JP2006245778A - Communication apparatus, communication method, and program - Google Patents
Communication apparatus, communication method, and program Download PDFInfo
- Publication number
- JP2006245778A JP2006245778A JP2005055978A JP2005055978A JP2006245778A JP 2006245778 A JP2006245778 A JP 2006245778A JP 2005055978 A JP2005055978 A JP 2005055978A JP 2005055978 A JP2005055978 A JP 2005055978A JP 2006245778 A JP2006245778 A JP 2006245778A
- Authority
- JP
- Japan
- Prior art keywords
- multicast
- encryption key
- key
- data
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
この発明は、特定のグループに属する通信装置の通信技術に関するものである。 The present invention relates to a communication technology of communication devices belonging to a specific group.
従来のアクセス系ネットワークとして、E-PON ( Ethernet(登録商標) - Passive Optical Network ) システムが知られている(例えば特許文献1参照)。このEPONシステムは、複数の加入者側通信装置 ( ONU : Optical Network Unit ) と局側通信装置 ( OLT : Optical Line Terminal ) がスターカプラを介して光ファイバケーブルで接続され、PONシステムにEthernet(登録商標)サービスを透過的に収容するものである。OLTは通信網事業者局に設置され、ONUは加入者の宅内や屋外に設置される。ONUは1〜複数の加入者端末を収容する。
特許文献1においては、E-PONシステムでは、下りトラヒックは全ての端末が受信できることから下り信号に対して暗号が必要で、VLAN ( Virtual Local Area Network ) 機能を考慮すると、ユニキャスト(1つのONUにデータ伝送するもの)、マルチキャスト(特定のグループに属する1つまたは複数のONUにデータ伝送するもの)に個別の暗号が必要であることが開示されている。さらに、特許文献1においては、E-PONシステムにおけるマルチキャスト用暗号鍵の通知方法として、OLTが、マルチキャスト用暗号鍵を各ONUに固有のユニキャスト用暗号鍵で暗号化して送信し、各ONUが、受信した暗号化マルチキャスト用暗号鍵を各ONUに固有のユニキャスト用暗号鍵で復号するものが開示されている。
As a conventional access network, an E-PON (Ethernet (registered trademark) -Passive Optical Network) system is known (see, for example, Patent Document 1). In this EPON system, multiple subscriber-side communication devices (ONU: Optical Network Unit) and station-side communication devices (OLT: Optical Line Terminal) are connected via an optical fiber cable via a star coupler, and Ethernet (registered) Trademark) service is transparently accommodated. The OLT is installed in the network operator station, and the ONU is installed in the subscriber's home or outdoors. The ONU accommodates one to a plurality of subscriber terminals.
In
特許文献1に開示された従来の通信装置においては、各加入者側通信装置からユニキャスト用暗号鍵を局側通信装置に送信するので、このときにマルチキャスト用暗号鍵の復号にも使用されるユニキャスト用暗号鍵が漏洩する可能性があるという問題点があった。
In the conventional communication device disclosed in
この発明は、上述のような課題を解決するためになされたもので、通信装置において、マルチキャスト送信されるデータの暗号化によるセキュリティの強化を目的としている。 The present invention has been made to solve the above-described problems, and aims to enhance security by encrypting data transmitted by multicast in a communication apparatus.
この発明に係る通信装置は、自通信装置に固有の公開鍵を生成するとともに、この公開鍵と対となる秘密鍵を生成する公開鍵・秘密鍵生成部と、前記公開鍵・秘密鍵生成部で生成された秘密鍵を用いて、前記自通信装置に固有の公開鍵で暗号化されたマルチキャスト用暗号鍵を復号するマルチキャスト用暗号鍵復号部と、前記マルチキャスト用暗号鍵復号部で復号されたマルチキャスト用暗号鍵を用いて、受信されたマルチキャストデータを復号するデータ復号部と、を備えたものである。
The communication device according to the present invention generates a public key unique to the communication device, and generates a secret key that is paired with the public key, and the public key / secret key generation unit The multicast encryption key decryption unit for decrypting the multicast encryption key encrypted with the public key unique to the communication device using the secret key generated in
この発明は、通信装置において、マルチキャスト送信されるデータの暗号化によるセキュリティの強化を行うことができる。 According to the present invention, security can be enhanced by encrypting data transmitted by multicast in a communication device.
この発明の実施の形態を説明する前に、本発明が適用されるIGMP ( Internet Group Management Protocol ) およびGE-PON ( Gigabit Ethernet(登録商標) - Passive Optical Network ) システムについて説明する。 Before describing the embodiment of the present invention, an Internet Group Management Protocol (IGMP) and a Gigabit Ethernet (registered trademark) -Passive Optical Network (GE-PON) system to which the present invention is applied will be described.
IP ( Internet Protocol ) 通信におけるマルチキャストの実現方法として、IGMPを用いる方法がある。IGMPは、IPマルチキャストグループの管理に使用されるプロトコルであり、マルチキャストをサポートするマルチキャストルータとマルチキャストパケットを受信するホストによって使用される。その動作は次の通りである。 As a method for realizing multicast in IP (Internet Protocol) communication, there is a method using IGMP. IGMP is a protocol used to manage IP multicast groups, and is used by multicast routers that support multicast and hosts that receive multicast packets. The operation is as follows.
マルチキャストルータは、定期的に照会メッセージ(Queryメッセージ)をマルチキャスト送信し、各ホストからのレポートメッセージ(Reportメッセージ)の有無でメンバーを把握する。ホストは、グループに参加するとき、または照会メッセージへの応対として、レポートメッセージを返信する。ホストがグループから離脱するとき、離脱メッセージ(Leaveメッセージ)を通知する。なお、IGMPにはV.1〜V.3があり、V.1では、離脱メッセージは存在せず、ホストがグループから離脱する場合は、レポートメッセージを返送しないだけである。 A multicast router periodically multicasts a query message (Query message), and grasps members by the presence or absence of a report message (Report message) from each host. The host returns a report message when joining the group or in response to an inquiry message. When the host leaves the group, a leave message is notified. There are V.1 to V.3 in IGMP. In V.1, there is no leave message, and when the host leaves the group, it does not return a report message.
一方、GE-PONシステムでは、OLTにブリッジ機能を実装し、ブリッジポートとして論理ポートを適用する。一般的なブリッジは、物理ポートを単位としたスイッチングを行うが、複数のONUで1つの伝送路を共有するPONシステムにおいてONU間通信を行う場合、ブリッジにおいて、ONUごとのポートを意識させる必要がある。さらにONUが複数のユーザ間インタフェース(UNI:User Network Interface)を収容する場合、ONUのUNI間通信を行うには、ブリッジにおいて、UNIごとのポートを意識させる必要がある。このようなONUごとあるいはUNIごとのポートのことを論理ポートと呼ぶ。論理ポートはOLTとONUに存在し、この間を接続する網を論理リンクと呼ぶ。 On the other hand, in the GE-PON system, a bridge function is implemented in the OLT and a logical port is applied as a bridge port. A general bridge performs switching in units of physical ports. However, when performing communication between ONUs in a PON system that shares one transmission path with multiple ONUs, it is necessary to make the bridge aware of the ports for each ONU. is there. Furthermore, when ONU accommodates a plurality of user interface (UNI), in order to perform communication between UNIs of ONU, it is necessary to make the bridge aware of the port for each UNI. Such a port for each ONU or UNI is called a logical port. A logical port exists in OLT and ONU, and a network connecting between them is called a logical link.
論理リンクは、PONで固有の識別子であるLLID ( Logical Link Identifier ) により識別される。LLIDはOLTで選択され、ONUに通知される。LLIDは、MAC ( Media Access Control ) フレームのプリアンブルに定義されており、16ビット構成である。ブロードキャスト用プリアンブルは、この値がすべて1で定義されている。 A logical link is identified by LLID (Logical Link Identifier) which is a unique identifier in PON. LLID is selected by OLT and notified to ONU. The LLID is defined in the preamble of a MAC (Media Access Control) frame and has a 16-bit configuration. This value is defined as 1 for all broadcast preambles.
実施の形態1.
この発明の実施の形態1による通信装置は、局側通信装置が、マルチキャスト用暗号鍵を各加入者側通信装置に固有の公開鍵により暗号化して送信し、各加入者側通信装置が、受信した暗号化マルチキャスト用暗号鍵を、各加入者側通信装置で保持されている秘密鍵により復号するようにしているので、マルチキャスト用暗号鍵の復号に必要な暗号鍵を送信する必要がないため、マルチキャストデータの暗号化によるセキュリティの強化を行うことができるものである。
In the communication apparatus according to
図1はこの発明の実施の形態1による通信装置を用いるネットワークシステムを示す構成図である。
図1において、1は光ファイバケーブル、2はスターカプラ、10は局側通信装置 ( OLT : Optical Line Terminal )、30は加入者側通信装置 ( ONU : Optical Network Unit )である。ここで、ONU#1とONU#2はマルチキャストグループ#1に属し、ONU#3はマルチキャストグループ#2に属している。
1 is a block diagram showing a network system using a communication device according to
In FIG. 1, 1 is an optical fiber cable, 2 is a star coupler, 10 is a station side communication device (OLT: Optical Line Terminal), and 30 is a subscriber side communication device (ONU: Optical Network Unit). Here, ONU # 1 and ONU # 2 belong to
図2はこの発明の実施の形態1による局側通信装置を示す構成図である。
図2において、OLT10は、IGMPスヌープを行うマルチキャスト送信先決定部としてのIGMPフィルタ部16と、データを暗号化するデータ暗号化部17と、マルチキャスト用暗号鍵を生成するマルチキャスト用暗号鍵生成部19と、このマルチキャスト用暗号鍵を暗号化するマルチキャスト用暗号鍵暗号化部20とを備えている。
2 is a block diagram showing a station side communication apparatus according to
In FIG. 2, the OLT 10 includes an IGMP
図3はこの発明の実施の形態1による加入者側通信装置を示す構成図である。
図3において、ONU30は、IGMPスヌープのスヌープ結果に対応するマルチキャスト送信要求部としてのIGMPフィルタ部36と、データを復号するデータ復号部38と、マルチキャスト用暗号鍵を暗号化するための公開鍵と、この公開鍵に対応する秘密鍵を生成する公開鍵・秘密鍵生成部39と、暗号化マルチキャスト用暗号鍵を復号するマルチキャスト用暗号鍵復号部40とを備え、IGMPスヌープした結果に応じて、OLT10と複数のONU30の間で、MACフレームの送受信により暗号通信を行う。IGMPスヌープするためのフィルタリング条件は後述する。
FIG. 3 is a block diagram showing a subscriber side communication apparatus according to
In FIG. 3, the ONU 30 includes an
図4は2つのONUが同一のマルチキャストグループに登録されている場合のマルチキャスト用暗号鍵の通知シーケンスを示し、図5は2つのONUが同一のマルチキャストグループに登録されていない場合のマルチキャスト用暗号鍵の通知シーケンスを示すものである。OLT10は、ONU30が登録されているマルチキャストグループをIGMPスヌープし、スヌープ結果に基づいて暗号化マルチキャスト用暗号鍵を、同一のマルチキャストグループに登録されているONU30に送信する。 FIG. 4 shows a multicast encryption key notification sequence when two ONUs are registered in the same multicast group, and FIG. 5 shows a multicast encryption key when two ONUs are not registered in the same multicast group. The notification sequence is shown. The OLT 10 IGMP snoops the multicast group in which the ONU 30 is registered, and transmits the encrypted multicast encryption key to the ONU 30 registered in the same multicast group based on the snoop result.
このような構成の通信装置においては、ONU30の公開鍵・秘密鍵生成部39で生成され、ONU30内に保持されている秘密鍵により、ONU30のマルチキャスト用暗号鍵復号部40で暗号化マルチキャスト用暗号鍵を復号するようにしているので、マルチキャスト用暗号鍵の復号に必要な暗号鍵(この場合は秘密鍵)を受け渡す必要がないため、マルチキャスト送信されるデータの暗号化によるセキュリティの強化を行うことができる。
In the communication device having such a configuration, the ONU 30 public key / secret
以下にさらに詳細に説明する。
図6は、この発明の実施の形態1による局側通信装置を示す構成図である。
図6において、OLT10は、スプリッタを介して1つ以上のONU(加入者側装置)を収容するPONインタフェース( PON-IF : Passive Optical Network - Interface ) 11と、MACフレームのスイッチングを行うレイヤ2スイッチ( L2SW : Layer 2 Switch ) 12と、IP網への接続を行うサービスノードインタフェース( SNI : Service Node Interface ) 13と、CPU ( Central Processing Unit ) 14とを備えている。
This will be described in more detail below.
FIG. 6 is a block diagram showing a station side communication apparatus according to
In FIG. 6, an OLT 10 includes a PON interface (PON-IF: Passive Optical Network-Interface) 11 that accommodates one or more ONUs (subscriber side devices) via a splitter, and a
レイヤ2スイッチ12は、ユニキャストフレームだけでなく、マルチキャストフレームのスイッチングを行うためのマルチキャストテーブル15を具備する。マルチキャストテーブル15は、図7に示すように、例えば、宛先MACアドレス(マルチキャストアドレス)50と、転送先PONポート51の組を管理する。レイヤ2スイッチ12はこのマルチキャストテーブル15に従って、転送先PONポートを識別する。
The
また、レイヤ2スイッチ12は、PONからのマルチキャスト用IPプロトコルとしてIGMPのReportメッセージ(以下、レポートメッセージという)、Leaveメッセージ(以下、離脱メッセージという)、およびSNI13を介したデータ配信サーバ(後述する)からのIGMP Queryメッセージ(以下、照会メッセージという)をスヌープするためのIGMPフィルタ部16を具備する。これらのメッセージをスヌープするためのフィルタリング条件は後述する。
The
OLT10のPONインタフェース11は、下り(OLTからONUへの通信方向)データを暗号化するデータ暗号化部17を具備する。SNI13は、マルチキャストフレームの受信監視を行うマルチキャスト監視部18を具備する。
The
OLT10のCPU14は、マルチキャスト用暗号鍵を生成するマルチキャスト用暗号鍵生成部19と、この暗号鍵を上記ONU(LLID)固有の公開鍵で暗号化するマルチキャスト用暗号鍵暗号化部20を具備するとともに、マルチキャストアドレス/参入ポート(レポートメッセージが到着した物理ポート)/ONU(LLID)/ONU(LLID)固有のマルチキャスト用暗号鍵の暗号化用公開鍵/IGMPスヌーピングテーブル情報/ユニキャスト、マルチキャスト用暗号鍵の組合せを記憶するマルチキャスト管理テーブル21を管理する。また、CPU14はPONからのレポートメッセージ受信を監視するIGMP監視部22、PON上の論理リンクを制御する論理リンク制御部23を具備し、PONポートごとのLLID値の使用状況を管理するLLID管理テーブル24を管理する。
The
OLT10は、IGMPスヌープの結果と照らし合わせ、マルチキャストグループに登録しているすべてのONU30に対して上記暗号化マルチキャスト用暗号鍵を生成し、すべての暗号化マルチキャスト用暗号鍵をフレームに格納して、当該ONUに配信する。前記暗号化マルチキャスト用暗号鍵を格納したフレームは、プリアンブルにFlagを立てることにより、当該フレーム以外のフレームと識別する。また、PON区間に送出されるフレームはユニキャスト、マルチキャストの区別なく暗号処理が施されるため、これらの違いもMACフレームのプリアンブルにFlagを立てることにより識別する。
OLT10 compares the result of IGMP snoop, generates the above encryption multicast encryption key for all
図8はこの発明の実施の形態1による加入者側通信装置を示す構成図である。
図8において、ONU30は、スプリッタを介してOLTと接続するPONインタフェース (PON-IF ) 31と、MACフレームのスイッチングを行うレイヤ2スイッチ ( L2SW ) 32と、加入者端末との接続を行うUNI33と、CPU34とを備えている。
FIG. 8 is a block diagram showing a subscriber side communication apparatus according to
In FIG. 8, the
ONU30のレイヤ2スイッチ32は、フィルタリングの際に参照するMACアドレスの学習内容を管理するMACアドレステーブル35を具備する。またレイヤ2スイッチ32は、PONからのIGMPのレポートメッセージ、離脱メッセージ、および照会メッセージに対応するIGMPフィルタ部36を具備する。
The
ONU30のPONインタフェース31は、マルチキャストフレームの受信監視と暗号化マルチキャスト用暗号鍵格納フレームの受信監視を行うマルチキャスト監視部37と、データを復号するデータ復号部38を具備する。
The
ONU30のCPU34は、マルチキャスト用暗号鍵を暗号化するための公開鍵と、この公開鍵に対応する秘密鍵を生成する公開鍵・秘密鍵生成部39と、暗号化マルチキャスト用暗号鍵を当該ONU(LLID)固有の秘密鍵で復号するマルチキャスト用暗号鍵復号部40を具備するとともに、マルチキャストアドレス/LLID値/ONU(LLID)固有の秘密鍵/IGMPフィルタ情報/ユニキャスト、マルチキャスト用暗号鍵の組合せを記憶するマルチキャスト管理テーブル41を管理する。また、CPU34はPONからの照会メッセージ受信を監視するIGMP監視部42、当該ONUが収容している論理リンクを制御する論理リンク制御部43を具備し、当該論理リンクのLLID値の使用状況を管理するLLID管理テーブル44を管理する。
The
ONU30は、自ONU(LLID)に対応する暗号化マルチキャスト用暗号鍵を受信すると、ONU(LLID)固有の秘密鍵で復号し、復号したマルチキャスト用暗号鍵をONU内部に記憶しておき、暗号化マルチキャストフレームを受信した際に、上記マルチキャスト用暗号鍵で復号する。 When ONU30 receives the encrypted multicast encryption key corresponding to its own ONU (LLID), it decrypts it with the private key unique to ONU (LLID), stores the decrypted multicast encryption key inside ONU, and encrypts it When a multicast frame is received, it is decrypted with the multicast encryption key.
あるいは、ONU30は、暗号化マルチキャスト用暗号鍵を受信すると、ONU(LLID)固有の秘密鍵で順次復号し、自ONU(LLID)に対応する前記マルチキャスト用暗号鍵をONU内部に記憶しておき、暗号化マルチキャストフレームを受信した際に、上記マルチキャスト用暗号鍵で復号する。
Alternatively, when the
ユニキャスト用暗号鍵、マルチキャスト用暗号鍵、および当該マルチキャスト用暗号鍵を暗号化・復号する公開鍵・秘密鍵の組合せは、所定のタイミングで更新する。 The combination of the unicast encryption key, the multicast encryption key, and the public / private key for encrypting / decrypting the multicast encryption key is updated at a predetermined timing.
図9に、上述のOLT10およびONU30が配されるネットワークの構成例を示す。OLT10は1つ以上のPONインタフェース11を収容し(図9では1つのPONインタフェースのみ示している)、1つのPONインタフェース11には1〜複数のONU30が収容されている。ONU30には、加入者のパーソナルコンピュータ ( PC : Personal Computer ) 45が接続されている。OLT10のSNI13には、IP網60のマルチキャストルータ61が接続され、IP網60内にあるデータ配信サーバ62からのマルチキャストデータは、OLT10に接続されたマルチキャストルータ61まで到達する。
FIG. 9 shows a configuration example of a network in which the above-described
次に動作について説明する。OLT10では、PONインタフェース11から受信したレポートメッセージをIGMPフィルタ部16においてスヌープする。具体的には、(1)MACフレームの宛先アドレスがマルチキャストアドレスで、かつ(2)IPパケットにカプセル化されたIGMPメッセージ内Typeフィールドが0x12または0x16、というフィルタリング条件を満たすメッセージをレポートメッセージとして取り込む。IGMPにはV.1、V.2、V.3があり、V.1ではTypeフィールドは0x12、V.2では0x16、V.3では0x22である。IGMPフィルタ部16はこれらのすべてのバージョンに対応する。このレポートメッセージには、マルチキャスト通信で使用するIPグループアドレスが格納されている。
Next, the operation will be described. In the
図10にIGMP V.2のメッセージフォーマットを示す。IGMP V.2のメッセージフォーマットは、マルチキャストルータ61からの照会メッセージとONU30からのメッセージのいずれであるかを識別するTypeフィールドと、照会メッセージのみが使用するフィールドであってレポートメッセージを受け取るまでの最大時間を指定するMax Response Timeフィールドと、チェックサムのためのChecksumフィールドと、IPグループアドレスが指定されるGroup Addressフィールドを備えている。
FIG. 10 shows the message format of IGMP V.2. The IGMP V.2 message format includes a Type field that identifies whether the message is a query message from the
OLT10では、IPグループアドレスをキーにしてマルチキャスト管理テーブル21を検索する。一致するIPマルチキャストアドレスが見つかった場合の処理は後述する。一致するIPマルチキャストアドレスが見つからなかった場合は初めてのグループ参入と見なし、マルチキャスト管理テーブル21の未使用エントリに、IPマルチキャストアドレス、参入ポート、LLIDを記憶する。ここでいう参入ポートとはONU(LLID)からのレポートメッセージを受信したPONインタフェースを示し、LLIDはレポートメッセージを含むMACプリアンブル内に格納されているLLID値を示す。
The
またOLT10は、取り込んだレポートメッセージをSNI13へ送信し、CPU14において参入したONU(LLID)を記憶する。具体的には、論理リンク制御部23がLLID管理テーブル24を参照し、IGMPフィルタ情報に基づいてマルチキャスト管理テーブル21を設定する。
The
さらに、OLT10は、CPU14においてマルチキャスト用暗号鍵を生成し、この暗号鍵をONU(LLID)ごとに固有の公開鍵で暗号化した暗号化マルチキャスト用暗号鍵として、PONインタフェース11を介してPONに送信する。
In addition, the
ところでマルチキャスト用暗号鍵は、各ONU(LLID)から受信した公開鍵で暗号処理を施し、PONに向けて送信するため、このマルチキャスト用暗号鍵を他のONUにより盗聴されることはない。暗号化マルチキャスト用暗号鍵の通知は、この暗号鍵を含むフレームのプリアンブル部のFlagビットで識別する。ONU30は、マルチキャスト監視部37においてこの暗号化マルチキャスト用暗号鍵を含むフレームを検出した場合、CPU34内のマルチキャスト用暗号鍵復号部40において、暗号化マルチキャスト用暗号鍵の復号を行う。
By the way, the multicast encryption key is encrypted with the public key received from each ONU (LLID) and transmitted to the PON, so that the multicast encryption key is not wiretapped by other ONUs. The notification of the encryption key for encryption multicast is identified by the Flag bit of the preamble part of the frame including this encryption key. When the
このマルチキャスト用暗号鍵の通知が完了して初めて、OLT10は、通知したマルチキャスト用暗号鍵をマルチキャスト管理テーブル21に記憶しておくとともに、マルチキャストテーブル15に参入ポートを加える。この場合には最初の参入ポートであるため、マルチキャストテーブル15に新たなエントリを作ることになる。
Only after the notification of the multicast encryption key is completed, the
そして、SNI13から到着するマルチキャストデータは、マルチキャストテーブル15の内容に基づいて参入ポートに転送され、PONインタフェース11のデータ暗号化部17において、当該マルチキャスト通信に対応するマルチキャスト用暗号鍵を用いて暗号化され、PONに送出される。
Then, the multicast data arriving from
次に、レポートメッセージに含まれるIPグループアドレスと一致するIPマルチキャストアドレスが、マルチキャスト管理テーブル21のエントリから見つかった場合の処理について説明する。 Next, processing when an IP multicast address that matches the IP group address included in the report message is found from an entry in the multicast management table 21 will be described.
OLT10は、取り込んだレポートメッセージのIPグループアドレスをキーにしてマルチキャスト管理テーブル21を検索するが、ここで一致するIPマルチキャストアドレスが見つかった場合は、2番目以降の参入と認識し、マルチキャスト管理テーブル21の一致エントリに新たなLLIDを追加記憶する。
The
また、OLT10は、データ配信サーバ62がIP網60内に存在するという前提で、取り込んだレポートメッセージをSNI13のみに送信し、CPU14において参入したONU(LLID)を記憶する。具体的には、論理リンク制御部23がLLID管理テーブル24を参照し、新たなONUがすでに参入しているONUと同じPONポートに収容されている場合には、IGMPフィルタ情報に基づいてマルチキャスト管理テーブルを更新する。新たなONUがすでに参入しているONUとは別のPONポートに収容されている場合には、IGMPフィルタ情報に基づいてマルチキャスト管理テーブルを設定する。
Further, the
OLT10は、後者の場合、すなわち新たなONUがすでに参入しているONUとは別のPONポートに収容されている場合には、マルチキャスト管理テーブル21に追加記憶する。さらにOLT10は、前者の場合にはすでに使用しているマルチキャスト用暗号鍵を、後者の場合にはこのマルチキャスト通信に使用する新たなマルチキャスト用暗号鍵を生成し、PONインタフェース11を介してPONに送信する。
In the latter case, that is, when a new ONU is accommodated in a PON port different from an ONU that has already entered, the
ところでマルチキャスト用暗号鍵は、各LLIDから受信した公開鍵で暗号処理を施し、PONに送信するため、このマルチキャスト用暗号鍵を他のONUにより盗聴されることはない。このマルチキャスト用暗号鍵の通知が完了して初めてOLT10は、通知したマルチキャスト用暗号鍵をマルチキャスト管理テーブル21に記憶しておくとともに、マルチキャストテーブル15に参入ポートを加える。この場合には2番目以降の参入ポートであるため、マルチキャストテーブル15にすでにあるエントリを更新することになる。以降、最初の参入の場合と同じ動作となる。
By the way, since the multicast encryption key is encrypted with the public key received from each LLID and transmitted to the PON, the multicast encryption key is not wiretapped by other ONUs. The
以上のように、この発明の実施の形態1による通信装置においては、OLT10はIGMPメッセージをスヌープし、スヌープした結果に基づいて、登録ONU(LLID)固有の公開鍵で暗号化した暗号化マルチキャスト用暗号鍵を送信し、ONUは、前記暗号化マルチキャスト用暗号鍵を、自ONU(LLID)固有の秘密鍵で復号する。これにより、登録されているONUのみがマルチキャストフレームを復号できるようになり、ONUを識別するためのタグを別途設定することなく、容易な方法で、帯域を圧迫しないマルチキャスト通信を実現できる。さらに、マルチキャスト用暗号鍵の復号に必要な暗号鍵(秘密鍵)を受け渡す必要がないため、マルチキャスト送信されるデータの暗号化によるセキュリティの強化を行うことができる。
As described above, in the communication device according to the first embodiment of the present invention, the
実施の形態2.
この発明の実施の形態2による局側通信装置は、1つのポートから複数のレポートメッセージを受信した場合には、最初に受信したレポートメッセージのみをSNIに送信するようにしているので、SNIの帯域利用を効率化することができるものである。
Since the station side communication apparatus according to the second embodiment of the present invention receives a plurality of report messages from one port, it transmits only the first received report message to the SNI. The use can be made efficient.
図9において、IGMPを行うマルチキャストルータ61では、あるポートから1つでもレポートメッセージを受信すると、そのポートに対してデータ配信を行う。このため、OLT10で取り込んだすべてのレポートメッセージをSNI13に送信しても、2つ目以降のレポートメッセージはSNI13の帯域を浪費する無駄なメッセージとなってしまう。
そこで実施の形態2では、OLT10で複数のレポートメッセージを受信した場合には、最初に受信したレポートメッセージのみをSNI13に送信し、残りはOLT10から送信しないようにする。
In FIG. 9, when the
Therefore, in the second embodiment, when a plurality of report messages are received by the
この発明の実施の形態2における構成は、図6、図7、および図9に示す実施の形態1におけるものと同様である。ただし、IGMPメッセージの制御機能が異なる。
まずOLT10では、SNI13を介して受信する照会メッセージをスヌープする。照会メッセージには、(1)General Queryメッセージ、(2)Group Specific Queryメッセージ(IGMP V.2、V.3のみ)、(3)Group and Source Specific Queryメッセージ(IGMP V.3のみ)、という3種類がある。これらの照会メッセージ受信後の最初のレポートメッセージのみをSNI13に送信し、それ以降に受信するレポートメッセージは送信しないようにする。そして、図11に示すように、マルチキャスト管理テーブル21に、別途、レポート送信のフラグを設ける。このレポート送信のフラグはエントリごとに用意し、例えばレポートメッセージをSNI13に送信した時点で1を設定(送信済み)し、照会メッセージを受信した時点で0にクリア(未送信)する。
The configuration of the second embodiment of the present invention is the same as that of the first embodiment shown in FIG. 6, FIG. 7, and FIG. However, the IGMP message control function is different.
First, the
次に動作について説明する。OLT10では、レポートメッセージのスヌープに加えて、照会メッセージもスヌープする。SNI13から受信した照会メッセージをIGMPフィルタ部16においてスヌープする。具体的には、(1) IPパケットの宛先アドレスが224.0.0.1、またはマルチキャストアドレスであって、かつ(2) IPパケットにカプセル化されたIGMPメッセージ内Typeフィールドが0x11、というフィルタリング条件を満たすメッセージを照会メッセージとして取り込む。
Next, the operation will be described.
照会メッセージには、上記のように、General QueryメッセージとGroup Specific QueryメッセージとGroup and Source Specific Queryメッセージとがあり、IGMPフィルタ部16ではこのすべてに対応する。これらの照会メッセージのいずれかをOLT10が受信すると、General Queryメッセージの場合にはいずれかのマルチキャストグループに参加している全ONU30にメッセージを転送し、Group Specific QueryメッセージもしくはGroup and Source Specific Queryメッセージの場合にはGroup Addressフィールドに指定したマルチキャストグループに参入しているONU30にメッセージを転送する。ただしGroup and Source Specific Queryメッセージの場合、Number of Source ≠ 0でSource Addressを指定する。
As described above, the inquiry message includes a general query message, a group specific query message, and a group and source specific query message. The
その後、OLT10はONU30からのレポートメッセージをIGMP監視部22にて監視する。次の照会メッセージ受信までにレポートメッセージを送信しなかった加入者は、マルチキャスト通信から離脱したと判断し、マルチキャストテーブル15およびマルチキャスト管理テーブル21からその参入ポートを削除する。
Thereafter, the
もし、すべてのONU30がマルチキャスト通信から離脱した場合には、マルチキャストテーブル15およびマルチキャスト管理テーブル21から、そのマルチキャスト通信についてのエントリを削除する。
If all the
また、マルチキャスト用暗号鍵、および当該マルチキャスト用暗号鍵を暗号化・復号する公開鍵・秘密鍵の組合せは、IGMPスヌープの結果に基づいて所定のタイミングで更新する。 The multicast encryption key and the combination of the public key and the secret key for encrypting / decrypting the multicast encryption key are updated at a predetermined timing based on the result of the IGMP snoop.
このように実施の形態2によれば、IGMPを行うマルチキャストルータ61では、OLT10で複数のレポートメッセージを受信した場合、最初に受信したレポートメッセージのみをSNI13に送信し、SNI13の帯域を浪費する無駄なメッセージを送信しないようにしたので、帯域を有効に活用できる。また、OLT10はONU30のマルチキャストグループからの離脱をIGMPスヌープによってスヌープし、マルチキャスト用暗号鍵の更新を行うため、当該ONUはマルチキャストフレームを受信できなくなり、セキュリティ性が向上する。
As described above, according to the second embodiment, in the
実施の形態3.
この発明の実施の形態3による局側通信装置は、マルチキャストフレームを監視し、レポートメッセージが返ってこなかった場合にも、マルチキャストフレームが到着している間はエントリを削除せず、ブロードキャストデータ転送をしないようにしているので、PONの帯域利用を効率化することができるものである。
The station side communication apparatus according to the third embodiment of the present invention monitors a multicast frame, and even when a report message is not returned, the station side communication apparatus does not delete the entry while the multicast frame arrives, and transmits the broadcast data. Therefore, the PON bandwidth can be used efficiently.
この発明の実施の形態3における構成は、図6、図7、および図9に示す実施の形態1におけるものと同様である。ただし、マルチキャストデータ転送の制御機能が異なる。 The configuration of the third embodiment of the present invention is the same as that of the first embodiment shown in FIG. 6, FIG. 7, and FIG. However, the control function of multicast data transfer is different.
マルチキャストルータ61は、一般的に、あるポートからレポートメッセージが返ってこなくなってもしばらくの間はマルチキャストデータを送信し続ける。実施の形態2における通信装置によれば、2回の照会周期内にレポートメッセージが返ってこなかった場合、OLT10はすぐにエントリを削除する。
In general, the
ここで削除したエントリのマルチキャストデータが到着すると、OLT10ではこれをブロードキャストしてしまう。すなわち、マルチキャストテーブル15に登録されていないマルチキャストアドレスのフレームを廃棄するとGeneral Queryメッセージを転送することが出来なくなるため、未登録マルチキャストアドレスの場合はブロードキャストすることになる。その結果、本来は転送すべきではないマルチキャストデータを転送してしまい、PONの帯域を無駄に消費してしまう。したがって、このような場合、OLT10では、マルチキャストルータ61がデータ転送している間はエントリを削除せず、加入者側へのデータ転送をとめるのが望ましい。
When the multicast data of the entry deleted here arrives, the
このため、実施の形態3においては、OLT10のマルチキャスト監視部18において、参入ポートがなくなったマルチキャスト通信についてもマルチキャストフレームを監視することとし、図12に示すシーケンスのように、マルチキャストフレームが到着しなくなってからエントリを削除する。また、マルチキャストテーブル15やマルチキャスト管理テーブル21からのエントリ削除も、図13に示すように、マルチキャストフレームが到着しなくなってから行うこととする。
For this reason, in the third embodiment, the
また、マルチキャスト用暗号鍵、および当該マルチキャスト用暗号鍵を暗号化・復号する公開鍵・秘密鍵の組合せは、IGMPスヌープの結果に基づいて所定のタイミングで更新する。 The multicast encryption key and the combination of the public key and the secret key for encrypting / decrypting the multicast encryption key are updated at a predetermined timing based on the result of the IGMP snoop.
このように実施の形態3によれば、OLT10は、マルチキャストルータ61がデータ転送している間はエントリを削除せず、加入者側へのブロードキャストデータ転送をしないようにするため、PONの帯域を有効に活用できる。また、OLT10はONU30のマルチキャストグループからの離脱をIGMPスヌープによってスヌープし、マルチキャスト用暗号鍵の更新を行うため、当該ONUはマルチキャストフレームを受信できなくなり、セキュリティ性が向上する。
As described above, according to the third embodiment, the
実施の形態4.
この発明の実施の形態3による局側通信装置は、加入者側から離脱メッセージを受信した場合にも、照会メッセージを数回出し、応答なく一定時間経過するまではエントリを削除せず、ブロードキャストデータ転送をしないようにしているので、PONの帯域利用を効率化することができるものである。
The station side communication device according to the third embodiment of the present invention issues an inquiry message several times even when a withdrawal message is received from the subscriber side, and does not delete the entry until a certain period of time elapses without a response. Since the transmission is not performed, it is possible to make efficient use of PON bandwidth.
この発明の実施の形態3における構成は、図6、図7、および図9に示す実施の形態1におけるものと同様である。ただし、マルチキャストデータ転送の制御機能が異なる。 The configuration of the third embodiment of the present invention is the same as that of the first embodiment shown in FIG. 6, FIG. 7, and FIG. However, the control function of multicast data transfer is different.
IGMP V.2では、前述したように、加入者が離脱を示す離脱メッセージを送信する。実施の形態4においては、OLT10ではこの離脱メッセージをIGMPフィルタ部16においてスヌープする。具体的には、(1)IPパケットの宛先アドレスが224.0.0.2であって、かつ(2)IPパケットにカプセル化されたIGMPメッセージ内Typeフィールドが0x17、というフィルタリング条件を満たすメッセージを離脱メッセージとして取り込む。
In IGMP V.2, as described above, the subscriber sends a leave message indicating the withdrawal. In the fourth embodiment, the
ここで図14に示すように、OLT10では離脱メッセージを受信すると、メッセージを送信したONU30に対してそのマルチキャストアドレスを指定した照会メッセージを数回出し、応答がなければ一定時間経過後に、そのONU30はマルチキャストグループから離脱したと判断し、マルチキャストテーブル15およびマルチキャスト管理テーブル21からその参入ポートを削除する。
Here, as shown in FIG. 14, when the
もし、すべてのONU30がマルチキャスト通信から離脱した場合には、マルチキャストテーブル15およびマルチキャスト管理テーブル21から、そのマルチキャスト通信についてのエントリを削除する。
If all the
また、マルチキャスト用暗号鍵、および当該マルチキャスト用暗号鍵を暗号化・復号する公開鍵・秘密鍵の組合せは、IGMPスヌープの結果に基づいて所定のタイミングで更新する。 The multicast encryption key and the combination of the public key and the secret key for encrypting / decrypting the multicast encryption key are updated at a predetermined timing based on the result of the IGMP snoop.
このように実施の形態4によれば、OLT10は、加入者側から離脱メッセージを受信した場合にも、照会メッセージを数回出し、応答なく一定時間経過するまではエントリを削除せず、加入者側へのブロードキャストデータ転送をしないようにするため、PONの帯域を有効に活用できる。また、OLT10はONU30のマルチキャストグループからの離脱をIGMPスヌープによってスヌープし、マルチキャスト用暗号鍵の更新を行うため、当該ONUはマルチキャストフレームを受信できなくなり、セキュリティ性が向上する。
As described above, according to the fourth embodiment, even when the
実施の形態5.
この発明の実施の形態5による加入者側通信装置は、どのUNIからレポートメッセージを受信したかを記憶しておくようにしているので、実際にマルチキャスト通信に参入しているUNIに対してのみ、データ配信することができるものである。
Since the subscriber side communication device according to the fifth embodiment of the present invention stores the UNI from which the report message is received, only for the UNI actually entering the multicast communication, Data can be distributed.
この発明の実施の形態5における構成は、図6、図7、および図9に示す実施の形態1におけるものと同様である。ただし、マルチキャストデータ転送の制御機能が異なる。 The configuration of the fifth embodiment of the present invention is the same as that of the first embodiment shown in FIGS. 6, 7, and 9. However, the control function of multicast data transfer is different.
ONU30が複数のUNIすなわち加入者ポートを収容している場合、あらかじめUNIごとに論理リンクを設定しておく。
When the
ONU30は、あるUNIからレポートメッセージを受信すると、そのUNIに対応した論理ポートからレポートメッセージをOLT10に通知する。ONU30では、どのUNIからレポートメッセージを受信したかを記憶しておき、この記憶データに基づいて、受信したマルチキャストデータを、レポートメッセージを受信したUNI、すなわち実際に参入しているUNIに転送する。
When the
このように実施の形態5によれば、複数のUNIを収容するONUにおいても、実際にマルチキャスト通信に参入しているUNIに対してのみ、データ配信が可能となる。 As described above, according to the fifth embodiment, even in an ONU that accommodates a plurality of UNIs, data can be distributed only to UNIs that have actually entered multicast communication.
なお、上述のように、この発明の実施の形態1〜5では、マルチキャストグループの管理がIGMPを用いて行われる場合を示したが、マルチキャストグループの管理の方法がこれに限られるものではない。
As described above, in
また、この発明の実施の形態1〜5では、Ethernet(登録商標)のフレームを用いる場合を示したが、フレーム形式がこれに限られるものでなく、パケット通信に対応したものであれば良い。 In the first to fifth embodiments of the present invention, the case where an Ethernet (registered trademark) frame is used has been described. However, the frame format is not limited to this, and any frame compatible with packet communication may be used.
また、この発明の実施の形態1〜5では、PONシステムに適用する場合を示したが、適用システムがこれに限られるものでないことは言うまでもなく、特定のグループに属する通信装置がマルチキャスト送信を受けるものであれば、光や電気の有線通信や、無線通信等どのようなシステムにも適用可能である。 In the first to fifth embodiments of the present invention, the case where the present invention is applied to the PON system has been described. Needless to say, the application system is not limited to this, and communication devices belonging to a specific group receive multicast transmission. Any system such as optical or electrical wired communication or wireless communication can be used.
10 局側通信装置
16 IGMPフィルタ部
17 データ暗号化部
19 マルチキャスト用暗号鍵生成部
20 マルチキャスト用暗号鍵暗号化部
30 加入者側通信装置
36 IGMPフィルタ部
38 データ復号部
39 公開鍵・秘密鍵生成部
40 マルチキャスト用暗号鍵復号部
DESCRIPTION OF
Claims (9)
前記公開鍵・秘密鍵生成部で生成された秘密鍵を用いて、前記自通信装置に固有の公開鍵で暗号化されたマルチキャスト用暗号鍵を復号するマルチキャスト用暗号鍵復号部と、
前記マルチキャスト用暗号鍵復号部で復号されたマルチキャスト用暗号鍵を用いて、受信されたマルチキャストデータを復号するデータ復号部と、
を備えたことを特徴とする通信装置。 A public key unique to the communication device, and a public key / secret key generation unit that generates a private key paired with the public key;
A multicast encryption key decryption unit for decrypting a multicast encryption key encrypted with a public key unique to the own communication device, using a secret key generated by the public key / secret key generation unit;
A data decryption unit for decrypting the received multicast data using the multicast encryption key decrypted by the multicast encryption key decryption unit;
A communication apparatus comprising:
を備えたことを特徴とする請求項1に記載の通信装置。 A multicast transmission request unit for requesting multicast transmission using a multicast control message;
The communication apparatus according to claim 1, further comprising:
前記マルチキャスト用暗号鍵生成部で生成されたマルチキャスト用暗号鍵を用いて、前記マルチキャストデータを暗号化するデータ暗号化部と、
前記マルチキャストデータを受信する各通信装置に固有の公開鍵を用いて、前記マルチキャスト用暗号鍵生成部で生成されたマルチキャスト用暗号鍵を暗号化するマルチキャスト用暗号鍵暗号化部と、
を備えたことを特徴とする通信装置。 A multicast encryption key generation unit for generating a multicast encryption key for encrypting multicast data to be transmitted by multicast; and
A data encryption unit that encrypts the multicast data using the multicast encryption key generated by the multicast encryption key generation unit;
A multicast encryption key encryption unit that encrypts the multicast encryption key generated by the multicast encryption key generation unit, using a public key unique to each communication device that receives the multicast data;
A communication apparatus comprising:
を備えたことを特徴とする請求項4に記載の通信装置。 A multicast destination determination unit that determines a multicast destination using a multicast control message;
The communication apparatus according to claim 4, further comprising:
前記公開鍵・秘密鍵生成ステップで生成された秘密鍵を用いて、前記各通信装置に固有の公開鍵で暗号化されたマルチキャスト用暗号鍵を前記各通信装置内で復号するマルチキャスト用暗号鍵復号ステップと、
前記マルチキャスト用暗号鍵復号ステップで復号されたマルチキャスト用暗号鍵を用いて、前記各通信装置で受信されたマルチキャストデータを復号するマルチキャストデータ復号ステップと、
を備えたことを特徴とする通信方法。 Generating a public key unique to each communication device, and generating a private key paired with this public key within each communication device;
Multicast encryption key decryption for decrypting a multicast encryption key encrypted with a public key unique to each communication device using the secret key generated in the public key / secret key generation step within each communication device Steps,
A multicast data decryption step for decrypting multicast data received by each communication device using the multicast encryption key decrypted in the multicast encryption key decryption step;
A communication method comprising:
前記マルチキャスト用暗号鍵生成ステップで生成されたマルチキャスト用暗号鍵を用いて、前記マルチキャストデータを暗号化するマルチキャストデータ暗号化ステップと、
前記マルチキャストデータ暗号化ステップで暗号化されたマルチキャストデータを受信する各通信装置に固有の公開鍵を用いて、前記マルチキャスト用暗号鍵生成ステップで生成されたマルチキャスト用暗号鍵を暗号化するマルチキャスト用暗号鍵暗号化ステップと、
を備えたことを特徴とする通信方法。 A multicast encryption key generating step for generating a multicast encryption key for encrypting multicast data transmitted by multicast; and
A multicast data encryption step for encrypting the multicast data using the multicast encryption key generated in the multicast encryption key generation step;
A multicast cipher that encrypts the multicast encryption key generated in the multicast encryption key generation step using a public key unique to each communication device that receives the multicast data encrypted in the multicast data encryption step A key encryption step;
A communication method comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005055978A JP2006245778A (en) | 2005-03-01 | 2005-03-01 | Communication apparatus, communication method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005055978A JP2006245778A (en) | 2005-03-01 | 2005-03-01 | Communication apparatus, communication method, and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006245778A true JP2006245778A (en) | 2006-09-14 |
Family
ID=37051743
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005055978A Pending JP2006245778A (en) | 2005-03-01 | 2005-03-01 | Communication apparatus, communication method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006245778A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006295341A (en) * | 2005-04-06 | 2006-10-26 | Ntt Communications Kk | Device for distributing encryption key, and program thereof |
JP2007074168A (en) * | 2005-09-05 | 2007-03-22 | Mitsubishi Electric Corp | Station-side device, subscriber-side device, communication system, communication method, and program making computer implement same method |
-
2005
- 2005-03-01 JP JP2005055978A patent/JP2006245778A/en active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006295341A (en) * | 2005-04-06 | 2006-10-26 | Ntt Communications Kk | Device for distributing encryption key, and program thereof |
JP4694240B2 (en) * | 2005-04-06 | 2011-06-08 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Encryption key distribution apparatus and program thereof |
JP2007074168A (en) * | 2005-09-05 | 2007-03-22 | Mitsubishi Electric Corp | Station-side device, subscriber-side device, communication system, communication method, and program making computer implement same method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4693518B2 (en) | Multicast communication apparatus and PON system using the same | |
JP2004343243A (en) | Multicast communication system and station side device in pon system | |
KR100523357B1 (en) | Key management device and method for providing security service in epon | |
US8280055B2 (en) | Optical network system and method of changing encryption keys | |
JP3805329B2 (en) | Security data transmission method in Ethernet (registered trademark) passive optical network system | |
CN105610590B (en) | A kind of multicast message transmission method and device | |
CN101102152B (en) | Method for guaranteeing data security in passive optical network | |
WO2013177736A1 (en) | Optical network terminal management control interface message transmission method and system, and corresponding device | |
KR101298813B1 (en) | The Method and Apparatus of Multicast Port Identifier Filtering in Gigabit-capable Passive Optical Network | |
WO2011026335A1 (en) | Method and apparatus for processing broadcast packet/multicast control message | |
JP4685659B2 (en) | Station side device, subscriber side device and PON system | |
JP4889984B2 (en) | Communication system and communication method | |
WO2021259189A1 (en) | Multicast message processing method, olt device, onu device and computer-readable storage medium | |
WO2014101185A1 (en) | Method, apparatus and system for detecting performance of multicast channel | |
JP2007158962A (en) | Pon system | |
JP3986956B2 (en) | Parent station, slave station, communication system, communication program, and computer-readable recording medium recording the communication program | |
JP2006245778A (en) | Communication apparatus, communication method, and program | |
JP2004260556A (en) | Station-side apparatus, subscriber-side apparatus, communication system, and encryption key notifying method | |
CN102149026A (en) | Multicast realizing method and system | |
CN101547086A (en) | Method, system and device for broadband access network multicast control | |
EP2066073B1 (en) | Access system and method for multicast management | |
WO2008141505A1 (en) | Multicast method and its device for gigabit passive optical network system | |
CN100391202C (en) | Method and apparatus for realizing multicast in shared media network | |
WO2014166186A1 (en) | Method, apparatus and system for multicast service transfer between fiber and copper cable | |
WO2012097601A1 (en) | Method, system and device for distributing safely a multicast key |