一种加密解密方法、加密解密装置及数据传输系统与流程

本发明涉及通信领域，尤其涉及一种加密方法、解密方法及加密装置。解密装置以及一种数据传输系统。

背景技术：

本申请发明人在实现本申请实施例技术方案的过程中，至少发现相关技术中存在如下技术问题：

现有的光传输网络(Optical Transmission Network，OTN)的网络两侧采用的对OTN数据进行加密和解密的方法中主要分为非对称算法和对称算法，对于常用的对称算法，比如高级加密标准(Advanced Encryption Standard，AES)，又称Rijndael加密法，在OTN网络侧加密数据的传输中，加密侧使用初始密钥对待加密的数据进行加密，经过中间网络，解密侧接收到加密数据后，根据解密侧的初始密钥进行解密，得到解密数据，即在使用对称算法时，加密侧进行加密和解密侧进行解密使用的密钥为同一个密钥，但现有技术中，当密钥存在更新时，加密侧和解密侧进行数据加解密的位置存在不一致的情况，因此在密钥存在更新时，解密的数据有一段是错误的。

可见，现有技术中的加解密的方法存在解密数据出错的情况，从而影响OTN系统的性能，因此，亟需一种能够保证密钥存在更新过程中数据加密和解密的位置一致的解决方案。

技术实现要素：

有鉴于此，本发明实施例希望提供一种加密、解密方法及加密、解密装置，至少解决了现有技术存在的问题，能够保证密钥存在更新过程中数据加密和解密的位置一致。

本发明实施例的技术方案是这样实现的：

第一方面，本发明实施例提供了一种加密方法，应用于加密侧，所述加密方法包括：

获取与解密侧协商的第一密钥；

当通过握手确定本地与所述解密侧的第一密钥配置完成后，对当前发送的光传输网络OTN数据进行密钥切换标记得到用于标识密钥切换的标记OTN数据；

使用所述第一密钥对所述标记OTN数据之后的OTN数据进行加密并将加密OTN数据发送至所述解密侧。

在上述方案中，所述通过握手确定本地与所述解密侧的第一密钥配置完成包括：

接收所述解密侧发送的密钥更新消息，并根据本地存储的第一密钥更新信息对所述密钥更新消息进行校验；

当校验通过时，向所述解密侧发送第一密钥更新确认消息；

在接收到响应所述第一密钥更新确认信息的第二密钥更新确认消息时，确定本地与所述解密侧第一密钥配置完成。

在上述方案中，所述根据本地存储的第一密钥更新信息对所述密钥更新消息进行校验包括：

解析所述密钥更新消息得到所述解密侧的第二密钥更新信息；

将所述第一密钥更新信息与所述第二密钥更新信息进行匹配；

确认所述第一密钥更新信息与所述第二密钥更新信息一致时，确认密钥更新消息验证通过。

在上述方案中，所述加密方法还包括：

当未在预设时间内通过握手确定本地与所述解密侧的第一密钥配置完成时，触发密钥协商指示消息，与所述解密侧重新协商密钥。

在上述方案中，所述对当前发送的光传输网络OTN数据进行切换标记得到用于标识密钥切换的标记OTN数据包括：

将当前发送的OTN数据的第一发送周期的第一预设数量的连续帧进行密钥切换标记得到用于标识密钥切换的标记OTN数据。

在上述方案中，所述使用所述第一密钥对所述标记OTN数据之后的OTN数据进行加密并将加密OTN数据发送至所述解密侧包括；

当得到所述标记OTN数据后，使用第一密钥对所述第一发送周期之后的OTN数据进行加密并发送至所述解密侧。

第二方面，本发明实施例提供了一种解密方法，应用于解密侧，所述解密方法包括：

获取与加密侧协商的第一密钥；

当通过握手确定本地与所述加密侧的第一密钥配置完成后，监测是否接收到加密侧发送的用于标识密钥切换的标记OTN数据；

当接收到所述标记OTN数据时，使用第一密钥对所述标记OTN数据之后的来自所述加密侧的加密OTN数据进行解密。

在上述方案中，所述通过握手确定本地与所述加密侧的第一密钥配置完成包括：

向所述加密侧发送密钥更新消息；

在接收到所述加密侧发送的用于表示对所述密钥更新消息校验通过的第一密钥确认消息时，向所述加密侧发送响应所述第一密钥确认消息的第二密钥确认消息，确定本地与所述加密侧的第一密钥配置完成。

在上述方案中，所述向所述加密侧发送密钥更新消息包括：

获取本地存储的第二密钥更新信息；

将所述第二密钥更新信息携带在所述密钥更新消息中发送至所述加密侧。

在上述方案中，所述解密方法还包括：

当未在预设时间内通过握手确定本地与所述加密侧的第一密钥配置完成时，触发密钥协商指示消息，与所述加密侧重新协商密钥。

在上述方案中，所述监测是否接收到加密侧发送的用于标识密钥切换的标记OTN数据包括：

检测接收到的OTN数据中是否存在一个发送周期内的第二预设数量的连续帧进行密钥切换标记的OTN数据；

当存在一个发送周期内的第二预设数量的连续帧进行密钥切换标记的OTN数据时，确定接收到加密侧发送的用于标识密钥切换的标记OTN数据。

在上述方案中，所述使用第一密钥对所述标记OTN数据之后的来自所述加密侧的加密OTN数据进行解密包括：

使用所述第一密钥对第二预设数量的连续帧所在的第一发送周期之后的来自所述加密侧的加密OTN数据进行解密。

第三方面，本发明实施例提供了一种加密装置，所述加密装置包括：第一主控模块、第一从控模块、加密模块；其中，

所述第一主控模块，用于获取与解密侧协商的第一密钥；

所述第一从控模块，用于当通过握手确定本地与所述解密侧的第一密钥配置完成后，对当前发送的光传输网络OTN数据进行密钥切换标记得到用于标识密钥切换的标记OTN数据；

所述加密模块，用于使用所述第一密钥对所述标记OTN数据之后的OTN数据进行加密并将加密OTN数据发送至所述解密侧。

在上述方案中，所述第一从控模块包括第一握手子模块，

所述第一握手子模块用于：接收所述解密侧发送的密钥更新消息，并根据本地存储的第一密钥更新信息对所述密钥更新消息进行校验；当校验通过时，向所述解密侧发送第一密钥更新确认消息；在接收到响应所述第一密钥更新确认信息的第二密钥更新确认消息时，确定本地与所述解密侧第一密钥配置完成。

在上述方案中，所述第一握手子模块，用于根据本地存储的第一密钥更新信息对所述密钥更新消息进行校验包括：解析所述密钥更新消息得到所述解密侧的第二密钥更新信息；将所述第一密钥更新信息与所述第二密钥更新信息进行匹配；确认所述第一密钥更新信息与所述第二密钥更新信息一致时，确认密钥更新消息验证通过。

在上述方案中，所述第一握手子模块，还用于：

当未在预设时间内通过握手确定本地与所述解密侧的第一密钥配置完成时，触发密钥协商指示消息，与所述解密侧重新协商密钥。

在上述方案中，所述第一从控模块，包括：第一标记子模块；

所述第一标记子模块，用于将当前发送的OTN数据的第一发送周期的第一预设数量的连续帧进行密钥切换标记得到用于标识密钥切换的标记OTN数据。

在上述方案中，所述加密模块具体用于；

当得到所述标记OTN数据后，使用第一密钥对所述第一发送周期之后的OTN数据进行加密并发送至所述解密侧。

第四方面，本发明实施例提供了一种解密装置，所述解密装置包括：第二主控模块、第二从控模块及解密模块，其中，

所述第二主控模块，用于获取与加密侧协商的第一密钥；

所述第二从控模块，用于当通过握手确定本地与所述加密侧的第一密钥配置完成后，监测是否接收到加密侧发送的用于标识密钥切换的标记OTN数据；

所述解密模块，用于当接收到所述标记OTN数据时，使用第一密钥对所述标记OTN数据之后的来自所述加密侧的加密OTN数据进行解密。

在上述方案中，所述第二从控模块包括：第二握手子模块；其中，

所述第二握手子模块，用于向所述加密侧发送密钥更新消息；在接收到所述加密侧发送的用于表示对所述密钥更新消息校验通过的第一密钥确认消息时，向所述加密侧发送响应所述第一密钥确认消息的第二密钥确认消息，确定本地与所述加密侧的第一密钥配置完成。

在上述方案中，所述第二握手子模块，用于向所述加密侧发送密钥更新消息包括：

获取本地存储的第二密钥更新信息；

将所述第二密钥更新信息携带在所述密钥更新消息中发送至所述加密侧。

在上述方案中，所述第二握手子模块还用于：

当未在预设时间内通过握手确定本地与所述加密侧的第一密钥配置完成时，触发密钥协商指示消息，与所述加密侧重新协商密钥。

在上述方案中，所述第二从控模块包括，第二标记子模块；其中，

所述第二标记子模块，用于检测接收到的OTN数据中是否存在一个发送周期内的第二预设数量的连续帧进行密钥切换标记的OTN数据；

当存在一个发送周期内的第二预设数量的连续帧进行密钥切换标记的OTN数据时，确定接收到加密侧发送的用于标识密钥切换的标记OTN数据。

在上述方案中，所述解密模块具体用于：

使用所述第一密钥对第二预设数量的连续帧所在的第一发送周期之后的来自所述加密侧的加密OTN数据进行解密。

第五方面，本发明实施例提供了一种数据传输系统，所述系统包括加密侧和解密侧，其中，所述加密侧包括如权利要求13至18任一项所述的加密装置，所述解密侧包括如权利要求19至24任一项所述的解密装置。

本发明实施例的一种加解密方法，获取与解密侧协商的第一密钥；当通过握手确定本地与所述解密侧的第一密钥配置完成后，对当前发送的光传输网络OTN数据进行密钥切换标记得到用于标识密钥切换的标记OTN数据；使用所述第一密钥对所述标记OTN数据之后的OTN数据进行加密并将加密OTN数据发送至所述解密侧，解密侧获取与加密侧协商的第一密钥；当通过握手确定本地与所述加密侧的第一密钥配置完成后，监测是否接收到加密侧发送的用于标识密钥切换的标记OTN数据；当接收到所述标记OTN数据时，使用第一密钥对所述标记OTN数据之后的来自所述加密侧的加密OTN数据进行解密。采用本发明实施例提供的加解密的方法，能够保证密钥存在更新过程中数据加密和解密的位置一致，使得解密侧从加密侧接收到的加密数据进行解密时不会出现解密错误的数据，做到密钥的无损切换，提高影响OTN系统数据传输性能。

附图说明

图1为本发明实施例一提供的一种加密方法的流程示意图；

图2为本发明实施例二提供的一种解密方法的流程示意图；

图3为本发明实施例三提供的一种加密装置的结构示意图；

图4为本发明实施例四提供的一种解密装置的结构示意图；

图5为本发明实施例六提供的数据传输方法的流程示意图；

图6为本发明实施例七提供的OUT帧结构示意图；

图7为本发明实施例七提供的加密侧和解密侧的交互流程示意图。

具体实施方式

下面结合附图对技术方案的实施作进一步的详细描述。

实施例一

本发明实施例一提供一种加密方法，应用于加密侧，如图1所示，该加密方法包括：

S101：获取与解密侧协商的第一密钥；

当OTN网络中对传输的OTN数据进行加解密的密钥需要更新时，比如，到达密钥的更新周期时，加密侧与解密侧进行密钥协商，使得加密侧和解密侧配置出相同的第一密钥，加密侧与解密侧的密钥协商过程完成后获取协商的第一密钥。这里，协商的密钥为AES等加解密算法，本发明对具体的加解密算法不做限制。并且密钥的协商过程为现有技术，这里不再赘述。

为了便于区分密钥更新过程时协商的新的密钥与当前正在的使用的旧的密钥，将新的密钥称为第一密钥key1，将旧的密钥称为第二密钥key2。密钥的更新过程也可以理解为进行加解密的密钥从第二密钥key2向第一密钥key1切换的过程。

S102：当通过握手确定本地与所述解密侧的第一密钥配置完成后，对当前发送的光传输网络OTN数据进行切换标记得到用于标识密钥切换的标记OTN数据；

加密侧与解密侧协商得到第一密钥后，通过握手确定本地与解密侧两端的第一密钥配置完成，具体的，加密侧接收所述解密侧发送的密钥更新消息，并根据本地存储的第一密钥更新信息对所述密钥更新消息进行校验；当校验通过 时，向所述解密侧发送第一密钥更新确认消息；在接收到响应所述第一密钥更新确认消息的第二密钥更新确认消息时，确定本地与所述解密侧第一密钥配置完成。其中，根据本地存储的第一密钥更新信息对所述密钥更新消息进行校验包括：解析所述密钥更新消息得到所述解密侧的第二密钥更新信息；将所述第一密钥更新信息与所述第二密钥更新信息进行匹配；确认所述第一密钥更新信息与所述第二密钥更新信息一致时，确认密钥更新消息验证通过。

第一密钥更新确认消息中携带第一密钥确认信息，指示加密侧的密钥确认过程完成。第二密钥更新确认消息中携带第二密钥确认信息，指示解密侧的密钥确认过程完成。

这里，第一密钥更新信息包括：加密侧的密钥更新状态码和密钥切换使能；第二密钥信息包括加密侧的密钥更新状态码和密钥切换使能，其中，以2bit表示4种类型的密钥更新码为例对发明实施例中的密钥更新状态码进行说明，对密钥更新状态码的类型及表示方式不做限制。密钥更新状态码用于指示密钥是否存在更新，可包括四种状态：

不加密：OTN数据不进行加密；

更新：当前的密钥存在更新；

未更新：当前的密钥未存在更新：

保留：根据需求设置。

该四种状态可通过2bit的码字表示，比如：00，不加密；01，更新；10，不更新；11，保留。

密钥切换使能用于指示是否由旧的密钥切换至新的密钥，可包括两种状态：切换，由0表示；不切换，由1表示。

当加密侧获取到协商的第一密钥key1时，确定是否接收到解密侧发送的携带解密侧的密钥更新状态码和密钥切换使能的密钥更新消息；将接收到的密钥确认消息携带的解密侧的密钥更新状态码和密钥切换使能分别和加密侧本地存储的密钥更新状态码和密钥切换使能进行匹配，当其中密钥更新状态码或密钥切换使能任一组不一致时，则认为加密侧与解密侧的握手失败，重新启动密钥 协商过程重新协商密钥。当加密侧的密钥更新状态码和解密侧的密钥更新状态码一致且加密侧的密钥切换使能和解密侧的密钥切换使能都一致时，加密侧向解密侧发送第一密钥更新确认消息，指示加密侧的密钥确认过程完成，当加密侧接收到解密侧返回的响应第一密钥更新确认消息的第二密钥更新确认消息时，则确认接收到解密侧的密钥确认过程完成，且标识加密侧与解密侧的握手过程完成。其中，密钥更新信息携带在OTN帧结构的OTU(Optical Transport Unit，光传送单元)开销中进行发送。

需要说明的是，加密侧在确定是否接收到解密侧发送的携带解密侧的密钥更新状态码和密钥切换使能的密钥更新消息之前，启动一定时器，该定时器的定时时间为预设时间，该预设时间可为2-4个发送周期。当加密侧未在预设时间内通过握手确定本地与所述解密侧的第一密钥配置完成时，触发密钥协商指示消息，与所述解密侧重新协商密钥。也就是说，当在预设时间内出现任何加密侧与解密侧的握手异常的情况，则加密侧与解密侧的握手过程中止，重新协商密钥。加密侧的握手异常的情况包括：未接收到解密侧的密钥更新消息，对接收到的解密侧的密钥更新消息的校验失败，或未接收到解密侧发送的第二密钥更新确认消息。

这里，OTN加密侧发送OTN数据的是以发送周期为循环周期将OTN数据以OTN帧的形式进行发送的。

加密侧确定本地与所述解密侧第一密钥配置完成后，将当前发送的OTN数据的第一发送周期的第一预设数量的连续帧进行标记得到用于标识密钥切换的标记OTN数据。比如，以发送周期为8帧为例，将第一发送周期的每帧OTN数据对应开销的MFAS[2:0]固定填充0～7，以此标记该发送周期的OTN数据为标记OTN数据，指示进行密钥切换，进行加密的密钥由第二密钥key2切换至第一密钥key1。当确认第一密钥配置完成后，将当前准备发送的一个发送周期及8帧的数据作为第一发送周期的OTN数据，将其每一帧的开销的MFAS[2:0]的进行密钥切换标记得到标记OTN数据。这里，在标记OTN数据后仍使用第二密钥key2对标记OTN数据进行加密，并在加密后发送至解密侧。当然，密 钥切换标记的形式这里以MFAS[2:0]固定填充0～7为例，本发明实施例对具体的密钥切换标记以生成标记OTN数据的形式不做限定。

S103：使用所述第一密钥对所述标记OTN数据之后的OTN数据进行加密并将加密OTN数据发送至所述解密侧。

具体的，当得到所述标记OTN数据后，使用第一密钥对所述第一发送周期之后的OTN数据进行加密并将加密OTN数据发送至所述解密侧。当加密侧对第一发送周期的OTN数据进行标记后，进行密钥切换，对第一发送周期之后的OTN数据开始使用第一密钥key1进行加密生成加密OTN数据，并将加密后生成的加密OTN数据发送至解密侧。

需要说明的是，对于标记OTN数据，仍使用进行密钥切换之前的第二密钥key2进行加密，并将加密后的标记OTN数据发送至解密端，以使解密端接收到加密的标记OTN数据后能够对标记OTN数据进行解密，并识别出解密后的数据为标记OTN数据时，确定下一发送周期的解密数据在加密端使用了第一密钥key1进行加密，此时，解密端进行密钥切换，使用第一密钥key1对接收到的标记OTN数据的之后的加密OTN数据进行解密，从而实现加密和解密切换密钥的位置保持一致。

通过本发明实施例提供的加密方法，加密侧通过握手和解密侧确认本地和解密侧的新的密钥配置完成后才开始执行密钥的切换过程，从而保证加密侧和解密侧进行密钥切换的密钥一致，且通过用于标记密钥切换的标记OTN数据指示使用新密钥的起始位置，从而保证加密侧和解密侧切换密钥的位置保持一致，实现无损切换。

实施例二

本发明实施例二提供一种与实施例一的加密算法对应的解密算法，如图2所示，该解密方法包括：

S201：获取与解密侧协商的第一密钥；

这里，当OTN网络中对传输的OTN数据进行加解密的密钥需要更新时，比如，到达密钥的更新周期时，解密侧与加密侧进行密钥协商，得到新的密钥 即第一密钥，并获取新的第一密钥，以备从原来的第二密钥key2切换至第一密钥key1，使用新的密钥进行解密。其中，当解密侧配置key1时，加密侧同时相同的配置key1，以保证加密侧与解密侧进行加解密的密钥保持一致，解密侧能够正确的解密从加密侧接收到的加密数据。

S202：当通过握手确定本地与所述加密侧的第一密钥配置完成后，监测是否接收到加密侧发送的用于标识密钥切换的标记OTN数据；

解密侧与加密侧协商得到第一密钥后，通过握手确定本地与加密侧两端的第一密钥配置完成，具体的，向所述加密侧发送密钥更新消息；在接收到所述加密侧发送的用于表示对所述密钥更新消息校验通过的第一密钥确认消息时，向所述加密侧发送响应所述第一密钥确认消息的第二密钥确认消息，确定本地与所述加密侧的第一密钥配置完成。其中，所述向所述加密侧发送密钥更新消息包括：获取本地存储的第二密钥更新信息；将所述第二密钥更新信息携带在所述密钥更新消息中发送至所述加密侧。关于密钥更新信息的具体内容参见S102，这里不再赘述。

当解密侧与加密侧协商得到第一密钥，并在本地保存配置后，向加密侧发送密钥更新消息，密钥更新消息携带包括密钥更新状态码字和密钥切换使能的第二密钥更新信息，以向加密侧通知解密侧本地的密钥更新情况；当加密侧接收到密钥更新消息且校验通过后，向解密侧返回第一密钥更新确认消息，以通知解密侧加密侧的两端的密钥更新情况一致，且加密侧以做好密钥切换的准备。当解密侧接收到加密侧的第一密钥更新确认消息后，作为响应向加密侧返回第二密钥更新确认消息，指示解密侧的密钥切换准备完成。当加密侧成功接收第二密钥更新确认消息后，解密侧与加密侧的握手完成，确认解密侧与加密侧的密钥配置完成。

需要说明的是，解密侧在向加密侧发送的携带密钥更新状态码和密钥切换使能的密钥更新消息之前，启动一定时器，该定时器的定时时间可与加密侧的定时器的定时时间相同，为预设时间，该预设时间可为2-4个发送周期。当未在预设时间内通过握手确定本地与所述加密侧的第一密钥配置完成时，触发密 钥协商指示消息，与所述加密侧重新协商密钥，也就是说，当在预设时间内出现任何解密侧与加密侧的握手异常的情况，则解密侧与加密侧的握手过程中止，重新协商密钥。解密侧的握手异常的情况包括：在发送密钥更新消息后，未接收到加密侧的第一密钥更新确认消息。

这里，解密侧接收到加密OTN数据是以发送周期为一个循环，以OTN帧格式接收的。

当解密侧确认密钥配置完成后，检测接收到的OTN数据中是否存在标记OTN数据，即检测是否存在一个发送周期内的第二预设数量的连续帧进行密钥切换标记的OTN数据，继续以S102中的例子为例，加密侧的标记OTN数据为发送周期为8帧的每帧OTN数据对应开销的MFAS[2:0]固定填充0～7，则这里，解密侧在检测到一个发送周期的连续8帧的每帧OTN数据对应开销的MFAS[2:0]固定填充0～4时，则确定接收到标记OTN数据。其中，第二预设数量小于或等于第二预设数量。

S203：当接收到所述标记OTN数据时，使用第一密钥对所述标记OTN数据之后的来自所述加密侧的加密OTN数据进行解密。

具体的，当检测接收到标记OTN数据时，表示解密侧接收到的下一个OTN数据为使用第一密钥key1进行加密的数据，此时，使用key1对标记OTN数据之后的OTN数据进行解密。具体的，使用所述第一密钥对第二预设数量的连续帧所在的第一发送周期之后的来自所述加密侧的加密OTN数据进行解密。

通过本发明实施例提供的解密方法，解密侧通过握手和加密侧确认本地和加密侧的新的密钥配置完成后才开始执行密钥的切换过程，从而保证解密侧和加密侧进行密钥切换的密钥一致，且通过用于标记密钥切换的标记OTN数据指示使用新密钥的起始位置，从而保证解密侧和加密侧切换密钥的位置保持一致，实现无损切换。

需要说明的是，对于一个网络终端而言，其既可以作为加密侧，也可以作为解密侧，因此，上述实施例提供的加密方法和解密方法可同时在一个终端设备上实现。

实施例三

为实现上述实施例一提供的加密方法，本发明实施例提供一种加密装置，如图3所示，所述加密装置包括：第一主控模块301、第一从控模块302、加密模块303；其中，

第一主控模块301，用于获取与解密侧协商的第一密钥；

第一从控模块302，用于当通过握手确定本地与所述解密侧的第一密钥配置完成后，对当前发送的光传输网络OTN数据进行密钥切换标记得到用于标识密钥切换的标记OTN数据；

如图3所示，第一从控模块302包括第一握手子模块3021，

第一握手子模块3021用于：接收所述解密侧发送的密钥更新消息，并根据本地存储的第一密钥更新信息对所述密钥更新消息进行校验；当校验通过时，向所述解密侧发送第一密钥更新确认消息；在接收到响应所述第一密钥更新确认信息的第二密钥更新确认消息时，确定本地与所述解密侧第一密钥配置完成。

其中，根据本地存储的第一密钥更新信息对所述密钥更新消息进行校验包括：解析所述密钥更新消息得到所述解密侧的第二密钥更新信息；将所述第一密钥更新信息与所述第二密钥更新信息进行匹配；确认所述第一密钥更新信息与所述第二密钥更新信息一致时，确认密钥更新消息验证通过。

第一握手子模块3021，还用于：当未在预设时间内通过握手确定本地与所述解密侧的第一密钥配置完成时，触发密钥协商指示消息，与所述解密侧重新协商密钥。

如图3所示，第一从控模块3021还包括：第一标记子模块3022；

第一标记子模块3022，用于将当前发送的OTN数据的第一发送周期的第一预设数量的连续帧进行密钥切换标记得到用于标识密钥切换的标记OTN数据。

加密模块303，用于使用所述第一密钥对所述标记OTN数据之后的OTN数据进行加密并将加密OTN数据发送至所述解密侧。加密模块303具体用于：当得到所述标记OTN数据后，使用第一密钥对所述第一发送周期之后的OTN 数据进行加密并发送至所述解密侧。

实施例四

为实现上述实施例二提供的解密方法，本发明实施例提供一种解密装置，如图4所示，所述解密装置包括：第二主控模块401、第二从控模块402、解密模块403；其中，

第二主控模块401，用于获取与加密侧协商的第一密钥；

第二从控模块402，用于当通过握手确定本地与所述加密侧的第一密钥配置完成后，监测是否接收到加密侧发送的用于标识密钥切换的标记OTN数据；

如图4所示，第二从控模块402包括：第二握手子模块4021；其中，

第二握手子模块4021，用于向所述加密侧发送密钥更新消息；在接收到所述加密侧发送的用于表示对所述密钥更新消息校验通过的第一密钥确认消息时，向所述加密侧发送响应所述第一密钥确认消息的第二密钥确认消息，确定本地与所述加密侧的第一密钥配置完成。

第二握手子模块4021，用于向所述加密侧发送密钥更新消息包括：获取本地存储的第二密钥更新信息；将所述第二密钥更新信息携带在所述密钥更新消息中发送至所述加密侧。

第二握手子模块4021还用于：当未在预设时间内通过握手确定本地与所述加密侧的第一密钥配置完成时，触发密钥协商指示消息，与所述加密侧重新协商密钥。

如图4所示，第二从控模块402包括，第二标记子模块4022；其中，

第二标记子模块4022，用于检测接收到的OTN数据中是否存在一个发送周期内的第二预设数量的连续帧进行密钥切换标记的OTN数据；当存在一个发送周期内的第二预设数量的连续帧进行密钥切换标记的OTN数据时，确定接收到加密侧发送的用于标识密钥切换的标记OTN数据。

解密模块403，用于当接收到所述标记OTN数据时，使用第一密钥对所述标记OTN数据之后的来自所述加密侧的加密OTN数据进行解密。解密模块403具体用于：使用所述第一密钥对第二预设数量的连续帧所在的第一发送周期之 后的来自所述加密侧的加密OTN数据进行解密。

在实际应用中，对于一个终端设备而言，第一主控模块301和第二主控模块401可为同一个主控模块，第一从控模块302和第二从控模块402可为同一个模块从控模块，当一个终端设备同时包括主控模块、从控模块、加密模块、解密模块时，可同时实现本发明实施例提供的加密方法和解密方法。

实施例五

本发明实施例还一种数据传输系统，所述系统包括加密侧和解密侧，其中，所述加密侧包括实施例三的加密装置，所述解密侧包括实施例四的解密装置。

加密侧与解密侧分别获取经过协商的第一密钥；当加密侧和解密侧通过握手确定加密侧与解密侧的第一密钥配置完成后，加密侧对当前发送的光传输网络OTN数据进行密钥切换标记得到用于标识密钥切换的标记OTN数据，使用所述第一密钥对所述标记OTN数据之后的OTN数据进行加密并将加密OTN数据发送至所述解密侧；监测是否接收到加密侧发送的用于标识密钥切换的标记OTN数据，当接收到所述标记OTN数据时，使用第一密钥对所述标记OTN数据之后的来自所述加密侧的加密OTN数据进行解密。

实施例六

本发明实施例以采用的加密算法为AES算法为例，描述一种OTN业务进行AES加解密的方法，如图5所示，具体包括以下步骤：

S501，加密侧与解密侧进行密钥协商；

加密侧判断初始密码的更新周期到后，加密侧与解密侧进行DH密钥协商，加密侧产生一个私钥a，加密侧产生参数g，p根据公式产生A＝g^a mod p，解密侧产生一个私钥b；加密侧从控器通过开销总线将g，p和A将这三个参数放置到OTU开销中，传送给解密侧。解密侧从OTU开销中得到g，p和A后，根据公式B＝g^b mod p，得到参数B，将参数B通过开销总线传给加密侧，这样加密侧根据公式计算出密钥K＝B^a mod P计算出密钥K，解密侧根据公式K＝A^b mod p，这样两侧完成了DH密钥协商，得到相同的密钥K。这里，上述密钥协商的过程可由加密侧的主控模块和解密侧的主控模块。

这里，当加密侧从控模块在一定的时间内得不到解密侧的参数B时，加密侧重启DH密钥协商。如果解密侧从控模块在一定的时间内得不到加密侧传送过去的参数g，p和A时，解密侧重启DH密钥协商。

S502，加密侧与解密侧通过握手进行密钥确认；

加密侧主控模块将DH密钥协商得到的密钥K配置给加密模块，从控模块进行密钥配置完成确认；解密侧主控模块将DH密钥协商得到的密钥K配置给解密模块，从控模块进行密钥配置完成确认。如果加密侧在预设时间内没有收到解密侧的密钥配置完成信号，也就是密第二密钥更新确认信息，加密侧重启DH密钥协商；如果解密侧在预设时间内没有收到加密侧的密钥配置完成信号，也就是密第一密钥更新确认信息，解密侧重启DH密钥协商；

S503，加密侧与解密侧进行密钥切换；

密钥配置完成确认后，加密侧的加密模块和解密侧的解密模块根据OTU帧中开销位置的帧号来却确定开始加密和解密的开始位置。

本发明实施例提供的加解密方法中，先进行密钥协商，使得加密侧和解密侧使用相同的初始密钥；然后进行密钥确认确定加密侧和解密侧开始加密和解密的对应OTU帧的位置是相同的；最后进行密钥切换，在密钥切换前的OTU帧还是使用旧的密钥，这样就能保证了在密钥切换过程中不会出现数据的加解密错误，达到了密钥无损更新的效果。

实施例七

在本发明实施例中，分别通过对加密侧的密钥确认、密钥切换和解密侧的密钥确认、密钥切换的进一步描述详细说明加密侧和解密侧通过握手进行密钥确认和密钥切换的方法。

加密侧对加密模块配置本地密钥更新状态码和本地密钥切换使能，启动加密侧密钥配置确认流程。解密侧对解密模块配置解密侧更新状态码和解密侧密钥切换使能，通过开销总线将这两个参数放置到OTU开销中传送给加密侧，启动解密侧密钥配置确认流程。其中密钥更新状态码和密钥切换使能占用的OTU开销的位置，如图6中中竖线的阴影部分所示，密钥更新状态码、密钥切换使 能、以及密钥确认信息和密钥切换过程中的密钥更新码字等信息都可以通过这些区域来传送。而图6中还包括OPUk净荷，本发明实施例可只对OPUk净荷进行加密，对开销部分不加密。

加密侧的密钥确认：

如图7所示，加密侧启动计时器，监测是否收到解密侧发送的密钥更新状态码和解密侧密钥切换使能，如果在规定的预设时间内收到解密侧的密钥更新状态码和密钥切换使能信息，检查密钥更新状态码是否与本地的密钥更新状态码是否一致，并且检查密钥切换使能是否与本地的密钥切换使能是否一致。如果两者都一致则认为解密侧的密钥配置完成，加密侧通过开销通道向解密侧发送携带第一密钥确认信息的第一密钥更新确认消息，指示加密侧密钥配置完成。如果预设时间内没有收到密钥状态码和解密侧密钥切换使能，或检查解密侧密钥更新状态码与本地密钥更新状态码不一致，或检查解密侧密钥切换使能与本地密钥切换使能不一致则重启密钥协商流程。

在规定时间内加密侧从控模块收到解密侧返回的第二密钥更新配置消息，表示确定解密侧密钥配置完成，加密侧确认配置完毕上报中断，退出密钥确认流程。

解密侧密钥确认

如图7所示，解密侧启动计时器，并持续通过开销通道向加密侧发送解密侧密钥更新状态码和解密侧密钥切换使能。如果解密侧收到加密侧通过开销送过来的加密侧的指示加密侧密钥完成的第一密钥更新确认信号，则停止计时，向加密侧返回表示解密侧密钥配置完成的第二密钥更新确认信号，解密端确认完毕；如果预设时间内没有收到加密侧发送的第一密钥更新确认信号，则重启密钥协商流程。

当密钥确认完成之后，加密侧和解密侧通过握手确认密钥配置已经完成，此时就要进入加密和解密操作了，而确定相同的加密和解密的位置是本发明实施例的关键。本发明实施例中通过向每帧OTN数据对应开销的预设位置比如MFAS[2:0]固定填充0～7，来确定开始使用新密钥的OTN数据帧号，这样可以 保证加密和解密的位置是相同的，从而达到无损切换的效果。

加密侧密钥切换操作

如图7所示，加密侧的加密模块在检测到从控模块的密钥确认完成以后，在MFAS[2：0]＝0开始位置连续发送8帧密钥更新码字以进行密钥切换标记，如图7的第一发送周期的8帧数据是都插入码字的8帧数据，每个码字占用1个字节，放置到OTU开销中,加密侧的加密模块在下一发送周期的OTN数据帧MFAS[2:0]＝0时开始启用新的密钥进行加密，即从图7的第一发送周期的下一发送周期的OTU帧开始使用新的密钥进行加密。

解密侧密钥切换操作

如图7所示，解密侧的解密模块在从控模块密钥确认完成之后，在MFAS[2：0]＝0开始监测对应的OTU帧开销中是否存在的密钥更新使能码字，如果连续检测到大于等于5帧的密钥更新使能码字，则确定发送周期为进行密钥切换标记的标记OTN数据，在下一发送周期的OTN数据帧MFAS[2:0]＝0时启用新的密钥进行解密。

本发明实施例所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。这样，本发明实施例不限制于任何特定的硬件和软件结合。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。