80个1.25G的时隙225,用户数据被映射到这些时隙中。为便于说明,图3A和3B中仅示出了 80个有限数目的时隙225。
[0032]在图2的130,OPU净负荷205的时隙225被分组为多个块,其中每个具有N个时隙,其中N为大于或等于I的数。图3A和3B示出了将OPU净负荷205分组为3个时隙块230(1) ,230(2)、和 230(3)。
[0033]一般地,加密/认证引擎60(1)-60(N)可以操作的最小元素为一个时隙(1.25Gbit/s) ο这样一来,使用1.25Gbps的粒度,该机制能够按比例放大到NXl.25Gbps,其中N由用于执行这些技术的可用硅技术确定。取决于处理芯片的能力,加密可用于时隙的聚合。
[0034]在135,选择3个时隙块230(1)-230(3)的子集以进行加密和认证。这一选择过程可以为在发送器20上预配设的功能,并且可以基于多个不同因素。例如,OPU净负荷205可以包括不同类型的数据(例如、网页,电子邮件、银行信息等)或与不同顾客相关联的数据。然而,仅某些类型的数据或仅来自某些顾客的数据应当被加密和认证。例如,加密与第一顾客相关联的网页信息可能是不必要的,但是与第二顾客相关联的电子邮件数据和与第三顾客相关联的银行信息应当被加密和认证。这样一来,在某些示例中,发送器20被配置为识别数据的源(顾客)中的一个或者时隙块中数据的类型,并判定时隙块是否应当被加密和认证。在一个示例中,流量可以被标记有净负荷类型或者发送器20能够用来判定时隙块是否应当被加密的其他描述符。
[0035]在一个具体示例中,OTN帧中的复用结构标识符(MSI)被用于指示时隙块的组成(即,MSI标识了哪一时隙传送哪些流量)。可以检查(一个或多个)MSI标识符以确定哪些时隙块应当被加密。另外,网络管理系统(NMS)或GCC通道的显式配设能够被用于向远端(接收器)指示被加密的时隙和哪些时隙未被加密。
[0036]在140,时隙块230 (I)和230 (3)被不同的加密/认证引擎60 (I)和60 (2)分别并行地加密和认证,而时隙块230 (2)未被加密和/认证。加密/认证引擎60 (I)和60 (2)可以利用相同或不同的加密和认证处理以分别加密/认证时隙块230 (I)和230(3)。另外,加密/认证引擎60(1)和60(2)可以利用任何现在已知或以后开发的加密/认证算法或方法以分别加密时隙块230 (I)和230 (3)。例如,加密技术可以被实现为通过将帧安排为支持为分组流量而开发的因特网协议安全(IPsec)类型的安全措施来执行在0DU4时隙上的加密。IPsec定义了用于加密的封装安全净负荷(ESP)头部和用于认证的ESP尾部完整性校验值(ICV) ο相应地,内部帧间隙(空闲orderecLsets)被移除来为额外的字段(标签)腾出空间以支持加密和认证。在0DU4的情况下,填充字节(32字节)被填充有ESP头部和ESP尾部字节,这将在下文进一步描述。ESP头部的十六个字节通过前两行的填充字节被传送,同时ICV的十六个字节通过余下的填充字节(第3和4行)被传送。通过这种方式,所有模仿IPSec的开销被置于单一的0TU4帧内部。
[0037]在图2的示例中,加密/认证引擎60(1)和60(2)在并行加密操作过程中利用相同的加密密钥和相同的“随机数(nonce) ”(仅使用一次的任意数)。如图3A和3B中所示,在加密过程之后,0TU4帧200包括两个被加密的时隙块(块230(1)和230(3))和一个未被加密的时隙块(块230 (3)) ο
[0038]时隙块230(1)和230 (2)各自与单独的ICV相关联。然而,因为时隙块230 (2)未被加密/认证,这一时隙块不与ICV相关联。在145 (图2),利用被加密/认证的块(块230(1)和230(3))的ICV执行“异或”(EXOR)操作以生成用于在接收器30进行帧认证的帧 ICV275。
[0039]在150,生成包括ESP头部250和ESP尾部255的ESP 248。图4中示出了 ESP 248、ESP头部250和ESP尾部255。ESP头部250用于加密信息并且包括安全参数索引(SPI) 260、序列(SEQ) 265、和完整性值(IV) 270。SEP尾部255用于认证信息并且包括帧ICV 275。
[0040]在155,将ESP 248添加到经加密的帧200。存在几种不同的用于将ESP 248添加到经加密的帧200方法。更具体的,如图3A中所示,ESP头部250和ESP尾部255可以作为两个分离的16字节块被映射到OTU OH中。在图3A中,块256表示ESP头部250的映射(4字节用于SPI,4字节用于SEQ,8字节用于IV)且块258表示ESP尾部255的映射。可选的,如图3B中所示,0TU4分组200包括固定填充32个填充字节222(4行乘以从3817至3824的8列)。这些填充字节222为不携带分组处理信息的预留字节。这样一来,在图3B中所示的示例中,填充字节222被ESP 348替换。具体地,填充字节222中的十六(16)个被ESP头部250(4字节用于SPI,4字节用于SEQ,8字节用于IV)替换,且填充字节222中的十六(16)被ESP尾部255替换。在160,将OTU FEC 220被重新计算并添加到经加密的帧 200。
[0041]图5为根据图3A的示例概要性示出了将ESP的头部250和尾部255映射到经加密的帧200中的框图(即,其中ESP头部250和ESP尾部255可以作为两个分开的16字节块被映射到OTU OH中)。多帧定位信号(MFAS) 280同样在OTU和ODU OH字节215中被示出。
[0042]图6为具有80个时隙305的0PU4净负荷300的示意图。在加密/认证引擎能够在1Gbps的线路速率下操作的情况下,可以选择8个时隙作为加密操作的基本实体。在这种情形下,根据图6的示例,100G流量可以被划分为10块310(1)-310(10),其中每个包括8个1.25G的时隙。根据该示例,对在0TU4帧内部传送的1G流量的加密可以被作为单一块(8个时隙)进行处理,40G流量的加密被作为4个1G(即,4X8X1.25G)的块进行操作。这里提及的技术的并行方式限制了加密引擎的复杂度,同时允许该实现方式扩展到更高的比特速率。在图6的示例中,仅块310(1)、310 (3)、和310 (10)在传输之前被加密。
[0043]图7为被配置为执行这里所描述的加密和解密技术的示例装置320的框图。因此,装置320可以作为OTN帧的发送器和/或接收器。装置320包括一个或多个输入端口325 (I) -325 (N)、一个或多个输出端P 330 (I) -330 (N)、总线335、处理器336、存储器338、和多个子系统340 (I)-340 (N)。在这个示例中,子系统340 (I)-340 (N)为分开的专用集成电路(ASIC)。ASIC 340 (I)-340 (N)中的每一个包括各自的存储器345 (I)-345 (N),和各自的处理器350 (I)-350 (N)。存储器345 (I)-345 (N)中的每一个包括各自的加密/认证逻辑355 (I) -355 (N),和各自的解密/认证逻辑360 (I) -360 (N)。存储器338包括分组逻辑342和选择逻辑344。
[0044]输入端口 325(1)_325(N)被配置为接收光纤上的光信号,并将光信号转化为数字电信号以进行解密处理。一个或多个输出端口 330(1)-330(N)被配置为将经加密的数字电信号转化为光信号以沿着光纤进行传输。输入端口 325(1)-325(N)和输出端口330 (I)-330 (N)被耦合到总线335。ASIC 340 (I)-340 (N)、处理器336、和储存器338也被耦合到总线335。
[0045]存储器345 (I)-345 (N)和存储器338可以包括只读存储器(ROM),随机存取存储器(RAM),磁盘存储介质设备,光存储介质设备,闪速存储器设备,电、光或其他物理/有形(例如,非易失性)存储器存储设备。因此,一般地,存储器345 (I)-345 (N)和338可以包括一个或多个有形(非易失性)、编码有包括计算机可执行指令的软件的计算机可读存储介质(例如,存储器设备)。处理器350 (I)-350 (N)和336例如是执行存储器345 (I)-345 (N)和338中的计算机可执行指令的微处理器或微控制器。
[0046]在操作中,分组逻辑342当被处理器336执行时如上面所描述地将OPU净负荷的时隙分组为选定数目的块。选择逻辑344当被处理器336执行时同样如上所描述地选择某些块以进行加密。ASIC 340 (I)-340 (N)如上面所描述地执行各自的加密/认证逻辑355 (I)-355 (N)和各自的解密认证逻辑360 (I)-360 (N)以提供并行加密/解密引擎。换言之,每个ASIC 340 (I)-340 (N)当起发送器作用时被配置为如上面所描述地加密选定OPU时隙的块以进行传输。类似的,当起接收器作用时,每个ASIC340(1)-340(N)被配置为如上面所描述的解密选定OPU时隙的块。
[0047]图7示出了一个示例,其中加密/认证逻辑355(1)_355(N)和解密认证逻辑360(1)-360(N)被实现为保存于相应的存储器345(1)-345(N)中并由相应的处理器350 (I)-350 (N)执行的软件指令。可选地,加密/认证逻辑355 (I)-355 (N)和解密认证逻辑360 (I)-360 (N)可以(比如,通过数字逻辑门)在硬件中实