CN115914894A - 一种光传送网安全切片净荷加密fpga的设计方法 - Google Patents
一种光传送网安全切片净荷加密fpga的设计方法 Download PDFInfo
- Publication number
- CN115914894A CN115914894A CN202211423152.3A CN202211423152A CN115914894A CN 115914894 A CN115914894 A CN 115914894A CN 202211423152 A CN202211423152 A CN 202211423152A CN 115914894 A CN115914894 A CN 115914894A
- Authority
- CN
- China
- Prior art keywords
- encryption
- otn
- optical
- fpga
- transport network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种光传送网安全切片净荷加密FPGA的设计方法,属于光通信技术领域。其通过将基于高级加密标准在灵活分组增强分组传送网中进行FPGA的实现,根据需要动态调谐切片通道的颗粒度信息,通过连续加密包的加密开销与加密消息的相关性进行FPGA的设计。在FPGA设备中实现的OTN结构处理器,该OTN是基于光业务单元的OTN(OSSD‑OTN)面向传统OTN技术的技术短板做出的改进,实现2M‑100Gbps不同颗粒度业务承载。并且,在OSSD‑OTN中实现对称加密和认证机制,并将OTN信号沿路径传输到骨干光网络中。本发明的加密机制解决了基于切片OTN通信链路中光通道信息安全的重要问题,满足未来光网络对安全性能越来越迫切的需求。
Description
技术领域
本发明涉及光通信技术领域,具体来说,涉及一种光传送网安全切片净荷加密FPGA的设计方法。
背景技术
随着日益增长的互联网视频和移动数据服务需求,对光网络的传输能力的要求日益扩大,迫切需要下一代100G光传送网络(OTN)的解决方案。OTN遭遇窃听或攻击时,数据破坏,从而使得合法方在不知情的情况下,入侵者通过窃听双向通信信道的一条或多条线路来探测数据。另一方面,在OTN系统中,由于入侵者可以在通信链路中恶意插入再生器模块探测流量,且只要入侵者正确地更新了BIP-8(位交错奇偶校验-纯错误检测方案)的值,则可修改信息内容。数据终端设备将不会发现任何OTN帧载荷的修改。此外,基于光业务单元(OSU)的OTN(OSSD-OTN)是针对传统OTN技术的技术短板做出的改进,改变了传统OTN采用时隙划分帧结构的特性,采用更加灵活的净荷块划分方式,可以实现2M-100Gbps不同颗粒度业务承载。
发明内容
针对上述背景技术中存在的问题,本发明提出一种光传送网安全切片净荷加密FPGA的设计方法。本发明支持2M~100Gbps速率客户业务的高效承载,解决了OTN通信链路中信息安全的重要问题,使得OTN根据实际网络的需求进行选择性的加密/解密,通过简单易实现的算法实现了切片加密与切片非加密的协同管理。
本发明的技术方案是这样实现的,
一种光传送网安全切片净荷加密FPGA的设计方法,通过将基于高级加密标准在灵活分组增强分组传送网中进行FPGA的实现,根据需要动态调谐切片通道的颗粒度信息,通过连续加密包的加密开销与加密消息的相关性进行FPGA的设计,具体包括以下过程:
光传送网的节点A和B之间存在一个安全通道,两个终端通过安全通道交换它们的密钥;
根据需求使用相同的密码密钥对消息进行加密和解密;
将高级加密标准的加密算法加载在基于光传送网的帧架构的OSU的净荷中;
基于光传送网的帧架构包括光信道传输单元开销、光路数据单元开销、光路净荷开销和帧定位信号,通过基于光传送网的帧架构,实现不同颗粒度业务的OTN承载;
基于FPGA的100Gbit/s OTN加密框图包含了包含用户侧接口和线路侧接口两个方向的收发机以及发射机和接收机处理器;
基于FPGA的100Gbit/s OTN加密框图的用户侧接口和线路侧接口两个方向的收发机的端口的数目取决于高速的串行业务流进行并行化的处理;
基于FPGA的100Gbit/s OTN加密框图发射机处理部分包括:来自客户端640位接口的数据首先由光传输层IP块处理、之后进行FEC译码器、帧接收机、放置FIFO缓存中,恢复的数据由发端处理器进行OSU的块操作,用于加密;之后成帧发送、FEC编码以及经过OTL的编码器,最后在线路端接口输出;
基于FPGA的100Gbit/s OTN加密框图接收机处理部分包括来自线路侧接口的数据首先由光传输层IP块处理、之后进行FEC译码器、帧接收机、放置FIFO缓存中,恢复的数据由收端处理器进行OSU的块操作,用于解密;之后成帧发送、FEC编码以及经过OTL的编码器,最后在用户端接口输出。
与现有技术相比,本发明的优点在于:
本发明在保留传统OTN硬管道、丰富的运行管理维护(OAM)等优势的前提下,提供更细的时隙颗粒度、更简洁的带宽无损调整机制的同时,在OTN帧开销中通过现有的预留字节用来承载认证标签;在帧净荷中实现基于AES的加密,实现了切片OTN中光通道的安全防护。
附图说明
图1为本发明提出的100G OTN加密总方案示意图。
图2为本发明更新的基于切片的100G OTN的帧架构示意图。
图3为本发明为基于100G OTN的切片加密流程示意图。
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。
OTN处理器的应用场景可配置为100Gigabit Ethernet(GbE)OTN应答器或光信道传输单元(OTU4)OTN再生器。OTU4 OTN再生器是针对长途传输应用,执行光信号的3R再生。应答器是一个传输和恢复用户端数据加密到OTN帧的应用程序。100Gbit/s OTN应答器有用户端和线路端两个不同的接口。千兆以太网数据包以100Gbit/s的速度从以太网设备传输到转发器的用户端接口,在用户端口,它们被封装成OTN帧并通过线路传输到光网络的OTU4。
参照图1,本发明通信节点A和B使用相同的密码密钥对消息进行加密和解密。该密码系统实现前提是存在一个安全的通道,通过该通道,两个终端都可以交换它们的密钥。加密函数f(x,k)收到两个输入:要传输的明文消息(x)和密文密钥(k)。f(x,k)的输出是加密的密文消息(y)。只有使用正确的密钥(k),对加密的消息应用解密函数f(y,k)才能恢复原始消息。所选加密函数必须使入侵者难以从加密消息中猜测密钥,密钥的大小(以比特为单位)越大,用其他数学破解它的时间就越长。
Joan Daeman和Vincent Rijimen提出的高级加密标准(AES)和操作方式是一种公认的、被广泛采用和全世界标准化的对称加密算法,它是一种使用128/192/256位密钥的数据迭代分组的加密密码。基于OSSD OTN的加密方法采用100G AES加密机解决方案实现,它由许多具有专门功能的子块组成。
参考图2,OSSD OTN的帧结构主要由光信道传输单元开销(OTU OH)、光路数据单元开销(ODU OH)、光路净荷开销(OPU OH)和帧定位信号(FAS)组成。N表示在一个帧结构中包含OSUflex的个数。支路端口号(TPN)标识业务和端口之间对应关系,OSUflex的定长帧结构包含了AES加密的开销以及AES加密的净荷部分。因此,通过在OSU中进行切片的加密,在增强OTN中业务的灵活性的同时增强网络的安全性能。具体地,AES加密过程为:首先在源端对明文添加密钥、分组为子字节、进行行移变换和混合数据列,以添加密钥,添加密钥后进行密钥计数和复用且最终计数,最后生成密文,经传输后的密文到目的端,进行与源端相反的密文译码控制部分,控制部分主要包括AES加密的开销处理以及密钥生成和协商。
参照图3,基于FPGA的100Gbit/s OTN处理器及应用程序主要包含用户侧接口和线路侧接口两个方向的收发机以及发射机和接收机处理器。由于数据速率高,逻辑电路密度大,OTN的典型核心时钟频率在400Mhz以下。因此,需要对高速信号进行并行处理。两个100Gbit/s的客户端和线路侧接口由10个速率为10Gbit/s的通道组成,内部通过SerDes(序列化/反序列化)IP块,创建640位宽的数据路径。
在发端客户端的接口中,传输速率为100Gbit/s OTU4信号以10个10Gbit/s的通道接收,每一个通道都由运行在174.70MHz的64位输入/输出总线的SerDes设备处理。
来自客户端640位接口的数据首先由光传输层(OTL)IP块处理、之后进行前向纠错译码(FEC)译码器、帧接收机、放置先入先出(FIFO)缓存中,恢复的数据由发端处理器进行OSU的块操作(用于加密),之后成帧发送、FEC编码以及经过OTL的编码器,最后在线路端接口输出。
相反,由收端的处理器执行解密处理器模块,具体为来自线路侧接口的数据首先由光传输层(OTL)IP块处理、之后进行FEC译码器、帧接收机、放置FIFO缓存中,恢复的数据由收端处理器进行OSU的块操作(用于解密)之后成帧发送、FEC编码以及经过OTL的编码器,最后在用户端接口输出。
本发明主要针对上述OSSD OTN的加密方法验证实现。由于最新FPGA可以进行高速数据传输协议的验证,如采用操作、管理和维护(OAM)功能及嵌入式的设计,可为100Gbit/s的OTN流量传输提供灵活性和优异性能,本发明提出一种在FPGA设备中实现的OTN结构处理器,该结构器实现对称加密和认证机制,并将OTN信号沿路径传输到骨干光网络中。现有OTN体制采用了AES加密机制,但迄今还未有在OSSD-OTN中进行AES的FPGA实时验证。本发明在保留传统OTN硬管道、丰富的运行管理维护(OAM)等优势的前提下,提供更细的时隙颗粒度、更简洁的带宽无损调整机制的同时,在OTN帧开销中通过现有的预留字节用来承载认证标签;在帧净荷中实现基于AES的加密,实现了切片OTN中光通道的安全防护。
综上,本发明实现一种OTN安全加密的FPGA实现方法,通过简单易实现的算法实现了基于FPGA的OTN安全加密的方法。本发明在保留传统OTN硬管道、丰富的运行管理维护(OAM)等优势的前提下,提供更细的时隙颗粒度、更简洁的带宽无损调整机制的同时,在OTN帧开销中通过现有的预留字节用来承载认证标签;在帧净荷中实现基于AES的加密,实现了切片OTN中光通道的安全防护。
以上所述仅为本发明在实施例中的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应该涵盖在本发明保护范围之内。
Claims (1)
1.一种光传送网安全切片净荷加密FPGA的设计方法,其特征在于,通过将基于高级加密标准在灵活分组增强分组传送网中进行FPGA的实现,根据需要动态调谐切片通道的颗粒度信息,通过连续加密包的加密开销与加密消息的相关性进行FPGA的设计,具体包括以下过程:
光传送网的节点A和B之间存在一个安全通道,两个终端通过安全通道交换它们的密钥;
根据需求使用相同的密码密钥对消息进行加密和解密;
将高级加密标准的加密算法加载在基于光传送网的帧架构的OSU的净荷中;
基于光传送网的帧架构包括光信道传输单元开销、光路数据单元开销、光路净荷开销和帧定位信号,通过基于光传送网的帧架构,实现不同颗粒度业务的OTN承载;
基于FPGA的100Gbit/sOTN加密框图包含了包含用户侧接口和线路侧接口两个方向的收发机以及发射机和接收机处理器;
基于FPGA的100Gbit/sOTN加密框图的用户侧接口和线路侧接口两个方向的收发机的端口的数目取决于高速的串行业务流进行并行化的处理;
基于FPGA的100Gbit/sOTN加密框图发射机处理部分包括:来自客户端640位接口的数据首先由光传输层IP块处理、之后进行FEC译码器、帧接收机、放置FIFO缓存中,恢复的数据由发端处理器进行OSU的块操作,用于加密;之后成帧发送、FEC编码以及经过OTL的编码器,最后在线路端接口输出;
基于FPGA的100Gbit/sOTN加密框图接收机处理部分包括来自线路侧接口的数据首先由光传输层IP块处理、之后进行FEC译码器、帧接收机、放置FIFO缓存中,恢复的数据由收端处理器进行OSU的块操作,用于解密;之后成帧发送、FEC编码以及经过OTL的编码器,最后在用户端接口输出。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211423152.3A CN115914894A (zh) | 2022-11-15 | 2022-11-15 | 一种光传送网安全切片净荷加密fpga的设计方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211423152.3A CN115914894A (zh) | 2022-11-15 | 2022-11-15 | 一种光传送网安全切片净荷加密fpga的设计方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115914894A true CN115914894A (zh) | 2023-04-04 |
Family
ID=86475765
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211423152.3A Pending CN115914894A (zh) | 2022-11-15 | 2022-11-15 | 一种光传送网安全切片净荷加密fpga的设计方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115914894A (zh) |
-
2022
- 2022-11-15 CN CN202211423152.3A patent/CN115914894A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9059866B2 (en) | Digital microwave radio system and method with encryption | |
US9596075B2 (en) | Transparent serial encryption | |
US8964981B2 (en) | Method and system for transmitting signaling information over a data transport network | |
CA2322404C (en) | Automatic resynchronization of crypto-sync information | |
CN107276753B (zh) | 一种信道复用的量子密钥分发系统及方法 | |
CN108881302B (zh) | 工业以太网与blvds总线互联通讯装置及工业控制系统 | |
US8462784B2 (en) | Security approach for transport equipment | |
WO2014106319A1 (zh) | 以太网中处理数据的方法、物理层芯片和以太网设备 | |
JP2020520617A (ja) | フレームのプロパティを活用する設定可能なサービスパケットエンジン | |
US7450719B2 (en) | Gigabit Ethernet-based passive optical network and data encryption method | |
Pérez-Resa et al. | Chaotic encryption for 10-Gb Ethernet optical links | |
Pérez-Resa et al. | Chaotic encryption applied to optical Ethernet in industrial control systems | |
KR20150055004A (ko) | 미정렬 데이터 스트림에 대한 키 스트림의 스트리밍 정렬 | |
KR20020028096A (ko) | 래디오 링크 콘트롤(rlc)의 인식 모드(am)에서데이터 송수신 처리방법 | |
US6775274B1 (en) | Circuit and method for providing secure communication over data communication interconnects | |
CN109714295B (zh) | 一种语音加解密同步处理方法和装置 | |
Pérez-Resa et al. | Using a chaotic cipher to encrypt Ethernet traffic | |
Matalgah et al. | Simple encryption algorithm with improved performance in wireless communications | |
CN115914894A (zh) | 一种光传送网安全切片净荷加密fpga的设计方法 | |
CN107888611B (zh) | 通信方法和装置 | |
US20210367710A1 (en) | Apparatus and method for sending side-channel bits on an ethernet cable | |
CN114826748A (zh) | 基于rtp、udp及ip协议的音视频流数据加密方法和装置 | |
TWI758636B (zh) | 具有高安全性的資料傳輸系統及方法 | |
Pérez-Resa et al. | Chaos-based stream cipher for gigabit ethernet | |
Pérez-Resa et al. | Self-synchronized encryption for physical layer in 10gbps optical links |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |