全光網(wǎng)絡(luò)中攻擊的檢測(cè)與定位

3 易受攻擊的器件

全光網(wǎng)絡(luò)中易受攻擊的器件主要包括：光纖、發(fā)送器、接收器、(解)復(fù)用器、光交叉連接設(shè)備(OXC)、光濾波器、光開關(guān)、耦合器、光放大器等。

下面以O(shè)XC結(jié)點(diǎn)為例，分析易受攻擊的光器件，將攻擊點(diǎn)編號(hào)，如圖4所示。

攻擊點(diǎn)1――光纖 光纖的易接近性以及其自身的串?dāng)_、非線性、彎曲輻射特性為斷纖和竊聽攻擊提供了機(jī)會(huì)。

攻擊點(diǎn)2――測(cè)試接入端口 用于測(cè)試或需要時(shí)方便連接的測(cè)試接入端口卻成為攻擊者利用的對(duì)象：可用于竊聽，還可以在端口處人為改變傳輸信號(hào)的功率、偏振等指標(biāo)，信號(hào)再通過(guò)對(duì)這些指標(biāo)比較敏感的器件時(shí)(比如放大器對(duì)偏振較敏感)，服務(wù)質(zhì)量就會(huì)降低。

攻擊點(diǎn)3――EDFA EDFA存在兩個(gè)不容忽視的問(wèn)題：增益競(jìng)爭(zhēng)和增益譜不平坦。如果增益譜不平坦，即使每個(gè)波道光功率相等，通過(guò)EDFA，輸出的光功率也會(huì)出現(xiàn)波動(dòng)起伏現(xiàn)象，再通過(guò)下一級(jí)EDFA時(shí)將產(chǎn)生更加嚴(yán)重的增益競(jìng)爭(zhēng)，使得光信噪比下降，因此攻擊者可采用帶外干擾攻擊降低或破壞通信質(zhì)量。

攻擊點(diǎn)4――分光器／合光器 解復(fù)用器是由一個(gè)分光器和一個(gè)濾波器組成。它所面臨的危險(xiǎn)與濾波器的易攻擊性相同。

攻擊點(diǎn)5――濾波器 在全光網(wǎng)絡(luò)中，各個(gè)波道間隔非常小，而濾波器的帶寬要求非常窄，但又必須滿足通帶平坦和邊帶陡峭條件，否則，相鄰波道信號(hào)就會(huì)發(fā)生串?dāng)_，為非授權(quán)侵入提供機(jī)會(huì)，此種攻擊很難檢測(cè)和定位。

攻擊點(diǎn)6――光開關(guān) 若光開關(guān)行性能不理想，會(huì)導(dǎo)致串?dāng)_，且具有傳播性，一階串?dāng)_引起二階串?dāng)_，再引起三階串?dāng)_等，如圖5所示。合法用戶間也可能存在串?dāng)_，可怕的是，一旦攻擊者發(fā)送惡意攻擊信號(hào)，將產(chǎn)生嚴(yán)重的帶內(nèi)干擾，同時(shí)也能通過(guò)串?dāng)_竊聽。

4 攻擊的檢測(cè)方法

4.1 現(xiàn)有的檢測(cè)方法

常用的攻擊檢測(cè)方法有：寬帶功率檢測(cè)法、光譜分析法、監(jiān)控信號(hào)分析法、光時(shí)域反射法，它們能初步檢測(cè)出帶內(nèi)干擾攻擊、帶外干擾攻擊、竊聽和斷纖。

寬帶功率檢測(cè)法是測(cè)量光信號(hào)在較大譜寬內(nèi)的功率并與期望值比較來(lái)檢測(cè)攻擊的方法。需要時(shí)間長(zhǎng)，且測(cè)到較小的功率變化不一定是攻擊所致(可能是器件老化，光纖修補(bǔ)等)。

光譜分析法是用光譜分析儀測(cè)量光信號(hào)的頻譜的變化來(lái)檢測(cè)的攻擊方法。但同樣比較取樣平均和統(tǒng)計(jì)平均，需要時(shí)間長(zhǎng)，反應(yīng)慢，而且對(duì)不改變光譜形狀的攻擊則無(wú)法檢測(cè)。

監(jiān)控信號(hào)分析法是利用傳送監(jiān)控信號(hào)來(lái)檢測(cè)傳輸中斷，但監(jiān)控信號(hào)并不能完全代表通信信息的質(zhì)量，而且對(duì)通信信號(hào)質(zhì)量有影響。

光時(shí)域反射法是用OTDR監(jiān)控信號(hào)和分析監(jiān)控信號(hào)的反射信號(hào)來(lái)檢測(cè)的攻擊方法。然而，只要有不大于1％光泄漏，OTDR無(wú)法檢測(cè)到這種攻擊。

鑒于它們的局限性，提出了兩種新的檢測(cè)方法。