波分復(fù)用系統(tǒng)是將多個(gè)獨(dú)立的光波耦合復(fù)用到一根光纖中傳輸，從而更有效地提供帶寬，讓IP、ATM、SDH等數(shù)據(jù)通過(guò)統(tǒng)一的光纖層傳輸?shù)南到y(tǒng)。波分復(fù)用系統(tǒng)在改善網(wǎng)絡(luò)性能的同時(shí)，也給網(wǎng)絡(luò)的安全帶來(lái)了一定的隱患。

一、波分復(fù)用系統(tǒng)面臨的安全威脅

WDM/OTN/ASON網(wǎng)絡(luò)透明傳輸特性使得信號(hào)傳輸過(guò)程中不需要經(jīng)過(guò)識(shí)別和再生等電子過(guò)程，這在改善網(wǎng)絡(luò)性能的同時(shí)，也給網(wǎng)絡(luò)的安全帶來(lái)了一定的隱患，其中非法探測(cè)是網(wǎng)絡(luò)攻擊的常用手段，其是指惡意攻擊用戶(hù)利用光網(wǎng)絡(luò)組件的缺陷來(lái)非法竊聽(tīng)或者干擾通信，主要有以下途徑：

①利用組件串?dāng)_。解復(fù)用器將一根光纖中傳輸?shù)亩嗖ㄩL(zhǎng)信號(hào)按照不同的波長(zhǎng)分解到不同的物理路徑，信號(hào)之間的串?dāng)_會(huì)讓其中一小部分泄露到其他路徑，這部分泄露的信號(hào)足以讓攻擊者檢測(cè)到它的存在，并從中恢復(fù)出一部分?jǐn)?shù)據(jù)。

②利用光放大器的缺陷。EDFA提供給單一通道的增益是所有通過(guò)該放大器信號(hào)幅度總和的函數(shù)，這意味著一起傳輸?shù)男盘?hào)經(jīng)歷著微小的、與相鄰?fù)ǖ佬盘?hào)有關(guān)的幅度調(diào)制。攻擊者可以利用此微量調(diào)制在相鄰?fù)ǖ阑謴?fù)想要探測(cè)的信號(hào)。

③對(duì)光纖的攻擊。光纖彎曲或損壞時(shí)，光會(huì)輻射出光纖導(dǎo)致信息泄露；光纖的某種非線(xiàn)性特性會(huì)在不同的波長(zhǎng)下產(chǎn)生交互感應(yīng)的信號(hào)，所產(chǎn)生的串音就有可能被攻擊者所利用；利用分光技術(shù)和光纖熔接技術(shù)可以直接在光通路上提取信息、探測(cè)數(shù)據(jù)，以實(shí)施竊聽(tīng)。

④對(duì)波長(zhǎng)選擇交換設(shè)備的攻擊。在此攻擊方法中，如果攻擊者非法接人到光纖的輸出端就可以竊聽(tīng)到信道的信息。

因此，在WDM/OTN/ASON網(wǎng)絡(luò)透明傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)很容易通過(guò)上述途徑被攻擊者非法探測(cè)，成為WDM/OTN/ASON網(wǎng)絡(luò)傳輸?shù)闹卮蟀踩[患。此外，在WDM/OTN/ASON的管理平面，相關(guān)網(wǎng)絡(luò)設(shè)備、通路的監(jiān)控管理信息也是透明傳輸?shù)模粽呖赏ㄟ^(guò)對(duì)監(jiān)控管理信息的攻擊，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的干擾；對(duì)于ASON網(wǎng)絡(luò)，攻擊者還可通過(guò)對(duì)其特有的智能化網(wǎng)絡(luò)控制平面的攻擊，干擾網(wǎng)絡(luò)的連接、交換等控制管理功能，從而影響網(wǎng)絡(luò)正常通信。

隨著WDMtOTN/ASON技術(shù)在國(guó)防軍事通信網(wǎng)絡(luò)中的應(yīng)用，如何解決其面臨的一系列安全問(wèn)題，確保業(yè)務(wù)信息的可靠安全傳輸，成為迫切需要解決的問(wèn)題。

目前，盡管在IP網(wǎng)絡(luò)層、以太網(wǎng)鏈路層、SDH鏈路層都已研制出相應(yīng)的加密設(shè)備，對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密保護(hù)：但就WDM/OTN/ASON系統(tǒng)來(lái)說(shuō)，這些加密保護(hù)方式還顯得單一，不夠全面d特別是對(duì)基于DWDM技術(shù)的WDM/OTN/ASON網(wǎng)絡(luò)，其上傳輸了大量不同波長(zhǎng)、不同速率的各種綜合數(shù)據(jù)業(yè)務(wù)，僅依靠已有的專(zhuān)用業(yè)務(wù)加密手段，在區(qū)分業(yè)務(wù)的情況下來(lái)確保相應(yīng)業(yè)務(wù)數(shù)據(jù)傳輸安全。已遠(yuǎn)遠(yuǎn)不能滿(mǎn)足DWDM網(wǎng)絡(luò)發(fā)展對(duì)安全保密的需要。同時(shí)。盡管有了IP/EtherNet及SDH等各類(lèi)加密手段，但其IP/EtherNet包頭，SDH的幀開(kāi)銷(xiāo)及業(yè)務(wù)類(lèi)型特征碼等在網(wǎng)絡(luò)中的透明傳輸，也給了傳送網(wǎng)的攻擊者更多的分析和發(fā)揮空間。因此，研究基于WDM的加密技術(shù)是十分必要的。

二、波分復(fù)用系統(tǒng)加密技術(shù)研究

1、WDM原理及系統(tǒng)構(gòu)成

N路波長(zhǎng)復(fù)用的WDM系統(tǒng)的總體結(jié)構(gòu)主要由發(fā)送和接收光復(fù)用終端(OMT)單元與中繼線(xiàn)路放大(ILA)單元三部分組成4如果按組成模塊來(lái)分，則由光波長(zhǎng)轉(zhuǎn)換單元(OTU)、分波，合波器(ODU/OMU)、光放大器(BA/LA/PA)和光監(jiān)控信道，通路(OSC)組成。DWDM系統(tǒng)的構(gòu)成如圖l所示，發(fā)送端的發(fā)射機(jī)發(fā)出波長(zhǎng)不同而精度和穩(wěn)定度滿(mǎn)足一定要求的光信號(hào)，經(jīng)過(guò)光波長(zhǎng)復(fù)用器復(fù)用在一起送入摻餌光纖功率放大器，再將放大后的多路光信號(hào)送入光纖傳輸，中間可以根據(jù)情況決定有或沒(méi)有光線(xiàn)路放大器，到達(dá)接收端經(jīng)光前置放大器放大以后，送人光波長(zhǎng)分波器分解出原來(lái)的各路信號(hào)。

2、加密總體設(shè)計(jì)思路

在WDM網(wǎng)絡(luò)光通路層，設(shè)計(jì)采用OUT加密模塊對(duì)傳輸數(shù)據(jù)進(jìn)行加密保護(hù)，其原理如圖2所示。

OTU加密模塊的設(shè)計(jì)思路可以從多個(gè)方面展開(kāi)：

①基于數(shù)字包封技術(shù)的電信號(hào)加密。數(shù)字包封技術(shù)在WDM網(wǎng)絡(luò)的光通路層得到廣泛應(yīng)用，基于數(shù)字包封技術(shù)的加密可以在不區(qū)分業(yè)務(wù)的情況下，對(duì)在WDM網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)進(jìn)行加密保護(hù)，是一種有效的加密保護(hù)方法。此方法首先解波分復(fù)用，然后在每個(gè)波長(zhǎng)上針對(duì)數(shù)字包進(jìn)行加密保護(hù)。

②基于波長(zhǎng)交換交叉技術(shù)的光信號(hào)保護(hù)。波長(zhǎng)選擇變換交叉技術(shù)是指將任意一根輸入光纖中的任意波長(zhǎng)在不同的時(shí)間按一定規(guī)則交叉連接到另一輸出光纖中的任意波長(zhǎng)，利用此技術(shù)，可以在光通道層對(duì)合波前的光信號(hào)進(jìn)行交換、交叉保護(hù)，分波后按相同的規(guī)則進(jìn)行重組。此方法基于光學(xué)原理及全光網(wǎng)絡(luò)中的光傳送理論，但同時(shí)需依賴(lài)于光器件的發(fā)展。

③基于光包加密技術(shù)的光信號(hào)保護(hù)。光包是由包頭和凈荷組成，首先可利用寬脈沖標(biāo)記法~高強(qiáng)度脈沖標(biāo)記法、微波副載波光標(biāo)記交換法以及電光調(diào)制光標(biāo)記交換法等技術(shù)提取分離出凈荷，然后通過(guò)光邏輯器件對(duì)提取出來(lái)的凈荷進(jìn)行加密，最后組合包頭和已經(jīng)加密的凈荷，實(shí)現(xiàn)數(shù)據(jù)安全保密。應(yīng)用基于光邏輯器件的光包加密技術(shù)，能夠滿(mǎn)足分組交換光網(wǎng)絡(luò)上承載的任何一種協(xié)議數(shù)據(jù)的安全保密需求。目前，光器件也在逐步發(fā)展，光可編程邏輯專(zhuān)用芯片已在實(shí)驗(yàn)室測(cè)試階段，但整體推進(jìn)還較為緩慢。

受限于光邏輯器件的發(fā)展，目前先開(kāi)展基于數(shù)字包封技術(shù)的電信號(hào)加密是切實(shí)可行的路線(xiàn)。

3、波分復(fù)用系統(tǒng)加密技術(shù)研究

根據(jù)WDM原理，OTU層可采用基于G.709的數(shù)字包封技術(shù)，如圖3所示。

針對(duì)數(shù)字包封技術(shù)的特點(diǎn)，可采取如下方式：

①僅針對(duì)光凈荷單元加密。根據(jù)ITU G.709標(biāo)準(zhǔn)，客戶(hù)信號(hào)通過(guò)異步方式和比特同步方式映射到光凈荷單元OPUk，因此，要實(shí)現(xiàn)對(duì)客戶(hù)信息傳輸?shù)陌踩Ｗo(hù)，只需要對(duì)OPUk進(jìn)行加密保護(hù)即可。根據(jù)以上分析，可采取對(duì)傳輸客戶(hù)信息的光凈荷單元凈荷進(jìn)行加密保護(hù)，如圖4所示。采用這種方法，可在不區(qū)分業(yè)務(wù)類(lèi)型的前提下。有效實(shí)現(xiàn)對(duì)客戶(hù)信息數(shù)據(jù)傳輸?shù)陌踩Ｗo(hù)。

②針對(duì)光通路數(shù)據(jù)單元加密。在OTU層幀結(jié)構(gòu)中，OPUk開(kāi)銷(xiāo)包含支持客戶(hù)信號(hào)適配的信息。ODUk開(kāi)銷(xiāo)中包括網(wǎng)絡(luò)維護(hù)信息和支持光通道操作的功能信息，這些信息對(duì)WDM網(wǎng)絡(luò)的運(yùn)行、管理和維護(hù)至關(guān)重要。因此，為了更加有效地保護(hù)WDM傳輸、運(yùn)行等的安全，可針對(duì)光通路數(shù)據(jù)單元進(jìn)行加密保護(hù)，如圖5所示。采用這種方法，可以在保護(hù)客戶(hù)信息的同時(shí)，對(duì)網(wǎng)絡(luò)部分運(yùn)行、管理和維護(hù)信息進(jìn)行加密保護(hù)，更加有效地確保WDM網(wǎng)絡(luò)的安全。

4、系統(tǒng)配置

WDM加密設(shè)備在WDM網(wǎng)絡(luò)的典型配置如圖6所示。

admin

收藏 海報(bào)分享