WO2018086333A1

WO2018086333A1 - 一种加密、解密的方法及设备

Info

Publication number: WO2018086333A1
Application number: PCT/CN2017/085783
Authority: WO
Inventors: 苏长征; 卢建松; 肖新华
Original assignee: 华为技术有限公司
Priority date: 2016-11-11
Filing date: 2017-05-24
Publication date: 2018-05-17
Also published as: EP3531614A4; EP3531614A1; CN108075883A; US20190334710A1

Abstract

一种加密、解密的方法及设备，以解决现有的业务数据的加密过程无法保证其被加密的业务数据的无条件安全性，不能实现高度机密的业务数据的加密处理的问题。本发明中用于加密的设备获取量子密钥和待加密的业务数据；利用所述量子密钥对所述待加密的业务数据进行加密生成密文；将所述密文插入OTN开销字节中的设定字节，封装成包含所述密文的OTN帧；将所述OTN帧从电信号转换为光信号后传输至第二OTN设备，由于采用量子密钥对业务数据进行加密，能够确保业务数据传输的无条件安全性，同时，将密文插入OTN开销字节中的设定字节，能够实现高度机密业务的加密处理。

Description

一种加密、解密的方法及设备

本申请要求在2016年11月11日提交中国专利局、申请号为201611001858.5、发明名称为“一种加密、解密的方法及设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及量子通信领域，尤其涉及一种加密、解密的方法及设备。

背景技术

随着网络技术的快速发展，大量敏感信息需要通过网络传输，人们需要对敏感信息进行保护以免丢失或遭到攻击。加密是保障信息安全的重要手段之一，现有经典加密体系是建立在计算复杂度基础之上的，其存在被破译的可能。经典密码体制中，只有一次一密具有无条件安全性，而如何产生大量的随机数密钥一直是个难题，量子密钥分配(Quantum Key Distribution，QKD)技术的出现解决了这个难题。

QKD具体是以量子态作为信息单元，利用量子力学的一些原理来传输和保护信息，通常把通信双方以量子态为信息载体，利用量子力学原理，通过量子信道传输，在保密通信双方之间建立共享密钥。其安全性是由量子力学中的“海森堡测不准关系”及“单量子不可复制定理”或纠缠粒子的相干性和非局域性等量子特性来保证的。

2012年美国CISCO公司申请了光传送网络中的时隙加密专利，对应中国专利申请公开号为CN104718720A，该专利申请提供了如下加密方案：

光传送网络(Optical Transport Network，OTN)帧包括被划分为多个时隙的光通道净负荷单元(Optical Channel Payload Unit，OPU)，该OTN帧在发送端被接收，将时隙分组为多个时隙块，选择两个或更多个时隙块以进行加密，并且并行地执行加密/认证以生成经加密的OTN帧，其中，经加密的OTN帧中仅某些时隙块被加密。

由于光通道净负荷单元最小单位为ODU0，且OTN设备只能将该最小单元做为一个整体进行加密、解密处理，ODU0速率为1.25Gbps，由于其数据速率非常高且为连续传输业务，远远高于现有量子密钥分发系统能够生成的密钥的速度，因此，要对光通道净荷单元进行加密只能选择传统加密方法，无法保证其被加密的业务数据的无条件安全性，不能实现高度机密的业务数据的加密处理。

发明内容

本发明实施例提供一种加密、解密的方法及设备，以解决现有的业务数据的加密过程无法保证其被加密的业务数据的无条件安全性，不能实现高度机密的业务数据的加密处理的问题。

本发明实施例提供的具体技术方案如下：

第一方面，本发明实施例提供一种用于加密的设备，包括：

接口单元，用于获取量子密钥和待加密的业务数据；

加密单元，用于利用所述量子密钥对所述待加密的业务数据进行加密生成密文；

光传送网络OTN处理器，用于将所述密文插入OTN开销字节中的设定字节，封装成包含所述密文的OTN帧；

电光转换模块，用于将所述OTN帧从电信号转换为光信号后传输至接收设备。

这样，由于在对业务数据进行加密的过程中能够利用获取的量子密钥对待加密的业务数据进行加密生成密文，并将所述密文插入OTN开销字节中的设定字节，封装成包含所述密文的OTN帧，进行电光转换后传输，由于采用量子密钥对待加密的业务数据进行加密，因此保证了业务数据传输的安全性，进一步的，由于将密文封装在OTN开销字节中的设定字节，因此，能够实现高度机密业务的加密传送。

一种可能的设计中，所述加密单元具体用于：利用一次一密加密算法和所述量子密钥对所述待加密的业务数据进行加密生成密文。

这种设计中，直接获取的量子密钥对业务数据进行加密，在保证数据传输安全性的前提下，方案简单，易于实现。

一种可能的设计中，所述加密单元包括一次一密加密单元和密钥生成单元；

所述密钥生成单元，用于对所述量子密钥进行扩码处理生成新的密钥或对所述量子密钥进行重用处理生成新的密钥；

所述一次一密加密单元，用于利用一次一密加密算法和所述新的密钥对所述待加密的业务数据进行加密生成密文。

这种设计中，针对获取的量子密钥进行扩码和重用的方法并对业务数据进行加密，从而能够对更多的业务数据做加密。

一种可能的设计中，所述OTN开销字节中的设定字节为光通道净荷单元OPU开销字节中的设定字节或光通道数据单元ODU开销字节中的设定字节或光通道数据单元OTU开销字节中的设定字节。

这种设计中，只要满足OTN开销字节中的设定字节为OPU开销字节中的设定字节或ODU开销字节中的设定字节或OTU开销字节中的设定字节这种需求，就能实现密文的加密传输，实现简单。

一种可能的设计中，所述ODU开销字节中的设定字节为ODU开销字节中的通用通信通道字节；所述OTU开销字节中的设定字节为OTU开销字节中的通用通信通道字节。

这种设计中，将OTN开销中用于传递通用通信信息的通用通信通道字节设计为ODU开销字节中的设定字节或OTU开销字节中的设定字节，因为在实际的OTN设备中，通常这些通用通信通道字节都是保留未使用的，而且能够保证业务数据的高速传输，既不影响OTN帧中原有字节的功能传输，还能保证密文传输的高速性和安全性。

一种可能的设计中，所述ODU开销字节中的设定字节为GCC1字节和GCC2字节，所述OTU开销字节中的设定字节为GCC0字节。

一种可能的设计中，所述GCC1字节位于OTN帧中第4行的第1～2列；所述GCC2字节位于OTN帧中第4行的第3～4列；所述GCC0字节位于OTN帧中第1行的第11～12列。

一种可能的设计中，所述OTN开销字节中的设定字节为OPU开销字节或ODU开销字节或OTU开销字节中的保留字节，所述保留字节为RES字节。

这种设计中，将OPU开销字节或ODU开销字节或OTU开销字节中的保留字节设计保留字节，由于OTN设备中的保留字节也是保留未使用的开销字节，因此，采用这种设计能够实现密文的安全传输。

一种可能的设计中，所述OTN处理器包括OTU处理单元，用于将所述密文插入OPU开销字节或ODU开销字节或OTU开销字节中的设定字节，封装成包含所述密文的OTN帧。

一种可能的设计中，所述OTN处理器包括OTU处理单元和ODU处理单元；

所述ODU处理单元，用于将所述密文插入ODU开销字节或OPU开销字节中的设定字节，将得到的ODU单元输出至所述OTU处理单元；

所述OTU处理单元，用于将所述ODU单元封装成包含所述密文的OTN帧。

一种可能的设计中，所述OTN处理器包括OTU处理单元、ODU处理单元和OPU处理单元；

所述OPU处理单元，用于将所述密文插入OPU开销字节中的设定字节，将得到的OPU单元输出至所述ODU处理单元；

所述ODU处理单元，用于对所述OPU单元进行处理得到ODU单元，将所述ODU单元输出至所述OTU处理单元；

第二方面，本发明实施例提供一种加密的方法，包括：

第一光传送网络OTN设备获取量子密钥和待加密的业务数据；

利用所述量子密钥对所述待加密的业务数据进行加密生成密文；

将所述密文插入OTN开销字节中的设定字节，封装成包含所述密文的OTN帧；

将所述OTN帧从电信号转换为光信号后传输至第二OTN设备。

一种可能的设计中，所述利用所述量子密钥对所述待加密的业务数据进行加密生成密文，包括：

利用一次一密加密算法和所述量子密钥对所述待加密的业务数据进行加密生成密文，或

对所述量子密钥进行扩码处理生成新的密钥，利用一次一密加密算法和所述新的密钥对所述待加密的业务数据进行加密生成密文；或

对所述量子密钥进行重用处理生成新的密钥，利用一次一密加密算法和所述新的密钥对所述待加密的业务数据进行加密生成密文。

第三方面，本发明实施例提供一种解密的方法，包括：

第二光传送网络OTN设备接收第一OTN设备发送的包含密文的光信号；

将所述光信号转换为电信号得到包含密文的OTN帧；

从所述OTN帧中的OTN开销字节中的设定字节中提取密文；

针对所述提取的密文利用所述第一OTN设备获取的加密算法和量子密钥进行解密处理，得到加密处理之前的业务数据。

第四方面，本发明实施例提供一种用于解密的设备，包括：

接口单元，用于接收发送设备发送的包含密文的光信号；

光电转换模块，用于将所述光信号转换为电信号得到包含密文的光传送网络OTN帧；

OTN处理器，用于从所述OTN帧中的OTN开销字节中的设定字节中提取密文，输出至解密单元；

所述解密单元，用于针对所述提取的密文利用所述发送设备获取的加密算法和量子密钥进行解密处理，得到加密处理之前的业务数据。

第五方面，本发明实施例提供一种计算机存储介质，用于储存为上述第一方面所述的第一OTN设备所用的计算机软件指令，其包含用于执行上述方面所设计的程序。

本发明实施例中，用于加密的设备能够利用获取的量子密钥对待加密的业务数据进行加密生成密文，并将所述密文插入OTN开销字节中的设定字节，封装成包含所述密文的OTN帧，进行电光转换后传输，由于采用量子密钥对待加密的业务数据进行加密，因此保证了业务数据传输的安全性，进一步的，由于将密文封装在OTN开销字节中的设定字节，因此，能够实现高度机密业务的加密传送。

附图说明

图1为OTN安全传输网络的网络架构示意图；

图2为通用OTN设备的业务处理逻辑功能示意图；

图3为OTN帧的帧结构示意图；

图4为OTN帧中的OTN开销字节位置示意图；

图5A、图5B、图5C和图5D为本发明实施例中的用于加密的设备结构示意图；

图6为本发明实施例中的用于解密的设备结构示意图；

图7A、图7B和图7C为本发明实施例中用于加解密的系统实现加解密的过程意图；

图8为本发明实施例中的加密方法流程图；

图9为本发明实施例中的解密方法流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，并不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1所示为，OTN安全传输网络的网络架构示意图，由图1可知，在OTN安全传输网络中包含多个OTN设备，每个OTN设备包含一个或多个加密的光传输单元(Optical Channel Transport Unit，OTU)，这些OTU的端口通过光纤和或其他光功能的OTN设备连接在一起。

OTN设备的主要功能是将客户输入的业务数据进行光电转换后，经OPU映射到不同的 OPU单元，插入OPU开销和ODU开销后，进行OTU开销处理，插入到不同的光传输单元，最后经电光转换后由光纤传输到另一OTN设备。图2给出了一个通用OTN设备的业务处理逻辑功能示意图，图2中的OPU处理单元、ODU处理单元、OTU处理单元是逻辑功能上的划分，实际设备中，这三个逻辑功能单元通常是集成到一个芯片中的，这样的芯片称为OTN处理器。

在I TU-T G.709中定义的OTN帧的帧结构如图3所示，具体包含以下三个区域：

1)光通道净荷单元(OPUk)，能够实现将客户信号映射进一个固定的帧结构(数字包封)的功能，所述信号的帧结构包括但不限于同步传输模块n级(Synchronous Transport Module level N，STM-N)，网络协议(Internet Protocol，I P)分组，异步传输模式(Asynchronous Transfer Mode，ATM)信元，以太网帧等各种格式。

2)光通道数据单元(ODUk)，能够提供与信号无关的连通性，连接保护和监控等功能，这一层也叫数据通道层。

3)光通道传输单元(OTUk)，能够提供前向纠错(Forward Error Correction，FEC)，光段保护和监控等功能，这一层也叫数字段层。

OTN帧中的OTN开销包括OTU开销、OPU开销和ODU开销三类，具体的开销字节如图4所示，包括:

FAS字节：帧定位单元字节，位于第一行的第1-6列；

MFAS字节：复帧定位单元字节,位于的第一行的第6～8列，最多支持由256个帧构成的复帧；

SM字节：段监视字节，位于第一行的第8-10字节；

GCC0/GCC1/GCC2字节：为OTN提供的专门的通用通信通道字节；

RES字节：预留字节；

TCM ACT字节：用于连接监视的激活和去激活的字节；

TCM1-6字节：用于6层的连接监视字节；

FTFL字节：用于故障类型和故障定位的字节；

PM字节：用于通道监视的字节；

EXP字节：试验用字节；

APS/PCC字节：用于自动保护倒换和保护通信信道的字节；

JC字节：码速调整控制字节；

PSI字节：载荷结构标识字节；

NJO字节：用于正码速调整的字节；

PJO字节：用于负码速调整的字节。

需要说明的是，GCC0～GCC2字节为OTN开销中用于传递通用通信信息的专用字节，在实际的OTN设备中，通常这些字节都是保留未使用，此外，OTN中还包括其它保留未使用的开销字节，如：RES字节，从图4中可以看出GCC1字节位于OTN帧中第4行的第1～2列；GCC2字节位于OTN帧中第4行的第3～4列；GCC0字节位于OTN帧中第1行的第11～12列。而RES字节在OTU开销字节、ODU开销字节和OPU开销字节中均存在。由于现有技术中加密方案在进行加密时，OTN帧在发送端被接收后，由于OTN帧包括被划分为多个时隙的OPU，因此，将时隙分组为多个时隙块，选择两个或更多个时隙块以进行加密，并且并行地执行加密/认证以生成经加密的OTN帧，其中，经加密的OTN帧中仅某些时隙块被加密。

由于OPU单元的最小单位为ODU0，且OTN设备只能将该最小单元做为一个整体进行加密、解密处理，ODU0的速率为1.25Gbps，由于其数据速率非常高且为连续传输业务，远远高于现有量子密钥分发系统能够生成的密钥的速度，无法使用量子密钥结合一次一密加密算法对ODU0进行加密。因此，要对光通道净荷单元进行加密只能选择传统的加密方法，无法保证其被加密的业务数据的无条件安全性，不能实现高度机密的业务数据的加密处理。因此，本发明提供一种新的加密方案，利用量子密钥对待加密的业务数据进行加密生成密文；将所述密文插入OTN开销字节中的设定字节，优选的，该设定字节为GCC0～GCC2字节；并封装成包含所述密文的OTN帧；将所述OTN帧从电信号转换为光信号后传输至其他设备，这样，由于采用量子密钥对业务数据进行一次一密加密，能够确保密钥的无条件安全性，因此能够保证其被加密的业务数据的无条件安全性，还能实现高度机密的业务数据的加密处理。

具体的，将加密后的密文插入OTN开销字节中的设定字节时，优选的，将密文插入OTN开销字节中的GCC0～GCC2字节中的一个或者多个字节，GCC0～GCC2字节为OTN开销中用于传递通用通信信息的，在实际的OTN设备中，通常这些字节都是保留未使用，而且采用GCC0～GCC2字节能够支持的密文传递速率最大，其中，对于一个OTU2业务GCC0、GCC1、GCC2开销支持的最大速率均为1.3Mbps，GCC0～GCC2字节开销支持的最大速率为3.9Mbps，完成能够满足机密电话、较低清晰度机密视频、机密文件、机密控制指令、其它密钥或密码的传送需求，对于高清晰度机密视频传送可以采用OTU4、OTUC2、OTUC4或多个OTU2、OTU3并联方式来满足传送需求。

图5A示例性示出了本发明实施例提供的一种用于加密的设备结构示意图。

基于上述网络架构以及相关论述，如图5A所示，本发明实施例提供的一种用于加密的设备500，包括：

接口单元501，用于获取量子密钥和待加密的业务数据.

加密单元502，用于利用所述量子密钥对所述待加密的业务数据进行加密生成密文。

OTN处理器503，用于将所述密文插入OTN开销字节中的设定字节，封装成包含所述密文的OTN帧。

电光转换模块504，用于将所述OTN帧从电信号转换为光信号后传输至接收设备。

可选的，所述加密单元502具体用于：利用一次一密加密算法和所述量子密钥对所述待加密的业务数据进行加密生成密文。

可选的，所述加密单元502：包括一次一密加密单元5022和密钥生成单元5021；

所述密钥生成单元5021，用于对所述量子密钥进行扩码处理生成新的密钥或对所述量子密钥进行重用处理生成新的密钥；

所述一次一密加密单元5022，用于利用一次一密加密算法和所述新的密钥对所述待加密的业务数据进行加密生成密文。

可选的，所述OTN开销字节中的设定字节为OPU开销字节中的设定字节或ODU开销字节中的设定字节或OTU开销字节中的设定字节。

可选的，所述ODU开销字节中的设定字节为ODU开销字节中的通用通信通道字节；所述OTU开销字节中的设定字节为OTU开销字节中的通用通信通道字节。

可选的，所述ODU开销字节中的设定字节为GCC1字节和GCC2字节，所述OTU开销字节中的设定字节为GCC0字节。

可选的，所述GCC1字节位于OTN帧中第4行的第1～2列；所述GCC2字节位于OTN帧中第4行的第3～4列；所述GCC0字节位于OTN帧中第1行的第11～12列；所述GCC0字节位于OTN帧中第1行的第11～12列。

可选的，所述设定字节为OPU开销字节或ODU开销字节或OTU开销字节中的保留字节，所述保留字节为RES字节。

可选的，所述接口单元501，具体用于接收其他的量子密钥分发设备发送的量子密钥。

可选的，所述设备500还包括：量子密钥生成单元505，用于生成量子密钥，并发送至所述接口单元501。

一种可能的实施方式中，参阅图5B所示，所述OTN处理器503包括OTU处理单元5031，用于将所述密文插入OPU开销字节或ODU开销字节或ODU开销字节中的设定字节，封装成包含所述密文的OTN帧。

一种可能的实施方式中，参阅图5C所示，所述OTN处理器503包括OTU处理单元5031和ODU处理单元5032；

所述ODU处理单元5032，用于将所述密文插入ODU开销字节或OPU开销字节中的设定字节，将得到的ODU单元输出至所述OTU处理单元5031；

所述OTU处理单元5031，用于将所述ODU单元封装成包含所述密文的OTN帧。

一种可能的实施方式中，参阅图5D所示，所述OTN处理器包括OTU处理单元5031、ODU处理单元5032和OPU处理单元5033；

所述OPU处理单元5033，用于将所述密文插入OPU开销字节中的设定字节，将得到的OPU单元输出至所述ODU处理单元5032；

所述ODU处理单元5032，用于对所述OPU单元进行处理得到ODU单元，将所述ODU单元输出至所述OTU处理单元5031；

所述OTU处理单元5031，用于将所述OPU单元封装成包含所述密文的OTN帧。

可选的，所述待加密的业务数据为机密电话、机密视频、机密文件、机密控制信令、密钥或密码中的任意种组合。

从上述内容可看出，本发明实施例中，用于加密的设备能够利用获取的量子密钥对待加密的业务数据进行加密生成密文，并将所述密文插入OTN开销字节中的设定字节，封装成包含所述密文的OTN帧，进行电光转换后传输，由于采用量子密钥对待加密的业务数据进行加密，因此保证了业务数据传输的安全性，进一步的，由于将密文封装在OTN开销字节中的设定字节，因此，能够实现高度机密业务的加密传送。

图6示例性示出了本发明实施例提供的一种用于解密的设备的结构示意图。

如图6所示，本发明实施例提供的一种用于解密的设备600，包括：

接口单元601，用于接收发送设备发送的包含密文的光信号；

光电转换模块602，用于将所述光信号转换为电信号得到包含密文的光传送网络OTN帧；

OTN处理器603，用于从所述OTN帧中的OTN开销字节中的设定字节中提取密文，输出至解密单元；

所述解密单元604，用于针对所述提取的密文利用所述发送设备获取的加密算法和量子密钥进行解密处理，得到加密处理之前的业务数据。

基于上述实施例，本发明实施例提供一种用于加解密的系统，包括发送端和接收端，所述发送端为上述用于加密的设备500，所述接收端为上述用于解密的设备600，具体的，加解密处理流程可参阅图7A、图7B和图7C所示。

从图7A中可以看出该系统既能实现一般业务的加解密过程，更重要的是还能实现高度机密业务的加解密过程。

发送端针对高度机密的业务数据的加密处理流程为：加密单元1通过接口单元读入高度机密的业务数据、量子密钥1，利用量子密钥1完成对业务数据的加密后，输出密文1，OTN处理器将加密后的密文插入OTN帧的设定开销字节，并封装成完整的OTN帧，电光转换模块将OTN处理器输出的OTN帧转换为光信号，经过光纤传输到接收端。输出至接收端。

具体的，将加密后的密文插入OTN帧的设定开销字节可采取如下四种方式：

加密方式一：OTN处理器中的OTU处理单元读入密文1，插入OPU开销字节或ODU开销字节或ODU开销字节中的设定字节中，并生成完整的OTN帧。

加密方式二：OTN处理器中的ODU处理单元读入密文1，插入ODU开销字节中的设定字节中，并把ODU单元输出给OTU处理单元，继续后续流程。

加密方式三：OTN处理器中的ODU处理单元读入密文1，插入OPU开销字节中的设定字节中，并把得到的ODU单元输出给OTU处理单元，继续后续流程。

加密方式四：OTN处理器中的OPU处理单元读入密文1，插入OPU开销字节中的设定字节中，并把得到的OPU单元输出给ODU处理单元，继续后续流程。

一般加密业务可为来自其他设备的同步数字体系(Synchronous Digital Hierarchy，SDH)、同步光纤网络(Synchronous Optical Network，SONET)、以太网、OTN、光线通道(Fiber Channel)、ATM等业务的一种或多种，这里，采用加密单元2实现对一般业务的加密处理。

具体的，发送端的加密单元2针对一般机密的业务数据的加密处理流程为：通常采用特定的加密算法对其进行加密，如高级加密标准(Advanced Encryption Standard，AES)、数据加密标准(Data Encryption Standard，DES)、三重数据加密算法(Triple DES，3DES)等加密算法；或将量子密钥2做为加密算法的密钥，在OTN设备内可以在不同的业务处理节点对其进行加密，经过处理后，电光转换模块将OTN处理器输出的OTN帧转换为光信号，经过光纤传输到接收端。

具体的，在OTN设备内在不同的业务处理节点对业务数据进行加密，包括以下四种情形：

加密情形一：在输入到OPU处理单元之前，使用加密单元2a对原始输入的业务数据进行加密。

加密情形二：在OPU处理单元处理之后，使用加密单元2b对输出的OPU单元进行加密。

加密情形三：在ODU处理单元处理之后，使用加密单元2c对输出的ODU单元进行加密。

加密情形四：在OTU处理单元之后，使用加密单元2d对输出的OTU单元进行加密。

需要说明的是，上述加密单元2a～2d只是为了区分不同的加密位置给出的区分，在实际应用中通常只会选择一个处理节点进行加密，即只会选择一种加密情形进行加密，优选地，在OPU处理单元之后，对输出的OPU单元进行加密。

相应的，接收端的光电转换模块将输入的光信号转换为电信号，恢复出OTN帧，输出给OTN处理器，可选的，所述OTN处理器包括OTU处理单元、ODU处理单元和OPU处理单元。

针对高度机密的业务数据的解密，OTN处理器根据加密后的密文插入到OTN开销字节中设定字节的字节位置，可以采取如下方式提取密文1：

解密方式一，针对上述加密方式一，OTN处理器中的OTU处理单元读入OTN帧，从OPU开销字节或ODU开销字节或ODU开销字节中的设定字节提取密文1，输出到解密单元。

解密方式二，针对上述加密方式二，OTN处理器中的ODU处理单元读入ODU单元，从ODU开销字节中的设定字节提取密文1，输出到解密单元。

解密方式三，针对上述加密方式三，OTN处理器中的ODU处理单元读入ODU单元，从OPU开销字节中的设定字节提取密文1，输出到解密单元。

解密方式四，针对上述加密方式四，OTN处理器中的OPU处理单元读入OPU单元，从OPU开销字节中的设定字节提取密文1，输出到解密单元.

解密单元读取密文1和加密过程中使用的量子密钥，完成对密文的解密后，输出高度机密的业务数据。

针对一般机密的业务数据的解密，解密单元2需采取与对应的加密处理的逆过程进行解密处理，用于解密的加密算法需要和用于加密的密钥完全一致。

具体的，如果发送端使用加密单元2a进行加密，则接收端使用解密单元2a进行解密；如果发送端使用加密单元2b进行加密，则接收端使用解密单元2b进行解密；如果发送端使用加密单元2c进行加密，则接收端使用解密单元2c进行解密；如果发送端使用加密单元2d进行加密，则接收端使用解密单元2d进行解密，在此不再赘述。

图7B给出了仅对高度机密业务加解密过程，其过程和图7A的高度机密业务加解密过程完全一致，在此不再赘述。

图7C给出了加密单元针对获取的高度机密业务数据利用量子密钥的加密原理示意图，可选的，加密单元包括一次一密加密单元和密钥生成单元，一种可能的实施方式中，所述密钥生成单元对获取的量子密钥进行扩码或重用处理生成新的密钥传输至一次一密加密单元，所述一次一密加密单元利用新的密钥对高度机密业务数据进行加密生成密文1；另一种可能的实施方式中，所述一次一密加密单元直接获取量子密钥，利用所述量子密钥对高度机密业务数据进行加密生成密文1，此时，密钥生成单元可以不存在。

图8示例性示出了本发明实施例提供的一种加密方法的流程示意图。

基于相同构思，本发明实施例提供一种加密方法，由第一OTN设备实现，所述第一OTN设备可以为上述用于加密的设备或发送端，如图8所示，包括：

步骤801：第一OTN设备获取量子密钥和待加密的业务数据。

步骤802：利用所述量子密钥对所述待加密的业务数据进行加密生成密文。

步骤803：将所述密文插入OTN开销字节中的设定字节，封装成包含所述密文的OTN帧。

步骤804：将所述OTN帧从电信号转换为光信号后传输至用于第二OTN设备。

具体的，所述利用所述量子密钥对所述待加密的业务数据进行加密生成密文，包括以下三种实现方式：

第一种实现方式：利用一次一密加密算法和所述量子密钥对所述待加密的业务数据进行加密生成密文。

例如，利用一串1024bit量子密钥结合一次一密算法对1024bit或更短的业务数据进行加密。

第二种实现方式：对所述量子密钥进行扩码处理生成新的密钥，利用一次一密加密算法和所述新的密钥对所述待加密的业务数据进行加密生成密文。

例如，对一串256bit量子密钥进行4倍扩码处理，可以产生一串1024bit密钥，此时，可以结合一次一密算法对1024bit或更短的业务数据进行加密。

第三种实现方式：对所述量子密钥进行重用处理生成新的密钥，利用一次一密加密算法和所述新的密钥对所述待加密的业务数据进行加密生成密文。

例如，对一串256bit的量子密钥重用4次，可以产生一串1024bit密钥，此时，也可以对1024bit或更短的业务数据进行加密。

可选的，所述OTN开销字节中的设定字节为光通道净荷单元OPU开销字节中的设定字节或光通道数据单元ODU开销字节中的设定字节或光通道数据单元OTU开销字节中的设定字节。

可选的，所述GCC1字节位于OTN帧中第4行的第1～2列；所述GCC2字节位于OTN帧中第4行的第3～4列；所述GCC0字节位于OTN帧中第1行的第11～12列。

可选的，所述OTN开销字节中的设定字节为OPU开销字节或ODU开销字节或OTU开销字节中的保留字节，所述保留字节为RES字节。

具体的，第一OTN设备获取量子密钥时，包括以下两种方式：

第一种方式：所述第一OTN设备生成量子密钥。

第二种方式：所述第一OTN设备通过所述第一OTN设备的接口单元接收其他量子密钥分发设备分发的量子密钥。

基于相同构思，本发明实施例提供一种解密方法，由第二OTN设备实现，所述第二OTN设备可以为上述用于解密的设备或接收端，如图9所示，包括：

步骤901：第二OTN设备接收第一OTN设备发送的包含密文的光信号。

步骤902：将所述光信号转换为电信号得到包含密文的OTN帧。

步骤903：从所述OTN帧中的OTN开销字节中的设定字节中提取密文。

步骤904：针对所述提取的密文利用所述第一OTN设备获取的加密算法和量子密钥进行解密处理，得到加密处理之前的业务数据。

从上述内容可以看出，本发明实施例中，第一OTN设备获取量子密钥和待加密的业务数据；利用所述量子密钥对所述待加密的业务数据进行加密生成密文；将所述密文插入OTN开销字节中的设定字节，封装成包含所述密文的OTN帧；将所述OTN帧从电信号转换为光信号后传输至第二OTN设备，从而使第二OTN设备能够根据密文插入OTN开销字节中的位置来提取相应的密文，由于，采用量子密钥对业务数据进行加密确保业务数据传输的无条件安全性，同时，将密文插入OTN开销字节中的设定字节，能够实现高度机密业务的加密处理。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样，倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

一种用于加密的设备，其特征在于，包括：

接口单元，用于获取量子密钥和待加密的业务数据；

加密单元，用于利用所述量子密钥对所述待加密的业务数据进行加密生成密文；

光传送网络OTN处理器，用于将所述密文插入OTN开销字节中的设定字节，封装成包含所述密文的OTN帧；

电光转换模块，用于将所述OTN帧从电信号转换为光信号后传输至接收设备。
如权利要求1所述的设备，其特征在于，所述加密单元具体用于：

利用一次一密加密算法和所述量子密钥对所述待加密的业务数据进行加密生成密文。
如权利要求1所述的设备，其特征在于，所述加密单元包括一次一密加密单元和密钥生成单元；

所述密钥生成单元，用于对所述量子密钥进行扩码处理生成新的密钥或对所述量子密钥进行重用处理生成新的密钥；

所述一次一密加密单元，用于利用一次一密加密算法和所述新的密钥对所述待加密的业务数据进行加密生成密文。
如权利要求1-3任一项所述的设备，其特征在于，所述OTN开销字节中的设定字节为光通道净荷单元OPU开销字节中的设定字节或光通道数据单元ODU开销字节中的设定字节或光通道数据单元OTU开销字节中的设定字节。
如权利要求4所述的设备，其特征在于，所述ODU开销字节中的设定字节为ODU开销字节中的通用通信通道字节；所述OTU开销字节中的设定字节为OTU开销字节中的通用通信通道字节。
如权利要求4或5所述的设备，其特征在于，所述ODU开销字节中的设定字节为GCC1字节和GCC2字节，所述OTU开销字节中的设定字节为GCC0字节。
如权利要求6所述的设备，其特征在于，所述GCC1字节位于OTN帧中第4行的第1～2列；所述GCC2字节位于OTN帧中第4行的第3～4列；所述GCC0字节位于OTN帧中第1行的第11～12列。
如权利要求4所述的设备，其特征在于，所述OTN开销字节中的设定字节为OPU开销字节或ODU开销字节或OTU开销字节中的保留字节，所述保留字节为RES字节。
如权利要求4-8任一项所述的设备，其特征在于，所述OTN处理器包括OTU处理单元，用于将所述密文插入OPU开销字节或ODU开销字节或OTU开销字节中的设定字节，封装成包含所述密文的OTN帧。
如权利要求4-8任一项所述的设备，其特征在于，所述OTN处理器包括OTU处理单元和ODU处理单元；

所述ODU处理单元，用于将所述密文插入ODU开销字节或OPU开销字节中的设定字节，将得到的ODU单元输出至所述OTU处理单元；

所述OTU处理单元，用于将所述ODU单元封装成包含所述密文的OTN帧。
如权利要求4-8任一项所述的设备，其特征在于，所述OTN处理器包括OTU处理单元、ODU处理单元和OPU处理单元；

所述OPU处理单元，用于将所述密文插入OPU开销字节中的设定字节，将得到的OPU 单元输出至所述ODU处理单元；

所述ODU处理单元，用于对所述OPU单元进行处理得到ODU单元，将所述ODU单元输出至所述OTU处理单元；

所述OTU处理单元，用于将所述ODU单元封装成包含所述密文的OTN帧。
一种加密的方法，其特征在于，包括：

第一光传送网络OTN设备获取量子密钥和待加密的业务数据；

利用所述量子密钥对所述待加密的业务数据进行加密生成密文；

将所述密文插入OTN开销字节中的设定字节，封装成包含所述密文的OTN帧；

将所述OTN帧从电信号转换为光信号后传输至第二OTN设备。
如权利要求12所述的方法，其特征在于，所述利用所述量子密钥对所述待加密的业务数据进行加密生成密文，包括：

利用一次一密加密算法和所述量子密钥对所述待加密的业务数据进行加密生成密文，或

对所述量子密钥进行扩码处理生成新的密钥，利用一次一密加密算法和所述新的密钥对所述待加密的业务数据进行加密生成密文；或

对所述量子密钥进行重用处理生成新的密钥，利用一次一密加密算法和所述新的密钥对所述待加密的业务数据进行加密生成密文。
如权利要求12或13所述的方法，其特征在于，所述OTN开销字节中的设定字节为光通道净荷单元OPU开销字节中的设定字节或光通道数据单元ODU开销字节中的设定字节或光通道数据单元OTU开销字节中的设定字节。
如权利要求14所述的方法，其特征在于，所述ODU开销字节中的设定字节为ODU开销字节中的通用通信通道字节；所述OTU开销字节中的设定字节为OTU开销字节中的通用通信通道字节。
如权利要求14或15所述的方法，其特征在于，所述ODU开销字节中的设定字节为GCC1字节和GCC2字节，所述OTU开销字节中的设定字节为GCC0字节。
如权利要求16所述的方法，其特征在于，所述GCC1字节位于OTN帧中第4行的第1～2列；所述GCC2字节位于OTN帧中第4行的第3～4列；所述GCC0字节位于OTN帧中第1行的第11～12列。
如权利要求14所述的方法，其特征在于，所述OTN开销字节中的设定字节为OPU开销字节或ODU开销字节或OTU开销字节中的保留字节，所述保留字节为RES字节。
一种解密的方法，其特征在于，包括：

第二光传送网络OTN设备接收第一OTN设备发送的包含密文的光信号；

将所述光信号转换为电信号得到包含密文的OTN帧；

从所述OTN帧中的OTN开销字节中的设定字节中提取密文；

针对所述提取的密文利用所述第一OTN设备获取的加密算法和量子密钥进行解密处理，得到加密处理之前的业务数据。
一种用于解密的设备，其特征在于，包括：

接口单元，用于接收发送设备发送的包含密文的光信号；

光电转换模块，用于将所述光信号转换为电信号得到包含密文的光传送网络OTN帧；

OTN处理器，用于从所述OTN帧中的OTN开销字节中的设定字节中提取密文，输出至解密单元；

所述解密单元，用于针对所述提取的密文利用所述发送设备获取的加密算法和量子密钥进行解密处理，得到加密处理之前的业务数据。