作 者：李衛(wèi) 王芳 趙峰
    1 引言

    全光網絡(AON)是指在網絡中信號不需電／光和光／電轉換，傳輸和交換過程中始終以光的形式存在。由于節(jié)點的交換使用大容量和高度靈活的波長上／下光分插復用器(OADM)和光交叉連接設備(OXC)，進而實現透明傳輸，一旦商用將極大提高傳輸速率和網絡容量。然而，與現有電／光／電網絡和傳統(tǒng)電網絡相比，易受惡意攻擊，其安全問題更應該被引起重視，具體原因如下：

    (1)攻擊者更易接近光器件，網絡易攻擊性高。例如，通過微彎光纖注入某一波長的攻擊光信號或利用其輻射出的光信號可進行竊聽，用光纖夾持器加以改進或光泄漏檢測器就能實現上述功能；

    (2)光網絡的物理結構為攻擊提供了機會。例如，在網絡遠端注入攻擊信號，在傳輸過程中可影響整個網絡；

    (3)某些光技術恰成漏洞被攻擊所利用。例如，光開關中的串擾水平引起的一部分泄漏信號，這對于正常信號不會造成危害，但當攻擊者注入強干擾信號時，足以讓攻擊者檢測到它的存在，很有可能從流量中恢復出一部分數據。

     本文的目標是研究攻擊的類型和方法，介紹全光網中易受攻擊的器件，探討幾種有效的攻擊的檢測方法和定位算法。

     2 攻擊的類型和方法

    從應對攻擊角度出發(fā)，提出全光網絡安全管理框架，如圖1所示。

              

    2.1 攻擊的類型

    攻擊是指人為的惡意破壞。攻擊大致有六類：通信流量分析、竊聽、數據延遲、服務拒絕、QoS下降和欺騙。通信分析和竊聽有相似特性；光網絡沒有光存儲器，不會受到數據延遲攻擊；欺騙可以用加密來防止；服務拒絕是QoS下降的極限結果，兩者統(tǒng)稱為服務破壞。從物理層看，全光網絡中主要考慮的攻擊有兩類：竊聽與通信流量分析和服務破壞。

    2.2 攻擊的方法

    為實現上述兩種攻擊，攻擊者必須設計攻擊方法，原則是：易于實現和效果明顯。常見的攻擊方法有四種：帶內干擾攻擊、帶外干擾攻擊、竊聽和斷纖。

    帶內干擾攻擊是注入一個光信號專門來降低接收機正確解譯數據的能力，它不但破壞攻擊源所在鏈路上的信號，而且也影響與該鏈路節(jié)點相連的其他鏈路上的信號質量，如圖2所示。這是信號不需再生而直接在鏈路中傳播造成的。

               

    帶外干擾攻擊是利用器件的泄漏或交叉調制效應降低信號能量，攻擊者注入一個與通信波段不同波長但又在放大器放大帶寬內的信號，攻擊信號就會掠奪其他信號的增益，如圖3所示。

                

    竊聽是攻擊者監(jiān)聽從鄰近信道泄漏的串擾來獲得有關鄰近信號的信息。

    斷纖就是認為切斷光纜的攻擊。

    3 易受攻擊的器件

    全光網絡中易受攻擊的器件主要包括：光纖、發(fā)送器、接收器、(解)復用器、光交叉連接設備(OXC)、光濾波器、光開關、耦合器、光放大器等。

    下面以OXC結點為例，分析易受攻擊的光器件，將攻擊點編號，如圖4所示。

                 

   攻擊點1——光纖光纖的易接近性以及其自身的串擾、非線性、彎曲輻射特性為斷纖和竊聽攻擊提供了機會。

    攻擊點2——測試接入端口用于測試或需要時方便連接的測試接入端口卻成為攻擊者利用的對象：可用于竊聽，還可以在端口處人為改變傳輸信號的功率、偏振等指標，信號再通過對這些指標比較敏感的器件時(比如放大器對偏振較敏感)，服務質量就會降低。

    攻擊點3——EDFAEDFA存在兩個不容忽視的問題：增益競爭和增益譜不平坦。如果增益譜不平坦，即使每個波道光功率相等，通過EDFA，輸出的光功率也會出現波動起伏現象，再通過下一級EDFA時將產生更加嚴重的增益競爭，使得光信噪比下降，因此攻擊者可采用帶外干擾攻擊降低或破壞通信質量。

    攻擊點4——分光器／合光器解復用器是由一個分光器和一個濾波器組成。它所面臨的危險與濾波器的易攻擊性相同。

    攻擊點5——濾波器在全光網絡中，各個波道間隔非常小，而濾波器的帶寬要求非常窄，但又必須滿足通帶平坦和邊帶陡峭條件，否則，相鄰波道信號就會發(fā)生串擾，為非授權侵入提供機會，此種攻擊很難檢測和定位。

    攻擊點6——光開關若光開關行性能不理想，會導致串擾，且具有傳播性，一階串擾引起二階串擾，再引起三階串擾等，如圖5所示。合法用戶間也可能存在串擾，可怕的是，一旦攻擊者發(fā)送惡意攻擊信號，將產生嚴重的帶內干擾，同時也能通過串擾竊聽。

                

    4 攻擊的檢測方法

    4.1 現有的檢測方法

    常用的攻擊檢測方法有：寬帶功率檢測法、光譜分析法、監(jiān)控信號分析法、光時域反射法，它們能初步檢測出帶內干擾攻擊、帶外干擾攻擊、竊聽和斷纖。

    寬帶功率檢測法是測量光信號在較大譜寬內的功率并與期望值比較來檢測攻擊的方法。需要時間長，且測到較小的功率變化不一定是攻擊所致(可能是器件老化，光纖修補等)。

    光譜分析法是用光譜分析儀測量光信號的頻譜的變化來檢
測的攻擊方法。但同樣比較取樣平均和統(tǒng)計平均，需要時間長，反應慢，而且對不改變光譜形狀的攻擊則無法檢測。

    監(jiān)控信號分析法是利用傳送監(jiān)控信號來檢測傳輸中斷，但監(jiān)控信號并不能完全代表通信信息的質量，而且對通信信號質量有影響。

  光時域反射法是用OTDR監(jiān)控信號和分析監(jiān)控信號的反射信號來檢測的攻擊方法。然而，只要有不大于1％光泄漏，OTDR無法檢測到這種攻擊。

    鑒于它們的局限性，提出了兩種新的檢測方法。

    4.2 參數比較檢測法

    參數比較法基于被檢測器件的輸入、輸出端信號應滿足一定的數學關系而得。從器件的兩端提取用于比較的光信號，其中提取的輸入端信號加上被檢測器件的固有延時τ，然后將光信號通過光電轉換后變成電信號，再送到參數比較器中得出輸出函數K。根據需要比較的參數類型(光信號的幅度、相位、波長等)以及被檢測器件的固有特性，在沒有攻擊的情況下，比較器的輸出函數K=f(S1…Sn，R1…Rn)，是輸入和輸出信號的復合函數，一旦有攻擊存在是，比較器的輸出函數K'=f'(S1'…Sn'，R1'…Rn')。將K'和K比較，超過設定的閾值，說明攻擊存在，則將結果送到網管，由網管統(tǒng)一處理，比較過程如圖6所示。

           

  參數比較法不改變被檢測器件結構，和傳輸鏈路的比特率無關。由于要光電轉換，所以檢測速度依賴于光電轉換時間，同時要提取信號，可能會影響信號功率。

    4.3綜合監(jiān)測器件檢測法

    網絡中監(jiān)測器件主要負責對傳輸器件性能的監(jiān)控。用V表示監(jiān)控器件的集合，包括以下4類：V0，V1，V2，V3，即V={V0，V1，V2，V3}，如表1。

            

   下面用具體實例說明攻擊檢測的方法，圖7是一段DWDM線路，假如Fiber-1處發(fā)生了攻擊，在①，②，③，④處分別放置V0，V3，V1，V2類器件來檢測攻擊。

    監(jiān)控通道若收到V器件發(fā)出報警信號，用1表示，沒收到則用0表示。發(fā)生攻擊時，四個V器件發(fā)出的報警信號(0或1)排成一列，組成一個四位二進制數，并將其轉化為十進制數，由于不同攻擊方法的報警值不同，所以能檢測出不同的攻擊。

    5 攻擊的定位算法

    當檢測出攻擊方法后，接著就要定位攻擊源的位置，下面是分布式定位算法原理。

    假設網絡結點報警狀態(tài)參量為S，正常狀態(tài)時令S=0，受到攻擊時令S=1，上游結點報警狀態(tài)參量為S'，下游節(jié)點報警參量為S"，分布式定位算法的主要流程如圖8所示。

              

  結點S首先檢測來自上游結點的報警狀態(tài)參量S'，如果S'=1，則說明上游結點是攻擊源，不讓本結點報警；如果S'=0，說明上游結點不是攻擊源，于是對本地結點進行攻擊判斷，一旦判斷受到攻擊，就令本地結點報警狀態(tài)參量S=1，如果判斷沒有受到攻擊，就令S=0，然后將本地報警狀態(tài)參量S下傳給下游結點，下游結點依次按照這樣的方法進行分布重復判斷，直到查找到整個網絡的攻擊源為止。

    6 結語

    國內對全光網絡中攻擊研究還不是很深入，鑒于此提出了全光網絡安全管理框架，得出了兩種新的攻擊檢測方法和一種有效的攻擊定位算法，這將有助于人們提高網絡安全意識，防范惡意攻擊的發(fā)生。


來源：現代電子技術