光传送网的身份验证方法、装置及系统与流程

文档序号:12162001阅读:416来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
光传送网的身份验证方法、装置及系统与流程

本发明涉及通信技术领域,尤其涉及一种光传送网的身份验证方法、装置及系统。



背景技术:

随着安全事件的逐步发酵,各大商业企业机构出于对核心业务安全性考虑,对业务的保密通讯需求明显上升。在加密传输系统中提供一套安全可靠的身份验证机制,是OTN(Optical Transport Network,光传送网)加密的保障,由于OTN的电监控系统中身份验证的实现没有相关的国际标准,因此对于不同OTN设备厂商来说,针对身份验证有不同的实现方案。

目前,在端与端的OTN加密传输系统中,身份验证的实现是通过用户名和密码的方式进行验证的。该方案存在以下问题:第一,用户名和密码很容易被其他人窃取,安全强度不够。第二,传统的身份验证机制中若需要增加安全性,则需要增加配套的基础设置,如公钥基础设施,将会增加实施成本,且可靠性低。



技术实现要素:

本发明的主要目的在于提供一种光传送网的身份验证方法、装置及系统,旨在提高身份验证的安全性及可靠性。

为实现上述目的,本发明提供了一种光传送网的身份验证方法,包括:

在启动身份验证时,获取随机数构造身份验证请求消息,并将所述身份验证请求消息发送至从端;

接收所述从端反馈的身份认证应答消息;

解析所述身份认证应答消息获取第一从端身份信息,并根据所述第一从端身份信息与所保存的第二从端身份信息判断身份验证是否成功。

优选地,所述获取随机数构造身份验证请求消息包括:

获取本地时戳信息;

根据所述本地时戳信息利用哈希算法及随机数算法生成随机数,并根据所述随机数构造身份验证请求消息。

优选地,所述在启动身份验证时,获取随机数构造身份验证请求消息,并将所述身份验证请求消息发送至从端之后包括:

在第一预设时间内未收到从端针对所述身份验证请求消息反馈的身份认证应答消息时,向从端重发身份验证请求消息,并在身份验证请求失败次数达到预设次数后,经过第二预设时间或存在光输入后重发身份验证请求消息。

优选地,在执行所有步骤之前还包括:

两对称业务单板根据自协商算法或者接收网管协议配置指令确定主端和从端,所述主端和所述从端分别接收网管下发的身份验证链路配置信息,所述身份验证链路配置信息包括主端的口令信息、从端的口令信息、主端的端口信息、及从端的端口信息。

优选地,所述解析所述身份认证应答消息获取第一从端身份信息,并根据所述第一从端身份信息与所保存的第二从端身份信息判断身份验证是否成功之前包括:

根据从端的口令信息、从端的端口信息及所述随机数生成第二从端身份信息进行保存。

优选地,所述主端和所述从端之间通过预设开销字节接收或发送消息。

此外,为实现上述目的,本发明还提供了一种光传送网的身份验证装置,所述光传送网的身份验证装置包括:

获取模块,用于在启动身份验证时,获取随机数构造身份验证请求消息,并将所述身份验证请求消息发送至从端;

接收模块,用于接收所述从端反馈的身份认证应答消息;

验证模块,用于解析所述身份认证应答消息获取第一从端身份信息,并根据所述第一从端身份信息与所保存的第二从端身份信息判断身份验证是否成功。

优选地,所述获取模块包括:

获取单元,用于获取本地时戳信息;

生成单元,用于根据所述本地时戳信息利用哈希算法及随机数算法生成 随机数,并根据所述随机数构造身份验证请求消息。

优选地,所述光传送网的身份验证装置还包括:

处理模块,用于在第一预设时间内未收到从端针对所述身份验证请求消息反馈的身份认证应答消息时,向从端重发身份验证请求消息,并在身份验证请求失败次数达到预设次数后,经过第二预设时间或存在光输入后重发身份验证请求消息。

优选地,所述光传送网的身份验证装置还包括:

确定模块,用于两对称业务单板根据自协商算法或者接收网管协议配置指令确定主端和从端,所述主端和所述从端分别接收网管下发的身份验证链路配置信息,所述身份验证链路配置信息包括主端的口令信息、从端的口令信息、主端的端口信息、及从端的端口信息。

优选地,所述光传送网的身份验证装置还包括:

保存模块,用于根据从端的口令信息、从端的端口信息及所述随机数生成第二从端身份信息进行保存。

优选地,所述主端和所述从端之间通过预设开销字节接收或发送消息。

此外,为实现上述目的,本发明还提供了一种光传送网的身份验证系统,所述光传送网的身份验证系统包括主端和从端,其中,

主端,用于在启动身份验证时,获取随机数构造身份验证请求消息,并将所述身份验证请求消息发送至从端;

从端,用于接收到所述身份验证请求消息,并构造身份认证应答消息发送至主端;

主端,用于解析所述身份认证应答消息获取第一从端身份信息,并根据所述第一从端身份信息与所保存的第二从端身份信息判断身份验证是否成功。

优选地,所述主端还用于,获取本地时戳信息;

根据所述本地时戳信息利用哈希算法及随机数算法生成随机数,并根据所述随机数构造身份验证请求消息。

优选地,所述主端还用于,在第一预设时间内未收到从端针对所述身份验证请求消息反馈的身份认证应答消息时,向从端重发身份验证请求消息, 并在身份验证请求失败次数达到预设次数后,经过第二预设时间或存在光输入后重发身份验证请求消息。

优选地,所述光传送网的身份验证系统还包括:

两对称业务单板根据自协商算法或者接收网管协议配置指令确定主端和从端;

所述主端还用于,接收网管下发的身份验证链路配置信息,所述身份验证链路配置信息包括主端的口令信息、从端的口令信息、主端的端口信息、及从端的端口信息;

所述从端还用于,接收网管下发的身份验证链路配置信息,所述身份验证链路配置信息包括主端的口令信息、从端的口令信息、主端的端口信息、及从端的端口信息。

优选地,所述主端还用于,根据从端的口令信息、从端的端口信息及所述随机数生成第二从端身份信息进行保存。

优选地,所述主端和所述从端之间通过预设开销字节接收或发送消息。

本发明实施例在对两对称业务单板确定主端和从端后,主端启动身份验证时,获取随机数构造身份验证请求消息后发送给从端。从端接收身份验证请求消息后,构造身份认证应答消息发送给主端。主端接收身份认证应答消息后,解析身份认证应答消息获取第一从端身份信息,并将第一从端身份信息与所保存的第二从端身份信息进行比较,判断身份验证是否成功。实现了根据光传送网中设置的主端和从端进行相互发送或接收消息,对由随机数生成的身份信息进行验证,提高了光传送网中身份验证的安全性及可靠性。

附图说明

图1为本发明光传送网的身份验证方法第一实施例的流程示意图;

图2为本发明光传送网的身份验证方法第二实施例的流程示意图;

图3为本发明光传送网的身份验证方法第三实施例的流程示意图;

图4为本发明光传送网的身份验证方法第四实施例的流程示意图;

图5为本发明光传送网的身份验证装置第一实施例的功能模块示意图;

图6为本发明光传送网的身份验证装置第二实施例的功能模块示意图;

图7为本发明光传送网的身份验证装置第三实施例的功能模块示意图;

图8为本发明光传送网的身份验证装置第四实施例的功能模块示意图;

图9为本发明光传送网的身份验证系统一实施例的功能模块示意图。

本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。

具体实施方式

应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。

如图1所示,示出了本发明一种光传送网的身份验证方法第一实施例。该实施例的光传送网的身份验证方法包括:

步骤S10、在启动身份验证时,获取随机数构造身份验证请求消息,并将所述身份验证请求消息发送至从端;

身份验证方法是在OTN加密传输系统当中的一个模块,本实施例中,当主端启动身份信息验证时,主端状态机进入验证请求状态,主端状态机主要用于对主端的时序进行控制。主端通过哈希算法及随机数算法产生随机数构造身份验证请求消息,具体地,

获取本地时戳信息;

根据所述本地时戳信息利用哈希算法及随机数算法生成随机数,并根据所述随机数构造身份验证请求消息。

本实施例中,主端读取由主端业务单板相应的芯片产生的本地时戳信息,并将该本地时戳信息导入由哈希算法及随机数算法组成的函数生成随机数,以根据该随机数构造身份信息。该哈希算法可根据具体情况而灵活设置,优选地,可将得到10个字节的本地时戳信息利用哈希256生成32个字节的二进制数,再将32个字节的二进制数通过随机数算法生成32个字节的二进制随机数。需要说明的是,该本地时戳信息是递增的,以保证每次取到的时戳信息是不一样的。采用哈希算法和随机数算法计算得到随机数并构造身份信息,具有较高的安全性。

本实施例中,主端和从端之间通过预设开销字节接收或发送消息,该预 设开销字节可根据实际需要进行动态配置,即根据配置不同的接口地址可实现对预设开销字节的动态配置。开销字节的动态配置,使得窃密者很难追踪实际传输用的开销字节,进一步增加了身份验证的安全性。具体地,主端通过第一预设开销字节向从端发送身份验证请求消息,主端状态机进入发送状态,并启动主端内置的计数器开始计时,以检测获取到从端针对该身份验证请求消息反馈身份认证应答消息的时间。主端默认使用调度ODUk开销字节4行13列发送信息,即第一预设开销字节可设置为4行13列。需要说明的是,该第一预设开销字节可根据实际需要进行动态配置。

步骤S20、接收所述从端反馈的身份认证应答消息;

由于从端接收消息是被动的,因此,从端需要检测才能获知是否有消息发送过来,以能及时接收消息。主端完成身份验证请求消息发送之后,从端在预定义的周期内轮询检测主端发送过来的消息,该预定义的周期可设置为1秒,也可根据实际需要进行设置。当状态标识信号有效时,即信号trip=1为高电平时,表明主端有消息发送过来,从端通过第二预设开销字节接收身份验证请求消息。反之,当状态标识信号无效时,即信号trip=0为低电平时,表明主端没有消息发送过来。从端默认使用调度ODUk开销字节4行13列接收信息,即第二预设开销字节可设置为4行13列。需要说明的是,该第二预设开销字节可根据实际需要进行动态配置。

进一步地,从端对接收到的身份验证请求消息根据校验机制进行验证,具体地,从端提取身份验证请求消息中的第一个字节确定其类型,及通过提取第二个字节获取长度,然后将该长度与从端的主控芯片返回的长度进行比较,若一致,则说明身份验证请求消息有效;若不一致,则无效,从端反馈给主端失败状态信息,以使主端在接收到从端反馈的失败状态信息后,重发身份验证请求消息至从端。

从端在验证身份验证请求消息有效后,获取身份验证请求消息的内容,通过解析身份验证请求消息得到随机数,该随机数即为上述主端根据该随机数构造得到的身份验证请求消息。然后从端根据从端的口令信息、从端的端口信息及解析得到的随机数通过哈希算法生成第一从端身份信息,该第一从端身份信息为二进制数。

从端根据第一从端身份信息构造身份认证应答消息,并将所述身份认证 应答消息发送至主端,主端接收身份认证应答消息。具体地,从端生成第一从端身份信息后,通过第一从端身份信息构造出身份认证应答消息,例如,可将4个字节的消息头与32个字节的第一从端身份信息进行组合得到身份认证应答消息,该4个字节的消息头的第一个字节可表示其消息类型为身份认证应答消息。然后从端将身份认证应答消息通过第三预设开销字节发送给主端,此时从端默认使用调度ODUk开销字节4行14列发送信息,即第三预设开销字节可设置为4行14列。需要说明的是第三预设开销字节可进行动态配置。从端发送身份认证应答消息后,将从端状态机修改为发送状态。

步骤S30、解析所述身份认证应答消息获取第一从端身份信息,并根据所述第一从端身份信息与所保存的第二从端身份信息判断身份验证是否成功。

主端在预设周期内轮询检测从端发送过来的消息,该预设周期可设置为1秒,也可根据实际需要进行设置。当状态标识信号有效时,即信号trip=1为高电平时,表明从端有消息反馈过来,主端通过第四预设开销字节接收身份认证应答消息。反之,当状态标识信号无效时,即信号trip=0为低电平时,表明从端没有反馈消息过来。主端默认使用调度ODUk开销字节4行14列接收信息,即第四预设开销字节可设置为4行14列。需要说明的是,该第四预设开销字节可根据实际需要进行动态配置。若在上述主端内置的计数器超过预设计时时间后,主端还未接收到身份认证应答消息,则主端重发身份验证请求消息给从端。

进一步地,主端对接收到的身份认证应答消息根据校验机制进行验证,具体地,主端提取身份认证应答消息中的第一个字节确定其类型,及通过提取第二个字节获取长度,然后将该长度与主端的主控芯片返回的长度进行比较,若一致,则说明身份验证请求消息有效,主端状态机进入应答状态;若不一致,则无效。

主端在验证身份认证应答消息有效后,获取身份认证应答消息的内容,通过解析身份认证应答消息提取第一从端身份信息,该第一从端身份信息即为上述从端根据根据从端的口令信息、从端的端口信息及随机数生成的第一从端身份信息。然后主端将解析得到的第一从端身份信息与保存在本地的第二从端身份信息进行比较,即判断本地所保存的第二从端身份信息与解析身份认证应答消息所得到的第一从端身份信息的二进制数是否一致。若不一致, 主端状态机继续维持验证请求状态,身份验证不成功,则主端重新开始新一轮的身份验证流程。若一致,主端状态机进入验证成功状态,身份验证成功,即身份验证流程完成,然后主端状态机进入到OTN加密传输系统中秘钥传递模块、无损切换模块等其他模块。同时,主端和从端实时检测OTN加密传输系统的告警状态:若检测到加密路径从失效到正常,则重启启动身份验证流程,使得在链路恢复正常后重新进行身份验证,提高身份验证的可靠性。若检测到加密路径由正常到失效,则说明链路已断开,需要重新启动身份验证流程。

本发明实施例在对两对称业务单板确定主端和从端后,主端主动启动身份验证,获取随机数构造身份验证请求消息后发送给从端。从端接收身份验证请求消息并验证有效后,解析身份验证请求消息获取随机数,并根据从端的口令信息、从端的端口信息及随机数生成第一从端身份信息。然后从端根据从端身份信息构造身份认证应答消息后发送给主端。主端接收身份认证应答消息并验证有效后,解析身份认证应答消息获取第一从端身份信息,将本地所保存的第二从端身份信息与解析得到的第一从端身份信息进行比较,判断身份验证是否成功。实现了根据光传送网中设置的主端和从端通过动态可配置的开销字节相互发送或接收消息,对通过哈希算法及随机数算法生成的随机数构造出身份信息进行验证,从而大大增加了身份了验证的安全性及可靠性。

进一步地,如图2所示,基于上述第一实施例,提出了本发明光传送网的身份验证方法的第二实施例,该实施例中上述步骤S10之后可包括:

步骤S40、在第一预设时间内未收到从端针对所述身份验证请求消息反馈的身份认证应答消息时,向从端重发身份验证请求消息,并在身份验证请求失败次数达到预设次数后,经过第二预设时间或存在光输入后重发身份验证请求消息。

在上述主端向从端发送身份验证请求消息时,主端内置的计数器开始计数,主端根据计数器的计时时间判断接收到从端针对身份验证请求消息反馈的身份认证应答消息是否超过第一预设时间,若在第一预设时间内采集不到身份认证应答消息时,表示本次的身份验证请求失败,并将计数器当前的计 数值清零,同时将当前失败次数累加,继续发送身份验证请求消息。该第一预设时间可根据具体情况而灵活设置。可以理解的是,由于重发的身份验证请求消息,是根据重新获取本地时戳信息通过哈希算法及随机算法重新计算得到随机数,并由新的随机数重新构造新的身份验证请求消息,因此,每次发送的身份验证请求消息中所包含的随机数是不一样的。

为了防止在主端与从端之间的链路断开后,主端一直重复发送的身份验证请求消息,从而增加设备负担,主端可在身份验证请求失败的累加次数达到预设次数后,停止发送的身份验证请求消息,并将失败次数清零。该预设次数可设置为5次,也可根据实际需要进行设置。经过第二预设时间后,主端再向从端发送身份验证请求消息,或者是在业务恢复后,即存在光输入后,主端向从端重发身份验证请求消息。该第二预设时间可根据具体情况而灵活设置。

进一步地,如图3所示,基于上述第一实施例,提出了本发明光传送网的身份验证方法的第三实施例,该实施例中在执行上述所有步骤之前可包括:

步骤S50、两对称业务单板根据自协商算法或者接收网管协议配置指令确定主端和从端,所述主端和所述从端分别接收网管下发的身份验证链路配置信息,所述身份验证链路配置信息包括主端的口令信息、从端的口令信息、主端的端口信息、及从端的端口信息。

本实施例中,在进行身份验证之前需要对形成链路的两对称业务单板确定主端和从端。在OTN网络中在同一个网管下对称的两对称业务单板中,将其中的一块业务单板设置为主端,另一块业务单板设置为从端。然后由主端主动向从端发起身份验证请求,验证身份信息的合法性。本实施例是在已有的硬件基础上扩展开发,无需专门架设中央控制器,从而大大节省了成本。另外,设置主端和从端对身份信息进行验证,相对于对称性的传统身份验证机制中通过中央控制器分别对每一个节点进行身份信息的验证,提高了身份验证的安全性。

具体地,主端和从端的确认方式可包括:方式一,两对称业务单板通过自协商算法确定主端和从端,即在两对称业务单板互相发送及接收消息的过程中,利用自协商算法根据IP、槽位号、端口号等参数计算两对称业务单板 的大小,将大的指定为主端,小的指定为从端。方式二,通过网管协议配置确定主端和从端,即由网管下发协议报文,该协议报文包含了两对称业务单板中哪个作为主端及哪个作为从端的信息,从而根据协议报文指定主端和从端。

完成主端和从端的配置后,网管向主端和从端下发身份验证链路配置信息,以使主端和从端都接收身份验证链路配置信息并进行存储。身份验证链路信息主要用于生成主端或者从端的身份信息,身份信息是后续身份验证是否成功的关键。身份验证链路配置信息可包含:主端的口令信息、从端的口令信息、主端的端口信息、从端的端口信息、主端的秘钥材料更新周期及更新模式等。其中,端口信息可以是网元IP、槽位号等。口令信息、端口信息都可以是数字或字符等,在通过哈希算法生成随机数时将会转换为二进制数。完成链路配置之后,主端状态机和从端状态机都初始化为初始值状态。可以理解的是,为了在主端与从端两者之间切换角色时能够完成对应的功能,因此主端和从端同时接收包含了这两端信息的身份验证链路配置信息。完成身份验证链路配置之后,主端可向从端发送身份验证请求消息。

进一步地,如图4所示,基于上述第三实施例,提出了本发明光传送网的身份验证方法的第四实施例,该实施例中上述步骤S30之前可包括:

步骤S60、根据从端的口令信息、从端的端口信息及所述随机数生成第二从端身份信息进行保存。

为了有效判断身份验证是否成功,即主端能够将解析从端发送过来的身份认证应答消息得到的第一从端身份信息与本身生成的第二从端身份信息进行比较,本实施例中,主端将上述获取的随机数、从端的口令信息及从端的端口信息根据哈希算法生成第二从端身份信息,并将生成的第二从端身份信息保存在本地,以在身份验证的过程中,主端将保存的第二从端身份信息与从端反馈的第一从端身份信息进行验证。需要说明的是,该哈希算法与上述从端生成第一从端身份信息所利用的哈希算法一致。口令信息及端口信息可根据具体情况而灵活设置。主端根据上述得到的32个字节的二进制的随机数构造身份验证请求消息,例如,可将4个字节的消息头与32个字节的随机数进行组合得到身份验证请求消息,该4个字节的消息头的第一个字节可表示 其消息类型为身份验证请求消息。

对应地,如图5所示,提出本发明一种光传送网的身份验证装置第一实施例。该实施例的光传送网的身份验证装置包括:

获取模块100,用于在启动身份验证时,获取随机数构造身份验证请求消息,并将所述身份验证请求消息发送至从端;

身份验证方法是在OTN加密传输系统当中的一个模块,本实施例中,当主端由获取模块100启动身份信息验证时,主端状态机进入验证请求状态,主端状态机主要用于对主端的时序进行控制。主端调用获取模块100通过哈希算法及随机数算法产生随机数构造身份验证请求消息,具体地,所述获取模块100可包括:

获取单元,用于获取本地时戳信息;

生成单元,用于根据所述本地时戳信息利用哈希算法及随机数算法生成随机数,并根据所述随机数构造身份验证请求消息。

本实施例中,主端调用获取单元读取由主端业务单板相应的芯片产生的本地时戳信息,并由生成单元将该本地时戳信息导入由哈希算法及随机数算法组成的函数生成随机数,以根据该随机数构造身份信息。该哈希算法可根据具体情况而灵活设置,优选地,可将得到10个字节的本地时戳信息利用哈希256生成32个字节的二进制数,再将32个字节的二进制数通过随机数算法生成32个字节的二进制随机数。需要说明的是,该本地时戳信息是递增的,以保证每次取到的时戳信息是不一样的。采用哈希算法和随机数算法计算得到随机数并构造身份信息,具有较高的安全性。

本实施例中,主端和从端之间通过预设开销字节接收或发送消息,该预设开销字节可根据实际需要进行动态配置,即根据配置不同的接口地址可实现对预设开销字节的动态配置。开销字节的动态配置,使得窃密者很难追踪实际传输用的开销字节,进一步增加了身份验证的安全性。具体地,主端通过第一预设开销字节向从端发送身份验证请求消息,主端状态机进入发送状态,并启动主端内置的计数器开始计时,以检测获取到从端针对该身份验证请求消息反馈身份认证应答消息的时间。主端默认使用调度ODUk开销字节4行13列发送信息,即第一预设开销字节可设置为4行13列。需要说明的是, 该第一预设开销字节可根据实际需要进行动态配置。

接收模块200,用于接收所述从端反馈的身份认证应答消息;

由于从端接收消息是被动的,因此,从端需要检测才能获知是否有消息发送过来,以能及时接收消息。主端完成身份验证请求消息发送之后,从端在预定义的周期内轮询检测主端发送过来的消息,该预定义的周期可设置为1秒,也可根据实际需要进行设置。当状态标识信号有效时,即信号trip=1为高电平时,表明主端有消息发送过来,从端通过第二预设开销字节接收身份验证请求消息。反之,当状态标识信号无效时,即信号trip=0为低电平时,表明主端没有消息发送过来。从端默认使用调度ODUk开销字节4行13列接收信息,即第二预设开销字节可设置为4行13列。需要说明的是,该第二预设开销字节可根据实际需要进行动态配置。

进一步地,从端对接收到的身份验证请求消息根据校验机制进行验证,具体地,从端提取身份验证请求消息中的第一个字节确定其类型,及通过提取第二个字节获取长度,然后将该长度与从端的主控芯片返回的长度进行比较,若一致,则说明身份验证请求消息有效;若不一致,则无效,从端反馈给主端失败状态信息,以使主端在接收到从端反馈的失败状态信息后,重发身份验证请求消息至从端。

从端在验证身份验证请求消息有效后,获取身份验证请求消息的内容,通过解析身份验证请求消息得到随机数,该随机数即为上述主端根据该随机数构造得到的身份验证请求消息。然后从端根据从端的口令信息、从端的端口信息及解析得到的随机数通过哈希算法生成第一从端身份信息,该第一从端身份信息为二进制数。

从端根据第一从端身份信息构造身份认证应答消息,并将身份认证应答消息发送至主端,主端调用接收模块200接收身份认证应答消息。具体地,从端生成第一从端身份信息后,通过第一从端身份信息构造出身份认证应答消息,例如,可将4个字节的消息头与32个字节的第一从端身份信息进行组合得到身份认证应答消息,该4个字节的消息头的第一个字节可表示其消息类型为身份认证应答消息。然后从端将身份认证应答消息通过第三预设开销字节发送给主端,此时从端默认使用调度ODUk开销字节4行14列发送信息,即第三预设开销字节可设置为4行14列。需要说明的是第三预设开销字节可 进行动态配置。从端发送身份认证应答消息后,将从端状态机修改为发送状态。

验证模块300,用于解析所述身份认证应答消息获取第一从端身份信息,并根据所述第一从端身份信息与所保存的第二从端身份信息判断身份验证是否成功。

主端在预设周期内轮询检测从端发送过来的消息,该预设周期可设置为1秒,也可根据实际需要进行设置。当状态标识信号有效时,即信号trip=1为高电平时,表明从端有消息反馈过来,主端通过第四预设开销字节接收身份认证应答消息。反之,当状态标识信号无效时,即信号trip=0为低电平时,表明从端没有反馈消息过来。主端默认使用调度ODUk开销字节4行14列接收信息,即第四预设开销字节可设置为4行14列。需要说明的是,该第四预设开销字节可根据实际需要进行动态配置。若在上述主端内置的计数器超过预设计时时间后,主端还未接收到身份认证应答消息,则主端重发身份验证请求消息给从端。

进一步地,主端调用验证模块300对接收到的身份认证应答消息根据校验机制进行验证,具体地,主端提取身份认证应答消息中的第一个字节确定其类型,及通过提取第二个字节获取长度,然后将该长度与主端的主控芯片返回的长度进行比较,若一致,则说明身份验证请求消息有效,主端状态机进入应答状态;若不一致,则无效。

主端在验证身份认证应答消息有效后,获取身份认证应答消息的内容,通过解析身份认证应答消息提取第一从端身份信息,该第一从端身份信息即为上述从端根据根据从端的口令信息、从端的端口信息及随机数生成的第一从端身份信息。然后主端将解析得到的第一从端身份信息与保存在本地的第二从端身份信息进行比较,即判断本地所保存的第二从端身份信息与解析身份认证应答消息所得到的第一从端身份信息的二进制数是否一致。若不一致,主端状态机继续维持验证请求状态,身份验证不成功,则主端重新开始新一轮的身份验证流程。若一致,主端状态机进入验证成功状态,身份验证成功,即身份验证流程完成,然后主端状态机进入到OTN加密传输系统中秘钥传递模块、无损切换模块等其他模块。同时,主端和从端实时检测OTN加密传输系统的告警状态:若检测到加密路径从失效到正常,则重启启动身份验证流 程,使得在链路恢复正常后重新进行身份验证,提高身份验证的可靠性。若检测到加密路径由正常到失效,则说明链路已断开,需要重新启动身份验证流程。

本发明实施例在对两对称业务单板确定主端和从端后,主端主动启动身份验证,获取随机数构造身份验证请求消息后发送给从端。从端接收身份验证请求消息并验证有效后,解析身份验证请求消息获取随机数,并根据从端的口令信息、从端的端口信息及随机数生成第一从端身份信息。然后从端根据从端身份信息构造身份认证应答消息后发送给主端。主端接收身份认证应答消息并验证有效后,解析身份认证应答消息获取第一从端身份信息,将本地所保存的第二从端身份信息与解析得到的第一从端身份信息进行比较,判断身份验证是否成功。实现了根据光传送网中设置的主端和从端通过动态可配置的开销字节相互发送或接收消息,对通过哈希算法及随机数算法生成的随机数构造出身份信息进行验证,从而大大增加了身份了验证的安全性及可靠性。

进一步地,如图6所示,基于上述第一实施例,提出了本发明光传送网的身份验证装置的第二实施例,该实施例中上述光传送网的身份验证装置还包括:

处理模块400,用于在第一预设时间内未收到从端针对所述身份验证请求消息反馈的身份认证应答消息时,向从端重发身份验证请求消息,并在身份验证请求失败次数达到预设次数后,经过第二预设时间或存在光输入后重发身份验证请求消息。

在上述主端向从端发送身份验证请求消息时,主端内置的计数器开始计数,主端调用处理模块400根据计数器的计时时间判断接收到从端针对身份验证请求消息反馈的身份认证应答消息是否超过第一预设时间,若在第一预设时间内采集不到身份认证应答消息时,表示本次的身份验证请求失败,并将计数器当前的计数值清零,同时将当前失败次数累加,继续发送身份验证请求消息。该第一预设时间可根据具体情况而灵活设置。可以理解的是,由于重发的身份验证请求消息,是根据重新获取本地时戳信息通过哈希算法及随机算法重新计算得到随机数,并由新的随机数重新构造新的身份验证请求 消息,因此,每次发送的身份验证请求消息中所包含的随机数是不一样的。

为了防止在主端与从端之间的链路断开后,主端一直重复发送的身份验证请求消息,从而增加设备负担,主端可调用处理模块400在身份验证请求失败的累加次数达到预设次数后,停止发送的身份验证请求消息,并将失败次数清零。该预设次数可设置为5次,也可根据实际需要进行设置。经过第二预设时间后,主端再向从端发送身份验证请求消息,或者是在业务恢复后,即存在光输入后,主端向从端重发身份验证请求消息。该第二预设时间可根据具体情况而灵活设置。

进一步地,如图7所示,基于上述第一实施例,提出了本发明光传送网的身份验证装置的第三实施例,该实施例中上述光传送网的身份验证装置还包括:

确定模块500,用于两对称业务单板根据自协商算法或者接收网管协议配置指令确定主端和从端,所述主端和所述从端分别接收网管下发的身份验证链路配置信息,所述身份验证链路配置信息包括主端的口令信息、从端的口令信息、主端的端口信息、及从端的端口信息。

本实施例中,在进行身份验证之前确定模块500需要对形成链路的两对称业务单板确定主端和从端。在OTN网络中在同一个网管下对称的两对称业务单板中,将其中的一块业务单板设置为主端,另一块业务单板设置为从端。然后由主端主动向从端发起身份验证请求,验证身份信息的合法性。本实施例是在已有的硬件基础上扩展开发,无需专门架设中央控制器,从而大大节省了成本。另外,设置主端和从端对身份信息进行验证,相对于对称性的传统身份验证机制中通过中央控制器分别对每一个节点进行身份信息的验证,提高了身份验证的安全性。

具体地,主端和从端的确认方式可包括:方式一,两对称业务单板通过自协商算法确定主端和从端,即在两对称业务单板互相发送及接收消息的过程中,利用自协商算法根据IP、槽位号、端口号等参数计算两对称业务单板的大小,将大的指定为主端,小的指定为从端。方式二,通过网管协议配置确定主端和从端,即由网管下发协议报文,该协议报文包含了两对称业务单板中哪个作为主端及哪个作为从端的信息,从而根据协议报文指定主端和从 端。

完成主端和从端的配置后,网管向主端和从端下发身份验证链路配置信息,以使主端和从端都接收身份验证链路配置信息并进行存储。身份验证链路信息主要用于生成主端或者从端的身份信息,身份信息是后续身份验证是否成功的关键。身份验证链路配置信息可包含:主端的口令信息、从端的口令信息、主端的端口信息、从端的端口信息、主端的秘钥材料更新周期及更新模式等。其中,端口信息可以是网元IP、槽位号等。口令信息、端口信息都可以是数字或字符等,在通过哈希算法生成随机数时将会转换为二进制数。完成链路配置之后,主端状态机和从端状态机都初始化为初始值状态。可以理解的是,为了在主端与从端两者之间切换角色时能够完成对应的功能,因此主端和从端同时接收包含了这两端信息的身份验证链路配置信息。完成身份验证链路配置之后,主端可向从端发送身份验证请求消息。

进一步地,如图8所示,基于上述第三实施例,提出了本发明光传送网的身份验证装置的第四实施例,该实施例中上述光传送网的身份验证装置还包括:

保存模块600,用于根据从端的口令信息、从端的端口信息及所述随机数生成第二从端身份信息进行保存。

为了有效判断身份验证是否成功,即主端能够将解析从端发送过来的身份认证应答消息得到的第一从端身份信息与本身生成的第二从端身份信息进行比较,本实施例中,主端调用保存模块600将上述获取的随机数、从端的口令信息及从端的端口信息根据哈希算法生成第二从端身份信息,并将生成的第二从端身份信息保存在本地,以在身份验证的过程中,主端将保存的第二从端身份信息与从端反馈的第一从端身份信息进行验证。需要说明的是,该哈希算法与上述从端生成第一从端身份信息所利用的哈希算法一致。口令信息及端口信息可根据具体情况而灵活设置。主端根据上述得到的32个字节的二进制的随机数构造身份验证请求消息,例如,可将4个字节的消息头与32个字节的随机数进行组合得到身份验证请求消息,该4个字节的消息头的第一个字节可表示其消息类型为身份验证请求消息。

对应地,如图9所示,提出本发明一种光传送网的身份验证系统一实施例。所述光传送网的身份验证系统包括主端10和从端20,其中,

主端10,用于在启动身份验证时,获取随机数构造身份验证请求消息,并将所述身份验证请求消息发送至从端;

身份验证方法是在OTN加密传输系统当中的一个模块,本实施例中,当主端10启动身份信息验证时,主端状态机进入验证请求状态,主端状态机主要用于对主端10的时序进行控制。主端10通过哈希算法及随机数算法产生随机数构造身份验证请求消息,具体地,主端10还用于,

获取本地时戳信息;

根据所述本地时戳信息利用哈希算法及随机数算法生成随机数,并根据所述随机数构造身份验证请求消息。

本实施例中,主端10读取由主端10业务单板相应的芯片产生的本地时戳信息,并将该本地时戳信息导入由哈希算法及随机数算法组成的函数生成随机数,以根据该随机数构造身份信息。该哈希算法可根据具体情况而灵活设置,优选地,可将得到10个字节的本地时戳信息利用哈希256生成32个字节的二进制数,再将32个字节的二进制数通过随机数算法生成32个字节的二进制随机数。需要说明的是,该本地时戳信息是递增的,以保证每次取到的时戳信息是不一样的。采用哈希算法和随机数算法计算得到随机数并构造身份信息,具有较高的安全性。

本实施例中,主端10和从端20之间通过预设开销字节接收或发送消息,该预设开销字节可根据实际需要进行动态配置,即根据配置不同的接口地址可实现对预设开销字节的动态配置。开销字节的动态配置,使得窃密者很难追踪实际传输用的开销字节,进一步增加了身份验证的安全性。具体地,主端10通过第一预设开销字节向从端发送身份验证请求消息,主端状态机进入发送状态,并启动主端10内置的计数器开始计时,以检测获取到从端针对该身份验证请求消息反馈身份认证应答消息的时间。主端10默认使用调度ODUk开销字节4行13列发送信息,即第一预设开销字节可设置为4行13列。需要说明的是,该第一预设开销字节可根据实际需要进行动态配置。

从端20,用于接收到所述身份验证请求消息,并构造身份认证应答消息发送至主端;

由于从端20接收消息是被动的,因此,从端20需要检测才能获知是否有消息发送过来,以能及时接收消息。主端10完成身份验证请求消息发送之后,从端20在预定义的周期内轮询检测主端10发送过来的消息,该预定义的周期可设置为1秒,也可根据实际需要进行设置。当状态标识信号有效时,即信号trip=1为高电平时,表明主端10有消息发送过来,从端20通过第二预设开销字节接收身份验证请求消息。反之,当状态标识信号无效时,即信号trip=0为低电平时,表明主端10没有消息发送过来。从端20默认使用调度ODUk开销字节4行13列接收信息,即第二预设开销字节可设置为4行13列。需要说明的是,该第二预设开销字节可根据实际需要进行动态配置。

进一步地,从端20对接收到的身份验证请求消息根据校验机制进行验证,具体地,从端20提取身份验证请求消息中的第一个字节确定其类型,及通过提取第二个字节获取长度,然后将该长度与从端20的主控芯片返回的长度进行比较,若一致,则说明身份验证请求消息有效;若不一致,则无效,从端20反馈给主端10失败状态信息,以使主端10在接收到从端20反馈的失败状态信息后,重发身份验证请求消息至从端20。

从端20在验证身份验证请求消息有效后,获取身份验证请求消息的内容,通过解析身份验证请求消息得到随机数,该随机数即为上述主端10根据该随机数构造得到的身份验证请求消息。然后从端20根据从端20的口令信息、从端20的端口信息及解析得到的随机数通过哈希算法生成第一从端身份信息,该第一从端身份信息为二进制数。

从端20根据第一从端身份信息构造身份认证应答消息,并将所述身份认证应答消息发送至主端10,主端10接收身份认证应答消息。具体地,从端20生成第一从端身份信息后,通过第一从端身份信息构造出身份认证应答消息,例如,可将4个字节的消息头与32个字节的第一从端身份信息进行组合得到身份认证应答消息,该4个字节的消息头的第一个字节可表示其消息类型为身份认证应答消息。然后从端20将身份认证应答消息通过第三预设开销字节发送给主端10,此时从端默认使用调度ODUk开销字节4行14列发送信息,即第三预设开销字节可设置为4行14列。需要说明的是第三预设开销字节可进行动态配置。从端20发送身份认证应答消息后,将从端状态机修改为发送状态。

主端10,用于解析所述身份认证应答消息获取第一从端身份信息,并根据所述第一从端身份信息与所保存的第二从端身份信息判断身份验证是否成功。

主端10在预设周期内轮询检测从端发送过来的消息,该预设周期可设置为1秒,也可根据实际需要进行设置。当状态标识信号有效时,即信号trip=1为高电平时,表明从端20有消息反馈过来,主端10通过第四预设开销字节接收身份认证应答消息。反之,当状态标识信号无效时,即信号trip=0为低电平时,表明从端20没有反馈消息过来。主端10默认使用调度ODUk开销字节4行14列接收信息,即第四预设开销字节可设置为4行14列。需要说明的是,该第四预设开销字节可根据实际需要进行动态配置。若在上述主端10内置的计数器超过预设计时时间后,主端10还未接收到身份认证应答消息,则主端10重发身份验证请求消息给从端20。

进一步地,主端10对接收到的身份认证应答消息根据校验机制进行验证,具体地,主端10提取身份认证应答消息中的第一个字节确定其类型,及通过提取第二个字节获取长度,然后将该长度与主端10的主控芯片返回的长度进行比较,若一致,则说明身份验证请求消息有效,主端状态机进入应答状态;若不一致,则无效。

主端10在验证身份认证应答消息有效后,获取身份认证应答消息的内容,通过解析身份认证应答消息提取第一从端身份信息,该第一从端身份信息即为上述从端根据根据从端20的口令信息、从端20的端口信息及随机数生成的第一从端身份信息。然后主端10将解析得到的第一从端身份信息与保存在本地的第二从端身份信息进行比较,即判断本地所保存的第二从端身份信息与解析身份认证应答消息所得到的第一从端身份信息的二进制数是否一致。若不一致,主端状态机继续维持验证请求状态,身份验证不成功,则主端10重新开始新一轮的身份验证流程。若一致,主端状态机进入验证成功状态,身份验证成功,即身份验证流程完成,然后主端状态机进入到OTN加密传输系统中秘钥传递模块、无损切换模块等其他模块。同时,主端10和从端20实时检测OTN加密传输系统的告警状态:若检测到加密路径从失效到正常,则重新启动身份验证流程,使得在链路恢复正常后重新进行身份验证,提高身份验证的可靠性。若检测到加密路径由正常到失效,则说明链路已断开, 需要重启启动身份验证流程。

本发明实施例在对两对称业务单板确定主端10和从端20后,主端10主动启动身份验证,获取随机数构造身份验证请求消息后发送给从端20。从端20接收身份验证请求消息并验证有效后,解析身份验证请求消息获取随机数,并根据从端20的口令信息、从端20的端口信息及随机数生成第一从端身份信息。然后从端20根据从端身份信息构造身份认证应答消息后发送给主端10。主端10接收身份认证应答消息并验证有效后,解析身份认证应答消息获取第一从端身份信息,将本地所保存的第二从端身份信息与解析得到的第一从端身份信息进行比较,判断身份验证是否成功。实现了根据光传送网中设置的主端10和从端20通过动态可配置的开销字节相互发送或接收消息,对通过哈希算法及随机数算法生成的随机数构造出身份信息进行验证,从而大大增加了身份了验证的安全性及可靠性。

进一步地,基于上述实施例,本实施例中,上述主端10还用于,在第一预设时间内未收到从端20针对所述身份验证请求消息反馈的身份认证应答消息时,向从端20重发身份验证请求消息,并在身份验证请求失败次数达到预设次数后,经过第二预设时间或存在光输入后重发身份验证请求消息。

在上述主端10向从端20发送身份验证请求消息时,主端10内置的计数器开始计数,主端10根据计数器的计时时间判断接收到从端20针对身份验证请求消息反馈的身份认证应答消息是否超过第一预设时间,若在第一预设时间内采集不到身份认证应答消息时,表示本次的身份验证请求失败,并将计数器当前的计数值清零,同时将当前失败次数累加,继续发送身份验证请求消息。该第一预设时间可根据具体情况而灵活设置。可以理解的是,由于重发的身份验证请求消息,是根据重新获取本地时戳信息通过哈希算法及随机算法重新计算得到随机数,并由新的随机数重新构造新的身份验证请求消息,因此,每次发送的身份验证请求消息中所包含的随机数是不一样的。

为了防止在主端10与从端20之间的链路断开后,主端10一直重复发送的身份验证请求消息,从而增加设备负担,主端10可在身份验证请求失败的累加次数达到预设次数后,停止发送的身份验证请求消息,并将失败次数清零。该预设次数可设置为5次,也可根据实际需要进行设置。经过第二预设 时间后,主端10再向从端20发送身份验证请求消息,或者是在业务恢复后,即存在光输入后,主端10向从端20重发身份验证请求消息。该第二预设时间可根据具体情况而灵活设置。

进一步地,基于上述实施例,本实施例中,所述光传送网的身份验证系统还包括:两对称业务单板根据自协商算法或者接收网管协议配置指令确定主端10和从端20;所述主端10还用于,接收网管下发的身份验证链路配置信息,所述身份验证链路配置信息包括主端10的口令信息、从端20的口令信息、主端10的端口信息、及从端20的端口信息;

所述从端20还用于,接收网管下发的身份验证链路配置信息,所述身份验证链路配置信息包括主端10的口令信息、从端20的口令信息、主端10的端口信息、及从端20的端口信息。

本实施例中,在进行身份验证之前需要对形成链路的两对称业务单板确定主端10和从端20。在OTN网络中在同一个网管下对称的两对称业务单板中,将其中的一块业务单板设置为主端10,另一块业务单板设置为从端20。然后由主端10主动向从端20发起身份验证请求,验证身份信息的合法性。本实施例是在已有的硬件基础上扩展开发,无需专门架设中央控制器,从而大大节省了成本。另外,设置主端10和从端20对身份信息进行验证,相对于对称性的传统身份验证机制中通过中央控制器分别对每一个节点进行身份信息的验证,提高了身份验证的安全性。

具体地,主端10和从端20的确认方式可包括:方式一,两对称业务单板通过自协商算法确定主端10和从端20,即在两对称业务单板互相发送及接收消息的过程中,利用自协商算法根据IP、槽位号、端口号等参数计算两对称业务单板的大小,将大的指定为主端10,小的指定为从端20。方式二,通过网管协议配置确定主端10和从端20,即由网管下发协议报文,该协议报文包含了两对称业务单板中哪个作为主端10及哪个作为从端20的信息,从而根据协议报文指定主端10和从端20。

完成主端10和从端20的配置后,网管向主端10和从端20下发身份验证链路配置信息,以使主端10和从端20都接收身份验证链路配置信息并进行存储。身份验证链路信息主要用于生成主端10或者从端20的身份信息, 身份信息是后续身份验证是否成功的关键。身份验证链路配置信息可包含:主端10的口令信息、从端20的口令信息、主端10的端口信息、从端20的端口信息、主端10的秘钥材料更新周期及更新模式等。其中,端口信息可以是网元IP、槽位号等。口令信息、端口信息都可以是数字或字符等,在通过哈希算法生成随机数时将会转换为二进制数。完成链路配置之后,主端状态机和从端状态机都初始化为初始值状态。可以理解的是,为了在主端10与从端20两者之间切换角色时能够完成对应的功能,因此主端10和从端20同时接收包含了这两端信息的身份验证链路配置信息。完成身份验证链路配置之后,主端10可向从端20发送身份验证请求消息。

进一步地,基于上述实施例,本实施例中,上述主端10还用于,根据从端20的口令信息、从端20的端口信息及所述随机数生成第二从端身份信息进行保存。

为了有效判断身份验证是否成功,即主端10能够将解析从端20发送过来的身份认证应答消息得到的第一从端身份信息与本身生成的第二从端身份信息进行比较,本实施例中,主端10将上述获取的随机数、从端20的口令信息及从端20的端口信息根据哈希算法生成第一从端身份信息,并将生成的第一从端身份信息保存在本地,以在身份验证的过程中,主端10将保存的第一从端身份信息与从端反馈的第二从端身份信息进行验证。口令信息及端口信息可根据具体情况而灵活设置。主端10根据上述得到的32个字节的二进制的随机数构造身份验证请求消息,例如,可将4个字节的消息头与32个字节的随机数进行组合得到身份验证请求消息,该4个字节的消息头的第一个字节可表示其消息类型为身份验证请求消息。

以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

完整全部详细技术资料下载
当前第1页1 2 3 
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:郑靖;王春光;杜凯;
  • 技术所有人:中兴通讯股份有限公司;
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
身份验证系统相关技术
对接公安系统身份验证相关技术
指静脉身份验证系统相关技术
通用指纹身份验证系统相关技术
身份验证系统测试报告相关技术
单位身份验证系统相关技术
传送装置相关技术
传输装置相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2