JP2013175835A - 光通信ネットワークシステム、子局通信装置、親局通信装置、及び制御方法 - Google Patents

光通信ネットワークシステム、子局通信装置、親局通信装置、及び制御方法 Download PDF

Info

Publication number
JP2013175835A
JP2013175835A JP2012037929A JP2012037929A JP2013175835A JP 2013175835 A JP2013175835 A JP 2013175835A JP 2012037929 A JP2012037929 A JP 2012037929A JP 2012037929 A JP2012037929 A JP 2012037929A JP 2013175835 A JP2013175835 A JP 2013175835A
Authority
JP
Japan
Prior art keywords
connection authentication
station communication
communication device
authentication processing
slave station
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2012037929A
Other languages
English (en)
Inventor
Kenji Maruyama
兼司 丸山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
OF Networks Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
OF Networks Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd, OF Networks Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2012037929A priority Critical patent/JP2013175835A/ja
Publication of JP2013175835A publication Critical patent/JP2013175835A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

【課題】 親局通信装置と子局通信装置との間で接続断が発生した場合に、復旧時間をより短くする。
【解決手段】 本発明は、子局通信装置とPONにより接続している親局通信装置とを備える光通信ネットワークシステムに関する。そして、親局通信装置は、PONに接続してきた子局通信装置に対して接続認証処理を行う手段と、接続認証が成功した子局通信装置の情報を保持する手段とを備え、保持した認証結果に情報に基づいて子局通信装置に対する接続認証処理の要否を判定し、接続認証処理が不要と判定した子局通信装置については接続認証処理を省略することを特徴とする。そして、子局通信装置は、当該子局通信装置の親局通信装置への接続時に、親局通信装置から接続認証処理を受けるものであって、親局通信装置で接続認証処理が不要と判定される場合には接続認証を受ける処理を行わない手段を備えることを特徴とする。
【選択図】 図1

Description

この発明は、光通信ネットワークシステム、子局通信装置、親局通信装置、及び制御方法に関し、例えば、PON(Passive Optical Network)等の光通信ネットワークシステムに適用することができる。
一般的に、従来のGE−PONシステム(Gigabit Ethernet PON)では、OLT(親局通信装置;Optical Line Terminal)の配下にn台(Nは1以上の整数)のONU(子局通信装置;Optical Network Unit)が、分岐された光ファイバにより接続される構成(1:nの接続構成)となっている。
GE−PONにおけるOLTとONUとの間の通信に関しては、IEEE802.3ahにより標準化されている。
そして、従来のIEEE802.3ahで規定されたGE−PONでは、通信初期に、OLTにより、GE−PON上(光ファイバ上)のONUを検索するMPCP Discoveryの処理が行われる。そして、OLTでは、検出した各ONUのOAM(Operation Administration and Maintenance)のサポート状況等を確認するOAM Discoveryの処理が行われる。さらに、OLTでは、検出したONUが保持する情報(例えば、例えば、ハードウエア種別情報、ハードウエアバージョン、ファームウエアバージョン、MACアドレス等)が取得される。
そして、従来のOLTで、IEEE802.1Xを用いた接続認証の処理に対応している場合、各ONUとの間でIEEE802.1Xに基づく通信を行い、認証成功したONUとのみ主信号導通を行うことが可能になる。
従来のGE−PONを用いた通信システムにおいて、各ノード(OLT又はONU)やGE−PON区間で障害が発生し、ONUとOLTの間で通信断の状態となると、MPCP及びOAMのリンクが切断される。そして、ONUとOLTとの間の障害が復旧すると上述の接続シーケンス(MPCPによるリンク、OAMによるリンク、及び接続認証処理等)が再度行われることになる。なお、以下では、OLTとONUの間で、通信断が発生してから主信号導通が再開するまでの時間を「復旧時間」と呼ぶものとする。
通信断が発生している間は、ONUの配下のユーザネットワークに接続する端末は、通信キャリア側(OLT側)と接続したサービスが受けられなくなることから、上述の復旧時間は可能な限り短いことが望ましい。そして、従来のGE−PONにおいて、復旧時間を短縮する技術として、特許文献1の記載技術がある。
特許文献1の記載技術では、MPCPの通信でもちいられるLLIDとは異なる識別番号(局側識別番号及び加入者側識別番号)を用いて、OLTから各ONUの通信設定等の制御を行うことで、復旧時間を短くすることについて記載されている。
特開2011−130251号公報
しかしながら、特許文献1の記載技術では、OLTから、GE−PON上の各ONUに対する通信設定を行うシーケンスについては時間短縮することができるのみで、その他のシーケンス(例えば、上述の接続認証処理等)についてまで時間短縮することができなかった。
そのため、親局通信装置と子局通信装置との間で接続断が発生した場合に、復旧時間をより短くすることができる光通信ネットワークシステム、子局通信装置、親局通信装置、及び制御方法が望まれている。
第1の本発明は、1又は複数の子局通信装置と、それぞれの上記子局通信装置とPONにより接続している親局通信装置とを備える光通信ネットワークシステムにおいて、(1)上記親局通信装置は、(1−1)上記PONに接続してきた上記子局通信装置に対して接続認証処理を行う接続認証処理手段と、(1−2)少なくとも上記接続認証処理手段で接続認証が成功した上記子局通信装置の情報を保持する接続認証結果保持手段とを備え、(1−3)上記接続認証処理手段は、上記接続認証結果保持手段で保持している内容に基づいて、上記子局通信装置に対する接続認証処理の要否を判定し、接続認証処理が不要と判定した上記子局通信装置については接続認証処理を省略し、(2)それぞれの上記子局通信装置は、当該子局通信装置の上記親局通信装置への接続時に、上記親局通信装置から接続認証処理を受けるものであって、上記親局通信装置で接続認証処理が不要と判定される場合には、上記親局通信装置への接続認証を受ける処理を行わない接続認証依頼手段を備えることを特徴とする。
第2の本発明は、1又は複数の子局通信装置のそれぞれとPONにより接続することが可能な親局通信装置において、(1)上記PONに接続してきた上記子局通信装置に対して接続認証処理を行う接続認証処理手段と、(2)少なくとも上記接続認証処理手段で接続認証が成功した上記子局通信装置の情報を保持する接続認証結果保持手段と、(3)上記接続認証処理手段は、上記接続認証結果保持手段で保持している内容に基づいて、上記子局通信装置に対する接続認証処理の要否を判定し、接続認証処理が不要と判定した上記子局通信装置については接続認証処理を省略することを特徴とする。
第3の本発明は、親局通信装置とPONにより接続することが可能な子局通信装置において、当該子局通信装置の上記親局通信装置への接続時に、上記親局通信装置から接続認証処理を受けるものであって、上記親局通信装置で接続認証処理が不要と判定される場合には、上記親局通信装置への接続認証を受ける処理を行わない接続認証依頼手段を備えることを特徴とする。
第4の本発明は、1又は複数の子局通信装置と、それぞれの上記子局通信装置とPONにより接続している親局通信装置とを備える光通信ネットワークシステムにおける通信制御方法において、(1)上記親局通信装置が、上記PONに接続してきた上記子局通信装置に対して接続認証処理を行う接続認証処理工程と、(2)上記親局通信装置が、少なくとも上記接続認証処理工程で接続認証が成功した上記子局通信装置の情報を保持する接続認証結果保持工程とを有し、(3)上記接続認証処理工程では、上記親局通信装置が、上記接続認証結果保持工程で保持した内容に基づいて、上記子局通信装置に対する接続認証処理の要否を判定し、接続認証処理が不要と判定した上記子局通信装置については接続認証処理を省略し、(4)それぞれの上記子局通信装置が、当該子局通信装置の上記親局通信装置への接続時に、上記親局通信装置から接続認証処理を受けるものであって、上記親局通信装置で接続認証処理が不要と判定される場合には、上記親局通信装置への接続認証を受ける処理を行わない接続認証依頼工程をさらに有することを特徴とする。
本発明によれば、親局通信装置と子局通信装置との間で接続断が発生した場合に、復旧時間をより短くすることができる。
実施形態に係るONU及びOLTの機能的構成について示したブロック図である。 実施形態に係る光通信ネットワークシステムの全体構成について示したブロック図である。 実施形態に係るOLTが備える認証済アドレステーブルの構成例について示した説明図である。 実施形態に係るONUが備えるデータ記憶部で記憶されるデータ構成例について示した説明図である。 実施形態に係る光通信ネットワークシステムの動作について示したシーケンス図(その1)である。 実施形態に係る光通信ネットワークシステムの動作について示したシーケンス図(その2)である。 実施形態に係るOLTで行われるMACアドレス認証の動作について示したフローチャートである。
(A)主たる実施形態
以下、本発明による光通信ネットワークシステム、子局通信装置、親局通信装置、及び制御方法の一実施形態を、図面を参照しながら詳述する。この実施形態の子局通信装置、親局通信装置は、それぞれONU、OLTである。
(A−1)実施形態の構成
図2は、この実施形態の光通信ネットワークシステム1の全体構成を示すブロック図である。
光通信ネットワークシステム1には、OLT10(親局通信装置)及び、N個のONU20(20−1〜20−N)(子局通信装置)が配置されている。
図1は、この実施形態の光通信ネットワークシステム1を構成するOLT10及びONU20の機能的構成について示したブロック図である。
OLT10と各ONU20との間は、光スプリッタ30(複数分岐としても良い)により分岐された光ファイバ40で接続されている。すなわち、OLT10と各ONU20によりPON(IEEE802.3ahの技術を利用したGE−PONシステム)が形成されている。
OLT10は、上位側ネットワーク(親局側ネットワーク)としてのコアネットワークCNと接続している。なお、OLT10がコアネットワークCNに接続する構成は限定されないものである。一方、それぞれのONU20の配下には、下位側ネットワーク(子局側ネットワーク)としてのユーザネットワークUNが接続されている。すなわち、それぞれのONU20は、配下のユーザネットワークUNを構成する通信装置(例えば、ルータ、スイッチ装置、コンピュータ等の通信装置)と接続している。なお、ONU20自体に、ユーザネットワークUNを構成するためのルータやスイッチを搭載するようにしても良い。ユーザネットワークUN内部の構成について限定されないものであり、例えば、1台の端末だけで構成されたものであっても良い。
次に、OLT10の内部構成について説明する。
OLT10は、PON送受信部110、フレーム処理部120、ブリッジ部130、NNI部140、及び制御処理部150を有している。
PON送受信部110は、OLT10で、GE−PON側(光ファイバ40)と接続するためのインタフェースの機能を担っている。なお、PON送受信部110については、例えば、既存のGE−PONを構成するOLTと同様のものを適用することができる。
NNI部140は、OLT10で、コアネットワークCN(上位側ネットワーク)と接続するためのインタフェースの機能を担っている。NNI部140としては、例えば、既存のイーサネット(登録商標)のインタフェース(例えば、ギガビットイーサネットや10GE等のインタフェースを適用することができる)。
フレーム処理部120は、PON送受信部110とブリッジ部130との間に介在し、OLT10が送受信するMACフレームのデータ処理を行うものである。フレーム処理部120は、制御処理部150等の上位層で生成されたGE−PON側(各ONU20)への送信データにMACアドレス等のMACヘッダ(イーサネットヘッダ)を付与して、MACフレーム(イーサネットフレーム)を生成し、生成したMACフレームに必要に応じて暗号化処理を施してPON送受信部110に供給してPON上に送出させる。また、フレーム処理部120は、GE−PON側(各ONU20)からPON送受信部110が受信した信号(光信号から電気信号に変換された信号)を解読してMACフレームを取得し、取得したMACフレームをブリッジ部130又はフレーム処理部120に供給する。
この実施形態では、フレーム処理部120は、下り信号のMACフレームについては暗号化処理を施して各ONU20に送出するものとする。GE−PONでは1つの伝送路(1本の光ファイバを分岐した伝送路)を複数のONUで共有することになるため、特に下り信号については、複数のONUに到達することになる。したがって、セキュリティ上、少なくとも下り信号についてはOLTから暗号化してGE−PON上に送出することが望ましい。フレーム処理部120が下り信号について用いる暗号化方式は限定されないものであるが、例えば、AES(Advanced Encryption Standard)の方式を適用することができる。なお、フレーム処理部120において暗号化に用いられる暗号キーについては、ONU20ごとに異なるものを用いる必要がある。このような暗号化通信に用いる暗号キーの交換については、OAM処理部151により各ONU20との間で行われる。そして、フレーム処理部120では、ONU20ごと(LLIDごと)に対応する暗号キーの情報がセットされ、下り信号の暗号化処理に適用されることになる。なお、OLT10とONU20との間で行われる暗号化通信を行う構成は上述の例に限定されないものであり、既存のOLTで適用される種々の暗号化処理の構成を適用することができる。また、OLT10とONU20との間で、下り信号だけでなく上り信号についても暗号化処理を施すようにしてもよい。
フレーム処理部120は、受信したMACフレームが主信号に関するものである場合には、当該MACフレームをNNI部140側(ブリッジ部130)に供給し、受信したMACフレームが、制御処理部150で処理されるMACフレーム(以下、「制御フレーム」と呼ぶ)であった場合には、当該MACフレームを、制御処理部150(制御処理部150を構成するいずれかの処理構成)に供給する。
ブリッジ部130は、フレーム処理部120とNNI部140との間のMACフレームの通信制御等を行うものである。例えば、ブリッジ部130は、フレーム処理部120又はNNI部140から供給されたMACフレームについて当該MACフレームのヘッダ情報に基づいて転送する処理等を行う。具体的には、ブリッジ部130は、フレーム処理部120から供給されたMACフレームを、NNI部140に転送し、NNI部140から供給されたMACフレームをフレーム処理部120に供給する。
制御処理部150は、ONU20等と制御フレームを送受信して通信制御等を行うものであり、OAM処理部151、MPCP処理部152、アドレス認証処理部153、接続認証処理部154、認証済アドレス管理部155、及び照合処理部156を有している。
MPCP処理部152は、MPCP(Multi−point MAC Control)に従って、各ONU20との間の論理的接続構成等を制御する機能を担っており、具体的には、LLID等の識別子を用いたフレーム単位の信号送受信制御等の処理を行う。MPCP処理部152は、新規にGE−PONに接続してきたONU20を検出する処理や、検出したONU20に対してLLID(論理リンクID)を付与し、各ONU20の上り光信号の送出タイミングを制御する処理等を行う。
OAM処理部151は、各ONU20とOAMフレームの送受信を行い、光通信ネットワークシステム1内の保守、管理及び監視等を行う。OAM処理部151は、例えば、各ONU20との間の通信断の監視、及び、各ONU20との間でのループバック試験の制御等を行う。さらに、OAM処理部151は、各ONU20に対する通信設定や、各種通知等の制御を行う。
アドレス認証処理部153は、OAM処理部151により各ONU20から取得された、MACアドレスと当該MACアドレスに対応するパスワードとに基づいて、各ONUに対する認証処理(以下、「MACアドレス認証」と呼ぶ)を行う。アドレス認証処理部153が行うMACアドレス認証については、例えば、既存のGE−PONで用いられるONUと同様の処理を適用することができる。なお、OLT10では、アドレス認証処理部153について省略するようにしてもよい。
接続認証処理部154及び照合処理部156は協働して、各ONU20に対して、IEEE802.1Xで定義されたプロトコルに従った接続認証処理(以下、「接続認証処理」と呼ぶものとする)を行う。
接続認証処理部154は、各ONU20とEAP(Extended authentication protocol)に従ってメッセージ(EAPメッセージ)の送受信を行い、各ONU20に対する接続認証処理を行う。この実施形態では、接続認証処理部154及び照合処理部156は、接続認証処理の方式として、EAP−MD5(EAP-Message digest alogorithm 5)に基づいた処理を行うものとして説明するが、その他の処理方式(IEEE802.1Xに従ったその他の処理方式)を適用するようにしてもよい。
接続認証処理部154は、ONU20から受信したEAPメッセージを、照合処理部156に転送し、照合処理部156から供給されたEAPメッセージを宛先のONU20へ送信する。そして、照合処理部156は、接続認証処理部154を介して各ONU20とEAPメッセージの送受信を行い、各ONU20から受信したEAPメッセージの内容を認証データベースのデータと照合する処理を行う。そして、照合処理部156は、その照合処理に応じた認証結果を含むEAPメッセージを各ONU20に送信する。照合処理部156が対応する認証方式については限定されないものであるが、例えば、既存の接続認証処理で用いられるRADIUS(Remote Authentication Dial In User Service)に対応するサーバと同様の処理を適用することができる。この実施形態では、照合処理部156はOLT10内部に配置されているものとして説明するが、外部(例えば、コアネットワークCN等)に配置してネットワーク経由で接続するようにしてもよい。
そして、接続認証処理が成功したONU20についてのみ当該OLT10を介してコアネットワークCNへ接続することが可能となるものとする。例えば、接続認証処理が成功したONU20を送信元とするMACフレームのみが、フレーム処理部120を通過してブリッジ部130に到達可能とし、接続認証が成功していないONU20を送信元とするMACフレームについては、フレーム処理部120で遮断(フィルタリング)される構成としてもよい。
認証済アドレス管理部155は、接続認証済のONU20のMACアドレス(接続認証が成功したMACアドレス)を管理している。具体的には、認証済アドレス管理部155は、図3に示すように、接続認証済みのMACアドレスをテーブル(以下、「認証済アドレステーブル」と呼ぶ)により管理している。認証済アドレステーブルは、アドレス認証処理部153により、ONU20との接続認証処理結果に応じて更新される。
認証済アドレステーブルを構成する「登録MACアドレス」の項目は、当該ONU20のMACアドレスを示している。この実施形態では、説明を簡易とするために各ONU20のMACアドレスはMAC1、MAC2、…、MACNという表記を行うものとするが、実際には48ビットのMACアドレスのデータが登録されることになる。例えばONU20−1のMACアドレスはMAC1、ONU20−2のMACアドレスはMAC2であるものとする。したがって、図3に示す認証済アドレステーブルでは、ONU20−1のMACアドレス(MAC1)と、ONU20−2のMACアドレス(MAC2)のみが登録されている様子を示している。
なお、この実施形態では、認証済アドレステーブルに、認証済アドレステーブルにおいて接続認証処理が成功したONU20に関する情報のみを登録するようにしているが、ONU20ごとに識別番号を付与して、接続認証の状況管理(例えば、認証済又は未認証の管理を行う)を行うようにしてもよい。
そして、OLT10では、認証済アドレス管理部155で管理される認証済アドレステーブルの内容は、フレーム処理部120によるフィルタリングの処理にも反映されるものとする。すなわち、フレーム処理部120では、認証済アドレステーブルに登録されているMACアドレスの主信号のみを導通(ブリッジ部130側に供給)させるように動作するものとする。なお、フレーム処理部120でフィルタリングに用いるテーブルについては、フレーム処理部120側で別途保持するようにしてもよい。ただし、その場合でも、フレーム処理部120側で保持するテーブルに認証済アドレステーブルの内容を反映させる必要がある。
そして、制御処理部150では、MPCP Discoveryにより検出したONU20に関するMACアドレスがOAM処理部151で取得されると、そのMACアドレスが認証済アドレス管理部155の認証済アドレステーブルに登録されているか否かが確認され、既に登録されている場合には、当該ONU20に対して接続認証処理を省略するように、当該ONU20を制御するものとする。具体的には、制御処理部150では、ONU20に対して接続認証処理(IEEE802.1Xのシーケンス)を開始しないようにするための通知(以下、「接続認証不要通知」と呼ぶ)を行うものとする。制御処理部150がONU20に対して接続認証不要通知を通知する手段については限定されないものであるが、この実施形態では、例として、OAM(OAM処理部151が送信するOAMフレーム)により通知するものとして説明する。
次に、ONU20の内部構成について説明する。
ONU20は、PON送受信部210、フレーム処理部220、ブリッジ部230、UNI部240、及び制御処理部250を有している。
PON送受信部210は、ONU20で、GE−PON側(光ファイバ40)と接続するためのインタフェースの機能を担っている。なお、PON送受信部210については、例えば、既存のGE−PONを構成するONUと同様のものを適用することができる。
UNI部240は、OLT10で、ユーザネットワークUNと接続するためのインタフェースの機能を担っている。UNI部240としては、例えば、既存のイーサネットのインタフェースを適用することができる。
フレーム処理部220は、PON送受信部210とブリッジ部230との間に介在し、ONU20が送受信するMACフレームのデータ処理を行うものである。フレーム処理部220は、制御処理部250等の上位層で生成されたGE−PON側(OLT10)への送信データにMACアドレス等のMACヘッダ(イーサネットヘッダ)を付与して、MACフレーム(イーサネットフレーム)を生成し、生成したMACフレームをPON送受信部210に供給してGE−PON上に送出させる。また、フレーム処理部220は、GE−PON側(OLT10)からPON送受信部210が受信した信号(光信号から電気信号に変換された信号)を解読してMACフレームを取得し、取得したMACフレームをブリッジ部230又はフレーム処理部220に供給する。また、この実施形態では、OLT10からの下り信号については暗号化処理が施されているため、フレーム処理部220はOAM処理部251を介して取得した暗号化キー(復号キー)を用い、下り信号のフレームを復号して、MACフレームを取得するものとする。このようにフレーム処理部220が、暗号化処理が施された下り信号のフレームを復号してMACフレームを抽出する処理については、既存のONUと同様の処理を適用することができる。
フレーム処理部220は、受信したMACフレームが主信号に関するものである場合には、当該MACフレームをUNI部240側(ブリッジ部230)に供給し、受信したMACフレームが、制御処理部250で処理される制御フレームであった場合には、当該MACフレームを、制御処理部250(制御処理部250を構成するいずれかの処理構成)に供給する。
ブリッジ部230は、フレーム処理部220とUNI部240との間のMACフレームの通信制御等を行うものである。例えば、ブリッジ部230は、フレーム処理部220又はUNI部240から供給されたMACフレームについて当該MACフレームのヘッダ情報に基づいて転送する処理等を行う。具体的には、ブリッジ部230は、フレーム処理部220から供給されたMACフレームを、UNI部240に転送し、UNI部240から供給されたMACフレームをフレーム処理部220に供給する。
制御処理部250は、OLT10と制御フレームを送受信して通信制御等を行うものであり、OAM処理部251、MPCP処理部252、接続認証依頼部253、及びデータ記憶部254を有している。
MPCP処理部252は、MPCPに基づいて、OLT10との間の論理的接続構成等を制御する機能を担っている。MPCP処理部252は、付与されたLLIDを用いて、OLT10から指示されたタイミングで、上り信号を送出するタイミング制御等の処理を行う。
OAM処理部251は、OLT10とOAMフレームの送受信を行い、保守、管理、及び監視等に関する処理を行う。OAM処理部251は、例えば、OLT10からの要求に応じた情報(例えば、データ記憶部254に格納された情報)の提供や、設定情報の更新(データ記憶部254に格納される情報の更新)を行う。また、OAM処理部251は、OLT10からの通知に応じて、ONU20内の各構成要素の制御処理も行うものとする。
接続認証依頼部253は、OLT10(接続認証処理部154)に対して接続認証処理を依頼する処理を行うものである。接続認証依頼部253は、OLT10(接続認証処理部154)が対応する接続認証処理のプロトコルに従ったフレーム送受信を行うことにより、接続認証を依頼する。この実施形態では、接続認証依頼部253は、OLT10(接続認証処理部154)とEAPメッセージを含むフレーム送受信(EAP−MD5に基づくメッセージ送受信)を行うことにより、接続認証の依頼を行うものとする。
なお、接続認証依頼部253は、OAM処理部151を介してOLT20から接続認証不要通知が通知された場合には、当該ONU20がOLT10への接続を行うタイミングであっても、接続認証処理(IEEE802.1Xのシーケンス)を開始しないものとする。
データ記憶部254は、当該ONU20に関するインベントリ(当該ONU20の各種情報)やファームウエア(制御処理部250を構成するプログラムのデータ)等を記憶する記憶手段であり、不揮発メモリ(例えば、フラッシュメモリや、EEPROM等)により構成されている。
図4は、データ記憶部254に記憶されるデータ構成について概念的に示した説明図である。
この実施形態のONU20を構成するデータ記憶部254には、全て図4に示すような構成のデータが格納されているものとする。
図4に示すように、データ記憶部254には、少なくとも、当該ONU20のMACアドレス(例えば、UNI部240のMACアドレス)、インベントリ(装置情報等)、及びファームウエアのデータが格納されている。データ記憶部254には、その他ONU20の動作に必要なデータ(不揮発メモリに格納する必要のあるデータ)を格納するようにしてもよい。なお、この実施形態では、ONU20にはCPUや作業用メモリ(揮発メモリ)等のプログラムの実施構成を備えており、データ記憶部254に記憶されたファームウエア(ONU20の制御プログラム)を、上述のプログラムの実施構成に展開して実行させることにより、制御処理部250の各構成要素(ただしデータ記憶部254は除く)が実現されるものとする。なお、ONU20のハードウエア構成は限定されないものであり、ハードウエア的な通信インタフェースの他は、一部又は全部をソフトウエア的に実現するようにしてもよいし、全てをハードウエア的に実現するようにしてもよい。
また、図4では、データ記憶部254で記憶されるインベントリ(装置情報)のデータについては、少なくとも、MACアドレス認証に用いるパスワードのデータと、接続認証処理用(802.1Xの認証処理用)のパスワードのデータが含まれているものとする。データ記憶部254で記憶されるインベントリのデータには、その他にも当該ONU20を構成する装置情報(図4では、「装置情報A、装置情報B、…」と示している。)が含まれている。その他の装置情報とは、例えば、当該ONU20のハードウエア種別情報、ハードウエアバージョン、ファームウエアバージョン等、既存のONUと同様の情報が該当する。
(A−2)実施形態の動作
次に、以上のような構成を有するこの実施形態の光通信ネットワークシステム1の動作(実施形態の制御方法)を説明する。
以下では、例として、OLT10とONU20−1との間の通信について図5、図6のシーケンス図を用いて説明するが、他のONU20に置き換えても同様の動作となるので説明を省略する。
なお、ここでは、初期状態として、OLT10の認証済アドレス管理部155(認証済アドレステーブル)では、ONU20−1のMACアドレス(MAC1)については登録されていないものとして説明する。
まず、ここでは、ONU20−1が光ファイバ40に接続され、動作が開始したものとする。そして、その後、OLT10(MPCP処理部152)からの制御に基づいたMPCP Discoveryの処理(S101)により、OLT10においてONU20−1(MPCP処理部252)が検出され、ONU20−1からの上り信号の通信制御が行われたものとする。
そして、次に、OLT10(OAM処理部151)からの制御に基づいたOAM Discoveryの処理が行われ(S102)、ONU20−1(OAM処理部251)に関するOAMのサポート状況が把握されたものとする。なお、ここでは、OLT10において、ONU20−1は所定のOAM処理をサポートしていると判定されたものとする。
そして、次に、OLT10(OAM処理部151)とONU20−1(OAM処理部251)との間でOAMフレームの送受信(OAM Request及びOAM Replyのフレーム)が行われ(S103、S104)、OLT10(OAM処理部151)では、ONU20−1に関する情報(MACアドレス、MACアドレス認証のパスワード、その他の装置情報を含む)が取得されたものとする。
そして、OLT10では、ONU20−1から取得したMACアドレス及びMACアドレス認証のパスワードがアドレス認証処理部153に供給され、アドレス認証処理部153で供給された情報に基づいた認証処理が行われる(S105)。アドレス認証処理部153が行う認証処理の詳細については後述するが、ここでは、図5に示すように成功したものとして説明する。なお、OLT10では、MACアドレス認証が失敗したONU20については、後述するステップの処理を行わず、主信号のフレーム処理も行わないように制限されることになる。
そして、OLT10とONU20−1との間では暗号化通信を行うための準備処理が行われたものとする(S106)。具体的には、ここでは、OLT10とONU20−1との間で、暗号化通信に用いるための暗号キーの交換等が行われるものとする。OLT10とONU20−1との間で、暗号キーを交換する具体的方法については限定されないものであるが、例えば、OAM(OAMフレーム)を用いた通信を行うようにしてもよい。なお、光通信ネットワークシステム1で暗号化通信が行われない場合は、このステップの処理は省略される。
そして、認証済アドレス管理部155では、OAM処理部151が取得したONU20−1のMACアドレスについて、認証済アドレス管理部155(認証済アドレステーブル)に登録されているか否かが確認される(S107)。この時点では、上述の通り、認証済アドレス管理部155(認証済アドレステーブル)には、ONU20−1のMACアドレス(MAC1)は、まだ登録されていない。したがって、認証済アドレス管理部155では、ONU20−1のMACアドレスについて、認証済アドレス管理部155(認証済アドレステーブル)に登録されていないと判定することになる。
したがって、認証済アドレス管理部155では、ONU20−1に対する接続認証処理を必要と判断され、その後、OLT10(接続認証処理部154及び照合処理部156)では、ONU20−1(接続認証依頼部253)からの依頼(EAP Request)を契機とした接続認証処理(802.1Xの認証処理)が行われる(S108)。ここでは、図5に示すように、OLT10(接続認証処理部154及び照合処理部156)に対する接続認証は成功し、その旨(EAP Success)がONU20−1に通知されたものとする。
そして、接続認証処理部154は、ONU20−1のMACアドレスを認証済アドレス管理部155(認証済アドレステーブル)に登録する(S109)。
以上のように、OLT10では、ONU20−1との通信の準備処理が行われ、その後OLT10では、ONU20−1との主信号の導通が開始されることになる(S110)。
そして、その後、通信障害等(例えば、光ファイバ40の障害等)により、OLT10とONU20−1との間の通信断が発生し(S201)、保守作業等により復旧(S202)したものとする。
そうすると、OLT10とONU20−1との間では、再度MPCP Discoveryの処理(S203)、及びOAM Discoveryの処理(S204)が行われ、さらに、OLT10では、ONU20−1に関する情報(MACアドレス、MACアドレス認証のパスワード、その他の装置情報を含む)が取得される(S205、S206)。そして、OLT10では、ONU20−1に対するMACアドレス認証が行われ(S207)、認証が成功したものとする。OLT10とONU20−1との間では暗号化通信を行うための準備処理が行われたものとする(S208)。
なお、上述のステップS203〜208の処理は、上述のステップS101〜S106の処理と同様であるので詳しい説明を省略する。
そして、認証済アドレス管理部155では、OAM処理部151が取得したONU20−1のMACアドレスについて、認証済アドレス管理部155(認証済アドレステーブル)に登録されているか否かが確認される(S209)。この時点では、上述の通り、認証済アドレス管理部155(認証済アドレステーブル)には、ONU20−1のMACアドレス(MAC1)が登録されている。したがって、接続認証処理部154では、ONU20−1のMACアドレスについて、認証済アドレス管理部155(認証済アドレステーブル)に登録されている判定することになる。したがって、この場合、接続認証処理部154は、ONU20−1に対する接続認証処理を不要と判断し、接続認証処理の依頼は不要である旨の接続認証不要通知をONU20−1に通知する(S210)。
そして、ONU20−1側では、OAM処理部251を介して、接続認証不要通知が接続認証依頼部253に通知され、接続認証依頼部253は、OLT10への接続認証依頼の開始(EAP Start)を行わずに、主信号のフレーム送受信を開始する(S211)ことになる。
次に、上述のステップS105及びS207で行われるMACアドレス認証の詳細について説明する。
図7は、アドレス認証処理部153で行われるMACアドレス認証の動作について示したフローチャートである。
アドレス認証処理部153では、OAM処理部151から供給されたONU20−1のMACアドレスについて所定の演算(例えば、ハッシュ関数による演算等)が行われ、パスワードが生成される(S301)。
そして、アドレス認証処理部153ではステップS301で生成したパスワードと、ONU20−1から送出されOAM処理部151から供給されたパスワードとが比較され(S302)、一致しているか否かが確認される(S303)。
そして、上述のステップS303で、2つのパスワードが一致していると判定された場合には、アドレス認証処理部153は、ONU20−1については認証成功と判断する(S304)。
一方、上述のステップS303で、2つのパスワードが一致していないと判定された場合には、アドレス認証処理部153は、認証失敗と判断し、ONU20−1へMACアドレス認証について認証失敗を通知する(S305)。アドレス認証処理部153がONU20へ認証失敗について通知する方式については限定されないものであるが、例えば、OAM処理部151を介してOAMフレームを用いて通知するようにしてもよい。
(A−3)実施形態の効果
この実施形態によれば、以下のような効果を奏することができる。
OLT10では、接続認証済のONU20(認証済アドレステーブルに登録済のONU20)については、接続時のシーケンスで、MACアドレス認証のみ行い、接続認証処理(IEEE802.1Xの認証処理)を省略して、主信号導通を可能としている。これにより、光通信ネットワークシステム1では、OLT10とONU20との間のGE−PONの区間で接続断が発生した場合の復旧時間の短縮を可能としている。なお、通常接続認証処理(IEEE802.1Xの認証処理)の所要時間は、MACアドレス認証の所要時間に比べて相当の時間を必要とする。特に、接続認証処理の照合処理部156の処理を外部のサーバ(例えば、RADIUSサーバ等)に依頼して行う場合には、接続認証処理はより長い時間かかることになる。
また、光通信ネットワークシステム1において、N台のONU20について通信断が発生した場合(例えば、光ファイバ40の基幹部分で断線した場合)には、OLT10は、N台分のONU20に対して、接続認証処理を省略して主信号導通をさせることができることから、N台のONU20について復旧させるまでの復旧時間を大きく短縮することができる。光通信ネットワークシステム1を利用するユーザにとっては、全てのONU20(N台のONU20)が復旧することが重要であり、上述のように接続認証処理を省略することにより、キャリア側のサービス品質向上にも寄与することができる。
さらに、光通信ネットワークシステム1のOLT10では、過去に二重認証(IEEE802.1Xに基づく接続認証処理とMACアドレス認証処理)が成功したONU20について認証済アドレステーブルに登録し、認証済アドレステーブルに登録されているアドレスのONU20に限って、接続認証処理(IEEE802.1Xに基づく認証処理)の省略を行う。言い換えると、OLT10では、認証済アドレステーブルに登録されていないONU20(すなわち、二重認証に成功していないONU20)については、MACアドレス認証に成功したとしても接続を拒否する構成となっている。したがって、光通信ネットワークシステム1では、接続認証処理を省略する場合でも、二重認証を行う場合と同等のセキュリティレベル(不正接続防止効果)を維持できる。
さらにまた、仮に、GE−PONの区間で接続断が発生してから復旧までの間(復旧時間の間)に、MACアドレスを偽装したONUが光ファイバ40に接続された場合でも、MACアドレス認証のパスワードを生成するための演算方法を知らなければ、MACアドレス認証に用いるパスワードまでは偽装できない。したがって、結果として、MACアドレス認証により、不正にOLT10へ接続することを防止することができる。
(B)他の実施形態
本発明は、上記の実施形態に限定されるものではなく、以下に例示するような変形実施形態も挙げることができる。
(B−1)上記の実施形態では、認証済アドレス管理部155の認証済アドレステーブルで登録した各MACアドレスの情報について削除する契機は任意である。例えば、OLT10側で、OAMの監視機能により、電源断を検知したONU20に関するMACアドレスを認証済アドレステーブルから削除するようにしても良い。また、認証済アドレス管理部155で各MACアドレスの登録日時(最後に接続認証が行われた日時)を管理して、登録日時から一定時間以上経過したMACアドレスについては無効(又は削除)にするようにしても良い。
(B−2)上記の実施形態では、OLT10における接続認証処理としてIEEE802.1Xを用いた処理を適用するものとして説明したが、その他の処理に置き換えるようにしても良いし、さらにその他の認証処理方式による認証を追加するようにしても良い。
(B−3)上記の実施形態では、OLT10からONU20に対して接続認証不要通知を送信することにより、ONU20側で接続認証処理の依頼が不要であることを把握しているが、接続認証不要通知以外の方法で、ONU20側の判断を行うようにしても良い。例えば、ONU20側で、接続認証処理で認証(認証成功)を受けた履歴を保持しておき、当該履歴の内容に応じて、接続認証処理の依頼が必要であるか不要であるかを判定するようにしても良い。例えば、ONU20側で、最後に接続認証処理(認証成功)を受けた日時を保持しておき、その日時から一定時間以上経過していない場合には、接続認証処理の依頼が必要であるか不要であると判定するようにしても良い。
(B−3)上記の実施形態ではアドレス認証処理部153によるMACアドレス認証と、接続認証処理部154による接続認証処理の両方を行っているが、MACアドレス認証を省略するようにしても良いし、さらに、その他の認証処理を追加するようにしても良い。
(B−4)上記の実施形態では、光通信ネットワークシステム1を構成する各装置は、GE−PON(IEEE802.3ah)の技術を利用した構成となっている旨説明したが、その他のPONの技術を利用したハードウエア上に構築するようにしても良い。
10…OLT、110…PON送受信部、120…フレーム処理部、130…ブリッジ部、140…NNI部、150…制御処理部、151…OAM処理部、152…MPCP処理部、153…アドレス認証処理部、154…接続認証処理部、155…認証済アドレス管理部、156…照合処理部、20、20−1〜20−N…ONU20−1、210…PON送受信部、220…フレーム処理部、230…ブリッジ部、240…UNI部、250…制御処理部、251…OAM処理部、252…MPCP処理部、253…接続認証依頼部、254…データ記憶部、30…光スプリッタ、40…光ファイバ、CN…コアネットワーク、UN…ユーザネットワーク。

Claims (6)

  1. 1又は複数の子局通信装置と、それぞれの上記子局通信装置とPONにより接続している親局通信装置とを備える光通信ネットワークシステムにおいて、
    上記親局通信装置は、
    上記PONに接続してきた上記子局通信装置に対して接続認証処理を行う接続認証処理手段と、
    少なくとも上記接続認証処理手段で接続認証が成功した上記子局通信装置の情報を保持する接続認証結果保持手段とを備え、
    上記接続認証処理手段は、上記接続認証結果保持手段で保持している内容に基づいて、上記子局通信装置に対する接続認証処理の要否を判定し、接続認証処理が不要と判定した上記子局通信装置については接続認証処理を省略し、
    それぞれの上記子局通信装置は、
    当該子局通信装置の上記親局通信装置への接続時に、上記親局通信装置から接続認証処理を受けるものであって、上記親局通信装置で接続認証処理が不要と判定される場合には、上記親局通信装置への接続認証を受ける処理を行わない接続認証依頼手段を備える
    ことを特徴とする光通信ネットワークシステム。
  2. 上記親局通信装置は、上記接続認証処理手段で、接続認証処理を不要と判定した上記子局通信装置に対して、接続認証依頼は不要である旨を示す接続認証不要通知を送信する通知手段をさらに備え、
    上記接続認証依頼手段は、上記親局通信装置から接続認証不要通知があった場合に、上記親局通信装置への接続認証処理の依頼を行わない
    ことを特徴とする請求項1に記載の光通信ネットワークシステム。
  3. 上記接続認証結果保持手段は、上記接続認証処理手段で接続認証が成功した上記子局通信装置のアドレス情報を保持しており、
    上記親局通信装置は、上記接続認証結果保持手段が保持しているアドレス情報以外のアドレスを送信元とする上記子局通信装置からの通信を制限する通信制限手段をさらに備える
    ことを特徴とする請求項1又は2に記載の光通信ネットワークシステム。
  4. 1又は複数の子局通信装置のそれぞれとPONにより接続することが可能な親局通信装置において、
    上記PONに接続してきた上記子局通信装置に対して接続認証処理を行う接続認証処理手段と、
    少なくとも上記接続認証処理手段で接続認証が成功した上記子局通信装置の情報を保持する接続認証結果保持手段と、
    上記接続認証処理手段は、上記接続認証結果保持手段で保持している内容に基づいて、上記子局通信装置に対する接続認証処理の要否を判定し、接続認証処理が不要と判定した上記子局通信装置については接続認証処理を省略する
    ことを特徴とする親局通信装置。
  5. 親局通信装置とPONにより接続することが可能な子局通信装置において、
    当該子局通信装置の上記親局通信装置への接続時に、上記親局通信装置から接続認証処理を受けるものであって、上記親局通信装置で接続認証処理が不要と判定される場合には、上記親局通信装置への接続認証を受ける処理を行わない接続認証依頼手段を備える
    ことを特徴とする子局通信装置。
  6. 1又は複数の子局通信装置と、それぞれの上記子局通信装置とPONにより接続している親局通信装置とを備える光通信ネットワークシステムにおける通信制御方法において、
    上記親局通信装置が、上記PONに接続してきた上記子局通信装置に対して接続認証処理を行う接続認証処理工程と、
    上記親局通信装置が、少なくとも上記接続認証処理工程で接続認証が成功した上記子局通信装置の情報を保持する接続認証結果保持工程とを有し、
    上記接続認証処理工程では、上記親局通信装置が、上記接続認証結果保持工程で保持した内容に基づいて、上記子局通信装置に対する接続認証処理の要否を判定し、接続認証処理が不要と判定した上記子局通信装置については接続認証処理を省略し、
    それぞれの上記子局通信装置が、当該子局通信装置の上記親局通信装置への接続時に、上記親局通信装置から接続認証処理を受けるものであって、上記親局通信装置で接続認証処理が不要と判定される場合には、上記親局通信装置への接続認証を受ける処理を行わない接続認証依頼工程をさらに有する
    ことを特徴とする通信制御方法。
JP2012037929A 2012-02-23 2012-02-23 光通信ネットワークシステム、子局通信装置、親局通信装置、及び制御方法 Pending JP2013175835A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012037929A JP2013175835A (ja) 2012-02-23 2012-02-23 光通信ネットワークシステム、子局通信装置、親局通信装置、及び制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012037929A JP2013175835A (ja) 2012-02-23 2012-02-23 光通信ネットワークシステム、子局通信装置、親局通信装置、及び制御方法

Publications (1)

Publication Number Publication Date
JP2013175835A true JP2013175835A (ja) 2013-09-05

Family

ID=49268396

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012037929A Pending JP2013175835A (ja) 2012-02-23 2012-02-23 光通信ネットワークシステム、子局通信装置、親局通信装置、及び制御方法

Country Status (1)

Country Link
JP (1) JP2013175835A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015079537A1 (ja) * 2013-11-28 2015-06-04 三菱電機株式会社 Ponシステム、olt及びその高速回線復旧処理方法
KR20170094405A (ko) * 2014-12-12 2017-08-17 후아웨이 테크놀러지 컴퍼니 리미티드 패시브 광학 네트워크에서의 단말 디바이스를 관리하는 방법, 장치 및 시스템

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015079537A1 (ja) * 2013-11-28 2015-06-04 三菱電機株式会社 Ponシステム、olt及びその高速回線復旧処理方法
JP5955473B2 (ja) * 2013-11-28 2016-07-20 三菱電機株式会社 Ponシステム、olt及びその高速回線復旧処理方法
KR20170094405A (ko) * 2014-12-12 2017-08-17 후아웨이 테크놀러지 컴퍼니 리미티드 패시브 광학 네트워크에서의 단말 디바이스를 관리하는 방법, 장치 및 시스템
JP2018504812A (ja) * 2014-12-12 2018-02-15 華為技術有限公司Huawei Technologies Co.,Ltd. 受動光ネットワークにおける端末装置を管理するための方法、装置、およびシステム
US10084894B2 (en) 2014-12-12 2018-09-25 Huawei Technologies Co., Ltd. Method, apparatus, and system for managing terminal device in passive optical network
KR101990480B1 (ko) * 2014-12-12 2019-06-18 후아웨이 테크놀러지 컴퍼니 리미티드 패시브 광학 네트워크에서의 단말 디바이스를 관리하는 방법, 장치 및 시스템

Similar Documents

Publication Publication Date Title
JP5366108B2 (ja) 光ネットワーク終端装置管理制御インターフェースベースの受動光ネットワークセキュリティ強化
AU2010252500B2 (en) Method and apparatus for authentication in passive optical network and passive optical network thereof
JP4786423B2 (ja) 通信システムおよび局内装置
WO2011127731A1 (zh) 光网络单元的注册激活方法及系统
WO2010031269A1 (zh) 一种实现用户侧终端获取密码的方法、系统和设备
CN102571353B (zh) 无源光网络中验证家庭网关合法性的方法
WO2016191942A1 (zh) 光网络单元认证方法、光线路终端以及光网络单元
CN102170421A (zh) 一种混合认证的实现方法和系统
JP2013175835A (ja) 光通信ネットワークシステム、子局通信装置、親局通信装置、及び制御方法
WO2014101084A1 (zh) 一种认证方法、设备和系统
JPWO2020004498A1 (ja) サービス開始方法及び通信システム
WO2012163022A1 (zh) 光网络系统的认证方法、光网络终端及光网络系统
JP2004180183A (ja) 局側装置、加入者側装置、ポイント・マルチポイント通信システム及びポイント・マルチポイント通信方法
JP2010130341A (ja) Ge−ponシステム
JP2015133610A (ja) 局側装置、ponシステムおよび局側装置の制御方法
JP6841120B2 (ja) 加入者側終端装置、局側終端装置、通信システム、加入者側終端装置のプログラムおよび局側終端装置のプログラム
JP5955473B2 (ja) Ponシステム、olt及びその高速回線復旧処理方法
US20230231728A1 (en) Secure communication method and apparatus in passive optical network
JP5988814B2 (ja) 通信装置、子局装置、制御装置、通信システムおよび通信制御方法
WO2024075177A1 (ja) 光通信方法、および光通信装置
JP6646604B2 (ja) 加入者線端局装置及び判定方法
WO2017028807A1 (zh) 光传送网的身份验证方法、装置及系统
JP2013247581A (ja) 光通信ネットワークシステム、並びに、親局通信装置及びプログラム、並びに、子局通信装置及びプログラム
JP2011130250A (ja) Geponシステム、局側端末、加入者側端末、及び通信断からの復旧方法
WO2010145599A1 (zh) 无源光网络中实现信息交互安全的方法及系统