JP2009033557A - ネットワークアクセスシステムおよびネットワークアクセス方法 - Google Patents
ネットワークアクセスシステムおよびネットワークアクセス方法 Download PDFInfo
- Publication number
- JP2009033557A JP2009033557A JP2007196305A JP2007196305A JP2009033557A JP 2009033557 A JP2009033557 A JP 2009033557A JP 2007196305 A JP2007196305 A JP 2007196305A JP 2007196305 A JP2007196305 A JP 2007196305A JP 2009033557 A JP2009033557 A JP 2009033557A
- Authority
- JP
- Japan
- Prior art keywords
- home gateway
- control server
- monitoring control
- gateway device
- network access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】
従来、正式な宅内ゲートウェイ装置のMACアドレスが許可された後で、許可されたMACアドレスを詐称した不正な端末に置き換えられた場合、不正な端末で網側にアクセスすることが可能になるという問題があった。
【解決手段】
本発明は、配下のネットワークアクセスシステムのリンク状態を監視し、リンクダウン制御を行う監視制御サーバと、下位装置に接続されるポートのリンクダウンを検出して、前記監視制御サーバにリンクダウン通知を行う回線終端装置と、前記回線終端装置に直接またはハブを介して接続される宅内ゲートウェイ装置とを備えるアクセスシステムにおいて、前記監視制御サーバは、前記宅内ゲートウェイ装置に所定時間毎にリンクダウン指示を与えることを特徴とする。
【選択図】 図4
従来、正式な宅内ゲートウェイ装置のMACアドレスが許可された後で、許可されたMACアドレスを詐称した不正な端末に置き換えられた場合、不正な端末で網側にアクセスすることが可能になるという問題があった。
【解決手段】
本発明は、配下のネットワークアクセスシステムのリンク状態を監視し、リンクダウン制御を行う監視制御サーバと、下位装置に接続されるポートのリンクダウンを検出して、前記監視制御サーバにリンクダウン通知を行う回線終端装置と、前記回線終端装置に直接またはハブを介して接続される宅内ゲートウェイ装置とを備えるアクセスシステムにおいて、前記監視制御サーバは、前記宅内ゲートウェイ装置に所定時間毎にリンクダウン指示を与えることを特徴とする。
【選択図】 図4
Description
本発明は、ネットワークアクセス技術に関し、特に回線終端装置の下位に取り付けられる端末機器を認証し、認証した端末以外の機器による不正アクセスを防止するネットワークアクセスシステムおよびネットワークアクセス方法に関する。
ブロードバンドインターネットサービスにおいて、最近はIP電話が普及してきている。IP電話は、音質向上のために、IP電話の音声を送るVoIP(Voice over IP)データに高い優先度を付与して網側でQoS(Quality of Service)を提供し、音声の遅延やロスを抑えるような仕組みになっている。ところが、このような仕組みを悪用すると、優先すべきでない通常のインターネットデータなどに高い優先度を付与して送り、回線を優先的に使用することが可能になってしまう。その結果、本来、優先されるべきIP電話の音声データなどが圧迫されてしまうという問題が生じる。そこで、IP電話サービスの不正利用を防止する技術として、IP電話アダプタのMACアドレスをユーザIDから特定される接続装置から取得して確認することにより不正利用を防止する技術が検討されている(例えば、特許文献1参照)。
また、ネットワークのアクセス認証方法として、回線終端装置に宅内ゲートウェイ装置のみを接続可能とするための方法として、最初に機器固有の証明書を用いて上位側のスイッチでIEEE802.1x認証などにより機器認証を行い、認証された宅内ゲートウェイ装置のMACアドレスだけを透過するように設定する方法が知られている(例えば、非特許文献1参照)。
特開2006−217194号公報
「FUJITSU ACCESS REVIEW Vol.13 No.1」(p45-51)
従来の不正アクセス防止方法は、回線事業者がユーザ認証やアドレスフィルタリングなどを用いるもので、これらは主にユーザ(契約者)を認証したり、通信するユーザを特定するものである。従って、接続する機器をユーザが自由に選択して使用できる場合、これらの端末機器でユーザが優先すべきでない通常のインターネットデータなどに高い優先度を付与してデータを送信することが可能になってしまう。
また、認証された端末のMACアドレスだけを透過するようにした不正アクセス防止方法では、一旦、正式な宅内ゲートウェイ装置のMACアドレスが許可された後で、許可されたMACアドレスを詐称した不正な端末に置き換えられた場合、不正な端末で網側にアクセスすることが可能になるという問題がある。
上記課題に鑑み、本発明の目的は、MACアドレスが詐称された場合でも、不正アクセスを防止できるネットワークアクセスシステムおよびネットワークアクセス方法を提供することである。
請求項1に係るネットワークアクセスシステムは、配下のネットワークアクセスシステムのリンク状態を監視し、リンクダウン制御を行う監視制御サーバと、下位装置に接続されるポートのリンクダウンを検出して、前記監視制御サーバにリンクダウン通知を行う回線終端装置と、前記回線終端装置に直接またはハブを介して接続される宅内ゲートウェイ装置とを備えるアクセスシステムにおいて、前記監視制御サーバは、前記宅内ゲートウェイ装置に所定時間毎にリンクダウン指示を与えることを特徴とする。
請求項2に係るネットワークアクセスシステムは、請求項1に記載のネットワークアクセスシステムにおいて、前記宅内ゲートウェイ装置は、通信中に前記監視制御サーバからのリンクダウン指示を受けた場合は通信中を示す通信中通知を前記監視制御サーバに行い、非通信中に前記監視制御サーバからのリンクダウン指示を受けた場合は上位装置に接続されるポートを切断することを特徴とする。
請求項3に係るネットワークアクセスシステムは、請求項1または2に記載のネットワークアクセスシステムにおいて、前記監視制御サーバは、前記宅内ゲートウェイ装置への前記リンクダウン指示後、所定時間内に前記リンクダウン通知または前記通信中通知を受信しない場合は、前記宅内ゲートウェイ装置を配下に接続するポートを閉塞するよう前記回線終端装置に指示を与えることを特徴とする。
請求項4に係るネットワークアクセスシステムは、請求項1から3のいずれか一項に記載のネットワークアクセスシステムにおいて、機器固有の証明書を用いて前記宅内ゲートウェイ装置の機器認証を行う認証サーバを設け、前記宅内ゲートウェイ装置は、前記監視制御サーバからのリンクダウン指示により上位装置に接続されるポートを切断した場合は、所定時間経過後に前記認証サーバと再認証を行うことを特徴とする。
請求項5に係るネットワークアクセス方法は、監視制御サーバと、回線終端装置と、宅内ゲートウェイ装置とを備えるネットワークアクセスシステムのネットワークアクセス方法において、前記監視制御サーバから前記宅内ゲートウェイ装置に所定時間毎にリンクダウン指示を与え、前記回線終端装置の下位装置に接続されるポートのリンクダウンを検出して、前記回線終端装置から前記監視制御サーバにリンクダウン通知を行い、前記宅内ゲートウェイ装置が通信中に前記監視制御サーバからのリンクダウン指示を受けた場合は通信中を示す通信中通知を前記監視制御サーバに行い、前記宅内ゲートウェイ装置が非通信中に前記監視制御サーバからのリンクダウン指示を受けた場合は上位装置に接続されるポートを切断することを特徴とする。
請求項6に係るネットワークアクセス方法は、請求項5に記載のネットワークアクセス方法において、前記監視制御サーバから前記宅内ゲートウェイ装置にリンクダウン指示後、所定時間内に前記リンクダウン通知または通信中通知を前記監視制御サーバが受信しない場合は、前記宅内ゲートウェイ装置を接続する前記回線終端装置のポートを閉塞するよう前記監視制御サーバから前記回線終端装置に指示を与えることを特徴とする。
請求項7に係るネットワークアクセス方法は、請求項5または6に記載のネットワークアクセス方法において、前記宅内ゲートウェイ装置が前記監視制御サーバからのリンクダウン指示により上位装置に接続されるポートを切断した場合は、所定時間経過後に、機器固有の証明書を用いて前記宅内ゲートウェイ装置の機器認証を行う認証サーバと再認証を行うことを特徴とする。
本発明では、監視制御サーバは宅内ゲートウェイ装置に所定時間毎にリンクダウン指示を与えるので、不正な装置が連続して接続されることを防止することができる。特に、宅内ゲートウェイ装置が通信中の場合は通信中通知を監視制御サーバに返すことにより、通信が途切れることを防止することができる。また、回線終端装置と宅内ゲートウェイ装置との間にハブなどのネットワーク機器が接続された場合でも、リンクダウン通知や通信中通知の有無により、不正に接続された装置のリンクを確実に閉塞することができる。さらに、監視制御サーバからのリンクダウン指示により上位装置に接続されるポートを切断した場合でも、所定時間経過後に認証サーバと再認証を行うことにより、不正な端末を排除し、正常な端末だけを継続して接続することが可能になる。
(第1の実施形態)
図1は、本発明に係る「ネットワークアクセスシステムおよびネットワークアクセス方法」のネットワークシステム全体の構成を示している。図1は、IP網(インターネット網)101に接続するL3SW(レイヤ3スイッチ)102を中心に描いてある。L3SW102には、DHCPサーバ103,SNMP(Simple Network Management Protocol)による監視制御サーバ104,アカウンティング管理を行うRADIUS(Remote Authentication Dial-In User Service)サーバ105などが接続されている。尚、本実施形態では、ユーザ宅内にアカウンティング機能を有する宅内ゲートウェイ装置を設置することでネットワークシステムのアカウンティング管理を実現する。
図1は、本発明に係る「ネットワークアクセスシステムおよびネットワークアクセス方法」のネットワークシステム全体の構成を示している。図1は、IP網(インターネット網)101に接続するL3SW(レイヤ3スイッチ)102を中心に描いてある。L3SW102には、DHCPサーバ103,SNMP(Simple Network Management Protocol)による監視制御サーバ104,アカウンティング管理を行うRADIUS(Remote Authentication Dial-In User Service)サーバ105などが接続されている。尚、本実施形態では、ユーザ宅内にアカウンティング機能を有する宅内ゲートウェイ装置を設置することでネットワークシステムのアカウンティング管理を実現する。
L3SW102の配下には、レイヤ2のスイッチやVLAN制御,QoS制御などを行う認証SW106〜108が接続され、認証SW106〜108の下には、集線装置109〜111が接続されている。これらの集線装置109〜111は、光ファイバー網の場合はOLT(Optical Line Terminal)が接続され、ADSL(Asymmetric Digital Subscriber Line)の場合はDSLAM(Digital Subscriber Line Access Multiplexer)が接続され、あるいはCATVやその他の通信網の集線装置が接続される。
さらに、集線装置109の下には、加入者宅側の回線終端装置112〜114が接続される。また、集線装置110の下には回線終端装置115、集線装置111の下には回線終端装置116がそれぞれ接続される。これらの回線終端装置112〜116は、対応する集線装置がOLTの場合はONU(Optical Network Unit)、対応する集線装置がDSLAMの場合はADSLモデム、対応する集線装置がCATVなどの場合はそれに対応する回線終端装置がそれぞれ接続される。
加入者宅側の各回線終端装置には、宅内ゲートウェイ装置117〜119が接続される。宅内ゲートウェイ装置117〜119は、複数のパソコンを接続するためのブロードバンドルータ機能,IP電話機を接続するためのVoIPアダプタ機能を持ち、加入者宅内で使用されるPC120および122や、IP電話機121および123などの通信は、この宅内ゲートウェイ装置117〜119を介して行われる。また、宅内ゲートウェイ装置117〜119は、ブロードバンドルータ機能,VoIPアダプタ機能を持ち、宅内のLAN側はプライベートアドレスで管理し、宅外のWAN側はDHCPサーバ103からグローバルアドレスを取得して接続する。
認証SW106〜108は、IEEE802.1xに準拠した認証を行って、配下の宅内ゲートウェイ装置117〜119を認証する。例えば、認証SW106は、宅内ゲートウェイ装置117から送られてくるIDやパスワードおよび機器固有の証明書などをRADIUSサーバ105に問い合わせる。RADIUSサーバ105は、予めエントリーされているIDやパスワードおよび機器固有の証明書と一致した場合は正式に登録された装置であることを認証SW106に返す。認証SW106が宅内ゲートウェイ装置117を認証すると、宅内ゲートウェイ装置117のMACアドレスを許可し、当該MACアドレスが付加されたパケットを透過する。尚、認証されなかった場合は、当該MACアドレスが付加されたパケットは透過されず、通信を行うことができない。以降、認証SW106は、宅内ゲートウェイ装置117から送られてくるパケットのMACアドレスを見て、パケットを通すか否かを判断する。従って、回線終端装置112に接続されている宅内ゲートウェイ装置117をMACアドレスが異なる別の装置に置き換えて不正に通信しようとしても、MACアドレスが異なるため通信することができない。
次に、不正端末がMACアドレスを詐称した場合について説明する。例えば、図2(a)に示すように、宅内ゲートウェイ装置117のMACアドレスがmac_aの時、認証SW106は集線装置109を介して送られてくるパケットのMACアドレスがmac_aの場合は、当該パケットを上位のネットワークに通す。ところが、宅内ゲートウェイ装置117がIEEE802.1xに基づいて認証された後、図2(b)に示すように、MACアドレスをmac_aに書き換えた不正端末117bを宅内ゲートウェイ装置117に置き換えて回線終端装置112に接続すると、不正端末117bから集線装置109を介して認証SW106に送られてくるパケットのMACアドレスは認証済みのmac_aなので、MACアドレスしかチェックしない認証SW106は当該パケットを上位のネットワークに通してしまう。
或いは、図3(a)に示すように、回線終端装置112の下にHUB(ネットワーク集線装置)124を介して、宅内ゲートウェイ装置117を接続している場合、同じHUB124に宅内ゲートウェイ装置117と同じMACアドレスを詐称した不正端末117bを接続すると、回線終端装置112および集線装置109を介して認証SW106に不正端末117bからのパケットが送られ、MACアドレスのmac_aは認証済みなので、認証SW106は当該パケットを上位のネットワークに通してしまう。例えば、図3(b)に示すように、宅内ゲートウェイ装置117を外した後でも不正端末117bは通信を継続することができる。
そこで、本実施形態では、監視制御サーバ104を設けて、宅内ゲートウェイ装置117のリンク制御を行うことにより、図2や図3で説明したような不正端末117bがMACアドレスを詐称して認証SW106を介して上位のネットワークに接続されることを防止する。
次に、不正アクセスを防止するための本実施形態に係るネットワークアクセス方法について詳しく説明する。図4は、図1のネットワークアクセスシステムで行われるシーケンスを示した図である。既に認証SW106は、配下の宅内ゲートウェイ装置117〜119をIEEE802.1xに基づいて認証済みで、宅内ゲートウェイ装置117〜119のMACアドレスmac_a,mac_b,mac_cが付加されたパケットは上位のネットワークに送られる。一方、既にDHCPサーバ103からIPアドレスの払い出しも行われ、宅内ゲートウェイ装置117〜119のMACアドレスmac_a,mac_b,mac_cに対応するIPアドレスip_a,ip_b,ip_cを記したIP払出テーブルT1がDHCPサーバ103で作成されている。また、集線装置109は、配下の回線終端装置112〜114に接続される回線(LINE)と、回線終端装置112〜114に接続される宅内ゲートウェイ装置117〜119のMACアドレスとを対応させたMAC学習情報テーブルT2を作成している。尚、図4の各テーブルでは、集線装置109をip_OLT01と称している。また、回線終端装置112をline_1−1,回線終端装置113をline_1−2,回線終端装置114をline_1−3と称し、MAC学習情報テーブルT2において、それぞれの配下の宅内ゲートウェイ装置117〜119のMACアドレスmac_a,mac_b,mac_cに対応付けられている。
次に、監視制御サーバ104の動作について説明する。先ず、監視制御サーバ104は、DHCPサーバ103にIP払出テーブルT1を要求し、IP払出テーブルT1を取得する。一方、監視制御サーバ104は、集線装置109にMAC学習情報テーブルT2を要求し、MAC学習情報テーブルT2を取得する。さらに、監視制御サーバ104は、取得したIP払出テーブルT1とMAC学習情報テーブルT2とを統合して、各集線装置を構成するOLTやMC(Media Convertor)毎にLINE・MAC・IP対応テーブルT3を作成する。例えば、対応テーブルT3において、集線装置109を示すip_OLT01の欄には、回線終端装置112〜114を示す回線(LINE)名:line_1−1,line_1−2,line_1−3に対応させて、MACアドレス:mac_a,mac_b,mac_c、およびIPアドレスip_a,ip_b,ip_cが対応付けられている。
このようにして、監視制御サーバ104は、集線装置109の配下の回線終端装置112〜114のそれぞれに接続されている宅内ゲートウェイ装置117〜119のMACアドレスとIPアドレスを把握することができる。尚、監視制御サーバ104は、定期的にDHCPサーバ105のIP払出テーブルT1と各アクセス機器のMAC学習テーブルT2を取得し、回線とMACアドレスとIPアドレスとを対応付けるテーブルT3を更新する。
次に、回線終端装置112と宅内ゲートウェイ装置117との間にHUB124が接続されていない場合且つ宅内ゲートウェイ装置117が非通信中の場合の動作について、図4を用いて説明する。図4において、監視制御サーバ104が宅内ゲートウェイ装置117にリンクダウン指示を送出すると、リンクダウン指示を受け取った宅内ゲートウェイ装置117は回線終端装置112とのリンクを切断する。回線終端装置112は宅内ゲートウェイ装置117が接続されているポートのリンクダウンを検出し、リンクダウンしたことを監視制御サーバ104にTrap通知(SNMPの通信プロトコル)する(リンクダウン通知)。
尚、リンクダウン後、所定時間を経てからIEEE802.1x認証を行って、リンクを自動復旧させても構わない。また、Trap通知を用いず、独自のプロトコルでリンクダウン通知を行っても構わない。
次に、回線終端装置112と宅内ゲートウェイ装置117との間にHUB124が接続されていない場合且つ宅内ゲートウェイ装置117が通信中の場合の動作について、図5を用いて説明する。尚、監視制御サーバ104が宅内ゲートウェイ装置117にリンクダウン指示を送出するところまでは、図4と同じなので重複する説明は省略する。もし宅内ゲートウェイ装置117が通信中に、監視制御サーバ104からリンクダウン指示を受け取った場合、通信中であることを示す応答メッセージを監視制御サーバ104に返答する(通信中通知)。これを受けた監視制御サーバ104は、所定時間経過後に再び宅内ゲートウェイ装置117にリンクダウン指示を送出する。宅内ゲートウェイ装置117の通信が終了した時に、監視制御サーバ104からリンクダウン指示を受け取ると、図4と同様にリンクを切断し、回線終端装置112がリンクダウンを検出して監視制御サーバ104にリンクダウン通知を送出する。
このように、通信中の宅内ゲートウェイ装置117は、通信の途中で切断されることを防止できる。尚、不正端末が通信し続けることを防止するために、監視制御サーバ104は、所定回数のリンクダウン指示を送出しても、通信中の応答メッセージを受け取った場合は、回線終端装置112に強制的にリンクを閉塞する指示を与えるようにしても構わない。
また、リンクダウンした宅内ゲートウェイ装置117は、リンクダウン後に所定時間が経過した後で、IEEE802.1x認証を行って、リンクを自動復旧するようにしても構わない。尚、不正端末117bの場合は再認証できないので通信を再開することができない。
次に、回線終端装置112と宅内ゲートウェイ装置117との間にHUB124が設置されている場合且つ宅内ゲートウェイ装置117が非通信中の場合の動作について、図6を用いて説明する。尚、監視制御サーバ104が宅内ゲートウェイ装置117にリンクダウン指示を送出するところまでは、図4と同じなので重複する説明は省略する。監視制御サーバ104が宅内ゲートウェイ装置117にリンクダウン指示を送出すると、リンクダウン指示を受け取った宅内ゲートウェイ装置117はHUB124とのリンクを切断する。ところが、回線終端装置112と宅内ゲートウェイ装置117との間にHUB124が配置されているので、回線終端装置112は宅内ゲートウェイ装置117のリンクダウンを検知することができない。この結果、監視制御サーバ104は、回線終端装置112からのリンクダウン通知も宅内ゲートウェイ装置117からの通信中を示す応答メッセージも受け取ることができない。そこで、監視制御サーバ104は、所定時間待機しても何ら応答がない場合は、IPアドレスと回線とを対応付けたテーブルT3から宅内ゲートウェイ装置117が収容されている回線終端装置112に対して、当該の回線の宅内ゲートウェイ装置117側、つまりHUB124側のインタフェースに強制的にリンクを閉塞する指示を与える。これを受けた回線終端装置112は、HUB124側のポートを切断する。このようにして、不正通信を防止することができる。
例えば、図3(a)の場合は、監視制御サーバ104からリンクダウン指示によって宅内ゲートウェイ装置117がリンクを切断しても、宅内ゲートウェイ装置117とHUB124とのリンクが切断されるだけなので、回線終端装置112は宅内ゲートウェイ装置117のリンクダウンを検知することができない。この結果、宅内ゲートウェイ装置117がリンクダウン後に不正端末117bが宅内ゲートウェイ装置117に成り済まして不正な通信を継続することが可能になる。ところが、本実施形態の監視制御サーバ104は、回線終端装置112からのリンクダウン通知も宅内ゲートウェイ装置117からの通信中を示す応答メッセージも無い場合は、回線終端装置112に強制的なリンク閉塞指示を与えるので、回線終端装置112とHUB124とのリンクが切断され、宅内ゲートウェイ装置117に成り済ましていた不正端末117bの通信が切断される。
次に、回線終端装置112と宅内ゲートウェイ装置117との間にHUB124が設置されている場合且つ宅内ゲートウェイ装置117が通信中の場合の動作について、図7を用いて説明する。尚、監視制御サーバ104が宅内ゲートウェイ装置117にリンクダウン指示を送出するところまでは、図4と同じなので重複する説明は省略する。もし宅内ゲートウェイ装置117が通信中に、監視制御サーバ104からリンクダウン指示を受け取った場合、通信中であることを示す応答メッセージを監視制御サーバ104に返答する。これを受けた監視制御サーバ104は、所定時間経過後に再び宅内ゲートウェイ装置117にリンクダウン指示を送出する。ここまでは図5の場合と同様である。宅内ゲートウェイ装置117の通信が終了した時に、監視制御サーバ104からリンクダウン指示を受け取ると、宅内ゲートウェイ装置117はHUB124とのリンクを切断するが、回線終端装置112はHUB124と接続された状態なので、宅内ゲートウェイ装置117のリンクダウンを検出することができない。この場合は、図6と同様に、監視制御サーバ104は、所定時間待機後に、強制的に回線終端装置112にリンク閉塞指示を与え、回線終端装置112は、HUB124側のポートを切断する。
このように、通信中の宅内ゲートウェイ装置117は、通信の途中で切断されることを防止できる。さらに、回線終端装置112からのリンクダウン通知も宅内ゲートウェイ装置117からの通信中を示す応答メッセージも無い場合は、回線終端装置112に強制的なリンク閉塞指示を与えるので、回線終端装置112とHUB124とのリンクが切断され、宅内ゲートウェイ装置117に成り済ましていた不正端末117bの通信が切断される。尚、図5の場合と同様に、不正端末が通信し続けることを防止するために、監視制御サーバ104は、所定回数のリンクダウン指示を送出しても、通信中の応答メッセージを受け取った場合は、回線終端装置112に強制的にリンクを閉塞する指示を与えるようにしても構わない。
上記の説明では、認証SW106と回線終端装置112と宅内ゲートウェイ装置117の場合について説明したが、認証SW107,108、回線終端装置113,116、宅内ゲートウェイ装置118,119についても同様に動作する。この時、監視制御サーバ104は、IP払出テーブルT1上のIPアドレスに向けて順にリンクダウン指示を送る。例えば、当該の回線のリンクダウン通知(Trap通知)を受信すれば実施済みとしてIP払出テーブルT1上の次の装置に進み、同様にリンクダウン指示を行う。もし通信中の応答があった場合は、未実施のまま次の装置に進んで一巡後に再度試みる。もしリンクダウン通知や通信中の応答メッセージがない場合は、IPアドレスと回線とを対応付けたテーブルT1から当該の宅内ゲートウェイ装置が収容されている回線終端装置に対して、当該回線の宅内ゲートウェイ装置側のインタフェースを強制的に閉塞させる指示を出し、IPアドレスと回線とを対応付けたテーブルT1から当該回線を削除する。尚、応答がない場合に、直ぐに閉塞するのではなく、オペレータの画面に通知し、オペレータがユーザに状況を確認できるようにしても構わない。
このように、第1の実施形態に係る「ネットワークアクセスシステムおよびネットワークアクセス方法」は、監視制御サーバ104は、例えば宅内ゲートウェイ装置117に所定時間毎にリンクダウン指示を与えるので、宅内ゲートウェイ装置117のMACアドレスを詐称した不正端末117bが接続されることを防止できる。特に、宅内ゲートウェイ装置117が通信中の場合は通信中通知を監視制御サーバ104に返すことにより、通信が途切れることを防止できる。また、回線終端装置112と宅内ゲートウェイ装置117との間にHUB124などのネットワーク機器が接続された場合でも、監視制御サーバ104はリンクダウン通知や通信中通知の有無により、不正端末117bのリンクを確実に閉塞することができる。さらに、監視制御サーバ104からのリンクダウン指示により宅内ゲートウェイ装置117がHUB124など上位装置に接続されるポートを切断した場合でも、所定時間経過後に認証SW106と再認証を行うことにより、不正な端末を排除し、正常な端末だけを継続して接続することが可能になる。
特に、本実施形態のネットワークアクセスシステムを実現するために、アクセス網を構成する装置に要求される機能は、回線終端装置112の宅内側のリンクダウンを監視制御サーバ104に通知することと、監視制御サーバ104からのリンクダウン指示に従って回線終端装置112の宅内側インタフェースを閉塞することだけであり、回線終端装置112を構成するADSLやメディアコンバータ、FEPON、GEPON、VDSLなど多種類のアクセス機器が混在する近年のアクセスインフラでも容易に対応することができる。また、定期的にリンクダウン指示を行う局側の監視制御サーバ104の機能も複雑なものではなく、通信中応答を行う宅内ゲートウェイ装置117の機能も、これらの機器に組み込まれているインターネット接続のための自動設定やファームの自動更新などのアプリケーションに組み入れることで容易に実現することができる。
101・・・IP網
102・・・L3SW
103・・・DHCPサーバ
104・・・監視制御サーバ
105・・・RADIUSサーバ
106〜108・・・認証SW
109〜111・・・集線装置
112〜116・・・回線終端装置
117〜119・・・宅内ゲートウェイ装置
120,122・・・PC
121,123・・・IP電話機
124・・・HUB
102・・・L3SW
103・・・DHCPサーバ
104・・・監視制御サーバ
105・・・RADIUSサーバ
106〜108・・・認証SW
109〜111・・・集線装置
112〜116・・・回線終端装置
117〜119・・・宅内ゲートウェイ装置
120,122・・・PC
121,123・・・IP電話機
124・・・HUB
Claims (7)
- 配下のネットワークアクセスシステムのリンク状態を監視し、リンクダウン制御を行う監視制御サーバと、
下位装置に接続されるポートのリンクダウンを検出して、前記監視制御サーバにリンクダウン通知を行う回線終端装置と、
前記回線終端装置に直接またはハブを介して接続される宅内ゲートウェイ装置と
を備えるアクセスシステムにおいて、
前記監視制御サーバは、前記宅内ゲートウェイ装置に所定時間毎にリンクダウン指示を与えることを特徴とするネットワークアクセスシステム。 - 請求項1に記載のネットワークアクセスシステムにおいて、
前記宅内ゲートウェイ装置は、通信中に前記監視制御サーバからのリンクダウン指示を受けた場合は通信中を示す通信中通知を前記監視制御サーバに行い、非通信中に前記監視制御サーバからのリンクダウン指示を受けた場合は上位装置に接続されるポートを切断する
ことを特徴とするネットワークアクセスシステム。 - 請求項1または2に記載のネットワークアクセスシステムにおいて、
前記監視制御サーバは、前記宅内ゲートウェイ装置への前記リンクダウン指示後、所定時間内に前記リンクダウン通知または前記通信中通知を受信しない場合は、前記宅内ゲートウェイ装置を配下に接続するポートを閉塞するよう前記回線終端装置に指示を与えることを特徴とするネットワークアクセスシステム。 - 請求項1から3のいずれか一項に記載のネットワークアクセスシステムにおいて、
機器固有の証明書を用いて前記宅内ゲートウェイ装置の機器認証を行う認証サーバを設け、
前記宅内ゲートウェイ装置は、前記監視制御サーバからのリンクダウン指示により上位装置に接続されるポートを切断した場合は、所定時間経過後に前記認証サーバと再認証を行う
ことを特徴とするネットワークアクセスシステム。 - 監視制御サーバと、回線終端装置と、宅内ゲートウェイ装置とを備えるネットワークアクセスシステムのネットワークアクセス方法において、
前記監視制御サーバから前記宅内ゲートウェイ装置に所定時間毎にリンクダウン指示を与え、
前記回線終端装置の下位装置に接続されるポートのリンクダウンを検出して、前記回線終端装置から前記監視制御サーバにリンクダウン通知を行い、
前記宅内ゲートウェイ装置が通信中に前記監視制御サーバからのリンクダウン指示を受けた場合は通信中を示す通信中通知を前記監視制御サーバに行い、前記宅内ゲートウェイ装置が非通信中に前記監視制御サーバからのリンクダウン指示を受けた場合は上位装置に接続されるポートを切断する
ことを特徴とするネットワークアクセス方法。 - 請求項5に記載のネットワークアクセス方法において、
前記監視制御サーバから前記宅内ゲートウェイ装置にリンクダウン指示後、所定時間内に前記リンクダウン通知または通信中通知を前記監視制御サーバが受信しない場合は、前記宅内ゲートウェイ装置を接続する前記回線終端装置のポートを閉塞するよう前記監視制御サーバから前記回線終端装置に指示を与える
ことを特徴とするネットワークアクセス方法。 - 請求項5または6に記載のネットワークアクセス方法において、
前記宅内ゲートウェイ装置が前記監視制御サーバからのリンクダウン指示により上位装置に接続されるポートを切断した場合は、所定時間経過後に、機器固有の証明書を用いて前記宅内ゲートウェイ装置の機器認証を行う認証サーバと再認証を行う
ことを特徴とするネットワークアクセス方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007196305A JP2009033557A (ja) | 2007-07-27 | 2007-07-27 | ネットワークアクセスシステムおよびネットワークアクセス方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007196305A JP2009033557A (ja) | 2007-07-27 | 2007-07-27 | ネットワークアクセスシステムおよびネットワークアクセス方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009033557A true JP2009033557A (ja) | 2009-02-12 |
Family
ID=40403547
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007196305A Withdrawn JP2009033557A (ja) | 2007-07-27 | 2007-07-27 | ネットワークアクセスシステムおよびネットワークアクセス方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2009033557A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010131288A1 (ja) * | 2009-05-11 | 2010-11-18 | 富士通株式会社 | ノード装置および通信方法 |
| JP2017204697A (ja) * | 2016-05-10 | 2017-11-16 | エイチ・シー・ネットワークス株式会社 | ネットワークシステムおよびサーバ装置 |
| JP2018196100A (ja) * | 2017-05-19 | 2018-12-06 | 阿部 浩 | 仮想交換システム |
| JP2020098976A (ja) * | 2018-12-17 | 2020-06-25 | 住友電気工業株式会社 | Ponシステム、制御方法、局側装置、及び宅側装置 |
-
2007
- 2007-07-27 JP JP2007196305A patent/JP2009033557A/ja not_active Withdrawn
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010131288A1 (ja) * | 2009-05-11 | 2010-11-18 | 富士通株式会社 | ノード装置および通信方法 |
| CN102415054A (zh) * | 2009-05-11 | 2012-04-11 | 富士通株式会社 | 节点装置和通信方法 |
| JP5299508B2 (ja) * | 2009-05-11 | 2013-09-25 | 富士通株式会社 | ノード装置および通信方法 |
| RU2502203C2 (ru) * | 2009-05-11 | 2013-12-20 | Фудзицу Лимитед | Узловое устройство и способ связи |
| US8672566B2 (en) | 2009-05-11 | 2014-03-18 | Fujitsu Limited | Node apparatus and communication method |
| JP2017204697A (ja) * | 2016-05-10 | 2017-11-16 | エイチ・シー・ネットワークス株式会社 | ネットワークシステムおよびサーバ装置 |
| JP2018196100A (ja) * | 2017-05-19 | 2018-12-06 | 阿部 浩 | 仮想交換システム |
| JP2020098976A (ja) * | 2018-12-17 | 2020-06-25 | 住友電気工業株式会社 | Ponシステム、制御方法、局側装置、及び宅側装置 |
| JP7147540B2 (ja) | 2018-12-17 | 2022-10-05 | 住友電気工業株式会社 | Ponシステム、制御方法、局側装置、及び宅側装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10749749B2 (en) | Automatic configuration of a wireless residential access network | |
| US7808978B2 (en) | Voice over internet protocol (VoIP) telephone apparatus and communication system for carrying VoIP traffic | |
| US8312275B2 (en) | Network device authentication | |
| US20080225749A1 (en) | Auto-configuration of a network device | |
| EP1686726B1 (en) | Minimum intervention authentication in heterogeneous network | |
| US9065684B2 (en) | IP phone terminal, server, authenticating apparatus, communication system, communication method, and recording medium | |
| EP2425646A1 (en) | Network access nodes | |
| WO2007033567A1 (fr) | Systeme et procede de traitement de defaut de liaison du dispositif d'acces large bande | |
| US20170272302A1 (en) | Method and system for service preparation of a residential network access device | |
| US8370917B1 (en) | Security bridging | |
| WO2016197782A2 (zh) | 一种服务端口管理的方法、装置和计算机可读存储介质 | |
| JP3803669B2 (ja) | ネットワーク接続システムおよびネットワーク接続方法 | |
| JP2009033557A (ja) | ネットワークアクセスシステムおよびネットワークアクセス方法 | |
| US8495371B2 (en) | Network device authentication | |
| JP2007226620A (ja) | 宅内ゲートウェイ装置およびネットワークシステムのアカウンティング管理方式 | |
| JP2008042735A (ja) | Macアドレス学習機能の管理方法及びネットワーク機器 | |
| Cisco | Software Enhancements for the Cisco 800 Routers and SOHO Routers | |
| Cisco | Chap 3: Operations | |
| JP2010268356A (ja) | ゲートウェイ装置、中継方法、中継プログラム及び記録媒体 | |
| US20050216589A1 (en) | System and method for indicating network connectivity and access to an information service offering | |
| Headquarters | Cisco Unified SIP Phone 3905 Administration Guide for Cisco Unified Communications Manager 10.0 | |
| JP2004350090A (ja) | インタフェース装置 | |
| JP4451362B2 (ja) | ネットワーク認証システム | |
| JP3990371B2 (ja) | ブロードバンド対応通信機器の自動設定システムおよび方法 | |
| JP5723836B2 (ja) | 回線終端装置、遠隔管理システム、遠隔管理方法および遠隔管理プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20101005 |