JP2003060633A - 受動光ネットワークシステム及び受動光ネットワークシステム暗号化方法及びネットワークシステム及びネットワークシステム - Google Patents

受動光ネットワークシステム及び受動光ネットワークシステム暗号化方法及びネットワークシステム及びネットワークシステム

Info

Publication number
JP2003060633A
JP2003060633A JP2001249490A JP2001249490A JP2003060633A JP 2003060633 A JP2003060633 A JP 2003060633A JP 2001249490 A JP2001249490 A JP 2001249490A JP 2001249490 A JP2001249490 A JP 2001249490A JP 2003060633 A JP2003060633 A JP 2003060633A
Authority
JP
Japan
Prior art keywords
ont
terminal
transmission frame
identifier
encryption key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001249490A
Other languages
English (en)
Inventor
Kazumi Oguchi
和海 小口
Norihiro Asashiba
慶弘 浅芝
Hideaki Yamanaka
秀昭 山中
Ryusuke Kawate
竜介 川手
Masayuki Sato
昌幸 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2001249490A priority Critical patent/JP2003060633A/ja
Publication of JP2003060633A publication Critical patent/JP2003060633A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Optical Communication System (AREA)

Abstract

(57)【要約】 【課題】 イーサネット(登録商標)フレーム対応受動
光ネットワークシステムにおいて、くだり方向の暗号化
を実現する。 【解決手段】 ONT11は、端末111から入力され
る伝送フレームをモニタし、端末111を識別するMA
Cアドレスを保持し、OLT50へ任意の暗号鍵を通知
し、OLT50は、ONT11から通知された暗号鍵を
保持し、ONT11から入力される伝送フレーム(イー
サネットフレーム)をモニタし、伝送フレームから上記
MACアドレスとONTとの対応関係を取得して保持
し、ONT11へ伝送フレームを端末へ送信する場合
に、送信先のMACアドレスに基づいて宛先となるON
Tを上記保持データから識別し、識別したONTの暗号
鍵を用いて伝送フレームのデータ領域を暗号化して出力
し、ONT11は、OLT50から入力される伝送フレ
ームに含まれるMACアドレスが保持するMACアドレ
スと一致したフレームのみ、上記暗号鍵を使用して復号
する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、ユーザ網インタフ
ェース(UNI;User Network Inte
rface)にLANなどのイーサネット(Ether
net)(「イーサネット」、「Ethernet」
は、登録商標)フレームデータを通信するインタフェー
スを有する伝送装置において、受動光ネットワーク(P
ON;Passive Optical Networ
k)システム上で可変長のイーサネットフレームデータ
を通信する伝送装置に関するものである。特に、その伝
送装置において、親局側から子局側方向へのデータの暗
号方法に関するものである。
【0002】
【従来の技術】PONシステムは、光ファイバ及びスタ
ーカプラによって、複数の加入者を1個のネットワーク
側インタフェースで収容するものであり、1対1で加入
者を収容するよりも、親局側のコスト及び光ファイバ敷
設費用を低コスト化できる。このため、FTTH(Fi
ber To The Home)を実現する形態とし
て注目されている。
【0003】図21に、PONシステムの構成図を示
す。図21において、301〜30nは子局、40はス
ターカプラ、300は親局である。以下、子局から親局
に向かう方向を「上り」、親局から子局に向かう方向を
「下り」と呼ぶ。PONシステムに固有の特徴として、
上り方向では、親局は各子局からの信号である光が衝突
しないような制御を行う必要がある。また、下り方向の
信号は、親局から各子局に同報されるため、各子局は他
の子局宛てのデータも受信可能である。一方、光の方向
性により、子局が送信する上り方向の信号は他の子局は
受信できない構造となっている。
【0004】上記述べたように、PONシステムでは、
特定子局向けの下り信号を、他の子局が受信することが
可能であり、通信の秘密性を保持するためには、何らか
の方法を用いる必要がある。
【0005】従来のPONシステムで、下り方向の通信
の秘密性を保持しているものとして、ATM−PONシ
ステムがある。ATM−PONシステムはPON区間を
ATMセルで送受信するシステムであり、ITU−Tに
よりG983.1として標準化されている。以下に、G
983.1によるATM−PONシステムでの秘密性保
持方法を説明する。
【0006】図22に、ATM−PONシステムの構成
を示す。図22において、201〜20nは加入者宅、
200は局舎、40はスターカプラである。211〜2
1nはONT(Optical Network Te
rminal:光網終端装置)、250はOLT(Op
tical LineTerminal:光加入者線終
端装置)、265はOLTとONTを制御するオペレー
ションシステム(OpS:Operation Sys
tem:管理装置)である。ONTには電話やパーソナ
ルコンピュータ等が接続され、OLTにはネットワーク
70が接続される。
【0007】G983.1では、下り方向の通信の秘密
性を保持するために、OLT側で下り方向のデータを、
宛先ONT毎に暗号をかけ、ONT側で自分宛のデータ
のみ複号することで秘密性を保持している。暗号に用い
る鍵と復号に用いる鍵は同一であり、G983.1では
チャーニング鍵と呼んでいる。暗号鍵は、PONの上り
方向のデータは他のONTに盗聴されない性質を利用
し、ONTからOLTに通知する。OLTは図23に示
すATMセルのペイロード(48バイト)に、ONT毎
に通知された鍵を使って暗号をかけ、ONTはOLTに
通知した鍵を用いて復号する。ATMセルのヘッダ(5
バイト)には暗号をかけない。
【0008】暗号をかけないセルヘッダ5バイトにはV
PI値が含まれている。ATM−PONシステムの場
合、通信を始める前にOpSよりコネクションを設定す
る。コネクション設定時にはVPI値を決定する必要が
あり、そのVPI値はOpSより、OLTとONTに通
知される。ONTにはOLT経由で通知される。そし
て、図24に示すように、OLTは「どのONTがどの
VPI値を使用するか」の表を、また、ONTは「どの
VPI値がどのサービス用か」の表を、OpSからの情
報により作成して持つ。ここで、OLTが持つ表をON
T対応VPI値表251、ONTが持つ表をサービス対
応VPI値表220と呼ぶことにする。
【0009】OLTは暗号をかける際に、セルのVPI
値を見て、ONT対応VPI値表251を検索し、どの
ONT宛のセルかを識別する。その後、宛先ONT用の
暗号鍵を用いてペイロード部分に暗号をかける。一方、
ONTでは、受信したVPI値をもとに、サービス対応
VPI値表220を検索し、自分宛てのセルかどうかを
判断する。自分宛てのセルの場合、OLTに通知した暗
号鍵を用いて復号する。自分宛てでないセルは暗号鍵が
分からないため、ペイロード部分のデータを復号できな
い。従って、他のONTに解読されることはなく、通信
の秘密性を保持できる。
【0010】
【発明が解決しようとする課題】PONシステム上で下
り方向に暗号をかける場合、従来のATM−PONシス
テムでは、OLTがセルのVPI値を見ることで、宛先
ONTがわかり、OLTはONTから通知された鍵をも
とにONT毎に暗号をかけていた。OLT,ONTには
OpSからの情報をもとに、ONT対応VPI値表25
1、サービス対応VPI値表220を作成することがで
きた。
【0011】しかしながら、イーサネットフレームをP
ON上に伝送するイーサネットPONシステムにおいて
は、ATMセルを使用しないため、ATMセルのヘッダ
はなく、当然VPI値はない。図25に、イーサネット
PONシステムの構成を示す。図25において、201
〜20nは加入者宅、200は局舎、40はスターカプ
ラである。11〜1nはイーサネットPON用ONT、
50はイーサネットPON用OLT、65はイーサネッ
トPON用オペレーションシステムである。ONTには
端末(パソコン等)が接続される。PON区間は、イー
サネットフレームが伝送される。
【0012】イーサネットフレームの構成を図26に示
す。図26に示すように、イーサネットフレームはヘッ
ダと情報フィールド及びエラーチェックのためのCRC
(Cyclic Redundancy Check)
から構成される。ヘッダ部分には宛先MAC(Medi
a AccessControl)アドレスと送信元M
ACアドレスが含まれる。しかし、イーサネットはコネ
クションレス型の通信であり、OpSが通信の開始時点
で、あらかじめ端末のMACアドレスを知ることはな
い。従って、OLTではイーサネットフレームを見て
も、どのONT宛なのか分からず、ATM−PONシス
テムのようにONT毎に暗号をかけることができない。
このように、ONT毎にどのようにして暗号をかけるか
という課題がある。
【0013】そこで、この発明は、コネクションレス型
の通信において、ONT毎に暗号化する装置及び方法を
提供することを目的とする。
【0014】
【課題を解決するための手段】この発明に係る受動光ネ
ットワークシステムは、通信をはじめる前にコネクショ
ンを設定しないコネクションレス型の通信回線と、端末
とに接続し、伝送フレームの伝送を中継する受動光ネッ
トワークシステムにおいて、上記通信回線とのインタフ
ェースを提供する光加入者線終端装置(Optical
Line Terminal,以下、「OLT」と記
す)と、上記端末とのインタフェースを提供する光網終
端装置(Optical Network Termi
nal,以下、「ONT」と記す)とを備え、上記OL
Tは、上記端末を識別する端末識別子と、上記ONTを
識別するONT識別子とを対応づけて記憶する端末ON
T対応メモリと、予め上記ONTから通知された暗号鍵
を、上記ONT識別子と対応づけて記憶する暗号鍵メモ
リと、上記通信回線から伝送フレームを入力し、上記伝
送フレームから端末識別子を抽出する宛先端末識別子抽
出部と、上記宛先端末識別子抽出部が抽出した端末識別
子と上記端末ONT対応メモリと上記暗号鍵メモリとに
基づいて暗号鍵を取得し、上記暗号鍵を用いて上記伝送
フレームの少なくとも一部を暗号化し、少なくとも一部
を暗号化した伝送フレームを出力する暗号化部とを備
え、上記ONTは、上記端末の端末識別子を記憶する端
末識別子メモリと、上記OLTから伝送フレームを入力
し、入力した伝送フレームから端末識別子を抽出し、抽
出した端末識別子と上記端末識別子メモリに記憶した端
末識別子とが一致する伝送フレームを抽出する宛先端末
識別子抽出部と、上記抽出した伝送フレームの暗号化さ
れた部分を、上記暗号鍵に対応する鍵を用いて復号し、
復号した伝送フレームを端末へ出力する復号化部とを備
えることを特徴とする。
【0015】この発明に係る受動光ネットワークシステ
ムは、コネクションレス型の通信回線と、端末とに接続
し、伝送フレームの伝送を中継する受動光ネットワーク
システムにおいて、上記通信回線とのインタフェースを
提供する光加入者線終端装置(以下、「OLT」と記
す)と、上記端末とのインタフェースを提供する光網終
端装置(以下、「ONT」と記す)とを備え、上記OL
Tは、上記端末を識別する端末識別子と、上記ONTを
識別するONT識別子とを対応づけて記憶する端末ON
T対応メモリと、予め上記ONTから通知された暗号鍵
を上記ONT識別子と対応づけて記憶する暗号鍵メモリ
と、上記通信回線から伝送フレームを入力し、上記伝送
フレームから端末識別子を抽出する宛先端末識別子抽出
部と、上記宛先端末識別子抽出部が抽出した端末識別子
と上記端末ONT対応メモリと上記暗号鍵メモリとに基
づいて暗号鍵を取得し、上記暗号鍵を用いて上記伝送フ
レームの少なくとも一部を暗号化し、少なくとも一部を
暗号化した伝送フレームを出力する暗号化部とを備え、
上記ONTは、上記OLTから伝送フレームを入力し、
入力した伝送フレームの暗号化された部分を、上記暗号
鍵に対応する鍵を用いて復号する復号化部とを備えるこ
とを特徴とする。
【0016】上記ONTは、さらに、上記OLTへ自己
のONTが使用する暗号鍵を通知する暗号鍵通知部を備
え、上記OLTは、さらに、上記端末から上記ONTを
介して伝送フレームを入力し、上記伝送フレームから端
末識別子とONT識別子とを取得し、上記端末識別子
と、上記ONT識別子とを対応づけて上記端末ONT対
応メモリへ登録する送信元端末識別子抽出部と、上記O
NTから通知された暗号鍵を上記ONT識別子と対応づ
けて上記暗号鍵メモリへ登録する暗号鍵受信部とを備え
ることを特徴とする。
【0017】上記伝送フレームは、データ領域を含み、
上記暗号化部は、伝送フレームのデータ領域のみを暗号
化することを特徴とする。
【0018】上記暗号化部は、伝送フレーム全体を暗号
化することを特徴とする。
【0019】上記伝送フレームは、データエラーの発生
をチェックするチェック領域を含み、上記ONTは、さ
らに、上記端末の端末識別子を記憶する端末識別子メモ
リと、上記復号化部から伝送フレームを入力し、入力し
た伝送フレームから端末識別子を抽出し、抽出した端末
識別子と上記端末識別子メモリに記憶した端末識別子と
が一致する伝送フレームであって、かつ、チェック領域
の値が正しい伝送フレームを抽出し、抽出した伝送フレ
ームを上記端末へ出力する宛先端末識別子抽出部とを備
えることを特徴とする。
【0020】上記伝送フレームは、データエラーの発生
をチェックするチェック領域を含み、上記宛先端末識別
子抽出部は、チェック領域の値が正しい伝送フレームを
抽出することを特徴とする。
【0021】この発明に係る受動光ネットワークシステ
ムは、コネクションレス型の通信回線と、端末とに接続
し、伝送フレームの伝送を中継する受動光ネットワーク
システムにおいて、上記通信回線とのインタフェースを
提供する光加入者線終端装置(以下、「OLT」と記
す)と、上記端末とのインタフェースを提供する光網終
端装置(以下、「ONT」と記す)とを備え、上記OL
Tは、上記通信回線から伝送フレームを入力し、上記伝
送フレームから上記端末を識別する端末識別子を抽出す
る宛先端末識別子抽出部と、上記端末識別子を用いて、
上記伝送フレームを暗号化する暗号化部とを備え、上記
ONTは、一台の端末のみに接続され、上記端末の端末
識別子を記憶する端末識別子メモリと、上記OLTから
伝送フレームを入力し、上記端末識別子を用いて、上記
伝送フレームを復号する復号化部と、上記復号した伝送
フレームから端末識別子を抽出する宛先端末識別子抽出
部と、上記宛先端末識別子抽出部が抽出した端末識別子
と、上記端末識別子メモリに記憶した端末識別子とに基
づいて、上記伝送フレームを廃棄するフレーム廃棄部と
を備えることを特徴とする。
【0022】上記ONTは、さらに、端末から伝送フレ
ームを入力し、上記伝送フレームから端末識別子を抽出
する送信元端末識別子抽出部を備え、上記端末識別子メ
モリは、上記送信元端末識別子抽出部が抽出した端末識
別子を記憶することを特徴とする。
【0023】上記暗号化部は、さらに、暗号化した伝送
フレームへ上記ONT識別子を付加し、上記ONTは、
さらに、上記伝送フレームから上記付加されたONT識
別子を抽出し、抽出したONT識別子を上記復号化部へ
出力する宛先ONT番号抽出部を備え、上記復号化部
は、上記ONT識別子が自己のものである場合に、伝送
フレームを復号化することを特徴とする。
【0024】また、ONTは、さらに、自己のONT識
別子を伝送フレームへ付加して上記OLTへ出力するO
NT付加部を備え、上記OLTは、さらに、上記ONT
から伝送フレームを入力し、上記伝送フレームから端末
識別子とONT識別子とを抽出する送信元端末識別子抽
出部を備えることを特徴とする。
【0025】上記端末識別子は、Media Acce
ss Controlアドレス(以下、「MACアドレ
ス」と記す)とインターネットプロトコルアドレスとの
いずれかであることを特徴とする。
【0026】上記伝送フレームは、イーサネットフレー
ムであることを特徴とする。
【0027】この発明に係る受動光ネットワークシステ
ム暗号化方法は、コネクションレス型の通信回線とのイ
ンタフェースを提供する光加入者線終端装置(以下、
「OLT」と記す)と、端末とのインタフェースを提供
する光網終端装置(以下、「ONT」と記す)とを備
え、伝送フレームを暗号化して伝送する受動光ネットワ
ークシステム暗号化方法において、上記OLTは、上記
端末を識別する端末識別子と、上記ONTを識別するO
NT識別子とを対応付けて端末ONT対応メモリへ記憶
し、予め上記ONTから通知された暗号鍵を上記ONT
識別子と対応づけて暗号鍵メモリへ記憶し、上記通信回
線から伝送フレームを入力し、上記伝送フレームから端
末識別子を抽出し、上記抽出した端末識別子と上記端末
ONT対応メモリと上記暗号鍵メモリとに基づいて暗号
鍵を取得し、上記暗号鍵を用いて上記伝送フレームを暗
号化し、暗号化した伝送フレームを上記ONTへ出力
し、上記ONTは、上記端末の端末識別子を端末識別子
メモリへ記憶し、上記OLTから伝送フレームを入力
し、入力した伝送フレームから端末識別子を抽出し、抽
出した端末識別子と上記端末識別子メモリに記憶した端
末識別子とが一致する伝送フレームを抽出し、上記暗号
鍵に対応する鍵を用いて、上記抽出した伝送フレームを
復号し、復号した伝送フレームを端末へ出力することを
特徴とする。
【0028】この発明に係る受動光ネットワークシステ
ム暗号化方法は、コネクションレス型の通信回線とのイ
ンタフェースを提供する光加入者線終端装置(以下、
「OLT」と記す)と、端末とのインタフェースを提供
する光網終端装置(以下、「ONT」と記す)とを備
え、伝送フレームを暗号化して伝送する受動光ネットワ
ークシステム暗号化方法において、上記OLTは、上記
端末を識別する端末識別子と、上記ONTを識別するO
NT識別子とを端末ONT対応メモリへ記憶し、予め上
記ONTから通知された暗号鍵を上記ONT識別子と対
応づけて暗号鍵メモリへ記憶し、上記通信回線から伝送
フレームを入力し、上記伝送フレームから端末識別子を
抽出し、上記端末識別子と上記端末ONT対応メモリと
上記暗号鍵メモリとに基づいて暗号鍵を取得し、上記暗
号鍵を用いて上記伝送フレームを暗号化し、暗号化した
伝送フレームを出力し、上記ONTは、上記OLTから
伝送フレームを入力し、上記暗号鍵に対応する鍵を用い
て、入力した伝送フレームを復号することを特徴とす
る。
【0029】上記ONTは、さらに、上記OLTへ自己
が使用する暗号鍵を通知し、上記OLTは、さらに、O
NTから伝送フレームを入力し、上記伝送フレームに基
づいて端末識別子とONT識別子とを取得し、上記端末
識別子と、上記ONT識別子とを対応づけて上記端末O
NT対応メモリへ登録し、上記ONTから通知された暗
号鍵を上記ONT識別子と対応づけて上記暗号鍵メモリ
へ登録することを特徴とする。
【0030】この発明に係る受動光ネットワークシステ
ム暗号化方法は、コネクションレス型の通信回線とのイ
ンタフェースを提供する光加入者線終端装置(以下、
「OLT」と記す)と、端末とのインタフェースを提供
する光網終端装置(以下、「ONT」と記す)とを備
え、伝送フレームを暗号化して伝送する受動光ネットワ
ークシステム暗号化方法において、上記ONTは、端末
から入力される伝送フレームをモニタし、上記端末を識
別する端末識別子を保持し、上記OLTへ任意の暗号鍵
を通知し、上記OLTは、上記ONTから通知された暗
号鍵を保持し、上記ONTから入力される伝送フレーム
をモニタし、上記伝送フレームから上記端末識別子とO
NTとの対応関係を取得して保持し、上記ONTへ伝送
フレームを端末へ送信する場合に、送信先の端末識別子
に基づいて宛先となるONTを上記保持データから識別
し、識別したONTの暗号鍵を用いて、伝送フレームの
データ領域を暗号化し、暗号化した伝送フレームを上記
ONTへ出力し、上記ONTは、上記OLTから入力さ
れる伝送フレームに含まれる端末識別子をモニタし、保
持する端末識別子と一致した伝送フレームのみ、上記暗
号鍵に対応する鍵を使用して復号することを特徴とす
る。
【0031】この発明に係る受動光ネットワークシステ
ム暗号化方法は、コネクションレス型の通信回線とのイ
ンタフェースを提供する光加入者線終端装置(以下、
「OLT」と記す)と、端末とのインタフェースを提供
する光網終端装置(以下、「ONT」と記す)とを備
え、上記通信回線で用いる伝送フレームの伝送を中継
し、上記伝送フレームを暗号化する受動光ネットワーク
システム暗号化方法において、上記ONTは、上記OL
Tへ任意の暗号鍵を通知し、上記OLTは、上記ONT
より通知された暗号鍵を保持し、上記ONTから入力さ
れる伝送フレームをモニタし、上記端末を識別する端末
識別子とONTの対応関係を保持し、ONTへ伝送フレ
ームを送信する場合に、送信先の端末識別子に基づいて
宛先となるONTを上記保持データから識別し、識別し
たONTの暗号鍵を用いて、伝送フレームを暗号化し、
暗号化した伝送フレームを上記ONTへ出力し、上記O
NTは、上記OLTから入力される伝送フレームを、上
記暗号鍵に対応する鍵を使用して復号し、複号後の伝送
フレームを解析して正常な伝送フレームを検出し、検出
した伝送フレームを上記端末へ出力することを特徴とす
る。
【0032】この発明に係るネットワークシステムは、
通信をはじめる前にコネクションを設定しないコネクシ
ョンレス型の通信回線と、端末とに接続し、データの伝
送を中継するネットワークシステムにおいて、上記通信
回線とのインタフェースを提供する回線インタフェース
と、上記端末とのインタフェースを提供する端末インタ
フェースとを備え、上記回線インタフェースは、上記端
末を識別する端末識別子と、上記端末インタフェースを
識別する端末インタフェース識別子とを対応づけて記憶
する端末インタフェース対応メモリと、予め上記端末イ
ンタフェースから通知された暗号鍵を、上記端末インタ
フェース識別子と対応づけて記憶する暗号鍵メモリと、
上記通信回線からデータを入力し、上記データから端末
識別子を抽出する宛先端末識別子抽出部と、上記宛先端
末識別子抽出部が抽出した端末識別子と上記端末インタ
フェース対応メモリと上記暗号鍵メモリとに基づいて暗
号鍵を取得し、上記暗号鍵を用いて上記データを暗号化
し、暗号化したデータを出力する暗号化部とを備え、上
記端末インタフェースは、上記端末の端末識別子を記憶
する端末識別子メモリと、上記回線インタフェースから
データを入力し、入力したデータを、上記暗号鍵に対応
する鍵を用いて復号し、復号したデータを端末へ出力す
る復号化部とを備えることを特徴とする。
【0033】上記端末インタフェースは、さらに、上記
回線インタフェースへ自己が使用する暗号鍵を通知する
暗号鍵通知部を備え、上記回線インタフェースは、さら
に、上記端末インタフェースからデータを入力し、上記
データから端末識別子と端末インタフェース識別子とを
取得し、上記端末識別子と、上記端末インタフェース識
別子とを対応づけて上記端末インタフェース対応メモリ
へ登録する送信元端末識別子抽出部と、上記端末インタ
フェースから通知された暗号鍵を上記端末インタフェー
ス識別子と対応づけて上記暗号鍵メモリへ登録する暗号
鍵受信部とを備えることを特徴とする。
【0034】
【発明の実施の形態】実施の形態1.図1は、この発明
の実施の形態1によるイーサネットフレーム対応PON
システムの暗号方法を説明する図である。図1におい
て、11〜1nはONT、111、112は端末、40
はスターカプラ、50はOLT、70はネットワークを
示す。図1では、ONT11に接続される端末は2台の
場合を示したが、1台でも3台以上でも構わない。ま
た、この実施の形態では、端末を識別する端末識別子の
一例としてMACアドレスを用いる場合を説明する。
【0035】次に、動作を説明する。まず、各ONTか
ら暗号鍵を、PONの上り方向の秘密性を利用し、OL
Tに通知する。OLTは、ONT毎に通知された暗号鍵
を、暗号鍵テーブル(暗号鍵メモリ)52として保持す
る。
【0036】一方、OLTは、上り方向のデータのアク
セス制御を行っていることより、OLTが受信したフレ
ームがどのONTから出力されたものか分かる。従っ
て、OLTが受信したイーサネットフレームのヘッダの
送信元MACアドレスを抽出することで、どのONTに
どのMACアドレスを持つ端末が接続されているか分か
る。これにより、OLTはOpSからの情報なしで、M
ACアドレス/ONT番号対応テーブル51を作成でき
る。
【0037】OLTは、下り信号が入力されると、イー
サネットフレームの宛先MACアドレスを抽出する。そ
のMACアドレスをもとに、MACアドレス/ONT番
号対応テーブル(端末ONT対応メモリ)51を検索す
ることで、宛先ONT番号(ONT識別子)が分かる。
このONT番号と暗号鍵テーブル52から、宛先ONT
用の暗号鍵が分かる。OLTは、この暗号鍵を用いて暗
号をかける。暗号をかける領域は図2に示すように、イ
ーサネットフレームの情報フィールド(データ領域とも
いう)とCRCフィールド(チェック領域ともいう)を
合わせた部分である。従って、この実施の形態では、ヘ
ッダ(ヘッダ領域ともいう)は、暗号化しない。
【0038】ONTは、端末111,112からのイー
サネットフレームの送信元MACアドレスを抽出し、M
ACアドレスレジスタ21に保持する。また、OLTに
通知した暗号鍵を、暗号鍵レジスタ22に保持する。そ
して、OLTからのデータを受信すると、暗号化されて
いない宛先MACアドレスを抽出し、MACアドレスレ
ジスタ(端末識別子メモリ)21に、そのMACアドレ
スが含まれているかどうかを検索し、含まれていない場
合は、フレームを廃棄し、含まれている場合は、暗号鍵
レジスタ22に保持している暗号鍵を使って復号する。
以上により、イーサネットPONシステムで下り方向の
暗号が実現できる。
【0039】図3は、図1のONTの内部を詳細に記載
したものである。なお、図3では、暗号に関する回路の
み記載しており、実際のONTには、他の回路も存在す
る。図3を用いて、ONTの回路と動作を詳細に説明す
る。まず、「送信元MACアドレス抽出回路23」
(「送信元MACアドレス抽出回路23」は、宛先端末
識別子抽出部の一例)により、端末からのデータをモニ
タし、イーサネットフレームの送信元MACアドレスを
抽出する。これは、ONTに接続されている端末のMA
Cアドレスである。そして、「MACアドレスレジスタ
21」に抽出したMACアドレスを保持する。また、
「暗号鍵生成挿入回路20」により、暗号鍵を生成し
て、上り方向伝送路に挿入する。また、「暗号鍵生成挿
入回路20」(「暗号鍵生成挿入回路20」は、暗号化
部の一例)は、図1に示した「暗号鍵レジスタ22」を
内部に持っており、生成した暗号鍵を保持している。
【0040】一方、下りデータを受信すると、「宛先M
ACアドレス抽出回路24」(「宛先MACアドレス抽
出回路24」は、宛先端末識別子抽出部の一例)によ
り、暗号化されていない宛先MACアドレスを抽出す
る。そして、抽出したMACアドレスと「MACアドレ
スレジスタ21」とを比較し、一致するものがなけれ
ば、「復号化回路25」(「復号化回路25」は、復号
化部の一例)でデータを廃棄する。一致するものがあれ
ば、「暗号鍵生成挿入回路20」からの暗号鍵を用いて
「復号化回路25」でデータを復号する。「復号化回路
25」では、データを復号後、イーサネットフレームの
CRC領域の値が正しいかどうかを計算し、誤っている
場合は、データを廃棄する。
【0041】図4は、図1のOLTの内部を詳細に記載
したものである。なお、図4では、暗号に関する回路の
み記載しており、実際のOLTには、他の回路も存在す
る。図4を用いて、OLTの回路と動作を詳細に説明す
る。OLTからのデータのうち、暗号鍵を「暗号鍵受信
回路53」(「暗号鍵受信回路53」は、暗号鍵受信部
の一例)で受信し、データから暗号鍵を取り除くととも
に、暗号鍵を「暗号鍵テーブル52」にONT毎に保持
する。「送信元MACアドレス抽出回路54」(「送信
元MACアドレス抽出回路54」は、送信元端末識別子
抽出部の一例))により、「暗号鍵受信回路53」を通
過したデータをモニタし、送信元MACアドレスを抽出
する。また、「上りアクセス制御回路55」は、「送信
元MACアドレス抽出回路54」が抽出しているデータ
のONT番号を出力する。抽出したMACアドレスとO
NT番号の情報をもとに、「MACアドレス/ONT番
号対応テーブル51」を作成する。
【0042】「上りアクセス制御回路55」は、OLT
側からある1個のONTへ、ONTが上り方向へデータ
(イーサネットフレーム)を出力する許可を出す。これ
は、PONでは上り方向は、各ONTが勝手にデータを
流すと、光が衝突して、OLT側でデータを読み取るこ
とができない。従って、OLT側からある1個のONT
に、「データを出力してよい」と教える必要がある。こ
れを、「上りアクセス制御」と呼ぶ。この動作によっ
て、OLTは上り方向のデータが、どのONTから出力
されているかを知ることが可能となる。なお、この「上
りアクセス制御」の方法は一例であり、任意の方法で良
い。
【0043】一方、ネットワークからのデータを受信す
ると、「宛先MACアドレス抽出回路56」により、宛
先MACアドレスを抽出する。抽出したMACアドレス
を「MACアドレス/ONT番号対応テーブル51」に
出力し、対応するONT番号を得る。このONT番号を
「暗号鍵テーブル52」に出力することで、対応する暗
号鍵を得る。「暗号化回路57」は、この暗号鍵をもと
に、イーサネットフレームのヘッダを除く部分を暗号化
して、ONTに出力する。
【0044】以上述べた方法及び回路を用いることによ
り、イーサネットPONシステムにおいても、下り方向
のデータの秘密性を保持できるという効果がある。ま
た、宛先MACアドレス部分は暗号化していないため、
自分宛てのデータをONT側で確実に判断可能であり、
自分宛てのデータだけ復号化すれば良く、消費電力を低
減できるという効果もある。
【0045】以上のように、この実施の形態では、イー
サネットフレームをPON区間に伝送するシステムにお
いて、ONTで端末からのイーサネットフレームデータ
をモニタして、端末のMACアドレスを保持し、ONT
からOLTに任意の暗号鍵を通知し、OLTでは各ON
Tより通知された暗号鍵を保持し、また、ONTからの
イーサネットフレームをモニタし、MACアドレスとO
NTの対応関係を保持し、ONTへイーサネットフレー
ムを送信するときに、宛先MACアドレスから宛先ON
Tを上記保持データから識別し、該当ONTの暗号鍵を
用いて、イーサネットフレームのヘッダ以外を暗号化し
て送信し、ONTではイーサネットフレームの宛先MA
Cアドレスをモニタし、自身で保持しているMACアド
レスと一致したフレームのみ、OLTに通知した暗号鍵
を使用して復号することを特徴とする暗号方法について
説明した。
【0046】実施の形態2.図5は、この発明の実施の
形態2によるイーサネットフレーム対応PONシステム
の暗号方法を説明する図である。図5において、図1と
同じ記号のものは同じものを示す。図5において、30
はIP(Internet Protocol)アドレ
スレジスタ、60はIPアドレス/ONT番号対応テー
ブルである。
【0047】本実施の形態では、イーサネットフレーム
で伝送されるデータが、図6に示すように全てIPプロ
トコルの場合を前提としている。また、暗号をかける領
域は、イーサネットフレームのうちのIPデータ部分だ
けとする。本実施の形態では、実施の形態1において、
MACアドレスを抽出する回路を、IPアドレスを抽出
する回路に変更し、保持するデータと表もMACアドレ
スからIPアドレス対応のものに変更するだけで、処理
動作は実施の形態1と同じである。
【0048】図5に示す構成により、IPプロトコルの
みを伝送するイーサネットPONシステムで、下り方向
のデータの秘密性を保持できるという効果がある。ま
た、宛先IPアドレス部分は暗号化していないため、自
分宛てのデータをONT側で確実に判断可能であり、自
分宛てのデータだけ復号化すれば良く、消費電力を低減
できるという効果もある。
【0049】以上のように、この実施の形態では、イー
サネットフレームをPON区間に伝送するシステムにお
いて、イーサネットフレームで伝送されるデータがIP
プロトコルのみの場合、ONTで端末からのイーサネッ
トフレームデータをモニタして、端末のIPアドレスを
保持し、ONTからOLTに任意の暗号鍵を通知し、O
LTでは各ONTより通知された暗号鍵を保持し、ま
た、ONTからのイーサネットフレームをモニタし、I
PアドレスとONTの対応関係を保持し、ONTへイー
サネットフレームを送信するときに、宛先IPアドレス
から宛先ONTを上記保持データから識別し、該当ON
Tの暗号鍵を用いて、イーサネットフレームのIPデー
タ部分を暗号化して送信し、ONTではイーサネットフ
レームの宛先IPアドレスをモニタし、自身で保持して
いるIPアドレスと一致したフレームのみ、OLTに通
知した暗号鍵を使用して復号することを特徴とする暗号
方法について説明した。
【0050】実施の形態3.本実施の形態の構成図は、
図1と同じであるが、暗号をかける領域、及びONTの
動作及び詳細回路構成が実施の形態1と異なる。OLT
側の詳細回路構成は、図4と同じである。以下、実施の
形態1と異なる箇所について説明する。
【0051】まず、実施の形態1では暗号をかける領域
を、イーサネットヘッダを除いた部分としていたが、本
実施の形態では、図7に示すように、イーサネットフレ
ーム全体とする。そのため、OLT側の動作としては、
図4において、「暗号化回路57」で暗号をかける領域
が、イーサネットフレーム全体とするところが、実施の
形態1と異なる。
【0052】図8に、ONTの詳細回路構成を示す。図
8において、上り方向の処理は、実施の形態1で示した
図3と同じ回路構成及び動作であるので説明を省略す
る。下り方向の処理について説明する。OLTからの下
りデータを受信すると、「復号化回路26」により、保
持している暗号鍵を用いて全ての受信データを復号す
る。「復号化回路26」は、データを復号後、イーサネ
ットフレームのCRC領域の値が正しいかどうかを計算
し、誤っている場合はデータを廃棄する。「復号化回路
26」を通過したデータを「宛先MACアドレス抽出回
路24」がモニタし、宛先MACアドレスを抽出する。
そして、抽出したMACアドレスと「MACアドレスレ
ジスタ21」とを比較し、一致するものがなければ、
「フレーム廃棄回路27」でデータを廃棄する。一致す
るものがあれば、廃棄しないで端末側にデータを送信す
る。
【0053】以上述べた構成により、イーサネットPO
Nシステムにおいても下り方向のデータの秘密性を保持
できるという効果がある。また、宛先MACアドレス部
分も暗号化しているため、他のONTに自分のMACア
ドレスを知られることがない。MACアドレスを知られ
ないことによって、悪意のユーザに「成りすまし」され
ることを防げる。
【0054】以上のように、この実施の形態では、イー
サネットフレームをPON区間に伝送するシステムにお
いて、ONTで端末からのイーサネットフレームデータ
をモニタして、端末のMACアドレスを保持し、ONT
からOLTに任意の暗号鍵を通知し、OLTでは各ON
Tより通知された暗号鍵を保持し、また、ONTからの
イーサネットフレームをモニタし、MACアドレスとO
NTの対応関係を保持し、ONTへイーサネットフレー
ムを送信するときに、宛先MACアドレスから宛先ON
Tを上記保持データから識別し、該当ONTの暗号鍵を
用いて、イーサネットフレーム全体を暗号化して送信
し、ONTでは受信したすべてのデータをOLTに通知
した暗号鍵を使用して復号し、複号後のイーサネットフ
レームの宛先MACアドレスをモニタし、自身で保持し
ているMACアドレスと一致し、かつイーサネットフレ
ームのCRCの値が正しいもののみ端末に送信すること
を特徴とする暗号方法について説明した。
【0055】実施の形態4.図9は、この発明の実施の
形態4によるイーサネットフレーム対応PONシステム
の暗号方法を説明する図である。図9おいて、図1と同
じ記号のものは同じものを示す。
【0056】本実施の形態のOLTは、実施の形態3の
OLTと同一の構成、動作である。すなわち、OLTは
図4に示す構成であり、暗号をかける領域は図7に示し
たようにイーサネットフレーム全体である。ONTの動
作及び詳細回路構成が実施の形態3と異なる。ONTの
詳細回路構成を図10に示す。図10を用いて、ONT
の回路と動作を詳細に説明する。上り方向については、
「暗号鍵生成挿入回路20」により、暗号鍵を生成し
て、上り方向伝送路に挿入する。また、「暗号鍵生成挿
入回路20」は、図9に示す「暗号鍵レジスタ22」を
内部に持っており、生成した暗号鍵を保持している。一
方、下り方向については、データを受信すると、「復号
化回路26」により、保持している暗号鍵を用いて全て
の受信データを復号する。「復号化回路26」は、デー
タを復号後、イーサネットフレームのCRC領域の値が
正しいかどうかを計算し、誤っている場合はデータを廃
棄する。その後、端末にデータを出力する。
【0057】実施の形態3との違いは、「復号化回路2
6」の通過後にMACアドレスのチェックを行わないこ
とである。本実施の形態の場合、ONTに接続された端
末のMACアドレスと異なるイーサネットフレームが、
端末宛てに送信される可能性があるが、そのフレームは
端末でのMACアドレスチェックで廃棄されるだけであ
り、障害は発生しない。
【0058】以上述べた構成により、イーサネットPO
Nシステムにおいても、下り方向のデータの秘密性を保
持できるという効果がある。また、宛先MACアドレス
部分も暗号化しているため、他のONTに自分のMAC
アドレスを知られることがない。MACアドレスを知ら
れないことで、悪意のユーザに「成りすまし」されるこ
とを防げる。また、実施の形態1,2,3のMACアド
レス抽出回路やMACアドレスレジスタ等が不要であ
り、ONTの回路規模を小さく実現できる。
【0059】以上のように、この実施の形態では、イー
サネットフレームをPON区間に伝送するシステムにお
いて、ONTからOLTに任意の暗号鍵を通知し、OL
Tでは各ONTより通知された暗号鍵を保持し、また、
ONTからのイーサネットフレームをモニタし、MAC
アドレスとONTの対応関係を保持し、ONTへイーサ
ネットフレームを送信するときに、宛先MACアドレス
から宛先ONTを上記保持データから識別し、該当ON
Tの暗号鍵を用いて、イーサネットフレーム全体を暗号
化して送信し、ONTでは受信したすべてのデータをO
LTに通知した暗号鍵を使用して復号し、複号後のイー
サネットフレームのCRCの値が正しいもののみ端末に
送信することを特徴とする暗号方法について説明した。
【0060】実施の形態5.図11は、この発明の実施
の形態5によるイーサネットフレーム対応PONシステ
ムの暗号方法を説明する図である。図11おいて、図1
と同じ記号のものは同じものを示す。また、本実施の形
態では、ONT側に接続される端末が1台である点が、
実施の形態1〜4と異なる。
【0061】本実施の形態は、暗号鍵をONTからOL
Tに通知せず、イーサネットフレームのMACアドレス
を使用することが特長である。図12に、ONTの詳細
回路構成、図13にOLTの詳細回路構成を示す。図1
2,図13では、暗号に関する回路のみ記載しており、
実際には、他の回路も存在する。
【0062】まず、上り方向の動作について説明する。
ONTからOLTにデータを送信する際に、図12に示
す「送信元MACアドレス抽出回路23」により、送信
元MACアドレスを抽出し、「MACアドレスレジスタ
21」に保持する。OLTは図13に示すように、受信
したイーサネットフレームを、暗号に関しては何ら処理
することなく、ネットワーク側に送信する。
【0063】次に、下り方向の動作について説明する。
OLTは、下り方向のデータを受信すると、図13に示
す「宛先MACアドレス抽出回路56」により、宛先M
ACアドレスを抽出し、「暗号化回路57」に出力す
る。「暗号化回路57」は、そのMACアドレスを暗号
鍵として、イーサネットフレーム全体に暗号をかけて、
ONTに送信する。ONTは、図12に示す「復号化回
路26」において、「MACアドレスレジスタ21」に
保持しているMACアドレスを暗号鍵としてデータを復
号する。「復号化回路26」は、データを復号後、イー
サネットフレームのCRC領域の値が正しいかどうかを
計算し、誤っている場合はデータを廃棄する。「復号化
回路26」を通過したデータを「宛先MACアドレス抽
出回路24」がモニタし、宛先MACアドレスを抽出す
る。そして、抽出したMACアドレスと「MACアドレ
スレジスタ21」が保持しているMACアドレスを比較
し、一致していなければ、「フレーム廃棄回路27」
(「フレーム廃棄回路27」は、フレーム廃棄部の一
例)でデータを廃棄する。一致していれば、廃棄しない
で端末側にデータを送信する。
【0064】なお、図12に示す「宛先MACアドレス
抽出回路24」と「フレーム廃棄回路27」を削除し、
「復号化回路26」の出力を端末に出力し、端末側でM
ACアドレスのチェックを行うことにしても良い。
【0065】以上述べた方法及び回路を用いることによ
り、イーサネットPONシステムにおいても、下り方向
のデータの秘密性を保持できるという効果がある。ま
た、宛先MACアドレス部分も暗号化しているため、他
のONTに自分のMACアドレスを知られることがな
い。MACアドレスを知られないことで、悪意のユーザ
に「成りすまし」されることを防げる。また、OLTの
回路規模を小さく実現できる。
【0066】以上のように、この実施の形態では、イー
サネットフレームをPON区間に伝送するシステムにお
いて、ONTに接続される端末が1台のみのシステムの
場合、ONTで端末からのイーサネットフレームデータ
をモニタして、端末のMACアドレスを保持し、OLT
は、ONTへイーサネットフレームを送信するときに、
イーサネットフレーム全体を宛先MACアドレスを用い
て暗号化して送信し、ONTでは受信した全てのデータ
を、自身が保持しているMACアドレスを暗号鍵として
復号し、復号後のイーサネットフレームの宛先MACア
ドレスが、自身で保持しているMACアドレスと一致
し、かつイーサネットフレームのCRCの値が正しいも
ののみ端末に送信することを特徴とする暗号方法につい
て説明した。
【0067】実施の形態6.図14は、この発明の実施
の形態6によるイーサネットフレーム対応PONシステ
ムの暗号方法を説明する図である。図14おいて、図1
と同じ記号のものは同じものを示す。本実施の形態で
は、ONT側に接続される端末は1台である場合を想定
しており、図14において、32は端末のIPアドレス
を保持するIPアドレスレジスタである。
【0068】本実施の形態では、イーサネットフレーム
で伝送されるデータが、図15に示すように、全てIP
プロトコルの場合を前提としている。また、暗号をかけ
る領域は、イーサネットフレーム全体とする。本実施の
形態では、実施の形態5において、図12,図13にお
けるMACアドレスを抽出する回路を、IPアドレスを
抽出する回路に変更し、保持するデータもMACアドレ
スからIPアドレスに変更するだけで、処理動作は実施
の形態5と同じである。
【0069】図14に示す構成により、IPプロトコル
のみを伝送するイーサネットPONシステムで、下り方
向のデータの秘密性を保持できるという効果がある。ま
た、宛先IPアドレス部分も暗号化しているため、他の
ONTに自分のIPアドレスを知られることがない。I
Pアドレスを知られないことで、悪意のユーザに「成り
すまし」されることを防げる。また、OLTの回路規模
を小さく実現できる。
【0070】以上のように、この実施の形態では、イー
サネットフレームをPON区間に伝送するシステムにお
いて、イーサネットフレームで伝送されるデータがIP
プロトコルのみの場合で、かつONTに接続される端末
が1台のみのシステムの場合、ONTで端末からのイー
サネットフレームデータをモニタして、端末のIPアド
レスを保持し、OLTは、ONTへイーサネットフレー
ムを送信するときに、イーサネットフレーム全体を宛先
IPアドレスを用いて暗号化して送信し、ONTでは受
信した全てのデータを、自身が保持しているIPアドレ
スを暗号鍵として復号し、復号後のイーサネットフレー
ムの宛先IPアドレスが、自身で保持しているIPアド
レスと一致し、かつイーサネットフレームのCRCの値
が正しいもののみ端末に送信することを特徴とする暗号
方法について説明した。
【0071】実施の形態7.図16は、この発明の実施
の形態1によるイーサネットフレーム対応PONシステ
ムの暗号方法を説明する図である。図16おいて、図1
と同じ記号のものは同じものを示す。
【0072】次に、動作を説明する。まず、各ONTか
ら暗号鍵を、PONの上り方向の秘密性を利用し、OL
Tに通知する。OLTは、ONT毎に通知された暗号鍵
を、暗号鍵テーブル52として保持する。
【0073】一方、OLTは、上り方向のデータのアク
セス制御を行っていることより、OLTが受信したフレ
ームがどのONTから出力されたものか分かる。従っ
て、OLTが受信したイーサネットフレームのヘッダの
送信元MACアドレスを抽出することで、どのONTに
どのMACアドレスを持つ端末が接続されているか分か
る。これにより、OLTはOpSからの情報なしで、M
ACアドレス/ONT番号対応テーブル51を作成でき
る。
【0074】OLTは、下り信号が入力されると、イー
サネットフレームの宛先MACアドレスを抽出する。そ
のMACアドレスをもとに、MACアドレス/ONT番
号対応テーブル51を検索することで、宛先ONT番号
が分かる。このONT番号と暗号鍵テーブル52から、
宛先ONT用の暗号鍵が分かる。OLTは、この暗号鍵
を用いて暗号をかける。暗号をかける領域は、図17に
示すように、イーサネットフレーム全体である。本実施
の形態の特長は、図17に示すように、イーサネットフ
レームにイーサネットPON用ヘッダ(以後、「EPO
Nヘッダ」と呼ぶ)を付加し、本ヘッダに宛先ONT番
号情報を挿入することである。
【0075】ONTは、OLTに通知した暗号鍵を、暗
号鍵レジスタ22に保持する。そしてOLTからのデー
タを受信すると、EPONヘッダ領域から宛先ONT番
号を抽出する。このONT番号が、自ONT番号と一致
した場合、保持している暗号鍵で復号する。他のONT
番号のときはフレームを廃棄する。以上により、イーサ
ネットPONシステムで下り方向の暗号が実現できる。
【0076】図18は、図16のONTの内部を詳細に
記載したものである。なお、図18では、暗号に関する
回路のみ記載しており、実際のONTには、他の回路も
存在する。図18を用いて、ONTの回路と動作を詳細
に説明する。図18において、28はEPONヘッダ内
の宛先ONT番号を抽出する「宛先ONT番号抽出回
路」、29は自身のONT番号を保持する「ONT番号
レジスタ」である。まず、上り方向について説明する。
「暗号鍵生成挿入回路20」により、暗号鍵を生成し
て、上り方向伝送路に挿入する。また、「暗号鍵生成挿
入回路20」は、図16に示した「暗号鍵レジスタ2
2」を内部に持っており、生成した暗号鍵を保持してい
る。
【0077】次に、下り方向について説明する。下りデ
ータを受信すると、「宛先ONT番号抽出回路28」に
より、EPONヘッダに含まれるONT番号を抽出す
る。そして、抽出したONT番号と「ONT番号レジス
タ29」とを比較し、一致しなければ、「復号化回路2
6」でデータを廃棄する。一致していれば、「暗号鍵生
成挿入回路20」から出力される暗号鍵を用いて「復号
化回路26」でデータを復号する。「復号化回路26」
では、データを復号後、イーサネットフレームのCRC
領域の値が正しいかどうかを計算し、誤っている場合は
データを廃棄する。
【0078】図19は、図16のOLTの内部を詳細に
記載したものである。なお、図19では、暗号に関する
回路のみ記載しており、実際のOLTには、他の回路も
存在する。図19を用いて、OLTの回路と動作を詳細
に説明する。ONTからのデータのうち、暗号鍵を「暗
号鍵受信回路53」で受信し、データから暗号鍵を取り
除くとともに、暗号鍵を「暗号鍵テーブル52」にON
T毎に保持する。「送信元MACアドレス抽出回路5
4」により、「暗号鍵受信回路53」を通過したデータ
をモニタし、送信元MACアドレスを抽出する。また、
「上りアクセス制御回路55」は、「送信元MACアド
レス抽出回路54」が抽出しているデータのONT番号
を出力する。抽出したMACアドレスとONT番号の情
報をもとに、「MACアドレス/ONT番号対応テーブ
ル51」を作成する。
【0079】一方、ネットワークからのデータを受信す
ると、「宛先MACアドレス抽出回路56」により、宛
先MACアドレスを抽出する。抽出したMACアドレス
を「MACアドレス/ONT番号対応テーブル51」に
出力し、対応するONT番号を得る。このONT番号を
「暗号鍵テーブル52」に出力することで、対応する暗
号鍵を得る。「暗号化回路57」は、この暗号鍵をもと
に、イーサネットフレーム全体を暗号化し、ONT番号
をEPONヘッダとして追加して、ONTに出力する。
【0080】以上述べた方法及び回路を用いることによ
り、イーサネットPONシステムにおいても下り方向の
データの秘密性を保持できるという効果がある。また、
宛先MACアドレス部分も暗号化しているため、他のO
NTに自分のMACアドレスを知られることがない。M
ACアドレスを知られないことで、悪意のユーザに「成
りすまし」されることを防げる。さらに、EPONヘッ
ダにONT番号が書かれているため、自分宛てのデータ
をONT側で確実に判断可能であり、自分宛てのデータ
だけ復号化すれば良く、消費電力を低減できるという効
果もある。
【0081】以上のように、この実施の形態では、イー
サネットフレームをPON区間に伝送するシステムにお
いて、ONTからOLTに任意の暗号鍵を通知し、OL
Tでは各ONTより通知された暗号鍵を保持し、また、
ONTからのイーサネットフレームをモニタし、MAC
アドレスとONTの対応関係を保持し、ONTへデータ
を送信するときに、宛先MACアドレスから宛先ONT
を上記保持データにより識別し、該当ONTの暗号鍵を
用いて、イーサネットフレームの全体を暗号化するとと
もに、暗号化後のデータに宛先ONT番号情報を挿入し
て送信し、ONTでは上記宛先ONT番号情報をモニタ
し、自身宛のデータのみ、OLTに通知した暗号鍵を使
用して復号することを特徴とする暗号方法について説明
した。
【0082】実施の形態8.本実施の形態の構成図は、
図16と同じであるが、上り方向に伝送するデータのフ
ォーマットが異なる。本実施の形態では、上り方向にも
図17に示したEPONヘッダを追加することが特長で
ある。EPONヘッダには、ONT番号情報を入れてお
く。実施の形態7と同じく、上り方向のデータは暗号化
せず、OLTに送信する。以下、実施の形態7と異なる
箇所について説明する。ONT側の詳細回路構成は、図
18と同じで、図18に示す「暗号鍵生成挿入回路2
0」において、通常データに対するEPONヘッダ挿入
機能が追加される。
【0083】OLTの詳細回路構成を図20に示す。実
施の形態7で示した図19の回路構成と比較して、図2
0では、「上りアクセス制御回路55」が存在せず、図
19の「送信元MACアドレス抽出回路54」が「ON
T番号、送信元MACアドレス抽出回路59」に代わ
る。「ONT番号、送信元MACアドレス抽出回路5
9」は、EPONヘッダを削除し、そこに記載されてい
たONT番号と、イーサネットフレーム内の送信元MA
Cアドレスを抽出する回路である。実施の形態7と異な
り、データ内にONT番号が書かれているため、OLT
は上りアクセス制御回路からの情報を必要とせず、上り
データのみでMACアドレスとONT番号の対応がわか
る。その他の動作は、実施の形態7と同じである。
【0084】以上述べた方法及び回路を用いることによ
り、イーサネットPONシステムにおいても、下り方向
のデータの秘密性を保持できるという効果がある。ま
た、宛先MACアドレス部分も暗号化しているため、他
のONTに自分のMACアドレスを知られることがな
い。MACアドレスを知られないことで、悪意のユーザ
に「成りすまし」されることを防げる。さらに、EPO
NヘッダにONT番号が書かれているため、自分宛ての
データをONT側で確実に判断可能であり、自分宛ての
データだけ復号化すれば良く、消費電力を低減できると
いう効果もある。また、上り方向のデータに、ONT番
号を記載したEPONヘッダを追加しているため、受信
セルがどのONTから来たかを、OLTが受信データの
みを見ることで分かり、上りのアクセス制御回路からの
情報を必要としないため、簡易な回路で構成できるとい
う効果もある。
【0085】実施の形態9.上記実施の形態では、伝送
フレームの一例として、イーサネットフレームを用いて
説明したが、これに限られるわけではない。通信をはじ
める前にコネクションを設定しないコネクションレス型
の通信回線が用いる伝送フレームであれば、これ以外の
伝送フレームであってもかまわない。また、伝送フレー
ムは、伝送フレームの宛先や属性等を指示するヘッダ領
域と、伝送するデータを含むデータ領域と、伝送フレー
ムが正常に伝送されたかをチェックするチェック領域と
を含む。また、上記実施の形態では、端末を識別する識
別子として、MACアドレス、または、IPアドレスを
一例として説明したが、これらに限られるわけではな
い。上記コネクションレス型の通信回線において認識可
能なアドレスであれば、上記以外のアドレスであっても
かまわない。
【0086】実施の形態10.上記実施の形態では、O
LTとONTは、構成要素として各機能を実現する複数
の回路を備える場合を説明したが、これらに限られるわ
けではない。OLTとONTは、回路を含むハードウェ
ア、ファームウェア、ソフトウェア、または、これらの
組み合わせによって実現することも可能である。
【0087】例えば、実施の形態1で説明した受動光ネ
ットワークシステムでは、OLT,ONTそれぞれは、
下記の構成要素を実現する、計算機で実行可能なファー
ムウェア、または、ソフトウェアによって実現すること
も可能である。OLTは、(1)送信先の端末を識別す
る端末識別子と、上記ONTを識別するONT識別子と
を記憶する端末ONT対応メモリ、(2)上記ONTが
使用する暗号鍵を上記ONT識別子と対応づけて記憶す
る暗号鍵メモリ、(3)上記通信回線から伝送フレーム
を入力し、上記伝送フレームから端末識別子を抽出する
宛先端末識別子抽出処理(宛先端末識別子抽出部)、
(4)上記端末識別子と上記端末ONT対応メモリと上
記暗号鍵メモリとに基づいて暗号鍵を取得し、上記暗号
鍵を用いて上記伝送フレームを暗号化し、暗号化した伝
送フレームを出力する暗号化処理(暗号化部)、(5)
上記ONTから伝送フレームを入力し、上記伝送フレー
ムから端末識別子とONT識別子とを取得し、上記端末
識別子と、上記ONT識別子とを対応づけて上記端末O
NT対応メモリへ登録する送信元端末識別子抽出処理
(送信元端末識別子抽出部)、(6)上記ONTから通
知された暗号鍵を上記ONT識別子と対応づけて上記暗
号鍵メモリへ登録する暗号鍵受信処理(暗号鍵受信部)
を備える。ONTは、(1)データ送信を中継する端末
の上記端末識別子を記憶する端末識別子メモリ、(2)
上記OLTから伝送フレームを入力し、入力した伝送フ
レームから端末識別子を抽出し、抽出した端末識別子と
上記端末識別子メモリに記憶した端末識別子とが一致す
る伝送フレームを抽出する宛先端末識別子抽出処理(宛
先端末識別子抽出部)、(3)上記抽出した伝送フレー
ムを復号し、復号した伝送フレームを端末へ出力する復
号化処理(復号化部)、(4)上記OLTへ自己が使用
する暗号鍵を通知する暗号鍵通知部を備える。
【0088】実施の形態11.上記実施の形態では、受
動光ネットワークシステムを用いて説明したが、この暗
号化方法、及び、装置(回路)は、受動光ネットワーク
システムに限られることはない。コネクションレス型の
通信回線と、端末との間のデータの伝送を中継するネッ
トワークシステムへ適用することが可能である。
【0089】例えば、ネットワークシステムは、上記O
NTの代わりに、端末とのインタフェースを提供する端
末インタフェースと、上記OLTの代わりに、通信回線
とのインタフェースを提供する回線インタフェースとを
備える。端末インタフェースは、ONTと同様の機能を
有し、回線インタフェースは、OLTと同様の機能を有
する。このようなネットワークシステムによって、光通
信に限られることなく、コネクションレス型の通信回線
と端末との間のデータ転送を暗号化して実現することが
可能となる。
【0090】
【発明の効果】この発明によれば、コネクションレス型
の通信回線に接続したPONシステムにおいて、下り方
向のデータの秘密性を保持できるという効果がある。ま
た、宛先の端末識別子(MACアドレス)の部分は暗号
化していないため、自分宛てのデータをONT側で確実
に判断可能であり、自分宛てのデータだけ復号化すれば
良く、消費電力を低減できるという効果もある。
【0091】また、IPプロトコルのみを伝送するイー
サネットPONシステムで、下り方向のデータの秘密性
を保持できるという効果がある。また、宛先IPアドレ
ス部分は暗号化していないため、自分宛てのデータをO
NT側で確実に判断可能であり、自分宛てのデータだけ
復号化すれば良く、消費電力を低減できるという効果も
ある。
【0092】また、この発明によれば、宛先の端末識別
子の部分も暗号化しているため、他のONTに自分の端
末識別子を知られることがない。端末識別子を知られな
いことで、悪意のユーザに「成りすまし」されることを
防げる。
【0093】また、この発明によれば、伝送フレーム全
体を暗号化し、さらに、伝送フレームのチェック領域を
用いることによって、端末識別子を知られないことで、
悪意のユーザに「成りすまし」されることを防げるとと
もに、ONTの回路規模を小さく実現できる。
【0094】また、フレーム廃棄回路(フレーム廃棄
部)をONTへ備えることにより、端末識別子を暗号化
して漏洩を防止できるとともに、OLTの回路規模を小
さく実現できる。
【0095】また、EPONヘッダにONT番号を付加
することにより、自分宛てのデータをONT側で確実に
判断可能であり、自分宛てのデータだけ復号化すれば良
く、消費電力を低減できるという効果もある。
【0096】また、上り方向のデータに、ONT番号を
記載したEPONヘッダを追加することにより、受信し
た伝送フレームがどのONTから伝送されたかを、OL
Tが受信データのみを見ることで分かり、上りのアクセ
ス制御回路からの情報を必要としないため、簡易な回路
で構成できるという効果もある。
【図面の簡単な説明】
【図1】 この発明の実施の形態1によるイーサネット
PONシステムの暗号方法の構成を示す図である。
【図2】 この発明の実施の形態1による暗号をかける
領域を示す図である。
【図3】 この発明の実施の形態1によるONTの構成
を示す図である。
【図4】 この発明の実施の形態1によるOLTの構成
を示す図である。
【図5】 この発明の実施の形態2よるイーサネットP
ONシステムの暗号方法の構成を示す図である。
【図6】 この発明の実施の形態2による暗号をかける
領域を示す図である。
【図7】 この発明の実施の形態3による暗号をかける
領域を示す図である。
【図8】 この発明の実施の形態3によるONTの構成
を示す図である。
【図9】 この発明の実施の形態4によるイーサネット
PONシステムの暗号方法の構成を示す図である。
【図10】 この発明の実施の形態4によるONTの構
成を示す図である。
【図11】 この発明の実施の形態5によるイーサネッ
トPONシステムの暗号方法の構成を示す図である。
【図12】 この発明の実施の形態5によるONTの構
成を示す図である。
【図13】 この発明の実施の形態5によるOLTの構
成を示す図である。
【図14】 この発明の実施の形態6によるイーサネッ
トPONシステムの暗号方法の構成を示す図である。
【図15】 この発明の実施の形態6による暗号をかけ
る領域を示す図である。
【図16】 この発明の実施の形態7によるイーサネッ
トPONシステムの暗号方法の構成を示す図である。
【図17】 この発明の実施の形態7による暗号をかけ
る領域を示す図である。
【図18】 この発明の実施の形態7によるONTの構
成を示す図である。
【図19】 この発明の実施の形態7によるOLTの構
成を示す図である。
【図20】 この発明の実施の形態8によるOLTの構
成を示す図である。
【図21】 PONシステムの一例を説明する図であ
る。
【図22】 従来のATM−PONシステムを説明する
図である。
【図23】 従来のATM−PONシステムによる暗号
をかける領域を示す図である。
【図24】 従来のATM−PONシステムによる暗号
方法の構成を示す図である。
【図25】 イーサネットPONのシステム構成の一例
を示す図である。
【図26】 イーサネットフレームの構成の一例を示す
図である。
【符号の説明】
11 ONT、20 暗号鍵生成挿入回路、21 MA
Cアドレスレジスタ、22 暗号鍵レジスタ、23 送
信元MACアドレス抽出回路、24 宛先MACアドレ
ス抽出回路、25 復号化回路、26 復号化回路、2
7 フレーム廃棄回路、28 宛先ONT番号抽出回
路、29 ONT番号レジスタ、30 IPアドレスレ
ジスタ、31 MACアドレスレジスタ、32 IPア
ドレスレジスタ、40 スターカプラ、50 OLT、
51 MACアドレス/ONT番号対応テーブル、52
暗号鍵テーブル、53 暗号鍵受信回路、54 送信
元MACアドレス抽出回路、55 上りアクセス制御回
路、56 宛先MACアドレス抽出回路、57 暗号化
回路、58 暗号化回路、59 ONT番号、送信元M
ACアドレス抽出回路、60 IPアドレス/ONT番
号対応テーブル、65OpS、70 ネットワーク、1
11 端末、200 局舎、201 加入者宅、211
APON用ONT、220 サービス対応VPI値
表、231 APON用端末、250 APON用OL
T、251 ONT対応VPI値表、265 APON
用OpS。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 山中 秀昭 東京都千代田区丸の内二丁目2番3号 三 菱電機株式会社内 (72)発明者 川手 竜介 東京都千代田区丸の内二丁目2番3号 三 菱電機株式会社内 (72)発明者 佐藤 昌幸 東京都千代田区丸の内二丁目2番3号 三 菱電機株式会社内 Fターム(参考) 5J104 AA01 AA16 EA02 EA04 JA03 NA02 5K002 AA01 AA03 BA04 DA04 DA12 FA01

Claims (20)

    【特許請求の範囲】
  1. 【請求項1】 通信をはじめる前にコネクションを設定
    しないコネクションレス型の通信回線と、端末とに接続
    し、伝送フレームの伝送を中継する受動光ネットワーク
    システムにおいて、 上記通信回線とのインタフェースを提供する光加入者線
    終端装置(Optical Line Termina
    l,以下、「OLT」と記す)と、 上記端末とのインタフェースを提供する光網終端装置
    (Optical Network Termina
    l,以下、「ONT」と記す)とを備え、 上記OLTは、 上記端末を識別する端末識別子と、上記ONTを識別す
    るONT識別子とを対応づけて記憶する端末ONT対応
    メモリと、 予め上記ONTから通知された暗号鍵を、上記ONT識
    別子と対応づけて記憶する暗号鍵メモリと、 上記通信回線から伝送フレームを入力し、上記伝送フレ
    ームから端末識別子を抽出する宛先端末識別子抽出部
    と、 上記宛先端末識別子抽出部が抽出した端末識別子と上記
    端末ONT対応メモリと上記暗号鍵メモリとに基づいて
    暗号鍵を取得し、上記暗号鍵を用いて上記伝送フレーム
    の少なくとも一部を暗号化し、少なくとも一部を暗号化
    した伝送フレームを出力する暗号化部とを備え、 上記ONTは、 上記端末の端末識別子を記憶する端末識別子メモリと、 上記OLTから伝送フレームを入力し、入力した伝送フ
    レームから端末識別子を抽出し、抽出した端末識別子と
    上記端末識別子メモリに記憶した端末識別子とが一致す
    る伝送フレームを抽出する宛先端末識別子抽出部と、 上記抽出した伝送フレームの暗号化された部分を、上記
    暗号鍵に対応する鍵を用いて復号し、復号した伝送フレ
    ームを端末へ出力する復号化部とを備えることを特徴と
    する受動光ネットワークシステム。
  2. 【請求項2】 コネクションレス型の通信回線と、端末
    とに接続し、伝送フレームの伝送を中継する受動光ネッ
    トワークシステムにおいて、 上記通信回線とのインタフェースを提供する光加入者線
    終端装置(以下、「OLT」と記す)と、 上記端末とのインタフェースを提供する光網終端装置
    (以下、「ONT」と記す)とを備え、 上記OLTは、 上記端末を識別する端末識別子と、上記ONTを識別す
    るONT識別子とを対応づけて記憶する端末ONT対応
    メモリと、 予め上記ONTから通知された暗号鍵を上記ONT識別
    子と対応づけて記憶する暗号鍵メモリと、 上記通信回線から伝送フレームを入力し、上記伝送フレ
    ームから端末識別子を抽出する宛先端末識別子抽出部
    と、 上記宛先端末識別子抽出部が抽出した端末識別子と上記
    端末ONT対応メモリと上記暗号鍵メモリとに基づいて
    暗号鍵を取得し、上記暗号鍵を用いて上記伝送フレーム
    の少なくとも一部を暗号化し、少なくとも一部を暗号化
    した伝送フレームを出力する暗号化部とを備え、 上記ONTは、 上記OLTから伝送フレームを入力し、入力した伝送フ
    レームの暗号化された部分を、上記暗号鍵に対応する鍵
    を用いて復号する復号化部とを備えることを特徴とする
    受動光ネットワークシステム。
  3. 【請求項3】 上記ONTは、さらに、 上記OLTへ自己のONTが使用する暗号鍵を通知する
    暗号鍵通知部を備え、 上記OLTは、さらに、 上記端末から上記ONTを介して伝送フレームを入力
    し、上記伝送フレームから端末識別子とONT識別子と
    を取得し、上記端末識別子と、上記ONT識別子とを対
    応づけて上記端末ONT対応メモリへ登録する送信元端
    末識別子抽出部と、 上記ONTから通知された暗号鍵を上記ONT識別子と
    対応づけて上記暗号鍵メモリへ登録する暗号鍵受信部と
    を備えることを特徴とする請求項1または2記載の受動
    光ネットワークシステム。
  4. 【請求項4】 上記伝送フレームは、データ領域を含
    み、 上記暗号化部は、伝送フレームのデータ領域のみを暗号
    化することを特徴とする請求項1記載の受動光ネットワ
    ークシステム。
  5. 【請求項5】 上記暗号化部は、伝送フレーム全体を暗
    号化することを特徴とする請求項2記載の受動光ネット
    ワークシステム。
  6. 【請求項6】 上記伝送フレームは、データエラーの発
    生をチェックするチェック領域を含み、 上記ONTは、さらに、 上記端末の端末識別子を記憶する端末識別子メモリと、 上記復号化部から伝送フレームを入力し、入力した伝送
    フレームから端末識別子を抽出し、抽出した端末識別子
    と上記端末識別子メモリに記憶した端末識別子とが一致
    する伝送フレームであって、かつ、チェック領域の値が
    正しい伝送フレームを抽出し、抽出した伝送フレームを
    上記端末へ出力する宛先端末識別子抽出部とを備えるこ
    とを特徴とする請求項5記載の受動光ネットワークシス
    テム。
  7. 【請求項7】 上記伝送フレームは、データエラーの発
    生をチェックするチェック領域を含み、 上記宛先端末識別子抽出部は、チェック領域の値が正し
    い伝送フレームを抽出することを特徴とする請求項5記
    載の受動光ネットワークシステム。
  8. 【請求項8】 コネクションレス型の通信回線と、端末
    とに接続し、伝送フレームの伝送を中継する受動光ネッ
    トワークシステムにおいて、 上記通信回線とのインタフェースを提供する光加入者線
    終端装置(以下、「OLT」と記す)と、 上記端末とのインタフェースを提供する光網終端装置
    (以下、「ONT」と記す)とを備え、 上記OLTは、 上記通信回線から伝送フレームを入力し、上記伝送フレ
    ームから上記端末を識別する端末識別子を抽出する宛先
    端末識別子抽出部と、 上記端末識別子を用いて、上記伝送フレームを暗号化す
    る暗号化部とを備え、 上記ONTは、 一台の端末のみに接続され、 上記端末の端末識別子を記憶する端末識別子メモリと、 上記OLTから伝送フレームを入力し、上記端末識別子
    を用いて、上記伝送フレームを復号する復号化部と、 上記復号した伝送フレームから端末識別子を抽出する宛
    先端末識別子抽出部と、 上記宛先端末識別子抽出部が抽出した端末識別子と、上
    記端末識別子メモリに記憶した端末識別子とに基づい
    て、上記伝送フレームを廃棄するフレーム廃棄部とを備
    えることを特徴とする受動光ネットワークシステム。
  9. 【請求項9】 上記ONTは、さらに、端末から伝送フ
    レームを入力し、上記伝送フレームから端末識別子を抽
    出する送信元端末識別子抽出部を備え、 上記端末識別子メモリは、上記送信元端末識別子抽出部
    が抽出した端末識別子を記憶することを特徴とする請求
    項8記載の受動光ネットワークシステム。
  10. 【請求項10】 上記暗号化部は、さらに、暗号化した
    伝送フレームへ上記ONT識別子を付加し、 上記ONTは、さらに、 上記伝送フレームから上記付加されたONT識別子を抽
    出し、抽出したONT識別子を上記復号化部へ出力する
    宛先ONT番号抽出部を備え、 上記復号化部は、上記ONT識別子が自己のものである
    場合に、伝送フレームを復号化することを特徴とする請
    求項2記載の受動光ネットワークシステム。
  11. 【請求項11】 ONTは、さらに、 自己のONT識別子を伝送フレームへ付加して上記OL
    Tへ出力するONT付加部を備え、 上記OLTは、さらに、 上記ONTから伝送フレームを入力し、上記伝送フレー
    ムから端末識別子とONT識別子とを抽出する送信元端
    末識別子抽出部を備えることを特徴とする請求項2記載
    の受動光ネットワークシステム。
  12. 【請求項12】 上記端末識別子は、Media Ac
    cess Controlアドレス(以下、「MACア
    ドレス」と記す)とインターネットプロトコルアドレス
    とのいずれかであることを特徴とする請求項1から11
    いずれかに記載の受動光ネットワークシステム。
  13. 【請求項13】 上記伝送フレームは、イーサネットフ
    レームであることを特徴とする請求項1から12いずれ
    かに記載の受動光ネットワークシステム。
  14. 【請求項14】 コネクションレス型の通信回線とのイ
    ンタフェースを提供する光加入者線終端装置(以下、
    「OLT」と記す)と、端末とのインタフェースを提供
    する光網終端装置(以下、「ONT」と記す)とを備
    え、伝送フレームを暗号化して伝送する受動光ネットワ
    ークシステム暗号化方法において、 上記OLTは、 上記端末を識別する端末識別子と、上記ONTを識別す
    るONT識別子とを対応付けて端末ONT対応メモリへ
    記憶し、 予め上記ONTから通知された暗号鍵を上記ONT識別
    子と対応づけて暗号鍵メモリへ記憶し、 上記通信回線から伝送フレームを入力し、 上記伝送フレームから端末識別子を抽出し、 上記抽出した端末識別子と上記端末ONT対応メモリと
    上記暗号鍵メモリとに基づいて暗号鍵を取得し、 上記暗号鍵を用いて上記伝送フレームを暗号化し、 暗号化した伝送フレームを上記ONTへ出力し、 上記ONTは、 上記端末の端末識別子を端末識別子メモリへ記憶し、 上記OLTから伝送フレームを入力し、 入力した伝送フレームから端末識別子を抽出し、 抽出した端末識別子と上記端末識別子メモリに記憶した
    端末識別子とが一致する伝送フレームを抽出し、 上記暗号鍵に対応する鍵を用いて、上記抽出した伝送フ
    レームを復号し、 復号した伝送フレームを端末へ出力することを特徴とす
    る受動光ネットワークシステム暗号化方法。
  15. 【請求項15】 コネクションレス型の通信回線とのイ
    ンタフェースを提供する光加入者線終端装置(以下、
    「OLT」と記す)と、端末とのインタフェースを提供
    する光網終端装置(以下、「ONT」と記す)とを備
    え、伝送フレームを暗号化して伝送する受動光ネットワ
    ークシステム暗号化方法において、 上記OLTは、 上記端末を識別する端末識別子と、上記ONTを識別す
    るONT識別子とを端末ONT対応メモリへ記憶し、 予め上記ONTから通知された暗号鍵を上記ONT識別
    子と対応づけて暗号鍵メモリへ記憶し、 上記通信回線から伝送フレームを入力し、 上記伝送フレームから端末識別子を抽出し、 上記端末識別子と上記端末ONT対応メモリと上記暗号
    鍵メモリとに基づいて暗号鍵を取得し、 上記暗号鍵を用いて上記伝送フレームを暗号化し、 暗号化した伝送フレームを出力し、 上記ONTは、 上記OLTから伝送フレームを入力し、 上記暗号鍵に対応する鍵を用いて、入力した伝送フレー
    ムを復号することを特徴とする受動光ネットワークシス
    テム暗号化方法。
  16. 【請求項16】 上記ONTは、さらに、 上記OLTへ自己が使用する暗号鍵を通知し、 上記OLTは、さらに、 ONTから伝送フレームを入力し、 上記伝送フレームに基づいて端末識別子とONT識別子
    とを取得し、 上記端末識別子と、上記ONT識別子とを対応づけて上
    記端末ONT対応メモリへ登録し、 上記ONTから通知された暗号鍵を上記ONT識別子と
    対応づけて上記暗号鍵メモリへ登録することを特徴とす
    る請求項14または15記載の受動光ネットワークシス
    テム暗号化方法。
  17. 【請求項17】 コネクションレス型の通信回線とのイ
    ンタフェースを提供する光加入者線終端装置(以下、
    「OLT」と記す)と、端末とのインタフェースを提供
    する光網終端装置(以下、「ONT」と記す)とを備
    え、伝送フレームを暗号化して伝送する受動光ネットワ
    ークシステム暗号化方法において、 上記ONTは、 端末から入力される伝送フレームをモニタし、 上記端末を識別する端末識別子を保持し、 上記OLTへ任意の暗号鍵を通知し、 上記OLTは、 上記ONTから通知された暗号鍵を保持し、 上記ONTから入力される伝送フレームをモニタし、 上記伝送フレームから上記端末識別子とONTとの対応
    関係を取得して保持し、 上記ONTへ伝送フレームを端末へ送信する場合に、送
    信先の端末識別子に基づいて宛先となるONTを上記保
    持データから識別し、 識別したONTの暗号鍵を用いて、伝送フレームのデー
    タ領域を暗号化し、 暗号化した伝送フレームを上記ONTへ出力し、 上記ONTは、 上記OLTから入力される伝送フレームに含まれる端末
    識別子をモニタし、 保持する端末識別子と一致した伝送フレームのみ、上記
    暗号鍵に対応する鍵を使用して復号することを特徴とす
    る受動光ネットワークシステム暗号化方法。
  18. 【請求項18】 コネクションレス型の通信回線とのイ
    ンタフェースを提供する光加入者線終端装置(以下、
    「OLT」と記す)と、端末とのインタフェースを提供
    する光網終端装置(以下、「ONT」と記す)とを備
    え、上記通信回線で用いる伝送フレームの伝送を中継
    し、上記伝送フレームを暗号化する受動光ネットワーク
    システム暗号化方法において、 上記ONTは、 上記OLTへ任意の暗号鍵を通知し、 上記OLTは、 上記ONTより通知された暗号鍵を保持し、 上記ONTから入力される伝送フレームをモニタし、 上記端末を識別する端末識別子とONTの対応関係を保
    持し、 ONTへ伝送フレームを送信する場合に、送信先の端末
    識別子に基づいて宛先となるONTを上記保持データか
    ら識別し、 識別したONTの暗号鍵を用いて、伝送フレームを暗号
    化し、 暗号化した伝送フレームを上記ONTへ出力し、 上記ONTは、 上記OLTから入力される伝送フレームを、上記暗号鍵
    に対応する鍵を使用して復号し、 複号後の伝送フレームを解析して正常な伝送フレームを
    検出し、 検出した伝送フレームを上記端末へ出力することを特徴
    とする受動光ネットワークシステム暗号化方法。
  19. 【請求項19】 通信をはじめる前にコネクションを設
    定しないコネクションレス型の通信回線と、端末とに接
    続し、データの伝送を中継するネットワークシステムに
    おいて、 上記通信回線とのインタフェースを提供する回線インタ
    フェースと、 上記端末とのインタフェースを提供する端末インタフェ
    ースとを備え、 上記回線インタフェースは、 上記端末を識別する端末識別子と、上記端末インタフェ
    ースを識別する端末インタフェース識別子とを対応づけ
    て記憶する端末インタフェース対応メモリと、 予め上記端末インタフェースから通知された暗号鍵を、
    上記端末インタフェース識別子と対応づけて記憶する暗
    号鍵メモリと、 上記通信回線からデータを入力し、上記データから端末
    識別子を抽出する宛先端末識別子抽出部と、 上記宛先端末識別子抽出部が抽出した端末識別子と上記
    端末インタフェース対応メモリと上記暗号鍵メモリとに
    基づいて暗号鍵を取得し、上記暗号鍵を用いて上記デー
    タを暗号化し、暗号化したデータを出力する暗号化部と
    を備え、 上記端末インタフェースは、 上記端末の端末識別子を記憶する端末識別子メモリと、 上記回線インタフェースからデータを入力し、入力した
    データを、上記暗号鍵に対応する鍵を用いて復号し、復
    号したデータを端末へ出力する復号化部とを備えること
    を特徴とするネットワークシステム。
  20. 【請求項20】 上記端末インタフェースは、さらに、 上記回線インタフェースへ自己が使用する暗号鍵を通知
    する暗号鍵通知部を備え、 上記回線インタフェースは、さらに、 上記端末インタフェースからデータを入力し、上記デー
    タから端末識別子と端末インタフェース識別子とを取得
    し、上記端末識別子と、上記端末インタフェース識別子
    とを対応づけて上記端末インタフェース対応メモリへ登
    録する送信元端末識別子抽出部と、 上記端末インタフェースから通知された暗号鍵を上記端
    末インタフェース識別子と対応づけて上記暗号鍵メモリ
    へ登録する暗号鍵受信部とを備えることを特徴とする請
    求項19記載のネットワークシステム。
JP2001249490A 2001-08-20 2001-08-20 受動光ネットワークシステム及び受動光ネットワークシステム暗号化方法及びネットワークシステム及びネットワークシステム Pending JP2003060633A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001249490A JP2003060633A (ja) 2001-08-20 2001-08-20 受動光ネットワークシステム及び受動光ネットワークシステム暗号化方法及びネットワークシステム及びネットワークシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001249490A JP2003060633A (ja) 2001-08-20 2001-08-20 受動光ネットワークシステム及び受動光ネットワークシステム暗号化方法及びネットワークシステム及びネットワークシステム

Publications (1)

Publication Number Publication Date
JP2003060633A true JP2003060633A (ja) 2003-02-28

Family

ID=19078485

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001249490A Pending JP2003060633A (ja) 2001-08-20 2001-08-20 受動光ネットワークシステム及び受動光ネットワークシステム暗号化方法及びネットワークシステム及びネットワークシステム

Country Status (1)

Country Link
JP (1) JP2003060633A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1319329C (zh) * 2005-06-23 2007-05-30 烽火通信科技股份有限公司 一种远端光网络单元设备向网络管理系统自动上报mac地址的方法
KR100885295B1 (ko) 2006-12-06 2009-02-23 한국전자통신연구원 초고속 인터넷 서비스 시스템에서 동적 호스트 설정프로토콜 구현 방법 및 시스템
JP2009118116A (ja) * 2007-11-06 2009-05-28 Sumitomo Electric Ind Ltd Ponシステムの局側装置及びフレーム処理方法
JP2010074864A (ja) * 2010-01-08 2010-04-02 Fujitsu Ltd 通信装置
US7979693B2 (en) 2006-08-09 2011-07-12 Fujitsu Limited Relay apparatus for encrypting and relaying a frame
CN102439899A (zh) * 2011-10-27 2012-05-02 华为技术有限公司 光网络系统的认证方法、光网络终端及光网络系统

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1319329C (zh) * 2005-06-23 2007-05-30 烽火通信科技股份有限公司 一种远端光网络单元设备向网络管理系统自动上报mac地址的方法
US7979693B2 (en) 2006-08-09 2011-07-12 Fujitsu Limited Relay apparatus for encrypting and relaying a frame
KR100885295B1 (ko) 2006-12-06 2009-02-23 한국전자통신연구원 초고속 인터넷 서비스 시스템에서 동적 호스트 설정프로토콜 구현 방법 및 시스템
JP2009118116A (ja) * 2007-11-06 2009-05-28 Sumitomo Electric Ind Ltd Ponシステムの局側装置及びフレーム処理方法
JP2010074864A (ja) * 2010-01-08 2010-04-02 Fujitsu Ltd 通信装置
CN102439899A (zh) * 2011-10-27 2012-05-02 华为技术有限公司 光网络系统的认证方法、光网络终端及光网络系统
CN102439899B (zh) * 2011-10-27 2013-12-18 华为技术有限公司 光网络系统的认证方法、光网络终端及光网络系统

Similar Documents

Publication Publication Date Title
KR100547829B1 (ko) 암호화 키 교환을 통해 데이터를 안정적으로 전송할 수있는 기가비트 이더넷 기반의 수동 광가입자망 및 이를이용한 데이터 암호화 방법
KR100933167B1 (ko) 트리 구조 네트워크 상에서의 인증과 프라이버시 보장을위한 전송 방법
KR100594153B1 (ko) 점대다 토폴로지의 네트워크에서 논리링크의 형성과 그보안 통신 방법
KR100523357B1 (ko) 이더넷 기반 수동형 광네트워크의 보안서비스 제공을 위한키관리 장치 및 방법
WO2007135858A1 (ja) 光通信システム、局側装置および加入者側装置
US8027473B2 (en) System and method for improved data protection in PONs
US20080095368A1 (en) Symmetric key generation apparatus and symmetric key generation method
KR100547724B1 (ko) 데이터를 안정적으로 전송할 수 있는 기가비트 이더넷기반의 수동 광가입자망 및 이를 이용한 데이터 암호화 방법
US20100202612A1 (en) Optical network system and method of changing encryption keys
US8397064B2 (en) Implementing IEEE 802.1AE and 802.1 af security in EPON (1GEPON and 10GEPON) networks
JP4685659B2 (ja) 局側装置、加入者側装置およびponシステム
JP2017135461A (ja) 加入者終端装置、局側終端装置、光信号伝送装置および通信システム
JP2003060633A (ja) 受動光ネットワークシステム及び受動光ネットワークシステム暗号化方法及びネットワークシステム及びネットワークシステム
KR100594023B1 (ko) 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법
US6831981B2 (en) Information transceiver system
JP2004260556A (ja) 局側装置、加入者側装置、通信システムおよび暗号鍵通知方法
JP2014131264A (ja) 切替検出装置、宅側装置、光回線の暗号デバイス、局側装置、光通信システム、切替検出方法、およびプログラム
JP2015126320A (ja) 通信システム、送信装置、受信装置および通信システムのデータ伝送方法
Meng et al. Analysis and solutions of security issues in Ethernet PON
JP2005354504A (ja) 光加入者線端局装置、光加入者線終端装置およびその通信方法
JP2015133610A (ja) 局側装置、ponシステムおよび局側装置の制御方法
CN101325460A (zh) 一种gpon系统中下行广播、洪泛业务的处理方法
JP2014036386A (ja) 通信システム、宅側制御部、局側制御部および通信制御方法
JP6040631B2 (ja) 暗号化装置及び暗号化システム
JP2006245778A (ja) 通信装置、通信方法、およびプログラム

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20040518

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20041019