CN101800638B - 光网络系统及加密密钥的切换方法 - Google Patents
光网络系统及加密密钥的切换方法 Download PDFInfo
- Publication number
- CN101800638B CN101800638B CN200910253300.XA CN200910253300A CN101800638B CN 101800638 B CN101800638 B CN 101800638B CN 200910253300 A CN200910253300 A CN 200910253300A CN 101800638 B CN101800638 B CN 101800638B
- Authority
- CN
- China
- Prior art keywords
- encryption key
- mentioned
- igmp
- termination device
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供一种光网络系统及加密密钥的切换方法。必须在ONU侧设置组播信号用缓冲器,一边进行加密组播信号的缓冲一边判断加密密钥切换,防止信号中断。光网终端装置在从光传输路径终端装置接收到加密密钥生成请求时,生成加密密钥,将生成的加密密钥发送至光传输路径终端装置,在从光传输路径终端装置接收到定时通知时,更新所属组的加密密钥;光传输路径终端装置,在经由光网终端装置从STB接收到报告消息时,解析报告消息,将STB的所属组和光网终端装置保持在第二表中,将加密密钥生成请求发送至光网终端装置,在从光网终端装置接收到加密密钥时,还在第二表中保持加密密钥,将加密密钥为有效的定时通知发送至光网终端装置。
Description
技术领域
本发明涉及具有OLT(Optical Line Terminal:光传输路径终端装置)和ONU(Optical Network Unit:光网终端装置)的PON(Passive OpticalNetwork:无源光网络)系统,尤其涉及组播信号无中断的光网系统以及加密密钥的切换方法。
背景技术
近年来,在向加入者提供宽带网络连接服务时,广泛引入了作为光接入系统的PON系统。PON系统由光传输路径终端装置(OLT)、多台光网终端装置(ONU)和光纤构成。OLT和ONU经由光纤连接,采用星型的拓扑。
非专利文献1对于OLT与ONU之间的单播通信,规定了ONU主导的加密方式和加密密钥共用方式。
包括:OLT对ONU发送加密密钥生成请求的第一步骤,ONU生成加密密钥的第二步骤,ONU将生成的加密密钥向OLT发送3次的第三步骤,OLT对接收的3次的加密密钥进行错误检查的第四步骤,OLT对ONU发送肯定确认响应的第五步骤,OLT通知加密密钥的切换定时的第六步骤。
在单播通信中,以如上步骤进行加密密钥的切换,提高了信息的保密性。
在PON系统中的IP视频信号等组播信号的加密方式中,由OLT和ONU的光分发网(ODN:Optical Distribution Network)的分光器在物理上对光信号进行分波,因此,共用OLT与分光器间的光纤的ONU之间的非组播信号存在被窃听的可能性,在专利文献1中解决了该问题。
专利文献1公开了一种OLT主导的组播加密密钥分发方法,由OLT以IGMP(互联网组管理协议:Internet Group Management Protocol)组为单位对组播加密密钥进行保持、管理分发。
专利文献2公开了一种加密密钥切换方法,在组播通信中的密钥共用和成员从组中脱离时切换加密密钥。
专利文献1:日本特开2004-343243号公报
专利文献2:日本特开2007-074168号公报
非专利文献1:ITU-T规格G.984.3,“Gigabit-capable PassiveOptical Networks(G-PON):Transmission convergence layerspecification”
但是,在组播通信中依然进行OLT和ONU的加密密钥切换定时的同步是困难的,必须在ONU侧设置组播信号用缓冲器,一边进行加密组播信号的缓冲一边判断加密密钥切换,防止信号中断。另外,此时,必须与ONU属下进行分发的信道数相对应地增加缓冲器的数量,存在制造成本增加的问题。
发明内容
由OLT和ONU构成,该OLT具有对IGMP消息进行解析的功能和将作为该解析结果得到的MAC地址与加密组单位建立对应的功能,并具有根据IGMP消息与加密组的对应信息对组播信号进行加密的构件,该ONU具有对IGMP消息进行解析的功能和将作为解析结果得到的MAC地址与加密密钥建立对应的功能、以及根据与IGMP组建立了对应的MAC地址和加密密钥来确定组播信号并进行解密的构件,通过具有在加密密钥切换时将帧计数器从OLT发送至ONU的构件的OLT、以及具有根据接收帧计数器来检测加密密钥切换定时的功能的ONU,从而无瞬断地进行帧级别的组播信号的密钥切换,由此解决本问题。
另外,通过以下光网络系统能够达到目的,即,光网终端装置在从机顶盒接收到报告消息时,解析报告消息,将机顶盒的所属组和地址保持在第一表中,将报告消息转发至光传输路径终端装置,在从光传输路径终端装置接收到加密密钥生成请求时,生成加密密钥,将生成的加密密钥作为加密密钥生成响应发送至光传输路径终端装置,在从光传输路径终端装置接收到定时通知时,更新所属组的加密密钥;光传输路径终端装置在经由光网终端装置从机顶盒接收到报告消息时,解析报告消息,将机顶盒的所属组和光网终端装置保持在第二表中,将加密密钥生成请求发送至光网终端装置,在从光网终端装置接收到加密密钥生成响应时,还在第二表中保持加密密钥,将加密密钥为有效的定时通知发送至光网终端装置。
进而,通过以下加密密钥的交换方法能够达到目的,即,包括以下步骤:在从机顶盒接收到报告消息时,解析报告消息;将机顶盒的所属组和地址保持在第一表中;将报告消息转发至光传输路径终端装置;在从机顶盒接收到报告消息时,再次解析报告消息;将机顶盒的所属组和光网终端装置保持在第二表中;将加密密钥生成请求发送至光网终端装置;在从光传输路径终端装置接收到加密密钥生成请求时,生成加密密钥;将生成的加密密钥作为加密密钥生成响应发送至光传输路径终端装置;在从光网终端装置接收到加密密钥生成响应时,还在上述第二表中保持加密密钥;将加密密钥为有效的定时通知发送至光网终端装置;以及在从光传输路径终端装置接收到定时通知时,更新所属组的加密密钥。
在本发明中,提供一种光网络系统以及加密密钥的切换方法,规定了适于组播通信的ONU主导的加密密钥切换分发方式,通过加密通信提高了组播通信的保密性。
附图说明
图1是PON系统的框图。
图2是ONU的功能框图。
图3是OLT的功能框图。
图4是说明MAC地址/IGMP组对应表的图。
图5是说明由OLT管理的密钥制作者管理表的图。
图6是说明由OLT管理的密钥管理表的图。
图7是说明下行帧格式的图。
图8A是PON系统中的组播信号加密/解密时序图(之一)。
图8B是PON系统中的组播信号加密/解密时序图(之二)。
图9是OLT的动作的流程图。
图10是OLT的控制消息处理的流程图。
图11是ONU的动作的流程图。
图12是ONU的控制消息处理的流程图。
符号说明
10 光网终端装置
20 光传输路径终端装置
30 机顶盒
40 加入者家中电视机
50 分光器
60 光纤
70 视频分发服务器
80 组播路由器
90 上位数据分发网络
100 用户网络接口(UNI)部
101 单播数据收发部
102 IGMP捕获部
103 MAC地址/IGMP组管理部
104 数据收发部
105 接入节点接口(ANI)部
106 控制消息处理部
107 加密密钥生成部
108 加密密钥检查部
109 组播用加密密钥管理部
110 组播数据解密部
111 组播数据发送部
201 接入节点接口(ANI)部
202 单播数据收发部
203 IGMP捕获部
204 MAC地址/IGMP组管理部
205 服务节点接口(SNI)部
206 组播用加密密钥管理部
207 控制消息处理部
208 加密密钥检查部
209 组播数据加密部
210 组播数据发送部
601 超级帧计数器部
602 Allocation-ID部
具体实施方式
以下,对于本发明的实施方式,利用实施例参照附图进行详细说明。其中,对于实际上相同部位附加相同参照符号,不重复说明。
参照图1,说明PON系统的结构。在图1中,PON系统700将OLT20和n台ONU10通过由光纤60-1和分光器50-1构成的光分发网连接。ONU10-1~10-n容纳了在加入者家中能够视听视频的m台机顶盒30。各个机顶盒30与电视机40连接。OLT20通过上位数据分发网络90,与视频服务器70和组播路由器80连接。在OLT20上,连接k台光分发网。其中,分光器50也可以是光分接器。视频服务器70和组播路由器80分发视频信号。
参照图2,说明ONU的结构。在图2中,ONU10由用户网络接口(UNI)部100、单播数据收发部101、IGMP捕获部102、MAC地址/IGMP组管理部103、数据收发部104、接入节点接口(ANI)部105、控制消息处理部106、加密密钥生成部107、加密密钥检查部108、组播用加密密钥管理部109、组播数据解密部110、组播数据收发部111构成。
用户网络接口部100将从STB30接收的信号转换至帧信号,并发送至单播数据收发部。用户网络接口部100将来自单播数据收发部的接收帧信号转换至光或电信号并发送至STB。用户网络接口部100将来自组播数据收发部的接收帧信号转换至光或电信号并发送至STB。其中,用户网络接口部100与STB30之间的信号可以是光信号,也可以是电信号。
单播数据收发部101将从用户网络接口(UNI)部接收的帧信号转发至IGMP捕获部102。单播数据收发部101将从IGMP捕获部102接收的帧信号转发至用户网络接口部。
IGMP捕获部102在从单播数据收发部接收的帧信号之中,仅解析IGMP信号,并提取信号中所包含的IGMP组与MAC地址的对应。IGMP捕获部102向MAC地址/IGMP组管理部103发送IGMP组与MAC地址的对应的记录/保持委托。IGMP捕获部102在从MAC地址/IGMP组管理部103接收到作为存储/保持委托的响应的肯定确认响应的情况下,将IGMP信号发送至数据收发部104。IGMP捕获部102在从MAC地址/IGMP组管理部103接收到作为存储/保持委托的响应的否定确认响应的情况下,废弃IGMP信号。IGMP捕获部102将从单播数据收发部101接收的IGMP信号以外的信号发送至数据收发部104。IGMP捕获部102将从数据收发部104接收的解密用户信号发送至单播数据收发部101。
MAC地址/IGMP组管理部103存储/保持MAC地址与IGMP组与端口ID的对应信息。MAC地址/IGMP组管理部103接受从IGMP捕获信号部102发送的MAC地址与IGMP组的对应的记录/保持委托,确认MAC地址与IGMP组的对应。MAC地址/IGMP组管理部103在确认的结果是不存在IGMP组的情况下,记录/保持MAC地址与IGMP组的对应信息,将肯定确认响应发送至IGMP捕获部102。MAC地址/IGMP组管理部103在确认的结果是不存在IGMP组的情况下,废弃MAC地址与IGMP组的对应信息,将否定确认响应发送至IGMP捕获部102。
数据收发部104对从IGMP捕获部102接收的帧信号进行加密,并发送至接入节点接口(ANI)部105。数据收发部104对从接入节点接口部105接收的单播信号进行解密,并对于是控制信号还是用户信号进行判别。数据收发部104将接收的控制信号发送至控制消息处理部106。数据收发部104将从接入节点接口(ANI)部105接收的用户信号发送至IGMP捕获部102。
接入节点接口(ANI)部105将从数据收发部104接收的帧信号转换至光信号,并发送至OLT20。接入节点接口部105将从OLT20接收的光信号转换至帧信号,并发送至数据收发部104。
控制消息处理部106对从数据收发部104接收的控制信号进行解析。控制消息处理部106在解析结果是加密密钥生成请求的情况下,向加密密钥生成部107发送加密密钥生成请求。在解析结果是IGMP组的密钥信息更新请求的情况下,控制消息处理部106提取加密密钥,并发送至加密密钥检查部108。从加密密钥检查部108接受了否定确认响应的控制消息处理部106将加密密钥再分发请求作为控制信号,发送至数据收发部104。
加密密钥生成部107接受从控制消息处理部106接收的加密密钥生成请求,制作加密密钥。加密密钥生成部107将生成的加密密钥发送至控制消息处理部106。
加密密钥检查部108对于从控制消息处理部106接收的加密密钥中是否有位错误进行检查。在没有错误的情况下,加密密钥检查部108向组播用加密密钥管理部109发送加密密钥的更新请求。在没有错误的情况下,加密密钥检查部108向控制消息处理部106发送肯定确认响应。在有错误的情况下,加密密钥检查部108向控制消息处理部106发送否定确认响应。
组播用加密密钥管理部109存储保持Allocation-ID与IGMP组与加密密钥的对应关系。对于来自组播数据解密部110的请求,组播用加密密钥管理部109发送IGMP组与加密密钥的对应信息。
组播数据解密部110进行加密组播信号的解密。组播数据解密部110接收加密密钥为有效的帧定时,在帧定时更新加密密钥。
组播数据收发部111将从组播数据解密部110接收的解密组播信号发送至用户网络接口部。
ONU10通过用户网络接口(UNI)部100接收来自属下所容纳的STB30的IGMP报告消息(加入:Join)。然后,IGMP报告消息(Join)经由单播数据收发部101,传递至IGMP捕获部102。
IGMP捕获部102进行IGMP报告消息(Join)的解析。在解析的结果是MAC地址不是已知的情况下,MAC地址/IGMP组管理部103将该STB的MAC地址和IGMP组作为管理对象登录。在MAC地址已知的情况下,MAC地址/IGMP组管理部103进行与该MAC地址对应的IGMP组的改写。另一方面,IGMP捕获部102将IGMP报告(Join)消息透过性地转发至数据收发部104。数据收发部104在转换至ANI侧的传输所使用的加密帧之后,通过接入节点接口部105,发送至OLT20。
参照图3,说明OLT的结构。在图3中,OLT20由接入节点接口(ANI)部201、单播数据收发部202、IGMP捕获部203、MAC地址/IGMP组管理部204、服务节点接口(SNI)205、组播用加密密钥管理部206、控制消息处理部207、加密密钥检查部208、组播用加密密钥管理部209、组播数据发送部210、数据收发部211构成。
接入节点接口(ANI)部201将从单播数据收发部202接收的帧信号转换至光信号,并发送至ONU10。接入节点接口部201将从组播数据收发部202接收的帧信号转换至光信号,并发送至ONU10。接入节点接口部201将从ONU10接收的光信号转换至帧信号,并发送至单播数据收发部202。
单播数据收发部202将从接入节点接口(ANI)部201接收的帧信号转发至IGMP捕获部203。单播数据收发部202将从IGMP捕获部203接收的帧信号转发至接入节点接口(ANI)部201。
IGMP捕获部203在从单播数据收发部202接收的帧信号之中,仅解析IGMP信号。IGMP捕获部203提取IGMP信号中所包含的IGMP组与MAC地址与进行帧接收的端口ID的对应。IGMP捕获部203向MAC地址/IGMP组管理部204发送IGMP组与MAC地址与进行帧接收的端口ID的对应的存储/保持请求。在从MAC地址/IGMP组管理部204接受到肯定确认响应的情况下,IGMP捕获部203将IGMP信号发送至数据收发部211。在从MAC地址/IGMP组管理部204接受到否定确认响应的情况下,IGMP捕获部203废弃IGMP信号。
MAC地址/IGMP组管理部204存储/保持MAC地址与IGMP组与ANI端口ID的对应信息。MAC地址/IGMP组管理部204从IGMP捕获部203,接收IGMP组与MAC地址与进行帧接收的ANI端口ID的对应的存储/保持请求。在MAC地址已知的情况下,MAC地址/IGMP组管理部204更新IGMP组与MAC地址与进行帧接收的端口ID的对应信息。在存在IGMP组的情况下,MAC地址/IGMP组管理部204将否定确认响应发送至IGMP捕获部203。在不存在IGMP组的情况下,MAC地址/IGMP组管理部204将否定确认响应发送至IGMP捕获部203,对于IGMP组与MAC地址与进行帧接收的端口ID的对应信息,进行新登录。
服务节点接口(SNI)部205将从IGMP捕获部203接收的单播信号发送至上位网络。服务节点接口部205将从上位网络接收的组播信号发送至组播数据加密部209。服务节点接口部205将从上位网络接收的单播信号发送至IGMP捕获部203。
组播用加密密钥管理部206对于所属物理端口(ANI端口)与ONU ID与密钥制作者识别与MAC地址与IGMP组的对应关系进行存储/保持/更新。组播用加密密钥管理部206对于Allocation-ID与IGMP组与加密密钥的对应关系进行存储/保持/更新。在新制作了IGMP组的情况下,组播用加密密钥管理部206对于ONU10,发送加密密钥生成请求。在IGMP组已经存在的情况下,组播用加密密钥管理部206选定1台属于组的ONU10,并发送加密密钥生成请求。组播用加密密钥管理部206对于来自组播数据加密部209的与IGMP组对应的加密密钥的询问进行响应。
控制消息处理部207向ONU10发送加密密钥生成委托。控制消息处理部207向ONU10发送加密密钥为有效的定时。控制消息处理部207在该IGMP组中存在加密密钥的变更的情况下,向所属的全部ONU10发送加密密钥。
加密密钥检查部208对于有无加密密钥的错误进行检查。组播数据加密部209通过加密密钥对组播数据进行加密。
组播数据发送部210将由组播数据加密部209进行了加密的加密组播信号发送至接入节点接口部201。
数据收发部211将从SNI部205接收的单播信号发送至IGMP捕获部203。数据收发部211将从IGMP捕获部203接收的单播信号发送至SNI部205。数据收发部211将从SNI部205接收的组播信号发送至组播数据加密部209。
参照图4,说明MAC地址/IGMP组对应表。在图4中,MAC地址/IGMP组对应表50由MAC地址51和IGMP组52构成。MAC地址/IGMP组对应表50由ONU10的MAC地址/IGMP组管理部103和OLT20的MAC地址/IGMP组管理部204保持。MAC地址51是ONU的MAC地址。IGMP组52是ONU所属的IGMP组的识别符。参照图5,说明密钥管理表。在图5中,密钥制作者管理表60由所属端口(ANI端口)61、ONU ID(Allocation-ID)62、密钥制作者识别符63、MAC地址64、IGMP组65构成。密钥制作者管理表60由OLT20的组播用加密密钥管理部206管理。所属端口61是OLT20的属下的ONU10所属的物理PON端口。ONU ID62是ONU的ID。密钥制作者识别符63识别是否是密钥制作者。MAC地址64是ONU的MAC地址。IGMP组65是ONU所属的IGMP组的识别符。在密钥制作者识别符63中,“1”表示是密钥制作者,“0”表示不是密钥制作者。
参照图6,说明加密密钥管理表。在图6中,加密密钥管理表70由Allocation-ID71、IGMP组72、加密密钥73构成。加密密钥管理表70由ONU10的组播用加密密钥管理部109和OLT20的组播用加密密钥管理部206管理。Allocation-ID71是ONU的ID。IGMP组72是ONU所属的IGMP组的识别符。加密密钥73是IGMP组的加密密钥。其中,在加密密钥管理表70中,也可以设置加密密钥的保持期限。
参照图7,说明下行帧格式。在图7中,下行帧格式600由PCBd601和有效负载构成。PCBd601是物理控制块(d:下行)部,表示下行信号的控制信号。PCBd601由Psync、Ident、PLOAMd602、BIP、Plend、Plend、US BWmap构成。PLOAMd602表示下行信号中的物理层的特别与操作、管理、维护有关的控制信号。
Ident由FEC Ind、Reserved、Superframe counter603构成。超级帧计数器部603表示交换加密密钥的定时。另一方面,PLOAM602由Alloc-ID604、Message构成。Alloc-ID604是Allocation-ID部,记载了单播信号中表示ONU的识别符。另外,Alloc-ID604记载了加密组播信号中与IGMP组唯一地进行对应的识别符。
参照图8,说明组播信号加密/解密处理。其中,首先以新制作了IGMP组作为前提来进行说明。在图8A中,STB30对ONU10发送IGMP Join(S11)。ONU10O对OLT20发送IGMP Join(S12)。ONU10实施IGMP解析(S13)。ONU10实施MAC地址学习(S14)。OLT20实施IGMP解析(S16)。OLT20实施MAC地址学习(S17)。OLT20对视频服务器70发送IGMP Join(S18)。
OLT20对ONU10发送加密密钥生成请求(S19)。ONU10将ACK发送至OLT20(S21)。ONU10生成加密密钥(S22)。ONU10对OLT20分发加密密钥(S23)。OLT20对加密密钥进行检查(S24)。OLT20对ONU10发送ACK(S26)。OLT20对ONU10发送密钥有效定时(S27)。ONU10对OLT20发送Ack(S28)。
在图8B中,视频服务器70对OLT20发送组播信号(S29)。OLT20检索与IGMP组相对应的加密密钥(S31)。OLT20对组播信号进行加密(S32)。OLT20对ONU10发送加密组播信号(S33)。ONU10检索与IGMP组相对应的加密密钥(S34)。ONU10实施解密(S36)。ONU10对STB30发送解密组播信号(S37)。
另一方面,在已经存在IGMP组时,在从步骤11到步骤17之后,转移至步骤41。在步骤41中,OLT20对ONU10发送加密密钥(S41)。ONU10检查加密密钥(S42)。ONU10对OLT20发送ACK(S43)。OLT20对ONU10发送加密密钥为有效的定时(S44)。ONU10对OLT20发送ACK(S46)。以下的步骤与步骤29到步骤37相同。
参照图9以及图10,说明OLT的处理流程。在图9中,OLT20对于接收的数据是单播数据还是组播数据进行判定(S51)。在是单播数据时,OLT20对于是控制消息还是IGMP消息进行判定(S52)。在是IGMP消息时,OLT20取得MAC地址、IGMP组、Port(S53)。OLT20对于是IGMPjoin还是IGMP leave进行判定(S54)。在是IGMP leave时,OLT20从该IGMP组将符合的MAC地址的所属脱离(S56)。OLT20对于是否不存在属于符合的IGMP组的用户进行判定(S57)。在是的情况下,OLT20删除符合的IGMP组(S58),并结束。
在步骤S57中为否的情况下,OLT20就这样结束。在步骤S54中是IGMP join时,OLT20对于是否向已有IGMP组进行判定(S59)。在是的情况下,OLT20废弃IGMP消息(S61)。OLT20更新密钥制作者管理表60(S62),并结束。
在步骤59中为否的情况下,OLT20使IGMP消息通过至SNI205(S63)。OLT20新制作IGMP组(S64)。OLT20向控制消息处理部207发送加密密钥生成委托(S66)。OLT20实施控制消息处理(S67),并结束。
在步骤61中为组播数据时,OLT20对于是否超过了加密密钥的保持期限进行判定(S68)。在是的情况下,OLT20转移至步骤66。在步骤68中为否的情况下,OLT20检索属于该组播组的用户(S69)。OLT20检索用户所属的物理端口(S71)。OLT20取得组播组的加密密钥(S72)。OLT20对组播信号进行加密(S73)。OLT20仅对用户所属的物理端口发送加密组播信号(S74),并结束。
参照图10,进一步详细说明步骤67。在步骤67中,OLT20判定控制消息的种类(S671)。在加密密钥制作委托的情况下,OLT20发送加密密钥生成委托(S672),并结束。在步骤S671中,是加密密钥制作响应的情况下,OLT20实施加密密钥的错误检查(S673)。OLT20对于错误检查的结果是否为错误进行判定(S674)。在否的情况下,OLT20保存IGMP组的新加密密钥(S676)。OLT20向属于该IGMP的ONU发送加密定时(S677)。OLT20在通知的定时,更新加密密钥管理表70(S678),并结束。
在步骤671中,在是加密密钥更新时,OLT20向属于该IGMP组的全部ONU发送加密密钥(S679),并结束。
包括IGMP报告消息的消息、加密密钥生成请求以及加密密钥生成响应也可以通过加密单播信道进行通信。
参照图11以及图12,说明ONU的处理。在图11中,ONU10对于接收的数据是单播数据还是组播数据进行判定(S81)。在是单播数据时,ONU10对于是控制消息还是IGMP消息进行判定(S82)。在是IGMP数据时,ONU10取得MAC地址和IGMP组(S83)。ONU10对于是IGMP join还是IGMP leave进行判定(S84)。在是IGMP leave时,ONU10从该IGMP组将该MAC地址的所属脱离(S86)。ONU10对于是否不存在属于该IGMP组的STB进行判定(S87)。在是的情况下,ONU10删除该IGMP组(S88),并结束。在步骤87中为否的情况下,ONU10就那样结束。
在步骤S84中是IGMPjoin时,ONU10对于是否为已有IGMP组进行判定(S89)。在是的情况下,ONU10废弃IGMP消息(S91)。ONU10更新MAC地址/IGMP组对应表50(S92),并结束。在步骤89中为否的情况下,ONU10使IGMP消息通过ONU(S93)。ONU10新制作IGMP组(S94),并结束。
在步骤82中是控制消息时,ONU10处理控制消息(S96),并结束。在步骤81中为组播数据时,ONU10对于属于该组播组的STB进行检索(S97)。ONU10通过保持表取得组播组的加密密钥(S98)。ONU10对组播信号进行加密(S99)。ONU10仅对STB所属的物理端口发送加密组播信号(S101),并结束。
参照图12,说明步骤96的控制消息处理。在图12中,ONU对于控制消息进行判定(S960)。在加密密钥制作委托的情况下,ONU10生成加密密钥(S961)。ONU10向ONU发送加密密钥(S962),并结束。在步骤960中是加密密钥制作响应的情况下,转移至步骤962。在步骤960中是加密密钥重发委托的情况下,ONU10向ONU委托加密密钥重发(S963),并结束。在步骤960中如果是加密密钥接收,则ONU10进行加密密钥检查(S964)。ONU10对于错误检查的结果是否为错误进行判定(S965)。在是的情况下,ONU10转移至步骤963。在步骤965中为否的情况下,ONU10保存IGMP组的新加密密钥(S966)。ONU10从OLT接收属于IGMP组的加密密钥为有效的定时,并进行保持(S967)。ONU10在接收的定时更新加密密钥信息(S968),并结束。其中,更新的是Allocation-ID、IGMP组、加密密钥。
在步骤960中是加密密钥更新的情况下,ONU10向属于该IGMP组的全部ONU通知加密密钥(S969),并结束。在步骤S960中是加密密钥更新定时接收的情况下,ONU10转移至步骤967。
由接入节点接口(ANI)部201接收了IGMP报告消息(Join)的OLT20对于IGMP报告消息,由单播数据收发部202进行解密。IGMP捕获部203进行消息的解析。作为进行解析的结果,MAC地址/IGMP组管理部204制作密钥管理表60,并进行保持/管理。
IGMP捕获部203对MAC地址/IGMP组管理部204进行询问,在该IGMP报告消息(Join)所指示的组已经有其他MAC地址的登录的情况下,不通过服务节点接口(SNI)部205向上位数据分发网发送IGMP报告消息。另一方面,在不存在IGMP组的情况下,IGMP捕获部203将IGMP报告消息发送至服务节点接口(SNI)部205。MAC地址/IGMP组管理部204向组播用加密密钥管理部,通知IGMP组、作为其发送源的ONU的信息、以及IGMP组是制作的还是已经存在的信息。
在新制作IGMP组的情况下,组播用加密密钥管理部206经由控制消息处理部207、单播数据收发部202、接入节点接口(ANI)部201,对于ONU10,发送加密密钥生成请求。
另一方面,在IGMP组已经存在的情况下,组播用加密密钥管理部206经由单播数据收发部202、接入节点接口(ANI)部201,对于ONU10,发送该IGMP组的加密密钥和表示IGMP组的信息(Allocation-ID)。其中,也可以发送多次。
在新制作IGMP组的情况下,或者,在加密密钥的管理期限过期的情况下,接收了加密密钥的生成请求的ONU10向控制消息处理部106转发生成请求。控制消息处理部106接受加密密钥生成请求,向加密密钥生成部107,进行加密密钥的生成请求,并得到生成加密密钥。控制消息处理部106经由数据收发部104、接入节点接口(ANI)部105,将加密密钥发送至OLT20。其中,加密密钥也可以发送多次。
另一方面,在IGMP组已经存在的情况下,接收了加密密钥的ONU10由加密密钥检查部108进行加密密钥的检查。在加密密钥中没有错误的情况下,对组播用加密密钥管理部109发送IGMP组的信息和加密密钥。组播用加密密钥管理部109存储/管理加密密钥管理表70。控制消息处理部106通过数据收发部104和接入节点接口(ANI)部105,向OLT20发送肯定确认响应。
在加密密钥中存在错误的情况下,控制消息处理部106通过数据收发部104和接入节点接口(ANI)部105,将否定确认响应发送至OLT20,进行加密密钥的再分发请求。
作为对于加密密钥生成请求的响应,接收了加密密钥的OLT20通过控制消息处理部207向加密密钥检查部208交接处理。加密密钥检查部208实施加密密钥的检查。在没有错误的情况下,组播用加密密钥管理部206保持/管理加密密钥管理表70。另外,在有错误的情况下,控制消息处理部207对于ONU10,再次实施密钥生成委托。
按照上述步骤,OLT20和ONU10共享加密密钥。OLT20将加密为有效的帧的定时配置在图7的帧格式所示的超级帧计数器部601中,并从控制消息处理部207发送至ONU10。接收了帧定时的ONU10由控制消息处理部106参照该帧定时,向组播信号解密部110发送加密密钥为有效的帧计数。
在成为加密密钥制作者的ONU10属下的STB从该IGMP组脱离,而且该ONU10属下的其他的STB不属于该IGMP组的情况下,或者,上次制作该IGMP组的加密密钥而经过了数秒钟的规定时间的情况下,进行加密密钥的切换。通过用户网络接口部100接收了IGMP消息(leave)的ONU10经由单播数据收发部101,由IGMP捕获部102进行解析。MAC地址管理部103丢弃与该MAC地址建立了对应的IGMP组信息。IGMP捕获部102将IGMP消息(leave)透过性地转发至数据收发部104,并通过接入节点接口部105,发送至OLT20。
通过接入节点接口部201接收了IGMP消息(leave)的OLT20经由单播数据收发部202,通过IGMP捕获部进行IGMP消息(leave)的解析。MAC地址/IGMP组管理部204接受解析结果,在是来自作为组的加密密钥制作者的ONU的IGMP leave消息的情况下,解除STB与IGMP组的对应。MAC地址/IGMP组管理部204将属于该IGMP组的STB所容纳的ONU新选定为加密密钥制作者,向控制消息处理部207发送密钥切换请求。
通过这些步骤,OLT20在服务节点网络部205中,接收组播信号。组播数据加密部209向组播用加密密钥管理部206询问与IGMP组对应的加密密钥。组播数据加密部209对组播信号进行加密。其后,经由组播数据发送部210、接入节点接口部201,向ONU10发送组播信号。
通过接入节点接口部105接收了组播信号的ONU10经由数据收发部104,通过组播数据解密部110进行加密组播信号的解密。组播数据解密部110对组播用加密密钥管理部109进行询问,对该IGMP组的组播信号进行解密。组播用加密密钥管理部109通过Aloc-ID(Allocation-ID)602部,识别所接收的组播信号和加密密钥。另外,在是ONU10属下的STB30所没有请求的IGMP组的组播信号的情况下,废弃帧。
Claims (4)
1.一种光网络系统,通过光分发网对设置在基站的光传输路径终端装置和设置在加入者住宅的多个光网终端装置进行连接,其特征在于,
上述光网终端装置具有:
第一IGMP捕获部,在从机顶盒接收到报告消息时,解析上述报告消息,并将上述报告消息转发至上述光传输路径终端装置;
第一MAC地址/IGMP组管理部,将上述机顶盒的所属组和地址保持在第一表中;
加密密钥生成部,在从上述光传输路径终端装置接收到加密密钥生成请求时,生成加密密钥,将生成的上述加密密钥作为加密密钥生成响应发送至上述光传输路径终端装置;以及
组播数据解密部,在从上述光传输路径终端装置接收到定时通知时,在该定时更新上述所属组的加密密钥;
上述光传输路径终端装置具有:
第二IGMP捕获部,在经由上述光网终端装置从上述机顶盒接收到报告消息时,解析上述报告消息;
第二MAC地址/IGMP组管理部,将上述机顶盒的所属组和上述光网终端装置保持在第二表中;
组播用加密密钥管理部,将上述加密密钥生成请求发送至上述光网终端装置;以及
控制消息处理部,在从上述光网终端装置接收到上述加密密钥生成响应时,还在上述第二表中保持上述加密密钥,将上述加密密钥为有效的上述定时通知发送至上述光网终端装置。
2.如权利要求1所述的光网络系统,其特征在于,
上述组播用加密密钥管理部还按每个所属组来保持密钥保持期限,在超过了第一所属组的密钥保持期限时,从所属于上述第一所属组的光网终端装置中,选定生成加密密钥的光网终端装置,进行将上述第一所属组与加密密钥建立的对应的更新。
3.如权利要求1所述的光网络系统,其特征在于,
通过加密单播通道对包括上述报告消息在内的消息、上述加密密钥生成请求、以及上述加密密钥生成响应进行通信。
4.一种加密密钥的交换方法,包括以下步骤:
光网终端装置在从机顶盒接收到报告消息时,解析上述报告消息;将上述机顶盒的所属组和地址保持在第一表中;将上述报告消息转发至光传输路径终端装置;
上述光传输路径终端装置在从上述机顶盒接收到报告消息时,再次解析上述报告消息;将上述机顶盒的所属组和光网终端装置保持在第二表中;将加密密钥生成请求发送至上述光网终端装置;
上述光网终端装置在从上述光传输路径终端装置接收到加密密钥生成请求时,生成加密密钥;将生成的上述加密密钥作为加密密钥生成响应发送至上述光传输路径终端装置;
上述光传输路径终端装置在从上述光网终端装置接收到上述加密密钥生成响应时,还在上述第二表中保持上述加密密钥;将上述加密密钥为有效的定时通知发送至上述光网终端装置;以及
上述光网终端装置在从上述光传输路径终端装置接收到定时通知时,更新上述所属组的加密密钥。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009027319A JP2010183494A (ja) | 2009-02-09 | 2009-02-09 | 光ネットワークシステムおよび暗号化鍵の切り替え方法 |
JP027319/2009 | 2009-02-09 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101800638A CN101800638A (zh) | 2010-08-11 |
CN101800638B true CN101800638B (zh) | 2012-07-18 |
Family
ID=42226636
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200910253300.XA Expired - Fee Related CN101800638B (zh) | 2009-02-09 | 2009-12-11 | 光网络系统及加密密钥的切换方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US8280055B2 (zh) |
EP (1) | EP2216956A2 (zh) |
JP (1) | JP2010183494A (zh) |
CN (1) | CN101800638B (zh) |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4727751B2 (ja) * | 2007-11-01 | 2011-07-20 | 日本電信電話株式会社 | 光ネットワーク終端装置 |
US20110299854A1 (en) * | 2010-06-07 | 2011-12-08 | Greenwave Reality, Inc. | Light Bulb with IR Transmitter |
JP2012080229A (ja) * | 2010-09-30 | 2012-04-19 | Hitachi Information & Communication Engineering Ltd | 受信装置及び受信制御方法、通信システム |
JP2012080227A (ja) * | 2010-09-30 | 2012-04-19 | Hitachi Information & Communication Engineering Ltd | 通信システム及び方法 |
US20120106954A1 (en) * | 2010-11-01 | 2012-05-03 | Lockheed Martin Corporation | Method for updating ports in a photonic-based distributed network switch |
KR20120057172A (ko) * | 2010-11-26 | 2012-06-05 | 한국전자통신연구원 | 무선 접속장치, l2 스위치 및 이를 이용한 멀티캐스트 핸드오버 지원방법 |
CN102075320B (zh) * | 2011-01-25 | 2013-05-01 | 西安西电捷通无线网络通信股份有限公司 | 一种组播密钥的安全更新方法、系统及设备 |
US8699326B2 (en) * | 2011-01-31 | 2014-04-15 | Telefonaktiebolaget L M Ericsson (Publ) | Optical network automatic protection switching |
US9178619B2 (en) * | 2011-06-08 | 2015-11-03 | Electronics And Telecommunications Research Institute | Passive optical network (PON)-based system and method for providing handover among optical network terminals (ONTs) |
CN102932137B (zh) * | 2012-10-08 | 2015-05-27 | 中国科学院西安光学精密机械研究所 | 基于光纤波分复用系统中信号全光加解密的密钥分配方法 |
EP2833572B1 (en) * | 2013-07-29 | 2019-12-25 | Alcatel Lucent | Adaptive traffic encryption for optical networks |
CN104753701A (zh) * | 2013-12-27 | 2015-07-01 | 中兴通讯股份有限公司 | 光网络单元onu数据处理方法、装置及系统 |
CN103746814B (zh) * | 2014-01-27 | 2018-04-20 | 华为技术有限公司 | 一种加密、解密的方法及设备 |
CN110138552B (zh) * | 2019-05-08 | 2021-07-20 | 北京邮电大学 | 多用户量子密钥供应方法及装置 |
CN111935181B (zh) * | 2020-09-25 | 2021-01-26 | 北京天御云安科技有限公司 | 一种全密态条件下密钥切换的业务无中断实现方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004343243A (ja) * | 2003-05-13 | 2004-12-02 | Mitsubishi Electric Corp | Ponシステムにおけるマルチキャスト通信方法および局側装置 |
JP2007074168A (ja) * | 2005-09-05 | 2007-03-22 | Mitsubishi Electric Corp | 局側装置、加入者側装置、通信システム、および通信方法ならびにその方法をコンピュータに実行させるプログラム |
CN101047494A (zh) * | 2006-05-14 | 2007-10-03 | 华为技术有限公司 | 一种pon系统中密钥协商的方法和系统 |
CN101056167A (zh) * | 2007-05-31 | 2007-10-17 | 中兴通讯股份有限公司 | 一种吉比特无源光网络密钥交换及切换的方法 |
CN101183934A (zh) * | 2007-10-23 | 2008-05-21 | 中兴通讯股份有限公司 | 无源光网络中密钥更新方法 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4201430B2 (ja) * | 1999-04-16 | 2008-12-24 | 富士通株式会社 | 光加入者線終端装置 |
US20020150097A1 (en) * | 2001-02-21 | 2002-10-17 | Wei Yen | Method and apparatus for secured multicasting |
JPWO2005112336A1 (ja) * | 2004-05-14 | 2008-03-27 | 三菱電機株式会社 | 暗号機能付きponシステム及びponシステムの暗号化方法 |
IL167180A (en) * | 2005-03-01 | 2011-02-28 | Eci Telecom Ltd | Method and device for providing multicast services to multiple customers |
JP2007158962A (ja) * | 2005-12-07 | 2007-06-21 | Mitsubishi Electric Corp | Ponシステム |
US8086872B2 (en) * | 2005-12-08 | 2011-12-27 | Electronics And Telecommunications Research Institute | Method for setting security channel based on MPCP between OLT and ONUs in EPON, and MPCP message structure for controlling frame transmission |
JP4231061B2 (ja) | 2006-05-10 | 2009-02-25 | 株式会社日立コミュニケーションテクノロジー | 加入者接続装置およびネットワークシステム |
EP3217660B1 (en) * | 2007-06-15 | 2018-10-31 | Panasonic Intellectual Property Management Co., Ltd. | Image processing device |
JP4866381B2 (ja) | 2008-03-12 | 2012-02-01 | 株式会社日立製作所 | ネットワークシステムおよび加入者接続装置 |
US8335316B2 (en) * | 2008-04-21 | 2012-12-18 | Broadcom Corporation | Method and apparatus for data privacy in passive optical networks |
-
2009
- 2009-02-09 JP JP2009027319A patent/JP2010183494A/ja active Pending
- 2009-12-10 US US12/634,905 patent/US8280055B2/en not_active Expired - Fee Related
- 2009-12-10 EP EP09178739A patent/EP2216956A2/en not_active Withdrawn
- 2009-12-11 CN CN200910253300.XA patent/CN101800638B/zh not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004343243A (ja) * | 2003-05-13 | 2004-12-02 | Mitsubishi Electric Corp | Ponシステムにおけるマルチキャスト通信方法および局側装置 |
JP2007074168A (ja) * | 2005-09-05 | 2007-03-22 | Mitsubishi Electric Corp | 局側装置、加入者側装置、通信システム、および通信方法ならびにその方法をコンピュータに実行させるプログラム |
CN101047494A (zh) * | 2006-05-14 | 2007-10-03 | 华为技术有限公司 | 一种pon系统中密钥协商的方法和系统 |
CN101056167A (zh) * | 2007-05-31 | 2007-10-17 | 中兴通讯股份有限公司 | 一种吉比特无源光网络密钥交换及切换的方法 |
CN101183934A (zh) * | 2007-10-23 | 2008-05-21 | 中兴通讯股份有限公司 | 无源光网络中密钥更新方法 |
Also Published As
Publication number | Publication date |
---|---|
CN101800638A (zh) | 2010-08-11 |
JP2010183494A (ja) | 2010-08-19 |
US8280055B2 (en) | 2012-10-02 |
US20100202612A1 (en) | 2010-08-12 |
EP2216956A2 (en) | 2010-08-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101800638B (zh) | 光网络系统及加密密钥的切换方法 | |
US9838363B2 (en) | Authentication and initial key exchange in ethernet passive optical network over coaxial network | |
US7924835B2 (en) | Method and device for providing multicast services to multiple customers | |
US8442229B2 (en) | Method and apparatus for providing security in a passive optical network | |
EP2148467B1 (en) | Method for performing a congestion control in an optical network with multicast data transmission | |
US20020150097A1 (en) | Method and apparatus for secured multicasting | |
US8948401B2 (en) | Method for filtering of abnormal ONT with same serial number in a GPON system | |
JP2006238433A (ja) | インターネットプロトコル基盤の放送サービスを提供するためのシステム及びその方法 | |
US9948457B2 (en) | Extending data over cable service interface specification (DOCSIS) provisioning of ethernet passive optical network (EPON) (DPoE) to EPON over coax (EPoC) multicast key management | |
JP4685659B2 (ja) | 局側装置、加入者側装置およびponシステム | |
US20090232313A1 (en) | Method and Device for Controlling Security Channel in Epon | |
JP4889984B2 (ja) | 通信システムおよび通信方法 | |
KR100606095B1 (ko) | 수동 광가입자망 시스템에서 가입자 인증 후 암호화 키의전달 방법 및 장치 | |
WO2006077575A1 (en) | Delivery of secured multicast services to multiple customers via a passive optical network (pon) | |
JP2006245778A (ja) | 通信装置、通信方法、およびプログラム | |
WO2007066951A1 (en) | Method and device for controlling security channel in epon | |
Kartalopoulos et al. | Vulnerabilities and security strategy for the next generation bandwidth elastic PON |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120718 Termination date: 20161211 |