JP2014036386A - Communication system, station-side control unit, terminal-side control unit, and communication control method - Google Patents
Communication system, station-side control unit, terminal-side control unit, and communication control method Download PDFInfo
- Publication number
- JP2014036386A JP2014036386A JP2012177560A JP2012177560A JP2014036386A JP 2014036386 A JP2014036386 A JP 2014036386A JP 2012177560 A JP2012177560 A JP 2012177560A JP 2012177560 A JP2012177560 A JP 2012177560A JP 2014036386 A JP2014036386 A JP 2014036386A
- Authority
- JP
- Japan
- Prior art keywords
- switching
- optical line
- line unit
- key
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
Description
本発明は、通信システム、宅側制御部、局側制御部および通信制御方法に関し、特に、冗長構成およびセキュリティ機能を有する通信システム、この通信システムにおける宅側制御部、局側制御部および通信制御方法に関する。 The present invention relates to a communication system, a home-side control unit, a station-side control unit, and a communication control method, and in particular, a communication system having a redundant configuration and a security function, a home-side control unit, a station-side control unit, and communication control in this communication system Regarding the method.
近年、インターネットが広く普及しており、利用者は世界各地で運営されているサイトの様々な情報にアクセスし、その情報を入手することが可能である。これに伴って、ADSL(Asymmetric Digital Subscriber Line)およびFTTH(Fiber To The Home)等のブロードバンドアクセスが可能な装置も急速に普及してきている。 In recent years, the Internet has become widespread, and users can access various information on sites operated in various parts of the world and obtain the information. Along with this, devices capable of broadband access such as ADSL (Asymmetric Digital Subscriber Line) and FTTH (Fiber To The Home) are rapidly spreading.
IEEE Std 802.3ah(登録商標)−2004(非特許文献1)には、複数の宅側装置(ONU:Optical Network Unit)が光通信回線を共有して局側装置(OLT:Optical Line Terminal)とのデータ伝送を行なう媒体共有形通信である受動的光ネットワーク(PON:Passive Optical Network)の1つの方式が開示されている。すなわち、PONを通過するユーザ情報およびPONを管理運用するための制御情報を含め、すべての情報がイーサネット(登録商標)フレームの形式で通信されるEPON(Ethernet(登録商標) PON)と、EPONのアクセス制御プロトコル(MPCP(Multi-Point Control Protocol))およびOAM(Operations Administration and Maintenance)プロトコルとが規定されている。局側装置と宅側装置との間でMPCPフレームをやりとりすることによって、宅側装置の加入、離脱、および上りアクセス多重制御などが行なわれる。また、非特許文献1では、MPCPメッセージによる、新規宅側装置の登録方法、帯域割り当て要求を示すレポート、および送信指示を示すゲートについて記載されている。
In IEEE Std 802.3ah (registered trademark) -2004 (non-patent document 1), a plurality of home side devices (ONU: Optical Network Unit) share an optical communication line, and a station side device (OLT: Optical Line Terminal). One method of a passive optical network (PON), which is a medium-sharing communication that performs data transmission with the network, is disclosed. That is, EPON (Ethernet (registered trademark) PON) in which all information is communicated in the form of an Ethernet (registered trademark) frame, including user information passing through the PON and control information for managing and operating the PON, and EPON An access control protocol (MPCP (Multi-Point Control Protocol)) and an OAM (Operations Administration and Maintenance) protocol are defined. By exchanging MPCP frames between the station side device and the home side device, the home side device joins and leaves, and uplink access multiplexing control is performed. Non-Patent
なお、1ギガビット/秒の通信速度を実現するEPONであるGE−PONの次世代の技術として、IEEE802.3av(登録商標)−2009として標準化が行なわれた10G−EPONすなわち通信速度が10ギガビット/秒相当のEPONにおいても、アクセス制御プロトコルはMPCPが前提となっている。 As a next-generation technology of GE-PON, which is an EPON that realizes a communication speed of 1 gigabit / second, 10G-EPON standardized as IEEE 802.3av (registered trademark) -2009, that is, a communication speed of 10 gigabit / Even in EPON equivalent to seconds, the access control protocol is predicated on MPCP.
また、PONでは、局側装置から送信される光信号は基本的に配下の全ONUに到達することから、ユーザデータ等を保護するための暗号化機能が必要となる。また、ONUから送信される光信号についても、成りすまし防止、および反射光の傍受による通信内容の暴露を防止するために暗号化機能が必要となる。このような暗号化機能の一例として、たとえば、IEEE Std 802.1AE(登録商標)−2006(非特許文献2)には、SAK(Secure Association Key)等を用いてユーザデータを暗号化する技術が開示されている。 In PON, since an optical signal transmitted from a station side device basically reaches all subordinate ONUs, an encryption function is required to protect user data and the like. In addition, an optical function transmitted from the ONU also requires an encryption function to prevent spoofing and prevent communication contents from being exposed due to interception of reflected light. As an example of such an encryption function, for example, IEEE Std 802.1AE (registered trademark) -2006 (Non-Patent Document 2) includes a technique for encrypting user data using a SAK (Secure Association Key) or the like. It is disclosed.
ところで、一般的にビジネス向けのネットワークサービスでは、高品質サービスを提供するためにシステムの二重化(冗長化)が必須である。また、音声/映像配信サービスでも二重化システムを用いることにより信頼性の高いシステムを提供することができる。二重化システムでは、装置、部品およびネットワークの各々が必要に応じて運用系および待機系を有する冗長構成がとられる。運用しているシステムの一部に障害が発生した場合には、運用系から待機系への冗長切り替えを行なうことにより、障害によるシステム停止時間をできるだけ短くすることが可能となる。 By the way, in general, in a network service for business, in order to provide a high quality service, it is essential to make a system redundant (redundant). Also, a highly reliable system can be provided by using a duplex system in an audio / video distribution service. In the redundant system, a redundant configuration is adopted in which each of the devices, components, and network has an active system and a standby system as required. When a failure occurs in a part of the operating system, it is possible to make the system stop time due to the failure as short as possible by performing redundant switching from the active system to the standby system.
また、障害が顕在化していなくても、特性の劣化傾向および部品の寿命等を勘案して、モジュールを予防的に交換する場合がある。システムがモジュールについて冗長構成を有していれば、このような保守作業によるシステム停止時間をできるだけ短くすることが可能となる。 Even if a failure has not become apparent, the module may be replaced proactively in consideration of the deterioration tendency of characteristics, the life of parts, and the like. If the system has a redundant configuration for the module, it is possible to shorten the system stop time due to such maintenance work as much as possible.
局側装置が、局側装置と光信号を送受信するための複数の光回線ユニットを備えている通信システムにおいて、運用系の光回線ユニットから待機系の光回線ユニットへの冗長切り替えを行なう場合を考える。この場合、たとえば、運用系の光回線ユニットと通信していた局側装置は、待機系の光回線ユニットと所定の手順に従って新たに通信することにより、暗号化および復号化に用いられるキー等の暗号化情報を待機系の光回線ユニットと共有する必要がある。このため、冗長切り替えによるPONシステムの通信停止時間が長くなってしまう。 In a communication system having a plurality of optical line units for transmitting / receiving optical signals to / from the station side apparatus, the station side apparatus performs redundant switching from the active optical line unit to the standby optical line unit. Think. In this case, for example, the station-side device communicating with the active optical line unit newly communicates with the standby optical line unit in accordance with a predetermined procedure, so that the keys used for encryption and decryption, etc. It is necessary to share the encryption information with the standby optical line unit. For this reason, the communication stop time of the PON system due to redundant switching becomes long.
この発明は、上述の課題を解決するためになされたもので、その目的は、局側装置および宅側装置間のセキュリティ機能を実現するとともに、局側装置における冗長切り替えに対して、局側装置および宅側装置間の通信停止時間の増大を抑制し、信頼性の高い通信システムを提供することが可能な通信システム、宅側制御部、局側制御部および通信制御方法を提供することである。 The present invention has been made in order to solve the above-described problems, and an object of the present invention is to realize a security function between a station-side device and a home-side device, and to prevent redundant switching in the station-side device. It is to provide a communication system, a home-side control unit, a station-side control unit, and a communication control method that can suppress an increase in communication stop time between the home-side devices and provide a highly reliable communication system. .
この発明のある局面に係わる通信システムは、宅側装置と、上記宅側装置と通信するための冗長化された光回線ユニットとを備える通信システムであって、上記光回線ユニットは、暗号化キーを用いて暗号化した通信信号を上記宅側装置へ送信し、上記宅側装置は、上記光回線ユニットから受信した暗号化された上記通信信号を、上記暗号化キーに対応する復号化キーを用いて復号し、上記光回線ユニットおよび上記宅側装置は、運用系の上記光回線ユニットおよび待機系の上記光回線ユニット間の切り替えの後に用いるべき、上記暗号化キーである切り替え用暗号化キーおよび上記復号化キーである切り替え用復号化キーをそれぞれ予め取得する。 A communication system according to an aspect of the present invention is a communication system including a home-side device and a redundant optical line unit for communicating with the home-side device, wherein the optical line unit includes an encryption key. The communication signal encrypted by using the communication device is transmitted to the home-side device, and the home-side device receives the decryption key corresponding to the encryption key from the encrypted communication signal received from the optical line unit. And the optical line unit and the home-side device are used as an encryption key for switching which is the encryption key to be used after switching between the optical line unit in the active system and the optical line unit in the standby system. Each of the decryption keys for switching, which is the decryption key, is acquired in advance.
このように、冗長切り替え後に用いるべきキーを冗長切り替え前に予め取得する構成により、冗長切り替え前後で宅側装置は通信信号を継続して復号することができるため、冗長切り替えに伴う通信停止時間を短縮することができ、安定かつ高い通信品質を提供することができる。また、冗長切り替えの前後でキーを変更することができるため、通信信号のパケット番号等の情報を切り替え元の光回線ユニットおよび切り替え先の光回線ユニット間で引き継ぐ必要がなくなることから、冗長切り替え前後で安定した通信を実現し、かつ簡易な冗長切り替え処理を実現することができる。また、冗長切り替え前後で異なるキーを使用する場合、セキュリティ性を向上させることができる。したがって、局側装置および宅側装置間のセキュリティ機能を実現するとともに、局側装置における冗長切り替えに対して、局側装置および宅側装置間の通信停止時間の増大を抑制し、信頼性の高い通信システムを提供することができる。 As described above, since the key to be used after the redundancy switching is acquired in advance before the redundancy switching, the home-side device can continuously decode the communication signal before and after the redundancy switching. Therefore, stable and high communication quality can be provided. In addition, since the key can be changed before and after the redundancy switching, it is not necessary to transfer information such as the packet number of the communication signal between the switching source optical line unit and the switching destination optical line unit. Thus, stable communication can be realized, and simple redundant switching processing can be realized. Further, when different keys are used before and after redundancy switching, security can be improved. Therefore, a security function between the station side device and the home side device is realized, and an increase in the communication stop time between the station side device and the home side device is suppressed with respect to redundant switching in the station side device, so that the reliability is high. A communication system can be provided.
好ましくは、待機系の上記光回線ユニットは、運用系の上記光回線ユニットから自己への切り替えの後に用いるべき第1の切り替え用暗号化キーを予め取得し、運用系の上記光回線ユニットは、待機系の上記光回線ユニットから自己への切り替えの後に用いるべき第2の切り替え用暗号化キーを予め取得し、上記宅側装置は、上記第1の切り替え用暗号化キーおよび上記第2の切り替え用暗号化キーにそれぞれ対応する上記復号化キーを予め取得する。 Preferably, the standby optical line unit acquires in advance a first switching encryption key to be used after switching from the active optical line unit to itself, and the active optical line unit includes: A second switching encryption key to be used after switching from the optical line unit of the standby system to itself is acquired in advance, and the home-side device transmits the first switching encryption key and the second switching key. The decryption key corresponding to each encryption key is acquired in advance.
このような構成により、運用系の光回線ユニットから待機系の光回線ユニットへの冗長切り替え、および待機系の光回線ユニットから運用系の光回線ユニットへの冗長切り替えの際にそれぞれ異なるキーを使用することができるため、セキュリティ性をより向上させることができる。 With this configuration, different keys are used for redundant switching from the active optical line unit to the standby optical line unit, and for redundant switching from the standby optical line unit to the active optical line unit. Therefore, security can be further improved.
好ましくは、上記光回線ユニットおよび上記宅側装置は、それぞれ保護通信識別番号と上記暗号化キーおよび上記復号化キーとを対応づけ、運用系の上記光回線ユニットおよび待機系の上記光回線ユニット間の切り替えが行なわれると、切り替え先の上記光回線ユニットは、上記切り替え用暗号化キーに対応する上記保護通信識別番号を含む上記通信信号を上記宅側装置へ送信し、上記宅側装置は、上記光回線ユニットから受信した上記通信信号に含まれる上記保護通信識別番号を抽出し、抽出した上記保護通信識別番号に対応する上記復号化キーである上記切り替え用復号化キーを上記通信信号の復号に用いる。 Preferably, each of the optical line unit and the home-side device associates a protection communication identification number with the encryption key and the decryption key, respectively, so that the optical line unit in the active system and the optical line unit in the standby system are associated with each other. Is switched, the switching destination optical line unit transmits the communication signal including the protection communication identification number corresponding to the switching encryption key to the home side device, and the home side device The protection communication identification number included in the communication signal received from the optical line unit is extracted, and the switching decryption key, which is the decryption key corresponding to the extracted protection communication identification number, is decoded. Used for.
このような構成により、光回線ユニットが冗長切り替えの発生を宅側装置に通知したり、あるいは、宅側装置が運用系の光回線ユニットおよび待機系の光回線ユニット間の冗長切り替えを検知したりすることなく、宅側装置において適切なタイミングで切り替え用復号化キーへの変更を行ない、冗長切り替えの前後で通信信号を継続して復号することができる。 With this configuration, the optical line unit notifies the home side device of the occurrence of redundant switching, or the home side device detects redundant switching between the active optical line unit and the standby optical line unit. Without changing, it is possible to change the decryption key for switching at an appropriate timing in the home device, and to continuously decrypt the communication signal before and after the redundant switching.
好ましくは、上記光回線ユニットは、自己の識別情報および上記通信信号の送信先の上記宅側装置の識別情報に基づくチャネル情報、ならびに上記暗号化キーを用いて上記通信信号を暗号化し、上記宅側装置は、上記通信信号を暗号化した前記光回線ユニットの識別情報および自己の識別情報に基づくチャネル情報、ならびに上記復号化キーを用いて上記通信信号を復号し、上記宅側装置は、運用系の上記光回線ユニットおよび待機系の上記光回線ユニット間の切り替えの後に用いるべき上記チャネル情報を予め取得する。 Preferably, the optical line unit encrypts the communication signal using channel information based on the identification information of itself and the identification information of the home-side device to which the communication signal is transmitted, and the encryption key. The side device decrypts the communication signal by using the channel information based on the identification information of the optical line unit and the identification information of the optical line unit that has encrypted the communication signal, and the decryption key. The channel information to be used after switching between the optical line unit of the system and the optical line unit of the standby system is acquired in advance.
このような構成により、キーに加えてチャネル情報を暗号化に用いる場合でも、宅側装置は冗長切り替え前後で通信信号を継続して復号することができるため、通信システムにおける通信停止時間を短縮することができ、安定かつ高い通信品質を提供することができる。たとえば、宅側装置は、切り替え先の光回線ユニットの識別情報を、拡張OAMを用いて切り替え元の光回線ユニットから通知されることにより、上記チャネル情報を予め取得することができる。 With such a configuration, even when the channel information is used for encryption in addition to the key, the home-side apparatus can continuously decrypt the communication signal before and after the redundancy switching, thereby reducing the communication stop time in the communication system. It is possible to provide stable and high communication quality. For example, the home-side apparatus can acquire the channel information in advance by notifying the switching-source optical line unit of the identification information of the switching-destination optical line unit using the extended OAM.
好ましくは、上記光回線ユニットは、自己の識別情報および上記通信信号の送信先の上記宅側装置の識別情報に基づくチャネル情報、ならびに上記暗号化キーを用いて上記通信信号を暗号化し、上記宅側装置は、上記通信信号を暗号化した前記光回線ユニットの識別情報および自己の識別情報に基づくチャネル情報、ならびに上記復号化キーを用いて上記通信信号を復号し、上記宅側装置は、上記光回線ユニットからの制御信号に含まれる送信元の識別情報を監視し、上記識別情報が変化した場合、変化後の上記識別情報に基づいて上記チャネル情報を更新する。 Preferably, the optical line unit encrypts the communication signal using channel information based on the identification information of itself and the identification information of the home-side device to which the communication signal is transmitted, and the encryption key. The side device decrypts the communication signal using the channel information based on the identification information of the optical line unit and the identification information of the optical line unit encrypted by the communication signal, and the decryption key. The transmission source identification information included in the control signal from the optical line unit is monitored, and when the identification information changes, the channel information is updated based on the changed identification information.
このような構成により、切り替え元の光回線ユニットから宅側装置に対して切り替え先の光回線ユニットの識別情報を通知することなく、宅側装置は、冗長切り替え後に使用すべきチャネル情報を取得することができる。また、通信信号がチャネル情報を含まない場合でも、冗長切り替え後に新たなチャネル情報を用いて暗号化および復号化を行なうことが可能となるため、チャネル情報に起因する通信停止を防ぐことができる。 With such a configuration, the home apparatus acquires channel information to be used after redundant switching without notifying the switching apparatus of the optical line unit to the home apparatus without identifying the identification information of the switching destination optical line unit. be able to. Further, even when the communication signal does not include channel information, it is possible to perform encryption and decryption using new channel information after redundancy switching, so that communication stoppage due to channel information can be prevented.
好ましくは、上記宅側装置は、上記通信信号を暗号化した前記光回線ユニットの識別情報および自己の識別情報に基づくチャネル情報、ならびに上記復号化キーを用いて上記通信信号を復号し、上記通信信号は、上記チャネル情報を含む場合と含まない場合とがあり、上記光回線ユニットは、上記切り替えが行なわれるタイミングに従い、上記チャネル情報を含まない上記通信信号が上記宅側装置へ送信される状態および上記チャネル情報を含む上記通信信号が上記宅側装置へ送信される状態間の遷移を実行し、上記宅側装置は、上記光回線ユニットから受信する上記通信信号の、上記チャネル情報を含まない状態および上記チャネル情報を含む状態間の遷移を、上記切り替えの発生として検知する。 Preferably, the home-side apparatus decrypts the communication signal using the channel information based on the identification information of the optical line unit and the identification information of the optical line unit that has encrypted the communication signal, and the decryption key. The signal may or may not include the channel information, and the optical line unit is in a state in which the communication signal not including the channel information is transmitted to the home-side apparatus according to the switching timing. And a transition between states in which the communication signal including the channel information is transmitted to the home device, and the home device does not include the channel information of the communication signal received from the optical line unit. A transition between the state and the state including the channel information is detected as the occurrence of the switching.
このような構成により、冗長切り替えの発生を光回線ユニットから宅側装置へ簡易な処理で確実に通知することができる。 With such a configuration, it is possible to reliably notify the occurrence of redundant switching from the optical line unit to the home-side apparatus through simple processing.
より好ましくは、上記宅側装置は、上記光回線ユニットから受信する上記通信信号が上記チャネル情報を含まない状態から上記チャネル情報を含む状態へ遷移したことで上記切り替えの発生を検知した場合、上記切り替えの発生を検知する前に用いていた上記チャネル情報の代わりに、上記通信信号に含まれる上記チャネル情報を用いて上記通信信号を復号する。 More preferably, when the home-side device detects the occurrence of the switching when the communication signal received from the optical line unit transitions from a state not including the channel information to a state including the channel information, The communication signal is decoded using the channel information included in the communication signal instead of the channel information used before the occurrence of switching is detected.
このような構成により、冗長切り替えに伴って宅側装置においてチャネル情報を新たに作成することなく、冗長切り替え後に使用すべきチャネル情報を簡易な処理で取得することができる。 With such a configuration, the channel information to be used after the redundancy switching can be acquired by a simple process without newly creating channel information in the home device with the redundancy switching.
より好ましくは、上記光回線ユニットは、上記チャネル情報を含まない上記通信信号が上記宅側装置へ送信される状態から上記チャネル情報を含む上記通信信号が上記宅側装置へ送信される状態への遷移が実行された後、上記チャネル情報を含まない上記通信信号が上記宅側装置へ送信される状態への遷移を実行する。 More preferably, the optical line unit changes from a state in which the communication signal not including the channel information is transmitted to the home device to a state in which the communication signal including the channel information is transmitted to the home device. After the transition is executed, a transition is made to a state in which the communication signal not including the channel information is transmitted to the home device.
このように、通信信号におけるチャネル情報の有無の切り替えによって宅側装置に対して冗長切り替えを通知した後、チャネル情報を含まない通信信号の送信に切り替える構成により、冗長切り替え後の通信において、使用帯域および処理時間を低減することができる。 In this way, in the communication after the redundancy switching, the bandwidth used in the communication after the redundancy switching is configured by switching the transmission to the transmission of the communication signal not including the channel information after notifying the home-side device of the switching of the channel information in the communication signal. In addition, the processing time can be reduced.
より好ましくは、上記光回線ユニットは、上記チャネル情報を含まない上記通信信号が上記宅側装置へ送信される状態および上記チャネル情報を含む上記通信信号が上記宅側装置へ送信される状態間の遷移を実行する際、上記宅側装置へ送信すべきデータが無い場合には、ダミーデータを含む上記通信信号を上記宅側装置へ送信する。 More preferably, the optical line unit is configured such that the communication signal not including the channel information is transmitted to the home device and the communication signal including the channel information is transmitted to the home device. When executing the transition, if there is no data to be transmitted to the home device, the communication signal including dummy data is transmitted to the home device.
このような構成により、通信サービスの利用状況等に関わらず、通信信号におけるチャネル情報の有無の切り替えによって宅側装置に対して確実に冗長切り替えを通知することができる。 With such a configuration, it is possible to reliably notify the redundant switching to the home side device by switching the presence / absence of channel information in the communication signal regardless of the usage status of the communication service.
より好ましくは、上記光回線ユニットは、上記ダミーデータを含む上記通信信号をブロードキャストする。 More preferably, the optical line unit broadcasts the communication signal including the dummy data.
このように、ダミーデータを含む通信信号をブロードキャストする構成により、1つの通信信号で光回線ユニットの配下の全宅側装置に対して冗長切り替えを通知することができるため、通信システムにおける使用帯域および処理時間を低減することができる。 As described above, since the communication signal including the dummy data is broadcast, it is possible to notify the redundant switching to all the home side devices under the optical line unit with one communication signal. Processing time can be reduced.
好ましくは、上記宅側装置は、上記通信信号を暗号化した前記光回線ユニットの識別情報および自己の識別情報に基づくチャネル情報、ならびに上記復号化キーを用いて上記通信信号を復号し、上記宅側装置は、上記光回線ユニットからの上記通信信号に含まれる上記チャネル情報を監視し、上記チャネル情報の変化を上記切り替えの発生として検知する。 Preferably, the home-side device decrypts the communication signal using channel information based on the identification information of the optical line unit and the identification information of the optical line unit obtained by encrypting the communication signal, and the decryption key, and The side device monitors the channel information included in the communication signal from the optical line unit and detects a change in the channel information as the occurrence of the switching.
このような構成により、通信信号の送信元アドレスの変化等を別途監視することなく、簡易な処理で光回線ユニットの冗長切り替えを検知し、合わせてチャネル情報を更新することができるため、効率的な処理を行なうことができる。 With such a configuration, it is possible to detect the redundant switching of the optical line unit and to update the channel information together with simple processing without separately monitoring the change of the transmission source address of the communication signal. Processing can be performed.
好ましくは、上記宅側装置は、時刻情報に従って動作し、上記光回線ユニットからの制御信号に含まれる時刻情報に基づいて自己の時刻情報を調整し、上記宅側装置は、上記光回線ユニットからの時刻情報と自己の時刻情報との差に基づいて、上記切り替えの発生を検知する。 Preferably, the home side device operates according to the time information, adjusts its own time information based on the time information included in the control signal from the optical line unit, and the home side device is connected to the optical line unit. The occurrence of the switching is detected based on the difference between the time information and the own time information.
このような構成により、通信信号にチャネル情報が含まれない場合でも、簡易な処理で光回線ユニットの冗長切り替えを検知することができる。 With such a configuration, even when channel information is not included in the communication signal, it is possible to detect redundant switching of the optical line unit with a simple process.
好ましくは、上記宅側装置は、上記光回線ユニットからの上記通信信号の途絶、または上記光回線ユニットからの制御信号に含まれる送信元の識別情報の変化を、上記切り替えの発生として検知する。 Preferably, the home-side apparatus detects the interruption of the communication signal from the optical line unit or the change in the identification information of the transmission source included in the control signal from the optical line unit as the occurrence of the switching.
このような構成により、通信信号にチャネル情報が含まれない場合でも、簡易な処理で光回線ユニットの冗長切り替えを検知することができる。 With such a configuration, even when channel information is not included in the communication signal, it is possible to detect redundant switching of the optical line unit with a simple process.
この発明のある局面に係わる宅側制御部は、冗長化された光回線ユニットと通信するための宅側装置において用いられる宅側制御部であって、上記光回線ユニットから受信した暗号化された通信信号を、復号化キーを用いて復号するための復号化部と、運用系の上記光回線ユニットおよび待機系の上記光回線ユニット間の切り替えの後に用いるべき上記復号化キーである切り替え用復号化キーを予め取得するための復号化キー取得部とを備える。 A home-side control unit according to an aspect of the present invention is a home-side control unit used in a home-side device for communicating with a redundant optical line unit, the encrypted data received from the optical line unit Decryption unit for decrypting a communication signal using a decryption key, and decryption for switching which is the decryption key to be used after switching between the active optical line unit and the standby optical line unit And a decryption key acquisition unit for acquiring the encryption key in advance.
このように、冗長切り替え後に用いるべきキーを冗長切り替え前に予め取得する構成により、冗長切り替え前後で宅側装置は通信信号を継続して復号することができるため、冗長切り替えに伴う通信停止時間を短縮することができ、安定かつ高い通信品質を提供することができる。また、冗長切り替えの前後でキーを変更することができるため、通信信号のパケット番号等の情報を切り替え元の光回線ユニットおよび切り替え先の光回線ユニット間で引き継ぐ必要がなくなることから、冗長切り替え前後で安定した通信を実現し、かつ簡易な冗長切り替え処理を実現することができる。また、冗長切り替え前後で異なるキーを使用する場合、セキュリティ性を向上させることができる。したがって、局側装置および宅側装置間のセキュリティ機能を実現するとともに、局側装置における冗長切り替えに対して、局側装置および宅側装置間の通信停止時間の増大を抑制し、信頼性の高い通信システムを提供することができる。 As described above, since the key to be used after the redundancy switching is acquired in advance before the redundancy switching, the home-side device can continuously decode the communication signal before and after the redundancy switching. Therefore, stable and high communication quality can be provided. In addition, since the key can be changed before and after the redundancy switching, it is not necessary to transfer information such as the packet number of the communication signal between the switching source optical line unit and the switching destination optical line unit. Thus, stable communication can be realized, and simple redundant switching processing can be realized. Further, when different keys are used before and after redundancy switching, security can be improved. Therefore, a security function between the station side device and the home side device is realized, and an increase in the communication stop time between the station side device and the home side device is suppressed with respect to redundant switching in the station side device, so that the reliability is high. A communication system can be provided.
またこの発明の別の局面に係わる宅側制御部は、冗長化された光回線ユニットと通信するための宅側装置において用いられる宅側制御部であって、上記光回線ユニットから受信した暗号化された通信信号を、復号化キーを用いて復号するための復号化部と、運用系の上記光回線ユニットおよび待機系の上記光回線ユニット間の切り替えの前に用いる上記復号化キーである通常用復号化キー、および上記切り替えの後に用いるべき上記復号化キーである切り替え用復号化キーを記憶するための記憶部とを備える。 A home side control unit according to another aspect of the present invention is a home side control unit used in a home side device for communicating with a redundant optical line unit, the encryption received from the optical line unit. A decryption unit for decrypting the received communication signal using a decryption key, and the decryption key used before switching between the optical line unit in the active system and the optical line unit in the standby system And a storage unit for storing the switching decryption key that is the decryption key to be used after the switching.
このような構成により、冗長切り替え後に用いるべきキーを冗長切り替え前に予め取得することができるため、冗長切り替え前後で宅側装置は通信信号を継続して復号することができる。これにより、冗長切り替えに伴う通信停止時間を短縮することができ、安定かつ高い通信品質を提供することができる。また、冗長切り替えの前後でキーを変更することができるため、通信信号のパケット番号等の情報を切り替え元の光回線ユニットおよび切り替え先の光回線ユニット間で引き継ぐ必要がなくなることから、冗長切り替え前後で安定した通信を実現し、かつ簡易な冗長切り替え処理を実現することができる。また、冗長切り替え前後で異なるキーを使用する場合、セキュリティ性を向上させることができる。したがって、局側装置および宅側装置間のセキュリティ機能を実現するとともに、局側装置における冗長切り替えに対して、局側装置および宅側装置間の通信停止時間の増大を抑制し、信頼性の高い通信システムを提供することができる。 With such a configuration, since the key to be used after the redundancy switching can be acquired in advance before the redundancy switching, the home-side apparatus can continuously decode the communication signal before and after the redundancy switching. Thereby, the communication stop time accompanying redundancy switching can be shortened, and stable and high communication quality can be provided. In addition, since the key can be changed before and after the redundancy switching, it is not necessary to transfer information such as the packet number of the communication signal between the switching source optical line unit and the switching destination optical line unit. Thus, stable communication can be realized, and simple redundant switching processing can be realized. Further, when different keys are used before and after redundancy switching, security can be improved. Therefore, a security function between the station side device and the home side device is realized, and an increase in the communication stop time between the station side device and the home side device is suppressed with respect to redundant switching in the station side device, so that the reliability is high. A communication system can be provided.
この発明のある局面に係わる局側制御部は、宅側装置と通信するための冗長化された光回線ユニット、において用いられる局側制御部であって、上記宅側装置へ送信すべき通信信号を、暗号化キーを用いて暗号化するための暗号化部と、運用系の上記光回線ユニットおよび待機系の上記光回線ユニット間の切り替えの後に用いるべき上記暗号化キーである切り替え用暗号化キーを予め取得するための暗号化キー取得部とを備える。 A station-side control unit according to an aspect of the present invention is a station-side control unit used in a redundant optical line unit for communicating with a home-side device, and a communication signal to be transmitted to the home-side device Encryption unit for encrypting using the encryption key, and switching encryption that is the encryption key to be used after switching between the active optical line unit and the standby optical line unit An encryption key acquisition unit for acquiring a key in advance.
このように、冗長切り替え後に用いるべきキーを冗長切り替え前に予め取得する構成により、冗長切り替え前後で宅側装置は通信信号を継続して復号することができるため、冗長切り替えに伴う通信停止時間を短縮することができ、安定かつ高い通信品質を提供することができる。また、冗長切り替えの前後でキーを変更することができるため、通信信号のパケット番号等の情報を切り替え元の光回線ユニットおよび切り替え先の光回線ユニット間で引き継ぐ必要がなくなることから、冗長切り替え前後で安定した通信を実現し、かつ簡易な冗長切り替え処理を実現することができる。また、冗長切り替え前後で異なるキーを使用する場合、セキュリティ性を向上させることができる。したがって、局側装置および宅側装置間のセキュリティ機能を実現するとともに、局側装置における冗長切り替えに対して、局側装置および宅側装置間の通信停止時間の増大を抑制し、信頼性の高い通信システムを提供することができる。 As described above, since the key to be used after the redundancy switching is acquired in advance before the redundancy switching, the home-side device can continuously decode the communication signal before and after the redundancy switching. Therefore, stable and high communication quality can be provided. In addition, since the key can be changed before and after the redundancy switching, it is not necessary to transfer information such as the packet number of the communication signal between the switching source optical line unit and the switching destination optical line unit. Thus, stable communication can be realized, and simple redundant switching processing can be realized. Further, when different keys are used before and after redundancy switching, security can be improved. Therefore, a security function between the station side device and the home side device is realized, and an increase in the communication stop time between the station side device and the home side device is suppressed with respect to redundant switching in the station side device, so that the reliability is high. A communication system can be provided.
またこの発明の別の局面に係わる局側制御部は、宅側装置と通信するための冗長化された光回線ユニット、において用いられる局側制御部であって、上記宅側装置へ送信すべき通信信号を、暗号化キーを用いて暗号化するための暗号化部と、運用系の上記光回線ユニットおよび待機系の上記光回線ユニット間の切り替えの前に用いる上記暗号化キーである通常用暗号化キー、および上記切り替えの後に用いるべき上記暗号化キーである切り替え用暗号化キーを記憶するための記憶部とを備える。 A station-side control unit according to another aspect of the present invention is a station-side control unit used in a redundant optical line unit for communicating with a home-side device, and should be transmitted to the home-side device. An encryption unit for encrypting a communication signal using an encryption key and the encryption key used before switching between the optical line unit in the active system and the optical line unit in the standby system An encryption key, and a storage unit for storing a switching encryption key that is the encryption key to be used after the switching.
このような構成により、冗長切り替え後に用いるべきキーを冗長切り替え前に予め取得することができるため、冗長切り替え前後で宅側装置は通信信号を継続して復号することができる。これにより、冗長切り替えに伴う通信停止時間を短縮することができ、安定かつ高い通信品質を提供することができる。また、冗長切り替えの前後でキーを変更することができるため、通信信号のパケット番号等の情報を切り替え元の光回線ユニットおよび切り替え先の光回線ユニット間で引き継ぐ必要がなくなることから、冗長切り替え前後で安定した通信を実現し、かつ簡易な冗長切り替え処理を実現することができる。また、冗長切り替え前後で異なるキーを使用する場合、セキュリティ性を向上させることができる。したがって、局側装置および宅側装置間のセキュリティ機能を実現するとともに、局側装置における冗長切り替えに対して、局側装置および宅側装置間の通信停止時間の増大を抑制し、信頼性の高い通信システムを提供することができる。 With such a configuration, since the key to be used after the redundancy switching can be acquired in advance before the redundancy switching, the home-side apparatus can continuously decode the communication signal before and after the redundancy switching. Thereby, the communication stop time accompanying redundancy switching can be shortened, and stable and high communication quality can be provided. In addition, since the key can be changed before and after the redundancy switching, it is not necessary to transfer information such as the packet number of the communication signal between the switching source optical line unit and the switching destination optical line unit. Thus, stable communication can be realized, and simple redundant switching processing can be realized. Further, when different keys are used before and after redundancy switching, security can be improved. Therefore, a security function between the station side device and the home side device is realized, and an increase in the communication stop time between the station side device and the home side device is suppressed with respect to redundant switching in the station side device, so that the reliability is high. A communication system can be provided.
この発明のある局面に係わる通信制御方法は、宅側装置と、上記宅側装置と通信するための冗長化された光回線ユニットとを備える通信システムにおける通信制御方法であって、上記光回線ユニットおよび上記宅側装置が、運用系の上記光回線ユニットおよび待機系の上記光回線ユニット間の切り替えの後に用いるべき、暗号化キーである切り替え用暗号化キーおよび上記暗号化キーに対応する復号化キーである切り替え用復号化キーをそれぞれ予め取得するステップと、上記切り替えの後、上記光回線ユニットが、取得した上記切り替え用暗号化キーを用いて暗号化した通信信号を上記宅側装置へ送信するステップと、上記切り替えの後、上記宅側装置が、上記光回線ユニットから受信した暗号化された上記通信信号を、取得した上記切り替え用復号化キーを用いて復号するステップとを含む。 A communication control method according to an aspect of the present invention is a communication control method in a communication system including a home side device and a redundant optical line unit for communicating with the home side device, wherein the optical line unit And an encryption key for switching which is an encryption key to be used after switching between the optical line unit in the active system and the optical line unit in the standby system, and the decryption corresponding to the encryption key A step of previously obtaining a switching decryption key as a key, and after the switching, the optical line unit transmits a communication signal encrypted using the acquired switching encryption key to the home-side device. And after the switching, the home device receives the encrypted communication signal received from the optical line unit. And a step of decoding using a decoding key for example.
このように、冗長切り替え後に用いるべきキーを冗長切り替え前に予め取得する構成により、冗長切り替え前後で宅側装置は通信信号を継続して復号することができるため、冗長切り替えに伴う通信停止時間を短縮することができ、安定かつ高い通信品質を提供することができる。また、冗長切り替えの前後でキーを変更することができるため、通信信号のパケット番号等の情報を切り替え元の光回線ユニットおよび切り替え先の光回線ユニット間で引き継ぐ必要がなくなることから、冗長切り替え前後で安定した通信を実現し、かつ簡易な冗長切り替え処理を実現することができる。また、冗長切り替え前後で異なるキーを使用する場合、セキュリティ性を向上させることができる。したがって、局側装置および宅側装置間のセキュリティ機能を実現するとともに、局側装置における冗長切り替えに対して、局側装置および宅側装置間の通信停止時間の増大を抑制し、信頼性の高い通信システムを提供することができる。 As described above, since the key to be used after the redundancy switching is acquired in advance before the redundancy switching, the home-side device can continuously decode the communication signal before and after the redundancy switching. Therefore, stable and high communication quality can be provided. In addition, since the key can be changed before and after the redundancy switching, it is not necessary to transfer information such as the packet number of the communication signal between the switching source optical line unit and the switching destination optical line unit. Thus, stable communication can be realized, and simple redundant switching processing can be realized. Further, when different keys are used before and after redundancy switching, security can be improved. Therefore, a security function between the station side device and the home side device is realized, and an increase in the communication stop time between the station side device and the home side device is suppressed with respect to redundant switching in the station side device, so that the reliability is high. A communication system can be provided.
ここまで、下りの暗号化について述べてきたが、同様のことが、上りの暗号化にも適用できる。すなわち、この発明のある局面に係わる通信システムは、宅側装置と、上記宅側装置と通信するための冗長化された光回線ユニットとを備える通信システムであって、上記宅側装置は、暗号化キーを用いて暗号化した通信信号を上記光回線ユニットへ送信し、上記光回線ユニットは、上記宅側装置から受信した暗号化された上記通信信号を、上記暗号化キーに対応する復号化キーを用いて復号し、上記宅側装置および上記光回線ユニットは、運用系の上記光回線ユニットおよび待機系の上記光回線ユニット間の切り替えの後に用いるべき、上記暗号化キーである切り替え用暗号化キーおよび上記復号化キーである切り替え用復号化キーをそれぞれ予め取得する。 Up to this point, downlink encryption has been described, but the same applies to uplink encryption. That is, a communication system according to an aspect of the present invention is a communication system including a home-side device and a redundant optical line unit for communicating with the home-side device, wherein the home-side device A communication signal encrypted using an encryption key is transmitted to the optical line unit, and the optical line unit decrypts the encrypted communication signal received from the home-side device corresponding to the encryption key. The home-side device and the optical line unit are decrypted using a key, and the switching cipher that is the encryption key to be used after switching between the optical line unit in the active system and the optical line unit in the standby system And a decryption key for switching, which is the decryption key.
このように、冗長切り替え後に用いるべきキーを冗長切り替え前に予め取得する構成により、冗長切り替え前後で光回線ユニットは通信信号を継続して復号することができるため、冗長切り替えに伴う通信停止時間を短縮することができ、安定かつ高い通信品質を提供することができる。また、冗長切り替えの前後でキーを変更することができるため、通信信号のパケット番号等の情報を切り替え元の光回線ユニットおよび切り替え先の光回線ユニット間で引き継ぐ必要がなくなることから、冗長切り替え前後で安定した通信を実現し、かつ簡易な冗長切り替え処理を実現することができる。また、冗長切り替え前後で異なるキーを使用する場合、セキュリティ性を向上させることができる。したがって、局側装置および宅側装置間のセキュリティ機能を実現するとともに、局側装置における冗長切り替えに対して、局側装置および宅側装置間の通信停止時間の増大を抑制し、信頼性の高い通信システムを提供することができる。 As described above, since the key to be used after the redundant switching is acquired in advance before the redundant switching, the optical line unit can continuously decode the communication signal before and after the redundant switching. Therefore, stable and high communication quality can be provided. In addition, since the key can be changed before and after the redundancy switching, it is not necessary to transfer information such as the packet number of the communication signal between the switching source optical line unit and the switching destination optical line unit. Thus, stable communication can be realized, and simple redundant switching processing can be realized. Further, when different keys are used before and after redundancy switching, security can be improved. Therefore, a security function between the station side device and the home side device is realized, and an increase in the communication stop time between the station side device and the home side device is suppressed with respect to redundant switching in the station side device, so that the reliability is high. A communication system can be provided.
好ましくは、待機系の上記光回線ユニットは、運用系の上記光回線ユニットから自己への切り替えの後に用いるべき第1の切り替え用復号化キーを予め取得し、運用系の上記光回線ユニットは、待機系の上記光回線ユニットから自己への切り替えの後に用いるべき第2の切り替え用復号化キーを予め取得し、上記宅側装置は、上記第1の切り替え用復号化キーおよび上記第2の切り替え用復号化キーにそれぞれ対応する上記暗号化キーを予め取得する。 Preferably, the standby optical line unit acquires in advance a first switching decryption key to be used after switching from the active optical line unit to itself, and the active optical line unit includes: A second switching decryption key to be used after switching from the optical line unit of the standby system to itself is acquired in advance, and the home-side apparatus acquires the first switching decryption key and the second switching key. The encryption key corresponding to each decryption key is acquired in advance.
このような構成により、運用系の光回線ユニットから待機系の光回線ユニットへの冗長切り替え、および待機系の光回線ユニットから運用系の光回線ユニットへの冗長切り替えの際にそれぞれ異なるキーを使用することができるため、セキュリティ性をより向上させることができる。 With this configuration, different keys are used for redundant switching from the active optical line unit to the standby optical line unit, and for redundant switching from the standby optical line unit to the active optical line unit. Therefore, security can be further improved.
好ましくは、上記光回線ユニットおよび上記宅側装置は、それぞれ保護通信識別番号と上記復号化キーおよび上記暗号化キーとを対応づけ、運用系の上記光回線ユニットおよび待機系の上記光回線ユニット間の切り替えが行なわれると、宅側装置は、上記切り替え用暗号化キーに対応する上記保護通信識別番号を含む上記通信信号を切り替え先の上記光回線ユニットへ送信し、切り替え先の上記光回線ユニットは、上記宅側装置から受信した上記通信信号に含まれる上記保護通信識別番号を抽出し、抽出した上記保護通信識別番号に対応する上記復号化キーである上記切り替え用復号化キーを上記通信信号の復号に用いる。 Preferably, each of the optical line unit and the home-side device associates a protection communication identification number with the decryption key and the encryption key, respectively, so that the optical line unit in the active system and the optical line unit in the standby system are associated with each other. Is switched, the home device transmits the communication signal including the protected communication identification number corresponding to the switching encryption key to the switching destination optical line unit, and the switching destination optical line unit. Extracts the protected communication identification number included in the communication signal received from the home-side device, and sets the decryption key for switching as the decryption key corresponding to the extracted protected communication identification number to the communication signal. Used for decoding.
このような構成により、運用系の光回線ユニットおよび待機系の光回線ユニット間の冗長切り替え後に新しいキーの合意処理を行なう必要がなくなり、冗長切り替えの前後で通信信号を継続して復号することができる。 With such a configuration, it is not necessary to perform a new key consensus process after redundant switching between the active optical line unit and the standby optical line unit, and communication signals can be continuously decoded before and after the redundant switching. it can.
好ましくは、上記宅側装置は、自己の識別情報および上記通信信号の送信先の上記光回線ユニットの識別情報に基づくチャネル情報、ならびに上記暗号化キーを用いて上記通信信号を暗号化し、上記光回線ユニットは、上記通信信号を暗号化した上記宅側装置の識別情報および自己の識別情報に基づくチャネル情報、ならびに上記復号化キーを用いて上記通信信号を復号し、上記光回線ユニットは、運用系の上記光回線ユニットおよび待機系の上記光回線ユニット間の切り替えの後に用いるべき上記チャネル情報を予め取得する。 Preferably, the home-side apparatus encrypts the communication signal using channel information based on the identification information of itself and the identification information of the optical line unit to which the communication signal is transmitted, and the encryption key, and transmits the optical signal. The line unit decrypts the communication signal using channel information based on the identification information of the home-side device and the identification information of the home apparatus that has encrypted the communication signal, and the decryption key, and the optical line unit operates The channel information to be used after switching between the optical line unit of the system and the optical line unit of the standby system is acquired in advance.
このような構成により、キーに加えてチャネル情報を暗号化に用いる場合でも、光回線ユニットは冗長切り替え前後で通信信号を継続して復号することができるため、通信システムにおける通信停止時間を短縮することができ、安定かつ高い通信品質を提供することができる。たとえば、切り替え先の光回線ユニットは、切り替え元の光回線ユニットから光回線ユニットの識別情報を引き継ぐことで上記チャネル情報を予め取得することができる。あるいは、冗長切り替え前に、切り替え元の光回線ユニットが、切り替え先の光回線ユニットの識別情報を、拡張OAM等を用いて宅側装置に通知することで、宅側装置が切り替えの後に用いるべき上記チャネル情報を予め取得する構成としてもよい。 With such a configuration, even when the channel information is used for encryption in addition to the key, the optical line unit can continuously decode the communication signal before and after the redundancy switching, thereby reducing the communication stop time in the communication system. It is possible to provide stable and high communication quality. For example, the switching-destination optical line unit can acquire the channel information in advance by taking over the identification information of the optical line unit from the switching-source optical line unit. Alternatively, before the redundant switching, the switching source optical line unit should notify the switching destination optical line unit of the identification information of the switching destination optical line unit to the home side apparatus using the extended OAM or the like, so that the home side apparatus should use after the switching. The channel information may be acquired in advance.
この発明のある局面に係わる局側制御部は、宅側装置と通信するための冗長化された光回線ユニット、において用いられる局側制御部であって、上記宅側装置から受信した暗号化された通信信号を、復号化キーを用いて復号するための復号化部と、運用系の上記光回線ユニットおよび待機系の上記光回線ユニット間の切り替えの後に用いるべき上記復号化キーである切り替え用復号化キーを予め取得するための復号化キー取得部とを備える。 A station-side control unit according to an aspect of the present invention is a station-side control unit used in a redundant optical line unit for communicating with a home-side device, and is an encrypted data received from the home-side device. A switching unit that is to be used after switching between the decryption unit for decrypting the communication signal using the decryption key and the optical line unit in the active system and the optical line unit in the standby system A decryption key obtaining unit for obtaining a decryption key in advance.
このように、冗長切り替え後に用いるべきキーを冗長切り替え前に予め取得する構成により、冗長切り替え前後で光回線ユニットは通信信号を中断することなく復号することができるため、冗長切り替えに伴う通信停止時間を短縮することができ、安定かつ高い通信品質を提供することができる。また、冗長切り替えの前後でキーを変更することができるため、通信信号のパケット番号等の情報を切り替え元の光回線ユニットおよび切り替え先の光回線ユニット間で引き継ぐ必要がなくなることから、冗長切り替え前後で安定した通信を実現し、かつ簡易な冗長切り替え処理を実現することができる。また、冗長切り替え前後で異なるキーを使用する場合、セキュリティ性を向上させることができる。したがって、局側装置および宅側装置間のセキュリティ機能を実現するとともに、局側装置における冗長切り替えに対して、局側装置および宅側装置間の通信停止時間の増大を抑制し、信頼性の高い通信システムを提供することができる。 As described above, since the key to be used after the redundant switching is acquired in advance before the redundant switching, the optical line unit can decode without interrupting the communication signal before and after the redundant switching. Can be shortened, and stable and high communication quality can be provided. In addition, since the key can be changed before and after the redundancy switching, it is not necessary to transfer information such as the packet number of the communication signal between the switching source optical line unit and the switching destination optical line unit. Thus, stable communication can be realized, and simple redundant switching processing can be realized. Further, when different keys are used before and after redundancy switching, security can be improved. Therefore, a security function between the station side device and the home side device is realized, and an increase in the communication stop time between the station side device and the home side device is suppressed with respect to redundant switching in the station side device, so that the reliability is high. A communication system can be provided.
またこの発明の別の局面に係わる局側制御部は、宅側装置と通信するための冗長化された光回線ユニット、において用いられる局側制御部であって、上記宅側装置から受信した暗号化された通信信号を、復号化キーを用いて復号するための復号化部と、運用系の上記光回線ユニットおよび待機系の上記光回線ユニット間の切り替えの前に用いる上記復号化キーである通常用復号化キー、および上記切り替えの後に用いるべき上記復号化キーである切り替え用復号化キーを記憶するための記憶部とを備える。 A station-side control unit according to another aspect of the present invention is a station-side control unit used in a redundant optical line unit for communicating with a home-side device, and the encryption received from the home-side device. A decryption unit for decrypting the communication signal using a decryption key, and the decryption key used before switching between the active optical line unit and the standby optical line unit A storage unit for storing a normal decryption key and a switching decryption key that is the decryption key to be used after the switching.
このような構成により、冗長切り替え後に用いるべきキーを冗長切り替え前に予め取得することができるため、冗長切り替え前後で光回線ユニットは通信信号を中断することなく復号することができる。これにより、冗長切り替えに伴う通信停止時間を短縮することができ、安定かつ高い通信品質を提供することができる。また、冗長切り替えの前後でキーを変更することができるため、通信信号のパケット番号等の情報を切り替え元の光回線ユニットおよび切り替え先の光回線ユニット間で引き継ぐ必要がなくなることから、冗長切り替え前後で安定した通信を実現し、かつ簡易な冗長切り替え処理を実現することができる。また、冗長切り替え前後で異なるキーを使用する場合、セキュリティ性を向上させることができる。したがって、局側装置および宅側装置間のセキュリティ機能を実現するとともに、局側装置における冗長切り替えに対して、局側装置および宅側装置間の通信停止時間の増大を抑制し、信頼性の高い通信システムを提供することができる。 With such a configuration, the key to be used after the redundant switching can be acquired in advance before the redundant switching, so that the optical line unit can decode the communication signal without interruption before and after the redundant switching. Thereby, the communication stop time accompanying redundancy switching can be shortened, and stable and high communication quality can be provided. In addition, since the key can be changed before and after the redundancy switching, it is not necessary to transfer information such as the packet number of the communication signal between the switching source optical line unit and the switching destination optical line unit. Thus, stable communication can be realized, and simple redundant switching processing can be realized. Further, when different keys are used before and after redundancy switching, security can be improved. Therefore, a security function between the station side device and the home side device is realized, and an increase in the communication stop time between the station side device and the home side device is suppressed with respect to redundant switching in the station side device, so that the reliability is high. A communication system can be provided.
この発明のある局面に係わる宅側制御部は、冗長化された光回線ユニットと通信するための宅側装置において用いられる宅側制御部であって、上記光回線ユニットへ送信すべき通信信号を、暗号化キーを用いて暗号化するための暗号化部と、運用系の上記光回線ユニットおよび待機系の上記光回線ユニット間の切り替えの後に用いるべき上記暗号化キーである切り替え用暗号化キーを予め取得するための暗号化キー取得部とを備える。 A home-side control unit according to an aspect of the present invention is a home-side control unit used in a home-side device for communicating with a redundant optical line unit, and transmits a communication signal to be transmitted to the optical line unit. An encryption unit for encryption using an encryption key, and a switching encryption key that is the encryption key to be used after switching between the active optical line unit and the standby optical line unit And an encryption key obtaining unit for obtaining in advance.
このように、冗長切り替え後に用いるべきキーを冗長切り替え前に予め取得する構成により、冗長切り替え前後で光回線ユニットは通信信号を中断することなく復号することができるため、冗長切り替えに伴う通信停止時間を短縮することができ、安定かつ高い通信品質を提供することができる。また、冗長切り替えの前後でキーを変更することができるため、通信信号のパケット番号等の情報を切り替え元の光回線ユニットおよび切り替え先の光回線ユニット間で引き継ぐ必要がなくなることから、冗長切り替え前後で安定した通信を実現し、かつ簡易な冗長切り替え処理を実現することができる。また、冗長切り替え前後で異なるキーを使用する場合、セキュリティ性を向上させることができる。したがって、局側装置および宅側装置間のセキュリティ機能を実現するとともに、局側装置における冗長切り替えに対して、局側装置および宅側装置間の通信停止時間の増大を抑制し、信頼性の高い通信システムを提供することができる。 As described above, since the key to be used after the redundant switching is acquired in advance before the redundant switching, the optical line unit can decode without interrupting the communication signal before and after the redundant switching. Can be shortened, and stable and high communication quality can be provided. In addition, since the key can be changed before and after the redundancy switching, it is not necessary to transfer information such as the packet number of the communication signal between the switching source optical line unit and the switching destination optical line unit. Thus, stable communication can be realized, and simple redundant switching processing can be realized. Further, when different keys are used before and after redundancy switching, security can be improved. Therefore, a security function between the station side device and the home side device is realized, and an increase in the communication stop time between the station side device and the home side device is suppressed with respect to redundant switching in the station side device, so that the reliability is high. A communication system can be provided.
またこの発明の別の局面に係わる宅側制御部は、冗長化された光回線ユニットと通信するための宅側装置において用いられる宅側制御部であって、上記光回線ユニットへ送信すべき通信信号を、暗号化キーを用いて暗号化するための暗号化部と、運用系の上記光回線ユニットおよび待機系の上記光回線ユニット間の切り替えの前に用いる上記暗号化キーである通常用暗号化キー、および上記切り替えの後に用いるべき上記暗号化キーである切り替え用暗号化キーを記憶するための記憶部とを備える。 A home-side control unit according to another aspect of the present invention is a home-side control unit used in a home-side device for communicating with a redundant optical line unit, and a communication to be transmitted to the optical line unit. An encryption unit for encrypting a signal using an encryption key, and a normal encryption that is the encryption key used before switching between the optical line unit in the active system and the optical line unit in the standby system And a storage unit for storing a switching encryption key that is the encryption key to be used after the switching.
このような構成により、冗長切り替え後に用いるべきキーを冗長切り替え前に予め取得することができるため、冗長切り替え前後で光回線ユニットは通信信号を中断することなく復号することができる。これにより、冗長切り替えに伴う通信停止時間を短縮することができ、安定かつ高い通信品質を提供することができる。また、冗長切り替えの前後でキーを変更することができるため、通信信号のパケット番号等の情報を切り替え元の光回線ユニットおよび切り替え先の光回線ユニット間で引き継ぐ必要がなくなることから、冗長切り替え前後で安定した通信を実現し、かつ簡易な冗長切り替え処理を実現することができる。また、冗長切り替え前後で異なるキーを使用する場合、セキュリティ性を向上させることができる。したがって、局側装置および宅側装置間のセキュリティ機能を実現するとともに、局側装置における冗長切り替えに対して、局側装置および宅側装置間の通信停止時間の増大を抑制し、信頼性の高い通信システムを提供することができる。 With such a configuration, the key to be used after the redundant switching can be acquired in advance before the redundant switching, so that the optical line unit can decode the communication signal without interruption before and after the redundant switching. Thereby, the communication stop time accompanying redundancy switching can be shortened, and stable and high communication quality can be provided. In addition, since the key can be changed before and after the redundancy switching, it is not necessary to transfer information such as the packet number of the communication signal between the switching source optical line unit and the switching destination optical line unit. Thus, stable communication can be realized, and simple redundant switching processing can be realized. Further, when different keys are used before and after redundancy switching, security can be improved. Therefore, a security function between the station side device and the home side device is realized, and an increase in the communication stop time between the station side device and the home side device is suppressed with respect to redundant switching in the station side device, so that the reliability is high. A communication system can be provided.
この発明のある局面に係わる通信制御方法は、宅側装置と、上記宅側装置と通信するための冗長化された光回線ユニットとを備える通信システムにおける通信制御方法であって、上記宅側装置および上記光回線ユニットが、運用系の上記光回線ユニットおよび待機系の上記光回線ユニット間の切り替えの後に用いるべき、暗号化キーである切り替え用暗号化キーおよび上記暗号化キーに対応する復号化キーである切り替え用復号化キーをそれぞれ予め取得するステップと、上記切り替えの後、上記宅側装置が、取得した上記切り替え用暗号化キーを用いて暗号化した通信信号を上記光回線ユニットへ送信するステップと、上記切り替えの後、上記光回線ユニットが、上記宅側装置から受信した暗号化された上記通信信号を、取得した上記切り替え用復号化キーを用いて復号するステップとを含む。 A communication control method according to an aspect of the present invention is a communication control method in a communication system including a home side device and a redundant optical line unit for communicating with the home side device, the home side device And an encryption key for switching which is an encryption key to be used after the optical line unit is switched between the optical line unit of the active system and the optical line unit of the standby system, and decryption corresponding to the encryption key A step of previously obtaining a switching decryption key as a key, and after the switching, the home-side device transmits a communication signal encrypted using the acquired switching encryption key to the optical line unit. And after the switching, the optical line unit transmits the encrypted communication signal received from the home device to the acquired switch. And a step of decoding using a decoding key for example.
このように、冗長切り替え後に用いるべきキーを冗長切り替え前に予め取得する構成により、冗長切り替え前後で光回線ユニットは通信信号を中断することなく復号することができるため、冗長切り替えに伴う通信停止時間を短縮することができ、安定かつ高い通信品質を提供することができる。また、冗長切り替えの前後でキーを変更することができるため、通信信号のパケット番号等の情報を切り替え元の光回線ユニットおよび切り替え先の光回線ユニット間で引き継ぐ必要がなくなることから、冗長切り替え前後で安定した通信を実現し、かつ簡易な冗長切り替え処理を実現することができる。また、冗長切り替え前後で異なるキーを使用する場合、セキュリティ性を向上させることができる。したがって、局側装置および宅側装置間のセキュリティ機能を実現するとともに、局側装置における冗長切り替えに対して、局側装置および宅側装置間の通信停止時間の増大を抑制し、信頼性の高い通信システムを提供することができる。宅側装置は、後述するように、たとえば、LoS(Loss of Signal)、タイムスタンプドリフト、受信したPON制御フレームの送信元アドレスの変化、受信した下り暗号化フレームのSCIの変化、受信した下り暗号化フレームの保護通信識別番号の切り替え用の番号への変化、受信した下り暗号化フレームのロングタグからショートタグへの変化、あるいは受信した下り暗号化フレームのショートタグからロングタグへの変化、等を検出することにより、上記切り替えを検知することができ、検知したタイミングに従い、上記切り替え用暗号化キーの使用を開始することができる。 As described above, since the key to be used after the redundant switching is acquired in advance before the redundant switching, the optical line unit can decode without interrupting the communication signal before and after the redundant switching. Can be shortened, and stable and high communication quality can be provided. In addition, since the key can be changed before and after the redundancy switching, it is not necessary to transfer information such as the packet number of the communication signal between the switching source optical line unit and the switching destination optical line unit. Thus, stable communication can be realized, and simple redundant switching processing can be realized. Further, when different keys are used before and after redundancy switching, security can be improved. Therefore, a security function between the station side device and the home side device is realized, and an increase in the communication stop time between the station side device and the home side device is suppressed with respect to redundant switching in the station side device, so that the reliability is high. A communication system can be provided. As will be described later, the home side device, for example, LoS (Loss of Signal), time stamp drift, change in the source address of the received PON control frame, change in SCI of the received downlink encrypted frame, received downlink cipher Change of protected communication identification number of encrypted frame, change of received downlink encrypted frame from long tag to short tag, or change of received downlink encrypted frame from short tag to long tag, etc. By detecting this, the switching can be detected, and the use of the switching encryption key can be started according to the detected timing.
本発明によれば、局側装置および宅側装置間のセキュリティ機能を実現するとともに、局側装置における冗長切り替えに対して、局側装置および宅側装置間の通信停止時間の増大を抑制し、信頼性の高い通信システムを提供することができる。 According to the present invention, the security function between the station-side device and the home-side device is realized, and the redundancy switching in the station-side device is restrained from increasing the communication stop time between the station-side device and the home-side device, A highly reliable communication system can be provided.
以下、本発明の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. In the drawings, the same or corresponding parts are denoted by the same reference numerals and description thereof will not be repeated.
<第1の実施の形態>
[構成および基本動作]
図1は、本発明の第1の実施の形態に係るPONシステムの概略構成を示すブロック図である。
<First Embodiment>
[Configuration and basic operation]
FIG. 1 is a block diagram showing a schematic configuration of a PON system according to the first embodiment of the present invention.
図1を参照して、PONシステム301は、局側装置101と、光ファイバであるN本のPON回線1〜N(203−1〜203−N)と、N個の光カプラ204−1〜204−Nと、複数の宅側装置(ONU)202とを備える。局側装置101は、光回線ユニット(以下、OSU(Optical Subscriber Unit)とも称する)1〜N+1(12−1〜12−N+1)と、集線部13と、光スイッチ14と、局側装置101の全体的な制御を行なう全体制御部11とを含む。ここで、Nは1以上の整数である。また、宅側装置から上位ネットワーク(以下「アップリンク」とも称する。)への方向を上り方向と称し、アップリンクから宅側装置への方向を下り方向と称する。
Referring to FIG. 1, a
ここでは、PONシステム301において、各PON回線は10ギガビット/秒の通信速度を実現するEPONである10G−EPONに対応しており、アップリンクは10ギガビット/秒の通信速度を実現するイーサネット(登録商標)に対応すると仮定して説明する。また、MPCPフレームによってONUの登録、離脱、ONUへの帯域割り当て、ONUからの帯域要求が行なわれると仮定して説明する。
Here, in the
局側装置101は、10G−EPONに対応するPON回線を複数回線収容する。1本のPON回線には1または複数のONUが接続される。局側装置101は、これらのPON回線からのデータを1または複数の通信回線を有するアップリンクに多重する。また、局側装置101は、アップリンクからのデータを振り分けて各PON回線における各ONUへ送信する。また、局側装置101は、PON回線の上り帯域および下り帯域を各ONUに割り当てる。たとえば、各ONUから局側装置101への上り光信号はバースト信号であり、局側装置101から各ONUへの下り光信号は連続的な信号である。PONシステム301では、各ONUから局側装置101への光信号が時分割多重される。
The
具体的には、局側装置101は、N本のPON回線1〜Nに接続され、このN本のPON回線を終端する。OSUは、局側装置101の構成単位であり、たとえば1つの集積回路で実現され、PON回線の終端を行なう。各OSUは、PON回線に対応して設けられ、対応のPON回線に接続された1または複数のONUとフレームを送受信する。PON回線1〜Nは、光カプラ204−1〜204−Nにそれぞれ接続されており、これらの光カプラを介して各ONU202に接続されている。
Specifically, the
局側装置101は、たとえば、N:1の冗長構成を有している。すなわち、N+1個のOSUのうち、OSU1〜Nが運用系(現用)OSUであり、OSU N+1が待機系(予備)OSUである。なお、局側装置101は、2個以上の待機系OSUを含む構成であってもよい。
The
全体制御部11は、ONU202とフレームを送受信すべきOSU12を、運用系のOSU12および待機系のOSU12間で切り替える切り替え制御を行なう。
The
光スイッチ14は、全体制御部11からの指示に従い、N+1個のOSU1〜N+1(12−1〜12−N+1)と、N本のPON回線1〜N(3−1〜3−N)との間の通信経路を切り替える。
In accordance with an instruction from the
集線部13は、複数のOSU経由で各ONUから受信した上りフレームをアップリンクへ送信する。具体的には、集線部13は、OSU1〜N(12−1〜12−N+1)からの上りフレームを多重してアップリンクに送信するとともに、アップリンクから受信した下りフレームを適切なOSUに振り分ける処理を行なう。
The
図2は、本発明の第1の実施の形態に係る局側装置におけるOSUの構成を示す図である。 FIG. 2 is a diagram showing the configuration of the OSU in the station side apparatus according to the first embodiment of the present invention.
図2を参照して、OSU12は、暗号部30と、集線IF(Interface)部31と、制御IF部32と、受信処理部33と、送信処理部34と、PON送受信部35と、PON制御部36と、上りフレームを蓄積するFIFO37と、下りフレームを蓄積するFIFO38とを含む。
Referring to FIG. 2, the
局側装置101では、OSU12における各ユニットが動作するためのクロックが生成され、OSU12は、このクロックのタイミングに従って時刻情報すなわちタイムスタンプを生成し、タイムスタンプに従ってフレームを送受信する。また、OSU12は、タイムスタンプを制御フレームに含めて配下の各ONU202へ送信する。ONU202は、タイムスタンプに従って動作し、OSU12からの制御フレームに含まれるタイムスタンプに基づいて自己のタイムスタンプを調整する。
In the
PON送受信部35は、PON線路の親局側起点として、PON回線である1本の光ファイバと光スイッチ14を介して接続される。PON送受信部35は、この光ファイバを介して各ONUと双方向通信が行なえるように、特定の波長、たとえば1310nm帯の上り光信号を受信し、電気信号に変換して受信処理部33に出力するとともに、送信処理部34から受けた電気信号を別波長の下り光信号に変換して送信する。たとえば、PON送受信部35は、送信処理部34から受けた10Gbpsの電気信号を1570nm帯の下り光信号に変換して送信する。
The PON transmission /
受信処理部33は、PON送受信部35から受けた電気信号からフレームを再構成するとともに、フレームの種別に応じてPON制御部36またはFIFO37にフレームを振り分ける。具体的には、データフレームをFIFO37に出力し、制御フレームをPON制御部36に出力する。
The
また、受信処理部33は、どのロジカルリンクからフレームをいつ受信するかを示すグラント情報を送信処理部34から受けて、バースト受信を支援するための制御信号をPON送受信部35へ出力してもよい。また、受信処理部33は、このグラント情報を受けて、当該グラント情報に示されていない受信フレームをフィルタリングする、すなわち廃棄するようにしてもよい。
Further, the
集線IF部31は、FIFO37から受けた上りフレームを集線部13へ出力する。集線IF部31は、PON制御部36から制御フレームを受けた場合には、FIFO37からのフレーム列の合間において、当該制御フレームをFIFO37からのフレームよりも優先して集線部13へ出力する。
The concentrating IF
また、集線IF部31は、集線部13からフレームを受けると、当該フレームが通常のデータフレームである場合にはFIFO38に出力し、当該フレームが制御フレームである場合にはPON制御部36へ出力する。
Further, when receiving the frame from the
暗号部30は、FIFO38から受けたデータフレームを暗号化する。また、暗号部30は、暗号化後のデータフレームおよびPON制御部36から受けた制御フレームを送信処理部34へ出力する。
The
送信処理部34は、暗号部30から出力されるデータフレームおよび制御フレームを、優先順位に従って受け取り、PON送受信部35に出力する。
The
PON制御部36は、MPCPおよびOAMなど、PON回線の制御および管理に関する局側処理を行なう。すなわち、PON回線に接続されている各ONUとMPCPメッセージおよびOAMメッセージをやりとりすることによって、ONUの登録、離脱および帯域割り当てを含めた上りアクセス制御、下りアクセス制御、ならびにONUへのスリープ指示を含めたONUの運用管理などを行なう。
The
たとえば、PON制御部36は、各ONU202から受けたPON回線における上り帯域の割り当て要求に基づいて、PON回線における上り帯域を各ONU202に割り当てる。具体的には、PON制御部36は、ONU202から受けたPON回線における帯域の割り当て要求を示すレポートフレームに基づいて、PON回線における帯域をONU202に割り当てる、すなわちグラントを記したゲートフレームをONU202へ送信する。PON制御部36は、ゲートフレームを用いて、ONU202に対して、上りフレームの送信開始タイミングおよび送信可能データ長を通知する。
For example, the
制御IF部32は、全体制御部11からの指示に基づいて、集線IF部31、受信処理部33、送信処理部34、およびPON制御部36への設定を行ない、これら各ユニットの状態を全体制御部11に通知する。また、これら各ユニットに異常が発生した場合は、全体制御部11からの指示に依らず、異常が発生したユニットの状態を全体制御部11に通知する。全体制御部11は、たとえばこれらの情報に基づいて、OSU12の冗長切り替えを行なう。PON送受信部35についての設定および状態通知は、受信処理部33を経由して行なわれる。また、暗号部30についての設定および状態通知は、PON制御部36を経由して行なわれる。
Based on an instruction from the
図3は、本発明の第1の実施の形態に係るONUの構成を示す図である。 FIG. 3 is a diagram showing the configuration of the ONU according to the first embodiment of the present invention.
図3を参照して、ONU202は、復号部20と、PONポート21と、光受信処理部22と、バッファメモリ23と、送信処理部24と、UNI(User Network Interface)ポート25と、受信処理部26と、バッファメモリ27と、光送信処理部28と、制御部29とを備える。
Referring to FIG. 3, the
光受信処理部22は、局側装置101から送信される下り光信号をPONポート21経由で受信して電気信号に変換し、当該電気信号からフレームを再構成して出力する。
The optical
復号部20は、光受信処理部22から受けたデータフレームを復号する。また、復号部20は、フレームの種別に応じて制御部29または送信処理部24にフレームを振り分ける。具体的には、復号部20は、復号したデータフレームをバッファメモリ23経由で送信処理部24に出力し、光受信処理部22から受けた制御フレームを制御部29に出力する。
The
送信処理部24は、復号部20から受けたデータフレームをUNIポート25経由で図示しないパーソナルコンピュータ等のユーザ端末へ送信する。
The
受信処理部26は、UNIポート25経由でユーザ端末から受信したデータフレームをバッファメモリ27経由で光送信処理部28へ出力する。
The
制御部29は、MPCPおよびOAM等、PON回線の制御および管理に関する宅側処理を行なう。すなわち、PON回線に接続されている局側装置101とMPCPメッセージおよびOAMメッセージをやりとりすることによって、アクセス制御等の各種制御を行なう。制御部29は、各種制御情報を含む制御フレームを生成し、バッファメモリ27経由で光送信処理部28へ出力する。
The
光送信処理部28は、受信処理部26から受けたデータフレームおよび制御部29から受けた制御フレームを光信号に変換し、PONポート21経由で局側装置101へ送信する。
The optical
図4は、本発明の第1の実施の形態に係るOSUにおけるPON制御部および暗号部の構成を示す図である。 FIG. 4 is a diagram showing configurations of the PON control unit and the encryption unit in the OSU according to the first embodiment of the present invention.
図4を参照して、PON制御部36は、フレーム作成部71と、キー更新部(暗号化キー取得部)72と、SCI作成部73と、切り替え処理部74とを含む。暗号部30は、フレーム種別識別部61と、記憶部62と、暗号器(暗号化部および通信信号構成部)63と、マルチプレクサ64と、キー選択部65と、SCI選択部66とを含む。
Referring to FIG. 4,
PON制御部36および暗号部30における一部または全部のユニットは、局側制御部としてたとえば1つの集積回路で実現される。なお、この集積回路は、OSU12におけるPON制御部36および暗号部30以外の他のユニットをさらに含んでもよい。また、記憶部62は、PON制御部36に含まれてもよいし、その記憶領域が分割されて暗号部30およびPON制御部36に含まれてもよい。
Part or all of the units in the
暗号部30において、記憶部62は、運用系OSUおよび待機系OSU間の冗長切り替えの前に用いる暗号化キーである通常用暗号化キー、および当該冗長切り替えの後に用いるべき暗号化キーである切り替え用暗号化キーを記憶する。より詳細には、記憶部62は、キー管理用テーブル70およびSCI(Secure Channel Identifier)等の暗号化情報をたとえばロジカルリンク識別子(LLID)ごとに記憶する。
In the
PON制御部36において、キー更新部72は、運用系OSUおよび待機系OSU間の冗長切り替えの後に用いるべき暗号化キーである切り替え用暗号化キーを予め取得する。キー更新部72は、自己のOSU12の配下の各ONU202との暗号化通信に必要な暗号化キーをたとえばLLIDごとに取得し、取得した暗号化キーを記憶部62に保存する。なお、1つのONU202が1つのLLIDに対応する場合に限らず、1つのONU202が複数のLLIDに対応する場合もある。
In the
より詳細には、キー更新部72は、保護通信識別番号(Secure Association Number)とSAK等の暗号化キーとの対応関係を示すキー管理用テーブル(キー管理情報)70をLLIDごとに作成し、記憶部62に保存する。
More specifically, the
ここで、保護通信識別番号は、たとえば非特許文献2におけるアソシエーション番号(AN:Association Number)である。アソシエーション番号は、2ビットのデータであり、1つのLLIDに対して4通りのキーに対応した保護通信を登録することが可能である。
Here, the protected communication identification number is, for example, an association number (AN) in
PONシステム301では、たとえば、アソシエーション番号0および1を通常時に使用するキーの保護通信識別番号とし、アソシエーション番号2を運用系のOSU12から待機系のOSU12への冗長切り替え時に使用するキーに対応した保護通信識別番号とし、アソシエーション番号3を待機系のOSU12から運用系のOSU12への冗長切り替え時に使用するキーに対応した保護通信識別番号とする。
In the
なお、アソシエーション番号2および3の切り替え用キーは、異なるキーである場合に限らず、同じキーであってもよい。
The switching keys for
また、キーがユニキャスト用のキーである場合に限らず、ブロードキャスト用のキーおよびマルチキャスト用のキーである場合にも、本発明を適用することが可能である。 Further, the present invention can be applied not only when the key is a unicast key but also when the key is a broadcast key and a multicast key.
また、キーは、PSK(Pre-shared Key)等の固定化されたキーである構成に限らず、定期的に更新されてもよいし、使用後たとえば冗長切り替え後に更新されてもよい。この場合、キーが予測困難となるため、セキュリティ性を向上させることができる。 Further, the key is not limited to a configuration in which the key is a fixed key such as PSK (Pre-shared Key), but may be updated periodically, or after use, for example, after redundancy switching. In this case, since the key is difficult to predict, security can be improved.
SCI作成部73は、自己のOSU12の識別情報およびフレームの送信先のONU202の識別情報に基づいて、チャネル情報を作成する。たとえば、SCI作成部73は、チャネル情報として非特許文献2におけるSCI(Secure Channel Identifier)を作成する。
The
SCIは、システム識別子(System Identifier)およびポート番号(Port Number)から構成される。具体的には、システム識別子は、フレームの暗号元の世界に2つとないMAC(Medium Access Control)アドレスであり、ポート番号はシステム内で重複しない番号たとえばLLIDである。SCI作成部73は、SCIをLLIDごとに作成し、記憶部62に保存する。
The SCI is composed of a system identifier and a port number. Specifically, the system identifier is a MAC (Medium Access Control) address that is not two in the world of the encryption source of the frame, and the port number is a number that is not duplicated in the system, for example, LLID. The
なお、PONシステム301は、チャネル情報としてSCIを用いる構成に限らず、たとえばMACアドレスおよびLLIDを用いて何らかのエンコード処理を行なったデータをチャネル情報として用いる構成であってもよい。
Note that the
フレーム作成部71は、ゲートフレーム等のMPCPフレーム、OAMフレーム、および拡張MACフレーム等の制御フレームを作成して出力する。
The
暗号部30において、フレーム種別識別部61は、FIFO38およびフレーム作成部71から受けたフレームにおけるタイプフィールドの内容を確認し、暗号化すべきフレームを判別する。具体的には、たとえば、フレーム種別識別部61は、データフレームを暗号器63へ出力し、制御フレームをマルチプレクサ64へ出力する。
In the
暗号器63は、フレーム種別識別部61から受けたデータフレームに含まれるユーザデータを、たとえば非特許文献2に記載の方法に従い、暗号化キーおよびSCIを用いて暗号化する。
The
マルチプレクサ64は、暗号器63によって暗号化されたデータフレームおよびフレーム種別識別部61から受けた制御フレームを多重化して送信処理部34へ出力する。
The
PON制御部36において、切り替え処理部74は、たとえばOSU冗長切り替えのタイミングおよび自己のOSU12が切り替え元であるか切り替え先であるか等を示す切り替え制御情報を制御IF部32経由で全体制御部11から取得する。また、切り替え元のOSU12において、切り替え制御情報は、さらに、切り替え先のOSU12のMACアドレスを含む。そして、切り替え処理部74は、切り替え制御情報をキー選択部65、SCI選択部66、暗号器63およびフレーム作成部71へ出力する。
In the
切り替え元のOSU12におけるフレーム作成部71は、切り替え処理部74から受けた切り替え制御情報の示すMACアドレスを通知するための、自己のOSU12と通信中のONU202を宛先とする制御フレームを生成してフレーム種別識別部61へ出力する。この制御フレームは、たとえば拡張OAMフレームである。
The
切り替え先のOSU12におけるキー選択部65は、切り替え処理部74から受けた切り替え制御情報に基づいて、データフレームに含めるべきアソシエーション番号を選択し、選択したアソシエーション番号に対応する暗号化キーをキー管理用テーブル70から取得し、当該アソシエーション番号および当該暗号化キーを暗号器63へ出力する。
Based on the switching control information received from the switching
SCI選択部66は、切り替え処理部74から受けた切り替え制御情報に基づいて、データフレームに含めるべきアソシエーション番号を選択し、選択したアソシエーション番号に対応するSCIをキー管理用テーブル70から取得し、当該アソシエーション番号および当該SCIを暗号器63へ出力する。
The
図5は、本発明の第1の実施の形態に係るOSUにおける下りデータフレームの構成の一例を示す図である。 FIG. 5 is a diagram illustrating an example of a configuration of a downlink data frame in the OSU according to the first embodiment of the present invention.
図5を参照して、下りデータフレームは、たとえば、送信先アドレス(DA)が挿入されるフィールドと、送信元アドレス(SA)が挿入されるフィールドと、セキュリティタグが挿入されるフィールドと、ユーザデータを暗号化した暗号化データが挿入されるフィールドと、ICV(Integrity Check Value)が挿入されるフィールドとを含む。セキュリティタグは、たとえばアソシエーション番号(AN)、パケット番号(PN)およびSCIを含む。 Referring to FIG. 5, a downlink data frame includes, for example, a field into which a transmission destination address (DA) is inserted, a field into which a transmission source address (SA) is inserted, a field into which a security tag is inserted, and a user. It includes a field into which encrypted data obtained by encrypting data is inserted, and a field into which ICV (Integrity Check Value) is inserted. The security tag includes, for example, an association number (AN), a packet number (PN), and SCI.
再び図4を参照して、暗号器63は、キー選択部65またはSCI選択部66から受けたアソシエーション番号およびSCI選択部66から受けたSCI等をセキュリティタグに設定するとともに、セキュリティタグにおけるパケット番号を設定する。また、暗号器63は、フレーム種別識別部61から受けたデータフレームに含まれるユーザデータを、キー選択部65から受けた暗号化キーおよびSCI選択部66から受けたSCIを用いて暗号化する。
Referring to FIG. 4 again,
また、暗号器63は、SCIをデータフレームに含める動作、およびSCIをデータフレームに含めない動作を選択可能である。
The
より詳細には、再び図5を参照して、暗号器63は、アソシエーション番号(AN)およびパケット番号(PN)等に加えてSCIを含むロングタグをセキュリティタグとして送信する動作、およびSCIを含まないショートタグをセキュリティタグとして送信する動作を行なうことが可能である。
More specifically, referring to FIG. 5 again, the
図6は、本発明の第1の実施の形態に係るONUにおける制御部および復号部の構成を示す図である。 FIG. 6 is a diagram showing a configuration of a control unit and a decoding unit in the ONU according to the first embodiment of the present invention.
図6を参照して、復号部20は、復号器(復号化部)51と、記憶部52と、SCI選択部53と、キー選択部54と、アソシエーション番号抽出部(保護通信識別番号抽出部)55と、フレーム種別識別部57とを含む。制御部29は、キー更新部(復号化キー取得部)81と、SCI作成部(チャネル情報更新部)82と、切り替え処理部(切り替え検知部)83と、MACアドレス更新部84と、制御フレーム処理部85とを含む。
Referring to FIG. 6,
制御部29および復号部20における一部または全部のユニットは、宅側制御部としてたとえば1つの集積回路で実現される。なお、この集積回路は、ONU202における制御部29および復号部20以外の他のユニットをさらに含んでもよい。また、記憶部52は、制御部29に含まれてもよいし、その記憶領域が分割されて制御部29および復号部20に含まれてもよい。
A part or all of the units in the
復号部20において、記憶部52は、運用系OSUおよび待機系OSU間の冗長切り替えの前に用いる復号化キーである通常用復号化キー、および冗長切り替えの後に用いるべき復号化キーである切り替え用復号化キーを記憶する。たとえば、記憶部52は、運用系OSUから待機系OSUへの切り替えの後に用いるべき切り替え用復号化キー、および待機系OSUから運用系OSUへの切り替えの後に用いるべき切り替え用復号化キーを記憶する。より詳細には、記憶部52は、キー管理用テーブル60、ポート番号および切り替え先MACアドレス等の暗号化情報を記憶する。
In the
制御部29において、キー更新部81は、運用系OSUおよび待機系OSU間の冗長切り替えの後に用いるべき復号化キーである切り替え用復号化キーを予め取得する。キー更新部81は、OSU12との暗号化通信に必要な復号化キーを取得し、取得した復号化キーを記憶部52に保存する。
In the
SCI作成部82は、自己のONU202の識別情報およびフレームの暗号元のOSU12の識別情報に基づいて、チャネル情報を作成する。たとえば、SCI作成部82は、チャネル情報として非特許文献2におけるSCI(Secure Channel Identifier)を作成し、記憶部52に保存する。この場合、前述のように、自己のONU202の識別情報はLLIDであり、フレームの暗号元のOSU12の識別情報はMACアドレスである。
The
キー更新部81およびSCI作成部82は、保護通信識別番号とSAK等の復号化キーとSCIとの対応関係を示すキー管理用テーブル(キー管理情報)60を作成し、記憶部52に保存する。たとえば、キー管理用テーブル60には、運用系OSUおよび待機系OSU間の冗長切り替えの前に用いるSCI、および当該冗長切り替えの後に用いるべきSCIが登録される。
The
復号部20において、フレーム種別識別部57は、光受信処理部22から受けたフレームにおけるタイプフィールドの内容を確認し、復号すべきフレームを判別する。具体的には、たとえば、フレーム種別識別部57は、データフレームを復号器51へ出力し、制御フレームを制御部29へ出力する。
In the
復号器51は、フレーム種別識別部57から受けたデータフレームに含まれるユーザデータを、たとえば非特許文献2に記載の方法に従い、復号化キーおよびSCIを用いて復号し、バッファメモリ23へ出力する。
The
より詳細には、復号器51は、キー選択部54によってキー管理用テーブル60を参照することにより、アソシエーション番号抽出部55によって抽出された保護通信識別番号に対応する復号化キーを取得し、取得した復号化キーをデータフレームの復号に用いる。
More specifically, the
より詳細には、アソシエーション番号抽出部55は、フレーム種別識別部57から受けたデータフレームに含まれるアソシエーション番号を抽出し、抽出したアソシエーション番号をSCI選択部53およびキー選択部54へ出力する。また、アソシエーション番号抽出部55は、データフレームのセキュリティタグにおけるアソシエーション番号の変更を検知し、検知結果を切り替え処理部83に通知する。
More specifically, the association
キー選択部54は、アソシエーション番号抽出部55から受けたアソシエーション番号に対応する復号化キーをキー管理用テーブル60から取得し、当該アソシエーション番号および当該復号化キーを復号器51へ出力する。
The
SCI選択部53は、アソシエーション番号抽出部55から受けたアソシエーション番号に対応するSCIをキー管理用テーブル60から取得し、当該アソシエーション番号および当該SCIを復号器51へ出力する。
The
復号器51は、キー選択部54から受けた復号化キーおよびSCI選択部53から受けたSCIを用いて、フレーム種別識別部57から受けたデータフレームに含まれるユーザデータを復号し、バッファメモリ23へ出力する。
The
制御部29において、制御フレーム処理部85は、フレーム種別識別部57から受けた制御フレームの解析を行ない、解析結果に基づいてアクセス制御等の各種制御を行なう。
In the
MACアドレス更新部84は、自己のONU202と通信中のOSU12から、切り替え先のOSU12のMACアドレスの通知を制御フレーム処理部85経由で受けると、記憶部52におけるMACアドレスを、通知されたMACアドレスに書き換える。
When the MAC
切り替え処理部83は、種々の方法でOSU冗長切り替えを検知する。たとえば、切り替え処理部83は、制御フレーム処理部85または光受信処理部22から受けた情報に基づいて、OSU冗長切り替えを検知する。
The switching
具体的には、光受信処理部22は、LoS(Loss of Signal)、すなわちONU202が局側装置101から送信される下り光信号を所定時間以上検出できない場合、その旨を切り替え処理部83に通知する。切り替え処理部83は、この通知を受けて、OSU冗長切り替えが発生したと判断する。すなわち、切り替え処理部83は、局側装置101からの下り光信号の途絶を、冗長切り替えの発生として検知する。
Specifically, the optical
また、切り替え処理部83は、OSU12からのタイムスタンプと自己のONU202のタイムスタンプとの差に基づいて、冗長切り替えの発生を検知する。
The switching
より詳細には、制御フレーム処理部85は、OSU12から受信するMPCPフレームのタイムスタンプ値を監視し、当該タイムスタンプ値と自己のONU202のタイムスタンプ値との差が所定の閾値を超えた場合、タイムスタンプドリフトが発生したとして切り替え処理部83に通知する。切り替え処理部83は、タイムスタンプドリフトが発生した旨の通知を制御フレーム処理部85から受けて、OSU冗長切り替えが発生したと判断する。
More specifically, the control
また、OSU12が送信する下りフレームの送信元アドレスフィールドには、送信するMAC装置すなわちOSU12のMACアドレスが格納される。異なるMAC装置が同一のMACアドレスを使用することはできないため、送信元アドレスフィールドの値は、OSU冗長切り替えの前後で変わる。
Further, the MAC address of the transmitting MAC device, that is, the
そこで、切り替え処理部83は、局側装置101からのフレームの送信元アドレスの変化を、OSU冗長切り替えの発生として検知する。
Therefore, the switching
より詳細には、切り替え処理部83は、PON制御フレームの送信元アドレスが変化した旨の通知を制御フレーム処理部85から受けた場合、OSU冗長切り替えが発生したと判断する。
More specifically, when receiving a notification from the control
これにより、LoSを検出できない場合でも、また、冗長切り替えの前後でフレームのタイムスタンプのずれが小さい場合でも、切り替え処理部83は、OSU冗長切り替えの発生を検知することができる。
Thereby, even when LoS cannot be detected, or even when the time stamp deviation between frames is small before and after redundancy switching, the switching
切り替え処理部83は、OSU冗長切り替えの検知結果およびアソシエーション番号抽出部55の検知結果に基づいて、データフレームの復号において切り替え用復号化キーを用いるか否かを判断する。具体的には、たとえば、切り替え処理部83は、OSU冗長切り替えを検知していない状態において、OSU12から受信するデータフレームのセキュリティタグにおけるアソシエーション番号が、OSU冗長切り替えに対応する2または3に変わった場合、異常状態であると判定する。
Based on the detection result of the OSU redundancy switching and the detection result of the association
なお、ONU202は、冗長切り替えを検知できない場合でも、データフレームのセキュリティタグにおけるアソシエーション番号の変更を検知することにより、冗長切り替え後に用いるべき復号化キーへの変更を行なうことができる。このため、ONU202は、切り替え処理部83および冗長切り替えを検知するための構成を有していなくてもよい。
The
[動作]
次に、本発明の第1の実施の形態に係るPONシステムにおける冗長切り替え処理について図面を用いて説明する。以下、PONシステム301において、OSU12が用いる暗号化キーとONU202が用いる復号化キーとが共通のキーである場合について説明する。
[Operation]
Next, redundant switching processing in the PON system according to the first embodiment of the present invention will be described with reference to the drawings. Hereinafter, in the
図7は、本発明の第1の実施の形態に係るPONシステムにおいて、運用系OSUから待機系OSUへの冗長切り替えを行なう際の動作手順を示すフローチャートである。 FIG. 7 is a flowchart showing an operation procedure when performing redundant switching from the active OSU to the standby OSU in the PON system according to the first embodiment of the present invention.
図7を参照して、運用系OSUから待機系OSUへの冗長切り替え前において、ONU202および運用系OSUは、通常用キーを用いたデータフレームの暗号化および復号化を行ない、通信を行なう(ステップS1)。
Referring to FIG. 7, before the redundant switching from the active OSU to the standby OSU, the
次に、ONU202および待機系OSUは、運用系OSUから待機系OSUへの冗長切り替え後に用いるべき切り替え用キーを取得して各々の記憶部に予め登録しておく。
Next, the
具体的には、たとえば、ONU202および運用系OSUは、上記通信中に、運用系OSUから待機系OSUへの冗長切り替え後に用いるキー等の暗号化情報の共有化処理を行なうことにより、切り替え用キーを取得する。たとえば、ONU202および運用系OSUは、IEEE802.1X(登録商標)−2010に従った手順でキー等の暗号化情報を取得する。そして、運用系OSUは、上記通信中に、当該切り替え用キーを待機系OSUに通知する(ステップS2およびS3)。あるいは、たとえば、ONU202および各OSU12の起動前に、通信事業者等が切り替え用キーを予め登録してもよい。
Specifically, for example, the
次に、運用系OSUは、切り替え先の待機系OSUのMACアドレスを、たとえば拡張OAMメッセージに含めてONU202に通知する(ステップS4)。
Next, the active OSU notifies the
次に、ONU202は、運用系OSUから通知された待機系OSUのMACアドレス、および自己のLLIDに基づいて、運用系OSUから待機系OSUへの冗長切り替え後に用いるべき切り替え用のSCIを作成する。そして、ONU202は、作成した切り替え用SCIを自己の記憶部に登録する(ステップS5)。
Next, the
次に、運用系OSUから待機系OSUへの冗長切り替えが発生すると(ステップS6)、運用系OSUは、自己と通信中のONU202のLLID等を含む切り替え情報を待機系OSUに通知する。なお、運用系OSUは、冗長切り替え発生前に上記切り替え情報を待機系OSUに通知してもよい(ステップS7)。
Next, when redundant switching from the active OSU to the standby OSU occurs (step S6), the active OSU notifies the standby OSU of switching information including the LLID of the
次に、待機系OSUは、運用系OSUから通知されたONU202のLLID、および自己のMACアドレスに基づいて、当該ONU202との通信における暗号化に使用するSCIを作成する。そして、待機系OSUは、作成したSCIを自己の記憶部に登録する(ステップS8)。
Next, the standby OSU creates an SCI used for encryption in communication with the
次に、待機系OSUは、予め登録しておいた切り替え用キー、および作成したSCIを用いてデータフレームを暗号化する。また、待機系OSUは、データフレームのセキュリティタグにおいて、アソシエーション番号を切り替え用のアソシエーション番号2に設定する。また、待機系OSUは、通常用キーから切り替え用キーへの切り替わりに伴い、セキュリティタグにおけるパケット番号を1から開始し、インクリメントしていく(ステップS9)。
Next, the standby OSU encrypts the data frame using the switching key registered in advance and the created SCI. The standby OSU sets the association number to the
次に、待機系OSUは、パケット番号が所定のしきい値を超えた等の理由で切り替え用キーから新たなキーに変える際には、新たなキーに対応するアソシエーション番号として通常用の0または1を使用する。また、待機系OSUは、ステップS8で作成したSCIを引き続き使用する(ステップS10)。 Next, when the standby OSU changes from a switching key to a new key because the packet number has exceeded a predetermined threshold value, the standby OSU uses a normal 0 or an association number corresponding to the new key. 1 is used. The standby OSU continues to use the SCI created in step S8 (step S10).
また、待機系OSUは、暗号化したデータフレームをONU202へ送信する(ステップS11)。 The standby OSU transmits the encrypted data frame to the ONU 202 (step S11).
次に、ONU202は、待機系OSUからデータフレームを受信して、局側装置101から送信されるデータフレームのセキュリティタグにおけるアソシエーション番号が切り替え用のアソシエーション番号に変わったことを検知する(ステップS12)。
Next, the
次に、ONU202は、予め登録しておいた切り替え用キーおよび切り替え用SCIを用いて、待機系OSUから受信したデータフレームを復号する(ステップS13)。
Next, the
次に、ONU202は、パケット番号が所定のしきい値を超えた等の理由で切り替え用キーから新たなキーに変える際には、新たなキーに対応するアソシエーション番号として通常用の0または1を使用する。また、ONU202は、切り替え用SCIを通常用SCIとして引き続き使用する(ステップS14)。
Next, when the
このように、PONシステム301では、OSU12およびONU202は、運用系OSUおよび待機系OSU間の冗長切り替えの後に用いるべき、暗号化キーである切り替え用暗号化キーおよび復号化キーである切り替え用復号化キーをそれぞれ予め取得する。また、ONU202は、運用系OSUおよび待機系OSU間の冗長切り替えの後に用いるべきチャネル情報たとえばSCIを予め取得する。
As described above, in the
また、たとえば、OSU12およびONU202は、それぞれ保護通信識別番号たとえばアソシエーション番号と暗号化キーおよび復号化キーとを対応づける。
Further, for example, the
そして、運用系OSUおよび待機系OSU間の冗長切り替えが行なわれると、切り替え先のOSU12は、切り替え用暗号化キーに対応する保護通信識別番号を含むデータフレームをONU202へ送信する。
When redundant switching between the active OSU and the standby OSU is performed, the
ONU202は、OSU12から受信したデータフレームに含まれる保護通信識別番号を抽出し、抽出した保護通信識別番号に対応する復号化キーである切り替え用復号化キーをデータフレームの復号に用いる。
The
図8は、本発明の第1の実施の形態に係るPONシステムにおいて、待機系OSUから運用系OSUへの冗長切り替えを行なう際の動作手順を示すフローチャートである。 FIG. 8 is a flowchart showing an operation procedure when performing redundant switching from the standby OSU to the active OSU in the PON system according to the first embodiment of the present invention.
図8を参照して、待機系OSUから運用系OSUへの冗長切り替え前において、ONU202および待機系OSUは、通常用キーを用いたデータフレームの暗号化および復号化を行ない、通信を行なう(ステップS21)。
Referring to FIG. 8, before redundant switching from standby OSU to active OSU,
次に、ONU202および運用系OSUは、待機系OSUから運用系OSUへの冗長切り替え後に用いるべき切り替え用キーを取得して各々の記憶部に予め登録しておく(ステップS22およびS23)。
Next, the
具体的には、たとえば、ONU202および待機系OSUは、上記通信中に、運用系OSUから待機系OSUへの冗長切り替え後に用いるキー等の暗号化情報の共有化処理を行なうことにより、切り替え用キーを取得する。たとえば、ONU202および待機系OSUは、IEEE802.1X(登録商標)−2010に従った手順でキー等の暗号化情報を取得する。そして、待機系OSUは、上記通信中に、当該切り替え用キーを運用系OSUに通知する(ステップS22およびS23)。あるいは、たとえば、ONU202および各OSU12の起動前に、通信事業者等が切り替え用キーを予め登録してもよい。
Specifically, for example, the
次に、待機系OSUは、切り替え先の運用系OSUのMACアドレスを、たとえば拡張OAMメッセージに含めてONU202に通知する(ステップS24)。
Next, the standby OSU notifies the
次に、ONU202は、待機系OSUから通知された運用系OSUのMACアドレス、および自己のLLIDに基づいて、待機系OSUから運用系OSUへの冗長切り替え後に用いるべき切り替え用のSCIを作成する。そして、ONU202は、作成した切り替え用SCIを自己の記憶部に登録する(ステップS25)。
Next, the
次に、待機系OSUから運用系OSUへの冗長切り替えが発生すると(ステップS26)、待機系OSUは、自己と通信中のONU202のLLID等を含む切り替え情報を運用系OSUに通知する。なお、待機系OSUは、冗長切り替え発生前に上記切り替え情報を運用系OSUに通知してもよい(ステップS27)。
Next, when redundant switching from the standby OSU to the active OSU occurs (step S26), the standby OSU notifies the active OSU of switching information including the LLID of the
次に、運用系OSUは、待機系OSUから通知されたONU202のLLID、および自己のMACアドレスに基づいて、当該ONU202との通信における暗号化に使用するSCIを作成する。そして、運用系OSUは、作成したSCIを自己の記憶部に登録する(ステップS28)。
Next, the active OSU creates SCI used for encryption in communication with the
次に、運用系OSUは、予め登録しておいた切り替え用キー、および作成したSCIを用いてデータフレームを暗号化する。また、運用系OSUは、データフレームのセキュリティタグにおいて、アソシエーション番号を切り替え用のアソシエーション番号3に設定する。また、運用系OSUは、通常用キーから切り替え用キーへの切り替わりに伴い、セキュリティタグにおけるパケット番号を1から開始し、インクリメントしていく(ステップS29)。
Next, the active OSU encrypts the data frame using the switching key registered in advance and the created SCI. Further, the active OSU sets the association number to the
次に、運用系OSUは、パケット番号が所定のしきい値を超えた等の理由で切り替え用キーから新たなキーに変える際には、新たなキーに対応するアソシエーション番号として通常用の0または1を使用する。また、運用系OSUは、ステップS28で作成したSCIを引き続き使用する(ステップS30)。
Next, when the operating OSU changes from a switching key to a new key because the packet number has exceeded a predetermined threshold, the
また、運用系OSUは、暗号化したデータフレームをONU202へ送信する(ステップS31)。 In addition, the active OSU transmits the encrypted data frame to the ONU 202 (step S31).
次に、ONU202は、運用系OSUからデータフレームを受信して、局側装置101から送信されるデータフレームのセキュリティタグにおけるアソシエーション番号が切り替え用のアソシエーション番号に変わったことを検知する(ステップS32)。
Next, the
次に、ONU202は、予め登録しておいた切り替え用キーおよび切り替え用SCIを用いて、運用系OSUから受信したデータフレームを復号する(ステップS33)。
Next, the
次に、ONU202は、パケット番号が所定のしきい値を超えた等の理由で切り替え用キーから新たなキーに変える際には、新たなキーに対応するアソシエーション番号として通常用の0または1を使用する。また、ONU202は、切り替え用SCIを通常用SCIとして引き続き使用する(ステップS34)。
Next, when the
図7および図8で説明したように、PONシステム301では、待機系OSUは、運用系OSUから自己への切り替えの後に用いるべき切り替え用暗号化キーを予め取得する。運用系OSUは、待機系OSUから自己への切り替えの後に用いるべき切り替え用暗号化キーを予め取得する。そして、ONU202は、これら両方の切り替え用暗号化キーにそれぞれ対応する復号化キーを予め取得する。
As described with reference to FIGS. 7 and 8, in the
図9は、本発明の第1の実施の形態に係るPONシステムにおいて、運用系OSUから待機系OSUへの冗長切り替えを行なう際に用いられる切り替え情報および暗号化情報を示す図である。 FIG. 9 is a diagram showing switching information and encryption information used when performing redundant switching from the active OSU to the standby OSU in the PON system according to the first embodiment of the present invention.
図9を参照して、このPONシステム301では、たとえば、アソシエーション番号0およびアソシエーション番号1の通常用キーとしてそれぞれキーxおよびキーyが使用され、運用系OSUから待機系OSUへの冗長切り替え時に使用する切り替え用キーとしてキーaが使用され、待機系OSUから運用系OSUへの冗長切り替え時に使用する切り替え用キーとしてキーbが使用される。
Referring to FIG. 9, in this
また、ここでは、ONU202のポート番号すなわちLLIDはiであり、運用系OSUのMACアドレスはcであり、待機系OSUのMACアドレスはdである。
Further, here, the port number, that is, the LLID of the
まず、運用系OSUから待機系OSUへの冗長切り替え前において、ONU202および運用系OSUは、通常用キーxおよびy、ならびにSCIfを用いたデータフレームの暗号化および復号化を行ない、通信を行なう。より詳細には、運用系OSUは、パケット番号が所定値に達すると、通常用キーの切り替えを行ない、セキュリティタグにおけるパケット番号を1にリセットし、かつアソシエーション番号を変更する。具体的には、運用系OSUは、たとえばアソシエーション番号0の通常用キーxを使用している状態において、パケット番号が所定値に達すると、通常用キーyの使用を開始する。そして、運用系OSUは、セキュリティタグにおけるパケット番号を1にリセットし、かつアソシエーション番号を0から1に変更する(ステップS231)。
First, before redundant switching from the active OSU to the standby OSU, the
次に、ONU202および待機系OSUは、運用系OSUから待機系OSUへの冗長切り替え後に用いるべき切り替え用キーとしてアソシエーション番号2の切り替え用キーaをそれぞれキー管理用テーブル60および70に登録しておく。具体的な取得方法は、図7において説明した内容と同様である(ステップS232およびS233)。
Next, the
次に、運用系OSUは、切り替え先の待機系OSUのMACアドレスdを、たとえば拡張OAMメッセージに含めてONU202に通知する。ONU202は、運用系OSUから通知されたMACアドレスdを登録する(ステップS234)。
Next, the active OSU notifies the
次に、ONU202は、運用系OSUから通知された待機系OSUのMACアドレスd、および自己のLLIDiに基づいて、運用系OSUから待機系OSUへの冗長切り替え後に用いるべき切り替え用のSCIgを作成する。そして、ONU202は、作成した切り替え用SCIgをアソシエーション番号2に対応づけてキー管理用テーブル60に登録する(ステップS235)。
Next, the
次に、運用系OSUから待機系OSUへの冗長切り替えが発生すると(ステップS236)、運用系OSUは、自己と通信中のONU202のLLIDi等を含む切り替え情報を待機系OSUに通知する。なお、運用系OSUは、冗長切り替え発生前に上記切り替え情報を待機系OSUに通知してもよい(ステップS237)。
Next, when redundant switching from the active OSU to the standby OSU occurs (step S236), the active OSU notifies the standby OSU of switching information including the LLIDi of the
次に、待機系OSUは、運用系OSUから通知されたONU202のLLIDi、および自己のMACアドレスdに基づいて、当該ONU202との通信における暗号化に使用するSCIgを作成する。そして、待機系OSUは、作成したSCIgを自己の記憶部に登録する(ステップS238)。
Next, the standby OSU creates SCIg used for encryption in communication with the
次に、待機系OSUは、予め登録しておいた切り替え用キーa、および作成したSCIgを用いてデータフレームを暗号化する。また、待機系OSUは、データフレームのセキュリティタグにおいて、アソシエーション番号を切り替え用のアソシエーション番号2に設定する。また、待機系OSUは、通常用キーから切り替え用キーへの切り替わりに伴い、セキュリティタグにおけるパケット番号を1から開始し、インクリメントしていく。そして、待機系OSUは、暗号化したデータフレームをONU202へ送信する(ステップS239)。
Next, the standby OSU encrypts the data frame using the switching key a registered in advance and the created SCIg. The standby OSU sets the association number to the
次に、ONU202は、待機系OSUからデータフレームを受信して、局側装置101から送信されるデータフレームのセキュリティタグにおけるアソシエーション番号が切り替え用のアソシエーション番号2に変わったことを検知する。そして、ONU202は、予め登録しておいた切り替え用キーaおよび切り替え用SCIgを用いて、待機系OSUから受信したデータフレームを復号する。
Next, the
図10は、本発明の第1の実施の形態に係るPONシステムにおいて、待機系OSUから運用系OSUへの冗長切り替えを行なう際に用いられる切り替え情報および暗号化情報を示す図である。 FIG. 10 is a diagram showing switching information and encryption information used when performing redundant switching from the standby OSU to the active OSU in the PON system according to the first embodiment of the present invention.
図10を参照して、このPONシステム301では、たとえば、アソシエーション番号0およびアソシエーション番号1の通常用キーとしてそれぞれキーxおよびキーyが使用され、運用系OSUから待機系OSUへの冗長切り替え時に使用する切り替え用キーとしてキーaが使用され、待機系OSUから運用系OSUへの冗長切り替え時に使用する切り替え用キーとしてキーbが使用される。
Referring to FIG. 10, in this
また、ここでは、ONU202のポート番号すなわちLLIDはiであり、運用系OSUのMACアドレスはeであり、待機系OSUのMACアドレスはdである。
Further, here, the port number, that is, the LLID of the
まず、待機系OSUから運用系OSUへの冗長切り替え前において、ONU202および待機系OSUは、通常用キーxおよびy、ならびにSCIgを用いたデータフレームの暗号化および復号化を行ない、通信を行なう。より詳細には、待機系OSUは、パケット番号が所定値に達すると、通常用キーの切り替えを行ない、セキュリティタグにおけるパケット番号を1にリセットし、かつアソシエーション番号を変更する。具体的には、待機系OSUは、たとえばアソシエーション番号0の通常用キーxを使用している状態において、パケット番号が所定値に達すると、通常用キーyの使用を開始する。そして、待機系OSUは、セキュリティタグにおけるパケット番号を1にリセットし、かつアソシエーション番号を0から1に変更する(ステップS251)。
First, before redundant switching from the standby OSU to the active OSU, the
次に、ONU202および運用系OSUは、待機系OSUから運用系OSUへの冗長切り替え後に用いるべき切り替え用キーとしてアソシエーション番号3の切り替え用キーbをそれぞれキー管理用テーブル60および70に登録しておく。具体的な取得方法は、図8において説明した内容と同様である(ステップS252およびS253)。
Next, the
次に、待機系OSUは、切り替え先の運用系OSUのMACアドレスeを、たとえば拡張OAMメッセージに含めてONU202に通知する。ONU202は、待機系OSUから通知されたMACアドレスeを登録する(ステップS254)。
Next, the standby OSU notifies the
次に、ONU202は、待機系OSUから通知された運用系OSUのMACアドレスe、および自己のLLIDiに基づいて、待機系OSUから運用系OSUへの冗長切り替え後に用いるべき切り替え用のSCIhを作成する。そして、ONU202は、作成した切り替え用SCIhをアソシエーション番号3に対応づけてキー管理用テーブル60に登録する(ステップS255)。
Next, the
次に、待機系OSUから運用系OSUへの冗長切り替えが発生すると(ステップS256)、待機系OSUは、自己と通信中のONU202のLLIDi等を含む切り替え情報を運用系OSUに通知する。なお、待機系OSUは、冗長切り替え発生前に上記切り替え情報を運用系OSUに通知してもよい(ステップS257)。
Next, when redundant switching from the standby OSU to the active OSU occurs (step S256), the standby OSU notifies the active OSU of switching information including the LLIDi of the
次に、運用系OSUは、待機系OSUから通知されたONU202のLLIDi、および自己のMACアドレスeに基づいて、当該ONU202との通信における暗号化に使用するSCIhを作成する。そして、運用系OSUは、作成したSCIhを自己の記憶部に登録する(ステップS258)。
Next, the active OSU creates SCIh used for encryption in communication with the
次に、運用系OSUは、予め登録しておいた切り替え用キーb、および作成したSCIhを用いてデータフレームを暗号化する。また、運用系OSUは、データフレームのセキュリティタグにおいて、アソシエーション番号を切り替え用のアソシエーション番号3に設定する。また、運用系OSUは、通常用キーから切り替え用キーへの切り替わりに伴い、セキュリティタグにおけるパケット番号を1から開始し、インクリメントしていく。そして、運用系OSUは、暗号化したデータフレームをONU202へ送信する(ステップS259)。
Next, the active OSU encrypts the data frame using the switching key b registered in advance and the created SCIh. Further, the active OSU sets the association number to the
次に、ONU202は、運用系OSUからデータフレームを受信して、局側装置101から送信されるデータフレームのセキュリティタグにおけるアソシエーション番号が切り替え用のアソシエーション番号3に変わったことを検知する。そして、ONU202は、予め登録しておいた切り替え用キーbおよび切り替え用SCIhを用いて、運用系OSUから受信したデータフレームを復号する。
Next, the
ところで、運用系のOSUから待機系のOSUへの冗長切り替えを行なう場合、たとえば、運用系のOSUと通信していたONUは、待機系のOSUと所定の手順に従って新たに通信することにより、暗号化および復号化に用いられるキー等の暗号化情報を待機系のOSUと共有する必要がある。このため、冗長切り替えによるPONシステムの通信停止時間が長くなってしまう。 By the way, when performing redundant switching from the active OSU to the standby OSU, for example, the ONU communicating with the active OSU newly communicates with the standby OSU in accordance with a predetermined procedure, thereby Encryption information such as keys used for encryption and decryption must be shared with the standby OSU. For this reason, the communication stop time of the PON system due to redundant switching becomes long.
これに対して、本発明の第1の実施の形態に係る通信システムでは、OSU12およびONU202は、運用系OSUおよび待機系OSU間の冗長切り替えの後に用いるべき、暗号化キーである切り替え用暗号化キーおよび復号化キーである切り替え用復号化キーをそれぞれ予め取得する。すなわち、本発明の第1の実施の形態に係る宅側制御部では、制御部29におけるキー更新部81は、運用系OSUおよび待機系OSU間の冗長切り替えの後に用いるべき復号化キーである切り替え用復号化キーを予め取得する。また、本発明の第1の実施の形態に係る局側制御部では、PON制御部36におけるキー更新部72は、運用系OSUおよび待機系OSU間の冗長切り替えの後に用いるべき暗号化キーである切り替え用暗号化キーを予め取得する。
On the other hand, in the communication system according to the first embodiment of the present invention, the
すなわち、OSU12およびONU202が、運用系OSUおよび待機系OSU間の冗長切り替えの後に用いるべき、暗号化キーである切り替え用暗号化キーおよび復号化キーである切り替え用復号化キーをそれぞれ予め取得する。そして、当該冗長切り替えの後、OSU12が、取得した切り替え用暗号化キーを用いて暗号化した通信信号たとえばフレームをONU202へ送信する。そして、ONU202が、OSU12から受信した暗号化されたフレームを、取得した切り替え用復号化キーを用いて復号する。
That is, the
このように、冗長切り替え後に用いるべきキーを冗長切り替え前に予め取得する構成により、冗長切り替え前後でONU202はフレームを継続して復号することができるため、冗長切り替えに伴う通信停止時間を短縮することができ、安定かつ高い通信品質を提供することができる。
As described above, the key to be used after the redundancy switching is acquired in advance before the redundancy switching, so that the
また、冗長切り替えの前後でキーを変更することができるため、フレームのパケット番号等の情報を切り替え元のOSUおよび切り替え先のOSU間で引き継ぐ必要がなくなることから、冗長切り替え前後で安定した通信を実現し、かつ簡易な冗長切り替え処理を実現することができる。また、冗長切り替え前後で異なるキーを使用する場合、セキュリティ性を向上させることができる。 In addition, since the key can be changed before and after the redundant switching, it is not necessary to transfer information such as the packet number of the frame between the switching source OSU and the switching destination OSU. Realized and simple redundant switching processing can be realized. Further, when different keys are used before and after redundancy switching, security can be improved.
したがって、本発明の第1の実施の形態に係る通信システム、宅側制御部および局側制御部では、局側装置および宅側装置間のセキュリティ機能を実現するとともに、局側装置における冗長切り替えに対して、局側装置および宅側装置間の通信停止時間の増大を抑制し、信頼性の高い通信システムを提供することができる。 Therefore, in the communication system, the home-side control unit, and the station-side control unit according to the first embodiment of the present invention, a security function between the station-side device and the home-side device is realized and redundant switching in the station-side device is performed. On the other hand, an increase in communication stop time between the station side device and the home side device can be suppressed, and a highly reliable communication system can be provided.
また、本発明の第1の実施の形態に係る通信システムでは、待機系OSUは、運用系OSUから自己への切り替えの後に用いるべき切り替え用暗号化キーを予め取得する。運用系OSUは、待機系OSUから自己への切り替えの後に用いるべき切り替え用暗号化キーを予め取得する。そして、ONU202は、これら両方の切り替え用暗号化キーにそれぞれ対応する復号化キーを予め取得する。
In the communication system according to the first embodiment of the present invention, the standby OSU acquires in advance a switching encryption key to be used after switching from the active OSU to itself. The active OSU acquires in advance a switching encryption key to be used after switching from the standby OSU to itself. Then, the
このような構成により、運用系OSUから待機系OSUへの冗長切り替え、および待機系OSUから運用系OSUへの冗長切り替えの際にそれぞれ異なるキーを使用することができるため、セキュリティ性をより向上させることができる。 With such a configuration, different keys can be used for redundant switching from the active OSU to the standby OSU and redundant switching from the standby OSU to the active OSU, thereby further improving security. be able to.
また、本発明の第1の実施の形態に係る通信システムでは、OSU12およびONU202は、それぞれ保護通信識別番号と暗号化キーおよび復号化キーとを対応づける。運用系OSUおよび待機系OSU間の冗長切り替えが行なわれると、切り替え先のOSU12は、切り替え用暗号化キーに対応する保護通信識別番号を含むフレームをONU202へ送信する。そして、ONU202は、OSU12から受信したフレームに含まれる保護通信識別番号を抽出し、抽出した保護通信識別番号に対応する復号化キーである切り替え用復号化キーをフレームの復号に用いる。
In the communication system according to the first embodiment of the present invention, the
このような構成により、OSU12が冗長切り替えの発生をONU202に通知したり、あるいは、ONU202が運用系OSUおよび待機系OSU間の冗長切り替えを検知したりすることなく、ONU202において適切なタイミングで切り替え用復号化キーへの変更を行ない、冗長切り替えの前後でフレームを継続して復号することができる。
With such a configuration, the
また、本発明の第1の実施の形態に係る通信システムでは、ONU202は、運用系OSUおよび待機系OSU間の冗長切り替えの後に用いるべきチャネル情報たとえばSCIを予め取得する。
Further, in the communication system according to the first embodiment of the present invention, the
このような構成により、キーに加えてSCIを暗号化に用いる場合でも、ONU202は冗長切り替え前後でフレームを継続して復号することができるため、通信システムにおける通信停止時間を短縮することができ、安定かつ高い通信品質を提供することができる。
With such a configuration, even when the SCI is used for encryption in addition to the key, the
また、本発明の第1の実施の形態に係る通信システムでは、ONU202は、OSU12からの時刻情報と自己の時刻情報との差に基づいて、冗長切り替えの発生を検知する。
In the communication system according to the first embodiment of the present invention, the
このような構成により、フレームにSCIが含まれない場合でも、簡易な処理でOSU12の冗長切り替えを検知することができる。
With such a configuration, even when the SCI is not included in the frame, the redundant switching of the
また、本発明の第1の実施の形態に係る通信システムでは、ONU202は、OSU12からのフレームの途絶、またはOSU12からのフレームに含まれる暗号元の識別情報の変化を、冗長切り替えの発生として検知する。
Further, in the communication system according to the first embodiment of the present invention, the
このような構成により、フレームにSCIが含まれない場合でも、簡易な処理でOSU12の冗長切り替えを検知することができる。
With such a configuration, even when the SCI is not included in the frame, the redundant switching of the
また、本発明の第1の実施の形態に係る宅側制御部では、記憶部52は、運用系OSUおよび待機系OSU間の冗長切り替えの前に用いる復号化キーである通常用復号化キー、および冗長切り替えの後に用いるべき復号化キーである切り替え用復号化キーを記憶する。
In the home-side control unit according to the first embodiment of the present invention, the
また、本発明の第1の実施の形態に係る局側制御部では、記憶部62は、運用系OSUおよび待機系OSU間の冗長切り替えの前に用いる暗号化キーである通常用暗号化キー、および当該冗長切り替えの後に用いるべき暗号化キーである切り替え用暗号化キーを記憶する。
Further, in the station side control unit according to the first embodiment of the present invention, the
このような構成により、冗長切り替え後に用いるべきキーを冗長切り替え前に予め取得することができるため、冗長切り替え前後でONU202はフレームを継続して復号することができる。これにより、冗長切り替えに伴う通信停止時間を短縮することができ、安定かつ高い通信品質を提供することができる。
With such a configuration, since the key to be used after the redundancy switching can be acquired in advance before the redundancy switching, the
また、冗長切り替えの前後でキーを変更することができるため、フレームのパケット番号等の情報を切り替え元のOSUおよび切り替え先のOSU間で引き継ぐ必要がなくなることから、冗長切り替え前後で安定した通信を実現し、かつ簡易な冗長切り替え処理を実現することができる。また、冗長切り替え前後で異なるキーを使用する場合、セキュリティ性を向上させることができる。 In addition, since the key can be changed before and after the redundant switching, it is not necessary to transfer information such as the packet number of the frame between the switching source OSU and the switching destination OSU. Realized and simple redundant switching processing can be realized. Further, when different keys are used before and after redundancy switching, security can be improved.
したがって、本発明の第1の実施の形態に係る宅側制御部および局側制御部では、局側装置および宅側装置間のセキュリティ機能を実現するとともに、局側装置における冗長切り替えに対して、局側装置および宅側装置間の通信停止時間の増大を抑制し、信頼性の高い通信システムを提供することができる。 Therefore, in the home-side control unit and the station-side control unit according to the first embodiment of the present invention, while realizing the security function between the station-side device and the home-side device, for redundant switching in the station-side device, An increase in communication stop time between the station side device and the home side device can be suppressed, and a highly reliable communication system can be provided.
次に、本発明の他の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。 Next, another embodiment of the present invention will be described with reference to the drawings. In the drawings, the same or corresponding parts are denoted by the same reference numerals and description thereof will not be repeated.
<第2の実施の形態>
本実施の形態は、第1の実施の形態に係るPONシステムと比べてフレームの送信元の情報を用いた冗長切り替えの検知およびSCIの更新処理を行なうPONシステムに関する。以下で説明する内容以外は第1の実施の形態に係るPONシステムと同様である。
<Second Embodiment>
The present embodiment relates to a PON system that performs redundancy switching detection and SCI update processing using frame transmission source information as compared to the PON system according to the first embodiment. The contents other than those described below are the same as those of the PON system according to the first embodiment.
本発明の第2の実施の形態に係るPONシステムでは、ONU202は、OSU12からの制御フレームに含まれる送信元の識別情報たとえばMACアドレスを監視し、当該識別情報が変化した場合、変化後の識別情報に基づいてチャネル情報たとえばSCIを更新する。
In the PON system according to the second embodiment of the present invention, the
図11は、本発明の第2の実施の形態に係るONUにおける制御部および復号部の構成を示す図である。 FIG. 11 is a diagram illustrating configurations of a control unit and a decoding unit in the ONU according to the second embodiment of the present invention.
図11を参照して、記憶部52は、本発明の第1の実施の形態に係る記憶部と比べて、キー管理用テーブル60において、SCIの記憶領域がアソシエーション番号0〜3で共通となる点で異なる。
Referring to FIG. 11,
制御フレーム処理部85は、たとえば制御フレームの送信元MACアドレスを監視し、送信元MACアドレスが変化した場合、その旨をSCI作成部82および切り替え処理部83に通知し、また、当該送信元MACアドレスをMACアドレス更新部84に通知する。
For example, the control
MACアドレス更新部84は、制御フレーム処理部85から送信元MACアドレスの通知を受けると、記憶部52におけるMACアドレスを、通知されたMACアドレスに書き換える。
When receiving the notification of the transmission source MAC address from the control
SCI作成部82は、制御フレーム処理部85によるOSU12からの制御フレームに含まれる送信元MACアドレスの監視の結果、当該MACアドレスが変化した場合、変化後のMACアドレスに基づいてSCIを更新する。
When the MAC address changes as a result of monitoring the transmission source MAC address included in the control frame from the
より詳細には、SCI作成部82は、制御フレーム処理部85からの上記通知を受けて、記憶部52におけるMACアドレスが更新されると、更新後のMACアドレスおよび自己のONU202のLLIDに基づいて新たなSCIを作成し、キー管理用テーブル60におけるSCIを、新たに作成したSCIに書き換える。
More specifically, when the
切り替え処理部83は、制御フレーム処理部85からの上記通知を受けて、OSU冗長切り替えが発生したと判断する。
Upon receiving the notification from the control
図12は、本発明の第2の実施の形態に係るPONシステムにおいて、運用系OSUから待機系OSUへの冗長切り替えを行なう際の動作手順を示すフローチャートである。 FIG. 12 is a flowchart showing an operation procedure when performing redundant switching from the active OSU to the standby OSU in the PON system according to the second embodiment of the present invention.
図12を参照して、ステップS71〜S73およびS76〜S77の動作は、図7に示すフローチャートのステップS1〜S3およびS6〜S7の動作と同様であるため、ここでは詳細な説明は繰り返さない。 12, operations in steps S71 to S73 and S76 to S77 are similar to the operations in steps S1 to S3 and S6 to S7 in the flowchart shown in FIG. 7, and thus detailed description thereof will not be repeated here.
次に、待機系OSUは、運用系OSUから通知された切り替え情報等を用いて制御フレームを生成し、ONU202へ送信する(ステップS78)。 Next, the standby OSU generates a control frame using the switching information notified from the active OSU and transmits it to the ONU 202 (step S78).
次に、ONU202は、待機系OSUから制御フレームを受信して、局側装置101から送信される制御フレームの送信元アドレスが運用系OSUのMACアドレスから待機系OSUのMACアドレスに変わったことを検知する(ステップS79)。
Next, the
次に、ONU202は、検知した待機系OSUのMACアドレス、および自己のLLIDに基づいて、SCIを新たに作成し、自己の記憶部に登録する。すなわち、この例では、SCIを更新すればよいことから、ONU202の記憶部において、切り替え用SCIの保存領域を確保する必要がなくなる(ステップS80)。
Next, the
次に、待機系OSUは、運用系OSUから通知されたONU202のLLID、および自己のMACアドレスに基づいて、当該ONU202との通信における暗号化に使用するSCIを作成する。そして、待機系OSUは、作成したSCIを自己の記憶部に登録する(ステップS81)。
Next, the standby OSU creates an SCI used for encryption in communication with the
次に、待機系OSUは、予め登録しておいた切り替え用キー、および作成したSCIを用いてデータフレームを暗号化する。また、待機系OSUは、データフレームのセキュリティタグにおいて、アソシエーション番号を切り替え用のアソシエーション番号2に設定する。また、待機系OSUは、通常用キーから切り替え用キーへの切り替わりに伴い、セキュリティタグにおけるパケット番号を1から開始し、インクリメントしていく(ステップS82)。
Next, the standby OSU encrypts the data frame using the switching key registered in advance and the created SCI. The standby OSU sets the association number to the
次に、待機系OSUは、パケット番号が所定のしきい値を超えた等の理由で切り替え用キーから新たなキーに変える際には、新たなキーに対応するアソシエーション番号として通常用の0または1を使用する。また、待機系OSUは、ステップS81で作成したSCIを引き続き使用する(ステップS83)。 Next, when the standby OSU changes from a switching key to a new key because the packet number has exceeded a predetermined threshold value, the standby OSU uses a normal 0 or an association number corresponding to the new key. 1 is used. The standby OSU continues to use the SCI created in step S81 (step S83).
また、待機系OSUは、暗号化したデータフレームをONU202へ送信する(ステップS84)。 The standby OSU transmits the encrypted data frame to the ONU 202 (step S84).
次に、ONU202は、予め登録しておいた切り替え用キー、および更新したSCIを用いて、待機系OSUから受信したデータフレームを復号する(ステップS85)。
Next, the
次に、ONU202は、パケット番号が所定のしきい値を超えた等の理由で切り替え用キーから新たなキーに変える際には、新たなキーに対応するアソシエーション番号として通常用の0または1を使用する(ステップS86)。
Next, when the
図13は、本発明の第2の実施の形態に係るPONシステムにおいて、待機系OSUから運用系OSUへの冗長切り替えを行なう際の動作手順を示すフローチャートである。 FIG. 13 is a flowchart showing an operation procedure when performing redundant switching from the standby OSU to the active OSU in the PON system according to the second embodiment of the present invention.
図13を参照して、ステップS91〜S93およびS96〜S97の動作は、図8に示すフローチャートのステップS21〜S23およびS26〜S27の動作と同様であるため、ここでは詳細な説明は繰り返さない。 Referring to FIG. 13, operations in steps S91 to S93 and S96 to S97 are the same as the operations in steps S21 to S23 and S26 to S27 in the flowchart shown in FIG. 8, and thus detailed description will not be repeated here.
次に、運用系OSUは、待機系OSUから通知された切り替え情報等を用いて制御フレームを生成し、ONU202へ送信する(ステップS98)。 Next, the active OSU generates a control frame using the switching information notified from the standby OSU and transmits it to the ONU 202 (step S98).
次に、ONU202は、運用系OSUから制御フレームを受信して、局側装置101から送信される制御フレームの送信元アドレスが待機系OSUのMACアドレスから運用系OSUのMACアドレスに変わったことを検知する(ステップS99)。
Next, the
次に、ONU202は、検知した運用系OSUのMACアドレス、および自己のLLIDに基づいて、SCIを新たに作成し、自己の記憶部に登録する。すなわち、この例では、SCIを更新すればよいことから、ONU202の記憶部において、切り替え用SCIの保存領域を確保する必要がなくなる(ステップS100)。
Next, the
次に、運用系OSUは、待機系OSUから通知されたONU202のLLID、および自己のMACアドレスに基づいて、当該ONU202との通信における暗号化に使用するSCIを作成する。そして、運用系OSUは、作成したSCIを自己の記憶部に登録する(ステップS101)。
Next, the active OSU creates SCI used for encryption in communication with the
次に、運用系OSUは、予め登録しておいた切り替え用キー、および作成したSCIを用いてデータフレームを暗号化する。また、運用系OSUは、データフレームのセキュリティタグにおいて、アソシエーション番号を切り替え用のアソシエーション番号3に設定する。また、運用系OSUは、通常用キーから切り替え用キーへの切り替わりに伴い、セキュリティタグにおけるパケット番号を1から開始し、インクリメントしていく(ステップS102)。
Next, the active OSU encrypts the data frame using the switching key registered in advance and the created SCI. Further, the active OSU sets the association number to the
次に、運用系OSUは、パケット番号が所定のしきい値を超えた等の理由で切り替え用キーから新たなキーに変える際には、新たなキーに対応するアソシエーション番号として通常用の0または1を使用する。また、運用系OSUは、ステップS101で作成したSCIを引き続き使用する(ステップS103)。
Next, when the operating OSU changes from a switching key to a new key because the packet number has exceeded a predetermined threshold, the
また、運用系OSUは、暗号化したデータフレームをONU202へ送信する(ステップS104)。 In addition, the active OSU transmits the encrypted data frame to the ONU 202 (step S104).
次に、ONU202は、予め登録しておいた切り替え用キー、および更新したSCIを用いて、運用系OSUから受信したデータフレームを復号する(ステップS105)。
Next, the
次に、ONU202は、パケット番号が所定のしきい値を超えた等の理由で切り替え用キーから新たなキーに変える際には、新たなキーに対応するアソシエーション番号として通常用の0または1を使用する(ステップS106)。
Next, when the
このように、本発明の第2の実施の形態に係る通信システムでは、ONU202は、OSU12からの制御信号たとえば制御フレームに含まれる送信元の識別情報たとえばMACアドレスを監視し、当該識別情報が変化した場合、変化後の識別情報に基づいてチャネル情報たとえばSCIを更新する。
As described above, in the communication system according to the second embodiment of the present invention, the
このような構成により、切り替え元のOSU12からONU202に対して切り替え先のOSU12のMACアドレス等を通知することなく、ONU202は、冗長切り替え後に使用すべきSCIを取得することができる。また、データフレームのセキュリティタグがSCIを含まない場合でも、冗長切り替え後に新たなSCIを用いて暗号化および復号化を行なうことが可能となるため、SCIに起因する通信停止を防ぐことができる。
With this configuration, the
その他の構成および動作は第1の実施の形態に係るPONシステムと同様であるため、ここでは詳細な説明を繰り返さない。 Since other configurations and operations are the same as those of the PON system according to the first embodiment, detailed description thereof will not be repeated here.
次に、本発明の他の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。 Next, another embodiment of the present invention will be described with reference to the drawings. In the drawings, the same or corresponding parts are denoted by the same reference numerals and description thereof will not be repeated.
<第3の実施の形態>
本実施の形態は、第1の実施の形態に係るPONシステムと比べてONUがセキュリティタグの種別の切り替えを検知するPONシステムに関する。以下で説明する内容以外は第1の実施の形態に係るPONシステムと同様である。
<Third Embodiment>
The present embodiment relates to a PON system in which the ONU detects switching of the security tag type as compared to the PON system according to the first embodiment. The contents other than those described below are the same as those of the PON system according to the first embodiment.
本発明の第3の実施の形態に係るPONシステムでは、OSU12は、運用系OSUおよび待機系OSU間の冗長切り替えが行なわれるタイミングに従い、SCIを含まないデータフレームがONU202へ送信される状態およびSCIを含むデータフレームがONU202へ送信される状態間の遷移を実行する。
In the PON system according to the third embodiment of the present invention, the
ONU202は、OSU12から受信するデータフレームの、SCIを含まない状態およびSCIを含む状態間の遷移を、冗長切り替えの発生として検知する。
The
また、たとえば、OSU12は、SCIを含まないデータフレームがONU202へ送信される状態からSCIを含むデータフレームがONU202へ送信される状態への遷移が実行された後、SCIを含まないデータフレームがONU202へ送信される状態への遷移を実行する。
Further, for example, after the
また、OSU12は、SCIを含まないデータフレームがONU202へ送信される状態およびSCIを含むデータフレームがONU202へ送信される状態間の遷移を実行する際、ONU202へ送信すべきデータが無い場合には、ダミーデータを含むデータフレームを当該ONU202へ送信する。この場合、たとえば、OSU12は、ダミーデータを含むデータフレームをブロードキャストしてもよい。
Further, when the
なお、上記のOSU12の各動作は、暗号部30における暗号器63によって行なわれる。
Each operation of the
図14は、本発明の第3の実施の形態に係るONUにおける制御部および復号部の構成を示す図である。 FIG. 14 is a diagram illustrating configurations of a control unit and a decoding unit in the ONU according to the third embodiment of the present invention.
図14を参照して、復号部20は、本発明の第1の実施の形態に係る復号部と比べて、さらに、タグ変更検知部58を含む。
Referring to FIG. 14, decoding
制御部29および復号部20における一部または全部のユニットは、宅側制御部としてたとえば1つの集積回路で実現される。なお、この集積回路は、ONU202における制御部29および復号部20以外の他のユニットをさらに含んでもよい。また、記憶部62は、制御部29に含まれてもよいし、その記憶領域が分割されて制御部29および復号部20に含まれてもよい。
A part or all of the units in the
切り替え処理部83は、OSU12から受信するデータフレームの、チャネル情報たとえばSCIを含まない状態およびチャネル情報を含む状態間の遷移を、冗長切り替えの発生として検知する。
The switching
より詳細には、タグ変更検知部58は、フレーム種別識別部57から受けたデータフレームのセキュリティタグを監視し、ロングタグおよびショートタグ間の切り替えを検知する。また、タグ変更検知部58は、ロングタグおよびショートタグ間の切り替えを検知した場合、その旨を切り替え処理部83に通知する。
More specifically, the tag
切り替え処理部83は、タグ変更検知部58からの上記通知を受けて、OSU冗長切り替えが発生したと判断する。
The switching
復号器51は、OSU12から受信するデータフレームがSCIを含まない状態からSCIを含む状態へ遷移したことで切り替え処理部83によって冗長切り替えの発生が検知された場合、当該冗長切り替えの発生が検知される前に用いていたSCIの代わりに、データフレームに含まれるSCIを用いてデータフレームを復号する。
When the switching
より詳細には、タグ変更検知部58は、ショートタグからロングタグへの切り替えを検知した場合、当該ロングタグをSCI作成部82へ出力する。
More specifically, when the tag
SCI作成部82は、タグ変更検知部58からロングタグを受けて、キー管理用テーブル60におけるSCIを、当該ロングタグに含まれるSCIに書き換える。
The
図15は、本発明の第3の実施の形態に係るPONシステムにおいて、運用系OSUから待機系OSUへの冗長切り替えを行なう際の動作手順を示すフローチャートである。 FIG. 15 is a flowchart showing an operation procedure when performing redundant switching from the active OSU to the standby OSU in the PON system according to the third embodiment of the present invention.
図15を参照して、運用系OSUから待機系OSUへの冗長切り替え前において、ONU202および運用系OSUは、通常用キーを用いたデータフレームの暗号化および復号化を行ない、通信を行なう。ここで、データフレームのセキュリティタグは、たとえばショートタグである(ステップS111)。
Referring to FIG. 15, before redundant switching from the active OSU to the standby OSU, the
次に、ONU202および待機系OSUは、運用系OSUから待機系OSUへの冗長切り替え後に用いるべき切り替え用キーを取得して各々の記憶部に予め登録しておく(ステップS112およびS113)。
Next, the
次に、運用系OSUは、切り替え先の待機系OSUのMACアドレスを、たとえば拡張OAMメッセージに含めてONU202に通知する(ステップS114)。
Next, the active OSU notifies the
次に、ONU202は、運用系OSUから通知された待機系OSUのMACアドレス、および自己のLLIDに基づいて、運用系OSUから待機系OSUへの冗長切り替え後に用いるべき切り替え用のSCIを作成する。そして、ONU202は、作成した切り替え用SCIを自己の記憶部に登録する(ステップS115)。
Next, the
次に、運用系OSUから待機系OSUへの冗長切り替えが予定されると、運用系OSUは、セキュリティタグをショートタグからロングタグに切り替える、すなわち、セキュリティタグとしてロングタグを含むデータフレームを作成する(ステップS116)。 Next, when the redundant switching from the active OSU to the standby OSU is scheduled, the active OSU switches the security tag from the short tag to the long tag, that is, creates a data frame including the long tag as the security tag. (Step S116).
次に、運用系OSUは、ロングタグを含むデータフレームをONU202へ送信する(ステップS117)。 Next, the active OSU transmits a data frame including a long tag to the ONU 202 (step S117).
次に、ONU202は、運用系OSUからデータフレームを受信して、局側装置101から送信されるデータフレームのセキュリティタグがショートタグからロングタグに変わったことを検知する。これにより、ONU202は、運用系OSUから待機系OSUへの冗長切り替えの発生を検知する(ステップS118)。
Next, the
次に、運用系OSUから待機系OSUへの冗長切り替えが発生すると(ステップS119)、運用系OSUは、自己と通信中のONU202のLLID等を含む切り替え情報を待機系OSUに通知する。なお、運用系OSUは、冗長切り替え発生前に上記切り替え情報を待機系OSUに通知してもよい(ステップS120)。
Next, when redundant switching from the active OSU to the standby OSU occurs (step S119), the active OSU notifies the standby OSU of switching information including the LLID of the
次に、待機系OSUは、運用系OSUから通知されたONU202のLLID、および自己のMACアドレスに基づいて、当該ONU202との通信における暗号化に使用するSCIを作成する。そして、待機系OSUは、作成したSCIを自己の記憶部に登録する(ステップS121)。
Next, the standby OSU creates an SCI used for encryption in communication with the
次に、待機系OSUは、予め登録しておいた切り替え用キー、および作成したSCIを用いてデータフレームを暗号化する。また、待機系OSUは、データフレームのセキュリティタグをショートタグとし、当該セキュリティタグにおいて、アソシエーション番号を切り替え用のアソシエーション番号2に設定する。また、待機系OSUは、通常用キーから切り替え用キーへの切り替わりに伴い、セキュリティタグにおけるパケット番号を1から開始し、インクリメントしていく(ステップS122)。
Next, the standby OSU encrypts the data frame using the switching key registered in advance and the created SCI. Further, the standby OSU sets the security tag of the data frame as a short tag, and sets the association number to the
次に、待機系OSUは、パケット番号が所定のしきい値を超えた等の理由で切り替え用キーから新たなキーに変える際には、新たなキーに対応するアソシエーション番号として通常用の0または1を使用する。また、待機系OSUは、ステップS121で作成したSCIを引き続き使用する(ステップS123)。 Next, when the standby OSU changes from a switching key to a new key because the packet number has exceeded a predetermined threshold value, the standby OSU uses a normal 0 or an association number corresponding to the new key. 1 is used. The standby OSU continues to use the SCI created in step S121 (step S123).
次に、待機系OSUは、暗号化したデータフレームをONU202へ送信する(ステップS124)。 Next, the standby OSU transmits the encrypted data frame to the ONU 202 (step S124).
次に、ONU202は、待機系OSUからデータフレームを受信して、局側装置101から送信されるデータフレームのセキュリティタグにおけるアソシエーション番号が切り替え用のアソシエーション番号に変わったことを検知する(ステップS125)。
Next, the
次に、ONU202は、冗長切り替えを予め検知していることから、当該アソシエーション番号の変更は正常であると判断し、予め登録しておいた切り替え用キーおよび切り替え用SCIを用いて、待機系OSUから受信したデータフレームを復号する(ステップS126)。
Next, since the
次に、ONU202は、パケット番号が所定のしきい値を超えた等の理由で切り替え用キーから新たなキーに変える際には、新たなキーに対応するアソシエーション番号として通常用の0または1を使用する。また、ONU202は、切り替え用SCIを通常用SCIとして引き続き使用する(ステップS127)。
Next, when the
なお、運用系OSUは、通常時において、セキュリティタグとしてロングタグを含むデータフレームを送信している場合には、運用系OSUから待機系OSUへの冗長切り替えが予定されると、セキュリティタグをロングタグからショートタグに切り替える構成であってもよい。この場合、ONU202は、局側装置101から送信されるデータフレームのセキュリティタグがロングタグからショートタグに変わったことを検知し、運用系OSUから待機系OSUへの冗長切り替えの発生を検知する。
When the active OSU is transmitting a data frame including a long tag as a security tag in a normal state, if the redundant switching from the active OSU to the standby OSU is planned, the active OSU It may be configured to switch from a tag to a short tag. In this case, the
図16は、本発明の第3の実施の形態に係るPONシステムにおいて、運用系OSUから待機系OSUへの冗長切り替えを行なう際の動作手順の他の例を示すフローチャートである。 FIG. 16 is a flowchart showing another example of an operation procedure when performing redundant switching from the active OSU to the standby OSU in the PON system according to the third embodiment of the present invention.
ONU202は、OSU12から受信するデータフレームがSCIを含まない状態からSCIを含む状態へ遷移したことで冗長切り替えの発生を検知した場合、当該冗長切り替えの発生を検知する前に用いていたSCIの代わりに、当該データフレームに含まれるSCIを用いてデータフレームを復号する。
When the
具体的には、図16を参照して、運用系OSUから待機系OSUへの冗長切り替え前において、ONU202および運用系OSUは、通常用キーを用いたデータフレームの暗号化および復号化を行ない、通信を行なう。ここで、データフレームのセキュリティタグは、たとえばショートタグである(ステップS131)。
Specifically, referring to FIG. 16, before the redundancy switching from the active OSU to the standby OSU, the
次に、ONU202および待機系OSUは、運用系OSUから待機系OSUへの冗長切り替え後に用いるべき切り替え用キーを取得して各々の記憶部に予め登録しておく(ステップS132およびS133)。
Next, the
次に、運用系OSUから待機系OSUへの冗長切り替えが発生すると(ステップ134)、運用系OSUは、自己と通信中のONU202のLLID等を含む切り替え情報を待機系OSUに通知する。なお、運用系OSUは、冗長切り替え発生前に上記切り替え情報を待機系OSUに通知してもよい(ステップS135)。
Next, when redundant switching from the active OSU to the standby OSU occurs (step 134), the active OSU notifies the standby OSU of switching information including the LLID of the
次に、待機系OSUは、運用系OSUから通知されたONU202のLLID、および自己のMACアドレスに基づいて、当該ONU202との通信における暗号化に使用するSCIを作成する。そして、待機系OSUは、作成したSCIを自己の記憶部に登録する(ステップS136)。
Next, the standby OSU creates an SCI used for encryption in communication with the
次に、運用系OSUは、セキュリティタグとしてロングタグを含むデータフレームをONU202へ送信する(ステップS137)。 Next, the active OSU transmits a data frame including a long tag as a security tag to the ONU 202 (step S137).
次に、ONU202は、待機系OSUからデータフレームを受信して、局側装置101から送信されるデータフレームのセキュリティタグがショートタグからロングタグに変わったことを検知する。これにより、ONU202は、運用系OSUから待機系OSUへの冗長切り替えの発生を検知する(ステップS138)。
Next, the
次に、ONU202は、待機系OSUから受信したデータフレームのロングタグからSCIを抽出し、新たなSCIとして自己の記憶部に登録する。すなわち、この例では、SCIを更新すればよいことから、ONU202の記憶部において、切り替え用SCIの保存領域を確保する必要がなくなる。なお、ロングタグにおいてLLIDの情報が含まれていない場合または誤っている場合でも、ロングタグにおけるMACアドレスの情報が正しければ、ONU202は、保持している自己のLLIDからSCIを更新することが可能である(ステップS139)。
Next, the
次に、待機系OSUは、セキュリティタグをロングタグからショートタグに切り替える(ステップS140)。 Next, the standby OSU switches the security tag from the long tag to the short tag (step S140).
次に、待機系OSUは、予め登録しておいた切り替え用キー、および作成したSCIを用いてデータフレームを暗号化する。また、待機系OSUは、データフレームのショートタグにおいて、アソシエーション番号を切り替え用のアソシエーション番号2に設定する。また、待機系OSUは、通常用キーから切り替え用キーへの切り替わりに伴い、セキュリティタグにおけるパケット番号を1から開始し、インクリメントしていく(ステップS141)。
Next, the standby OSU encrypts the data frame using the switching key registered in advance and the created SCI. The standby OSU sets the association number to the
次に、待機系OSUは、パケット番号が所定のしきい値を超えた等の理由で切り替え用キーから新たなキーに変える際には、新たなキーに対応するアソシエーション番号として通常用の0または1を使用する。また、待機系OSUは、ステップS136で作成したSCIを引き続き使用する(ステップS142)。 Next, when the standby OSU changes from a switching key to a new key because the packet number has exceeded a predetermined threshold value, the standby OSU uses a normal 0 or an association number corresponding to the new key. 1 is used. The standby OSU continues to use the SCI created in step S136 (step S142).
次に、待機系OSUは、暗号化したデータフレームをONU202へ送信する(ステップS143)。 Next, the standby OSU transmits the encrypted data frame to the ONU 202 (step S143).
次に、ONU202は、待機系OSUからデータフレームを受信して、局側装置101から送信されるデータフレームのセキュリティタグにおけるアソシエーション番号が切り替え用のアソシエーション番号に変わったことを検知する(ステップS144)。
Next, the
次に、ONU202は、冗長切り替えを予め検知していることから、当該アソシエーション番号の変更は正常であると判断し、予め登録しておいた切り替え用キー、および更新したSCIを用いて、待機系OSUから受信したデータフレームを復号する(ステップS145)。
Next, since the
次に、ONU202は、パケット番号が所定のしきい値を超えた等の理由で切り替え用キーから新たなキーに変える際には、新たなキーに対応するアソシエーション番号として通常用の0または1を使用する(ステップS146)。
Next, when the
このように、本発明の第3の実施の形態に係る通信システムでは、OSU12は、冗長切り替えが行なわれるタイミングに従い、チャネル情報を含まない通信信号たとえばSCIを含まないフレームがONU202へ送信される状態およびSCIを含むフレームがONU202へ送信される状態間の遷移を実行する。そして、ONU202は、OSU12から受信するフレームの、SCIを含まない状態およびSCIを含む状態間の遷移を、冗長切り替えの発生として検知する。
As described above, in the communication system according to the third embodiment of the present invention, the
このような構成により、冗長切り替えの発生をOSU12からONU202へ簡易な処理で確実に通知することができる。
With such a configuration, it is possible to reliably notify the occurrence of redundancy switching from the
また、本発明の第3の実施の形態に係る通信システムでは、ONU202は、OSU12から受信するフレームがSCIを含まない状態からSCIを含む状態へ遷移したことで冗長切り替えの発生を検知した場合、当該冗長切り替えの発生を検知する前に用いていたSCIの代わりに、当該フレームに含まれるSCIを用いてフレームを復号する。
Further, in the communication system according to the third embodiment of the present invention, when the
このような構成により、冗長切り替えに伴ってONU202においてSCIを新たに作成することなく、冗長切り替え後に使用すべきSCIを簡易な処理で取得することができる。
With such a configuration, the SCI to be used after the redundancy switching can be acquired by a simple process without creating a new SCI in the
また、本発明の第3の実施の形態に係る通信システムでは、OSU12は、SCIを含まないフレームがONU202へ送信される状態からSCIを含むフレームがONU202へ送信される状態への遷移が実行された後、SCIを含まないフレームがONU202へ送信される状態への遷移を実行する。
In the communication system according to the third embodiment of the present invention, the
このように、データフレームにおけるSCIの有無の切り替えによってONU202に対して冗長切り替えを通知した後、SCIを含まないデータフレームの送信に切り替える構成により、冗長切り替え後の通信において、使用帯域および処理時間を低減することができる。
As described above, the configuration in which redundancy switching is notified to the
また、本発明の第3の実施の形態に係る通信システムでは、OSU12は、SCIを含まないフレームがONU202へ送信される状態およびSCIを含むフレームがONU202へ送信される状態間の遷移を実行する際、ONU202へ送信すべきデータが無い場合には、ダミーデータを含むフレームを当該ONU202へ送信する。
In the communication system according to the third embodiment of the present invention, the
このような構成により、通信サービスの利用状況等に関わらず、データフレームにおけるSCIの有無の切り替えによってONU202に対して確実に冗長切り替えを通知することができる。
With such a configuration, it is possible to reliably notify the redundancy switching to the
また、本発明の第3の実施の形態に係る通信システムでは、OSU12は、ダミーデータを含むフレームをブロードキャストする。
In the communication system according to the third embodiment of the present invention, the
このように、ダミーデータを含むデータフレームをブロードキャストする構成により、1つのフレームでOSU12の配下の全ONU202に対して冗長切り替えを通知することができるため、通信システムにおける使用帯域および処理時間を低減することができる。
As described above, since the data frame including the dummy data is broadcast, it is possible to notify the redundant switching to all the
その他の構成および動作は第1の実施の形態に係るPONシステムと同様であるため、ここでは詳細な説明を繰り返さない。 Since other configurations and operations are the same as those of the PON system according to the first embodiment, detailed description thereof will not be repeated here.
次に、本発明の他の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。 Next, another embodiment of the present invention will be described with reference to the drawings. In the drawings, the same or corresponding parts are denoted by the same reference numerals and description thereof will not be repeated.
<第4の実施の形態>
本実施の形態は、第1の実施の形態に係るPONシステムと比べてONUがSCIの変化を検知するPONシステムに関する。以下で説明する内容以外は第1の実施の形態に係るPONシステムと同様である。
<Fourth embodiment>
The present embodiment relates to a PON system in which an ONU detects a change in SCI compared to the PON system according to the first embodiment. The contents other than those described below are the same as those of the PON system according to the first embodiment.
図17は、本発明の第4の実施の形態に係るONUにおける制御部および復号部の構成を示す図である。 FIG. 17 is a diagram illustrating configurations of a control unit and a decoding unit in the ONU according to the fourth embodiment of the present invention.
図17を参照して、復号部20は、本発明の第1の実施の形態に係る復号部と比べて、さらに、SCI抽出部56を含む。
Referring to FIG. 17, decoding
制御部29および復号部20における一部または全部のユニットは、宅側制御部としてたとえば1つの集積回路で実現される。なお、この集積回路は、ONU202における制御部29および復号部20以外の他のユニットをさらに含んでもよい。また、記憶部62は、制御部29に含まれてもよいし、その記憶領域が分割されて制御部29および復号部20に含まれてもよい。
A part or all of the units in the
切り替え処理部83は、OSU12からのデータフレームに含まれるチャネル情報を監視し、当該チャネル情報の変化を、冗長切り替えの発生として検知する。
The switching
より詳細には、SCI抽出部56は、フレーム種別識別部57から受けたデータフレームに含まれるSCIを抽出し、抽出したSCIが前回抽出したSCIと異なる場合、その旨を切り替え処理部83に通知するとともに、記憶部52におけるSCIを、新たに抽出したSCIに書き換える。
More specifically, the
切り替え処理部83は、SCI抽出部56からの上記通知を受けて、OSU冗長切り替えが発生したと判断する。
The switching
図18は、本発明の第4の実施の形態に係るPONシステムにおいて、運用系OSUから待機系OSUへの冗長切り替えを行なう際の動作手順を示すフローチャートである。 FIG. 18 is a flowchart showing an operation procedure when performing redundant switching from the active OSU to the standby OSU in the PON system according to the fourth embodiment of the present invention.
図18を参照して、運用系OSUから待機系OSUへの冗長切り替え前において、ONU202および運用系OSUは、通常用キーを用いたデータフレームの暗号化および復号化を行ない、通信を行なう。ここで、データフレームのセキュリティタグは、たとえばロングタグである(ステップS151)。
Referring to FIG. 18, before the redundant switching from the active OSU to the standby OSU, the
次に、ONU202および待機系OSUは、運用系OSUから待機系OSUへの冗長切り替え後に用いるべき切り替え用キーを取得して各々の記憶部に予め登録しておく(ステップS152およびS153)。
Next, the
次に、運用系OSUから待機系OSUへの冗長切り替えが発生すると(ステップS154)、運用系OSUは、自己と通信中のONU202のLLID等を含む切り替え情報を待機系OSUに通知する。なお、運用系OSUは、冗長切り替え発生前に上記切り替え情報を待機系OSUに通知してもよい(ステップS155)。
Next, when redundant switching from the active OSU to the standby OSU occurs (step S154), the active OSU notifies the standby OSU of switching information including the LLID of the
次に、待機系OSUは、運用系OSUから通知されたONU202のLLID、および自己のMACアドレスに基づいて、当該ONU202との通信における暗号化に使用するSCIを作成する。そして、待機系OSUは、作成したSCIを自己の記憶部に登録する(ステップS156)。
Next, the standby OSU creates an SCI used for encryption in communication with the
次に、運用系OSUは、セキュリティタグとしてロングタグを含むデータフレームをONU202へ送信する(ステップS157)。 Next, the active OSU transmits a data frame including a long tag as a security tag to the ONU 202 (step S157).
次に、ONU202は、待機系OSUからデータフレームを受信して、待機系OSUから受信したデータフレームのロングタグからSCIを抽出し、セキュリティタグにおけるSCIが変わったことを検知する。これにより、ONU202は、運用系OSUから待機系OSUへの冗長切り替えの発生を検知する(ステップS158)。
Next, the
次に、ONU202は、変更を検知したSCIを新たなSCIとして自己の記憶部に登録する。すなわち、この例では、SCIを更新すればよいことから、ONU202の記憶部において、切り替え用SCIの保存領域を確保する必要がなくなる(ステップS159)。
Next, the
次に、待機系OSUは、予め登録しておいた切り替え用キー、および作成したSCIを用いてデータフレームを暗号化する。また、待機系OSUは、データフレームのロングタグにおいて、アソシエーション番号を切り替え用のアソシエーション番号2に設定する。また、待機系OSUは、通常用キーから切り替え用キーへの切り替わりに伴い、セキュリティタグにおけるパケット番号を1から開始し、インクリメントしていく(ステップS160)。
Next, the standby OSU encrypts the data frame using the switching key registered in advance and the created SCI. The standby OSU sets the association number to the
次に、待機系OSUは、パケット番号が所定のしきい値を超えた等の理由で切り替え用キーから新たなキーに変える際には、新たなキーに対応するアソシエーション番号として通常用の0または1を使用する。また、待機系OSUは、ステップS156で作成したSCIを引き続き使用する(ステップS161)。 Next, when the standby OSU changes from a switching key to a new key because the packet number has exceeded a predetermined threshold value, the standby OSU uses a normal 0 or an association number corresponding to the new key. 1 is used. The standby OSU continues to use the SCI created in step S156 (step S161).
次に、待機系OSUは、暗号化したデータフレームをONU202へ送信する(ステップS162)。 Next, the standby OSU transmits the encrypted data frame to the ONU 202 (step S162).
次に、ONU202は、待機系OSUからデータフレームを受信して、局側装置101から送信されるデータフレームのセキュリティタグにおけるアソシエーション番号が切り替え用のアソシエーション番号に変わったことを検知する(ステップS163)。
Next, the
次に、ONU202は、冗長切り替えを予め検知していることから、当該アソシエーション番号の変更は正常であると判断し、予め登録しておいた切り替え用キー、および更新したSCIを用いて、待機系OSUから受信したデータフレームを復号する(ステップS164)。
Next, since the
次に、ONU202は、パケット番号が所定のしきい値を超えた等の理由で切り替え用キーから新たなキーに変える際には、新たなキーに対応するアソシエーション番号として通常用の0または1を使用する(ステップS166)。
Next, when the
このように、本発明の第4の実施の形態に係る通信システムでは、ONU202は、OSU12からの制御信号たとえば制御フレームに含まれるチャネル情報たとえばSCIを監視し、チャネル情報の変化を冗長切り替えの発生として検知する。
As described above, in the communication system according to the fourth embodiment of the present invention, the
このような構成により、フレームの送信元アドレスの変化等を別途監視することなく、簡易な処理でOSU12の冗長切り替えを検知し、合わせてSCIを更新することができるため、効率的な処理を行なうことができる。
With such a configuration, it is possible to detect redundant switching of the
その他の構成および動作は第1の実施の形態に係るPONシステムと同様であるため、ここでは詳細な説明を繰り返さない。 Since other configurations and operations are the same as those of the PON system according to the first embodiment, detailed description thereof will not be repeated here.
なお、本発明の第1〜第4の実施の形態では、OSU12が用いる暗号化キーとONU202が用いる復号化キーとが共通のキーであるPONシステムについて説明した。しかしながら、PONシステム301は、OSU12において用いられる暗号化キーに対応する復号化キーをONU202が用いる構成であればよく、たとえばOSU12が用いる暗号化キーとONU202が用いる復号化キーとが異なっていてもよい。
In the first to fourth embodiments of the present invention, the PON system in which the encryption key used by the
次に、本発明の他の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。 Next, another embodiment of the present invention will be described with reference to the drawings. In the drawings, the same or corresponding parts are denoted by the same reference numerals and description thereof will not be repeated.
<第5の実施の形態>
本実施の形態は、第1〜第4の実施の形態に係るPONシステムと比べて上り方向の暗号化に対処するPONシステムに関する。以下で説明する内容以外は第1〜第4の実施の形態に係るPONシステムと同様である。
<Fifth embodiment>
The present embodiment relates to a PON system that copes with upstream encryption as compared to the PON systems according to the first to fourth embodiments. The contents other than those described below are the same as those of the PON system according to the first to fourth embodiments.
図19は、本発明の第5の実施の形態に係る局側装置におけるOSUの構成を示す図である。 FIG. 19 is a diagram showing the configuration of the OSU in the station side apparatus according to the fifth embodiment of the present invention.
図19を参照して、OSU12は、本発明の第1の実施の形態に係るOSUと比べて、さらに、復号部40を含む。なお、OSU12は、暗号部30を備えない構成であってもよい。
Referring to FIG. 19,
受信処理部33は、PON送受信部35から受けた電気信号からフレームを再構成するとともに、フレームの種別に応じてPON制御部36または復号部40にフレームを振り分ける。具体的には、データフレームを復号部40に出力し、制御フレームをPON制御部36へ出力する。
The
復号部40は、受信処理部33から受けたデータフレームを復号し、FIFO37へ出力する。
The
図20は、本発明の第5の実施の形態に係るONUの構成を示す図である。 FIG. 20 is a diagram showing a configuration of an ONU according to the fifth embodiment of the present invention.
図20を参照して、ONU202は、本発明の第1の実施の形態に係るONUと比べて、さらに、暗号部39を含む。なお、ONU202は、復号部20を備えない構成であってもよい。
Referring to FIG. 20,
受信処理部26は、UNIポート25経由でユーザ端末から受信したデータフレームをバッファメモリ27経由で暗号部39へ出力する。
The
暗号部39は、受信処理部26から受けたデータフレームを暗号化し、光送信処理部28へ出力する。
The
光送信処理部28は、暗号部39から受けたデータフレームおよび制御部29から受けた制御フレームを光信号に変換し、PONポート21経由で局側装置101へ送信する。
The optical
図21は、本発明の第5の実施の形態に係るOSUにおけるPON制御部および復号部の構成を示す図である。 FIG. 21 is a diagram showing configurations of the PON control unit and the decoding unit in the OSU according to the fifth embodiment of the present invention.
図21を参照して、復号部40は、復号器(復号化部)151と、記憶部162と、SCI選択部153と、キー選択部154と、アソシエーション番号抽出部(保護通信識別番号抽出部)155とを含む。PON制御部36は、キー更新部(復号化キー取得部)181と、SCI作成部(チャネル情報更新部)182と、切り替え処理部(切り替え検知部)183とを含む。
Referring to FIG. 21,
PON制御部36および復号部40における一部または全部のユニットは、局側制御部としてたとえば1つの集積回路で実現される。なお、この集積回路は、OSU12におけるPON制御部36および復号部40以外の他のユニットをさらに含んでもよい。また、記憶部162は、PON制御部36に含まれてもよいし、その記憶領域が分割されて復号部40およびPON制御部36に含まれてもよい。
Part or all of the units in the
復号部40において、記憶部162は、運用系OSUおよび待機系OSU間の冗長切り替えの前に用いる復号化キーである通常用復号化キー、および当該冗長切り替えの後に用いるべき復号化キーである切り替え用復号化キーを記憶する。より詳細には、記憶部162は、キー管理用テーブル170、ONU202のMACアドレスおよびSCI(Secure Channel Identifier)等の暗号化情報をたとえばロジカルリンク識別子(LLID)ごとに記憶する。
In the
PON制御部36において、キー更新部181は、運用系OSUおよび待機系OSU間の冗長切り替えの後に用いるべき復号化キーである切り替え用復号化キーを予め取得する。キー更新部181は、自己のOSU12の配下の各ONU202との暗号化通信に必要な復号化キーをたとえばLLIDごとに取得し、取得した復号化キーを記憶部162に保存する。なお、1つのONU202が1つのLLIDに対応する場合に限らず、1つのONU202が複数のLLIDに対応する場合もある。
In the
より詳細には、キー更新部181は、保護通信識別番号(Secure Association Number)とSAK等の復号化キーとの対応関係を示すキー管理用テーブル(キー管理情報)170をLLIDごとに作成し、記憶部162に保存する。
More specifically, the
ここで、保護通信識別番号は、たとえば非特許文献2におけるアソシエーション番号(AN:Association Number)である。アソシエーション番号は、2ビットのデータであり、1つのLLIDに対して4通りのキーに対応した保護通信を登録することが可能である。
Here, the protected communication identification number is, for example, an association number (AN) in
PONシステム301では、たとえば、アソシエーション番号0および1を通常時に使用するキーの保護通信識別番号とし、アソシエーション番号2を運用系のOSU12から待機系のOSU12への冗長切り替え時に使用するキーに対応した保護通信識別番号とし、アソシエーション番号3を待機系のOSU12から運用系のOSU12への冗長切り替え時に使用するキーに対応した保護通信識別番号とする。
In the
なお、アソシエーション番号2および3の切り替え用キーは、異なるキーである場合に限らず、同じキーであってもよい。
The switching keys for
また、キーがユニキャスト用のキーである場合に限らず、ブロードキャスト用のキーおよびマルチキャスト用のキーである場合にも、本発明を適用することが可能である。 Further, the present invention can be applied not only when the key is a unicast key but also when the key is a broadcast key and a multicast key.
また、キーは、PSK(Pre-shared Key)等の固定化されたキーである構成に限らず、定期的に更新されてもよいし、使用後たとえば冗長切り替え後に更新されてもよい。この場合、キーが予測困難となるため、セキュリティ性を向上させることができる。 Further, the key is not limited to a configuration in which the key is a fixed key such as PSK (Pre-shared Key), but may be updated periodically, or after use, for example, after redundancy switching. In this case, since the key is difficult to predict, security can be improved.
SCI作成部182は、自己のOSU12の識別情報およびフレームの暗号元のONU202の識別情報に基づいて、チャネル情報を作成する。たとえば、SCI作成部182は、チャネル情報として非特許文献2におけるSCI(Secure Channel Identifier)を作成する。
The
SCIは、システム識別子(System Identifier)およびポート番号(Port Number)から構成される。具体的には、システム識別子は、フレームの暗号元の世界に2つとないMAC(Medium Access Control)アドレスであり、ポート番号はシステム内で重複しない番号である。SCI作成部182は、SCIをポート番号ごとに作成し、記憶部162に保存する。
The SCI is composed of a system identifier and a port number. Specifically, the system identifier is a MAC (Medium Access Control) address that is unique in the world of the encryption source of the frame, and the port number is a number that is not duplicated in the system. The
なお、PONシステム301は、チャネル情報としてSCIを用いる構成に限らず、たとえばMACアドレスおよびポート番号を用いて何らかのエンコード処理を行なったデータをチャネル情報として用いる構成であってもよい。
Note that the
切り替え処理部183は、たとえばOSU冗長切り替えのタイミングおよび自己のOSU12が切り替え元であるか切り替え先であるか等を示す切り替え制御情報を制御IF部32経由で全体制御部11から取得する。また、切り替え元のOSU12において、切り替え制御情報は、さらに、切り替え先のOSU12のポート番号を含む。そして、切り替え処理部183は、当該ポート番号を記憶部162に保存する。
The switching
切り替え元のOSU12におけるフレーム作成部71は、切り替え処理部183から受けた切り替え制御情報の示すポート番号を通知するための、自己のOSU12と通信中のONU202を宛先とする制御フレームを生成してフレーム種別識別部61へ出力する。この制御フレームは、たとえば拡張OAMフレームである。
The
切り替え処理部183は、切り替え制御情報およびアソシエーション番号抽出部155の検知結果に基づいて、データフレームの復号において切り替え用復号化キーを用いるか否かを判断する。具体的には、たとえば、切り替え処理部183は、切り替え制御情報を全体制御部11から取得していない状態において、ONU202から受信するデータフレームのセキュリティタグにおけるアソシエーション番号が、OSU冗長切り替えに対応する2または3に変わった場合、異常状態であると判定する。
Based on the switching control information and the detection result of the association
復号器151は、受信処理部33から受けたデータフレームに含まれるユーザデータを、たとえば非特許文献2に記載の方法に従い、復号化キーおよびSCIを用いて復号し、FIFO37へ出力する。
The
より詳細には、復号器151は、キー選択部154によってキー管理用テーブル170を参照することにより、アソシエーション番号抽出部155によって抽出された保護通信識別番号に対応する復号化キーを取得し、取得した復号化キーをデータフレームの復号に用いる。
More specifically, the
より詳細には、アソシエーション番号抽出部155は、受信処理部33から受けたデータフレームに含まれるアソシエーション番号を抽出し、抽出したアソシエーション番号をSCI選択部153およびキー選択部154へ出力する。また、アソシエーション番号抽出部155は、データフレームのセキュリティタグにおけるアソシエーション番号の変更を検知し、検知結果を切り替え処理部183に通知する。
More specifically, association
キー選択部154は、アソシエーション番号抽出部155から受けたアソシエーション番号に対応する復号化キーをキー管理用テーブル170から取得し、当該アソシエーション番号および当該復号化キーを復号器151へ出力する。
The
SCI選択部153は、アソシエーション番号抽出部155から受けたアソシエーション番号に対応するSCIをキー管理用テーブル170から取得し、当該アソシエーション番号および当該SCIを復号器151へ出力する。
The
復号器151は、キー選択部154から受けた復号化キーおよびSCI選択部153から受けたSCIを用いて、受信処理部33から受けたデータフレームに含まれるユーザデータを復号し、FIFO37へ出力する。
図22は、本発明の第5の実施の形態に係るONUにおける制御部および復号部の構成を示す図である。 FIG. 22 is a diagram illustrating configurations of a control unit and a decoding unit in the ONU according to the fifth embodiment of the present invention.
図22を参照して、制御部29は、ポート番号更新部171と、キー更新部(暗号化キー取得部)172と、SCI作成部173と、切り替え処理部174と、制御フレーム処理部175とを含む。暗号部39は、記憶部152と、暗号器(暗号化部)163と、キー選択部165と、SCI選択部166とを含む。
Referring to FIG. 22, the
制御部29および暗号部39における一部または全部のユニットは、宅側制御部としてたとえば1つの集積回路で実現される。なお、この集積回路は、ONU202における制御部29および暗号部39以外の他のユニットをさらに含んでもよい。また、記憶部152は、制御部29に含まれてもよいし、その記憶領域が分割されて制御部29および暗号部39に含まれてもよい。
A part or all of the units in the
暗号部39において、記憶部152は、運用系OSUおよび待機系OSU間の冗長切り替えの前に用いる暗号化キーである通常用暗号化キー、および冗長切り替えの後に用いるべき暗号化キーである切り替え用暗号化キーを記憶する。たとえば、記憶部152は、運用系OSUから待機系OSUへの切り替えの後に用いるべき切り替え用暗号化キー、および待機系OSUから運用系OSUへの切り替えの後に用いるべき切り替え用暗号化キーを記憶する。より詳細には、記憶部152は、キー管理用テーブル160、および切り替え先ポート番号等の暗号化情報を記憶する。
In the
制御部29において、キー更新部172は、運用系OSUおよび待機系OSU間の冗長切り替えの後に用いるべき暗号化キーである切り替え用暗号化キーを予め取得する。キー更新部172は、OSU12との暗号化通信に必要な暗号化キーを取得し、取得した暗号化キーを記憶部152に保存する。
In the
SCI作成部173は、自己のONU202の識別情報およびフレームの送信先のOSU12の識別情報に基づいて、チャネル情報を作成する。たとえば、SCI作成部173は、チャネル情報として非特許文献2におけるSCI(Secure Channel Identifier)を作成し、記憶部152に保存する。この場合、自己のONU202の識別情報はMACアドレスであり、フレームの送信先のOSU12の識別情報はポート番号である。
The
キー更新部172およびSCI作成部173は、保護通信識別番号とSAK等の暗号化キーとSCIとの対応関係を示すキー管理用テーブル(キー管理情報)160を作成し、記憶部152に保存する。たとえば、キー管理用テーブル160には、運用系OSUおよび待機系OSU間の冗長切り替えの前に用いるSCI、および当該冗長切り替えの後に用いるべきSCIが登録される。
The
暗号部39において、暗号器163は、受信処理部26から受けたデータフレームに含まれるユーザデータを、たとえば非特許文献2に記載の方法に従い、暗号化キーおよびSCIを用いて暗号化し、光送信処理部28へ出力する。
In the
制御部29において、制御フレーム処理部175は、光受信処理部22から受けた制御フレームの解析を行ない、解析結果に基づいてアクセス制御等の各種制御を行なう。
In the
ポート番号更新部171は、自己のONU202と通信中のOSU12から、切り替え先のOSU12のポート番号の通知を制御フレーム処理部175経由で受けると、記憶部152におけるポート番号を、通知されたポート番号に書き換える。
When the port
SCI作成部173は、記憶部152におけるポート番号が更新されると、SCIを新たに作成し、切り替え用SCIとして記憶部152に登録する。
When the port number in the
制御フレーム処理部175は、たとえば制御フレームの送信元MACアドレスを監視し、送信元MACアドレスが変化した場合、その旨を切り替え処理部174に通知する。
For example, the control
切り替え処理部174は、制御フレーム処理部175からの上記通知を受けて、OSU冗長切り替えが発生したと判断する。切り替え処理部174は、OSU冗長切り替えが発生したと判断すると、その旨をキー選択部165、SCI選択部166および暗号器163に通知する。
Upon receiving the notification from the control
キー選択部165は、切り替え処理部174からの上記通知を受けて、データフレームに含めるべきアソシエーション番号を選択し、選択したアソシエーション番号に対応する暗号化キーをキー管理用テーブル160から取得し、当該アソシエーション番号および当該暗号化キーを暗号器163へ出力する。
In response to the notification from the switching
SCI選択部166は、切り替え処理部174からの上記通知を受けて、データフレームに含めるべきアソシエーション番号を選択し、選択したアソシエーション番号に対応するSCIをキー管理用テーブル160から取得し、当該アソシエーション番号および当該SCIを暗号器163へ出力する。
In response to the notification from the switching
なお、切り替え処理部174は、種々の方法でOSU冗長切り替えを検知してもよい。たとえば、切り替え処理部174は、制御フレーム処理部175または光受信処理部22から受けた情報に基づいて、OSU冗長切り替えを検知する。
Note that the switching
具体的には、光受信処理部22は、LoS(Loss of Signal)、すなわちONU202が局側装置101から送信される下り光信号を所定時間以上検出できない場合、その旨を切り替え処理部174に通知する。切り替え処理部174は、この通知を受けて、OSU冗長切り替えが発生したと判断する。すなわち、切り替え処理部174は、局側装置101からの下り光信号の途絶を、冗長切り替えの発生として検知する。
Specifically, the optical
また、切り替え処理部174は、OSU12からのタイムスタンプと自己のONU202のタイムスタンプとの差に基づいて、冗長切り替えの発生を検知する。
Further, the switching
より詳細には、制御フレーム処理部175は、OSU12から受信するMPCPフレームのタイムスタンプ値を監視し、当該タイムスタンプ値と自己のONU202のタイムスタンプ値との差が所定の閾値を超えた場合、タイムスタンプドリフトが発生したとして切り替え処理部174に通知する。切り替え処理部174は、タイムスタンプドリフトが発生した旨の通知を制御フレーム処理部175から受けて、OSU冗長切り替えが発生したと判断する。
More specifically, the control
また、OSU12が送信する下りフレームの送信元アドレスフィールドには、送信するMAC装置すなわちOSU12のMACアドレスが格納される。異なるMAC装置が同一のMACアドレスを使用することはできないため、送信元アドレスフィールドの値は、OSU冗長切り替えの前後で変わる。
Further, the MAC address of the transmitting MAC device, that is, the
そこで、切り替え処理部174は、局側装置101からのフレームの送信元アドレスの変化を、OSU冗長切り替えの発生として検知する。
Therefore, the switching
より詳細には、切り替え処理部174は、PON制御フレームの送信元アドレスが変化した旨の通知を制御フレーム処理部175から受けた場合、OSU冗長切り替えが発生したと判断する。
More specifically, the switching
これにより、LoSを検出できない場合でも、また、冗長切り替えの前後でフレームのタイムスタンプのずれが小さい場合でも、切り替え処理部174は、OSU冗長切り替えの発生を検知することができる。
Thereby, even when LoS cannot be detected, or even when the time stamp deviation between frames is small before and after redundancy switching, the switching
なお、上り方向の暗号化および復号化の機能を追加した本発明の第5の実施の形態に係るPONシステムにおいても、下り方向の暗号化および復号化に関する本発明の第1〜第4の実施の形態で説明したような、OSU冗長切り替えの検知動作、SCIの更新動作およびアソシエーション番号の変更動作等を適用することが可能である。 Note that, in the PON system according to the fifth embodiment of the present invention to which the function of uplink encryption and decryption is added, the first to fourth embodiments of the present invention related to downlink encryption and decryption are also provided. It is possible to apply an OSU redundancy switching detection operation, an SCI update operation, an association number change operation, and the like as described in the above embodiment.
[動作]
次に、本発明の第5の実施の形態に係るPONシステムにおける冗長切り替え処理について図面を用いて説明する。以下、PONシステム301において、OSU12が用いる復号化キーとONU202が用いる暗号化キーとが共通のキーである場合について説明する。
[Operation]
Next, redundant switching processing in the PON system according to the fifth embodiment of the present invention will be described with reference to the drawings. Hereinafter, in the
図23は、本発明の第5の実施の形態に係るPONシステムにおいて、運用系OSUから待機系OSUへの冗長切り替えを行なう際の動作手順を示すフローチャートである。 FIG. 23 is a flowchart showing an operation procedure when performing redundant switching from the active OSU to the standby OSU in the PON system according to the fifth embodiment of the present invention.
図23を参照して、運用系OSUから待機系OSUへの冗長切り替え前において、ONU202および運用系OSUは、通常用キーを用いたデータフレームの暗号化および復号化を行ない、通信を行なう(ステップS401)。
Referring to FIG. 23, before the redundant switching from the active OSU to the standby OSU, the
次に、ONU202および待機系OSUは、運用系OSUから待機系OSUへの冗長切り替え後に用いるべき切り替え用キーを取得して各々の記憶部に予め登録しておく。
Next, the
具体的には、たとえば、ONU202および運用系OSUは、上記通信中に、運用系OSUから待機系OSUへの冗長切り替え後に用いるキー等の暗号化情報の共有化処理を行なうことにより、切り替え用キーを取得する。たとえば、ONU202および運用系OSUは、IEEE802.1X(登録商標)−2010に従った手順でキー等の暗号化情報を取得する。そして、運用系OSUは、上記通信中に、当該切り替え用キーを待機系OSUに通知する(ステップS402およびS403)。あるいは、たとえば、ONU202および各OSU12の起動前に、通信事業者等が切り替え用キーを予め登録してもよい。
Specifically, for example, the
次に、運用系OSUは、切り替え先の待機系OSUのポート番号を、たとえば拡張OAMメッセージに含めてONU202に通知する(ステップS404)。
Next, the active OSU notifies the
次に、ONU202は、運用系OSUから通知された待機系OSUのポート番号、および自己のMACアドレスに基づいて、運用系OSUから待機系OSUへの冗長切り替え後に用いるべき切り替え用のSCIを作成する。そして、ONU202は、作成した切り替え用SCIを自己の記憶部に登録する(ステップS405)。
Next, the
次に、運用系OSUから待機系OSUへの冗長切り替えが発生すると(ステップS406)、運用系OSUは、自己と通信中のONU202のMACアドレス等を含む切り替え情報を待機系OSUに通知する。なお、運用系OSUは、冗長切り替え発生前に上記切り替え情報を待機系OSUに通知してもよい(ステップS407)。
Next, when redundant switching from the active OSU to the standby OSU occurs (step S406), the active OSU notifies the standby OSU of switching information including the MAC address of the
次に、待機系OSUは、運用系OSUから通知された切り替え情報等を用いて制御フレームを生成し、ONU202へ送信する(ステップS408)。 Next, the standby OSU generates a control frame using the switching information notified from the active OSU and transmits it to the ONU 202 (step S408).
次に、ONU202は、待機系OSUから制御フレームを受信して、局側装置101から送信される制御フレームの送信元アドレスが運用系OSUのMACアドレスから待機系OSUのMACアドレスに変わったことを検知する(ステップS409)。
Next, the
次に、待機系OSUは、運用系OSUから通知されたONU202のMACアドレス、および自己のポート番号に基づいて、当該ONU202との通信における復号化に使用するSCIを作成する。そして、待機系OSUは、作成したSCIを自己の記憶部に登録する(ステップS411)。
Next, the standby OSU creates SCI used for decoding in communication with the
次に、ONU202は、予め登録しておいた切り替え用キーおよび切り替え用SCIを用いてデータフレームを暗号化する。また、ONU202は、データフレームのセキュリティタグにおいて、アソシエーション番号を切り替え用のアソシエーション番号2に設定する。また、ONU202は、通常用キーから切り替え用キーへの切り替わりに伴い、セキュリティタグにおけるパケット番号を1から開始し、インクリメントしていく(ステップS412)。
Next, the
次に、ONU202は、暗号化したデータフレームを待機系OSUへ送信する(ステップS413)。
Next, the
また、ONU202は、パケット番号が所定のしきい値を超えた等の理由で切り替え用キーから新たなキーに変える際には、新たなキーに対応するアソシエーション番号として通常用の0または1を使用する。また、ONU202は、ステップS405で作成したSCIを引き続き使用する(ステップS414)。
When the
次に、待機系OSUは、予め登録しておいた切り替え用キー、および作成したSCIを用いて、ONU202から受信したデータフレームを復号する(ステップS415)。
Next, the standby OSU decodes the data frame received from the
次に、待機系OSUは、パケット番号が所定のしきい値を超えた等の理由で切り替え用キーから新たなキーに変える際には、新たなキーに対応するアソシエーション番号として通常用の0または1を使用する(ステップS416)。 Next, when the standby OSU changes from a switching key to a new key because the packet number has exceeded a predetermined threshold value, the standby OSU uses a normal 0 or an association number corresponding to the new key. 1 is used (step S416).
このように、PONシステム301では、ONU202およびOSU12は、運用系OSUおよび待機系OSU間の切り替えの後に用いるべき、暗号化キーである切り替え用暗号化キーおよび復号化キーである切り替え用復号化キーをそれぞれ予め取得する。また、OSU12は、運用系OSUおよび待機系OSU間の切り替えの後に用いるべきチャネル情報たとえばSCIを予め取得する。
In this way, in the
また、たとえば、OSU12およびONU202は、それぞれ保護通信識別番号たとえばアソシエーション番号と復号化キーおよび暗号化キーとを対応づける。
Further, for example, the
そして、運用系OSUおよび待機系OSU間の切り替えが行なわれると、ONU202は、切り替え用暗号化キーに対応する保護通信識別番号を含むデータフレームを切り替え先のOSU12へ送信する。
When switching between the active OSU and the standby OSU is performed, the
切り替え先のOSU12は、ONU202から受信したデータフレームに含まれる保護通信識別番号を抽出し、抽出した保護通信識別番号に対応する復号化キーである切り替え用復号化キーをデータフレームの復号に用いる。
The
図24は、本発明の第5の実施の形態に係るPONシステムにおいて、待機系OSUから運用系OSUへの冗長切り替えを行なう際の動作手順を示すフローチャートである。 FIG. 24 is a flowchart showing an operation procedure when performing redundant switching from the standby OSU to the active OSU in the PON system according to the fifth embodiment of the present invention.
図24を参照して、待機系OSUから運用系OSUへの冗長切り替え前において、ONU202および待機系OSUは、通常用キーを用いたデータフレームの暗号化および復号化を行ない、通信を行なう(ステップS421)。
Referring to FIG. 24, before redundant switching from standby OSU to active OSU,
次に、ONU202および運用系OSUは、待機系OSUから運用系OSUへの冗長切り替え後に用いるべき切り替え用キーを取得して各々の記憶部に予め登録しておく。
Next, the
具体的には、たとえば、ONU202および待機系OSUは、上記通信中に、待機系OSUから運用系OSUへの冗長切り替え後に用いるキー等の暗号化情報の共有化処理を行なうことにより、切り替え用キーを取得する。たとえば、ONU202および待機系OSUは、IEEE802.1X(登録商標)−2010に従った手順でキー等の暗号化情報を取得する。そして、待機系OSUは、上記通信中に、当該切り替え用キーを運用系OSUに通知する(ステップS422およびS423)。あるいは、たとえば、ONU202および各OSU12の起動前に、通信事業者等が切り替え用キーを予め登録してもよい。
Specifically, for example, the
次に、待機系OSUは、切り替え先の運用系OSUのポート番号を、たとえば拡張OAMメッセージに含めてONU202に通知する(ステップS424)。
Next, the standby OSU notifies the
次に、ONU202は、待機系OSUから通知された運用系OSUのポート番号、および自己のMACアドレスに基づいて、待機系OSUから運用系OSUへの冗長切り替え後に用いるべき切り替え用のSCIを作成する。そして、ONU202は、作成した切り替え用SCIを自己の記憶部に登録する(ステップS425)。
Next, the
次に、待機系OSUから運用系OSUへの冗長切り替えが発生すると(ステップS426)、待機系OSUは、自己と通信中のONU202のMACアドレス等を含む切り替え情報を運用系OSUに通知する。なお、待機系OSUは、冗長切り替え発生前に上記切り替え情報を運用系OSUに通知してもよい(ステップS427)。
Next, when redundant switching from the standby OSU to the active OSU occurs (step S426), the standby OSU notifies the active OSU of switching information including the MAC address of the
次に、運用系OSUは、待機系OSUから通知された切り替え情報等を用いて制御フレームを生成し、ONU202へ送信する(ステップS428)。 Next, the active OSU generates a control frame using the switching information notified from the standby OSU and transmits it to the ONU 202 (step S428).
次に、ONU202は、運用系OSUから制御フレームを受信して、局側装置101から送信される制御フレームの送信元アドレスが待機系OSUのMACアドレスから運用系OSUのMACアドレスに変わったことを検知する(ステップS429)。
Next, the
次に、運用系OSUは、待機系OSUから通知されたONU202のMACアドレス、および自己のポート番号に基づいて、当該ONU202との通信における復号化に使用するSCIを作成する。そして、運用系OSUは、作成したSCIを自己の記憶部に登録する(ステップS431)。
Next, the active OSU creates an SCI used for decoding in communication with the
次に、ONU202は、予め登録しておいた切り替え用キーおよび切り替え用SCIを用いてデータフレームを暗号化する。また、ONU202は、データフレームのセキュリティタグにおいて、アソシエーション番号を切り替え用のアソシエーション番号2に設定する。また、ONU202は、通常用キーから切り替え用キーへの切り替わりに伴い、セキュリティタグにおけるパケット番号を1から開始し、インクリメントしていく(ステップS432)。
Next, the
次に、ONU202は、暗号化したデータフレームを運用系OSUへ送信する(ステップS433)。
Next, the
また、ONU202は、パケット番号が所定のしきい値を超えた等の理由で切り替え用キーから新たなキーに変える際には、新たなキーに対応するアソシエーション番号として通常用の0または1を使用する。また、ONU202は、ステップS425で作成したSCIを引き続き使用する(ステップS434)。
When the
次に、運用系OSUは、予め登録しておいた切り替え用キー、および作成したSCIを用いて、ONU202から受信したデータフレームを復号する(ステップS435)。
Next, the active OSU decrypts the data frame received from the
次に、運用系OSUは、パケット番号が所定のしきい値を超えた等の理由で切り替え用キーから新たなキーに変える際には、新たなキーに対応するアソシエーション番号として通常用の0または1を使用する(ステップS436)。
Next, when the operating OSU changes from a switching key to a new key because the packet number has exceeded a predetermined threshold, the
図23および図24で説明したように、PONシステム301では、待機系OSUは、運用系OSUから自己への切り替えの後に用いるべき切り替え用復号化キーを予め取得する。運用系OSUは、待機系OSUから自己への切り替えの後に用いるべき切り替え用復号化キーを予め取得する。そして、ONU202は、これら両方の切り替え用復号化キーにそれぞれ対応する暗号化キーを予め取得する。
As described with reference to FIGS. 23 and 24, in the
なお、運用系OSUおよび待機系OSUのポート番号が共通である場合には、OSU12からONU202へのポート番号の通知、およびONU202による切り替え用SCIの作成および登録は不要である。
If the port numbers of the active OSU and the standby OSU are common, it is not necessary to notify the port number from the
図25は、本発明の第5の実施の形態に係るPONシステムにおいて、運用系OSUから待機系OSUへの冗長切り替えを行なう際に用いられる切り替え情報および暗号化情報を示す図である。 FIG. 25 is a diagram showing switching information and encryption information used when performing redundant switching from the active OSU to the standby OSU in the PON system according to the fifth embodiment of the present invention.
図25を参照して、このPONシステム301では、たとえば、アソシエーション番号0およびアソシエーション番号1の通常用キーとしてそれぞれキーxおよびキーyが使用され、運用系OSUから待機系OSUへの冗長切り替え時に使用する切り替え用キーとしてキーaが使用され、待機系OSUから運用系OSUへの冗長切り替え時に使用する切り替え用キーとしてキーbが使用される。
Referring to FIG. 25, in this
また、ここでは、ONU202のMACアドレスはpであり、運用系OSUのポート番号はmであり、待機系OSUのポート番号はnである。
Also, here, the MAC address of the
まず、運用系OSUから待機系OSUへの冗長切り替え前において、ONU202および運用系OSUは、通常用キーxおよびy、ならびにSCIfを用いたデータフレームの暗号化および復号化を行ない、通信を行なう。より詳細には、ONU202は、パケット番号が所定値に達すると、通常用キーの切り替えを行ない、セキュリティタグにおけるパケット番号を1にリセットし、かつアソシエーション番号を変更する。具体的には、ONU202は、たとえばアソシエーション番号0の通常用キーxを使用している状態において、パケット番号が所定値に達すると、通常用キーyの使用を開始する。そして、ONU202は、セキュリティタグにおけるパケット番号を1にリセットし、かつアソシエーション番号を0から1に変更する(ステップS261)。
First, before redundant switching from the active OSU to the standby OSU, the
次に、ONU202および待機系OSUは、運用系OSUから待機系OSUへの冗長切り替え後に用いるべき切り替え用キーとしてアソシエーション番号2の切り替え用キーaをそれぞれキー管理用テーブル160および170に登録しておく。具体的な取得方法は、図23において説明した内容と同様である(ステップS262およびS263)。
Next, the
次に、運用系OSUは、切り替え先の待機系OSUのポート番号nを、たとえば拡張OAMメッセージに含めてONU202に通知する。ONU202は、運用系OSUから通知されたポート番号nを登録する(ステップS264)。
Next, the active OSU notifies the
次に、ONU202は、運用系OSUから通知された待機系OSUのポート番号n、および自己のMACアドレスpに基づいて、運用系OSUから待機系OSUへの冗長切り替え後に用いるべき切り替え用のSCIgを作成する。そして、ONU202は、作成した切り替え用SCIgをアソシエーション番号2に対応づけてキー管理用テーブル160に登録する(ステップS265)。
Next, the
次に、運用系OSUから待機系OSUへの冗長切り替えが発生すると(ステップS266)、運用系OSUは、自己と通信中のONU202のMACアドレスp等を含む切り替え情報を待機系OSUに通知する。なお、運用系OSUは、冗長切り替え発生前に上記切り替え情報を待機系OSUに通知してもよい(ステップS267)。
Next, when redundant switching from the active OSU to the standby OSU occurs (step S266), the active OSU notifies the standby OSU of switching information including the MAC address p of the
次に、待機系OSUは、運用系OSUから通知されたONU202のMACアドレスp、および自己のポート番号nに基づいて、当該ONU202との通信における暗号化に使用するSCIgを作成する。そして、待機系OSUは、作成したSCIgを自己の記憶部に登録する(ステップS268)。
Next, the standby OSU creates SCIg to be used for encryption in communication with the
次に、ONU202は、予め登録しておいた切り替え用キーaおよびSCIgを用いてデータフレームを暗号化する。また、ONU202は、データフレームのセキュリティタグにおいて、アソシエーション番号を切り替え用のアソシエーション番号2に設定する。また、ONU202は、通常用キーから切り替え用キーへの切り替わりに伴い、セキュリティタグにおけるパケット番号を1から開始し、インクリメントしていく。そして、待機系OSUは、暗号化したデータフレームを待機系OSUへ送信する(ステップS269)。
Next, the
次に、待機系OSUは、ONU202からデータフレームを受信して、ONU202から送信されるデータフレームのセキュリティタグにおけるアソシエーション番号が切り替え用のアソシエーション番号2に変わったことを検知する。そして、待機系OSUは、予め登録しておいた切り替え用キーa、および作成した切り替え用SCIgを用いて、ONU202から受信したデータフレームを復号する。
Next, the standby OSU receives the data frame from the
図26は、本発明の第5の実施の形態に係るPONシステムにおいて、待機系OSUから運用系OSUへの冗長切り替えを行なう際に用いられる切り替え情報および暗号化情報を示す図である。 FIG. 26 is a diagram showing switching information and encryption information used when performing redundant switching from the standby OSU to the active OSU in the PON system according to the fifth embodiment of the present invention.
図26を参照して、このPONシステム301では、たとえば、アソシエーション番号0およびアソシエーション番号1の通常用キーとしてそれぞれキーxおよびキーyが使用され、運用系OSUから待機系OSUへの冗長切り替え時に使用する切り替え用キーとしてキーaが使用され、待機系OSUから運用系OSUへの冗長切り替え時に使用する切り替え用キーとしてキーbが使用される。
Referring to FIG. 26, in this
また、ここでは、ONU202のMACアドレスはpであり、運用系OSUのポート番号はqであり、待機系OSUのポート番号はnである。
Further, here, the MAC address of the
まず、待機系OSUから運用系OSUへの冗長切り替え前において、ONU202および待機系OSUは、通常用キーxおよびy、ならびにSCIgを用いたデータフレームの暗号化および復号化を行ない、通信を行なう。より詳細には、ONU202は、パケット番号が所定値に達すると、通常用キーの切り替えを行ない、セキュリティタグにおけるパケット番号を1にリセットし、かつアソシエーション番号を変更する。具体的には、ONU202は、たとえばアソシエーション番号0の通常用キーxを使用している状態において、パケット番号が所定値に達すると、通常用キーyの使用を開始する。そして、ONU202は、セキュリティタグにおけるパケット番号を1にリセットし、かつアソシエーション番号を0から1に変更する(ステップS271)。
First, before redundant switching from the standby OSU to the active OSU, the
次に、ONU202および運用系OSUは、待機系OSUから運用系OSUへの冗長切り替え後に用いるべき切り替え用キーとしてアソシエーション番号3の切り替え用キーbをそれぞれキー管理用テーブル160および170に登録しておく。具体的な取得方法は、図24において説明した内容と同様である(ステップS272およびS273)。
Next, the
次に、待機系OSUは、切り替え先の運用系OSUのポート番号qを、たとえば拡張OAMメッセージに含めてONU202に通知する。ONU202は、待機系OSUから通知されたポート番号qを登録する(ステップS274)。
Next, the standby OSU notifies the
次に、ONU202は、待機系OSUから通知された運用系OSUのポート番号q、および自己のMACアドレスpに基づいて、待機系OSUから運用系OSUへの冗長切り替え後に用いるべき切り替え用のSCIhを作成する。そして、ONU202は、作成した切り替え用SCIhをアソシエーション番号3に対応づけてキー管理用テーブル160に登録する(ステップS275)。
Next, the
次に、待機系OSUから運用系OSUへの冗長切り替えが発生すると(ステップS276)、待機系OSUは、自己と通信中のONU202のMACアドレスp等を含む切り替え情報を運用系OSUに通知する。なお、待機系OSUは、冗長切り替え発生前に上記切り替え情報を運用系OSUに通知してもよい(ステップS277)。
Next, when redundant switching from the standby OSU to the active OSU occurs (step S276), the standby OSU notifies the active OSU of switching information including the MAC address p of the
次に、運用系OSUは、待機系OSUから通知されたONU202のMACアドレスp、および自己のポート番号qに基づいて、当該ONU202との通信における暗号化に使用するSCIhを作成する。そして、運用系OSUは、作成したSCIhを自己の記憶部に登録する(ステップS278)。
Next, the active OSU creates SCIh used for encryption in communication with the
次に、ONU202は、予め登録しておいた切り替え用キーbおよびSCIhを用いてデータフレームを暗号化する。また、ONU202は、データフレームのセキュリティタグにおいて、アソシエーション番号を切り替え用のアソシエーション番号3に設定する。また、ONU202は、通常用キーから切り替え用キーへの切り替わりに伴い、セキュリティタグにおけるパケット番号を1から開始し、インクリメントしていく。そして、運用系OSUは、暗号化したデータフレームを運用系OSUへ送信する(ステップS279)。
Next, the
次に、運用系OSUは、ONU202からデータフレームを受信して、ONU202から送信されるデータフレームのセキュリティタグにおけるアソシエーション番号が切り替え用のアソシエーション番号3に変わったことを検知する。そして、運用系OSUは、予め登録しておいた切り替え用キーb、および作成した切り替え用SCIhを用いて、ONU202から受信したデータフレームを復号する。
Next, the active OSU receives the data frame from the
図27は、本発明の第5の実施の形態に係るPONシステムにおいて、運用系OSUから待機系OSUへの冗長切り替えを行なう際に用いられる切り替え情報および暗号化情報の他の例を示す図である。図27は、運用系OSUおよび待機系OSUのポート番号が共通である場合を示している。 FIG. 27 is a diagram showing another example of switching information and encryption information used when performing redundant switching from the active OSU to the standby OSU in the PON system according to the fifth embodiment of the present invention. is there. FIG. 27 shows a case where the port numbers of the active OSU and the standby OSU are common.
図27を参照して、このPONシステム301では、たとえば、アソシエーション番号0およびアソシエーション番号1の通常用キーとしてそれぞれキーxおよびキーyが使用され、運用系OSUから待機系OSUへの冗長切り替え時に使用する切り替え用キーとしてキーaが使用され、待機系OSUから運用系OSUへの冗長切り替え時に使用する切り替え用キーとしてキーbが使用される。
Referring to FIG. 27, in this
また、ここでは、ONU202のMACアドレスはpであり、運用系OSUのポート番号はmであり、待機系OSUのポート番号はmである。
Also, here, the MAC address of the
まず、運用系OSUから待機系OSUへの冗長切り替え前において、ONU202および運用系OSUは、通常用キーxおよびy、ならびにSCIfを用いたデータフレームの暗号化および復号化を行ない、通信を行なう。より詳細には、ONU202は、パケット番号が所定値に達すると、通常用キーの切り替えを行ない、セキュリティタグにおけるパケット番号を1にリセットし、かつアソシエーション番号を変更する。具体的には、ONU202は、たとえばアソシエーション番号0の通常用キーxを使用している状態において、パケット番号が所定値に達すると、通常用キーyの使用を開始する。そして、ONU202は、セキュリティタグにおけるパケット番号を1にリセットし、かつアソシエーション番号を0から1に変更する(ステップS281)。
First, before redundant switching from the active OSU to the standby OSU, the
次に、ONU202および待機系OSUは、運用系OSUから待機系OSUへの冗長切り替え後に用いるべき切り替え用キーとしてアソシエーション番号2の切り替え用キーaをそれぞれキー管理用テーブル160および170に登録しておく。具体的な取得方法は、図23において説明した内容と同様である(ステップS282およびS283)。
Next, the
次に、運用系OSUから待機系OSUへの冗長切り替えが発生すると(ステップS286)、運用系OSUは、自己と通信中のONU202のMACアドレスp等を含む切り替え情報を待機系OSUに通知する。なお、運用系OSUは、冗長切り替え発生前に上記切り替え情報を待機系OSUに通知してもよい(ステップS287)。
Next, when redundant switching from the active OSU to the standby OSU occurs (step S286), the active OSU notifies the standby OSU of switching information including the MAC address p of the
次に、待機系OSUは、運用系OSUから通知されたONU202のMACアドレスp、および自己のポート番号mに基づいて、当該ONU202との通信における暗号化に使用するSCIfを作成する。そして、待機系OSUは、作成したSCIfを自己の記憶部に登録する(ステップS288)。
Next, the standby OSU creates an SCIf to be used for encryption in communication with the
次に、ONU202は、予め登録しておいた切り替え用キーa、およびSCIfを用いてデータフレームを暗号化する。また、ONU202は、データフレームのセキュリティタグにおいて、アソシエーション番号を切り替え用のアソシエーション番号2に設定する。また、ONU202は、通常用キーから切り替え用キーへの切り替わりに伴い、セキュリティタグにおけるパケット番号を1から開始し、インクリメントしていく。そして、待機系OSUは、暗号化したデータフレームを待機系OSUへ送信する(ステップS289)。
Next, the
次に、待機系OSUは、ONU202からデータフレームを受信して、ONU202から送信されるデータフレームのセキュリティタグにおけるアソシエーション番号が切り替え用のアソシエーション番号2に変わったことを検知する。そして、待機系OSUは、予め登録しておいた切り替え用キーa、および作成した切り替え用SCIfを用いて、ONU202から受信したデータフレームを復号する。
Next, the standby OSU receives the data frame from the
図28は、本発明の第5の実施の形態に係るPONシステムにおいて、待機系OSUから運用系OSUへの冗長切り替えを行なう際に用いられる切り替え情報および暗号化情報の他の例を示す図である。図28は、待機系OSUおよび運用系OSUのポート番号が共通である場合を示している。 FIG. 28 is a diagram showing another example of switching information and encryption information used when performing redundant switching from the standby OSU to the active OSU in the PON system according to the fifth embodiment of the present invention. is there. FIG. 28 shows a case where the port numbers of the standby OSU and the active OSU are common.
図28を参照して、このPONシステム301では、たとえば、アソシエーション番号0およびアソシエーション番号1の通常用キーとしてそれぞれキーxおよびキーyが使用され、運用系OSUから待機系OSUへの冗長切り替え時に使用する切り替え用キーとしてキーaが使用され、待機系OSUから運用系OSUへの冗長切り替え時に使用する切り替え用キーとしてキーbが使用される。
Referring to FIG. 28, in this
また、ここでは、ONU202のMACアドレスはpであり、運用系OSUのポート番号はmであり、待機系OSUのポート番号はmである。
Also, here, the MAC address of the
まず、待機系OSUから運用系OSUへの冗長切り替え前において、ONU202および待機系OSUは、通常用キーxおよびy、ならびにSCIfを用いたデータフレームの暗号化および復号化を行ない、通信を行なう。より詳細には、ONU202は、パケット番号が所定値に達すると、通常用キーの切り替えを行ない、セキュリティタグにおけるパケット番号を1にリセットし、かつアソシエーション番号を変更する。具体的には、ONU202は、たとえばアソシエーション番号0の通常用キーxを使用している状態において、パケット番号が所定値に達すると、通常用キーyの使用を開始する。そして、ONU202は、セキュリティタグにおけるパケット番号を1にリセットし、かつアソシエーション番号を0から1に変更する(ステップS291)。
First, before redundancy switching from the standby OSU to the active OSU, the
次に、ONU202および運用系OSUは、待機系OSUから運用系OSUへの冗長切り替え後に用いるべき切り替え用キーとしてアソシエーション番号3の切り替え用キーbをそれぞれキー管理用テーブル160および170に登録しておく。具体的な取得方法は、図24において説明した内容と同様である(ステップS292およびS293)。
Next, the
次に、待機系OSUから運用系OSUへの冗長切り替えが発生すると(ステップS296)、待機系OSUは、自己と通信中のONU202のMACアドレスp等を含む切り替え情報を運用系OSUに通知する。なお、待機系OSUは、冗長切り替え発生前に上記切り替え情報を運用系OSUに通知してもよい(ステップS297)。
Next, when redundant switching from the standby OSU to the active OSU occurs (step S296), the standby OSU notifies the active OSU of switching information including the MAC address p of the
次に、運用系OSUは、待機系OSUから通知されたONU202のMACアドレスp、および自己のポート番号mに基づいて、当該ONU202との通信における暗号化に使用するSCIfを作成する。そして、運用系OSUは、作成したSCIfを自己の記憶部に登録する(ステップS298)。
Next, the active OSU creates an SCIf used for encryption in communication with the
次に、ONU202は、予め登録しておいた切り替え用キーb、およびSCIfを用いてデータフレームを暗号化する。また、ONU202は、データフレームのセキュリティタグにおいて、アソシエーション番号を切り替え用のアソシエーション番号3に設定する。また、ONU202は、通常用キーから切り替え用キーへの切り替わりに伴い、セキュリティタグにおけるパケット番号を1から開始し、インクリメントしていく。そして、運用系OSUは、暗号化したデータフレームを運用系OSUへ送信する(ステップS299)。
Next, the
次に、運用系OSUは、ONU202からデータフレームを受信して、ONU202から送信されるデータフレームのセキュリティタグにおけるアソシエーション番号が切り替え用のアソシエーション番号3に変わったことを検知する。そして、運用系OSUは、予め登録しておいた切り替え用キーb、および作成した切り替え用SCIfを用いて、ONU202から受信したデータフレームを復号する。
Next, the active OSU receives the data frame from the
ところで、運用系のOSUから待機系のOSUへの冗長切り替えを行なう場合、たとえば、運用系のOSUと通信していたONUは、待機系のOSUと所定の手順に従って新たに通信することにより、暗号化および復号化に用いられるキー等の暗号化情報を待機系のOSUと共有する必要がある。このため、冗長切り替えによるPONシステムの通信停止時間が長くなってしまう。 By the way, when performing redundant switching from the active OSU to the standby OSU, for example, the ONU communicating with the active OSU newly communicates with the standby OSU in accordance with a predetermined procedure, thereby Encryption information such as keys used for encryption and decryption must be shared with the standby OSU. For this reason, the communication stop time of the PON system due to redundant switching becomes long.
これに対して、本発明の第5の実施の形態に係る通信システムでは、ONU202およびOSU12は、運用系OSUおよび待機系OSU間の切り替えの後に用いるべき、暗号化キーである切り替え用暗号化キーおよび復号化キーである切り替え用復号化キーをそれぞれ予め取得する。すなわち、本発明の第5の実施の形態に係る宅側制御部では、制御部29におけるキー更新部172は、運用系OSUおよび待機系OSU間の切り替えの後に用いるべき暗号化キーである切り替え用暗号化キーを予め取得する。また、本発明の第5の実施の形態に係る局側制御部では、PON制御部36におけるキー更新部181は、運用系OSUおよび待機系OSU間の切り替えの後に用いるべき復号化キーである切り替え用復号化キーを予め取得する。
On the other hand, in the communication system according to the fifth embodiment of the present invention, the
すなわち、ONU202およびOSU12が、運用系OSUおよび待機系OSU間の切り替えの後に用いるべき、暗号化キーである切り替え用暗号化キーおよび暗号化キーに対応する復号化キーである切り替え用復号化キーをそれぞれ予め取得する。そして、当該冗長切り替えの後、ONU202が、取得した切り替え用暗号化キーを用いて暗号化した通信信号たとえばフレームをOSU12へ送信する。そして、OSU12が、ONU202から受信した暗号化されたフレームを、取得した切り替え用復号化キーを用いて復号する。
In other words, the
このように、冗長切り替え後に用いるべきキーを冗長切り替え前に予め取得する構成により、冗長切り替え前後でOSU12はフレームを継続して復号することができるため、冗長切り替えに伴う通信停止時間を短縮することができ、安定かつ高い通信品質を提供することができる。
As described above, the key to be used after the redundancy switching is acquired in advance before the redundancy switching, so that the
また、冗長切り替えの前後でキーを変更することができるため、フレームのパケット番号等の情報を切り替え元のOSU12および切り替え先のOSU12間で引き継ぐ必要がなくなることから、冗長切り替え前後で安定した通信を実現し、かつ簡易な冗長切り替え処理を実現することができる。また、冗長切り替え前後で異なるキーを使用する場合、セキュリティ性を向上させることができる。
In addition, since the key can be changed before and after the redundant switching, it is not necessary to transfer information such as the packet number of the frame between the switching
したがって、本発明の第5の実施の形態に係る通信システム、宅側制御部および局側制御部では、局側装置および宅側装置間のセキュリティ機能を実現するとともに、局側装置における冗長切り替えに対して、局側装置および宅側装置間の通信停止時間の増大を抑制し、信頼性の高い通信システムを提供することができる。 Therefore, in the communication system, the home-side control unit, and the station-side control unit according to the fifth embodiment of the present invention, a security function between the station-side device and the home-side device is realized and redundant switching in the station-side device is performed. On the other hand, an increase in communication stop time between the station side device and the home side device can be suppressed, and a highly reliable communication system can be provided.
また、本発明の第5の実施の形態に係る通信システムでは、待機系OSUは、運用系OSUから自己への切り替えの後に用いるべき切り替え用復号化キーを予め取得する。運用系OSUは、待機系OSUから自己への切り替えの後に用いるべき切り替え用復号化キーを予め取得する。そして、ONU202は、これら両方の切り替え用復号化キーにそれぞれ対応する暗号化キーを予め取得する。
In the communication system according to the fifth embodiment of the present invention, the standby OSU obtains in advance a switching decryption key to be used after switching from the active OSU to itself. The active OSU acquires in advance a switching decryption key to be used after switching from the standby OSU to itself. Then, the
このような構成により、運用系OSUから待機系OSUへの冗長切り替え、および待機系OSUから運用系OSUへの冗長切り替えの際にそれぞれ異なるキーを使用することができるため、セキュリティ性をより向上させることができる。 With such a configuration, different keys can be used for redundant switching from the active OSU to the standby OSU and redundant switching from the standby OSU to the active OSU, thereby further improving security. be able to.
また、本発明の第5の実施の形態に係る通信システムでは、OSU12およびONU202は、それぞれ保護通信識別番号たとえばアソシエーション番号と復号化キーおよび暗号化キーとを対応づける。運用系OSUおよび待機系OSU間の切り替えが行なわれると、ONU202は、切り替え用暗号化キーに対応する保護通信識別番号を含むフレームを切り替え先のOSU12へ送信する。そして、切り替え先のOSU12は、ONU202から受信したフレームに含まれる保護通信識別番号を抽出し、抽出した保護通信識別番号に対応する復号化キーである切り替え用復号化キーをフレームの復号に用いる。
In the communication system according to the fifth embodiment of the present invention, the
このような構成により、運用系OSUおよび待機系OSU間の冗長切り替え後に新しいキーの合意処理を行なう必要がなくなり、冗長切り替えの前後でフレームを継続して復号することができる。 With such a configuration, it is not necessary to perform a new key consensus process after redundant switching between the active OSU and the standby OSU, and frames can be continuously decoded before and after the redundant switching.
また、本発明の第5の実施の形態に係る通信システムでは、OSU12は、運用系OSUおよび待機系OSU間の切り替えの後に用いるべきチャネル情報たとえばSCIを予め取得する。
In the communication system according to the fifth embodiment of the present invention, the
このような構成により、キーに加えてSCIを暗号化に用いる場合でも、光回線ユニットは冗長切り替え前後でフレームを継続して復号することができるため、通信システムにおける通信停止時間を短縮することができ、安定かつ高い通信品質を提供することができる。 With such a configuration, even when the SCI is used for encryption in addition to the key, the optical line unit can continuously decode the frame before and after the redundancy switching, so that the communication stop time in the communication system can be shortened. It is possible to provide stable and high communication quality.
また、本発明の第5の実施の形態に係る宅側制御部では、記憶部152は、運用系OSUおよび待機系OSU間の切り替えの前に用いる暗号化キーである通常用暗号化キー、および切り替えの後に用いるべき暗号化キーである切り替え用暗号化キーを記憶する。
In the home-side control unit according to the fifth embodiment of the present invention, the
また、本発明の第5の実施の形態に係る局側制御部では、記憶部162は、運用系OSUおよび待機系OSU間の切り替えの前に用いる復号化キーである通常用復号化キー、および切り替えの後に用いるべき復号化キーである切り替え用復号化キーを記憶する。
Further, in the station side control unit according to the fifth embodiment of the present invention, the
このような構成により、冗長切り替え後に用いるべきキーを冗長切り替え前に予め取得することができるため、冗長切り替え前後で光回線ユニットはフレームを中断することなく復号することができる。これにより、冗長切り替えに伴う通信停止時間を短縮することができ、安定かつ高い通信品質を提供することができる。 With such a configuration, a key to be used after redundant switching can be acquired in advance before redundant switching, so that the optical line unit can decode without interrupting the frame before and after redundant switching. Thereby, the communication stop time accompanying redundancy switching can be shortened, and stable and high communication quality can be provided.
また、冗長切り替えの前後でキーを変更することができるため、フレームのパケット番号等の情報を切り替え元の光回線ユニットおよび切り替え先の光回線ユニット間で引き継ぐ必要がなくなることから、冗長切り替え前後で安定した通信を実現し、かつ簡易な冗長切り替え処理を実現することができる。また、冗長切り替え前後で異なるキーを使用する場合、セキュリティ性を向上させることができる。 In addition, since the key can be changed before and after the redundant switching, it is not necessary to transfer information such as the packet number of the frame between the switching source optical line unit and the switching destination optical line unit. Stable communication can be realized, and simple redundant switching processing can be realized. Further, when different keys are used before and after redundancy switching, security can be improved.
したがって、本発明の第5の実施の形態に係る宅側制御部および局側制御部では、局側装置および宅側装置間のセキュリティ機能を実現するとともに、局側装置における冗長切り替えに対して、局側装置および宅側装置間の通信停止時間の増大を抑制し、信頼性の高い通信システムを提供することができる。 Therefore, the home-side control unit and the station-side control unit according to the fifth embodiment of the present invention realize a security function between the station-side device and the home-side device, and for redundant switching in the station-side device, An increase in communication stop time between the station side device and the home side device can be suppressed, and a highly reliable communication system can be provided.
その他の構成および動作は第1〜第4の実施の形態に係るPONシステムと同様であるため、ここでは詳細な説明を繰り返さない。 Since other configurations and operations are the same as those of the PON system according to the first to fourth embodiments, detailed description will not be repeated here.
なお、本発明の第5の実施の形態では、OSU12が用いる復号化キーとONU202が用いる暗号化キーとが共通のキーであるPONシステムについて説明した。しかしながら、PONシステム301は、ONU202において用いられる暗号化キーに対応する復号化キーをOSU12が用いる構成であればよく、たとえばOSU12が用いる復号化キーとONU202が用いる暗号化キーとが異なっていてもよい。
In the fifth embodiment of the present invention, the PON system in which the decryption key used by the
上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。 The above embodiment should be considered as illustrative in all points and not restrictive. The scope of the present invention is defined by the terms of the claims, rather than the description above, and is intended to include any modifications within the scope and meaning equivalent to the terms of the claims.
11 全体制御部
12,12−1〜12−N+1 光回線ユニット(OSU)
13 集線部
14 光スイッチ
20,40 復号部
21 PONポート
22 光受信処理部
23 バッファメモリ
24 送信処理部
25 UNIポート
26 受信処理部
27 バッファメモリ
28 光送信処理部
29 制御部
30,39 暗号部
31 集線IF部
32 制御IF部
33 受信処理部
34 送信処理部
35 PON送受信部
36 PON制御部
37,38 FIFO
51,151 復号器(復号化部)
52 記憶部
53,153 SCI選択部
54,154 キー選択部
55,155 アソシエーション番号抽出部(保護通信識別番号抽出部)
56 SCI抽出部
57 フレーム種別識別部
58 タグ変更検知部
61 フレーム種別識別部
62 記憶部
63,163 暗号器(暗号化部および通信信号構成部)
64 マルチプレクサ
65,165 キー選択部
66,166 SCI選択部
71,171 フレーム作成部
72,172 キー更新部(暗号化キー取得部)
73,173 SCI作成部
74,174 切り替え処理部
81,181 キー更新部(復号化キー取得部)
82,182 SCI作成部(チャネル情報更新部)
83,183 切り替え処理部(切り替え検知部)
84,184 MACアドレス更新部
85,175 制御フレーム処理部
101 局側装置(OLT)
202 宅側装置(ONU)
203−1〜203−N PON回線
204−1〜204−N 光カプラ
301 PONシステム
11
DESCRIPTION OF
51,151 Decoder (Decoding Unit)
52
56
64 Multiplexer 65,165 Key selection unit 66,166 SCI selection unit 71,171 Frame creation unit 72,172 Key update unit (encryption key acquisition unit)
73,173 SCI creation unit 74,174 switching processing unit 81,181 key update unit (decryption key acquisition unit)
82,182 SCI creation part (channel information update part)
83,183 Switching processing unit (switching detection unit)
84,184 MAC address update unit 85,175 Control
202 Home unit (ONU)
203-1 to 203-N PON line 204-1 to 204-N
Claims (27)
前記光回線ユニットは、暗号化キーを用いて暗号化した通信信号を前記宅側装置へ送信し、
前記宅側装置は、前記光回線ユニットから受信した暗号化された前記通信信号を、前記暗号化キーに対応する復号化キーを用いて復号し、
前記光回線ユニットおよび前記宅側装置は、運用系の前記光回線ユニットおよび待機系の前記光回線ユニット間の切り替えの後に用いるべき、前記暗号化キーである切り替え用暗号化キーおよび前記復号化キーである切り替え用復号化キーをそれぞれ予め取得する、通信システム。 A communication system comprising a home device and a redundant optical line unit for communicating with the home device,
The optical line unit transmits a communication signal encrypted using an encryption key to the home device,
The home side device decrypts the encrypted communication signal received from the optical line unit using a decryption key corresponding to the encryption key,
The switching key and the decryption key, which are the encryption keys, should be used after switching between the optical line unit in the active system and the optical line unit in the standby system. A communication system in which each of the switching decryption keys is acquired in advance.
運用系の前記光回線ユニットは、待機系の前記光回線ユニットから自己への切り替えの後に用いるべき第2の切り替え用暗号化キーを予め取得し、
前記宅側装置は、前記第1の切り替え用暗号化キーおよび前記第2の切り替え用暗号化キーにそれぞれ対応する前記復号化キーを予め取得する、請求項1に記載の通信システム。 The standby optical line unit obtains in advance a first switching encryption key to be used after switching from the active optical line unit to itself,
The active optical line unit acquires in advance a second switching encryption key to be used after switching from the standby optical line unit to itself,
2. The communication system according to claim 1, wherein the home-side apparatus acquires in advance the decryption keys corresponding to the first switching encryption key and the second switching encryption key, respectively.
運用系の前記光回線ユニットおよび待機系の前記光回線ユニット間の切り替えが行なわれると、切り替え先の前記光回線ユニットは、前記切り替え用暗号化キーに対応する前記保護通信識別番号を含む前記通信信号を前記宅側装置へ送信し、
前記宅側装置は、前記光回線ユニットから受信した前記通信信号に含まれる前記保護通信識別番号を抽出し、抽出した前記保護通信識別番号に対応する前記復号化キーである前記切り替え用復号化キーを前記通信信号の復号に用いる、請求項1または請求項2に記載の通信システム。 The optical line unit and the home side device associate a protection communication identification number with the encryption key and the decryption key, respectively.
When switching between the active optical line unit and the standby optical line unit is performed, the switch-destination optical line unit includes the protected communication identification number corresponding to the switching encryption key. Send a signal to the home device,
The home-side apparatus extracts the protection communication identification number included in the communication signal received from the optical line unit, and the switching decryption key which is the decryption key corresponding to the extracted protection communication identification number The communication system according to claim 1, wherein the communication signal is used for decoding the communication signal.
前記宅側装置は、前記通信信号を暗号化した前記光回線ユニットの識別情報および自己の識別情報に基づくチャネル情報、ならびに前記復号化キーを用いて前記通信信号を復号し、
前記宅側装置は、運用系の前記光回線ユニットおよび待機系の前記光回線ユニット間の切り替えの後に用いるべき前記チャネル情報を予め取得する、請求項1から請求項3のいずれか1項に記載の通信システム。 The optical line unit encrypts the communication signal using its identification information and channel information based on the identification information of the home device to which the communication signal is transmitted, and the encryption key,
The home-side apparatus decrypts the communication signal using the channel information based on the identification information of the optical line unit and the identification information of the optical line unit that has encrypted the communication signal, and the decryption key,
The said home side apparatus acquires the said channel information which should be used after switching between the said optical line unit of an active system, and the said optical line unit of a standby system in any one of Claims 1-3. Communication system.
前記宅側装置は、前記通信信号を暗号化した前記光回線ユニットの識別情報および自己の識別情報に基づくチャネル情報、ならびに前記復号化キーを用いて前記通信信号を復号し、
前記宅側装置は、前記光回線ユニットからの制御信号に含まれる送信元の識別情報を監視し、前記識別情報が変化した場合、変化後の前記識別情報に基づいて前記チャネル情報を更新する、請求項1から請求項3のいずれか1項に記載の通信システム。 The optical line unit encrypts the communication signal using its identification information and channel information based on the identification information of the home device to which the communication signal is transmitted, and the encryption key,
The home-side apparatus decrypts the communication signal using the channel information based on the identification information of the optical line unit and the identification information of the optical line unit that has encrypted the communication signal, and the decryption key,
The home-side apparatus monitors transmission source identification information included in a control signal from the optical line unit, and when the identification information changes, updates the channel information based on the changed identification information. The communication system according to any one of claims 1 to 3.
前記通信信号は、前記チャネル情報を含む場合と含まない場合とがあり、
前記光回線ユニットは、前記切り替えが行なわれるタイミングに従い、前記チャネル情報を含まない前記通信信号が前記宅側装置へ送信される状態および前記チャネル情報を含む前記通信信号が前記宅側装置へ送信される状態間の遷移を実行し、
前記宅側装置は、前記光回線ユニットから受信する前記通信信号の、前記チャネル情報を含まない状態および前記チャネル情報を含む状態間の遷移を、前記切り替えの発生として検知する、請求項1から請求項5のいずれか1項に記載の通信システム。 The home-side apparatus decrypts the communication signal using the channel information based on the identification information of the optical line unit and the identification information of the optical line unit that has encrypted the communication signal, and the decryption key,
The communication signal may or may not include the channel information,
The optical line unit transmits a state in which the communication signal not including the channel information is transmitted to the home device and a communication signal including the channel information are transmitted to the home device in accordance with the timing at which the switching is performed. Perform transitions between states,
The said home side apparatus detects the transition between the state which does not include the said channel information, and the state which includes the said channel information of the said communication signal received from the said optical line unit as generation | occurrence | production of the said switching. 6. The communication system according to any one of items 5.
前記宅側装置は、前記光回線ユニットからの前記通信信号に含まれる前記チャネル情報を監視し、前記チャネル情報の変化を前記切り替えの発生として検知する、請求項1から請求項10のいずれか1項に記載の通信システム。 The home-side apparatus decrypts the communication signal using the channel information based on the identification information of the optical line unit and the identification information of the optical line unit that has encrypted the communication signal, and the decryption key,
The said home side apparatus monitors the said channel information contained in the said communication signal from the said optical line unit, and detects the change of the said channel information as generation | occurrence | production of the said switching, The any one of Claim 1-10 The communication system according to item.
前記宅側装置は、前記光回線ユニットからの時刻情報と自己の時刻情報との差に基づいて、前記切り替えの発生を検知する、請求項1から請求項11のいずれか1項に記載の通信システム。 The home side device operates according to time information, adjusts its own time information based on time information included in a control signal from the optical line unit,
The communication according to any one of claims 1 to 11, wherein the home side device detects the occurrence of the switching based on a difference between time information from the optical line unit and its own time information. system.
前記光回線ユニットから受信した暗号化された通信信号を、復号化キーを用いて復号するための復号化部と、
運用系の前記光回線ユニットおよび待機系の前記光回線ユニット間の切り替えの後に用いるべき前記復号化キーである切り替え用復号化キーを予め取得するための復号化キー取得部とを備える、宅側制御部。 A home-side control unit used in a home-side device for communicating with a redundant optical line unit,
A decryption unit for decrypting an encrypted communication signal received from the optical line unit using a decryption key;
A home side comprising: a decryption key obtaining unit for obtaining in advance a switching decryption key that is the decryption key to be used after switching between the optical line unit in the active system and the optical line unit in the standby system Control unit.
前記光回線ユニットから受信した暗号化された通信信号を、復号化キーを用いて復号するための復号化部と、
運用系の前記光回線ユニットおよび待機系の前記光回線ユニット間の切り替えの前に用いる前記復号化キーである通常用復号化キー、および前記切り替えの後に用いるべき前記復号化キーである切り替え用復号化キーを記憶するための記憶部とを備える、宅側制御部。 A home-side control unit used in a home-side device for communicating with a redundant optical line unit,
A decryption unit for decrypting an encrypted communication signal received from the optical line unit using a decryption key;
The normal decryption key, which is the decryption key used before switching between the active optical line unit and the standby optical line unit, and the switching decryption, which is the decryption key to be used after the switching A home-side control unit comprising: a storage unit for storing the activation key.
前記宅側装置へ送信すべき通信信号を、暗号化キーを用いて暗号化するための暗号化部と、
運用系の前記光回線ユニットおよび待機系の前記光回線ユニット間の切り替えの後に用いるべき前記暗号化キーである切り替え用暗号化キーを予め取得するための暗号化キー取得部とを備える、局側制御部。 A station-side control unit used in a redundant optical line unit for communicating with a home-side device,
An encryption unit for encrypting a communication signal to be transmitted to the home device using an encryption key;
An encryption key acquisition unit for acquiring in advance an encryption key for switching that is the encryption key to be used after switching between the optical line unit of the active system and the optical line unit of the standby system, Control unit.
前記宅側装置へ送信すべき通信信号を、暗号化キーを用いて暗号化するための暗号化部と、
運用系の前記光回線ユニットおよび待機系の前記光回線ユニット間の切り替えの前に用いる前記暗号化キーである通常用暗号化キー、および前記切り替えの後に用いるべき前記暗号化キーである切り替え用暗号化キーを記憶するための記憶部とを備える、局側制御部。 A station-side control unit used in a redundant optical line unit for communicating with a home-side device,
An encryption unit for encrypting a communication signal to be transmitted to the home device using an encryption key;
A normal encryption key that is the encryption key used before switching between the optical line unit of the active system and the optical line unit of the standby system, and a switching cipher that is the encryption key to be used after the switching A station-side control unit comprising: a storage unit for storing the activation key.
前記光回線ユニットおよび前記宅側装置が、運用系の前記光回線ユニットおよび待機系の前記光回線ユニット間の切り替えの後に用いるべき、暗号化キーである切り替え用暗号化キーおよび前記暗号化キーに対応する復号化キーである切り替え用復号化キーをそれぞれ予め取得するステップと、
前記切り替えの後、前記光回線ユニットが、取得した前記切り替え用暗号化キーを用いて暗号化した通信信号を前記宅側装置へ送信するステップと、
前記切り替えの後、前記宅側装置が、前記光回線ユニットから受信した暗号化された前記通信信号を、取得した前記切り替え用復号化キーを用いて復号するステップとを含む、通信制御方法。 A communication control method in a communication system including a home side device and a redundant optical line unit for communicating with the home side device,
The optical line unit and the home-side apparatus use an encryption key for switching, which is an encryption key, and the encryption key to be used after switching between the optical line unit in the active system and the optical line unit in the standby system. Obtaining a switching decryption key that is a corresponding decryption key in advance,
After the switching, the optical line unit transmits a communication signal encrypted using the acquired switching encryption key to the home side device;
A communication control method, comprising: after the switching, the home-side apparatus decrypts the encrypted communication signal received from the optical line unit using the acquired switching decryption key.
前記宅側装置は、暗号化キーを用いて暗号化した通信信号を前記光回線ユニットへ送信し、
前記光回線ユニットは、前記宅側装置から受信した暗号化された前記通信信号を、前記暗号化キーに対応する復号化キーを用いて復号し、
前記宅側装置および前記光回線ユニットは、運用系の前記光回線ユニットおよび待機系の前記光回線ユニット間の切り替えの後に用いるべき、前記暗号化キーである切り替え用暗号化キーおよび前記復号化キーである切り替え用復号化キーをそれぞれ予め取得する、通信システム。 A communication system comprising a home device and a redundant optical line unit for communicating with the home device,
The home device transmits a communication signal encrypted using an encryption key to the optical line unit,
The optical line unit decrypts the encrypted communication signal received from the home device using a decryption key corresponding to the encryption key,
The home side apparatus and the optical line unit are the encryption key for switching and the decryption key to be used after switching between the optical line unit for the active system and the optical line unit for the standby system. A communication system in which each of the switching decryption keys is acquired in advance.
運用系の前記光回線ユニットは、待機系の前記光回線ユニットから自己への切り替えの後に用いるべき第2の切り替え用復号化キーを予め取得し、
前記宅側装置は、前記第1の切り替え用復号化キーおよび前記第2の切り替え用復号化キーにそれぞれ対応する前記暗号化キーを予め取得する、請求項19に記載の通信システム。 The standby optical line unit acquires in advance a first switching decryption key to be used after switching from the active optical line unit to itself,
The active optical line unit acquires in advance a second switching decryption key to be used after switching from the standby optical line unit to itself.
The communication system according to claim 19, wherein the home-side device acquires the encryption keys corresponding to the first switching decryption key and the second switching decryption key in advance.
運用系の前記光回線ユニットおよび待機系の前記光回線ユニット間の切り替えが行なわれると、宅側装置は、前記切り替え用暗号化キーに対応する前記保護通信識別番号を含む前記通信信号を切り替え先の前記光回線ユニットへ送信し、
切り替え先の前記光回線ユニットは、前記宅側装置から受信した前記通信信号に含まれる前記保護通信識別番号を抽出し、抽出した前記保護通信識別番号に対応する前記復号化キーである前記切り替え用復号化キーを前記通信信号の復号に用いる、請求項19または請求項20に記載の通信システム。 The optical line unit and the home side device associate a protection communication identification number with the decryption key and the encryption key, respectively.
When switching between the active optical line unit and the standby optical line unit is performed, the home apparatus switches the communication signal including the protection communication identification number corresponding to the switching encryption key to the switching destination. To the optical line unit of
The switching-destination optical line unit extracts the protection communication identification number included in the communication signal received from the home-side device, and is the decryption key corresponding to the extracted protection communication identification number. The communication system according to claim 19 or 20, wherein a decryption key is used for decrypting the communication signal.
前記光回線ユニットは、前記通信信号を暗号化した前記宅側装置の識別情報および自己の識別情報に基づくチャネル情報、ならびに前記復号化キーを用いて前記通信信号を復号し、
前記光回線ユニットは、運用系の前記光回線ユニットおよび待機系の前記光回線ユニット間の切り替えの後に用いるべき前記チャネル情報を予め取得する、請求項19から請求項21のいずれか1項に記載の通信システム。 The home-side device encrypts the communication signal using channel information based on the identification information of itself and the identification information of the optical line unit to which the communication signal is transmitted, and the encryption key,
The optical line unit decrypts the communication signal using channel information based on the identification information of the home-side device and the identification information of the home device that has encrypted the communication signal, and the decryption key,
The said optical line unit acquires the said channel information which should be used after switching between the said optical line unit of an active system, and the said optical line unit of a standby system in any one of Claims 19-21. Communication system.
前記宅側装置から受信した暗号化された通信信号を、復号化キーを用いて復号するための復号化部と、
運用系の前記光回線ユニットおよび待機系の前記光回線ユニット間の切り替えの後に用いるべき前記復号化キーである切り替え用復号化キーを予め取得するための復号化キー取得部とを備える、局側制御部。 A station-side control unit used in a redundant optical line unit for communicating with a home-side device,
A decryption unit for decrypting an encrypted communication signal received from the home-side device using a decryption key;
A station side comprising: a decryption key obtaining unit for obtaining in advance a switching decryption key that is the decryption key to be used after switching between the optical line unit in the active system and the optical line unit in the standby system Control unit.
前記宅側装置から受信した暗号化された通信信号を、復号化キーを用いて復号するための復号化部と、
運用系の前記光回線ユニットおよび待機系の前記光回線ユニット間の切り替えの前に用いる前記復号化キーである通常用復号化キー、および前記切り替えの後に用いるべき前記復号化キーである切り替え用復号化キーを記憶するための記憶部とを備える、局側制御部。 A station-side control unit used in a redundant optical line unit for communicating with a home-side device,
A decryption unit for decrypting an encrypted communication signal received from the home-side device using a decryption key;
The normal decryption key, which is the decryption key used before switching between the active optical line unit and the standby optical line unit, and the switching decryption, which is the decryption key to be used after the switching A station-side control unit comprising: a storage unit for storing the activation key.
前記光回線ユニットへ送信すべき通信信号を、暗号化キーを用いて暗号化するための暗号化部と、
運用系の前記光回線ユニットおよび待機系の前記光回線ユニット間の切り替えの後に用いるべき前記暗号化キーである切り替え用暗号化キーを予め取得するための暗号化キー取得部とを備える、宅側制御部。 A home-side control unit used in a home-side device for communicating with a redundant optical line unit,
An encryption unit for encrypting a communication signal to be transmitted to the optical line unit using an encryption key;
An encryption key acquisition unit for acquiring in advance a switching encryption key that is the encryption key to be used after switching between the active optical line unit and the standby optical line unit; Control unit.
前記光回線ユニットへ送信すべき通信信号を、暗号化キーを用いて暗号化するための暗号化部と、
運用系の前記光回線ユニットおよび待機系の前記光回線ユニット間の切り替えの前に用いる前記暗号化キーである通常用暗号化キー、および前記切り替えの後に用いるべき前記暗号化キーである切り替え用暗号化キーを記憶するための記憶部とを備える、宅側制御部。 A home-side control unit used in a home-side device for communicating with a redundant optical line unit,
An encryption unit for encrypting a communication signal to be transmitted to the optical line unit using an encryption key;
A normal encryption key that is the encryption key used before switching between the optical line unit of the active system and the optical line unit of the standby system, and a switching cipher that is the encryption key to be used after the switching A home-side control unit comprising: a storage unit for storing the activation key.
前記宅側装置および前記光回線ユニットが、運用系の前記光回線ユニットおよび待機系の前記光回線ユニット間の切り替えの後に用いるべき、暗号化キーである切り替え用暗号化キーおよび前記暗号化キーに対応する復号化キーである切り替え用復号化キーをそれぞれ予め取得するステップと、
前記切り替えの後、前記宅側装置が、取得した前記切り替え用暗号化キーを用いて暗号化した通信信号を前記光回線ユニットへ送信するステップと、
前記切り替えの後、前記光回線ユニットが、前記宅側装置から受信した暗号化された前記通信信号を、取得した前記切り替え用復号化キーを用いて復号するステップとを含む、通信制御方法。 A communication control method in a communication system including a home side device and a redundant optical line unit for communicating with the home side device,
The home-side apparatus and the optical line unit may use an encryption key for switching, which is an encryption key, and the encryption key to be used after switching between the optical line unit in the active system and the optical line unit in the standby system. Obtaining a switching decryption key that is a corresponding decryption key in advance,
After the switching, the home-side device transmits a communication signal encrypted using the acquired switching encryption key to the optical line unit;
A communication control method comprising: after the switching, the optical line unit decrypts the encrypted communication signal received from the home-side device using the acquired switching decryption key.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012177560A JP2014036386A (en) | 2012-08-09 | 2012-08-09 | Communication system, station-side control unit, terminal-side control unit, and communication control method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012177560A JP2014036386A (en) | 2012-08-09 | 2012-08-09 | Communication system, station-side control unit, terminal-side control unit, and communication control method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2014036386A true JP2014036386A (en) | 2014-02-24 |
Family
ID=50285100
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012177560A Pending JP2014036386A (en) | 2012-08-09 | 2012-08-09 | Communication system, station-side control unit, terminal-side control unit, and communication control method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2014036386A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017135461A (en) * | 2016-01-25 | 2017-08-03 | 三菱電機株式会社 | Subscriber terminating device, station side terminating device, optical signal transmitting device and communication system |
JP2021503191A (en) * | 2018-10-01 | 2021-02-04 | コリア ウォーター リソーシ コーポレーションKorea Water Resources Corporation | L2 switch for network security and remote monitoring control system using it |
-
2012
- 2012-08-09 JP JP2012177560A patent/JP2014036386A/en active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017135461A (en) * | 2016-01-25 | 2017-08-03 | 三菱電機株式会社 | Subscriber terminating device, station side terminating device, optical signal transmitting device and communication system |
JP2021503191A (en) * | 2018-10-01 | 2021-02-04 | コリア ウォーター リソーシ コーポレーションKorea Water Resources Corporation | L2 switch for network security and remote monitoring control system using it |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101370272B1 (en) | Optical network terminal management control interface-based passive optical network security enhancement | |
US9838363B2 (en) | Authentication and initial key exchange in ethernet passive optical network over coaxial network | |
KR100523357B1 (en) | Key management device and method for providing security service in epon | |
US8280055B2 (en) | Optical network system and method of changing encryption keys | |
US20020110245A1 (en) | Method and system for synchronizing security keys in a point-to-multipoint passive optical network | |
WO2007135858A1 (en) | Optical communication system, station side device, and subscriber side device | |
EP2768160A1 (en) | Method and apparatus for processing uplink data abnormity | |
CN102104478A (en) | Method and device for improving safety of EPON system | |
JPWO2005112336A1 (en) | PON system with encryption function and encryption method for PON system | |
JP2015088815A (en) | Customer home side device, pon system and control method for customer premise side device | |
JP4685659B2 (en) | Station side device, subscriber side device and PON system | |
JP2017135461A (en) | Subscriber terminating device, station side terminating device, optical signal transmitting device and communication system | |
US20160261363A1 (en) | Optical reception apparatus, optical transmission apparatus, optical communication system, optical communication method, and storage medium storing program | |
JP4739419B2 (en) | Method and apparatus for controlling security channel in Ethernet Pong | |
JP2014036386A (en) | Communication system, station-side control unit, terminal-side control unit, and communication control method | |
JP2013197690A (en) | Pon system, onu and olt | |
JP2014131264A (en) | Switching detection device, house side device, optical line encryption device, station side device, optical communication system, switching detection method, and program | |
WO2012136089A1 (en) | Loop detection method and system for passive optical network | |
JP5932627B2 (en) | PON system, controller, OSU and ONU | |
JP5368519B2 (en) | Optical line termination device and key switching method | |
JP2015133610A (en) | Station side device, pon system and control method of station side device | |
CN101388765B (en) | Ciphering mode switching method for G bit passive optical fiber network system | |
JP5941024B2 (en) | Optical transmission system, subscriber termination device, and optical signal transmission device | |
CN103516515A (en) | Encryption/decryption seamless switch achieving method, OLT and ONU in GPON system | |
JP5988814B2 (en) | Communication device, slave station device, control device, communication system, and communication control method |