光传送网络中的时隙加密的制作方法
【技术领域】
[0001]本公开与光传送网络帧的加密有关。
【背景技术】
[0002]国际电信联盟电信标准化部门(ITU-T)已经开发了一系列用于波分多路复用(WDM)网络的光传送网络(OTN)标准。这些标准覆盖了通过光纤通道传送/接收数据的物理层、信号速率、格式和设备需求。本申请中所用的OTN是依据用于WDM信号的ITU-T建议G.709标准而实现的网络。
[0003]一般而言,OTN为由通过光纤通道连接的多个节点组成的数据网络。OTN提供密集波分多路复用(DWDM)链路,这些链路允许高光通道和信号的数据速率、多路复用、切换管理、监控,以及生存能力。考虑到其高数据速率,OTN非常适用于要求跨远距离进行数据传输的应用。
【附图说明】
[0004]图1根据这里所提及的技术的示例OTN线卡的框图,经加密和认证的数据是从该OTN线卡发送的。
[0005]图2为用于加密/认证OTN帧以通过OTN进行传输的方法的流程图。
[0006]图3A和图3B为示出了在示例性加密/认证操作之前和之后的OTN帧的示意图。
[0007]图4为示出了向经加密的OTN帧添加头部/尾部信息的示意图。
[0008]图5为示意性地示出了将头部和尾部映射入被加密的OTN帧的框图。
[0009]图6为具有八十(80)个时隙的OTN净负荷的示意图。
[0010]图7为被配置为执行这里所呈现的时隙加密技术的装置的框图。
[0011]图8为用于加密/认证OTN帧以通过OTN进行传输的方法的高层次流程图。
【具体实施方式】
[0012]臟
[0013]光传送网络(OTN)帧包含被分为多个时隙的光通道净负荷单元。该OTN帧在发送器处被接收,并且这些时隙被分组为时隙块。两个或多个时隙块被选择以进行加密,并且被并行地加密/认证以生成经加密的OTN帧,其中仅某些时隙块被加密。
[0014]示例实施例
[0015]一般地,OTN包含布设于广阔的地理区域的多个光纤。有时,所述光纤被布设在难于提供对光纤的安全访问的区域(例如,不友好的或敌对的地区/国家)中。考虑到OTN覆盖的广阔的地理区域以及光纤被布设于潜在的不友好的地区,OTN可能会遭受窃听、劫持或其他安全威胁。这样一来,运营商可通过向(尤其是针对敏感应用(例如,数据中心的长途连接,云计算,金融或军事网络等)的)所传输的流量添加安全措施来保护OTN净负荷。
[0016]已经发布了多个OTN标准,这些OTN标准被称作0TU1、0TU2、0TU2e、0TU3、0TU3e2和0TU4。OTUl的线路速率近似为每秒2.66千兆比特(Gbps),0TU2的线路速率近似为10.70Gbps,0TU2e的线路速率近似为11.09Gbps,0TU3的线路速率近似为43.0lGbps,0TU3e2的线路速率近似为44.58Gbps,0TU4的线路速率近似为112Gbps。光传送迅速向10Gbps实现方式发展,10Gbps实现方式在接下来的几年中可能被广泛布设,并且已经宣布了 400Gbps和每秒I兆兆比特(Tbps)传送的解决方案。这样一来,有期望发布支持这些和其他线路速率和信号速度的进一步的OTN标准。
[0017]某些加密和认证算法可以在当前线路速率近似为1Gbps的硅技术中实现,但难于在更高的线路速率下实现。此外,在当前硅技术为1Gbps或以上的情况下,需要复杂计算的更高安全等级的算法一般不实用。这样一来,OTN的高线路速率对使用当前硅技术的数据安全和认证提出了挑战。
[0018]这里所提及的技术将光传送的高速与加密相结合。这里所呈现的OTN加密技术利用并行加密处理对OTN净负荷的选定部分进行加密,从而限制了加密引擎的复杂度,并且允许所述实现方式扩展为支持更高的比特速率。为便于说明,将参考0TU4来描述这里所呈现的OTN加密技术。应当注意的是,这里所提及的技术可以结合其他OTN标准来实现,或者可以针对利用支持更高的线路速率和信号速度的任何未来标准的实现方式进行扩展。
[0019]在ITU-R建议G.709中定义的OTN帧结构包括四⑷个区域,即:⑴光通道净负荷单元(OPU),(2)光通道数据单元(ODU),(3)光通道传送单元(OTU),和(4)用于前向纠错(FEC)代码的区域。OPU为净负荷被映射的区域,ODU包含具有额外开销字节的0PU,并且OUT包含帧、尾部踪迹标识符(TTI)、8比特交错奇偶校验(BIP-8)代码、以及通用通信通道(GCC)字节。
[0020]根据ITU-T建议G.709,OTN帧的OPU净负荷被划分为各自具有固定宽度的多个支路空隙(时隙)。例如,0PU4净负荷(依据0TU4的帧的净负荷)被分为八十(80)个1.25G的时隙(编号为I至80)。这八十个0PU41.25G时隙为在0PU4净负荷区域中交错的字节,并且这八十个0PU4支路空隙开销(TSOHs)为在的0PU4开销(OH)区域中交错的帧。1.25G支路空隙的TSOH每隔八十个帧可用。这里所呈现的OTN加密技术仅加密/认证OTN帧内被选定的时隙或群组/块。由于这个原因,这里所呈现的OTN加密技术可用于100G(0TU4/0DU4/0PU4),以及用于较低级(0TU3,0TU2)或较高级的OTN容器。
[0021]图1为在参考编号5示出的示例OTN的框图,OTN线卡10根据这里所提及的技术通过该示例OTN发送/接收经加密/被认证的数据。图1中的OTN线卡10包括耦合到源客户端15的发送设备(发送器)20,和耦合到目的地客户端35的接收设备(接收器)30。发送器20和接收器30与一个或多个光纤25相连接。
[0022]发送器20包括客户端协议模块40、OTN或OPU映射模块45、加密和认证模块50、FEC编码器模块55、和OTN扰码器57。加密和认证模块50包括多个加密/认证引擎60 (I) -60 (N)。接收器30包括OTN解扰器63、FEC解码器模块65、解密和认证模块70、OTN或OPU解映射模块75、和客户端协议模块80。解密和认证模块70包括多个解密/认证引擎 90 (I)-90 (N) ο
[0023]源客户端15向发送器20的客户端协议模块40提供数据。客户端协议模块40终止客户端协议,并执行性能监控操作。如上面所提及的,根据最新OTN标准(例如,最新的ITU-T建议G.709),0PU4净负荷被分为80个1.25G的时隙。这样一来,在OTN映射模块45,来自于被终止的客户端信号的数据被映射到OPU净负荷时隙中。
[0024]更具体地,在一个示例中,0PU4净负荷包括针对客户端数据的4 (行)X 3800 (列)字节和带有固定信息的4X8字节。在0PU4帧的第I行中,前80个字节将被标注为1,接下来的80个字节将被标注为2等。在属性映射过程(GMP)数据/填充控制机制下,客户端信号的六百四十个连续比特的分组被映射到0PU4净负荷区域的80个连续字节的分组中。0PU4净负荷区域中的每一 80字节的分组中,可以携带640个客户端比特或携带640个填充比特。3817至3824字节为具有固定填充的填充字节。这些填充字节可以被设置为O。
[0025]被映射的OPU被提供给加密和认证模块50。根据这里所提及的加密技术,加密和认证模块50被配置为仅向OTN净负荷的选定时隙(时隙组)应用加密/认证操作,因此限定了发送器20的计算负载。在这些示例中,多个加密/认证引擎60 (I)-60 (N)被配置为并行地加密或认证OPU净负荷的不同时隙。下面提供了这些并行的加密/认证操作的进一步细节。
[0026]FEC解码器模块55为OPU生成FEC代码。例如,FEC代码为通过净负荷(OPU)的列计算得出的Reed-Solomon代码。FEC代码允许检测和更正传输过程中因为信号减损而导致的比特错误。OTN扰码器57利用经加密的OPU和FEC代码生成被通过一个或多个光纤25发送的分组100。
[0027]如图1中所示,接收器30还可以接收分组101。在这样的示例中,OTN解扰器63解构分组101以获得FEC代码和经加密的0PU。经解构的信息被提供给FEC解码器模块65以进行FEC更正。然后,经加密的OPU被提供给解密和认证模块70。
[0028]与加密和认证模块50类似,解密和认证模块70包括多个解密/认证引擎90 (I)-90 (N),其中每个并行地执行对OPU净负荷的时隙中的一个或分组/块的解密和认证。
[0029]经加密的OPU被提供给OTN解映射模块75,OTN解映射模块75执行对OPU的解析、执行性能监控操作、并向客户端协议模块80提供从经解密的OPU提取的数据。客户端协议模块80将数据重组装成用于传递到目的地客户端35的格式。
[0030]图2为示出了根据这里提及的示例的由发送器执行以对数据进行加密以通过OTN传输的方法120的流程图。为便于说明,将参考图1中发送器20的元件和参考图3A、3B和4来描述方法120。图3A和3B为示出了加密/认证操作之前和之后的OTU分组的示意图。图4为示出了头部/尾部信息到OTU分组的映射的示意图。
[0031]方法120起始于125,其中0TU4帧被加密和认证模块50接收。图3A和3B示出了 0TU4帧200的示例。0TU4帧200在ITU-T标准G.709中被定义为包括OPU净负荷205、OPU开销(OH)字节210、OTU和ODU OH字节215、OTU FEC代码220、和三十二 (32)个填充字节222。OPU净负荷205被分为