CN113612612A - 一种数据加密传输方法、系统、设备及存储介质 - Google Patents
一种数据加密传输方法、系统、设备及存储介质 Download PDFInfo
- Publication number
- CN113612612A CN113612612A CN202111163890.4A CN202111163890A CN113612612A CN 113612612 A CN113612612 A CN 113612612A CN 202111163890 A CN202111163890 A CN 202111163890A CN 113612612 A CN113612612 A CN 113612612A
- Authority
- CN
- China
- Prior art keywords
- key
- otn
- target
- data
- transmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/12—Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种数据加密传输方法、系统、设备及存储介质。在本申请实施例中,对光传送网的OTN传输设备进行了改进,为OTN传输设备外接了密钥服务设备,并由密钥服务设备为传输设备生成数据传输所需的密钥;这样,可将原本负载在OTN传输设备上的密钥构建功能进行外置,从而省掉OTN传输设备在密钥构建方面的硬件代价,这可有效降低传输设备的硬件成本。另外,外接的密钥服务设备不再受到硬件限制,因此,可更加灵活地融合不同密钥协商技术,提高密钥构建的效率和/或安全级别。
Description
技术领域
本申请涉及云计算技术领域,尤其涉及一种数据加密传输方法、系统、设备及存储介质。
背景技术
随着云计算的发展,对数据传输网络的安全性要求越来越高,为了防止数据在传输过程中被窃取,通常会采用一些加密的技术在传输发送侧对数据进行加密,然后在数据接收侧对已经加密的数据进行解密,从而保障数据的安全性。
在网络层面通常有几种加密方式,分别是网络七层模型第三层IP层的IP Sec; 第二层的MAC Sec和第一层传输层的OTN (Optical Transport Network,光传送网)加密,其中,传输层中的OTN加密是目前比较常用的加密方式,但是,OTN加密传输的成本一直居高不下。
发明内容
本申请的多个方面提供一种数据加密传输方法、系统、设备及存储介质,用以降低OTN加密传输的成本。
本申请实施例提供一种数据加密传输系统,包括密钥服务设备和OTN传输设备;
所述密钥服务设备,用于为所述OTN传输设备生成数据传输所需的密钥;
所述OTN传输设备,用于在需要对目标数据进行传输的情况下,从所述密钥服务设备中获取所述目标数据对应的目标密钥;利用所述目标密钥将所述目标数据加密传输至对端设备;将所述目标密钥同步至所述对端设备用以解密;
其中,所述对端设备为其它数据传输系统中的OTN传输设备。
本申请实施例还提供一种OTN传输设备,包括存储器、处理器和通信组件;
所述存储器用于存储一条或多条计算机指令;
所述处理器与所述存储器和所述通信组件耦合,用于执行所述一条或多条计算机指令,以用于:
在需要对目标数据进行传输的情况下,从外接的密钥服务设备中获取所述目标数据对应的目标密钥,所述密钥服务设备用于为所述OTN传输设备生成数据传输所需的密钥;
利用所述目标密钥将所述目标数据加密传输至对端设备,所述对端设备为所述OTN传输设备之外的其它OTN传输设备;
通过所述通信组件将所述目标密钥同步至所述对端设备用以解密。
本申请实施例还提供一种数据加密传输方法,包括:
在需要对目标数据进行传输的情况下,从外接的密钥服务设备中获取所述目标数据对应的目标密钥,所述密钥服务设备用于为所述OTN传输设备生成数据传输所需的密钥;
利用所述目标密钥将所述目标数据加密传输至对端设备,所述对端设备为所述OTN传输设备之外的其它OTN传输设备;
将所述目标密钥同步至所述对端设备用以解密。
本申请实施例还提供一种存储计算机指令的计算机可读存储介质,当所述计算机指令被一个或多个处理器执行时,致使所述一个或多个处理器执行前述的数据加密传输方法。
在本申请实施例中,对光传送网中的OTN传输设备进行了改进,为OTN传输设备外接了密钥服务设备,并由密钥服务设备为OTN传输设备生成数据传输所需的密钥;这样,可将原本负载在OTN传输设备上的密钥构建功能进行外置,从而省掉OTN传输设备在密钥构建方面的硬件代价,这可有效降低OTN传输设备的硬件成本。另外,外接的密钥服务设备不再受到硬件限制,因此,可更加灵活地融合不同密钥协商技术,提高密钥构建的效率和/或安全级别。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请一示例性实施例提供的数据加密传输系统的结构示意图;
图2为本申请一示例性实施例提供的一种两个数据加密传输系统之间进行数据加密传输的逻辑示意图;
图3为本申请一示例性实施例提供的一种应用场景的示意图;
图4为本申请另一示例性实施例提供的一种数据加密传输方法的流程示意图;
图5为本申请又一示例性实施例提供的一种OTN传输设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前的OTN加密方式,对OTN传输设备的硬件要求比较高,导致OTN传输设备的硬件成本居高不下。为此,本申请的一些实施例中:对光传送网中的OTN传输设备进行了改进,为OTN传输设备外接了密钥服务设备,并由密钥服务设备为OTN传输设备生成数据传输所需的密钥;这样,可将原本负载在OTN传输设备上的密钥构建功能进行外置,从而省掉OTN传输设备在密钥构建方面的硬件代价,这可有效降低OTN传输设备的硬件成本。另外,外接的密钥服务设备不再受到硬件限制,因此,可更加灵活地融合不同密钥协商技术,提高密钥构建的效率和/或安全级别。
以下结合附图,详细说明本申请各实施例提供的技术方案。
图1为本申请一示例性实施例提供的数据加密传输系统的结构示意图。如图1所示,该系统包括:密钥服务设备10和OTN传输设备20,密钥服务设备10和OTN传输设备20之间可相互通信,例如,密钥服务设备10和OTN传输设备20之间可基于传输层安全协议TLS进行通信。
本实施例提供的数据加密传输系统可应用于各种需要进行数据加密传输的场景中,例如,数据中心互联DCI(Data Center Interconnect)场景等,本实施例对应用场景不做具体限定。
参考图1,本实施例中的数据加密传输系统是从单侧的单次加/解密过程的维度进行的组员设备呈现,应当理解的是数据传输网络中可包含若干本实施例提供的数据加密传输系统,而且,不同数据加密传输系统之间可能存在设备共用。例如,在数据中心互联的场景中,单个数据中心的机房中可部署若干本实施例提供的数据加密传输系统,而同机房的一个或多个OTN传输设备可共用同一密钥服务设备,这样,同一密钥服务设备可与不同的OTN传输设备组合而组建不同的数据加密传输系统。本实施例中的数据传输网络可采用光传送网OTN(Optical Transport Network),也即是,OTN传输设备20与对端设备之间可基于光传送网OTN进行数据传输。其中,对端设备可以是其它数据加密传输系统中的OTN传输设备20,例如,位于不同数据中心机房中的两个OTN传输设备20可基于OTN进行数据传输,从而实现数据中心互联。图2为本申请一示例性实施例提供的一种两个数据加密传输系统之间进行数据加密传输的逻辑示意图。参考图2,设备1(可对应图1中的OTN传输设备20)和设备2(可对应前文中的对端设备)分别位于不同的数据加密传输系统中,且双方之间可进行数据加密传输。
基于此,本实施例中,密钥服务设备10可为OTN传输设备20生成数据传输所需的密钥。实际应用中,OTN传输设备20至少可包含两侧端口:一侧为客户侧,可通过以太网连接一个或多个终端用户;另一侧为线路侧,可通过OTN等连接其它数据加密传输系统中的OTN传输设备20。本实施例中,密钥服务设备10可分别为OTN传输设备20生成与一个或多个对端设备之间进行数据传输所需的密钥,并进行存储。而从与单个对端设备之间的通信连接维度来看,密钥服务设备10可为OTN传输设备20负载的不同终端用户分别生成数据传输所需的密钥,当然,密钥服务设备10还可根据其它细粒度来执行密钥生成操作,例如,客户侧端口等,本实施例并不限于终端用户这一种细粒度,这可支持OTN传输设备20对不同数据使用正确的密钥进行加密传输。另外,密钥服务设备10的密钥生成工作可在OTN传输设备20进行数据传输之前完成,并进行保存,这样,可有效避免密钥构建过程影响到数据传输的时延。
本实施例中,密钥服务设备10可响应于OTN传输设备20发起的针对对端设备的密钥构建请求,与对端设备关联的密钥服务设备进行密钥协商,以生成OTN传输设备20与对端设备进行数据传输所需的密钥。其中,密钥服务设备10可用于执行密钥产生及协商等密钥构建工作。参考图2,对端设备所述的数据加密传输系统中也配置有密钥服务设备10,这样,两个密钥服务设备10之间可进行密钥协商,以产生两个OTN传输设备20之间进行数据传输所需的密钥。本实施例中,对密钥服务设备10所采用的密钥协商技术不做限定,密钥服务设备10不再收到硬件限制,因此,可融合不同算法和技术进行多种的密钥协商,这样,可提供更高的灵活性及安全级别。举例来说,密钥服务设备10可采用量子密钥技术,为OTN传输设备20生成数据传输所需的密钥。其中,量子密钥技术可以是指基于TLS协议之上,可以支持后量子密码学PQC算法、量子密钥分发QKD技术等来协商得到安全密钥的技术。当然,本实施例中,密钥服务设备10还可采用其它密钥协商技术来为OTN传输设备20生成密钥,例如、基于随机数的密钥协商技术等,在此不再穷举。
基于密钥服务设备10提供的密钥生成功能,本实施例中,对OTN传输设备20来说,不再需要承担密钥构建工作,而是可在需要对目标数据进行传输的情况下,从密钥服务设备10中获取目标数据对应的目标密钥。承接上文,OTN传输设备20可通过判断目标数据所属的终端用户/客户侧端口等来确定目标数据对应的目标密钥。当然,确定目标数据对应的而目标密钥的操作也可由密钥服务设备10来完成,这种情况下,OTN传输设备20向密钥服务设备10提供目标数据的相关属性信息即可。
在一种实现方式中,OTN传输设备20和密钥服务设备10之间可基于TLS进行密钥传递。在该实现方式中,OTN传输设备20可维护与密钥服务设备10之间的传输层安全协议会话TSL session;基于传输层安全协议会话,从密钥服务设备10中获取目标数据对应的目标密钥。值得说明的是,在该实现方式中,OTN传输设备20还可复用该传输层安全协议会话TSLsession,以从密钥服务设备10中获取其它数据对应的目标密钥。也即是,OTN传输设备20中可仅需维护一个共用的TSL session,即可通过该TSL session从密钥服务设备10中获取各次数据传输所需的密钥,而无需为不同数据/终端用户/客户侧端口维护不同的TSLsession,这可有效降低OTN传输设备20的逻辑复杂度,并可减少OTN传输设备20为此付出的CPU内存开销,进而提高密钥构建效率。
当然,本实施例中,OTN传输设备20还可采用其它实现方式来从密钥服务设备10中获取所需的密钥,本实施例并不限于此。
在此基础上,对OTN传输设备20来说,可利用目标密钥将目标数据加密传输至对端设备,还可将目标密钥同步至对端设备用以解密。
其中,OTN传输设备20中对目标数据的加密过程可沿用原有的加密传输方案。参考图2,一种示例性的方案中:OTN传输设备20中可配置多个ODU channel(Optical ChannelData Unit,光信道数据单元),不同ODU channel可以独立地使用对应的密钥进行加解密。其中,OTN传输设备20可采用高级加密标准AES256(Advanced Encryption Standard)等加密技术来进行数据加密。本实施例中,对OTN传输设备20按照密钥进行数据加密传输的过程不再展开详述。
OTN传输设备20还可将目标密钥同步至对端设备用以解密。值得说明的是,本实施例中,OTN传输设备20可直接或间接向对端设备提供目标密钥,在直接向对端设备提供目标密钥的过程中,可采用加密方式进行目标密钥的传递,而间接向对端设备提供目标密钥的方案将在后文中进行详述。
通过上述OTN传输设备20与密钥服务设备10之间的相互配合,可实现一次加密发送过程,在加密发送过程中,密钥构建环节与密钥传输环节解耦,密钥构建环节外置而不再依赖OTN传输设备20。
OTN传输设备20和密钥服务设备10还可相互配合,实现数据解密过程。在数据解密过程中:OTN传输设备20可接收对端设备发送的加密数据;从密钥服务设备10中获取加密数据对应的密钥;利用加密数据对应的密钥对加密数据进行解密。其中,密钥服务设备10中已经通过密钥构建过程获得并保存了对端设备与OTN传输设备20进行数据传输所需的各密钥,因此,这里OTN传输设备20可成功从密钥服务设备10中获取到解密所需的密钥。当然,这里默认的是对端设备采用间接的方式将加密数据所需的密钥同步给OTN传输设备20,在另一些情况下,如果对端设备已经采用直接的方式将加密数据所需的密钥同步给OTN传输设备20,则OTN传输设备20无需再从密钥服务设备10中获取密钥,而可直接使用对端设备提供的密钥来对加密数据进行解密。
据此,本实施例中,对光传送网中的OTN传输设备进行了改进,为OTN传输设备外接了密钥服务设备,并由密钥服务设备为OTN传输设备生成数据传输所需的密钥;这样,可将原本负载在OTN传输设备上的密钥构建功能进行外置,从而省掉OTN传输设备在密钥构建方面的硬件代价,这可有效降低OTN传输设备的硬件成本。另外,外接的密钥服务设备不再受到硬件限制,因此,可更加灵活地融合不同密钥构建技术,提高密钥构建的效率和/或安全级别。
在上述或下述实施例中,OTN传输设备20可采用间接方式将目标数据对应的目标密钥同步至对端设备。
为此,在一种可选的实现方式中,密钥服务设备10可为OTN传输设备20下的密钥配置密钥标识,密钥标识用于唯一标识对应的密钥;为OTN传输设备20维护密钥与密钥标识之间的关联关系。举例来说,密钥服务设备10可采用拓扑图等形式来维护OTN传输设备20下的密钥与密钥标识之间的关联关系。
基于此,在该实现方式中,对OTN传输设备20来说,可在需要对目标数据进行传输的情况下,从密钥服务设备中获取目标密钥对应的密钥及目标密钥标识;将目标密钥标识提供给对端设备,以供对端设备按照目标密钥标识从对端设备关联的密钥服务设备中获取目标密钥用以解密。参考图2,设备1可基于TLS从密钥服务设备中获取所需密钥keys和密钥标识IDs,并与设备2进行密钥标识ID传递,而不对密钥keys进行直接传递。
在该实现方式中,OTN传输设备20可采用低速传输通道将目标密钥提供给对端设备。举例来说, OTN传输设备20可复用OTN开销,将目标密钥标识提供给对端设备。其中,复用OTN开销传递目标密钥标识的方式无需依赖专门的硬件,因此,可有效节省OTN传输设备针对密钥同步环节的硬件代价。优选地,OTN传输设备20可复用OTN的TTI开销来进行密钥标识的传递操作,当然,本实施例并不限于此,OTN传输设备20可复用任意一种OTN开销来进行密钥标识的传递操作,相较于传统方案中需要由OTN传输设备承担密钥构建功能而导致的硬件代价来看,本案中OTN传输设备20无论复用任意一种OTN开销进行密钥标识的传递过程均可不同程度地节省OTN传输设备的硬件代价。
以上描述了OTN传输设备20进行加密发送过程中向对端设备间接同步密钥的过程。在该实现方式中,OTN传输设备20也可在数据解密过程中,从对端设备间接同步到加密数据对应的密钥。对此,OTN传输设备20可接收对端设备提供的加密数据对应的密钥标识;从密钥服务设备10中获取加密数据对应的密钥标识关联的密钥,作为加密数据对应的密钥。其中,密钥服务设备10中已经通过密钥构建过程获得并保存了对端设备与OTN传输设备进行数据传输所需的各密钥及密钥标识,因此,这里OTN传输设备可基于对端设备提供给的密钥标识成功从密钥服务设备10中获取到解密所需的密钥。
应当理解的是,本实施例中,除了采用上述基于密钥标识的间接同步密钥的实现方式外,还可采用其它实现方式来进行密钥的间接同步,本实施例并不限于此。
据此,本实施例中,OTN传输设备可采用间接的方式将数据发送所需的密钥同步给对端设备,间接同步的方式对OTN传输设备的硬件要求更低,因此,可有效节省OTN传输设备在密钥同步环节的硬件代价。另外,为保证密钥安全性,密钥服务设备可对密钥获取请求进行访问控制,一种示例性的访问控制方案可以是:仅允许同机房内的OTN传输设备通过TLSsession执行密钥获取操作,这样,即使OTN传输设备之间进行密钥标识传递的过程可能存在安全风险,但由于OTN传输设备与密钥服务设备之间稳固且安全的访问控制关系,可有效保证密钥的安全性。
图3为本申请一示例性实施例提供的一种应用场景的示意图。参考图3,按照单向加解密的过程对该方案进行说明,左侧为加密侧ALICE,右侧为解密侧BOB。
1、密钥服务设备之间预先建立TLS,并进行密钥协商,在Alice和BOB两侧的密钥服务设备上分别生成一套KEY/ID组合。
2、 Alice侧的OTN传输设备向同侧的密钥服务设备请求密钥,密钥服务设备返回一组{key,id}.
3 、Alice侧和Bob侧的OTN传输设备通过复用OTN的TTI开销字节交互ID信息,Alice将ID告知Bob。
4 、Bob侧用ID向同侧的密钥服务设备请求ID对应的key。
5、 Bob侧的OTN传输设备通过复用OTN的TTI开销字节给Alice端发送ID更新确认。至此双方完成ID/KEY的同步。
6 、Alice侧开始OTN加密,Bob侧开始OTN解密。加解密的帧同步可由OTN传输设备OTN封装芯片实现。
图4为本申请另一示例性实施例提供的一种数据加密传输方法的流程示意图,该方法可由传输装置执行,该传输装置可实现为软件和/或硬件的结合,该传输装置可集成在OTN传输设备中。参考图4,该方法包括:
步骤400、在需要对目标数据进行传输的情况下,从外接的密钥服务设备中获取目标数据对应的目标密钥,密钥服务设备用于为OTN传输设备生成数据传输所需的密钥;
步骤401、利用目标密钥将目标数据加密传输至对端设备,对端设备为OTN传输设备之外的其它OTN传输设备;
步骤402、将目标密钥同步至对端设备用以解密。
在一可选实施例中,步骤402可包括:
从密钥服务设备中获取目标密钥对应的目标密钥标识;
将目标密钥标识提供给对端设备,以供对端设备按照目标密钥标识从对端设备关联的密钥服务设备中获取目标密钥用以解密。
在一可选实施例中,步骤将目标密钥标识提供给对端设备,可包括:
复用OTN开销,将目标密钥标识提供给对端设备。
在一可选实施例中,该方法还可包括:
接收对端设备发送的加密数据;
从密钥服务设备中获取加密数据对应的密钥;
利用加密数据对应的密钥对加密数据进行解密。
在一可选实施例中,步骤从密钥服务设备中获取加密数据对应的密钥,可包括:
接收对端设备提供的加密数据对应的密钥标识;
从密钥服务设备中获取加密数据对应的密钥标识关联的密钥,作为加密数据对应的密钥;
其中,密钥服务设备中包含为为OTN传输设备维护的密钥与密钥标识之间的关联关系。
在一可选实施例中,步骤从密钥服务设备中获取目标数据对应的目标密钥,可包括:
维护OTN传输设备与密钥服务设备之间的传输层安全协议会话;
基于传输层安全协议会话,从密钥服务设备中获取目标数据对应的目标密钥;
OTN传输设备还用于:复用传输层安全协议会话,以从密钥服务设备中获取其它数据对应的目标密钥。
值得说明的是,上述关于数据加密传输方法各实施例中的技术细节,可参考前述的系统实施例中关于OTN传输设备的相关描述,为节省篇幅,在此不再赘述,但这不应造成本申请保护范围的损失。
另外,在上述实施例及附图中的描述的一些流程中,包含了按照特定顺序出现的多个操作,但是应该清楚了解,这些操作可以不按照其在本文中出现的顺序来执行或并行执行,操作的序号如401、402等,仅仅是用于区分开各个不同的操作,序号本身不代表任何的执行顺序。另外,这些流程可以包括更多或更少的操作,并且这些操作可以按顺序执行或并行执行。
图5为本申请又一示例性实施例提供的一种OTN传输设备的结构示意图。如图5所示,该计算设备包括:存储器50、处理器51以及通信组件52。
处理器51,与存储器50和通信组件52耦合,用于执行存储器50中的计算机程序,以用于:
在需要对目标数据进行传输的情况下,从外接的密钥服务设备中获取目标数据对应的目标密钥,密钥服务设备用于为OTN传输设备生成数据传输所需的密钥;
利用目标密钥将目标数据加密传输至对端设备,对端设备为OTN传输设备之外的其它OTN传输设备;
通过通信组件52将目标密钥同步至对端设备用以解密。
在一可选实施例中,处理器51在通过通信组件52将目标密钥同步至对端设备用以解密的过程中,可用于:
通过通信组件52从密钥服务设备中获取目标密钥对应的目标密钥标识;
通过通信组件52将目标密钥标识提供给对端设备,以供对端设备按照目标密钥标识从对端设备关联的密钥服务设备中获取目标密钥用以解密。
在一可选实施例中,处理器51在将目标密钥标识提供给对端设备的过程中,可用于:
复用OTN开销,将目标密钥标识提供给对端设备。
在一可选实施例中,处理器51还可用于:
接收对端设备发送的加密数据;
从密钥服务设备中获取加密数据对应的密钥;
利用加密数据对应的密钥对加密数据进行解密。
在一可选实施例中,处理器51在从密钥服务设备中获取加密数据对应的密钥的过程中,可用于:
接收对端设备提供的加密数据对应的密钥标识;
从密钥服务设备中获取加密数据对应的密钥标识关联的密钥,作为加密数据对应的密钥;
其中,密钥服务设备中包含为为OTN传输设备维护的密钥与密钥标识之间的关联关系。
在一可选实施例中,处理器51在从密钥服务设备中获取目标数据对应的目标密钥的过程中,可用于:
维护OTN传输设备与密钥服务设备之间的传输层安全协议会话;
基于传输层安全协议会话,从密钥服务设备中获取目标数据对应的目标密钥;
OTN传输设备还用于:复用传输层安全协议会话,以从密钥服务设备中获取其它数据对应的目标密钥。
进一步,如图5所示,该OTN传输设备还包括:电源组件53等其它组件。图5中仅示意性给出部分组件,并不意味着OTN传输设备只包括图5所示组件。
另外,参考图2,从功能划分的角度,本实施例提供的OTN传输设备可包括密钥处理单元、密钥同步单元和加解密单元。其中,密钥处理单元,可用于承担前述的与密钥服务设备进行交互及密钥获取功能;密钥同步单元,用于承担前述的密钥同步(例如,密钥标识传递)功能;而加解密单元则可用于承担前述的加密传输功能。当然,这种功能划分方案仅是示例性的,本实施例并不限于此。
值得说明的是,上述关于OTN传输设备各实施例中的技术细节,可参考前述的系统实施例中关于OTN传输设备的相关描述,为节省篇幅,在此不再赘述,但这不应造成本申请保护范围的损失。
相应地,本申请实施例还提供一种存储有计算机程序的计算机可读存储介质,计算机程序被执行时能够实现上述方法实施例中可由OTN传输设备执行的各步骤。
上述图5中的存储器,用于存储计算机程序,并可被配置为存储其它各种数据以支持在计算平台上的操作。这些数据的示例包括用于在计算平台上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。存储器可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
上述图5中的通信组件,被配置为便于通信组件所在设备和其他设备之间有线或无线方式的通信。通信组件所在设备可以接入基于通信标准的无线网络,如WiFi,2G、3G、4G/LTE、5G等移动通信网络,或它们的组合,还可以接入光传送网OTN。
上述图5中的电源组件,为电源组件所在设备的各种组件提供电力。电源组件可以包括电源管理系统,一个或多个电源,及其他与为电源组件所在设备生成、管理和分配电力相关联的组件。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器 (CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器 (RAM) 和/或非易失性内存等形式,如只读存储器 (ROM) 或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存 (PRAM)、静态随机存取存储器 (SRAM)、动态随机存取存储器 (DRAM)、其他类型的随机存取存储器 (RAM)、只读存储器 (ROM)、电可擦除可编程只读存储器 (EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘 (DVD) 或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体 (transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (13)
1.一种数据加密传输系统,包括密钥服务设备和光传送网OTN传输设备;
所述密钥服务设备,用于为所述OTN传输设备生成数据传输所需的密钥;
所述OTN传输设备,用于在需要对目标数据进行传输的情况下,从所述密钥服务设备中获取所述目标数据对应的目标密钥;利用所述目标密钥将所述目标数据加密传输至对端设备;将所述目标密钥同步至所述对端设备用以解密;
其中,所述对端设备为其它数据传输系统中的OTN传输设备。
2.根据权利要求1所述的系统,所述密钥服务设备,用于:
响应于所述OTN传输设备发起的针对所述对端设备的密钥构建请求,与所述对端设备关联的密钥服务设备进行密钥协商,以生成所述OTN传输设备与所述对端设备进行数据传输所需的密钥。
3.根据权利要求2所述的系统,所述密钥服务设备,还用于:
为所述OTN传输设备下的密钥配置密钥标识,所述密钥标识用于唯一标识对应的密钥;
为所述OTN传输设备维护密钥与密钥标识之间的关联关系。
4.根据权利要求3所述的系统,所述OTN传输设备在将所述目标密钥同步至所述对端设备用以解密的过程中,用于:
从所述密钥服务设备中获取所述目标密钥对应的目标密钥标识;
将所述目标密钥标识提供给所述对端设备,以供所述对端设备按照所述目标密钥标识从所述对端设备关联的密钥服务设备中获取所述目标密钥用以解密。
5.根据权利要求4所述的系统,所述OTN传输设备在将所述目标密钥标识提供给所述对端设备的过程中,用于:
复用OTN开销,将所述目标密钥标识提供给所述对端设备。
6.根据权利要求1所述的系统,所述OTN传输设备还用于:
接收所述对端设备发送的加密数据;
从所述密钥服务设备中获取所述加密数据对应的密钥;
利用所述加密数据对应的密钥对所述加密数据进行解密。
7.根据权利要求6所述的系统,所述OTN传输设备在从所述密钥服务设备中获取所述加密数据对应的密钥的过程中,用于:
接收所述对端设备提供的所述加密数据对应的密钥标识;
从所述密钥服务设备中获取所述加密数据对应的密钥标识关联的密钥,作为所述加密数据对应的密钥。
8.根据权利要求1所述的系统,所述密钥服务设备在为所述OTN传输设备生成数据传输所需的密钥过程中,用于:
采用量子密钥技术,为所述OTN传输设备生成数据传输所需的密钥。
9.根据权利要求1所述的系统,所述OTN传输设备在从所述密钥服务设备中获取目标数据对应的目标密钥过程中,用于:
维护所述OTN传输设备与所述密钥服务设备之间的传输层安全协议会话;
基于所述传输层安全协议会话,从所述密钥服务设备中获取所述目标数据对应的目标密钥;
所述OTN传输设备还用于:复用所述传输层安全协议会话,以从所述密钥服务设备中获取其它数据对应的目标密钥。
10.一种OTN传输设备,包括存储器、处理器和通信组件;
所述存储器用于存储一条或多条计算机指令;
所述处理器与所述存储器和所述通信组件耦合,用于执行所述一条或多条计算机指令,以用于:
在需要对目标数据进行传输的情况下,从外接的密钥服务设备中获取所述目标数据对应的目标密钥,所述密钥服务设备用于为所述OTN传输设备生成数据传输所需的密钥;
利用所述目标密钥将所述目标数据加密传输至对端设备,所述对端设备为所述OTN传输设备之外的其它OTN传输设备;
通过所述通信组件将所述目标密钥同步至所述对端设备用以解密。
11.一种数据加密传输方法,适用于OTN传输设备,所述方法包括:
在需要对目标数据进行传输的情况下,从外接的密钥服务设备中获取所述目标数据对应的目标密钥,所述密钥服务设备用于为所述OTN传输设备生成数据传输所需的密钥;
利用所述目标密钥将所述目标数据加密传输至对端设备,所述对端设备为所述OTN传输设备之外的其它OTN传输设备;
将所述目标密钥同步至所述对端设备用以解密。
12.根据权利要求11所述的方法,所述将所述目标密钥同步至所述对端设备用以解密,包括:
从所述密钥服务设备中获取所述目标密钥对应的目标密钥标识;
将所述目标密钥标识提供给所述对端设备,以供所述对端设备按照所述目标密钥标识从所述对端设备关联的密钥服务设备中获取所述目标密钥用以解密。
13.一种存储计算机指令的计算机可读存储介质,当所述计算机指令被一个或多个处理器执行时,致使所述一个或多个处理器执行权利要求11-12任一项所述的数据加密传输方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111163890.4A CN113612612A (zh) | 2021-09-30 | 2021-09-30 | 一种数据加密传输方法、系统、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111163890.4A CN113612612A (zh) | 2021-09-30 | 2021-09-30 | 一种数据加密传输方法、系统、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113612612A true CN113612612A (zh) | 2021-11-05 |
Family
ID=78343308
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111163890.4A Pending CN113612612A (zh) | 2021-09-30 | 2021-09-30 | 一种数据加密传输方法、系统、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113612612A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116743380A (zh) * | 2023-08-14 | 2023-09-12 | 中电信量子科技有限公司 | 基于量子密钥分发的otn加密通信方法及系统 |
| CN117040846A (zh) * | 2023-08-10 | 2023-11-10 | 广东九博科技股份有限公司 | 一种接入型otn设备及其数据传输加密和解密方法 |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101127595A (zh) * | 2006-08-15 | 2008-02-20 | 华为技术有限公司 | 一种实现多方通信安全的方法、系统及设备 |
| CN101207628A (zh) * | 2006-12-19 | 2008-06-25 | 日本电气株式会社 | 管理共享信息的方法和系统 |
| CN103138919A (zh) * | 2013-01-18 | 2013-06-05 | 广东华大集成技术有限责任公司 | 一种密钥灌装前置系统及其方法 |
| CN103716153A (zh) * | 2013-03-15 | 2014-04-09 | 福建联迪商用设备有限公司 | 终端主密钥tmk安全下载方法及系统 |
| CN106161416A (zh) * | 2015-05-20 | 2016-11-23 | 中兴通讯股份有限公司 | 一种实现数据传输的方法及光通道传输设备 |
| CN106803783A (zh) * | 2015-11-26 | 2017-06-06 | 深圳市中兴微电子技术有限公司 | 一种加密解密方法、加密解密装置及数据传输系统 |
| CN107124266A (zh) * | 2017-03-07 | 2017-09-01 | 苏州科达科技股份有限公司 | 基于量子加密的视频通信系统以及方法 |
| US20180097720A1 (en) * | 2016-10-03 | 2018-04-05 | 128 Technology, Inc. | Router with Bilateral TCP Session Monitoring |
| CN108075883A (zh) * | 2016-11-11 | 2018-05-25 | 华为技术有限公司 | 一种加密、解密的方法及设备 |
| CN108667526A (zh) * | 2018-03-14 | 2018-10-16 | 北京邮电大学 | 一种光传送网中多业务的安全传送方法、装置及设备 |
| CN111224772A (zh) * | 2018-11-23 | 2020-06-02 | 中兴通讯股份有限公司 | 数据处理方法、装置及计算机可读存储介质 |
| CN111385276A (zh) * | 2018-12-29 | 2020-07-07 | 中兴通讯股份有限公司 | 数据传输方法、数据传输系统及其发送装置与接收装置 |
| CN113300834A (zh) * | 2020-11-05 | 2021-08-24 | 阿里巴巴集团控股有限公司 | 密钥交换方法、通信方法及装置,存储介质和电子设备 |
| CN113452513A (zh) * | 2020-03-25 | 2021-09-28 | 阿里巴巴集团控股有限公司 | 密钥分发方法、装置和系统 |
| CN113452514A (zh) * | 2020-03-25 | 2021-09-28 | 阿里巴巴集团控股有限公司 | 密钥分发方法、装置和系统 |
-
2021
- 2021-09-30 CN CN202111163890.4A patent/CN113612612A/zh active Pending
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101127595A (zh) * | 2006-08-15 | 2008-02-20 | 华为技术有限公司 | 一种实现多方通信安全的方法、系统及设备 |
| CN101207628A (zh) * | 2006-12-19 | 2008-06-25 | 日本电气株式会社 | 管理共享信息的方法和系统 |
| CN103138919A (zh) * | 2013-01-18 | 2013-06-05 | 广东华大集成技术有限责任公司 | 一种密钥灌装前置系统及其方法 |
| CN103716153A (zh) * | 2013-03-15 | 2014-04-09 | 福建联迪商用设备有限公司 | 终端主密钥tmk安全下载方法及系统 |
| CN106161416A (zh) * | 2015-05-20 | 2016-11-23 | 中兴通讯股份有限公司 | 一种实现数据传输的方法及光通道传输设备 |
| CN106803783A (zh) * | 2015-11-26 | 2017-06-06 | 深圳市中兴微电子技术有限公司 | 一种加密解密方法、加密解密装置及数据传输系统 |
| US20180097720A1 (en) * | 2016-10-03 | 2018-04-05 | 128 Technology, Inc. | Router with Bilateral TCP Session Monitoring |
| CN108075883A (zh) * | 2016-11-11 | 2018-05-25 | 华为技术有限公司 | 一种加密、解密的方法及设备 |
| CN107124266A (zh) * | 2017-03-07 | 2017-09-01 | 苏州科达科技股份有限公司 | 基于量子加密的视频通信系统以及方法 |
| CN108667526A (zh) * | 2018-03-14 | 2018-10-16 | 北京邮电大学 | 一种光传送网中多业务的安全传送方法、装置及设备 |
| CN111224772A (zh) * | 2018-11-23 | 2020-06-02 | 中兴通讯股份有限公司 | 数据处理方法、装置及计算机可读存储介质 |
| CN111385276A (zh) * | 2018-12-29 | 2020-07-07 | 中兴通讯股份有限公司 | 数据传输方法、数据传输系统及其发送装置与接收装置 |
| CN113452513A (zh) * | 2020-03-25 | 2021-09-28 | 阿里巴巴集团控股有限公司 | 密钥分发方法、装置和系统 |
| CN113452514A (zh) * | 2020-03-25 | 2021-09-28 | 阿里巴巴集团控股有限公司 | 密钥分发方法、装置和系统 |
| CN113300834A (zh) * | 2020-11-05 | 2021-08-24 | 阿里巴巴集团控股有限公司 | 密钥交换方法、通信方法及装置,存储介质和电子设备 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117040846A (zh) * | 2023-08-10 | 2023-11-10 | 广东九博科技股份有限公司 | 一种接入型otn设备及其数据传输加密和解密方法 |
| CN116743380A (zh) * | 2023-08-14 | 2023-09-12 | 中电信量子科技有限公司 | 基于量子密钥分发的otn加密通信方法及系统 |
| CN116743380B (zh) * | 2023-08-14 | 2023-10-31 | 中电信量子科技有限公司 | 基于量子密钥分发的otn加密通信方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10757083B2 (en) | Method, apparatus, and system for quantum key distribution | |
| EP3432532A1 (en) | Key distribution and authentication method, apparatus and system | |
| US9306734B2 (en) | Communication device, key generating device, and computer readable medium | |
| US11212265B2 (en) | Perfect forward secrecy (PFS) protected media access control security (MACSEC) key distribution | |
| CN110581763A (zh) | 一种量子密钥服务区块链网络系统 | |
| EP3813298B1 (en) | Method and apparatus for establishing trusted channel between user and trusted computing cluster | |
| JP2014053816A (ja) | 通信ノード、鍵同期方法、鍵同期システム | |
| CN113612612A (zh) | 一种数据加密传输方法、系统、设备及存储介质 | |
| EP3633949A1 (en) | Method and system for performing ssl handshake | |
| US11652619B2 (en) | System and method for optimizing the routing of quantum key distribution (QKD) key material in a network | |
| US11652620B2 (en) | System and method for proactively buffering quantum key distribution (QKD) key material | |
| CN114097261B (zh) | 网络切片特定凭证的动态分配 | |
| KR102609406B1 (ko) | Tls 프로토콜 기반 통신 장치 및 공유키 확장 방법 | |
| EP4008085B1 (en) | Secure out-of-band symmetric encryption key delivery | |
| CN110798437B (zh) | 一种数据保护方法、装置及计算机存储介质 | |
| CN115174061A (zh) | 基于区块链中继通信网络系统的消息传输方法及装置 | |
| CN113452649A (zh) | 一种安全多方计算方法、设备、系统及存储介质 | |
| CN110808834A (zh) | 量子密钥分发方法和量子密钥分发系统 | |
| CA3204279A1 (en) | System and method for key establishment | |
| CN114142995B (zh) | 面向区块链中继通信网络的密钥安全分发方法及装置 | |
| US9083682B2 (en) | Communication device and computer program product | |
| CN110830240A (zh) | 一种终端与服务器的通信方法和装置 | |
| CN113452514B (zh) | 密钥分发方法、装置和系统 | |
| CN114827093A (zh) | 一种通信方法、设备、系统及存储介质 | |
| CN116805903A (zh) | 一种密钥管理方法及相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211105 |