本文涉及一种具有加密实体(110)的传输光网络元件(100),包括:用于接收来自从密钥管理实体(10)的密钥信息的接口;用于存储该密钥管理实体(10)接收的公钥的存储装置,其中该公钥与经由光网络(300)连接至该传输光网络元件(100)以便传输数据的接收光网络元件(200)相关联;被配置为生成对称加密密钥的密钥生成实体(120);其中该传输光网络元件(100)适于:使用所生成的对称加密密钥对要传输至该接收光网络元件(200)的所接收到的有效载荷进行加密;并且使用该接收光网络元件(200)的公钥对所生成的对称加密密钥进行加密;经由光网络(300)将经加密的有效载荷和经加密的对称加密密钥传输至该接收光网络元件(200)。
【技术实现步骤摘要】
【国外来华专利技术】
本文涉及自适应业务加密。特别地,本文涉及通过使用混合加密而对灵活光网络的光学信号的加密。
技术介绍
用于光网络的已知加密解决方案相对于它们的端点而言是固定的。互相通信的光网络元件(例如客户端接口或者光链路的端点)执行静态加密功能以便对在所述光网络元件之间传输的有效载荷(payload)进行加密。由此光网络元件以静态的方式互相连接。光网络加密通常通过线路加密来实施,即对WDM链路的某个通道进行加密,或者通过客户端加密来实施,例如在两个光网络元件之间传输客户端信号。对有效载荷进行加密所需的加密参数由例如网络管理系统或密钥管理实体的中央实例来提供。具体地,所述中央实例将用其对有效载荷进行加密的(多个)加密密钥提供至光网络元件,并且可选地提供用于例如在某个密钥生命期之后进行密钥更换的策略。为了在所涉及的光网络元件之间建立静态关系以便获得经加密的光传输路径,从中央实例针对光网络元件配置例如加密密钥的相关加密参数。这是复杂且耗时的过程,因为加密参数需要以安全且可靠的方式被生成并传输至光网络元件。密钥生成、传输和实施的安全性和保障性方面的每个漏洞都对信号加密的安全性造成破坏。通常使用例如AES加密的对称加密方案,其针对加密和解密要求相同的密钥。因此,加密参数必须被单独传输至光网络元件,因为所述光网络元件位于不同的位置。以上所提到的方法并不适用于灵活光网络,即在多个光网络元件之间频繁改变连接的光网络,因为每次连接重新配置之后都必须要执行用于向光网络元件提供加密参数的耗时的过程。由于该过程操作的复杂性,所述连接重新配置仅可以缓慢地执行,这限制了网络对于改变连接重新配置的服务请求的响应性。对称加密方案的一般缺陷在于,在密钥被泄露一即被非授权第三方所获知一的情况下,该第三方能够执行中间人攻击,在没有为合法光网络元件或用户提供注意到这样的攻击的选项的情况下,获取对于非加密(不受限制的)有效载荷的访问并且可能对其进行修改元件。因此需要提供一种用于光网络的有所改进的灵活的业务加密方案,其在请求连接重新配置之后提供较短的响应时间以及光网络中更高的加密服务可用性和可靠性。
技术实现思路
根据第一方面,描述了一种传输光网络元件。该传输光网络元件可以包括加密实体,其适于对该传输光网络元件所接收到的有效载荷信号进行加密。所述有效载荷信号可以是例如以太网信号或光传送系统的WDM链路。该传输光网络元件进一步包括用于接收来自密钥管理实体的密钥信息的接口。该密钥管理实体可以是用于为该传输光网络元件和其它网络元件提供密钥信息的中央实例。优选地,所述密钥管理实体在该传输光网络元件的设置时提供该密钥信息。在所述设置之后,该传输光网络元件和该密钥管理实体之间不进行密钥信息的交换是必要的,但是为了支持例如作为密钥生命期策略的一部分的密钥更换,可选地可以进行密钥信息的交换。为了存储所接收到的密钥信息,传输光网络元件进一步包括用于存储由密钥管理实体所接收到的至少一个公钥的存储装置,其中该公钥与经由光网络连接至该传输光网络元件以便传输数据的接收光网络元件相关联。优选地,该密钥信息是由相关联的密钥对一也就是公钥和私钥一所组成的非对称密钥信息。此外,该传输光网络元件包括被配置为生成对称加密密钥的密钥生成实体。基于密钥管理实体所提供的非对称密钥信息和所述对称加密密钥,该传输光网络元件适于执行一种混合加密方案,其在重新配置的需求或连接变化之后能够引起高度灵活的光学系统重新配置。为了执行混合加密方案,该传输光网络元件可以包括用于和/或适于使用所生成的对称加密密钥对所接收的将要发送至接收光网络元件的有效载荷进行加密的装置。该传输光网络元件可以进一步使用该接收光网络元件的公钥对所生成的对称加密密钥进行加密。使用对称加密方案允许有效载荷数据的快速且几乎同时的加密,而使用非对称加密执行对称加密密钥的安全交换,因为交换对称加密密钥时的速度要求比加密有效载荷的速度要求慢得多。在加密之后,经加密的有效载荷和经加密的对称加密密钥可以由传输光网络元件经由光网络传输至接收光网络元件。所提出的传输光网络元件的主要优势在于,其实现了加密光网络中的高度连接灵活性,而在连接变化期间并不需要涉及到中央实例。因此,能够以较短的时间周期t执行连接变化,优选地t〈200ms,最为优选地t〈50ms。因此,获得了高度可用、快速且可靠的加密光网络。所提出的传输光网络元件另外的优势在于,在中央实例与传输光网络元件或接收光网络元件之间不必要进行对称加密密钥的传输。因此,降低了密钥被泄露的风险以及中间人攻击的风险。根据实施例,光网络包括多个接收光网络元件。传输光网络元件的存储装置适于存储与所述传输光网络元件相关联的私钥以及被配置为接收所述传输光网络元件的数据或者预期在未来接收数据的所有接收光网络元件的公钥。所述私钥和所述公钥可以由密钥管理实体提供至传输光网络元件。利用相应接收光网络元件的公钥,传输光网络元件能够对信息(例如对称加密密钥)进行加密,以便将该信息传输至相应的接收光网络元件。优选地,传输光网络元件适于根据当前所选择的与之进行通信的接收光网络元件而选择合适的公钥。只有当前所选择的接收光网络元件能够利用其自己的私钥对经加密的对称加密密钥进行解密。根据实施例,在连接从第一接收光网络元件到第二接收光网络元件变化的情况下,传输光网络元件适于生成新的对称加密密钥以便对有效载荷进行加密并且使用第二接收光网络元件的公钥对该新的对称加密密钥进行加密。该新的对称加密密钥可以由密码安全伪随机数生成器(CSPRNG)生成,其中该新的对称加密密钥可以是伪随机数。所述CSPRNG可以以硬件或软件来实施,例如以处理器、FPGA、操作系统等来实施。优选地,该CSPRNG位于该传输光网络元件的加密实体中或者靠近该加密实体,因此避免所生成的对称加密密钥通过可能未被加密的和不安全的通道进行传输。在生成新的对称加密密钥并且利用第二接收光网络元件的公钥对所述对称加密密钥进行加密之后,经加密的新的对称加密密钥被传输至第二接收光网络元件,之后第二接收光网络元件能够使用其自己的私钥对经加密的新生成的对称加密密钥进行解密。通过使用经解密的新生成的对称加密密钥,第二接收光网络元件能够对经加密的有效载荷(被以新生成的对称加密密钥加密)进行解密并因此获得经解密的有效载荷。因此,可以在并不涉及到外部的、中央实例的情况下实现连接的变化。根据实施例,经加密的对称加密密钥或者经加密的对称加密密钥的至少一部分与经加密的有效载荷被同时和/或连续地传输。因此,减小了改变连接设置的时间窗口。优选地,经加密的有效载荷在数据帧的有效载荷部分中传输,并且经加密的对称加密密钥使用所述数据帧内的开销部分或者以其它方式嵌入在该数据帧之中进行传输。该数据帧例如可以是光传送网络(0ΤΝ)的ODUk(光通道数据单元k)。经加密的对称加密密钥可以嵌入在一些或所有数据帧中传输。根据实施例,传输光网络元件可以包括用于例如使用公钥基础设施(PKI)的方式对从密钥管理实体所接收的密钥信息进行认证的装置。传输光网络元件可以进一步创建仅由传输光网络元件和接收光网络元件所知的共享秘密的签名。任何共享秘密都可以被用于该目的。另外,传输光网络元件可以利用其自己的私钥对该签名进行加密并且将经加本文档来自技高网...
【技术保护点】
一种传输光网络元件(100),包括:用于接收来自密钥管理实体(10)的密钥信息的接口;用于存储由所述密钥管理实体(10)接收的公钥的存储装置,其中所述公钥与经由光网络(300)可连接至所述传输光网络元件(100)以便传输数据的接收光网络元件(200)相关联;以及被配置为生成对称加密密钥的密钥生成实体(120);其中所述传输光网络元件(100)适于:使用生成的对称加密密钥对要传输至所述接收光网络元件(200)的所接收到的有效载荷进行加密;并且使用所述接收光网络元件(200)的公钥对所述生成的对称加密密钥进行加密;经由所述光网络(300)将经加密的有效载荷和经加密的对称加密密钥传输至所述接收光网络元件(200)。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:J·勒尔,
申请(专利权)人:阿尔卡特朗讯,
类型:发明
国别省市:法国;FR
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。