◆杨 俊
光网络安全及防范技术研究
◆杨 俊
(武汉职业技术学院商学院 湖北 430074)
伴随科学技术的发展,传感技术逐步走向高新科技行列,并广泛应用于各行业当中。光网络是当前实现通信风信息传输与交换的重要技术,承载着巨大的信息量,因此,其安全性和可靠性也备受重视。本文分析了光网络所存在的安全问题,包括其缺陷及安全隐患,并就这些安全问题探讨了相应的防范技术,以为同行业工作者提供若干参考,确保光网络的安全性和可靠性。
光网络;安全性;防范技术
光网络是指以光信号为用户之间传输及交换信息的主要方式的网络形式,光网络具传输速率快、处理能力强、可抗电磁干扰等优势而广泛应用于各领域当中,并逐步取代传统网络和光电网络,成为当前通信网络的首选技术[1]。光网络的广泛应用虽加快了信息的传输和交换速度,但因其所承载的信息量非常大,再加上其还未形成成熟网络体系,因此,其安全性和可靠性显得尤其重要。伴随光网络的不断深入应用,人们越来越关注光网络平台的安全性和可靠性。
光网络由业务层、适配层及光层共同构成,其虽具多方面优势,且各业务层均有相应安全机制以保证信息传输的安全性,但其仍存在一定缺陷,主要体现在以下方面:第一,全光网络的监管系统、光部件及光缆会发生故障或遭到破坏,致系统瘫痪,影响信息传输安全性;第二,未实施保护的光纤会被利用,致系统遭到攻击;第三,光网络当中有多个波长在进行传输,信道间的串扰会影响信息传输的安全性;第四,高速传输速率会加大数据破坏量,有时即使只是短暂的攻击,系统被破坏或解密的数据量也非常大;第五,无重建数据流功能、透明节点无法识别信号调制及编码格式等,都会在一定程度上影响系统的安全性。
与传统网络进行比较,光网络的安全性相对脆弱。光网络的透明性虽有助于改善网络的性能,但同时也给光网络带来一定安全隐患,其主要体现在以下方面:
第一,带内干扰。带内干扰属服务破坏类,是指攻击者利用单个高能发射机将所事先设计好的特殊信号插入链路当中进行干扰,从而使接收机的解译能力下降[2]。带内干扰不仅会影响被攻击链路上的信号,而且还会影响周围与该链路或该链路节点有所关联的其他链路上的信号,使其信号强度减弱。
第二,带外干扰。带外干扰也属服务破坏类,是指攻击者利用泄露组件或交叉调制以减弱通信信号功率的现象。攻击者会于放大器的通带范围内在不同于当前通信波段波长处插入信号,因光纤放大器不能分辨信号是否合法,其均会提供增益作用,致攻击信号占用合法信号的增益,最终扩散至所有透明节点。若光纤放大器同时具交叉增益调制作用,就易产生带外干扰。
第三,非法探测。非法探测属兼听类,是指攻击者利用合法用户的共享资源对邻近信道所泄露的道间串扰进行监听,以干扰或窃听邻近信号信息的行为。非法探测主要通过组件串扰及光放大器缺陷来实现,目的在于盗取用户信息,是一种严重侵犯合法用户权益的行为。
光网络出现安全问题,首先最基础的考虑是光通信的物理故障,光网络的监控系统、光部件或是光缆遭到破坏或是出现故障都可能会引起网络瘫痪,引发安信息传输的安全问题。为此,首先要做好保护措施:第一,加固光纤保护层,以免光纤断裂;第二,利用具较高安全性能的组件及网络设备,以提高系统的防范攻击能力;第三,研发对弯曲敏感度较低的光纤,以免因光纤弯曲导致光泄露;第四,使用限幅放大器,以对最大输出功率进行限制,以免功率过强破坏通信组件;第五,于信道及网络组件间增设隔离装置,并适当应用滤波器或解复用器,以预防对光曾攻击;第六,应用均衡技术,以平衡不同波长光功率,以免大功率信号攻击小功率信号致小功率信号强度减弱,进而影响通信效果。
攻击探测所采取的方法有三种:第一种是统计分析法;第二种是特定信号分析法;第三种是认证用户身份。其中统计分析法主利用宽带功率探测法和光谱分析法两种方式,宽带功率探测法是通过对宽带功率的变化进行探测以了解网络节点运行情况,若所探测结果与预期值之间存在较大差异,即表明节点发生故障或被攻击。光谱分析法是通过对光信号的频谱进行测量以了解光信号节点的运行情况,其所获取的信息明显详于功率探测法,可清楚地观察到光谱的变化情况。但此方法的探测时间较长,反应时间也较长。
特定信号分析法包括分析监控信号和光时域反射两种方式,分析监控信号主在对传输状态进行探测,其与传输信号所使用载波频率不同。光时域反射法可同时分析监控信号及其反射信号,从而诊断光纤是否出现故障、弯曲或损耗。
认证用户身份是通过建立一个合法用户数据库以对用户身份进行认证,从而保证数据来源真实性和有效性的方法。入网时,每个ONU都须注册,且一经注册即可获得一个合法ID,在传输数据时,须于信息当中包含此ID或利用此ID申请通信,在进行验证后方可传输数据[3]。用户身份认证不仅可限制非法用户入网,而且还可限制合法用户的非法操作。
全光网络对于信息的安全防范措施主要有三种:第一种是数字包封技术;第二种是量子密码技术;第三种是量子密钥。就当前光网络的建设和运行而言,光信号处理技术及方法的发展仍处初级阶段,无法处理复杂的光信号。因此,不同光包信头处理所使用的技术及方法所对应的光分组交换网技术也有所不同。针对全光时分多址交换网系统,在处理同步和具复杂地址识别时主要采取光子技术方法,但此方法还无法广泛应用;针对光突发交换网系统,在处理光包信头中一些较为复杂的问题也通常采取电子技术,其中最主要的当属光标记交换技术方法,且其应用效果较为显著。
量子密码技术主要用于实现光纤通信路上的密钥交换及信息加密,当攻击者企图测量或接收发送方所发送的信息时,量子状态将会改变,且这种改变具不可恢复性,通过分析量子状态的改变,信息的发送和接收双方均可意识到信息可能被监听或窃取,通过改变量子密钥,就可再次保证信息传输的安全性。
量子密钥,即量子密钥分配算法,是指在量子信息当中,利用单个光子的量子态,即每个光脉冲最多可容纳一个光子,且该光子的不同量子态可充分体现其所携带比特信息的特殊性。因单个光子无法分割,所以攻击者很难利用光子分割这一方法来窃取信息。依量子不可克隆定理,只要窃听存在即可被发现,也正是基于这一原理,量子密钥的分配具绝对安全性。
总而言之,光网络在现代信息网络建设当中具非常重要的作用,并将逐步取代传统网络和光电网络。伴随EPON技术、GPON技术的发展与成熟,光网络将成为我国运营商建设并升级改造宽带网络的重要形式,也将引领未来通信网络系统的发展。因此,为保证我国通信行业的快速、稳定发展,就必须保证光网络的安全性和可靠性。伴随光网络的迅速发展,为用户提供一个安全、可靠的传输平台将成为行业未来研究的重点。
[1]阮剑.全光网络安全及防范技术研究[J].通讯世界,2015.
[2]李宪民.光网络安全及防范技术探析[J].计算机光盘软件与应用,2014.
[3]唐军.光纤传感器在全光网络安全及防范中的应用[J].数字通信世界,2016.
湖北省教育厅科学技术研究计划指导性项目《基于机器视觉的激光标刻系统的研究》(项目编号:B201658)。