本發(fā)明涉及通信技術領域，尤其涉及一種光傳送網(wǎng)的身份驗證方法、裝置及系統(tǒng)。

背景技術：

隨著安全事件的逐步發(fā)酵，各大商業(yè)企業(yè)機構出于對核心業(yè)務安全性考慮，對業(yè)務的保密通訊需求明顯上升。在加密傳輸系統(tǒng)中提供一套安全可靠的身份驗證機制，是OTN(Optical Transport Network，光傳送網(wǎng))加密的保障，由于OTN的電監(jiān)控系統(tǒng)中身份驗證的實現(xiàn)沒有相關的國際標準，因此對于不同OTN設備廠商來說，針對身份驗證有不同的實現(xiàn)方案。

目前，在端與端的OTN加密傳輸系統(tǒng)中，身份驗證的實現(xiàn)是通過用戶名和密碼的方式進行驗證的。該方案存在以下問題：第一，用戶名和密碼很容易被其他人竊取，安全強度不夠。第二，傳統(tǒng)的身份驗證機制中若需要增加安全性，則需要增加配套的基礎設置，如公鑰基礎設施，將會增加實施成本，且可靠性低。

技術實現(xiàn)要素：

本發(fā)明的主要目的在于提供一種光傳送網(wǎng)的身份驗證方法、裝置及系統(tǒng)，旨在提高身份驗證的安全性及可靠性。

為實現(xiàn)上述目的，本發(fā)明提供了一種光傳送網(wǎng)的身份驗證方法，包括：

在啟動身份驗證時，獲取隨機數(shù)構造身份驗證請求消息，并將所述身份驗證請求消息發(fā)送至從端；

接收所述從端反饋的身份認證應答消息；

解析所述身份認證應答消息獲取第一從端身份信息，并根據(jù)所述第一從端身份信息與所保存的第二從端身份信息判斷身份驗證是否成功。

優(yōu)選地，所述獲取隨機數(shù)構造身份驗證請求消息包括：

獲取本地時戳信息；

根據(jù)所述本地時戳信息利用哈希算法及隨機數(shù)算法生成隨機數(shù)，并根據(jù)所述隨機數(shù)構造身份驗證請求消息。

優(yōu)選地，所述在啟動身份驗證時，獲取隨機數(shù)構造身份驗證請求消息，并將所述身份驗證請求消息發(fā)送至從端之后包括：

在第一預設時間內未收到從端針對所述身份驗證請求消息反饋的身份認證應答消息時，向從端重發(fā)身份驗證請求消息，并在身份驗證請求失敗次數(shù)達到預設次數(shù)后，經(jīng)過第二預設時間或存在光輸入后重發(fā)身份驗證請求消息。

優(yōu)選地，在執(zhí)行所有步驟之前還包括：

兩對稱業(yè)務單板根據(jù)自協(xié)商算法或者接收網(wǎng)管協(xié)議配置指令確定主端和從端，所述主端和所述從端分別接收網(wǎng)管下發(fā)的身份驗證鏈路配置信息，所述身份驗證鏈路配置信息包括主端的口令信息、從端的口令信息、主端的端口信息、及從端的端口信息。

優(yōu)選地，所述解析所述身份認證應答消息獲取第一從端身份信息，并根據(jù)所述第一從端身份信息與所保存的第二從端身份信息判斷身份驗證是否成功之前包括：

根據(jù)從端的口令信息、從端的端口信息及所述隨機數(shù)生成第二從端身份信息進行保存。

優(yōu)選地，所述主端和所述從端之間通過預設開銷字節(jié)接收或發(fā)送消息。

此外，為實現(xiàn)上述目的，本發(fā)明還提供了一種光傳送網(wǎng)的身份驗證裝置，所述光傳送網(wǎng)的身份驗證裝置包括：

獲取模塊，用于在啟動身份驗證時，獲取隨機數(shù)構造身份驗證請求消息，并將所述身份驗證請求消息發(fā)送至從端；

接收模塊，用于接收所述從端反饋的身份認證應答消息；

驗證模塊，用于解析所述身份認證應答消息獲取第一從端身份信息，并根據(jù)所述第一從端身份信息與所保存的第二從端身份信息判斷身份驗證是否成功。

優(yōu)選地，所述獲取模塊包括：

獲取單元，用于獲取本地時戳信息；

生成單元，用于根據(jù)所述本地時戳信息利用哈希算法及隨機數(shù)算法生成 隨機數(shù)，并根據(jù)所述隨機數(shù)構造身份驗證請求消息。

優(yōu)選地，所述光傳送網(wǎng)的身份驗證裝置還包括：

處理模塊，用于在第一預設時間內未收到從端針對所述身份驗證請求消息反饋的身份認證應答消息時，向從端重發(fā)身份驗證請求消息，并在身份驗證請求失敗次數(shù)達到預設次數(shù)后，經(jīng)過第二預設時間或存在光輸入后重發(fā)身份驗證請求消息。

優(yōu)選地，所述光傳送網(wǎng)的身份驗證裝置還包括：

確定模塊，用于兩對稱業(yè)務單板根據(jù)自協(xié)商算法或者接收網(wǎng)管協(xié)議配置指令確定主端和從端，所述主端和所述從端分別接收網(wǎng)管下發(fā)的身份驗證鏈路配置信息，所述身份驗證鏈路配置信息包括主端的口令信息、從端的口令信息、主端的端口信息、及從端的端口信息。

優(yōu)選地，所述光傳送網(wǎng)的身份驗證裝置還包括：

保存模塊，用于根據(jù)從端的口令信息、從端的端口信息及所述隨機數(shù)生成第二從端身份信息進行保存。

優(yōu)選地，所述主端和所述從端之間通過預設開銷字節(jié)接收或發(fā)送消息。

此外，為實現(xiàn)上述目的，本發(fā)明還提供了一種光傳送網(wǎng)的身份驗證系統(tǒng)，所述光傳送網(wǎng)的身份驗證系統(tǒng)包括主端和從端，其中，

主端，用于在啟動身份驗證時，獲取隨機數(shù)構造身份驗證請求消息，并將所述身份驗證請求消息發(fā)送至從端；

從端，用于接收到所述身份驗證請求消息，并構造身份認證應答消息發(fā)送至主端；

主端，用于解析所述身份認證應答消息獲取第一從端身份信息，并根據(jù)所述第一從端身份信息與所保存的第二從端身份信息判斷身份驗證是否成功。

優(yōu)選地，所述主端還用于，獲取本地時戳信息；

根據(jù)所述本地時戳信息利用哈希算法及隨機數(shù)算法生成隨機數(shù)，并根據(jù)所述隨機數(shù)構造身份驗證請求消息。

優(yōu)選地，所述主端還用于，在第一預設時間內未收到從端針對所述身份驗證請求消息反饋的身份認證應答消息時，向從端重發(fā)身份驗證請求消息， 并在身份驗證請求失敗次數(shù)達到預設次數(shù)后，經(jīng)過第二預設時間或存在光輸入后重發(fā)身份驗證請求消息。

優(yōu)選地，所述光傳送網(wǎng)的身份驗證系統(tǒng)還包括：

兩對稱業(yè)務單板根據(jù)自協(xié)商算法或者接收網(wǎng)管協(xié)議配置指令確定主端和從端；

所述主端還用于，接收網(wǎng)管下發(fā)的身份驗證鏈路配置信息，所述身份驗證鏈路配置信息包括主端的口令信息、從端的口令信息、主端的端口信息、及從端的端口信息；

所述從端還用于，接收網(wǎng)管下發(fā)的身份驗證鏈路配置信息，所述身份驗證鏈路配置信息包括主端的口令信息、從端的口令信息、主端的端口信息、及從端的端口信息。

優(yōu)選地，所述主端還用于，根據(jù)從端的口令信息、從端的端口信息及所述隨機數(shù)生成第二從端身份信息進行保存。

優(yōu)選地，所述主端和所述從端之間通過預設開銷字節(jié)接收或發(fā)送消息。

本發(fā)明實施例在對兩對稱業(yè)務單板確定主端和從端后，主端啟動身份驗證時，獲取隨機數(shù)構造身份驗證請求消息后發(fā)送給從端。從端接收身份驗證請求消息后，構造身份認證應答消息發(fā)送給主端。主端接收身份認證應答消息后，解析身份認證應答消息獲取第一從端身份信息，并將第一從端身份信息與所保存的第二從端身份信息進行比較，判斷身份驗證是否成功。實現(xiàn)了根據(jù)光傳送網(wǎng)中設置的主端和從端進行相互發(fā)送或接收消息，對由隨機數(shù)生成的身份信息進行驗證，提高了光傳送網(wǎng)中身份驗證的安全性及可靠性。

附圖說明

圖1為本發(fā)明光傳送網(wǎng)的身份驗證方法第一實施例的流程示意圖；

圖2為本發(fā)明光傳送網(wǎng)的身份驗證方法第二實施例的流程示意圖；

圖3為本發(fā)明光傳送網(wǎng)的身份驗證方法第三實施例的流程示意圖；

圖4為本發(fā)明光傳送網(wǎng)的身份驗證方法第四實施例的流程示意圖；

圖5為本發(fā)明光傳送網(wǎng)的身份驗證裝置第一實施例的功能模塊示意圖；

圖6為本發(fā)明光傳送網(wǎng)的身份驗證裝置第二實施例的功能模塊示意圖；

圖7為本發(fā)明光傳送網(wǎng)的身份驗證裝置第三實施例的功能模塊示意圖；

圖8為本發(fā)明光傳送網(wǎng)的身份驗證裝置第四實施例的功能模塊示意圖；

圖9為本發(fā)明光傳送網(wǎng)的身份驗證系統(tǒng)一實施例的功能模塊示意圖。

本發(fā)明目的的實現(xiàn)、功能特點及優(yōu)點將結合實施例，參照附圖做進一步說明。

具體實施方式

應當理解，此處所描述的具體實施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。

如圖1所示，示出了本發(fā)明一種光傳送網(wǎng)的身份驗證方法第一實施例。該實施例的光傳送網(wǎng)的身份驗證方法包括：

步驟S10、在啟動身份驗證時，獲取隨機數(shù)構造身份驗證請求消息，并將所述身份驗證請求消息發(fā)送至從端；

身份驗證方法是在OTN加密傳輸系統(tǒng)當中的一個模塊，本實施例中，當主端啟動身份信息驗證時，主端狀態(tài)機進入驗證請求狀態(tài)，主端狀態(tài)機主要用于對主端的時序進行控制。主端通過哈希算法及隨機數(shù)算法產(chǎn)生隨機數(shù)構造身份驗證請求消息，具體地，

獲取本地時戳信息；

根據(jù)所述本地時戳信息利用哈希算法及隨機數(shù)算法生成隨機數(shù)，并根據(jù)所述隨機數(shù)構造身份驗證請求消息。

本實施例中，主端讀取由主端業(yè)務單板相應的芯片產(chǎn)生的本地時戳信息，并將該本地時戳信息導入由哈希算法及隨機數(shù)算法組成的函數(shù)生成隨機數(shù)，以根據(jù)該隨機數(shù)構造身份信息。該哈希算法可根據(jù)具體情況而靈活設置，優(yōu)選地，可將得到10個字節(jié)的本地時戳信息利用哈希256生成32個字節(jié)的二進制數(shù)，再將32個字節(jié)的二進制數(shù)通過隨機數(shù)算法生成32個字節(jié)的二進制隨機數(shù)。需要說明的是，該本地時戳信息是遞增的，以保證每次取到的時戳信息是不一樣的。采用哈希算法和隨機數(shù)算法計算得到隨機數(shù)并構造身份信息，具有較高的安全性。

本實施例中，主端和從端之間通過預設開銷字節(jié)接收或發(fā)送消息，該預 設開銷字節(jié)可根據(jù)實際需要進行動態(tài)配置，即根據(jù)配置不同的接口地址可實現(xiàn)對預設開銷字節(jié)的動態(tài)配置。開銷字節(jié)的動態(tài)配置，使得竊密者很難追蹤實際傳輸用的開銷字節(jié)，進一步增加了身份驗證的安全性。具體地，主端通過第一預設開銷字節(jié)向從端發(fā)送身份驗證請求消息，主端狀態(tài)機進入發(fā)送狀態(tài)，并啟動主端內置的計數(shù)器開始計時，以檢測獲取到從端針對該身份驗證請求消息反饋身份認證應答消息的時間。主端默認使用調度ODUk開銷字節(jié)4行13列發(fā)送信息，即第一預設開銷字節(jié)可設置為4行13列。需要說明的是，該第一預設開銷字節(jié)可根據(jù)實際需要進行動態(tài)配置。

步驟S20、接收所述從端反饋的身份認證應答消息；

由于從端接收消息是被動的，因此，從端需要檢測才能獲知是否有消息發(fā)送過來，以能及時接收消息。主端完成身份驗證請求消息發(fā)送之后，從端在預定義的周期內輪詢檢測主端發(fā)送過來的消息，該預定義的周期可設置為1秒，也可根據(jù)實際需要進行設置。當狀態(tài)標識信號有效時，即信號trip＝1為高電平時，表明主端有消息發(fā)送過來，從端通過第二預設開銷字節(jié)接收身份驗證請求消息。反之，當狀態(tài)標識信號無效時，即信號trip＝0為低電平時，表明主端沒有消息發(fā)送過來。從端默認使用調度ODUk開銷字節(jié)4行13列接收信息，即第二預設開銷字節(jié)可設置為4行13列。需要說明的是，該第二預設開銷字節(jié)可根據(jù)實際需要進行動態(tài)配置。

進一步地，從端對接收到的身份驗證請求消息根據(jù)校驗機制進行驗證，具體地，從端提取身份驗證請求消息中的第一個字節(jié)確定其類型，及通過提取第二個字節(jié)獲取長度，然后將該長度與從端的主控芯片返回的長度進行比較，若一致，則說明身份驗證請求消息有效；若不一致，則無效，從端反饋給主端失敗狀態(tài)信息，以使主端在接收到從端反饋的失敗狀態(tài)信息后，重發(fā)身份驗證請求消息至從端。

從端在驗證身份驗證請求消息有效后，獲取身份驗證請求消息的內容，通過解析身份驗證請求消息得到隨機數(shù)，該隨機數(shù)即為上述主端根據(jù)該隨機數(shù)構造得到的身份驗證請求消息。然后從端根據(jù)從端的口令信息、從端的端口信息及解析得到的隨機數(shù)通過哈希算法生成第一從端身份信息，該第一從端身份信息為二進制數(shù)。

從端根據(jù)第一從端身份信息構造身份認證應答消息，并將所述身份認證 應答消息發(fā)送至主端，主端接收身份認證應答消息。具體地，從端生成第一從端身份信息后，通過第一從端身份信息構造出身份認證應答消息，例如，可將4個字節(jié)的消息頭與32個字節(jié)的第一從端身份信息進行組合得到身份認證應答消息，該4個字節(jié)的消息頭的第一個字節(jié)可表示其消息類型為身份認證應答消息。然后從端將身份認證應答消息通過第三預設開銷字節(jié)發(fā)送給主端，此時從端默認使用調度ODUk開銷字節(jié)4行14列發(fā)送信息，即第三預設開銷字節(jié)可設置為4行14列。需要說明的是第三預設開銷字節(jié)可進行動態(tài)配置。從端發(fā)送身份認證應答消息后，將從端狀態(tài)機修改為發(fā)送狀態(tài)。

步驟S30、解析所述身份認證應答消息獲取第一從端身份信息，并根據(jù)所述第一從端身份信息與所保存的第二從端身份信息判斷身份驗證是否成功。

主端在預設周期內輪詢檢測從端發(fā)送過來的消息，該預設周期可設置為1秒，也可根據(jù)實際需要進行設置。當狀態(tài)標識信號有效時，即信號trip＝1為高電平時，表明從端有消息反饋過來，主端通過第四預設開銷字節(jié)接收身份認證應答消息。反之，當狀態(tài)標識信號無效時，即信號trip＝0為低電平時，表明從端沒有反饋消息過來。主端默認使用調度ODUk開銷字節(jié)4行14列接收信息，即第四預設開銷字節(jié)可設置為4行14列。需要說明的是，該第四預設開銷字節(jié)可根據(jù)實際需要進行動態(tài)配置。若在上述主端內置的計數(shù)器超過預設計時時間后，主端還未接收到身份認證應答消息，則主端重發(fā)身份驗證請求消息給從端。

進一步地，主端對接收到的身份認證應答消息根據(jù)校驗機制進行驗證，具體地，主端提取身份認證應答消息中的第一個字節(jié)確定其類型，及通過提取第二個字節(jié)獲取長度，然后將該長度與主端的主控芯片返回的長度進行比較，若一致，則說明身份驗證請求消息有效，主端狀態(tài)機進入應答狀態(tài)；若不一致，則無效。

主端在驗證身份認證應答消息有效后，獲取身份認證應答消息的內容，通過解析身份認證應答消息提取第一從端身份信息，該第一從端身份信息即為上述從端根據(jù)根據(jù)從端的口令信息、從端的端口信息及隨機數(shù)生成的第一從端身份信息。然后主端將解析得到的第一從端身份信息與保存在本地的第二從端身份信息進行比較，即判斷本地所保存的第二從端身份信息與解析身份認證應答消息所得到的第一從端身份信息的二進制數(shù)是否一致。若不一致， 主端狀態(tài)機繼續(xù)維持驗證請求狀態(tài)，身份驗證不成功，則主端重新開始新一輪的身份驗證流程。若一致，主端狀態(tài)機進入驗證成功狀態(tài)，身份驗證成功，即身份驗證流程完成，然后主端狀態(tài)機進入到OTN加密傳輸系統(tǒng)中秘鑰傳遞模塊、無損切換模塊等其他模塊。同時，主端和從端實時檢測OTN加密傳輸系統(tǒng)的告警狀態(tài)：若檢測到加密路徑從失效到正常，則重啟啟動身份驗證流程，使得在鏈路恢復正常后重新進行身份驗證，提高身份驗證的可靠性。若檢測到加密路徑由正常到失效，則說明鏈路已斷開，需要重新啟動身份驗證流程。

本發(fā)明實施例在對兩對稱業(yè)務單板確定主端和從端后，主端主動啟動身份驗證，獲取隨機數(shù)構造身份驗證請求消息后發(fā)送給從端。從端接收身份驗證請求消息并驗證有效后，解析身份驗證請求消息獲取隨機數(shù)，并根據(jù)從端的口令信息、從端的端口信息及隨機數(shù)生成第一從端身份信息。然后從端根據(jù)從端身份信息構造身份認證應答消息后發(fā)送給主端。主端接收身份認證應答消息并驗證有效后，解析身份認證應答消息獲取第一從端身份信息，將本地所保存的第二從端身份信息與解析得到的第一從端身份信息進行比較，判斷身份驗證是否成功。實現(xiàn)了根據(jù)光傳送網(wǎng)中設置的主端和從端通過動態(tài)可配置的開銷字節(jié)相互發(fā)送或接收消息，對通過哈希算法及隨機數(shù)算法生成的隨機數(shù)構造出身份信息進行驗證，從而大大增加了身份了驗證的安全性及可靠性。

進一步地，如圖2所示，基于上述第一實施例，提出了本發(fā)明光傳送網(wǎng)的身份驗證方法的第二實施例，該實施例中上述步驟S10之后可包括：

步驟S40、在第一預設時間內未收到從端針對所述身份驗證請求消息反饋的身份認證應答消息時，向從端重發(fā)身份驗證請求消息，并在身份驗證請求失敗次數(shù)達到預設次數(shù)后，經(jīng)過第二預設時間或存在光輸入后重發(fā)身份驗證請求消息。

在上述主端向從端發(fā)送身份驗證請求消息時，主端內置的計數(shù)器開始計數(shù)，主端根據(jù)計數(shù)器的計時時間判斷接收到從端針對身份驗證請求消息反饋的身份認證應答消息是否超過第一預設時間，若在第一預設時間內采集不到身份認證應答消息時，表示本次的身份驗證請求失敗，并將計數(shù)器當前的計 數(shù)值清零，同時將當前失敗次數(shù)累加，繼續(xù)發(fā)送身份驗證請求消息。該第一預設時間可根據(jù)具體情況而靈活設置?？梢岳斫獾氖?，由于重發(fā)的身份驗證請求消息，是根據(jù)重新獲取本地時戳信息通過哈希算法及隨機算法重新計算得到隨機數(shù)，并由新的隨機數(shù)重新構造新的身份驗證請求消息，因此，每次發(fā)送的身份驗證請求消息中所包含的隨機數(shù)是不一樣的。

為了防止在主端與從端之間的鏈路斷開后，主端一直重復發(fā)送的身份驗證請求消息，從而增加設備負擔，主端可在身份驗證請求失敗的累加次數(shù)達到預設次數(shù)后，停止發(fā)送的身份驗證請求消息，并將失敗次數(shù)清零。該預設次數(shù)可設置為5次，也可根據(jù)實際需要進行設置。經(jīng)過第二預設時間后，主端再向從端發(fā)送身份驗證請求消息，或者是在業(yè)務恢復后，即存在光輸入后，主端向從端重發(fā)身份驗證請求消息。該第二預設時間可根據(jù)具體情況而靈活設置。

進一步地，如圖3所示，基于上述第一實施例，提出了本發(fā)明光傳送網(wǎng)的身份驗證方法的第三實施例，該實施例中在執(zhí)行上述所有步驟之前可包括：

步驟S50、兩對稱業(yè)務單板根據(jù)自協(xié)商算法或者接收網(wǎng)管協(xié)議配置指令確定主端和從端，所述主端和所述從端分別接收網(wǎng)管下發(fā)的身份驗證鏈路配置信息，所述身份驗證鏈路配置信息包括主端的口令信息、從端的口令信息、主端的端口信息、及從端的端口信息。

本實施例中，在進行身份驗證之前需要對形成鏈路的兩對稱業(yè)務單板確定主端和從端。在OTN網(wǎng)絡中在同一個網(wǎng)管下對稱的兩對稱業(yè)務單板中，將其中的一塊業(yè)務單板設置為主端，另一塊業(yè)務單板設置為從端。然后由主端主動向從端發(fā)起身份驗證請求，驗證身份信息的合法性。本實施例是在已有的硬件基礎上擴展開發(fā)，無需專門架設中央控制器，從而大大節(jié)省了成本。另外，設置主端和從端對身份信息進行驗證，相對于對稱性的傳統(tǒng)身份驗證機制中通過中央控制器分別對每一個節(jié)點進行身份信息的驗證，提高了身份驗證的安全性。

具體地，主端和從端的確認方式可包括：方式一，兩對稱業(yè)務單板通過自協(xié)商算法確定主端和從端，即在兩對稱業(yè)務單板互相發(fā)送及接收消息的過程中，利用自協(xié)商算法根據(jù)IP、槽位號、端口號等參數(shù)計算兩對稱業(yè)務單板 的大小，將大的指定為主端，小的指定為從端。方式二，通過網(wǎng)管協(xié)議配置確定主端和從端，即由網(wǎng)管下發(fā)協(xié)議報文，該協(xié)議報文包含了兩對稱業(yè)務單板中哪個作為主端及哪個作為從端的信息，從而根據(jù)協(xié)議報文指定主端和從端。

完成主端和從端的配置后，網(wǎng)管向主端和從端下發(fā)身份驗證鏈路配置信息，以使主端和從端都接收身份驗證鏈路配置信息并進行存儲。身份驗證鏈路信息主要用于生成主端或者從端的身份信息，身份信息是后續(xù)身份驗證是否成功的關鍵。身份驗證鏈路配置信息可包含：主端的口令信息、從端的口令信息、主端的端口信息、從端的端口信息、主端的秘鑰材料更新周期及更新模式等。其中，端口信息可以是網(wǎng)元IP、槽位號等。口令信息、端口信息都可以是數(shù)字或字符等，在通過哈希算法生成隨機數(shù)時將會轉換為二進制數(shù)。完成鏈路配置之后，主端狀態(tài)機和從端狀態(tài)機都初始化為初始值狀態(tài)。可以理解的是，為了在主端與從端兩者之間切換角色時能夠完成對應的功能，因此主端和從端同時接收包含了這兩端信息的身份驗證鏈路配置信息。完成身份驗證鏈路配置之后，主端可向從端發(fā)送身份驗證請求消息。

進一步地，如圖4所示，基于上述第三實施例，提出了本發(fā)明光傳送網(wǎng)的身份驗證方法的第四實施例，該實施例中上述步驟S30之前可包括：

步驟S60、根據(jù)從端的口令信息、從端的端口信息及所述隨機數(shù)生成第二從端身份信息進行保存。

為了有效判斷身份驗證是否成功，即主端能夠將解析從端發(fā)送過來的身份認證應答消息得到的第一從端身份信息與本身生成的第二從端身份信息進行比較，本實施例中，主端將上述獲取的隨機數(shù)、從端的口令信息及從端的端口信息根據(jù)哈希算法生成第二從端身份信息，并將生成的第二從端身份信息保存在本地，以在身份驗證的過程中，主端將保存的第二從端身份信息與從端反饋的第一從端身份信息進行驗證。需要說明的是，該哈希算法與上述從端生成第一從端身份信息所利用的哈希算法一致。口令信息及端口信息可根據(jù)具體情況而靈活設置。主端根據(jù)上述得到的32個字節(jié)的二進制的隨機數(shù)構造身份驗證請求消息，例如，可將4個字節(jié)的消息頭與32個字節(jié)的隨機數(shù)進行組合得到身份驗證請求消息，該4個字節(jié)的消息頭的第一個字節(jié)可表示 其消息類型為身份驗證請求消息。

對應地，如圖5所示，提出本發(fā)明一種光傳送網(wǎng)的身份驗證裝置第一實施例。該實施例的光傳送網(wǎng)的身份驗證裝置包括：

獲取模塊100，用于在啟動身份驗證時，獲取隨機數(shù)構造身份驗證請求消息，并將所述身份驗證請求消息發(fā)送至從端；

身份驗證方法是在OTN加密傳輸系統(tǒng)當中的一個模塊，本實施例中，當主端由獲取模塊100啟動身份信息驗證時，主端狀態(tài)機進入驗證請求狀態(tài)，主端狀態(tài)機主要用于對主端的時序進行控制。主端調用獲取模塊100通過哈希算法及隨機數(shù)算法產(chǎn)生隨機數(shù)構造身份驗證請求消息，具體地，所述獲取模塊100可包括：

獲取單元，用于獲取本地時戳信息；

生成單元，用于根據(jù)所述本地時戳信息利用哈希算法及隨機數(shù)算法生成隨機數(shù)，并根據(jù)所述隨機數(shù)構造身份驗證請求消息。

本實施例中，主端調用獲取單元讀取由主端業(yè)務單板相應的芯片產(chǎn)生的本地時戳信息，并由生成單元將該本地時戳信息導入由哈希算法及隨機數(shù)算法組成的函數(shù)生成隨機數(shù)，以根據(jù)該隨機數(shù)構造身份信息。該哈希算法可根據(jù)具體情況而靈活設置，優(yōu)選地，可將得到10個字節(jié)的本地時戳信息利用哈希256生成32個字節(jié)的二進制數(shù)，再將32個字節(jié)的二進制數(shù)通過隨機數(shù)算法生成32個字節(jié)的二進制隨機數(shù)。需要說明的是，該本地時戳信息是遞增的，以保證每次取到的時戳信息是不一樣的。采用哈希算法和隨機數(shù)算法計算得到隨機數(shù)并構造身份信息，具有較高的安全性。

本實施例中，主端和從端之間通過預設開銷字節(jié)接收或發(fā)送消息，該預設開銷字節(jié)可根據(jù)實際需要進行動態(tài)配置，即根據(jù)配置不同的接口地址可實現(xiàn)對預設開銷字節(jié)的動態(tài)配置。開銷字節(jié)的動態(tài)配置，使得竊密者很難追蹤實際傳輸用的開銷字節(jié)，進一步增加了身份驗證的安全性。具體地，主端通過第一預設開銷字節(jié)向從端發(fā)送身份驗證請求消息，主端狀態(tài)機進入發(fā)送狀態(tài)，并啟動主端內置的計數(shù)器開始計時，以檢測獲取到從端針對該身份驗證請求消息反饋身份認證應答消息的時間。主端默認使用調度ODUk開銷字節(jié)4行13列發(fā)送信息，即第一預設開銷字節(jié)可設置為4行13列。需要說明的是， 該第一預設開銷字節(jié)可根據(jù)實際需要進行動態(tài)配置。

接收模塊200，用于接收所述從端反饋的身份認證應答消息；

由于從端接收消息是被動的，因此，從端需要檢測才能獲知是否有消息發(fā)送過來，以能及時接收消息。主端完成身份驗證請求消息發(fā)送之后，從端在預定義的周期內輪詢檢測主端發(fā)送過來的消息，該預定義的周期可設置為1秒，也可根據(jù)實際需要進行設置。當狀態(tài)標識信號有效時，即信號trip＝1為高電平時，表明主端有消息發(fā)送過來，從端通過第二預設開銷字節(jié)接收身份驗證請求消息。反之，當狀態(tài)標識信號無效時，即信號trip＝0為低電平時，表明主端沒有消息發(fā)送過來。從端默認使用調度ODUk開銷字節(jié)4行13列接收信息，即第二預設開銷字節(jié)可設置為4行13列。需要說明的是，該第二預設開銷字節(jié)可根據(jù)實際需要進行動態(tài)配置。

進一步地，從端對接收到的身份驗證請求消息根據(jù)校驗機制進行驗證，具體地，從端提取身份驗證請求消息中的第一個字節(jié)確定其類型，及通過提取第二個字節(jié)獲取長度，然后將該長度與從端的主控芯片返回的長度進行比較，若一致，則說明身份驗證請求消息有效；若不一致，則無效，從端反饋給主端失敗狀態(tài)信息，以使主端在接收到從端反饋的失敗狀態(tài)信息后，重發(fā)身份驗證請求消息至從端。

從端在驗證身份驗證請求消息有效后，獲取身份驗證請求消息的內容，通過解析身份驗證請求消息得到隨機數(shù)，該隨機數(shù)即為上述主端根據(jù)該隨機數(shù)構造得到的身份驗證請求消息。然后從端根據(jù)從端的口令信息、從端的端口信息及解析得到的隨機數(shù)通過哈希算法生成第一從端身份信息，該第一從端身份信息為二進制數(shù)。

從端根據(jù)第一從端身份信息構造身份認證應答消息，并將身份認證應答消息發(fā)送至主端，主端調用接收模塊200接收身份認證應答消息。具體地，從端生成第一從端身份信息后，通過第一從端身份信息構造出身份認證應答消息，例如，可將4個字節(jié)的消息頭與32個字節(jié)的第一從端身份信息進行組合得到身份認證應答消息，該4個字節(jié)的消息頭的第一個字節(jié)可表示其消息類型為身份認證應答消息。然后從端將身份認證應答消息通過第三預設開銷字節(jié)發(fā)送給主端，此時從端默認使用調度ODUk開銷字節(jié)4行14列發(fā)送信息，即第三預設開銷字節(jié)可設置為4行14列。需要說明的是第三預設開銷字節(jié)可 進行動態(tài)配置。從端發(fā)送身份認證應答消息后，將從端狀態(tài)機修改為發(fā)送狀態(tài)。

驗證模塊300，用于解析所述身份認證應答消息獲取第一從端身份信息，并根據(jù)所述第一從端身份信息與所保存的第二從端身份信息判斷身份驗證是否成功。

主端在預設周期內輪詢檢測從端發(fā)送過來的消息，該預設周期可設置為1秒，也可根據(jù)實際需要進行設置。當狀態(tài)標識信號有效時，即信號trip＝1為高電平時，表明從端有消息反饋過來，主端通過第四預設開銷字節(jié)接收身份認證應答消息。反之，當狀態(tài)標識信號無效時，即信號trip＝0為低電平時，表明從端沒有反饋消息過來。主端默認使用調度ODUk開銷字節(jié)4行14列接收信息，即第四預設開銷字節(jié)可設置為4行14列。需要說明的是，該第四預設開銷字節(jié)可根據(jù)實際需要進行動態(tài)配置。若在上述主端內置的計數(shù)器超過預設計時時間后，主端還未接收到身份認證應答消息，則主端重發(fā)身份驗證請求消息給從端。

進一步地，主端調用驗證模塊300對接收到的身份認證應答消息根據(jù)校驗機制進行驗證，具體地，主端提取身份認證應答消息中的第一個字節(jié)確定其類型，及通過提取第二個字節(jié)獲取長度，然后將該長度與主端的主控芯片返回的長度進行比較，若一致，則說明身份驗證請求消息有效，主端狀態(tài)機進入應答狀態(tài)；若不一致，則無效。

主端在驗證身份認證應答消息有效后，獲取身份認證應答消息的內容，通過解析身份認證應答消息提取第一從端身份信息，該第一從端身份信息即為上述從端根據(jù)根據(jù)從端的口令信息、從端的端口信息及隨機數(shù)生成的第一從端身份信息。然后主端將解析得到的第一從端身份信息與保存在本地的第二從端身份信息進行比較，即判斷本地所保存的第二從端身份信息與解析身份認證應答消息所得到的第一從端身份信息的二進制數(shù)是否一致。若不一致，主端狀態(tài)機繼續(xù)維持驗證請求狀態(tài)，身份驗證不成功，則主端重新開始新一輪的身份驗證流程。若一致，主端狀態(tài)機進入驗證成功狀態(tài)，身份驗證成功，即身份驗證流程完成，然后主端狀態(tài)機進入到OTN加密傳輸系統(tǒng)中秘鑰傳遞模塊、無損切換模塊等其他模塊。同時，主端和從端實時檢測OTN加密傳輸系統(tǒng)的告警狀態(tài)：若檢測到加密路徑從失效到正常，則重啟啟動身份驗證流 程，使得在鏈路恢復正常后重新進行身份驗證，提高身份驗證的可靠性。若檢測到加密路徑由正常到失效，則說明鏈路已斷開，需要重新啟動身份驗證流程。

本發(fā)明實施例在對兩對稱業(yè)務單板確定主端和從端后，主端主動啟動身份驗證，獲取隨機數(shù)構造身份驗證請求消息后發(fā)送給從端。從端接收身份驗證請求消息并驗證有效后，解析身份驗證請求消息獲取隨機數(shù)，并根據(jù)從端的口令信息、從端的端口信息及隨機數(shù)生成第一從端身份信息。然后從端根據(jù)從端身份信息構造身份認證應答消息后發(fā)送給主端。主端接收身份認證應答消息并驗證有效后，解析身份認證應答消息獲取第一從端身份信息，將本地所保存的第二從端身份信息與解析得到的第一從端身份信息進行比較，判斷身份驗證是否成功。實現(xiàn)了根據(jù)光傳送網(wǎng)中設置的主端和從端通過動態(tài)可配置的開銷字節(jié)相互發(fā)送或接收消息，對通過哈希算法及隨機數(shù)算法生成的隨機數(shù)構造出身份信息進行驗證，從而大大增加了身份了驗證的安全性及可靠性。

進一步地，如圖6所示，基于上述第一實施例，提出了本發(fā)明光傳送網(wǎng)的身份驗證裝置的第二實施例，該實施例中上述光傳送網(wǎng)的身份驗證裝置還包括：

處理模塊400，用于在第一預設時間內未收到從端針對所述身份驗證請求消息反饋的身份認證應答消息時，向從端重發(fā)身份驗證請求消息，并在身份驗證請求失敗次數(shù)達到預設次數(shù)后，經(jīng)過第二預設時間或存在光輸入后重發(fā)身份驗證請求消息。

在上述主端向從端發(fā)送身份驗證請求消息時，主端內置的計數(shù)器開始計數(shù)，主端調用處理模塊400根據(jù)計數(shù)器的計時時間判斷接收到從端針對身份驗證請求消息反饋的身份認證應答消息是否超過第一預設時間，若在第一預設時間內采集不到身份認證應答消息時，表示本次的身份驗證請求失敗，并將計數(shù)器當前的計數(shù)值清零，同時將當前失敗次數(shù)累加，繼續(xù)發(fā)送身份驗證請求消息。該第一預設時間可根據(jù)具體情況而靈活設置?？梢岳斫獾氖?，由于重發(fā)的身份驗證請求消息，是根據(jù)重新獲取本地時戳信息通過哈希算法及隨機算法重新計算得到隨機數(shù)，并由新的隨機數(shù)重新構造新的身份驗證請求 消息，因此，每次發(fā)送的身份驗證請求消息中所包含的隨機數(shù)是不一樣的。

為了防止在主端與從端之間的鏈路斷開后，主端一直重復發(fā)送的身份驗證請求消息，從而增加設備負擔，主端可調用處理模塊400在身份驗證請求失敗的累加次數(shù)達到預設次數(shù)后，停止發(fā)送的身份驗證請求消息，并將失敗次數(shù)清零。該預設次數(shù)可設置為5次，也可根據(jù)實際需要進行設置。經(jīng)過第二預設時間后，主端再向從端發(fā)送身份驗證請求消息，或者是在業(yè)務恢復后，即存在光輸入后，主端向從端重發(fā)身份驗證請求消息。該第二預設時間可根據(jù)具體情況而靈活設置。

進一步地，如圖7所示，基于上述第一實施例，提出了本發(fā)明光傳送網(wǎng)的身份驗證裝置的第三實施例，該實施例中上述光傳送網(wǎng)的身份驗證裝置還包括：

確定模塊500，用于兩對稱業(yè)務單板根據(jù)自協(xié)商算法或者接收網(wǎng)管協(xié)議配置指令確定主端和從端，所述主端和所述從端分別接收網(wǎng)管下發(fā)的身份驗證鏈路配置信息，所述身份驗證鏈路配置信息包括主端的口令信息、從端的口令信息、主端的端口信息、及從端的端口信息。

本實施例中，在進行身份驗證之前確定模塊500需要對形成鏈路的兩對稱業(yè)務單板確定主端和從端。在OTN網(wǎng)絡中在同一個網(wǎng)管下對稱的兩對稱業(yè)務單板中，將其中的一塊業(yè)務單板設置為主端，另一塊業(yè)務單板設置為從端。然后由主端主動向從端發(fā)起身份驗證請求，驗證身份信息的合法性。本實施例是在已有的硬件基礎上擴展開發(fā)，無需專門架設中央控制器，從而大大節(jié)省了成本。另外，設置主端和從端對身份信息進行驗證，相對于對稱性的傳統(tǒng)身份驗證機制中通過中央控制器分別對每一個節(jié)點進行身份信息的驗證，提高了身份驗證的安全性。

具體地，主端和從端的確認方式可包括：方式一，兩對稱業(yè)務單板通過自協(xié)商算法確定主端和從端，即在兩對稱業(yè)務單板互相發(fā)送及接收消息的過程中，利用自協(xié)商算法根據(jù)IP、槽位號、端口號等參數(shù)計算兩對稱業(yè)務單板的大小，將大的指定為主端，小的指定為從端。方式二，通過網(wǎng)管協(xié)議配置確定主端和從端，即由網(wǎng)管下發(fā)協(xié)議報文，該協(xié)議報文包含了兩對稱業(yè)務單板中哪個作為主端及哪個作為從端的信息，從而根據(jù)協(xié)議報文指定主端和從 端。

完成主端和從端的配置后，網(wǎng)管向主端和從端下發(fā)身份驗證鏈路配置信息，以使主端和從端都接收身份驗證鏈路配置信息并進行存儲。身份驗證鏈路信息主要用于生成主端或者從端的身份信息，身份信息是后續(xù)身份驗證是否成功的關鍵。身份驗證鏈路配置信息可包含：主端的口令信息、從端的口令信息、主端的端口信息、從端的端口信息、主端的秘鑰材料更新周期及更新模式等。其中，端口信息可以是網(wǎng)元IP、槽位號等?？诹钚畔?、端口信息都可以是數(shù)字或字符等，在通過哈希算法生成隨機數(shù)時將會轉換為二進制數(shù)。完成鏈路配置之后，主端狀態(tài)機和從端狀態(tài)機都初始化為初始值狀態(tài)?？梢岳斫獾氖?，為了在主端與從端兩者之間切換角色時能夠完成對應的功能，因此主端和從端同時接收包含了這兩端信息的身份驗證鏈路配置信息。完成身份驗證鏈路配置之后，主端可向從端發(fā)送身份驗證請求消息。

進一步地，如圖8所示，基于上述第三實施例，提出了本發(fā)明光傳送網(wǎng)的身份驗證裝置的第四實施例，該實施例中上述光傳送網(wǎng)的身份驗證裝置還包括：

保存模塊600，用于根據(jù)從端的口令信息、從端的端口信息及所述隨機數(shù)生成第二從端身份信息進行保存。

為了有效判斷身份驗證是否成功，即主端能夠將解析從端發(fā)送過來的身份認證應答消息得到的第一從端身份信息與本身生成的第二從端身份信息進行比較，本實施例中，主端調用保存模塊600將上述獲取的隨機數(shù)、從端的口令信息及從端的端口信息根據(jù)哈希算法生成第二從端身份信息，并將生成的第二從端身份信息保存在本地，以在身份驗證的過程中，主端將保存的第二從端身份信息與從端反饋的第一從端身份信息進行驗證。需要說明的是，該哈希算法與上述從端生成第一從端身份信息所利用的哈希算法一致?？诹钚畔⒓岸丝谛畔⒖筛鶕?jù)具體情況而靈活設置。主端根據(jù)上述得到的32個字節(jié)的二進制的隨機數(shù)構造身份驗證請求消息，例如，可將4個字節(jié)的消息頭與32個字節(jié)的隨機數(shù)進行組合得到身份驗證請求消息，該4個字節(jié)的消息頭的第一個字節(jié)可表示其消息類型為身份驗證請求消息。

對應地，如圖9所示，提出本發(fā)明一種光傳送網(wǎng)的身份驗證系統(tǒng)一實施例。所述光傳送網(wǎng)的身份驗證系統(tǒng)包括主端10和從端20，其中，

主端10，用于在啟動身份驗證時，獲取隨機數(shù)構造身份驗證請求消息，并將所述身份驗證請求消息發(fā)送至從端；

身份驗證方法是在OTN加密傳輸系統(tǒng)當中的一個模塊，本實施例中，當主端10啟動身份信息驗證時，主端狀態(tài)機進入驗證請求狀態(tài)，主端狀態(tài)機主要用于對主端10的時序進行控制。主端10通過哈希算法及隨機數(shù)算法產(chǎn)生隨機數(shù)構造身份驗證請求消息，具體地，主端10還用于，

獲取本地時戳信息；

根據(jù)所述本地時戳信息利用哈希算法及隨機數(shù)算法生成隨機數(shù)，并根據(jù)所述隨機數(shù)構造身份驗證請求消息。

本實施例中，主端10讀取由主端10業(yè)務單板相應的芯片產(chǎn)生的本地時戳信息，并將該本地時戳信息導入由哈希算法及隨機數(shù)算法組成的函數(shù)生成隨機數(shù)，以根據(jù)該隨機數(shù)構造身份信息。該哈希算法可根據(jù)具體情況而靈活設置，優(yōu)選地，可將得到10個字節(jié)的本地時戳信息利用哈希256生成32個字節(jié)的二進制數(shù)，再將32個字節(jié)的二進制數(shù)通過隨機數(shù)算法生成32個字節(jié)的二進制隨機數(shù)。需要說明的是，該本地時戳信息是遞增的，以保證每次取到的時戳信息是不一樣的。采用哈希算法和隨機數(shù)算法計算得到隨機數(shù)并構造身份信息，具有較高的安全性。

本實施例中，主端10和從端20之間通過預設開銷字節(jié)接收或發(fā)送消息，該預設開銷字節(jié)可根據(jù)實際需要進行動態(tài)配置，即根據(jù)配置不同的接口地址可實現(xiàn)對預設開銷字節(jié)的動態(tài)配置。開銷字節(jié)的動態(tài)配置，使得竊密者很難追蹤實際傳輸用的開銷字節(jié)，進一步增加了身份驗證的安全性。具體地，主端10通過第一預設開銷字節(jié)向從端發(fā)送身份驗證請求消息，主端狀態(tài)機進入發(fā)送狀態(tài)，并啟動主端10內置的計數(shù)器開始計時，以檢測獲取到從端針對該身份驗證請求消息反饋身份認證應答消息的時間。主端10默認使用調度ODUk開銷字節(jié)4行13列發(fā)送信息，即第一預設開銷字節(jié)可設置為4行13列。需要說明的是，該第一預設開銷字節(jié)可根據(jù)實際需要進行動態(tài)配置。

從端20，用于接收到所述身份驗證請求消息，并構造身份認證應答消息發(fā)送至主端；

由于從端20接收消息是被動的，因此，從端20需要檢測才能獲知是否有消息發(fā)送過來，以能及時接收消息。主端10完成身份驗證請求消息發(fā)送之后，從端20在預定義的周期內輪詢檢測主端10發(fā)送過來的消息，該預定義的周期可設置為1秒，也可根據(jù)實際需要進行設置。當狀態(tài)標識信號有效時，即信號trip＝1為高電平時，表明主端10有消息發(fā)送過來，從端20通過第二預設開銷字節(jié)接收身份驗證請求消息。反之，當狀態(tài)標識信號無效時，即信號trip＝0為低電平時，表明主端10沒有消息發(fā)送過來。從端20默認使用調度ODUk開銷字節(jié)4行13列接收信息，即第二預設開銷字節(jié)可設置為4行13列。需要說明的是，該第二預設開銷字節(jié)可根據(jù)實際需要進行動態(tài)配置。

進一步地，從端20對接收到的身份驗證請求消息根據(jù)校驗機制進行驗證，具體地，從端20提取身份驗證請求消息中的第一個字節(jié)確定其類型，及通過提取第二個字節(jié)獲取長度，然后將該長度與從端20的主控芯片返回的長度進行比較，若一致，則說明身份驗證請求消息有效；若不一致，則無效，從端20反饋給主端10失敗狀態(tài)信息，以使主端10在接收到從端20反饋的失敗狀態(tài)信息后，重發(fā)身份驗證請求消息至從端20。

從端20在驗證身份驗證請求消息有效后，獲取身份驗證請求消息的內容，通過解析身份驗證請求消息得到隨機數(shù)，該隨機數(shù)即為上述主端10根據(jù)該隨機數(shù)構造得到的身份驗證請求消息。然后從端20根據(jù)從端20的口令信息、從端20的端口信息及解析得到的隨機數(shù)通過哈希算法生成第一從端身份信息，該第一從端身份信息為二進制數(shù)。

從端20根據(jù)第一從端身份信息構造身份認證應答消息，并將所述身份認證應答消息發(fā)送至主端10，主端10接收身份認證應答消息。具體地，從端20生成第一從端身份信息后，通過第一從端身份信息構造出身份認證應答消息，例如，可將4個字節(jié)的消息頭與32個字節(jié)的第一從端身份信息進行組合得到身份認證應答消息，該4個字節(jié)的消息頭的第一個字節(jié)可表示其消息類型為身份認證應答消息。然后從端20將身份認證應答消息通過第三預設開銷字節(jié)發(fā)送給主端10，此時從端默認使用調度ODUk開銷字節(jié)4行14列發(fā)送信息，即第三預設開銷字節(jié)可設置為4行14列。需要說明的是第三預設開銷字節(jié)可進行動態(tài)配置。從端20發(fā)送身份認證應答消息后，將從端狀態(tài)機修改為發(fā)送狀態(tài)。

主端10，用于解析所述身份認證應答消息獲取第一從端身份信息，并根據(jù)所述第一從端身份信息與所保存的第二從端身份信息判斷身份驗證是否成功。

主端10在預設周期內輪詢檢測從端發(fā)送過來的消息，該預設周期可設置為1秒，也可根據(jù)實際需要進行設置。當狀態(tài)標識信號有效時，即信號trip＝1為高電平時，表明從端20有消息反饋過來，主端10通過第四預設開銷字節(jié)接收身份認證應答消息。反之，當狀態(tài)標識信號無效時，即信號trip＝0為低電平時，表明從端20沒有反饋消息過來。主端10默認使用調度ODUk開銷字節(jié)4行14列接收信息，即第四預設開銷字節(jié)可設置為4行14列。需要說明的是，該第四預設開銷字節(jié)可根據(jù)實際需要進行動態(tài)配置。若在上述主端10內置的計數(shù)器超過預設計時時間后，主端10還未接收到身份認證應答消息，則主端10重發(fā)身份驗證請求消息給從端20。

進一步地，主端10對接收到的身份認證應答消息根據(jù)校驗機制進行驗證，具體地，主端10提取身份認證應答消息中的第一個字節(jié)確定其類型，及通過提取第二個字節(jié)獲取長度，然后將該長度與主端10的主控芯片返回的長度進行比較，若一致，則說明身份驗證請求消息有效，主端狀態(tài)機進入應答狀態(tài)；若不一致，則無效。

主端10在驗證身份認證應答消息有效后，獲取身份認證應答消息的內容，通過解析身份認證應答消息提取第一從端身份信息，該第一從端身份信息即為上述從端根據(jù)根據(jù)從端20的口令信息、從端20的端口信息及隨機數(shù)生成的第一從端身份信息。然后主端10將解析得到的第一從端身份信息與保存在本地的第二從端身份信息進行比較，即判斷本地所保存的第二從端身份信息與解析身份認證應答消息所得到的第一從端身份信息的二進制數(shù)是否一致。若不一致，主端狀態(tài)機繼續(xù)維持驗證請求狀態(tài)，身份驗證不成功，則主端10重新開始新一輪的身份驗證流程。若一致，主端狀態(tài)機進入驗證成功狀態(tài)，身份驗證成功，即身份驗證流程完成，然后主端狀態(tài)機進入到OTN加密傳輸系統(tǒng)中秘鑰傳遞模塊、無損切換模塊等其他模塊。同時，主端10和從端20實時檢測OTN加密傳輸系統(tǒng)的告警狀態(tài)：若檢測到加密路徑從失效到正常，則重新啟動身份驗證流程，使得在鏈路恢復正常后重新進行身份驗證，提高身份驗證的可靠性。若檢測到加密路徑由正常到失效，則說明鏈路已斷開， 需要重啟啟動身份驗證流程。

本發(fā)明實施例在對兩對稱業(yè)務單板確定主端10和從端20后，主端10主動啟動身份驗證，獲取隨機數(shù)構造身份驗證請求消息后發(fā)送給從端20。從端20接收身份驗證請求消息并驗證有效后，解析身份驗證請求消息獲取隨機數(shù)，并根據(jù)從端20的口令信息、從端20的端口信息及隨機數(shù)生成第一從端身份信息。然后從端20根據(jù)從端身份信息構造身份認證應答消息后發(fā)送給主端10。主端10接收身份認證應答消息并驗證有效后，解析身份認證應答消息獲取第一從端身份信息，將本地所保存的第二從端身份信息與解析得到的第一從端身份信息進行比較，判斷身份驗證是否成功。實現(xiàn)了根據(jù)光傳送網(wǎng)中設置的主端10和從端20通過動態(tài)可配置的開銷字節(jié)相互發(fā)送或接收消息，對通過哈希算法及隨機數(shù)算法生成的隨機數(shù)構造出身份信息進行驗證，從而大大增加了身份了驗證的安全性及可靠性。

進一步地，基于上述實施例，本實施例中，上述主端10還用于，在第一預設時間內未收到從端20針對所述身份驗證請求消息反饋的身份認證應答消息時，向從端20重發(fā)身份驗證請求消息，并在身份驗證請求失敗次數(shù)達到預設次數(shù)后，經(jīng)過第二預設時間或存在光輸入后重發(fā)身份驗證請求消息。

在上述主端10向從端20發(fā)送身份驗證請求消息時，主端10內置的計數(shù)器開始計數(shù)，主端10根據(jù)計數(shù)器的計時時間判斷接收到從端20針對身份驗證請求消息反饋的身份認證應答消息是否超過第一預設時間，若在第一預設時間內采集不到身份認證應答消息時，表示本次的身份驗證請求失敗，并將計數(shù)器當前的計數(shù)值清零，同時將當前失敗次數(shù)累加，繼續(xù)發(fā)送身份驗證請求消息。該第一預設時間可根據(jù)具體情況而靈活設置?？梢岳斫獾氖牵捎谥匕l(fā)的身份驗證請求消息，是根據(jù)重新獲取本地時戳信息通過哈希算法及隨機算法重新計算得到隨機數(shù)，并由新的隨機數(shù)重新構造新的身份驗證請求消息，因此，每次發(fā)送的身份驗證請求消息中所包含的隨機數(shù)是不一樣的。

為了防止在主端10與從端20之間的鏈路斷開后，主端10一直重復發(fā)送的身份驗證請求消息，從而增加設備負擔，主端10可在身份驗證請求失敗的累加次數(shù)達到預設次數(shù)后，停止發(fā)送的身份驗證請求消息，并將失敗次數(shù)清零。該預設次數(shù)可設置為5次，也可根據(jù)實際需要進行設置。經(jīng)過第二預設 時間后，主端10再向從端20發(fā)送身份驗證請求消息，或者是在業(yè)務恢復后，即存在光輸入后，主端10向從端20重發(fā)身份驗證請求消息。該第二預設時間可根據(jù)具體情況而靈活設置。

進一步地，基于上述實施例，本實施例中，所述光傳送網(wǎng)的身份驗證系統(tǒng)還包括：兩對稱業(yè)務單板根據(jù)自協(xié)商算法或者接收網(wǎng)管協(xié)議配置指令確定主端10和從端20；所述主端10還用于，接收網(wǎng)管下發(fā)的身份驗證鏈路配置信息，所述身份驗證鏈路配置信息包括主端10的口令信息、從端20的口令信息、主端10的端口信息、及從端20的端口信息；

所述從端20還用于，接收網(wǎng)管下發(fā)的身份驗證鏈路配置信息，所述身份驗證鏈路配置信息包括主端10的口令信息、從端20的口令信息、主端10的端口信息、及從端20的端口信息。

本實施例中，在進行身份驗證之前需要對形成鏈路的兩對稱業(yè)務單板確定主端10和從端20。在OTN網(wǎng)絡中在同一個網(wǎng)管下對稱的兩對稱業(yè)務單板中，將其中的一塊業(yè)務單板設置為主端10，另一塊業(yè)務單板設置為從端20。然后由主端10主動向從端20發(fā)起身份驗證請求，驗證身份信息的合法性。本實施例是在已有的硬件基礎上擴展開發(fā)，無需專門架設中央控制器，從而大大節(jié)省了成本。另外，設置主端10和從端20對身份信息進行驗證，相對于對稱性的傳統(tǒng)身份驗證機制中通過中央控制器分別對每一個節(jié)點進行身份信息的驗證，提高了身份驗證的安全性。

具體地，主端10和從端20的確認方式可包括：方式一，兩對稱業(yè)務單板通過自協(xié)商算法確定主端10和從端20，即在兩對稱業(yè)務單板互相發(fā)送及接收消息的過程中，利用自協(xié)商算法根據(jù)IP、槽位號、端口號等參數(shù)計算兩對稱業(yè)務單板的大小，將大的指定為主端10，小的指定為從端20。方式二，通過網(wǎng)管協(xié)議配置確定主端10和從端20，即由網(wǎng)管下發(fā)協(xié)議報文，該協(xié)議報文包含了兩對稱業(yè)務單板中哪個作為主端10及哪個作為從端20的信息，從而根據(jù)協(xié)議報文指定主端10和從端20。

完成主端10和從端20的配置后，網(wǎng)管向主端10和從端20下發(fā)身份驗證鏈路配置信息，以使主端10和從端20都接收身份驗證鏈路配置信息并進行存儲。身份驗證鏈路信息主要用于生成主端10或者從端20的身份信息， 身份信息是后續(xù)身份驗證是否成功的關鍵。身份驗證鏈路配置信息可包含：主端10的口令信息、從端20的口令信息、主端10的端口信息、從端20的端口信息、主端10的秘鑰材料更新周期及更新模式等。其中，端口信息可以是網(wǎng)元IP、槽位號等?？诹钚畔?、端口信息都可以是數(shù)字或字符等，在通過哈希算法生成隨機數(shù)時將會轉換為二進制數(shù)。完成鏈路配置之后，主端狀態(tài)機和從端狀態(tài)機都初始化為初始值狀態(tài)?？梢岳斫獾氖?，為了在主端10與從端20兩者之間切換角色時能夠完成對應的功能，因此主端10和從端20同時接收包含了這兩端信息的身份驗證鏈路配置信息。完成身份驗證鏈路配置之后，主端10可向從端20發(fā)送身份驗證請求消息。

進一步地，基于上述實施例，本實施例中，上述主端10還用于，根據(jù)從端20的口令信息、從端20的端口信息及所述隨機數(shù)生成第二從端身份信息進行保存。

為了有效判斷身份驗證是否成功，即主端10能夠將解析從端20發(fā)送過來的身份認證應答消息得到的第一從端身份信息與本身生成的第二從端身份信息進行比較，本實施例中，主端10將上述獲取的隨機數(shù)、從端20的口令信息及從端20的端口信息根據(jù)哈希算法生成第一從端身份信息，并將生成的第一從端身份信息保存在本地，以在身份驗證的過程中，主端10將保存的第一從端身份信息與從端反饋的第二從端身份信息進行驗證?？诹钚畔⒓岸丝谛畔⒖筛鶕?jù)具體情況而靈活設置。主端10根據(jù)上述得到的32個字節(jié)的二進制的隨機數(shù)構造身份驗證請求消息，例如，可將4個字節(jié)的消息頭與32個字節(jié)的隨機數(shù)進行組合得到身份驗證請求消息，該4個字節(jié)的消息頭的第一個字節(jié)可表示其消息類型為身份驗證請求消息。

以上僅為本發(fā)明的優(yōu)選實施例，并非因此限制本發(fā)明的專利范圍，凡是利用本發(fā)明說明書及附圖內容所作的等效結構或等效流程變換，或直接或間接運用在其他相關的技術領域，均同理包括在本發(fā)明的專利保護范圍內。