JP2017135461A - 加入者終端装置、局側終端装置、光信号伝送装置および通信システム - Google Patents

加入者終端装置、局側終端装置、光信号伝送装置および通信システム Download PDF

Info

Publication number
JP2017135461A
JP2017135461A JP2016011645A JP2016011645A JP2017135461A JP 2017135461 A JP2017135461 A JP 2017135461A JP 2016011645 A JP2016011645 A JP 2016011645A JP 2016011645 A JP2016011645 A JP 2016011645A JP 2017135461 A JP2017135461 A JP 2017135461A
Authority
JP
Japan
Prior art keywords
optical signal
frame
osu
signal transmission
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016011645A
Other languages
English (en)
Inventor
幸男 平野
Yukio Hirano
幸男 平野
佑介 坂上
Yusuke Sakagami
佑介 坂上
隆志 西谷
Takashi Nishitani
隆志 西谷
健 坂本
Takeshi Sakamoto
健 坂本
卓郎 松本
Takuro Matsumoto
卓郎 松本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Nippon Telegraph and Telephone Corp
Original Assignee
Mitsubishi Electric Corp
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp, Nippon Telegraph and Telephone Corp filed Critical Mitsubishi Electric Corp
Priority to JP2016011645A priority Critical patent/JP2017135461A/ja
Publication of JP2017135461A publication Critical patent/JP2017135461A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】通信レートを低下させることなく、光信号伝送装置の切替の誤検出を防止可能な加入者終端装置を得ること。【解決手段】1つまたは複数のONUと、ONUと光通信を行うOSUを複数備えたOLTと、を含む通信システムにおけるONUであって、OSUから受信したフレームから、監視対象フレームを抽出する受信部12と、監視対象フレームから送信元のOSUのアドレスである送信元アドレスを抽出するMPCP処理部13と、送信元アドレスに基づいて、自装置と通信を行うOSUが切り替えられたか否かを検出する切替検出部14と、を備える。【選択図】図3

Description

本発明は、光通信を行う加入者終端装置、局側終端装置、光信号伝送装置および通信システムに関する。
従来、PON(Passive Optical Network)システムは、複数個の加入者終端装置であるONU(Optical Network Unit)を1個の局側終端装置であるOLT(Optical Line Terminal)で収容でき、ONUとOLTとを1対1で接続する光アクセスシステムと比較して通信サービスを低価格で加入者へ提供できることから、国内外で普及が進んでいる。
通信システムでは一般的に稼働率の高さが要求されており、通信システムの稼働率を高めるための一方策として構成要素の冗長化が挙げられる。PONシステムでは、OLTが、光ファイバおよび光スプリッタなどを介してONUと通信を行う光信号伝送装置であるOSU(Optical Subscriber Unit)を複数備えることで、構成要素を冗長化できる。このような場合に、ONUにおいて、OLT側で自装置と通信を行うOSUが切り替えられたことを検出する方法が、非特許文献1および特許文献1において開示されている。
非特許文献1の9.3節では、OSUおよびONUの基本的な状態遷移、送受信されるメッセージなどが規定されている。ONUは、無効な光信号の検出、またはOSUからイーサネット(登録商標)フレームを規定時間受信しないことの検出により、OSUの切替を検出する。
また、特許文献1において、ONUは、非特許文献2に記載の方式によりデータが暗号化された暗号化フレームのSecTAG(MAC(Media Access Control) Security TAG)に含まれるSCI(Secure Channel Identifier)の変化、すなわちSCIの上位48bitに格納されている送信側の機器のMACアドレスの変化の検出により、OSUの切替を検出する。または、ONUは、SecTAGに含まれるAN(Association Number)の変化により、OSUの切替を検出する。
特開2014−131264号公報
IEEE(Institute of Electrical and Electronics Engineers) P1904.1/D3.4 2013年 IEEE Std 802.1AE 2006年
しかしながら、非特許文献1では、ONUが無効な光信号の検出によりOSUの切替を検出する場合、例えば、NTT技術資料館の光CATS(CAble Transfer Splicing)システム(http://www.hct.ecl.ntt.co.jp/exhibitions/panel/pdf/2_Ea_3_2-2.pdf)に記載の光ファイバケーブル切替接続システムを用いて光ファイバが切り替えられた際、切替検出の条件を満たすことから誤ってOSUの切替を検出し、不要な通信停止が発生するおそれがある、という問題があった。
また、特許文献1では、OSUが暗号化フレームのSecTAG内にoptionとしてSCIを付与する必要がある。そのため、全ての暗号化フレームにSCI分の8byteが加算され、OSUからONUへの通信レートが低下する、という問題があった。
本発明は、上記に鑑みてなされたものであって、通信レートを低下させることなく、光信号伝送装置の切替の誤検出を防止可能な加入者終端装置を得ることを目的とする。
上述した課題を解決し、目的を達成するために、本発明は、1つまたは複数の加入者終端装置と、加入者終端装置と光通信を行う光信号伝送装置を複数備えた局側終端装置と、を含む通信システムにおける加入者終端装置である。加入者終端装置は、光信号伝送装置から受信したフレームから、監視対象フレームを抽出する受信部を備える。また、加入者終端装置は、監視対象フレームから送信元の光信号伝送装置のアドレスである送信元アドレスを抽出する処理部を備える。また、加入者終端装置は、送信元アドレスに基づいて、自装置と通信を行う光信号伝送装置が切り替えられたか否かを検出する切替検出部を備えることを特徴とする。
本発明にかかる加入者終端装置は、通信レートを低下させることなく、光信号伝送装置の切替の誤検出を防止できる、という効果を奏する。
ONUおよびOLTを含む通信システムの構成例を示す図 OLTが備えるOSUの構成例を示すブロック図 ONUの構成例を示すブロック図 OLTのOSUにおける秘匿対象のデータの暗号化処理を示すフローチャート SCI生成部で生成されるSCIおよび暗号化処理部で生成される初期化ベクトルを示す図 ネットワーク装置から送信されるイーサネットフレーム、暗号化処理部で生成される暗号化フレーム、およびSecTAGの構成を示す図 ONUでのOSU切替検出処理を示すフローチャート ONUでの暗号化データの復号処理を示すフローチャート OLTにおけるOSU切替処理を示すシーケンス図 ONUの処理回路を専用のハードウェアで構成する場合の例を示す図 ONUの処理回路をCPUおよびメモリで構成する場合の例を示す図
以下に、本発明の実施の形態にかかる加入者終端装置、局側終端装置、光信号伝送装置および通信システムを図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。
実施の形態.
図1は、本発明の実施の形態にかかるONUおよびOLTを含む通信システムの構成例を示す図である。PONシステムである通信システム6は、Z個のONUであるONU1−1〜1−Zと、Z個の光ファイバである光ファイバ2−1〜2−Zと、N個の光分配器である光分配器3−1〜3−Nと、N個の光ファイバである光ファイバ4−1〜4−Nと、OLT5と、を備える。NおよびZは1以上の整数であり、Z≧Nとする。図1に示すJおよびKは1以上の整数であり、Zより小さい整数とする。以降の説明において個々の構成を区別する必要のない場合、ONU1−1〜1−ZをONU1、光ファイバ2−1〜2−Zを光ファイバ2、光分配器3−1〜3−Nを光分配器3、光ファイバ4−1〜4−Nを光ファイバ4と称することがある。
ONU1−1〜1−Zは、加入者宅などに設置され、加入者が有する端末と接続する加入者側終端装置である。光ファイバ2−1〜2−Zは、ONU1−1〜1−Zと光分配器3−1〜3−Nとの間を接続する光通信用の通信線である。光分配器3−1〜3−Nは、光ファイバ4−1〜4−Nから入力された光信号を分岐して光ファイバ2−1〜2−Zへ出力する。また、光分配器3−1〜3−Nは、光ファイバ2−1〜2−Zから入力された光信号を光ファイバ4−1〜4−Nへ出力する。光ファイバ4−1〜4−Nは、光分配器3−1〜3−NとOLT5との間を接続する光通信用の通信線である。OLT5は、ルーターなどのネットワーク装置から受信したイーサネットフレームを電気信号から光信号に変換して宛先の端末が接続するONU1へ送信し、ONU1から受信したイーサネットフレームを光信号から電気信号に変換してネットワーク装置へ送信する局側終端装置である。以降の説明においてイーサネットフレームをフレームと称することがある。
図1に示す通信システム6では、ONU1−1〜1−ZおよびOLT5が、光ファイバ2−1〜2−Z、光分配器3−1〜3−N、および光ファイバ4−1〜4−Nを介して光信号のフレームの送受信による光通信を行う。通信システム6では、OLT5からONU1−1〜1−Zへ光信号のフレームを送信するときの通信を下り通信とし、ONU1−1〜1−ZからOLT5へ光信号のフレームを送信するときの通信を上り通信とする。なお、図1に示す通信システム6では、ONU1がZ個あるが、一例であり、ONU1は1個でもよい。
つぎに、OLT5の構成について説明する。OLT5は、集線部51と、N個のOSUであるOSU52−1〜52−Nと、予備系OSU53と、N個の光分配器である光分配器54−1〜54−Nと、光スイッチ部55と、切替制御部56と、を備える。以降の説明において個々の構成を区別する必要のない場合、OSU52−1〜52−NをOSU52、光分配器54−1〜54−Nを光分配器54と称することがある。
集線部51は、ネットワーク装置と接続し、ネットワーク装置から受信されたフレームを、フレームの宛先の端末が接続するONU1を収容、すなわち接続するOSU52または予備系OSU53へ出力する。また、集線部51は、OSU52または予備系OSU53から入力されたフレームを、ネットワーク装置へ送信する。
OSU52−1〜52−Nは、ONU1−1〜1−Zと光通信を行う光信号伝送装置である。OSU52−1〜52−Nは、集線部51から入力されたフレーム内の秘匿対象のデータを暗号化し、暗号化された秘匿対象のデータである暗号化データを含む暗号化フレームを電気信号から光信号に変換してONU1へ送信する。また、OSU52−1〜52−Nは、ONU1から受信された暗号化フレームを光信号から電気信号に変換し、暗号化フレーム内の暗号化データを復号し、復号後の秘匿対象のデータを含むフレームを集線部51へ出力する。OSU52−1〜52−Nは、通常時に使用される現用系のOSUである。各OSU52は、光分配器54、光ファイバ4、光分配器3および光ファイバ2を介して、1個または複数個のONU1と接続する。OSU52、およびOSU52と接続するONU1には、1対1のセキュアチャネルが設定され、セキュアチャネル内で秘匿通信を行うことができる。図1に示す秘匿通信区間が、OSU52およびONU1がセキュアチャネルにより秘匿通信を行う区間となる。
予備系OSU53は、OSU52−1〜52−Nのいずれかで障害が検出された場合などに、障害などが検出されたOSU52に代わってOSUとして動作する光信号伝送装置である。予備系OSU53は、OSU52−1〜52−Nが動作中は待機状態にあり、動作を停止しているものとする。なお、OLT5は、図1では予備系OSU53を1個備えているが、一例であり、2個以上の予備系OSU53を備えてもよい。
光分配器54−1〜54−Nは、接続する光ファイバ4−1〜4−Nのうちの1個の光ファイバ4から入力された光信号を分岐して、接続するOSU52−1〜52−Nのうちの1個のOSU52および光スイッチ部55へ出力する。また、光分配器54−1〜54−Nは、OSU52−1〜52−Nまたは光スイッチ部55から入力された光信号を、接続する光ファイバ4−1〜4−Nのうちの1個の光ファイバ4へ出力する。
光スイッチ部55は、光分配器54−1〜54−Nから入力された光信号の出力先を制御するN対1のスイッチである。光スイッチ部55は、予備系OSU53が動作している場合、障害などにより予備系OSU53が代わりに動作しているOSU52と接続する光分配器54から入力された光信号を予備系OSU53へ出力する。また、光スイッチ部55は、予備系OSU53から入力された光信号を、障害などにより予備系OSU53が代わりに動作しているOSU52と接続する光分配器54へ出力する。なお、光スイッチ部55は、現用系のOSU52−1〜52−Nが正常に動作している場合、すなわち予備系OSU53が動作を停止している場合、予備系OSU53へ光信号を出力しなくてもよいし、いずれかの光分配器54−1〜54−Nから入力された光信号を予備系OSU53へ出力してもよい。
切替制御部56は、OLT5全体の動作を制御する。切替制御部56は、OSU52−1〜52−Nの状態を監視し、OSU52−1〜52−NのいずれかのOSU52で障害などのOSU切替の切替要因が検出された場合、切替要因が検出されたOSU52に代わって予備系OSU53が動作するよう制御する。また、切替制御部56は、予備系OSU53が動作している場合、光スイッチ部55における光信号の出力先を制御し、集線部51におけるネットワーク装置から受信したフレームの出力先を制御する。
このように、OLT5は、複数の光信号伝送装置であるOSU、すなわちOSU52−1〜52−Nおよび予備系OSU53を備えている。なお、図1において、ONU1−1〜1−Z、OSU52−1〜52−N、および予備系OSU53は、各々異なるMACアドレスを持っているものとする。
OLT5が備えるOSU52−1〜52−Nおよび予備系OSU53の構成について詳細に説明する。ここでは、OSU52−1〜52−Nおよび予備系OSU53は同一構成のため、OSU52−1を例にして説明する。図2は、本発明の実施の形態にかかるOLT5が備えるOSU52−1の構成例を示すブロック図である。OSU52−1は、上位回線IF(InterFace)部21と、暗号化処理部22と、MPCP(Multi−Point Control Protocol)処理部23と、SCI生成部24と、送信部25と、光送受信部26と、受信部27と、復号処理部28と、切替制御IF部29と、を備える。
上位回線IF部21は、上位の集線部51との間でフレームの入力および出力を行う。上位回線IF部21は、集線部51から入力されたフレームを暗号化処理部22へ出力する。また、上位回線IF部21は、復号処理部28から入力されたフレームを集線部51へ出力する。
暗号化処理部22は、集線部51から入力されたネットワーク装置からのフレームに格納されている秘匿対象のデータを、SCI生成部24で生成された下りSCI、および接続するONU1と共通の暗号鍵を用いて暗号化する暗号化処理を行う。
MPCP処理部23は、MPCPのプロトコルによる信号制御を行う処理部である。MPCP処理部23は、ONU1−1〜1−ZとのMPCPによる接続を維持するため、定期的にMACコントロールフレームの一種であるGATEフレームなどを生成する。また、MPCP処理部23は、SCI生成部24に対して、下り通信における秘匿通信で使用する下りセキュアチャネルの識別子である下りSCIの生成に使用する自OSU52−1のMACアドレス、上り通信における秘匿通信で使用する上りセキュアチャネルの識別子である上りSCIの生成に使用する接続するONU1のMACアドレス、および接続するONU1毎にOSU52−1と各ONU1との間で通信を行うために設定されるロジカルリンクの識別子であるLLID(Logical Link IDentifier)を通知する。
SCI生成部24は、下り通信の場合、MPCP処理部23から通知された自OSU52−1のMACアドレスおよびLLIDを用いて下りSCIを生成し、生成した下りSCIを暗号化処理部22へ通知する。また、SCI生成部24は、上り通信の場合、MPCP処理部23から通知された接続するONU1のMACアドレスおよびLLIDを用いて上りSCIを生成し、生成した上りSCIを復号処理部28へ通知する。
送信部25は、暗号化処理部22において暗号化された秘匿対象のデータである暗号化データを含む暗号化フレーム、およびMPCP処理部23で生成されたMACコントロールフレームを多重し、多重後のフレームに対して、OSI(Open Systems Interconnection)参照モデルにおける物理レイヤレベルでのフレーム処理、すなわちヘッダなどを付与する処理および変調処理などを行って、光送受信部26へ出力する。なお、送信部25は、暗号化処理部22からの暗号化フレーム、またはMPCP処理部23からのMACコントロールフレームのいずれか一方のフレームのみが入力された場合、フレームを多重する処理は省略する。
光送受信部26は、送信部25から入力されたフレームを電気信号から光信号に変換し、光信号のフレームを光ファイバ4へ出力する。また、光送受信部26は、光ファイバ4から入力されたフレームを光信号から電気信号に変換し、電気信号のフレームを受信部27へ出力する。
受信部27は、光送受信部26から入力された電気信号のフレームに対して、OSI参照モデルにおける物理レイヤレベルでのフレーム処理、すなわちヘッダなどを除去する処理および復調処理などを行って、暗号化フレームおよびMACコントロールフレームを抽出する。受信部27は、抽出したMACコントロールフレームをMPCP処理部23へ出力し、抽出した暗号化フレームを復号処理部28へ出力する。
復号処理部28は、受信部27から入力された暗号化フレームに格納されている暗号化データを、SCI生成部24で生成された上りSCI、および接続するONU1と共通の暗号鍵を用いて復号する復号処理を行う。
切替制御IF部29は、OLT5の切替制御部56からの指示に基づいて、MPCP処理部23および光送受信部26の動作を制御し、SCIの生成、光信号の出力などを制御する。
つぎに、ONU1−1〜1−Zの構成について詳細に説明する。ここでは、ONU1−1〜1−Zは同一構成のため、ONU1−1を例にして説明する。図3は、本発明の実施の形態にかかるONU1−1の構成例を示すブロック図である。ONU1−1は、光送受信部11と、受信部12と、MPCP処理部13と、切替検出部14と、SCI生成部15と、復号処理部16と、回線IF部17と、暗号化処理部18と、送信部19と、を備える。
光送受信部11は、光ファイバ2から入力されたフレームを光信号から電気信号に変換し、電気信号のフレームを受信部12へ出力する。また、光送受信部11は、送信部19から入力されたフレームを電気信号から光信号に変換し、光信号のフレームを光ファイバ2へ出力する。
受信部12は、光送受信部11から入力された電気信号のフレームに対して、OSI参照モデルにおける物理レイヤレベルでのフレーム処理、すなわちヘッダなどを除去する処理および復調処理などを行って、暗号化フレームおよびMACコントロールフレームを抽出する。受信部12は、抽出したMACコントロールフレームをMPCP処理部13へ出力し、抽出した暗号化フレームを復号処理部16へ出力する。
MPCP処理部13は、MPCPのプロトコルによる信号制御を行う処理部である。MPCP処理部13は、自ONU1−1と、接続するOSU52−1との間で通信を行うために設定されるロジカルリンクの識別子であるLLIDを管理し、LLIDをSCI生成部15へ通知する。また、MPCP処理部13は、入力されたMACコントロールフレームの送信元MACアドレスからMACコントロールフレームを送信した送信元のOSU52−1のMACアドレスを抽出し、抽出したOSU52−1のMACアドレスを切替検出部14へ通知する。また、MPCP処理部13は、上り通信を行う場合には、上りSCIの生成に使用する自ONU1−1のMACアドレスをSCI生成部15へ通知する。MPCP処理部13は、MACコントロールフレームの一種であるREPORTフレームなどを生成する。
切替検出部14は、MPCP処理部13から通知されたMACコントロールフレームの送信元のOSU52−1のMACアドレスに基づいて、OLT5において自ONU1−1と通信を行うOSU52−1が切り替えられたか否かを判断する。切替検出部14は、MPCP処理部13から通知されたMACコントロールフレームの送信元のOSU52−1のMACアドレスをSCI生成部15へ通知する。
SCI生成部15は、下り通信の場合、切替検出部14から通知されたMACコントロールフレームの送信元のOSU52−1のMACアドレス、およびMPCP処理部13から通知されたLLIDを用いて下りSCIを生成し、生成した下りSCIを復号処理部16へ通知する。また、SCI生成部15は、上り通信の場合、MPCP処理部13から通知された自ONU1−1のMACアドレスおよびLLIDを用いて上りSCIを生成し、生成した上りSCIを暗号化処理部18へ通知する。
復号処理部16は、受信部12から入力された暗号化フレームに格納されている暗号化データを、SCI生成部15で生成された下りSCI、および接続するOSU52−1と共通の暗号鍵を用いて復号する復号処理を行う。
回線IF部17は、接続する端末との間でフレームの入力および出力を行う。回線IF部17は、復号処理部16によって復号された秘匿対象のデータを含むフレームを端末へ送信する。また、回線IF部17は、端末から受信されたフレームを暗号化処理部18へ出力する。
暗号化処理部18は、回線IF部17から入力された端末からのフレームに格納されている秘匿対象のデータを、SCI生成部15で生成された上りSCI、および接続するOSU52−1と共通の暗号鍵を用いて暗号化する暗号化処理を行う。
送信部19は、暗号化処理部18において暗号化された秘匿対象のデータである暗号化データを含む暗号化フレーム、およびMPCP処理部13で生成されたMACコントロールフレームを多重し、多重後のフレームに対して、OSI参照モデルにおける物理レイヤレベルでのフレーム処理、すなわちヘッダなどを付与する処理および変調処理などを行って、光送受信部11へ出力する。なお、送信部19は、暗号化処理部18からの暗号化フレーム、またはMPCP処理部13からのMACコントロールフレームのいずれか一方のフレームのみが入力された場合、フレームを多重する処理は省略する。
つづいて、OLT5とONU1との間で行われるフレームの送受信において、送信するフレームに含まれる秘匿対象のデータを暗号化する処理について説明する。ここでは、一例として、OLT5からONU1−1へフレームを送信する場合に、OLT5において秘匿対象のデータを暗号化する処理について説明する。
OLT5において、集線部51は、ネットワーク装置からONU1−1と接続する端末宛に送信されたフレームを受信すると、フレームに格納されている宛先MACアドレス、VLAN(Virtual Local Area Network)タグ、宛先IP(Internet Protocol)アドレスなどの情報に基づいて、宛先の端末が接続するONU1−1を識別し、宛先の端末と接続するONU1−1を収容、すなわち宛先の端末と接続するONU1−1と接続する現用系のOSU52−1へフレームを転送する。
ここで、OSU52−1および接続するONU1−1は、1対1のセキュアチャネルを有している。予め上りと下りのセキュアチャネルを個別に規定するが、下りセキュアチャネルの識別子である下りSCIのSystem IdentifierにはOSU52−1のMACアドレスを用い、上りセキュアチャネルの識別子である上りSCIのSystem IdentifierにはONU1−1のMACアドレスを用いることとする。また、SCIのPort Numberには、例えば、非特許文献1の7.2節に記載のように、ONU1−1のLLIDを用いることとする。このように下りおよび上りのSCIの生成方法を決定することで、OSU52−1およびONU1−1では、各々が上りおよび下りのSCIを生成することができる。そのため、OSU52−1およびONU1−1では、暗号化フレームに付与されるSecTAG内に、optionとしてSCIを付与しないで暗号化フレームを送信することが可能となる。
図4は、本発明の実施の形態にかかるOLT5のOSU52−1における秘匿対象のデータの暗号化処理を示すフローチャートである。まず、OSU52−1では、SCI生成部24が、前述の生成方法により、下りセキュアチャネルの下りSCIを生成する(ステップS1)。SCI生成部24は、生成した下りSCIを暗号化処理部22へ通知する。図5は、本発明の実施の形態にかかるSCI生成部で生成されるSCIおよび暗号化処理部で生成される初期化ベクトルを示す図である。なお、図5では上り通信および下り通信の区別をしていない記載にしているが、以降の説明では下り通信の場合について説明する。前述のように、SCI生成部24は、System Identifierには暗号化を行う機器のMACアドレス、すなわちOSU52−1のMACアドレスを用い、Port Numberには接続するONU1−1のLLIDを用いて下りSCIを生成する。SCI生成部24は、OSU52−1のMACアドレスを下りSCIの一部にして下りSCIを生成する。
OSU52−1では、暗号化処理部22に、上位回線IF部21経由で集線部51からONU1−1と接続する端末宛のフレームが入力されると、暗号化処理部22は、フレームに含まれる秘匿対象のデータを暗号化する。暗号化処理部22では、まず、下りSCIを用いて、図5に示す初期化ベクトルを生成する(ステップS2)。初期化ベクトルは、暗号化処理において使用されるビット系列である。初期化ベクトルにおいて、SCIはSCI生成部24で生成された下りSCIであり、Packet Numberは暗号化を施したフレームの累積数であり、暗号ブロックカウンタは暗号アルゴリズムにより生成されるカウンタ値である。暗号アルゴリズムは、例えば、秘匿対象のデータの長さによってカウンタ値が決まるようなアルゴリズムなどがあるが、これに限定されるものではない。ただし、ONU1−1と同じ暗号アルゴリズムとする。暗号化処理部22は、SCI生成部24で生成された下りSCIに、Packet Numberおよび暗号ブロックカウンタを設定して付与することで初期化ベクトルを生成する。
暗号化処理部22は、つぎに、図6に示すSecTAGを生成する(ステップS3)。図6は、本発明の実施の形態にかかるネットワーク装置から送信されるイーサネットフレーム、暗号化処理部で生成される暗号化フレーム、およびSecTAGの構成を示す図である。ネットワーク装置から送信されるイーサネットフレームは一般的な構成である。イーサネットフレームは、宛先MACアドレスであるDA(Destination Address)、送信元MACアドレスであるSA(Source Address)、暗号化処理部22において暗号化処理の対象となる秘匿対象のデータ、およびエラー検出用のFCS(Frame Check Sequence)により構成される。
暗号化処理部22によって暗号化された秘匿対象のデータである暗号化データを含む暗号化フレームの構成は、前述の非特許文献2に記載されている構成と同様である。暗号化フレームにおいて、DAおよびSAはイーサネットフレームのDAおよびSAをコピーしたものである。また、SecTAGおよび改ざん検出のためのICV(Integrity Check Value)は暗号化処理部22で生成して付与するものである。また、暗号化データは暗号化処理部22がイーサネットフレームの秘匿対象のデータを暗号化したデータである。また、FCSは暗号化処理部22が再計算して付与するものである。
暗号化処理部22が生成するSecTAGにおいて、MACsec EtherTypeは固定値0x88E5である。TCI(TAG Control Information)およびSL(Short Length)は非特許文献1の9.5および9.7により一意に決まる。AN(Association Number)は異なるSA(Security Association)を用いる際の識別子として使い、暗号化を行う機器、ここではOSU52−1が決定する。Packet Numberは初期化ベクトル生成時のものと同じである。
暗号化処理部22は、SecTAG内にSCI、ここでは、下りSCIを付与せずに暗号化フレームを生成する。この場合、ONU1−1では、受信した暗号化フレームには下りSCIが付与されていないことになる。なお、前述の特許文献1に記載のSecTAGでは、図6に示すPacket Numberの右側に、さらにoptionとして64bit(8byte)のSCIが付与されている。
暗号化処理部22は、初期化ベクトル、SecTAG、入力されたイーサネットフレームの宛先および送信元のMACアドレスに基づいて、暗号化関数を用いた暗号アルゴリズムにより疑似乱数を生成し、生成した疑似乱数と図6に示す秘匿対象のデータとの排他的論理和演算により暗号化処理を行う(ステップS4)。暗号化処理部22は、暗号化処理により、図6に示す暗号化データを生成する。また、暗号化処理部22は、初期化ベクトル、SecTAG、および入力されたイーサネットフレームの秘匿対象のデータに基づいて、ハッシュ関数を用いてICVを生成する(ステップS5)。暗号化処理部22は、暗号化関数およびハッシュ関数の演算において、OSU52−1とONU1−1との間で共通の暗号鍵を使用する。共通の暗号鍵をOSU52−1およびONU1−1に配布する方法については特に限定せず、従来同様の一般的な方法でよい。
暗号化処理部22は、生成したSecTAG、ICV、暗号化データ、および入力されたイーサネットフレームの宛先および送信元のMACアドレスを用いてFCSを再計算する(ステップS6)。そして、暗号化処理部22は、イーサネットフレームのDAおよびSA、生成したSecTAG、暗号化データ、ICV、およびFCSを用いて暗号化フレームを生成し、生成した暗号化フレームを送信部25へ出力する(ステップS7)。
OSU52−1において、MPCP処理部23は、接続する各ONU1とのMPCPのプロトコルに基づく接続を維持するため、定期的にMACコントロールフレームの一種であるGATEフレームを生成し、生成したGATEフレームを送信部25へ出力する。ここでは、GATEフレームを秘匿通信の対象外とし、OSU52−1において暗号化処理を行わないものとする。
送信部25は、暗号化処理部22から入力された暗号化フレームおよびMPCP処理部23から入力されたGATEフレームを多重し、多重後のフレームに物理レイヤ処理を施して、すなわちヘッダなどを付与する処理および変調処理などを行って光送受信部26へ出力する。
光送受信部26は、送信部25から入力されたフレームを電気信号から光信号に変換し、変換後の光信号のフレームを、光ファイバ4−1、光分配器3−1、および光ファイバ2−1経由でONU1−1へ送信する。
ONU1−1は、光送受信部26から送信された光信号のフレームを、光ファイバ4−1、光分配器3−1、および光ファイバ2−1経由で受信する。
ONU1−1において、光送受信部11は、受信した光信号のフレームを電気信号のフレームに変換し、変換した電気信号のフレームを受信部12へ出力する。
ONU1−1でのOSU切替検出処理について説明する。図7は、本発明の実施の形態にかかるONU1−1でのOSU切替検出処理を示すフローチャートである。受信部12は、光送受信部11から入力された電気信号のフレームに物理レイヤ処理を施して、すなわちヘッダなどを除去する処理および復調処理などを行って、OSU52−1で生成された暗号化フレームおよびGATEフレームを抽出する。受信部12は、抽出したGATEフレームをMPCP処理部13へ出力し、抽出した暗号化フレームを復号処理部16へ出力する(ステップS11)。
MPCP処理部13は、入力されたGATEフレームの送信元MACアドレスから、GATEフレームを生成したOSU52−1のMACアドレスを抽出し、抽出したOSU52−1のMACアドレスを切替検出部14へ通知する(ステップS12)。また、MPCP処理部13は、自ONU1−1のLLIDをSCI生成部15へ通知する。
切替検出部14は、MPCP処理部13から通知されたOSU52−1のMACアドレスが、前回通知されたOSUのMACアドレスと同じかどうか判断する(ステップS13)。切替検出部14は、ここでは、MPCP処理部13から通知されたOSU52−1のMACアドレスが前回通知されたOSU52−1のMACアドレスと同じため(ステップS13:Yes)、OLT5においてOSU切替が生じていないと判断する(ステップS14)。なお、MPCP処理部13から通知されたOSUのMACアドレスが前回通知されたOSUのMACアドレスから変化していた場合については後述する。切替検出部14は、MPCP処理部13から通知されたOSU52−1のMACアドレスをSCI生成部15へ通知する。
ONU1−1での暗号化データの復号処理について説明する。図8は、本発明の実施の形態にかかるONU1−1での暗号化データの復号処理を示すフローチャートである。SCI生成部15は、切替検出部14から通知されたOSU52−1のMACアドレスおよびMPCP処理部13から通知されたLLIDに基づいて下りSCIを生成する(ステップS21)。SCI生成部15は、前述のOSU52−1のSCI生成部24と同様の方法により、すなわち、OSU52−1のMACアドレスを下りSCIの一部にして下りSCIを生成する。SCI生成部15は、生成した下りSCIを復号処理部16へ通知する。
復号処理部16は、SCI生成部15から通知された下りSCI、受信部12から入力された暗号化フレームのSecTAG内のPacket Number、およびOSU52−1の暗号化処理部22と同じ暗号アルゴリズムにより生成されるカウンタ値を用いて、初期化ベクトルを生成する(ステップS22)。復号処理部16で生成された初期化ベクトルは、OSU52−1の暗号化処理部22で生成された初期化ベクトルと同じである。
復号処理部16は、生成した初期化ベクトル、入力された暗号化フレームのSecTAG、入力された暗号化フレームの宛先および送信元のMACアドレスに基づいて、暗号化関数を用いた暗号アルゴリズムにより疑似乱数を生成し、生成した疑似乱数と図6に示す暗号化データとの排他的論理和演算により復号処理を行う(ステップS23)。復号処理部16は、復号処理により図6に示す秘匿対象のデータを生成する。また、復号処理部16は、生成した初期化ベクトル、入力された暗号化フレームのSecTAG、および入力された暗号化フレームの暗号化データに基づいて、ハッシュ関数を用いてICVを生成し、入力された暗号化フレームのICVとの同一性を確認する(ステップS24)。復号処理部16は、同一性が確認できた暗号化フレームを正規のフレームとして、暗号化フレームからSecTAGおよびICVを除去する(ステップS25)。そして、復号処理部16は、暗号化データを復号された秘匿対象のデータに置き換え、秘匿対象のデータを含むフレームを生成し、生成したフレームを回線IF部17へ出力する(ステップS26)。復号処理部16は、OSU52−1の暗号化処理部22と同様、暗号化関数およびハッシュ関数の演算において、OSU52−1とONU1−1との間で共通の暗号鍵を使用する。なお、復号処理部16は、暗号化フレームのSecTAGの内容も確認するが、確認処理は非特許文献2に記載の確認処理と同様のため、詳細な説明については省略する。
回線IF部17は、復号処理部16から入力されたフレームを、接続する宛先の端末へ送信する。
図1に示す光通信システム6では、光ファイバ4−1が共有されているため、光分配器3−1の配下のONU1では、フレームの宛先の端末と接続するONU1−1以外のONU1でもフレームを受信でき、暗号化フレームを抽出することができる。しかしながら、ONU1−1以外のONU1では、OSU52−1およびONU1−1のみが持つ共通鍵を持たないことから、正しい復号処理を行うことができず、OSU52−1からONU1−1へ送信されたフレーム内のデータを盗み見ることはできない。
このように、ネットワーク装置からONU1−1と接続する端末宛に送信されたフレームに対して、OSU52−1が秘匿対象のデータを暗号化して送信し、ONU1−1で復号することにより、光通信システム6では、下り通信において秘匿通信が可能となる。
なお、上り通信において秘匿通信を行う場合、ONU1−1で秘匿対象のデータを暗号化し、OSU52−1で暗号化データを復号することになる。ONU1−1における暗号化処理は、前述のOSU52−1の暗号化処理と同様であり、OSU52−1における復号処理は、前述のONU1−1の復号処理と同様である。具体的に、ONU1−1における暗号化処理は、図4に示す暗号化処理のフローチャートにおいて、ステップS1の「下りSCI生成」を「上りSCI生成」に変更したものと同様である。また、OSU52−1における復号処理は、図8に示す復号処理のフローチャートにおいて、ステップS21の「下りSCI生成」を「上りSCI生成」に変更したものと同様である。
上り通信において秘匿通信を行う場合、上りSCIのMACアドレスにはONU1−1のMACアドレスを利用する。ONU1−1では、SCI生成部15が、MPCP処理部13から通知された自ONU1−1のMACアドレスおよびONU1−1のLLIDを用いて、上りSCIを生成する。SCI生成部15は、生成した上りSCIを暗号化処理部18へ通知する。OSU52−1では、MPCP処理部23において、MPCPによるONU1−1の発見処理においてONU1−1のMACアドレスを認識することができる。MPCP処理部23は、このときに取得したONU1−1のMACアドレスおよびLLIDをSCI生成部24へ通知する。SCI生成部24は、MPCP処理部23から通知されたONU1−1のMACアドレスおよびONU1−1のLLIDを用いて、上りSCIを生成する。SCI生成部24は、生成した上りSCIを復号処理部28へ通知する。
つづいて、OLT5において、ONU1−1と通信を行うOSUをOSU52−1から予備系OSU53に切り替える切替処理について説明する。ここで、OSU52−1から予備系OSU53にOSUを切り替える切替要因については限定せず、OSU52−1において障害が発生したことでもよいし、保守者による切替命令でもよい。図9は、本発明の実施の形態にかかるOLT5におけるOSU切替処理を示すシーケンス図である。切替制御部56は、OSU52−1〜52−Nの状態を監視し、ONU1−1と通信を行っているOSU52−1において切替要因を検出する(ステップS31)。この場合、切替制御部56は、ONU1−1と通信を行うOSUをOSU52−1から予備系OSU53に切り替える制御を行う。
切替制御部56は、まず、切替前にONU1−1と接続するOSU52−1から、OSU52−1が接続するONU1−1の情報を収集し(ステップS32)、収集したONU1−1の情報を、切替後にONU1−1と接続することになる予備系OSU53へ通知する(ステップS33)。ONU1−1の情報としては、ONU1−1のMACアドレス、LLID、共通鍵などが挙げられる。切替制御部56は、OSU52−1の切替制御IF部29を介して、OSU52−1のMPCP処理部23からONU1−1の情報を収集し、予備系OSU53の切替制御IF部29を介して、OSU52−1から収集したONU1−1の情報を、予備系OSU53のMPCP処理部23へ通知する。このように、切替制御部56は、切替要因を検出してから、共通鍵などのONU1−1の情報を予備系OSU53へ通知する。予備系OSU53は、各ONU1−1〜1−Zについての共通鍵などの情報を予め取得しておく必要はない。そのため、予備系OSU53では、運用開始時において共通鍵の設定などの事前準備を省略することができる。予備系OSU53は、ONU1−1との通信で使用する下りSCIを、OSU52−1のMACアドレスとは異なる自予備系OSU53のMACアドレスおよびONU1−1のLLIDにより生成する。前述のように、OSU52−1〜52−Nおよび予備系OSU53は同様の構成のため、予備系OSU53では、SCI生成部24が、下りSCIを生成する。予備系OSU53のMPCP処理部23は、共通鍵の情報を直接またはSCI生成部24経由で、暗号化処理部22および復号処理部28へ通知する。
切替制御部56は、つぎに、例えば非特許文献1の9.3節のFigure 9−20に記載の手順に従って、集線部51に対して、集線部51が持つ宛先識別情報について、OSU52−1の部分を予備系OSU53へ変更することを指示する(ステップS34)。これにより、OSU52−1には集線部51から秘匿対象のデータを含むフレームが入力されないことから、OSU52−1から秘匿対象のデータが暗号化された暗号化データを含む暗号化フレームの送信が停止する。
また、切替制御部56は、OSU52−1へ光信号の送信を停止するよう指示する(ステップS35)。これにより、OSU52−1からのGATEフレームの送信が停止する。OSU52−1からのGATEフレームの送信停止に伴い、OSU52−1と接続するONU1−1からのフレームの送信が停止することになる。
また、切替制御部56は、光スイッチ部55に対して光信号の選択経路の切替、すなわち経路変更を指示する(ステップS36)。具体的に、切替制御部56は、光スイッチ部55に対して光分配器54−1から入力された光信号のフレームを予備系OSU53へ出力するよう指示し、予備系OSU53から入力された光信号のフレームを光分配器54−1へ出力するよう指示する。これにより、予備系OSU53は、ONU1−1などと接続する光分配器54−1と接続することができる。
また、切替制御部56は、予備系OSU53に対して、光信号の送信開始、具体的には、GATEフレームの送信開始、およびOSU切替の切替完了を示す終了メッセージであるHOLDOVERメッセージの送信を指示する(ステップS37)。なお、HOLDOVERメッセージは、非特許文献1の9.3節に定義されているMACコントロールフレームであり、ここでは秘匿対象ではないものとする。
上記の切替制御部56の制御により、OSU52−1は動作を停止して待機状態になり、待機状態であった予備系OSU53は動作を開始する。
予備系OSU53では、MPCP処理部23がGATEフレームを生成し、送信部25がGATEフレームにヘッダなどを付与する処理および変調処理などを行って、光送受信部26が電気信号から光信号に変換して、ONU1側へ光信号のGATEフレームを送信する(ステップS38)。
予備系OSU53がGATEフレームの送信を開始すると、ONU1−1は、予備系OSU53から送信されたGATEフレームを受信する。ONU1−1では、光送受信部11が、受信したフレームを光信号から電気信号へ変換し、受信部12へ出力する。
図7のフローチャートにおいて、受信部12は、光送受信部11から入力されたフレームからヘッダなどを除去する処理および復調処理などを行ってGATEフレームを抽出し、抽出したGATEフレームをMPCP処理部13へ出力する(ステップS11)。
MPCP処理部13は、入力されたGATEフレームの送信元MACアドレスから、GATEフレームを生成した予備系OSU53のMACアドレスを抽出し、抽出した予備系OSU53のMACアドレスを切替検出部14へ通知する(ステップS12)。また、MPCP処理部13は、自ONU1−1のLLIDをSCI生成部15へ通知する。
切替検出部14は、MPCP処理部13から通知された予備系OSU53のMACアドレスが、前回通知されたOSUのMACアドレスと同じかどうか判断する(ステップS13)。切替検出部14は、ここでは、MPCP処理部13から通知されたMACアドレスが予備系OSU53のMACアドレスであり、前回通知されたOSU52−1のMACアドレスから変化があったことを検出し(ステップS13:No)、OLT5においてOSU切替が生じたと判断する(ステップS15)。切替検出部14は、通知された予備系OSU53のMACアドレスをSCI生成部15へ通知する。
図9のシーケンス図に戻って、予備系OSU53では、MPCP処理部23がHOLDOVERフレームを生成し、送信部25がHOLDOVERフレームにヘッダなどを付与する処理および変調処理などを行って、光送受信部26が電気信号から光信号に変換して、ONU1側へ光信号のHOLDOVERフレームを送信する(ステップS39)。その後、ONU1−1と予備系OSU53との間で通信が開始される。
予備系OSU53のMPCP処理部23は、OSU切替処理が完了したことを示す切替完了のメッセージを切替制御IF部29経由で、切替制御部56へ通知する(ステップS40)。以上の動作により、OSU52−1の切替要因を検出した切替制御部56は、OSU52−1から予備系OSU53への切替が完了したことを認識する(ステップS41)。
ここで、集線部51の宛先情報変更から予備系OSU53のHOLDOVERメッセージ送信までは、ネットワーク装置からONU1−1と接続する端末への通信は停止している。すなわち、予備系OSU53が暗号化フレームを送信することはないため、ONU1−1が暗号化フレームを受信することもない。そのため、ONU1−1では、予備系OSU53から暗号化フレームを受信するまでに、予備系OSU53のMACアドレスを用いた下りSCIを生成して用意しておくことができる。
予備系OSU53は、HOLDOVERメッセージ送信後、集線部51から下りフレームが受信された場合、前述のOSU52−1と同様、暗号化処理部22が、初期化ベクトルの生成、SecTAGの生成、秘匿対象のデータの暗号化処理、およびICVの生成を行う。これらの処理に用いられる下りSCIは、図4に示すように、予備系OSU53のMACアドレスおよびONU1−1のLLIDから構成される。なお、SecTAG内のANについては、ONU1−1がフレーム内のANを使えることから予備系OSU53が独自で決めてよい。Packet Numberは、SCIが変更することから、初期値に戻して初期値からカウントする。
以上の処理を行うことで、ONU1−1では、OSU切替が発生したことを検知でき、誤検出無くOSU切替の検出が可能となる。ONU1−1は、OSUの切替前においてはOSU52−1との間で秘匿通信を行うことができ、OLT5において自ONU1−1と通信を行うOSUが切り替えられた場合に、切替後の予備系OSU53との間で秘匿通信を継続して行うことができる。
なお、上記の説明では、ONU1−1のMPCP処理部13は、OSU52−1または予備系OSU53のMACアドレスをMACコントロールフレームであるGATEフレームの送信元MACアドレスから抽出しているが、一例であり、これに限定されるものではない。MPCP処理部13は、例えば、同じくMACコントロールフレームであるHOLDOVERフレームの送信元MACアドレスから抽出してもよく、定期的にOSU52−1または予備系OSU53が生成して送信するIEEE 802.3で規定されている運用、管理および保守のためのフレームであるOAM(Operations Administration and Maintenance)フレームの送信元MACアドレスから抽出してもよい。このように、ONU1−1では、OLT5でOSU切替が発生したことを検知するため、OLT5側から受信したフレームのうち送信元MACアドレスを監視する対象のフレーム、すなわち監視対象フレームを、GATEフレームなどのMACコントロールフレームである制御フレーム、または、運用、管理および保守のためのフレームとする。ONU1−1では、複数の種類のフレームを監視対象フレームにすることで、1種類のフレームを監視対象フレームにする場合よりも確実に、OLT5でOSU切替が発生したことを検知することができる。
つづいて、ONU1−1のハードウェア構成について説明する。ONU1−1において、光送受信部11は光電気変換回路および電気光変換回路により実現される。受信部12、回線IF部17および送信部19は、例えば、インタフェース回路により実現される。以降の説明では、ONU1−1の構成のうち、MPCP処理部13、切替検出部14、SCI生成部15、復号処理部16および暗号化処理部18の部分について説明する。
ONU1−1において、MPCP処理部13、切替検出部14、SCI生成部15、復号処理部16および暗号化処理部18の各機能は、処理回路により実現される。すなわち、ONU1−1は、MACコントロールフレームから送信元MACアドレスを抽出し、OLT5におけるOSU切替を検出し、SCIを生成し、暗号化データを復号し、秘匿対象のデータを暗号化するための処理回路を備える。処理回路は、専用のハードウェアであってもよいし、メモリに格納されるプログラムを実行するCPU(Central Processing Unit)およびメモリであってもよい。
図10は、本発明の実施の形態にかかるONU1−1の処理回路を専用のハードウェアで構成する場合の例を示す図である。処理回路が専用のハードウェアである場合、図10に示す処理回路91は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC、FPGA、またはこれらを組み合わせたものが該当する。MPCP処理部13、切替検出部14、SCI生成部15、復号処理部16および暗号化処理部18の各部の機能各々を処理回路91で実現してもよいし、各部の機能をまとめて処理回路91で実現してもよい。
図11は、本実施の形態にかかるONU1−1の処理回路をCPUおよびメモリで構成する場合の例を示す図である。処理回路がCPU92およびメモリ93で構成される場合、MPCP処理部13、切替検出部14、SCI生成部15、復号処理部16および暗号化処理部18の機能は、ソフトウェア、ファームウェア、またはソフトウェアとファームウェアとの組み合わせにより実現される。ソフトウェアまたはファームウェアはプログラムとして記述され、メモリ93に格納される。処理回路では、メモリ93に記憶されたプログラムをCPU92が読み出して実行することにより、各部の機能を実現する。すなわち、ONU1−1は、処理回路により実行されるときに、MACコントロールフレームから送信元MACアドレスを抽出するステップ、OLT5におけるOSU切替を検出するステップ、SCIを生成するステップ、暗号化データを復号するステップ、秘匿対象のデータを暗号化するステップが結果的に実行されることになるプログラムを格納するためのメモリ93を備える。また、これらのプログラムは、MPCP処理部13、切替検出部14、SCI生成部15、復号処理部16および暗号化処理部18の手順および方法をコンピュータに実行させるものであるともいえる。ここで、CPU92は、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサ、またはDSP(Digital Signal Processor)などであってもよい。また、メモリ93とは、例えば、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ、EPROM(Erasable Programmable ROM)、EEPROM(Electrically EPROM)などの、不揮発性または揮発性の半導体メモリ、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、またはDVD(Digital Versatile Disc)などが該当する。
なお、MPCP処理部13、切替検出部14、SCI生成部15、復号処理部16および暗号化処理部18の各機能について、一部を専用のハードウェアで実現し、一部をソフトウェアまたはファームウェアで実現するようにしてもよい。例えば、MPCP処理部13、切替検出部14およびSCI生成部15については専用のハードウェアとしての処理回路91でその機能を実現し、復号処理部16および暗号化処理部18についてはCPU92がメモリ93に格納されたプログラムを読み出して実行することによってその機能を実現することが可能である。
このように、処理回路は、ハードウェア、ソフトウェア、ファームウェア、またはこれらの組み合わせによって、上述の各機能を実現することができる。
なお、ONU1−1の構成について説明したが、OLT5の構成についても同様である。OLT5において、集線部51はインタフェース回路、光分配器54は分配回路、光スイッチ部55はスイッチ回路により実現される。また、OSU52および予備系OSU53のうち、上位回線IF部21、送信部25および受信部27は、例えば、インタフェース回路により実現される。光送受信部26は光電気変換回路および電気光変換回路により実現される。従って、OLT5の切替制御部56については、図10および図11に示す構成により実現される。また、OSU52および予備系OSU53の暗号化処理部22、MPCP処理部23、SCI生成部24、復号処理部28および切替制御IF部29については、図10および図11に示す構成により実現される。
以上説明したように、本実施の形態によれば、OLT5内のOSU52およびONU1がフレーム内の秘匿対象のデータを暗号化した暗号化フレームを送受信することで秘匿通信を行う場合に、OSU52およびONU1は、OSU52および各ONU1との間で個別に確立されるセキュアチャネルの識別子であるSCIを、データの暗号化を行う機器のMACアドレスおよびONU1毎に異なるLLIDを用いて生成する。そして、ONU1は、OSU52または予備系OSU53から送信されるMACコントロールフレームからOSU52または予備系OSU53のMACアドレスを抽出し、抽出したMACアドレスに基づいて、OLT5側で自ONU1と通信を行うOSUが切り替えられたか否かを検出することとした。これにより、OSU52または予備系OSU53が送信する暗号化フレームにSCIを付与しなくても、ONU1では、誤ったOSU切替の検出を防止することが可能である。また、ONU1はMACコントロールフレームのMACアドレスを用いてSCIを生成できることから、OSU52または予備系OSU53において送信する暗号化フレームにSCIを付与しなくてもよく、その結果、通信システム6において、通信レートの低下を抑えることができる。
以上の実施の形態に示した構成は、本発明の内容の一例を示すものであり、別の公知の技術と組み合わせることも可能であるし、本発明の要旨を逸脱しない範囲で、構成の一部を省略、変更することも可能である。
1−1〜1−Z ONU、2−1〜2−Z,4−1〜4−N 光ファイバ、3−1〜3−N,54−1〜54−N 光分配器、5 OLT、6 通信システム、11,26 光送受信部、12,27 受信部、13,23 MPCP処理部、14 切替検出部、15,24 SCI生成部、16,28 復号処理部、17 回線IF部、18,22 暗号化処理部、19,25 送信部、21 上位回線IF部、29 切替制御IF部、51 集線部、52−1〜52−N OSU、53 予備系OSU、55 光スイッチ部、56 切替制御部。

Claims (13)

  1. 1つまたは複数の加入者終端装置と、前記加入者終端装置と光通信を行う光信号伝送装置を複数備えた局側終端装置と、を含む通信システムにおける前記加入者終端装置であって、
    前記光信号伝送装置から受信したフレームから、監視対象フレームを抽出する受信部と、
    前記監視対象フレームから送信元の光信号伝送装置のアドレスである送信元アドレスを抽出する処理部と、
    前記送信元アドレスに基づいて、自装置と通信を行う光信号伝送装置が切り替えられたか否かを検出する切替検出部と、
    を備えることを特徴とする加入者終端装置。
  2. 前記監視対象フレームは、制御フレーム、または運用、管理および保守のためのフレームである、
    ことを特徴とする請求項1に記載の加入者終端装置。
  3. 前記光信号伝送装置との間の秘匿通信で使用するセキュアチャネルの識別子であるセキュアチャネル識別子を生成するセキュアチャネル識別子生成部と、
    前記セキュアチャネル識別子、および前記光信号伝送装置と共通の暗号鍵を用いて、前記光信号伝送装置から受信した暗号化フレームに含まれる暗号化データを復号する復号処理部と、
    を備え、
    前記受信部は、前記光信号伝送装置から受信したフレームから、前記暗号化フレームを抽出して前記復号処理部へ出力し、
    光信号伝送装置の切替前においては切替前の光信号伝送装置との間で秘匿通信を行い、自装置と通信を行う光信号伝送装置が切り替えられた場合に、切替後の光信号伝送装置との間で秘匿通信を行うことを特徴とする請求項1または2に記載の加入者終端装置。
  4. 前記セキュアチャネル識別子生成部は、前記光信号伝送装置のアドレスを前記セキュアチャネル識別子の一部にして前記セキュアチャネル識別子を生成する、
    ことを特徴とする請求項3に記載の加入者終端装置。
  5. 前記暗号化フレームには、前記セキュアチャネル識別子が付与されていない、
    ことを特徴とする請求項3または4に記載の加入者終端装置。
  6. 請求項1から5のいずれか1つに記載の加入者終端装置と通信を行う局側終端装置であって、
    各々が異なるアドレスをもつ複数の前記光信号伝送装置と、
    前記光信号伝送装置の状態を監視し、前記加入者終端装置と通信を行う光信号伝送装置を切り替える場合、切替前に前記加入者終端装置と接続する光信号伝送装置から接続する加入者終端装置の情報を取得し、取得した加入者終端装置の情報を、切替後に前記加入者終端装置と接続することになる光信号伝送装置へ通知する切替制御部と、
    を備えることを特徴とする局側終端装置。
  7. 前記光信号伝送装置は、
    前記加入者終端装置との間の秘匿通信で使用するセキュアチャネルの識別子であるセキュアチャネル識別子を生成するセキュアチャネル識別子生成部と、
    前記セキュアチャネル識別子、および前記加入者終端装置と共通の暗号鍵を用いて秘匿対象のデータを暗号化し、暗号化された秘匿対象のデータである暗号化データを含む暗号化フレームを生成する暗号化処理部と、
    を備えることを特徴とする請求項6に記載の局側終端装置。
  8. 前記セキュアチャネル識別子生成部は、自光信号伝送装置のアドレスを前記セキュアチャネル識別子の一部にして前記セキュアチャネル識別子を生成する、
    ことを特徴とする請求項7に記載の局側終端装置。
  9. 前記暗号化処理部は、前記セキュアチャネル識別子を付与せずに前記暗号化フレームを生成する、
    ことを特徴とする請求項7または8に記載の局側終端装置。
  10. 請求項1から5のいずれか1つに記載の加入者終端装置と通信を行う局側終端装置が備える光信号伝送装置であって、
    前記加入者終端装置との間の秘匿通信で使用するセキュアチャネルの識別子であるセキュアチャネル識別子を生成するセキュアチャネル識別子生成部と、
    前記セキュアチャネル識別子、および前記加入者終端装置と共通の暗号鍵を用いて秘匿対象のデータを暗号化し、暗号化された秘匿対象のデータである暗号化データを含む暗号化フレームを生成する暗号化処理部と、
    を備えることを特徴とする光信号伝送装置。
  11. 前記セキュアチャネル識別子生成部は、自装置のアドレスを前記セキュアチャネル識別子の一部にして前記セキュアチャネル識別子を生成する、
    ことを特徴とする請求項10に記載の光信号伝送装置。
  12. 前記暗号化処理部は、前記セキュアチャネル識別子を付与せずに前記暗号化フレームを生成する、
    ことを特徴とする請求項10または11に記載の光信号伝送装置。
  13. 請求項1または2に記載の加入者終端装置と請求項6に記載の局側終端装置とを含む、または、請求項3,4または5のいずれか1つに記載の加入者終端装置と請求項7,8または9のいずれか1つに記載の局側終端装置とを含むことを特徴とする通信システム。
JP2016011645A 2016-01-25 2016-01-25 加入者終端装置、局側終端装置、光信号伝送装置および通信システム Pending JP2017135461A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016011645A JP2017135461A (ja) 2016-01-25 2016-01-25 加入者終端装置、局側終端装置、光信号伝送装置および通信システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016011645A JP2017135461A (ja) 2016-01-25 2016-01-25 加入者終端装置、局側終端装置、光信号伝送装置および通信システム

Publications (1)

Publication Number Publication Date
JP2017135461A true JP2017135461A (ja) 2017-08-03

Family

ID=59503781

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016011645A Pending JP2017135461A (ja) 2016-01-25 2016-01-25 加入者終端装置、局側終端装置、光信号伝送装置および通信システム

Country Status (1)

Country Link
JP (1) JP2017135461A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020158383A1 (ja) * 2019-01-29 2020-08-06 日本電信電話株式会社 通信監視方法及び通信監視装置
JP2020145497A (ja) * 2019-03-04 2020-09-10 株式会社東芝 通信制御装置および通信システム
JP2020145499A (ja) * 2019-03-04 2020-09-10 株式会社東芝 通信制御装置および通信システム
JP2020145498A (ja) * 2019-03-04 2020-09-10 株式会社東芝 通信制御装置および通信システム
JP2020145496A (ja) * 2019-03-04 2020-09-10 株式会社東芝 通信制御装置および通信システム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090262937A1 (en) * 2008-04-21 2009-10-22 Teknovus, Inc. Method and apparatus for data privacy in passive optical networks
JP2014036386A (ja) * 2012-08-09 2014-02-24 Sumitomo Electric Ind Ltd 通信システム、宅側制御部、局側制御部および通信制御方法
JP2014131264A (ja) * 2012-11-30 2014-07-10 Sumitomo Electric Ind Ltd 切替検出装置、宅側装置、光回線の暗号デバイス、局側装置、光通信システム、切替検出方法、およびプログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090262937A1 (en) * 2008-04-21 2009-10-22 Teknovus, Inc. Method and apparatus for data privacy in passive optical networks
JP2014036386A (ja) * 2012-08-09 2014-02-24 Sumitomo Electric Ind Ltd 通信システム、宅側制御部、局側制御部および通信制御方法
JP2014131264A (ja) * 2012-11-30 2014-07-10 Sumitomo Electric Ind Ltd 切替検出装置、宅側装置、光回線の暗号デバイス、局側装置、光通信システム、切替検出方法、およびプログラム

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020158383A1 (ja) * 2019-01-29 2020-08-06 日本電信電話株式会社 通信監視方法及び通信監視装置
JP2020123789A (ja) * 2019-01-29 2020-08-13 日本電信電話株式会社 通信監視方法及び通信監視装置
JP7028199B2 (ja) 2019-01-29 2022-03-02 日本電信電話株式会社 通信監視方法及び通信監視装置
US11349563B2 (en) * 2019-01-29 2022-05-31 Nippon Telegraph And Telephone Corporation Communication monitor method and communication monitor device
JP2020145497A (ja) * 2019-03-04 2020-09-10 株式会社東芝 通信制御装置および通信システム
JP2020145499A (ja) * 2019-03-04 2020-09-10 株式会社東芝 通信制御装置および通信システム
JP2020145498A (ja) * 2019-03-04 2020-09-10 株式会社東芝 通信制御装置および通信システム
JP2020145496A (ja) * 2019-03-04 2020-09-10 株式会社東芝 通信制御装置および通信システム
JP7191727B2 (ja) 2019-03-04 2022-12-19 株式会社東芝 通信制御装置および通信システム
JP7191726B2 (ja) 2019-03-04 2022-12-19 株式会社東芝 通信制御装置および通信システム
JP7278807B2 (ja) 2019-03-04 2023-05-22 株式会社東芝 通信制御装置および通信システム
JP7278806B2 (ja) 2019-03-04 2023-05-22 株式会社東芝 通信制御装置および通信システム

Similar Documents

Publication Publication Date Title
ES2606959T3 (es) Mejora de seguridad de una red óptica pasiva sobre la base de una interfaz de control de gestión de terminal de red óptica
US9838363B2 (en) Authentication and initial key exchange in ethernet passive optical network over coaxial network
KR100715679B1 (ko) 인증 암호화를 통해 보안 전송을 가능하게 하는 gpon시스템 및 그 인증 암호화 방법
JP2017135461A (ja) 加入者終端装置、局側終端装置、光信号伝送装置および通信システム
US7305551B2 (en) Method of transmitting security data in an ethernet passive optical network system
CN105409157A (zh) 用于光网络的自适应业务加密
Hajduczenia et al. On EPON security issues
KR100594023B1 (ko) 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법
JP2014131264A (ja) 切替検出装置、宅側装置、光回線の暗号デバイス、局側装置、光通信システム、切替検出方法、およびプログラム
JP2015133610A (ja) 局側装置、ponシステムおよび局側装置の制御方法
JP2014036386A (ja) 通信システム、宅側制御部、局側制御部および通信制御方法
US20230231728A1 (en) Secure communication method and apparatus in passive optical network
JP5988814B2 (ja) 通信装置、子局装置、制御装置、通信システムおよび通信制御方法
JP6040631B2 (ja) 暗号化装置及び暗号化システム
ADEBUSOLA SECURITY IN SURVIVABLE EPON
JP2012080229A (ja) 受信装置及び受信制御方法、通信システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170724

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180525

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180605

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20181204