CN114584333A - 一种数据传输方法、通信装置及通信系统 - Google Patents

一种数据传输方法、通信装置及通信系统 Download PDF

Info

Publication number
CN114584333A
CN114584333A CN202011405827.2A CN202011405827A CN114584333A CN 114584333 A CN114584333 A CN 114584333A CN 202011405827 A CN202011405827 A CN 202011405827A CN 114584333 A CN114584333 A CN 114584333A
Authority
CN
China
Prior art keywords
ciphertext data
ams
data stream
ciphertext
plaintext
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011405827.2A
Other languages
English (en)
Inventor
孙德胜
丁力
毕红军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202011405827.2A priority Critical patent/CN114584333A/zh
Priority to PCT/CN2021/124185 priority patent/WO2022116711A1/zh
Priority to EP21899745.0A priority patent/EP4250639A4/en
Publication of CN114584333A publication Critical patent/CN114584333A/zh
Priority to US18/326,340 priority patent/US20230327852A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0637Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Communication Control (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种数据传输方法、通信装置及通信系统,应用于通信技术领域,用于解决现有技术中加密传输占用用户带宽的问题。该方法包括:生成N路密文数据流,第一密文数据流是N路密文数据流中的任一路密文数据流,第一密文数据流包括至少两个第一对齐标识AM以及至少两个密文数据段;其中,每两个第一AM之间包括一个密文数据段,每两个密文数据段之间包括一个第一AM,至少两个第一AM用于N路密文数据流的数据对齐,至少两个第一AM中的部分或全部第一AM指示至少两个密文数据段的加密参数,N为正整数;发送N路密文数据流。

Description

一种数据传输方法、通信装置及通信系统
技术领域
本申请实施例涉及通信技术领域,尤其涉及一种数据传输方法、通信装置及通信系统。
背景技术
目前,以太网中通常应用媒体访问控制安全协议(media access controlsecurity,MACSEC)加密技术保证数据传输的安全。
基于开放式系统互联(Open System Interconnection,OSI)参考模型,该MACSEC技术应用于OSI参考模型的数据链路层对以太网帧进行加密或解密,依赖于支持MACSEC功能的芯片,需要在以太网帧中添加相关的加密信息,占用了较多的用户带宽,导致产生的功耗代价较大。
发明内容
本申请实施例提供一种数据传输方法、通信装置及通信系统,以期通过对物理层传输的数据进行加密,避免占用用户带宽,降低功耗代价。
第一方面,本申请实施例提供一种数据传输方法,所述方法包括:生成N路密文数据流,第一密文数据流是所述N路密文数据流中的任一路密文数据流,所述第一密文数据流包括至少两个第一对齐标识AM以及至少两个密文数据段;其中,每两个所述第一AM之间包括一个所述密文数据段,每两个所述密文数据段之间包括一个所述第一AM,所述至少两个第一AM用于所述N路密文数据流的数据对齐,所述至少两个第一AM中的部分或全部第一AM指示所述至少两个密文数据段的加密参数,N为正整数;发送所述N路密文数据流。
本申请实施例对物理层中的数据流(或称,比特流)进行加密传输,基于AM指示加密参数,传输的数据流不占用用户业务带宽,能够提升数据发送量,进而提升数据发送速率。且以太网帧中所有的比特(包括源MAC地址、目的MAC地址)均可被加密,因而不会暴露地址信息,能够提升安全性。
在一种可选的实现方式中,所述第一密文数据流包括第一AM集合,所述第一AM集合中包括L个所述第一AM,所述第一AM集合用于承载至少一个指定密文数据段的加密参数;其中,L为正整数。
在一种可选的实现方式中,所述第一AM集合承载的加密参数包括初始化向量IV和密钥标识;所述第一AM集合中的p个所述第一AM,用于承载冗余m次的所述初始化向量IV;其中,p为小于L的正整数,m为自然数;所述第一AM集合中的q个所述第一AM,用于承载冗余n次的所述密钥标识;其中,q为小于L的正整数,n为自然数。
在一种可选的实现方式中,所述第一AM集合中的r个所述第一AM,用于承载所述第一AM集合的标识;其中,r为小于L的正整数。
在一种可选的实现方式中,L的取值为50;p的取值为48;m的取值为11;q的取值为1;n的取值为11;r的取值为1。
在一种可选的实现方式中,所述至少一个指定密文数据段包括所述第一AM集合中每个所述第一AM之后的第一个密文数据段。
在一种可选的实现方式中,所述至少一个指定密文数据段包括指定AM之后的至少一个密文数据段,所述指定AM是所述第一密文数据流中位于所述第一AM集合之后的第一AM。
在一种可选的实现方式中,所述生成N路密文数据流,包括:获取N路明文数据流,第一明文数据流是所述N路明文数据流中的任一路明文数据流,所述第一明文数据流包括至少两个第二AM以及至少两个明文数据段,每两个所述第二AM之间包括一个所述明文数据段,每两个所述明文数据段之间包括一个所述第二AM,所述至少两个第二AM用于所述N路明文数据流的数据对齐;根据所述第一明文数据流和所述至少两个密文数据段的加密参数,生成所述第一密文数据流。
在一种可选的实现方式中,所述根据所述第一明文数据流和所述至少两个密文数据段的加密参数,生成所述第一密文数据流,包括:根据所述至少两个密文数据段的加密参数对所述第一明文数据流中的至少两个明文数据段进行加密,得到所述第一密文数据流中的至少两个密文数据段;根据所述至少两个密文数据段的加密参数对所述第一明文数据流中的至少两个第二AM处理,得到所述第一密文数据流中的至少两个第一AM。
在一种可选的实现方式中,所述获取N路明文数据流,包括:接收M路物理通道信号;其中,M为正整数;按照设定的比例,将M路物理通道信号转化为N路明文数据流。
第二方面,本申请实施例提供一种数据传输方法,所述方法包括:获取N路密文数据流,第一密文数据流是所述N路密文数据流中的任一路密文数据流,所述第一密文数据流包括至少两个第一对齐标识AM以及至少两个密文数据段,其中,每两个所述第一AM之间包括一个所述密文数据段,每两个所述密文数据段之间包括一个所述第一AM,所述至少两个第一AM用于所述N路密文数据流的数据对齐,所述至少两个第一AM中的部分或全部第一AM指示所述至少两个密文数据段的加密参数,N为正整数;根据所述至少两个密文数据段的加密参数对所述第一密文数据流进行解密,得到第一明文数据流,所述第一明文数据流是N路明文数据流中的任一路明文数据流。
本申请实施例对物理层中的数据流(或称,比特流)进行加密传输,基于AM指示加密参数,传输的数据流不占用用户业务带宽,能够提升数据发送量,进而提升数据发送速率。且以太网帧中所有的比特(包括源MAC地址、目的MAC地址)均可被加密,因而不会暴露地址信息,能够提升安全性。
在一种可选的实现方式中,所述第一明文数据流包括至少两个第二AM以及至少两个明文数据段,每两个所述第二AM之间包括一个所述明文数据段,每两个所述明文数据段之间包括一个所述第二AM,所述至少两个第二AM用于所述N路明文数据流的数据对齐。
在一种可选的实现方式中,所述根据所述至少两个密文数据段的加密参数对所述第一密文数据流进行解密,得到第一明文数据流,包括:根据所述至少两个密文数据段的加密参数对所述第一密文数据流中的至少两个密文数据段进行解密,得到所述第一明文数据流中的至少两个明文数据段;根据所述至少两个密文数据段的加密参数对所述第一密文数据流中的至少两个第一AM进行处理,得到所述第一明文数据流中的至少两个第二AM。
在一种可选的实现方式中,所述第一密文数据流包括第一AM集合,所述第一AM集合中包括L个所述第一AM,所述第一AM集合用于承载至少一个指定密文数据段的加密参数;其中,L为正整数。
在一种可选的实现方式中,所述第一AM集合承载的加密参数包括初始化向量IV和密钥标识;所述第一AM集合中的p个所述第一AM,用于承载冗余m次的所述初始化向量IV;其中,p为小于L的正整数,m为自然数;所述第一AM集合中的q个所述第一AM,用于承载冗余n次的所述密钥标识;其中,q为小于L的正整数,n为自然数。
在一种可选的实现方式中,所述第一AM集合中的r个所述第一AM,用于承载所述第一AM集合的标识;其中,r为小于L的正整数。
在一种可选的实现方式中,L的取值为50;p的取值为48;m的取值为11;q的取值为1;n的取值为11;r的取值为1。
在一种可选的实现方式中,所述至少一个指定密文数据段包括所述第一AM集合中每个所述第一AM之后的第一个密文数据段。
在一种可选的实现方式中,所述至少一个指定密文数据段包括指定AM之后的至少一个密文数据段,所述指定AM是所述第一密文数据流中位于所述第一AM集合之后的第一AM。
在一种可选的实现方式中,所述根据所述至少两个密文数据段的加密参数对所述第一密文数据流进行解密,包括:根据所述第一AM集合承载的加密参数对所述至少一个指定密文数据段进行解密,得到所述至少一个指定密文数据段对应的明文数据段。
第三方面,本申请实施例提供一种通信装置,包括处理器和存储器;该存储器用于存储计算机执行指令,当该装置运行时,该处理器执行该存储器存储的该计算机执行指令,以使该装置执行如上述第一方面或第二方面的各实现方法。
第四方面,本申请实施例提供一种通信装置,包括用于执行上述第一方面或第二方面的各实现方法的各个步骤的单元或手段(means)。
第五方面,本申请实施例提供一种通信装置,包括处理器和接口电路,所述处理器用于通过接口电路与其它装置通信,并执行上述第一方面或第二方面的各实现方法。该处理器的数量为一个或多个。
第六方面,本申请实施例提供一种通信装置,包括处理器,用于与存储器相连,用于调用所述存储器中存储的程序,以执行上述第一方面或第二方面的各实现方法。该存储器可以位于该装置之内,也可以位于该装置之外。该处理器的数量为一个或多个。
第七方面,本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得上述第一方面或第二方面的各实现方法被执行。
第八方面,本申请实施例还提供一种计算机程序产品,该计算机产品包括计算机程序,当计算机程序运行时,使得上述第一方面或第二方面的各实现方法被执行。
第九方面,本申请实施例还提供一种芯片系统,包括:处理器,用于执行上述第一方面或第二方面的各实现方法。
第十方面,本申请实施例还提供一种通信系统,包括:用于执行上述第一方面各实现方法的通信装置,和用于执行上述第二方面各实现方法的通信装置。
附图说明
图1为一种OSI参考模型架构示意图;
图2为一种BitMux工作原理示意图;
图3为一种串行流分发交织示意图;
图4a为一种MACSec加密示意图;
图4b为一种以太网帧结构示意图;
图4c为一种MACSec芯片部署示意图;
图5为一种光模块结构示意图;
图6a为本申请实施例提供的一种光模块的加密流程示意图;
图6b为本申请实施例提供一种数据加密的方法流程示意图;
图7a为本申请实施例提供的一种加密参数分布结构示意图之一;
图7b为本申请实施例提供的一种加密参数分布结构示意图之二;
图7c为本申请实施例提供的一种加密参数分布结构示意图之三;
图7d为本申请实施例提供的一种加密参数分布结构示意图之四;
图8为本申请实施例提供的一种加密参数分布结构示意图之五;
图9为本申请实施例提供的一种加密参数分布结构示意图之六;
图10a为本申请实施例提供的一种光模块的解密流程示意图;
图10b为本申请实施例提供一种数据解密的方法流程示意图;
图11为本申请实施例提供的一种数据传输方法的流程示意图;
图12为本申请实施例提供的一种通信装置的示意图;
图13为本申请实施例提供的另一种通信装置的示意图。
具体实施方式
本申请实施例可应用于以太网、未来网络等数据网络。
以下对本申请中提供的部分用语进行解释说明,方便本领域技术人员理解:
(1)密文数据流
密文数据流指示物理层中逻辑通道承载的加密的信号。本申请实施例中,N路密文数据流指的是通过N个逻辑通道传输的加密的数据流,将N路密文数据流中的任一路密文数据流称为第一密文数据流,第一密文数据流包括至少两个第一对齐标识(以下,简称第一AM)和至少两个密文数据段。所述至少两个第一AM用于所述N路密文数据流的数据对齐,所述至少两个第一AM中的部分或全部第一AM指示所述至少两个密文数据段的加密参数。
作为一种实现方式,第一密文数据流内的第一AM和密文数据段是周期性出现的,例如所述第一密文数据流中的每两个所述第一AM之间包括一个所述密文数据段,每两个所述密文数据段之间包括一个所述第一AM。同一路密文数据流内的至少两个第一AM不完全相同,即至少两个第一AM中可以有部分相同也可以有部分不同。
(2)密文数据段
密文数据段指的是加密的比特数据,密文数据段共一个或多个比特。
(3)加密参数
加密参数包括密钥标识、初始化向量(initialization vector,IV)等,可以用于实现明文与密文之间的转换,本申请实施例在第一密文数据流中,至少两个第一AM中的部分或者全部来指示至少两个密文数据段的加密参数。
(4)明文数据流
明文数据流指示物理层中逻辑通道承载的信号。本申请实施例中,N路明文数据流指的是通过N个逻辑通道传输的未经加密的数据流,将N路明文数据流中的任一路明文数据流称为第一明文数据流,第一明文数据流包括至少两个第二对齐标识(以下,简称第二AM)和至少两个明文数据段,所述至少两个第二AM用于所述N路明文数据流的数据对齐。
作为一种实现方式,第一明文数据流内的第二AM是周期性插入的,同一路明文数据流内的第二AM是相同的,不同路明文数据流内的第二AM不同。第一明文数据流内的第二AM和明文数据段是周期性出现的。例如所述第一明文数据流中的每两个所述第二AM之间包括一个所述明文数据段,每两个所述明文数据段之间包括一个所述第二AM。
作为一种实现的方式,本申请实施例中,对N路明文数据流加密,得到N路密文数据流。
(5)明文数据段
明文数据段指的是未经加密的比特数据,明文数据段共一个或多个比特。作为一种实现方法,本申请实施例中基于加密参数对明文数据段进行加密处理,可得到对应的密文数据段。
(6)本申请实施例中涉及的多个,是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。另外,应当理解,尽管在本发明实施例中可能采用术语第一、第二等来描述各数据、但这些数据不应限于这些术语。这些术语仅用来将各数据彼此区分开。
下面将结合附图对本申请作进一步地详细描述。
参见图1示意的一种OSI参考模型架构,该OSI参考模型架构是一种网络互连模型,定义了网络互连的七层框架,由底层到高层,依次为物理层、数据链路层、网络层、传输层、会话层、表示层以及应用层。以太网处于该OSI参考模型中的物理层和数据链路层,如图1所示,数据链路层包括两个子层:逻辑链路控制(logical link control,LLC)子层和负责解析和组装以太网帧的媒体访问控制(medium access control,MAC)子层;物理媒介相关子层(physical medium dependent,PMD)、物理层包括物理媒介附加(physical mediumattachment,PMA)子层、物理编码子层(physical coding sublayer,PCS)。图1还示意出了PMD下连的介质(medium),该介质可以是电缆、可插拔光模块或光纤等。
对于发送端而言,数据链路层从用户侧接收报文,经由MAC子层组帧传到物理层。在物理层中的PCS内完成码块编码形成串行流,然后分发到并行的多个逻辑通道;经由PMA子层内的比特复用或解复用器(bit muxplexer or demuxplerxer,BitMux)转换,多个逻辑通道的数据流转换成多个物理通道的数据流。多个物理通道的数据流经过介质以电信号或者是光信号的形式被传输出去。参见图2,为BitMux工作原理示意图,BitMux主要完成以比特交织方式将输入通道的数据流转换到输出通道。比如有4个输入通道和2个输出通道,其中2个输入通道的数据流比特交织为1个输出通道的数据流。BitMux部署于PHY如PMA子层内,可以用于逻辑通道与物理通道之间的转换。或者BitMux部署于光模块中,可以用于逻辑通道与物理通道之间的转换。
本申请实施例中的逻辑通道(logic lane),也称为虚拟通道(virtual lane,VL),指的是PCS通道或FEC通道(100G标准中为FEC通道,200G/400G标准中为PCS通道)。比如在以太网规范中,200G对应的PCS通道个数为8,400G对应的PCS通道个数为16,100G对应的FEC通道个数为4;逻辑通道可以分布在PCS内。物理通道也可以称为PMA通道(PMA lane,PL),一个物理通道对应一个或多个逻辑通道,一个物理通道中包括一个逻辑通道中的数据流或者多个逻辑通道中的数据流。
当数据流在不同的逻辑通道、物理通道上传输时,为了保证接收端可以对多个逻辑通道进行对齐,IEEE 802.3规范设计了对齐标识(alignment marker,AM),对齐标识也可以称为对齐码块或对齐单元。其中200G、400G的AM格式如表1所示,其中CM0,CM1,CM2,CM3,CM4,CM5各个逻辑通道的共同标识,而UM0,UM1,UM2,UM3,UM4,UM5则唯一标识一个逻辑通道,不同的逻辑通道具有不同的“UM0,UM1,UM2,UM3,UM4,UM5”。UP0,UP1,UP2为用户可编辑的字段,通常是IEEE 802.3规范设定的取值。AM长度一般为120比特(bits),以0~119定位(position),下表1中{CM0,CM1,CM2}占24比特:0~23;{UP0}占8比特:24~31;{CM3,CM4,CM5}占24比特:32~55;{UP1}占8比特:56~63;{UM0,UM1,UM2}占24比特:64~87;{UP2}占8比特:88~95;{UM3,UM4,UM5}占24比特:96~119。
表1
{CM<sub>0</sub>,CM<sub>1</sub>,CM<sub>2</sub>} {UP<sub>0</sub>} {CM<sub>3</sub>,CM<sub>4</sub>,CM<sub>5</sub>} {UP<sub>1</sub>} {UM<sub>0</sub>,UM<sub>1</sub>,UM<sub>2</sub>} {UP<sub>2</sub>} {UM<sub>3</sub>,UM<sub>4</sub>,UM<sub>5</sub>}
以400G为例,下表2示意出了400G存在16个逻辑通道,以及每一个逻辑通道所规定的模式。接收端只有接收到除UP0~UP2字段之外的其他字段均与下表2中匹配的AM时才能对一个逻辑通道进行锁定,正确识别出这个逻辑通道的编号(number)。
表2
Figure BDA0002814114530000061
Figure BDA0002814114530000071
发送端在发送一条串行流在发送到多个逻辑通道时,会周期性的往每个逻辑通道插入对齐标识(alignment marker,AM)。接收端获取到多个逻辑通道中的数据流,可根据各个逻辑通道的AM进行锁定,以便实施多个逻辑通道中的数据流合并还原出前述串行流。参见图3所示的一种流分发交织示意图,示意出了逻辑通道、物理通道、AM以及bitMux(内置于PMA)的分布关系。如图3中的(a),发送端可以在串行流中周期性的插入8个逻辑通道的AM,经由里德-所罗门编码算法编码后分发到各逻辑信道,即将串行流分发到8个逻辑通道;假设按照8:4的比例,则8个逻辑通道经过PMA内置的bitMux转换到4个物理通道。然后4个物理通道的数据流经过介质以电信号或者是光信号的形式被传输出去。如图3中的(b),接收端通过介质获取4个物理通道的数据流,按照4:8的比例,则4个物理通道经过PMA内置的bitMux转换到8个逻辑通道;然后执行AM锁定、去抖、逻辑通道重排序以及解交织等操作,并经由里德-所罗门编码算法解码后交织出包含AM的串行流;进而移除AM得到串行流。可选的也可以忽略编码和解码纠错过程,发送端和接收端不执行通过里德-所罗门编码和解码算法纠错的过程,本申请实施例对此并不进行限制。
参见图4a,为一种MACSec加密示意图。目前采用的MACSec技术具体部署在数据链路层中MAC子层之上。加密对象和解密对象为一个以太网帧(或称,用户帧)。参见图4b,一种以太网帧结构示意图,包括目的地址(destination address)、源地址(source address)以及数据(data)。采用MACSec加密之后,以太网帧结构被更改为:目的地址(destinationaddress)、源地址(source address)、加密标签(Security Tag,SecTag)、加密的数据(encrypted data)和完整性保护向量(integrity check value,ICV),其中SecTag包括密钥标识(key identification)、初始化向量(initialization vector,IV)等关键参数。MAC-SEC针对每一帧或包加密,需要每一帧都携带32字节,当平均帧长64字节时,占用32/64=50%用户带宽,代价较大。其次,参见图4c所示的一种MACSec芯片部署示意图。从MACSec实现方式上来说,目前通常采用在单板部署支持MACSec加密功能的物理芯片,或者在交换芯片上集成MACSec加密功能,所需功耗较大。但不论是基于独立物理芯片还是集成交换芯片的方式,该实现都与单板硬件强相关,仅基于传统单板无法实现MACSec加密功能。由于实际应用中对端口加密的需求往往动态变化且难以预测,例如在购买网络设备时仅有8个固定端口支持MACSec加密功能基本可满足当时需求,若后续应用需要更多MACSec端口便只能更新硬件方案、追加投资;若购买网络设备的MACSec端口数远多于实际需求,又容易过度投资,因此该方案也无法满足客户已有传统硬件系统或现场动态变化需求。
于是本申请实施例提供一种物理层加密/解密的技术方案,对物理层中的数据流(或称,比特流)进行加密传输,传输的数据流不占用用户业务带宽,能够提升数据发送量,进而提升数据发送速率。且以太网帧中所有的比特(包括源MAC地址、目的MAC地址)均可被加密,因而不会暴露地址信息,能够提升安全性。该方案可具体应用于网络设备的光模块或物理层芯片,无需增加新的硬件结构,减少功耗。网络设备作为发送端时,应用于该网络设备的光模块或物理层芯片负责对数据流进行加密发送,网络设备作为接收端时,应用于该网络设备的光模块或物理层芯片负责对接收的数据流进行解密。
具体的,如图3中的(a)所示,对于发送端来说,加密方案可具体由物理层芯片将串行流分发成多个逻辑通道的数据流过程中实现,或者由光模块(介质)在处理数据流的过程中实现。如图3中的(b)所示,对于接收端来说,解密方案可具体由物理层芯片通过PMA获取到多个逻辑通道的数据流之后且在恢复出串行流之前的过程中实现,或者由光模块(介质)在处理接收到的数据流的过程中实现。
以下对本申请实施例提供的应用于光模块中的加密方案以及解密方案进行详细说明。
首先,参见图5示意一种光模块结构示意图,该光模块包括比特复用或解复用器(BitMux),光数字信号处理芯片(optical digital signal processor,ODSP),微控制器单元(micro-controller unit,MCU),以及光电收发器件(简称TX/RX)。其中,该光模块应用于发送端时,光模块接收物理层中电芯片传输的多路物理通道信号;BitMux用于将输入到光模块中的多路物理通道信号,转换为多路逻辑通道信号;再将多路逻辑通道信号转换为输入ODSP的数字信号,ODSP负责将输入的数字信号实施算法处理(例如色散补偿预处理)等经电光转发单元Tx处理并通过光纤发送给其他光模块。其中,该光模块应用于接收端时,通过光纤接收来自其他光模块的光信号,光信号经由RX光电转换和ODSP算法处理(例如色散补偿等),然后将数字信号输出到BitMux;则BitMux将ODSP输出的数字信号转换为多路逻辑通道信号,并将多路逻辑通道信号转换成多路物理通道信号传输到物理层中的电芯片。需要说明的是前述物理通道信号、逻辑通道信号属于数字信号。
(一)本申请实施例中的加密方案可具体部署在光模块的BitMux中,MCU可控制在BitMux中转换多路逻辑通道信号的过程中,对数据进行加密。参见图6a,为本申请实施例提供的一种光模块的加密流程示意图。以光模块获取M路物理通道信号,按照设定的比例如M:N,M路物理通道信号(如图中物理通道0~物理通道M-1)经由BitMux中的BitMux(A)转换为N路逻辑通道信号(如图中逻辑通道0~逻辑通道N-1),N路逻辑通道信号包括的是明文数据,N路逻辑通道信号也可以称为N路明文数据流。则MCU可在N路明文数据流的基础上生成N路密文数据流。进一步N路密文数据流经由BitMux中的BitMux(B)转换成可输入到oDSP的K路数字信号。可选的,MCU可配置和更新加密单模块所需的加密参数,该加密参数包括加密关键参数,如初始化向量IV和密钥标识。可选的,也可以在光模块的BitMux中部署相应功能模块如AM锁定模块和加密/解密模块。具体可以针对每个逻辑通道单独部署AM锁定模块和加密/解密模块。其中,针对每个逻辑通道对应的一路明文数据流,AM锁定模块可用于将加密参数插入到该明文数据流中的AM,加密/解密模块可用于基于加密参数对该明文数据流进行加密(Encryption),得到密文数据流。具体的,MCU可在第一次启动时配置IV,后续则由加密/解密模块按照设定的规则自动更新IV;MCU配置以及修改密钥标识。AM lock模块负责锁定逻辑通道中的AM,并使用锁定的AM承载最新的加密参数。
参见图6b,本申请实施例提供一种数据加密的方法流程示意图。对于在光模块内生成N路密文数据流的方式可参照步骤S601~S603实施。
S601,光模块接收M路物理通道信号;其中,M为正整数。
S602,光模块按照设定的比例,将M路物理通道信号转化为N路明文数据流。
S603,光模块对N路明文数据流进行加密处理,生成N路密文数据流。第一密文数据流是所述N路密文数据流中的任一路密文数据流,所述第一密文数据流包括至少两个第一对齐标识AM以及至少两个密文数据段;其中,每两个所述第一AM之间包括一个所述密文数据段,每两个所述密文数据段之间包括一个所述第一AM,所述至少两个第一AM用于所述N路密文数据流的数据对齐,所述至少两个第一AM中的部分或全部第一AM指示所述至少两个密文数据段的加密参数。M和N均为正整数。需要说明的是,在光模块直接可以获取逻辑通道信号的情况下,可以不执行S601~S602,即S601~S602并不是必须的步骤。光模块可不进行物理通道信号到逻辑通道信号的转换,直接生成N路密文数据流,也属于本申请实施例保护的范围,本申请实施例对此并不进行限定。
其中,第一明文数据流是所述N路明文数据流中的任一路明文数据流。基于此,光模块对N路明文数据流进行加密处理,包括:光模块根据所述第一明文数据流和所述至少两个密文数据段的加密参数,生成所述第一密文数据流。
在一种可选的实施方式中,所述第一明文数据流包括至少两个第二AM以及至少两个明文数据段,每两个所述第二AM之间包括一个所述明文数据段,每两个所述明文数据段之间包括一个所述第二AM,所述至少两个第二AM用于所述N路明文数据流的数据对齐。光模块生成所述第一密文数据流具体可参照如下方式实施:光模块根据所述至少两个密文数据段的加密参数对所述第一明文数据流中的至少两个明文数据段进行加密,得到所述第一密文数据流中的至少两个密文数据段;光模块根据所述至少两个密文数据段的加密参数对所述第一明文数据流中的至少两个第二AM处理,得到所述第一密文数据流中的至少两个第一AM。
可选的,针对第一密文数据流,光模块可以参照如下方式实现对于加密参数的指示:光模块在至少两个第一AM中选取第一AM集合(set),该第一AM集合用于承载至少一个指定密文数据段的加密参数。其中,该第一AM集合中包括L个所述第一AM,L为正整数。可选的,第一密文数据流中第一AM集合包括的L个第一AM与第一明文数据流中相同位置的L个第二AM之间具备一对一映射关系。
以下对于前述第一AM集合和至少一个指定密文数据段的分布方式进行详细描述。
分布方式(1):光模块可将至少两个第一AM划分成多个AM集合,前述第一AM集合为多个AM集合中的任意一个AM集合。至少一个指定密文数据段包括的是目标AM集合中每个所述第一AM之后的第一个密文数据段。
可选的,前述目标AM集合可以为第一AM集合;前述目标AM集合也可以是第二AM集合,该第二AM集合可以位于第一AM集合之前或之后;该第二AM集合与第一AM集合之间可以间隔一个或多个AM集合,第二AM集合也可以是与第一AM集合连续,即第二AM集合可以是位于第一AM集合之后的第一个AM集合,或者第二AM集合可以是位于第一AM集合之前的最后一个AM集合。或者可以理解为:第一AM集合为第一密文数据流包括的第i个AM集合,目标AM集合为第一密文数据流包括的第i±x个AM集合。第i个AM集合承载至少一个指定密文数据段的加密参数,该至少一个指定密文数据段指的是第i±x个AM集合中每个第一AM之后的第一个密文数据段。其中,i小于L,x为自然数,“±”表示加法运算(+)或者减法运算(-)的运算符。
可选的,第一AM集合承载的加密参数包括初始化向量IV和密钥标识,该密钥标识用于标识发送端和接收端所共享的加密密钥。光模块可以根据IV、密钥标识的长度和/或者设定的冗余次数,确定第一AM集合包括的第一AM的数量,即前述L的值。具体的承载方式如下:第一AM集合中的p个所述第一AM,用于承载冗余m次的所述初始化向量IV;第一AM集合中的q个所述第一AM,用于承载冗余n次的所述密钥标识。其中,q为小于L的正整数,p为小于L的正整数;m、n均为自然数,m和n的取值可以相同也可以不相同,m/n取0表示数据不重复,例如m为0则表示p个第一AM所承载的IV仅出现一次,n为0则表示q个第一AM所承载的密钥标识仅出现1次;而m/n取大于0表示数据重复出现,例如m为1则表示p个第一AM所承载的IV出现2次,n为1则表示q个第一AM所承载的密钥标识出现2次;例如m为2则表示p个第一AM所承载的IV出现3次,n为2则表示q个第一AM所承载的密钥标识出现3次。可选的,MCU还可以在第一AM集合中选择r个第一AM承载第一AM集合的标识,表示一个AM集合的起始,不同AM集合的标识可以相同或者不相同;其中,r为小于L的正整数。可选的,参照上述表1~2所示的AM编码方式,可具体基于第一AM中的UP0~UP2来承载相关参数。
示例性的,如图7a/图7b示意的加密参数分布结构示意图。假设每个第一AM中的UP0,UP1,UP2共24比特,可以采用1个第一AM承载第一AM集合的标识;密钥标识长2比特,冗余11次,则需要1个第一AM来指示冗余11次的密钥标识,冗余11次的密钥标识也可以理解为12个相同的密钥标识;IV长12个字节,每个字节长8比特,冗余11次,则需要48个第一AM来指示冗余11次的IV,冗余11次的IV也可以理解为12个相同的IV。则第一AM集合包括50个第一AM,也即前述L的取值为50;p的取值为48;m的取值为11;q的取值为1;n的取值为11;r的取值为1。第一AM集合为第一密文数据流包括的多个AM集合中的任意一个AM集合,多个AM集合的分布结构相同,均可采用图7a/图7b中第一AM集合的分布结构。
其中,图7a中还示意出了至少一个指定密文数据段包括第一AM集合中每个第一AM之后的第一个密文数据段。图7b中还示意出第二AM集合为第一AM集合之后的第一个AM集合,至少一个指定密文数据段包括第二AM集合中每个第一AM之后的第一个密文数据段。第二AM集合具有与第一AM集合相同的分布结构,图7b中省略了第二AM集合的具体结构。
可选的,可具体使用2比特取值为“10”表示一个AM集合的标识,则第一AM集合中的第1个第一AM中的UP0,UP1,UP2字段共24比特,可用于承载12个“10”:UP0的bit0~bit7二进制取值“10101010”,UP1的bit0~bit7二进制取值“10101010”和UP2的bit0~bit7二进制取值“10101010”,表示第一AM集合的标识冗余11次。可具体使用2比特取值为“10”或者“01”表示一个密钥标识,则第一AM集合中的第2个第一AM中的UP0,UP1,UP2共24个比特,可用于承载12个“10”,表示密钥标识冗余11次:UP0的bit0~bit7二进制取值“10101010”,UP1的bit0~bit7二进制取值“10101010”和UP2的bit0~bit7二进制取值“10101010”;或者第一AM集合中的第2个第一AM中的UP0,UP1,UP2字段共24个比特,可用于承载12个“01”,表示密钥标识冗余11次:UP0的bit0~bit7二进制取值“01010101”,UP1的bit0~bit7二进制取值“01010101”和UP2的bit0~bit7二进制取值“01010101”。进而第一AM集合中剩下的48个第一AM承载冗余11次的IV,即12个相同的IV。
示例性的,参见图7c/图7d,假设每个第一AM中的UP0,UP1,UP2字段共24比特,可以采用1个第一AM承载第一AM集合的标识;密钥标识长2比特,冗余11次,则需要1个第一AM来指示冗余11次的密钥标识,冗余11次的密钥标识也可理解为12个相同的密钥标识;IV长4个字节,每个字节长8比特,冗余11次,则需要16个第一AM来指示冗余11次的IV,冗余11次的IV也可理解为12个相同的IV。则第一AM集合包括18个第一AM,也即前述L的取值为18;p的取值为48;m的取值为11;q的取值为1;n的取值为11;r的取值为1。第一AM集合为第一密文数据流包括的多个AM集合中的任意一个AM集合,多个AM集合的分布结构相同,均可采用图7c/图7d中第一AM集合的分布结构。
其中,图7c中还示意出了至少一个指定密文数据段包括第一AM集合中每个第一AM之后的第一个密文数据段。图7d中还示意出第二AM集合为第一AM集合之后的第一个AM集合,至少一个指定密文数据段包括第二AM集合中每个第一AM之后的第一个密文数据段。第二AM集合具有与第一AM集合相同的分布结构,图7d中省略了第二AM集合的具体结构。
可选的,可具体使用2比特取值为“10”表示一个AM集合的标识,则第一AM集合中的第1个第一AM中的UP0,UP1,UP2字段共24比特,可用于承载12个“10”:UP0的bit0~bit7二进制取值“10101010”,UP1的bit0~bit7二进制取值“10101010”和UP2的bit0~bit7二进制取值“10101010”,表示第一AM集合的标识冗余11次。可具体使用2比特取值为“10”或者“01”表示一个密钥标识,则第一AM集合中的第2个第一AM中的UP0,UP1,UP2共24个比特,可用于承载12个“10”,表示密钥标识冗余11次:UP0的bit0~bit7二进制取值“10101010”,UP1的bit0~bit7二进制取值“10101010”和UP2的bit0~bit7二进制取值“10101010”;或者第一AM集合中的第2个第一AM中的UP0,UP1,UP2字段共24个比特,可用于承载12个“01”,表示密钥标识冗余11次:UP0的bit0~bit7二进制取值“01010101”,UP1的bit0~bit7二进制取值“01010101”和UP2的bit0~bit7二进制取值“01010101”。进而第一AM集合中剩下的16个第一AM承载冗余11次的IV,即12个相同的IV。
假设通道比特误码率(bit error ratio)为BER=1E^-4,每比特的可靠性=1-BER,11次冗余,即12个比特中正确比特数大于等于7的概率
Figure BDA0002814114530000111
AM集合标识正确性概率=P2;密钥标识正确性概率=P2;IV正确性概率=P96。考虑AM在每个逻辑通道出现的时间周期,AM集合的标识、Key index出错的时间超过数十万年,IV出错的概率约万年,可靠性极高。
分布方式(2):至少一个指定密文数据段包括指定AM之后的至少一个密文数据段,所述指定AM是所述第一密文数据流中位于所述第一AM集合之后的第一AM。
可选的,第一AM集合承载加密参数的方式可参照分布方式(1)执行,本申请实施例对此不再进行赘述。
示例性的,参见图8,假设每个第一AM中的UP0,UP1,UP2共24比特,可以采用1个第一AM承载第一AM集合的标识;密钥标识长2比特,冗余11次,则需要1个第一AM来指示冗余11次的密钥标识,冗余11次的密钥标识也可称作12个相同的密钥标识;IV长12个字节,每个字节长8比特,冗余11次,则需要48个第一AM来指示冗余11次的IV,冗余11次的IV也可称作12个相同的IV。则第一AM集合包括50个第一AM,也即前述L的取值为50;p的取值为48;m的取值为11;q的取值为1;n的取值为11;r的取值为1。该第一AM集合所承载的加密参数为图8中所示的指定AM之后的所有密文数据段的加密参数。可选的第一AM集合承载加密参数的方式可参照图7a/图7b下可选的实施方式实施,本申请实施例对此不再进行赘述。
分布方式(3):针对第一密文数据流,光模块在第一密文数据流中选取多个AM集合,每个AM集合包括L个第一AM,每两个AM集合之间包括设定数目(如S个,S为正整数)的密文数据段。前述第一AM集合为光模块选取的多个AM集合中的任意一个AM集合。第二AM集合是第一AM集合之后的第一个AM集合。则至少一个指定密文数据段包括第一AM集合和第二AM集合之间的至少一个密文数据段。
可选的,第一AM集合承载加密参数的方式可参照分布方式(1)执行,本申请实施例对此不再进行赘述。
示例性的,参见图9,本申请实施例提供了一种分布结构示意图。假设每个第一AM中的UP0,UP1,UP2共24比特,可以采用1个第一AM承载第一AM集合的标识;密钥标识长2比特,冗余11次,则需要1个第一AM来指示冗余11次的密钥标识,冗余11次的密钥标识也可称作12个相同的密钥标识;IV长4个字节,每个字节长8比特,冗余11次,则需要16个第一AM来指示冗余11次的IV,冗余11次的IV也可称作12个相同的IV。则第一AM集合包括18个第一AM,也即前述L的取值为18;p的取值为48;m的取值为11;q的取值为1;n的取值为11;r的取值为1。第二AM集合的分布结构与第一AM集合的分部结构相同,但第二AM集合承载的加密参数和第一AM集合所承载的加密参数可以不同。该第一AM集合所承载的加密参数为图9中所示的第一AM集合和第二AM集合之间的5个密文数据段的加密参数。图9中的第一AM集合、第二AM集合内部的分布结构可参照图7c/图7d中的第一AM集合的分布结构,图9中不再详细示意。可选的第一AM集合承载加密参数的方式可参照图7c/图7d下可选的实施方式实施,本申请实施例对此不再进行赘述。
以下对至少一个指定密文数据段进行加密的方式进行具体说明。至少一个指定密文数据段在第一明文数据流中的相同位置对应至少一个指定明文数据段。发送端和接收端部署有相同的第一加密算法,例如高级加密标准-伽罗瓦/计数器模式(advancedencryption standard-galois/counter mode,AES-GCM)、CHACHA20-PLOY1305等。应用于发送端的光模块可根据第一加密算法结合第一AM集合承载的加密参数(如IV、密钥标识)生成一个加密字符串,该加密字符串与指定明文数据端的长度相同。光模块针对至少一个指定明文数据端中的每个指定明文数据段,可将该加密字符串与指定明文数据端进行异或操作,得到该指定明文数据段所对应的指定密文数据段。
(二)本申请实施例中的解密方案可具体部署在光模块的BitMux中,MCU可控制在BitMux中转换出多路逻辑通道信号的过程中,对数据进行解密。参见图10a,为本申请实施例提供的一种光模块的解密流程示意图。光模块接收的光信号经由ODSP恢复出K路数字信号,BitMux中的BitMux(B)将K数字信号转换出N路密文数据流,并基于BitMux中部署的AM锁定模块锁定N路密文数据流,以及基于BitMux中部署的加密/解密模块,对N路密文数据流进行解密(decryption),得到N路明文数据流。N路明文数据流或称为N路逻辑通道信号(如图中逻辑通道0~逻辑通道N-1),BitMux中的BitMux(A)按照设定比例如M:N,将N路逻辑通道信号恢复成M路物理通道信号(如图中物理通道0~物理通道M-1)。进而光模块将M路物理通道信号传输至物理层的电芯片。
参见图10b,本申请实施例提供一种数据解密的方法流程示意图。对于在光模块内恢复出N路明文数据流的方式可参照步骤S1001~S1002实施。
S1001,光模块获取N路密文数据流,第一密文数据流是所述N路密文数据流中的任一路密文数据流,所述第一密文数据流包括至少两个第一对齐标识AM以及至少两个密文数据段,其中,每两个所述第一AM之间包括一个所述密文数据段,每两个所述密文数据段之间包括一个所述第一AM,所述至少两个第一AM用于所述N路密文数据流的数据对齐,所述至少两个第一AM中的部分或全部第一AM指示所述至少两个密文数据段的加密参数,N为正整数;
S1002,光模块对N路密文数据流进行解密处理,得到N路明文数据流。
具体的,光模块可根据所述至少两个密文数据段的加密参数对所述第一密文数据流进行解密,得到第一明文数据流,所述第一明文数据流是N路明文数据流中的任一路明文数据流。其中,第一明文数据流包括至少两个第二AM以及至少两个明文数据段,每两个所述第二AM之间包括一个所述明文数据段,每两个所述明文数据段之间包括一个所述第二AM,所述至少两个第二AM用于所述N路明文数据流的数据对齐。可选的,光模块可具体根据所述至少两个密文数据段的加密参数对所述第一密文数据流中的至少两个密文数据段进行解密,得到所述第一明文数据流中的至少两个明文数据段;以及根据所述至少两个密文数据段的加密参数对所述第一密文数据流中的至少两个第一AM进行处理,得到所述第一明文数据流中的至少两个第二AM。
可选的,若第一密文数据流中包括所述第一密文数据流包括第一AM集合(set),所述第一AM集合中包括L个所述第一AM,所述第一AM集合用于承载至少一个指定密文数据段的加密参数;其中,L为正整数。可选的,所述第一AM集合承载的加密参数包括初始化向量IV和密钥标识;所述第一AM集合中的p个所述第一AM,用于承载冗余m次的所述初始化向量IV;其中,p为小于L的正整数,m为自然数;所述第一AM集合中的q个所述第一AM,用于承载冗余n次的所述密钥标识;其中,q为小于L的正整数,n为自然数。所述第一AM集合中的r个所述第一AM,用于承载所述第一AM集合的标识;其中,r为小于L的正整数。在一种可选的实现方式中,L的取值为50;p的取值为48;m的取值为11;q的取值为1;n的取值为11;r的取值为1。
光模块可根据所述第一AM集合承载的加密参数对所述至少一个指定密文数据进行解密,得到所述至少一个指定密文数据段对应的明文数据段。具体的可参照如下步骤S21~S24实施:
S21,光模块可以从第一AM集合中提取出加密参数。
可选的,光模块可以对接收到第一AM集合中的加密参数进行有效性验证。示例性的,若第一AM集合承载的是冗余11次的IV和冗余11次的密钥标识。则光模块可从第一AM集合提取出12个相同的IV和12个相同的密钥标识之后,若12个相同的IV中至少7个正确传输,确定12个相同的密钥标识中至少7个正确传输,则光模块可确定接收到的第一AM集合中的加密参数有效。具体的,以冗余11次的IV,IV长4字节即32比特为例。光模块可在第一AM集合中提取出冗余11次的IV,即32*12个比特。按顺序分成12段比特序列,每段比特序列包括32个比特,每段比特序列表示一个IV。光模块可采用多比特判决方式,比较12段比特序列中的各个比特是否相同,若存在7段及7段以上的比特序列中的每个比特相同,则光模块可确定接收到的第一AM集合中的加密参数有效。
S22,光模块基于第一AM集合与指定密文数据的分布方式,定位至少一个指定密文数据段。
例如前述分布方式(1):至少一个指定密文数据段包括第一AM集合中每个第一AM之后的第一密文数据段。分布方式(2):至少一个指定密文数据段包括指定AM之后的至少一个密文数据段,所述指定AM是所述第一密文数据流中位于所述第一AM集合之后的第一AM。分布方式(3):至少一个指定密文数据段包括第一AM集合和第二AM集合之间的至少一个密文数据段,第二AM集合与第一AM集合之间包括设定数目(如S个,S为正整数)的密文数据段。
S23,光模块根据第一AM集合承载的加密参数,对至少一个指定密文数据段进行解密,得到至少一个指定明文数据段。其中,至少一个指定明文数据段和至少一个指定明文数据段之间具备一对一的对应关系。
具体的,发送端和接收端部署有相同的第一加密算法,例如AES-GCM、CHACHA20-PLOY1305等。应用于接收端的光模块可根据第一加密算法结合第一AM集合承载的加密参数生成一个加密字符串,该加密字符串与指定密文数据端的长度相同。光模块针对至少一个指定密文数据端中的每个指定密文数据段,可将该加密字符串与指定密文数据端进行异或操作,得到该指定密文数据段所对应的指定明文数据段。
S24,光模块将第一密文数据流中的至少两个第一AM,恢复成第一明文数据流中的至少两个第二AM。具体的,光模块可将第一AM内UP0~UP2中的内容更换成IEEE 802.3规范设定的取值。
以下对本申请实施例提供的应用于物理层芯片中加密方案以及解密方案进行详细说明。
对于应用于发送端的物理层芯片来说,物理层芯片可以在将串行流分发成N路逻辑通道信号时,对N路逻辑通道信号进行加密生成N路密文数据流。具体的生成N路密文数据流的方式可以参照前述光模块的加密方式实施,本申请实施例对此不再进行赘述。进而物理层芯片生成的N路密文数据流可通过介质发送出去,例如物理层芯片生成的N路密文数据流可通过光模块转换为光信号发送出去。
对于应用于接收端的物理层芯片来说,物理层芯片可以通过介质(例如,光模块)获取M路加密的物理通道信号,并基于PMA内置的bitMux转出N路加密的逻辑通道信号,也即N路密文数据流;则物理层芯片可对N路密文数据流进行解密得到N路明文数据流。
基于上述实施例,本申请实施例还提供一种数据传输方法。参见图11,该方法包括如下流程。
S1101,发送端生成N路密文数据流。其中,第一密文数据流是所述N路密文数据流中的任一路密文数据流,所述第一密文数据流包括至少两个第一对齐标识AM以及至少两个密文数据段;其中,每两个所述第一AM之间包括一个所述密文数据段,每两个所述密文数据段之间包括一个所述第一AM,所述至少两个第一AM用于所述N路密文数据流的数据对齐,所述至少两个第一AM中的部分或全部第一AM指示所述至少两个密文数据段的加密参数,N为正整数。
可选的,可由应用于发送端的光模块或者物理层芯片生成N路密文数据流。
S1102,发送端向接收端发送N路密文数据流,接收端接收来自发送端的N路密文数据流。
S1103,接收端对N路密文数据流进行解密,得到N路明文数据流。
可选的,可由应用于接收端的光模块或者物理层芯片对N路密文数据流进行解密,得到N路明文数据流。
可选的,第一明文数据流是所述N路明文数据流中的任一路明文数据流所述第一明文数据流包括至少两个第二AM以及至少两个明文数据段,每两个所述第二AM之间包括一个所述明文数据段,每两个所述明文数据段之间包括一个所述第二AM,所述至少两个第二AM用于所述N路明文数据流的数据对齐。
基于相同的构思,参见图12,本申请实施例提供一种通信装置的结构示意图。该装置用于实现上述实施例中对应通信装置所执行的各个步骤,如图12所示,该装置1200包括收发单元1210和处理单元1220。
在第一个实施例中,该通信装置应用于发送端的光模块或物理层芯片,且用于实现加密功能,则:
处理单元1220,用于生成N路密文数据流,第一密文数据流是所述N路密文数据流中的任一路密文数据流,所述第一密文数据流包括至少两个第一对齐标识AM以及至少两个密文数据段;其中,每两个所述第一AM之间包括一个所述密文数据段,每两个所述密文数据段之间包括一个所述第一AM,所述至少两个第一AM用于所述N路密文数据流的数据对齐,所述至少两个第一AM中的部分或全部第一AM指示所述至少两个密文数据段的加密参数,N为正整数。
收发单元1210,用于发送所述N路密文数据流。
本申请实施例对物理层中的数据流(或称,比特流)进行加密传输,基于AM指示加密参数,传输的数据流不占用用户业务带宽,能够提升数据发送量,进而提升数据发送速率。且以太网帧中所有的比特(包括源MAC地址、目的MAC地址)均可被加密,因而不会暴露地址信息,能够提升安全性。
在一种可选的实施方式中,所述第一密文数据流包括第一AM集合,所述第一AM集合中包括L个所述第一AM,所述第一AM集合用于承载至少一个指定密文数据段的加密参数;其中,L为正整数。
在一种可选的实施方式中,所述第一AM集合承载的加密参数包括初始化向量IV和密钥标识;所述第一AM集合中的p个所述第一AM,用于承载冗余m次的所述初始化向量IV;其中,p为小于L的正整数,m为自然数;所述第一AM集合中的q个所述第一AM,用于承载冗余n次的所述密钥标识;其中,q为小于L的正整数,n为自然数。
在一种可选的实施方式中,所述第一AM集合中的r个所述第一AM,用于承载所述第一AM集合的标识;其中,r为小于L的正整数。
在一种可选的实施方式中,L的取值为50;p的取值为48;m的取值为11;q的取值为1;n的取值为11;r的取值为1。
在一种可选的实施方式中,所述至少一个指定密文数据段包括所述第一AM集合中每个所述第一AM之后的第一个密文数据段。
在一种可选的实施方式中,所述至少一个指定密文数据段包括指定AM之后的至少一个密文数据段,所述指定AM是所述第一密文数据流中位于所述第一AM集合之后的第一AM。
在一种可选的实施方式中,所述处理单元1220,还用于获取N路明文数据流,第一明文数据流是所述N路明文数据流中的任一路明文数据流,所述第一明文数据流包括至少两个第二AM以及至少两个明文数据段,每两个所述第二AM之间包括一个所述明文数据段,每两个所述明文数据段之间包括一个所述第二AM,所述至少两个第二AM用于所述N路明文数据流的数据对齐。所述处理单元1210,还用于根据所述第一明文数据流和所述至少两个密文数据段的加密参数,生成所述第一密文数据流。
在一种可选的实施方式中,所述处理单元1210,具体用于:根据所述至少两个密文数据段的加密参数对所述第一明文数据流中的至少两个明文数据段进行加密,得到所述第一密文数据流中的至少两个密文数据段;根据所述至少两个密文数据段的加密参数对所述第一明文数据流中的至少两个第二AM处理,得到所述第一密文数据流中的至少两个第一AM。
在一种可选的实施方式中,所述收发单元1210,还用于接收M路物理通道信号;其中,M为正整数;所述处理单元1220,还用于按照设定的比例,将M路物理通道信号转化为N路明文数据流。
在第二个实施例中,该通信装置应用于接收端的光模块或物理层芯片,且用于实施解密功能,则:
收发单元1210,用于获取N路密文数据流,第一密文数据流是所述N路密文数据流中的任一路密文数据流,所述第一密文数据流包括至少两个第一对齐标识AM以及至少两个密文数据段,其中,每两个所述第一AM之间包括一个所述密文数据段,每两个所述密文数据段之间包括一个所述第一AM,所述至少两个第一AM用于所述N路密文数据流的数据对齐,所述至少两个第一AM中的部分或全部第一AM指示所述至少两个密文数据段的加密参数,N为正整数。
处理单元1220,用于根据所述至少两个密文数据段的加密参数对所述第一密文数据流进行解密,得到第一明文数据流,所述第一明文数据流是N路明文数据流中的任一路明文数据流。
本申请实施例对物理层中的数据流(或称,比特流)进行加密传输,基于AM指示加密参数,传输的数据流不占用用户业务带宽,能够提升数据发送量,进而提升数据发送速率。且以太网帧中所有的比特(包括源MAC地址、目的MAC地址)均可被加密,因而不会暴露地址信息,能够提升安全性。
在一种可选的实施方式中,所述第一明文数据流包括至少两个第二AM以及至少两个明文数据段,每两个所述第二AM之间包括一个所述明文数据段,每两个所述明文数据段之间包括一个所述第二AM,所述至少两个第二AM用于所述N路明文数据流的数据对齐。
在一种可选的实施方式中,所述处理单元1220,具体用于:根据所述至少两个密文数据段的加密参数对所述第一密文数据流中的至少两个密文数据段进行解密,得到所述第一明文数据流中的至少两个明文数据段;根据所述至少两个密文数据段的加密参数对所述第一密文数据流中的至少两个第一AM进行处理,得到所述第一明文数据流中的至少两个第二AM。
在一种可选的实施方式中,所述第一密文数据流包括第一AM集合,所述第一AM集合中包括L个所述第一AM,所述第一AM集合用于承载至少一个指定密文数据段的加密参数;其中,L为正整数。
在一种可选的实施方式中,所述第一AM集合承载的加密参数包括初始化向量IV和密钥标识;所述第一AM集合中的p个所述第一AM,用于承载冗余m次的所述初始化向量IV;其中,p为小于L的正整数,m为自然数;所述第一AM集合中的q个所述第一AM,用于承载冗余n次的所述密钥标识;其中,q为小于L的正整数,n为自然数。
在一种可选的实施方式中,所述第一AM集合中的r个所述第一AM,用于承载所述第一AM集合的标识;其中,r为小于L的正整数。
在一种可选的实施方式中,L的取值为50;p的取值为48;m的取值为11;q的取值为1;n的取值为11;r的取值为1。
在一种可选的实施方式中,所述至少一个指定密文数据段包括所述第一AM集合中每个所述第一AM之后的第一个密文数据段。
在一种可选的实施方式中,所述至少一个指定密文数据段包括指定AM之后的至少一个密文数据段,所述指定AM是所述第一密文数据流中位于所述第一AM集合之后的第一AM。
在一种可选的实施方式中,所述处理单元1220,还用于根据所述第一AM集合承载的加密参数对所述至少一个指定密文数据段进行解密,得到所述至少一个指定密文数据段对应的明文数据段。
可选的,上述通信装置1200还可以包括存储单元,该存储单元用于存储数据或者指令(也可以称为代码或者程序),上述各个单元可以和存储单元交互或者耦合,以实现对应的方法或者功能。
应理解以上装置中单元的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。且装置中的单元可以全部以软件通过处理元件调用的形式实现;也可以全部以硬件的形式实现;还可以部分单元以软件通过处理元件调用的形式实现,部分单元以硬件的形式实现。例如,各个单元可以为单独设立的处理元件,也可以集成在装置的某一个芯片中实现,此外,也可以以程序的形式存储于存储器中,由装置的某一个处理元件调用并执行该单元的功能。此外这些单元全部或部分可以集成在一起,也可以独立实现。这里所述的处理元件又可以成为处理器,可以是一种具有信号的处理能力的集成电路。在实现过程中,上述方法的各步骤或以上各个单元可以通过处理器元件中的硬件的集成逻辑电路实现或者以软件通过处理元件调用的形式实现。
在一个例子中,以上任一装置中的单元可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(Application Specific IntegratedCircuit,ASIC),或,一个或多个微处理器(digital singnal processor,DSP),或,一个或者多个现场可编程门阵列(Field Programmable Gate Array,FPGA),或这些集成电路形式中至少两种的组合。再如,当装置中的单元可以通过处理元件调度程序的形式实现时,该处理元件可以是通用处理器,例如中央处理器(Central Processing Unit,CPU)或其它可以调用程序的处理器。再如,这些单元可以集成在一起,以片上系统(system-on-a-chip,SOC)的形式实现。
以上收发单元1210是一种该装置的接口电路,用于从其它装置接收信号或向其它装置发送信号。例如,当该装置以芯片的方式实现时,该收发单元1210是该芯片用于从其它芯片或装置接收信号,和/或向其它芯片或装置发送信号的接口电路。
参考图13,为本申请实施例提供的另一种通信装置示意图,用于实现以上实施例中通信装置(如光模块内的通信装置或物理层芯片内的通信模块)的操作。如图13所示,该通信装置包括:处理器1310和接口1330,可选的,该通信装置还包括存储器1320。接口1330用于实现与其他设备进行通信。
以上实施例中通信装置执行的方法可以通过处理器1310调用存储器(可以是通信装置中的存储器1320,也可以是外部存储器)中存储的程序来实现。即,通信装置可以包括处理器1310,该处理器1310通过调用存储器中的程序,以执行以上方法实施例中通信装置执行的方法。这里的处理器可以是一种具有信号的处理能力的集成电路,例如CPU。通信装置可以通过配置成实施以上方法的一个或多个集成电路来实现。例如:一个或多个ASIC,或,一个或多个微处理器DSP,或,一个或者多个FPGA等,或这些集成电路形式中至少两种的组合。或者,可以结合以上实现方式。
具体的,图12中的收发单元1210和处理单元1220的功能/实现过程可以通过图13所示的通信装置1300中的处理器1310调用存储器1320中存储的计算机可执行指令来实现。或者,图12中的处理单元1220的功能/实现过程可以通过图13所示的通信装置1300中的处理器1310调用存储器1320中存储的计算机执行指令来实现,图12中的收发单元1210的功能/实现过程可以通过图13中所示的通信装置1300中的接口1330来实现。
应理解,在本申请的各种实施例中,上述各过程的序号(或称,编号)的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
本申请还提供了一种计算机可读介质,其上存储有计算机程序,该计算机程序被计算机执行时实施上述任意方法实施例的功能。
本申请还提供了一种计算机程序产品,该计算机程序产品被计算机执行时实施上述任意方法实施例的功能。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实施。当使用软件实施时,可以全部或部分地以计算机程序产品的形式实施。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包括一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
本申请实施例中所描述的各种说明性的逻辑单元和电路可以通过通用处理器,数字信号处理器,专用集成电路(ASIC),现场可编程门阵列(FPGA)或其它可编程逻辑装置,离散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实施或操作所描述的功能。通用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实施,例如数字信号处理器和微处理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的配置来实施。
本申请实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件单元、或者这两者的结合。软件单元可以存储于随机存取存储器(Random AccessMemory,RAM)、闪存、只读存储器(Read-Only Memory,ROM)、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并可以向存储媒介存写信息。可选地,存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实施的处理,从而在计算机或其他可编程设备上执行的指令提供用于实施在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个或多个示例性的设计中,本申请所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实施。如果在软件中实施,这些功能可以存储与电脑可读的媒介上,或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如,这样的电脑可读媒体可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁性存储装置,或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外,任何连接都可以被适当地定义为电脑可读媒介,例如,如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电脑、双绞线、数字用户线(DSL)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、数字通用光盘(英文:Digital Versatile Disc,简称:DVD)、软盘和蓝光光盘,磁盘通常以磁性复制数据,而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本申请所描述的功能可以用硬件、软件、固件或它们的任意组合来实施。当使用软件实施时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
以上所述的具体实施方式,对本申请的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本申请的具体实施方式而已,并不用于限定本申请的保护范围,凡在本申请的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本申请的保护范围之内。本申请说明书的上述描述可以使得本领域技术任何可以利用或实施本申请的内容,任何基于所公开内容的修改都应该被认为是本领域显而易见的,本申请所描述的基本原则可以应用到其它变形中而不偏离本申请的发明本质和范围。因此,本申请所公开的内容不仅仅局限于所描述的实施例和设计,还可以扩展到与本申请原则和所公开的新特征一致的最大范围。
尽管结合具体特征及其实施例对本申请进行了描述,显而易见的,在不脱离本申请的精神和范围的情况下,可对其进行各种修改和组合。相应地,本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明,且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包括这些改动和变型在内。

Claims (24)

1.一种数据传输方法,其特征在于,所述方法包括:
生成N路密文数据流,第一密文数据流是所述N路密文数据流中的任一路密文数据流,所述第一密文数据流包括至少两个第一对齐标识AM以及至少两个密文数据段;其中,每两个所述第一AM之间包括一个所述密文数据段,每两个所述密文数据段之间包括一个所述第一AM,所述至少两个第一AM用于所述N路密文数据流的数据对齐,所述至少两个第一AM中的部分或全部第一AM指示所述至少两个密文数据段的加密参数,N为正整数;
发送所述N路密文数据流。
2.如权利要求1所述的方法,其特征在于,所述第一密文数据流包括第一AM集合,所述第一AM集合中包括L个所述第一AM,所述第一AM集合用于承载至少一个指定密文数据段的加密参数;其中,L为正整数。
3.如权利要求2所述的方法,其特征在于,所述第一AM集合承载的加密参数包括初始化向量IV和密钥标识;
所述第一AM集合中的p个所述第一AM,用于承载冗余m次的所述初始化向量IV;其中,p为小于L的正整数,m为自然数;
所述第一AM集合中的q个所述第一AM,用于承载冗余n次的所述密钥标识;其中,q为小于L的正整数,n为自然数。
4.如权利要求3所述的方法,其特征在于,所述第一AM集合中的r个所述第一AM,用于承载所述第一AM集合的标识;其中,r为小于L的正整数。
5.如权利要求4所述的方法,其特征在于,L的取值为50;p的取值为48;m的取值为11;q的取值为1;n的取值为11;r的取值为1。
6.如权利要求2-5任一项所述的方法,其特征在于,所述至少一个指定密文数据段包括所述第一AM集合中每个所述第一AM之后的第一个密文数据段。
7.如权利要求2-5任一项所述的方法,其特征在于,所述至少一个指定密文数据段包括指定AM之后的至少一个密文数据段,所述指定AM是所述第一密文数据流中位于所述第一AM集合之后的第一AM。
8.如权利要求1-7任一项所述的方法,其特征在于,所述生成N路密文数据流,包括:
获取N路明文数据流,第一明文数据流是所述N路明文数据流中的任一路明文数据流,所述第一明文数据流包括至少两个第二AM以及至少两个明文数据段,每两个所述第二AM之间包括一个所述明文数据段,每两个所述明文数据段之间包括一个所述第二AM,所述至少两个第二AM用于所述N路明文数据流的数据对齐;
根据所述第一明文数据流和所述至少两个密文数据段的加密参数,生成所述第一密文数据流。
9.如权利要求8所述的方法,其特征在于,所述根据所述第一明文数据流和所述至少两个密文数据段的加密参数,生成所述第一密文数据流,包括:
根据所述至少两个密文数据段的加密参数对所述第一明文数据流中的至少两个明文数据段进行加密,得到所述第一密文数据流中的至少两个密文数据段;
根据所述至少两个密文数据段的加密参数对所述第一明文数据流中的至少两个第二AM处理,得到所述第一密文数据流中的至少两个第一AM。
10.如权利要求8或9所述的方法,其特征在于,所述获取N路明文数据流,包括:
接收M路物理通道信号;其中,M为正整数;
按照设定的比例,将M路物理通道信号转化为N路明文数据流。
11.一种数据传输方法,其特征在于,所述方法包括:
获取N路密文数据流,第一密文数据流是所述N路密文数据流中的任一路密文数据流,所述第一密文数据流包括至少两个第一对齐标识AM以及至少两个密文数据段,其中,每两个所述第一AM之间包括一个所述密文数据段,每两个所述密文数据段之间包括一个所述第一AM,所述至少两个第一AM用于所述N路密文数据流的数据对齐,所述至少两个第一AM中的部分或全部第一AM指示所述至少两个密文数据段的加密参数,N为正整数;
根据所述至少两个密文数据段的加密参数对所述第一密文数据流进行解密,得到第一明文数据流,所述第一明文数据流是N路明文数据流中的任一路明文数据流。
12.如权利要求11所述的方法,其特征在于,所述第一明文数据流包括至少两个第二AM以及至少两个明文数据段,每两个所述第二AM之间包括一个所述明文数据段,每两个所述明文数据段之间包括一个所述第二AM,所述至少两个第二AM用于所述N路明文数据流的数据对齐。
13.如权利要求11所述的方法,其特征在于,所述根据所述至少两个密文数据段的加密参数对所述第一密文数据流进行解密,得到第一明文数据流,包括:
根据所述至少两个密文数据段的加密参数对所述第一密文数据流中的至少两个密文数据段进行解密,得到所述第一明文数据流中的至少两个明文数据段;
根据所述至少两个密文数据段的加密参数对所述第一密文数据流中的至少两个第一AM进行处理,得到所述第一明文数据流中的至少两个第二AM。
14.如权利要求11-13任一项所述的方法,其特征在于,所述第一密文数据流包括第一AM集合,所述第一AM集合中包括L个所述第一AM,所述第一AM集合用于承载至少一个指定密文数据段的加密参数;其中,L为正整数。
15.如权利要求14所述的方法,其特征在于,所述第一AM集合承载的加密参数包括初始化向量IV和密钥标识;
所述第一AM集合中的p个所述第一AM,用于承载冗余m次的所述初始化向量IV;其中,p为小于L的正整数,m为自然数;
所述第一AM集合中的q个所述第一AM,用于承载冗余n次的所述密钥标识;其中,q为小于L的正整数,n为自然数。
16.如权利要求15所述的方法,其特征在于,所述第一AM集合中的r个所述第一AM,用于承载所述第一AM集合的标识;其中,r为小于L的正整数。
17.如权利要求16所述的方法,其特征在于,L的取值为50;p的取值为48;m的取值为11;q的取值为1;n的取值为11;r的取值为1。
18.如权利要求14-17任一项所述的方法,其特征在于,所述至少一个指定密文数据段包括所述第一AM集合中每个所述第一AM之后的第一个密文数据段。
19.如权利要求14-17任一项所述的方法,其特征在于,所述至少一个指定密文数据段包括指定AM之后的至少一个密文数据段,所述指定AM是所述第一密文数据流中位于所述第一AM集合之后的第一AM。
20.如权利要求14-19任一项所述的方法,其特征在于,所述根据所述至少两个密文数据段的加密参数对所述第一密文数据流进行解密,包括:
根据所述第一AM集合承载的加密参数对所述至少一个指定密文数据段进行解密,得到所述至少一个指定密文数据段对应的明文数据段。
21.一种通信装置,其特征在于,包括:
处理器,所述存储器和处理器耦合,所述存储器用于存储程序指令,所述处理器用于执行所述程序指令,以实现权利要求1-10任一项所述的方法。
22.一种通信装置,其特征在于,包括:
处理器,所述存储器和处理器耦合,所述存储器用于存储程序指令,所述处理器用于执行所述程序指令,以实现权利要求11-20任一项所述的方法。
23.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有指令,当所述指令在计算机上运行时,实现如权利要求1-20任一项所述的方法。
24.一种通信系统,其特征在于,包括用于执行如权利要求1-10任一项所述方法的通信装置,和用于执行如权利要求11-20任一项所述方法的通信装置。
CN202011405827.2A 2020-12-02 2020-12-02 一种数据传输方法、通信装置及通信系统 Pending CN114584333A (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN202011405827.2A CN114584333A (zh) 2020-12-02 2020-12-02 一种数据传输方法、通信装置及通信系统
PCT/CN2021/124185 WO2022116711A1 (zh) 2020-12-02 2021-10-15 一种数据传输方法、通信装置及通信系统
EP21899745.0A EP4250639A4 (en) 2020-12-02 2021-10-15 DATA TRANSMISSION METHOD, COMMUNICATION DEVICE AND COMMUNICATION SYSTEM
US18/326,340 US20230327852A1 (en) 2020-12-02 2023-05-31 Data transmission method, communication apparatus, and communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011405827.2A CN114584333A (zh) 2020-12-02 2020-12-02 一种数据传输方法、通信装置及通信系统

Publications (1)

Publication Number Publication Date
CN114584333A true CN114584333A (zh) 2022-06-03

Family

ID=81768378

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011405827.2A Pending CN114584333A (zh) 2020-12-02 2020-12-02 一种数据传输方法、通信装置及通信系统

Country Status (4)

Country Link
US (1) US20230327852A1 (zh)
EP (1) EP4250639A4 (zh)
CN (1) CN114584333A (zh)
WO (1) WO2022116711A1 (zh)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9083516B2 (en) * 2013-06-05 2015-07-14 Cisco Technology, Inc. Securing virtual lane physical layers
US9461941B2 (en) * 2013-06-25 2016-10-04 Brocade Communications Systems, Inc. 128 Gigabit fibre channel physical architecture
KR101881435B1 (ko) * 2014-01-14 2018-07-24 후아웨이 테크놀러지 컴퍼니 리미티드 이더넷 신호 전송 방법 및 스케줄링 방법, 및 그 장치 및 시스템
CN111431666B (zh) * 2015-04-23 2022-05-31 华为技术有限公司 一种数据处理方法和数据发送端以及接收端
US10193688B2 (en) * 2015-12-11 2019-01-29 Ciena Corporation Flexible Ethernet encryption systems and methods
US10404402B2 (en) * 2017-09-22 2019-09-03 Cisco Technology, Inc. Security protection of terabit ethernet PCS layer using alignment markers

Also Published As

Publication number Publication date
EP4250639A1 (en) 2023-09-27
US20230327852A1 (en) 2023-10-12
WO2022116711A1 (zh) 2022-06-09
EP4250639A4 (en) 2024-04-17

Similar Documents

Publication Publication Date Title
US10567352B2 (en) Flexible ethernet encryption systems and methods
US9942064B2 (en) Data processing method and apparatus
US10193688B2 (en) Flexible Ethernet encryption systems and methods
US10182039B2 (en) Encrypted and authenticated data frame
CN104703176B (zh) 无线网络的配置方法、智能终端和无线网络设备
US9954644B2 (en) Ethernet data processing method, physical layer chip and Ethernet equipment
CN111669250B (zh) 数据传输方法、装置及系统
WO2015027755A1 (zh) 一种物理层编解码方法及其装置
CN107683592A (zh) 数据处理方法、装置和系统
WO2017121158A1 (zh) 处理弹性以太网信号的方法和装置
US20230308259A1 (en) Data transmission method, communication apparatus, and communication system
US11283467B1 (en) Methods and network device for uncoded bit protection in 10GBASE-T ethernet
JP2005184811A (ja) ギガビットイーサネット(登録商標)受動光加入者網及び方法
WO2018035857A1 (zh) 以太无源光网络通信方法及装置
CN114584333A (zh) 一种数据传输方法、通信装置及通信系统
US20230353255A1 (en) Status Notification Method, Optical Module, Network Device, and Network System
EP4387162A1 (en) Data transmission method and device, readable storage medium, and chip system
CN108737075B (zh) 一种生成共享密钥的方法、装置及系统
CN115766046A (zh) 一种数据传输方法、设备、可读存储介质和芯片系统
CN113709172B (zh) 一种sdh超帧结构及其纠错方法
ITVA20000030A1 (it) Metodo di trasmissione per garantire la confidenzialita&#39; dei dati.
Muzaffar et al. Secure ECS Communication

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination