[发明专利]用于光网络的自适应业务加密

权利要求书

1.一种传输光网络元件(100)，包括：

用于接收来自密钥管理实体(10)的密钥信息的接口；

用于存储由所述密钥管理实体(10)接收的公钥的存储装置，其中所述公钥与经由光网络(300)可连接至所述传输光网络元件(100)以便传输数据的接收光网络元件(200)相关联；以及

被配置为生成对称加密密钥的密钥生成实体(120)；

其中所述传输光网络元件(100)适于：

使用生成的对称加密密钥对要传输至所述接收光网络元件(200)的所接收到的有效载荷进行加密；并且

使用所述接收光网络元件(200)的公钥对所述生成的对称加密密钥进行加密；

经由所述光网络(300)将经加密的有效载荷和经加密的对称加密密钥传输至所述接收光网络元件(200)。

2.根据权利要求1所述的传输光网络元件，其中所述存储装置适于存储与所述传输光网络元件(100)相关联的私钥以及能够接收所述传输光网络元件(100)的数据的多个接收光网络元件(200)的公钥。

3.根据权利要求1或2所述的传输光网络元件，其中在连接从第一接收光网络元件到第二接收光网络元件变化的情况下，所述传输光网络元件(100)适于生成用于对有效载荷进行加密的新的对称加密密钥并且使用所述第二接收光网络元件的公钥对所述新的对称加密密钥进行加密。

4.根据前述任一项权利要求所述的传输光网络元件，其中有关经加密的对称加密密钥或经加密的对称加密密钥的至少一部分的信息与经加密的有效载荷一起被同时和/或连续地传输。

5.根据前述任一项权利要求所述的传输光网络元件，其中使用数据帧(400)传输经加密的有效载荷，并且经加密的对称加密密钥被嵌入在一些或所有数据帧(400)之中，尤其使用所述数据帧(400)内的开销部分(410)进行传输。

6.根据前述任一项权利要求所述的传输光网络元件，包括用于对从密钥管理实体(10)所接收的密钥信息进行认证的装置。

7.根据前述任一项权利要求所述的传输光网络元件，其适于：

创建仅由所述传输光网络元件(100)和所述接收光网络元件(200)所知的共享秘密的签名；

利用其自己的私钥对所述签名进行加密；

将经加密的所述签名传输至所述接收光网络元件(200)以便允许在所述接收光网络元件(200)处进行认证。

8.根据权利要求7所述的传输光网络元件，适于通过应用密码散列函数来创建共享秘密的所述签名。

9.一种连接至传输光网络元件(100)以便接收数据的接收光网络元件(200)，所述接收光网络元件(200)包括：

用于接收来自密钥管理实体(10)的密钥信息的接口；

用于至少存储由所述密钥管理实体(10)接收的自己的私钥的存储装置；

其中所述接收光网络元件(200)适于：

从所述传输光网络元件接收经加密的对称加密密钥和经加密的有效载荷；

使用其自己的私钥对所接收的所述对称加密密钥进行解密；以及

使用经解密的所接收的对称加密密钥对所接收的经加密的所述有效载荷进行解密。

10.根据权利要求9所述的接收光网络元件，其中所述存储装置适于至少存储其自己的私钥以及由所述密钥管理实体接收的至少一个公钥，其中所述至少一个公钥与能够连接至所述接收光网络元件(200)以便传输数据的传输光网络元件(100)相关联。

11.根据权利要求9或10所述的接收光网络元件，适于：

接收仅由所述传输光网络元件(100)和所述接收光网络元件(200)所知的共享秘密的签名，其中所述签名由所述传输光网络元件(100)的所述私钥进行加密；

利用所述传输光网络元件的所述公钥对所述签名进行解密；

生成所述共享秘密的第二签名；

将经解密的签名与所述第二签名进行比较以便对所述传输光网络元件(100)进行认证。