認証暗号化を通じて保安伝送を可能にするGPONシステム及びその認証暗号化方法
【課題】本発明はギガビット受動型光ネットワーク(GPON)のOLTにおいて下り伝送の際、それぞれのONUに対する認証暗号化を通じて保安伝送が可能になるようにシステム及びその認証暗号化方法に関するものである。
【解決手段】本発明による認証暗号化を通じて保安伝送を可能にするGPONシステムは外部のサービス提供者からデータの伝達を受けGTC下りフレームを生成して下り伝送するOLTと、上記OLTから下り伝送されたGTC下りフレームを受信してこれを処理する多数のONUを含み、上記OLTは生成されたGTC下りフレームに対する上記ONU別認証のための認証生成モジュールを具備して上記生成されたGTC下りフレームに対する認証暗号化を遂行し、上記ONUは認証チェックモジュールを具備して上記認証暗号化されたGTC下りフレームに対する認証成功の可否によって上記GTC下りデータの受信可否を決定することを特徴とする。
【解決手段】本発明による認証暗号化を通じて保安伝送を可能にするGPONシステムは外部のサービス提供者からデータの伝達を受けGTC下りフレームを生成して下り伝送するOLTと、上記OLTから下り伝送されたGTC下りフレームを受信してこれを処理する多数のONUを含み、上記OLTは生成されたGTC下りフレームに対する上記ONU別認証のための認証生成モジュールを具備して上記生成されたGTC下りフレームに対する認証暗号化を遂行し、上記ONUは認証チェックモジュールを具備して上記認証暗号化されたGTC下りフレームに対する認証成功の可否によって上記GTC下りデータの受信可否を決定することを特徴とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はギガビット受動型光ネットワーク(Gigabit-capablePassive Optical Networks: GPON)に関するもので特に、GPONにおけるOLTの下り伝送においてそれぞれのONUに対する認証暗号化を通じて保安伝送を可能にするシステム及びその認証暗号化方法に関するものである。
【背景技術】
【0002】
近年、ITU(International Telecommunication Union)-T G.984グループはPON(Passive Optical Network) 基盤の加入者アクセス網を通してATM(Asynchronous Transfer Mode)セル及びイーサネット(Ethernet)(登録商標)フレーム、TDM(Time-Division Multiplexing)パケットなどを效率的に伝送し、最大2.5Gbpsの帯域を提供することが可能なGPON規格を標準化した。GPONはSONET(Synchronous Optical Network)のように125us週期(8KHz)のフレーム伝送方式を利用してTDMサービス及びE1/T1サービス、POTS(Plain Old Telephone Service)を提供することができ、2.5Gbpsの広帯域に数百チャンネルの高品質放送サービス及びIP(Internet Protocol) データサービスが提供できる。このようなGPONは米国やヨーロッパで予め使用中のAPON(ATM PON)の代替用として利用されている。
【0003】
GPONシステムは一般的に一つのOLT(Optical Line Terminal)から出力されるTDM方式の光信号が光分配器を通してそれぞれのONUに提供される構造を有するが、こうした構造では下り方向にブロードキャスト特性を有するので、一つのOLTから伝送された下りフレーム等は全ONUに伝達される。従って、正常な場合にはそれぞれのONUは自らに伝送されるフレームのみをフィルターリングし受信するように具現されているが、仮に悪意のある加入者がフレームフィルターリングする部分を簡単に操作するとその人は他のONUに伝送される重要な情報を見ることが可能にする。
【0004】
これにより、現在GPON標準ではこのようにGPONシステム内において伝送される情報を他のONU等が見れないようにするため、伝送されるサービスデータのペイロードに対しては128bits CTR(Counter)-AES(Advanced Encryption Standard)を利用した暗号化を遂行するように規格を定義している。しかし、ペイロードとともに伝送されるフレームヘッダ中にも重要な情報である網運用管理(PLOAM : Physical Layer OAM)情報及び上がり帯域割り当て(BA : Bandwidth Allocation)情報などが含まれるが、このような情報についてはいかなる保安機能も提供できない。従って、かかるフレームヘッダに含まれた情報等の場合は相変らず認証されなかったONU等の簡単な操作によって露出されやすく、これらの情報を悪用して他のONU等のサービスを妨げる恐れのある問題点が生じる。
【0005】
図1は、従来技術によってペイロードに対する暗号化機能を提供するためのGPONシステムに対する一実施例構成図である。
【0006】
図1を参照すれば、従来技術によってペイロードに対する暗号化機能を提供するためのGPONシステムは、外部のサービス提供者からデータが伝達され一つの光信号で構成した後これを伝送し連結された多数のONU12からの上がりデータを受信してこれを外部に伝送するOLT11とユーザー側装置にOLT11を通して提供される光信号を受信して、これを光電変換して使用者に提供するONU12から成る。
【0007】
それぞれの構成を上下りデータを作成するための階層構造の側面でさらに詳しく説明すると、OLT11は帯域に対する割り当て情報であるDBA(Dynamic Bandwidth Allocation)信号、PLOAM情報を伝送するためのPLOAM信号などを受信してフレームヘッダを生成するヘッダ生成部101、ATM SDU(Service Data Unit)とGEM SDU(Service Data Unit)を受信してそれぞれ処理するペイロード生成部102、ペイロード生成部102でATMとGEMに分けられ処理されたペイロード信号を受信してこれをそれぞれ暗号化するペイロード暗号化部103、ヘッダ生成部101で生成されたヘッダとペイロード暗号化部103で暗号化されたペイロードを一つの下り信号に多重化する多重化部104及び多重化された下り信号を光信号に変換して伝送する電光変換部105を含む。
【0008】
ここで、それぞれの構成部をさらに詳しく説明すると、上記ヘッダ生成部101はそれぞれのONU12の上がり帯域情報を示すDBA情報、網運用管理情報を示すPLOAM信号、同期パターン情報、GTC下りフレームカウンター、FEC設定情報、フレームペイロード長さ情報を含むフレームヘッダを生成する。
【0009】
そしてペイロード生成部102は、外部のサービス提供者からATM SDU(Service Data Unit)を受信して処理するATMパーティション(Partition)モジュールと外部のサービス提供者からGEM SDU(Service Data Unit)を受信して処理するGEMパーティション(Partition)モジュールを含み、ATMパーティションモジュールでは5バイトのATMヘッダと48バイトのペイロードで構成された53バイト長さのATMセルを処理し、GEMパーティションモジュールでは5バイトのGEMヘッダと4095バイト範囲内で可変長さのペイロードで構成されたGEMフレームが処理される。
【0010】
そして、ペイロード暗号化部103は128ビットCTR-AESブロック暗号化を遂行するが、30ビットのGTC下りフレームカウンターと16ビットのブロックカウンターを組み合わせて46ビットの暗号化カウンター(Crypto-Counter)を作り、この暗号化カウンターを3つ連結して138ビットのランダム暗号化カウンター値を生成した後上位10ビットを削除し、下位128ビットのみを暗号化ブロックカウンター値として使用し暗号化を遂行する。ここで、30ビットのGTC下りフレームカウンターは下りにフレームを伝送する度に1つずつ増加され、16ビットのブロックカウンターは4バイト単位にカウンターを増加させ一つのGTC下りフレームが伝送されたら“0”と初期化される。そして、ペイロード暗号化部103で使用される128ビットの暗号化キーはそれぞれのONU12から生成され、OLT11の要求によって受信される。
【0011】
このように、ペイロード暗号化部103でそれぞれのONU12から伝達された128ビットのONUキーを利用して128ビットの暗号化ブロックカウンター値が暗号化されれば、この暗号化値は128ビットペイロードブロックと排他的論理演算(Exclusive-OR)を遂行し、ペイロードに対する暗号化を遂行する。そして、暗号化されたペイロードは多重化部104に伝送され、多重化部104はヘッダ生成部101から伝達されたフレームヘッダと暗号化されたペイロードを多重化してGTC下りフレームを生成する。
【0012】
さらに、生成されたGTC下りフレームは電光変換部105を通して光信号に変換されそれぞれのONU12に伝達される。
【0013】
この際、GTC下りフレームを生成する過程においてヘッダ生成部101で生成されたフレームヘッダ120はイン-バンド(In-band)方式で処理され暗号化されずGTC下りフレーム100中に含まれる。従って、GTC下りフレームヘッダ120は暗号化されずGTC下りフレームペイロード130中に含まれたペイロード情報のみが暗号化されそれぞれのONU12等に伝送される。
【0014】
一方、ONU(optical network unit)12は、光信号で伝達されるGTC下りフレームを受信して光電変換する光電変換部106、電気信号に変換されたGTC下りフレームをヘッダとペイロードに分離して伝達する逆多重化部107、逆多重化部107からフレームヘッダを受け取ってこれを処理するヘッダ処理部110、逆多重化107からペイロードを受け取ってこれを復号化するペイロード復号化部108及び復号化されたペイロードを処理するペイロード処理部109を含む。
【0015】
ここで、ペイロード復号化部108はOLT11で使用されるペイロード暗号化部103と対応される機能を遂行し、ペイロード暗号化部103において暗号化されたATMセル及びGEMフレームをそれぞれ復号化する。
【0016】
そして、ペイロード処理部109はATMパーティションモジュールとGEMパーティションモジュールを含み、ATMパーティションモジュールでは5バイトのATMヘッダと48バイトのペイロードで構成された53バイト長さのATMセルを処理し、GEMパーティションモジュールでは5バイトのGEMヘッダと4095バイト範囲内で可変長さのペイロードで構成されたGEMフレームが処理される。
【0017】
図2は従来技術によってペイロードに対する暗号化機能を提供するGPON システムでハッキング試しに対する概念例示図である。
【0018】
図2を参照すると、ペイロードに対する暗号化機能を提供するGPONシステムは下りに伝送されるGTC下りフレームに対するハッキング試しを大きく4種類の方式に分けることができる。
【0019】
第一、ハッカー204はOLT200とOLT200から伝達された光信号をそれぞれのONU(207、210、211)に光分配する光スプリッタ(spliter)209の間に存在する共通リンクS200に侵入して全ONU(207、210、211)に伝送されるGTC下りフレーム201に対してハッキングができる。ここでハッキング方法はフレーム変調やインターセプション(interception)またはモニタリングを通すもので例示する。この場合ハッカー204によってハッキングが行われる場合にもGTC下りフレームのペイロード201は予め暗号化が成された状態なので影響を受けないが、暗号化されなかったPLOAM情報202及びDBA情報203などの重要な情報はハッキングによって流出される恐れがある。かかる一番目の暗号化攻撃はリンクS200を切断した後侵入せざるを得ないため実際の環境において一般人が攻撃し難いが、専門家等によっていつでも暗号化攻撃を受ける可能性がある。
【0020】
第二、ハッカー205はスプリッタ209とONU207との間に連結されたリンクS201に接続して当該のONU207に伝送されるGTC下りフレーム201に対してフレーム変調やインターセプションまたはモニタリングを通した重要な情報(202、203)獲得などの暗号化攻撃を遂行することができる。この暗号化攻撃又はリンクS201を切断した後侵入せざるをえないため実際の環境において一般人が攻撃し難いが、専門家等によっていつでも暗号化攻撃を受ける可能性がある。
【0021】
第三、ハッカー206はにせのONU207で簡単なプログラムの操作で他のONU210に伝送される重要な情報等をフィルターリングせずそのまま受信し、これによる暗号化攻撃を遂行することが可能である。このような暗号化攻撃はにせのONU207が真のONU210のように行動したり、あるいは本当にONU210の上がり方向への帯域伝送を妨げる。
【0022】
第四、ハッカー207はOLT200とONU211に存在するスプリッタ209の残るポートに接続したり、あるいはスプリッタ209とONU211との間に連結されたリンクにスプリッタ208を追加してGTC下りフレームをそのまま受信して、これによる暗号化攻撃を遂行することが可能である(S202、S203)。この暗号化攻撃はハッカー207が真のONU211のように行動したり、あるいは真のONU211の上がり方向への帯域伝送を妨げる。なお、ONU211によって上がり方向に伝送される暗号化キーなどをインターセプションすることができるので、暗号化されたデータ情報がそのまま露出され得るため致命的な損失を発生させ得るようになる。
【0023】
従って、GPONシステムにおいて伝送されるGTC下りフレームに対する認証及び暗号化機能を要求し、認証されないONUに対してはこのような重要な情報が露出されないようにする方法が必要となる。
【発明の開示】
【発明が解決しようとする課題】
【0024】
本発明は、上記のような問題点を解決するために提案されたものであって、GPONシステムにおいて下りに伝送されるGTCフレームをハッキングすることにより暗号化されない情報が流出されることを防止するため、認証アルゴリズムを使用して認証されたONUのみが下りに伝送されるGTCフレーム情報が受信できるようにする認証暗号化を通じて保安伝送を可能にするGPONシステムとその認証暗号化方法を提供するのにその目的がある。
【課題を解決するための手段】
【0025】
上記目的を達成するための本発明による認証暗号化を通じて保安伝送を可能にするGPONシステムは、外部のサービス提供者からデータの伝達を受けGTC下りフレームを生成して下り伝送するOLTと、上記OLTから下り伝送されたGTC下りフレームを受信してこれを処理する多数のONUを含み、上記OLTは生成されたGTC下りフレームに対する上記ONU別認証のための認証生成モジュールを具備して上記生成されたGTC下りフレームに対する認証暗号化を遂行し、上記ONUは認証チェックモジュールを具備して上記認証暗号化されたGTC下りフレームに対する認証成功可否によって上記GTC下りデータの受信可否を決定することを特徴とする。
【0026】
また、上記目的を達成するための本発明による光端装置(OLT)は、フレームヘッダを生成するヘッダ生成部;ATM SDU(Service Data Unit)とGEM SDU(Service Data Unit)を受信してそれぞれ処理するペイロード生成部;上記ペイロード生成部においてATMとGEMに分けられて処理されたペイロード信号を受信してこれをそれぞれ暗号化するペイロード暗号化部;上記ヘッダ生成部で生成されたヘッダと上記ペイロード暗号化部で暗号化されたペイロードを一つのGTC下りフレームに多重化する多重化部;上記多重化部を通して多重化されたGTC下りフレームに認証暗号化のための認証パラメータを生成して追加する認証生成部; 及び上記認証パラメータが追加されたGTC下りフレームを光信号に変換して伝送する電光変換部を含むことを特徴とする。
【0027】
また、上記目的を達成するための本発明による光加入者装置(ONU)は、OLTから光信号で伝達されるICV'が含まれたGTC下りフレームを受信して光電変換する光電変換部;上記光電変換されたICV'が含まれたGTC下りフレームに対する認証可否をチェックする認証チェック部;上記認証が確認されたGTC下りフレームをヘッダとペイロードに分離して伝達する逆多重化部; 上記逆多重化部から分離されたヘッダを受け取ってこれを処理するヘッダ処理部;上記逆多重化部から分離されたペイロードを受け取ってこれを復号化するペイロード復号化部;及び上記復号化されたペイロードを処理するペイロード処理部を含むことを特徴とする。
【0028】
また、上記目的を達成するための本発明による認証暗号化を通じて保安伝送を可能にするGPONシステムにおいて認証暗号化方法は、上記GPONシステムのOLTにおいてGTC下りフレームを生成する第1段階;上記生成されたGTC下りフレームを認証モードを通して伝送するか否かを確認する第2段階;上記第2段階の確認結果認証モードであれば、上記OLTに認証のための認証キーが存在するのか検査する第3段階;検査結果、認証キーが存在するならば上記GTC下りフレームを認証暗号化して伝送する第4段階;及び上記第3段階において確認結果認証モードではない場合、あるいは上記第3段階の検査結果認証キーが存在しない場合のいずれか一つの場合に、上記GTC下りフレームを伝送する第5段階を含むことを特徴とする。
【0029】
また、上記目的を達成するための本発明による認証暗号化を通じて保安の伝送を可能にするGPONシステムにおける認証復号化方法は、上記GPONシステムのONUがGTC下りフレームを受信する第1段階;上記受信されたGTC下りフレームが認証モードを通して処理されるか否かを確認し、認証モードであれば受信されたGTC下りフレームを貯蔵する第2段階;上記ONU内に貯蔵された上記GTC下りフレームに対する認証のための認証キーが存在する否かを検査する第3段階;上記検査結果上記認証キーが存在するならば上記貯蔵されたGTC下りフレームに対する認証をチェックし、認証が成功されたら上記貯蔵されたGTC下りフレームを逆多重化部に伝送して上記GTC下りフレームを処理する第4段階;及び上記第3段階において認証キーがない場合ないし上記第4段において認証に失敗した場合のいずれか一つの場合、上記貯蔵されたGTC下りフレームを削除する第5段階を含むことを特徴とする。
【発明の効果】
【0030】
本発明によれば、OLTによって認証登録されたONUのみが正常にGTC下りフレーム情報が受信できるようにすることにより、GPONシステムで発生される多様なハッカーからの攻撃が遮られる利点がある。
【発明を実施するための最良の形態】
【0031】
以下、本発明の好ましき実施例の詳細な説明を添付の図面を参照して説明する。図面の中の参照番号及び同一な構成要素に対してはたとえ他の図面上に表示されてもなるべく同一な参照番号及び符号で示していることに注意しなければならない。下記で本発明を説明することにおいて、かかる公知機能または構成に対する具体的な説明が本発明の旨を不要に曇らしかねないと判断される場合にはその詳細な説明を省略することにする。
【0032】
図3は本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムに対する一実施例構成図である。
【0033】
図3を参照すると、本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムは、図1に示した従来のGPONシステムにおける認証暗号化のために追加的に光端装置(OLT)31と光加入者装置(ONU)32にそれぞれ認証生成部(GMAC)305と認証チェック部(GMAC)308を追加する構成である。
【0034】
従って、それぞれの構成を上下りデータを作成するための階層構造の側面でより詳しく説明すると、OLT31は帯域に対する割り当て情報であるDBA(Dynamic Bandwidth Allocation) 信号、PLOAM情報を伝送するためのPLOAM信号などを受信してフレームヘッダを生成するヘッダ生成部301、ATM SDU(Service Data Unit)とGEM SDU(Service Data Unit)を受信してそれぞれ処理するペイロード生成部302、ペイロード生成部302でATMとGEMに分けられて処理されたペイロード信号を受信しこれをそれぞれ暗号化するペイロード暗号化部303、ヘッダ生成部301で生成されたヘッダとペイロード暗号化部303で暗号化されたペイロードを一つのGTC下りフレーム100に多重化する多重化部304、多重化されたGTC下りフレーム100に認証暗号化のための認証パラメータを生成して追加する認証生成部305及び認証パラメータが追加されたGTC下りフレームを光信号に変換して伝送する電光変換部306を含む。
【0035】
ここで、それぞれの構成部をさらに詳しく説明すると、上記ヘッダ生成部301はそれぞれのONU12の上がり帯域情報を示すDBA情報、網運用管理情報を示すPLOAM信号、同期パターン情報、GTC下りフレームカウンター、FEC設定情報、フレームペイロード長さ情報を含むフレームヘッダを生成する。
【0036】
そしてペイロード生成部302は、外部のサービス提供者からATM SDU(Service Data Unit)を受信して処理するATM パーティションモジュールと外部のサービス提供者からGEM SDU(Service Data Unit)を受信して処理するGEMパーティションモジュールを含み、ATMパーティションモジュールでは5バイトのATMヘッダと48バイトのペイロードで構成された53バイト長さのATMセルを処理し、GEMパーティションモジュールでは5バイトのGEMヘッダと4095バイト範囲内で可変長さのペイロードで構成されたGEMフレームが処理される。
【0037】
そして、ペイロード暗号化部303は128ビットCTR-AESブロック暗号化を遂行するのに、30ビットのGTC下りフレームカウンターと16ビットのブロックカウンターを組み合わせて46ビットの暗号化カウンター(Crypto-Counter)を作り、この暗号化カウンターを3つ連結して138ビットのランダム暗号化カウンター値を生成した後上位10ビットを削除し、下位128ビットのみを暗号化ブロックカウンター値で使用して暗号化を遂行する。ここで、30ビットのGTC下りフレームカウンターは下りにフレームを伝送する度に1ずつ増加され、16ビットのブロックカウンターは4バイト単位にカウンターを増加させ一つのGTC下りフレームが伝送されると“0”に初期化される。そして、ペイロード暗号化部303で使用される128ビットの暗号化キーはそれぞれのONU32から生成され、OLT31の要求によって受信される。
【0038】
このように、ペイロード暗号化部303においてそれぞれのONU32から伝達された128ビットのONUキーを利用して128ビットの暗号化ブロックカウンター値が暗号化されると、この暗号化値は128ビットペイロードブロックと排他的論理演算(Exclusive-OR)を遂行し、ペイロードに対する暗号化を遂行する。そして暗号化されたペイロードは多重化部304に伝送され、多重化部304はヘッダ生成部301から伝達されたフレームヘッダと暗号化されたペイロードを多重化してGTC下りフレームを生成する。
【0039】
そして認証生成部306は、多重化部305において多重化されたGTC下りフレームに当該GTC下りフレームに対する認証パラメータ値を計算し、上記計算された認証パラメータ値を当該GTC下りフレーム端に追加する。
【0040】
さらに、認証パラメータ値が追加されたGTC下りフレームは電光変換部306を通して光信号に変換されそれぞれのONU32に伝達される。
【0041】
この際、GTC下りフレームを生成する過程においてヘッダ生成部301で生成されたフレームヘッダ120はイン-バンド(In-band)方式で処理され暗号化されずGTC下りフレーム100中に含まれる。従って、GTC下りフレームヘッダ120は暗号化されずGTC下りフレームペイロード130中に含まれたペイロード情報のみが暗号化されそれぞれのONU12に伝送される。
【0042】
一方、ONU(optical network unit)32は、光信号で伝達されるGTC下りフレームを受信して光電変換する光電変換部307、光電変換されたGTC下りフレームに対する認証可否をチェックする認証チェック部308、認証が確認されたGTC下りフレームをヘッダとペイロードに分離して伝達する逆多重化部309、逆多重化部309からフレームヘッダを受け取ってこれを処理するヘッダ処理部310、逆多重化部309からペイロードを受け取ってこれを復号化するペイロード復号化部311及び復号化されたペイロードを処理するペイロード処理部312を含む。
【0043】
ここで、ペイロード復号化部311はOLT31で使用されるペイロード暗号化部303と対応される機能を遂行し、ペイロード暗号化部303において暗号化されたATMセル及びGEMフレームをそれぞれ復号化する。
【0044】
そして、ペイロード処理部312はATMパーティションモジュールとGEMパーティションモジュールを含み、ATMパーティションモジュールでは5バイトのATMヘッダと48バイトのペイロードで構成された53バイト長さのATMセルを処理し、GEMパーティションモジュールでは5バイトのGEMヘッダと4095バイト範囲内で可変長さのペイロードで構成されたGEMフレームが処理される。
【0045】
従って、以上の構成による本発明は、GTC下りフレームを通してフレームペイロードに含まれた情報を暗号化するだけでなく、当該GTC下りフレームに対する認証機能を提供して全ONU32に伝送することで当該ONU32ではない場合にはGTC下りフレームを受信して処理できないようにする。
【0046】
ここで、本発明の特徴である認証生成部305と認証チェック部308に対してより詳しく説明すると、まず認証生成部305は多重化部304で多重化されたGTC下りフレームに対する認証パラメータ値を計算し、上記計算された認証パラメータ値を当該GTC下りフレーム端に追加して下り伝送する。
【0047】
以上において、認証パラメータ値を計算する過程は多くの段階のGF(Galois Field)2128多重化器(Multiplier)を使用して成り、GF多重化器は128ビットのハッシュキー値を使用する。このような128ビットハッシュキー値はそれぞれのONU32から提供を受けたONUキー値を利用してOLT31で生成された認証キー値を利用してペイロード暗号化部303を通して生成される。これに対する詳細な説明は図5aないし図5bに基づいて詳細に説明することにする。
【0048】
一方、本発明による認証暗号化のためのGTC下りフレームを受信したONU32での動作を説明すると、ONU32はGTC下りフレームに対する認証機能を遂行する前にOLT31から認証キー値を受信して貯蔵する。この際、認証キー値はOLT31で生成されたハッシュキー値が使用される。そして、ONU32は認証暗号化のためのGTC下りフレームが受信されると、認証チェック部308を通して当該GTC下りフレームを当該ONU32において受信できるか否かに対する認証を遂行する。すなわち、ONU32に貯蔵された認証キー値を利用して認証パラメータ値を計算し、上記計算された認証パラメータ値と認証暗号化されたGTC下りフレーム端に添付された認証パラメータ値を比較することにより認証を遂行する。その認証は各々の認証パラメータ値を比べた結果、二つのパラメータ値が同じである場合は認証成功であるので受信されたGTC下りフレームを逆多重化部309に伝送し、同じでない場合は認証失敗であるので受信されたGTC下りフレームを捨てる。
【0049】
図4は本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムでの各階層別フレームの構造に対する一実施例の例示図である。
【0050】
図4を参照すると、本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムでの各階層別フレームの構造は大きくヘッダ生成部/ペイロード生成部(301、302)、暗号化部303、多重化部304及び認証生成部30にで分けられる。
【0051】
各々の領域に対して説明すると、まずヘッダ生成部/ペイロード生成部(301、302)ではGTC下りフレームのヘッダ情報400とPLOAMメッセージ401、上がり帯域割り当て情報402及び各ATMセル403とGEMフレーム404がそれぞれ独立的に入力される。
【0052】
そして、暗号化部303ではヘッダ生成部/ペイロード生成部(301、302)と同じであるが、入力されたATMセル403とGEMフレーム404のペイロード(405、406)に対する暗号化を遂行する。
【0053】
そして、多重化部304ではヘッダ情報400、PLOAMメッセージ401及び上がり帯域割り当て情報402を利用してGTC下りフレームのフレームヘッダ410を、暗号化部303で暗号化されたATMセル405を先にGTC下りフレームペイロード411にのせる。なお、ATMセル405をのせった後残るペイロード空間に暗号化されたGEMフレーム406をのせる。ここで、GTC下りフレームのヘッダ410内のPsync、Ident、BIP、Plend フィールドはそれぞれヘッダ情報400によるものである。
【0054】
そして、認証生成部305では多重化部304において生成されたGTC下りフレームに対する認証パラメータであるICV(Integrity Check Value)値を計算してGTC下りフレーム端に添付する。こうして構成されたGTC下りフレームはペイロード411に伝送されるデータに対する暗号化とGTC下りフレーム全体に対する認証をともに提供することが可能になる。
【0055】
一方、認証復号化のための各階層別フレーム構造はこれと反対なのでこれについては当技術分野において通常の知識を有する者にとって自明である。そのため、ここではそれに対する説明は省略することにする。
【0056】
図5aないし図5bは図3に示した認証生成部及び認証チェック部に対する一実施例構成図である。
【0057】
図5aに示すように、認証生成部305は多重化されたGTC下りフレームの入力を受け順次に出力するデータ入力器51、データ入力器51の出力とGF2128掛け算器53の出力を論理合する演算器52、演算器52の出力とハッシュ値の入力を受けGF2128掛け算処理するGF2128掛け算器53及びGF2128掛け算器53の出力を分岐して演算器52に入力しGF2128掛け算器53の最終出力506をICVに出力する分岐器54を含む。
【0058】
その動作をさらに詳しく説明すると、データ入力器51にGTC上記図5aに示すような構造を有するGTC下りフレーム500が入力されれば、データ入力器51はGTC下りフレームのヘッダ情報を128ビットのブロック単位に分けAAD(Additional Authenticated Data)501値にして演算器52に出力される。そして、AAD501値が全て演算器52に出力されると次にはGTC下りフレームのペイロード情報が128ビットのブロック単位に分類されDATA502値にして演算器52に出力される。そして、GTC下りフレームのヘッダとペイロードがAAD501とDATA502に全て入力されれば、データ入力部51は最後のAAD501値の64ビットと最後のDATA502値の64ビットを組み合わせ演算器52に入力する。
【0059】
最初の128ビットのAAD値501は演算器52を通して初期フィードバック値505である“0”と排他的論理演算を遂行した後GF2128掛け算器53に入力される。
【0060】
そして、GF2128掛け算器53は演算器52を通して排他的論理演算値と128ビットのハッシュ値504の入力を受けGF2128掛け算を遂行し、その結果を分岐器54を通して演算器52にフィードバックする505。そして、データ入力器51を通して入力されるデータと分岐器54を通してフィードバックされた結果に対する排他的論理演算を遂行し、その結果をGF2128掛け算器53に入力する。この動作はGTC下りフレームのヘッダとペイロードがAAD501値とDATA502値に全て入力されるまで繰り返される。
【0061】
さらに、GTC下りフレームのヘッダとペイロードがAAD501値とDATA502値で全て入力されると、データ入力器51は最後のAAD501値の64ビットと最後のDATA502値の64ビットを組み合わせた値を出力する。この値は演算器52とGF2128掛け算器53を通して演算された後当該GTC下りフレームに対する認証パラメータ値506で最終出力される。この認証パラメータ値506はICV値で出力され、GTC下りフレームの後尾に追加して一緒に伝送される。
【0062】
一方、図5bに示すような認証チェック部308は、ICV'509が含まれたGTC下りフレーム507の入力を受け、ICV'509を除いたGTC下りフレーム508をGTCフレームメモリー56に一時的に貯蔵する。ICV'509を利用した認証結果によって一時的に貯蔵されたICV'509を除いたGTC下りフレーム508を伝達することを決定する。認証チェック部308での認証過程はOLT32から伝達されたICV'509とICV'509を除いたGTC下りフレームをデータ入力部51'に入力して計算したICV506'をICV比較器55を通して比較することにより遂行される。
【0063】
認証チェック部308のICV計算のための構成を説明すると、図5aと対応されることが判る。すなわち、ICV'509を除いたGTC下りフレーム508を順次に出力するデータ入力器51'、データ入力器51'の出力とGF2128掛け算器53'の出力を論理合する演算器52'、演算器52'の出力とハッシュ値の入力を受けGF2128掛け算処理するGF2128掛け算器53'及びGF2128掛け算器53'の出力を分岐して演算器52'に入力してGF2128掛け算器53'の最終出力506'をICVにしてICV比較器55に出力する分岐器54'を含む。
【0064】
その動作をさらに詳しく説明すれば、データ入力器51’にICV'509を除いたGTC下りフレーム508が入力されると、データ入力器51'はICV'509を除いたGTC下りフレーム508のヘッダ情報を128ビットのブロック単位に分類しAAD(Additional Authenticated Data)501'値にして演算器52'に出力される。さらにAAD501'値が全て演算器52'に出力されたら、次にはICV'509を除いたGTC下りフレーム508のペイロード情報が128ビットのブロック単位に分類されDATA502'値にして演算器52'に出力される。そしてICV'509を除いたGTC下りフレーム508のヘッダとペイロードがAAD501'とDATA502'に全て入力されたら、データ入力部51'は最後のAAD501'値の64ビットと最後のDATA502'値の64ビットを組み合わせて演算器52'に入力する。
【0065】
最初の128ビットのAAD値501'は演算器52'を通して初期フィードバック値505'である“0”と排他的論理演算を遂行した後GF2128掛け算器53'に入力される。
【0066】
そして、GF2128掛け算器53'は演算器52'を通して排他的論理演算値と128ビットのハッシュ値504'の入力を受けGF2128掛け算を遂行し、その結果を継続して分岐器54'を通して演算器52'にフィードバックする505'。そして、データ入力器51'を通して入力されるデータと分岐器54'を通してフィードバックされた結果に対する排他的論理演算を遂行しその結果をGF2128掛け算器53'に入力する。この動作はGTC下りフレームのヘッダとペイロードがAAD501'値とDATA502'値に全て入力されるまで繰り返される。
【0067】
そして、ICV'509を除いたGTC下りフレーム508のヘッダとペイロードがAAD501'値とDATA502'値に全て入力されたら、データ入力器51'は最後のAAD501'値の64ビットと最後のDATA502'値の64ビットを組み合わせた値を出力する503'。この値は演算器52'とGF2128掛け算器53'を通して演算された後、当該GTC下りフレームに対する認証パラメータ値506'で最終出力される。この認証パラメータ値506'はICV値に出力され、ICV比較器55に入力され認証を遂行する。
【0068】
ICV比較器55はOLT31から伝達を受けたICV'509が含まれたGTC下りフレーム507からICV'509の伝達を受け、分岐器54'から計算されたICV値506'の伝達を受けその値が同じであるかを比較する。
【0069】
仮にその値が同じであるならば、認証成功になってGTCフレームメモリー56に貯蔵されたGTC下りフレーム508を逆多重化部309に伝達する。そうでなければ認証失敗になりGTCフレームメモリー56に貯蔵されたGTC下りフレーム508は逆多重化部309に伝達されずに削除される。
【0070】
認証生成部305及び認証チェック部308で使用されるハッシュキー値(504、504')は認証暗号化キー値がアップデートされると多重化部304においてGTC下りフレームヘッダを組み立てる間当該認証暗号化キー値を利用してペイロード暗号化部303を通して生成する。
【0071】
認証生成部305及び認証チェック部308での認証パラメータ値を計算する式は次のとおりである。
【数1】
ここで、mはAAD値が128ビットのブロック単位に分類される定数値であり、vはAAD値が128ビットの定数に分類された後残るビット数である。nはDATA値が128ビットのブロック単位に分類される定数値であり、uは DATA値が128ビットの定数に分類された後残るビット数である。
【0072】
図6は本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムで認証暗号化機能を提供するためにONUに対する認証キー分配及び認証登録過程に対する一実施例のタイミング図である。
【0073】
図6に示すように、OLT600は認証暗号化機能を提供するために先ずそれぞれのONU601に各々のONU別キー値を要請するキー要請メッセージ(Key Request Message)S600を伝送する。そして、ONU601はキー要請メッセージ(Key Request Message)S600を受信して128ビットのONUキーを生成し、これを2つのキー応答メッセージ(Key Response Message)S601を通して64ビットずつ分けOLT600に伝送する。
【0074】
そして、OLT600はONU601から128ビットのONUキーを受信するとS602、128ビットの認証キーを生成するS603。そしてこの認証キーを利用して128ビットのハッシュ値を計算するS604。
【0075】
そして、OLT600は生成されたハッシュ値をONU601に伝達するために受信されたONUキーをハッシュ値で利用して認証キーメッセージ(Authentication Key Message)S605を認証してONU601に伝送する。認証キーメッセージ(Authentication Key Message)S605は64ビットのハッシュ値が含まれ、それぞれのONU601に3回伝送する。
【0076】
ここで、認証キーメッセージ(Authentication Key Message)はメッセージ識別字“20”を有し、認証機能のため本発明によって新たに追加させたのである。
【0077】
そして、ONU601は自分のONUキーを利用して認証チェックを遂行しS606、同一な認証キーメッセージ(Authentication Key Message)S605を2回受信すれば妥当なメッセージとして判断し当該メッセージに含まれたハッシュ値を貯蔵するS607。ONU601は128ビットのハッシュ値を全て受信すると、認証チェックが行える状態になり認証登録が完了される602。こうした一認証登録のために取り交わすメッセージはPLOAMメッセージに含まれる。
【0078】
図7は本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムでハッキング試しに対する概念例示図である。
【0079】
図7aに示すように、仮にハッカー700がOLTとスプリッター(Splitter)間の共通リンクS700に接続してフレーム変調を加える場合、全てのONUの認証モジュールはGTC下りフレームに対して認証失敗が生じて当該ハッカーからの変調されたフレームを遮断する701。この場合においてOLTはONUの状態を感知して代替リンクに切り替えなければならない。
【0080】
そして、図7bのように、仮にハッカー702がスプリッター(Splitter)と特定ONUとの間のリンクS701に接続してフレーム変調を加えると、このONUの認証モジュールはGTC下りフレームに対して認証失敗になり当該ハッカーからの変調されたフレームを遮断する703。
【0081】
このような二つの場合において、ハッカーはOLTに認証された登録状態ではないので認証過程において下り伝送されるGTCフレームを受信することができないのでモニタリング動作もやはり不可能になる。
【0082】
そして、図7cのように、仮にハッカー705がOLTに認証されなず登録のみになったONUを通して簡単なプログラム操作でGTC下りフレーム情報を受信しようとすると、当該ONUの認証モジュールはGTC下りフレームに対して認証することができないので認証失敗になり当該GTCフレームが遮られる704。
【0083】
または、ハッカー705がOLTに認証登録されたONUを通して簡単なプログラム操作でGTC下りフレーム情報を受信しようとすると、当該ONUの認証モジュールはGTC下りフレームに対して認証成功され、GTC下りフレームを受信することができるが、自らのONUキーを有しているので他のONUのペイロード情報を盗聴することはできない。仮に受信された下りフレームのヘッダ情報を利用して他のONUの伝送を妨げると、当該ONUはOLTによって強制的に非活性化される705。
【0084】
そして、図7dのように、ハッカー706がスプリッター(Splitter)の残るポートに接続したりS702、或はスプリッター(Splitter)と特定ONUとの間に新たなスプリッター(Splitter)を追加S703してGTC下りフレームを受信しようとすると、このハッカー706はOLTに認証登録されなかったためGTC下りフレームに対する認証失敗が発生されて遮られる。
【0085】
図8は本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証暗号化方法に対する一実施例の動作流れ図である。
【0086】
図8に示すように、本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証暗号化方法は、まずペイロードを暗号化したGTC下りフレームを生成するS801。
【0087】
そして、生成されたGTC下りフレームを認証モードを通して伝送するか否かを確認しS802、認証モードであれば認証のための認証キーが存在するのか検査するS803。
【0088】
その結果、認証キーが存在すればS803生成されたGTC下りフレームを認証暗号化して認証暗号化されたGTC下りフレームを伝送するS805。
【0089】
一方、認証モードではないS802場合や認証キーが存在しない場合S803は、ペイロードに対する暗号化のみを遂行して生成されたGTC下りフレームを伝送するS804。
【0090】
ここで、ペイロードを暗号化したGTC下りフレームを例示しているが、本発明の内容においてはあらゆる形式のGTC下りフレームが生成されても適用が可能である。すなわち、ペイロードに対する暗号化が行われなかったGTC下りフレームに対しても本発明の適用が可能であることは自明である。
【0091】
図9は本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証復号化方法に対する一実施例の動作流れ図である。
【0092】
図9に示すように、本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証復号化方法は、まずGPONシステムのONUがGTC下りフレームを受信するS901。
【0093】
そして、受信されたGTC下りフレームが認証モードを通して処理されるか否かを確認してS902、認証モードであれば受信されたGTC下りフレームを貯蔵するS903。一方認証モードでなければ、GTC下りフレームを逆多重化部に伝送して当該GTC下りフレームを処理するS909。ここで、認証モードであるか否かは受信されたGTC下りフレームに対するONU別認証キーのための認証パラメータ値がGTC下りフレームの端に追加されているか否かを判断することで成る。
【0094】
そして、ONU内に受信されたGTC下りフレームに対する認証のための認証キーが存在するのか検査するS904。
【0095】
その結果、認証キーが存在すればS904、受信されたGTC下りフレームに対する認証をチェックするS905。認証チェック結果認証が成功すればS906、貯蔵されたGTC下りフレームを逆多重化部に伝送して当該GTC下りフレームを処理するS908。
【0096】
一方、認証キーがない場合S904や認証に失敗した場合S906は、貯蔵されたGTC下りフレームを削除するS907。
【0097】
本発明による認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証暗号化方法及び復号化方法はコンピューターで読み取れる記録媒体にコンピューターが読み取れるコードとして具現することができる。コンピューターが読み取れる記録媒体はコンピューターシステムによって読み取られることができるデータが貯蔵される全種類の記録装置を含む。コンピューターが読み取れる記録媒体の例ではROM、RAM、CD-ROM、磁気テープ、フロッピー、光データ貯蔵装置などがあり、またインターネットを通じた伝送のようにキャリアウェーブの形態に具現されるものも含む。またコンピューターが読み取れる記録媒体はネットワークで連結されたコンピューターシステムに分散され、分散方式でコンピューターの読み取れるコードが貯蔵され実行されることもできる。
【0098】
一方、本発明の詳細な説明では具体的な実施例に関して説明したが、本発明の範囲で外れない限度内で様々な変形が可能であることは勿論のことである。従って、本発明の範囲は説明された実施例に限って定められてならず、後述する特許請求範囲のみならず、この特許請求範囲と均等なものによって定められるべきである。
【図面の簡単な説明】
【0099】
【図1】従来技術によってペイロードに対する暗号化機能を提供するためのGPONシステムに対する一実施例の構成図である。
【図2】従来技術によってペイロードに対する暗号化機能を提供するGPONシステムにおいてハッキング試しに対する概念例示図である。
【図3】本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムに対する一実施例構成図である。
【図4】本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムでの各階層別フレームの構造に対する一実施例の例示図である。
【図5a】図3に示す認証生成モジュールに対する一実施例の構成図である。
【図5b】図3に示す認証チェックモジュールに対する一実施例の構成図である。
【図6】本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムにおいて認証暗号化機能を提供するためにONUに対する認証キー分配及び認証登録過程に対する一実施例のタイミング図である。
【図7】本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムにおいてハッキング試しに対する概念例示図である。
【図8】本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムにおいて認証暗号化方法に対する一実施例の動作流れ図である。
【図9】本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムにおいて認証復号化方法に対する一実施例の動作流れ図である。
【技術分野】
【0001】
本発明はギガビット受動型光ネットワーク(Gigabit-capablePassive Optical Networks: GPON)に関するもので特に、GPONにおけるOLTの下り伝送においてそれぞれのONUに対する認証暗号化を通じて保安伝送を可能にするシステム及びその認証暗号化方法に関するものである。
【背景技術】
【0002】
近年、ITU(International Telecommunication Union)-T G.984グループはPON(Passive Optical Network) 基盤の加入者アクセス網を通してATM(Asynchronous Transfer Mode)セル及びイーサネット(Ethernet)(登録商標)フレーム、TDM(Time-Division Multiplexing)パケットなどを效率的に伝送し、最大2.5Gbpsの帯域を提供することが可能なGPON規格を標準化した。GPONはSONET(Synchronous Optical Network)のように125us週期(8KHz)のフレーム伝送方式を利用してTDMサービス及びE1/T1サービス、POTS(Plain Old Telephone Service)を提供することができ、2.5Gbpsの広帯域に数百チャンネルの高品質放送サービス及びIP(Internet Protocol) データサービスが提供できる。このようなGPONは米国やヨーロッパで予め使用中のAPON(ATM PON)の代替用として利用されている。
【0003】
GPONシステムは一般的に一つのOLT(Optical Line Terminal)から出力されるTDM方式の光信号が光分配器を通してそれぞれのONUに提供される構造を有するが、こうした構造では下り方向にブロードキャスト特性を有するので、一つのOLTから伝送された下りフレーム等は全ONUに伝達される。従って、正常な場合にはそれぞれのONUは自らに伝送されるフレームのみをフィルターリングし受信するように具現されているが、仮に悪意のある加入者がフレームフィルターリングする部分を簡単に操作するとその人は他のONUに伝送される重要な情報を見ることが可能にする。
【0004】
これにより、現在GPON標準ではこのようにGPONシステム内において伝送される情報を他のONU等が見れないようにするため、伝送されるサービスデータのペイロードに対しては128bits CTR(Counter)-AES(Advanced Encryption Standard)を利用した暗号化を遂行するように規格を定義している。しかし、ペイロードとともに伝送されるフレームヘッダ中にも重要な情報である網運用管理(PLOAM : Physical Layer OAM)情報及び上がり帯域割り当て(BA : Bandwidth Allocation)情報などが含まれるが、このような情報についてはいかなる保安機能も提供できない。従って、かかるフレームヘッダに含まれた情報等の場合は相変らず認証されなかったONU等の簡単な操作によって露出されやすく、これらの情報を悪用して他のONU等のサービスを妨げる恐れのある問題点が生じる。
【0005】
図1は、従来技術によってペイロードに対する暗号化機能を提供するためのGPONシステムに対する一実施例構成図である。
【0006】
図1を参照すれば、従来技術によってペイロードに対する暗号化機能を提供するためのGPONシステムは、外部のサービス提供者からデータが伝達され一つの光信号で構成した後これを伝送し連結された多数のONU12からの上がりデータを受信してこれを外部に伝送するOLT11とユーザー側装置にOLT11を通して提供される光信号を受信して、これを光電変換して使用者に提供するONU12から成る。
【0007】
それぞれの構成を上下りデータを作成するための階層構造の側面でさらに詳しく説明すると、OLT11は帯域に対する割り当て情報であるDBA(Dynamic Bandwidth Allocation)信号、PLOAM情報を伝送するためのPLOAM信号などを受信してフレームヘッダを生成するヘッダ生成部101、ATM SDU(Service Data Unit)とGEM SDU(Service Data Unit)を受信してそれぞれ処理するペイロード生成部102、ペイロード生成部102でATMとGEMに分けられ処理されたペイロード信号を受信してこれをそれぞれ暗号化するペイロード暗号化部103、ヘッダ生成部101で生成されたヘッダとペイロード暗号化部103で暗号化されたペイロードを一つの下り信号に多重化する多重化部104及び多重化された下り信号を光信号に変換して伝送する電光変換部105を含む。
【0008】
ここで、それぞれの構成部をさらに詳しく説明すると、上記ヘッダ生成部101はそれぞれのONU12の上がり帯域情報を示すDBA情報、網運用管理情報を示すPLOAM信号、同期パターン情報、GTC下りフレームカウンター、FEC設定情報、フレームペイロード長さ情報を含むフレームヘッダを生成する。
【0009】
そしてペイロード生成部102は、外部のサービス提供者からATM SDU(Service Data Unit)を受信して処理するATMパーティション(Partition)モジュールと外部のサービス提供者からGEM SDU(Service Data Unit)を受信して処理するGEMパーティション(Partition)モジュールを含み、ATMパーティションモジュールでは5バイトのATMヘッダと48バイトのペイロードで構成された53バイト長さのATMセルを処理し、GEMパーティションモジュールでは5バイトのGEMヘッダと4095バイト範囲内で可変長さのペイロードで構成されたGEMフレームが処理される。
【0010】
そして、ペイロード暗号化部103は128ビットCTR-AESブロック暗号化を遂行するが、30ビットのGTC下りフレームカウンターと16ビットのブロックカウンターを組み合わせて46ビットの暗号化カウンター(Crypto-Counter)を作り、この暗号化カウンターを3つ連結して138ビットのランダム暗号化カウンター値を生成した後上位10ビットを削除し、下位128ビットのみを暗号化ブロックカウンター値として使用し暗号化を遂行する。ここで、30ビットのGTC下りフレームカウンターは下りにフレームを伝送する度に1つずつ増加され、16ビットのブロックカウンターは4バイト単位にカウンターを増加させ一つのGTC下りフレームが伝送されたら“0”と初期化される。そして、ペイロード暗号化部103で使用される128ビットの暗号化キーはそれぞれのONU12から生成され、OLT11の要求によって受信される。
【0011】
このように、ペイロード暗号化部103でそれぞれのONU12から伝達された128ビットのONUキーを利用して128ビットの暗号化ブロックカウンター値が暗号化されれば、この暗号化値は128ビットペイロードブロックと排他的論理演算(Exclusive-OR)を遂行し、ペイロードに対する暗号化を遂行する。そして、暗号化されたペイロードは多重化部104に伝送され、多重化部104はヘッダ生成部101から伝達されたフレームヘッダと暗号化されたペイロードを多重化してGTC下りフレームを生成する。
【0012】
さらに、生成されたGTC下りフレームは電光変換部105を通して光信号に変換されそれぞれのONU12に伝達される。
【0013】
この際、GTC下りフレームを生成する過程においてヘッダ生成部101で生成されたフレームヘッダ120はイン-バンド(In-band)方式で処理され暗号化されずGTC下りフレーム100中に含まれる。従って、GTC下りフレームヘッダ120は暗号化されずGTC下りフレームペイロード130中に含まれたペイロード情報のみが暗号化されそれぞれのONU12等に伝送される。
【0014】
一方、ONU(optical network unit)12は、光信号で伝達されるGTC下りフレームを受信して光電変換する光電変換部106、電気信号に変換されたGTC下りフレームをヘッダとペイロードに分離して伝達する逆多重化部107、逆多重化部107からフレームヘッダを受け取ってこれを処理するヘッダ処理部110、逆多重化107からペイロードを受け取ってこれを復号化するペイロード復号化部108及び復号化されたペイロードを処理するペイロード処理部109を含む。
【0015】
ここで、ペイロード復号化部108はOLT11で使用されるペイロード暗号化部103と対応される機能を遂行し、ペイロード暗号化部103において暗号化されたATMセル及びGEMフレームをそれぞれ復号化する。
【0016】
そして、ペイロード処理部109はATMパーティションモジュールとGEMパーティションモジュールを含み、ATMパーティションモジュールでは5バイトのATMヘッダと48バイトのペイロードで構成された53バイト長さのATMセルを処理し、GEMパーティションモジュールでは5バイトのGEMヘッダと4095バイト範囲内で可変長さのペイロードで構成されたGEMフレームが処理される。
【0017】
図2は従来技術によってペイロードに対する暗号化機能を提供するGPON システムでハッキング試しに対する概念例示図である。
【0018】
図2を参照すると、ペイロードに対する暗号化機能を提供するGPONシステムは下りに伝送されるGTC下りフレームに対するハッキング試しを大きく4種類の方式に分けることができる。
【0019】
第一、ハッカー204はOLT200とOLT200から伝達された光信号をそれぞれのONU(207、210、211)に光分配する光スプリッタ(spliter)209の間に存在する共通リンクS200に侵入して全ONU(207、210、211)に伝送されるGTC下りフレーム201に対してハッキングができる。ここでハッキング方法はフレーム変調やインターセプション(interception)またはモニタリングを通すもので例示する。この場合ハッカー204によってハッキングが行われる場合にもGTC下りフレームのペイロード201は予め暗号化が成された状態なので影響を受けないが、暗号化されなかったPLOAM情報202及びDBA情報203などの重要な情報はハッキングによって流出される恐れがある。かかる一番目の暗号化攻撃はリンクS200を切断した後侵入せざるを得ないため実際の環境において一般人が攻撃し難いが、専門家等によっていつでも暗号化攻撃を受ける可能性がある。
【0020】
第二、ハッカー205はスプリッタ209とONU207との間に連結されたリンクS201に接続して当該のONU207に伝送されるGTC下りフレーム201に対してフレーム変調やインターセプションまたはモニタリングを通した重要な情報(202、203)獲得などの暗号化攻撃を遂行することができる。この暗号化攻撃又はリンクS201を切断した後侵入せざるをえないため実際の環境において一般人が攻撃し難いが、専門家等によっていつでも暗号化攻撃を受ける可能性がある。
【0021】
第三、ハッカー206はにせのONU207で簡単なプログラムの操作で他のONU210に伝送される重要な情報等をフィルターリングせずそのまま受信し、これによる暗号化攻撃を遂行することが可能である。このような暗号化攻撃はにせのONU207が真のONU210のように行動したり、あるいは本当にONU210の上がり方向への帯域伝送を妨げる。
【0022】
第四、ハッカー207はOLT200とONU211に存在するスプリッタ209の残るポートに接続したり、あるいはスプリッタ209とONU211との間に連結されたリンクにスプリッタ208を追加してGTC下りフレームをそのまま受信して、これによる暗号化攻撃を遂行することが可能である(S202、S203)。この暗号化攻撃はハッカー207が真のONU211のように行動したり、あるいは真のONU211の上がり方向への帯域伝送を妨げる。なお、ONU211によって上がり方向に伝送される暗号化キーなどをインターセプションすることができるので、暗号化されたデータ情報がそのまま露出され得るため致命的な損失を発生させ得るようになる。
【0023】
従って、GPONシステムにおいて伝送されるGTC下りフレームに対する認証及び暗号化機能を要求し、認証されないONUに対してはこのような重要な情報が露出されないようにする方法が必要となる。
【発明の開示】
【発明が解決しようとする課題】
【0024】
本発明は、上記のような問題点を解決するために提案されたものであって、GPONシステムにおいて下りに伝送されるGTCフレームをハッキングすることにより暗号化されない情報が流出されることを防止するため、認証アルゴリズムを使用して認証されたONUのみが下りに伝送されるGTCフレーム情報が受信できるようにする認証暗号化を通じて保安伝送を可能にするGPONシステムとその認証暗号化方法を提供するのにその目的がある。
【課題を解決するための手段】
【0025】
上記目的を達成するための本発明による認証暗号化を通じて保安伝送を可能にするGPONシステムは、外部のサービス提供者からデータの伝達を受けGTC下りフレームを生成して下り伝送するOLTと、上記OLTから下り伝送されたGTC下りフレームを受信してこれを処理する多数のONUを含み、上記OLTは生成されたGTC下りフレームに対する上記ONU別認証のための認証生成モジュールを具備して上記生成されたGTC下りフレームに対する認証暗号化を遂行し、上記ONUは認証チェックモジュールを具備して上記認証暗号化されたGTC下りフレームに対する認証成功可否によって上記GTC下りデータの受信可否を決定することを特徴とする。
【0026】
また、上記目的を達成するための本発明による光端装置(OLT)は、フレームヘッダを生成するヘッダ生成部;ATM SDU(Service Data Unit)とGEM SDU(Service Data Unit)を受信してそれぞれ処理するペイロード生成部;上記ペイロード生成部においてATMとGEMに分けられて処理されたペイロード信号を受信してこれをそれぞれ暗号化するペイロード暗号化部;上記ヘッダ生成部で生成されたヘッダと上記ペイロード暗号化部で暗号化されたペイロードを一つのGTC下りフレームに多重化する多重化部;上記多重化部を通して多重化されたGTC下りフレームに認証暗号化のための認証パラメータを生成して追加する認証生成部; 及び上記認証パラメータが追加されたGTC下りフレームを光信号に変換して伝送する電光変換部を含むことを特徴とする。
【0027】
また、上記目的を達成するための本発明による光加入者装置(ONU)は、OLTから光信号で伝達されるICV'が含まれたGTC下りフレームを受信して光電変換する光電変換部;上記光電変換されたICV'が含まれたGTC下りフレームに対する認証可否をチェックする認証チェック部;上記認証が確認されたGTC下りフレームをヘッダとペイロードに分離して伝達する逆多重化部; 上記逆多重化部から分離されたヘッダを受け取ってこれを処理するヘッダ処理部;上記逆多重化部から分離されたペイロードを受け取ってこれを復号化するペイロード復号化部;及び上記復号化されたペイロードを処理するペイロード処理部を含むことを特徴とする。
【0028】
また、上記目的を達成するための本発明による認証暗号化を通じて保安伝送を可能にするGPONシステムにおいて認証暗号化方法は、上記GPONシステムのOLTにおいてGTC下りフレームを生成する第1段階;上記生成されたGTC下りフレームを認証モードを通して伝送するか否かを確認する第2段階;上記第2段階の確認結果認証モードであれば、上記OLTに認証のための認証キーが存在するのか検査する第3段階;検査結果、認証キーが存在するならば上記GTC下りフレームを認証暗号化して伝送する第4段階;及び上記第3段階において確認結果認証モードではない場合、あるいは上記第3段階の検査結果認証キーが存在しない場合のいずれか一つの場合に、上記GTC下りフレームを伝送する第5段階を含むことを特徴とする。
【0029】
また、上記目的を達成するための本発明による認証暗号化を通じて保安の伝送を可能にするGPONシステムにおける認証復号化方法は、上記GPONシステムのONUがGTC下りフレームを受信する第1段階;上記受信されたGTC下りフレームが認証モードを通して処理されるか否かを確認し、認証モードであれば受信されたGTC下りフレームを貯蔵する第2段階;上記ONU内に貯蔵された上記GTC下りフレームに対する認証のための認証キーが存在する否かを検査する第3段階;上記検査結果上記認証キーが存在するならば上記貯蔵されたGTC下りフレームに対する認証をチェックし、認証が成功されたら上記貯蔵されたGTC下りフレームを逆多重化部に伝送して上記GTC下りフレームを処理する第4段階;及び上記第3段階において認証キーがない場合ないし上記第4段において認証に失敗した場合のいずれか一つの場合、上記貯蔵されたGTC下りフレームを削除する第5段階を含むことを特徴とする。
【発明の効果】
【0030】
本発明によれば、OLTによって認証登録されたONUのみが正常にGTC下りフレーム情報が受信できるようにすることにより、GPONシステムで発生される多様なハッカーからの攻撃が遮られる利点がある。
【発明を実施するための最良の形態】
【0031】
以下、本発明の好ましき実施例の詳細な説明を添付の図面を参照して説明する。図面の中の参照番号及び同一な構成要素に対してはたとえ他の図面上に表示されてもなるべく同一な参照番号及び符号で示していることに注意しなければならない。下記で本発明を説明することにおいて、かかる公知機能または構成に対する具体的な説明が本発明の旨を不要に曇らしかねないと判断される場合にはその詳細な説明を省略することにする。
【0032】
図3は本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムに対する一実施例構成図である。
【0033】
図3を参照すると、本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムは、図1に示した従来のGPONシステムにおける認証暗号化のために追加的に光端装置(OLT)31と光加入者装置(ONU)32にそれぞれ認証生成部(GMAC)305と認証チェック部(GMAC)308を追加する構成である。
【0034】
従って、それぞれの構成を上下りデータを作成するための階層構造の側面でより詳しく説明すると、OLT31は帯域に対する割り当て情報であるDBA(Dynamic Bandwidth Allocation) 信号、PLOAM情報を伝送するためのPLOAM信号などを受信してフレームヘッダを生成するヘッダ生成部301、ATM SDU(Service Data Unit)とGEM SDU(Service Data Unit)を受信してそれぞれ処理するペイロード生成部302、ペイロード生成部302でATMとGEMに分けられて処理されたペイロード信号を受信しこれをそれぞれ暗号化するペイロード暗号化部303、ヘッダ生成部301で生成されたヘッダとペイロード暗号化部303で暗号化されたペイロードを一つのGTC下りフレーム100に多重化する多重化部304、多重化されたGTC下りフレーム100に認証暗号化のための認証パラメータを生成して追加する認証生成部305及び認証パラメータが追加されたGTC下りフレームを光信号に変換して伝送する電光変換部306を含む。
【0035】
ここで、それぞれの構成部をさらに詳しく説明すると、上記ヘッダ生成部301はそれぞれのONU12の上がり帯域情報を示すDBA情報、網運用管理情報を示すPLOAM信号、同期パターン情報、GTC下りフレームカウンター、FEC設定情報、フレームペイロード長さ情報を含むフレームヘッダを生成する。
【0036】
そしてペイロード生成部302は、外部のサービス提供者からATM SDU(Service Data Unit)を受信して処理するATM パーティションモジュールと外部のサービス提供者からGEM SDU(Service Data Unit)を受信して処理するGEMパーティションモジュールを含み、ATMパーティションモジュールでは5バイトのATMヘッダと48バイトのペイロードで構成された53バイト長さのATMセルを処理し、GEMパーティションモジュールでは5バイトのGEMヘッダと4095バイト範囲内で可変長さのペイロードで構成されたGEMフレームが処理される。
【0037】
そして、ペイロード暗号化部303は128ビットCTR-AESブロック暗号化を遂行するのに、30ビットのGTC下りフレームカウンターと16ビットのブロックカウンターを組み合わせて46ビットの暗号化カウンター(Crypto-Counter)を作り、この暗号化カウンターを3つ連結して138ビットのランダム暗号化カウンター値を生成した後上位10ビットを削除し、下位128ビットのみを暗号化ブロックカウンター値で使用して暗号化を遂行する。ここで、30ビットのGTC下りフレームカウンターは下りにフレームを伝送する度に1ずつ増加され、16ビットのブロックカウンターは4バイト単位にカウンターを増加させ一つのGTC下りフレームが伝送されると“0”に初期化される。そして、ペイロード暗号化部303で使用される128ビットの暗号化キーはそれぞれのONU32から生成され、OLT31の要求によって受信される。
【0038】
このように、ペイロード暗号化部303においてそれぞれのONU32から伝達された128ビットのONUキーを利用して128ビットの暗号化ブロックカウンター値が暗号化されると、この暗号化値は128ビットペイロードブロックと排他的論理演算(Exclusive-OR)を遂行し、ペイロードに対する暗号化を遂行する。そして暗号化されたペイロードは多重化部304に伝送され、多重化部304はヘッダ生成部301から伝達されたフレームヘッダと暗号化されたペイロードを多重化してGTC下りフレームを生成する。
【0039】
そして認証生成部306は、多重化部305において多重化されたGTC下りフレームに当該GTC下りフレームに対する認証パラメータ値を計算し、上記計算された認証パラメータ値を当該GTC下りフレーム端に追加する。
【0040】
さらに、認証パラメータ値が追加されたGTC下りフレームは電光変換部306を通して光信号に変換されそれぞれのONU32に伝達される。
【0041】
この際、GTC下りフレームを生成する過程においてヘッダ生成部301で生成されたフレームヘッダ120はイン-バンド(In-band)方式で処理され暗号化されずGTC下りフレーム100中に含まれる。従って、GTC下りフレームヘッダ120は暗号化されずGTC下りフレームペイロード130中に含まれたペイロード情報のみが暗号化されそれぞれのONU12に伝送される。
【0042】
一方、ONU(optical network unit)32は、光信号で伝達されるGTC下りフレームを受信して光電変換する光電変換部307、光電変換されたGTC下りフレームに対する認証可否をチェックする認証チェック部308、認証が確認されたGTC下りフレームをヘッダとペイロードに分離して伝達する逆多重化部309、逆多重化部309からフレームヘッダを受け取ってこれを処理するヘッダ処理部310、逆多重化部309からペイロードを受け取ってこれを復号化するペイロード復号化部311及び復号化されたペイロードを処理するペイロード処理部312を含む。
【0043】
ここで、ペイロード復号化部311はOLT31で使用されるペイロード暗号化部303と対応される機能を遂行し、ペイロード暗号化部303において暗号化されたATMセル及びGEMフレームをそれぞれ復号化する。
【0044】
そして、ペイロード処理部312はATMパーティションモジュールとGEMパーティションモジュールを含み、ATMパーティションモジュールでは5バイトのATMヘッダと48バイトのペイロードで構成された53バイト長さのATMセルを処理し、GEMパーティションモジュールでは5バイトのGEMヘッダと4095バイト範囲内で可変長さのペイロードで構成されたGEMフレームが処理される。
【0045】
従って、以上の構成による本発明は、GTC下りフレームを通してフレームペイロードに含まれた情報を暗号化するだけでなく、当該GTC下りフレームに対する認証機能を提供して全ONU32に伝送することで当該ONU32ではない場合にはGTC下りフレームを受信して処理できないようにする。
【0046】
ここで、本発明の特徴である認証生成部305と認証チェック部308に対してより詳しく説明すると、まず認証生成部305は多重化部304で多重化されたGTC下りフレームに対する認証パラメータ値を計算し、上記計算された認証パラメータ値を当該GTC下りフレーム端に追加して下り伝送する。
【0047】
以上において、認証パラメータ値を計算する過程は多くの段階のGF(Galois Field)2128多重化器(Multiplier)を使用して成り、GF多重化器は128ビットのハッシュキー値を使用する。このような128ビットハッシュキー値はそれぞれのONU32から提供を受けたONUキー値を利用してOLT31で生成された認証キー値を利用してペイロード暗号化部303を通して生成される。これに対する詳細な説明は図5aないし図5bに基づいて詳細に説明することにする。
【0048】
一方、本発明による認証暗号化のためのGTC下りフレームを受信したONU32での動作を説明すると、ONU32はGTC下りフレームに対する認証機能を遂行する前にOLT31から認証キー値を受信して貯蔵する。この際、認証キー値はOLT31で生成されたハッシュキー値が使用される。そして、ONU32は認証暗号化のためのGTC下りフレームが受信されると、認証チェック部308を通して当該GTC下りフレームを当該ONU32において受信できるか否かに対する認証を遂行する。すなわち、ONU32に貯蔵された認証キー値を利用して認証パラメータ値を計算し、上記計算された認証パラメータ値と認証暗号化されたGTC下りフレーム端に添付された認証パラメータ値を比較することにより認証を遂行する。その認証は各々の認証パラメータ値を比べた結果、二つのパラメータ値が同じである場合は認証成功であるので受信されたGTC下りフレームを逆多重化部309に伝送し、同じでない場合は認証失敗であるので受信されたGTC下りフレームを捨てる。
【0049】
図4は本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムでの各階層別フレームの構造に対する一実施例の例示図である。
【0050】
図4を参照すると、本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムでの各階層別フレームの構造は大きくヘッダ生成部/ペイロード生成部(301、302)、暗号化部303、多重化部304及び認証生成部30にで分けられる。
【0051】
各々の領域に対して説明すると、まずヘッダ生成部/ペイロード生成部(301、302)ではGTC下りフレームのヘッダ情報400とPLOAMメッセージ401、上がり帯域割り当て情報402及び各ATMセル403とGEMフレーム404がそれぞれ独立的に入力される。
【0052】
そして、暗号化部303ではヘッダ生成部/ペイロード生成部(301、302)と同じであるが、入力されたATMセル403とGEMフレーム404のペイロード(405、406)に対する暗号化を遂行する。
【0053】
そして、多重化部304ではヘッダ情報400、PLOAMメッセージ401及び上がり帯域割り当て情報402を利用してGTC下りフレームのフレームヘッダ410を、暗号化部303で暗号化されたATMセル405を先にGTC下りフレームペイロード411にのせる。なお、ATMセル405をのせった後残るペイロード空間に暗号化されたGEMフレーム406をのせる。ここで、GTC下りフレームのヘッダ410内のPsync、Ident、BIP、Plend フィールドはそれぞれヘッダ情報400によるものである。
【0054】
そして、認証生成部305では多重化部304において生成されたGTC下りフレームに対する認証パラメータであるICV(Integrity Check Value)値を計算してGTC下りフレーム端に添付する。こうして構成されたGTC下りフレームはペイロード411に伝送されるデータに対する暗号化とGTC下りフレーム全体に対する認証をともに提供することが可能になる。
【0055】
一方、認証復号化のための各階層別フレーム構造はこれと反対なのでこれについては当技術分野において通常の知識を有する者にとって自明である。そのため、ここではそれに対する説明は省略することにする。
【0056】
図5aないし図5bは図3に示した認証生成部及び認証チェック部に対する一実施例構成図である。
【0057】
図5aに示すように、認証生成部305は多重化されたGTC下りフレームの入力を受け順次に出力するデータ入力器51、データ入力器51の出力とGF2128掛け算器53の出力を論理合する演算器52、演算器52の出力とハッシュ値の入力を受けGF2128掛け算処理するGF2128掛け算器53及びGF2128掛け算器53の出力を分岐して演算器52に入力しGF2128掛け算器53の最終出力506をICVに出力する分岐器54を含む。
【0058】
その動作をさらに詳しく説明すると、データ入力器51にGTC上記図5aに示すような構造を有するGTC下りフレーム500が入力されれば、データ入力器51はGTC下りフレームのヘッダ情報を128ビットのブロック単位に分けAAD(Additional Authenticated Data)501値にして演算器52に出力される。そして、AAD501値が全て演算器52に出力されると次にはGTC下りフレームのペイロード情報が128ビットのブロック単位に分類されDATA502値にして演算器52に出力される。そして、GTC下りフレームのヘッダとペイロードがAAD501とDATA502に全て入力されれば、データ入力部51は最後のAAD501値の64ビットと最後のDATA502値の64ビットを組み合わせ演算器52に入力する。
【0059】
最初の128ビットのAAD値501は演算器52を通して初期フィードバック値505である“0”と排他的論理演算を遂行した後GF2128掛け算器53に入力される。
【0060】
そして、GF2128掛け算器53は演算器52を通して排他的論理演算値と128ビットのハッシュ値504の入力を受けGF2128掛け算を遂行し、その結果を分岐器54を通して演算器52にフィードバックする505。そして、データ入力器51を通して入力されるデータと分岐器54を通してフィードバックされた結果に対する排他的論理演算を遂行し、その結果をGF2128掛け算器53に入力する。この動作はGTC下りフレームのヘッダとペイロードがAAD501値とDATA502値に全て入力されるまで繰り返される。
【0061】
さらに、GTC下りフレームのヘッダとペイロードがAAD501値とDATA502値で全て入力されると、データ入力器51は最後のAAD501値の64ビットと最後のDATA502値の64ビットを組み合わせた値を出力する。この値は演算器52とGF2128掛け算器53を通して演算された後当該GTC下りフレームに対する認証パラメータ値506で最終出力される。この認証パラメータ値506はICV値で出力され、GTC下りフレームの後尾に追加して一緒に伝送される。
【0062】
一方、図5bに示すような認証チェック部308は、ICV'509が含まれたGTC下りフレーム507の入力を受け、ICV'509を除いたGTC下りフレーム508をGTCフレームメモリー56に一時的に貯蔵する。ICV'509を利用した認証結果によって一時的に貯蔵されたICV'509を除いたGTC下りフレーム508を伝達することを決定する。認証チェック部308での認証過程はOLT32から伝達されたICV'509とICV'509を除いたGTC下りフレームをデータ入力部51'に入力して計算したICV506'をICV比較器55を通して比較することにより遂行される。
【0063】
認証チェック部308のICV計算のための構成を説明すると、図5aと対応されることが判る。すなわち、ICV'509を除いたGTC下りフレーム508を順次に出力するデータ入力器51'、データ入力器51'の出力とGF2128掛け算器53'の出力を論理合する演算器52'、演算器52'の出力とハッシュ値の入力を受けGF2128掛け算処理するGF2128掛け算器53'及びGF2128掛け算器53'の出力を分岐して演算器52'に入力してGF2128掛け算器53'の最終出力506'をICVにしてICV比較器55に出力する分岐器54'を含む。
【0064】
その動作をさらに詳しく説明すれば、データ入力器51’にICV'509を除いたGTC下りフレーム508が入力されると、データ入力器51'はICV'509を除いたGTC下りフレーム508のヘッダ情報を128ビットのブロック単位に分類しAAD(Additional Authenticated Data)501'値にして演算器52'に出力される。さらにAAD501'値が全て演算器52'に出力されたら、次にはICV'509を除いたGTC下りフレーム508のペイロード情報が128ビットのブロック単位に分類されDATA502'値にして演算器52'に出力される。そしてICV'509を除いたGTC下りフレーム508のヘッダとペイロードがAAD501'とDATA502'に全て入力されたら、データ入力部51'は最後のAAD501'値の64ビットと最後のDATA502'値の64ビットを組み合わせて演算器52'に入力する。
【0065】
最初の128ビットのAAD値501'は演算器52'を通して初期フィードバック値505'である“0”と排他的論理演算を遂行した後GF2128掛け算器53'に入力される。
【0066】
そして、GF2128掛け算器53'は演算器52'を通して排他的論理演算値と128ビットのハッシュ値504'の入力を受けGF2128掛け算を遂行し、その結果を継続して分岐器54'を通して演算器52'にフィードバックする505'。そして、データ入力器51'を通して入力されるデータと分岐器54'を通してフィードバックされた結果に対する排他的論理演算を遂行しその結果をGF2128掛け算器53'に入力する。この動作はGTC下りフレームのヘッダとペイロードがAAD501'値とDATA502'値に全て入力されるまで繰り返される。
【0067】
そして、ICV'509を除いたGTC下りフレーム508のヘッダとペイロードがAAD501'値とDATA502'値に全て入力されたら、データ入力器51'は最後のAAD501'値の64ビットと最後のDATA502'値の64ビットを組み合わせた値を出力する503'。この値は演算器52'とGF2128掛け算器53'を通して演算された後、当該GTC下りフレームに対する認証パラメータ値506'で最終出力される。この認証パラメータ値506'はICV値に出力され、ICV比較器55に入力され認証を遂行する。
【0068】
ICV比較器55はOLT31から伝達を受けたICV'509が含まれたGTC下りフレーム507からICV'509の伝達を受け、分岐器54'から計算されたICV値506'の伝達を受けその値が同じであるかを比較する。
【0069】
仮にその値が同じであるならば、認証成功になってGTCフレームメモリー56に貯蔵されたGTC下りフレーム508を逆多重化部309に伝達する。そうでなければ認証失敗になりGTCフレームメモリー56に貯蔵されたGTC下りフレーム508は逆多重化部309に伝達されずに削除される。
【0070】
認証生成部305及び認証チェック部308で使用されるハッシュキー値(504、504')は認証暗号化キー値がアップデートされると多重化部304においてGTC下りフレームヘッダを組み立てる間当該認証暗号化キー値を利用してペイロード暗号化部303を通して生成する。
【0071】
認証生成部305及び認証チェック部308での認証パラメータ値を計算する式は次のとおりである。
【数1】
ここで、mはAAD値が128ビットのブロック単位に分類される定数値であり、vはAAD値が128ビットの定数に分類された後残るビット数である。nはDATA値が128ビットのブロック単位に分類される定数値であり、uは DATA値が128ビットの定数に分類された後残るビット数である。
【0072】
図6は本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムで認証暗号化機能を提供するためにONUに対する認証キー分配及び認証登録過程に対する一実施例のタイミング図である。
【0073】
図6に示すように、OLT600は認証暗号化機能を提供するために先ずそれぞれのONU601に各々のONU別キー値を要請するキー要請メッセージ(Key Request Message)S600を伝送する。そして、ONU601はキー要請メッセージ(Key Request Message)S600を受信して128ビットのONUキーを生成し、これを2つのキー応答メッセージ(Key Response Message)S601を通して64ビットずつ分けOLT600に伝送する。
【0074】
そして、OLT600はONU601から128ビットのONUキーを受信するとS602、128ビットの認証キーを生成するS603。そしてこの認証キーを利用して128ビットのハッシュ値を計算するS604。
【0075】
そして、OLT600は生成されたハッシュ値をONU601に伝達するために受信されたONUキーをハッシュ値で利用して認証キーメッセージ(Authentication Key Message)S605を認証してONU601に伝送する。認証キーメッセージ(Authentication Key Message)S605は64ビットのハッシュ値が含まれ、それぞれのONU601に3回伝送する。
【0076】
ここで、認証キーメッセージ(Authentication Key Message)はメッセージ識別字“20”を有し、認証機能のため本発明によって新たに追加させたのである。
【0077】
そして、ONU601は自分のONUキーを利用して認証チェックを遂行しS606、同一な認証キーメッセージ(Authentication Key Message)S605を2回受信すれば妥当なメッセージとして判断し当該メッセージに含まれたハッシュ値を貯蔵するS607。ONU601は128ビットのハッシュ値を全て受信すると、認証チェックが行える状態になり認証登録が完了される602。こうした一認証登録のために取り交わすメッセージはPLOAMメッセージに含まれる。
【0078】
図7は本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムでハッキング試しに対する概念例示図である。
【0079】
図7aに示すように、仮にハッカー700がOLTとスプリッター(Splitter)間の共通リンクS700に接続してフレーム変調を加える場合、全てのONUの認証モジュールはGTC下りフレームに対して認証失敗が生じて当該ハッカーからの変調されたフレームを遮断する701。この場合においてOLTはONUの状態を感知して代替リンクに切り替えなければならない。
【0080】
そして、図7bのように、仮にハッカー702がスプリッター(Splitter)と特定ONUとの間のリンクS701に接続してフレーム変調を加えると、このONUの認証モジュールはGTC下りフレームに対して認証失敗になり当該ハッカーからの変調されたフレームを遮断する703。
【0081】
このような二つの場合において、ハッカーはOLTに認証された登録状態ではないので認証過程において下り伝送されるGTCフレームを受信することができないのでモニタリング動作もやはり不可能になる。
【0082】
そして、図7cのように、仮にハッカー705がOLTに認証されなず登録のみになったONUを通して簡単なプログラム操作でGTC下りフレーム情報を受信しようとすると、当該ONUの認証モジュールはGTC下りフレームに対して認証することができないので認証失敗になり当該GTCフレームが遮られる704。
【0083】
または、ハッカー705がOLTに認証登録されたONUを通して簡単なプログラム操作でGTC下りフレーム情報を受信しようとすると、当該ONUの認証モジュールはGTC下りフレームに対して認証成功され、GTC下りフレームを受信することができるが、自らのONUキーを有しているので他のONUのペイロード情報を盗聴することはできない。仮に受信された下りフレームのヘッダ情報を利用して他のONUの伝送を妨げると、当該ONUはOLTによって強制的に非活性化される705。
【0084】
そして、図7dのように、ハッカー706がスプリッター(Splitter)の残るポートに接続したりS702、或はスプリッター(Splitter)と特定ONUとの間に新たなスプリッター(Splitter)を追加S703してGTC下りフレームを受信しようとすると、このハッカー706はOLTに認証登録されなかったためGTC下りフレームに対する認証失敗が発生されて遮られる。
【0085】
図8は本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証暗号化方法に対する一実施例の動作流れ図である。
【0086】
図8に示すように、本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証暗号化方法は、まずペイロードを暗号化したGTC下りフレームを生成するS801。
【0087】
そして、生成されたGTC下りフレームを認証モードを通して伝送するか否かを確認しS802、認証モードであれば認証のための認証キーが存在するのか検査するS803。
【0088】
その結果、認証キーが存在すればS803生成されたGTC下りフレームを認証暗号化して認証暗号化されたGTC下りフレームを伝送するS805。
【0089】
一方、認証モードではないS802場合や認証キーが存在しない場合S803は、ペイロードに対する暗号化のみを遂行して生成されたGTC下りフレームを伝送するS804。
【0090】
ここで、ペイロードを暗号化したGTC下りフレームを例示しているが、本発明の内容においてはあらゆる形式のGTC下りフレームが生成されても適用が可能である。すなわち、ペイロードに対する暗号化が行われなかったGTC下りフレームに対しても本発明の適用が可能であることは自明である。
【0091】
図9は本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証復号化方法に対する一実施例の動作流れ図である。
【0092】
図9に示すように、本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証復号化方法は、まずGPONシステムのONUがGTC下りフレームを受信するS901。
【0093】
そして、受信されたGTC下りフレームが認証モードを通して処理されるか否かを確認してS902、認証モードであれば受信されたGTC下りフレームを貯蔵するS903。一方認証モードでなければ、GTC下りフレームを逆多重化部に伝送して当該GTC下りフレームを処理するS909。ここで、認証モードであるか否かは受信されたGTC下りフレームに対するONU別認証キーのための認証パラメータ値がGTC下りフレームの端に追加されているか否かを判断することで成る。
【0094】
そして、ONU内に受信されたGTC下りフレームに対する認証のための認証キーが存在するのか検査するS904。
【0095】
その結果、認証キーが存在すればS904、受信されたGTC下りフレームに対する認証をチェックするS905。認証チェック結果認証が成功すればS906、貯蔵されたGTC下りフレームを逆多重化部に伝送して当該GTC下りフレームを処理するS908。
【0096】
一方、認証キーがない場合S904や認証に失敗した場合S906は、貯蔵されたGTC下りフレームを削除するS907。
【0097】
本発明による認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証暗号化方法及び復号化方法はコンピューターで読み取れる記録媒体にコンピューターが読み取れるコードとして具現することができる。コンピューターが読み取れる記録媒体はコンピューターシステムによって読み取られることができるデータが貯蔵される全種類の記録装置を含む。コンピューターが読み取れる記録媒体の例ではROM、RAM、CD-ROM、磁気テープ、フロッピー、光データ貯蔵装置などがあり、またインターネットを通じた伝送のようにキャリアウェーブの形態に具現されるものも含む。またコンピューターが読み取れる記録媒体はネットワークで連結されたコンピューターシステムに分散され、分散方式でコンピューターの読み取れるコードが貯蔵され実行されることもできる。
【0098】
一方、本発明の詳細な説明では具体的な実施例に関して説明したが、本発明の範囲で外れない限度内で様々な変形が可能であることは勿論のことである。従って、本発明の範囲は説明された実施例に限って定められてならず、後述する特許請求範囲のみならず、この特許請求範囲と均等なものによって定められるべきである。
【図面の簡単な説明】
【0099】
【図1】従来技術によってペイロードに対する暗号化機能を提供するためのGPONシステムに対する一実施例の構成図である。
【図2】従来技術によってペイロードに対する暗号化機能を提供するGPONシステムにおいてハッキング試しに対する概念例示図である。
【図3】本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムに対する一実施例構成図である。
【図4】本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムでの各階層別フレームの構造に対する一実施例の例示図である。
【図5a】図3に示す認証生成モジュールに対する一実施例の構成図である。
【図5b】図3に示す認証チェックモジュールに対する一実施例の構成図である。
【図6】本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムにおいて認証暗号化機能を提供するためにONUに対する認証キー分配及び認証登録過程に対する一実施例のタイミング図である。
【図7】本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムにおいてハッキング試しに対する概念例示図である。
【図8】本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムにおいて認証暗号化方法に対する一実施例の動作流れ図である。
【図9】本発明によって認証暗号化を通じて保安伝送を可能にするGPONシステムにおいて認証復号化方法に対する一実施例の動作流れ図である。
【特許請求の範囲】
【請求項1】
認証暗号化を通じて保安伝送を可能にするGPON(Gigabit-capable Passive Optical Networks) システムにおいて、
外部のサービス提供者からデータの伝達を受けGTC(GPON Transmission Convergence) 下りフレームを生成して下り伝送する光端装置(OLT)と、
上記OLTから下り伝送されたGTC下りフレームを受信してこれを処理する光加入者装置(ONU)を含み、
上記OLTは生成されたGTC下りフレームに対する上記ONU別認証のための認証生成部を具備し上記生成されたGTC下りフレームに対する認証暗号化を行い、上記ONUは認証チェック部を具備し上記認証暗号化されたGTC下りフレームに対する認証成功可否によって上記GTC下りデータの受信可否を決定することを特徴とする認証暗号化を通じて保安伝送を可能にするGPONシステム。
【請求項2】
上記認証生成部は、上記生成されたGTC下りフレームに対する上記ONU別認証のために、認証パラメータ値を計算し、上記計算された認証パラメータ値を当該GTC下りフレーム端に追加することを特徴とする請求項1に記載の認証暗号化を通じて保安伝送を可能にするGPONシステム。
【請求項3】
上記認証パラメータ値は、上記それぞれのONUから提供されたONUキー値を利用して上記OLTにおいて認証キー値を生成し、上記生成された認証キー値を利用してハッシュキー値を生成し、上記生成されたハッシュキー値をGF(Galois Field)2128多重化器(Multiplier)で入力を受けて演算することにより得られることを特徴とする請求項2に記載の認証暗号化を通じて保安伝送を可能にするGPONシステム。
【請求項4】
上記認証チェック部は、上記ONUが有している認証キーを入力にして、GF(Galois Field)2128多重化器(Multiplier)を利用する演算を通して得られる値を、
上記認証パラメータ値と比較して認証成功可否を決定することを特徴とする請求項2又は請求項3に記載の認証暗号化を通じて保安伝送を可能にするGPONシステム。
【請求項5】
上記認証パラメータ値と上記演算を通して得られる値が同一であれば、上記GTC下りフレームに対する認証が成功したものと判断し、
上記認証パラメータ値と上記演算を通して得られる値が同一でなければ、上記GTC下りフレームに対する認証が失敗したものと判断することを特徴とする請求項4に記載の認証暗号化を通じて保安伝送を可能にするGPONシステム。
【請求項6】
上記認証チェック部は、上記認証暗号化されたGTC下りフレームを貯蔵するGTCフレーム貯蔵部を具備して、認証成功の場合は上記GTCフレーム貯蔵部に貯蔵されたGTC下りフレームを受信して処理し、認証失敗の場合には上記GTC貯蔵部に貯蔵されたGTC下りフレームを削除することを特徴とする請求項5に記載の認証暗号化を通じて保安伝送を可能にするGPONシステム。
【請求項7】
上記認証キーは、上記OLTから伝達を受けた上記ハッシュキー値であることを特徴とする請求項4に記載の認証暗号化を通じて保安伝送を可能にするGPONシステム。
【請求項8】
認証暗号化を通じて保安伝送を可能にするGPON(Gigabit-capable Passive Optical Networks) システムの光端装置(OLT)において、
フレームヘッダを生成するヘッダ生成部;
ATM SDU(Service Data Unit)とGEM SDU(Service Data Unit)を受信してそれぞれ処理するペイロード生成部;
上記ペイロード生成部においてATMとGEMに分けられ処理されたペイロード信号を受信してこれをそれぞれ暗号化するペイロード暗号化部;
上記ヘッダ生成部で生成されたヘッダと上記ペイロード暗号化部で暗号化されたペイロードを一つのGTC下りフレームに多重化する多重化部;及び
上記多重化部を通して多重化されたGTC下りフレームに認証暗号化のための認証パラメータを生成して追加する認証生成部; 及び
上記認証パラメータが追加されたGTC下りフレームを光信号に変換して伝送する電光変換部を含むことを特徴とする光端装置(OLT)。
【請求項9】
上記認証生成部は、上記多重化部を通して多重化されたGTC下りフレームが入力されて順次に出力するデータ入力器;
上記データ入力器の出力とGF2128掛け算器の出力を論理合する演算器;
上記演算器の出力とハッシュ値が入力されGF2128掛け算処理する上記GF2128掛け算器;及び
上記GF2128掛け算器の出力を分岐して上記演算器に入力し上記GF2128掛け算器の最終出力を上記GTC下りフレームの認証暗号化のための認証パラメータにして上記GTC下りフレームに追加するようにする分岐器を含むことを特徴とする請求項8に記載の光端装置(OLT)。
【請求項10】
上記データ入力器は、
上記GTC下りフレームのヘッダ情報を128ビットのブロック単位に分類しこれをAAD(Additional Authenticated Data)値とし順次に上記演算器に出力し、
上記AAD値を全て出力した後、上記GTC下りフレームのペイロード情報を128ビットのブロック単位に分類しこれをDATA値とし上記演算器に出力し、
上記GTC下りフレームのヘッダ情報とペイロード情報が上記AADと上記DATAに全て出力されたら、上記AAD値の最後の64ビットと上記DATA値の最後の64ビットを組み合わせ上記演算器に入力することを特徴とする請求項9に記載の光端装置(OLT)。
【請求項11】
認証暗号化を通じて保安伝送を可能にするGPON(Gigabit-capable Passive Optical Networks)システムの光加入者装置(ONU)において、
OLTから光信号で伝達されるICV'が含まれたGTC下りフレームを受信して光電変換する光電変換部;
上記光電変換されたICV'が含まれたGTC下りフレームに対する認証可否をチェクする認証チェック部;
上記認証が確認されたGTC下りフレームをヘッダとペイロードに分離して伝達する逆多重化部;
上記逆多重化部から分離されたヘッダを受け取って取りこれを処理するヘッダ処理部;
上記逆多重化部から分離されたペイロードを受け取って取りこれを復号化するペイロード復号化部;及び
上記復号化されたペイロードを処理するペイロード処理部を含むことを特徴とする光加入者装置(ONU)。
【請求項12】
上記認証チェック部は、
上記ICV'が含まれたGTC下りフレームが入力され、ICV'を除いたGTC下りフレームを一時的に貯蔵し認証結果によって上記逆多重化部に出力するGTCフレームメモリー;
上記ICV'とICV'を除いたGTC下りフレームをデータ入力部に入力して計算したICVを比較して認証しその結果を上記GTCフレームメモリーに伝達するICV比較器;
上記ICV'を除いたGTC下りフレームを順次に出力するデータ入力器;
上記データ入力器の出力とGF2128掛け算器53'の出力を論理合する演算器;
上記演算器の出力とハッシュ値が入力されGF2128掛け算処理する上記GF2128掛け算器;上記GF2128掛け算器の出力を分岐して上記演算器に入力し、上記GF2128掛け算器の最終出力を上記ICVにして出力する分岐器;及び
上記ICV'と上記分岐器で出力された上記ICVを比較して認証し、その結果を上記GTCフレームメモリーに伝達するICV比較器を含むことを特徴とする請求項11に記載の光加入者装置(ONU)。
【請求項13】
上記ICV比較器は、
上記ICV'と上記ICVが同一であれば、上記GTC下りフレームに対する認証が成功したことと判断し、
上記ICV'と上記ICVが同一でなければ、上記GTC下りフレームに対する認証が失敗したことと判断することを特徴とする請求項12に記載の光加入者装置(ONU)。
【請求項14】
上記GTCフレームメモリーは、
上記ICV'が含まれたGTC下りフレームの入力を受け、ICV'を除いたGTC下りフレームを一時的に貯蔵して、上記ICV比較器が認証成功を知らせる場合、上記貯蔵されたGTC下りフレームを上記逆多重化部に伝達し、
上記ICV比較器が認証失敗を知らせる場合、上記貯蔵されたGTC下りフレームを削除することを特徴とする請求項13に記載の光加入者装置(ONU)。
【請求項15】
認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証暗号化方法において、
上記GPONシステムのOLTにおいてGTC下りフレームを生成する第1段階;
上記生成されたGTC下りフレームを認証モードを通して伝送するか否かを確認する第2段階;
上記第2段階の確認結果認証モードであれば、上記OLTに認証のための認証キーが存在するか検査する第3段階;
検査結果、認証キーが存在するならば上記GTC下りフレームを認証暗号化して伝送する第4段階;及び
上記第3段階において、確認結果、認証モードではない場合、もしくは上記第3段階の検査結果認証キーが存在しない場合のいずれか一つの場合に、上記GTC下りフレームを伝送する第5段階を含む認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証暗号化方法。
【請求項16】
第4段階の認証暗号化は、
上記生成されたGTC下りフレームに対する上記ONU別認証のために、認証パラメータ値を計算し、上記計算された認証パラメータ値を当該GTC下りフレーム端に追加することにより成されることを特徴とする請求項15に記載の認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証暗号化方法。
【請求項17】
上記認証パラメータ値は、
上記それぞれのONUから提供を受けたONUキー値を利用して、上記OLTにおいて認証キー値を生成し、上記生成された認証キー値を利用してハッシュキー値を生成し、上記生成されたハッシュキー値をGF(Galois Field)2128多重化器(Multiplier)で入力を受けて演算することにより得られることを特徴とする請求項16に記載の認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証暗号化方法。
【請求項18】
認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証復号化方法において、
上記GPONシステムのONUがGTC下りフレームを受信する第1段階;
上記受信されたGTC下りフレームが認証モードを通して処理されるか否かを確認して、認証モードであれば受信されたGTC下りフレームを貯蔵する第2段階;
上記ONU内に貯蔵された上記GTC下りフレームに対する認証のための認証キーが存在するか否かを検査する第3段階;
上記検査結果、上記認証キーが存在するならば上記貯蔵されたGTC下りフレームに対する認証をチェックし、認証が成功されたら上記貯蔵されたGTC下りフレームを逆多重化部に伝送し上記GTC下りフレームを処理する第4段階;及び
上記第3段階において認証キーがない場合、もしくは上記第4段階において認証に失敗した場合のいずれか一つの場合、上記貯蔵されたGTC下りフレームを削除する第5段階を含む認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証復号化方法。
【請求項19】
上記第2段階において、認証モードでなければ、上記GTC下りフレームを逆多重化部に伝送して上記GTC下りフレームを処理する第6段階をさらに含む請求項18に記載の認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証復号化する方法。
【請求項20】
上記認証モードの可否は、
上記受信されたGTC下りフレームに対する上記ONU別認証のための認証パラメータ値が、上記GTC下りフレーム端に追加されているか否かを判断することで成されることを特徴とする請求項18又は19に記載の認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証復号化方法。
【請求項21】
上記第4段階の認証チェック過程は、
上記ONUが有している認証キーを入力にして、GF(Galois Field)2128多重化器(Multiplier)を利用する演算を通して得られる値を、
上記認証パラメータ値と比較して認証成功可否を決定することを特徴とする請求項20に記載の認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証復号化方法。
【請求項22】
上記認証キーは、上記GPONシステムのOLTから伝達されたハッシュキー値であることを特徴とする請求項21に記載の認証暗号化を通じて伝送を可能にするGPONシステムにおける認証復号化方法。
【請求項1】
認証暗号化を通じて保安伝送を可能にするGPON(Gigabit-capable Passive Optical Networks) システムにおいて、
外部のサービス提供者からデータの伝達を受けGTC(GPON Transmission Convergence) 下りフレームを生成して下り伝送する光端装置(OLT)と、
上記OLTから下り伝送されたGTC下りフレームを受信してこれを処理する光加入者装置(ONU)を含み、
上記OLTは生成されたGTC下りフレームに対する上記ONU別認証のための認証生成部を具備し上記生成されたGTC下りフレームに対する認証暗号化を行い、上記ONUは認証チェック部を具備し上記認証暗号化されたGTC下りフレームに対する認証成功可否によって上記GTC下りデータの受信可否を決定することを特徴とする認証暗号化を通じて保安伝送を可能にするGPONシステム。
【請求項2】
上記認証生成部は、上記生成されたGTC下りフレームに対する上記ONU別認証のために、認証パラメータ値を計算し、上記計算された認証パラメータ値を当該GTC下りフレーム端に追加することを特徴とする請求項1に記載の認証暗号化を通じて保安伝送を可能にするGPONシステム。
【請求項3】
上記認証パラメータ値は、上記それぞれのONUから提供されたONUキー値を利用して上記OLTにおいて認証キー値を生成し、上記生成された認証キー値を利用してハッシュキー値を生成し、上記生成されたハッシュキー値をGF(Galois Field)2128多重化器(Multiplier)で入力を受けて演算することにより得られることを特徴とする請求項2に記載の認証暗号化を通じて保安伝送を可能にするGPONシステム。
【請求項4】
上記認証チェック部は、上記ONUが有している認証キーを入力にして、GF(Galois Field)2128多重化器(Multiplier)を利用する演算を通して得られる値を、
上記認証パラメータ値と比較して認証成功可否を決定することを特徴とする請求項2又は請求項3に記載の認証暗号化を通じて保安伝送を可能にするGPONシステム。
【請求項5】
上記認証パラメータ値と上記演算を通して得られる値が同一であれば、上記GTC下りフレームに対する認証が成功したものと判断し、
上記認証パラメータ値と上記演算を通して得られる値が同一でなければ、上記GTC下りフレームに対する認証が失敗したものと判断することを特徴とする請求項4に記載の認証暗号化を通じて保安伝送を可能にするGPONシステム。
【請求項6】
上記認証チェック部は、上記認証暗号化されたGTC下りフレームを貯蔵するGTCフレーム貯蔵部を具備して、認証成功の場合は上記GTCフレーム貯蔵部に貯蔵されたGTC下りフレームを受信して処理し、認証失敗の場合には上記GTC貯蔵部に貯蔵されたGTC下りフレームを削除することを特徴とする請求項5に記載の認証暗号化を通じて保安伝送を可能にするGPONシステム。
【請求項7】
上記認証キーは、上記OLTから伝達を受けた上記ハッシュキー値であることを特徴とする請求項4に記載の認証暗号化を通じて保安伝送を可能にするGPONシステム。
【請求項8】
認証暗号化を通じて保安伝送を可能にするGPON(Gigabit-capable Passive Optical Networks) システムの光端装置(OLT)において、
フレームヘッダを生成するヘッダ生成部;
ATM SDU(Service Data Unit)とGEM SDU(Service Data Unit)を受信してそれぞれ処理するペイロード生成部;
上記ペイロード生成部においてATMとGEMに分けられ処理されたペイロード信号を受信してこれをそれぞれ暗号化するペイロード暗号化部;
上記ヘッダ生成部で生成されたヘッダと上記ペイロード暗号化部で暗号化されたペイロードを一つのGTC下りフレームに多重化する多重化部;及び
上記多重化部を通して多重化されたGTC下りフレームに認証暗号化のための認証パラメータを生成して追加する認証生成部; 及び
上記認証パラメータが追加されたGTC下りフレームを光信号に変換して伝送する電光変換部を含むことを特徴とする光端装置(OLT)。
【請求項9】
上記認証生成部は、上記多重化部を通して多重化されたGTC下りフレームが入力されて順次に出力するデータ入力器;
上記データ入力器の出力とGF2128掛け算器の出力を論理合する演算器;
上記演算器の出力とハッシュ値が入力されGF2128掛け算処理する上記GF2128掛け算器;及び
上記GF2128掛け算器の出力を分岐して上記演算器に入力し上記GF2128掛け算器の最終出力を上記GTC下りフレームの認証暗号化のための認証パラメータにして上記GTC下りフレームに追加するようにする分岐器を含むことを特徴とする請求項8に記載の光端装置(OLT)。
【請求項10】
上記データ入力器は、
上記GTC下りフレームのヘッダ情報を128ビットのブロック単位に分類しこれをAAD(Additional Authenticated Data)値とし順次に上記演算器に出力し、
上記AAD値を全て出力した後、上記GTC下りフレームのペイロード情報を128ビットのブロック単位に分類しこれをDATA値とし上記演算器に出力し、
上記GTC下りフレームのヘッダ情報とペイロード情報が上記AADと上記DATAに全て出力されたら、上記AAD値の最後の64ビットと上記DATA値の最後の64ビットを組み合わせ上記演算器に入力することを特徴とする請求項9に記載の光端装置(OLT)。
【請求項11】
認証暗号化を通じて保安伝送を可能にするGPON(Gigabit-capable Passive Optical Networks)システムの光加入者装置(ONU)において、
OLTから光信号で伝達されるICV'が含まれたGTC下りフレームを受信して光電変換する光電変換部;
上記光電変換されたICV'が含まれたGTC下りフレームに対する認証可否をチェクする認証チェック部;
上記認証が確認されたGTC下りフレームをヘッダとペイロードに分離して伝達する逆多重化部;
上記逆多重化部から分離されたヘッダを受け取って取りこれを処理するヘッダ処理部;
上記逆多重化部から分離されたペイロードを受け取って取りこれを復号化するペイロード復号化部;及び
上記復号化されたペイロードを処理するペイロード処理部を含むことを特徴とする光加入者装置(ONU)。
【請求項12】
上記認証チェック部は、
上記ICV'が含まれたGTC下りフレームが入力され、ICV'を除いたGTC下りフレームを一時的に貯蔵し認証結果によって上記逆多重化部に出力するGTCフレームメモリー;
上記ICV'とICV'を除いたGTC下りフレームをデータ入力部に入力して計算したICVを比較して認証しその結果を上記GTCフレームメモリーに伝達するICV比較器;
上記ICV'を除いたGTC下りフレームを順次に出力するデータ入力器;
上記データ入力器の出力とGF2128掛け算器53'の出力を論理合する演算器;
上記演算器の出力とハッシュ値が入力されGF2128掛け算処理する上記GF2128掛け算器;上記GF2128掛け算器の出力を分岐して上記演算器に入力し、上記GF2128掛け算器の最終出力を上記ICVにして出力する分岐器;及び
上記ICV'と上記分岐器で出力された上記ICVを比較して認証し、その結果を上記GTCフレームメモリーに伝達するICV比較器を含むことを特徴とする請求項11に記載の光加入者装置(ONU)。
【請求項13】
上記ICV比較器は、
上記ICV'と上記ICVが同一であれば、上記GTC下りフレームに対する認証が成功したことと判断し、
上記ICV'と上記ICVが同一でなければ、上記GTC下りフレームに対する認証が失敗したことと判断することを特徴とする請求項12に記載の光加入者装置(ONU)。
【請求項14】
上記GTCフレームメモリーは、
上記ICV'が含まれたGTC下りフレームの入力を受け、ICV'を除いたGTC下りフレームを一時的に貯蔵して、上記ICV比較器が認証成功を知らせる場合、上記貯蔵されたGTC下りフレームを上記逆多重化部に伝達し、
上記ICV比較器が認証失敗を知らせる場合、上記貯蔵されたGTC下りフレームを削除することを特徴とする請求項13に記載の光加入者装置(ONU)。
【請求項15】
認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証暗号化方法において、
上記GPONシステムのOLTにおいてGTC下りフレームを生成する第1段階;
上記生成されたGTC下りフレームを認証モードを通して伝送するか否かを確認する第2段階;
上記第2段階の確認結果認証モードであれば、上記OLTに認証のための認証キーが存在するか検査する第3段階;
検査結果、認証キーが存在するならば上記GTC下りフレームを認証暗号化して伝送する第4段階;及び
上記第3段階において、確認結果、認証モードではない場合、もしくは上記第3段階の検査結果認証キーが存在しない場合のいずれか一つの場合に、上記GTC下りフレームを伝送する第5段階を含む認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証暗号化方法。
【請求項16】
第4段階の認証暗号化は、
上記生成されたGTC下りフレームに対する上記ONU別認証のために、認証パラメータ値を計算し、上記計算された認証パラメータ値を当該GTC下りフレーム端に追加することにより成されることを特徴とする請求項15に記載の認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証暗号化方法。
【請求項17】
上記認証パラメータ値は、
上記それぞれのONUから提供を受けたONUキー値を利用して、上記OLTにおいて認証キー値を生成し、上記生成された認証キー値を利用してハッシュキー値を生成し、上記生成されたハッシュキー値をGF(Galois Field)2128多重化器(Multiplier)で入力を受けて演算することにより得られることを特徴とする請求項16に記載の認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証暗号化方法。
【請求項18】
認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証復号化方法において、
上記GPONシステムのONUがGTC下りフレームを受信する第1段階;
上記受信されたGTC下りフレームが認証モードを通して処理されるか否かを確認して、認証モードであれば受信されたGTC下りフレームを貯蔵する第2段階;
上記ONU内に貯蔵された上記GTC下りフレームに対する認証のための認証キーが存在するか否かを検査する第3段階;
上記検査結果、上記認証キーが存在するならば上記貯蔵されたGTC下りフレームに対する認証をチェックし、認証が成功されたら上記貯蔵されたGTC下りフレームを逆多重化部に伝送し上記GTC下りフレームを処理する第4段階;及び
上記第3段階において認証キーがない場合、もしくは上記第4段階において認証に失敗した場合のいずれか一つの場合、上記貯蔵されたGTC下りフレームを削除する第5段階を含む認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証復号化方法。
【請求項19】
上記第2段階において、認証モードでなければ、上記GTC下りフレームを逆多重化部に伝送して上記GTC下りフレームを処理する第6段階をさらに含む請求項18に記載の認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証復号化する方法。
【請求項20】
上記認証モードの可否は、
上記受信されたGTC下りフレームに対する上記ONU別認証のための認証パラメータ値が、上記GTC下りフレーム端に追加されているか否かを判断することで成されることを特徴とする請求項18又は19に記載の認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証復号化方法。
【請求項21】
上記第4段階の認証チェック過程は、
上記ONUが有している認証キーを入力にして、GF(Galois Field)2128多重化器(Multiplier)を利用する演算を通して得られる値を、
上記認証パラメータ値と比較して認証成功可否を決定することを特徴とする請求項20に記載の認証暗号化を通じて保安伝送を可能にするGPONシステムにおける認証復号化方法。
【請求項22】
上記認証キーは、上記GPONシステムのOLTから伝達されたハッシュキー値であることを特徴とする請求項21に記載の認証暗号化を通じて伝送を可能にするGPONシステムにおける認証復号化方法。
【図1】
【図2】
【図3】
【図4】
【図5a】
【図5b】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5a】
【図5b】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2007−159104(P2007−159104A)
【公開日】平成19年6月21日(2007.6.21)
【国際特許分類】
【出願番号】特願2006−296283(P2006−296283)
【出願日】平成18年10月31日(2006.10.31)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.フロッピー
2.ETHERNET
【出願人】(596180076)韓國電子通信研究院 (733)
【氏名又は名称原語表記】Electronics and Telecommunications Research Institute
【住所又は居所原語表記】161 Kajong−dong, Yusong−gu, Taejon korea
【Fターム(参考)】
【公開日】平成19年6月21日(2007.6.21)
【国際特許分類】
【出願日】平成18年10月31日(2006.10.31)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.フロッピー
2.ETHERNET
【出願人】(596180076)韓國電子通信研究院 (733)
【氏名又は名称原語表記】Electronics and Telecommunications Research Institute
【住所又は居所原語表記】161 Kajong−dong, Yusong−gu, Taejon korea
【Fターム(参考)】
[ Back to top ]