JP2007158962A - Pon system - Google Patents
Pon system Download PDFInfo
- Publication number
- JP2007158962A JP2007158962A JP2005353921A JP2005353921A JP2007158962A JP 2007158962 A JP2007158962 A JP 2007158962A JP 2005353921 A JP2005353921 A JP 2005353921A JP 2005353921 A JP2005353921 A JP 2005353921A JP 2007158962 A JP2007158962 A JP 2007158962A
- Authority
- JP
- Japan
- Prior art keywords
- encryption key
- side device
- management table
- multicast group
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
本発明は、PONシステムにおけるマルチキャスト通信に関するものである。 The present invention relates to multicast communication in a PON system.
イーサネット(登録商標)PONシステムは、局側装置(OLT:Optical Line Terminal)と複数の加入者側装置(ONU:Optional Network Unit)を光伝送媒体で接続し、MACフレームによりデータ送受信を行うことにより、PONシステムにイーサネット(登録商標)サービスを透過的に収容するものである。ONUは1〜複数の加入者端末を収容する。 The Ethernet (registered trademark) PON system connects a station side device (OLT: Optical Line Terminal) and a plurality of subscriber side devices (ONU: Optional Network Unit) with an optical transmission medium, and transmits and receives data using MAC frames. The Ethernet (registered trademark) service is transparently accommodated in the PON system. The ONU accommodates one to a plurality of subscriber terminals.
一方、広く普及しているIP通信におけるマルチキャストの実現方法として、IGMP(Internet Group Management Protocol)を用いる方法がある。IGMPは、IPマルチキャストグループの管理に使用されるプロトコルであり、マルチキャストをサポートするマルチキャストルータとマルチキャストパケットを受信するホストによって使用される。 On the other hand, as a method for realizing multicast in widely used IP communication, there is a method using IGMP (Internet Group Management Protocol). IGMP is a protocol used for management of IP multicast groups, and is used by multicast routers that support multicast and hosts that receive multicast packets.
特許文献1には、IGMPなどのIPマルチキャスト用プロトコルを利用したPONシステムにおけるマルチキャスト通信の実現方法が開示されている。特許文献1においては、OLTおよびONUの双方において、マルチキャスト制御用のIPプロトコルをモニタし、それぞれが自立的にマルチキャストグループに属するONUを認識することにより、マルチキャストグループ毎にマルチキャストグループを識別する識別情報(ONU−ID)および対応する暗号キーを割り当てるようにしている。OLTでは、マルチキャストMACアドレスとONU−IDとの対応を管理するONU−ID検索テーブルと、ONU−IDと暗号キーとの対応を管理するOLT暗号キー検索テーブルとの2つのテーブルにより、マルチキャストMACアドレス、ONU−ID、暗号キーの対応関係を管理している。ONUでは、ONU−IDと暗号キーの対応関係を管理するONU暗号キー検索テーブルを備えている。またマルチキャストデータを転送する際、OLTは、前記2つのテーブルを用いてデータのMACアドレスをキーにONU−IDと暗号キーを検索し、検索した暗号キーによりデータを暗号化した後、暗号化データにONU−IDを付加して転送し、ONUは、暗号化データに付加されているONU−IDをキーに暗号キーを検索し、検索した暗号キーによりデータを復号している。さらにマルチキャストグループからONUが離脱し、当該マルチキャストグループに参入しているONUが存在しなくなった場合には、段落「0027」〜「0028」に示すように、OLTおよびONUの双方において、マルチキャスト制御用のIPプロトコルをモニタすることにより、OLTは、当該マルチキャストグループに対応するONU−IDのエントリをONU−ID検索テーブルとOLT暗号キー検索テーブルから削除し、ONUは、ONU暗号キー検索テーブルからエントリ削除していた。
しかしながら、特許文献1に記載の従来技術では、ONUにおいてもマルチキャスト制御用のIPプロトコルをモニタする必要があった。このためONUにおいて、マルチキャスト制御用のIPプロトコルメッセージをモニタするハードウェアが必要(モニタをソフトウェアで実現する場合には、メッセージを抽出するためのハードウェアが必要)であり、ONUがコスト高になるという問題がある。
However, in the prior art described in
また、この従来技術では、1つのマルチキャストグループに1つの暗号鍵しか割り当てていない。このため、この従来技術では、長期間にわたって同じ暗号鍵を使ってしまことになり、マルチキャストグループに参入していないONUで解読されるなど、データ漏洩によるセキュリティ上の問題がある。またこの従来技術では、マルチキャストグループごとにONU−IDを付与し、これをOLTとONUの双方で管理し、さらのこのONU−IDを暗号化データに付加している。したがって、この従来技術において、1つのマルチキャストグループに複数の暗号鍵を割り当てることを考えると、ONU−IDの他に各ONU−ID内の鍵を識別するための鍵面情報を使用する必要があり、OLTおよびONUにおけるテーブル容量、および送受信データのオーバヘッドが増加する問題があった。 In this prior art, only one encryption key is assigned to one multicast group. For this reason, in this prior art, the same encryption key is used for a long period of time, and there is a security problem due to data leakage such as decryption by an ONU that has not joined the multicast group. In this prior art, an ONU-ID is assigned to each multicast group, this is managed by both the OLT and the ONU, and the further ONU-ID is added to the encrypted data. Therefore, in this prior art, when assigning a plurality of encryption keys to one multicast group, it is necessary to use key surface information for identifying the key in each ONU-ID in addition to the ONU-ID. There is a problem that the table capacity in the OLT and the ONU and the overhead of transmission / reception data increase.
本発明は、上記に鑑みてなされたものであって、ONUにおけるマルチキャスト制御用プロトコルのモニタや、ONU−IDの割り当てを必要とせず、さらにデータ漏洩を回避する高いセキュリティ機能を有するPONシステムを得ることを目的とする。 The present invention has been made in view of the above, and does not require monitoring of a multicast control protocol in an ONU or allocation of an ONU-ID, and obtains a PON system having a high security function that avoids data leakage. For the purpose.
上述した課題を解決し、目的を達成するために、本発明は、1〜複数の加入者端末を収容する加入者側装置と、1〜複数の前記加入者側装置を収容するとともにIP網に接続される局側装置とを光伝送媒体で接続し、MACフレームにより加入者側装置と局側装置との間でデータ送受信を行い、論理リンクを用いた通信を行うPONシステムにおいて、前記局側装置は、マルチキャストグループと当該マルチキャストグループに属する複数の暗号鍵との対応関係を全てのマルチキャスト用暗号鍵で一意の鍵面情報によって管理するマルチキャストグループ管理テーブルと、マルチキャストグループ毎に当該マルチキャストグループに属する1〜複数の加入者側装置の参入状況情報を管理する加入者側装置管理テーブルと、マルチキャスト制御用のIPプロトコルをスヌープすることにより、マルチキャストグループへの加入者側装置の参入および離脱を認識し、この認識結果に基づいて前記加入者側装置管理テーブルにおける前記参入状況情報を更新するスヌープ手段と、前記加入者側装置管理テーブルの内容に基づいてマルチキャストグループごとに暗号鍵を生成し、生成した暗号鍵を前記マルチキャストグループ管理テーブルに登録するとともに、該生成した暗号鍵を対応する鍵面情報とともにマルチキャストに参入した加入者側装置にユニキャスト論理リンクを使って配布する暗号鍵配布手段と、前記マルチキャストグループ管理テーブルに登録されたマルチキャストグループに対応する暗号鍵を用いてマルチキャストフレームを暗号化した上で、当該マルチキャストフレームを暗号化する際に使用した暗号鍵を識別する鍵面情報を含むマルチキャストフレームをブロードキャスト論理リンクを使って加入者側装置に送信するマルチキャスト手段とを備え、前記加入者側装置は、マルチキャストグループで使用すべき暗号鍵と鍵面情報との対応関係を記憶する暗号鍵管理テーブルと、マルチキャスト制御用のIPプロトコルをスヌープすることなく、前記ユニキャスト論理リンクを使って局側装置から配布された暗号鍵および鍵面情報に基づいて前記暗号鍵管理テーブルに対する登録制御を行う暗号鍵登録手段と、前記ブロードキャスト論理リンクを使って受信したマルチキャストフレームに含まれる鍵面情報に対応する暗号鍵を前記暗号鍵管理テーブルから取得し、取得した暗号鍵を用いて受信したマルチキャストフレームを復号して、収容している加入者端末に送信する復号手段とを備えることを特徴とする。 In order to solve the above-described problems and achieve the object, the present invention provides a subscriber-side device that accommodates one to a plurality of subscriber terminals, and one to a plurality of subscriber-side devices and an IP network. In a PON system in which a station-side device to be connected is connected by an optical transmission medium, data is transmitted / received between a subscriber-side device and a station-side device using a MAC frame, and communication using a logical link is performed, the station side The apparatus manages a correspondence relationship between a multicast group and a plurality of encryption keys belonging to the multicast group using unique key surface information with all multicast encryption keys, and belongs to the multicast group for each multicast group. Subscriber side device management table for managing entry status information of one or more subscriber side devices, and multicast control A snoop means for recognizing the entry and withdrawal of the subscriber side device from the multicast group by snooping the IP protocol, and updating the entry status information in the subscriber side device management table based on the recognition result; An encryption key is generated for each multicast group based on the contents of the subscriber side device management table, the generated encryption key is registered in the multicast group management table, and the generated encryption key is multicast together with corresponding key surface information. After encrypting a multicast frame using an encryption key distribution means for distributing to a subscriber-side device that has entered the network using a unicast logical link, and an encryption key corresponding to the multicast group registered in the multicast group management table The multicast frame Multicast means for transmitting a multicast frame including key plane information for identifying an encryption key used when encrypting the subscriber key to a subscriber side device using a broadcast logical link, and the subscriber side device is a multicast group. Encryption key management table for storing the correspondence between encryption keys to be used and key surface information, and encryption distributed from the station side device using the unicast logical link without snooping the IP protocol for multicast control An encryption key registration means for performing registration control on the encryption key management table based on the key and key surface information, and an encryption key corresponding to the key surface information included in the multicast frame received using the broadcast logical link. Multicast received from the management table and received using the acquired encryption key And decoding means for decoding the frame and transmitting it to the accommodated subscriber terminal.
この発明によれば、マルチキャスト制御用のIPプロトコルのスヌープを局側装置のみで行うようにしているので、加入者側装置でマルチキャスト制御用のIPプロトコルメッセージのモニタ機能が不要となり、加入者側装置の装置コストを低下させることが可能となる。また、この発明では、マルチキャストグループ毎に複数の暗号鍵を割り当て、これらマルチキャストグループと複数の暗号鍵との対応付けを、全てのマルチキャスト用暗号鍵で一意の鍵面情報によって管理するようにしたので、セキュリティが向上するとともに、局側装置および加入者側装置におけるテーブル容量、および送受信データのオーバヘッドを減少させることが可能となる。 According to the present invention, since the snoop of the IP protocol for multicast control is performed only by the station side device, the subscriber side device does not need the monitoring function of the IP protocol message for multicast control. It becomes possible to reduce the apparatus cost. Also, in the present invention, a plurality of encryption keys are assigned to each multicast group, and the association between these multicast groups and a plurality of encryption keys is managed by unique key surface information for all multicast encryption keys. As a result, security can be improved, and the table capacity and overhead of transmission / reception data in the station side device and the subscriber side device can be reduced.
以下に、本発明にかかるPONシステムの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。 Hereinafter, embodiments of a PON system according to the present invention will be described in detail with reference to the drawings. Note that the present invention is not limited to the embodiments.
この発明の実施の形態を説明する前に、IEEE標準802.3ahに準拠したギガビットイーサネット(登録商標)PONシステム(GE−PON)における論理リンクについて説明しておく。GE−PONでは通信に先立って、OLT〜ONU間に論理リンクを設定する。論理リンクには、図1に示すように、ONU個別の通信に使用するユニキャスト論理リンクと、全ONUへのフレーム配信を行うブロードキャスト論理リンクがある。このうちユニキャスト論理リンクはオートディスカバリ(Auto Discovery)と呼ばれる手順により設定される。図2に示すように、論理リンクの識別情報は、PONインタフェース上で転送されるMACフレームのプリアンブル部分に格納され、1ビットのModeビットと、15ビットのLLID(Logical Link Identifier)から構成される。ユニキャスト論理リンクでは、Modeビットは0で、LLIDには固有の値が割り当てられる。ブロードキャスト論理リンクは、Modeビットは1で、LLIDは0x7FFFの値が固定的に割り当てられる。ユニキャスト論理リンクは上下双方向の通信に使用されるが、ブロードキャスト論理リンクは下り方向のみに使用される。 Before describing the embodiment of the present invention, a logical link in a Gigabit Ethernet (registered trademark) PON system (GE-PON) conforming to the IEEE standard 802.3ah will be described. In GE-PON, a logical link is set between OLT and ONU prior to communication. As shown in FIG. 1, the logical link includes a unicast logical link used for individual communication of ONUs and a broadcast logical link that distributes frames to all ONUs. Among these, the unicast logical link is set by a procedure called auto discovery. As shown in FIG. 2, the identification information of the logical link is stored in the preamble part of the MAC frame transferred on the PON interface, and is composed of 1-bit Mode bit and 15-bit LLID (Logical Link Identifier). . In a unicast logical link, the Mode bit is 0, and a unique value is assigned to the LLID. In the broadcast logical link, the Mode bit is 1, and the value of 0x7FFF is fixedly assigned to the LLID. Unicast logical links are used for bi-directional communication, while broadcast logical links are used only in the downlink direction.
下り方向において、Modeビットが0で、LLIDが0x7FFF以外の値Xの識別情報を持つフレームが転送された場合、LLIDがXのユニキャスト論理リンクが設定されたONUのみがフレームを受信し、他のONUはフレームを廃棄する。一方、Modeビットが1で、LLIDが0x7FFF以外の値Xの場合、LLIDがXのユニキャスト論理リンクが設定されたONUのみがフレームを廃棄し、他のONUはフレームを受信する。なおModeビットが1で、LLIDが0x7FFFのフレームは、全てのONUが受信する。 In the downstream direction, when a frame having the identification information of value X other than 0x7FFF with the Mode bit being 0 is transferred, only the ONU configured with the unicast logical link with the LLID of X receives the frame, and the like. The ONU discards the frame. On the other hand, when the Mode bit is 1 and the LLID is a value X other than 0x7FFF, only the ONU in which the unicast logical link having the LLID X is set discards the frame, and the other ONUs receive the frame. Note that all ONUs receive a frame whose Mode bit is 1 and LLID is 0x7FFF.
図3は、本発明を適用したPONシステムの構成例を示す図である。図3において、PONシステムは、1つのOLT1と、1〜複数の図示しない加入者端末(以下端末という)を収容する1〜複数のONU2と、それらを接続する光伝送媒体としての光ファイバ3と、光分波器4とから構成されている。
FIG. 3 is a diagram showing a configuration example of a PON system to which the present invention is applied. In FIG. 3, the PON system includes one
ただし、以降の説明においては、マルチキャストグループのONU2の参入や離脱を、OLT1がIGMP(Internet Group Management Protocol)をスヌープすることにより認識する場合を例として説明する。また、PONインタフェースに接続された全てのONUには、ユニキャスト論理リンクが設定されており、各ユニキャスト論理リンクにおいては個別の暗号/復号処理が行われているものとする。 However, in the following description, the case where the OLT 1 recognizes the entry or withdrawal of the ONU 2 from the multicast group by snooping IGMP (Internet Group Management Protocol) will be described as an example. In addition, it is assumed that a unicast logical link is set in all ONUs connected to the PON interface, and individual encryption / decryption processing is performed in each unicast logical link.
OLT1は、1〜複数のインタフェース部5(以降、IF部と記す)と、CPU部6から構成される。IF部5は、IP網側インタフェースを収容するNNI部7(Network-Network Interface)と、PONインタフェースを収容する光送受信部8と、PONインタフェース上でのフレーム送受信制御を行うPON制御部9と、上りおよび下り方向でIGMP(Internet Group Management Protocol)メッセージをCPU部6に転送するためのIGMPフィルタ部10a,10bと、マルチキャストグループごとの暗号鍵を管理するマルチキャストグループ管理テーブル11と、マルチキャストフレームを暗号化するための暗号鍵をマルチキャストグループ管理テーブル11を用いて検索する暗号鍵検索部12と、フレームの暗号化を行う暗号処理部13とから構成される。つまりPONインタフェースと網側インタフェースは1対1の関係にある。
The OLT 1 includes one to a plurality of interface units 5 (hereinafter referred to as IF units) and a
CPU部6は、IGMPフィルタ部10a,10bで抽出されたIGMPメッセージの内容を解析するIGMP解析部14と、マルチキャストグループごとの暗号鍵の生成・更新制御を司る暗号鍵生成/更新部15と、マルチキャストグループへの各ONUの参入状況を示す情報が格納されるONU管理テーブル21とから構成される。
The
一方、ONU2は、端末側インタフェースを収容するUNI部16(User-Network Interface)と、PONインタフェースを収容する光送受信部17と、OLT1側のPON制御部9と連携してPONインタフェース上でのフレーム送受信制御を行うとともに、OLT1側の暗号鍵生成/更新部15から生成された暗号鍵生成/更新の指示を解釈するPON制御部18と、暗号鍵を管理する暗号鍵管理テーブル19と、マルチキャストフレームを復号するための暗号鍵を暗号鍵管理テーブル19を用いて検索するとともにフレームの復号を行う復号処理部20とから構成されている。
On the other hand, the ONU 2 cooperates with a UNI unit 16 (User-Network Interface) that accommodates a terminal-side interface, an optical transmission /
図4は、OLT1に設けられるマルチキャストグループ管理テーブル11の記憶内容の一例を示すものである。図4に示したマルチキャストグループ管理テーブル11は、1つのマルチキャストグループに対して2面の鍵管理を行う場合を示している。本管理テーブル11では、マルチキャストグループごとのMACアドレス25と、鍵面26と、暗号鍵27との対応を管理する。
FIG. 4 shows an example of the stored contents of the multicast group management table 11 provided in the OLT 1. The multicast group management table 11 shown in FIG. 4 shows a case where two-side key management is performed for one multicast group. In this management table 11, the correspondence between the
図5は、OLT1に設けられるONU管理テーブル21の記憶内容の一例を示すものである。ONU管理テーブル21では、マルチキャストグループごとのマルチキャストMACアドレス51と、ONUの識別情報であるONU情報52と、ONU情報52の状態を示すフラグ53との対応を管理する。IGMPでは、上位網から定期的にIGMPクエリーメッセージがOLT1,ONU2を介して各端末に送信され、マルチキャストグループに参入する(している)端末はIGMPメンバーシップレポートメッセージを応答するが、マルチキャストグループに参入していない(離脱した)端末は何も応答しない。ONU管理テーブル21のフラグ53は、端末がIGMPメンバーシップレポートメッセージを応答したか否か、および端末がIGMPメンバーシップレポートメッセージを初めて応答したかどうかにより内容が決まられる。すなわち、
(1)IGMPメンバーシップレポートメッセージを応答しなかったら「離脱」
(2)IGMPメンバーシップレポートメッセージを初めて応答したら「新規」
(3)過去にIGMPメンバーシップレポートメッセージを応答していて今回も応答したら「継続」
となる。
FIG. 5 shows an example of the stored contents of the ONU management table 21 provided in the
(1) If you do not respond to the IGMP Membership Report message, “Leave”
(2) “New” when first responding to an IGMP membership report message
(3) “Continue” if you responded to an IGMP membership report message in the past
It becomes.
つまり、(1)はマルチキャストグループから離脱した場合、(2)はマルチキャストグループに新規参入した場合、(3)はマルチキャストグループに継続して参入した場合を示す。また、この図5では、ONU情報52として論理リンク情報としてのLLIDを用いており、受信したIGMPメンバーシップレポートメッセージに含まれる論理リンク情報(LLID)を格納する。
That is, (1) shows a case where the user has left the multicast group, (2) shows a case where a new entry has been made in the multicast group, and (3) shows a case where the customer has continuously entered the multicast group. In FIG. 5, LLID as logical link information is used as
図6は、ONU2に設けられる暗号鍵管理テーブル19の記憶内容の一例を示すものである。暗号鍵管理テーブル19では、鍵面31と暗号鍵32との対応を管理する。
FIG. 6 shows an example of the contents stored in the encryption key management table 19 provided in the
次に動作について説明する。まず、図7,図8に示すフローチャートに従ってマルチキャストグループにONUが参入または離脱する際の動作を説明する。OLT1のNNI部7に接続される上位網からIGMPクエリーメッセージを受信すると(図7のステップS100)、OLT1では、IGMPフィルタ部10bにてIGMPクエリーメッセージを抽出し、IGMP解析部14へ転送するとともに、PON制御部9にも転送する。PON制御部9に転送されたIGMPクエリーメッセージは、PON制御部9によってブロードキャスト論理リンクを用いて光送受信部8を介して全てのONU2に配信される。各ONU2では、受信したIGMPクエリーメッセージをUNI部16に接続された図示しない各端末に転送する。IGMPクエリーメッセージは、ONU2へ配信する際に暗号化されない。
Next, the operation will be described. First, the operation when an ONU enters or leaves a multicast group will be described with reference to the flowcharts shown in FIGS. When the IGMP query message is received from the upper network connected to the NNI unit 7 of the OLT 1 (step S100 in FIG. 7), the
一方、IGMP解析部14は、IGMPフィルタ部10bからIGMPクエリーメッセージを受信したら、これに対する応答を監視するための図示しないタイマを起動する。タイマ満了値は、IGMPクエリーメッセージで指定された最大応答時間(Max Response Time値)を元に決定する。さらにIGMP解析部14は、ONU管理テーブル21に格納されている全てのエントリのフラグ53を「離脱」に書き換える(ステップS101,S102)。この後、IGMP解析部14は、IGMPメンバーシップレポートメッセージの受信に待機するレポート待ち状態となる(ステップS103)。
On the other hand, when receiving the IGMP query message from the
IGMPクエリーメッセージを受信した端末がマルチキャストグループへの参入を行う場合、IGMPメンバーシップレポートメッセージを送信する。端末が送信するIGMPメンバーシップレポートメッセージには、マルチキャストグループを識別するIPマルチキャストアドレスが含まれる。端末から送信されたIGMPメンバーシップレポートメッセージは、ONU2を介してOLT1に転送される。OLT1では、IGMPメンバーシップレポートメッセージを受信すると、IGMPフィルタ部10aにてIGMPメンバーシップレポートメッセージを抽出し、IGMP解析部14へ転送するとともに、IGMPメンバーシップレポートメッセージをNNI部7を介して上位網にも転送する。IGMPフィルタ部10aでは、IGMPメンバーシップレポートメッセージをIGMP解析部14へ転送する際には、メンバーシップレポートメッセージと共にこのメンバーシップレポートメッセージをどのONUから受信したかを示すONU識別情報(メンバーシップレポートメッセージが転送されてきた論理リンク情報(LLID)で可)も転送する(図8のステップS104)。
When the terminal that has received the IGMP query message enters the multicast group, it transmits an IGMP membership report message. The IGMP membership report message transmitted by the terminal includes an IP multicast address that identifies the multicast group. The IGMP membership report message transmitted from the terminal is transferred to the
IGMP解析部14は、IGMPクエリーメッセージを受信した際に起動したタイマが満了する前にIGMPメンバーシップレポートメッセージを受信すると、IPマルチキャストアドレスを該IPマルチキャストアドレスに対応するマルチキャストMACアドレスに変換し(この変換規則は規格により決められている)、この変換したマルチキャストMACアドレスをキーとして、図5に示したONU管理テーブル21を検索する(ステップS105)。このマルチキャストMACアドレスをキーとした検索によって、ONU管理テーブル21にヒットするエントリが存在する場合は、ONU管理テーブル21に既存マルチキャストグループが存在している場合であり、ヒットするエントリが存在しない場合は、ONU管理テーブル21に新規マルチキャストグループのエントリを新たに追加しなくてはいけない場合である。
When receiving the IGMP membership report message before the timer started when the IGMP query message is received, the
(A)ヒットするマルチキャストMACアドレスのエントリが存在する場合
マルチキャストMACアドレスをキーとした検索によって、ONU管理テーブル21にヒットするエントリが存在する場合は(ステップS106Yes)、IGMP解析部14から転送されたメンバーシップレポートメッセージに付随されている前述のONU識別情報(論理リンク情報)をキーとして、ヒットしたマルチキャストMACアドレスのエントリに含まれるONU情報52を検索する(ステップS107)。この検索により、ヒットするONU情報が存在する場合は、当該ONU情報に対応するエントリのフラグを「継続」に書き換える(ステップS109)。一方、ヒットするONU情報が存在しない場合は、ONU管理テーブル21のヒットしたマルチキャストMACアドレスに対応するエントリに新たなONU情報のエントリを追加する(ステップS110)。すなわち、新たなONU情報のエントリにはONU識別情報(論理リンク情報)を格納し、そのフラグ53には「新規」を設定する。
(A) When there is an entry with a multicast MAC address to be hit If there is an entry with a hit in the ONU management table 21 by a search using the multicast MAC address as a key (Yes in step S106), the entry is transferred from the
(B)ヒットするマルチキャストMACアドレスのエントリが存在しない場合
マルチキャストMACアドレスをキーとした検索によって、ONU管理テーブル21にヒットするエントリが存在しない場合は(ステップS106NO)、ONU管理テーブル21に新たにマルチキャストMACアドレスのエントリを追加する(ステップS111)。すなわち、MACアドレス51の欄には検索キーのマルチキャストMACアドレスを格納し、ONU情報52にはONU識別情報(論理リンク情報)を格納し、そのフラグ53には「新規」を設定する。
(B) When there is no entry with a hit multicast MAC address When there is no hit entry in the ONU management table 21 by the search using the multicast MAC address as a key (step S106 NO), a multicast is newly added to the ONU management table 21. An entry for the MAC address is added (step S111). That is, the
IGMP解析部14は、IGMPクエリーメッセージを受信した際に起動したタイマが満了するまで、以上の処理を実施する。タイマが満了したら(ステップS125)、暗号鍵生成/更新部15に対して、暗号鍵生成要求を出力する(ステップS126)。なお、IGMP解析部14は、IGMPクエリーメッセージを受信した場合は(ステップS120)、IGMPレポートメッセージを監視するための前述のタイマを再起動する(ステップS121)。
The
つぎに、図9を参照して暗号鍵生成/更新部15における動作を説明する。暗号鍵生成/更新部15は、IGMP解析部14から暗号鍵生成要求を受信すると(ステップS200)、ONU管理テーブル21に格納された各MACアドレスのエントリ内容を参照する(ステップS201、S202)。ONU管理テーブル21に登録されている各MACアドレスのエントリ内容、すなわちフラグ53の状態に応じて以下の処理を、全てのMACアドレスのエントリについて実行する。(ステップS203〜S205)。
Next, the operation of the encryption key generation /
(a)当該MACアドレスのエントリが全て「新規」の場合(ケース1)
このケース1は、新たなマルチキャストグループが作成された場合であり、図10に従ってその動作を説明する。暗号鍵生成/更新部15は、当該マルチキャストグループ用の新たな暗号鍵を生成する。この際、1つのマルチキャストグループあたり2面の鍵管理を行うため、2つの異なる暗号鍵を生成し(図10ステップS300)、それぞれに対して鍵面を割り当て、マルチキャストグループ管理テーブル11に新たなMACアドレスのエントリを生成する(ステップS301)。割り当てる鍵面は、すべてのマルチキャスト用暗号鍵で一意の値とする。さらに暗号鍵生成/更新部15は、生成した暗号鍵をONU2に通知するために、生成した暗号鍵と割り当てた鍵面を含む、例えば図11に示すような暗号鍵生成/更新メッセージを生成してPON制御部9に送信する(ステップS302)。その際、この暗号鍵生成/更新メッセージを送信すべきあて先を示す1〜複数のONU識別情報(論理リンク情報)もPON制御部9に通知する。これによりPON制御部9は、マルチキャストグループに参入した端末を収容する1〜複数のONU2に対して、前述の当該ONU2に設定されたユニキャスト論理リンクで使用中の暗号鍵により暗号鍵生成/更新メッセージを暗号化した上で、ユニキャスト論理リンクに暗号鍵生成/更新メッセージを送信する。図11に示すように、暗号鍵生成/更新メッセージにおいては、メッセージ種別は、暗号鍵生成/更新となり、生成/更新すべき2つの鍵面とこれら2つの鍵面に対応する暗号鍵が含まれている。
(A) When all entries of the MAC address are “new” (case 1)
この暗号鍵生成/更新メッセージを受信したONU2では、復号処理部20において当該ONU2に設定されたユニキャスト論理リンクで使用中の暗号鍵を用いて暗号鍵生成/更新メッセージを復号し、PON制御部18において暗号鍵生成/更新メッセージを解析し、鍵面をキーに暗号鍵管理テーブル19を検索する。そして、PON制御部18は、暗号鍵管理テーブル19に一致する鍵面のエントリが存在しないと判断した場合には、暗号鍵生成/更新メッセージに含まれる暗号鍵と鍵面の情報を暗号鍵管理テーブル19に追加登録する。また、PON制御部18は、暗号鍵管理テーブル19に一致するエントリが存在すると判断した場合には、当該エントリの暗号鍵を暗号鍵生成/更新メッセージに含まれる暗号鍵に書き換える。
In the
(b)当該MACアドレスのエントリが全て「継続」の場合(ケース2)
このケース2は、既存のマルチキャストグループにおいて、参入メンバーに変更がない場合であり、図12に示すように、暗号鍵生成/更新部15は何も処理しない。
(B) When all entries of the MAC address are “continue” (Case 2)
This
(c)当該MACアドレスのエントリが全て「離脱」の場合(ケース3)
このケース3は、既存のマルチキャストグループにおいて、全てのメンバーが離脱した場合であり、図13に従って暗号鍵生成/更新部15の動作を説明する。暗号鍵生成/更新部15は、ONU管理テーブル21の当該MACアドレスのエントリを削除し(ステップS310)、さらにこのMACアドレスをキーとしてマルチキャストグループ管理テーブル11を検索する。その結果、ヒットしたMACアドレスのエントリを削除する(ステップS311)。
(C) When all entries of the MAC address are “leave” (case 3)
なお、このケース3の場合、ONU2において、暗号鍵管理テーブル19における不要となったエントリを削除させるようにしてもよい。この場合、暗号鍵生成/更新部15は、上記処理に加えて、当該マルチキャストグループで使用していた暗号鍵と鍵面の情報を含む、図14に示すような暗号鍵削除メッセージを生成し、PON制御部9に送信する(ステップS312)。その際、削除すべき各エントリに含まれるONU情報もPON制御部9に通知する。これによりPON制御部9は、マルチキャストグループから離脱した端末を収容するONU2に対して、当該ONU2に設定されたユニキャスト論理リンクで使用中の暗号鍵により暗号鍵削除メッセージを暗号化した上で、ユニキャスト論理リンクに暗号鍵削除メッセージを送信する。この暗号鍵削除メッセージを受信したONU2では、復号処理部20において暗号鍵削除メッセージを復号し、PON制御部18において暗号鍵削除メッセージを解析し、鍵面をキーに暗号鍵管理テーブル19を検索する。一致するエントリが存在した場合には、当該エントリを暗号鍵管理テーブル19から削除する。図14に示すように、暗号鍵削除メッセージにおいては、メッセージ種別は、暗号鍵削除となり、削除すべき2つの鍵面とこれら2つの鍵面に対応する暗号鍵が含まれている。
In this
(d)当該MACアドレスのエントリが「新規」と「継続」の場合(ケース4)
このケース4は、既存のマルチキャストグループに、新たにONUのメンバーが参入した場合であり、図15にしたがって暗号鍵生成/更新部15の動作を説明する。ケース4の場合、暗号鍵生成/更新部15は、MACアドレスをキーとしてマルチキャストグループ管理テーブル11を検索する(ステップS320)。その結果、ヒットしたMACアドレスのエントリに格納された暗号鍵と鍵面の情報を含む図11に示したような暗号鍵生成/更新メッセージを生成し、PON制御部9に送信する(ステップS321)。その際、暗号鍵生成/更新部15は、フラグ53が「新規」のエントリのONU情報をPON制御部9に通知する。これによりPON制御部9は、当該マルチキャストグループに新たに参入した端末を収容するONU2に対して、当該ONU2に設定されたユニキャスト論理リンクで使用中の暗号鍵により暗号鍵生成/更新メッセージを暗号化した上で、ユニキャスト論理リンクに暗号鍵生成/更新メッセージを送信する。
(D) When the MAC address entries are “new” and “continue” (case 4)
この暗号鍵生成/更新メッセージを受信したONU2は、復号処理部20において前記同様にして暗号鍵生成/更新メッセージを復号し、PON制御部18において暗号鍵生成/更新メッセージを解析し、鍵面をキーに暗号鍵管理テーブル19を検索する。PON制御部18は、一致するエントリが存在しないと判断した場合には、暗号鍵生成/更新メッセージに含まれる暗号鍵と鍵面の情報を暗号鍵管理テーブル19に追加登録する。PON制御部18は、一致するエントリが存在すると判断した場合には、当該エントリの暗号鍵を暗号鍵生成/更新メッセージに含まれる暗号鍵に書き換える。
The
(e)当該MACアドレスのエントリが「新規」と「離脱」の場合(ケース5)
このケース5は、既存のマルチキャストグループにおいて全ての既存メンバーが離脱し、かつ新たにメンバーが参入した場合であり、図16に従って暗号鍵生成/更新部15の動作を説明する。ケース5の場合、暗号鍵生成/更新部15は、まずONU管理テーブル21の当該MACアドレスのエントリから「離脱」のONUのエントリを削除する(ステップS330)。また、暗号鍵生成/更新部15は、当該マルチキャストグループ用の新たな暗号鍵を2面分生成する(ステップS331)。さらに暗号鍵生成/更新部15は、MACアドレスをキーとしてマルチキャストグループ管理テーブル11を検索し、ヒットしたMACアドレスのエントリの暗号鍵を、新たに生成した暗号鍵で書き換える(ステップS332)。さらに暗号鍵生成/更新部15は、生成した暗号鍵をONU2に通知するために、生成した暗号鍵と鍵面を格納した図11に示したような暗号鍵生成/更新メッセージを生成し、PON制御部9に送信する(ステップS333)。その際、暗号鍵生成/更新部15は、ONU管理テーブル21において「新規」のエントリのONU情報もPON制御部9に通知する。これによりPON制御部9は、当該マルチキャストグループに参入した端末を収容するONU2に対して(この場合新規エントリのONUに対して)、当該ONU2に設定されたユニキャスト論理リンクで使用中の暗号鍵により暗号鍵生成/更新メッセージを暗号化した上で、ユニキャスト論理リンクにメッセージを送信する。
(E) When the entry of the MAC address is “new” and “leave” (case 5)
この暗号鍵生成/更新メッセージを受信したONU2は、復号処理部20において暗号鍵生成/更新メッセージを復号し、PON制御部18において暗号鍵生成/更新メッセージを解析し、鍵面をキーに暗号鍵管理テーブル19を検索する。PON制御部18は、一致するエントリが存在しないと判断した場合には、暗号鍵生成/更新メッセージに含まれる暗号鍵と鍵面の情報を暗号鍵管理テーブル19に追加登録する。PON制御部18は、一致するエントリが存在すると判断した場合には、当該エントリの暗号鍵を暗号鍵生成/更新メッセージに含まれる暗号鍵に書き換える。
Upon receiving this encryption key generation / update message, the
なお、マルチキャストグループから離脱した端末を収容するONU2において、暗号鍵管理テーブル19における不要となったエントリを削除させるようにしてもよい。この場合、OLT1の暗号鍵生成/更新部15では、上記処理に加えて、当該マルチキャストグループで使用していた(更新前の)暗号鍵と鍵面の情報を含む図14に示すような暗号鍵削除メッセージを生成し、PON制御部9に送信する(ステップS334)。その際、暗号鍵生成/更新部15では、「離脱」のエントリのONU情報もPON制御部9に通知する。これによりPON制御部9は、マルチキャストグループから離脱した端末を収容するONU2に対して、当該ONU2に設定されたユニキャスト論理リンクで使用中の暗号鍵により暗号鍵削除メッセージを暗号化した上で、ユニキャスト論理リンクにメッセージを送信する。この暗号鍵削除メッセージを受信したONU2では、復号処理部20において暗号鍵削除メッセージを復号し、PON制御部18において暗号鍵削除メッセージを解析し、鍵面をキーに暗号鍵管理テーブル19を検索する。そして、一致する鍵面のエントリが存在した場合には、当該エントリを暗号鍵管理テーブル19から削除する。
In the
(f)当該MACアドレスのエントリが「継続」と「離脱」の場合(ケース6)
このケース6は、既存のマルチキャストグループにおいて一部のメンバーが離脱した場合であり、図17に従って暗号鍵生成/更新部15の動作を説明する。ケース6においては、暗号鍵生成/更新部15は、まずONU管理テーブル21の当該MACアドレスのエントリから「離脱」のONUエントリを削除する(ステップS340)。また、暗号鍵生成/更新部15は、当該マルチキャストグループ用の新たな暗号鍵を1面生成する(ステップS341)。さらに暗号鍵生成/更新部15は、当該MACアドレスをキーとしてマルチキャストグループ管理テーブル11を検索する(ステップS342)。その結果、ヒットしたエントリの2面の暗号鍵のうち、その時点で暗号処理において使用されていない面の暗号鍵を、新たに生成した暗号鍵で書き換える(ステップS343)。さらに暗号鍵生成/更新部15は、生成した暗号鍵をONU2に通知するために、マルチキャストグループ管理テーブル11の当該エントリに格納された2面分の暗号鍵と鍵面とを含む図11に示したような暗号鍵生成/更新メッセージを生成し、PON制御部9に送信する(ステップS344)。その際、ONU管理テーブル21における当該MACアドレスのエントリ中で「継続」のエントリのONU情報もPON制御部9に通知する。これによりPON制御部9は、マルチキャストグループに引き続き参入している端末を収容するONU2に対して、当該ONU2に設定されたユニキャスト論理リンクで使用中の暗号鍵により暗号鍵生成/更新メッセージを暗号化した上で、ユニキャスト論理リンクにメッセージを送信する。
(F) When the MAC address entry is “continue” or “leave” (case 6)
この暗号鍵生成/更新メッセージを受信したONU2は、復号処理部20において前述と同様にしてメッセージを復号し、PON制御部18において暗号鍵生成/更新メッセージを解析し、鍵面をキーに暗号鍵管理テーブル19を検索する。PON制御部18は、一致するエントリが存在しない場合には、暗号鍵生成/更新メッセージに含まれる暗号鍵と鍵面の情報を暗号鍵管理テーブル19に追加登録する。PON制御部18は、一致するエントリが存在する場合には、当該エントリの暗号鍵を暗号鍵生成/更新メッセージに含まれる暗号鍵に書き換える。
The
ここで、使用する暗号鍵を新たに生成した暗号鍵に切り替えるため、暗号鍵生成/更新部15は、暗号鍵生成/更新メッセージを生成してからある時間経過後(ステップS345、暗号鍵生成/更新メッセージがONUにて処理されると見込まれる時間になったら)、暗号鍵検索部12に対して、暗号鍵切り替え指示を出力する(ステップS346)。その際、当該マルチキャストグループのMACアドレスも通知する。暗号鍵検索部12は、この通知を受けることにより、当該マルチキャストグループにおいて使用する暗号鍵の鍵面を切り替える。
Here, in order to switch the encryption key to be used to the newly generated encryption key, the encryption key generating / updating
なお、マルチキャストグループから離脱した端末を収容するONU2において、暗号鍵管理テーブル19における不要となったエントリを削除させるようにしてもよい。この場合、暗号鍵生成/更新部15は、上記処理に加えて、当該マルチキャストグループで使用していた(更新前の)暗号鍵と鍵面の情報を含む暗号鍵削除メッセージを生成し、PON制御部9に送信する(ステップS347)。その際、「離脱」のエントリのONU情報もPON制御部9に通知する。これによりPON制御部9は、マルチキャストグループから離脱した端末を収容するONU2に対して、当該ONU2に設定されたユニキャスト論理リンクで使用中の暗号鍵により暗号鍵削除メッセージを暗号化した上で、ユニキャスト論理リンクにメッセージを送信する。この暗号鍵削除メッセージを受信したONU2では、復号処理部20において暗号鍵削除メッセージを復号し、PON制御部18において暗号鍵削除メッセージを解析し、鍵面をキーに暗号鍵管理テーブル19を検索する。そして、一致するエントリが存在した場合には、当該エントリを暗号鍵管理テーブル19から削除する。
In the
(g)当該MACアドレスのエントリが「新規」「継続」「離脱」の場合(ケース7)
このケース7は、既存のマルチキャストグループにおいて、一部のメンバーが離脱し、かつ新たにメンバーが参入した場合であり、図18に従って暗号鍵生成/更新部15の動作を説明する。ケース7では、まず、暗号鍵生成/更新部15は、ONU管理テーブル21の当該MACアドレスのエントリから「離脱」のONUエントリを削除する(ステップS350)。また、暗号鍵生成/更新部15は、当該マルチキャストグループ用の新たな暗号鍵を1面生成する(ステップS351)。さらに暗号鍵生成/更新部15は、当該MACアドレスをキーとしてマルチキャストグループ管理テーブル11を検索する(ステップS352)。その結果、ヒットしたエントリの2面の暗号鍵のうち、その時点で暗号処理において使用されていない面の暗号鍵を、新たに生成した暗号鍵で書き換える(ステップS353)。さらに暗号鍵生成/更新部15は、生成した暗号鍵をONU2に通知するために、マルチキャストグループ管理テーブル11の当該MACアドレスのエントリに格納された2面分の暗号鍵と鍵面とを含む図11に示したような暗号鍵生成/更新メッセージを生成し、PON制御部9に送信する(ステップS354)。その際、暗号鍵生成/更新部15は、フラグ53が「新規」および「継続」のエントリのONU情報をPON制御部9に通知する。これによりPON制御部9は、マルチキャストグループに新たに参入した端末や引き続き参入している端末を収容するONU2に対して、当該ONU2に設定されたユニキャスト論理リンクで使用中の暗号鍵により暗号鍵生成/更新メッセージを暗号化した上で、ユニキャスト論理リンクに暗号鍵生成/更新メッセージを送信する。
(G) When the MAC address entry is “new”, “continue”, or “leave” (case 7)
Case 7 is a case in which some members leave and new members join in an existing multicast group. The operation of the encryption key generation /
この暗号鍵生成/更新メッセージを受信したONU2では、復号処理部20において暗号鍵生成/更新メッセージを復号し、PON制御部18において暗号鍵生成/更新メッセージを解析し、鍵面をキーに暗号鍵管理テーブル19を検索する。PON制御部18は、一致するエントリが存在しないと判断した場合には、暗号鍵生成/更新メッセージに含まれる暗号鍵と鍵面の情報を暗号鍵管理テーブル19に追加登録する。PON制御部18は、一致するエントリが存在すると判断した場合には、当該エントリの暗号鍵を暗号鍵生成/更新メッセージに含まれる暗号鍵に書き換える。
In the
ここで、使用する暗号鍵を新たに生成した暗号鍵に切り替えるため、暗号鍵生成/更新部15は、暗号鍵生成/更新メッセージを生成してからある時間経過後(ステップS355,暗号鍵生成/更新メッセージがONUにて処理されると見込まれる時間になったら)、暗号鍵検索部12に対して、暗号鍵切り替え指示を行う(ステップS356)。その際、当該マルチキャストグループのMACアドレスも通知する。暗号鍵検索部12は、この通知を受けることにより、使用する暗号鍵の鍵面を切り替える。
Here, in order to switch the encryption key to be used to the newly generated encryption key, the encryption key generating / updating
なお、マルチキャストグループから離脱した端末を収容するONU2において、暗号鍵管理テーブル19における不要となったエントリを削除させるようにしてもよい。この場合、暗号鍵生成/更新部15は、上記処理に加えて、当該マルチキャストグループで使用していた(更新前の)暗号鍵と鍵面の情報を含む暗号鍵削除メッセージを生成し、PON制御部9に送信する(ステップS357)。その際、「離脱」のエントリのONU情報もPON制御部9に通知する。これによりPON制御部9は、マルチキャストグループから離脱した端末を収容するONU2に対して、当該ONU2に設定されたユニキャスト論理リンクで使用中の暗号鍵により暗号鍵削除メッセージを暗号化した上で、ユニキャスト論理リンクにメッセージを送信する。この暗号鍵削除メッセージを受信したONU2では、復号処理部20においてメッセージを復号し、PON制御部18において暗号鍵削除メッセージを解析し、鍵面をキーに暗号鍵管理テーブル19を検索する。そして、一致するエントリが存在した場合には、当該エントリを暗号鍵管理テーブル19から削除する。
In the
次に、マルチキャストフレームの処理動作を示す。マルチキャストフレームが上位網から転送されると、OLT1の暗号鍵検索部12ではマルチキャストフレーム中のあて先MACアドレスをキーにマルチキャストグループ管理テーブル11を検索し、ヒットしたエントリのうちのいずれかの暗号鍵を選択する。この場合、ある時間が経過したら使用する暗号鍵を切り替える(鍵面を切り替える)ようにしている。その後、暗号処理部13において、選択された暗号鍵を用いてマルチキャストフレームを暗号化し、暗号化したマルチキャストフレームをブロードキャスト論理リンクに送信する。なお、暗号化したマルチキャストフレームには、使用した暗号鍵の鍵面を付加する。図19は暗号化されたマルチキャストフレームの一例を示すものである。図19においては、鍵面情報をプリアンブルに格納し、暗号化範囲をMACフレームのDA(宛先アドレス)からFCSまでとしている。鍵面情報は、具体的にはフレームが暗号化されているかどうかを示すフラグ(ENC)と使用された暗号鍵の鍵面から構成される。
Next, a multicast frame processing operation will be described. When the multicast frame is transferred from the upper network, the encryption
各ONUは、復号処理部20において、マルチキャストフレームに付加された鍵面をキーに暗号鍵管理テーブル19を検索する。マルチキャストグループに参入した端末を収容するONU2では、ヒットしたエントリの暗号鍵を使ってマルチキャストフレームを復号し、これを端末へ転送する。マルチキャストグループに参入した端末を収容していないONUでは、暗号鍵管理テーブル19の検索においてミスヒットとなり、フレームを復号できないか、ヒットした暗号鍵が実際に使用された暗号鍵と違うためにフレームを復号できない。
Each ONU searches the encryption key management table 19 using the key surface added to the multicast frame as a key in the
次に、図9を用いてマルチキャスト用暗号鍵の更新方法について説明する。暗号鍵は、最後に更新されてからある期間経過後に更新する。この暗号鍵更新周期は、暗号鍵面切り替え周期よりも短くする。 Next, the multicast encryption key update method will be described with reference to FIG. The encryption key is updated after a certain period has elapsed since the last update. The encryption key update cycle is shorter than the encryption key surface switching cycle.
暗号鍵生成/更新部15は、マルチキャストグループごとに暗号鍵更新周期を検出するためのタイマを制御する。暗号鍵生成/更新部15では、新たな暗号鍵を生成した際に本タイマを起動または再起動し、本タイマが満了したら(ステップS210)、当該マルチキャストグループ用の新たな暗号鍵を生成する(ステップS211)。さらに暗号鍵生成/更新部15は、MACアドレスをキーとしてマルチキャストグループ管理テーブル11を検索する(ステップS212)。その結果、ヒットしたMACアドレスのエントリに含まれる2面の暗号鍵のうち、その時点で暗号処理において使用されていない面の暗号鍵を、新たに生成した暗号鍵で書き換える(ステップS213)。さらに暗号鍵生成/更新部15は、生成した暗号鍵を、当該マルチキャストグループに参入している端末を収容する全てのONUに通知するために、生成した暗号鍵と鍵面を格納した暗号鍵生成/更新メッセージを生成し、PON制御部9に送信する(ステップS214)。その際、暗号鍵生成/更新部15は、当該マルチキャストグループのMACアドレスもPON制御部9に通知する。これによりPON制御部9は、全てのONU2に対して、指定されたMACアドレスで示されるマルチキャストグループで使用中の暗号鍵により暗号鍵生成/更新メッセージを暗号化した上で、ブロードキャスト論理リンクに暗号鍵生成/更新メッセージを送信する。
The encryption key generation /
当該マルチキャストグループに参入している端末を収容するONU2では、暗号鍵生成/更新メッセージを受信すると、復号処理部20においてメッセージを復号し、PON制御部18において暗号鍵生成/更新メッセージを解析し、鍵面をキーに暗号鍵管理テーブル19を検索する。PON制御部18は、一致するエントリが存在しないと判断した場合には、暗号鍵生成/更新メッセージに含まれる暗号鍵と鍵面の情報を暗号鍵管理テーブル19に追加登録する。PON制御部18は、一致するエントリが存在する場合には、当該エントリの暗号鍵を暗号鍵生成/更新メッセージに含まれる暗号鍵に書き換える。一方、当該マルチキャストグループに参入している端末を収容していないONU2では、暗号化された暗号鍵生成/更新メッセージを受信しても、暗号鍵管理テーブル19の検索においてミスヒットとなり、フレームを復号できないか、あるいはヒットした暗号鍵が実際に使用された暗号鍵と違うためにフレームを復号できない。
When receiving the encryption key generation / update message in the
このように本実施の形態によれば、IGMPのスヌープをOLT1においてのみ実施すればよく、ONU2でのIGMPスヌープ機能は不要となるので、ONU2での装置コストを低下することができる。また、暗号鍵の鍵面情報を全マルチキャストグループでユニークになるように割り当てるようにしたため、マルチキャストグループを識別するIDは特に不要で、かつ暗号化データにもそのようなIDが不要となる。さらに1つのマルチキャストグループに複数の暗号鍵を保持し、通信中やマルチキャストグループへの参入状況変化に応じて、定期的に暗号鍵を更新したり、使用する暗号鍵(鍵面)を切り換えるようにしたため、ONUにおける暗号鍵の残存や解読によるデータ漏洩を回避することができ、高いセキュリティ機能を得ることができる。
As described above, according to the present embodiment, IGMP snooping only needs to be performed in the
なお、上記実施の形態では、マルチキャストグループのONUの参入や離脱を、OLTがIGMPをスヌープすることにより認識する場合を示したが、IPマルチキャストアドレスに代表されるマルチキャスト配信先情報が含まれるプロトコルであれば、MLD(Multicast Listener Discovery)やその他のマルチキャスト制御用プロトコルをスヌープするようにしてもよい。 In the above-described embodiment, the case where the OLT recognizes the entry / exit of the ONU of the multicast group by snooping IGMP is shown. However, the protocol includes a multicast delivery destination information represented by an IP multicast address. If so, MLD (Multicast Listener Discovery) and other multicast control protocols may be snooped.
また、上記実施の形態では、マルチキャストグループのONUの参入や離脱を、OLTがIGMPをスヌープすることにより認識する場合を示したが、OLT1のCPU部6に対して外部制御コンソールから指示するようにしてもよい。この場合には、IF部5におけるIGMPフィルタ部10a、10bは不要となり、CPU部6のIGMP解析部14の代わりに、制御コンソールからの指示を解析する処理部が必要となる。
In the above embodiment, the case where the OLT recognizes the entry or withdrawal of the ONU of the multicast group by snooping the IGMP has been described. However, the
また、上記実施の形態では、マルチキャストグループの検索のためにMACアドレスをキーとした場合を示したが、マルチキャストIPグループアドレスをキーとして検索しても同等の効果が得られる。この場合には、マルチキャストグループ管理テーブル11およびONU管理テーブル21において、MACアドレス25の代わりに、マルチキャストIPグループアドレスを管理することとなる。
In the above embodiment, the case where the MAC address is used as a key for searching for a multicast group has been described. However, the same effect can be obtained by searching using the multicast IP group address as a key. In this case, the multicast IP group address is managed instead of the
また、上記実施の形態では、暗号鍵生成/更新メッセージおよび暗号鍵削除メッセージをOAMフレームの一種に定義する場合の例を示したが、ONUにて暗号鍵生成/更新メッセージおよび暗号鍵削除メッセージを識別できるフォーマットであれば、OAMフレームに定義しなくてもよい。また、上記実施の形態では、1つのマルチキャストグループに2面の暗号鍵を割り当てるようにしたが、1つのマルチキャストグループに3個以上の暗号鍵を割り当てるようにしてもよい。 In the above embodiment, an example in which an encryption key generation / update message and an encryption key deletion message are defined as a kind of OAM frame is shown. However, an ONU generates an encryption key generation / update message and an encryption key deletion message. Any format that can be identified need not be defined in the OAM frame. In the above embodiment, two encryption keys are assigned to one multicast group, but three or more encryption keys may be assigned to one multicast group.
以上のように、本発明にかかるPONシステムは、MACフレームにより加入者側装置と局側装置との間でデータ送受信を行い、論理リンクを用いた通信を行うPONシステムに有用である。 As described above, the PON system according to the present invention is useful for a PON system that performs data transmission / reception between a subscriber-side device and a station-side device using a MAC frame and performs communication using a logical link.
1 局側装置(OLT)
2 加入者側装置(ONU)
3 光ファイバ
4 光分波器
5 インタフェース部(IF部)
6 CPU部
7 NNI部
8 光送受信部
9 PON制御部
10a,10b IGMPフィルタ部
11 マルチキャストグループ管理テーブル
12 暗号鍵検索部
13 暗号処理部
14 IGMP解析部
15 暗号鍵生成/更新部
16 UNI部
17 光送受信部
18 PON制御部
19 暗号鍵管理テーブル
20 復号処理部
21 ONU管理テーブル
1 Station side equipment (OLT)
2 Subscriber side equipment (ONU)
3
6 CPU part 7
Claims (7)
前記局側装置は、
マルチキャストグループと当該マルチキャストグループに属する複数の暗号鍵との対応関係を全てのマルチキャスト用暗号鍵で一意の鍵面情報によって管理するマルチキャストグループ管理テーブルと、
マルチキャストグループ毎に当該マルチキャストグループに属する1〜複数の加入者側装置の参入状況情報を管理する加入者側装置管理テーブルと、
マルチキャスト制御用のIPプロトコルをスヌープすることにより、マルチキャストグループへの加入者側装置の参入および離脱を認識し、この認識結果に基づいて前記加入者側装置管理テーブルにおける前記参入状況情報を更新するスヌープ手段と、
前記加入者側装置管理テーブルの内容に基づいてマルチキャストグループごとに暗号鍵を生成し、生成した暗号鍵を前記マルチキャストグループ管理テーブルに登録するとともに、該生成した暗号鍵を対応する鍵面情報とともにマルチキャストに参入した加入者側装置にユニキャスト論理リンクを使って配布する暗号鍵配布手段と、
前記マルチキャストグループ管理テーブルに登録されたマルチキャストグループに対応する暗号鍵を用いてマルチキャストフレームを暗号化した上で、当該マルチキャストフレームを暗号化する際に使用した暗号鍵を識別する鍵面情報を含むマルチキャストフレームをブロードキャスト論理リンクを使って加入者側装置に送信するマルチキャスト手段と、
を備え、
前記加入者側装置は、
マルチキャストグループで使用すべき暗号鍵と鍵面情報との対応関係を記憶する暗号鍵管理テーブルと、
マルチキャスト制御用のIPプロトコルをスヌープすることなく、前記ユニキャスト論理リンクを使って局側装置から配布された暗号鍵および鍵面情報に基づいて前記暗号鍵管理テーブルに対する登録制御を行う暗号鍵登録手段と、
前記ブロードキャスト論理リンクを使って受信したマルチキャストフレームに含まれる鍵面情報に対応する暗号鍵を前記暗号鍵管理テーブルから取得し、取得した暗号鍵を用いて受信したマルチキャストフレームを復号して、収容している加入者端末に送信する復号手段と、
を備えることを特徴とするPONシステム。 A subscriber side device accommodating one or more subscriber terminals and a station side device accommodating one to a plurality of subscriber side devices and connected to an IP network are connected by an optical transmission medium, In a PON system that performs data transmission / reception between a subscriber-side device and a station-side device and performs communication using a logical link,
The station side device
A multicast group management table for managing a correspondence relationship between a multicast group and a plurality of encryption keys belonging to the multicast group by unique key surface information for all multicast encryption keys;
A subscriber side device management table for managing entry status information of one to a plurality of subscriber side devices belonging to the multicast group for each multicast group;
A snoop for recognizing entry / exit of a subscriber side device to / from a multicast group by snooping the IP protocol for multicast control, and updating the entry status information in the subscriber side device management table based on the recognition result Means,
An encryption key is generated for each multicast group based on the contents of the subscriber side device management table, the generated encryption key is registered in the multicast group management table, and the generated encryption key is multicast together with corresponding key surface information. An encryption key distribution means for distributing to a subscriber side device that has entered the network using a unicast logical link;
Multicast including key plane information for identifying the encryption key used when encrypting the multicast frame after encrypting the multicast frame using the encryption key corresponding to the multicast group registered in the multicast group management table A multicast means for transmitting the frame to the subscriber side device using a broadcast logical link;
With
The subscriber side device is:
An encryption key management table for storing a correspondence relationship between encryption keys to be used in the multicast group and key surface information;
Encryption key registration means for performing registration control on the encryption key management table based on the encryption key and key surface information distributed from the station side device using the unicast logical link without snooping the IP protocol for multicast control When,
The encryption key corresponding to the key information included in the multicast frame received using the broadcast logical link is acquired from the encryption key management table, and the received multicast frame is decrypted using the acquired encryption key and accommodated. Decoding means for transmitting to a subscriber terminal,
A PON system comprising:
前記加入者側装置の暗号鍵登録手段は、前記暗号鍵生成/更新メッセージを受信した場合は、受信した暗号鍵生成/更新メッセージに含まれる暗号鍵および鍵面情報を前記暗号鍵管理テーブルに登録することを特徴とする請求項1または2に記載のPONシステム。 The encryption key distribution means of the station side device adds a new encryption code when the subscriber side device joins a new multicast group that does not correspond to any of the multicast groups already registered in the subscriber side device management table. A key is generated, and an encryption key generation / update message including the generated encryption key and key surface information is transmitted to the joining subscriber apparatus, and the new multicast group, key surface information, and encryption are added to the multicast group management table. Register additional correspondence with the key,
When receiving the encryption key generation / update message, the encryption key registration means of the subscriber side device registers the encryption key and key surface information included in the received encryption key generation / update message in the encryption key management table. The PON system according to claim 1 or 2, characterized in that:
前記加入者側装置の暗号鍵登録手段は、前記暗号鍵生成/更新メッセージを受信した場合は、受信した暗号鍵生成/更新メッセージに含まれる暗号鍵および鍵面情報を前記暗号鍵管理テーブルに登録することを特徴とする請求項1〜3の何れか一つに記載のPONシステム。 The encryption key distribution means of the station side device is used in the multicast group when the subscriber side device enters the multicast group corresponding to one of the multicast groups already registered in the subscriber side device management table. The encryption key generation / update message including the encryption key and the key surface information being transmitted is transmitted to the subscriber side device that has entered, and the subscriber side device that has entered the multicast group management table and the key surface information are used. Register additional correspondence with encryption key,
When receiving the encryption key generation / update message, the encryption key registration means of the subscriber side device registers the encryption key and key surface information included in the received encryption key generation / update message in the encryption key management table. The PON system according to any one of claims 1 to 3, wherein:
前記加入者側装置の暗号鍵登録手段は、前記暗号鍵削除メッセージを受信した場合は、受信した暗号鍵削除メッセージに含まれる暗号鍵および鍵面情報を前記暗号鍵管理テーブルから削除することを特徴とする請求項1〜4の何れか一つに記載のPONシステム。 The encryption key distribution unit of the station side device deletes the entry of the multicast group from the subscriber side device management table and the multicast group management table when all the subscriber side devices leave the multicast group, and leaves. Send an encryption key deletion message including the encryption key and key face information used in the multicast group to the subscriber side device,
When receiving the encryption key deletion message, the encryption key registration means of the subscriber side device deletes the encryption key and key surface information included in the received encryption key deletion message from the encryption key management table. The PON system according to any one of claims 1 to 4.
前記加入者側装置の暗号鍵登録手段は、前記暗号鍵削除メッセージを受信した場合は、受信した暗号鍵削除メッセージに含まれる暗号鍵および鍵面情報を前記暗号鍵管理テーブルから削除することを特徴とする請求項1〜5の何れか一つに記載のPONシステム。 The encryption key distribution means of the station side device deletes the entry of the subscriber side device leaving the multicast group from the subscriber side device management table when some of the subscriber side devices leave the multicast group. Then, an encryption key deletion message including the encryption key and key surface information used in the multicast group is sent to the subscriber side device that has left,
When receiving the encryption key deletion message, the encryption key registration means of the subscriber side device deletes the encryption key and key surface information included in the received encryption key deletion message from the encryption key management table. The PON system according to any one of claims 1 to 5.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005353921A JP2007158962A (en) | 2005-12-07 | 2005-12-07 | Pon system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005353921A JP2007158962A (en) | 2005-12-07 | 2005-12-07 | Pon system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007158962A true JP2007158962A (en) | 2007-06-21 |
Family
ID=38242702
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005353921A Pending JP2007158962A (en) | 2005-12-07 | 2005-12-07 | Pon system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2007158962A (en) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008199391A (en) * | 2007-02-14 | 2008-08-28 | Hitachi Ltd | Encryption communication system and encryption communication device |
| JP2009518932A (en) * | 2005-12-07 | 2009-05-07 | エレクトロニクス アンド テレコミュニケーションズ リサーチ インスチチュート | Security key management method and security channel control device in EPON |
| US20100202612A1 (en) * | 2009-02-09 | 2010-08-12 | Taiki Nema | Optical network system and method of changing encryption keys |
| JP2013034143A (en) * | 2011-08-03 | 2013-02-14 | Nippon Telegr & Teleph Corp <Ntt> | Optical line terminating device and key switching method |
| WO2014076778A1 (en) * | 2012-11-14 | 2014-05-22 | 三菱電機株式会社 | Optical line termination device, line package, and monitoring package |
| WO2020007246A1 (en) * | 2018-07-02 | 2020-01-09 | 中兴通讯股份有限公司 | Method for managing onu, olt, onu, system and storage medium |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004166154A (en) * | 2002-11-15 | 2004-06-10 | Nec Corp | Key control system for multicast distribution |
| JP2004343243A (en) * | 2003-05-13 | 2004-12-02 | Mitsubishi Electric Corp | Multicast communication system and station side device in pon system |
-
2005
- 2005-12-07 JP JP2005353921A patent/JP2007158962A/en active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004166154A (en) * | 2002-11-15 | 2004-06-10 | Nec Corp | Key control system for multicast distribution |
| JP2004343243A (en) * | 2003-05-13 | 2004-12-02 | Mitsubishi Electric Corp | Multicast communication system and station side device in pon system |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009518932A (en) * | 2005-12-07 | 2009-05-07 | エレクトロニクス アンド テレコミュニケーションズ リサーチ インスチチュート | Security key management method and security channel control device in EPON |
| JP2008199391A (en) * | 2007-02-14 | 2008-08-28 | Hitachi Ltd | Encryption communication system and encryption communication device |
| US20100202612A1 (en) * | 2009-02-09 | 2010-08-12 | Taiki Nema | Optical network system and method of changing encryption keys |
| US8280055B2 (en) * | 2009-02-09 | 2012-10-02 | Hitachi, Ltd. | Optical network system and method of changing encryption keys |
| JP2013034143A (en) * | 2011-08-03 | 2013-02-14 | Nippon Telegr & Teleph Corp <Ntt> | Optical line terminating device and key switching method |
| WO2014076778A1 (en) * | 2012-11-14 | 2014-05-22 | 三菱電機株式会社 | Optical line termination device, line package, and monitoring package |
| CN104782083A (en) * | 2012-11-14 | 2015-07-15 | 三菱电机株式会社 | Optical line termination device, line package, and monitoring package |
| JP5911598B2 (en) * | 2012-11-14 | 2016-04-27 | 三菱電機株式会社 | Optical line terminator, line package and monitoring package |
| WO2020007246A1 (en) * | 2018-07-02 | 2020-01-09 | 中兴通讯股份有限公司 | Method for managing onu, olt, onu, system and storage medium |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4693518B2 (en) | Multicast communication apparatus and PON system using the same | |
| JP4231061B2 (en) | Subscriber connection device and network system | |
| US8280055B2 (en) | Optical network system and method of changing encryption keys | |
| JP4165196B2 (en) | Packet relay device | |
| KR100523357B1 (en) | Key management device and method for providing security service in epon | |
| JP2004343243A (en) | Multicast communication system and station side device in pon system | |
| JP2007274695A (en) | System and method for changing channel of iptv work in passive optical network | |
| JP5014608B2 (en) | Group communication method, utilization device and management device | |
| JP2007158962A (en) | Pon system | |
| JP2007036851A (en) | Pon system, and logical link allocation method and apparatus | |
| JP2015088815A (en) | Customer home side device, pon system and control method for customer premise side device | |
| JP4685659B2 (en) | Station side device, subscriber side device and PON system | |
| JP4889984B2 (en) | Communication system and communication method | |
| JP3986956B2 (en) | Parent station, slave station, communication system, communication program, and computer-readable recording medium recording the communication program | |
| JPH11284664A (en) | Virtual exclusive network buildup system | |
| WO2007021507A1 (en) | Fttp ip video overlay | |
| JP4818749B2 (en) | Station side apparatus and passive optical subscriber network system | |
| JP4866381B2 (en) | Network system and subscriber connection device | |
| JP2004260556A (en) | Station-side apparatus, subscriber-side apparatus, communication system, and encryption key notifying method | |
| JP2006245778A (en) | Communication apparatus, communication method, and program | |
| JP4937004B2 (en) | Communication system and station side communication device | |
| CN100391202C (en) | Method and apparatus for realizing multicast in shared media network | |
| JP2003060633A (en) | Passive light network system, ciphering method therefor and network system | |
| JP5116495B2 (en) | Optical communication system and station side device | |
| JP2005197947A (en) | Terminal station device and terminating device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080530 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101119 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101207 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110426 |