JP2017175484A - 回線終端装置、接続装置、通信集約機器、回線交換装置、及び伝送システム - Google Patents

回線終端装置、接続装置、通信集約機器、回線交換装置、及び伝送システム Download PDF

Info

Publication number
JP2017175484A
JP2017175484A JP2016061086A JP2016061086A JP2017175484A JP 2017175484 A JP2017175484 A JP 2017175484A JP 2016061086 A JP2016061086 A JP 2016061086A JP 2016061086 A JP2016061086 A JP 2016061086A JP 2017175484 A JP2017175484 A JP 2017175484A
Authority
JP
Japan
Prior art keywords
identification information
unit
communication
line
connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016061086A
Other languages
English (en)
Inventor
貴之 遠藤
Takayuki Endo
貴之 遠藤
晴規 出丸
Harunori Idemaru
晴規 出丸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2016061086A priority Critical patent/JP2017175484A/ja
Publication of JP2017175484A publication Critical patent/JP2017175484A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Communication Control (AREA)
  • Telephonic Communication Services (AREA)

Abstract

【課題】第三者が通信集約機器から回線終端装置を不正に取得して使用することを防止する。【解決手段】通信集約機器を構成する回線終端装置及び接続装置のそれぞれに第1識別情報及び第2識別情報を予め設定し、接続装置は、接続した回線終端装置に第2識別情報を入力し、回線終端装置は、設定された第1識別情報及び入力された第2識別情報を用いて、接続した光回線の先の回線交換装置に回線終端装置と接続装置を識別させ、識別した結果に基づいて、通信集約機器の通信を確立又は遮断する。【選択図】 図1

Description

本発明は、例えばFTTHサービス等を提供するPONシステムにおいて、PONシステムの光回線と接続する回線終端装置、加入者宅で使用する様々な情報機器と接続する接続装置、回線終端装置を光回線インタフェースの一端とし、接続装置を電気通信インタフェースの他端として加入者宅に設置される通信集約機器、通信集約機器を識別する回線交換装置、並びに、通信集約機器及び回線交換装置を含む伝送システムに関する。
光通信ネットワークを用いた通信インフラの普及に伴い、光通信ネットワークの光回線と接続する例えばONU(Optical Network Unit:光ネットワークユニット)といった回線終端装置の利用者数は年々増加している。そして、ONUを設置する際の利便性の向上や更なる高速伝送の実現などの利用者の要望に応えてONUの小型化や高性能化が進んでいる。小型化の例として、SFP+(Small Form factor Pluggable+)規格のモジュール型をしたONUがある。このようなSFP+規格のONUを本発明ではSFP型ONUとする。
また、加入者宅に設置され、宅内外で使用している様々な情報機器と電気通信で接続してローカルネットワークを構成する接続装置にホームゲートウェイがある。SFP型ONUは、このホームゲートウェイと接続することで、ホームゲートウェイが接続する電気通信ネットワークをSFP型ONUが接続する光回線に接続することが可能となる。
ところで、加入者宅外に設置した、例えば監視カメラやスマートメータなどの情報機器と接続するために、このSFP型ONUと接続したホームゲートウェイを加入者宅外に設置して利用する場合が考えられる。加入者宅外に設置した場合には、悪意のある第三者がSFP型ONUだけを抜き取り、不正に使用する虞がある。
ここで、正当なONUであるかどうかを認証し接続させるための規格として、ONUアクティベーション方式という手法が規定されている。この手法によれば、OLT(Optical Line Termination)は、自局の光回線にONUが接続した時に当該ONUからシリアル値を取得するか、若しくはONUが接続した時に利用者に対してユーザー名とパスワードの入力を要求してこれらの組み合わせを取得し、自局に予め登録されたシリアル値やユーザー名とパスワードの組み合わせと比較することで、正当なONUかどうかを判断することができる。
しかしながら、上述の手法では、光回線に接続したONUが正当であるかどうかを区別できるが、悪意のある第三者が加入者から不正にユーザー名とパスワードを取得した場合には、利用者が正当な加入者であるかどうかを区別することはできない。そのため、宅外に設置されたホームゲートウェイからONUを抜き取って不正に使用したとしても、接続先のOLTが同じであれば、認証に成功してしまうという問題がある。
この問題に対し、特許文献1では、シリアル値やユーザー名とパスワードの組み合わせの他に、加入者が任意に指定する登録IDをOLTに予め登録しておき、この登録IDを認証時に併せて入力させ取得することで、正当な加入者かどうかを確認する手法を提案している。
WO2010/109871A1
ところが、特許文献1の手法では、ONUが登録IDを記憶して保持し続けるため、例えばONUが認証に成功した後に、正当な加入者ではない悪意のある第三者に抜き取られて不正に使用された場合には、この第三者が正当な登録IDを利用できてしまい、認証によって当該第三者による不正な使用を識別できない問題がある。
本発明は、上述の諸問題を解決するためのものであり、回線終端装置の不正使用を防止することができる手段を提供することを目的とする。
本発明は、接続した回線交換装置との間で第1の信号の送受信を行い、前記第1の信号と第2の信号との変換を行う回線インタフェース部、及び、外部と種々の信号の入出力を行う第1接続部、を有する回線終端装置と、接続したローカル端末との間で前記第2の信号の送受信を行うローカルインタフェース部、及び、外部と種々の信号の入出力を行う第2接続部、を有する接続装置と、からなる通信集約機器であって、前記接続装置は、前記回線インタフェース部と前記ローカルインタフェース部との間における前記第2の信号による通信処理を行う第2信号処理部、及び、予め設定された第2識別情報を保持する第2識別情報保持部を備え、前記回線終端装置は、前記回線インタフェース部と前記ローカルインタフェース部との間における前記第2の信号による通信処理を行う第1信号処理部、予め設定された第1識別情報を保持する第1識別情報保持部、並びに、前記第1識別情報保持部の保持する前記第1識別情報と、前記第2接続部及び該第2接続部と接続された前記第1接続部を介して前記接続装置から入力された前記第2識別情報とを、前記回線インタフェース部を介して前記回線交換装置へ送信し、前記回線交換装置から受信した前記回線終端装置及び前記接続装置を識別する識別処理の結果に基づき、前記回線交換装置から前記ローカル端末までの通信を確立又は遮断するよう前記第1信号処理部及び前記第2信号処理部を制御する通信管理部、を備えた、ことを特徴とする通信集約機器である。
また、本発明は、接続した回線交換装置との間で第1の信号の送受信を行い、前記第1の信号と第2の信号との変換を行う回線インタフェース部、接続したローカル端末との間で前記第2の信号の送受信を行う接続装置と接続し、種々の信号の入出力を行う接続部、前記回線インタフェース部と前記ローカルインタフェース部との間における前記第2の信号による通信処理を行う信号処理部、予め設定された第1識別情報を保持する第1識別情報保持部、並びに、前記第1識別情報保持部の保持する前記第1識別情報と、前記接続部を介して前記接続装置から入力された第2識別情報とを、前記回線インタフェース部を介して前記回線交換装置へ送信し、前記回線交換装置から受信した前記回線終端装置及び前記接続装置を識別する識別処理の結果に基づき、前記回線交換装置から前記ローカル端末までの通信を確立又は遮断するよう前記信号処理部を制御する通信管理部、を備えたことを特徴とする回線終端装置である。
また、本発明は、接続したローカル端末との間で第2の信号の送受信を行うローカルインタフェース部と、予め設定された識別情報を保持する識別情報保持部と、前記識別情報に基づき承認又は否認を判定する回線交換装置に前記識別情報を送信する回線終端装置と接続し、種々の信号の入出力を行う接続部と、前記接続部を介して前記識別情報保持部の保持する前記識別情報を前記回線終端装置に出力する認証判定部と、前記回線交換装置での判定の結果に基づき前記接続部を介して前記回線終端装置から入力される信号に応じて、前記接続部と前記ローカル端末との間の通信を確立又は遮断する信号処理部と、を備えることを特徴とする接続装置である。
また、本発明は、回線終端装置と接続し、信号の送受信を行う回線パッケージと、前記回線終端装置に対し認証を行うための第1識別情報と、前記回線終端装置と接続した接続装置に対する承認又は否認を判定するための第2識別情報とを対応付けて予め記憶した認証データベースと、を備え、前記回線パッケージは、前記回線終端装置から前記第1識別情報を受信すると、受信した前記第1識別情報、及び、前記認証データベースに記憶した第1識別情報に基づき、前記回線終端装置の認証を行って、当該認証に成功又は失敗したことを示す信号を前記回線終端装置に送信し、当該認証に成功した前記回線終端装置から前記第2識別情報を受信すると、受信した前記第2識別情報、及び、前記認証データベースに記憶した当該認証を行った前記第1識別情報と対応した前記第2識別情報に基づき、前記接続装置に対し承認又は否認を判定して、当該判定の結果を示す信号を前記回線終端装置に送信する、ことを特徴とする回線交換装置である。
また、本発明は、回線交換装置と、回線を介して接続した前記回線交換装置との間で第1の信号の送受信を行い、前記第1の信号と第2の信号との変換を行う回線インタフェース部、及び、外部と種々の信号の入出力を行う第1接続部、を有する回線終端装置、並びに、接続したローカル端末との間で前記第2の信号の送受信を行うローカルインタフェース部、及び、前記第1接続部と接続し、前記第1接続部と種々の信号の入出力を行う第2接続部、を有する接続装置、からなる通信集約機器と、を含む伝送システムであって、前記接続装置は、前記回線インタフェース部と前記ローカルインタフェース部との間における前記第2の信号による通信処理を行う第2信号処理部、及び、予め設定された第2識別情報を保持する第2識別情報保持部、を備え、前記回線終端装置は、前記回線インタフェース部と前記ローカルインタフェース部との間における前記第2の信号による通信処理を行う第1信号処理部、予め設定された第1識別情報を保持する第1識別情報保持部、及び、前記第1識別情報保持部の保持する前記第1識別情報と、前記接続装置から前記第1接続部を介して入力された前記第2識別情報とを、前記回線インタフェース部を介して前記回線交換装置へ送信し、前記回線交換装置から受信した前記回線終端装置と前記接続装置とを識別する識別処理の結果に基づき、前記回線交換装置から前記ローカル端末までの通信を確立又は遮断するよう前記第1信号処理部と前記第2信号処理部とを制御する通信管理部、を備え、前記回線交換装置は、前記回線終端装置と接続し、信号の送受信を行う回線パッケージ、及び、前記回線終端装置に対し認証を行うための前記第1識別情報と、前記接続装置に対する承認又は否認を判定するための前記第2識別情報とを対応付けて予め記憶した認証データベース、を備え、前記回線パッケージは、前記回線終端装置から前記第1識別情報を受信すると、受信した前記第1識別情報、及び、前記認証データベースに記憶した前記第1識別情報に基づき、前記回線終端装置の認証を行って、当該認証に成功又は失敗したことを示す信号を前記回線終端装置に送信し、当該認証に成功した前記回線終端装置から前記第2識別情報を受信すると、受信した前記第2識別情報、及び、前記認証データベースに記憶した当該認証を行った前記第1識別情報と対応した前記第2識別情報に基づき、前記接続装置に対し承認又は否認を判定して、当該判定の結果を示す信号を前記回線終端装置に送信する、ことを特徴とする伝送システムである。
本発明によれば、通信集約機器の回線終端装置及び接続装置は、それぞれ第1識別情報及び第2識別情報を予め設定されており、接続装置は、接続した回線終端装置に第2識別情報を入力し、回線終端装置は、設定された第1識別情報及び入力された第2識別情報を用いて、接続した光回線の先の回線交換装置に回線終端装置と接続装置を識別させ、識別した結果に基づいて、通信集約機器の通信を確立又は遮断するようにしたので、回線終端装置の不正使用を防止することができる効果がある。
本発明の実施の形態1における、光伝送システムを示すシステム構成図である。 回線交換装置の機能構成を示す機能ブロック図である。 図3(a)は、通信集約機器の機能構成を示す機能ブロック図である。図3(b)は、装置インタフェース部の機能構成を示す機能ブロック図である。 回線交換装置が通信集約機器を識別する種々の情報を管理する状態を示す模式図である。 図5(a)は、通信集約機器の起動後に識別処理が行われたかどうかを判定する過程を示す模式図である。図5(b)は、通信集約機器が第2識別情報を格納する過程を示す模式図である。図5(c)は、通信集約機器が識別処理によって正当と判定される過程を示す模式図である。図5(d)は、通信集約機器が識別処理によって不正と判定される過程を示す模式図である。 図6(a)は、回線終端装置が回線交換装置を通じた識別処理で正当と判定される過程を示すシーケンス図である。図6(b)は、回線終端装置が回線交換装置を通じた識別処理で不正と判定される過程を示すシーケンス図である。 本発明の実施の形態2における、回線交換装置が通信集約機器を識別する種々の情報を管理する状態を示す模式図である。 図8(a)は、回線交換装置において接続装置の第2識別情報を更新して識別処理を行う過程を示すシーケンス図である。図8(b)は、回線交換装置が登録許可情報を用いて判定を行う過程を示すフローチャート図である。 本発明の実施の形態3における、回線交換装置が通信集約機器を識別する種々の情報を管理する状態を示す模式図である。 回線交換装置での識別処理に用いた通信集約機器の情報に基づき、通信集約機器の通信設定を選択して通知する過程を示す図である。
実施の形態1.
図1は、本発明の実施の形態1における光伝送システムを示すシステム構成図である。光伝送システムは、オペレーションセンタ1、オペレーション端末2、通信事業者局舎3、回線交換装置4、IPネットワーク5、光カプラ6、加入者宅7、ローカル端末8a及び8b、通信集約機器9、装置制御回線101、光回線102、並びに通信事業者専用回線103で構成される。
オペレーションセンタ1は、光伝送システムの運用者が遠隔で光伝送システムの運用及び保守の作業を行う地点を示す。オペレーション端末2は、オペレーションセンタ1に設置された、運用者が光伝送システムの運用や保守の作業を行う操作端末である。運用者は、装置制御回線101や光回線102を介した遠隔地点からオペレーション端末2を用いて、回線交換装置4や通信集約機器9に対し運用や保守の作業を行う。
通信事業者局舎3は、通信事業者が回線交換装置4を設置している建屋である。回線交換装置4は、通信事業者局側において光回線102を終端する、例えばOLTといった局側光回線終端装置である。光回線102及び光カプラ6は、光伝送システムの加入者回線網を構成している。回線交換装置4は、通信事業者専用回線103を介して、加入者回線網をインターネット網であるIPネットワーク5に接続するとともに、加入者回線網とインターネット網との間の通信を個別に制御し管理している。
ローカル端末8a及び8bは、加入者宅7の内外に設置された通信機能を実装した情報端末であり、宅内のローカル端末8aは、例えばタブレット端末や電話などを示し、宅外のローカル端末8bは、例えばスマートメータや監視カメラなどを示す。本発明では、ローカル端末8a及び8bをまとめてローカル端末8とする。
通信集約機器9は、加入者宅7の内外に設置され、加入者宅7側において光回線102を終端する、例えばONUといった加入者側光回線終端装置を備える通信機器である。また、通信集約機器9は、ローカル端末8やローカル端末8からなるローカル回線と接続して、ローカル端末8やローカル回線と、加入者回線網との間の双方向通信を可能とする。
図2は、回線交換装置4の機能構成を示す機能ブロック図である。回線交換装置4は、監視パッケージ201、認証データベース202、回線パッケージ203、集線パッケージ204、並びにパッケージ制御回線104a及び104bで構成される。
監視パッケージ201は、装置制御回線101を介してオペレーション端末2から、加入者宅7に設置する通信集約機器9に関する情報の入力を受け付け、認証データベース202や回線パッケージ203、集線パッケージ204に対して、通信集約機器9の登録や通信を許可する設定等を行う。通信集約機器9の登録に伴い、認証データベース202には、通信集約機器9を識別する情報が設定される。通信集約機器9を識別する情報については後述する。
また、監視パッケージ201は、オペレーション端末2から光伝送システムの運用や保守を行う情報の入力を受け付けると、監視パッケージ201並びにパッケージ制御回線104a及び104bを介して回線パッケージ203及び集線パッケージ204に対して各種設定や情報の取得を行い、その結果をオペレーション端末2に対して出力したり、反対に、監視パッケージ201、回線パッケージ203及び集線パッケージ204から送信された情報を収集し、オペレーション端末2に対して通知を行ったりする。
また、オペレーション端末2からの入力に従って、監視パッケージ201は、回線パッケージ203及び光回線102を介して、個別又は複数の通信集約機器9に対して各種設定や情報の取得を行い、その結果をオペレーション端末2に対して出力したり、反対に、通信集約機器9から送信された情報を収集し、オペレーション端末2に対して通知を行ったりしても良い。
回線パッケージ203は、通信事業者側において光回線102を終端するパッケージであり、光回線102を介して接続した通信集約機器9との間で光信号の送受信を行う。
集線パッケージ204は、通信事業者専用回線103を介して、回線交換装置4をIPネットワーク5に接続する機能部である。IPネットワーク5との間の通信を許可された通信集約機器9は、パッケージ制御回線104a及び104bを介して回線パッケージ203、監視パッケージ201及び集線パッケージ204を経由し、インターネットに接続される。
図3(a)は、通信集約機器9の機能構成を示す機能ブロック図である。通信集約機器9は、回線終端装置301、接続装置302、及び装置インタフェース部303で構成される。また、図3(b)は、装置インタフェース部303の機能構成を示す機能ブロック図である。装置インタフェース部303は、回線終端装置301側の第1接続部310と接続装置302側の第2接続部316とが接続して構成される。回線終端装置301は、例えばONUやSFP型ONU等の光通信モジュール、接続装置302は、例えばホームゲートウェイ等の通信装置であり、第1接続部310及び第2接続部316は、例えば信号線を接続するコネクタ類である。
回線終端装置301は、光インタフェース部304、第1信号処理部305、通信管理部306、認証管理部307、第1識別情報保持部308、受電部309、及び第1接続部310で構成される。
光インタフェース部304は、光回線102と接続し、回線パッケージ203との間で光信号を送受信する機能部である。通信信号線105aを介して第1信号処理部305と接続している。光回線102から受信した光信号を電気信号に変換し、第1信号処理部305から受信した電気信号を光信号に変換する。
第1信号処理部305は、光インタフェース部304及び接続装置302の第2信号処理部311とそれぞれ通信信号線105a及び105bで接続し、通信管理部306と制御信号線105dで接続しており、接続した信号線や信号を区別することで適切に処理を行い、必要に応じて信号の入力元に応答を返す。
通信管理部306は、通信集約機器9の回線終端装置301と接続装置302が正当な組み合わせであることが確認できた場合に、通信集約機器9に接続したローカル端末8を光回線102からなる加入者回線網に接続する機能部である。通信管理部306は、回線終端装置301が起動して、回線終端装置301のUNI側のインタフェースである第1接続部310が接続装置302に接続し、光インタフェース部304が光回線102を介して光信号の送受信を開始したことを検出すると、通信集約機器9を登録した回線交換装置4を通じて回線終端装置301と接続装置302の組み合わせが正当であることを識別する通信集約機器9の識別処理を開始し、その識別処理の結果に基づいて、通信集約機器9に接続したローカル端末8が光回線102を利用することを許可又は禁止する。通信集約機器9の識別処理や、ローカル端末8に対して光回線102の利用を許可又は禁止する処理については後述する。
認証管理部307は、接続装置302を識別する情報、及び、通信管理部306が回線交換装置4を通じて行った通信集約機器9の識別処理の結果を格納する機能部である。通信管理部306とは管理信号線105fを介して接続している。認証管理部307に格納した情報は、回線終端装置301の起動時や光回線102の再接続時などのタイミングで、例えば通信管理部306が初期化を行い消去するか、または、認証管理部307に例えば揮発性の記憶媒体を用いることで回線終端装置301への電力供給の停止に伴い消去する。
第1識別情報保持部308は、回線終端装置301を識別する情報である第1識別情報を保持する機能部である。第1識別情報は、回線終端装置301に固有な情報であり、加入者宅7に設置される前に通信事業者又は装置製造メーカによって予め設定される。通信管理部306とは、管理信号線105gを介して接続している。
受電部309は、回線終端装置301が動作するための電力を、後述する接続装置302の送電部315から受電する機能部である。送電部315とは、給電信号線105jを介して接続している。
第1接続部310は、回線終端装置301のUNI側のインタフェースであり、後述する接続装置302の第2接続部316と接続して各種信号の入出力を行う機能部である。第1接続部310は、回線終端装置301が例えばSFP型ONUである場合にはSFP+規格に準拠するものとしても良い。
接続装置302は、第2信号処理部311、ローカルインタフェース部312、認証判定部313、第2識別情報保持部314、送電部315、及び第2接続部316で構成される。
第2信号処理部311は、ローカルインタフェース部312及び回線終端装置301の第1信号処理部305とそれぞれ通信信号線105c及び105bで接続し、回線終端装置301の通信管理部306と制御信号線105eで接続しており、接続した信号線や信号を区別することで適切に処理を行い、必要に応じて信号の入力元に応答を返す。ここで、第1接続部310及び第2接続部316がSFP+規格に準拠する場合には、制御信号線105d及び105eはSFF−8472で定める制御用バスとする。
ローカルインタフェース部312は、加入者宅7のローカル端末8と接続する機能部である。複数のローカル端末8と接続できるように、例えば有線LANや無線LAN、USB等の複数の通信インタフェースを備えても良い。
認証判定部313は、接続装置302に回線終端装置301が接続し、第1接続部310及び第2接続部316を介して回線終端装置301の認証管理部307に対し情報の読み書きが可能となると、回線交換装置4を通じて通信集約機器9の識別処理を行うのに先立って、後述する第2識別情報保持部314から接続装置302を識別する情報である第2識別情報を取得し、回線終端装置301の認証管理部307に格納する機能部である。認証管理部307とは、管理信号線105hを介して接続している。尚、第2識別情報は光伝送システムに固有な情報であれば良く、例えば通信集約機器9で使用するMACアドレス(Media Access Control address)を用いても良い。
ここで、第1接続部310及び第2接続部316がSFP+規格に準拠する場合には、管理信号線105hはSFF−8472で定める管理用バスとする。このSFF−8472で定める管理用バスでは、接続した2つの装置の一方はスレーブとして動作することが規定されている。そのため、回線終端装置301の認証管理部307に第2識別情報を格納する信号線に当該管理用バスを割り当て、回線終端装置301をスレーブとして動作させ、接続装置302のみが第2識別情報の格納を行えるようにする。このようにすることで、回線終端装置301の外部から認証管理部307に格納された情報の読み書きを行うことができるのは、当該管理用バスで接続した接続装置302の認証判定部313のみに限定できる。
第2識別情報保持部314は、接続装置302を識別する情報である第2識別情報を保持する機能部である。第2識別情報は、接続装置302に固有な情報であり、加入者宅7に設置される前に通信事業者又は装置製造メーカによって予め設定される。認証判定部313とは、管理信号線105iを介して接続している。
送電部315は、回線終端装置301が動作するための電力を、回線終端装置301の受電部309に送電する機能部である。
第2接続部316は、回線終端装置301の第1接続部310と接続して各種信号の入出力を行う機能部である。第2接続部316は、回線終端装置301が例えばSFP型ONUである場合にはSFP+規格に準拠するものとしても良い。
ところで、回線交換装置4の認証データベース202に設定される通信集約機器9を識別する情報とは、回線終端装置301の第1識別情報保持部308に保持される第1識別情報と、接続装置302の第2識別情報保持部314に保持される第2識別情報との組み合わせからなる。
回線交換装置4で行われる通信集約機器9の識別処理において、通信集約機器9から取得した第1識別情報及び第2識別情報が、認証データベース202に設定した組み合わせと同じであると判定されると、回線終端装置301及び接続装置302の組み合わせが正当であると識別され、通信集約機器9に接続したローカル端末8は、加入者回線網の光回線102を利用できるようになり、回線交換装置4を経由してIPネットワーク5との間で通信を行えるようになる。
このとき、通信集約機器9はレイヤ2の通信処理を行う通信機器として動作しても良いし、レイヤ3の通信処理を行う通信機器として動作しても良い。レイヤ2であれば通信集約機器9は、例えばVLAN等を用いることでローカル端末8をIPネットワーク5の所望のネットワークセグメントに接続させることが可能となる。また、レイヤ3であれば通信集約機器9は、IPネットワーク5とは異なるネットワークセグメントをローカル端末8に対して構成することが可能となる。本発明では、ローカル端末8の通信処理に対して通信集約機器9はレイヤ2として動作することを例に説明する。その場合に、ローカル端末8とIPネットワーク5との間での通信データの送受信は次のようになる。
先ず、IPネットワーク5に接続した図示しない通信端末からローカル端末8に対して通信データを送信すると、通信集約機器9は光回線102を介して当該通信データを光信号として受信する。光インタフェース部304は、受信した光信号を電気信号に変換して第1信号処理部305に出力する。第1信号処理部305は、入力した電気信号のMAC層の処理を行うと、第2信号処理部311に出力する。第2信号処理部311は、入力した電気信号のPHY層の処理を行うと、ローカルインタフェース部312に出力する。通信集約機器9に接続したローカル端末8は、IPネットワーク5から送信された通信データを高速な光回線102によって伝送してもらい、通信集約機器9で電気信号に変換して受信できるようになる。
次に、ローカル端末8からIPネットワーク5に接続した図示しない通信端末に対して通信データを送信すると、通信集約機器9のローカルインタフェース部312から入力した電気信号は、第2信号処理部311でのPHY層の処理、第1信号処理部305でのMAC層の処理、及び光インタフェース部304での電気信号から光信号への変換を経て、光信号の通信データとして光回線102に送信される。通信集約機器9に接続したローカル端末8は、送信した通信データを高速な光回線102によって伝送してもらい送信できるようになる。
上述のとおり、通信集約機器9が備える第1信号処理部305や第2信号処理部311は、光インタフェース部304とローカルインタフェース部312との間で通信処理を行う信号処理手段であり、通信集約機器9が動作する通信のレイヤによらず、通信レイヤと対応した通信処理を行う機能を示す。
また、通信管理部306は、回線交換装置4との間で保守管理のためのOAM(Operation,Administration and Maintenance)メッセージを送受信することができる。通信管理部306と回線交換装置4との間のOAMメッセージの送受信は第1信号処理部305を介して行われる。
通信管理部306は、回線交換装置4から受信したOAMメッセージの内容に応じて、第1信号処理部305や第2信号制御部311に対して制御する信号を出力し、通信帯域の設定の変更やポートの閉塞又は閉塞解除などを行うことで、ローカル端末8の光回線102への接続を許可又は禁止する。
つまり、通信管理部306は、回線交換装置4から受信した信号に応じて、通信集約機器9の信号処理手段を制御することにより、当該信号処理手段による通信を確立したり遮断したりすることができる。
装置インタフェース部303は、回線終端装置301の第1接続部310と接続装置302の第2接続部316とを含んだ部分を指す。上述のとおり、回線終端装置301がSFP型ONUである場合には、装置インタフェース部303での信号の扱いはSFP+規格に準拠する。尚、装置インタフェース部303は、図示しない変換コネクタ等の媒体を含み、当該媒体によって第1接続部310と第2接続部316を接続しても良い。
図4は、回線交換装置4が通信集約機器9を識別する種々の情報を管理する状態を示す模式図である。
図4で、通信集約機器9aは、第1識別情報保持部308に第1識別情報(#a)を保持し、第2識別情報保持部314に第2識別情報(#a)を保持している。そして、通信集約機器9bは、第1識別情報保持部308に第1識別情報(#b)を保持し、第2識別情報保持部314に第2識別情報(#b)を保持している。
また、回線交換装置4の回線パッケージ(#1)203は、通信集約機器9a及び9bの光回線102を終端し、さらに監視パッケージ201の認証データベース(#1)202と対応している。
認証データベース(#1)202には、光伝送システムの運用者がオペレーション端末2を通じて、加入者宅7に設置した通信集約機器9に対して光回線102の利用を可能とするのに先立ち、通信集約機器9aが保持する第1識別情報(#a)と第2識別情報(#a)とを対応付けて予め登録し、同様にして通信集約機器9bが保持する第1識別情報(#b)と第2識別情報(#b)とを対応付けて予め登録している。ここで登録された情報は、運用者の所定の手続きによって変更されるまで保持される。
このように、回線交換装置4は、通信集約機器9を識別する第1識別情報と第2識別情報とを対応付けて予め登録して保持しているので、回線交換装置4は、起動した通信集約機器9から第1識別情報と第2識別情報とを取得して、登録済みの組み合わせと一致するかどうかを判定すれば、回線終端装置301と接続装置302の組み合わせが正当であるかどうかを判定することができる。
図5は、回線交換装置4を通じて通信集約機器9の識別処理を行う過程を示す模式図である。図5(a)は、通信集約機器9の起動後に識別処理が行われたかどうかを判定する過程を示す模式図である。図5(b)は、通信集約機器9が第2識別情報を格納する過程を示す模式図である。図5(c)は、通信集約機器9が識別処理によって正当と判定される過程を示す模式図である。図5(d)は、通信集約機器9が識別処理によって不正と判定される過程を示す模式図である。
先ず、図5(a)では、回線終端装置301は、接続装置302との接続により給電され起動するとき、又は接続装置302との接続解除により給電が停止し動作を停止するとき、認証管理部307の初期化とともに格納した情報を消去する。認証管理部307は、識別処理の結果を格納する識別処理結果格納領域501と、第2識別情報を格納する第2識別情報格納領域502の領域に区分されている。図5(a)では、認証管理部307の初期化によって、識別処理結果格納領域501及び第2識別情報格納領域502は”未格納”の状態とする。
次に、接続装置302の認証判定部313は、認証管理部307を周期的に監視しており、識別処理結果格納領域501と第2識別情報格納領域502に、識別処理の結果と第2識別情報が格納されているかどうかを判定する。
図5(b)では、認証判定部313は、識別処理結果格納領域501と第2識別情報格納領域502に識別処理の結果と第2識別情報がそれぞれ格納されていないと判定すると、第2識別情報保持部314に保持された第2識別情報を取得し、認証管理部307の第2識別情報格納領域502に格納する。
もし、第2識別情報格納領域502には情報が格納されていないが、識別処理結果領域501に情報が格納されていた場合には、接続装置302が第2識別情報を格納する前に回線終端装置301が回線交換装置4での通信集約機器9の識別処理を開始させたことが考えられるため、接続装置302は、例えば回線終端装置301への電力供給を一旦停止することで再起動させ、第2識別情報を格納した後に再度、識別処理を開始させるようにしても良い。
次に、図5(c)では、回線終端装置301の通信管理部306は、光インタフェース部304が光回線102を介して回線パッケージ203と接続したことを、第1信号処理部305を経由して検出すると、回線交換装置4を通じて識別処理を開始する。
このときの識別処理は、第1識別情報を用いる認証処理と、第2識別情報を用いる承認処理の2つの過程からなる。最初に行われる認証処理は、回線終端装置301自体を認証する処理であり、その後に行われる承認処理は、回線終端装置301に接続した接続装置302が正当であることを承認する処理である。認証処理に成功して承認処理で承認されると、正当な組み合わせで接続した通信集約機器9であると識別され、通信集約機器9に接続したローカル端末8は光回線102を介してIPネットワーク5と通信することが可能になる。
認証処理では、通信管理部306は、第1識別情報保持部308に保持された第1識別情報を取得し、認証処理であることを示す情報と第1識別情報とを回線交換装置4へ送信する。
このときの認証処理に用いる認証は、例えばIEEE802.1Xで規定されたEAP(Extensible Authentication Protocol)認証でも良いし、その他の認証を用いても良い。本発明では、認証処理ではEAP認証を用いて説明する。
また、認証処理は、回線交換装置4において通信集約機器9と接続している回線パッケージ203が認証データベース202に設定された情報を参照することで行っても良いし、回線交換装置4の他の機能部が行っても良い。また、回線交換装置4と接続した図示しない認証装置が、回線交換装置4に代わって回線終端装置301を認証しても良い。但し、いずれの機能部や装置が認証を行うとしても、回線交換装置4が認証処理であることを示す情報を受信すると、認証データベース202を参照して、回線終端装置301から受信した第1識別情報と回線交換装置4の認証データベース202に予め登録された第1識別情報とが一致するか否かによって、認証の成功又は失敗を判定する。
回線交換装置4は、認証処理の結果を示す認証情報を認証処理であることを示す情報を送信した通信集約機器9に対して送信する。通信管理部306は、光インタフェース部304及び第1信号処理部305を経由して認証処理に成功したことを示す認証情報を受信する。引き続き、通信管理部306は承認処理を開始する。
ここで、回線交換装置4が、通信集約機器9に対して認証処理に失敗したことを示す認証情報を送信した場合には、通信管理部306は、光インタフェース部304及び第1信号処理部305を経由して当該認証情報を受信した後に、例えば第1識別情報を再度取得して認証の再試行を複数回だけ行い、認証に成功しないようであれば動作を停止させても良いし、再試行を行わずに動作を停止させても良い。
承認処理では、OAMメッセージを用いる。通信管理部306は、認証管理部307に格納された第2識別情報を取得し、承認処理であることを示す情報と第2識別情報をOAMメッセージに含めて回線交換装置4に送信する。回線交換装置4は、承認処理を示すOAMメッセージを受信すると、認証データベース202を参照して、OAMメッセージに含まれる第2識別情報を取得して、認証処理に成功した第1識別情報と対応する第2識別情報と一致するかどうかを判定する。回線交換装置4は、このときの判定結果が一致であれば、承認を示す情報をOAMメッセージに含めて、承認処理のOAMメッセージの送信元の通信集約機器9に対して送信する。
通信管理部306は、光インタフェース部304及び第1信号処理部305を経由して承認を示す情報を含むOAMメッセージを受信すると、第1識別情報と第2識別情報を用いて識別処理を行った結果、回線交換装置4によって通信集約機器9の組み合わせが正当であると識別されたため、識別処理結果格納領域501に、通信集約機器9が識別済みである旨の情報を格納する。図5(c)では、識別処理結果格納領域501に、例えば”識別済@正当”の情報を格納している。
識別処理結果格納領域501に識別済みである旨の情報が格納されると、通信管理部306は、制御信号線105d及び105eを介して第1信号処理部305や第2信号処理部311を制御して信号処理手段による通信を確立させ、ローカル端末8に対し光回線102と接続することを許可する。
次に、図5(d)では、通信管理部306は、回線交換装置4から認証処理に成功したことを示す認証情報を受信したが、承認処理において否認を示す情報を含むOAMメッセージを受信している。通信管理部306は、第1識別情報と第2識別情報を用いて識別処理を行った結果、回線交換装置4によって通信集約機器9の組み合わせが不正であると識別されたため、識別処理結果格納領域501に、通信集約機器9が識別済みである旨の情報を格納する。図5(d)では、識別処理結果格納領域501に、例えば”識別済@不正”の情報を格納している。
図5(c)(d)において、識別処理結果格納領域501に”識別済@正当”や”識別済@不正”を格納するのは、図5(b)の説明のとおりである。
そして、通信管理部306は、通信集約機器9が正当な組み合わせではないため、通信集約機器9と回線交換装置4との間の通信を遮断する。このとき、通信を遮断する手段としては、例えば、第1信号処理部305に対して通信信号線105bを閉塞させる、第2信号処理部311に対して通信信号線105cを閉塞させる、回線終端装置301の認証成功を解除するとともに、その旨を通知する信号を回線交換装置4に対して送信する、回線終端装置301の再起動と識別処理の再試行を所定回数だけ実施した後に回線終端装置301の動作を停止する、などが考えられる。
また、回線交換装置4の側においても、例えば、識別処理の結果に不正だと判定された通信集約機器9が接続する回線パッケージ203に対し、当該通信集約機器9の回線終端装置301への通信帯域を割り当てない等の処理を行い、正当な組み合わせではない通信集約機器9との間の通信を遮断することが考えられる。
図6は、通信集約機器9の回線終端装置301が回線交換装置4を通じて識別処理を行う過程を示すシーケンス図である。図6(a)は、回線終端装置301が回線交換装置4を通じた識別処理で正当と判定される過程を示すシーケンス図である。図6(b)は、回線終端装置301が回線交換装置4を通じた識別処理で不正と判定される過程を示すシーケンス図である。
先ず、図6(a)について説明する。処理S601では、回線終端装置301の通信管理部306は、第1識別情報保持部308に保持された第1識別情報を取得する。
処理S602では、通信管理部306は、第1識別情報保持部308から取得した第1識別情報を用いて回線交換装置4を通じて認証処理を行い、認証に成功したことを示す情報を受信する。
処理S603では、通信管理部306は、認証管理部307に格納された第2識別情報を取得する。
処理S604では、通信管理部306は、認証管理部307から取得した第2識別情報を用いて回線交換装置4に対して承認処理を行い、承認されたことを示す情報を受信する。
処理S605では、通信管理部306は、回線交換装置4を通じて識別処理を行った結果、通信集約機器9の組み合わせが正当だと判定されたため、認証管理部307にその旨を示す情報を格納する。
処理S606では、通信管理部306は、通信集約機器9の信号処理手段を制御して通信を確立させる。
次に、図6(b)について説明する。処理S601〜S603までは図6(a)と同様である。
処理S607では、通信管理部306は、認証管理部307から取得した第2識別情報を用いて回線交換装置4に対して承認処理を行い、否認されたことを示す情報を受信する。
処理S608では、通信管理部306は、回線交換装置4を通じて識別処理を行った結果、通信集約機器9の組み合わせが不正だと判定されたため、認証管理部307にその旨を示す情報を格納する。
処理S609では、通信管理部306は、通信集約機器9の信号処理手段を制御して通信を遮断させる。
尚、本発明では、通信管理部306において、通信管理部306がEAP認証の処理やOAMメッセージの処理を行っているが、回線終端装置301が各処理を行う別の機能部を備えて実行しても良い。
このように、実施の形態1によれば、通信集約機器9の回線終端装置301及び接続装置302は、それぞれ自装置を識別する第1識別情報及び第2識別情報を予め設定しており、接続装置302は、接続した回線終端装置301に第2識別情報を格納し、回線終端装置301は、光回線102の先に接続した第1識別情報及び第2識別情報の組み合わせを予め登録している回線交換装置4を通じて、設定された第1識別情報を用いる回線終端装置301の認証と、格納された第2識別情報を用いる接続装置302の承認を行うことにより、回線終端装置301と接続装置302を識別させ、識別した結果に基づいて、通信集約機器9の回線終端装置301と接続装置302の組み合わせが正当であるかどうかを判定し、判定の結果が正当であれば通信集約機器9の通信を確立し、不正であれば通信集約機器9の通信を遮断することが可能となる。その結果として、回線終端装置301と接続装置302の組み合わせを識別したうえで、通信集約機器9に接続するローカル端末8に対し光回線102の利用を許可又は禁止することができる。
このことは、例えば悪意のある第三者が不正に回線終端装置301を入手して通信集約機器9の光回線102に接続しても、当該第三者にローカル端末8を通信集約機器9に接続して通信することを抑止できるため、回線終端装置301の盗難や、不正に入手した回線終端装置301を用いた光通信網への不正アクセス等に対して、従来と比べてより高いセキュリティを提供することが可能となる。
ここで、回線終端装置301を例えばSFP型ONUとした場合には、回線終端装置301と接続装置302とをSFP+規格のインタフェースに準拠して接続させることで、管理信号線105hはSFF−8472で定める管理用バスとし、回線終端装置301の外部から認証管理部307に格納された情報の読み書きを行うことができるのは、管理用バスで接続した接続装置302の認証判定部313のみに限定することができる。
これによって、例えば、悪意のある第三者が不正に回線終端装置301を入手して使用するために、接続装置302が保持する第2識別情報や、回線終端装置301に格納した第2識別情報を改ざんしようとしても、回線終端装置301に格納した情報を接続装置302以外のものが書き換えることができず、また、回線終端装置301と接続装置302とをSFP+規格に準拠した装置インタフェース部303を介して接続させることで、回線終端装置301を接続装置302のスレーブとして動作させることができるので、LAN(Local Area Network)インタフェース等の汎用的なインタフェースを用いる場合と比べて、回線終端装置301の側から接続装置302が保持する情報を書き換えることもできなくなるので、装置間の信号入出力を外部から隠蔽して第2識別情報の改ざんを不可能にすることができ、回線終端装置301の盗難や、不正に入手した回線終端装置301を用いた光通信網への不正アクセス等に対して、さらにセキュリティを向上させることができる。
また、実施の形態1によれば、回線終端装置301は、装置インタフェース部303を介して接続装置302から電力を供給されることで動作し、装置の起動又は電力供給の停止に伴って認証管理部307に格納した第2識別情報を必ず消去するようにしたので、回線終端装置301が接続装置302から取り外されて、別の接続装置302に接続して起動しても認証管理部307に格納した第2識別情報は消去されており、前の接続装置302の第2識別情報を使用できなくすることが可能となる。その結果として、正当な組み合わせではない回線終端装置301及び接続装置302からなる通信集約機器9に接続するローカル端末8に対し、光回線102の利用を禁止する効果が得られる。
また、実施の形態1によれば、回線終端装置301及び接続装置302の正当な組み合わせの情報を回線交換装置4で管理するようにしたので、組み合わせの情報の改ざんを容易にできなくする効果が得られる。
実施の形態2.
実施の形態1では、加入者宅に設置される通信集約機器9に予め設定された第1識別情報及び第2識別情報を回線交換装置4の認証データベース202に予め登録しておき、通信集約機器9が通信を確立するのに先立って、回線交換装置4に対して第1識別情報及び第2識別情報を送信して識別処理を行うことで、通信集約機器9を用いた通信を許可又は禁止した。実施の形態2では、例えば回線終端装置301に別の接続装置302を接続したい場合に、認証データベース202に登録された第2識別情報を更新する方法を説明する。
図7は、回線交換装置4が通信集約機器9を識別する種々の情報を管理する状態を示す模式図である。ここで、図4と同じ符号のものは説明を省略する。
登録許可情報701は、認証データベース202に登録された回線終端装置301の第1識別情報及び接続装置302の第2識別情報にさらに追加して登録される情報である。登録許可情報701には、光伝送システムの運用者がオペレーション端末2を用いて入力した指定の日時に所定時間を加算した加算日時情報が設定される。
識別情報更新部702は、オペレーション端末2の入力を受け付けて加算日時情報の算出と、認証データベース202の第2識別情報の更新とを行う機能部である。識別情報更新部702は、オペレーション端末2から指定のあった通信集約機器9の回線終端装置301と対応した第1識別情報を認証データベース202から検索し、当該第1識別情報と関連付けられた登録許可情報701に対して算出した加算日時情報を設定する。
登録許可情報701に加算日時情報を設定する目的は、例えば、光伝送システムの加入者宅に設置された通信集約機器9の接続装置302を別のものと交換する場合が考えられる。このとき、別の接続装置302の使用に先立って、運用者と加入者との間で別の接続装置302を接続して通信集約機器9を使用するおよその指定日時の取り決めを行う。そして、運用者がオペレーション端末2を用いて当該通信集約装置9の回線終端装置301と対応した第1識別情報及び指定日時を入力すると、識別情報更新部702は、入力のあった第1識別情報及び指定日時を受け付け、加算日時情報を算出し、認証データベース202において第1識別情報と関連付けられた登録許可情報に当該加算日時情報を設定する。そして、運用者は加入者に対し電話等によって加算日時情報を通知する。
ここで、加算日時情報の示す日時は、運用者と加入者との間で取り決めた指定日時に所定時間を加算したものであり、つまり、運用者が加入者に対して別の接続装置302を接続して更新手続きを行う許容日時を意味する。この加算日時情報が示す日時までに、加入者は別の接続装置302を接続した通信集約機器9を使用して回線交換装置4の識別処理を行うことによって、別の接続装置302への更新手続きが完了する。
回線交換装置4の識別処理において、識別情報更新部702は、通信集約機器9の回線終端装置301から回線パッケージ203を通じて第2識別情報を受信すると、先ず、当該第2識別情報を受信した受信日時情報を保持する。
次に、認証データベース202から当該回線終端装置301の認証処理を行った第1識別情報と関連した登録許可情報701を参照して、登録許可情報701が日時情報を示すかどうかを判定する。ここで、登録許可情報701が日時情報を示すと判定したならば、保持している受信日時情報と比較を行い、受信日時情報の日時が登録許可情報701の加算日時情報の日時を超過していないかどうかを判定する。
識別情報更新部702は、受信日時情報の日時が登録許可情報701の加算日時情報の日時を超過していないと判定したならば、受信日時情報の日時で受信した第2識別情報によって、認証データベース202の第1識別情報と対応した第2識別情報を更新し、当該登録許可情報を”更新完了”等の情報で更新する。その後、回線交換装置4は接続装置302が承認であることを示す信号を送信する。
図7では、運用者が、オペレーション端末2を用いて、別の接続装置302を接続する通信集約機器9の回線終端装置301と対応した第1識別情報(第1識別情報#a)とともに、加入者との間で取り決めた別の接続装置302への更新手続きを行う指定の日時(2016/2/22 18:30:30)を登録許可情報701aに設定して識別情報更新部702に対し入力する。
識別情報更新部702は、認証データベース202から第1識別情報(第1識別情報#a)を検索して、関連付けられた登録許可情報701を見つけると、入力された登録許可情報701aの日時に所定時間を加算した加算日時情報を算出して、登録許可情報701b(2016/2/22 23:30:30)として設定する。このときの第1識別情報と対応した第2識別情報は第2識別情報#a(xx:xx:xx:xx:xx:xx)であるとする。
その後、加入者が、登録許可情報701bの日時を超過することなく、別の接続装置302を接続した通信集約機器9を使用して回線交換装置4での識別処理を行うことで、識別情報更新部702は、第2識別情報を第2識別情報#a(yy:yy:yy:yy:yy:yy)に、登録許可情報701bを登録許可情報701c(更新完了)に更新する。
また、回線終端装置301の認証処理を行った第1識別情報と関連した登録許可情報701を参照したところ、登録許可情報701が日時情報を示すと判定しなかった場合、若しくは、受信日時情報の日時が登録許可情報701の加算日時情報の日時を超過していると判定した場合は、実施の形態1と同様の要領によって、回線交換装置4は接続装置302の承認処理を行った結果を示す信号を送信し、通信集約機器9はその結果に応じて通信の確立又は遮断を行う。
このようにすることで、正当な利用者である加入者は、通信集約機器9に別の接続装置302を接続しても、回線交換装置4での通信集約機器9の識別処理を行ったうえで光回線102を利用することが可能となる。
図8は、回線交換装置4での識別処理において登録許可情報を用いた判定を行う過程を示す図である。図8(a)は、回線交換装置4において接続装置302の第2識別情報を更新して識別処理を行う過程を示すシーケンス図である。図8(b)は、回線交換装置4が登録許可情報701を用いて判定を行う過程を示すフローチャート図である。
図8(a)の処理S801は、図6(a)の処理S601〜S603と同様である。
処理S802では、回線終端装置301の通信管理部306は、認証管理部307から取得した第2識別情報を回線交換装置4に送信する。回線交換装置4の識別情報更新部702は当該第2識別情報を受信した時刻を受信日時情報として保持する。
処理S803では、図8(b)のフローチャートに示す処理を行う。図8(b)のフローチャートの処理については後述する。
処理S804では、図6(a)又は図6(b)と同様に、回線交換装置4は、回線終端装置301に対しOAMメッセージを用いて承認処理を行った結果を通知し、その結果に応じて回線終端装置301は、処理S605又はS608、並びに処理S606又はS609と同様に、通信集約機器9の信号処理手段を制御して通信を確立又は遮断させる。
図8(b)は、図8(a)の処理S803の処理を示す。S8031では、回線交換装置4の識別情報更新部702は、認証データベース202において、処理S801での認証に用いた第1識別情報と関連付けられた登録許可情報701が日時を示すかどうかを判定する。登録許可情報701が日時を示すならば処理S8032に進む。登録許可情報701が日時を示さないならば処理S8034に進む。
処理S8032では、識別情報更新部702は、処理S802で保持した受信日時情報の日時が登録許可情報の日時を超過していないかどうかを判定する。受信日時情報の日時が登録許可情報の日時を超過していなければ処理S8033に進む。受信日時情報の日時が登録許可情報の日時を超過していれば処理S8034に進む。
処理S8033では、識別情報更新部702は、処理S801での認証に用いた第1識別情報と対応した認証データベース202に記憶の第2識別情報を、処理S802で受信した第2識別情報で更新し、登録許可情報701を”更新完了”等の情報で更新する。その後、処理S8035に進む。
処理S8034では、回線交換装置4は、処理S604又はS607と同様に、受信した第2識別情報に基づき承認処理を行う。その後、処理S8035に進む。
処理S8035では、回線交換装置4は、処理S8033を経た場合には、OAMメッセージを用いて接続装置302を承認する結果を回線終端装置301に対し通知し、処理S8034を経た場合には、OAMメッセージを用いて接続装置302の承認処理を行った結果を回線終端装置301に対し通知する。その後、処理を終了する。
実施の形態2によれば、回線交換装置4の認証データベース202に記憶の第1識別情報と関連付けて登録許可情報701を登録し、運用者は、加入者が別の接続装置302を接続して通信集約機器9を使用する許容日時を、使用に先立って登録許可情報に設定し、当該加入者は、当該許容日時を超過しないように別の接続装置302を接続した通信集約機器9を使用して回線交換装置4での識別処理を行うことで、回線交換装置4は識別処理において受信した別の接続装置302の第2識別情報を用いて、当該通信集約機器9の回線終端装置301の第1識別情報と対応した第2識別情報を更新することが可能となる。このようにすることで、加入者が別の接続装置302を接続した通信集約機器9を使用して光回線102を利用する場合に、実施の形態1でのセキュリティを確保しながら、当該加入者は別の接続装置302への更新手続きを容易に行えるようになる。
実施の形態3.
実施の形態3では、認証データベース202に記憶の回線終端装置301の第1識別情報又は接続装置302の第2識別情報に、光伝送システムにおける通信集約機器9の通信設定を示す情報を関連付けることで、通信集約機器9の識別処理を通じて最適な通信設定を提供する。
図9は、回線交換装置4が通信集約機器9を識別する種々の情報を管理する状態を示す模式図である。ここで、図4と同じ符号のものは説明を省略する。
設定リスト901は、光伝送システムにおける通信集約機器9の通信設定を示す情報である通信設定情報902を登録したリストである。ここでの通信設定とは、回線終端装置301や接続装置302に設定する、例えば通信帯域やQoS(Quality of Service)等の通信パラメータを指す。
光伝送システムの運用者は、オペレーション端末2を用いて、設定リスト901に対し通信設定を設定した通信設定情報902を予め登録し、通信設定情報902に対し当該通信設定を適用する通信集約機器9の識別を行う第3識別情報を予め登録する。第3識別情報には認証データベース202に記憶の第1識別情報や第2識別情報との関連を示す情報が含まれており、そのため、設定リスト901の通信設定情報902に登録の第3識別情報と、認証データベース202に記憶の第1識別情報及び第2識別情報とは関連付けがなされている。図9では、第3識別情報を第3識別情報904として、第1識別情報及び第2識別情報を情報905として示す。
設定選択部903は、回線交換装置4において通信集約機器9の識別処理を行い、当該通信集約機器9が正当であると判定されると、当該通信集約機器9の識別処理に用いた認証データベース202に記憶の第1識別情報及び第2識別情報と関連付けされた第3識別情報を設定リスト901から検索し、当該第3識別情報を登録した通信設定情報902を選択する機能部である。設定選択部903は、回線パッケージ203を介し、OAMメッセージ等を用いて選択した通信設定情報902を回線終端装置301に送信する。通信集約機器9は、回線終端装置301で受信した通信設定情報902に基づき、回線終端装置301や接続装置302に対して通信設定を行う。
尚、設定選択部903は、認証データベース202に記憶の第1識別情報及び第2識別情報と関連付けされた第3識別情報が設定リスト901の通信設定情報902に登録されていないと判定すると、通信集約機器9の識別処理の後に、通信設定情報902の送信は行わないものとする。
図10は、回線交換装置4での識別処理に用いた通信集約機器9の情報に基づき、通信集約機器9の通信設定を選択して通知する過程を示す図である。図10では、通信集約機器9は回線交換装置4での識別処理によって正当と判定される場合を示している。そのため、処理S1001は、図6(a)の処理S601〜S606と同様となる。
処理S1002では、回線交換装置4の設定選択部903は、設定リスト901から、処理S1001での通信集約機器9の識別処理に用いた認証データベース202に記憶の第1識別情報及び第2識別情報と関連付けられた第3識別情報を検索する。そして、設定選択部903は、検索によって第3識別情報を見つけると、当該第3識別情報を登録した通信設定情報902を選択し、回線終端装置301に対してOAMメッセージを用いて当該通信設定情報902を送信する。
処理S1003では、通信設定情報902を受信した回線終端装置301の通信集約機器9は、当該通信設定情報902に基づき、回線終端装置301や接続装置302に対して通信設定を行い、OAMメッセージを用いて通信設定を行った結果を回線交換装置4に送信する。その後、処理を終了する。
実施の形態3によれば、光伝送システムの運用者は、個々の通信集約機器9の通信設定を予め回線交換装置4に登録し、加入者が通信集約機器9を使用する際に回線交換装置4で行われる識別処理の情報を用いて、当該通信集約機器9の通信設定を選択して通知するようにしたので、運用者は個々の通信集約機器9に適した通信設定を予め回線交換装置4に登録しておくだけで、加入者が通信集約機器9の使用を開始するタイミングで自動的に複数ある通信設定の中から適したものを選択し通知できるようになる。このことは、運用者と加入者の双方の都合が良いときに、適切な通信サービスの決定と設定とを行えるようにし、運用者と加入者の双方にとって効率の良いシステムとすることができる。
1 オペレーションセンタ
2 オペレーション端末
3 通信事業者局舎
4 回線交換装置
5 IPネットワーク
6 光カプラ
7 加入者宅
8a、8b ローカル端末
9 通信集約機器
301 回線終端装置
302 接続装置
303 装置インタフェース部

Claims (19)

  1. 接続した回線交換装置との間で第1の信号の送受信を行い、前記第1の信号と第2の信号との変換を行う回線インタフェース部、
    及び、外部と種々の信号の入出力を行う第1接続部、を有する回線終端装置と、
    接続したローカル端末との間で前記第2の信号の送受信を行うローカルインタフェース部、
    及び、外部と種々の信号の入出力を行う第2接続部、を有する接続装置と、
    からなる通信集約機器であって、
    前記接続装置は、
    前記回線インタフェース部と前記ローカルインタフェース部との間における前記第2の信号による通信処理を行う第2信号処理部、
    及び、予め設定された第2識別情報を保持する第2識別情報保持部を備え、
    前記回線終端装置は、
    前記回線インタフェース部と前記ローカルインタフェース部との間における前記第2の信号による通信処理を行う第1信号処理部、
    予め設定された第1識別情報を保持する第1識別情報保持部、
    並びに、前記第1識別情報保持部の保持する前記第1識別情報と、前記第2接続部及び該第2接続部と接続された前記第1接続部を介して前記接続装置から入力された前記第2識別情報とを、前記回線インタフェース部を介して前記回線交換装置へ送信し、前記回線交換装置から受信した前記回線終端装置及び前記接続装置を識別する識別処理の結果に基づき、前記回線交換装置から前記ローカル端末までの通信を確立又は遮断するよう前記第1信号処理部及び前記第2信号処理部を制御する通信管理部、
    を備えた、
    ことを特徴とする通信集約機器。
  2. 前記回線終端装置は、
    前記接続装置から前記第2接続部及び前記第1接続部を介して入力された前記第2識別情報を格納する認証管理部と、
    前記接続装置と接続又は非接続となる状態の変化に伴い、前記認証管理部に格納した情報を消去する情報消去手段と、
    をさらに備えた
    ことを特徴とする請求項1に記載の通信集約機器。
  3. 前記接続装置は、
    前記第2接続部を介して前記回線終端装置へ電力を供給する送電部をさらに備え、
    前記回線終端装置は、
    前記接続装置から前記第2接続部及び前記第1接続部を介して入力された前記第2識別情報を格納する認証管理部と、
    前記第2接続部及び前記第1接続部を介して前記送電部から供給される電力を受電し、揮発性記憶媒体からなる前記認証管理部が情報を保持する電力を供給する、受電部をさらに備え、
    前記認証管理部は、前記受電部での受電停止に伴い、前記認証管理部に格納した情報が消去される、
    ことを特徴とする請求項1に記載の通信集約機器。
  4. 前記識別処理は、
    前記第1識別情報に基づき前記回線終端装置の認証を行う認証処理と、前記第2識別情報に基づき前記接続装置に対する承認又は否認を判定する承認処理とからなり、
    前記通信管理部は、
    前記第1識別情報を前記回線交換装置へ送信して、前記回線交換装置から前記認証処理の認証に成功したことを示す信号を受信すると、前記接続装置から入力された前記第2識別情報を前記回線交換装置へ送信し、前記回線交換装置から受信した前記承認処理での判定の結果を示す信号に基づき、前記回線交換装置から前記ローカル端末までの通信を確立又は遮断するよう前記第1信号処理部及び前記第2信号処理部を制御する、
    ことを特徴とする請求項1〜3のいずれか1項に記載の通信集約機器。
  5. 前記接続装置は、
    前記第2接続部及び前記第1接続部を介して前記認証管理部を監視し、該認証管理部に前記第2識別情報が格納されていないと判定すると前記第2識別情報保持部の保持する前記第2識別情報を前記第2接続部及び前記第1接続部を介して前記認証管理部に格納する認証判定部をさらに備え、
    前記通信管理部は、
    前記回線交換装置から前記認証処理の認証に成功したことを示す信号を受信すると、前記認証管理部に格納された前記第2識別情報を前記回線交換装置へ送信する
    ことを特徴とする請求項4に記載の通信集約機器。
  6. 前記通信管理部は、
    前記承認処理での判定の結果が承認である場合に、前記回線交換装置から前記ローカル端末までの通信を確立し、
    前記承認処理での判定の結果が否認である場合に、前記回線交換装置から前記ローカル端末までの通信を遮断するよう、前記第1信号処理部及び前記第2信号処理部を制御する、
    ことを特徴とする請求項1〜5のいずれか1項に記載の通信集約機器。
  7. 前記接続装置は、
    SFP+規格に準拠した前記第2接続部及び前記第1接続部の有する管理用信号線を介して前記第2識別情報を出力する、
    ことを特徴とする請求項1〜6のいずれか1項に記載の通信集約機器。
  8. 接続した回線交換装置との間で第1の信号の送受信を行い、前記第1の信号と第2の信号との変換を行う回線インタフェース部、
    接続したローカル端末との間で前記第2の信号の送受信を行う接続装置と接続し、種々の信号の入出力を行う接続部、
    前記回線インタフェース部と前記ローカルインタフェース部との間における前記第2の信号による通信処理を行う信号処理部、
    予め設定された第1識別情報を保持する第1識別情報保持部、
    並びに、前記第1識別情報保持部の保持する前記第1識別情報と、前記接続部を介して前記接続装置から入力された第2識別情報とを、前記回線インタフェース部を介して前記回線交換装置へ送信し、前記回線交換装置から受信した前記回線終端装置及び前記接続装置を識別する識別処理の結果に基づき、前記回線交換装置から前記ローカル端末までの通信を確立又は遮断するよう前記信号処理部を制御する通信管理部、
    を備えた
    ことを特徴とする回線終端装置。
  9. 前記接続装置から前記接続部を介して入力された前記第2識別情報を格納する認証管理部と、
    前記接続装置と接続又は非接続となる状態の変化に伴い、前記認証管理部に格納した情報を消去する情報消去手段と、
    をさらに備えた
    ことを特徴とする請求項8に記載の回線終端装置。
  10. 前記接続装置から前記接続部を介して入力された前記第2識別情報を格納する認証管理部と、
    前記接続部を介して前記接続装置から供給される電力を受電し、揮発性記憶媒体からなる前記認証管理部が情報を保持する電力を供給する、受電部をさらに備え、
    前記認証管理部は、前記受電部での受電停止に伴い、前記認証管理部に格納した情報が消去される、
    ことを特徴とする請求項8に記載の回線終端装置。
  11. 前記識別処理は、
    前記第1識別情報に基づき認証を行う認証処理と、前記第2識別情報に基づき前記接続装置に対する承認又は否認を判定する承認処理とからなり、
    前記通信管理部は、
    前記第1識別情報を前記回線交換装置へ送信して、前記回線交換装置から前記認証処理の認証に成功したことを示す信号を受信すると、前記接続装置から入力された前記第2識別情報を前記回線交換装置へ送信し、前記回線交換装置から受信した前記承認処理での判定の結果を示す信号に基づき、前記回線交換装置から前記ローカル端末までの通信を確立又は遮断するよう前記信号処理部を制御する、
    ことを特徴とする請求項8〜10のいずれか1項に記載の回線終端装置。
  12. 前記通信管理部は、
    前記承認処理での判定の結果が承認である場合に、前記回線交換装置から前記ローカル端末までの通信を確立し、
    前記承認処理での判定の結果が否認である場合に、前記回線交換装置から前記ローカル端末までの通信を遮断するよう、前記信号処理部を制御する、
    ことを特徴とする請求項8〜11のいずれか1項に記載の回線終端装置。
  13. 前記第2識別情報は、SFP+規格に準拠した前記接続部の有する管理用信号線を介して前記接続装置から入力される、
    ことを特徴とする請求項8〜12のいずれか1項に記載の回線終端装置。
  14. 接続したローカル端末との間で第2の信号の送受信を行うローカルインタフェース部と、
    予め設定された識別情報を保持する識別情報保持部と、
    前記識別情報に基づき承認又は否認を判定する回線交換装置に前記識別情報を送信する回線終端装置と接続し、種々の信号の入出力を行う接続部と、
    前記接続部を介して前記識別情報保持部の保持する前記識別情報を前記回線終端装置に出力する認証判定部と、
    前記回線交換装置での判定の結果に基づき前記接続部を介して前記回線終端装置から入力される信号に応じて、前記接続部と前記ローカル端末との間の通信を確立又は遮断する信号処理部と、
    を備えることを特徴とする接続装置。
  15. 前記認証判定部は、
    SFP+規格に準拠した前記接続部の有する管理用信号線を介して、前記回線終端装置の有する認証管理部を監視し、前記認証管理部に前記識別情報が記憶されていないと判定すると、前記接続部を介して前記識別情報保持部の保持する前記識別情報を前記認証管理部に出力し、
    前記信号処理部は、
    前記回線交換装置での判定の結果に基づき、SFP+規格に準拠した前記接続部の有する制御用信号線を介して前記回線終端装置から入力される信号に応じて、前記接続部と前記ローカル端末との間の通信を確立又は遮断する、
    ことを特徴とする請求項14に記載の接続装置。
  16. 回線終端装置と接続し、信号の送受信を行う回線パッケージと、
    前記回線終端装置に対し認証を行うための第1識別情報と、前記回線終端装置と接続した接続装置に対する承認又は否認を判定するための第2識別情報とを対応付けて予め記憶した認証データベースと、
    を備え、
    前記回線パッケージは、
    前記回線終端装置から前記第1識別情報を受信すると、
    受信した前記第1識別情報、及び、前記認証データベースに記憶した第1識別情報に基づき、
    前記回線終端装置の認証を行って、当該認証に成功又は失敗したことを示す信号を前記回線終端装置に送信し、
    当該認証に成功した前記回線終端装置から前記第2識別情報を受信すると、
    受信した前記第2識別情報、及び、前記認証データベースに記憶した当該認証を行った前記第1識別情報と対応した前記第2識別情報に基づき、
    前記接続装置に対し承認又は否認を判定して、当該判定の結果を示す信号を前記回線終端装置に送信する、
    ことを特徴とする回線交換装置。
  17. 接続したオペレーション端末から入力される情報に基づき、前記認証データベースに記憶した種々の情報を更新する識別情報更新部をさらに備え、
    前記認証データベースは、前記オペレーション端末から入力された前記回線終端装置の前記第1識別情報と関連付けて登録許可情報をさらに記憶し、
    前記識別情報更新部は、
    前記オペレーション端末から入力された指定日時に所定時間を加算した加算日時情報を前記登録許可情報に設定し、
    前記回線終端装置から前記第2識別情報を受信した日時である受信日時と、前記認証データベースに記憶の、当該第2識別情報と対応した前記第1識別情報と関連付けられた前記登録許可情報とを参照して、
    前記受信日時が当該登録許可情報に設定の前記加算日時情報の日時を超過していなければ、受信した当該第2識別情報を用いて、前記認証データベースに記憶の前記第2識別情報を更新し、
    前記受信日時が当該登録許可情報に設定の前記加算日時情報の日時を超過していれば、又は、当該登録許可情報に前記加算日時情報が設定されていなければ、前記回線パッケージに対し、受信した第2識別情報、及び、前記認証データベースに記憶の第2識別情報に基づき、前記接続装置に対する承認又は否認を判定させて、当該判定の結果を示す信号を前記回線終端装置に送信させる、
    ことを特徴とする請求項16に記載の回線交換装置。
  18. 前記回線終端装置又は前記接続装置の少なくとも一方の通信設定を示す通信設定情報と、前記通信設定情報の前記通信設定を適用する、前記回線終端装置及び前記接続装置からなる通信集約機器を識別する第3識別情報と、を予め記憶した設定リストをさらに備え、
    前記第3識別情報は、前記認証データベースに記憶の前記第1識別情報及び前記第2識別情報と関連付けられ、
    前記回線終端装置から受信の前記第1識別情報及び前記第2識別情報と関連付けられた前記通信設定情報を前記設定リストから選択し、前記回線パッケージを通じて当該通信設定情報を送信する設定選択部をさらに備えた、
    ことを特徴とする請求項16または17のいずれかに記載の回線交換装置。
  19. 回線交換装置と、
    回線を介して接続した前記回線交換装置との間で第1の信号の送受信を行い、前記第1の信号と第2の信号との変換を行う回線インタフェース部、
    及び、外部と種々の信号の入出力を行う第1接続部、を有する回線終端装置、
    並びに、接続したローカル端末との間で前記第2の信号の送受信を行うローカルインタフェース部、
    及び、前記第1接続部と接続し、前記第1接続部と種々の信号の入出力を行う第2接続部、を有する接続装置、からなる通信集約機器と、
    を含む伝送システムであって、
    前記接続装置は、
    前記回線インタフェース部と前記ローカルインタフェース部との間における前記第2の信号による通信処理を行う第2信号処理部、
    及び、予め設定された第2識別情報を保持する第2識別情報保持部、を備え、
    前記回線終端装置は、
    前記回線インタフェース部と前記ローカルインタフェース部との間における前記第2の信号による通信処理を行う第1信号処理部、
    予め設定された第1識別情報を保持する第1識別情報保持部、
    及び、前記第1識別情報保持部の保持する前記第1識別情報と、前記接続装置から前記第1接続部を介して入力された前記第2識別情報とを、前記回線インタフェース部を介して前記回線交換装置へ送信し、前記回線交換装置から受信した前記回線終端装置と前記接続装置とを識別する識別処理の結果に基づき、前記回線交換装置から前記ローカル端末までの通信を確立又は遮断するよう前記第1信号処理部と前記第2信号処理部とを制御する通信管理部、を備え、
    前記回線交換装置は、
    前記回線終端装置と接続し、信号の送受信を行う回線パッケージ、
    及び、前記回線終端装置に対し認証を行うための前記第1識別情報と、前記接続装置に対する承認又は否認を判定するための前記第2識別情報とを対応付けて予め記憶した認証データベース、を備え、
    前記回線パッケージは、
    前記回線終端装置から前記第1識別情報を受信すると、
    受信した前記第1識別情報、及び、前記認証データベースに記憶した前記第1識別情報に基づき、
    前記回線終端装置の認証を行って、当該認証に成功又は失敗したことを示す信号を前記回線終端装置に送信し、
    当該認証に成功した前記回線終端装置から前記第2識別情報を受信すると、
    受信した前記第2識別情報、及び、前記認証データベースに記憶した当該認証を行った前記第1識別情報と対応した前記第2識別情報に基づき、
    前記接続装置に対し承認又は否認を判定して、当該判定の結果を示す信号を前記回線終端装置に送信する、
    ことを特徴とする伝送システム。
JP2016061086A 2016-03-25 2016-03-25 回線終端装置、接続装置、通信集約機器、回線交換装置、及び伝送システム Pending JP2017175484A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016061086A JP2017175484A (ja) 2016-03-25 2016-03-25 回線終端装置、接続装置、通信集約機器、回線交換装置、及び伝送システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016061086A JP2017175484A (ja) 2016-03-25 2016-03-25 回線終端装置、接続装置、通信集約機器、回線交換装置、及び伝送システム

Publications (1)

Publication Number Publication Date
JP2017175484A true JP2017175484A (ja) 2017-09-28

Family

ID=59972348

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016061086A Pending JP2017175484A (ja) 2016-03-25 2016-03-25 回線終端装置、接続装置、通信集約機器、回線交換装置、及び伝送システム

Country Status (1)

Country Link
JP (1) JP2017175484A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018157517A (ja) * 2017-03-21 2018-10-04 日本電信電話株式会社 加入者線終端装置認証装置及び加入者線終端装置認証方法
JP2021175092A (ja) * 2020-04-27 2021-11-01 住友電気工業株式会社 ゲートウェイシステム、ゲートウェイ装置、プラガブルonu、ゲートウェイシステムの保守方法およびループバック試験方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018157517A (ja) * 2017-03-21 2018-10-04 日本電信電話株式会社 加入者線終端装置認証装置及び加入者線終端装置認証方法
JP2021175092A (ja) * 2020-04-27 2021-11-01 住友電気工業株式会社 ゲートウェイシステム、ゲートウェイ装置、プラガブルonu、ゲートウェイシステムの保守方法およびループバック試験方法
JP7375671B2 (ja) 2020-04-27 2023-11-08 住友電気工業株式会社 ゲートウェイシステム、ゲートウェイ装置、プラガブルonu、ゲートウェイシステムの保守方法およびループバック試験方法

Similar Documents

Publication Publication Date Title
JP6457698B2 (ja) 非車載無線ネットワークへのアクセスを制御する方法
RU2636679C2 (ru) Устройство управления связью, устройство аутентификации, центральное устройство управления и система связи
CN100444569C (zh) 访问控制系统及其访问控制设备和资源提供设备
US8923817B2 (en) Mobility device security
US20140053246A1 (en) Self-configuring wireless network
CN104144463B (zh) Wi‑Fi网络接入方法和系统
CN103634795B (zh) 无线通信装置和方法
CN109618344B (zh) 一种无线监控设备的安全连接方法及装置
CN109561413B (zh) 一种ble设备的蓝牙认证授权方法及授权系统
JP4905935B2 (ja) ネットワークシステムにおける認証方法、並びに認証装置、被認証装置
CN111065090A (zh) 一种建立网络连接的方法及无线路由设备
CN103152326A (zh) 一种分布式认证方法及认证系统
US9374708B2 (en) Method and system for encrypting terminal using subscriber identity module card
US8800012B2 (en) System and method for authentication in wireless networks by means of one-time passwords
JP2017175484A (ja) 回線終端装置、接続装置、通信集約機器、回線交換装置、及び伝送システム
US20210266742A1 (en) Service start method and communication system
JP2007102731A (ja) 連携制御装置及びネットワーク管理システム
CN104581723A (zh) 一种客户端设备联网信息数据的应用方法及装置
US11310664B2 (en) Security protection to prevent unauthorized use of mobile network extenders
KR102467166B1 (ko) 가입자 장치로부터의 접속 해제 시 컴패니언 장치를 접속하기 위한 인증 방법
CN113079506B (zh) 网络安全认证方法、装置及设备
JP3851781B2 (ja) 無線通信装置及び無線通信システム、並びに、接続認証方法
CN108924828B (zh) 一种apn自适应方法、服务端和终端
CN114006807A (zh) 客户终端设备及其配置方法、配置服务器
SK500542015U1 (en) System for secure transmission of voice communication via the communication network and method for secure transmission of voice communication