CN113765853A - 光传送网中加密控制开销传输方法及装置 - Google Patents
光传送网中加密控制开销传输方法及装置 Download PDFInfo
- Publication number
- CN113765853A CN113765853A CN202010496150.1A CN202010496150A CN113765853A CN 113765853 A CN113765853 A CN 113765853A CN 202010496150 A CN202010496150 A CN 202010496150A CN 113765853 A CN113765853 A CN 113765853A
- Authority
- CN
- China
- Prior art keywords
- osu
- frame
- overhead
- encryption control
- data stream
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04J—MULTIPLEX COMMUNICATION
- H04J3/00—Time-division multiplex systems
- H04J3/16—Time-division multiplex systems in which the time allocation to individual channels within a transmission cycle is variable, e.g. to accommodate varying complexity of signals, to vary number of channels transmitted
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04J—MULTIPLEX COMMUNICATION
- H04J3/00—Time-division multiplex systems
- H04J3/16—Time-division multiplex systems in which the time allocation to individual channels within a transmission cycle is variable, e.g. to accommodate varying complexity of signals, to vary number of channels transmitted
- H04J3/1605—Fixed allocated frame structures
- H04J3/1652—Optical Transport Network [OTN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q11/00—Selecting arrangements for multiplex systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q11/00—Selecting arrangements for multiplex systems
- H04Q11/0001—Selecting arrangements for multiplex systems using optical switching
- H04Q11/0062—Network aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q11/00—Selecting arrangements for multiplex systems
- H04Q11/0001—Selecting arrangements for multiplex systems using optical switching
- H04Q11/0062—Network aspects
- H04Q2011/0079—Operation or maintenance aspects
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本申请提供了一种光传送网中加密控制开销传输方法及装置,其中,该方法包括:将业务映射到光服务层单元OSU数据流中,其中,该OSU由N个基本块组成,该N个基本块包括一个OSU开销和N‑1个OSU静荷;将加密控制开销每间隔M帧插入该OSU数据流的OSU开销通道中,其中,该M为大于或等于1的整数;将该OSU数据流映射到OTN帧的静荷区域的静荷块PB中;将该数据帧封装成光转换单元OTU帧,并向宿端发送该OTU帧,可以解决相关技术中使用OTN帧结构中已有的ODUk保留字节建立安全管理信息通道存在ODUk保留字节数有限、重用部分已有字节在特殊场景下发生冲突,且通过多帧传递的方式节省有限的ODUk保留字节,不是很灵活的问题,实现了安全管理信息的灵活控制。
Description
技术领域
本申请涉及通信领域,具体而言,涉及一种光传送网中加密控制开销传输方法及装置。
背景技术
随着OTN的不断演进,其承载的各种业务所面临的信息安全风险种类不断增多、范围不断扩大且层次不断深入,现有的OTN大多处于“不设防”的状态。伴随着光纤通信网攻击与窃听技术的迅速发展,直接窃取光纤传输数据、光网络管理系统信息被修改和光网络节点设备被攻击的可能性已经成为现实,光网络随时面临安全威胁,无法保证数据信息的安全,因此,对基于光传送网络的加解密技术迫在眉睫。
在现有OTN网络的数据传输过程中,为了保证网络数据的安全性,首先需要对传输的数据进行加密,然后经过OTN网络后对加密后的密文进行解密,得到网络数据。在身份认证、密钥模式切换、密钥无损切换等过程中,需要在开销通道中传递一些重要的开销信息。目前在开销通道的选择上,业界一致认为可以使用OTN的保留开销作为安全管理信息通道,但是OTN的保留开销字节数量有限,如果安全管理信息通道占用的字节数比较多时,如何在有限的保留开销字节中去承载这些安全管理信息,就成为了一个研究的主题。
图1是相关技术中的安全管理控制信息通道实现的示意图,如图1所示,安全管理信息通道可以使用OTN帧结构中已有的ODUk保留字节来建立,通过多帧传递的方式,来节省有限的ODUk保留字节,使用已有的ODUk保留字节建立安全管理信息通道的弊端:一方面已有的ODUk保留字节有限,另外一方面如果重用TCM4/TCM5/TCM6/EXP字节,这些字节在特殊应用场景下有特殊用途,如果将其用来建立安全管理信息通道,会发生冲突,不是很灵活。
针对相关技术中使用OTN帧结构中已有的ODUk保留字节建立安全管理信息通道存在ODUk保留字节数有限、重用部分已有字节在特殊场景下发生冲突,且通过多帧传递的方式节省有限的ODUk保留字节导致不灵活的问题,尚未提出解决方案。
发明内容
本申请实施例提供了一种光传送网中加密控制开销传输方法及装置,以至少解决相关技术中使用OTN帧结构中已有的ODUk保留字节建立安全管理信息通道存在ODUk保留字节数有限、重用部分已有字节在特殊场景下发生冲突,且通过多帧传递的方式节省有限的ODUk保留字节导致不灵活的问题。
根据本申请的一个实施例,提供了一种光传送网中加密控制开销传输方法,包括:
将客户业务映射到光服务层单元OSU数据流中,其中,所述OSU由N个基本块组成,所述N个基本块包括一个OSU开销和N-1个OSU静荷;
将加密控制开销每间隔M帧插入所述OSU数据流的OSU开销通道中,其中,所述M为大于或等于1的整数;
将所述OSU数据流映射到OTN帧的静荷区域的静荷块PB中;
将所述数据帧封装成光转换单元OTU帧,并向宿端发送所述OTU帧。
可选地,将加密控制开销每间隔M帧插入所述OSU数据流的OSU开销通道中包括:
在所述OSU数据流中每间隔M帧的OSU开销中建立加密控制开销通道,通过所述加密控制开销通道承载所述加密控制开销,得到多个安全帧帧头SFH,其中,所述加密控制开销包括计数器、加密控制字以及所述M,所述计数器用于在加密所述OSU静荷过程中对加密单元进行计数。
可选地,在将所述OSU数据流映射到数据帧的PB中之前,所述方法还包括:
对所述多个SFH之间的OSU静荷进行加密,得到多个安全帧帧体SFB;
分别将每个所述SFH与所述SFH之后的所述SFB组合,得到多个安全帧;
分别对所述多个安全帧的完整性进行校验,并将完整性校验字段插入到对应的所述安全帧的尾部。
可选地,对所述多个SFH之间的OSU静荷进行加密,得到多个安全帧帧体SFB包括:
利用复帧对齐信号MFAS和所述计数器的组合对预先与所述宿端协商好的原始密钥进行加密得到目标密钥;
通过所述目标密钥对所述多个SFH之间的OSU静荷的加密单元进行加密,得到所述多个SFB。
可选地,每个所述OSU帧包含X个加密单元,所述计数器的大小为Y,所述计数器的初始值为0,每加密一个所述OSU加密单元,所述计数器的数值加1,其中,X=(P/16)*(N-1),
P为一个所述基本块占用的字节数。
可选地,在通过所述目标密钥对所述多个SFH之间的OSU静荷的加密单元进行加密,得到所述多个SFB之后,所述方法还包括:
在预先设置的所述原始密钥的定时器到期后,与所述宿端同时接收所述加密控制字;
根据所述MFAS在紧邻的W个OSU帧的边界起连续W个OSU帧的SFH中插入所述加密控制字,在下一个所述W帧的边界启动密钥更新操作,其中,W为大于1的整数;
接收所述宿端在以W个OSU帧为周期从所述OSU数据流中,根据所述MFAS每间隔所述M帧连续搜索所述加密控制字,比较所述加密控制字与接收到的加密控制字,如果比较结果为一致的次数大于W/2之后,发送的密钥切换成功消息;
根据所述密钥切换成功消息在下一个所述W帧的边界使用更新后的原始密钥进行加密。
可选地,将所述OSU数据流映射到数据帧的PB中包括:
将所述OSU数据流映射到所述数据帧的PB静荷区域中;
在所述数据帧的PB开销区域中设置所述OSU数据流的开销类型。
根据本申请的另一个实施例,提供了一种光传送网中加密控制开销传输方法,包括:
接收源端发送的由所述OTN帧封装成的光转换单元OTU帧,其中,OTN帧的静荷区域的静荷块PB中映射有OSU数据流,所述OSU数据流每间隔M帧的OSU开销通道中插入有加密控制开销,所述OSU数据流中映射有客户业务,所述OSU由N个基本块组成,所述N个基本块包括一个OSU开销和N-1个OSU静荷;
从所述OTU帧中获取所述OSU数据流。
可选地,在从所述OTU帧中获取所述OSU数据流之后,所述方法还包括:
根据复帧对齐信号MFAS、计数器、加密控制字以及所述M解密所述OSU数据流中的多个安全帧帧体SFB,得到所述业务,其中,所述加密控制开销包括计数器、加密控制字以及所述M,所述计数器用于在加密所述OSU静荷过程中对加密单元进行计数,所述多个安全帧分别由多个SFH与所述多个SFH之后的所述SFB组合而成,所述多个安全帧的尾部插入有完整性校验字段,所述多个SFB是对所述多个SFH之间的OSU静荷进行加密得到的,所述多个SFH是所述OSU数据流每间隔M帧的OSU开销中插入所述加密控制开销之后得到的。
可选地,所述方法还包括:
在预先设置的所述原始密钥的定时器到期后,与所述源端同时接收所述加密控制字,其中,所述源端用于根据所述MFAS在紧邻的W个OSU帧的边界起连续W个OSU帧的所述SFH中插入所述加密控制字,在下一个所述W帧的边界启动密钥更新操作,W为大于1的整数;
以W个OSU帧为周期从所述OSU数据流中,根据所述MFAS每间隔所述M帧连续搜索所述加密控制字,并比较所述加密控制字与接收到的加密控制字;
如果比较结果为一致的次数大于W/2,向所述源端发送密钥切换成功消息,其中,所述密钥切换成功消息用于指示所述源端在下一个所述W帧的边界使用更新后的原始密钥进行加密。
根据本申请的另一个实施例,提供了一种光传送网中加密控制开销传输装置,包括:
第一映射模块,用于将客户业务映射到光服务层单元OSU数据流中,其中,所述OSU由N个基本块组成,所述N个基本块包括一个OSU开销和N-1个OSU静荷;
插入模块,用于将加密控制开销每间隔M帧插入所述OSU数据流的OSU开销通道中,其中,所述M为大于或等于1的整数;
第二映射模块,用于将所述OSU数据流映射到OTN帧的静荷区域的静荷块PB中;
第一发送模块,用于将所述数据帧封装成光转换单元OTU帧,并向宿端发送所述OTU帧。
可选地,所述插入模块,还用于
在所述OSU数据流中每间隔M帧的OSU开销中建立加密控制开销通道,通过所述加密控制开销通道承载所述加密控制开销,得到多个安全帧帧头SFH,其中,所述加密控制开销包括计数器、加密控制字以及所述M,所述计数器用于在加密所述OSU静荷过程中对加密单元进行计数。
可选地,所述装置还包括:
加密模块,用于对所述多个SFH之间的OSU静荷进行加密,得到多个安全帧帧体SFB;
组合模块,用于分别将每个所述SFH与所述SFH之后的所述SFB组合,得到多个安全帧;
校验模块,用于分别对所述多个安全帧的完整性进行校验,并将完整性校验字段插入到对应的所述安全帧的尾部。
可选地,所述加密模块包括:
第一加密子模块,用于利用所述MFAS和所述计数器的组合对预先与所述宿端协商好的原始密钥进行加密得到目标密钥;
第二加密子模块,用于通过所述目标密钥对所述多个SFH之间的OSU静荷的加密单元进行加密,得到所述多个SFB。
可选地,每个所述OSU帧包含X个加密单元,所述计数器的大小为Y,所述计数器的初始值为0,每加密一个所述OSU加密单元,所述计数器的数值加1,其中,X=(P/16)*(N-1),
P为一个所述基本块占用的字节数。
可选地,所述装置还包括:
接收子模块,用于在预先设置的所述原始密钥的定时器到期后,与所述宿端同时接收所述加密控制字;
插入子模块,用于根据所述MFAS在紧邻的W个OSU帧的边界起连续W个OSU帧的SFH中插入所述加密控制字,在下一个所述W帧的边界启动密钥更新操作,其中,W为大于1的整数;
比较子模块,用于接收所述宿端在以W个OSU帧为周期从所述OSU数据流中,根据所述MFAS每间隔所述M帧连续搜索所述加密控制字,比较所述加密控制字与接收到的加密控制字,如果比较结果为一致的次数大于W/2之后,发送的密钥切换成功消息;
第三加密子模块,用于根据所述密钥切换成功消息在下一个所述W帧的边界使用更新后的原始密钥进行加密。
可选地,所述第二映射模块包括:
映射子模块,用于将所述OSU数据流映射到所述数据帧的PB静荷区域中;
设置子模块,用于在所述数据帧的PB开销区域中设置所述OSU数据流的开销类型。
根据本申请的另一个实施例,提供了一种光传送网中加密控制开销传输装置,包括:
第一接收模块,用于接收源端发送的由所述OTN帧封装成的光转换单元OTU帧,其中,OTN帧的静荷区域的静荷块PB中映射有OSU数据流,所述OSU数据流每间隔M帧的OSU开销通道中插入有加密控制开销,所述OSU数据流中映射有客户业务,所述OSU由N个基本块组成,所述N个基本块包括一个OSU开销和N-1个OSU静荷;
获取模块,用于从所述OTU帧中获取所述OSU数据流。
可选地,所述装置还包括:
解密模块,用于根据复帧对齐信号MFAS、计数器、加密控制字以及所述M解密所述OSU数据流中的多个安全帧帧体SFB,得到所述业务,其中,所述加密控制开销包括计数器、加密控制字以及所述M,所述计数器用于在加密所述OSU静荷过程中对加密单元进行计数,所述多个安全帧分别由多个SFH与所述多个SFH之后的所述SFB组合而成,所述多个安全帧的尾部插入有完整性校验字段,所述多个SFB是对所述多个SFH之间的OSU静荷进行加密得到的,所述多个SFH是所述OSU数据流每间隔M帧的OSU开销中插入所述加密控制开销之后得到的。
可选地,所述装置还包括:
第二接收模块,用于在预先设置的所述原始密钥的定时器到期后,与所述源端同时接收所述加密控制字,其中,所述源端用于根据所述MFAS在紧邻的W个OSU帧的边界起连续W个OSU帧的所述SFH中插入所述加密控制字,在下一个所述W帧的边界启动密钥更新操作,W为大于1的整数;
比较模块,用于以W个OSU帧为周期从所述OSU数据流中,根据所述MFAS每间隔所述M帧连续搜索所述加密控制字,并比较所述加密控制字与接收到的加密控制字;
第二发送模块,用于如果比较结果为一致的次数大于W/2,向所述源端发送密钥切换成功消息,其中,所述密钥切换成功消息用于指示所述源端在下一个所述W帧的边界使用更新后的原始密钥进行加密。
根据本申请的又一个实施例,还提供了一种计算机可读的存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
根据本申请的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
通过本申请,将业务映射到OSU数据流中,在OSU数据流的OSU开销区域插入加密控制开销即安全管理信息,并插入OTN帧的静荷区域中划分出的PB中,在不占用有限的ODUk保留字节的基础上,可以解决相关技术中使用OTN帧结构中已有的ODUk保留字节建立安全管理信息通道存在ODUk保留字节数有限、重用部分已有字节在特殊场景下发生冲突,且通过多帧传递的方式节省有限的ODUk保留字节导致不灵活的问题,实现了安全管理信息的灵活控制。
附图说明
图1是相关技术中的安全管理控制信息通道实现的示意图;
图2是本发明实施例的一种光传送网中加密控制开销传输方法的移动终端的硬件结构框图;
图3是根据本发明实施例的光传送网中加密控制开销传输的流程图一;
图4是根据本申请实施例的OSU帧的结构示意图;
图5是根据本申请实施例的OSU帧插入开销块的结构示意图一;
图6是根据本申请实施例的OSU帧插入开销块的结构示意图二;
图7是根据本申请实施例的OSU帧映射到PB中的示意图;
图8是根据本申请实施例的OSU结构和最小加密单元的关系的示意图;
图9是根据本申请实施例的OSU帧中加密控制字的示意图;
图10是根据本发明实施例的光传送网中加密控制开销传输的流程图二;
图11是根据本申请实施例的基于OSU结构的加密处理示意图一;
图12是根据本申请实施例的基于OSU结构的加密处理示意图二;
图13是根据本申请实施例的源端的密钥切换的示意图一;
图14是根据本申请实施例的宿端的密钥切换的示意图一;
图15是根据本申请实施例的基于OSU结构的加密处理的示意图三;
图16是根据本申请实施例的基于OSU结构的加密处理的示意图四;
图17是根据本申请实施例的源端的密钥切换的示意图二;
图18是根据本申请实施例的宿端的密钥切换的示意图二;
图19是根据本发明实施例的光传送网中加密控制开销传输装置的结构框图一;
图20是根据本发明实施例的光传送网中加密控制开销传输装置的结构框图二。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明的实施例。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
本申请实施例中所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在移动终端上为例,图2是本发明实施例的一种光传送网中加密控制开销传输方法的移动终端的硬件结构框图,如图2所示,移动终端可以包括一个或多个(图2中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,其中,上述移动终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图2所示的结构仅为示意,其并不对上述移动终端的结构造成限定。例如,移动终端还可包括比图2中所示更多或者更少的组件,或者具有与图2所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的光传送网中加密控制开销传输方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至移动终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括移动终端的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种运行于上述移动终端或网络架构的光传送网中加密控制开销传输方法,图3是根据本发明实施例的光传送网中加密控制开销传输的流程图一,如图3所示,该流程包括如下步骤:
步骤S302,将客户业务映射到光服务层单元OSU数据流中,其中,所述OSU由N个基本块组成,所述N个基本块包括一个OSU开销和N-1个OSU静荷;
步骤S304,将加密控制开销每间隔M帧插入所述OSU数据流的OSU开销通道中,其中,所述M为大于或等于1的整数;
本实施例中,上述步骤S304具体可以通过以下方式实现:在所述OSU数据流中每间隔M帧的OSU开销中建立加密控制开销通道,通过所述加密控制开销通道承载所述加密控制开销,得到多个安全帧帧头SFH,其中,所述加密控制开销包括计数器、加密控制字以及所述M,所述计数器用于在加密所述OSU静荷过程中对加密单元进行计数。
步骤S306,将所述OSU数据流映射到OTN帧的静荷区域的静荷块PB中;
本实施例中,上述步骤S306具体可以包括:
将所述OSU数据流映射到所述数据帧的PB静荷区域中;
在所述数据帧的PB开销区域中设置所述OSU数据流的开销类型。
步骤S308,将所述数据帧封装成光转换单元OTU帧,并向宿端发送所述OTU帧。
通过上述步骤S302至S308,将业务映射到OSU数据流中,在OSU数据流的OSU开销区域插入加密控制开销即安全管理信息,并插入OTN帧的静荷区域中划分出的PB中,在不占用有限的ODUk保留字节的基础上,可以解决相关技术中使用OTN帧结构中已有的ODUk保留字节建立安全管理信息通道存在ODUk保留字节数有限、重用部分已有字节在特殊场景下发生冲突,且通过多帧传递的方式节省有限的ODUk保留字节导致不灵活的问题,实现了安全管理信息的灵活控制。
图4是根据本申请实施例的OSU帧的结构示意图,如图4所示,本申请实施例将客户业务映射到OSU中,OSU由N个基本块结构组成,包括开销和净荷两种类型,不同业务的N取值不同,每个OSU中第一个基本块为OSU开销,剩余的N-1个基本块为OSU净荷。
在一实施例中,在将所述OSU数据流映射到数据帧的PB中之前,对所述多个SFH之间的OSU静荷进行加密,得到多个安全帧帧体SFB,进一步的,利用复帧对齐信号MFAS和所述计数器的组合对预先与所述宿端协商好的原始密钥进行加密得到目标密钥;通过所述目标密钥对所述多个SFH之间的OSU静荷的加密单元进行加密,得到所述多个SFB;分别将每个所述SFH与所述SFH之后的所述SFB组合,得到多个安全帧;分别对所述多个安全帧的完整性进行校验,并将完整性校验字段插入到对应的所述安全帧的尾部,复帧对齐信号MFAS是一种OSU基本开销。
本实施例中,每个所述OSU帧包含X个加密单元,所述计数器的大小为Y,所述计数器的初始值为0,每加密一个所述OSU加密单元,所述计数器的数值加1,其中,X=(P/16)*(N-1),
P为一个所述基本块占用的字节数。
OSU的基本块长度为P字节,OSU的组成为N*P字节。针对OSU进行加密时,除了对OSU净荷部分进行加密外,还需要添加一些安全管理信息,因此需要定义一个安全管理信息通道;另外还需要对安全帧的完整性进行校验,生成安全帧完整性校验值插到安全帧的尾部。加密的OSU净荷部分称作SFB,安全管理信息称作SFH(加密控制开销),安全帧包括SFH和SFB两部分,安全帧完整性校验字段称作SFC,SFC插在安全帧的后面。经过加密、完整性校验后的结构是安全帧的头部是SFH,安全帧尾部是SFC,除去头部和尾部剩下的就是加密净荷区SFB。其中SFH包括从加密端传输到解密端的控制信息,以及其他安全传输关联的控制信息,SFC则是对安全帧的完整性校验。
为了实现OSU加密,可以在OSU数据流中构建加密通道,即在OSU数据流中插入加密开销块。加密控制块可以基于单个OSU帧插入,也可以基于多个OSU帧插入,SFH承载在加密开销块中,图5是根据本申请实施例的OSU帧插入开销块的结构示意图一,如图5所示,SFH每个OSU帧插入一次,图6是根据本申请实施例的OSU帧插入开销块的结构示意图二,如图6所示,N个OSU帧插入一次,SFC则是在一个OSU帧或N个OSU帧加密完成后,插入到加密帧的尾部。加密控制块的带宽为加密控制块的长度与加密控制块的插入周期的比值。
本实施例中,在通过所述目标密钥对所述多个SFH之间的OSU静荷的加密单元进行加密,得到所述多个SFB之后,在预先设置的所述原始密钥的定时器到期后,与所述宿端同时接收所述加密控制字;根据所述MFAS在紧邻的W个OSU帧的边界起连续W个OSU帧的SFH中插入所述加密控制字,在下一个所述W帧的边界启动密钥更新操作,其中,W为大于1的整数;
接收所述宿端在以W个OSU帧为周期从所述OSU数据流中,根据所述MFAS每间隔所述M帧连续搜索所述加密控制字,比较所述加密控制字与接收到的加密控制字,如果比较结果为一致的次数大于W/2之后,发送的密钥切换成功消息;根据所述密钥切换成功消息在下一个所述W帧的边界使用更新后的原始密钥进行加密。
图7是根据本申请实施例的OSU帧映射到PB中的示意图,如图7所示,将光传送网帧净荷区域划分成PB,PB包括开销区域和净荷区域。将上述插入加密控制块的OSU数据流映射到PB的净荷区域中。加密控制块和OSU开销是两种不同类型的控制块,为了识别这两种类型的控制块,在PB的开销区域设置指示标记,指示标记用于说明该PB中承载的控制块类型。
图8是根据本申请实施例的OSU结构和最小加密单元的关系的示意图,如图8所示,SFH中的加密控制块主要包含两部分:计数器和加密控制字。由于OSU帧是基于N*P字节的,净荷部分占(N-1)*P字节,采用AES-CTR加密模式,最小的加密单元为128比特(即16字节)。每个OSU帧包含(P/16)*(N-1)个加密单元,计数器的大小(单位为比特)为log2((P/16)*(N-1))取整。在该模式下,首先利用MFAS和计数器的组合对128位的原始密钥进行加密得到新的密钥,然后再利用新密钥对用户目标数据(OSU的最小加密单元)进行加密。加密端和解密端都使用本地原始密钥、计数器和复帧对齐信号MFAS的本地值。其中原始密钥需要加密端和解密端进行协商;计数行为加密端和解密端保持一致;MFAS是从本地帧中提取的。计数器从0开始,每加密一个128位的OSU加密单元,计数器的数值加1。计数器的数值范围为0到(P/16)*(N-1)-1,在每个OSU帧的帧头位置开始加密最小加密单元,直到该OSU帧结束。计数器在下个OSU帧的帧头处重新开始计数。因此,无需在安全管理信道SFH中传输计数器数值和MFAS值,只需要在该通道中传输原始密钥,并且加密端和解密端协商一致。不论是每个OSU帧插入一次SFH,还是N个OSU帧插入一次SFH,由于加密是针对每个OSU帧的,因此处理方式是一致的。
图9是根据本申请实施例的OSU帧中加密控制字的示意图,如图9所示,针对密钥及模式间的无损切换这一块,利用M个加密帧MFAS的大数判决方法来保证可靠性。针对每个OSU帧插入一次SFH的情况,加密端和解密端在收到各自本地的加密控制字后,加密端根据本地的MFAS在紧邻的M帧边界开始连续M帧中指定开销位置插入M帧加密控制字,解密端则以M帧为周期连续搜索和比较加密控制字,最后解密端以大数判决原则来确认解密端和加密端的同步操作是否完成,并实现CTR、ECB、直通等模式以及加密端、解密端密钥的无损切换。这里的大数判决原则是以M帧为基准,只要宿端的加密控制字和源端传递过来的控制字相同的次数大于M/2次,即认为同步完成。针对N个OSU帧插入一次SFH的情况,加密端除了要向解密端传递加密控制字以外,还要传递N值,即多少帧插入一次SFH,加密控制字和N值均是作为安全管理信息来传递的。以N个OSU帧为单位,作为一个整体帧,加密端根据本地整体帧的首个OSU帧的MFAS在紧邻的M个整体帧边界开始连续M个整体帧在指定的开销位置插入M帧加密控制字,解密端则以M个整体帧为周期连续搜索和比较加密控制字,如果加密控制字一致,则启动模式切换以及无损切换。
本实施例还提供了一种光传送网中加密控制开销传输方法,图10是根据本发明实施例的光传送网中加密控制开销传输的流程图二,如图10所示,该流程包括如下步骤:
步骤S1002,接收源端发送的由所述OTN帧封装成的光转换单元OTU帧,其中,OTN帧的静荷区域的静荷块PB中映射有OSU数据流,所述OSU数据流每间隔M帧的OSU开销通道中插入有加密控制开销,所述OSU数据流中映射有客户业务,所述OSU由N个基本块组成,所述N个基本块包括一个OSU开销和N-1个OSU静荷;
步骤S1004,从所述OTU帧中获取所述OSU数据流。
在一实施例中,在从所述OTU帧中获取所述OSU数据流之后,根据复帧对齐信号MFAS、计数器、加密控制字以及所述M解密所述OSU数据流中的多个安全帧帧体SFB,得到所述业务,其中,所述加密控制开销包括计数器、加密控制字以及所述M,所述计数器用于在加密所述OSU静荷过程中对加密单元进行计数,所述多个安全帧分别由多个SFH与所述多个SFH之后的所述SFB组合而成,所述多个安全帧的尾部插入有完整性校验字段,所述多个SFB是对所述多个SFH之间的OSU静荷进行加密得到的,所述多个SFH是所述OSU数据流每间隔M帧的OSU开销中插入所述加密控制开销之后得到的。
在另一实施例中,在预先设置的所述原始密钥的定时器到期后,与所述源端同时接收所述加密控制字,其中,所述源端用于根据所述MFAS在紧邻的W个OSU帧的边界起连续W个OSU帧的所述SFH中插入所述加密控制字,在下一个所述W帧的边界启动密钥更新操作,W为大于1的整数;以W个OSU帧为周期从所述OSU数据流中,根据所述MFAS每间隔所述M帧连续搜索所述加密控制字,并比较所述加密控制字与接收到的加密控制字;
如果比较结果为一致的次数大于W/2,向所述源端发送密钥切换成功消息,其中,所述密钥切换成功消息用于指示所述源端在下一个所述W帧的边界使用更新后的原始密钥进行加密。
下面以具体实例对本申请实施例进行详细说明。
两个OTN设备之间通过光转换单元OTU2传送一个100Mbit/s的客户业务A,和一个155.52Mbit/s的客户业务B,在源端的设备对客户业务A和客户业务B进行加密,加密控制开销按照每个OSU帧插入一次的方式,在宿端的设备对加密后的业务进行解密,还原出原始的客户业务A和客户业务B。同时,为了保证密钥的安全性,需要定期的更新密钥。
步骤1,本实施例中,OSU的基本块长度为64字节,数据帧由ODU2的净荷组成,包括200个PB,根据OSU带宽和PB净荷带宽的关系,可以计算出OSU占用的PB个数。承载客户业务A的OSU#1由6个64字节基本块组成,承载客户业务B的OSU#2由10个64字节基本块组成。
步骤2,图11是根据本申请实施例的基于OSU结构的加密处理示意图一,如图11所示,SFH按照每个OSU帧插入一次的方式进行,那么客户业务A则是6个基本块插入一次,SFH插入周期记为Ta;图12是根据本申请实施例的基于OSU结构的加密处理示意图二,如图12所示,客户业务B则是10个基本块插入一次,SFH插入周期记为Tb。按照旁路开销的设计,先发开销再发数据。对应于客户业务A源端按照周期Ta发一次加密控制开销SFH,对于客户业务B源端按照周期Tb发一次加密控制开销SFH。
步骤3,源端在客户业务A和客户业务B按照各自周期发送加密控制开销后,然后再发送数据OSU,填充到两个加密控制开销中间,对这部分的净荷部分按照128bit为一个加密单元划分进行加密处理,加密后的数据即组成了SFB。最后对安全帧(SFH+SFB)的完整性进行校验,计算完整性校验值C,把该校验值插入到安全帧的后面,即SFC。
步骤4,客户业务A和客户业务B按照步骤3中的处理方法来周期性的完成OSU#1和OSU#2的加密处理和完整性处理。
步骤5,将OSU#1,OSU#2复用到数据帧中对应位置的PB中,完成OSU#1和OSU#2复用后,将数据帧封装成OTU2并发送发出去。
步骤6,在宿端接收到OTU2后,从数据帧的PB中解映射出相应的OSU#1和OSU#2。
步骤7,宿端然后根据类型标识识别出数据块、I DLE块、基本开销块和加密开销块。
步骤8,针对加密的OSU块,本地计算一个校验值D,比较接收到的完整性校验值C和本地计算的校验值D,如果两者不同,丢弃该OSU块;如果两者相同,则从OSU块解密出原始的业务类型A和业务类型B。
步骤9,当密钥更新的定时器到期后,首先由上层软件给源端设备和宿端设备同时下发加密控制字,然后由源端设备发起密钥更新的操作。
步骤10,图13是根据本申请实施例的源端的密钥切换的示意图一,如图13所示,源端设备对承载客户业务A的OSU#1,以及承载客户业务B的OSU#2,根据本地的MFAS[2:0]在紧邻的8帧边界开始连续8帧在指定开销位置SFH中插入8帧加密控制字,待8帧加密控制字插入完成后,在下一个MFAS[2:0]的8帧边界启动切换操作;
步骤11,图14是根据本申请实施例的宿端的密钥切换的示意图一,如图14所示,宿端根据本地的MFAS[2:0]从紧邻的下一个8帧边界开始,以8帧为周期在接收到的OSU帧的SFH位置搜索加密控制字,并与本地的加密控制字进行比较。如果在某个8帧周期比较中,加密控制字匹配成功次数大于4次以上则确认同步成功,宿端则在紧邻的下一个8帧边界切换新的密钥,同时上报切换成功的事件。如果比较成功的次数小于5次,则上报切换失败事件,宿端后面会继续以8帧为周期不断搜索和比较加密控制字。
两个OTN设备之间通过OTU2传送一个2.24Mbit/s的客户业务A,和一个49.96Mbit/s的客户业务B,在源端的设备对客户业务A和客户业务B进行加密,加密控制开销按照每2个OSU帧插入一次的方式,在宿端的设备对加密后的业务进行解密,还原出原始的客户业务A和客户业务B。同时,为了保证密钥的安全性,需要定期的更新密钥。
步骤1,本实施例中,OSU的基本块长度为64字节,数据帧由ODU2的净荷组成,包括200个PB,根据OSU带宽和PB净荷带宽的关系,可以计算出OSU占用的PB个数。承载客户业务A的OSU#1由3个64字节基本块组成,承载客户业务B的OSU#2由5个64字节基本块组成。
步骤2,图15是根据本申请实施例的基于OSU结构的加密处理的示意图三,如图15所示,SFH按照每2个OSU帧插入一次的方式进行,那么客户业务A则是6个基本块插入一次,SFH插入周期记为Ta;图16是根据本申请实施例的基于OSU结构的加密处理的示意图四,如图16所示,客户业务B则是10个基本块插入一次,SFH插入周期记为Tb。按照旁路开销的设计,先发开销再发数据。对应于客户业务A源端按照周期Ta发一次加密控制开销SFH,对于客户业务B源端按照周期Tb发一次加密控制开销SFH。
步骤3,源端在客户业务A和客户业务B按照各自周期发送加密控制开销后,然后再发送数据OSU,填充到两个加密控制开销中间,对这部分的净荷部分按照128bit为一个加密单元划分进行加密处理,加密后的数据即组成SFB。最后对安全帧(SFH+SFB)的完整性进行校验,计算完整性校验值C,把该校验值插入到安全帧的后面,即SFC。
步骤4,客户业务A和客户业务B按照步骤3中的处理方法来周期性的完成OSU#1和OSU#2的加密处理和完整性处理。
步骤5,将OSU#1,OSU#2复用到数据帧中对应位置的PB中,完成OSU#1和OSU#2复用后,将数据帧封装成OTU2并发送发出去。
步骤6,在宿端接收到OTU2后,从数据帧的PB中解映射出相应的OSU#1和OSU#2。
步骤7,宿端然后根据数据、开销的位置以及类型标识识别出数据块、I DLE块、基本开销块和加密开销块。
步骤8,针对加密的OSU块,本地计算一个校验值D,比较接收到的完整性校验值C和本地计算的校验值D,如果两者不同,丢弃该OSU块;如果两者相同,则从OSU块解密出原始的业务类型A和业务类型B。
步骤9,当密钥更新的定时器到期后,首先由上层软件给源端设备和宿端设备同时下发加密控制字,然后由源端设备发起密钥更新的操作。
步骤10,图17是根据本申请实施例的源端的密钥切换的示意图二,如图17所示,源端设备对承载客户业务A的OSU#1,以及承载客户业务B的OSU#2,根据本地的MFAS[2:0]在紧邻的4个整体帧边界开始连续4个整体帧在指定开销位置SFH中插入4帧加密控制字,即在MFAS[2:0]=0,2,4,6的位置插入加密控制字。待4帧加密控制字插入完成后,在下一个MFAS[2:0]的4个整体帧边界启动切换操作。同时由于SFH是按照每2个OSU帧插入一次的方式进行,因此源端还需要在指定开销位置SFH中插入“N值”(即多少个OSU帧插入一次SFH),将该数值传递到宿端。
步骤11,图18是根据本申请实施例的宿端的密钥切换的示意图二,如图18所示,宿端在接收到源端发送过来的OSU帧后,解析出SFH中的内容,获取“N值”,对应本实施例中N值为2,然后根据本地的MFAS[2:0]从紧邻的下一个4个整体帧边界开始,以4个整体帧为周期在接收到的OSU帧的SFH位置搜索加密控字,即在MFAS[2:0]=0,2,4,6的位置搜索加密控制字,并与本地的加密控制字进行比较。如果在某个4个整体帧的周期比较中,加密控制字匹配成功次数大于2次以上则确认同步成功,宿端则在紧邻的下一个4个整体帧的边界切换新的密钥,同时上报切换成功的事件。如果比较成功的次数小于2次,则上报切换失败事件,宿端后面会继续以4个整体帧为周期不断搜索和比较加密控制字。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
在本实施例中还提供了一种光传送网中加密控制开销传输装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图19是根据本发明实施例的光传送网中加密控制开销传输装置的结构框图一,如图19所示,该装置包括:
第一映射模块192,用于将客户业务映射到光服务层单元OSU数据流中,其中,所述OSU由N个基本块组成,所述N个基本块包括一个OSU开销和N-1个OSU静荷;
插入模块194,用于将加密控制开销每间隔M帧插入所述OSU数据流的OSU开销通道中,其中,所述M为大于或等于1的整数;
第二映射模块196,用于将所述OSU数据流映射到OTN帧的静荷区域的静荷块PB中;
第一发送模块198,用于将所述数据帧封装成光转换单元OTU帧,并向宿端发送所述OTU帧。
可选地,所述插入模块194,还用于
在所述OSU数据流中每间隔M帧的OSU开销中建立加密控制开销通道,通过所述加密控制开销通道承载所述加密控制开销,得到多个安全帧帧头SFH,其中,所述加密控制开销包括计数器、加密控制字以及所述M,所述计数器用于在加密所述OSU静荷过程中对加密单元进行计数。
可选地,所述装置还包括:
加密模块,用于对所述多个SFH之间的OSU静荷进行加密,得到多个安全帧帧体SFB;
组合模块,用于分别将每个所述SFH与所述SFH之后的所述SFB组合,得到多个安全帧;
校验模块,用于分别对所述多个安全帧的完整性进行校验,并将完整性校验字段插入到对应的所述安全帧的尾部。
可选地,所述加密模块包括:
第一加密子模块,用于利用复帧对齐信号MFAS和所述计数器的组合对预先与所述宿端协商好的原始密钥进行加密得到目标密钥;
第二加密子模块,用于通过所述目标密钥对所述多个SFH之间的OSU静荷的加密单元进行加密,得到所述多个SFB。
可选地,每个所述OSU帧包含X个加密单元,所述计数器的大小为Y,所述计数器的初始值为0,每加密一个所述OSU加密单元,所述计数器的数值加1,其中,X=(P/16)*(N-1),
P为一个所述基本块占用的字节数。
可选地,所述装置还包括:
接收子模块,用于在预先设置的所述原始密钥的定时器到期后,与所述宿端同时接收所述加密控制字;
插入子模块,用于根据所述MFAS在紧邻的W个OSU帧的边界起连续W个OSU帧的SFH中插入所述加密控制字,在下一个所述W帧的边界启动密钥更新操作,其中,W为大于1的整数;
比较子模块,用于接收所述宿端在以W个OSU帧为周期从所述OSU数据流中,根据所述MFAS每间隔所述M帧连续搜索所述加密控制字,比较所述加密控制字与接收到的加密控制字,如果比较结果为一致的次数大于W/2之后,发送的密钥切换成功消息;
第三加密子模块,用于根据所述密钥切换成功消息在下一个所述W帧的边界使用更新后的原始密钥进行加密。
可选地,所述第二映射模块196包括:
映射子模块,用于将所述OSU数据流映射到所述数据帧的PB静荷区域中;
设置子模块,用于在所述数据帧的PB开销区域中设置所述OSU数据流的开销类型。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
在本实施例中还提供了一种光传送网中加密控制开销传输装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图20是根据本发明实施例的光传送网中加密控制开销传输装置的结构框图二,如图20所示,该装置包括:
第一接收模块202,用于接收源端发送的由所述OTN帧封装成的光转换单元OTU帧,其中,OTN帧的静荷区域的静荷块PB中映射有OSU数据流,所述OSU数据流每间隔M帧的OSU开销通道中插入有加密控制开销,所述OSU数据流中映射有客户业务,所述OSU由N个基本块组成,所述N个基本块包括一个OSU开销和N-1个OSU静荷;
获取模块204,用于从所述OTU帧中获取所述OSU数据流。
可选地,所述装置还包括:
解密模块,用于根据复帧对齐信号MFAS、计数器、加密控制字以及所述M解密所述OSU数据流中的多个安全帧帧体SFB,得到所述业务,其中,所述加密控制开销包括计数器、加密控制字以及所述M,所述计数器用于在加密所述OSU静荷过程中对加密单元进行计数,所述多个安全帧分别由多个SFH与所述多个SFH之后的所述SFB组合而成,所述多个安全帧的尾部插入有完整性校验字段,所述多个SFB是对所述多个SFH之间的OSU静荷进行加密得到的,所述多个SFH是所述OSU数据流每间隔M帧的OSU开销中插入所述加密控制开销之后得到的。
可选地,所述装置还包括:
第二接收模块,用于在预先设置的所述原始密钥的定时器到期后,与所述源端同时接收所述加密控制字,其中,所述源端用于根据所述MFAS在紧邻的W个OSU帧的边界起连续W个OSU帧的所述SFH中插入所述加密控制字,在下一个所述W帧的边界启动密钥更新操作,W为大于1的整数;
比较模块,用于以W个OSU帧为周期从所述OSU数据流中,根据所述MFAS每间隔所述M帧连续搜索所述加密控制字,并比较所述加密控制字与接收到的加密控制字;
第二发送模块,用于如果比较结果为一致的次数大于W/2,向所述源端发送密钥切换成功消息,其中,所述密钥切换成功消息用于指示所述源端在下一个所述W帧的边界使用更新后的原始密钥进行加密。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
本发明的实施例还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
在一个示例性实施例中,上述计算机可读存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本发明的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
在一个示例性实施例中,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
本实施例中的具体示例可以参考上述实施例及示例性实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (14)
1.一种光传送网中加密控制开销传输方法,其特征在于,包括:
将客户业务映射到光服务层单元OSU数据流中,其中,所述OSU由N个基本块组成,所述N个基本块包括一个OSU开销和N-1个OSU静荷;
将加密控制开销每间隔M帧插入所述OSU数据流的OSU开销通道中,其中,所述M为大于或等于1的整数;
将所述OSU数据流映射到OTN帧的静荷区域的静荷块PB中;
将所述数据帧封装成光转换单元OTU帧,并向宿端发送所述OTU帧。
2.根据权利要求1所述的方法,其特征在于,将加密控制开销每间隔M帧插入所述OSU数据流的OSU开销通道中包括:
在所述OSU数据流中每间隔M帧的OSU开销中建立加密控制开销通道,通过所述加密控制开销通道承载所述加密控制开销,得到多个安全帧帧头SFH,其中,所述加密控制开销包括计数器、加密控制字以及所述M,所述计数器用于在加密所述OSU静荷过程中对加密单元进行计数。
3.根据权利要求2所述的方法,其特征在于,在将所述OSU数据流映射到数据帧的PB中之前,所述方法还包括:
对所述多个SFH之间的OSU静荷进行加密,得到多个安全帧帧体SFB;
分别将每个所述SFH与所述SFH之后的所述SFB组合,得到多个安全帧;
分别对所述多个安全帧的完整性进行校验,并将完整性校验字段插入到对应的所述安全帧的尾部。
4.根据权利要求3所述的方法,其特征在于,对所述多个SFH之间的OSU静荷进行加密,得到多个安全帧帧体SFB包括:
利用复帧对齐信号MFAS和所述计数器的组合对预先与所述宿端协商好的原始密钥进行加密得到目标密钥;
通过所述目标密钥对所述多个SFH之间的OSU静荷的加密单元进行加密,得到所述多个SFB。
5.根据权利要求4所述的方法,其特征在于,每个所述OSU帧包含X个加密单元,所述计数器的大小为Y,所述计数器的初始值为0,每加密一个所述OSU加密单元,所述计数器的数值加1,其中,X=(P/16)*(N-1),
P为一个所述基本块占用的字节数。
6.根据权利要求4所述的方法,其特征在于,在通过所述目标密钥对所述多个SFH之间的OSU静荷的加密单元进行加密,得到所述多个SFB之后,所述方法还包括:
在预先设置的所述原始密钥的定时器到期后,与所述宿端同时接收所述加密控制字;
根据所述MFAS在紧邻的W个OSU帧的边界起连续W个OSU帧的SFH中插入所述加密控制字,在下一个所述W帧的边界启动密钥更新操作,其中,W为大于1的整数;
接收所述宿端在以W个OSU帧为周期从所述OSU数据流中,根据所述MFAS每间隔所述M帧连续搜索所述加密控制字,比较所述加密控制字与接收到的加密控制字,如果比较结果为一致的次数大于W/2之后,发送的密钥切换成功消息;
根据所述密钥切换成功消息在下一个所述W帧的边界使用更新后的原始密钥进行加密。
7.根据权利要求1至6中任一项所述的方法,其特征在于,将所述OSU数据流复用到数据帧的PB中包括:
将所述OSU数据流映射到所述数据帧的PB静荷区域中;
在所述数据帧的PB开销区域中设置所述OSU数据流的开销类型。
8.一种光传送网中加密控制开销传输方法,其特征在于,包括:
接收源端发送的由所述OTN帧封装成的光转换单元OTU帧,其中,OTN帧的静荷区域的静荷块PB中映射有OSU数据流,所述OSU数据流每间隔M帧的OSU开销通道中插入有加密控制开销,所述OSU数据流中映射有客户业务,所述OSU由N个基本块组成,所述N个基本块包括一个OSU开销和N-1个OSU静荷;
从所述OTU帧中获取所述OSU数据流。
9.根据权利要求8所述的方法,其特征在于,在从所述OTU帧中获取所述OSU数据流之后,所述方法还包括:
根据复帧对齐信号MFAS、计数器、加密控制字以及所述M解密所述OSU数据流中的多个安全帧帧体SFB,得到所述业务,其中,所述加密控制开销包括计数器、加密控制字以及所述M,所述计数器用于在加密所述OSU静荷过程中对加密单元进行计数,所述多个安全帧分别由多个SFH与所述多个SFH之后的所述SFB组合而成,所述多个安全帧的尾部插入有完整性校验字段,所述多个SFB是对所述多个SFH之间的OSU静荷进行加密得到的,所述多个SFH是所述OSU数据流每间隔M帧的OSU开销中插入所述加密控制开销之后得到的。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
在预先设置的所述原始密钥的定时器到期后,与所述源端同时接收所述加密控制字,其中,所述源端用于根据所述MFAS在紧邻的W个OSU帧的边界起连续W个OSU帧的所述SFH中插入所述加密控制字,在下一个所述W帧的边界启动密钥更新操作,W为大于1的整数;
以W个OSU帧为周期从所述OSU数据流中,根据所述MFAS每间隔所述M帧连续搜索所述加密控制字,并比较所述加密控制字与接收到的加密控制字;
如果比较结果为一致的次数大于W/2,向所述源端发送密钥切换成功消息,其中,所述密钥切换成功消息用于指示所述源端在下一个所述W帧的边界使用更新后的原始密钥进行加密。
11.一种光传送网中加密控制开销传输装置,其特征在于,包括:
第一映射模块,用于将客户业务映射到光服务层单元OSU数据流中,其中,所述OSU由N个基本块组成,所述N个基本块包括一个OSU开销和N-1个OSU静荷;
插入模块,用于将加密控制开销每间隔M帧插入所述OSU数据流的OSU开销通道中,其中,所述M为大于或等于1的整数;
第二映射模块,用于将所述OSU数据流映射到OTN帧的静荷区域的静荷块PB中;
第一发送模块,用于将所述数据帧封装成光转换单元OTU帧,并向宿端发送所述OTU帧。
12.一种光传送网中加密控制开销传输装置,其特征在于,包括:
第一接收模块,用于接收源端发送的由所述OTN帧封装成的光转换单元OTU帧,其中,OTN帧的静荷区域的静荷块PB中映射有OSU数据流,所述OSU数据流每间隔M帧的OSU开销通道中插入有加密控制开销,所述OSU数据流中映射有客户业务,所述OSU由N个基本块组成,所述N个基本块包括一个OSU开销和N-1个OSU静荷;
获取模块,用于从所述OTU帧中获取所述OSU数据流。
13.一种计算机可读的存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行所述权利要求1至7、8至10任一项中所述的方法。
14.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行所述权利要求1至7、8至10任一项中所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010496150.1A CN113765853A (zh) | 2020-06-03 | 2020-06-03 | 光传送网中加密控制开销传输方法及装置 |
| PCT/CN2021/097388 WO2021244489A1 (zh) | 2020-06-03 | 2021-05-31 | 光传送网中加密控制开销传输方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010496150.1A CN113765853A (zh) | 2020-06-03 | 2020-06-03 | 光传送网中加密控制开销传输方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113765853A true CN113765853A (zh) | 2021-12-07 |
Family
ID=78783410
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010496150.1A Pending CN113765853A (zh) | 2020-06-03 | 2020-06-03 | 光传送网中加密控制开销传输方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN113765853A (zh) |
| WO (1) | WO2021244489A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023134513A1 (zh) * | 2022-01-14 | 2023-07-20 | 华为技术有限公司 | 开销信息传输方法、通信装置和系统 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112584259B (zh) * | 2019-09-30 | 2022-08-09 | 华为技术有限公司 | 一种光传送网中的业务处理的方法、装置和系统 |
| CN114245241B (zh) * | 2021-12-22 | 2023-11-03 | 烽火通信科技股份有限公司 | 一种延时自适应的bmp映射实现方法及系统 |
| CN117354647A (zh) * | 2022-06-29 | 2024-01-05 | 华为技术有限公司 | 数据帧的校验方法及相关设备 |
| CN117040846B (zh) * | 2023-08-10 | 2024-08-02 | 广东九博科技股份有限公司 | 一种接入型otn设备及其数据传输加密和解密方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106161416A (zh) * | 2015-05-20 | 2016-11-23 | 中兴通讯股份有限公司 | 一种实现数据传输的方法及光通道传输设备 |
| CN107800502B (zh) * | 2016-08-31 | 2019-05-31 | 深圳市中兴微电子技术有限公司 | 加解密模式间切换的方法及装置 |
| US10469459B2 (en) * | 2017-04-07 | 2019-11-05 | Fujitsu Limited | Use of optical transport network overhead data for encryption |
| US10985847B2 (en) * | 2017-12-21 | 2021-04-20 | Cisco Technology, Inc. | Security over optical transport network beyond 100G |
-
2020
- 2020-06-03 CN CN202010496150.1A patent/CN113765853A/zh active Pending
-
2021
- 2021-05-31 WO PCT/CN2021/097388 patent/WO2021244489A1/zh active Application Filing
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023134513A1 (zh) * | 2022-01-14 | 2023-07-20 | 华为技术有限公司 | 开销信息传输方法、通信装置和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2021244489A1 (zh) | 2021-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113765853A (zh) | 光传送网中加密控制开销传输方法及装置 | |
| KR0145494B1 (ko) | 통신 시스템에서 데이타 스트림의 암호적 프로텍션을 제공하기 위한 방법과 장치 | |
| RU2341028C2 (ru) | Эффективная передача криптографической информации в протоколе безопасности реального времени | |
| KR102226021B1 (ko) | 서비스 송신 방법과 장치, 서비스 수신 방법과 장치, 및 네트워크 시스템 | |
| US6052466A (en) | Encryption of data packets using a sequence of private keys generated from a public key exchange | |
| CN101310473B (zh) | 无线网络的空中接口应用层安全 | |
| US6792111B1 (en) | Cryptation system for packet switching networks based on digital chaotic models | |
| CN107786320B (zh) | 一种发送和接收业务的方法、装置和网络系统 | |
| CN110335043B (zh) | 一种基于区块链系统的交易隐私保护方法、设备以及系统 | |
| CN106612203A (zh) | 一种处理灵活以太网客户端数据流的方法及装置 | |
| CN112688845B (zh) | 车载can网络的通信方法及装置 | |
| US4661657A (en) | Method and apparatus for transmitting and receiving encoded data | |
| ITMI971335A1 (it) | Procedimento per il cifraggio di trasferimento di dati in un sistema di comunicazione di dati | |
| KR102256875B1 (ko) | 분리된 카운트를 사용하여 다수의 nas 연결에 대한 보안을 제공하는 방법 및 관련된 네트워크 노드와 무선 터미널 | |
| EP4145788A1 (en) | Service data processing, exchange and extraction methods, devices, and computer-readable medium | |
| CN111372056A (zh) | 一种视频数据加密、解密处理方法及装置 | |
| CN111050321A (zh) | 一种数据处理方法、装置及存储介质 | |
| CN115549895A (zh) | 加密传输方法及装置 | |
| CN112134831B (zh) | 接入请求的发送、处理方法及装置 | |
| CN114826748A (zh) | 基于rtp、udp及ip协议的音视频流数据加密方法和装置 | |
| CN115225296B (zh) | 一种加密数据的传输方法及相关设备 | |
| RU2754632C1 (ru) | Способ расширения адресного пространства в системе связи | |
| CN112422277B (zh) | 差动保护组内差动单元之间加密数据传输系统及方法 | |
| KR100798921B1 (ko) | Mac 보안 서비스망에서의 보안 채널 제어 방법 및 이를구현하는 단말 장치 | |
| EP1627490B1 (en) | Processor and method for end-to-end encryption synchronisation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |