[go: up one dir, main page]

JP2004260556A - Office apparatus, subscriber apparatus, communication system, and encryption key notification method - Google Patents

Office apparatus, subscriber apparatus, communication system, and encryption key notification method Download PDF

Info

Publication number
JP2004260556A
JP2004260556A JP2003049086A JP2003049086A JP2004260556A JP 2004260556 A JP2004260556 A JP 2004260556A JP 2003049086 A JP2003049086 A JP 2003049086A JP 2003049086 A JP2003049086 A JP 2003049086A JP 2004260556 A JP2004260556 A JP 2004260556A
Authority
JP
Japan
Prior art keywords
encryption key
multicast
subscriber
unicast
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003049086A
Other languages
Japanese (ja)
Inventor
Masayuki Sato
昌幸 佐藤
Norihiro Asashiba
慶弘 浅芝
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2003049086A priority Critical patent/JP2004260556A/en
Publication of JP2004260556A publication Critical patent/JP2004260556A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Optical Communication System (AREA)

Abstract

【課題】PON等の一対多構成のネットワークにおいて、マルチキャストされる下り信号の暗号隠匿性を強化する。
【解決手段】局側装置に、加入者側装置にマルチキャストするメッセージを暗号化するためのマルチキャスト用暗号鍵を生成するマルチキャスト用暗号鍵生成手段と、上記マルチキャスト用暗号鍵を上記加入者側装置それぞれに固有の暗号鍵であるユニキャスト用暗号鍵により暗号化した暗号化マルチキャスト用暗号鍵を生成し、該暗号化マルチキャスト用暗号鍵を上記加入者側装置に送信する暗号化回路を有するようにした
【選択図】 図6In a one-to-many network such as a PON, the encryption concealment of a multicast downlink signal is enhanced.
A station side device has a multicast encryption key generating means for generating a multicast encryption key for encrypting a message to be multicast to a subscriber side device, and the multicast encryption key is provided to each of the subscriber side devices. And an encryption circuit for generating an encrypted multicast encryption key encrypted with a unicast encryption key, which is a unique encryption key, and transmitting the encrypted multicast encryption key to the subscriber unit. [Selection] Fig. 6

Description

【0001】
【発明の属する技術分野】
この発明は、Passive Optical Network(PON)アーキテクチャ等の一対多構成のネットワークにおける局側装置、加入者側装置、通信システムおよび暗号鍵通知方法に関するものである。
【0002】
【従来の技術】
従来のEthernet(登録商標)のネットワーク構成は、一対一構成、バス構成、リング構成などが挙げられるが、いずれもLANを収容するもので、アクセス系ネットワークへの適用は想定されていない。
ここでネットワーク形態をPONとしかつアクセス系への適用を考えた場合、下り信号に対して暗号が必要となる。EPON(Ethernet(登録商標) PON)システムのVLAN(Virtual LAN)機能を考慮すると、ユニキャスト、マルチキャストに個別の暗号が必要である。
【0003】
例えば、EPONと同様なPONアーキテクチャを有するITU−T 983.1で規定されるATM−PONシステムにおいては、ONT(Optical Network Termination)伝送装置で発生させたユニキャスト用暗号鍵をOLT(Optical Line Termination)伝送装置に周期的に通知、更新することが記述されている。
また、特開平11−215146によれば、ユニキャスト、マルチキャスト用の2種類の暗号鍵をONT伝送装置とOLT伝送装置で予め保持し、ユニキャスト送信時にはユニキャスト用鍵、マルチキャスト送信時にはマルチキャスト用鍵を使用し暗号化し通信を行っている(特許文献1参照)。
【0004】
【特許文献1】
特開平11−215146号公報
【発明が解決しようとする課題】
【0005】
Ethernet(登録商標)ネットワーク形態をPONとし、かつアクセス系への適用を考えた場合、下り信号に対して暗号が必要となる。特開平11−215146に記述されているATM−PONシステムではユニキャスト、マルチキャスト用の2種類の暗号鍵をONT伝送装置とOLT伝送装置で予め保持し、ユニキャスト送信時にはユニキャスト用鍵、マルチキャスト送信時にはマルチキャスト用鍵を使用し暗号化し通信する方式であり、比較的簡易的な暗号方式では解読されてしまう問題がある。
【0006】
また、マルチキャスト用暗号鍵の更新をITU−T G.983.1で規定するユニキャストデータについての暗号鍵更新方法と同様に行おうとすると、マルチキャストデータをユニキャストデータとして1つのデータをマルチキャスト送信する分だけコピーして送信することになり、帯域を圧迫するという問題がある。
【0007】
この発明は上記のような問題点を解決するためになされたもので、マルチキャストデータの暗号隠匿性の強化を目的とする。
【0008】
【課題を解決するための手段】
この発明に係る局側装置は、複数の加入者側装置と接続され、上記加入者側装置にマルチキャストするメッセージを暗号化するためのマルチキャスト用暗号鍵を生成するマルチキャスト用暗号鍵生成手段と、上記マルチキャスト用暗号鍵を、上記加入者側装置それぞれに固有の暗号鍵であるユニキャスト用暗号鍵により暗号化した暗号化マルチキャスト用暗号鍵を生成し、該暗号化マルチキャスト用暗号鍵を上記加入者側装置に送信する暗号化回路を有するようにしたものである。
【0009】
またこの発明における加入者側装置は、局側装置から送信される暗号化されたメッセージを受信する加入者側装置であり、他の加入者側装置とともに上記局側装置に対するマルチキャストドメインを構成する加入者側装置であって、上記局側装置が当該加入者側装置にメッセージを暗号化してユニキャストする際に使用する当該加入者側装置に固有のユニキャスト用暗号鍵を保持するユニキャスト用暗号鍵保持手段と、該ユニキャスト用暗号鍵を上記局側装置に送信するユニキャスト用暗号鍵送信手段と上記局側装置が上記マルチキャストドメイン内にマルチキャストするメッセージを暗号化するために使用するマルチキャスト用暗号鍵を上記ユニキャスト用暗号鍵送信手段が送信した上記ユニキャスト用暗号鍵により暗号化した暗号化マルチキャスト用暗号鍵を上記局側装置から受信し、上記ユニキャスト用暗号鍵で復号する暗号復号回路とを有するようにしたものである。
【0010】
またこの発明における暗号鍵通知方法は、局側装置と、該局側装置と接続された複数の加入者側装置とを含む通信システムにおける局側装置から加入者側装置への暗号鍵通知方法であって、下記(1)〜(4)のステップを有するようにしたものである。
(1)加入者側装置が、当該加入者側装置に対して上記局側装置がメッセージをユニキャストする際に使用する当該加入者側装置に固有の暗号鍵であるユニキャスト用暗号鍵を上記局側装置に送信するユニキャスト用暗号鍵送信ステップ;
(2)上記局側装置が、上記複数の加入者側装置に対してメッセージをマルチキャストする際に使用する暗号鍵であるマルチキャスト用暗号鍵を生成するマルチキャスト用暗号鍵生成ステップ;
(3)上記局側装置が、上記生成したマルチキャスト用暗号鍵を上記加入者側装置から送信されたユニキャスト用暗号鍵で暗号化して暗号化マルチキャスト用暗号鍵を生成して上記加入者側装置に送信する暗号化マルチキャスト用暗号鍵生成送信ステップ;
(4)加入者側装置が、上記送信された暗号化マルチキャスト用暗号鍵を当該加入者側装置のユニキャスト用暗号鍵で復号するマルチキャスト用暗号鍵復号ステップ。
【0011】
またこの発明における暗号鍵通知方法は、上記暗号化マルチキャスト用暗号鍵生成送信ステップにおいて、上記局側装置は、上記暗号化マルチキャスト用暗号鍵を各加入者側装置に固有の識別子と対応付けて送信し、上記マルチキャスト用暗号鍵復号ステップにおいて、上記加入者側装置は、当該加入者側装置の識別子と対応付けられた暗号化マルチキャスト用暗号鍵を当該加入者側装置のユニキャスト用暗号鍵で復号するようにしたものである。
【0012】
またこの発明における暗号鍵通知方法は、上記暗号化マルチキャスト用暗号鍵生成送信ステップにおいて、上記局側装置は、上記暗号化マルチキャスト用暗号鍵と、上記マルチキャスト暗号鍵から所定の演算により一意に定まる第1の定数とを送信し、上記マルチキャスト用暗号鍵復号ステップにおいて、上記加入者側装置は、上記暗号化マルチキャスト用暗号鍵を当該加入者側装置のユニキャスト用暗号鍵で復号して復号ユニキャスト用暗号鍵を生成し、該生成した復号マルチキャスト用暗号鍵から上記所定の演算により第2の定数を生成し、上記第1の定数と第2の定数とが一致した場合、上記復号マルチキャスト用暗号鍵を上記マルチキャスト用暗号鍵であると判定するようにしたものである。
【0013】
【発明の実施の形態】
実施の形態1.
以下図面を参照し、本発明の実施の形態について説明する。
図1は本発明の実施の形態に関わる通信システムの構成図である。図1において1はOLT(Optical Line Termination)伝送装置、2は光カプラ、3は光ファイバ、4はONT(Optical Network Termination)伝送装置であり、複数のONT伝送装置4(ONT伝送装置#1〜#N)は光ファイバ3と光カプラ2を介してひとつのOLT伝送装置1と接続される。
この実施の形態のようなシステムにおいては、一般的にOLT伝送装置1はEPON−OLT、ONT伝送装置4はEPON−ONTとも称される。
上記OLT伝送装置1がこの発明における局側装置、各ONT伝送装置4がこの発明における加入者側装置であり、これら局側装置および加入者側装置により通信システムが構成される。
また、それぞれのONT伝送装置4は、個別に付与されたID(識別子)により識別されるものとする。
【0014】
次に上記OLT伝送装置1の構成を図2により説明する。
以下の説明において、マルチキャスト用暗号鍵とは、OLT伝送装置1が所定のマルチキャストドメイン内のONT伝送装置4に対してメッセージを暗号化してマルチキャストする際に使用する暗号化鍵であり、ユニキャスト用暗号鍵とは、OLT伝送装置1が特定の1台のONT伝送装置4に対してメッセージを暗号化して送信する際に使用する暗号化鍵である。
また、マルチキャスト用暗号鍵は、OLT1と上記マルチキャストドメイン内のONT伝送装置4が共有し、OLT1がマルチキャスト用暗号鍵で暗号化したメッセージ暗号を、各ONT4が同じマルチキャスト用暗号鍵で復号する。
同様に、ユニキャスト用暗号鍵は、OLT1と上記特定のONT伝送装置4がが共有し、OLT1がユニキャスト用暗号鍵で暗号化したメッセージ暗号を、このONT4が同じユニキャスト用暗号鍵で復号する。
【0015】
OLT伝送装置1は、暗号制御フレーム抽出手段5、ユニキャスト用暗号鍵保持手段6、マルチキャスト暗号鍵保持手段7、マルチキャスト用暗号鍵生成手段8、暗号回路9、暗号制御フレーム挿入手段10を有する。
また図2において、11は下り入力信号、12は新マルチキャスト用暗号鍵通知信号、13、15はマルチキャスト用暗号鍵信号、14は下り信号、16はPON下り信号、17はユニキャスト用暗号鍵信号、18はPON上り信号、19はユニキャスト用暗号鍵抽出信号、20は上り出力信号、21はユニキャスト用暗号鍵受信完了信号、22はユニキャスト用暗号鍵検索信号、23はマルチキャスト用暗号鍵検索信号である。
【0016】
次にONT伝送装置4の構成を図3により説明する。
ONT伝送装置4は、暗号制御フレーム挿入手段101、ユニキャスト用暗号鍵生成手段102、マルチキャスト用暗号鍵保持手段103、暗号制御フレーム抽出手段104、ユニキャスト用暗号鍵保持手段105、暗号復号回路106を有する。
また図3において、107は上り入力信号、108、109、112はユニキャスト用暗号鍵信号、110はPON上り信号、111はPON下り信号、113はマルチキャスト用暗号鍵信号、114は復号済み信号、115はマルチキャスト用暗号鍵抽出信号、116は下り出力信号、117はユニキャスト用暗号鍵更新完了通知信号である。
上記暗号制御フレーム挿入手段101がこの発明におけるユニキャスト用暗号鍵送信手段に相当する。
【0017】
次に動作について説明する。
まず、マルチキャスト用暗号鍵の通知に使用するユニキャスト用暗号鍵の更新方法を説明する。図4は、ユニキャスト用暗号鍵更新手順を示している。
【0018】
まず、1つのONT伝送装置4(例えばONT伝送装置#1)において自装置のユニキャスト用暗号鍵をユニキャスト用暗号鍵生成手段102で生成させる。その生成されたユニキャスト用暗号鍵を暗号鍵制御フレーム挿入手段101とユニキャスト用暗号鍵保持手段105へそれぞれユニキャスト用暗号鍵信号108、109として通知する。
ユニキャスト用暗号鍵信号108を受信した暗号制御フレーム挿入手段101は、暗号制御フレームを生成し、上り入力信号107に挿入し、PON上り信号110としてOLT伝送装置1に送信する(ユニキャスト用暗号鍵送信ステップ)。
このPON上り信号が図4における「新ユニキャスト用暗号鍵通知」である。
【0019】
一方、ユニキャスト用暗号鍵信号109を受信したユニキャスト用暗号鍵保持手段105では、新しいユニキャスト暗号鍵と現用のユニキャスト用暗号鍵の2つの鍵を保持するが、暗号復号回路106には発生させた新しいユニキャスト用暗号鍵はまだ通知しない。
【0020】
OLT伝送装置1では、上記ONT伝送装置4がPON上り信号110として送信した信号(図3参照)をPON上り信号18(図2参照)として受信し、暗号制御フレーム抽出手段5においてPON上り信号18からONT伝送装置4からの暗号制御フレームを抽出し、ユニキャスト用暗号鍵をユニキャスト用暗号鍵保持手段6にONT伝送装置4#1のユニキャスト用暗号鍵抽出信号19として通知する。
ユニキャスト用暗号鍵抽出信号19を受信したユニキャスト用暗号鍵保持手段6はONT伝送装置4(#1〜#n)毎にユニキャスト暗号鍵を保持、管理を行う。
【0021】
ユニキャスト用暗号鍵保持手段6は、ユニキャスト用暗号鍵抽出信号19によりONT伝送装置4(この例では#1)の新しいユニキャスト用暗号鍵を受信したら、暗号制御フレーム挿入手段10にユニキャスト用暗号鍵受信完了信号21を出力し、新しいユニキャスト用暗号鍵を受信したことを通知する。
暗号制御フレーム挿入手段10において、ユニキャスト用暗号鍵を更新するONT伝送装置4に対してユニキャスト用暗号鍵更新完了を通知するため、暗号制御フレームを下り入力信号11に挿入し、下り信号14として、暗号化回路9に送信する。
【0022】
暗号化回路9においては、ユニキャスト用暗号鍵更新完了通知用暗号制御フレームは、何も暗号化せずに、平文でPON下り信号16としてONT伝送装置に送信する。このPON下り信号16が図4における「暗号鍵更新確認」である。
この「暗号鍵更新確認」によりのユニキャスト用暗号鍵更新完了通知用暗号制御フレームを送信した以降のユニキャストユーザデータは、暗号化回路9において新しいユニキャスト用暗号鍵で暗号化を行い、ONT伝送装置4に送信する。
【0023】
なお、OLT伝送装置1が「暗号鍵更新確認」を送信する前にONT伝送装置4にパケットを送信する場合、例えば図4の「下りパケットa」を送信する場合は、更新前の鍵である旧ユニキャスト用暗号鍵で暗号化して送信する。
【0024】
ONT伝送装置4(ここでは#1とする)において、暗号復号回路106がOLT伝送装置1からのユニキャスト用暗号鍵更新完了通知用暗号制御フレーム(図4の「暗号鍵更新確認」に相当)を受信する。暗号復号回路106ではユニキャスト用暗号鍵更新完了通知用暗号制御フレームが平文で送信されてくるので、復号せずに暗号制御フレーム抽出手段104に送信する。
暗号制御フレーム抽出手段104は、ユニキャスト用暗号鍵更新完了通知用暗号制御フレームを抽出すると、ユニキャスト用暗号鍵更新完了通知信号117をユニキャスト用暗号鍵保持手段105に通知する。
ユニキャスト用暗号鍵更新完了通知信号117を受信したユニキャスト用暗号鍵保持手段105は、暗号復号回路106に新しい暗号鍵を通知し、暗号復号回路106はユニキャスト用暗号鍵を更新する。
ONT伝送装置4が暗号復号回路106のユニキャスト用暗号鍵を更新するタイミングが図4の「新復号鍵更新」のタイミングに相当する。
【0025】
OLT伝送装置1は、新暗号鍵更新の後に送信するユニキャストユーザデータ(例えば図4の「下りパケットb」)は新ユニキャスト用暗号鍵で暗号化し、ONT伝送装置4は、新復号鍵更新の後に受信する上記下りパケットbのようなユニキャストユーザデータは、新ユニキャスト用暗号鍵で復号する。
【0026】
図5は、以上の動作における制御フレームフォーマットの図である。
図5において、内容を「ユニキャスト用暗号鍵通知」としている制御フレームフォーマットが図4における「新ユニキャスト用暗号鍵通知」でONT伝送装置4からOLT伝送装置1に送信される制御フレームフォーマットであり、図5において内容を「ユニキャスト用暗号鍵更新確認」としている制御フレームフォーマットが、図4における「暗号鍵更新確認」でOLT伝送装置1からONT伝送装置4に送信される制御フレームのフォーマットである。
【0027】
ユニキャスト用暗号鍵通知のフレームフォーマットは、プリアンブルに送信元のONT伝送装置4毎に与えられたIDを格納し、Opcoceに未使用の値から適宜選択したコードを格納するとともに、Dataに新たなユニキャスト用暗号鍵を格納する。
また、ユニキャスト用暗号鍵更新確認は、プリアンブルに送信先のONT伝送装置4のIDを格納し、Opcoceに未使用の値から適宜選択したコードを格納する。
なお、図中、DAは”MAC Destination Address”の略で送信先のMACアドレスを、SAは”MAC Source Address”略で送信元のMACアドレスを、FCSは”Frame Check Sequece”の略でフレーム内の誤り検出用コードであることも周知の通りであり、以後の説明においても同様である。
【0028】
ONT伝送装置4とOLT伝送装置1との間で以上の動作を周期的に行い、各ONT伝送装置4のユニキャスト用暗号鍵の更新を行う。
【0029】
次に、OLT伝送装置1が所定のマルチキャストドメイン内に暗号化したメッセージを送信する際に使用するマルチキャスト用暗号鍵の更新方法を説明する。
図5は、マルチキャスト用暗号鍵更新手順を示しており、ここでは図1におけるONT伝送装置4の全て(#1〜#n)が同じマルチキャストドメインに属するものとする。
【0030】
まず、図2に示したOLT伝送装置1においてVLAN対応のマルチキャスト用暗号鍵をマルチキャスト用暗号鍵生成手段8で生成させる(マルチキャスト用暗号鍵生成ステップ)。これが図6におけるOLT伝送装置1による「マルチキャスト用新暗号鍵生成」に相当する。
その生成されたマルチキャスト用暗号鍵(新マルチキャスト用暗号鍵)をマルチキャスト用暗号鍵信号13によりマルチキャスト用暗号鍵保持手段7に送信し、通知する。
マルチキャスト用暗号鍵保持手段7では、新マルチキャスト用暗号鍵を保持、管理する。
さらに、マルチキャスト用暗号鍵保持手段7は、暗号制御フレーム挿入手段10へ新マルチキャスト用暗号鍵通知信号12により新マルチキャスト用暗号鍵を送信する。
新マルチキャスト用暗号鍵通知信号12を受信した暗号制御フレーム挿入手段10では、新マルチキャスト用暗号鍵を適用するマルチキャストドメイン内のONT伝送装置4に対して、新しいマルチキャスト用暗号鍵を通知するためのマルチキャスト用暗号鍵更新通知フレームを下り入力信号11に挿入し、下り信号14を生成する。
【0031】
暗号回路9において、鍵更新するONT伝送装置4の現用ユニキャスト用暗号鍵で新マルチキャスト用暗号鍵を暗号化して暗号化マルチキャスト用暗号鍵を生成し、PON下り信号16としてONT伝送装置4に送信する(暗号化マルチキャスト用暗号鍵生成送信ステップ)。
このPON下り信号16の送信タイミングが図6における「新暗号鍵更新」に相当する。この新暗号鍵更新以前にOLT伝送装置1からONT伝送装置4にマルチキャストしたマルチキャストユーザデータ(例えば下りパケットc)は、更新前の「旧マルチキャスト用暗号鍵」で暗号化されて送信され、「新暗号鍵更新」以後にOLT伝送装置1からONT伝送装置4にマルチキャストされるマルチキャストユーザデータ(例えば下りパケットd)は、更新後の「新マルチキャスト用暗号鍵」で暗号化される。
【0032】
図7は図6の新マルチキャスト用暗号鍵通知における制御フレームフォーマットを示す図である。
プリアンブルには、送信先のONT伝送装置4のIDが格納され、Opcodeには、図5のユニキャスト用暗号鍵交換に使用した値とは異なる値を格納し、DataにはそれぞれのONT伝送装置のユニキャスト用暗号鍵(現用ユニキャスト用暗号鍵)で暗号化されたマルチキャスト用暗号鍵を格納する。
【0033】
それぞれのONT伝送装置4において、OLT伝送装置1からのマルチキャスト用暗号鍵更新通知用暗号制御フレームを受信する。暗号復号回路106ではマルチキャスト用暗号鍵更新通知用暗号制御フレームは、現用ユニキャスト用暗号鍵で暗号化されているので、現用ユニキャスト用暗号鍵を使用して復号化を行い(マルチキャスト用暗号鍵復号ステップ)、暗号制御フレーム抽出手段104に送信する。
【0034】
暗号制御フレーム抽出手段104で新しいマルチキャスト用暗号鍵を抽出し、マルチキャスト用暗号鍵保持手段103にマルチキャスト用暗号鍵抽出信号115で通知する。
マルチキャスト用暗号鍵保持手段103で、VLAN対応のマルチキャスト用暗号鍵を更新、管理する。マルチキャスト用暗号鍵更新通知用暗号制御フレームを受信した以降のマルチキャストユーザデータは、新しいマルチキャスト用暗号鍵にて復号化する。
【0035】
以上の動作において、OLT伝送装置1は新マルチキャスト用暗号鍵通知を、ONT伝送装置4に対して個別に送信して、新マルチキャスト用暗号鍵の更新を通知する。そして上記の動作をOLT伝送装置1とそれぞれのONT伝送装置4とが所定のタイミングで周期的に行い、マルチキャスト用暗号鍵の更新を行う。
上記の説明において、ユニキャスト用暗号鍵およびマルチキャスト用暗号鍵を更新するタイミングは、タイマを用いた所定の時間間隔で決定してもよいし、また、OLT伝送装置1とONT伝送装置4との通信量(ビット数あるいはパケット数)が所定量に達するたびに更新するようにしてもよい。これは以後の各実施の形態においても同様である。
【0036】
以上のように、ユニキャスト用暗号鍵だけでなく、マルチキャスト用暗号鍵も周期的に更新することにより、比較的簡単な暗号技術を適用しても同報(放送)型の通信アーキテクチャにおけるマルチキャストデータの隠匿性を強化することができるという効果がある。
【0037】
実施の形態2.
実施の形態1においては、OLT伝送装置1はマルチキャスト用暗号鍵通知をそれぞれのONT伝送装置4に対して個別に送信する例を説明したが、実施の形態2においては、マルチキャストドメイン内のすべてのONT伝送装置4に対して同時に送信する例を示す。
【0038】
この実施の形態における通信システムの構成およびOLT伝送装置、ONT伝送装置の構成は、実施の形態1で説明した図1〜図3と同様であるので、説明を省略する。
また、各ONT伝送装置のユニキャスト用暗号鍵の更新手順も実施の形態1で図4、図5を用いて説明した手順と同様であるので、説明を省略する。
【0039】
実施の形態1においては、新マルチキャスト用暗号鍵通知(図6)をOLT伝送装置1からONT伝送装置4に対して個別に通知するため、新マルチキャスト用暗号鍵通知の制御フレームフォーマット(図7)には1つの送信先ONT伝送装置のユニキャスト用暗号鍵で暗号化されたマルチキャスト用暗号鍵しか含まれていない。
【0040】
実施の形態1と同様に、OLT伝送装置1においてVLAN対応のマルチキャスト用暗号鍵をマルチキャスト用暗号鍵生成手段8で生成させる。これが図6におけるOLT伝送装置1による「マルチキャスト用新暗号鍵生成」に相当する。
その生成されたマルチキャスト用暗号鍵(新マルチキャスト用暗号鍵)をマルチキャスト用暗号鍵信号13によりマルチキャスト用暗号鍵保持手段7に送信し、通知する。
マルチキャスト用暗号鍵保持手段7では、新マルチキャスト用暗号鍵を保持、管理する。
さらに、マルチキャスト用暗号鍵保持手段7は、暗号制御フレーム挿入手段10へ新マルチキャスト用暗号鍵通知信号12により新マルチキャスト用暗号鍵を送信する。
新マルチキャスト用暗号鍵通知信号12を受信した暗号制御フレーム挿入手段10では、新マルチキャスト用暗号鍵を適用するマルチキャストドメイン内のONT伝送装置4に対して、新しいマルチキャスト用暗号鍵を通知するためのマルチキャスト用暗号鍵更新通知フレームを下り入力信号11に挿入し、下り信号14を生成する。
暗号化回路9において、鍵更新するマルチキャストドメイン内のONT伝送装置4それぞれの現用ユニキャスト用暗号鍵で新マルチキャスト用暗号鍵を暗号化してPON下り信号16としてONT伝送装置4に送信する(暗号化マルチキャスト用暗号鍵生成送信ステップ)。
この実施の形態2においては、図6のOLT伝送装置1からONT伝送装置4に対して送信する「新マルチキャスト用暗号鍵通知」は複数のONT伝送装置に対して、図8に示す制御フレームフォーマットによりブロードキャストされる。
【0041】
図8において、プリアンブルのONT−IDには、全てのONT伝送装置4に対するフレームであることを意味する識別IDである”Default ONT−ID”(コード値”0xFFFF”)を格納する。
また、DAには、ブロードキャストアドレスを意味するコード値(0xFFFFFFFFFFFF)を格納し、Opcodeには、ユニキャスト用暗号鍵交換制御フレーム(図5)で使用した値とは異なる、未使用の値から選択したコードを格納する。
【0042】
図8のData領域には、マルチキャストドメイン内のONT伝送装置4のIDと、そのIDを有するONT伝送装置4のユニキャスト用暗号鍵で暗号化したマルチキャスト用暗号鍵が、例えば「個別ONT−ID#1」と「新暗号鍵#1」のような対になって対応付けて格納されている。
【0043】
図8のマルチキャスト用暗号鍵通知を受信したそれぞれのONT伝送装置4は、暗号復号回路106で自装置のIDに対応する新暗号鍵を抽出し、自装置の現用ユニキャスト用暗号鍵を使用して新たなマルチキャスト用暗号鍵を復号し、暗号制御フレーム抽出手段104に送信する(マルチキャスト用暗号鍵復号ステップ)。
以後の動作は実施の形態1と同様である。
【0044】
以上のように、OLT伝送装置1は新マルチキャスト用暗号鍵通知を、複数のONT伝送装置4に対して同報し、新マルチキャスト用暗号鍵の更新を通知する。そして上記の動作をOLT伝送装置1とそれぞれのONT伝送装置4とが周期的に行い、マルチキャスト用暗号鍵の更新を行う。
従って、OLT伝送装置1は複数のONT伝送装置4に対して個別に制御フレームを送信する必要がないので、帯域を圧迫することがなく、またマルチキャスト用暗号鍵も周期的に更新することにより、比較的簡単な暗号技術を適用しても同報(放送)型の通信アーキテクチャにおけるマルチキャストデータの隠匿性を強化することができるという効果がある。
【0045】
実施の形態3.
実施の形態2では図8に示したように、マルチキャスト用暗号鍵通知には、それぞれのONT伝送装置4のID(ONT−ID)とこれに対応する新暗号鍵の対が格納されている例を示した。
この実施の形態3では、新たなマルチキャスト用暗号鍵を複数のONT伝送装置4に対して同報する別の方式について説明する。
【0046】
この実施の形態3の実施の形態2との相違点は、マルチキャスト用暗号鍵通知のフレームフォーマットである。
図9がこの実施の形態3におけるマルチキャスト用暗号鍵通知のフレームフォーマットであり、Data領域には、新たなマルチキャスト用暗号鍵をマルチキャストドメイン内のそれぞれのONT伝送装置4のユニキャスト用暗号鍵で暗号化した「新暗号鍵」が格納され、また、新たなマルチキャスト用暗号鍵から所定のハッシュ関数を用いて生成した「HASHコード値」が格納されている。
各「HASHコード値」は同一の値である。
【0047】
OLT伝送装置1の暗号化回路9は、鍵更新するブロードキャストドメイン内のONT伝送装置4それぞれの現用ユニキャスト用暗号鍵で新マルチキャスト用暗号鍵を暗号化する。同時に、新マルチキャスト用暗号鍵から、MD5あるいはSHA−1のような所定のハッシュ関数によりHASHコード値を生成する。図9の制御フレームフォーマットがOLT伝送装置1からONT伝送装置4に対してブロードキャストされる(暗号化マルチキャスト用暗号鍵生成送信ステップ)。
【0048】
図9のマルチキャスト用暗号鍵通知を受信したそれぞれのONT伝送装置4は、暗号復号回路106で新暗号鍵を先頭から抽出して自装置のユニキャスト用暗号鍵で復号する。
この段階では復号した新暗号鍵が自装置のユニキャスト用暗号鍵で暗号化されたものであるのかどうかが不明であるので、新暗号鍵を復号して得られた「仮のマルチキャスト用暗号鍵」からOLT伝送装置1と同じハッシュ関数で「仮のHASH値」を生成する。
この「仮のHASH値」と「HASHコード値」を比較して一致した場合、上記「仮のマルチキャスト用暗号鍵」は、OLT伝送装置1から通知された正規の新たなマルチキャスト用暗号鍵である。
一方、「仮のHASH値」と「HASHコード値」を比較して一致しなかった場合、上記新暗号鍵は自装置のユニキャスト用暗号鍵で暗号されたものではなく、これを復号した「仮のマルチキャスト用暗号鍵」は、OLT伝送装置1から通知された正規の新たなマルチキャスト用暗号鍵ではない。この場合は、DATA領域から次の「新暗号鍵」を抽出し、再度、新暗号鍵の復号、「仮のHASH値」の生成、「仮のHASH値」と「HASHコード値」との比較、を「仮のHASH値」と「HASHコード値」が一致するまで行う(マルチキャスト用暗号鍵復号ステップ)。
最後まで一致する新暗号鍵がない場合は、その旨をOLT伝送装置1に通知し、再送を依頼したり、経路上における改竄の有無のチェックを依頼する。
【0049】
上記ハッシュ関数がこの発明における「所定の演算」である。
また上記「仮のマルチキャスト用暗号鍵」がこの発明における「復号マルチキャスト用暗号鍵」、「HASHコード値」がこの発明における「第1の定数」、「仮のHASH値」がこの発明における「第2の定数」である。
【0050】
以上のように、OLT伝送装置1は複数のONT伝送装置4に対して個別に制御フレームを送信する必要がないので、帯域を圧迫することがない。
また上記動作を周期的に行うことによりマルチキャスト用暗号鍵を周期的に更新すれば、比較的簡単な暗号技術を適用しても同報(放送)型の通信アーキテクチャにおけるマルチキャストデータの隠匿性を強化することができるという効果がある。
【0051】
なお、図9において、HASHコード値は、それぞれの新暗号鍵と対応させてData領域内に格納したが、HASHコード値は1箇所に格納してもよい。
【0052】
また上記説明においては、ONT伝送装置4はマルチキャスト用暗号鍵通知のData領域の先頭から順に新暗号鍵を抽出するとしたが、それぞれのONT伝送装置4に順番を割りあて、各ONT伝送装置に対応する新暗号鍵はData領域の中で上記順番の位置に格納するようにすれば、ONT伝送装置における新たなマルチキャスト用暗号鍵の獲得が高速にでき、また新マルチキャスト用暗号鍵の誤りの有無や改竄の有無のチェックが可能になる。
またこの順番の変りに各ONT伝送装置のIDと各新暗号鍵を対応付けて格納すればONT伝送装置における新マルチキャスト用暗号鍵の獲得が高速化される。この場合も、新マルチキャスト用暗号鍵の誤りの有無や改竄の有無のチェックが可能になる。
【0053】
また上記説明においてはハッシュ関数を使用する例を示したが、ハッシュ関数に限らず、入力データに対して、一意に定まる定数を出力する演算であれば他の方式でもよい。
【0054】
【発明の効果】
以上のように、ユニキャスト用暗号鍵だけでなく、マルチキャスト用暗号鍵も周期的に更新することにより、比較的簡単な暗号技術を適用しても同報(型の通信アーキテクチャにおけるマルチキャストデータの隠匿性を強化することができる。
【図面の簡単な説明】
【図1】この発明の実施の形態1から3のシステム構成を示すブロック図。
【図2】この発明の実施の形態1から3のOLT伝送装置を示すブロック図。
【図3】この発明の実施の形態1から3のONT伝送装置を示すブロック図。
【図4】この発明の実施の形態1から3のユニキャスト用暗号鍵更新シーケンス図。
【図5】この発明の実施の形態1におけるユニキャスト用暗号鍵通知とユニキャスト用暗号鍵更新確認のフレームフォーマット図。
【図6】この発明の実施の形態1から3のマルチキャスト用暗号鍵更新シーケンス図。
【図7】この発明の実施の形態1のマルチキャスト用暗号鍵通知のフレームフォーマット図。
【図8】この発明の実施の形態2のマルチキャスト用暗号鍵通知のフレームフォーマット図。
【図9】この発明の実施の形態3のマルチキャスト用暗号鍵通知のフレームフォーマット図。
【符号の説明】
1 OLT伝送装置
2 光カプラ
3 光ファイバ
4 ONT伝送装置
5 暗号制御フレーム抽出手段
6 ユニキャスト用暗号鍵保持手段
7 マルチキャスト暗号鍵保持手段
8 マルチキャスト用暗号鍵生成手段
9 暗号回路
10 暗号制御フレーム挿入手段
11 下り入力信号
12 新マルチキャスト用暗号鍵通知信号
13 マルチキャスト用暗号鍵信号
14 下り信号
15 マルチキャスト用暗号鍵信号
16 PON下り信号
17 ユニキャスト用暗号鍵信号
18 PON上り信号
19 ユニキャスト用暗号鍵抽出信号
20 上り出力信号
21 ユニキャスト用暗号鍵受信完了信号
22 ユニキャスト用暗号鍵検索信号
23 マルチキャスト用暗号鍵検索信号
101 暗号制御フレーム挿入手段
102 ユニキャスト用暗号鍵生成手段
103 マルチキャスト用暗号鍵保持手段
104 暗号制御フレーム抽出手段
105 ユニキャスト用暗号鍵保持手段
106 暗号復号回路
107 上り入力信号
108 ユニキャスト用暗号鍵信号
109 ユニキャスト用暗号鍵信号
110 PON上り信号
111 PON下り信号
112 ユニキャスト用暗号鍵信号
113 マルチキャスト用暗号鍵信号
114 復号済み信号
115 マルチキャスト用暗号鍵抽出信号
116 下り出力信号
117 ユニキャスト用暗号鍵更新完了通知信号。[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a station-side device, a subscriber-side device, a communication system, and an encryption key notification method in a one-to-many network such as a Passive Optical Network (PON) architecture.
[0002]
[Prior art]
The conventional Ethernet (registered trademark) network configuration includes a one-to-one configuration, a bus configuration, a ring configuration, and the like. However, all of them accommodate a LAN and are not expected to be applied to an access network.
Here, when the network form is PON and application to an access system is considered, encryption is required for a downlink signal. Considering the VLAN (Virtual LAN) function of the EPON (Ethernet (registered trademark) PON) system, individual encryption is required for unicast and multicast.
[0003]
For example, in an ATM-PON system defined by ITU-T 983.1 having a PON architecture similar to EPON, a unicast encryption key generated by an ONT (Optical Network Termination) transmission device is converted to an OLT (Optical Line Termination). It describes that the transmission device is periodically notified and updated.
According to Japanese Patent Application Laid-Open No. H11-215146, two types of encryption keys for unicast and multicast are stored in advance in an ONT transmission device and an OLT transmission device, and a unicast key is used for unicast transmission and a multicast key is used for multicast transmission. Is used to perform communication (see Patent Document 1).
[0004]
[Patent Document 1]
JP-A-11-215146
[Problems to be solved by the invention]
[0005]
When the Ethernet (registered trademark) network mode is PON and the application to an access system is considered, encryption is required for a downlink signal. In the ATM-PON system described in Japanese Patent Application Laid-Open No. H11-215146, two types of encryption keys for unicast and multicast are stored in advance in an ONT transmission device and an OLT transmission device. In some cases, communication is performed by encrypting using a multicast key, and there is a problem that the data can be decrypted by a relatively simple encryption method.
[0006]
Also, the update of the multicast encryption key is performed according to ITU-TG. If an attempt is made to perform the same method as the encryption key update method for unicast data specified in 983.1, multicast data is copied as unicast data as much as one piece of data is transmitted by multicast, and the bandwidth is compressed. There is a problem of doing.
[0007]
SUMMARY OF THE INVENTION The present invention has been made to solve the above problems, and has as its object to enhance cryptographic concealment of multicast data.
[0008]
[Means for Solving the Problems]
An office apparatus according to the present invention is connected to a plurality of subscriber apparatuses, and a multicast encryption key generating means for generating a multicast encryption key for encrypting a message to be multicast to the subscriber apparatus. An encryption key for multicast is generated by encrypting the encryption key for multicast with a unicast encryption key which is a unique encryption key for each of the subscriber side devices, and the encrypted multicast encryption key is stored on the subscriber side. It has an encryption circuit for transmitting to the device.
[0009]
Further, the subscriber unit according to the present invention is a subscriber unit that receives an encrypted message transmitted from the station unit, and joins a multicast domain for the station unit together with other subscriber units. A unicast encryption device for storing a unicast encryption key unique to the subscriber device used when the station device encrypts and unicasts a message to the subscriber device. Key holding means, a unicast encryption key transmitting means for transmitting the unicast encryption key to the optical line terminal, and a multicasting key used for encrypting a message to be multicast by the optical line terminal in the multicast domain. An encryption key that encrypts the encryption key with the unicast encryption key transmitted by the unicast encryption key transmission means. The encryption key cast received from the station side device, in which so as to have a decryption circuit for decrypting the encryption key for the unicast.
[0010]
An encryption key notifying method according to the present invention is a method for notifying an encryption key from a station device to a subscriber device in a communication system including a station device and a plurality of subscriber devices connected to the station device. In addition, the method has the following steps (1) to (4).
(1) The subscriber-side device transmits a unicast encryption key, which is an encryption key unique to the subscriber-side device used when the station-side device unicasts a message to the subscriber-side device, as described above. Transmitting a unicast encryption key to be transmitted to the optical line terminal;
(2) a multicast encryption key generating step in which the station apparatus generates a multicast encryption key that is an encryption key used when multicasting a message to the plurality of subscriber apparatuses;
(3) The station-side device encrypts the generated multicast encryption key with the unicast encryption key transmitted from the subscriber device to generate an encrypted multicast encryption key, and Generating and transmitting an encryption key for encrypted multicast to be transmitted to
(4) A multicast encryption key decryption step in which the subscriber device decrypts the transmitted encrypted multicast encryption key with the unicast encryption key of the subscriber device.
[0011]
In the encryption key notifying method according to the present invention, in the encrypted multicast encryption key generation and transmission step, the station apparatus transmits the encrypted multicast encryption key in association with an identifier unique to each subscriber apparatus. In the multicast encryption key decrypting step, the subscriber device decrypts the encrypted multicast encryption key associated with the identifier of the subscriber device with the unicast encryption key of the subscriber device. It is intended to be.
[0012]
Further, in the encryption key notifying method according to the present invention, in the generating and transmitting step of the encrypted multicast encryption key, the station-side device may be configured such that the station apparatus is uniquely determined by a predetermined operation from the encrypted multicast encryption key and the multicast encryption key. In the multicast encryption key decryption step, the subscriber side device decrypts the encrypted multicast encryption key with the unicast encryption key of the subscriber side device and performs decryption unicast. A second constant is generated from the generated decryption multicast encryption key by the predetermined operation, and when the first constant and the second constant match, the decryption multicast encryption key is generated. The key is determined to be the multicast encryption key.
[0013]
BEST MODE FOR CARRYING OUT THE INVENTION
Embodiment 1 FIG.
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
FIG. 1 is a configuration diagram of a communication system according to an embodiment of the present invention. In FIG. 1, reference numeral 1 denotes an OLT (Optical Line Termination) transmission device, 2 denotes an optical coupler, 3 denotes an optical fiber, 4 denotes an ONT (Optical Network Termination) transmission device, and a plurality of ONT transmission devices 4 (ONT transmission devices # 1 to # 1). #N) is connected to one OLT transmission apparatus 1 via the optical fiber 3 and the optical coupler 2.
In a system such as this embodiment, the OLT transmission apparatus 1 is generally called an EPON-OLT, and the ONT transmission apparatus 4 is also called an EPON-ONT.
The OLT transmission apparatus 1 is a station apparatus in the present invention, and each ONT transmission apparatus 4 is a subscriber apparatus in the present invention, and a communication system is configured by the station apparatus and the subscriber apparatus.
In addition, each ONT transmission device 4 is identified by an ID (identifier) assigned individually.
[0014]
Next, the configuration of the OLT transmission apparatus 1 will be described with reference to FIG.
In the following description, the multicast encryption key is an encryption key used when the OLT transmission apparatus 1 encrypts and multicasts a message to the ONT transmission apparatus 4 in a predetermined multicast domain. The encryption key is an encryption key used when the OLT transmission apparatus 1 encrypts and transmits a message to one specific ONT transmission apparatus 4.
The OLT 1 and the ONT transmission device 4 in the multicast domain share the multicast encryption key, and each ONT 4 decrypts the message encryption encrypted by the OLT 1 with the multicast encryption key using the same multicast encryption key.
Similarly, the OLT 1 and the specific ONT transmission device 4 share the unicast encryption key, and the ONT 4 decrypts the message encryption encrypted by the OLT 1 with the unicast encryption key using the same unicast encryption key. I do.
[0015]
The OLT transmission apparatus 1 includes an encryption control frame extraction unit 5, a unicast encryption key holding unit 6, a multicast encryption key holding unit 7, a multicast encryption key generation unit 8, an encryption circuit 9, and an encryption control frame insertion unit 10.
In FIG. 2, reference numeral 11 denotes a downlink input signal, 12 denotes a new multicast encryption key notification signal, 13 and 15 denote multicast encryption key signals, 14 denotes a downlink signal, 16 denotes a PON downlink signal, and 17 denotes a unicast encryption key signal. , 18 is a PON uplink signal, 19 is a unicast encryption key extraction signal, 20 is an uplink output signal, 21 is a unicast encryption key reception completion signal, 22 is a unicast encryption key search signal, and 23 is a multicast encryption key. This is a search signal.
[0016]
Next, the configuration of the ONT transmission device 4 will be described with reference to FIG.
The ONT transmission apparatus 4 includes an encryption control frame insertion unit 101, a unicast encryption key generation unit 102, a multicast encryption key holding unit 103, an encryption control frame extraction unit 104, a unicast encryption key holding unit 105, and an encryption / decryption circuit 106. Having.
In FIG. 3, reference numeral 107 denotes an uplink input signal, 108, 109, and 112 denote unicast encryption key signals, 110 denotes a PON uplink signal, 111 denotes a PON downlink signal, 113 denotes a multicast encryption key signal, 114 denotes a decrypted signal, 115 is a multicast encryption key extraction signal, 116 is a downstream output signal, and 117 is a unicast encryption key update completion notification signal.
The encryption control frame insertion means 101 corresponds to the unicast encryption key transmission means in the present invention.
[0017]
Next, the operation will be described.
First, a method of updating a unicast encryption key used for notification of a multicast encryption key will be described. FIG. 4 shows a procedure for updating a unicast encryption key.
[0018]
First, in one ONT transmission device 4 (for example, ONT transmission device # 1), the unicast encryption key generation unit 102 generates its own unicast encryption key. The generated unicast encryption key is notified to the encryption key control frame insertion unit 101 and the unicast encryption key holding unit 105 as unicast encryption key signals 108 and 109, respectively.
Upon receiving the unicast encryption key signal 108, the encryption control frame insertion means 101 generates an encryption control frame, inserts it into the uplink input signal 107, and transmits it as the PON uplink signal 110 to the OLT transmission apparatus 1 (unicast encryption Key transmission step).
This PON upstream signal is "new unicast encryption key notification" in FIG.
[0019]
On the other hand, the unicast encryption key holding unit 105 that has received the unicast encryption key signal 109 holds two keys, a new unicast encryption key and a current unicast encryption key. The generated new unicast encryption key is not notified yet.
[0020]
The OLT transmission apparatus 1 receives the signal transmitted by the ONT transmission apparatus 4 as the PON uplink signal 110 (see FIG. 3) as the PON uplink signal 18 (see FIG. 2). , Extracts the encryption control frame from the ONT transmission device 4 and notifies the unicast encryption key to the unicast encryption key holding means 6 as the unicast encryption key extraction signal 19 of the ONT transmission device 4 # 1.
The unicast encryption key holding unit 6 that has received the unicast encryption key extraction signal 19 holds and manages a unicast encryption key for each ONT transmission device 4 (# 1 to #n).
[0021]
Upon receiving the new unicast encryption key of the ONT transmission device 4 (# 1 in this example) from the unicast encryption key extraction signal 19, the unicast encryption key holding unit 6 transmits the unicast encryption key to the encryption control frame insertion unit 10. And outputs a new encryption key reception completion signal 21 to notify that a new unicast encryption key has been received.
The encryption control frame inserting means 10 inserts the encryption control frame into the downlink input signal 11 to notify the ONT transmission device 4 that updates the unicast encryption key of the update completion of the unicast encryption key. Is transmitted to the encryption circuit 9.
[0022]
In the encryption circuit 9, the encryption control frame for notifying the completion of the update of the encryption key for unicast is transmitted to the ONT transmission device as the PON downlink signal 16 in plain text without any encryption. This PON downlink signal 16 is “encryption key update confirmation” in FIG.
The unicast user data after the transmission of the unicast encryption key update completion notification encryption control frame by this “encryption key update confirmation” is encrypted by the encryption circuit 9 using the new unicast encryption key, and the ONT The data is transmitted to the transmission device 4.
[0023]
When the OLT transmission apparatus 1 transmits a packet to the ONT transmission apparatus 4 before transmitting the “encryption key update confirmation”, for example, when transmitting the “downlink packet a” in FIG. Encrypt with the old unicast encryption key and send.
[0024]
In the ONT transmission apparatus 4 (here, # 1), the encryption / decryption circuit 106 transmits the unicast encryption key update completion notification encryption control frame from the OLT transmission apparatus 1 (corresponding to “encryption key update confirmation” in FIG. 4). To receive. The encryption / decryption circuit 106 transmits the encryption control frame for unicast encryption key update completion notification in plain text, and transmits it to the encryption control frame extraction means 104 without decrypting it.
Upon extracting the encryption control frame for unicast encryption key update completion notification, the encryption control frame extraction unit 104 notifies the unicast encryption key update completion notification signal 117 to the unicast encryption key holding unit 105.
Upon receiving the unicast encryption key update completion notification signal 117, the unicast encryption key holding unit 105 notifies the encryption / decryption circuit 106 of the new encryption key, and the encryption / decryption circuit 106 updates the unicast encryption key.
The timing at which the ONT transmission device 4 updates the unicast encryption key of the encryption / decryption circuit 106 corresponds to the timing of “update new decryption key” in FIG.
[0025]
The OLT transmission apparatus 1 encrypts the unicast user data (for example, “downlink packet b” in FIG. 4) transmitted after updating the new encryption key with the new unicast encryption key, and the ONT transmission apparatus 4 updates the new decryption key. After that, the unicast user data such as the downlink packet b received above is decrypted with the new unicast encryption key.
[0026]
FIG. 5 is a diagram of a control frame format in the above operation.
In FIG. 5, the control frame format whose content is “notification of encryption key for unicast” is a control frame format transmitted from the ONT transmission device 4 to the OLT transmission device 1 in “notification of new encryption key for unicast” in FIG. The control frame format whose content is “confirmation of encryption key update for unicast” in FIG. 5 is the format of the control frame transmitted from the OLT transmission apparatus 1 to the ONT transmission apparatus 4 in “confirmation of encryption key update” in FIG. It is.
[0027]
The frame format of the unicast encryption key notification is such that an ID given to each source ONT transmission device 4 is stored in the preamble, a code appropriately selected from unused values is stored in Opcose, and a new data is stored in Data. Stores the unicast encryption key.
In the unicast encryption key update confirmation, the ID of the transmission destination ONT transmission device 4 is stored in the preamble, and a code appropriately selected from unused values is stored in Opcce.
In the figure, DA is the MAC address of the transmission destination in the abbreviation of “MAC Destination Address”, SA is the MAC address of the transmission source in the abbreviation of “MAC Source Address”, and FCS is the abbreviation of “Frame Check Sequence” in the frame. It is well known that this is an error detection code, and the same applies to the following description.
[0028]
The above operation is periodically performed between the ONT transmission device 4 and the OLT transmission device 1, and the unicast encryption key of each ONT transmission device 4 is updated.
[0029]
Next, a method of updating a multicast encryption key used when the OLT transmission apparatus 1 transmits an encrypted message within a predetermined multicast domain will be described.
FIG. 5 shows a multicast encryption key update procedure. Here, it is assumed that all of the ONT transmission apparatuses 4 (# 1 to #n) in FIG. 1 belong to the same multicast domain.
[0030]
First, in the OLT transmission apparatus 1 shown in FIG. 2, a multicast encryption key for VLAN is generated by the multicast encryption key generation means 8 (multicast encryption key generation step). This corresponds to "generation of a new encryption key for multicast" by the OLT transmission apparatus 1 in FIG.
The generated multicast encryption key (new multicast encryption key) is transmitted to the multicast encryption key holding means 7 by the multicast encryption key signal 13 and notified.
The multicast encryption key holding unit 7 holds and manages a new multicast encryption key.
Further, the multicast encryption key holding unit 7 transmits the new multicast encryption key to the encryption control frame insertion unit 10 by using the new multicast encryption key notification signal 12.
Upon receiving the new multicast encryption key notification signal 12, the encryption control frame inserting means 10 sends a multicast for notifying the ONT transmission device 4 in the multicast domain to which the new multicast encryption key is applied of the new multicast encryption key. The encryption key update notification frame is inserted into the downstream input signal 11 to generate the downstream signal 14.
[0031]
The encryption circuit 9 encrypts the new multicast encryption key with the current unicast encryption key of the ONT transmission device 4 whose key is to be updated, generates an encrypted multicast encryption key, and transmits it to the ONT transmission device 4 as a PON downlink signal 16. (Encryption / multicast encryption key generation / transmission step).
The transmission timing of the PON downlink signal 16 corresponds to “new encryption key update” in FIG. The multicast user data (for example, downlink packet c) multicast from the OLT transmission apparatus 1 to the ONT transmission apparatus 4 before the update of the new encryption key is encrypted with the “old multicast encryption key” before the update and transmitted. The multicast user data (for example, a downlink packet d) that is multicast from the OLT transmission apparatus 1 to the ONT transmission apparatus 4 after the “encryption key update” is encrypted with the updated “new multicast encryption key”.
[0032]
FIG. 7 is a diagram showing a control frame format in the new multicast encryption key notification of FIG.
The preamble stores the ID of the transmission destination ONT transmission device 4, the Opcode stores a value different from the value used for the unicast encryption key exchange in FIG. 5, and the Data indicates the ONT transmission device 4. A multicast encryption key encrypted with the unicast encryption key (working unicast encryption key) is stored.
[0033]
Each ONT transmission device 4 receives the encryption key update notification encryption control frame from the OLT transmission device 1. The encryption / decryption circuit 106 encrypts the multicast encryption key update notification encryption control frame with the current unicast encryption key, and thus decrypts using the current unicast encryption key (multicast encryption key). (Decryption step), and transmits to the encryption control frame extraction means 104.
[0034]
A new encryption key for multicast is extracted by the encryption control frame extraction means 104 and is notified to the encryption key holding means for multicast 103 by a multicast encryption key extraction signal 115.
The multicast encryption key holding means 103 updates and manages the multicast encryption key corresponding to the VLAN. The multicast user data after receiving the encryption key update notification encryption control frame is decrypted with the new multicast encryption key.
[0035]
In the above operation, the OLT transmission apparatus 1 individually transmits a new multicast encryption key notification to the ONT transmission apparatus 4 and notifies the ONT transmission apparatus 4 of the update of the new multicast encryption key. The OLT transmission apparatus 1 and each ONT transmission apparatus 4 perform the above operation periodically at a predetermined timing to update the multicast encryption key.
In the above description, the timing at which the unicast encryption key and the multicast encryption key are updated may be determined at predetermined time intervals using a timer, or between the OLT transmission device 1 and the ONT transmission device 4. It may be updated each time the communication amount (the number of bits or the number of packets) reaches a predetermined amount. This is the same in the following embodiments.
[0036]
As described above, by updating not only the unicast encryption key but also the multicast encryption key periodically, even if a relatively simple encryption technology is applied, the multicast data in the broadcast (broadcast) communication architecture can be obtained. There is an effect that the concealment of the data can be enhanced.
[0037]
Embodiment 2 FIG.
In the first embodiment, the example in which the OLT transmission apparatus 1 individually transmits the multicast encryption key notification to each ONT transmission apparatus 4 has been described. An example of simultaneous transmission to the ONT transmission device 4 will be described.
[0038]
The configuration of the communication system and the configurations of the OLT transmission apparatus and the ONT transmission apparatus according to this embodiment are the same as those shown in FIGS.
Also, the procedure for updating the unicast encryption key of each ONT transmission apparatus is the same as the procedure described in the first embodiment with reference to FIGS. 4 and 5, and a description thereof will be omitted.
[0039]
In the first embodiment, since the OLT transmission apparatus 1 individually notifies the new multicast encryption key notification (FIG. 6) to the ONT transmission apparatus 4, the control frame format of the new multicast encryption key notification (FIG. 7) Contains only the multicast encryption key encrypted with the unicast encryption key of one transmission destination ONT transmission device.
[0040]
As in the first embodiment, a multicast encryption key for VLAN is generated by the multicast encryption key generation means 8 in the OLT transmission apparatus 1. This corresponds to "generation of a new encryption key for multicast" by the OLT transmission apparatus 1 in FIG.
The generated multicast encryption key (new multicast encryption key) is transmitted to the multicast encryption key holding means 7 by the multicast encryption key signal 13 and notified.
The multicast encryption key holding unit 7 holds and manages a new multicast encryption key.
Further, the multicast encryption key holding unit 7 transmits the new multicast encryption key to the encryption control frame insertion unit 10 by using the new multicast encryption key notification signal 12.
Upon receiving the new multicast encryption key notification signal 12, the encryption control frame inserting means 10 sends a multicast for notifying the ONT transmission device 4 in the multicast domain to which the new multicast encryption key is applied of the new multicast encryption key. The encryption key update notification frame is inserted into the downstream input signal 11 to generate the downstream signal 14.
The encryption circuit 9 encrypts the new multicast encryption key with the current unicast encryption key of each ONT transmission device 4 in the multicast domain whose key is to be updated, and transmits it as a PON downlink signal 16 to the ONT transmission device 4 (encryption). Multicast encryption key generation transmission step).
In the second embodiment, the “new multicast encryption key notification” transmitted from the OLT transmission apparatus 1 to the ONT transmission apparatus 4 in FIG. 6 is transmitted to a plurality of ONT transmission apparatuses in the control frame format shown in FIG. Broadcast by.
[0041]
In FIG. 8, “Default ONT-ID” (code value “0xFFFF”), which is an identification ID meaning a frame for all the ONT transmission devices 4, is stored in the ONT-ID of the preamble.
Also, a code value (0xFFFFFFFFFFFF) indicating a broadcast address is stored in DA, and an unused value different from the value used in the unicast encryption key exchange control frame (FIG. 5) is selected in Opcode. Stored code.
[0042]
In the Data area of FIG. 8, the ID of the ONT transmission device 4 in the multicast domain and the multicast encryption key encrypted with the unicast encryption key of the ONT transmission device 4 having the ID are, for example, “individual ONT-ID”. # 1 ”and“ new encryption key # 1 ”and stored in association with each other.
[0043]
Each of the ONT transmission devices 4 receiving the multicast encryption key notification of FIG. 8 extracts a new encryption key corresponding to the own device ID by the encryption / decryption circuit 106 and uses the current unicast encryption key of the own device. Decrypts the new multicast encryption key and transmits it to the encryption control frame extracting means 104 (multicast encryption key decryption step).
Subsequent operations are the same as in the first embodiment.
[0044]
As described above, the OLT transmission apparatus 1 broadcasts the new multicast encryption key notification to the plurality of ONT transmission apparatuses 4 and notifies the update of the new multicast encryption key. The above operation is periodically performed by the OLT transmission apparatus 1 and the respective ONT transmission apparatuses 4 to update the multicast encryption key.
Therefore, the OLT transmission apparatus 1 does not need to individually transmit a control frame to the plurality of ONT transmission apparatuses 4, so that the OLT transmission apparatus 1 does not press down the bandwidth and periodically updates the multicast encryption key. Even if a relatively simple encryption technique is applied, there is an effect that the concealment of multicast data in a broadcast (broadcast) communication architecture can be enhanced.
[0045]
Embodiment 3 FIG.
In the second embodiment, as shown in FIG. 8, an example in which the ID of the ONT transmission device 4 (ONT-ID) and the corresponding new encryption key are stored in the multicast encryption key notification. showed that.
In the third embodiment, another method for broadcasting a new multicast encryption key to a plurality of ONT transmission devices 4 will be described.
[0046]
The third embodiment differs from the second embodiment in the frame format of the multicast encryption key notification.
FIG. 9 shows a frame format of the multicast encryption key notification according to the third embodiment. In the Data area, a new multicast encryption key is encrypted with the unicast encryption key of each ONT transmission device 4 in the multicast domain. The stored "new encryption key" is stored, and the "HASH code value" generated from the new multicast encryption key using a predetermined hash function is stored.
Each “HASH code value” is the same value.
[0047]
The encryption circuit 9 of the OLT transmission apparatus 1 encrypts the new multicast encryption key with the current unicast encryption key of each ONT transmission apparatus 4 in the broadcast domain whose key is to be updated. At the same time, a HASH code value is generated from the new multicast encryption key by a predetermined hash function such as MD5 or SHA-1. The control frame format of FIG. 9 is broadcast from the OLT transmission apparatus 1 to the ONT transmission apparatus 4 (encryption / multicast encryption key generation / transmission step).
[0048]
Each of the ONT transmission devices 4 receiving the multicast encryption key notification of FIG. 9 extracts the new encryption key from the head by the encryption / decryption circuit 106 and decrypts the new encryption key with its own unicast encryption key.
At this stage, it is unknown whether or not the decrypted new encryption key has been encrypted with its own unicast encryption key, so the "temporary multicast encryption key" obtained by decrypting the new encryption key is obtained. ”, A“ temporary HASH value ”is generated using the same hash function as the OLT transmission apparatus 1.
If the “temporary HASH value” is compared with the “HASH code value” and they match, the “temporary multicast encryption key” is a valid new multicast encryption key notified from the OLT transmission apparatus 1. .
On the other hand, if the “temporary HASH value” and the “HASH code value” do not match, the new encryption key is not encrypted with the own device's unicast encryption key, The “temporary multicast encryption key” is not a valid new multicast encryption key notified from the OLT transmission apparatus 1. In this case, the next "new encryption key" is extracted from the DATA area, the new encryption key is decrypted again, the "temporary HASH value" is generated, and the "temporary HASH value" is compared with the "HASH code value". Until the "temporary HASH value" and the "HASH code value" match (multicast encryption key decryption step).
If there is no new encryption key that matches up to the end, the OLT transmission device 1 is notified of the fact, and requests retransmission or checks whether there is tampering on the route.
[0049]
The hash function is the “predetermined operation” in the present invention.
The "temporary multicast encryption key" is the "decryption multicast encryption key" in the present invention, the "HASH code value" is the "first constant" in the present invention, and the "temporary HASH value" is the "first hash value" in the present invention. 2 constant ".
[0050]
As described above, since the OLT transmission apparatus 1 does not need to individually transmit a control frame to the plurality of ONT transmission apparatuses 4, the bandwidth is not compressed.
In addition, by periodically updating the multicast encryption key by performing the above operation, even if a relatively simple encryption technology is applied, the concealment of the multicast data in the broadcast communication architecture is enhanced. There is an effect that can be.
[0051]
In FIG. 9, the HASH code value is stored in the Data area in association with each new encryption key, but the HASH code value may be stored in one place.
[0052]
In the above description, the ONT transmission device 4 extracts new encryption keys in order from the top of the data area of the multicast encryption key notification. However, the ONT transmission device 4 assigns an order to each ONT transmission device 4 and If the new encryption key to be stored is stored at the above-mentioned position in the Data area, a new multicast encryption key can be obtained at a high speed in the ONT transmission apparatus. It is possible to check for tampering.
Also, if the ID of each ONT transmission device and each new encryption key are stored in association with each other in this order, the acquisition of the new multicast encryption key in the ONT transmission device is speeded up. Also in this case, it is possible to check whether the new multicast encryption key has an error or has been tampered with.
[0053]
In the above description, an example in which a hash function is used has been described. However, the present invention is not limited to the hash function, and any other method may be used as long as the operation outputs a uniquely determined constant for input data.
[0054]
【The invention's effect】
As described above, by updating not only the unicast encryption key but also the multicast encryption key periodically, multicast (concealment of multicast data in communication architecture of type Sex can be strengthened.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a system configuration according to Embodiments 1 to 3 of the present invention.
FIG. 2 is a block diagram showing an OLT transmission apparatus according to the first to third embodiments of the present invention.
FIG. 3 is a block diagram showing an ONT transmission device according to the first to third embodiments of the present invention.
FIG. 4 is a unicast encryption key update sequence diagram according to the first to third embodiments of the present invention.
FIG. 5 is a frame format diagram of a unicast encryption key notification and a unicast encryption key update confirmation according to the first embodiment of the present invention.
FIG. 6 is a multicast encryption key update sequence diagram according to the first to third embodiments of the present invention.
FIG. 7 is a frame format diagram of a multicast encryption key notification according to the first embodiment of the present invention.
FIG. 8 is a frame format diagram of a multicast encryption key notification according to the second embodiment of the present invention.
FIG. 9 is a frame format diagram of multicast encryption key notification according to the third embodiment of the present invention.
[Explanation of symbols]
1 OLT transmission device
2 Optical coupler
3 Optical fiber
4 ONT transmission equipment
5 Encryption control frame extraction means
6 Unicast encryption key holding means
7 Multicast encryption key holding means
8 Multicast encryption key generation means
9 Cryptographic circuit
10 Encryption control frame insertion means
11 Downlink input signal
12 New multicast encryption key notification signal
13. Multicast key signal
14 Down signal
15. Multicast key signal
16 PON downstream signal
17 Encryption key signal for unicast
18 PON upstream signal
19 Unicast encryption key extraction signal
20 Up output signal
21 Unicast encryption key reception completion signal
22 Unicast encryption key search signal
23 Multicast key search signal
101 Encryption control frame insertion means
102 Unicast encryption key generation means
103 Multicast encryption key holding means
104 Cryptographic control frame extracting means
105 Encryption key holding means for unicast
106 encryption / decryption circuit
107 Up input signal
108 Unicast encryption key signal
109 Encryption key signal for unicast
110 PON upstream signal
111 PON downstream signal
112 Encryption key signal for unicast
113 Multicast encryption key signal
114 Decoded signal
115 Multicast key extraction signal
116 Downlink output signal
117 Unicast encryption key update completion notification signal.

Claims (13)

複数の加入者側装置と接続され、
上記加入者側装置にマルチキャストするメッセージを暗号化するためのマルチキャスト用暗号鍵を生成するマルチキャスト用暗号鍵生成手段と、
上記マルチキャスト用暗号鍵を、上記加入者側装置それぞれに固有の暗号鍵であるユニキャスト用暗号鍵により暗号化した暗号化マルチキャスト用暗号鍵を生成し、該暗号化マルチキャスト用暗号鍵を上記加入者側装置に送信する暗号化回路
を有することを特徴とする局側装置。Connected to multiple subscriber units,
A multicast encryption key generating means for generating a multicast encryption key for encrypting a message to be multicast to the subscriber device;
Generating an encrypted multicast encryption key by encrypting the multicast encryption key with a unicast encryption key that is an encryption key unique to each of the subscriber-side devices; A station-side device having an encryption circuit for transmitting to the station-side device. 上記暗号化回路は、
上記マルチキャスト用暗号鍵を上記複数の加入者側装置のユニキャスト用暗号鍵でそれぞれ暗号化して、上記加入者側装置にそれぞれ対応する複数の暗号化マルチキャスト用暗号鍵を生成し、
該複数の暗号化マルチキャスト用暗号鍵を上記複数の加入者側装置に送信することを特徴とする請求項1に記載の局側装置。The above encryption circuit,
Encrypting the multicast encryption key with the unicast encryption keys of the plurality of subscriber units, respectively, and generating a plurality of encrypted multicast encryption keys respectively corresponding to the subscriber units,
The station-side device according to claim 1, wherein the plurality of encrypted multicast encryption keys are transmitted to the plurality of subscriber-side devices. 上記暗号化回路は、
上記複数の暗号化マルチキャスト用暗号鍵を、それぞれの暗号化マルチキャスト用暗号鍵が対応する加入者側装置に固有の識別子と対応付けて上記複数の加入者側装置に送信する
ことを特徴とする請求項2に記載の局側装置。The above encryption circuit,
The plurality of encrypted multicast encryption keys are transmitted to the plurality of subscriber side devices in association with identifiers unique to the subscriber side devices corresponding to the respective encrypted multicast encryption keys. Item 3. An optical line terminal according to item 2. 上記暗号化回路は、
上記複数の暗号化マルチキャスト用暗号鍵と、
上記マルチキャスト用暗号鍵から所定の演算により一意に定まる定数とを
上記複数の加入者側装置に送信する
ことを特徴とする請求項2に記載の局側装置。The above encryption circuit,
The plurality of encrypted multicast encryption keys,
3. The station-side device according to claim 2, wherein a constant uniquely determined by a predetermined operation from the multicast encryption key is transmitted to the plurality of subscriber-side devices. 上記マルチキャスト用暗号鍵生成手段は、所定のタイミングで新たなマルチキャスト用暗号鍵を生成する
ことを特徴とする請求項1から請求項4のいずれか1項に記載の局側装置。The station-side device according to any one of claims 1 to 4, wherein the multicast encryption key generation means generates a new multicast encryption key at a predetermined timing. 局側装置から送信される暗号化されたメッセージを受信する加入者側装置であり、他の加入者側装置とともに上記局側装置に対するマルチキャストドメインを構成する加入者側装置であって、
上記局側装置が当該加入者側装置にメッセージを暗号化してユニキャストする際に使用する当該加入者側装置に固有のユニキャスト用暗号鍵を保持するユニキャスト用暗号鍵保持手段と、
該ユニキャスト用暗号鍵を上記局側装置に送信するユニキャスト用暗号鍵送信手段と
上記局側装置が上記マルチキャストドメイン内にマルチキャストするメッセージを暗号化するために使用するマルチキャスト用暗号鍵を上記ユニキャスト用暗号鍵送信手段が送信した上記ユニキャスト用暗号鍵により暗号化した暗号化マルチキャスト用暗号鍵を上記局側装置から受信し、上記ユニキャスト用暗号鍵で復号する暗号復号回路
とを有することを特徴とする加入者側装置。A subscriber-side device that receives an encrypted message transmitted from the station-side device, the subscriber-side device forming a multicast domain for the station-side device together with other subscriber-side devices,
A unicast encryption key holding means for holding a unicast encryption key unique to the subscriber device used when the station device encrypts and unicasts a message to the subscriber device;
A unicast encryption key transmitting means for transmitting the unicast encryption key to the optical line terminal, and a multicast encryption key used for encrypting a message to be multicast by the optical line terminal in the multicast domain. An encryption / decryption circuit for receiving an encrypted multicast encryption key encrypted with the unicast encryption key transmitted from the cast encryption key transmission unit from the station side device, and decrypting the encrypted multicast encryption key with the unicast encryption key. A subscriber device. 固有の識別子を有し、
上記暗号復号回路は、
上記局側装置が上記マルチキャストドメイン内の加入者側装置のそれぞれのユニキャスト用暗号鍵により上記マルチキャスト用暗号鍵を暗号化してそれぞれの加入者側装置の識別子と対応付けて、上記マルチキャストドメイン内に送信した複数の暗号化マルチキャスト用暗号鍵を受信し、
上記受信した複数の暗号化マルチキャスト用暗号鍵から当該加入者側装置の識別子に対応する暗号化マルチキャスト用暗号鍵を抽出して自装置のユニキャスト用暗号鍵で復号する
ことを特徴とする請求項7に記載の加入者側装置。Has a unique identifier,
The encryption / decryption circuit,
The station-side device encrypts the multicast encryption key with the unicast encryption key of each of the subscriber-side devices in the multicast domain and associates the encrypted encryption key with the identifier of each of the subscriber-side devices. Receiving the transmitted plurality of encrypted multicast encryption keys,
An encryption multicast encryption key corresponding to the identifier of the subscriber side device is extracted from the received plurality of encrypted multicast encryption keys, and decrypted by the unicast encryption key of the own device. 8. The subscriber-side device according to 7. 上記暗号復号回路は、
上記局側装置が上記マルチキャストドメイン内の加入者側装置のそれぞれのユニキャスト用暗号鍵により上記マルチキャスト用暗号鍵を暗号化し生成した複数の暗号化マルチキャスト用暗号鍵と、
上記マルチキャスト用暗号鍵から所定の演算により一意に定まる第1の定数とを上記局側装置から受信し、
上記複数の暗号化マルチキャスト用暗号鍵を当該加入者側装置のユニキャスト用暗号鍵で復号して復号マルチキャスト用暗号鍵を生成し、
該生成した復号マルチキャスト用暗号鍵から上記の所定の演算により第2の定数を生成し、
上記第1の定数と第2の定数とが一致した場合、上記復号マルチキャスト用暗号鍵を上記マルチキャスト用暗号鍵であると判定する
ことを特徴とする請求項7に記載の加入者側装置。The encryption / decryption circuit,
A plurality of encrypted multicast encryption keys generated by the station device by encrypting the multicast encryption key with the respective unicast encryption keys of the subscriber devices in the multicast domain;
Receiving a first constant uniquely determined by a predetermined operation from the multicast encryption key from the station side device;
Decrypting the plurality of encrypted multicast encryption keys with the unicast encryption key of the subscriber side device to generate a decrypted multicast encryption key,
A second constant is generated from the generated decryption multicast encryption key by the above predetermined operation,
8. The subscriber-side apparatus according to claim 7, wherein when the first and second constants match, the decrypted multicast encryption key is determined to be the multicast encryption key. 上記ユニキャスト用暗号鍵保持手段が保持するユニキャスト用暗号鍵を、所定のタイミングで更新することを特徴とする請求項7に記載の加入者側装置。8. The subscriber-side apparatus according to claim 7, wherein the unicast encryption key held by the unicast encryption key holding means is updated at a predetermined timing. 請求項1記載の局側装置と請求項7記載の加入者側装置とからなる通信システム。A communication system comprising the station-side device according to claim 1 and the subscriber-side device according to claim 7. 局側装置と、該局側装置と接続された複数の加入者側装置とを含む通信システムにおける局側装置から加入者側装置への暗号鍵通知方法であって、下記(1)〜(4)のステップを有することを特徴とする暗号鍵通知方法;
(1)加入者側装置が、当該加入者側装置に対して上記局側装置がメッセージをユニキャストする際に使用する当該加入者側装置に固有の暗号鍵であるユニキャスト用暗号鍵を上記局側装置に送信するユニキャスト用暗号鍵送信ステップ;
(2)上記局側装置が、上記複数の加入者側装置に対してメッセージをマルチキャストする際に使用する暗号鍵であるマルチキャスト用暗号鍵を生成するマルチキャスト用暗号鍵生成ステップ;
(3)上記局側装置が、上記生成したマルチキャスト用暗号鍵を上記加入者側装置から送信されたユニキャスト用暗号鍵で暗号化して暗号化マルチキャスト用暗号鍵を生成して上記加入者側装置に送信する暗号化マルチキャスト用暗号鍵生成送信ステップ;
(4)加入者側装置が、上記送信された暗号化マルチキャスト用暗号鍵を当該加入者側装置のユニキャスト用暗号鍵で復号するマルチキャスト用暗号鍵復号ステップ。A method of notifying an encryption key from a station apparatus to a subscriber apparatus in a communication system including a station apparatus and a plurality of subscriber apparatuses connected to the station apparatus, comprising: A) a method for notifying an encryption key, comprising the steps of:
(1) The subscriber-side device transmits a unicast encryption key, which is an encryption key unique to the subscriber-side device used when the station-side device unicasts a message to the subscriber-side device, as described above. Transmitting a unicast encryption key to be transmitted to the optical line terminal;
(2) a multicast encryption key generating step in which the station apparatus generates a multicast encryption key that is an encryption key used when multicasting a message to the plurality of subscriber apparatuses;
(3) The station-side device encrypts the generated multicast encryption key with the unicast encryption key transmitted from the subscriber device to generate an encrypted multicast encryption key, and Generating and transmitting an encryption key for encrypted multicast to be transmitted to
(4) A multicast encryption key decryption step in which the subscriber device decrypts the transmitted encrypted multicast encryption key with the unicast encryption key of the subscriber device. 上記暗号化マルチキャスト用暗号鍵生成送信ステップにおいて、
上記局側装置は、上記暗号化マルチキャスト用暗号鍵を各加入者側装置に固有の識別子と対応付けて送信し、
上記マルチキャスト用暗号鍵復号ステップにおいて、
上記加入者側装置は、当該加入者側装置の識別子と対応付けられた暗号化マルチキャスト用暗号鍵を当該加入者側装置のユニキャスト用暗号鍵で復号する
ことを特徴とする請求項12に記載の暗号通知方法。In the encryption multicast key generation and transmission step,
The station-side device transmits the encrypted multicast encryption key in association with an identifier unique to each subscriber-side device,
In the multicast encryption key decryption step,
13. The subscriber unit according to claim 12, wherein the subscriber unit decrypts the encrypted multicast encryption key associated with the identifier of the subscriber unit using the unicast encryption key of the subscriber unit. Encryption notification method. 上記暗号化マルチキャスト用暗号鍵生成送信ステップにおいて、
上記局側装置は、上記暗号化マルチキャスト用暗号鍵と、上記マルチキャスト暗号鍵から所定の演算により一意に定まる第1の定数とを送信し、
上記マルチキャスト用暗号鍵復号ステップにおいて、
上記加入者側装置は、上記暗号化マルチキャスト用暗号鍵を当該加入者側装置のユニキャスト用暗号鍵で復号して復号ユニキャスト用暗号鍵を生成し、
該生成した復号マルチキャスト用暗号鍵から上記所定の演算により第2の定数を生成し、
上記第1の定数と第2の定数とが一致した場合、上記復号マルチキャスト用暗号鍵を上記マルチキャスト用暗号鍵であると判定する
ことを特徴とする請求項12に記載の暗号通知方法。In the encryption multicast key generation and transmission step,
The station-side device transmits the encrypted multicast encryption key and a first constant uniquely determined by a predetermined operation from the multicast encryption key,
In the multicast encryption key decryption step,
The subscriber unit decrypts the encrypted multicast encryption key with the unicast encryption key of the subscriber unit to generate a decrypted unicast encryption key,
A second constant is generated from the generated decryption multicast encryption key by the above predetermined operation,
13. The cipher notification method according to claim 12, wherein when the first constant and the second constant match, the decrypted multicast encryption key is determined to be the multicast encryption key.
JP2003049086A 2003-02-26 2003-02-26 Office apparatus, subscriber apparatus, communication system, and encryption key notification method Pending JP2004260556A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003049086A JP2004260556A (en) 2003-02-26 2003-02-26 Office apparatus, subscriber apparatus, communication system, and encryption key notification method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003049086A JP2004260556A (en) 2003-02-26 2003-02-26 Office apparatus, subscriber apparatus, communication system, and encryption key notification method

Publications (1)

Publication Number Publication Date
JP2004260556A true JP2004260556A (en) 2004-09-16

Family

ID=33114880

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003049086A Pending JP2004260556A (en) 2003-02-26 2003-02-26 Office apparatus, subscriber apparatus, communication system, and encryption key notification method

Country Status (1)

Country Link
JP (1) JP2004260556A (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007074168A (en) * 2005-09-05 2007-03-22 Mitsubishi Electric Corp Station side device, subscriber side device, communication system, communication method, and program for causing computer to execute the method
WO2007045130A1 (en) * 2005-10-17 2007-04-26 Zte Corporation An encryption control method of multicast traffics in ethernet passive optical networks
JP2009510895A (en) * 2005-12-08 2009-03-12 エレクトロニクス アンド テレコミュニケーションズ リサーチ インスチチュート Method and apparatus for controlling security channel in Ethernet Pong
JP2009518932A (en) * 2005-12-07 2009-05-07 エレクトロニクス アンド テレコミュニケーションズ リサーチ インスチチュート Security key management method and security channel control device in EPON
US7912221B2 (en) 2006-06-12 2011-03-22 Canon Kabushiki Kaisha Communication apparatus and method thereof
JP2011166709A (en) * 2010-02-15 2011-08-25 Nippon Telegr & Teleph Corp <Ntt> Distribution system, distribution/reception method, distribution apparatus, reception apparatus, distribution program and reception program
US8363240B2 (en) 2006-06-13 2013-01-29 Canon Kabushiki Kaisha Image forming apparatus and method for responding to access request
RU2497289C2 (en) * 2008-12-29 2013-10-27 РОКСТАР КОНСОРЦИУМ ЮЭс ЛП Method and system for concealing data encryption in communication channel

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007074168A (en) * 2005-09-05 2007-03-22 Mitsubishi Electric Corp Station side device, subscriber side device, communication system, communication method, and program for causing computer to execute the method
WO2007045130A1 (en) * 2005-10-17 2007-04-26 Zte Corporation An encryption control method of multicast traffics in ethernet passive optical networks
JP2009518932A (en) * 2005-12-07 2009-05-07 エレクトロニクス アンド テレコミュニケーションズ リサーチ インスチチュート Security key management method and security channel control device in EPON
JP2009510895A (en) * 2005-12-08 2009-03-12 エレクトロニクス アンド テレコミュニケーションズ リサーチ インスチチュート Method and apparatus for controlling security channel in Ethernet Pong
US7912221B2 (en) 2006-06-12 2011-03-22 Canon Kabushiki Kaisha Communication apparatus and method thereof
US8363240B2 (en) 2006-06-13 2013-01-29 Canon Kabushiki Kaisha Image forming apparatus and method for responding to access request
RU2497289C2 (en) * 2008-12-29 2013-10-27 РОКСТАР КОНСОРЦИУМ ЮЭс ЛП Method and system for concealing data encryption in communication channel
JP2011166709A (en) * 2010-02-15 2011-08-25 Nippon Telegr & Teleph Corp <Ntt> Distribution system, distribution/reception method, distribution apparatus, reception apparatus, distribution program and reception program

Similar Documents

Publication Publication Date Title
US8335316B2 (en) Method and apparatus for data privacy in passive optical networks
US7305551B2 (en) Method of transmitting security data in an ethernet passive optical network system
US7734052B2 (en) Method and system for secure processing of authentication key material in an ad hoc wireless network
KR100594153B1 (en) Formation of Logical Link and Its Secure Communication Method in Network of Point-to-Manage Topology
US7349537B2 (en) Method for data encryption in an ethernet passive optical network
US8397064B2 (en) Implementing IEEE 802.1AE and 802.1 af security in EPON (1GEPON and 10GEPON) networks
CN101150391A (en) A method, system and device for preventing counterfeiting of optical network units in a passive optical network system
US7450719B2 (en) Gigabit Ethernet-based passive optical network and data encryption method
JP4685659B2 (en) Station side device, subscriber side device and PON system
EP1830517A1 (en) A method, communication system, central and peripheral communication unit for packet oriented transfer of information
JP2004260556A (en) Office apparatus, subscriber apparatus, communication system, and encryption key notification method
KR100594023B1 (en) Encryption Method in Gigabit Ethernet Passive Optical Subscriber Network
CN102075320B (en) Secure updating method, system and device for multicast secrete key
JPWO2001050686A1 (en) Information transceiver
CN101547086A (en) Method, system and device for broadband access network multicast control
KR101575050B1 (en) Different Units Same Security
CN102055583B (en) Method, system and equipment for safely distributing multicast key
JP2003060633A (en) Passive optical network system, passive optical network system encryption method, network system, and network system
JP2003198532A (en) Master station, slave station, encryption system, encryption method, encryption program, decryption method, and decryption program
JP2005354504A (en) Optical subscriber line terminal station apparatus, optical subscriber line terminal apparatus and communication method therefor
KR100798921B1 (en) Security channel control method in MAC security service network and terminal apparatus implementing the same
Kim et al. The implementation of the link security module in an EPON access network
JP6040631B2 (en) Encryption apparatus and encryption system
JP2013072965A (en) Common key encryption communication system
JP2006245778A (en) COMMUNICATION DEVICE, COMMUNICATION METHOD, AND PROGRAM

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20040709

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20051222

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090602

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20091104