JP2007159147A - イーサネット基盤の受動型光ネットワークにおいて光終端装置と光加入者装置との間の保安チャネル設定方法及びこのためのフレーム転送制御用の多重点制御プロトコルメッセージ構造 - Google Patents

イーサネット基盤の受動型光ネットワークにおいて光終端装置と光加入者装置との間の保安チャネル設定方法及びこのためのフレーム転送制御用の多重点制御プロトコルメッセージ構造 Download PDF

Info

Publication number
JP2007159147A
JP2007159147A JP2006332532A JP2006332532A JP2007159147A JP 2007159147 A JP2007159147 A JP 2007159147A JP 2006332532 A JP2006332532 A JP 2006332532A JP 2006332532 A JP2006332532 A JP 2006332532A JP 2007159147 A JP2007159147 A JP 2007159147A
Authority
JP
Japan
Prior art keywords
optical
onu
olt
security
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006332532A
Other languages
English (en)
Other versions
JP4455574B2 (ja
Inventor
Kwang Ok Kim
キム、クワン、オク
Yool Kwon
クォン、ヨル
Bong-Tae Kim
キム、ボン、テ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electronics and Telecommunications Research Institute ETRI
Original Assignee
Electronics and Telecommunications Research Institute ETRI
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from KR1020060027147A external-priority patent/KR100772180B1/ko
Application filed by Electronics and Telecommunications Research Institute ETRI filed Critical Electronics and Telecommunications Research Institute ETRI
Publication of JP2007159147A publication Critical patent/JP2007159147A/ja
Application granted granted Critical
Publication of JP4455574B2 publication Critical patent/JP4455574B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/0001Selecting arrangements for multiplex systems using optical switching
    • H04Q11/0062Network aspects
    • H04Q11/0067Provisions for optical access or distribution networks, e.g. Gigabit Ethernet Passive Optical Network (GE-PON), ATM-based Passive Optical Network (A-PON), PON-Ring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/0001Selecting arrangements for multiplex systems using optical switching
    • H04Q11/0062Network aspects
    • H04Q2011/0088Signalling aspects

Abstract

【課題】イーサネット基盤の受動型光ネットワーク(EPON)において光終端装置(OLT)と少なくとも一つの光加入者装置(ONU)との間に保安チャネル設定方法及びこのためのフレーム転送制御用の多重点制御プロトコル(MPCP)メッセージ構造に関する。
【解決手段】OLTが発見区間において保安チャネル設定を望む少なくとも一つのONUと、MPCPメッセージとOLT及びONUのリンク保安能力情報を利用して、相互保安能力を協商し、協商されたONUを自動登録してチャネルを生成する第1段階と、OLTが自動登録が完了されたONUのうち協商を結んだONUと保安のための暗号化キーを分配して保安チャネルを設定する第2段階、暗号化キーが分配されたOLTとONUの間に、暗号化キー変更時間メッセージを転送して暗号化キーの更新時点を共有する第3段階を含み、効率的な保安チャネル設定を可能とする。
【選択図】図4

Description

本発明は、イーサネット基盤の受動型光ネットワーク(Ethernet Passive Optical Network)に関することであって、より詳細には、イーサネット基盤の受動型光ネットワークにおいて光終端装置(OLT)と光加入者装置(ONU)との間の保安チャネル設定のための方法及びこのためのフレーム転送制御用の多重点制御プロトコル(MPCP)メッセージ構造に関する。
2004年イーサネット転送技術標準化団体であるIEEE802.3ah EFM(Ethernet in the First Mile)ワーキンググループでは、加入者へ効率的に広帯域を提供するための方案として、イーサネット基盤の受動型光ネットワーク(Ethernet Passive Optical Network:EPON)技術を標準化した。イーサネット基盤の受動型光ネットワーク(EPON)技術は、既存のイーサネット転送技術方式を使用し、さらにイーサネット基盤の受動型光ネットワーク(EPON)網において、フレーム転送制御のためにイーサネット基盤の受動型光ネットワーク(EPON)媒体接近制御(Media Access Control:MAC)機能を使用する。イーサネット基盤の受動型光ネットワーク(EPON)は、一つの光終端装置(Optical Line Terminator:OLT)と多数の光加入者装置(Optical Network Unit:ONU)が単対多重方式で連結される。一つの光終端装置(OLT)と多数の光加入者装置(ONU)との間のフレーム転送は、多重点制御プロトコル(Multi−Point Control Protocol:MPCP)機能を利用して衝突なく下向ブロードキャスト上向時分割多重接続(Time Division Multiple Access:TDMA)方式で提供される。
現在、IEEE802.3ah EFMワーキンググループでは、フレーム転送制御のための多重点制御プロトコル(MPCP)メッセージとして5つの種類を定義している。これら多重点制御プロトコル(MPCP)メッセージには、発見(GATE)メッセージ、登録要請(REGISTER_REQUEST)メッセージ、登録(REGISTER)メッセージ、登録確認(REGISTER_ACK)メッセージ、及びリポート(REPORT)メッセージが含まれる。
発見(GATE)メッセージは、光加入者装置(ONU)の初期登録時発見ウインドーオープン(Discovery Window Open)命令と各光加入者装置(ONU)の上向チャネル使用時間を伝達するに使用される。リポート(REPORT)メッセージは、光加入者装置(ONU)に待機しているデータの大きさを光終端装置(OLT)へ知らせるに使用される。登録要請(REGISTER_REQUEST)メッセージは、発見ウインドー(Discovery Window)区間内で光加入者装置(ONU)が登録意思を光終端装置(OLT)へ表示するに使用される。登録(REGISTER)メッセージは、光終端装置(OLT)が光加入者装置(ONU)の登録意思を受付けた後、光加入者装置(ONU)へ登録可否を確認するために使用される。最後に登録確認(REGISTER_ACK)メッセージは、光加入者装置(ONU)が光終端装置(OLT)から登録状態を確認したという情報を光終端装置(OLT)へ伝達するために使用される。
イーサネット基盤の受動型光ネットワーク光終端装置(EPON OLT)は、上記のような多重点制御プロトコル(MPCP)メッセージを利用して光加入者装置(ONU)の存在を知るための自動登録手順及び光加入者装置(ONU)の上向データ転送制御を遂行する。該自動登録手順において光終端装置(OLT)は、光加入者装置(ONU)の距離測定(Ranging)及び光加入者装置(ONU)へイーサネット基盤の受動型光ネットワーク(EPON)職別者(PHY_ID)を割り当てる。
図1は、イーサネット基盤の受動型光ネットワーク(EPON)において、光終端装置(OLT)から光加入者装置(ONU)へメッセージが下向転送されることを図示した図面である。
図示された通り、光終端装置(OLT)10は、光ケーブルを通じて光加入者装置32,34,...,36に連結される。この際、光加入者装置32,34,...,36は家庭及び会社などの内部に設置され、光終端装置(OLT)10からインターネットサービス、電話サービス及び対話型ビデオサービス等の各種サービスの提供を受けることとなる。
このような受動型光ネットワーク(EPON)上において、各種サービスのためのデータが含まれるイーサネットフレーム22,24,26,28は、光終端装置(OLT)10からスプリッタ或いはカプラのような1:N受動光分配器を通じて各々の光加入者装置32,34,...,36へ転送される。この際、各々のイーサネットフレーム22,24,26,28は、最大1,518バイトまでの可変長さパケットで構成され、目的地光加入者装置(ONU)に対する情報を含む。このようなパケットが光加入者装置32,34,...,36に着くと、各々の光加入者装置32,34,...,36は自分に該当されない残りのパケットは捨てて、自分に該当するパケットのみ受容した後、各々該当する使用者52,54,...,56へ転送する。
図2は、イーサネット基盤の受動型光ネットワーク(EPON)において、光加入者装置(ONU)から光終端装置(OLT)へメッセージが上向転送されることを図示した図面である。
図示された通り、多数の使用者52,54,...,56の転送しようとするフレーム40,41,43,46,47,48が各々該当する光加入者装置(ONU)32,34,...,36へ転送される。そして光加入者装置(ONU)32,34,...,36は、光終端装置(OLT)10から予め割当を受けた各々のタイムスロット区間42,44,49に該当フレームを乗せて光ケーブルを通じて光終端装置(OLT)10へ転送する。
このように受動型光ネットワーク(EPON)上において、多数の光加入者装置は、一つの転送媒体である光ケーブルを共有して一つの光終端装置(OLT)とデータを送受信すべきである。従って、多数の光加入者装置(ONU)が効率的に媒体接近をするための媒体接近制御(MAC)プロトコルが要求される。このような要求に応じてイーサネット基盤の受動型光ネットワーク(EPON)における多重点制御プロトコル(Multi Point Control Protocol:MPCP)は、多数の光加入者装置(ONU)と一つの光終端装置(OLT)との間の上向データを効率的に転送するため時分割多重接続(Time Division Multiple Access:TDMA)基盤のメカニズムを利用する。
このような多重点制御プロトコル(MPCP)の主な機能は、光終端装置(OLT)の光加入者装置(ONU)に対する発見過程を制御し、光加入者装置(ONU)へタイムスロットを割り当て、光終端装置(OLT)と光加入者装置(ONU)の時間基準(Timing Reference)を提供することである。
このように、イーサネット基盤の受動型光ネットワーク(EPON)網は、単対多重連結で構成されるため、下向フレーム転送がブロードキャスト方式で伝達される。これによってネットワーク侵入者であるハッカー(hacker)は、簡単なプログラム操作で他の光加入者へ転送されるフレームを容易に見ることが出来る問題が生じる。
しかし、現在IEEE802.3ah EPONワーキンググループでは、チャネル保安機能のための如何なる標準も定義されておらず、但しイーサネット基盤の受動型光ネットワーク(EPON)においてチャネル保安機能を提供することを望む場合にはIEEE802.1ae媒体接近制御保安(MAC Security)規格の使用を勧告している。従って、現在転送制御を遂行する多重点制御プロトコル(MPCP)メッセージには、イーサネット基盤の受動型光ネットワーク(EPON)リンクの保安を提供するための如何なる情報も含まれていない。
これによって、イーサネット基盤の受動型光ネットワーク(EPON)網において、IEEE801.ae媒体接近制御保安(MAC Security)規格を使用する場合、保安チャネルの協商及び設定のために追加的なキー分配プロトコルが要求され、これによる追加的なオーバーヘッダーフレームが転送され大域を無駄にしてしまう問題点がある。
また、キー分配プロトコルを運用するためには、光加入者装置(ONU)に中央制御装置(CPU)が存在すべきであり、もし中央制御装置(CPU)がないとキー分配プロトコルは運用出来なくなる。現在、イーサネット基盤の受動型光ネットワーク(EPON)では、光終端装置(OLT)がチャネル保安機能を提供するために、多重点制御プロトコル(MPCP)によって光加入者装置(ONU)の登録が終わった後、登録された光加入者装置(ONU)に対して保安能力を協商し、キー分配を提供する。
従って、追加的なキー分配プロトコルを使用することなく、現在イーサネット基盤の受動型光ネットワーク(EPON)から標準と定義された転送制御メカニズムである多重点制御プロトコル(MPCP)機能を利用して光加入者装置(ONU)の登録と保安チャネルの協商及び設定を一度に提供できる方法が要求され、これを通じたキー分配方法が要求される。また、光終端装置(OLT)は中央制御装置(CPU)が無い光加入者装置(ONU)に対しても保安チャネルを設定し、暗号化機能を遂行することが出来なければならない。
図3は、従来のイーサネット基盤の受動型光ネットワーク(EPON)において、多重点制御プロトコル(MPCP)を通じた保安サービス提供のためのセッションキー分配方法を図示したフロー図である。
図示された通り、セッションキーの分配過程は、先ず光終端装置(OLT)10は目的地光加入者装置(ONU)の発見過程を遂行するために平文の発見ゲートメッセージ(GATE)を周期的にマルチキャスト(dest_addr=multicast)するS11。この際、発見ゲートメッセージ(GATE)は、新たな光加入者装置(ONU)が登録できるようタイムスロットを割当(GRANT)し、自分(OLT)の容量(OLT capability)、公開キー(KUOLT)、署名(signature)のために自分(OLT)の秘密キーで暗号化した任意値(タイムスタンプ)(EKROLT[N1])を含む。
新たな目的地光加入者装置(ONU)30が上記発見ゲートメッセージ(GATE)を受信すると、光加入者装置(ONU)30は、発見ゲートメッセージ(GATE)に対する応答として登録要請メッセージ(REGISTER_REQUEST)を光終端装置(OLT)10へ転送するS13。この際、登録要請メッセージ(REGISTER_REQUEST)は物理階層IDの容量(PHY ID capa.)、光加入者装置(ONU)30の容量(ONU capa.)、光終端装置(OLT)10の容量(echo of OLT capa.)、光終端装置(OLT)10の公開キーで暗号化したセッションキー(EKUOLT[セッションキー])、光終端装置(OLT)10の公開キーで復号化した任意値(N1)、光加入者装置(ONU)30の署名のために生成した任意値(N2)を含む。そして、上記登録要請メッセージ(REGISTER_REQUEST)のうち光終端装置(OLT)10の公開キーで暗号化したセッションキーを除いた残り全てのフィールドはセッションキーで暗号化される。
光終端装置(OLT)10は、光加入者装置(ONU)30から受信した登録要請メッセージ(REGISTER_REQUEST)をセッションキーで復号化した後、光加入者装置(ONU)30が登録されたことを知らせる登録メッセージ(REGISTER)を光加入者装置(ONU)30へ転送するS15。
この際、登録メッセージ(REGISTER)は、光加入者装置(ONU)30の永久媒体接近制御(MAC)住所(dest_addr=ONU MAC addr)と、物理階層ID目録(PHY ID list)、光加入者装置(ONU)30の容量(echo of ONU capa.)、光加入者装置(ONU)30の署名(N2)を含む。
光終端装置(OLT)10は、光加入者装置(ONU)30の上向転送のため一般ゲートメッセージ(GATE)を光加入者装置(ONU)30へ転送するS17。この際、一般ゲートメッセージ(GATE)は、光加入者装置(ONU)30の永久媒体接近制御(MAC)住所(dest_addr=ONU MAC addr)と、タイムスロットを割り当てるためのタイムスロット割当フィールド(GRANT)を含み、セッションキーで暗号化される。
最後に、光加入者装置(ONU)30は、光終端装置(OLT)10から転送された登録メッセージに対する応答として、光終端装置(OLT)10へ登録確認メッセージ(REGISTER_ACK)を転送するS19。この際、登録確認メッセージ(REGISTER_ACK)は光終端装置(OLT)10の公開キーで暗号化したセッションキー(EKUOLT[セッションキー])と登録された物理階層ID(echo of registered PHY ID)を含み、セッションキーで暗号化され光終端装置(OLT)10へ伝達される。このような方法によってセッションキーの分配が行われる。
しかし、上述の従来の保安キー(セッションキー)分配過程は次のような問題点がある。先ず、光加入者装置(ONU)は必ずキー分配アルゴリズムが提供されてこそ光終端装置(OLT)が暗号化した部分を解釈できるため、キー分配アルゴリズムがない一般光加入者装置(ONU)は登録されることが出来ない。これは、イーサネット基盤の受動型光ネットワーク(EPON)標準発見過程に違反する大きな問題を発する。
二番目に、一つの光終端装置(OLT)に連結された全ての光加入者装置(ONU)は、同一方式のキー分配アルゴリズムを提供すべきであるが、これはキー分配プロトコルの効率的な運用面で弱いところがある。
三番目に、キー分配過程において光加入者装置(ONU)は、光終端装置(OLT)の公開キーで光加入者装置(ONU)のセッションキーを暗号化し、光加入者装置(ONU)のセッションキーで全てのフィールドを暗号化する、即ち2段階の構成で暗号化を遂行するためキー分配プロトコル構造が複雑という短所がある。
最後に、決定的な短所は、転送される多重点制御プロトコル(MPCP)メッセージがセッションキーと公開キーで暗号化されるためキー分配プロトコルを有する光加入者装置(ONU)とそうでない一般光加入者装置(ONU)が同一線上で存在することが出来なくなるという問題点がある。
上記のような問題点を解決するための本発明の目的は、イーサネット基盤の受動型光ネットワーク(EPON)において、多重点制御プロトコル(MPCP)を利用して光終端装置(OLT)と光加入者装置(ONU)との間に暗号化されたサービスを提供するための保安チャネルの設定方法及びこのためのフレーム転送制御用の多重点制御プロトコル(MPCP)メッセージ構造を提供することにある。
本発明の他の目的は、イーサネット基盤の受動型光ネットワーク(EPON)において、多重点制御プロトコル(MPCP)を利用して発見区間内で光終端装置(OLT)が光加入者装置(ONU)の登録及び光加入者装置(ONU)の保安能力を協商し、キー分配を提供して暗号化機能を提供するための保安チャネルの設定方法及びこのためのフレーム転送制御用の多重点制御プロトコル(MPCP)メッセージ構造を提供することにある。
本発明のまた異なる目的は、光終端装置(OLT)が遠隔で光加入者装置(ONU)に対する保安能力及びキーを割り当てるための保安チャネルの設定方法及びこのためのフレーム転送制御用の多重点制御プロトコル(MPCP)メッセージ構造を提供することにある。
上記のような目的は本発明の実施例によって、イーサネット基盤の受動型光ネットワーク(EPON)において光終端装置(OLT)と少なくとも一つの光加入者装置(ONU)との間の保安チャネル設定方法において、a)上記光終端装置(OLT)が発見区間で保安チャネル設定を望む少なくとも一つの上記光加入者装置(ONU)と、多重点制御プロトコル(MPCP)メッセージと、上記光終端装置(OLT)及び上記光加入者装置(ONU)の保安能力情報を利用して、相互保安能力を協商し、上記保安能力が協商された光加入者装置(ONU)を自動登録してチャネルを生成する段階と、b)上記光終端装置(OLT)が上記保安能力の協商及び自動登録が完了された光加入者装置(ONU)のうち上記保安能力の協商を結んだ光加入者装置(ONU)と保安のための暗号化キーを分配して上記保安チャネルを設定する段階と、c)上記保安チャネルが設定された後、上記暗号化キーが分配された上記光終端装置(OLT)と上記光加入者装置(ONU)との間に、上記暗号化キー変更時間メッセージを転送して上記暗号化キーの更新時点を共有する段階と、を含む保安チャネル設定方法によって達成される。
好ましくは、本発明の第1実施例によって上記a)段階は、上記光終端装置(OLT)が上記光加入者装置(ONU)の発見のための発見ゲートメッセージ(GATE)に上記光終端装置(OLT)の保安能力情報を包含させ転送する段階と、上記発見ゲートメッセージを受信した上記光加入者装置(ONU)が上記発見ゲートメッセージに含まれた上記光終端装置(OLT)の保安能力情報を受容できると、上記光終端装置(OLT)の保安能力情報に対応して保安能力を設定し登録要請メッセージ(REGISTER_REQUEST)に上記光終端装置(OLT)の保安能力情報を包含させ上記光終端装置(OLT)へ転送する段階と、上記登録要請メッセージを受信した光終端装置(OLT)が上記光終端装置(OLT)の保安能力情報によって上記光加入者装置(ONU)が保安能力が設定されたことと認識し上記光加入者装置(ONU)との保安能力協商を完了する段階と、上記保安能力協商が完了された上記光終端装置(OLT)と上記光加入者装置(ONU)との間に自動登録及びチャネルが生成される段階と、を含む。
本発明の第2実施例によって上記a)段階は、上記光終端装置(OLT)が上記光加入者装置(ONU)の発見のための発見ゲートメッセージ(GATE)に上記光終端装置(OLT)の保安能力情報を包含させ転送する段階と、上記発見ゲートメッセージを受信した上記光加入者装置(ONU)が上記発見ゲートメッセージに含まれた上記光終端装置(OLT)の保安能力情報を受容できないと、上記光加入者装置(ONU)の保安能力情報を登録要請メッセージ(REGISTER_REQUEST)に包含させ上記光終端装置(OLT)へ転送する段階と、上記登録要請メッセージを受信した光終端装置(OLT)が上記登録要請メッセージに含まれた上記光加入者装置(ONU)の保安能力情報を受容できると、上記光加入者装置(ONU)の保安能力情報に対応して保安能力を設定し、上記光加入者装置(ONU)の保安能力情報を登録メッセージ(REGISTER)に包含させ上記光加入者装置(ONU)へ転送する段階と、上記登録メッセージを受信した光加入者装置(ONU)が上記光加入者装置(ONU)の保安能力情報により上記光終端装置(OLT)が保安能力が設定されたことと認識し上記光終端装置(OLT)との保安能力協商を完了する段階と、上記光終端装置(OLT)が一般ゲートメッセージを上記光加入者装置(ONU)へ転送する段階と、上記一般ゲートメッセージを受信した光加入者装置(ONU)が登録確認メッセージを上記光終端装置(OLT)へ転送する段階と、上記登録確認メッセージを受信した光終端装置(OLT)が上記光加入者装置(ONU)との保安能力協商を完了する段階と、上記保安能力協商が完了された上記光終端装置(OLT)と上記光加入者装置(ONU)との間に自動登録及びチャネルが生成される段階と、を含む。
本発明の第2実施例において上記a)段階は、上記光終端装置(OLT)が上記登録要請メッセージに含まれた上記光加入者装置(ONU)の保安能力情報を受容できないと、上記光終端装置(OLT)及び上記光加入者装置(ONU)の保安能力情報が含まれていない登録メッセージ(REGISTER)を上記加入者装置(ONU)へ転送する段階をさらに含む。
本発明の第1実施例によって上記b)段階は、上記光終端装置(OLT)が上記保安能力協商が完了された光加入者装置(ONU)へ保安チャネルに使用する暗号化キーを要求するキー要求メッセージ(KEY_REQUEST)を転送する段階と、上記キー要求メッセージを受信した光加入者装置(ONU)が上記キー要求メッセージ(KEY_REQUEST)を利用して暗号化キーメッセージ(ENCRYPTION_KEY)を生成して上記光終端装置(OLT)へ転送し、暗号化モードを活性化する段階と、上記暗号化キーメッセージを受信した光終端装置(OLT)が暗号化モードを活性化し、貯蔵された暗号化キーでキー登録確認メッセージ(KEY_REGISTER_ACK)を暗号化して上記光加入者装置(ONU)へ転送する段階と、を含む。
上記b)段階は、上記キー登録確認メッセージを受信した光加入者装置(ONU)が上記キー登録確認メッセージを復号化する段階と、上記復号化したキー登録確認メッセージと上記暗号化キーメッセージが同一であると、上記暗号化モードの活性化を維持する段階と、上記復号化したキー登録確認メッセージと上記暗号化キーメッセージが同一でないと、上記暗号化モードの活性化を非活性化に転換する段階と、をさらに含む。
本発明の第2実施例により上記b)段階は、上記保安能力協商が完了された光加入者装置(ONU)が上記光終端装置(OLT)へ保安チャネルに使用する暗号化キーを要求するキー要求メッセージ(KEY_REQUEST)を転送する段階と、上記キー要求メッセージを受信した光終端装置(OLT)が上記キー要求メッセージ(KEY_REQUEST)を利用して暗号化キーメッセージ(ENCRYPTION_KEY)を生成してマスターキーで暗号化した後上記光加入者装置(ONU)へ転送する段階と、上記暗号化キーメッセージを受信した光加入者装置(ONU)が上記暗号化キーの復号成功可否によって、暗号化モードの活性及び非活性状態を選択的に遂行する段階と、上記光加入者装置(ONU)が上記受信された暗号化キーを利用してキー登録確認メッセージ(KEY_REGISTER_ACK)を暗号化して上記光終端装置(OLT)へ転送する段階と、を含む。
上記b)段階は、上記キー登録確認メッセージを受信した光終端装置(OLT)が上記キー登録確認メッセージを復号成功可否によって、上記暗号化モードの活性及び非活性状態を選択的に遂行する段階をさらに含む。
上記多重点制御プロトコルメッセージは、ヘッダー(HEADER)情報、オーピーコード(OPCODE)、タイムスタンプ(TIME STAMP)、上記保安能力情報が含まれたパラメータリスト、及びフィールド順番検査(FCS)情報を含む。
上記保安能力情報は、保安連結協約(Connectivity Association:CA)情報、保安チャネル(Secure Channel:SC)協約情報、暗号化アルゴリズムタイプ(Security Algorithm Type)情報、フレーム別暗号化モードタイプ(Security Mode per Frame Type)情報、暗号化機能活性化チェック(Control Parameters)モード情報、キー完了切迫時間(Almost PN Expire Value)情報、及びキー変更時間(PN Change Value)情報を含む。
本発明によると、多重点制御プロトコル(MPCP)を利用して光終端装置(OLT)と光加入者装置(ONU)との間に相互保安能力協商を通じ光加入者装置(ONU)の自動登録を遂行し、新たに定義したキー分配関連多重点制御プロトコル(MPCP)メッセージを通じ効率的にキー分配固能を提供することが出来る。
本発明によると、多重点制御プロトコル(MPCP)を利用して光終端装置(OLT)と光加入者装置(ONU)との間に相互保安能力協商を通じ光加入者装置(ONU)の自動登録を遂行し新たに定義したキー分配関連多重点制御プロトコル(MPCP)メッセージを通じて効率的にキー分配機能を提供することが出来る。
以下、本発明の好ましい実施例を添付の図面を参照に詳細に説明する。図面のうち同一の構成要素は可能な限り同一符号で示す。また、本発明の要旨を不明確にし得る公知機能及び構成に対する詳細な説明は省略する。
図4は、本発明の好ましい実施例によるイーサネット基盤の受動型光ネットワーク(EPON)において、保安チャネル設定のための光終端装置(OLT)と光加入者装置(ONU)との間の登録及び保安能力の協商方法を図示したフロー図である。本実施例ではIEEE802.3ah EPON標準で定義された多重点制御プロトコル(MPCP)メッセージに12バイトの保安能力フィールドを追加して光加入者装置(ONU)の登録と同時に保安能力を協商する過程を示す。
図示された通り、光終端装置(OLT)200は、標準方式と同一に発見区間(Discovery Window)が開くと、光加入者装置(ONU)の発見のために発見ゲート(GATE)メッセージを転送するS110。この際、光終端装置(OLT)200は、光加入者装置(ONU)100の存在を知らないため、目的地住所でマルチキャスト住所(dest_addr=multicast)を使用する。発見ゲートメッセージ(GATE)は、新たな光加入者装置(ONU)が該メッセージ(GATE)に応答できるよう割り当てられた6バイトのタイムスロット割当(GRANT)情報を含み、自分(OLT)の容量(OLT capability)、光加入者装置(ONU)100に運用しようとする保安機能を設定するための12バイトの保安能力(OLT Security Capabilities)情報を含む。該12バイとの保安能力(OLT Security Capabilities)情報には暗号化チャネル種類、暗号化アルゴリズムタイプ、フレーム別暗号化モード方式、及びその他のパラメータが含まれる。
発見ゲートメッセージ(GATE)を受信した新たな目的地の光加入者装置(ONU)100は、該メッセージ(GATE)に含まれた割当(GRANT)情報を利用して上向転送時間を設定し、設定された転送時間になると登録要請メッセージ(REGISTER_REQUEST)を利用して所望の個数の物理階層ID(PHY ID)を要請するS130。この際、登録要請メッセージ(REGISTER_REQUEST)は光加入者装置(ONU)100の根源地媒体接近制御(MAC)住所を使用する。登録要請メッセージ(REGISTER_REQUEST)は物理階層IDの容量(PHY ID capa.)、光加入者装置(ONU)100の容量(ONU capa.)、光終端装置(OLT)200の容量(echo of OLT capa.)、及び光終端装置(OLT)200の保安能力(echo of OLT Security Capabilities)情報を含む。
一方、光加入者装置(ONU)100は、光終端装置(OLT)200から受信された保安能力(Security Capabilities)情報を設定できるかをチェックする。もし、光加入者装置(ONU)100は光終端装置(OLT)200から要求された保安能力(OLT Security Capabilities)情報を設定できるとS120、これに対応して保安能力を設定する。また、光加入者装置(ONU)100は登録要請メッセージ(REGISTER_REQUEST)を通じ光終端装置(OLT)200から要求された保安能力(OLT Security Capabilities)情報を光終端装置(OLT)200へ再び転送し、保安協商を完了するS130。
受信された登録要請メッセージ(REGISTER_REQUEST)の保安能力フィールドに光終端装置(OLT)200の保安能力(OLT Security Capabilities)情報が含まれていると、光終端装置(OLT)200は、光加入者装置(ONU)100が正常に光終端装置(OLT)200の保安設定要求を満足したと判断し光加入者装置(ONU)100に対する保安能力協商を完了する。
一方、光加入者装置(ONU)100は、光終端装置(OLT)200から要求された保安能力(OLT Security Capabilities)情報を設定できないとS140、登録要請メッセージ(REGISTER_REQUEST)を通じ自分(ONU)が持っている保安能力(ONU Security Capabilities)情報を光終端装置(OLT)200へ転送するS150。もし、光加入者装置(ONU)200が保安機能を提供しないと、上記のような保安能力(ONU Security Capabilities)情報は転送されない。
S150段階から転送された光加入者装置(ONU)の保安能力(ONU Security Capabilities)情報が含まれた登録要請メッセージ(REGISTER_REQUEST)を受信した光終端装置(OLT)200は、光加入者装置(ONU)100が光終端装置(OLT)200の保安設定要求を満足していないと判断して光加入者装置(ONU)100から要求される保安能力を光終端装置(OLT)200で受容できるかをチェックする。
光終端装置(OLT)200は、光加入者装置(ONU)100の保安能力を設定できるとS160、光加入者装置(ONU)100の保安能力情報に対応して保安能力を設定する。また、光終端装置(OLT)200は、登録メッセージ(REGISTER)を通じ光加入者装置(ONU)100へ光終端装置(OLT)200に設定された光加入者装置(ONU)100の保安能力(ONU Security Capabilities)情報を転送し、該光加入者装置(ONU)100との保安能力協商を完了するS170。この際、光終端装置(OLT)200は、登録メッセージ(REGISTER)を通じ光加入者装置(ONU)100へ転送する時、光加入者装置(ONU)100の根源地媒体接近制御(MAC)住所に物理階層ID(PHY ID)を割り当てて転送する。
光終端装置(OLT)200は、光加入者装置(ONU)100の保安能力を設定できないとS180、保安能力情報を含まない(Null)登録メッセージ(REGISTER)を光加入者装置(ONU)100へ転送し、該光加入者装置(ONU)100に対して保安機能が提供されないS190。
一方、光終端装置(OLT)200は、S170段階で光加入者装置(ONU)100へ物理階層ID(PHY ID)を割り当てる登録メッセージ(REGISTER)を転送した後、光加入者装置(ONU)100の上向転送のために一般ゲートメッセージ(GATE)を光加入者装置(ONU)100へ転送するS210。ここで、一般ゲートメッセージ(GATE)は、光加入者装置(ONU)100がS170段階から転送された登録メッセージ(REGISTER)を正常に受信し物理階層ID(PHY ID)が割り当てられたのかを確認するための、登録確認メッセージ(REGISTER_ACK)の転送時間に対する割当(GRANT)情報を含む。
光加入者装置(ONU)100は、S170段階から転送された登録メッセージ(REGISTER)を受信すると、該登録メッセージ(REGISTER)が含まれた物理階層ID(PHY ID)をレジスターに貯蔵する。そして、もし光加入者装置(ONU)100は受信された登録メッセージ(REGISTER)に自分の保安能力(ONU Security Capabilities)情報が含まれていると、光終端装置(OLT)200が自分の保安能力情報によって保安能力が設定されたと認識し保安能力協商を完了する。もしそうではなくS190段階から転送された登録メッセージ(REGISTER)のように如何なる保安能力情報も含まれていないと、加入者装置(ONU)100は光終端装置(OLT)200が保安能力を設定していないと認識し保安機能を適用しない。
一方、光加入者装置(ONU)100は、S210段階から転送された一般ゲートメッセージ(GATE)が受信されると、上向転送時間を設定し、設定された転送時間になると物理階層ID(PHY ID)受信に対する応答として登録確認メッセージ(REGISTER_ACK)を光終端装置(OLT)200へ転送するS220。
光終端装置(OLT)200は、登録確認メッセージ(REGISTER_ACK)を受信すると、光加入者装置(ONU)100に正常に物理階層ID(PHY ID)が割り当てられたと認識し光加入者装置(ONU)100に対する自動登録を完了及びチャネルを生成するS230。
図5は、図4に図示された標準多重点制御プロトコル(MPCP)メッセージの保安能力フィールドの内部構造を表示するフレーム構造図である。
図示された通り、標準多重点制御プロトコル(MPCP)メッセージB300は64バイトで構成される。14バイトのヘッダー(HEADER)情報300には、6バイトの目的地住所と6バイトの根源地住所、そして2バイトの多重点制御プロトコル(MPCP)メッセージイーサネットタイプ情報が含まれる。2バイトのオーピーコード(OPCODE)301は、多重点制御プロトコル(MPCP)メッセージの職別者として使用される。4バイトのタイムスタンプ(TIME STAMP)302は、転送時間の単位として使用する。40バイトのパラメータリスト303には、多重点制御プロトコル(MPCP)メッセージ毎にそれぞれ異なる情報が含まれ、本発明によって提案された12バイトの保安能力フィールド304が含まれる。
12バイトの保安能力フィールド304には、連結協約情報(Connectivity Association:CA)306や、保安チャネル協約情報(Secure Channel:SC)307等のチャネル情報と、暗号化アルゴリズム運用タイプ(Security Algorithm Type)308、そしてフレーム別暗号化提供タイプ(Security Mode per Frame Type)309、暗号化機能別暗号化モード情報(Control Parameters)310、キー完了切迫時間(Almost PN Expire Value)311、及びキー変更時間(PN Change Value)312で構成される。
4ビットの連結協約(Connectivity Association:CA)情報306は、光終端装置(OLT)200と光加入者装置(ONU)100との間に具現可能な暗号アルゴリズム種類を表示し、4つの暗号化アルゴリズム種類をビットマップとして提供する。即ち、光終端装置(OLT)200と光加入者装置(ONU)100が同一の暗号アルゴリズムを使用する時、一つの連結協約情報(CA)が設定される。現在は、IEEE802.1AEの標準によりGCM−AESアルゴリズムのみ設定可能である。本実施例においてCビット313が‘1’であるとGCM−AESアルゴリズムの使用を意味し、‘0’であると使用しないことを意味する。
4ビットの保安チャネル(Secure Channel:SC)情報307は、ユニキャスト(Unicast)とブロードキャスト(Broadcast)チャネルに対して保安機能を適用するか否かを表示するに使用する。また、該保安能力フィールドが光終端装置(OLT)用であるか光加入者装置(ONU)用であるかを表示する。即ち、図面においてUビット314は、ユニキャスト(Unicast)チャネルに対する保安設定状態を示し、Bビット315は、ブロードキャスト(Broadcast)チャネルに対する保安情報状態を示す。そして、Sビット316が‘1’であると光終端装置(OLT)用保安能力情報であることを表示し、‘0’であると光加入者装置(ONU)用保安能力情報であることを表示する。
一方、1バイトの保安アルゴリズムタイプ(Security Algorithm Type)情報308は、下記表1の通り光終端装置(OLT)と光加入者装置(ONU)との間の暗号化運用モードを設定するに使用する。
Figure 2007159147
EM(Encryption Mode)
また1バイトのフレーム別暗号化(Security Mode per Frame Type)情報309は、下記表2の通り、イーサネット基盤受動型光ネットワーク(EPON)網から転送されるフレームの種類に対してそれぞれ暗号化を適用するに使用する。即ち、FTビット318の値が‘1’であると暗号化を適用し、‘0’であると暗号化を適用しない。
Figure 2007159147
フレーム別暗号化情報
1バイトの制御パラメータ(Control Parameter)情報310は、下記表3の通り内部保安機能に対する活性/非活性(Enable/Disable)を設定するに使用する。即ち、EDビット319の値が‘1’であると機能活性化をし、‘0’であると機能非活性化をする。
Figure 2007159147
機能制御情報
4バイトのキー完了切迫時間311は、該時間の周期に到達すると次の周期に使用するキーを要求する時点を示す。4バイトのキー変更時間312は、該時間周期に到達すると、キーを変更して使用することとなる時点を示す。4バイトのフィールド順番検査(FCS)情報305は、多重点制御プロトコル(MPCP)フレームB300に対するエラーチェック機能を提供する。
図6は、本発明によってイーサネット基盤受動型光ネットワーク(EPON)で保安チャネル設定のために定義されたキー関連多重点制御プロトコル(MPCP)メッセージを利用して光加入者装置(ONU)によってキー分配を提供する過程を示すフロー図である。
図示された通り、光終端装置(OLT)200と光加入者装置(ONU)100との間のキー分配は、図4の保安協商及び自動登録過程が完了された後遂行される。従って、保安協商及び自動登録が完了された光加入者装置(ONU)に対してのみキー分配が行われる。
キー分配過程は次の通り遂行される。この場合において、光加入者装置(ONU)100はキー分配のために中央制御装置(CPU)が存在する。
先ず、光終端装置(OLT)200は、保安能力協商が完了された光加入者装置(ONU)100へ保安チャネルに使用する暗号化キーを要求するキー要求メッセージ(KEY_REQUEST)を転送するS410。キー要求メッセージ(KEY_REQUEST)は、全ての光加入者装置(ONU)にまたは特定の光加入者装置(ONU)100に暗号化キーを要求することが出来る。キー要求メッセージ(KEY_REQUEST)は、光加入者装置(ONU)100においてランダム暗号化キーを作るに使用する秘標(Nonce)を提供する。
光加入者装置(ONU)100は、キー要求メッセージ(KEY_REQUEST)を受信すると、受信したキー要求メッセージ(KEY_REQUEST)に含まれた秘標(Nonce)を利用して暗号化キーを生成しS420、生成した暗号化キー(ENCRYPTION_KEY)メッセージを光終端装置(OLT)200へ転送するS430。そして光加入者装置(ONU)100は、保安モードを活性化するS440。光終端装置(OLT)200へ転送される暗号化キー(ENCRYPTION_KEY)メッセージは、イーサネット基盤受動型光ネットワーク(EPON)トポロジー構成上リンクを切断せずには他の光加入者装置(ONU)が見ることは出来ないため暗号化されない。一つの暗号化キー(ENCRYPTION_KEY)メッセージには、最大40バイトの暗号化キー情報を提供する。IEEE802.1aeによって標準化されたGCM−AES暗号アルゴリズムは、保安チャネル当たり24バイトの暗号化パラメータが使用されるため、一つのメッセージに一つの暗号化パラメータを提供することが出来る。その反面NIST標準のAES暗号アルゴリズムを使用時、保安チャネル当たり16バイトの暗号化パラメータが使用されるため、最大一つのメッセージに2個の暗号化パラメータを提供することが出来る。
光終端装置(OLT)200は、暗号化キー(ENCRYPTION_KEY)メッセージを受信すると、パラメータリストに含まれた暗号化パラメータをキーレジスターに貯蔵し、暗号化モードを活性化S450した後、貯蔵された暗号化キーでキー登録確認(KEY_REGISTER_ACK)メッセージを暗号化して光加入者装置(ONU)100へ転送するS460。
光加入者装置(ONU)100は、暗号化されたキー登録確認(KEY_REGISTER_ACK)メッセージを復号化して、自分の暗号化パラメータと同一であると光加入者装置(ONU)100の暗号化モードの活性化を維持し、そうでないと暗号化モードを非活性化するS470。
光終端装置(OLT)200と光加入者装置(ONU)100は全て暗号化モードが活性化され暗号化設定が完了された後S480、転送されるフレームに対する保安機能を提供するS490。光終端装置(OLT)200は、分配されたキーの周期を更新するためにキー変更時間(周期)メッセージ(KEY_CHANGE_TIME)を光加入者装置(ONU)100へ転送するS495。
図7は、本発明によってイーサネット基盤受動型光ネットワーク(EPON)において保安チャネル設定のために定義されたキー関連多重点制御プロトコル(MPCP)メッセージを利用して光終端装置(OLT)によってキー分配を提供する過程を示すフロー図である。
図示された通り、光終端装置(OLT)200と光加入者装置(ONU)100との間のキー分配は、図4の自動登録過程が完了された後遂行される。キー分配過程は次の通り遂行される。この場合において光終端装置(OLT)200の中央処理装置(CPU)によってキーが生成され分配されるため光加入者装置(ONU)100は、キー分配のために中央制御装置(CPU)が存在しなくとも良い。
先ず、光加入者装置(ONU)100は、保安能力協商が完了された光終端装置(OLT)200へ保安チャネルに使用する暗号化キーを要求するキー要求メッセージ(KEY_REQUEST)を転送するS610。キー要求メッセージ(KEY_REQUEST)は、光終端装置(OLT)200においてランダム暗号化キーを作るに使用する秘標(Nonce)を提供する。
光終端装置(OLT)200は、キー要求メッセージ(KEY_REQUEST)を受信すると、キー要求メッセージ(KEY_REQUEST)に含まれた秘標(Nonce)を利用して暗号化キーを生成しS620、マスターキーで暗号化された暗号化キー(ENCRYPTION_KEY)メッセージを光加入者装置(ONU)100へ転送するS630。イーサネット基盤受動型光ネットワーク(EPON)トポロジー特性上下向フレームは、他の光加入者装置(ONU)に容易に露出される恐れがあるため、光終端装置(OLT)200と光加入者装置(ONU)100に予め設定されたマスターキーで暗号化して転送される。マスターキー使用は、暗号化モード活性化と関係なく使用することが出来る。
光加入者装置(ONU)100は、マスターキーで暗号化された暗号化キー(ENCRYPTION_KEY)メッセージを受信し、成功的に復号化されると暗号化キーをキーレジスターに貯蔵して暗号化モードを活性化し、そうでなく復号化が失敗すると暗号化キーを貯蔵せず暗号化モードは非活性化されるS640。
光加入者装置(ONU)100は、光終端装置(OLT)200から受信された暗号化キー(ENCRYPTION_KEY)メッセージを利用して光終端装置(OLT)200へ暗号化されたキー登録確認(KEY_REGISTER_ACK)メッセージを転送するS650。
光終端装置(OLT)200は、光加入者装置(ONU)100のキーを利用して暗号化されたキー登録確認(KEY_REGISTER_ACK)メッセージを復号化して、成功的に復号化されると暗号化モードの活性化を維持し、そうでないと暗号化モードを非活性化するS660。
光終端装置(OLT)200と光加入者装置(ONU)100は、全て暗号化モードが活性化され保安設定が完了された後S670、転送されるフレームに対する保安機能を提供するS680。この際、光加入者装置(ONU)100は、キー変更周期を示す暗号化されたキー変更時間(KEY_CHANGE_TIME)メッセージを光終端装置(OLT)200へ転送するS690。
図8は、本発明によって図6及び図7に図示されたキー分配多重点制御プロトコル(MPCP)メッセージの種類を示した図面である。
図示された通り、キー分配に使用されるメッセージは4つで構成される。即ち、キー要求メッセージ(KEY_REQUEST)600は、保安チャネルに使用する暗号化キーまたはパラメータを要請するメッセージで、暗号化キーメッセージ(ENCRYPTION_KEY)601は、生成された暗号化キーまたはパラメータを伝達するメッセージである。キー登録確認メッセージ(KEY_REGISTER_ACK)602は、暗号化キーメッセージ(ENCRYPTION_KEY)に対する応答メッセージとして使用される。キー変更時間メッセージ(KEY_CHANGE_TIME)603は、キー変更周期を表示するメッセージである。
以上では本発明における特定の好ましい実施例に対して図示して説明した。しかし、本発明は上述の実施例に限定されず、特許請求の範囲で添付の本発明の要旨を外れることなく、当該発明が属する技術分野において通常の知識を有している者であれば、誰でも多様な変形及び均等な他の実施が可能である。従って、本発明の本の技術的保護範囲は、添付の特許請求範囲によってのみ定められるべきである。
イーサネット基盤の受動型光ネットワーク(EPON)において光終端装置(OLT)から光加入者装置(ONU)へメッセージが下向転送されることを図示した図面である。 イーサネット基盤の受動型光ネットワーク(EPON)において光加入者装置(ONU)から光終端装置(OLT)へメッセージが上向転送されることを図示した図面である。 従来のイーサネット基盤の受動型光ネットワーク(EPON)において多重点制御プロトコル(MPCP)を通じた保安サービス提供のためのセッションキー分配方法を図示したフロー図である。 本発明の好ましい実施例によるイーサネット基盤の受動型光ネットワーク(EPON)において、保安チャネル設定のための光終端装置(OLT)と光加入者装置(ONU)との間の登録及び保安能力の協商方法を図示したフロー図である。 図4に図示された標準多重点制御プロトコル(MPCP)メッセージの保安能力フィールドの内部構造を表示するフレーム構造図である。 本発明による多重点制御プロトコル(MPCP)メッセージを利用して保安チャネル設定のために光加入者装置(ONU)によってキー分配を提供する過程を示すフロー図である。 本発明による多重点制御プロトコル(MPCP)メッセージを利用して保安チャネル設定のために光終端装置(OLT)によってキー分配を提供する過程を示すフロー図である。 本発明の実施例によって図6及び図7のキー分配多重点制御プロトコル(MPCP)メッセージの種類を示した図面である。

Claims (24)

  1. イーサネット基盤の受動型光ネットワーク(EPON)において光終端装置(OLT)と少なくとも一つの光加入者装置(ONU)との間の保安チャネル設定方法において、
    a)前記光終端装置(OLT)が発見区間において保安チャネル設定を望む少なくとも一つの前記光加入者装置(ONU)と、多重点制御プロトコル(MPCP)メッセージと前記光終端装置(OLT)及び前記光加入者装置(ONU)の保安能力情報を利用して、相互保安能力を協商し、前記保安能力が協商された光加入者装置(ONU)を自動登録してチャネルを生成する段階と、
    b)前記光終端装置(OLT)が前記保安能力が協商及び自動登録が完了された光加入者装置(ONU)のうち前記保安能力の協商を結んだ光加入者装置(ONU)と保安のための暗号化キーを分配して前記保安チャネルを設定する段階と、
    c)前記保安チャネルが設定された後、前記暗号化キーが分配された前記光終端装置(OLT)と前記光加入者装置(ONU)との間に、前記暗号化キー変更時間メッセージを転送して前記暗号化キーの更新時点を共有する段階と、を含むことを特徴とする保安チャネル設定方法。
  2. 前記a)段階は、
    前記光終端装置(OLT)が前記光加入者装置(ONU)の発見のための発見ゲートメッセージ(GATE)に前記光終端装置(OLT)の保安能力情報を包含させ転送する段階と、
    前記発見ゲートメッセージを受信した前記光加入者装置(ONU)が前記発見ゲートメッセージに含まれた前記光終端装置(OLT)の保安能力情報を受容できると、前記光終端装置(OLT)の保安能力情報に対応して保安能力を設定し登録要請メッセージ(REGISTER_REQUEST)に前記光終端装置(OLT)の保安能力情報を包含させ前記光終端装置(OLT)へ転送する段階と、
    前記登録要請メッセージを受信した光終端装置(OLT)が前記光終端装置(OLT)の保安能力情報によって前記光加入者装置(ONU)が保安能力が設定されたことと認識し前記光加入者装置(ONU)との保安能力協商を完了する段階と、
    前記保安能力協商が完了された前記光終端装置(OLT)と前記光加入者装置(ONU)との間に自動登録及びチャネルが生成される段階と、を含むことを特徴とする請求項1に記載の保安チャネル設定方法。
  3. 前記a)段階は、
    前記光終端装置(OLT)が前記光加入者装置(ONU)の発見のための発見ゲートメッセージ(GATE)に前記光終端装置(OLT)の保安能力情報を包含させ転送する段階と、
    前記発見ゲートメッセージを受信した前記光加入者装置(ONU)が前記発見ゲートメッセージに含まれた前記光終端装置(OLT)の保安能力情報を受容できないと、前記光加入者装置(ONU)の保安能力情報を登録要請メッセージ(REGISTER_REQUEST)に包含させ前記光終端装置(OLT)へ転送する段階と、
    前記登録要請メッセージを受信した光終端装置(OLT)が前記登録要請メッセージに含まれた前記光加入者装置(ONU)の保安能力情報を受容できると、前記光加入者装置(ONU)の保安能力情報に対応して保安能力を設定し、前記光加入者装置(ONU)の保安能力情報を登録メッセージ(REGISTER)に包含させ前記光加入者装置(ONU)へ転送する段階と、
    前記登録メッセージを受信した光加入者装置(ONU)が前記光加入者装置(ONU)の保安能力情報によって前記光終端装置(OLT)が保安能力が設定されたことと認識し前記光終端装置(OLT)との保安能力協商を完了する段階と、
    前記光終端装置(OLT)が一般ゲートメッセージを前記光加入者装置(ONU)へ転送する段階と、
    前記一般ゲートメッセージを受信した光加入者装置(ONU)が登録確認メッセージを前記光終端装置(OLT)へ転送する段階と、
    前記登録確認メッセージを受信した光終端装置(OLT)が前記光加入者装置(ONU)との保安能力協商を完了する段階と、
    前記保安能力協商が完了された前記光終端装置(OLT)と前記光加入者装置(ONU)との間に自動登録及びチャネルが生成される段階と、を含むことを特徴とする請求項1に記載の保安チャネル設定方法。
  4. 前記光終端装置(OLT)が前記登録要請メッセージに含まれた前記光加入者装置(ONU)の保安能力情報を受容できないと、前記光終端装置(OLT)及び前記光加入者装置(ONU)の保安能力情報が含まれていない登録メッセージ(REGISTER)を前記加入者装置(ONU)へ転送する段階をさらに含むことを特徴とする請求項3に記載の保安チャネル設定方法。
  5. 前記b)段階は、
    前記光終端装置(OLT)が前記保安能力協商が完了された光加入者装置(ONU)へ保安チャネルに使用する暗号化キーを要求するキー要求メッセージ(KEY_REQUEST)を転送する段階と、
    前記キー要求メッセージを受信した光加入者装置(ONU)が前記キー要求メッセージ(KEY_REQUEST)を利用して暗号化キーメッセージ(ENCRYPTION_KEY)を生成して前記光終端装置(OLT)へ転送し、暗号化モードを活性化する段階と、
    前記暗号化キーメッセージを受信した光終端装置(OLT)が暗号化モードを活性化し、貯蔵された暗号化キーでキー登録確認メッセージ(KEY_REGISTER_ACK)を暗号化して前記光加入者装置(ONU)へ転送する段階と、を含むことを特徴とする請求項1に記載の保安チャネル設定方法。
  6. 前記キー登録確認メッセージを受信した光加入者装置(ONU)が前記キー登録確認メッセージを復号化する段階と、
    前記復号化したキー登録確認メッセージと前記暗号化キーメッセージが同一であると、前記暗号化モードの活性化を維持する段階と、
    前記復号化したキー登録確認メッセージと前記暗号化キーメッセージが同一でないと、前記暗号化モードの活性化を非活性化に転換する段階と、をさらに含むことを特徴とする請求項5に記載の保安チャネル設定方法。
  7. 前記b)段階は、
    前記保安能力協商が完了された光加入者装置(ONU)が前記光終端装置(OLT)へ保安チャネルに使用する暗号化キーを要求するキー要求メッセージ(KEY_REQUEST)を転送する段階と、
    前記キー要求メッセージを受信した光終端装置(OLT)が前記キー要求メッセージ(KEY_REQUEST)を利用して暗号化キーメッセージ(ENCRYPTION_KEY)を生成してマスターキーで暗号化した後前記光加入者装置(ONU)へ転送する段階と、
    前記暗号化キーメッセージを受信した光加入者装置(ONU)が前記暗号化キーの復号成功可否によって、暗号化モードの活性及び非活性状態を選択的に遂行する段階と、
    前記光加入者装置(ONU)が前記受信された暗号化キーを利用してキー登録確認メッセージ(KEY_REGISTER_ACK)を暗号化して前記光終端装置(OLT)へ転送する段階と、を含むことを特徴とする請求項1に記載の保安チャネル設定方法。
  8. 前記キー登録確認メッセージを受信した光終端装置(OLT)が前記キー登録確認メッセージを復号成功可否によって、前記暗号化モードの活性及び非活性状態を選択的に遂行する段階をさらに含むことを特徴とする請求項7に記載の保安チャネル設定方法。
  9. 前記多重点制御プロトコルメッセージは、
    ヘッダー(HEADER)情報、オーピーコード(OPCODE)、タイムスタンプ(TIME STAMP)、前記保安能力情報が含まれたパラメータリスト、及びフィールド順番検査(FCS)情報を含むことを特徴とする請求項1に記載の保安チャネル設定方法。
  10. 前記保安能力情報は、
    保安連結協約(Connectivity Association:CA)情報、保安チャネル(Secure Channel:SC)協約情報、暗号化アルゴリズムタイプ(Security Algorithm Type)情報、フレーム別暗号化モードタイプ(Security Mode per Frame Type)情報、暗号化機能活性化チェック(Control Parameters)モード情報、キー完了切迫時間(Almost PN Expire Value)情報、及びキー変更時間(PN Change Value)情報を含むことを特徴とする請求項9に記載の保安チャネル設定方法。
  11. 前記保安連結協約情報のうち下位1ビットは、IEEE802.1AEで使用されるGCM−AESアルゴリズムの使用有無を表示することを特徴とする請求項10に記載の保安チャネル設定方法。
  12. 前記保安チャネル協約情報のうち下位2ビットは、ユニキャスト(Unicast)とブロードキャスト(Broadcast)の論理リンクに対する保安機能設定有無を表示し、3番目のビットは前記保安能力情報が前記光終端装置(OLT)用であるか光加入者装置(ONU)用であるかの主体を表示することを特徴とする請求項10に記載の保安チャネル設定方法。
  13. 前記保安アルゴリズムタイプ情報のうち下位2ビットは、前記光終端装置(OLT)と前記光加入者装置(ONU)との間の暗号化運用モードを設定することを特徴とする請求項10に記載の保安チャネル設定方法。
  14. 前記フレーム別暗号化モード情報のうち下位3ビットは、前記イーサネット基盤受動型光ネットワークから転送されるフレームの種類に対して各々暗号化の適用有無を表示することを特徴とする請求項10に記載の保安チャネル設定方法。
  15. 前記暗号化機能活性化チェックモード情報のうち下位3ビットは、内部保安機能に対する活性及び非活性を設定することを特徴とする請求項10に記載の保安チャネル設定方法。
  16. 前記キー完了切迫時間及び前記キー変更時間情報は、次の周期の前記暗号化キー要求時間及び変更時間を設定することを特徴とする請求項10に記載の保安チャネル設定方法。
  17. メッセージの目的地と根源地情報及びプロトコル情報を記述するヘッダー(HEADER)と、
    メッセージの種類を示す職別情報を記述するオーピーコード(OPCODE)と、
    メッセージの転送時間の単位として使用されるタイムスタンプ(TIME STAMP)と、
    メッセージの種類別に要求される情報を記述するものとして、保安チャネル設定及び駆動のための保安能力情報が含まれたパラメータリストと、
    メッセージの転送誤謬チェックのためのフィールド順番検査(FCS)情報と、を含むことを特徴とするフレーム転送制御用の多重点制御プロトコルメッセージ構造。
  18. 前記保安能力情報は、
    保安連結協約(Connectivity Association:CA)情報、保安チャネル(Secure Channel:SC)協約情報、暗号化アルゴリズムタイプ(Security Algorithm Type)情報、フレーム別暗号化モードタイプ(Security Mode per Frame Type)情報、暗号化機能活性化チェック(Control Parameters)モード情報、キー完了切迫時間(Almost PN Expire Value)情報、及びキー変更時間(PN Change Value)情報を含むことを特徴とする請求項17に記載のフレーム転送制御用の多重点制御プロトコルメッセージ構造。
  19. 前記保安連結協約情報のうち下位1ビットは、IEEE802.1AEで使用されるGCM−AESアルゴリズムの使用有無を表示することを特徴とする請求項18に記載のフレーム転送制御用の多重点制御プロトコルメッセージ構造。
  20. 前記保安チャネル協約情報のうち下位2ビットは、ユニキャスト(Unicast)とブロードキャスト(Broadcast)の論理リンクに対する保安機能設定有無を表示し、3番目のビットは前記保安能力情報が前記光終端装置(OLT)用であるか光加入者装置(ONU)用であるかの主体を表示することを特徴とする請求項18に記載のフレーム転送制御用の多重点制御プロトコルメッセージ構造。
  21. 前記保安アルゴリズムタイプ情報のうち下位2ビットは、前記光終端装置(OLT)と前記光加入者装置(ONU)との間の暗号化運用モードを設定することを特徴とする請求項18に記載のフレーム転送制御用の多重点制御プロトコルメッセージ構造。
  22. 前記フレーム別暗号化モード情報のうち下位3ビットは、前記イーサネット基盤受動型光ネットワークから転送されるフレームの種類に対して各々暗号化の適用有無を表示することを特徴とする請求項18に記載のフレーム転送制御用の多重点制御プロトコルメッセージ構造。
  23. 前記暗号化機能活性化チェックモード情報のうち下位3ビットは、内部保安機能に対する活性及び非活性を設定することを特徴とする請求項18に記載のフレーム転送制御用の多重点制御プロトコルメッセージ構造。
  24. 前記キー完了切迫時間及び前記キー変更時間情報は、次の周期の前記暗号化キー要求時間及び変更時間を設定することを特徴とする請求項18に記載のフレーム転送制御用の多重点制御プロトコルメッセージ構造。
JP2006332532A 2005-12-08 2006-12-08 イーサネット基盤の受動型光ネットワークにおいて光終端装置と光加入者装置との間の保安チャネル設定方法及びこのためのフレーム転送制御用の多重点制御プロトコルメッセージ構造 Expired - Fee Related JP4455574B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20050119323 2005-12-08
KR1020060027147A KR100772180B1 (ko) 2005-12-08 2006-03-24 이더넷 기반의 수동형 광네트워크에서 광종단장치와광가입자장치들 간에 보안 채널 설정 방법 및 이를 위한프레임 전송 제어용 다중점 제어 프로토콜 메시지 구조

Publications (2)

Publication Number Publication Date
JP2007159147A true JP2007159147A (ja) 2007-06-21
JP4455574B2 JP4455574B2 (ja) 2010-04-21

Family

ID=38139390

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006332532A Expired - Fee Related JP4455574B2 (ja) 2005-12-08 2006-12-08 イーサネット基盤の受動型光ネットワークにおいて光終端装置と光加入者装置との間の保安チャネル設定方法及びこのためのフレーム転送制御用の多重点制御プロトコルメッセージ構造

Country Status (2)

Country Link
US (1) US8086872B2 (ja)
JP (1) JP4455574B2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008042612A (ja) * 2006-08-08 2008-02-21 Nippon Telegr & Teleph Corp <Ntt> 暗号化通信システム、ならびに暗号化手段を備えたoltおよびonu
JP2009510895A (ja) * 2005-12-08 2009-03-12 エレクトロニクス アンド テレコミュニケーションズ リサーチ インスチチュート イーサネットポンにおける保安チャネルの制御方法及び装置
JP2009278177A (ja) * 2008-05-12 2009-11-26 Mitsubishi Electric Corp 通信制御方法
US20100202612A1 (en) * 2009-02-09 2010-08-12 Taiki Nema Optical network system and method of changing encryption keys
WO2010109763A1 (ja) * 2009-03-23 2010-09-30 日本電気株式会社 暗号化通信システムにおける通信方法および装置

Families Citing this family (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090300886A1 (en) * 2005-10-07 2009-12-10 Hisajiro Hashimoto Pin-Retained Clip
JP4781125B2 (ja) * 2006-02-17 2011-09-28 キヤノン株式会社 情報処理システム、情報処理装置、及び周辺装置
CN101496338B (zh) * 2006-04-13 2013-08-21 塞尔蒂卡姆公司 在电子通信中提供可适用安全等级的方法和装置
US8041215B2 (en) * 2007-07-13 2011-10-18 Alcatel Lucent ONT discovery in a DWDM hybrid PON LT configuration
CN101414925B (zh) * 2007-10-17 2011-04-06 华为技术有限公司 光网络终端配置的方法及系统、装置
CN106850526B (zh) * 2007-11-29 2020-09-04 艾利森电话股份有限公司 Ims系统中的端到边缘媒体保护的方法和设备
US8509619B2 (en) * 2008-01-08 2013-08-13 Mitsubishi Electric Corporation Communication control method, station side device, subscriber side device, and communication system
FR2926940B1 (fr) * 2008-01-29 2010-06-11 Alcatel Lucent Procede pour controler l'etablissement d'une connexion dans un reseau optique.
CN101677414A (zh) * 2008-09-18 2010-03-24 华为技术有限公司 一种实现用户侧终端获取密码的方法、系统和设备
US8335235B2 (en) 2009-03-20 2012-12-18 Broadcom Corporation Methods and apparatus for extending MAC control message in EPON
CN101902447B (zh) * 2009-05-28 2012-12-26 华为技术有限公司 无源光网络中的认证方法、装置及一种无源光网络
US8850197B2 (en) * 2009-07-31 2014-09-30 Futurewei Technologies, Inc. Optical network terminal management control interface-based passive optical network security enhancement
EP2337247A1 (en) * 2009-12-21 2011-06-22 Nokia Siemens Networks Oy Method and apparatus for preventing signal interference in a passive optical network
CN102136907A (zh) * 2010-01-25 2011-07-27 中兴通讯股份有限公司 一种无源光网络系统组播业务加密方法和装置
CN102148682B (zh) * 2010-02-08 2016-02-10 中兴通讯股份有限公司 一种对发光异常光网络单元正确定位的方法及系统
US8630599B2 (en) * 2010-03-09 2014-01-14 Stmicroelectronics, Inc. Discovery of safety and non-safety capable single-radio devices in wireless environments
CN101827287B (zh) * 2010-05-14 2013-04-17 华为技术有限公司 无源光网络及其接入方法、光网络单元和光线路终端
US8873957B2 (en) * 2010-12-28 2014-10-28 Mitsubishi Electric Corporation Logical-link management method and communication device
US8677468B2 (en) 2011-01-19 2014-03-18 Telefonaktiebolaget L M Ericsson (Publ) Service activation in a passive optical network (PON)
JP5853822B2 (ja) * 2012-03-29 2016-02-09 沖電気工業株式会社 加入者側装置登録方法
US9116888B1 (en) * 2012-09-28 2015-08-25 Emc Corporation Customer controlled data privacy protection in public cloud
US9762395B2 (en) 2014-04-30 2017-09-12 International Business Machines Corporation Adjusting a number of dispersed storage units
US20150365192A1 (en) * 2014-06-16 2015-12-17 Electronics And Telecommunications Research Institute Method of tuning wavelength of tunable optical network unit (onu) in time and wavelength division multiplexing-passive optical network (twdm-pon)
KR102087781B1 (ko) * 2015-10-08 2020-03-11 한국전자통신연구원 매체 접근 제어 프레임의 단편화 기능을 지원하는 수동형 광 네트워크
US9998808B2 (en) * 2015-10-08 2018-06-12 Electronics And Telecommunications Research Institute Passive optical network (PON) supporting fragmentation function of media access control (MAC) frame
US10700783B2 (en) * 2016-02-18 2020-06-30 Futurewei Technologies, Inc. Lane bonding in passive optical networks (PONs)
KR102017883B1 (ko) 2016-07-26 2019-09-03 한국전자통신연구원 멀티 레인을 이용하여 프레임을 송신 및 수신하는 수동 광 네트워크
CN108574530B (zh) * 2017-03-14 2022-10-28 中兴通讯股份有限公司 数据发送、接收方法及装置以及多通道epon系统
US10686524B2 (en) 2017-04-28 2020-06-16 Futurewei Technologies, Inc. Discovery and registration in multi-channel passive optical networks (PONs)
KR102088968B1 (ko) * 2017-08-23 2020-03-13 한국전자통신연구원 멀티 레인을 효율적으로 활용하는 광 선로 단말 및 상기 광 선로 단말을 포함하는 수동형 광 네트워크
CN109803185B (zh) * 2017-11-15 2022-01-07 中兴通讯股份有限公司 一种onu和olt的匹配方法、装置及存储介质
US11159365B2 (en) * 2018-06-15 2021-10-26 Charter Communications Operating, Llc Apparatus and methods for synchronization pattern configuration in an optical network
CN110138552B (zh) * 2019-05-08 2021-07-20 北京邮电大学 多用户量子密钥供应方法及装置
US11381391B2 (en) * 2020-06-15 2022-07-05 Cisco Technology, Inc. Pre-shared secret key capabilities in secure MAC layer communication protocols

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100281402B1 (ko) 1998-11-26 2001-02-01 정선종 비동기 전송 모드-폰 시스템의 광 선로 종단장치에서의 하향메시지 할당 방법
JP2000228668A (ja) 2000-01-01 2000-08-15 Nec Corp パケット送信装置及び方法、パケット送出装置、パケット受信装置及び方法並びにパケット伝送システム
US7246245B2 (en) * 2002-01-10 2007-07-17 Broadcom Corporation System on a chip for network storage devices
KR100594023B1 (ko) 2002-05-14 2006-07-03 삼성전자주식회사 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법
KR100594153B1 (ko) 2002-08-07 2006-06-28 삼성전자주식회사 점대다 토폴로지의 네트워크에서 논리링크의 형성과 그보안 통신 방법
KR100933167B1 (ko) 2002-10-02 2009-12-21 삼성전자주식회사 트리 구조 네트워크 상에서의 인증과 프라이버시 보장을위한 전송 방법
JP2004180183A (ja) 2002-11-29 2004-06-24 Mitsubishi Electric Corp 局側装置、加入者側装置、ポイント・マルチポイント通信システム及びポイント・マルチポイント通信方法
KR100523357B1 (ko) 2003-07-09 2005-10-25 한국전자통신연구원 이더넷 기반 수동형 광네트워크의 보안서비스 제공을 위한키관리 장치 및 방법
WO2005086950A2 (en) * 2004-03-11 2005-09-22 Teknovus, Inc., Method for data encryption in an ethernet passive optical network
EP1735945B1 (en) 2004-04-02 2009-08-05 Research In Motion Limited Deploying and provisioning wireless handheld devices

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009510895A (ja) * 2005-12-08 2009-03-12 エレクトロニクス アンド テレコミュニケーションズ リサーチ インスチチュート イーサネットポンにおける保安チャネルの制御方法及び装置
JP4739419B2 (ja) * 2005-12-08 2011-08-03 エレクトロニクス アンド テレコミュニケーションズ リサーチ インスチチュート イーサネットポンにおける保安チャネルの制御方法及び装置
JP2008042612A (ja) * 2006-08-08 2008-02-21 Nippon Telegr & Teleph Corp <Ntt> 暗号化通信システム、ならびに暗号化手段を備えたoltおよびonu
JP2009278177A (ja) * 2008-05-12 2009-11-26 Mitsubishi Electric Corp 通信制御方法
US20100202612A1 (en) * 2009-02-09 2010-08-12 Taiki Nema Optical network system and method of changing encryption keys
US8280055B2 (en) * 2009-02-09 2012-10-02 Hitachi, Ltd. Optical network system and method of changing encryption keys
WO2010109763A1 (ja) * 2009-03-23 2010-09-30 日本電気株式会社 暗号化通信システムにおける通信方法および装置

Also Published As

Publication number Publication date
US8086872B2 (en) 2011-12-27
US20070133800A1 (en) 2007-06-14
JP4455574B2 (ja) 2010-04-21

Similar Documents

Publication Publication Date Title
JP4455574B2 (ja) イーサネット基盤の受動型光ネットワークにおいて光終端装置と光加入者装置との間の保安チャネル設定方法及びこのためのフレーム転送制御用の多重点制御プロトコルメッセージ構造
JP5288210B2 (ja) ネットワークでのユニキャスト鍵の管理方法およびマルチキャスト鍵の管理方法
US8386772B2 (en) Method for generating SAK, method for realizing MAC security, and network device
US7228415B2 (en) Method and apparatus for transferring a communication session
KR100523357B1 (ko) 이더넷 기반 수동형 광네트워크의 보안서비스 제공을 위한키관리 장치 및 방법
US20020097732A1 (en) Virtual private network protocol
US20040228360A1 (en) Security method for broadcasting service in a mobile communication system
US9191274B2 (en) Push button configuration of devices
JP2017515353A (ja) アドレス指定識別子の割り当て方法、アクセスポイント、ステーション、および通信システム
CN101299671A (zh) 用于组播数据包发送与接收的方法和装置
US7680110B2 (en) Communication device, communication system, and communication method
JP2005244976A (ja) 家電装置間の通信方法及び当該方法を実現する装置
JP2007005997A (ja) マルチキャスト通信装置及びこれを用いたponシステム
WO2011023136A1 (zh) Ip地址自动配置方法及其装置、系统
JP2016051921A (ja) 通信システム
KR20060113383A (ko) 브리지 랜에서의 보장 동시성 서비스 방법 및 장치
JP5529344B2 (ja) 安全なアーキテクチャを構築する方法、秘密通信方法及びシステム
WO2013064062A1 (zh) 传输数据包的方法及设备
CN113068181B (zh) 多类型智能终端安全入网方法
WO2011127761A1 (zh) 主机标识协议安全通道复用方法及装置
US8190887B2 (en) Cable network system and method for controlling security in cable network encrypted dynamic multicast session
WO2011088700A1 (zh) 一种无源光网络系统组播业务加密方法和装置
JP4889984B2 (ja) 通信システムおよび通信方法
WO2012149745A1 (zh) 一种数据分路传输方法及装置、系统
KR101329968B1 (ko) IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090629

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090703

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090918

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100105

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100203

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130212

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140212

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees