《全光网络的攻击与检测方法研究》由会员分享,可在线阅读,更多相关《全光网络的攻击与检测方法研究(3页珍藏版)》请在金锄头文库上搜索。
1、筹32卷缮甏2006年8月光学技术OPTICALTFJ2HNIQUEVd32Suppl。August2006交掌编号:10021582(2006)S-045803全光网络的攻击与检测方法研究+张春彦1,眉志杰2,张文强2(1成都电子科技大学,成都610054;2解放军理工大学通信工程学院,南京210007)摘要:金光网络是未来信息网的核心。人f1税对其优越炷能进行研究的同时发现它存在安全上的隐患。针对全先翳络普遍采掰的物瑾结椽,分祈了全毙弱络静主鬟攻击类型稻检测方法,攫出了瑟释薪鹃裣测方法,并与传统检溯方法进行了比较。关键谰:全光网络;业务破坏;Tapping串鋈分类鼍:TN929。l文献橼谈
2、码:AAttacksanddetectionsina11opticalnetworksZHANGChun-yanl,ZHOUZhiiiez,ZHANGWenqiange(1ChengduUniversityofElectronicScienceandTechndogy,Chengdu610054,China)(2InstituteofCcmamunicationsEngineering,PLAUniversityofScienceandTechnology,Nanjing210007,China)Al碰wact:Theattacksandsfordetectingattacksonphysic
3、alinfrastructureifanall-opticalnetwork;93-ediscussed。Severalexamplesfortwotypesattacksaregiven。andthentwonewdetectionmethc基arepresented。TheiradvantagesandlimitationscomparingwithtraditionalspointedOUtKeywords:allopticalnetwork;servicedisruption;tapping1引言嘲子全光网络与传统的光电网络有本质上的差异,因此在安全方面面喹蒋一些薪的藏胁。本文在讨论全
4、光网络存在安全隐患的基础上分析了全光网络的攻击与检测方法,重点提出了两种薪的检测方法,并对其优缺点与传统检测方法进行了毙较。2垒光网络的安全隐患全先网是携在网络内部只使焉光波长进行遴信的网络。全光网络中网络与网络使用光接口,网络与用户的接口在阙络一侧也使用光传输,节点处交换和路由选择也是在光域内完成。全光圈是一项比较新的技术,还没有大规模的商用,但是它具有大容量、离速率和连接灵活等特点,在可视会议系统、远程医疗、远程教学和视频点播等领域有非常广阔的应用前景。与传统的光电网络摆沈,全光网络存在几个新的安全隐患。首先,由于全光网的数据传输速率很高,即使偶然发生一个短时间内的故障,都会导致大量数据丢
5、失或被窃瞬。其次,终端震户可能仍然选择一些|瑟的掰议,如TCPHP等,这些协议在传输速率较低的光电网络中工作的很好,但是当它们用于长距离高速率的链路、网络和传输层时很容易受到攻击,而且缀雄检测。最后,透暖性是全光瓣的一个斑要特点,它在改善网络性能的同时也给企光网带来了严重的安全隐患。光信号在透明光网络中传输时,不需要进行光电光转换,在中间节点不需要再生,这样攻击信号可以连续对网络的多个节点进行攻击。传统光电网络中一些很好蟪捡测方法在全光网中也不适用了,我们必须寻我新的检测方法。目前商用的光网络通常是采用电路控制光交换鼢灏络,这种阕络与基前歪在运行懿各种网络基本上是兼容的。完全采用分组交换的全光
6、网Elj于没有理想的光存储设备而没有实现。从网络结构的角度餐,光阏络遴常包括三个部分:光终端(蔫户两络接阴)、网络节点(完成交换、选路、复用和解复用等功熊)和光放大链路。现阶段人们砚究的光网络主要有两类:波分复用全光网和时分复用全光瓣,前者的技术较为成熟。本文只讨论波分复用全光网的攻击梭测闷题。毂壤基期:20060630E-mail:zwq2001sinacorncll份者筒介:藩豢彦(1964),勇,淹jE省人成都电子辩技大学博爵变生,离缀工程耀,主要获事必嘲络技术和毙鬻培工程的耩究。458增刊张春彦,等:全光网络的攻击与检测方法研究3全光网络的攻击方法虽然构建不同的全光网络需要的组件不完全
7、相同,但是光纤、光放大器和波长选择交换设备是构建波分复用全光网络的三个不可缺少的基本组件,也是最容易受到攻击的部分。下面将分别讨论这三个组件可能受到的攻击。全光网络物理安全方面的攻击主要有两类:服务破坏和窃听。服务破坏是指阻止通信正常进行或QoS降低。窃听是指用户非法接入到网络中截取信号。还有一些攻击方法,它们一般针对网络协议、网管系统或操作系统,在这里不予讨论。31服务破坏(1)对光纤的攻击由于光纤骨干线路较长,很容易受到攻击。截断光纤是对全光网络最简单也是最严重的服务破坏攻击,能使网络瘫痪,造成数据的大量丢失。这种攻击实施起来非常简单,不需要具备任何专业知识。攻击者唯一需要做的就是确定光纤
8、线路的位置,这从已经出版的国家通信干线分布图上可以很容易了解到,而且几乎所有的光缆线路旁边都有标示牌,以避免线路受到破坏。这些都为攻击者提供了极大的方便。(2)对光放大器的攻击光放大器能同时对多个信道进行透明放大,不需要进行光电转换,因而被大量的用于全光网络中。光放大器的出现极大地促进了光纤通信的发展,被认为是光通信史上的一个里程碑。由于光放大器自身的一些缺点,它也成为了攻击者攻击全光网络的一个重要目标。波长频率图1增益竞争攻击示意图攻击者可以利用放大器的增益竞争对全光网实施业务破坏攻击。增益竞争是指多个信道(信号)共享放大器有限的能量增益。攻击者可能注入不同于正常通带内的波长信号,但却在放大
9、器的通带内,如图1所示。由于放大器不能辨别攻击信号和正常的通信信号,从而不加区分的把有限的能量增益提供给所有通带内的信号。放大器提供给攻击信号的那些能量既夺取了正常通信信号的增益,又增加了攻击信号的功率,可以对以后的透明节点继续攻击。当攻击信号功率大于放大器允许的最大输入功率电平时,放大器处于增益饱和状态,就不能再对通信信号进行放大了。这就是增益竞争攻击。(3)对波长选择交换设备的攻击波长选择交换没备能将不同波长的信号选路到不同的输出端,它主要包括波长去复用器和复用器。波长去复用器将不同波长的信号分开,并选路到各自的光纤信道中;复用器完成相反的功能。其他的选路和交换设备有星型耦合器、波长滤波器
10、、分插复用器、波长转换器和波长路由器。由于目前使用的波长选择交换设备具有较大的交叉串扰,攻击者可以利用串扰对它进行攻击,如图2所示。信道1通过串扰攻击信道2和信道3,从而造成业务破坏。而且这种串扰是加性的,它能累积起来对下游设备造成更严重的破坏。所有的光网络组件都存在类似的串扰,因此也会受到这类攻击。来白信道1的串话被加到信道2中信道l信道2信道来自信道1和信道2的串话破力到信道3dp图2对波长选择交换没备的攻击32窃听(1)对光纤的攻击(窃听)光纤的保密性很强。由于光纤是不导电的介质,在正常工作条件下光纤辐射出去的能量可以忽略不计,不易引起所经空间的电磁场变化,要在光纤线路上窃取光信号而不破
11、坏光纤本身很难。但是当剥去光纤的涂敷层,并且使光纤的弯曲半径小于某个值时,导波条件被破坏,一部分能量由传导模变成泄漏模,从而可以窃取到传输信号而不使通信中断。这种方法实施起来比较困难,对攻击者自身有很高的要求。(2)对光放大器的攻击(窃听)光放大器提供给单一通道的增益是所有通过放大器的信号幅度总和的函数。这也意味着一起传输的信号之间存在相邻通道间的幅度调制。这种调制虽然很小,但是攻击者还是可以利用这种调制效应在相邻的信道恢复想要探测的信号。(3)对波长选择交换设备的攻击(窃听)在图2所示的攻击方法中,如果攻击者非法接人到光纤的输出端就可以窃听到信道1和信道2的信息,形成窃听攻击。459光学技术
12、第32卷4光网络的攻击检测方法一台OTDR(光时域反射仪)测量光功率,根据测量到的光功率就可以很容易判断出光纤是否被截断要及时的检测到光纤被弯曲窃听相对困难些,必须选择一个状态参数来进行实时监测。传统方法都是选择光功率作为状态参数来判断光纤是否被弯曲窃听的,由于光功率大小的测量容易受环境及接收端或发送端的干扰,因此这种方法很不理想。测量光的偏振态可以反映这种弯曲变化,利用计算机态传输,因此这种方法要采用保偏光纤作为传输媒图3保偏光纤通信系统窃听检测框图棱镜将这部分光分成振动方向互相垂直的两束偏振光,并将它们分别耦合到两个光功率计中,测量两个光功率为,l和,2,根据公式P=(JlJ2)(Jl+f
13、2)可以得到其偏振度,然后分析偏振度的变化便可以实现实时在线监测。这种方法的检测设备和算法都比较简单而且很可靠,但是必须使用保偏光纤,因为保偏光纤的成本较高,一般仅用于重要的局域通信网,所以这种方法有很大的局限性。42光放大器和波长选择交换设备的攻击检测方法对光放大器及波长选择交换设备的攻击检测方法很多。通常是利用功率或频谱测量仪器来测量信号在较大谱宽内的功率和频谱变化情况,根据变化情况来确定网络的工作状态。这些方法需要较长的时间,而且功率或频谱较小范围内的变化并不能全部归因于攻击所致(有可能是器件的老化,光纤的接续等),因此不是很精确。这里我们提出一种新的检测方法,如图4所示。图中被观测的设
14、备可以是任意的光网络元件。该方460法认为一个设备的输入和输出信号之间有确定的关系,而监测该设备的网络管理系统知道这种关系。因此通过比较输入和输出信号的关系就能准确而迅速的判断出网络中是否存在攻击。在图4中,首先对输入和输出端进行光处理,经过时延一求和处理产生输入和输出信号的抽样相关性,然后用光电检测器检测被观测设备的输入和输出端口的信号。由于被观测设备的增益,需要在输出端输出信可进行反向增益平衡。图4攻击检测系统框图根据被观测设备的特性可确定判决门限。如果在检测攻击时不进行相关性处理,直接测量输入和输出端口的信号,这样检测过程就能大大简化。但是这种方法仅能检测到只影响信号的幅度的攻击,对采用
15、像相移键控这一类的调制方式的通信系统来说,它就不能指示任何只针对相位的攻击。图4所示的检测方法就能够检测到针对幅度或相位的攻击。但是它也不能检测能同时影响幅度和相位的攻击,如果实现此种攻击检测,而且需要很多硬件,实现起来比较困难。5结论本文在介绍了全光网络的概念及其发展过程的基础上,讨论了全光网络可能受到的攻击和检测方法。有些攻击没有提到,比如相关干扰攻击,它把窃听和业务破坏攻击结合在一起,能够对网络造成更有效的破坏,而且检测方法也较为复杂。参考文献:1赵文玉纪越峰,徐大雄全光网络的安全管理研究J电信科学2001(5)2胡庆,等偏振光在保密通信中的应用研究J半导体光电2001,(6)3Berg
16、manRMedardM,chenSDistributedalgorithmsforattacklocalizationinallopticalnetworks【AjNLFS98IntemetSocietysSymposiumonNetworksandDistributedSystemSecurity【C19984MedardMMarquisDChinnSRAttackdetectionsfora11opticalnetworksANDS598,theIntemetSocietysSymIx)siumonNetworkandDistributedSystemSecurityC19985AdvancednetworksgroupsecureaLlopticalnetworkingAInformarionTechnologyOfficeofDefenseAdvancedResearchProject8Agency(DARPA)【
