KR20030088643A - Method of encryption for gigabit ethernet passive optical network - Google Patents

Method of encryption for gigabit ethernet passive optical network Download PDF

Info

Publication number
KR20030088643A
KR20030088643A KR1020020026463A KR20020026463A KR20030088643A KR 20030088643 A KR20030088643 A KR 20030088643A KR 1020020026463 A KR1020020026463 A KR 1020020026463A KR 20020026463 A KR20020026463 A KR 20020026463A KR 20030088643 A KR20030088643 A KR 20030088643A
Authority
KR
South Korea
Prior art keywords
optical fiber
subscriber network
optical
encryption
key
Prior art date
Application number
KR1020020026463A
Other languages
Korean (ko)
Other versions
KR100594023B1 (en
Inventor
김수형
송재연
김영천
김아정
노선식
한경은
박혁규
이민효
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020020026463A priority Critical patent/KR100594023B1/en
Publication of KR20030088643A publication Critical patent/KR20030088643A/en
Application granted granted Critical
Publication of KR100594023B1 publication Critical patent/KR100594023B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • H04L9/0656Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/0001Selecting arrangements for multiplex systems using optical switching
    • H04Q11/0062Network aspects
    • H04Q11/0067Provisions for optical access or distribution networks, e.g. Gigabit Ethernet Passive Optical Network (GE-PON), ATM-based Passive Optical Network (A-PON), PON-Ring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)

Abstract

PURPOSE: A coding method in a gigabit ethernet-passive optical network is provided to improve the efficiency of encryption by including the exchange and manage of an encryption key into a scheduling procedure of the gigabit ethernet-passive optical network. CONSTITUTION: An optical line terminal(100) of an optical network unit(120) is registered(801,803,805). The optical line terminal(100) of optical network unit(120) is authenticated(807,809,811). The optical line terminal(100) generates a session key using an obtained public key of the optical network unit(120) in the authentication process, and the pseudo-random values. The optical line terminal(100) transmits the pseudo-random values to the optical network unit(120). The optical network unit(120), which receives the pseudo-random values, generates a session key using the received pseudo-random values and the public key of the optical line terminal(100).

Description

기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법{METHOD OF ENCRYPTION FOR GIGABIT ETHERNET PASSIVE OPTICAL NETWORK}Encryption method in Gigabit Ethernet passive optical subscriber network {METHOD OF ENCRYPTION FOR GIGABIT ETHERNET PASSIVE OPTICAL NETWORK}

본 발명은 초고속 수동형 광 가입자망인 기가비트 이더넷 수동형 광 가입자망(Ethernet Passive Optical Network, EPON)에 관한 것으로, 특히 기가비트 이더넷 수동형 광 가입자망의 암호화 방법에 관한 것이다.The present invention relates to a Gigabit Ethernet Passive Optical Network (EPON), which is a high-speed passive optical subscriber network, and more particularly, to an encryption method of a Gigabit Ethernet passive optical subscriber network.

본 발명은 특히 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법 및 암호화 키 정보와 이에 따른 전체 스케쥴링 플로에 관한 것이다.The present invention relates in particular to an encryption method and encryption key information and thus overall scheduling flow in a Gigabit Ethernet passive optical subscriber network.

통상적으로, 정보를 뜻을 알 수 없는 정보(암호문)로 변환하는 것을 암호화라 한다. 암호화를 통해 정보를 암호문의 형태로 메모리에 저장하거나 통신 회선 상에서 전송함으로써 정보를 보호할 수 있다. 암호화를 세분하면, 통상적으로, 암호화와 복호화로 나누어 생각할 수 있다. 암호화는 암호화 키(특정한 비트 계열)를 사용하여 정보를 암호문으로 변환하는 것이고, 복호화는 복호 키를 써서 원래의 정보로 복원하는 것이다. 복호 키를 갖고 있는 사람만 올바른 정보로 복원할 수 있으므로, 복호 키가 제 3자에게 알려지지 않으면 정보를 보호할 수 있다. 암호 방식은 크게 비밀 키 암호 방식(관용 키 암호 방식)과 공개 키 암호 방식으로 나뉜다. 비밀 키 방식의 암호화와 복호화에 같은 키를 이용한다. 통신인 경우는 송신자와 수신자가 미리 똑같은 키를 비밀로 지닐 필요가 있다. 한편, 공개 키 암호방식은 암호화와 복호화에 다른 키를 사용하며, 암호화 키는 공개하고 복호 키는 비밀로 한다. 실제로 이용되고 있는 것은 비밀 키 암호 방식이 많으며, 널리 알려진 방식으로는 DES(Data Encryption Standard)가 있다. 한편, 하기에서는 특별한 이유가 없는 한, '암호화'와 '복호화'를 구분하지 않고, 상기 '암호화'와 '복호화'를 통칭하여 "암호화"라 칭한다. 즉, 이하 사용되는 "암호화"라는 용어는 별도의 언급이 없는 한 상기 '암호화'와 '복호화'를 통칭하는 의미로 사용된다.In general, the conversion of information into unknown information (cipher text) is called encryption. Encryption protects information by storing it in memory in the form of cipher text or by transmitting it on a communications line. When encryption is subdivided, it can be considered to divide into encryption and decryption normally. Encryption uses an encryption key (a specific bit sequence) to convert information into ciphertext, and decryption uses a decryption key to restore original information. Since only the person who has the decryption key can restore the correct information, the information can be protected if the decryption key is unknown to the third party. Cryptographic methods are largely divided into secret key cryptography (common key cryptography) and public key cryptography. The same key is used for both encryption and decryption of the secret key method. In the case of communication, the sender and the receiver need to keep the same key secret in advance. Public key cryptography, on the other hand, uses different keys for encryption and decryption. The encryption key is public and the decryption key is kept secret. In practice, there are many secret key cryptography methods, and DES (Data Encryption Standard) is a widely known method. On the other hand, in the following description, "encryption" and "decryption" are collectively referred to as "encryption" without distinguishing between "encryption" and "decryption" unless there is a special reason. That is, the term "encryption" to be used below is used as the term "encryption" and "decryption" collectively unless otherwise stated.

도 1은 수동형 광 가입자망 장치의 구성을 도시하고 있다.1 shows a configuration of a passive optical subscriber network device.

도 1과 같이 수동형 광 가입자망은 하나의 광선로 종단장치(Optical Line Terminal, OLT, 이하 'OLT'라 칭함)(100)와 적어도 하나의 광 가입자망 장치(Optical Network Unit, ONU, 이하 'ONU'라 칭함)(120)들로 구성된다.As shown in FIG. 1, the passive optical subscriber network includes one optical line terminal (OLT), and at least one optical network unit (ONU). 120).

상기 도 1에 도시된 수동형 광 가입자망은 다시 비동기전송방식 수동형 광 가입자망과 기가비트 이더넷 수동형 광 가입자 망으로 구분할 수 있다. 한편, 현재에는 인터넷 기술의 발달과 가입자 측에서의 증가된 대역폭 요구에 따라 상대적으로 고가 장비이며 대역폭에 제한이 있고 IP 패킷을 세그먼테이션(segmentation)해야 하는 비동기전송방식 기술보다는 상대적으로 저가이며 높은 대역폭을 확보할 수 있는 기가비트 이더넷으로 종단간(end to end) 전송을 목표로 삼는 추세에 있다. 이에 따라 수동형 광 가입자 망 구조에서도 비동기전송방식이 아닌 이더넷 방식이 요구되고 있다.The passive optical subscriber network shown in FIG. 1 may be further classified into an asynchronous transmission passive optical subscriber network and a gigabit Ethernet passive optical subscriber network. On the other hand, due to the development of Internet technology and the increased bandwidth demand at the subscriber side, it is relatively expensive and has a relatively low cost and high bandwidth than the asynchronous transmission technology that has a limited bandwidth and IP packet segmentation. There is a trend towards end-to-end transmission with gigabit Ethernet. Accordingly, in the passive optical subscriber network structure, the Ethernet method is required rather than the asynchronous transmission method.

비동기전송방식 수동형 광 가입자망(ATM-PON, APON)이 사용하고 있는 암호화 방안은 churning으로, 3바이트 크기의 암호화 키가 사용된다. 이 방법은 1초마다암호화 키 값이 갱신되어야 하는 암호능력을 가지고 있으며 상대적으로 간단한 알고리즘이므로 622Mbps의 속도를 가지고 있는 APON에서 고속지원이 가능하기 때문에 APON에서 사용되었다. 이 방법에서 사용되는 암호화 키 값은 ONU(120)에서 만들어져 각 OLT(100)에게 제공되며 이 값과 주기적으로 갱신되는 암호화 키 값들은 유지보수(OAM) 셀의 페이로드(payload)부분에 넣어져 전달된다. APON의 경우, 당시 암호화기술의 한계와 고속지원의 가능성으로 인하여 3bytes의 churning 키를 유지보수 셀에 넣어 사용하였으나 이 경우, 암호화 키 자체의 능력이 제한된다는 문제점이 발생한다. 이에 비해, 기가비트 이더넷의 경우는 622Mbps의 전송속도를 갖는 APON에 비해 상대적으로 고속이므로 APON의 암호화방안을 따르는 것은 기술적으로 비효율적일 수밖에 없다. 또한 상대적으로 암호화에 취약한 점-대-다점의 구조를 가지고 있다. 따라서 이 경우, 상향/하향 링크의 사용자 데이터의 암호화문제가 중요하므로 강력하고 효율적인 암호화 키 방안의 선택과 효과적인 운용이 필요하다. 그러나 현재 기가비트 이더넷 수동형 광 가입자망의 암호화방안 및 암호화 키 관리 스케쥴링 방안은 IEEE802.3ah에서 표준화가 진행 중이다. 이에 따라 기가비트 이더넷 수동형 광 가입자망에 적합한 암호화 방법이 요구된다.Asynchronous Transmission Method The encryption scheme used by passive optical subscriber networks (ATM-PON, APON) is churning, and a 3-byte encryption key is used. This method has been used in APON because it has encryption capability that the encryption key value should be updated every second and it is a relatively simple algorithm, so it is possible to support high speed in APON with speed of 622Mbps. The encryption key value used in this method is created in the ONU 120 and provided to each OLT 100, and this value and the periodically updated encryption key values are put in the payload portion of the maintenance (OAM) cell. Delivered. In the case of APON, due to the limitation of encryption technology and the possibility of high speed support, 3 bytes of churning keys were used in the maintenance cell, but in this case, the capability of the encryption key itself is limited. In contrast, Gigabit Ethernet is relatively high speed compared to APON having a transmission rate of 622 Mbps. Therefore, it is technically inefficient to follow the encryption scheme of APON. It also has a point-to-multipoint structure that is relatively vulnerable to encryption. Therefore, in this case, the encryption problem of the user data of the uplink / downlink is important, it is necessary to select a strong and efficient encryption key scheme and effective operation. However, the encryption scheme and encryption key management scheduling scheme of Gigabit Ethernet passive optical subscriber network are currently being standardized in IEEE802.3ah. Accordingly, there is a need for an encryption method suitable for a gigabit Ethernet passive optical subscriber network.

본 발명의 목적은 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법을 제공함에 있다.An object of the present invention is to provide an encryption method in a gigabit Ethernet passive optical subscriber network.

본 발명의 다른 목적은 기가비트 이더넷 수동형 광 가입자망의 암호화에서암호화키 관리 및 암호화키 값 교환에 따른 전체 스케쥴링 플로의 정의를 제공함에 있다.Another object of the present invention is to provide a definition of an entire scheduling flow according to encryption key management and encryption key value exchange in encryption of a Gigabit Ethernet passive optical subscriber network.

상기 목적을 달성하기 위해 본 발명은; 하나의 광선로 종단장치와 적어도 하나의 광 가입자망 장치로 구성되는 기가비트 이더넷 수동형 광 가입자망에서, 발전된 암호화 표준 및 양방향 방식을 이용한 암호화 방법에 있어서, 광 가입자망 장치의 광선로 종단장치에 대한 등록과정과, 상기 등록과정에서 등록이 이루어진 광 가입자망 장치의 광선로 종단장치에 대한 인증과정과, 광선로 종단장치가 상기 인증과정에서 획득한 광 가입자망 장치의 공개키 값과 생성한 의사난수 값을 이용하여 세션키를 생성하는 과정과, 광선로 종단장치가 상기 의사난수 값을 광 가입자망 장치로 송신하는 과정과, 상기 의사난수 값을 수신한 광 가입자망 장치가 상기 인증과정에서 획득한 광선로 종단장치의 공개키 값과 상기 의사난수 값을 이용하여 세션키를 생성하는 과정을 포함함을 특징으로 하는 기가비트 이더넷 광 가입자망의 암호화 방법을 제안한다.The present invention to achieve the above object; In a Gigabit Ethernet passive optical subscriber network consisting of one optical fiber termination device and at least one optical subscriber network device, in an encryption method using an advanced encryption standard and a bidirectional scheme, registration of the optical fiber terminal device of the optical subscriber network device Process, authentication process for the optical fiber terminal device of the optical subscriber network device registered in the registration process, public key value and optical random number value generated by the optical fiber network device obtained in the authentication process Generating a session key by using a signal, transmitting a pseudo-random value to the optical subscriber network device by the optical fiber terminal device, and receiving a pseudo-random value by the optical subscriber network device during the authentication process A gigabit comprising the step of generating a session key using the public key value and the pseudo-random value of the end device. It proposes an encryption method of Ethernet FTTH.

도 1은 수동형 광 가입자망의 구조를 도시하는 도면,1 is a diagram showing the structure of a passive optical subscriber network;

도 2는 AES 암호화 적용대상을 도시하는 도면,2 is a diagram illustrating an AES encryption application target;

도 3은 맥 제어 부계층을 중심으로 암호화키 정보가 포함된 정보교환 인터페이스를 도시하는 도면,3 is a diagram illustrating an information exchange interface including encryption key information around a MAC control sublayer;

도 4는 암호화 구현을 위한 맥 제어 계층을 도시하는 도면,4 illustrates a Mac control layer for cryptographic implementation;

도 5는 본 발명에 따른 도면으로, 광선로 종단장치 측면에서 이루어지는 암호화 단계들을 도시하는 도면,FIG. 5 is a diagram in accordance with the present invention, illustrating cryptographic steps performed at the side of the optical fiber terminator; FIG.

도 6은 본 발명에 따른 도면으로, 광 가입자 장치에서 이루어지는 암호화 단계들을 도시하는 도면,6 is a diagram in accordance with the present invention, illustrating encryption steps performed in an optical subscriber device;

도 7은 본 발명에 따른 도면으로, 암호화를 위한 암호화키 생성 과정을 도시하는 도면,7 is a diagram illustrating an encryption key generation process for encryption in accordance with the present invention;

도 8은 본 발명의 일 실시 예에 따른 도면으로, 암호화키 값 교환을 포함하는 광선로 종단장치와 광 가입자 장치와의 신호흐름을 도시하는 도면,FIG. 8 is a diagram illustrating a signal flow between an optical fiber terminal device and an optical fiber terminal device including an encryption key value exchange according to an embodiment of the present invention;

도 9는 본 발명의 다른 실시 예에 따른 광선로 종단장치와 광 가입자 장치와의 신호흐름을 도시하는 도면.9 is a diagram illustrating a signal flow between an optical fiber terminal device and an optical subscriber device according to another embodiment of the present invention.

이하 본 발명의 바람직한 일 실시 예를 첨부한 도면을 참조하여 상세히 설명한다. 하기에서 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. In the following description of the reference numerals to the components of the drawings, it should be noted that the same reference numerals as much as possible even if displayed on different drawings.

앞서 언급한 바와 같이, 이하 사용되는 "암호화"라는 용어는 별도의 언급이없는 한 '암호화'와 '복호화'를 통칭하는 의미로 사용된다. 이에 따라 이하 사용되는 "암호화 키" 또한 '암호화 키'와 '복호 키'를 통칭하는 의미로 사용된다.As mentioned above, the term "encryption" used below is used to mean "encryption" and "decryption" unless otherwise stated. Accordingly, the "encryption key" used below is also used to mean "encryption key" and "decryption key."

본 발명은 특히 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법 및 암호화 키 정보와 이에 따른 전체 스케쥴링 플로(flow)에 관한 것이다. 기가비트 이더넷 수동형 광 가입자망에서의 암호화를 고려할 시에 특히 중요시되어야 할 사항들은 사용자, 즉 ONU(120) 인증, 암호화(encryption), 그리고 암호화키 관리 등이다. 사용자 인증은 OLT(100)에서의 ONU(120) 등록기간 후에 실시되며 사용자 인증 전에는 각 ONU(120)들은 데이터를 주고받을 수 없다. 또한 상향 데이터와 하향 데이터를 암호화하는 것은 도청 방지와 비 인증 ONU(120)의 변장(impersonation)을 막기 위한 것이다. 이러한 사용자 인증과 암호화에는 암호화키가 사용되며 이 암호화키의 운용과 교환방식에 따라 암호화 방법의 암호화키 관리 플로와 스케쥴링이 달라진다.The present invention relates, in particular, to encryption methods and encryption key information and thus the entire scheduling flow in a Gigabit Ethernet passive optical subscriber network. Special considerations when considering encryption in a Gigabit Ethernet passive optical subscriber network are users, namely ONU 120 authentication, encryption, and encryption key management. User authentication is performed after the ONU 120 registration period in the OLT (100) and each ONU 120 can not exchange data before user authentication. In addition, encrypting the uplink data and the downlink data is to prevent eavesdropping and to prevent impersonation of the unauthorized ONU 120. The encryption key is used for user authentication and encryption, and the encryption key management flow and scheduling of the encryption method differs depending on the operation and exchange method of the encryption key.

한편, 본 발명에서 선택한, 기가비트 이더넷 수동형 광 가입자망에서 사용할 암호화 방법은 대칭적(symmetric)인 방법인 AES(Advanced Encryption Standard, 발전된 암호화 표준)으로 이는 Rijndael 알고리즘에 의해 구체화된다. AES는 DES보다 뛰어난 암호화 방법이며, 암호화키 갱신 주기가 3*1017 년이 되는 강력한 암호화 방법으로 특히 기가비트이상의 고속의 망을 위하여 제안되었다. AES 방법은 블록 단위로 데이터를 암호화하며, 이 때 블록의 크기는 128비트이다. AES 방법에서 사용되는 암호화키의 길이는 128, 192 혹은 256비트가 된다.Meanwhile, the encryption method to be used in the Gigabit Ethernet passive optical subscriber network selected in the present invention is a symmetric method, AES (Advanced Encryption Standard), which is embodied by the Rijndael algorithm. AES is an encryption method that is superior to DES, and is a strong encryption method with an encryption key update period of 3 * 1017 years, especially for high-speed networks of more than gigabit. The AES method encrypts data in blocks, where the block size is 128 bits. The encryption key used in the AES method can be 128, 192 or 256 bits long.

또, 본 발명에서는 암호화의 타입으로 공개키와 비밀키를 모두 사용하는 하이브리드(hybrid) 암호화방식을 선택하였다. 이는 공개키와 비밀키 방식의 장점만을 이용하기 위한 것으로, 분배키 값은 공개키를, 암호화방식은 대칭(symmetric)을 사용한다. 본 발명에서 OLT(100)와 ONU(120)는 상기 공개키와 비밀키의 두 키 값을 이용하여 세션키를 생성한다. 즉, OLT(100)와 ONU(120)가 상호 교환하는 공개키는 대칭적인 세션키를 생성하기 위한 목적으로 사용된다. 인증 프로토콜로는 X.509 표준의 양방향(two-way)방식을 선택하였는데, 이는 OLT(100)와 각 ONU(120)의 공개키 교환 시에 상호 인증서를 교환하기 위한 것이다. 본 발명에서는 인증서와 그 파라미터에 대한 별도의 언급을 생략한다.In the present invention, a hybrid encryption method using both public and private keys is selected as the encryption type. This is to take advantage of the public key and private key only, the distribution key value uses the public key, the encryption method uses symmetric (symmetric). In the present invention, the OLT 100 and the ONU 120 generate a session key using two key values of the public key and the private key. That is, the public key exchanged between the OLT 100 and the ONU 120 is used for the purpose of generating a symmetric session key. As an authentication protocol, a two-way method of the X.509 standard was selected, which is used to exchange mutual certificates in the public key exchange between the OLT 100 and each ONU 120. In the present invention, a separate reference to the certificate and its parameters are omitted.

도 2는 본 발명에서의 암호화 적용대상을 도시하는 도면이다.2 is a diagram showing a subject of encryption in the present invention.

본 발명에서는 특히 PDU(Packet Data Unit)(202)를 암호화 적용대상으로 한다. 도 2에서의 K(201)는 본 발명이 제안하는 암호화 방법에서 사용할 암호화키 값이 되며, 이하 이를 '세션키' 값이라 칭한다. 즉, 본 발명에서의 '세션키'는 본 발명이 제안하는 암호화 방법에서 사용하기 위해 생성하는 암호화키를 의미한다. 본 발명에서는 전술한 방식에서 ONU(120)와 OLT(100)가 교환하여야 할 암호화키 정보를 이더넷 맥 제어 프레임에 포함시켜서 하위 계층으로 전달한다. 상기 암호화키 정보를 이더넷 맥 제어 프레임에 포함시키는 과정은 맥 제어 계층(210)에서 이루어지며, 도 2의 AES 펑션(AES function)(204)에서 수행된다. AES 펑션(204)은 암호화 적용대상이 되는 PDU(202)에 상기 세션키 및 암호화를 위한 매개변수들에 포함시켜서 암호화가 이루어진 PDU(206)로 변환한다.In the present invention, in particular, the packet data unit (PDU) 202 is subject to encryption. K 201 in FIG. 2 is an encryption key value to be used in the encryption method proposed by the present invention, hereinafter referred to as a 'session key' value. That is, the "session key" in the present invention means an encryption key generated for use in the encryption method proposed by the present invention. In the present invention, the encryption key information to be exchanged between the ONU 120 and the OLT 100 is included in the Ethernet MAC control frame and transmitted to the lower layer. The process of including the encryption key information in the Ethernet MAC control frame is performed in the MAC control layer 210, and is performed in the AES function 204 of FIG. The AES function 204 includes the session key and the parameters for encryption in the PDU 202 to be encrypted and converts the encrypted PDU 206 into a PDU 206.

도 3은 암호화가 발생하는 기가비트 이더넷 수동형 광 가입자망 맥 제어 계층을 중심으로 하여 상위의 맥 제어 클라이언트 부계층과 하위의 맥 계층 간에 교환되는 정보들을 나타내는 계층 간 서비스 인터페이스를 도시하는 도면으로, 도 3에서는 교환할 암호화키 값을 "KEY"으로 표시하였다. 도 3을 보면, 맥 제어 계층과 맥 계층사이에 주고받는 정보들이 목적지주소(DA), 소스주소(SA), 길이/타입(length/type), 데이터, 그리고 암호화키 값(KEY)이 되는 것을 볼 수 있다. 암호화의 각 단계에 따라 이 "KEY" 필드에 들어갈 내용들이 달라진다. 먼저 ONU(120)가 사용자 인증 요청 신호를 OLT(100)로 송신할 경우에는 ONU(120)의 공개키 값이, OLT(100)가 ONU(120)로 사용자 인증 응답 신호를 송신할 경우에는 OLT(100)의 공개키 값이, 세션키 생성단계에서는 의사난수 값(pseudo-random number)이 상기 "KEY" 필드에 들어간다.FIG. 3 is a diagram illustrating an inter-layer service interface showing information exchanged between an upper MAC control client sublayer and a lower MAC layer centered on a Gigabit Ethernet passive optical subscriber network MAC control layer where encryption occurs. In the figure, the encryption key value to be exchanged is expressed as "KEY". Referring to FIG. 3, information exchanged between the MAC control layer and the MAC layer becomes a destination address (DA), a source address (SA), a length / type, data, and an encryption key value (KEY). can see. Each step of the encryption will change the contents of this "KEY" field. First, when the ONU 120 transmits a user authentication request signal to the OLT 100, the public key value of the ONU 120 is set to OLT. When the OLT 100 transmits a user authentication response signal to the ONU 120, the OLT is set to OLT. The public key value of 100 is a pseudo-random number in the "KEY" field in the session key generation step.

도 4는 암호화 구현을 위한 맥 제어 계층을 도시하는 도면이다.4 is a diagram illustrating a Mac control layer for encryption implementation.

도 4는 ONU(120) 등록(REG, Registration), 레인징(ranging)(RNG, Ranging), 동적 대역 할당(Dynamic Bandwidth Allocation, DBA)등의 다른 맥 제어 기능(MAC control functionality)들과 함께 SDE(Secure Data Exchange)의 기능이 맥 제어 부계층(310)에 위치함을 도시하고 있다. 도 4의 상위계층(200)은 7계층 중 3계층 내지 7계층에 해당하며, 맥 클라이언트 부계층(300), 맥 제어 부계층(310), 맥 계층(220) 등은 2계층에 해당하고, 물리계층(410)은 1계층에 해당한다. 맥 클라이언트 부계층(300)은 LLC, bridge entity 등의 기능을 수행한다. 본 발명에서는 상기 2계층에서 기가비트 이더넷 수동형 광 가입자망의 암호화가 수행된다. 특히, 상기 맥 계층(220)과 REG, RNG, DBA, SDE 등의 기능을 수행하는 맥 제어부계층(310)을 포함하는 계층을 기가비트 이더넷 수동형 광 가입자망 맥 계층(400)이라 한다.4 illustrates an SDE with other MAC control functionality such as ONU 120 registration (REG, Registration), ranging (RNG, Ranging), Dynamic Bandwidth Allocation (DBA), and the like. (Secure Data Exchange) is located in the Mac control sublayer 310. The upper layer 200 of FIG. 4 corresponds to three to seven layers among seven layers, and the Mac client sublayer 300, the MAC control sublayer 310, the MAC layer 220, and the like correspond to two layers. The physical layer 410 corresponds to one layer. The Mac client sublayer 300 performs functions such as LLC, bridge entity, and the like. In the present invention, encryption of the Gigabit Ethernet passive optical subscriber network is performed in the second layer. In particular, the layer including the MAC layer 220 and the MAC control layer 310 that performs functions such as REG, RNG, DBA, and SDE is referred to as a gigabit Ethernet passive optical subscriber network MAC layer 400.

도 5는 OLT 측면에서의 암호화 FSM(Finite State Machine)을 도시하고 있다.5 illustrates a cryptographic finite state machine (FSM) in terms of OLT.

도 5는 ONU(120)와 OLT(100)간의 다른 제어정보의 흐름과의 관계를 배제하고 암호화와 관련된 흐름만을 구성한 것으로, S0(500) 내지 S7(514)의 각 단계들은 다음과 같다. S0(500)은 초기화 단계, S1(502)은 인증단계, S2(504)는 공개키 획득단계, S3(506)은 세션키 생성단계, S4(508)는 세션키 공유단계, S5(510)는 활성화 단계, S6(512)은 새로운 세션키 생성단계, S7(514)은 키 교환 준비단계이다. 각각의 단계들에 대해 설명하면 다음과 같다.FIG. 5 illustrates only encryption-related flows, excluding the relationship with the flow of other control information between the ONU 120 and the OLT 100, and steps S0 500 to S7 514 are as follows. S0 500 is an initialization step, S1 502 is an authentication step, S2 504 is a public key acquisition step, S3 506 is a session key generation step, S4 508 is a session key sharing step, S5 510 Is an activation step, S6 512 is a new session key generation step, and S7 514 is a key exchange preparation step. Each step is described as follows.

먼저, S0(500) 상태에서 OLT(100)는 초기화를 수행한다. 초기화가 이루어지면 OLT(100)는 ONU(120)에서 보내온 인증요청(Authentication Request) 신호를 수신(503단계)하고 S1(502)의 인증상태로 진행한다. 상기 인증요청 신호에는 인증서가 포함되는데, X.509 프로토콜에 의하여 상기 인증서에는 송신한 ONU(120)의 공개키 값도 포함된다. 인증상태(502)에서 OLT(100)는 상기 ONU(120)의 신뢰도 등을 판단한다. 인증요청 신호를 통해 ONU(120)의 신뢰도가 인정되면 OLT(100)는 인증 응답신호를 상기 인증요청 신호를 송신한 ONU(120)로 송신한다(503단계). S2(504), 공개키 획득 단계에서 OLT(100)는 상기 ONU(120)의 공개키를 획득한다. 이로써 OLT(100)는 자신의 공개키, ONU(120)의 공개키, 그리고 자신의 비밀키를 알고 있는 상태가 된다. 상기 공개키는 상술한 바와 같이 인증요청 신호에 포함된다. 실제 데이터를 전송하기 위하여 OLT(100)는 ONU(120)의 공개키, 자신의 공개키, 자신의 비밀키의 세 가지 키 값과 의사난수 값을 이용하여 세션키를 생성한다. 세션키는 대칭적인 특징을 가지기 때문에 ONU(120)도 동일한 키 값을 가지고 있어야 하므로, 이 시점에서 OLT(100)는 ONU(120)에게 상기 의사난수 값을 전송한다. 이를 통해 OLT(100)와 ONU(120)는 세션키 값을 공유한다. OLT(100)는 ONU(120)로부터 세션키 생성완료 메시지를 수신한다(507). 이로서 세션키 생성이 완료되고, S4(508)의 세션키 공유 상태가 된다. 한편, 세션키 값이 생성된 이후에는 키 교환 시기 전까지 OLT(100)와 ONU(120)는 세션키 값과 AES 암호화방법을 이용하여 사용자 데이터를 암호화한다(S5 상태)(510). 상기 세션키를 생성하는 과정이 끝나면 기가비트 이더넷 수동형 광 가입자망의 암호화를 위한 기본적인 스케쥴링은 모두 끝난다. 이후의 시기는 일반적인 수동형 광 가입자망의 동작이 이어지고, 이는 새로운 세션키를 생성하기 전까지 계속된다.First, in the SO 500 state, the OLT 100 performs initialization. When the initialization is made, the OLT 100 receives the authentication request signal (Authentication Request) sent from the ONU 120 (step 503) and proceeds to the authentication state of S1 (502). The authentication request signal includes a certificate. The certificate also includes a public key value of the ONU 120 transmitted by the X.509 protocol. In the authentication state 502, the OLT 100 determines the reliability of the ONU 120 and the like. If the reliability of the ONU 120 is recognized through the authentication request signal, the OLT 100 transmits an authentication response signal to the ONU 120 which has transmitted the authentication request signal (step 503). In step S2 (504), the public key acquisition step, the OLT 100 obtains the public key of the ONU (120). As a result, the OLT 100 knows its own public key, the public key of the ONU 120, and its own private key. The public key is included in the authentication request signal as described above. In order to transmit the actual data, the OLT 100 generates a session key using three key values and a pseudo random number of the public key, the public key, and the private key of the ONU 120. Since the session key has a symmetrical characteristic, the ONU 120 should also have the same key value. At this point, the OLT 100 transmits the pseudo random value to the ONU 120. Through this, the OLT 100 and the ONU 120 share a session key value. The OLT 100 receives a session key generation completion message from the ONU 120 (507). This completes the generation of the session key, and enters the session key sharing state of S4508. Meanwhile, after the session key value is generated, the OLT 100 and the ONU 120 encrypt the user data using the session key value and the AES encryption method until the key exchange time (S5 state) (510). After the process of generating the session key, the basic scheduling for encryption of the Gigabit Ethernet passive optical subscriber network is finished. Subsequent periods follow the operation of a typical passive optical subscriber network, which continues until a new session key is generated.

한편, 암호화키 값 갱신(update) 시기에는 암호화키 값 갱신에 대해 몇 프레임 앞서부터 갱신시기를 알려 주기 위한 카운트다운 숫자가 들어간다. 이는 암호화키 동기 맞춤을 하기 위하여, 5 프레임 주기 이후에 암호화키 교환이 발생하는 경우 "5" 라는 숫자가, 4 프레임 주기 이후에 암호화키 교환이 일어나는 경우에는 "4"라는 식으로 교환이 발생할 때까지 삽입된다. 키 교환시기가 되면(S6상태)(512) OLT(100)는 현재까지의 세션을 종료하고 다시 의사난수 값을 ONU(120)로 송신함으로서 새로운 키를 생성한다. 한편, 도 5의 S1(502), S2(504), S3(506), S4(508), S5(510) 상태 각각에서 초기화 요구가 발생할 수 있으며, 초기화 요구가 발생할 시에는 S0(500) 상태로 천이한다.On the other hand, at the update time of the encryption key value, a countdown number for informing the update time from a few frames before the update of the encryption key value is included. In order to perform encryption key synchronization, when the encryption key exchange occurs after 5 frame periods, the number "5" is used. When the encryption key exchange occurs after 4 frame periods, the number "5" occurs Is inserted. When the key exchange time is reached (S6 state) 512, the OLT 100 terminates the current session and sends a pseudo-random value back to the ONU 120 to generate a new key. Meanwhile, an initialization request may occur in each of the states S1 502, S2 504, S3 506, S4 508, and S5 510 of FIG. 5, and when an initialization request occurs, an S0 500 state may occur. To transition to.

도 6은 ONU 측면에서의 암호화 FSM을 도시한 것이다.Figure 6 shows a cryptographic FSM on the ONU side.

S0(600) 상태에서 초기화가 이루어지면 ONU(120)는 인증요청 신호를 OLT(100)로 송신한다(601단계). ONU(120)는 OLT(100)로부터 인증 응답 신호를 수신(603단계), 상기 인증 응답 신호에 포함된 OLT(100)의 공개키를 획득한다. ONU(120)는 상기 OLT(100)으로부터 의사난수 값을 수신(605단계)함으로써 세션키를 생성한다(S3)(606). 이에 따라 세션키 생성이 완료되고, OLT(100)와 ONU(120)는 세션키를 공유하는 상태가 된다. ONU(120)는 OLT(100)에게 세션키 생성완료 메시지를 송신한다(607단계). 세션키 값이 생성된 이후에는 OLT(100)와 ONU(120)는 키 교환 시기 전까지 상기 세션키 값과 AES 암호화방법을 이용하여 사용자 데이터를 암호화한다. 키 교환시기가 오면 ONU(120)는 현재까지의 세션을 종료하고 다시 OLT(100)로부터 의사난수 값을 수신함으로서 새로운 키를 생성한다.If the initialization is made in the state S0 (600), the ONU 120 transmits an authentication request signal to the OLT 100 (step 601). The ONU 120 receives an authentication response signal from the OLT 100 (step 603) and obtains a public key of the OLT 100 included in the authentication response signal. The ONU 120 generates a session key by receiving a pseudo random value from the OLT 100 (step 605) (S3). As a result, the session key generation is completed, and the OLT 100 and the ONU 120 share a session key. The ONU 120 transmits a session key generation completion message to the OLT 100 (step 607). After the session key value is generated, the OLT 100 and the ONU 120 encrypt the user data using the session key value and the AES encryption method until the key exchange time. When the key exchange time comes, the ONU 120 generates a new key by terminating the current session and receiving a pseudo random value from the OLT 100 again.

도 7은 도 5와 도 6의 단계들을 타이밍도로 표현한 것이다.7 is a timing diagram illustrating the steps of FIGS. 5 and 6.

도 7은 OLT(100) 및 ONU(120)가 서로의 공개키와 자신의 비밀키를 알고 있는 상태에서 세션키를 생성하고 데이터를 전송하는 흐름을 나타낸다. 도 7에 도시된 바와 같이, 세션키 K는 f(a, aP, bP, r)의 입력 파라미터를 가지고 있는 함수로 생성되며(704), 제 701단계에서 OLT(100)는 ONU(120)와 동일한 세션키를 생성하기 위하여 의사난수 값 r을 ONU(120)로 전송한다. 상기 의사난수 값을 수신한 ONU(120)는 세션키를 생성하고(706) 703단계에서 세션키 생성 완료 메시지를 OLT(100)로 송신한다. 제 705단계에서 OLT(100) 데이터를 전송할 슬롯의 위치, 크기 등의 정보를 포함하는 통상의 그랜트 신호를 ONU(120)로 송신한다. 상기 통상의그랜트(normal grant) 신호는 ONU(120)들의 인증요구가 충돌하지 않게 하기 위하여 각각의 ONU(120)가 인증요구를 할 수 있는 슬롯 위치(slot position)와 슬롯 크기(slot size) 등을 명시한 신호이다. 이 때의 그랜트 신호의 종류를 인증 그랜트로 하여 통상의 그랜트 신호의 그랜트 형태 필드(grant type field)에 설정한다. 제 707단계에서 ONU(120)는 수신한 통상의 그랜트 신호에 포함된 정보에 따라 OLT(100)로 데이터를 송신한다.7 illustrates a flow in which the OLT 100 and the ONU 120 generate a session key and transmit data in a state of knowing each other's public key and their private key. As shown in FIG. 7, the session key K is generated as a function having an input parameter of f (a, aP, bP, r) (704). In step 701, the OLT 100 is connected to the ONU 120. In order to generate the same session key, the pseudo-random value r is transmitted to the ONU 120. Upon receiving the pseudo random value, the ONU 120 generates a session key and transmits a session key generation completion message to the OLT 100 in step 706. In operation 705, the general grant signal including information on the position, size, and the like of the slot to transmit the OLT 100 data is transmitted to the ONU 120. The normal grant signal may include a slot position, a slot size, and the like in which each ONU 120 may request authentication so that authentication requests of the ONUs 120 do not collide with each other. This signal specifies. The type of grant signal at this time is set as an authentication grant and is set in a grant type field of a normal grant signal. In step 707, the ONU 120 transmits data to the OLT 100 according to the information included in the received normal grant signal.

도 8은 본 발명의 일 실시 예에 따른 도면으로, 암호화 절차를 GE-PON의 일반적인 스케쥴링 절차와 함께 도시한 도면이다.8 is a diagram according to an embodiment of the present invention, showing the encryption procedure together with the general scheduling procedure of the GE-PON.

도 8의 제 801단계 내지 제 805단계가 ONU 등록 단계에 해당한다. 제 801단계에서 OLT(100)는 ONU(120)들에게 등록 그랜트(Registration Grant) 신호를 송신함으로서 각 ONU(120)들의 등록요청 신호 송신을 허가한다. 제 803단계에서 ONU(120)들은 상기 등록 그랜트의 정보에 따라 자신에게 할당된 시간에 등록 요청 신호를 송신하여 ONU(120) 등록을 한다. 제 805단계에서 OLT(100)는 등록된 ONU(120)들에게 인증 그랜트 신호를 송신한다. 제 807단계 내지 제 811단계는 인증 및 공개키 획득 단계이다. 제 807단계에서 OLT(100)는 등록이 이루어진 ONU(120)들에 대해 인증 그랜트 신호를 송신한다. 상기 인증 그랜트 신호를 수신한, 등록된 ONU(120)들은 제 809단계에서 OLT(100)에게 인증 요청 신호를 송신한다. 제 811단계에서 OLT(100)는 상기 ONU(120)들 중 인증이 이루어진 ONU(120)들에게 인증 응답 신호를 송신한다. 상기 인증 요청 신호 및 인증 응답 신호를 통해 OLT(100)와 ONU(120)들은 각각 상대의 공개 키 값을 획득하게 된다. 제 813단계 내지 제 815단계는 세션키 생성 단계이다. 제 813단계에서 OLT(100)는 세션키 생성에 이용한 의사난수 값을 ONU(120)로 송신한다. 상기 의사난수 값을 수신하여 세션키를 생성한 ONU(120)는 제 815단계에서 세션키 생셩 완료 메시지를 OLT(120)로 송신한다. 이로써 암호화와 관련된 절차가 완료되며, 새로운 세션키 생성 요구가 발생할 때가지 상기 생성된 세션키를 이용하여 데이터 전송이 이루어진다. 제 817단계 이하의 단계들은 통상적인 통신 단계에 해당하므로 이에 대한 설명은 생략한다.Steps 801 to 805 of FIG. 8 correspond to an ONU registration step. In step 801, the OLT 100 grants registration request signals to the ONUs 120 by transmitting registration grant signals to the ONUs 120. In operation 803, the ONUs 120 register the ONU 120 by transmitting a registration request signal at a time allocated to the ONU according to the information of the registration grant. In step 805, the OLT 100 transmits an authentication grant signal to the registered ONUs 120. Steps 807 to 811 are authentication and public key acquisition steps. In step 807, the OLT 100 transmits an authentication grant signal to the ONUs 120 that have been registered. Upon receiving the authentication grant signal, the registered ONUs 120 transmit an authentication request signal to the OLT 100 in step 809. In step 811, the OLT 100 transmits an authentication response signal to the ONUs 120 that are authenticated among the ONUs 120. Through the authentication request signal and the authentication response signal, the OLT 100 and the ONU 120 obtain their public key values, respectively. Steps 813 to 815 are session key generation steps. In step 813, the OLT 100 transmits the pseudo random value used to generate the session key to the ONU 120. Upon receiving the pseudo random value, the ONU 120 generates a session key and transmits a session key generation completion message to the OLT 120 in step 815. As a result, a procedure related to encryption is completed, and data is transmitted using the generated session key until a new session key generation request occurs. Since the steps below the step 817 correspond to a normal communication step, a description thereof will be omitted.

상기 도 8에 도시된 실시 예에서는 ONU(120)가 OLT(100)에 등록을 하고 상기 OLT(100)로부터 ONU(120) ID를 부여받은 후에 사용자 인증을 하는 과정을 도시한다. 상기 실시 예에서는 등록 시에 발생하는 충돌로 인한 손실에는 영향을 받지 않는다는 장점이 있다.8 illustrates a process of authenticating a user after the ONU 120 registers with the OLT 100 and receives the ONU 120 ID from the OLT 100. In the above embodiment, there is an advantage that the loss due to the collision that occurs during registration is not affected.

또, 도 9에 도시된 바와 같이, 사용자 인증을 한 후, 인증 받은 ONU(120)만 OLT(100)에 등록을 하는 방법을 고려하면 도8 의 실시 예에서 사용자의 신뢰성을 확인하지 않은 채로 아이디를 부여하는 점과 도8 의 전체 스케쥴링 절차를 줄일 수 있다.In addition, as shown in Figure 9, after the user authentication, considering only the registered ONU 120 to register in the OLT 100 ID in the embodiment of Figure 8 without checking the user's reliability In addition, the overall scheduling procedure of FIG. 8 can be reduced.

이 방법은 신뢰성이 확인된 사용자만이 등록을 할 수 있다. 즉, 충돌을 경험하지 않고 성공적으로 등록 요청을 한 ONU(120)라고 하여도 인증할 수 없는 경우에는 ONU(120) ID를 부여하지 않는다. 이는 전체적인 스케쥴링 절차가 감소한다는 장점이 있다. 도 9에 도시된 과정들을 설명하면 다음과 같다. 제 901단계에서 OLT(100)는 ONU(120)로 등록 그랜트 신호를 송신한다. 제 903단계에서 ONU(120)는등록 요청 신호 및 인증 요청 신호를 함께 OLT(100)로 송신한다. OLT(100)에서 ONU(120)의 등록과정이 끝나면 상기 OLT(100)는 등록된 ONU(120)에게 인증을 요구할 수 있는 인증 그랜트(grant) 신호를 송신한다. 제 905단계에서 OLT(100)는 등록 응답 신호 및 인증 응답 신호를 상기 ONU(120)로 송신한다. 이와 같이 등록과 인증이 한번에 이루어지므로, OLT(100)는 별도의 인증 그랜트 신호를 ONU(120)로 송신할 필요가 없다. 제 907단계에서 OLT(100)는 세션키 생성에 이용한 의사난수 값을 ONU(120)로 송신한다. 상기 의사난수 값을 수신하여 세션키를 생성한 ONU(120)는 제 909단계에서 OLT(100)로 세션키 생성 완료 메시지를 송신한다. 제 911단계 이하의 단계들은 통상적인 통신 단계에 해당하므로 이에 대한 설명은 생략한다.This method can be registered only by the user whose authenticity is confirmed. That is, even if the ONU 120 which successfully registered the request without experiencing a collision cannot be authenticated, the ONU 120 ID is not assigned. This has the advantage that the overall scheduling procedure is reduced. The processes illustrated in FIG. 9 are described as follows. In step 901, the OLT 100 transmits a registration grant signal to the ONU 120. In step 903, the ONU 120 transmits a registration request signal and an authentication request signal to the OLT 100 together. When the registration process of the ONU 120 is finished in the OLT 100, the OLT 100 transmits an authentication grant signal for requesting authentication to the registered ONU 120. In step 905, the OLT 100 transmits a registration response signal and an authentication response signal to the ONU 120. As such, since registration and authentication are performed at one time, the OLT 100 does not need to transmit a separate authentication grant signal to the ONU 120. In step 907, the OLT 100 transmits the pseudo random number used to generate the session key to the ONU 120. Upon receiving the pseudo random value and generating a session key, the ONU 120 transmits a session key generation complete message to the OLT 100 in step 909. Since the steps below the step 911 correspond to a normal communication step, a description thereof will be omitted.

본 발명은 기가비트 이더넷 수동형 광 가입자망에서의 적절한 암호화방법을 선택하고, 이를 운용하기 위한 암호화키 값의 교환과 운용방법을 수동형 광 가입자망의 스케쥴링 절차에 포함시켜 정의한 것으로, 보안에 취약한 점-대-다점 구조를 가지는 기가비트 이더넷 수동형 광 가입자망에서의 효율적인 암호화 절차를 수행할 수 있다.The present invention defines an appropriate encryption method in a Gigabit Ethernet passive optical subscriber network, and includes a method for exchanging and operating an encryption key value for operating the same in the scheduling procedure of the passive optical subscriber network. Efficient encryption procedure can be performed in Gigabit Ethernet passive optical subscriber network with multipoint structure.

Claims (7)

하나의 광선로 종단장치와 적어도 하나의 광 가입자망 장치로 구성되는 기가비트 이더넷 수동형 광 가입자망에서, 발전된 암호화 표준 및 양방향 방식을 이용한 암호화 방법에 있어서,In a gigabit Ethernet passive optical subscriber network composed of one optical fiber termination device and at least one optical subscriber network device, an encryption method using an advanced encryption standard and a bidirectional scheme, 광 가입자망 장치의 광선로 종단장치에 대한 등록과정과,Registration process of optical fiber termination device of optical subscriber network device; 상기 등록과정에서 등록이 이루어진 광 가입자망 장치의 광선로 종단장치에 대한 인증과정과,An authentication process for the optical fiber termination device of the optical subscriber network device that has been registered in the registration process; 광선로 종단장치가 상기 인증과정에서 획득한 광 가입자망 장치의 공개키 값과 생성한 의사난수 값을 이용하여 세션키를 생성하는 과정과,Generating, by the optical fiber terminal device, a session key using the public key value and the pseudo random number value generated in the optical subscriber network device obtained in the authentication process; 광선로 종단장치가 상기 의사난수 값을 광 가입자망 장치로 송신하는 과정과,Transmitting, by the optical fiber terminal device, the pseudo random value to the optical subscriber network device; 상기 의사난수 값을 수신한 광 가입자망 장치가 상기 인증과정에서 획득한 광선로 종단장치의 공개키 값과 상기 의사난수 값을 이용하여 세션키를 생성하는 과정을 포함함을 특징으로 하는 기가비트 이더넷 광 가입자망의 암호화 방법.Gigabit ethernet optical, wherein the optical subscriber network device having received the pseudo random number value generates a session key using the public key value and the pseudo random value of the optical fiber end device obtained in the authentication process. Encryption method of subscriber network. 제 1항에 있어서,The method of claim 1, 세션키를 생성한 광 가입자망 장치가 세션키 생성 완료 메시지를 광선로 종단장치로 송신하는 과정을 더 포함함을 특징으로 하는 기가비트 이더넷 광 가입자망의 암호화 방법.And transmitting, by the optical subscriber network device which generated the session key, a session key generation complete message to the optical fiber termination device. 제 1항에 있어서,The method of claim 1, 상기 인증과정은 광선로 종단장치로부터 인증 그랜트 신호를 수신한 광 가입자망 장치가 상기 광선로 종단장치로 인증 요청 신호를 송신하는 과정과,The authentication process may include transmitting an authentication request signal to the optical fiber terminator by the optical subscriber network device receiving the authentication grant signal from the optical fiber terminator; 상기 광선로 종단장치로부터 인증 응답 신호를 송신하는 과정으로 이루어짐을 특징으로 하는 기가비트 이더넷 광 가입자망의 암호화 방법.And transmitting an authentication response signal from the optical fiber termination device. 제 3항에 있어서,The method of claim 3, 상기 인증 요청 신호 및 인증 응답 신호는 각각 광 가입자망 장치와 광선로 종단장치의 공개키 값을 포함함을 특징으로 하는 기가비트 이더넷 광 가입자망의 암호화 방법.And the authentication request signal and the authentication response signal include public key values of the optical subscriber network device and the optical fiber termination device, respectively. 제 1항에 있어서,The method of claim 1, 상기 광선로 종단장치가 생성하는 세션키는 광선로 종단장치의 공개 키 및 비밀 키 값과, 광 가입자망 장치의 공개 키 값과, 광선로 종단장치가 생성한 의사난수 값 등을 이용하여 생성됨을 특징으로 하는 기가비트 이더넷 광 가입자망의 암호화 방법.The session key generated by the optical fiber terminator is generated using the public key and secret key value of the optical fiber terminator, the public key value of the optical subscriber network device, and the pseudo random value generated by the optical fiber terminator. A method for encrypting a gigabit Ethernet optical subscriber network. 제 1항에 있어서,The method of claim 1, 상기 광 가입자망 장치가 생성하는 세션키는 광 가입자망 장치의 공개 키 및 비밀 키 값과, 광선로 종단장치의 공개 키 값과, 광선로 종단장치로부터 수신한 의사난수 값 등을 이용하여 생성됨을 특징으로 하는 기가비트 이더넷 광 가입자망의 암호화 방법.The session key generated by the optical subscriber network device is generated by using the public and private key values of the optical subscriber network device, the public key value of the optical fiber termination device, and the pseudo random number value received from the optical fiber termination device. A method for encrypting a gigabit Ethernet optical subscriber network. 하나의 광선로 종단장치와 적어도 하나의 광 가입자망 장치로 구성되는 기가비트 이더넷 수동형 광 가입자망에서, 발전된 암호화 표준 및 양방향 방식을 이용한 암호화 방법에 있어서,In a gigabit Ethernet passive optical subscriber network composed of one optical fiber termination device and at least one optical subscriber network device, an encryption method using an advanced encryption standard and a bidirectional scheme, 광 가입자망 장치가 광선로 종단장치로부터 등록 그랜트 신호를 수신하는 과정과,Receiving, by the optical subscriber network device, a registration grant signal from the optical fiber terminator; 광선로 종단장치로 등록 요청 신호를 송신하는 과정과,Transmitting a registration request signal to a fiber termination device; 상기 광선로 종단장치로부터 인증 그랜트 신호를 수신하는 과정과,Receiving an authentication grant signal from the optical fiber termination device; 상기 인증 그랜트 신호에 따라 상기 광선로 종단장치로 인증 요청 신호를 송신하고, 상기 광선로 종단장치로부터 인증 응답 신호를 수신하는 과정과,Transmitting an authentication request signal to the optical fiber terminator according to the authentication grant signal and receiving an authentication response signal from the optical fiber terminator; 상기 광선로 종단장치로부터 의사난수 값을 수신하는 과정과, 상기 의사난수값과 상기 인증 응답 신호에 포함된 상기 광선로 종단장치의 공개 키 값을 이용하여 세션키를 생성하는 과정과,Receiving a pseudo random value from the optical fiber terminator, generating a session key using the pseudo random value and the public key value of the optical fiber terminator included in the authentication response signal; 사용자 데이터를 상기 세션키를 이용한 발전된 암호화 방식으로 암호화하여 송신하는 과정으로 이루어짐을 특징으로 하는 기가비트 이더넷 광 가입자망 장치의 암호화 방법.And encrypting and transmitting user data using an advanced encryption method using the session key.
KR1020020026463A 2002-05-14 2002-05-14 Method of encryption for gigabit ethernet passive optical network KR100594023B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020020026463A KR100594023B1 (en) 2002-05-14 2002-05-14 Method of encryption for gigabit ethernet passive optical network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020020026463A KR100594023B1 (en) 2002-05-14 2002-05-14 Method of encryption for gigabit ethernet passive optical network

Publications (2)

Publication Number Publication Date
KR20030088643A true KR20030088643A (en) 2003-11-20
KR100594023B1 KR100594023B1 (en) 2006-07-03

Family

ID=32382716

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020020026463A KR100594023B1 (en) 2002-05-14 2002-05-14 Method of encryption for gigabit ethernet passive optical network

Country Status (1)

Country Link
KR (1) KR100594023B1 (en)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100608906B1 (en) * 2004-12-10 2006-08-08 한국전자통신연구원 Method for discovering a security module for a link protection in EPON
KR100611902B1 (en) * 2003-11-25 2006-08-11 엘지노텔 주식회사 Apparatus For OLT Churning Processing In ATM PON System
KR100715679B1 (en) * 2005-12-05 2007-05-09 한국전자통신연구원 System and method for providing authenticated encryption in gpon network
KR100723832B1 (en) * 2004-12-22 2007-05-31 한국전자통신연구원 MAC security entity for link security and sending and receiving method therefor
KR100772180B1 (en) * 2005-12-08 2007-11-01 한국전자통신연구원 Method for setting Security channel on the basis of MPCP protocol between OLT and ONUs in an EPON network, and MPCP message structure for controlling a frame transmission
KR100832530B1 (en) * 2005-12-07 2008-05-27 한국전자통신연구원 Key management methode for security and device for controlling security channel in EPON
KR100933167B1 (en) * 2002-10-02 2009-12-21 삼성전자주식회사 Transmission Method for Authentication and Privacy Guarantee in Tree-structured Networks
WO2010038938A1 (en) * 2008-10-02 2010-04-08 Electronics And Telecommunications Research Institute Method for filtering of abnormal ont with same serial number in a gpon system
US8086872B2 (en) 2005-12-08 2011-12-27 Electronics And Telecommunications Research Institute Method for setting security channel based on MPCP between OLT and ONUs in EPON, and MPCP message structure for controlling frame transmission

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5978374A (en) * 1997-04-03 1999-11-02 Ericsson, Inc. Protocol for data communication over a point-to-multipoint passive optical network
JP2000228668A (en) * 2000-01-01 2000-08-15 Nec Corp Packet transmission device and method, packet send-out device, packet reception device and method and packet transmission system
KR100369933B1 (en) * 2000-12-27 2003-02-05 한국전자통신연구원 Apparatus for Data Transmission in an OLT of ATM-PON

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100933167B1 (en) * 2002-10-02 2009-12-21 삼성전자주식회사 Transmission Method for Authentication and Privacy Guarantee in Tree-structured Networks
KR100611902B1 (en) * 2003-11-25 2006-08-11 엘지노텔 주식회사 Apparatus For OLT Churning Processing In ATM PON System
KR100608906B1 (en) * 2004-12-10 2006-08-08 한국전자통신연구원 Method for discovering a security module for a link protection in EPON
KR100723832B1 (en) * 2004-12-22 2007-05-31 한국전자통신연구원 MAC security entity for link security and sending and receiving method therefor
KR100715679B1 (en) * 2005-12-05 2007-05-09 한국전자통신연구원 System and method for providing authenticated encryption in gpon network
KR100832530B1 (en) * 2005-12-07 2008-05-27 한국전자통신연구원 Key management methode for security and device for controlling security channel in EPON
KR100772180B1 (en) * 2005-12-08 2007-11-01 한국전자통신연구원 Method for setting Security channel on the basis of MPCP protocol between OLT and ONUs in an EPON network, and MPCP message structure for controlling a frame transmission
US8086872B2 (en) 2005-12-08 2011-12-27 Electronics And Telecommunications Research Institute Method for setting security channel based on MPCP between OLT and ONUs in EPON, and MPCP message structure for controlling frame transmission
WO2010038938A1 (en) * 2008-10-02 2010-04-08 Electronics And Telecommunications Research Institute Method for filtering of abnormal ont with same serial number in a gpon system
KR100982017B1 (en) * 2008-10-02 2010-09-14 한국전자통신연구원 Method for filtering of abnormal ONT with same serial number in a GPON system
US8948401B2 (en) 2008-10-02 2015-02-03 Electronics And Telecommunications Research Institute Method for filtering of abnormal ONT with same serial number in a GPON system

Also Published As

Publication number Publication date
KR100594023B1 (en) 2006-07-03

Similar Documents

Publication Publication Date Title
US7730305B2 (en) Authentication method for link protection in Ethernet passive optical network
JP5366108B2 (en) Passive optical network security enhancement based on optical network terminator management control interface
US8490159B2 (en) Method for increasing security in a passive optical network
US7797745B2 (en) MAC security entity for link security entity and transmitting and receiving method therefor
US20070201698A1 (en) Key management device and method for providing security service in Ethernet-based passive optical network
US7305551B2 (en) Method of transmitting security data in an ethernet passive optical network system
KR100547829B1 (en) Gigabit Ethernet-based passive optical subscriber network that can reliably transmit data through encryption key exchange and data encryption method using the same
US20030072059A1 (en) System and method for securing a communication channel over an optical network
US20050177749A1 (en) Method and architecture for security key generation and distribution within optical switched networks
CN109194477B (en) Access node device for quantum secret communication network system and communication network system comprising the same
CN102037663A (en) Method and apparatus for data privacy in passive optical networks
KR100547724B1 (en) Passive optical subscriber network based on Gigabit Ethernet that can stably transmit data and data encryption method using same
KR20040013601A (en) Method for connecting logical link and communicating by the logical link in point to multipoint topology network
WO2013104987A1 (en) Method for authenticating identity of onu in gpon network
KR100594023B1 (en) Method of encryption for gigabit ethernet passive optical network
WO2022161369A1 (en) Security management information processing method and apparatus for optical transport network
EP1830517A1 (en) A method, communication system, central and peripheral communication unit for packet oriented transfer of information
Hajduczenia et al. On EPON security issues
Roh et al. Security model and authentication protocol in EPON-based optical access network
KR100281402B1 (en) Asynchronous Transmission Mode-Downlink Message Allocation Method in Optical Fiber Terminator of Phone System
WO2006062345A1 (en) Method of distributing keys over epon
KR101575050B1 (en) Different Units Same Security
JP2004180183A (en) Office device, subscriber device, and system and method for point/multipoint communication
Meng et al. Analysis and solutions of security issues in Ethernet PON
Roh et al. Design of authentication and key exchange protocol in Ethernet passive optical networks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee