JP2006245778A - Communication apparatus, communication method, and program - Google Patents

Communication apparatus, communication method, and program Download PDF

Info

Publication number
JP2006245778A
JP2006245778A JP2005055978A JP2005055978A JP2006245778A JP 2006245778 A JP2006245778 A JP 2006245778A JP 2005055978 A JP2005055978 A JP 2005055978A JP 2005055978 A JP2005055978 A JP 2005055978A JP 2006245778 A JP2006245778 A JP 2006245778A
Authority
JP
Japan
Prior art keywords
multicast
encryption key
key
data
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005055978A
Other languages
Japanese (ja)
Inventor
Mayumi Ishikawa
真弓 石川
Yoshifumi Hotta
善文 堀田
Seiji Ozaki
成治 小崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2005055978A priority Critical patent/JP2006245778A/en
Publication of JP2006245778A publication Critical patent/JP2006245778A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a communication apparatus wherein the security by encryption of multicast transmission data is strengthened. <P>SOLUTION: The communication apparatus includes: a public key / private key generating section 39 for generating a public key unique to its own communication apparatus and generating a private key in pairs with the public key; a multicast encryption key decryption section 19 for using the private key generated by the public key / private key generating section 39 to decrypt the multicast encryption key encrypted by the public key unique to its own communication apparatus; and a data decryption section 38 for using the multicast encryption key decrypted by the multicast encryption key decryption section 19 to decrypt the received multicast data. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

この発明は、特定のグループに属する通信装置の通信技術に関するものである。   The present invention relates to a communication technology of communication devices belonging to a specific group.

従来のアクセス系ネットワークとして、E-PON ( Ethernet(登録商標) - Passive Optical Network ) システムが知られている(例えば特許文献1参照)。このEPONシステムは、複数の加入者側通信装置 ( ONU : Optical Network Unit ) と局側通信装置 ( OLT : Optical Line Terminal ) がスターカプラを介して光ファイバケーブルで接続され、PONシステムにEthernet(登録商標)サービスを透過的に収容するものである。OLTは通信網事業者局に設置され、ONUは加入者の宅内や屋外に設置される。ONUは1〜複数の加入者端末を収容する。
特許文献1においては、E-PONシステムでは、下りトラヒックは全ての端末が受信できることから下り信号に対して暗号が必要で、VLAN ( Virtual Local Area Network ) 機能を考慮すると、ユニキャスト(1つのONUにデータ伝送するもの)、マルチキャスト(特定のグループに属する1つまたは複数のONUにデータ伝送するもの)に個別の暗号が必要であることが開示されている。さらに、特許文献1においては、E-PONシステムにおけるマルチキャスト用暗号鍵の通知方法として、OLTが、マルチキャスト用暗号鍵を各ONUに固有のユニキャスト用暗号鍵で暗号化して送信し、各ONUが、受信した暗号化マルチキャスト用暗号鍵を各ONUに固有のユニキャスト用暗号鍵で復号するものが開示されている。 As a conventional access network, an E-PON (Ethernet (registered trademark) -Passive Optical Network) system is known (see, for example, Patent Document 1). In this EPON system, multiple subscriber-side communication devices (ONU: Optical Network Unit) and station-side communication devices (OLT: Optical Line Terminal) are connected via an optical fiber cable via a star coupler, and Ethernet (registered) Trademark) service is transparently accommodated. The OLT is installed in the network operator station, and the ONU is installed in the subscriber's home or outdoors. The ONU accommodates one to a plurality of subscriber terminals.
In Patent Document 1, in an E-PON system, since all terminals can receive downlink traffic, encryption is required for downlink signals. In consideration of the VLAN (Virtual Local Area Network) function, unicast (one ONU) is required. For data transmission) and multicast (for data transmission to one or more ONUs belonging to a specific group), it is disclosed that individual encryption is required. Furthermore, in Patent Document 1, as a multicast encryption key notification method in the E-PON system, the OLT encrypts the multicast encryption key with a unique unicast encryption key and transmits the encrypted encryption key. A method for decrypting a received encrypted multicast encryption key with a unicast encryption key unique to each ONU is disclosed.

特開2004−260556号公報JP 2004-260556 A

特許文献1に開示された従来の通信装置においては、各加入者側通信装置からユニキャスト用暗号鍵を局側通信装置に送信するので、このときにマルチキャスト用暗号鍵の復号にも使用されるユニキャスト用暗号鍵が漏洩する可能性があるという問題点があった。   In the conventional communication device disclosed in Patent Document 1, each subscriber-side communication device transmits a unicast encryption key to the station-side communication device. At this time, it is also used for decrypting the multicast encryption key. There was a problem that the unicast encryption key could be leaked.

この発明は、上述のような課題を解決するためになされたもので、通信装置において、マルチキャスト送信されるデータの暗号化によるセキュリティの強化を目的としている。   The present invention has been made to solve the above-described problems, and aims to enhance security by encrypting data transmitted by multicast in a communication apparatus.

この発明に係る通信装置は、自通信装置に固有の公開鍵を生成するとともに、この公開鍵と対となる秘密鍵を生成する公開鍵・秘密鍵生成部と、前記公開鍵・秘密鍵生成部で生成された秘密鍵を用いて、前記自通信装置に固有の公開鍵で暗号化されたマルチキャスト用暗号鍵を復号するマルチキャスト用暗号鍵復号部と、前記マルチキャスト用暗号鍵復号部で復号されたマルチキャスト用暗号鍵を用いて、受信されたマルチキャストデータを復号するデータ復号部と、を備えたものである。   The communication device according to the present invention generates a public key unique to the communication device, and generates a secret key that is paired with the public key, and the public key / secret key generation unit The multicast encryption key decryption unit for decrypting the multicast encryption key encrypted with the public key unique to the communication device using the secret key generated in step 1 and decrypted by the multicast encryption key decryption unit And a data decrypting unit that decrypts the received multicast data using the multicast encryption key.

この発明は、通信装置において、マルチキャスト送信されるデータの暗号化によるセキュリティの強化を行うことができる。   According to the present invention, security can be enhanced by encrypting data transmitted by multicast in a communication device.

この発明の実施の形態を説明する前に、本発明が適用されるIGMP ( Internet Group Management Protocol ) およびGE-PON ( Gigabit Ethernet(登録商標) - Passive Optical Network ) システムについて説明する。   Before describing the embodiment of the present invention, an Internet Group Management Protocol (IGMP) and a Gigabit Ethernet (registered trademark) -Passive Optical Network (GE-PON) system to which the present invention is applied will be described.

IP ( Internet Protocol ) 通信におけるマルチキャストの実現方法として、IGMPを用いる方法がある。IGMPは、IPマルチキャストグループの管理に使用されるプロトコルであり、マルチキャストをサポートするマルチキャストルータとマルチキャストパケットを受信するホストによって使用される。その動作は次の通りである。   As a method for realizing multicast in IP (Internet Protocol) communication, there is a method using IGMP. IGMP is a protocol used to manage IP multicast groups, and is used by multicast routers that support multicast and hosts that receive multicast packets. The operation is as follows.

マルチキャストルータは、定期的に照会メッセージ(Queryメッセージ)をマルチキャスト送信し、各ホストからのレポートメッセージ(Reportメッセージ)の有無でメンバーを把握する。ホストは、グループに参加するとき、または照会メッセージへの応対として、レポートメッセージを返信する。ホストがグループから離脱するとき、離脱メッセージ(Leaveメッセージ)を通知する。なお、IGMPにはV.1〜V.3があり、V.1では、離脱メッセージは存在せず、ホストがグループから離脱する場合は、レポートメッセージを返送しないだけである。   A multicast router periodically multicasts a query message (Query message), and grasps members by the presence or absence of a report message (Report message) from each host. The host returns a report message when joining the group or in response to an inquiry message. When the host leaves the group, a leave message is notified. There are V.1 to V.3 in IGMP. In V.1, there is no leave message, and when the host leaves the group, it does not return a report message.

一方、GE-PONシステムでは、OLTにブリッジ機能を実装し、ブリッジポートとして論理ポートを適用する。一般的なブリッジは、物理ポートを単位としたスイッチングを行うが、複数のONUで1つの伝送路を共有するPONシステムにおいてONU間通信を行う場合、ブリッジにおいて、ONUごとのポートを意識させる必要がある。さらにONUが複数のユーザ間インタフェース(UNI:User Network Interface)を収容する場合、ONUのUNI間通信を行うには、ブリッジにおいて、UNIごとのポートを意識させる必要がある。このようなONUごとあるいはUNIごとのポートのことを論理ポートと呼ぶ。論理ポートはOLTとONUに存在し、この間を接続する網を論理リンクと呼ぶ。   On the other hand, in the GE-PON system, a bridge function is implemented in the OLT and a logical port is applied as a bridge port. A general bridge performs switching in units of physical ports. However, when performing communication between ONUs in a PON system that shares one transmission path with multiple ONUs, it is necessary to make the bridge aware of the ports for each ONU. is there. Furthermore, when ONU accommodates a plurality of user interface (UNI), in order to perform communication between UNIs of ONU, it is necessary to make the bridge aware of the port for each UNI. Such a port for each ONU or UNI is called a logical port. A logical port exists in OLT and ONU, and a network connecting between them is called a logical link.

論理リンクは、PONで固有の識別子であるLLID ( Logical Link Identifier ) により識別される。LLIDはOLTで選択され、ONUに通知される。LLIDは、MAC ( Media Access Control ) フレームのプリアンブルに定義されており、16ビット構成である。ブロードキャスト用プリアンブルは、この値がすべて1で定義されている。   A logical link is identified by LLID (Logical Link Identifier) which is a unique identifier in PON. LLID is selected by OLT and notified to ONU. The LLID is defined in the preamble of a MAC (Media Access Control) frame and has a 16-bit configuration. This value is defined as 1 for all broadcast preambles.

実施の形態1.
この発明の実施の形態1による通信装置は、局側通信装置が、マルチキャスト用暗号鍵を各加入者側通信装置に固有の公開鍵により暗号化して送信し、各加入者側通信装置が、受信した暗号化マルチキャスト用暗号鍵を、各加入者側通信装置で保持されている秘密鍵により復号するようにしているので、マルチキャスト用暗号鍵の復号に必要な暗号鍵を送信する必要がないため、マルチキャストデータの暗号化によるセキュリティの強化を行うことができるものである。 Embodiment 1 FIG.
In the communication apparatus according to Embodiment 1 of the present invention, the station side communication apparatus encrypts and transmits the multicast encryption key with the public key unique to each subscriber side communication apparatus, and each subscriber side communication apparatus receives the reception. Since the encrypted multicast encryption key is decrypted with the secret key held in each subscriber side communication device, it is not necessary to transmit the encryption key necessary for decrypting the multicast encryption key. Security can be enhanced by encrypting multicast data.

図1はこの発明の実施の形態1による通信装置を用いるネットワークシステムを示す構成図である。
図1において、1は光ファイバケーブル、2はスターカプラ、10は局側通信装置 ( OLT : Optical Line Terminal )、30は加入者側通信装置 ( ONU : Optical Network Unit )である。ここで、ONU#1とONU#2はマルチキャストグループ#1に属し、ONU#3はマルチキャストグループ#2に属している。 1 is a block diagram showing a network system using a communication device according to Embodiment 1 of the present invention.
In FIG. 1, 1 is an optical fiber cable, 2 is a star coupler, 10 is a station side communication device (OLT: Optical Line Terminal), and 30 is a subscriber side communication device (ONU: Optical Network Unit). Here, ONU # 1 and ONU # 2 belong to multicast group # 1, and ONU # 3 belongs to multicast group # 2.

図2はこの発明の実施の形態1による局側通信装置を示す構成図である。
図2において、OLT10は、IGMPスヌープを行うマルチキャスト送信先決定部としてのIGMPフィルタ部16と、データを暗号化するデータ暗号化部17と、マルチキャスト用暗号鍵を生成するマルチキャスト用暗号鍵生成部19と、このマルチキャスト用暗号鍵を暗号化するマルチキャスト用暗号鍵暗号化部20とを備えている。 2 is a block diagram showing a station side communication apparatus according to Embodiment 1 of the present invention.
In FIG. 2, the OLT 10 includes an IGMP filter unit 16 as a multicast transmission destination determination unit that performs IGMP snooping, a data encryption unit 17 that encrypts data, and a multicast encryption key generation unit 19 that generates a multicast encryption key. And a multicast encryption key encryption unit 20 for encrypting the multicast encryption key.

図3はこの発明の実施の形態1による加入者側通信装置を示す構成図である。
図3において、ONU30は、IGMPスヌープのスヌープ結果に対応するマルチキャスト送信要求部としてのIGMPフィルタ部36と、データを復号するデータ復号部38と、マルチキャスト用暗号鍵を暗号化するための公開鍵と、この公開鍵に対応する秘密鍵を生成する公開鍵・秘密鍵生成部39と、暗号化マルチキャスト用暗号鍵を復号するマルチキャスト用暗号鍵復号部40とを備え、IGMPスヌープした結果に応じて、OLT10と複数のONU30の間で、MACフレームの送受信により暗号通信を行う。IGMPスヌープするためのフィルタリング条件は後述する。 FIG. 3 is a block diagram showing a subscriber side communication apparatus according to Embodiment 1 of the present invention.
In FIG. 3, the ONU 30 includes an IGMP filter unit 36 as a multicast transmission request unit corresponding to an IGMP snoop result, a data decryption unit 38 that decrypts data, and a public key for encrypting a multicast encryption key. A public key / private key generation unit 39 that generates a private key corresponding to the public key, and a multicast encryption key decryption unit 40 that decrypts the encrypted multicast encryption key, according to the result of the IGMP snoop, Cryptographic communication is performed between the OLT 10 and a plurality of ONUs 30 by transmitting and receiving MAC frames. The filtering conditions for IGMP snooping will be described later.

図4は2つのONUが同一のマルチキャストグループに登録されている場合のマルチキャスト用暗号鍵の通知シーケンスを示し、図5は2つのONUが同一のマルチキャストグループに登録されていない場合のマルチキャスト用暗号鍵の通知シーケンスを示すものである。OLT10は、ONU30が登録されているマルチキャストグループをIGMPスヌープし、スヌープ結果に基づいて暗号化マルチキャスト用暗号鍵を、同一のマルチキャストグループに登録されているONU30に送信する。   FIG. 4 shows a multicast encryption key notification sequence when two ONUs are registered in the same multicast group, and FIG. 5 shows a multicast encryption key when two ONUs are not registered in the same multicast group. The notification sequence is shown. The OLT 10 IGMP snoops the multicast group in which the ONU 30 is registered, and transmits the encrypted multicast encryption key to the ONU 30 registered in the same multicast group based on the snoop result.

このような構成の通信装置においては、ONU30の公開鍵・秘密鍵生成部39で生成され、ONU30内に保持されている秘密鍵により、ONU30のマルチキャスト用暗号鍵復号部40で暗号化マルチキャスト用暗号鍵を復号するようにしているので、マルチキャスト用暗号鍵の復号に必要な暗号鍵(この場合は秘密鍵)を受け渡す必要がないため、マルチキャスト送信されるデータの暗号化によるセキュリティの強化を行うことができる。   In the communication device having such a configuration, the ONU 30 public key / secret key generation unit 39 encrypts the multicast encryption cipher using the ONU 30 multicast encryption key decryption unit 40 using the private key stored in the ONU 30. Since the key is decrypted, there is no need to pass the encryption key (in this case, the secret key) necessary for decrypting the multicast encryption key, so security is strengthened by encrypting the data sent by multicast. be able to.

以下にさらに詳細に説明する。
図6は、この発明の実施の形態1による局側通信装置を示す構成図である。
図6において、OLT10は、スプリッタを介して1つ以上のONU(加入者側装置)を収容するPONインタフェース( PON-IF : Passive Optical Network - Interface ) 11と、MACフレームのスイッチングを行うレイヤ2スイッチ( L2SW : Layer 2 Switch ) 12と、IP網への接続を行うサービスノードインタフェース( SNI : Service Node Interface ) 13と、CPU ( Central Processing Unit ) 14とを備えている。 This will be described in more detail below.
FIG. 6 is a block diagram showing a station side communication apparatus according to Embodiment 1 of the present invention.
In FIG. 6, an OLT 10 includes a PON interface (PON-IF: Passive Optical Network-Interface) 11 that accommodates one or more ONUs (subscriber side devices) via a splitter, and a layer 2 switch that performs MAC frame switching. (L2SW: Layer 2 Switch) 12, a service node interface (SNI) 13 for connecting to the IP network, and a CPU (Central Processing Unit) 14 are provided.

レイヤ2スイッチ12は、ユニキャストフレームだけでなく、マルチキャストフレームのスイッチングを行うためのマルチキャストテーブル15を具備する。マルチキャストテーブル15は、図7に示すように、例えば、宛先MACアドレス(マルチキャストアドレス)50と、転送先PONポート51の組を管理する。レイヤ2スイッチ12はこのマルチキャストテーブル15に従って、転送先PONポートを識別する。   The layer 2 switch 12 includes a multicast table 15 for switching not only unicast frames but also multicast frames. As shown in FIG. 7, the multicast table 15 manages a set of a destination MAC address (multicast address) 50 and a transfer destination PON port 51, for example. The layer 2 switch 12 identifies the transfer destination PON port according to the multicast table 15.

また、レイヤ2スイッチ12は、PONからのマルチキャスト用IPプロトコルとしてIGMPのReportメッセージ(以下、レポートメッセージという)、Leaveメッセージ(以下、離脱メッセージという)、およびSNI13を介したデータ配信サーバ(後述する)からのIGMP Queryメッセージ(以下、照会メッセージという)をスヌープするためのIGMPフィルタ部16を具備する。これらのメッセージをスヌープするためのフィルタリング条件は後述する。   The layer 2 switch 12 is an IGMP report message (hereinafter referred to as a report message), a leave message (hereinafter referred to as a leave message), and a data distribution server (described later) via the SNI 13 as a multicast IP protocol from the PON. Includes an IGMP filter unit 16 for snooping an IGMP Query message (hereinafter referred to as a query message). The filtering conditions for snooping these messages will be described later.

OLT10のPONインタフェース11は、下り(OLTからONUへの通信方向)データを暗号化するデータ暗号化部17を具備する。SNI13は、マルチキャストフレームの受信監視を行うマルチキャスト監視部18を具備する。   The PON interface 11 of the OLT 10 includes a data encryption unit 17 that encrypts downstream (communication direction from OLT to ONU) data. The SNI 13 includes a multicast monitoring unit 18 that monitors reception of multicast frames.

OLT10のCPU14は、マルチキャスト用暗号鍵を生成するマルチキャスト用暗号鍵生成部19と、この暗号鍵を上記ONU(LLID)固有の公開鍵で暗号化するマルチキャスト用暗号鍵暗号化部20を具備するとともに、マルチキャストアドレス/参入ポート(レポートメッセージが到着した物理ポート)/ONU(LLID)/ONU(LLID)固有のマルチキャスト用暗号鍵の暗号化用公開鍵/IGMPスヌーピングテーブル情報/ユニキャスト、マルチキャスト用暗号鍵の組合せを記憶するマルチキャスト管理テーブル21を管理する。また、CPU14はPONからのレポートメッセージ受信を監視するIGMP監視部22、PON上の論理リンクを制御する論理リンク制御部23を具備し、PONポートごとのLLID値の使用状況を管理するLLID管理テーブル24を管理する。   The CPU 14 of the OLT 10 includes a multicast encryption key generation unit 19 that generates a multicast encryption key, and a multicast encryption key encryption unit 20 that encrypts the encryption key with a public key unique to the ONU (LLID). , Multicast address / participating port (physical port where report message arrived) / ONU (LLID) / ONU (LLID) -specific multicast encryption key public key / IGMP snooping table information / unicast, multicast encryption key Is managed in the multicast management table 21 that stores the combinations. The CPU 14 includes an IGMP monitoring unit 22 that monitors report message reception from the PON, and a logical link control unit 23 that controls logical links on the PON, and an LLID management table that manages the usage status of LLID values for each PON port. Manage 24.

OLT10は、IGMPスヌープの結果と照らし合わせ、マルチキャストグループに登録しているすべてのONU30に対して上記暗号化マルチキャスト用暗号鍵を生成し、すべての暗号化マルチキャスト用暗号鍵をフレームに格納して、当該ONUに配信する。前記暗号化マルチキャスト用暗号鍵を格納したフレームは、プリアンブルにFlagを立てることにより、当該フレーム以外のフレームと識別する。また、PON区間に送出されるフレームはユニキャスト、マルチキャストの区別なく暗号処理が施されるため、これらの違いもMACフレームのプリアンブルにFlagを立てることにより識別する。   OLT10 compares the result of IGMP snoop, generates the above encryption multicast encryption key for all ONUs 30 registered in the multicast group, stores all encryption multicast encryption keys in the frame, Deliver to the ONU. A frame storing the encryption key for encrypted multicast is identified as a frame other than the frame by setting a flag in the preamble. In addition, since the frame transmitted in the PON section is subjected to encryption processing regardless of whether it is unicast or multicast, these differences are also identified by setting a flag in the preamble of the MAC frame.

図8はこの発明の実施の形態1による加入者側通信装置を示す構成図である。
図8において、ONU30は、スプリッタを介してOLTと接続するPONインタフェース (PON-IF ) 31と、MACフレームのスイッチングを行うレイヤ2スイッチ ( L2SW ) 32と、加入者端末との接続を行うUNI33と、CPU34とを備えている。 FIG. 8 is a block diagram showing a subscriber side communication apparatus according to Embodiment 1 of the present invention.
In FIG. 8, the ONU 30 includes a PON interface (PON-IF) 31 connected to the OLT via a splitter, a layer 2 switch (L2SW) 32 for switching MAC frames, and a UNI 33 for connecting to a subscriber terminal. CPU34.

ONU30のレイヤ2スイッチ32は、フィルタリングの際に参照するMACアドレスの学習内容を管理するMACアドレステーブル35を具備する。またレイヤ2スイッチ32は、PONからのIGMPのレポートメッセージ、離脱メッセージ、および照会メッセージに対応するIGMPフィルタ部36を具備する。   The layer 2 switch 32 of the ONU 30 includes a MAC address table 35 that manages learning contents of MAC addresses to be referred to when filtering. Further, the layer 2 switch 32 includes an IGMP filter unit 36 corresponding to an IGMP report message, a leaving message, and an inquiry message from the PON.

ONU30のPONインタフェース31は、マルチキャストフレームの受信監視と暗号化マルチキャスト用暗号鍵格納フレームの受信監視を行うマルチキャスト監視部37と、データを復号するデータ復号部38を具備する。   The PON interface 31 of the ONU 30 includes a multicast monitoring unit 37 that monitors reception of multicast frames and reception of encrypted multicast encryption key storage frames, and a data decryption unit 38 that decrypts data.

ONU30のCPU34は、マルチキャスト用暗号鍵を暗号化するための公開鍵と、この公開鍵に対応する秘密鍵を生成する公開鍵・秘密鍵生成部39と、暗号化マルチキャスト用暗号鍵を当該ONU(LLID)固有の秘密鍵で復号するマルチキャスト用暗号鍵復号部40を具備するとともに、マルチキャストアドレス/LLID値/ONU(LLID)固有の秘密鍵/IGMPフィルタ情報/ユニキャスト、マルチキャスト用暗号鍵の組合せを記憶するマルチキャスト管理テーブル41を管理する。また、CPU34はPONからの照会メッセージ受信を監視するIGMP監視部42、当該ONUが収容している論理リンクを制御する論理リンク制御部43を具備し、当該論理リンクのLLID値の使用状況を管理するLLID管理テーブル44を管理する。   The CPU 34 of the ONU 30 includes a public key for encrypting the multicast encryption key, a public key / secret key generation unit 39 that generates a secret key corresponding to the public key, and an encrypted multicast encryption key in the ONU ( LLID) Multicast encryption key decryption unit 40 for decryption with a unique secret key, and a combination of multicast address / LLID value / ONU (LLID) unique secret key / IGMP filter information / unicast, multicast encryption key The stored multicast management table 41 is managed. The CPU 34 also includes an IGMP monitoring unit 42 that monitors the reception of inquiry messages from the PON and a logical link control unit 43 that controls the logical link accommodated by the ONU, and manages the usage status of the LLID value of the logical link. The LLID management table 44 to be managed is managed.

ONU30は、自ONU(LLID)に対応する暗号化マルチキャスト用暗号鍵を受信すると、ONU(LLID)固有の秘密鍵で復号し、復号したマルチキャスト用暗号鍵をONU内部に記憶しておき、暗号化マルチキャストフレームを受信した際に、上記マルチキャスト用暗号鍵で復号する。   When ONU30 receives the encrypted multicast encryption key corresponding to its own ONU (LLID), it decrypts it with the private key unique to ONU (LLID), stores the decrypted multicast encryption key inside ONU, and encrypts it When a multicast frame is received, it is decrypted with the multicast encryption key.

あるいは、ONU30は、暗号化マルチキャスト用暗号鍵を受信すると、ONU(LLID)固有の秘密鍵で順次復号し、自ONU(LLID)に対応する前記マルチキャスト用暗号鍵をONU内部に記憶しておき、暗号化マルチキャストフレームを受信した際に、上記マルチキャスト用暗号鍵で復号する。   Alternatively, when the ONU 30 receives the encrypted multicast encryption key, the ONU 30 sequentially decrypts the ONU (LLID) with a secret key unique to the ONU (LLID), and stores the multicast encryption key corresponding to the own ONU (LLID) inside the ONU. When the encrypted multicast frame is received, it is decrypted with the multicast encryption key.

ユニキャスト用暗号鍵、マルチキャスト用暗号鍵、および当該マルチキャスト用暗号鍵を暗号化・復号する公開鍵・秘密鍵の組合せは、所定のタイミングで更新する。   The combination of the unicast encryption key, the multicast encryption key, and the public / private key for encrypting / decrypting the multicast encryption key is updated at a predetermined timing.

図9に、上述のOLT10およびONU30が配されるネットワークの構成例を示す。OLT10は1つ以上のPONインタフェース11を収容し(図9では1つのPONインタフェースのみ示している)、1つのPONインタフェース11には1〜複数のONU30が収容されている。ONU30には、加入者のパーソナルコンピュータ ( PC : Personal Computer ) 45が接続されている。OLT10のSNI13には、IP網60のマルチキャストルータ61が接続され、IP網60内にあるデータ配信サーバ62からのマルチキャストデータは、OLT10に接続されたマルチキャストルータ61まで到達する。   FIG. 9 shows a configuration example of a network in which the above-described OLT 10 and ONU 30 are arranged. The OLT 10 accommodates one or more PON interfaces 11 (only one PON interface is shown in FIG. 9). One PON interface 11 accommodates one to a plurality of ONUs 30. A subscriber's personal computer (PC) 45 is connected to the ONU 30. A multicast router 61 of the IP network 60 is connected to the SNI 13 of the OLT 10, and multicast data from the data distribution server 62 in the IP network 60 reaches the multicast router 61 connected to the OLT 10.

次に動作について説明する。OLT10では、PONインタフェース11から受信したレポートメッセージをIGMPフィルタ部16においてスヌープする。具体的には、(1)MACフレームの宛先アドレスがマルチキャストアドレスで、かつ(2)IPパケットにカプセル化されたIGMPメッセージ内Typeフィールドが0x12または0x16、というフィルタリング条件を満たすメッセージをレポートメッセージとして取り込む。IGMPにはV.1、V.2、V.3があり、V.1ではTypeフィールドは0x12、V.2では0x16、V.3では0x22である。IGMPフィルタ部16はこれらのすべてのバージョンに対応する。このレポートメッセージには、マルチキャスト通信で使用するIPグループアドレスが格納されている。   Next, the operation will be described. In the OLT 10, the IGMP filter unit 16 snoops the report message received from the PON interface 11. Specifically, (1) a MAC frame destination address is a multicast address, and (2) a message that satisfies the filtering condition that the Type field in the IGMP message encapsulated in the IP packet is 0x12 or 0x16 is captured as a report message. . IGMP includes V.1, V.2, and V.3. In V.1, the Type field is 0x12, in V.2, 0x16, and in V.3, 0x22. The IGMP filter unit 16 supports all these versions. This report message stores the IP group address used for multicast communication.

図10にIGMP V.2のメッセージフォーマットを示す。IGMP V.2のメッセージフォーマットは、マルチキャストルータ61からの照会メッセージとONU30からのメッセージのいずれであるかを識別するTypeフィールドと、照会メッセージのみが使用するフィールドであってレポートメッセージを受け取るまでの最大時間を指定するMax Response Timeフィールドと、チェックサムのためのChecksumフィールドと、IPグループアドレスが指定されるGroup Addressフィールドを備えている。   FIG. 10 shows the message format of IGMP V.2. The IGMP V.2 message format includes a Type field that identifies whether the message is a query message from the multicast router 61 or a message from the ONU 30, and a field that is used only by the query message until the report message is received. A Max Response Time field for designating a time, a Checksum field for a checksum, and a Group Address field for designating an IP group address are provided.

OLT10では、IPグループアドレスをキーにしてマルチキャスト管理テーブル21を検索する。一致するIPマルチキャストアドレスが見つかった場合の処理は後述する。一致するIPマルチキャストアドレスが見つからなかった場合は初めてのグループ参入と見なし、マルチキャスト管理テーブル21の未使用エントリに、IPマルチキャストアドレス、参入ポート、LLIDを記憶する。ここでいう参入ポートとはONU(LLID)からのレポートメッセージを受信したPONインタフェースを示し、LLIDはレポートメッセージを含むMACプリアンブル内に格納されているLLID値を示す。   The OLT 10 searches the multicast management table 21 using the IP group address as a key. Processing when a matching IP multicast address is found will be described later. If no matching IP multicast address is found, it is regarded as the first group entry, and the IP multicast address, entry port, and LLID are stored in the unused entry of the multicast management table 21. The entry port here indicates a PON interface that has received a report message from ONU (LLID), and LLID indicates an LLID value stored in a MAC preamble including the report message.

またOLT10は、取り込んだレポートメッセージをSNI13へ送信し、CPU14において参入したONU(LLID)を記憶する。具体的には、論理リンク制御部23がLLID管理テーブル24を参照し、IGMPフィルタ情報に基づいてマルチキャスト管理テーブル21を設定する。   The OLT 10 transmits the captured report message to the SNI 13 and stores the ONU (LLID) entered in the CPU 14. Specifically, the logical link control unit 23 refers to the LLID management table 24 and sets the multicast management table 21 based on the IGMP filter information.

さらに、OLT10は、CPU14においてマルチキャスト用暗号鍵を生成し、この暗号鍵をONU(LLID)ごとに固有の公開鍵で暗号化した暗号化マルチキャスト用暗号鍵として、PONインタフェース11を介してPONに送信する。   In addition, the OLT 10 generates a multicast encryption key in the CPU 14, and transmits this encryption key to the PON via the PON interface 11 as an encrypted multicast encryption key that is encrypted with a unique public key for each ONU (LLID). To do.

ところでマルチキャスト用暗号鍵は、各ONU(LLID)から受信した公開鍵で暗号処理を施し、PONに向けて送信するため、このマルチキャスト用暗号鍵を他のONUにより盗聴されることはない。暗号化マルチキャスト用暗号鍵の通知は、この暗号鍵を含むフレームのプリアンブル部のFlagビットで識別する。ONU30は、マルチキャスト監視部37においてこの暗号化マルチキャスト用暗号鍵を含むフレームを検出した場合、CPU34内のマルチキャスト用暗号鍵復号部40において、暗号化マルチキャスト用暗号鍵の復号を行う。   By the way, the multicast encryption key is encrypted with the public key received from each ONU (LLID) and transmitted to the PON, so that the multicast encryption key is not wiretapped by other ONUs. The notification of the encryption key for encryption multicast is identified by the Flag bit of the preamble part of the frame including this encryption key. When the ONU 30 detects a frame including the encrypted multicast encryption key in the multicast monitoring unit 37, the multicast encryption key decryption unit 40 in the CPU 34 decrypts the encrypted multicast encryption key.

このマルチキャスト用暗号鍵の通知が完了して初めて、OLT10は、通知したマルチキャスト用暗号鍵をマルチキャスト管理テーブル21に記憶しておくとともに、マルチキャストテーブル15に参入ポートを加える。この場合には最初の参入ポートであるため、マルチキャストテーブル15に新たなエントリを作ることになる。   Only after the notification of the multicast encryption key is completed, the OLT 10 stores the notified multicast encryption key in the multicast management table 21 and adds an entry port to the multicast table 15. In this case, since it is the first entry port, a new entry is created in the multicast table 15.

そして、SNI13から到着するマルチキャストデータは、マルチキャストテーブル15の内容に基づいて参入ポートに転送され、PONインタフェース11のデータ暗号化部17において、当該マルチキャスト通信に対応するマルチキャスト用暗号鍵を用いて暗号化され、PONに送出される。   Then, the multicast data arriving from SNI 13 is transferred to the entry port based on the contents of multicast table 15, and encrypted by data encryption unit 17 of PON interface 11 using the multicast encryption key corresponding to the multicast communication. And sent to the PON.

次に、レポートメッセージに含まれるIPグループアドレスと一致するIPマルチキャストアドレスが、マルチキャスト管理テーブル21のエントリから見つかった場合の処理について説明する。   Next, processing when an IP multicast address that matches the IP group address included in the report message is found from an entry in the multicast management table 21 will be described.

OLT10は、取り込んだレポートメッセージのIPグループアドレスをキーにしてマルチキャスト管理テーブル21を検索するが、ここで一致するIPマルチキャストアドレスが見つかった場合は、2番目以降の参入と認識し、マルチキャスト管理テーブル21の一致エントリに新たなLLIDを追加記憶する。   The OLT 10 searches the multicast management table 21 using the IP group address of the imported report message as a key. If a matching IP multicast address is found here, the OLT 10 recognizes the second and subsequent entries, and determines the multicast management table 21. A new LLID is additionally stored in the matching entry.

また、OLT10は、データ配信サーバ62がIP網60内に存在するという前提で、取り込んだレポートメッセージをSNI13のみに送信し、CPU14において参入したONU(LLID)を記憶する。具体的には、論理リンク制御部23がLLID管理テーブル24を参照し、新たなONUがすでに参入しているONUと同じPONポートに収容されている場合には、IGMPフィルタ情報に基づいてマルチキャスト管理テーブルを更新する。新たなONUがすでに参入しているONUとは別のPONポートに収容されている場合には、IGMPフィルタ情報に基づいてマルチキャスト管理テーブルを設定する。   Further, the OLT 10 transmits the captured report message only to the SNI 13 on the assumption that the data distribution server 62 exists in the IP network 60, and stores the ONU (LLID) entered in the CPU 14. Specifically, when the logical link control unit 23 refers to the LLID management table 24 and a new ONU is accommodated in the same PON port as the ONU that has already entered, multicast management is performed based on the IGMP filter information. Update the table. When a new ONU is accommodated in a PON port different from an ONU that has already entered, a multicast management table is set based on IGMP filter information.

OLT10は、後者の場合、すなわち新たなONUがすでに参入しているONUとは別のPONポートに収容されている場合には、マルチキャスト管理テーブル21に追加記憶する。さらにOLT10は、前者の場合にはすでに使用しているマルチキャスト用暗号鍵を、後者の場合にはこのマルチキャスト通信に使用する新たなマルチキャスト用暗号鍵を生成し、PONインタフェース11を介してPONに送信する。   In the latter case, that is, when a new ONU is accommodated in a PON port different from an ONU that has already entered, the OLT 10 additionally stores it in the multicast management table 21. Furthermore, the OLT 10 generates a multicast encryption key that is already used in the former case, and generates a new multicast encryption key that is used for this multicast communication in the latter case, and transmits it to the PON via the PON interface 11. To do.

ところでマルチキャスト用暗号鍵は、各LLIDから受信した公開鍵で暗号処理を施し、PONに送信するため、このマルチキャスト用暗号鍵を他のONUにより盗聴されることはない。このマルチキャスト用暗号鍵の通知が完了して初めてOLT10は、通知したマルチキャスト用暗号鍵をマルチキャスト管理テーブル21に記憶しておくとともに、マルチキャストテーブル15に参入ポートを加える。この場合には2番目以降の参入ポートであるため、マルチキャストテーブル15にすでにあるエントリを更新することになる。以降、最初の参入の場合と同じ動作となる。   By the way, since the multicast encryption key is encrypted with the public key received from each LLID and transmitted to the PON, the multicast encryption key is not wiretapped by other ONUs. The OLT 10 stores the notified multicast encryption key in the multicast management table 21 and adds the entry port to the multicast table 15 only after the notification of the multicast encryption key is completed. In this case, since it is the second and subsequent entry ports, the entries already in the multicast table 15 are updated. Thereafter, the operation is the same as in the first entry.

以上のように、この発明の実施の形態1による通信装置においては、OLT10はIGMPメッセージをスヌープし、スヌープした結果に基づいて、登録ONU(LLID)固有の公開鍵で暗号化した暗号化マルチキャスト用暗号鍵を送信し、ONUは、前記暗号化マルチキャスト用暗号鍵を、自ONU(LLID)固有の秘密鍵で復号する。これにより、登録されているONUのみがマルチキャストフレームを復号できるようになり、ONUを識別するためのタグを別途設定することなく、容易な方法で、帯域を圧迫しないマルチキャスト通信を実現できる。さらに、マルチキャスト用暗号鍵の復号に必要な暗号鍵(秘密鍵)を受け渡す必要がないため、マルチキャスト送信されるデータの暗号化によるセキュリティの強化を行うことができる。   As described above, in the communication device according to the first embodiment of the present invention, the OLT 10 snoops the IGMP message, and based on the result of the snoop, the encrypted multicast encrypted with the public key unique to the registered ONU (LLID) The encryption key is transmitted, and the ONU decrypts the encrypted multicast encryption key with a secret key unique to the ONU (LLID). As a result, only registered ONUs can decode the multicast frame, and multicast communication that does not compress the bandwidth can be realized by an easy method without separately setting a tag for identifying the ONU. Furthermore, since it is not necessary to pass an encryption key (secret key) necessary for decrypting the multicast encryption key, security can be enhanced by encrypting data transmitted by multicast.

実施の形態2.
この発明の実施の形態2による局側通信装置は、1つのポートから複数のレポートメッセージを受信した場合には、最初に受信したレポートメッセージのみをSNIに送信するようにしているので、SNIの帯域利用を効率化することができるものである。 Embodiment 2. FIG.
Since the station side communication apparatus according to the second embodiment of the present invention receives a plurality of report messages from one port, it transmits only the first received report message to the SNI. The use can be made efficient.

図9において、IGMPを行うマルチキャストルータ61では、あるポートから1つでもレポートメッセージを受信すると、そのポートに対してデータ配信を行う。このため、OLT10で取り込んだすべてのレポートメッセージをSNI13に送信しても、2つ目以降のレポートメッセージはSNI13の帯域を浪費する無駄なメッセージとなってしまう。
そこで実施の形態2では、OLT10で複数のレポートメッセージを受信した場合には、最初に受信したレポートメッセージのみをSNI13に送信し、残りはOLT10から送信しないようにする。 In FIG. 9, when the multicast router 61 that performs IGMP receives even one report message from a certain port, it distributes data to that port. For this reason, even if all report messages captured by the OLT 10 are transmitted to the SNI 13, the second and subsequent report messages become useless messages that waste the bandwidth of the SNI 13.
Therefore, in the second embodiment, when a plurality of report messages are received by the OLT 10, only the first received report message is transmitted to the SNI 13, and the rest is not transmitted from the OLT 10.

この発明の実施の形態2における構成は、図6、図7、および図9に示す実施の形態1におけるものと同様である。ただし、IGMPメッセージの制御機能が異なる。
まずOLT10では、SNI13を介して受信する照会メッセージをスヌープする。照会メッセージには、(1)General Queryメッセージ、(2)Group Specific Queryメッセージ(IGMP V.2、V.3のみ)、(3)Group and Source Specific Queryメッセージ(IGMP V.3のみ)、という3種類がある。これらの照会メッセージ受信後の最初のレポートメッセージのみをSNI13に送信し、それ以降に受信するレポートメッセージは送信しないようにする。そして、図11に示すように、マルチキャスト管理テーブル21に、別途、レポート送信のフラグを設ける。このレポート送信のフラグはエントリごとに用意し、例えばレポートメッセージをSNI13に送信した時点で1を設定(送信済み)し、照会メッセージを受信した時点で0にクリア(未送信)する。 The configuration of the second embodiment of the present invention is the same as that of the first embodiment shown in FIG. 6, FIG. 7, and FIG. However, the IGMP message control function is different.
First, the OLT 10 snoops the inquiry message received via the SNI 13. Inquiry messages include: (1) General Query message, (2) Group Specific Query message (IGMP V.2, V.3 only), (3) Group and Source Specific Query message (IGMP V.3 only) There are types. Only the first report message after receiving these inquiry messages is transmitted to the SNI 13, and the report messages received thereafter are not transmitted. Then, as shown in FIG. 11, a separate report transmission flag is provided in the multicast management table 21. This report transmission flag is prepared for each entry. For example, 1 is set (transmitted) when a report message is transmitted to the SNI 13, and is cleared to 0 (not transmitted) when an inquiry message is received.

次に動作について説明する。OLT10では、レポートメッセージのスヌープに加えて、照会メッセージもスヌープする。SNI13から受信した照会メッセージをIGMPフィルタ部16においてスヌープする。具体的には、(1) IPパケットの宛先アドレスが224.0.0.1、またはマルチキャストアドレスであって、かつ(2) IPパケットにカプセル化されたIGMPメッセージ内Typeフィールドが0x11、というフィルタリング条件を満たすメッセージを照会メッセージとして取り込む。   Next, the operation will be described. OLT 10 snoops inquiry messages in addition to snooping report messages. The IGMP filter unit 16 snoops the inquiry message received from the SNI 13. Specifically, (1) IP packet destination address is 224.0.0.1 or multicast address, and (2) Type field in IGMP message encapsulated in IP packet is 0x11. As an inquiry message.

照会メッセージには、上記のように、General QueryメッセージとGroup Specific QueryメッセージとGroup and Source Specific Queryメッセージとがあり、IGMPフィルタ部16ではこのすべてに対応する。これらの照会メッセージのいずれかをOLT10が受信すると、General Queryメッセージの場合にはいずれかのマルチキャストグループに参加している全ONU30にメッセージを転送し、Group Specific QueryメッセージもしくはGroup and Source Specific Queryメッセージの場合にはGroup Addressフィールドに指定したマルチキャストグループに参入しているONU30にメッセージを転送する。ただしGroup and Source Specific Queryメッセージの場合、Number of Source ≠ 0でSource Addressを指定する。   As described above, the inquiry message includes a general query message, a group specific query message, and a group and source specific query message. The IGMP filter unit 16 handles all of these. When the OLT 10 receives one of these inquiry messages, in the case of a general query message, the message is forwarded to all ONUs 30 participating in any multicast group, and the group specific query message or group and source specific query message In this case, the message is transferred to the ONU 30 that has joined the multicast group specified in the Group Address field. However, in the case of a Group and Source Specific Query message, specify the Source Address with Number of Source ≠ 0.

その後、OLT10はONU30からのレポートメッセージをIGMP監視部22にて監視する。次の照会メッセージ受信までにレポートメッセージを送信しなかった加入者は、マルチキャスト通信から離脱したと判断し、マルチキャストテーブル15およびマルチキャスト管理テーブル21からその参入ポートを削除する。   Thereafter, the OLT 10 monitors the report message from the ONU 30 with the IGMP monitoring unit 22. The subscriber who has not transmitted the report message before receiving the next inquiry message determines that he / she has left the multicast communication, and deletes the entry port from the multicast table 15 and the multicast management table 21.

もし、すべてのONU30がマルチキャスト通信から離脱した場合には、マルチキャストテーブル15およびマルチキャスト管理テーブル21から、そのマルチキャスト通信についてのエントリを削除する。   If all the ONUs 30 have left the multicast communication, the entry for the multicast communication is deleted from the multicast table 15 and the multicast management table 21.

また、マルチキャスト用暗号鍵、および当該マルチキャスト用暗号鍵を暗号化・復号する公開鍵・秘密鍵の組合せは、IGMPスヌープの結果に基づいて所定のタイミングで更新する。   The multicast encryption key and the combination of the public key and the secret key for encrypting / decrypting the multicast encryption key are updated at a predetermined timing based on the result of the IGMP snoop.

このように実施の形態2によれば、IGMPを行うマルチキャストルータ61では、OLT10で複数のレポートメッセージを受信した場合、最初に受信したレポートメッセージのみをSNI13に送信し、SNI13の帯域を浪費する無駄なメッセージを送信しないようにしたので、帯域を有効に活用できる。また、OLT10はONU30のマルチキャストグループからの離脱をIGMPスヌープによってスヌープし、マルチキャスト用暗号鍵の更新を行うため、当該ONUはマルチキャストフレームを受信できなくなり、セキュリティ性が向上する。   As described above, according to the second embodiment, in the multicast router 61 that performs IGMP, when a plurality of report messages are received by the OLT 10, only the first received report message is transmitted to the SNI 13, and the bandwidth of the SNI 13 is wasted. Since it is not necessary to send a message, the bandwidth can be used effectively. In addition, since the OLT 10 snoops the departure of the ONU 30 from the multicast group using IGMP snoop and updates the multicast encryption key, the ONU cannot receive the multicast frame, and the security is improved.

実施の形態3.
この発明の実施の形態3による局側通信装置は、マルチキャストフレームを監視し、レポートメッセージが返ってこなかった場合にも、マルチキャストフレームが到着している間はエントリを削除せず、ブロードキャストデータ転送をしないようにしているので、PONの帯域利用を効率化することができるものである。 Embodiment 3 FIG.
The station side communication apparatus according to the third embodiment of the present invention monitors a multicast frame, and even when a report message is not returned, the station side communication apparatus does not delete the entry while the multicast frame arrives, and transmits the broadcast data. Therefore, the PON bandwidth can be used efficiently.

この発明の実施の形態3における構成は、図6、図7、および図9に示す実施の形態1におけるものと同様である。ただし、マルチキャストデータ転送の制御機能が異なる。   The configuration of the third embodiment of the present invention is the same as that of the first embodiment shown in FIG. 6, FIG. 7, and FIG. However, the control function of multicast data transfer is different.

マルチキャストルータ61は、一般的に、あるポートからレポートメッセージが返ってこなくなってもしばらくの間はマルチキャストデータを送信し続ける。実施の形態2における通信装置によれば、2回の照会周期内にレポートメッセージが返ってこなかった場合、OLT10はすぐにエントリを削除する。   In general, the multicast router 61 continues to transmit multicast data for a while even if a report message is not returned from a certain port. According to the communication apparatus in the second embodiment, if no report message is returned within two inquiry periods, the OLT 10 immediately deletes the entry.

ここで削除したエントリのマルチキャストデータが到着すると、OLT10ではこれをブロードキャストしてしまう。すなわち、マルチキャストテーブル15に登録されていないマルチキャストアドレスのフレームを廃棄するとGeneral Queryメッセージを転送することが出来なくなるため、未登録マルチキャストアドレスの場合はブロードキャストすることになる。その結果、本来は転送すべきではないマルチキャストデータを転送してしまい、PONの帯域を無駄に消費してしまう。したがって、このような場合、OLT10では、マルチキャストルータ61がデータ転送している間はエントリを削除せず、加入者側へのデータ転送をとめるのが望ましい。   When the multicast data of the entry deleted here arrives, the OLT 10 broadcasts it. That is, if a frame of a multicast address that is not registered in the multicast table 15 is discarded, the General Query message cannot be transferred, so that a broadcast is performed in the case of an unregistered multicast address. As a result, multicast data that should not be transferred is transferred, and PON bandwidth is wasted. Therefore, in such a case, in the OLT 10, it is desirable to stop the data transfer to the subscriber side without deleting the entry while the multicast router 61 is transferring the data.

このため、実施の形態3においては、OLT10のマルチキャスト監視部18において、参入ポートがなくなったマルチキャスト通信についてもマルチキャストフレームを監視することとし、図12に示すシーケンスのように、マルチキャストフレームが到着しなくなってからエントリを削除する。また、マルチキャストテーブル15やマルチキャスト管理テーブル21からのエントリ削除も、図13に示すように、マルチキャストフレームが到着しなくなってから行うこととする。   For this reason, in the third embodiment, the multicast monitoring unit 18 of the OLT 10 monitors the multicast frame even for the multicast communication in which the entry port disappears, and the multicast frame does not arrive as in the sequence shown in FIG. Then delete the entry. Further, it is assumed that the entry deletion from the multicast table 15 and the multicast management table 21 is performed after the multicast frame does not arrive as shown in FIG.

また、マルチキャスト用暗号鍵、および当該マルチキャスト用暗号鍵を暗号化・復号する公開鍵・秘密鍵の組合せは、IGMPスヌープの結果に基づいて所定のタイミングで更新する。   The multicast encryption key and the combination of the public key and the secret key for encrypting / decrypting the multicast encryption key are updated at a predetermined timing based on the result of the IGMP snoop.

このように実施の形態3によれば、OLT10は、マルチキャストルータ61がデータ転送している間はエントリを削除せず、加入者側へのブロードキャストデータ転送をしないようにするため、PONの帯域を有効に活用できる。また、OLT10はONU30のマルチキャストグループからの離脱をIGMPスヌープによってスヌープし、マルチキャスト用暗号鍵の更新を行うため、当該ONUはマルチキャストフレームを受信できなくなり、セキュリティ性が向上する。   As described above, according to the third embodiment, the OLT 10 does not delete the entry while the multicast router 61 is transferring data, and does not delete the broadcast data to the subscriber side. Can be used effectively. In addition, since the OLT 10 snoops the departure of the ONU 30 from the multicast group using IGMP snoop and updates the multicast encryption key, the ONU cannot receive the multicast frame, and the security is improved.

実施の形態4.
この発明の実施の形態3による局側通信装置は、加入者側から離脱メッセージを受信した場合にも、照会メッセージを数回出し、応答なく一定時間経過するまではエントリを削除せず、ブロードキャストデータ転送をしないようにしているので、PONの帯域利用を効率化することができるものである。 Embodiment 4 FIG.
The station side communication device according to the third embodiment of the present invention issues an inquiry message several times even when a withdrawal message is received from the subscriber side, and does not delete the entry until a certain period of time elapses without a response. Since the transmission is not performed, it is possible to make efficient use of PON bandwidth.

この発明の実施の形態3における構成は、図6、図7、および図9に示す実施の形態1におけるものと同様である。ただし、マルチキャストデータ転送の制御機能が異なる。   The configuration of the third embodiment of the present invention is the same as that of the first embodiment shown in FIG. 6, FIG. 7, and FIG. However, the control function of multicast data transfer is different.

IGMP V.2では、前述したように、加入者が離脱を示す離脱メッセージを送信する。実施の形態4においては、OLT10ではこの離脱メッセージをIGMPフィルタ部16においてスヌープする。具体的には、(1)IPパケットの宛先アドレスが224.0.0.2であって、かつ(2)IPパケットにカプセル化されたIGMPメッセージ内Typeフィールドが0x17、というフィルタリング条件を満たすメッセージを離脱メッセージとして取り込む。   In IGMP V.2, as described above, the subscriber sends a leave message indicating the withdrawal. In the fourth embodiment, the OLT 10 snoops this leave message in the IGMP filter unit 16. Specifically, a message that satisfies the filtering condition that (1) the destination address of the IP packet is 224.0.0.2 and (2) the Type field in the IGMP message encapsulated in the IP packet is 0x17 is used as a leave message. take in.

ここで図14に示すように、OLT10では離脱メッセージを受信すると、メッセージを送信したONU30に対してそのマルチキャストアドレスを指定した照会メッセージを数回出し、応答がなければ一定時間経過後に、そのONU30はマルチキャストグループから離脱したと判断し、マルチキャストテーブル15およびマルチキャスト管理テーブル21からその参入ポートを削除する。   Here, as shown in FIG. 14, when the OLT 10 receives the leave message, it sends out an inquiry message specifying the multicast address to the ONU 30 that sent the message several times. If there is no response, the ONU 30 It is determined that the group has left the multicast group, and the entry port is deleted from the multicast table 15 and the multicast management table 21.

もし、すべてのONU30がマルチキャスト通信から離脱した場合には、マルチキャストテーブル15およびマルチキャスト管理テーブル21から、そのマルチキャスト通信についてのエントリを削除する。   If all the ONUs 30 have left the multicast communication, the entry for the multicast communication is deleted from the multicast table 15 and the multicast management table 21.

また、マルチキャスト用暗号鍵、および当該マルチキャスト用暗号鍵を暗号化・復号する公開鍵・秘密鍵の組合せは、IGMPスヌープの結果に基づいて所定のタイミングで更新する。   The multicast encryption key and the combination of the public key and the secret key for encrypting / decrypting the multicast encryption key are updated at a predetermined timing based on the result of the IGMP snoop.

このように実施の形態4によれば、OLT10は、加入者側から離脱メッセージを受信した場合にも、照会メッセージを数回出し、応答なく一定時間経過するまではエントリを削除せず、加入者側へのブロードキャストデータ転送をしないようにするため、PONの帯域を有効に活用できる。また、OLT10はONU30のマルチキャストグループからの離脱をIGMPスヌープによってスヌープし、マルチキャスト用暗号鍵の更新を行うため、当該ONUはマルチキャストフレームを受信できなくなり、セキュリティ性が向上する。   As described above, according to the fourth embodiment, even when the OLT 10 receives a leaving message from the subscriber side, the OLT 10 issues an inquiry message several times and does not delete the entry until a predetermined time elapses without a response. PON bandwidth can be used effectively so that broadcast data is not transferred to the other side. In addition, since the OLT 10 snoops the departure of the ONU 30 from the multicast group using IGMP snoop and updates the multicast encryption key, the ONU cannot receive the multicast frame, and the security is improved.

実施の形態5.
この発明の実施の形態5による加入者側通信装置は、どのUNIからレポートメッセージを受信したかを記憶しておくようにしているので、実際にマルチキャスト通信に参入しているUNIに対してのみ、データ配信することができるものである。 Embodiment 5. FIG.
Since the subscriber side communication device according to the fifth embodiment of the present invention stores the UNI from which the report message is received, only for the UNI actually entering the multicast communication, Data can be distributed.

この発明の実施の形態5における構成は、図6、図7、および図9に示す実施の形態1におけるものと同様である。ただし、マルチキャストデータ転送の制御機能が異なる。   The configuration of the fifth embodiment of the present invention is the same as that of the first embodiment shown in FIGS. 6, 7, and 9. However, the control function of multicast data transfer is different.

ONU30が複数のUNIすなわち加入者ポートを収容している場合、あらかじめUNIごとに論理リンクを設定しておく。   When the ONU 30 accommodates a plurality of UNIs, that is, subscriber ports, a logical link is set for each UNI in advance.

ONU30は、あるUNIからレポートメッセージを受信すると、そのUNIに対応した論理ポートからレポートメッセージをOLT10に通知する。ONU30では、どのUNIからレポートメッセージを受信したかを記憶しておき、この記憶データに基づいて、受信したマルチキャストデータを、レポートメッセージを受信したUNI、すなわち実際に参入しているUNIに転送する。   When the ONU 30 receives a report message from a certain UNI, the ONU 30 notifies the OLT 10 of the report message from the logical port corresponding to the UNI. The ONU 30 stores the UNI from which the report message is received, and based on the stored data, transfers the received multicast data to the UNI that has received the report message, that is, the UNI that has actually entered the report message.

このように実施の形態5によれば、複数のUNIを収容するONUにおいても、実際にマルチキャスト通信に参入しているUNIに対してのみ、データ配信が可能となる。   As described above, according to the fifth embodiment, even in an ONU that accommodates a plurality of UNIs, data can be distributed only to UNIs that have actually entered multicast communication.

なお、上述のように、この発明の実施の形態1〜5では、マルチキャストグループの管理がIGMPを用いて行われる場合を示したが、マルチキャストグループの管理の方法がこれに限られるものではない。   As described above, in Embodiments 1 to 5 of the present invention, the case where the management of the multicast group is performed using IGMP is shown, but the method of managing the multicast group is not limited to this.

また、この発明の実施の形態1〜5では、Ethernet(登録商標)のフレームを用いる場合を示したが、フレーム形式がこれに限られるものでなく、パケット通信に対応したものであれば良い。   In the first to fifth embodiments of the present invention, the case where an Ethernet (registered trademark) frame is used has been described. However, the frame format is not limited to this, and any frame compatible with packet communication may be used.

また、この発明の実施の形態1〜5では、PONシステムに適用する場合を示したが、適用システムがこれに限られるものでないことは言うまでもなく、特定のグループに属する通信装置がマルチキャスト送信を受けるものであれば、光や電気の有線通信や、無線通信等どのようなシステムにも適用可能である。   In the first to fifth embodiments of the present invention, the case where the present invention is applied to the PON system has been described. Needless to say, the application system is not limited to this, and communication devices belonging to a specific group receive multicast transmission. Any system such as optical or electrical wired communication or wireless communication can be used.

この発明の実施の形態1による通信装置を用いるネットワークシステムを示す構成図1 is a configuration diagram showing a network system using a communication apparatus according to Embodiment 1 of the present invention. この発明の実施の形態1による通信装置を示す構成図Configuration diagram showing a communication apparatus according to Embodiment 1 of the present invention この発明の実施の形態1による通信装置を示す構成図Configuration diagram showing a communication apparatus according to Embodiment 1 of the present invention この発明の実施の形態1による通信装置を説明するための説明図Explanatory drawing for demonstrating the communication apparatus by Embodiment 1 of this invention この発明の実施の形態1による通信装置を説明するための説明図Explanatory drawing for demonstrating the communication apparatus by Embodiment 1 of this invention この発明の実施の形態1による通信装置を示す構成図Configuration diagram showing a communication apparatus according to Embodiment 1 of the present invention この発明の実施の形態1による通信装置を説明するための説明図Explanatory drawing for demonstrating the communication apparatus by Embodiment 1 of this invention この発明の実施の形態1による通信装置を示す構成図Configuration diagram showing a communication apparatus according to Embodiment 1 of the present invention この発明の実施の形態1による通信装置を用いるネットワークシステムを示す構成図1 is a configuration diagram showing a network system using a communication apparatus according to Embodiment 1 of the present invention. この発明の実施の形態1による通信装置を説明するための説明図Explanatory drawing for demonstrating the communication apparatus by Embodiment 1 of this invention この発明の実施の形態2による通信装置を説明するための説明図Explanatory drawing for demonstrating the communication apparatus by Embodiment 2 of this invention この発明の実施の形態3による通信装置を説明するための説明図Explanatory drawing for demonstrating the communication apparatus by Embodiment 3 of this invention この発明の実施の形態4による通信装置を説明するための説明図Explanatory drawing for demonstrating the communication apparatus by Embodiment 4 of this invention この発明の実施の形態4による通信装置を説明するための説明図Explanatory drawing for demonstrating the communication apparatus by Embodiment 4 of this invention

符号の説明Explanation of symbols

10 局側通信装置
16 IGMPフィルタ部
17 データ暗号化部
19 マルチキャスト用暗号鍵生成部
20 マルチキャスト用暗号鍵暗号化部
30 加入者側通信装置
36 IGMPフィルタ部
38 データ復号部
39 公開鍵・秘密鍵生成部
40 マルチキャスト用暗号鍵復号部 DESCRIPTION OF SYMBOLS 10 Station side communication apparatus 16 IGMP filter part 17 Data encryption part 19 Multicast encryption key generation part 20 Multicast encryption key encryption part 30 Subscriber side communication apparatus 36 IGMP filter part 38 Data decryption part 39 Public key / secret key generation 40 Encryption key decryption unit for multicast

Claims (9)

自通信装置に固有の公開鍵を生成するとともに、この公開鍵と対となる秘密鍵を生成する公開鍵・秘密鍵生成部と、
前記公開鍵・秘密鍵生成部で生成された秘密鍵を用いて、前記自通信装置に固有の公開鍵で暗号化されたマルチキャスト用暗号鍵を復号するマルチキャスト用暗号鍵復号部と、
前記マルチキャスト用暗号鍵復号部で復号されたマルチキャスト用暗号鍵を用いて、受信されたマルチキャストデータを復号するデータ復号部と、
を備えたことを特徴とする通信装置。 A public key unique to the communication device, and a public key / secret key generation unit that generates a private key paired with the public key;
A multicast encryption key decryption unit for decrypting a multicast encryption key encrypted with a public key unique to the own communication device, using a secret key generated by the public key / secret key generation unit;
A data decryption unit for decrypting the received multicast data using the multicast encryption key decrypted by the multicast encryption key decryption unit;
A communication apparatus comprising: マルチキャスト用制御メッセージを用いてマルチキャスト送信を要求するマルチキャスト送信要求部と、
を備えたことを特徴とする請求項1に記載の通信装置。 A multicast transmission request unit for requesting multicast transmission using a multicast control message;
The communication apparatus according to claim 1, further comprising: 前記公開鍵・秘密鍵生成部は、公開鍵および秘密鍵を所定のタイミングで更新することを特徴とする請求項1に記載の通信装置。   The communication apparatus according to claim 1, wherein the public key / secret key generation unit updates the public key and the secret key at a predetermined timing. マルチキャスト送信されるマルチキャストデータを暗号化するためのマルチキャスト用暗号鍵を生成するマルチキャスト用暗号鍵生成部と、
前記マルチキャスト用暗号鍵生成部で生成されたマルチキャスト用暗号鍵を用いて、前記マルチキャストデータを暗号化するデータ暗号化部と、
前記マルチキャストデータを受信する各通信装置に固有の公開鍵を用いて、前記マルチキャスト用暗号鍵生成部で生成されたマルチキャスト用暗号鍵を暗号化するマルチキャスト用暗号鍵暗号化部と、
を備えたことを特徴とする通信装置。 A multicast encryption key generation unit for generating a multicast encryption key for encrypting multicast data to be transmitted by multicast; and
A data encryption unit that encrypts the multicast data using the multicast encryption key generated by the multicast encryption key generation unit;
A multicast encryption key encryption unit that encrypts the multicast encryption key generated by the multicast encryption key generation unit, using a public key unique to each communication device that receives the multicast data;
A communication apparatus comprising: マルチキャスト用制御メッセージを用いてマルチキャスト送信先を決定するマルチキャスト送信先決定部と、
を備えたことを特徴とする請求項4に記載の通信装置。 A multicast destination determination unit that determines a multicast destination using a multicast control message;
The communication apparatus according to claim 4, further comprising: 前記マルチキャスト用暗号鍵生成部は、マルチキャスト用暗号鍵を所定のタイミングで更新することを特徴とする請求項4に記載の通信装置。   The communication apparatus according to claim 4, wherein the multicast encryption key generation unit updates the multicast encryption key at a predetermined timing. 各通信装置に固有の公開鍵を生成するとともに、この公開鍵と対となる秘密鍵を前記各通信装置内で生成する公開鍵・秘密鍵生成ステップと、
前記公開鍵・秘密鍵生成ステップで生成された秘密鍵を用いて、前記各通信装置に固有の公開鍵で暗号化されたマルチキャスト用暗号鍵を前記各通信装置内で復号するマルチキャスト用暗号鍵復号ステップと、
前記マルチキャスト用暗号鍵復号ステップで復号されたマルチキャスト用暗号鍵を用いて、前記各通信装置で受信されたマルチキャストデータを復号するマルチキャストデータ復号ステップと、
を備えたことを特徴とする通信方法。 Generating a public key unique to each communication device, and generating a private key paired with this public key within each communication device;
Multicast encryption key decryption for decrypting a multicast encryption key encrypted with a public key unique to each communication device using the secret key generated in the public key / secret key generation step within each communication device Steps,
A multicast data decryption step for decrypting multicast data received by each communication device using the multicast encryption key decrypted in the multicast encryption key decryption step;
A communication method comprising: マルチキャスト送信されるマルチキャストデータを暗号化するためのマルチキャスト用暗号鍵を生成するマルチキャスト用暗号鍵生成ステップと、
前記マルチキャスト用暗号鍵生成ステップで生成されたマルチキャスト用暗号鍵を用いて、前記マルチキャストデータを暗号化するマルチキャストデータ暗号化ステップと、
前記マルチキャストデータ暗号化ステップで暗号化されたマルチキャストデータを受信する各通信装置に固有の公開鍵を用いて、前記マルチキャスト用暗号鍵生成ステップで生成されたマルチキャスト用暗号鍵を暗号化するマルチキャスト用暗号鍵暗号化ステップと、
を備えたことを特徴とする通信方法。 A multicast encryption key generating step for generating a multicast encryption key for encrypting multicast data transmitted by multicast; and
A multicast data encryption step for encrypting the multicast data using the multicast encryption key generated in the multicast encryption key generation step;
A multicast cipher that encrypts the multicast encryption key generated in the multicast encryption key generation step using a public key unique to each communication device that receives the multicast data encrypted in the multicast data encryption step A key encryption step;
A communication method comprising: 請求項7または請求項8に記載の通信方法を電子計算機に実行させるプログラム。   A program for causing an electronic computer to execute the communication method according to claim 7 or 8.
JP2005055978A 2005-03-01 2005-03-01 Communication apparatus, communication method, and program Pending JP2006245778A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005055978A JP2006245778A (en) 2005-03-01 2005-03-01 Communication apparatus, communication method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005055978A JP2006245778A (en) 2005-03-01 2005-03-01 Communication apparatus, communication method, and program

Publications (1)

Publication Number Publication Date
JP2006245778A true JP2006245778A (en) 2006-09-14

Family

ID=37051743

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005055978A Pending JP2006245778A (en) 2005-03-01 2005-03-01 Communication apparatus, communication method, and program

Country Status (1)

Country Link
JP (1) JP2006245778A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006295341A (en) * 2005-04-06 2006-10-26 Ntt Communications Kk Device for distributing encryption key, and program thereof
JP2007074168A (en) * 2005-09-05 2007-03-22 Mitsubishi Electric Corp Station-side device, subscriber-side device, communication system, communication method, and program making computer implement same method

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006295341A (en) * 2005-04-06 2006-10-26 Ntt Communications Kk Device for distributing encryption key, and program thereof
JP4694240B2 (en) * 2005-04-06 2011-06-08 エヌ・ティ・ティ・コミュニケーションズ株式会社 Encryption key distribution apparatus and program thereof
JP2007074168A (en) * 2005-09-05 2007-03-22 Mitsubishi Electric Corp Station-side device, subscriber-side device, communication system, communication method, and program making computer implement same method

Similar Documents

Publication Publication Date Title
JP4693518B2 (en) Multicast communication apparatus and PON system using the same
JP2004343243A (en) Multicast communication system and station side device in pon system
KR100523357B1 (en) Key management device and method for providing security service in epon
US8280055B2 (en) Optical network system and method of changing encryption keys
JP3805329B2 (en) Security data transmission method in Ethernet (registered trademark) passive optical network system
CN105610590B (en) A kind of multicast message transmission method and device
CN101102152B (en) Method for guaranteeing data security in passive optical network
WO2013177736A1 (en) Optical network terminal management control interface message transmission method and system, and corresponding device
KR101298813B1 (en) The Method and Apparatus of Multicast Port Identifier Filtering in Gigabit-capable Passive Optical Network
WO2011026335A1 (en) Method and apparatus for processing broadcast packet/multicast control message
JP4685659B2 (en) Station side device, subscriber side device and PON system
JP4889984B2 (en) Communication system and communication method
WO2021259189A1 (en) Multicast message processing method, olt device, onu device and computer-readable storage medium
WO2014101185A1 (en) Method, apparatus and system for detecting performance of multicast channel
JP2007158962A (en) Pon system
JP3986956B2 (en) Parent station, slave station, communication system, communication program, and computer-readable recording medium recording the communication program
JP2006245778A (en) Communication apparatus, communication method, and program
JP2004260556A (en) Station-side apparatus, subscriber-side apparatus, communication system, and encryption key notifying method
CN102149026A (en) Multicast realizing method and system
CN101547086A (en) Method, system and device for broadband access network multicast control
EP2066073B1 (en) Access system and method for multicast management
WO2008141505A1 (en) Multicast method and its device for gigabit passive optical network system
CN100391202C (en) Method and apparatus for realizing multicast in shared media network
WO2014166186A1 (en) Method, apparatus and system for multicast service transfer between fiber and copper cable
WO2012097601A1 (en) Method, system and device for distributing safely a multicast key