全光網絡中攻擊的檢測與定位

1 引 言

全光網絡(AON)是指在網絡中信號不需電／光和光／電轉換，傳輸和交換過程中始終以光的形式存在。由于節點的交換使用大容量和高度靈活的波長上／下光分插復用器(OADM)和光交叉連接設備(OXC)，進而實現透明傳輸，一旦商用將極大提高傳輸速率和網絡容量。然而，與現有電／光／電網絡和傳統電網絡相比，易受惡意攻擊，其安全問題更應該被引起重視，具體原因如下：

(1)攻擊者更易接近光器件，網絡易攻擊性高。例如，通過微彎光纖注入某一波長的攻擊光信號或利用其輻射出的光信號可進行竊聽，用光纖夾持器加以改進或光泄漏檢測器就能實現上述功能；

(2)光網絡的物理結構為攻擊提供了機會。例如，在網絡遠端注入攻擊信號，在傳輸過程中可影響整個網絡；

(3)某些光技術恰成漏洞被攻擊所利用。例如，光開關中的串擾水平引起的一部分泄漏信號，這對于正常信號不會造成危害，但當攻擊者注入強干擾信號時，足以讓攻擊者檢測到它的存在，很有可能從流量中恢復出一部分數據。

本文的目標是研究攻擊的類型和方法，介紹全光網中易受攻擊的器件，探討幾種有效的攻擊的檢測方法和定位算法。

2 攻擊的類型和方法

從應對攻擊角度出發，提出全光網絡安全管理框架，如圖1所示。

2.1 攻擊的類型

攻擊是指人為的惡意破壞。攻擊大致有六類：通信流量分析、竊聽、數據延遲、服務拒絕、QoS下降和欺騙。通信分析和竊聽有相似特性；光網絡沒有光存儲器，不會受到數據延遲攻擊；欺騙可以用加密來防止；服務拒絕是QoS下降的極限結果，兩者統稱為服務破壞。從物理層看，全光網絡中主要考慮的攻擊有兩類：竊聽與通信流量分析和服務破壞。

2.2 攻擊的方法

為實現上述兩種攻擊，攻擊者必須設計攻擊方法，原則是：易于實現和效果明顯。常見的攻擊方法有四種：帶內干擾攻擊、帶外干擾攻擊、竊聽和斷纖。

帶內干擾攻擊是注入一個光信號專門來降低接收機正確解譯數據的能力，它不但破壞攻擊源所在鏈路上的信號，而且也影響與該鏈路節點相連的其他鏈路上的信號質量，如圖2所示。這是信號不需再生而直接在鏈路中傳播造成的。

帶外干擾攻擊是利用器件的泄漏或交叉調制效應降低信號能量，攻擊者注入一個與通信波段不同波長但又在放大器放大帶寬內的信號，攻擊信號就會掠奪其他信號的增益，如圖3所示。

竊聽是攻擊者監聽從鄰近信道泄漏的串擾來獲得有關鄰近信號的信息。

斷纖就是認為切斷光纜的攻擊。