JP5467574B2 - EPON(1GEPONと10GEPON)ネットワークにおけるIEEE802.1AEと802.1afセキュリティの実行方法 - Google Patents
EPON(1GEPONと10GEPON)ネットワークにおけるIEEE802.1AEと802.1afセキュリティの実行方法 Download PDFInfo
- Publication number
- JP5467574B2 JP5467574B2 JP2010000568A JP2010000568A JP5467574B2 JP 5467574 B2 JP5467574 B2 JP 5467574B2 JP 2010000568 A JP2010000568 A JP 2010000568A JP 2010000568 A JP2010000568 A JP 2010000568A JP 5467574 B2 JP5467574 B2 JP 5467574B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- onu
- olt
- sci
- short
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 39
- 238000011144 upstream manufacturing Methods 0.000 claims description 44
- 238000004891 communication Methods 0.000 claims description 40
- 239000000284 extract Substances 0.000 claims description 10
- 238000012423 maintenance Methods 0.000 claims description 9
- 238000006243 chemical reaction Methods 0.000 claims 1
- 230000003287 optical effect Effects 0.000 description 19
- 239000000835 fiber Substances 0.000 description 16
- 238000012360 testing method Methods 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- PKAHQJNJPDVTDP-UHFFFAOYSA-N methyl cyclopropanecarboxylate Chemical compound COC(=O)C1CC1 PKAHQJNJPDVTDP-UHFFFAOYSA-N 0.000 description 2
- 101100172132 Mus musculus Eif3a gene Proteins 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
Description
(A)複数のONUの内のONUのLLIDを用いて、下流方向のパケットのSCIフィールドのPIを構築するステップと、
(B)shortMACsecヘッダーを含む前記パケットを、前記SCIに基づく個別のSAKで暗号化するステップと
を有する。
本発明は、
(C)前記パケットの種類を以下のグループから選択し決定するステップ
i) UC(ユニキャスト)
ii) MC(マルチキャスト)
iii)OAM(操作と管理と保守)
iv) MPCP(マルチポイント通信プロトコル)
v) GP(ゲートパケット)
vi) グラントパケット
vii)リクエスト(要求パケット)
を更に有し、
前記(B)ステップにおいて、
(X)前記パケットが第1のshortMACsecヘッダーを有する第1パケットの場合、前記個別のSAKは第1の所定のSAKであり、
(Y)前記パケットが第2のshortMACsecヘッダーを有する第2パケットの場合、前記個別のSAKは第2の所定のSAKである。
本発明は、更に、
(D)30バイト未満のセキュリティオフセットを、前記第1パケットに付加するステップ
を更に有する。
本発明は、更に、
前記(B)ステップは、前記第1パケットのSCI.SAを、前記OLTのSAに設定するステップを有する。
本発明は、更に、
OLTと複数のONUを有するEPONの安全確保した通信を実行する方法において、
(A)複数のONUの内のONUのLLIDを用いて、上流方向の第1パケットのSCIフィールドのPIを構築するステップと、
(D)上流方向のパケットと下流方向のパケットとを区別するために、SCI.SAのMSB(最上位ビット)を構築するステップと、
(E)shortMACsecヘッダーを含む前記第1パケットを、前記SCIに基づく個別のSAKで暗号化するステップと
を有する。
本発明のOLTと複数のONUを有するEPONの安全確保した通信を実行する方法は
(A)複数のONUの内のONUを所定のキーで構築するステップと、
(B)OLTが、前記所定のキーで暗号化されたディスカバリ・ゲート・メッセージを、前記ONUに送信するステップと、
(C)後続の通信パケットを以下のサブステップ(i)〜(iii)で暗号化するステップと、
を有し、
(i)前記通信パケットの種類を以下のグループから選択し決定するステップ
A)UC(ユニキャスト)
B)MC(マルチキャスト)
C)OAM(操作と管理と保守)
D)MPCP(マルチポイント通信プロトコル)
E)GP(ゲートパケット)
F)グラントパケット
G)リクエスト(要求パケット)
(ii)前記通信パケットが第1のshortMACsecヘッダーを有する第1パケットの場合、前記個別のSAKは、第1の所定のSAKであり、
(iii)前記通信パケットが第2のshortMACsecヘッダーを有する第2パケットの場合、前記個別のSAKは、第2の所定のSAKである。
本発明の一実施例によれば、(D)前記ONUが、前記所定のキーで暗号化された登録リクエストパケットを、前記OLTに送信するステップを更に有する。
本発明の一実施例によれば、(E)ランダムなPNを、前記暗号化された登録リクエストパケットに含ませるステップを更に有する。
本発明の一実施例によれば、(F)前記暗号化された登録リクエストパケットを、ダミーのSAでアドレスを付すステップを更に有する。
本発明の一実施例によれば、(D)他のONUが活性状態にある時に、前記OLTが、前記登録リクエストパケットを廃棄するステップを更に有する。
(a)DecParsモジュールと、
前記DecParsモジュールは、前記OLTから送信された第1パケットの第1タイプのshortMACsecヘッダー・パケットから第1の所定のSICを抽出し、前記OLTから送信された第2パケットの第2タイプのshortMACsecヘッダー・パケットから第2の所定のSICを抽出し、
(b)KDBと、
前記KDBは、前記第1の所定のSICに対応する第1のSAKを取り出し、前記第2の所定のSICに対応する第2のSAKを取り出し、
を有し、
前記第1タイプのshortMACsecヘッダー・パケットを第1の所定のSAKで暗号化し、前記第2タイプのshortMACsecヘッダー・パケットを第2の所定のSAKで暗号化し、
前記SCIフィールドのPIは、前記ONUのLLIDを用いて構築される。
本発明の一実施例によれば、前記DecParsモジュールは、前記OLTからトンネルモードで送信された安全確保したパケットをパースし、
前記安全確保したパケットは、以下の(i)と(ii)とを有する
(i)安全確保されていない生パケットと前記安全確保したパケットの安全確保データに暗号化されたMACアドレスと、
(ii)以下の(A)〜(C)を利用するshortMACsecヘッダーと
(A)ローカルMAC宛先アドレス
(B)MACソースアドレスとしてのSCI.SA
(C)登録に際しOLTからONUに与えられONUに独自のものであるLLIDとしてのSCI.PI。
本発明の一実施例によれば、(c)前記第1タイプのshortMACsecヘッダー・パケットが不正なPNを有するパケットを有する場合、前記第1タイプのshortMACsecヘッダー・パケットを廃棄するFRB(フレーム再構築)モジュールを更に有する。
本発明の一実施例によれば、前記KDBは、MPCPメッセージ用に、予め共有したSAKを記憶する。
本発明の一実施例によれば、前記DecParsモジュールは、30バイト未満のセキュリティオフセットを有する前記第1タイプのshortMACsecヘッダー・パケットをパースする。
(a)DecParsモジュールと、
前記DecParsモジュールは、前記複数のONUの内の1つのONUから送信された、第1タイプのshortMACsecヘッダー・パケットから第1の所定のSICを抽出し、前記ONUから送信された、第2タイプのshortMACsecヘッダー・パケットから第2の所定のSICを抽出し、
(b)KDBと、
前記KDBは、前記第1の所定のSICに対応する第1のSAKを取り出し、前記第2の所定のSICに対応する第2のSAKを取り出す
を有し、
前記第1タイプのshortMACsecヘッダー・パケットを第1の所定のSAKで暗号化し、前記第2タイプのshortMACsecヘッダー・パケットを第2の所定のSAKで暗号化し、
前記SCIフィールドのPIは、前記ONUのLLIDを用いて構築される。
本発明の一実施例によれば、前記DecParsモジュールは、前記ONUからトンネルモードで送信された安全確保したパケットをパースし、
前記安全確保したパケットは、以下の(i)と(ii)とを有する
(i)安全確保されていない生パケットと前記安全確保したパケットの安全確保データに暗号化されたMACアドレスと、
(ii)以下の(A)〜(C)を利用するshortMACsecヘッダーと
(A)ローカルMAC宛先アドレス
(B)MACソースアドレスとしてのSCI.SA
(C)登録に際しOLTからONUに与えられONUに独自のものであるLLIDとしてのSCI.PI。
本発明の一実施例によれば、(c)前記第1タイプのshortMACsecヘッダー・パケットが、シーケンス外にあるPNを有する場合、前記第1タイプのshortMACsecヘッダー・パケットを廃棄するFRBモジュールを更に有する。
本発明の一実施例によれば、(c)前記第1タイプのshortMACsecヘッダー・パケットが、以前に使用されたPNを有する場合、前記第1タイプのshortMACsecヘッダー・パケットを廃棄するFRBモジュールを更に有する。
本発明の一実施例によれば、前記KDBは、登録リクエストメッセージを脱暗号化するために、予め共有したSAKを記憶する。
本発明の一実施例によれば、前記DecParsモジュールは、30バイト未満のセキュリティオフセットを有する第1タイプのshortMACsecヘッダー・パケットをパースする。
前記OLTは、(i)複数のONUの内のONUのLLIDを用いて、下流方向のパケットのSCIフィールドのPIを構築し、(ii)shortMACsecヘッダーを含む前記パケットを、前記SCIに基づく個別のSAKで暗号化し、
前記ONUは、(i) 前記SCIに基づく個別のSAKに従って前記パケットを脱暗号化する。
本発明の一実施例によれば、前記OLTは、
(iii)前記パケットの種類を以下のグループから選択し決定し、
i) UC(ユニキャスト)
ii) MC(マルチキャスト)
iii)OAM(操作と管理と保守)
iv) MPCP(マルチポイント通信プロトコル)
v) GP(ゲートパケット)
vi) グラントパケット
vii)リクエスト(要求パケット)
(X)前記パケットが第1のshortMACsecヘッダーを有する第1パケットの場合、前記個別のSAKは、第1の所定のSAKであり、
(Y)前記パケットが第2のshortMACsecヘッダーを有する第2パケットの場合、前記個別のSAKは、第2の所定のSAKである。
本発明の一実施例によれば、前記OLTは、(a)安全確保されていないパケット全部とMACアドレスを、ローカルMAC宛先アドレスを利用してshortMACsecヘッダーを有する暗号化され安全確保したパケットに変換し、(b)前記安全確保されたパケットを、MACソースアドレスとしてのshortMACsecヘッダーのSCI.SAと、登録時にOLTからONUに与えられONUに独自のものであるLLIDとしてのSCI.PIとで、構築する。
本発明の一実施例によれば、前記ONUは、所定のキーで構築され、
前記OLTは、前記所定のキーで暗号化されたディスカバリ・ゲート・メッセージを送信し、
前記パケットの種類を以下のグループから選択し決定し
i) UC(ユニキャスト)
ii) MC(マルチキャスト)
iii)OAM(操作と管理と保守)
iv) MPCP(マルチポイント通信プロトコル)
v) GP(ゲートパケット)
vi) グラントパケット
vii)リクエスト(要求パケット)
(X)前記パケットが第1のshortMACsecヘッダーを有する第1パケットの場合、前記第1パケットを第1の所定のSAKで暗号化し、
(Y)前記パケットが第2のshortMACsecヘッダーを有する第2パケットの場合、前記第2パケットを第2の所定のSAKで暗号化する。
本発明の一実施例によれば、前記ONUは、ランダムなPNを、前記暗号化された登録リクエストパケットに含める。
本発明の一実施例によれば、前記ONUは、前記暗号化された登録リクエストパケットを、ダミーのMACでアドレスを付して送信する。
本発明の一実施例によれば、前記OLTは、前記ONUが活性状態にあるときに、前記ONUの登録リクエストパケットを拒絶する。
本発明のOLTとONUとの間でEPON上の上流方向と下流方向の通信の安全確保する方法は、
(a)安全確保されていないパケット全部とMACアドレスを、ローカルMAC宛先アドレスを利用してshortMACsecヘッダーを有する暗号化され安全確保したパケットに変換するステップと、
(b)前記安全確保されたパケットを、MACソースアドレスとしてのshortMACsecヘッダーのSCI.SAと、登録時にOLTからONUに与えられONUに独自のものであるLLIDとしてのSCI.PIとで、構築するステップと
を有する。
CMSA/CD:Carier Sense Multiple Access with Collion detection: 衝突検知機能を有するキャリアセンス、マルチプル・アクセス
DoS:Denial of Service: サービスの拒否
DS:Downstream:下流方向 OLTからONUへの流れ
暗号化:MACsecを用いて行われる
EPON:Ethernet Passive Optical Network 受動型光学イーサネットネットワーク
ES:End Station: 最終端末
FRB:Frame ReBuilder: フレーム・リビルダー
GP:Gate Packet ゲートパケット:タイムスロットをアナウンスするための下流方向パケット。ゲートパケットは、個々のONUに向けてアドレスが付される。例えば、パケットを送信するために、個々のONUにタイムスロットを割り当てる為のパケット。或いは、ゲートパケットは、MCブロードキャストである。例えば、ディスカバリータイムスロットの利用可能性をアナウンスするための、全てのONUに送信されるディスカバリーゲートパケットである。
ICV:Integrity Check Value:完全性チェック値
KDB:Key Data Base: キーデータベース
LAN:Local Area Network: ローカルエリアネットワーク
LLID:Logical Link Identication:論理リンク識別
ローカルパケット:同一のEPONで、エンドポイントから別のエンドポンイントの送信されるパケット。
MAC:Mdeia Access Control: メディアアクセス制御
MACsec:Mdeia Access Control security: メディアアクセス制御セキュリティ
MC:MultiCast: マルチキャスト(複数の受領者に向けられた一個のメッセージ)
MPSP:Multi Point Control Protocol: マルチポイント制御プロトコル
MSB:Most Significant Bit: 最上位ビット
OAM:Operation Administration and Maintenance: 操作と管理と保守
OLT:Optical Line Terminal: 光学ライン端末
ONU:Optical Network Unit:: 光学ネットワーク装置
OT:Optical Transceiver: 光学トランシーバー
PI:Port Identifier: ポート識別子
SA:Secure Assorciation: 安全確保連合
SAK:Secure Assorciation Key: 安全確保連合のかぎ
SC:Secure Channel:安全確保したチャネル
SCB:Singel Copy Broadcast: 一個のメッセージの放送
TDMA:Time Domain Multiple Access: 時間領域の多重アクセス
タイムスロット:特定の上流方向伝送用に、OLTが与える時間、例えば、タイムスロットは、パケットを送信するために個別のONUに割り当てられる。或いは、タイムスロットは、未登録のONUが登録リクエストを送信するディスカバリータイムスロットである。
UC:Unicast::ユニキャスト(一人の受領者に向けられた一個のメッセージ)
US:Upstream 上流方向(ONUからOLTへの流れ)
WDM: Wave Division Multiplexing 波長分割多重化
方向 パケットタイプ ES SCB SC SCI.SA SCI.PI
DS UC ローカルセキュアト゛ハ゜ケット 0 0 0 OLT.SA ONU.LLID
DS MCローカルshortセキュアト゛ハ゜ケット 0 1 0 OLT.SA 0xFFF
DS longセキュアト゛ハ゜ケット 0 0 1 SecTAG SecTAG
で明示 で明示
DS ノン-ローカルshortセキュアト゛UCハ゜ケット 1 0 0 ハ゜ケットSA 00-01
DS ノン-ローカルshortセキュアト゛MCハ゜ケット 1 1 0 ハ゜ケットSA 00-00
US ローカルUCshortセキュアト゛ハ゜ケット 0 0 0 OLT.SA
MSB=1
US longセキュアト゛ハ゜ケット 0 0 1 SecTAG SecTAG
で明示 で明示
US ノン-ローカルshortセキュアト゛ハ゜ケット 1 0 0 ハ゜ケットSA 00-01
表1−キーセッティング:ES:エンドステーション,SCB:シングルコピーブロードキャスト,SC:SecTag,SCI.SA:セキュアシステムアソシエイション,US:上流方向パケット。DS:下流方向パケット、SCI.PI:様々なパケットタイプに対する加入者制御入力ポート識別子
FRB681は、メインのデータパスパイプラインである。FRB681は、セキュアデータ665aをパスして、セキュアデータ665bとして、FIFOベースのパイプラインで、クリーンにされる。
401 ノン−セキュアのメッセージ
461a オリジナルDA
462a オリジナルSA
464 オリジナル・フレーム・データ(ペイロード)
465a 安全確認をしたデータ(オリジナル・フレーム・データとPAD)
472a
ポート識別子(2バイト):SC=0のときにはESの記述を参照のこと
セキュアシステムアドレス(6バイト):SC=0の場合はSCI.SA=SA
パケット番号(4バイト):各パケットを増分
ICV保護はトンネルDAとトンネルSAとMPDUを含む
CRC32は全てのイーサーネットフレームを保護する
SL=0:セキュアドデータ長さはフレームサイズで決定される
0<SL<48:セキュアドデータ長さ=SL
SL>=48:保存
関連番号がSC内のSAを特定する
E=0,C=0:フレームの完全性のみが提供されICVは16バイト
E=0,C=1:使用していない(別の暗号列用に保存)
E=1,C=0:KaY用のフレーム
E=1,C=1:SecY用の暗号化フレーム
SCB:このビットはEPONシングルコピーブロードキャストフレーム用に設定される
SC:設定されたときには選択的事項としてのSCIフィールドがSecタグに含まれる
ES:エンドステーション。ES=1のときにはSCI.SA=SA,SCI.PI=SCB?0x0000:0x0001
V=0:Secタグバージョン
図6,7
684 キーデータベース
690 デックパーが制御する
665 ペイロード
664 データ
689 パケット
688 出力データ
604 データパケット
665a ペイロード
606 セックタグ
681 フレーム
図8、9
スタート
801 メッセージ
840 トンネルモードか?
841 リアルMACアドレスをペイロードに追加
MACアドレスをダミーアドレスで置換
842 既に暗号化されているか?
844−848 変更せずに送付
849 ペイロードのリヴィール部分か?
850 セキュリティオフセットを追加
851 ローカルUC
852 ONU用のデフォルトSAKで暗号化
853 shortヘッダーで送信
856 shortヘッダーで送信
859 longヘッダーで送信
854 ローカルMCデフォルトターゲット
855 デフォルトMCSAKで暗号化
857 ローカルMCカスタムターゲット
858 カスタムSAK
図10a
1013 ランダムPNを追加する
1011 登録リクエストを生成する
1009 ディスカバリーゲートパケットを脱暗号化する
1015 トンネルモードの登録リクエストを、予め共有したSAKとダミーMACア ドレスで暗号化する
1029 レジスターパケットを脱暗号化する
1017 登録リクエストを脱暗号化する
1019 ユーザはアクティブか?
1025 レジスターパケットを生成する
1021 PNは既に使用したか?
1027 レジスターパケットを暗号化する
1024 完全か?
1023 廃棄
1007 ディスカバリーゲートメッセージを生成する
1008 暗号化したディスカバリーゲートパケットONUに送る
図10b
1031 脱登録メッセージを生成する
1033 シーケンシャルPNを追加する
1035 脱登録メッセージを暗号化する
1047 脱登録メッセージを脱暗号化する
1045 脱登録
1041 完全か?
1041 PNは正しいか?
1043 廃棄
Claims (29)
- OLTと複数のONUを有するEPON上の通信の安全確保する方法において、
(A)OLTが、複数のONUの内のONUのLLIDとして、下流方向パケットのSCI.PIを構築するステップと、
(B)OLTが、shortMACsecヘッダーを含む前記下流方向パケットを、前記SCIに基づく個別のSAKで暗号化するステップと
を有する
ことを特徴とするEPON上の通信の安全確保する方法。 - (C)OLTが、前記パケットのタイプを以下のグループから選択し決定するステップを更に有し、
i) UC(ユニキャスト)
ii) MC(マルチキャスト)
iii)OAM(操作と管理と保守)
iv) MPCP(マルチポイント通信プロトコル)
v) GP(ゲートパケット)
vi) グラントパケット
vii)リクエスト(要求パケット)
前記(B)ステップにおいて、
(X)前記パケットが第1のshortMACsecヘッダーを有する第1タイプのパケットの場合、前記個別のSAKは第1の所定のSAKであり、
(Y)前記パケットが第2のshortMACsecヘッダーを有する第2タイプのパケットの場合、前記個別のSAKは第2の所定のSAKである
ことを特徴とする請求項1記載の方法。 - (D)OLTが、30バイト未満のセキュリティオフセットを、前記第1タイプのパケットに付加するステップ
を更に有する
ことを特徴とする請求項2記載の方法。 - 前記(B)ステップは、前記第1タイプのパケットのSCI.SAを、前記OLTのSAに設定するステップを有する
ことを特徴とする請求項2記載の方法。 - OLTと複数のONUを有するEPON上の通信の安全確保する方法において、
ONUが、
(A)複数のONUの内のONUのLLIDとして、上流方向パケットのSCIフィールドのPIを構築するステップと、
(B)前記複数のONUの内のONUの上流方向のパケットと下流方向のパケットとを区別するために、SCI.SAのMSB(最上位ビット)を構築するステップと、
(C)shortMACsecヘッダーを含む前記上流方向パケットを、前記SCIに基づく個別のSAKで暗号化するステップと
を有する
ことを特徴とするEPON上の通信の安全確保する方法。 - OLTと複数のONUを有するEPON上の通信の安全確保する方法において、
(A)複数のONUの内で所定のキーを含むONUを構築するステップと、
(B)OLTから、前記所定のキーで暗号化されたディスカバリ・ゲート・メッセージを、前記ONUに送信するステップと、
(C)後続の通信パケットを、前記OLTとONUで、以下のサブステップ(C1)〜(C3)で暗号化するステップと、
を有し、
(C1)前記通信パケットのタイプを以下のグループから選択し決定するステップ
A)UC(ユニキャスト)
B)MC(マルチキャスト)
C)OAM(操作と管理と保守)
D)MPCP(マルチポイント通信プロトコル)
E)GP(ゲートパケット)
F)グラントパケット
G)リクエスト(要求パケット)
(C2)前記通信パケットが第1のshortMACsecヘッダーを有する第1タイプのパケットの場合、前記通信パケットを第1の所定のSAKで暗号化するステップと、
(C3)前記通信パケットが第2のshortMACsecヘッダーを有する第2タイプのパケットの場合、前記通信パケットを第2の所定のSAKで暗号化するステップと、
ことを特徴とするEPON上の通信の安全確保する方法。 - (D)前記ONUから、前記所定のキーで暗号化された登録リクエストパケットを、前記OLTに送信するステップ
を更に有する
ことを特徴とする請求項6記載の方法。 - (E)ランダムなPNを、前記暗号化された登録リクエストパケットに含ませるステップ
を更に有する
ことを特徴とする請求項7記載の方法。 - (F)前記暗号化された登録リクエストパケットを、ダミーのSAでアドレスを付すステップ
を更に有する
ことを特徴とする請求項7記載の方法。 - (D)他のONUが活性状態にある時に、前記OLTが、前記登録リクエストパケットを廃棄するステップ
を更に有する
ことを特徴とする請求項7記載の方法。 - OLTでコーディネートされた、IEEE802.1aeのMACsecを用いるEPON上で、ONUが使用する脱暗号化エンジンにおいて、
(a)DecParsモジュールと、
(b)KDB(Key Data Module)と、
を有し、
前記DecParsモジュールは、前記OLTから送信された第1タイプのshortMACsecヘッダー・パケットから第1の所定のSCIを抽出し、前記OLTから送信された第2タイプのshortMACsecヘッダー・パケットから第2の所定のSCIを抽出し、
前記KDBは、前記第1の所定のSCIに対応する第1のSAKを取り出し、前記第2の所定のSCIに対応する第2のSAKを取り出し、
前記第1タイプのshortMACsecヘッダー・パケットを,第1の所定のSAKで脱暗号化し、
前記第2タイプのshortMACsecヘッダー・パケットを,第2の所定のSAKで脱暗号化し、
前記所定のSCIのPIは、前記ONUのLLIDとして構築される
ことを特徴とするEPON上でONUが使用する脱暗号化エンジン。 - 前記DecParsモジュールは、前記OLTからトンネルモードで送信された安全確保したパケットをパースし、
前記安全確保したパケットは、以下の(i)と(ii)とを有する
(i)安全確保されていないパケットデータと前記安全確保したパケットの安全確保データに暗号化されたMACアドレスと、
(ii)以下の(A)〜(C)を利用するshortMACsecヘッダーと
(A)ローカルMAC宛先アドレス
(B)MACソースアドレスとしてのSCI.SAフィールド
(C)登録に際しOLTからONUに与えられONUに独自のものであるLLIDとしてのSCI.PI
ことを特徴とする請求項11記載の脱暗号化エンジン。 - (c)FRB(フレーム再構築)モジュール
を更に有し、
前記FRB(フレーム再構築)モジュールは、前記第1タイプのshortMACsecヘッダー・パケットが不正なPN(パケット番号)を有する場合、前記第1タイプのshortMACsecヘッダー・パケットを廃棄する
ことを特徴とする請求項11記載の脱暗号化エンジン。 - 前記KDBは、MPCPメッセージ用に、予め共有したSAKを記憶する
ことを特徴とする請求項11記載の脱暗号化エンジン。 - 前記DecParsモジュールは、30バイト未満のセキュリティオフセットを有する前記第1タイプのshortMACsecヘッダー・パケットをパースする
ことを特徴とする請求項11記載の脱暗号化エンジン。 - 複数のONUを有するIEEE802.1aeのMACsecを用いるEPON上で、OLTが使用する脱暗号化エンジンにおいて、
(a)DecParsモジュールと、
(b)KDB(Key Data Module)と、
を有し、
前記DecParsモジュールは、前記複数のONUの内の1つのONUから送信された、第1タイプのshortMACsecヘッダー・パケットから第1の所定のSCIを抽出し、前記ONUから送信された第2タイプのshortMACsecヘッダー・パケットから第2の所定のSCIを抽出し、
前記KDBは、前記第1の所定のSCIに対応する第1のSAKを取り出し、前記第2の所定のSCIに対応する第2のSAKを取り出し、
前記第1タイプのshortMACsecヘッダー・パケットを前記第1の所定のSAKで脱暗号化し、前記第2タイプのshortMACsecヘッダー・パケットを前記第2の所定のSAKで脱暗号化し、
前記SCIフィールドのPIは、前記ONUのLLIDとして構築される
ことを特徴とするEPON上でOLTが使用する脱暗号化エンジン。 - 前記DecParsモジュールは、前記ONUからトンネルモードで送信された安全確保したパケットをパースし、
前記安全確保したパケットは、以下の(i)と(ii)とを有する
(i)安全確保されていないパケットデータと前記安全確保したパケットの安全確保データに暗号化されたMACアドレスと、
(ii)以下の(A)〜(C)を利用するshortMACsecヘッダーと
(A)ローカルMAC宛先アドレス
(B)MACソースアドレスとしてのSCI.SAフィールド
(C)登録に際しOLTからONUに与えられONUに独自のものであるLLIDとしてのSCI.PI
ことを特徴とする請求項16記載の脱暗号化エンジン。 - (c)FRBモジュールを更に有し、
前記FRBモジュールは、前記第1タイプのshortMACsecヘッダー・パケットがシーケンス外にあるPNを有する場合、前記第1タイプのshortMACsecヘッダー・パケットを廃棄する
ことを特徴とする請求項16記載の脱暗号化エンジン。 - (c)FRBモジュールを更に有し、
前記FRBモジュールは、前記第1タイプのshortMACsecヘッダー・パケットが以前に使用されたPNを有する場合、前記第1タイプのshortMACsecヘッダー・パケットを廃棄する
ことを特徴とする請求項16記載の脱暗号化エンジン。 - 前記KDBは、登録リクエストメッセージを脱暗号化するために、予め共有したSAKを記憶する
ことを特徴とする請求項16記載の脱暗号化エンジン。 - 前記DecParsモジュールは、30バイト未満のセキュリティオフセットを有する第1タイプのshortMACsecヘッダー・パケットをパースする
ことを特徴とする請求項16記載の脱暗号化エンジン。 - OLTとONUとを有するEPONにおいて、
前記OLTは、
(i)複数のONUの内のONUのLLIDとして、下流方向のパケットのSCI.PIフィールドを構築し、
(ii)shortMACsecヘッダーを含む前記下流方向のパケットを、前記SCIに基づく個別のSAKで暗号化し、
前記ONUは、
(i)前記SCIに基づく個別のSAKで前記下流方向のパケットを脱暗号化する
ことを特徴とするEPON。 - 前記OLTは、
(iii)前記パケットのタイプを以下のグループから選択し決定し、
i) UC(ユニキャスト)
ii) MC(マルチキャスト)
iii)OAM(操作と管理と保守)
iv) MPCP(マルチポイント通信プロトコル)
v) GP(ゲートパケット)
vi) グラントパケット
vii)リクエスト(要求パケット)
(X)前記パケットが第1のshortMACsecヘッダーを有する第1タイプのパケットの場合、前記個別のSAKは、第1の所定のSAKであり、
(Y)前記パケットが第2のshortMACsecヘッダーを有する第2タイプのパケットの場合、前記個別のSAKは、第2の所定のSAKである
ことを特徴とする請求項22記載のEPON。 - 前記OLTは、
(a)安全確保されていないパケット全部を、ローカルMAC宛先アドレスを利用するshortMACsecヘッダーを有する安全確保したパケットに変換し、
この変換は、前記の安全確保されていないパケット全部とMACアドレスを、安全確保したパケットに暗号化することを含み、
(b)前記安全確保されたパケットのshortMACsecヘッダーのSCI.SAをMACソースアドレスとして、SCI.PIを登録時にOLTからONUに与えられONUに独自のものであるLLIDとして、構築する
ことを特徴とする請求項22記載のEPON。 - (c)前記ONUは、所定のキーを含み、
(d)前記OLTは、前記所定のキーで暗号化されたディスカバリ・ゲート・メッセージを送信し、
(e)前記OLTとONUが、後続の通信を、
(e1)前記パケットの種類を以下のグループから選択し決定するサブステップと、 i) UC(ユニキャスト)
ii) MC(マルチキャスト)
iii)OAM(操作と管理と保守)
iv) MPCP(マルチポイント通信プロトコル)
v) GP(ゲートパケット)
vi) グラントパケット
vii)リクエスト(要求パケット)
(e2)前記パケットが第1のshortMACsecヘッダーを有する第1タイプのパケットの場合、前記パケットを第1の所定のSAKで暗号化するサブステップと、
(e3)前記パケットが第2のshortMACsecヘッダーを有する第2タイプのパケットの場合、前記パケットを第2の所定のSAKで暗号化するサブステップとで
暗号化する
ことを特徴とする請求項22記載のEPON。 - 前記ONUは、ランダムなPNを、前記暗号化された下流方向のパケットに含める
ことを特徴とする請求項22記載のEPON。 - 前記ONUは、前記暗号化された下流方向のパケットを、ダミーのMACアドレスで送信する
ことを特徴とする請求項22記載のEPON。 - 前記OLTは、前記ONUが活性状態にあるときに、前記ONUが要求する登録リクエストパケットを拒絶する
ことを特徴とする請求項22記載のEPON。 - OLTとONUとの間でEPON上の上流方向と下流方向の通信の安全確保する方法において、
(a)暗号化即ち安全確保されていないメッセージ全部を、ローカルMAC宛先アドレスを利用するshortMACsecヘッダーを有する安全確保したパケットに変換するステップと、
前記変換するステップ(a)は、前記安全確保されていないメッセージデータと前記ローカルMAC宛先アドレスを、前記安全確保したデータパケットの安全確保したデータに暗号化することを含み
(b)前記安全確保されたデータパケットのshortMACsecヘッダーのSCI.SAを、前記ローカルMACソースアドレスとして、SCI.PIを登録時にOLTからONUに与えられONUに独自のものであるLLIDとして、構築するステップと
を有し、
前記OLTとONUが、前記ステップ(a),(b)を実行する、
ことを特徴とするOLTとONUとの間でEPON上の上流方向と下流方向の通信の安全確保する方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14239209P | 2009-01-05 | 2009-01-05 | |
US61/142392 | 2009-01-05 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010158028A JP2010158028A (ja) | 2010-07-15 |
JP5467574B2 true JP5467574B2 (ja) | 2014-04-09 |
Family
ID=42312467
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010000568A Active JP5467574B2 (ja) | 2009-01-05 | 2010-01-05 | EPON(1GEPONと10GEPON)ネットワークにおけるIEEE802.1AEと802.1afセキュリティの実行方法 |
Country Status (2)
Country | Link |
---|---|
US (1) | US8397064B2 (ja) |
JP (1) | JP5467574B2 (ja) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102006526B (zh) * | 2009-09-01 | 2016-01-20 | 中兴通讯股份有限公司 | 一种广播包/组播控制报文处理方法和装置 |
CN102136907A (zh) * | 2010-01-25 | 2011-07-27 | 中兴通讯股份有限公司 | 一种无源光网络***组播业务加密方法和装置 |
US8707020B1 (en) | 2010-05-13 | 2014-04-22 | ClearCrypt, Inc. | Selective exposure of feature tags in a MACSec packet |
CN104272290B (zh) * | 2012-04-18 | 2017-08-15 | 阿克米组件股份有限公司 | 用于实时通信的冗余 |
US9712323B2 (en) * | 2014-10-09 | 2017-07-18 | Fujitsu Limited | Detection of unauthorized entities in communication systems |
US20160373441A1 (en) * | 2015-06-16 | 2016-12-22 | Avaya Inc. | Providing secure networks |
CN107580768B (zh) * | 2015-07-17 | 2020-06-26 | 华为技术有限公司 | 报文传输的方法、装置和*** |
CN108173769B (zh) * | 2017-12-28 | 2021-01-05 | 盛科网络(苏州)有限公司 | 一种报文传输方法、装置及计算机可读存储介质 |
US20210092103A1 (en) * | 2018-10-02 | 2021-03-25 | Arista Networks, Inc. | In-line encryption of network data |
US10778662B2 (en) * | 2018-10-22 | 2020-09-15 | Cisco Technology, Inc. | Upstream approach for secure cryptography key distribution and management for multi-site data centers |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100640394B1 (ko) * | 2002-09-19 | 2006-10-30 | 삼성전자주식회사 | 이더넷 수동형광가입자망에서 멀티캐스트 llid 생성방법 |
JP2004343243A (ja) * | 2003-05-13 | 2004-12-02 | Mitsubishi Electric Corp | Ponシステムにおけるマルチキャスト通信方法および局側装置 |
KR100523357B1 (ko) * | 2003-07-09 | 2005-10-25 | 한국전자통신연구원 | 이더넷 기반 수동형 광네트워크의 보안서비스 제공을 위한키관리 장치 및 방법 |
US7289501B2 (en) * | 2003-11-06 | 2007-10-30 | Teknovus, Inc. | Method and apparatus for bandwidth-efficient multicast in ethernet passive optical networks |
US7797745B2 (en) * | 2004-12-22 | 2010-09-14 | Electronics And Telecommunications Research Institute | MAC security entity for link security entity and transmitting and receiving method therefor |
JP4685659B2 (ja) * | 2006-02-23 | 2011-05-18 | 三菱電機株式会社 | 局側装置、加入者側装置およびponシステム |
US9312955B2 (en) * | 2006-05-22 | 2016-04-12 | Alcatel Lucent | Method and apparatus to reduce the impact of raman interference in passive optical networks with RF video overlay |
US20080263248A1 (en) * | 2007-04-20 | 2008-10-23 | Harriman David J | Multi-drop extension for a communication protocol |
-
2010
- 2010-01-05 US US12/652,057 patent/US8397064B2/en active Active
- 2010-01-05 JP JP2010000568A patent/JP5467574B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
US20100174901A1 (en) | 2010-07-08 |
US8397064B2 (en) | 2013-03-12 |
JP2010158028A (ja) | 2010-07-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5467574B2 (ja) | EPON(1GEPONと10GEPON)ネットワークにおけるIEEE802.1AEと802.1afセキュリティの実行方法 | |
KR100594153B1 (ko) | 점대다 토폴로지의 네트워크에서 논리링크의 형성과 그보안 통신 방법 | |
US7797745B2 (en) | MAC security entity for link security entity and transmitting and receiving method therefor | |
US8386772B2 (en) | Method for generating SAK, method for realizing MAC security, and network device | |
US7305551B2 (en) | Method of transmitting security data in an ethernet passive optical network system | |
US8335316B2 (en) | Method and apparatus for data privacy in passive optical networks | |
JP5060081B2 (ja) | フレームを暗号化して中継する中継装置 | |
US20080095368A1 (en) | Symmetric key generation apparatus and symmetric key generation method | |
WO2013104987A1 (en) | Method for authenticating identity of onu in gpon network | |
KR100723832B1 (ko) | 링크 보안을 위한 매체 접근 제어 보안 장치 및 송수신방법 | |
Hajduczenia et al. | On EPON security issues | |
WO2007099045A1 (en) | A method, communication system, central and peripheral communication unit for secure packet oriented transfer of information | |
KR100594023B1 (ko) | 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법 | |
CN114614984A (zh) | 一种基于国密算法的时间敏感网络安全通信方法 | |
Dubroca | MACsec: Encryption for the wired LAN | |
Lee et al. | Design of secure arp on MACsec (802.1 Ae) | |
Meng et al. | Analysis and solutions of security issues in Ethernet PON | |
Wahid | Rethinking the link security approach to manage large scale Ethernet network | |
Kim et al. | The implementation of the link security module in an EPON access network | |
JP2005354504A (ja) | 光加入者線端局装置、光加入者線終端装置およびその通信方法 | |
O’Connor | Secure Ethernet Service | |
Hu et al. | NIS03-3: RC4-based security in Ethernet passive optical networks | |
Inácio et al. | Preamble encryption mechanism for enhanced privacy in Ethernet passive optical networks | |
CN116405257A (zh) | 信令传输方法、装置、设备及存储介质 | |
JP2007192844A (ja) | 暗号化ラベルネットワーク |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100810 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120629 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120911 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120914 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20121025 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20121030 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20121128 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20121203 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121214 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130607 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20130902 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20130905 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20131004 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20131009 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20131106 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20131111 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131205 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131227 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131227 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140122 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140122 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5467574 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
S534 | Written request for registration of change of nationality |
Free format text: JAPANESE INTERMEDIATE CODE: R313534 |
|
R370 | Written measure of declining of transfer procedure |
Free format text: JAPANESE INTERMEDIATE CODE: R370 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
S631 | Written request for registration of reclamation of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313631 |
|
S634 | Written request for registration of reclamation of nationality |
Free format text: JAPANESE INTERMEDIATE CODE: R313634 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |