JP2007228292A - Station side apparatus, subscriber side apparatus, and pon system - Google Patents
Station side apparatus, subscriber side apparatus, and pon system Download PDFInfo
- Publication number
- JP2007228292A JP2007228292A JP2006047309A JP2006047309A JP2007228292A JP 2007228292 A JP2007228292 A JP 2007228292A JP 2006047309 A JP2006047309 A JP 2006047309A JP 2006047309 A JP2006047309 A JP 2006047309A JP 2007228292 A JP2007228292 A JP 2007228292A
- Authority
- JP
- Japan
- Prior art keywords
- multicast
- side device
- unit
- subscriber
- frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
Description
本発明は、光伝送媒体を介してデータ通信を行なう局側装置、加入者側装置およびPONシステムに関するものである。 The present invention relates to a station-side device, a subscriber-side device, and a PON system that perform data communication via an optical transmission medium.
近年、局側装置と加入者側装置との間を光伝送媒体を用いて接続するPON(Passive Optical Network)システムの開発が進められている。例えば、イーサネット(登録商標)を用いたPONシステムであるE−PONは、局側装置であるOLT(Optical Line Terminal)と加入者側装置である複数のONU(Optional Network Unit)を光伝送媒体で接続し、MAC(Media Access Control)フレームによってデータ送受信を行っている。ここでのOLTは通信網事業者局に設置され、ONUは加入者の宅内や屋外に設置されるとともに1〜複数の加入者端末を収容している。これにより、E−PONではPONシステムにイーサネット(登録商標)サービスを透過的に収容している。 In recent years, development of a PON (Passive Optical Network) system for connecting a station-side device and a subscriber-side device using an optical transmission medium has been advanced. For example, E-PON, which is a PON system using Ethernet (registered trademark), uses an optical line terminal (OLT) as a station side device and a plurality of ONUs (Optional Network Units) as subscriber side devices as optical transmission media. Data is transmitted and received through a MAC (Media Access Control) frame. Here, the OLT is installed in the communication network operator station, and the ONU is installed in the subscriber's home or outdoors and accommodates one or more subscriber terminals. Thereby, in E-PON, the Ethernet (registered trademark) service is transparently accommodated in the PON system.
PONシステムにおけるマルチキャストフレームの送信方法としては、以下の2つの方法がある。すなわち、第1の方法(MCB(Multiple Copy Broadcast)方式)では、上位網からマルチキャストフレームを受信したOLTが、マルチキャストフレームの宛先分だけデータをコピーしてPON区間に送出する。例えば、OLTに2台の登録ONUが接続されている場合、OLTではデータを2つ分コピーしてPON区間に送出する。また、マルチキャストグループにN台(Nは自然数)のONUが登録されていれば、OLTはN個分のデータをコピーをしてPON区間に送出する。 There are the following two methods for transmitting a multicast frame in the PON system. That is, in the first method (MCB (Multiple Copy Broadcast) method), the OLT that has received the multicast frame from the upper network copies the data for the destination of the multicast frame and sends it to the PON section. For example, when two registered ONUs are connected to the OLT, the OLT copies two pieces of data and sends them to the PON section. If N ONUs (N is a natural number) are registered in the multicast group, the OLT copies N data and sends it to the PON section.
第2の方法(SCB(Single Copy Broadcast)方式)では、上位網からマルチキャストフレームを受信したOLTが、マルチキャスト送信であることを示す情報をONU−IDとしてデータに付加し、マルチキャストデータをPON区間に送出する。このとき、OLTではデータをコピーせず、ただ1種類のフレームのみを送出する。 In the second method (SCB (Single Copy Broadcast) method), an OLT that has received a multicast frame from an upper network adds information indicating that it is multicast transmission to the data as an ONU-ID, and puts the multicast data in the PON section. Send it out. At this time, the OLT does not copy the data and sends only one type of frame.
このようなPONシステムのマルチキャスト通信においては、情報の秘匿性を保持しつつ効率よく通信することが望まれている。すなわち、PONシステムのマルチキャスト通信においては、帯域を浪費せず、なおかつセキュリティを確保することが必要となる。 In such PON system multicast communication, it is desired to communicate efficiently while maintaining the confidentiality of information. In other words, in the multicast communication of the PON system, it is necessary to ensure security without wasting bandwidth.
ところが、上述したマルチキャストフレームの第1の送信方法の場合、マルチキャストグループに登録されているONUの数だけデータをコピーして送出するため、PON区間の帯域を無駄に浪費してしまうといった問題があった。 However, in the case of the first multicast frame transmission method described above, data is copied and transmitted as many times as the number of ONUs registered in the multicast group, so that there is a problem that the bandwidth of the PON section is wasted. It was.
一方、上述したマルチキャストフレームの第2の送信方法の場合、OLTではデータをコピーせず、1種類のフレームのみを送出するため、PON区間の帯域を無駄にしない。しかしながら、伝送フレームをブロードキャスト扱いにして送信するこの方法は、特定のONU以外にもフレーム配信するため、そのONU配下の加入者端末へ伝送フレームが漏洩してしまい、秘匿性を保持できないといった問題があった。 On the other hand, in the case of the second multicast frame transmission method described above, the OLT does not copy data and sends only one type of frame, so that the bandwidth of the PON section is not wasted. However, since this method of transmitting a transmission frame in a broadcast manner distributes the frame to other than a specific ONU, the transmission frame leaks to a subscriber terminal under the ONU, and the confidentiality cannot be maintained. there were.
例えば、非特許文献1では、E−PONシステムにおける暗号化機能及び具現方法を規定している。この非特許文献1では、MACフレームの宛先アドレスDA(Destination Address)および送信元アドレスSA(Source Address)以外のフィールドを暗号化したSecure Dataフィールドに、暗号化情報を示すSecTAG(Secure TAG)フィールドと、認証情報を示すICV(Integrity Check Value)フィールドとを付加することで、セキュリティ通信を可能としている。
For example, Non-Patent
また、特許文献1に記載のVoIP通信システムは、複数の端末装置とゲートウエイとをLANを介して接続したVoIP通信システムにおいて、ゲートウエイは複数の端末装置への音声パケットなどのデータを一つにまとめ、複数の端末装置で受信可能なパケットとしてマルチキャストまたはブロードキャストによりLANに送出している。そして、各端末装置では、LANから受信した前記複数の端末装置で受信可能なパケットの中から自分宛のデータを抽出している。
The VoIP communication system described in
また、特許文献2に記載の端局装置は、ストリーム番号、マルチキャスト条件、対象終端装置識別子、マルチキャスト用暗号キーを格納するマルチキャスト用暗号キーテーブル格納部を備え、受信した伝送フレームがマルチキャスト条件に合致する場合に、ヘッダを同報通信に設定し、対応するストリーム番号をヘッダに設定し、対応するマルチキャスト用暗号キーにより伝送フレームを暗号化している。また、終端装置は、ストリーム番号、マルチキャスト用暗号キーを格納するマルチキャスト用暗号キーテーブル格納部を備え、受信した伝送フレームのヘッダが同報通信で、ヘッダに設定されているストリーム番号がマルチキャスト用暗号キーテーブル格納部に存在する場合に、対応するマルチキャスト用暗号キーにより伝送フレームを復号している。
The terminal device described in
しかしながら、上記第1の従来技術では、マルチキャスト通信において、情報の秘匿性を保持しつつ帯域を浪費しない効率の良い通信を行なうことはできないといった問題があった。 However, the first prior art has a problem that multicast communication cannot perform efficient communication that does not waste bandwidth while maintaining confidentiality of information.
また、上記第2の従来技術では、マルチキャストパケットやブロードキャストパケットを暗号化していないため、送出するデータの秘匿性を保持することができないといった問題があった。 Further, the second prior art has a problem that the confidentiality of data to be transmitted cannot be maintained because the multicast packet and the broadcast packet are not encrypted.
また、上記第3の従来技術では、送信する伝送フレームをマルチキャスト通信しているため、データ通信を行なう装置の構成が複雑となり、簡易な構成でデータの秘匿性を保持しつつデータ通信を行なうことができないといった問題があった。 In the third prior art, since the transmission frame to be transmitted is multicast-transmitted, the configuration of the data communication apparatus becomes complicated, and the data communication is performed while maintaining the confidentiality of the data with a simple configuration. There was a problem that could not.
本発明は、上記に鑑みてなされたものであって、PONシステム上で情報の秘匿性を保持しつつ効率良くデータ通信を行なう局側装置、加入者側装置およびPONシステムを得ることを目的とする。 The present invention has been made in view of the above, and an object of the present invention is to obtain a station-side device, a subscriber-side device, and a PON system that efficiently perform data communication while maintaining the confidentiality of information on the PON system. To do.
上述した課題を解決し、目的を達成するために、本発明は、1〜複数の加入者端末を収容する加入者側装置とPONシステム上の光伝送媒体を介して接続するとともにIP網に接続し、前記光伝送媒体上で所定のデータフレームによって前記加入者側装置との間でデータ送受信を行う局側装置において、マルチキャスト通信の制御に用いる制御メッセージをスヌープするスヌープ部と、前記スヌープ部のスヌープ結果に基づいてマルチキャスト用暗号鍵を生成する暗号鍵生成部と、前記暗号鍵生成部が生成したマルチキャスト用暗号鍵と、前記加入者端末のマルチキャストグループを識別するマルチキャスト識別子との対応付けに関するマルチキャスト管理テーブルに基づいて、前記マルチキャストグループのマルチキャスト識別子に対応するマルチキャスト用暗号鍵を選択し、前記マルチキャストグループへのマルチキャストフレームに暗号化に関する情報を付与して暗号化する暗号化部と、前記暗号化部で暗号化されたマルチキャストフレームをブロードキャストで加入者側装置へ送信する送信部と、を備えることを特徴とする。 In order to solve the above-described problems and achieve the object, the present invention is connected to a subscriber side apparatus accommodating one or more subscriber terminals via an optical transmission medium on a PON system and to an IP network. A snoop unit that snoops a control message used for control of multicast communication in a station side device that transmits and receives data to and from the subscriber side device using a predetermined data frame on the optical transmission medium; and Multicast related to association of encryption key generation unit for generating multicast encryption key based on snoop result, multicast encryption key generated by encryption key generation unit, and multicast identifier for identifying multicast group of subscriber terminal Based on the management table, it corresponds to the multicast identifier of the multicast group. An encryption unit that selects an encryption key for multicasting, encrypts the multicast frame to the multicast group by adding information related to encryption, and broadcasts the multicast frame encrypted by the encryption unit. And a transmission unit for transmitting to.
この発明によれば、マルチキャストグループに対応するマルチキャスト用暗号鍵でマルチキャストフレームを暗号化するとともにブロードキャストで加入者側装置へ送信するので、PONシステム上でデータフレームの秘匿性を保持しつつ効率良くデータ通信を行なうことが可能になるという効果を奏する。 According to the present invention, since the multicast frame is encrypted with the multicast encryption key corresponding to the multicast group and transmitted to the subscriber side device by broadcast, the data is efficiently stored while maintaining the confidentiality of the data frame on the PON system. There is an effect that communication can be performed.
以下に、本発明にかかる局側装置、加入者側装置およびPONシステムの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。 Embodiments of a station side device, a subscriber side device, and a PON system according to the present invention will be described below in detail with reference to the drawings. Note that the present invention is not limited to the embodiments.
この発明の実施の形態を説明する前に、本発明が適用されるEFM(Ethernet(登録商標) in the First Mile)によるギガビットE−PON(E Passive Optical Network)システム(GE−PON)について説明する。 Before describing the embodiments of the present invention, a Gigabit E-PON (E Passive Optical Network) system (GE-PON) based on EFM (Ethernet (registered trademark) in the First Mile) to which the present invention is applied will be described. .
GE−PONシステムでは、OLTにブリッジ機能を実装し、ブリッジポートとして論理ポートを適用する。一般的なブリッジは、物理ポートを単位としたスイッチングを行うが、複数のONUで1つの伝送路を共有するPONシステムにおいてONU間通信を行う場合、ブリッジにおいてONUごとのポートを意識させる必要がある。さらにONUが複数のユーザ間インタフェース(以下、UNI(User Network Interface)という))を収容する場合、ONUのUNI間通信を行うには、ブリッジにおいてUNIごとのポートを意識させる必要がある。このようなONUごとあるいはUNIごとのポートのことを論理ポートと呼ぶ。論理ポートは、OLTとONUに存在し、この間を接続する網を論理リンクと呼ぶ。 In the GE-PON system, a bridge function is implemented in the OLT, and a logical port is applied as a bridge port. A general bridge performs switching in units of physical ports, but when performing communication between ONUs in a PON system that shares a single transmission path with a plurality of ONUs, it is necessary to make the bridge aware of the ports for each ONU. . Further, when the ONU accommodates a plurality of user interfaces (hereinafter referred to as UNI (User Network Interface)), it is necessary to make the bridge aware of the port for each UNI in order to perform communication between the UNIs of the ONU. Such a port for each ONU or UNI is called a logical port. A logical port exists in the OLT and the ONU, and a network connecting the logical ports is called a logical link.
論理リンクは、PONで固有の識別子であるLLID(論理リンク識別子、Logical Link Identifier)により識別される。LLIDはOLTで選択され、ONUに通知される。LLIDは、MACフレームのプリアンブルに定義されており、16ビット構成である。ブロードキャスト用プリアンブルは、この値がすべて1で定義されている。 The logical link is identified by LLID (Logical Link Identifier) which is a unique identifier in the PON. The LLID is selected by the OLT and notified to the ONU. The LLID is defined in the preamble of the MAC frame and has a 16-bit configuration. This value is defined as 1 for all broadcast preambles.
実施の形態1.
図1は、本発明の実施の形態1にかかるPONシステムの構成を示す図である。PONシステム100は、局側装置(単局装置)である1つのOLT1と、このOLT1と光伝送媒体を介して接続される加入者側装置(終端装置)である複数のONU2を含んで構成され、各ONU2の配下には1〜複数の加入者端末5が接続される。ここでは、PONシステム100のONU2が3つであり、各ONU2に加入者端末5が1つずつ接続されている場合をPONシステム100の一例として示している。
FIG. 1 is a diagram illustrating a configuration of a PON system according to a first embodiment of the present invention. The
OLT1は、IP網101内のスイッチ4を介してデータ配信サーバ3と接続されている。なお、ここではIP網101と接続するOLT1が1つである場合について説明するが、IP網101と接続するOLT1は複数であってもよい。
The OLT 1 is connected to the
加入者端末5がグループを形成する場合、OLT1およびONU2は、例えばマルチキャスト用IPプロトコルとして加入者端末5からのMLD(Multicast Listner Discovery)やIGMP(Internet Group Multicast Protocol)のReportメッセージやLeaveメッセージ、SNI(Service Node Interface)を介したデータ配信サーバ3からのMLDやIGMP Queryメッセージをスヌープし、マルチキャストグループに関する情報(マルチキャストグループ情報)を管理する。また、PONシステム100上(OLT1とONU2との間)のデータはセキュリティ確保のため、暗号化して伝送される。ここでのReportメッセージ、Leaveメッセージ、MLDやIGMP Queryメッセージが特許請求の範囲に記載の制御メッセージに対応する。
When the
なお、例えばOLT1からONU2へユニキャスト送信を行なう場合は、OLT1からPON側へデータD1〜D3が送出される。そして、各データD1〜D3は、各データの宛先に応じたONU2から加入者端末5へ転送される。
For example, when unicast transmission is performed from
ここで、PONシステム100において伝送されるフレームフォーマットについて説明する。図2は、PONシステムにおいて伝送されるフレームフォーマットの一例を示す図である。図2では、上側に示したDAフィールド60、SAフィールド61、User Dataフィールド64が暗号化前のデータであり、下側に示したDAフィールド60、SAフィールド61、SecTAGフィールド64、Secure Dataフィールド、ICVフィールド63が暗号化後のデータである。
Here, a frame format transmitted in the
PONシステム100において伝送されるフレームフォーマット(暗号化後)は、IEEE P802.1AEに従う暗号MACフレームフォーマットを含んでいる。暗号MACフレームフォーマットは、MACフレームに、暗号化情報を示すSecTAG(Secure TAG)フィールド62と、完全性チェック情報を示すICV(Integrity Check Value)フィールド63とを備えたものである。また、未暗号MACフレームフォーマットは、宛先アドレス(DA:Destination Address)フィールド60、送信元アドレス(SA:Source Address)フィールド61、ユーザデータ(User Data)情報を示すMSDU(MAC Service Data Unit)フィールド64を備えている。
The frame format (after encryption) transmitted in the
このうち、MSDU(User Data64)に対応するSecure Data、ICV63、SecTAG62、ICV63がMPDU(MAC Protocol Data Unit)を構成している。また、DA60、SA61がMACアドレスを構成している。
Among these, Secure Data, ICV63, SecTAG62, and ICV63 corresponding to MSDU (User Data64) constitute MPDU (MAC Protocol Data Unit).
図3は、SecTAGフィールドの詳細な構成を説明するための図である。SecTAGフィールド62は、暗号タグタイプ情報であるME(MAC Ether Type)71の2バイト、暗号タグ情報であるTCI/AN(TAG Control Information/Association Number)72の1バイト、フレーム長に関する情報であるSL(Short Length)73の1バイト、パケット数の情報であるPN(Packet Number)74の4バイト、オプショナルのグループ識別情報(マルチキャスト識別子)であるSCI(Secure Connectivity Identifier)75の8バイトで構成されている。実施の形態1では、SCI75をグループ識別子とし、OLT1はONU2にマルチキャストフレームをブロードキャスト配信する。
FIG. 3 is a diagram for explaining a detailed configuration of the SecTAG field. The
TCI/AN72(暗号タグ情報)の1バイトは、バージョン情報(V:Version)の1ビット、ES(End Station)情報の1ビット、SC(Secure Channel)情報の1ビット、ブロードキャスト(SCB:Single Copy Broadcast)情報の1ビット、暗号化情報(E:Encrption)の1ビット、完全性チェック機能(ICV:Integrity Check Value)情報の1ビット、および暗号鍵(AN:Association Network)情報の2ビットで構成されている。ここでのSCは、グループ識別子であるSCI75の有無を示す情報であり、SCBはブロードキャストフレームであるか否かを示す情報である。
One byte of TCI / AN72 (encryption tag information) is 1 bit of version information (V: Version), 1 bit of ES (End Station) information, 1 bit of SC (Secure Channel) information, broadcast (SCB: Single Copy) 1 bit of broadcast information, 1 bit of encryption information (E: Encrption), 1 bit of integrity check function (ICV: Integrity Check Value) information, and 2 bits of encryption key (AN: Association Network) information Has been. Here, SC is information indicating the presence / absence of
SCI75は、システムの識別情報(System Identifer)、ポート番号(Port Number)で構成されている。ICVフィールド63は、メッセージの完全性をチェックするために使用されるフィールドである。IEEE P802.1AEの暗号化アルゴリズムであるGCM−AES(Galois Counter Mode Advanced Encryption Standard)を使用した場合、ICVの値は8バイトから16バイトのチェックサムに該当する。完全性チェックの範囲は、ユーザデータ情報(User Data)64のMSDUフィールドに対して適用できる。
The
次に、実施の形態1にかかるE−PONシステム(PONシステム100)のプロトコルスタックについて説明する。図4は、PONシステムのプロトコルスタックを説明するための図である。図4は、OSI(Open System Interconnection)参照モデルとE−PONシステムで暗号を行うプロトコルスタックを示している。 Next, a protocol stack of the E-PON system (PON system 100) according to the first embodiment will be described. FIG. 4 is a diagram for explaining the protocol stack of the PON system. FIG. 4 shows an OSI (Open System Interconnection) reference model and a protocol stack for performing encryption in the E-PON system.
E−PONシステム(PONシステム100)のOLT1、ONU2は、OSI参照モデルのデータリンク層以下でデータを扱う通信装置であり、プロトコルスタックでは、LLC(Logical Link Control)階層80、MPCP(Multi-Point Control Protocol or MAC Control)階層81、MAC階層83、RS(Reconciliation Sublayer)階層84、PCS(Physical Coding Sublayer)階層85、PMA(Physical Medium Attachment)階層86、PMD(Physical Medium Dependent Sublayer)階層87が該当する。実施の形態1での暗号化(Encryption)階層82はMPCP階層の真下に位置する。
The
図3および図4を参照すると、SecTAGフィールド(SecTAG62)のSCI領域(SCI75)は、セキュアサービス/トラフィック差別を遂行するエンティティを区別するために用いられる。また、SCI領域(SCI75)は全ONU2に対してサービス/トラフィック差別を遂行することもできる。PONシステム100ではマルチキャストデータの識別とデータの暗号化を同一レイヤで行なっている。
Referring to FIGS. 3 and 4, the SCI field (SCI 75) of the SecTAG field (SecTAG 62) is used to distinguish entities performing secure service / traffic discrimination. The SCI area (SCI 75) can also perform service / traffic discrimination for all
つぎに、実施の形態1にかかるOLT1の構成について説明する。図5は、実施の形態1にかかるOLTの構成を示すブロック図である。OLT1は、暗号化マルチキャスト通信を実現する局側装置であり、スプリッタを介して1つ以上のONU2を収容するPONインタフェース(PON−IF)(送信部)10と、IP網101への接続を行うSNI(Service Node Interface)11と、CPU(Central Processing Unit)(制御部)12とを備えている。なお、図5に示す機能構成(機能分割)はあくまで一例であり、PON−IF10およびSNI11の詳細は省略している。
Next, the configuration of the
PON−IF10は、MLD/IGMPフィルタ部13、暗号化部14、復号化部15を備える。MLD/IGMPフィルタ部(スヌープ部)13は、PON側(ONU2)からのマルチキャスト用IPプロトコルとしてMLDやIGMPのReportメッセージやLeaveメッセージをスヌープするとともに、SNI11を介したデータ配信サーバ3からのMLDやIGMP Queryメッセージをスヌープする。
The PON-
暗号化部14は、暗号鍵を保持しており、この暗号鍵によってONU2へ送信するデータを暗号化する。復号化部15は、復号鍵を保持しており、この復号鍵によってONU2から受信したデータを復号化する。
The encryption unit 14 holds an encryption key, and encrypts data to be transmitted to the
SNI11は、データ配信サーバ3からのマルチキャストデータの受信監視を行うマルチキャスト監視部16を備えている。SNI11が受信監視を行なうマルチキャストデータは、MLD/IGMPフィルタ部13に入力される。
The
CPU12は、MACアドレス/マルチキャストアドレス/MLD,IGMPスヌープ結果/暗号鍵(インデックス)/ONU(LLID)/SCIの組合せを記憶するマルチキャスト管理テーブル17を管理する。また、CPU12はPON上の論理リンクを制御する論理リンク制御部18を備え、論理リンク制御部18によってPONポートごとのLLID値の使用状況を記憶するLLID管理テーブル19を管理する。実施の形態1では、OLT1からONU2へ暗号鍵を配布する際に、LLID管理テーブル19に記憶するLLID値に基づいて、論理リンク制御部18が論理リンクを制御しユニキャスト用のパスを設定する。そして、このユニキャスト用のパスを用いてOLT1からONU2へのマルチキャストデータをブロードキャストで送信する。
The
また、CPU12はマルチキャスト用暗号鍵生成部21、MLDやIGMPメッセージを監視(スヌープ)するMLD/IGMP監視部20を備えている。また、CPU12は、CPU12内の各機能、PON−IF10、SNI11を制御する手段を備えている。
The
MLD/IGMP監視部20は、IGMPフィルタ部13がスヌープして抽出した種々のIGMPから、マルチキャスト管理テーブル17に登録する情報を読み取り、マルチキャスト管理テーブル17に登録させる。
The MLD /
マルチキャスト用暗号鍵生成部21は、OLT1と接続してOLT1が管理する加入者端末5のグループ識別子に基づいて、マルチキャスト用の暗号鍵を生成する。マルチキャスト用暗号鍵生成部21は、加入者端末のいずれかが離脱した際にマルチキャスト用の暗号鍵を生成する。また、マルチキャスト用暗号鍵生成部21は、所定の周期でマルチキャスト用の暗号鍵を生成し更新してもよい。
The multicast encryption
マルチキャスト管理テーブル17で記憶する暗号鍵のうち、ユニキャスト用の暗号鍵はONU2から通知され、PON−IF10の暗号化部14、復号化部15において保持、管理する。
Of the encryption keys stored in the multicast management table 17, the unicast encryption key is notified from the
また、マルチキャスト管理テーブル17で記憶する暗号鍵のうち、マルチキャスト用の暗号鍵はOLT1で管理するグループ識別子をもとにマルチキャスト用暗号鍵生成部21で生成し、暗号化部14、復号化部15において保持、管理する。マルチキャスト用暗号鍵生成部21で生成したマルチキャスト用の暗号鍵は、CPU11の制御に基づいて暗号化部14で暗号化され、ONU2に通知される。マルチキャスト管理テーブル17では、暗号鍵のインデックスを記憶しておく。
Of the encryption keys stored in the multicast management table 17, the multicast encryption key is generated by the multicast encryption
ここで、OLT1の動作手順について説明する。まず、OLT1がPON側(ONU2)からデータを受信した際の動作手順について説明する。OLT1は、データ配信サーバ3からのMLDやIGMP Queryメッセージに基づいて加入者端末5(ONU2)から送信されたReportメッセージを、PON−IF10から受信し、このReportメッセージをMLD/IGMPフィルタ部13においてスヌープして取り込む。このReportメッセージには、マルチキャスト通信で使用するIPグループアドレスが格納されている。
Here, the operation procedure of the
MLD/IGMP監視部20は、ReportメッセージとMLD/IGMPスヌープ結果を読み取る。ここでのIGMP監視部20は、MLD/IGMPスヌープ結果として、「Report」を示す情報をMLD/IGMPフィルタ部13から読み取る。MLD/IGMP監視部20は、Reportメッセージ内のIPグループアドレスをキーにして、マルチキャスト管理テーブル17を検索する。
The MLD /
ここで、OLT1が備えるマルチキャスト管理テーブル17の構成について説明する。図6は、OLTが備えるマルチキャスト管理テーブルの構成の一例を示す図である。マルチキャスト管理テーブル17は、加入者端末5のMACアドレス、マルチキャストアドレス(IPグループアドレス)、MLD/IGMPスヌープ結果、MACアドレスに対応するONU2のLLID(P2P(peer to peer)(ポイント・ポイント)通信用のLLID)、マルチキャストグループに対応するSCI、ONU2との間でP2P通信を行なう際の暗号鍵、ONU2との間でマルチキャスト通信(Multicast)を行なう際の暗号鍵が対応付けられた情報テーブルである。
Here, the configuration of the multicast management table 17 provided in the
マルチキャスト管理テーブル17は、ONU2とデータ配信サーバ3間で送受信されるデータ(フレーム)などを用いて作成されるものである。
The multicast management table 17 is created using data (frames) transmitted and received between the
例えば、MACアドレスがaa−aa−aa−aa−aa−aa、bb−bb−bb−bb−bb−bb、cc−cc−cc−cc−cc−ccである加入者端末5のマルチキャストアドレスは、xx.xx.xx.xxであり、この加入者端末5からのMLDやIGMPのMLD/IGMPスヌープ結果はそれぞれ「Report」(Reportメッセージ)であることを示している。
For example, the multicast address of the
また、MACアドレスがaa−aa−aa−aa−aa−aaに対応するONU2のP2P用LLIDは1でP2P用の暗号鍵が#1、MACアドレスがbb−bb−bb−bb−bb−bbに対応するONU2のP2P用LLIDは2でP2P用の暗号鍵が#2、MACアドレスがcc−cc−cc−cc−cc−ccに対応するONU2のP2P用LLIDは3でP2P用の暗号鍵が#3であることを示している。
Also, the P2P LLID of the
また、マルチキャストアドレスxx.xx.xx.xxに対応するSCIは、「00 00 00 00 00 01 00 01」であり、マルチキャスト用の暗号鍵が#Aであることを示している。ここで管理している暗号鍵はインデックス(識別情報)であり、実際の暗号鍵は、PON―IF10の暗号化部14において管理している。
The multicast address xx. xx. xx. The SCI corresponding to xx is “00 00 00 00 00 01 00 01”, indicating that the multicast encryption key is #A. The encryption key managed here is an index (identification information), and the actual encryption key is managed by the encryption unit 14 of the PON-
MLD/IGMP監視部20が、マルチキャスト管理テーブル17を検索した結果、IPグループアドレスに対応(一致)するIPマルチキャストアドレスが見つからなかった場合、MLD/IGMP監視部20は、Reportメッセージを送信してきた加入者端末5は最初のグループ参入であると判断(認識)する。そして、MLD/IGMP監視部20は、Reportメッセージに基づいて、マルチキャスト管理テーブル17の未使用エントリに、IPマルチキャストアドレス(IPグループアドレス)、ONU(LLID)、MLD/IGMPスヌープ結果(Report)、使用する暗号鍵のインデックスを記憶させるとともに、マルチキャストグループに対応したSCIを記憶させる。ここでのONU(LLID)は、OLT1とONU2の間でユニキャスト通信を行なうために予め設定されているものである。また、SCIは、マルチキャストグループの設定時にあらかじめ設定されているものである。これにより、加入者端末5が最初の参入であってもSCIに基づいた暗号化処理、マルチキャストフレームの送信処理などを行なうことが可能となる。
As a result of the MLD /
次に、MLDやIGMPのReportメッセージに含まれるIPグループアドレスと一致するIPマルチキャストアドレスがマルチキャスト管理テーブル17のエントリから見つかった場合の処理について説明する。 Next, processing when an IP multicast address that matches an IP group address included in an MLD or IGMP Report message is found from an entry in the multicast management table 17 will be described.
MLD/IGMP監視部20が、マルチキャスト管理テーブル17を検索した結果、IPグループアドレスに対応(一致)するIPマルチキャストアドレスが見つかった場合、MLD/IGMP監視部20は、Reportメッセージを送信してきた加入者端末5は2番目以降のグループ参入であると判断(認識)する。そして、MLD/IGMP監視部20は、マルチキャスト管理テーブル17内でIPマルチキャストアドレスが一致するエントリに、MLD/IGMPスヌープ結果(Report)、新たなONU(LLID)を記憶する。これにより、加入者端末5が2番目以降の参入であってもSCIに基づいた暗号化処理、マルチキャストフレームの送信処理などを行なうことが可能となる。
As a result of the MLD /
なお、PON−IF10から受信したONU2からのユニキャストデータは、マルチキャスト管理テーブル17の内容に基づいて当該ユニキャスト通信に対応する復号鍵で復号化された後、MLD/IGMPフィルタ部13でMLDやIGMPメッセージがスヌープされ、SNI11に転送される。なお、実施の形態1での復号化は例えば暗号鍵と同一の鍵(復号鍵)によって復号化する。
Note that the unicast data from the
つぎに、OLT1がデータ配信サーバ3側からデータを受信した際の動作手順について説明する。データ配信サーバ3が送信したマルチキャストデータやユニキャストデータは、スイッチ4を介してOLT1に送信される。
Next, an operation procedure when the
OLT1は、マルチキャストデータをSNI11から受信すると、このマルチキャストデータをMLD/IGMPフィルタ部13に入力する。CPU12は、データ配信サーバ3から受信したMLD/IGMPフィルタ部13内のマルチキャストデータを、マルチキャスト管理テーブル17の内容に基づいて、当該マルチキャスト通信に対応する暗号鍵で暗号化部14に暗号化させる。このとき、マルチキャストデータ内のMACプリアンブルに含まれるLLIDフィールドを「0xFFFF」のブロードキャストとしておく。また、暗号化フレームのSecTAG領域は、TCIフィールドのSCBフラグとSCフラグを「1」とし、SCIフィールドにマルチキャスト管理テーブル17で記憶しているSCIの値を挿入する。この暗号化されたマルチキャストデータは、PON−IF10によってONU2へブロードキャスト送信される。
When the
また、OLT1は、ユニキャストデータをSNI11から受信すると、このユニキャストデータをMLD/IGMPフィルタ部13に入力する。CPU12は、データ配信サーバ3から受信したMLD/IGMPフィルタ部13内のユニキャストデータを、マルチキャスト管理テーブル17の内容に基づいて、当該ユニキャストデータ通信に対応する暗号鍵で暗号化部14に暗号化させる。このとき、ユニキャストデータ内のMACプリアンブルに含まれるLLIDフィールドをユニキャストLLIDとしておく。また、暗号化フレームのSecTAG領域は、TCIフィールドのSCBフラグとSCフラグを「0」とし、SCIフィールドは具備させない。この暗号化されたユニキャストデータは、PON−IF10によってユニキャストデータの宛先に対応するONU2へユニキャスト送信される。
Further, when the
ここで、実施の形態1にかかるOLT1の暗号化部14および復号化部15で適用する暗号化アルゴリズムGCM−AESについて説明する。GCM−AESは、SecTAGのPNフィールド4バイトとSCIフィールド8バイトから、AESカウンタモードで使用するカウンタの初期値IVを暗号化部14で形成するものである。また、ICVの計算に用いるハッシュ鍵は、データ用の暗号鍵と暗号化部14が備えるAESカウンタモードの暗号化回路で生成する。
Here, the encryption algorithm GCM-AES applied by the encryption unit 14 and the
つぎに、実施の形態1にかかるONU2の構成について説明する。図7は、実施の形態1にかかるONUの構成を示すブロック図である。ONU2は、暗号化マルチキャスト通信を実現する加入者側装置(終端装置)であり、スプリッタを介してOLT1と接続するPONインタフェース(PON−IF)(送信部)30と、1つ以上の加入者端末5を収容するUNI31と、CPU32とを備えている。なお、図7に示す機能構成(機能分割)はあくまで一例であり、PON−IF30およびUNI31の詳細は省略している。
Next, the configuration of the
PON−IF30は、MLD/IGMPフィルタ部33、暗号化部38、復号化部39を備える。MLD/IGMPフィルタ部33は、UNI31(加入者端末5)からのマルチキャスト用IPプロトコルとしてMLDやIGMPのReportメッセージやLeaveメッセージをスヌープするとともに、PON(OLT1)を介したデータ配信サーバ3からのMLDやIGMP Queryメッセージをスヌープする。
The PON-
暗号化部38は、暗号鍵を保持しており、この暗号鍵によってOLT1へ送信するデータを暗号化する。復号化部39は、復号鍵を保持しており、この復号鍵によってOLT1から受信したデータを復号化する。
The
CPU32は、MACアドレス/マルチキャストアドレス/MLD,IGMPスヌープ結果/暗号鍵/SCIの組合せを記憶するマルチキャスト管理テーブル34を管理する。また、CPU32はPON上の論理リンクを制御する論理リンク制御部35を備え、論理リンク制御部35によってPONポートごとのLLID値の使用状況を記憶するLLID管理テーブル36を管理する。
The
また、CPU32はユニキャスト用暗号鍵生成部40、MLDやIGMPメッセージを監視(スヌープ)するMLD/IGMP監視部37を備えている。また、CPU32は、CPU32内の各機能、PON−IF30、UNI31を制御する手段を備えている。
The
MLD/IGMP監視部37は、MLD/IGMPフィルタ部33がスヌープした種々のMLDやIGMPから、マルチキャスト管理テーブル34に登録する情報を読み取り、マルチキャスト管理テーブル34に登録させる。
The MLD /
マルチキャスト管理テーブル34で記憶する暗号鍵(インデックス)のうち、マルチキャスト用の暗号鍵はOLT1から通知される。このOLT1から通知されるマルチキャスト用の暗号鍵は、暗号化部38、復号化部39において保持、管理される。
Of the encryption keys (indexes) stored in the multicast management table 34, the multicast encryption key is notified from the
また、マルチキャスト管理テーブル34で記憶する暗号鍵のうち、ユニキャスト用の暗号鍵はユニキャスト用暗号鍵生成部40でLLID毎に生成し、暗号化部38、復号化部39において保持、管理する。ユニキャスト用暗号鍵生成部40で生成したユニキャスト用の暗号鍵は、CPU32の制御に基づいて暗号化部38で暗号化され、OLT1に通知される。
Of the encryption keys stored in the multicast management table 34, a unicast encryption key is generated for each LLID by the unicast encryption
ここで、ONU2の動作手順について説明する。まず、ONU2が加入者端末5からデータを受信した際の動作手順について説明する。ONU2は、データ配信サーバ3からのMLDやIGMP Queryメッセージに基づいて加入者端末5から送信されたReportメッセージを、UNI31から受信し、このReportメッセージをMLD/IGMPフィルタ部33においてスヌープして取り込む。このReportメッセージには、マルチキャスト通信で使用するIPグループアドレスが格納されている。
Here, the operation procedure of the
MLD/IGMP監視部37は、ReportメッセージとMLD/IGMPスヌープ結果を読み取る。ここでのMLD/IGMP監視部37は、MLD/IGMPスヌープ結果として、「Report」を示す情報をMLD/IGMPフィルタ部33から読み取る。MLD/IGMP監視部37は、Reportメッセージ内のIPグループアドレスをキーにして、マルチキャスト管理テーブル34を検索する。
The MLD /
ここで、ONU2が備えるマルチキャスト管理テーブル34の構成について説明する。図8は、ONUが備えるマルチキャスト管理テーブルの構成の一例を示す図である。マルチキャスト管理テーブル34は、加入者端末5のMACアドレス、マルチキャストアドレス(IPグループアドレス)、MLD/IGMPスヌープ結果、マルチキャストグループに対応するSCI、OLT1との間でP2P通信を行なう際の暗号鍵、OLT1との間でマルチキャスト通信を行なう際の暗号鍵が対応付けられた情報テーブルである。
Here, the configuration of the multicast management table 34 provided in the
マルチキャスト管理テーブル34は、OLT1とデータ配信サーバ3間で送受信されるデータ(フレーム)などを用いて作成されるものであり、例えばSCIはSecTAG62内のSCI(Optional)75に基づいてマルチキャスト管理テーブル34に登録される。
The multicast management table 34 is created using data (frames) transmitted / received between the
例えば、MACアドレスがdd−dd−dd−dd−dd−dd、ee−ee−ee−ee−ee−eeである加入者端末5のマルチキャストアドレスは、yy.yy.yy.yyであり、この加入者端末5からのMLDやIGMPのMLD/IGMPスヌープ結果はそれぞれ「Report」(Reportメッセージ)であることを示している。
For example, the multicast address of the
また、MACアドレスがdd−dd−dd−dd−dd−ddに対応するP2P用の暗号鍵が#1、MACアドレスがee−ee−ee−ee−ee−eeに対応するP2P用の暗号鍵が#4であることを示している。 Also, the P2P encryption key whose MAC address corresponds to dd-dd-dd-dd-dd-dd is # 1, and the P2P encryption key whose MAC address corresponds to ee-ee-ee-ee-ee-ee. Is # 4.
また、マルチキャストアドレスyy.yy.yy.yyに対応するSCIは、「00 00 00 00 00 02 00 01」であり、マルチキャスト用の暗号鍵が#Bであることを示している。ここで管理している暗号鍵はインデックス(識別情報)であり、実際の暗号鍵は、PON―IF10の暗号化部38において管理している。
The multicast address yy. yy. yy. The SCI corresponding to yy is “00 00 00 00 00 02 00 01”, indicating that the multicast encryption key is #B. The encryption key managed here is an index (identification information), and the actual encryption key is managed by the
IGMP監視部37が、マルチキャスト管理テーブル34を検索した結果、IPグループアドレスに対応(一致)するIPマルチキャストアドレスが見つからなかった場合、MLD/IGMP監視部37は、Reportメッセージを送信してきた加入者端末5は最初のグループ参入であると判断(認識)する。そして、MLD/IGMP監視部37は、Reportメッセージに基づいて、マルチキャスト管理テーブル34の未使用エントリに、IPマルチキャストアドレス(IPグループアドレス)、MLD/IGMPスヌープ結果(Report)、使用する暗号鍵のインデックスを記憶させるとともに、マルチキャストグループに対応したSCIを記憶させる。これにより、加入者端末5が最初の参入であってもSCIに基づいた復号化処理、マルチキャストフレームの受信処理などを行なうことが可能となる。
As a result of the
次に、MLDやIGMPのReportメッセージに含まれるIPグループアドレスと一致するIPマルチキャストアドレスがマルチキャスト管理テーブル34のエントリから見つかった場合の処理について説明する。 Next, processing when an IP multicast address that matches an IP group address included in an MLD or IGMP Report message is found from an entry in the multicast management table 34 will be described.
MLD/IGMP監視部20が、マルチキャスト管理テーブル17を検索した結果、IPグループアドレスに対応(一致)するIPマルチキャストアドレスが見つかった場合、MLD/IGMP監視部20は、Reportメッセージを送信してきた加入者端末5は2番目以降のグループ参入であると判断(認識)する。そして、MLD/IGMP監視部20は、マルチキャスト管理テーブル17内でIPマルチキャストアドレスが一致するエントリに、新たな加入者端末5(MACアドレスなど)を記憶する。これにより、加入者端末5が2番目以降の参入であってもSCIに基づいた復号化処理、マルチキャストフレームの受信処理などを行なうことが可能となる。
As a result of the MLD /
なお、UNI31から受信した加入者端末5からのユニキャストデータは、MLDやIGMPメッセージの場合はMLD/IGMPフィルタ部33でスヌープし、マルチキャスト管理テーブル34の内容に基づいて当該ユニキャスト通信に対応する暗号鍵で暗号化させた後、PON−IF30に転送する。このとき、MACプリアンブルに含まれるLLIDフィールドはユニキャストLLIDとし、暗号化フレームのSecTAG領域は、TCIフィールドのSCBフラグとSCフラグを「0」とし、SCIフィールドは具備しない。
The unicast data from the
つぎに、ONU2がデータ配信サーバ3側からデータを受信した際の動作手順について説明する。データ配信サーバ3が送信したマルチキャストデータやユニキャストデータは、OLT1を介してONU2に送信される。ONU2は、マルチキャストデータをPON−IF30から受信すると、このこのマルチキャストデータをIGMPフィルタ部33に入力する。CPU32は、このマルチキャストデータを復号化部39に復号化させる。このとき、復号化部39は、マルチキャスト管理テーブル34の内容に基づいて、当該マルチキャスト通信に対応する復号鍵で復号化する。復号化部39は暗号化フレームのSCフラグが「1」の場合、SCIフィールドとマルチキャスト管理テーブル34で記憶しているSCI値を比較し、当該グループに対応した復号鍵でデータを復号する。復号化部39が復号したマルチキャストデータはUNI31に転送され、加入者端末5に送信される。
Next, an operation procedure when the
また、OLT1は、ユニキャストデータをPON−IF30から受信すると、このユニキャストデータをMLD/IGMPフィルタ部33に入力する。CPU32は、MLD/IGMPフィルタ部33内のユニキャストデータを、マルチキャスト管理テーブル34の内容に基づいて、当該ユニキャストデータ通信に対応する復号鍵で復号化部39に復号化させる。このとき、復号化部39が行なう復号条件は、暗号化フレームのSecTAG領域に従う。復号化部39が復号したユニキャストデータはUNI31に転送され、加入者端末5に送信される。
When the
つぎに、暗号鍵の配布方法について説明する。OLT1は、SecTAG62のME(MAC Ether Typeフィールド)15にPON毎に固有の暗号鍵Typeを設定する。暗号鍵を受信したOLT1またはONU2は、暗号化データを復号化して鍵情報を抽出した後、当該フレームを廃棄してPON外に転送しない。
Next, an encryption key distribution method will be described. The
つぎに、マルチキャスト用暗号鍵の第1の配布方法および第2の配布方法について説明する。第1の方法はマルチキャストグループからいずれの加入者(加入者端末5)も離脱していない場合の鍵更新に適用でき、第2の方法はマルチキャストグループからいずれかの加入者が離脱した場合と、いずれの加入者も離脱していない場合の両方の鍵更新に適用できる。 Next, a first distribution method and a second distribution method of the multicast encryption key will be described. The first method can be applied to key update when no subscriber (subscriber terminal 5) has left the multicast group, and the second method can be applied when any subscriber leaves the multicast group; Applicable to both key renewals when no subscriber has left.
第1のマルチキャスト用暗号鍵配布方法は、マルチキャストデータの送信方法と同様に、OLT1がSecTAGフィールドのSCBフラグとSCフラグをともに「1」に設定し、OLT1のマルチキャスト管理テーブル17に記憶されているSCIを挿入して、ブロードキャストでPONに出力する。ONU2は、PON−IF30からマルチキャスト用暗号鍵を受信すると、マルチキャストデータの受信方法と同様に、SecTAGフィールドに従って復号し、マルチキャスト用暗号鍵のインデックスをマルチキャスト管理テーブル34に記憶するとともに、暗号化部38でマルチキャスト用暗号鍵を管理する。
In the first multicast encryption key distribution method, similar to the multicast data transmission method, the
第2のマルチキャスト用暗号鍵配布方法は、ユニキャストデータの送信方法と同様に、OLT1がSecTAGフィールドのSCBフラグとSCフラグをともに「0」に設定し、OLT1のLLID管理テーブル19をもとに、ユニキャストでPONに出力する。ONU2は、PON−IF30からマルチキャスト用暗号鍵を受信すると、ユニキャストデータの受信方法と同様に、SecTAGフィールドに従って復号し、マルチキャスト用暗号鍵のインデックスをマルチキャスト管理テーブル34に記憶するとともに、暗号化部38でマルチキャスト用暗号鍵を管理する。
In the second multicast encryption key distribution method, the
このようにPONシステム100では、OLT1、ONU2は、伝送データが暗号化されていることを示す暗号タグタイプ情報(ME71)、データの暗号化に関する情報を表す暗号タグ情報を示す暗号化タグフィールド(TCI/AN72)、暗号化に関する情報に基づいて暗号化した伝送データ(暗号化データ)を示すパケットデータフィールド(SecTAG62)、暗号化データの完全性をチェックする完全性チェックフィールド(ICV63)を形成し、これら各フィールドおよび伝送データの宛先アドレス(DA)と送信元アドレスを示すアドレスフィールド(SA)を含む1つの伝送フレームを形成している。
As described above, in the
そして、暗号化タグフィールドは、オプショナルでマルチキャストグループ情報フィールド(SCI75)を付加し、またブロードキャストフレームであることを示すフラグビット領域(SCB)と、グループ情報フィールドの有無を示すフラグビット領域(SC)とを有している。 The encryption tag field optionally includes a multicast group information field (SCI75), a flag bit area (SCB) indicating a broadcast frame, and a flag bit area (SC) indicating the presence or absence of the group information field. And have.
これにより、ONU2とOLT1は受信したデータフレームを暗号化/復号化するべきかを判断できるとともに、SCI75に基づいて何れの暗号鍵/復号鍵を用いてデータフレームを暗号化/復号化するべきかを判断できる。したがって、OLT1からONU2へのデータ送信において、暗号化されたデータのブロードキャスト通信が可能となる。
Thereby, the
このように実施の形態1によれば、PON区間を伝送するマルチキャストデータは、IPグループアドレス毎の暗号鍵で暗号化することでセキュリティを確保することができるとともに、ブロードキャストでONU2に配信するため、伝送帯域を圧迫することなくネットワークの帯域を効率よく利用することができる。
As described above, according to the first embodiment, the multicast data transmitted in the PON section can be secured by encrypting with the encryption key for each IP group address, and is distributed to the
実施の形態2.
GCM−AES暗号方式は、PON区間外でも適用される暗号アルゴリズムである。このため、PON区間外の装置で暗号化される場合もある。例えば、OLT1の上位のデータ配信サーバ3で暗号化を行う場合、OLT1はSNI11から受信したフレームのSecTAGフィールド62の暗号化フラグ(E(Encryption))を確認し、「1」が立っていなければ暗号化を行うとともに暗号化フラグを「1」に設定して当該暗号化フレームをPONに転送する。このとき、マルチキャストアドレスのフレームであれば、MACプリアンブルのLLIDフィールドには「0xFFFF」のブロードキャストLLIDを挿入し、SecTAGフィールド62のSCBフラグを立てる。
The GCM-AES encryption method is an encryption algorithm that is applied even outside the PON interval. For this reason, it may be encrypted by a device outside the PON section. For example, when encryption is performed by the
そして、ONU2がデータ配信サーバ3で暗号化された暗号化フレームを受信すると、マルチキャスト管理テーブル34で記憶しているマルチキャストアドレスを検索し、暗号化フレームに対応する復号鍵を保持していれば復号化部39でこれを復号する。これにより、PON区間外で暗号化されたフレームであってもOLT1からONU2へフレーム送信することが可能となる。
When the
一方、ONU2が暗号化フレームに対応する暗号鍵を持たない場合、暗号化フレームを復号せずにそのまま配下の加入者端末5に転送する。また、OLT1からの暗号化フレームにおいては、SecTAG62のME(MAC Ether Type)71フィールドにONU2で復号化しないことを示すType(復号指示情報)が設定されており場合、ONU2は暗号化フレームを復号せずにそのまま配下の加入者端末5に転送する。このとき、ONU2で復号化されたかった暗号化フレームは配下の加入者端末5で処理される。これにより、ONU2が暗号化フレームに対応する暗号鍵を持たない場合であっても加入者端末5がOLT1からの暗号化フレームを取得することが可能となる。
On the other hand, if the
同様に、ONU2の配下の加入者端末5で暗号化を行う場合、ONU2はUNI31から受信したフレームのSecTAGフィールド62の暗号化フラグ(E(Encryption))に「1」が立っていなければ暗号化を行うとともに暗号化フラグを「1」に設定して当該暗号化フレームをPONに転送する。
Similarly, when encryption is performed at the
そして、OLT1が暗号化フレームを受信すると、マルチキャスト管理テーブル17で記憶しているマルチキャストアドレスを検索し、当該フレームに対応する復号鍵を保持していれば復号化部15でこれを復号する。当該フレームに対応する暗号鍵を持たない場合、復号せずにそのまま上位のIP網101に転送する。これにより、PON区間外で暗号化されたフレームであってもONU2からOLT1へフレーム送信することが可能となる。また、OLT1が暗号化フレームに対応する復号鍵を持たない場合であっても加入者端末5からの暗号化フレームをIP網101へ送信することが可能となる。
When the
また、OLT1およびONU2はPON区間に特有のフレームを独自に生成してもよい。これらのフレームはPONシステム100外を伝送するフレームと同様に、暗号化して送信することができる。たとえば、ユニキャスト宛のフレームの場合、OLT1やONU2はSecTAGフィールド62のSCフラグを「0」に設定してMACプリアンブルにユニキャストLLIDを挿入すればよい。また、マルチキャスト宛のフレームの場合、OLT1はマルチキャスト管理テーブル17で当該マルチキャストアドレスに対応するSCIを設定して記憶し、SecTAGフィールドのSCBフラグとSCフラグを「1」に設定して、SCIフィールドにマルチキャスト管理テーブル17で記憶しているSCIの値を挿入してPONに送信すればよい。このとき、MACプリアンブルのLLID領域にはブロードキャストLLIDを挿入する。
Moreover, OLT1 and ONU2 may produce | generate the flame | frame peculiar to a PON area uniquely. These frames can be encrypted and transmitted in the same manner as frames transmitted outside the
PON区間特有のフレームは、SecTAG62のME(MAC Ether Type)71フィールドにPON区間に固有の暗号化フレームであることを示すTypeを設定する(PON固有情報の付加)。これにより、OLT1およびONU2はデータを復号化して情報を抽出した後、当該フレームを廃棄してPON外に転送しない。これにより、PON区間特有のフレームは、PON区間内で処理されることとなり、PON区間特有のフレームをPON区間外へ流出することを防止できる。
For a frame specific to the PON section, a Type indicating that it is an encrypted frame unique to the PON section is set in the ME (MAC Ether Type) 71 field of the SecTAG 62 (addition of PON specific information). Thus, the
PON区間に固有のフレームを暗号化する暗号鍵の配布方法について説明する。SecTAG62のME(MAC Ether Type)71フィールドにPONに固有の暗号鍵Typeを設定する。暗号鍵を受信したOLT1またはONU2は、暗号化データを復号化して鍵情報を抽出した後、当該フレームを廃棄してPON外に転送しない。これにより、PON区間特有の鍵情報は、PON区間内で処理されることとなり、PON区間特有の鍵情報をPON区間外へ流出することを防止できる。
An encryption key distribution method for encrypting a frame unique to the PON section will be described. An encryption key Type unique to the PON is set in the ME (MAC Ether Type) 71 field of the SecTAG62. The
このように実施の形態2によれば、PON区間外で暗号化したデータもセキュリティを確保した状態でPON区間を伝送できるとともに、マルチキャストフレームはブロードキャストで配信するため帯域を効率よく利用することができる。また、PON区間に特有のフレームも暗号化通信を行い、当該フレームはPON外に転送しないため、セキュリティが強化できる。 As described above, according to the second embodiment, data encrypted outside the PON section can be transmitted through the PON section in a state where security is ensured, and the multicast frame is distributed by broadcast, so that the band can be used efficiently. . Further, since the frame unique to the PON section is also encrypted and the frame is not transferred outside the PON, security can be enhanced.
以上のように、本発明にかかる局側装置、加入者側装置およびPONシステムは、秘匿性を保持したデータ通信に適している。 As described above, the station-side device, the subscriber-side device, and the PON system according to the present invention are suitable for data communication that maintains confidentiality.
1 OLT
2 ONU
3 データ配信サーバ
4 スイッチ
5 加入者端末
10,32 CPU
11 SNI
12,30 PON−IF
13,33 MLD/IGMPフィルタ部
14,38 暗号化部
15,39 復号化部
16 マルチキャスト監視部
17,34 マルチキャスト管理テーブル
18,35 論理リンク制御部
19,36 LLID管理テーブル
20,37 MLD/IGMP監視部
21 マルチキャスト用暗号鍵生成部
31 UNI
40 ユニキャスト用暗号鍵生成部
100 PONシステム
101 IP網
1 OLT
2 ONU
3
11 SNI
12,30 PON-IF
13, 33 MLD /
40 Unicast Encryption
Claims (14)
マルチキャスト通信の制御に用いる制御メッセージをスヌープするスヌープ部と、
前記スヌープ部のスヌープ結果に基づいてマルチキャスト用暗号鍵を生成する暗号鍵生成部と、
前記暗号鍵生成部が生成したマルチキャスト用暗号鍵と、前記加入者端末のマルチキャストグループを識別するマルチキャスト識別子との対応付けに関するマルチキャスト管理テーブルに基づいて、前記マルチキャストグループのマルチキャスト識別子に対応するマルチキャスト用暗号鍵を選択し、前記マルチキャストグループへのマルチキャストフレームに暗号化に関する情報を付与して暗号化する暗号化部と、
前記暗号化部で暗号化されたマルチキャストフレームをブロードキャストで加入者側装置へ送信する送信部と、
を備えることを特徴とする局側装置。 A subscriber side device accommodating a plurality of subscriber terminals is connected to an IP network through an optical transmission medium on a PON system, and the subscriber side device is connected to the IP network by a predetermined data frame on the optical transmission medium. In the station side device that sends and receives data to and from
A snoop unit that snoops a control message used to control multicast communication;
An encryption key generation unit for generating a multicast encryption key based on the snoop result of the snoop unit;
A multicast cipher corresponding to the multicast identifier of the multicast group based on a multicast management table relating to the multicast encryption key generated by the encryption key generation unit and the multicast identifier identifying the multicast group of the subscriber terminal An encryption unit that selects a key and encrypts the multicast frame to the multicast group with information related to encryption; and
A transmission unit that broadcasts the multicast frame encrypted by the encryption unit to the subscriber side device; and
A station-side device comprising:
前記記憶部は、前記スヌープ部がスヌープした制御メッセージ内のマルチキャストアドレスと前記制御メッセージを送信してきた加入者側装置とを対応付けて記憶し、
前記送信部は、前記加入者側装置へマルチキャストフレームを送信する際に、前記記憶部内の情報に基づいて前記加入者側装置のマルチキャストアドレスに対応するマルチキャスト識別子を選択し、選択したマルチキャスト識別子を前記マルチキャストフレームに付与して送信することを特徴とする請求項1に記載の局側装置。 A storage unit for storing the multicast management table;
The storage unit stores the multicast address in the control message snooped by the snoop unit in association with the subscriber side device that has transmitted the control message,
When transmitting a multicast frame to the subscriber side device, the transmission unit selects a multicast identifier corresponding to the multicast address of the subscriber side device based on information in the storage unit, and selects the selected multicast identifier The station-side apparatus according to claim 1, wherein the station-side apparatus transmits the multicast frame.
マルチキャスト通信の制御に用いる制御メッセージをスヌープするスヌープ部と、
前記局側装置から送信されるマルチキャスト用復号鍵を取得する復号鍵取得部と、
前記復号鍵取得部が取得したマルチキャスト用復号鍵と、前記加入者端末のマルチキャストグループを識別するマルチキャスト識別子との対応付けに関するマルチキャスト管理テーブルおよび前記スヌープ部のスヌープ結果に基づいて、前記マルチキャストグループのマルチキャスト識別子に対応するマルチキャスト用復号鍵を選択し、前記局側装置からブロードキャストで送信されたマルチキャストフレームを復号化する復号化部と、
を備えることを特徴とする加入者側装置。 The station side device connected to the IP network is connected via an optical transmission medium on the PON system and accommodates one to a plurality of subscriber terminals, and is connected to the station side device by a predetermined data frame on the optical transmission medium. In the subscriber side device that sends and receives data between
A snoop unit that snoops a control message used to control multicast communication;
A decryption key acquisition unit for acquiring a multicast decryption key transmitted from the station side device;
Multicast of the multicast group based on the multicast management table related to the association between the multicast decryption key acquired by the decryption key acquisition unit and the multicast identifier for identifying the multicast group of the subscriber terminal and the snoop result of the snoop unit A decryption unit for selecting a multicast decryption key corresponding to the identifier and decrypting a multicast frame broadcast from the station side device;
A subscriber-side device comprising:
前記記憶部は、前記スヌープ部がスヌープした制御メッセージ内のマルチキャストアドレスと前記制御メッセージを送信してきた加入者端末とを対応付けて記憶し、
前記復号化部は、前記局側装置からのマルチキャストフレームを受信すると、前記加入者端末を収容する加入者側装置のマルチキャストアドレスに対応するマルチキャスト識別子を前記マルチキャストフレームから抽出し、抽出したマルチキャスト識別子に対応するマルチキャスト用復号鍵を前記記憶部内から選択して前記マルチキャストフレームを復号化することを特徴とする請求項7に記載の加入者側装置。 A storage unit for storing the multicast management table;
The storage unit stores the multicast address in the control message snooped by the snoop unit in association with the subscriber terminal that has transmitted the control message,
When the decoding unit receives a multicast frame from the station side device, the decoding unit extracts a multicast identifier corresponding to the multicast address of the subscriber side device accommodating the subscriber terminal from the multicast frame, and extracts the extracted multicast identifier. 8. The subscriber side apparatus according to claim 7, wherein a corresponding multicast decryption key is selected from the storage unit and the multicast frame is decrypted.
前記復号指示情報が前記復号化部で復号化しないことを指示する情報である場合に、前記局側装置からのマルチキャストフレームを復号化せずに前記加入者端末に転送するよう制御する制御部をさらに備えることを特徴とする請求項7〜9のいずれか1つに記載の加入者側装置。 The multicast frame from the station side device includes decoding instruction information for instructing whether or not to decode the multicast frame by the decoding unit,
A control unit that controls to transfer a multicast frame from the station side device to the subscriber terminal without decoding when the decoding instruction information is information indicating that the decoding unit does not perform decoding; The subscriber-side device according to any one of claims 7 to 9, further comprising:
前記局側装置は、
マルチキャスト通信の制御に用いる制御メッセージをスヌープする第1のスヌープ部と、
前記第1のスヌープ部のスヌープ結果に基づいてマルチキャスト用暗号鍵を生成する暗号鍵生成部と、
前記暗号鍵生成部が生成したマルチキャスト用暗号鍵と、前記加入者端末のマルチキャストグループを識別するマルチキャスト識別子との対応付けに関する第1のマルチキャスト管理テーブルに基づいて、前記マルチキャストグループのマルチキャスト識別子に対応するマルチキャスト用暗号鍵を選択し、前記マルチキャストグループへのマルチキャストフレームに暗号化に関する情報を付与して暗号化する暗号化部と、
前記暗号化部で暗号化されたマルチキャストフレームをブロードキャストで加入者側装置へ送信する送信部と、
を備え、
前記加入者側装置は、
マルチキャスト通信の制御に用いる制御メッセージをスヌープする第2のスヌープ部と、
前記局側装置から送信されるマルチキャスト用復号鍵を取得する復号鍵取得部と、
前記復号鍵取得部が取得したマルチキャスト用復号鍵と、前記加入者端末のマルチキャストグループを識別するマルチキャスト識別子との対応付けに関する第2のマルチキャスト管理テーブルおよび前記スヌープ部のスヌープ結果に基づいて、前記マルチキャストグループのマルチキャスト識別子に対応するマルチキャスト用復号鍵を選択し、前記局側装置からのマルチキャストフレームを復号化する復号化部と、
を備えることを特徴とするPONシステム。
A subscriber-side device that accommodates one or more subscriber terminals and a station-side device that accommodates the subscriber-side device and is connected to an IP network are connected by a transmission medium, and the subscriber is connected by a predetermined data frame. In a PON system that transmits and receives data between a side device and the station side device,
The station side device
A first snoop unit that snoops a control message used to control multicast communication;
An encryption key generation unit for generating a multicast encryption key based on the snoop result of the first snoop unit;
Corresponds to the multicast identifier of the multicast group based on the first multicast management table related to the correspondence between the multicast encryption key generated by the encryption key generator and the multicast identifier for identifying the multicast group of the subscriber terminal An encryption unit that selects a multicast encryption key and encrypts the multicast frame to the multicast group by adding information related to encryption; and
A transmission unit that broadcasts the multicast frame encrypted by the encryption unit to the subscriber side device; and
With
The subscriber side device is:
A second snoop unit that snoops a control message used to control multicast communication;
A decryption key acquisition unit for acquiring a multicast decryption key transmitted from the station side device;
Based on the second multicast management table related to the correspondence between the multicast decryption key acquired by the decryption key acquisition unit and the multicast identifier for identifying the multicast group of the subscriber terminal, and the snoop result of the snoop unit, the multicast Selecting a multicast decryption key corresponding to the multicast identifier of the group, and decrypting the multicast frame from the station side device; and
A PON system comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006047309A JP4685659B2 (en) | 2006-02-23 | 2006-02-23 | Station side device, subscriber side device and PON system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006047309A JP4685659B2 (en) | 2006-02-23 | 2006-02-23 | Station side device, subscriber side device and PON system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007228292A true JP2007228292A (en) | 2007-09-06 |
JP4685659B2 JP4685659B2 (en) | 2011-05-18 |
Family
ID=38549647
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006047309A Expired - Fee Related JP4685659B2 (en) | 2006-02-23 | 2006-02-23 | Station side device, subscriber side device and PON system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4685659B2 (en) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008199391A (en) * | 2007-02-14 | 2008-08-28 | Hitachi Ltd | Encryption communication system and encryption communication device |
JP2010016753A (en) * | 2008-07-07 | 2010-01-21 | Mitsubishi Electric Corp | Pon system |
JP2010158028A (en) * | 2009-01-05 | 2010-07-15 | Pmc-Sierra Inc | Ieee802.1ae in epon (1gepon and 10gepon) network and method for practicing 802.1af security |
JP2010161548A (en) * | 2009-01-07 | 2010-07-22 | Hitachi Ltd | Data distribution system, key management device, and key management method |
JP2010527205A (en) * | 2007-05-07 | 2010-08-05 | アルカテル−ルーセント | GPONOAM using the method of IEEE802.1ag |
JP2012080227A (en) * | 2010-09-30 | 2012-04-19 | Hitachi Information & Communication Engineering Ltd | Communication system and method |
JP2013034143A (en) * | 2011-08-03 | 2013-02-14 | Nippon Telegr & Teleph Corp <Ntt> | Optical line terminating device and key switching method |
CN112449376A (en) * | 2019-09-05 | 2021-03-05 | 苹果公司 | System and method for enhanced high throughput (ehT) station |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004343243A (en) * | 2003-05-13 | 2004-12-02 | Mitsubishi Electric Corp | Multicast communication system and station side device in pon system |
-
2006
- 2006-02-23 JP JP2006047309A patent/JP4685659B2/en not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004343243A (en) * | 2003-05-13 | 2004-12-02 | Mitsubishi Electric Corp | Multicast communication system and station side device in pon system |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008199391A (en) * | 2007-02-14 | 2008-08-28 | Hitachi Ltd | Encryption communication system and encryption communication device |
JP2010527205A (en) * | 2007-05-07 | 2010-08-05 | アルカテル−ルーセント | GPONOAM using the method of IEEE802.1ag |
JP2010016753A (en) * | 2008-07-07 | 2010-01-21 | Mitsubishi Electric Corp | Pon system |
JP2010158028A (en) * | 2009-01-05 | 2010-07-15 | Pmc-Sierra Inc | Ieee802.1ae in epon (1gepon and 10gepon) network and method for practicing 802.1af security |
JP2010161548A (en) * | 2009-01-07 | 2010-07-22 | Hitachi Ltd | Data distribution system, key management device, and key management method |
JP2012080227A (en) * | 2010-09-30 | 2012-04-19 | Hitachi Information & Communication Engineering Ltd | Communication system and method |
JP2013034143A (en) * | 2011-08-03 | 2013-02-14 | Nippon Telegr & Teleph Corp <Ntt> | Optical line terminating device and key switching method |
CN112449376A (en) * | 2019-09-05 | 2021-03-05 | 苹果公司 | System and method for enhanced high throughput (ehT) station |
Also Published As
Publication number | Publication date |
---|---|
JP4685659B2 (en) | 2011-05-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4685659B2 (en) | Station side device, subscriber side device and PON system | |
US9838363B2 (en) | Authentication and initial key exchange in ethernet passive optical network over coaxial network | |
US8335316B2 (en) | Method and apparatus for data privacy in passive optical networks | |
CN111010274B (en) | Safe and low-overhead SRv6 implementation method | |
KR100594153B1 (en) | Formation of Logical Link and Its Secure Communication Method in Network of Point-to-Manage Topology | |
US8280055B2 (en) | Optical network system and method of changing encryption keys | |
US20020110245A1 (en) | Method and system for synchronizing security keys in a point-to-multipoint passive optical network | |
JPWO2007135858A1 (en) | Optical communication system, station side device, and subscriber side device | |
CN101102152B (en) | Method for guaranteeing data security in passive optical network | |
JP2004343243A (en) | Multicast communication system and station side device in pon system | |
JP2007005997A (en) | Multicast communication device and pon system using the same | |
US7450719B2 (en) | Gigabit Ethernet-based passive optical network and data encryption method | |
CN105610590B (en) | A kind of multicast message transmission method and device | |
CN111669270A (en) | Quantum encryption transmission method and device based on label switching | |
JP4889984B2 (en) | Communication system and communication method | |
JP2007158962A (en) | Pon system | |
JP3986956B2 (en) | Parent station, slave station, communication system, communication program, and computer-readable recording medium recording the communication program | |
JP2004260556A (en) | Station-side apparatus, subscriber-side apparatus, communication system, and encryption key notifying method | |
JPWO2001050686A1 (en) | Information transceiver | |
CN101325460B (en) | Method for processing downstream broadcast and great-extension business of GPON system | |
JP2006245778A (en) | Communication apparatus, communication method, and program | |
JP2003060633A (en) | Passive light network system, ciphering method therefor and network system | |
WO2008141505A1 (en) | Multicast method and its device for gigabit passive optical network system | |
JP2015133610A (en) | Station side device, pon system and control method of station side device | |
Kim et al. | The implementation of the link security module in an EPON access network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080623 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101008 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101109 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110105 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110208 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110210 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140218 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |