OTN系统安全防护和加密技术应用研究

OTN系统的安全加密技术

在OTN设备系统L1层安全加密的优势主要体现在时延、带宽利用率和业务支持，其与 L2/L3 层加密的对比如表所示。目前，对OTN设备系统光信号、电信号的加密保护，有以下几种方式：

a）基于数字包封技术的电信号加密。数字包封技术在OTN网络的光通路层得到了广泛应用。基于数字包封技术的加密可以在不区分业务的情况下，对在OTN网络上传输的数据进行加密保护，是一种有效的加密保护方法。此方法首先解波分复用，然后在每个波长上针对数字包进行加密护。

b）基于光包加密技术的光信号保护。光包由包头和净荷组成，首先可利用宽脉冲标记法、高强度脉冲标记法、微波副载波光标记交换法以及电光调制光标记交换法等技术提取分离出净荷，然后通过光逻辑器件对提取出来的净荷进行加密，最后组合包头和已经加密的净荷，实现数据安全保密。应用基于光逻辑器件的光包加密技术，能够满足分组交换光网络上承载的任何一种协议数据的安全保密需求。

受限于光逻辑器件的发展，基于光包加密技术缺乏相关的产品支持，目前仅有基于数字包封技术的电信号加密方式，在部分厂家设备型号中得到支持，相关产品处在试商用阶段。

1、OTN系统电信号加密技术

OTN系统电信号加密主要是采用客户侧业务加密形式。OTN设备配置带OTU加密模块的单板，客户业务接入配置了加密功能的OTN设备后，通过安全加

密设备发送来的密钥加密，以加密的业务形式在OTN网络传送，并在接收端 OTN设备上解密，实现业务数据在OTN网络中的安全传输。OTN客户侧业务加密方案如图所示。

可以对任意客户业务进行加密，OTN客户侧业务加密具体实现原理如图所示。OTN客户侧业务加密一般采用AES加密算法，客户业务先进行适配，进入合适的OPUk容器，在OPUk映射进入ODUk之前，采用内部或外部密钥对OPUk 的净荷区进行AES256加密；对端在ODUk解映射成OPUk，采用协商的密钥对OPUk的净荷区进行AES256解密，恢复成原有客户业务。

OTN客户侧业务加密的优势体现在如下3点：

a）对客户信号映射后的OPUk进行加密，不影响OTN线路速率，和现网OTU 线路无缝对接。

b）加密后的OPUk数据可以被OTN网络透传和调度，不影响OTN现网的监控和管理。

c）密钥协商和加密管理使用OTN开销中的PSI字节，可被OTN现网透传。

2、OTN设备支持加密的现状

目前，国内主要的OTN设备供应商均能提供基于客户侧加密的OTN设备和系统。OTN设备和L1层业务加密系统由带加密单板的OTN设备、安全管理工具（例如SMT——Security Management Tool）和网络管理系统3部分组成。业务在源端加密后，经OTN网络传输至对端，对端再对业务进行解密，这样就可以接收源端发送的真实信息；双向加密过程包括认证、密钥协商和加解密。国内支持 L1 层业务加密 OTN 设备在加密原理、加密方式和设备型号等。

3、OTN 设备加密与否的分析

在实际工程建设中，应从应用场景、安全测试验证、建设、维护的角度，评判是否采用OTN设备加密，特别是考虑应用场景下业务逻辑的匹配程度。

a）应用场景分析。现有的OTN设备的加密应用都是在大客户专线接入层面，主要是金融类大客户，特别是银行专线项目。

在国内外OTN长途干线上，无类似OTN客户侧业务加密的商用案例，主要是由于现有的OTN设备加密功能都是基于源端口到宿端口中的每条业务，而每条业务需单独配置，适用于接入业务层面的单一的端到端的大客户场景，与OTN干线层面多样化、多点化的业务逻辑往往不匹配。

b）安全测试和验证分析。OTN客户侧业务加密协议、算法是非常成熟的（标准AES-256加密算法，且采用CTR模式），但在实际大规模应用之前，应注意检验业务交互逻辑上是否有安全漏洞，提前进行相关网络的安全性测试、安全验证和审计。

c）建设角度分析。通信网络的建网思路一般应是减少长途OTN干线、中继 OTN站点对业务的处理，以提供便捷、高效的快速转发，而将网络的业务感知、控制、加密等放到边缘的主机节点上来做，从ATM到以太网、从IP到 SDN的发展都是如此。

在OTN系统本身具有较丰富的安全防范和报警功能的情况下，特别是OTN 传输系统往往承载的数据流量非常大，业务种类也非常多，数据解密和恢复时间也较长，想要持续对OTN网络非法探测难度非常大。OTN作为透明的业务传送通道，如果把加密功能放到OTN传送层（L1），则每条业务均需要配置成对的含加密或解密功能的端口，配置加解密管理终端及系统，整体投资预计将会提高15%以上，相对来说，物理防护更加直接和有效。

d）维护角度分析。若采用带有加密功能的OTN设备，需要对每台设备配置加解密软件和账户，再用加密子账户进行端口分配，然后针对每个端口的每条业务单独加密配置、维护，维护复杂。另外，带有加密功能的OTN设备本身在运行和维护上存在一些受限内容，如表所示。

来源：邮电设计技术

城域网引入分组增强型OTN技术的应用

引入分组增强型OTN的技术背景

随着宽带、IDC、移动互联网、大客户专线、0TT等各类高带宽、差异化业务的迅猛发展,运营商一方面面对着流量高速增长带来的迫切的网络扩容需求，另一方面又面临着网络复杂度提升、投资收益比下降的巨大压力。因此，网络扁平化和统一承载成了网络演进的必然方向，相关的城域传送网技术的演进是其中的重要一环，将对整体网络架构的优化完善造成巨大的推动作用。

粗略分析城域范围内大带宽(GE以上)业务具有以下的突出特点。

a)接人速率多样化：从GE、2.5G、nxG、10G、40G至100G皆有，需要传送网提供各种粒度的调度能力和汇聚能力。

b)承载业务多样化：包含IPMAN、Chinanet、IDC、EDC、内网平台、点对点1点对多点/多点对多点的大客户、移动回传等各类业务,需要传送网提供灵活高效的业务隔离能力。

当前在中大型本地网/城域网的核心层和汇聚层上，OTN系统已经得到了较为广泛的应用,但对于上述业务特点,传统的刚性OTN技术却面临以下技术不足。

a)调度颗粒大,小颗粒业务调度不灵活。

b)只支持透明传送,缺乏有效的分组业务处理手段。

c)不支持二层统计复用,传送效率较低,无法实现流量汇聚,端口汇聚能力不足。

分组增强型OTN技术以OTN的多业务映射复用和大管道传送调度为基础,引人二层以太网和MPLSTP分组交换和处理功能,适当兼容SDH等TDM业务处理能力。总而言之，POTN技术实现了L0WDMROADM光层、L1SDH/OTN层和L2分组传送层(含以太网和MPLS-TP)的功能集成和有机融合,从而能够作为统一的、灵活的、面向大流量和差异化业务的综合承载平台。

分组增强型OTN的技术简介

分组增强型光传送网(POTN)融合了光层(WDM/ROADM)、0TN和SDH层、分组传送层(以太网和/或MPLS-TP)的网络功能，具有对TDM、分组和波长的交换调度，并支持多层间的层间适配和映射复用，实现对分组、OTN、SDH、波长等各种业务的统一和灵活传送功能，并具备传送特征的OAM、保护和管理功能的网络。

POTN分层结构模型如图所示，其中，分组传送层(及SDH传送层)为分组增强型OTN相对传统OTN引人的新的逻辑处理层级。

分组增强型光传送网设备由传送平面模块、控制平面模块、管理平面模块和 DCN 模块组成。相比传统OTN设备,分组增强型OTN设备主要增加了以下功能。

a)层间适配功能：提供VC、分组到ODUk的适配功能。

b)分组处理功能：包括以太网处理或/和MPLS-TP处理功能,提供分组业务的适配、0oS和OAM处理等功能。

c)分组交换功能：提供基于以太网端口、VLAN和MAC地址的交换能力,或者基于MPLS-TPLSP和PW的交换能力。

d)VC交叉功能：支持高阶通道VC4级别的调度功能,并提供级联条件下的VC通道交叉处理能力。

e)保护功能：提供基于以太网、MPLS-TP的分组业务保护功能和基于VC4、0DUk、0Ch的通道层保护功能以及层间保护协调能力。

其中传送平面有以下2种逻辑功能模型，即板卡式和集中交叉式2类。

板卡式POTN设备。主要是在现有OTN设备中增加了分组增强型的业务板卡，在客户侧先对各种业务进行封装，再通过0DUk交叉板对封装的业务进行交换，最终进入线路侧。由于板卡式POTN设备基本不涉及对现有OTN设备的背板总线架构、交叉矩阵和线路板卡的调整，因此传统OTN设备可以通过软件功能升级和支路板卡升级的方式实现向板卡式POTN设备的平滑演进，对现网改动较小，成本也较低。

板卡式POTN设备对以太网QoS的支持能力较好，但对以太网OAM的支持能力有限。受限于分组交换芯片的集成度，其支路板卡的分组交换能力基本小于100/Gbivs，背板总线不大于40/Gbivs。且由于交叉能力限制于板卡内部，无法实现跨板卡的业务调度和处理，综合承载能力有限。

总而言之，板卡式POTN设备形态不是完整意义上的分组增强型OTN，并不能通过单一的交叉板卡实现多业务的统一调度。

集中交叉式POTN设备。主要为通过集中交叉板完成0DUk交叉、VC交叉和分组交换功能，相比较而言其性能更为强大、业务调度能力更加灵活。根据交叉功能的不同实现方式，集中交叉式POTN可进一步分为以下2种结构。

a)多核交换结构：交叉矩阵内含有0DUk交叉、分组交换(及可选的VC交叉)等不同的交换芯片,通过层间适配和线路接口处理后可映射至不同的OCh内。b)基于切片的统一交叉结构：可对TDM业务和分组业务进行统一的切片处理，再根据控制管理协议实现交换，其中分组交换和TDM交叉的容量比例可以任意调整。

从设备总线设计、容量扩展性、业务调度处理能力和组网灵活性来看，统一交叉结构的POTN设备更具优势，将是分组增强型OTN的主要设备形态。

引入需求和策略分析

高等级点对多点大客户业务

目前部分高等级点对多点大客户具备以下典型的流量和组网需求特征

a)分头数量较多，单个分头流量为数十M至100M；分头的地域分布较为分散。

b)总头流量较大，为GE~10GE。为了降低成本，客户有较强烈的流量汇聚需求。

c)业务种类较多，客户侧希望实现多种业务“一纤通接人”；同时，部分业务(如TDM、金融交易等)有较严格的时延要求。

现有的MSTPISDH专线、以太网专线等承载手段无法同时兼顾上述各项需求特征，在带宽、组网能力、QoS等方面有各自的缺陷。

而POTN是满足高等级点对多点大客户业务的首要解决方案。不仅可为各类用户灵活地提供100M~nxGE的以太网专线业务，还可提供汇聚型应用，同时用户隔离可采用以太网中的VAN机制或MPLS-TP中的LSP/PW机制，从而满足高等级点对多点大客户的核心需求。

来源：邮电设计技术

相关问答

TCL照明LED灯和晶日照明LED灯哪个好?-一起装修网

TCL照明LED灯和晶日照明LED灯哪个好?

中国人寿涉足哪些领域-汇财吧专业问答test

[回答]小编跟您一起来分析一下我们国家的人寿保险公司的普遍的特点,而是专耕于人寿保险的领域,然后泰康人寿保险股份有限公司则是深耕于寿险领域,泰康人寿...

北京志达装饰建筑有限公司

给你一个通信形式在株洲市建筑施工企业,看看自己,发现公司通讯,建筑施工企业在株洲市,1,株洲市政建设公司湖南伟大建设集团邓天姬天脊责任,株洲市Closteridium山...