基于量子密钥分发的OTN加密通信方法及系统技术方案

本发明专利技术公开一种基于量子密钥分发的OTN加密通信方法及系统，方法包括向量子密钥分发网络申请会话密钥，并将会话密钥与相应的加密策略建立关联；将光通路层中任一层的帧结构划分为开销区域和净荷区域；在当前发送方OTN设备支持在开销区域附加信息时，在开销区域加入当前端口本帧加密使用的会话密钥序号，基于加密策略利用会话密钥对当前帧的净荷区域进行加密后将整帧发送至对端OTN设备；在当前发送方OTN设备不支持在开销区域附加信息时，基于加密策略利用会话密钥对当前帧的净荷区域进行加密后发送至对端OTN设备，定期向对端OTN设备发送会话密钥同步报文；本发明专利技术支持帧附加信息和管理通道通知两种密钥同步方式，提高可靠性。性。性。

【技术实现步骤摘要】
基于量子密钥分发的OTN加密通信方法及系统


[0001]本专利技术涉及量子保密通信
，具体涉及一种基于量子密钥分发的OTN加密通信方法及系统。

技术介绍

[0002]随着光通信技术的发展，光传送网(optical transport network，简称OTN)的部署和使用日益广泛。OTN是网络的一种类型，是指在光域内实现业务信号的传送、复用、路由选择、监控等，并且保证其性能指标和生存性的传送网络。OTN技术是电网络与全光网折衷的产物，将同步数字体系（Synchronous Digital Hierarchy，简称SDH）强大完善的OAM&P理念和功能移植到了波分复用（Wavelength Division Multiplexing，简称WDM）光网络中，有效地弥补了现有WDM系统在性能监控和维护管理方面的不足，其中OAM&P是指根据运营商网络运营的实际需要，通常将网络的管理工作划分为3大类：运营操作（Operation）、管理（Administration）、维护（Maintenance），简称OAM，P是供应（Provisioning）保障，目标是实现网络管理的智能化。
[0003]OTN技术可以支持客户信号的透明传送、高带宽的复用交换和配置（最小交叉颗粒为ODU1，约为2.5 Gbit/s），具有强大的开销支持能力，提供强大的OAM功能，支持多层嵌套的串联连接监视(Tandem Connection Monitor，简称TCM)功能、具有前向纠错（Forward Error Correction，简称FEC）支持能力。OTN光通路层的OTN帧结构大大增强了光通路层OCh的数字监视能力，使得OTN组网时，釆用端到端和多个分段同时进行性能监视的方式成为可能。
[0004]相对于采用IPSec解决端到端安全问题的SDH专线和WDM网络，OTN专线有更多的技术手段解决密钥同步控制、密钥在线分发、加密载荷组帧等问题，更易于实现OTN节点端到端直接加密。当前，量子密钥分发（Quantum Key Distribution，QKD）技术的出现及不断成熟，也为OTN端到端直接加密提供了强有力的支撑手段，基于OTN和QKD共纤技术，可以做到密钥和加密数据的传输在同一段物理通道进行。
[0005]在相关技术中，公布号为CN108667526A的专利申请文献提出利用QKD提供量子密钥结合高级加密标准(Advanced Encryption Standard，AES)算法在OTN的光通路数据单元ODUk与光通路传送单元OTUk之间添加光通路加密单元OEUk进行ODUk承载业务的统一加密和解密实现多业务的安全传送；该方案对OTN结构进行了修改，增加了OEUk层次，但没有涉及到密钥同步问题。
[0006]公布号为CN111224772A的专利申请文献提出密钥管理端在接收到加密端发送的第一密钥申请请求以及解密端发送的第二密钥申请请求并分别验证通过时，分别发送第一密钥至加密端以及解密端；使得加密端以及解密端能够同时向密钥管理端申请到相同的密钥，提高了OTN传输系统中密钥分发与管理的便捷性。

技术实现思路

[0007]本专利技术所要解决的技术问题在于如何实现不同安全域的OTN设备节点之间端到端直接加密通信，提高通信可靠性。
[0008]本专利技术是通过以下技术手段解决上述技术问题的：第一方面，本专利技术提出了一种基于量子密钥分发的OTN加密通信方法，应用于发送方OTN设备，所述方法包括：向量子密钥分发网络申请会话密钥，并将所述会话密钥与相应的加密策略建立关联；将光通路层中任一层的帧结构划分为开销区域和净荷区域；在当前发送方OTN设备支持在开销区域附加信息时，在开销区域加入当前端口本帧加密使用的会话密钥序号，并基于加密策略利用所述会话密钥对当前帧的净荷区域进行加密后将整帧发送至对端OTN设备；在当前发送方OTN设备不支持在开销区域附加信息时，基于加密策略利用所述会话密钥对当前帧的净荷区域进行加密后发送至对端OTN设备，并定期向对端OTN设备发送会话密钥同步报文。
[0009]第二方面，本专利技术提出了一种基于量子密钥分发的OTN解密通信方法，应用于接收方OTN设备，所述方法包括：接收量子密钥分发网络下发的会话密钥，并将所述会话密钥与相应的加密策略建立关联；在当前接收方OTN设备支持在开销区域附加信息时，从开销区域获取当前端口入流量本帧加密使用的会话密钥序号；在当前接收方OTN设备不支持在开销区域附加信息时，从对端OTN设备发送的密钥同步报文中获取该端口入流量加密使用的会话密钥序号；基于所述会话密钥序号获取与加密策略相关联的会话密钥，对对端OTN设备发送的密文信息进行解密。
[0010]第三方面，本专利技术提出了一种会话密钥分发方法，应用于密钥控制器，所述方法包括：接收本端OTN设备发送的密钥申请报文；验证所述密钥申请报文通过后，向密码服务平台查询对端OTN设备所属QKD节点信息；从本端OTN设备所属QKD节点与对端OTN设备所属QKD节点之间的QKD链路对应的密钥池中获取会话密钥及密钥起止序号，并将密钥起止序号报送密码服务平台以使密码服务平台将密钥起止序号及本端OTN设备所属QKD节点信息发送至对端OTN设备对应的密钥控制器；基于所述会话密钥及密钥起止序号，生成密钥分发报文并发送至本端OTN设备。
[0011]第四方面，本专利技术提出了一种OTN设备，所述OTN设备包括：密钥申请模块，用于向量子密钥分发网络申请会话密钥，并将所述会话密钥与相应的加密策略建立关联；净荷加解密模块，用于将光通路层中任一层的帧结构划分为开销区域和净荷区
域，并在当前发送方OTN设备支持在开销区域附加信息时，在开销区域加入当前端口本帧加密使用的会话密钥序号，基于加密策略利用所述会话密钥对当前帧的净荷区域进行加密后将整帧发送至对端OTN设备；以及在当前发送方OTN设备不支持在开销区域附加信息时，基于加密策略利用所述会话密钥对当前帧的净荷区域进行加密后发送至对端OTN设备；密钥同步控制模块，用于在当前发送方OTN设备不支持在开销区域附加信息时，定期向对端OTN设备发送会话密钥同步报文。
[0012]第五方面，本专利技术提出了一种OTN设备，所述OTN设备包括：密钥申请模块，用于接收量子密钥分发网络下发的会话密钥，并将所述会话密钥与相应的加密策略建立关联；密钥同步控制模块，用于在当前接收方OTN设备不支持在开销区域附加信息时，从对端OTN设备发送的密钥同步报文中获取当前端口入流量加密使用的会话密钥序号；净荷加解密模块，用于从开销区域获取该端口入流量本帧加密使用的会话密钥序号或从对端OTN设备发送的密钥同步报文中获取该端口入流量加密使用的会话密钥序号，并基于所述会话密钥序号获取与加密策略相关联的会话密钥，对对端OTN设备发送的密文信息进行解密。
[0013]第六方面，本专利技术提出了一种密钥控制器，所述密钥控制器包括：密钥申请接收模块，用于接收本端OTN设备发送的密钥申请报文；密钥申请验证模块，用于验证所述本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于量子密钥分发的OTN加密通信方法，其特征在于，应用于发送方OTN设备，所述方法包括：向量子密钥分发网络申请会话密钥，并将所述会话密钥与相应的加密策略建立关联；将光通路层中任一层的帧结构划分为开销区域和净荷区域；在当前发送方OTN设备支持在开销区域附加信息时，在开销区域加入当前端口本帧加密使用的会话密钥序号，并基于加密策略利用所述会话密钥对当前帧的净荷区域进行加密后将整帧发送至对端OTN设备；在当前发送方OTN设备不支持在开销区域附加信息时，基于加密策略利用所述会话密钥对当前帧的净荷区域进行加密后发送至对端OTN设备，并定期向对端OTN设备发送会话密钥同步报文。2.如权利要求1所述的基于量子密钥分发的OTN加密通信方法，其特征在于，所述光通路层包括光通路传送单元OTU
k
、光通路数据单元ODU
k
和光通路净荷单元OPU
k
，所述基于加密策略利用所述会话密钥对当前帧的净荷区域进行加密，包括：基于加密策略利用所述会话密钥对OTU
k
、ODU
k
和OPU
k
任一单元对应的净荷区域内用户载荷的净荷进行透明加密处理。3.如权利要求1所述的基于量子密钥分发的OTN加密通信方法，其特征在于，所述会话密钥同步报文包括发送方OTN设备端口当前使用的会话密钥序号、通信双方OTN设备的标识、信双方OTN设备的端口标识、发送方OTN设备时间戳以及密钥校验值。4.如权利要求1所述的基于量子密钥分发的OTN加密通信方法，其特征在于，所述会话密钥同步报文通过通信双方OTN设备之间的管理控制通道传输。5.如权利要求1所述的基于量子密钥分发的OTN加密通信方法，其特征在于，所述发送方OTN设备存储有由密码服务平台下发的加密策略，所述加密策略包括通信双方OTN设备的端口标识、加密算法及明密属性。6.如权利要求1所述的基于量子密钥分发的OTN加密通信方法，其特征在于，所述向量子密钥分发网络申请会话密钥，包括：向所连接的密钥控制器发送密钥申请报文；接收所连接的密钥控制器返回的密钥分发报文，所述密钥分发报文为所述密钥控制器验证所述密钥申请报文通过后从QKD网络中获取会话密钥并利用随机选取的主密钥加密得到。7.如权利要求6所述的基于量子密钥分发的OTN加密通信方法，其特征在于，所述发送方OTN设备与所述密钥控制器中均设置有主密钥池，所述主密钥池中存储有主密钥；所述向所连接的密钥控制器发送密钥申请报文，包括：根据发送方OTN设备的加密策略向其所连接的密钥控制器发送密钥申请报文，所述密钥申请报文使用从发送方OTN设备对应的主密钥池中随机选择的主密钥Key
IDk
进行加密保护。8.如权利要求6所述的基于量子密钥分发的OTN加密通信方法，其特征在于，所述密钥分发报文为所述密钥控制器利用自身主密钥池中的主密钥验证所述密钥申请报文通过后从QKD网络中获取会话密钥及会话密钥序号并利用随机选取的主密钥加密得到；所述会话密钥为从发送方OTN设备所属QKD节点与对端OTN设备所属QKD节点之间的QKD
链路对应的密钥池中获取。9.如权利要求7所述的基于量子密钥分发的OTN加密通信方法，其特征在于，在所述接收所连接的密钥控制器返回的密钥分发报文之后，所述方法还包括：利用发送方OTN设备对应的主密钥池中的主密钥对所述密钥分发报文进行解密，获取所述会话密钥；将所述会话密钥存储到会话密钥池，并将所述会话密钥与相应的加密策略建立关联。10.如权利要求1所述的基于量子密钥分发的OTN加密通信方法，其特征在于，所述方法还包括：对用于净荷加密的会话密钥的序号加1；当密钥序号超出密钥分发的所述会话密钥的序号上限时，重新触发会话密钥分发过程，对所述会话密钥进行更新。11.一种基于量子密钥分发的OTN解密通信方法，其特征在于，应用于接收方OTN设备，所述方法包括：接收量子密钥分发网络下发的会话密钥，并将所述会话密钥与相应的加密策略建立关联；在当前接收方OTN设备支持在开销区域附加信息时，从开销区域获取当前端口入流量本帧加密使用的会话密钥序号；在当前接收方OTN设备不支持在开销区域附加信息时，从对端OTN设备发送的密钥同步报文中获取该端口入流量加密使用的会话密钥序号；基于所述会话密钥序号获取与加密策略相关联的会话密钥，对对端OTN设备发送的密文信息进行解密。12.如权利要求11所述的基于量子密钥分发的OTN解密通信方法，其特征在于，所述会话密钥同步报文包括发送方OTN设备端口当前使用的会话密钥序号、通信双方OTN设备的标识、信双方OTN设备的端口标识、发送方OTN设备时间戳以及密钥校验值。13.如权利要求11所述的基于量子密钥分发的OTN解密通信方法，其特征在于，所述会话密钥同步报文通过通信双方OTN设备之间的管理控制通道传输。14.如权利要求11所述的基于量子密钥分发的OTN解密通信方法，其特征在于，所述接收方OTN设备存储有由密码服务平台下发的加密策略，所述加密策略包括通信双方OTN设备的端口标识、加密算法及明密属性。15.如权利要求11所述的基于量子密钥分发的OTN解密通信方法，其特征在于，所述方法还包括：在确定出现密钥失步时，所述接收方OTN设备作为发起方重新触发会话密钥分发过程；其中，确定出现密钥失步的情况包括从所述开销区域获得的会话密钥序列无对应的会话密钥，或者从所述密钥同步报文中获取的会话密钥序号无对应的会话密钥，或者所述密钥同步报文校验失败。16.如权利要求11所述的基于量子密钥分发的OTN解密通信方法，其特征在于，所述接收量子密钥分发网络下发的会话密钥，包括：接收接收方OTN设备所连接的密钥控制器发送的密钥分发报文，...

【专利技术属性】
技术研发人员：罗俊，
申请(专利权)人：中电信量子科技有限公司，
类型：发明
国别省市：