技術領域

本文涉及自適應業務加密。特別地，本文涉及通過使用混合加密而對靈活光網絡的光學信號的加密。

背景技術

用于光網絡的已知加密解決方案相對于它們的端點而言是固定的。互相通信的光網絡元件(例如客戶端接口或者光鏈路的端點)執行靜態加密功能以便對在所述光網絡元件之間傳輸的有效載荷(payload)進行加密。由此光網絡元件以靜態的方式互相連接。光網絡加密通常通過線路加密來實施，即對WDM鏈路的某個通道進行加密，或者通過客戶端加密來實施，例如在兩個光網絡元件之間傳輸客戶端信號。對有效載荷進行加密所需的加密參數由例如網絡管理系統或密鑰管理實體的中央實例來提供。具體地，所述中央實例將用其對有效載荷進行加密的(多個)加密密鑰提供至光網絡元件，并且可選地提供用于例如在某個密鑰生命期之后進行密鑰更換的策略。

為了在所涉及的光網絡元件之間建立靜態關系以便獲得經加密的光傳輸路徑，從中央實例針對光網絡元件配置例如加密密鑰的相關加密參數。這是復雜且耗時的過程，因為加密參數需要以安全且可靠的方式被生成并傳輸至光網絡元件。密鑰生成、傳輸和實施的安全性和保障性方面的每個漏洞都對信號加密的安全性造成破壞。

通常使用例如AES加密的對稱加密方案，其針對加密和解密要求相同的密鑰。因此，加密參數必須被單獨傳輸至光網絡元件，因為所述光網絡元件位于不同的位置。

以上所提到的方法并不適用于靈活光網絡，即在多個光網絡元件之間頻繁改變連接的光網絡，因為每次連接重新配置之后都必須要執行用于向光網絡元件提供加密參數的耗時的過程。由于該過程操作的復雜性，所述連接重新配置僅可以緩慢地執行，這限制了網絡對于改變連接重新配置的服務請求的響應性。

對稱加密方案的一般缺陷在于，在密鑰被泄露—即被非授權第三方所獲知—的情況下，該第三方能夠執行中間人攻擊，在沒有為合法光網絡元件或用戶提供注意到這樣的攻擊的選項的情況下，獲取對于非加密(不受限制的)有效載荷的訪問并且可能對其進行修改元件。

因此需要提供一種用于光網絡的有所改進的靈活的業務加密方案，其在請求連接重新配置之后提供較短的響應時間以及光網絡中更高的加密服務可用性和可靠性。

發明內容

根據第一方面，描述了一種傳輸光網絡元件。該傳輸光網絡元件可以包括加密實體，其適于對該傳輸光網絡元件所接收到的有效載荷信號進行加密。所述有效載荷信號可以是例如以太網信號或光傳送系統的WDM鏈路。該傳輸光網絡元件進一步包括用于接收來自密鑰管理實體的密鑰信息的接口。該密鑰管理實體可以是用于為該傳輸光網絡元件和其它網絡元件提供密鑰信息的中央實例。優選地，所述密鑰管理實體在該傳輸光網絡元件的設置時提供該密鑰信息。在所述設置之后，該傳輸光網絡元件和該密鑰管理實體之間不進行密鑰信息的交換是必要的，但是為了支持例如作為密鑰生命期策略的一部分的密鑰更換，可選地可以進行密鑰信息的交換。

為了存儲所接收到的密鑰信息，傳輸光網絡元件進一步包括用于存儲由密鑰管理實體所接收到的至少一個公鑰的存儲裝置，其中該公鑰與經由光網絡連接至該傳輸光網絡元件以便傳輸數據的接收光網絡元件相關聯。優選地，該密鑰信息是由相關聯的密鑰對—也就是公鑰和私鑰—所組成的非對稱密鑰信息。

此外，該傳輸光網絡元件包括被配置為生成對稱加密密鑰的密鑰生成實體。基于密鑰管理實體所提供的非對稱密鑰信息和所述對稱加密密鑰，該傳輸光網絡元件適于執行一種混合加密方案，其在重新配置的需求或連接變化之后能夠引起高度靈活的光學系統重新配置。

為了執行混合加密方案，該傳輸光網絡元件可以包括用于和/或適于使用所生成的對稱加密密鑰對所接收的將要發送至接收光網絡元件的有效載荷進行加密的裝置。該傳輸光網絡元件可以進一步使用該接收光網絡元件的公鑰對所生成的對稱加密密鑰進行加密。使用對稱加密方案允許有效載荷數據的快速且幾乎同時的加密，而使用非對稱加密執行對稱加密密鑰的安全交換，因為交換對稱加密密鑰時的速度要求比加密有效載荷的速度要求慢得多。

在加密之后，經加密的有效載荷和經加密的對稱加密密鑰可以由傳輸光網絡元件經由光網絡傳輸至接收光網絡元件。

所提出的傳輸光網絡元件的主要優勢在于，其實現了加密光網絡中的高度連接靈活性，而在連接變化期間并不需要涉及到中央實例。因此，能夠以較短的時間周期t執行連接變化，優選地t<200ms，最為優選地t<50ms。因此，獲得了高度可用、快速且可靠的加密光網絡。