KR101370272B1 - 광 네트워크 단말 관리 제어 인터페이스에 기초한 수동 광 네트워크 보안성 강화 - Google Patents

광 네트워크 단말 관리 제어 인터페이스에 기초한 수동 광 네트워크 보안성 강화 Download PDF

Info

Publication number
KR101370272B1
KR101370272B1 KR1020127003798A KR20127003798A KR101370272B1 KR 101370272 B1 KR101370272 B1 KR 101370272B1 KR 1020127003798 A KR1020127003798 A KR 1020127003798A KR 20127003798 A KR20127003798 A KR 20127003798A KR 101370272 B1 KR101370272 B1 KR 101370272B1
Authority
KR
South Korea
Prior art keywords
olt
attribute
authentication
onu
state
Prior art date
Application number
KR1020127003798A
Other languages
English (en)
Other versions
KR20120048625A (ko
Inventor
제이. 에펜버거 프랭크
Original Assignee
후아웨이 테크놀러지 컴퍼니 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 후아웨이 테크놀러지 컴퍼니 리미티드 filed Critical 후아웨이 테크놀러지 컴퍼니 리미티드
Publication of KR20120048625A publication Critical patent/KR20120048625A/ko
Application granted granted Critical
Publication of KR101370272B1 publication Critical patent/KR101370272B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B10/00Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/0001Selecting arrangements for multiplex systems using optical switching
    • H04Q11/0062Network aspects
    • H04Q11/0067Provisions for optical access or distribution networks, e.g. Gigabit Ethernet Passive Optical Network (GE-PON), ATM-based Passive Optical Network (A-PON), PON-Ring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/0001Selecting arrangements for multiplex systems using optical switching
    • H04Q11/0062Network aspects
    • H04Q2011/0079Operation or maintenance aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/0001Selecting arrangements for multiplex systems using optical switching
    • H04Q11/0062Network aspects
    • H04Q2011/0088Signalling aspects

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

장치는, 메모리와 연결되고 광망 종단 장치(ONU) 관리 제어 인터페이스(ONU management control interface, OMCI) 채널을 통해 광망 종단 장치의 관리 엔티티( management entity, ME)의 복수의 속성을 이용하여 보안 정보를 교환하도록 구성된 적어도 하나의 프로세서를 포함하며, 관리 엔티티는 광망 종단 장치와 광 회선 단말(OLT) 사이의 업스트림 전송을 보호하는 복수의 보안 함수를 지원한다.
또한, 하나의 장치는 OLT와 연결되도록 구성되고, OMCI ME를 포함하는 ONU를 포함하고, OMCI ME는 ONU와 OLT 사이의 업스트림 전송을 위한 복수의 보안 특징을 지원하는 복수의 속성을 포함하며, 이 속성은 ONU와 OLT 사이에서 OMCI 채널을 통해 통신되고, ONU와 OLT를 위한 보안 특징을 제공한다.

Description

광 네트워크 단말 관리 제어 인터페이스에 기초한 수동 광 네트워크 보안성 강화{OPTICAL NETWORK TERMINAL MANAGEMENT CONTROL INTERFACE-BASED PASSIVE OPTICAL NETWORK SECURITY ENHANCEMENT}
본 출원은, 그것의 전체로서 복제된 것처럼 참조에 의해 본 명세서에 원용된 것인, 2009년 7월 31에 출원된 미국 임시 특허 출원 61/230,520호 및 2009년 7월 27에 출원된 미국 특허 출원 US12/844173호에 대한 우선권을 주장한다.
본 발명은, 광 네트워크 단말 관리 제어 인터페이스에 기초한 수동 광 네트워크 보안성 강화에 관한 것이다.
수동 광 네트워크(passive optical network, PON)는 "라스트 마일(the last mile)"을 통해 네트워크 액세스(access)를 제공하기 위한 하나의 시스템이다. PON은 중앙국(central office)의 광 회선 단말(optical line terminal, OLT), 광 분배 네트워크(optical distribution network, ODN), 및 커스터머(customer) 지점의 복수의 광망 종단 장치(optical network units, ONUs)로 구성된 일점-대-다점 네트워크(multi-point network)이다. 다운스트림(downstream) 데이터 전송은 모든 ONUs에 배분되는 반면, 업스트림(upstream) 데이터 전송은 시간 분할 다중 접속(time division multiple access, TDMA) 또는 파장 분할 다중 접속(wavelength division multiple access, WDMA)을 이용하여 OLT로 전송되어 진다. 기가비트 PON(gigabit PONs)과 같은 PON 시스템은, 예컨대 다운스트림 브로드캐스트와 같은, 사용자 데이터를 보호하기 위한 보안 특징을 지원할 수 있다. 예를 들면, OLT로부터 ONU로의 브로드캐스트 전송은 암호화될 수 있다.
PON 시스템에서, OLT에서 ONU로의 다운스트림 브로드캐스트 전송은 악의적 의도의 사용자에 의해 시도되는 도청 위협(eavesdropping threat)과 같은 보안 위협을 받기 쉽다. 예를 들면, 미가입자가 인증되지 않은 채널 및/또는 타임슬롯(timeslots)을 OLT로부터 수신하기 위해 시도될 수 있다. 그러한 보안 위협을 극복하기 위해, 전형적으로는 다운스트림 브로드캐스트는 암호화된다. 업스트림 전송도 암호화 될 수 있다. 그러나, 업스트림 전송은 합법적인 또는 인증된 ONUs는 PON의 물리적인 아키텍쳐 및 광신호의 지향적인 성질에 기인하여 다른 ONUs로부터 업스트림 전송을 받지 못하기 때문에 다운스트림 브로드캐스트 전송에 비해 더 안전하게 보호될 수 있다. 그러므로, 기밀(privileged) 정보는 전형적으로 명확한 텍스트의 형식, 예컨대 암호화 되지 않은 형식으로 ONUs로부터 업스트림으로 전송된다. 그러나, 광 전송 케이블의 도청과 같은 강화된 공격 방법은, 여전히 PON 시스템에 대한 보안상 우려를 가져온다. 그러므로, 예컨대 암호 키 및/또는 다른 패스워드 정보를 보호하는 것과 같은, PON 시스템의 다운스트림 및/또는 업스트림 전송을 위한 보안 개선책들이 요구될 수 있다.
보안 개선책을 제공하는 수단이 이전부터 제안되었으나, 이는 전형적으로 PLOAM 채널의 변경을 요구하였다. PLOAM 과정이 일반적으로 물리 계층에서 이루어지기 때문에, PLOAM을 변경하는 것은, 예컨대 ONU 및/또는 OLTs와 같은, 복수의 네트워크 구성요소의 하드웨어 업그레이드를 포함할 수 있다. PLOAM 채널은 소프트웨어를 통해 쉽게 변경될 수 없으며, 시스템 구성요소의 하드웨어를 갱신하기 위해 원격 필드 설치(remote field installation)를 요구할 수 있다. 그 결과, 이전부터 제안된 PLOAM 채널의 변경에 기초한 보안 개선책들은 실용적 또는 비용면에서 효율적일 수 없었다.
일 실시예에서, 본 명세서는 광망 종단 장치 관리 제어 인터페이스(Optical network unit Management Control Interface, OMCI) 채널을 통해, 광망 종단 장치(Optical Network Unit, ONU)의 관리 엔티티(Management Entity, ME) 내의 복수의 속성을 이용하여, 보안 정보를 교환하도록 구성되고, 메모리와 연결된 적어도 하나의 프로세서를 포함하며, 관리 엔티티는, 광망 종단 장치와 광 회선 단말(Optical Line Terminal, OLT) 사이의 업스트림 전송을 보호하는 복수의 보안 함수를 지원하는 장치를 포함한다.
일 실시예에서, 본 명세서는 광 회선 단말(OLT)에 연결되도록 구성되고, 광망 종단 장치 관리 제어 인터페이스(OMCI) 관리 엔티티(ME)를 포함하는 광망 종단 장치(ONU), 를 포함하고, 광망 종단 장치 관리 제어 인터페이스 관리 엔티티는, 광망 종단 장치와 광 회선 단말 사이의 업스트림 전송을 위한 복수의 보안 특징을 지원하는 복수의 속성을 포함하며, 속성은, OMCI ME 채널을 통해 광망 종단 장치와 광 회선 단말 사이에서 통신되고, 광망 종단 장치와 광 회선 단말을 위한 보안 특징을 제공하는, 장치를 포함한다.
다른 실시예에서, 본 명세서는 광망 종단 장치 관리 제어 인터페이스(OMCI)를 이용하여 광망 종단 장치(ONU)와 복수의 보안 속성을 교환하는 것에 의해 광망 종단 장치로부터의 업스트림 통신을 위한 복수의 보안 특징을 제공하는 단계를 포함하고, 속성은, 광 회선 단말 및 광망 종단 장치 사이에서 물리 계층의 작용, 지배, 및 관리(PLOAM) 채널의 변경 없이 교환되는, 방법을 포함한다.
이러한 특징 및 다른 특징은, 도면과 청구항이 수반된 이하의 상세한 설명으로부터 더 명확하게 이해될 수 있다.
본 명세서의 더 완전한 이해를 위해, 이하의 간단한 설명을 위한 부호가 제공되고, 수반하는 도면 및 상세한 설명과 관련하여, 유사한 도면 부호는 유사한 부분을 표시하는 것으로 사용된다.
도 1은, PON의 실시예에 관한 개략적인 도면이다.
도 2는, ONU의 실시예에 관한 개략적인 도면이다.
도 3은, 인증 메시지 교환 시퀀스(authentication message exchange sequence)의 실시예를 나타내는 프로토콜 도면이다.
도 4는, 복수의 ONU 상태의 실시예를 보여주는 개략적인 도면이다.
도 5는, 범용 컴퓨터 시스템의 실시예를 보여주는 개략적인 도면을 도시한다.
비록 하나 이상의 구성에 대한 실시예가 이하에 제공되더라도, 개시된 시스템 및/또는 방법은, 현재 알려졌는지 또는 현존하는지 여부를 불문하고, 어떠한 기술을 이용하여 이행될 수 있는 것으로 이해될 것이다. 본 명세서는 개시된 실시예, 도면, 및 이하의 개시된 기술로 제한되지 않을 것이며, 여기에 개시 또는 설명된 전형적인 설계와 실시예를 포함하나, 첨부된 청구범위의 범위 및 그와 동등한 전체 범위 내에서 수정될 수 있다.
여기에 개시된 것은 PON 시스템에서 향상된 보안성을 제공하기 위한 방법 및 시스템이다. 보안성은 복수의 보안 특징을 제공하기 위해 사용될 수 있는 OMCI 채널을 이용한 보안 파라미터 및 데이터의 교환에 의해 향상될 수 있다. 제공된 보안 특징은 보안 성능 발견(security capability discovery), ONU 인증, OLT 인증, 키 프라이버시, 또는 그것에 관한 조합들을 포함할 수 있다. 보안 특징은 OMCI 채널의 복수의 대응되는 속성을 연결하는 것에 의해 지원될 수 있다. 이 속성은 OMCI ME를 이용하여 OMCI 채널에 추가될 수 있다.
보안 특징은 소프트웨어 실행을 통해 OMCI에 의해 제공될 수 있으므로, 시스템 변경에 따른 실질적 어려움 없이 확장되거나 업그레이드될 수 있다. 따라서, 보안 특징은 PLOAM 채널의 실질적인 변경이나 수정없이 제공될 수 있다.
도 1은, PON(100)의 일 구성을 도시한다. PON(100)은 OLT(110), 복수의 ONUs(120), 및 OLT(110)과 ONUs(120)에 연결될 수 있는 ODN(130)을 포함할 수 있다. PON(100)은, 초당 10기가비트(Gbps)의 GPON(또는 XGPON)과 같은, 다운스트림 대역폭(bandwidth)이 약 10Gbps이며 업스트림 대역폭이 적어도 약 2.5Gbps인 차세대 액세스(next generation access, NGA) 시스템일 수 있다. 적절한 PONs(100)의 다른 예들은, 그것의 전체로서 복제된 것처럼 참조에 의해 본 명세서에 원용된 것인, 비동기 전송 방식 PON(asynchronous transfer mode PON, APON)과, 국제 전기 통신 연합 - 전기 통신 표준화 부문(International Telecommunication Union - Telecommunications Standadization Sector, ITU-T)의 G.983 표준에 의해 정의되는 광대역 PON(broadband PON, BPON), 국제 전기 전자 기술자 협회(Institute of Electrical and Electonics Engineers, IEEE)의 802.3ah 표준에 의해 정의되는 이더넷 PON(Ethernet PON, EPON), IEEE 802.3av 표준에 의해 정의되는 10G-EPON, 및 파장 분할 다중(Wavelength Division Multiplexed, WDM) PON(WPON)을 포함한다.
일 실시예에서, OLT(110)는 ONUs(120) 및 또 다른 네트워크(도시되지 않음)와 통신하도록 구성된 어떤 장치일 수 있다. 특히, OLT(110)는 다른 네트워크와 ONUs(120) 사이의 매개체로서 동작할 수 있다. 예를 들면, OLT(110)는 그러한 네트워크로부터 수신된 데이터를 ONUs(120)에 전달할 수도 있고, ONUs(120)로부터 수신된 데이터를 다른 네트워크로 전달할 수도 있다. 비록, OLT(110)의 구체적인 구성은 PON(100)의 타입에 따라 달라질 수 있으나, 일 실시예에서, OLT(110)는 송신기 및 수신기를 포함할 수 있다. 다른 네트워크가 이더넷 또는 동기적 광 통신망(synchronous optical networking, SONET) / 동기 디지털 계층(sychronous digital hierarchy, SDH)과 같은, PON(100)에서 사용되는 PON 프로토콜과 상이한 네트워크 프로토콜을 이용하고 있을 때, OLT(110)는 네트워크 프로토콜을 PON 프로토콜로 변환하는 변환기를 포함할 수 있다. OLT(110) 변환기는 PON 프로토콜을 네트워크 프로토콜로 변환할 수도 있다. OLT(110)는 전형적으로, 중앙국과 같은, 중앙 지점에 배치될 수 있으나, 다른 지점에도 마찬가지로 배치될 수 있다.
일 실시예에서, ONUs(120)는 OLT(110) 및 커스터머 또는 사용자(도시되지 않음)와 통신하도록 구성된 어떤 장치일 수 있다. 특히, ONUs(120)는 OLT(110)와 커스터머 사이의 매개체로서 동작할 수 있다. 예컨대, ONUs(120)는 OLT(110)로부터 수신된 데이터를 커스터머에게 전달할 수 있고, 커스터머로부터 수신된 데이터를 OLT(110)에게 전송할 수도 있다. 비록, ONUs(120)의 구체적인 구성은 PON(100)의 타입에 따라 달라질 수 있으나, 일 실시예에서, ONUs(120)은 OLT(110)로 광 신호를 전송하도록 구성된 광 송신기와 OLT(110)로부터 광 신호를 수신하도록 구성된 광 수신기를 포함할 수 있다. 추가적으로, ONUs(120)는, 이더넷 프로토콜의 신호와 같이, 커스터머를 위해 광 신호를 전기 신호로 변환하는 변환기를 포함할 수 있으며, 전기 신호를 커스터머 기기에 송신 및/또는 수신할 수 있는 제2 송신기 및/또는 제2 수신기를 포함할 수 있다. 일례에서, ONUs(120)와 광 네트워크 단말(ONTs)은 유사하며, 여기서 이들 용어는 상호 교환적으로 사용된다. 전형적으로, ONUs는, 커스터머 지점과 같은, 분포된 위치에 배치될 수 있으나, 다른 지점에도 마찬가지로 배치될 수 있다.
일 실시예에서, ODN(130)은, 광섬유 케이블, 커플러, 스플리터, 분배기, 및/또는 다른 장치들을 포함할 수 있는, 데이터 분배 시스템일 수 있다. 일 실시예에서, 광섬유 케이블, 커플러, 스플리터, 분배기, 및/또는 다른 장치는 수동형 광 구성요소일 수 있다. 특히, 광섬유 케이블, 커플러, 스플리터, 분배기, 및/또는 다른 장치는 OLT(110)과 ONUs(120) 사이에 데이터 신호를 분배하기 위한 어떠한 전력도 요구하지 않는 구성요소일 수 있다. 선택적으로, ODN(130)은, 광 증폭기와 같은 하나 또는 복수의 처리 장치를 포함할 수 있다. 선택적으로, ODN(130)은, 도 1에서 도시하는 것과 같이, OLT(110)에서 ONUs(120)로 전형적으로 분기하는 형태로 뻗어 있으나, 다르게는 일점-대-다점의 형태로도 구성될 수 있다.
일 실시예에서, ONUs(120) 및/또는 OLT(110)는, 예컨대 PON(100)에서 제어 정보를 교환하기 위해, OMCI를 이용하여 통신할 수 있다. 따라서, OLT는 ONUs(120)의 어떤 활동 및/또는 기능을 제어하기 위한 OMCI 채널을 확립할 수 있다. OMCI는 하나 이상의 서비스 정의 계층을 관리하는 데에 사용될 수 있다. 특히, OMCI는 복수의 ME를 포함하는 프로토콜에 의존하지 않는(protocol-independent) 관리 정보 베이스(management infomation base, MIB)를 이용하여, OLT(110)와 ONUs(120) 사이의 데이터 흐름을 설계할 수 있다. 그러한 구성은, 그것의 전체로서 복제된 것처럼 참조에 의해 본 명세서에 원용된 것인, GPON의 OMCI, ITU-T G984.4 및 그의 수정본에 기술되어 있다. OMCI에서, 커스터머 패킷은, IEEE 802.1p에 설명된 것과 같이, 그것의 전체로서 복제된 것처럼 참조에 의해 본 명세서에 원용된 것인, 가상 로컬 영역 네트워크(virtual local area networking, VLAN) 필터링을 이용하여 GPON 캡슐화 방법(GPON encapsulation method, GEM) 포트에 매핑될 수 있다.
ONU에서 OMCI는 소프트웨어 또는 하드웨어에 의해 구현되고, 여기서 새로운 MEs가, 예컨대 상이한 커스터머 요구를 만족시키는 성능과 같은, 추가적인 또는 새로운 성능을 지원하기 위해 추가될 수 있다. OMCI의 각각의 ME는 OMCI에 의해 지원되는 리소스 및/또는 서비스를 나타내는 데이터 아키텍쳐를 포함할 수 있다. 예를 들면, ME는 자신의 목적, 자신과 다른 MEs 사이의 관계, 자신의 속성, 또는 그것에 관한 조합을 기술할 수 있다. ME는 복수의 속성(attribute), 특성(properties), 속성 특성(attribute properties), 또는 이들의 조합을 포함할 수 있다. OMCI는, 그것의 전체로서 복제된 것처럼 참조에 의해 본 명세서에 원용된 것인, ITU-T recommendation G.983.2의 "ONU Management and Control Interface Specification for B-PON,", ITU-T recommendation G.984.4의 "Gigabit-Capable Passive Optical Networks(G-PON):ONU Management and Control Interface Specification," 또는 ITU-T recommendation G.988의 "ONU management and control interface(OMCI) specification,"에서 기술되어 있다.
일 실시예에서, OMCI는 PON 시스템의 보안성을 향상시키는 강화된 보안 제어 ME를 포함할 수 있다. 강화된 보안 제어 ME는 보안 성능 발견 함수, ONU 인증 함수, OLT 인증 함수, 및 키 프라이버시 함수를 포함할 수 있는 추가적인 보안 특징 및/또는 함수를 제공할 수 있다. OMCI ME는, 이하의 도 2와 함께 설명되어 지고 있는 것과 같이, 보안 함수를 지원하는, 예컨대 테이블 및/또는 파라미터 같은, 복수의 속성을 포함할 수 있다. 보안 함수 및 속성은 ONUs로부터의 업스트림 전송에 대해 보안 특징을 제공하거나, 선택적으로 OLT로부터의 다운스트림 전송의 보안을 추가하기 위해 사용될 수 있다.
보안 성능 발견 함수는 OLT 또는 ONU 중 어느 하나가 다른 구성요소의 하나 이상의 보안 성능의 존재 및/또는 가용성(availability)을 발견할 수 있도록 한다. 보안 성능 발견 함수는 네트워크 구성요소가 다른 구성요소의 보안 성능을 지원하는 하나 이상의 보안 알고리즘을 발견하는 것도 가능하게 할 수 있다. 부가적으로, 보안 성능 함수는 활성화할 보안 알고리즘을 구성요소가 선택하는 것을 가능하게 할 수 있다. 일 실시예에서, OLT는, OMCI 채널을 통해 OLT에 의해 제공될 수 있는 보안 성능 및/또는 알고리즘을 ONU에 알려주기 위한 보안 성능 발견 함수를 이용할 수 있다. 보안 성능 및/또는 알고리즘은, 예컨대 ONU에서 강화된 보안 제어 ME에서와 같은, ONU에서 하나 이상의 판독 가능한 및/또는 기록 가능한 속성 내에 ONU에 제공될 수 있다.
OLT는 ONU에 의해 지원되는 보안 성능 및/또는 알고리즘을 OMCI 채널을 통해 ONU로부터 수신하기 위해 보안 성능 발견 함수를 사용할 수 있다. 보안 성능 및/또는 알고리즘은, 예컨대 ONU의 강화된 보안 제어 ME에서와 같은, 하나 이상의 판독 가능한 속성에 위치될 수 있으며, 보안 성능 및/또는 알고리즘의 존재를 나타내거나 및/또는 특정한 성능 및/또는 알고리즘에 대한 지원의 ONU의 레벨을 정의할 수 있다.
부가적으로, 보안 성능 발견 함수는, OLT가, ONU 인증 함수를 제공하기 위해 이용될 수 있는 하나 이상의 보안 알고리즘, OLT 인증 함수, 키 프라이버시 함수, 또는 그 조합을 지정하는 것을 허용할 수 있다. 일 실시예에서, 하나 이상의 이러한 보안 함수 기능/알고리즘은 OLT 또는 ONU를 대신하여 관리자에 의해 지정될 수 있다. 보안 성능 및 알고리즘은, 예컨대 ONU 인증 함수, OLT 인증 함수, 및/또는 키 프라이버시 함수의 개시 이전에, 보안 성능 발견 함수의 일부로서 지정될 수 있다. 선택적으로, 이러한 성능/알고리즘은 상이한 보안 함수를 수립하는 일부로서 지정될 수 있다.
ONU 인증 함수는 OLT가 ONU가 인증된 사용자인지 및/또는 하나 이상의 보안 자격 기준을 만족하는지를 증명하는 것을 가능하게 할 수 있다. 일 실시예에서, OLT는 OMCI 채널을 통해 ONU 인증 정보를 ONU와 교환할 수 있다. 예를 들면, ONU 인증 절차는 OMCI 채널을 이용하여 ONU와 OLT 사이에서 확립되는 시도-응답(challenge-response) 인증 절차를 포함할 수 있다. 시도-응답 인증 절차는, 그것의 전체로서 복제된 것처럼 참조에 의해 본 명세서에 원용된 것인, "Speciications for the Secure Hash Standard"로 명명된 연방 정보 처리 표준(Federal Information Processing Standards, FIPS) publication 제180-3호에서 설명된 인증 절차와 유사일 수 있다. 시도-응답 인증 절차 동안에, OLT는 OMCI 채널을 통해, 예컨대 난수(random generated number)와 같은, 난스(nonce)의 형식으로 시도를 ONU에 보낼 수 있다.
그 후에, ONU는 OMCI 채널을 통해 난스 및 상호 간에 공유되는 비밀의 해쉬 조합(hashed combination)을 포함하는 응답을 OLT에 보낼 수 있다. 예를 들면, OLT는 ONU의 OMCI ME에 난스를 기록할 수 있으며, 그 후에 OMCI ME로부터 해쉬 조합을 읽을 수 있다.
OLT는 해쉬 조합이 실질적으로 해당 해쉬 조합과는 별개로 OLT에 의해 계산될 수 있는 ONU 인증 값과 동일함을 증명하는 것에 의해 ONU를 인증할 수 있다. 일 실시예에서, OLT는 OMCI 채널을 통해, 해쉬 조합이 실질적으로 ONU 인증 값과 동일하다는 것을 판정한 이후에 ONU로 ONU 인증 확인 메시지를 보낼 수 있다. ONU 인증 확인 메시지는 ONU가 OLT에 의해 인증되었음을 지시할 수 있다.
OLT 인증 함수는, ONU가, 해당 OLT가 예컨대 ONU에게 할당된 정당한 OLT임을, 및/또는 해당 OLT가 하나 이상의 보안 자격 기준을 만족한다는 것을 증명할 수 있도록 한다. 일 실시예에서, ONU는 OMCI 채널을 통해 OLT 인증을 위해 필요한 정보를 OLT와 교환할 수 있다. 예를 들면, OLT 인증은 OMCI 채널을 이용하여 OLT와 ONU 사이에서 확립될 수 있는, 시도-응답 인증 절차를 포함할 수 있다. 시도-응답 인증 절차 동안에, ONU는 OMCI 채널을 통해 OLT에 난스의 형태로 시도를 보낼 수 있다. 이에 대한 응답으로, OLT는 OMCI 채널을 통해 난스 및 상호 간의 공유되는 비밀의 해쉬 조합을 가진 메시지를 ONU에 보낼 수 있다. 예를 들면, OLT는 ONU에 있는 OMCI ME로부터 난스를 읽을 수 있으며, 그 후 OMCI ME에 해쉬 조합을 기록할 수 있다. ONU는 해쉬 조합을 OLT를 인증하기 위해 ONU에 의해 계산되는 OLT 인증 값과 비교할 수 있다. 일 실시예에서, ONU는 OMCI 채널을 통해, 해쉬 조합이 실질적으로 OLT 인증 값과 동일하다는 것을 확인한 후에 OLT로 OLT 인증 확인 메시지를 보낼 수 있다. 해쉬 조합과 OLT 인증 값은 각각 OLT와 ONU에 의해 독립적으로 계산될 수 있다. 나아가, OLT 인증 과정에서 이용되는 난스 및 해쉬 조합은 ONU 인증 과정에서 이용되는 난스 및 해쉬 조합과 다를 수 있다.
키 프라이버시 함수는, OMCI 채널을 통해, OLT와 ONU가 암호화 키 및/또는 후속되는 업스트림 및/또는 다운스트림 전송을 위한 암호화 프로토콜을 확립하기 위한 다른 보안 파라미터 또는 정보를 교환할 수 있게 한다. 예를 들면, 키 프라이버시 함수는 OMCI 채널을 통해 OLT가 ONU로 키 정보를 보낼 수 있게 한다. 키 정보는 암호화 프로토콜을 확립하기 위해 이용되는 어떤 정보를 포함할 수 있다. 키 정보는 비대칭의(asymmetric) 키 알고리즘을 활용하는 공개(public) 키 프로토콜과 연관될 수 있다. 공개-키 암호 해독법에 이용될 수 있는 어떤 일반적인 기술들은, 그것의 전체로서 복제된 것처럼 참조에 의해 본 명세서에 원용된 것인, "Standard Specifications For Public-Key Cryptography"로 명명된 IEEE 표준 1363에서 설명될 수 있다. 공개-키 암호 해독법은, 공개 키는 광범위하게 분배될 수 있고 비밀 키는 기밀상태로 유지될 수 있는 경우에, 공개 키를 이용하여 데이터를 암호화하는 방법 및 비밀(private) 키를 이용하여 데이터를 해독하는 방법을 포함할 수 있다. 그러한 경우, 비밀 키는 수학적으로 공개 키로부터 유도될 수 없으며, 그러한 공개 키에 대한 소유가 없는 공격자는 암호화된 메시지의 해독으로부터 방해될 수 있다. 예를 들면, 키 프라이버시 함수는 OLT가 ONU의 OMCI에 공개 키를 쓰는 것을 허용할 수 있다. ONU는 이후 고급 암호화 표준(Advanced Encryption Standard, AES) 키를 공개 키와 함께 암호화 할 수 있고, PLOAM 채널에 암호화된 키를 보낼 수 있다. 그 후에, OLT는 암호화된 키를 얻을 수 있고, 암호화된 키로부터 AES 키를 얻을 수 있다.
다른 실시예에서, 보안 성능 발견 함수, ONU 인증 함수, OLT 인증 함수 및 키 프라이버시 함수는 단일 인증 함수 내에 통합되거나 또는 동시에 수행될 수 있다. 일 실시예에서, OLT는, 예컨대 강화된 보안 제어 ME에서 복수의 속성을 판독 및/또는 기록하는 것에 의해, OMCI 채널을 통해, OLT 및/또는 ONU에 속하는 ONU와 암호화 기능, 인증 정보, 및/또는 키 정보를 교환할 수 있다. 속성은 이하 상세히 설명하는 것과 같은 인증 메시지 교환 시퀀스에서 교환될 수 있다.
도 2는, 강화된 보안 제어 ME(210)를 포함할 수 있는 ONU(200)의 일 구성을 도시한다. 강화된 보안 제어 ME(210)는 복수의 ME 속성(220)(예컨대, A1-AN)을 포함할 수 있다. 이러한 ME 속성(220)은, 예컨대 테이블, 파라미터, 및/또는 시스템 변수들과 같은, ONU 및/또는 인증 메시지 교환 시퀀스에서의 상이한 특성을 기술하는 데이터를 포함할 수 있는 데이터 구조들을 나타낸다. ME 속성(220)은 ME ID 속성(ME ID attribute), OLT 암호 성능 속성(crypto capabilities attribute), OLT 랜덤 시도 테이블 속성(random challenge table attribute), OLT 시도 상태 속성(challenge status attributes), ONU 선택 암호 성능 속성(selected crypto capabilities attribute), ONU 랜덤 시도 테이블 속성(random challenge table attribute), ONU 인증 결과 테이블 속성(authentication result table attribute), OLT 인증 결과 테이블 속성(authentication result table attribute), OLT 결과 상태 속성(result status attribute), ONU 인증 상태 속성(authentication status attribute), 마스터 세션 키 이름 속성(master session key name attribute), 브로드캐스트 키 테이블 속성(broadcast key table attribute), 유효 키 길이 속성(effective key length attribute), 또는 그 조합들을 포함할 수 있다. 이러한 속성들은, 보안 성능 발견 함수에서와 같이 보안 특징 및/또는 함수, OLT 인증 함수, 키 프라이버시 함수, 또는 그 조합들을 지원하거나 제공하기 위해 이용될 수 있다. 따라서, 어떤 ME 속성(220)은 상이한 보안 함수에서 별도로 이용되거나, 적어도 어떤 보안 함수가 통합된 결합 보안 함수에서 함께 이용될 수 있다. 예를 들면, ME 속성(220)은, 대칭-키(symmetric-key) 기반의 3 단계 인증 과정(three step authentication process)을 이행하는데 이용될 수 있다.
ME ID 속성은 강화된 보안 제어 ME(210)의 각 인스턴스를 식별하는데 이용될 수 있다. 일 실시예에서, ONU와 연관된 강화된 보안 제어 ME(210)의 인스턴스가 하나일 수 있으며, 이때 그 인스턴스는 대략 0인 ME ID 값을 가질 수 있다. 일례에서, ONU와 연관된 강화된 보안 제어 ME(210)의 인스턴스가 여러개 있을 수 있고, 이때 그 각각의 인스턴스는 ME ID 값과 상이한 값을 가질 수 있다. ME ID 속성은 판독 가능하고, 약 2 바이트의 길이일 수 있다.
OLT 암호 성능 속성은 OLT에 의해 지원되거나 사용할 수 있는 하나 이상의 암호의 메카니즘을 지정할 수 있다. 일 실시예에서, OLT 암호 성능 속성은, 표 1과 같이, 비트맵의 각각의 비트가 알고리즘에 대응할 수 있는 경우에, 비트맵으로 포맷될 수 있다. 따라서, 해당 비트는 대응하는 암호 알고리즘 또는 인증 알고리즘이 OLT에 의해 지원됨을 지시하기 위해 1로 설정되거나, 대응되는 알고리즘이 OLT에 의해 지원되지 않음을 지시하기 위해 0으로 설정될 수 있다. OLT 암호 성능 속성은 기록 가능하며, 약 16 바이트의 길이일 수 있다. 어떤 경우에는, OLT 암호 성능 속성의 각각의 비트는 OLT가 어떠한 알고리즘도 지원하지 않음을 지시하기 위해 0으로 설정될 수 있다.
표 1은 OLT 암호 성능 속성 비트맵의 구성을 설명한다. 특히, 비트맵에서 상이한 비트 포지션은 상이한 암호 알고리즘과 대응할 수 있다. 예를 들면, 비트 포지션(Bit position) 1(최하위 비트, LSB)은 AES-CMAC-128 알고리즘에 대응할 수 있고, 비트 포지션 2는 HMAC-SHA-256 알고리즘에 대응할 수 있으며, 비트 포지션 3은 HMAC-SHA-512 알고리즘에 대응할 수 있고, 그리고 비트 포지션 4에서 128은 예비로 남는다.
Figure 112012011471911-pct00001
OLT 랜덤 시도 테이블 속성은 인증 시퀀스 동안 OLT에 의해 발현되는 랜덤 시도를 지정할 수 있다. 일 실시예에서, OLT 랜덤 시도 테이블 속성은 관리자에 의해 결정될 수 있는 N개의 엔트리(N은 정수)를 포함하는 테이블일 수 있다. 데이터 테이블의 각 엔트리는, 예컨대 약 17 바이트로 고정된 길이를 가질 수 있고, 여기서 각 엔트리의 첫 번째 바이트가 엔트리 인덱스 또는 엔트리 식별자를 포함할 수 있고 각 엔트리의 나머지 바이트가 내용을 포함할 수 있다. OLT는, 테이블에 엔트리를 기록할 수 있고 이후 ONU가, 예컨대 OLT 시도 상태 속성을 이용하여, 테이블 엔트리를 처리하도록 트리거한다. OLT 랜덤 시도 테이블 속성이 가변 개수의 엔트리 번호(예컨대 N)를 가질 수 있기 때문에, 필요하다면 랜덤 시도의 길이 및 복잡성은 인증 함수의 보안을 향상시키기 위해 증대될 수 있다. OLT 랜덤 시도 테이블 속성은 판독 가능하게 될 수 있으며, 기록 가능하게 될 수도 있고, 그리고 약 17xN 바이트의 길이일 수 있다.
OLT 시도 상태 속성은 OLT 암호 성능 속성 및/또는 OLT 랜덤 시도 테이블 속성의 상태를 제어하고 보고하기 위해 이용될 수 있다. 일 실시예에서, OLT 시도 상태 속성은, OLT 암호 성능 속성 및/또는 OLT 랜덤 시도 테이블 속성이 완전한 때 제1 또는 참(true) 불리안(boolean) 값(예컨대, 1)으로 설정되거나, OLT 암호 성능 속성 및/또는 OLT 랜덤 시도 테이블 속성이 완전하지 않은 때 제2 또는 거짓(false) 불리안 값(예컨대, 0)으로 설정될 수 있는 불리안 속성일 수 있다. 예를 들면, OLT는 OLT 암호 성능 속성 및/또는 OLT 랜덤 시도 테이블 속성에 기록하는 과정 이전 또는 과정 중에, OLT 시도 상태 속성을 거짓 값(예컨대, 0)으로 설정할 수 있다. 그 이후에, OLT는 OLT 암호 성능 속성 및/또는 OLT 랜덤 시도 테이블 속성에 기록하는 과정이 완료된 상태에서, OLT 시도 상태 속성을 참 값(예컨대, 1)으로 설정할 수 있다. OLT는 OLT 시도 상태 속성을 거짓 값으로 설정하고, OLT 암호 성능 속성 및/또는 OLT 랜덤 시도 테이블 속성에 복수의 엔트리를 기록하고, OLT 시도 상태 속성을 참 값으로 설정하고, 그런 다음 ONU가 OLT 암호 성능 속성 및/또는 OLT 랜덤 시도 테이블 속성의 컨텐츠를 처리하도록 트리거할 수 있다. OLT 시도 상태 속성은 판독 가능하고, 기록 가능하며, 약 1 바이트의 길이일 수 있다.
ONU 선택 암호 성능 속성은, 예컨대 인증 시퀀스에서, ONU에 의해 선택된 암호 성능을 지정할 수 있다. ONU 선택 암호 성능 속성은, 예컨대 OLT 암호 성능 속성 내에서, OLT에 의해 지원되는 알고리즘을 지시하는 값으로 설정될 수 있다. 이 값은 OLT 암호 성능 속성에서 1로 설정된 비트 포지션 중 하나를 지정할 수 있다.
ONU 랜덤 시도 테이블 속성은 인증 시퀀스 동안에 ONU에 의해 발생한 랜덤 시도를 지정할 수 있다. 일 실시예에서, ONU 랜덤 시도 테이블 속성은, 관리자에 의해 설정될 수 있는 P개의 엔트리(P는 정수)를 포함하는 테이블일 수 있다. 데이터 테이블의 각 엔트리는 예컨대 약 16 바이트와 같은 고정된 길이를 가질 수 있고, 여기서 각 엔트리의 첫 번째 바이트가 엔트리 인덱스 또는 엔트리 식별자를 포함할 수 있고 각 엔트리의 남은 바이트가 내용을 포함할 수 있다. ONU는 OLT 시도 상태 속성을 생성하는 OLT에 대한 응답으로 ONU 랜덤 시도 테이블 속성을 기록할 수 있다. ONU 랜덤 시도 테이블 속성을 생성한 이후에, 예컨대 속성 값 변경(attribute value change, AVC) 동작을 이용하여, ONU는 시도 테이블이 OLT가 테이블의 컨텐츠를 얻기 위한 겟/겟 넥스트(get/get-next) 시퀀스를 시작하도록 트리거하기 위해 확립되었음을 OLT에 통보한다. ONU 랜덤 시도 테이블 속성이 가변 개수의 엔트리 번호를 가질 수 있기 때문에, 랜덤 시도의 길이 및 복잡성은 인증 함수의 보안성을 향상시키기 위해 증대될 수 있다. ONU 랜덤 시도 테이블 속성은 판독 가능하며, 약 16xP 바이트의 길이일 수 있다.
ONU 인증 결과 테이블 속성은 ONU 선택 암호 성능 속성에 따라 ONU로 부터의 인증 시도의 결과를 지정할 수 있다. ONU 인증 결과 테이블 속성의 값은 다음과 같은 ONU에 의해 선택된 해쉬 함수를 이용하여 생성될 수 있다.
Figure 112012011471911-pct00002
"|"는 결합(concatenation)을 나타내며, ONU_selected_crypto_capabilities는 ONU에 의해 선택된 암호 성능을 나타낸다.
일 실시예에서, ONU 인증 결과 테이블 속성은, 관리자에 의해 결정될 수 있는, Q개의 엔트리(Q는 정수)를 포함하는 데이터 테이블일 수 있다. 데이터 테이블의 각 엔트리는, 예컨대 약 16 바이트와 같은, 고정된 길이를 가질 수 있다. ONU는 OLT 시도 상태 속성을 생성하는 OLT에 대한 응답으로 ONU 인증 결과 테이블 속성을 기록할 수 있다.
ONU 인증 결과 테이블 속성을 생성한 이후, ONU는, 예컨대 AVC 메시지 또는 알림을 이용하여, OLT가 테이블의 컨텐츠를 얻기 위한 겟/겟-넥스트 시퀀스를 시작하도록 트리거하기 위한 테이블이 확립되었음을 OLT에 통보할 수 있다. ONU 인증 응답 테이블 속성은 가변 개수의 엔트리 번호를 가질 수 있기 때문에, 해쉬 조합의 길이와 복잡성은 ONU 인증 함수의 보안성을 향상시키기 위해 필요에 따라 증대될 수 있다. ONU 인증 결과 테이블 속성은 판독 가능하며, 약 16xQ 바이트의 길이일 수 있다.
OLT 인증 결과 테이블 속성은 OLT로부터의 인증 계산의 결과를 지정할 수 있다. OLT 인증 결과 테이블 속성의 값은 다음과 같은 OLT에 의해 선택된 해쉬 함수를 이용하여 생성될 수 있다.
Figure 112012011471911-pct00003
ONU_serial_number는, ONU 시리얼 번호 속성에 의해 지정될 수 있는, ONU ME의 시리얼 번호를 나타낸다.
일 실시예에서, OLT 인증 결과 테이블 속성은, 관리자에 의해 설정될 수 있는 R개의 엔트리(R은 정수)를 포함하는 데이터 테이블일 수 있다. 데이터 테이블의 각 엔트리는 예컨대 약 17 바이트와 같은 고정된 길이를 가질 수 있고, 여기서 각 엔트리의 첫 번째 바이트가 엔트리 인덱스 또는 엔트리 식별자를 포함할 수 있고 각 엔트리의 남은 바이트가 내용을 포함할 수 있다. OLT는 OLT 인증 결과 테이블 속성에 엔트리를 기록할 수 있고, 그 후 ONU가 OLT 결과 상태 속성과 함께 테이블을 처리하도록 트리거할 수 있다. OLT 인증 결과 테이블이 가변 개수의 엔트리 번호를 가질 수 있기 때문에, 결과의 길이 및 복잡성은 필요에 따라 OLT 인증 함수의 보안성을 향상시키기 위해 증대될 수 있다. OLT 인증 응답 테이블은 기록 가능하고, 약 17xN 바이트의 길이일 수 있다.
OLT 결과 상태 속성은 OLT 인증 결과 테이블 속성의 상태를 제어 및/또는 보고하기 위해 이용될 수 있다. 일 실시예에서, OLT 결과 상태 속성은, ONU 인증 결과 테이블 속성이 완전한 때 약 1의 참(true) 불리안(boolean) 값으로 설정되거나, ONU 인증 결과 테이블 속성이 완전하지 않은 때 약 0의 거짓(false) 불리안 값으로 설정될 수 있는 불리안 속성일 수 있다. 예를 들면, OLT는 OLT 인증 결과 테이블 속성에 기록하는 과정 이전 또는 과정 중에, OLT 결과 상태 속성을 거짓 값(예컨대, 약 0)으로 설정할 수 있고, 이후에 OLT는 OLT 인증 결과 테이블 속성에 기록하는 과정이 완료된 상태에서, OLT 결과 상태 속성을 참 값(예컨대, 약 1)으로 설정할 수 있다. OLT는 OLT 인증 결과 상태 속성을 거짓 값으로 설정하고, OLT 인증 결과 테이블 속성에 복수의 엔트리를 기록하며, OLT 결과 상태 속성을 참 값으로 설정하고, 그런 다음 ONU가 OLT 결과 테이블 속성을 처리하도록 트리거할 수 있다. OLT 결과 상태 속성은 판독 가능하고, 기록 가능하며, 약 1 바이트의 길이일 수 있다.
ONU 인증 상태 속성은, ONU의 관점으로부터 인증 관계의 상태를 지시할 수 있다. ONU 인증 상태 속성은 ONU가, 예컨대 인증 절차가 활성화되지 않는 때와 같은, 비활성화 상태 S0에 있음을 지시하기 위해 약 0의 값을 가질 수 있다. ONU 인증 상태 속성은 ONU가, 예컨대 인증 절차가 진행중에 있는 때와 같은, OLT 시도 계류 상태(challenge pending state) S1에 있음을 지시하기 위해 약 1의 값을 가질 수 있다. ONU 인증 상태 속성은 ONU가 ONU 시도 계류 상태 S2에 있음을 지시하기 위해 약 2의 값을 가질 수 있다. ONU 인증 상태 속성은 ONU가, 예컨대 인증 과정이 완료되고 ONU가 OLT를 인증한 때와 같은, 인증 성공 상태 S3에 있음을 지시하기 위해 약 3의 값을 가질 수 있다. ONU 인증 상태 속성은 ONU가, 예컨대 인증 과정이 완료되고 ONU가 OLT를 인증하지 않은 때와 같은, 인증 실패 상태 S4에 있음을 지시하기 위해 약 4의 값을 가질 수 있다. 선택적으로, ONU 인증 상태 속성은 ONU가, 예컨대 인증 과정이 시작되었으나 완료할 수 없는 때와 같은, 인증 오류 상태 S5에 있음을 지시하기 위해 약 5의 값을 가질 수 있다. ONU 인증 속성이, 예컨대 인증 성공 상태 S3에 있는 것과 같은, 약 3의 값을 가질 때, 복수의 암호화 키는, 예컨대 그것의 전체로서 복제된 것처럼 참조에 의해 본 명세서에 원용된 것인 G.984에 설명된 마스터 세션 키 또는 G.987에 설명된 키 암호화 키를 이용하여, 전송 컨테이너(transmission container, TC) 계층에서 교환될 수 있다. OLT는 키 스위치를 시작하기 이전에 ONU 인증 상태 속성의 값을 확인할 수 있다. 부가적으로, OLT는 OMCI 채널을 통해 ONU로부터 AVC 메시지 또는 알림을 받는 것에 의해, 예컨대 상태 S1에서 S2로의 변경과 같은, ONU 인증 상태 속성의 상태의 변경에 대해 통지받을 수 있다. ONU 인증 상태 속성은 판독 가능하며, 1 바이트의 길이일 수 있다.
마스터 세션 키 이름 속성은, 예컨대 성공적인 인증 이후의, 현재 세션 키의 이름을 포함할 수 있다. 마스터 세션 키는 ONU에 의해 선택된 다음과 같은 해쉬 함수에 의해 정의될 수 있다.
Figure 112012011471911-pct00004
마스터 세션 키 이름 속성은 다음과 같이 정의될 수 있다.
Figure 112012011471911-pct00005
여기서, 0x 3141 5926 5358 9793 3141 5926 5358 9793의 번호는 ONU 시리얼 번호의 한 예이다. 만약 선택된 해쉬 함수가 128 비트보다 많이 생성한다면, 결과는, 예컨대 최상위의, 128 비트의 제일 왼쪽부터 절단될 수 있다. 마스터 세션 키의 종료에 있어서, 예컨대 마스터 키가 만료되는 ONU 리셋(reset) 또는 ONU 로컬 결정에 기인하여, ONU는 마스터 세션 키 이름 속성을 약 0의 시퀀스로 설정할 수 있다. 마스터 세션 키 이름 속성은 판독 가능하며, 약 16 바이트의 길이일 수 있다.
브로드캐스트 키 테이블 속성은 OLT에 의해 생성된 브로드캐스트 키를 포함할 수 있다. 브로드캐스트 키 테이블 속성은 하나 이상의 행(row)을 포함하는 테이블을 포함할 수 있다. 각 행은 행 제어 부분, 행 식별자 부분, 및 키 프래그먼트 부분을 포함할 수 있다. 행 제어는 약 1 바이트를 포함할 수 있으며, 행 식별자도 약 1 바이트를 포함할 수 있고, 키 프래그먼트는 약 16 바이트를 포함할 수 있다. 따라서, 브로드캐스트 키 테이블 속성은 판독 가능하며, 기록 가능하고, 선택적이며, 약 18*N 바이트의 길이일 수 있다.
행 제어는, 예컨대 행 식별자에 의해 지정된 행과 같은, 지정된 행에서 이루어지는 동작을 기술할 수 있다. 행 제어의 약 최하위 2 비트는, 예컨대 표 2에서 보이는 것과 같은, 세트(set) 동작 아래에서의 속성의 행동을 결정할 수 있다. 표 2에서, 최하위 2 비트는 지정된 행을 설정하기 위한 약 00, 지정된 행을 클리어 하기 위한 약 01, 전체 테이블을 클리어 하기 위한 약 10, 또는 예비 엔트리를 지시하기 위한 약 11로 설정될 수 있다. 나아가, 행 제어의 약 최상위 4 비트(most significant bits, MSBs)는 대응하는 키 프래그먼트의 길이를 지정할 수 있다. 행 제어의 남은 2 비트는 예비일 수 있다. 행 제어의 최하위 2 비트는 겟-넥스트 동작 아래에서 약 0으로 읽어질 수 있고, 셋 동작 아래에서 표 2와 밀접한 방법으로 행동할 수 있다.
Figure 112012011471911-pct00006
행 식별자는 지정된 행을 식별할 수 있다. 행 식별자의 약 최상위 2 비트는 암호화된 멀티캐스트(multicast) GPON 캡슐화 방법(GEM) 프레임의 헤더에서 보일 수 있는 키 인덱스를 나타낼 수 있다. 약 0의 키 인덱스는 클리어 텍스트를 지시할 수 있고, 행 식별자에는 나타나지 않을 수 있다. 행 식별자의 약 최하위 4 비트는 키 프래그먼트 번호를 식별할 수 있고 약 0부터 시작할 수 있다. 행 식별자의 남은 약 2 비트는 예비일 수 있다. 예를 들면, 키 부분은 키 암호화 키(key encrypt key, KEK)를 이용하는 AES-Electronic codebook(ECB)으로 암호화 될 수 있다.
유효 키 길이 속성은 ONU에 의해 생성된 키의 최대 유효 길이(예컨대 비트)를 지정할 수 있다. 유효 키 길이 속성은 판독 가능하며, 선택적이고, 약 2 바이트의 길이일 수 있다.
부가적으로 또는 선택적으로, ME 속성(220)은 인증 성능 속성(authentication capabilities attribute), ONU 인증 선택 속성(authentication selection attribute), ONU 인증 난스 테이블 속성(authentication nonce table attribute), ONU 인증 난스 상태 속성(authentication nonce status attribute), ONU 인증 응답 테이블 속성(authentication response table attribute), 또는 그 조합들을 포함할 수 있다. ME 속성(220)은 OLT 인증 선택 속성, OLT 인증 난스 테이블 속성, OLT 인증 응답 테이블 속성, OLT 인증 응답 상태 속성(authentication response status attribute), OLT 공개 키 기능 속성(public key capability attribute) , OLT 공개 키 선택 속성(public key selection attribute), OLT 공개 키 테이블 속성(public key table attribute), 또는 그 조합들을 포함할 수도 있다.
인증 성능 속성은 ONU에서 이용 가능한 인증 메카니즘 및/또는 ONU에 의해 지원되는 인증 알고리즘을 지정할 수 있다. 일 실시예에서, 인증 성능 속성은, 예컨대 표 3을 따르는 예와 같이, 비트맵의 형태로 포맷될 수 있고, 여기서 비트맵의 일부 또는 모든 비트가 인증 알고리즘에 대응할 수 있다. 따라서, 비트는 대응하는 인증 알고리즘이 ONU에 의해 지원됨을 지시하기 위해 약 1로 설정 되거나, 대응하는 인증 알고리즘이 ONU에 의해 지원되지 않음을 지시하기 위해 약 0으로 설정될 수 있다. 인증 성능 속성은 판독 가능하며, 약 16 바이트의 길이일 수 있다. 어떤 경우에는, 인증 성능 속성의 각 비트는 어떠한 인증 알고리즘도 ONU에 의해 지원되지 않음을 지시하기 위해 약 0으로 설정될 수 있다.
Figure 112012011471911-pct00007
ONU 인증 선택 속성은 ONU 인증 함수 동안에 사용되기 위한 인증 알고리즘을 지정할 수 있다. 예를 들면, ONU 인증 선택 속성은 인증 알고리즘이 ONU에 의해 지원됨을 지시하는 값으로 설정될 수 있다. 이 값은 인증 성능 속성에 기재될 수 있는 인증 알고리즘을 지시할 수 있다. ONU 인증 선택 속성은, 예컨대 ONU 인증 함수의 이행 중에, 해쉬 조합을 생성하기 위한 대응하는 인증 알고리즘을 사용하도록 ONU에 명령하기 위해 이용될 수 있다. ONU 인증 선택 속성은 판독 가능하고, 기록 가능하며, 약 1 바이트의 길이일 수 있다. ONU 인증 선택 속성은 어떠한 인증 알고리즘도 ONU 인증 함수에서 이용되지 않음을 지시하기 위해 약 0으로 설정될 수도 있다.
ONU 인증 난스 테이블 속성은 ONU 인증 함수에 이용될 수 있는 난스를 지정할 수 있다. 난스는 ONU 인증 함수의 보안성을 증대시키기 위한 목적으로 생성된 랜덤 또는 의사-랜덤 번호(pseudo-random number)일 수 있다. 일 실시예에서, ONU 인증 난스 테이블은 관리자에 의해 결정될 수 있는 N개의 엔트리(N은 정수)를 포함하는 데이터 테이블일 수 있다. 데이터 테이블의 각 엔트리는, 예컨대 약 25 바이트와 같이 고정된 길이를 가질 수 있고, 여기서 각 엔트리의 첫 번째 바이트가 엔트리 인덱스 또는 엔트리 식별자를 포함할 수 있고 각 엔트리의 남은 바이트가 내용을 포함할 수 있다. ONU 인증 난스 테이블이 가변 개수의 엔트리 번호(예컨대 N)를 가질 수 있기 때문에, 난스의 길이와 복잡성은 필요하다면 ONU 인증 함수의 보안성을 향상시키기 위해 증대될 수 있다. ONU 인증 난스 테이블은 판독 가능하며, 약 25xN 바이트의 길이일 수 있다.
ONU 인증 난스 상태 속성은 ONU 인증 함수 동안에 ONU 인증 난스 테이블 속성의 상태를 제어 및 보고하기 위해 이용될 수 있다. 일 실시예에서, ONU 인증 난스 상태 속성은 ONU 인증 테이블이 완전한 때에 제1 또는 참 불리안 값(예컨대, 1)으로 설정 되거나, ONU 인증 테이블이 불완전한 때에 제2 또는 거짓 불리안 값(예컨대, 0)으로 설정될 수 있다. 예를 들면, OLT는 ONU 인증 난스 테이블 속성에 난스를 기록하는 과정의 시작에서 ONU 인증 난스 상태를 약 0의 거짓 값으로 설정할 수 있으며, 그 이후에 ONU 인증 난스 테이블 속성에 난스를 기록하는 과정의 완료시에 약 1의 참 값으로 설정할 수 있다. 일 실시예에서, OLT는 OLT는 ONU 인증 난스 상태 속성을 거짓 값으로 설정하고, 복수의 엔트리를 ONU 인증 난스 테이블 속성의 테이블에 기록하며, ONU 인증 난스 상태 속성을 참 값으로 설정하고, 그런 다음 ONU가 ONU 인증 난스 테이블 속성을 처리하도록 트리거할 수 있다. ONU 인증 난스 상태 속성은 판독 가능하고, 기록 가능하며, 약 1 바이트의 길이일 수 있다.
ONU 인증 응답 테이블 속성은, 예컨대 해쉬 조합과 같은, ONU 인증 함수에서 이용될 수 있는 응답을 지정할 수 있다. ONU 인증 응답 테이블 속성은 ONU에 의해 계산되는 해쉬 조합을 포함할 수 있다. 해쉬 조합은, ONU 인증 선택 속성에 의해 지정되는 인증 알고리즘을 이용하여 난스를 처리하는 것에 의해 계산될 수 있다. OLT는 ONU 인증 응답 테이블 속성을 판독하여 해쉬 조합을 얻을 수 있다. OLT는 이후 해쉬 조합이 실질적으로 ONU 인증 값과 동일하다는 확인에 의해 ONU를 인증할 수 있다. 일 실시예에서, ONU 인증 응답 테이블 속성은 관리자에 의해 결정될 수 있는 M개의 엔트리(M은 정수)를 포함하는 데이터 테이블일 수 있다. 데이터 테이블의 각 엔트리는, 예컨대 25 바이트와 같은 고정된 길이를 가질 수 있고, 여기서 각 엔트리의 첫 번째 바이트가 엔트리 인덱스 또는 엔트리 식별자를 포함할 수 있고 각 엔트리의 남은 바이트가 내용을 포함할 수 있다. ONU 인증 응답 테이블 속성이 가변 개수의 엔트리 번호를 가질 수 있기 때문에, 해쉬 조합의 길이 및 복잡성은 필요하다면 ONU 인증 함수의 보안성을 향상시키기 위해 증대될 수 있다. ONU 인증 응답 테이블 속성은 판독 가능하며, 약 25xM 바이트의 길이일 수 있다.
OLT 인증 선택 속성은 OLT 인증 함수 동안에 이용되는 인증 메카니즘을 지정할 수 있다. 일 실시예에서, OLT 인증 선택 속성은 ONU에 의해 지원되는 인증 알고리즘을 지시하는 값으로 설정될 수 있다. 이 값은 인증 성능 속성에 기재되어 있는 인증 알고리즘에 대응할 수 있다. OLT 인증 선택 속성은 OLT 인증 함수 동안에 해쉬 조합을 생성하기 위해 지정된 인증 알고리즘을 ONU가 이용하도록 지시할 수 있다. OLT 인증 선택 속성은 판독 가능하고, 기록 가능하며, 약 1 바이트의 길이일 수 있다. OLT 인증 선택 속성은 어떠한 인증 알고리즘도 OLT 인증 함수 동안에 이용되지 않음을 지시하기 위해 약 0으로 설정될 수도 있다.
OLT 인증 난스 테이블 속성은 OLT 인증 함수에서 이용되는 난스를 지정할 수 있다. 난스는 OLT 인증 함수의 보안성을 향상시키기 위해 생성될 수 있다. 일 실시예에서, OLT 인증 난스 테이블은 관리자에 의해 설정될 수 있는 P개의 엔트리(P는 정수)를 포함하는 데이터 테이블일 수 있다. 데이터 테이블의 각 엔트리는, 예컨대 약 25 바이트와 같은 고정된 길이를 가질 수 있고, 여기서 각 엔트리의 첫 번째 바이트가 엔트리 인덱스 또는 엔트리 식별자를 포함할 수 있고 각 엔트리의 남은 바이트가 내용을 포함할 수 있다. OLT 인증 임시 테이블 속성이 가변 개수의 엔트리 번호를 가질 수 있기 때문에, 난스의 길이 및 복잡성은 OLT 인증 함수의 보안성을 향상시키기 위해 증대될 수 있다. ONU 인증 난스 테이블 속성은 판독 가능하며, 약 25xP 바이트의 길이일 수 있다.
OLT 인증 응답 테이블 속성은 OLT 인증 함수에서 이용되는, 예컨대 해쉬 조합과 같은, 응답을 지정할 수 있다.
OLT 인증 응답 테이블 속성은 OLT에 의해 계산될 수 있는 해쉬 조합을 포함할 수 있다.
OLT는 OLT 인증 선택 속성에서 지정되는 인증 알고리즘을 이용하여 OLT 인증 난스 테이블 속성의 난스를 처리하는 것에 의하여 해쉬 조합을 계산할 수 있다. 따라서, ONU는 해쉬 조합 값을 얻기 위해 OLT 인증 응답 테이블 속성을 판독할 수 있다. ONU는 이후 해쉬 조합 값이 실질적으로 OLT 인증 값과 유사함을 확인하는 것에 의해 OLT를 인증할 수 있다. 일 실시예에서, OLT 인증 응답 테이블은 관리자에 의해 설정되는 Q개의 엔트리(Q는 정수)를 포함하는 데이터 테이블일 수 있다. 데이터 테이블의 각 엔트리는, 예컨대 약 25 바이트와 같은 고정된 길이를 가질 수 있고, 여기서 각 엔트리의 첫 번째 바이트가 엔트리 인덱스 또는 엔트리 식별자를 포함할 수 있고 각 엔트리의 남은 바이트가 내용을 포함할 수 있다. ONU 인증 응답 테이블이 가변 개수의 엔트리 번호를 가질 수 있기 때문에, 해쉬 조합의 길이 및 복잡성은 필요하다면 OLT 인증 함수의 보안성을 향상시키기 위해 증대될 수 있다. OLT 인증 응답 테이블은 판독 가능하며, 약 25xQ 바이트의 길이일 수 있다.
OLT 인증 응답 상태 속성은 OLT 인증 함수 동안에 OLT 인증 응답 테이블 속성의 상태를 제어 및/또는 보고하기 위해 이용될 수 있다. 일 실시예에서, OLT 인증 응답 상태 속성은 ONU 인증 테이블이 완전할 때에 약 1의 참 불리안 값으로 설정되거나, ONU 인증 테이블이 불완전할 때에 약 0의 거짓 불리안 값으로 설정될 수 있다. 예를 들면, OLT는 OLT 인증 응답 테이블 속성에 난스를 기록하는 과정의 시작시에, 예컨대 약 0과 같이, OLT 인증 응답 상태를 거짓으로 설정할 수 있고, 그 이후에 OLT 인증 응답 테이블 속성에 난스를 기록하는 과정의 완료시에, 예컨대 약 1과 같이, OLT 인증 응답 상태를 참으로 설정할 수 있다. 일 실시예에서, OLT는 OLT 인증 응답 상태 속성을, 예컨대 약 0과 같은, 거짓으로 설정하고, 복수의 엔트리를 OLT 인증 응답 테이블 속성에 기록하며, OLT 인증 응답 상태 속성을 참(예컨대, 약 1) 값으로 설정하고, 그런 다음 ONU가 OLT 인증 응답 테이블 속성을 처리하도록 트리거할 수 있다. OLT 인증 응답 상태 속성은 판독 가능하고, 기록 가능하며, 약 1 바이트의 길이일 수 있다.
OLT 공개 키 기능 속성은 ONU(200)에서 이용 가능한 공개 키 메카니즘을 지정할 수 있다. 일 실시예에서, OLT 공개 키 기능 속성은, 비트맵의 형태로 포맷될 수 있고, 예컨대 표 4와 같이, 비트맵의 일부 또는 모든 비트가 고유의 공개 키 알고리즘에 대응할 수 있는 경우에, 예를 들면, 약 0으로 설정된 비트는 대응하는 공개 키 알고리즘이 ONU에 의해 지원되는 것을 지시할 수 있고, 약 0으로 설정된 비트는 대응하는 공개 키 알고리즘이 ONU(200)에 의해 지원되지 않는 것을 지시할 수 있다. OLT 공개 키 기능 속성은 판독 가능하며, 약 16 바이트의 길이일 수 있다. 일 실시예에서, OLT 공개 키 기능 속성의 각 비트는 어떠한 공개 키 알고리즘도 OLT에 의해 지원되지 않음을 지시하기 위해 약 0으로 설정될 수 있다.
Figure 112012011471911-pct00008
OLT 공개 키 선택 속성은 키 프라이버시 함수 동안에 사용하기 위한 공개 키 메카니즘을 지정할 수 있다. 일 실시예에서, OLT 공개 키 선택 속성은, 예컨대 OLT 공개 키 기능 속성에 의해 지정된 것과 같이, ONU(200)에 의해 지원되는 인증 알고리즘을 지시하는 값으로 설정될 수 있다. 일 실시예에서, OLT 공개 키 선택 속성은 키 프라이버시 함수 동안에 AES 키를 암호화하기 위한 지정된 공개 키 알고리즘을 이용하도록 ONU에 지시하기 위해 이용될 수 있다. OLT 공개 키 선택 속성은 판독 가능하고, 기록 가능하며, 약 1 바이트의 길이일 수 있다. 일 실시예에서, OLT 공개 키 선택 속성은 어떠한 공개 키 알고리즘도 이용되지 않는 것을 지시하기 위해 약 0으로 설정될 수 있다.
OLT 공개 키 테이블 속성은 키 프라이버시 함수 동안에 공개 키가 이용되도록 지정할 수 있다. 일 실시예에서, OLT는 공개 키를 OLT 공개 키 테이블 속성에 기록할 수 있다. OLT 공개 키 테이블 속성은 관리자에 의해 결정될 수 있는 R개의 엔트리(R은 정수)를 포함하는 테이블일 수 있다. 테이블의 각 엔트리는, 예컨대 약 25 바이트와 같이 고정된 길이를 가질 수 있고, 여기서 각 엔트리의 첫 번째 바이트가 엔트리 인덱스 또는 엔트리 식별자를 포함할 수 있고 각 엔트리의 남은 바이트가 내용을 포함할 수 있다. OLT 공개 키 테이블 속성이 가변 개수의 엔트리 번호를 가질 수 있기 때문에, 공개 키의 길이 및 복잡성은 필요하다면 키 프라이버시 함수의 보안성을 향상시키기 위해 증대될 수 있다. OLT 공개 키 테이블 속성은 판독 가능하고, 기록 가능하며, 약 25xR 바이트의 길이일 수 있다.
OLT 공개 키 상태 속성은 키 프라이버시 함수 동안에 OLT 공개 키 테이블 속성의 상태를 제어 및/또는 보고하기 위해 이용될 수 있다. 일 실시예에서, OLT 공개 키 상태 속성은 공개 키 테이블이 완전한 때에, 예컨대 약 1과 같은, 참 불리안 값으로 설정되거나, 공개 키 테이블이 불완전한 때에, 예컨대 약 0과 같은, 거짓 불리안 값으로 설정될 수 있다. 예를 들면, OLT는 OLT 공개 키 상태를 공개키를 OLT 공개 키 테이블 속성에 기록하는 과정의 시작시에, 예컨대 약 0과 같은, 거짓으로 설정할 수 있으며, 그 이후에 OLT 공개 키 상태를, 공개 키를 OLT 공개 키 테이블 속성에 기록하는 과정의 완료시에, 예컨대 약 1과 같은, 참으로 설정할 수 있다. 일 실시예에서, OLT는 OLT 공개 키 상태 속성을, 예컨대 약 0과 같은, 거짓으로 설정하고, 복수의 엔트리를 OLT 공개 키 테이블 속성에 기록하며, OLT 공개 키 상태 속성을, 예컨대 약 1과 같은, 참으로 설정하고, 그런 다음 ONU가 OLT 공개 키 테이블 속성을 처리하도록 트리거할 수 있다. OLT 인증 응답 상태 속성은 판독 가능하고, 기록 가능하며, 약 1 바이트의 길이일 수 있다.
OLT는 OMCI 채널을 통해 ONU와 통신하는 때, 예컨대 명령어 타입으로, 겟(get) 동작, 겟-넥스트(get-next) 동작 및 셋 동작과 같은, 다양한 동작을 이용할 수 있다. 겟 동작은 OLT가 ONU에서 OMCI ME의 하나 이상의 속성을 읽도록 할 수 있고, 겟-넥스트 동작은 OLT가 OMCI ME의 속성의 한 줄 또는 집합을 읽도록 할 수 있으며, 셋 동작은 ONU가 OMCI ME의 하나 이상의 속성을 기록하도록 할 수 있다.
OLT는 보안 함수 동안에 하나 이상의 OMCI 알림을 수신할 수도 있다. OMCI 알림은 OMCI 채널을 통해 통신될 수 있는 AVC 메시지의 형태로 수신될 수 있다. 각 AVC 메시지는, 예컨대 표 5 또는 6에서 보이는 것과 같이, 상이한 메시지 타입에 대응할 수 있는 숫자 값을 가질 수 있다. 예를 들면, 표 3에서 보이는 것과 같이, ONU 랜덤 시도 테이블 속성과 연관된 AVC 메시지는 약 5의 값으로 할당될 수 있다. ONU 인증 결과 테이블 속성과 연관된 AVC 메시지는 약 6의 값으로 할당될 수 있다. ONU 인증 상태 속성과 연관된 AVC 메시지는 약 10의 값으로 할당될 수 있다. 예컨대 약 1에서 약 4, 약 7에서 약 9 및 약 11에서 약 16의 나머지 값들은, 예비로 리저브(reserve) 될 수 있다.
Figure 112012011471911-pct00009
Figure 112012011471911-pct00010
일 실시예에서, 강화된 보안 제어 ME는, 예컨대 그것의 전체로서 복제된 것처럼 참조에 의해 본 명세서에 원용된 것인, 국제 표준화 기구(International Standards Organization, ISO)/국제 전기 표준 회의(International Electrotechnical Commission, IEC) publication 9798-4의 "Information technology - Security Techniques - Entity Authentication - Part 4:Mechanisms using a cryptographic check function" 에서 설명되는 것과 같이, 통상적인 3 단계 해쉬-기반 인증 시퀀스(three step hash-based authentication sequence)를 수행하기 위한 복수의 설비를 포함할 수 있다. 통상적인 3 단계 인증 시퀀스는 MS-CHAPv2 프로토콜을 채용하는 DSL 시스템에서 또는 겟 및 설정 메시지를 이용할 수 있는 다른 시스템들에서 이용될 수 있다. 통상적인 3 단계 시퀀스의 논리 구조는, 예컨대 메시지 1(Message 1), 메시지 2(Message 2) 및 메시지 3(Message 3)과 같은, 메시지를 다음과 같이 포함할 수 있다.
Figure 112012011471911-pct00011
여기서, MsgHash ()는 메시지의 키 해쉬 함수(keyed hash function), PSK는 세션의 피어(peer)들에만 알려진 선-공유(pre-shared) 키, Peer_1_identity는 약 0x0000 0000 0000 0000으로 설정된 것, 및 Peer_2_identity는 ONU 시리얼 번호이다.
3 단계 해쉬-기반 인증 시퀀스를 사용하기 위해 하나의 필요한 조건은 선-공유 비밀(pre-shared secret, PSK)의 이용 가능성일 수 있다. 128 비트의 PSK는, AES-128(예컨대 AES-CMAC-128)에 기초한 보안 알고리즘의 적용을 단순하게 할 수 있다. PSK는 ONU와 연관될 수 있으며, ONU 및 오퍼레이터의 인프라 구조에 저장될 수 있다. 오퍼레이터 측면에서, ONU에 대한 PSK는 ONU에 연결된 OLT 내에 또는 OLT가 인증 동안에 액세스할 수 있는 중앙 서버에 저장될 수 있다. ONU 및 오퍼레이터 인프라 구조의 PSK의 구성은 이러한 요건들을 만족시키는 어떠한 방법으로도 수행될 수 있다.
도 3은 OLT와 OMCI 채널의 ONU 사이에서 확립된 인증 메시지 교환 시퀀스(300)의 구성을 도시한다. 인증 메시지 교환 시퀀스(300)는 PON 시스템에서, 예컨대 업스트림 전송과 같은, 향상된 보안성을 제공할 수 있다. 인증 메시지 교환 시퀀스(300)는 OMCI 채널을 통해 ONU와 통신하고 강화된 보안 제어 ME에 액세스하기 위해, OLT에 의해 이행될 수 있는, 다양한 동작들을 포함할 수 있다. 예를 들면, OLT는 셋 동작을 이용하는 것에 의해, 예컨대 ME 속성(220)과 같은, 다양한 강화된 보안 제어 ME 속성을 기록할 수 있다. OLT는 셋 동작을 이용하는 것에 의해 하나 이상의 속성을 다수의 엔트리에 기재하기 위해 필요한 다중 설정 기능들을 수행할 수 있다.
OLT는 하나 이상의 강화된 보안 제어 ME 속성의 컨텐츠 또는 그 컨텐츠의 일부분을 획득하는 겟 응답 메시지를 트리거할 수 있는 겟 함수를 이용하는 것에 의해 다양한 강화된 보안 제어 ME 속성으로부터 읽을 수 있다.
부가적으로, OLT는 AVC 메시지 형식의 하나 이상의 OMCI 알림을 수신할 수 있다.
인증 메시지 교환 시퀀스(300)는 OLT가 셋 동작을 이용하여 OLT 암호 성능 속성 및/또는 OLT 랜덤 시도 테이블 속성에 기록할 수 있는 스텝 302에서 시작할 수 있다. 스텝 304에서, OLT는, OLT 암호 성능 속성 및/또는 OLT 랜덤 시도 테이블 속성이 확립되었음을 ONU에 지시하기 위해 셋 동작을 이용하여, 예컨대 약 1과 같은, 참 값을 OLT 시도 상태 속성에 기록할 수 있다. 스텝 306에서, OLT는 ONU 랜덤 시도 테이블 속성이 확립되었음을 OLT에 알려주는 AVC 메시지를 ONU로부터 수신할 수 있다. 스텝 308에서, OLT는 ONU 인증 결과 테이블 속성이 확립되었음을 OLT에 알려주는 AVC 메시지를 ONU로부터 수신할 수 있다.
스텝 310에서, OLT는 ONU로부터 겟 동작을 이용하여 ONU 선택 암호 성능 속성, ONU 랜덤 시도 테이블 속성, ONU 인증 결과 테이블 속성 또는 그 조합을 요청할 수 있다. 스텝 312에서, ONU는 겟 응답 동작을 이용하여 요청된 정보를 보내는 것에 의해 OLT에 응답할 수 있다. 스텝 314에서, OLT는 셋 동작을 이용하여 OLT 인증 결과 테이블 속성에 기록할 수 있다. 스텝 316에서, OLT는 셋 동작을 이용하여 OLT 결과 상태 속성에 참 값을 기록할 수 있다. 스텝 318에서, OLT는 ONU 인증 상태 속성이 확립되었음을 OLT에 알려주는 AVC 메시지를 ONU로부터 수신할 수 있다. 스텝 320에서, OLT는 겟 동작을 이용하여 ONU로부터 마스터 세션 키 이름 속성을 요청할 수 있다. 스텝 322에서, ONU는 겟 응답 동작을 이용하여 요청된 정보를 보내는 것에 의해 OLT에 응답할 수 있다. 인증 메시지 교환은 이후 종료할 수 있다.
도 4는 복수의 ONU 상태(400)의 실시예를 도시한다. ONU 상태(400)는, 그것의 전체로서 복제된 것처럼 참조에 의해 본 명세서에 원용된 것인, ITU-T G.784.3 및 G.987.3에 정의된 상태 O5를 작동할 수 있는 상태 장치에 의해 지정될 수 있다. 먼저 블록 410에서, ONU는, 예컨대 ONU 등록 이후에, 비활성 상태(S0)일 수 있다. 상태 S0는 약 0의 값을 이용하여 ONU 인증 상태 속성에 의해 지시될 수 있다. OLT는 이후 ONU의 OMCI ME의 OLT 랜덤 시도 테이블 속성에 시도를 기록하는 것에 의해 인증 과정을 시작할 수 있다.
블록 420에서, OLT는, 예컨대 OLT가 자신의 시도를 OLT 랜덤 시도 테이블 속성에 기록하는 것 이후에, 시도 계류 상태(S1)에 진입할 수 있다. OLT 시도 계류 상태(S1)는 약 1의 값을 이용하여 ONU 인증 상태 속성에 의해 지시될 수 있다. 상태 S1 동안에, ONU는 ONU 랜덤 시도 속성을 선택하거나 및/또는 ONU 인증 결과 테이블 속성을 계산하며, OLT는 OLT 랜덤 시도 테이블 속성에 새로운 값을 기록할 수 없다. ONU는 이후 ONU 랜덤 시도 속성을 선택하거나 및/또는 ONU 인증 결과 테이블 속성을 계산한 이후에 ONU 시도 계류 상태(S2)로 넘어갈 수 있다. 만약 ONU가 상태 S2로 넘어가는데에 필요한 기능을 수행할 수 없게 되면, 이후 ONU는 상태 S2 대신 인증 오류 상태(S5)로 넘어갈 수 있다.
블록 430에서, ONU는, 예컨대 ONU 랜덤 시도 속성을 선택하거나 및/또는 ONU 인증 결과 테이블 속성을 계산한 이후에, 상태 S2로 진입할 수 있다. 상태 S2는 약 2의 값을 이용하여 ONU 인증 상태 속성에 의해 지시될 수 있다. 상태 S2 동안에, ONU는, 예컨대 ONU 선택 암호 성능 속성과 같은 관련된 테이블/속성, ONU 랜덤 시도 테이블 속성, ONY 인증 결과 테이블 속성, 또는 그 조합들을 읽기 위해 OLT를 기다릴 수 있고, OLT 인증 결과 테이블 속성에 ONU의 인증 시도의 결과를 기록할 수 있다. OLT의 응답은 시간적으로 제한될 수 있다. 예를 들면, OLT는 기간(T1)이 만료하기 전에 ONU의 인증 시도에 응답하는 것이 필요할 수 있다. 예를 들면, T1은 약 3초에 만료되도록 설정될 수 있다. 만약 OLT가 T1 만료 이전에 상태 S2 동안 응답하는 것에 실패한다면, ONU는 상태 S5로 넘어갈 수 있다. 만약 OLT가, 예컨대 ONU의 인증 시도의 결과를 ONU 인증 결과 테이블 속성에 기록하는 것에 의한 것과 같이, T1 만료 전에 응답한다면, 이후 ONU는 ONU에 의해 OLT가 성공적으로 인증되었는지 여부에 의존하여 인증 성공 상태(S3) 또는 인증 실패 상태(S4)로 넘어갈 수 있다. 만약 결과가 실질적으로 OLT 인증 값과 동일하다면, 이후 OLT는 ONU에 의해 성공적으로 인증될 수 있고, ONU는 상태 S3으로 넘어갈 수 있다. 만약 결과가 OLT 인증 값과 동일하지 않다면, 이후 OLT는 성공적으로 인증될 수 없으며, ONU는 상태 S4로 넘어갈 수 있다. ONU가 상태 S2에 있는 동안에, OLT는 OLT 랜덤 시도 테이블 속성에 새로운 값을 기록할 수 없다.
블록 440에서 상태 S3으로 진입하기 전에, ONU는 마스터 세션 키 이름 속성(master session key name attribute)을 위한 유효 값을 설정할 수 있다. 상태 S3에서, OLT는, 예컨대 약 3의 값을 이용하여, ONU 인증 상태 속성 값이 상태 S3으로 변경되었음을 OLT에 지시하는 AVC 메시지를 ONU로부터 수신하는 것에서 마스터 세션 키 이름 속성을 읽을 수 있다. 마스터 세션 키 이름 속성을 읽기 전 AVC 알림을 기다리는 것에 의해, ONU가 동기화되었고 새로운 키가 TC 계층 PLOAM 함수와 함께 활용될 준비가 되었다는 것을 OLT가 보장할 수 있게 한다.
블록 450의 인증 실패 상태 S4는 약 4의 값을 이용하여 ONU 인증 상태 속성에 의해 지시될 수 있다. 상태 S4 동안에, ONU 및/또는 OLT는 현재 인증 시도를 그만둘 수 있다. 인증 실패 상태 S4는, 예컨대 PSK의 불일치와 같은, 어떤 이유에 의해 인증 절차가 실패한 것을 알릴 수 있다. ONU는, 예컨대 약 1초의, 미리 정해진 기간(T2)이 지난 이후에 상태 S4에서 상태 S0으로 넘어갈 수 있다.
상태 S5는 약 5의 값을 이용하여 ONU 인증 상태 속성에 의해 지시될 수 있다. 상태 S5(블록 460) 동안에, ONU 및/또는 OLT는 현재 인증 시도를 그만둘 수 있다. 상태 S5는, 예컨대 연결 상실과 같은 통신 오류에 기인하여, 인증 과정이 시작되었으나 완료될 수 없다는 것을 알릴 수 있다. ONU는, 예컨대 약 1초의, 미리 정해진 기간(T3)이 지난 이후에 상태 S5에서 상태 S0으로 넘어갈 수 있다.
일 실시예에서, OLT는, 예컨대 PLOAM에서, TC 계층과 동기화되고, 예컨대 G.984 시스템에서 다른 보안상 고려사항들을 성취하도록 구성될 수 있다. ONU가 인증된 상태에 있을 때, ONU는 암호화 키 PLOAM 메시지로 전송된 키를 암호화하기 위한 자신의 마스터 세션 키를 이용할 수 있다. 마스터 세션 키는 다음과 같이 정의된다.
Figure 112012011471911-pct00012
여기서, SelectedHashFucntion ()는 OLT에 의해 제공되는 리스트로부터 ONU 선택 암호 성능 속성에서 ONU에 의해 선택된 해쉬 함수이다.
어떤 경우에는, 암호화 키의 암호화는 ECB 모드의 AES-128 키를 이용하여 이행될 수 있다. 암호화 키 PLOAM 메시지로 운반되는 암호화 키는 위조에 대항하여 보호될 수 없기 때문에, 공격자에 의해 키가 위조 또는 재연(replayed)될 수 있는 가능성이 있을 수 있다. 양자의 위조 및 재연된 키는 키 동기화 메카니즘을 이용하여 발견될 수 있다. 그러나, 재연 공격은 OLT가 다운스트림 데이터 암호화의 보안 요구를 위반할 수 있는 구(old) 암호화 키를 사용하도록 강요할 수 있다. 따라서, 재연 공격에 저항하도록 디자인된 OLT는 ONU가 인증 사이클 사이에서 이전에 사용된 암호화 키를 보내지 않는 것을 보증할 수 있다.
상기 설명된 네트워크 구성요소들은, 컴퓨터, 충분한 프로세싱 파워를 가진 네트워크 구성요소, 메모리 자원, 및 그것 위에 위치되어 필요한 작업량을 처리하기 위한 네트워크 처리량 기능과 같은, 어떠한 범용 네트워크 구성요소에서 이행될 수 있다. 도 5는 전형적으로, 본 명세서에 개시된 구성요소의 하나 이상의 구성을 이행하는데 적합한 범용 네트워크 구성요소(500)를 도시한다. 네트워크 구성요소(500)는 제2 저장소(504)를 포함하는 메모리 장치와 통신하는 프로세서(502)(중앙 처리 장치 또는 CPU로 인식될 수 있는), 리드 온리 메모리(506)(ROM), 랜덤 어세스 메모리(508)(RAM), 입/출력(I/O) 장치(510), 및 네트워크 접속 장치(510)를 포함한다. 프로세서(502)는 하나 이상의 CPU 칩으로서 이행될 수 있거나, 하나 이상의 ASICs(application specific intergrated circuits)의 부분일 수 있다.
제2 저장소(504)는 전형적으로 하나 이상의 디스크 드라이브 또는 테이프 드라이브로 구성될 수 있고, 데이터의 비휘발성 저장소 및 RAM(508)이 모든 작업 데이터를 확보하는데 부족한 경우에는 초과(over-flow) 데이터 저장소로서 이용된다. 제2 저장소(504)는 실행을 위해 어떤 프로그램들이 선택된 때에 RAM(508)로 로드되는 프로그램들을 저장하기 위해 이용될 수 있다. ROM(506)은 명령어와 프로그램 실행 동안에 읽혀지는 불확실한 데이터를 저장하기 위해 이용된다. ROM(506)은 전형적으로 제2 저장소(504)의 보다 큰 메모리 용량에 대응하여 작은 메모리 용량을 가진 비휘발성 메모리 장치이다. RAM(508)은 휘발성 데이터와 명령어를 저장하기 위해 이용된다. ROM(506) 및 RAM(508) 모두에 대한 액세스는 전형적으로 제2 저장소(504)보다 빠르다.
적어도 하나의 구성이 개시되며, 기술분야의 통상의 지식을 가진 자에 의해 만들어지는 구성(들)의 변형물들, 조합들, 및/또는 개조물들 및/또는 구성물(들)의 특징들은 본 명세서의 범위에 포함된다. 구성(들)의 특징을 조합, 통합 및/또는 생략함에 따른 결과인 대체적인 구성들도 본 명세서의 범위에 포함된다. 수치적 범위 또는 한정이 명확하게 언급된 경우에, 그러한 명확한 범위 또는 한정은 명확하게 언급된 범위 또는 한정에 포함되고 있는 유사한 크기의 차이로 반복되는 범위 또는 한정을 포함하는 것으로 이해될 것이다.(예컨대, 약 1에서 10은 2, 3, 4, 등을 포함하고, 0.10보다 더 큰 것은 0.11, 0.12, 0.13, 등을 포함한다.) 예를 들면, 언제나 더 낮은 리미트를 가지는 수치적 범위는, Rl 및 더 높은 리미트 Ru로 개시되고, 그 범위에 포함되고 있는 어떠한 숫자도 명확하게 개시된다. 특히, 다음의 숫자들은 범위와 함께 명확하게 개시된다. R = Rl + k * (RU - Rl). 여기서 k는, 예컨대 k는 1 퍼센트, 2 퍼센트, 3 퍼센트, 4 퍼센트, 5 퍼센트, ..., 50 퍼센트, 51 퍼센트, 52 퍼센트, ..., 95 퍼센트, 96 퍼센트, 97 퍼센트, 98 퍼센트, 99 퍼센트, 또는 100 퍼센트와 같이, 1 퍼센트의 증가량으로 1 퍼센트에서 100 퍼센트까지의 범위에 이르는 변수이다. 나아가, 상기 정의된 것처럼 2개의 R 숫자에 의해 정의된 어떠한 수치적 범위도 명확하게 개시된다. 청구항의 어떠한 구성에 대한 "임의적으로"의 용어 사용은, 청구의 범위에서 그 구성이 요구되거나, 또는 선택적이며, 그 구성이 요구되지 않거나, 선택적임을 의미한다. "구성하는, 포함하는, 및 가지고 있는"과 같은 넓은 범위 용어의 사용은, "구성되는, 필수적으로 구성되는, 실질적으로 구성되는"과 같은 좁은 범위의 용어에 대한 지원을 제공하는 것으로 이해될 것이다. 따라서, 보호의 범위는 상기 기재된 본 명세서에 의해 제한되지 않으나 이하의 클레임 및 청구항들의 발명 주제에 대한 모든 등가물을 포함하는 범위에 의해 정의된다. 각각의 및 모든 청구항은 본 명세서에 더 추가된 설명으로서 병합되며, 청구항들은 현 명세서의 일 구성(들)이다. 본 명세서에서 참조된 논의는 그것이 선행 기술, 특히 본원 출원의 우선일 이후의 문헌 날짜를 가지는 어떠한 참조라는 것에 대한 자백이 아니다. 모든 특허, 특허 출원, 및 본 명세서에 인용된 문헌에 대한 설명은, 그들이 본 명세서에 제공하는 본보기의, 절차적인, 또는 다른 열거하는 보충물의 범위에 의하여, 참조에 의해 병합된다.
몇몇의 구성들이 본 명세서에 제공됨과 동시에, 이는 개시된 시스템 및 방법들이 본 명세서의 의도 또는 범위로부터 벗어나지 않는 여러 다른 명백한 형식들 내에서 구체화될 수 있다는 것으로 이해될 것이다. 본 예시들은 제한적이 아닌 설명적으로 고려될 것이며, 그 취지는 여기에 제공된 세부 내용으로 제한되지 않을 것이다. 예를 들면, 다양한 구성 또는 구성요소들은 또 다른 시스템 또는 생략될 수 있는 일정한 특징들에서 조합되거나 통합될 수 있거나, 이행되지 못할 수 있다.
나아가, 다양한 구성들에서 별개로 또는 분리되어 설명되고 도시된 기술, 시스템, 하부 시스템, 및 방법은 본 명세서의 범위로부터 벗어나지 않고 다른 시스템, 모듈, 기술, 또는 방법과 조합되거나 통합될 수 있다. 개시된 또는 연결되어 논의되는 또는 직접 연결된 또는 서로 통신하는 다른 물건들은 간접적으로 연결된 또는 전기적, 기계적, 또는 그 밖의 다른 방법에 관계없이 다른 인터페이스, 장치 또는 중간 구성요소를 통해 통신하는 것일 수 있다. 변경, 대체, 및 개조의 다른 예시들은 통상의 기술자에 의해 확인될 수 있으며, 여기에 개시된 의도 및 범위를 벗어나지 않고 만들어질 수 있다.

Claims (20)

  1. 광망 종단 장치 관리 제어 인터페이스(Optical network unit Management Control Interface, OMCI) 채널을 통해, 광망 종단 장치(Optical Network Unit, ONU)의 관리 엔티티(Management Entity, ME) 내의 복수의 속성을 이용하여, 보안 정보를 교환하도록 구성되고, 메모리와 연결된 적어도 하나의 프로세서를 포함하며,
    상기 관리 엔티티는, 상기 광망 종단 장치와 광 회선 단말(Optical Line Terminal, OLT) 사이의 업스트림 전송을 보호하는 복수의 보안 함수를 지원하며,
    상기 속성은, OLT 인증 기능에서 이용될 응답을 특정하기 위한 OLT 인증 응답 테이블 속성, 및 상기 OLT 인증 기능 도중에 상기 OLT 인증 응답 테이블 속성의 상태를 제어하고 보고하기 위한 OLT 인증 응답 상태 속성을 포함하고, 상기 광망 종단 장치와 상기 광 회선 단말을 위한 보안 특징을 제공하며,
    상기 OLT 인증 응답 상태 속성의 거짓(false) 값은 상기 OLT 인증 응답 테이블 속성이 완전하지 않음을 나타내고, 상기 OLT 인증 응답 상태 속성의 참(true) 값은 상기 OLT 인증 응답 테이블 속성이 완전함을 나타내는,
    장치.
  2. 제1항에 있어서,
    상기 보안 특징은, 보안 성능 발견 함수, 광망 종단 장치 인증 함수, 광 회선 단말 인증 함수 및 키 프라이버시 함수를 포함하는, 장치.
  3. 제2항에 있어서,
    상기 보안 성능 발견 함수는, 상기 광 회선 단말에 보안 함수의 존재 및 상기 광망 종단 장치에 의해 지원되는 복수의 보안 알고리즘을 지시하고,
    상기 보안 성능 발견 함수는, 상기 광 회선 단말이 상기 보안 알고리즘 중에서 활성화할 것을 선택할 수 있게 하는, 장치.
  4. 제2항에 있어서,
    상기 광망 종단 장치 인증 함수는, 상기 광 회선 단말이 상기 관리 엔티티에 난스(nonce)를 보낼 수 있게 하고, 상기 난스와, 상기 광망 종단 장치와, 상기 광 회선 단말 사이의 상호 간 공유되는 비밀의 해쉬 조합(hashed combination)을 획득하며,
    상기 광 회선 단말은, 상기 광망 종단 장치를 인증하기 위해 상기 해쉬 조합을 계산 값과 비교하는, 장치.
  5. 제2항에 있어서,
    상기 광 회선 단말 인증 함수는, 상기 광 회선 단말이 상기 관리 엔티티로부터 난스를 획득하고 상기 관리 엔티티로 상기 난스와 상기 광망 종단 장치와 상기 광 회선 단말 사이의 상호 간 공유되는 비밀의 해쉬 조합을 보낼 수 있게 하고,
    상기 광망 종단 장치는 상기 광 회선 단말을 인증하기 위해 상기 해쉬 조합을 계산 값과 비교하는, 장치.
  6. 제2항에 있어서,
    상기 키 프라이버시 함수는, 상기 광 회선 단말이 상기 관리 엔티티에 공개 키를 보내도록 허용하고,
    상기 광망 종단 장치는, 상기 공개 키와 함께 개선된 암호화 표준(Advanced Encryption Standard, AES) 키를 암호화하여 비밀 키를 획득하고, 이후에 상기 비밀 키를 물리 계층 작용, 지배, 및 관리(Physical Layer Operation, Administration and Management, PLOAM) 채널을 통해 상기 광 회선 단말에 보내며,
    상기 광 회선 단말은, 상기 비밀 키로부터 상기 AES 키를 복호화하는, 장치.
  7. 광 회선 단말(OLT)에 연결되도록 구성되고, 광망 종단 장치 관리 제어 인터페이스(OMCI) 관리 엔티티(ME)를 포함하는 광망 종단 장치(ONU)를 포함하고,
    상기 광망 종단 장치 관리 제어 인터페이스 관리 엔티티는, 상기 광망 종단 장치와 상기 광 회선 단말 사이의 업스트림 전송을 위한 복수의 보안 특징을 지원하는 복수의 속성을 포함하고,
    상기 속성은, OLT 인증 기능에서 이용될 응답을 특정하기 위한 OLT 인증 응답 테이블 속성, 및 상기 OLT 인증 기능 도중에 상기 OLT 인증 응답 테이블 속성의 상태를 제어하고 보고하기 위한 OLT 인증 응답 상태 속성을 포함하고, OMCI ME 채널을 통해 상기 광망 종단 장치와 상기 광 회선 단말 사이에서 통신되고, 상기 광망 종단 장치와 상기 광 회선 단말을 위한 상기 보안 특징을 제공하며,
    상기 OLT 인증 응답 상태 속성의 거짓(false) 값은 상기 OLT 인증 응답 테이블 속성이 완전하지 않음을 나타내고, 상기 OLT 인증 응답 상태 속성의 참(true) 값은 상기 OLT 인증 응답 테이블 속성이 완전함을 나타내는,
    장치.
  8. 제7항에 있어서,
    상기 속성은, 상기 OMCI ME의 인스턴스를 식별하는 2 바이트의 관리 엔티티 식별자(ID) 속성을 포함하는, 장치.
  9. 제7항에 있어서,
    상기 속성은 상기 광 회선 단말에 의해 기록되고,
    또 상기 속성은, 상기 광 회선 단말에서 이용 가능한 암호 메카니즘을 지정하고, 비트 포지션 1이 AES-CMAC-128 알고리즘에, 비트 포지션 2가 HMAC-SHA-256 알고리즘에, 비트 포지션 3이 HMAC-SHA-512 알고리즘에 대응하며, 비트 포지션 4에서 128 비트를 예비로 지정하는(reserve), 16 바이트의 비트 맵을 포함하는 OLT 암호 성능 속성;
    상기 광 회선 단말에 의해 발생한 랜덤 시도(random challenge)를 지정하고, 17 바이트의 엔트리를 포함하는 OLT 랜덤 시도 테이블 속성; 및
    상기 OLT 암호 성능 속성 및 상기 OLT 랜덤 시도 테이블 속성의 상태를 보고하는 1 바이트의 불리안 속성인 OLT 시도 상태 속성;
    을 포함하는, 장치.
  10. 제7항에 있어서,
    상기 속성은,
    상기 광 회선 단말에 의한 인증 연산의 결과를 지정하고, 17 바이트의 엔트리를 포함하는, OLT 인증 결과 테이블 속성; 및
    상기 OLT 인증 결과 테이블 속성의 상태를 보고하는 1 바이트의 불리안 속성인 OLT 결과 상태 속성;
    을 더 포함하는, 장치.
  11. 제7항에 있어서,
    상기 속성은 상기 광망 종단 장치에 의해 설정되며,
    상기 속성은, 또한,
    1 바이트로 구성되고, 상기 OLT 암호 성능 속성에서 1로 설정된 비트 포지션을 지정하는 것에 의해 상기 광망 종단 장치에 의해 선택된 암호 성능을 지정하는, ONU 암호 성능 속성;
    상기 광망 종단 장치에 의해 발생한 랜덤 시도를 지정하고, 16 바이트의 엔트리를 포함하는, ONU 랜덤 시도 테이블 속성; 및
    상기 광망 종단 장치의 선택된 암호 성능 속성을 따르는 상기 광망 종단 장치에 의한 인증 연산의 결과를 포함하고, 상기 OLT 시도 상태 속성에 응답하여 생성된 16 바이트의 엔트리를 포함하는, ONU 인증 결과 테이블 속성;
    을 포함하는, 장치.
  12. 제7항에 있어서,
    상기 속성은,
    상기 광망 종단 장치에 의해 설정된 ONU 인증 상태 속성을 포함하며,
    상기 광망 종단 장치의 관점으로부터 인증 관계의 상태를 지시하고,
    다음의 값:
    인증 과정이 활성화되지 않은 때에 비활성화 상태 S0을 나타내는 0의 값;
    상기 인증 과정이 완료되지 않은 때에 OLT 시도 계류 상태 S1을 나타내는 1의 값;
    상기 인증 과정이 완료되지 않은 때에 ONU 시도 계류 상태 S2를 나타내는 2의 값;
    상기 인증 과정이 완료되고 상기 광망 종단 장치가 상기 광 회선 단말을 인증한 때에 인증 성공 상태 S3을 나타내는 3의 값;
    상기 인증 과정이 완료되고 상기 광망 종단 장치가 상기 광 회선 단말을 인증하지 않은 때에 인증 실패 상태 S4를 나타내는 4의 값;
    상기 인증 과정이 완료될 수 없는 때에 오류 상태 S5를 나타내는 5의 값;
    을 포함하는, 장치.
  13. 제7항에 있어서,
    상기 속성은,
    상기 광망 종단 장치에 의해 설정된 마스터 세션 키 이름을 포함하고,
    선택된 해쉬 함수에 의해 정의된 세션 키의 이름을 포함하며,
    16 바이트로 구성된,
    장치.
  14. 제7항에 있어서,
    상기 속성은, 상기 광 회선 단말에 의해 생성되고 18 바이트의 행으로 구성된 브로드캐스트 키 테이블 속성을 포함하며;
    상기 행은, 1 바이트의 행 제어, 1 바이트의 행 식별자 및 1 바이트의 키 프래그먼트를 포함하고;
    상기 행 제어는, 지정된 행을 설정하기 위해 00으로, 상기 지정된 행을 클리어하기 위해 01로, 전체 테이블을 클리어하기 위해 10으로, 또는 예비 엔트리(reserved entry)를 지시하기 위해 11로 설정되는, 최하위 2 비트를 포함하며;
    상기 행 식별자는, 암호화된 멀티캐스트 기가비트 수동 광 네트워크 캡슐화 방법(GPON Encapsulation Method, GEM) 프레임의 헤더에서 나타나는 키 인덱스를 표시하는 최상위 2 비트, 키 프래그먼트 번호를 식별하는 최하위 4 비트 및 예비로 되는 2 비트를 포함하고;
    상기 키 프래그먼트는, 키의 프래그먼트를 지정하는 것;
    을 포함하는, 장치.
  15. 제7항에 있어서,
    상기 속성은 최대 유효 길이를 지정하는 2 바이트의 유효 키 길이 속성을 포함하는, 장치.
  16. 광망 종단 장치 관리 제어 인터페이스(OMCI)를 이용하여 광망 종단 장치(ONU)와 복수의 보안 속성을 교환하는 것에 의해 상기 광망 종단 장치로부터의 업스트림 통신을 위한 복수의 보안 특징을 제공하는 단계를 포함하고,
    상기 속성은, OLT 인증 기능에서 이용될 응답을 특정하기 위한 OLT 인증 응답 테이블 속성, 및 상기 OLT 인증 기능 도중에 상기 OLT 인증 응답 테이블 속성의 상태를 제어하고 보고하기 위한 OLT 인증 응답 상태 속성을 포함하고, 광 회선 단말 및 상기 광망 종단 장치 사이에서 물리 계층 작용, 지배, 및 관리(PLOAM) 채널의 변경 없이 교환되며,
    상기 OLT 인증 응답 상태 속성의 거짓(false) 값은 상기 OLT 인증 응답 테이블 속성이 완전하지 않음을 나타내고, 상기 OLT 인증 응답 상태 속성의 참(true) 값은 상기 OLT 인증 응답 테이블 속성이 완전함을 나타내는,
    방법.
  17. 제16항에 있어서,
    상기 광망 종단 장치에서 복수의 OLT 암호 성능 및 OLT 랜덤 시도 테이블을 설정하는 단계;
    상기 광망 종단 장치에서 OLT 시도 상태를 참(true)으로 설정하는 단계;
    상기 광망 종단 장치로부터 ONU 랜덤 시도 테이블 및 ONU 인증 결과 테이블을 수신하는 단계;
    상기 광망 종단 장치로부터 복수의 ONU 선택 암호 성능, ONU 랜덤 시도 테이블 및 ONU 인증 결과 테이블을 획득하는 단계;
    상기 광망 종단 장치에서 OLT 인증 결과 테이블을 설정하는 단계;
    상기 광망 종단 장치에서 OLT 결과 상태를 참으로 설정하는 단계;
    상기 광망 종단 장치로부터 ONU 인증 상태를 수신하는 단계; 및
    상기 광망 종단 장치로부터 마스터 세션 키 이름을 획득하는 단계;
    를 더 포함하는, 방법.
  18. 제16항에 있어서,
    상기 ONU 인증 상태는, 비활성화 상태 S0, OLT 시도 계류 상태 S1, ONU 시도 계류 상태 S2, 인증 성공 상태 S3, 인증 실패 상태 S4, 또는 인증 오류 상태 S5를 포함하는 상태 머신에 의해 추적되며,
    ONU 시도 계류 타이머(T1)는, 상기 ONU 시도 계류 상태 S2의 시간을 제한하는 것에 의해 성공하지 못한 OLT 인증 시도를 멈추기 위해 이용되고;
    인증 실패 타이머(T2)는, 인증 실패 상태 S4의 시간을 제한하는 것에 의해 마스터 세션 키 조건의 불일치를 확정하기 위해 이용되며;
    인증 오류 타이머(T3)는, 인증 오류 상태 S5의 시간을 제한하는 것에 의해 인증 상태 실패를 확정하기 위해 이용되는,
    방법.
  19. 제16항에 있어서,
    다음의 메시지들:
    메시지 1:(피어 1 -> 피어 2) my_cryptographic_capabilities|random_challenge_1;
    메시지 2:(피어 2 -> 피어 1) selected_cryptographic_capabilities|random_challenge_2|MsgHash (PSK, (selected_cryptographic_capabilities|random_challenge_1|random_challenge_2|Peer_1_identity)); 및
    메시지 3:(피어 1 -> 피어 2):MsgHash (PSK, (selected_cryptographic_capabilities|random_challenge_2|random_challenge_1|Peer_2_identity));
    을 포함하는 겟(get) 및 셋(set) 메시지를 이용하여 3 단계 해쉬-기반 인증 시퀀스를 수행하는 단계를 더 포함하며,
    상기 MsgHash ()는 메시지의 키 해쉬 함수(keyed hash function)이고, 상기 PSK는 세션의 피어에만 알려진 선-공유(pre-shared) 키이며, 상기 Peer_1_identity는 {0x0000000000000000}이고, 상기 "|"는 연결(concatenation)이며, 상기 Peer_2_identity는 상기 광망 종단 장치의 시리얼 번호인,
    방법.
  20. 제16항에 있어서,
    상기 광망 종단 장치는, 상기 광망 종단 장치가 인증 상태에 있을 때 마스터세션 키를 이용하여 encryption_key PLOAM 메시지로 전송된 키를 암호화하고,
    상기 마스터 세션 키는, MasterSessionKey = SelectedHashFunction (PSK, (OLT_random_challenge|ONU_random_challenge))로 정의되며,
    상기 SelectedHashFunction ()는 상기 광 회선 단말에 의해 제공되는 리스트로부터 ONU 선택 암호 성능 속성에서 광망 종단 장치에 의해 선택된 해쉬 함수인, 방법.
KR1020127003798A 2009-07-31 2010-07-31 광 네트워크 단말 관리 제어 인터페이스에 기초한 수동 광 네트워크 보안성 강화 KR101370272B1 (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US23052009P 2009-07-31 2009-07-31
US61/230,520 2009-07-31
US12/844,173 2010-07-27
US12/844,173 US8850197B2 (en) 2009-07-31 2010-07-27 Optical network terminal management control interface-based passive optical network security enhancement
PCT/CN2010/075618 WO2011012092A1 (en) 2009-07-31 2010-07-31 Optical network terminal management control interface-based passive optical network security enhancement

Publications (2)

Publication Number Publication Date
KR20120048625A KR20120048625A (ko) 2012-05-15
KR101370272B1 true KR101370272B1 (ko) 2014-03-25

Family

ID=43528092

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020127003798A KR101370272B1 (ko) 2009-07-31 2010-07-31 광 네트워크 단말 관리 제어 인터페이스에 기초한 수동 광 네트워크 보안성 강화

Country Status (14)

Country Link
US (3) US8850197B2 (ko)
EP (3) EP2449718B1 (ko)
JP (1) JP5366108B2 (ko)
KR (1) KR101370272B1 (ko)
CN (1) CN102656838B (ko)
AU (1) AU2010278478B2 (ko)
BR (1) BR112012008062B8 (ko)
CA (1) CA2769226C (ko)
ES (2) ES2536784T3 (ko)
MX (1) MX2012001203A (ko)
PL (2) PL2449718T3 (ko)
PT (1) PT2882134T (ko)
RU (1) RU2507691C2 (ko)
WO (1) WO2011012092A1 (ko)

Families Citing this family (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8751630B2 (en) * 2008-10-28 2014-06-10 Futurewei Technologies, Inc. Collecting status from a partner management domain
US8850197B2 (en) 2009-07-31 2014-09-30 Futurewei Technologies, Inc. Optical network terminal management control interface-based passive optical network security enhancement
CN102136907A (zh) * 2010-01-25 2011-07-27 中兴通讯股份有限公司 一种无源光网络系统组播业务加密方法和装置
US8422887B2 (en) * 2010-01-31 2013-04-16 Pmc Sierra Ltd System for redundancy in Ethernet passive optical networks (EPONs)
US9185555B2 (en) * 2010-04-22 2015-11-10 Futurewei Technologies, Inc. Method for authentication of a wireless backup system for an optical network unit
KR20120073869A (ko) * 2010-12-27 2012-07-05 한국전자통신연구원 Pon 시스템에서 oam 메시지 전송 방법 및 에러 처리 방법
CN102395056B (zh) * 2011-06-29 2017-09-26 中兴通讯股份有限公司 虚拟局域网模式的配置方法、系统
CN102571350B (zh) * 2011-12-30 2018-04-10 中兴通讯股份有限公司 光网络单元认证方法及装置
US8909929B2 (en) * 2012-05-31 2014-12-09 Atmel Corporation Stored public key validity registers for cryptographic devices and systems
US9756036B2 (en) * 2012-06-15 2017-09-05 Nokia Technologies Oy Mechanisms for certificate revocation status verification on constrained devices
CN104396162A (zh) * 2012-06-20 2015-03-04 瑞典爱立信有限公司 无源光网络(pon)中消息的流控制的装置和方法以及其中的方法
CN103067204B (zh) * 2012-12-25 2017-08-04 上海斐讯数据通信技术有限公司 一种从应用层访问omci实体的方法
US9535680B2 (en) * 2013-03-12 2017-01-03 Broadcom Corporation Flashless optical network unit
TWI504176B (zh) 2013-06-14 2015-10-11 Univ Nat Chiao Tung 分波多工光纖網路系統
BR112016003580B1 (pt) * 2013-08-22 2022-08-09 Huawei Technologies Co., Ltd Método de autenticação de terminal, terminal de linha óptica e sistema em rede óptica passiva
ES2690835T3 (es) 2013-12-13 2018-11-22 Huawei Technologies Co., Ltd. Terminal de línea óptica, método de comunicación y sistema de red óptica pasiva
US9768905B2 (en) * 2014-06-25 2017-09-19 Futurewei Technologies, Inc. Optical line terminal (OLT) support of optical network unit (ONU) calibration
CN105471603B (zh) * 2014-08-19 2020-12-11 中兴通讯股份有限公司 一种远程配置光网络单元ptp业务的方法、装置和系统
CN105447380A (zh) * 2014-09-28 2016-03-30 上海贝尔股份有限公司 一种pon网络系统中客户端代码完整性检测方法及装置
CN104394042B (zh) * 2014-12-17 2018-01-02 上海斐讯数据通信技术有限公司 一种mib测试onu系统升级的方法
US10063312B2 (en) 2016-06-21 2018-08-28 Futurewei Technologies, Inc. Optical network unit reset message
US10210317B2 (en) * 2016-08-15 2019-02-19 International Business Machines Corporation Multiple-point cognitive identity challenge system
JP6841120B2 (ja) * 2017-03-29 2021-03-10 沖電気工業株式会社 加入者側終端装置、局側終端装置、通信システム、加入者側終端装置のプログラムおよび局側終端装置のプログラム
BR112019020749A2 (pt) * 2017-04-03 2020-04-28 Listat Ltd método de transmissão de pacotes de dados de um dispositivo cliente para a nuvem.
CN109039600B (zh) * 2018-07-16 2020-01-07 烽火通信科技股份有限公司 一种无源光网络系统中协商加密算法的方法及系统
CN109246119B (zh) * 2018-09-28 2021-09-14 四川天邑康和通信股份有限公司 一种具有认证信息自动修改功能的pon系统
CN109598504B (zh) * 2018-10-25 2020-09-01 阿里巴巴集团控股有限公司 基于区块链的交易处理方法及装置、电子设备
CN111526107B (zh) * 2019-02-01 2022-07-19 中国移动通信有限公司研究院 一种网络设备认证方法、装置和存储介质
CN112769547A (zh) * 2019-11-05 2021-05-07 成都鼎桥通信技术有限公司 密钥分片传输方法和装置、及对应的接收方法和装置
CN113068086B (zh) * 2020-01-02 2023-04-18 上海诺基亚贝尔股份有限公司 一种用于传输omci消息的方法、装置和系统
CN111786773B (zh) * 2020-06-24 2022-10-18 重庆邮电大学 一种基于md5校验和aes加密的twdm-pon系统物理层安全方法
US11184085B1 (en) * 2020-09-03 2021-11-23 Mellanox Technologies, Ltd. Electro-optical interconnect assembly with integral tampering protection
CN114765706A (zh) * 2021-01-15 2022-07-19 上海诺基亚贝尔股份有限公司 用于从OLT触发vOMCI功能发送OMCI消息的方法和装置
US20220277102A1 (en) * 2021-02-28 2022-09-01 John JungKyun Kim Process using one-way hashing function for secure collection, presentation and storage of PII
US20240179162A1 (en) * 2021-04-30 2024-05-30 Hewlett-Packard Development Company, L.P. Protection of computing device from potential optical network intrusion attack
CN115277458B (zh) * 2021-04-30 2023-11-17 阿里巴巴新加坡控股有限公司 服务提供方法、设备及存储介质
TWI757192B (zh) * 2021-05-27 2022-03-01 瑞昱半導體股份有限公司 光網路單元及控制光網路單元與光連結終端進行連線的方法
CN113395615B (zh) * 2021-06-10 2022-05-06 烽火通信科技股份有限公司 一种消息处理方法、装置、电子设备和可读存储介质
CN113923544B (zh) * 2021-09-28 2023-05-12 烽火通信科技股份有限公司 标准及私有omci业务模型onu的管理方法及系统
CN114302269B (zh) * 2021-12-17 2024-04-09 博为科技有限公司 Onu接入方法、装置、存储介质及电子设备
CN118158582B (zh) * 2024-04-30 2024-07-19 新华三技术有限公司 一种报文转发方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020196801A1 (en) * 2001-03-02 2002-12-26 Onn Haran Communication protocol for passive optical network topologies
WO2007124658A1 (fr) 2006-04-27 2007-11-08 Huawei Technologies Co., Ltd. Procédé et système de négociation d'algorithme de cryptage dans un système de réseau optique passif
US20090049532A1 (en) * 2006-09-29 2009-02-19 Huawei Technologies Co., Ltd. Method, device and system for user authentication on passive optical network

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NO319065B1 (no) 2002-10-11 2005-06-13 Telenor Asa Apen aksessnettverks-arkitektur
KR100547724B1 (ko) 2003-08-26 2006-01-31 삼성전자주식회사 데이터를 안정적으로 전송할 수 있는 기가비트 이더넷기반의 수동 광가입자망 및 이를 이용한 데이터 암호화 방법
FI20031429A0 (fi) * 2003-10-02 2003-10-02 Nokia Corp Varma upstream -tiedonsiirto passiivisessa optisissa verkoissa
US20060228113A1 (en) * 2003-12-01 2006-10-12 Siemens Aktiengesellschaft Passive optical network unit management and control interface support for a digital subscriber line network
KR100675836B1 (ko) * 2004-12-10 2007-01-29 한국전자통신연구원 Epon 구간내에서의 링크 보안을 위한 인증 방법
KR100715679B1 (ko) 2005-12-05 2007-05-09 한국전자통신연구원 인증 암호화를 통해 보안 전송을 가능하게 하는 gpon시스템 및 그 인증 암호화 방법
US8086872B2 (en) 2005-12-08 2011-12-27 Electronics And Telecommunications Research Institute Method for setting security channel based on MPCP between OLT and ONUs in EPON, and MPCP message structure for controlling frame transmission
EP1978654B1 (en) 2006-01-18 2014-01-08 Huawei Technologies Co., Ltd. A method for mapping the service stream to the service transmission channel, system and optical network terminator thereof
US20070274720A1 (en) * 2006-05-25 2007-11-29 Menasco Heyward E Jr Optical Network Unit Activation
JP4753254B2 (ja) * 2006-08-08 2011-08-24 日本電信電話株式会社 暗号化通信システム、ならびに暗号化手段を備えたoltおよびonu
US8121479B2 (en) * 2006-08-11 2012-02-21 Futurewei Technologies, Inc. Optical network terminal management and control interface (OMCI) containing a description of the OMCI
CN101247258B (zh) 2007-02-12 2011-02-09 华为技术有限公司 一种业务发放方法及系统
CN101247220B (zh) 2008-03-14 2011-03-02 中兴通讯股份有限公司 一种无源光网络系统密钥交换的方法
CN101252522B (zh) 2008-04-02 2012-07-04 中兴通讯股份有限公司 介质访问控制地址过滤配置的方法及系统
CN101252500B (zh) 2008-04-16 2012-08-08 杭州华三通信技术有限公司 任意拓扑相交环网的实现方法、节点和相交环网
JP5276935B2 (ja) * 2008-09-12 2013-08-28 株式会社日立製作所 受動光網システムおよびその障害特定方法
KR100982017B1 (ko) * 2008-10-02 2010-09-14 한국전자통신연구원 기가비트 수동형 광 통신망 장치에서 동일한 시리얼 넘버를가진 비 정상적인 광 가입자장치의 차단방법
CN102246487B (zh) * 2008-11-03 2015-01-14 意大利电信股份公司 提高无源光网络中的安全性的方法
JP5269641B2 (ja) * 2009-02-23 2013-08-21 富士通テレコムネットワークス株式会社 ユーザ認証システムおよびユーザ認証方法
US8850197B2 (en) 2009-07-31 2014-09-30 Futurewei Technologies, Inc. Optical network terminal management control interface-based passive optical network security enhancement

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020196801A1 (en) * 2001-03-02 2002-12-26 Onn Haran Communication protocol for passive optical network topologies
WO2007124658A1 (fr) 2006-04-27 2007-11-08 Huawei Technologies Co., Ltd. Procédé et système de négociation d'algorithme de cryptage dans un système de réseau optique passif
US20090049532A1 (en) * 2006-09-29 2009-02-19 Huawei Technologies Co., Ltd. Method, device and system for user authentication on passive optical network

Also Published As

Publication number Publication date
MX2012001203A (es) 2012-03-26
EP2882134B1 (en) 2016-09-21
US20140052991A1 (en) 2014-02-20
RU2012107414A (ru) 2013-09-10
US8442229B2 (en) 2013-05-14
PL2449718T3 (pl) 2015-07-31
EP3125465B1 (en) 2021-09-01
BR112012008062B8 (pt) 2024-02-27
EP2449718B1 (en) 2015-02-25
PT2882134T (pt) 2016-12-06
CN102656838A (zh) 2012-09-05
AU2010278478A1 (en) 2012-03-01
CN102656838B (zh) 2015-06-17
CA2769226C (en) 2015-11-24
WO2011012092A1 (en) 2011-02-03
US20110029773A1 (en) 2011-02-03
RU2507691C2 (ru) 2014-02-20
ES2606959T3 (es) 2017-03-28
JP2013501389A (ja) 2013-01-10
BR112012008062A2 (pt) 2016-03-01
PL2882134T3 (pl) 2017-04-28
KR20120048625A (ko) 2012-05-15
US9032209B2 (en) 2015-05-12
EP2449718A4 (en) 2012-09-05
US8850197B2 (en) 2014-09-30
EP3125465A1 (en) 2017-02-01
US20120128155A1 (en) 2012-05-24
AU2010278478B2 (en) 2014-02-27
ES2536784T3 (es) 2015-05-28
EP2882134A1 (en) 2015-06-10
BR112012008062B1 (pt) 2021-04-20
JP5366108B2 (ja) 2013-12-11
CA2769226A1 (en) 2011-02-03
EP2449718A1 (en) 2012-05-09

Similar Documents

Publication Publication Date Title
KR101370272B1 (ko) 광 네트워크 단말 관리 제어 인터페이스에 기초한 수동 광 네트워크 보안성 강화
US9838363B2 (en) Authentication and initial key exchange in ethernet passive optical network over coaxial network
KR100715679B1 (ko) 인증 암호화를 통해 보안 전송을 가능하게 하는 gpon시스템 및 그 인증 암호화 방법
WO2011131141A1 (en) Ethod for authentication of a wireless backup system for an optical network unit
EP2439871B1 (en) Method and device for encrypting multicast service in passive optical network system
JP2017135461A (ja) 加入者終端装置、局側終端装置、光信号伝送装置および通信システム
KR100594023B1 (ko) 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법
CN101998180B (zh) 一种支持光线路终端和光网络单元版本兼容的方法及系统
EP2091176A1 (en) Data communication
JP2015133610A (ja) 局側装置、ponシステムおよび局側装置の制御方法
US20230231728A1 (en) Secure communication method and apparatus in passive optical network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170202

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180202

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190201

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20200129

Year of fee payment: 7