JP5068495B2 - 分散型認証機能 - Google Patents
分散型認証機能 Download PDFInfo
- Publication number
- JP5068495B2 JP5068495B2 JP2006222961A JP2006222961A JP5068495B2 JP 5068495 B2 JP5068495 B2 JP 5068495B2 JP 2006222961 A JP2006222961 A JP 2006222961A JP 2006222961 A JP2006222961 A JP 2006222961A JP 5068495 B2 JP5068495 B2 JP 5068495B2
- Authority
- JP
- Japan
- Prior art keywords
- message
- ont
- eap
- entity
- olt
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B10/00—Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
- H04B10/25—Arrangements specific to fibre transmission
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Small-Scale Networks (AREA)
Description
本明細書の開示は、一般にデータネットワークで認証機能を促進することに関し、より詳細にはIEEE802.1X規格を使用した受動光ネットワーク(Passive Optical Network)で認証機能を促進することに関する。
電気電子学会(IEEE)の802.1X規格(すなわち802.1X)はネットワークのアクセス制御を促進するための規格である。この規格は、例えば受動光ネットワーク(Passive Optical Network)(PON)、ワイファイ無線ネットワーク等のデータネットワークで、ユーザトラフィックを認証および制御するための効果的な枠組みを提供する。802.1Xの基本的な機能は、(例えば、特定の種類のトラフィックについて)認証が完了するまで、ネットワークポートを使用不能にしておくことである。802.1Xの制御下にあるこのようなネットワークポートは、本明細書では制御下のポートと呼ばれる。結果によって、制御下のポートはすべてのトラフィックに対して利用可能となるか、または少なくともトラフィックの一部について使用不能のままであるかのいずれかである。
802.1Xは、認証メッセージの受け渡しを行うために拡張認証プロトコル(EAP)を使用する。「LAN上のEAP(EAPoL)」は、イーサネット(登録商標)などのパケットネットワークのために特に構成されている。802.1Xは認証セッションの開始および終了、ならびにサプリカントとオーセンティケータとの間のEAPメッセージの受け渡し、およびオーセンティケータを介したサプリカントから認証サーバへのEAPメッセージの受け渡しのためにEAPoLを使用する。遠隔認証ダイヤルインユーザサービス(Remote Authentication Dial In User Service)(RADIUS)プロトコルは、オーセンティケータから認証サーバへEAPメッセージを送信するために使用される典型的なプロトコルである。サプリカントとはネットワークへのアクセスを要求するエンティティ(例えばユーザまたはクライアント)であり、オーセンティケータとはネットワークポートをサプリカントに与えるネットワークデバイス(例えばアクセスポイント(AP)、ネットワークアクセスサーバ(NAS)等)であり、認証サーバとは認証を与えるサーバである。一部のネットワーク(例えば比較的小規模のネットワーク)では、認証サーバはしばしばオーセンティケータと同じネットワーク要素に配置される。
従来の方法では、最初の802.1X認証機能はサプリカントがオーセンティケータとの接続を試みることから始まる。オーセンティケータは、クライアントから認証サーバへEAPパケットのみを渡すために、ポート(すなわち制御下のポート)を使用可能にすることによって応答する。オーセンティケータはサプリカントの身元を確認できるまで、HTTP、DHCPおよびPOP3パケットなど、その他すべてのトラフィックを遮断する。オーセンティケータは、サプリカントの身元の認証を促進するために、認証サーバと相互に作用する。一旦サプリカントの身元がうまく認証されると、オーセンティケータはその他の種類のトラフィック用の制御されたポートを開く。
802.1Xを介した認証を実施するための従来の方法は、低電力、低コストのデバイスにとって、全面的な機能はコストが高くつきすぎ、複雑すぎるという点で制限される。例えばPONの光ネットワーク端末(ONT)は、比較的高度なデータプレーンのパケット処理機能と比較的制限された制御プレーン機能とを備えた、比較的低コスト、低電力のデバイスとして意図的に設計されている。したがって、オーセンティケータのポートアクセスエンティティ(Port Access Entity)(PAE)機能のすべてを802.1Xを介してONT上で動作させることは、RADIUSクライアント機能を備えたONTでホストIPスタックを必要とするので、ONTのコストと複雑さとが増すことに加え、ONTで厳重なセキュリティおよび処理能力の要件が必要となる。
したがって、比較的低電力、低コストのデバイスで、コスト面で有効な802.1Xを介した認証の実施を可能にするための方法は、実用的で有益なものとなろう。
本発明の実施形態は、細部の802.1X処理を比較的よりコストの高い、より高機能なPONの光回線端末(Optical Line Terminal)(OLT)に残しておいて、受動光ネットワーク(PON)の光ネットワーク端末(ONT)などの低電力、低コストのデバイスでの、コスト効率的な802.1X認証機能の実施を提供する。本発明は、例えば通信リンクを介して機能ブロック間で情報を透過的に送信するためのトンネリングプロトコルを備えた個別のネットワーク要素で実装されることが可能な機能ブロックに、802.1X認証機能を分解することによって行われる。ONTはPONにサービスを提供するOLTにしっかりと結合されているため、オーセンティケータのポートアクセスエンティティ(PAE)機能はONTとOLTとの間で効果的かつ効率的に分散させることが可能である。この分散型の配置で、ONTは(すなわちポートからのパケットを受理または拒否するために)制御下のポートのステートマシンの実施に対して責任を負い、OLTは局所または遠隔の身元認証(例えばサプリカントの身元認証)を含めた、オーセンティケータPAE機能の残り部分(remainder)に対して責任を負う。ONT上の制御下のポートの機能の実施は比較的単純な方法で提供されるが、一方で802.1XのセキュリティはONTで実施される。そのようにする中で、本発明の実施形態はONTなどの比較的低電力、低コストのデバイスを介し、802.1Xの認証機能の実施に関する制限を有利に克服する。
本発明の1つの実施形態では、方法は非認証メッセージを送信しようとするエンティティの身元が認証されるまで、PONのONTからの前記非認証メッセージの送信を抑制することと、PONのOLTによる受信のためのONTからの認証要求と、エンティティのためにONTによりエンティティ認証確認を受信したことに応答して、ONTからの非認証メッセージの送信を可能にすることとを備える。ONTからの非認証メッセージの送信を抑制すること、およびONTからの非認証メッセージの送信を可能にすることはONTによって実行される。
本発明の別の実施形態では、PONはONTとOLTとを備える。ONTは少なくとも1つのデータ処理デバイスと、少なくとも1つのデータ処理デバイスに接続されたメモリと、メモリからアクセス可能な、またONTの少なくとも1つのデータ処理デバイスによって処理可能なONT命令とを含む。ONT命令は、非認証メッセージを送信しようとするエンティティの身元が認証されるまでONTからの前記非認証メッセージの送信を抑制すること、およびそのエンティティについてエンティティ認証確認を受信したことに応答してONTからの非認証メッセージの送信を可能にすることを、ONTの少なくとも1つのデータ処理デバイスが促進することができるように構成される。
本発明の別の実施形態では、PONはオーセンティケータPAE機能の制御下のポートの動作を提供するように構成されたONTと、オーセンティケータPAE機能のエンティティ認証の動作を提供するように構成されたOLTとを備える。ONTとOLTとは、これらの間の相互作用が可能になるように相互に接続される。
ここで本発明の具体的な態様を見ると、少なくとも1つの実施形態で、PONは少なくとも1つのデータ処理デバイスと、OLTの少なくとも1つのデータ処理デバイスに接続されたメモリと、メモリからアクセス可能な、またOLTの少なくとも1つのデータ処理デバイスによって処理可能なOLT命令とを含むOLTをさらに備える。OLT命令は、エンティティの身元を認証すること、および身元が認証されたことに応答してエンティティ認証確認を送信することを、OLTの少なくとも1つのデータ処理デバイスが促進することができるように構成される。
本発明の少なくとも1つの実施形態では、ONTからの非認証メッセージの送信を抑制すること、およびONTからの非認証メッセージの送信を可能にすることはONTによって実行される。
本発明の少なくとも1つの実施形態では、本発明による方法および命令は、エンティティの身元を認証し、身元が認証されたことに応答して、ONTによる受信のためにエンティティ認証確認を送信するようにそれぞれ構成されている。
本発明の少なくとも1つの実施形態では、エンティティの身元を認証すること、およびエンティティ認証確認を送信することは、OLTと認証サーバとのうちの少なくとも1つによって実行される。
本発明の少なくとも1つの実施形態で、エンティティ認証要求を送信すること、およびエンティティ認証確認を送信することのそれぞれは、ONTとOLTとの間の専用トンネルを介して拡張認証プロトコル(EAP)メッセージを送信することと、EAPメッセージと非EAPメッセージとを含むデータ経路でEAPメッセージを送信し、データ経路からEAPメッセージを抽出することのうちの少なくとも1つとを含む。
本発明の少なくとも1つの実施形態で、本発明による方法および命令は、エンティティの身元を認証することが実行されることが可能になるように、エンティティ認証要求をオーセンティケータPAE機能に向けて送るようにそれぞれが構成される。
本発明のこれら、およびその他の目的、実施形態、利点および/または特徴は、図面および添付の特許請求の範囲に関連する以下の詳述をさらに吟味することで、容易に明らかとなろう。
図1A〜1Cは本明細書では方法100と呼ばれる、本発明による方法を示す。方法100は、分散型の配置でIEEE802.1XのオーセンティケータPAE機能を実行するために構成される。この分散型の配置で、PONのONTは、(すなわちポートからのパケットを受理または拒否するために)制御下のポートのステートマシンの実施に対して責任を負い、ONTに接続されたPONのOLTは、局所または遠隔のエンティティの身元認証(例えばサプリカントの身元認証)を含めた、オーセンティケータPAE機能の残り部分に対して責任を負う。したがって方法100により、802.1Xオーセンティケータ機能の制御下のポートの動作は、比較的低電力、低コストのデバイスであるONTを介して有利に実施されるようになる。
ONTはPONのファイバ基盤を通じてOLTに接続される。ONTは加入者の構内でイーサネット(登録商標)のポート接続性を提供する。この方法では、ONTは例えばネットワーク接続性を備えたパーソナルコンピュータシステムなどの、顧客構内機器(CPE)を提供する。本発明によるONTは、戸建用ユニットのONTか、または集合住宅用ユニットのONTであってよいことを本明細書で開示する。本明細書ではまた、本発明が特定の型またはブランドのONTを介した実施態様に限定されないことも開示する。本明細書での開示を見ることで、当業者には本発明が任意の数の異なる型および/またはブランド、またはONTに適用可能であることが理解されよう。
ここで図1Aを参照すると、方法100は、ONTの制御下のポート上で非EAPメッセージの送信を抑制する動作102をONTが実行することで開始される。このために、ONTは制御下のポートがうまく認証されるまで、ONTの制御下のポート上のすべての非EAPメッセージを中断する。本発明によるメッセージは1つもしくは複数のパケット、またはその他の種類のデータ伝送ユニットから構成されてよいことが本明細書で開示される。
サプリカントの制御で、CPEは接続されたONTによる受信のためにEAP開始メッセージを送信する動作104を実行する。EAP開始メッセージを送信する動作104は、EAP開始メッセージの準備を促進することを含む。EAP開始メッセージは、ONTの制御下のポートを介した非EAPメッセージの送信および/または受信を求めるCPEの要望を通信する情報を含む。
EAP開始メッセージを受信する動作106をONTが実行したことに応答して、ONTはCPEによる受信のためにEAP身元要求メッセージを送信する動作108を実行する。EAP身元要求メッセージを送信する動作108は、EAP身元要求メッセージの準備を促進することを含む。EAP身元要求メッセージは、サプリカントの認証情報(例えばユーザネームおよびパスコード)を求める要求を通信する情報を含む。
EAP身元要求メッセージを受信する動作110をCPEが実行したことに応答して、CPEはONTによる受信のためにEAP応答メッセージ(すなわちサプリカントの認証要求)を送信する動作112を実行する。EAP応答メッセージを送信する動作112は、EAP応答メッセージの準備を促進することを含む。EAP応答メッセージは、要求されるサプリカントの認証情報を含む。
EAP応答メッセージを受信する動作114をONTが実行したことに応答して、ONTはONTに用いられるOLTによる受信のためにEAP応答メッセージを転送する動作116を実行する。本明細書で、送信(transmitting)という用語は送信(sending)と転送(forwarding)を含むものとして定義される。しかしながら転送とは一般的に、メッセージを送信するデバイスによって作成されていないメッセージを送信することを意味する。OLTはEAP応答メッセージを受信する動作118を実行し、その後、認証サーバによる受信のためにEAP応答メッセージを転送する動作120を実行する。
認証サーバはEAP応答メッセージを受信する動作122を実行する。EAP応答メッセージに含まれる情報(例えばサプリカントの資格)、および認証サーバに保持されている情報(例えば知られている真正のサプリカントの資格)によって、認証サーバはサプリカントの身元の確実性を判定する動作124を実行する。サプリカントの身元の確実性を判定する中で、認証サーバはOLT(すなわちオーセンティケータ)に代わってサプリカントの資格を確認する。サプリカントの身元が真正であると判定される場合、認証を行うサーバはOLTおよびONTを介したCPEによる受信のために承認メッセージ(すなわちエンティティ認証確認)を送信する動作126を実行する。サプリカントの身元が真正ではないか、または認証不可能と判定される場合、認証を行うサーバはONTおよびOLTを介したCPEによる受信のために拒否メッセージを送信する動作128を実行する。
遠隔認証ダイヤルインユーザサービス(RADIUS)機能によって構成されたバックエンドサーバは、認証サーバの一例である。上で開示された方法の身元認証はRADIUSサーバで実施されてもよいことが本明細書で開示される。本明細書ではまた、OLTとRADIUSサーバなどのバックエンド認証サーバとの間の通信は、「RADIUSプロトコル上のEAP」カプセル化機能を使用して実行されてもよいことも開示される。
ここで図1Bを参照すると、サプリカントの確認が真正と判定され、認証を行うサーバがOLTおよびONTを介したCPEによる受信のために承認メッセージを送信する場合、OLTはEAP承認メッセージを受信する動作130を実行し、その後ONTによる受信のためにEAP承認メッセージを転送する動作132を実行する。EAP承認メッセージを受信する動作134を実行したことに応答して、ONTはCPEによる受信のためにEAP承認メッセージを転送する動作136を実行し、ONTの制御下のポートでの非EAPメッセージの送信を可能にする動作138を実行する。CPEはEAP承認メッセージを受信する動作140を実行し、それによってエンティティ認証確認がCPEを介してサプリカントに提示されるようにする。
図1Cに示されるように、ONTが、ONTの制御下のポートでの非EAPメッセージの送信を可能にした後のある時点で、CPEはONTによる受信のためにログオフメッセージを送信する動作142を実行する。例えば、ログオフメッセージはサプリカントの要求で送信されてもよく、または制御下のポート上での定められた休止期間の後(すなわち、いかなる非EAPトラフィックもない定められた期間の後)で送信されてもよい。ログオフメッセージを受信する動作144を実行したことに応答して、ONTは非EAPメッセージの送信を抑制する動作146を実行し、非EAPメッセージが制御下のポートを介して通信されてよいように、ONTが同一か、または異なるサプリカントの身元の認証を待っている状態で、方法100が終了する。
ログオフメッセージを送信する動作142はOLT(すなわちオーセンティケータ)によってか、または認証サーバによって選択的に実施されることが本明細書で開示される。例えば、オーセンティケータまたは認証サーバは、オーセンティケータによって受信されるシステム管理者からの要求に応じて、制御下のポートで識別される定められたセキュリティ侵害条件等に応じて、制御下のポート上での定められた休止期間の後(すなわち、いかなる非EAPトラフィックもない定められた期間の後)でログオフメッセージを送信してもよい。
図1Bに戻りこれを参照すると、サプリカントの身元が真正ではないか、または認証不可能と判定され、認証を行うサーバがONTおよびOLTを介したCPEによる受信のために拒否メッセージを送信する場合、OLTはEAP拒否メッセージを受信する動作148を実行し、その後ONTによる受信のためにEAP拒否メッセージを転送する動作150を実行する。EAP拒否メッセージを受信する動作152を実行したことに応答して、ONTはCPEによる受信のためにEAP拒否メッセージを転送する動作154を実行する。CPEはEAP拒否メッセージを受信する動作156を実行して、それによって非認証通知がCPEを介してサプリカントに提示されるようにし、この時点で方法100は終了する。
本発明による認証サーバは、局所の認証機能を提供するOLTの機能部品(すなわちオーセンティケータ)であるか、または遠隔の認証機能を提供するOLTから独立したネットワーク要素(例えばRADIUSサーバ)であってもよいことが、本明細書で開示される。いずれの場合でも、認証サーバは1つまたは複数のサプリカントの資格を認証するために必要な情報(すなわち、知られている真正のサプリカントの資格)を保持する。知られている真正のサプリカントの資格は、サプリカント認証情報の確実性を判定するために、サプリカント認証情報と比較される。
OLT(すなわちオーセンティケータ)はEAP開始メッセージを送信する動作104、EAP身元要求メッセージを受信する動作110、およびEAP応答メッセージを送信する動作112を選択的に実行することが、本明細書で開示される。オーセンティケータは、ONTによって特定のトラフィックが受信されるようにする動作を、そうした非EAPのトラフィックを最初にONTが可能にすることなく実行することができる。オーセンティケータが制御下のポート上の非EAPのトラフィックフローを可能にすることを必要としてもよい状況の例は、システム管理者からのトラフィックの伝達、およびその他の認証されたエンティティからのトラフィックの伝達を含むが、これらに限定されるわけではない。オーセンティケータがそうした動作を実行する場面では、認証され、確認されるのはサプリカントの身元よりもむしろオーセンティケータの身元(例えばオーセンティケータを通じて動作する認証されたエンティティ)である。
図2は本発明によるPONの実施形態を示しており、本明細書ではPON200と呼ばれる。PON200は、図1A〜1Cの方法100に関して先に開示したような認証機能を実行するように構成される。PON200はONT204とOLT208とを含む。ONTはこれに接続されたサプリカントCPE206(例えばパーソナルコンピューティングシステム)を有し、OLT208はこれに接続された認証サーバ210(すなわちOLT208から独立したアプリケーションサーバ)を有する。ONT204は、通信リンク211によってOLT208に接続される。したがって、ONT204、CPE206、OLT208および認証サーバ210の間でメッセージが通信されてもよい。
ONT204はデータ処理デバイス212、ONT204のデータ処理デバイス212に接続されたメモリ214、およびメモリ214からのアクセスが可能で、ONT204のデータ処理デバイス212によって処理可能なONT命令216を含む。ONT命令216は、他の機能の中で、データ処理デバイス212がオーセンティケータポートアクセスエンティティ(PAE)機能の制御下のポートの動作を促進できるように構成される。好ましい実施形態で、そのような制御下のポートの動作はONT204からの非認証メッセージの送信を抑制すること、OLT208による受信のためにONT204からサプリカント認証要求を送信すること、およびOLT208からエンティティ認証確認を受信したことに応答してONT204からの非認証メッセージの送信を可能にすることを含むが、これらに限定されるわけではない。
OLT208はデータ処理デバイス218、OLT208のデータ処理デバイス218に接続されたメモリ220、およびメモリ220からのアクセスが可能で、OLT208のデータ処理デバイス218によって処理可能なOLT命令222を含む。OLT命令222は、他の機能の中で、データ処理デバイス212がオーセンティケータPAE機能のエンティティ認証の動作を促進できるように構成される。好ましい実施形態で、そのようなエンティティ認証の動作はサプリカントの身元を認証することと、身元が認証されたことに応答してOLT208およびONT204を介したCPE206による受信のためにエンティティ認証確認を送信することとを含むが、これらに限定されるわけではない。
EAPメッセージは少なくとも2つの異なる方法によって、通信リンク211上でONT204とOLT208との間で通信されてもよいことが、本明細書で開示される。第1の方法で、通信リンク211は事前に確立された(例えば専用の)トンネルであり、EAPメッセージは事前に確立されたトンネル上でONT204とOLT208との間で通信される。例えば、LAN上のEAP(EAPoL)カプセル化機能を用いるイーサネット(登録商標)では、EAPメッセージは事前に確立されたトンネル上でONT204からOLT208へ転送される。BPON技術の場合、このトンネルは、EAPトラフィックのためのONT毎の独立した専用仮想接続(Private Virtual Connection)(PVC)であることが可能である。事前に確立されたトンネル上でONT204からOLT208へ送信されるEAPメッセージは、OLT208上でPAE機能に向け直される。同じく、サプリカントCPE206へのEAPメッセージは、ONT204とOLT208との間のトンネル上にOLT208によって挿入される。第2の方法で、EAPメッセージは非EAPメッセージと同じデータトンネルで転送される。非EAPメッセージを含むデータ経路からのEAPメッセージの抽出が可能となるように、ONT204とOLT208との両方でフィルタリング機構が実施される。データトンネルから抽出された、ONT204からOLT208へのEAPメッセージは、OLT208上でPAE機能に向け直される。同じく、サプリカントCPE206のユーザへのEAPメッセージは、ONT204とOLT208との間のデータトンネルのデータ経路の中にOLT208によって挿入される。
前述の詳細な説明では、本発明を実行することができる具体的な実施形態を例として示した、詳細な説明の一部をなす添付の図面を参照してきた。当業者が本発明の実施形態を実行できるようにするために、これらの実施形態およびその特定の変形形態を十分に詳細に説明してきた。こうした発明の開示の精神または範囲から逸脱することなく、その他の適切な実施形態が活用され、論理的、機械的、化学的および電気的変更がなされてもよいことを理解されたい。不必要な詳述を避けるために、説明では当業者には知られているある種の情報を省略している。したがって、前述の詳細な説明は本明細書で言及される特定の形態に限定されることを意図しているのではなく、それとは反対に、添付の特許請求の精神および範囲に合理的に含まれることが可能な代替物、変更物および均等物を包含することを意図している。
100 方法
102、104、106、108、110、112、116、120、122、124、126、128、130、134、138、140、142、144、148、156 動作
200 PON
204 ONT
206 サプリカントCPE
208 OLT
210 認証サーバ
211 通信リンク
212、218 データ処理デバイス
214、220 メモリ
216 ONT命令
222 OLT命令
102、104、106、108、110、112、116、120、122、124、126、128、130、134、138、140、142、144、148、156 動作
200 PON
204 ONT
206 サプリカントCPE
208 OLT
210 認証サーバ
211 通信リンク
212、218 データ処理デバイス
214、220 メモリ
216 ONT命令
222 OLT命令
Claims (9)
- 非認証メッセージを送信しようとするエンティティ(CPE)の身元が認証されるまで受動光ネットワーク(PON)(200)の光ネットワーク端末(ONT)からの前記非認証メッセージの送信を抑制する、ONTによって実行され(102)、
ONTでエンティティ認証確認を受信したこと(134)に応答して非認証メッセージの送信を可能にする(138)、ONTによって実行される(138)、方法(100)であって、
サプリカントの制御で、エンティティ(CPE)は接続されたONTによる受信のためにEAP開始メッセージを送信する動作(104)を実行し、
EAP開始メッセージを受信する動作(106)をONTが実行したことに応答して、ONTがエンティティ(CPE)による受信のためにEAP身元要求メッセージを送信する動作(108)を実行し、
EAP身元要求メッセージを受信する動作(110)をエンティティ(CPE)が実行したことに応答して、エンティティ(CPE)がEAP応答メッセージを送信する動作(112)を実行し、
EAP応答メッセージを受信する動作(114)をONTが実行したことに応答して、ONTが、ONTに用いられる光回線端末(OLT)による受信のためにEAP応答メッセージを転送する動作(116)を実行し、
OLTが、EAP応答メッセージを受信する動作(118)を実行し、及び、認証サーバによる受信のためにEAP応答メッセージを転送する動作(120)を実行し、
認証サーバがEAP応答メッセージを受信する動作(122)を実行し、
認証サーバがサプリカントの身元の確実性を判定する動作(124)を実行し、
サプリカントの身元が真正であると判定される場合、認証サーバがOLTおよびONTを介したエンティティ(CPE)による受信のために承認メッセージを送信する動作(126)を実行し、
サプリカントの身元が真正ではないか、または認証不可能と判定される場合、認証サーバがONTおよびOLTを介したエンティティ(CPE)による受信のために拒否メッセージを送信する動作(128)を実行することを特徴とする、方法。 - サプリカントの身元が真正と判定され、認証サーバがOLTおよびONTを介したエンティティ(CPE)による受信のために承認メッセージを送信する場合、OLTが、EAP承認メッセージを受信する動作(130)を実行し、及び、ONTによる受信のためにEAP承認メッセージを転送する動作(132)を実行し、
EAP承認メッセージを受信する動作(134)を実行したことに応答して、ONTが、エンティティ(CPE)による受信のためにEAP承認メッセージを転送する動作(136)を実行し、及び、ONTの制御下のポートでの非EAPメッセージの送信を可能にする動作(138)を実行し、エンティティ(CPE)がEAP承認メッセージを受信する動作(140)を実行し、
ONTが、ONTの制御下のポートへの非EAPメッセージの送信を可能にした後のある時点で、エンティティ(CPE)、OLT、又は認証サーバが、ONTによる受信のためにログオフメッセージを送信する動作(142)を実行し、
ログオフメッセージを受信する動作(144)を実行したことに応答して、ONTが非EAPメッセージの送信を抑制する動作(146)を実行し、
サプリカントの身元が真正ではないか、または認証不可能と判定され、認証サーバがONTおよびOLTを介したエンティティ(CPE)による受信のために拒否メッセージを送信する場合、OLTが、EAP拒否メッセージを受信する動作(148)を実行し、及びONTによる受信のためにEAP拒否メッセージを転送する動作(150)を実行し、
EAP拒否メッセージを受信する動作(152)を実行したことに応答して、ONTが、エンティティ(CPE)による受信のためにEAP拒否メッセージを転送する動作(154)を実行し、及び、エンティティ(CPE)がEAP拒否メッセージを受信する動作(156)を実行する、請求項1に記載の方法。 - サプリカント認証要求を送信すること、および前記エンティティ認証確認を送信することのそれぞれが、
ONTとOLTとの間の専用トンネル(211)を介して、拡張認証プロトコル(EAP)メッセージを送信することと、
EAPメッセージと非EAPメッセージとを含むデータ経路でEAPメッセージを送信し、データ経路から前記EAPメッセージを抽出することのうちの少なくとも1つを含む、請求項1に記載の方法。 - 前記エンティティの身元を認証することができるように、ONTでサプリカント認証要求をオーセンティケータポートアクセスエンティティ(PAE)機能に向けて送ることをさらに含む、請求項1に記載の方法。
- 前記エンティティの身元を認証することおよび前記エンティティ認証確認を送信することが、少なくとも1つのOLTと認証サーバとによって実行され、
サプリカント認証要求を送信することおよび前記エンティティ認証確認を送信することのそれぞれが、ONTとOLTとの間の専用トンネルを介して、拡張認証プロトコル(EAP)メッセージを送信することと、EAPメッセージと非EAPメッセージとを含むデータ経路でEAPメッセージを送信し、データ経路から前記EAPメッセージを抽出することのうちの少なくとも1つを含む、請求項4に記載の方法。 - 光ネットワーク端末(ONT)であって、少なくとも1つのデータ処理デバイス(212)と、ONTの前記少なくとも1つのデータ処理デバイスに接続されたメモリ(214)を備えた、前記光ネットワーク端末(ONT)と、
認証サーバ(210)と、
光回線端末(OLT)(208)であって、少なくとも1つのデータ処理デバイス(218)と、OLTの前記少なくとも1つのデータ処理デバイスに接続されたメモリ(220)とを備えた、前記光回線端末(OLT)と、
を備え、前記OLTと前記認証サーバが、協働してエンティティ(CPE)の身元を認証を促進するように構成された、受動光ネットワーク(PON)であって、
ONTの前記少なくとも1つのデータ処理デバイスが、非認証メッセージを送信しようとするエンティティの身元が認証されるまでONTからの前記非認証メッセージの送信を抑制するように構成され、
ONTの前記少なくとも1つのデータ処理デバイスが、さらに、エンティティ認証確認を受信したことに応答してONTからの非認証メッセージの送信を可能にするように構成され、
前記認証サーバ(210)、前記OLT及び前記ONTは、サプリカントの制御で、エンティティ(CPE)が接続されたONTによる受信のためにEAP開始メッセージを送信する動作(104)を実行する場合に、前記エンティティと、以下の、
EAP開始メッセージを受信する動作(106)をONTが実行したことに応答して、ONTがエンティティ(CPE)による受信のためにEAP身元要求メッセージを送信する動作(108)を実行するステップと、
EAP身元要求メッセージを受信する動作(110)をエンティティ(CPE)が実行したことに応答して、エンティティ(CPE)がEAP応答メッセージを送信する動作(112)を実行するステップと、
EAP応答メッセージを受信する動作(114)をONTが実行したことに応答して、ONTが、ONTに用いられる光回線端末(OLT)による受信のためにEAP応答メッセージを転送する動作(116)を実行するステップと、
OLTが、EAP応答メッセージを受信する動作(118)を実行し、及び、認証サーバによる受信のためにEAP応答メッセージを転送する動作(120)を実行するステップと、
認証サーバがEAP応答メッセージを受信する動作(122)を実行するステップと、
認証サーバがサプリカントの身元の確実性を判定する動作(124)を実行するステップと、
サプリカントの身元が真正であると判定される場合、認証サーバがOLTおよびONTを介したエンティティ(CPE)による受信のために承認メッセージを送信する動作(126)を実行するステップと、
サプリカントの身元が真正ではないか、または認証不可能と判定される場合、認証サーバがONTおよびOLTを介したエンティティ(CPE)による受信のために拒否メッセージを送信する動作(128)を実行するステップを実行するように構成された、ことを特徴とする、受動光ネットワーク(PON)。 - サプリカントの身元が真正と判定された場合には、
認証サーバがOLTへ承認メッセージを送信するように構成され、
OLTが、認証サーバからの承認メッセージを受信するのに応答して、拡張認証プロトコル(EAP)承認メッセージを送信するように構成され、
ONTが、EAP承認メッセージをエンティティへ転送するように構成され、及び/又は、
サプリカントの身元が真正ではないか、または認証不可能と判定された場合には、
認証サーバがOLTへ拒否メッセージを送信するように構成され、
認証サーバから拒否メッセージを受信したのに応答して、OLTが、EAP拒否メッセージをONTへ送信するように構成され、
ONTが、EAP拒否メッセージをエンティティへ転送するように構成された、請求項6に記載のPON。 - サプリカント認証要求を送信すること、および前記エンティティ認証確認を送信することのそれぞれが、
ONTとOLTとの間の専用トンネルを介して、拡張認証プロトコル(EAP)メッセージを送信することと、
EAPメッセージと非EAPメッセージとを含むデータ経路でEAPメッセージを送信し、データ経路から前記EAPメッセージを抽出することとのうちの少なくとも1つを含む、請求項6に記載のPON。 - 前記エンティティの身元を認証することができるように、ONTでサプリカント認証要求をオーセンティケータポートアクセスエンティティ(PEA)機能に向けて送ることを、OLTの前記少なくとも1つのデータ処理デバイスが促進するように構成された、請求項6に記載のPON。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/217,827 | 2005-09-01 | ||
| US11/217,827 US8069475B2 (en) | 2005-09-01 | 2005-09-01 | Distributed authentication functionality |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007068161A JP2007068161A (ja) | 2007-03-15 |
| JP5068495B2 true JP5068495B2 (ja) | 2012-11-07 |
Family
ID=37698088
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006222961A Expired - Fee Related JP5068495B2 (ja) | 2005-09-01 | 2006-08-18 | 分散型認証機能 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8069475B2 (ja) |
| EP (1) | EP1764975B1 (ja) |
| JP (1) | JP5068495B2 (ja) |
| KR (1) | KR101325790B1 (ja) |
| CN (1) | CN1925399A (ja) |
| WO (1) | WO2007030238A2 (ja) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8316430B2 (en) * | 2006-10-06 | 2012-11-20 | Ricoh Company, Ltd. | Preventing network traffic blocking during port-based authentication |
| CN101114910B (zh) * | 2007-08-23 | 2010-12-08 | 中兴通讯股份有限公司 | Pon系统中的ont/onu认证方法和系统 |
| CN101123537B (zh) * | 2007-09-25 | 2010-06-02 | 杭州华三通信技术有限公司 | 配置同轴电缆承载以太网终端的方法、系统及管理服务器 |
| CN101197679B (zh) * | 2008-01-04 | 2010-09-08 | 中兴通讯股份有限公司 | 一种预防拒绝服务攻击的用户认证方法及系统 |
| US20090193247A1 (en) * | 2008-01-29 | 2009-07-30 | Kiester W Scott | Proprietary protocol tunneling over eap |
| US8484705B2 (en) * | 2008-04-25 | 2013-07-09 | Hewlett-Packard Development Company, L.P. | System and method for installing authentication credentials on a remote network device |
| US20090271852A1 (en) * | 2008-04-25 | 2009-10-29 | Matt Torres | System and Method for Distributing Enduring Credentials in an Untrusted Network Environment |
| US9218469B2 (en) | 2008-04-25 | 2015-12-22 | Hewlett Packard Enterprise Development Lp | System and method for installing authentication credentials on a network device |
| US9674892B1 (en) * | 2008-11-04 | 2017-06-06 | Aerohive Networks, Inc. | Exclusive preshared key authentication |
| KR101045688B1 (ko) * | 2008-11-28 | 2011-07-01 | 한국전자통신연구원 | 기가비트 수동형 광 네트워크 링크에서 비정상적인 상향 트래픽 전송 방지를 위한 ont 인증 방법 및 그 시스템 |
| US20110302283A1 (en) * | 2010-06-03 | 2011-12-08 | Niclas Nors | Methods And Arrangements In A Passive Optical Network |
| JP5838320B2 (ja) | 2011-04-28 | 2016-01-06 | パナソニックIpマネジメント株式会社 | 通信装置、認証装置、通信方法、および認証方法 |
| US8990892B2 (en) * | 2011-07-06 | 2015-03-24 | Cisco Technology, Inc. | Adapting extensible authentication protocol for layer 3 mesh networks |
| US8769644B1 (en) * | 2013-03-15 | 2014-07-01 | Rightscale, Inc. | Systems and methods for establishing cloud-based instances with independent permissions |
| CN104902354A (zh) * | 2015-06-18 | 2015-09-09 | 深圳市新格林耐特通信技术有限公司 | 一种gpon系统中灵活安全的ont认证方法 |
| US20190332558A1 (en) * | 2018-04-25 | 2019-10-31 | Qualcomm Incorporated | Low-power states in a multi-protocol tunneling environment |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6055637A (en) * | 1996-09-27 | 2000-04-25 | Electronic Data Systems Corporation | System and method for accessing enterprise-wide resources by presenting to the resource a temporary credential |
| ATE282272T1 (de) * | 2000-01-31 | 2004-11-15 | Aeptec Microsystems Inc | Zugangsvorrichtung für breitbandkommunikationen |
| JP2003110596A (ja) * | 2001-09-28 | 2003-04-11 | Hitachi Ltd | データ通信サービス提供方法 |
| JP2004032253A (ja) * | 2002-06-25 | 2004-01-29 | Hitachi Ltd | ネットワーク通信装置および通信方式 |
| JP4110890B2 (ja) * | 2002-09-03 | 2008-07-02 | 株式会社日立製作所 | パケット通信システム |
| KR100933167B1 (ko) * | 2002-10-02 | 2009-12-21 | 삼성전자주식회사 | 트리 구조 네트워크 상에서의 인증과 프라이버시 보장을위한 전송 방법 |
| US7587598B2 (en) * | 2002-11-19 | 2009-09-08 | Toshiba America Research, Inc. | Interlayer fast authentication or re-authentication for network communication |
| KR100594024B1 (ko) * | 2003-03-10 | 2006-07-03 | 삼성전자주식회사 | Epon에서의 인증 방법과 인증 장치과 인증 장치 및상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로읽을 수 있는 기록매체 |
| KR100487207B1 (ko) | 2003-05-20 | 2005-05-04 | 삼성전자주식회사 | 방송 통신 융합 시스템에서의 nad를 이용한 채널 권한인증 방법 |
| KR100605855B1 (ko) * | 2003-09-08 | 2006-07-31 | 삼성전자주식회사 | 방송 스위칭을 통한 방송 통신 융합 ftth망 |
| KR100520656B1 (ko) * | 2003-09-26 | 2005-10-13 | 삼성전자주식회사 | 방송/영상 신호에 대한 보안이 가능한 실시간 방송/영상을수용하는 이더넷 수동형 광 가입자 망 |
| US8165156B1 (en) | 2003-12-16 | 2012-04-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Ethernet DSL access multiplexer and method providing dynamic service selection and end-user configuration |
| US20050160161A1 (en) * | 2003-12-29 | 2005-07-21 | Nokia, Inc. | System and method for managing a proxy request over a secure network using inherited security attributes |
| EP1746760A1 (en) * | 2004-05-14 | 2007-01-24 | Mitsubishi Electric Corporation | Pon system having encryption function and encryption method of the pon system |
| US20060203842A1 (en) * | 2004-11-12 | 2006-09-14 | Wollmershauser Steven M | Dongle-type network access module |
| KR100675836B1 (ko) * | 2004-12-10 | 2007-01-29 | 한국전자통신연구원 | Epon 구간내에서의 링크 보안을 위한 인증 방법 |
| KR100713351B1 (ko) * | 2005-02-07 | 2007-05-04 | 삼성전자주식회사 | 인터넷 프로토콜 방송 서비스를 제공하기 위한 시스템 및방법 |
| JP4725228B2 (ja) * | 2005-07-28 | 2011-07-13 | 日本電気株式会社 | Ponシステム、ロジカルリンク割当方法およびロジカルリンク割当装置 |
| JP4687332B2 (ja) * | 2005-08-25 | 2011-05-25 | 日本電気株式会社 | 光アクセスネットワークのセンタ側装置および光アクセスネットワークのデータ信号送出方法 |
-
2005
- 2005-09-01 US US11/217,827 patent/US8069475B2/en not_active Expired - Fee Related
-
2006
- 2006-07-07 EP EP06014102.5A patent/EP1764975B1/en active Active
- 2006-08-02 KR KR1020087007891A patent/KR101325790B1/ko not_active IP Right Cessation
- 2006-08-02 WO PCT/US2006/030081 patent/WO2007030238A2/en active Application Filing
- 2006-08-18 JP JP2006222961A patent/JP5068495B2/ja not_active Expired - Fee Related
- 2006-08-31 CN CNA2006101264727A patent/CN1925399A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| WO2007030238A3 (en) | 2007-08-23 |
| EP1764975B1 (en) | 2017-09-20 |
| EP1764975A1 (en) | 2007-03-21 |
| US8069475B2 (en) | 2011-11-29 |
| CN1925399A (zh) | 2007-03-07 |
| JP2007068161A (ja) | 2007-03-15 |
| WO2007030238A2 (en) | 2007-03-15 |
| US20070050839A1 (en) | 2007-03-01 |
| KR20080047587A (ko) | 2008-05-29 |
| KR101325790B1 (ko) | 2013-11-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5068495B2 (ja) | 分散型認証機能 | |
| JP3844762B2 (ja) | Eponにおける認証方法及び認証装置 | |
| CN107786613B (zh) | 宽带远程接入服务器bras转发实现方法和装置 | |
| US7434044B2 (en) | Fast re-authentication with dynamic credentials | |
| US8842830B2 (en) | Method and apparatus for sending a key on a wireless local area network | |
| US9258305B2 (en) | Authentication method, transfer apparatus, and authentication server | |
| US9749320B2 (en) | Method and system for wireless local area network user to access fixed broadband network | |
| US8336082B2 (en) | Method for realizing the synchronous authentication among the different authentication control devices | |
| WO2016160457A1 (en) | Secure transmission of a session identifier during service authentication | |
| US10250581B2 (en) | Client, server, radius capability negotiation method and system between client and server | |
| WO2009037700A2 (en) | Remote computer access authentication using a mobile device | |
| WO2014117525A1 (zh) | 静态用户终端认证处理方法及装置 | |
| WO2017012142A1 (zh) | 一种双连接安全通讯的方法及装置 | |
| CN107277058B (zh) | 一种基于bfd协议的接口认证方法及系统 | |
| CN111031540B (zh) | 一种无线网络连接方法及计算机存储介质 | |
| WO2017005163A1 (zh) | 基于无线通信的安全认证装置 | |
| CN107547618A (zh) | 一种会话拆除方法和装置 | |
| KR20170038568A (ko) | Sdn 컨트롤러 및 sdn 컨트롤러에서의 스위치 식별 방법 | |
| US20070028092A1 (en) | Method and system for enabling chap authentication over PANA without using EAP | |
| CN101640680B (zh) | 一种网络接入控制的方法、系统和装置 | |
| JP5982706B2 (ja) | セキュアトンネリング・プラットフォームシステムならびに方法 | |
| JP6267462B2 (ja) | 接続制御装置、接続制御方法、及びプログラム | |
| CN106534117B (zh) | 一种认证方法和装置 | |
| KR101480706B1 (ko) | 인트라넷에 보안성을 제공하는 네트워크 시스템 및 이동통신 네트워크의 보안 게이트웨이를 이용하여 인트라넷에 보안성을 제공하는 방법 | |
| WO2013086076A1 (en) | Unattended authentication in a secondary authentication service for wireless carriers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090805 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110826 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110927 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20111222 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20111228 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120326 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120424 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120723 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120807 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120815 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150824 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |