JP5368519B2 - Optical line termination device and key switching method - Google Patents
Optical line termination device and key switching method Download PDFInfo
- Publication number
- JP5368519B2 JP5368519B2 JP2011169918A JP2011169918A JP5368519B2 JP 5368519 B2 JP5368519 B2 JP 5368519B2 JP 2011169918 A JP2011169918 A JP 2011169918A JP 2011169918 A JP2011169918 A JP 2011169918A JP 5368519 B2 JP5368519 B2 JP 5368519B2
- Authority
- JP
- Japan
- Prior art keywords
- key
- encryption
- key information
- processing unit
- internal memory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、光通信技術に関し、特に送受信する情報ストリームの暗号化・復号に用いる暗号鍵・復号鍵に関する鍵管理技術に関する。 The present invention relates to an optical communication technique, and particularly to a key management technique related to an encryption key / decryption key used for encryption / decryption of an information stream to be transmitted / received.
IEEE 802.3ahにて標準化されたEPON(Ethernet Passive Optical Network:Ethernetは登録商標)システム(非特許文献1参照)と、IEEE802.3avにて標準化された10G−EPON(10 Gigabit Ethernet Passive Optical Network)システム(非特許文献2参照)は、1つのOLT(Optical Line Terminal:加入者線端局装置)に対して、複数のONU(Optical Network Unit:加入者線終端装置)が、光スプリッタを用いた分岐光伝送路からなる光回線を介して接続されて、相互に光通信を行う光通信システムである。 EPON (Ethernet Passive Optical Network: Ethernet is a registered trademark) system standardized by IEEE 802.3ah and 10G-EPON (10 Gigabit Ethernet Passive Optical Network) standardized by IEEE 802.3av In the system (see Non-Patent Document 2), a plurality of ONUs (Optical Network Units: subscriber line terminators) use optical splitters for one OLT (Optical Line Terminal: subscriber line terminal equipment). It is an optical communication system that is connected via an optical line composed of branched optical transmission lines and performs optical communication with each other.
OLTは、電話局等に設置される局内装置であり、ONUおよび上位ネットワークとの通信を行うとともに、ONUの監視制御を行う機能を有する。また、ONUはユーザの宅内やユーザビル構内に設置される宅内装置であり、OLTおよびユーザ端末との通信を行う機能を有する。一般に、これらOLTおよびONUは、光回線終端装置と呼ばれている。 The OLT is an in-station device installed in a telephone station or the like, and has a function of performing ONU monitoring control while performing communication with the ONU and the upper network. The ONU is a home device installed in the user's home or user building, and has a function of communicating with the OLT and the user terminal. Generally, these OLT and ONU are called optical line terminators.
図8は、PONシステムの構成例であり、EPONシステムおよび10G−EPONシステムに適用される。図8において、ユーザ端末30A,30B,30Cは、UNI(User Network Interface)を介してそれぞれONU60A,60B,60Cと接続されている。ONU60A,60B,60Cは、光スプリッタを用いた分岐光伝送路からなる光回線を介して、1つのOLT50と接続されている。また、OLT50には、SNI(Service Node Interface)を介して、事業者サービスネットワークの上位装置32が接続されている。
FIG. 8 shows a configuration example of the PON system, which is applied to the EPON system and the 10G-EPON system. In FIG. 8,
ONU60(60A,60B,60C)の接続が可能となるオートディスカバリ機能により、OLT50とONU60の間にはロジカルリンクが自動的に張られ、通信が開始される。このロジカルリンクは、OLT−ONU間に設定される論理的なリンクであり、1つのONUに複数のロジカルリンクを張ることも可能である。
A logical link is automatically established between the
PONの特性上、OLT50から送信されるデータは全ONU60にブロードキャストされるため、セキュリティ等の観点から、下り方向通信(OLT→ONU方向通信)においてはデータの暗号化は必須とされている。また、更なるセキュリティ向上のために、上り方向通信(ONU→OLT方向通信)の暗号化も求められる可能性がある。 Since data transmitted from the OLT 50 is broadcast to all ONUs 60 due to the characteristics of the PON, from the viewpoint of security or the like, data encryption is essential in downstream communication (OLT → ONU direction communication). Further, in order to further improve security, there is a possibility that encryption of upstream communication (ONU → OLT direction communication) is also required.
上り方向通信データの暗号化と下り方向通信データの暗号化に用いる鍵は、それぞれのOLT−ONU間に設定されたロジカルリンクごとに固有である。上り方向通信データの暗号化/復号化に用いる鍵は、ロジカルリンクごとに2種類の鍵が切り替えて用いられる。下り方向通信データの暗号化/復号化についても同様に、ロジカルリンクごとに2種類の鍵が切り替えて用いられる。 The key used for the encryption of the uplink communication data and the encryption of the downlink communication data is unique for each logical link set between each OLT-ONU. As keys used for encryption / decryption of uplink communication data, two types of keys are switched for each logical link. Similarly, for encryption / decryption of downlink communication data, two types of keys are switched for each logical link.
IEEE 802.1AEにて標準化された暗号システムに準拠させ、OLTとONUの間で暗号化通信を行う場合、ONUの全ロジカルリンクごとに固有の鍵でデータの暗号化/復号化を行う必要がある。また、上り方向通信と下り方向通信のデータ暗号化には異なる鍵が必要である。更に、これら鍵のすべてを、2種類ずつ持って定期的に交換することが求められている。今後、更に高いセキュリティを確保するために2種類より多い鍵の中から鍵交換の可能性もある。したがって、OLTおよびONUでは、これら全ての鍵情報を管理する必要がある。 When performing encryption communication between the OLT and the ONU based on the encryption system standardized by IEEE 802.1AE, it is necessary to encrypt / decrypt data with a unique key for each logical link of the ONU. is there. Also, different keys are required for data encryption for uplink communication and downlink communication. Furthermore, it is required to periodically exchange all of these keys with two types. In the future, there is a possibility of exchanging keys from among more than two types of keys in order to ensure higher security. Therefore, it is necessary for the OLT and ONU to manage all these key information.
EPONシステムおよび10G−EPONシステムにおいては、前述したように、1台のOLTに対して分岐光伝送路を介して最大N台のONUが接続されている。IEEE802.3av、IEEE802.3ahにて標準化されたEPONシステム、あるいは10G−EPONシステムのOLTを実現するために、例えば、MAC機能、PONプロトコル制御機能、QoS機能、暗号機能、及びCPU機能を含む機能を搭載したLSI(集積回路チップ)からなるMAC制御回路を用いてOLTを構成する。 In the EPON system and the 10G-EPON system, as described above, a maximum of N ONUs are connected to one OLT via a branch optical transmission line. Functions including, for example, MAC function, PON protocol control function, QoS function, encryption function, and CPU function to realize OLT standardized by IEEE802.3av, IEEE802.3ah, or 10G-EPON system The OLT is configured using a MAC control circuit composed of an LSI (integrated circuit chip) on which is mounted.
ここで、ONUが最大a個のロジカルリンク数を持ち、最大b種類の鍵の中から鍵交換が求められるとする。上り方向通信と下り方向通信の暗号鍵を異なるものとする場合、ONUは上り方向通信データを暗号化するa×b個の鍵情報と下り方向通信データを復号化するa×b個の鍵情報を管理することになる。 Here, it is assumed that the ONU has a maximum number of a logical links and a key exchange is required from among a maximum of b types of keys. When the uplink communication and the downlink communication have different encryption keys, the ONU encrypts the uplink communication data a × b key information and the a × b key information decrypts the downlink communication data. Will manage.
一方、OLTは上り方向通信データを復号化するa×b×N個の鍵情報と下り方向通信データを暗号化するa×b×N個の鍵情報を管理する必要がある。したがって、ONUに比べてN倍の鍵情報を管理しなければならず、更に例えば、b=10とすると2種類の鍵に比べて鍵に関する情報量が5倍となる。このため、これらの鍵を全てLSI内に格納する場合、新たな鍵情報格納領域が必要となる。 On the other hand, the OLT needs to manage a × b × N pieces of key information for decrypting uplink communication data and a × b × N pieces of key information for encrypting downlink communication data. Therefore, N times the key information must be managed as compared to the ONU. Further, for example, if b = 10, the amount of information about the key is five times that of the two types of keys. Therefore, when all these keys are stored in the LSI, a new key information storage area is required.
前述した従来方法で鍵の種類を増やす場合、LSI内の内部メモリには、全ての鍵種類を格納できる容量が必要であり、チップサイズが増すことになる。チップ製造歩留まりの向上やチップコストの低減につながるのでチップサイズは小さいほうが好ましい。また、従来方法では鍵種類の最大数が増えた場合に対応できないので柔軟性に欠ける。 When the key types are increased by the above-described conventional method, the internal memory in the LSI needs to have a capacity for storing all the key types, and the chip size increases. A smaller chip size is preferable because it leads to an improvement in chip manufacturing yield and a reduction in chip cost. In addition, the conventional method lacks flexibility because it cannot cope with an increase in the maximum number of key types.
図9は、従来のOLTの構成を示すブロック図である。このOLT50は、LSIからなるMAC制御回路51から構成されている。このMAC制御回路51には、暗号処理部51A、通信処理部51B、および内部メモリ51Cが設けられている。
このOLT50において、2×a×b×N個の鍵情報を管理する場合、内部メモリ51Cで2×a×b×N個の鍵情報を記録する必要がある。この際、これら2×a×b×N個の鍵情報は、予め決められた内部メモリの所定のアドレスに格納される。
FIG. 9 is a block diagram showing a configuration of a conventional OLT. The OLT 50 includes a
In this
MAC制御回路51を構成するLSIでは、通信処理部51Bより、ONU側のPON区間および事業者ネットワーク側の上位装置32との間で、フレームデータが授受される。PON区間から通信処理部51Bへ入力されるフレームデータが暗号化されている場合、受信したフレームデータを暗号処理部51Aで復号化した後、通信処理部51Bから上位装置32へ送出する。また、上位装置32から通信処理部51Bへ入力されるフレームデータを暗号化してPON区間へ出力する場合、当該フレームデータを暗号処理部51Aで暗号化した後、通信処理部51BからPON区間へ送出する。
In the LSI constituting the
図10は、従来の暗号化・復号化に用いる鍵情報の格納例である。暗号処理部51Aで暗号化・復号化を行う場合、内部メモリから暗号化・復号化に用いる鍵を読み出す。例えば、図10に示すように、内部メモリのアドレスに2×a×b×N個の鍵情報が格納されている。暗号鍵の種類が増すと鍵情報を格納するためのメモリ容量が増すことになる。
このため、MAC制御回路51を構成するLSIのチップサイズが増大し、チップ製造歩留まりの低下やチップコストの増大の原因となる。
FIG. 10 is a storage example of key information used for conventional encryption / decryption. When encryption / decryption is performed by the
For this reason, the chip size of the LSI constituting the
本発明はこのような課題を解決するためのものであり、MAC制御回路を構成するLSIのチップサイズを増大させることなく、暗号化・復号化に用いる鍵情報の増加に対して柔軟に対応できる鍵管理技術を提供することを目的としている。 The present invention is for solving such problems, and can flexibly cope with an increase in key information used for encryption / decryption without increasing the chip size of the LSI constituting the MAC control circuit. The purpose is to provide key management technology.
このような目的を達成するために、本発明にかかる光回線終端装置は、PONを介して接続された相手光回線終端装置との間でフレームを送受信する通信処理部と、鍵情報を用いてフレームの暗号化を行う暗号処理部と、暗号処理部での暗号化に実際に使用する鍵情報を格納する内部メモリとが、1つのLSIに実装されてなるMAC制御回路と、MAC制御回路の外部に設けられて、暗号処理部での暗号化において選択的に切替使用される複数の鍵情報を供給する鍵供給部と、暗号処理部において暗号化に使用する鍵情報を切り替える鍵切替タイミングより前に、鍵供給部から新たに使用する鍵情報を取得し、内部メモリへ転送して格納するCPUとを備えている。 In order to achieve such an object, an optical line termination device according to the present invention uses a communication processing unit that transmits / receives a frame to / from a partner optical line termination device connected via a PON, and key information. A MAC control circuit in which an encryption processing unit for encrypting a frame and an internal memory for storing key information actually used for encryption in the encryption processing unit are mounted on one LSI; A key supply unit that is provided outside and supplies a plurality of key information that is selectively used for encryption in the encryption processing unit, and a key switching timing for switching key information used for encryption in the encryption processing unit. Prior to this, a CPU for acquiring key information to be newly used from the key supply unit, transferring it to the internal memory and storing it is provided.
この際、鍵供給部として、暗号処理部での暗号化において選択的に切替使用される複数の鍵情報のうち、新たに使用する鍵情報を生成する鍵生成部を用いてもよい。 At this time, as a key supply unit, a key generation unit that generates key information to be newly used among a plurality of pieces of key information selectively used for encryption in the encryption processing unit may be used.
また、内部メモリに、暗号処理部での暗号化に実際に使用する第1の鍵情報と、鍵切替後に新たに使用する第2の鍵情報とを、それぞれ格納するための格納領域である鍵面を個別に設けるとともに、内部メモリの鍵面ごとに、当該鍵面に格納された鍵情報に予め割り当てられている鍵番号を記憶する管理テーブルと、管理テーブルの鍵番号を更新する鍵制御部をさらに備え、CPUで、鍵切替タイミングより前に、鍵供給部で生成された第2の鍵情報を取得して、内部メモリの鍵面のうち、当該鍵面に格納されている鍵情報が暗号処理部での暗号化に使用されていない鍵面へ第2の鍵情報を転送して格納し、鍵制御部で、管理テーブルのうち第2の鍵情報を格納した鍵面に関する鍵番号に第2の鍵情報の鍵番号を設定し、暗号処理部で、フレームを暗号化する際、使用する第2の鍵情報の鍵番号と対応する鍵面を管理テーブルで確認し、内部メモリから当該鍵面に格納されている第2の鍵情報を取得して、フレームの暗号化を行うようにしてもよい。 Also, a key that is a storage area for storing first key information that is actually used for encryption in the encryption processing unit and second key information that is newly used after key switching in the internal memory. A management table for storing a key number assigned in advance to key information stored in the key surface and a key control unit for updating the key number of the management table for each key surface of the internal memory The CPU acquires the second key information generated by the key supply unit before the key switching timing, and the key information stored in the key surface of the key surface of the internal memory is The second key information is transferred to and stored in a key surface that is not used for encryption in the encryption processing unit, and the key control unit sets the key number related to the key surface that stores the second key information in the management table. The key number of the second key information is set, and the encryption processor The key surface corresponding to the key number of the second key information to be used is confirmed in the management table, the second key information stored in the key surface is obtained from the internal memory, You may make it perform encryption of a flame | frame.
また、鍵供給部として、暗号処理部での暗号化に切替使用される複数の鍵情報を予め格納する外部メモリを用いてもよい。 In addition, an external memory that stores in advance a plurality of pieces of key information used for switching in the encryption in the encryption processing unit may be used as the key supply unit.
この際、内部メモリに、暗号処理部での暗号化に実際に使用する第1の鍵情報と、鍵切替後に新たに使用する第2の鍵情報とを、それぞれ格納するための格納領域を個別に設けるとともに、暗号処理部での暗号化に切替使用される鍵情報ごとに、当該鍵情報が格納されている内部メモリまたは外部メモリの格納場所を記憶する管理テーブルと、管理テーブルで記憶している格納場所を更新する鍵制御部をさらに備え、CPUで、鍵切替タイミングより前に、外部メモリから第2の鍵情報を取得して、内部メモリの格納領域のうち、暗号処理部での暗号化に実際に使用する鍵情報が格納されていない格納領域へ第2の鍵情報を転送して格納し、鍵制御部で、内部メモリに格納した第2の鍵情報の新たな格納場所を管理テーブルに設定し、暗号処理部で、フレームを暗号化する際、使用する第2の鍵情報の格納場所を管理テーブルで確認し、内部メモリから当該格納場所に格納されている第2の鍵情報を取得して、フレームの暗号化を行うようにしてもよい。 At this time, storage areas for storing first key information actually used for encryption in the encryption processing unit and second key information newly used after key switching are individually stored in the internal memory. For each key information used for switching in encryption by the encryption processing unit, a management table for storing the storage location of the internal memory or the external memory in which the key information is stored, and a management table A key control unit for updating the storage location, and the CPU obtains the second key information from the external memory before the key switching timing, and the encryption in the encryption processing unit in the storage area of the internal memory. The second key information is transferred and stored in a storage area that does not store key information that is actually used for conversion, and the key control unit manages a new storage location of the second key information stored in the internal memory. Set it in the table and When the frame is encrypted, the storage location of the second key information to be used is confirmed in the management table, the second key information stored in the storage location is obtained from the internal memory, and the frame Encryption may be performed.
また、本発明にかかる他の光回線終端装置は、PONを介して接続された相手光回線終端装置との間でフレームを送受信する通信処理部と、鍵情報を用いてフレームの復号化を行う暗号処理部と、暗号処理部での復号化に実際に使用する鍵情報を格納する内部メモリとが、1つのLSIに実装されてなるMAC制御回路と、暗号処理部において復号化に使用する鍵情報を切り替える鍵切替タイミングより前に、相手光回線終端装置から通知された新たに使用する鍵情報を、内部メモリへ転送して格納するCPUとを備えている。 In addition, another optical line termination device according to the present invention decrypts a frame using a communication processing unit that transmits / receives a frame to / from a partner optical line termination device connected via a PON, and key information. A MAC control circuit in which an encryption processing unit and an internal memory for storing key information actually used for decryption in the encryption processing unit are mounted on one LSI, and a key used for decryption in the encryption processing unit And a CPU for transferring and storing newly used key information notified from the partner optical network unit before the key switching timing for switching information to the internal memory.
また、本発明にかかる鍵切替方法は、PONを介して接続された相手光回線終端装置との間でフレームを送受信する通信処理部と、鍵情報を用いてフレームの暗号化を行う暗号処理部と、暗号処理部での暗号化に実際に使用する鍵情報を格納する内部メモリとが、1つのLSIに実装されてなるMAC制御回路を有する光回線終端装置で用いられる鍵切替方法であって、MAC制御回路の外部に設けられた鍵供給部が、暗号処理部での暗号化において選択的に切替使用される複数の鍵情報を供給する鍵供給ステップと、CPUが、暗号処理部において暗号化に使用する鍵情報を切り替える鍵切替タイミングより前に、鍵供給部から新たに使用する鍵情報を取得し、内部メモリへ転送して格納する制御ステップとを備えている。 Further, the key switching method according to the present invention includes a communication processing unit that transmits and receives a frame to and from a partner optical line terminator connected via a PON, and an encryption processing unit that encrypts a frame using key information. And an internal memory that stores key information that is actually used for encryption in the encryption processing unit is a key switching method used in an optical line terminating device having a MAC control circuit mounted on one LSI. A key supply unit provided outside the MAC control circuit supplies a plurality of key information to be selectively used for encryption in the encryption processing unit, and the CPU performs encryption in the encryption processing unit. And a control step of acquiring key information to be newly used from the key supply unit, transferring it to the internal memory, and storing it before the key switching timing for switching the key information to be used for conversion.
また、本発明にかかる他の鍵切替方法は、PONを介して接続された相手光回線終端装置との間でフレームを送受信する通信処理部と、鍵情報を用いてフレームの復号化を行う暗号処理部と、暗号処理部での復号化に実際に使用する鍵情報を格納する内部メモリとが、1つのLSIに実装されてなるMAC制御回路を有する光回線終端装置で用いられる鍵切替方法であって、CPUが、暗号処理部において復号化に使用する鍵情報を切り替える鍵切替タイミングより前に、相手光回線終端装置から通知された新たに使用する鍵情報を、内部メモリへ転送して格納する制御ステップを備えている。 In addition, another key switching method according to the present invention includes a communication processing unit that transmits and receives a frame to and from a partner optical line terminator connected via a PON, and an encryption that decrypts the frame using key information. A key switching method used in an optical line terminator having a MAC control circuit in which a processing unit and an internal memory for storing key information actually used for decryption in an encryption processing unit are mounted on one LSI. Then, before the key switching timing at which the CPU switches the key information used for decryption in the encryption processing unit, the key information to be newly used notified from the partner optical line terminator is transferred to the internal memory and stored. A control step is provided.
本発明によれば、MAC制御回路の内部メモリに格納されている鍵情報を、MAC制御回路の外部に設けた鍵供給部から取得した新たな鍵情報と、容易に入れ替えることができる。このため、内部メモリにすべての鍵情報を格納しておく必要がなくなり、内部メモリの記憶容量を大幅に縮小できる。したがって、MAC制御回路を構成するLSIのチップサイズを増大させることなく、暗号化・復号化に用いる鍵情報の増加に対して柔軟に対応することが可能となる。 According to the present invention, the key information stored in the internal memory of the MAC control circuit can be easily replaced with new key information acquired from the key supply unit provided outside the MAC control circuit. For this reason, it is not necessary to store all key information in the internal memory, and the storage capacity of the internal memory can be greatly reduced. Therefore, it is possible to flexibly cope with an increase in key information used for encryption / decryption without increasing the chip size of the LSI constituting the MAC control circuit.
次に、本発明の実施の形態について図面を参照して説明する。
[第1の実施の形態]
まず、図1を参照して、本発明の第1の実施の形態にかかるPONシステム100について説明する。図1は、第1の実施の形態にかかるPONシステムの構成を示すブロック図である。
Next, embodiments of the present invention will be described with reference to the drawings.
[First Embodiment]
First, a
図1に示すように、このPONシステム100において、ONU20A,20B,20Cは、UNI(User Network Interface)を介してユーザ端末30A,30B,30Cと接続されている。
各ONU20A,20B,20Cは、光スプリッタ31を用いた分岐光伝送路からなる光回線を介して、1つのOLT10と接続されている。また、OLT10には、SNI(Service Node Interface)を介して、事業者サービスネットワークの上位装置32が接続されている。一般に、これらOLT10およびONU20(20A,20B,20C)は、光回線終端装置と呼ばれている。
As shown in FIG. 1, in this
Each
ONU20(20A,20B,20C)のオートディスカバリ機能により、OLT10とONU20の間にはロジカルリンクが自動的に張られ、通信が開始される。このロジカルリンクは、OLT−ONU間に設定される論理的なリンクであり、1つのONUに複数のロジカルリンクを張ることも可能である。これらロジカルリンクは、フレームヘッダに付与されているLLID(Logical Link ID)で識別することができる。
By the auto-discovery function of the ONU 20 (20A, 20B, 20C), a logical link is automatically established between the
PONの特性上、OLT10から送信されるデータは全ONU20にブロードキャストされるため、セキュリティ等の観点から、下り方向通信(OLT→ONU方向通信)において、フレームデータの暗号化は必須とされている。また、更なるセキュリティ向上のために、上り方向通信(ONU→OLT方向通信)の暗号化も求められる可能性がある。
Since data transmitted from the
図2は、OLT−ONU間の通信形態を示す構成例である。このうち、図2(a)に示す、上り方向・下り方向暗号未実施通信では、OLT10およびONU20の双方で、上り方向通信と下り方向通信両方において暗号化せずに平文のままデータを送信する。
一方、図2(b)に示す、下り方向のみ暗号通信では、上り方向のデータについては暗号化と復号化を行わず、下り方向のデータをOLT10で暗号化し、ONU20で復号化する。
FIG. 2 is a configuration example showing a communication form between the OLT and the ONU. Among these, in the uplink / downlink encryption incomplete communication shown in FIG. 2A, both the
On the other hand, in the downlink-only encrypted communication shown in FIG. 2B, the uplink data is not encrypted and decrypted, and the downlink data is encrypted by the
また、図2(c)に示す、上り方向・下り方向暗号実施通信では、上り方向のデータをONU20で暗号化し、OLT10で復号化するとともに、下り方向のデータをOLT10で暗号化し、ONU20で復号化する。
OLT10において、復号化をするか否かは、抽出した暗号化設定情報に応じて実施し、暗号化されているフレームを復号化し、暗号化されていないフレームはそのまま転送する。同様に、ONU20において、暗号化をするか否かは、抽出した暗号化設定情報に応じて実施し、暗号化されているフレームを復号化し、暗号化されていないフレームはそのまま転送する。
Further, in the upstream / downstream cipher implementation communication shown in FIG. 2C, the upstream data is encrypted by the
In the
[OLT]
次に、図3を参照して、本実施の形態にかかる光回線終端装置の1つであるOLT10について説明する。図3は、第1の実施の形態にかかるOLTの構成を示すブロック図である。
[OLT]
Next, referring to FIG. 3, an
このOLT10は、1つのLSI(集積回路チップ)からなるMAC制御回路11と、このMAC制御回路11の外部に設けられた外部メモリ13およびCPU12とから構成されており、MAC制御回路11と外部メモリ13およびCPU12とが、データバスBSを介してデータ授受可能に接続されている。
また、MAC制御回路11には、主な回路部として、暗号処理部11A、通信処理部11B、内部メモリ11C、管理テーブル11D、および鍵制御部11Eが実装されている。
The
The
PON区間から通信処理部11Bへ入力されるフレームデータが暗号化されている場合、当該フレームデータを暗号処理部11Aで復号化した後、通信処理部11Bから上位装置32へ送出する。
また、上位装置32から通信処理部11Bへ入力されるフレームデータを暗号化してPON区間へ出力する場合、当該フレームデータを暗号処理部11Aで暗号化した後、通信処理部11BからPON区間へ送出する。
When the frame data input to the
Further, when the frame data input from the
管理テーブル11Dは、暗号処理部11Aでの暗号化において、ロジカルリンクごとに切替使用される各鍵情報について、当該鍵情報ごとに格納場所と使用状況とを記憶する。
暗号処理部11Aは、フレームデータを暗号化する際、指定された鍵情報の格納場所を管理テーブル11Dから取得し、その格納場所に基づき内部メモリ11Cから指定された鍵情報を読み出して暗号化を行う。
The management table 11D stores the storage location and usage status for each key information for each key information to be switched for each logical link in the encryption in the
When encrypting the frame data, the
本実施の形態では、暗号処理部11Aでの暗号化に実際に使用する鍵情報をMAC制御回路11内のオンチップメモリからなる内部メモリ11Cに格納し、MAC制御回路11の外部に設けた外部メモリ(鍵供給部)13から、暗号処理部11Aでの暗号化に切替使用される各鍵情報を供給し、暗号処理部11Aでの暗号化に使用する鍵情報を切り替える際、CPU12で、外部メモリ13から鍵情報のうち新たに使用する鍵情報を取得し、内部メモリ11Cへ転送して格納するようにしたものである。
In the present embodiment, key information that is actually used for encryption in the
CPU12(ソフトウエア)は、少なくとも以下の機能を具備する。すなわち、CPU12は、鍵情報の各鍵切替タイミングにおいて、現在使用中の鍵情報を内部メモリ11Cに格納されている次回使用予定の新たな鍵情報へ切り替えるように、MAC制御回路11の各機能部等を制御する。
The CPU 12 (software) has at least the following functions. In other words, the
また、次回使用予定の鍵情報が外部メモリ13に格納されている場合、CPU12は、上記鍵切替タイミングより前に、外部メモリ13から内部メモリ11Cへ当該鍵情報を転送して格納するように、MAC制御回路11の各機能部等を制御する。
さらに、CPU12は、これらの制御に伴い、後述するように管理テーブル11Dに格納されている各鍵情報の使用状況および格納場所の更新を、鍵制御部11Eへ指示する。
Further, when the key information scheduled to be used next time is stored in the
Further, in accordance with these controls, the
[暗号鍵切替動作]
次に、図4を参照して、本実施の形態にかかるOLT10における、暗号鍵切替時の動作について説明する。図4は、暗号鍵の鍵管理データを示す説明図である。
ここでは、任意のロジカルリンクにおいて、暗号鍵1と暗号鍵3が内部メモリ11Cに既に格納されており、暗号鍵1から暗号鍵2へ切り替える場合を例として説明する。
[Encryption key switching operation]
Next, with reference to FIG. 4, the operation at the time of switching the encryption key in the
Here, a description will be given by taking as an example a case where the
暗号処理部11Aで、ONU20へ送信する下りフレームデータを暗号化する際に、切り替えて用いる各暗号鍵は、ロジカルリンクごとにCPU12により生成され、外部メモリ13へ予め格納される。この際、生成された暗号鍵に関する鍵管理データも管理テーブル11Dへ登録される。
When the
まず、任意のロジカルリンクについて、暗号鍵の切り替え前において、暗号鍵1で下りフレームデータを暗号化しており、かつ次回使用予定鍵が暗号鍵2であるものとする。
また、暗号鍵の切り替え前において、管理テーブル11Dには、当該ロジカルリンクに対応して、図4(a)に示す鍵管理データが記録されており、この例では、暗号鍵1は、内部メモリ11CのアドレスA1に格納されており、使用状況が使用中となっている。また、暗号鍵2は、外部メモリ13のアドレスB2に格納されており、使用状況が未使用となっている。
First, for an arbitrary logical link, it is assumed that the downlink frame data is encrypted with the
Further, before the encryption key is switched, the management table 11D records the key management data shown in FIG. 4A corresponding to the logical link. In this example, the
なお、管理テーブル11Dにおいて、実際には、N個のONU20ごとに、a個のロジカルリンクが形成されている場合、管理テーブル11Dにはa×N個のロジカルリンク分の鍵管理データが記録されるが、本例では理解を容易とするために、1個のロジカルリンク分の暗号鍵としてb種類管理している場合が示されている。
In the management table 11D, when a logical link is actually formed for every
各ロジカルリンクにおいて、ONU20へ送信する下りフレームデータをOLT10で暗号化する場合、下りフレームデータの暗号化処理に使用する暗号鍵の切替タイミングは、CPU12により暗号処理部11Aへ指示される。切替タイミングの到来に応じて暗号鍵1から暗号鍵2へ切り替える鍵切替動作前に、ONU20に対して新たな暗号鍵2への鍵切替を通知するため、CPU12の制御のもとでMAC制御回路11において暗号鍵2を含むフレームデータが生成され、ONU20に対して送信される。
In each logical link, when the downlink frame data to be transmitted to the
すなわち、暗号鍵2を含むフレームデータは、通信処理部11Bを経由して暗号処理部11Aへ通知され、暗号処理部11Aにより暗号鍵1で暗号化された後、通信処理部11BからONU20へ送信される。
That is, the frame data including the
続いて、CPU12は、管理テーブル11Dを参照して、当該ロジカルリンクで使用する新たな暗号鍵2に関する、内部メモリ11Cでの格納場所を確認する。ここでは、当該ロジカルリンクで使用する各暗号鍵のうち、格納場所が内部メモリ11Cであって、かつ使用状況が未使用のものを待避暗号鍵として選択し、この待避暗号鍵の格納場所を、新たな暗号鍵2の格納先として特定する。図4(a)の例では、管理テーブル11Dのうち、暗号鍵3が待避暗号鍵として選択され、この暗号鍵3が格納されている内部メモリ11CのアドレスA2が暗号鍵2の格納先として特定される。
Subsequently, the
次に、CPU12は、外部メモリ13から暗号鍵2を読み出して、内部メモリ11Cの新たな格納場所、すなわち待避暗号鍵が格納されていた格納場所へ格納し、暗号鍵2を前記格納場所へコピーするとともに、内部メモリ11Cにおける暗号鍵2の使用状況を使用中へ変更し、かつ外部メモリ13における暗号鍵2の使用状況を使用済みへ変更する旨の指示を鍵制御部11Eへ通知する。これに応じて、鍵制御部11Eは、管理テーブル11Dのうち、暗号鍵2に関する新たな格納場所として、内部メモリ11Cのうち待避暗号鍵が格納されていた格納場所を登録し、暗号鍵2の使用状況を使用中へ変更するとともに、外部メモリ13の暗号鍵2の使用状況を使用済みへ変更する。
Next, the
これにより、図4の例では、暗号鍵2が外部メモリ13のアドレスB2から読み出されて、内部メモリ11CのアドレスA2へ格納される。また、図4(b)に示すように、管理テーブル11Dのうち、暗号鍵2の新たな格納場所が内部メモリ11CのアドレスA2に更新され、その使用状況が使用中へ変更されるとともに、外部メモリ13の暗号鍵2の使用状況が使用済みへ変更される。
Thereby, in the example of FIG. 4, the
このようにして、新たに使用する暗号鍵2を内部メモリ11Cへ格納した後、CPU12は、暗号処理部11Aに対して、下りフレームの暗号化に用いる暗号鍵として、暗号鍵1から暗号鍵2への切り替えを指示する。これに応じて、暗号処理部11Aは、これ以降に下りフレームを暗号化する場合、管理テーブル11Dを参照して、内部メモリ11Cにおける暗号鍵2の格納場所を確認し、内部メモリ11Cの当該格納場所から暗号鍵2を取得して、下りフレームを暗号化することになる。これにより、暗号鍵1から暗号鍵2への一連の鍵切替動作が終了する。
After the
この後、CPU12は、今まで使用していた暗号鍵1の使用状況を未使用へ変更する旨の指示を鍵制御部11Eへ通知する。これに応じて、鍵制御部11Eは、管理テーブル11Dのうち、暗号鍵1の使用状況を未使用へ変更する。これにより、図4の例では、図4(c)に示すように、管理テーブル11Dのうち、暗号鍵1の使用状況が未使用に変更される。
なお、暗号鍵1の使用状況の変更タイミングについては、暗号処理部11Aへの暗号鍵2への切替指示の直後から、次の交換鍵設定までの期間のうちの、任意のタイミングに実行すればよい。
なお、図4の外部メモリ13に格納されている暗号鍵において、使用済みの鍵が規定数以上になった場合、CPU12は暗号鍵を生成して外部メモリ13に格納する。
Thereafter, the
Note that the change timing of the usage status of the
Note that, in the encryption key stored in the
[第1の実施の形態の効果]
このように、本実施の形態は、PONを介して接続されたONU(相手光回線終端装置)20との間でフレームを送受信する通信処理部11Bと、鍵情報を用いてフレームの暗号化を行う暗号処理部11Aと、暗号処理部11Aでの暗号化に実際に使用する鍵情報を格納する内部メモリ11Cとが、1つのLSIに実装されてなるMAC制御回路11を備え、このMAC制御回路11の外部に設けられた外部メモリ(鍵供給部)13で、暗号処理部11Aでの暗号化において選択的に切替使用される複数の鍵情報を読み出して供給し、CPU12で、暗号処理部11Aにおいての暗号化に使用する鍵情報を切り替える鍵切替タイミングより前に、外部メモリ(鍵供給部)13から新たに使用する鍵情報を取得し、内部メモリ11Cへ転送して格納するようにしたものである。
[Effect of the first embodiment]
As described above, in this embodiment, the
これにより、MAC制御回路11の内部メモリ11Cに格納されている鍵情報を、MAC制御回路11の外部に設けた外部メモリ(鍵供給部)13から取得した新たな鍵情報と、容易に入れ替えることができる。このため、内部メモリ11Cにすべての鍵情報を格納しておく必要がなくなり、内部メモリ11Cの記憶容量を大幅に縮小できる。したがって、MAC制御回路を構成するLSIのチップサイズを増大させることなく、暗号化に用いる鍵情報の増加に対して柔軟に対応することが可能となる。
Thereby, the key information stored in the
また、本実施の形態において、鍵供給部として、暗号処理部11Aでの暗号化に切替使用される複数の鍵情報をロジカルリンクごとに予め格納する外部メモリ13を用いるようにしてもよい。これにより、メモリの読み出し時間という短い時間で、多くの鍵情報の中から、指定された新たな鍵情報を容易に取得することができる。
In the present embodiment, as the key supply unit, an
また、本実施の形態の具体的構成として、内部メモリ11Cに、暗号処理部11Aでの暗号化に実際に使用する第1の鍵情報と、鍵切替後に新たに使用する第2の鍵情報とを、それぞれ格納するための格納領域を個別に設けるとともに、暗号処理部11Aでの暗号化に切替使用される鍵情報ごとに、当該鍵情報が格納されている内部メモリ11Cまたは外部メモリ13の格納場所を記憶する管理テーブル11Dと、管理テーブル11Dで記憶している格納場所を更新する鍵制御部11Eとをさらに備え、CPU12で、鍵切替タイミングより前に、外部メモリ13から第2の鍵情報を取得して、内部メモリ11Cの格納領域のうち、暗号処理部11Aでの暗号化に実際に使用する鍵情報が格納されていない格納領域へ第2の鍵情報を転送して格納し、鍵制御部11Eで、内部メモリ11Cに格納した第2の鍵情報の新たな格納場所を管理テーブル11Dに設定し、暗号処理部11Aで、フレームを暗号化する際、使用する第2の鍵情報の格納場所を管理テーブル11Dで確認し、内部メモリ11Cから当該格納場所に格納されている第2の鍵情報を取得して、フレームの暗号化を行うようにしてもよい。
As a specific configuration of the present embodiment, the
これにより、内部メモリ11Cとして、少なくとも第1および第2の鍵情報を格納する領域を、ロジカルリンクごとに設けておくだけで、極めてスムーズかつ正確に鍵情報を切り替えることが可能となる。
As a result, it is possible to switch the key information extremely smoothly and accurately only by providing at least an area for storing the first and second key information for each logical link as the
[第2の実施の形態]
次に、図5を参照して、本発明の第2の実施の形態にかかるOLT10について説明する。図5は、第2の実施の形態にかかるOLTの構成を示すブロック図である。
第1の実施の形態では、鍵供給部として外部メモリ13を用いた場合を例として説明した。本実施の形態では、鍵供給部として鍵生成部14を用いる場合を例として説明する。
[Second Embodiment]
Next, the
In the first embodiment, the case where the
OLT10では、PON区間から通信処理部11Bへ入力されるONU20からの上りフレームデータが暗号化されている場合、当該上りフレームデータを暗号処理部11Aで復号化して通信処理部11Bへ出力後、上位装置32へ送出する。
また、OLT10では、上位装置32から通信処理部11Bへ入力される下りフレームデータを暗号化してPON区間へ出力する場合、当該下りフレームデータを暗号処理部11Aで暗号化して通信処理部11Bへ出力後、ONU20へ向けてPON区間へ送出する。
In the
Further, in the
本実施の形態にかかるOLT10は、MAC制御回路11の内部メモリ11Cとして、ONU20との間でリンクアップしている全てのロジカルリンクに対して、現在使用中の暗号鍵1個と次回使用予定の暗号鍵1個、および現在使用中の復号鍵1個と次回使用予定の復号鍵1個を格納するメモリを有している。
管理テーブル11Dは、暗号処理部11Aでの暗号化において、ロジカルリンクごとに切替使用される各鍵情報について、当該鍵情報ごとに、鍵面と呼ばれる格納場所、使用状況、および鍵番号(AN:Association Number)を記憶する。
The
The management table 11D stores, for each piece of key information used for switching for each logical link in the encryption in the
鍵生成部(鍵供給部)14は、CPU12が鍵交換の必要性を検出した時、指定された新たな鍵情報を生成し、データバスBSを介して鍵情報を供給する機能を有しており、CPU12のソフトウェアで実現される。なお、鍵生成部14は、専用の演算処理回路で実現してもよい。
The key generation unit (key supply unit) 14 has a function of generating specified new key information and supplying the key information via the data bus BS when the
IEEE802.1AEで規定された暗号方式においては、鍵番号(AN)で指定する4種類の鍵を運用可能としている。内部メモリ11Cには同時には2種類の鍵しか格納しないが、管理テーブル11Dに鍵面(格納場所)と鍵番号(AN)の対応関係を記録する。ロジカルリンク番号を示すLLIDごとに、暗号処理部11Aで同時に運用するのは2種類の復号鍵と2種類の暗号鍵ではあるものの、鍵生成部14により4種類の復号鍵と暗号鍵の運用に柔軟に対応可能とする。
In the encryption system defined by IEEE 802.1AE, four types of keys designated by a key number (AN) can be operated. Although only two types of keys are stored in the
[暗号鍵切替動作]
次に、図6を参照して、本実施の形態にかかるOLT10における、暗号鍵切替時の動作について説明する。図6は、第2の実施の形態にかかる鍵管理データを示す説明図である。
ここでは、LLID=1のロジカルリンクにおいて、無効状態にある暗号鍵面2に新たな鍵番号3の鍵情報を格納することにより、下りフレームデータの暗号化に用いる暗号鍵を、使用中の鍵番号1の鍵情報から鍵番号3の鍵情報へ切り替える場合を例として説明する。
[Encryption key switching operation]
Next, with reference to FIG. 6, the operation at the time of encryption key switching in the
Here, in the logical link with LLID = 1, by storing the key information of the new
暗号処理部11Aで、ONU20へ送信する下りフレームデータを暗号化する際、暗号化処理で切り替えて用いる各暗号鍵は、ロジカルリンクごとに、暗号鍵の切り替えを行う時点で前もって鍵生成部14により生成される。この際、生成された暗号鍵に関する鍵管理データも管理テーブル11Dへ登録される。
When the
まず、任意のロジカルリンクについて、暗号鍵の切り替え前において、鍵番号1の鍵情報で下りフレームデータを暗号化しており、かつ次回使用予定鍵が鍵番号3の鍵情報であるものとする。
また、暗号鍵の切り替え前において、管理テーブル11Dには、図6(a)に示すような、鍵管理データが格納されているものとする。この例では、LLID=1において、暗号鍵面1には、有効表示が有効状態の鍵番号1が設定されており、暗号鍵面2には、有効表示が無効状態の鍵番号0が設定されている。
First, for an arbitrary logical link, it is assumed that the downlink frame data is encrypted with the key information of the
Further, it is assumed that key management data as shown in FIG. 6A is stored in the management table 11D before the encryption key is switched. In this example, when LLID = 1, the encryption
なお、本実施の形態では、OLT10とN個のONU20との間に、ONU20ごとにa個のロジカルリンクが形成されているものとし、内部メモリ11Cには、暗号鍵を格納する格納領域として、これらロジカルリンクごとに2つの暗号鍵面が設けられているものとする。したがって、図6に示す管理テーブル11Dでは、a×N個のロジカルリンクごとに設けられた、2つの暗号鍵面ごとに、当該鍵面に格納されている鍵情報に関する有効表示と鍵番号とが、鍵管理データとして記録されている。なお、それぞれのLLIDの鍵面と内部メモリ11Cの格納場所とは予め対応付けられている。
In this embodiment, it is assumed that a logical link is formed for each
各ロジカルリンクにおいて、ONU20へ送信する下りフレームデータをOLT10で暗号化する場合、下りフレームデータの暗号化処理に使用する暗号鍵の切替タイミングは、CPU12により暗号処理部11Aへ指示される。切替タイミングの到来に応じて鍵番号1の鍵情報から鍵番号3の鍵情報へ切り替える鍵切替動作前に、ONU20に対して、新たな鍵番号3への鍵切替を通知するため、CPU12の制御のもとでMAC制御回路11において、鍵番号3の鍵情報を含むフレームデータが生成され、OUN20に対して送信される。
In each logical link, when the downlink frame data to be transmitted to the
すなわち、暗号鍵3を含むフレームデータは、通信処理部11Bを経由して暗号処理部11Aへ通知され、暗号処理部11Aにより現在使用中の暗号鍵、ここでは鍵番号1の鍵情報で暗号化された後、通信処理部11BからONU20へ送信される。
That is, the frame data including the
続いて、CPU12は、管理テーブル11Dを参照して、当該ロジカルリンクで使用する新たな鍵番号3の鍵情報に関する、内部メモリ11Cでの格納場所を確認する。ここでは、当該ロジカルリンクで使用する2つの暗号鍵面のうち、有効表示が無効状態を示す暗号鍵面を格納先鍵面として特定する。図6(a)の例では、管理テーブル11Dのうち、LLID=1の暗号鍵面から、有効表示が無効状態を示す、鍵番号0の鍵情報が格納されている暗号鍵面2が、新たな鍵番号3の鍵情報の格納先鍵面として特定される。
Subsequently, the
この後、CPU12は、鍵生成部14で生成した鍵番号3の鍵情報を、内部メモリ11CのうちLLID=1の暗号鍵面2へ転送して格納し、この暗号鍵面2の鍵番号と有効表示とを変更する旨の指示を鍵制御部11Eへ通知する。これに応じて、鍵制御部11Eは、管理テーブル11Dのうち、LLID=1の暗号鍵面2について、新たに格納した鍵情報に関する鍵番号を登録するとともに、有効表示として有効状態を登録する。
これにより、この例では、鍵生成部14で生成した鍵番号3の鍵情報が、内部メモリ11Cのうち、LLID=1の暗号鍵面2へ格納される。また、図6(b)に示すように、管理テーブル11Dのうち、LLID=1の暗号鍵面2の鍵番号が3に更新され、有効表示が有効状態に更新される。
Thereafter, the
Thereby, in this example, the key information of the
このようにして、新たに使用する鍵番号3の鍵情報を内部メモリ11Cへ格納した後、CPU12は、暗号処理部11Aに対して、下りフレームデータの暗号化に用いる暗号鍵として、鍵番号1から鍵番号3への切り替えを指示する。これに応じて、暗号処理部11Aは、これ以降に下りフレームデータを暗号化する場合、管理テーブル11Dを参照して、内部メモリ11CにおけるLLID=1の暗号鍵面に関する鍵管理データから、鍵番号3に対応する暗号鍵面を確認し、内部メモリ11Cの当該暗号鍵面から鍵番号3の鍵情報を取得して、下りフレームデータを暗号化することになる。これにより、鍵番号1から鍵番号3への一連の鍵切替動作が終了する。
In this way, after the key information of the
この後、CPU12は、今まで使用していた鍵番号1の鍵情報の有効表示を無効状態へ変更する旨の指示を鍵制御部11Eへ通知する。これに応じて、鍵制御部11Eは、管理テーブル11Dのうち、LLID=1について、指定された鍵番号1が登録されている暗号鍵面を選択し、当該暗号鍵面の有効表示を無効状態へ変更する。これにより、図6(c)に示すように、管理テーブル11Dのうち、鍵番号1が登録されているLLID=1の暗号鍵面1について、有効表示が無効状態に変更される。
なお、使用しなくなった鍵情報の有効表示の変更タイミングについては、暗号処理部11Aに対する新たな暗号鍵への切替指示の直後から、次の交換鍵設定までの期間のうちの、任意のタイミングに実行すればよい。
Thereafter, the
The timing for changing the effective display of the key information that is no longer used is set to an arbitrary timing in the period from immediately after the instruction to switch to the new encryption key to the
[第2の実施の形態の効果]
このように、本実施の形態は、PONを介して接続されたONU(相手光回線終端装置)20との間でフレームを送受信する通信処理部11Bと、鍵情報を用いてフレームの暗号化を行う暗号処理部11Aと、暗号処理部11Aでの暗号化に実際に使用する鍵情報を格納する内部メモリ11Cとが、1つのLSIに実装されてなるMAC制御回路11を備え、このMAC制御回路11の外部に設けられた鍵生成部(鍵供給部)14で、暗号処理部11Aでの暗号化において選択的に切替使用される複数の鍵情報を生成して供給し、CPU12で、暗号処理部11Aにおいて暗号化に使用する鍵情報を切り替える鍵切替タイミングより前に、鍵生成部(鍵供給部)14から新たに使用する鍵情報を取得し、内部メモリ11Cへ転送して格納するようにしたものである。
[Effect of the second embodiment]
As described above, in this embodiment, the
これにより、MAC制御回路11の内部メモリ11Cに格納されている鍵情報を、MAC制御回路11の外部に設けた鍵生成部(鍵供給部)14から取得した新たな鍵情報と、容易に入れ替えることができる。このため、内部メモリ11Cにすべての鍵情報を格納しておく必要がなくなり、内部メモリ11Cの記憶容量を大幅に縮小できる。したがって、MAC制御回路を構成するLSIのチップサイズを増大させることなく、暗号化に用いる鍵情報の増加に対して柔軟に対応することが可能となる。
Thereby, the key information stored in the
また、本実施の形態において、鍵供給部として、暗号処理部11Aでの暗号化に切替使用される複数の鍵情報を生成する鍵生成部14を用いるようにしてもよい。これにより、鍵情報を記憶しておくための外部メモリを省くことができ、OLT10の回路規模を削減することができる。
In the present embodiment, the
また、本実施の形態の具体的構成として、内部メモリ11Cに、暗号処理部11Aでの暗号化に実際に使用する第1の鍵情報と、鍵切替後に新たに使用する第2の鍵情報とを、それぞれ格納するための格納領域である鍵面を個別に設けるとともに、内部メモリ11Cの鍵面ごとに、当該鍵面に格納された鍵情報に予め割り当てられている鍵番号を記憶する管理テーブル11Dと、管理テーブル11Dの鍵番号を更新する鍵制御部11Eとをさらに備え、CPU12で、鍵切替タイミングより前に、鍵供給部14で生成された第2の鍵情報を取得して、内部メモリ11Cの鍵面のうち、当該鍵面に格納されている鍵情報が暗号処理部11Aでの暗号化に使用されていない鍵面へ第2の鍵情報を転送して格納し、鍵制御部11Eで、管理テーブル11Dのうち第2の鍵情報を格納した鍵面に関する鍵番号に第2の鍵情報の鍵番号を設定し、暗号処理部11Aで、フレームを暗号化する際、使用する第2の鍵情報の鍵番号と対応する鍵面を管理テーブル11Dで確認し、内部メモリ11Cから当該鍵面に格納されている第2の鍵情報を取得して、フレームの暗号化を行うようにしてもよい。
As a specific configuration of the present embodiment, the
これにより、内部メモリ11Cにすべての鍵情報を格納しておく必要がなくなり、内部メモリ11Cは、LLIDごとに暗号鍵と復号鍵を各々2種類だけ記憶しておけばよくなる。このため、記憶容量を大幅に縮小できるにもかかわらず、鍵番号を管理しているため3種類以上の鍵情報に対応可能である。したがって、MAC制御回路を構成するLSIのチップサイズを増大させることなく、暗号化に用いる鍵情報の増加に対して柔軟に対応することが可能となる。
This eliminates the need to store all key information in the
[第3の実施の形態]
次に、本発明の第3の実施の形態にかかるOLT10について説明する。第2の実施の形態では、内部メモリ11C内に格納されている暗号鍵を、鍵生成部14で生成した暗号鍵に切り替える場合を例として説明した。本実施の形態では、内部メモリ11C内に格納されている復号鍵を、ONU20から通知された復号鍵に切り替える場合を例として説明する。
[Third Embodiment]
Next, an
本実施の形態において、前述の図5で示した第2の実施の形態にかかるOLT10に、本実施の形態を適用した場合を例として説明する。したがって、本実施の形態にかかるOLT10の構成は、第2の実施の形態とほぼ同様である。
In the present embodiment, a case where the present embodiment is applied to the
[復号鍵切替動作]
次に、図7を参照して、本実施の形態にかかるOLT10における、復号鍵切替時の動作について説明する。図7は、第3の実施の形態にかかる鍵管理データを示す説明図である。
ここでは、LLID=1のロジカルリンクにおいて、無効状態にある復号鍵面1に新たな鍵番号3の鍵情報を格納することにより、上りフレームデータの復号化に用いる復号鍵を、使用中の鍵番号2の鍵情報から鍵番号3の鍵情報へ切り替える場合を例として説明する。
[Decryption key switching operation]
Next, with reference to FIG. 7, the operation at the time of switching the decryption key in the
Here, in the logical link with LLID = 1, by storing the key information of the new
なお、本実施の形態では、OLT10とN個のONU20との間に、ONU20ごとにa個のロジカルリンクが形成されているものとし、内部メモリ11Cには、復号鍵を格納する格納領域として、これらロジカルリンクごとに2つの復号鍵面が設けられているものとする。したがって、図7に示す管理テーブル11Dでは、a×N個のロジカルリンクごとに設けられた、2つの復号鍵面ごとに、当該鍵面に格納されている鍵情報に関する有効表示と鍵番号とが、鍵管理データとして記録されている。なお、それぞれのLLIDの鍵面と内部メモリ11Cの格納場所とは予め対応付けられている。
In this embodiment, it is assumed that a logical link is formed for each
暗号処理部11Aで、ONU20から送信された上りフレームデータを復号化する際、復号化処理で新たに用いる復号鍵の鍵情報や鍵番号は、ロジカルリンクごとに、当該ONU20から受信されたフレームデータで通知される。
このようなフレームデータは、通信処理部11Bで受信されて暗号処理部11Aへ通知され、暗号処理部11Aにより現在使用中の復号鍵、ここでは鍵番号2の鍵情報で復号化された後、通信処理部11BからCPU12へ通知される。
When the
Such frame data is received by the
CPU12は、このようにしてONU20からフレームデータを受け取り、当該フレームデータから、新たな復号鍵に関する鍵番号とその鍵情報、ここでは、鍵番号3とその鍵情報を取得する。
これに応じて、CPU12は、管理テーブル11Dを参照して、当該ロジカルリンクで使用する新たな鍵番号3の鍵情報に関する、内部メモリ11Cでの格納場所を確認する。
In this way, the
In response to this, the
ここでは、当該ロジカルリンクで使用する2つの復号鍵面のうち、有効表示が無効状態を示す復号鍵面を格納先鍵面として特定する。図7(a)の例では、管理テーブル11Dのうち、LLID=1の復号鍵面から、有効表示が無効状態を示す、鍵番号0の鍵情報が格納されている復号鍵面1が、新たな鍵番号3の鍵情報の格納先鍵面として特定される。
Here, of the two decryption key faces used in the logical link, the decryption key face whose valid display indicates an invalid state is specified as the storage destination key face. In the example of FIG. 7A, in the management table 11D, the decryption
この後、CPU12は、フレームデータから取得した鍵番号3の鍵情報を、内部メモリ11CのうちLLID=1の復号鍵面1へ転送して格納し、この復号鍵面1の鍵番号と有効表示とを変更する旨の指示を鍵制御部11Eへ通知する。これに応じて、鍵制御部11Eは、管理テーブル11Dのうち、LLID=1の復号鍵面1について、新たに格納した鍵情報に関する鍵番号を登録するとともに、有効表示として有効状態を登録する。
これにより、この例では、フレームデータから取得した鍵番号3の鍵情報が、内部メモリ11Cのうち、LLID=1の復号鍵面1へ格納される。また、図7(b)に示すように、管理テーブル11Dのうち、LLID=1の復号鍵面1の鍵番号が3に更新され、有効表示が有効状態に更新される。
Thereafter, the
Thereby, in this example, the key information of the
このようにして、新たに使用する鍵番号3の鍵情報を内部メモリ11Cへ格納した後、暗号処理部11Aが、鍵番号3の鍵情報で暗号化された上りフレームデータを、ONU20から受信した場合、暗号処理部11Aは、管理テーブル11Dを参照して、内部メモリ11CにおけるLLID=1の復号鍵面に関する鍵管理データから、鍵番号3に対応する復号鍵面を確認し、内部メモリ11Cの当該復号鍵面から鍵番号3の鍵情報を取得して、上りフレームデータを復号化することになる。これにより、鍵番号2から鍵番号3への一連の鍵切替動作が終了する。
In this way, after storing the key information of the
この後、CPU12は、今まで使用していた鍵番号2の鍵情報の有効表示を無効状態へ変更する旨の指示を鍵制御部11Eへ通知する。これに応じて、鍵制御部11Eは、管理テーブル11Dのうち、LLID=1について、指定された鍵番号2が登録されている復号鍵面を選択し、当該復号鍵面の有効表示を無効状態へ変更する。これにより、図7(c)に示すように、管理テーブル11Dのうち、鍵番号2が登録されているLLID=1の復号鍵面2について、有効表示が無効状態に変更される。
なお、使用しなくなった鍵情報の有効表示の変更タイミングについては、暗号処理部11Aでの新たな復号鍵への切替直後から、次の交換鍵設定までの期間のうちの、任意のタイミングに実行すればよい。
Thereafter, the
Note that the timing for changing the effective display of key information that is no longer used is executed at an arbitrary timing in the period from immediately after switching to a new decryption key in the
[第3の実施の形態の効果]
このように、本実施の形態は、PONを介して接続されたONU(相手光回線終端装置)20との間でフレームを送受信する通信処理部11Bと、鍵情報を用いてフレームの復号化を行う暗号処理部11Aと、暗号処理部11Aでの復号化に実際に使用する鍵情報を格納する内部メモリ11Cとが、1つのLSIに実装されてなるMAC制御回路11を備え、暗号処理部11Aにおいて復号化に使用する鍵情報を切り替える鍵切替タイミングより前に、ONU20から通知された新たに使用する鍵情報を、CPU12で、内部メモリ11Cへ転送して格納するようにしたものである。
[Effect of the third embodiment]
As described above, in this embodiment, the
これにより、MAC制御回路11の内部メモリ11Cに格納されている鍵情報を、ONU20から通知された新たな鍵情報と、容易に入れ替えることができる。このため、内部メモリ11Cにすべての鍵情報を格納しておく必要がなくなり、内部メモリ11Cの記憶容量を大幅に縮小できる。したがって、MAC制御回路を構成するLSIのチップサイズを増大させることなく、復号化に用いる鍵情報の増加に対して柔軟に対応することが可能となる。
Thereby, the key information stored in the
また、本実施の形態では、第2の実施の形態にかかるOLT10に適用した場合を例として説明したが、これに限定されるものではなく、第1の実施の形態にも適用可能である。この場合、第2の実施の形態では、管理テーブル11Dにおいて、鍵面と鍵番号との対応関係を管理していたが、これに代えて、第1の実施の形態と同様にして、内部メモリ11Cまたは外部メモリ13の格納場所(アドレス)と鍵番号との対応関係を管理すればよい。
In the present embodiment, the case where the present invention is applied to the
[実施の形態の拡張]
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。また、各実施形態については、矛盾しない範囲で任意に組み合わせて実施することができる。
[Extended embodiment]
The present invention has been described above with reference to the embodiments, but the present invention is not limited to the above embodiments. Various changes that can be understood by those skilled in the art can be made to the configuration and details of the present invention within the scope of the present invention. In addition, each embodiment can be implemented in any combination within a consistent range.
また、各実施の形態では、本発明をOLT10に適用した場合を例として説明したが、これに限定されるものではなく、OLT10と同じく光回線終端装置の1つであるONU20にも、前述と同様にして本発明を適用でき、同様の作用効果が得られる。
In each of the embodiments, the case where the present invention is applied to the
また、各実施の形態では、管理テーブル11Dおよび鍵制御部11Eを、MAC制御回路11内に実装した場合を例として説明したが、これに限定されるものではなく、これら回路部の一部またはすべてをMAC制御回路11の外部に設けてもよい。
In each embodiment, the case where the management table 11D and the
また、各実施の形態では、管理テーブル11Dに登録されている鍵管理データを更新する際、CPU12からの指示に応じて、鍵制御部11Eが鍵管理データを更新する場合を例として説明したがこれに限定されるものではない。例えば、鍵制御部11Eに代えて、CPU12がMAC制御回路11の外部から管理テーブル11Dへアクセスして、鍵管理データを更新するようにしてもよい。これにより、鍵制御部11Eを省くことができ、MAC制御回路11のチップサイズを削減することができる。
また、各実施の形態では、CPU12をMAC制御回路11の外部に実装した場合を例として説明したが、これに限定されるものではなく、CPU12をMAC制御回路11内に設けてもよい。
In each embodiment, the case where the key control data is updated by the
In each embodiment, the case where the
100…PONシステム、10…OLT、11…MAC制御回路(LSI)、11A…暗号処理部、11B…通信処理部、11C…内部メモリ、11D…管理テーブル、11E…鍵制御部、12…CPU、13…外部メモリ、14…鍵生成部、20,20A,20B,20C…ONU、30A,30B,30C…ユーザ端末、31…光スプリッタ、32…上位装置。
DESCRIPTION OF
Claims (4)
前記MAC制御回路の外部に設けられて、前記暗号処理部での暗号化において選択的に切替使用される複数の鍵情報を供給する鍵供給部と、
前記暗号処理部において暗号化に使用する鍵情報を切り替える鍵切替タイミングより前に、前記鍵供給部から新たに使用する鍵情報を取得し、前記内部メモリへ転送して格納するCPUとを備え、
前記鍵供給部は、前記暗号処理部での暗号化に切替使用される複数の鍵情報を予め格納する外部メモリからなり、
前記MAC制御回路は、前記暗号処理部での暗号化に切替使用される鍵情報ごとに、当該鍵情報が格納されている前記内部メモリまたは前記外部メモリの格納場所を記憶する管理テーブルと、前記管理テーブルで記憶している前記格納場所を更新する鍵制御部とをさらに備え、
前記CPUは、前記鍵供給部から新たに使用する鍵情報を取得した際、前記管理テーブルで記憶する前記格納場所に基づいて当該鍵情報を前記内部メモリへ転送して格納し、
前記暗号処理部は、前記フレームの暗号化を行う際、前記管理テーブルで記憶する前記格納場所に基づいて前記内部メモリから当該暗号化に用いる鍵情報を取得する
ことを特徴とする光回線終端装置。 A communication processing unit that transmits / receives a frame to / from a partner optical line terminator connected via PON, an encryption processing unit that encrypts the frame using key information, and encryption in the encryption processing unit An internal memory that stores key information that is actually used, and a MAC control circuit implemented in one LSI;
A key supply unit that is provided outside the MAC control circuit and that supplies a plurality of pieces of key information that are selectively used for encryption in the encryption processing unit;
Before the key switching timing for switching the key information used for encryption in the encryption processing unit, the CPU obtains key information to be newly used from the key supply unit, and transfers and stores the key information in the internal memory .
The key supply unit is composed of an external memory that stores in advance a plurality of key information used for switching in the encryption in the encryption processing unit,
The MAC control circuit, for each key information used for switching in encryption in the encryption processing unit, a management table that stores the storage location of the internal memory or the external memory in which the key information is stored, A key control unit for updating the storage location stored in the management table,
When the CPU acquires key information to be newly used from the key supply unit, the CPU transfers the key information to the internal memory based on the storage location stored in the management table, and stores the key information.
The encryption processing unit acquires key information used for the encryption from the internal memory based on the storage location stored in the management table when encrypting the frame. .
前記内部メモリは、前記暗号処理部での暗号化に実際に使用する第1の鍵情報と、鍵切替後に新たに使用する第2の鍵情報とを、それぞれ格納するための格納領域を個別に備え、
前記CPUは、前記鍵切替タイミングより前に、前記外部メモリから前記第2の鍵情報を取得して、前記内部メモリの格納領域のうち、前記暗号処理部での暗号化に実際に使用する鍵情報が格納されていない格納領域へ前記第2の鍵情報を転送して格納し、
前記鍵制御部は、前記内部メモリに格納した前記第2の鍵情報の新たな格納場所を前記管理テーブルに設定し、
前記暗号処理部は、前記フレームを暗号化する際、使用する前記第2の鍵情報の格納場所を前記管理テーブルで確認し、前記内部メモリから当該格納場所に格納されている前記第2の鍵情報を取得して、前記フレームの暗号化を行う
ことを特徴とする光回線終端装置。 In the optical line termination device according to claim 1 ,
The internal memory has separate storage areas for storing first key information actually used for encryption in the encryption processing unit and second key information newly used after key switching, respectively. Prepared,
Before SL CPU is before the key changeover timing, said acquiring the second key information from the external memory, among the storage region of the internal memory, is actually used for encryption in the cryptographic processing unit Transferring and storing the second key information in a storage area in which key information is not stored;
The key control unit sets a new storage location of the second key information stored in the internal memory in the management table;
The encryption processing unit confirms a storage location of the second key information to be used when encrypting the frame with the management table, and stores the second key stored in the storage location from the internal memory. An optical line termination device that obtains information and encrypts the frame.
前記MAC制御回路の外部に設けられた鍵供給部が、前記暗号処理部での暗号化において選択的に切替使用される複数の鍵情報を供給する鍵供給ステップと、
CPUが、前記暗号処理部において暗号化に使用する鍵情報を切り替える鍵切替タイミングより前に、前記鍵供給部から新たに使用する鍵情報を取得し、前記内部メモリへ転送して格納する制御ステップとを備え、
前記鍵供給部は、前記暗号処理部での暗号化に切替使用される複数の鍵情報を予め格納する外部メモリからなり、
前記MAC制御回路の管理テーブルが、前記暗号処理部での暗号化に切替使用される鍵情報ごとに、当該鍵情報が格納されている前記内部メモリまたは前記外部メモリの格納場所を記憶するステップと、
前記MAC制御回路の鍵制御部が、前記管理テーブルで記憶している前記格納場所を更新する鍵制御ステップとをさらに備え、
前記制御ステップは、前記鍵供給部から新たに使用する鍵情報を取得した際、前記管理テーブルで記憶する前記格納場所に基づいて当該鍵情報を前記内部メモリへ転送して格納し、
前記暗号処理部が、前記フレームの暗号化を行う際、前記管理テーブルで記憶する前記格納場所に基づいて前記内部メモリから当該暗号化に用いる鍵情報を取得する暗号処理ステップをさらに備える
ことを特徴とする鍵切替方法。 A communication processing unit that transmits / receives a frame to / from a partner optical line terminator connected via PON, an encryption processing unit that encrypts the frame using key information, and encryption in the encryption processing unit A key switching method used in an optical line terminating device having a MAC control circuit mounted on one LSI, and an internal memory for storing key information actually used in
A key supply step in which a key supply unit provided outside the MAC control circuit supplies a plurality of pieces of key information that are selectively used in the encryption in the encryption processing unit; and
A control step in which the CPU acquires key information to be newly used from the key supply unit before the key switching timing for switching key information to be used for encryption in the encryption processing unit, and transfers and stores the key information in the internal memory. It equipped with a door,
The key supply unit is composed of an external memory that stores in advance a plurality of key information used for switching in the encryption in the encryption processing unit,
The management table of the MAC control circuit stores the storage location of the internal memory or the external memory in which the key information is stored for each key information that is switched and used for encryption in the encryption processing unit; ,
The key control unit of the MAC control circuit further comprises a key control step of updating the storage location stored in the management table;
In the control step, when key information to be newly used is acquired from the key supply unit, the key information is transferred to and stored in the internal memory based on the storage location stored in the management table,
The encryption processing unit further includes an encryption processing step of acquiring key information used for the encryption from the internal memory based on the storage location stored in the management table when the frame is encrypted. Key switching method.
前記内部メモリは、前記暗号処理部での暗号化に実際に使用する第1の鍵情報と、鍵切替後に新たに使用する第2の鍵情報とを、それぞれ格納するための格納領域を個別に備え、The internal memory has separate storage areas for storing first key information actually used for encryption in the encryption processing unit and second key information newly used after key switching, respectively. Prepared,
前記制御ステップは、前記鍵切替タイミングより前に、前記外部メモリから前記第2の鍵情報を取得して、前記内部メモリの格納領域のうち、前記暗号処理部での暗号化に実際に使用する鍵情報が格納されていない格納領域へ前記第2の鍵情報を転送して格納し、The control step acquires the second key information from the external memory before the key switching timing, and actually uses the second key information for encryption in the encryption processing unit in the storage area of the internal memory. Transferring and storing the second key information in a storage area in which key information is not stored;
前記鍵制御ステップは、前記内部メモリに格納した前記第2の鍵情報の新たな格納場所を前記管理テーブルに設定し、The key control step sets a new storage location of the second key information stored in the internal memory in the management table;
前記暗号処理ステップは、前記フレームを暗号化する際、使用する前記第2の鍵情報の格納場所を前記管理テーブルで確認し、前記内部メモリから当該格納場所に格納されている前記第2の鍵情報を取得して、前記フレームの暗号化を行うThe encryption processing step confirms a storage location of the second key information to be used when encrypting the frame with the management table, and stores the second key stored in the storage location from the internal memory. Get information and encrypt the frame
ことを特徴とする鍵切替方法。And a key switching method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011169918A JP5368519B2 (en) | 2011-08-03 | 2011-08-03 | Optical line termination device and key switching method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011169918A JP5368519B2 (en) | 2011-08-03 | 2011-08-03 | Optical line termination device and key switching method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013034143A JP2013034143A (en) | 2013-02-14 |
JP5368519B2 true JP5368519B2 (en) | 2013-12-18 |
Family
ID=47789634
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011169918A Active JP5368519B2 (en) | 2011-08-03 | 2011-08-03 | Optical line termination device and key switching method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5368519B2 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI545735B (en) | 2013-09-09 | 2016-08-11 | Japan Display Inc | Organic electroluminescent display device and manufacturing method thereof |
JP6953680B2 (en) * | 2016-06-03 | 2021-10-27 | 日本電気株式会社 | Key management device, communication system, terminal device, key management method, communication method, processing method, program |
JP7126478B2 (en) | 2019-06-20 | 2022-08-26 | 三菱電機株式会社 | Communication systems, radio base stations, radio terminals and control equipment |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH05347616A (en) * | 1992-06-15 | 1993-12-27 | Hitachi Ltd | Group ciphering communication method and group ciphering communication system |
JP2003169050A (en) * | 2001-12-03 | 2003-06-13 | Matsushita Electric Ind Co Ltd | Key managing device, key managing method, storage medium using the same, and program |
JP3986956B2 (en) * | 2002-12-27 | 2007-10-03 | 三菱電機株式会社 | Parent station, slave station, communication system, communication program, and computer-readable recording medium recording the communication program |
KR100832530B1 (en) * | 2005-12-07 | 2008-05-27 | 한국전자통신연구원 | Key management methode for security and device for controlling security channel in EPON |
JP2007158962A (en) * | 2005-12-07 | 2007-06-21 | Mitsubishi Electric Corp | Pon system |
JP4685659B2 (en) * | 2006-02-23 | 2011-05-18 | 三菱電機株式会社 | Station side device, subscriber side device and PON system |
WO2010146665A1 (en) * | 2009-06-16 | 2010-12-23 | 富士通オプティカルコンポーネンツ株式会社 | Optical communication device and power-saving control method for optical communication device |
-
2011
- 2011-08-03 JP JP2011169918A patent/JP5368519B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2013034143A (en) | 2013-02-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CA2769226C (en) | Optical network terminal management control interface-based passive optical network security enhancement | |
JP4804454B2 (en) | Key distribution control device, radio base station device, and communication system | |
CN101102152B (en) | Method for guaranteeing data security in passive optical network | |
JP2007005997A (en) | Multicast communication device and pon system using the same | |
JPWO2005112336A1 (en) | PON system with encryption function and encryption method for PON system | |
JP5368519B2 (en) | Optical line termination device and key switching method | |
EP2439871B1 (en) | Method and device for encrypting multicast service in passive optical network system | |
CN109257274B (en) | Switching node device for quantum secret communication network system and communication network system comprising the same | |
CN110417706A (en) | A kind of safety communicating method based on interchanger | |
JP4889984B2 (en) | Communication system and communication method | |
KR100594023B1 (en) | Method of encryption for gigabit ethernet passive optical network | |
KR101209248B1 (en) | Method of data communication between PLC stations belonging to different PLC cells and apparatus therefor | |
CN101499898A (en) | Method and apparatus for cipher key interaction | |
CN103516515A (en) | Encryption/decryption seamless switch achieving method, OLT and ONU in GPON system | |
CN101282177A (en) | Data transmission method and terminal | |
JP2014220699A (en) | Reserve system station side optical line termination device and station-side unit | |
CN101388765B (en) | Ciphering mode switching method for G bit passive optical fiber network system | |
JP2003298566A (en) | Encryption key exchange system | |
JP2015133610A (en) | Station side device, pon system and control method of station side device | |
CN103138918A (en) | Method, device and system of avoiding gigabit passive optical network (GPON) system encryption enabling instant packet loss | |
CN101998188A (en) | Encryption/decryption method and system for passive optical network | |
JP2005236413A (en) | Communication apparatus and communication program | |
CN116506353A (en) | SoC-based high-bandwidth quantum secret communication router, system and communication method | |
CN116599664A (en) | Link encryption method based on quantum key distribution |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130528 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130611 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130809 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130910 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130912 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5368519 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |