本技術涉及光網絡傳輸,特別涉及一種otn細顆粒業務的安全傳送方法、設備及系統。
背景技術:
1、為了實現不同業務場景數據的安全性,現有方案是在多個業務復用映射進光通路數據單元oduk(optical?data?unit,光通路數據單元)后,對所述光通路數據單元oduk進行量子密鑰加密;將加密后的光通路數據單元oduk復用映射進光通路傳送單元otuk(opticalchannel?transport?unit)進行傳送,以實現對所述多個業務的統一加密。
2、上述方案按照otn中的odu管道進行加密,但是最小的odu管道odu0粒度也較大,管道粒度是1.25g,主要用于承載大于1gbit/s速率業務,現存在大量如政企專線等對帶寬要求不高,但要求時延低、安全性高的小顆粒業務,這種方案無法很好地滿足小顆粒業務的需求。對于小顆粒業務,如果采用這種方案,一是會造成極大的帶寬浪費,二是會限制小顆粒業務組網的靈活性。
3、以現有方案無法滿足現存的大量如政企專線等小帶寬、多條目、且要求時延低、安全性高業務需求。因此,亟須一種細顆粒業務安全傳送的方法、裝置及設備。
技術實現思路
1、本技術的目的是提供一種otn細顆粒業務的安全傳送方法、設備及系統,用于解決現有對oduk進行量子密鑰加密會造成極大的帶寬浪費,及限制小顆粒業務組網的靈活性的問題。
2、第一方面,本技術實施例提供了一種otn細顆粒業務的安全傳送方法,該方法應用于第一otn設備,所述方法包括:
3、將業務數據映射到小顆粒業務單元,所述小顆粒業務單元包括細粒度靈活光數據單元fgoduflex或光業務單元osu;
4、對所述小顆粒業務單元進行量子密鑰加密處理,將加密后的小顆粒業務單元復用到光通路數據單元odu;
5、將所述odu復用到光通路傳送單元otu,經otn傳輸網絡發送到第二otn設備。
6、在一些可能的實施例中,該方法還包括:
7、獲取所述第一otn設備自身產生的量子密鑰;或者
8、通過所述第一otn設備的接口接收量子密鑰分發設備分發的量子密鑰;
9、所述量子密鑰按照量子密鑰生命周期進行更新。
10、在一些可能的實施例中,采用如下任一方式更新加密處理采用的量子密鑰:
11、將fgoduflex的一個完整復幀或osu的一個完整幀作為量子密鑰生命周期,按照量子密鑰生命周期更新加密處理采用的量子密鑰;
12、將fgoduflex的n個完整復幀或osu的n個完整幀作為量子密鑰生命周期,按照量子密鑰生命周期更新加密處理采用的量子密鑰,n大于1;
13、將設置的周期時間作為量子密鑰生命周期,按照量子密鑰生命周期更新加密處理采用的量子密鑰。
14、在一些可能的實施例中,采用如下方式更新所述加密處理采用的量子密鑰,包括:
15、觸發密鑰下載判斷時,判斷是否從密鑰分發設備qkd收到新量子密鑰下載指示,確定收到新量子密鑰下載指示時執行新量子密鑰下載;
16、觸發密鑰本地加載判斷時,判斷下載的新量子密鑰與本地加載的量子密鑰是否不同,確定不同時,利用下載的新量子密鑰更新本地加載的量子密鑰;
17、確定到達新量子密鑰生命周期,且本地新量子密鑰加載成功時,更新所述加密處理采用的量子密鑰。
18、在一些可能的實施例中,該方法還包括:
19、在加密所述小顆粒業務單元時,在fgoduflex復幀或osu幀的保留字段攜帶加密使用的量子密鑰標簽kti、mfi及校驗信息,其中:
20、所述mfi在到達新生命周期且無告警時被清零,之后隨著fgoduflex復幀或osu幀遞增;
21、在mfi達到閾值且本地未加載新量子密鑰時,維持mfi并進行告警;
22、在mfi達到閾值且本地加載新量子密鑰時,對所述mfi清零;
23、在mfi未達到閾值且本地加載新量子密鑰時,對所述mfi清零。
24、第二方面,本技術實施例提供了一種otn細顆粒業務的安全傳送方法,該方法應用于第二otn設備,所述方法包括:
25、接收第一otn設備發送的光信號并轉換為電信號,得到otn幀;
26、對所述otn幀解復用得到odu幀;
27、對所述odu幀解復用得到加密的小顆粒業務單元,所述小顆粒業務單元包括細粒度靈活光數據單元fgoduflex或光業務單元osu;
28、對所述小顆粒業務單元進行量子密鑰解密處理,得到加密之前的小顆粒業務單元。
29、在一些可能的實施例中,該方法還包括:
30、獲取所述第二otn設備自身產生的量子密鑰;或者
31、通過所述第二otn設備的接口接收量子密鑰分發設備分發的量子密鑰;
32、所述量子密鑰按照量子密鑰生命周期進行更新。
33、在一些可能的實施例中,采用如下任一方式更新解密處理采用的量子密鑰:
34、將fgoduflex的一個完整復幀或osu的一個完整幀作為量子密鑰生命周期,按照量子密鑰生命周期更新解密處理采用的量子密鑰;
35、將fgoduflex的n個完整復幀或osu的n個完整幀作為量子密鑰生命周期,按照量子密鑰生命周期更新解密處理采用的量子密鑰,n大于1;
36、將設置的周期時間作為量子密鑰生命周期,按照量子密鑰生命周期更新解密處理采用的量子密鑰。
37、在一些可能的實施例中,采用如下方式更新所述解密處理采用的量子密鑰,包括:
38、觸發密鑰下載判斷時,判斷是否從密鑰分發設備qkd收到新量子密鑰下載指示,確定收到新量子密鑰下載指示時執行新量子密鑰下載;
39、觸發密鑰本地加載判斷時,判斷下載的新量子密鑰與本地加載的量子密鑰是否不同,確定不同時,利用下載的新量子密鑰更新本地加載的量子密鑰;
40、確定達到新量子密鑰生命周期,且本地新量子密鑰加載成功時,更新所述解密處理采用的量子密鑰。
41、在一些可能的實施例中,該方法還包括:
42、在本地維護mfi和kti,其中本地mfi在到達新生命周期時被清零,之后隨著解密后的fgoduflex復幀或osu幀遞增,本地kti為本地加載的量子密鑰的量子密鑰標簽;
43、在解密所述小顆粒業務單元時,在fgoduflex復幀或osu幀的保留字段提取加密使用的量子密鑰標簽kti、mfi及校驗信息;
44、通過對比提取的kti與本地kti,在kti發生變化且第一otn設備第二otn設備密鑰同步時,更新所述解密處理采用的量子密鑰;
45、通過對比提取的mfi與本地mfi,確定所述第一otn設備和第二otn設備是否幀同步,在確定沒有幀同步時進行相應的告警處理。
46、在一些可能的實施例中確定所述第一otn設備和第二otn設備是否幀同步,在確定沒有幀同步時進行相應的告警處理,包括:
47、若本地mfi等于閾值,且與提取的mfi不一致時,進行密鑰過期告警;
48、若提取的mfi與本地mfi相等時,確定所述第一otn設備和第二otn設備幀同步;
49、若提取的mfi不等于閾值且大于本地mfi時,將本地mfi更新為提取的mfi,并進行jump告警;
50、若提取的mfi小于本地mfi,保持本地mfi不變,進行repaly告警。
51、第三方面,本技術實施例提供一種otn細顆粒業務的安全傳送設備,該設備作為第一otn設備,包括:
52、業務映射模塊,用于將業務數據映射到小顆粒業務單元,所述小顆粒業務單元包括細粒度靈活光數據單元fgoduflex或光業務單元osu;
53、加密模塊,用于對所述小顆粒業務單元進行量子密鑰加密處理;
54、odu模塊,用于將加密后的小顆粒業務單元復用到光通路數據單元odu;
55、otu模塊,用于將所述odu復用到光通路傳送單元otu,經otn傳輸網絡發送到第二otn設備。
56、第四方面,本技術實施例提供一種otn細顆粒業務的安全傳送設備,該設備作為第二otn設備,包括:
57、otu模塊,用于接收第一otn設備發送的光信號并轉換為電信號,得到otn幀,對所述otn幀解復用得到odu幀;
58、odu模塊,用于對所述odu幀解復用得到加密的小顆粒業務單元,所述小顆粒業務單元包括細粒度靈活光數據單元fgoduflex或光業務單元osu;
59、解密模塊,用于對所述小顆粒業務單元進行量子密鑰解密處理,得到加密之前的小顆粒業務單元;
60、業務處理模塊,用于對所述加密之前的小顆粒業務單元進行映射得到業務數據。
61、第五方面,本技術實施例提供一種otn細顆粒業務的安全傳送系統,包括:
62、第一otn設備,用于將業務數據映射到小顆粒業務單元,所述小顆粒業務單元包括細粒度靈活光數據單元fgoduflex或光業務單元osu;對所述小顆粒業務單元進行量子密鑰加密處理,將加密后的小顆粒業務單元復用到光通路數據單元odu;將所述odu復用到光通路傳送單元otu得到光信號,經otn傳輸網絡發送到第二otn設備;
63、otn傳輸網絡,用于傳輸第一otn設備發送的光信號到第二otn設備;
64、第二otn設備,用于接收第一otn設備發送的光信號并轉換為電信號,得到otn幀;對所述otn幀解復用得到odu幀;對所述odu幀解復用得到加密的小顆粒業務單元,所述小顆粒業務單元包括細粒度靈活光數據單元fgoduflex或光業務單元osu;對所述小顆粒業務單元進行量子密鑰解密處理,得到加密之前的小顆粒業務單元。
65、本技術實施例提供的otn細顆粒業務的安全傳送方法,基于小顆粒業務單元進行加密的優勢是可充分利用現有的網絡資源,基于小顆粒業務單元加密后的密文,仍可以使用中間節點原有的網絡資源,而且對于中間節點的原有網絡沒有任何影響,可以提供單獨的密鑰進行加密,增加了傳輸的安全性,又保證了小帶寬業務的靈活性。
66、本技術的其它特征和優點將在隨后的說明書中闡述,并且,部分地從說明書中變得顯而易見,或者通過實施本技術而了解。本技術的目的和其他優點可通過在所寫的說明書、權利要求書、以及附圖中所特別指出的結構來實現和獲得。