本發(fā)明涉及通信領(lǐng)域，尤其涉及一種加密方法、解密方法及加密裝置。解密裝置以及一種數(shù)據(jù)傳輸系統(tǒng)。

背景技術(shù)：

本申請(qǐng)發(fā)明人在實(shí)現(xiàn)本申請(qǐng)實(shí)施例技術(shù)方案的過(guò)程中，至少發(fā)現(xiàn)相關(guān)技術(shù)中存在如下技術(shù)問(wèn)題：

現(xiàn)有的光傳輸網(wǎng)絡(luò)(Optical Transmission Network，OTN)的網(wǎng)絡(luò)兩側(cè)采用的對(duì)OTN數(shù)據(jù)進(jìn)行加密和解密的方法中主要分為非對(duì)稱算法和對(duì)稱算法，對(duì)于常用的對(duì)稱算法，比如高級(jí)加密標(biāo)準(zhǔn)(Advanced Encryption Standard，AES)，又稱Rijndael加密法，在OTN網(wǎng)絡(luò)側(cè)加密數(shù)據(jù)的傳輸中，加密側(cè)使用初始密鑰對(duì)待加密的數(shù)據(jù)進(jìn)行加密，經(jīng)過(guò)中間網(wǎng)絡(luò)，解密側(cè)接收到加密數(shù)據(jù)后，根據(jù)解密側(cè)的初始密鑰進(jìn)行解密，得到解密數(shù)據(jù)，即在使用對(duì)稱算法時(shí)，加密側(cè)進(jìn)行加密和解密側(cè)進(jìn)行解密使用的密鑰為同一個(gè)密鑰，但現(xiàn)有技術(shù)中，當(dāng)密鑰存在更新時(shí)，加密側(cè)和解密側(cè)進(jìn)行數(shù)據(jù)加解密的位置存在不一致的情況，因此在密鑰存在更新時(shí)，解密的數(shù)據(jù)有一段是錯(cuò)誤的。

可見(jiàn)，現(xiàn)有技術(shù)中的加解密的方法存在解密數(shù)據(jù)出錯(cuò)的情況，從而影響OTN系統(tǒng)的性能，因此，亟需一種能夠保證密鑰存在更新過(guò)程中數(shù)據(jù)加密和解密的位置一致的解決方案。

技術(shù)實(shí)現(xiàn)要素：

有鑒于此，本發(fā)明實(shí)施例希望提供一種加密、解密方法及加密、解密裝置，至少解決了現(xiàn)有技術(shù)存在的問(wèn)題，能夠保證密鑰存在更新過(guò)程中數(shù)據(jù)加密和解密的位置一致。

本發(fā)明實(shí)施例的技術(shù)方案是這樣實(shí)現(xiàn)的：

第一方面，本發(fā)明實(shí)施例提供了一種加密方法，應(yīng)用于加密側(cè)，所述加密方法包括：

獲取與解密側(cè)協(xié)商的第一密鑰；

當(dāng)通過(guò)握手確定本地與所述解密側(cè)的第一密鑰配置完成后，對(duì)當(dāng)前發(fā)送的光傳輸網(wǎng)絡(luò)OTN數(shù)據(jù)進(jìn)行密鑰切換標(biāo)記得到用于標(biāo)識(shí)密鑰切換的標(biāo)記OTN數(shù)據(jù)；

使用所述第一密鑰對(duì)所述標(biāo)記OTN數(shù)據(jù)之后的OTN數(shù)據(jù)進(jìn)行加密并將加密OTN數(shù)據(jù)發(fā)送至所述解密側(cè)。

在上述方案中，所述通過(guò)握手確定本地與所述解密側(cè)的第一密鑰配置完成包括：

接收所述解密側(cè)發(fā)送的密鑰更新消息，并根據(jù)本地存儲(chǔ)的第一密鑰更新信息對(duì)所述密鑰更新消息進(jìn)行校驗(yàn)；

當(dāng)校驗(yàn)通過(guò)時(shí)，向所述解密側(cè)發(fā)送第一密鑰更新確認(rèn)消息；

在接收到響應(yīng)所述第一密鑰更新確認(rèn)信息的第二密鑰更新確認(rèn)消息時(shí)，確定本地與所述解密側(cè)第一密鑰配置完成。

在上述方案中，所述根據(jù)本地存儲(chǔ)的第一密鑰更新信息對(duì)所述密鑰更新消息進(jìn)行校驗(yàn)包括：

解析所述密鑰更新消息得到所述解密側(cè)的第二密鑰更新信息；

將所述第一密鑰更新信息與所述第二密鑰更新信息進(jìn)行匹配；

確認(rèn)所述第一密鑰更新信息與所述第二密鑰更新信息一致時(shí)，確認(rèn)密鑰更新消息驗(yàn)證通過(guò)。

在上述方案中，所述加密方法還包括：

當(dāng)未在預(yù)設(shè)時(shí)間內(nèi)通過(guò)握手確定本地與所述解密側(cè)的第一密鑰配置完成時(shí)，觸發(fā)密鑰協(xié)商指示消息，與所述解密側(cè)重新協(xié)商密鑰。

在上述方案中，所述對(duì)當(dāng)前發(fā)送的光傳輸網(wǎng)絡(luò)OTN數(shù)據(jù)進(jìn)行切換標(biāo)記得到用于標(biāo)識(shí)密鑰切換的標(biāo)記OTN數(shù)據(jù)包括：

將當(dāng)前發(fā)送的OTN數(shù)據(jù)的第一發(fā)送周期的第一預(yù)設(shè)數(shù)量的連續(xù)幀進(jìn)行密鑰切換標(biāo)記得到用于標(biāo)識(shí)密鑰切換的標(biāo)記OTN數(shù)據(jù)。

在上述方案中，所述使用所述第一密鑰對(duì)所述標(biāo)記OTN數(shù)據(jù)之后的OTN數(shù)據(jù)進(jìn)行加密并將加密OTN數(shù)據(jù)發(fā)送至所述解密側(cè)包括；

當(dāng)?shù)玫剿鰳?biāo)記OTN數(shù)據(jù)后，使用第一密鑰對(duì)所述第一發(fā)送周期之后的OTN數(shù)據(jù)進(jìn)行加密并發(fā)送至所述解密側(cè)。

第二方面，本發(fā)明實(shí)施例提供了一種解密方法，應(yīng)用于解密側(cè)，所述解密方法包括：

獲取與加密側(cè)協(xié)商的第一密鑰；

當(dāng)通過(guò)握手確定本地與所述加密側(cè)的第一密鑰配置完成后，監(jiān)測(cè)是否接收到加密側(cè)發(fā)送的用于標(biāo)識(shí)密鑰切換的標(biāo)記OTN數(shù)據(jù)；

當(dāng)接收到所述標(biāo)記OTN數(shù)據(jù)時(shí)，使用第一密鑰對(duì)所述標(biāo)記OTN數(shù)據(jù)之后的來(lái)自所述加密側(cè)的加密OTN數(shù)據(jù)進(jìn)行解密。

在上述方案中，所述通過(guò)握手確定本地與所述加密側(cè)的第一密鑰配置完成包括：

向所述加密側(cè)發(fā)送密鑰更新消息；

在接收到所述加密側(cè)發(fā)送的用于表示對(duì)所述密鑰更新消息校驗(yàn)通過(guò)的第一密鑰確認(rèn)消息時(shí)，向所述加密側(cè)發(fā)送響應(yīng)所述第一密鑰確認(rèn)消息的第二密鑰確認(rèn)消息，確定本地與所述加密側(cè)的第一密鑰配置完成。

在上述方案中，所述向所述加密側(cè)發(fā)送密鑰更新消息包括：

獲取本地存儲(chǔ)的第二密鑰更新信息；

將所述第二密鑰更新信息攜帶在所述密鑰更新消息中發(fā)送至所述加密側(cè)。

在上述方案中，所述解密方法還包括：

當(dāng)未在預(yù)設(shè)時(shí)間內(nèi)通過(guò)握手確定本地與所述加密側(cè)的第一密鑰配置完成時(shí)，觸發(fā)密鑰協(xié)商指示消息，與所述加密側(cè)重新協(xié)商密鑰。

在上述方案中，所述監(jiān)測(cè)是否接收到加密側(cè)發(fā)送的用于標(biāo)識(shí)密鑰切換的標(biāo)記OTN數(shù)據(jù)包括：

檢測(cè)接收到的OTN數(shù)據(jù)中是否存在一個(gè)發(fā)送周期內(nèi)的第二預(yù)設(shè)數(shù)量的連續(xù)幀進(jìn)行密鑰切換標(biāo)記的OTN數(shù)據(jù)；

當(dāng)存在一個(gè)發(fā)送周期內(nèi)的第二預(yù)設(shè)數(shù)量的連續(xù)幀進(jìn)行密鑰切換標(biāo)記的OTN數(shù)據(jù)時(shí)，確定接收到加密側(cè)發(fā)送的用于標(biāo)識(shí)密鑰切換的標(biāo)記OTN數(shù)據(jù)。

在上述方案中，所述使用第一密鑰對(duì)所述標(biāo)記OTN數(shù)據(jù)之后的來(lái)自所述加密側(cè)的加密OTN數(shù)據(jù)進(jìn)行解密包括：

使用所述第一密鑰對(duì)第二預(yù)設(shè)數(shù)量的連續(xù)幀所在的第一發(fā)送周期之后的來(lái)自所述加密側(cè)的加密OTN數(shù)據(jù)進(jìn)行解密。

第三方面，本發(fā)明實(shí)施例提供了一種加密裝置，所述加密裝置包括：第一主控模塊、第一從控模塊、加密模塊；其中，

所述第一主控模塊，用于獲取與解密側(cè)協(xié)商的第一密鑰；

所述第一從控模塊，用于當(dāng)通過(guò)握手確定本地與所述解密側(cè)的第一密鑰配置完成后，對(duì)當(dāng)前發(fā)送的光傳輸網(wǎng)絡(luò)OTN數(shù)據(jù)進(jìn)行密鑰切換標(biāo)記得到用于標(biāo)識(shí)密鑰切換的標(biāo)記OTN數(shù)據(jù)；

所述加密模塊，用于使用所述第一密鑰對(duì)所述標(biāo)記OTN數(shù)據(jù)之后的OTN數(shù)據(jù)進(jìn)行加密并將加密OTN數(shù)據(jù)發(fā)送至所述解密側(cè)。

在上述方案中，所述第一從控模塊包括第一握手子模塊，

所述第一握手子模塊用于：接收所述解密側(cè)發(fā)送的密鑰更新消息，并根據(jù)本地存儲(chǔ)的第一密鑰更新信息對(duì)所述密鑰更新消息進(jìn)行校驗(yàn)；當(dāng)校驗(yàn)通過(guò)時(shí)，向所述解密側(cè)發(fā)送第一密鑰更新確認(rèn)消息；在接收到響應(yīng)所述第一密鑰更新確認(rèn)信息的第二密鑰更新確認(rèn)消息時(shí)，確定本地與所述解密側(cè)第一密鑰配置完成。

在上述方案中，所述第一握手子模塊，用于根據(jù)本地存儲(chǔ)的第一密鑰更新信息對(duì)所述密鑰更新消息進(jìn)行校驗(yàn)包括：解析所述密鑰更新消息得到所述解密側(cè)的第二密鑰更新信息；將所述第一密鑰更新信息與所述第二密鑰更新信息進(jìn)行匹配；確認(rèn)所述第一密鑰更新信息與所述第二密鑰更新信息一致時(shí)，確認(rèn)密鑰更新消息驗(yàn)證通過(guò)。

在上述方案中，所述第一握手子模塊，還用于：

當(dāng)未在預(yù)設(shè)時(shí)間內(nèi)通過(guò)握手確定本地與所述解密側(cè)的第一密鑰配置完成時(shí)，觸發(fā)密鑰協(xié)商指示消息，與所述解密側(cè)重新協(xié)商密鑰。

在上述方案中，所述第一從控模塊，包括：第一標(biāo)記子模塊；

所述第一標(biāo)記子模塊，用于將當(dāng)前發(fā)送的OTN數(shù)據(jù)的第一發(fā)送周期的第一預(yù)設(shè)數(shù)量的連續(xù)幀進(jìn)行密鑰切換標(biāo)記得到用于標(biāo)識(shí)密鑰切換的標(biāo)記OTN數(shù)據(jù)。

在上述方案中，所述加密模塊具體用于；

當(dāng)?shù)玫剿鰳?biāo)記OTN數(shù)據(jù)后，使用第一密鑰對(duì)所述第一發(fā)送周期之后的OTN數(shù)據(jù)進(jìn)行加密并發(fā)送至所述解密側(cè)。

第四方面，本發(fā)明實(shí)施例提供了一種解密裝置，所述解密裝置包括：第二主控模塊、第二從控模塊及解密模塊，其中，

所述第二主控模塊，用于獲取與加密側(cè)協(xié)商的第一密鑰；

所述第二從控模塊，用于當(dāng)通過(guò)握手確定本地與所述加密側(cè)的第一密鑰配置完成后，監(jiān)測(cè)是否接收到加密側(cè)發(fā)送的用于標(biāo)識(shí)密鑰切換的標(biāo)記OTN數(shù)據(jù)；

所述解密模塊，用于當(dāng)接收到所述標(biāo)記OTN數(shù)據(jù)時(shí)，使用第一密鑰對(duì)所述標(biāo)記OTN數(shù)據(jù)之后的來(lái)自所述加密側(cè)的加密OTN數(shù)據(jù)進(jìn)行解密。

在上述方案中，所述第二從控模塊包括：第二握手子模塊；其中，

所述第二握手子模塊，用于向所述加密側(cè)發(fā)送密鑰更新消息；在接收到所述加密側(cè)發(fā)送的用于表示對(duì)所述密鑰更新消息校驗(yàn)通過(guò)的第一密鑰確認(rèn)消息時(shí)，向所述加密側(cè)發(fā)送響應(yīng)所述第一密鑰確認(rèn)消息的第二密鑰確認(rèn)消息，確定本地與所述加密側(cè)的第一密鑰配置完成。

在上述方案中，所述第二握手子模塊，用于向所述加密側(cè)發(fā)送密鑰更新消息包括：

獲取本地存儲(chǔ)的第二密鑰更新信息；

將所述第二密鑰更新信息攜帶在所述密鑰更新消息中發(fā)送至所述加密側(cè)。

在上述方案中，所述第二握手子模塊還用于：

當(dāng)未在預(yù)設(shè)時(shí)間內(nèi)通過(guò)握手確定本地與所述加密側(cè)的第一密鑰配置完成時(shí)，觸發(fā)密鑰協(xié)商指示消息，與所述加密側(cè)重新協(xié)商密鑰。

在上述方案中，所述第二從控模塊包括，第二標(biāo)記子模塊；其中，

所述第二標(biāo)記子模塊，用于檢測(cè)接收到的OTN數(shù)據(jù)中是否存在一個(gè)發(fā)送周期內(nèi)的第二預(yù)設(shè)數(shù)量的連續(xù)幀進(jìn)行密鑰切換標(biāo)記的OTN數(shù)據(jù)；

當(dāng)存在一個(gè)發(fā)送周期內(nèi)的第二預(yù)設(shè)數(shù)量的連續(xù)幀進(jìn)行密鑰切換標(biāo)記的OTN數(shù)據(jù)時(shí)，確定接收到加密側(cè)發(fā)送的用于標(biāo)識(shí)密鑰切換的標(biāo)記OTN數(shù)據(jù)。

在上述方案中，所述解密模塊具體用于：

使用所述第一密鑰對(duì)第二預(yù)設(shè)數(shù)量的連續(xù)幀所在的第一發(fā)送周期之后的來(lái)自所述加密側(cè)的加密OTN數(shù)據(jù)進(jìn)行解密。

第五方面，本發(fā)明實(shí)施例提供了一種數(shù)據(jù)傳輸系統(tǒng)，所述系統(tǒng)包括加密側(cè)和解密側(cè)，其中，所述加密側(cè)包括如權(quán)利要求13至18任一項(xiàng)所述的加密裝置，所述解密側(cè)包括如權(quán)利要求19至24任一項(xiàng)所述的解密裝置。

本發(fā)明實(shí)施例的一種加解密方法，獲取與解密側(cè)協(xié)商的第一密鑰；當(dāng)通過(guò)握手確定本地與所述解密側(cè)的第一密鑰配置完成后，對(duì)當(dāng)前發(fā)送的光傳輸網(wǎng)絡(luò)OTN數(shù)據(jù)進(jìn)行密鑰切換標(biāo)記得到用于標(biāo)識(shí)密鑰切換的標(biāo)記OTN數(shù)據(jù)；使用所述第一密鑰對(duì)所述標(biāo)記OTN數(shù)據(jù)之后的OTN數(shù)據(jù)進(jìn)行加密并將加密OTN數(shù)據(jù)發(fā)送至所述解密側(cè)，解密側(cè)獲取與加密側(cè)協(xié)商的第一密鑰；當(dāng)通過(guò)握手確定本地與所述加密側(cè)的第一密鑰配置完成后，監(jiān)測(cè)是否接收到加密側(cè)發(fā)送的用于標(biāo)識(shí)密鑰切換的標(biāo)記OTN數(shù)據(jù)；當(dāng)接收到所述標(biāo)記OTN數(shù)據(jù)時(shí)，使用第一密鑰對(duì)所述標(biāo)記OTN數(shù)據(jù)之后的來(lái)自所述加密側(cè)的加密OTN數(shù)據(jù)進(jìn)行解密。采用本發(fā)明實(shí)施例提供的加解密的方法，能夠保證密鑰存在更新過(guò)程中數(shù)據(jù)加密和解密的位置一致，使得解密側(cè)從加密側(cè)接收到的加密數(shù)據(jù)進(jìn)行解密時(shí)不會(huì)出現(xiàn)解密錯(cuò)誤的數(shù)據(jù)，做到密鑰的無(wú)損切換，提高影響OTN系統(tǒng)數(shù)據(jù)傳輸性能。

附圖說(shuō)明

圖1為本發(fā)明實(shí)施例一提供的一種加密方法的流程示意圖；

圖2為本發(fā)明實(shí)施例二提供的一種解密方法的流程示意圖；

圖3為本發(fā)明實(shí)施例三提供的一種加密裝置的結(jié)構(gòu)示意圖；

圖4為本發(fā)明實(shí)施例四提供的一種解密裝置的結(jié)構(gòu)示意圖；

圖5為本發(fā)明實(shí)施例六提供的數(shù)據(jù)傳輸方法的流程示意圖；

圖6為本發(fā)明實(shí)施例七提供的OUT幀結(jié)構(gòu)示意圖；

圖7為本發(fā)明實(shí)施例七提供的加密側(cè)和解密側(cè)的交互流程示意圖。

具體實(shí)施方式

下面結(jié)合附圖對(duì)技術(shù)方案的實(shí)施作進(jìn)一步的詳細(xì)描述。

實(shí)施例一

本發(fā)明實(shí)施例一提供一種加密方法，應(yīng)用于加密側(cè)，如圖1所示，該加密方法包括：

S101：獲取與解密側(cè)協(xié)商的第一密鑰；

當(dāng)OTN網(wǎng)絡(luò)中對(duì)傳輸?shù)腛TN數(shù)據(jù)進(jìn)行加解密的密鑰需要更新時(shí)，比如，到達(dá)密鑰的更新周期時(shí)，加密側(cè)與解密側(cè)進(jìn)行密鑰協(xié)商，使得加密側(cè)和解密側(cè)配置出相同的第一密鑰，加密側(cè)與解密側(cè)的密鑰協(xié)商過(guò)程完成后獲取協(xié)商的第一密鑰。這里，協(xié)商的密鑰為AES等加解密算法，本發(fā)明對(duì)具體的加解密算法不做限制。并且密鑰的協(xié)商過(guò)程為現(xiàn)有技術(shù)，這里不再贅述。

為了便于區(qū)分密鑰更新過(guò)程時(shí)協(xié)商的新的密鑰與當(dāng)前正在的使用的舊的密鑰，將新的密鑰稱為第一密鑰key1，將舊的密鑰稱為第二密鑰key2。密鑰的更新過(guò)程也可以理解為進(jìn)行加解密的密鑰從第二密鑰key2向第一密鑰key1切換的過(guò)程。

S102：當(dāng)通過(guò)握手確定本地與所述解密側(cè)的第一密鑰配置完成后，對(duì)當(dāng)前發(fā)送的光傳輸網(wǎng)絡(luò)OTN數(shù)據(jù)進(jìn)行切換標(biāo)記得到用于標(biāo)識(shí)密鑰切換的標(biāo)記OTN數(shù)據(jù)；

加密側(cè)與解密側(cè)協(xié)商得到第一密鑰后，通過(guò)握手確定本地與解密側(cè)兩端的第一密鑰配置完成，具體的，加密側(cè)接收所述解密側(cè)發(fā)送的密鑰更新消息，并根據(jù)本地存儲(chǔ)的第一密鑰更新信息對(duì)所述密鑰更新消息進(jìn)行校驗(yàn)；當(dāng)校驗(yàn)通過(guò) 時(shí)，向所述解密側(cè)發(fā)送第一密鑰更新確認(rèn)消息；在接收到響應(yīng)所述第一密鑰更新確認(rèn)消息的第二密鑰更新確認(rèn)消息時(shí)，確定本地與所述解密側(cè)第一密鑰配置完成。其中，根據(jù)本地存儲(chǔ)的第一密鑰更新信息對(duì)所述密鑰更新消息進(jìn)行校驗(yàn)包括：解析所述密鑰更新消息得到所述解密側(cè)的第二密鑰更新信息；將所述第一密鑰更新信息與所述第二密鑰更新信息進(jìn)行匹配；確認(rèn)所述第一密鑰更新信息與所述第二密鑰更新信息一致時(shí)，確認(rèn)密鑰更新消息驗(yàn)證通過(guò)。

第一密鑰更新確認(rèn)消息中攜帶第一密鑰確認(rèn)信息，指示加密側(cè)的密鑰確認(rèn)過(guò)程完成。第二密鑰更新確認(rèn)消息中攜帶第二密鑰確認(rèn)信息，指示解密側(cè)的密鑰確認(rèn)過(guò)程完成。

這里，第一密鑰更新信息包括：加密側(cè)的密鑰更新狀態(tài)碼和密鑰切換使能；第二密鑰信息包括加密側(cè)的密鑰更新狀態(tài)碼和密鑰切換使能，其中，以2bit表示4種類型的密鑰更新碼為例對(duì)發(fā)明實(shí)施例中的密鑰更新狀態(tài)碼進(jìn)行說(shuō)明，對(duì)密鑰更新狀態(tài)碼的類型及表示方式不做限制。密鑰更新狀態(tài)碼用于指示密鑰是否存在更新，可包括四種狀態(tài)：

不加密：OTN數(shù)據(jù)不進(jìn)行加密；

更新：當(dāng)前的密鑰存在更新；

未更新：當(dāng)前的密鑰未存在更新：

保留：根據(jù)需求設(shè)置。

該四種狀態(tài)可通過(guò)2bit的碼字表示，比如：00，不加密；01，更新；10，不更新；11，保留。

密鑰切換使能用于指示是否由舊的密鑰切換至新的密鑰，可包括兩種狀態(tài)：切換，由0表示；不切換，由1表示。

當(dāng)加密側(cè)獲取到協(xié)商的第一密鑰key1時(shí)，確定是否接收到解密側(cè)發(fā)送的攜帶解密側(cè)的密鑰更新狀態(tài)碼和密鑰切換使能的密鑰更新消息；將接收到的密鑰確認(rèn)消息攜帶的解密側(cè)的密鑰更新狀態(tài)碼和密鑰切換使能分別和加密側(cè)本地存儲(chǔ)的密鑰更新狀態(tài)碼和密鑰切換使能進(jìn)行匹配，當(dāng)其中密鑰更新狀態(tài)碼或密鑰切換使能任一組不一致時(shí)，則認(rèn)為加密側(cè)與解密側(cè)的握手失敗，重新啟動(dòng)密鑰 協(xié)商過(guò)程重新協(xié)商密鑰。當(dāng)加密側(cè)的密鑰更新狀態(tài)碼和解密側(cè)的密鑰更新狀態(tài)碼一致且加密側(cè)的密鑰切換使能和解密側(cè)的密鑰切換使能都一致時(shí)，加密側(cè)向解密側(cè)發(fā)送第一密鑰更新確認(rèn)消息，指示加密側(cè)的密鑰確認(rèn)過(guò)程完成，當(dāng)加密側(cè)接收到解密側(cè)返回的響應(yīng)第一密鑰更新確認(rèn)消息的第二密鑰更新確認(rèn)消息時(shí)，則確認(rèn)接收到解密側(cè)的密鑰確認(rèn)過(guò)程完成，且標(biāo)識(shí)加密側(cè)與解密側(cè)的握手過(guò)程完成。其中，密鑰更新信息攜帶在OTN幀結(jié)構(gòu)的OTU(Optical Transport Unit，光傳送單元)開銷中進(jìn)行發(fā)送。

需要說(shuō)明的是，加密側(cè)在確定是否接收到解密側(cè)發(fā)送的攜帶解密側(cè)的密鑰更新狀態(tài)碼和密鑰切換使能的密鑰更新消息之前，啟動(dòng)一定時(shí)器，該定時(shí)器的定時(shí)時(shí)間為預(yù)設(shè)時(shí)間，該預(yù)設(shè)時(shí)間可為2-4個(gè)發(fā)送周期。當(dāng)加密側(cè)未在預(yù)設(shè)時(shí)間內(nèi)通過(guò)握手確定本地與所述解密側(cè)的第一密鑰配置完成時(shí)，觸發(fā)密鑰協(xié)商指示消息，與所述解密側(cè)重新協(xié)商密鑰。也就是說(shuō)，當(dāng)在預(yù)設(shè)時(shí)間內(nèi)出現(xiàn)任何加密側(cè)與解密側(cè)的握手異常的情況，則加密側(cè)與解密側(cè)的握手過(guò)程中止，重新協(xié)商密鑰。加密側(cè)的握手異常的情況包括：未接收到解密側(cè)的密鑰更新消息，對(duì)接收到的解密側(cè)的密鑰更新消息的校驗(yàn)失敗，或未接收到解密側(cè)發(fā)送的第二密鑰更新確認(rèn)消息。

這里，OTN加密側(cè)發(fā)送OTN數(shù)據(jù)的是以發(fā)送周期為循環(huán)周期將OTN數(shù)據(jù)以O(shè)TN幀的形式進(jìn)行發(fā)送的。

加密側(cè)確定本地與所述解密側(cè)第一密鑰配置完成后，將當(dāng)前發(fā)送的OTN數(shù)據(jù)的第一發(fā)送周期的第一預(yù)設(shè)數(shù)量的連續(xù)幀進(jìn)行標(biāo)記得到用于標(biāo)識(shí)密鑰切換的標(biāo)記OTN數(shù)據(jù)。比如，以發(fā)送周期為8幀為例，將第一發(fā)送周期的每幀OTN數(shù)據(jù)對(duì)應(yīng)開銷的MFAS[2:0]固定填充0～7，以此標(biāo)記該發(fā)送周期的OTN數(shù)據(jù)為標(biāo)記OTN數(shù)據(jù)，指示進(jìn)行密鑰切換，進(jìn)行加密的密鑰由第二密鑰key2切換至第一密鑰key1。當(dāng)確認(rèn)第一密鑰配置完成后，將當(dāng)前準(zhǔn)備發(fā)送的一個(gè)發(fā)送周期及8幀的數(shù)據(jù)作為第一發(fā)送周期的OTN數(shù)據(jù)，將其每一幀的開銷的MFAS[2:0]的進(jìn)行密鑰切換標(biāo)記得到標(biāo)記OTN數(shù)據(jù)。這里，在標(biāo)記OTN數(shù)據(jù)后仍使用第二密鑰key2對(duì)標(biāo)記OTN數(shù)據(jù)進(jìn)行加密，并在加密后發(fā)送至解密側(cè)。當(dāng)然，密 鑰切換標(biāo)記的形式這里以MFAS[2:0]固定填充0～7為例，本發(fā)明實(shí)施例對(duì)具體的密鑰切換標(biāo)記以生成標(biāo)記OTN數(shù)據(jù)的形式不做限定。

S103：使用所述第一密鑰對(duì)所述標(biāo)記OTN數(shù)據(jù)之后的OTN數(shù)據(jù)進(jìn)行加密并將加密OTN數(shù)據(jù)發(fā)送至所述解密側(cè)。

具體的，當(dāng)?shù)玫剿鰳?biāo)記OTN數(shù)據(jù)后，使用第一密鑰對(duì)所述第一發(fā)送周期之后的OTN數(shù)據(jù)進(jìn)行加密并將加密OTN數(shù)據(jù)發(fā)送至所述解密側(cè)。當(dāng)加密側(cè)對(duì)第一發(fā)送周期的OTN數(shù)據(jù)進(jìn)行標(biāo)記后，進(jìn)行密鑰切換，對(duì)第一發(fā)送周期之后的OTN數(shù)據(jù)開始使用第一密鑰key1進(jìn)行加密生成加密OTN數(shù)據(jù)，并將加密后生成的加密OTN數(shù)據(jù)發(fā)送至解密側(cè)。

需要說(shuō)明的是，對(duì)于標(biāo)記OTN數(shù)據(jù)，仍使用進(jìn)行密鑰切換之前的第二密鑰key2進(jìn)行加密，并將加密后的標(biāo)記OTN數(shù)據(jù)發(fā)送至解密端，以使解密端接收到加密的標(biāo)記OTN數(shù)據(jù)后能夠?qū)?biāo)記OTN數(shù)據(jù)進(jìn)行解密，并識(shí)別出解密后的數(shù)據(jù)為標(biāo)記OTN數(shù)據(jù)時(shí)，確定下一發(fā)送周期的解密數(shù)據(jù)在加密端使用了第一密鑰key1進(jìn)行加密，此時(shí)，解密端進(jìn)行密鑰切換，使用第一密鑰key1對(duì)接收到的標(biāo)記OTN數(shù)據(jù)的之后的加密OTN數(shù)據(jù)進(jìn)行解密，從而實(shí)現(xiàn)加密和解密切換密鑰的位置保持一致。

通過(guò)本發(fā)明實(shí)施例提供的加密方法，加密側(cè)通過(guò)握手和解密側(cè)確認(rèn)本地和解密側(cè)的新的密鑰配置完成后才開始執(zhí)行密鑰的切換過(guò)程，從而保證加密側(cè)和解密側(cè)進(jìn)行密鑰切換的密鑰一致，且通過(guò)用于標(biāo)記密鑰切換的標(biāo)記OTN數(shù)據(jù)指示使用新密鑰的起始位置，從而保證加密側(cè)和解密側(cè)切換密鑰的位置保持一致，實(shí)現(xiàn)無(wú)損切換。

實(shí)施例二

本發(fā)明實(shí)施例二提供一種與實(shí)施例一的加密算法對(duì)應(yīng)的解密算法，如圖2所示，該解密方法包括：

S201：獲取與解密側(cè)協(xié)商的第一密鑰；

這里，當(dāng)OTN網(wǎng)絡(luò)中對(duì)傳輸?shù)腛TN數(shù)據(jù)進(jìn)行加解密的密鑰需要更新時(shí)，比如，到達(dá)密鑰的更新周期時(shí)，解密側(cè)與加密側(cè)進(jìn)行密鑰協(xié)商，得到新的密鑰 即第一密鑰，并獲取新的第一密鑰，以備從原來(lái)的第二密鑰key2切換至第一密鑰key1，使用新的密鑰進(jìn)行解密。其中，當(dāng)解密側(cè)配置key1時(shí)，加密側(cè)同時(shí)相同的配置key1，以保證加密側(cè)與解密側(cè)進(jìn)行加解密的密鑰保持一致，解密側(cè)能夠正確的解密從加密側(cè)接收到的加密數(shù)據(jù)。

S202：當(dāng)通過(guò)握手確定本地與所述加密側(cè)的第一密鑰配置完成后，監(jiān)測(cè)是否接收到加密側(cè)發(fā)送的用于標(biāo)識(shí)密鑰切換的標(biāo)記OTN數(shù)據(jù)；

解密側(cè)與加密側(cè)協(xié)商得到第一密鑰后，通過(guò)握手確定本地與加密側(cè)兩端的第一密鑰配置完成，具體的，向所述加密側(cè)發(fā)送密鑰更新消息；在接收到所述加密側(cè)發(fā)送的用于表示對(duì)所述密鑰更新消息校驗(yàn)通過(guò)的第一密鑰確認(rèn)消息時(shí)，向所述加密側(cè)發(fā)送響應(yīng)所述第一密鑰確認(rèn)消息的第二密鑰確認(rèn)消息，確定本地與所述加密側(cè)的第一密鑰配置完成。其中，所述向所述加密側(cè)發(fā)送密鑰更新消息包括：獲取本地存儲(chǔ)的第二密鑰更新信息；將所述第二密鑰更新信息攜帶在所述密鑰更新消息中發(fā)送至所述加密側(cè)。關(guān)于密鑰更新信息的具體內(nèi)容參見(jiàn)S102，這里不再贅述。

當(dāng)解密側(cè)與加密側(cè)協(xié)商得到第一密鑰，并在本地保存配置后，向加密側(cè)發(fā)送密鑰更新消息，密鑰更新消息攜帶包括密鑰更新狀態(tài)碼字和密鑰切換使能的第二密鑰更新信息，以向加密側(cè)通知解密側(cè)本地的密鑰更新情況；當(dāng)加密側(cè)接收到密鑰更新消息且校驗(yàn)通過(guò)后，向解密側(cè)返回第一密鑰更新確認(rèn)消息，以通知解密側(cè)加密側(cè)的兩端的密鑰更新情況一致，且加密側(cè)以做好密鑰切換的準(zhǔn)備。當(dāng)解密側(cè)接收到加密側(cè)的第一密鑰更新確認(rèn)消息后，作為響應(yīng)向加密側(cè)返回第二密鑰更新確認(rèn)消息，指示解密側(cè)的密鑰切換準(zhǔn)備完成。當(dāng)加密側(cè)成功接收第二密鑰更新確認(rèn)消息后，解密側(cè)與加密側(cè)的握手完成，確認(rèn)解密側(cè)與加密側(cè)的密鑰配置完成。

需要說(shuō)明的是，解密側(cè)在向加密側(cè)發(fā)送的攜帶密鑰更新狀態(tài)碼和密鑰切換使能的密鑰更新消息之前，啟動(dòng)一定時(shí)器，該定時(shí)器的定時(shí)時(shí)間可與加密側(cè)的定時(shí)器的定時(shí)時(shí)間相同，為預(yù)設(shè)時(shí)間，該預(yù)設(shè)時(shí)間可為2-4個(gè)發(fā)送周期。當(dāng)未在預(yù)設(shè)時(shí)間內(nèi)通過(guò)握手確定本地與所述加密側(cè)的第一密鑰配置完成時(shí)，觸發(fā)密 鑰協(xié)商指示消息，與所述加密側(cè)重新協(xié)商密鑰，也就是說(shuō)，當(dāng)在預(yù)設(shè)時(shí)間內(nèi)出現(xiàn)任何解密側(cè)與加密側(cè)的握手異常的情況，則解密側(cè)與加密側(cè)的握手過(guò)程中止，重新協(xié)商密鑰。解密側(cè)的握手異常的情況包括：在發(fā)送密鑰更新消息后，未接收到加密側(cè)的第一密鑰更新確認(rèn)消息。

這里，解密側(cè)接收到加密OTN數(shù)據(jù)是以發(fā)送周期為一個(gè)循環(huán)，以O(shè)TN幀格式接收的。

當(dāng)解密側(cè)確認(rèn)密鑰配置完成后，檢測(cè)接收到的OTN數(shù)據(jù)中是否存在標(biāo)記OTN數(shù)據(jù)，即檢測(cè)是否存在一個(gè)發(fā)送周期內(nèi)的第二預(yù)設(shè)數(shù)量的連續(xù)幀進(jìn)行密鑰切換標(biāo)記的OTN數(shù)據(jù)，繼續(xù)以S102中的例子為例，加密側(cè)的標(biāo)記OTN數(shù)據(jù)為發(fā)送周期為8幀的每幀OTN數(shù)據(jù)對(duì)應(yīng)開銷的MFAS[2:0]固定填充0～7，則這里，解密側(cè)在檢測(cè)到一個(gè)發(fā)送周期的連續(xù)8幀的每幀OTN數(shù)據(jù)對(duì)應(yīng)開銷的MFAS[2:0]固定填充0～4時(shí)，則確定接收到標(biāo)記OTN數(shù)據(jù)。其中，第二預(yù)設(shè)數(shù)量小于或等于第二預(yù)設(shè)數(shù)量。

S203：當(dāng)接收到所述標(biāo)記OTN數(shù)據(jù)時(shí)，使用第一密鑰對(duì)所述標(biāo)記OTN數(shù)據(jù)之后的來(lái)自所述加密側(cè)的加密OTN數(shù)據(jù)進(jìn)行解密。

具體的，當(dāng)檢測(cè)接收到標(biāo)記OTN數(shù)據(jù)時(shí)，表示解密側(cè)接收到的下一個(gè)OTN數(shù)據(jù)為使用第一密鑰key1進(jìn)行加密的數(shù)據(jù)，此時(shí)，使用key1對(duì)標(biāo)記OTN數(shù)據(jù)之后的OTN數(shù)據(jù)進(jìn)行解密。具體的，使用所述第一密鑰對(duì)第二預(yù)設(shè)數(shù)量的連續(xù)幀所在的第一發(fā)送周期之后的來(lái)自所述加密側(cè)的加密OTN數(shù)據(jù)進(jìn)行解密。

通過(guò)本發(fā)明實(shí)施例提供的解密方法，解密側(cè)通過(guò)握手和加密側(cè)確認(rèn)本地和加密側(cè)的新的密鑰配置完成后才開始執(zhí)行密鑰的切換過(guò)程，從而保證解密側(cè)和加密側(cè)進(jìn)行密鑰切換的密鑰一致，且通過(guò)用于標(biāo)記密鑰切換的標(biāo)記OTN數(shù)據(jù)指示使用新密鑰的起始位置，從而保證解密側(cè)和加密側(cè)切換密鑰的位置保持一致，實(shí)現(xiàn)無(wú)損切換。

需要說(shuō)明的是，對(duì)于一個(gè)網(wǎng)絡(luò)終端而言，其既可以作為加密側(cè)，也可以作為解密側(cè)，因此，上述實(shí)施例提供的加密方法和解密方法可同時(shí)在一個(gè)終端設(shè)備上實(shí)現(xiàn)。

實(shí)施例三

為實(shí)現(xiàn)上述實(shí)施例一提供的加密方法，本發(fā)明實(shí)施例提供一種加密裝置，如圖3所示，所述加密裝置包括：第一主控模塊301、第一從控模塊302、加密模塊303；其中，

第一主控模塊301，用于獲取與解密側(cè)協(xié)商的第一密鑰；

第一從控模塊302，用于當(dāng)通過(guò)握手確定本地與所述解密側(cè)的第一密鑰配置完成后，對(duì)當(dāng)前發(fā)送的光傳輸網(wǎng)絡(luò)OTN數(shù)據(jù)進(jìn)行密鑰切換標(biāo)記得到用于標(biāo)識(shí)密鑰切換的標(biāo)記OTN數(shù)據(jù)；

如圖3所示，第一從控模塊302包括第一握手子模塊3021，

第一握手子模塊3021用于：接收所述解密側(cè)發(fā)送的密鑰更新消息，并根據(jù)本地存儲(chǔ)的第一密鑰更新信息對(duì)所述密鑰更新消息進(jìn)行校驗(yàn)；當(dāng)校驗(yàn)通過(guò)時(shí)，向所述解密側(cè)發(fā)送第一密鑰更新確認(rèn)消息；在接收到響應(yīng)所述第一密鑰更新確認(rèn)信息的第二密鑰更新確認(rèn)消息時(shí)，確定本地與所述解密側(cè)第一密鑰配置完成。

其中，根據(jù)本地存儲(chǔ)的第一密鑰更新信息對(duì)所述密鑰更新消息進(jìn)行校驗(yàn)包括：解析所述密鑰更新消息得到所述解密側(cè)的第二密鑰更新信息；將所述第一密鑰更新信息與所述第二密鑰更新信息進(jìn)行匹配；確認(rèn)所述第一密鑰更新信息與所述第二密鑰更新信息一致時(shí)，確認(rèn)密鑰更新消息驗(yàn)證通過(guò)。

第一握手子模塊3021，還用于：當(dāng)未在預(yù)設(shè)時(shí)間內(nèi)通過(guò)握手確定本地與所述解密側(cè)的第一密鑰配置完成時(shí)，觸發(fā)密鑰協(xié)商指示消息，與所述解密側(cè)重新協(xié)商密鑰。

如圖3所示，第一從控模塊3021還包括：第一標(biāo)記子模塊3022；

第一標(biāo)記子模塊3022，用于將當(dāng)前發(fā)送的OTN數(shù)據(jù)的第一發(fā)送周期的第一預(yù)設(shè)數(shù)量的連續(xù)幀進(jìn)行密鑰切換標(biāo)記得到用于標(biāo)識(shí)密鑰切換的標(biāo)記OTN數(shù)據(jù)。

加密模塊303，用于使用所述第一密鑰對(duì)所述標(biāo)記OTN數(shù)據(jù)之后的OTN數(shù)據(jù)進(jìn)行加密并將加密OTN數(shù)據(jù)發(fā)送至所述解密側(cè)。加密模塊303具體用于：當(dāng)?shù)玫剿鰳?biāo)記OTN數(shù)據(jù)后，使用第一密鑰對(duì)所述第一發(fā)送周期之后的OTN 數(shù)據(jù)進(jìn)行加密并發(fā)送至所述解密側(cè)。

實(shí)施例四

為實(shí)現(xiàn)上述實(shí)施例二提供的解密方法，本發(fā)明實(shí)施例提供一種解密裝置，如圖4所示，所述解密裝置包括：第二主控模塊401、第二從控模塊402、解密模塊403；其中，

第二主控模塊401，用于獲取與加密側(cè)協(xié)商的第一密鑰；

第二從控模塊402，用于當(dāng)通過(guò)握手確定本地與所述加密側(cè)的第一密鑰配置完成后，監(jiān)測(cè)是否接收到加密側(cè)發(fā)送的用于標(biāo)識(shí)密鑰切換的標(biāo)記OTN數(shù)據(jù)；

如圖4所示，第二從控模塊402包括：第二握手子模塊4021；其中，

第二握手子模塊4021，用于向所述加密側(cè)發(fā)送密鑰更新消息；在接收到所述加密側(cè)發(fā)送的用于表示對(duì)所述密鑰更新消息校驗(yàn)通過(guò)的第一密鑰確認(rèn)消息時(shí)，向所述加密側(cè)發(fā)送響應(yīng)所述第一密鑰確認(rèn)消息的第二密鑰確認(rèn)消息，確定本地與所述加密側(cè)的第一密鑰配置完成。

第二握手子模塊4021，用于向所述加密側(cè)發(fā)送密鑰更新消息包括：獲取本地存儲(chǔ)的第二密鑰更新信息；將所述第二密鑰更新信息攜帶在所述密鑰更新消息中發(fā)送至所述加密側(cè)。

第二握手子模塊4021還用于：當(dāng)未在預(yù)設(shè)時(shí)間內(nèi)通過(guò)握手確定本地與所述加密側(cè)的第一密鑰配置完成時(shí)，觸發(fā)密鑰協(xié)商指示消息，與所述加密側(cè)重新協(xié)商密鑰。

如圖4所示，第二從控模塊402包括，第二標(biāo)記子模塊4022；其中，

第二標(biāo)記子模塊4022，用于檢測(cè)接收到的OTN數(shù)據(jù)中是否存在一個(gè)發(fā)送周期內(nèi)的第二預(yù)設(shè)數(shù)量的連續(xù)幀進(jìn)行密鑰切換標(biāo)記的OTN數(shù)據(jù)；當(dāng)存在一個(gè)發(fā)送周期內(nèi)的第二預(yù)設(shè)數(shù)量的連續(xù)幀進(jìn)行密鑰切換標(biāo)記的OTN數(shù)據(jù)時(shí)，確定接收到加密側(cè)發(fā)送的用于標(biāo)識(shí)密鑰切換的標(biāo)記OTN數(shù)據(jù)。

解密模塊403，用于當(dāng)接收到所述標(biāo)記OTN數(shù)據(jù)時(shí)，使用第一密鑰對(duì)所述標(biāo)記OTN數(shù)據(jù)之后的來(lái)自所述加密側(cè)的加密OTN數(shù)據(jù)進(jìn)行解密。解密模塊403具體用于：使用所述第一密鑰對(duì)第二預(yù)設(shè)數(shù)量的連續(xù)幀所在的第一發(fā)送周期之 后的來(lái)自所述加密側(cè)的加密OTN數(shù)據(jù)進(jìn)行解密。

在實(shí)際應(yīng)用中，對(duì)于一個(gè)終端設(shè)備而言，第一主控模塊301和第二主控模塊401可為同一個(gè)主控模塊，第一從控模塊302和第二從控模塊402可為同一個(gè)模塊從控模塊，當(dāng)一個(gè)終端設(shè)備同時(shí)包括主控模塊、從控模塊、加密模塊、解密模塊時(shí)，可同時(shí)實(shí)現(xiàn)本發(fā)明實(shí)施例提供的加密方法和解密方法。

實(shí)施例五

本發(fā)明實(shí)施例還一種數(shù)據(jù)傳輸系統(tǒng)，所述系統(tǒng)包括加密側(cè)和解密側(cè)，其中，所述加密側(cè)包括實(shí)施例三的加密裝置，所述解密側(cè)包括實(shí)施例四的解密裝置。

加密側(cè)與解密側(cè)分別獲取經(jīng)過(guò)協(xié)商的第一密鑰；當(dāng)加密側(cè)和解密側(cè)通過(guò)握手確定加密側(cè)與解密側(cè)的第一密鑰配置完成后，加密側(cè)對(duì)當(dāng)前發(fā)送的光傳輸網(wǎng)絡(luò)OTN數(shù)據(jù)進(jìn)行密鑰切換標(biāo)記得到用于標(biāo)識(shí)密鑰切換的標(biāo)記OTN數(shù)據(jù)，使用所述第一密鑰對(duì)所述標(biāo)記OTN數(shù)據(jù)之后的OTN數(shù)據(jù)進(jìn)行加密并將加密OTN數(shù)據(jù)發(fā)送至所述解密側(cè)；監(jiān)測(cè)是否接收到加密側(cè)發(fā)送的用于標(biāo)識(shí)密鑰切換的標(biāo)記OTN數(shù)據(jù)，當(dāng)接收到所述標(biāo)記OTN數(shù)據(jù)時(shí)，使用第一密鑰對(duì)所述標(biāo)記OTN數(shù)據(jù)之后的來(lái)自所述加密側(cè)的加密OTN數(shù)據(jù)進(jìn)行解密。

實(shí)施例六

本發(fā)明實(shí)施例以采用的加密算法為AES算法為例，描述一種OTN業(yè)務(wù)進(jìn)行AES加解密的方法，如圖5所示，具體包括以下步驟：

S501，加密側(cè)與解密側(cè)進(jìn)行密鑰協(xié)商；

加密側(cè)判斷初始密碼的更新周期到后，加密側(cè)與解密側(cè)進(jìn)行DH密鑰協(xié)商，加密側(cè)產(chǎn)生一個(gè)私鑰a，加密側(cè)產(chǎn)生參數(shù)g，p根據(jù)公式產(chǎn)生A＝g^a mod p，解密側(cè)產(chǎn)生一個(gè)私鑰b；加密側(cè)從控器通過(guò)開銷總線將g，p和A將這三個(gè)參數(shù)放置到OTU開銷中，傳送給解密側(cè)。解密側(cè)從OTU開銷中得到g，p和A后，根據(jù)公式B＝g^b mod p，得到參數(shù)B，將參數(shù)B通過(guò)開銷總線傳給加密側(cè)，這樣加密側(cè)根據(jù)公式計(jì)算出密鑰K＝B^a mod P計(jì)算出密鑰K，解密側(cè)根據(jù)公式K＝A^b mod p，這樣兩側(cè)完成了DH密鑰協(xié)商，得到相同的密鑰K。這里，上述密鑰協(xié)商的過(guò)程可由加密側(cè)的主控模塊和解密側(cè)的主控模塊。

這里，當(dāng)加密側(cè)從控模塊在一定的時(shí)間內(nèi)得不到解密側(cè)的參數(shù)B時(shí)，加密側(cè)重啟DH密鑰協(xié)商。如果解密側(cè)從控模塊在一定的時(shí)間內(nèi)得不到加密側(cè)傳送過(guò)去的參數(shù)g，p和A時(shí)，解密側(cè)重啟DH密鑰協(xié)商。

S502，加密側(cè)與解密側(cè)通過(guò)握手進(jìn)行密鑰確認(rèn)；

加密側(cè)主控模塊將DH密鑰協(xié)商得到的密鑰K配置給加密模塊，從控模塊進(jìn)行密鑰配置完成確認(rèn)；解密側(cè)主控模塊將DH密鑰協(xié)商得到的密鑰K配置給解密模塊，從控模塊進(jìn)行密鑰配置完成確認(rèn)。如果加密側(cè)在預(yù)設(shè)時(shí)間內(nèi)沒(méi)有收到解密側(cè)的密鑰配置完成信號(hào)，也就是密第二密鑰更新確認(rèn)信息，加密側(cè)重啟DH密鑰協(xié)商；如果解密側(cè)在預(yù)設(shè)時(shí)間內(nèi)沒(méi)有收到加密側(cè)的密鑰配置完成信號(hào)，也就是密第一密鑰更新確認(rèn)信息，解密側(cè)重啟DH密鑰協(xié)商；

S503，加密側(cè)與解密側(cè)進(jìn)行密鑰切換；

密鑰配置完成確認(rèn)后，加密側(cè)的加密模塊和解密側(cè)的解密模塊根據(jù)OTU幀中開銷位置的幀號(hào)來(lái)卻確定開始加密和解密的開始位置。

本發(fā)明實(shí)施例提供的加解密方法中，先進(jìn)行密鑰協(xié)商，使得加密側(cè)和解密側(cè)使用相同的初始密鑰；然后進(jìn)行密鑰確認(rèn)確定加密側(cè)和解密側(cè)開始加密和解密的對(duì)應(yīng)OTU幀的位置是相同的；最后進(jìn)行密鑰切換，在密鑰切換前的OTU幀還是使用舊的密鑰，這樣就能保證了在密鑰切換過(guò)程中不會(huì)出現(xiàn)數(shù)據(jù)的加解密錯(cuò)誤，達(dá)到了密鑰無(wú)損更新的效果。

實(shí)施例七

在本發(fā)明實(shí)施例中，分別通過(guò)對(duì)加密側(cè)的密鑰確認(rèn)、密鑰切換和解密側(cè)的密鑰確認(rèn)、密鑰切換的進(jìn)一步描述詳細(xì)說(shuō)明加密側(cè)和解密側(cè)通過(guò)握手進(jìn)行密鑰確認(rèn)和密鑰切換的方法。

加密側(cè)對(duì)加密模塊配置本地密鑰更新狀態(tài)碼和本地密鑰切換使能，啟動(dòng)加密側(cè)密鑰配置確認(rèn)流程。解密側(cè)對(duì)解密模塊配置解密側(cè)更新狀態(tài)碼和解密側(cè)密鑰切換使能，通過(guò)開銷總線將這兩個(gè)參數(shù)放置到OTU開銷中傳送給加密側(cè)，啟動(dòng)解密側(cè)密鑰配置確認(rèn)流程。其中密鑰更新狀態(tài)碼和密鑰切換使能占用的OTU開銷的位置，如圖6中中豎線的陰影部分所示，密鑰更新狀態(tài)碼、密鑰切換使 能、以及密鑰確認(rèn)信息和密鑰切換過(guò)程中的密鑰更新碼字等信息都可以通過(guò)這些區(qū)域來(lái)傳送。而圖6中還包括OPUk凈荷，本發(fā)明實(shí)施例可只對(duì)OPUk凈荷進(jìn)行加密，對(duì)開銷部分不加密。

加密側(cè)的密鑰確認(rèn)：

如圖7所示，加密側(cè)啟動(dòng)計(jì)時(shí)器，監(jiān)測(cè)是否收到解密側(cè)發(fā)送的密鑰更新狀態(tài)碼和解密側(cè)密鑰切換使能，如果在規(guī)定的預(yù)設(shè)時(shí)間內(nèi)收到解密側(cè)的密鑰更新狀態(tài)碼和密鑰切換使能信息，檢查密鑰更新狀態(tài)碼是否與本地的密鑰更新狀態(tài)碼是否一致，并且檢查密鑰切換使能是否與本地的密鑰切換使能是否一致。如果兩者都一致則認(rèn)為解密側(cè)的密鑰配置完成，加密側(cè)通過(guò)開銷通道向解密側(cè)發(fā)送攜帶第一密鑰確認(rèn)信息的第一密鑰更新確認(rèn)消息，指示加密側(cè)密鑰配置完成。如果預(yù)設(shè)時(shí)間內(nèi)沒(méi)有收到密鑰狀態(tài)碼和解密側(cè)密鑰切換使能，或檢查解密側(cè)密鑰更新狀態(tài)碼與本地密鑰更新狀態(tài)碼不一致，或檢查解密側(cè)密鑰切換使能與本地密鑰切換使能不一致則重啟密鑰協(xié)商流程。

在規(guī)定時(shí)間內(nèi)加密側(cè)從控模塊收到解密側(cè)返回的第二密鑰更新配置消息，表示確定解密側(cè)密鑰配置完成，加密側(cè)確認(rèn)配置完畢上報(bào)中斷，退出密鑰確認(rèn)流程。

解密側(cè)密鑰確認(rèn)

如圖7所示，解密側(cè)啟動(dòng)計(jì)時(shí)器，并持續(xù)通過(guò)開銷通道向加密側(cè)發(fā)送解密側(cè)密鑰更新狀態(tài)碼和解密側(cè)密鑰切換使能。如果解密側(cè)收到加密側(cè)通過(guò)開銷送過(guò)來(lái)的加密側(cè)的指示加密側(cè)密鑰完成的第一密鑰更新確認(rèn)信號(hào)，則停止計(jì)時(shí)，向加密側(cè)返回表示解密側(cè)密鑰配置完成的第二密鑰更新確認(rèn)信號(hào)，解密端確認(rèn)完畢；如果預(yù)設(shè)時(shí)間內(nèi)沒(méi)有收到加密側(cè)發(fā)送的第一密鑰更新確認(rèn)信號(hào)，則重啟密鑰協(xié)商流程。

當(dāng)密鑰確認(rèn)完成之后，加密側(cè)和解密側(cè)通過(guò)握手確認(rèn)密鑰配置已經(jīng)完成，此時(shí)就要進(jìn)入加密和解密操作了，而確定相同的加密和解密的位置是本發(fā)明實(shí)施例的關(guān)鍵。本發(fā)明實(shí)施例中通過(guò)向每幀OTN數(shù)據(jù)對(duì)應(yīng)開銷的預(yù)設(shè)位置比如MFAS[2:0]固定填充0～7，來(lái)確定開始使用新密鑰的OTN數(shù)據(jù)幀號(hào)，這樣可以 保證加密和解密的位置是相同的，從而達(dá)到無(wú)損切換的效果。

加密側(cè)密鑰切換操作

如圖7所示，加密側(cè)的加密模塊在檢測(cè)到從控模塊的密鑰確認(rèn)完成以后，在MFAS[2：0]＝0開始位置連續(xù)發(fā)送8幀密鑰更新碼字以進(jìn)行密鑰切換標(biāo)記，如圖7的第一發(fā)送周期的8幀數(shù)據(jù)是都插入碼字的8幀數(shù)據(jù)，每個(gè)碼字占用1個(gè)字節(jié)，放置到OTU開銷中,加密側(cè)的加密模塊在下一發(fā)送周期的OTN數(shù)據(jù)幀MFAS[2:0]＝0時(shí)開始啟用新的密鑰進(jìn)行加密，即從圖7的第一發(fā)送周期的下一發(fā)送周期的OTU幀開始使用新的密鑰進(jìn)行加密。

解密側(cè)密鑰切換操作

如圖7所示，解密側(cè)的解密模塊在從控模塊密鑰確認(rèn)完成之后，在MFAS[2：0]＝0開始監(jiān)測(cè)對(duì)應(yīng)的OTU幀開銷中是否存在的密鑰更新使能碼字，如果連續(xù)檢測(cè)到大于等于5幀的密鑰更新使能碼字，則確定發(fā)送周期為進(jìn)行密鑰切換標(biāo)記的標(biāo)記OTN數(shù)據(jù)，在下一發(fā)送周期的OTN數(shù)據(jù)幀MFAS[2:0]＝0時(shí)啟用新的密鑰進(jìn)行解密。

本發(fā)明實(shí)施例所述集成的模塊如果以軟件功能模塊的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí)，也可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中?；谶@樣的理解，本發(fā)明實(shí)施例的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)，該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中，包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)、服務(wù)器、或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的全部或部分。而前述的存儲(chǔ)介質(zhì)包括：U盤、移動(dòng)硬盤、只讀存儲(chǔ)器(ROM，Read-Only Memory)、隨機(jī)存取存儲(chǔ)器(RAM，Random Access Memory)、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。這樣，本發(fā)明實(shí)施例不限制于任何特定的硬件和軟件結(jié)合。

以上所述，僅為本發(fā)明的較佳實(shí)施例而已，并非用于限定本發(fā)明的保護(hù)范圍。