JP4558700B2 - 認証暗号化を通じて保安伝送を可能にするgponシステム及びその認証暗号化方法 - Google Patents

認証暗号化を通じて保安伝送を可能にするgponシステム及びその認証暗号化方法 Download PDF

Info

Publication number
JP4558700B2
JP4558700B2 JP2006296283A JP2006296283A JP4558700B2 JP 4558700 B2 JP4558700 B2 JP 4558700B2 JP 2006296283 A JP2006296283 A JP 2006296283A JP 2006296283 A JP2006296283 A JP 2006296283A JP 4558700 B2 JP4558700 B2 JP 4558700B2
Authority
JP
Japan
Prior art keywords
authentication
gtc
unit
frame
downlink frame
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006296283A
Other languages
English (en)
Other versions
JP2007159104A (ja
Inventor
キム、クワン、オク
クウォン、ユル
キム、ボン、テ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electronics and Telecommunications Research Institute ETRI
Original Assignee
Electronics and Telecommunications Research Institute ETRI
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electronics and Telecommunications Research Institute ETRI filed Critical Electronics and Telecommunications Research Institute ETRI
Publication of JP2007159104A publication Critical patent/JP2007159104A/ja
Application granted granted Critical
Publication of JP4558700B2 publication Critical patent/JP4558700B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Optical Communication System (AREA)

Description

本発明はギガビット受動型光ネットワーク(Gigabit-capablePassive Optical Networks: GPON)に関するもので特に、GPONにおけるOLTの下り伝送においてそれぞれのONUに対する認証暗号化を通じて保安伝送を可能にするシステム及びその認証暗号化方法に関するものである。
近年、ITU(International Telecommunication Union)-T G.984グループはPON(Passive Optical Network) 基盤の加入者アクセス網を通してATM(Asynchronous Transfer Mode)セル及びイーサネット(Ethernet)(登録商標)フレーム、TDM(Time-Division Multiplexing)パケットなどを效率的に伝送し、最大2.5Gbpsの帯域を提供することが可能なGPON規格を標準化した。GPONはSONET(Synchronous Optical Network)のように125us週期(8KHz)のフレーム伝送方式を利用してTDMサービス及びE1/T1サービス、POTS(Plain Old Telephone Service)を提供することができ、2.5Gbpsの広帯域に数百チャンネルの高品質放送サービス及びIP(Internet Protocol) データサービスが提供できる。このようなGPONは米国やヨーロッパで予め使用中のAPON(ATM PON)の代替用として利用されている。
GPONシステムは一般的に一つのOLT(Optical Line Terminal)から出力されるTDM方式の光信号が光分配器を通してそれぞれのONUに提供される構造を有するが、こうした構造では下り方向にブロードキャスト特性を有するので、一つのOLTから伝送された下りフレーム等は全ONUに伝達される。従って、正常な場合にはそれぞれのONUは自らに伝送されるフレームのみをフィルターリングし受信するように具現されているが、仮に悪意のある加入者がフレームフィルターリングする部分を簡単に操作するとその人は他のONUに伝送される重要な情報を見ることが可能にする。
これにより、現在GPON標準ではこのようにGPONシステム内において伝送される情報を他のONU等が見れないようにするため、伝送されるサービスデータのペイロードに対しては128bits CTR(Counter)-AES(Advanced Encryption Standard)を利用した暗号化を遂行するように規格を定義している。しかし、ペイロードとともに伝送されるフレームヘッダ中にも重要な情報である網運用管理(PLOAM : Physical Layer OAM)情報及び上がり帯域割り当て(BA : Bandwidth Allocation)情報などが含まれるが、このような情報についてはいかなる保安機能も提供できない。従って、かかるフレームヘッダに含まれた情報等の場合は相変らず認証されなかったONU等の簡単な操作によって露出されやすく、これらの情報を悪用して他のONU等のサービスを妨げる恐れのある問題点が生じる。
図1は、従来技術によってペイロードに対する暗号化機能を提供するためのGPONシステムに対する一実施例構成図である。
図1を参照すれば、従来技術によってペイロードに対する暗号化機能を提供するためのGPONシステムは、外部のサービス提供者からデータが伝達され一つの光信号で構成した後これを伝送し連結された多数のONU12からの上がりデータを受信してこれを外部に伝送するOLT11とユーザー側装置にOLT11を通して提供される光信号を受信して、これを光電変換して使用者に提供するONU12から成る。
それぞれの構成を上下りデータを作成するための階層構造の側面でさらに詳しく説明すると、OLT11は帯域に対する割り当て情報であるDBA(Dynamic Bandwidth Allocation)信号、PLOAM情報を伝送するためのPLOAM信号などを受信してフレームヘッダを生成するヘッダ生成部101、ATM SDU(Service Data Unit)とGEM SDU(Service Data Unit)を受信してそれぞれ処理するペイロード生成部102、ペイロード生成部102でATMとGEMに分けられ処理されたペイロード信号を受信してこれをそれぞれ暗号化するペイロード暗号化部103、ヘッダ生成部101で生成されたヘッダとペイロード暗号化部103で暗号化されたペイロードを一つの下り信号に多重化する多重化部104及び多重化された下り信号を光信号に変換して伝送する電光変換部105を含む。
ここで、それぞれの構成部をさらに詳しく説明すると、上記ヘッダ生成部101はそれぞれのONU12の上がり帯域情報を示すDBA情報、網運用管理情報を示すPLOAM信号、同期パターン情報、GTC下りフレームカウンター、FEC設定情報、フレームペイロード長さ情報を含むフレームヘッダを生成する。
そしてペイロード生成部102は、外部のサービス提供者からATM SDU(Service Data Unit)を受信して処理するATMパーティション(Partition)モジュールと外部のサービス提供者からGEM SDU(Service Data Unit)を受信して処理するGEMパーティション(Partition)モジュールを含み、ATMパーティションモジュールでは5バイトのATMヘッダと48バイトのペイロードで構成された53バイト長さのATMセルを処理し、GEMパーティションモジュールでは5バイトのGEMヘッダと4095バイト範囲内で可変長さのペイロードで構成されたGEMフレームが処理される。
そして、ペイロード暗号化部103は128ビットCTR-AESブロック暗号化を遂行するが、30ビットのGTC下りフレームカウンターと16ビットのブロックカウンターを組み合わせて46ビットの暗号化カウンター(Crypto-Counter)を作り、この暗号化カウンターを3つ連結して138ビットのランダム暗号化カウンター値を生成した後上位10ビットを削除し、下位128ビットのみを暗号化ブロックカウンター値として使用し暗号化を遂行する。ここで、30ビットのGTC下りフレームカウンターは下りにフレームを伝送する度に1つずつ増加され、16ビットのブロックカウンターは4バイト単位にカウンターを増加させ一つのGTC下りフレームが伝送されたら“0”と初期化される。そして、ペイロード暗号化部103で使用される128ビットの暗号化キーはそれぞれのONU12から生成され、OLT11の要求によって受信される。
このように、ペイロード暗号化部103でそれぞれのONU12から伝達された128ビットのONUキーを利用して128ビットの暗号化ブロックカウンター値が暗号化されれば、この暗号化値は128ビットペイロードブロックと排他的論理演算(Exclusive-OR)を遂行し、ペイロードに対する暗号化を遂行する。そして、暗号化されたペイロードは多重化部104に伝送され、多重化部104はヘッダ生成部101から伝達されたフレームヘッダと暗号化されたペイロードを多重化してGTC下りフレームを生成する。
さらに、生成されたGTC下りフレームは電光変換部105を通して光信号に変換されそれぞれのONU12に伝達される。
この際、GTC下りフレームを生成する過程においてヘッダ生成部101で生成されたフレームヘッダ120はイン-バンド(In-band)方式で処理され暗号化されずGTC下りフレーム100中に含まれる。従って、GTC下りフレームヘッダ120は暗号化されずGTC下りフレームペイロード130中に含まれたペイロード情報のみが暗号化されそれぞれのONU12等に伝送される。
一方、ONU(optical network unit)12は、光信号で伝達されるGTC下りフレームを受信して光電変換する光電変換部106、電気信号に変換されたGTC下りフレームをヘッダとペイロードに分離して伝達する逆多重化部107、逆多重化部107からフレームヘッダを受け取ってこれを処理するヘッダ処理部110、逆多重化107からペイロードを受け取ってこれを復号化するペイロード復号化部108及び復号化されたペイロードを処理するペイロード処理部109を含む。
ここで、ペイロード復号化部108はOLT11で使用されるペイロード暗号化部103と対応される機能を遂行し、ペイロード暗号化部103において暗号化されたATMセル及びGEMフレームをそれぞれ復号化する。
そして、ペイロード処理部109はATMパーティションモジュールとGEMパーティションモジュールを含み、ATMパーティションモジュールでは5バイトのATMヘッダと48バイトのペイロードで構成された53バイト長さのATMセルを処理し、GEMパーティションモジュールでは5バイトのGEMヘッダと4095バイト範囲内で可変長さのペイロードで構成されたGEMフレームが処理される。
図2は従来技術によってペイロードに対する暗号化機能を提供するGPON システムでハッキング試しに対する概念例示図である。
図2を参照すると、ペイロードに対する暗号化機能を提供するGPONシステムは下りに伝送されるGTC下りフレームに対するハッキング試しを大きく4種類の方式に分けることができる。
第一、ハッカー204はOLT200とOLT200から伝達された光信号をそれぞれのONU(207、210、211)に光分配する光スプリッタ(spliter)209の間に存在する共通リンクS200に侵入して全ONU(207、210、211)に伝送されるGTC下りフレーム201に対してハッキングができる。ここでハッキング方法はフレーム変調やインターセプション(interception)またはモニタリングを通すもので例示する。この場合ハッカー204によってハッキングが行われる場合にもGTC下りフレームのペイロード201は予め暗号化が成された状態なので影響を受けないが、暗号化されなかったPLOAM情報202及びDBA情報203などの重要な情報はハッキングによって流出される恐れがある。かかる一番目の暗号化攻撃はリンクS200を切断した後侵入せざるを得ないため実際の環境において一般人が攻撃し難いが、専門家等によっていつでも暗号化攻撃を受ける可能性がある。
第二、ハッカー205はスプリッタ209とONU207との間に連結されたリンクS201に接続して当該のONU207に伝送されるGTC下りフレーム201に対してフレーム変調やインターセプションまたはモニタリングを通した重要な情報(202、203)獲得などの暗号化攻撃を遂行することができる。この暗号化攻撃又はリンクS201を切断した後侵入せざるをえないため実際の環境において一般人が攻撃し難いが、専門家等によっていつでも暗号化攻撃を受ける可能性がある。
第三、ハッカー206はにせのONU207で簡単なプログラムの操作で他のONU210に伝送される重要な情報等をフィルターリングせずそのまま受信し、これによる暗号化攻撃を遂行することが可能である。このような暗号化攻撃はにせのONU207が真のONU210のように行動したり、あるいは本当にONU210の上がり方向への帯域伝送を妨げる。
第四、ハッカー207はOLT200とONU211に存在するスプリッタ209の残るポートに接続したり、あるいはスプリッタ209とONU211との間に連結されたリンクにスプリッタ208を追加してGTC下りフレームをそのまま受信して、これによる暗号化攻撃を遂行することが可能である(S202、S203)。この暗号化攻撃はハッカー207が真のONU211のように行動したり、あるいは真のONU211の上がり方向への帯域伝送を妨げる。なお、ONU211によって上がり方向に伝送される暗号化キーなどをインターセプションすることができるので、暗号化されたデータ情報がそのまま露出され得るため致命的な損失を発生させ得るようになる。
従って、GPONシステムにおいて伝送されるGTC下りフレームに対する認証及び暗号化機能を要求し、認証されないONUに対してはこのような重要な情報が露出されないようにする方法が必要となる。
本発明は、上記のような問題点を解決するために提案されたものであって、GPONシステムにおいて下りに伝送されるGTCフレームをハッキングすることにより暗号化されない情報が流出されることを防止するため、認証アルゴリズムを使用して認証されたONUのみが下りに伝送されるGTCフレーム情報が受信できるようにする認証暗号化を通じて保安伝送を可能にするGPONシステムとその認証暗号化方法を提供するのにその目的がある。
上記目的を達成するための本発明による認証暗号化を通じて保安伝送を可能にするGPONシステムは、外部のサービス提供者からデータの伝達を受けGTC下りフレームを生成して下り伝送するOLTと、上記OLTから下り伝送されたGTC下りフレームを受信してこれを処理する多数のONUを含み、上記OLTは生成されたGTC下りフレームに対する上記ONU別認証のための認証生成モジュールを具備して上記生成されたGTC下りフレームに対する認証暗号化を遂行し、上記ONUは認証チェックモジュールを具備して上記認証暗号化されたGTC下りフレームに対する認証成功可否によって上記GTC下りデータの受信可否を決定することを特徴とする。
また、上記目的を達成するための本発明による光端装置(OLT)は、フレームヘッダを生成するヘッダ生成部;ATM SDU(Service Data Unit)とGEM SDU(Service Data Unit)を受信してそれぞれ処理するペイロード生成部;上記ペイロード生成部においてATMとGEMに分けられて処理されたペイロード信号を受信してこれをそれぞれ暗号化するペイロード暗号化部;上記ヘッダ生成部で生成されたヘッダと上記ペイロード暗号化部で暗号化されたペイロードを一つのGTC下りフレームに多重化する多重化部;上記多重化部を通して多重化されたGTC下りフレームに認証暗号化のための認証パラメータを生成して追加する認証生成部; 及び上記認証パラメータが追加されたGTC下りフレームを光信号に変換して伝送する電光変換部を含むことを特徴とする。
また、上記目的を達成するための本発明による光加入者装置(ONU)は、OLTから光信号で伝達されるICV'が含まれたGTC下りフレームを受信して光電変換する光電変換部;上記光電変換されたICV'が含まれたGTC下りフレームに対する認証可否をチェックする認証チェック部;上記認証が確認されたGTC下りフレームをヘッダとペイロードに分離して伝達する逆多重化部; 上記逆多重化部から分離されたヘッダを受け取ってこれを処理するヘッダ処理部;上記逆多重化部から分離されたペイロードを受け取ってこれを復号化するペイロード復号化部;及び上記復号化されたペイロードを処理するペイロード処理部を含むことを特徴とする。
また、上記目的を達成するための本発明による認証暗号化を通じて保安伝送を可能にするGPONシステムにおいて認証暗号化方法は、上記GPONシステムのOLTにおいてGTC下りフレームを生成する第1段階;上記生成されたGTC下りフレームを認証モードを通して伝送するか否かを確認する第2段階;上記第2段階の確認結果認証モードであれば、上記OLTに認証のための認証キーが存在するのか検査する第3段階;検査結果、認証キーが存在するならば上記GTC下りフレームを認証暗号化して伝送する第4段階;及び上記第3段階において確認結果認証モードではない場合、あるいは上記第3段階の検査結果認証キーが存在しない場合のいずれか一つの場合に、上記GTC下りフレームを伝送する第5段階を含むことを特徴とする。
また、上記目的を達成するための本発明による認証暗号化を通じて保安の伝送を可能にするGPONシステムにおける認証復号化方法は、上記GPONシステムのONUがGTC下りフレームを受信する第1段階;上記受信されたGTC下りフレームが認証モードを通して処理されるか否かを確認し、認証モードであれば受信されたGTC下りフレームを貯蔵する第2段階;上記ONU内に貯蔵された上記GTC下りフレームに対する認証のための認証キーが存在する否かを検査する第3段階;上記検査結果上記認証キーが存在するならば上記貯蔵されたGTC下りフレームに対する認証をチェックし、認証が成功されたら上記貯蔵されたGTC下りフレームを逆多重化部に伝送して上記GTC下りフレームを処理する第4段階;及び上記第3段階において認証キーがない場合ないし上記第4段において認証に失敗した場合のいずれか一つの場合、上記貯蔵されたGTC下りフレームを削除する第5段階を含むことを特徴とする。
本発明によれば、OLTによって認証登録されたONUのみが正常にGTC下りフレーム情報が受信できるようにすることにより、GPONシステムで発生される多様なハッカーからの攻撃が遮られる利点がある。
以下、本発明の好ましき実施例の詳細な説明を添付の図面を参照して説明する。図面の中の参照番号及び同一な構成要素に対してはたとえ他の図面上に表示されてもなるべく同一な参照番号及び符号で示していることに注意しなければならない。下記で本発明を説明することにおいて、かかる公知機能または構成に対する具体的な説明が本発明の旨を不要に曇らしかねないと判断される場合にはその詳細な説明を省略することにする。
図3は本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムに対する一実施例構成図である。
図3を参照すると、本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムは、図1に示した従来のGPONシステムにおける認証暗号化のために追加的に光端装置(OLT)31と光加入者装置(ONU)32にそれぞれ認証生成部(GMAC)305と認証チェック部(GMAC)308を追加する構成である。
従って、それぞれの構成を上下りデータを作成するための階層構造の側面でより詳しく説明すると、OLT31は帯域に対する割り当て情報であるDBA(Dynamic Bandwidth Allocation) 信号、PLOAM情報を伝送するためのPLOAM信号などを受信してフレームヘッダを生成するヘッダ生成部301、ATM SDU(Service Data Unit)とGEM SDU(Service Data Unit)を受信してそれぞれ処理するペイロード生成部302、ペイロード生成部302でATMとGEMに分けられて処理されたペイロード信号を受信しこれをそれぞれ暗号化するペイロード暗号化部303、ヘッダ生成部301で生成されたヘッダとペイロード暗号化部303で暗号化されたペイロードを一つのGTC下りフレーム100に多重化する多重化部304、多重化されたGTC下りフレーム100に認証暗号化のための認証パラメータを生成して追加する認証生成部305及び認証パラメータが追加されたGTC下りフレームを光信号に変換して伝送する電光変換部306を含む。
ここで、それぞれの構成部をさらに詳しく説明すると、上記ヘッダ生成部301はそれぞれのONU12の上がり帯域情報を示すDBA情報、網運用管理情報を示すPLOAM信号、同期パターン情報、GTC下りフレームカウンター、FEC設定情報、フレームペイロード長さ情報を含むフレームヘッダを生成する。
そしてペイロード生成部302は、外部のサービス提供者からATM SDU(Service Data Unit)を受信して処理するATM パーティションモジュールと外部のサービス提供者からGEM SDU(Service Data Unit)を受信して処理するGEMパーティションモジュールを含み、ATMパーティションモジュールでは5バイトのATMヘッダと48バイトのペイロードで構成された53バイト長さのATMセルを処理し、GEMパーティションモジュールでは5バイトのGEMヘッダと4095バイト範囲内で可変長さのペイロードで構成されたGEMフレームが処理される。
そして、ペイロード暗号化部303は128ビットCTR-AESブロック暗号化を遂行するのに、30ビットのGTC下りフレームカウンターと16ビットのブロックカウンターを組み合わせて46ビットの暗号化カウンター(Crypto-Counter)を作り、この暗号化カウンターを3つ連結して138ビットのランダム暗号化カウンター値を生成した後上位10ビットを削除し、下位128ビットのみを暗号化ブロックカウンター値で使用して暗号化を遂行する。ここで、30ビットのGTC下りフレームカウンターは下りにフレームを伝送する度に1ずつ増加され、16ビットのブロックカウンターは4バイト単位にカウンターを増加させ一つのGTC下りフレームが伝送されると“0”に初期化される。そして、ペイロード暗号化部303で使用される128ビットの暗号化キーはそれぞれのONU32から生成され、OLT31の要求によって受信される。
このように、ペイロード暗号化部303においてそれぞれのONU32から伝達された128ビットのONUキーを利用して128ビットの暗号化ブロックカウンター値が暗号化されると、この暗号化値は128ビットペイロードブロックと排他的論理演算(Exclusive-OR)を遂行し、ペイロードに対する暗号化を遂行する。そして暗号化されたペイロードは多重化部304に伝送され、多重化部304はヘッダ生成部301から伝達されたフレームヘッダと暗号化されたペイロードを多重化してGTC下りフレームを生成する。
そして認証生成部306は、多重化部305において多重化されたGTC下りフレームに当該GTC下りフレームに対する認証パラメータ値を計算し、上記計算された認証パラメータ値を当該GTC下りフレーム端に追加する。
さらに、認証パラメータ値が追加されたGTC下りフレームは電光変換部306を通して光信号に変換されそれぞれのONU32に伝達される。
この際、GTC下りフレームを生成する過程においてヘッダ生成部301で生成されたフレームヘッダ120はイン-バンド(In-band)方式で処理され暗号化されずGTC下りフレーム100中に含まれる。従って、GTC下りフレームヘッダ120は暗号化されずGTC下りフレームペイロード130中に含まれたペイロード情報のみが暗号化されそれぞれのONU12に伝送される。
一方、ONU(optical network unit)32は、光信号で伝達されるGTC下りフレームを受信して光電変換する光電変換部307、光電変換されたGTC下りフレームに対する認証可否をチェックする認証チェック部308、認証が確認されたGTC下りフレームをヘッダとペイロードに分離して伝達する逆多重化部309、逆多重化部309からフレームヘッダを受け取ってこれを処理するヘッダ処理部310、逆多重化部309からペイロードを受け取ってこれを復号化するペイロード復号化部311及び復号化されたペイロードを処理するペイロード処理部312を含む。
ここで、ペイロード復号化部311はOLT31で使用されるペイロード暗号化部303と対応される機能を遂行し、ペイロード暗号化部303において暗号化されたATMセル及びGEMフレームをそれぞれ復号化する。
そして、ペイロード処理部312はATMパーティションモジュールとGEMパーティションモジュールを含み、ATMパーティションモジュールでは5バイトのATMヘッダと48バイトのペイロードで構成された53バイト長さのATMセルを処理し、GEMパーティションモジュールでは5バイトのGEMヘッダと4095バイト範囲内で可変長さのペイロードで構成されたGEMフレームが処理される。
従って、以上の構成による本発明は、GTC下りフレームを通してフレームペイロードに含まれた情報を暗号化するだけでなく、当該GTC下りフレームに対する認証機能を提供して全ONU32に伝送することで当該ONU32ではない場合にはGTC下りフレームを受信して処理できないようにする。
ここで、本発明の特徴である認証生成部305と認証チェック部308に対してより詳しく説明すると、まず認証生成部305は多重化部304で多重化されたGTC下りフレームに対する認証パラメータ値を計算し、上記計算された認証パラメータ値を当該GTC下りフレーム端に追加して下り伝送する。
以上において、認証パラメータ値を計算する過程は多くの段階のGF(Galois Field)2128多重化器(Multiplier)を使用して成り、GF多重化器は128ビットのハッシュキー値を使用する。このような128ビットハッシュキー値はそれぞれのONU32から提供を受けたONUキー値を利用してOLT31で生成された認証キー値を利用してペイロード暗号化部303を通して生成される。これに対する詳細な説明は図5aないし図5bに基づいて詳細に説明することにする。
一方、本発明による認証暗号化のためのGTC下りフレームを受信したONU32での動作を説明すると、ONU32はGTC下りフレームに対する認証機能を遂行する前にOLT31から認証キー値を受信して貯蔵する。この際、認証キー値はOLT31で生成されたハッシュキー値が使用される。そして、ONU32は認証暗号化のためのGTC下りフレームが受信されると、認証チェック部308を通して当該GTC下りフレームを当該ONU32において受信できるか否かに対する認証を遂行する。すなわち、ONU32に貯蔵された認証キー値を利用して認証パラメータ値を計算し、上記計算された認証パラメータ値と認証暗号化されたGTC下りフレーム端に添付された認証パラメータ値を比較することにより認証を遂行する。その認証は各々の認証パラメータ値を比べた結果、二つのパラメータ値が同じである場合は認証成功であるので受信されたGTC下りフレームを逆多重化部309に伝送し、同じでない場合は認証失敗であるので受信されたGTC下りフレームを捨てる。
図4は本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムでの各階層別フレームの構造に対する一実施例の例示図である。
図4を参照すると、本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムでの各階層別フレームの構造は大きくヘッダ生成部/ペイロード生成部(301、302)、暗号化部303、多重化部304及び認証生成部30にで分けられる。
各々の領域に対して説明すると、まずヘッダ生成部/ペイロード生成部(301、302)ではGTC下りフレームのヘッダ情報400とPLOAMメッセージ401、上がり帯域割り当て情報402及び各ATMセル403とGEMフレーム404がそれぞれ独立的に入力される。
そして、暗号化部303ではヘッダ生成部/ペイロード生成部(301、302)と同じであるが、入力されたATMセル403とGEMフレーム404のペイロード(405、406)に対する暗号化を遂行する。
そして、多重化部304ではヘッダ情報400、PLOAMメッセージ401及び上がり帯域割り当て情報402を利用してGTC下りフレームのフレームヘッダ410を、暗号化部303で暗号化されたATMセル405を先にGTC下りフレームペイロード411にのせる。なお、ATMセル405をのせった後残るペイロード空間に暗号化されたGEMフレーム406をのせる。ここで、GTC下りフレームのヘッダ410内のPsync、Ident、BIP、Plend フィールドはそれぞれヘッダ情報400によるものである。
そして、認証生成部305では多重化部304において生成されたGTC下りフレームに対する認証パラメータであるICV(Integrity Check Value)値を計算してGTC下りフレーム端に添付する。こうして構成されたGTC下りフレームはペイロード411に伝送されるデータに対する暗号化とGTC下りフレーム全体に対する認証をともに提供することが可能になる。
一方、認証復号化のための各階層別フレーム構造はこれと反対なのでこれについては当技術分野において通常の知識を有する者にとって自明である。そのため、ここではそれに対する説明は省略することにする。
図5aないし図5bは図3に示した認証生成部及び認証チェック部に対する一実施例構成図である。
図5aに示すように、認証生成部305は多重化されたGTC下りフレームの入力を受け順次に出力するデータ入力器51、データ入力器51の出力とGF2128掛け算器53の出力を論理合する演算器52、演算器52の出力とハッシュ値の入力を受けGF2128掛け算処理するGF2128掛け算器53及びGF2128掛け算器53の出力を分岐して演算器52に入力しGF2128掛け算器53の最終出力506をICVに出力する分岐器54を含む。
その動作をさらに詳しく説明すると、データ入力器51にGTC上記図5aに示すような構造を有するGTC下りフレーム500が入力されれば、データ入力器51はGTC下りフレームのヘッダ情報を128ビットのブロック単位に分けAAD(Additional Authenticated Data)501値にして演算器52に出力される。そして、AAD501値が全て演算器52に出力されると次にはGTC下りフレームのペイロード情報が128ビットのブロック単位に分類されDATA502値にして演算器52に出力される。そして、GTC下りフレームのヘッダとペイロードがAAD501とDATA502に全て入力されれば、データ入力部51は最後のAAD501値の64ビットと最後のDATA502値の64ビットを組み合わせ演算器52に入力する。
最初の128ビットのAAD値501は演算器52を通して初期フィードバック値505である“0”と排他的論理演算を遂行した後GF2128掛け算器53に入力される。
そして、GF2128掛け算器53は演算器52を通して排他的論理演算値と128ビットのハッシュ値504の入力を受けGF2128掛け算を遂行し、その結果を分岐器54を通して演算器52にフィードバックする505。そして、データ入力器51を通して入力されるデータと分岐器54を通してフィードバックされた結果に対する排他的論理演算を遂行し、その結果をGF2128掛け算器53に入力する。この動作はGTC下りフレームのヘッダとペイロードがAAD501値とDATA502値に全て入力されるまで繰り返される。
さらに、GTC下りフレームのヘッダとペイロードがAAD501値とDATA502値で全て入力されると、データ入力器51は最後のAAD501値の64ビットと最後のDATA502値の64ビットを組み合わせた値を出力する。この値は演算器52とGF2128掛け算器53を通して演算された後当該GTC下りフレームに対する認証パラメータ値506で最終出力される。この認証パラメータ値506はICV値で出力され、GTC下りフレームの後尾に追加して一緒に伝送される。
一方、図5bに示すような認証チェック部308は、ICV'509が含まれたGTC下りフレーム507の入力を受け、ICV'509を除いたGTC下りフレーム508をGTCフレームメモリー56に一時的に貯蔵する。ICV'509を利用した認証結果によって一時的に貯蔵されたICV'509を除いたGTC下りフレーム508を伝達することを決定する。認証チェック部308での認証過程はOLT32から伝達されたICV'509とICV'509を除いたGTC下りフレームをデータ入力部51'に入力して計算したICV506'をICV比較器55を通して比較することにより遂行される。
認証チェック部308のICV計算のための構成を説明すると、図5aと対応されることが判る。すなわち、ICV'509を除いたGTC下りフレーム508を順次に出力するデータ入力器51'、データ入力器51'の出力とGF2128掛け算器53'の出力を論理合する演算器52'、演算器52'の出力とハッシュ値の入力を受けGF2128掛け算処理するGF2128掛け算器53'及びGF2128掛け算器53'の出力を分岐して演算器52'に入力してGF2128掛け算器53'の最終出力506'をICVにしてICV比較器55に出力する分岐器54'を含む。
その動作をさらに詳しく説明すれば、データ入力器51’にICV'509を除いたGTC下りフレーム508が入力されると、データ入力器51'はICV'509を除いたGTC下りフレーム508のヘッダ情報を128ビットのブロック単位に分類しAAD(Additional Authenticated Data)501'値にして演算器52'に出力される。さらにAAD501'値が全て演算器52'に出力されたら、次にはICV'509を除いたGTC下りフレーム508のペイロード情報が128ビットのブロック単位に分類されDATA502'値にして演算器52'に出力される。そしてICV'509を除いたGTC下りフレーム508のヘッダとペイロードがAAD501'とDATA502'に全て入力されたら、データ入力部51'は最後のAAD501'値の64ビットと最後のDATA502'値の64ビットを組み合わせて演算器52'に入力する。
最初の128ビットのAAD値501'は演算器52'を通して初期フィードバック値505'である“0”と排他的論理演算を遂行した後GF2128掛け算器53'に入力される。
そして、GF2128掛け算器53'は演算器52'を通して排他的論理演算値と128ビットのハッシュ値504'の入力を受けGF2128掛け算を遂行し、その結果を継続して分岐器54'を通して演算器52'にフィードバックする505'。そして、データ入力器51'を通して入力されるデータと分岐器54'を通してフィードバックされた結果に対する排他的論理演算を遂行しその結果をGF2128掛け算器53'に入力する。この動作はGTC下りフレームのヘッダとペイロードがAAD501'値とDATA502'値に全て入力されるまで繰り返される。
そして、ICV'509を除いたGTC下りフレーム508のヘッダとペイロードがAAD501'値とDATA502'値に全て入力されたら、データ入力器51'は最後のAAD501'値の64ビットと最後のDATA502'値の64ビットを組み合わせた値を出力する503'。この値は演算器52'とGF2128掛け算器53'を通して演算された後、当該GTC下りフレームに対する認証パラメータ値506'で最終出力される。この認証パラメータ値506'はICV値に出力され、ICV比較器55に入力され認証を遂行する。
ICV比較器55はOLT31から伝達を受けたICV'509が含まれたGTC下りフレーム507からICV'509の伝達を受け、分岐器54'から計算されたICV値506'の伝達を受けその値が同じであるかを比較する。
仮にその値が同じであるならば、認証成功になってGTCフレームメモリー56に貯蔵されたGTC下りフレーム508を逆多重化部309に伝達する。そうでなければ認証失敗になりGTCフレームメモリー56に貯蔵されたGTC下りフレーム508は逆多重化部309に伝達されずに削除される。
認証生成部305及び認証チェック部308で使用されるハッシュキー値(504、504')は認証暗号化キー値がアップデートされると多重化部304においてGTC下りフレームヘッダを組み立てる間当該認証暗号化キー値を利用してペイロード暗号化部303を通して生成する。
認証生成部305及び認証チェック部308での認証パラメータ値を計算する式は次のとおりである。
Figure 0004558700
 ここで、mはAAD値が128ビットのブロック単位に分類される定数値であり、vはAAD値が128ビットの定数に分類された後残るビット数である。nはDATA値が128ビットのブロック単位に分類される定数値であり、uは DATA値が128ビットの定数に分類された後残るビット数である。
図6は本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムで認証暗号化機能を提供するためにONUに対する認証キー分配及び認証登録過程に対する一実施例のタイミング図である。
図6に示すように、OLT600は認証暗号化機能を提供するために先ずそれぞれのONU601に各々のONU別キー値を要請するキー要請メッセージ(Key Request Message)S600を伝送する。そして、ONU601はキー要請メッセージ(Key Request Message)S600を受信して128ビットのONUキーを生成し、これを2つのキー応答メッセージ(Key Response Message)S601を通して64ビットずつ分けOLT600に伝送する。
そして、OLT600はONU601から128ビットのONUキーを受信するとS602、128ビットの認証キーを生成するS603。そしてこの認証キーを利用して128ビットのハッシュ値を計算するS604。
そして、OLT600は生成されたハッシュ値をONU601に伝達するために受信されたONUキーをハッシュ値で利用して認証キーメッセージ(Authentication Key Message)S605を認証してONU601に伝送する。認証キーメッセージ(Authentication Key Message)S605は64ビットのハッシュ値が含まれ、それぞれのONU601に3回伝送する。
ここで、認証キーメッセージ(Authentication Key Message)はメッセージ識別字“20”を有し、認証機能のため本発明によって新たに追加させたのである。
そして、ONU601は自分のONUキーを利用して認証チェックを遂行しS606、同一な認証キーメッセージ(Authentication Key Message)S605を2回受信すれば妥当なメッセージとして判断し当該メッセージに含まれたハッシュ値を貯蔵するS607。ONU601は128ビットのハッシュ値を全て受信すると、認証チェックが行える状態になり認証登録が完了される602。こうした一認証登録のために取り交わすメッセージはPLOAMメッセージに含まれる。
図7は本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムでハッキング試しに対する概念例示図である。
図7aに示すように、仮にハッカー700がOLTとスプリッター(Splitter)間の共通リンクS700に接続してフレーム変調を加える場合、全てのONUの認証モジュールはGTC下りフレームに対して認証失敗が生じて当該ハッカーからの変調されたフレームを遮断する701。この場合においてOLTはONUの状態を感知して代替リンクに切り替えなければならない。
そして、図7bのように、仮にハッカー702がスプリッター(Splitter)と特定ONUとの間のリンクS701に接続してフレーム変調を加えると、このONUの認証モジュールはGTC下りフレームに対して認証失敗になり当該ハッカーからの変調されたフレームを遮断する703。
このような二つの場合において、ハッカーはOLTに認証された登録状態ではないので認証過程において下り伝送されるGTCフレームを受信することができないのでモニタリング動作もやはり不可能になる。
そして、図7cのように、仮にハッカー705がOLTに認証されなず登録のみになったONUを通して簡単なプログラム操作でGTC下りフレーム情報を受信しようとすると、当該ONUの認証モジュールはGTC下りフレームに対して認証することができないので認証失敗になり当該GTCフレームが遮られる704。
または、ハッカー705がOLTに認証登録されたONUを通して簡単なプログラム操作でGTC下りフレーム情報を受信しようとすると、当該ONUの認証モジュールはGTC下りフレームに対して認証成功され、GTC下りフレームを受信することができるが、自らのONUキーを有しているので他のONUのペイロード情報を盗聴することはできない。仮に受信された下りフレームのヘッダ情報を利用して他のONUの伝送を妨げると、当該ONUはOLTによって強制的に非活性化される705。
そして、図7dのように、ハッカー706がスプリッター(Splitter)の残るポートに接続したりS702、或はスプリッター(Splitter)と特定ONUとの間に新たなスプリッター(Splitter)を追加S703してGTC下りフレームを受信しようとすると、このハッカー706はOLTに認証登録されなかったためGTC下りフレームに対する認証失敗が発生されて遮られる。
図8は本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証暗号化方法に対する一実施例の動作流れ図である。
図8に示すように、本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証暗号化方法は、まずペイロードを暗号化したGTC下りフレームを生成するS801。
そして、生成されたGTC下りフレームを認証モードを通して伝送するか否かを確認しS802、認証モードであれば認証のための認証キーが存在するのか検査するS803。
その結果、認証キーが存在すればS803生成されたGTC下りフレームを認証暗号化して認証暗号化されたGTC下りフレームを伝送するS805。
一方、認証モードではないS802場合や認証キーが存在しない場合S803は、ペイロードに対する暗号化のみを遂行して生成されたGTC下りフレームを伝送するS804。
ここで、ペイロードを暗号化したGTC下りフレームを例示しているが、本発明の内容においてはあらゆる形式のGTC下りフレームが生成されても適用が可能である。すなわち、ペイロードに対する暗号化が行われなかったGTC下りフレームに対しても本発明の適用が可能であることは自明である。
図9は本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証復号化方法に対する一実施例の動作流れ図である。
図9に示すように、本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証復号化方法は、まずGPONシステムのONUがGTC下りフレームを受信するS901。
そして、受信されたGTC下りフレームが認証モードを通して処理されるか否かを確認してS902、認証モードであれば受信されたGTC下りフレームを貯蔵するS903。一方認証モードでなければ、GTC下りフレームを逆多重化部に伝送して当該GTC下りフレームを処理するS909。ここで、認証モードであるか否かは受信されたGTC下りフレームに対するONU別認証キーのための認証パラメータ値がGTC下りフレームの端に追加されているか否かを判断することで成る。
そして、ONU内に受信されたGTC下りフレームに対する認証のための認証キーが存在するのか検査するS904。
その結果、認証キーが存在すればS904、受信されたGTC下りフレームに対する認証をチェックするS905。認証チェック結果認証が成功すればS906、貯蔵されたGTC下りフレームを逆多重化部に伝送して当該GTC下りフレームを処理するS908。
一方、認証キーがない場合S904や認証に失敗した場合S906は、貯蔵されたGTC下りフレームを削除するS907。
本発明による認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証暗号化方法及び復号化方法はコンピューターで読み取れる記録媒体にコンピューターが読み取れるコードとして具現することができる。コンピューターが読み取れる記録媒体はコンピューターシステムによって読み取られることができるデータが貯蔵される全種類の記録装置を含む。コンピューターが読み取れる記録媒体の例ではROM、RAM、CD-ROM、磁気テープ、フロッピー、光データ貯蔵装置などがあり、またインターネットを通じた伝送のようにキャリアウェーブの形態に具現されるものも含む。またコンピューターが読み取れる記録媒体はネットワークで連結されたコンピューターシステムに分散され、分散方式でコンピューターの読み取れるコードが貯蔵され実行されることもできる。
一方、本発明の詳細な説明では具体的な実施例に関して説明したが、本発明の範囲で外れない限度内で様々な変形が可能であることは勿論のことである。従って、本発明の範囲は説明された実施例に限って定められてならず、後述する特許請求範囲のみならず、この特許請求範囲と均等なものによって定められるべきである。
従来技術によってペイロードに対する暗号化機能を提供するためのGPONシステムに対する一実施例の構成図である。 従来技術によってペイロードに対する暗号化機能を提供するGPONシステムにおいてハッキング試しに対する概念例示図である。 本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムに対する一実施例構成図である。 本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムでの各階層別フレームの構造に対する一実施例の例示図である。 図3に示す認証生成モジュールに対する一実施例の構成図である。 図3に示す認証チェックモジュールに対する一実施例の構成図である。 本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムにおいて認証暗号化機能を提供するためにONUに対する認証キー分配及び認証登録過程に対する一実施例のタイミング図である。 本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムにおいてハッキング試しに対する概念例示図である。 本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムにおいて認証暗号化方法に対する一実施例の動作流れ図である。 本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムにおいて認証復号化方法に対する一実施例の動作流れ図である。

Claims (14)

  1. 認証暗号化を通じて保安伝送を可能にするGPON(Gigabit-capable Passive Optical Networks) システムにおいて、
    外部のサービス提供者からデータの伝達を受けGTC(GPON Transmission Convergence) 下りフレームを生成して下り伝送する光端装置(OLT)と、
    上記OLTから下り伝送されたGTC下りフレームを受信してこれを処理する光加入者装置(ONU)を含み、
    上記OLTは生成されたGTC下りフレームに対する上記ONU別認証のための認証生成部を具備し上記生成されたGTC下りフレームに対する認証暗号化を行い、上記ONUは認証チェック部を具備し上記認証暗号化されたGTC下りフレームに対する認証成功可否によって上記GTC下りデータの受信可否を決定し、
    上記認証生成部は、
    ヘッダとペイロードとが多重化されたGTC下りフレームが入力されて順次に出力するデータ入力器;
    上記データ入力器の出力とGF2128掛け算器の出力を排他的論理和演算する演算器;
    上記演算器の出力とハッシュ値が入力されGF2128掛け算処理する上記GF2128掛け算器;及び
    上記GF2128掛け算器の出力を分岐して上記演算器に入力し、上記GF2128掛け算器の最終出力を上記GTC下りフレームの認証暗号化のための認証パラメータにして上記GTC下りフレームに追加するようにする分岐器を含み、
    上記認証チェック部は、
    ICV'が含まれたGTC下りフレームが入力され、ICV'を除いたGTC下りフレームを一時的に貯蔵し認証結果に応じて出力するGTCフレームメモリー;
    上記ICV'を除いたGTC下りフレームを順次に出力する上記データ入力器;
    上記データ入力器の出力とGF2128掛け算器の出力を排他的論理和演算する演算器;
    上記演算器の出力とハッシュ値が入力されGF2128掛け算処理する上記GF2128掛け算器;
    上記GF2128掛け算器の出力を分岐して上記演算器に入力し、上記GF2128掛け算器の最終出力をICVにして出力する分岐器;及び
    上記ICV'と上記分岐器で出力された上記ICVを比較して認証し、その結果を上記GTCフレームメモリーに伝達するICV比較器を含む
    認証暗号化を通じて保安伝送を可能にすることを特徴とするGPONシステム。
  2. 上記認証生成部は、上記生成されたGTC下りフレームに対する上記ONU別認証のために、認証パラメータ値を計算し、上記計算された認証パラメータ値を当該GTC下りフレーム端に追加することを特徴とする請求項1に記載の認証暗号化を通じて保安伝送を可能にするGPONシステム。
  3. 上記認証チェック部は、上記ONUが有している認証キーを入力にして、GF(Galois Field)2128多重化器(Multiplier)を利用する演算を通して得られる値を、
    上記認証パラメータ値と比較して認証成功可否を決定することを特徴とする請求項に記載の認証暗号化を通じて保安伝送を可能にするGPONシステム。
  4. 上記認証パラメータ値と上記演算を通して得られる値が同一であれば、上記GTC下りフレームに対する認証が成功したものと判断し、
    上記認証パラメータ値と上記演算を通して得られる値が同一でなければ、上記GTC下りフレームに対する認証が失敗したものと判断することを特徴とする請求項に記載の認証暗号化を通じて保安伝送を可能にするGPONシステム。
  5. 上記認証チェック部は、上記認証暗号化されたGTC下りフレームを貯蔵するGTCフレーム貯蔵部を具備して、認証成功の場合は上記GTCフレーム貯蔵部に貯蔵されたGTC下りフレームを受信して処理し、認証失敗の場合には上記GTC貯蔵部に貯蔵されたGTC下りフレームを削除することを特徴とする請求項に記載の認証暗号化を通じて保安伝送を可能にするGPONシステム。
  6. 認証暗号化を通じて保安伝送を可能にするGPON(Gigabit-capable Passive Optical Networks) システムの光端装置(OLT)において、
    フレームヘッダを生成するヘッダ生成部;
    ATM SDU(Service Data Unit)とGEM SDU(Service Data Unit)を受信してそれぞれ処理するペイロード生成部;
    上記ペイロード生成部においてATMとGEMに分けられ処理されたペイロード信号を受信してこれをそれぞれ暗号化するペイロード暗号化部;
    上記ヘッダ生成部で生成されたヘッダと上記ペイロード暗号化部で暗号化されたペイロードを一つのGTC下りフレームに多重化する多重化部;及び
    上記多重化部を通して多重化されたGTC下りフレームに認証暗号化のための認証パラメータを生成して追加する認証生成部; 及び
    上記認証パラメータが追加されたGTC下りフレームを光信号に変換して伝送する電光変換部を含み、
    上記認証生成部は、上記多重化部を通して多重化されたGTC下りフレームが入力されて順次に出力するデータ入力器;
    上記データ入力器の出力とGF2128掛け算器の出力を排他的論理和演算する演算器;
    上記演算器の出力とハッシュ値が入力されGF2128掛け算処理する上記GF2128掛け算器;及び
    上記GF2128掛け算器の出力を分岐して上記演算器に入力し上記GF2128掛け算器の最終出力を上記GTC下りフレームの認証暗号化のための認証パラメータにして上記GTC下りフレームに追加するようにする分岐器を含む
    ことを特徴とする光端装置(OLT)。
  7. 上記データ入力器は、
    上記GTC下りフレームのヘッダ情報を128ビットのブロック単位に分類しこれをAAD(Additional Authenticated Data)値とし順次に上記演算器に出力し、
    上記AAD値を全て出力した後、上記GTC下りフレームのペイロード情報を128ビットのブロック単位に分類しこれをDATA値とし上記演算器に出力し、
    上記GTC下りフレームのヘッダ情報とペイロード情報が上記AADと上記DATAに全て出力されたら、上記AAD値の最後の64ビットと上記DATA値の最後の64ビットを組み合わせ上記演算器に入力することを特徴とする請求項に記載の光端装置(OLT)。
  8. 認証暗号化を通じて保安伝送を可能にするGPON(Gigabit-capable Passive Optical Networks)システムの光加入者装置(ONU)において、
    OLTから光信号で伝達されるICV'が含まれたGTC下りフレームを受信して光電変換する光電変換部;
    上記光電変換されたICV'が含まれたGTC下りフレームに対する認証可否をチェクする認証チェック部;
    上記認証が確認されたGTC下りフレームをヘッダとペイロードに分離して伝達する逆多重化部;
    上記逆多重化部から分離されたヘッダを受け取って取りこれを処理するヘッダ処理部;
    上記逆多重化部から分離されたペイロードを受け取って取りこれを復号化するペイロード復号化部;及び
    上記復号化されたペイロードを処理するペイロード処理部を含み、
    上記認証チェック部は、
    上記ICV'が含まれたGTC下りフレームが入力され、ICV'を除いたGTC下りフレームを一時的に貯蔵し認証結果によって上記逆多重化部に出力するGTCフレームメモリー;
    上記ICV'を除いたGTC下りフレームを順次に出力するデータ入力器;
    上記データ入力器の出力とGF2128掛け算器の出力を排他的論理和演算する演算器;
    上記演算器の出力とハッシュ値が入力されGF2128掛け算処理する上記GF2128掛け算器;
    上記GF2128掛け算器の出力を分岐して上記演算器に入力し、上記GF2128掛け算器の最終出力をICVにして出力する分岐器;及び
    上記ICV'と上記分岐器で出力された上記ICVを比較して認証し、その結果を上記GTCフレームメモリーに伝達するICV比較器を含む
    ことを特徴とする光加入者装置(ONU)。
  9. 上記ICV比較器は、
    上記ICV'と上記ICVが同一であれば、上記GTC下りフレームに対する認証が成功したことと判断し、
    上記ICV'と上記ICVが同一でなければ、上記GTC下りフレームに対する認証が失敗したことと判断することを特徴とする請求項に記載の光加入者装置(ONU)。
  10. 上記GTCフレームメモリーは、
    上記ICV'が含まれたGTC下りフレームの入力を受け、ICV'を除いたGTC下りフレームを一時的に貯蔵して、上記ICV比較器が認証成功を知らせる場合、上記貯蔵されたGTC下りフレームを上記逆多重化部に伝達し、
    上記ICV比較器が認証失敗を知らせる場合、上記貯蔵されたGTC下りフレームを削除することを特徴とする請求項に記載の光加入者装置(ONU)。
  11. 認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証暗号化方法において、
    上記GPONシステムのOLTにおいてヘッダとペイロードとが多重化されたGTC下りフレームを生成する第1段階;
    上記生成されたGTC下りフレームを認証モードを通して伝送するか否かを確認する第2段階;
    上記第2段階の確認結果認証モードであれば、上記OLTに認証のための認証キーが存在するか検査する第3段階;
    検査結果、認証キーが存在するならば上記GTC下りフレームを認証暗号化して伝送する第4段階;及び
    上記第3段階において、確認結果、認証モードではない場合、もしくは上記第3段階の検査結果認証キーが存在しない場合のいずれか一つの場合に、上記GTC下りフレームを伝送する第5段階を含み、
    前記第4段階は、
    前記ヘッダとペイロードとが多重化された前記GTC下りフレームと、GF多重掛け算演算の結果を排他的論理和演算する段階と、
    前記排他的論理和演算する段階の出力とハッシュ値とを入力することによって前記GF多重掛け算演算を実行する段階と、
    前記GF掛け算の段階の出力を分割し、分割された出力の一方を前記排他的論理和演算する段階に送信し、前記分割された出力の他方を前記GTCフレーム端に、前記GTCフレームを認証するための認証パラメータ値として追加する段階と、を含む
    ことを特徴とする、認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証暗号化方法。
  12. 認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証復号化方法において、
    上記GPONシステムのONUがヘッダとペイロードとが多重化されたGTC下りフレームを受信する第1段階;
    上記受信されたGTC下りフレームが認証モードを通して処理されるか否かを確認して、認証モードであれば受信されたGTC下りフレームを貯蔵する第2段階;
    上記ONU内に貯蔵された上記GTC下りフレームに対する認証のための認証キーが存在するか否かを検査する第3段階;
    上記検査結果、上記認証キーが存在するならば上記貯蔵されたGTC下りフレームに対する認証をチェックし、認証が成功されたら上記貯蔵されたGTC下りフレームを逆多重化部に伝送し上記GTC下りフレームを処理する第4段階;及び
    上記第3段階において認証キーがない場合、もしくは上記第4段階において認証に失敗した場合のいずれか一つの場合、上記貯蔵されたGTC下りフレームを削除する第5段階を含み、
    前記第4段階は、
    ICV’を含む前記GTCフレームを受信する段階と、
    前記ICV’を除いた前記GTC下りフレームと、GF多重掛け算演算の結果を排他的論理和演算する段階と、
    前記排他的論理和演算する段階の出力とハッシュ値とを入力することによって前記GF多重掛け算演算を実行する段階と、
    前記GF多重掛け算の段階の出力を分割し、分割された出力の一方を前記排他的論理和演算する段階に送信し、前記ICV’と前記分割された出力の他方とを比較して認証が成功したか否かを決定する段階と
    を含む、
    ことを特徴とする認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証復号化方法。
  13. 上記第2段階において、認証モードでなければ、上記GTC下りフレームを逆多重化部に伝送して上記GTC下りフレームを処理する第6段階をさらに含む請求項12に記載の認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証復号化する方法。
  14. 上記認証モードの可否は、
    上記受信されたGTC下りフレームに対する上記ONU別認証のための認証パラメータ値が、上記GTC下りフレーム端に追加されているか否かを判断することで成されることを特徴とする請求項12又は13に記載の認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証復号化方法。
JP2006296283A 2005-12-05 2006-10-31 認証暗号化を通じて保安伝送を可能にするgponシステム及びその認証暗号化方法 Expired - Fee Related JP4558700B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050117780A KR100715679B1 (ko) 2005-12-05 2005-12-05 인증 암호화를 통해 보안 전송을 가능하게 하는 gpon시스템 및 그 인증 암호화 방법

Publications (2)

Publication Number Publication Date
JP2007159104A JP2007159104A (ja) 2007-06-21
JP4558700B2 true JP4558700B2 (ja) 2010-10-06

Family

ID=38242806

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006296283A Expired - Fee Related JP4558700B2 (ja) 2005-12-05 2006-10-31 認証暗号化を通じて保安伝送を可能にするgponシステム及びその認証暗号化方法

Country Status (3)

Country Link
US (1) US7853801B2 (ja)
JP (1) JP4558700B2 (ja)
KR (1) KR100715679B1 (ja)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005040889A1 (de) * 2005-08-29 2007-03-15 Siemens Ag Verfahren und Anordnung zum sicheren Übertragen von Daten in einem ein Mehrsprungverfahren nutzenden Kommunikationssystem
US9178713B1 (en) * 2006-11-28 2015-11-03 Marvell International Ltd. Optical line termination in a passive optical network
JP4333737B2 (ja) * 2006-12-26 2009-09-16 沖電気工業株式会社 ギガビット受動型光加入者ネットワークで用いられる信号処理装置及び信号処理方法
CN101282177B (zh) * 2007-04-06 2010-11-03 杭州华三通信技术有限公司 一种数据传输方法和终端
JP5053121B2 (ja) * 2008-02-22 2012-10-17 日本電信電話株式会社 光端局側の光送受信装置(osu)
US8351785B2 (en) 2008-04-21 2013-01-08 Futurewei Technologies, Inc. Gigabit passive optical network transmission convergence extension for next generation access
KR100982017B1 (ko) * 2008-10-02 2010-09-14 한국전자통신연구원 기가비트 수동형 광 통신망 장치에서 동일한 시리얼 넘버를가진 비 정상적인 광 가입자장치의 차단방법
WO2010060456A1 (en) * 2008-11-03 2010-06-03 Telecom Italia S.P.A. Method for increasing security in a passive optical network
US8850197B2 (en) * 2009-07-31 2014-09-30 Futurewei Technologies, Inc. Optical network terminal management control interface-based passive optical network security enhancement
CN101989888B (zh) * 2009-08-05 2014-03-12 中兴通讯股份有限公司 一种开启/关闭前向纠错编码功能的指示方法及系统
CN101827287B (zh) * 2010-05-14 2013-04-17 华为技术有限公司 无源光网络及其接入方法、光网络单元和光线路终端
US20110302283A1 (en) * 2010-06-03 2011-12-08 Niclas Nors Methods And Arrangements In A Passive Optical Network
KR20140083160A (ko) 2012-12-24 2014-07-04 한국전자통신연구원 광 회선 단말 및 그것의 광 네트워크 단말 등록 방법
CN103517162B (zh) * 2013-09-13 2017-02-15 南方电网科学研究院有限责任公司 一种基于xpon的通信系统及方法
US9571270B2 (en) 2013-11-29 2017-02-14 Portland State University Construction and uses of variable-input-length tweakable ciphers
US20150365192A1 (en) * 2014-06-16 2015-12-17 Electronics And Telecommunications Research Institute Method of tuning wavelength of tunable optical network unit (onu) in time and wavelength division multiplexing-passive optical network (twdm-pon)
CN104469561B (zh) * 2015-01-06 2018-01-02 烽火通信科技股份有限公司 Gpon系统中控制非法厂商onu接入能力的方法及装置
US20170125125A1 (en) 2015-10-30 2017-05-04 Texas Instruments Incorporated Area-efficient parallel test data path for embedded memories
GB2544491B (en) * 2015-11-17 2022-03-02 Airbus Defence & Space Ltd Improvements in and relating to communication links
JP6363163B2 (ja) * 2016-12-27 2018-07-25 株式会社ユニバーサルエンターテインメント 遊技機
US11489661B2 (en) * 2020-06-23 2022-11-01 Intel Corporation High throughput post quantum AES-GCM engine for TLS packet encryption and decryption
CN112929355A (zh) * 2021-01-29 2021-06-08 中兴通讯股份有限公司 一种光传送网的安全管理信息处理方法及装置
CN115225296B (zh) * 2021-04-16 2024-04-12 华为技术有限公司 一种加密数据的传输方法及相关设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10107787A (ja) * 1996-09-27 1998-04-24 Mitsubishi Corp データ管理システム
JP2003198532A (ja) * 2001-12-27 2003-07-11 Mitsubishi Electric Corp 親局及び子局及び暗号化システム及び暗号化方法及び暗号化プログラム及び復号方法及び復号プログラム
JP2004129272A (ja) * 2002-10-02 2004-04-22 Samsung Electronics Co Ltd イーサネット(登録商標)受動型光加入者網システムにおけるデータ転送方法
JP2004320746A (ja) * 2003-04-10 2004-11-11 Samsung Electronics Co Ltd フレームのペイロードタイプを表示するgemフレーム構造及びそのデータ処理方法
JP2005287034A (ja) * 2004-03-26 2005-10-13 Canon Inc テンプレートを使用したインターネットプロトコルトンネリング

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100352126B1 (ko) 2000-11-22 2002-09-12 엘지전자 주식회사 계층 2에서의 네트워크 보안방법
KR100594023B1 (ko) * 2002-05-14 2006-07-03 삼성전자주식회사 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법
KR100594024B1 (ko) * 2003-03-10 2006-07-03 삼성전자주식회사 Epon에서의 인증 방법과 인증 장치과 인증 장치 및상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로읽을 수 있는 기록매체
KR100547864B1 (ko) 2003-08-02 2006-01-31 삼성전자주식회사 Gpon에서의 데이터 처리 방법
KR100594128B1 (ko) * 2003-04-30 2006-06-28 삼성전자주식회사 기가 비트 수동 광가입자 망에서의 gem oam 프레임전송 방법
KR100575988B1 (ko) * 2003-07-03 2006-05-02 삼성전자주식회사 기가 비트 수동 광가입자 망에서의 onu의 등록 방법
KR100547829B1 (ko) * 2003-12-18 2006-01-31 삼성전자주식회사 암호화 키 교환을 통해 데이터를 안정적으로 전송할 수있는 기가비트 이더넷 기반의 수동 광가입자망 및 이를이용한 데이터 암호화 방법
KR100675836B1 (ko) * 2004-12-10 2007-01-29 한국전자통신연구원 Epon 구간내에서의 링크 보안을 위한 인증 방법
KR100982017B1 (ko) * 2008-10-02 2010-09-14 한국전자통신연구원 기가비트 수동형 광 통신망 장치에서 동일한 시리얼 넘버를가진 비 정상적인 광 가입자장치의 차단방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10107787A (ja) * 1996-09-27 1998-04-24 Mitsubishi Corp データ管理システム
JP2003198532A (ja) * 2001-12-27 2003-07-11 Mitsubishi Electric Corp 親局及び子局及び暗号化システム及び暗号化方法及び暗号化プログラム及び復号方法及び復号プログラム
JP2004129272A (ja) * 2002-10-02 2004-04-22 Samsung Electronics Co Ltd イーサネット(登録商標)受動型光加入者網システムにおけるデータ転送方法
JP2004320746A (ja) * 2003-04-10 2004-11-11 Samsung Electronics Co Ltd フレームのペイロードタイプを表示するgemフレーム構造及びそのデータ処理方法
JP2005287034A (ja) * 2004-03-26 2005-10-13 Canon Inc テンプレートを使用したインターネットプロトコルトンネリング

Also Published As

Publication number Publication date
US20080040604A1 (en) 2008-02-14
JP2007159104A (ja) 2007-06-21
US7853801B2 (en) 2010-12-14
KR100715679B1 (ko) 2007-05-09

Similar Documents

Publication Publication Date Title
JP4558700B2 (ja) 認証暗号化を通じて保安伝送を可能にするgponシステム及びその認証暗号化方法
US9032209B2 (en) Optical network terminal management control interface-based passive optical network security enhancement
KR100933167B1 (ko) 트리 구조 네트워크 상에서의 인증과 프라이버시 보장을위한 전송 방법
US20110214160A1 (en) Method for Increasing Security in a Passive Optical Network
KR20010063831A (ko) 비동기전송 모드-광통신망에서의 광선로 종단장치
CN101102152A (zh) 无源光网络中保证数据安全的方法
EP1830517B1 (en) A method, communication system, central and peripheral communication unit for secure packet oriented transfer of information
CN109274489A (zh) 一种在twdm-pon系统下的认证密钥协商方法
CN101998180B (zh) 一种支持光线路终端和光网络单元版本兼容的方法及系统
KR100369933B1 (ko) 에이티엠-폰 광 선로 종단장치의 데이터 전송장치
JP6040631B2 (ja) 暗号化装置及び暗号化システム
CN114302264A (zh) 一种无源光网络中的安全通信方法和装置
Velentzas et al. Security Mechanisms For ATM PONS
Verma SECURING OPTICAL BURST SWITCHED NETWORKS

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090619

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090630

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20090930

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20091005

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091021

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100319

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100610

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100625

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100721

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130730

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees