全光網(wǎng)絡(luò)中攻擊的檢測(cè)與定位

1 引 言

全光網(wǎng)絡(luò)(AON)是指在網(wǎng)絡(luò)中信號(hào)不需電／光和光／電轉(zhuǎn)換，傳輸和交換過程中始終以光的形式存在。由于節(jié)點(diǎn)的交換使用大容量和高度靈活的波長(zhǎng)上／下光分插復(fù)用器(OADM)和光交叉連接設(shè)備(OXC)，進(jìn)而實(shí)現(xiàn)透明傳輸，一旦商用將極大提高傳輸速率和網(wǎng)絡(luò)容量。然而，與現(xiàn)有電／光／電網(wǎng)絡(luò)和傳統(tǒng)電網(wǎng)絡(luò)相比，易受惡意攻擊，其安全問題更應(yīng)該被引起重視，具體原因如下：

(1)攻擊者更易接近光器件，網(wǎng)絡(luò)易攻擊性高。例如，通過微彎光纖注入某一波長(zhǎng)的攻擊光信號(hào)或利用其輻射出的光信號(hào)可進(jìn)行竊聽，用光纖夾持器加以改進(jìn)或光泄漏檢測(cè)器就能實(shí)現(xiàn)上述功能；

(2)光網(wǎng)絡(luò)的物理結(jié)構(gòu)為攻擊提供了機(jī)會(huì)。例如，在網(wǎng)絡(luò)遠(yuǎn)端注入攻擊信號(hào)，在傳輸過程中可影響整個(gè)網(wǎng)絡(luò)；

(3)某些光技術(shù)恰成漏洞被攻擊所利用。例如，光開關(guān)中的串?dāng)_水平引起的一部分泄漏信號(hào)，這對(duì)于正常信號(hào)不會(huì)造成危害，但當(dāng)攻擊者注入強(qiáng)干擾信號(hào)時(shí)，足以讓攻擊者檢測(cè)到它的存在，很有可能從流量中恢復(fù)出一部分?jǐn)?shù)據(jù)。

本文的目標(biāo)是研究攻擊的類型和方法，介紹全光網(wǎng)中易受攻擊的器件，探討幾種有效的攻擊的檢測(cè)方法和定位算法。

2 攻擊的類型和方法

從應(yīng)對(duì)攻擊角度出發(fā)，提出全光網(wǎng)絡(luò)安全管理框架，如圖1所示。

2.1 攻擊的類型

攻擊是指人為的惡意破壞。攻擊大致有六類：通信流量分析、竊聽、數(shù)據(jù)延遲、服務(wù)拒絕、QoS下降和欺騙。通信分析和竊聽有相似特性；光網(wǎng)絡(luò)沒有光存儲(chǔ)器，不會(huì)受到數(shù)據(jù)延遲攻擊；欺騙可以用加密來防止；服務(wù)拒絕是QoS下降的極限結(jié)果，兩者統(tǒng)稱為服務(wù)破壞。從物理層看，全光網(wǎng)絡(luò)中主要考慮的攻擊有兩類：竊聽與通信流量分析和服務(wù)破壞。

2.2 攻擊的方法

為實(shí)現(xiàn)上述兩種攻擊，攻擊者必須設(shè)計(jì)攻擊方法，原則是：易于實(shí)現(xiàn)和效果明顯。常見的攻擊方法有四種：帶內(nèi)干擾攻擊、帶外干擾攻擊、竊聽和斷纖。

帶內(nèi)干擾攻擊是注入一個(gè)光信號(hào)專門來降低接收機(jī)正確解譯數(shù)據(jù)的能力，它不但破壞攻擊源所在鏈路上的信號(hào)，而且也影響與該鏈路節(jié)點(diǎn)相連的其他鏈路上的信號(hào)質(zhì)量，如圖2所示。這是信號(hào)不需再生而直接在鏈路中傳播造成的。

帶外干擾攻擊是利用器件的泄漏或交叉調(diào)制效應(yīng)降低信號(hào)能量，攻擊者注入一個(gè)與通信波段不同波長(zhǎng)但又在放大器放大帶寬內(nèi)的信號(hào)，攻擊信號(hào)就會(huì)掠奪其他信號(hào)的增益，如圖3所示。

竊聽是攻擊者監(jiān)聽從鄰近信道泄漏的串?dāng)_來獲得有關(guān)鄰近信號(hào)的信息。

斷纖就是認(rèn)為切斷光纜的攻擊。