1 引 言

全光網(wǎng)絡(luò)(AON)是指在網(wǎng)絡(luò)中信號(hào)不需電／光和光／電轉(zhuǎn)換，傳輸和交換過程中始終以光的形式存在。由于節(jié)點(diǎn)的交換使用大容量和高度靈活的波長上／下光分插復(fù)用器(OADM)和光交叉連接設(shè)備(OXC)，進(jìn)而實(shí)現(xiàn)透明傳輸，一旦商用將極大提高傳輸速率和網(wǎng)絡(luò)容量。然而，與現(xiàn)有電／光／電網(wǎng)絡(luò)和傳統(tǒng)電網(wǎng)絡(luò)相比，易受惡意攻擊，其安全問題更應(yīng)該被引起重視，具體原因如下：

(1)攻擊者更易接近光器件，網(wǎng)絡(luò)易攻擊性高。例如，通過微彎光纖注入某一波長的攻擊光信號(hào)或利用其輻射出的光信號(hào)可進(jìn)行竊聽，用光纖夾持器加以改進(jìn)或光泄漏檢測器就能實(shí)現(xiàn)上述功能；

(2)光網(wǎng)絡(luò)的物理結(jié)構(gòu)為攻擊提供了機(jī)會(huì)。例如，在網(wǎng)絡(luò)遠(yuǎn)端注入攻擊信號(hào)，在傳輸過程中可影響整個(gè)網(wǎng)絡(luò)；

(3)某些光技術(shù)恰成漏洞被攻擊所利用。例如，光開關(guān)中的串?dāng)_水平引起的一部分泄漏信號(hào)，這對(duì)于正常信號(hào)不會(huì)造成危害，但當(dāng)攻擊者注入強(qiáng)干擾信號(hào)時(shí)，足以讓攻擊者檢測到它的存在，很有可能從流量中恢復(fù)出一部分?jǐn)?shù)據(jù)。

本文的目標(biāo)是研究攻擊的類型和方法，介紹全光網(wǎng)中易受攻擊的器件，探討幾種有效的攻擊的檢測方法和定位算法。

2 攻擊的類型和方法

從應(yīng)對(duì)攻擊角度出發(fā)，提出全光網(wǎng)絡(luò)安全管理框架，如圖1所示。

2.1 攻擊的類型

攻擊是指人為的惡意破壞。攻擊大致有六類：通信流量分析、竊聽、數(shù)據(jù)延遲、服務(wù)拒絕、QoS下降和欺騙。通信分析和竊聽有相似特性；光網(wǎng)絡(luò)沒有光存儲(chǔ)器，不會(huì)受到數(shù)據(jù)延遲攻擊；欺騙可以用加密來防止；服務(wù)拒絕是QoS下降的極限結(jié)果，兩者統(tǒng)稱為服務(wù)破壞。從物理層看，全光網(wǎng)絡(luò)中主要考慮的攻擊有兩類：竊聽與通信流量分析和服務(wù)破壞。

2.2 攻擊的方法

為實(shí)現(xiàn)上述兩種攻擊，攻擊者必須設(shè)計(jì)攻擊方法，原則是：易于實(shí)現(xiàn)和效果明顯。常見的攻擊方法有四種：帶內(nèi)干擾攻擊、帶外干擾攻擊、竊聽和斷纖。

帶內(nèi)干擾攻擊是注入一個(gè)光信號(hào)專門來降低接收機(jī)正確解譯數(shù)據(jù)的能力，它不但破壞攻擊源所在鏈路上的信號(hào)，而且也影響與該鏈路節(jié)點(diǎn)相連的其他鏈路上的信號(hào)質(zhì)量，如圖2所示。這是信號(hào)不需再生而直接在鏈路中傳播造成的。

帶外干擾攻擊是利用器件的泄漏或交叉調(diào)制效應(yīng)降低信號(hào)能量，攻擊者注入一個(gè)與通信波段不同波長但又在放大器放大帶寬內(nèi)的信號(hào)，攻擊信號(hào)就會(huì)掠奪其他信號(hào)的增益，如圖3所示。

竊聽是攻擊者監(jiān)聽從鄰近信道泄漏的串?dāng)_來獲得有關(guān)鄰近信號(hào)的信息。

斷纖就是認(rèn)為切斷光纜的攻擊。

3 易受攻擊的器件

全光網(wǎng)絡(luò)中易受攻擊的器件主要包括：光纖、發(fā)送器、接收器、(解)復(fù)用器、光交叉連接設(shè)備(OXC)、光濾波器、光開關(guān)、耦合器、光放大器等。

下面以O(shè)XC結(jié)點(diǎn)為例，分析易受攻擊的光器件，將攻擊點(diǎn)編號(hào)，如圖4所示。

攻擊點(diǎn)1——光纖 光纖的易接近性以及其自身的串?dāng)_、非線性、彎曲輻射特性為斷纖和竊聽攻擊提供了機(jī)會(huì)。

攻擊點(diǎn)2——測試接入端口 用于測試或需要時(shí)方便連接的測試接入端口卻成為攻擊者利用的對(duì)象：可用于竊聽，還可以在端口處人為改變傳輸信號(hào)的功率、偏振等指標(biāo)，信號(hào)再通過對(duì)這些指標(biāo)比較敏感的器件時(shí)(比如放大器對(duì)偏振較敏感)，服務(wù)質(zhì)量就會(huì)降低。

攻擊點(diǎn)3——EDFA EDFA存在兩個(gè)不容忽視的問題：增益競爭和增益譜不平坦。如果增益譜不平坦，即使每個(gè)波道光功率相等，通過EDFA，輸出的光功率也會(huì)出現(xiàn)波動(dòng)起伏現(xiàn)象，再通過下一級(jí)EDFA時(shí)將產(chǎn)生更加嚴(yán)重的增益競爭，使得光信噪比下降，因此攻擊者可采用帶外干擾攻擊降低或破壞通信質(zhì)量。

攻擊點(diǎn)4——分光器／合光器 解復(fù)用器是由一個(gè)分光器和一個(gè)濾波器組成。它所面臨的危險(xiǎn)與濾波器的易攻擊性相同。

攻擊點(diǎn)5——濾波器 在全光網(wǎng)絡(luò)中，各個(gè)波道間隔非常小，而濾波器的帶寬要求非常窄，但又必須滿足通帶平坦和邊帶陡峭條件，否則，相鄰波道信號(hào)就會(huì)發(fā)生串?dāng)_，為非授權(quán)侵入提供機(jī)會(huì)，此種攻擊很難檢測和定位。

攻擊點(diǎn)6——光開關(guān) 若光開關(guān)行性能不理想，會(huì)導(dǎo)致串?dāng)_，且具有傳播性，一階串?dāng)_引起二階串?dāng)_，再引起三階串?dāng)_等，如圖5所示。合法用戶間也可能存在串?dāng)_，可怕的是，一旦攻擊者發(fā)送惡意攻擊信號(hào)，將產(chǎn)生嚴(yán)重的帶內(nèi)干擾，同時(shí)也能通過串?dāng)_竊聽。

4 攻擊的檢測方法

4.1 現(xiàn)有的檢測方法

常用的攻擊檢測方法有：寬帶功率檢測法、光譜分析法、監(jiān)控信號(hào)分析法、光時(shí)域反射法，它們能初步檢測出帶內(nèi)干擾攻擊、帶外干擾攻擊、竊聽和斷纖。

寬帶功率檢測法是測量光信號(hào)在較大譜寬內(nèi)的功率并與期望值比較來檢測攻擊的方法。需要時(shí)間長，且測到較小的功率變化不一定是攻擊所致(可能是器件老化，光纖修補(bǔ)等)。

光譜分析法是用光譜分析儀測量光信號(hào)的頻譜的變化來檢測的攻擊方法。但同樣比較取樣平均和統(tǒng)計(jì)平均，需要時(shí)間長，反應(yīng)慢，而且對(duì)不改變光譜形狀的攻擊則無法檢測。

監(jiān)控信號(hào)分析法是利用傳送監(jiān)控信號(hào)來檢測傳輸中斷，但監(jiān)控信號(hào)并不能完全代表通信信息的質(zhì)量，而且對(duì)通信信號(hào)質(zhì)量有影響。

光時(shí)域反射法是用OTDR監(jiān)控信號(hào)和分析監(jiān)控信號(hào)的反射信號(hào)來檢測的攻擊方法。然而，只要有不大于1％光泄漏，OTDR無法檢測到這種攻擊。

鑒于它們的局限性，提出了兩種新的檢測方法。

4.2 參數(shù)比較檢測法

參數(shù)比較法基于被檢測器件的輸入、輸出端信號(hào)應(yīng)滿足一定的數(shù)學(xué)關(guān)系而得。從器件的兩端提取用于比較的光信號(hào)，其中提取的輸入端信號(hào)加上被檢測器件的固有延時(shí)τ，然后將光信號(hào)通過光電轉(zhuǎn)換后變成電信號(hào)，再送到參數(shù)比較器中得出輸出函數(shù)K。根據(jù)需要比較的參數(shù)類型(光信號(hào)的幅度、相位、波長等)以及被檢測器件的固有特性，在沒有攻擊的情況下，比較器的輸出函數(shù)K=f(S1…Sn，R1…Rn)，是輸入和輸出信號(hào)的復(fù)合函數(shù)，一旦有攻擊存在是，比較器的輸出函數(shù)K'=f'(S1'…Sn'，R1'…Rn')。將K'和K比較，超過設(shè)定的閾值，說明攻擊存在，則將結(jié)果送到網(wǎng)管，由網(wǎng)管統(tǒng)一處理，比較過程如圖6所示。

參數(shù)比較法不改變被檢測器件結(jié)構(gòu)，和傳輸鏈路的比特率無關(guān)。由于要光電轉(zhuǎn)換，所以檢測速度依賴于光電轉(zhuǎn)換時(shí)間，同時(shí)要提取信號(hào)，可能會(huì)影響信號(hào)功率。

4.3 綜合監(jiān)測器件檢測法

網(wǎng)絡(luò)中監(jiān)測器件主要負(fù)責(zé)對(duì)傳輸器件性能的監(jiān)控。用V表示監(jiān)控器件的集合，包括以下4類：V0，V1，V2，V3，即V={V0，V1，V2，V3}，如表1。

下面用具體實(shí)例說明攻擊檢測的方法，圖7是一段DWDM線路，假如Fiber-1處發(fā)生了攻擊，在①，②，③，④處分別放置V0，V3，V1，V2類器件來檢測攻擊。

監(jiān)控通道若收到V器件發(fā)出報(bào)警信號(hào)，用1表示，沒收到則用0表示。發(fā)生攻擊時(shí)，四個(gè)V器件發(fā)出的報(bào)警信號(hào)(0或1)排成一列，組成一個(gè)四位二進(jìn)制數(shù)，并將其轉(zhuǎn)化為十進(jìn)制數(shù)，由于不同攻擊方法的報(bào)警值不同，所以能檢測出不同的攻擊。

5 攻擊的定位算法

當(dāng)檢測出攻擊方法后，接著就要定位攻擊源的位置，下面是分布式定位算法原理。

假設(shè)網(wǎng)絡(luò)結(jié)點(diǎn)報(bào)警狀態(tài)參量為S，正常狀態(tài)時(shí)令S=0，受到攻擊時(shí)令S=1，上游結(jié)點(diǎn)報(bào)警狀態(tài)參量為S'，下游節(jié)點(diǎn)報(bào)警參量為S"，分布式定位算法的主要流程如圖8所示。

結(jié)點(diǎn)S首先檢測來自上游結(jié)點(diǎn)的報(bào)警狀態(tài)參量S'，如果S'=1，則說明上游結(jié)點(diǎn)是攻擊源，不讓本結(jié)點(diǎn)報(bào)警；如果S'=0，說明上游結(jié)點(diǎn)不是攻擊源，于是對(duì)本地結(jié)點(diǎn)進(jìn)行攻擊判斷，一旦判斷受到攻擊，就令本地結(jié)點(diǎn)報(bào)警狀態(tài)參量S=1，如果判斷沒有受到攻擊，就令S=0，然后將本地報(bào)警狀態(tài)參量S下傳給下游結(jié)點(diǎn)，下游結(jié)點(diǎn)依次按照這樣的方法進(jìn)行分布重復(fù)判斷，直到查找到整個(gè)網(wǎng)絡(luò)的攻擊源為止。

6 結(jié) 語

國內(nèi)對(duì)全光網(wǎng)絡(luò)中攻擊研究還不是很深入，鑒于此提出了全光網(wǎng)絡(luò)安全管理框架，得出了兩種新的攻擊檢測方法和一種有效的攻擊定位算法，這將有助于人們提高網(wǎng)絡(luò)安全意識(shí)，防范惡意攻擊的發(fā)生。