一种基于光传输网OTN的密钥更新的方法、装置和系统制造方法及图纸

本发明专利技术公开了一种基于光传输网OTN的密钥更新的方法、装置和系统，包括：当加密端检测到本地配置信息有效时，在预设的时间段内检测通过预设的接收开销通道所接收的解密端就绪信息的有效性；在预设的时间段内确定所述解密端就绪信息有效后，在下个预设周期满足预设条件时通过预设的发送开销通道向所述解密端发送本端的密钥更新信息；加密端在向所述解密端发送所述密钥更新信息后的下个所述预设周期满足所述预设条件时，通过所述更新后的密钥对发送至所述解密端的业务信息进行加密。通过本发明专利技术提供的技术方案，在保证加密端和解密端的密钥一致性的同时，还保证了在新旧密钥替换过程中不出现业务闪断，OTN设备本身的业务不受影响。

【技术实现步骤摘要】

本专利技术涉及光传输网(OTN，OpticalTransportNetwork)的信息安全技术，尤指一种基于光传输网OTN的密钥更新的方法、装置和系统。
技术介绍
OTN加密传输系统通常是由加密模块和密钥管理系统两部分组成。其中，加密模块一般采用标准的高级加密标准(AES，AdvancedEncryptionStandard)加密算法；密钥管理系统主要由公共密钥参数配置管理、私钥产生、公钥运算处理模块、共享密钥协商获取模块、密钥无损切换等功能模块组成。密钥更新是密钥管理系统中必不可少的一项基本功能模块，想要在OTN传输系统中完成密钥的更新，就必须要解决两个难点，第一是如何保证加密端和解密端的密钥一致性，第二是如何保证在新旧密钥替换过程中不出现业务闪断。但是到目前为止，当前的密钥更新技术无法同时解决以上两个难点
技术实现思路
为了解决上述技术问题，本专利技术提供了一种基于光传输网OTN的密钥更新的方法、装置和系统，在保证加密端和解密端的密钥一致性的同时，还保证了在新旧密钥替换过程中不出现业务闪断，OTN设备本身的业务不受影响。为了达到本专利技术目的，本专利技术提供了一种基于光传输网OTN的密钥更新的方法，所述方法应用于加密端的单板逻辑装置，所述方法包括：当加密端检测到本地配置信息有效时，在预设的时间段内检测通过预设的接收开销通道所接收的解密端就绪信息的有效性；在预设的时间段内确定所述解密端就绪信息有效后，在下个预设周期满足预设条件时通过预设的发送开销通道向所述解密端发送本端的密钥更新信息；加密端在向所述解密端发送所述密钥更新信息后的下个所述预设周期满足所述预设条件时，通过所述更新后的密钥对发送至所述解密端的业务信息进行加密。进一步的，所述本端的密钥更新信息包括所述加密端更新的密钥状态信息和所述加密端的更新准备标志；所述加密端更新的密钥状态信息用于指示所述加密端更新后的不同的密钥，不同的密钥状态信息对应不同的密钥；所述本地配置信息用于表示所述加密端的单板软件在接收到网络管理系统下发的密钥配置更新消息后，已将所述密钥配置更新消息中的密钥信息和密钥配置状态信息下发给本端的单板逻辑。进一步的，所述预设周期的长度为预设数量的复帧；所述预设条件为所述预设周期的第一个复帧的起始位置。进一步的，所述加密端更新的密钥状态信息为所述加密端密钥配置更新消息中的密钥配置状态信息。进一步的，所述加密端预设的发送开销通道与解密端的接收开销通道相同；加密端预设的接收开销通道与解密端的发送开销通道相同。进一步的，所述方法应用于解密端的单板逻辑装置，所述方法包括：当解密端检测到本地配置信息有效时，通过预设的发送开销通道将解密端就绪信息发送至加密端；在将所述解密端就绪信息发送之后的预设周期内，通过预设的接收通道检测由所述加密端传送过来的加密端密钥更新信息；在所述预设周期满足预设条件时，解密端通过大数判决法确定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息一致后，在下一个预设周期满足所述预设条件时，通过所述更新后的密钥对由所述加密端发送到解密端的业务信息进行解密。进一步的，所述加密端密钥更新信息包括加密端更新的密钥状态信息和加密端的更新准备标志；所述加密端更新的密钥状态信息用于指示所述加密端更新后的不同的密钥，不同的密钥状态信息对应不同的密钥；所述本地配置信息用于表示所述解密端的单板软件在接收到网络管理系统下发的密钥配置更新消息后，已将所述密钥配置更新消息中的密钥信息和密钥配置状态信息下发给本端的单板逻辑。进一步的，所述预设周期的长度为预设数量的复帧；所述预设条件为所述预设周期的第一个复帧的起始位置。进一步的，所述解密端预设的接收开销通道与加密端的发送开销通道相同；所述解密端预设的发送开销通道与加密端的接收开销通道相同。进一步的，所述通过大数判决法确定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息一致，包括：在所述预设周期的第一个复帧的起始位置时，在每个所述预设周期内对所述加密端更新的密钥状态信息与所述解密端本地的密钥状态信息检测所述预设数量的次数；当满足所述预设数量的次数的预设比例以上的检测结果表明所述加密端更新的密钥状态信息与所述解密端本地的密钥状态信息是一致的时候，确定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息是一致的；当检测结果为其他状态时，确定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息是不一致的。本专利技术提供了一种加密端的单板逻辑装置，所述装置包括：检测单元，发送单元和加密单元，其中，所述检测单元，用于当检测到本地配置信息有效时，在预设的时间段内检测通过预设的接收开销通道所接收的解密端就绪信息的有效性；所述发送单元，用于在所述检测单元预设的时间段内确定所述解密端就绪信息有效后，在下个预设周期满足预设条件时通过预设的发送开销通道向所述解密端发送本端的密钥更新信息；所述加密单元，用于在所述发送单元向所述解密端发送所述密钥更新信息后的下个所述预设周期满足所述预设条件时，通过所述更新后的密钥对发送至所述解密端的业务信息进行加密。本专利技术提供了一种解密端的单板逻辑装置，所述装置包括：检测单元、发送单元、确定单元和解密单元，其中，所述检测单元，用于检测本地配置信息的有效性；所述发送单元，用于当所述检测单元检测到本地配置信息有效时，通过预设的发送开销通道将解密端就绪信息发送至加密端；所述检测单元，还用于在所述发送单元将所述解密端就绪信息发送之后的预设周期内，通过预设的接收通道检测由所述加密端传送过来的加密端密钥更新信息；所述确定单元，用于在所述预设周期满足预设条件时，通过大数判决法确定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息一致；所述解密单元，用于所述确定单元通过大数判决法确定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息一致后，在下一个预设周期满足所述预设条件时，通过所述更新后的密钥对由所述加密端发送到解密端的业务信息进行解密。进一步的，所述预设周期的长度为预设数量的复帧；所述预设条件为所述预设周期的第一个复帧的起始位置。进一步的，所述确定单元，具体用于：在所述预设周期的第一个复帧的起始位置时，在每个所述预设周期内对所述加密端更新的密钥状态信息与所述解密端本地的密钥状态信息检测所述预设数量的次数；当满足所述预设数量的次数的预设比例以上的检测结果表明所述加密端更新的密钥状态信息与所述解密端本地的密钥状态信息是一致的时候，确定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息是一致的；当检测结果为其他状态时，确定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息是不一致的。本专利技术提供了一种基于光传输网OTN的密钥更新的系统，所述系统包括：加密端的单板逻辑装置和解密端的单板逻辑装置，其中，所述加密端的单板逻辑装置，用于：当检测到本地配置信息有效时，在预设的时间段内检测通过预设的接收开销通道所接收的解密端就绪信息的有效性；以及，在预设的时间段内确定所述解密端就绪信息有效后，在下个预设周期满足预设条件时通过预设的发送开销通道向所述解密端发送本端的密钥更新信息；其中，所述本端的密钥更新信息包括所述加密端更新的密钥状态信息和所述加密本文档来自技高网...

【技术保护点】
一种基于光传输网OTN的密钥更新的方法，其特征在于，所述方法应用于加密端的单板逻辑装置，所述方法包括：当加密端检测到本地配置信息有效时，在预设的时间段内检测通过预设的接收开销通道所接收的解密端就绪信息的有效性；在预设的时间段内确定所述解密端就绪信息有效后，在下个预设周期满足预设条件时通过预设的发送开销通道向所述解密端发送本端的密钥更新信息；加密端在向所述解密端发送所述密钥更新信息后的下个所述预设周期满足所述预设条件时，通过所述更新后的密钥对发送至所述解密端的业务信息进行加密。

【技术特征摘要】
1.一种基于光传输网OTN的密钥更新的方法，其特征在于，所述方法应用于加密端的单板逻辑装置，所述方法包括：当加密端检测到本地配置信息有效时，在预设的时间段内检测通过预设的接收开销通道所接收的解密端就绪信息的有效性；在预设的时间段内确定所述解密端就绪信息有效后，在下个预设周期满足预设条件时通过预设的发送开销通道向所述解密端发送本端的密钥更新信息；加密端在向所述解密端发送所述密钥更新信息后的下个所述预设周期满足所述预设条件时，通过所述更新后的密钥对发送至所述解密端的业务信息进行加密。2.根据权利要求1所述的方法，其特征在于，所述本端的密钥更新信息包括所述加密端更新的密钥状态信息和所述加密端的更新准备标志；所述加密端更新的密钥状态信息用于指示所述加密端更新后的不同的密钥，不同的密钥状态信息对应不同的密钥；所述本地配置信息用于表示所述加密端的单板软件在接收到网络管理系统下发的密钥配置更新消息后，已将所述密钥配置更新消息中的密钥信息和密钥配置状态信息下发给本端的单板逻辑。3.根据权利要求1所述的方法，其特征在于，所述预设周期的长度为预设数量的复帧；所述预设条件为所述预设周期的第一个复帧的起始位置。4.根据权利要求2所述的方法，其特征在于，所述加密端更新的密钥状态信息为所述加密端密钥配置更新消息中的密钥配置状态信息。5.根据权利要求2所述的方法，其特征在于，所述加密端预设的发送开销通道与解密端的接收开销通道相同；加密端预设的接收开销通道与解密端的发送开销通道相同。6.一种基于光传输网OTN的密钥更新的方法，其特征在于，所述方法应用于解密端的单板逻辑装置，所述方法包括：当解密端检测到本地配置信息有效时，通过预设的发送开销通道将解密
\t端就绪信息发送至加密端；在将所述解密端就绪信息发送之后的预设周期内，通过预设的接收通道检测由所述加密端传送过来的加密端密钥更新信息；在所述预设周期满足预设条件时，解密端通过大数判决法确定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息一致后，在下一个预设周期满足所述预设条件时，通过所述更新后的密钥对由所述加密端发送到解密端的业务信息进行解密。7.根据权利要求6所述的方法，其特征在于，所述加密端密钥更新信息包括加密端更新的密钥状态信息和加密端的更新准备标志；所述加密端更新的密钥状态信息用于指示所述加密端更新后的不同的密钥，不同的密钥状态信息对应不同的密钥；所述本地配置信息用于表示所述解密端的单板软件在接收到网络管理系统下发的密钥配置更新消息后，已将所述密钥配置更新消息中的密钥信息和密钥配置状态信息下发给本端的单板逻辑。8.根据权利要求6所述的方法，其特征在于，所述预设周期的长度为预设数量的复帧；所述预设条件为所述预设周期的第一个复帧的起始位置。9.根据权利要求7所述的方法，其特征在于，所述解密端预设的接收开销通道与加密端的发送开销通道相同；所述解密端预设的发送开销通道与加密端的接收开销通道相同。10.根据权利要求8所述的方法，其特征在于，所述通过大数判决法确定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息一致，包括：在所述预设周期的第一个复帧的起始位置时，在每个所述预设周期内对所述加密端更新的密钥状态信息与所述解密端本地的密钥状态信息检测所述预设数量的次数；当满足所述预设数量的次数的预设比例以上的检测结果表明所述加密端更新的密钥状态信息与所述解密端本地的密钥状态信息是一致的时候，确定所述加密端更新的密钥状态信息和解密端本地的密钥状态信息是一致的；当检测结果为其他状态时，确定所述加密端更新的密钥状态信息和解密
\t端本地的密钥状态信息是不一致的。11.一种加密端的单板逻辑装置，...

【专利技术属性】
技术研发人员：潘磊，王春光，杜凯，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：广东;44