coupler 204 and the OLT 205. Further, the personal computers PC111, PC112, PC113 and DHCP server 106 of the user terminal are the same as those in FIG. Note that the BRAS 210 may integrate the functions of the DHCP server 106 depending on the product. Here, each user terminal accesses the BRAS by the PPPoE protocol and performs user authentication. Then, after user authentication is performed in the BRAS 210, an IP address is assigned from the DHCP server 106 to the authenticated user terminal. However, the number of user terminals that can be connected under the BRAS per unit is limited, and if the number of user terminals that use the Ethernet-PON system increases, it becomes impossible to deal with only one BRAS. For this reason, the communication carrier has to install a plurality of expensive BRAS, and there is a problem that the equipment cost becomes high.

これに対して本実施形態では、高価なBRASを必要としないので、通信事業者は安価なコストでEthernet−PONシステムを導入することが可能になる。本実施形態では、ONU101、ONU102、ONU103およびOLT105を用いてユーザ認証を行い、ユーザ認証後にDHCPサーバ106から各ユーザ端末にIPアドレスが割り当てるようになっている。このため、従来、ユーザ認証を行っていたBRASが不要となる。   On the other hand, in this embodiment, since expensive BRAS is not required, it becomes possible for a communication carrier to introduce an Ethernet-PON system at a low cost. In this embodiment, user authentication is performed using the ONU 101, ONU 102, ONU 103, and OLT 105, and an IP address is assigned from the DHCP server 106 to each user terminal after user authentication. This eliminates the need for BRAS, which conventionally performed user authentication.

次に、本実施形態におけるユーザ認証システム100の構成について説明する。図3は、ユーザ認証システム100でユーザ認証を行うための主要部であるOLT105とONU101の構成を中心に描いたブロック図である。尚、図3ではONU101のみ描いてあるが、図1のONU102およびONU103も図3のONU101と同じ構成である。   Next, the configuration of the user authentication system 100 in the present embodiment will be described. FIG. 3 is a block diagram depicting mainly the configurations of the OLT 105 and the ONU 101 which are main parts for performing user authentication in the user authentication system 100. 3 shows only the ONU 101, the ONU 102 and the ONU 103 in FIG. 1 have the same configuration as the ONU 101 in FIG.

図3において、ONU101は、透過フィルタ部121と、ONU制御部122と、CCフレーム送出部123と、DHCPモニタ部124と、透過フィルタテーブル記憶部125とで構成される。また、OLT105は、パケットフィルタ部131と、OLT制御部132と、CCフレーム受信部133と、DHCPモニタ部134と、登録済ONUテーブル記憶部135と、認証済ONUテーブル記憶部136と、認証済端末テーブル記憶部137とで構成される。尚、図3は、パケットの流れを中心に描いてあり、ONU101およびOLT105の光変復調部などは省略してある。   3, the ONU 101 includes a transmission filter unit 121, an ONU control unit 122, a CC frame transmission unit 123, a DHCP monitor unit 124, and a transmission filter table storage unit 125. The OLT 105 includes a packet filter unit 131, an OLT control unit 132, a CC frame reception unit 133, a DHCP monitor unit 134, a registered ONU table storage unit 135, an authenticated ONU table storage unit 136, and an authenticated unit. And a terminal table storage unit 137. In FIG. 3, the packet flow is mainly illustrated, and the optical modulation / demodulation units of the ONU 101 and the OLT 105 are omitted.

先ず、ONU101の動作について説明する。透過フィルタ部121は、ユーザ端末111から送信されるパケットのフィルタリングを行う。フィルタリングは、ONU制御部122の指令に応じて行われ、例えば、全パケットを通さない設定、DHCPパケットなどブロードキャストパケットのみ透過する設定、或いは全パケットを通す設定などを有する。尚、本実施形態では、ONU101の電源投入時の透過フィルタ部121は、DHCPパケットなどブロードキャストパケットのみ透過する設定になっているものとする。   First, the operation of the ONU 101 will be described. The transmission filter unit 121 filters packets transmitted from the user terminal 111. Filtering is performed according to a command from the ONU control unit 122, and includes, for example, a setting that does not pass all packets, a setting that allows only broadcast packets such as DHCP packets to pass through, or a setting that passes all packets. In this embodiment, it is assumed that the transmission filter unit 121 when the ONU 101 is turned on is set to transmit only broadcast packets such as DHCP packets.

ここで、DHCPパケットについて説明する。DHCPパケットは、DHCPサーバ106とユーザ端末との間で送受信される制御用パケットで、DHCPサーバ106からIPアドレスの割り当てを受けるために使用される。図4は、ユーザ端末のPC111がDHCPサーバ106からIPアドレスの付与を受ける手順を示した図である。図4において、301はDHCPdiscoverフレーム、302はDHCPofferフレーム、303はDHCPrequestフレーム、304はDHCPackフレームの流れをそれぞれ示している。最初は、PC111はDHCPサーバの所在が分からないので、DHCPサーバを探すためにDHCPdiscoverフレーム301をIEEE802.3規格のブロードキャスト形式でネットワーク全体に送信する。そして、DHCPdiscoverフレーム301を受信したネットワーク内のDHCPサーバはDHCPofferフレーム302を送信元のPC111に返信する。もし、ネットワーク内に複数のDHCPサーバがあれば、PC111は複数のDHCPofferフレーム302を受信することになる。通常は、複数のDHCPofferフレーム302を受けた場合は、最も先に受信したものを選択するようになっている。この結果、PC111はDHCPサーバの所在を知ることができる。そして、PC111は、図4に示すDHCPサーバ106から受けたDHCPofferフレーム302により、割り当て可能なIPアドレスを得る。次に、PC111はDHCPサーバ106に対してDHCPrequestフレーム303を返信し、そのIPアドレスの使用を要求する。DHCPrequestフレーム303を受けたDHCPサーバ106は、許可する場合は、許可されたIPアドレスが記載されたDHCPackフレーム304をPC111に返信し、許可しない場合は、図には示していないが、許可されなかったことを示すDHCPnackフレームをPC111に返信する。尚、DHCPサーバ106からDHCPnackフレームが送られてきた場合は、PC111はIPアドレスの割り当てを受けられず、ネットワークを利用することができないので、再度、DHCP処理を行うことになる。   Here, the DHCP packet will be described. The DHCP packet is a control packet that is transmitted and received between the DHCP server 106 and the user terminal, and is used for receiving an IP address assignment from the DHCP server 106. FIG. 4 is a diagram illustrating a procedure in which the PC 111 of the user terminal receives an IP address from the DHCP server 106. In FIG. 4, reference numeral 301 denotes a DHCP discover frame, 302 denotes a DHCP offer frame, 303 denotes a DHCP request frame, and 304 denotes a DHCP Pack frame. Initially, since the location of the DHCP server is unknown, the PC 111 transmits a DHCP discover frame 301 in the IEEE 802.3 standard broadcast format to search for the DHCP server. Then, the DHCP server in the network that has received the DHCPdiscover frame 301 returns a DHCPoffer frame 302 to the transmission source PC 111. If there are a plurality of DHCP servers in the network, the PC 111 receives a plurality of DHCPoffer frames 302. Normally, when a plurality of DHCPoffer frames 302 are received, the one received first is selected. As a result, the PC 111 can know the location of the DHCP server. Then, the PC 111 obtains an assignable IP address from the DHCPoffer frame 302 received from the DHCP server 106 shown in FIG. Next, the PC 111 returns a DHCP request frame 303 to the DHCP server 106 and requests the use of the IP address. The DHCP server 106 that has received the DHCP request frame 303 returns the DHCPPack frame 304 in which the permitted IP address is described to the PC 111 when permitting, and is not permitted if not permitted. A DHCPnack frame indicating this is returned to the PC 111. When a DHCPnack frame is sent from the DHCP server 106, the PC 111 cannot receive an IP address assignment and cannot use the network, so the DHCP process is performed again.

また、上記で説明した一連のDHCP処理は、レイヤ2のデータリンク層のフレーム構造を用いており、データの部分にネットワーク層であるIPパケットが、さらにIPパケットの上にはトランスポート層であるTCP(Transmission Control Protocol)パケットあるいはUDP(User Datagram Protocol)パケットが搭載される。上記のDHCP処理はUDPパケットで行われ、ブロードキャスト形式で送出する場合は、発信元のMACアドレスにユーザ端末のPC111のMACアドレスを記載し、宛先MACアドレスはFF−FF−FF−FF−FF−FFに設定する。そして、ネットワーク上の各装置は宛先MACアドレスを見てブロードキャスト形式のパケットであるか否かを認識することができる。   In addition, the series of DHCP processes described above uses the frame structure of the data link layer of layer 2, and the IP packet that is the network layer is the data portion and the transport layer is above the IP packet. A TCP (Transmission Control Protocol) packet or a UDP (User Datagram Protocol) packet is mounted. The DHCP process is performed in a UDP packet, and when sending in the broadcast format, the MAC address of the PC 111 of the user terminal is described in the source MAC address, and the destination MAC address is FF-FF-FF-FF-FF- Set to FF. Each device on the network can recognize whether the packet is a broadcast format by looking at the destination MAC address.

ここで、図1のONU101,ONU102,ONU103およびOLT105は、PC111からDHCPサーバ106に送信されるDHCPrequestフレーム303をモニタすることにより、PC111のMACアドレスを知ることができる。同様に、図1のONU101,ONU102,ONU103およびOLT105は、DHCPサーバ106からPC111に送信されるDHCPackフレーム304をモニタすることにより、PC111に割り当てられるIPアドレスを知ることができる。このような機能をスヌーピング機能と呼んでいる。   Here, the ONU 101, ONU 102, ONU 103, and OLT 105 in FIG. 1 can know the MAC address of the PC 111 by monitoring the DHCP request frame 303 transmitted from the PC 111 to the DHCP server 106. Similarly, the ONU 101, ONU 102, ONU 103, and OLT 105 in FIG. 1 can know the IP address assigned to the PC 111 by monitoring the DHCPPack frame 304 transmitted from the DHCP server 106 to the PC 111. Such a function is called a snooping function.

図3のONU101のDHCPモニタ部124と、OLT105のDHCPモニタ部134は、上記で説明したスヌーピング機能を有する。   The DHCP monitor unit 124 of the ONU 101 in FIG. 3 and the DHCP monitor unit 134 of the OLT 105 have the snooping function described above.

DHCPモニタ部124は、スヌーピング機能によって得られたPC111のMACアドレスとIPアドレスとをONU制御部122に出力する。そして、ONU制御部122は、PC111のMACアドレスとIPアドレスとの対応を透過フィルタテーブル記憶部125に記憶する。図5に透過フィルタテーブルの一例を示す。図5において、ユーザ端末のPC111に割り当てられているIPアドレスは(192,168,0,20)、MACアドレスは55−44−33−22−11−00である。尚、ONU101の配下に複数のユーザ端末がある場合は、図5のPC112のように追加登録される。PC112に割り当てられているIPアドレスは(192,168,0,21)、MACアドレスは66−55−44−33−22−11である。   The DHCP monitor unit 124 outputs the MAC address and IP address of the PC 111 obtained by the snooping function to the ONU control unit 122. Then, the ONU control unit 122 stores the correspondence between the MAC address of the PC 111 and the IP address in the transmission filter table storage unit 125. FIG. 5 shows an example of the transmission filter table. In FIG. 5, the IP address assigned to the PC 111 of the user terminal is (192, 168, 0, 20), and the MAC address is 55-44-33-22-11-00. If there are a plurality of user terminals under the ONU 101, they are additionally registered as in the PC 112 in FIG. The IP address assigned to the PC 112 is (192, 168, 0, 21), and the MAC address is 66-55-44-33-22-11.

CCフレーム送出部123は、IEEE802.1ag規格のEthernet−OAMのCCフレーム(接続性確認フレーム)を送信する。尚、Ethernet−OAMは、PONシステムの保守管理のために搭載されている機能であり、本来はユーザ認証の機能ではないが、本実施形態では、ONU101、ONU102、ONU103の各ONUとOLT105との間のユーザ認証に利用する。CCフレーム送出部123は、ONU制御部122の指令に応じて、予め設定された間隔(例えば1秒毎など)で定期的にCCフレームをOLT105に送信する。   The CC frame transmission unit 123 transmits an Ethernet-OAM CC frame (connectivity confirmation frame) of the IEEE 802.1ag standard. Note that Ethernet-OAM is a function that is installed for maintenance management of the PON system and is not originally a user authentication function. In this embodiment, the ONU 101, the ONU 102, the ONU 103, and the OLT 105 Used for user authentication. The CC frame transmission unit 123 periodically transmits a CC frame to the OLT 105 at a preset interval (for example, every second) according to a command from the ONU control unit 122.

次に、OLT105の動作について説明する。パケットフィルタ部131は、光カプラ104を介して送られてくる各ユーザ端末のパケットのフィルタリングを行う。フィルタリングは、OLT制御部132から設定されたユーザ端末のMACアドレスとIPアドレス毎に行われ、例えば、全パケットを通さない設定、DHCPパケットなどブロードキャストパケットのみ透過する設定、或いは全パケットを通す設定などを有する。   Next, the operation of the OLT 105 will be described. The packet filter unit 131 filters packets of each user terminal sent via the optical coupler 104. Filtering is performed for each MAC address and IP address of the user terminal set from the OLT control unit 132. For example, settings that do not pass all packets, settings that allow only broadcast packets such as DHCP packets to pass through, or settings that pass all packets. Have

CCフレーム受信部133は、ONU101のCCフレーム送出部123が定期的に送信するCCフレームを受信し、OLT制御部132に出力する。OLT制御部132は、ONU側のMACアドレスが記載されたCCフレームの受信により、ONU側のMACアドレスを知ることができる。そして、OLT制御部132は、CCフレームに記載されていたMACアドレスが予め登録済ONUテーブル記憶部135に登録されいるONUのMACアドレスに一致するか否かを判別する。図6に登録済ONUテーブルの一例を示す。図6において、ONU101のMACアドレスは00−11−22−33−44−55で、ONU102のMACアドレスは00−22−33−44−55−66で、ONU103のMACアドレスは00−33−44−55−66−77であることがわかる。ここで、例えば、図3のONU101から送られてきたMACアドレスが00−11−22−33−44−55である場合は、登録済ONUテーブル記憶部135に予め登録されたONU101のMACアドレスに一致するので、ONU101を正当なONUと判断し、ONU名とそのMACアドレスを認証済ONUテーブル記憶部136に記憶する。図7に認証済ONUテーブルの一例を示す。図7において、ONU101のMACアドレスが認証されると、ONU101の欄にMACアドレス:00−11−22−33−44−55が記憶される。この時、認証されていないONU102やONU103のMACアドレス欄は空欄になっている。そして、OLT制御部132は、認証済ONUテーブル記憶部136に記憶されている認証済みのONUを介して送られてくるブロードキャストパケットのみ上位ネットワークに通過させるようにパケットフィルタ部131に指令する。このようにして、ユーザ端末のPC111はONU101およびOLT105を介して、DHCPサーバ106との間でDHCPパケットを送受信することができる。尚、パケットフィルタ部131は、入力されるユーザ認証されていないONUの全パケットを当該ONUのMACアドレスの認証が完了するまで上位ネットワークには通さない。   The CC frame reception unit 133 receives a CC frame periodically transmitted by the CC frame transmission unit 123 of the ONU 101 and outputs the CC frame to the OLT control unit 132. The OLT control unit 132 can know the MAC address on the ONU side by receiving the CC frame in which the MAC address on the ONU side is described. Then, the OLT control unit 132 determines whether or not the MAC address described in the CC frame matches the MAC address of the ONU registered in the registered ONU table storage unit 135 in advance. FIG. 6 shows an example of a registered ONU table. In FIG. 6, the MAC address of the ONU 101 is 00-11-22-33-44-55, the MAC address of the ONU 102 is 00-22-33-44-55-66, and the MAC address of the ONU 103 is 00-33-44. It turns out that it is -55-66-77. Here, for example, when the MAC address sent from the ONU 101 in FIG. 3 is 00-11-22-33-44-55, the MAC address of the ONU 101 registered in advance in the registered ONU table storage unit 135 is set. Since they match, the ONU 101 is determined to be a valid ONU, and the ONU name and its MAC address are stored in the authenticated ONU table storage unit 136. FIG. 7 shows an example of the authenticated ONU table. In FIG. 7, when the MAC address of the ONU 101 is authenticated, the MAC address: 00-11-22-33-44-55 is stored in the ONU 101 column. At this time, the MAC address fields of the unauthenticated ONU 102 and ONU 103 are blank. Then, the OLT control unit 132 instructs the packet filter unit 131 to pass only the broadcast packet transmitted via the authenticated ONU stored in the authenticated ONU table storage unit 136 to the upper network. In this way, the PC 111 of the user terminal can send and receive DHCP packets to and from the DHCP server 106 via the ONU 101 and the OLT 105. Note that the packet filter unit 131 does not pass all input ONU packets that are not user-authenticated to the upper network until authentication of the MAC address of the ONU is completed.

DHCPモニタ部134は、先に説明したスヌーピング機能によって、得られたPC111のMACアドレスとIPアドレスとをOLT制御部132に出力し、認証済端末テーブル記憶部137に登録する。この結果、OLT制御部132は、DHCPサーバ106からPC111にDHCPackフレーム304が送信されたことを知り、一連のDHCP制御の完了を検出する。そして、OLT制御部132は、PC111のMACアドレスとIPアドレスとを対応させて、認証済端末テーブル記憶部137に登録する。認証済端末テーブル記憶部137に登録されたユーザ端末のPC111から送信される全パケットを上位のネットワークに通すようにパケットフィルタ部131に指令する。このようにして、ユーザ端末のPC111はONU101およびOLT105を介して、バックボーンのネットワークにアクセスすることができる。   The DHCP monitor unit 134 outputs the obtained MAC address and IP address of the PC 111 to the OLT control unit 132 by the snooping function described above, and registers it in the authenticated terminal table storage unit 137. As a result, the OLT control unit 132 knows that the DHCPPack frame 304 has been transmitted from the DHCP server 106 to the PC 111, and detects the completion of a series of DHCP controls. Then, the OLT control unit 132 associates the MAC address of the PC 111 with the IP address and registers them in the authenticated terminal table storage unit 137. The packet filter unit 131 is instructed to pass all packets transmitted from the PC 111 of the user terminal registered in the authenticated terminal table storage unit 137 through the upper network. In this way, the user terminal PC 111 can access the backbone network via the ONU 101 and the OLT 105.

次に、ユーザ端末のPC111がONU101に接続された後、バックボーンのネットワークにアクセスできるようになるまでの処理の流れについて図8のフローチャートを用いて説明する。尚、図8のフローチャートは、図3に示したユーザ端末のPC111と、ONU101と、OLT105と、DHCPサーバ106とのそれぞれの処理関係が分かり易いように描いてある。   Next, the flow of processing from when the user terminal PC 111 is connected to the ONU 101 until the backbone network can be accessed will be described with reference to the flowchart of FIG. The flowchart of FIG. 8 is drawn so that the processing relationships among the PC 111, the ONU 101, the OLT 105, and the DHCP server 106 of the user terminal shown in FIG.

(ステップS101)ONU101の電源が投入される。電源が投入されたONU101は、先に説明したように、CCフレーム送信部123からCCフレーム300を定期的にOLT105に送信する。   (Step S101) The ONU 101 is powered on. The ONU 101 to which the power is turned on periodically transmits the CC frame 300 from the CC frame transmission unit 123 to the OLT 105 as described above.

(ステップS102)OLT105のCCフレーム受信部133はONU101から送られてくるCCフレーム300を受信する。   (Step S102) The CC frame receiving unit 133 of the OLT 105 receives the CC frame 300 transmitted from the ONU 101.

(ステップS103)OLT105のOLT制御部132は、CCフレーム受信部133で受信したCCフレームの送信元MACアドレスが登録済ONUテーブル記憶部135に予め登録されているONUのMACアドレスと一致するか否かを判別する。一致する場合はステップS104に進み、一致しない場合はステップS102に戻ってCCフレーム300を受信する。尚、実際には、CCフレーム受信部133はONU101から定期的に送られてくるCCフレーム300を常時受信しているので、ステップS104に進んだ後も受信動作は継続される。   (Step S103) The OLT control unit 132 of the OLT 105 determines whether or not the transmission source MAC address of the CC frame received by the CC frame reception unit 133 matches the MAC address of the ONU registered in advance in the registered ONU table storage unit 135. Is determined. If they match, the process proceeds to step S104. If they do not match, the process returns to step S102 to receive the CC frame 300. Actually, since the CC frame receiving unit 133 constantly receives the CC frame 300 periodically transmitted from the ONU 101, the reception operation is continued even after the process proceeds to step S104.

(ステップS104)OLT105のOLT制御部132は、CCフレーム受信部133で受信したCCフレーム300の送信元MACアドレスが登録済ONUテーブル記憶部135に予め登録されているONUのMACアドレスと一致したので、当該ONU名とMACアドレスを認証済ONUテーブル記憶部136に記憶する。さらに、OLT制御部132は、認証済ONUテーブル記憶部136に記憶されている正当なONUを介して送られてくるブロードキャストパケットを上位のネットワークに通すようにパケットフィルタ部131に指令する。この状態で、DHCPパケットはパケットフィルタ部131を透過できるようになり、ユーザ端末のPC111とDHCPサーバ106との間でDHCPパケットの送受信を行うことができる。   (Step S104) Since the OLT control unit 132 of the OLT 105 matches the MAC address of the ONU registered in advance in the registered ONU table storage unit 135, the transmission source MAC address of the CC frame 300 received by the CC frame reception unit 133 The ONU name and MAC address are stored in the authenticated ONU table storage unit 136. Further, the OLT control unit 132 instructs the packet filter unit 131 to pass a broadcast packet transmitted via a valid ONU stored in the authenticated ONU table storage unit 136 to the upper network. In this state, the DHCP packet can pass through the packet filter unit 131, and the DHCP packet can be transmitted and received between the PC 111 of the user terminal and the DHCP server 106.

(ステップS105)ユーザ端末のPC111は、IPアドレスの割り当てを受けるためにブロードキャストパケットであるDHCPdiscoverフレーム301をONU101およびOLT105を介してDHCPサーバ106に送信する。尚、この時点までにもPC111はIPアドレスの割り当てを受けるためにブロードキャストパケットであるDHCPdiscoverフレーム301をONU101およびOLT105側に送信し続けているが、OLT105でフィルタリングされるため、DHCPサーバ106には届いていない。   (Step S <b> 105) The PC 111 of the user terminal transmits a DHCP discover frame 301 that is a broadcast packet to the DHCP server 106 via the ONU 101 and the OLT 105 in order to receive an IP address assignment. The PC 111 continues to transmit the DHCP discover frame 301 that is a broadcast packet to the ONU 101 and the OLT 105 to receive the IP address assignment by this time point. However, since it is filtered by the OLT 105, the PC 111 reaches the DHCP server 106. Not.

(ステップS106)PC111から送信されたDHCPdiscoverフレーム301を受信したDHCPサーバ106は、使用可能なIPアドレスを記載したDHCPofferフレーム302をPC111に送信する。   (Step S <b> 106) Upon receiving the DHCP discover frame 301 transmitted from the PC 111, the DHCP server 106 transmits a DHCP offer frame 302 describing an available IP address to the PC 111.

(ステップS107)DHCPサーバ106から送信されたDHCPofferフレーム302を受信したPC111は、DHCPサーバ106から受信したIPアドレスの使用許可を要求するDHCPrequestフレーム303をDHCPサーバ106に送信する。   (Step S <b> 107) Upon receiving the DHCPoffer frame 302 transmitted from the DHCP server 106, the PC 111 transmits a DHCP request frame 303 requesting permission to use the IP address received from the DHCP server 106 to the DHCP server 106.

(ステップS108)ONU101のDHCPモニタ部124は、PC111から送信されたDHCPrequestフレーム303をスヌーピングし、ONU制御部122はPC111がDHCPrequestフレーム303を送信したことと、PC111のMACアドレスを知る。   (Step S108) The DHCP monitor unit 124 of the ONU 101 snoops the DHCP request frame 303 transmitted from the PC 111, and the ONU control unit 122 knows that the PC 111 has transmitted the DHCP request frame 303 and the MAC address of the PC 111.

(ステップS109)OLT105のDHCPモニタ部134は、PC111から送信されたDHCPrequestフレーム303をスヌーピングし、OLT制御部132はPC111がDHCPrequestフレーム303を送信したことと、PC111のMACアドレスを知る。   (Step S109) The DHCP monitor unit 134 of the OLT 105 snoops the DHCP request frame 303 transmitted from the PC 111, and the OLT control unit 132 knows that the PC 111 has transmitted the DHCP request frame 303 and the MAC address of the PC 111.

(ステップS110)PC111から送信されたDHCPrequestフレーム303を受信したDHCPサーバ106は、PC111に許可するIPアドレスを記載したDHCPackフレーム304をPC111に送信する。   (Step S <b> 110) Upon receiving the DHCP request frame 303 transmitted from the PC 111, the DHCP server 106 transmits a DHCPPack frame 304 describing an IP address permitted to the PC 111 to the PC 111.

(ステップS111)OLT105のDHCPモニタ部134は、DHCPサーバ106から送信されたDHCPackフレーム304をスヌーピングし、OLT制御部132はDHCPサーバ106がDHCPackフレーム304を送信したことと、PC111のIPアドレスを知る。そして、PC111のMACアドレスとIPアドレスとを認証済端末テーブル記憶部137に登録する。   (Step S111) The DHCP monitor unit 134 of the OLT 105 snoops the DHCPPack frame 304 transmitted from the DHCP server 106, and the OLT control unit 132 knows that the DHCP server 106 has transmitted the DHCPPack frame 304 and the IP address of the PC 111. . Then, the MAC address and IP address of the PC 111 are registered in the authenticated terminal table storage unit 137.

(ステップS112)ONU101のDHCPモニタ部124は、DHCPサーバ106から送信されたDHCPackフレーム304をスヌーピングし、ONU制御部122はDHCPサーバ106がDHCPackフレーム304を送信したことと、PC111のIPアドレスを知る。この時点で、ONU制御部122は、PC111のユーザ認証が完了したことを知り、PC111に許可されたIPアドレスと、ステップS108でモニタしたPC111のMACアドレスとを対応させて、透過フィルタテーブル記憶部125に記憶する。以降、ONU101の透過フィルタ部125は、透過フィルタテーブル記憶部125に記憶されたMACアドレスおよびIPアドレスを有するユーザ端末からの全パケットを透過する。   (Step S112) The DHCP monitor unit 124 of the ONU 101 snoops the DHCPPack frame 304 transmitted from the DHCP server 106, and the ONU control unit 122 knows that the DHCP server 106 has transmitted the DHCPPack frame 304 and the IP address of the PC 111. . At this time, the ONU control unit 122 knows that the user authentication of the PC 111 is completed, and associates the IP address permitted to the PC 111 with the MAC address of the PC 111 monitored in step S108, and transmits the transmission filter table storage unit. 125. Thereafter, the transmission filter unit 125 of the ONU 101 transmits all packets from the user terminal having the MAC address and the IP address stored in the transmission filter table storage unit 125.

(ステップS113)DHCPサーバ106から送信されたDHCPackフレーム304を受信したPC111は、許可されたIPアドレスを用いてユニキャストやマルチキャストによるバックボーンへのアクセスが可能になる。   (Step S113) The PC 111 that has received the DHCPPack frame 304 transmitted from the DHCP server 106 can access the backbone by unicast or multicast using the permitted IP address.

このように、Ethernet−PONシステムを用いたアクセスネットワークにおいて、従来のように高価なBRASを設けることなくユーザ端末のPC111のユーザ認証を行うことができる。しかも、ONU101とOLT105との間で送受信されるEthernet−OAMのCCフレーム300を利用することにより、OLT105はONU101の認証を行うことができ、さらに、PC111とDHCPサーバとの間で送受信されるDHCPパケットをスヌーピングすることにより、PC111のパケットを特定して上位ネットワークへの通信を許可することができる。特に、ONU101でPC111のパケットをフィルタリングする透過フィルタ部121を設けているので、例えばONU101でユーザ認証されていないPC112にPC111と同じIPアドレスを設定してONU101に接続して上位のネットワークにアクセスしようとしても、PC112のMACアドレスがPC111と異なるので、ONU101の透過フィルタ121でPC112のパケットが阻止される。これは、PC112のMACアドレスとIPアドレスの対応がONU101の透過フィルタテーブル記憶部125に記憶されていないからである。このようにして、ONU101に不正端末を接続して不正利用することを防止できる。   As described above, in an access network using the Ethernet-PON system, user authentication of the PC 111 of the user terminal can be performed without providing an expensive BRAS as in the prior art. Moreover, by using the Ethernet-OAM CC frame 300 transmitted / received between the ONU 101 and the OLT 105, the OLT 105 can authenticate the ONU 101, and further, the DHCP transmitted / received between the PC 111 and the DHCP server. By snooping the packet, it is possible to identify the packet of the PC 111 and permit communication to the upper network. In particular, since the ONU 101 is provided with a transmission filter unit 121 for filtering packets of the PC 111, for example, the same IP address as that of the PC 111 is set to the PC 112 that is not authenticated by the ONU 101 and connected to the ONU 101 to access the upper network. However, since the MAC address of the PC 112 is different from that of the PC 111, the packet of the PC 112 is blocked by the transparent filter 121 of the ONU 101. This is because the correspondence between the MAC address of the PC 112 and the IP address is not stored in the transparent filter table storage unit 125 of the ONU 101. In this way, unauthorized use by connecting an unauthorized terminal to the ONU 101 can be prevented.

同様に、ユーザ認証済でONU101の透過フィルタテーブル記憶部125にIPアドレスとMACアドレスとの対応が記憶されたPC111をONU102に接続した場合、ONU102の透過フィルタテーブル記憶部125に相当する透過フィルタテーブルには、PC111のMACアドレスとIPアドレスの対応が記憶されていないので、上位ネットワークにアクセスすることはできない。もし、各ONUの透過フィルタ部121ではなく、OLT105のパケットフィルタ部131でPC111のMACアドレスとIPアドレスの対応をチェックするようにした場合は、同じOLT105の配下にあるONU101やONU102或いはONU103のいずれにPC111を接続した場合でも上位ネットワークへのアクセスが可能になってしまうという問題が生じるが、本実施形態のように、各ONU側でユーザ端末のMACアドレスとIPアドレスとの対応を確認することにより、同じOLT105の配下にあるONU102またはONU103に移動してPC111を接続した場合の上位ネットワークへの不正アクセスを防止できる。もちろん、OLT105とは異なるOLTの配下のONUに接続した場合は、ONU側で阻止されるだけでなく、OLT側でもブロードキャストパケット以外のパケットはユーザ認証が完了してユーザ認証済ONUテーブル記憶部136に登録されるまで阻止されるので、上位ネットワークへの不正アクセスを防止することができる。   Similarly, when the PC 111 in which the correspondence between the IP address and the MAC address is stored in the transmission filter table storage unit 125 of the ONU 101 is connected to the ONU 102, the transmission filter table corresponding to the transmission filter table storage unit 125 of the ONU 102. Since the correspondence between the MAC address of the PC 111 and the IP address is not stored, the host network cannot be accessed. If the packet filter unit 131 of the OLT 105 checks the correspondence between the MAC address and the IP address of the PC 111 instead of the transmission filter unit 121 of each ONU, any of the ONU 101, ONU 102, or ONU 103 under the same OLT 105 is checked. Even if the PC 111 is connected to the PC, there is a problem that access to the upper network becomes possible. However, as in this embodiment, the correspondence between the MAC address of the user terminal and the IP address must be confirmed on each ONU side. Accordingly, it is possible to prevent unauthorized access to the upper network when the PC 111 is connected by moving to the ONU 102 or ONU 103 under the same OLT 105. Of course, when connected to an ONU under the control of an OLT different from the OLT 105, not only is the ONU side blocked, but also the OLT side completes user authentication for packets other than broadcast packets and the user authenticated ONU table storage unit 136. Therefore, unauthorized access to the upper network can be prevented.

ここで、ユーザ端末から上位ネットワークへ送信されるパケットのフィルタ状態の遷移について図9を用いて説明する。図9は、ONU101,ONU102,ONU103およびOLT105によってフィルタリングされるユーザ端末のPC111,PC112およびPC113が送信するパケットのフィルタ状態を中心に描いた図である。従って、図9のフィルタリング処理は、各ONUの透過フィルタ部121およびOLT105のパケットフィルタ部131の両方のフィルタリング処理を含んでいる。   Here, the transition of the filter state of a packet transmitted from the user terminal to the upper network will be described with reference to FIG. FIG. 9 is a diagram depicting the filtering state of packets transmitted by the PCs 111, 112, and 113 of the user terminals filtered by the ONU 101, ONU 102, ONU 103, and OLT 105. Therefore, the filtering process of FIG. 9 includes the filtering process of both the transmission filter unit 121 of each ONU and the packet filter unit 131 of the OLT 105.

以下、図9のフィルタ状態の遷移を順に説明する。   Hereinafter, the transition of the filter state of FIG. 9 will be described in order.

(ステップS201)この時点では、各ONUの電源が投入され、各ONUに接続されるユーザ端末が送出する全パケットは阻止された状態(フィルタ状態)になっている。尚、ブロードキャストパケット以外は各ONUの透過フィルタ部で阻止され、ブロードキャストパケットはOLT105のパケットフィルタ131で阻止される。   (Step S201) At this time, the power of each ONU is turned on, and all packets sent by the user terminal connected to each ONU are blocked (filter state). It should be noted that other than broadcast packets are blocked by the transmission filter unit of each ONU, and broadcast packets are blocked by the packet filter 131 of the OLT 105.

この状態では、各ONUは定期的にCCフレームをOLT105に送信し、これを受けたOLT105は、予め登録済ONUテーブル記憶部135に登録されているか否かを確認して、CCフレームを送出したONUのMACアドレスを認証する。   In this state, each ONU periodically transmits a CC frame to the OLT 105, and the OLT 105 that has received this sends out a CC frame after confirming whether it is registered in the registered ONU table storage unit 135 in advance. Authenticate the ONU MAC address.

(ステップS202)この時点では、OLT105のパケットフィルタ131のブロードキャストパケットの阻止が解除され、各ユーザ端末から送出されるDHCPパケットは上位ネットワーク側にあるDHCPサーバ106に送信される。尚、ブロードキャストパケット以外のパケットは、依然として各ONUの透過フィルタ部121で阻止される。   (Step S202) At this time, the blocking of the broadcast packet by the packet filter 131 of the OLT 105 is released, and the DHCP packet transmitted from each user terminal is transmitted to the DHCP server 106 on the upper network side. Note that packets other than broadcast packets are still blocked by the transmission filter unit 121 of each ONU.

この状態では、各ONUは各ユーザ端末とDHCPサーバ106との間で送受信されるDHCPrequestフレーム303とDHCPackフレーム304とをモニタして、各ユーザ端末のMACアドレスとIPアドレスとの対応を透過フィルタテーブル記憶部125に登録する。同様に、OLT105においても各ユーザ端末とDHCPサーバ106との間で送受信されるDHCPrequestフレーム303とDHCPackフレーム304とをモニタして、各ユーザ端末のMACアドレスとIPアドレスとの対応を認証済端末テーブル記憶部137に登録する。   In this state, each ONU monitors the DHCP request frame 303 and the DHCPPack frame 304 transmitted / received between each user terminal and the DHCP server 106, and the correspondence between each user terminal's MAC address and IP address is a transparent filter table. Register in the storage unit 125. Similarly, in the OLT 105, the DHCP request frame 303 and the DHCPPack frame 304 transmitted / received between each user terminal and the DHCP server 106 are monitored, and the correspondence between the MAC address and the IP address of each user terminal is authenticated terminal table. Register in the storage unit 137.

また、この状態で、各ONUとOLT105との間で定期的に送受信されるCCフレームが一定時間内にOLT105で検出されなかった場合はCCフレームタイムアウトとして、ステップS201の状態に戻り、ユーザ認証をやり直す。或いは、OLT105の認証済ONUテーブル記憶部136に登録外のMACアドレスを有するONUからのCCフレームをOLT105が受信した場合は、ONUのすり替えがあったと判断して、ステップS201の状態に戻り、ユーザ認証をやり直す。   In this state, if a CC frame periodically transmitted / received between each ONU and the OLT 105 is not detected by the OLT 105 within a predetermined time, the CC frame time-out is returned to the state of step S201, and user authentication is performed. Try again. Alternatively, when the OLT 105 receives a CC frame from an ONU having an unregistered MAC address in the authenticated ONU table storage unit 136 of the OLT 105, it is determined that the ONU has been replaced, and the process returns to the state of step S201, Re-authenticate.

(ステップS203)この時点では、各ONUの透過フィルタ121の全パケットの阻止が解除され、さらにOLT105のパケットフィルタ131の全パケットの阻止も解除されるので、各ユーザ端末から送出されるブロードキャスト,ユニキャストおよびマルチキャストの全パケットは上位ネットワーク側に送信される。   (Step S203) At this point, the blocking of all packets of the transmission filter 121 of each ONU is released, and further, the blocking of all packets of the packet filter 131 of the OLT 105 is also released. All cast and multicast packets are transmitted to the upper network side.

この状態で、各ONUとOLT105との間で定期的に送受信されるCCフレームが一定時間内にOLT105で検出されなかった場合はCCフレームタイムアウトとして、ステップS201の状態に戻り、ユーザ認証をやり直す。或いは、DHCPdiscoverフレーム301をスヌーピングした場合は、ユーザ端末の電源が再投入されたものと判断して、ステップS201の状態に戻り、ユーザ認証をやり直す。または、OLT105の認証済ONUテーブル記憶部136に登録外のMACアドレスを有するONUからのCCフレームをOLT105が受信した場合は、ONUのすり替えがあったと判断して、ステップS201の状態に戻り、ユーザ認証をやり直す。   In this state, if the CC frame periodically transmitted / received between each ONU and the OLT 105 is not detected by the OLT 105 within a predetermined time, the CC frame is timed out, and the process returns to the state of step S201 to perform user authentication again. Alternatively, when the DHCP discover frame 301 is snooping, it is determined that the power of the user terminal has been turned on again, the process returns to the state of step S201, and user authentication is performed again. Alternatively, when the OLT 105 receives a CC frame from an ONU having an unregistered MAC address in the authenticated ONU table storage unit 136 of the OLT 105, it is determined that the ONU has been replaced, and the process returns to the state of step S201, and the user Re-authenticate.

このようにして、本実施形態に係るユーザ認証システム100は、BRASを用いることなく、Ethernet−PONシステムを利用したアクセスネットワークにおけるユーザ認証システムを提供することができる。特に、ONU101,ONU102,ONU103,光カプラ104,OLT105,DHCPサーバ106の既存の装置を利用して、ONUやOLTのソフトウェアの変更のみで実現することができるので、安価かつ容易にユーザ認証システムを提供することができる。   As described above, the user authentication system 100 according to the present embodiment can provide a user authentication system in an access network using the Ethernet-PON system without using BRAS. In particular, since the ONU 101, the ONU 102, the ONU 103, the optical coupler 104, the OLT 105, and the DHCP server 106 can be used only by changing the ONU or OLT software, a user authentication system can be easily and inexpensively implemented. Can be provided.

100・・・ユーザ認証システム
101・・・ONU
102・・・ONU
103・・・ONU
104・・・光カプラ
105・・・OLT
106・・・DHCPサーバ
121・・・透過フィルタ部
122・・・ONU制御部
123・・・CCフレーム送出部
124・・・DHCPモニタ部
125・・・透過フィルタテーブル記憶部
131・・・パケットフィルタ部
132・・・OLT制御部
133・・・CCフレーム受信部
134・・・DHCPモニタ部
135・・・登録済ONUテーブル記憶部
136・・・認証済ONUテーブル記憶部
137・・・認証済端末テーブル記憶部 100: User authentication system 101: ONU
102 ... ONU
103 ... ONU
104 ... Optical coupler 105 ... OLT
106: DHCP server 121 ... Transmission filter unit 122 ... ONU control unit 123 ... CC frame transmission unit 124 ... DHCP monitor unit 125 ... Transmission filter table storage unit 131 ... Packet filter Unit 132 ... OLT control unit 133 ... CC frame reception unit 134 ... DHCP monitor unit 135 ... registered ONU table storage unit 136 ... authenticated ONU table storage unit 137 ... authenticated terminal Table storage unit

特開2001−268125号公報JP 2001-268125 A

Claims (4)

配下に形成する波長多重PONシステムからのアクセスを上位ネットワークに接続するOLTと、
ユーザ端末を前記OLTに接続する複数のONUと、
前記複数のONUを波長多重して前記OLTに接続する光カプラと、
前記ユーザ端末にIPアドレスの発行を行うDHCPサーバーと
で構成される波長多重PONシステムにおけるユーザ認証システムにおいて、
前記ONUは、
前記ユーザ端末から送出されるフレームのフィルタリングを行う透過フィルタ部と、
自己のMACアドレスを含む定期フレームを前記OLTに定期的に送信する定期フレーム送信部と、
前記ONUに前記透過フィルタ部を通過させる前記ユーザ端末のパケットのMACアドレスとIPアドレスの対応を記憶する透過フィルタテーブルと、
前記ユーザ端末と前記DHCPサーバとの間で送受信するDHCPrequestフレームのスヌーピングにより前記ユーザ端末のMACアドレスをモニタし、さらにDHCPackフレームのスヌーピングにより前記ユーザ端末に割り当てられるIPアドレスをモニタし、前記ユーザ端末のMACアドレスとIPアドレスの対応を前記透過フィルタテーブルに登録するONU側モニタ部と、
前記透過フィルタ部のフィルタリング制御を行うONU制御部と
で構成され、
前記OLTは、
自己のOLTの配下に設置された全ての前記ONUのMACアドレスが予め記憶された登録済ONUテーブルと、
前記登録済ONUテーブルの中から認証された前記ONUおよび該MACアドレスを記憶する認証済ONUテーブルと、
前記ONUから送出された前記定期フレームを受信する定期フレーム受信部と、
前記定期フレーム受信部が受信した前記定期フレームに格納された前記ONUのMACアドレスが前記登録済ONUテーブルに記憶されたMACアドレスに合致するか否かを判別し、合致する場合に当該ONUおよび該MACアドレスを前記認証済ONUテーブルに登録する認証済ONUテーブル登録部と、
前記ONUから送出されるフレームのフィルタリングを行うパケットフィルタ部と、
前記ユーザ端末と前記DHCPサーバとの間で送受信するDHCPrequestフレームのスヌーピングにより前記ユーザ端末のMACアドレスをモニタし、さらにDHCPackフレームのスヌーピングにより前記ユーザ端末に割り当てられるIPアドレスをモニタして、当該ユーザ端末のMACアドレスおよびIPアドレスを認証済端末テーブルに登録するOLT側モニタ部と、
前記パケットフィルタ部のフィルタリング制御を行うOLT制御部と
で構成され、
前記ユーザ端末から送信される全フレームを上位のネットワークに通さない第1の状態と、前記ユーザ端末から送信されるブロードキャストパケットを上位のネットワークに通す第2の状態と、前記ユーザ端末から送信される全フレームを上位のネットワークに通す第3の状態と、を有し、
前記第1の状態では、前記OLT制御部は、前記ONUの電源投入後に前記ONUから受信した前記定期フレームに格納された前記ONUのMACアドレス前記登録済ONUテーブルおよび前記認証済ONUテーブルに登録されていない場合、当該ONUから受信するブロードキャストパケットを上位のネットワークに通さない状態にし、前記ONU制御部は、前記ユーザ端末から送信されるブロードキャストパケットを前記OLTに通す状態にし、
前記第2の状態では、前記OLT制御部は、前記ONUから受信した前記定期フレームに格納された前記ONUのMACアドレスが前記認証済ONUテーブルに登録されている場合、当該ONUから受信するブロードキャストパケットを上位のネットワークに通す状態にし、前記ONU制御部は、前記ユーザ端末から送信されるブロードキャストパケットを前記OLTに通す状態にし、
前記第3の状態では、前記OLT制御部は、前記ONUから受信した前記定期フレームに格納された前記ONUのMACアドレスが前記認証済ONUテーブルに登録されている場合、且つ、当該ONUを介してユーザ端末から受信するフレームに格納された前記ユーザ端末の前記MACアドレスおよび前記IPアドレスが前記認証済端末テーブルに登録された前記MACアドレスと前記IPアドレスとが一致する場合、当該ユーザ端末から受信する全フレームを上位のネットワークに通す状態にし、前記ONU制御部は、前記ユーザ端末から受信したフレームに格納された前記ユーザ端末の前記MACアドレスおよび前記IPアドレスが前記透過フィルタテーブルに登録されている場合、当該ユーザ端末から受信する全フレームを前記OLTに通す状態にする
ことを特徴とするユーザ認証システム。 An OLT for connecting an access from a wavelength division multiplexing PON system formed under the network to an upper network;
A plurality of ONUs connecting user terminals to the OLT;
An optical coupler that multiplexes the plurality of ONUs and connects to the OLT;
In a user authentication system in a wavelength division multiplexing PON system configured with a DHCP server that issues an IP address to the user terminal,
The ONU is
A transmission filter unit for filtering frames transmitted from the user terminal;
A periodic frame transmitting unit that periodically transmits a periodic frame including its own MAC address to the OLT;
A transmission filter table that stores the correspondence between the MAC address and IP address of the packet of the user terminal that allows the ONU to pass through the transmission filter unit;
The MAC address of the user terminal is monitored by snooping of a DHCP request frame transmitted and received between the user terminal and the DHCP server, and the IP address assigned to the user terminal is monitored by snooping of the DHCPPack frame, and the user terminal An ONU-side monitoring unit that registers the correspondence between the MAC address and the IP address in the transparent filter table ;
An ONU control unit that performs filtering control of the transmission filter unit,
The OLT is
A registered ONU table in which MAC addresses of all the ONUs installed under its own OLT are stored in advance;
And authenticated ONU table storing the ONU and the MAC address is authenticated from among the registered ONU table,
And regular frame receiving unit that receives the periodic frame sent from the ONU,
The ONU and the when the periodic frame receiving unit is MAC address of the ONU stored in the regular frame received to determine whether they meet the MAC address stored in the registered ONU table matches An authenticated ONU table registration unit for registering a MAC address in the authenticated ONU table;
A packet filter unit for filtering frames transmitted from the ONU;
The MAC address of the user terminal is monitored by snooping of a DHCP request frame transmitted and received between the user terminal and the DHCP server, and the IP address assigned to the user terminal is monitored by snooping of a DHCPPack frame, and the user terminal An OLT-side monitor unit that registers the MAC address and IP address of the device in the authenticated terminal table;
An OLT control unit that performs filtering control of the packet filter unit,
A first state in which all frames transmitted from the user terminal are not passed through an upper network, a second state in which a broadcast packet transmitted from the user terminal is passed through an upper network, and a transmission from the user terminal A third state in which all frames are passed through the upper network,
In the first state, the OLT control unit registers the MAC address of the ONU stored in the periodic frame received from the ONU after powering on the ONU in the registered ONU table and the authenticated ONU table. If not, then the broadcast packets received from the ONU to the state impervious to the upper network, the ONU control unit, in a state passing broadcast packets transmitted from the user terminal to the OLT,
In the second state, the OLT control unit receives a broadcast packet received from the ONU when the MAC address of the ONU stored in the periodic frame received from the ONU is registered in the authenticated ONU table. And the ONU control unit sets a broadcast packet transmitted from the user terminal to pass through the OLT,
In the third state, the OLT control unit, when the MAC address of the ONU stored in the regular frame received from the ONU is registered in the authenticated ONU table, and via the ONU When the MAC address and the IP address of the user terminal stored in the frame received from the user terminal match the MAC address registered in the authenticated terminal table and the IP address, receive from the user terminal When all frames are passed through an upper network, and the ONU control unit registers the MAC address and the IP address of the user terminal stored in the frame received from the user terminal in the transparent filter table , All frames received from the user terminal User authentication system, characterized by a state to pass. 請求項1記載のユーザ認証システムにおいて、
前記定期フレームは、Ethernet−OAMのCCフレームであることを特徴とするユーザ認証システム。 The user authentication system according to claim 1,
The user authentication system, wherein the periodic frame is an Ethernet-OAM CC frame. 配下に形成する波長多重PONシステムからのアクセスを上位ネットワークに接続するOLTと、
ユーザ端末を前記OLTに接続する複数のONUと、
前記複数のONUを波長多重して前記OLTに接続する光カプラと、
前記ユーザ端末にIPアドレスの発行を行うDHCPサーバーと
で構成される波長多重PONシステムにおけるユーザ認証方法において、
前記ONUは、
前記ユーザ端末から送出されるフレームのフィルタリングを行う透過フィルタ手順と、
自己のMACアドレスを含む定期フレームを前記OLTに定期的に送信する定期フレーム送信手順と、
前記ユーザ端末と前記DHCPサーバとの間で送受信するDHCPrequestフレームのスヌーピングにより前記ユーザ端末のMACアドレスをモニタし、さらにDHCPackフレームのスヌーピングにより前記ユーザ端末に割り当てられるIPアドレスをモニタし、前記ユーザ端末のMACアドレスとIPアドレスの対応を透過フィルタテーブルに登録するONU側モニタ手順と、
前記透過フィルタ手順のフィルタリング制御を行うONU制御手順と
を実行し
前記OLTは、
前記ONUから送出された前記定期フレームを受信する定期フレーム受信手順と、
前記定期フレーム受信手順で受信した前記定期フレームに格納された前記ONUのMACアドレスが自己のOLTの配下に設置された全ての前記ONUのMACアドレスが予め記憶された登録済ONUテーブルに記憶されたMACアドレスに合致するか否かを判別し、合致する場合に当該ONUおよび該MACアドレスを認証済ONUテーブルに登録する認証済ONUテーブル登録手順と、
前記ONUから送出されるフレームのフィルタリングを行うパケットフィルタ手順と、
前記ユーザ端末と前記DHCPサーバとの間で送受信するDHCPrequestフレームのスヌーピングにより前記ユーザ端末のMACアドレスをモニタし、さらにDHCPackフレームのスヌーピングにより前記ユーザ端末に割り当てられるIPアドレスをモニタして、当該ユーザ端末のMACアドレスおよびIPアドレスを認証済端末テーブルに登録するOLT側モニタ手順と、
前記パケットフィルタ手順のフィルタリング制御を行うOLT制御手順と
を実行し
前記ユーザ端末から送信される全フレームを上位のネットワークに通さない第1の状態と、前記ユーザ端末から送信されるブロードキャストパケットを上位のネットワークに通す第2の状態と、前記ユーザ端末から送信される全フレームを上位のネットワークに通す第3の状態と、を有し、
前記第1の状態では、前記OLT制御手順は、前記ONUの電源投入後に前記ONUから受信した前記定期フレームに格納された前記ONUのMACアドレス前記登録済ONUテーブルおよび前記認証済ONUテーブルに登録されていない場合、当該ONUから受信するブロードキャストパケットを上位のネットワークに通さない状態にし、前記ONU制御手順は、前記ユーザ端末から送信されるブロードキャストパケットを前記OLTに通す状態にし、
前記第2の状態では、前記OLT制御手順は、前記ONUから受信した前記定期フレームに格納された前記ONUのMACアドレスが前記認証済ONUテーブルに登録されている場合、当該ONUから受信するブロードキャストパケットを上位のネットワークに通す状態にし、前記ONU制御手順は、前記ユーザ端末から送信されるブロードキャストパケットを前記OLTに通す状態にし、
前記第3の状態では、前記OLT制御手順は、前記ONUから受信した前記定期フレームに格納された前記ONUのMACアドレスが前記認証済ONUテーブルに登録されている場合、且つ、当該ONUを介して前記ユーザ端末から受信するフレームに格納された前記ユーザ端末の前記MACアドレスおよび前記IPアドレスが前記認証済端末テーブルに登録された前記MACアドレスおよび前記IPアドレスと一致する場合、当該ONUを介して前記ユーザ端末から受信する全フレームを上位のネットワークに通す状態にし、前記ONU制御手順は、前記ユーザ端末から受信するフレームに格納された前記ユーザ端末の前記MACアドレスおよび前記IPアドレスが前記透過フィルタテーブルに登録されている場合、当該ユーザ端末から受信する全フレームを前記OLTに通す状態にする
ことを特徴とするユーザ認証方法。 An OLT for connecting an access from a wavelength division multiplexing PON system formed under the network to an upper network;
A plurality of ONUs connecting user terminals to the OLT;
An optical coupler that multiplexes the plurality of ONUs and connects to the OLT;
In a user authentication method in a wavelength division multiplexing PON system configured with a DHCP server that issues an IP address to the user terminal,
The ONU is
A transmission filter procedure for filtering frames transmitted from the user terminal;
A periodic frame transmission procedure for periodically transmitting a periodic frame including its own MAC address to the OLT;
The MAC address of the user terminal is monitored by snooping of a DHCP request frame transmitted and received between the user terminal and the DHCP server, and the IP address assigned to the user terminal is monitored by snooping of the DHCPPack frame, and the user terminal An ONU-side monitoring procedure for registering the correspondence between the MAC address and the IP address in the transparent filter table ;
An ONU control procedure for performing filtering control of the transmission filter procedure;
Run
The OLT is
And regular frame receiving step of receiving said periodic frame sent from the ONU,
MAC address of the stored in the regular frame received ONU is stored in the registered ONU table MAC addresses of all of the ONU placed under the own OLT is stored in advance in the periodic frame reception procedure An ONU table registration procedure for determining whether or not to match the MAC address, and registering the ONU and the MAC address in the authenticated ONU table if they match,
A packet filter procedure for filtering frames sent from the ONU;
The MAC address of the user terminal is monitored by snooping of a DHCP request frame transmitted and received between the user terminal and the DHCP server, and the IP address assigned to the user terminal is monitored by snooping of a DHCPPack frame , and the user terminal An OLT-side monitoring procedure for registering the MAC address and IP address of the device in the authenticated terminal table;
An OLT control procedure for performing filtering control of the packet filter procedure;
Run
A first state in which all frames transmitted from the user terminal are not passed through an upper network, a second state in which a broadcast packet transmitted from the user terminal is passed through an upper network, and a transmission from the user terminal A third state in which all frames are passed through the upper network,
In the first state, the OLT control procedure registers the ONU MAC address stored in the periodic frame received from the ONU after the ONU is powered on in the registered ONU table and the authenticated ONU table. If not, then the broadcast packets received from the ONU to the state impervious to the upper network, the ONU control procedure in a state through a broadcast packet transmitted from the user terminal to the OLT,
In the second state, the OLT control procedure is a broadcast packet received from the ONU when the MAC address of the ONU stored in the periodic frame received from the ONU is registered in the authenticated ONU table. And the ONU control procedure sets the broadcast packet transmitted from the user terminal to pass through the OLT,
In the third state, the OLT control procedure is performed when the MAC address of the ONU stored in the periodic frame received from the ONU is registered in the authenticated ONU table and through the ONU. when matching the MAC address and the IP address, the MAC address and the IP address is registered in the authenticated terminal table of the user terminal stored in the frame received from the user terminal, wherein via the ONU All frames received from the user terminal are put through a higher-level network, and the ONU control procedure is such that the MAC address and the IP address of the user terminal stored in the frame received from the user terminal are stored in the transparent filter table. If registered, receive from the user terminal User authentication method which is characterized in that the entire frame of the state through the OLT. 請求項記載のユーザ認証方法において、
前記定期フレームは、Ethernet−OAMのCCフレームであることを特徴とするユーザ認証方法。 The user authentication method according to claim 3 , wherein
The user authentication method, wherein the periodic frame is an Ethernet-OAM CC frame.
JP2009039013A 2009-02-23 2009-02-23 User authentication system and user authentication method Expired - Fee Related JP5269641B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009039013A JP5269641B2 (en) 2009-02-23 2009-02-23 User authentication system and user authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009039013A JP5269641B2 (en) 2009-02-23 2009-02-23 User authentication system and user authentication method

Publications (2)

Publication Number Publication Date
JP2010199673A JP2010199673A (en) 2010-09-09
JP5269641B2 true JP5269641B2 (en) 2013-08-21

Family

ID=42823979

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009039013A Expired - Fee Related JP5269641B2 (en) 2009-02-23 2009-02-23 User authentication system and user authentication method

Country Status (1)

Country Link
JP (1) JP5269641B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109167770A (en) * 2018-08-21 2019-01-08 北京小米移动软件有限公司 Export method, networking method, device and the storage medium of networking certification information

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8850197B2 (en) 2009-07-31 2014-09-30 Futurewei Technologies, Inc. Optical network terminal management control interface-based passive optical network security enhancement
JP5529081B2 (en) * 2011-06-29 2014-06-25 富士通テレコムネットワークス株式会社 Network system, transmission apparatus, and connection management method
JP6242376B2 (en) * 2015-11-19 2017-12-06 三菱電機株式会社 Communication system and subscriber side device
JP6683646B2 (en) * 2017-03-21 2020-04-22 日本電信電話株式会社 Subscriber line termination device authentication device and subscriber line termination device authentication method
CN108183910B (en) * 2018-01-02 2020-12-08 新华三技术有限公司 ONU equipment authentication method, OLT equipment and ONU equipment authentication system
JP7190967B2 (en) * 2019-05-31 2022-12-16 三菱電機株式会社 Optical communication device, control method, and control program
WO2022215221A1 (en) * 2021-04-08 2022-10-13 日本電信電話株式会社 Network system, control method, database, controller, and program

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003204345A (en) * 2002-01-08 2003-07-18 Nec Corp Communication system, packet repeating apparatus, method for repeating packet and repeating program
JP4290526B2 (en) * 2003-10-29 2009-07-08 富士通株式会社 Network system
JP2007129283A (en) * 2005-11-01 2007-05-24 Alaxala Networks Corp Data transfer apparatus
US20110174307A1 (en) * 2006-01-04 2011-07-21 Lessi Stephane Device for Supplying Oxygen to the Occupants of an Aircraft and Pressure Regulator for Such a Device
JP4881672B2 (en) * 2006-07-31 2012-02-22 パナソニック電工ネットワークス株式会社 Communication device and communication control program
JP5105942B2 (en) * 2007-04-13 2012-12-26 三菱電機株式会社 ONU automatic registration method

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109167770A (en) * 2018-08-21 2019-01-08 北京小米移动软件有限公司 Export method, networking method, device and the storage medium of networking certification information
CN109167770B (en) * 2018-08-21 2021-02-09 北京小米移动软件有限公司 Method for outputting networking authentication information, networking method, networking device and storage medium

Also Published As

Publication number Publication date
JP2010199673A (en) 2010-09-09

Similar Documents

Publication Publication Date Title
JP5269641B2 (en) User authentication system and user authentication method
US10439862B2 (en) Communication terminal with multiple virtual network interfaces
US10103982B2 (en) System and method for automatic routing of dynamic host configuration protocol (DHCP) traffic
EP1841114B1 (en) Station-side apparatus of wavelength multiplexing PON system, wavelength and network address allotting method and program thereof
JP4680866B2 (en) Packet transfer device with gateway load balancing function
US8630183B2 (en) Packet transfer system
CN101048008B (en) Channel switchover system and method for IPTV service in passive optical network
US20130100913A1 (en) Method and system for efficient use of a telecommunication network and the connection between the telecommunications network and a customer premises equipment
CN105812252A (en) Home gateway, system and method for accessing multicast service by terminal
JP5256118B2 (en) Information distribution system and information distribution method
US11153267B2 (en) Using dynamic host control protocol (DHCP) and a special file format to convey quality of service (QOS) and service information to customer equipment
US9032083B2 (en) Method and system for efficient use of a telecommunications network and the connection between the telecommunications network and a customer premises equipment
US10945036B2 (en) Set top box security tracking
US20130198396A1 (en) Method for efficient initialization of a telecommunications network and telecommunications network
CN112438026A (en) Information transmission method, optical line terminal, optical network unit and communication system
CN115086061B (en) Authentication and network access control method and system for FTTR
US11700228B2 (en) Hardware address consistency management
EP2795816B1 (en) Systems and methods for sharing of optical network terminals in passive optical network
US11930037B2 (en) Validation and implementation of flow specification (Flowspec) rules
JP6107773B2 (en) Communication apparatus and communication system
WO2021002036A1 (en) Optical network unit, communication network system, and communication method
JP2008236674A (en) Subscriber side optical line termination apparatus
JP2014155097A (en) Ge-pon system and olt

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110310

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120621

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120703

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120827

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121211

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130201

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130430

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130508

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees