JP2005354504A - 光加入者線端局装置、光加入者線終端装置およびその通信方法 - Google Patents
光加入者線端局装置、光加入者線終端装置およびその通信方法 Download PDFInfo
- Publication number
- JP2005354504A JP2005354504A JP2004174356A JP2004174356A JP2005354504A JP 2005354504 A JP2005354504 A JP 2005354504A JP 2004174356 A JP2004174356 A JP 2004174356A JP 2004174356 A JP2004174356 A JP 2004174356A JP 2005354504 A JP2005354504 A JP 2005354504A
- Authority
- JP
- Japan
- Prior art keywords
- frame
- logical path
- subscriber line
- multicast
- encryption key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
【課題】 G−EPONベースのネットワークにおいてマルチキャスト通信を可能とした光加入者線端局装置、光加入者線終端装置およびその通信方法を提供すること。
【解決手段】 OLT1の暗号処理部13は、上流側通信処理部17によって受信されたフレームがマルチキャストすべきフレームであれば、当該マルチキャストグループ用の暗号キーを用いてフレームを暗号化する。PON処理部11は、暗号処理部13によって暗号化されたフレームに、論理パス識別子と暗号キーの識別子とを付加してPON側に送信する。一方、ONU2の暗号処理部23は、PON処理部21によって受信されたフレームがマルチキャストフレームであれば、付加された暗号キー識別子に対応する暗号キーを用いてフレームを復号するので、マルチキャストグループに属する光加入者線終端装置のみがフレームを復号することができ、マルチキャスト通信を実現することが可能となる。
【選択図】 図1
【解決手段】 OLT1の暗号処理部13は、上流側通信処理部17によって受信されたフレームがマルチキャストすべきフレームであれば、当該マルチキャストグループ用の暗号キーを用いてフレームを暗号化する。PON処理部11は、暗号処理部13によって暗号化されたフレームに、論理パス識別子と暗号キーの識別子とを付加してPON側に送信する。一方、ONU2の暗号処理部23は、PON処理部21によって受信されたフレームがマルチキャストフレームであれば、付加された暗号キー識別子に対応する暗号キーを用いてフレームを復号するので、マルチキャストグループに属する光加入者線終端装置のみがフレームを復号することができ、マルチキャスト通信を実現することが可能となる。
【選択図】 図1
Description
本発明は、複数の宅側装置が媒体を共有してデータの伝送を行なう媒体共有型通信であるPON(Passive Optical Network)に関し、特に、IEEE(The Institute of Electrical and Electronics Engineers, Inc.)802.3ahで標準化されつつあるG−EPON(Giga-Ethernet(登録商標) PON)において、グループに閉じた同報を行なう光加入者線端局装置(以下、OLTと呼ぶ。)、光加入者線終端装置(以下、ONUと呼ぶ。)およびその通信方法に関する。
近年、インターネットが広く普及しており、利用者は世界各地で運営されているサイトの様々な情報にアクセスし、その情報を入手することが可能である。それに伴って、ADSL(Asymmetric Digital Subscriber Line)、FTTH(Fiber To The Home)などのブロードバンドアクセスに対する要望も急速に高まってきている。これに関連する技術として、特開2000−228668号公報に開示された発明がある。
特開2000−228668号公報に開示されたパケット伝送システムにおいて、送出対象がマルチキャスト用セルである場合、シェーパによりマルチキャスト用バッファ内のセルが読出されると、PON処理部はテーブルから当該セルの論理コネクションに対応した情報を読出す。そして、PON処理部は、この読出し情報内のELAN(Emulated LAN)情報により宛先であるELANを判定し、このELANに割当てられたVPI(Virtual Path Identifier)およびVCI(Virtual Channel Identifier)を当該セルのヘッダ部に挿入する。
暗号処理部は、暗号キーテーブルに登録された当該ELANに対応した暗号キーを用いて、当該セルに暗号処理を施す。PON処理部は、この暗号処理後のセルに対し、マルチキャストであることを示す情報をONU_IDとして付加し、ATMPONフレームとして通信路に送出する。
また、IEEE802.3ahにおいては、G−EPONベースのネットワークにおける論理パス識別子の形式、フレーム送信時のフレーム形式に応じた論理パス識別子の使い方、フレーム受信時の論理パス識別子による廃棄および中継を定義し、ユニキャスト通信およびブロードキャスト通信をエミュレートする方式を規定している。
特開2000-228668号公報
上述したIEEE802.3ahにおいては、論理パス識別子を用いて、ユニキャスト通信およびブロードキャスト通信を行なうための方式が規定されているが、マルチキャスト通信を行なうための方式が規定されていない。
また、上述した特開2000-228668号公報においては、PONシステムにおけるマルチキャスト通信の方法にも言及されているが、ATM−PONベースであり、マルチキャストフレームであることを示すのに、ATM−PONフレームの先頭に付加されるONU_IDが使用される。このONU_IDは、G−EPONにおいては論理パス識別子に相当するが、この論理パス識別子にはマルチキャストフレームを識別する機能はない。
さらには、特開2000−228668号公報においては、ONU側からのマルチキャストフレームを受信したOLTが、再度PON側にそのフレームをマルチキャスト送信する際の方法については言及されていない。
本発明は、上記問題点を解決するためになされたものであり、第1の目的は、G−EPONベースのネットワークにおいてマルチキャスト通信を可能とした光加入者線端局装置、光加入者線終端装置およびその通信方法を提供することである。
第2の目的は、光加入者線終端装置からのマルチキャストフレームを受信した光加入者線端局装置が、再度PON側にそのフレームをマルチキャスト送信することが可能な光加入者線端局装置、光加入者線終端装置およびその通信方法を提供することである。
本発明のある局面に従えば、光加入者線によって接続された端局装置と終端装置との間でデータ伝送を行う受動的光ネットワークシステムにおいて、光加入者線端局装置は、上流側ネットワークからフレームを受信するための受信手段と、受信手段によって受信されたフレームがマルチキャストすべきフレームであれば、当該マルチキャストグループ用の暗号キーを用いてフレームを暗号化するための暗号手段と、暗号手段によって暗号化されたフレームに、論理パス識別子と暗号キーの識別子とを付加して受動的光ネットワークに送信するための送信手段とを含む。
好ましくは、送信手段は、論理パス識別子としてブロードキャスト識別フィールドにブロードキャストを許可するコード、論理パス番号識別フィールドに終端装置を識別する論理パス番号以外の特定のコードを格納する。
本発明の別の局面に従えば、光加入者線によって接続された端局装置と終端装置との間でデータ伝送を行う受動的光ネットワークシステムにおいて、光加入者線端局装置は、受動的光ネットワークからフレームを受信するための受信手段と、受信手段によって受信されたフレームがマルチキャストすべきフレームであれば、当該マルチキャストグループ用の暗号キーを用いてフレームを暗号化するための暗号手段と、暗号手段によって暗号化されたフレームに、論理パス識別子と暗号キーの識別子とを付加して受動的光ネットワークに送信するための送信手段とを含む。
好ましくは、送信手段は、論理パス識別子としてブロードキャスト識別フィールドにブロードキャストを許可するコード、論理パス番号識別フィールドにマルチキャストすべきフレームを送信した機器の論理パス番号を格納する。
さらに好ましくは、送信手段は、暗号手段によって暗号化されたフレームに、フレームデータから計算されたチェックベクタを付加して送信する。
本発明のさらに別の局面に従えば、光加入者線によって接続された端局装置と終端装置との間でデータ伝送を行う受動的光ネットワークシステムにおいて、光加入者線終端装置は、受動的光ネットワークからフレームを受信するための受信手段と、受信手段によって受信されたフレームがマルチキャストフレームであれば、当該マルチキャストフレームに付加された暗号キー識別子に対応する暗号キーを用いてフレームを復号するための復号手段と、復号手段によって復号されたフレームを下流側ネットワークに送信するための送信手段とを含む。
好ましくは、受信手段は、受信したフレームに含まれる論理パス識別子のブロードキャスト識別フィールドがブロードキャストを許可するコードであり、かつ論理パス番号識別フィールドが終端装置を識別する論理パス番号以外の特定のコードである場合に、当該フレームをブロードキャストフレームと判定する。
好ましくは、受信手段は、受信したフレームに含まれる論理パス識別子のブロードキャスト識別フィールドがブロードキャストを許可するコードであり、かつ論理パス番号識別フィールドが自身の論理パス番号である場合に当該フレームを廃棄し、ブロードキャスト識別フィールドがブロードキャストを許可するコードであり、かつ論理パス番号識別フィールドが自身の論理パス番号でない場合に当該フレームを許可する。
さらに好ましくは、復号手段は、復号したフレームに含まれるチェックベクタと、復号したフレームから計算したチェックベクタとを比較し、一致しない場合に当該フレームを廃棄する。
本発明のさらに別の局面に従えば、受動的光ネットワークシステムに接続された端局装置と終端装置との間でデータ伝送を行う通信方法において、光加入者線端局装置における通信方法は、上流側ネットワークからフレームを受信するステップと、受信されたフレームがマルチキャストすべきフレームであれば、当該マルチキャストグループ用の暗号キーを用いてフレームを暗号化するステップと、暗号化されたフレームに、論理パス識別子と暗号キーの識別子とを付加して受動的光ネットワークに送信するステップとを含む。
本発明のさらに別の局面に従えば、受動的光ネットワークシステムに接続された端局装置と終端装置との間でデータ伝送を行う通信方法において、光加入者線端局装置における通信方法は、受動的光ネットワークからフレームを受信するステップと、受信されたフレームがマルチキャストすべきフレームであれば、当該マルチキャストグループ用の暗号キーを用いてフレームを暗号化するステップと、暗号化されたフレームに、論理パス識別子と前記暗号キーの識別子とを付加して受動的光ネットワークに送信するステップとを含む。
好ましくは、さらに暗号化されたフレームに、フレームデータから計算されたチェックベクタを付加するステップを含む。
本発明のさらに別の局面に従えば、受動的光ネットワークシステムに接続された端局装置と終端装置との間でデータ伝送を行う通信方法において、光加入者線終端装置における通信方法は、受動的光ネットワークからフレームを受信するステップと、受信されたフレームがマルチキャストフレームであれば、当該マルチキャストフレームに付加された暗号キー識別子に対応する暗号キーを用いてフレームを復号するステップと、復号されたフレームを下流側ネットワークに送信するステップとを含む。
好ましくは、さらに復号したフレームに含まれるチェックベクタと、復号したフレームから計算したチェックベクタとを比較し、一致しない場合に当該フレームを廃棄するステップを含む。
本発明のある局面によれば、受信手段によって上位側ネットワークから受信されたフレームがマルチキャストすべきフレームであれば、暗号手段が、当該マルチキャストグループ用の暗号キーを用いてフレームを暗号化するので、マルチキャストグループに属する光加入者線終端装置のみがフレームを復号することができ、マルチキャスト通信を実現することが可能となった。
また、送信手段が、論理パス識別子としてブロードキャスト識別フィールドにブロードキャストを許可するコード、論理パス番号識別フィールドに終端装置を識別する論理パス番号以外の特定のコードを格納するので、そのフレームを受信した光加入者線終端装置が、ブロードキャストフレームであるか否かを容易に判定することが可能となった。
本発明の別の局面によれば、受信手段によって受動的光ネットワークから受信されたフレームがマルチキャストすべきフレームであれば、送信手段が、暗号手段によって暗号化されたフレームに、論理パス識別子と暗号キーの識別子とを付加して受動的光ネットワークに送信するので、光加入者線終端装置から受信したマルチキャストフレームを、再度受動的光ネットワーク側にマルチキャスト送信することが可能となった。
また、送信手段が、論理パス識別子としてブロードキャスト識別フィールドにブロードキャストを許可するコード、論理パス番号識別フィールドにマルチキャストすべきフレームを送信した機器の論理パス番号を格納するので、そのフレームを受信した光加入者線終端装置が、ブロードキャストフレームを許可するか否かを容易に判定することが可能となった。
さらには、送信手段が、暗号手段によって暗号化されたフレームに、フレームデータから計算されたチェックベクタを付加するので、そのフレームを受信した光加入者線終端装置において復号が正しく行なわれたか否かを容易に判定することが可能となった。
本発明のさらに別の局面によれば、受信手段によって受信されたフレームがマルチキャストフレームであれば、復号手段が、当該マルチキャストフレームに付加された暗号キー識別子に対応する暗号キーを用いてフレームを復号するので、マルチキャストグループに属する光加入者線終端装置のみがフレームを復号することができ、マルチキャスト通信を実現することが可能となった。
また、受信手段が、受信したフレームに含まれる論理パス識別子のブロードキャスト識別フィールドがブロードキャストを許可するコードであり、かつ論理パス番号識別フィールドが終端装置を識別する論理パス番号以外の特定のコードである場合に、当該フレームをブロードキャストフレームと判定するので、当該フレームの許可、不許可の判定が容易に行なえるようになった。
また、受信手段が、受信したフレームに含まれる論理パス識別子のブロードキャスト識別フィールドがブロードキャストを許可するコードであり、かつ論理パス番号識別フィールドが自身の論理パス番号である場合に当該フレームを廃棄するので、マルチキャストフレームを送信した光加入者線終端装置がそのフレームを受信することを防止することが可能となった。
また、復号手段が、復号したフレームに含まれるチェックベクタと、復号したフレームから計算したチェックベクタとを比較するので、フレームの復号が正しく行なわれたか否かを容易に判定することが可能となった。
(第1の実施の形態)
図1は、本発明の第1の実施の形態におけるOLTおよびONUの概略構成を示すブロック図である。OLT1は、ONU2との間でフレームの送受信を行なうPON処理部11と、登録されている複数のONU2の論理パス識別子を記憶する論理パス識別子テーブル12と、暗号化処理および復号処理を行なう暗号処理部13と、暗号処理部13によって使用される暗号キーが記憶される暗号キーテーブル14と、上流側ネットワークからのフレームおよびONU2からのフレームの中継処理を行なう中継処理部15と、フレームを一時的に蓄積するフレームバッファ16と、上流側ネットワークとの間でフレームを送受信する上流側通信処理部17とを含む。
図1は、本発明の第1の実施の形態におけるOLTおよびONUの概略構成を示すブロック図である。OLT1は、ONU2との間でフレームの送受信を行なうPON処理部11と、登録されている複数のONU2の論理パス識別子を記憶する論理パス識別子テーブル12と、暗号化処理および復号処理を行なう暗号処理部13と、暗号処理部13によって使用される暗号キーが記憶される暗号キーテーブル14と、上流側ネットワークからのフレームおよびONU2からのフレームの中継処理を行なう中継処理部15と、フレームを一時的に蓄積するフレームバッファ16と、上流側ネットワークとの間でフレームを送受信する上流側通信処理部17とを含む。
OLT1のPON処理部11は、PON(ONU2)に対するフレームの送受信を行なう。PON処理部11は、フレームをPON側に送信する場合、論理パス識別子テーブル12から当該フレームを送信するONU2に対応する論理パス識別子を抽出し、フレームにその論理パス識別子を付加してPONに送出する。論理パス識別子は、1ビットのブロードキャスト識別フィールド(B)と、15ビットの論理パス番号識別フィールド(LLID)とを含む。
論理パス識別子テーブル12には、接続されている全てのONU2の論理パス識別子が格納される。
PON処理部11は、PON側からフレームを受信する場合、以下の条件に従ってフレーム受信またはフレーム廃棄を行なう。
(1)B=1、LLID=0x7FFF(デフォルト:LLIDの15ビットが全て“1”)の場合、未知ユニキャストフレーム(ONU2の登録のためのフレーム)と判断される。
(2)B=0、LLID=0x7FFF(デフォルト:LLIDの15ビットが全て“1”)の場合、未知ユニキャストフレーム(ONU2の登録のためのフレーム)と判断される。
(3)B=0、LLID=自LLID(LLIDが論理パス識別子テーブル12に登録されている)の場合、その受信フレームを既知ユニキャストフレームとして許可する。また、LLID≠自LLID(LLIDが論理パス識別子テーブル12に登録されていない)の場合、その受信フレームを廃棄する。
暗号処理部13は、暗号キーテーブル14を参照し、フレームの暗号化処理および復号処理を行なう。暗号キーは、各ONU2が有する暗号キーと同じ値が暗号キーテーブル14に記憶されるように管理され、暗号キー毎に暗号キー識別子が付与される。この暗号キー識別子に基づいて、暗号キーテーブル14からONU2に対応する暗号キーを取出し、暗号化処理または復号処理を行なう。
図2は、暗号化されたフレームフォーマット(以下、暗号化フレームフォーマットと呼ぶ。)の一例を示す図である。この暗号化フレームフォーマットは、論理パス識別子と、MAC(Media Access Control)ヘッダと、暗号キー識別子と、データ部と、インテグリティチェックベクタと、FCS(Frame Check Sequence)とを含む。
論理パス識別子は、ユニキャスト用論理パスであるか、ブロードキャスト用論理パスであるかを識別するための1ビットのブロードキャスト識別フィールド(B)と、15ビットの論理パス番号識別フィールド(LLID)とを含む。また、MACヘッダは、6バイトの宛先アドレスと、6バイトの送信元アドレスとを含む。
暗号キー識別子は、暗号化のときに使用された暗号キーを特定するための情報であり、OLT1とONU2とが同一の暗号キーを有している場合にのみ、暗号化されたフレームを正しく復号化できる。インテグリティチェックベクタは、フレームデータを入力とし、所定のアルゴリズムによって計算された値であり、フレームデータが改ざんされているか否かをチェックするために使用される。
中継処理部15は、フレームの送出先に応じて、暗号処理部13によって復号された後のフレームを上流側受信処理部17に送出するか、再度暗号処理部13に折り返すか、または上流側通信処理部17によって上流側ネットワークから受信されたフレームを暗号処理部13に送出する。中継処理部15は、フレームの中継処理を行なう際にフレームを一時的にフレームバッファ16に蓄積し、フレームの送信タイミングに合わせて上流側通信処理部17または暗号処理部13にフレームを送出する。
上流側通信処理部17は、上流側ネットワークを介してフレームを受信し、受信フレームを中継処理部15に送出する。また、上流側通信処理部17は、中継処理部15から受けたフレームを上流側ネットワークに送信する。
ONU2は、OLT1との間でフレームの送受信を行なうPON処理部21と、当該ONU2の論理パス識別子を記憶する論理パス識別子テーブル22と、暗号化処理および復号処理を行なう暗号処理部23と、暗号処理部23によって使用される暗号キーが記憶される暗号キーテーブル24と、OLT1からのフレームおよび下流側(ONU2に接続される端末装置)からのフレームの中継処理を行なう中継処理部25と、フレームを一時的に蓄積するフレームバッファ26と、下流側の端末装置との間でフレームを送受信する下流側通信処理部27とを含む。
ONU2のPON処理部21は、PON(OLT1)に対するフレームの送受信を行なう。PON処理部21は、フレームをPON側に送信する場合、論理パス識別子テーブル22から自身の論理パス識別子を抽出し、フレームにその論理パス識別子を付加してPONに送出する。論理パス識別子テーブル22には、自身のONUの論理パス識別子が格納される。
PON処理部21は、PON側からフレームを受信する場合、以下の条件に従ってフレーム受信またはフレーム廃棄を行なう。
(1)B=1、LLID=0x7FFF(LLIDの15ビットが全て“1”)の場合、その受信フレームをブロードキャストフレームとして許可する。
(2)B=1、LLID≠自LLID(LLIDが論理パス識別子テーブル22に登録されている値と異なる)の場合、その受信フレームを許可する。また、LLID=自LLID(LLIDが論理パス識別子テーブル22に登録されている値と同じ)の場合、その受信フレームを廃棄する。
(3)B=0、LLID=自LLID(LLIDが論理パス識別子テーブル22に登録されている値と同じ)の場合、その受信フレームを許可する。
暗号処理部23は、暗号キーテーブル24を参照し、フレームの暗号化処理および復号処理を行なう。暗号処理部23は、暗号キー識別子に基づいて、暗号キーテーブル24から対応する暗号キーを取出し、暗号化処理または復号処理を行なう。
中継処理部25は、フレームの送出先に応じて、暗号処理部23によって復号された後のフレームを下流側通信処理部27に送出するか、下流側通信処理部27によって受信されたフレームを暗号処理部23に送出する。中継処理部25は、フレームの中継処理を行なう際にフレームを一時的にフレームバッファ26に蓄積し、フレームの送信タイミングに合わせて下流側通信処理部27または暗号処理部23に送出する。
下流側通信処理部27は、下流側ネットワークを介してフレームを受信し、受信フレームを中継処理部25に送出する。また、下流側通信処理部27は、中継処理部25から受けたフレームを下流側ネットワークに送信する。
データ通信の世界においては、VLAN(Virtual LAN(Local Area Network))内でのブロードキャストやマルチキャスト、宛先不明ユニキャストなど、VLANに属するメンバーのみに同報する通信形態がある。また、IP(Internet Protocol)マルチキャストにおいても、限定されたグループにだけマルチキャストする。これらのグループを限定した同報を総称して、ここではマルチキャストと呼ぶことにする。
以下に、OLT1が上流側ネットワークからマルチキャストすべきフレームを受信した場合の処理について説明する。
OLT1の中継処理部15は、上流側通信処理部17から受けたフレームがマルチキャストすべきフレームであると判断すると、そのフレームがどのマルチキャストグループに属するかを判定する。そして、暗号処理部13は、そのマルチキャストグループ用の暗号キーを暗号キーテーブル14から取出し、その暗号キーを用いてフレームの暗号化を行なう。
OLT1のPON処理部11は、暗号処理部13によって暗号化された後のフレームに、論理パス識別子としてブロードキャスト用の値(B=1、LLID=0x7FFF)を付加してPON側に送信する。
ONU2のPON処理部21は、論理パス識別子がブロードキャストを示す場合(B=1、LLID=0x7FFF)、そのフレームの受信を許可する。なお、論理パス識別子がブロードキャストを示す場合、全てのONU2でそのフレームの受信が許可される。
暗号処理部23は、PON処理部21によって受信されたフレームを、暗号キー識別子に対応する暗号キーを用いて復号し、フレームに付加されているインテグリティチェックベクタの値と、復号したフレームから計算されたインテグリティチェック値とを比較する。インテグリティ値が一致していれば、暗号処理部23は、復号したフレームを中継処理部25に送出する。また、インテグリティ値が一致していなければ、暗号処理部23は、そのフレームを廃棄する。
すなわち、PON処理部21によって受信されたマルチキャストフレームによって指定されるグループに属するONUだけが、そのフレームを正しく復号できるため、インテグリティチェックにおいて正常と判定され、下流側にそのフレームを送信することが可能となる。
図3は、OLT1が上流側からグループ1に属するマルチキャストフレームを受信した場合の処理を説明するための図である。なお、OLT1には3台のONU2−1〜2−3が接続され、ONU1−1〜1−2がグループ1(GID=1)に属し、ONU2−3がグループ2(GID=2)に属するものとする。
OLT1は、グループ1に属するマルチキャストフレーム(GID=1)を受信すると、グループ1に属するONU2で共有される暗号キーによってフレームを暗号化し、そのフレームにブロードキャストを示す論理パス識別子を付加して全てのONU2−1〜2−3に送信する。
グループ1に属するONU2−1〜2−2のPON処理部21は、受信したフレームの論理パス識別子がブロードキャストを示すものであるため、その受信フレームを許可して暗号処理部23に送出する。また、グループ2に属するONU2−3も、受信したフレームの論理パス識別子がブロードキャストを示すものであるため、その受信フレームを許可して暗号処理部23に送出する。
グループ1に属するONU2−1〜2−2の暗号処理部23は、グループ1に属するONUで共有される暗号キーを用いて復号するため、フレームを正常に復号することができる。一方、グループ2に属するONU2−3の暗号処理部23は、グループ1に属するONUで共有される暗号キーを持っていないので、フレームを正しく復号することができず廃棄される。
なお、以上の説明においては、インテグリティチェックを行なうこととしたが、インテグリティチェックを行なわないようにしてもよい。この場合、図2に示すインテグリティチェックフィールドは不要となる。すなわち、送信側はこのフィールドに何を書込んでもよく、受信側でこのフィールドをチェックせずに取り除く処理を行なう。したがって、全てのONUにおいて、暗号処理部23に入力されたフレームは廃棄されずに通過する。このとき、指定されたグループに属するONUはフレームデータを正しく復号するが、グループに属さないONUはフレームデータを正しく復号することができない。
通常、データ部にも上位レイヤのプロトコルに基づいたインテグリティチェック、たとえばIPヘッダにおけるチェックサムがされている。正しくない暗号キーで復号されたフレームデータは、上位レイヤのインテグリティチェックをパスすることはないので、データが正しいものとして扱われることはない。したがって、暗号処理部23がインテグリティチェックを行なわなくても上述したマルチキャスト通信を実現することができる。
以上説明したように、本実施の形態におけるOLT1によれば、上流側からマルチキャストフレームを受信すると、指定されたグループに属するONUで共有される暗号キーを用いてフレームを暗号化し、そのフレームにブロードキャストを示す論理パス識別子を付加して全てのONU2に送信するようにしたので、IEEE802.3ahで規定された仕様を遵守しつつも、特定のグループに属するONUにのみフレームを送信するマルチキャスト通信を実現することが可能となった。
また、本実施の形態におけるONU2によれば、PONから受信したフレームがブロードキャストを示す場合に、グループに属するONUで共有される暗号キーを用いて復号するようにしたので、そのグループに属するONUのみが正しくフレームデータを復号することができ、特定のグループに属するONUのみがフレームを受信できるマルチキャスト通信を実現することが可能となった。
また、暗号キー識別子により暗号キーを特定できるので、ユニキャスト、マルチキャスト、ブロードキャストなどによって、フレーム種別毎に暗号キーを管理したり、参照したりする必要がなくなった。
(第2の実施の形態)
本発明の第2の実施の形態においては、あるマルチキャストグループに属するONU2が下流側からマルチキャストフレームを受信した場合に、そのフレームをOLT1の上流側に送信すると共に、そのマルチキャストグループに属する他のONU2にも配送するものである。なお、マルチキャストフレームの送信を行なったONUは、そのフレームを再び下流ユーザ側に送信する必要はない。
本発明の第2の実施の形態においては、あるマルチキャストグループに属するONU2が下流側からマルチキャストフレームを受信した場合に、そのフレームをOLT1の上流側に送信すると共に、そのマルチキャストグループに属する他のONU2にも配送するものである。なお、マルチキャストフレームの送信を行なったONUは、そのフレームを再び下流ユーザ側に送信する必要はない。
本発明の第2の実施の形態におけるOLTおよびONUの概略構成は、図1に示す本発明の第1の実施の形態におけるOLT1およびONU2の概略構成と同様である。したがって、重複する構成および機能の詳細な説明は繰返さない。
ONU2の下流側通信処理部27が、下流側からマルチキャストフレームを受信すると、そのマルチキャストフレームを中継処理部25を介して暗号処理部23に送出する。暗号処理部23は、そのONU2に割当てられた暗号キーを用いてフレームを暗号化し、PON処理部21に送出する。PON処理部は、暗号化されたフレームをOLT1に送信する。
OLT1のPON処理部11がそのフレームを受信すると、暗号処理部13にそのフレームを送出する。暗号処理部13は、そのフレームを復号して中継処理部15に送出する。中継処理部15は、必要があればその復号されたフレームを上流側通信処理部17を介して上流側ネットワークに送信する。また、中継処理部15は、その復号されたフレームをマルチキャストグループに属するONU2にも配信するために、復号されたフレームを暗号処理部13に折り返す。
暗号処理部13は、そのマルチキャストグループ用の暗号キーでフレームを暗号化し、インテグリティチェック値を計算し、その値をフレームに付加してPON処理部11に送出する。PON処理部11は、論理パス識別子としてブロードキャスト識別フィールド(B)に1を、論理パス番号識別フィールド(LLID)にフレーム送信元であるONU2の論理パス番号を格納してPON(ONU2)側に送信する。
ONU2のPON処理部21は、論理パス識別子のブロードキャスト識別フィールドが1の場合、論理パス番号識別フィールドの内容が自身の論理パス番号と一致すればそのフレームを廃棄し、一致しなければそのフレームを受信する。したがって、マルチキャストフレームを送信したONU2においては、このフレームがPON処理部21で廃棄され、それ以外の全てのONU2においては、このフレームがPON処理部21を通過する。
フレームがPON処理部21を通過した場合、暗号処理部23はそのフレームを復号し、フレームに付加されているインテグリティチェックベクタと、復号されたフレームから計算されたインテグリティ値とを比較する。比較結果が正しければ、暗号処理部23はフレームを中継処理部25に送出する。中継処理部25は、下流側通信処理部27を介して下流側にフレームを送信する。また、比較結果が正しくなければ、暗号処理部23はフレームを廃棄する。すなわち、マルチキャストグループに属するONU2のみがそのフレームを正しく復号できるため、インテグリティチェックが正常となり下流側にそのフレームを送信することが可能となる。
図4は、OLT1がPON側からグループ1に属するマルチキャストフレームを受信した場合の処理を説明するための図である。なお、OLT1には3台のONU2−1〜2−3が接続され、ONU2−1〜2−2がグループ1(GID=1)に属し、ONU2−3がグループ2(GID=2)に属するものとする。また、ONU2−1の論理パス番号を1、ONU2−2の論理パス番号を2、ONU2−3の論理パス番号を3とする。
たとえば、ONU2−2が下流側からマルチキャストフレームを受信すると、暗号処理部23がONU2−2に割当てられた暗号キーを用いてフレームを暗号化し、PON処理部21が暗号化されたフレームに論理パス識別子(B=0、LLID=2)を付加してOLT1に送信する。
OLT1は、グループ1に属するONU2−2からマルチキャストフレームを受信すると、グループ1に属するONU2で共有される暗号キーによってフレームを暗号化し、そのフレームにブロードキャストを示す論理パス識別子(B=1、LLID=2)を付加して全てのONU2−1〜2−3に送信する。
ONU2−1のPON処理部21は、受信したフレームの論理パス識別子がB=1、LLID≠自LLIDであるため、その受信フレームを許可して暗号処理部23に送出する。また、グループ2に属するONU2−3も、受信したフレームの論理パス識別子がB=1、LLID≠自LLIDであるため、その受信フレームを許可して暗号処理部23に送出する。一方、ONU2−2のPON処理部21は、受信したフレームの論理パス識別子がB=1、LLID=自LLIDであるため、その受信フレームを廃棄する。
ONU2−1の暗号処理部23は、グループ1に属するONUで共有される暗号キーを用いて復号するため、フレームを正常に復号することができる。一方、ONU2−3の暗号処理部23は、グループ1に属するONUで共有される暗号キーを持っていないので、フレームを正しく復号することができず廃棄される。
なお、以上の説明においては、OLT1の中継処理部15がマルチキャストフレームを折り返す場合についてのものであるが、アクセス系ネットワークではOLT1よりも上流側の機器で一括して折り返す網構成をとり、OLT1内で折り返さなくてもよい場合がある。この場合、OLT1の中継処理部15においてマルチキャストフレームを折り返す構成、およびONU2のPON処理部21において論理パス識別子がB=1、LLID=自LLIDのときに受信フレームを廃棄する構成は不要となるが、暗号に基づくマルチキャスト自体は有効である。
以上説明したように、本実施の形態におけるOLT1によれば、ONU2からマルチキャストフレームを受信すると、そのマルチキャストグループ用の暗号キーでフレームを暗号化し、論理パス識別子としてブロードキャスト識別フィールド(B)に1を、論理パス番号識別フィールド(LLID)にフレーム送信元であるONU2の論理パス番号を格納してPON側に送信するようにしたので、ONU2から受信したマルチキャストフレームを再度PON側にマルチキャスト送信することが可能となった。
また、本実施の形態におけるONU2によれば、OLT1から受信したフレームの論理パス識別子がB=1、LLID=自LLIDの場合にそのフレームを廃棄するようにしたので、マルチキャストフレームの送信を行なったONUが、そのフレームを再び下流ユーザ側に送信することを防止することが可能となった。
今回開示された実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は上記した説明ではなくて特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
1 OLT、2 ONU、11,21 PON処理部、12,22 論理パス識別子テーブル、13,23 暗号処理部、14,24 暗号キーテーブル、15,25 中継処理部、16,26 フレームバッファ、17 上流側通信処理部、27 下流側通信処理部。
Claims (14)
- 光加入者線によって接続された端局装置と終端装置との間でデータ伝送を行う受動的光ネットワークシステムにおいて、
上流側ネットワークからフレームを受信するための受信手段と、
前記受信手段によって受信されたフレームがマルチキャストすべきフレームであれば、当該マルチキャストグループ用の暗号キーを用いてフレームを暗号化するための暗号手段と、
前記暗号手段によって暗号化されたフレームに、論理パス識別子と前記暗号キーの識別子とを付加して受動的光ネットワークに送信するための送信手段とを含む光加入者線端局装置。 - 前記送信手段は、前記論理パス識別子としてブロードキャスト識別フィールドにブロードキャストを許可するコード、論理パス番号識別フィールドに終端装置を識別する論理パス番号以外の特定のコードを格納する、請求項1記載の光加入者線端局装置。
- 光加入者線によって接続された端局装置と終端装置との間でデータ伝送を行う受動的光ネットワークシステムにおいて、
受動的光ネットワークからフレームを受信するための受信手段と、
前記受信手段によって受信されたフレームがマルチキャストすべきフレームであれば、当該マルチキャストグループ用の暗号キーを用いてフレームを暗号化するための暗号手段と、
前記暗号手段によって暗号化されたフレームに、論理パス識別子と前記暗号キーの識別子とを付加して前記受動的光ネットワークに送信するための送信手段とを含む光加入者線端局装置。 - 前記送信手段は、前記論理パス識別子としてブロードキャスト識別フィールドにブロードキャストを許可するコード、論理パス番号識別フィールドに前記マルチキャストすべきフレームを送信した機器の論理パス番号を格納する、請求項3記載の光加入者線端局装置。
- 前記送信手段は、前記暗号手段によって暗号化されたフレームに、フレームデータから計算されたチェックベクタを付加する、請求項1〜4のいずれかに記載の光加入者線端局装置。
- 光加入者線によって接続された端局装置と終端装置との間でデータ伝送を行う受動的光ネットワークシステムにおいて、
受動的光ネットワークからフレームを受信するための受信手段と、
前記受信手段によって受信されたフレームがマルチキャストフレームであれば、当該マルチキャストフレームに付加された暗号キー識別子に対応する暗号キーを用いてフレームを復号するための復号手段と、
前記復号手段によって復号されたフレームを下流側ネットワークに送信するための送信手段とを含む光加入者線終端装置。 - 前記受信手段は、受信したフレームに含まれる論理パス識別子のブロードキャスト識別フィールドがブロードキャストを許可するコードであり、かつ論理パス番号識別フィールドが終端装置を識別する論理パス番号以外の特定のコードである場合に、当該フレームをブロードキャストフレームと判定し、当該フレームを許可する、請求項6記載の光加入者線終端装置。
- 前記受信手段は、受信したフレームに含まれる論理パス識別子のブロードキャスト識別フィールドがブロードキャストを許可するコードであり、かつ論理パス番号識別フィールドが自身の論理パス番号である場合に当該フレームを廃棄し、前記ブロードキャスト識別フィールドがブロードキャストを許可するコードであり、かつ前記論理パス番号識別フィールドが自身の論理パス番号でない場合に当該フレームを許可する、請求項6記載の光加入者線終端装置。
- 前記復号手段は、前記復号したフレームに含まれるチェックベクタと、前記復号したフレームから計算したチェックベクタとを比較し、一致しない場合に当該フレームを廃棄する、請求項6〜8のいずれかに記載の光加入者線終端装置。
- 受動的光ネットワークシステムに接続された端局装置と終端装置との間でデータ伝送を行う通信方法において、
上流側ネットワークからフレームを受信するステップと、
前記受信されたフレームがマルチキャストすべきフレームであれば、当該マルチキャストグループ用の暗号キーを用いてフレームを暗号化するステップと、
前記暗号化されたフレームに、論理パス識別子と前記暗号キーの識別子とを付加して受動的光ネットワークに送信するステップとを含む光加入者線端局装置における通信方法。 - 受動的光ネットワークシステムに接続された端局装置と終端装置との間でデータ伝送を行う通信方法において、
受動的光ネットワークからフレームを受信するステップと、
前記受信されたフレームがマルチキャストすべきフレームであれば、当該マルチキャストグループ用の暗号キーを用いてフレームを暗号化するステップと、
前記暗号化されたフレームに、論理パス識別子と前記暗号キーの識別子とを付加して前記受動的光ネットワークに送信するステップとを含む光加入者線端局装置における通信方法。 - 前記光加入者線端局装置における通信方法はさらに、前記暗号化されたフレームに、フレームデータから計算されたチェックベクタを付加するステップを含む、請求項10または11記載の光加入者線端局装置における通信方法。
- 受動的光ネットワークシステムに接続された端局装置と終端装置との間でデータ伝送を行う通信方法において、
受動的光ネットワークからフレームを受信するステップと、
前記受信されたフレームがマルチキャストフレームであれば、当該マルチキャストフレームに付加された暗号キー識別子に対応する暗号キーを用いてフレームを復号するステップと、
前記復号されたフレームを下流側ネットワークに送信するステップとを含む光加入者線終端装置における通信方法。 - 前記光加入者線終端装置における通信方法はさらに、前記復号したフレームに含まれるチェックベクタと、前記復号したフレームから計算したチェックベクタとを比較し、一致しない場合に当該フレームを廃棄するステップを含む、請求項13記載の光加入者線終端装置における通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004174356A JP2005354504A (ja) | 2004-06-11 | 2004-06-11 | 光加入者線端局装置、光加入者線終端装置およびその通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004174356A JP2005354504A (ja) | 2004-06-11 | 2004-06-11 | 光加入者線端局装置、光加入者線終端装置およびその通信方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005354504A true JP2005354504A (ja) | 2005-12-22 |
Family
ID=35588559
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004174356A Withdrawn JP2005354504A (ja) | 2004-06-11 | 2004-06-11 | 光加入者線端局装置、光加入者線終端装置およびその通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2005354504A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101047444B (zh) * | 2006-04-28 | 2010-08-04 | 华为技术有限公司 | 在无源光网络系统中光网络单元离开组播组的方法 |
| JP2011502400A (ja) * | 2007-10-31 | 2011-01-20 | コルティナ・システムズ・インコーポレイテッド | 転送ループ防止装置および方法 |
| US20200244669A1 (en) * | 2006-04-13 | 2020-07-30 | Certicom Corp. | Method and Apparatus for Providing an Adaptable Security Level in an Electronic Communication |
| US11870787B2 (en) | 2003-07-07 | 2024-01-09 | Blackberry Limited | Method and apparatus for providing an adaptable security level in an electronic communication |
-
2004
- 2004-06-11 JP JP2004174356A patent/JP2005354504A/ja not_active Withdrawn
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11870787B2 (en) | 2003-07-07 | 2024-01-09 | Blackberry Limited | Method and apparatus for providing an adaptable security level in an electronic communication |
| US20200244669A1 (en) * | 2006-04-13 | 2020-07-30 | Certicom Corp. | Method and Apparatus for Providing an Adaptable Security Level in an Electronic Communication |
| CN101047444B (zh) * | 2006-04-28 | 2010-08-04 | 华为技术有限公司 | 在无源光网络系统中光网络单元离开组播组的方法 |
| JP2011502400A (ja) * | 2007-10-31 | 2011-01-20 | コルティナ・システムズ・インコーポレイテッド | 転送ループ防止装置および方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8386772B2 (en) | Method for generating SAK, method for realizing MAC security, and network device | |
| US7305551B2 (en) | Method of transmitting security data in an ethernet passive optical network system | |
| JP4447463B2 (ja) | ブリッジ暗号vlan | |
| US8112622B2 (en) | Chaining port scheme for network security | |
| US8397064B2 (en) | Implementing IEEE 802.1AE and 802.1 af security in EPON (1GEPON and 10GEPON) networks | |
| KR100594153B1 (ko) | 점대다 토폴로지의 네트워크에서 논리링크의 형성과 그보안 통신 방법 | |
| KR100547829B1 (ko) | 암호화 키 교환을 통해 데이터를 안정적으로 전송할 수있는 기가비트 이더넷 기반의 수동 광가입자망 및 이를이용한 데이터 암호화 방법 | |
| US20080095368A1 (en) | Symmetric key generation apparatus and symmetric key generation method | |
| CN102037663A (zh) | 用于无源光网络中数据保密的方法和装置 | |
| JPH07193566A (ja) | 通信方法及び通信装置 | |
| CN110858822B (zh) | 媒体接入控制安全协议报文传输方法和相关装置 | |
| US20050047602A1 (en) | Gigabit ethernet-based passive optical network and data encryption method | |
| US7039190B1 (en) | Wireless LAN WEP initialization vector partitioning scheme | |
| JP4685659B2 (ja) | 局側装置、加入者側装置およびponシステム | |
| EP1830517B1 (en) | A method, communication system, central and peripheral communication unit for secure packet oriented transfer of information | |
| JP2005354504A (ja) | 光加入者線端局装置、光加入者線終端装置およびその通信方法 | |
| JP2004260556A (ja) | 局側装置、加入者側装置、通信システムおよび暗号鍵通知方法 | |
| JPWO2001050686A1 (ja) | 情報送受信装置 | |
| CN111093193B (zh) | 一种适用于Lora网络的MAC层安全通信的方法 | |
| Meng et al. | Analysis and solutions of security issues in Ethernet PON | |
| JP2003060633A (ja) | 受動光ネットワークシステム及び受動光ネットワークシステム暗号化方法及びネットワークシステム及びネットワークシステム | |
| Kim et al. | The implementation of the link security module in an EPON access network | |
| Salam et al. | DVB-RCS security framework for ULE-based encapsulation | |
| JP6040631B2 (ja) | 暗号化装置及び暗号化システム | |
| Inácio et al. | Preamble encryption mechanism for enhanced privacy in Ethernet passive optical networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Withdrawal of application because of no request for examination |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20070904 |