當(dāng)前位置:首頁(yè) > 測(cè)試測(cè)量 > 測(cè)試測(cè)量
[導(dǎo)讀]1 引 言全光網(wǎng)絡(luò)(AON)是指在網(wǎng)絡(luò)中信號(hào)不需電/光和光/電轉(zhuǎn)換,傳輸和交換過程中始終以光的形式存在。由于節(jié)點(diǎn)的交換使用大容量和高度靈活的波長(zhǎng)上/下光分插復(fù)用器(OADM)和光交叉連接設(shè)備(OXC),進(jìn)而實(shí)現(xiàn)透明傳輸,

1 引 言

光網(wǎng)絡(luò)(AON)是指在網(wǎng)絡(luò)中信號(hào)不需電/光和光/電轉(zhuǎn)換,傳輸和交換過程中始終以光的形式存在。由于節(jié)點(diǎn)的交換使用大容量和高度靈活的波長(zhǎng)上/下光分插復(fù)用器(OADM)和光交叉連接設(shè)備(OXC),進(jìn)而實(shí)現(xiàn)透明傳輸,一旦商用將極大提高傳輸速率和網(wǎng)絡(luò)容量。然而,與現(xiàn)有電/光/電網(wǎng)絡(luò)和傳統(tǒng)電網(wǎng)絡(luò)相比,易受惡意攻擊,其安全問題更應(yīng)該被引起重視,具體原因如下:

(1)攻擊者更易接近光器件,網(wǎng)絡(luò)易攻擊性高。例如,通過微彎光纖注入某一波長(zhǎng)的攻擊光信號(hào)或利用其輻射出的光信號(hào)可進(jìn)行竊聽,用光纖夾持器加以改進(jìn)或光泄漏檢測(cè)器就能實(shí)現(xiàn)上述功能;

(2)光網(wǎng)絡(luò)的物理結(jié)構(gòu)為攻擊提供了機(jī)會(huì)。例如,在網(wǎng)絡(luò)遠(yuǎn)端注入攻擊信號(hào),在傳輸過程中可影響整個(gè)網(wǎng)絡(luò);

(3)某些光技術(shù)恰成漏洞被攻擊所利用。例如,光開關(guān)中的串?dāng)_水平引起的一部分泄漏信號(hào),這對(duì)于正常信號(hào)不會(huì)造成危害,但當(dāng)攻擊者注入強(qiáng)干擾信號(hào)時(shí),足以讓攻擊者檢測(cè)到它的存在,很有可能從流量中恢復(fù)出一部分?jǐn)?shù)據(jù)。

本文的目標(biāo)是研究攻擊的類型和方法,介紹全光網(wǎng)中易受攻擊的器件,探討幾種有效的攻擊的檢測(cè)方法和定位算法。

2 攻擊的類型和方法

從應(yīng)對(duì)攻擊角度出發(fā),提出全光網(wǎng)絡(luò)安全管理框架,如圖1所示。

2.1 攻擊的類型

攻擊是指人為的惡意破壞。攻擊大致有六類:通信流量分析、竊聽、數(shù)據(jù)延遲、服務(wù)拒絕、QoS下降和欺騙。通信分析和竊聽有相似特性;光網(wǎng)絡(luò)沒有光存儲(chǔ)器,不會(huì)受到數(shù)據(jù)延遲攻擊;欺騙可以用加密來防止;服務(wù)拒絕是QoS下降的極限結(jié)果,兩者統(tǒng)稱為服務(wù)破壞。從物理層看,全光網(wǎng)絡(luò)中主要考慮的攻擊有兩類:竊聽與通信流量分析和服務(wù)破壞。

2.2 攻擊的方法

為實(shí)現(xiàn)上述兩種攻擊,攻擊者必須設(shè)計(jì)攻擊方法,原則是:易于實(shí)現(xiàn)和效果明顯。常見的攻擊方法有四種:帶內(nèi)干擾攻擊、帶外干擾攻擊、竊聽和斷纖。

帶內(nèi)干擾攻擊是注入一個(gè)光信號(hào)專門來降低接收機(jī)正確解譯數(shù)據(jù)的能力,它不但破壞攻擊源所在鏈路上的信號(hào),而且也影響與該鏈路節(jié)點(diǎn)相連的其他鏈路上的信號(hào)質(zhì)量,如圖2所示。這是信號(hào)不需再生而直接在鏈路中傳播造成的。

帶外干擾攻擊是利用器件的泄漏或交叉調(diào)制效應(yīng)降低信號(hào)能量,攻擊者注入一個(gè)與通信波段不同波長(zhǎng)但又在放大器放大帶寬內(nèi)的信號(hào),攻擊信號(hào)就會(huì)掠奪其他信號(hào)的增益,如圖3所示。

竊聽是攻擊者監(jiān)聽從鄰近信道泄漏的串?dāng)_來獲得有關(guān)鄰近信號(hào)的信息。

斷纖就是認(rèn)為切斷光纜的攻擊。

3 易受攻擊的器件

全光網(wǎng)絡(luò)中易受攻擊的器件主要包括:光纖、發(fā)送器、接收器、(解)復(fù)用器、光交叉連接設(shè)備(OXC)、光濾波器、光開關(guān)、耦合器、光放大器等。

下面以O(shè)XC結(jié)點(diǎn)為例,分析易受攻擊的光器件,將攻擊點(diǎn)編號(hào),如圖4所示。

攻擊點(diǎn)1——光纖 光纖的易接近性以及其自身的串?dāng)_、非線性、彎曲輻射特性為斷纖和竊聽攻擊提供了機(jī)會(huì)。

攻擊點(diǎn)2——測(cè)試接入端口 用于測(cè)試或需要時(shí)方便連接的測(cè)試接入端口卻成為攻擊者利用的對(duì)象:可用于竊聽,還可以在端口處人為改變傳輸信號(hào)的功率、偏振等指標(biāo),信號(hào)再通過對(duì)這些指標(biāo)比較敏感的器件時(shí)(比如放大器對(duì)偏振較敏感),服務(wù)質(zhì)量就會(huì)降低。

攻擊點(diǎn)3——EDFA EDFA存在兩個(gè)不容忽視的問題:增益競(jìng)爭(zhēng)和增益譜不平坦。如果增益譜不平坦,即使每個(gè)波道光功率相等,通過EDFA,輸出的光功率也會(huì)出現(xiàn)波動(dòng)起伏現(xiàn)象,再通過下一級(jí)EDFA時(shí)將產(chǎn)生更加嚴(yán)重的增益競(jìng)爭(zhēng),使得光信噪比下降,因此攻擊者可采用帶外干擾攻擊降低或破壞通信質(zhì)量。

攻擊點(diǎn)4——分光器/合光器 解復(fù)用器是由一個(gè)分光器和一個(gè)濾波器組成。它所面臨的危險(xiǎn)與濾波器的易攻擊性相同。

攻擊點(diǎn)5——濾波器 在全光網(wǎng)絡(luò)中,各個(gè)波道間隔非常小,而濾波器的帶寬要求非常窄,但又必須滿足通帶平坦和邊帶陡峭條件,否則,相鄰波道信號(hào)就會(huì)發(fā)生串?dāng)_,為非授權(quán)侵入提供機(jī)會(huì),此種攻擊很難檢測(cè)和定位。

攻擊點(diǎn)6——光開關(guān) 若光開關(guān)行性能不理想,會(huì)導(dǎo)致串?dāng)_,且具有傳播性,一階串?dāng)_引起二階串?dāng)_,再引起三階串?dāng)_等,如圖5所示。合法用戶間也可能存在串?dāng)_,可怕的是,一旦攻擊者發(fā)送惡意攻擊信號(hào),將產(chǎn)生嚴(yán)重的帶內(nèi)干擾,同時(shí)也能通過串?dāng)_竊聽。

4 攻擊的檢測(cè)方法

4.1 現(xiàn)有的檢測(cè)方法

常用的攻擊檢測(cè)方法有:寬帶功率檢測(cè)法、光譜分析法、監(jiān)控信號(hào)分析法、光時(shí)域反射法,它們能初步檢測(cè)出帶內(nèi)干擾攻擊、帶外干擾攻擊、竊聽和斷纖。

寬帶功率檢測(cè)法是測(cè)量光信號(hào)在較大譜寬內(nèi)的功率并與期望值比較來檢測(cè)攻擊的方法。需要時(shí)間長(zhǎng),且測(cè)到較小的功率變化不一定是攻擊所致(可能是器件老化,光纖修補(bǔ)等)。

光譜分析法是用光譜分析儀測(cè)量光信號(hào)的頻譜的變化來檢測(cè)的攻擊方法。但同樣比較取樣平均和統(tǒng)計(jì)平均,需要時(shí)間長(zhǎng),反應(yīng)慢,而且對(duì)不改變光譜形狀的攻擊則無法檢測(cè)。

監(jiān)控信號(hào)分析法是利用傳送監(jiān)控信號(hào)來檢測(cè)傳輸中斷,但監(jiān)控信號(hào)并不能完全代表通信信息的質(zhì)量,而且對(duì)通信信號(hào)質(zhì)量有影響。

光時(shí)域反射法是用OTDR監(jiān)控信號(hào)和分析監(jiān)控信號(hào)的反射信號(hào)來檢測(cè)的攻擊方法。然而,只要有不大于1%光泄漏,OTDR無法檢測(cè)到這種攻擊。

鑒于它們的局限性,提出了兩種新的檢測(cè)方法。

4.2 參數(shù)比較檢測(cè)法

參數(shù)比較法基于被檢測(cè)器件的輸入、輸出端信號(hào)應(yīng)滿足一定的數(shù)學(xué)關(guān)系而得。從器件的兩端提取用于比較的光信號(hào),其中提取的輸入端信號(hào)加上被檢測(cè)器件的固有延時(shí)τ,然后將光信號(hào)通過光電轉(zhuǎn)換后變成電信號(hào),再送到參數(shù)比較器中得出輸出函數(shù)K。根據(jù)需要比較的參數(shù)類型(光信號(hào)的幅度、相位、波長(zhǎng)等)以及被檢測(cè)器件的固有特性,在沒有攻擊的情況下,比較器的輸出函數(shù)K=f(S1…Sn,R1…Rn),是輸入和輸出信號(hào)的復(fù)合函數(shù),一旦有攻擊存在是,比較器的輸出函數(shù)K'=f'(S1'…Sn',R1'…Rn')。將K'和K比較,超過設(shè)定的閾值,說明攻擊存在,則將結(jié)果送到網(wǎng)管,由網(wǎng)管統(tǒng)一處理,比較過程如圖6所示。

參數(shù)比較法不改變被檢測(cè)器件結(jié)構(gòu),和傳輸鏈路的比特率無關(guān)。由于要光電轉(zhuǎn)換,所以檢測(cè)速度依賴于光電轉(zhuǎn)換時(shí)間,同時(shí)要提取信號(hào),可能會(huì)影響信號(hào)功率。

4.3 綜合監(jiān)測(cè)器件檢測(cè)法

網(wǎng)絡(luò)中監(jiān)測(cè)器件主要負(fù)責(zé)對(duì)傳輸器件性能的監(jiān)控。用V表示監(jiān)控器件的集合,包括以下4類:V0,V1,V2,V3,即V={V0,V1,V2,V3},如表1。

下面用具體實(shí)例說明攻擊檢測(cè)的方法,圖7是一段DWDM線路,假如Fiber-1處發(fā)生了攻擊,在①,②,③,④處分別放置V0,V3,V1,V2類器件來檢測(cè)攻擊。

監(jiān)控通道若收到V器件發(fā)出報(bào)警信號(hào),用1表示,沒收到則用0表示。發(fā)生攻擊時(shí),四個(gè)V器件發(fā)出的報(bào)警信號(hào)(0或1)排成一列,組成一個(gè)四位二進(jìn)制數(shù),并將其轉(zhuǎn)化為十進(jìn)制數(shù),由于不同攻擊方法的報(bào)警值不同,所以能檢測(cè)出不同的攻擊。

5 攻擊的定位算法

當(dāng)檢測(cè)出攻擊方法后,接著就要定位攻擊源的位置,下面是分布式定位算法原理。

假設(shè)網(wǎng)絡(luò)結(jié)點(diǎn)報(bào)警狀態(tài)參量為S,正常狀態(tài)時(shí)令S=0,受到攻擊時(shí)令S=1,上游結(jié)點(diǎn)報(bào)警狀態(tài)參量為S',下游節(jié)點(diǎn)報(bào)警參量為S",分布式定位算法的主要流程如圖8所示。

結(jié)點(diǎn)S首先檢測(cè)來自上游結(jié)點(diǎn)的報(bào)警狀態(tài)參量S',如果S'=1,則說明上游結(jié)點(diǎn)是攻擊源,不讓本結(jié)點(diǎn)報(bào)警;如果S'=0,說明上游結(jié)點(diǎn)不是攻擊源,于是對(duì)本地結(jié)點(diǎn)進(jìn)行攻擊判斷,一旦判斷受到攻擊,就令本地結(jié)點(diǎn)報(bào)警狀態(tài)參量S=1,如果判斷沒有受到攻擊,就令S=0,然后將本地報(bào)警狀態(tài)參量S下傳給下游結(jié)點(diǎn),下游結(jié)點(diǎn)依次按照這樣的方法進(jìn)行分布重復(fù)判斷,直到查找到整個(gè)網(wǎng)絡(luò)的攻擊源為止。

6 結(jié) 語

國(guó)內(nèi)對(duì)全光網(wǎng)絡(luò)中攻擊研究還不是很深入,鑒于此提出了全光網(wǎng)絡(luò)安全管理框架,得出了兩種新的攻擊檢測(cè)方法和一種有效的攻擊定位算法,這將有助于人們提高網(wǎng)絡(luò)安全意識(shí),防范惡意攻擊的發(fā)生。

本站聲明: 本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點(diǎn),本站亦不保證或承諾內(nèi)容真實(shí)性等。需要轉(zhuǎn)載請(qǐng)聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請(qǐng)及時(shí)聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫?dú)角獸公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

倫敦2024年8月29日 /美通社/ -- 英國(guó)汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認(rèn)證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時(shí)1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動(dòng) BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運(yùn)行,同時(shí)企業(yè)卻面臨越來越多業(yè)務(wù)中斷的風(fēng)險(xiǎn),如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報(bào)道,騰訊和網(wǎng)易近期正在縮減他們對(duì)日本游戲市場(chǎng)的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)開幕式在貴陽(yáng)舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機(jī) 衛(wèi)星通信

要點(diǎn): 有效應(yīng)對(duì)環(huán)境變化,經(jīng)營(yíng)業(yè)績(jī)穩(wěn)中有升 落實(shí)提質(zhì)增效舉措,毛利潤(rùn)率延續(xù)升勢(shì) 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長(zhǎng) 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競(jìng)爭(zhēng)力 堅(jiān)持高質(zhì)量發(fā)展策略,塑強(qiáng)核心競(jìng)爭(zhēng)優(yōu)勢(shì)...

關(guān)鍵字: 通信 BSP 電信運(yùn)營(yíng)商 數(shù)字經(jīng)濟(jì)

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺(tái)與中國(guó)電影電視技術(shù)學(xué)會(huì)聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會(huì)上宣布正式成立。 活動(dòng)現(xiàn)場(chǎng) NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長(zhǎng)三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會(huì)上,軟通動(dòng)力信息技術(shù)(集團(tuán))股份有限公司(以下簡(jiǎn)稱"軟通動(dòng)力")與長(zhǎng)三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉