JP2008028922A - Authentication method in network system, authentication apparatus, and apparatus to be authenticated - Google Patents
Authentication method in network system, authentication apparatus, and apparatus to be authenticated Download PDFInfo
- Publication number
- JP2008028922A JP2008028922A JP2006202094A JP2006202094A JP2008028922A JP 2008028922 A JP2008028922 A JP 2008028922A JP 2006202094 A JP2006202094 A JP 2006202094A JP 2006202094 A JP2006202094 A JP 2006202094A JP 2008028922 A JP2008028922 A JP 2008028922A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- password
- information
- user
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
Description
本発明は、光アクセスシステムであるPON(Passive Optical Network)システムにおける認証方法および認証装置に関するものである。 The present invention relates to an authentication method and an authentication apparatus in a PON (Passive Optical Network) system that is an optical access system.
PONシステムは、図1に示すように加入者線端局装置(OLT:Optical Line Terminal)と複数の加入者線終端装置(ONU:Optical Network Unit)が光スプリッタを用いた分岐光ファイバ伝送路を介して接続されるシステムであり、EPON(Ethernet-Passive Optical Network)システムはIEEE802.3ahにて物理インタフェース、OLT-ONU間の通信制御プロトコル等が標準化されたシステムである。OLTは電話局等に設置され、ONUと通信を行うとともに、ONUの監視制御を行ったり、上位ネットワークとの接続を行ったりする機能を有する。一方OUNは、一般的にユーザの宅内やユーザビル構内に設置され、OLTと通信を行うとともに、ユーザ端末と信号の送受信を行う。なお、信号とはイーサネットフレームの集合体を意味する。OLTとONU との物理的な接続点がPON-IFであり、OLTのPON-IFポートに対して分岐が可能であり、OLTは複数のONUと接続が可能である。 In the PON system, as shown in Fig. 1, a subscriber line terminal equipment (OLT: Optical Line Terminal) and a plurality of subscriber line termination equipment (ONU: Optical Network Unit) are connected to a branch optical fiber transmission line using an optical splitter. The EPON (Ethernet-Passive Optical Network) system is a system in which the physical interface, the communication control protocol between OLT and ONU, etc. are standardized by IEEE802.3ah. The OLT is installed in a telephone station or the like, and has a function of performing ONU monitoring control and connection with a higher level network as well as communication with the ONU. On the other hand, OUN is generally installed in a user's home or user building, and communicates with OLT and transmits / receives signals to / from user terminals. The signal means a collection of Ethernet frames. The physical connection point between the OLT and the ONU is the PON-IF, which can branch to the PON-IF port of the OLT, and the OLT can be connected to a plurality of ONUs.
従来のPONシステムでは、非特許文献1の国際基準に基づいて構築されたPONシステムを含めて、図2に示すようにONUの認証を行うために、制御端末からOLTヘ認証に必要なONUに関するユニークな情報および認証後に行う通信サービスに関する情報を事前に設定を行う。次に、OLTとONUの接続を行い、OLTはONUとの通信によりONUの認証を行う。OLTはONUから送信されるMACアドレス、ユーザIDおよびパスワードなどのユ二ークな情報によりONUを識別する。従ってOLTは、前述したOLTへ設定したONUのユニークな情報とONUから送信されるMACアドレス、ユーザIDおよびパスワードのユニークな情報一致を確認することにより、認証成功となる。ONUの認証が成功すれば前述の事前にOLTに設定した通信サービスに関する情報に従いOLTとONUはそれぞれ上位ネットワークとユーザ端末との通信を開始する。 In the conventional PON system, including the PON system constructed based on the international standards of Non-Patent Document 1, ONU authentication is required from the control terminal to the OLT to perform the ONU authentication as shown in FIG. Unique information and information related to the communication service to be performed after authentication are set in advance. Next, the OLT and the ONU are connected, and the OLT authenticates the ONU by communicating with the ONU. OLT identifies ONU by unique information such as MAC address, user ID, and password transmitted from ONU. Therefore, the OLT is authenticated successfully by checking the unique information of the ONU set in the OLT and the unique information of the MAC address, user ID and password transmitted from the ONU. If the ONU authentication is successful, the OLT and the ONU start communication with the upper network and the user terminal, respectively, according to the information regarding the communication service set in the OLT in advance.
IEEE802.3ah標準では、P2MP Discovery機能によりOLTとONUの間にはロジカルリンク(論理リンク)が自動的に張られ、このロジカルリンクを監視制御の単位としている。ロジカルリンクはOLT-ONU間に設定される論理的なリンクであり、1つのONUに複数のロジカルリンクを張ることも可能であるが、通常は1つのONUに対して1つのロジカルリンクを張る形となる。OLTは複数のロジカルリンクを1つのPON-IF配下に張ることが可能である。ロジカルリンクはLLID(口ジカルリンクID)と呼ばれる識別子により識別され、ONUごとにLLIDが割り当てられることになる。 In the IEEE802.3ah standard, a logical link (logical link) is automatically established between the OLT and ONU by the P2MP Discovery function, and this logical link is used as a unit for monitoring control. A logical link is a logical link established between OLT and ONU, and multiple logical links can be set up in one ONU, but usually one logical link is set up for one ONU. It becomes. OLT can extend multiple logical links under one PON-IF. The logical link is identified by an identifier called LLID (oral link ID), and an LLID is assigned to each ONU.
EPONシステムの場合、IEEE802.3ah標準だけではP2MP Discovery機能によりロジカルリンク(論理リンク)が自動的に張られ、ONUの通信が可能となる。通信事業者がEPONシステムを使用するためには、通信事業者とサービス契約を行ったユーザの持つONUと、通信事業者とサービス契約を行っていないユーザの持つONUとを識別する必要がある。 In the case of an EPON system, the IEEE 802.3ah standard alone automatically establishes a logical link (logical link) by the P2MP Discovery function, enabling ONU communication. In order for a telecommunications carrier to use the EPON system, it is necessary to distinguish between an ONU of a user who has made a service contract with the telecommunications carrier and an ONU of a user who has not made a service contract with the telecommunications carrier.
このような目的でユーザ端末の認証を行うため、EPONシステムにはPAP(Password Authentication Protocol)、CHAP(Challenge Handshake Authentication Protocol)、TLS (Transport Layer Security)などの認証機能を搭載可能な、IEEE802.1X標準などの仕組みが必要となる。IEEE802.1X標準では、EAP(Extensible Authentication Protocol)フレームとその制御方法について規定しており、イーサネット(登録商標)をベースにしたEPONシステムにおいても使用することが可能である。 To authenticate user terminals for this purpose, IEEE802.1X can be equipped with authentication functions such as PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), and TLS (Transport Layer Security) in the EPON system. A mechanism such as a standard is required. The IEEE802.1X standard specifies an EAP (Extensible Authentication Protocol) frame and its control method, and can be used in an EPON system based on Ethernet (registered trademark).
従来の技術では、前述のとおり通信事業者が、OLTへONUのMACアドレスやシリアル番号などのユニークな番号の設定情報とONU 毎のサービスに関する情報の登録を行い、ユーザ端末側ではONU の取り付け、ユニークな番号の設定またはユーザID、パスワードの設定を行うことが必要となる。 In the conventional technology, as described above, the telecommunications carrier registers the unique number setting information such as the MAC address and serial number of the ONU and the information about the service for each ONU to the OLT. It is necessary to set a unique number or user ID and password.
さらに、通信事業者は開通時、オペレータおよび所外作業者とスキルの異なる作業者がそれぞれの業務を行うため人的稼働の削減が難しく、さらには開通工事実施において、お互いの移動時間を含めた作業の待ち時間が必要となることから、作業時間を短縮することが困難である。またONUの故障による交換についても同様にONUを取り替えるためにはオペレータによるOLTのONU登録変更操作と、所外作業者によるONU取り替え作業とが必要となる。 In addition, it is difficult for operators to reduce the number of human operations because operators with different skills from operators and off-site workers do their work at the time of opening. Since work waiting time is required, it is difficult to shorten the work time. Similarly, in order to replace an ONU due to a failure of the ONU, an OLT ONU registration change operation by an operator and an ONU replacement operation by an outside operator are required.
本発明は、上記問題を解決するため、通信事業者がオペレータを介在させることなく、所外作業者だけでEPONシステムの開通工事および故障修理を可能にするための技術を提供することを目的とする。 In order to solve the above problems, the present invention aims to provide a technique for enabling an EPON system to be opened and repaired only by an outside operator without an operator intervening by a telecommunications carrier. To do.
上記目的を達成するため、請求項1に記載の認証方法は、一つの認証装置Zに複数の被認証装置Yn( n:1以上の自然数)が伝送路を介して接続されるシステムにおいて、ユーザIDおよび認証装置Zの秘密情報を用いて一方向性関数により生成されたパスワード(p)と前記ユーザIDとを認証情報として被認証装置Ynに直接入力して登録するプロセスと、被認証装置Ynが認証情報を認証装置Zへ送信するプロセスと、認証装置Zが受信した認証情報のユーザIDと認証装置Zの秘密情報とを用いて一方向性関数によりパスワード(P)を生成するPW生成プロセスと、認証装置Zには事前にユーザIDとパスワードとを登録することなく被認証装置Ynから受信した認証情報を基にして被認証装置Ynに登録されたユーザIDおよびパスワード(p)が正しいか否かを判別する認証プロセスと、認証装置Zが前記認証プロセスで判別した結果を被認証装置Ynへ通知するプロセスと、を有することを特徴とする。ここで例えば、光ファイバー伝送路で構成されるPONシステムにおいては、認証装置Zは加入者線端局装置(OLT)であり、被認証装置Ynは加入者線終端装置(ONU)であり、ONUは光スプリッタを用いた分岐光ファイバ伝送路を介してOLTに接続されている。また通信事業者がユーザIDとパスワード(p)とをONUへ直接入力して登録した後、OLTとONUは認証を行うためのIEEE802.1Xに従った通信が行われる。ONUはユーザIDなどの認証情報をOLTへ送信し、認証情報が正しければOLTはONUを認証し、ONU開通を行うことになる。 In order to achieve the above object, an authentication method according to claim 1 is a system in which a plurality of devices to be authenticated Y n (n: a natural number of 1 or more) is connected to one authentication device Z via a transmission line. A process of directly inputting and registering the password (p) generated by the one-way function using the user ID and the secret information of the authentication device Z and the user ID as authentication information to the device to be authenticated Y n , and authentication target The device Y n generates a password (P) by a one-way function using the process of transmitting the authentication information to the authentication device Z, the user ID of the authentication information received by the authentication device Z, and the secret information of the authentication device Z. and PW generation process, the authentication device Z in advance the user ID and user ID authentication information received from the authentication device Y n are registered based on the prover Y n without registering the password and the password ( An authentication program that determines whether p) is correct And Seth, authentication device Z is characterized by having a, a process of notifying the prover Y n the result of determination by the authentication process. Here, for example, in a PON system constituted by an optical fiber transmission line, the authentication device Z is a subscriber line terminal device (OLT), the device to be authenticated Y n is a subscriber line termination device (ONU), and ONU Is connected to the OLT via a branched optical fiber transmission line using an optical splitter. In addition, after the communication carrier directly registers the user ID and password (p) in the ONU, the OLT and the ONU communicate with each other according to IEEE802.1X for authentication. The ONU sends authentication information such as a user ID to the OLT, and if the authentication information is correct, the OLT authenticates the ONU and opens the ONU.
請求項2に記載の認証方法は、前記認証プロセスが、前記PW生成プロセスで生成したパスワード(P)と認証装置Zが被認証装置Ynから受信した認証情報のパスワード(p)とを比較し一致した場合に、被認証装置Ynを認証するプロセスを有することを特徴とする。ここで例えば、光ファイバー伝送路で構成されるPONシステムにおいては、ONUへ直接入力されたユーザIDとパスワード(p)との間には一定の規則性があり、OLTはその規則性を知っているため、ONUから到達したユーザIDおよびOLTの秘密情報から一方向性関数によりパスワード(P)を内部生成し、パスワード(P)とONUから受け取ったパスワード(p)とを比較することによりONU認証を実施する。 Authentication method according to claim 2, wherein the authentication process, compares the password (p) of the authentication information which the PW generation process in the generated password (P) and the authentication device Z has received from the authentication device Y n if they match, characterized by having a process of authenticating the prover Y n. Here, for example, in a PON system configured with an optical fiber transmission line, there is a certain regularity between the user ID directly input to the ONU and the password (p), and the OLT knows the regularity. Therefore, ONU authentication is performed by internally generating a password (P) using a one-way function from the user ID and OLT secret information reached from ONU, and comparing the password (P) with the password (p) received from ONU. carry out.
請求項3に記載の認証方法は、請求項1に記載の認証方法において、認証装置Zが乱数(S)を生成し、乱数(S)とパスワード(P)とを用いて一方向性関数により計算値(A)を生成するプロセスと、認証装置Zが乱数(S)を被認証装置Ynへ送信するプロセスと、被認証装置Ynが受信した乱数(S)と被認証装置Ynに登録されたパスワード(p)とを用いて一方向性関数により計算値(a)を生成するプロセスと、被認証装置Ynが計算値(a)を認証装置Zへ送信するプロセスとを有し、前記認証プロセスは、認証装置Zが計算値(a)と計算値(A)を比較し一致した場合に、被認証装置Ynを認証するプロセスを有することを特徴とする。ここで例えば、光ファイバー伝送路で構成されるPONシステムにおいては、ONUへ直接入力されたユーザIDとパスワード(p)との間には一定の規則性があり、OLTはその規則性を知っているため、ONUから到達したユーザIDおよびOLTの秘密情報から一方向性関数によりパスワード(P)を内部生成し、パスワード(P)を用いて一方向性関数によりOLTが生成した計算値(A)とONUが生成しOLTヘ送信する計算値(a)とを比較することによりONU認証を実施する。 The authentication method according to claim 3 is the authentication method according to claim 1, wherein the authentication device Z generates a random number (S) and uses a random number (S) and a password (P) to generate a one-way function. a process of generating the calculated value (a), the authentication device Z is a random number (S) and processes to be transmitted to the prover Y n, and the prover Y n random numbers prover Y n received (S) A process of generating a calculated value (a) by a one-way function using the registered password (p), and a process in which the authenticated device Y n transmits the calculated value (a) to the authenticating device Z. the authentication process, when the authentication device Z are identical compared calculated values (a) and the calculated value (a), characterized by having a process of authenticating the prover Y n. Here, for example, in a PON system configured with an optical fiber transmission line, there is a certain regularity between the user ID directly input to the ONU and the password (p), and the OLT knows the regularity. Therefore, the password (P) is generated internally by the one-way function from the user ID and OLT secret information reached from ONU, and the calculated value (A) generated by the OLT by the one-way function using the password (P) ONU authentication is performed by comparing the calculated value (a) generated by ONU and transmitted to OLT.
請求項4に記載の認証方法は、前記ユーザIDがユニークな番号とサービスに関する情報とを用いて生成されるものであり、前記認証プロセスにおいて認証が成功した場合に認証装置Zは被認証装置Ynから受信したユーザID からユ二ークな番号とサービスに関する情報とを抽出して認証装置Z内へ設定するプロセスを有することを特徴とする。ここで例えば、光ファイバー伝送路で構成されるPONシステムにおいては、ユーザID内にはサービスに関する情報が入っており、パスワードはOLTの秘密情報と前記で受信したユーザIDを用いて一方向性関数で生成するため、認証成功時にOLTは前記ユーザIDから抽出されるユニークな番号とサービスに関する情報の設定を行う。 The authentication method according to claim 4, wherein the user ID is generated by using a unique number and information related to a service, and when the authentication is successful in the authentication process, the authentication device Z It is characterized by having a process of extracting a unique number and service-related information from the user ID received from n and setting it in the authentication device Z. Here, for example, in a PON system configured with an optical fiber transmission line, service information is contained in the user ID, and the password is a one-way function using the OLT secret information and the user ID received above. Therefore, when authentication is successful, the OLT sets a unique number extracted from the user ID and information related to the service.
請求項5に記載の認証方法は、前記認証プロセスにおいて認証が成功した場合に、被認証装置Ynの保持するユーザIDを消去し、パスワード(p)を変更するプロセスを有することを特徴とする。ここで例えば、光ファイバー伝送路で構成されるPONシステムにおいては、認証成功後、ONUに直接入力したユーザIDの消去とパスワードの変更を行うことにより、外部への情報漏洩を防ぐことができる。
The authentication method according to
請求項6に記載の認証装置は、被認証装置YnからユーザIDおよびパスワード(p) の認証情報を受信する認証情報受信部と、被認証装置Ynから受信したユーザID と認証装置の秘密情報とを用いて一方向性関数によりパスワード(P)を生成するパスワード生成部と、被認証装置Ynから受信したパスワード(p)と前記パスワード生成部で生成したパスワード(P)とを比較することにより認証を行う認証部と、前記認証部で行った認証の結果を被認証装置Ynへ通知する認証通知部とを備えたことを特徴とする。ここで例えば、光ファイバー伝送路で構成されるPONシステムにおいては、認証装置は加入者線端局装置(OLT)であり、被認証装置Ynは加入者線終端装置(ONU)である。 The authentication apparatus according to claim 6, the authentication information receiving unit for receiving authentication information of the user ID and password (p) from the apparatus to be authenticated Y n, the secret of the user ID and authentication apparatus received from the prover Y n The password generation unit that generates the password (P) using a one-way function using the information and the password (p) received from the device to be authenticated Y n and the password (P) generated by the password generation unit are compared. an authentication unit for performing authentication by, characterized by comprising an authentication notifying unit for notifying the result of authentication performed by the authentication unit to the prover Y n. Here, for example, in a PON system configured with an optical fiber transmission line, the authentication device is a subscriber line terminal device (OLT), and the device to be authenticated Y n is a subscriber line termination device (ONU).
請求項7に記載の認証装置は、被認証装置YnからユーザIDおよび計算値(a)の認証情報を受信する認証情報受信部と、被認証装置Ynから受信したユーザID と認証装置の秘密情報とを用いて一方向性関数によりパスワード(P)を生成するパスワード生成部と、乱数(S)を生成する乱数生成部と、乱数(S)とパスワード(P)とを用いて一方向性関数により計算値(A)を生成する計算値生成部と、乱数(S)を被認証装置Ynへ送信するデータ送信部と、被認証装置Ynから受信した計算値(a)と計算値(A)とを比較することにより認証を行う認証部と、前記認証部で行った認証の結果を被認証装置Ynへ通知する認証通知部とを備えたことを特徴とする。ここで例えば、光ファイバー伝送路で構成されるPONシステムにおいては、認証装置は加入者線端局装置(OLT)であり、被認証装置Ynは加入者線終端装置(ONU)である。 The authentication apparatus according to claim 7 includes an authentication information receiving unit for receiving authentication information of the user ID and the calculated value (a) from the authentication device Y n, the user ID and authentication apparatus received from the prover Y n A password generator that generates a password (P) by a one-way function using secret information, a random number generator that generates a random number (S), and a one-way using a random number (S) and a password (P) A calculated value generation unit that generates a calculated value (A) by a sex function, a data transmission unit that transmits a random number (S) to the device to be authenticated Y n , and a calculated value (a) received from the device to be authenticated Y n and the calculation an authentication unit that performs authentication by comparing the value (a), characterized by comprising an authentication notifying unit for notifying the result of authentication performed by the authentication unit to the prover Y n. Here, for example, in a PON system configured with an optical fiber transmission line, the authentication device is a subscriber line terminal device (OLT), and the device to be authenticated Y n is a subscriber line termination device (ONU).
請求項8に記載の認証装置は、前記認証部において認証が成功した場合に被認証装置Ynより受信したユーザID からユ二ークな番号とサービスに関する情報とを抽出するサービス情報抽出部と、前記サービス情報抽出部で抽出したユ二ークな番号とサービスに関する情報とを認証装置内へ設定する情報管理部とを備えたことを特徴とする。ここで例えば、光ファイバー伝送路で構成されるPONシステムにおいては、ユーザID内にはサービスに関する情報が入っており、パスワードはOLTの秘密情報と前記で受信したユーザIDを用いて一方向性関数で生成するため、認証成功時にOLTは前記ユーザIDから抽出されるユニークな番号とサービスに関する情報の設定を行うことができる。 The authentication device according to claim 8, wherein a service information extraction unit extracts a unique number and information about a service from a user ID received from the device to be authenticated Y n when the authentication unit succeeds in authentication. And an information management unit that sets a unique number extracted by the service information extraction unit and information related to the service in the authentication apparatus. Here, for example, in a PON system configured with an optical fiber transmission line, service information is contained in the user ID, and the password is a one-way function using the OLT secret information and the user ID received above. Therefore, when authentication is successful, the OLT can set a unique number extracted from the user ID and information related to the service.
請求項9に記載の被認証装置は、ユーザIDとパスワード(p)とを認証情報として直接入力して登録する認証情報登録部と、ユーザIDおよびパスワード(p) の認証情報、またはユーザIDおよび計算値(a)の認証情報を認証装置Zへ送信するデータ送信部と、認証装置Zから受信した乱数(S)と前記認証情報登録部で登録されたパスワード(p)とを用いて一方向性関数により計算値(a)を生成する計算値生成部と、認証装置Zから認証結果を受信する認証情報受信部とを備えたことを特徴とする。ここで例えば、光ファイバー伝送路で構成されるPONシステムにおいては、認証装置Zは加入者線端局装置(OLT)であり、被認証装置は加入者線終端装置(ONU)である。 The authentication target device according to claim 9 includes an authentication information registration unit that directly inputs and registers a user ID and a password (p) as authentication information, and authentication information of the user ID and password (p), or a user ID and a password. One-way using the data transmission unit that transmits the authentication information of the calculated value (a) to the authentication device Z, the random number (S) received from the authentication device Z and the password (p) registered in the authentication information registration unit A calculation value generation unit that generates a calculation value (a) using a sex function and an authentication information reception unit that receives an authentication result from the authentication device Z are provided. Here, for example, in a PON system configured with an optical fiber transmission line, the authentication device Z is a subscriber line terminal device (OLT), and the device to be authenticated is a subscriber line termination device (ONU).
請求項10に記載の被認証装置は、認証装置Zにおいて認証が成功した場合に認証装置Zからの指示により、前記認証情報登録部で登録したユーザIDを消去するデータ制御部と、前記認証情報登録部で登録したパスワードを変更するパスワード更新部とを備えたことを特徴とする。ここで例えば、光ファイバー伝送路で構成されるPONシステムにおいては、認証成功後、ONUに登録したユーザIDの消去とパスワードの変更とを行うことで、外部への情報漏洩を防ぐことができる。 The authentication target device according to claim 10 includes: a data control unit that deletes a user ID registered in the authentication information registration unit in response to an instruction from the authentication device Z when authentication is successful in the authentication device Z; and the authentication information And a password update unit for changing the password registered by the registration unit. Here, for example, in a PON system configured with an optical fiber transmission line, information leakage to the outside can be prevented by deleting the user ID registered in the ONU and changing the password after successful authentication.
請求項1に係る発明によれば、認証装置Zには事前にユーザIDおよびパスワードの認証情報を登録することなく、被認証装置Ynから送信されてきた認証情報を基にして認証を行うことが可能となる。またEPONシステムにおいては、ONUの認証に必要な情報をOLTへ入力することなく認証を行うことができるようになる。すなわち、OLTは各ユーザのユーザIDおよびパスワードを事前に登録する必要がなく、通信事業者側でOLTヘユーザ毎のユニークな番号およびサービスに関する情報の事前登録も行わなくて済む事から開通作業の稼働削減、時間短縮などの効果が期待できる。さらにIEEE802.1X標準の採用と、そのプロトコルの実装により複数の認証方法を1つのフレームワークで提供が可能となり、PAP、CHAP、TLSをはじめ,今後開発される認証プロトコルヘも対応可能である。 According to the first aspect of the present invention, authentication is performed based on authentication information transmitted from the device to be authenticated Y n without registering user ID and password authentication information in the authentication device Z in advance. Is possible. In the EPON system, authentication can be performed without inputting information necessary for ONU authentication to the OLT. In other words, OLT does not need to register each user's user ID and password in advance, and it is not necessary for the operator to pre-register unique numbers and service information for each user on the OLT side. Effects such as reduction and time reduction can be expected. Furthermore, the adoption of the IEEE802.1X standard and the implementation of that protocol makes it possible to provide multiple authentication methods in a single framework, and it is also possible to support authentication protocols that will be developed in the future, including PAP, CHAP, and TLS.
請求項2に係る発明によれば、被認証装置Ynへ直接入力されたユーザIDとパスワード(p)との間には一定の規則性があり、認証装置Zはその規則性を知っているため、被認証装置Ynから到達したユーザIDおよび認証装置Zの秘密情報から一方向性関数によりパスワード(P)を内部生成し、パスワード(P)と被認証装置Ynから受け取ったパスワード(p)とを比較することにより認証を行うことが可能となる効果がある。 According to the invention of claim 2, there is a certain regularity between the user ID and password input directly to the prover Y n (p), the authentication unit Z knows its regularity Therefore, the password (P) is internally generated from the user ID reached from the device to be authenticated Y n and the secret information of the authentication device Z by a one-way function, and the password (P) and the password received from the device to be authenticated Y n (p ) Can be authenticated.
請求項3に係る発明によれば、前段に記載の効果に加えて、ユーザIDおよび認証装置Zの秘密情報から一方向性関数により生成したパスワードを、さらにハッシュ関数等の一方向性関数を用いて計算値を生成しているため、この計算値の情報から認証装置Zの秘密情報を取り出すことは極めて困難であり、高レベルのセキュリティを確保できる効果がある。 According to the invention of claim 3, in addition to the effect described in the preceding paragraph, a password generated by a one-way function from the secret information of the user ID and the authentication device Z is further used using a one-way function such as a hash function. Since the calculated value is generated, it is extremely difficult to extract the secret information of the authentication device Z from the calculated value information, which has an effect of ensuring a high level of security.
請求項4に係る発明によれば、認証装置Zが被認証装置Ynから受信したユーザID からユ二ークな番号とサービスに関する情報とを抽出することにより、ユーザに提供する通信サービスを自動的に決定することが可能となる効果がある。またEPONシステムにおいては、通信サービスを提供してもよいONUと通信サービスを許可できないONUとを識別することが必要であり、OLTは認証が成功したONU毎に、ユーザIDより抽出する通信事業者とユーザが契約した通信サービスを行うことが可能となる効果がある。 According to the fourth aspect of the invention, the authentication device Z automatically extracts the communication number provided to the user by extracting the unique number and information about the service from the user ID received from the device to be authenticated Y n. There is an effect that can be determined automatically. Also, in the EPON system, it is necessary to identify ONUs that can provide communication services and ONUs that cannot allow communication services, and OLT extracts carriers from user IDs for each successfully authenticated ONU. The communication service contracted by the user can be performed.
請求項5に係る発明によれば、認証成功後、被認証装置Ynに直接入力したユーザIDの消去とパスワードの変更を行うことにより、外部への情報漏洩を防ぐことが可能となる効果がある。
According to the invention of
請求項6に係る発明によれば、被認証装置Ynへ直接入力されたユーザIDとパスワード(p)との間には一定の規則性があり、認証装置Zはその規則性を知っているため、被認証装置Ynから到達したユーザIDおよび認証装置Zの秘密情報から一方向性関数によりパスワード(P)を内部生成し、パスワード(P)と被認証装置Ynから受け取ったパスワード(p)とを比較することにより認証を行うことが可能となる効果がある。 According to the invention of claim 6, there is a certain regularity between the user ID and password input directly to the prover Y n (p), the authentication unit Z knows its regularity Therefore, the password (P) is internally generated from the user ID reached from the device to be authenticated Y n and the secret information of the authentication device Z by a one-way function, and the password (P) and the password received from the device to be authenticated Y n (p ) Can be authenticated.
請求項7に係る発明によれば、前段に記載の効果に加えて、ユーザIDおよび認証装置Zの秘密情報から一方向性関数により生成したパスワードを、さらにハッシュ関数等の一方向性関数を用いて計算値を生成しているため、この計算値の情報からから認証装置Zの秘密情報を取り出すことは極めて困難であり、高レベルのセキュリティを確保できる効果がある。 According to the invention of claim 7, in addition to the effect described in the preceding stage, a password generated by a one-way function from the secret information of the user ID and the authentication device Z is further used using a one-way function such as a hash function. Since the calculated value is generated, it is extremely difficult to extract the secret information of the authentication device Z from the calculated value information, which has an effect of ensuring a high level of security.
請求項8に係る発明によれば、認証装置Zが被認証装置Ynから受信したユーザID からユ二ークな番号とサービスに関する情報とを抽出することにより、ユーザに提供する通信サービスを自動的に決定することが可能となる効果がある。またEPONシステムにおいては、通信サービスを提供してもよいONUと通信サービスを許可できないONUとを識別することが必要であり、OLTは認証が成功したONU毎に、ユーザIDより抽出する通信事業者とユーザが契約した通信サービスを行うことが可能となる効果がある。 According to the eighth aspect of the invention, the authentication device Z automatically extracts the communication number provided to the user by extracting the unique number and information about the service from the user ID received from the device to be authenticated Y n. There is an effect that can be determined automatically. Also, in the EPON system, it is necessary to identify ONUs that can provide communication services and ONUs that cannot allow communication services, and OLT extracts carriers from user IDs for each successfully authenticated ONU. The communication service contracted by the user can be performed.
請求項9に係る発明によれば、ユーザIDおよび認証装置Zの秘密情報から一方向性関数により生成したパスワードを、さらにハッシュ関数等の一方向性関数を用いて計算値を生成しているため、この計算値の情報からから認証装置Zの秘密情報を取り出すことは極めて困難であり、高レベルのセキュリティを確保できる効果がある。 According to the ninth aspect of the invention, the password generated by the one-way function from the user ID and the secret information of the authentication device Z is further generated using the one-way function such as a hash function. It is extremely difficult to extract the secret information of the authentication device Z from the calculated value information, and there is an effect that a high level of security can be ensured.
請求項10に係る発明によれば、認証装置Zにおいて認証が成功した場合に、被認証装置Ynに登録したユーザIDの消去とパスワードの変更とを行うことで、外部への情報漏洩を防ぐことが可能となる効果がある。 According to the invention according to claim 10, when the authentication is successful in the authentication device Z, by performing a change of the erase and password of a user ID registered in the authenticated apparatus Y n, prevent information leakage to the outside There is an effect that becomes possible.
次に本発明を実施するための最良の形態(以下、単に「実施の形態」と称する)について説明する。ここでは、光ファイバー伝送路で構成されるPONシステムにおいて、認証装置は加入者線端局装置(OLT)であり、被認証装置Ynは加入者線終端装置(ONU)であり、OLTがONUの認証を行う実施の形態について説明する。なお、この実施の形態により本発明が限定されるものではない。 Next, the best mode for carrying out the present invention (hereinafter simply referred to as “embodiment”) will be described. Here, in a PON system configured with an optical fiber transmission line, the authentication device is a subscriber line terminal device (OLT), the device to be authenticated Y n is a subscriber line termination device (ONU), and the OLT is ONU. An embodiment for performing authentication will be described. In addition, this invention is not limited by this embodiment.
初めに、ユーザIDとパスワードの生成方法について説明する。図3に示すように、通信事業者が「ユニークな番号」と「サービスに関する情報」とからユーザIDを生成する。ここで「サービスに関する情報」とは、ユーザが利用する通信サービスの種類などを意図する。さらに前記ユーザIDとOLTの秘密情報とを用いて一方向性関数によりパスワード(p)を生成する。次に、生成した前記ユーザIDとパスワード(p)とを認証情報としてONUへ直接入力して登録する。 First, a method for generating a user ID and password will be described. As shown in FIG. 3, the communication carrier generates a user ID from a “unique number” and “information related to a service”. Here, “information about the service” intends the type of communication service used by the user. Further, a password (p) is generated by a one-way function using the user ID and the secret information of the OLT. Next, the generated user ID and password (p) are directly input to the ONU as authentication information and registered.
次に、ONUが光ファイバーに接続されOLTとの通信が開始されると、OLTはONUからユーザIDなどの認証情報を受信して認証を行い、認証が成功すると前記ユーザID から「ユ二ークな番号」と「サービスに関する情報」とを抽出してOLT内へ保存する。 Next, when the ONU is connected to the optical fiber and communication with the OLT is started, the OLT receives authentication information such as a user ID from the ONU and performs authentication. "No." and "Service information" are extracted and stored in the OLT.
次に、ONUの通信サービスが開始されるまでの仕組みについて説明する。図4に示すように、ONUが光ファイバーに接続された時にOLTはIEEE802.3ah標準のP2MP Discovery機能によりOLTとONUとの間にロジカルリンク(論理リンク)を自動的に張る形となる。この後、IEEE802.1X標準に従った認証シーケンスにより、ONUから送信される認証情報をOLTが受信して認証を行う。
認証が成功すると、OLTは認証したONUのLLID毎にSNI(Service Network Interface)のポートを開放し、上位ネットワークとの通信を許可するため、ONUは上位ネットワークとの通信ができるようになる。
認証が失敗すると、OLTは認証しなかったONUのLLID毎にSNIポートを開放せず、上位ネットワークとの通信を許可しないため、ONUは上位ネットワークとの通信ができないことになる。
Next, the mechanism until the ONU communication service is started will be described. As shown in FIG. 4, when the ONU is connected to the optical fiber, the OLT automatically establishes a logical link (logical link) between the OLT and the ONU by the IEEE 802.3ah standard P2MP Discovery function. Thereafter, the OLT receives the authentication information transmitted from the ONU and performs authentication by an authentication sequence according to the IEEE802.1X standard.
When the authentication is successful, the OLT opens the SNI (Service Network Interface) port for each authenticated ONU LLID and permits communication with the upper network, so that the ONU can communicate with the upper network.
If the authentication fails, the OLT does not open the SNI port for each LLID of the unauthenticated ONU and does not allow communication with the upper network, so the ONU cannot communicate with the upper network.
次に、認証装置(OLT)が被認証装置(ONU)の認証を行う方法の第1の例について説明する。図5に示すように、ユーザIDおよびOLTの秘密情報を用いて一方向性関数により生成されたパスワード(p)と前記ユーザIDとを認証情報としてONUに直接入力して登録するプロセスと、ONUが認証情報をOLTへ送信するプロセスと、OLTが受信した認証情報のユーザIDとOLTの秘密情報とを用いて一方向性関数によりパスワード(P)を生成するPW生成プロセスと、OLTには事前にユーザIDとパスワードとを登録することなくONUから受信した認証情報を基にしてONUに登録されたユーザIDおよびパスワード(p)が正しいか否かを判別する認証プロセスと、OLTが前記認証プロセスで判別した結果(成功/失敗)をONUへ通知するプロセスと、を有する。 Next, a first example of a method in which the authentication device (OLT) authenticates the device to be authenticated (ONU) will be described. As shown in FIG. 5, a process of directly inputting and registering the password (p) generated by a one-way function using the user ID and the secret information of the OLT and the user ID as authentication information into the ONU, Sends the authentication information to the OLT, a PW generation process that generates the password (P) by a one-way function using the user ID of the authentication information received by the OLT and the secret information of the OLT, and the OLT in advance An authentication process for determining whether or not the user ID and password (p) registered in the ONU are correct based on the authentication information received from the ONU without registering the user ID and password, and the OLT And a process for notifying the ONU of the result (success / failure) determined in (1).
すなわち、本実施例のプロセスは下記の順に実行される。
(1)通信事業者が「ユニークな番号」と「サービスに関する情報」とからユーザIDを生成し、さらに前記ユーザIDとOLTの秘密情報とを用いて一方向性関数によりパスワード(p)を生成した後、生成した前記ユーザIDとパスワード(p)とを認証情報としてONUへ直接入力して登録する。
(2)ONUが光ファイバーに接続された時にOLTはONUとの間にロジカルリンクを自動的に張った後、IEEE802.1X標準に従った認証シーケンスにより、ONUからユーザIDおよびパスワード(p) の認証情報をOLTへ送信する。
(3)PW生成プロセスでは、OLTが受信した認証情報のユーザIDとOLTの秘密情報とを用いて一方向性関数によりパスワード(P)を生成する。
(4)認証プロセスでは、PW生成プロセスで生成したパスワード(P)とOLTがONUから受信した認証情報のパスワード(p)とを比較し一致した場合に、ONUを認証する。すなわち、ONUへ登録されたユーザIDとパスワード(p)との間には一定の規則性があり、OLTはその規則性を知っているため、ONUから到達したユーザIDおよびOLTの秘密情報から一方向性関数によりパスワード(P)を内部生成し、パスワード(P)とONUから受け取ったパスワード(p)とを比較することによりONU認証を実施する。
(5)OLTが認証プロセスで判別した結果(成功/失敗)をONUへ通知する。図4で説明したように、認証が成功すると、OLTがONU開通を行うためONUは上位ネットワークとの通信ができるようになる。認証が失敗すると、OLTがONU開通を行わないためONUは上位ネットワークとの通信ができないことになる。
That is, the process of this embodiment is executed in the following order.
(1) A telecommunications carrier generates a user ID from a “unique number” and “information related to a service”, and further generates a password (p) by a one-way function using the user ID and OLT secret information. After that, the generated user ID and password (p) are directly input and registered as authentication information into the ONU.
(2) When the ONU is connected to the optical fiber, the OLT automatically establishes a logical link with the ONU, and then authenticates the user ID and password (p) from the ONU by an authentication sequence according to the IEEE802.1X standard. Send information to OLT.
(3) In the PW generation process, the password (P) is generated by a one-way function using the user ID of the authentication information received by the OLT and the secret information of the OLT.
(4) In the authentication process, when the password (P) generated in the PW generation process and the password (p) of the authentication information received from the ONU are compared and matched, the ONU is authenticated. That is, there is a certain regularity between the user ID registered in the ONU and the password (p), and since the OLT knows the regularity, it is determined from the user ID and the OLT secret information reached from the ONU. The password (P) is generated internally by the directionality function, and ONU authentication is performed by comparing the password (P) with the password (p) received from the ONU.
(5) Notify the ONU of the result (success / failure) determined by the OLT in the authentication process. As described with reference to FIG. 4, when the authentication is successful, the OLT opens the ONU, and the ONU can communicate with the upper network. If the authentication fails, the ONU cannot communicate with the upper network because the OLT does not open the ONU.
さらに前記認証プロセスにおいて認証が成功した場合に、OLTはONUから受信したユーザID から「ユ二ークな番号」と「サービスに関する情報」とを抽出してOLTへ設定するプロセスを有している。 Further, when the authentication is successful in the authentication process, the OLT has a process of extracting the “unique number” and “service information” from the user ID received from the ONU and setting them in the OLT. .
さらに前記認証プロセスにおいて認証が成功した場合に、ONUの保持するユーザIDを消去し、パスワード(p)を変更するプロセスを有している。すなわち、認証成功後、ONUに登録したユーザIDの消去とパスワードの変更とを行うことで、外部への情報漏洩を防ぐことができる。 Further, when the authentication is successful in the authentication process, there is a process of deleting the user ID held by the ONU and changing the password (p). In other words, after successful authentication, the user ID registered in the ONU is deleted and the password is changed, thereby preventing information leakage to the outside.
次に、認証装置(OLT)が被認証装置(ONU)の認証を行う方法の第2の例について説明する。図6に示すように、ユーザIDおよびOLTの秘密情報を用いて一方向性関数により生成されたパスワード(p)と前記ユーザIDとを認証情報としてONUに直接入力して登録するプロセスと、ONUが認証情報をOLTへ送信するプロセスと、OLTが受信した認証情報のユーザIDとOLTの秘密情報とを用いて一方向性関数によりパスワード(P)を生成するPW生成プロセスと、OLTが乱数(S)を生成し、乱数(S)とパスワード(P)とを用いて一方向性関数により計算値(A)を生成するプロセスと、OLTが乱数(S)をONUへ送信するプロセスと、ONUが受信した乱数(S)とONUに登録されたパスワード(p)とを用いて一方向性関数により計算値(a)を生成するプロセスと、ONUが計算値(a)をOLTへ送信するプロセスと、OLTが計算値(a)と計算値(A)を比較し一致した場合に、ONUを認証する認証プロセスと、OLTが前記認証プロセスで判別した結果(成功/失敗)をONUへ通知するプロセスと、を有する。 Next, a second example of a method in which the authentication device (OLT) authenticates the device to be authenticated (ONU) will be described. As shown in FIG. 6, a process for directly inputting and registering the password (p) generated by a one-way function using the user ID and the secret information of the OLT and the user ID as authentication information into the ONU, Sends the authentication information to the OLT, a PW generation process that generates a password (P) by a one-way function using the user ID of the authentication information received by the OLT and the secret information of the OLT, and the OLT is a random number ( S), a process for generating a calculated value (A) by a one-way function using a random number (S) and a password (P), a process for the OLT to send a random number (S) to ONU, and ONU The process of generating the calculated value (a) by the one-way function using the random number (S) received by the user and the password (p) registered in the ONU, and the process of sending the calculated value (a) to the OLT by the ONU And when the OLT compares the calculated value (a) and the calculated value (A) and matches, the authentication process for authenticating the ONU, and the OLT As a result of determination in testimony process (success / failure) has a process to notify the ONU, the.
すなわち、本実施例のプロセスは下記の順に実行される。
(1)通信事業者が「ユニークな番号」と「サービスに関する情報」とからユーザIDを生成し、さらに前記ユーザIDとOLTの秘密情報とを用いて一方向性関数によりパスワード(p)を生成した後、生成した前記ユーザIDとパスワード(p)とを認証情報としてONUへ直接入力して登録する。
(2)ONUが光ファイバーに接続された時にOLTはONUとの間にロジカルリンクを自動的に張った後、IEEE802.1X標準に従った認証シーケンスにより、ONUからユーザIDの認証情報をOLTへ送信する。
(3)PW生成プロセスでは、OLTが受信した認証情報のユーザIDとOLTの秘密情報とを用いて一方向性関数によりパスワード(P)を生成する。
(4)OLTが乱数(S)を生成し、乱数(S)とパスワード(P)とを用いて一方向性関数により計算値(A)を生成する。
(5)OLTが乱数(S)をONUへ送信する。
(6)ONUが受信した乱数(S)とONUに登録されたパスワード(p)とを用いて一方向性関数により計算値(a)を生成する。
(7)ONUが計算値(a)をOLTへ送信する。
(8)認証プロセスでは、OLTが計算値(a)と計算値(A)を比較し一致した場合に、ONUを認証する。すなわちONUへ登録されたユーザIDとパスワード(p)との間には一定の規則性があり、OLTはその規則性を知っているため、ONUから到達したユーザIDおよびOLTの秘密情報から一方向性関数によりパスワード(P)を内部生成し、パスワード(P)を用いて一方向性関数によりOLTが生成した計算値(A)とONUが生成した計算値(a)とを比較することによりONU認証を実施する。
(9)OLTが認証プロセスで判別した結果(成功/失敗)をONUへ通知する。図4で説明したように、認証が成功すると、OLTがONU開通を行うためONUは上位ネットワークとの通信ができるようになる。認証が失敗すると、OLTがONU開通を行わないためONUは上位ネットワークとの通信ができないことになる。
That is, the process of this embodiment is executed in the following order.
(1) A telecommunications carrier generates a user ID from a “unique number” and “information related to a service”, and further generates a password (p) by a one-way function using the user ID and OLT secret information. After that, the generated user ID and password (p) are directly input and registered as authentication information into the ONU.
(2) When the ONU is connected to the optical fiber, the OLT automatically establishes a logical link with the ONU, and then sends the user ID authentication information from the ONU to the OLT using an authentication sequence according to the IEEE802.1X standard. To do.
(3) In the PW generation process, the password (P) is generated by a one-way function using the user ID of the authentication information received by the OLT and the secret information of the OLT.
(4) The OLT generates a random number (S), and generates a calculated value (A) by a one-way function using the random number (S) and the password (P).
(5) The OLT sends a random number (S) to the ONU.
(6) A calculated value (a) is generated by a one-way function using the random number (S) received by the ONU and the password (p) registered in the ONU.
(7) The ONU sends the calculated value (a) to the OLT.
(8) In the authentication process, when the OLT compares the calculated value (a) with the calculated value (A) and matches, the ONU is authenticated. That is, there is a certain regularity between the user ID registered in the ONU and the password (p), and since the OLT knows the regularity, it is one-way from the user ID reached from the ONU and the secret information of the OLT. A password (P) is internally generated by the sex function, and the ONU is compared by comparing the calculated value (A) generated by the OLT with the one-way function using the password (P) and the calculated value (a) generated by the ONU. Perform authentication.
(9) Notify the ONU of the result (success / failure) determined by the OLT in the authentication process. As described with reference to FIG. 4, when the authentication is successful, the OLT opens the ONU, and the ONU can communicate with the upper network. If the authentication fails, the ONU cannot communicate with the upper network because the OLT does not open the ONU.
さらに前記認証プロセスにおいて認証が成功した場合に、OLTはONUから受信したユーザID から「ユ二ークな番号」と「サービスに関する情報」とを抽出してOLTへ設定するプロセスを有している。 Further, when the authentication is successful in the authentication process, the OLT has a process of extracting the “unique number” and “service information” from the user ID received from the ONU and setting them in the OLT. .
さらに前記認証プロセスにおいて認証が成功した場合に、ONUの保持するユーザIDを消去し、パスワード(p)を変更するプロセスを有している。すなわち、認証成功後、ONUに登録したユーザIDの消去とパスワードの変更とを行うことで、外部への情報漏洩を防ぐことができる。 Further, when the authentication is successful in the authentication process, there is a process of deleting the user ID held by the ONU and changing the password (p). In other words, after successful authentication, the user ID registered in the ONU is deleted and the password is changed, thereby preventing information leakage to the outside.
また図6の例では、ユーザIDおよびOLTの秘密情報から一方向性関数により生成したパスワードを、さらにハッシュ関数等の一方向性関数を用いて計算値を生成しているため、この計算値の情報からOLTの秘密情報を取り出すことは極めて困難であり、図5の例と比較して、高レベルのセキュリティを確保することができる。 Further, in the example of FIG. 6, since the password generated by the one-way function from the secret information of the user ID and the OLT is further generated using the one-way function such as a hash function, the calculated value is It is extremely difficult to extract the secret information of the OLT from the information, and a high level of security can be ensured as compared with the example of FIG.
上記で説明した図5および図6のPONシステムの認証方法は、ONUの認証に必要な情報をOLTへ入力することなく認証を行うことができるようになるメリットがある。すなわち、OLTは各ユーザのユーザIDおよびパスワードを事前に登録する必要がなく、通信事業者側でOLTヘユーザ毎のユニークな番号およびサービスに関する情報の事前登録も行わなくて済むことから開通作業の稼働削減、時間短縮などの効果が期待できる。また図5および図6は、IEEE802.1X標準でCHAPを用いた例であるが、IEEE802.1X標準の採用と、そのプロトコルの実装により複数の認証方法を1つのフレームワークで提供が可能となり、PAP、CHAP、TLSをはじめ,今後開発される認証プロトコルヘも対応可能である。 The PON system authentication method shown in FIGS. 5 and 6 described above has an advantage that authentication can be performed without inputting information necessary for ONU authentication to the OLT. In other words, OLT does not need to register each user's user ID and password in advance, and it is not necessary for the operator to pre-register information about unique numbers and services for each user on the OLT side. Effects such as reduction and time reduction can be expected. 5 and 6 are examples using CHAP in the IEEE802.1X standard. By adopting the IEEE802.1X standard and implementing its protocol, multiple authentication methods can be provided in one framework. PAP, CHAP, TLS and other authentication protocols that will be developed in the future are also supported.
次に、認証装置(OLT)の構成の第1の例について説明する。図7に示すように、認証装置Zは、被認証装置YnからユーザIDおよびパスワード(p) の認証情報を受信する認証情報受信部701と、被認証装置Ynから受信したユーザID と認証装置の秘密情報とを用いて一方向性関数によりパスワード(P)を生成するパスワード生成部702と、被認証装置Ynから受信したパスワード(p)とパスワード生成部702で生成したパスワード(P)とを比較することにより認証を行う認証部703と、認証部703で行った認証の結果を被認証装置Ynへ通知する通知部704とを備えている。
Next, a first example of the configuration of the authentication device (OLT) will be described. As shown in FIG. 7, the authentication device Z includes an authentication
また、認証部703において認証が成功した場合に被認証装置Ynより受信したユーザID からユ二ークな番号とサービスに関する情報とを抽出するサービス情報抽出部705と、サービス情報抽出部で抽出したユ二ークな番号とサービスに関する情報とを認証装置内へ設定する情報管理部706とを備えている。
In addition, when authentication is successful in the
認証情報受信部701は、被認証装置YnからユーザIDおよびパスワード(p) の認証情報を受信すると、ユーザIDの情報をパスワード生成部702へ引き渡し、パスワード(p) の情報を認証部703へ引き渡す。
Upon receiving the user ID and password (p) authentication information from the device to be authenticated Y n , the authentication
パスワード生成部702は、認証情報受信部701から受取ったユーザID と認証装置の秘密情報とを用いて一方向性関数によりパスワード(P)を生成した後、パスワード(P)を認証部703へ引き渡す。ここで被認証装置Ynから受信したユーザIDとパスワード(p)との間には一定の規則性があり、認証装置Zはその規則性を知っているため、一方向性関数によりパスワード(P)を内部生成することができる。
The
認証部703は、認証情報受信部701から受取ったパスワード(p)とパスワード生成部702で生成したパスワード(P)とを比較することにより認証を行う。一致している場合には「成功」、不一致の場合には「失敗」の情報をデータ送信部704へ引き渡す。また認証が成功した場合にはサービス情報抽出部705へ連絡する。
The
通知部704は、認証部703から受取った認証の結果(成功/失敗)を被認証装置Ynへ通知する。
The
サービス情報抽出部705は、被認証装置Ynより受信したユーザID からユ二ークな番号とサービスに関する情報とを抽出した後、それらの情報を情報管理部706へ引き渡す。ここでユーザID内にはサービスに関する情報が入っており、パスワードは認証装置Zの秘密情報とユーザIDを用いて一方向性関数で生成するため、認証成功時にユーザIDから抽出されるユニークな番号とサービスに関する情報を抽出できる。
Service
情報管理部706は、サービス情報抽出部705から受取ったユ二ークな番号とサービスに関する情報とを認証装置内へ設定する。ここでサービスに関する情報とは、ユーザに提供する通信サービスに関する情報などが含まれている。なおEPONシステムにおいては、通信サービスを提供してもよいONUと通信サービスを許可できないONUとを識別することが必要であり、OLTは認証が成功したONU毎に、ユーザIDより抽出する通信事業者とユーザが契約した通信サービスを行うことが可能となる。
The
次に、認証装置(OLT)の構成の第2の例について説明する。図8に示すように、認証装置Zは、被認証装置YnからユーザIDおよび計算値(a)の認証情報を受信する認証情報受信部801と、被認証装置Ynから受信したユーザID と認証装置の秘密情報とを用いて一方向性関数によりパスワード(P)を生成するパスワード生成部802と、乱数(S)を生成する乱数生成部803と、乱数(S)とパスワード(P)とを用いて一方向性関数により計算値(A)を生成する計算値生成部804と、乱数(S)を被認証装置Ynへ送信するデータ送信部805と、被認証装置Ynから受信した計算値(a)と計算値(A)とを比較することにより認証を行う認証部806と、認証部806で行った認証の結果を被認証装置Ynへ通知する通知部807とを備えている。
Next, a second example of the configuration of the authentication device (OLT) will be described. As shown in FIG. 8, the authentication device Z includes an authentication
また、認証部806において認証が成功した場合に被認証装置Ynより受信したユーザID からユ二ークな番号とサービスに関する情報とを抽出するサービス情報抽出部808と、サービス情報抽出部で抽出したユ二ークな番号とサービスに関する情報とを認証装置内へ設定する情報管理部809とを備えている。
Further, the service
認証情報受信部801は、被認証装置YnからユーザIDの認証情報を受信すると、ユーザIDの情報をパスワード生成部802へ引き渡すとともに、乱数生成部803へ指示する。
Authentication
パスワード生成部802は、認証情報受信部801から受取ったユーザID と認証装置の秘密情報とを用いて一方向性関数によりパスワード(P)を生成した後、パスワード(P)を計算値生成部804へ引き渡す。ここで被認証装置Ynから受信したユーザIDとパスワード(p)との間には一定の規則性があり、認証装置Zはその規則性を知っているため、一方向性関数によりパスワード(P)を内部生成することができる。
The
乱数生成部803は、乱数(S)を生成した後、乱数(S)の情報をデータ送信部805と計算値生成部804とへ引き渡す。
The random
計算値生成部804は、乱数生成部803から受取った乱数(S)と、パスワード生成部802から受取ったパスワード(P)とを用いて一方向性関数により計算値(A)を生成した後、計算値(A)の情報を認証部806へ引き渡す。
The calculation
データ送信部805は、乱数生成部803から受取った乱数(S)の情報を被認証装置Ynへ送信する。被認証装置Ynでは、乱数(S)を受信すると、乱数(S)とパスワード(p)とを用いて一方向性関数により計算値(a)を生成した後、計算値(a)を認証装置Zへ送信する。ここで計算値(a)はハッシュ関数等の一方向性関数を用いて生成されているため、この計算値の情報から秘密情報を取り出すことは極めて困難であり、高レベルのセキュリティを確保できる。
認証情報受信部801は、被認証装置Ynから計算値(a)を受信すると、計算値(a)の情報を認証部806へ引き渡す。
Authentication
認証部806は、認証情報受信部801から受取った計算値(a)と計算値生成部804から受取った計算値(A)とを比較することにより認証を行う。一致している場合には「成功」、不一致の場合には「失敗」の情報を通知部807へ引き渡す。また認証が成功した場合にはサービス情報抽出部808へ連絡する。
The
通知部807は、認証部806から受取った認証の結果(成功/失敗)を被認証装置Ynへ通知する。
The
サービス情報抽出部808は、被認証装置Ynより受信したユーザID からユ二ークな番号とサービスに関する情報とを抽出した後、それらの情報を情報管理部809へ引き渡す。ここでユーザID内にはサービスに関する情報が入っており、パスワードは認証装置Zの秘密情報とユーザIDを用いて一方向性関数で生成するため、認証成功時にユーザIDから抽出されるユニークな番号とサービスに関する情報を抽出できる。
Service
情報管理部809は、サービス情報抽出部808から受取ったユ二ークな番号とサービスに関する情報とを認証装置内へ設定する。ここでサービスに関する情報とは、ユーザに提供する通信サービスに関する情報などが含まれている。なおEPONシステムにおいては、通信サービスを提供してもよいONUと通信サービスを許可できないONUとを識別することが必要であり、OLTは認証が成功したONU毎に、ユーザIDより抽出する通信事業者とユーザが契約した通信サービスを行うことが可能となる。
The
次に、被認証装置(ONU)の構成の例について説明する。図9(a)に第1の例、図9(b)に第2の例を示す。 Next, an example of the configuration of the device to be authenticated (ONU) will be described. FIG. 9A shows a first example, and FIG. 9B shows a second example.
図9(a)に示す第1の例では、被認証装置Ynは、ユーザIDとパスワード(p)とを認証情報として直接入力して登録する認証情報登録部901と、ユーザIDおよびパスワード(p) の認証情報を認証装置Zへ送信するデータ送信部902と、認証装置Zから認証結果を受信する認証情報受信部903とを備えている。また、認証装置Zにおいて認証が成功した場合に認証装置Zからの指示により、前記認証情報登録部で登録したユーザIDを消去するデータ制御部904と、前記認証情報登録部で登録したパスワードを変更するパスワード更新部905とを備えている。
In the first example shown in FIG. 9A, the device to be authenticated Y n includes an authentication
認証情報登録部901は、ユーザIDとパスワード(p)とを認証情報として直接入力して登録する。ここでユーザIDについては通信事業者が「ユニークな番号」と「サービスに関する情報」とからユーザIDを生成する。「サービスに関する情報」とは、ユーザが利用する通信サービスの種類などである。またパスワード(p)についてはユーザIDと認証装置Zの秘密情報とを用いて一方向性関数によりパスワード(p)を生成する。
The authentication
データ送信部902は、認証情報登録部901で登録したユーザIDおよびパスワード(p) の認証情報を認証装置Zへ送信する。認証装置Zでは、ユーザIDおよびパスワード(p) の認証情報を受信すると、ユーザIDと認証装置Zの秘密情報とを用いて一方向性関数によりパスワード(P)を生成し、パスワード(p)とパスワード(P)とを比較することにより認証を行って、その認証結果(成功/失敗)を被認証装置Ynへ通知する。
The
認証情報受信部903は、認証装置Zから認証結果(成功/失敗)を受信する。EPONシステムにおいては、図4で説明したように、認証が成功すると、OLTがONU開通を行うためONUは上位ネットワークとの通信ができるようになる。認証が失敗すると、OLTがONU開通を行わないためONUは上位ネットワークとの通信ができないことになる。
The authentication
データ制御部904は、認証装置Zにおいて認証が成功した場合に認証装置Zからの指示を受けると、被認証装置Ynに登録されているユーザIDを消去する。
パスワード更新部905は、認証装置Zにおいて認証が成功した場合に認証装置Zからの指示を受けると、被認証装置Ynに登録されているパスワードを変更する。すなわち、認証が成功した後、被認証装置Ynに直接入力したユーザIDの消去とパスワードの変更を行い、外部への情報漏洩を防いでいる。
図9(b)に示す第2の例では、被認証装置Ynは、ユーザIDとパスワード(p)とを認証情報として直接入力して登録する認証情報登録部901と、ユーザIDおよび計算値(a)の認証情報を認証装置Zへ送信するデータ送信部902と、認証装置Zから受信した乱数(S)と認証情報登録部901で登録されたパスワード(p)とを用いて一方向性関数により計算値(a)を生成する計算値生成部906と、認証装置Zから認証結果を受信する認証情報受信部903とを備えている。また、認証装置Zにおいて認証が成功した場合に認証装置Zからの指示により、前記認証情報登録部で登録したユーザIDを消去するデータ制御部904と、前記認証情報登録部で登録したパスワードを変更するパスワード更新部905とを備えている。
In the second example shown in FIG. 9B, the device to be authenticated Y n includes an authentication
認証情報登録部901は、ユーザIDとパスワード(p)とを認証情報として直接入力して登録する。ここでユーザIDについては通信事業者が「ユニークな番号」と「サービスに関する情報」とからユーザIDを生成する。「サービスに関する情報」とは、ユーザが利用する通信サービスの種類などである。またパスワード(p)についてはユーザIDと認証装置Zの秘密情報とを用いて一方向性関数によりパスワード(p)を生成する。
The authentication
データ送信部902は、認証情報登録部901で登録したユーザIDの認証情報を認証装置Zへ送信する。認証装置Zでは、ユーザIDの認証情報を受信すると、乱数(S)を生成し、乱数(S)を被認証装置Ynへ送信する。さらにユーザIDと認証装置Zの秘密情報とを用いて一方向性関数によりパスワード(P)を生成し、乱数(S)とパスワード(P)とを用いて一方向性関数により計算値(A)を生成する。
The
認証情報受信部903は、認証装置Zから乱数(S)を受信すると、乱数(S)を計算値生成部906へ引き渡す。
When receiving the random number (S) from the authentication device Z, the authentication
計算値生成部906は、認証情報受信部903から受取った乱数(S)と認証情報登録部901で登録されたパスワード(p)とを用いて一方向性関数により計算値(a)を生成した後、計算値(a)をデータ送信部902へ引き渡す。データ送信部902では、計算値(a)を認証装置Zへ送信する。
The calculated
認証情報受信部903は、認証装置Zから認証結果(成功/失敗)を受信する。EPONシステムにおいては、図4で説明したように、認証が成功すると、OLTがONU開通を行うためONUは上位ネットワークとの通信ができるようになる。認証が失敗すると、OLTがONU開通を行わないためONUは上位ネットワークとの通信ができないことになる。
The authentication
データ制御部904は、認証装置Zにおいて認証が成功した場合に認証装置Zからの指示を受けると、被認証装置Ynに登録されているユーザIDを消去する。
パスワード更新部905は、認証装置Zにおいて認証が成功した場合に認証装置Zからの指示を受けると、被認証装置Ynに登録されているパスワードを変更する。すなわち、認証が成功した後、被認証装置Ynに直接入力したユーザIDの消去とパスワードの変更を行い、外部への情報漏洩を防いでいる。
701 認証情報受信部
702 パスワード生成部
703 認証部
704 通知部
705 サービス情報抽出部
706 情報管理部
801 認証情報受信部
802 パスワード生成部
803 乱数生成部
804 計算値生成部
805 データ送信部
806 認証部
807 通知部
808 サービス情報抽出部
809 情報管理部
901 認証情報登録部
902 データ送信部
903 認証情報受信部
904 データ制御部
905 パスワード更新部
906 計算値生成部
701 Authentication
Claims (10)
A data control unit that deletes the user ID registered in the authentication information registration unit and a password update that changes the password registered in the authentication information registration unit according to an instruction from the authentication device Z when authentication is successful in the authentication device Z The device to be authenticated according to claim 9, further comprising: an authentication unit.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006202094A JP4905935B2 (en) | 2006-07-25 | 2006-07-25 | Authentication method in network system, authentication device, and device to be authenticated |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006202094A JP4905935B2 (en) | 2006-07-25 | 2006-07-25 | Authentication method in network system, authentication device, and device to be authenticated |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008028922A true JP2008028922A (en) | 2008-02-07 |
| JP4905935B2 JP4905935B2 (en) | 2012-03-28 |
Family
ID=39119079
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006202094A Active JP4905935B2 (en) | 2006-07-25 | 2006-07-25 | Authentication method in network system, authentication device, and device to be authenticated |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4905935B2 (en) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010031269A1 (en) * | 2008-09-18 | 2010-03-25 | 华为技术有限公司 | Method, system and device for realizing the user side terminal obtains a password |
| JP2010183506A (en) * | 2009-02-09 | 2010-08-19 | Nippon Telegr & Teleph Corp <Ntt> | Multicast communication system, routing apparatus, authentication server device, routing apparatus program, authentication server device program, and routing method and authentication method |
| WO2010109871A1 (en) * | 2009-03-26 | 2010-09-30 | 日本電気株式会社 | Method of authenticating and connecting an optical communication device in an optical communication network |
| WO2011017848A1 (en) * | 2009-08-14 | 2011-02-17 | 华为技术有限公司 | Authentication method and apparatus for passive optical network device |
| CN102970072A (en) * | 2012-12-24 | 2013-03-13 | 上海斐讯数据通信技术有限公司 | Method for judging device authentication state |
| JP2018133649A (en) * | 2017-02-14 | 2018-08-23 | ソフトバンク株式会社 | Optical line management device, optical line management method, and optical line management program |
| JP2018170578A (en) * | 2017-03-29 | 2018-11-01 | 沖電気工業株式会社 | Subscriber side terminating equipment, station side terminating equipment, communication system, program of subscriber side terminating equipment, and program of station side terminating equipment |
| JP2022545879A (en) * | 2019-09-11 | 2022-11-01 | 中興通訊股▲ふん▼有限公司 | Service setting method and device |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05323874A (en) * | 1992-05-25 | 1993-12-07 | Mitsubishi Electric Corp | Certification system |
| JP2002259344A (en) * | 2001-02-28 | 2002-09-13 | Mitsubishi Electric Corp | One-time password authentication system, portable telephone and user identification server |
| JP2004318598A (en) * | 2003-04-17 | 2004-11-11 | Ntt Docomo Inc | Service providing system and communication device |
| JP2004318442A (en) * | 2003-04-15 | 2004-11-11 | Vodafone Kk | Authentication support method and its system |
| JP2005276099A (en) * | 2004-03-26 | 2005-10-06 | Fujitsu Ltd | Unauthorized use preventing program, recording medium for the same, and unauthorized use preventing system |
| JP2006139347A (en) * | 2004-11-10 | 2006-06-01 | Konica Minolta Business Technologies Inc | Management device, method, and program |
-
2006
- 2006-07-25 JP JP2006202094A patent/JP4905935B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05323874A (en) * | 1992-05-25 | 1993-12-07 | Mitsubishi Electric Corp | Certification system |
| JP2002259344A (en) * | 2001-02-28 | 2002-09-13 | Mitsubishi Electric Corp | One-time password authentication system, portable telephone and user identification server |
| JP2004318442A (en) * | 2003-04-15 | 2004-11-11 | Vodafone Kk | Authentication support method and its system |
| JP2004318598A (en) * | 2003-04-17 | 2004-11-11 | Ntt Docomo Inc | Service providing system and communication device |
| JP2005276099A (en) * | 2004-03-26 | 2005-10-06 | Fujitsu Ltd | Unauthorized use preventing program, recording medium for the same, and unauthorized use preventing system |
| JP2006139347A (en) * | 2004-11-10 | 2006-06-01 | Konica Minolta Business Technologies Inc | Management device, method, and program |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010031269A1 (en) * | 2008-09-18 | 2010-03-25 | 华为技术有限公司 | Method, system and device for realizing the user side terminal obtains a password |
| JP2010183506A (en) * | 2009-02-09 | 2010-08-19 | Nippon Telegr & Teleph Corp <Ntt> | Multicast communication system, routing apparatus, authentication server device, routing apparatus program, authentication server device program, and routing method and authentication method |
| WO2010109871A1 (en) * | 2009-03-26 | 2010-09-30 | 日本電気株式会社 | Method of authenticating and connecting an optical communication device in an optical communication network |
| WO2011017848A1 (en) * | 2009-08-14 | 2011-02-17 | 华为技术有限公司 | Authentication method and apparatus for passive optical network device |
| CN102970072A (en) * | 2012-12-24 | 2013-03-13 | 上海斐讯数据通信技术有限公司 | Method for judging device authentication state |
| CN102970072B (en) * | 2012-12-24 | 2016-12-28 | 上海斐讯数据通信技术有限公司 | A kind of method judging device authentication state |
| JP2018133649A (en) * | 2017-02-14 | 2018-08-23 | ソフトバンク株式会社 | Optical line management device, optical line management method, and optical line management program |
| JP2018170578A (en) * | 2017-03-29 | 2018-11-01 | 沖電気工業株式会社 | Subscriber side terminating equipment, station side terminating equipment, communication system, program of subscriber side terminating equipment, and program of station side terminating equipment |
| JP2022545879A (en) * | 2019-09-11 | 2022-11-01 | 中興通訊股▲ふん▼有限公司 | Service setting method and device |
| JP7314403B2 (en) | 2019-09-11 | 2023-07-25 | 中興通訊股▲ふん▼有限公司 | Service setting method and device |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4905935B2 (en) | 2012-03-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4905935B2 (en) | Authentication method in network system, authentication device, and device to be authenticated | |
| EP2426866B1 (en) | Method and apparatus for authentication in passive optical network and passive optical network thereof | |
| JP5366108B2 (en) | Passive optical network security enhancement based on optical network terminator management control interface | |
| JP3844762B2 (en) | Authentication method and authentication apparatus in EPON | |
| EP2007063A1 (en) | A user authentication method, apparatus and system for passive optical network | |
| JP4786423B2 (en) | Communication system and intra-station device | |
| CN104584478B (en) | Terminal authentication method, apparatus and system in passive optical network | |
| CN103731764B (en) | PON system ONU authentication and authorization platform and authentication and authorization method | |
| CN101127598B (en) | A method and system for 802.1x authentication in passive optical network | |
| CN110460371B (en) | Optical resource checking method and system | |
| EP2717513A1 (en) | Method, optical network device, and system for acquiring association relationship between pon ports | |
| WO2011127731A1 (en) | Registration activation method and system for optical network unit | |
| WO2013104987A1 (en) | Method for authenticating identity of onu in gpon network | |
| WO2010031269A1 (en) | Method, system and device for realizing the user side terminal obtains a password | |
| CN102571353B (en) | The method of verifying legitimacy of home gateway in passive optical network | |
| JP7299541B2 (en) | Service initiation method and communication system | |
| CN102170421A (en) | Method and system for realizing mixed authentication | |
| CN113014554B (en) | Automatic switching method and system for internet surfing channels, ONU (optical network Unit) equipment and OLT (optical line terminal) equipment | |
| CN109495321A (en) | A method of automatically configuring ONU | |
| EP2666259B1 (en) | Service activation in a passive optical network (pon) | |
| CN112929387A (en) | Broadband network multiple authentication and encryption method applied to intelligent community | |
| CN111526107B (en) | Network equipment authentication method, device and storage medium | |
| CN111885436A (en) | Distribution network automatic communication system based on EPON technology | |
| WO2017077760A1 (en) | Station-side device, information management device, terminal authentication method and information management method | |
| JP2011130251A (en) | Geopon system and communication setting method of novel subscriber-side terminal |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080723 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111012 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111209 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120104 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120105 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150120 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4905935 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |