KR100772180B1 - 이더넷 기반의 수동형 광네트워크에서 광종단장치와광가입자장치들 간에 보안 채널 설정 방법 및 이를 위한프레임 전송 제어용 다중점 제어 프로토콜 메시지 구조 - Google Patents
이더넷 기반의 수동형 광네트워크에서 광종단장치와광가입자장치들 간에 보안 채널 설정 방법 및 이를 위한프레임 전송 제어용 다중점 제어 프로토콜 메시지 구조 Download PDFInfo
- Publication number
- KR100772180B1 KR100772180B1 KR1020060027147A KR20060027147A KR100772180B1 KR 100772180 B1 KR100772180 B1 KR 100772180B1 KR 1020060027147 A KR1020060027147 A KR 1020060027147A KR 20060027147 A KR20060027147 A KR 20060027147A KR 100772180 B1 KR100772180 B1 KR 100772180B1
- Authority
- KR
- South Korea
- Prior art keywords
- optical
- message
- key
- security
- optical subscriber
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04J—MULTIPLEX COMMUNICATION
- H04J14/00—Optical multiplex systems
- H04J14/02—Wavelength-division multiplex systems
- H04J14/0227—Operation, administration, maintenance or provisioning [OAMP] of WDM networks, e.g. media access, routing or wavelength allocation
- H04J14/0254—Optical medium access
- H04J14/0256—Optical medium access at the optical channel layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
Abstract
본 발명은 이더넷 기반의 수동형 광네트워크(EPON)에서 광종단장치(OLT)와 적어도 하나의 광가입자장치(ONU)들 간에 보안 채널 설정 방법 및 이를 위한 프레임 전송 제어용 다중점 제어 프로토콜(MPCP) 메시지 구조에 관한 것으로, 본 발명은 상기 광종단장치(OLT)가 발견 구간에서 보안 채널 설정을 원하는 적어도 하나의 상기 광가입자장치(ONU)와, 다중점 제어 프로토콜(MPCP) 메시지와 상기 광종단장치(OLT) 및 상기 광가입자장치(ONU)의 링크 보안능력 정보를 이용하여, 상호 보안동작을 설정하고, 상기 보안동작이 설정된 광가입자장치(ONU)를 자동 등록하여 채널을 생성하는 제1 단계; 상기 광종단장치(OLT)가 상기 보안동작이 설정 및 자동 등록이 완료된 광가입자장치(ONU) 중 상기 보안동작의 설정을 맺은 광가입자장치(ONU)와 보안을 위한 암호화 키를 분배하여 상기 보안 채널을 설정하는 제2 단계; 및 상기 보안 채널이 설정된 후, 상기 암호화 키가 분배된 상기 광종단장치(OLT)와 상기 광가입자장치(ONU) 간에, 상기 암호화 키 변경 시간 메시지를 전송하여 상기 암호화 키의 갱신 시점을 공유하는 제3 단계를 포함하며, 이에 따라 보다 효율적인 보안 채널 설정이 가능하다.
E-PON, OLT, ONU, 키, 분배, 다중점 제어 프로토콜, MPCP
Description
도 1은 이더넷 기반의 수동형 광네트워크(EPON)에서 광종단장치(OLT)로부터 광가입자장치(ONU)로 메시지가 하향 전송되는 모습을 도시한 도면,
도 2는 이더넷 기반의 수동형 광네트워크(EPON)에서 광가입자장치(ONU)로부터 광종단장치(OLT)로 메시지가 상향 전송되는 모습을 도시한 도면,
도 3은 종래의 이더넷 기반의 수동형 광네트워크(EPON)에서 다중점 제어 프로토콜(MPCP)을 통한 보안서비스 제공을 위한 세션키 분배 방법을 도시한 흐름도,
도 4는 본 발명의 바람직한 실시 예에 따른 이더넷 기반의 수동형 광네트워크(EPON)에서 보안 채널 설정을 위한 광종단장치(OLT)와 광가입자장치(ONU)들 간의 등록 및 보안동작의 설정 방법을 도시한 흐름도,
도 5는 도 4에 도시된 표준 다중점 제어 프로토콜(MPCP) 메시지의 보안동작 필드의 내부 구조를 표시하는 프레임 구조도,
도 6은 본 발명에 따른 다중점 제어 프로토콜(MPCP) 메시지를 이용하여 보안 채널 설정을 위해 광가입자장치(ONU)에 의해 키 분배를 제공하는 과정을 보여주는 흐름도,
도 7은 본 발명에 따른 다중점 제어 프로토콜(MPCP) 메시지를 이용하여 보안 채널 설정을 위해 광종단장치(OLT)에 의해 키 분배를 제공하는 과정을 보여주는 흐름도, 그리고
도 8은 본 발명의 실시 예에 따라 도 6 및 도 7의 키 분배 다중점 제어 프로토콜(MPCP) 메시지의 종류를 나타낸 도면이다.
본 발명은 이더넷 기반의 수동형 광네트워크(Ethernet Passive Optical Network)에 관한 것으로, 보다 상세하게는, 이더넷 기반의 수동형 광네트워크에서 광종단장치(OLT)와 광가입자장치(ONU)들 간의 보안 채널 설정을 위한 방법 및 이를 위한 프레임 전송 제어용 다중점 제어 프로토콜(MPCP) 메시지 구조에 관한 것이다.
2004년 이더넷 전송기술 표준화단체인 IEEE802.3ah EFM(Ethernet in the First Mile) 워킹그룹에서는 가입자들에게 효율적으로 광대역을 제공하기 위한 방안으로, 이더넷 기반의 수동형 광네트워크(Ethernet Passive Optical Network: EPON) 기술을 표준화하였다. 이더넷 기반의 수동형 광네트워크(EPON) 기술은 기존 의 이더넷 전송 기술 방식을 사용하며, 추가로 이더넷 기반의 수동형 광네트워크(EPON) 망에서 프레임 전송제어를 위해 이더넷 기반의 수동형 광네트워크(EPON) 매체접근제어(Media Access Control: MAC) 기능을 사용한다. 이더넷 기반의 수동형 광네트워크(EPON)는 하나의 광종단장치(Optical Line Terminator: OLT)와 다수의 광가입자장치(Optical Network Unit: ONU)들이 단대 다중 방식으로 연결된다. 하나의 광종단장치(OLT)와 다수의 광가입자장치(ONU)들 사이의 프레임 전송은 다중점 제어 프로토콜(Multi-Point Control Protocol: MPCP) 기능을 이용하여 충돌 없이 하향 브로드 캐스트 상향 시분할 다중접속(Time Division Multiple Access: TDMA)방식으로 제공된다.
현재 IEEE802.3ah EFM 워킹그룹에서는 프레임 전송 제어를 위한 다중점 제어 프로토콜(MPCP) 메시지로 5가지 종류를 정의하고 있다. 이들 다중점 제어 프로토콜(MPCP) 메시지에는 발견(GATE) 메시지, 등록요청(REGISTER_REQUEST) 메시지, 등록(REGISTER) 메시지, 등록확인(REGISTER_ACK) 메시지, 및 리포트(REPORT) 메시지가 포함된다.
발견(GATE) 메시지는 광가입자장치(ONU)의 초기 등록 시 발견 윈도우 오픈(Discovery Window Open)명령과 각 광가입자장치(ONU)의 상향 채널 사용 시간을 전달하는데 사용된다. 리포트(REPORT) 메시지는 광가입자장치(ONU)에 대기하고 있는 데이터의 크기를 광종단장치(OLT)에게 알리는데 사용된다. 등록요청(REGISTER_REQUEST) 메시지는 발견 윈도우(Discovery Window) 구간 내에서 광가입자장치(ONU)가 등록 의사를 광종단장치(OLT)에게 표시하는데 사용된다. 등록 (REGISTER) 메시지는 광종단장치(OLT)가 광가입자장치(ONU)의 등록 의사를 접수한 후, 광가입자장치(ONU)에게 등록 여부를 확인해 주기위해 사용된다. 마지막으로 등록확인(REGISTER_ACK) 메시지는 광가입자장치(ONU)가 광종단장치(OLT)로부터 등록 상태를 확인했다는 정보를 광종단장치(OLT)에게 전달하기 위해 사용된다.
이더넷 기반의 수동형 광네트워크 광종단장치(EPON OLT)는 상기와 같은 다중점 제어 프로토콜(MPCP) 메시지를 이용하여 광가입자장치(ONU)들의 존재를 알기 위한 자동 등록 절차 및 광가입자장치(ONU)들의 상향 데이터 전송 제어를 수행한다. 이 자동 등록 절차에서 광종단장치(OLT)는 광가입자장치(ONU)들의 거리측정(Ranging) 및 광가입자장치(ONU)들에게 이더넷 기반의 수동형 광네트워크(EPON) 식별자(PHY_ID)를 할당한다.
도 1은 이더넷 기반의 수동형 광네트워크(EPON)에서 광종단장치(OLT)로부터 광가입자장치(ONU)로 메시지가 하향 전송되는 모습을 도시한 도면이다.
도시된 바와 같이, 광종단장치(OLT)(10)는 광케이블을 통하여 광가입자장치(32, 34, ..., 36)에 연결된다. 이 때 광가입자장치(32, 34, ..., 36)는 가정 및 회사 등의 내부에 설치되며, 광종단장치(OLT)(10)로부터 인터넷 서비스, 전화 서비스 및 대화형 비디오 서비스 등의 각종 서비스를 제공받게 된다.
이러한 수동형 광네트워크(EPON) 상에서 각종 서비스를 위한 데이터가 포함되는 이더넷 프레임들(22, 24, 26, 28)은 광종단장치(OLT)(10)로부터 스플리터 또는 커플러와 같은 1:N 수동 광분배기를 통하여 각각의 광가입자장치들(32, 34, ..., 36)에게 전송된다. 이때 각각의 이더넷 프레임(22, 24, 26, 28)은 최대 1,518 바이트까지의 가변길이 패킷으로 구성되고, 목적지 광가입자장치(ONU)에 대한 정보를 포함한다. 이와 같은 패킷들이 광가입자장치들(32, 34, ..., 36)에 도착하면, 각각의 광가입자장치(32, 34, ..., 36)는 자신에게 해당되지 않는 나머지 패킷들은 버리고, 자신에게 해당하는 패킷만 수용한 후, 각각 해당하는 사용자(52, 54, ..., 56)에게 전송한다.
도 2는 이더넷 기반의 수동형 광네트워크(EPON)에서 광가입자장치(ONU)로부터 광종단장치(OLT)로 메시지가 상향 전송되는 모습을 도시한 도면이다.
도시된 바와 같이, 다수의 사용자들(52, 54, ..., 56)이 전송하고자 하는 프레임들(40,41,43,47,48,49)이 각각 해당하는 광가입자장치(ONU)들(32, 34, ..., 36)로 전송된다. 그리고 광가입자장치(ONU)들(32, 34, ..., 36)은 광종단장치(OLT)(10)로부터 미리 할당받은 각각의 타임 슬롯 구간(42, 44, 46)에 해당 프레임들을 실어서 광케이블을 통하여 광종단장치(OLT)(10)로 전송한다.
이와 같이 수동형 광네트워크(EPON) 상에서, 다수의 광가입자장치들은 하나의 전송 매체인 광케이블을 공유하여 하나의 광종단장치(OLT)와 데이터를 송수신해야 한다. 따라서 다수의 광가입자장치(ONU)들이 효율적으로 매체접근을 하기 위한 매체접근제어(MAC) 프로토콜이 요구된다. 이러한 요구에 따라서 이더넷 기반의 수동형 광네트워크(EPON)에서의 다중점 제어 프로토콜(Multi Point Control Protocol: MPCP)은 다수의 광가입자장치(ONU)들과 하나의 광종단장치(OLT) 사이의 상향 데이터를 효율적으로 전송하기 위하여 시분할다중접속(Time Division Multiple Access: TDMA) 기반의 메커니즘을 이용한다.
이러한 다중점 제어 프로토콜(MPCP)의 주요 기능은 광종단장치(OLT)의 광가입자장치(ONU)에 대한 발견과정을 제어하고, 광가입자장치(ONU)에게 타임 슬롯을 할당하며, 광종단장치(OLT)와 광가입자장치(ONU)의 시간 기준(Timing Reference)을 제공하는 것이다.
이와 같이, 이더넷 기반의 수동형 광네트워크(EPON) 망은 단대 다중 연결로 구성되므로, 하향 프레임 전송이 브로드 캐스트 방식으로 전달된다. 이로 인해 네트워크 침입자인 해커(hacker)는 간단한 프로그램 조작으로 다른 광가입자들에게 전송되는 프레임들을 쉽게 볼 수 있게 되는 문제가 발생한다.
그러나 현재 IEEE802.3ah EPON 워킹그룹에서는 채널 보안 기능을 위한 어떠한 표준도 정의되어 있지 않으며, 다만 이더넷 기반의 수동형 광네트워크(EPON)에서 채널 보안 기능을 제공하기 원하는 경우에는 IEEE802.1ae 매체접근제어 보안(MAC Security) 규격의 사용을 권고하고 있다. 따라서 현재 전송제어를 수행하는 다중점 제어 프로토콜(MPCP) 메시지에는 이더넷 기반의 수동형 광네트워크(EPON) 링크의 보안을 제공하기 위한 어떠한 정보도 포함되어 있지 않다.
이로 인해 이더넷 기반의 수동형 광네트워크(EPON) 망에서 IEEE801.ae 매체접근제어 보안(MAC Security) 규격을 사용할 경우, 보안 채널의 설정 및 설정을 위해 추가적인 키 분배 프로토콜이 요구되며, 이에 따른 추가적인 오버헤더 프레임들이 전송되어 대역을 낭비하게 되는 문제점이 있다.
또한 키 분배 프로토콜을 운용하기 위해서는 광가입자장치(ONU)에 중앙제어장치(CPU)가 존재해야 하며, 만약 중앙제어장치(CPU)가 없다면 키 분배 프로토콜은 운용할 수가 없게 된다. 현재 이더넷 기반의 수동형 광네트워크(EPON)에서는 광종단장치(OLT)가 채널 보안 기능을 제공하기 위해서, 다중점 제어 프로토콜(MPCP)에 의해 광가입자장치(ONU)의 등록이 끝난 후 등록된 광가입자장치(ONU)들에 대해 보안동작을 설정하고, 키 분배를 제공한다.
따라서 추가적이 키 분배 프로토콜의 사용 없이 현재 이더넷 기반의 수동형 광네트워크(EPON)에서 표준으로 정의된 전송제어 메커니즘인 다중점 제어 프로토콜(MPCP) 기능을 이용하여 광가입자장치(ONU)의 등록과 보안 채널의 설정 및 설정을 한번에 제공할 수 있는 방법이 요구되며, 이를 통한 키 분배 방법이 요구된다. 또한 광종단장치(OLT)는 중앙제어장치(CPU)가 없는 광가입자장치(ONU)들에 대해서도 보안 채널을 설정하고, 암호화 기능을 수행할 수 있어야 한다.
도 3은 종래의 이더넷 기반의 수동형 광네트워크(EPON)에서 다중점 제어 프로토콜(MPCP)을 통한 보안서비스 제공을 위한 세션키 분배 방법을 도시한 흐름도이다.
도시된 바와 같이, 세션키의 분배 과정은, 먼저 광종단장치(OLT)(10)는 목적지 광가입자장치(ONU)의 발견과정을 수행하기 위해 평문의 발견 게이트 메시지(GATE)를 주기적으로 멀티캐스트(dest_addr=multicast)한다(S11). 이 때, 발견 게이트 메시지(GATE)는 새로운 광가입자장치(ONU)가 등록될 수 있도록 타임 슬롯을 할당(GRANT)하고, 자신(OLT)의 용량(OLT capability), 공개키(KUOLT), 서명(signature)을 위해 자신(OLT)의 비밀키로 암호화한 임의값(타임스탬프)(EKROLT[N1]) 을 포함한다.
새로운 목적지 광가입자장치(ONU)(30)가 상기 발견 게이트 메시지(GATE)를 수신하면, 광가입자장치(ONU)(30)는 발견게이트 메시지(GATE)에 대한 응답으로서 등록 요청 메시지(REGISTER_REQUEST)를 광종단장치(OLT)(10)에게 전송한다(S13). 이 때 등록 요청 메시지(REGISTER_REQUEST)는 물리계층 ID의 용량(PHY ID capa.), 광가입자장치(ONU)(30)의 용량(ONU capa.), 광종단장치(OLT)(10)의 용량(echo of OLT capa.), 광종단장치(OLT)(10)의 공개키로 암호화한 세션키(EKUOLT[세션키]), 광종단장치(OLT)(10)의 공개키로 복호화한 임의값(N1), 광가입자장치(ONU)(30)의 서명을 위해 생성한 임의값(N2)을 포함한다. 그리고, 상기 등록 요청 메시지(REGISTER_REQUEST) 중 광종단장치(OLT)(10)의 공개키로 암호화한 세션키를 제외한 나머지 모든 필드는 세션키로 암호화된다.
광종단장치(OLT)(10)는 광가입자장치(ONU)(30)로부터 수신한 등록 요청 메시지(REGISTER_REQUEST)를 세션키로 복호화한 후, 광가입자장치(ONU)(30)가 등록되었음을 알리는 등록 메시지(REGISTER)를 광가입자장치(ONU)(30)에게 전송한다(S15).
이때 등록 메시지(REGISTER)는 광가입자장치(ONU)(30)의 영구 매제접근제어(MAC) 주소(dest_addr=ONU MAC addr)와, 물리계층 ID 목록(PHY ID list), 광가입자장치(ONU)(30)의 용량(echo of ONU capa.), 광가입자장치(ONU)(30)의 서명(N2)을 포함한다.
광종단장치(OLT)(10)는 광가입자장치(ONU)(30)의 상향 전송을 위하여 일반 게이트 메시지(GATE)를 광가입자장치(ONU)(30)에게 전송한다(S17). 이 때, 일반 게이트 메시지(GATE)는 광가입자 장치(ONU)(30)의 영구 매제접근제어(MAC) 주소(dest_addr=ONU MAC addr)와, 타임 슬롯을 할당하기 위한 타임 슬롯 할당 필드(GRANT)를 포함하고, 세션키로 암호화된다.
마지막으로 광가입자장치(ONU)(30)는 광종단장치(OLT)(10)로부터 전송된 등록 메시지에 대한 응답으로서, 광종단장치(OLT)(10)에게 등록 확인 메시지(REGISTER_ACK)를 전송한다(S19). 이때 등록 확인 메시지(REGISTER_ACK)는 광종단장치(OLT)(10)의 공개키로 암호화한 세션키(EKUOLT[세션키])와 등록된 물리계층 ID(echo of registered PHY ID)를 포함하며, 세션키로 암호화되어 광종단장치(OLT)(10)에게 전달된다. 이와 같은 방법에 의해 세션키의 분배가 이루어지게 된다.
그러나, 상술한 종래의 보안키(세션키) 분배 과정은 다음과 같은 문제점이 있다. 첫째, 광가입자장치(ONU)는 반드시 키 분배 알고리즘이 제공되어야만 광종단장치(OLT)가 암호화한 부분을 해석할 수 있으므로, 키 분배 알고리즘이 없는 일반 광가입자장치(ONU)들은 등록될 수 가 없다. 이는 이더넷 기반의 수동형 광네트워크(EPON) 표준 발견과정에 위배되는 큰 문제점을 발생한다.
둘째, 하나의 광종단장치(OLT)에 연결된 모든 광가입자장치(ONU)들은 동일한 방식의 키 분배 알고리즘을 제공해야 하는데, 이는 키 분배 프로토콜의 효율적인 운용 면에서 취약점이 있다.
셋째, 키 분배 과정에서 광가입자장치(ONU)는 광종단장치(OLT)의 공개키로 광가입자장치(ONU)의 세션키를 암호화하고, 광가입자장치(ONU)의 세션키로 모든 필드를 암호화하는, 즉 2단계의 구성으로 암호화를 수행하기 때문에 키 분배 프로토콜 구조가 복잡하다는 단점이 있다.
넷째, 결정적으로 중요한 단점은 전송되는 다중점 제어 프로토콜(MPCP) 메시지들이 세션키와 공개키로 암호화되므로 키 분배 프로토콜을 가진 광가입자장치(ONU)와 그렇지 않은 일반 광가입자장치(ONU)가 동일선상에서 존재할 수 없게 된다는 문제점이 있다.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, 이더넷 기반의 수동형 광네트워크(EPON)에서 다중점 제어 프로토콜(MPCP)을 이용하여 광종단장치(OLT)와 광가입자장치(ONU)들 간에 암호화된 서비스를 제공하기 위한 보안 채널을 설정 방법 및 이를 위한 프레임 전송 제어용 다중점 제어 프로토콜(MPCP) 메시지 구조를 제공하는데 있다.
본 발명의 다른 목적은, 이더넷 기반의 수동형 광네트워크(EPON)에서 다중점 제어 프로토콜(MPCP)을 이용하여 발견 구간 내에서 광종단장치(OLT)가 광가입자장치(ONU)들의 등록 및 광가입자장치(ONU)들의 보안동작을 설정하고, 키 분배를 제공하여 암호화 기능을 제공하기 위한 보안 채널을 설정 방법 및 이를 위한 프레임 전송 제어용 다중점 제어 프로토콜(MPCP) 메시지 구조를 제공하는데 있다.
본 발명의 또 다른 목적은, 광종단장치(OLT)가 원격으로 광가입자장치(ONU)들에 대한 보안동작 및 키를 할당하기 위한 보안 채널의 설정 방법 및 이를 위한 프레임 전송 제어용 다중점 제어 프로토콜(MPCP) 메시지 구조를 제공하는데 있다.
상기와 같은 목적은 본 발명의 실시 예에 따라, 이더넷 기반의 수동형 광네트워크(EPON)에서 광종단장치(OLT)와 적어도 하나의 광가입자장치(ONU)들 간에 보안 채널 설정 방법에 있어서, a) 상기 광종단장치(OLT)가 발견 구간에서 보안 채널 설정을 원하는 적어도 하나의 상기 광가입자장치(ONU)와, 다중점 제어 프로토콜(MPCP) 메시지와 상기 광종단장치(OLT) 및 상기 광가입자장치(ONU)의 보안능력 정보를 이용하여, 상호 보안동작을 설정하고, 상기 보안동작이 설정된 광가입자장치(ONU)를 자동 등록하여 채널을 생성하는 단계; b) 상기 광종단장치(OLT)가 상기 보안동작이 설정 및 자동 등록이 완료된 광가입자장치(ONU) 중 상기 보안동작의 설정을 맺은 광가입자장치(ONU)와 보안을 위한 암호화 키를 분배하여 상기 보안 채널을 설정하는 단계; 및 c) 상기 보안 채널이 설정된 후, 상기 암호화 키가 분배된 상기 광종단장치(OLT)와 상기 광가입자장치(ONU) 간에, 상기 암호화 키 변경 시간 메시지를 전송하여 상기 암호화 키의 갱신 시점을 공유하는 단계를 포함하는 보안 채널 설정 방법에 의해 달성된다.
바람직하게는, 본 발명의 제1 실시 예에 따라 상기 a) 단계는, 상기 광종단장치(OLT)가 상기 광가입자장치(ONU)의 발견을 위한 발견 게이트 메시지(GATE)에 상기 광종단장치(OLT)의 보안능력 정보를 포함시켜 전송하는 단계; 상기 발견 게이트 메시지를 수신한 상기 광가입자장치(ONU)가 상기 발견 게이트 메시지에 포함된 상기 광종단장치(OLT)의 보안능력 정보를 수용할 수 있으면, 상기 광종단장치(OLT)의 보안능력 정보에 대응하여 보안동작을 설정하고 등록요청 메시지(REGISTER_REQUEST)에 상기 광종단장치(OLT)의 보안능력 정보를 포함시켜 상기 광종단장치(OLT)에게 전송하는 단계; 상기 등록요청 메시지를 수신한 광종단장치(OLT)가 상기 광종단장치(OLT)의 보안능력 정보에 따라 상기 광가입자장치(ONU)가 보안동작이 설정된 것으로 인식하고 상기 광가입자장치(ONU)와의 보안동작 설정을 완료하는 단계; 및 상기 보안동작 설정이 완료된 상기 광종단장치(OLT)와 상기 광가입자장치(ONU) 간에 자동 등록 및 채널이 생성되는 단계를 포함한다.
본 발명의 제2 실시 예에 따라 상기 a) 단계는, 상기 광종단장치(OLT)가 상기 광가입자장치(ONU)의 발견을 위한 발견 게이트 메시지(GATE)에 상기 광종단장치(OLT)의 보안능력 정보를 포함시켜 전송하는 단계; 상기 발견 게이트 메시지를 수신한 상기 광가입자장치(ONU)가 상기 발견 게이트 메시지에 포함된 상기 광종단장치(OLT)의 보안능력 정보를 수용할 수 없으면, 상기 광가입자장치(ONU)의 보안능력 정보를 등록요청 메시지(REGISTER_REQUEST)에 포함시켜 상기 광종단장치(OLT)에게 전송하는 단계; 상기 등록요청 메시지를 수신한 광종단장치(OLT)가 상기 등록요청 메시지에 포함된 상기 광가입자장치(ONU)의 보안능력 정보를 수용할 수 있으면, 상기 광가입자장치(ONU)의 보안능력 정보에 대응하여 보안동작을 설정하고, 상기 광가입자장치(ONU)의 보안능력 정보를 등록 메시지(REGISTER)에 포함시켜 상기 광가입자장치(ONU)에게 전송하는 단계; 상기 등록 메시지를 수신한 광가입자장치(ONU)가 상기 광가입자장치(ONU)의 보안능력 정보에 따라 상기 광종단장치(OLT)가 보안동작이 설정된 것으로 인식하고 상기 광종단장치(OLT)와의 보안동작 설정을 완료하는 단계; 상기 광종단장치(OLT)가 일반 게이트 메시지를 상기 광가입자장치(ONU)에게 전송하는 단계; 상기 일반 게이트 메시지를 수신한 광가입자장치(ONU)가 등록 확인 메시지를 상기 광종단장치(OLT)에게 전송하는 단계; 상기 등록 확인 메시지를 수신한 광종단장치(OLT)가 상기 광가입자장치(ONU)와의 보안동작 설정을 완료하는 단계; 및 상기 보안동작 설정이 완료된 상기 광종단장치(OLT)와 상기 광가입자장치(ONU) 간에 자동 등록 및 채널이 생성되는 단계를 포함한다.
본 발명의 제2 실시 예에서 상기 a) 단계는, 상기 광종단장치(OLT)가 상기 등록요청 메시지에 포함된 상기 광가입자장치(ONU)의 보안능력 정보를 수용할 수 없으면, 상기 광종단장치(OLT) 및 상기 광가입자장치(ONU)의 보안능력 정보가 포함되지 않은 등록 메시지(REGISTER)를 상기 가입자장치(ONU)에게 전송하는 단계를 더 포함한다.
본 발명의 제1 실시 예에 따라 상기 b) 단계는, 상기 광종단장치(OLT)가 상기 보완 동작 설정이 완료된 광가입자장치(ONU)에게 보안 채널에 사용할 암호화 키를 요구하는 키요구 메시지(KEY_REQUEST)를 전송하는 단계; 상기 키요구 메시지를 수신한 광가입자장치(ONU)가 상기 키요구 메시지(KEY_REQUEST)를 이용하여 암호화 키 메시지(ENCRYPTION_KEY)를 생성하여 상기 광종단장치(OLT)에게 전송하고, 암호화 모드를 활성화하는 단계; 및 상기 암호화 키 메시지를 수신한 광종단장치(OLT)가 암호화 모드를 활성화하고, 저장된 암호화 키로 키 등록 확인 메시지(KEY_REGISTER_ACK)를 암호화하여 상기 광가입자장치(ONU)에게 전송하는 단계를 포함한다.
상기 b) 단계는, 상기 키 등록 확인 메시지를 수신한 광가입자장치(ONU)가 상기 키 등록 확인 메시지를 복호화하는 단계; 상기 복호화한 키 등록 확인 메시지와 상기 암호화 키 메시지가 동일하면, 상기 암호화 모드의 활성화를 유지하는 단계; 및 상기 복호화한 키 등록 확인 메시지와 상기 암호화 키 메시지가 동일하지 않으면, 상기 암호화 모드의 활성화를 비활성화로 전환하는 단계를 더 포함한다.
본 발명의 제2 실시 예에 따라 상기 b) 단계는, 상기 보완 동작 설정이 완료된 광가입자장치(ONU)가 상기 광종단장치(OLT)에게 보안 채널에 사용할 암호화 키를 요구하는 키요구 메시지(KEY_REQUEST)를 전송하는 단계; 상기 키요구 메시지를 수신한 광종단장치(OLT)가 상기 키요구 메시지(KEY_REQUEST)를 이용하여 암호화 키 메시지(ENCRYPTION_KEY)를 생성하여 마스터 키로 암호화한 후 상기 광가입자장치(ONU)에게 전송하는 단계; 상기 암호화 키 메시지를 수신한 광가입자장치(ONU)가 상기 암호화 키의 복호 성공 여부에 따라, 암호화 모드의 활성 및 비활성 상태를 선택적으로 수행하는 단계; 및 상기 광가입자장치(ONU)가 상기 수신된 암호화 키를 이용하여 키 등록 확인 메시지(KEY_REGISTER_ACK)를 암호화하여 상기 광종단장치(OLT)에게 전송하는 단계를 포함한다.
상기 b) 단계는, 상기 키 등록 확인 메시지를 수신한 광종단장치(OLT)가 상기 키 등록 확인 메시지를 복호 성공 여부에 따라, 상기 암호화 모드의 활성 및 비 활성 상태를 선택적으로 수행하는 단계를 더 포함한다.
상기 다중점 제어 프로토콜 메시지는, 헤더(HEADER) 정보, 오피 코드(OPCODE), 타임 스탬프(TIME STAMP), 상기 보안능력 정보가 포함된 파라미터 리스트, 및 필드 순서 검사(FCS)정보를 포함한다.
상기 보안능력 정보는, 보안 연결 협약(Connectivity Association: CA) 정보, 보안 채널(Secure Channel: SC) 협약정보, 암호화 알고리즘 타입(Security Algorithm Type) 정보, 프레임별 암호화 모드 타입(Security Mode per Frame Type) 정보, 암호화 기능 활성화 체크(Control Parameters) 모드정보, 키 완료 임박 시간(Almost PN Expire Value) 정보, 및 키 변경 시간(PN Change Value) 정보를 포함한다.
본 발명에 따르면, 다중점 제어 프로토콜(MPCP)을 이용하여 광종단장치(OLT)와 광가입자장치(ONU) 간에 상호 보안동작 설정을 통해 광가입자장치(ONU)들의 자동 등록을 수행하고 새롭게 정의한 키 분배 관련 다중점 제어 프로토콜(MPCP) 메시지를 통해 효율적으로 키 분배 기능을 제공할 수 있다.
이하, 본 발명의 바람직한 실시 예들을 첨부한 도면을 참조하여 상세히 설명한다. 도면들 중 동일한 구성요소들은 가능한 한 어느 곳에서든지 동일한 부호들로 나타내고 있음에 유의해야 한다. 또한 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략한다.
도 4는 본 발명의 바람직한 실시 예에 따른 이더넷 기반의 수동형 광네트워크(EPON)에서 보안 채널 설정을 위한 광종단장치(OLT)와 광가입자장치(ONU)들 간의 등록 및 보안동작의 설정 방법을 도시한 흐름도이다. 본 실시 예에서는 IEEE802.3ah EPON표준에서 정의된 다중점 제어 프로토콜(MPCP) 메시지에 12바이트의 보안동작 필드를 추가하여 광가입자장치(ONU)들의 등록과 동시에 보안동작을 설정하는 과정을 나타낸 것이다.
도시된 바와 같이, 광종단장치(OLT)(200)는 표준방식과 동일하게 발견 구간(Discovery Window)이 열리면, 광가입자장치(ONU)의 발견을 위해 발견 게이트(GATE) 메시지를 전송한다(S110). 이때 광종단장치(OLT)(200)는 광가입자장치(ONU)(100)들의 존재를 모르기 때문에, 목적지 주소로 멀티캐스트 주소(dest_addr=multicast)를 사용한다. 발견 게이트 메시지(GATE)는 새로운 광가입자장치(ONU)가 이 메시지(GATE)에 응답할 수 있도록 할당된 6바이트의 타임 슬롯 할당(Grant) 정보를 포함하고, 자신(OLT)의 용량(OLT capability), 광가입자장치ONU(100)에게 운용하고자 하는 보안 기능을 설정하기 위한 12바이트의 보안동작(OLT Security Capabilities)정보를 포함한다. 이 12바이트의 보안동작(OLT Security Capabilities)정보에는 암호화 채널 종류, 암호화 알고리즘 타입, 프레임별 암호화 모드 방식, 및 기타 파라미터들이 포함된다.
발견 게이트 메시지(GATE)를 수신한 새로운 목적지의 광가입자장치(ONU)(100)는 이 메시지(GATE)에 포함된 할당(Grant) 정보를 이용하여 상향 전송 시간을 설정하고, 설정된 전송 시간이 되면 등록 요청 메시지(REGISTER_REQUEST)를 이용하여 원하는 개수의 물리계층 ID(PHY ID)를 요청한다(S130). 이때 등록 요청 메시지(REGISTER_REQUEST)는 광가입자장치(ONU)(100)의 근원지 매체접근제어(MAC) 주소를 사용한다. 등록 요청 메시지(REGISTER_REQUEST)는 물리계층 ID의 용량(PHY ID capa.), 광가입자장치(ONU)(100)의 용량(ONU capa.), 광종단장치(OLT)(200)의 용량(echo of OLT capa.), 및 광종단장치(OLT)(10)의 보안동작(echo of OLT Security Capabilities)정보를 포함한다.
한편 광가입자장치(ONU)(100)는 광종단장치(OLT)(200)로부터 수신된 보안동작(Security Capabilities) 정보를 설정할 수 있는지 체크한다. 만약 광가입자장치(ONU)(100)는 광종단장치(OLT)(200)로부터 요구된 보안동작(OLT Security Capabilities)정보를 설정할 수 있다면(S120), 이에 대응하여 보안동작을 설정한다. 또한 광가입자장치(ONU)(100)는 등록 요청 메시지(REGISTER_REQUEST)를 통해 광종단장치(OLT)(200)로부터 요구된 보안동작(OLT Security Capabilities)정보를 광종단장치(OLT)(200)로 다시 전송하고, 보안 설정을 완료한다(S130).
수신된 등록 요청 메시지(REGISTER_REQUEST)의 보안동작 필드에 광종단장치(OLT)(200)의 보안동작(OLT Security Capabilities) 정보가 포함되어 있으면, 광종단장치(OLT)(200)는 광가입자장치(ONU)(100)가 정상적으로 광종단장치(OLT)(200)의 보안 설정 요구를 만족했다고 판단하여 광가입자장치(ONU)(100)에 대한 보안동작 설정을 완료한다.
한편, 광가입자장치(ONU)(200)는 광종단장치(OLT)(200)로부터 요구된 보안동작(OLT Security Capabilities)정보를 설정할 수 없다면(S140), 등록 요청 메시지(REGISTER_REQUEST)를 통해 자신(ONU)이 가지고 있는 보안동작(ONU Security Capabilities) 정보를 광종단장치(OLT)(200)에게 전송한다(S150). 만약 광가입자장치(ONU)(200)가 보안 기능을 제공하지 않으면 상기와 같은 보안동작(ONU Security Capabilities) 정보는 전송되지 않는다.
S150 단계에서 전송된 광가입자장치(ONU)의 보안동작(ONU Security Capabilities) 정보가 포함된 등록 요청 메시지(REGISTER_REQUEST)를 수신한 광종단장치(OLT)(200)는, 광가입자장치(ONU)(100)가 광종단장치(OLT)(200)의 보안 설정 요구를 만족하지 못한다고 판단하여 광가입자장치(ONU)(100)에서 요구되는 보안동작을 광종단장치(OLT)(200)에서 수용할 수 있는지 체크 한다.
광종단장치(OLT)(200)는 광가입자장치(ONU)(100)의 보안동작을 설정할 수 있으면(S160), 광가입자장치(ONU)(100)의 보안능력 정보에 대응하여 보안동작을 설정한다. 또한 광종단장치(OLT)(200)는 등록 메시지(REGISTER)를 통해 광가입자장치(ONU)(100)에게 광종단장치(OLT)(200)에 설정된 광가입자장치(ONU)(100)의 보안동작(ONU Security Capabilities) 정보를 전송하고, 이 광가입자장치(ONU)(100)와의 보안동작 설정을 완료한다(S170). 이때 광종단장치(OLT)(200)는 등록 메시지(REGISTER)를 통해 광가입자장치(ONU)(100)로 전송할 때, 광가입자장치(ONU)(100)의 근원지 매체접근제어(MAC) 주소에 물리계층 ID(PHY ID)를 할당하여 전송한다.
광종단장치(OLT)(200)는 광가입자장치(ONU)(100)의 보안동작을 설정할 수 없다면(S180), 보안능력 정보를 포함하지 않는(Null) 등록 메시지(REGISTER)를 광가입자장치(ONU)(100)에게 전송하고 이 광가입자장치(ONU)(100)에 대해 보안 기능이 제공되지 않는다(S190).
한편, 광종단장치(OLT)(200)는 S170 단계에서 광가입자장치(ONU)(100)에게 물리계층 ID(PHY ID)를 할당하는 등록 메시지(REGISTER)를 전송한 후, 광가입자장치(ONU)(100)의 상향 전송을 위하여 일반 게이트 메시지(GATE)를 광가입자장치(ONU)(100)에게 전송한다(S210). 여기서 일반 게이트 메시지(GATE)는 광가입자장치(ONU)(100)가 S170 단계에서 전송된 등록 메시지(REGISTER)를 정상적으로 수신하고 물리계층 ID(PHY ID)가 할당되었는지 확인하기 위한, 등록 확인 메시지(REGISTER_ACK)의 전송 시간에 대한 할당(Grant) 정보를 포함한다.
광가입자장치(ONU)(100)는 S170 단계어서 전송된 등록 메시지(REGISTER)를 수신하면, 이 등록 메시지(REGISTER) 포함된 물리계층 ID(PHY ID)를 레지스터에 저장한다. 그리고 만약 광가입자장치(ONU)(100)는 수신된 등록 메시지(REGISTER)에 자신의 보안동작(ONU Security capabilities) 정보가 포함되어 있으면, 광종단장치(OLT)(200)가 자신의 보안능력 정보에 따라 보안동작이 설정되었다고 인식하고 보안동작 설정을 완료한다. 만약 그렇지 않고 S190 단계에서 전송된 등록 메시지(REGISTER)와 같이 어떠한 보안능력 정보도 포함되어 있지 않으면, 가입자장치(ONU)(100)는 광종단장치(OLT)(200)가 보안동작을 설정하지 않았다고 인식하고 보안 기능을 적용되지 않는다.
한편, 광가입자장치(ONU)(200)는 S210 단계에서 전송된 일반 게이트 메시지(GATE)가 수신되면, 상향 전송 시간을 설정하고 설정된 전송 시간이 되면 물리계층 ID(PHY ID)수신에 대한 응답으로 등록 확인 메시지(REGISTER_ACK)를 광종단장치(OLT)(200)에게 전송한다(S220).
광종단장치(OLT)(200)는 등록 확인 메시지(REGISTER_ACK)를 수신하면, 광가 입자장치(ONU)(100)에 정상적으로 물리계층 ID(PHY ID)가 할당된 것으로 인식하고 광가입자장치(ONU)(100)에 대한 자동 등록을 완료 및 채널을 생성한다(S230).
도 5는 도 4에 도시된 표준 다중점 제어 프로토콜(MPCP) 메시지의 보안동작 필드의 내부 구조를 표시하는 프레임 구조도이다.
도시된 바와 같이, 표준 다중점 제어 프로토콜(MPCP) 메시지(B300)는 64바이트로 구성된다. 14바이트의 헤더(HEADER) 정보(300)에는 6바이트의 목적지 주소와 6바이트의 근원지 주소 그리고 2바이트의 다중점 제어 프로토콜(MPCP) 메시지 이더넷 타입 정보가 포함된다. 2바이트의 오피 코드(OPCODE)(301)는 다중점 제어 프로토콜(MPCP) 메시지들의 식별자로 사용된다. 4바이트의 타임 스탬프(TIME STAMP)(302)는 전송 시간의 단위로 사용한다. 40바이트의 파라미터 리스트(303)에는 다중점 제어 프로토콜(MPCP) 메시지마다 각기 다른 정보들이 포함되며, 본 발명에 의해 제안된 12바이트의 보안동작 필드(304)가 포함된다.
12바이트의 보안동작 필드(304)에는 연결 협약 정보(Connectivity Association: CA)(306)나 보안 채널 협약 정보(Secure Channel: SC)(307)등 채널 정보와 암호화 알고리즘 운용 타입(Security Algorithm Type)(308), 그리고 프레임별 암호화 제공 타입(Security Mode per Frame Type)(309), 암호화 기능별 암호화 모드 정보(Control Parameters)(310), 키 완료 임박 시간(Almost PN Expire Value)(311) 및 키 변경 시간(PN Change Value)(312)으로 구성된다.
4비트의 연결 협약(Connectivity Association: CA)정보(306)는 광종단장치(OLT)(200)와 광가입자장치(ONU)(100) 사이에 구현 가능한 암호 알고리즘 종류를 표시하며, 4가지의 암호화 알고리즘 종류를 비트맵으로 제공한다. 즉, 광종단장치(OLT)(200)와 광가입자장치(ONU)(100)가 동일한 암호 알고리즘을 사용할 때 하나의 연결협약정보(CA)가 설정된다. 현재는 IEEE802.1AE의 표준에 따라 GCM-AES알고리즘만 설정 가능하다. 본 실시 예에서 C비트(313)가 '1'이면 GCM-AES알고리즘의 사용을 의미하고, '0'이면 사용하지 않음을 의미한다.
4비트의 보안 채널(Secure Channel: SC)정보(307)는 유니캐스트(Unicast)와 브로드캐스트(Broadcast) 채널에 대해 보안 기능을 적용할 건지 안할 건지를 표시하는데 사용한다. 또한 이 보안동작 필드가 광종단장치(OLT)용인지 광가입자장치(ONU)용인지 표시한다. 즉, 도면에서 U비트(314)는 유니케스트(Unicast)채널에 대한 보안 설정 상태를 나타내며, B비트(315)는 브로드케스트(Broadcast)채널에 대한 보안 정보 상태를 나타낸다. 그리고 S비트(316)가 '1'이면 광종단장치(OLT)용 보안능력 정보임을 표시하고, '0'이면 광가입자장치(ONU)용 보안능력 정보임을 표시한다.
한편, 1바이트의 암호화 알고리즘 운용 타입(Security Algorithm Type) 정보(308)는 아래 표 1과 같이 하위 2비트를 통해 광종단장치(OLT)와 광가입자장치(ONU) 간의 암호화 운용 모드를 설정할 수 있도록 한다.
EM 비트 | 모 드 |
00 | 인증 암호화 |
01 | 인증 복호화 |
10 | 인증 생성 |
11 | 인증 체크 |
EM(Encryption Mode)
또한 1바이트의 프레임별 암호화(Security Mode per Frame Type)정보(309)는 아래 표 2와 같이 이더넷기반 수동형 광네트워크(EPON) 망에서 전송되는 프레임들의 종류에 대해 각기 암호화를 적용하는데 사용한다. 즉, FT비트(318)의 값이 '1'이면 암호화를 적용하고, '0'이면 암호화를 적용하지 않는다.
FT비트 | FT(2) | FT(1) | FT(0) |
프레임 종류 | MPCP프레임 | OAM프레임 | Data프레임 |
프레임별 암호화 정보
1바이트의 제어 파라미터(Control Parameter)정보(310)는 아래 표 3과 같이 내부 보안 기능에 대한 활성/비활성(Enable/Disable)을 설정하는데 사용한다. 즉, ED비트(319)의 값이 '1'이면 기능 활성화를 하고, '0'이면 기능 비활성화를 한다.
ED비트 | ED(2) | ED(1) | ED(0) |
기능 종류 | 인증 체크 | Replay공격체크 | DoS공격체크 |
기능 제어 정보
4바이트의 키 완료 임박 시간(311)은 이 시간 주기에 도달하면 다음 주기에 사용할 키를 요구하게 되는 시점을 나타낸다. 4바이트의 키 변경 시간(312)은 이 시간 주기에 도달하면 키를 변경하여 사용하게 되는 시점을 나타낸다. 4바이트의 필드 순서 검사(FCS)정보(305)는 다중점 제어 프로토콜(MPCP) 프레임(B300)에 대한 에러 체크 기능을 제공한다.
도 6은 본 발명에 따라 이더넷기반 수동형 광네트워크(EPON)에서 보안 채널 설정을 위해 정의된 키 관련 다중점 제어 프로토콜(MPCP) 메시지를 이용하여 광가입자장치(ONU)에 의해 키 분배를 제공하는 과정을 보여주는 흐름도이다.
도시된 바와 같이, 광종단장치(OLT)(200)와 광가입자장치(ONU)(100) 사이의 키 분배는 도 4의 보안 설정 및 자동 등록 과정이 완료된 후 수행된다. 따라서 보안 설정 및 자동 등록이 완료된 광가입자장치(ONU)들에 대해서만 키 분배가 이루어진다.
키 분배 과정은 다음과 같이 수행된다. 이 경우에서 광가입자장치(ONU)(100)는 키 분배를 위해 중앙제어장치(CPU)가 존재한다.
먼저, 광종단장치(OLT)(200)는 보완 동작 설정이 완료된 광가입자장치(ONU)(100)들에게 보안 채널에 사용할 암호화 키를 요구하는 키요구 메시지(KEY_REQUEST)를 전송한다(S410). 키요구 메시지(KEY_REQUEST)는 모든 광가입자장치(ONU)들에게 또는 특정 광가입자장치(ONU)(100)에게 암호화 키를 요구할 수 있다. 키요구 메시지(KEY_REQUEST)는 광가입자장치(ONU)(100)에서 랜덤 암호화 키를 만드는데 사용하는 비표(Nonce)를 제공한다.
광가입자장치(ONU)(100)는 키요구 메시지(KEY_REQUEST)를 수신하면, 수신한 키요구 메시지(KEY_REQUEST)에 포함된 비표(Nonce)를 이용하여 암호화 키를 생성하고(S420), 생성한 암호화 키(ENCRYPTION_KEY) 메시지를 광종단장치(OLT)(200)에게 전송한다(S430). 그리고 광가입자장치(ONU)(100)는 보안 모드를 활성화 한다(S440). 광종단장치(OLT)(200)로 전송되는 암호화 키(ENCRYPTION_KEY) 메시지는 이더넷기반 수동형 광네트워크(EPON) 토폴로지 구성상 링크를 절단하지 않고서는 다른 광가입자장치(ONU)들이 볼 수 없으므로 암호화 되지 않는다. 하나의 암호화 키(ENCRYPTION_KEY) 메시지에는 최대 40바이트의 암호화 키 정보를 제공한다. IEEE802.1ae에 의해 표준화된 GCM-AES암호 알고리즘은 보안 채널당 24바이트의 암호화 파라미터가 사용되므로, 하나의 메시지에 하나의 암호화 파라미터를 제공할 수 있다. 반면에 NIST표준인 AES암호 알고리즘을 사용 시 보안 채널당 16바이트의 암호화 파라미터가 사용되므로 최대 하나의 메시지에 2개의 암호화 파라미터를 제공할 수 있다.
광종단장치(OLT)(200)는 암호화 키(ENCRYPTION_KEY) 메시지를 수신하면, 파라미터 리스트에 포함된 암호화 파라미터들을 키 레지스터에 저장하고, 암호화 모드를 활성화(S450)한 후 저장된 암호화 키로 키 등록 확인(KEY_REGISTER_ACK) 메시지를 암호화하여 광가입자장치(ONU)(100)로 전송한다(S460).
광가입자장치(ONU)(100)는 암호화된 키 등록 확인(KEY_REGISTER_ACK) 메시지를 복호화하여, 자신의 암호화 파라미터와 동일하면 광가입자장치(ONU)(100)의 암호화 모드의 활성화를 유지하고, 그렇지 않으면 암호화 모드를 비활성화 한다(S470).
광종단장치(OLT)(200)와 광가입자장치(ONU)(100)는 모두 암호화 모드가 활성화되어 암호화 설정이 완료된 후(S480), 전송되는 프레임들에 대한 보안 기능을 제공한다(S490). 광종단장치(OLT)(200)는 분배된 키의 주기를 갱신하기 위해 키 변경 시간(주기) 메시지(KEY_CHANGE_TIME)를 광가입자장치(ONU)(100)에게 전송한다(S495).
도 7은 본 발명에 따라 이더넷기반 수동형 광네트워크(EPON)에서 보안 채널 설정을 위해 정의된 키 관련 다중점 제어 프로토콜(MPCP) 메시지를 이용하여 광종단장치(OLT)에 의해 키 분배를 제공하는 과정을 보여주는 흐름도이다.
도시된 바와 같이, 광종단장치(OLT)(200)와 광가입자장치(ONU)(100) 사이의 키 분배는 도 4의 자동 등록 과정이 완료된 후 수행된다. 키 분배 과정은 다음과 같이 수행된다. 이 경우에서 광종단장치(OLT)(200)의 중앙처리장치(CPU)에 의해 키가 생성되고 분배되기 때문에 광가입자장치(ONU)(100)는 키 분배를 위해 중앙제어장치(CPU)가 존재하지 않아도 된다.
먼저, 광가입자장치(ONU)(100)는 보완 동작 설정이 완료된 광종단장치(OLT)(200)에게 보안 채널에 사용할 암호화 키를 요구하는 키요구 메시지(KEY_REQUEST)를 전송한다(S610). 키요구 메시지(KEY_REQUEST)는 광종단장치(OLT)(200)에서 랜덤 암호화 키를 만드는데 사용하는 비표(Nonce)를 제공한다.
광종단장치(OLT)(200)는 키요구 메시지(KEY_REQUEST)를 수신하면, 키요구 메시지(KEY_REQUEST)에 포함된 비표(Nonce)를 이용하여 암호화 키를 생성하고(S620), 마스터 키로 암호화된 암호화 키(ENCRYPTION_KEY) 메시지를 광가입자장치(ONU)(100)에게 전송한다(S630). 이더넷기반 수동형 광네트워크(EPON) 토폴로지 특성상 하향 프레임은 다른 광가입자장치(ONU)들에게 쉽게 노출될 위험이 있으므로, 광종단장치(OLT)(200)와 광가입자장치(ONU)(100)에 미리 설정된 마스터 키로 암호화하여 전송된다. 마스터 키 사용은 암호화 모드 활성화와 상관없이 사용할 수 있다.
광가입자장치(ONU)(100)는 마스터 키로 암호화된 암호화 키(ENCRYPTION_KEY) 메시지를 수신하여, 성공적으로 복호화되면 암호화 키를 키 레지스터에 저장하고 암호화 모드를 활성화하며, 그렇지 않고 복호화가 실패되면 암호화 키를 저장하지 않고 암호화 모드는 비활성화 된다(S640).
광가입자장치(ONU)(100)는 광종단장치(OLT)(100)로부터 수신된 암호화 키(ENCRYPTION_KEY) 메시지를 이용하여 광종단장치(OLT)(200)에게 암호화된 키 등록 확인(KEY_REGISTER_ACK) 메시지를 전송한다(S650).
광종단장치(OLT)(200)는 광가입자장치(ONU)(100)의 키를 이용하여 암호화된 키 등록 확인(KEY_REGISTER_ACK) 메시지를 복호화하여, 성공적으로 복호화되면 암호화 모드의 활성화를 유지하고, 그렇지 않으면 암호화 모드를 비활성화한다(S660).
광종단장치(OLT)(200)와 광가입자장치(ONU)(100)는 모두 암호화 모드가 활성화되어 보안 설정이 완료된 후(S670)) 전송되는 프레임들에 대한 보안 기능을 제공한다(S680). 이때 광가입자장치(ONU)(100)는 키 변경 주기를 나타내는 암호화된 키 변경 시간(KEY_CHANGE_TIME) 메시지를 광종단장치(OLT)(200)에게 전송한다(S690).
도 8은 본 발명에 따라 도 6 및 도 7에 도시된 키 분배 다중점 제어 프로토콜(MPCP) 메시지의 종류를 나타낸 도면이다.
도시된 바와 같이, 키 분배에 사용되는 메시지는 4가지로 구성된다. 즉 키 요구 메시지(KEY_REQUEST)(600)는 보안 채널에 사용할 암호화 키 또는 파라미터들을 요청하는 메시지이고, 암호화 키 메시지(ENCRYPTION_KEY)(601)는 생성된 암호화 키 또는 파라미터들을 전달하는 메시지이다. 키 등록 확인 메시지(KEY_REGISTER_ACK)(602)는 암호화 키 메시지(ENCRYPTION_KEY)에 대한 응답 메시지로 사용된다. 키 변경 시간 메시지(KEY_CHANGE_TIME)(603)는 키 변경 주기를 표시하는 메시지이다.
이상에서는 본 발명에서 특정의 바람직한 실시 예에 대하여 도시하고 또한 설명하였다. 그러나, 본 발명은 상술한 실시 예에 한정되지 아니하며, 특허 청구의 범위에서 첨부하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 및 균등한 타 실시가 가능할 것이다. 따라서 본 발명의 진정한 기술적 보호범위는 첨부한 특허 청구범위에 의해서만 정해져야 할 것이다.
본 발명에 따르면, 다중점 제어 프로토콜(MPCP)을 이용하여 광종단장치(OLT)와 광가입자장치(ONU) 간에 상호 보안동작 설정을 통해 광가입자장치(ONU)들의 자동 등록을 수행하고 새롭게 정의한 키 분배 관련 다중점 제어 프로토콜(MPCP) 메시지를 통해 효율적으로 키 분배 기능을 제공할 수 있다.
Claims (24)
- 이더넷 기반의 수동형 광네트워크에서 광종단장치와 적어도 하나의 광가입자장치들간에 보안 채널 설정 방법에 있어서,a) 상기 광종단장치가 발견 구간에서 보안 채널 설정을 원하는 적어도 하나의 상기 광가입자장치와, 다중점 제어 프로토콜 메시지와 상기 광종단장치 및 상기 광가입자장치의 보안능력 정보를 이용하여, 상호 보안동작을 설정하고, 상기 보안동작이 설정된 광가입자장치를 자동 등록하여 채널을 생성하는 단계;b) 상기 광종단장치가 상기 보안동작이 설정 및 자동 등록된 광가입자장치 중 상기 보안동작이 설정된 광가입자장치에 보안을 위한 암호화 키를 분배하여 상기 보안 채널을 설정하는 단계; 및c) 상기 보안 채널이 설정된 후, 상기 암호화 키가 분배된 상기 광종단장치와 상기 광가입자장치 간에, 상기 암호화 키 변경 시간 메시지를 전송하여 상기 암호화 키의 갱신 시점을 공유하는 단계를 포함하는 것을 특징으로 하는 보안 채널 설정 방법.
- 제 1항에 있어서,상기 a) 단계는,상기 광종단장치가 상기 광가입자장치의 발견을 위한 발견 게이트 메시지에 상기 광종단장치의 보안능력 정보를 포함시켜 전송하는 단계;상기 발견 게이트 메시지를 수신한 상기 광가입자장치가 상기 발견 게이트 메시지에 포함된 상기 광종단장치의 보안능력 정보를 수용할 수 있으면, 상기 광종단장치의 보안능력 정보에 대응하여 보안동작을 설정하고 등록요청 메시지에 상기 광종단장치의 보안능력 정보를 포함시켜 상기 광종단장치에게 전송하는 단계;상기 등록요청 메시지를 수신한 광종단장치가 상기 광종단장치의 보안능력 정보에 따라 상기 광가입자장치가 보안동작이 설정된 것으로 인식하고 상기 광가입자장치와의 보안동작 설정을 완료하는 단계; 및상기 보안동작 설정이 완료된 상기 광종단장치와 상기 광가입자장치 간에 자동 등록 및 채널이 생성되는 단계를 포함하는 것을 특징으로 하는 보안 채널 설정 방법.
- 제 1항에 있어서,상기 a) 단계는,상기 광종단장치가 상기 광가입자장치의 발견을 위한 발견 게이트 메시지에 상기 광종단장치의 보안능력 정보를 포함시켜 전송하는 단계;상기 발견 게이트 메시지를 수신한 상기 광가입자장치가 상기 발견 게이트 메시지에 포함된 상기 광종단장치의 보안능력 정보를 수용할 수 없으면, 상기 광가입자장치의 보안능력 정보를 등록요청 메시지에 포함시켜 상기 광종단장치에게 전송하는 단계;상기 등록요청 메시지를 수신한 광종단장치가 상기 등록요청 메시지에 포함된 상기 광가입자장치의 보안능력 정보를 수용할 수 있으면, 상기 광가입자장치의 보안능력 정보에 대응하여 보안동작을 설정하고, 상기 광가입자장치의 보안능력 정보를 등록 메시지에 포함시켜 상기 광가입자장치에게 전송하는 단계;상기 등록 메시지를 수신한 광가입자장치가 상기 광가입자장치의 보안능력 정보에 따라 상기 광종단장치가 보안동작이 설정된 것으로 인식하고 상기 광종단장치와의 보안동작 설정을 완료하는 단계;상기 광종단장치가 일반 게이트 메시지를 상기 광가입자장치에게 전송하는 단계;상기 일반 게이트 메시지를 수신한 광가입자장치가 등록 확인 메시지를 상기 광종단장치에게 전송하는 단계;상기 등록 확인 메시지를 수신한 광종단장치가 상기 광가입자장치와의 보안동작 설정을 완료하는 단계; 및상기 보안동작 설정이 완료된 상기 광종단장치와 상기 광가입자장치 간에 자동 등록 및 채널이 생성되는 단계를 포함하는 것을 특징으로 하는 보안 채널 설정 방법.
- 제 3항에 있어서,상기 광종단장치가 상기 등록요청 메시지에 포함된 상기 광가입자장치의 보안능력 정보를 수용할 수 없으면, 상기 광종단장치 및 상기 광가입자장치의 보안능력 정보가 포함되지 않은 등록 메시지를 상기 가입자장치에게 전송하는 단계를 더 포함하는 것을 특징으로 하는 보안 채널 설정 방법.
- 제 1항에 있어서,상기 b) 단계는,상기 광종단장치가 상기 보완 동작 설정이 완료된 광가입자장치에게 보안 채널에 사용할 암호화 키를 요구하는 키요구 메시지를 전송하는 단계;상기 키요구 메시지를 수신한 광가입자장치가 상기 키요구 메시지를 이용하여 암호화 키 메시지를 생성하여 상기 광종단장치에게 전송하고, 암호화 모드를 활성화하는 단계; 및상기 암호화 키 메시지를 수신한 광종단장치가 암호화 모드를 활성화하고, 저장된 암호화 키로 키 등록 확인 메시지를 암호화하여 상기 광가입자장치에게 전송하는 단계를 포함하는 것을 특징으로 하는 보안 채널 설정 방법.
- 제 5항에 있어서,상기 키 등록 확인 메시지를 수신한 광가입자장치가 상기 키 등록 확인 메시지를 복호화하는 단계;상기 복호화한 키 등록 확인 메시지와 상기 암호화 키 메시지가 동일하면, 상기 암호화 모드의 활성화를 유지하는 단계; 및상기 복호화한 키 등록 확인 메시지와 상기 암호화 키 메시지가 동일하지 않으면, 상기 암호화 모드의 활성화를 비활성화로 전환하는 단계를 더 포함하는 것을 특징으로 하는 보안 채널 설정 방법.
- 제 1항에 있어서,상기 b) 단계는,상기 보완 동작 설정이 완료된 광가입자장치가 상기 광종단장치에게 보안 채널에 사용할 암호화 키를 요구하는 키요구 메시지를 전송하는 단계;상기 키요구 메시지를 수신한 광종단장치가 상기 키요구 메시지를 이용하여 암호화 키 메시지를 생성하여 마스터 키로 암호화한 후 상기 광가입자장치에게 전송하는 단계;상기 암호화 키 메시지를 수신한 광가입자장치가 상기 암호화 키의 복호 성공 여부에 따라, 암호화 모드의 활성 및 비활성 상태를 선택적으로 수행하는 단계; 및상기 광가입자장치가 상기 수신된 암호화 키를 이용하여 키 등록 확인 메시지를 암호화하여 상기 광종단장치에게 전송하는 단계를 포함하는 것을 특징으로 하는 보안 채널 설정 방법.
- 제 7항에 있어서,상기 키 등록 확인 메시지를 수신한 광종단장치가 상기 키 등록 확인 메시지에 대한 복호화 성공 여부에 따라, 상기 암호화 모드의 활성 및 비활성 상태를 선택적으로 수행하는 단계를 더 포함하는 것을 특징으로 하는 보안 채널 설정 방법.
- 제 1항에 있어서,상기 다중점 제어 프로토콜 메시지는,헤더 정보, 오피 코드, 타임 스탬프, 상기 보안능력 정보가 포함된 파라미터 리스트, 및 필드 순서 검사정보를 포함하는 것을 특징으로 하는 보안 채널 설정 방법.
- 제 9항에 있어서,상기 보안능력 정보는,보안 연결 협약 정보, 보안 채널 협약정보, 암호화 알고리즘 타입 정보, 프레임별 암호화 모드 타입 정보, 암호화 기능 활성화 체크 모드정보, 키 완료 임박 시간 정보, 및 키 변경 시간 정보를 포함하는 것을 특징으로 하는 보안 채널 설정 방법.
- 제 10항에 있어서,상기 보안 연결 협약 정보 중에서 하위 1비트는 IEEE802.1AE에서 사용되는 GCM-AES알고리즘의 사용 유무를 표시하는 것을 특징으로 하는 보안 채널 설정 방법.
- 제 10항에 있어서,상기 보안 채널 협약 정보 중에서 하위 2비트는 유니케스트와 브로드케스트의 논리 링크에 대한 보안 기능 설정 유무를 표시하고, 3번째 비트는 상기 보안능력 정보가 상기 광종단장치용인지 광가입자장치용인지 주체를 표시하는 것을 특징으로 하는 보안 채널 설정 방법.
- 제 10항에 있어서,상기 암호화 알고리즘 타입 정보 중에서 하위 2비트는 상기 광종단장치와 상기 광가입자장치 간의 암호화 운용 모드를 설정하는 것을 특징으로 하는 보안 채널 설정 방법.
- 제 10항에 있어서,상기 프레임별 암호화 모드 정보 중에서 하위 3비트는 상기 이더넷기반 수동형 광네트워크에서 전송되는 프레임의 종류에 대해 각각 암호화의 적용 유무를 표시하는 것을 특징으로 하는 보안 채널 설정 방법.
- 제 10항에 있어서,상기 암호화 기능 활성화 체크 모드 정보 중에서 하위 3비트는 내부 보안 기능에 대한 활성 및 비활성화를 설정하는 것을 특징으로 하는 보안 채널 설정 방법.
- 제 10항에 있어서,상기 키 완료 임박 시간 및 상기 키 변경 시간 정보는 다음 주기의 상기 암호화 키 요구 시간 및 변경 시간을 설정하는 것을 특징으로 하는 보안 채널 설정 방법.
- 보안 채널을 설정하기 위한 메시지의 목적지와 근원지 정보 및 프로토콜 정보를 입력, 수정, 및 조회할 수 있는 헤더 영역;메시지의 종류를 나타내는 식별정보를 입력, 수정, 및 조회할 수 있는 오피 코드 영역;메시지의 전송 시간을 나타내는 타임 스탬프를 입력 및 조회할 수 있는 단위로 사용되는 타임 스탬프 영역; 및메시지 종류별로 요구되는 보안 채널 설정 및 구동을 위한 보안능력 정보를 입력, 수정, 및 조회할 수 있는 파라미터 리스트 영역을 포함하는 프레임 전송 제어용 다중점 제어 프로토콜 메시지 구조를 기록한 컴퓨터로 읽을 수 있는 기록매체.
- 제 17항에 있어서,상기 보안능력 정보는,보안 연결 협약 정보, 보안 채널 협약정보, 암호화 알고리즘 타입 정보, 프레임별 암호화 모드 타입 정보, 암호화 기능 활성화 체크 모드정보, 키 완료 임박 시간 정보, 및 키 변경 시간 정보를 포함하는 것을 특징으로 하는 프레임 전송 제어용 다중점 제어 프로토콜 메시지 구조를 기록한 컴퓨터로 읽을 수 있는 기록매체.
- 제 18항에 있어서,상기 보안 연결 협약 정보 중에서 하위 1비트는 IEEE802.1AE에서 사용되는 GCM-AES알고리즘의 사용 유무를 표시하는 것을 특징으로 하는 프레임 전송 제어용 다중점 제어 프로토콜 메시지 구조를 기록한 컴퓨터로 읽을 수 있는 기록매체.
- 제 18항에 있어서,상기 보안 채널 협약 정보 중에서 하위 2비트는 유니케스트와 브로드케스트의 논리 링크에 대한 보안 기능 설정 유무를 표시하고, 3번째 비트는 상기 보안능력 정보가 상기 광종단장치용인지 광가입자장치용인지 주체를 표시하는 것을 특징으로 하는 프레임 전송 제어용 다중점 제어 프로토콜 메시지 구조를 기록한 컴퓨터로 읽을 수 있는 기록매체.
- 제 18항에 있어서,상기 암호화 알고리즘 타입 정보 중에서 하위 2비트는 상기 광종단장치와 상기 광가입자장치간의 암호화 운용 모드를 설정하는 것을 특징으로 하는 프레임 전송 제어용 다중점 제어 프로토콜 메시지 구조를 기록한 컴퓨터로 읽을 수 있는 기록매체.
- 제 18항에 있어서,상기 프레임별 암호화 모드 정보 중에서 하위 3비트는 상기 이더넷기반 수동형 광네트워크에서 전송되는 프레임의 종류에 대해 각각 암호화의 적용 유무를 표시하는 것을 특징으로 하는 프레임 전송 제어용 다중점 제어 프로토콜 메시지 구조를 기록한 컴퓨터로 읽을 수 있는 기록매체.
- 제 18항에 있어서,상기 암호화 기능 활성화 체크 모드 정보 중에서 하위 3비트는 내부 보안 기능에 대한 활성 및 비활성화를 설정하는 것을 특징으로 하는 프레임 전송 제어용 다중점 제어 프로토콜 메시지 구조를 기록한 컴퓨터로 읽을 수 있는 기록매체.
- 제 18항에 있어서,상기 키 완료 임박 시간 및 상기 키 변경 시간 정보는 다음 주기의 상기 암호화 키 요구 시간 및 변경 시간을 설정하는 것을 특징으로 하는 프레임 전송 제어용 다중점 제어 프로토콜 메시지 구조를 기록한 컴퓨터로 읽을 수 있는 기록매체.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/607,371 US8086872B2 (en) | 2005-12-08 | 2006-12-01 | Method for setting security channel based on MPCP between OLT and ONUs in EPON, and MPCP message structure for controlling frame transmission |
JP2006332532A JP4455574B2 (ja) | 2005-12-08 | 2006-12-08 | イーサネット基盤の受動型光ネットワークにおいて光終端装置と光加入者装置との間の保安チャネル設定方法及びこのためのフレーム転送制御用の多重点制御プロトコルメッセージ構造 |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020050119323 | 2005-12-08 | ||
KR20050119323 | 2005-12-08 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20070061001A KR20070061001A (ko) | 2007-06-13 |
KR100772180B1 true KR100772180B1 (ko) | 2007-11-01 |
Family
ID=38356940
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020060027147A KR100772180B1 (ko) | 2005-12-08 | 2006-03-24 | 이더넷 기반의 수동형 광네트워크에서 광종단장치와광가입자장치들 간에 보안 채널 설정 방법 및 이를 위한프레임 전송 제어용 다중점 제어 프로토콜 메시지 구조 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100772180B1 (ko) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20000034000A (ko) * | 1998-11-26 | 2000-06-15 | 정선종 | 비동기 전송 모드-폰 시스템의 광 선로 종단장치에서의 하향메시지 할당 방법 |
JP2000228668A (ja) | 2000-01-01 | 2000-08-15 | Nec Corp | パケット送信装置及び方法、パケット送出装置、パケット受信装置及び方法並びにパケット伝送システム |
KR20030088643A (ko) * | 2002-05-14 | 2003-11-20 | 삼성전자주식회사 | 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법 |
WO2005096542A1 (en) | 2004-04-02 | 2005-10-13 | Research In Motion Limited | Deploying and provisioning wireless handheld devices |
-
2006
- 2006-03-24 KR KR1020060027147A patent/KR100772180B1/ko not_active IP Right Cessation
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20000034000A (ko) * | 1998-11-26 | 2000-06-15 | 정선종 | 비동기 전송 모드-폰 시스템의 광 선로 종단장치에서의 하향메시지 할당 방법 |
JP2000228668A (ja) | 2000-01-01 | 2000-08-15 | Nec Corp | パケット送信装置及び方法、パケット送出装置、パケット受信装置及び方法並びにパケット伝送システム |
KR20030088643A (ko) * | 2002-05-14 | 2003-11-20 | 삼성전자주식회사 | 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법 |
WO2005096542A1 (en) | 2004-04-02 | 2005-10-13 | Research In Motion Limited | Deploying and provisioning wireless handheld devices |
Also Published As
Publication number | Publication date |
---|---|
KR20070061001A (ko) | 2007-06-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8086872B2 (en) | Method for setting security channel based on MPCP between OLT and ONUs in EPON, and MPCP message structure for controlling frame transmission | |
KR100523357B1 (ko) | 이더넷 기반 수동형 광네트워크의 보안서비스 제공을 위한키관리 장치 및 방법 | |
JP5288210B2 (ja) | ネットワークでのユニキャスト鍵の管理方法およびマルチキャスト鍵の管理方法 | |
KR100547829B1 (ko) | 암호화 키 교환을 통해 데이터를 안정적으로 전송할 수있는 기가비트 이더넷 기반의 수동 광가입자망 및 이를이용한 데이터 암호화 방법 | |
US7907733B2 (en) | Method for managing traffic encryption key in wireless portable internet system and protocol configuration method thereof, and operation method of traffic encryption key state machine in subscriber station | |
KR100594153B1 (ko) | 점대다 토폴로지의 네트워크에서 논리링크의 형성과 그보안 통신 방법 | |
KR100836028B1 (ko) | 멀티캐스트 브로드캐스트 서비스 제공 방법 | |
KR100684310B1 (ko) | 무선 휴대 인터넷 시스템에서의 트래픽 암호화 키 관리방법 및 그 프로토콜 구성 방법, 그리고 가입자단말에서의 트래픽 암호화 키 상태 머신의 동작 방법 | |
US8948401B2 (en) | Method for filtering of abnormal ONT with same serial number in a GPON system | |
US20050226423A1 (en) | Method for distributes the encrypted key in wireless lan | |
US20070058659A1 (en) | Method for providing requested quality of service | |
KR100547724B1 (ko) | 데이터를 안정적으로 전송할 수 있는 기가비트 이더넷기반의 수동 광가입자망 및 이를 이용한 데이터 암호화 방법 | |
JP3009876B2 (ja) | パケット転送方法および該方法に用いる基地局 | |
WO2011023136A1 (zh) | Ip地址自动配置方法及其装置、系统 | |
JP2005244976A (ja) | 家電装置間の通信方法及び当該方法を実現する装置 | |
WO2011088700A1 (zh) | 一种无源光网络系统组播业务加密方法和装置 | |
US8190887B2 (en) | Cable network system and method for controlling security in cable network encrypted dynamic multicast session | |
KR100594023B1 (ko) | 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법 | |
WO2008122182A1 (en) | A data transmission method and terminals | |
KR100772180B1 (ko) | 이더넷 기반의 수동형 광네트워크에서 광종단장치와광가입자장치들 간에 보안 채널 설정 방법 및 이를 위한프레임 전송 제어용 다중점 제어 프로토콜 메시지 구조 | |
JP2004180183A (ja) | 局側装置、加入者側装置、ポイント・マルチポイント通信システム及びポイント・マルチポイント通信方法 | |
KR100684306B1 (ko) | 무선 휴대 인터넷 시스템에서의 서비스별 트래픽 암호화키 요청과 생성 및 분배 방법 및 그 장치와, 그 프로토콜구성 방법 | |
JP2006245778A (ja) | 通信装置、通信方法、およびプログラム | |
JP2006041641A (ja) | 無線通信システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20111007 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20121011 Year of fee payment: 6 |
|
LAPS | Lapse due to unpaid annual fee |