JP3805329B2 - イーサネット(登録商標)受動型光加入者ネットワークシステムでのセキュリティデータ伝送方法 - Google Patents

イーサネット(登録商標)受動型光加入者ネットワークシステムでのセキュリティデータ伝送方法 Download PDF

Info

Publication number
JP3805329B2
JP3805329B2 JP2003287843A JP2003287843A JP3805329B2 JP 3805329 B2 JP3805329 B2 JP 3805329B2 JP 2003287843 A JP2003287843 A JP 2003287843A JP 2003287843 A JP2003287843 A JP 2003287843A JP 3805329 B2 JP3805329 B2 JP 3805329B2
Authority
JP
Japan
Prior art keywords
field
ethernet
subscriber network
frame
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003287843A
Other languages
English (en)
Other versions
JP2004072775A (ja
Inventor
娥正 金
鎭熙 金
在涓 宋
世倫 林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Publication of JP2004072775A publication Critical patent/JP2004072775A/ja
Application granted granted Critical
Publication of JP3805329B2 publication Critical patent/JP3805329B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/407Bus networks with decentralised control
    • H04L12/413Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/0001Selecting arrangements for multiplex systems using optical switching
    • H04Q11/0062Network aspects
    • H04Q11/0067Provisions for optical access or distribution networks, e.g. Gigabit Ethernet Passive Optical Network (GE-PON), ATM-based Passive Optical Network (A-PON), PON-Ring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/0001Selecting arrangements for multiplex systems using optical switching
    • H04Q11/0062Network aspects
    • H04Q11/0066Provisions for optical burst or packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/0001Selecting arrangements for multiplex systems using optical switching
    • H04Q11/0062Network aspects
    • H04Q11/0071Provisions for the electrical-optical layer interface
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/0001Selecting arrangements for multiplex systems using optical switching
    • H04Q11/0062Network aspects
    • H04Q2011/0084Quality of service aspects

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)

Description

本発明はイーサネット(登録商標)受動型光加入者ネットワーク(Ethernet(登録商標) Passive Optical Network:EPON)システムに関し、特に、EPONシステムでセキュリティデータを伝送する方法に関する。
図1は一般的な受動型光加入者ネットワーク(Passive optical Network:PON)システムの物理的ネットワーク構造を示している。図1に示したように、PONは一つの光線路終端装置(OLT:Optical Line Termination)100とOLT100に接続される少なくとも一以上の光加入者ネットワーク装置(ONU:Optical Network Unit)110−1〜110−3で構成される。図1には一つのOLT100に3個のONU110−1〜110−3が接続された一例を示している。ONU110−1〜110−3にはそれぞれ少なくとも一以上の使用者(End User)又はネットワーク装置120−1〜120−3が接続されることができる。OLT100は光分配装置(ODN:Optical Distribution Network)を通じてONU(110−1〜110−3)に接続される。ODNの代表的な一例としてスプリッタがあげられる。
使用者(120−1〜120−3)から伝送されたデータ(131〜133)はONU(110−1〜110−3)を経てOLT100に伝送される。この使用者(120−1〜120−3)から伝送されたデータ(例えば、131−1、131−2、131−3)には、各伝送区間に応じて異なるリファレンス番号が割り当てられる。一方、各伝送区間の区分が必要ない場合には一つの代表リファレンス番号がデータに割り当てられ、例えば、データ(131−1〜131−3)がシングルリファレンス番号131と称されるようになる。
図1に示したように802.3イーサネット(登録商標)フレームを点対多点(point-to-multipoint)構造のネットワークを通じて伝送するEPONシステムにおける上向伝送は時分割多重(TDM:Time Division Multiplexing)方式を利用し、下向伝送は“ブロードキャスト及び選択(broadcast and selection)”方式を利用する。即ち、上向伝送時には各ONU(110−1〜110−3)のデータがTDM処理されてOLT100に伝送される。一方、下向伝送時にはOLT100からブロードキャストデータを受信したONU(110−1〜110−3)が、そのデータのうち自己に割り当てられたデータのみを選択して受信する。
しかし、この場合、次のような問題点が発生する。
第1に、EPONシステムは802.1d標準との非互換性により、ONU110−1〜110−3が相互に通信することが不可能である。即ち、EPONシステムはピア(peer)(つまり、同一階層)内の他の装置と通信ができない。従って、各ONU(110−1〜110−3)に接続されている使用者(120−1〜120−3)も相互通信は不可能である。つまり、このようなEPONシステムはピア−ツー−ピア(peer-to-peer)通信を実行することが不可能である。
しかし、このような問題は論理リンク識別子(Logical Link ID:LLID)を利用した点対点エミュレーション(point-to-point emulation)方式を利用することにより解決することができる。即ち、EPONシステムでLLIDを利用した点対点エミュレイション(point-to-point emulation)方式を利用することにより、ピア−ツー−ピア通信ができるようになる。
第2に、EPONシステムはセキュリティに対する問題がある。即ち、EPONシステムは、上述したようにOLT100が下向メッセージを全てのONU110−1〜110−3へ伝送すると、そのうち、該当するONU110−1〜110−3のみがメッセージをフィルタリングして受信する“ブロードキャスティング及び選択(broadcast and selection)方式”を選択するが、そのセキュリティが脆弱である。また、上向リンクに対してONU(110−1〜110−3)が認証されていなくても、求められていないパーティ(unwanted party)によってネットワークにアクセスすることが可能である。例えば、EPONシステムに含まれる任意のONUが、DoS(Denial of Service)攻撃や、データ及びソースファイルにアクセスするために他のONUに偽装することが可能である。従って、セキュリティを改善するために各ONUに対する認証手続きが必要である。
このため、点対多点構造のネットワークでは、各ONUやLLIDに対して認証手続きを通じた異なるキーを分配し、メッセージを暗号化(encryption)することにより、下向信号に対してはプライバシーを保障し、上向信号に対してはメッセージに対する認証をすることができる。
ATMPONシステム用暗号技術は、既に標準化が完了しており、その内容はITU−T(International Telecommunication Union-T)G.983.1に記述されている。しかし、物理プラント(physical plant)を通じたイーサネット(登録商標)フレーム伝送のためのEPONシステムにおける暗号化機能及び具現方法はITU−T標準で定義されていない。
従って、EPONシステムがピア−ツー−ピア通信をできるようなLLIDを利用した点対点エミュレーションを具現するために、LLIDをイーサネット(登録商標)フレームのプリアンブル(preamble)に入れてプロセシングする方案が提案されている(IEEE 802.3ah July meeting)。プリアンブルを暗号化(encryption)するか、又は、セキュリティサービスに対するタグ(tag)をフレームに添加する場合、LLID毎にセキュリティサービスを差別化できるであろう。
しかし、前述の方式はハードウェアの変更を必要とするので、これは他のトポロジー(topology)を有するネットワークとの互換性がない。また、プリアンブルのプロセシングを実行するためにRS階層で暗号化を遂行する間、暗号化アルゴリズムを用いてメッセージを暗号化する場合、メッセージ認証のためにメッセージだけでなくフレームチェックシーケンス(frame check sequence:FCS)も必要とされ、その結果としてこの方式はリンク管理(link management)上の問題をもたらす。即ち、この場合にエラーがあるノイジーリンク(noisy link)でFCSチェックエラーが発生すると、RS階層で暗号化機能を遂行するための提案した方式は、FCSチェックエラーがリンクや他の装置の欠陥によるものなのか、それとも不認証メッセージによるものなのかの区別が不可能になる。
また、前述の方式を利用する場合、QoS(Quality of Service)やSLA(Service Level Agreement)の具現においても問題が発生する。特に、サービス差別(service segregation)オペレーションやトラヒック差別(traffic segregation)オペレーションを遂行するために一つのONU(110−1〜110−3のいずれか一つ)に多数のLLIDを付与する場合、ガードバンド(guard band)の占有率が高くいため、結果としてリンク利用(link utilization)が非効率的になるだけでなく、ONU110−1〜110−3間のスイッチングにも多くの問題をもたらす。
また、LLIDと共に仮想LAN(Virtual LAN:VLAN)技術を連係させサービス差別オペレーションやトラヒック差別オペレーションを遂行する場合、VLANスペース(space)の大きさが限定される。さらに、異なるサービスプロバイダがサポートする多数のVLANが混在する場合、その区画(compartment)を支援しない方式ではVLAN間の相互運用性(interoperability)がないので、一つの物理トポロジー(physical topology)上で前述の各オペレーションの遂行が困難である。
従って、前述の問題を解決するための本発明の第1目的は、EPONシステムでデータ伝送時にセキュリティを強化することができる方法を提供することにある。
また、本発明の第2目的は、EPONシステムで802.1dプロトコルとの非互換性を解決し、使用者対使用者間通信を可能にするデータ伝送方法を提供することにある。
さらに、本発明の第3目的は、点対多点構造のEPON構造で有するセキュリティ問題を解決するために、暗号化を通じたEPONシステムでのセキュリティ通信方法を提供することにある。
このような目的を達成するために本発明は、1つの光線路終端装置(OLT)と接続された光分配装置(ODN)と該分配装置(ODN)と接続された複数の光加入者ネットワーク装置(ONU)を有し、各光加入者ネットワーク装置(ONU)が複数の使用者と接続されたイーサネット(登録商標)受動型光加入者ネットワークシステム(EPON)での光線路終端装置(OLT)と目的地使用者間にセキュリティデータを伝送するセキュリティ通信方法であって、光線路終端装置が、当該光線路終端装置と光加入者ネットワーク装置との間でセキュリティ通信を遂行するために、目的地アドレスを示すDAフィールドと、発信地アドレスを示すSAフィールドと、論理リンクIDを含むクリア受動型光加入者網タグヘッダーフィールドと、PDUフィールドと、メッセージの完全性をチェックするためのICVフィールドと、FCSチェックのためのFCSフィールドと、を含むイーサネットフレームを生成するステップと、生成されたイーサネットフレームを伝送するステップとを含み、クリア受動型光加入者網タグヘッダーフィールドは、イーサネットフレームが特殊タグフレームであることを示すための、2バイトの予備LSAPである16進数の‘ox0A0A’と1バイトのUIC(Unnumbered Information Control; ISO/IEC8802-2:1998)の値‘ox03’とを結合した値が指定されるデジグネータフィールドと、各ONUを区別してピアツーピア(peer to peer)通信を可能にするとともに、各ONUに対するサービスをユーザーグループ別に区別して、サービス差別又はトラヒック差別を可能にする識別子としての、3ビットのグループビットの値‘101’、17ビットの論理リンクIDフィールド、及び12ビットのSIDフィールドと、から構成されるPAIDフィールドと、を含むことを特徴とする。
また、上記PAIDフィールドは、管理情報ベースに関する情報及び関連プロトコル情報が格納された管理情報フィールドをさらに備えることが好ましい。
本発明のセキュリティデータ伝送方法によると、論理リンクに該当するLLIDフィールドをイーサネット(登録商標)メッセージフレームに含ませて伝送するので、EPONシステム物理階層に対して独立的な技術を具現することができるようになる。また、既存の物理階層に該当する多様な物理環境やネットワークトポロジーに対しても互換性がある信号処理基盤を形成できるので、これに基づいてセキュリティ通信を遂行することができるようになる。さらに、サービスプロバイダや全ONUに対してLLIDフィールドをグループIDに加えることにより、VLANスペースを拡張することができ、VLAN間の相互運用性を具現することができるようになる。さらにまた、PAIDフィールドを利用することにより、サービス差別オペレーション、トラヒック差別オペレーション、伝送率限定などを具現することができ、これをプライベートリンク化することができるセキュリティサービスが可能になる。さらにまた、LLIDフィールドやPAIDフィールド別にキー管理を行うので、データ完全性、データソース完全性、機密性などが高いセキュリティサービスが可能になる。
以下、本発明に従う好適な一実施形態について添付図を参照しつつ詳細に説明する。下記の説明において、本発明の要旨のみを明瞭にする目的で、関連した公知機能又は構成に関する具体的な説明は省略する。
本発明の一実施形態は、一つのOLT100とOLT100に接続される多数のONU110−1〜110−3で構成された点対多点構造のEPONシステムで、点対点エミュレーションを通じた論理リンクを形成し、この論理リンクを排他的なプライベートリンクに形成するために、それぞれの論理リンクをセキュリティサービスのデータの塊(granularity)として暗号化することにより、秘密データの伝送を可能にする。本発明の一実施形態はVLAN技術と連動して物理ネットワークに論理的VLANトポロジーを具現し、さらにQoSやSLAが可能な根拠を提供する技術である。
このための本発明の特徴は、点対点エミュレーションを遂行するためのLLIDをイーサネット(登録商標)フレーム内に挿入することにある。イーサネット(登録商標)フレーム内に挿入された識別子(identifier:ID)を各種VLANに対するグループIDとレート限定(rate limiting)及びサービス差別(service segregation)などを遂行するために、VLANやこれと類似な目的のIDの結合体と見なして暗号メカニズムを遂行する。イーサネット(登録商標)フレーム内にデータ完全性チェック(data integrity check)やデータ地オリジナル完全性チェック(data origin integrity check)などを遂行するフィールドを挿入し、これをメッセージと共に暗号化する。
図2は本発明の一実施形態に従うイーサネット(登録商標)メッセージフレームフォーマットである。
図2を参照すると、本発明の一実施形態に従うイーサネット(登録商標)メッセージフレームは、プリアンブル(PA)フィールド200、目的地アドレス(Destination Address:DA)フィールド202、ソースアドレス(Source Address:SA)フィールド204、クリアPONタグヘッダ(clear PON tag header)フィールド206、プロテクトタグヘッダ(protected tag header)フィールド208、パケットデータユニット(Packet Data Unit:PDU)フィールド210、パッド(PAD)フィールド212、ICV(Integrity Check Value)フィールド214、FCSフィールド216を含んでいる。
クリアPONタグヘッダフィールド206は‘セキュリティフレーム’として機能し、及び、セキュリティデータの伝送を示す。クリアPONタグヘッダフィールド206は図3を参照して後述する。プロテクトタグヘッダフィールド208はオプションフィールドであり、暗号化フィールドとして機能し、また、例えば、完全性チェック情報、セキュリティラベル(security label)情報、フラグメントID(fragment ID)情報及びフラグ(flag)情報などの様々なオプション情報をデータ発信局(data originating station)と共に伝達するのに用いられる。
PADフィールド212もオプションフィールドである。システムが使用する暗号アルゴリズム(confidentiality algorithm)や完全性アルゴリズム(integrity algorithm)が一定長さのデータを必要とする場合、そのデータ長さに応じてイーサネット(登録商標)メッセージフレームに加えることもでき、加えなくてもよい。この一実施形態では、PADフィールド212がパケット長さを保存するためのメカニズム、例えば、OCBモード(Block-cipher mode of operation)、CSTモードなどの暗号化モードを使用する場合は必要ない。一方、パディング(padding)が必要なアルゴリズムの場合、パッドフィールド212の最後の領域にパッド長さを表示するフィールドが付加されるべきである。
ICV(Integrity Check Value)フィールド214はメッセージ完全性(message integrity)をチェックするために使用される。例えば、暗号化アルゴリズムとしてAES(Advanced Encryption Standard)を使用したOCBモードを適用する場合、ICVフィールド214の値は4バイトや10バイトのチェックサム(check sum)に該当する。完全性チェックの範囲はプロテクトタグヘッダーフィールド208、PDUフィールド210、パッドフィールド212に対して適用することができる。
図3は図2に示したイーサネット(登録商標)メッセージフレームフォーマットのうち、特に、クリアPONタグヘッダー206を示した図である。
図3を参照すると、クリアPONタグヘッダー206(いわゆる、セキュリティフレーム)は、イーサネット(登録商標)フレームが特定のタグフレーム(tagged frame)であることを示すデジグネータ(designator)フィールド300、PON関連ID(PON Association ID:PAID)フィールド302、その他に付加されるオプション(optional)フィールド304で構成される。図3にはオプションフィールド304として管理定義フィールド(Management Defined Field:MDF)304を示している。
デジグネータフィールド300、802.10との互換性のために、2バイトの予備LSAP(Link service access point)である16進数の‘ox0A0A’と1バイトのUIC(Unnumbered Information Control;ISO/IEC8802−2:1998)の値‘ox03'を結合(concatenated)した値‘0A0A03’を指定して使用することができる。
PAIDフィールド302はピア−ツー−ピア通信ができるように各ONU110−1〜110−3を区別するIDを含んでいる。このIDはサービス差別やトラヒック差別ができるように各ONU110−1〜110−3に関するサービスを全ての使用者グループ別に分類される。ここで、IDには相異なるキーがそれぞれ与えられ、セキュリティサービスを遂行するエンティティオブジェクト(entity object)と見なすことができる。
図3に示したようにPAID302は、ONU110−1〜110−3又は相異なるサービス提供者のような管理エンティティ(management entity)を区分するLLIDフィールド312と、シングルONU110−1、110−2、〜110−3が制御する多数のエンティティを生成するためにグループIDとしてLLIDフィールドに適応するためのSID(Security ID)フィールド314で構成される。ここで、クラスの多様性は管理エンティティが制御するSIDの個数に従って提供され、各種クラスにLLIDフィールド312の個数及びSIDフィールド314の個数を制限させることができる。802.10との互換を確立するために3ビットのグループビット(group-bits)310の値‘101’17ビットのLLIDフィールド312及び12ビットのSIDフィールド314を使用するのが好ましい。この場合、LLIDフィールド312はさらにブロードキャスト/ユニキャスト(broadcast/unicast)を示す1ビットのモードビット(mode bit)と16ビットの実際のLLID312で構成されることもできる。SIDフィールド314は既存のVLAN技術を使用する場合におけるVLANIDに該当する。
この実施形態の場合、65,536個の相異なるONU110−1〜110−3と管理者の組み合わせは4096個の相異なるVLANを支援することができる。目的地がマルチキャストグループIDである場合、PAIDフィールド302は該当グループにおける全使用者に共通の値に設定されることができる。即ち、管理エンティティはマルチキャストグループアドレスに対して単一のマルチキャストグループPAIDを割り当て、一定キーをセキュリティサービスを行うグループのメンバーに割り当てることにより、マルチキャストデータを管理及び制御することができる。
MDF304はオプションフィールドとして、各種管理情報ベース(Management Information Base:MIB)に関する情報やプロトコル情報などを含むことができる。
前述したように、本発明の一実施形態では図2及び図3に示したセキュリティデータ伝送フレームを生成し、この生成したフレームを伝送することにより、セキュリティデータをEPONで伝送することができるようになる。
図4は本発明の一実施形態に従うEPONプロトコルスタックを示している。特に、図4ではEPONシステムでセキュリティ通信機能を遂行するプロトコールスタックの形式を階層構造で表示したものである。図4に示したように、EPONプロトコルスタックは、マック(Media Access Control:MAC)クライアント階層(MAC client)400−1、400−2、MPCP(Multi-Point Control Protocol or MAC control)階層(MAC cont(MPCP))402、キー管理、LLID割り当て、DB管理などの多様なマック制御ファンクションを遂行するMPCPワーク(MPCP work)階層(MPCP work(Key manag, LLID allo, DBA))420、暗号化(encryption)階層404、MAC階層406、RS階層408、PCS階層410、PMA階層412、PMD階層414、を含む。
図2及び図3に例示されたセキュリティデータ伝送フレームは暗号化階層404で生成される。
図5は本発明の一実施形態に従うEPONプロトコルスタックに含まれる暗号化階層404を示した図である。特に、図5は図4に示したEPONプロトコルスタックに含まれる暗号化階層404の基本命令を示している。
図3及び図5を参照すると、多数のPAIDフィールド302は、サービス/トラヒック差別を遂行するエンティティを区別するために用いられ、異なるキーが与えられたエンティティを示している。また、PAIDフィールド302は、全ONUに対するグループIDに異なるキーを割り当て、全SIDに対してサービス/トラヒック差別を遂行することもできる。
セキュリティサービスが提供されない場合、IEEE802.10VLANフレームであることを示す特定値がデジグネータフィールド300に記録され、実際のVLAN IDがPAIDフィールド302に含まれるSIDフィールド314に記録される。これを通じて、サービスプロバイダや全ONUに対するVLANスペースを暗号化過程に関するオーバヘッドなしで拡張して作ることができるようになり、QoS、SLA、伝送率などの制約を無効にできる。
ただし、この場合、暗号化をするか否かの暗号化情報に応じて、暗号化プロセシングタイムにより実際のパケットの伝送往復に要する時間であるRTT(Round Trip Time)値が変化する点に注意を要する。従って、暗号化エンジンはパケット長さに関わらず処理時間(processing time)が消費されるようにパラレルプロセシング(parallel processing)することが好ましい。また、暗号化されない(encryption-disable)パケットの場合も固定RTTを保障するために暗号化プロセスと同一の遅延時間をもたらすように調整する必要がある。
セキュリティサービスを支援する場合、メッセージ伝送はMACクライアント400−1、400−2でトリガーされて、暗号化階層404に伝送される。この場合、クリアタグヘッダー206がMAC上位階層402から暗号化階層404に挿入される。以後、図5に示したように、DAメッセージ、SAメッセージ、m_sduメッセージなどがEnc_UNIDATA.request505により暗号化階層404に伝送される。セキュリティメカニズムに関するプロテクトタグヘッダーフィールド208及びPADフィールド212が暗号化するか否かの情報に従って暗号化レイヤ404に挿入される。暗号化レイヤ404は、完全性チェック動作を行う完全性チェックフィールドを含んでおり、プロテクトタグヘッダーフィールド208、PADフィールド212及びICVフィールド214と共にこれらのメッセージを暗号化する。即ち、イーサネット(登録商標)フレーム上で暗号化される領域はプロテクトタグヘッダーフィールド208からICVフィールド214までである。
図5のMA_UNITDATA.request501は図2で定義したイーサネット(登録商標)メッセージフレームフォーマットでFCSフィールド216を除外したイーサネット(登録商標)フレームである。MA_UNIDATA.indication503はMAC階層406から暗号化階層404に伝送されるイーサネット(登録商標)フレームを示し、Enc_UNIDATA.indication507は暗号化階層404からMPCT420に伝送されるイーサネット(登録商標)フレームを示す。
エラー訂正のために、暗号化データを含むMACフレームで物理的エラーが発生するかどうかをチェックするためのFCSフィールド216がMAC階層406に加えられる。MAC階層406は受信したメッセージに対してMAC階層406に伝送されたイーサネット(登録商標)フレームの暗号化データを持つ全てのイーサネット(登録商標)フレーム領域(DA〜ICV)202〜214に対してFCSチェックを遂行する。また、方式伝送されたイーサネット(登録商標)フレームを受信するMAC階層406は前述した方式を用いて自己が遂行したFCS結果値と受信したイーサネット(登録商標)フレームに含まれたFCSフィールド216の値とを比較し、その結果を受信状態(receive_status)信号として上位階層に伝達する。この場合、MAC階層406はイーサネット(登録商標)フレームからFCSフィールド216を取り除く。以後、伝送時と逆に復元(description)過程、完全性チェックが連続して行われ、その値をICVフィールド214の値と比較する。その結果の値がICVフィールド214の値と一致しなければ、メッセージ完全性可否カウント(message integrity break count)に情報を記録する。
暗号化フィールドのチェックサム値がFCSの値と一致してFCSチェック過程が完全に行われた場合、これはリンクやプロセス上の欠陥によるエラーがない状態を意味する。また、以後の復元過程を経て復元されたICVフィールドのチェックサム値がICVフィールドの値と一致する場合、これは、正しいキーを用いて暗号化されたチェックサム値である状態を意味するので、メッセージの完全性を立証することができるようになる。上述したように、FCSチェックはリンクや処理過程のエラーをチェックするためのものであり、ICVチェックはイーサネット(登録商標)フレーム又はメッセージソースに含まれたメッセージの完全性をチェックするためのものである。
以後、パッドフィールド212、暗号化タグ、ICVフィールド214などが取り除かれ、PAIDフィールド302を含むクリアタグヘッダーフィールド206、PDUフィールド210、DAフィールド202、SAフィールド204をMACクライアント400−1、400−2に伝送する。
以上の説明では、本発明を具体的な一実施形態に基づいて説明したが、特許請求の範囲に定められる本発明の範囲を逸脱しない限り、各種の変形が当該技術分野における通常の知識を持つ者により可能なのは明らかである。
一般的なPONシステムの物理的構造を示した図。 本発明の一実施形態に従うEPONイーサネット(登録商標)フレームのメッセージフォーマットを示した図。 本発明の一実施形態に従うクリアPONタグヘッダーフォーマットを示した図。 本発明の一実施形態に従うEPONのプロトコールスタックを示した図。 本発明の一実施形態に従うEPONのプロトコルスタックのうち、特に、暗号化階層を示す図。
符号の説明
200 PA(プリアンブル)フィールド
202 DA(目的地アドレス)フィールド
204 SA(ソースアドレス)フィールド
206 クリアPONタグヘッダフィールド
208 プロテクトタグヘッダフィールド
210 PDU(パケットデータユニット)フィールド
212 PADフィールド
214 ICV(完全性チェック値)フィールド
216 FCS(フレームチェックシーケンス)フィールド
300 デジグネータフィールド
302 PAID(PON関連ID)フィールド
304 オプションフィールド(MDF)
310 グループビット
312 LLIDフィールド
314 SIDフィールド
400−1,400−2
402 MAC(マック)クライアント階層
404 暗号化階層
406 MAC階層
408 RS階層
410 PCS階層
412 PMA階層
414 PMD階層
420 MPCPワーク階層

Claims (2)

  1. 1つの光線路終端装置と接続された光分配装置と該分配装置と接続された複数の光加入者ネットワーク装置を有し、各光加入者ネットワーク装置が複数の使用者と接続されたイーサネット(登録商標)受動型光加入者ネットワークシステムでの前記光線路終端装置と目的地使用者間にセキュリティデータを伝送するセキュリティ通信方法であって、
    前記光線路終端装置が、当該光線路終端装置と前記光加入者ネットワーク装置との間でセキュリティ通信を遂行するために、
    目的地アドレスを示すDAフィールドと、発信地アドレスを示すSAフィールドと、論理リンクIDを含むクリア受動型光加入者網タグヘッダーフィールドと、PDUフィールドと、メッセージの完全性をチェックするためのICVフィールドと、FCSチェックのためのFCSフィールドと、を含むイーサネットフレームを生成するステップと、
    生成された前記イーサネットフレームを伝送するステップとを含み、
    前記クリア受動型光加入者網タグヘッダーフィールドは、
    前記イーサネットフレームが特殊タグフレームであることを示すための、2バイトの予備LSAPである16進数の‘ox0A0A’と1バイトのUICの値‘ox03’とを結合した値が指定されるデジグネータフィールドと、
    各ONUを区別してピアツーピア通信を可能にするとともに、各ONUに対するサービスをユーザーグループ別に区別して、サービス差別又はトラヒック差別を可能にする識別子としての、3ビットのグループビットの値‘101’、17ビットの論理リンクIDフィールド、及び12ビットのSIDフィールドと、から構成されるPAIDフィールドと、を含むことを特徴とするセキュリティ通信方法。
  2. 前記PAIDフィールドは、管理情報ベースに関する情報及び関連プロトコル情報が格納された管理情報フィールドをさらに含むことを特徴とする請求項1に記載のセキュリティ通信方法。
JP2003287843A 2002-08-07 2003-08-06 イーサネット(登録商標)受動型光加入者ネットワークシステムでのセキュリティデータ伝送方法 Expired - Fee Related JP3805329B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020020046600A KR100594153B1 (ko) 2002-08-07 2002-08-07 점대다 토폴로지의 네트워크에서 논리링크의 형성과 그보안 통신 방법

Publications (2)

Publication Number Publication Date
JP2004072775A JP2004072775A (ja) 2004-03-04
JP3805329B2 true JP3805329B2 (ja) 2006-08-02

Family

ID=31492819

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003287843A Expired - Fee Related JP3805329B2 (ja) 2002-08-07 2003-08-06 イーサネット(登録商標)受動型光加入者ネットワークシステムでのセキュリティデータ伝送方法

Country Status (3)

Country Link
US (1) US20040028409A1 (ja)
JP (1) JP3805329B2 (ja)
KR (1) KR100594153B1 (ja)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4307381B2 (ja) 2002-09-13 2009-08-05 ピーエムシー−シエラ イスラエル リミテッド 複数のエンティティーを有するネットワークユニットを含むイーサネット(登録商標)パッシブ光ネットワークの操作方法
KR100933167B1 (ko) * 2002-10-02 2009-12-21 삼성전자주식회사 트리 구조 네트워크 상에서의 인증과 프라이버시 보장을위한 전송 방법
KR100456675B1 (ko) * 2002-11-26 2004-11-10 한국전자통신연구원 이더넷 pon의 매체접근제어 계층에서의 이더넷 데이터처리방법 및 장치
KR100448635B1 (ko) * 2002-11-27 2004-09-13 한국전자통신연구원 이더넷 기반의 수동 광통신망에서의 통신 노드 시스템,제어 노드 시스템, 및 이를 이용한 통신 시스템
US8862866B2 (en) 2003-07-07 2014-10-14 Certicom Corp. Method and apparatus for providing an adaptable security level in an electronic communication
DE102004040312B4 (de) 2003-08-19 2018-11-15 Certicom Corp. Verfahren und Vorrichtung zum Synchronisieren einer anspassbaren Sicherheitsstufe bei einer elektronischen Datenübertragung
US6967949B2 (en) * 2003-09-15 2005-11-22 Teknovus, Inc. Method and apparatus for forwarding packets in an ethernet passive optical network
US7349537B2 (en) * 2004-03-11 2008-03-25 Teknovus, Inc. Method for data encryption in an ethernet passive optical network
KR100608906B1 (ko) * 2004-12-10 2006-08-08 한국전자통신연구원 Epon에서의 링크 보안을 위한 보안 모듈 발견 방법
US7636354B2 (en) * 2004-12-11 2009-12-22 Alcatel Lucent Deriving passive optical network port identifiers
US7797745B2 (en) * 2004-12-22 2010-09-14 Electronics And Telecommunications Research Institute MAC security entity for link security entity and transmitting and receiving method therefor
KR100723832B1 (ko) * 2004-12-22 2007-05-31 한국전자통신연구원 링크 보안을 위한 매체 접근 제어 보안 장치 및 송수신방법
JP4693518B2 (ja) * 2005-06-22 2011-06-01 三菱電機株式会社 マルチキャスト通信装置及びこれを用いたponシステム
US8086872B2 (en) * 2005-12-08 2011-12-27 Electronics And Telecommunications Research Institute Method for setting security channel based on MPCP between OLT and ONUs in EPON, and MPCP message structure for controlling frame transmission
EP1830517B1 (en) * 2006-03-03 2009-08-12 Nokia Siemens Networks Gmbh & Co. Kg A method, communication system, central and peripheral communication unit for secure packet oriented transfer of information
CA2941216C (en) 2006-04-13 2018-11-27 Certicom Corp. Method and apparatus for providing an adaptable security level in an electronic communication
KR100889729B1 (ko) * 2006-11-30 2009-03-24 한국전자통신연구원 이더넷 수동형 광가입자망에서 멀티캐스트 및 가상랜서비스를 효율적으로 제공하기 위한 프레임 처리 방법
US8582966B2 (en) * 2007-09-10 2013-11-12 Cortina Systems, Inc. Method and apparatus for protection switching in passive optical network
US8335316B2 (en) * 2008-04-21 2012-12-18 Broadcom Corporation Method and apparatus for data privacy in passive optical networks
CN102148682B (zh) * 2010-02-08 2016-02-10 中兴通讯股份有限公司 一种对发光异常光网络单元正确定位的方法及系统
CN103138924B (zh) * 2011-11-24 2017-12-08 中兴通讯股份有限公司 一种epon系统中加密数据帧解密方法及装置
US9363016B2 (en) * 2011-12-02 2016-06-07 Futurewei Technologies, Inc. Apparatus and method for reducing traffic on a unified optical and coaxial network
CN103188716B (zh) * 2011-12-29 2018-08-03 中兴通讯股份有限公司 Rudp链路故障定位方法及装置
US20130315238A1 (en) * 2012-05-25 2013-11-28 Broadcom Corporation Method and Apparatus for Extending Multipoint Control Protocols to Mixed Media Access Systems
US10419401B2 (en) * 2016-01-08 2019-09-17 Capital One Services, Llc Methods and systems for securing data in the public cloud
US10841670B2 (en) * 2018-02-13 2020-11-17 Juniper Networks, Inc. Methods and apparatus for consistency check in disaggregated dense wavelength-division multiplexing (DWDM) systems
US10887289B2 (en) * 2018-08-21 2021-01-05 Fujitsu Limited Encryption in optical transport networks using multiple randomly selected keys
WO2021093185A1 (en) * 2020-01-31 2021-05-20 Zte Corporation Fast detection and recovery of a rogue optical network unit using a reset signal

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4980913A (en) * 1988-04-19 1990-12-25 Vindicator Corporation Security system network
IL102394A (en) * 1992-07-02 1996-08-04 Lannet Data Communications Ltd Method and apparatus for secure data transmission
US5473696A (en) * 1993-11-05 1995-12-05 At&T Corp. Method and apparatus for combined encryption and scrambling of information on a shared medium network
KR0150258B1 (ko) * 1994-12-14 1998-10-15 양승택 수동광통신망의 버스트 데이타 전송장치
KR100281402B1 (ko) * 1998-11-26 2001-02-01 정선종 비동기 전송 모드-폰 시스템의 광 선로 종단장치에서의 하향메시지 할당 방법
JP3116938B2 (ja) * 1999-02-26 2000-12-11 日本電気株式会社 Atm−ponシステムにおけるontの暗号化制御装置及びその制御方法。
US20030007724A1 (en) * 2001-07-05 2003-01-09 Broadcom Corporation System, method, and computer program product for optimizing video service in ethernet-based fiber optic TDMA networks
US7411980B2 (en) * 2001-12-14 2008-08-12 Broadcom Corporation Filtering and forwarding frames within an optical network
KR100640394B1 (ko) * 2002-09-19 2006-10-30 삼성전자주식회사 이더넷 수동형광가입자망에서 멀티캐스트 llid 생성방법
US8027473B2 (en) * 2003-01-13 2011-09-27 Conexant Systems, Inc. System and method for improved data protection in PONs
KR100523357B1 (ko) * 2003-07-09 2005-10-25 한국전자통신연구원 이더넷 기반 수동형 광네트워크의 보안서비스 제공을 위한키관리 장치 및 방법

Also Published As

Publication number Publication date
KR20040013601A (ko) 2004-02-14
US20040028409A1 (en) 2004-02-12
JP2004072775A (ja) 2004-03-04
KR100594153B1 (ko) 2006-06-28

Similar Documents

Publication Publication Date Title
JP3805329B2 (ja) イーサネット(登録商標)受動型光加入者ネットワークシステムでのセキュリティデータ伝送方法
US7797745B2 (en) MAC security entity for link security entity and transmitting and receiving method therefor
JP3774455B2 (ja) イーサネット(登録商標)受動型光加入者網システムにおけるデータ転送方法
US8181014B2 (en) Method and apparatus for protecting the routing of data packets
US8442229B2 (en) Method and apparatus for providing security in a passive optical network
US7979693B2 (en) Relay apparatus for encrypting and relaying a frame
US8335316B2 (en) Method and apparatus for data privacy in passive optical networks
JP2008104040A (ja) 共通鍵生成装置および共通鍵生成方法
JP5467574B2 (ja) EPON(1GEPONと10GEPON)ネットワークにおけるIEEE802.1AEと802.1afセキュリティの実行方法
US8576845B2 (en) Method and apparatus for avoiding unwanted data packets
US20050175183A1 (en) Method and architecture for secure transmission of data within optical switched networks
CN111010274B (zh) 一种安全低开销的SRv6实现方法
JPWO2007135858A1 (ja) 光通信システム、局側装置および加入者側装置
WO2011017986A1 (zh) 一种无源光网络中ploam消息的传输方法及组装方法
WO2013104987A1 (en) Method for authenticating identity of onu in gpon network
EP1830517B1 (en) A method, communication system, central and peripheral communication unit for secure packet oriented transfer of information
Hajduczenia et al. On EPON security issues
KR100594023B1 (ko) 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법
CN115473729B (zh) 数据传输方法、网关、sdn控制器及存储介质
US7376828B1 (en) Method and apparatus for using incompletely trusted service provider point-to-point networks
Kim et al. The implementation of the link security module in an EPON access network
JP2005354504A (ja) 光加入者線端局装置、光加入者線終端装置およびその通信方法
JP2006245778A (ja) 通信装置、通信方法、およびプログラム
JP2013072965A (ja) 共通鍵暗号通信システム

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20040713

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20040803

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20051219

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060110

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060410

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060502

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060509

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100519

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110519

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120519

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130519

Year of fee payment: 7

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees