CN106301768B - 一种基于光传输网otn的密钥更新的方法、装置和*** - Google Patents
一种基于光传输网otn的密钥更新的方法、装置和*** Download PDFInfo
- Publication number
- CN106301768B CN106301768B CN201510254352.4A CN201510254352A CN106301768B CN 106301768 B CN106301768 B CN 106301768B CN 201510254352 A CN201510254352 A CN 201510254352A CN 106301768 B CN106301768 B CN 106301768B
- Authority
- CN
- China
- Prior art keywords
- key
- encryption
- preset
- information
- decryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
- Telephonic Communication Services (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种基于光传输网OTN的密钥更新的方法、装置和***,包括:当加密端检测到本地配置信息有效时,在预设的时间段内检测通过预设的接收开销通道所接收的解密端就绪信息的有效性;在预设的时间段内确定所述解密端就绪信息有效后,在下个预设周期满足预设条件时通过预设的发送开销通道向所述解密端发送本端的密钥更新信息;加密端在向所述解密端发送所述密钥更新信息后的下个所述预设周期满足所述预设条件时,通过所述更新后的密钥对发送至所述解密端的业务信息进行加密。通过本发明提供的技术方案,在保证加密端和解密端的密钥一致性的同时,还保证了在新旧密钥替换过程中不出现业务闪断,OTN设备本身的业务不受影响。
Description
技术领域
本发明涉及光传输网(OTN,Optical Transport Network)的信息安全技术,尤指一种基于光传输网OTN的密钥更新的方法、装置和***。
背景技术
OTN加密传输***通常是由加密模块和密钥管理***两部分组成。其中,加密模块一般采用标准的高级加密标准(AES,Advanced Encryption Standard)加密算法;密钥管理***主要由公共密钥参数配置管理、私钥产生、公钥运算处理模块、共享密钥协商获取模块、密钥无损切换等功能模块组成。密钥更新是密钥管理***中必不可少的一项基本功能模块,想要在OTN传输***中完成密钥的更新,就必须要解决两个难点,第一是如何保证加密端和解密端的密钥一致性,第二是如何保证在新旧密钥替换过程中不出现业务闪断。但是到目前为止,当前的密钥更新技术无法同时解决以上两个难点
发明内容
为了解决上述技术问题,本发明提供了一种基于光传输网OTN的密钥更新的方法、装置和***,在保证加密端和解密端的密钥一致性的同时,还保证了在新旧密钥替换过程中不出现业务闪断,OTN设备本身的业务不受影响。
为了达到本发明目的,本发明提供了一种基于光传输网OTN的密钥更新的方法,所述方法应用于加密端的单板逻辑装置,所述方法包括:
当加密端检测到本地配置信息有效时,在预设的时间段内检测通过预设的接收开销通道所接收的解密端就绪信息的有效性;
在预设的时间段内确定所述解密端就绪信息有效后,在下个预设周期满足预设条件时通过预设的发送开销通道向所述解密端发送本端的密钥更新信息;
加密端在向所述解密端发送所述密钥更新信息后的下个所述预设周期满足所述预设条件时,通过所述更新后的密钥对发送至所述解密端的业务信息进行加密。
进一步的,所述本端的密钥更新信息包括所述加密端更新的密钥状态信息和所述加密端的更新准备标志;所述加密端更新的密钥状态信息用于指示所述加密端更新后的不同的密钥,不同的密钥状态信息对应不同的密钥;
所述本地配置信息用于表示所述加密端的单板软件在接收到网络管理***下发的密钥配置更新消息后,已将所述密钥配置更新消息中的密钥信息和密钥配置状态信息下发给本端的单板逻辑。
进一步的,所述预设周期的长度为预设数量的复帧;所述预设条件为所述预设周期的第一个复帧的起始位置。
进一步的,所述加密端更新的密钥状态信息为所述加密端密钥配置更新消息中的密钥配置状态信息。
进一步的,所述加密端预设的发送开销通道与解密端的接收开销通道相同;加密端预设的接收开销通道与解密端的发送开销通道相同。
进一步的,所述方法应用于解密端的单板逻辑装置,所述方法包括:
当解密端检测到本地配置信息有效时,通过预设的发送开销通道将解密端就绪信息发送至加密端;
在将所述解密端就绪信息发送之后的预设周期内,通过预设的接收通道检测由所述加密端传送过来的加密端密钥更新信息;
在所述预设周期满足预设条件时,解密端通过大数判决法确定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息一致后,在下一个预设周期满足所述预设条件时,通过所述更新后的密钥对由所述加密端发送到解密端的业务信息进行解密。
进一步的,所述加密端密钥更新信息包括加密端更新的密钥状态信息和加密端的更新准备标志;所述加密端更新的密钥状态信息用于指示所述加密端更新后的不同的密钥,不同的密钥状态信息对应不同的密钥;
所述本地配置信息用于表示所述解密端的单板软件在接收到网络管理***下发的密钥配置更新消息后,已将所述密钥配置更新消息中的密钥信息和密钥配置状态信息下发给本端的单板逻辑。
进一步的,所述预设周期的长度为预设数量的复帧;所述预设条件为所述预设周期的第一个复帧的起始位置。
进一步的,所述解密端预设的接收开销通道与加密端的发送开销通道相同;所述解密端预设的发送开销通道与加密端的接收开销通道相同。
进一步的,所述通过大数判决法确定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息一致,包括:
在所述预设周期的第一个复帧的起始位置时,在每个所述预设周期内对所述加密端更新的密钥状态信息与所述解密端本地的密钥状态信息检测所述预设数量的次数;
当满足所述预设数量的次数的预设比例以上的检测结果表明所述加密端更新的密钥状态信息与所述解密端本地的密钥状态信息是一致的时候,确定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息是一致的;
当检测结果为其他状态时,确定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息是不一致的。
本发明提供了一种加密端的单板逻辑装置,所述装置包括:检测单元,发送单元和加密单元,其中,
所述检测单元,用于当检测到本地配置信息有效时,在预设的时间段内检测通过预设的接收开销通道所接收的解密端就绪信息的有效性;
所述发送单元,用于在所述检测单元预设的时间段内确定所述解密端就绪信息有效后,在下个预设周期满足预设条件时通过预设的发送开销通道向所述解密端发送本端的密钥更新信息;
所述加密单元,用于在所述发送单元向所述解密端发送所述密钥更新信息后的下个所述预设周期满足所述预设条件时,通过所述更新后的密钥对发送至所述解密端的业务信息进行加密。
本发明提供了一种解密端的单板逻辑装置,所述装置包括:检测单元、发送单元、确定单元和解密单元,其中,
所述检测单元,用于检测本地配置信息的有效性;
所述发送单元,用于当所述检测单元检测到本地配置信息有效时,通过预设的发送开销通道将解密端就绪信息发送至加密端;
所述检测单元,还用于在所述发送单元将所述解密端就绪信息发送之后的预设周期内,通过预设的接收通道检测由所述加密端传送过来的加密端密钥更新信息;
所述确定单元,用于在所述预设周期满足预设条件时,通过大数判决法确定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息一致;
所述解密单元,用于所述确定单元通过大数判决法确定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息一致后,在下一个预设周期满足所述预设条件时,通过所述更新后的密钥对由所述加密端发送到解密端的业务信息进行解密。
进一步的,所述预设周期的长度为预设数量的复帧;所述预设条件为所述预设周期的第一个复帧的起始位置。
进一步的,所述确定单元,具体用于:
在所述预设周期的第一个复帧的起始位置时,在每个所述预设周期内对所述加密端更新的密钥状态信息与所述解密端本地的密钥状态信息检测所述预设数量的次数;
当满足所述预设数量的次数的预设比例以上的检测结果表明所述加密端更新的密钥状态信息与所述解密端本地的密钥状态信息是一致的时候,确定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息是一致的;
当检测结果为其他状态时,确定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息是不一致的。
本发明提供了一种基于光传输网OTN的密钥更新的***,所述***包括:加密端的单板逻辑装置和解密端的单板逻辑装置,其中,
所述加密端的单板逻辑装置,用于:
当检测到本地配置信息有效时,在预设的时间段内检测通过预设的接收开销通道所接收的解密端就绪信息的有效性;以及,
在预设的时间段内确定所述解密端就绪信息有效后,在下个预设周期满足预设条件时通过预设的发送开销通道向所述解密端发送本端的密钥更新信息;其中,所述本端的密钥更新信息包括所述加密端更新的密钥状态信息和所述加密端的更新准备标志;所述加密端更新的密钥状态信息用于指示所述加密端更新后的不同的密钥,不同的密钥状态信息对应不同的密钥;以及,
加密端在向所述解密端发送所述密钥更新信息后的下个所述预设周期满足所述预设条件时,通过所述更新后的密钥对发送至所述解密端的业务信息进行加密;
所述解密端的单板逻辑装置,用于当检测到本地配置信息有效时,通过预设的发送开销通道将所述解密端就绪信息发送至所述加密端;以及,
在将所述解密端就绪信息发送之后的预设周期内,通过预设的接收通道检测由所述加密端传送过来的加密端密钥更新信息;以及,
在所述预设周期满足预设条件时,通过大数判决法确定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息一致后,在下一个预设周期满足所述预设条件时,通过所述更新后的密钥对由所述加密端发送到解密端的业务信息进行解密。
本发明提供了一种基于光传输网OTN的密钥更新的方法、装置和***,在保证加密端和解密端的密钥一致性的同时,还保证了在新旧密钥替换过程中不出现业务闪断,OTN设备本身的业务不受影响。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1为本发明实施例提供的一种基于OTN的密钥更新的方法流程示意图;
图2为本发明实施例提供的另一种基于OTN的密钥更新的方法流程示意图;
图3为本发明实施例提供的一种加密端的单板逻辑装置结构示意图;
图4为本发明实施例提供的一种解密端的单板逻辑装置结构示意图;
图5为本发明实施例提供的一种基于OTN的密钥更新的***结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
参见图1,其示出了本发明实施例提供的一种基于OTN的密钥更新的方法,该方法可以应用于加密端的单板逻辑装置,该方法可以包括:
S101:当加密端检测到本地配置信息local_cfg_rdy有效时,在预设的时间段内检测通过预设的接收开销通道所接收的解密端就绪信息rx_lp_cfg_rdy的有效性;
示例性地,本地配置信息local_cfg_rdy用于表示加密端的单板软件在接收到网络管理***下发的密钥配置更新消息后,已将密钥配置更新消息中的密钥信息key_reg和密钥配置状态信息key_cfg_status下发给本端的单板逻辑;
具体地,在本实施例中,密钥信息key_reg可以是一个256bit的信号,单板逻辑会提供两组内部寄存器key1和key2以供单板软件将接收到的密钥信息配置到这两组内部寄存器中,而且key1和key2可交替作为当前工作密钥;密钥配置信息key_cfg_status可以是一个2bit的信号,用于表示进行加密的密钥所在的内部寄存器标识,具体可以配置为:2’b00表示不加密、2’b10表示使用key1进行加密、2’b11表示使用key2进行加密、2’b01保留。
具体地,在本实施例中,当加密端单板逻辑检测到local_cfg_rdy有效时,加密端本地的状态机进入Chg_Start状态。此时计数器开始计数,如果在预设的时间段内采集到解密端就绪信息rx_lp_cfg_rdy有效时,加密端本地的状态机进入更新准备状态Chg_Ready,此时,状态机会将当前计数值清零,同时将更新准备状态的标志信息chg_ready拉高;如果在预设的时间段内采集不到解密端就绪信息rx_lp_cfg_rdy有效时,加密端本地的状态机进入更新失败状态Chg_Fail,此时,状态机会取消本次密钥更新,并将当前计数值清零,同时上报更新失败状态的标志信息chg_fail给加密端单板软件,以便加密端的单板软件重新启用密钥更新的进程。
S102:在预设的时间段内确定解密端就绪信息rx_lp_cfg_rdy有效后,在下个预设周期满足预设条件时通过预设的发送开销通道向解密端发送本端的密钥更新信息;
其中,本端的密钥更新信息包括加密端更新的密钥状态信息next_work_status和加密端的更新准备标志chg_ready;加密端更新的密钥状态信息next_work_status用于指示加密端更新后的密钥;
需要说明的是,加密端和解密端之间的数据交互需要通过光通道数据单元(ODUk,Optical channel Data Unit k)保留的开销通道来进行实现,能够达到信息简单、实时性要求高的效果,并且,在本实施例中,加密端预设的发送开销通道与解密端预设的接收开销通道相同,可以设置为ODUk开销通道的字节行4列13;加密端预设的接收开销通道与解密端预设的发送开销通道相同,可以设置为ODUk开销通道的字节行4列14。本发明实施例对于ODUk的开销通道的具体设置不做限定。
优选地,在本发明实施例中,所述预设周期的长度为预设数量的复帧;在设计预设周期长度的时候,因为国际电信联盟(ITU,International Telecommunication Union)的G.709协议规定ODUk可以提供256帧的复帧。因此,预设周期的长度既要考虑能被256整除的整数,又要考虑周期时间长短对于业务的影响,结合以上两点,最终选择预设周期的长度为8个复帧。
具体地,预设条件为预设周期的第一个复帧的起始位置,在本实施例中,8个复帧中的第一个复帧的起始位置可以表示为ODUk帧中的mfas[2:0]=3’d0且tfp=1’b1,在下个预设周期的mfas[2:0]=3’d0且tfp=1’b1时,加密端本地的状态机可以进入更新通知状态Chg_Inform,此时,可以将加密端更新的密钥状态next_work_status和加密端的更新准备标志chg_ready发送到解密端。其中,mfas[2:0]指示一个预设的周期,时间长度是8个复帧,tfp表示复帧帧头的意思,因此,mfas[2:0]=3’d0且tfp=1’b1综合起来的含义是表示每8个复帧中的第一个复帧的起始位置,也就是本文所提到的预设条件。
并且,由于加密端更新的密钥状态信息next_work_status用于指示更新后的密钥,因此,加密端更新的密钥状态信息next_work_status也就是加密端的密钥配置状态信息key_cfg_status。
S103:加密端在向解密端发送密钥更新信息后的下个预设周期满足预设条件时,通过更新后的密钥对发送至解密端的业务信息进行加密。
具体地,在本实施例中,在向解密端发送密钥更新信息后的下个预设周期的预设条件仍旧为ODUk帧中的mfas[2:0]=3’d0且tfp=1’b1,此时,加密端本地的状态机进入更新密钥的执行状态Chg_do,即加密端的单板逻辑将执行更新key进行加密,并上报更新成功状态的标志信息chg_success给加密端的单板软件,表示本次更新成功;
需要说明的是,当加密端本地的状态机进入更新密钥的执行状态Chg_do后,并且在下一轮本地配置信息local_cfg_rdy有效之前,加密端本地的状态机一直维持在工作状态working。
本实施例提供了一种应用于加密端的单板逻辑装置的基于OTN的密钥更新的方法,通过预设的开销通道和解密端之间进行密钥更新状态的交互,从而在保证加密端和解密端的密钥一致性的同时,还保证了在新旧密钥替换过程中不出现业务闪断,OTN设备本身的业务不受影响。
参见图2,其示出了本发明实施例提供的一种基于OTN的密钥更新的方法,该方法可以应用于解密端的单板逻辑装置,该方法可以包括:
S201:当解密端检测到本地配置信息local_cfg_rdy有效时,通过预设的发送开销通道将解密端就绪信息rx_lp_cfg_rdy发送至加密端;
示例性地,本地配置信息local_cfg_rdy用于表示解密端的单板软件在接收到网络管理***下发的密钥配置更新消息后,已将密钥配置更新消息中的密钥信息key_reg和密钥配置状态信息key_cfg_status下发给本端的单板逻辑;而对于解密端来说,密钥信息key_reg和密钥配置状态信息key_cfg_status的具体说明与上述实施例中加密端的说明一致,本实施例不做过多赘述。
具体地,在本实施例中,当解密端单板逻辑检测到local_cfg_rdy有效时,计数器开始计数,解密端就绪信息rx_lp_cfg_rdy开始有效且一直保持有效,需要说明的是,当解密端本地的状态机在规定时间内进入到Chg_Update状态,或者解密端本地的状态机在规定时间内不能进入到Chg_Update状态时,解密端就绪信息rx_lp_cfg_rdy开始失效。
S202:在将解密端就绪信息rx_lp_cfg_rdy发送之后的预设周期内,通过预设的接收通道检测由加密端传送过来的加密端密钥更新信息;
其中,加密端密钥更新信息包括加密端更新的密钥状态信息next_work_status和加密端的更新准备标志chg_ready;加密端更新的密钥状态信息next_work_status用于指示加密端更新后的密钥;
在本实施例中,解密端预设的接收开销通道与加密端预设的发送开销通道相同,可以设置为ODUk开销通道的字节行4列13;解密端预设的发送开销通道与加密端预设的接收开销通道相同,可以设置为ODUk开销通道的字节行4列14。本发明实施例对于ODUk的开销通道的具体设置不做限定。与前述实施例相同的理由,本实施例中,预设周期的长度为8个复帧。
具体地,在本实施例中,预设周期开始时使能有效,预设周期结束时使能无效;在预设周期的检测使能有效时,解密端本地的状态机进入Chg_Start状态,此时,开始检测由加密端传送过来的加密端密钥更新信息,并且清除相关标志信息,其中,加密端密钥更新信息包括加密端更新的密钥状态信息next_work_status和加密端的更新准备标志chg_ready;加密端更新的密钥状态信息next_work_status用于指示加密端更新后的密钥。
S203:在预设周期满足预设条件时,通过大数判决法确定加密端更新的密钥状态信息和解密端本地的密钥状态信息一致后,在下一个预设周期满足预设条件时,通过更新后的密钥对由加密端发送到解密端的业务信息进行解密。
具体地,在本实施例中,预设周期满足预设条件时,通过大数判决法确定加密端更新的密钥状态信息和解密端本地的密钥状态信息一致,具体过程可以包括:
预设条件为预设周期的第一个复帧的起始位置,即ODUk帧中的mfas[2:0]=3’d0且tfp=1’b1。在预设周期的mfas[2:0]=3’d0且tfp=1’b1时,如果检测到的加密端更新的密钥状态信息与解密端本地的密钥状态信息相等时,解密端本地的状态机进入判决状态Chg_Judge,此时,开始采用大数判决法进行判决,具体地,每个周期内检测预设数量的次数,也就是8次,如果满足所述预设数量的次数的预设比例,在本实施例中,也就是满足8次当中的3/4以上的比例,即6次及6次以上的检测结果表明与加密端更新的密钥状态信息与解密端本地的密钥状态信息是一致的时候,那么判决结果为真,确定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息是一致的,解密端本地的状态机进入Chg_Update状态;其它情况下,判决结果为假,定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息是不一致的,解密端本地的状态机进入更新失败状态Chg_Fail,并上报更新失败状态标志信息chg_fail给解密端的单板软件,表示密钥更新失败。同时,状态机进入更新失败状态Chg_Update后,就会停止给加密端发送解密端就绪信息rx_lp_cfg_rdy,解密端也相应的不会从下一个预定义周期开始执行新的密钥进行解密,而是保持旧的密钥进行解密。
进一步地,在本实施例中,确定加密端更新的密钥状态信息和解密端本地的密钥状态信息一致后,在下一个预设周期满足预设条件时,解密端通过更新后的密钥对由加密端发送的信息进行解密,具体可以包括:
在下一个预设周期的预设条件仍旧为预设周期的第一个复帧的起始位置,即ODUk帧中的mfas[2:0]=3’d0且tfp=1’b1时,解密端本地的状态机进入更新密钥的执行状态Chg_Perform,此时上报更新成功状态的标志信息chg_success标志信息给解密端的单板软件,表示密钥更新成功,且使用加密端更新的密钥状态信息作为解密端的单板逻辑当前工作状态,执行更新密钥进行解密。与此同时,解密端本地的状态机会继续进入判定Chg_Judge,并对加密端开始下一轮检测,检测时间同样也是一个周期,并持续循环检测。
需要说明的是,解密端本地的状态机进入Chg_Perform状态后,并且在下一轮本地配置信息local_cfg_rdy更新之前,解密端本地的状态机也同样一直处于循环working状态。
本实施例提供了一种应用于解密端的单板逻辑装置的基于OTN的密钥更新的方法,通过预设的开销通道和解密端之间进行密钥更新状态的交互,从而在保证加密端和解密端的密钥一致性的同时,还保证了在新旧密钥替换过程中不出现业务闪断,OTN设备本身的业务不受影响。
基于前述实施例相同的技术构思,参见图3,其示出了本发明实施例提供的一种加密端的单板逻辑装置30,该装置30可以包括:检测单元301,发送单元302和加密单元303,其中,
检测单元301,用于当检测到本地配置信息有效时,在预设的时间段内检测通过预设的接收开销通道所接收的解密端就绪信息的有效性;
发送单元302,用于在检测单元301预设的时间段内确定解密端就绪信息有效后,在下个预设周期满足预设条件时通过预设的发送开销通道向解密端发送本端的密钥更新信息;其中,本端的密钥更新信息包括加密端更新的密钥状态信息和加密端的更新准备标志;加密端更新的密钥状态信息用于指示加密端更新后的密钥;
加密单元303,用于在发送单元302向解密端发送密钥更新信息后的下个预设周期满足预设条件时,通过更新后的密钥对发送到解密端的业务信息进行加密。
在上述实施例中,本地配置信息用于表示加密端的单板软件在接收到网络管理***下发的密钥配置更新消息后,已将密钥配置更新消息中的密钥信息和密钥配置状态信息下发给本端的单板逻辑。
在上述实施例中,预设周期的长度为预设数量的复帧;预设条件为所述预设周期的第一个复帧的起始位置,比如:预设周期为8个复帧;预设条件为ODUk帧中的mfas[2:0]=3’d0且tfp=1’b1。
在上述实施例中,加密端更新的密钥状态信息为加密端密钥配置更新消息中的密钥配置状态信息。
在上述实施例中,加密端预设的发送开销通道与解密端的接收开销通道相同;加密端预设的接收开销通道与解密端的发送开销通道相同。
本实施例提供了一种加密端的单板逻辑装置30,通过预设的开销通道和解密端之间进行密钥更新状态的交互,从而在保证加密端和解密端的密钥一致性的同时,还保证了在新旧密钥替换过程中不出现业务闪断,OTN设备本身的业务不受影响。
基于前述实施例相同的技术构思,参见图4,其示出了本发明实施例提供的一种解密端的单板逻辑装置40,该装置40可以包括:检测单元401、发送单元402、确定单元403和解密单元404,其中,
检测单元401,用于检测本地配置信息的有效性;
发送单元402,用于当检测单元401检测到本地配置信息有效时,通过预设的发送开销通道将解密端就绪信息发送至加密端;
检测单元401,还用于在发送单元402将解密端就绪信息发送之后的预设周期内,通过预设的接收通道检测由加密端传送过来的加密端密钥更新信息,其中,加密端密钥更新信息包括加密端更新的密钥状态信息和加密端的更新准备标志;加密端更新的密钥状态信息用于指示加密端更新后的密钥;
确定单元403,用于在预设周期满足预设条件时,通过大数判决法确定加密端更新的密钥状态信息和解密端本地的密钥状态信息一致;
解密单元404,用于确定单元403通过大数判决法确定加密端更新的密钥状态信息和解密端本地的密钥状态信息一致后,在下一个预设周期满足预设条件时,通过更新后的密钥对由加密端发送到解密端的业务信息进行解密。
在上述实施例中,本地配置信息用于表示解密端的单板软件在接收到网络管理***下发的密钥配置更新消息后,已将密钥配置更新消息中的密钥信息和密钥配置状态信息下发给本端的单板逻辑。
在上述实施例中,预设周期的长度为预设数量的复帧;预设条件为所述预设周期的第一个复帧的起始位置,比如:预设周期为8个复帧;预设条件为ODUk帧中的mfas[2:0]=3’d0且tfp=1’b1。
在上述实施例中,解密端预设的接收开销通道与加密端的发送开销通道相同;解密端预设的发送开销通道与加密端的接收开销通道相同。
在上述实施例中,确定单元403,具体用于:
在预设周期的第一个复帧的起始位置,即mfas[2:0]=3’d0且tfp=1’b1时,在每个预设周期内对加密端更新的密钥状态信息与解密端本地的密钥状态信息检测预设数量的次数,比如8次;
当满足所述预设数量的次数的预设比例,在本实施例中,也就是满足8次当中的3/4以上的比例,即有6次及6次以上的检测结果表明加密端更新的密钥状态信息与解密端本地的密钥状态信息是一致的时候,确定加密端更新的密钥状态信息和解密端本地的密钥状态信息是一致的;
当检测结果为其他状态时,确定加密端更新的密钥状态信息和解密端本地的密钥状态信息是不一致的。
本实施例提供了一种解密端的单板逻辑装置40,通过预设的开销通道和解密端之间进行密钥更新状态的交互,从而在保证加密端和解密端的密钥一致性的同时,还保证了在新旧密钥替换过程中不出现业务闪断,OTN设备本身的业务不受影响。
基于前述实施例相同的技术构思,参见图5,其示出了本发明实施例提供的一种基于OTN的密钥更新的***50,该***50可以包括:加密端的单板逻辑装置30和解密端的单板逻辑装置40,其中,
加密端的单板逻辑装置30,用于:
当检测到本地配置信息有效时,在预设的时间段内检测通过预设的接收开销通道所接收的解密端就绪信息的有效性;以及,
在预设的时间段内确定解密端就绪信息有效后,在下个预设周期满足预设条件时通过预设的发送开销通道向解密端发送本端的密钥更新信息;其中,本端的密钥更新信息包括加密端更新的密钥状态信息和加密端的更新准备标志;加密端更新的密钥状态信息用于指示加密端更新后的不同的密钥,不同的密钥状态信息对应不同的密钥;以及,
在向解密端发送密钥更新信息后的下个预设周期满足预设条件时,通过更新后的密钥对发送到解密端的业务信息进行加密;
解密端的单板逻辑装置40,用于当检测到本地配置信息有效时,通过预设的发送开销通道将解密端就绪信息发送至加密端;以及,
在将解密端就绪信息发送之后的预设周期内,通过预设的接收通道检测由加密端传送过来的加密端密钥更新信息;以及,
在预设周期满足预设条件时,通过大数判决法确定加密端更新的密钥状态信息和解密端本地的密钥状态信息一致后,在下一个预设周期满足预设条件时,通过更新后的密钥对由加密端发送到解密端的业务信息进行解密。
本实施例用于实现上述各方法实施例,本实施例中各个单元的工作流程和工作原理参见上述各方法实施例中的描述,在此不再赘述。
虽然本发明所揭露的实施方式如上,但所述的内容仅为便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
Claims (12)
1.一种基于光传输网OTN的密钥更新的方法,其特征在于,所述方法应用于加密端的单板逻辑装置,所述方法包括:
当加密端检测到本地配置信息有效时,在预设的时间段内检测通过预设的接收开销通道所接收的解密端就绪信息的有效性;所述本地配置信息用于表示所述加密端的单板软件在接收到网络管理***下发的密钥配置更新消息后,已将所述密钥配置更新消息中的密钥信息和密钥配置状态信息下发给本端的单板逻辑;
在预设的时间段内确定所述解密端就绪信息有效后,在下个预设周期满足预设条件时通过预设的发送开销通道向所述解密端发送本端的密钥更新信息;所述预设周期的长度为预设数量的复帧;所述预设条件为所述预设周期的第一个复帧的起始位置;
加密端在向所述解密端发送所述密钥更新信息后的下个所述预设周期满足所述预设条件时,通过所述密钥配置更新消息中的密钥信息对发送至所述解密端的业务信息进行加密。
2.根据权利要求1所述的方法,其特征在于,所述本端的密钥更新信息包括所述加密端更新的密钥状态信息和所述加密端的更新准备标志;所述加密端更新的密钥状态信息用于指示所述加密端更新后的不同的密钥,不同的密钥状态信息对应不同的密钥。
3.根据权利要求2所述的方法,其特征在于,所述加密端更新的密钥状态信息为所述加密端密钥配置更新消息中的密钥配置状态信息。
4.根据权利要求2所述的方法,其特征在于,所述加密端预设的发送开销通道与解密端的接收开销通道相同;加密端预设的接收开销通道与解密端的发送开销通道相同。
5.一种基于光传输网OTN的密钥更新的方法,其特征在于,所述方法应用于解密端的单板逻辑装置,所述方法包括:
当解密端检测到本地配置信息有效时,通过预设的发送开销通道将解密端就绪信息发送至加密端;所述本地配置信息用于表示所述加密端的单板软件在接收到网络管理***下发的密钥配置更新消息后,已将所述密钥配置更新消息中的密钥信息和密钥配置状态信息下发给本端的单板逻辑;
在将所述解密端就绪信息发送之后的预设周期内,通过预设的接收通道检测由所述加密端传送过来的加密端密钥更新信息;
在所述预设周期满足预设条件时,解密端通过大数判决法确定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息一致后,在下一个预设周期满足所述预设条件时,通过所述密钥配置更新消息中的密钥信息对由所述加密端发送到解密端的业务信息进行解密;所述预设周期的长度为预设数量的复帧;所述预设条件为所述预设周期的第一个复帧的起始位置。
6.根据权利要求5所述的方法,其特征在于,所述加密端密钥更新信息包括加密端更新的密钥状态信息和加密端的更新准备标志;所述加密端更新的密钥状态信息用于指示所述加密端更新后的不同的密钥,不同的密钥状态信息对应不同的密钥。
7.根据权利要求6所述的方法,其特征在于,所述解密端预设的接收开销通道与加密端的发送开销通道相同;所述解密端预设的发送开销通道与加密端的接收开销通道相同。
8.根据权利要求5所述的方法,其特征在于,所述通过大数判决法确定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息一致,包括:
在所述预设周期的第一个复帧的起始位置时,在每个所述预设周期内对所述加密端更新的密钥状态信息与所述解密端本地的密钥状态信息检测所述预设数量的次数;
当满足所述预设数量的次数的预设比例以上的检测结果表明所述加密端更新的密钥状态信息与所述解密端本地的密钥状态信息是一致的时候,确定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息是一致的;
当检测结果为其他状态时,确定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息是不一致的。
9.一种加密端的单板逻辑装置,其特征在于,所述装置包括:检测单元,发送单元和加密单元,其中,
所述检测单元,用于当检测到本地配置信息有效时,在预设的时间段内检测通过预设的接收开销通道所接收的解密端就绪信息的有效性;所述本地配置信息用于表示所述加密端的单板软件在接收到网络管理***下发的密钥配置更新消息后,已将所述密钥配置更新消息中的密钥信息和密钥配置状态信息下发给本端的单板逻辑;
所述发送单元,用于在所述检测单元预设的时间段内确定所述解密端就绪信息有效后,在下个预设周期满足预设条件时通过预设的发送开销通道向所述解密端发送本端的密钥更新信息;
所述加密单元,用于在所述发送单元向所述解密端发送所述密钥更新信息后的下个所述预设周期满足所述预设条件时,通过所述密钥配置更新消息中的密钥信息对发送至所述解密端的业务信息进行加密;所述预设周期的长度为预设数量的复帧;所述预设条件为所述预设周期的第一个复帧的起始位置。
10.一种解密端的单板逻辑装置,其特征在于,所述装置包括:检测单元、发送单元、确定单元和解密单元,其中,
所述检测单元,用于检测本地配置信息的有效性;所述本地配置信息用于表示加密端的单板软件在接收到网络管理***下发的密钥配置更新消息后,已将所述密钥配置更新消息中的密钥信息和密钥配置状态信息下发给本端的单板逻辑;
所述发送单元,用于当所述检测单元检测到本地配置信息有效时,通过预设的发送开销通道将解密端就绪信息发送至加密端;
所述检测单元,还用于在所述发送单元将所述解密端就绪信息发送之后的预设周期内,通过预设的接收通道检测由所述加密端传送过来的加密端密钥更新信息;
所述确定单元,用于在所述预设周期满足预设条件时,通过大数判决法确定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息一致;所述预设周期的长度为预设数量的复帧;所述预设条件为所述预设周期的第一个复帧的起始位置;
所述解密单元,用于所述确定单元通过大数判决法确定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息一致后,在下一个预设周期满足所述预设条件时,通过所述密钥配置更新消息中的密钥信息对由所述加密端发送到解密端的业务信息进行解密。
11.根据权利要求10所述的装置,其特征在于,所述确定单元,具体用于:
在所述预设周期的第一个复帧的起始位置时,在每个所述预设周期内对所述加密端更新的密钥状态信息与所述解密端本地的密钥状态信息检测所述预设数量的次数;
当满足所述预设数量的次数的预设比例以上的检测结果表明所述加密端更新的密钥状态信息与所述解密端本地的密钥状态信息是一致的时候,确定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息是一致的;
当检测结果为其他状态时,确定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息是不一致的。
12.一种基于光传输网OTN的密钥更新的***,其特征在于,所述***包括:加密端的单板逻辑装置和解密端的单板逻辑装置,其中,
所述加密端的单板逻辑装置,用于:
当检测到本地配置信息有效时,在预设的时间段内检测通过预设的接收开销通道所接收的解密端就绪信息的有效性;所述本地配置信息用于表示所述加密端的单板软件在接收到网络管理***下发的密钥配置更新消息后,已将所述密钥配置更新消息中的密钥信息和密钥配置状态信息下发给本端的单板逻辑;以及,
在预设的时间段内确定所述解密端就绪信息有效后,在下个预设周期满足预设条件时通过预设的发送开销通道向所述解密端发送本端的密钥更新信息;所述预设周期的长度为预设数量的复帧;所述预设条件为所述预设周期的第一个复帧的起始位置;其中,所述本端的密钥更新信息包括所述加密端更新的密钥状态信息和所述加密端的更新准备标志;所述加密端更新的密钥状态信息用于指示所述加密端更新后的不同的密钥,不同的密钥状态信息对应不同的密钥;以及,
加密端在向所述解密端发送所述密钥更新信息后的下个所述预设周期满足所述预设条件时,通过所述密钥配置更新消息中的密钥信息对发送至所述解密端的业务信息进行加密;
所述解密端的单板逻辑装置,用于当检测到本地配置信息有效时,通过预设的发送开销通道将所述解密端就绪信息发送至所述加密端;以及,
在将所述解密端就绪信息发送之后的预设周期内,通过预设的接收通道检测由所述加密端传送过来的加密端密钥更新信息;以及,
在所述预设周期满足预设条件时,通过大数判决法确定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息一致后,在下一个预设周期满足所述预设条件时,通过所述密钥配置更新消息中的密钥信息对由所述加密端发送到解密端的业务信息进行解密。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510254352.4A CN106301768B (zh) | 2015-05-18 | 2015-05-18 | 一种基于光传输网otn的密钥更新的方法、装置和*** |
| PCT/CN2016/076501 WO2016184238A1 (zh) | 2015-05-18 | 2016-03-16 | 一种基于光传输网otn的密钥更新的方法、装置和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510254352.4A CN106301768B (zh) | 2015-05-18 | 2015-05-18 | 一种基于光传输网otn的密钥更新的方法、装置和*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106301768A CN106301768A (zh) | 2017-01-04 |
| CN106301768B true CN106301768B (zh) | 2020-04-28 |
Family
ID=57319417
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510254352.4A Active CN106301768B (zh) | 2015-05-18 | 2015-05-18 | 一种基于光传输网otn的密钥更新的方法、装置和*** |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN106301768B (zh) |
| WO (1) | WO2016184238A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111385276B (zh) * | 2018-12-29 | 2022-11-01 | 中兴通讯股份有限公司 | 数据传输方法、数据传输***及其发送装置与接收装置 |
| CN115065472B (zh) * | 2022-08-18 | 2022-11-08 | 广州万协通信息技术有限公司 | 基于多密钥加密解密的安全芯片加密解密方法及装置 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1567812A (zh) * | 2003-06-19 | 2005-01-19 | 华为技术有限公司 | 一种实现共享密钥更新的方法 |
| CN1897500A (zh) * | 2006-05-11 | 2007-01-17 | 中国电信股份有限公司 | 一种应用于以太网无源光网络***的搅动密钥更新与同步机制 |
| CN101047494A (zh) * | 2006-05-14 | 2007-10-03 | 华为技术有限公司 | 一种pon***中密钥协商的方法和*** |
| CN101102152A (zh) * | 2006-07-03 | 2008-01-09 | 华为技术有限公司 | 无源光网络中保证数据安全的方法 |
| CN101183934A (zh) * | 2007-10-23 | 2008-05-21 | 中兴通讯股份有限公司 | 无源光网络中密钥更新方法 |
| CN101197663A (zh) * | 2008-01-03 | 2008-06-11 | 中兴通讯股份有限公司 | 一种吉比特无源光网络加密业务的保护方法 |
| CN101247220A (zh) * | 2008-03-14 | 2008-08-20 | 中兴通讯股份有限公司 | 一种无源光网络***密钥交换的方法 |
| CN101388765A (zh) * | 2007-09-14 | 2009-03-18 | 中兴通讯股份有限公司 | 一种吉比特无源光纤网络***的加密模式切换方法 |
| CN103166758A (zh) * | 2011-12-19 | 2013-06-19 | 中兴通讯股份有限公司 | Gpon上行aes加密的密钥更新方法及*** |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100523357B1 (ko) * | 2003-07-09 | 2005-10-25 | 한국전자통신연구원 | 이더넷 기반 수동형 광네트워크의 보안서비스 제공을 위한키관리 장치 및 방법 |
| US9391781B2 (en) * | 2013-06-04 | 2016-07-12 | Altera Corporation | Systems and methods for intermediate message authentication in a switched-path network |
| CN103746814B (zh) * | 2014-01-27 | 2018-04-20 | 华为技术有限公司 | 一种加密、解密的方法及设备 |
-
2015
- 2015-05-18 CN CN201510254352.4A patent/CN106301768B/zh active Active
-
2016
- 2016-03-16 WO PCT/CN2016/076501 patent/WO2016184238A1/zh active Application Filing
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1567812A (zh) * | 2003-06-19 | 2005-01-19 | 华为技术有限公司 | 一种实现共享密钥更新的方法 |
| CN1897500A (zh) * | 2006-05-11 | 2007-01-17 | 中国电信股份有限公司 | 一种应用于以太网无源光网络***的搅动密钥更新与同步机制 |
| CN101047494A (zh) * | 2006-05-14 | 2007-10-03 | 华为技术有限公司 | 一种pon***中密钥协商的方法和*** |
| CN101102152A (zh) * | 2006-07-03 | 2008-01-09 | 华为技术有限公司 | 无源光网络中保证数据安全的方法 |
| CN101388765A (zh) * | 2007-09-14 | 2009-03-18 | 中兴通讯股份有限公司 | 一种吉比特无源光纤网络***的加密模式切换方法 |
| CN101183934A (zh) * | 2007-10-23 | 2008-05-21 | 中兴通讯股份有限公司 | 无源光网络中密钥更新方法 |
| CN101197663A (zh) * | 2008-01-03 | 2008-06-11 | 中兴通讯股份有限公司 | 一种吉比特无源光网络加密业务的保护方法 |
| CN101247220A (zh) * | 2008-03-14 | 2008-08-20 | 中兴通讯股份有限公司 | 一种无源光网络***密钥交换的方法 |
| CN103166758A (zh) * | 2011-12-19 | 2013-06-19 | 中兴通讯股份有限公司 | Gpon上行aes加密的密钥更新方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106301768A (zh) | 2017-01-04 |
| WO2016184238A1 (zh) | 2016-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11757623B2 (en) | Encryption method, decryption method, and related apparatus | |
| CN108347331B (zh) | 车联网***中T_Box设备与ECU设备进行安全通信的方法与设备 | |
| US8948377B2 (en) | Encryption device, encryption system, encryption method, and encryption program | |
| US9509414B2 (en) | Encryption and decryption method and device | |
| WO2017088565A1 (zh) | 一种加密解密方法、加密解密装置及数据传输*** | |
| CN112688845B (zh) | 车载can网络的通信方法及装置 | |
| WO2021244489A1 (zh) | 光传送网中加密控制开销传输方法及装置 | |
| WO2017092465A1 (zh) | 广播报文加密方法、olt、onu及计算机存储介质 | |
| CN113228721B (zh) | 通信方法和相关产品 | |
| US20220417015A1 (en) | Key update method and related apparatus | |
| CN106301768B (zh) | 一种基于光传输网otn的密钥更新的方法、装置和*** | |
| CN102891850A (zh) | IPSec隧道更新防重放参数的方法 | |
| CN111526013A (zh) | 密钥分发方法及*** | |
| CN113328919A (zh) | 一种can总线标识符、通信方法以及通信*** | |
| WO2018040605A1 (zh) | 数据处理方法、装置及计算机存储介质 | |
| CN113328801B (zh) | 一种基于可见光通讯的数据加密通讯方法和装置 | |
| CN113472539A (zh) | 一种利用RDMA R_Key进行国密加密的方法 | |
| CN104349360B (zh) | 解密失败的恢复方法、装置、用户终端及网络设备 | |
| CN103580854B (zh) | 一种量子保密通信***的动态码本管理方法 | |
| CN102123390B (zh) | 业务密钥处理的方法、装置及终端 | |
| CN115175177B (zh) | 一种报文传输方法及装置 | |
| CN117896379B (zh) | 储能设备的数据传输方法及其装置 | |
| CN113709069B (zh) | 一种数据传输的无损切换方法及装置 | |
| CN103138918A (zh) | 避免gpon***加密使能瞬间丢包的方法、装置及*** | |
| CN102148704A (zh) | 一种加密型交换机通用网管接口的软件实现方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |