JP4685659B2 - 局側装置、加入者側装置およびponシステム - Google Patents

局側装置、加入者側装置およびponシステム Download PDF

Info

Publication number
JP4685659B2
JP4685659B2 JP2006047309A JP2006047309A JP4685659B2 JP 4685659 B2 JP4685659 B2 JP 4685659B2 JP 2006047309 A JP2006047309 A JP 2006047309A JP 2006047309 A JP2006047309 A JP 2006047309A JP 4685659 B2 JP4685659 B2 JP 4685659B2
Authority
JP
Japan
Prior art keywords
multicast
unit
subscriber
side device
frame
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006047309A
Other languages
English (en)
Other versions
JP2007228292A (ja
Inventor
真弓 石川
成治 小崎
謙 村上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2006047309A priority Critical patent/JP4685659B2/ja
Publication of JP2007228292A publication Critical patent/JP2007228292A/ja
Application granted granted Critical
Publication of JP4685659B2 publication Critical patent/JP4685659B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、光伝送媒体を介してデータ通信を行なう局側装置、加入者側装置およびPONシステムに関するものである。
近年、局側装置と加入者側装置との間を光伝送媒体を用いて接続するPON(Passive Optical Network)システムの開発が進められている。例えば、イーサネット(登録商標)を用いたPONシステムであるE−PONは、局側装置であるOLT(Optical Line Terminal)と加入者側装置である複数のONU(Optional Network Unit)を光伝送媒体で接続し、MAC(Media Access Control)フレームによってデータ送受信を行っている。ここでのOLTは通信網事業者局に設置され、ONUは加入者の宅内や屋外に設置されるとともに1〜複数の加入者端末を収容している。これにより、E−PONではPONシステムにイーサネット(登録商標)サービスを透過的に収容している。
PONシステムにおけるマルチキャストフレームの送信方法としては、以下の2つの方法がある。すなわち、第1の方法(MCB(Multiple Copy Broadcast)方式)では、上位網からマルチキャストフレームを受信したOLTが、マルチキャストフレームの宛先分だけデータをコピーしてPON区間に送出する。例えば、OLTに2台の登録ONUが接続されている場合、OLTではデータを2つ分コピーしてPON区間に送出する。また、マルチキャストグループにN台(Nは自然数)のONUが登録されていれば、OLTはN個分のデータをコピーをしてPON区間に送出する。
第2の方法(SCB(Single Copy Broadcast)方式)では、上位網からマルチキャストフレームを受信したOLTが、マルチキャスト送信であることを示す情報をONU−IDとしてデータに付加し、マルチキャストデータをPON区間に送出する。このとき、OLTではデータをコピーせず、ただ1種類のフレームのみを送出する。
このようなPONシステムのマルチキャスト通信においては、情報の秘匿性を保持しつつ効率よく通信することが望まれている。すなわち、PONシステムのマルチキャスト通信においては、帯域を浪費せず、なおかつセキュリティを確保することが必要となる。
ところが、上述したマルチキャストフレームの第1の送信方法の場合、マルチキャストグループに登録されているONUの数だけデータをコピーして送出するため、PON区間の帯域を無駄に浪費してしまうといった問題があった。
一方、上述したマルチキャストフレームの第2の送信方法の場合、OLTではデータをコピーせず、1種類のフレームのみを送出するため、PON区間の帯域を無駄にしない。しかしながら、伝送フレームをブロードキャスト扱いにして送信するこの方法は、特定のONU以外にもフレーム配信するため、そのONU配下の加入者端末へ伝送フレームが漏洩してしまい、秘匿性を保持できないといった問題があった。
例えば、非特許文献1では、E−PONシステムにおける暗号化機能及び具現方法を規定している。この非特許文献1では、MACフレームの宛先アドレスDA(Destination Address)および送信元アドレスSA(Source Address)以外のフィールドを暗号化したSecure Dataフィールドに、暗号化情報を示すSecTAG(Secure TAG)フィールドと、認証情報を示すICV(Integrity Check Value)フィールドとを付加することで、セキュリティ通信を可能としている。
また、特許文献1に記載のVoIP通信システムは、複数の端末装置とゲートウエイとをLANを介して接続したVoIP通信システムにおいて、ゲートウエイは複数の端末装置への音声パケットなどのデータを一つにまとめ、複数の端末装置で受信可能なパケットとしてマルチキャストまたはブロードキャストによりLANに送出している。そして、各端末装置では、LANから受信した前記複数の端末装置で受信可能なパケットの中から自分宛のデータを抽出している。
また、特許文献2に記載の端局装置は、ストリーム番号、マルチキャスト条件、対象終端装置識別子、マルチキャスト用暗号キーを格納するマルチキャスト用暗号キーテーブル格納部を備え、受信した伝送フレームがマルチキャスト条件に合致する場合に、ヘッダを同報通信に設定し、対応するストリーム番号をヘッダに設定し、対応するマルチキャスト用暗号キーにより伝送フレームを暗号化している。また、終端装置は、ストリーム番号、マルチキャスト用暗号キーを格納するマルチキャスト用暗号キーテーブル格納部を備え、受信した伝送フレームのヘッダが同報通信で、ヘッダに設定されているストリーム番号がマルチキャスト用暗号キーテーブル格納部に存在する場合に、対応するマルチキャスト用暗号キーにより伝送フレームを復号している。
IEEE P802.1 AE/D4.0 Media Access Control (MAC) Security 特開2002−124949号公報 特開2005−197947号公報
しかしながら、上記第1の従来技術では、マルチキャスト通信において、情報の秘匿性を保持しつつ帯域を浪費しない効率の良い通信を行なうことはできないといった問題があった。
また、上記第2の従来技術では、マルチキャストパケットやブロードキャストパケットを暗号化していないため、送出するデータの秘匿性を保持することができないといった問題があった。
また、上記第3の従来技術では、送信する伝送フレームをマルチキャスト通信しているため、データ通信を行なう装置の構成が複雑となり、簡易な構成でデータの秘匿性を保持しつつデータ通信を行なうことができないといった問題があった。
本発明は、上記に鑑みてなされたものであって、PONシステム上で情報の秘匿性を保持しつつ効率良くデータ通信を行なう局側装置、加入者側装置およびPONシステムを得ることを目的とする。
上述した課題を解決し、目的を達成するために、本発明は、1〜複数の加入者端末を収容する加入者側装置とPONシステム上の光伝送媒体を介して接続するとともにIP網に接続し、前記光伝送媒体上で所定のデータフレームによって前記加入者側装置との間でデータ送受信を行う局側装置において、マルチキャスト通信の制御に用いる制御メッセージをスヌープするスヌープ部と、前記スヌープ部のスヌープ結果に基づいてマルチキャスト用暗号鍵を生成する暗号鍵生成部と、前記暗号鍵生成部が生成したマルチキャスト用暗号鍵と、前記加入者端末のマルチキャストグループを識別するマルチキャスト識別子との対応付けに関するマルチキャスト管理テーブルに基づいて、前記マルチキャストグループのマルチキャスト識別子に対応するマルチキャスト用暗号鍵を選択し、前記マルチキャストグループへのマルチキャストフレームに暗号化に関する情報を付与して暗号化する暗号化部と、前記暗号化部で暗号化されたマルチキャストフレームをブロードキャストで加入者側装置へ送信する送信部と、前記加入者側装置へのデータフレームが前記加入者側装置との間のPON区間に固有のデータフレームである場合に、前記加入者側装置との間のPON区間に固有のフレームであることを示すPON固有情報を付加したデータフレームを、前記加入者側装置へ送信するよう制御する制御部と、を備えることを特徴とする。
この発明によれば、マルチキャストグループに対応するマルチキャスト用暗号鍵でマルチキャストフレームを暗号化するとともにブロードキャストで加入者側装置へ送信するので、PONシステム上でデータフレームの秘匿性を保持しつつ効率良くデータ通信を行なうことが可能になるという効果を奏する。
以下に、本発明にかかる局側装置、加入者側装置およびPONシステムの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。
この発明の実施の形態を説明する前に、本発明が適用されるEFM(Ethernet(登録商標) in the First Mile)によるギガビットE−PON(E Passive Optical Network)システム(GE−PON)について説明する。
GE−PONシステムでは、OLTにブリッジ機能を実装し、ブリッジポートとして論理ポートを適用する。一般的なブリッジは、物理ポートを単位としたスイッチングを行うが、複数のONUで1つの伝送路を共有するPONシステムにおいてONU間通信を行う場合、ブリッジにおいてONUごとのポートを意識させる必要がある。さらにONUが複数のユーザ間インタフェース(以下、UNI(User Network Interface)という))を収容する場合、ONUのUNI間通信を行うには、ブリッジにおいてUNIごとのポートを意識させる必要がある。このようなONUごとあるいはUNIごとのポートのことを論理ポートと呼ぶ。論理ポートは、OLTとONUに存在し、この間を接続する網を論理リンクと呼ぶ。
論理リンクは、PONで固有の識別子であるLLID(論理リンク識別子、Logical Link Identifier)により識別される。LLIDはOLTで選択され、ONUに通知される。LLIDは、MACフレームのプリアンブルに定義されており、16ビット構成である。ブロードキャスト用プリアンブルは、この値がすべて1で定義されている。
実施の形態1.
図1は、本発明の実施の形態1にかかるPONシステムの構成を示す図である。PONシステム100は、局側装置(単局装置)である1つのOLT1と、このOLT1と光伝送媒体を介して接続される加入者側装置(終端装置)である複数のONU2を含んで構成され、各ONU2の配下には1〜複数の加入者端末5が接続される。ここでは、PONシステム100のONU2が3つであり、各ONU2に加入者端末5が1つずつ接続されている場合をPONシステム100の一例として示している。
OLT1は、IP網101内のスイッチ4を介してデータ配信サーバ3と接続されている。なお、ここではIP網101と接続するOLT1が1つである場合について説明するが、IP網101と接続するOLT1は複数であってもよい。
加入者端末5がグループを形成する場合、OLT1およびONU2は、例えばマルチキャスト用IPプロトコルとして加入者端末5からのMLD(Multicast Listner Discovery)やIGMP(Internet Group Multicast Protocol)のReportメッセージやLeaveメッセージ、SNI(Service Node Interface)を介したデータ配信サーバ3からのMLDやIGMP Queryメッセージをスヌープし、マルチキャストグループに関する情報(マルチキャストグループ情報)を管理する。また、PONシステム100上(OLT1とONU2との間)のデータはセキュリティ確保のため、暗号化して伝送される。ここでのReportメッセージ、Leaveメッセージ、MLDやIGMP Queryメッセージが特許請求の範囲に記載の制御メッセージに対応する。
なお、例えばOLT1からONU2へユニキャスト送信を行なう場合は、OLT1からPON側へデータD1〜D3が送出される。そして、各データD1〜D3は、各データの宛先に応じたONU2から加入者端末5へ転送される。
ここで、PONシステム100において伝送されるフレームフォーマットについて説明する。図2は、PONシステムにおいて伝送されるフレームフォーマットの一例を示す図である。図2では、上側に示したDAフィールド60、SAフィールド61、User Dataフィールド64が暗号化前のデータであり、下側に示したDAフィールド60、SAフィールド61、SecTAGフィールド64、Secure Dataフィールド、ICVフィールド63が暗号化後のデータである。
PONシステム100において伝送されるフレームフォーマット(暗号化後)は、IEEE P802.1AEに従う暗号MACフレームフォーマットを含んでいる。暗号MACフレームフォーマットは、MACフレームに、暗号化情報を示すSecTAG(Secure TAG)フィールド62と、完全性チェック情報を示すICV(Integrity Check Value)フィールド63とを備えたものである。また、未暗号MACフレームフォーマットは、宛先アドレス(DA:Destination Address)フィールド60、送信元アドレス(SA:Source Address)フィールド61、ユーザデータ(User Data)情報を示すMSDU(MAC Service Data Unit)フィールド64を備えている。
このうち、MSDU(User Data64)に対応するSecure Data、ICV63、SecTAG62、ICV63がMPDU(MAC Protocol Data Unit)を構成している。また、DA60、SA61がMACアドレスを構成している。
図3は、SecTAGフィールドの詳細な構成を説明するための図である。SecTAGフィールド62は、暗号タグタイプ情報であるME(MAC Ether Type)71の2バイト、暗号タグ情報であるTCI/AN(TAG Control Information/Association Number)72の1バイト、フレーム長に関する情報であるSL(Short Length)73の1バイト、パケット数の情報であるPN(Packet Number)74の4バイト、オプショナルのグループ識別情報(マルチキャスト識別子)であるSCI(Secure Connectivity Identifier)75の8バイトで構成されている。実施の形態1では、SCI75をグループ識別子とし、OLT1はONU2にマルチキャストフレームをブロードキャスト配信する。
TCI/AN72(暗号タグ情報)の1バイトは、バージョン情報(V:Version)の1ビット、ES(End Station)情報の1ビット、SC(Secure Channel)情報の1ビット、ブロードキャスト(SCB:Single Copy Broadcast)情報の1ビット、暗号化情報(E:Encrption)の1ビット、完全性チェック機能(ICV:Integrity Check Value)情報の1ビット、および暗号鍵(AN:Association Network)情報の2ビットで構成されている。ここでのSCは、グループ識別子であるSCI75の有無を示す情報であり、SCBはブロードキャストフレームであるか否かを示す情報である。
SCI75は、システムの識別情報(System Identifer)、ポート番号(Port Number)で構成されている。ICVフィールド63は、メッセージの完全性をチェックするために使用されるフィールドである。IEEE P802.1AEの暗号化アルゴリズムであるGCM−AES(Galois Counter Mode Advanced Encryption Standard)を使用した場合、ICVの値は8バイトから16バイトのチェックサムに該当する。完全性チェックの範囲は、ユーザデータ情報(User Data)64のMSDUフィールドに対して適用できる。
次に、実施の形態1にかかるE−PONシステム(PONシステム100)のプロトコルスタックについて説明する。図4は、PONシステムのプロトコルスタックを説明するための図である。図4は、OSI(Open System Interconnection)参照モデルとE−PONシステムで暗号を行うプロトコルスタックを示している。
E−PONシステム(PONシステム100)のOLT1、ONU2は、OSI参照モデルのデータリンク層以下でデータを扱う通信装置であり、プロトコルスタックでは、LLC(Logical Link Control)階層80、MPCP(Multi-Point Control Protocol or MAC Control)階層81、MAC階層83、RS(Reconciliation Sublayer)階層84、PCS(Physical Coding Sublayer)階層85、PMA(Physical Medium Attachment)階層86、PMD(Physical Medium Dependent Sublayer)階層87が該当する。実施の形態1での暗号化(Encryption)階層82はMPCP階層の真下に位置する。
図3および図4を参照すると、SecTAGフィールド(SecTAG62)のSCI領域(SCI75)は、セキュアサービス/トラフィック差別を遂行するエンティティを区別するために用いられる。また、SCI領域(SCI75)は全ONU2に対してサービス/トラフィック差別を遂行することもできる。PONシステム100ではマルチキャストデータの識別とデータの暗号化を同一レイヤで行なっている。
つぎに、実施の形態1にかかるOLT1の構成について説明する。図5は、実施の形態1にかかるOLTの構成を示すブロック図である。OLT1は、暗号化マルチキャスト通信を実現する局側装置であり、スプリッタを介して1つ以上のONU2を収容するPONインタフェース(PON−IF)(送信部)10と、IP網101への接続を行うSNI(Service Node Interface)11と、CPU(Central Processing Unit)(制御部)12とを備えている。なお、図5に示す機能構成(機能分割)はあくまで一例であり、PON−IF10およびSNI11の詳細は省略している。
PON−IF10は、MLD/IGMPフィルタ部13、暗号化部14、復号化部15を備える。MLD/IGMPフィルタ部(スヌープ部)13は、PON側(ONU2)からのマルチキャスト用IPプロトコルとしてMLDやIGMPのReportメッセージやLeaveメッセージをスヌープするとともに、SNI11を介したデータ配信サーバ3からのMLDやIGMP Queryメッセージをスヌープする。
暗号化部14は、暗号鍵を保持しており、この暗号鍵によってONU2へ送信するデータを暗号化する。復号化部15は、復号鍵を保持しており、この復号鍵によってONU2から受信したデータを復号化する。
SNI11は、データ配信サーバ3からのマルチキャストデータの受信監視を行うマルチキャスト監視部16を備えている。SNI11が受信監視を行なうマルチキャストデータは、MLD/IGMPフィルタ部13に入力される。
CPU12は、MACアドレス/マルチキャストアドレス/MLD,IGMPスヌープ結果/暗号鍵(インデックス)/ONU(LLID)/SCIの組合せを記憶するマルチキャスト管理テーブル17を管理する。また、CPU12はPON上の論理リンクを制御する論理リンク制御部18を備え、論理リンク制御部18によってPONポートごとのLLID値の使用状況を記憶するLLID管理テーブル19を管理する。実施の形態1では、OLT1からONU2へ暗号鍵を配布する際に、LLID管理テーブル19に記憶するLLID値に基づいて、論理リンク制御部18が論理リンクを制御しユニキャスト用のパスを設定する。そして、このユニキャスト用のパスを用いてOLT1からONU2へのマルチキャストデータをブロードキャストで送信する。
また、CPU12はマルチキャスト用暗号鍵生成部21、MLDやIGMPメッセージを監視(スヌープ)するMLD/IGMP監視部20を備えている。また、CPU12は、CPU12内の各機能、PON−IF10、SNI11を制御する手段を備えている。
MLD/IGMP監視部20は、IGMPフィルタ部13がスヌープして抽出した種々のIGMPから、マルチキャスト管理テーブル17に登録する情報を読み取り、マルチキャスト管理テーブル17に登録させる。
マルチキャスト用暗号鍵生成部21は、OLT1と接続してOLT1が管理する加入者端末5のグループ識別子に基づいて、マルチキャスト用の暗号鍵を生成する。マルチキャスト用暗号鍵生成部21は、加入者端末のいずれかが離脱した際にマルチキャスト用の暗号鍵を生成する。また、マルチキャスト用暗号鍵生成部21は、所定の周期でマルチキャスト用の暗号鍵を生成し更新してもよい。
マルチキャスト管理テーブル17で記憶する暗号鍵のうち、ユニキャスト用の暗号鍵はONU2から通知され、PON−IF10の暗号化部14、復号化部15において保持、管理する。
また、マルチキャスト管理テーブル17で記憶する暗号鍵のうち、マルチキャスト用の暗号鍵はOLT1で管理するグループ識別子をもとにマルチキャスト用暗号鍵生成部21で生成し、暗号化部14、復号化部15において保持、管理する。マルチキャスト用暗号鍵生成部21で生成したマルチキャスト用の暗号鍵は、CPU11の制御に基づいて暗号化部14で暗号化され、ONU2に通知される。マルチキャスト管理テーブル17では、暗号鍵のインデックスを記憶しておく。
ここで、OLT1の動作手順について説明する。まず、OLT1がPON側(ONU2)からデータを受信した際の動作手順について説明する。OLT1は、データ配信サーバ3からのMLDやIGMP Queryメッセージに基づいて加入者端末5(ONU2)から送信されたReportメッセージを、PON−IF10から受信し、このReportメッセージをMLD/IGMPフィルタ部13においてスヌープして取り込む。このReportメッセージには、マルチキャスト通信で使用するIPグループアドレスが格納されている。
MLD/IGMP監視部20は、ReportメッセージとMLD/IGMPスヌープ結果を読み取る。ここでのIGMP監視部20は、MLD/IGMPスヌープ結果として、「Report」を示す情報をMLD/IGMPフィルタ部13から読み取る。MLD/IGMP監視部20は、Reportメッセージ内のIPグループアドレスをキーにして、マルチキャスト管理テーブル17を検索する。
ここで、OLT1が備えるマルチキャスト管理テーブル17の構成について説明する。図6は、OLTが備えるマルチキャスト管理テーブルの構成の一例を示す図である。マルチキャスト管理テーブル17は、加入者端末5のMACアドレス、マルチキャストアドレス(IPグループアドレス)、MLD/IGMPスヌープ結果、MACアドレスに対応するONU2のLLID(P2P(peer to peer)(ポイント・ポイント)通信用のLLID)、マルチキャストグループに対応するSCI、ONU2との間でP2P通信を行なう際の暗号鍵、ONU2との間でマルチキャスト通信(Multicast)を行なう際の暗号鍵が対応付けられた情報テーブルである。
マルチキャスト管理テーブル17は、ONU2とデータ配信サーバ3間で送受信されるデータ(フレーム)などを用いて作成されるものである。
例えば、MACアドレスがaa−aa−aa−aa−aa−aa、bb−bb−bb−bb−bb−bb、cc−cc−cc−cc−cc−ccである加入者端末5のマルチキャストアドレスは、xx.xx.xx.xxであり、この加入者端末5からのMLDやIGMPのMLD/IGMPスヌープ結果はそれぞれ「Report」(Reportメッセージ)であることを示している。
また、MACアドレスがaa−aa−aa−aa−aa−aaに対応するONU2のP2P用LLIDは1でP2P用の暗号鍵が#1、MACアドレスがbb−bb−bb−bb−bb−bbに対応するONU2のP2P用LLIDは2でP2P用の暗号鍵が#2、MACアドレスがcc−cc−cc−cc−cc−ccに対応するONU2のP2P用LLIDは3でP2P用の暗号鍵が#3であることを示している。
また、マルチキャストアドレスxx.xx.xx.xxに対応するSCIは、「00 00 00 00 00 01 00 01」であり、マルチキャスト用の暗号鍵が#Aであることを示している。ここで管理している暗号鍵はインデックス(識別情報)であり、実際の暗号鍵は、PON―IF10の暗号化部14において管理している。
MLD/IGMP監視部20が、マルチキャスト管理テーブル17を検索した結果、IPグループアドレスに対応(一致)するIPマルチキャストアドレスが見つからなかった場合、MLD/IGMP監視部20は、Reportメッセージを送信してきた加入者端末5は最初のグループ参入であると判断(認識)する。そして、MLD/IGMP監視部20は、Reportメッセージに基づいて、マルチキャスト管理テーブル17の未使用エントリに、IPマルチキャストアドレス(IPグループアドレス)、ONU(LLID)、MLD/IGMPスヌープ結果(Report)、使用する暗号鍵のインデックスを記憶させるとともに、マルチキャストグループに対応したSCIを記憶させる。ここでのONU(LLID)は、OLT1とONU2の間でユニキャスト通信を行なうために予め設定されているものである。また、SCIは、マルチキャストグループの設定時にあらかじめ設定されているものである。これにより、加入者端末5が最初の参入であってもSCIに基づいた暗号化処理、マルチキャストフレームの送信処理などを行なうことが可能となる。
次に、MLDやIGMPのReportメッセージに含まれるIPグループアドレスと一致するIPマルチキャストアドレスがマルチキャスト管理テーブル17のエントリから見つかった場合の処理について説明する。
MLD/IGMP監視部20が、マルチキャスト管理テーブル17を検索した結果、IPグループアドレスに対応(一致)するIPマルチキャストアドレスが見つかった場合、MLD/IGMP監視部20は、Reportメッセージを送信してきた加入者端末5は2番目以降のグループ参入であると判断(認識)する。そして、MLD/IGMP監視部20は、マルチキャスト管理テーブル17内でIPマルチキャストアドレスが一致するエントリに、MLD/IGMPスヌープ結果(Report)、新たなONU(LLID)を記憶する。これにより、加入者端末5が2番目以降の参入であってもSCIに基づいた暗号化処理、マルチキャストフレームの送信処理などを行なうことが可能となる。
なお、PON−IF10から受信したONU2からのユニキャストデータは、マルチキャスト管理テーブル17の内容に基づいて当該ユニキャスト通信に対応する復号鍵で復号化された後、MLD/IGMPフィルタ部13でMLDやIGMPメッセージがスヌープされ、SNI11に転送される。なお、実施の形態1での復号化は例えば暗号鍵と同一の鍵(復号鍵)によって復号化する。
つぎに、OLT1がデータ配信サーバ3側からデータを受信した際の動作手順について説明する。データ配信サーバ3が送信したマルチキャストデータやユニキャストデータは、スイッチ4を介してOLT1に送信される。
OLT1は、マルチキャストデータをSNI11から受信すると、このマルチキャストデータをMLD/IGMPフィルタ部13に入力する。CPU12は、データ配信サーバ3から受信したMLD/IGMPフィルタ部13内のマルチキャストデータを、マルチキャスト管理テーブル17の内容に基づいて、当該マルチキャスト通信に対応する暗号鍵で暗号化部14に暗号化させる。このとき、マルチキャストデータ内のMACプリアンブルに含まれるLLIDフィールドを「0xFFFF」のブロードキャストとしておく。また、暗号化フレームのSecTAG領域は、TCIフィールドのSCBフラグとSCフラグを「1」とし、SCIフィールドにマルチキャスト管理テーブル17で記憶しているSCIの値を挿入する。この暗号化されたマルチキャストデータは、PON−IF10によってONU2へブロードキャスト送信される。
また、OLT1は、ユニキャストデータをSNI11から受信すると、このユニキャストデータをMLD/IGMPフィルタ部13に入力する。CPU12は、データ配信サーバ3から受信したMLD/IGMPフィルタ部13内のユニキャストデータを、マルチキャスト管理テーブル17の内容に基づいて、当該ユニキャストデータ通信に対応する暗号鍵で暗号化部14に暗号化させる。このとき、ユニキャストデータ内のMACプリアンブルに含まれるLLIDフィールドをユニキャストLLIDとしておく。また、暗号化フレームのSecTAG領域は、TCIフィールドのSCBフラグとSCフラグを「0」とし、SCIフィールドは具備させない。この暗号化されたユニキャストデータは、PON−IF10によってユニキャストデータの宛先に対応するONU2へユニキャスト送信される。
ここで、実施の形態1にかかるOLT1の暗号化部14および復号化部15で適用する暗号化アルゴリズムGCM−AESについて説明する。GCM−AESは、SecTAGのPNフィールド4バイトとSCIフィールド8バイトから、AESカウンタモードで使用するカウンタの初期値IVを暗号化部14で形成するものである。また、ICVの計算に用いるハッシュ鍵は、データ用の暗号鍵と暗号化部14が備えるAESカウンタモードの暗号化回路で生成する。
つぎに、実施の形態1にかかるONU2の構成について説明する。図7は、実施の形態1にかかるONUの構成を示すブロック図である。ONU2は、暗号化マルチキャスト通信を実現する加入者側装置(終端装置)であり、スプリッタを介してOLT1と接続するPONインタフェース(PON−IF)(送信部)30と、1つ以上の加入者端末5を収容するUNI31と、CPU32とを備えている。なお、図7に示す機能構成(機能分割)はあくまで一例であり、PON−IF30およびUNI31の詳細は省略している。
PON−IF30は、MLD/IGMPフィルタ部33、暗号化部38、復号化部39を備える。MLD/IGMPフィルタ部33は、UNI31(加入者端末5)からのマルチキャスト用IPプロトコルとしてMLDやIGMPのReportメッセージやLeaveメッセージをスヌープするとともに、PON(OLT1)を介したデータ配信サーバ3からのMLDやIGMP Queryメッセージをスヌープする。
暗号化部38は、暗号鍵を保持しており、この暗号鍵によってOLT1へ送信するデータを暗号化する。復号化部39は、復号鍵を保持しており、この復号鍵によってOLT1から受信したデータを復号化する。
CPU32は、MACアドレス/マルチキャストアドレス/MLD,IGMPスヌープ結果/暗号鍵/SCIの組合せを記憶するマルチキャスト管理テーブル34を管理する。また、CPU32はPON上の論理リンクを制御する論理リンク制御部35を備え、論理リンク制御部35によってPONポートごとのLLID値の使用状況を記憶するLLID管理テーブル36を管理する。
また、CPU32はユニキャスト用暗号鍵生成部40、MLDやIGMPメッセージを監視(スヌープ)するMLD/IGMP監視部37を備えている。また、CPU32は、CPU32内の各機能、PON−IF30、UNI31を制御する手段を備えている。
MLD/IGMP監視部37は、MLD/IGMPフィルタ部33がスヌープした種々のMLDやIGMPから、マルチキャスト管理テーブル34に登録する情報を読み取り、マルチキャスト管理テーブル34に登録させる。
マルチキャスト管理テーブル34で記憶する暗号鍵(インデックス)のうち、マルチキャスト用の暗号鍵はOLT1から通知される。このOLT1から通知されるマルチキャスト用の暗号鍵は、暗号化部38、復号化部39において保持、管理される。
また、マルチキャスト管理テーブル34で記憶する暗号鍵のうち、ユニキャスト用の暗号鍵はユニキャスト用暗号鍵生成部40でLLID毎に生成し、暗号化部38、復号化部39において保持、管理する。ユニキャスト用暗号鍵生成部40で生成したユニキャスト用の暗号鍵は、CPU32の制御に基づいて暗号化部38で暗号化され、OLT1に通知される。
ここで、ONU2の動作手順について説明する。まず、ONU2が加入者端末5からデータを受信した際の動作手順について説明する。ONU2は、データ配信サーバ3からのMLDやIGMP Queryメッセージに基づいて加入者端末5から送信されたReportメッセージを、UNI31から受信し、このReportメッセージをMLD/IGMPフィルタ部33においてスヌープして取り込む。このReportメッセージには、マルチキャスト通信で使用するIPグループアドレスが格納されている。
MLD/IGMP監視部37は、ReportメッセージとMLD/IGMPスヌープ結果を読み取る。ここでのMLD/IGMP監視部37は、MLD/IGMPスヌープ結果として、「Report」を示す情報をMLD/IGMPフィルタ部33から読み取る。MLD/IGMP監視部37は、Reportメッセージ内のIPグループアドレスをキーにして、マルチキャスト管理テーブル34を検索する。
ここで、ONU2が備えるマルチキャスト管理テーブル34の構成について説明する。図8は、ONUが備えるマルチキャスト管理テーブルの構成の一例を示す図である。マルチキャスト管理テーブル34は、加入者端末5のMACアドレス、マルチキャストアドレス(IPグループアドレス)、MLD/IGMPスヌープ結果、マルチキャストグループに対応するSCI、OLT1との間でP2P通信を行なう際の暗号鍵、OLT1との間でマルチキャスト通信を行なう際の暗号鍵が対応付けられた情報テーブルである。
マルチキャスト管理テーブル34は、OLT1とデータ配信サーバ3間で送受信されるデータ(フレーム)などを用いて作成されるものであり、例えばSCIはSecTAG62内のSCI(Optional)75に基づいてマルチキャスト管理テーブル34に登録される。
例えば、MACアドレスがdd−dd−dd−dd−dd−dd、ee−ee−ee−ee−ee−eeである加入者端末5のマルチキャストアドレスは、yy.yy.yy.yyであり、この加入者端末5からのMLDやIGMPのMLD/IGMPスヌープ結果はそれぞれ「Report」(Reportメッセージ)であることを示している。
また、MACアドレスがdd−dd−dd−dd−dd−ddに対応するP2P用の暗号鍵が#1、MACアドレスがee−ee−ee−ee−ee−eeに対応するP2P用の暗号鍵が#4であることを示している。
また、マルチキャストアドレスyy.yy.yy.yyに対応するSCIは、「00 00 00 00 00 02 00 01」であり、マルチキャスト用の暗号鍵が#Bであることを示している。ここで管理している暗号鍵はインデックス(識別情報)であり、実際の暗号鍵は、PON―IF10の暗号化部38において管理している。
IGMP監視部37が、マルチキャスト管理テーブル34を検索した結果、IPグループアドレスに対応(一致)するIPマルチキャストアドレスが見つからなかった場合、MLD/IGMP監視部37は、Reportメッセージを送信してきた加入者端末5は最初のグループ参入であると判断(認識)する。そして、MLD/IGMP監視部37は、Reportメッセージに基づいて、マルチキャスト管理テーブル34の未使用エントリに、IPマルチキャストアドレス(IPグループアドレス)、MLD/IGMPスヌープ結果(Report)、使用する暗号鍵のインデックスを記憶させるとともに、マルチキャストグループに対応したSCIを記憶させる。これにより、加入者端末5が最初の参入であってもSCIに基づいた復号化処理、マルチキャストフレームの受信処理などを行なうことが可能となる。
次に、MLDやIGMPのReportメッセージに含まれるIPグループアドレスと一致するIPマルチキャストアドレスがマルチキャスト管理テーブル34のエントリから見つかった場合の処理について説明する。
MLD/IGMP監視部20が、マルチキャスト管理テーブル17を検索した結果、IPグループアドレスに対応(一致)するIPマルチキャストアドレスが見つかった場合、MLD/IGMP監視部20は、Reportメッセージを送信してきた加入者端末5は2番目以降のグループ参入であると判断(認識)する。そして、MLD/IGMP監視部20は、マルチキャスト管理テーブル17内でIPマルチキャストアドレスが一致するエントリに、新たな加入者端末5(MACアドレスなど)を記憶する。これにより、加入者端末5が2番目以降の参入であってもSCIに基づいた復号化処理、マルチキャストフレームの受信処理などを行なうことが可能となる。
なお、UNI31から受信した加入者端末5からのユニキャストデータは、MLDやIGMPメッセージの場合はMLD/IGMPフィルタ部33でスヌープし、マルチキャスト管理テーブル34の内容に基づいて当該ユニキャスト通信に対応する暗号鍵で暗号化させた後、PON−IF30に転送する。このとき、MACプリアンブルに含まれるLLIDフィールドはユニキャストLLIDとし、暗号化フレームのSecTAG領域は、TCIフィールドのSCBフラグとSCフラグを「0」とし、SCIフィールドは具備しない。
つぎに、ONU2がデータ配信サーバ3側からデータを受信した際の動作手順について説明する。データ配信サーバ3が送信したマルチキャストデータやユニキャストデータは、OLT1を介してONU2に送信される。ONU2は、マルチキャストデータをPON−IF30から受信すると、このこのマルチキャストデータをIGMPフィルタ部33に入力する。CPU32は、このマルチキャストデータを復号化部39に復号化させる。このとき、復号化部39は、マルチキャスト管理テーブル34の内容に基づいて、当該マルチキャスト通信に対応する復号鍵で復号化する。復号化部39は暗号化フレームのSCフラグが「1」の場合、SCIフィールドとマルチキャスト管理テーブル34で記憶しているSCI値を比較し、当該グループに対応した復号鍵でデータを復号する。復号化部39が復号したマルチキャストデータはUNI31に転送され、加入者端末5に送信される。
また、OLT1は、ユニキャストデータをPON−IF30から受信すると、このユニキャストデータをMLD/IGMPフィルタ部33に入力する。CPU32は、MLD/IGMPフィルタ部33内のユニキャストデータを、マルチキャスト管理テーブル34の内容に基づいて、当該ユニキャストデータ通信に対応する復号鍵で復号化部39に復号化させる。このとき、復号化部39が行なう復号条件は、暗号化フレームのSecTAG領域に従う。復号化部39が復号したユニキャストデータはUNI31に転送され、加入者端末5に送信される。
つぎに、暗号鍵の配布方法について説明する。OLT1は、SecTAG62のME(MAC Ether Typeフィールド)15にPON毎に固有の暗号鍵Typeを設定する。暗号鍵を受信したOLT1またはONU2は、暗号化データを復号化して鍵情報を抽出した後、当該フレームを廃棄してPON外に転送しない。
つぎに、マルチキャスト用暗号鍵の第1の配布方法および第2の配布方法について説明する。第1の方法はマルチキャストグループからいずれの加入者(加入者端末5)も離脱していない場合の鍵更新に適用でき、第2の方法はマルチキャストグループからいずれかの加入者が離脱した場合と、いずれの加入者も離脱していない場合の両方の鍵更新に適用できる。
第1のマルチキャスト用暗号鍵配布方法は、マルチキャストデータの送信方法と同様に、OLT1がSecTAGフィールドのSCBフラグとSCフラグをともに「1」に設定し、OLT1のマルチキャスト管理テーブル17に記憶されているSCIを挿入して、ブロードキャストでPONに出力する。ONU2は、PON−IF30からマルチキャスト用暗号鍵を受信すると、マルチキャストデータの受信方法と同様に、SecTAGフィールドに従って復号し、マルチキャスト用暗号鍵のインデックスをマルチキャスト管理テーブル34に記憶するとともに、暗号化部38でマルチキャスト用暗号鍵を管理する。
第2のマルチキャスト用暗号鍵配布方法は、ユニキャストデータの送信方法と同様に、OLT1がSecTAGフィールドのSCBフラグとSCフラグをともに「0」に設定し、OLT1のLLID管理テーブル19をもとに、ユニキャストでPONに出力する。ONU2は、PON−IF30からマルチキャスト用暗号鍵を受信すると、ユニキャストデータの受信方法と同様に、SecTAGフィールドに従って復号し、マルチキャスト用暗号鍵のインデックスをマルチキャスト管理テーブル34に記憶するとともに、暗号化部38でマルチキャスト用暗号鍵を管理する。
このようにPONシステム100では、OLT1、ONU2は、伝送データが暗号化されていることを示す暗号タグタイプ情報(ME71)、データの暗号化に関する情報を表す暗号タグ情報を示す暗号化タグフィールド(TCI/AN72)、暗号化に関する情報に基づいて暗号化した伝送データ(暗号化データ)を示すパケットデータフィールド(SecTAG62)、暗号化データの完全性をチェックする完全性チェックフィールド(ICV63)を形成し、これら各フィールドおよび伝送データの宛先アドレス(DA)と送信元アドレスを示すアドレスフィールド(SA)を含む1つの伝送フレームを形成している。
そして、暗号化タグフィールドは、オプショナルでマルチキャストグループ情報フィールド(SCI75)を付加し、またブロードキャストフレームであることを示すフラグビット領域(SCB)と、グループ情報フィールドの有無を示すフラグビット領域(SC)とを有している。
これにより、ONU2とOLT1は受信したデータフレームを暗号化/復号化するべきかを判断できるとともに、SCI75に基づいて何れの暗号鍵/復号鍵を用いてデータフレームを暗号化/復号化するべきかを判断できる。したがって、OLT1からONU2へのデータ送信において、暗号化されたデータのブロードキャスト通信が可能となる。
このように実施の形態1によれば、PON区間を伝送するマルチキャストデータは、IPグループアドレス毎の暗号鍵で暗号化することでセキュリティを確保することができるとともに、ブロードキャストでONU2に配信するため、伝送帯域を圧迫することなくネットワークの帯域を効率よく利用することができる。
実施の形態2.
GCM−AES暗号方式は、PON区間外でも適用される暗号アルゴリズムである。このため、PON区間外の装置で暗号化される場合もある。例えば、OLT1の上位のデータ配信サーバ3で暗号化を行う場合、OLT1はSNI11から受信したフレームのSecTAGフィールド62の暗号化フラグ(E(Encryption))を確認し、「1」が立っていなければ暗号化を行うとともに暗号化フラグを「1」に設定して当該暗号化フレームをPONに転送する。このとき、マルチキャストアドレスのフレームであれば、MACプリアンブルのLLIDフィールドには「0xFFFF」のブロードキャストLLIDを挿入し、SecTAGフィールド62のSCBフラグを立てる。
そして、ONU2がデータ配信サーバ3で暗号化された暗号化フレームを受信すると、マルチキャスト管理テーブル34で記憶しているマルチキャストアドレスを検索し、暗号化フレームに対応する復号鍵を保持していれば復号化部39でこれを復号する。これにより、PON区間外で暗号化されたフレームであってもOLT1からONU2へフレーム送信することが可能となる。
一方、ONU2が暗号化フレームに対応する暗号鍵を持たない場合、暗号化フレームを復号せずにそのまま配下の加入者端末5に転送する。また、OLT1からの暗号化フレームにおいては、SecTAG62のME(MAC Ether Type)71フィールドにONU2で復号化しないことを示すType(復号指示情報)が設定されており場合、ONU2は暗号化フレームを復号せずにそのまま配下の加入者端末5に転送する。このとき、ONU2で復号化されたかった暗号化フレームは配下の加入者端末5で処理される。これにより、ONU2が暗号化フレームに対応する暗号鍵を持たない場合であっても加入者端末5がOLT1からの暗号化フレームを取得することが可能となる。
同様に、ONU2の配下の加入者端末5で暗号化を行う場合、ONU2はUNI31から受信したフレームのSecTAGフィールド62の暗号化フラグ(E(Encryption))に「1」が立っていなければ暗号化を行うとともに暗号化フラグを「1」に設定して当該暗号化フレームをPONに転送する。
そして、OLT1が暗号化フレームを受信すると、マルチキャスト管理テーブル17で記憶しているマルチキャストアドレスを検索し、当該フレームに対応する復号鍵を保持していれば復号化部15でこれを復号する。当該フレームに対応する暗号鍵を持たない場合、復号せずにそのまま上位のIP網101に転送する。これにより、PON区間外で暗号化されたフレームであってもONU2からOLT1へフレーム送信することが可能となる。また、OLT1が暗号化フレームに対応する復号鍵を持たない場合であっても加入者端末5からの暗号化フレームをIP網101へ送信することが可能となる。
また、OLT1およびONU2はPON区間に特有のフレームを独自に生成してもよい。これらのフレームはPONシステム100外を伝送するフレームと同様に、暗号化して送信することができる。たとえば、ユニキャスト宛のフレームの場合、OLT1やONU2はSecTAGフィールド62のSCフラグを「0」に設定してMACプリアンブルにユニキャストLLIDを挿入すればよい。また、マルチキャスト宛のフレームの場合、OLT1はマルチキャスト管理テーブル17で当該マルチキャストアドレスに対応するSCIを設定して記憶し、SecTAGフィールドのSCBフラグとSCフラグを「1」に設定して、SCIフィールドにマルチキャスト管理テーブル17で記憶しているSCIの値を挿入してPONに送信すればよい。このとき、MACプリアンブルのLLID領域にはブロードキャストLLIDを挿入する。
PON区間特有のフレームは、SecTAG62のME(MAC Ether Type)71フィールドにPON区間に固有の暗号化フレームであることを示すTypeを設定する(PON固有情報の付加)。これにより、OLT1およびONU2はデータを復号化して情報を抽出した後、当該フレームを廃棄してPON外に転送しない。これにより、PON区間特有のフレームは、PON区間内で処理されることとなり、PON区間特有のフレームをPON区間外へ流出することを防止できる。
PON区間に固有のフレームを暗号化する暗号鍵の配布方法について説明する。SecTAG62のME(MAC Ether Type)71フィールドにPONに固有の暗号鍵Typeを設定する。暗号鍵を受信したOLT1またはONU2は、暗号化データを復号化して鍵情報を抽出した後、当該フレームを廃棄してPON外に転送しない。これにより、PON区間特有の鍵情報は、PON区間内で処理されることとなり、PON区間特有の鍵情報をPON区間外へ流出することを防止できる。
このように実施の形態2によれば、PON区間外で暗号化したデータもセキュリティを確保した状態でPON区間を伝送できるとともに、マルチキャストフレームはブロードキャストで配信するため帯域を効率よく利用することができる。また、PON区間に特有のフレームも暗号化通信を行い、当該フレームはPON外に転送しないため、セキュリティが強化できる。
以上のように、本発明にかかる局側装置、加入者側装置およびPONシステムは、秘匿性を保持したデータ通信に適している。
本発明の実施の形態1にかかるPONシステムの構成を示す図である。 PONシステムにおいて伝送されるフレームフォーマットの一例を示す図である。 SecTAGフィールドの詳細な構成を説明するための図である。 PONシステムのプロトコルスタックを説明するための図である。 実施の形態1にかかるOLTの構成を示すブロック図である。 OLTが備えるマルチキャスト管理テーブルの構成の一例を示す図である。 実施の形態1にかかるONUの構成を示すブロック図である。 ONUが備えるマルチキャスト管理テーブルの構成の一例を示す図である。
符号の説明
1 OLT
2 ONU
3 データ配信サーバ
4 スイッチ
5 加入者端末
10,32 CPU
11 SNI
12,30 PON−IF
13,33 MLD/IGMPフィルタ部
14,38 暗号化部
15,39 復号化部
16 マルチキャスト監視部
17,34 マルチキャスト管理テーブル
18,35 論理リンク制御部
19,36 LLID管理テーブル
20,37 MLD/IGMP監視部
21 マルチキャスト用暗号鍵生成部
31 UNI
40 ユニキャスト用暗号鍵生成部
100 PONシステム
101 IP網

Claims (12)

  1. 1〜複数の加入者端末を収容する加入者側装置とPONシステム上の光伝送媒体を介して接続するとともにIP網に接続し、前記光伝送媒体上で所定のデータフレームによって前記加入者側装置との間でデータ送受信を行う局側装置において、
    マルチキャスト通信の制御に用いる制御メッセージをスヌープするスヌープ部と、
    前記スヌープ部のスヌープ結果に基づいてマルチキャスト用暗号鍵を生成する暗号鍵生成部と、
    前記暗号鍵生成部が生成したマルチキャスト用暗号鍵と、前記加入者端末のマルチキャストグループを識別するマルチキャスト識別子との対応付けに関するマルチキャスト管理テーブルに基づいて、前記マルチキャストグループのマルチキャスト識別子に対応するマルチキャスト用暗号鍵を選択し、前記マルチキャストグループへのマルチキャストフレームに暗号化に関する情報を付与して暗号化する暗号化部と、
    前記暗号化部で暗号化されたマルチキャストフレームをブロードキャストで加入者側装置へ送信する送信部と、
    前記加入者側装置へのデータフレームが前記加入者側装置との間のPON区間に固有のデータフレームである場合に、前記加入者側装置との間のPON区間に固有のフレームであることを示すPON固有情報を付加したデータフレームを、前記加入者側装置へ送信するよう制御する制御部と、
    を備えることを特徴とする局側装置。
  2. 前記マルチキャスト管理テーブルを記憶する記憶部をさらに備え、
    前記記憶部は、前記スヌープ部がスヌープした制御メッセージ内のマルチキャストアドレスと前記制御メッセージを送信してきた加入者側装置とを対応付けて記憶し、
    前記送信部は、前記加入者側装置へマルチキャストフレームを送信する際に、前記記憶部内の情報に基づいて前記加入者側装置のマルチキャストアドレスに対応するマルチキャスト識別子を選択し、選択したマルチキャスト識別子を前記マルチキャストフレームに付与して送信することを特徴とする請求項1に記載の局側装置。
  3. 前記記憶部は、前記スヌープ部がスヌープした制御メッセージの送信元である加入者側装置のマルチキャスト識別子を前記マルチキャスト管理テーブル内に記憶している場合、前記マルチキャスト識別子に対応付けて前記制御メッセージの送信元の加入者端末に関する情報を前記マルチキャスト管理テーブル内に記憶することを特徴とする請求項2に記載の局側装置。
  4. 前記暗号化部がマルチキャストフレームを暗号化する際の暗号化データフォーマットで暗号化されたデータフレームを、前記IP網から受信した場合に、前記IP網から受信したデータフレームを暗号化せずに前記光伝送媒体上に転送するよう制御する制御部をさらに備えることを特徴とする請求項1〜3のいずれか1つに記載の局側装置。
  5. 前記制御部は、前記加入者側装置から前記PON固有情報を含むデータフレームを受信すると、当該データフレーム内の情報を抽出した後、当該データフレームを廃棄して前記IP網へ転送しないよう制御することを特徴とする請求項1〜4のいずれか1つに記載の局側装置。
  6. IP網に接続する局側装置とPONシステム上の光伝送媒体を介して接続するとともに1〜複数の加入者端末を収容し、前記光伝送媒体上で所定のデータフレームによって前記局側装置との間でデータ送受信を行う加入者側装置において、
    マルチキャスト通信の制御に用いる制御メッセージをスヌープするスヌープ部と、
    前記局側装置から送信されるマルチキャスト用復号鍵を取得する復号鍵取得部と、
    前記復号鍵取得部が取得したマルチキャスト用復号鍵と、前記加入者端末のマルチキャストグループを識別するマルチキャスト識別子との対応付けに関するマルチキャスト管理テーブルおよび前記スヌープ部のスヌープ結果に基づいて、前記マルチキャストグループのマルチキャスト識別子に対応するマルチキャスト用復号鍵を選択し、前記局側装置からブロードキャストで送信されたマルチキャストフレームを復号化する復号化部と、
    前記局側装置へのデータフレームが前記局側装置との間のPON区間に固有のデータフレームである場合に、前記局側装置との間のPON区間に固有のフレームであることを示すPON固有情報が付加されたデータフレームを、前記局側装置へ送信するよう制御する制御部と、
    を備えることを特徴とする加入者側装置。
  7. 前記マルチキャスト管理テーブルを記憶する記憶部をさらに備え、
    前記記憶部は、前記スヌープ部がスヌープした制御メッセージ内のマルチキャストアドレスと前記制御メッセージを送信してきた加入者端末とを対応付けて記憶し、
    前記復号化部は、前記局側装置からのマルチキャストフレームを受信すると、前記加入者端末を収容する加入者側装置のマルチキャストアドレスに対応するマルチキャスト識別子を前記マルチキャストフレームから抽出し、抽出したマルチキャスト識別子に対応するマルチキャスト用復号鍵を前記記憶部内から選択して前記マルチキャストフレームを復号化することを特徴とする請求項に記載の加入者側装置。
  8. 前記記憶部は、前記スヌープ部がスヌープした制御メッセージの送信元である加入者端末のマルチキャスト識別子を前記マルチキャスト管理テーブル内に記憶している場合、前記マルチキャスト識別子に対応付けて前記制御メッセージの送信元の加入者端末に関する情報を前記マルチキャスト管理テーブル内に記憶することを特徴とする請求項に記載の加入者側装置。
  9. 前記局側装置からのマルチキャストフレームは、当該マルチキャストフレームを前記復号化部で復号化するか否かを指示する復号指示情報を含み、
    前記復号指示情報が前記復号化部で復号化しないことを指示する情報である場合に、前記局側装置からのマルチキャストフレームを復号化せずに前記加入者端末に転送するよう制御する制御部をさらに備えることを特徴とする請求項6〜8のいずれか1つに記載の加入者側装置。
  10. 前記制御部は、前記局側装置から前記PON固有情報を含むデータフレームを受信すると、当該データフレーム内の情報を抽出した後、当該データフレームを廃棄して前記加入者端末へ転送しないよう制御することを特徴とする請求項6〜9のいずれか1つに記載の加入者側装置。
  11. 前記マルチキャスト管理テーブルのマルチキャスト識別子は、前記局側装置から通知されることを特徴とする請求項6〜10のいずれか1つに記載の加入者側装置。
  12. 1〜複数の加入者端末を収容する加入者側装置と、前記加入者側装置を収容するとともにIP網に接続される局側装置とを伝送媒体で接続し、所定のデータフレームによって前記加入者側装置と前記局側装置との間でデータ送受信を行うPONシステムにおいて、
    前記局側装置は、
    マルチキャスト通信の制御に用いる制御メッセージをスヌープする第1のスヌープ部と、
    前記第1のスヌープ部のスヌープ結果に基づいてマルチキャスト用暗号鍵を生成する暗号鍵生成部と、
    前記暗号鍵生成部が生成したマルチキャスト用暗号鍵と、前記加入者端末のマルチキャストグループを識別するマルチキャスト識別子との対応付けに関する第1のマルチキャスト管理テーブルに基づいて、前記マルチキャストグループのマルチキャスト識別子に対応するマルチキャスト用暗号鍵を選択し、前記マルチキャストグループへのマルチキャストフレームに暗号化に関する情報を付与して暗号化する暗号化部と、
    前記暗号化部で暗号化されたマルチキャストフレームをブロードキャストで加入者側装置へ送信する送信部と、
    前記加入者側装置へのデータフレームが前記加入者側装置との間のPON区間に固有のデータフレームである場合に、前記加入者側装置との間のPON区間に固有のフレームであることを示すPON固有情報を付加したデータフレームを、前記加入者側装置へ送信するよう制御する第1の制御部と、
    を備え、
    前記加入者側装置は、
    マルチキャスト通信の制御に用いる制御メッセージをスヌープする第2のスヌープ部と、
    前記局側装置から送信されるマルチキャスト用復号鍵を取得する復号鍵取得部と、
    前記復号鍵取得部が取得したマルチキャスト用復号鍵と、前記加入者端末のマルチキャストグループを識別するマルチキャスト識別子との対応付けに関する第2のマルチキャスト管理テーブルおよび前記スヌープ部のスヌープ結果に基づいて、前記マルチキャストグループのマルチキャスト識別子に対応するマルチキャスト用復号鍵を選択し、前記局側装置からのマルチキャストフレームを復号化する復号化部と、
    前記局側装置へのデータフレームが前記局側装置との間のPON区間に固有のデータフレームである場合に、前記局側装置との間のPON区間に固有のフレームであることを示すPON固有情報が付加されたデータフレームを、前記局側装置へ送信するよう制御する第2の制御部と、
    を備えることを特徴とするPONシステム。
JP2006047309A 2006-02-23 2006-02-23 局側装置、加入者側装置およびponシステム Expired - Fee Related JP4685659B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006047309A JP4685659B2 (ja) 2006-02-23 2006-02-23 局側装置、加入者側装置およびponシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006047309A JP4685659B2 (ja) 2006-02-23 2006-02-23 局側装置、加入者側装置およびponシステム

Publications (2)

Publication Number Publication Date
JP2007228292A JP2007228292A (ja) 2007-09-06
JP4685659B2 true JP4685659B2 (ja) 2011-05-18

Family

ID=38549647

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006047309A Expired - Fee Related JP4685659B2 (ja) 2006-02-23 2006-02-23 局側装置、加入者側装置およびponシステム

Country Status (1)

Country Link
JP (1) JP4685659B2 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5101124B2 (ja) * 2007-02-14 2012-12-19 株式会社日立製作所 暗号通信システム及び暗号通信装置
US9118433B2 (en) * 2007-05-07 2015-08-25 Alcatel Lucent GPON OAM using IEEE 802.1ag methodology
JP4850215B2 (ja) * 2008-07-07 2012-01-11 三菱電機株式会社 Ponシステム
JP5467574B2 (ja) * 2009-01-05 2014-04-09 ピーエムシー−シエラ イスラエル,エルティディ. EPON(1GEPONと10GEPON)ネットワークにおけるIEEE802.1AEと802.1afセキュリティの実行方法
JP5400395B2 (ja) * 2009-01-07 2014-01-29 株式会社日立製作所 データ配信システム、鍵管理装置および鍵管理方法
JP2012080227A (ja) * 2010-09-30 2012-04-19 Hitachi Information & Communication Engineering Ltd 通信システム及び方法
JP5368519B2 (ja) * 2011-08-03 2013-12-18 日本電信電話株式会社 光回線終端装置および鍵切替方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004343243A (ja) * 2003-05-13 2004-12-02 Mitsubishi Electric Corp Ponシステムにおけるマルチキャスト通信方法および局側装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004343243A (ja) * 2003-05-13 2004-12-02 Mitsubishi Electric Corp Ponシステムにおけるマルチキャスト通信方法および局側装置

Also Published As

Publication number Publication date
JP2007228292A (ja) 2007-09-06

Similar Documents

Publication Publication Date Title
US9838363B2 (en) Authentication and initial key exchange in ethernet passive optical network over coaxial network
JP4685659B2 (ja) 局側装置、加入者側装置およびponシステム
CN111010274B (zh) 一种安全低开销的SRv6实现方法
US8280055B2 (en) Optical network system and method of changing encryption keys
US8335316B2 (en) Method and apparatus for data privacy in passive optical networks
KR100594153B1 (ko) 점대다 토폴로지의 네트워크에서 논리링크의 형성과 그보안 통신 방법
JPWO2007135858A1 (ja) 光通信システム、局側装置および加入者側装置
CN101102152B (zh) 无源光网络中保证数据安全的方法
JP2004343243A (ja) Ponシステムにおけるマルチキャスト通信方法および局側装置
JP5467574B2 (ja) EPON(1GEPONと10GEPON)ネットワークにおけるIEEE802.1AEと802.1afセキュリティの実行方法
US7450719B2 (en) Gigabit Ethernet-based passive optical network and data encryption method
JP2007005997A (ja) マルチキャスト通信装置及びこれを用いたponシステム
CN111669270A (zh) 一种基于标签交换的量子加密传输方法及装置
JP2007158962A (ja) Ponシステム
JP3986956B2 (ja) 親局及び子局及び通信システム及び通信プログラム及び通信プログラムを記録したコンピュータ読み取り可能な記録媒体
JP2007074168A (ja) 局側装置、加入者側装置、通信システム、および通信方法ならびにその方法をコンピュータに実行させるプログラム
JP2004260556A (ja) 局側装置、加入者側装置、通信システムおよび暗号鍵通知方法
JPWO2001050686A1 (ja) 情報送受信装置
CN101325460B (zh) 一种gpon系统中下行广播、洪泛业务的处理方法
JP2006245778A (ja) 通信装置、通信方法、およびプログラム
JP2003060633A (ja) 受動光ネットワークシステム及び受動光ネットワークシステム暗号化方法及びネットワークシステム及びネットワークシステム
WO2008141505A1 (fr) Procédé de multidiffusion et son dispositif pour un système de réseau optique passif gigabit
JP2015133610A (ja) 局側装置、ponシステムおよび局側装置の制御方法
Kim et al. The implementation of the link security module in an EPON access network
JP2005354504A (ja) 光加入者線端局装置、光加入者線終端装置およびその通信方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080623

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20101008

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101109

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110105

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110208

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110210

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140218

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees