KR100715679B1 - 인증 암호화를 통해 보안 전송을 가능하게 하는 gpon시스템 및 그 인증 암호화 방법 - Google Patents

인증 암호화를 통해 보안 전송을 가능하게 하는 gpon시스템 및 그 인증 암호화 방법 Download PDF

Info

Publication number
KR100715679B1
KR100715679B1 KR1020050117780A KR20050117780A KR100715679B1 KR 100715679 B1 KR100715679 B1 KR 100715679B1 KR 1020050117780 A KR1020050117780 A KR 1020050117780A KR 20050117780 A KR20050117780 A KR 20050117780A KR 100715679 B1 KR100715679 B1 KR 100715679B1
Authority
KR
South Korea
Prior art keywords
authentication
downlink frame
gtc
gtc downlink
encryption
Prior art date
Application number
KR1020050117780A
Other languages
English (en)
Inventor
김광옥
권율
김봉태
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020050117780A priority Critical patent/KR100715679B1/ko
Priority to US11/589,031 priority patent/US7853801B2/en
Priority to JP2006296283A priority patent/JP4558700B2/ja
Application granted granted Critical
Publication of KR100715679B1 publication Critical patent/KR100715679B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Optical Communication System (AREA)

Abstract

본 발명은 기가비트 수동형 광 네트워크(GPON)의 OLT에서 하향 전송 시 각각의 ONU에 대한 인증 암호화를 통해 보안 전송이 가능하도록 하는 시스템 및 그 인증 암호화 방법에 관한 것이다.
본 발명에 따른 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템은, 외부의 서비스 제공자로부터 데이터를 전달받아 GTC 하향 프레임을 생성하여 하향 전송하는 OLT와, 상기 OLT로부터 하향 전송된 GTC 하향 프레임을 수신하여 이를 처리하는 다수의 ONU를 포함하며, 상기 OLT는 생성된 GTC 하향 프레임에 대한 상기 ONU별 인증을 위한 인증 생성 모듈을 구비하여 상기 생성된 GTC 하향 프레임에 대한 인증 암호화를 수행하고, 상기 ONU는 인증 체크 모듈을 구비하여 상기 인증 암호화된 GTC 하향 프레임에 대한 인증 성공 여부에 따라 상기 GTC 하향 데이터의 수신 여부를 결정하는 것을 특징으로 한다.
GTC, GPON, ONU, OLT

Description

인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템 및 그 인증 암호화 방법{SYSTEM AND METHOD FOR PROVIDING AUTHENTICATED ENCRYPTION IN GPON NETWORK}
도 1 은 종래 기술에 따라 페이로드에 대한 암호화 기능을 제공하기 위한 GPON 시스템에 대한 일실시예 구성도.
도 2 는 종래 기술에 따라 페이로드에 대한 암호화 기능을 제공하는 GPON 시스템에서 해킹 시도에 대한 개념 예시도.
도 3 은 본 발명에 따라 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템에 대한 일실시예 구성도.
도 4 는 본 발명에 따라 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템에서의 각 계층별 프레임의 구조에 대한 일실시예 예시도.
도 5 는 도 3에 도시된 인증 생성 모듈 및 인증 체크 모듈에 대한 일실시예 구성도.
도 6 은 본 발명에 따라 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템에서 인증 암호화 기능을 제공하기 위하여 ONU에 대한 인증 키 분배 및 인증 등록 과정에 대한 일실시예 타이밍도.
도 7 은 본 발명에 따라 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템에서 해킹 시도에 대한 개념 예시도.
도 8 은 본 발명에 따라 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템에서 인증 암호화 방법에 대한 일실시예 동작 흐름도.
도 9 는 본 발명에 따라 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템에서 인증 복호화 방법에 대한 일실시예 동작 흐름도.
본 발명은 기가비트 수동형 광 네트워크(Gigabit-capable Passive Optical Networks: GPON)에 관한 것으로 특히, GPON에서 OLT의 하향 전송에 있어서 각각의 ONU에 대한 인증 암호화를 통해 보안 전송이 가능하도록 하는 시스템 및 그 인증 암호화 방법에 관한 것이다.
최근 ITU(International Telecommunication Union)-T G.984 그룹은 PON(Passive Optical Network) 기반의 가입자 액세스 망을 통해 ATM(Asynchronous Transfer Mode) 셀 및 Ethernet 프레임, TDM(Time-Division Multiplexing) 패킷 등을 효율적으로 전송하고, 최대 2.5Gbps의 대역을 제공할 수 있는 GPON 규격을 표준화하였다. GPON은 SONET(Synchronous Optical Network)과 같이 125us 주기(8KHz)의 프레임 전송 방식을 이용하여 TDM 서비스 및 E1/T1서비스, POTS(Plain Old Telephone Service)를 제공할 수 있으며, 2.5Gbps의 넓은 대역으로 수백 채널의 고 품질 방송 서비스 및 IP(Internet Protocol) Data 서비스를 제공할 수 있다. 이와 같은 GPON은 미국이나 유럽에서 이미 사용 중인 APON(ATM PON)의 대체용으로 이용되고 있다.
GPON 시스템은 일반적으로 하나의 OLT(Optical Line Terminal)로부터 출력되는 TDM 방식의 광신호가 광 분배기를 통해 각각의 ONU에 제공되는 구조를 가지는데, 이러한 구조에서는 하향으로 브로드캐스트 특성을 가지므로 하나의 OLT로부터 전송된 하향 프레임들은 모든 ONU들에게 전달된다. 따라서, 정상적인 경우에는 각각의 ONU들은 자신에게 전송되는 프레임만 필터링하여 수신하도록 구현되어 있지만, 만약 악의 있는 가입자가 프레임 필터링하는 부분을 간단히 조작한다면 그는 다른 ONU들에게 전송되는 중요한 정보를 볼 수 있게 된다.
이에 따라, 현재 GPON 표준에서는 이와 같이 GPON 시스템 내에서 전송되는 정보들을 다른 ONU들이 볼 수 없도록 하기 위해, 전송되는 서비스 데이터의 페이로드에 대해서는 128bits CTR(Counter)-AES(Advanced Encryption Standard)를 이용한 암호화를 수행하도록 규격을 정의하고 있다. 그러나 페이로드와 함께 전송되는 프레임 헤더 속에도 중요한 정보인 망 운용 관리(PLOAM : Physical Layer OAM) 정보 및 상향 대역할당(BA : Bandwidth Allocation) 정보 등이 포함되지만, 이러한 정보에 대해서는 어떠한 보안 기능도 제공하지 못한다. 그러므로 이러한 프레임 헤더에 포함된 정보들의 경우는 여전히 인증되지 않은 ONU들의 간단한 조작에 의해 쉽게 노출될 수 있으며, 이들 정보를 악용하여 다른 ONU들의 서비스를 방해할 수 있는 문제점이 발생한다.
도 1 은 종래 기술에 따라 페이로드에 대한 암호화 기능을 제공하기 위한 GPON 시스템에 대한 일실시예 구성도이다.
도 1을 참조하면, 종래 기술에 따라 페이로드에 대한 암호화 기능을 제공하기 위한 GPON 시스템은, 외부의 서비스 제공자로부터 데이터를 전달받아 하나의 광신호로 구성한 후 이를 전송하고 연결된 다수의 ONU(12)로부터의 상향 데이터를 수신하여 이를 외부로 전송하는 OLT(11)와 사용자측 장치로 OLT(11)를 통해 제공되는 광신호를 수신하여 이를 광전 변환하여 사용자에게 제공하는 ONU(12)로 이루어진다.
각각의 구성을 상하향 데이터를 만들기 위한 계층 구조의 측면에서 좀 더 상세히 살펴보면, OLT(11)는 대역에 대한 할당 정보인 DBA(Dynamic Bandwidth Allocation) 신호, PLOAM 정보를 전송하기 위한 PLOAM 신호 등을 수신하여 프레임 헤더를 생성하는 헤더 생성부(101), ATM SDU(Service Data Unit)와 GEM SDU(Service Data Unit)를 수신하여 각각 처리하는 페이로드 생성부(102), 페이로드 생성부(102)에서 ATM과 GEM으로 나뉘어 처리된 페이로드 신호를 수신하여 이를 각각 암호화하는 페이로드 암호화부(103), 헤더 생성부(101)에서 생성된 헤더와 페이로드 암호화부(103)에서 암호화된 페이로드를 하나의 하향 신호로 다중화하는 다중화부(104) 및 다중화된 하향 신호를 광 신호로 변환하여 전송하는 전광 변환부(105)를 포함한다.
여기서 각각의 구성부를 좀 더 상세히 살펴보면, 상기 헤더 생성부(101)는 각각의 ONU(12)들의 상향 대역 정보를 나타내는 DBA 정보, 망 운용 관리 정보를 나 타내는 PLOAM 신호, 동기 패턴 정보, GTC 하향 프레임 카운터, FEC 설정정보, 프레임 페이로드 길이 정보를 포함하는 프레임 헤더를 생성한다.
그리고 페이로드 생성부(102)는, 외부의 서비스 제공자로부터 ATM SDU(Service Data Unit)를 수신하여 처리하는 ATM Partition 모듈과 외부의 서비스 제공자로부터 GEM SDU(Service Data Unit)를 수신하여 처리하는 GEM Partition 모듈을 포함하여, ATM Partition 모듈에서는 5바이트의 ATM 헤더와 48바이트의 페이로드로 구성된 53바이트 길이의 ATM 셀을 처리하며, GEM Partition 모듈에서는 5바이트의 GEM 헤더와 4095바이트 범위 내에서 가변 길이의 페이로드로 구성된 GEM 프레임이 처리된다.
그리고, 페이로드 암호화부(103)는 128비트 CTR-AES 블록 암호화를 수행하는데, 30비트의 GTC 하향 프레임 카운터와 16비트의 블록 카운터를 조합하여 46비트의 암호화 카운터(Crypto-Counter)를 만들고, 이 암호화 카운터를 3개 연결하여 138비트의 랜덤 암호화 카운터 값을 생성한 후 상위 10비트를 삭제하고, 하위 128비트만을 암호화 블록 카운터 값으로 사용하여 암호화를 수행한다. 여기서, 30비트의 GTC 하향 프레임 카운터는 하향으로 프레임을 전송할 때 마다 1씩 증가되며, 16비트의 블록 카운터는 4바이트 단위로 카운터를 증가시키며 하나의 GTC 하향 프레임이 전송되면 "0"으로 초기화된다. 그리고, 페이로드 암호화부(103)에서 사용되는 128비트의 암호화 키는 각각의 ONU(12)로부터 생성되고, OLT(11)의 요구에 의해 수신된다.
이와 같이, 페이로드 암호화부(103)에서 각각의 ONU(12)로부터 전달된 128비 트의 ONU키를 이용하여 128비트의 암호화 블록 카운터 값이 암호화되면, 이 암호화 값은 128비트 페이로드 블록과 배타적 논리 연산(Exclusive-OR)을 수행하여, 페이로드에 대한 암호화를 수행한다. 그리고 암호화된 페이로드들은 다중화부(104)로 전송되며, 다중화부(104)는 헤더 생성부(101)로부터 전달된 프레임 헤더와 암호화된 페이로드를 다중화하여 GTC 하향 프레임을 생성한다.
그리고, 생성된 GTC 하향 프레임은 전광 변환부(105)를 통해 광신호로 변환되어 각각의 ONU(12)로 전달된다.
이때, GTC 하향 프레임을 생성하는 과정에서 헤더 생성부(101)에서 생성된 프레임 헤더(120)는 In-band 방식으로 처리되어 암호화되지 않고 GTC 하향 프레임(100) 속에 포함된다. 따라서, GTC 하향 프레임 헤더(120)는 암호화되지 않고 GTC 하향 프레임 페이로드(130) 속에 포함된 페이로드 정보만이 암호화되어 각각의 ONU(12)들에게 전송된다.
한편, ONU(optical network unit)(12)는, 광신호로 전달되는 GTC 하향 프레임을 수신하여 광전변환하는 광전 변환부(106), 전기 신호로 변환된 GTC 하향 프레임을 헤더와 페이로드로 분리하여 전달하는 역다중화부(107), 역다중화부(107)로부터 프레임 헤더를 받아 이를 처리하는 헤더 처리부(110), 역다중호부(107)로부터 페이로드를 받아 이를 복호화하는 페이로드 복호화부(108) 및 복호화된 페이로드를 처리하는 페이로드 처리부(109)를 포함한다.
여기서, 페이로드 복호화부(108)는 OLT(11)에서 사용되는 페이로드 암호화부(103)와 대응되는 기능을 수행하여, 페이로드 암호화부(103)에서 암호화된 ATM셀 및 GEM 프레임을 각각 복호화한다.
그리고, 페이로드 처리부(109)는 ATM Partition 모듈과 GEM Partition 모듈을 포함하여, ATM Partition 모듈에서는 5바이트의 ATM 헤더와 48바이트의 페이로드로 구성된 53바이트 길이의 ATM 셀을 처리하며, GEM Partition 모듈에서는 5바이트의 GEM 헤더와 4095바이트 범위 내에서 가변 길이의 페이로드로 구성된 GEM 프레임이 처리된다.
도 2 는 종래 기술에 따라 페이로드에 대한 암호화 기능을 제공하는 GPON 시스템에서 해킹 시도에 대한 개념 예시도이다.
도 2를 참조하면, 페이로드에 대한 암호화 기능을 제공하는 GPON 시스템은 하향으로 전송되는 GTC 하향 프레임에 대한 해킹 시도를 크게 4가지 방식으로 구분할 수 있다.
첫째, 해커(204)는 OLT(200)와 OLT(200)로부터 전달된 광신호를 각각의 ONU(207, 210, 211)로 광 분배하는 광 스플리터(209) 사이에 존재하는 공통 링크(S200)에 침입해 모든 ONU(207, 210, 211)로 전송되는 GTC 하향 프레임(201)에 대해 해킹을 할 수 있다. 여기서 해킹 방법은 프레임 변조나 가로채기 또는 모니터링을 통하는 것으로 예시한다. 이 경우 해커(204)에 의해 해킹이 이루어지는 경우에도 GTC 하향 프레임의 페이로드(201)는 이미 암호화가 이루어진 상태이므로 영향을 받지 않지만, 암호화 되지 않은 PLOAM 정보(202) 및 DBA 정보(203) 등의 중요한 정보는 해킹에 의해 유출될 유려가 있다. 이러한 첫번째 암호화 공격은 링크(S200)를 절단한 후 침입을 해야 하기 때문에 실제 환경에서 일반인들이 쉽게 공격하지는 못 하지만, 전문가들에 의해 언제든지 암호화 공격을 당할 가능성이 존재한다.
둘째, 해커(205)는 스플리터(209)와 ONU(207)사이에 연결된 링크(S201)에 접속하여 해당 ONU(207)로 전송되는 GTC 하향 프레임(201)들에 대해 프레임 변조나 가로채기 또는 모니터링을 통한 중요한 정보(202, 203) 획득 등의 암호화 공격을 수행할 수 있다. 이 암호화 공격 또한 링크(S201)를 절단한 후 침입을 해야 하기 때문에 실제 환경에서 일반인들이 쉽게 공격하지는 못하지만, 전문가들에 의해 언제든지 암호화 공격을 당할 가능성이 존재한다.
셋째, 해커(206)는 가짜의 ONU(207)에서 간단한 프로그램의 조작으로 다른 ONU(210)로 전송되는 중요한 정보들을 필터링하지 않고 그대로 수신하여, 이를 통한 암호화 공격을 수행할 수 있다. 이러한 암호화 공격은 가짜 ONU(207)가 진짜 ONU(210)처럼 행동하거나 또는 진짜 ONU(210)의 상향으로의 대역 전송을 방해한다.
넷째, 해커(207)는 OLT(200)와 ONU(211)에 존재하는 스플리터(209)의 남는 포트에 접속한다거나 또는 스플리터(209)와 ONU(211)사이에 연결된 링크에 스플리터(208)를 추가해 GTC 하향 프레임을 그대로 수신하여, 이를 통한 암호화 공격을 수행할 수 있다(S202, S203). 이 암호화 공격은 해커(207)가 진짜 ONU(211)처럼 행동하거나 또는 진짜 ONU(211)의 상향으로의 대역 전송을 방해한다. 또한 ONU(211)에 의해 상향으로 전송되는 암호화 키 등을 가로챌 수 있기 때문에, 암호화된 데이터 정보들이 그대로 노출될 수 있으므로 치명적인 손실을 발생시킬 수 있게 된다.
따라서, GPON 시스템에서 전송되는 GTC 하향 프레임들에 대한 인증 및 암호화 기능을 요구하며, 인증되지 않은 ONU들에 대해서는 이러한 중요한 정보가 노출 되지 않도록 하는 방법이 필요하게 된다.
본 발명은, 상기와 같은 문제점을 해결하기 위하여 제안된 것으로, GPON 시스템에서 하향으로 전송되는 GTC 프레임들을 해킹함으로써 암호화되지 않은 정보가 유출되는 것을 방지하기 위해, 인증 알고리즘을 사용하여 인증된 ONU 만이 하향으로 전송되는 GTC 프레임 정보를 수신할 수 있도록 하는 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템과 그 인증 암호화 방법을 제공하는데 그 목적이 있다.
상기 목적을 달성하기 위한 본 발명에 따른 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON(Gigabit-capable Passive Optical Networks) 시스템은, 외부의 서비스 제공자로부터 데이터를 전달받아 GTC(GPON Transmission Convergence) 하향 프레임을 생성하여 하향 전송하는 광종단장치(OLT)와, 상기 OLT로부터 하향 전송된 GTC 하향 프레임을 수신하여 이를 처리하는 광가입자장치(ONU)를 포함하되, 상기 OLT는, 상기 생성된 GTC 하향 프레임에 대한 상기 ONU별 인증을 위해 GF(Galois Field)(2128) 다중화기(Multiplier)를 포함하는 인증 생성부를 구비하여, 각각의 ONU로부터 제공받은 ONU 키값을 통해 생성되는 인증 키값을 이용한 해쉬 키값을 생성하고, 상기 해쉬 키값을 입력으로 하여 상기 GF(2128) 다중화기의 연산을 통해 획득되는 인증 파라미터 값을 상기 GTC 하향 프레임 끝에 추가함으로 상기 생성된 GTC 하향 프레임에 대한 인증 암호화를 수행하도록 하고, 상기 ONU는, 인증 체크부를 구비하여 상기 인증 암호화된 GTC 하향 프레임에 대한 인증 성공 여부에 따라 상기 GTC 하향 데이터의 수신 여부를 결정하도록 하는 것을 특징으로 한다.
또한, 상기 목적을 달성하기 위한 본 발명에 따른 광종단장치(OLT)는, 프레임 헤더를 생성하는 헤더 생성부; ATM SDU(Service Data Unit)와 GEM SDU(Service Data Unit)를 수신하여 각각 처리하는 페이로드 생성부; 상기 페이로드 생성부에서 ATM과 GEM으로 나뉘어 처리된 페이로드 신호를 수신하여 이를 각각 암호화하는 페이로드 암호화부; 상기 헤더 생성부에서 생성된 헤더와 상기 페이로드 암호화부에서 암호화된 페이로드를 하나의 GTC 하향 프레임으로 다중화하는 다중화부; 상기 다중화부를 통해 다중화된 GTC 하향 프레임들에 인증 암호화를 위해, GTC프레임 헤더를 AAD(Additional Authenticated Data)값으로 사용해 인증 파라미터를 생성하여 추가하는 인증 생성부; 상기 인증 파라미터가 추가된 GTC 하향 프레임을 광 신호로 변환하여 전송하는 전광 변환부를 포함하는 것을 특징으로 한다.
또한, 상기 목적을 달성하기 위한 본 발명에 따른 광가입자장치(ONU)는, OLT로부터 광신호로 전달되는 ICV'가 포함된 GTC 하향 프레임을 수신하여 광전변환하는 광전 변환부; 상기 광전 변환된 ICV'가 포함된 GTC 하향 프레임에 대해 OLT로부터 정상적인 해쉬 키값을 수신한 ONU 장치만이 GTC 프레임 헤더를 AAD값으로 이용하여 인증 여부를 체크하는 인증 체크부; 상기 인증이 확인된 GTC 하향 프레임을 헤더와 페이로드로 분리하여 전달하는 역다중화부; 상기 역다중화부로부터 분리된 헤더를 받아 이를 처리하는 헤더 처리부; 상기 역다중화부로부터 분리된 페이로드를 받아 이를 복호화하는 페이로드 복호화부; 상기 복호화된 페이로드를 처리하는 페이로드 처리부를 포함하는 것을 특징으로 한다.
또한, 상기 목적을 달성하기 위한 본 발명에 따른 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템에서 인증 암호화 방법은, 상기 GPON 시스템의 OLT에서 GTC 하향 프레임을 생성하는 제 1 단계; 상기 생성된 GTC 하향 프레임을 인증 모드를 통해 전송할 것인지 여부를 확인하는 제 2 단계; 상기 제 2 단계의 확인 결과 인증 모드이면, 상기 OLT에 인증을 위한 인증키가 존재하는지 검사하는 제 3 단계; 검사 결과, 인증키가 존재하면 상기 GTC 하향 프레임에 대한 상기 ONU별 인증을 위해 각각의 ONU로부터 제공받은 ONU 키값을 통해 생성되는 인증 키값을 이용한 해쉬 키값을 생성하고, 상기 해쉬 키값을 입력으로 하여 GF(2128) 다중화기의 연산을 통해 획득되는 인증 파라미터 값을 상기 GTC 하향 프레임 끝에 추가함으로 상기 GTC 하향 프레임을 인증 암호화하여 전송하는 제 4 단계; 상기 제 3 단계에서 확인 결과 인증 모드가 아닌 경우 내지 상기 제 3 단계의 검사 결과 인증키가 존재하지 않는 경우 중의 어느 하나의 경우에, 상기 GTC 하향 프레임을 전송하는 제 5 단계를 포함하는 것을 특징으로 한다.
또한, 상기 목적을 달성하기 위한 본 발명에 따른 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템에서 인증 복호화 방법은, 상기 GPON 시스템의 ONU가 GTC 하향 프레임을 수신하는 제1 단계; 상기 수신된 GTC 하향 프레임이 OLT에 의해 활성화되는 인증 모드로 처리될 것인지 여부를 확인하여, 인증 모드이면 수신된 GTC 하향 프레임을 저장하는 제 2 단계; 상기 ONU 내에 저장된 상기 GTC 하향 프레임에 대한 인증을 위한 인증키가 존재하는지 여부를 검사하는 제3 단계; 상기 검사 결과 상기 인증키가 존재하면, 상기 저장된 GTC 하향 프레임에 대한 인증을 체크하여 인증이 성공되면, 상기 저장된 GTC 하향 프레임을 역다중화부로 전송하여 상기 GTC 하향 프레임을 처리하는 제4 단계; 및 상기 제3 단계에서 인증키가 없는 경우 내지 상기 제4 단계에서 인증에 실패한 경우 중의 어느 하나의 경우, 상기 저장된 GTC 하향 프레임을 삭제하는 제5 단계를 포함하는 것을 특징으로 한다.
이하 본 발명의 바람직한 실시예의 상세한 설명이 첨부된 도면들을 참조하여 설명될 것이다. 도면들 중 참조번호 및 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 참조번호들 및 부호들로 나타내고 있음에 유의해야 한다. 하기에서 본 발명을 설명함에 있어, 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다.
도 3 은 본 발명에 따라 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템에 대한 일실시예 구성도이다.
도 3을 참조하면, 본 발명에 따라 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템은, 도 1에 도시된 종래의 GPON 시스템에서 인증 암호화를 위해 추가적으로 광종단장치(OLT)(31)와 광가입자장치(ONU)(32)에 각각 인증 생성부(GMAC)(305)과 인증 체크부(GMAC)(308)을 추가하는 구성이다.
따라서, 각각의 구성을 상하향 데이터를 만들기 위한 계층 구조의 측면에서 좀 더 상세히 살펴보면, OLT(31)는 대역에 대한 할당 정보인 DBA(Dynamic Bandwidth Allocation) 신호, PLOAM 정보를 전송하기 위한 PLOAM 신호 등을 수신하여 프레임 헤더를 생성하는 헤더 생성부(301), ATM SDU(Service Data Unit)와 GEM SDU(Service Data Unit)를 수신하여 각각 처리하는 페이로드 생성부(302), 페이로드 생성부(302)에서 ATM과 GEM으로 나뉘어 처리된 페이로드 신호를 수신하여 이를 각각 암호화하는 페이로드 암호화부(303), 헤더 생성부(301)에서 생성된 헤더와 페이로드 암호화부(303)에서 암호화된 페이로드를 하나의 GTC 하향 프레임(100)로 다중화하는 다중화부(304), 다중화된 GTC 하향 프레임(100)에 인증 암호화를 위한 인증 파라미터를 생성하여 추가하는 인증 생성부(305) 및 인증 파라미터가 추가된 GTC 하향 프레임을 광 신호로 변환하여 전송하는 전광 변환부(306)를 포함한다.
여기서 각각의 구성부를 좀 더 상세히 살펴보면, 상기 헤더 생성부(301)는 각각의 ONU(12)들의 상향 대역 정보를 나타내는 DBA 정보, 망 운용 관리 정보를 나타내는 PLOAM 신호, 동기 패턴 정보, GTC 하향 프레임 카운터, FEC 설정정보, 프레임 페이로드 길이 정보를 포함하는 프레임 헤더를 생성한다.
그리고 페이로드 생성부(302)는, 외부의 서비스 제공자로부터 ATM SDU(Service Data Unit)를 수신하여 처리하는 ATM Partition 모듈과 외부의 서비스 제공자로부터 GEM SDU(Service Data Unit)를 수신하여 처리하는 GEM Partition 모듈을 포함하여, ATM Partition 모듈에서는 5바이트의 ATM 헤더와 48바이트의 페이로드로 구성된 53바이트 길이의 ATM 셀을 처리하며, GEM Partition 모듈에서는 5바이트의 GEM 헤더와 4095바이트 범위 내에서 가변 길이의 페이로드로 구성된 GEM 프레임이 처리된다.
그리고, 페이로드 암호화부(303)는 128비트 CTR-AES 블록 암호화를 수행하는데, 30비트의 GTC 하향 프레임 카운터와 16비트의 블록 카운터를 조합하여 46비트의 암호화 카운터(Crypto-Counter)를 만들고, 이 암호화 카운터를 3개 연결하여 138비트의 랜덤 암호화 카운터 값을 생성한 후 상위 10비트를 삭제하고, 하위 128비트만을 암호화 블록 카운터 값으로 사용하여 암호화를 수행한다. 여기서, 30비트의 GTC 하향 프레임 카운터는 하향으로 프레임을 전송할 때 마다 1씩 증가되며, 16비트의 블록 카운터는 4바이트 단위로 카운터를 증가시키며 하나의 GTC 하향 프레임이 전송되면 "0"으로 초기화된다. 그리고, 페이로드 암호화부(303)에서 사용되는 128비트의 암호화 키는 각각의 ONU(32)로부터 생성되고, OLT(31)의 요구에 의해 수 신된다.
이와 같이, 페이로드 암호화부(303)에서 각각의 ONU(32)로부터 전달된 128비트의 ONU키를 이용하여 128비트의 암호화 블록 카운터 값이 암호화되면, 이 암호화 값은 128비트 페이로드 블록과 배타적 논리 연산(Exclusive-OR)을 수행하여, 페이로드에 대한 암호화를 수행한다. 그리고 암호화된 페이로드들은 다중화부(304)로 전송되며, 다중화부(304)는 헤더 생성부(301)로부터 전달된 프레임 헤더와 암호화된 페이로드를 다중화하여 GTC 하향 프레임을 생성한다.
그리고 인증 생성부(306)는, 다중화부(305)에서 다중화된 GTC 하향 프레임에 해당 GTC 하향 프레임에 대한 인증 파라미터 값을 계산하여 계산된 인증 파라미터 값을 해당 GTC 하향 프레임 끝에 추가한다.
그리고, 인증 파라미터값이 추가된 GTC 하향 프레임은 전광 변환부(306)를 통해 광신호로 변환되어 각각의 ONU(32)로 전달된다.
이때, GTC 하향 프레임을 생성하는 과정에서 헤더 생성부(301)에서 생성된 프레임 헤더(120)는 In-band 방식으로 처리되어 암호화되지 않고 GTC 하향 프레임(100) 속에 포함된다. 따라서, GTC 하향 프레임 헤더(120)는 암호화되지 않고 GTC 하향 프레임 페이로드(130) 속에 포함된 페이로드 정보만이 암호화되어 각각의 ONU(12)들에게 전송된다.
한편, ONU(optical network unit)(32)는, 광신호로 전달되는 GTC 하향 프레임을 수신하여 광전변환하는 광전 변환부(307), 광전 변환되 GTC 하향 프레임에 대한 인증 여부를 체크하는 인증 체크부(308), 인증이 확인된 GTC 하향 프레임을 헤 더와 페이로드로 분리하여 전달하는 역다중화부(309), 역다중화부(309)로부터 프레임 헤더를 받아 이를 처리하는 헤더 처리부(310), 역다중화부(309)로부터 페이로드를 받아 이를 복호화하는 페이로드 복호화부(311) 및 복호화된 페이로드를 처리하는 페이로드 처리부(312)를 포함한다.
여기서, 페이로드 복호화부(311)는 OLT(31)에서 사용되는 페이로드 암호화부(303)와 대응되는 기능을 수행하여, 페이로드 암호화부(303)에서 암호화된 ATM셀 및 GEM 프레임을 각각 복호화한다.
그리고, 페이로드 처리부(312)는 ATM Partition 모듈과 GEM Partition 모듈을 포함하여, ATM Partition 모듈에서는 5바이트의 ATM 헤더와 48바이트의 페이로드로 구성된 53바이트 길이의 ATM 셀을 처리하며, GEM Partition 모듈에서는 5바이트의 GEM 헤더와 4095바이트 범위 내에서 가변 길이의 페이로드로 구성된 GEM 프레임이 처리된다.
따라서, 이상의 구성에 따른 본 발명은, GTC 하향 프레임을 통해 프레임 페이로드에 포함된 정보를 암호화할 뿐 아니라, 해당 GTC 하향 프레임에 대한 인증 기능을 제공하여 모든 ONU(32)에게 전송함으로써 해당 ONU(32)가 아닌 경우에는 GTC 하향 프레임을 수신하여 처리할 수 없도록 한다.
여기서, 본 발명의 특징인 인증 생성부(305)와 인증 체크부(308)에 대해 좀 더 상세히 살펴 보면, 우선 인증 생성부(305)는 다중화부(304)에서 다중화된 GTC 하향 프레임에 대한 인증 파라미터 값을 계산하여 계산된 인증 파라미터 값을 해당 GTC 하향 프레임 끝에 추가하여 하향 전송한다.
이상에서, 인증 파라미터 값을 계산하는 과정은 여러 단계의 GF(Galois Field)(2128) 다중화기(Multiplier)를 사용하여 이루어지며, GF 다중화기는 128비트의 해쉬 키값을 사용한다. 이러한 128비트 해쉬 키값은 각각의 ONU(32)로부터 제공받은 ONU 키값을 이용하여 OLT(31)에서 생성된 인증 키값을 이용하여 페이로드 암호화부(303)를 통해 생성된다. 이에 대한 상세한 설명은 도 5a 내지 도 5b 를 통해 상세히 설명하기로 한다.
한편, 본 발명에 따른 인증 암호화를 위한 GTC 하향 프레임을 수신한 ONU(32)에서의 동작을 살펴보면, ONU(32)는 GTC 하향 프레임에 대한 인증 기능을 수행하기 전에 OLT(31)로부터 인증 키 값을 수신하여 저장한다. 이때, 인증 키값으로는 OLT(31)에서 생성된 해쉬 키값이 사용된다. 그리고, ONU(32)는 인증 암호화를 위한 GTC 하향 프레임이 수신되면, 인증 체크부(308)를 통해 해당 GTC 하향 프레임을 해당 ONU(32)에서 수신할 수 있는지에 대한 인증을 수행한다. 즉, ONU(32)에 저장된 인증 키값을 이용해 인증 파라미터 값을 계산하고 계산된 인증 파라미터 값과 인증 암호화된 GTC 하향 프레임의 끝에 첨부된 인증 파라미터 값을 비교함으로써 인증을 수행한다. 그 인증은 각각의 인증 파라미터 값을 비교한 결과, 두 개의 파라미터 값이 동일하면 인증 성공이므로 수신된 GTC 하향 프레임을 역 다중화부(309)로 전송하고, 동일하지 않으면 인증 실패이기 때문에 수신된 GTC 하향 프레임을 버린다.
도 4 는 본 발명에 따라 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템에서의 각 계층별 프레임의 구조에 대한 일실시예 예시도이다.
도 4를 참조하면, 본 발명에 따라 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템에서의 각 계층별 프레임의 구조는 크게 헤더 생성부/페이로드 생성부(301, 302), 암호화부(303), 다중화부(304) 및 인증 생성부(305)로 나뉜다.
각각의 영역에 대해 살펴보면, 우선 헤더 생성부/페이로드 생성부(301, 302)에서는 GTC 하향 프레임의 헤더 정보(400)와 PLOAM 메시지(401), 상향 대역할당 정보(402) 및 각각 ATM 셀(403)과 GEM 프레임(404)들이 각각 독립적으로 입력된다.
그리고, 암호화부(303)에서는 헤더 생성부/페이로드 생성부(301, 302)과 동일하지만, 입력된 ATM 셀(403)과 GEM 프레임(404)의 페이로드(405, 406)에 대한 암호화를 수행한다.
그리고 다중화부(304)에서는 헤더 정보(400), PLOAM메시지(401) 및 상향 대역할당 정보(402)를 이용하여 GTC 하향 프레임의 프레임 헤더(410)를 만들고, 암호화부(303)에서 암호화된 ATM 셀(405)을 먼저 GTC 하향 프레임 페이로드(411)에 싣는다. 그리고 ATM셀(405)을 싣고 남는 페이로드 공간에 암호화된 GEM 프레임(406)을 싣는다. 여기서, GTC 하향 프레임의 헤더(410) 내의 Psync, Ident, BIP, Plend 필드는 각각 헤더 정보(400)에 따른 것이다.
그리고 인증 생성부(305)에서는 다중화부(304)에서 생성된 GTC 하향 프레임에 대한 인증 파라미터인 ICV(Integrity Check Value) 값을 계산하여 GTC 하향 프레임 끝에 첨부한다. 이렇게 구성된 GTC 하향 프레임은 페이로드(411)에 전송되는 데이터에 대한 암호화와 GTC 하향 프레임 전체에 대한 인증을 함께 제공할 수 있게 된다.
한편, 인증 복호화를 위한 각 계층별 프레임 구조는 이와 반대이므로 이에 대해서는 당해 기술 분야에서 통상의 지식을 가진자에게 있어 자명한 것이다. 그러므로 여기서는 그에 대한 설명은 생략하기로 한다.
도 5a 내지 도 5b 는 도 3에 도시된 인증 생성부 및 인증 체크부에 대한 일실시예 구성도이다.
도 5a에 도시된 바와 같이, 인증 생성부(305)는 다중화된 GTC 하향 프레임을 입력받아 순차적으로 출력하는 데이터 입력기(51), 데이터 입력기(51)의 출력과 GF(2128) 곱셈기(53)의 출력을 논리합하는 연산기(52), 연산기(52)의 출력과 해쉬 값을 입력받아 GF(2128) 곱셈처리하는 GF(2128) 곱셈기(53) 및 GF(2128) 곱셈기(53)의 출력을 분기하여 연산기(52)로 입력하고 GF(2128) 곱셈기(53)의 최종 출력(506)을 ICV로 출력하는 분기기(54)를 포함한다.
그 동작을 좀 더 상세히 살펴보면, 데이터 입력기(51)로 GTC 상기 도 5a에 도시된 바와 같은 구조를 갖는 GTC 하향 프레임(500)이 입력되면, 데이터 입력기(51)는 GTC 하향 프레임의 헤더 정보를 128비트의 블록 단위로 분류하고 AAD(Additional Authenticated Data)(501)값으로 하여 연산기(52)로 출력된다. 그리고 AAD(501)값이 모두 연산기(52)로 출력되면 다음으로는 GTC 하향 프레임의 페이로드 정보가 128비트의 블록 단위로 분류되어 DATA(502)값으로 하여 연산기(52)로 출력된다. 그리고 GTC 하향 프레임의 헤더와 페이로드가 AAD(501)와 DATA(502)로 모두 입력되면, 데이터 입력부(51)는 마지막 AAD(501)값의 64비트와 마지막 DATA(502)값의 64비트를 조합하여 연산기(52)로 입력한다.
최초의 128비트의 AAD값(501)은 연산기(52)를 통해 초기 피드백 값(505)인 "0"과 배타적 논리연산을 수행한 후 GF(2128) 곱셈기(53)로 입력된다.
그리고, GF(2128) 곱셈기(53)는 연산기(52)를 통한 배타적 논리연산 값과 128비트의 해쉬 값(504)을 입력받아 GF(2128) 곱셈을 수행하고, 그 결과를 계속 분기기(54)를 통해 연산기(52)로 피드백한다(505). 그리고 데이터 입력기(51)를 통해 입력되는 데이터와 분기기(54)를 통해 피드백된 결과에 대한 배타적 논리연산을 수행하고 그 결과를 GF(2128) 곱셈기(53)로 입력한다. 이 동작은 GTC 하향 프레임의 헤더와 페이로드가 AAD(501)값과 DATA(502)값으로 모두 입력될 때까지 반복된다.
그리고, GTC 하향 프레임의 헤더와 페이로드가 AAD(501)값과 DATA(502)값으로 모두 입력되면, 데이터 입력기(51)는 마지막 AAD(501)값의 64비트와 마지막 DATA(502)값의 64비트를 조합한 값을 출력한다. 이 값은 연산기(52)와 GF(2128) 곱셈기(53)를 통해 연산된 후 해당 GTC 하향 프레임에 대한 인증 파라미터 값(506)으로 최종 출력된다. 이 인증 파라미터 값(506)은 ICV값으로 출력되어, GTC 하향 프레임의 후미에 추가하여 함께 전송된다.
한편, 도 5b에 도시된 바와 같은 인증 체크부(308)는, ICV'(509)가 포함된 GTC 하향 프레임(507)을 입력받아, ICV'(509)를 제외한 입력된 GTC 하향 프레임(508)을 GTC 프레임 메모리(56)에 임시 저장된다. ICV'(509)를 이용한 인증 결과에 따라 임시 저장된 ICV'(509)를 제외한 입력된 GTC 하향 프레임(508)을 전달하는 것을 결정한다. 인증 체크부(308)에서의 인증 과정은 OLT(32)로부터 전달된 ICV'(509)와 ICV'(509)를 제외한 GTC 하향 프레임을 데이터 입력부(51')에 입력하 여 계산한 ICV(506')를 ICV 비교기(55)를 통해 비교함으로써 수행된다.
인증 체크부(308)의 ICV 계산을 위한 구성을 살펴보면, 도 5a 와 대응됨을 알 수 있다. 즉, ICV'(509)를 제외한 입력된 GTC 하향 프레임(508)을 순차적으로 출력하는 데이터 입력기(51'), 데이터 입력기(51')의 출력과 GF(2128) 곱셈기(53')의 출력을 논리합하는 연산기(52'), 연산기(52')의 출력과 해쉬 값을 입력받아 GF(2128) 곱셈처리하는 GF(2128) 곱셈기(53') 및 GF(2128) 곱셈기(53')의 출력을 분기하여 연산기(52')로 입력하고 GF(2128) 곱셈기(53')의 최종 출력(506')을 ICV로 하여 ICV 비교기(55)로 출력하는 분기기(54')를 포함한다.
그 동작을 좀 더 상세히 살펴보면, 데이터 입력기(51')로 ICV'(509)를 제외한 입력된 GTC 하향 프레임(508)이 입력되면, 데이터 입력기(51')는 ICV'(509)를 제외한 입력된 GTC 하향 프레임(508)의 헤더 정보를 128비트의 블록 단위로 분류하고 AAD(Additional Authenticated Data)(501')값으로 하여 연산기(52')로 출력된다. 그리고 AAD(501')값이 모두 연산기(52')로 출력되면 다음으로는 ICV'(509)를 제외한 입력된 GTC 하향 프레임(508)의 페이로드 정보가 128비트의 블록 단위로 분류되어 DATA(502')값으로 하여 연산기(52')로 출력된다. 그리고 ICV'(509)를 제외한 입력된 GTC 하향 프레임(508)의 헤더와 페이로드가 AAD(501')와 DATA(502')로 모두 입력되면, 데이터 입력부(51')는 마지막 AAD(501')값의 64비트와 마지막 DATA(502')값의 64비트를 조합하여 연산기(52')로 입력한다.
최초의 128비트의 AAD값(501')은 연산기(52')를 통해 초기 피드백 값(505')인 "0"과 배타적 논리연산을 수행한 후 GF(2128) 곱셈기(53')로 입력된다.
그리고, GF(2128) 곱셈기(53')는 연산기(52')를 통한 배타적 논리연산 값과 128비트의 해쉬 값(504')을 입력받아 GF(2128) 곱셈을 수행하고, 그 결과를 계속 분기기(54')를 통해 연산기(52')로 피드백한다(505'). 그리고 데이터 입력기(51')를 통해 입력되는 데이터와 분기기(54')를 통해 피드백된 결과에 대한 배타적 논리연산을 수행하고 그 결과를 GF(2128) 곱셈기(53')로 입력한다. 이 동작은 GTC 하향 프레임의 헤더와 페이로드가 AAD(501')값과 DATA(502')값으로 모두 입력될 때까지 반복된다.
그리고, ICV'(509)를 제외한 입력된 GTC 하향 프레임(508)의 헤더와 페이로드가 AAD(501')값과 DATA(502')값으로 모두 입력되면, 데이터 입력기(51')는 마지막 AAD(501')값의 64비트와 마지막 DATA(502')값의 64비트를 조합한 값을 출력한다(503'). 이 값은 연산기(52')와 GF(2128) 곱셈기(53')를 통해 연산된 후 해당 GTC 하향 프레임에 대한 인증 파라미터 값(506')으로 최종 출력된다. 이 인증 파라미터 값(506')은 ICV값으로 출력되어, ICV 비교기(55)로 입력되어 인증을 수행한다.
ICV 비교기(55)는 OLT(31)로부터 전달받은 ICV'(509)가 포함된 GTC 하향 프레임(507)으로부터 ICV'(509)를 전달받고, 분기기(54')로부터 계산된 ICV값(506')을 전달받아 그 값이 동일한지를 비교한다.
만약 그 값이 동일하면 인증 성공이 되어 GTC 프레임 메모리(56)에 저장된 GTC 하향 프레임(508)을 역다중화부(309)로 전달한다. 그렇지 않으면 인증 실패가 되며, GTC 프레임 메모리(56)에 저장된 GTC 하향 프레임(508)은 역다중화부(309)로 전달되지 않고 삭제된다.
인증 생성부(305) 및 인증 체크부(308)에서 사용되는 해쉬 키값(504, 504')은 인증 암호화 키값이 업데이트되면 다중화부(304)에서 GTC 하향 프레임 헤더를 조립하는 동안 해당 인증 암호화 키값을 이용하여 페이로드 암호화부(303)를 통해 생성한다.
인증 생성부(305) 및 인증 체크부(308)에서의 인증 파라미터 값을 계산하는 식은 다음과 같다.
Figure 112005070988528-pat00001
Figure 112005070988528-pat00002
Figure 112005070988528-pat00003
Figure 112005070988528-pat00004
Figure 112005070988528-pat00005
Figure 112005070988528-pat00006
Figure 112005070988528-pat00007
여기서 m은 AAD값이 128비트의 블록 단위로 분류되는 정수 값이며, v는 AAD 값이 128비트의 정수로 분류된 후 남는 비트 수이다. n은 DATA값이 128비트의 블록 단위로 분류되는 정수 값이며, u는 DATA값이 128비트의 정수로 분류된 후 남는 비트 수이다.
도 6 은 본 발명에 따라 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템에서 인증 암호화 기능을 제공하기 위하여 ONU에 대한 인증 키 분배 및 인증 등록 과정에 대한 일실시예 타이밍도이다.
도 6에 도시된 바와 같이, OLT(600)는 인증 암호화 기능을 제공하기 위해서 먼저 각각의 ONU(601)에게 각각의 ONU별 키값을 요청하는 Key Request Message(S600)를 전송한다. 그리고, ONU(601)는 Key Request Message(S600)를 수신하여 128비트의 ONU키를 생성하고, 이를 2개의 Key Response Message(S601)를 통해 64비트씩 나누어 OLT(600)로 전송한다.
그리고, OLT(600)는 ONU(601)로부터 128비트의 ONU키를 수신하면(S602), 128비트의 인증 키를 생성한다(S603). 그리고 이 인증키를 이용해 128비트의 해쉬 값을 계산한다(S604).
그리고, OLT(600)는 생성된 해쉬 값을 ONU(601)에게 전달하기 위해 수신된 ONU키를 해쉬 값으로 이용해 Authentication Key Message(S605)를 인증하여 ONU(601)로 전송한다. Authentication Key Message(S605)는 64비트의 해쉬 값이 포함되며, 각각의 ONU(601)에게 3번 전송한다.
여기서, Authentication Key Message는 메시지 식별자 "20"을 가지며, 인증 기능을 위해 본 발명에 따라 새롭게 추가시킨 것이다.
그리고, ONU(601)는 자신의 ONU키를 이용하여 인증 체크를 수행하고(S606), 동일한 Authentication Key Message(S605)를 2번 수신하면 타당한 메시지로 간주하여 해당 메시지에 포함된 해쉬 값을 저장한다(S607). ONU(601)는 128비트의 해쉬 값을 모두 수신하면, 인증 체크를 수행할 수 있는 상태가 되며 인증 등록이 완료된다(602). 이러한 인증 등록을 위해 주고받는 메시지들은 PLOAM 메시지에 포함된다.
도 7 은 본 발명에 따라 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템에서 해킹 시도에 대한 개념 예시도이다.
도 7(a)에 도시된 바와 같이, 만약 해커(700)가 OLT와 Splitter사이의 공통 링크(S700)에 접속하여 프레임 변조를 가하는 경우, 모든 ONU의 인증 모듈은 GTC 하향 프레임에 대해 인증 실패가 발생되어 해당 해커로부터의 변조된 프레임을 차단한다(701). 이 경우에서 OLT는 ONU들의 상태를 감지하여 대체 링크로 전환해야 한다.
그리고, 도 7(b)와 같이, 만약 해커(702)가 Splitter와 특정 ONU사이의 링크(S701)에 접속하여 프레임 변조를 가하면, 이 ONU의 인증 모듈은 GTC 하향 프레임에 대해 인증 실패가 되어 해당 해커로부터의 변조된 프레임을 차단한다(703).
이와 같은 두 가지 경우에서, 해커는 OLT에 인증된 등록 상태가 아니기 때문에 인증 과정에서 하향 전송되는 GTC 프레임을 수신할 수 없기 때문에 모니터링 동작 역시 불가능하게 된다.
그리고, 도 7(c)와 같이, 만약 해커(705)가 OLT에 인증되지 않고 등록만 된 ONU를 통해 간단한 프로그램 조작으로 GTC 하향 프레임 정보를 수신하고자 한다면, 해당 ONU의 인증 모듈은 GTC 하향 프레임에 대해 인증을 할 수 없기 때문에 인증 실패가 되어 해당 GTC 프레임이 차단된다(704).
또는, 해커(705)가 OLT에 인증 등록된 ONU를 통해 간단한 프로그램 조작으로 GTC 하향 프레임 정보를 수신하고자 한다면, 해당 ONU의 인증 모듈은 GTC 하향 프레임에 대해 인증 성공되어, GTC 하향 프레임을 수신할 수 있으나 자신의 ONU 키를 가지고 있으므로 다른 ONU들의 페이로드 정보를 도청할 수는 없다. 만약 수신된 하향 프레임의 헤더정보를 이용해 다른 ONU들의 전송을 방해한다면, 해당 ONU는 OLT에 의해 강제로 비활성화될 것이다(705).
그리고, 도 7(d)와 같이, 해커(706)가 Splitter의 남는 포트에 접속한다거나(S702) 또는 Splitter와 특정 ONU 사이에 새로운 Splitter를 추가(S703)하여 GTC 하향 프레임을 수신하고자 한다면, 이 해커(706)는 OLT에 인증 등록되지 않았기 때문에 GTC 하향 프레임에 대한 인증 실패가 발생되어 차단된다.
도 8은 본 발명에 따라 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템에서 인증 암호화 방법에 대한 일실시예 동작 흐름도이다.
도 8에 도시된 바와 같이, 본 발명에 따라 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템에서 인증 암호화 방법은, 우선 페이로드를 암호화한 GTC 하향 프레임을 생성한다(S801).
그리고, 생성된 GTC 하향 프레임을 인증 모드를 통해 전송할 것인지 여부를 확인하여(S802) 인증 모드이면 인증을 위한 인증키가 존재하는지 검사한다(S803).
그 결과, 인증키가 존재하면(S803) 생성된 GTC 하향 프레임을 인증 암호화하여 인증 암호화된 GTC 하향 프레임을 전송한다(S805).
한편, 인증 모드가 아니거나(S802) 인증키가 존재하지 않으면(S803), 페이로드에 대한 암호화만 수행하여 생성된 GTC 하향 프레임을 전송한다(S804).
여기서, 페이로드를 암호화한 GTC 하향 프레임을 예시하고 있으나, 본 발명의 내용에 있어서는 어떤 형식의 GTC 하향 프레임이 생성되어도 적용이 가능하다. 즉, 페이로드에 대한 암호화가 이루어지지 않은 GTC 하향 프레임에 대해서도 본 발명의 적용이 가능함은 자명하다.
도 9 는 본 발명에 따라 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템에서 인증 복호화 방법에 대한 일실시예 동작 흐름도이다.
도 9에 도시된 바와 같이, 본 발명에 따라 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템에서 인증 복호화 방법은, 우선 GPON 시스템의 ONU가 GTC 하향 프레임을 수신한다(S901).
그리고, 수신된 GTC 하향 프레임이 인증 모드를 통해 처리될 것인지 여부를 확인하여(S902) 인증 모드이면 수신된 GTC 하향 프레임을 저장한다(S903). 한편 인증 모드가 아니면, GTC 하향 프레임을 역다중화부로 전송하여 해당 GTC 하향 프레임을 처리한다(S909). 여기서, 인증 모드인지 여부는 수신된 GTC 하향 프레임에 대한 ONU별 인증을 위한 인증 파라미터 값이 GTC 하향 프레임 끝에 추가되어 있는지 여부를 판단함으로써 이루어진다.
그리고, ONU 내에 수신된 GTC 하향 프레임에 대한 인증을 위한 인증키가 존 재하는지 검사한다(S904).
그 결과, 인증키가 존재하면(S904) 수신된 GTC 하향 프레임에 대한 인증을 체크한다(S905). 인증 체크 결과 인증이 성공하면(S906), 저장된 GTC 하향 프레임을 역다중화부로 전송하여 해당 GTC 하향 프레임을 처리한다(S908).
한편, 인증키가 없거나(S904), 인증에 실패한 경우(S906), 저장된 GTC 하향 프레임을 삭제한다(S907).
본 발명에 따른 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템에서 인증 암호화 방법 및 복호화 방법은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현할 수 있다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광데이터 저장장치 등이 있으며, 또한 인터넷을 통한 전송과 같이 캐리어 웨이브의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수도 있다.
한편 본 발명의 상세한 설명에서는 구체적인 실시예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 안되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
상기와 같은 본 발명에 따르면, OLT에 의해 인증 등록된 ONU들만이 정상적으로 GTC 하향 프레임 정보를 수신할 수 있도록 함으로써, GPON 시스템에서 발생되는 다양한 해커들의 공격들을 차단할 수 있는 이점이 있다.

Claims (22)

  1. 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON(Gigabit-capable Passive Optical Networks) 시스템에 있어서,
    외부의 서비스 제공자로부터 데이터를 전달받아 GTC(GPON Transmission Convergence) 하향 프레임을 생성하여 하향 전송하는 광종단장치(OLT)와,
    상기 OLT로부터 하향 전송된 GTC 하향 프레임을 수신하여 이를 처리하는 광가입자장치(ONU)를 포함하되,
    상기 OLT는, 상기 생성된 GTC 하향 프레임에 대한 상기 ONU별 인증을 위해 GF(Galois Field)(2128) 다중화기(Multiplier)를 포함하는 인증 생성부를 구비하여, 각각의 ONU로부터 제공받은 ONU 키값을 통해 생성되는 인증 키값을 이용한 해쉬 키값을 생성하고, 상기 해쉬 키값을 입력으로 하여 상기 GF(2128) 다중화기의 연산을 통해 획득되는 인증 파라미터 값을 상기 GTC 하향 프레임 끝에 추가함으로 상기 생성된 GTC 하향 프레임에 대한 인증 암호화를 수행하도록 하고,
    상기 ONU는, 인증 체크부를 구비하여 상기 인증 암호화된 GTC 하향 프레임에 대한 인증 성공 여부에 따라 상기 GTC 하향 데이터의 수신 여부를 결정하도록 하는 것을 특징으로 하는 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템.
  2. 삭제
  3. 삭제
  4. 제1항에 있어서, 상기 인증 체크부는,
    상기 ONU가 가지고 있는 인증키를 입력으로 하여, 기 포함하는 GF(Galois Field)(2128) 다중화기(Multiplier)를 이용한 연산을 통해 얻어지는 값을,
    상기 인증 파라미터 값과 비교하여 인증 성공 여부를 결정하는 것을 특징으로 하는 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템.
  5. 제4항에 있어서, 상기 인증 체크부는,
    상기 인증 파라미터 값과 상기 연산을 통해 얻어지는 값이 동일하면 상기 GTC 하향 프레임에 대한 인증이 성공한 것으로 취급하며,
    상기 인증 파라미터 값과 상기 연산을 통해 얻어지는 값이 동일하지 않으면 상기 GTC 하향 프레임에 대한 인증이 실패한 것으로 취급하는 것을 특징으로 하는 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템.
  6. 제5항에 있어서, 상기 인증 체크부는,
    상기 인증 암호화된 GTC 하향 프레임을 저장하는 GTC 프레임 저장부를 구비하여, 인증 성공인 경우 상기 GTC 프레임 저장부에 저장된 GTC 하향 프레임을 수신하여 처리하고, 인증 실패인 경우에는 상기 GTC 저장부에 저장된 GTC 하향 프레임을 삭제하는 것을 특징으로 하는 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템.
  7. 제4항에 있어서, 상기 인증키는,
    상기 OLT로부터 전달받은 상기 해쉬 키값임을 특징으로 하는 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템.
  8. 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON(Gigabit-capable Passive Optical Networks) 시스템의 광종단장치(OLT)에 있어서,
    프레임 헤더를 생성하는 헤더 생성부;
    ATM SDU(Service Data Unit)와 GEM SDU(Service Data Unit)를 수신하여 각각 처리하는 페이로드 생성부;
    상기 페이로드 생성부에서 ATM과 GEM으로 나뉘어 처리된 페이로드 신호를 수신하여 이를 각각 암호화하는 페이로드 암호화부;
    상기 헤더 생성부에서 생성된 헤더와 상기 페이로드 암호화부에서 암호화된 페이로드를 하나의 GTC 하향 프레임으로 다중화하는 다중화부;
    상기 다중화부를 통해 다중화된 GTC 하향 프레임들에 인증 암호화를 위해, GTC프레임 헤더를 AAD(Additional Authenticated Data)값으로 사용해 인증 파라미터를 생성하여 추가하는 인증 생성부; 및
    상기 인증 파라미터가 추가된 GTC 하향 프레임을 광 신호로 변환하여 전송하는 전광 변환부를 포함하는 것을 특징으로 하는 광종단장치(OLT).
  9. 제8항에 있어서, 상기 인증 생성부는,
    상기 다중화부를 통해 다중화된 GTC 하향 프레임을 입력받아 순차적으로 출력하는 데이터 입력기;
    상기 데이터 입력기의 출력과 GF(2128) 곱셈기의 출력을 논리합하는 연산기;
    상기 연산기의 출력과 해쉬 값을 입력받아 GF(2128) 곱셈처리하는 상기 GF(2128) 곱셈기; 및
    상기 GF(2128) 곱셈기의 출력을 분기하여 상기 연산기로 입력하고 상기 GF(2128) 곱셈기의 최종 출력을 상기 GTC 하향 프레임의 인증 암호화를 위한 인증 파라미터로 하여 상기 GTC 하향 프레임에 추가하도록 하는 분기기를 포함하는 것을 특징으로 하는 광종단장치(OLT).
  10. 제9항에 있어서, 상기 데이터 입력기는,
    상기 GTC 하향 프레임의 헤더 정보를 128비트의 블록 단위로 분류하고 이를 AAD(Additional Authenticated Data)값으로 하여 순차적으로 상기 연산기로 출력하고,
    상기 AAD값을 모두 출력한 후, 상기 GTC 하향 프레임의 페이로드 정보를 128비트의 블록 단위로 분류하고 이를 DATA값으로 하여 상기 연산기로 출력하며,
    상기 GTC 하향 프레임의 헤더 정보와 페이로드 정보가 상기 AAD와 상기 DATA로 모두 출력되면, 상기 AAD값의 마지막 64비트와 상기 DATA값의 마지막 64비트를 조합하여 상기 연산기로 입력하는 것을 특징으로 하는 광종단장치(OLT).
  11. 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON(Gigabit-capable Passive Optical Networks) 시스템의 광가입자장치(ONU)에 있어서,
    OLT로부터 광신호로 전달되는 ICV'가 포함된 GTC 하향 프레임을 수신하여 광전변환하는 광전 변환부;
    상기 광전 변환된 ICV'가 포함된 GTC 하향 프레임에 대해 OLT로부터 정상적인 해쉬 키값을 수신한 ONU 장치만이 GTC 프레임 헤더를 AAD값으로 이용하여 인증 여부를 체크하는 인증 체크부;
    상기 인증이 확인된 GTC 하향 프레임을 헤더와 페이로드로 분리하여 전달하는 역다중화부;
    상기 역다중화부로부터 분리된 헤더를 받아 이를 처리하는 헤더 처리부;
    상기 역다중화부로부터 분리된 페이로드를 받아 이를 복호화하는 페이로드 복호화부; 및
    상기 복호화된 페이로드를 처리하는 페이로드 처리부를 포함하는 것을 특징으로 하는 광가입자장치(ONU).
  12. 제11항에 있어서, 상기 인증 체크부는,
    상기 ICV'가 포함된 GTC 하향 프레임을 입력받아, ICV'를 제외한 입력된 GTC 하향 프레임을 임시저장하여 인증 결과에 따라 상기 역다중화부로 출력하는 GTC 프레임 메모리;
    상기 ICV'와 ICV'를 제외한 GTC 하향 프레임을 데이터 입력부에 입력하여 계산한 ICV를 비교하여 인증하고 그 결과를 상기 GTC 프레임 메모리에 전달하는 ICV 비교기;
    상기 ICV'를 제외한 GTC 하향 프레임을 순차적으로 출력하는 데이터 입력기;
    상기 데이터 입력기의 출력과 GF(2128) 곱셈기(53')의 출력을 논리합하는 연산기;
    상기 연산기의 출력과 해쉬 값을 입력받아 GF(2128) 곱셈처리하는 상기 GF(2128) 곱셈기; 상기 GF(2128) 곱셈기의 출력을 분기하여 상기 연산기로 입력하고 상기 GF(2128) 곱셈기의 최종 출력을 상기 ICV로 하여 출력하는 분기기; 및
    상기 ICV'와 상기 분기기에서 출력된 상기 ICV를 비교하여 인증하고 그 결과를 상기 GTC 프레임 메모리에 전달하는 ICV 비교기를 포함하는 것을 특징으로 하는 광가입자장치(ONU).
  13. 제12항에 있어서, 상기 ICV 비교기는,
    상기 ICV'와 상기 ICV가 동일하면 상기 GTC 하향 프레임에 대한 인증이 성공한 것으로 취급하며,
    상기 ICV'와 상기 ICV가 동일하지 않으면 상기 GTC 하향 프레임에 대한 인증이 실패한 것으로 취급하는 것을 특징으로 하는 광가입자장치(ONU).
  14. 제13항에 있어서, 상기 GTC 프레임 메모리는,
    상기 ICV'가 포함된 GTC 하향 프레임을 입력받아, ICV'를 제외한 입력된 GTC 하향 프레임을 임시저장하여 상기 ICV 비교기가 인증 성공을 알리는 경우, 상기 저장된 GTC 하향 프레임을 상기 역다중화부로 전달하고,
    상기 ICV 비교기가 인증 실패를 알리는 경우 상기 저장된 GTC 하향 프레임을 삭제하는 것을 특징으로 하는 광가입자장치(ONU).
  15. 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템에서 인증 암호화 방법에 있어서,
    상기 GPON 시스템의 OLT에서 GTC 하향 프레임을 생성하는 제 1 단계;
    상기 생성된 GTC 하향 프레임을 인증 모드를 통해 전송할 것인지 여부를 확인하는 제 2 단계;
    상기 제 2 단계의 확인 결과 인증 모드이면, 상기 OLT에 인증을 위한 인증키가 존재하는지 검사하는 제 3 단계;
    검사 결과, 인증키가 존재하면 상기 GTC 하향 프레임에 대한 상기 ONU별 인증을 위해 각각의 ONU로부터 제공받은 ONU 키값을 통해 생성되는 인증 키값을 이용한 해쉬 키값을 생성하고, 상기 해쉬 키값을 입력으로 하여 GF(2128) 다중화기의 연산을 통해 획득되는 인증 파라미터 값을 상기 GTC 하향 프레임 끝에 추가함으로 상기 GTC 하향 프레임을 인증 암호화하여 전송하는 제 4 단계; 및
    상기 제 3 단계에서 확인 결과 인증 모드가 아닌 경우 내지 상기 제 3 단계의 검사 결과 인증키가 존재하지 않는 경우 중의 어느 하나의 경우에, 상기 GTC 하향 프레임을 전송하는 제 5 단계를 포함하는 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템에서 인증 암호화 방법.
  16. 삭제
  17. 삭제
  18. 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템에서 인증 복호화 방법에 있어서,
    상기 GPON 시스템의 ONU가 GTC 하향 프레임을 수신하는 제 1 단계;
    상기 수신된 GTC 하향 프레임이 OLT에 의해 활성화되는 인증 모드로 처리될 것인지 여부를 확인하여, 인증 모드이면 수신된 GTC 하향 프레임을 저장하는 제 2 단계;
    상기 ONU 내에 저장된 상기 GTC 하향 프레임에 대한 인증을 위한 인증키가 존재하는지 여부를 검사하는 제 3 단계;
    상기 검사 결과 상기 인증키가 존재하면, 상기 저장된 GTC 하향 프레임에 대한 인증을 체크하여 인증이 성공되면, 상기 저장된 GTC 하향 프레임을 역다중화부로 전송하여 상기 GTC 하향 프레임을 처리하는 제 4 단계; 및
    상기 제 3 단계에서 인증키가 없는 경우 내지 상기 제 4 단계에서 인증에 실패한 경우 중의 어느 하나의 경우, 상기 저장된 GTC 하향 프레임을 삭제하는 제 5 단계를 포함하는 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템에서 인증 복호화 방법.
  19. 제18항에 있어서, 상기 제 2 단계에서, 인증 모드가 아니면, 상기 GTC 하향 프레임을 역다중화부로 전송하여 상기 GTC 하향 프레임을 처리하는 제 6 단계를 더 포함하는 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템에서 인증 복호화 방법.
  20. 제18항 또는 제19항에 있어서, 상기 인증 모드 여부는,
    상기 수신된 GTC 하향 프레임에 대한 상기 ONU별 인증을 위한 인증 파라미터 값이, 상기 GTC 하향 프레임 끝에 추가되어 있는지 여부를 판단함으로써 이루어지는 것을 특징으로 하는 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템에서 인증 복호화 방법.
  21. 제20항에 있어서, 상기 제 4 단계의 인증 체크 과정은,
    상기 ONU가 가지고 있는 인증키를 입력으로 하여, GF(Galois Field)(2128) 다중화기(Multiplier)를 이용하는 연산을 통해 얻어지는 값을,
    상기 인증 파라미터 값과 비교하여 인증 성공 여부를 결정하는 것을 특징으로 하는 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템에서 인증 복호화 방법.
  22. 제21항에 있어서, 상기 인증키는,
    상기 GPON 시스템의 OLT로부터 전달받은 해쉬 키값임을 특징으로 하는 인증 암호화를 통해 보안 전송을 가능하게 하는 GPON 시스템에서 인증 복호화 방법.
KR1020050117780A 2005-12-05 2005-12-05 인증 암호화를 통해 보안 전송을 가능하게 하는 gpon시스템 및 그 인증 암호화 방법 KR100715679B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020050117780A KR100715679B1 (ko) 2005-12-05 2005-12-05 인증 암호화를 통해 보안 전송을 가능하게 하는 gpon시스템 및 그 인증 암호화 방법
US11/589,031 US7853801B2 (en) 2005-12-05 2006-10-26 System and method for providing authenticated encryption in GPON network
JP2006296283A JP4558700B2 (ja) 2005-12-05 2006-10-31 認証暗号化を通じて保安伝送を可能にするgponシステム及びその認証暗号化方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050117780A KR100715679B1 (ko) 2005-12-05 2005-12-05 인증 암호화를 통해 보안 전송을 가능하게 하는 gpon시스템 및 그 인증 암호화 방법

Publications (1)

Publication Number Publication Date
KR100715679B1 true KR100715679B1 (ko) 2007-05-09

Family

ID=38242806

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050117780A KR100715679B1 (ko) 2005-12-05 2005-12-05 인증 암호화를 통해 보안 전송을 가능하게 하는 gpon시스템 및 그 인증 암호화 방법

Country Status (3)

Country Link
US (1) US7853801B2 (ko)
JP (1) JP4558700B2 (ko)
KR (1) KR100715679B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8983295B2 (en) 2012-12-24 2015-03-17 Electronics And Telecommunications Research Institute Optical line terminal and method of registering optical network terminal thereof

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005040889A1 (de) * 2005-08-29 2007-03-15 Siemens Ag Verfahren und Anordnung zum sicheren Übertragen von Daten in einem ein Mehrsprungverfahren nutzenden Kommunikationssystem
US9178713B1 (en) * 2006-11-28 2015-11-03 Marvell International Ltd. Optical line termination in a passive optical network
JP4333737B2 (ja) * 2006-12-26 2009-09-16 沖電気工業株式会社 ギガビット受動型光加入者ネットワークで用いられる信号処理装置及び信号処理方法
CN101282177B (zh) * 2007-04-06 2010-11-03 杭州华三通信技术有限公司 一种数据传输方法和终端
JP5053121B2 (ja) * 2008-02-22 2012-10-17 日本電信電話株式会社 光端局側の光送受信装置(osu)
US8351785B2 (en) 2008-04-21 2013-01-08 Futurewei Technologies, Inc. Gigabit passive optical network transmission convergence extension for next generation access
KR100982017B1 (ko) * 2008-10-02 2010-09-14 한국전자통신연구원 기가비트 수동형 광 통신망 장치에서 동일한 시리얼 넘버를가진 비 정상적인 광 가입자장치의 차단방법
WO2010060456A1 (en) * 2008-11-03 2010-06-03 Telecom Italia S.P.A. Method for increasing security in a passive optical network
US8850197B2 (en) * 2009-07-31 2014-09-30 Futurewei Technologies, Inc. Optical network terminal management control interface-based passive optical network security enhancement
CN101989888B (zh) * 2009-08-05 2014-03-12 中兴通讯股份有限公司 一种开启/关闭前向纠错编码功能的指示方法及系统
CN101827287B (zh) * 2010-05-14 2013-04-17 华为技术有限公司 无源光网络及其接入方法、光网络单元和光线路终端
US20110302283A1 (en) * 2010-06-03 2011-12-08 Niclas Nors Methods And Arrangements In A Passive Optical Network
CN103517162B (zh) * 2013-09-13 2017-02-15 南方电网科学研究院有限责任公司 一种基于xpon的通信系统及方法
US9571270B2 (en) 2013-11-29 2017-02-14 Portland State University Construction and uses of variable-input-length tweakable ciphers
US20150365192A1 (en) * 2014-06-16 2015-12-17 Electronics And Telecommunications Research Institute Method of tuning wavelength of tunable optical network unit (onu) in time and wavelength division multiplexing-passive optical network (twdm-pon)
CN104469561B (zh) * 2015-01-06 2018-01-02 烽火通信科技股份有限公司 Gpon系统中控制非法厂商onu接入能力的方法及装置
US20170125125A1 (en) 2015-10-30 2017-05-04 Texas Instruments Incorporated Area-efficient parallel test data path for embedded memories
GB2544491B (en) * 2015-11-17 2022-03-02 Airbus Defence & Space Ltd Improvements in and relating to communication links
JP6363163B2 (ja) * 2016-12-27 2018-07-25 株式会社ユニバーサルエンターテインメント 遊技機
US11489661B2 (en) * 2020-06-23 2022-11-01 Intel Corporation High throughput post quantum AES-GCM engine for TLS packet encryption and decryption
CN112929355A (zh) * 2021-01-29 2021-06-08 中兴通讯股份有限公司 一种光传送网的安全管理信息处理方法及装置
CN115225296B (zh) * 2021-04-16 2024-04-12 华为技术有限公司 一种加密数据的传输方法及相关设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030088643A (ko) * 2002-05-14 2003-11-20 삼성전자주식회사 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법
KR20040080011A (ko) * 2003-03-10 2004-09-18 삼성전자주식회사 Epon에서의 인증 방법과 인증 장치과 인증 장치 및상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로읽을 수 있는 기록매체
KR20050003642A (ko) * 2003-07-03 2005-01-12 삼성전자주식회사 기가 비트 수동 광가입자 망에서의 onu의 등록 방법
KR20050061807A (ko) * 2003-12-18 2005-06-23 삼성전자주식회사 암호화 키 교환을 통해 데이터를 안정적으로 전송할 수있는 기가비트 이더넷 기반의 수동 광가입자망 및 이를이용한 데이터 암호화 방법

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10107787A (ja) 1996-09-27 1998-04-24 Mitsubishi Corp データ管理システム
KR100352126B1 (ko) 2000-11-22 2002-09-12 엘지전자 주식회사 계층 2에서의 네트워크 보안방법
JP2003198532A (ja) 2001-12-27 2003-07-11 Mitsubishi Electric Corp 親局及び子局及び暗号化システム及び暗号化方法及び暗号化プログラム及び復号方法及び復号プログラム
KR100933167B1 (ko) * 2002-10-02 2009-12-21 삼성전자주식회사 트리 구조 네트워크 상에서의 인증과 프라이버시 보장을위한 전송 방법
US7535930B2 (en) * 2003-04-10 2009-05-19 Samsung Electronics Co., Ltd. GEM frame structure showing payload type of frame and method for processing data thereof
KR100547864B1 (ko) 2003-08-02 2006-01-31 삼성전자주식회사 Gpon에서의 데이터 처리 방법
KR100594128B1 (ko) * 2003-04-30 2006-06-28 삼성전자주식회사 기가 비트 수동 광가입자 망에서의 gem oam 프레임전송 방법
EP1580958B1 (en) * 2004-03-26 2010-12-15 Canon Kabushiki Kaisha Internet protocol tunnelling using templates
KR100675836B1 (ko) * 2004-12-10 2007-01-29 한국전자통신연구원 Epon 구간내에서의 링크 보안을 위한 인증 방법
KR100982017B1 (ko) * 2008-10-02 2010-09-14 한국전자통신연구원 기가비트 수동형 광 통신망 장치에서 동일한 시리얼 넘버를가진 비 정상적인 광 가입자장치의 차단방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030088643A (ko) * 2002-05-14 2003-11-20 삼성전자주식회사 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법
KR20040080011A (ko) * 2003-03-10 2004-09-18 삼성전자주식회사 Epon에서의 인증 방법과 인증 장치과 인증 장치 및상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로읽을 수 있는 기록매체
KR20050003642A (ko) * 2003-07-03 2005-01-12 삼성전자주식회사 기가 비트 수동 광가입자 망에서의 onu의 등록 방법
KR20050061807A (ko) * 2003-12-18 2005-06-23 삼성전자주식회사 암호화 키 교환을 통해 데이터를 안정적으로 전송할 수있는 기가비트 이더넷 기반의 수동 광가입자망 및 이를이용한 데이터 암호화 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
A Menezes 외 2명, Handbook of Applied Cryptography*

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8983295B2 (en) 2012-12-24 2015-03-17 Electronics And Telecommunications Research Institute Optical line terminal and method of registering optical network terminal thereof

Also Published As

Publication number Publication date
JP4558700B2 (ja) 2010-10-06
US20080040604A1 (en) 2008-02-14
JP2007159104A (ja) 2007-06-21
US7853801B2 (en) 2010-12-14

Similar Documents

Publication Publication Date Title
KR100715679B1 (ko) 인증 암호화를 통해 보안 전송을 가능하게 하는 gpon시스템 및 그 인증 암호화 방법
US9032209B2 (en) Optical network terminal management control interface-based passive optical network security enhancement
US7305551B2 (en) Method of transmitting security data in an ethernet passive optical network system
EP2351311B1 (en) Method for increasing security in a passive optical network
EP1830517A1 (en) A method, communication system, central and peripheral communication unit for packet oriented transfer of information
KR100723832B1 (ko) 링크 보안을 위한 매체 접근 제어 보안 장치 및 송수신방법
Hajduczenia et al. On EPON security issues
KR100594023B1 (ko) 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법
JP6040631B2 (ja) 暗号化装置及び暗号化システム
Velentzas et al. Security Mechanisms For ATM PONS

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee