本技術(shù)涉及光網(wǎng)絡(luò)傳輸,特別涉及一種otn細(xì)顆粒業(yè)務(wù)的安全傳送方法�����、設(shè)備及系統(tǒng)�����。
背景技術(shù):
1�����、為了實(shí)現(xiàn)不同業(yè)務(wù)場景數(shù)據(jù)的安全性��,現(xiàn)有方案是在多個(gè)業(yè)務(wù)復(fù)用映射進(jìn)光通路數(shù)據(jù)單元oduk(optical?data?unit�,光通路數(shù)據(jù)單元)后�����,對(duì)所述光通路數(shù)據(jù)單元oduk進(jìn)行量子密鑰加密�;將加密后的光通路數(shù)據(jù)單元oduk復(fù)用映射進(jìn)光通路傳送單元otuk(opticalchannel?transport?unit)進(jìn)行傳送,以實(shí)現(xiàn)對(duì)所述多個(gè)業(yè)務(wù)的統(tǒng)一加密���。
2���、上述方案按照otn中的odu管道進(jìn)行加密��,但是最小的odu管道odu0粒度也較大��,管道粒度是1.25g���,主要用于承載大于1gbit/s速率業(yè)務(wù),現(xiàn)存在大量如政企專線等對(duì)帶寬要求不高�����,但要求時(shí)延低����、安全性高的小顆粒業(yè)務(wù),這種方案無法很好地滿足小顆粒業(yè)務(wù)的需求���。對(duì)于小顆粒業(yè)務(wù)�����,如果采用這種方案�����,一是會(huì)造成極大的帶寬浪費(fèi)��,二是會(huì)限制小顆粒業(yè)務(wù)組網(wǎng)的靈活性���。
3��、以現(xiàn)有方案無法滿足現(xiàn)存的大量如政企專線等小帶寬��、多條目、且要求時(shí)延低��、安全性高業(yè)務(wù)需求�。因此,亟須一種細(xì)顆粒業(yè)務(wù)安全傳送的方法�、裝置及設(shè)備。
技術(shù)實(shí)現(xiàn)思路
1��、本技術(shù)的目的是提供一種otn細(xì)顆粒業(yè)務(wù)的安全傳送方法����、設(shè)備及系統(tǒng),用于解決現(xiàn)有對(duì)oduk進(jìn)行量子密鑰加密會(huì)造成極大的帶寬浪費(fèi)���,及限制小顆粒業(yè)務(wù)組網(wǎng)的靈活性的問題��。
2���、第一方面�����,本技術(shù)實(shí)施例提供了一種otn細(xì)顆粒業(yè)務(wù)的安全傳送方法���,該方法應(yīng)用于第一otn設(shè)備,所述方法包括:
3��、將業(yè)務(wù)數(shù)據(jù)映射到小顆粒業(yè)務(wù)單元����,所述小顆粒業(yè)務(wù)單元包括細(xì)粒度靈活光數(shù)據(jù)單元fgoduflex或光業(yè)務(wù)單元osu;
4����、對(duì)所述小顆粒業(yè)務(wù)單元進(jìn)行量子密鑰加密處理,將加密后的小顆粒業(yè)務(wù)單元復(fù)用到光通路數(shù)據(jù)單元odu�����;
5、將所述odu復(fù)用到光通路傳送單元otu���,經(jīng)otn傳輸網(wǎng)絡(luò)發(fā)送到第二otn設(shè)備�。
6��、在一些可能的實(shí)施例中��,該方法還包括:
7�、獲取所述第一otn設(shè)備自身產(chǎn)生的量子密鑰;或者
8��、通過所述第一otn設(shè)備的接口接收量子密鑰分發(fā)設(shè)備分發(fā)的量子密鑰�;
9、所述量子密鑰按照量子密鑰生命周期進(jìn)行更新�����。
10�����、在一些可能的實(shí)施例中����,采用如下任一方式更新加密處理采用的量子密鑰:
11、將fgoduflex的一個(gè)完整復(fù)幀或osu的一個(gè)完整幀作為量子密鑰生命周期�����,按照量子密鑰生命周期更新加密處理采用的量子密鑰�;
12、將fgoduflex的n個(gè)完整復(fù)幀或osu的n個(gè)完整幀作為量子密鑰生命周期��,按照量子密鑰生命周期更新加密處理采用的量子密鑰����,n大于1;
13����、將設(shè)置的周期時(shí)間作為量子密鑰生命周期,按照量子密鑰生命周期更新加密處理采用的量子密鑰���。
14�、在一些可能的實(shí)施例中�����,采用如下方式更新所述加密處理采用的量子密鑰�,包括:
15����、觸發(fā)密鑰下載判斷時(shí)���,判斷是否從密鑰分發(fā)設(shè)備qkd收到新量子密鑰下載指示�����,確定收到新量子密鑰下載指示時(shí)執(zhí)行新量子密鑰下載�;
16�����、觸發(fā)密鑰本地加載判斷時(shí)�����,判斷下載的新量子密鑰與本地加載的量子密鑰是否不同�����,確定不同時(shí)����,利用下載的新量子密鑰更新本地加載的量子密鑰;
17�����、確定到達(dá)新量子密鑰生命周期�,且本地新量子密鑰加載成功時(shí),更新所述加密處理采用的量子密鑰���。
18����、在一些可能的實(shí)施例中���,該方法還包括:
19���、在加密所述小顆粒業(yè)務(wù)單元時(shí),在fgoduflex復(fù)幀或osu幀的保留字段攜帶加密使用的量子密鑰標(biāo)簽kti�、mfi及校驗(yàn)信息,其中:
20��、所述mfi在到達(dá)新生命周期且無告警時(shí)被清零��,之后隨著fgoduflex復(fù)幀或osu幀遞增���;
21�����、在mfi達(dá)到閾值且本地未加載新量子密鑰時(shí)����,維持mfi并進(jìn)行告警;
22���、在mfi達(dá)到閾值且本地加載新量子密鑰時(shí)�,對(duì)所述mfi清零�;
23、在mfi未達(dá)到閾值且本地加載新量子密鑰時(shí)�,對(duì)所述mfi清零。
24��、第二方面�,本技術(shù)實(shí)施例提供了一種otn細(xì)顆粒業(yè)務(wù)的安全傳送方法,該方法應(yīng)用于第二otn設(shè)備���,所述方法包括:
25����、接收第一otn設(shè)備發(fā)送的光信號(hào)并轉(zhuǎn)換為電信號(hào)���,得到otn幀�;
26����、對(duì)所述otn幀解復(fù)用得到odu幀;
27���、對(duì)所述odu幀解復(fù)用得到加密的小顆粒業(yè)務(wù)單元���,所述小顆粒業(yè)務(wù)單元包括細(xì)粒度靈活光數(shù)據(jù)單元fgoduflex或光業(yè)務(wù)單元osu;
28�����、對(duì)所述小顆粒業(yè)務(wù)單元進(jìn)行量子密鑰解密處理���,得到加密之前的小顆粒業(yè)務(wù)單元�。
29���、在一些可能的實(shí)施例中����,該方法還包括:
30、獲取所述第二otn設(shè)備自身產(chǎn)生的量子密鑰�����;或者
31�、通過所述第二otn設(shè)備的接口接收量子密鑰分發(fā)設(shè)備分發(fā)的量子密鑰;
32�����、所述量子密鑰按照量子密鑰生命周期進(jìn)行更新�����。
33���、在一些可能的實(shí)施例中��,采用如下任一方式更新解密處理采用的量子密鑰:
34��、將fgoduflex的一個(gè)完整復(fù)幀或osu的一個(gè)完整幀作為量子密鑰生命周期��,按照量子密鑰生命周期更新解密處理采用的量子密鑰����;
35�、將fgoduflex的n個(gè)完整復(fù)幀或osu的n個(gè)完整幀作為量子密鑰生命周期,按照量子密鑰生命周期更新解密處理采用的量子密鑰��,n大于1���;
36�����、將設(shè)置的周期時(shí)間作為量子密鑰生命周期����,按照量子密鑰生命周期更新解密處理采用的量子密鑰����。
37、在一些可能的實(shí)施例中�����,采用如下方式更新所述解密處理采用的量子密鑰,包括:
38���、觸發(fā)密鑰下載判斷時(shí)���,判斷是否從密鑰分發(fā)設(shè)備qkd收到新量子密鑰下載指示,確定收到新量子密鑰下載指示時(shí)執(zhí)行新量子密鑰下載����;
39、觸發(fā)密鑰本地加載判斷時(shí)����,判斷下載的新量子密鑰與本地加載的量子密鑰是否不同,確定不同時(shí)����,利用下載的新量子密鑰更新本地加載的量子密鑰;
40�、確定達(dá)到新量子密鑰生命周期,且本地新量子密鑰加載成功時(shí)��,更新所述解密處理采用的量子密鑰��。
41�����、在一些可能的實(shí)施例中,該方法還包括:
42�����、在本地維護(hù)mfi和kti�,其中本地mfi在到達(dá)新生命周期時(shí)被清零�����,之后隨著解密后的fgoduflex復(fù)幀或osu幀遞增��,本地kti為本地加載的量子密鑰的量子密鑰標(biāo)簽�;
43、在解密所述小顆粒業(yè)務(wù)單元時(shí)�����,在fgoduflex復(fù)幀或osu幀的保留字段提取加密使用的量子密鑰標(biāo)簽kti��、mfi及校驗(yàn)信息����;
44���、通過對(duì)比提取的kti與本地kti,在kti發(fā)生變化且第一otn設(shè)備第二otn設(shè)備密鑰同步時(shí)�,更新所述解密處理采用的量子密鑰;
45����、通過對(duì)比提取的mfi與本地mfi,確定所述第一otn設(shè)備和第二otn設(shè)備是否幀同步��,在確定沒有幀同步時(shí)進(jìn)行相應(yīng)的告警處理��。
46�����、在一些可能的實(shí)施例中確定所述第一otn設(shè)備和第二otn設(shè)備是否幀同步���,在確定沒有幀同步時(shí)進(jìn)行相應(yīng)的告警處理���,包括:
47、若本地mfi等于閾值���,且與提取的mfi不一致時(shí)���,進(jìn)行密鑰過期告警��;
48�、若提取的mfi與本地mfi相等時(shí)���,確定所述第一otn設(shè)備和第二otn設(shè)備幀同步����;
49���、若提取的mfi不等于閾值且大于本地mfi時(shí),將本地mfi更新為提取的mfi��,并進(jìn)行jump告警�;
50、若提取的mfi小于本地mfi����,保持本地mfi不變,進(jìn)行repaly告警�。
51、第三方面���,本技術(shù)實(shí)施例提供一種otn細(xì)顆粒業(yè)務(wù)的安全傳送設(shè)備���,該設(shè)備作為第一otn設(shè)備��,包括:
52����、業(yè)務(wù)映射模塊���,用于將業(yè)務(wù)數(shù)據(jù)映射到小顆粒業(yè)務(wù)單元���,所述小顆粒業(yè)務(wù)單元包括細(xì)粒度靈活光數(shù)據(jù)單元fgoduflex或光業(yè)務(wù)單元osu;
53�、加密模塊,用于對(duì)所述小顆粒業(yè)務(wù)單元進(jìn)行量子密鑰加密處理�;
54、odu模塊�,用于將加密后的小顆粒業(yè)務(wù)單元復(fù)用到光通路數(shù)據(jù)單元odu;
55�、otu模塊,用于將所述odu復(fù)用到光通路傳送單元otu�,經(jīng)otn傳輸網(wǎng)絡(luò)發(fā)送到第二otn設(shè)備。
56���、第四方面��,本技術(shù)實(shí)施例提供一種otn細(xì)顆粒業(yè)務(wù)的安全傳送設(shè)備�����,該設(shè)備作為第二otn設(shè)備����,包括:
57、otu模塊�,用于接收第一otn設(shè)備發(fā)送的光信號(hào)并轉(zhuǎn)換為電信號(hào),得到otn幀�,對(duì)所述otn幀解復(fù)用得到odu幀;
58�、odu模塊����,用于對(duì)所述odu幀解復(fù)用得到加密的小顆粒業(yè)務(wù)單元,所述小顆粒業(yè)務(wù)單元包括細(xì)粒度靈活光數(shù)據(jù)單元fgoduflex或光業(yè)務(wù)單元osu��;
59�����、解密模塊,用于對(duì)所述小顆粒業(yè)務(wù)單元進(jìn)行量子密鑰解密處理�����,得到加密之前的小顆粒業(yè)務(wù)單元���;
60��、業(yè)務(wù)處理模塊�����,用于對(duì)所述加密之前的小顆粒業(yè)務(wù)單元進(jìn)行映射得到業(yè)務(wù)數(shù)據(jù)�。
61��、第五方面����,本技術(shù)實(shí)施例提供一種otn細(xì)顆粒業(yè)務(wù)的安全傳送系統(tǒng),包括:
62����、第一otn設(shè)備,用于將業(yè)務(wù)數(shù)據(jù)映射到小顆粒業(yè)務(wù)單元,所述小顆粒業(yè)務(wù)單元包括細(xì)粒度靈活光數(shù)據(jù)單元fgoduflex或光業(yè)務(wù)單元osu����;對(duì)所述小顆粒業(yè)務(wù)單元進(jìn)行量子密鑰加密處理,將加密后的小顆粒業(yè)務(wù)單元復(fù)用到光通路數(shù)據(jù)單元odu���;將所述odu復(fù)用到光通路傳送單元otu得到光信號(hào)��,經(jīng)otn傳輸網(wǎng)絡(luò)發(fā)送到第二otn設(shè)備����;
63��、otn傳輸網(wǎng)絡(luò)��,用于傳輸?shù)谝籵tn設(shè)備發(fā)送的光信號(hào)到第二otn設(shè)備��;
64��、第二otn設(shè)備����,用于接收第一otn設(shè)備發(fā)送的光信號(hào)并轉(zhuǎn)換為電信號(hào)�,得到otn幀;對(duì)所述otn幀解復(fù)用得到odu幀;對(duì)所述odu幀解復(fù)用得到加密的小顆粒業(yè)務(wù)單元���,所述小顆粒業(yè)務(wù)單元包括細(xì)粒度靈活光數(shù)據(jù)單元fgoduflex或光業(yè)務(wù)單元osu�;對(duì)所述小顆粒業(yè)務(wù)單元進(jìn)行量子密鑰解密處理�����,得到加密之前的小顆粒業(yè)務(wù)單元�。
65、本技術(shù)實(shí)施例提供的otn細(xì)顆粒業(yè)務(wù)的安全傳送方法����,基于小顆粒業(yè)務(wù)單元進(jìn)行加密的優(yōu)勢是可充分利用現(xiàn)有的網(wǎng)絡(luò)資源,基于小顆粒業(yè)務(wù)單元加密后的密文���,仍可以使用中間節(jié)點(diǎn)原有的網(wǎng)絡(luò)資源����,而且對(duì)于中間節(jié)點(diǎn)的原有網(wǎng)絡(luò)沒有任何影響�,可以提供單獨(dú)的密鑰進(jìn)行加密,增加了傳輸?shù)陌踩?����,又保證了小帶寬業(yè)務(wù)的靈活性。
66����、本技術(shù)的其它特征和優(yōu)點(diǎn)將在隨后的說明書中闡述,并且��,部分地從說明書中變得顯而易見���,或者通過實(shí)施本技術(shù)而了解��。本技術(shù)的目的和其他優(yōu)點(diǎn)可通過在所寫的說明書�、權(quán)利要求書��、以及附圖中所特別指出的結(jié)構(gòu)來實(shí)現(xiàn)和獲得��。