CN114499821A - 加解密系统、光模块和相关装置、系统 - Google Patents

加解密系统、光模块和相关装置、系统 Download PDF

Info

Publication number
CN114499821A
CN114499821A CN202011339858.2A CN202011339858A CN114499821A CN 114499821 A CN114499821 A CN 114499821A CN 202011339858 A CN202011339858 A CN 202011339858A CN 114499821 A CN114499821 A CN 114499821A
Authority
CN
China
Prior art keywords
encryption
decryption
physical layer
network device
code stream
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011339858.2A
Other languages
English (en)
Inventor
王建兵
毕红军
谭健思
孙德胜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to PCT/CN2021/097145 priority Critical patent/WO2022100069A1/zh
Priority to EP21890600.6A priority patent/EP4224752A4/en
Publication of CN114499821A publication Critical patent/CN114499821A/zh
Priority to US18/308,692 priority patent/US20230269074A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0457Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply dynamic encryption, e.g. stream encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种加解密系统、光模块和相关装置、系统,属于网络通信技术领域。该加解密系统包括加解密部件、第一接口部件和第二接口部件。加解密部件用于加密来自第一接口部件的第一物理层码流,并将加密后的第一物理层码流传输至第二接口部件,以及用于解密来自第二接口部件的第二物理层码流,并将解密后的第二物理层码流传输至第一接口部件。采用本申请,可以降低数据传输时加解密造成的时延。

Description

加解密系统、光模块和相关装置、系统
本申请要求于2020年11月12日提交的申请号为202011261717.3、发明名称为“一种数据加解密方法、装置”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
技术领域
本申请涉及光纤通信技术领域,特别涉及一种加解密系统、光模块和相关装置、系统。
背景技术
随着互联网技术的发展,越来越多的数据在网络中传输,且大部分数据以明文形式在网络中传输,这样就会存在较多的安全隐患,如私密信息被窃取、遭到恶意网络攻击等。因此,保证网络数据传输的安全性越来越重要。目前网络数据传输的安全性主要靠数据加密技术进行保障。
一种数据加密技术是采用媒体访问控制安全协议(Media Access ControlSecurity,MACsec)技术。MACsec技术用于开放式系统互联(Open SystemInterconnection,OSI)参考模型的数据链路层,是一种标准化的二层加密技术。具体的,网络设备A和网络设备B之间使用MACsec技术,网络设备A在数据链路层对数据帧进行加密,将加密后的数据帧发送给网络设备B。网络设备B在数据链路层对加密后的数据帧进行解密,获得网络设备A发送的数据帧。
然而在使用MACsec技术时,还需要在数据链路层对数据帧进行加密或者解密处理,会导致数据传输的时延比较高。
发明内容
本申请提供了一种加解密系统、光模块和相关装置、系统,用以降低数据传输的时延。
第一方面,本申请提供了一种加解密系统,加解密系统包括加解密部件、第一接口部件和第二接口部件;加解密部件,用于加密来自第一接口部件的第一物理层码流,并将加密后的第一物理层码流传输至第二接口部件,以及用于解密来自第二接口部件的第二物理层码流,并将解密后的第二物理层码流传输至第一接口部件。
本申请所示的方案,加解密系统可以加密第一物理层码流,并且可以解密第二物理层码流,可见可以在物理层实现加密和解密,直接处理的是物理层码流,而不是数据帧,所以可以降低加解密时造成的数据时延。
在一种可能的实现方式中,加解密部件在物理层芯片中实现,或加解密部件通过调用指令实现,或加解密部件通过独立电路实现。
这样,由于物理层芯片的处理能力强,加解密部件在物理层芯片中实现时,可以更快速的执行加解密。由于加解密部件通过调用指令实现,是通过软件实现,对硬件改动比较小。由于加解密部件通过独立电路实现,即通过独立芯片实现,而不是通过软件实现也可以快速的执行加解密。
在一种可能的实现方式中,加解密部件用于:获取加密密钥和解密密钥;使用加密密钥加密第一物理层码流,以及使用解密密钥解密第二物理层码流。
本申请所示的方案,加解密部件可以通过密钥对物理层码流实现加密和解密。
在一种可能的实现方式中,加解密部件用于:接收目标处理的执行指令,其中,目标处理包括前向纠错码(forward error correction,FEC)校验、加解扰或64比特(bit,B)/66B至256B/257B转码中的一种或多种;对第一物理层码流和第二物理层码流执行目标处理。这样,执行目标处理,可以使得数据传输的可靠性更高。
在一种可能的实现方式中,加解密系统还包括协商部件,用于与目标网络设备协商获得加密密钥和解密密钥。这样,可以使得通信双方,知晓加密密钥和解密密钥。
在一种可能的实现方式中,协商部件,用于在加解密系统初始化时,或者达到密钥更新周期时,与目标网络设备协商获得加密密钥和解密密钥。这样,可以使得定期的更新加密密钥和解密密钥,使得数据传输的安全性更高。
在一种可能的实现方式中,加解密系统还包括控制部件,控制部件用于控制加解密部件执行加密操作或解密操作。这样,可以自适应的控制是否进行加解密。
在一种可能的实现方式中,控制部件还用于:接收控制信号,控制信号用于指示加解密部件加密第一物理层码流,以及解密第二物理层码流;向加解密部件发送控制信号。这样,可以通过发送信号的方式,自适应的控制是否进行加解密。
在一种可能的实现方式中,控制部件还用于:获取加解密部件的状态,并执行状态对应的处理。这样,可以及时的了解加解密部件的状态,及时的进行应对。
在一种可能的实现方式中,状态包括加密异常,解密异常,加密准备就绪和解密准备就绪中的至少一个;或状态包括加解密异常,加解密准备就绪中的至少一个。这样,加解密部件可以更准确的通知控制部件自身的状态。
在一种可能的实现方式中,控制部件还用于在状态为加密准备就绪,解密准备就绪或者加解密准备就绪时,发送支持加解密消息。这样,可以在加解密部件能开始加解密时,及时的通告加解密部件可以支持加解密,使得及时的对物理层码流加解密。
在一种可能的实现方式中,控制部件还用于在状态为加密异常,解密异常或加解密异常时,发送异常通知消息。这样,在加解密部件异常时,可以及时的通告加解密部件异常,进而可以及时的对加解密部件进行维故障诊断。
在一种可能的实现方式中,加解密部件用于:在第一物理层码流中包括目标标识时,加密第一物理层码流;在第二物理层码流中包括目标标识时,解密第二物理层码流。这样,可以通过识别物理层码流中包括的标识,实现对物理层码流的加解密。
在一种可能的实现方式中,加解密部件包括加密部件和解密部件,加密部件用于加密第一物理层码流;解密部件用于解密第二物理层码流。这样,加密部件执行加密处理,解密部件执行解密处理。
在一种可能的实现方式中,加解密部件包括多个加密通道;每个加密通道,用于加密来自第一接口部件的一路明文物理层码流。这样,在多个加密通道的情况下,每个加密通道独立对一路明文物理层码流进行加密,多个加密通道的明文物理层码流不需要进行相互对齐处理,使得加密花费的时间比较少,所以可以降低加密时延。
在一种可能的实现方式中,加解密部件包括一个加密通道;该加密通道,用于加密来自第一接口部件的多路明文物理层码流。这样,可以通过一个加密通道加密多路明文物理层码流。
在一种可能的实现方式中,加密通道,还用于在加密来自第一接口部件的多路明文物理层码流之前,对齐该多路明文物理层码流。这样,在加密前对齐多路明文物理层码流,使得可以准确加密多路物理层码流。
在一种可能的实现方式中,加解密部件包括多个解密通道;每个解密通道,用于解密来自第二接口部件的一路密文物理层码流。这样,在存在多个解密通道的情况下,每个解密通道并行独立对一路密文物理层码流进行解密,使得解密花费的时间比较少,降低解密时延。
在一种可能的实现方式中,加解密部件包括一个解密通道;该解密通道,用于解密来自第二接口部件的多路密文物理层码流。这样,可以通过一个解密通道解密多路密文物理层码流。
在一种可能的实现方式中,解密通道,还用于在解密来自第二接口部件的多路密文物理层码流之前,对齐多路密文物理层码流。这样,在解密前对齐多路密文物理层码流,使得可以准确解密多路密文物理层码流。
在一种可能的实现方式中,加解密系统部署在光模块上,第一接口部件为电接口部件,第二接口部件为光接口部件。这样,通过第一接口部件可以接收来自网络设备的电信号,通过第二接口部件可以更好的匹配光模块的后续光处理。
在一种可能的实现方式中,加解密系统部署在网络设备上,第一接口部件和第二接口部件均为电接口部件。这样,在网络设备内部传输的均是电信号,通过第二接口部件连接接入网路设备的光模块。
第二方面,本申请提供了一种光模块,包括如第一方面所述的加解密系统。这样,加解密系统部署于光模块中,是在以太网物理层实现加解密,可选择流加密算法和分组加密算法,所以可以降低功耗以及加解密的时延。而且,由于光模块的可插拔性还可以解决不能动态调整网络设备端口加解密需求的问题。
在一种可能的实现方式中,光模块还包括微控制器单元(Micro-ControllerUnit,MCU),加解密部件通过MCU获取加密密钥和解密密钥。这样,光模块可以通过MCU与接入的网络设备通信。
第三方面,本申请提供了一种网络设备,该网络设备包括处理部件,处理部件用于与第二方面所述的光模块通信,控制光模块对接收到的物理层码流,进行加密或解密处理。这样,由于网络设备仅是起到控制光模块加解密的作用,不用执行加解密处理,所以无需更改网络设备的硬件,因此可复用现有的网络设备。
在一种可能的实现方式中,处理部件用于向光模块发送控制信号,控制信号用于指示光模块加密来自网络设备的物理层码流,以及用于指示光模块解密来自目标网络设备的物理层码流。
本申请所示的方案,处理部件在确定需要光模块执行加密或解密操作时向光模块发送控制信号。光模块接收到控制信号后,加解密部件加密来自该光模块连接的网络设备的物理层码流,并且加解密部件解密来自目标网络设备的物理层码流。这样,第一网络设备可以控制光模块的加解密。
在一种可能的实现方式中,处理部件用于控制所述网络设备在发往光模块的物理层码流中添加目标标识;目标标识用于指示光模块加密物理层码流。
例如,处理部件可以控制该网络设备中的交换芯片,在发往光模块的物理层码流中,添加目标标识。光模块识别物理层码流中的目标标识,在识别到目标标识时,加密物理层码流。这样,网络设备可以控制光模块的加解密。
在一种可能的实现方式中,处理部件,还用于与该网络设备通信的目标网络设备协商,获得加密密钥和解密密钥并向光模块发送加密密钥和解密密钥。
本申请所示的方案,处理部件可以与目标网络设备协商密钥,这样,处理部件所属网络设备与目标网络设备均能知晓加密密钥和解密密钥,所以使用该加密密钥加密的物理层码流,能够被目标网络设备正确解密。
在一种可能的实现方式中,处理部件,还用于在网络设备初始化时,或者达到密钥更新周期时,与该目标网络设备协商,获得加密密钥和解密密钥。
本申请所示的方案,处理部件可以定期更新加密密钥和解密密钥,可以提高数据传输的安全性。
在一种可能的实现方式中,处理部件,还用于在确定光模块支持加解密后,与目标网络设备协商,获得加密密钥和解密密钥。这样,可以防止协商密钥后光模块不能加解密物理层码流,避免无效协商。
在一种可能的实现方式中,处理部件,还用于在确定目标网络设备支持加解密后,与目标网络设备协商,获得加密密钥和解密密钥。这样,可以先判断目标网络设备是否支持加解密,在支持加解密时,再协商密钥,避免无效协商。
第四方面,本申请提供了一种网络设备,包括第一方面以及其任意实现方式所述的加解密系统。这样,在网络设备上部署加解密系统,由于是在物理层实现加解密,可以降低加解密造成的时延。
在一种可能的实现方式中,网络设备还包括交换部件,交换部件用于在发往加解密系统的物理层码流中添加目标标识;目标标识用于指示光模块加密物理层码流。这样,可以通过添加标识的标识,指示加解密系统加密来自第一接口部件的物理层码流。
第五方面,本申请提供了一种加解密系统,包括如第二方面所述的光模块和如第三方面所述的网络设备。该加解密系统还可以包括目标网络设备,该目标网络设备用于与该光模块协商加密密钥和解密密钥。
第六方面,本申请提供了一种加解密系统,包括如第四方面的网络设备和目标网络设备,该目标网络设备用于与该网络设备协商加密密钥和解密密钥。
本申请第二至第六方面的有益效果可以参考第一方面的描述。
附图说明
图1是本申请一个示例性实施例提供的加解密系统的结构示意图;
图2是本申请一个示例性实施例提供的加解密系统的结构示意图;
图3是本申请一个示例性实施例提供的加解密系统的结构示意图;
图4是本申请一个示例性实施例提供的加解密系统的结构示意图;
图5是本申请一个示例性实施例提供的加解密系统的结构示意图;
图6是本申请一个示例性实施例提供的物理层的示意图;
图7是本申请一个示例性实施例提供的光模块的结构示意图;
图8是本申请一个示例性实施例提供的光模块的结构示意图;
图9是本申请一个示例性实施例提供的光模块的结构示意图;
图10是本申请一个示例性实施例提供的加解密部件中加密的结构示意图;
图11是本申请一个示例性实施例提供的加解密部件中加密的结构示意图;
图12是本申请一个示例性实施例提供的加解密部件中解密的结构示意图;
图13是本申请一个示例性实施例提供的加解密部件中解密的结构示意图;
图14是本申请一个示例性实施例提供的网络设备的结构示意图;
图15是本申请一个示例性实施例提供的网络设备的结构示意图;
图16是本申请一个示例性实施例提供的网络设备的结构示意图;
图17是本申请一个示例性实施例提供的网络设备的结构示意图;
图18是本申请一个示例性实施例提供的网络设备的结构示意图。
图例说明
1、加解密部件,11、加密部件,12、解密部件,13、第一比特复用模块,14、目标处理模块,15、第二比特复用模块,111、加密通道,1111、第一码流锁定模块,1112、码流加密选择模块,1113、加密模块,1114、控制码插入模块,1115、第一码流锁定和对齐模块,112、解密通道,1121、第二码流锁定模块,1122、码流解密选择模块,1123、解密模块,1124、控制码获取模块,1125、第二码流锁定和对齐模块。
2、第一接口部件;3、第二接口部件;4、协商部件;
5、控制部件;6、MCU;7、处理部件;8、交换部件;
9、光处理部件;10、处理器。
具体实施方式
在数据传输过程中,在数据链路层对数据进行加解密会使数据传输时延比较高。基于此,本申请实施例提供了一种加解密系统,该加解密系统可以在物理层对数据加解密。由于本申请是对物理层码流进行加解密,而不是在数据链路层对数据帧进行加解密,可以降低加解密数据对数据传输时延的影响。
本申请实施例提供的加解密系统可以应用于光模块,或者网络设备中,网络设备可以是支持标准以太网接口的交换机、路由器、防火墙、或服务器等设备。
如下描述加解密系统:
如图1所示,加解密系统包括加解密部件1、第一接口部件2和第二接口部件3。第一接口部件2与加解密部件1电性连接,加解密部件1与第二接口部件3电性连接。
加解密部件1接收来自第一接口部件2的物理层码流,后续可以称为第一物理层码流。加解密部件1加密第一物理层码流,将加密后的第一物理层码流传输至第二接口部件3。本申请中的第一物理层码流和第二物理层码流用来区分物理层码流的来源,第一物理层码流可以包括一条或多条物理层码流,第二物理层码流也可以包括一条或多条物理层码流。
加解密部件1接收来自第二接口部件3的物理层码流,后续可以称为第二物理层码流。加解密部件1解密第二物理层码流,将解密后的第二物理层码流传输至第二接口部件3。
这样,本申请加解密系统在物理层实现加解密处理。由于物理层码流是比特流,没有额外的帧开销,直接对比特流加解密,可以降低由于在数据链路层加解密造成的数据传输的时延。
在一种可能的实现方式中,加解密部件1可以获取加密密钥和解密密钥,使用加密密钥加密第一物理层码流,并且使用解密密钥解密第二物理层码流。
加解密系统可以通过协商获取加密密钥和解密密钥。这种情况下,如图2所示,加解密系统还可以包括协商部件4,协商部件4与加解密部件1连接,加解密部件1从协商部件4获取加密密钥和解密密钥。
协商部件4获取加密密钥和解密密钥的过程为:
协商部件4向目标网络设备发送密钥协商消息,获取目标网络设备支持的加解密算法。协商部件4基于目标网络设备支持的加解密算法,生成加密密钥和解密密钥。协商部件4向目标网络设备发送加密密钥和解密密钥。目标网络设备为与加解密系统进行通信的网络设备。例如,加解密系统部署于第一网络设备,第二网络设备与第一网络设备通信,第二网络设备即为目标网络设备。再例如,加解密系统部署于光模块,光模块连接第一网络设备,第一网络设备与第二网络设备通信,第二网络设备即为目标网络设备。
或者,协商部件4向目标网络设备发送密钥协商消息协商密钥,密钥协商消息包括协商部件4支持的加解密算法。目标网络设备基于协商部件4支持的加解密算法,生成加密密钥和解密密钥。目标网络设备向协商部件4发送加密密钥和解密密钥。协商部件4接收目标网络设备发送的加密密钥和解密密钥。
协商部件4在获取到加密密钥和解密密钥后向加解密部件1发送加密密钥和解密密钥。
可选地,协商部件4可以在加解密系统初始化时,与目标网络设备协商加密密钥和解密密钥。此处加解密系统初始化,可以是加解密系统上电初始化。
或者,加解密系统中存储有密钥更新周期,协商部件4在达到密钥更新周期时,与目标网络设备协商加密密钥和解密密钥。这样,由于加解密系统可以定期更新密钥,所以能够提升数据传输的安全性。
在一种可能的实现方式中,如图3所示,加解密系统还可以包括控制部件5,加解密部件1与控制部件5连接。控制部件5用于控制加解密部件1执行加密操作或解密操作。这样,可以更灵活的控制加解密部件1的加密操作或解密操作。
在一种可能的实现方式中,控制部件5还用于接收控制信号,控制信号用于指示加解密部件1加密第一物理层码流,以及解密第二物理层码流。控制部件5向加解密部件1发送控制信号。加解密部件1在接收到控制信号后,开始加密第一物理层码流,并开始解密第二物理层码流。这样,在加解密部件1未接收到控制信号前,不加密第一物理层码流,也不解密第二物理层码流;在加解密部件1接收到控制信号后,加密第一物理层码流、并解密第二物理层码流,可见可以灵活的控制加解密部件1是否加密或解密。
在一种可能的实现方式中,加解密部件1在接收到第一物理层码流时,可以识别预设位置处是否存在目标标识,在存在目标标识时,加解密部件1加密第一物理层码流。加解密部件1在接收到第二物理层码流时,可以识别预设位置处是否存在目标标识,在存在目标标识时,加解密部件1解密第二物理层码流。这样,对需要加密的物理层码流中添加目标标识,而不需要加密的物理层码流中则不添加目标标识,可以精准的识别需要加解密的物理层码流。由于本方案可以只加密或解密特定的物理层码流,可以进一步提高处理效率。
在一种可能的实现方式中,控制部件5还可以获取加解密部件1的状态。加解密部件1在工作过程中,在满足状态发送条件时,向控制部件5发送状态。控制部件5中存储有各种状态对应的处理逻辑,控制部件5接收到该状态后,识别该状态,执行该状态对应的处理。
其中,状态可以包括加密异常、解密异常、加密准备就绪和解密准备就绪中的至少一个。加密异常指示加解密部件1在加密第一物理层码流时出现异常,如无法找到开始加密的位置等。解密异常指示加解密部件1在解密第二物理层码流时出现异常,如无法解密。加密准备就绪指示加解密部件1可以开始加密操作。解密准备就绪指示加解密部件1可以开始解密操作。这样,由于各种状态单独指示,所以可以更清楚的指示加解密部件1的状态。例如,状态包括加密准备就绪,控制部件5可以确定加解密部件1能执行加密操作。再例如,状态包括解密准备就绪,控制部件5可以确定加解密部件1能执行解密操作。
或者,状态可以包括加解密异常、加解密准备就绪中的至少一个。加解密异常指示加解密部件1在加密第一物理层码流时出现异常,以及在解密第二物理层码流时出现异常。加解密准备就绪指示加解密部件1可以开始加密操作和解密操作。这样,仅发送加解密异常就可以指示出加密和解密出现异常,仅发送加解密准备就绪就可以指示出加解密部件1能开始执行加密和解密操作。
在一种可能的实现方式中,控制部件5接收到加解密部件1发送的状态后,控制部件5确定状态为加密准备就绪、解密准备就绪时,确定加解密部件1能开始执行加密和解密操作。或者,控制部件5确定状态为加解密准备就绪时,确定加解密部件1能开始执行加密和解密操作。
控制部件5发送支持加解密消息。例如,加解密系统部署于光模块中,控制部件5向光模块接入的网络设备发送支持加解密消息,通知网络设备光模块支持加解密。再例如,加解密系统部署于光模块中,控制部件5向协商部件4发送支持加解密消息,协商部件4确定光模块支持加解密,可以与目标网络设备协商密钥,该密钥包括加密密钥和解密密钥。
在一种可能的实现方式中,控制部件5接收到加解密部件1发送的状态后,控制部件5确定状态为加密异常、解密异常时,确定加解密部件1的加密和解密出现异常。或者,控制部件5确定状态为加解密异常时,确定加解密部件1的加密和解密出现异常。
控制部件5发送支持加解密消息。例如,加解密系统部署于光模块中,控制部件5向光模块接入的网络设备发送异常通知消息,通知网络设备光模块加解密出现异常。
在一种可能的实现方式中,如图4所示,协商部件4与控制部件5连接。协商部件4向控制部件5发送与目标网络设备协商的加密密钥和解密密钥,控制部件5接收到加密密钥和解密密钥后,向加解密部件1发送加密密钥和解密密钥。
在一种可能的实现方式中,如图5所示,加解密部件1包括加密部件11和解密部件12。加密部件11加密第一物理层码流,解密部件12解密第二物理层码流。对应图5,加解密系统还包括控制部件5的情况下,控制部件5分别与加密部件11、解密部件12连接,控制部件5控制加密部件11执行加密操作,控制部件5控制解密部件12执行解密操作。
在一种可能的实现方式中,如图6所示,物理层从上到下包括物理编码子层、物理媒介附加子层和物理媒介相关子层。为了使得数据安全性更高,加解密部件1还可以在物理编码子层之上执行目标处理,目标处理包括FEC校验、加解扰或64B/66B至256B/257B转码中的一种或多种。处理为:加解密部件1接收目标处理的执行指令。加解密部件1对第一物理层码流执行目标处理,并对第二物理层码流执行目标处理。可选地,控制部件5可以向加解密部件1发送目标处理的执行指令。
在加解密部件1包括加密部件11和解密部件12的情况下,加密部件11包括一个或多个加密通道111,解密部件12包括一个或多个解密通道121。
在一种可能的实现方式中,加解密部件1包括一个或多个加密通道111。如图10所示,在加解密部件1包括多个加密通道111的情况下,每个加密通道111分别加密来自第一接口部件2的一路明文物理层码流,这样,多个加密通道111可以并行对多路明文物理层码流进行加密,可以提高加密处理的速度,降低时延。在加解密部件1仅包括一个加密通道111的情况下,该加密通道111加密来自第一接口部件2的多路明文物理层码流。如图11所示,在加解密部件1仅包括一个加密通道111的情况下,该加密通道111加密多路明文物理层码流之前,需要对齐各路明文物理层码流,在对齐后,该加密通道111加密多路明文物理层码流。其中,物理层码流以数据块为单位传输,在加密过程中,对齐用于在加密前保证多路明文物理层码流的数据块接收完整。
在一种可能的实现方式中,加解密部件1包括一个或多个解密通道112。如图12所示,在加解密部件1包括多个解密通道112的情况下,每个解密通道112分别解密来自第二接口部件3的一路密文物理层码流,这样,可以并行对多路密文物理层码流进行解密,可以提高解密处理的速度,降低时延。在解密部件1仅包括一个解密通道112的情况下,该解密通道112解密来自第二接口部件3的多路密文物理层码流。如图13所示,在加解密部件1包括一个解密通道112的情况下,该解密通道112在解密多路密文物理层码流前,需要对齐该多路密文物理层码流,在对齐后,解密多路密文物理层码流。其中,在解密过程中,对齐是指在解密前保证多路密文物理层码流的数据块接收完整。
可选地,发送物理层码流的发送侧在发送物理层码流时,在每路物理层码流中对齐的位置插入对齐头部,加解密部件1可以通过识别每路物理层码流中的对齐头部,将多路明文物理层码流对齐。
在一种可能的实现方式中,加解密部件1加密第一物理层码流使用流加密算法或者分组加密算法。其中,流加密算法可以是每个加密通道可以独立加密物理层码流的算法。分组加密算法可以为每个加密通道独立进行分组加密的算法,如多个加密通道中每个加密通道分别分组加密一路明文物理层码流;或者,仅有一个加密通道时,分组加密算法还可以为对来自第一接口部件2的所有明文物理层码流进行整体分组加密。如果在加密时,使用流加密算法,在解密时,则使用流加密算法对应的解密算法。如果在加密时,使用分组加密算法,在解密时,则使用分组加密算法对应的解密算法。
在一种可能的实现方式中,加解密部件1在物理层芯片中实现。可选地,在加解密部件1应用于光模块中时,物理层芯片也可以称为是光数字信号处理芯片(opticaldigital signal processor,ODSP)。由于物理层芯片具有高速数字处理能力,所以加解密部件1在物理层芯片中实现,可以快速的执行加密和解密操作。
加解密部件1还可以通过调用指令实现,该指令存储在相应的存储器中。这样,对硬件的改动比较小。
加解密部件1还可以通过独立电路实现,该独立电路可以认为是除物理层芯片之外的其他芯片。例如,在加解密部件1应用于光模块中时,光模块中除了包括物理层芯片,还包括另一个芯片,用于实现加解密部件1。
在一种可能的实现方式中,协商部件4可以在物理层芯片中实现,或者,协商部件4通过调用指令实现,或者,协商部件4通过独立电路实现。
在一种可能的实现方式中,控制部件5可以在物理层芯片中实现,或者,控制部件5通过调用指令实现,或者,控制部件5通过独立电路实现。
本申请实施例中,加解密系统可以在物理层加密或者解密物理层码流,而不需要在数据链路层加密或者解密数据帧,可以减少加密和解密的时长,进而降低数据传输的时延。
本申请上述各实施例中的加解密系统可以部署在光模块中,也可以部署在网络设备中。
如下结合附图7描述包括上述加解密系统的光模块,该光模块接入网络设备,后续该网络设备可以称为是第一网络设备。
光模块包括加解密系统,第一接口部件2为电接口部件,用于光模块与第一网络设备的通信。第二接口部件3为光接口部件,用于加解密系统与光模块中的光处理部件9连接。在光模块向外发送光信号的通路上,光处理部件9包括驱动电路、光电转换部件等,在光模块接收外部发送的光信号的通路上,光处理部件9包括光电检测部件、放大器等。光处理部件9与光模块的外部光纤连接。
在一种可能的实现方式中,如图8所示,加解密部件1在光模块中的物理层芯片上实现,该物理层芯片也可以称为是ODSP。
或者,加解密部件1在光模块中通过独立电路实现,该独立电路是独立于光模块中的物理层芯片的芯片。
在一种可能的实现方式中,如图9所示,光模块还包括MCU6,MCU6与加解密系统连接。加解密部件1可以通过MCU6获取加密密钥和解密密钥。
可选地,MCU6通过集成电路总线(Inter-Integrated Circuit,IIC)与第一网络设备连接。第一网络设备通过IIC,向MCU6发送加密密钥和解密密钥。MCU6向加解密部件1发送加密密钥和解密密钥。
可选地,MCU6向加解密部件1发送加密密钥和解密密钥的处理为:MCU6向控制部件5发送加密密钥和解密密钥,控制部件5向加解密部件1发送加密密钥和解密密钥。
在一种可能的实现方式中,第一网络设备还可以通过IIC,向MCU6发送控制信号或者目标处理的执行指令。MCU6向加解密部件1发送控制信号或者目标处理的执行指令。
可选地,MCU6向加解密部件1发送控制信号或者目标处理的执行指令的处理为:MCU6向控制部件5发送控制信号或者目标处理的执行指令,控制部件5向加解密部件1发送控制信号或者目标处理的执行指令。
此处需要说明的是,第一网络设备通过IIC与光模块的MCU6连接,可以是第一网络设备的接口板上的处理器,通过IIC与MCU6连接。
在一种可能的实现方式中,加解密部件1使用的加密密钥和解密密钥是由协商部件4与目标网络设备协商的。
可选地,目标网络设备为与第一网络设备通信的网络设备,可以称为是第二网络设备。协商部件4在接入第一网络设备的光模块始化(如上电初始化),或者达到密钥更新周期时,向第二网络设备发送密钥协商消息。第二网络设备接收密钥协商消息,在支持加解密时,向接入第一网络设备的光模块发送第二网络设备支持的加解密算法等。协商部件4基于第二网络设备支持的加解密算法,生成加密密钥和解密密钥。协商部件4向第二网络设备发送加密密钥和解密密钥。后续接入第一网络设备的光模块与第二网络设备采用该加密密钥和解密密钥。
可选地,协商部件4在接入第一网络设备的光模块初始化(如上电初始化),或者达到密钥更新周期时,向第二网络设备发送密钥协商消息。该密钥协商消息中包括接入第一网络设备的光模块支持的加解密算法等。第二网络设备接收密钥协商消息,在支持加解密时,第二网络设备基于接入第一网络设备的光模块支持的加解密算法,生成加密密钥和解密密钥。第二网络设备向协商部件4发送加密密钥和解密密钥。后续接入第一网络设备的光模块与第二网络设备采用该加密密钥和解密密钥。
此处协商部件4与目标网络设备协商加密密钥和解密密钥时,协商部件4通过光处理部件9与目标网络设备通信。
另外,此处密钥更新周期可以自适应的调整。例如,可以基于物理层码流的安全性要求确定,在物理层码流的安全性要求高的情况下,密钥更新周期比较短,在物理层码流的安全性低要求的情况下,密钥更新周期比较长。
在一种可能的实现方式中,如图10所示,在加解密部件1包括多个加密通道111的情况下,每个加密通道111与加解密部件1中的第一比特复用模块13连接,并且每个加密通道111与加解密部件1中的目标处理模块14连接,并通过目标处理模块14连接第二比特复用模块15。每个加密通道111包括第一码流锁定模块1111、码流加密选择模块1112、加密模块1113和控制码插入模块1114。图10中示出4个加密通道。
加解密部件1加密第一物理层码流的过程为:
加解密部件1接收来自第一接口部件2的第一物理层码流,该第一物理层码流由物理层数据块组成。第一比特复用模块13,将第一物理层码流分配到多个加密通道111中。具体地,第一比特复用模块13通过轮询的方式向每个加密通道111发送物理层数据块。例如,在一个发送周期内,将第一个物理层数据块发往第一个加密通道,将第二个物理层数据块发往第二个加密通道,以此类推。在每个加密通道111中,第一码流锁定模块1111通过码流锁定,找到进入该加密通道111的物理层数据块的首个比特,进而识别该数据块的内容;码流加密选择模块1112按照前文中的方式确定是否加密该物理层数据块,在码流加密选择模块1112确定加密该物理层数据块时,加密模块1113按照加密算法加密物理层数据块;控制码插入模块1114按照加密算法需求在该物理层数据块的特定位置(例如,对齐标记(alignment mark,AM)数据块的头部)插入初始化向量(initialization vector,IV)、消息认证码(message authentication code,MAC)或其他需要的信息,并将加密后的该物理层数据块送往目标处理模块14。在码流加密选择模块1112确定不加密该物理层数据块时,直接将该路物理层数据块发送至目标处理模块14。
目标处理模块14对接收到的物理层数据块执行目标处理,并将处理后的物理层数据块送往第二比特复用模块15。第二比特复用模块15对接收到的多个物理层数据块执行比特复用,得到加密后的第一物理层码流,并将加密后的第一物理层码流发送至第二接口部件3。在这种场景下,每个加密通道111是独立加密,不需要对齐多个加密通道111的物理层数据块,可以节约加密时长。
在一种可能的实现方式中,如图11所示,加解密部件1仅包括一个加密通道111,该加密通道111与加解密部件1中的第一比特复用模块13连接,并且该加密通道111与加解密部件1中的目标处理模块14连接,并通过该目标处理模块14连接第二比特复用模块15。该加密通道111包括多个第一码流锁定和对齐模块1115、码流加密选择模块1112、加密模块1113和控制码插入模块1114。
加解密部件1加密第一物理层码流的过程为:
加解密部件1接收来自第一接口部件2的第一物理层码流,该第一物理层码流由物理层数据块组成。第一比特复用模块13,将第一物理层码流中的物理层数据块分配到不同的第一码流锁定和对齐模块1115。每个第一码流锁定和对齐模块1115通过码流锁定和对齐,实现各物理层数据块锁定(锁定为:找到各物理层数据块的首个比特,进而识别到各物理层数据块的内容),并实现各物理层数据块对齐(对齐为:找到各物理层数据块的对齐头部,使得各第一码流确定和对齐模块1115都接收到完整的数据块)。第一码流确定和对齐模块将对齐后的物理层数据块发送给码流加密选择模块1112;码流加密选择模块1112收到多个物理层数据块,按照前文中的方式确定是否加密该多个物理层数据块,在码流加密选择模块1112确定加密该多个物理层数据块时,加密模块1113按照加密算法加密该多个物理层数据块;控制码插入模块1114按照加密算法需求在每个多个物理层数据块的特定位置插入初始化向量、消息认证码以及其他需要的信息,得到加密后的第一物理层码流,并将加密后的第一物理层码流送往目标处理模块14。在码流加密选择模块1112确定不加密该多个物理层数据块时,直接将该多个物理层数据块发送至目标处理模块14。后续处理参见图10的流程。
在一种可能的实现方式中,如图12所示,在加解密部件1包括多个解密通道112的情况下,每个解密通道112与加解密部件1中的第一比特复用模块13、目标处理模块14以及第二比特复用模块15通信连接。每个解密通道112包括第二码流锁定模块1121、码流解密选择模块1122、解密模块1123和控制码获取模块1124。图12中示出4个解密通道。
加解密部件1解密第二物理层码流的过程为:
加解密部件1接收来自第二接口部件3的第二物理层码流,该第二物理层码流由加密的物理层数据块组成,第二比特复用模块15,将第二物理层码流中的物理层数据块分配到多个解密通道112中。例如,第二比特复用模块15通过轮询的方式将物理层数据块分配给不同的解密通道112。在每个解密通道112中,第二码流锁定模块1121通过码流锁定找到进入该解密通道112的物理层数据块的首个比特,进而识别到该物理层数据块的内容,并将该物理层数据块送往目标处理模块14;目标处理模块14对接收到的每个物理层数据块执行目标处理,并将处理后的物理层数据块送往码流解密选择模块1122。码流解密选择模块1122按照前文中的方式确定是否解密该物理层数据块,在码流解密选择模块1122确定解密该物理层数据块时,控制码获取模块1124按照解密算法需求从该物理层数据块的特定位置获取初始化向量、消息认证码以及其他需要的信息,并将该物理层数据块以及获取的信息送往解密模块1123;解密模块1123按照解密算法,以及初始化向量、消息认证码等解密该物理层数据块。在码流解密选择模块1122确定不解密该物理层数据块时,直接将该物理层数据块发送至第一比特复用模块13。
第一比特复用模块13对接收到的物理层数据块执行比特复用,得到复用后的第二物理层码流,并将复用后的第二物理层码流发送至第一接口部件2。在这种场景下,每个解密通道112是独立解密,不需要对齐多个解密通道112的各物理层数据块,可以节约解密时长。
在一种可能的实现方式中,如图13所示,在加解密部件1包括一个解密通道112的情况下,该解密通道112与加解密部件1中的第一比特复用模块13、目标处理模块14以及第二比特复用模块15通信连接。该解密通道112包括多个第二码流锁定和对齐模块1125、码流解密选择模块1122、解密模块1123和控制码获取模块1124。
加解密部件1解密第二物理层码流的过程为:
加解密部件1接收来自第二接口部件3的第二物理层码流,第二比特复用模块15将第二物理层码流中的物理层数据块分配到不同的第二码流锁定和对齐模块1125。每个第二码流锁定和对齐模块1125通过码流锁定和对齐,实现各物理层数据块锁定(锁定为:找到各物理层数据块的首个比特,进而识别到各物理层数据块的内容),并实现各物理层数据块对齐(对齐为:找到各物理层数据块的对齐头部,使得各第二码流锁定和对齐模块1125都接收到完整的物理层数据块),对齐后的各物理层数据块被送往目标处理模块14;目标处理模块14对接收到的物理层数据块执行目标处理,并将处理后的物理层数据块送往码流解密选择模块1122。码流解密选择模块1122按照前文中的方式确定是否解密收到的物理层数据块。在码流解密选择模块1122确定解密该物理层数据块时,控制码获取模块1124按照解密算法需求从每个物理层数据块的特定位置获取初始化向量、消息认证码以及其他需要的信息,并将该物理层数据块以及获取的信息送往解密模块1123;解密模块1123按照解密算法,以及初始化向量、消息认证码等解密接收的物理层数据块;在码流解密选择模块1122确定不解密该物理层数据块时,直接将该物理层数据块发送至第一比特复用模块13。第一比特复用模块13对接收到的物理层数据块执行比特复用,得到复用后的第二物理层码流,并将复用后的第二物理层码流发送至第一接口部件2。
由于以太网上层处理对传输的码流有特定要求,所以控制码获取模块1124在读取相应字段后需进行必要的数据恢复、回填等操作。另外此处解密算法需要与发送侧的加密算法选择保持一致。
另外,为了更好的理解本申请实施例,以下描述物理层码流的传输流程:
在光模块接入第一网络设备时,第一网络设备向外发送物理层码流的过程:第一网络设备向该光模块发送第一物理层码流,加解密部件1通过第一接口部件2接收第一物理层码流。加解密部件1按照图10或图11所示的加密流程,加密第一物理层码流,获得密文物理层码流。加解密部件1通过第二接口部件3将该密文物理层码流发送至该光模块中的光处理部件9,光处理部件9执行相应处理后,将该密文物理层码流转为光信号,通过外部光纤将该光信号发送至其它网络设备。
第一网络设备接收物理层码流的处理为:光模块的光处理部件9通过光纤接收来自其它网络设备的光信号,将该光信号转换为电信号,并将该电信号通过第二接口部件3发送给加解密部件1,该电信号即为第二物理层码流。加解密部件1按照图12或图13所示的解密流程,解密该第二物理层码流,获得明文物理层码流,并将该明文物理层码流通过第一接口部件2发送至第一网络设备。
本申请实施例中,加解密系统部署于光模块中,是在以太网物理层实现加解密,可选择流加密算法和分组加密算法,所以可以降低功耗以及加解密的时延。而且,本申请实施例还可以解决已有技术不能动态调整网络设备端口加解密需求的问题。例如,已有技术中用户在购买网络设备时仅有8个固定端口支持MACsec,基本可满足当时需求。若后续应用需要更多的MACsec端口,则只能更换网络设备。若购买的网络设备的MACsec端口数远远多于实际需求,又容易过度投资。然而本申请实施例中,加解密系统部署于光模块中,由于光模块的可插拔、实时可替换的特性,且光模块封装接口仍满足通用模块标准,可与支持通用模块的硬件系统兼容,也可满足客户对已有标准老系统的加解密需求,所以在网络设备需要增加加解密端口时,直接新插入光模块即可,在需要减少加解密端口时,直接拔出光模块即可,可见本申请可灵活满足对网络设备端口加解密需求的动态调整。
另外,本申请实施例中还可以通过控制信号或者目标标识,控制执行加解密,还是不执行加解密,可见,本申请实施例中的光模块只需简单设置既可支持加解密功能,又可以作为普通光模块,提升了光模块的应用场景,降低使用成本。
当上述加解密需求部署在光模块中,可以通过软件升级传统网络设备,或开发新的网络设备,使该网络设备能够与该光模块配合以实现对物理层码流的加解密。在这种场景下,该网络设备是上述描述的光模块接入的第一网络设备,第一网络设备为能使得光模块接入的设备。
如图14所示,第一网络设备包括处理部件7,处理部件7可以是第一网络设备中的控制部件。处理部件7与前文提到的光模块通信,控制光模块对接收到的物理层码流,执行加密或解密操作。
可选地,如图15所示,处理部件7是通过IIC与光模块中的MCU6通信,实现与光模块的通信。
在一种可能的实现方式中,处理部件7在确定需要光模块执行加密或解密操作时,处理部件7向光模块发送控制信号。光模块接收到控制信号后,加解密部件1加密来自第一网络设备的第一物理层码流,并且加解密部件1解密来自目标网络设备的第二物理层码流。可选地,处理部件7通过IIC与光模块中的MCU6通信,将控制信号发送至MCU6。MCU6将控制信号发送至控制部件5,控制部件5将控制信号发送至加解密部件1。这样,第一网络设备可以控制光模块的加解密。
在一种可能的实现方式中,处理部件7还可以控制第一网络设备中的交换部件,在发往光模块的第一物理层码流中,添加目标标识。光模块识别第一物理层码流中的目标标识,在识别到目标标识时,加密该第一物理层码流。这样,第一网络设备可以控制光模块仅对特定的第一物理层码流加解密。
处理部件7可以是在接收到加解密指令后,控制光模块执行加密或解密操作时。例如,技术人员通过第一网络设备的管理设备向第一网络设备下发加解密指令。
在一种可能的实现方式中,处理部件7还可以与目标网络设备协商密钥,由于目标网络设备是与第一网络设备通信的网络设备,所以目标网络设备知晓加密密钥和解密密钥,才能解密来自第一网络设备的数据,以及为发往第一网络设备的数据加密。
可选地,处理部件7向目标网络设备发送密钥协商消息。目标网络设备接收密钥协商消息,在支持加解密时,向第一网络设备发送支持的加解密算法等。处理部件7基于目标网络设备支持的加解密算法,生成加密密钥和解密密钥。处理部件7向目标网络设备发送加密密钥和解密密钥。后续第一网络设备与目标网络设备采用该加密密钥和解密密钥。
可选地,处理部件7向目标网络设备发送密钥协商消息。目标网络设备接收密钥协商消息。该密钥协商消息中包括第一网络设备支持的加解密算法等。目标网络设备接收密钥协商消息,在支持加解密时,目标网络设备基于第一网络设备支持的加解密算法,生成加密密钥和解密密钥。目标网络设备向处理部件7发送加密密钥和解密密钥。后续第一网络设备与目标网络设备采用该加密密钥和解密密钥。
可选地,若处理部件7与目标网络设备未协商密钥,则光模块和目标网络设备可以采用统一配置的加密密钥和解密密钥。例如,在某些场景中,虽然物理层码流需要加密,但是物理层码流对安全性要求一般,可以采用统一配置的加密密钥和解密密钥。
还需要说明的是,处理部件7与目标网络设备协商密钥,可以是通过接入第一网络设备的光模块,也可以是通过其他专用安全通道。
在一种可能的实现方式中,处理部件7可以在第一网络设备初始化(如上电初始化)时,与目标网络设备协商密钥;或者处理部件7可以检测是否达到密钥更新周期,在达到密钥更新周期时,与目标网络设备协商密钥。这样,可以定期更新密钥,提升数据传输的安全性。
在一种可能的实现方式中,处理部件7在与目标网络设备协商密钥之前,确定光模块支持加解密。
可选地,处理部件7通过IIC向光模块的MCU6发送查询消息,查询消息用于询问光模块是否支持加解密。光模块中的MCU6将查询消息发送至控制部件5,控制部件5确定是否接收到加解密部件1发送的包括加密准备就绪、解密准备就绪,或者加解密准备就绪的状态。在接收到该状态后,向MCU6发送支持加解密消息。MCU6通过IIC将支持加解密消息发送至处理部件7。处理部件7接收到支持加解密消息,确定光模块支持加解密。
可选地,控制部件5在接收到加解密部件1发送的包括加密准备就绪、解密准备就绪,或者加解密准备就绪的状态后,主动向MCU6发送支持加解密消息。MCU6通过IIC将支持加解密消息发送至处理部件7。处理部件7接收到支持加解密消息,确定光模块支持加解密。
在一种可能的实现方式中,处理部件7在与目标网络设备协商密钥之前,确定目标网络设备支持加解密。
可选地,处理部件7向目标网络设备发送查询消息,查询消息用于询问目标网络设备是否支持加解密。目标网络设备接收查询消息,在支持加解密时,向处理部件7发送支持加解密消息。处理部件7接收到支持加解密消息,确定目标网络设备支持加解密。
可选地,目标网络设备与第一网络设备在上电初始化时,互相发送消息,通知对方自身是否支持加解密。这样,处理部件7也能确定目标网络设备是否支持加解密。
在一种可能的实现方式中,第一网络设备还可以接收光模块发送的异常通知消息。例如,控制部件5确定接收自加解密部件1的状态为加密异常,解密异常或加解密异常时,向MCU6发送异常通知消息。MCU6通过IIC将异常通知消息发送至处理部件7,处理部件7向第一网络设备的管理设备发送异常通知消息,这样,可以及时的进行异常上报。
上述各实施方式中,如果是由处理部件7与目标网络设备协商加密密钥和解密密钥,或加密密钥和解密密钥配置在第一网络设备上,则处理部件7还需要向光模块发送该加密密钥和解密密钥。在这种场景下,光模块中的加解密系统可以不包括协商部件4。
本申请实施例中,处理部件7可以通过调用计算机指令,实现其功能。这样,无需更改网络设备的硬件,只需要升级网络设备的软件,就可使现有的网络设备配合光模块实现加解密功能。降低了功能升级的复杂度,节约了成本。而且光模块中加解密功能与网络设备的硬件关联不大,可广泛应用于交换机、路由器、防火墙、服务器等设备,扩展了应用范围。
在另一个实施例中,本申请上述的加解密系统部署在网络设备上,为了与前文区分,该网络设备称为第三网络设备,第三网络设备也是能使得光模块接入的设备。
第三网络设备部署的加解密系统中的第一接口部件2和第二接口部件3均为电接口部件,加解密系统的其他结构以及处理见前文中描述。可选地,如图16所示,第三网络设备部署有一个或多个加解密系统。每个加解密系统与一个光模块连接,且连接不同的光模块。接入第三网络设备的光模块是普通的光模块,不执行加解密处理。
在一种可能的实现方式中,如图17所示,第三网络设备包括加解密系统和交换部件8,交换部件8可以为交换芯片。交换部件8与加解密系统电性连接。第一接口部件2连接交换部件8,第二接口部件3连接第三网络设备接入的光模块。
交换部件8可以在发往加解密系统的第一物理层码流中,添加目标标识。加解密系统接收到包括目标标识的第一物理层码流后,加密该第一物理层码流。
可选地,交换部件8可以是识别到该第一物理层码流中的关键字段后,在该第一物理层码流中添加目标标识,关键字段可以为关键业务类型。
在一种可能的实现方式中,如图18所示,第三网络设备还包括处理器10,处理器10可以控制加解密系统是否进行加解密,例如,处理器10向加解密系统发送控制信号,该控制信号用于控制加解密部件1加密或者解密接收的物理层码流。再例如,处理器10向交换部件8发送加解密指令,交换部件8在第一物理层码流中添加目标标识,加解密系统接收到包括目标标识的第一物理层码流后,加密该第一物理层码流。
在一种可能的实现方式中,第三网络设备中的处理器10,还可以与第四网络设备协商加密密钥和解密密钥,并将协商的加密密钥和解密密钥下发给加解密系统。此处第四网络设备为与第三网络设备通信的网络设备。协商密钥的过程参见前文中的描述。
在一种可能的实现方式中,第三网络设备中的处理器10,还可以向加解密系统发送目标处理的执行指令。加解密系统接收目标处理的执行指令,执行目标处理。
本申请实施例中,在网络设备上部署加解密系统,由于是在物理层实现加解密,所以具备物理层加解密的低功耗性,并且可以降低加解密造成的时延。
本申请实施例中,还提供了一种加解密系统。可选地,该加解密系统可以包括前文中描述的第一网络设备和部署有加解密系统的光模块,该加解密系统还可以包括前文所述的目标网络设备。可选地,该加解密系统可以包括前文中描述的第三网络设备和第四网络设备。
以上仅为本申请的可选实施例,并不用以限制本申请,凡在本申请的原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (36)

1.一种加解密系统,其特征在于,所述加解密系统包括加解密部件(1)、第一接口部件(2)和第二接口部件(3),
所述加解密部件(1),用于加密来自所述第一接口部件(2)的第一物理层码流,并将所述加密后的第一物理层码流传输至所述第二接口部件(3),以及用于解密来自所述第二接口部件(3)的第二物理层码流,并将所述解密后的第二物理层码流传输至所述第一接口部件(2)。
2.根据权利要求1所述的加解密系统,其特征在于,所述加解密部件(1)在物理层芯片中实现,或所述加解密部件(1)通过调用指令实现,或所述加解密部件(1)通过独立电路实现。
3.根据权利要求1或2所述的加解密系统,其特征在于,所述加解密部件(1)用于:
获取加密密钥和解密密钥;
使用所述加密密钥加密所述第一物理层码流,以及使用所述解密密钥解密所述第二物理层码流。
4.根据权利要求1-3中任意一项所述的加解密系统,其特征在于,所述加解密部件(1)用于:
接收目标处理的执行指令,其中,所述目标处理包括前向纠错码FEC校验、加解扰或64比特B/66B至256B/257B转码中的一种或多种;
对所述第一物理层码流和所述第二物理层码流执行所述目标处理。
5.根据权利要求3或4所述的加解密系统,其特征在于,还包括协商部件(4),用于与目标网络设备协商获得所述加密密钥和所述解密密钥。
6.根据权利要求5所述的加解密系统,其特征在于,所述协商部件(4),用于在所述加解密系统初始化时,或者达到密钥更新周期时,与所述目标网络设备协商获得所述加密密钥和所述解密密钥。
7.根据权利要求1-6中任意一项所述的加解密系统,其特征在于,还包括控制部件(5),所述控制部件(5)用于控制所述加解密部件(1)执行加密操作或解密操作。
8.根据权利要求7所述的加解密系统,其特征在于,所述控制部件(5)还用于:
接收控制信号,所述控制信号用于指示所述加解密部件(1)对所述第一物理层码流进行加密处理,以及对所述第二物理层码流进行解密处理;
向所述加解密部件(1)发送所述控制信号。
9.根据权利要求7或8所述的加解密系统,其特征在于,所述控制部件(5)还用于:
获取所述加解密部件(1)的状态,并执行所述状态对应的处理。
10.根据权利要求9所述的加解密系统,其特征在于,所述状态包括加密异常,解密异常,加密准备就绪和解密准备就绪中的至少一个;
所述状态包括加解密异常,加解密准备就绪中的至少一个。
11.根据权利要求10所述的加解密系统,其特征在于,所述控制部件(5)还用于在所述状态为加密准备就绪,解密准备就绪或者加解密准备就绪时,发送支持加解密消息。
12.根据权利要求10或11所述的加解密系统,其特征在于,所述控制部件(5)还用于在所述状态为加密异常,解密异常或加解密异常时,发送异常通知消息。
13.根据权利要求1-12中任意一项所述的加解密系统,其特征在于,所述加解密部件(1)用于:
在所述第一物理层码流中包括目标标识时,加密所述第一物理层码流;
在所述第二物理层码流中包括所述目标标识时,解密所述第二物理层码流。
14.根据权利要求1-13中任意一项所述的加解密系统,其特征在于,所述加解密部件(1)包括加密部件(11)和解密部件(12),
所述加密部件(11)用于加密所述第一物理层码流;
所述解密部件(12)用于解密所述第二物理层码流。
15.根据权利要求1-14中任意一项所述的加解密系统,其特征在于,所述加解密部件(1)包括多个加密通道(111);
每个加密通道(111),用于加密来自所述第一接口部件(2)的一路明文物理层码流。
16.根据权利要求1-14中任意一项所述的加解密系统,其特征在于,所述加解密部件(1)包括一个加密通道(111);
所述加密通道(111),用于加密来自所述第一接口部件(2)的多路明文物理层码流。
17.根据权利要求16所述的加解密系统,其特征在于,所述加密通道(111),还用于在加密来自所述第一接口部件(2)的多路明文物理层码流之前,对齐所述多路明文物理层码流。
18.根据权利要求1-15中任意一项所述的加解密系统,其特征在于,所述加解密部件(1)包括多个解密通道(112);
每个解密通道(112),用于解密来自所述第二接口部件(3)的一路密文物理层码流。
19.根据权利要求1-15中任意一项所述的加解密系统,其特征在于,所述加解密部件(1)包括一个解密通道(112);
所述解密通道(112),用于解密来自所述第二接口部件(3)的多路密文物理层码流。
20.根据权利要求19所述的加解密系统,其特征在于,所述解密通道(112),还用于在解密来自所述第二接口部件(3)的多路密文物理层码流之前,对齐所述多路密文物理层码流。
21.根据权利要求1-20中任意一项所述的加解密系统,其特征在于,所述加解密系统部署在光模块上,所述第一接口部件(2)为电接口部件,所述第二接口部件(3)为光接口部件。
22.根据权利要求1-20中任意一项所述的加解密系统,其特征在于,所述加解密系统部署在网络设备上,所述第一接口部件(2)和第二接口部件(3)均为电接口部件。
23.一种光模块,其特征在于,包括权利要求1-21中任意一项所述的加解密系统。
24.根据权利要求23所述的光模块,其特征在于,所述光模块还包括微控制器单元MCU(6),所述加解密部件(1)通过所述MCU获取加密密钥和解密密钥。
25.一种网络设备,其特征在于,包括处理部件(7),所述处理部件(7)用于与权利要求23或24所述的光模块通信,控制所述光模块对接收到的物理层码流,进行加密或解密处理。
26.根据权利要求25所述的网络设备,其特征在于,所述处理部件(7)用于向所述光模块发送控制信号,所述控制信号用于指示所述光模块加密来自所述网络设备的第一物理层码流,以及用于指示所述光模块解密来自目标网络设备的第二物理层码流。
27.根据权利要求25所述的网络设备,其特征在于,所述处理部件(7)用于控制所述网络设备在发往所述光模块的第一物理层码流中添加目标标识;所述目标标识用于指示所述光模块加密所述第一物理层码流。
28.根据权利要求25-27中任意一项所述的网络设备,其特征在于,所述处理部件(7),还用于与所述网络设备通信的目标网络设备协商,获得加密密钥和解密密钥并向所述光模块发送所述加密密钥和解密密钥。
29.根据权利要求28所述的网络设备,其特征在于,所述处理部件(7),还用于在网络设备初始化时,或者达到密钥更新周期时,与所述目标网络设备协商,获得所述加密密钥和所述解密密钥。
30.根据权利要求29所述的网络设备,其特征在于,所述处理部件(7),还用于在确定所述光模块支持加解密后,与所述目标网络设备协商,获得所述加密密钥和所述解密密钥。
31.根据权利要求28-30中任意一项所述的网络设备,其特征在于,所述处理部件(7),还用于在确定所述目标网络设备支持加解密后,与所述目标网络设备协商,获得所述加密密钥和所述解密密钥。
32.一种网络设备,其特征在于,包括权利要求1-20和22中任意一项所述的加解密系统。
33.根据权利要求32所述的网络设备,其特征在于,所述网络设备还包括交换部件(8);
所述交换部件(8)用于在发往所述加解密系统的物理层码流中添加目标标识;所述目标标识用于指示加密所述物理层码流。
34.一种加解密系统,其特征在于,包括如权利要求23或24所述的光模块和如权利要求25-31中任意一项所述的网络设备。
35.根据权利要求34所述的加解密系统,其特征在于,还包括目标网络设备,所述目标网络设备用于与所述光模块协商获得加密密钥和解密密钥。
36.一种加解密系统,其特征在于,包括如权利要求32或33所述的网络设备以及目标网络设备,所述目标网络设备用于与所述网络设备协商获得加密密钥和解密密钥。
CN202011339858.2A 2020-11-12 2020-11-25 加解密系统、光模块和相关装置、系统 Pending CN114499821A (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
PCT/CN2021/097145 WO2022100069A1 (zh) 2020-11-12 2021-05-31 加解密系统、光模块和相关装置、系统
EP21890600.6A EP4224752A4 (en) 2020-11-12 2021-05-31 ENCRYPTION AND DECRYPTION SYSTEM, OPTICAL MODULE AND RELATED DEVICE AND SYSTEM
US18/308,692 US20230269074A1 (en) 2020-11-12 2023-04-28 Encryption/decryption system, optical module, and related apparatus and system

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN202011261717 2020-11-12
CN2020112617173 2020-11-12

Publications (1)

Publication Number Publication Date
CN114499821A true CN114499821A (zh) 2022-05-13

Family

ID=81490244

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011339858.2A Pending CN114499821A (zh) 2020-11-12 2020-11-25 加解密系统、光模块和相关装置、系统

Country Status (4)

Country Link
US (1) US20230269074A1 (zh)
EP (1) EP4224752A4 (zh)
CN (1) CN114499821A (zh)
WO (1) WO2022100069A1 (zh)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105357218B (zh) * 2015-12-03 2018-07-24 上海斐讯数据通信技术有限公司 一种具备硬件加解密功能的路由器及其加解密方法
CN108347416B (zh) * 2017-01-24 2021-06-29 华为技术有限公司 一种安全保护协商方法及网元
CN107147673A (zh) * 2017-06-21 2017-09-08 中国电子信息产业集团有限公司第六研究所 基于灵活加密解密卡的远程无线加密通信技术
US11343672B2 (en) * 2019-02-20 2022-05-24 Coretigo Ltd. Secure communication encryption and decryption mechanism in a wireless communication system
CN111770071B (zh) * 2020-06-23 2021-03-09 江苏易安联网络技术有限公司 一种网络隐身场景下网关认证可信设备的方法和装置

Also Published As

Publication number Publication date
US20230269074A1 (en) 2023-08-24
EP4224752A1 (en) 2023-08-09
EP4224752A4 (en) 2024-04-10
WO2022100069A1 (zh) 2022-05-19

Similar Documents

Publication Publication Date Title
EP1427164B1 (en) Tagging mechanism for data path security processing
US9596075B2 (en) Transparent serial encryption
US9756026B2 (en) Reconfigurable access network encryption architecture
US8112622B2 (en) Chaining port scheme for network security
US8843747B2 (en) Communication apparatus and communication system
US20050114710A1 (en) Host bus adapter for secure network devices
CN1883154B (zh) 向物理层收发器传输安全性/加密信息的方法和装置
EP3404867B1 (en) Configurable service packet engine exploiting frames properties
KR20040029767A (ko) 트리 구조 네트워크 상에서의 인증과 프라이버시 보장을위한 전송 방법
US20170222803A1 (en) Communication device, cryptographic communication system, cryptographic communication method, and computer program product
CN110266725B (zh) 密码安全隔离模块及移动办公安全系统
CN114499821A (zh) 加解密系统、光模块和相关装置、系统
KR100687749B1 (ko) 범용 패킷 처리 장치
US7840712B2 (en) Hybrid internet protocol encryptor/decryptor bypass device
US20230269075A1 (en) Devices, systems, and methods for integrating encryption service channels with a data path
CN100450119C (zh) 在ip视频会议系统中进行密文传输的方法
KR101730405B1 (ko) 네트워크 경로를 관리하는 방법 및 이를 수행하는 네트워크 엔티티
JP2003060633A (ja) 受動光ネットワークシステム及び受動光ネットワークシステム暗号化方法及びネットワークシステム及びネットワークシステム
EP3054645B1 (en) Apparatuses, system, methods and computer programs suitable for transmitting or receiving encrypted output data packets in an optical data transmission network
JPS60260254A (ja) 暗号処理方式
WO2024103597A1 (zh) 一种视音频流的传输方法、装置及系统
CA2526010C (en) Method for utilizing multiple level encryption
KR20170124236A (ko) 탈착형 네트워크 보안장치 및 이를 이용한 네트워크 패킷 암호화 및 암호 해제화 방법
CN114205135A (zh) 解密设备对ts流的处理方法、ts流的处理系统
EP2891290B1 (en) Communication system

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination