OTN系统安全防护和加密技术应用研究

加密存储：对于敏感文件，可以使用加密技术保护信息安全。 #生活技巧# #组织技巧# #文件管理系统#

OTN系统的安全加密技术

在OTN设备系统L1层安全加密的优势主要体现在时延、带宽利用率和业务支持，其与 L2/L3 层加密的对比如表所示。目前，对OTN设备系统光信号、电信号的加密保护，有以下几种方式：

a）基于数字包封技术的电信号加密。数字包封技术在OTN网络的光通路层得到了广泛应用。基于数字包封技术的加密可以在不区分业务的情况下，对在OTN网络上传输的数据进行加密保护，是一种有效的加密保护方法。此方法首先解波分复用，然后在每个波长上针对数字包进行加密护。

b）基于光包加密技术的光信号保护。光包由包头和净荷组成，首先可利用宽脉冲标记法、高强度脉冲标记法、微波副载波光标记交换法以及电光调制光标记交换法等技术提取分离出净荷，然后通过光逻辑器件对提取出来的净荷进行加密，最后组合包头和已经加密的净荷，实现数据安全保密。应用基于光逻辑器件的光包加密技术，能够满足分组交换光网络上承载的任何一种协议数据的安全保密需求。

受限于光逻辑器件的发展，基于光包加密技术缺乏相关的产品支持，目前仅有基于数字包封技术的电信号加密方式，在部分厂家设备型号中得到支持，相关产品处在试商用阶段。

1、OTN系统电信号加密技术

OTN系统电信号加密主要是采用客户侧业务加密形式。OTN设备配置带OTU加密模块的单板，客户业务接入配置了加密功能的OTN设备后，通过安全加

密设备发送来的密钥加密，以加密的业务形式在OTN网络传送，并在接收端 OTN设备上解密，实现业务数据在OTN网络中的安全传输。OTN客户侧业务加密方案如图所示。

可以对任意客户业务进行加密，OTN客户侧业务加密具体实现原理如图所示。OTN客户侧业务加密一般采用AES加密算法，客户业务先进行适配，进入合适的OPUk容器，在OPUk映射进入ODUk之前，采用内部或外部密钥对OPUk 的净荷区进行AES256加密；对端在ODUk解映射成OPUk，采用协商的密钥对OPUk的净荷区进行AES256解密，恢复成原有客户业务。

OTN客户侧业务加密的优势体现在如下3点：

a）对客户信号映射后的OPUk进行加密，不影响OTN线路速率，和现网OTU 线路无缝对接。

b）加密后的OPUk数据可以被OTN网络透传和调度，不影响OTN现网的监控和管理。

c）密钥协商和加密管理使用OTN开销中的PSI字节，可被OTN现网透传。

2、OTN设备支持加密的现状

目前，国内主要的OTN设备供应商均能提供基于客户侧加密的OTN设备和系统。OTN设备和L1层业务加密系统由带加密单板的OTN设备、安全管理工具（例如SMT——Security Management Tool）和网络管理系统3部分组成。业务在源端加密后，经OTN网络传输至对端，对端再对业务进行解密，这样就可以接收源端发送的真实信息；双向加密过程包括认证、密钥协商和加解密。国内支持 L1 层业务加密 OTN 设备在加密原理、加密方式和设备型号等。

3、OTN 设备加密与否的分析

在实际工程建设中，应从应用场景、安全测试验证、建设、维护的角度，评判是否采用OTN设备加密，特别是考虑应用场景下业务逻辑的匹配程度。

a）应用场景分析。现有的OTN设备的加密应用都是在大客户专线接入层面，主要是金融类大客户，特别是银行专线项目。

在国内外OTN长途干线上，无类似OTN客户侧业务加密的商用案例，主要是由于现有的OTN设备加密功能都是基于源端口到宿端口中的每条业务，而每条业务需单独配置，适用于接入业务层面的单一的端到端的大客户场景，与OTN干线层面多样化、多点化的业务逻辑往往不匹配。

b）安全测试和验证分析。OTN客户侧业务加密协议、算法是非常成熟的（标准AES-256加密算法，且采用CTR模式），但在实际大规模应用之前，应注意检验业务交互逻辑上是否有安全漏洞，提前进行相关网络的安全性测试、安全验证和审计。

c）建设角度分析。通信网络的建网思路一般应是减少长途OTN干线、中继 OTN站点对业务的处理，以提供便捷、高效的快速转发，而将网络的业务感知、控制、加密等放到边缘的主机节点上来做，从ATM到以太网、从IP到 SDN的发展都是如此。

在OTN系统本身具有较丰富的安全防范和报警功能的情况下，特别是OTN 传输系统往往承载的数据流量非常大，业务种类也非常多，数据解密和恢复时间也较长，想要持续对OTN网络非法探测难度非常大。OTN作为透明的业务传送通道，如果把加密功能放到OTN传送层（L1），则每条业务均需要配置成对的含加密或解密功能的端口，配置加解密管理终端及系统，整体投资预计将会提高15%以上，相对来说，物理防护更加直接和有效。

d）维护角度分析。若采用带有加密功能的OTN设备，需要对每台设备配置加解密软件和账户，再用加密子账户进行端口分配，然后针对每个端口的每条业务单独加密配置、维护，维护复杂。另外，带有加密功能的OTN设备本身在运行和维护上存在一些受限内容，如表所示。

来源：邮电设计技术

网址：OTN系统安全防护和加密技术应用研究 https://www.yuejiaxmz.com/news/view/1052927

相关内容

OTN系统网络安全防护技术应用
iOS系统应用程序网络安全防护技术研究
指腹触控技术在智能家居安全防范系统的应用前景研究
药厂空调通风系统安全防护与应急预案研究
工业物联网安全及防护技术研究
智能安防系统研究详述.pptx
病毒防护技术在计算机网络安全防护中的应用研究
网络安全与信息安全：防护之道与加密技术
物联网的安全防护与数据加密技术.docx
智能家居安全防护系统设计与实施方案研究.doc

随便看看