GPON ONU安全问题的研究

◆陈军俊

GPON ONU安全问题的研究

◆陈军俊

（上海诺基亚贝尔软件有限公司 上海 201206）

ONU（光网络单元）作为GPON网络的重要组成部分，在使用过程中存在拒绝服务、窃听和仿冒等诸多安全问题。本文重点分析了这些安全问题存在的原因，并针对性提出相应的对策和解决方案，以期进一步的提升整个GPON网络的安全性。

吉比特无源光网络；光网络单元；安全；伽罗华计数器模式

0 引言

自从2013年国务院下发《国务院关于印发“宽带中国”战略及实施方案的通知》后，国内三大运营商电信、移动和联通开展了“宽带中国专项行动”，加速实施了“光进铜退”的发展战略。2015年9月底，中国光纤接入（FTTH/0）用户首次超过了1亿户，而截至2018年底，这个数量在3.5亿户以上，占宽带用户总数的比重达到88%。

光纤接入网主要以PON技术为主，作为PON中重要技术之一的GPON(吉比特无源光网络)由于具有全程无源、宽带高、高效率、抗干扰性强和支持全业务等特点[1]，已在全世界得到广泛应用。GPON系统包括OLT（光线路终端）、ONU(光网络单元)和ODN（光分配网络），ONU作为GPON系统中面向终端用户的核心设备，其实现技术和运维成本关系到光纤用户的承受能力，从而直接影响GPON技术的发展和应用前景。

1 ONU安全问题

随着光纤接入用户的不断增多，ONU的安全问题也愈发突出[2]。由于ONU通常放置在用户侧[3]，极容易遭受来自用户端的非法攻击；同时由于GPON网络采用点到多点的树状拓扑结构，下行链路为广播方式，即所有ONU都能接收到OLT发出的下行帧，此种方式同样在网络侧存在巨大安全威胁。

图1 GPON网络威胁模型

如图1所示，目前ONU主要存在以下三类安全问题：

（1）DoS（拒绝服务）攻击

常见的DoS攻击包括SYN flooding、Ping of Death和Land Attack等，通过大量消耗网络中的可用带宽和资源来达到破坏GPON网络物理连通性的目的。由于OLT与ONU之间通过OMCI协议报文进行交互，在ONU注册阶段，大量的攻击报文会占用可用带宽，致使上行信道处于过载状态甚至阻塞，使得PLOAM消息无法传送至OLT，最终导致ONU无法正常注册；而向已注册的ONU进行Dos攻击，会使ONU的CPU利用率过高，即大量的非法报文占用CPU利用率，严重影响正常业务的处理，导致用户服务质量下降和被拒绝服务。

（2）窃听

窃听属于常见的网络攻击行为，通过网络无限制地接入传输媒介，并借助数据采集技术窃取用户的私密信息。由于GPON网络下行采用点到多点的结构，ONU会接收到OLT广播发送的所有报文，因此当非法用户在外场ODN中插入恶意设备，就能窃取到注册用户的业务数据、OLT发送至ONU的控制管理数据、ONU用户活动周期等重要信息。在掌握用户上述私密信息之后再进行仿冒、拒绝服务(Dos)等方式攻击GPON网络系统，破坏性极强。由于窃听过程中网络结构和状态不会出现任何异常，OLT端也无法探测到这种行为，因此整个过程无法被及时探查发现。

（3）仿冒

仿冒攻击是窃听后的进一步升级行为。当GPON系统内存在不法分子对目标ONU信息进行窃取，包括ONU ID、MAC地址、往返时间(RTT)等信息，然后将自身ONU报文中的参数全部转变为目标ONU值，这样其数据帧如同正常注册用户处所得。此种方式下，非法用户可以实现上行数据的大规模传送，且无任何费用，相关传输成本由合法用户来支出。

在非法用户仿冒正常用户的过程中，通常也出现其他严重的危害行为。例如，恶意用户对正常用户的数字签名进行伪造，使用正常用户没有支付费用的带宽、VIP业务等特殊的网络资源。更为严重的是非法用户通过伪装冒充为合法用户后，进一步伪造控制信息达到与局端进行交互的目的，在接入局端系统之后，修改或删除系统配置，篡改用户相关数据，严重威胁所有用户的信息安全，对网络系统产生巨大破坏。ITU-T G984.3协议也缺乏阻止非法ONU接入网络的有效解决方案。

2 ONU安全方案

（1）DoS（拒绝服务）攻击

防止DoS攻击，首先可以通过启用ONU的防火墙功能对需要进入ONU CPU的协议报文，如ARP报文、源MAC地址未知的报文、DHCP协议报文、PPPoE报文、目的MAC为ONU MAC地址的报文和ICMP(网络控制报文协议)报文等进行限速，IpTables中的limitation模块可对新的TCP请求链接进行限速，即有效遏制SYN flooding攻击。其次，合理设置ONU CPU的队列，将上述协议报文送至指定CPU队列进行处理，同时设置令牌桶，严格控制CPU队列收发协议报文的速率。

以上两种方案虽不能杜绝攻击行为，但已在最大程度上保护ONU，是当前针对DoS攻击最切实有效的防范措施。从众多的ONU安全问题案例中分析我们可以发现对ONU的外部攻击其实并没有想象的严重，因为实施这些攻击非法用户需要花费极多的时间和资源，而所得的回报却往往很有限，与消耗的资源并不相称。

（2）窃听和仿冒

目前现网中ONU最大的安全威胁还是来自针对其开展的窃听与仿冒。传统GPON网络一直采用上行认证下行加密简单结合的工作模式，即ONU通过上行链路将序列号、密码等重要信息发送给OLT端，由于上行无加密采用明文传输，窃听者一旦截取到上行数据就能轻而易举地获得合法ONU的注册信息以及下行数据加密的密钥，能够让下行信息被轻松解密。此外下行没有认证，非法OLT可以伪造合法OLT来骗取ONU信息。因此为了更有效保证GPON网络的安全性，能够同时提供加密和认证的工作模式将成为一种优选方案。

GCM（Galois Counter Mode 伽罗华计数器模式）是一种可同时提供加密和认证的分组密码工作模式，以计数器（CTR）模式在GCM加密环节进行应用，同时在HASH函数运算中使用128位伽罗华域乘法器，由此生成认证标签。GCM安全性比较高，效率提升快[4]，在高速应用中得到有效使用，可为今后GPON网络的加密与认证提供更优的技术手段。

如图2所示，基于GCM的GPON网络的双向加密认证流程包括以下几点：

( 1 ) OLT周期性的在下行方向发送广播报文和注册授权帧Discovery_Gate。

( 2 ) ONU上电之后，接收到OLT发出的Upstream_Overhead信息，ONU按照报文内容对自身工作参数做出调整。

( 3 ) ONU通过使用SN序列号等初始密钥完成自己初始信息的GCM加密与认证，并作为注册请求帧Register_Request发送给OLT。OLT收到ONU注册请求帧后，与查找表中的GCM加密认证信息进行比对，若是相同，则将该ONU置为active状态，并选择该ONU的初始密钥作为密码，对新密钥请求帧New_key_request进行GCM加密和认证处理，随后发送给ONU；若不相同，则表明ONU为非法的，不能接入。

( 4 ) ONU接收到New_key_request后，形成会话密钥session_key并在shadow_key_register中储存，随后选择初始密钥对会话密钥seesion_key进行GCM加密认证，通过New_key_response帧向OLT进行传输，此帧重复发送三次。

( 5 ) 若OLT一直未收到ONU发送的密钥帧或每次接收的密钥帧均存在差异，则OLT将重新向ONU发送New_key_request帧，ONU需要生成并发送新的密钥。若OLT接收到New_key_response，将会话密钥seesion_key存储在shadow_key_register中，并通过其对New_key_ack实现GCM加密认证，然后发送接收确认帧给ONU。

( 6 ) OLT会为被激活的合法ONU分配ONU-ID，ONU通过会话密钥seesion_key对ONU-ID进行GCM加密认证，并再次计算认证标签，若与接收到的认证标签一致，则在ACTIVE寄存器内存储此ID信息。

( 7 ) OLT对合法ONU的均衡时延进行测量，同时通过会话密钥seesion_key对均衡时延进行GCM加密认证后发送给ONU。

( 8 ) OLT能够通过序列号和password完成对ONU的认证，在ONU测距后，OLT向ONU请求密码，对ONU合法性做出判断。

( 9 ) ONU通过会话密钥session_key实现对password的GCM加密认证，并发送给OLT。若password通过验证，采用会话密钥session_key在Register注册帧进行GCM加密认证，同时发送给ONU。ONU收到后，将进行GCM加密认证的注册确认帧Register_Ack发送给OLT。OLT接收到Register_Ack信息后，确认ONU成功注册，否则ONU注册过程将无法完成。

图2 GPON网络双向加密认证流程

将GCM双向加密认证模式应用于GPON网络后，通过实现数据加密有效提升数据的保密性，起到防范链路窃听的作用；此外，对用户注册信息和加密数据进行认证，确保了网络上行和下行数据的合法完整性，避免非法用户进行仿冒与攻击，为整个GPON网络系统提供了可靠的安全解决方案。

3 结束语

光纤接入已发展成为国家战略，GPON作为应用最广的技术之一，其重要组成部分ONU的安全性也愈发重要。本文通过对目前ONU在现网中存在的安全问题进行研究和分析，提出有效的应对解决方案，以此加强ONU的安全性和保密性，最终提升整个GPON网络的稳定性、完整性和可用性。

[1]张勇，徐永国，李广成.GPON系统中长发光ONU检测的解决方案[J].光通信研究，2011(1):19-21.

[2]吴文玲，冯登国.分组密码工作模式的研究现状[J].计算机学报,Vol 29 No.1, 2006.1.

[3]ITU-T G.984.3-2004, Gigabit-capable Passive Optical Networks(GPON): Transmission Layer Specification[S].

[4]McGrew D, Viega J, The Galois Counter Mode of operation(GCM) intellectual property Statement. http://csrc.nist.gov/CryptoToolkit/modes/proposedmodes/gcm/gcm-nist-ipr.pdf, 2005.