JP2015126320A - Communication system, transmitter, receiver and data transmission method for communication system - Google Patents
Communication system, transmitter, receiver and data transmission method for communication system Download PDFInfo
- Publication number
- JP2015126320A JP2015126320A JP2013268577A JP2013268577A JP2015126320A JP 2015126320 A JP2015126320 A JP 2015126320A JP 2013268577 A JP2013268577 A JP 2013268577A JP 2013268577 A JP2013268577 A JP 2013268577A JP 2015126320 A JP2015126320 A JP 2015126320A
- Authority
- JP
- Japan
- Prior art keywords
- data
- unit
- communication device
- encryption
- onu
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
Description
本発明は、通信システム、送信装置、受信装置および通信システムのデータ伝送方法に関する。 The present invention relates to a communication system, a transmission device, a reception device, and a data transmission method of the communication system.
例えば、PON(Passive Optical Network)システムは、室内で使用されるスマートホンおよびタブレット型端末等の携帯端末装置、あるいは室内に設置されるコンピュータ装置等をネットワークと接続するために用いられる。PONシステムでは、各室内に配置されるONU(Optical Network Unit)と、局側に配置されるOLT(Optical Line Terminal)とが光回線で接続される。 For example, a PON (Passive Optical Network) system is used to connect a mobile terminal device such as a smart phone and a tablet terminal used indoors or a computer device installed indoors to a network. In the PON system, an ONU (Optical Network Unit) arranged in each room and an OLT (Optical Line Terminal) arranged on the station side are connected by an optical line.
例えば、OLTから1つのONUにデータを送信する場合、OLTは、データを格納したフレームをブロードキャストで全てのONUに送信してしまうため、データを暗号化してデータの秘匿性を保持する技術が提案されている(特許文献1等参照)。
For example, when transmitting data from the OLT to one ONU, the OLT transmits a frame storing the data to all the ONUs by broadcast. Therefore, a technique for encrypting the data and maintaining the confidentiality of the data is proposed. (See
しかしながら、従来技術では、暗号化に用いた暗号鍵等を示す情報を暗号化したデータとともにフレームに付加するため、フレームに格納できるデータ量が暗号化のために付加する情報の分だけ減少し、データ伝送のスループットの低下を招くという問題がある。 However, in the prior art, since the information indicating the encryption key used for encryption is added to the frame together with the encrypted data, the amount of data that can be stored in the frame is reduced by the amount of information added for encryption, There is a problem that the throughput of data transmission is reduced.
本件開示の通信システム、送信装置、受信装置および通信システムのデータ伝送方法は、従来と比べてデータ伝送のスループットを向上させることができることを目的とする。 It is an object of the communication system, the transmission device, the reception device, and the data transmission method of the communication system disclosed in the present disclosure to be able to improve the data transmission throughput as compared with the related art.
一つの観点の通信システムは、第1通信装置と、第1通信装置との間でデータ伝送する第2通信装置と、を有し、第1通信装置は、第2通信装置との間で交換した暗号化の設定を示す第1情報に基づいて、第2通信装置に送信するデータを暗号化する暗号化部と、第1情報を付加せずに暗号化したデータを第2通信装置に送信する制御部と、を有し、第2通信装置は、第1通信装置からのデータを受信する受信部と、第1情報に基づいて、第1通信装置から受信したデータを復号する復号化部と、を有する。 A communication system according to one aspect includes a first communication device and a second communication device that transmits data between the first communication device, and the first communication device is exchanged with the second communication device. Based on the first information indicating the encryption setting, the encryption unit for encrypting the data to be transmitted to the second communication device, and the encrypted data without adding the first information are transmitted to the second communication device. The second communication device receives the data from the first communication device, and the decoding unit decodes the data received from the first communication device based on the first information. And having.
別の観点の送信装置は、データを受信する受信装置との間で交換した暗号化の設定を示す第1情報に基づいて、受信装置に送信するデータを暗号化する暗号化部と、第1情報を付加せずに暗号化したデータを受信装置に送信する制御部と、を有する。 According to another aspect, a transmission device includes: an encryption unit that encrypts data to be transmitted to a reception device based on first information indicating encryption settings exchanged with the reception device that receives data; And a control unit that transmits the encrypted data to the receiving device without adding information.
別の観点の受信装置は、データを送信する送信装置から受信する受信部と、送信装置との間で交換した暗号化の設定を示す第1情報に基づいて、受信部で受信され、第1情報が付加されていない暗号化されたデータを復号する復号化部と、を有する。 A receiving device according to another aspect is received by a receiving unit based on first information indicating a setting of encryption exchanged between a receiving unit that receives data from a transmitting device that transmits data and the transmitting device. A decryption unit that decrypts encrypted data to which no information is added.
別の観点の通信システムのデータ伝送方法は、第1通信装置と第1通信装置との間でデータ伝送する第2通信装置とを備える通信システムのデータ伝送方法であって、第2通信装置との間で交換した暗号化の設定を示す第1情報に基づいて第2通信装置に送信するデータを第1通信装置により暗号化し、第1情報を付加せずに暗号化したデータを第2通信装置に第1通信装置により送信し、第1情報に基づいて、第1通信装置から受信したデータを第2通信装置により復号する。 A data transmission method for a communication system according to another aspect is a data transmission method for a communication system including a first communication device and a second communication device that transmits data between the first communication device and the second communication device. The data transmitted to the second communication device is encrypted by the first communication device based on the first information indicating the encryption setting exchanged between the first communication device, and the encrypted data without adding the first information is transmitted to the second communication device. The data is transmitted to the apparatus by the first communication apparatus, and the data received from the first communication apparatus is decoded by the second communication apparatus based on the first information.
本件開示の通信システム、送信装置、受信装置および通信システムのデータ伝送方法は、従来と比べてデータ伝送のスループットを向上させることができる。 The communication system, the transmission device, the reception device, and the data transmission method of the communication system disclosed herein can improve the data transmission throughput as compared with the conventional one.
以下、図面を用いて実施形態について説明する。 Hereinafter, embodiments will be described with reference to the drawings.
図1は、通信システム、送信装置および受信装置の一実施形態を示す。 FIG. 1 shows an embodiment of a communication system, a transmission device, and a reception device.
図1に示す通信システム100は、例えば、OLT10、ONU20、OLT10とONU20とを接続する光ファイバ等の伝送路30を有するEPON(Ethernet(登録商標)Passive Optical Network)システムである。また、通信システム100において、OLT10は、有線または無線でネットワーク50に接続され、ONU20は、有線または無線でユーザ端末40に接続される。なお、OLT10は、第1通信装置または送信装置の一例を示し、ONU20は、第2通信装置または受信装置の一例を示す。また、以下では、ネットワーク50からユーザ端末40にデータが伝送される例が説明されるが、ユーザ端末40からネットワーク50にデータが伝送されてもよい。
A
ユーザ端末40は、例えば、パーソナルコンピュータ等のコンピュータ装置、またはスマートホン、タブレット型端末等の携帯端末装置である。
The
OLT10は、例えば、プロセッサ等の制御部11を含み、例えば、制御部11は、プログラムを実行することで、暗号化部12として動作する。
The OLT 10 includes, for example, a control unit 11 such as a processor. For example, the control unit 11 operates as the
暗号化部12は、例えば、ONU20との間で交換された暗号化の設定を示す情報に基づいて、ネットワーク50から受信したデータを暗号化する。暗号化部12の動作および暗号化の設定を示す情報については、図2および図3で説明する。
For example, the
また、制御部11は、例えば、プログラム等を実行することで、ネットワーク50からデータを受信し、受信したデータが格納されるフレームを生成する。制御部11は、伝送路30を介して、生成したフレームをONU20に送信する。なお、制御部11が実行するプログラムは、例えば、OLT10に含まれるEEPROM(Electrically Erasable Programmable Read-Only Memory)等の記憶部に予め記憶される。
For example, the control unit 11 executes data such as a program to receive data from the
ONU20は、例えば、受信部21およびプロセッサ等の制御部22を含む。
The ONU 20 includes, for example, a
受信部21は、例えば、OLT10から送信されたフレームを受信する。
For example, the
制御部22は、例えば、プログラム等を実行することで、復号化部23として動作する。
The
復号化部23は、例えば、OLT10との間で交換された暗号化の設定を示す情報に基づいて、受信したフレームに格納されるデータを復号する。制御部22は、復号されたデータをユーザ端末40に送信する。復号化部23の動作については、図2および図3で説明する。なお、制御部22が実行するプログラムは、例えば、ONU20に含まれるEEPROM等の記憶部に予め記憶される。
For example, the
ここで、通信システム100におけるフレームについて、IEEE802.3ahに準拠した暗号化されたデータが格納されたフレームとの比較に基づいて説明する。なお、IEEEは、The Institute of Electrical and Electronics Engineers, Inc.の略である。
Here, a frame in the
図2は、IEEE802.3ahに準拠した暗号化されたデータが格納されるフレーム60を比較例として示す。フレーム60は、プリアンブル61、DA(Destination Address)62、SA(Source Address)63、SecTag(Secure Tag)64およびDATA65の格納領域を有する。さらに、フレーム60は、ICV(Integrity Check Value)66およびFCS(Frame Check Sequence)67の格納領域を有する。プリアンブル61の格納領域には、IEEE802.3ahにおいて規定するEPONに応じたフレーム60の開始を示す所定のパターンのビット列が格納される。DA62の格納領域には、データの宛先である装置のMAC(Media Access Control)アドレスが格納され、SA63の格納領域には、データの送信元である装置のMACアドレスが格納される。
FIG. 2 shows, as a comparative example, a
SecTag64の格納領域には、IEEE802.3ahにて規定されるMACsec(MAC Security)方式の暗号化処理における設定を示す情報が格納される。DATA65の格納領域には、暗号化されたデータが格納される。ICV66の格納領域には、データに対する暗号化処理の正常性を示す情報が格納される。FCS67の格納領域には、フレームが伝送路30を伝送中に生じたデータの誤り検出および訂正を行うための符号が格納される。
In the storage area of SecTag 64, information indicating settings in the encryption processing of the MACsec (MAC Security) method defined in IEEE 802.3ah is stored. In the storage area of
また、SecTag64は、図2に示すように、MET(MACsec Ether Type)70およびTCI(Tag Control Information)71およびAN(Association Channel)72の格納領域を有する。さらに、SecTag64は、SL(Short Length)73、PN(Packet Number)74およびSCI(Secure Channel Identifier)75の格納領域を有する。MET70の格納領域には、暗号化方式としてMACsecが使用されていることを示す情報が格納される。例えば、MET70の格納領域には、IEEE802.3AEで規格された16進数の値“0x88e5”が格納される。TCI71の格納領域には、MACsecのバージョン、オプションのSCI75や暗号化の有無等を示す、通信方式に応じて予め決められた所定の情報が格納される。
As shown in FIG. 2, the SecTag 64 has storage areas for a MET (MACsec Ether Type) 70, a TCI (Tag Control Information) 71, and an AN (Association Channel) 72. Further, the
AN72の格納領域には、例えば、最大4つのSecure Associationを有する同一のSC(Secure Channel)の中でのSecure Associationを識別する番号を格納する。ここで、Secure Associationとは、通信を始める前に暗号化方式や暗号鍵等の情報を交換し、安全な通信路を確立することを示す。例えば、暗号化部12は、AN72の格納領域に格納された番号に対応するSecure Associationで確立された通信路を介してONU20との間で交換された暗号鍵を用い、OLT10がネットワーク50から受信したデータを暗号化する。また、ONU20の復号化部23は、交換された暗号鍵を用い、OLT10から受信した暗号化されたデータを復号する。
In the storage area of the
SL73の格納領域には、暗号化されたデータの長さを示す情報が格納される。PN74の格納領域には、同一のSecure Associationで確立された通信路で送信されたフレームを識別する番号が格納される。SCI75は、フレームが属しているチャンネルの情報が格納される。なお、SCI75は、オプションであることから省略されてもよい。
Information indicating the length of the encrypted data is stored in the storage area of the
図3は、図1に示した通信システム100のフレーム80の例を示す。なお、フレーム80の各要素のうち、図2に示したフレーム60の要素と同一または同様の機能を有するものについては、同一の符号を付し説明を省略する。
FIG. 3 shows an example of the
フレーム80は、プリアンブル61、DA62、SA63、DATA65、ICV66およびFCS67の格納領域を有する。すなわち、OLT10が生成するフレーム80には、SecTag64の格納領域が付加されない。SecTag64に含まれるMET70、TCI71、AN72、SL73、PN74およびSCI75の暗号化の設定を示す情報は、OLT10およびONU20に含まれるEEPROM等の記憶部に記憶される。
The
例えば、ONU20は、新たに伝送路30に接続された場合、OLT10から定期的に伝送路30に出力される新たに接続されたONUを検出するDiscovery Gateフレームを受信する。ONU20は、受信したDiscovery Gateフレームに対して、接続を要求するRegister RequestフレームをOLT10に送信する。例えば、OLT10は、ONU20からRegister Requestフレームを受信すると、ONU20との間の通信経路であるロジカルリンクを設定する。OLT10は、設定したONU20のロジカルリンクの識別子を格納したRegisterフレームをONU20に送信し、ONU20からRegister ACK(Acknowledgement)フレームを受信したら、ONU20との通信を確立する。そして、OLT10は、例えば、4つのSecure Associationの通信路それぞれにおける暗号鍵と、MET70、TCI71、AN72、SL73、PN74およびSCI75の設定の情報とを、ONU20との間で交換する。OLT10は、交換した4つの暗号鍵と、MET70、TCI71、AN72、SL73、PN74およびSCI75の設定の情報とをOLT10内の記憶部に記憶する。また、ONU20は、交換した4つの暗号鍵と、MET70、TCI71、AN72、SL73、PN74およびSCI75の設定の情報とをONU20内の記憶部に記憶する。
For example, when the ONU 20 is newly connected to the
図4は、図1に示した通信システム100における伝送処理の例を示す。ステップS10からステップS13は、OLT10の制御部11がプログラムを実行することにより実行される。また、ステップS20からステップS22は、ONU20の制御部22がプログラムを実行することにより実行される。すなわち、図4は、伝送方法の一実施形態を示す。なお、図4に示す処理は、OLT10およびONU20に搭載されるハードウェアにより実行されてもよい。この場合、図1に示した制御部11、暗号化部12、受信部21、制御部22および復号化部23は、OLT10およびONU20内に配置される回路により実現される。
FIG. 4 shows an example of transmission processing in the
ステップS10において、制御部11は、図1で説明したように、ネットワーク50からデータを受信する。
In step S10, the control unit 11 receives data from the
次に、ステップS11において、暗号化部12は、図1から図3で説明したように、ONU20との間で交換された暗号化の設定を示す情報に基づいて、受信したデータを暗号化する。
Next, in step S11, the
次に、ステップS12において、制御部11は、図3において説明したように、暗号化の設定を示す情報を付加せずに暗号化されたデータをDATA65の格納領域に格納したフレーム80を生成する。例えば、暗号化部12は、EEPROM等の記憶部に記憶されたMET70、TCI71、AN72、SL73、PN74およびSCI75の情報と、AN72に格納された番号に対応する暗号鍵とを読み込む。暗号化部12は、例えば、IEEE802.3ahの規格に基づきDA62、SA63、MET70、TCI71、AN72、SL73、PN74およびSCI75の情報を用いAAD(Additional Authenticated Data)を算出する。また、暗号化部12は、例えば、IEEE802.3ahの規格に基づいて、読み込んだPN74およびSCI75の情報を用いIV(Initialization Vector)を算出する。暗号化部12は、読み込んだ暗号鍵と算出したAADおよびIVとを用いてGCM(Galois Counter Mode)演算を行い、データを暗号化する。また、暗号化部12は暗号化処理の完全性を示す値を算出する。
Next, in step S12, as described in FIG. 3, the control unit 11 generates a
次に、ステップS13において、制御部11は、生成したフレーム80をONU20に送信する。例えば、制御部11は、暗号化されたデータをDATA65の格納領域に、暗号化部12により算出された完全性を示す値をICV66の格納領域にそれぞれ格納してフレーム80を生成する。制御部11は、生成したフレーム80をONU20に送信する。
Next, in step S <b> 13, the control unit 11 transmits the generated
次に、ステップS20において、ONU20の受信部21は、図1において説明したように、OLT10より送信されたフレーム80を受信する。
Next, in step S20, the receiving
次に、ステップS21において、復号化部23は、図1から図3で説明したように、OLT10との間で交換された暗号化の設定を示す情報に基づいて、受信したフレーム80のDATA65の格納領域に格納されたデータを復号する。例えば、復号化部23は、EEPROM等の記憶部に記憶されたMET70、TCI71、AN72、SL73、PN74およびSCI75の情報と、AN72に格納された番号に対応する暗号鍵とを読み込む。復号化部23は、例えば、IEEE802.3ahの規格に基づいて、読み込んだMET70、TCI71、AN72、SL73、PN74およびSCI75と、受信したフレーム80のDA62およびSA63との情報からAADを算出する。また、復号化部23は、例えば、IEEE802.3ahの規格に基づいて、読み込んだPN74およびSCI75の情報からIVを算出する。復号化部23は、読み込んだ暗号鍵とともに算出したAADとIVとを用いてGCM演算を行い、受信したフレーム80のDATA65の格納領域に格納されたデータを復号する。
Next, in step S21, as described with reference to FIGS. 1 to 3, the
次に、ステップS22において、制御部22は、復号されたデータをユーザ端末40に送信する。例えば、制御部22は、復号化部23により算出された復号化処理における完全性を示す値と、受信したフレーム80のICV66の格納領域に格納された値とを比較する。制御部22は、2つの値が互いに一致する場合、復号化処理が正常に行われたと判定し、復号されたデータをユーザ端末40に送信する。一方、制御部22は、例えば、2つの値が一致せず、復号化処理が正常に行われなかったと判定し、フレーム80を破棄する。
Next, in step S <b> 22, the
そして、通信システム100による伝送処理は終了する。なお、図4に示したフローは、OLT10がネットワーク50からデータを受信する度に繰り返し実行される。
Then, the transmission process by the
以上、この実施形態では、暗号化部12は、ONU20との間で交換された暗号化の設定を示す情報に基づいて、ネットワーク50から受信したデータを暗号化する。制御部11は、暗号化の設定を示す情報を付加せずに暗号化されたデータのフレーム80を生成し、生成したフレーム80をONU20に送信する。復号化部23は、交換された暗号化の設定を示す情報に基づいて、受信したフレーム80のデータを復号する。これにより、通信システム100は、データの暗号化の設定を示す情報をフレーム80に付加せずにOLT10とONU20との間で予め交換することで、暗号化を示す情報を付加する場合と比べてフレーム80に格納できるデータの量を増やすことができる。そして、通信システム100は、データ伝送のスループットを向上させることができる。
As described above, in this embodiment, the
なお、交換されるMET70、TCI71、AN72、SL73、PN74およびSCI75の情報は、固定されてもよいし、OLT10とONU20との間でフレーム80が伝送されるごとに所定の手順で更新されてもよい。例えば、暗号化部12は、ネットワーク50から受信したデータを暗号化するごとに、OLT10におけるAN72の格納領域の番号を1つ増加または減少させてもよい。OLT10とONU20との間で暗号化の設定を示す情報を一致させるために、復号化部23は、例えば、受信したフレーム80のデータを復号するごとに、ONU20におけるAN72の格納領域の番号を1つ増加または減少させる。なお、暗号鍵は4つの0から3までの番号しかないことから、暗号化部12および復号化部23は、3の番号を1増加する場合にはAN72の格納領域に0の番号を格納し、0の番号に1減少する場合にはAN72の格納領域に3の番号を格納する。これにより、フレーム80が伝送されるごとに、暗号化部12および復号化部23で用いられる暗号鍵が変わることから、通信システム100におけるセキュリティの向上を図ることができる。
Note that the information of the
また、例えば、暗号化部12は、ネットワーク50から受信したデータを暗号化するごとに、OLT10におけるPN74の格納領域の値を1つ増加または減少させてもよい。OLT10とONU20との間で暗号化の設定を示す情報と一致させるために、復号化部23は、例えば、受信したフレーム80のデータを復号するごとに、ONU20におけるPN74の格納領域の番号を1つ増加または減少させる。これにより、フレーム80が伝送されるごとに、暗号化部12および復号化部23で用いられるフレーム番号が変わることから、通信システム100におけるセキュリティの向上を図ることができる。
Further, for example, every time the data received from the
図5は、通信システム、送信装置および受信装置の別実施形態を示す。図5に示す通信システム100の各要素において、図1に示した通信システム100の要素と同一または同様の機能を有するものについては、同一の符号を付し、詳細な説明は省略する。
FIG. 5 shows another embodiment of the communication system, the transmission device, and the reception device. 5 having the same or similar functions as those of the
通信システム100は、例えば、OLT110、N個のONU120(120(1)−120(N))、伝送路30および受動素子のスプリッタを用いて光信号を複数に分岐する光スプリッタ130を含む(Nは正の整数)。通信システム100は、有線または無線で、ネットワーク50とN個のユーザ端末140(140(1)−140(N))とに接続される。また、通信システム100では、OLT110とONU120との間で伝送されるフレームは、図3で示したフレーム80である。なお、通信システム100では、例えば、OLT110からONU120への下り方向の通信は、波長1.5マイクロメートルの光信号によるTDM(Time Division Multiplexing)方式で行われる。また、ONU120からOLT110への上り方向の通信は、例えば、波長1.3マイクロメートルの光信号によるTDMA(Time Division Multiple Access)方式で行われる。
The
ユーザ端末140は、図1に示したユーザ端末40と同様に、例えば、パーソナルコンピュータ等のコンピュータ装置、またはスマートホン、タブレット型端末等の携帯端末装置である。
The
図6は、図5に示したOLT110の一例を示す。OLT110は、CNI(Core Network Interface)111、制御部112、EPON側IF(Interface)部113および記憶部114を有する。
FIG. 6 shows an example of the
CNI111は、例えば、OLT110とネットワーク50との間でデータ伝送を行うインタフェースである。CNI111は、受信部の一例である。
The
例えば、制御部112は、EEPROM等の記憶部114に記憶されるプログラムを実行することで、OLT1の各部の動作を統括的に制御するプロセッサ等である。制御部112は、例えば、CNI111を介して受信したデータがOLT110宛のデータか否かを判定する。制御部112は、例えば、受信したデータに付加された宛先を示すMACアドレスがOLT110のMACアドレスと一致するか否かを判定し、一致する場合には受信したデータを取り込む。一方、制御部112は、宛先のMACアドレスがOLT110のMACアドレスと一致しない場合、受信したデータを破棄する。
For example, the
また、制御部112は、例えば、プログラムを実行することにより、キュー部115、暗号化部116、復号化部117およびキュー部118として動作する。
For example, the
キュー部115は、例えば、CNI111を介して、ネットワーク50から受信したデータに付加された、ONU120に転送する優先度を示すQoS(Quality of Service)の値を取得する。キュー部115は、記憶部114に含まれるRAM(Random Access Memory)等のうち、取得したQoSの値に応じて割り当てられた格納領域に受信したデータを格納する。また、キュー部115は、例えば、取得したQoSの値に基づいて、受信したデータをONU120に転送する順番を決定する。そして、キュー部115は、決定した順番に基づいて、記憶部114に格納されたデータを暗号化部116に転送する。
The
暗号化部116は、例えば、記憶部114に含まれるEEPROM等に記憶された暗号化の設定を示す情報に基づいて、キュー部115から転送されてきたデータを暗号化する。そして、制御部112は、暗号化されたデータがDATA65の格納領域に格納されるフレーム80を生成する。制御部112、PON側IF部113を介して、生成したフレーム80をブロードキャストでONU120に送信する。暗号化部116の動作については、図9で説明する。
For example, the
復号化部117は、例えば、記憶部114に記憶された暗号化の設定を示す情報に基づいて、EPON側IF部113を介しONU120から受信したフレーム80のDATA65の格納領域に格納された暗号化されたデータを復号する。復号化部117は、復号したデータをキュー部118に転送する。復号化部117の動作については、図10で説明する。
For example, the
キュー部118は、例えば、復号されたデータに付加されたネットワーク50に送信する優先度を示すQoSの値を取得する。キュー部118は、記憶部114に含まれるRAM等のうち、取得したQoSの値に応じて割り当てられた格納領域に受信したデータを格納する。そして、キュー部118は、取得したQoSの値に基づいて、受信したデータをネットワーク50に送信する順番を決定し、決定した順番に基づいて、CNI111を介し記憶部114に格納されたデータをネットワーク50に送信する。
The
EPON側IF部113は、ONU120(1)−ONU120(N)にTDM方式で光信号を送信し、ONU120(1)−ONU120(N)からのTDMA方式の光信号を受信するインタフェースである。また、EPON側IF部113は、各ONU120からのフレーム80の光信号を電気信号に、およびOLT110が送信するフレーム80の電気信号を光信号に変換する変換部を有する。
The EPON side IF
記憶部114は、例えば、EEPROM等とともにRAM等を含み、制御部112により実行されるプログラムを記憶する。また、記憶部114は、予め割り当てられた格納領域に、各ONU120との間で交換された暗号化の設定の情報を示す設定テーブル200,210を格納する。なお、設定テーブル200,210については、図8で説明する。
The storage unit 114 includes, for example, a RAM together with an EEPROM and the like, and stores a program executed by the
図7は、図5に示したONU120(1)の一例を示す。ONU120(1)は、EPON側IF121、制御部122、UNI(User Network Interface)123、およびEEPROMおよびRAM等を含む記憶部124を有する。なお、ONU120(2)−120(N)は、図7に示したONU120(1)と同様の機能を有する要素を含む。
FIG. 7 shows an example of the ONU 120 (1) shown in FIG. The ONU 120 (1) includes an EPON-side IF 121, a
EPON側IF部121は、OLT110からTDM方式で送信されたフレーム80の光信号を受信し、収容するユーザ端末140(1)からのデータを格納したフレーム80を光信号にしてTDMA方式でOLT110に送信するインタフェースである。EPON側IF部121は、OLT110に送信するフレーム80の電気信号を光信号に変換し、OLT110から受信するフレーム80の光信号を電気信号に変換する変換部を有する。
The EPON side IF
例えば、制御部122は、EEPROM等の記憶部124に記憶されるプログラムを実行することで、ONU120(1)の各部の動作を統括的に制御するプロセッサ等である。制御部122は、例えば、EPON側IF部121を介してOLT110から受信したフレーム80がONU120(1)宛か否かを判定する。すなわち、制御部122は、例えば、受信したフレーム80に付加されたDA62のMACアドレスがONU120(1)のMACアドレスと一致するか否かを判定し、一致する場合に受信したフレーム80を取り込む。一方、制御部122は、DA62のMACアドレスがONU120(1)のMACアドレスと一致しない場合、受信したフレーム80を破棄する。また、制御部122は、例えば、プログラムを実行することにより、復号化部125、キュー部126、キュー部127および暗号化部128として動作する。
For example, the
復号化部125は、記憶部124に記憶される暗号化の設定を示す情報に基づいて、受信したフレーム80のDATA65の格納領域に格納されたデータを復号する。復号化部125は、復号したデータをキュー部126に転送する。復号化部125の動作については、図9で説明する。
The
キュー部126は、例えば、記憶部124のうち、受信したフレーム80に付加されたQoSの値に応じて割り当てられた格納領域に、復号したデータを格納する。また、キュー部126は、取得したQoSの値に基づいて、復号されたデータをユーザ端末140(1)に転送する順番を決定する。そして、制御部122は、決定された順番に基づいて、UNI123を介して、復号されたデータをユーザ端末140(1)に送信する。
For example, the
キュー部127は、例えば、UNI123を介して、ユーザ端末140(1)から受信したデータに付加されたQoSの値に基づいて、記憶部124に割り当てられた格納領域に格納し、受信したデータを暗号化部128に転送する順番を決定する。キュー部127は、決定した順番に基づいて、記憶部124に格納されたデータを暗号化部128に転送する。
For example, the
暗号化部128は、記憶部124に記憶された暗号化の設定を示す情報に基づいて、キュー部127から転送されてきたデータを暗号化する。そして、制御部122は、暗号化されたデータをDATA65の格納領域に格納したフレーム80を生成し、EPON側IF部121を介して、生成したフレーム80をOLT110に送信する。暗号化部128の動作については、図10で説明する。
The
UNI123は、ユーザ端末140(1)と接続され、ユーザ端末140(1)との間でデータの伝送を行うインタフェースである。UNI123とユーザ端末140(1)とのデータの伝送は、UNI123にユーザ端末140(1)が最初に接続された際、ユーザ端末140(1)と制御部122との間での交信に基づいて設定されるリンク速度で行われる。なお、UNI23は、1つのユーザ端末140(1)と接続されるが、複数のユーザ端末140が接続されてもよい。
The
記憶部124は、例えば、EEPROM等とともにRAM等を含み、制御部122により実行されるプログラムを記憶する。また、記憶部124は、予め割り当てられた格納領域に、OLT110との間で交換された暗号化の設定の情報を格納する。
The storage unit 124 includes, for example, a RAM as well as an EEPROM and the like, and stores a program executed by the
図8は、図6に示した設定テーブル200,210の例を示す。設定テーブル200,210は、OLT110と各ONU120との間で交換された暗号化の設定を示す情報を格納する。図8(a)に示す設定テーブル200は、OLT110からONU120にフレーム80を伝送する際に用いられ、図8(b)に示す設定テーブル210は、ONU120からOLT110にフレーム80を伝送する際に用いられる。
FIG. 8 shows an example of the setting tables 200 and 210 shown in FIG. The setting tables 200 and 210 store information indicating encryption settings exchanged between the
設定テーブル200は、ネットワーク50から受信したデータの送信先であるONU120ごとに、暗号鍵と図2に示したSecTag64に含まれるMET70、TCI71、AN72、SL73、PN74およびSCI75との格納領域を有する。
The setting table 200 has a storage area for each
暗号鍵の格納領域には、例えば、OLT110と各ONU120との間で交換され、暗号化部116と復号化部125とで用いられる4つの暗号鍵K1j(0)−K1j(3)のデータが格納される(jは1からNの整数)。
In the encryption key storage area, for example, data of four encryption keys K1j (0) -K1j (3) exchanged between the
MET70の格納領域には、IEEE802.3AEで規格される16進数の値“0x88e5”が格納される。
In the storage area of the
TCI71の格納領域には、MACsecのバージョン、オプションのSCI75や暗号化の有無等を示す、EPONの通信方式に応じて予め決められた所定の情報α1jが格納される。
The storage area of the
AN72の格納領域には、4つのSecure Associationを有する同一のSCの中でのSecure Associationを識別する0から3のいずれかの番号が格納される。
In the storage area of the
SL73の格納領域には、暗号化されたデータの長さを示す情報β1jが格納される。 In the storage area of SL73, information β1j indicating the length of the encrypted data is stored.
PN74の格納領域には、同一のSecure Associationで確立された通信路で送信されたフレーム80を識別する番号が格納される。
In the storage area of the
SCI75の格納領域には、暗号化されたデータを含むフレーム80が属しているチャンネルの情報γ1jが格納される。なお、SCI75は、オプションであることから省略されてもよい。
In the storage area of the
設定テーブル210は、EPON側IF部113を介して受信したフレーム80の送信元であるONU120ごとに、暗号鍵、MET70、TCI71、AN72、SL73、PN74およびSCI75の格納領域を有する。
The setting table 210 has a storage area for the encryption key, MET70, TCI71, AN72, SL73, PN74, and SCI75 for each
暗号鍵の格納領域には、例えば、OLT110と各ONU120との間で交換され、復号化部117と復号化部128とで用いられる4つの暗号鍵K2j(0)−K2j(3)のデータが格納される。なお、設定テーブル210に格納される暗号鍵K2j(0)−K2j(3)は、設定テーブル200に格納される暗号鍵K1j(0)−K1j(3)と同じでもよいし異なってもよい。
In the encryption key storage area, for example, data of four encryption keys K2j (0) -K2j (3) exchanged between the
MET70の格納領域には、IEEE802.3AEで規格される16進数の値“0x88e5”が格納される。
In the storage area of the
TCI71の格納領域には、MACsecのバージョン、オプションのSCI75や暗号化の有無等を示す、EPONの通信方式に応じて予め決められた所定の情報α2jが格納される。なお、設定テーブル210に格納される情報α2jは、設定テーブル200に格納される情報α1jと同じでもよいし異なってもよい。
The storage area of the
AN72の格納領域には、4つのSecure Associationを有する同一のSCの中でのSecure Associationを識別する0から3のいずれかの番号が格納される。なお、設定テーブル210に格納される番号は、設定テーブル200に格納される番号と同じでもよいし異なってもよい。
In the storage area of the
SL73の格納領域には、暗号化されたデータの長さを示す情報β2jを格納する。 Information β2j indicating the length of the encrypted data is stored in the storage area of SL73.
PN74の格納領域には、同一のSecure Associationで確立された通信路で送信されたフレーム80を識別する番号が格納される。
In the storage area of the
SCI75の格納領域には、暗号化されたデータを含むフレームが属しているチャンネルの情報γ2jが格納される。なお、設定テーブル210に格納される情報γ2jは、設定テーブル200に格納される情報γ1jと同じでもよいし異なってもよい。また、SCI75は、オプションであることから省略されてもよい。
In the storage area of the
一方、各ONU120は、例えば、設定テーブル200,210における各ONU120の行に格納された暗号鍵およびMET70等の情報を、記憶部124に割り当てられた格納領域に格納する。
On the other hand, each
図9および図10は、図5に示した通信システム100における伝送処理の例を示す。図9は、図5に示したOLT110からONU120(1)にデータ伝送する場合の処理を示し、図10は、ONU120(1)からOLT110にデータ伝送する場合の処理を示す。図9に示すステップS100からステップS140および図10に示すステップS400からステップS440は、OLT110の制御部112がプログラムを実行することにより実行される。また、図9に示すステップS200からステップS250および図10に示すステップS300からステップS340は、ONU120の制御部122がプログラムを実行することにより実行される。すなわち、図9および図10は、伝送方法の別実施形態を示す。なお、図9および図10に示す処理は、OLT110およびONU120(1)に搭載されるハードウェアにより実行されてもよい。この場合、図6に示したキュー部115,118,暗号化部116および復号化部117、あるいは図7に示した復号化部125、キュー部126,127、および暗号化部128は、OLT110あるいはONU120(1)内に配置される回路により実現される。
9 and 10 show examples of transmission processing in the
なお、OLT110とONU120(2)−120(N)それぞれとのデータ伝送の処理は、図9および図10に示したOLT110とONU120(1)とのデータ伝送の処理と同様である。
The data transmission process between the
図9のステップS100において、OLT110の制御部112は、図5および図6で説明したように、CNI111を介して、ネットワーク50からOLT110宛のデータを受信する。
In step S100 of FIG. 9, the
次に、ステップS110において、キュー部115は、図6および図8で説明したように、ネットワーク50から受信したデータに付加されたQoSの値に応じて決定した順番で、受信したデータを暗号化部116に転送する。
Next, in step S110, the
次に、ステップS120において、暗号化部116は、図6および図8で説明したように、設定テーブル200から宛先であるONU120(1)の暗号化の設定を示す情報を読み込み、読み込んだ情報に基づいて受信したデータを暗号化する。例えば、暗号化部116は、ネットワーク50から受信したデータに付加された宛先を示すMACアドレスに基づいて、宛先のONU120を特定する。暗号化部116は、特定したONU120のMET70、TCI71、AN72、SL73、PN74およびSCI75の情報と、AN72に格納された番号に対応する暗号鍵とを設定テーブル200から読み込む。暗号化部116は、例えば、IEEE802.3ahの規格に基づいて、読み込んだDA62、SA62、MET70、TCI71、AN72、SL73、PN74およびSCI75の情報からAADを算出する。また、暗号化部116は、例えば、読み込んだPN74およびSCI75の情報からIVを算出する。暗号化部116は、読み込んだ暗号鍵と算出したAADおよびIVとを用いてGCM演算を行い、ネットワーク50から受信したデータを暗号化するとともに、暗号化処理の完全性を示す値を算出する。
Next, in step S120, the
次に、ステップS130において、制御部112は、図5および図6において説明したように、暗号化の設定を示す情報を付加せずに暗号化されたデータがDATA65の格納領域に格納されたフレーム80を生成する。なお、制御部112は、フレーム80の生成にあたり、暗号化部116により算出された完全性を示す値をICV66の格納領域に格納する。
Next, in step S130, as described with reference to FIGS. 5 and 6, the
次に、ステップS140において、制御部112は、図5および図6において説明したように、EPON側IF部113を介して、生成したフレーム80をONU120に送信する。
Next, in step S140, the
次に、ステップS200において、ONU120(1)の制御部122は、図5および図7において説明したように、EPON側IF部121を介して、OLT110により送信されたフレーム80を受信する。
Next, in step S200, the
次に、ステップS210において、制御部122は、図5および図7において説明したように、ONU120(1)が受信したフレーム80の宛先であるか否かを判定する。例えば、制御部122は、受信したフレーム80のDA62の格納領域に格納されたMACアドレスとONU120(1)のMACアドレスと比較する。制御部122は、2つのMACアドレスが一致する場合(YES)、受信したフレーム80をONU120(1)宛と判定する。そして、制御部122は、受信したフレーム80を取り込み、処理をステップS220に移行する。一方、制御部122は、2つのMACアドレスが一致しない場合(NO)、受信したフレーム80を破棄し、処理をステップS200に移行する。
Next, in step S210, the
ステップS220において、復号化部125は、図5、図7および図8で説明したように、OLT110の設定テーブル200との間で交換した暗号化の設定を示す情報を読み込み、読み込んだ情報に基づき受信したフレーム80に格納されたデータを復号する。例えば、復号化部125は、OLT110の設定テーブル200との間で交換されたMET70、TCI71、AN72、SL73、PN74およびSCI75の情報と、AN72に格納された番号に対応する暗号鍵とを記憶部124から予め読み込む。復号化部125は、例えば、OLT110からフレーム80を受信した場合、読み込んだMET70、TCI71、AN72、SL73、PN74およびSCI75と、受信したフレーム80のDA62およびSA63との情報からAADを算出する。また、復号化部125は、例えば、読み込んだPN74およびSCI75の情報からIVを算出する。復号化部125は、暗号鍵とともに算出したAADとIVとを用いてGCM演算を行い、フレーム80のDATA65の格納領域に格納されたデータを復号するとともに、復号化処理における完全性を示す値を算出する。
In step S220, the
ステップS230において、復号化部125は、算出した完全性を示す値と受信したフレーム80のICV66の格納領域に格納された値とを比較し、復号化処理が正常に行われたか否かを判定する。例えば、復号化部125は、算出した完全性を示す値とICV66の格納領域に格納された値とが一致する場合(YES)、復号化処理が正常に行われたと判定する。復号化部125は、復号したデータをキュー部126に転送し、処理をステップS240に移行する。一方、復号化部125は、例えば、算出した完全性を示す値とICV66の格納領域に格納された値とが一致せず、復号化処理が正常に行われなかったと判定した場合(NO)、フレーム80を破棄し処理をステップS200に移行する。
In step S230, the
ステップS240において、キュー部126は、図5および図7で説明したように、受信したフレーム80に付加されたQoSの値に応じて、復号したデータをユーザ端末140(1)に送信する順番を決定する。
In step S240, the
次に、ステップS250において、制御部122は、図7において説明したように、決定された順番で復号したデータをユーザ端末140(1)に送信する。
Next, in step S250, the
そして、通信システム100のOLT110からONU120への伝送処理は終了する。なお、図9に示したフローは、OLT110がネットワーク50からデータを受信する度に繰り返し実行される。
Then, the transmission process from the
一方、図10のステップS300において、ONU120(1)の制御部122は、図5および図7で説明したように、UNI123を介して、ユーザ端末140(1)からデータを受信する。
On the other hand, in step S300 of FIG. 10, the
次に、ステップS310において、キュー部127は、図5および図7で説明したように、ユーザ端末140(1)から受信したデータに付加されたQoSの値に応じて決定した順番で、受信したデータを暗号化部128に転送する。
Next, in step S310, as described with reference to FIGS. 5 and 7, the
次に、ステップS320において、暗号化部128は、図5、図7および図8で説明したように、OLT110の設定テーブル210との間で交換した暗号化の設定を示す情報を読み込み、読み込んだ情報に基づいて受信したデータを暗号化する。例えば、暗号化部128は、OLT110の設定テーブル210との間で交換されたMET70、TCI71、AN72、SL73、PN74およびSCI75の情報と、AN72に格納された番号に対応する暗号鍵とを記憶部124から予め読み込む。暗号化部128は、例えば、キュー部127からデータを受信した場合、読み込んだMET70、TCI71、AN72、SL73、PN74およびSCI75と、受信したフレーム80のDA62およびSA63との情報からAADを算出する。また、暗号化部128は、例えば、読み込んだPN74およびSCI75に格納された情報からIVを算出する。暗号化部128は、読み込んだ暗号鍵と算出したAADおよびIVとを用いてGCM演算を行い、キュー部127から受信したデータを暗号化するとともに、暗号化処理の完全性を示す値を算出する。
Next, in step S320, the
次に、ステップS330において、制御部122は、図5および図7において説明したように、暗号化の設定を示す情報を付加せずに暗号化されたデータがDATA65の格納領域に格納されたフレーム80を生成する。なお、制御部122は、フレーム80の生成にあたり、暗号化部128により算出された完全性を示す値をICV66の格納領域に格納する。
Next, in step S330, as described with reference to FIGS. 5 and 7, the
次に、ステップS340において、制御部122は、図5および図7において説明したように、EPON側IF部121を介して、生成したフレーム80をOLT110に送信する。
Next, in step S340, the
次に、ステップS400において、OLT110の制御部112は、図5および図6において説明したように、EPON側IF部113を介して、ONU120(1)により送信されたフレーム80を受信する。
Next, in step S400, the
次に、ステップS410において、復号化部117は、図5、図6および図8で説明したように、設定テーブル210から送信元であるONU120(1)の暗号化の設定を示す情報を読み込み、読み込んだ情報に基づき受信したフレーム80のデータを復号する。例えば、復号化部117は、EPON側IF部113を介して、ONU120からフレーム80を受信した場合、受信したフレーム80のSA63の格納領域に格納されたMACアドレスから送信元のONU120を特定する。復号化部117は、特定したONU120のMET70、TCI71、AN72、SL73、PN74およびSCI75の情報と、AN72に格納された番号に対応する暗号鍵とを設定テーブル210から読み込む。復号化部117は、例えば、IEEE802.3ahの規格に基づいて、読み込んだMET70、TCI71、AN72、SL73、PN74およびSCI75と、受信したフレーム80のDA62およびSA63との情報からAADを算出する。また、復号化部117は、例えば、読み込んだPN74およびSCI75の情報からIVを算出する。復号化部117は、読み込んだ暗号鍵とともに算出したAADとIVとを用いてGCM演算を行い、フレーム80のDATA65の格納領域に格納されたデータを復号するとともに、復号化処理における完全性を示す値を算出する。
Next, in step S410, the
ステップS420において、復号化部117は、算出した完全性を示す値と受信したフレーム80のICV66の格納領域に格納された値とを比較し、復号化処理が正常に行われたか否かを判定する。例えば、復号化部117は、算出した完全性を示す値とICV66の格納領域に格納された値とが一致する場合(YES)、復号化処理が正常に行われたと判定する。復号化部117は、復号したデータをキュー部118に転送し、処理をステップS430に移行する。一方、復号化部117は、例えば、算出した完全性を示す値とICV66の格納領域に格納された値とが一致せず、復号化処理が正常に行われなかったと判定した場合(NO)、フレーム80を破棄し処理をステップS400に移行する。
In step S420, the
次に、ステップS430において、キュー部118は、図5および図6で説明したように、受信したフレーム80に付加されたQoSの値に応じて、復号したデータをネットワーク50に送信する順番を決定する。
Next, in step S430, the
次に、ステップS440において、制御部112は、図6において説明したように、決定された順番に基づいて、復号したデータをネットワーク50に送信する。
Next, in step S440, the
そして、通信システム100のONU120からOLT110への伝送処理は終了する。なお、図10に示したフローは、ONU120がユーザ端末140からデータを受信する度に繰り返し実行される。また、図9と図10とに示す処理は、並行して実行されてもよい。
Then, the transmission process from the
以上、この実施形態では、OLT110の暗号化部116は、設定テーブル200に基づいて、ネットワーク50から受信したデータを暗号化する。制御部112は、暗号化の設定を示す情報を付加せずに暗号化されたデータのフレーム80を生成し、生成したフレーム80をONU120に送信する。ONU120の復号化部125は、交換された暗号化の設定を示す情報に基づいて、受信したフレーム80のデータを復号する。一方、ONU120の暗号化部128は、交換された暗号化の設定を示す情報に基づいて、ユーザ端末140から受信したデータを暗号化する。制御部122は、暗号化の設定を示す情報を付加せずに暗号化されたデータのフレーム80を生成し、生成したフレーム80をOLT110に送信する。OLT110の復号化部117は、設定テーブル210に基づいて、受信したフレーム80のデータを復号する。これにより、通信システム100は、データの暗号化の設定を示す情報をフレーム80に付加せずにOLT110と各ONU120との間で予め交換することで、暗号化を示す情報を付加する場合と比べてフレーム80に格納できるデータの量を増やすことができる。そして、通信システム100は、データ伝送のスループットを向上させることができる。
As described above, in this embodiment, the
また、キュー部115およびキュー部127が、受信したデータを暗号化する前にデータの順番を決定することで、通信システム100は、OLT110と各ONU120との間で確度高くデータを伝送することができる。
In addition, the
なお、OLT110およびONU120は、記憶部114および記憶部124を有したが、外部に配置され設定テーブル200,210を有する記憶装置と接続されてもよい。
The
なお、テーブル200,210および記憶部124に記憶されるMET70、TCI71、AN72、SL73、PN74およびSCI75の情報は、固定されてもよいし、OLT110と各ONU120との間でフレーム80が伝送されるごとに更新されてもよい。
The information of
例えば、OLT110の暗号化部116は、ネットワーク50から受信したデータを暗号化するごとに、設定テーブル200のうち受信したデータに付加された宛先のMACアドレスが示すONU120(1)のAN72の番号を1つ増加または減少させてもよい。設定テーブル200と一致させるために、ONU120(1)の復号化部125は、例えば、受信したフレーム80のデータを復号するごとに、設定テーブル200との間で交換した記憶部124のAN72の格納領域の番号を1つ増加または減少させてもよい。
For example, every time the
また、例えば、ONU120(1)の暗号化部128は、ユーザ端末140から受信したデータを暗号化するごとに、設定テーブル210との間で交換した記憶部124のAN72の格納領域の番号を1つ増加または減少させてもよい。そして、OLT110の復号化部117は、例えば、受信したフレーム80のデータを復号するごとに、設定テーブル210のうち受信したフレーム80のSA63が示すMACアドレスのONU120(1)のAN72の番号を1つ増加または減少させてもよい。これにより、フレーム80が伝送されるごとに、暗号化部116と復号化部125、および暗号化部128と復号化部117との間で用いられる暗号鍵が変わることから、通信システム100におけるセキュリティの向上を図ることができる。
For example, the
あるいは、例えば、暗号化部116は、ネットワーク50から受信したデータを暗号化するごとに、設定テーブル200のうち受信したデータに付加された宛先のMACアドレスが示すONU120(1)のPN74の値を1つ増加または減少させてもよい。設定テーブル200と一致させるために、ONU120(1)の復号化部125は、例えば、受信したフレーム80のデータを復号するごとに、設定テーブル200との間で交換した記憶部124のPN74の格納領域の番号を1つ増加または減少させてもよい。
Alternatively, for example, each time the
また、例えば、ONU120(1)の暗号化部128は、ユーザ端末140から受信したデータを暗号化するごとに、設定テーブル210との間で交換した記憶部124のPN74の格納領域の番号を1つ増加または減少させてもよい。OLT110の復号化部117は、例えば、受信したフレーム80のデータを復号するごとに、設定テーブル210のうち受信したフレーム80のSA63が示すMACアドレスのONU120(1)のPN74の番号を1つ増加または減少させてもよい。これにより、フレーム80が伝送されるごとに、暗号化部116と復号化部125、および暗号化部128と復号化部117との間で用いられるフレーム番号が変わることから、通信システム100におけるセキュリティの向上を図ることができる。
Further, for example, the
以上の詳細な説明により、実施形態の特徴点および利点は明らかになるであろう。これは、特許請求の範囲がその精神および権利範囲を逸脱しない範囲で前述のような実施形態の特徴点および利点にまで及ぶことを意図するものである。また、当該技術分野において通常の知識を有する者であれば、あらゆる改良および変更に容易に想到できるはずである。したがって、発明性を有する実施形態の範囲を前述したものに限定する意図はなく、実施形態に開示された範囲に含まれる適当な改良物および均等物に拠ることも可能である。 From the above detailed description, features and advantages of the embodiments will become apparent. This is intended to cover the features and advantages of the embodiments described above without departing from the spirit and scope of the claims. Also, any improvement and modification should be readily conceivable by those having ordinary knowledge in the art. Therefore, there is no intention to limit the scope of the inventive embodiments to those described above, and appropriate modifications and equivalents included in the scope disclosed in the embodiments can be used.
10,110…OLT;11,112,22,122…制御部;12、116,128…暗号化部;20,120(1)−120(N)…ONU;21…受信部;23,117,125…復号化部;30…伝送路;40,140(1)−140(N)…ユーザ端末;50…ネットワーク;60,80…フレーム;61…プリアンブル;62…DA;63…SA;64…SecTag;65…DATA;66…ICV;67…FCS;70…MET;71…TCI;72…AN;73…SL;74…PN;75…SCI;100…通信システム;111…CNI;113,121…EPON側IF部;114,124…記憶部;115,118,126,127…キュー部;130…光カプラ 10, 110 ... OLT; 11, 112, 22, 122 ... control unit; 12, 116, 128 ... encryption unit; 20, 120 (1) -120 (N) ... ONU; 21 ... reception unit; 23, 117, 125 ... Decoding unit; 30 ... Transmission path; 40, 140 (1) -140 (N) ... User terminal; 50 ... Network; 60, 80 ... Frame; 61 ... Preamble; 62 ... DA; SecTag; 65 ... DATA; 66 ... ICV; 67 ... FCS; 70 ... MET; 71 ... TCI; 72 ... AN; 73 ... SL; 74 ... PN; 75 ... SCI; 100 ... communication system; 111 ... CNI; 113,121 ... EPON side IF unit; 114, 124 ... storage unit; 115, 118, 126, 127 ... queue unit; 130 ... optical coupler
Claims (7)
前記第1通信装置との間でデータ伝送する第2通信装置と、を備え、
前記第1通信装置は、
前記第2通信装置との間で交換した暗号化の設定を示す第1情報に基づいて、前記第2通信装置に送信するデータを暗号化する暗号化部と、
前記第1情報を付加せずに暗号化した前記データを前記第2通信装置に送信する制御部と、を備え、
前記第2通信装置は、
前記第1通信装置からの前記データを受信する受信部と、
前記第1情報に基づいて、前記第1通信装置から受信した前記データを復号する復号化部と、を備える
ことを特徴とする通信システム。 A first communication device;
A second communication device for transmitting data to and from the first communication device,
The first communication device is
An encryption unit that encrypts data to be transmitted to the second communication device based on first information indicating encryption settings exchanged with the second communication device;
A control unit for transmitting the encrypted data without adding the first information to the second communication device,
The second communication device is
A receiving unit for receiving the data from the first communication device;
And a decoding unit that decodes the data received from the first communication device based on the first information.
前記暗号化部は、送信する前記データを暗号化するごとに前記第1通信装置の前記第1情報を所定の手順で更新し、
前記復号化部は、前記第1通信装置から前記データを復号するごとに前記第2通信装置の前記第1情報を前記所定の手順で更新する
ことを特徴とする通信システム。 The communication system according to claim 1.
The encryption unit updates the first information of the first communication device by a predetermined procedure every time the data to be transmitted is encrypted,
The decoding unit updates the first information of the second communication device according to the predetermined procedure every time the data is decoded from the first communication device.
前記第2通信装置は、
前記第1通信装置との間で交換した暗号化の設定を示す第2情報に基づいて、前記第1通信装置に送信するデータを暗号化する暗号化部と、
前記第2情報を付加せずに暗号化した前記データを前記第1通信装置に送信する制御部と、を備え、
前記第1通信装置は、
前記第2情報に基づいて、前記第2通信装置から受信した前記データを復号する復号化部を備える
ことを特徴とする通信システム。 The communication system according to claim 1 or 2,
The second communication device is
An encryption unit that encrypts data to be transmitted to the first communication device based on second information indicating encryption settings exchanged with the first communication device;
A controller that transmits the encrypted data without adding the second information to the first communication device,
The first communication device is
A communication system comprising: a decoding unit that decodes the data received from the second communication device based on the second information.
前記第2通信装置の前記暗号化部は、送信する前記データを暗号化するごとに前記第2通信装置の前記第2情報を所定の手順で更新し、
前記第1通信装置の前記復号化部は、前記第2通信装置から前記データを復号するごとに前記第1通信装置の前記第2情報を前記所定の手順で更新する
ことを特徴とする通信システム。 The communication system according to claim 3,
The encryption unit of the second communication device updates the second information of the second communication device in a predetermined procedure every time the data to be transmitted is encrypted,
The decoding unit of the first communication device updates the second information of the first communication device according to the predetermined procedure every time the data is decoded from the second communication device. .
前記第1情報を付加せずに暗号化した前記データを前記受信装置に送信する制御部と、を備える
ことを特徴とする送信装置。 An encryption unit that encrypts data to be transmitted to the receiving device based on first information indicating encryption settings exchanged with the receiving device that receives data;
And a control unit that transmits the encrypted data without adding the first information to the receiving device.
前記送信装置との間で交換した暗号化の設定を示す第1情報に基づいて、前記受信部で受信され、前記第1情報が付加されていない暗号化されたデータを復号する復号化部と、
を備えることを特徴とする受信装置。 A receiving unit for receiving data from a transmitting device for transmitting data;
A decryption unit configured to decrypt encrypted data received by the reception unit and not including the first information, based on first information indicating encryption settings exchanged with the transmission device; ,
A receiving apparatus comprising:
前記第2通信装置との間で交換した暗号化の設定を示す第1情報に基づいて前記第2通信装置に送信するデータを前記第1通信装置により暗号化し、
前記第1情報を付加せずに暗号化した前記データを前記第2通信装置に前記第1通信装置により送信し、
前記第1情報に基づいて、前記第1通信装置から受信した前記データを前記第2通信装置により復号する
ことを特徴とする通信システムのデータ伝送方法。 A data transmission method for a communication system comprising a first communication device and a second communication device for transmitting data between the first communication device,
The first communication device encrypts data to be transmitted to the second communication device based on the first information indicating the encryption setting exchanged with the second communication device,
Transmitting the encrypted data without adding the first information to the second communication device by the first communication device;
A data transmission method for a communication system, wherein the data received from the first communication device is decoded by the second communication device based on the first information.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013268577A JP2015126320A (en) | 2013-12-26 | 2013-12-26 | Communication system, transmitter, receiver and data transmission method for communication system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013268577A JP2015126320A (en) | 2013-12-26 | 2013-12-26 | Communication system, transmitter, receiver and data transmission method for communication system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2015126320A true JP2015126320A (en) | 2015-07-06 |
Family
ID=53536765
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013268577A Withdrawn JP2015126320A (en) | 2013-12-26 | 2013-12-26 | Communication system, transmitter, receiver and data transmission method for communication system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2015126320A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020502896A (en) * | 2016-12-16 | 2020-01-23 | アマゾン・テクノロジーズ、インコーポレイテッド | Secure distribution of sensitive data over content distribution networks |
US10979403B1 (en) | 2018-06-08 | 2021-04-13 | Amazon Technologies, Inc. | Cryptographic configuration enforcement |
US11159498B1 (en) | 2018-03-21 | 2021-10-26 | Amazon Technologies, Inc. | Information security proxy service |
-
2013
- 2013-12-26 JP JP2013268577A patent/JP2015126320A/en not_active Withdrawn
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020502896A (en) * | 2016-12-16 | 2020-01-23 | アマゾン・テクノロジーズ、インコーポレイテッド | Secure distribution of sensitive data over content distribution networks |
US10887291B2 (en) | 2016-12-16 | 2021-01-05 | Amazon Technologies, Inc. | Secure data distribution of sensitive data across content delivery networks |
JP7036494B2 (en) | 2016-12-16 | 2022-03-15 | アマゾン・テクノロジーズ、インコーポレイテッド | Secure data distribution of sensitive data over content delivery networks |
US11159498B1 (en) | 2018-03-21 | 2021-10-26 | Amazon Technologies, Inc. | Information security proxy service |
US10979403B1 (en) | 2018-06-08 | 2021-04-13 | Amazon Technologies, Inc. | Cryptographic configuration enforcement |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9009466B2 (en) | Terminal device capable of link layer encryption and decryption and data processing method thereof | |
US10721622B2 (en) | Wireless communication system with multiple security levels | |
KR101485279B1 (en) | Switch equipment and data processing method for supporting link layer security transmission | |
US20150127949A1 (en) | System and method for integrated mesh authentication and association | |
US10182039B2 (en) | Encrypted and authenticated data frame | |
JPWO2007135858A1 (en) | Optical communication system, station side device, and subscriber side device | |
WO2013104287A1 (en) | Method, device, and system for data communication | |
US11863974B2 (en) | Method for hearing system communication and related devices | |
US11062012B2 (en) | Hearing device with communication logging and related method | |
WO2011121713A1 (en) | Node, transfer method, and transfer program | |
JP2008160318A (en) | Encryption device | |
JP2015126320A (en) | Communication system, transmitter, receiver and data transmission method for communication system | |
JP2017135461A (en) | Subscriber terminating device, station side terminating device, optical signal transmitting device and communication system | |
JP4739419B2 (en) | Method and apparatus for controlling security channel in Ethernet Pong | |
JP2007110487A (en) | Lan system and its communication method | |
CN101998393A (en) | Method and apparatus for reducing overhead for integrity check of data in wireless communication system | |
US20150086015A1 (en) | Cryptographically Protected Redundant Data Packets | |
WO2014071639A1 (en) | Communication method for optical network system, system and device | |
WO2011134294A1 (en) | Method and system for establishing safety connection between nodes | |
JP2003060633A (en) | Passive light network system, ciphering method therefor and network system | |
JP2007142630A (en) | Communication apparatus and method | |
JP2016225672A (en) | Device and method for packet relay | |
JP2005354504A (en) | Optical subscriber line terminal station device, optical subscriber line terminating device, and communication method | |
JP6961951B2 (en) | Network construction system, method and wireless node | |
JP5465335B2 (en) | COMMUNICATION SYSTEM, COMMUNICATION CONTROL DEVICE, TRANSMISSION DEVICE, RECEPTION DEVICE, AND COMMUNICATION CONTROL METHOD |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20151130 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160905 |
|
A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20170123 |