JP5467574B2 - EPON(1GEPONと10GEPON)ネットワークにおけるIEEE802.1AEと802.1afセキュリティの実行方法 - Google Patents
EPON(1GEPONと10GEPON)ネットワークにおけるIEEE802.1AEと802.1afセキュリティの実行方法 Download PDFInfo
- Publication number
- JP5467574B2 JP5467574B2 JP2010000568A JP2010000568A JP5467574B2 JP 5467574 B2 JP5467574 B2 JP 5467574B2 JP 2010000568 A JP2010000568 A JP 2010000568A JP 2010000568 A JP2010000568 A JP 2010000568A JP 5467574 B2 JP5467574 B2 JP 5467574B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- onu
- olt
- sci
- short
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 39
- 238000011144 upstream manufacturing Methods 0.000 claims description 44
- 238000004891 communication Methods 0.000 claims description 40
- 239000000284 extract Substances 0.000 claims description 10
- 238000012423 maintenance Methods 0.000 claims description 9
- 238000006243 chemical reaction Methods 0.000 claims 1
- 230000003287 optical effect Effects 0.000 description 19
- 239000000835 fiber Substances 0.000 description 16
- 238000012360 testing method Methods 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- PKAHQJNJPDVTDP-UHFFFAOYSA-N methyl cyclopropanecarboxylate Chemical compound COC(=O)C1CC1 PKAHQJNJPDVTDP-UHFFFAOYSA-N 0.000 description 2
- 101100172132 Mus musculus Eif3a gene Proteins 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、通信ネットワーク上でのデータ伝送の安全性を確保する方法に関する。
通信ネットワーク(特にEPON)上でデータ伝送の安全を確保する様々な方法とシステムがある。これ等の方法とシステムは、セキュリティ標準例えばMACsec(Medium Access Control security)の標準を改善して行っている。これ等の標準は、IEEE(The Institute of Electrical and Electronics Engineers,Inc.,)により発行されたIEEE 802.1AEと802.1afの標準に、記載されている。
図1にEPON10の例を示す。EPON10は、OLT12を有する。このOLT12は、1本の共有した光学基幹ファイバ15を介して、EPON10内の通信を調整する。光学スプリッタ18a,18bが、光学基幹ファイバ15を、個々の分岐ファイバ16a,16b,16c,16d,16e,16f,16gに分ける。これ等の分岐ファイバは、N=6個の場合を示すが、ONU14a,14b,14c,14d,14e,14fに情報を供給する。これ等のONUは、ネットワークの加入者である。EPON10は、通常受動型と言われる。その理由は、ネットワークの能動要素は、エンドポイント(OLT12とONU14a−f)にあり、EPON10は、アクセスネットワーク内で能動的な電子部品を必要としないからである。
EPON10は、(N+1)個の光学トランシーバ(OT)22a,22b,22c,22d,22e,22f,22gを使用する。EPON10は、現場で電力を必要としない。受信装置のスループットは、幹線リンク上のラインレートにまで高められる。EPON10は、下流方向(OLT12から複数のONU14a−fへ)のブロードキャスト例えばビデオ情報をサポートする。
EPON10は、イーサネット標準に基づいて動作する。イーサネット標準により経済的な拡張が可能となり、イーサネットベースの装置で、顧客の構内或いは中央監視局での単純で管理でもって、容易な接続性を提供できる。他の1ギガビットのイーサネット或いは10ギガビットのイーサネットにおけるのと同様に、EPONは、パケット化したトラフィック(主にアクセス層でのトラフィック)と、時間に敏感な音声と画像トラフィックを搬送する。
EPON10は、1本のファイバのポイント ツー マルチポイント(Point to Point Emulation)(P2MP)のトポロジーにおいて、完全な二重モード(全ての通信はOLTにより調整され、クラッシュの検出や仲介(CD/CSMA)を必要としない)で構築される。全ての加入者(ONU14a−f)は、OLT12からの全ての下流方向(DS)トラフィックを見ている。OLT12への上流方向(US)トラフィックは、他の加入者(ONU14b−f)は見ることはできない。ピアツーピアの通信が、OLT12を介して行われる。OLT12により、一時に一人の加入者が、TDMA(時分割多重アクセス)プロトコルを用いて送信できる。上流方向と下流方向のトラフィックは、WDM(光波長多重通信)を用いて、同時に伝送できる。
EPON10は、セキュリティを破壊する試みを導入する。その理由は、下流方向(DS)データは、放送され全てのONU(14a−f)に曝されるからである。これにより、データの盗み読みが可能となる。上流側方向(US)に於いて、盗聴者(例えば不正のONU)は、パケットを偽造して、別のONUになりすますことができる。上流方向データは、秘密のものではないと考えられている。その理由は、光学スプリッタ18a,18bで反射され戻って来る光学パワーが低いが、通常の装置で盗聴することができるからである。それ故に、EPONに対するセキュリティスキームを、データの暗号化に基づいて行い、データの認証を行うことが重要である。IEEE802.1標準は、レイヤー2(L2)のセキュリティモデルを規定し、2つの標準仕様書802.laeと802.lafで認証機構を規定している。
1ギガビットのEPONに対してはIEEE802.3ahの仕様と、10ギガビットのEPONに対してはIEEE802.3avの仕様が、EPONシステムを構築するのに必要なMPCP(multi-point control protocol )とP2PE(Point to Point Emulation)を規定する。工業標準のプロトコルは、セキュリティの専門家によりレビューされ、世界的レベルで動作/利用可能である。IEEE802.laeと802.lafは、レイヤー2(L2)に対する標準化されたセキュリティ・ソリューションである。これは、それ等がL2 EPONで転送されたデータに、次の手段によりセキュリティを提供していることを意味する。即ち、パケットのコンテンツが以下の手順で暗号化される。イーサネットのヘッダーからスタートして、メッセージのダイジェストが添付される。AES−GCM暗号化と認証アルゴリズムを用いて、ペイロードを暗号化し認証する。128ビットのキーを用いて暗号化を実行する。ONUとOLTとの間のキー・ネゴシエーションが、IEEE802.lafキー交換プロトコルを介して行われる。このセキュリティスキームにより、下流方向データと上流方向データの暗号化が可能となる。このセキュリティ標準により、別々に暗号化したマルチキャストトラフィックを取り扱うことが可能となる。これは、異なるキーのグループに分けて、EPONの1回のコピーのブロードキャスト(SCB)を別々のキーで取り扱うことにより行う。このセキュリティ標準により、パケットの所望の部分を露出する少ないセキュリティオフセットが可能となる。この標準により、オフセットの所定の値を用いることができる。パケット全体をカバーしない最小のオフセットは、30バイトであり、この30バイトは、イーサネットのヘッダーの全てのデータを露出する。
上記した現在の標準とIEEE802.laeと802.lafの仕様書に記載された標準は、EPON環境で望ましいセキュリティの特徴が欠落している。例えば現在のセキュリティ・プロトコルによれば、MPCPメッセージは、暗号化できない。このことは、セキュリティの突破(破壊)につながる。例えば盗聴者は、特定のONUのゲートパケットをインターセプトすることができ、ONUからの上流方向トラフィックを妨害することができる。現在の標準におけるセキュリティの突破の別の原因は、オフセット値の制限である。この制限により、オフセットが使用されている時、標準のイーサネット・ヘッダーとのMACアドレスを暗号化できない。かくして盗聴者は、そのMACアドレスを用いてユーザーを特定でき、パケットデータのヘッダー情報をモニターして、トラフィックを解析することができる。現在の標準化におけるセキュリティの突破の別の原因は、自動ディスカバリーゲートパケット(auto discovery gate packet)と、登録リクエスト(registration request)と、登録パケットメッセージ(register packets message)であり、これ等は暗号化されておらず、それ故に盗聴者は、ONUの通信を、偽の登録/登録削除のリクエストを用いて、妨害することができる。現在のMACsec標準の別の不具合点は、暗号化されたパケットは、logMACsecヘッダーを全部有し、これはEPON内の全てのトラフィックに対しバンド幅を増加させることになる。
かくして本発明の目的は、EPONネットワーク上でのデータの安全確保を行うセキュリティ措置と、特に上流方向と下流方向のデータの保護を行うセキュリティ措置であり、これにより、盗聴者が特定のONUの身元を確認し、妨害することを阻止し、更に暗号化されたメッセージのバンド幅を減らすことができる。
本発明のEPON上の通信の安全確保するシステムと方法は、shortMACsecヘッダーを用いてローカルパケットを暗号化し、OAMパケットとMPCPパケットを暗号化して行う。
本発明のOLTと複数のONUを有するEPONの安全確保した通信を実行する方法は、
(A)複数のONUの内のONUのLLIDを用いて、下流方向のパケットのSCIフィールドのPIを構築するステップと、
(B)shortMACsecヘッダーを含む前記パケットを、前記SCIに基づく個別のSAKで暗号化するステップと
を有する。
本発明は、
(C)前記パケットの種類を以下のグループから選択し決定するステップ
i) UC(ユニキャスト)
ii) MC(マルチキャスト)
iii)OAM(操作と管理と保守)
iv) MPCP(マルチポイント通信プロトコル)
v) GP(ゲートパケット)
vi) グラントパケット
vii)リクエスト(要求パケット)
を更に有し、
前記(B)ステップにおいて、
(X)前記パケットが第1のshortMACsecヘッダーを有する第1パケットの場合、前記個別のSAKは第1の所定のSAKであり、
(Y)前記パケットが第2のshortMACsecヘッダーを有する第2パケットの場合、前記個別のSAKは第2の所定のSAKである。
本発明は、更に、
(D)30バイト未満のセキュリティオフセットを、前記第1パケットに付加するステップ
を更に有する。
本発明は、更に、
前記(B)ステップは、前記第1パケットのSCI.SAを、前記OLTのSAに設定するステップを有する。
本発明は、更に、
OLTと複数のONUを有するEPONの安全確保した通信を実行する方法において、
(A)複数のONUの内のONUのLLIDを用いて、上流方向の第1パケットのSCIフィールドのPIを構築するステップと、
(D)上流方向のパケットと下流方向のパケットとを区別するために、SCI.SAのMSB(最上位ビット)を構築するステップと、
(E)shortMACsecヘッダーを含む前記第1パケットを、前記SCIに基づく個別のSAKで暗号化するステップと
を有する。
本発明のOLTと複数のONUを有するEPONの安全確保した通信を実行する方法は
(A)複数のONUの内のONUを所定のキーで構築するステップと、
(B)OLTが、前記所定のキーで暗号化されたディスカバリ・ゲート・メッセージを、前記ONUに送信するステップと、
(C)後続の通信パケットを以下のサブステップ(i)〜(iii)で暗号化するステップと、
を有し、
(i)前記通信パケットの種類を以下のグループから選択し決定するステップ
A)UC(ユニキャスト)
B)MC(マルチキャスト)
C)OAM(操作と管理と保守)
D)MPCP(マルチポイント通信プロトコル)
E)GP(ゲートパケット)
F)グラントパケット
G)リクエスト(要求パケット)
(ii)前記通信パケットが第1のshortMACsecヘッダーを有する第1パケットの場合、前記個別のSAKは、第1の所定のSAKであり、
(iii)前記通信パケットが第2のshortMACsecヘッダーを有する第2パケットの場合、前記個別のSAKは、第2の所定のSAKである。
本発明の一実施例によれば、(D)前記ONUが、前記所定のキーで暗号化された登録リクエストパケットを、前記OLTに送信するステップを更に有する。
本発明の一実施例によれば、(E)ランダムなPNを、前記暗号化された登録リクエストパケットに含ませるステップを更に有する。
本発明の一実施例によれば、(F)前記暗号化された登録リクエストパケットを、ダミーのSAでアドレスを付すステップを更に有する。
本発明の一実施例によれば、(D)他のONUが活性状態にある時に、前記OLTが、前記登録リクエストパケットを廃棄するステップを更に有する。
(A)複数のONUの内のONUのLLIDを用いて、下流方向のパケットのSCIフィールドのPIを構築するステップと、
(B)shortMACsecヘッダーを含む前記パケットを、前記SCIに基づく個別のSAKで暗号化するステップと
を有する。
本発明は、
(C)前記パケットの種類を以下のグループから選択し決定するステップ
i) UC(ユニキャスト)
ii) MC(マルチキャスト)
iii)OAM(操作と管理と保守)
iv) MPCP(マルチポイント通信プロトコル)
v) GP(ゲートパケット)
vi) グラントパケット
vii)リクエスト(要求パケット)
を更に有し、
前記(B)ステップにおいて、
(X)前記パケットが第1のshortMACsecヘッダーを有する第1パケットの場合、前記個別のSAKは第1の所定のSAKであり、
(Y)前記パケットが第2のshortMACsecヘッダーを有する第2パケットの場合、前記個別のSAKは第2の所定のSAKである。
本発明は、更に、
(D)30バイト未満のセキュリティオフセットを、前記第1パケットに付加するステップ
を更に有する。
本発明は、更に、
前記(B)ステップは、前記第1パケットのSCI.SAを、前記OLTのSAに設定するステップを有する。
本発明は、更に、
OLTと複数のONUを有するEPONの安全確保した通信を実行する方法において、
(A)複数のONUの内のONUのLLIDを用いて、上流方向の第1パケットのSCIフィールドのPIを構築するステップと、
(D)上流方向のパケットと下流方向のパケットとを区別するために、SCI.SAのMSB(最上位ビット)を構築するステップと、
(E)shortMACsecヘッダーを含む前記第1パケットを、前記SCIに基づく個別のSAKで暗号化するステップと
を有する。
本発明のOLTと複数のONUを有するEPONの安全確保した通信を実行する方法は
(A)複数のONUの内のONUを所定のキーで構築するステップと、
(B)OLTが、前記所定のキーで暗号化されたディスカバリ・ゲート・メッセージを、前記ONUに送信するステップと、
(C)後続の通信パケットを以下のサブステップ(i)〜(iii)で暗号化するステップと、
を有し、
(i)前記通信パケットの種類を以下のグループから選択し決定するステップ
A)UC(ユニキャスト)
B)MC(マルチキャスト)
C)OAM(操作と管理と保守)
D)MPCP(マルチポイント通信プロトコル)
E)GP(ゲートパケット)
F)グラントパケット
G)リクエスト(要求パケット)
(ii)前記通信パケットが第1のshortMACsecヘッダーを有する第1パケットの場合、前記個別のSAKは、第1の所定のSAKであり、
(iii)前記通信パケットが第2のshortMACsecヘッダーを有する第2パケットの場合、前記個別のSAKは、第2の所定のSAKである。
本発明の一実施例によれば、(D)前記ONUが、前記所定のキーで暗号化された登録リクエストパケットを、前記OLTに送信するステップを更に有する。
本発明の一実施例によれば、(E)ランダムなPNを、前記暗号化された登録リクエストパケットに含ませるステップを更に有する。
本発明の一実施例によれば、(F)前記暗号化された登録リクエストパケットを、ダミーのSAでアドレスを付すステップを更に有する。
本発明の一実施例によれば、(D)他のONUが活性状態にある時に、前記OLTが、前記登録リクエストパケットを廃棄するステップを更に有する。
本発明のOLTでコーディネートされた、IEEE802.1aeのMACsecを用いるEPON上で、ONUが使用する脱暗号化エンジンは、
(a)DecParsモジュールと、
前記DecParsモジュールは、前記OLTから送信された第1パケットの第1タイプのshortMACsecヘッダー・パケットから第1の所定のSICを抽出し、前記OLTから送信された第2パケットの第2タイプのshortMACsecヘッダー・パケットから第2の所定のSICを抽出し、
(b)KDBと、
前記KDBは、前記第1の所定のSICに対応する第1のSAKを取り出し、前記第2の所定のSICに対応する第2のSAKを取り出し、
を有し、
前記第1タイプのshortMACsecヘッダー・パケットを第1の所定のSAKで暗号化し、前記第2タイプのshortMACsecヘッダー・パケットを第2の所定のSAKで暗号化し、
前記SCIフィールドのPIは、前記ONUのLLIDを用いて構築される。
本発明の一実施例によれば、前記DecParsモジュールは、前記OLTからトンネルモードで送信された安全確保したパケットをパースし、
前記安全確保したパケットは、以下の(i)と(ii)とを有する
(i)安全確保されていない生パケットと前記安全確保したパケットの安全確保データに暗号化されたMACアドレスと、
(ii)以下の(A)〜(C)を利用するshortMACsecヘッダーと
(A)ローカルMAC宛先アドレス
(B)MACソースアドレスとしてのSCI.SA
(C)登録に際しOLTからONUに与えられONUに独自のものであるLLIDとしてのSCI.PI。
本発明の一実施例によれば、(c)前記第1タイプのshortMACsecヘッダー・パケットが不正なPNを有するパケットを有する場合、前記第1タイプのshortMACsecヘッダー・パケットを廃棄するFRB(フレーム再構築)モジュールを更に有する。
本発明の一実施例によれば、前記KDBは、MPCPメッセージ用に、予め共有したSAKを記憶する。
本発明の一実施例によれば、前記DecParsモジュールは、30バイト未満のセキュリティオフセットを有する前記第1タイプのshortMACsecヘッダー・パケットをパースする。
(a)DecParsモジュールと、
前記DecParsモジュールは、前記OLTから送信された第1パケットの第1タイプのshortMACsecヘッダー・パケットから第1の所定のSICを抽出し、前記OLTから送信された第2パケットの第2タイプのshortMACsecヘッダー・パケットから第2の所定のSICを抽出し、
(b)KDBと、
前記KDBは、前記第1の所定のSICに対応する第1のSAKを取り出し、前記第2の所定のSICに対応する第2のSAKを取り出し、
を有し、
前記第1タイプのshortMACsecヘッダー・パケットを第1の所定のSAKで暗号化し、前記第2タイプのshortMACsecヘッダー・パケットを第2の所定のSAKで暗号化し、
前記SCIフィールドのPIは、前記ONUのLLIDを用いて構築される。
本発明の一実施例によれば、前記DecParsモジュールは、前記OLTからトンネルモードで送信された安全確保したパケットをパースし、
前記安全確保したパケットは、以下の(i)と(ii)とを有する
(i)安全確保されていない生パケットと前記安全確保したパケットの安全確保データに暗号化されたMACアドレスと、
(ii)以下の(A)〜(C)を利用するshortMACsecヘッダーと
(A)ローカルMAC宛先アドレス
(B)MACソースアドレスとしてのSCI.SA
(C)登録に際しOLTからONUに与えられONUに独自のものであるLLIDとしてのSCI.PI。
本発明の一実施例によれば、(c)前記第1タイプのshortMACsecヘッダー・パケットが不正なPNを有するパケットを有する場合、前記第1タイプのshortMACsecヘッダー・パケットを廃棄するFRB(フレーム再構築)モジュールを更に有する。
本発明の一実施例によれば、前記KDBは、MPCPメッセージ用に、予め共有したSAKを記憶する。
本発明の一実施例によれば、前記DecParsモジュールは、30バイト未満のセキュリティオフセットを有する前記第1タイプのshortMACsecヘッダー・パケットをパースする。
本発明の複数のONUを有するIEEE802.1aeのMACsecを用いるEPON上で、OLTが使用する脱暗号化エンジンは、
(a)DecParsモジュールと、
前記DecParsモジュールは、前記複数のONUの内の1つのONUから送信された、第1タイプのshortMACsecヘッダー・パケットから第1の所定のSICを抽出し、前記ONUから送信された、第2タイプのshortMACsecヘッダー・パケットから第2の所定のSICを抽出し、
(b)KDBと、
前記KDBは、前記第1の所定のSICに対応する第1のSAKを取り出し、前記第2の所定のSICに対応する第2のSAKを取り出す
を有し、
前記第1タイプのshortMACsecヘッダー・パケットを第1の所定のSAKで暗号化し、前記第2タイプのshortMACsecヘッダー・パケットを第2の所定のSAKで暗号化し、
前記SCIフィールドのPIは、前記ONUのLLIDを用いて構築される。
本発明の一実施例によれば、前記DecParsモジュールは、前記ONUからトンネルモードで送信された安全確保したパケットをパースし、
前記安全確保したパケットは、以下の(i)と(ii)とを有する
(i)安全確保されていない生パケットと前記安全確保したパケットの安全確保データに暗号化されたMACアドレスと、
(ii)以下の(A)〜(C)を利用するshortMACsecヘッダーと
(A)ローカルMAC宛先アドレス
(B)MACソースアドレスとしてのSCI.SA
(C)登録に際しOLTからONUに与えられONUに独自のものであるLLIDとしてのSCI.PI。
本発明の一実施例によれば、(c)前記第1タイプのshortMACsecヘッダー・パケットが、シーケンス外にあるPNを有する場合、前記第1タイプのshortMACsecヘッダー・パケットを廃棄するFRBモジュールを更に有する。
本発明の一実施例によれば、(c)前記第1タイプのshortMACsecヘッダー・パケットが、以前に使用されたPNを有する場合、前記第1タイプのshortMACsecヘッダー・パケットを廃棄するFRBモジュールを更に有する。
本発明の一実施例によれば、前記KDBは、登録リクエストメッセージを脱暗号化するために、予め共有したSAKを記憶する。
本発明の一実施例によれば、前記DecParsモジュールは、30バイト未満のセキュリティオフセットを有する第1タイプのshortMACsecヘッダー・パケットをパースする。
(a)DecParsモジュールと、
前記DecParsモジュールは、前記複数のONUの内の1つのONUから送信された、第1タイプのshortMACsecヘッダー・パケットから第1の所定のSICを抽出し、前記ONUから送信された、第2タイプのshortMACsecヘッダー・パケットから第2の所定のSICを抽出し、
(b)KDBと、
前記KDBは、前記第1の所定のSICに対応する第1のSAKを取り出し、前記第2の所定のSICに対応する第2のSAKを取り出す
を有し、
前記第1タイプのshortMACsecヘッダー・パケットを第1の所定のSAKで暗号化し、前記第2タイプのshortMACsecヘッダー・パケットを第2の所定のSAKで暗号化し、
前記SCIフィールドのPIは、前記ONUのLLIDを用いて構築される。
本発明の一実施例によれば、前記DecParsモジュールは、前記ONUからトンネルモードで送信された安全確保したパケットをパースし、
前記安全確保したパケットは、以下の(i)と(ii)とを有する
(i)安全確保されていない生パケットと前記安全確保したパケットの安全確保データに暗号化されたMACアドレスと、
(ii)以下の(A)〜(C)を利用するshortMACsecヘッダーと
(A)ローカルMAC宛先アドレス
(B)MACソースアドレスとしてのSCI.SA
(C)登録に際しOLTからONUに与えられONUに独自のものであるLLIDとしてのSCI.PI。
本発明の一実施例によれば、(c)前記第1タイプのshortMACsecヘッダー・パケットが、シーケンス外にあるPNを有する場合、前記第1タイプのshortMACsecヘッダー・パケットを廃棄するFRBモジュールを更に有する。
本発明の一実施例によれば、(c)前記第1タイプのshortMACsecヘッダー・パケットが、以前に使用されたPNを有する場合、前記第1タイプのshortMACsecヘッダー・パケットを廃棄するFRBモジュールを更に有する。
本発明の一実施例によれば、前記KDBは、登録リクエストメッセージを脱暗号化するために、予め共有したSAKを記憶する。
本発明の一実施例によれば、前記DecParsモジュールは、30バイト未満のセキュリティオフセットを有する第1タイプのshortMACsecヘッダー・パケットをパースする。
本発明のOLTとONUとを有する安全確保したEPONにおいて、
前記OLTは、(i)複数のONUの内のONUのLLIDを用いて、下流方向のパケットのSCIフィールドのPIを構築し、(ii)shortMACsecヘッダーを含む前記パケットを、前記SCIに基づく個別のSAKで暗号化し、
前記ONUは、(i) 前記SCIに基づく個別のSAKに従って前記パケットを脱暗号化する。
本発明の一実施例によれば、前記OLTは、
(iii)前記パケットの種類を以下のグループから選択し決定し、
i) UC(ユニキャスト)
ii) MC(マルチキャスト)
iii)OAM(操作と管理と保守)
iv) MPCP(マルチポイント通信プロトコル)
v) GP(ゲートパケット)
vi) グラントパケット
vii)リクエスト(要求パケット)
(X)前記パケットが第1のshortMACsecヘッダーを有する第1パケットの場合、前記個別のSAKは、第1の所定のSAKであり、
(Y)前記パケットが第2のshortMACsecヘッダーを有する第2パケットの場合、前記個別のSAKは、第2の所定のSAKである。
本発明の一実施例によれば、前記OLTは、(a)安全確保されていないパケット全部とMACアドレスを、ローカルMAC宛先アドレスを利用してshortMACsecヘッダーを有する暗号化され安全確保したパケットに変換し、(b)前記安全確保されたパケットを、MACソースアドレスとしてのshortMACsecヘッダーのSCI.SAと、登録時にOLTからONUに与えられONUに独自のものであるLLIDとしてのSCI.PIとで、構築する。
本発明の一実施例によれば、前記ONUは、所定のキーで構築され、
前記OLTは、前記所定のキーで暗号化されたディスカバリ・ゲート・メッセージを送信し、
前記パケットの種類を以下のグループから選択し決定し
i) UC(ユニキャスト)
ii) MC(マルチキャスト)
iii)OAM(操作と管理と保守)
iv) MPCP(マルチポイント通信プロトコル)
v) GP(ゲートパケット)
vi) グラントパケット
vii)リクエスト(要求パケット)
(X)前記パケットが第1のshortMACsecヘッダーを有する第1パケットの場合、前記第1パケットを第1の所定のSAKで暗号化し、
(Y)前記パケットが第2のshortMACsecヘッダーを有する第2パケットの場合、前記第2パケットを第2の所定のSAKで暗号化する。
本発明の一実施例によれば、前記ONUは、ランダムなPNを、前記暗号化された登録リクエストパケットに含める。
本発明の一実施例によれば、前記ONUは、前記暗号化された登録リクエストパケットを、ダミーのMACでアドレスを付して送信する。
本発明の一実施例によれば、前記OLTは、前記ONUが活性状態にあるときに、前記ONUの登録リクエストパケットを拒絶する。
本発明のOLTとONUとの間でEPON上の上流方向と下流方向の通信の安全確保する方法は、
(a)安全確保されていないパケット全部とMACアドレスを、ローカルMAC宛先アドレスを利用してshortMACsecヘッダーを有する暗号化され安全確保したパケットに変換するステップと、
(b)前記安全確保されたパケットを、MACソースアドレスとしてのshortMACsecヘッダーのSCI.SAと、登録時にOLTからONUに与えられONUに独自のものであるLLIDとしてのSCI.PIとで、構築するステップと
を有する。
前記OLTは、(i)複数のONUの内のONUのLLIDを用いて、下流方向のパケットのSCIフィールドのPIを構築し、(ii)shortMACsecヘッダーを含む前記パケットを、前記SCIに基づく個別のSAKで暗号化し、
前記ONUは、(i) 前記SCIに基づく個別のSAKに従って前記パケットを脱暗号化する。
本発明の一実施例によれば、前記OLTは、
(iii)前記パケットの種類を以下のグループから選択し決定し、
i) UC(ユニキャスト)
ii) MC(マルチキャスト)
iii)OAM(操作と管理と保守)
iv) MPCP(マルチポイント通信プロトコル)
v) GP(ゲートパケット)
vi) グラントパケット
vii)リクエスト(要求パケット)
(X)前記パケットが第1のshortMACsecヘッダーを有する第1パケットの場合、前記個別のSAKは、第1の所定のSAKであり、
(Y)前記パケットが第2のshortMACsecヘッダーを有する第2パケットの場合、前記個別のSAKは、第2の所定のSAKである。
本発明の一実施例によれば、前記OLTは、(a)安全確保されていないパケット全部とMACアドレスを、ローカルMAC宛先アドレスを利用してshortMACsecヘッダーを有する暗号化され安全確保したパケットに変換し、(b)前記安全確保されたパケットを、MACソースアドレスとしてのshortMACsecヘッダーのSCI.SAと、登録時にOLTからONUに与えられONUに独自のものであるLLIDとしてのSCI.PIとで、構築する。
本発明の一実施例によれば、前記ONUは、所定のキーで構築され、
前記OLTは、前記所定のキーで暗号化されたディスカバリ・ゲート・メッセージを送信し、
前記パケットの種類を以下のグループから選択し決定し
i) UC(ユニキャスト)
ii) MC(マルチキャスト)
iii)OAM(操作と管理と保守)
iv) MPCP(マルチポイント通信プロトコル)
v) GP(ゲートパケット)
vi) グラントパケット
vii)リクエスト(要求パケット)
(X)前記パケットが第1のshortMACsecヘッダーを有する第1パケットの場合、前記第1パケットを第1の所定のSAKで暗号化し、
(Y)前記パケットが第2のshortMACsecヘッダーを有する第2パケットの場合、前記第2パケットを第2の所定のSAKで暗号化する。
本発明の一実施例によれば、前記ONUは、ランダムなPNを、前記暗号化された登録リクエストパケットに含める。
本発明の一実施例によれば、前記ONUは、前記暗号化された登録リクエストパケットを、ダミーのMACでアドレスを付して送信する。
本発明の一実施例によれば、前記OLTは、前記ONUが活性状態にあるときに、前記ONUの登録リクエストパケットを拒絶する。
本発明のOLTとONUとの間でEPON上の上流方向と下流方向の通信の安全確保する方法は、
(a)安全確保されていないパケット全部とMACアドレスを、ローカルMAC宛先アドレスを利用してshortMACsecヘッダーを有する暗号化され安全確保したパケットに変換するステップと、
(b)前記安全確保されたパケットを、MACソースアドレスとしてのshortMACsecヘッダーのSCI.SAと、登録時にOLTからONUに与えられONUに独自のものであるLLIDとしてのSCI.PIとで、構築するステップと
を有する。
本明細書で使用される用語(特に略語)の定義は次のとうりである。
CMSA/CD:Carier Sense Multiple Access with Collion detection: 衝突検知機能を有するキャリアセンス、マルチプル・アクセス
DoS:Denial of Service: サービスの拒否
DS:Downstream:下流方向 OLTからONUへの流れ
暗号化:MACsecを用いて行われる
EPON:Ethernet Passive Optical Network 受動型光学イーサネットネットワーク
ES:End Station: 最終端末
FRB:Frame ReBuilder: フレーム・リビルダー
GP:Gate Packet ゲートパケット:タイムスロットをアナウンスするための下流方向パケット。ゲートパケットは、個々のONUに向けてアドレスが付される。例えば、パケットを送信するために、個々のONUにタイムスロットを割り当てる為のパケット。或いは、ゲートパケットは、MCブロードキャストである。例えば、ディスカバリータイムスロットの利用可能性をアナウンスするための、全てのONUに送信されるディスカバリーゲートパケットである。
ICV:Integrity Check Value:完全性チェック値
KDB:Key Data Base: キーデータベース
LAN:Local Area Network: ローカルエリアネットワーク
LLID:Logical Link Identication:論理リンク識別
ローカルパケット:同一のEPONで、エンドポイントから別のエンドポンイントの送信されるパケット。
MAC:Mdeia Access Control: メディアアクセス制御
MACsec:Mdeia Access Control security: メディアアクセス制御セキュリティ
MC:MultiCast: マルチキャスト(複数の受領者に向けられた一個のメッセージ)
MPSP:Multi Point Control Protocol: マルチポイント制御プロトコル
MSB:Most Significant Bit: 最上位ビット
OAM:Operation Administration and Maintenance: 操作と管理と保守
OLT:Optical Line Terminal: 光学ライン端末
ONU:Optical Network Unit:: 光学ネットワーク装置
OT:Optical Transceiver: 光学トランシーバー
PI:Port Identifier: ポート識別子
SA:Secure Assorciation: 安全確保連合
SAK:Secure Assorciation Key: 安全確保連合のかぎ
SC:Secure Channel:安全確保したチャネル
SCB:Singel Copy Broadcast: 一個のメッセージの放送
TDMA:Time Domain Multiple Access: 時間領域の多重アクセス
タイムスロット:特定の上流方向伝送用に、OLTが与える時間、例えば、タイムスロットは、パケットを送信するために個別のONUに割り当てられる。或いは、タイムスロットは、未登録のONUが登録リクエストを送信するディスカバリータイムスロットである。
UC:Unicast::ユニキャスト(一人の受領者に向けられた一個のメッセージ)
US:Upstream 上流方向(ONUからOLTへの流れ)
WDM: Wave Division Multiplexing 波長分割多重化
CMSA/CD:Carier Sense Multiple Access with Collion detection: 衝突検知機能を有するキャリアセンス、マルチプル・アクセス
DoS:Denial of Service: サービスの拒否
DS:Downstream:下流方向 OLTからONUへの流れ
暗号化:MACsecを用いて行われる
EPON:Ethernet Passive Optical Network 受動型光学イーサネットネットワーク
ES:End Station: 最終端末
FRB:Frame ReBuilder: フレーム・リビルダー
GP:Gate Packet ゲートパケット:タイムスロットをアナウンスするための下流方向パケット。ゲートパケットは、個々のONUに向けてアドレスが付される。例えば、パケットを送信するために、個々のONUにタイムスロットを割り当てる為のパケット。或いは、ゲートパケットは、MCブロードキャストである。例えば、ディスカバリータイムスロットの利用可能性をアナウンスするための、全てのONUに送信されるディスカバリーゲートパケットである。
ICV:Integrity Check Value:完全性チェック値
KDB:Key Data Base: キーデータベース
LAN:Local Area Network: ローカルエリアネットワーク
LLID:Logical Link Identication:論理リンク識別
ローカルパケット:同一のEPONで、エンドポイントから別のエンドポンイントの送信されるパケット。
MAC:Mdeia Access Control: メディアアクセス制御
MACsec:Mdeia Access Control security: メディアアクセス制御セキュリティ
MC:MultiCast: マルチキャスト(複数の受領者に向けられた一個のメッセージ)
MPSP:Multi Point Control Protocol: マルチポイント制御プロトコル
MSB:Most Significant Bit: 最上位ビット
OAM:Operation Administration and Maintenance: 操作と管理と保守
OLT:Optical Line Terminal: 光学ライン端末
ONU:Optical Network Unit:: 光学ネットワーク装置
OT:Optical Transceiver: 光学トランシーバー
PI:Port Identifier: ポート識別子
SA:Secure Assorciation: 安全確保連合
SAK:Secure Assorciation Key: 安全確保連合のかぎ
SC:Secure Channel:安全確保したチャネル
SCB:Singel Copy Broadcast: 一個のメッセージの放送
TDMA:Time Domain Multiple Access: 時間領域の多重アクセス
タイムスロット:特定の上流方向伝送用に、OLTが与える時間、例えば、タイムスロットは、パケットを送信するために個別のONUに割り当てられる。或いは、タイムスロットは、未登録のONUが登録リクエストを送信するディスカバリータイムスロットである。
UC:Unicast::ユニキャスト(一人の受領者に向けられた一個のメッセージ)
US:Upstream 上流方向(ONUからOLTへの流れ)
WDM: Wave Division Multiplexing 波長分割多重化
図2,3に、ユーザ250a,250b,250cが示されている。各ユーザは、LAN217a,217b,217cに接続されている。各LAN217a−cは、1人或いは複数のユーザを有する。各LAN217a−cは、EPON210に接続されている。このEPON210は、各LAN217a−cに対し、それぞれONU214a,214b,214cと、OT222a,222b,222cと、分岐ファイバ216a,216b,216cとを有する。分岐ファイバ216a−cは、光学スプリッター218を介して、幹線ファイバ215に接続される。幹線ファイバ215では、全ての上流方向トラフィックがパケット列11を構成する。このパケット列11を、OT222dを介してOLT212が受信する。OLT212(とEPON210)は、リンク225を介してコアネットワーク252に接続される。
図2の実施例において、第1ユーザであるユーザ250aは、メッセージ7aをコアネットワーク252に送る。メッセージ7aには、タグ”Ai”のマークを付す。最初の大文字は送信者(ユーザ250aに対しては”A”)を表し、後ろの小文字は、意図した受信者(コアネットワーク252の”i”)を表す。ユーザ250aは、ローカルメッセージ7bをユーザ250cに送る。メッセージ7a,7bの両方とも、LAN217aを介して、ONU214aに送られる。このONU214aが、メッセージ7a,7bを暗号化して、暗号化パケット8a,8bにする。ONU214aは、所定のタイム・スロット9aがパケット(8a,8b)を、OT222aと分岐ファイバ216aと光学スプリッター218とを介して、幹線ファイバ215上のパケット列11に乗せ、OT222bとOLT212に送る。
EPON210上で、コアネットワーク252に向けられた上流方向パケットは、3つ方法の内の1つの方法で暗号化される。即ち、標準のイーサーネットヘッダーとlongSecタグを有する未変更(un-modified)の(生の)イーサーネットパケットを送信する方法、或いは標準のイーサーネットヘッダーとshortSecタグを有する未変更のイーサーネットパケットを送信する方法、或いはトンネルモードでshortSecタグを有するイーサーネットパケットを送信する方法のいずれかである。特に、メッセージ7aは、ONU214aによりトンネルモードパケット8aに暗号化される。EPON210上で、パケット8aはshortヘッダーで暗号化される。イーサーネットヘッダーを有するメッセージ7aは、パケット8aのペイロード内で暗号化される。かくして、光学スプリッター218からかえって来たメッセージを盗聴しようとする人は、メッセージ7aの標準のイーサーネットヘッダーを読むことはできない。メッセージ7aは、例えばユーザ250aのMACアドレスを与えない。
ONU214aは、ローカルP2Pトランスポート用のメッセージ7bを、shortMACsecヘッダーを用いて、暗号化する。shortMACsecヘッダーを用いることによりパケットの長さを減らし、バンド幅を節約することができる。shortヘッダーのSCI.SAは、世界公知のOLTソースアドレスである。このOLTソースアドレスは、ONU214a−cとOLT212には既知である。SCI.PIは、ONU214aのロジカルリンク識別子(LLID:Logical Link IDentifier)である。これは、登録時に、OLTからONU214aに与えられ、ONUに唯一無二のものである。上流方向パケットのSCIを、下流方向パケットのSCIから、同一のOLTMACソースアドレスと同一のLLIDを用いて、区別するために、上流方向パケットに対しては、OLT.SAは、そのMSB値を‘1’に設定する。イーサーネット標準により、MACアドレスは、そのMSBの設定を‘1’にはしないよう決められているが、これは、MCトラフィックを送信するために用いられるからである。ONU214aからOLT212に送信されたパケット用のデフォルトのSCIは、予め決まっており既知であるために、SecTAG(図4aを参照のこと)全部は、パケット8bのヘッダー内に明確に指定する必要はない。かくして、パケット8bのMACsecヘッダーは、shortMACsecヘッダー(図4bを参照のこと)である。このshortMACsecヘッダーは、デフォルトのSCIを有する為、個別のセキュアなシステムのセキュアなアソーシエーション(secure systemt secure assorciatin:SCI.SA)全部とポート識別子(SCI.PI)とを含む必要はない。
EPON210上でも、トンネルセキュアドパケット(tunnel secured packet)は、MACsecヘッダーを有する。このMACsecヘッダーは、ユーザ250aのグローバルL2−MACアドレスの代わりに、ローカルMAC宛先アドレスを用いる。かくして、ユーザ250aのグローバルL2−MACアドレスは、EPON210上には表れず、ユーザの身元を保護する。トンネルセキュアドパケットでは、MACsecヘッダー・セキュア・アソーシエーションSAフィールド(SCI.SA)は、MACソース・アドレスであり、SCI.PIは、ロジカル・リンク識別子(LLID)である。このLLIDは、登録時にOLTからONUに与えられ、ONU毎に独自(唯一無二)のものである。
ONU214aが、両方のパケット8a,8bに対し、ES=0 SCB=0 SC=0(表1を参照のこと)に設定すると、OLT212は、パケット8a,8bをshortMACsecヘッダーのローカル上流方向(US)(OLT212に向けた)のユニキャスト(UC)として認識する。従って、OLT212は、パケット8aを脱暗号化(暗号解読)し、それをコアネットワーク252用のメッセージ7aを含むトンネルモードパケットとして、認識する。従って、OLT212は、メッセージ7aから、イーサーネットパケット17aを取り出す。このイーサーネットパケット17aを、OLT212が、リンク225とコアネットワーク252を介して、意図した宛先に送信する。
OLT212は、パケット8bを、OLT212に向けられたローカルパケットとして認識する。そのため、OLT212は、パケット8bのペイロードを、所定のSCIを用いて脱暗号化して、メッセージ7bをリカバーするONU214aからの上流方向メッセージを得る。ここで、SCI.SAは、MSBセットを‘1’に設定したOLT MACアドレスに等しくなり、SCI.PIは、ONUのロジカルリンク識別子(LLID)に等しくなり、LLIDはパケットのプリアンブルで与えられたものである。例えばメッセージ7bはバンド幅のリクエストである。トンネルモードを使用するか否かの決定は、全体のストリーム即ち上流方向ストリームと下流方向ストリームに対するグローバルな決定である。トンネルを用いる或いはトンネルを用いない実施例は、両方の種類が連続的に送信されることを意味しない。
OLT MACアドレスをSIC.SAフィールドとして用い、ロジカルリンク識別子(LLID)をSCI.PIフィールドとして用い、SCIのMSBを一方の方向にのみ‘1’と設定して上流方向ストリームと下流方向ストリームとを区別することにより、ONUからOLTへの全ての安全確保したトラフィックと、OLTからONUへの全ての安全確保したトラフィックに対し、shortSecTAGを用いることができる。トンネルモードを802.1AE内で使用することにより、MACアドレスの安全確保が可能となる。MACアドレスをトンネルモード内に隠すことと、示唆されたSCI.SA(トンネル化されたソースアドレス・フィールドに等しい)と、このSCI.PIフィールドとしての示唆されたLLIDによるshortSecTAGを用いる考えを組み合わせることにより、ショートトンネルセキュアメッセージがバンド幅を節約し、EPONのメンバーのID(身元)を保護する。
図2の実施例において、第2のONU214bは、EPON210には未登録である。その為、第2のONU214bは、登録リクエストメッセージ7eを送信する。ONU214bは、この登録リクエストメッセージ7eを暗号化して、ES=0 SCB=0 SC=0(表1を参照のこと)のshortMACSecヘッダーとダミーMACアドレスを付加する。shortMACSecヘッダーは、登録リクエストメッセージ用のために全てのONU214a−cが用いる所定の予め共有したものであり、ダミーMACアドレスは、登録リクエストメッセージ用に留保しておいてものである。その結果得られた登録リクエストパケット8eは、OLT212に、分岐ファイバ216bと光学スプリッタ218と幹線ファイバ215に沿って、共有したディスカバリタイムスロット9bの間に、送信される。登録リクエストパケット8eは、暗号化されトンネルモードにあるために、盗聴者は、誰が登録しようとしているのかを知ることができず、また、偽の登録リクエストパケットを生成することもできない。更に登録リクエストパケット8eは、予め共有したSAKで安全確保される。それ故に、予め共有したSAKを知らない盗聴者は、このシステムに登録することはできない。EPON210上では、DSメッセージとMCメッセージとMPCPメッセージは、全てのONU214a−cで共有するSCIとSAKで暗号化されている。かくして、ディスカバリタイムスロット9bをアナウンスするOLT212からのディスカバリゲートパケットは、暗号化して送信され、適正なSCIとSAKを有する正規のONU(例;ONU214a−c)のみが、MCPCディスカバリゲートパケットの暗号解読をでき、ディスカバリタイムスロット9bを知ることができる。このMCPCメッセージの暗号化特にディスカバリゲートパケットの暗号化により、盗聴者は、ディスカバリプロセスを検出することができない。更にサービスプロバイダは、ONUを、ディスカバリSAKとSCIで予めプログラムすることができる。このことは、サービスプロバイダから獲得した予めプログラムされたONUのみが、ネットワーク上で作業することができ、かくして、ネットワークの完全性を保護し、ONUの販売を制御するサービスプロバイダに利益を与える。
図2において、第3のユーザであるユーザ250cは、メッセージ7cをコアネットワーク252の宛先に送る。メッセージ7cは、既に暗号化されたパケットであり、OLT212を通過する際には暗号化されたままである。その為、ONU214cは、パケットを脱暗号化して、ES=1,SCB=0 SC=0を、現在のイーサーネットのヘッダーに設定して、ソースアドレスが使用されているshortSecTAGをSCI.SAとする。ONU214cは、タイムスロット9cの間、修正されたメッセージ7cを、パケット8cとしてOLT212に送る。OLT212は、パケット8cをイーサーネットパケットとして認識し、パケット全体を、イーサーネットパケット17cとして、コアネットワーク252に送り、意図した受信者に送る。一方で、EPON210上で大量のユーザとそのソースアドレス(各ユーザは自分自身のソースアドレスを有する)を処理する資源が不足しているために、ONU212は、パケットをlongSecTAGとこのSecTAGフィールド内のイクススプリットSCIを用いて、パケットの安全確保を選択する。
図3は、図2の実施例の後の時点における下流方向トラフィックを表す。図2に示した上流方向(US)トラフィックと共に、OLT212は、コアネットワーク252からパケット17g、17jを受領する。
パケット17gは、標準のイーサーネットユニキャスト(UC)ショートセキュアドパケットである。パケット17gが暗号化され既にアドレスされていることを認識すると、OLT212は、パケット17gを暗号解読しようとせずに、単にパケット17g内のキーを、ES=1 SCB=0 SC=0に設定して、パケット308gを得る。ES,SCB,SCを設定することは、ONU214a−cに対し、パケット308gは標準のショートイーサーネットUCパケットであることを、通知する。OLT212は、パケット308gを、幹線ファイバ215を介して送信し、全てのONU214a−cに送信する。
全ての下流方向パケット(308d,308e,308f,308g,308j)は、幹線ファイバ215から光学スプリッター218に下り、更に全ての分岐ファイバ217cを下って、全てのONU214a−cに、それぞれのOT(222a−c)を介して送信される。かくして、パケット308gは、全てのONU214a−cに到達する。パケット308gは、ONU214a,cでは廃棄される。パケット308gは、ONU314bが受領し暗号が解読され、この暗号が解読されたデータ307gは、LAN217bに沿って、ユーザ252bに送信される。
パケット17jは、標準のlongMACSecヘッダーイーサーネットパケットであり、ユーザ250a−cに向けられたものである。パケット17jは、既に暗号化されアドレスが付されているために、EPON212は、キーES=0,SCB=0,SC=1に設定して、ONU214a−cに対し、パケット308jは、標準のイーサーネットアドレスを用いて下流方向に流れている事を通知する。このアドレス付与によって、全てのONU214a−cは、パケット308jを受領し、ペイロードを脱暗号化し、メッセージ7j,307j,317jにする。各メッセージは、LAN217a−cを介してそれぞれのユーザ215a−cに送られる。
新たなONUを認識するために、OLT212は、既知のSICと既知のSAKで、安全確保したディスカバリゲートパケットを送る。かくして未認証のONUは、このディスカバリゲートパケットを認識せず、登録する事ができない。
図2に示すように、登録パケット(registration packet)8eに応答して、OLT212は、登録パケット(register packet)308eをユーザ250bに送る。UCネットワークインストラクション(例えば、OAMメッセージゲートと登録情報メッセージとMPCPメッセージ)は、OLT212から、ローカルなshortDS MACSecパケット(例、パケット308e)で、受領者であるONU(例、ONU214b)に送られる。ローカルshortUC DS MACSecパケット(例;パケット308e)は、キーES=0,SCB=0,SC=0に設定して、マークを付する。個別のデフォルトのSCIが、各ONU214a−cに対し、OLT212で記録される。かくして、ONU214bが、ONU214bのデフォルトのSCIを用いて符号化したショートパケットは、盗聴者或いは他のONU(例;ONU214a又は214c)では、暗号解読をすることはできない。SCIは、2つのフィールドSCI.SAとSCI.PIから構成される。SCI.SAは、MSBセットを’0’にしたOLTMACアドレスに等しく、SCI.PIは、パケットプリアンブルとして与えられるONUロジカルリンク識別子(LLID)に等しい。ONU214bは、パケット308eを受領し、ペイロード(メッセージ307e)を脱暗号化(暗号解読)して、メッセージ307eを、ユーザ250bに、LAN217bを介して送信する。
OLT212は、shortMACsecDSMCパケット308dを送る。shortMACSecDSMCパケット(例;パケット308d)は、キーES=0,SCB=1,SC=0に設定して、マークが付され、全てのONU214a−cに既知のSCIで、暗号化する。このSCIは、2つのフィールド、SCI.SAとSCI.PIから構成される。SCI.SAは、MSBを‘0’に設定したOLT MACアドレスに等しく、SCI.PIは、0xFFFに等しい。このアドレス付与により、パケット308dを、ONU214a−cが受領し、ペイロードが脱暗号化され、メッセージ7d,307d,317dがそれぞれユーザ250a−cに送られる。MPCPと同様に、全てのONU214a−cへのMCメッセージは、予め共有されたSCIで暗号化され、パケット308dと同様に、ES=0,SCB=1,SC=0に設定される。
OLT212は、カスタムターゲットMCパケット308fを、ユーザ250a−bに送る。EPON210上では、カスタムターゲットMCパケット(例;パケット308f)は、longMACSecヘッダーと共に送られる。このヘッダーは、イーサーネット標準によりソースアドレスとターゲットアドレスを指定し、ES=0,SCB=0,SC=1に設定する。パケット308fは、ONU214cでは廃棄されるが、ONU214a,214cでは受領される。ONU214a,214cは、ペイロードを暗号解除し、そのコンテンツを、ユーザ250a−cに、LAN217a−bを介してメッセージ7fと307fとして、送る。
IEEE802.lae標準の暗号化と認証スキームは、32バイトをlongヘッダー用にパケットに付加するが、この場合SCIは露出される。また、24ビットをshortヘッダー用に付加するが、この場合SCIは露出しない。上記したように、EPON210上では、shortヘッダーは、各ONUを214a−cとOLT212の間のローカルEPONトラフィック用に用いられる。これは、LLIDに関連する所定のSCIと、デフォルトグループ(全てのONU214a−c)に放送されるマルチキャスト・メッセージ用の所定の予め共有されたSCIを用いて行われる。マルチキャスト・メッセージは、SCB表示(SCB=1)でフラッグが付され、上流方向メッセージ(SCB=0でフラッグが付されている)から区別される。EPON210上では、longヘッダーはリモートサーバとの関連のリモートセキュリティ用又は個々のマルチキャストグループに用いられる。
EPON210上の様々なメッセージタイプのキーセッティングを次の表1に示す。
方向 パケットタイプ ES SCB SC SCI.SA SCI.PI
DS UC ローカルセキュアト゛ハ゜ケット 0 0 0 OLT.SA ONU.LLID
DS MCローカルshortセキュアト゛ハ゜ケット 0 1 0 OLT.SA 0xFFF
DS longセキュアト゛ハ゜ケット 0 0 1 SecTAG SecTAG
で明示 で明示
DS ノン-ローカルshortセキュアト゛UCハ゜ケット 1 0 0 ハ゜ケットSA 00-01
DS ノン-ローカルshortセキュアト゛MCハ゜ケット 1 1 0 ハ゜ケットSA 00-00
US ローカルUCshortセキュアト゛ハ゜ケット 0 0 0 OLT.SA
MSB=1
US longセキュアト゛ハ゜ケット 0 0 1 SecTAG SecTAG
で明示 で明示
US ノン-ローカルshortセキュアト゛ハ゜ケット 1 0 0 ハ゜ケットSA 00-01
表1−キーセッティング:ES:エンドステーション,SCB:シングルコピーブロードキャスト,SC:SecTag,SCI.SA:セキュアシステムアソシエイション,US:上流方向パケット。DS:下流方向パケット、SCI.PI:様々なパケットタイプに対する加入者制御入力ポート識別子
方向 パケットタイプ ES SCB SC SCI.SA SCI.PI
DS UC ローカルセキュアト゛ハ゜ケット 0 0 0 OLT.SA ONU.LLID
DS MCローカルshortセキュアト゛ハ゜ケット 0 1 0 OLT.SA 0xFFF
DS longセキュアト゛ハ゜ケット 0 0 1 SecTAG SecTAG
で明示 で明示
DS ノン-ローカルshortセキュアト゛UCハ゜ケット 1 0 0 ハ゜ケットSA 00-01
DS ノン-ローカルshortセキュアト゛MCハ゜ケット 1 1 0 ハ゜ケットSA 00-00
US ローカルUCshortセキュアト゛ハ゜ケット 0 0 0 OLT.SA
MSB=1
US longセキュアト゛ハ゜ケット 0 0 1 SecTAG SecTAG
で明示 で明示
US ノン-ローカルshortセキュアト゛ハ゜ケット 1 0 0 ハ゜ケットSA 00-01
表1−キーセッティング:ES:エンドステーション,SCB:シングルコピーブロードキャスト,SC:SecTag,SCI.SA:セキュアシステムアソシエイション,US:上流方向パケット。DS:下流方向パケット、SCI.PI:様々なパケットタイプに対する加入者制御入力ポート識別子
図4aは、longSecTAG406aを有するセキュアデータパケット404aの構造を示す。ノン−セキュアドメッセージ401は、宛先アドレス461aと、発信元アドレス462aと、非セキュアデータ464と、完全性チェックのためのフレームチェックシーケンス(FCS)466aを有する。
ノン−セキュアドメッセージ401は、セキュアデータパケット404aに変換される。セキュアデータパケット404aは、オリジナルの宛先アドレス461bと、発信元アドレス462bとを有する。セキュアデータパケット404aは、ノン−セキュアデータ464を有し、これはセキュアドデータ465aに暗号化される。ノン−セキュアドメッセージ401のオリジナルの完全性チェックFCS466aは廃棄され、新たな完全性チェックFCS466bと完全性チェック値ICV472aが追加される。認証に必要な情報を含むセキュリティタグ(SecTAG406a)が付加される。セキュアドデータパケット404aは、longSecTAG406aを有する。このlongSecTAG406aは、イクススプリットSCI474を含む。
セキュアデータパケット404aは、TCI−AN408aバイトを含む。このバイトの或るビットは、様々なパケットモードのフラグとして機能する。特に、ES482a,SC484a,SCB486aのセッティングは、表1に従って設定される。
図4bは、shortSecTAG406bを有するセキュアデータパケット404bの構造を示す。非セキュアドメッセージ401は、宛先アドレス461aと、発信元アドレス462aと、非セキュアデータ464と、完全性チェックのためのフレームチェックシーケンス(FCS)466aを含む。
メッセージ401は、shortセキュアデータパケット404bに変換される。このshortセキュアデータパケット404bは、オリジナルの宛先アドレス461cと、発信元アドレス462cとを有する。shortセキュアデータパケット404bは、非セキュアデータ464を有し、これはセキュアデータ465bに暗号化される。非セキュアメッセージ401のオリジナルの完全性チェックFCS466aは廃棄され、新たな完全性チェックFCS466cと完全性チェック値ICV472bが追加される。shortセキュリティTAG(SecTAG406b)も追加されるが、このshortセキュアTAG(SecTAG406b)は、認証に必要な情報を含む。
shortセキュアデータパケット404bは、TCI−AN408bバイトを含む。このバイトの或るビットは、様々なパケットモードのフラグとして機能する。特に、ES482b,SC484b,SCB486bのセッティングは、表1に従って設定される。 図5は、トンネルパケット504の構造を示す。非セキュアメッセージ501は、リアルL2−MAC宛先アドレスDA561aと、リアルL2−MAC発信元アドレスSA562aと、ノンセキュアデータ564と、完全性チェックのFCS566aを有する。
メッセージ501は、セキュアデータパケット504に変換される。このセキュアデータパケット504は、新たなダミー宛先アドレス561bと新たなダミー発信元アドレス506bとを有する。セキュアトンネルパケット504において、ノンセキュアデータ564と、リアルL2−MAC宛先アドレス561aと、リアルL2−MAC発信元アドレス562aが、セキュアデータ565に暗号化される。ノン−セキュアドメッセージ501のオリジナルの完全性チェックFCS566aは廃棄され、新たな完全性チェックFCS566bと完全性チェック値ICV572aが追加される。認証に必要な情報を含むセキュリティタグ(SecTAG406a)が付加される。セキュアドデータパケット404aは、longSecTAG406aを有する。このlongSecTAG406aは、明示SCI474を含む。トンネルパケット504は、ダミー発信元アドレス562bのフィールドを有するために、これはSCI.SAとして使用され、ロジカルリンク識別子(LLID)は、SCI.PIとして使用され、shortSecTAG506が用いられるが、その理由は、エクスプリシットSCIを含む必要がないからである。
トンネルパケット504は、shortSecTAG506を含む。このバイトの或るビットは、様々なパケットモードのフラグとして機能する。特に、ES582,SC584,SCB586のセッティングは、表1に従って設定される。
図6は、脱暗号化エンジン610の実施例のブロック図である。SecTAG606とセキュアデータ665aを有するデータパケット604は、脱暗号化エンジン610内に入り、具体的には、フレームリビルダーFRB681とデックパースDecPars682に入る。
FRB681は、メインのデータパスパイプラインである。FRB681は、セキュアデータ665aをパスして、セキュアデータ665bとして、FIFOベースのパイプラインで、クリーンにされる。
FRB681は、メインのデータパスパイプラインである。FRB681は、セキュアデータ665aをパスして、セキュアデータ665bとして、FIFOベースのパイプラインで、クリーンにされる。
DecPars682は、SecTAG606をパケット604から抽出する(例えば図4aのSecTAG406aを参照のこと)。このSecTAG606を用いて、DecPars682は、パケットに関し例えば次のことを決定する。廃棄、セキュリティをバイパスする、関連番号SCI.AN638を如何に抽出するかを決定する。例えば、ONU214aにおいて、DecPars682は、SecTAGのタイプを決定する。即ちlongSecTAGであるかshortSecTAGであるかを決定する。これは表1の下流方向パケット用のES,SC,SCBビットに応じて決める。斯くして、SCIを曝して、SCI.AN683を決定する。別の構成として、DecPars682がOLT212内にある場合には、DecPars682は、SecTAGタイプを決定する。即ちlongSecTAGであるかshortSecTAGであるかを決定する。これは表1の上流方向パケット用のES,SC,SCBビット値に応じて決める。斯くしてSCIを曝し、SCI.AN683を決定する。SCI.AN683が見出されると、それはキーデータベースKDB684に送られる。KDB684は、表の中からSCI.AN683を求めて、対応するセキュア関連キーSAK685とネクストPN686とを取り出す。
A Galois/Counter Mode cipher/decipher/authenticabte module GCM−AES−128(GCM687)には、KDB684からのSAK685と、DecPars682からのSCI.PN(IV)688と、暗号化されたセキュアデータ665bが与えられる。脱暗号化後、それはGCM687は、脱暗号化されたデータ664を出力する。このデータ664は、平文パケット(パケットが暗号化されていた場合)と、PASS/FAIL表示とを含む。
脱暗号化(暗号解読)されたデータ664が、FRB681パイプラインからの出力に成功すると、ネクストPN689が、データパケット604に関連するDecPars制御690のルールに従って、更新され、統計カウンターが、外部統計ブロックへの出力パルスを用いて、増分される。FRB681は、パケットを再構築するが、これはSecTAGとICVを用いずに行われる。
図7は、セキュリティオフセット755の構造を示す。ノン−セキュアドメッセージ701は、宛先アドレス761aと、発信元アドレス762aと、非セキュアデータ764と、完全性チェックのためのフレームチェックシーケンス(FCS)766aを有する。
ノン−セキュアドメッセージ701は、セキュアデータパケット704aに変換される。セキュアデータパケット704aは、オリジナルの宛先アドレス761bと、発信元アドレス762bとを有する。セキュアデータパケット704aは、ノン−セキュアデータ764を有し、これはセキュアドデータ765aに暗号化される。ノン−セキュアドメッセージ701のオリジナルの完全性チェックFCS766aは廃棄され、新たな完全性チェックFCS766bと完全性チェック値ICV772aが追加される。脱暗号化に必要な情報を含むセキュリティタグ(SecTAG706a)が付加される。
別の構成として、ノン−セキュアドメッセージ701は、セキュリティオフセット755を有するセキュアデータパケット704aに変換される。セキュアデータパケット704aと同様に、セキュアデータパケット704bは、オリジナルの宛先アドレス761cと、発信元アドレス762cとを有する。セキュアデータパケット704bも、ペイロード793内にノンセキュアデータ764を有する。ペイロード793の内の未暗号部分792は、ペイロード793の最初のMバイト(ここでMはセキュリティオフセット755の値である)を含み、暗号化されない。ペイロード793の残りのバイトは、セキュアデータ765bに暗号化される。ノン−セキュアドメッセージ701のオリジナルの完全性チェックFCS766aは廃棄され、新たな完全性チェックFCS766bと完全性チェック値ICV772aが追加される。脱暗号化に必要な情報を含むセキュリティタグ(SecTAG706a)が付加される。
EPON210においては、IEEE 801.IAEの秘密性オフセット特徴が拡張される。特にセキュリティオフセット655は、構築可能な値であり、これは30バイト未満の整数値を採る。但しこれは暗号化装置と脱暗号化装置が使用する値が、パケットの長さよりも長くなく又一部のフィールドが見るのが好ましい場合である。セキュリティオフセット655が整数値を採るようにすることにより、キャリアーに対して必要とされる関連情報を露出する。例えばVLANヘッダーとプライオリティを見る必要がある場合には、セキュリティオフセット655は、「4」に設定される。OPCodeが必要とされる場合には、セキュリティオフセット655は、「6」に設定される。
図8は、EPONネットワーク上の下流方向通信を安全確保する方法のフローチャート図である。出力下流方向メッセージ801が、OLT212の暗号化エンジンに到達する。OLT212はネットワークのルールをチェックし(ステップ840)、メッセージ801の内のどのタイプのメッセージが、トンネルモード801で送信されるかをチェックする。“no”の場合には、メッセージ801はトンネルモードでは送信されずに、OLT212は、メッセージ801が既に暗号化されているか否かをチェックする(ステップ842)。“yes”の場合には、メッセージ801は既に暗号化され、メッセージ801が、shortMACSecヘッダー843を有するイーサーネット上流方向メッセージの場合には、SCIは、エンドステーションにより、ES=1 SCB=0 SC=0にし、SCI.PIを00−01に設定する。その為、パケットは変更無く送信される(ステップ844)。メッセージ801がshortMACSecヘッダー845の付いたMCメッセージの場合には、SCIは、エンドステーションにより、ES=1,SCB=1,SC=0でSCI.PIが00−00に設定される。その為パケットは、変更無く送信される(ステップ846)。メッセージ801がlongイーサーネットMACSecヘッダー847で暗号化されている場合には、SCIは、エンドステーションによりES=0,SCB=0,SC=1に設定される。それ故にパケットは、変更無しに送信される(ステップ848)。
チェック840により、ネットワークルールが、メッセージ801の内どのタイプのメッセージがトンネルモードで送信されるかを決定すると、メッセージ801は、トンネルモードに置かれ、ペイロードにDA561aとSA562aのMACアドレスが追加され、新たなダミーMACアドレス(DA561bとSA562b)がパケットに追加される。別の構成として、MACsecアドレスの1つSA又はDAはそのままで、他のMACsecアドレスがペイロードに追加され、ダミーアドレスで置換される。更に別の構成として、メッセージをトンネルモードで送信するか否かの決定は、メッセージのタイプで決まるネットワークポリシーで決まるのではなく、メッセージ801に対し個々に決まる。
メッセージ801がトンネルモードで送信される場合、又はメッセージ801が暗号化されていない場合には、メッセージ801のペイロード(とトンネルモードのメッセージの元のMACアドレスのDA561aとSA562aと)が暗号化される。メッセージ801を暗号化する前に、OLT212は出力パケットのペイロードの一部が露出すべきであるか否かをチェックする(ステップ849)。ペイロードの一部が露出されるべき時には、適宜のセキュリティオフセットが追加され(ステップ850)、ペイロードの適宜の部分を暴露する。ペイロードの残りの部分は暗号化される。
OLT212は、メッセージ801を構成するどのパケットが、メッセージのタイプに基づいて送信されるかを決定する。
メッセージ801がローカル上流方向メッセージ851として送信される場合には、ペイロードは、目的のONU852用のデフォルトの所定のSAKを用いて暗号化され、SCIは、ES=0,SCB=0,SC=0に設定され、SCI.SAは、OLT212のSAに設定され、SCI.PIは、目的のONUのLLIDに設定され、パケットは、適宜のshortヘッダーで送信される(ステップ853)。
メッセージ801が、ローカルMCメッセージとして、デフォルトのあて先854(ネットワーク210内では、デフォルトのMCのあて先は、全てのONU214a−cである)に送信されると、ペイロードは、MCメッセージ855用のデフォルトの所定の共有SAKを用いて暗号化され、SCIは、ES=0,SCB=1,SC=0として設定され、SCI.SAは、OLT212のSAに設定され、SCI.PIは、0xFFFに設定され、パケットは、適宜のshortヘッダー856を付して送信される。
メッセージ801が、ローカルMCメッセージとして、カスタムのあて先857(ネットワーク210内では、カスタムのMCのあて先は、ONU214a−cの2つのONUである)に送信されると、ペイロードは、カスタムのSAKを用いて暗号化され、SCIは、ES=0,SCB=0,SC=1として設定され、SCI.SAとSCI.PIは、IEEE802.1AE標準と802.1af標準に従って明示的に設定され、パケットを長いlongヘッダー859を付して送信される。
図9は、上流方向トランスポート用のONU214aによりメッセージ901を暗号化する方法のフローチャートである。ONU214bは、メッセージ901がトンネルモードで送信されるか否かをチェックする(ステップ940)。“yes”の場合には、リアルMACアドレスの少なくとも一部(DA561a又はSA562a)が、ダミーアドレス(ダミーDA561b又はダミーSA562b)で置換され(ステップ941)、リアルL2−MACアドレスの置換された部分が、メッセージのペイロードに付加される。
パケットのDAとSAが決定されると、即ち変更無し(トンネルモードではない)或いは、変更あり(トンネルモード)と決定されると、ペイロードの一部は暴露されるか否かを決定する(ステップ949)。ペイロードの一部が暴露(露出)されると決定されると、適宜のセキュリティオフセットが追加され(ステップ950)、ペイロードの適宜の一部とペイロードの残りの部分が、暗号化される。
その後ONU214bは、メッセージ901を構成するどのパケットが、メッセージタイプに基づいて送信されるかを決定する(ステップ942)。
メッセージ901がOLT212へのメッセージ(例えばバンド幅の要求)の場合には、ペイロードは、ONU214aのデフォルトのUS SAKを用いて暗号化され(ステップ952)、SCIはES=0,SCB=0,SC=0に設定され、SCI.SAはOLT212のSAに設定され、SCI.PIは、ONU214aのLLIDに設定され、MSBは「1」に設定される(ステップ953)。
メッセージ901が、shortパケット943としてOLT212以外の宛先に送信される場合には、ペイロードは、カスタムキーを用いて暗号化され(ステップ944)、SCIは、ES=1,SCB=0,SC=0に設定され、SCI.SAは従来の標準に従って設定され、SCI.PIは00−01に設定される。
メッセージ901が、longパケット943としてOLT212以外の宛先に送信される場合には、ペイロードは、デフォルトのカスタムキーを用いて暗号化され(ステップ948)、SCIは、ES=0,SCB=0,SC=1に設定され、SCI.SAとSCI.PIは、従来の標準に従って設定される。
図10aは、ONU214bのセキュアディスカバリとレジストレーション(登録)を表すフローチャートである。最初にOLT212は、ディスカバリゲートメッセージ(ディスカバリタイムスロットの利用可能性をアナウンスする(例:図2のディスカバリタイムスロット9b))を生成し(スロット1007)、このディスカバリゲートメッセージを、登録されたONU214a−cに既知の予め共有したSCIとSAKを用いて、暗号化し(ステップ1008)、この下流方向ディスカバリゲートパケットをONU214a−cに送信する。ONU214bは、ディスカバリゲートパケットを受領し、暗号解読し(ステップ1009)、登録リクエストメッセージを生成し(ステップ1011)、ランダムなPN数を登録レジストレーションリクエストに追加する(ステップ1013)。その後、ONU214bが、トンネルモードにある登録リクエストパケットを、所定の共有されたSAKとダミーのMACSecアドレスを用いて暗号化する(ステップ1015)。ONU214bは、得られたトンネルモードの登録リクエストパケットをOLT212へ送る。OLT212は、トンネルモード登録リクエストパケットを脱暗号化し(ステップ1017)、ONU214bは現在アクティブか否かをチェックする(ステップ2019)。EPON210の実施例においては、アクティブなONUは、トラフィックを最近受領したONUであり、例えばこのONUは、ペンディングの登録リクエストを有し、最近の100ミリ秒の間にOLT212と通信をしているONUである。ONU214bがアクティブであると、登録リクエストパケットは廃棄される(ステップ1023)。ONU214bがアクティブでない場合には、OLT212は登録リクエストパケットのPNをチェックする(ステップ1021)。同一のPNが、最近の登録リクエストパケットでONU214bから送信された場合には、登録リクエストパケットは、廃棄される(ステップ1023)。登録リクエストパケットのPNが新しい場合には、OLT212は、登録リクエストパケットの完全性をICV572を用いてテストする(ステップ1024)。登録リクエストパケットが完全性のテストに不合格の場合には、登録リクエストパケットは廃棄される(ステップ1023)。登録リクエストパケットが完全性のテストに合格すると、OLT212は、登録メッセージを生成し(ステップ1025)、登録メッセージを暗号化し(ステップ1027)、その後得られた登録パケットを、MPCPパケットとOAMパケット用のネットワークのルールに従って、ONU214bに送る。ONU214bは、登録パケットを受領し脱暗号化する(ステップ1029)。
図10aのセキュア登録方法が、斯くして偽の登録を阻止する。その理由は、適宜の共有したSCIとSAKを知っているONUのみが、ディスカバリゲートパケットを受領するか或いは合法的な登録リクエストパケットを暗号化できるからである。セキュア登録方法が、ONU214b上でのスパイ行為を阻止するが、その理由は、ディスカバリゲートパケットと登録リクエストパケットとはトンネルモードで暗号化されるからである。更にONU214bがアクティブで、セキュア登録プロセスが、ONU214bをDenial of Service(DoS)アタックから保護する。Denial of Service(DoS)においては、ONU214bとして登録された偽のユーザは、ONU214bの現在の登録を自動的に無効にする。DoSアタックに対する保護は4つのメカニズムで行われる。第1のメカニズムにおいては、ONU214bがアクティブでDoSを引き起こす競合する登録は許さない。第2のメカニズムにおいては、ONU214bが非活性状態の場合でも、ネットワークに対する盗聴者は、適正なSAKとMACアドレスを知らないために、偽の登録リクエストメッセージを生成できない。第3のメカニズムにおいては、ディスカバリー登録プロセスはトンネルモードにあるために、盗聴者はOLT212のディスカバリゲートパケットか或いはONU214bの登録リクエストメッセージかを区別することができず、登録リクエストパケットを記録し、再生することができない。第4のメカニズムとしては、盗聴者が登録リクエストパケットを再生することに成功した場合でも、再生されたパケットは拒絶される。その理由は、PNナンバーは既に使用されたPNナンバーの複製であり、盗聴者がペイロードを再生しPNを変えても、偽造は、完全性テストで検出され、偽造された登録パケットは、拒絶される。
図10bは、ONU214bのセキュアな登録抹消(ディレジストレーション)のフローチャートである。ONU214bは、登録抹消メッセージを生成し(ステップ1031)、シーケンシャルなPNナンバーを付加し(ステップ1033)、メッセージを登録抹消パケットに暗号化する(ステップ1035)。これはEPON210上の上流方向パケットのルールに従って行われる。OLT212は、登録抹消パケットを脱暗号化し(ステップ1047)、PNが正しいシーケンシャルナンバーであることをチェックする(ステップ1041)。PNが正しくない場合には、パケットは廃棄される(ステップ1043)。PNが正しい場合には、OLT212は登録抹消パケットの完全性をテストする(ステップ1044)。パケットが完全性テストに不合格の場合には、パケットは廃棄される(ステップ1043)。パケットが完全性テストに合格すると、ONU214bは登録抹消される(ステップ1045)。
斯くして登録抹消方法は、ONU214bをDoSアタックから保護する。その理由は盗聴者は、登録抹消パケットを生成するための適正なSAKを持たないからである。前の登録抹消メッセージを置換することによる誤った登録抹消は阻止される。その理由は登録抹消パケットはトンネルモードで送信される場合には、盗聴者は登録抹消メッセージとその送信者を認識することができないからである。更に盗聴者は登録抹消パケットを識別できない場合でも、盗聴者は登録抹消パケットを記録し再生しようとすると、再生されたパケットは拒絶される。その理由は不適正なPNシーケンスだからである。
以上の説明は、本発明の一実施例に関するもので、この技術分野の当業者であれば、本発明の種々の変形例を考え得るが、それらはいずれも本発明の技術的範囲に包含される。特許請求の範囲の構成要素の後に記載した括弧内の番号は、図面の部品番号に対応し、発明の容易なる理解の為に付したものであり、発明を限定的に解釈するために用いてはならない。また、同一番号でも明細書と特許請求の範囲の部品名は必ずしも同一ではない。これは上記した理由による。用語「又は」に関して、例えば「A又はB」は、「Aのみ」、「Bのみ」ならず、「AとBの両方」を選択することも含む。特に記載のない限り、装置又は手段の数は、単数か複数かを問わない。
図4a
401 ノン−セキュアのメッセージ
461a オリジナルDA
462a オリジナルSA
464 オリジナル・フレーム・データ(ペイロード)
465a 安全確認をしたデータ(オリジナル・フレーム・データとPAD)
472a
ポート識別子(2バイト):SC=0のときにはESの記述を参照のこと
セキュアシステムアドレス(6バイト):SC=0の場合はSCI.SA=SA
パケット番号(4バイト):各パケットを増分
ICV保護はトンネルDAとトンネルSAとMPDUを含む
CRC32は全てのイーサーネットフレームを保護する
SL=0:セキュアドデータ長さはフレームサイズで決定される
0<SL<48:セキュアドデータ長さ=SL
SL>=48:保存
関連番号がSC内のSAを特定する
E=0,C=0:フレームの完全性のみが提供されICVは16バイト
E=0,C=1:使用していない(別の暗号列用に保存)
E=1,C=0:KaY用のフレーム
E=1,C=1:SecY用の暗号化フレーム
SCB:このビットはEPONシングルコピーブロードキャストフレーム用に設定される
SC:設定されたときには選択的事項としてのSCIフィールドがSecタグに含まれる
ES:エンドステーション。ES=1のときにはSCI.SA=SA,SCI.PI=SCB?0x0000:0x0001
V=0:Secタグバージョン
図6,7
684 キーデータベース
690 デックパーが制御する
665 ペイロード
664 データ
689 パケット
688 出力データ
604 データパケット
665a ペイロード
606 セックタグ
681 フレーム
図8、9
スタート
801 メッセージ
840 トンネルモードか?
841 リアルMACアドレスをペイロードに追加
MACアドレスをダミーアドレスで置換
842 既に暗号化されているか?
844−848 変更せずに送付
849 ペイロードのリヴィール部分か?
850 セキュリティオフセットを追加
851 ローカルUC
852 ONU用のデフォルトSAKで暗号化
853 shortヘッダーで送信
856 shortヘッダーで送信
859 longヘッダーで送信
854 ローカルMCデフォルトターゲット
855 デフォルトMCSAKで暗号化
857 ローカルMCカスタムターゲット
858 カスタムSAK
図10a
1013 ランダムPNを追加する
1011 登録リクエストを生成する
1009 ディスカバリーゲートパケットを脱暗号化する
1015 トンネルモードの登録リクエストを、予め共有したSAKとダミーMACア ドレスで暗号化する
1029 レジスターパケットを脱暗号化する
1017 登録リクエストを脱暗号化する
1019 ユーザはアクティブか?
1025 レジスターパケットを生成する
1021 PNは既に使用したか?
1027 レジスターパケットを暗号化する
1024 完全か?
1023 廃棄
1007 ディスカバリーゲートメッセージを生成する
1008 暗号化したディスカバリーゲートパケットONUに送る
図10b
1031 脱登録メッセージを生成する
1033 シーケンシャルPNを追加する
1035 脱登録メッセージを暗号化する
1047 脱登録メッセージを脱暗号化する
1045 脱登録
1041 完全か?
1041 PNは正しいか?
1043 廃棄
401 ノン−セキュアのメッセージ
461a オリジナルDA
462a オリジナルSA
464 オリジナル・フレーム・データ(ペイロード)
465a 安全確認をしたデータ(オリジナル・フレーム・データとPAD)
472a
ポート識別子(2バイト):SC=0のときにはESの記述を参照のこと
セキュアシステムアドレス(6バイト):SC=0の場合はSCI.SA=SA
パケット番号(4バイト):各パケットを増分
ICV保護はトンネルDAとトンネルSAとMPDUを含む
CRC32は全てのイーサーネットフレームを保護する
SL=0:セキュアドデータ長さはフレームサイズで決定される
0<SL<48:セキュアドデータ長さ=SL
SL>=48:保存
関連番号がSC内のSAを特定する
E=0,C=0:フレームの完全性のみが提供されICVは16バイト
E=0,C=1:使用していない(別の暗号列用に保存)
E=1,C=0:KaY用のフレーム
E=1,C=1:SecY用の暗号化フレーム
SCB:このビットはEPONシングルコピーブロードキャストフレーム用に設定される
SC:設定されたときには選択的事項としてのSCIフィールドがSecタグに含まれる
ES:エンドステーション。ES=1のときにはSCI.SA=SA,SCI.PI=SCB?0x0000:0x0001
V=0:Secタグバージョン
図6,7
684 キーデータベース
690 デックパーが制御する
665 ペイロード
664 データ
689 パケット
688 出力データ
604 データパケット
665a ペイロード
606 セックタグ
681 フレーム
図8、9
スタート
801 メッセージ
840 トンネルモードか?
841 リアルMACアドレスをペイロードに追加
MACアドレスをダミーアドレスで置換
842 既に暗号化されているか?
844−848 変更せずに送付
849 ペイロードのリヴィール部分か?
850 セキュリティオフセットを追加
851 ローカルUC
852 ONU用のデフォルトSAKで暗号化
853 shortヘッダーで送信
856 shortヘッダーで送信
859 longヘッダーで送信
854 ローカルMCデフォルトターゲット
855 デフォルトMCSAKで暗号化
857 ローカルMCカスタムターゲット
858 カスタムSAK
図10a
1013 ランダムPNを追加する
1011 登録リクエストを生成する
1009 ディスカバリーゲートパケットを脱暗号化する
1015 トンネルモードの登録リクエストを、予め共有したSAKとダミーMACア ドレスで暗号化する
1029 レジスターパケットを脱暗号化する
1017 登録リクエストを脱暗号化する
1019 ユーザはアクティブか?
1025 レジスターパケットを生成する
1021 PNは既に使用したか?
1027 レジスターパケットを暗号化する
1024 完全か?
1023 廃棄
1007 ディスカバリーゲートメッセージを生成する
1008 暗号化したディスカバリーゲートパケットONUに送る
図10b
1031 脱登録メッセージを生成する
1033 シーケンシャルPNを追加する
1035 脱登録メッセージを暗号化する
1047 脱登録メッセージを脱暗号化する
1045 脱登録
1041 完全か?
1041 PNは正しいか?
1043 廃棄
Claims (29)
- OLTと複数のONUを有するEPON上の通信の安全確保する方法において、
(A)OLTが、複数のONUの内のONUのLLIDとして、下流方向パケットのSCI.PIを構築するステップと、
(B)OLTが、shortMACsecヘッダーを含む前記下流方向パケットを、前記SCIに基づく個別のSAKで暗号化するステップと
を有する
ことを特徴とするEPON上の通信の安全確保する方法。 - (C)OLTが、前記パケットのタイプを以下のグループから選択し決定するステップを更に有し、
i) UC(ユニキャスト)
ii) MC(マルチキャスト)
iii)OAM(操作と管理と保守)
iv) MPCP(マルチポイント通信プロトコル)
v) GP(ゲートパケット)
vi) グラントパケット
vii)リクエスト(要求パケット)
前記(B)ステップにおいて、
(X)前記パケットが第1のshortMACsecヘッダーを有する第1タイプのパケットの場合、前記個別のSAKは第1の所定のSAKであり、
(Y)前記パケットが第2のshortMACsecヘッダーを有する第2タイプのパケットの場合、前記個別のSAKは第2の所定のSAKである
ことを特徴とする請求項1記載の方法。 - (D)OLTが、30バイト未満のセキュリティオフセットを、前記第1タイプのパケットに付加するステップ
を更に有する
ことを特徴とする請求項2記載の方法。 - 前記(B)ステップは、前記第1タイプのパケットのSCI.SAを、前記OLTのSAに設定するステップを有する
ことを特徴とする請求項2記載の方法。 - OLTと複数のONUを有するEPON上の通信の安全確保する方法において、
ONUが、
(A)複数のONUの内のONUのLLIDとして、上流方向パケットのSCIフィールドのPIを構築するステップと、
(B)前記複数のONUの内のONUの上流方向のパケットと下流方向のパケットとを区別するために、SCI.SAのMSB(最上位ビット)を構築するステップと、
(C)shortMACsecヘッダーを含む前記上流方向パケットを、前記SCIに基づく個別のSAKで暗号化するステップと
を有する
ことを特徴とするEPON上の通信の安全確保する方法。 - OLTと複数のONUを有するEPON上の通信の安全確保する方法において、
(A)複数のONUの内で所定のキーを含むONUを構築するステップと、
(B)OLTから、前記所定のキーで暗号化されたディスカバリ・ゲート・メッセージを、前記ONUに送信するステップと、
(C)後続の通信パケットを、前記OLTとONUで、以下のサブステップ(C1)〜(C3)で暗号化するステップと、
を有し、
(C1)前記通信パケットのタイプを以下のグループから選択し決定するステップ
A)UC(ユニキャスト)
B)MC(マルチキャスト)
C)OAM(操作と管理と保守)
D)MPCP(マルチポイント通信プロトコル)
E)GP(ゲートパケット)
F)グラントパケット
G)リクエスト(要求パケット)
(C2)前記通信パケットが第1のshortMACsecヘッダーを有する第1タイプのパケットの場合、前記通信パケットを第1の所定のSAKで暗号化するステップと、
(C3)前記通信パケットが第2のshortMACsecヘッダーを有する第2タイプのパケットの場合、前記通信パケットを第2の所定のSAKで暗号化するステップと、
ことを特徴とするEPON上の通信の安全確保する方法。 - (D)前記ONUから、前記所定のキーで暗号化された登録リクエストパケットを、前記OLTに送信するステップ
を更に有する
ことを特徴とする請求項6記載の方法。 - (E)ランダムなPNを、前記暗号化された登録リクエストパケットに含ませるステップ
を更に有する
ことを特徴とする請求項7記載の方法。 - (F)前記暗号化された登録リクエストパケットを、ダミーのSAでアドレスを付すステップ
を更に有する
ことを特徴とする請求項7記載の方法。 - (D)他のONUが活性状態にある時に、前記OLTが、前記登録リクエストパケットを廃棄するステップ
を更に有する
ことを特徴とする請求項7記載の方法。 - OLTでコーディネートされた、IEEE802.1aeのMACsecを用いるEPON上で、ONUが使用する脱暗号化エンジンにおいて、
(a)DecParsモジュールと、
(b)KDB(Key Data Module)と、
を有し、
前記DecParsモジュールは、前記OLTから送信された第1タイプのshortMACsecヘッダー・パケットから第1の所定のSCIを抽出し、前記OLTから送信された第2タイプのshortMACsecヘッダー・パケットから第2の所定のSCIを抽出し、
前記KDBは、前記第1の所定のSCIに対応する第1のSAKを取り出し、前記第2の所定のSCIに対応する第2のSAKを取り出し、
前記第1タイプのshortMACsecヘッダー・パケットを,第1の所定のSAKで脱暗号化し、
前記第2タイプのshortMACsecヘッダー・パケットを,第2の所定のSAKで脱暗号化し、
前記所定のSCIのPIは、前記ONUのLLIDとして構築される
ことを特徴とするEPON上でONUが使用する脱暗号化エンジン。 - 前記DecParsモジュールは、前記OLTからトンネルモードで送信された安全確保したパケットをパースし、
前記安全確保したパケットは、以下の(i)と(ii)とを有する
(i)安全確保されていないパケットデータと前記安全確保したパケットの安全確保データに暗号化されたMACアドレスと、
(ii)以下の(A)〜(C)を利用するshortMACsecヘッダーと
(A)ローカルMAC宛先アドレス
(B)MACソースアドレスとしてのSCI.SAフィールド
(C)登録に際しOLTからONUに与えられONUに独自のものであるLLIDとしてのSCI.PI
ことを特徴とする請求項11記載の脱暗号化エンジン。 - (c)FRB(フレーム再構築)モジュール
を更に有し、
前記FRB(フレーム再構築)モジュールは、前記第1タイプのshortMACsecヘッダー・パケットが不正なPN(パケット番号)を有する場合、前記第1タイプのshortMACsecヘッダー・パケットを廃棄する
ことを特徴とする請求項11記載の脱暗号化エンジン。 - 前記KDBは、MPCPメッセージ用に、予め共有したSAKを記憶する
ことを特徴とする請求項11記載の脱暗号化エンジン。 - 前記DecParsモジュールは、30バイト未満のセキュリティオフセットを有する前記第1タイプのshortMACsecヘッダー・パケットをパースする
ことを特徴とする請求項11記載の脱暗号化エンジン。 - 複数のONUを有するIEEE802.1aeのMACsecを用いるEPON上で、OLTが使用する脱暗号化エンジンにおいて、
(a)DecParsモジュールと、
(b)KDB(Key Data Module)と、
を有し、
前記DecParsモジュールは、前記複数のONUの内の1つのONUから送信された、第1タイプのshortMACsecヘッダー・パケットから第1の所定のSCIを抽出し、前記ONUから送信された第2タイプのshortMACsecヘッダー・パケットから第2の所定のSCIを抽出し、
前記KDBは、前記第1の所定のSCIに対応する第1のSAKを取り出し、前記第2の所定のSCIに対応する第2のSAKを取り出し、
前記第1タイプのshortMACsecヘッダー・パケットを前記第1の所定のSAKで脱暗号化し、前記第2タイプのshortMACsecヘッダー・パケットを前記第2の所定のSAKで脱暗号化し、
前記SCIフィールドのPIは、前記ONUのLLIDとして構築される
ことを特徴とするEPON上でOLTが使用する脱暗号化エンジン。 - 前記DecParsモジュールは、前記ONUからトンネルモードで送信された安全確保したパケットをパースし、
前記安全確保したパケットは、以下の(i)と(ii)とを有する
(i)安全確保されていないパケットデータと前記安全確保したパケットの安全確保データに暗号化されたMACアドレスと、
(ii)以下の(A)〜(C)を利用するshortMACsecヘッダーと
(A)ローカルMAC宛先アドレス
(B)MACソースアドレスとしてのSCI.SAフィールド
(C)登録に際しOLTからONUに与えられONUに独自のものであるLLIDとしてのSCI.PI
ことを特徴とする請求項16記載の脱暗号化エンジン。 - (c)FRBモジュールを更に有し、
前記FRBモジュールは、前記第1タイプのshortMACsecヘッダー・パケットがシーケンス外にあるPNを有する場合、前記第1タイプのshortMACsecヘッダー・パケットを廃棄する
ことを特徴とする請求項16記載の脱暗号化エンジン。 - (c)FRBモジュールを更に有し、
前記FRBモジュールは、前記第1タイプのshortMACsecヘッダー・パケットが以前に使用されたPNを有する場合、前記第1タイプのshortMACsecヘッダー・パケットを廃棄する
ことを特徴とする請求項16記載の脱暗号化エンジン。 - 前記KDBは、登録リクエストメッセージを脱暗号化するために、予め共有したSAKを記憶する
ことを特徴とする請求項16記載の脱暗号化エンジン。 - 前記DecParsモジュールは、30バイト未満のセキュリティオフセットを有する第1タイプのshortMACsecヘッダー・パケットをパースする
ことを特徴とする請求項16記載の脱暗号化エンジン。 - OLTとONUとを有するEPONにおいて、
前記OLTは、
(i)複数のONUの内のONUのLLIDとして、下流方向のパケットのSCI.PIフィールドを構築し、
(ii)shortMACsecヘッダーを含む前記下流方向のパケットを、前記SCIに基づく個別のSAKで暗号化し、
前記ONUは、
(i)前記SCIに基づく個別のSAKで前記下流方向のパケットを脱暗号化する
ことを特徴とするEPON。 - 前記OLTは、
(iii)前記パケットのタイプを以下のグループから選択し決定し、
i) UC(ユニキャスト)
ii) MC(マルチキャスト)
iii)OAM(操作と管理と保守)
iv) MPCP(マルチポイント通信プロトコル)
v) GP(ゲートパケット)
vi) グラントパケット
vii)リクエスト(要求パケット)
(X)前記パケットが第1のshortMACsecヘッダーを有する第1タイプのパケットの場合、前記個別のSAKは、第1の所定のSAKであり、
(Y)前記パケットが第2のshortMACsecヘッダーを有する第2タイプのパケットの場合、前記個別のSAKは、第2の所定のSAKである
ことを特徴とする請求項22記載のEPON。 - 前記OLTは、
(a)安全確保されていないパケット全部を、ローカルMAC宛先アドレスを利用するshortMACsecヘッダーを有する安全確保したパケットに変換し、
この変換は、前記の安全確保されていないパケット全部とMACアドレスを、安全確保したパケットに暗号化することを含み、
(b)前記安全確保されたパケットのshortMACsecヘッダーのSCI.SAをMACソースアドレスとして、SCI.PIを登録時にOLTからONUに与えられONUに独自のものであるLLIDとして、構築する
ことを特徴とする請求項22記載のEPON。 - (c)前記ONUは、所定のキーを含み、
(d)前記OLTは、前記所定のキーで暗号化されたディスカバリ・ゲート・メッセージを送信し、
(e)前記OLTとONUが、後続の通信を、
(e1)前記パケットの種類を以下のグループから選択し決定するサブステップと、 i) UC(ユニキャスト)
ii) MC(マルチキャスト)
iii)OAM(操作と管理と保守)
iv) MPCP(マルチポイント通信プロトコル)
v) GP(ゲートパケット)
vi) グラントパケット
vii)リクエスト(要求パケット)
(e2)前記パケットが第1のshortMACsecヘッダーを有する第1タイプのパケットの場合、前記パケットを第1の所定のSAKで暗号化するサブステップと、
(e3)前記パケットが第2のshortMACsecヘッダーを有する第2タイプのパケットの場合、前記パケットを第2の所定のSAKで暗号化するサブステップとで
暗号化する
ことを特徴とする請求項22記載のEPON。 - 前記ONUは、ランダムなPNを、前記暗号化された下流方向のパケットに含める
ことを特徴とする請求項22記載のEPON。 - 前記ONUは、前記暗号化された下流方向のパケットを、ダミーのMACアドレスで送信する
ことを特徴とする請求項22記載のEPON。 - 前記OLTは、前記ONUが活性状態にあるときに、前記ONUが要求する登録リクエストパケットを拒絶する
ことを特徴とする請求項22記載のEPON。 - OLTとONUとの間でEPON上の上流方向と下流方向の通信の安全確保する方法において、
(a)暗号化即ち安全確保されていないメッセージ全部を、ローカルMAC宛先アドレスを利用するshortMACsecヘッダーを有する安全確保したパケットに変換するステップと、
前記変換するステップ(a)は、前記安全確保されていないメッセージデータと前記ローカルMAC宛先アドレスを、前記安全確保したデータパケットの安全確保したデータに暗号化することを含み
(b)前記安全確保されたデータパケットのshortMACsecヘッダーのSCI.SAを、前記ローカルMACソースアドレスとして、SCI.PIを登録時にOLTからONUに与えられONUに独自のものであるLLIDとして、構築するステップと
を有し、
前記OLTとONUが、前記ステップ(a),(b)を実行する、
ことを特徴とするOLTとONUとの間でEPON上の上流方向と下流方向の通信の安全確保する方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14239209P | 2009-01-05 | 2009-01-05 | |
| US61/142392 | 2009-01-05 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010158028A JP2010158028A (ja) | 2010-07-15 |
| JP5467574B2 true JP5467574B2 (ja) | 2014-04-09 |
Family
ID=42312467
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010000568A Active JP5467574B2 (ja) | 2009-01-05 | 2010-01-05 | EPON(1GEPONと10GEPON)ネットワークにおけるIEEE802.1AEと802.1afセキュリティの実行方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US8397064B2 (ja) |
| JP (1) | JP5467574B2 (ja) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102006526B (zh) * | 2009-09-01 | 2016-01-20 | 中兴通讯股份有限公司 | 一种广播包/组播控制报文处理方法和装置 |
| CN102136907A (zh) * | 2010-01-25 | 2011-07-27 | 中兴通讯股份有限公司 | 一种无源光网络***组播业务加密方法和装置 |
| US8707020B1 (en) | 2010-05-13 | 2014-04-22 | ClearCrypt, Inc. | Selective exposure of feature tags in a MACSec packet |
| CN104272290B (zh) * | 2012-04-18 | 2017-08-15 | 阿克米组件股份有限公司 | 用于实时通信的冗余 |
| US9712323B2 (en) * | 2014-10-09 | 2017-07-18 | Fujitsu Limited | Detection of unauthorized entities in communication systems |
| US20160373441A1 (en) * | 2015-06-16 | 2016-12-22 | Avaya Inc. | Providing secure networks |
| CN107580768B (zh) * | 2015-07-17 | 2020-06-26 | 华为技术有限公司 | 报文传输的方法、装置和*** |
| CN108173769B (zh) * | 2017-12-28 | 2021-01-05 | 盛科网络(苏州)有限公司 | 一种报文传输方法、装置及计算机可读存储介质 |
| US20210092103A1 (en) * | 2018-10-02 | 2021-03-25 | Arista Networks, Inc. | In-line encryption of network data |
| US10778662B2 (en) * | 2018-10-22 | 2020-09-15 | Cisco Technology, Inc. | Upstream approach for secure cryptography key distribution and management for multi-site data centers |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100640394B1 (ko) * | 2002-09-19 | 2006-10-30 | 삼성전자주식회사 | 이더넷 수동형광가입자망에서 멀티캐스트 llid 생성방법 |
| JP2004343243A (ja) * | 2003-05-13 | 2004-12-02 | Mitsubishi Electric Corp | Ponシステムにおけるマルチキャスト通信方法および局側装置 |
| KR100523357B1 (ko) * | 2003-07-09 | 2005-10-25 | 한국전자통신연구원 | 이더넷 기반 수동형 광네트워크의 보안서비스 제공을 위한키관리 장치 및 방법 |
| US7289501B2 (en) * | 2003-11-06 | 2007-10-30 | Teknovus, Inc. | Method and apparatus for bandwidth-efficient multicast in ethernet passive optical networks |
| US7797745B2 (en) * | 2004-12-22 | 2010-09-14 | Electronics And Telecommunications Research Institute | MAC security entity for link security entity and transmitting and receiving method therefor |
| JP4685659B2 (ja) * | 2006-02-23 | 2011-05-18 | 三菱電機株式会社 | 局側装置、加入者側装置およびponシステム |
| US9312955B2 (en) * | 2006-05-22 | 2016-04-12 | Alcatel Lucent | Method and apparatus to reduce the impact of raman interference in passive optical networks with RF video overlay |
| US20080263248A1 (en) * | 2007-04-20 | 2008-10-23 | Harriman David J | Multi-drop extension for a communication protocol |
-
2010
- 2010-01-05 US US12/652,057 patent/US8397064B2/en active Active
- 2010-01-05 JP JP2010000568A patent/JP5467574B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US20100174901A1 (en) | 2010-07-08 |
| US8397064B2 (en) | 2013-03-12 |
| JP2010158028A (ja) | 2010-07-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5467574B2 (ja) | EPON(1GEPONと10GEPON)ネットワークにおけるIEEE802.1AEと802.1afセキュリティの実行方法 | |
| KR100594153B1 (ko) | 점대다 토폴로지의 네트워크에서 논리링크의 형성과 그보안 통신 방법 | |
| US7797745B2 (en) | MAC security entity for link security entity and transmitting and receiving method therefor | |
| US8386772B2 (en) | Method for generating SAK, method for realizing MAC security, and network device | |
| US7305551B2 (en) | Method of transmitting security data in an ethernet passive optical network system | |
| US8335316B2 (en) | Method and apparatus for data privacy in passive optical networks | |
| JP5060081B2 (ja) | フレームを暗号化して中継する中継装置 | |
| US20080095368A1 (en) | Symmetric key generation apparatus and symmetric key generation method | |
| WO2013104987A1 (en) | Method for authenticating identity of onu in gpon network | |
| KR100723832B1 (ko) | 링크 보안을 위한 매체 접근 제어 보안 장치 및 송수신방법 | |
| Hajduczenia et al. | On EPON security issues | |
| WO2007099045A1 (en) | A method, communication system, central and peripheral communication unit for secure packet oriented transfer of information | |
| KR100594023B1 (ko) | 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법 | |
| CN114614984A (zh) | 一种基于国密算法的时间敏感网络安全通信方法 | |
| Dubroca | MACsec: Encryption for the wired LAN | |
| Lee et al. | Design of secure arp on MACsec (802.1 Ae) | |
| Meng et al. | Analysis and solutions of security issues in Ethernet PON | |
| Wahid | Rethinking the link security approach to manage large scale Ethernet network | |
| Kim et al. | The implementation of the link security module in an EPON access network | |
| JP2005354504A (ja) | 光加入者線端局装置、光加入者線終端装置およびその通信方法 | |
| O’Connor | Secure Ethernet Service | |
| Hu et al. | NIS03-3: RC4-based security in Ethernet passive optical networks | |
| Inácio et al. | Preamble encryption mechanism for enhanced privacy in Ethernet passive optical networks | |
| CN116405257A (zh) | 信令传输方法、装置、设备及存储介质 | |
| JP2007192844A (ja) | 暗号化ラベルネットワーク |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100810 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120629 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120911 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120914 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20121025 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20121030 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20121128 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20121203 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121214 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130607 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20130902 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20130905 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20131004 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20131009 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20131106 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20131111 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131205 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131227 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131227 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140122 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140122 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5467574 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| S534 | Written request for registration of change of nationality |
Free format text: JAPANESE INTERMEDIATE CODE: R313534 |
|
| R370 | Written measure of declining of transfer procedure |
Free format text: JAPANESE INTERMEDIATE CODE: R370 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| S631 | Written request for registration of reclamation of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313631 |
|
| S634 | Written request for registration of reclamation of nationality |
Free format text: JAPANESE INTERMEDIATE CODE: R313634 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |