CN115865499A - 一种基于切片的军民融合光传送网净荷兼容加密*** - Google Patents

Abstract

本发明公开了一种基于切片的军民融合光传送网净荷兼容加密***，属于光通信技术领域。其包含军用OTN模块、民用OTN模块以及军民融合OTN兼容加密模块；所述军民融合OTN兼容加密模块包括民转军业务解封装模块、民用切换开关、加密模块、民转军业务封装模块、军转民业务封装模块、军用切换开关、军转民业务解封装模块和控制模块。本发明通过在光层端至端进行的OTN加密保护光传输层安全，能够满足安全性需求且有效地实现网络的后向兼容性。

Description

一种基于切片的军民融合光传送网净荷兼容加密***

技术领域

本发明涉及光通信技术领域，具体来说，涉及一种基于切片的军民融合光传送网净荷兼容加密***。

背景技术

目前随着光网络铺设范围的扩大和功能增加，光网络将会为用户提供更广泛的服务。光网络在物理层呈开放状态，对于大多数铺设在户外的光缆线路而言，除了维护人员的周期性巡线外，几乎没有采取任何保证光网络物理层安全的防护措施。光网络的工作环境特殊、监管防护手段缺少、接入平台日益开放，这些因素都会导致光网络在用户端、传输链路以及交换节点等多处的安全性受到严重的威胁。由于光传送网络承载着大量的信息传输任务，即使攻击造成的服务破坏的时间很短，这些安全威胁也会造成大量用户数据的丢失与破坏以及对社会带来严重的灾难。

由ITUG.709标准定义的光传送网络(OTN)是一个全球范围内多业务、多速率聚合层的下一代100G+城域和核心光传输网络的传输体制，它能够支持几乎所有客户类型和协议的复用、传输和交换，包括从以太网、SONET/SDH，直至1Gbps到100Gbps数据速率的光纤通道等专注数据中心的恒定比特率(CBR)客户，且被认为具有高保密性和安全性。与其它的第二层(L2)和第三层(L3)网络层加密技术不同，OTN加密技术与客户类型、协议或速率无关，为网络运营商提供了在光传输网络中满足所有客户类型和协议端到端服务的单一加密解决方案。实施L3加密肯定会带来成本、功耗和复杂性的折衷。但在所有情况下，加密业务所造成的成本和增加的功耗都与硬件实现相关。

由于底层有效载荷或现有OTN帧均没有以任何方式填充或扩展，以期为加密或认证提供便利，使用OTN加密来保护光传输层安全并未以失去光纤带宽为代价。OTN传统加密针对的是传输有效载荷帧-光通路净负荷单元(OPUk)。而目前，随着小带宽、数量多专网客户新型业务的发展，要求简单快捷的带宽灵活调整，传统OTN技术已经无法为此类业务提供高效承载服务。在这种背景下，基于切片的光业务单元(OSU)技术应运而生。此外，目前市场上一些OTN处理芯片解决方案能够提供先进加密标准256位分组密码(AES-256)的支持，且使用的加密分组密码和认证方式因具体应用而异。但是，目前还未有在军民融合的网络场景中考虑OSU的OTN兼容加密方法设计。综上所述，本发明专利考虑在军民融合的光传送网络中考虑最新切片OTN技术的净荷加密，实现新型光通道防护技术与传统防护技术的后向兼容性。

发明内容

针对上述背景技术中存在的问题，本发明提出一种基于切片的军民融合光传送网净荷兼容加密***，以解决现有军民融合光传送网中应用最新切片OTN技术体制且进行净荷加密问题，使得***具有高安全、低延迟以及后向兼容的优点。

本发明的技术方案是这样实现的，

一种基于切片的军民融合光传送网净荷兼容加密***，包含军用OTN模块、民用OTN模块以及军民融合OTN兼容加密模块；所述军民融合OTN兼容加密模块包括民转军业务解封装模块、兼容切换开关、兼容加密模块、民转军业务封装模块、军转民业务封装模块、兼容切换开关、军转民业务解封装模块、兼容解密模块和控制模块；

所述民转军业务解封装模块分别对民用100G标准OTN逐层进行OPU、ODU和OTU的开销以及净荷部分处理；

所述民转军业务封装模块用于进行标准的军用业务适配：

所述控制模块用于加密的开销处理以及密钥生成和协商；

所述军转民业务解封装模块分别对军用100G切片OTN逐层进行OSU的开销和净荷部分处理；

所述加密模块为在OSU的净荷部分中并在在OSU的开销控制下进行的加密过程；

所述军转民业务封装模块用于进行标准的民用业务适配；

所述解密模块用于逐层逆向解密至OPU、ODU和OTU的加密部分；

军用OTN模块和民用OTN模块通过军民融合模块实现兼容加密，其中民用转军用的具体过程为：

民转军业务解封装模块对民用100G标准OTN逐层进行OPU、ODU和OTU的开销以及净荷部分处理，之后得到的OPU、ODU和OTU的开销部分通过控制模块进行控制，兼容切换开关决定是否需要对OPU、ODU和OTU的净荷部分进行加密处理；如果OPU/ODU/OTU的净荷部分不需要加密，则直接通过民转军业务封装模块进行标准的业务适配；如果需要加密，则进行加密模块对OPU、ODU和OTU的净荷部分加密后再进行业务适配；

军用转民用具体过程为：

所述军转民业务解封装模块分别对军用100G切片OTN逐层进行OSU的开销和净荷部分处理，之后得到的OSU的开销部分通过控制模块控制兼容切换开关以决定是否需要进行OSU净荷的解密处理，如果不需要则直接进行民用业务适配；如果需要，则通过解密模块逐层逆向解密至OPU、ODU和OTU加密部分，在进行标准的民用业务适配。

进行，所述100GOTN的帧架构包括军民融合的OTN源节点和目的节点，

军民融合的OTN源节点包括OSUk的开销部分、OSUk的净荷部分以及OTUk的前向纠错编码部分；经过加密以及认证过程之后，接收端在OSUk的净荷部分进行加密或非加密的数据帧的接收处理，之后重新计算OTUk的FEC部分；

OSUk净荷加密包含加密部分以及非加密部分；重新进行安排的包包括封装安全包头协议的头部和尾部；ESP负责执行封包的加密动作；其中，ESP的头部包括4字节的安全参数因子字段、4字节的序列)、8字节的认证值、包括16字节的完整性校验值的ESP的尾部；其中，SPI告知接收OTN要使用密钥来加密这个封包。

进一步的，100GOTN的具体实现过程如下：

步骤1，接收一个OTN帧；

步骤2，判断接收的OTN帧是否是标准OTN帧还是基于OSU的OTN帧；若是标准OTN帧进行步骤3，若是基于OSU的OTN帧进行步骤4；

步骤3，按照标准OTN进行净荷处理；

步骤4，将基于OSU的OTN帧的OSU净荷单元分到一个固定带宽的时隙上，且将时隙成组为时隙块；之后选择2个或者多个时隙块进行AES的加密，经上述加密和认证的2个或多个时隙块最终生成一个加密的OTN帧。

与现有技术相比，本发明的优点在于：

本发明为保证服务类型和速率的OTN提供了一个高灵活性、低延迟的安全传输方法。通过在军民融合的OTN中兼容标准100GOTN，使用基于切片的OTN加密来保护光传输层，能够融入现有的一层(L1)传输网络和现今使用的服务模式，并且支持新兴的OTN架构和全新的、高价值、高收益服务，提供了最大限度的部署灵活性。

附图说明

图1为本发明实施例的***结构示意图。

图2为本发明提出的基于切片的100GOTN加密的帧架构示意图。

图3为本发明为基于100GOTN的切片加密流程示意图。

具体实施方式

下面结合附图和具体实施例对本发明进行详细说明。

在OTN层由于只需要有限的缓存和较复杂的滤波硬件，加密/解密OPUk有效载荷和***/读取认证字段带来的处理能力增加的需求比L2和L3层低。此外，所有网络层加密技术本身都会增加网络延迟，其大小与加密负载帧大小以及包括硬件架构、密码块大小和密钥长度、加密模式、认证模式等实施参数有关。但L1层端至端管理安全传输的复杂性与L2层类似，要显著低于L3层。因此，本发明关注军民融合的OTN在L1层的兼容加密方法。

为了便于理解本发明方法，对本发明方法原理叙述如下。

传统民用OTN加密时，开销保持不变，只对OPU的净荷进行加密、组合。现有军用OTN的帧结构构建为基于OSU的帧结构。

OTN的加密开销由开销空闲字节承担。传统OTN加密开销为OPU/ODU/OUT的开销字节，切片OTN的加密开销为OSU的开销字节。

OTN的加密开销对加密方法进行流程控制，可以由网络管理中心进行相应配置。

军用OTN的网络管理中心与民用OTN的网络管理中心进行必要的协同操控。

OTN具备固有的低延迟特性，OTN的净荷加密算法具体为经典AES算法。针对所有OPUk帧大小，使用AES-256分组密码可以实现低于180ns的延迟，在常见服务中这样大小的延迟增量，能够使可用的端到端预算留出足够的余量。

在军民融合的OTN中进行L1数据加密，能有效、高效和灵活地保护数据安全传输，这对网络运营商以及JS领域均是具有吸引力的，且不会影响服务性能或光纤传输效率。

参照图1，本发明，一种基于切片的军民融合光传送网净荷兼容加密***，包含军用OTN模块、民用OTN模块以及军民融合OTN兼容加密模块；其特征在于，所述军民融合OTN兼容加密模块包括民转军业务解封装模块、兼容切换开关、加密模块、民转军业务封装模块、军转民业务封装模块、兼容切换开关、军转民业务解封装模块、解密模块和控制模块；

所述民转军业务解封装模块分别对民用100G标准OTN逐层进行OPU、ODU和OTU的开销以及净荷部分处理；

所述民转军业务封装模块用于进行标准的军用业务适配：

所述控制模块用于加密的开销处理以及密钥生成和协商；

所述军转民业务解封装模块分别对军用100G切片OTN逐层进行OSU的开销和净荷部分处理；

所述加密模块为在OSU的净荷部分中并在在OSU的开销控制下进行的加密过程；

所述军转民业务封装模块用于进行标准的民用业务适配；

所述解密模块用于逐层逆向解密至OPU、ODU和OTU的加密部分；

军用OTN模块和民用OTN模块通过军民融合模块实现兼容加密，其中民用转军用的具体过程为：

民转军业务解封装模块对民用100G标准OTN逐层进行OPU、ODU和OTU的开销以及净荷部分处理，之后得到的OPU、ODU和OTU的开销部分通过控制模块进行控制；兼容切换开关决定是否需要对OPU、ODU和OTU的净荷部分进行加密处理；如果OPU/ODU/OTU的净荷部分不需要加密，则直接通过民转军业务封装模块进行标准的业务适配；如果需要加密，则进行加密模块对OPU、ODU和OTU的净荷部分加密后再进行业务适配；

军用转民用具体过程为：

所述军转民业务解封装模块分别对军用100G切片OTN逐层进行OSU的开销和净荷部分处理，之后得到的OSU的开销部分通过控制模块控制兼容切换开关以决定是否需要进行OSU净荷的解密处理，如果不需要则直接进行民用业务适配；如果需要，则通过解密模块逐层逆向解密至OPU、ODU和OTU加密部分，在进行标准的民用业务适配。

参照图2，本发明基于切片的100GOTN的帧架构包含军民融合的OTN源节点和目的节点中。具体地，传统OTN的传输帧架构包括定位指针、光通路传送单元(OTU)、OPUk以及ODUk的开销部分、OPU的净荷部分以及OTUk的前向纠错编码(FEC)部分。而新型的军民融合OTN除了OSUk的开销部分、OSUk的净荷部分以及OTUk的前向纠错编码(FEC)部分，经过加密以及认证过程之后，接收端在OSUk的净荷部分进行加密或非加密的数据帧的接收处理，之后重新计算OTUk的FEC部分。本发明所述的基于OSUk净荷加密包含加密部分以及非加密部分。重新进行安排的包包括封装安全包头协议(ESP)的头部和尾部。ESP负责执行封包的加密动作。其中，ESP的头部包括4字节的安全参数因子(SPI)字段、4字节的序列(SEQ)、8字节的认证值(IV)、包括16字节的完整性校验值(ICV)的ESP的尾部。其中，SPI告知接收OTN要使用密钥来加密这个封包。

参照图3，本发明基于切片的100GOTN流程图所述首先接收一个OTN帧。判断是否是标准OTN帧还是基于OSU的OTN帧，若是前者，按照标准OTN进行净荷处理；若是后者，将该帧的OSU净荷单元分到一个固定带宽的时隙上，且将时隙成组为时隙块。之后选择2个或者多个时隙块进行AES的加密，经上述加密和认证的2个或多个时隙块最终生成一个加密的OTN帧。

综上，本发明实现一种基于军民融合光传送网净荷加密兼容性方法，针对加密的OTN业务可以通过现有的基于OTN的传输网络，透明地进行节点至节点的穿越，在目的节点处，进行与军用OTN网络加密相反的解密过程，即首先对OTN的OSU开销进行适配。其次，通过开关控制进行相应的解密操作，之后适配恢复至所承载的业务。军民融合OTN兼容加密安全总方案与传统100GOTN具有后向兼容性，从而与民用OTN网络无缝融合。

综上所述，J民融合的OTN安全方案即仅仅在J民融合网络中的源和目的节点才需要加密/解密。此外，在OTN层业务加密在复用进入更高速率100GOTN信号之前，可以对1.25Gbps直至100Gbps的业务进行加密，体现了G.709标准固有的可扩展性和灵活性。这种可配置性等级使得网络运营商能够使用新的“随增长付费”或“亚波长”加密传输服务，业务保护以客户服务的粒度进行细分，允许用户从低业务开始租用安全线路，其业务随着时间增长，最大限度地减小采用新的高价值安全传输服务的障碍。

通过在光层端至端进行的传统OTN到基于切片OTN加密以保证光传输层安全。基于切片的军民融合光传送网兼容加密总方案包括加密部分、解密部分以及控制单元，加密的OTN业务可以通过现有OTN，透明地进行节点至节点的穿越，在网络中的源和目的节点进行加密或解密；具体包括以下过程：

首先接收一个OTN帧，判断是否是标准OTN帧还是基于OSU的OTN帧，若是前者，按照标准OTN进行净荷处理；若是后者，将OTN帧的OSU净荷单元分到一个固定带宽的时隙上，且将时隙成组为时隙块，之后选择2个或多个时隙块进行AES加密算法的加密；

控制部分主要包括AES加密的开销处理以及密钥生成和协商。

在OSU的净荷部分中进行加密，加密过程开销包含AES加密前的开销和加密后经协商后的开销；OTN的加密开销由开销空闲字节承担。传统OTN加密开销为OPU/ODU/OUT的开销字节，切片OTN的加密开销为OSU的开销字节；

OTN的加密开销对加密方法进行流程控制，可以由网络管理中心进行相应配置。军用OTN的网络管理中心与民用OTN的网络管理中心进行必要的协同操控；

OTN具备固有的低延迟特性，OTN的净荷加密算法具体为经典AES算法。经加密和认证的2个或多个时隙块最终生成一个加密的OTN帧；且其包含传统OTN源节点和目的节点；

进一步地，AES加密过程：首先在源端对明文添加密钥、分组为子字节、进行行移变换和混合数据列以添加密钥，添加密钥后进行密钥计数和复用且最终计数，最后生成密文，经传输后的密文到目的端，进行与源端相反的密文译码。

以上所述仅为本发明在实施例中的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应该涵盖在本发明保护范围之内。

Claims (3)

1.一种基于切片的军民融合光传送网净荷兼容加密***，包含军用OTN模块、民用OTN模块以及军民融合OTN兼容加密模块；其特征在于，所述军民融合OTN兼容加密模块包括民转军业务解封装模块、兼容切换开关、兼容加密模块、民转军业务封装模块、军转民业务封装模块、兼容切换开关、军转民业务解封装模块、兼容解密模块和控制模块；

所述民转军业务解封装模块分别对民用100G标准OTN逐层进行OPU、ODU和OTU的开销以及净荷部分处理；

所述民转军业务封装模块用于进行标准的军用业务适配：

所述控制模块用于加密的开销处理以及密钥生成和协商；

所述军转民业务解封装模块分别对军用100G切片OTN逐层进行OSU的开销和净荷部分处理；

所述兼容加密模块为在OSU的净荷部分中并在在OSU的开销控制下进行的加密过程；

所述军转民业务封装模块用于进行标准的民用业务适配；

所述兼容解密模块用于逐层逆向解密至OPU、ODU和OTU的加密部分；

军用OTN模块和民用OTN模块通过军民融合模块实现兼容加密，其中民用转军用的具体过程为：

民转军业务解封装模块对民用100G标准OTN逐层进行OPU、ODU和OTU的开销以及净荷部分处理，之后得到的OPU、ODU和OTU的开销部分通过控制模块进行控制；兼容切换开关决定是否需要对OPU、ODU和OTU的净荷部分进行加密处理；如果OPU/ODU/OTU的净荷部分不需要加密，则直接通过民转军业务封装模块进行标准的业务适配；如果需要加密，则进行加密模块对OPU、ODU和OTU的净荷部分加密后再进行业务适配；

军用转民用具体过程为：

所述军转民业务解封装模块分别对军用100G切片OTN逐层进行OSU的开销和净荷部分处理，之后得到的OSU的开销部分通过控制模块控制兼容切换开关以决定是否需要进行OSU净荷的解密处理，如果不需要则直接进行民用业务适配；如果需要，则通过解密模块逐层逆向解密至OPU、ODU和OTU加密部分，再进行标准的民用业务适配。

2.根据权利要求1所述的一种基于切片的军民融合光传送网净荷兼容加密***，其特征在于，所述100G OTN的帧架构包括军民融合的OTN源节点和目的节点，

军民融合的OTN源节点包括OSUk的开销部分、OSUk的净荷部分以及OTUk的前向纠错编码部分；经过加密以及认证过程之后，接收端在OSUk的净荷部分进行加密或非加密的数据帧的接收处理，之后重新计算OTUk的FEC部分；

OSUk净荷加密包含加密部分以及非加密部分；重新进行安排的包包括封装安全包头协议的头部和尾部；ESP负责执行封包的加密动作；其中，ESP的头部包括4字节的安全参数因子字段、4字节的序列)、8字节的认证值、包括16字节的完整性校验值的ESP的尾部；其中，SPI告知接收OTN要使用密钥来加密这个封包。

3.根据权利要求2所述的一种基于切片的军民融合光传送网净荷兼容加密***，其特征在于，100G OTN的切片加密具体过程如下：

步骤1，接收一个OTN帧；

步骤2，判断接收的OTN帧是否是标准OTN帧还是基于OSU的OTN帧；若是标准OTN帧进行步骤3，若是基于OSU的OTN帧进行步骤4；

步骤3，按照标准OTN进行净荷处理；

步骤4，将基于OSU的OTN帧的OSU净荷单元分到一个固定带宽的时隙上，且将时隙成组为时隙块；之后选择2个或者多个时隙块进行AES的加密，经上述加密和认证的2个或多个时隙块最终生成一个加密的OTN帧。

Images