一种光传送网的安全管理信息处理方法及装置

摘要

本发明实施例提供了一种光传送网的安全管理信息处理方法及装置，该方法包括：在OSU中每间隔N个OSU帧插入OSU OAM安全管理帧，对所述N个OSU帧进行加密处理；将加密的安全帧帧头SFH承载到所述N个OSU帧之前的所述OSU OAM安全管理帧中，可以解决相关技术中如何确保OSU传输的安全问题，每间隔N个OSU帧插入OSU OAM安全管理帧，OSU OAM安全管理帧用于承载N个OSU帧加密使用的安全帧封装信息(SFH)，确保OSU帧的安全传输。

说明书

技术领域

本发明实施例涉及通信领域，具体而言，涉及一种光传送网的安全管理信息处理方法及装置。

背景技术

业内统一确定安全帧的基本结构由SFH+SFB+SFC组成。SFH(Secure FrameHeader，安全帧帧头)包括从加密端传输到解密端的安全控制信息以及其它安全传输关联的控制信息，SFB(Secure Frame Body，安全帧帧体)即为安全帧的加密和/或鉴权的净荷部分，SFC(Secure Frame Check，安全帧校验)即为安全帧鉴权校验值，SFC和SFH统一称之为安全帧的封装信息。FlexO的安全实现确定了安全帧的封装信息SFH和SFC承载在FlexO开销中。ODU安全实现方法因为ODU开销中保留字段较少，需要考虑采用复帧方式进行安全帧封装信息SFH和SFC的传输。

随着政企专线业务需求的增长，Sub1G的解决方案OSU(Optical Service Unit，光业务单元)技术已经完成方案收敛，技术落地测试也在推进。OSU技术主要将小颗粒业务映射到OSU中，将OTN(Optical Transport Network，光传送网)帧的净荷区划分为多个PB(Payload Block，净荷块)块，把OSU帧按照特定算法复用到PB块中，最后通过光口完成OSU的传输。OSU支持PM(Path Monitor，通道检测)和多个TCM(Tandem Connection Monitor，串联连接监测)层次的状态监测。OSU标准已经立项，技术讨论已经达成部分共识。在这种情况下，需要对OSU的安全实现方案需要进行研究，对应的解决方案也需要落地。

针对相关技术中如何确保OSU传输的安全问题，尚未提出解决方案。

发明内容

本发明实施例提供了一种光传送网的安全管理信息处理方法及装置，以至少解决相关技术中如何确保OSU传输的安全问题。

根据本发明的一个实施例，提供了一种光传送网的安全管理信息处理方法，所述方法包括：在OSU中每间隔N个OSU帧插入OSU OAM安全管理帧，对所述N个OSU帧进行加密处理；将加密的安全帧帧头SFH承载到所述N个OSU帧之前的OSU OAM(OperationAdministration Maintenance，操作管理维护)安全管理帧中，其中，所述OSU中每间隔所述N个OSU帧插入一个所述OSU OAM安全管理帧。

根据本发明的又一个实施例，还提供了一种光传送网的安全管理信息处理装置，所述装置包括：加密模块，用于对光业务单元OSU的N个OSU帧进行加密处理；承载模块，用于将加密的安全帧帧头SFH承载到所述N个OSU帧之前的所述OSU OAM安全管理帧中。

根据本发明的又一个实施例，还提供了一种计算机可读的存储介质，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。

根据本发明的又一个实施例，还提供了一种电子装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。

本发明实施例，在OSU中每间隔N个OSU帧插入OSU OAM安全管理帧，对所述N个OSU帧进行加密处理；将加密的安全帧帧头SFH承载到所述N个OSU帧之前的所述OSU OAM安全管理帧中，可以解决相关技术中如何确保OSU传输的安全问题，每间隔N个OSU帧插入OSU OAM安全管理帧，OSU OAM安全管理帧用于承载N个OSU帧加密使用的安全帧封装信息(SFH)，确保OSU帧的安全传输。

附图说明

图1是本发明实施例的光传送网的安全管理信息处理方法的移动终端的硬件结构框图；

图2是根据本发明实施例的光传送网的安全管理信息处理方法的流程图；

图3是根据本发明优选实施例的光传送网的安全管理信息处理方法的流程图；

图4为OSU OAM安全管理帧覆盖的Nx帧OSU示意图；

图5为OSU OAM安全管理帧开销字节位置示意图；

图6为OSU OAM安全管理帧各层次SFH和SFC示意图；

图7为本发明一可选实施例的身份认证流程示意图；

图8为本发明一可选实施例的身份认证流程中的消息格式示意图；

图9为本发明一可选实施例的TCM1层次OSU加密OAM安全管理帧示意图；

图10为本发明一可选实施例的TCM1层OSU加密示意图；

图11为本发明一可选实施例的PM+TCM1TCM2三层次加密OSU OAM安全管理帧示意图；

图12为PM、TCM1和TCM2层OSU加密示意图；

图13为本发明一可选实施例的Nx和Ny取固定OSU周期，Nz取不固定OSU周期的安全信息处理流程示意图；

图14为Nx和Ny取固定OSU周期，Nz取不固定OSU周期示意图(一)；

图15为Nx和Ny取固定OSU周期，Nz取不固定OSU周期示意图(二)；

图16为Nx和Ny取固定OSU周期，Nz取不固定OSU周期示意图(三)；

图17为根据本发明一可选实施例的身份认证流程具体消息示例流程图；

图18是根据本发明实施例的光传送网的安全管理信息处理装置的结构图；

图19是根据本发明优选实施例的光传送网的安全管理信息处理装置的结构图。

具体实施方式

下文中将参考附图并结合实施例来详细说明本发明的实施例。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

本申请实施例中所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在移动终端上为例，图1是本发明实施例的光传送网的安全管理信息处理方法的移动终端的硬件结构框图，如图1所示，移动终端可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104，其中，上述移动终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述移动终端的结构造成限定。例如，移动终端还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。

存储器104可用于存储计算机程序，例如，应用软件的软件程序以及模块，如本发明实施例中的光传送网的安全管理信息处理方法对应的计算机程序，处理器102通过运行存储在存储器104内的计算机程序，从而执行各种功能应用以及业务链地址池切片处理，即实现上述的方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至移动终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括移动终端的通信供应商提供的无线网络。在一个实例中，传输装置106包括一个网络适配器(Network Interface Controller，简称为NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置106可以为射频(Radio Frequency，简称为RF)模块，其用于通过无线方式与互联网进行通讯。

在本实施例中提供了一种运行于上述移动终端或网络架构的光传送网的安全管理信息处理方法，图2是根据本发明实施例的光传送网的安全管理信息处理方法的流程图(一)，如图2所示，该流程包括如下步骤：

步骤S202，在OSU中每间隔N个OSU帧插入OSU OAM安全管理帧，对所述N个OSU帧进行加密处理；

步骤S204，将加密的安全帧帧头SFH承载到所述N个OSU帧之前的所述OSU OAM安全管理帧中。

通过上述步骤S202至步骤S204，在OSU中每间隔N个OSU帧插入OSU OAM安全管理帧，对所述N个OSU帧进行加密处理；将加密的安全帧帧头SFH承载到所述N个OSU帧之前的所述OSU OAM安全管理帧中，可以解决相关技术中如何确保OSU传输的安全问题，每间隔N个OSU帧插入OSU OAM安全管理帧，OSU OAM安全管理帧用于承载N个OSU帧加密使用的安全帧封装信息(即SFH)，确保OSU帧的安全传输。

在一个可选的实施例中，所述方法还包括：对所述N个OSU帧进行鉴权所需的完整性计算，并将鉴权所需的安全帧校验SFC承载到N个OSU帧之后的所述OSU OAM安全管理帧中。

即，对N个OSU帧进行完整性计算并将安全帧校验SFC承载到OSU OAM安全管理帧中。

在一个可选的实施例中，在上述步骤S202之前，所述方法还包括：与加密宿端进行双向身份认证。

即，在对OSU帧进行加密前，还需要和加密宿端进行双向身份认证，进一步的，向加密宿端发送第一身份认证请求消息，其中，所述第一身份认证请求消息中携带有鉴权信息与处理后的第一私钥信息；接收所述加密宿端根据所述鉴权信息进行认证且认证通过之后发送的第一身份认证响应消息，其中，所述第一身份认证响应消息中携带有处理后的第二私钥信息与加密信息，所述加密信息是所述加密宿端根据所述处理后的第一私钥信息与所述第二私钥信息得到的临时K对所述第二私钥信息进行加密得到的；根据所述第一私钥信息与所述处理后的第二私钥信息得到的临时K，根据所述临时K对所述加密信息进行解密得到所述第二私钥信息，若所述第二私钥信息与所述第一身份认证响应消息中携带的所述处理后的第二私钥信息一致，向所述加密宿端发送第二身份认证请求消息，其中，所述第二身份认证请求消息中携带有鉴权主体信息；接收所述加密宿端在对所述鉴权主体信息进行校验且校验通过之后发送的第二身份认证响应消息，其中，所述第二身份认证响应消息中携带有认证成功信息。

简而言之，与加密宿端进行双向身份认证需要，先向加密宿端发送身份认证请求消息并接收认证响应，再得到加密信息和临时K，根据临时K得到第二私钥信息，在验证第二私钥信息一致后再次发送验证请求，接收验证反馈信息。

在一个可选的实施例中，在将所述N个OSU帧的安全帧封装信息承载到所述OSUOAM安全管理帧中之后，将承载所述OSU OAM安全管理帧的所述OSU帧发送给所述加密宿端，其中，所述加密宿端用于根据所述OSU OAM安全管理帧解密所述OSU帧。

即，在安全帧封装信息承载到OSU OAM安全管理帧中后，还需要将OSU帧发送给用于解密OSU帧的加密宿端，其中，安全帧封装信息包括SFH和/或SFC。

在一个可选的实施例中，在上述步骤S202具体可以包括：若从所述OSU中未检测到所述OSU OAM安全管理帧，则所述OSU的当前加密层级A为OSU帧的M个加密层次中第一个启动的加密层级，每间隔N个OSU帧插入所述OSU OAM安全管理帧，对所述N个OSU帧进行加密处理，将OAM帧中的加密层级A的加密状态设置为已加密，将其中的N值设置为已知值。

在一个可选的实施例中，若从所述OSU中检测到所述OSU OAM安全管理帧，则所述OSU的当前加密层级A不是所述OSU帧的M个加密层次中第一个启动的加密层级，对所述N个OSU帧进行加密处理，并将产生的安全封装信息承载在所述OSU OAM管理帧的加密层级B对应的开销中。

即，在对OSU帧进行加密处理之前，还需要先判断当前层级是否为第一个启动的加密层级，若是，则在OSU帧中每间隔N个OSU帧插入一个OSU OAM安全管理帧；若否，则从OSU帧中识别OSU OAM安全管理帧。

在一个可选的实施例中，启动OSU帧的加密功能，或者启动所述OSU帧的加密与鉴权功能。

即，需要先启动OSU帧的加密功能，再判断当前层级是够为第一个启动的加密层级。或者需要先启动OSU帧的鉴权功能，再判断当前层级是够为第一个启动的加密层级。

在一个可选的实施例中，根据OSU安全管理帧可用带宽与加密处理时延要求确定所述N的值。

即，需要先确定N，再判断当前层级是否为第一个启动的加密层级。

在一个可选的实施例中，在从所述OSU帧中识别所述OSU OAM安全管理帧之后，从所述OSU OAM安全管理帧中获取所述加密层级A的加密源端的加密状态与所述N的值，同时确定启用加密层级B的加密功能，或者，加密与鉴权功能；将所述加密层次B的加密状态设置为已加密状态，并承载在所述OSU OAM安全管理帧中。

即，在从OSU帧中识别OSU OAM安全管理帧之后，还需要从OSU OAM安全管理帧中获取加密层级A的加密源端的加密状态与N的值，同时启动加密功能或加密与鉴权功能，再将加密层次B的加密状态设置为已加密状态，并承载在OSU OAM安全管理帧中。

在一个可选的实施例中，上述步骤S204包括：将安全帧封装信息承载在所述OSUOAM安全管理帧中所述加密层级A对应的开销中。

即，将安全帧帧头SFH承载到OSU OAM安全帧中，需要将安全帧封装信息承载在加密层级A对应的开销中，其中，所述OSU OAM安全管理帧包括M个加密层级对应的用于存储加密状态的开销、存储N值的开销以及M个加密层级的用于存储安全帧帧头SFH和/或安全帧校验SFC的开销，所述安全帧封装信息包括安全帧帧头SFH和/或安全帧校验SFC。

在一个可选的实施例中，将所述N的值与所述当前加密层级的已加密状态承载在所述OSU OAM安全管理帧中。即，还可以将N值与已加密状态承载在OSU OAM安全管理帧中。

图3是根据本发明优选实施例的光传送网的安全管理信息处理方法的流程图，如图3所示该流程包括如下步骤：

步骤S302，从接收到的OSU中识别OSU OAM安全管理帧；

步骤S304，根据所述OSU OAM安全管理帧解密所述OSU。

在一个可选的实施例中，上述步骤S304包括：从所述OSU OAM安全管理帧中识别加密层级A的加密状态；在所述加密层级A的加密状态为已加密状态且为所述加密层级A的解密端的情况下，根据所述OSU OAM安全管理帧解密所述OSU。

即，根据OSU OAM安全管理帧解密OSU帧需要，先识别加密层A的加密状态；再根据OSU OAM安全管理帧解密OSU。

在一个可选的实施例中，上述步骤S304包括：从所述OSU OAM安全管理帧中提取N的值与SFH；判断所述OSU帧中相邻OAM帧间隔的OSU帧的数量是否为N；在判断结果为是的情况下，根据所述SFH对N个OSU帧进行解密，得到明文OSU。

即，根据OSU OAM安全管理帧解密OSU帧需要，先确定相邻OAM帧间隔的OSU帧数量是N；再根据SFH对OSU帧进行解密，得到明文OSU。

在一个可选的实施例中，根据所述SFH对N个OSU帧进行解密，得到明文OSU包括：若所述OSU OAM安全管理帧中还承载有所述N个OSU帧鉴权使用的安全帧校验SFC，根据所述SFC对所述N个OSU帧进行鉴权处理；在鉴权通过之后，根据所述SFH对N个OSU帧进行解密，得到所述明文OSU。

即，需要先根据SFC对N个OSU帧进行鉴权处理，再根据SFH对OSU帧进行解密，得到明文OSU帧。

在一个可选的实施例中，所述方法还包括：在所述加密层级A的加密状态为已加密状态且不为所述加密层级A的解密端的情况下，透传所述OSU帧。

即，还可以在加密状态却不为解密端的条件下，透传OSU帧。

在一个可选的实施例中，将所述OSU OAM安全管理帧中加密层级A的加密状态设置为未加密。即，还可以将加密状态清除，设置为未加密。

在一个可选的实施例中，鉴权结合加密的OSU安全实现方法如下：

步骤1：OSUP或OSUT生成后，可以任选层次Q启用加密和鉴权，如果当前的Q层是该OSU业务所有层次中第一个启用加密的层次，则由本端每隔Nx个OSU帧插入一个OSU OAM安全管理帧，将对Nx个OSU帧进行加密和鉴权生成的安全帧封装信息承载到该OSU OAM安全管理帧中。如果本层加密源端不是该OSU业务启用的第一个加密层次，则识别OSU帧中的OSUOAM安全管理帧，将对Nx个OSU帧进行加密和鉴权生成的安全帧封装信息承载到该OSU OAM安全管理帧中。

步骤2：将Nx值承载在OSU OAM安全管理帧中，该Nx值针对同一个OSU业务时是可变，Nx即为两个OSU OAM安全管理帧之间的OSU帧数，图4为OSU OAM安全管理帧覆盖的Nx帧OSU示意图，如图4所示，Nx的选定需要综合考虑三种因素的影响，OSU OAM安全管理帧带宽，OSU加密和鉴权引入的缓存和延时，以及加密算法的加密块大小。

步骤3：图5为OSU OAM安全管理帧开销字节位置示意图如图5所示，在OSU OAM安全管理帧的开销中分别定义表征OSU的M个层次加密的状态指示，进行加密状态和未加密状态的区分。

步骤4：如果该层次Q的加密源端不启用加密和鉴权功能，那么该层次的加密状态设置为未加密状态，透传其它层次的OSU OAM安全管理帧。如果层次Q的加密源端启用加密和鉴权功能，则该Q层次的加密状态设置为加密状态。

步骤5：图6为OSU OAM安全管理帧各层次SFH和SFC示意图如图6所示，Q层的加密源端对相邻OSU OAM管理帧之间的Nx个的OSU帧按照128bit划分block进行加密和鉴权，并将加密鉴权生成的安全帧封装信息承载在对应层次的OSU OAM安全管理帧中。

步骤6：加密宿端节点进行OSU OAM安全管理帧识别，从OSU OAM安全管理帧中识别某个Q层加密状态，同时判断本节点是否对应Q层次的解密端，如果是，提取OSU OAM安全管理帧中的Nx值和安全加密开销，并判断相邻2个OSU OAM帧间隔的OSU帧数量是否为Nx，如果是，使用安全加密开销对Nx个OSU帧进行鉴权和解密，得到OSU Q层次解密后的明文。如果识别本节点不是对应Q层次的解密端，或者本节点启用是P层次的加密(Q不等于P)，则透传对应的OAM安全管理帧和OSU帧。

在一个可选的实施例中，加密结合认证的OSU安全实现方法如下：

在启动加密算法前，进行身份验证，源端和收端身份验证通过后，则启动加密流程。在业务从中断到恢复时或者加密算法套件切换到仅加密算法时，启用身份认证流程。图7为本发明一可选实施例的身份认证流程示意图，如图7所示，包括：

步骤S1，身份认证请求消息类型I；

步骤S2，身份认证响应消息类型I或者类型II；

步骤S3，身份认证请求消息类型II或者响应消息类型II；

步骤S4，身份认证响应消息类型II。

图8为本发明一可选实施例的身份认证流程中的消息格式示意图，如图8所示，身份认证请求消息类型I包括固定鉴权信息和私钥材料信息；身份认证响应消息类型I包括随机鉴权信息和私钥材料信息；身份认证请求消息类型II包括鉴权主体信息；身份认证响应消息类型II包括鉴权结果。

图9为本发明一可选实施例的TCM1层次OSU加密OAM安全管理帧示意图，如图9所示，A和B节点对应一个OTN的支线路合一功能设备，A1和A2节点分别对应着A节点的不同功能点，A1对应着客户业务生成OSUP或者OSUP中解出客户业务，A2对应着OSUT开销处理功能和复用到OPU的适配功能点或者从OPU重解复用到OSU以及OSUT的开销处理。B1和B2节点对应着B节点的不同功能点，具体功能等同于A1和A2节点的逆过程。包括如下步骤：

步骤S1，CBR业务Client映射成OSU；同时，PM加密未启用；

步骤S2,生成OSU帧；同时，确定Nx帧，加密鉴权完成，OAM安全管理中插入Nx和TCM1加密为已加密状态；

步骤S3，生成OSU帧+OSU OAM安全管理帧；同时，本地获取TCM1层加密启用，识别OSUOAM安全管理帧，获取加密源端TCM1为已加密状态的Nx值，进行鉴权解密，清除TCM1加密启用状态；

步骤S4，生成OSU帧；

步骤S5,CBR业务ClientA。

具体地，包括：步骤1，A1端，业务ClientA映射到OSU后，OSU和PB长度均为192字节，划分为12个128bit块。PM层次不启用加密功能，则不插入OAM安全管理帧。

步骤2，A2端从本地获知本端设置了启用TCM1加密，同时识别TCM1层是当前OSU业务启用的第一层加密层次，确定Nx值，在均衡考虑Nx值的限制条件下，Nx可取值为64，在结合身份认证流程的情况下，可以考虑Nx取值更大，如128。

步骤3，A2端按每隔64个OSU帧周期插入一个OAM安全管理帧，将Nx＝64和TCM1层次的已加密状态承载在该OSU OAM安全管理帧中。对64个连续的OSU帧即768块128bitblock进行加密鉴权，并将加密鉴权生成的OSU安全帧封装信息承载在OSU OAM安全管理帧的TCM1层次的安全帧封装信息中，如图10所示，图10为本发明一可选实施例的TCM1层OSU加密示意图。

步骤4，B1端识别到OSU OAM安全管理帧后，从OSU OAM安全管理帧中得到TCM1层源端是已经加密状态，Nx值为64和加密鉴权得到的安全帧封装信息，同时从本地获知本端启用了TCM1层次的加密鉴权功能，判断本端是TCM1层次的解密端，进一步判断相邻2个OSUOAM安全管理帧之间的OSU帧数是否为Nx个，如果是，使用安全帧封装信息对Nx个OSU帧进行鉴权解密即得到OSU TCM1层次解密后的明文。

步骤5，B2端将OSU明文解映射得到业务ClientA。

图11为本发明一可选实施例的PM+TCM1TCM2三层次加密OSU OAM安全管理帧示意图，A节点和B节点之间通过OTU2相接，B和C节点之间通过OTU4相接。客户侧接入CBR业务clientA，速率为155.520Mbit/s，通过映射产生OSU帧，在A1端对OSU进行PM层次加密鉴权。在A2端对OSU进行TCM1层次加密鉴权，B1端对OSU进行TCM1层次鉴权解密，在B2端对OSU进行TCM2层次加密鉴权，C1端对OSU进行TCM2层次鉴权解密。在C2端对OSU PM层次进行鉴权解密最终得到CBR业务ClientA，如图11所示，包括：

步骤S1，CBR业务Client映射成OSU，确定加密周期为Nx；同时，Nx帧加密鉴权完成，OAM安全管理帧中插入Nx，PM加密状态为已加密状态和加密鉴权后的安全帧封装信息；

步骤S2,生成OAM安全管理帧；同时，识别OAM安全管理帧，获取PM为已加密状态和Nx，本端TCM1启动加密鉴权，当前OAM帧中插入TCM1加密启用状态；

步骤S3，生成OAM安全管理帧；同时，本地获取TCM1加密鉴权启用，识别OAM安全管理帧，获取加密源端PM+TCM1为已加密状态和OSU帧周期Nx，进行TCM1层鉴权解密，清除TCM1加密启用状态；

步骤S4，生成OAM安全管理帧；同时，识别OAM安全管理帧，获取加密源端PM为已加密状态和Nx，本端TCM2启动加密鉴权，当前OAM帧中插入TCM2加密启用状态；

步骤S5,生成OAM安全管理帧；同时，识别OAM安全管理帧，获取加密源端PM+TCM2已加密状态和Nx，进行TCM2层鉴权解密，清除TCM2加密启用状态；

步骤S6,生成OAM安全管理帧；同时，识别OAM安全管理帧，获取加密源端PM为已加密状态和Nx，进行PM层鉴权解密，中介OAM安全管理帧，获取OSU(CBR)原文；

步骤S7,得到业务ClientA。

具体地，包括：步骤1，A1端，业务ClientA映射到OSU后，OSU和PB长度均为192字节，划分为12个128bit块。A1端从本地获知本端设置了启动PM层加密PM层即为第一个加密鉴权的层次确定Nx值，在均衡考虑Nx值的限制条件下，Nx可取值为64，在结合身份认证流程的情况下，可以考虑Nx取值更大，如128。

步骤2，A1端按每隔64个OSU帧周期插入一个OAM安全管理帧，将Nx＝64和PM层次的已加密状态承载在该OSU OAM安全管理帧中。对64个连续的OSU帧即768块128bit block进行加密鉴权，并将加密鉴权生成的OSU安全帧封装信息承载在OSU OAM安全管理帧的PM层次的安全帧封装信息中，如图12所示，图12为PM、TCM1和TCM2层OSU加密示意图。

步骤3，A2端识别到OSU OAM安全管理帧后，从OSU OAM安全管理帧中得到PM层源端是已经加密状态，Nx值为64，同时从本地获知本端启用了TCM1层次的加密鉴权功能，判断本端是TCM1层次的加密源端，将TCM1层次加密状态设置为已加密状态承载在该OSU OAM安全管理帧中。A2端即对TCM1层次中的64个连续OSU帧进行鉴权加密，并将加密鉴权生成的OSU安全帧封装信息承载在当前的OSU OAM安全管理帧的TCM1层次的安全帧封装信息中。

步骤4，B1端识别到OSU OAM安全管理帧后，从OSU OAM安全管理帧中得到PM+TCM1层源端是已经加密状态，Nx值为64和加密鉴权得到的PM和TCM1层次的安全帧封装信息，同时从本地获知本端启用了TCM1层次的加密鉴权功能，判断本端是TCM1层次的解密端，清除OAM帧中的TCM1加密状态为未加密状态，进一步判断相邻2个OSU OAM安全管理帧之间的OSU帧数是否为Nx＝64个，如果是，使用安全帧封装信息对Nx个OSU帧进行鉴权解密即得到OSUTCM1层次解密后的明文。

步骤5，B2端识别到OSU OAM安全管理帧后，从OSU OAM安全管理帧中得到PM层源端是已经加密状态，Nx值为64和和加密鉴权得到的PM层次的安全帧封装信息，同时从本地获知本端启用了TCM2层次的加密鉴权功能，判断本端是TCM2层次的加密源端，将TCM2层次的加密状态设置为已加密状态承载在该OSU OAM安全管理帧中。B2端即对64个连续OSU帧TCM2层次进行加密鉴权，并将加密鉴权生成的OSU安全帧封装信息承载在当前的OSU OAM安全管理帧的TCM2层次的安全帧封装信息中。

步骤6，C1端识别到OSU OAM安全管理帧后，从OSU OAM安全管理帧中得到PM+TCM2层源端是已经加密状态，Nx值为64和加密鉴权得到的PM和TCM2层次的安全帧封装信息，同时从本地获知本端启用了TCM2层次的加密鉴权功能，判断本端是TCM2层次的解密端，清除OAM帧中的TCM2加密状态为未加密状态，进一步判断相邻2个OSU OAM安全管理帧之间的OSU帧数是否为Nx＝64个，如果是，使用安全帧封装信息对Nx个OSU帧进行鉴权解密即得到OSUTCM2层次解密后的明文。

步骤7，C2端识别到OSU OAM安全管理帧后，从OSU OAM安全管理帧中得到PM层源端是已经加密状态，Nx值为64和加密鉴权得到的PM层次的安全帧封装信息，同时从本地获知本端启用了PM层次的加密鉴权功能，判断本端是PM层次的解密端，清除OAM帧中的PM加密状态为未加密状态，进一步判断相邻2个OSU OAM安全管理帧之间的OSU帧数是否为Nx＝64个，如果是，使用安全帧封装信息对Nx个OSU帧进行鉴权解密即得到OSU PM层次解密后的明文。

步骤8，C2端对OSU进行解映射得到业务ClientA。

图13为本发明一可选实施例的Nx和Ny取固定OSU周期，Nz取不固定OSU周期的安全信息处理流程示意图，A节点和B节点之间通过OTU2连接，客户侧三种不同业务ClientA、ClientB和ClientC,ClientA为CBR业务，速率为155Mbit/s，ClientB为PKT业务，最大保证流量100Mbit/s，ClientC为PKT业务，最大保证流量200Mbit/s，三种业务分别映射产生三种OSU帧，在A1端确定对三种OSU分别进行PM层加密鉴权。在B2端对三种OSU PM层次进行鉴权解密，最终通过解映射分别得到CBR业务ClientA、PKT业务ClientB和PKT业务ClientC，包括如下步骤：

步骤S1，CBR业务ClientA 155M，选定Nx＝32；同时，Nx值插入开销和PM加密启用；

步骤S2，生成OAM安全管理帧A；同时，识别PM是加密，识别Nx鉴权解密，解密出OSU明文；

步骤S3,得到CBR业务ClientA；

步骤S4，PKT业务ClientB 100M，选定Ny＝40；同时，Ny值插入开销和PM加密启用；

步骤S5，生成OAM安全管理帧B；

步骤S6,得到PKT业务ClientB；

步骤S7，PKT业务ClientC 200M，实际业务流量在40到160M之间变更，选定Nz(16+delta*n)；同时，Nz值插入开销和PM加密启用；

步骤S8，生成OAM安全管理帧C；

步骤S9,得到PKT业务ClientC。

具体地，包括：步骤1，A1端，业务ClientA映射到OSU后，OSU和PB长度为192字节，PB速率2.6M。根据OSU速率166Mbit/s和对应PB速率得到Nx的建议取值为64，即在同一个服务层OPU中占用64个PB。OAM安全管理帧带宽占业务带宽为1/Nx，考虑到OAM带宽的开销，Nx值越大越好。帧长为192字节满足为加密块128bit的倍数。实时鉴权对OSU帧缓存和时延的影响，需要Nx越小越好。在带宽充足情况下可以采用带宽换取延时，即Nx为32。即可以采用固定32个OSU帧周期进行加密和鉴权。

业务ClientB最大保证流量100Mbit/s，OSU实际速率最大为104Mbit/s，如上获取原则Ny的建议取值为40，可根据实际带宽和PKT业务对延时的要求情况选择Ny为40。

当业务ClientC的实际流量变化较大，统计值在40Mbit/s到160Mbit/s范围内变化，OSU实际速率最大为41.6M～166.4Mbit/s，Nz值推荐范围为16到64之间变化的。按照统计流量的变化趋势步进delta来增加或者减少Nz值。

步骤2，A1端，业务ClientA生成的OSU帧，按每隔64个OSU帧周期插入一个OAM安全管理帧，将Nx＝64和PM层次的已加密状态承载在该OSU OAM安全管理帧中。对64个连续的OSU帧即768块128bit block进行加密鉴权，并将加密鉴权生成的OSU安全帧封装信息承载在OSU OAM安全管理帧的PM层次的安全帧封装信息中。

业务ClientB生成OSU帧，按每隔40个OSU帧周期插入一个OAM安全管理帧，将Nx＝40和PM层次的已加密状态承载在该OSU OAM安全管理帧中。对40个连续的OSU帧即480块128bit block进行加密鉴权，并将加密鉴权生成的OSU安全帧封装信息承载在OSU OAM安全管理帧的PM层次的安全帧封装信息中。

业务ClientC生成OSU帧，按每隔Nz个OSU帧周期插入一个OAM安全管理帧，根据统计值如果业务流量为40Mbit/s，按照Nz＝16对OSU帧进行加密鉴权，流量增加某个量级，如可选以1Mbit/s为单位，按照Nz＝16+delta方式步进，delta为每1Mbit/s增加4。将Nz的实时值和PM层次的已加密状态承载在该OSU OAM安全管理帧中。对Nz个连续的OSU帧即Nz*12块128bit block进行加密鉴权，并将加密鉴权生成的OSU安全帧封装信息承载在OSU OAM安全管理帧的PM层次的安全帧封装信息中。

步骤3，B2端识别到ClientA OSU业务的OSU OAM安全管理帧后，从OSU OAM安全管理帧中得到该OSU业务的PM层源端是已经加密状态，Nx值以及各OSU业务加密鉴权得到的安全帧封装信息，同时从本地获知本端都设置了PM层次启用加密鉴权功能，判断本端是PM层次的解密端，进一步判断相邻2个OSU OAM安全管理帧之间的OSU帧数是否为Nx个，如果是，使用安全帧封装信息对Nx个OSU帧进行鉴权解密即得到OSU PM层次解密后的明文，对OSU进行解映射得到业务ClientA，如图14所示，图14为Nx和Ny取固定OSU周期，Nz取不固定OSU周期示意图(一)。

B2端识别到ClientB OSU业务的OSU OAM安全管理帧后，从OSU OAM安全管理帧中得到该OSU业务的PM层源端是已经加密状态，Ny值以及各OSU业务加密鉴权得到的安全帧封装信息，同时从本地获知本端都设置了PM层次启用加密鉴权功能，判断本端是PM层次的解密端，进一步判断相邻2个OSU OAM安全管理帧之间的OSU帧数是否为Ny个，如果是，使用安全帧封装信息对Ny个OSU帧进行鉴权解密即得到OSU PM层次解密后的明文，对OSU进行解映射得到业务ClientB，如图15所示，图15为Nx和Ny取固定OSU周期，Nz取不固定OSU周期示意图(二)。

B2端识别到ClientC OSU业务的OSU OAM安全管理帧后，从OSU OAM安全管理帧中得到该OSU业务的PM层源端是已经加密状态，Nz值以及各OSU业务加密鉴权得到的安全帧封装信息，同时从本地获知本端都设置了PM层次启用加密鉴权功能，判断本端是PM层次的解密端，进一步判断相邻2个OSU OAM安全管理帧之间的OSU帧数是否为Nz个，如果是，使用安全帧封装信息对Nz个OSU帧进行鉴权解密即得到OSU PM层次解密后的明文。对OSU进行解映射得到业务ClientC，如图16所示，图16为Nx和Ny取固定OSU周期，Nz取不固定OSU周期示意图(三)。

图17为根据本发明一可选实施例的身份认证流程具体消息示例流程图，加密结合身份认证流程，两端OTN设备A节点和B节点之间通过OTU2连接，A节点客户侧接入CBR业务ClientA，速率为155.520Mbit/s，通过映射产生OSU帧。在加密流程启动前，A节点发起身份认证流程，A和B节点分别对对端发送过来的信息进行校验认证，所有身份认证的消息经过GFP封装后，插入KCC(Key Exchange Communication Channel，秘钥交换通信通道)通道发送到对端，身份认证完成后，启用纯加密流程，如图17所示，包括：

步骤S1，请求消息类型I(固定鉴权信息和私有私钥信息)；同时，校验固定鉴权信息与本地存储；

步骤S2，响应消息类型I(加密后的私有秘钥信息和私有秘钥信息)/响应消息类型II(认证失败)；同时，校验转换的私有秘钥信息和收到的私有秘钥信息；

步骤S3，请求消息类型II(加密后的身份认证信息)或者响应消息类型II(认证失败)；同时，校验本地对称转换后的身份认证信息和收到的信息是否一致；

步骤S4，响应消息类型II(认证成功或失败)。

具体地，包括：步骤1：A节点加密实体给B节点发送身份认证请求消息类型I，携带固定鉴权信息以及本节点的私有密钥材料信息，如可选为时间戳或者计数器经过DF算法生成后的信息，固定鉴权信息可选为两端都保存的如端口号或者IP信息甚至用户名经过单向如算法转换后的信息。

步骤2：B节点收到身份认证消息类I后，先判固定鉴权信息是否为自己预期的通信对象，否的话回复一条身份认证响应消息类型II，携带鉴权失败信息。

步骤3：如果B节点校验用户一致后，产生本节点的私有秘钥材料信息，如可选为随机时戳或者计数器值，根据DF算法生成后的信息和A节点的私有秘钥材料信息得到临时Ki(Key Index，密钥索引)，并且将对本节点的私有秘钥材料信息加密后的信息和本节点的私有秘钥材料信息，通过身份认证响应消息类型I发送给A节点。

步骤4：A节点收到身份认证响应消息类型I，提取B节点发送的私有秘钥材料信息，结合本节点的私有秘钥材料信息，通过DF算法得到临时Ki，对身份认证响应消息类型I中携带的加密信息进行解密，同时判定解密后的信息和消息中携带的B节点的私有秘钥信息是否一致，如果相同初步认为B节点合法，A节点继续下一步的认证流程。

步骤5，A节点使用如用户名和密码等两端存储的信息，通过某些算法转换后的信息，可选地如HASH或者HASH结合异或算法等，作为鉴权主体信息通过身份认证请求信息类型II发送给B节点。

步骤6，B节点收到身份认证请求信息类型II后，对本端存储的信息采用对称的算法转换后，校验鉴权主体信息，比较两者是否一致，相同的话则返回身份认证响应消息类型II，携带认证成功信息。

步骤7，A节点收到认证成功后，启动加密流程，SFC信息按照默认值处理。

本发明的实施例还提供了一种光传送网的安全管理信息处理装置，图18是根据本发明实施例的光传送网的安全管理信息处理装置的结构图，如图18所示，该装置包括：

加密模块1802，用于在光业务单元OSU中每间隔N个OSU帧插入OSU OAM安全管理帧，对所述N个OSU帧进行加密处理；

承载模块1804，用于将加密的安全帧帧头SFH承载到所述N个OSU帧之前的所述OSUOAM安全管理帧中。

在一个可选的实施例中，所述装置还包括：

鉴权计算模块，用于对所述N个OSU帧进行鉴权所需的完整性计算，并将得到的鉴权所需的安全帧校验SFC承载到所述N个OSU帧之后的OSU OAM安全管理帧中。

在一个可选的实施例中，所述装置还包括：

身份认证模块，用于与加密宿端进行双向身份认证。

在一个可选的实施例中，所述装置还包括：

确定模块，用于根据OSU安全管理帧可用带宽与加密处理时延要求确定所述N的值。

在一个可选的实施例中，所述加密模块1802，还用于

若从所述OSU中未检测到所述OSU OAM安全管理帧，则所述OSU的当前加密层级A为OSU帧的M个加密层次中第一个启动的加密层级，每间隔N个OSU帧插入所述OSU OAM安全管理帧，对所述N个OSU帧进行加密处理，将OAM帧中的加密层级A的加密状态设置为已加密，将其中的N值设置为已知值。

在一个可选的实施例中，所述装置还包括：

处理模块，用于若从所述OSU中检测到所述OSU OAM安全管理帧，则所述OSU的当前加密层级A不是所述OSU帧的M个加密层次中第一个启动的加密层级，对所述N个OSU帧进行加密处理，并将产生的安全封装信息承载在所述OSU OAM管理帧的加密层级B对应的开销中。

在一个可选的实施例中，所述装置还包括：

获取模块，用于从所述OSU OAM安全管理帧中获取所述加密层级A的加密源端的加密状态与所述N的值，同时确定启用加密层级B的加密处理；

设置模块，用于将所述OSU OAM安全管理帧中的加密层次B的加密状态设置为已加密状态。

在一个可选的实施例中，所述OSUOAM安全管理帧包括M个加密层级对应的用于存储加密状态的开销、存储N值的开销，以及M个加密层级的用于存储安全帧帧头SFH和/或安全帧校验SFC的开销。

在一个可选的实施例中，所述承载模块1804，还用于

将安全帧封装信息承载在所述OSU OAM安全管理帧中所述加密层级A对应的开销中，其中，所述安全帧封装信息包括安全帧帧头SFH和/或安全帧校验SFC。

在一个可选的实施例中，所述承载模块1804，还用于

将所述N的值与所述当前加密层级的已加密状态承载在所述OSU OAM安全管理帧中。

图19是根据本发明优选实施例的光传送网的安全管理信息处理装置的结构图，如图19所示，该装置包括：

识别模块1902，用于从接收到的所述OSU中识别OSU OAM安全管理帧；

解密模块1904，用于根据所述OSU OAM安全管理帧解密所述OSU。

在一个可选的实施例中，所述解密模块1904还用于：从所述OSU OAM安全管理帧中识别加密层级A的加密状态；在所述加密层级A的加密状态为已加密状态且为所述加密层级A的解密端的情况下，根据所述OSU OAM安全管理帧解密所述OSU。

即，根据OSU OAM安全管理帧解密OSU帧需要，先识别加密层A的加密状态；再根据OSU OAM安全管理帧解密OSU。

在一个可选的实施例中，所述解密模块还用于：从所述OSU OAM安全管理帧中提取N的值与SFH；判断所述OSU帧中相邻OAM帧间隔的OSU帧的数量是否为N；在判断结果为是的情况下，根据所述SFH对N个OSU帧进行解密，得到明文OSU。

即，根据OSU OAM安全管理帧解密OSU帧需要，先确定相邻OAM帧间隔的OSU帧数量是N；再根据SFH对OSU帧进行解密，得到明文OSU。

在一个可选的实施例中，所述解密模块还用于：若所述OSU OAM安全管理帧中还承载有所述N个OSU帧鉴权使用的安全帧校验SFC，根据所述SFC对所述N个OSU帧进行鉴权处理；在鉴权通过之后，根据所述SFH对N个OSU帧进行解密，得到所述明文OSU。

即，需要先根据SFC对N个OSU帧进行鉴权处理，再根据SFH对OSU帧进行解密，得到明文OSU。

在一个可选的实施例中，所述装置还包括：第一处理模块，用于在所述加密层级A的加密状态为已加密状态且不为所述加密层级A的解密端的情况下，透传所述OSU。

即，还可以在加密状态却不为解密段的条件下，透传OSU帧。

在一个可选的实施例中，所述装置还包括：第一处理模块，用于将所述OSU OAM安全管理帧中加密层级A的加密状态设置为未加密。

本发明的实施例还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有计算机程序，其中，该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。

在一个示例性实施例中，上述计算机可读存储介质可以包括但不限于：U盘、只读存储器(Read-Only Memory，简称为ROM)、随机存取存储器(Random Access Memory，简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。

本发明的实施例还提供了一种电子装置，包括存储器和处理器，该存储器中存储有计算机程序，该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。

在一个示例性实施例中，上述电子装置还可以包括传输设备以及输入输出设备，其中，该传输设备和上述处理器连接，该输入输出设备和上述处理器连接。

本实施例中的具体示例可以参考上述实施例及示例性实施方式中所描述的示例，本实施例在此不再赘述。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。