一种光传送网络管理系统的制作方法

本发明涉及量子保密通信，特别是涉及一种光传送网络管理系统。

背景技术：

1、当今，通信网络已经进入全业务运营时代，对传送带宽的需求越来越大，因此，需要一种能提供大颗粒业务传送和交叉调试的新型光网络。otn(optical transportnetwork，光传送网络)继承并拓展了已有传送网络的众多优势特征，是目前面向宽带客户数据业务驱动的最佳技术之一，代表着光网络技术未来的发展趋势。otn技术是对已有的sdh(synchronous digital hierarchy，同步数字系列)和dwdm(dense wavelengthdivision multiplexing，密集波分复用)技术的优势进行了更为有效的继承和组合，可以像dwdm网络那样提供超大容量的带宽，也可以像sdh传输网那样可运营、可管理。正因otn技术具备了大带宽、高传输速率、低损耗、远距离传输等特点，其作为关键基础设施为政务、金融、能源、交通、医疗卫生等行业提供数据传输服务。

2、但是，伴随技术的发展，光纤的可被窃听等不安全特性已突显，光网络的透明性在改善网络性能的同时，也给网络的安全带来新的隐患，现已有越来越多的成熟技术和产品可对光网络的物理层进行攻击和窃听。为了实现保密通信，通常将量子密钥技术引入到otn技术中，通过量子密钥对信息进行加密，以确保信息在光网络的安全传输、防止信息窃听与泄漏。在实际应用中，如何对具有量子安全的otn设备进行运营、管理，成为迫切需要解决的问题。

技术实现思路

1、为了解决上述问题，本发明实施例公开了一种光传送网络管理系统。

2、第一方面，本发明实施例提供了一种光传送网络管理系统，所述系统包括：本端光传送网络设备，本端网管平台，运营中心，本端控制器和本端量子密码服务平台；所述运营中心部署有光传送网络综合管控平台；

3、所述本端光传送网络设备，用于向所述本端网管平台发送业务请求；

4、所述本端网管平台，用于接收所述本端光传送网络设备发送的所述业务请求，并将所述业务请求发送至所述光传送网络综合管控平台；

5、所述光传送网络综合管控平台，用于接收所述本端网管平台发送的所述业务请求；根据所述业务请求携带的所述本端光传送网络设备与所述本端控制器之间的第一关联关系，将所述业务请求发送至所述本端光传送网络设备对应的本端控制器；

6、所述本端控制器，用于接收所述光传送网络综合管控平台发送的所述业务请求；根据所述业务请求携带的所述本端光传送网络设备与所述本端量子密码服务平台之间的第二关联关系，将所述业务请求发送至所述本端光传送网络设备对应的本端量子密码服务平台；

7、所述本端量子密码服务平台，用于接收所述本端控制器发送的所述业务请求；根据所述业务请求生成密钥文件，并将所述密钥文件依次返回至所述本端光传送网络设备。

8、可选地，光传送网络综合管控平台，还用于针对所述本端量子密码服务平台生成公私钥对证书文件，所述公私钥对证书文件包括与所述本端量子密码服务平台的识别码关联的公钥证书文件和私钥证书文件；将所述公钥证书文件发送至所述本端量子密码服务平台，由所述本端量子密码服务平台通过所述公钥证书文件对所述密钥文件进行加密；在接收到依次返回的加密后的密钥文件时，通过所述本端量子密码服务平台的识别码关联的所述私钥证书文件，对所述加密后的密钥文件进行解密。

9、可选地，所述业务请求包括在线密钥充注请求，所述密钥文件包括充注密钥文件；

10、所述本端网管平台，用于将所述本端光传送网络设备发送的所述在线密钥充注请求发送至所述光传送网络综合管控平台；

11、所述光传送网络综合管控平台，用于接收所述本端网管平台发送的所述在线密钥充注请求；根据所述业务请求携带的所述本端光传送网络设备与所述本端量子密码服务平台之间的第二关联关系，将所述在线密钥充注请求发送至所述本端光传送网络设备对应的本端量子密码服务平台；

12、所述本端量子密码服务平台，用于接收所述光传送网络综合管控平台发送的所述在线密钥充注请求；根据所述在线密钥充注请求生成所述充注密钥文件，并通过所述本端光传送网络设备的预充注密钥对所述充注密钥文件进行加密；将加密后的充注密钥文件依次返回至所述本端光传送网络设备；

13、所述本端光传送网络设备，用于接收从所述本端量子密码服务平台依次返回的所述加密后的充注密钥文件；通过所述预充注密钥对所述加密后的充注密钥文件进行解密。

14、可选地，所述业务请求还包括会话密钥申请请求，所述密钥文件还包括会话密钥文件；所述会话密钥申请请求包括第一会话密钥申请请求；

15、所述本端网管平台，用于将所述本端光传送网络设备发送的所述第一会话密钥申请请求发送至所述光传送网络综合管控平台；

16、所述光传送网络综合管控平台，用于接收所述本端网管平台发送的所述第一会话密钥申请请求；根据所述第一会话密钥申请请求携带的所述本端光传送网络设备与所述本端控制器之间的第一关联关系，将所述第一会话密钥申请请求发送至所述本端光传送网络设备对应的本端控制器；

17、所述本端控制器，用于接收所述光传送网络综合管控平台发送的所述第一会话密钥申请请求；根据所述第一会话密钥申请请求携带的所述本端光传送网络设备与所述本端量子密码服务平台之间的第二关联关系，将所述第一会话密钥申请请求发送至所述本端光传送网络设备对应的本端量子密码服务平台；

18、所述本端量子密码服务平台，用于接收所述本端控制器发送的所述第一会话密钥申请请求；根据所述第一会话密钥申请请求生成会话密钥文件，并将所述会话密钥文件依次返回至所述本端光传送网络设备；

19、所述本端光传送网络设备，用于接收从所述本端量子密码服务平台依次返回的所述会话密钥文件。

20、可选地，所述系统还包括：对端光传送网络设备，对端控制器和对端量子密码服务平台；

21、所述光传送网络综合管控平台，用于根据所述第一会话密钥申请请求携带的所述本端光传送网络设备的第一设备标识，获取与所述本端光传送网络设备配对的对端光传送网络设备的第二设备标识；根据所述对端光传送网络设备的第二设备标识，获取所述对端光传送网络设备与所述对端控制器之间的第三关联关系，以及所述对端光传送网络设备与所述对端量子密码服务平台之间的第四关联关系；根据所述第一关联关系，所述第二关联关系，所述第三关联关系和所述第四关联关系，判断所述本端光传送网络设备和所述对端光传送网络设备是否在相同安全域；

22、所述本端量子密码服务平台，用于在所述本端光传送网络设备和所述对端光传送网络设备在相同安全域时，根据所述第一会话密钥申请请求生成会话密钥文件；在所述本端光传送网络设备和所述对端光传送网络设备在不同安全域时，根据所述第一会话密钥申请请求生成会话密钥文件，并根据所述第一会话密钥申请请求中携带的所述对端量子密码服务平台的识别码，将所述会话密钥文件发送至所述对端量子密码服务平台。

23、可选地，所述系统还包括：对端网管平台；所述会话密钥申请请求还包括第二会话密钥申请请求；

24、所述对端网管平台，用于将所述对端光传送网络设备发送的第二会话密钥申请请求发送至所述光传送网络综合管控平台；

25、所述光传送网络综合管控平台，用于接收所述对端网管平台发送的所述第二会话密钥申请请求；根据所述第二会话密钥申请请求携带的所述对端光传送网络设备与所述对端控制器之间的第三关联关系，将所述第二会话密钥申请请求发送至所述对端光传送网络设备对应的对端控制器；

26、所述对端控制器，用于接收所述光传送网络综合管控平台发送的所述第二会话密钥申请请求；根据所述第二会话密钥申请请求携带的所述对端光传送网络设备与所述对端量子密码服务平台之间的第四关联关系，将所述第二会话密钥申请请求发送至所述对端光传送网络设备对应的对端量子密码服务平台；

27、所述对端量子密码服务平台，用于接收所述对端控制器发送的所述第二会话密钥申请请求；根据所述第二会话密钥申请请求查询所述会话密钥文件，并将所述会话密钥文件依次返回至所述对端光传送网络设备；

28、所述对端光传送网络设备，用于接收从所述对端量子密码服务平台依次返回的所述会话密钥文件。

29、可选地，所述本端量子密码服务平台，用于根据所述第一会话密钥申请请求携带的安全介质标识、密钥长度和所述本端光传送网络设备的序列号，生成所述会话密钥文件；

30、所述对端量子密码服务平台，用于根据所述第二会话密钥申请请求携带的所述安全介质标识、密钥长度、所述会话密钥文件的识别码和所述会话密钥文件的索引，查询所述会话密钥文件。

31、可选地，所述本端网管平台，用于根据预设协议消息结构，通过主题发布和订阅的方式将所述本端光传送网络设备发送的所述业务请求发送至所述光传送网络综合管控平台；所述预设协议消息结构为通过标记语言进行描述的消息体，所述消息体的参数包括所述主题的识别码、所述本端光传送网络设备的序列号、消息类型和消息内容，所述消息类型和所述消息内容根据所述业务请求确定。

32、可选地，所述光传送网络综合管控平台，还用于按照预设周期执行定时任务，以采集所述本端光传送网络设备和对端光传送网络设备的设备信息；所述设备信息包括设备基础信息、告警信息、性能参数信息和网元配置信息。

33、可选地，所述光传送网络综合管控平台，用于在到达所述定时任务的执行时刻时，通过空闲节点策略执行所述定时任务；所述空闲节点策略通过键值存储队列的键值对记录所述定时任务的节点名和所述定时任务的执行数。

34、本发明实施例包括以下优点：

35、本发明实施例的光传送网络管理系统包括：部署在运营中心的光传送网络综合管控平台，在相同安全域或不同安全域设置的光传送网络设备、网管平台、控制器和量子密码服务平台；光传送网络管理系统采用分布式架构，使得光传送网络设备、网管平台、控制器和量子密码服务平台的部署变得更加灵活和高效，且某一节点的故障不会影响到整个系统，大幅提升了系统的高可用性，从而可以对具有量子安全的光传送网络设备的业务过程进行有效的运营和管理。其中，本端光传送网络设备的业务请求可以依次通过本端网管平台，光传送网络综合管控平台，本端控制器，发送至本端量子密码服务平台；对端光传送网络设备的业务请求可以依次通过对端网管平台，光传送网络综合管控平台，对端控制器，发送至对端量子密码服务平台；本端光传送网络设备和对端光传送网络设备可以基于量子密码服务平台返回的密钥文件进行加密通信，从而光传送网络设备的业务请求可以进行有效的分流。同时，光传送网络管理系统还解决了光传送网络跨域量子密钥分发的问题，且两端量子密码服务平台无直接连接，从而解决了量子密码服务平台跨域密钥分发集中化的问题。