全光纤网络(AON)是未来电信和数据网络发展的必然趋势,与现有的电-光网络以及电网络相比,它具有许多不同的安全特性。基于AON的网络攻击检测将成为保证AON安全的重要一环。
全光纤网络就是在网络中全部使用光波通信的网络。更准确地讲,在一个AON中,所有的网络-网络接口都是基于光纤传输的,所有的用户-网络接口在接口的网络端都使用光纤传输。AON网络节点或传输系统中所有的交换与路由都具有更高的带宽。
目前,对AON的研究主要分成两类:波分多路复用(WDM)和时分多路复用(TDM)。TDM网络的研究现在还远没有达到商业成熟性,因此,本文的讨论结果主要适用于WDM AON。
现有的AON一般采取电路交换式的网络结构,它与现有的电信线路、ATM网络和一些在Internet中经常使用的多路复用设备是兼容的。完全可操作的包交换AON结构现在还没有出现,其中一个重要原因是缺乏分布式的光纤内存。 AON结构一般可分为光纤终端、网络节点以及经放大后的光纤链路。信令通常使用一个单独的控制网络(并不总是全光纤的),交换和路由常用的拓扑结构包括星形、环形及网状,一些AON结构也允许混合式的拓扑。
不同的拓扑结构具有不同的安全特性。环形拓扑对攻击的定位相对容易,同时很容易重新路由;网状拓扑更丰富的节点交互连接,一般使服务恢复更容易一些;星形拓扑使攻击检测比在网状拓扑中更容易一些,但星形网络hub的破坏会影响所有的网络服务。
尽管有多种可能的拓扑结构,但绝大多数现代的WDM AON都是使用较小的组件组合而成的。这个特点对于安全研究是非常重要的,因为理解每个组件的安全特性对研究整个网络的安全特性是十分有用的。现在最经常用到的AON 组件主要包括:藕合器、分离器、解复用设备、光放大器、空间交换设备、激发器、接收机和光纤等。
上述组件都已经是商品化的产品,其中每一个组件都可能受到多种攻击。目前,这些组件已被集成到多种测试床中,用以研究AON的安全特性。
攻击方法
每一种AON组件都可能受到某些形式的拒绝服务或窃听攻击。我们最关心的攻击是干扰攻击(即用攻击信号来干扰合法的网络信号,可能导致服务降级或拒绝服务)以及利用设备道间串扰(Crosstalk)的攻击。设备道间串扰是信号从光纤设备的一部分泄漏到另一部分时发生的一种现象,在绝大多数现代光纤设备中普遍存在,可用于服务拒绝或窃听攻击。全光纤网络的攻击检测与传统的电-光网络和电网络有很多不同,主要包括:
在AON中,攻击必须在网络中可能发生攻击的任何点被检测和识别;
攻击检测的速率应该与AON网络的数据传输速率相匹配。
AON的高数据速率对攻击检测有重要的影响,因为大量的数据可以在短时间内被影响,而且受影响的数据量与数据率成正比。类似地,在窃听攻击中,受破坏的数据量与数据率也成正比。与传统的电-光网络的低速率相比,在AON 的某个特定的光纤路径中,更大的数据量意味着会有更多的数据受到某种特定攻击的威胁。
AON的高数据率并不是将攻击的识别放在所有可能的攻击位置的唯一原因。因为在AON中,一个网络管理系统可能给出一个错误的判断。如图 1所示,信道1通过道间串扰(带内干扰)来攻击信道2。交换设备的输出能力足以使它在放大器的信道3产生增益竞争攻击。如果放大器检测到信道2对信道3的攻击,但交换设备并没有检测到信道1对信道2的攻击,那么,网络管理系统可能决定断开信道2。事实上,唯一可供网络管理系统使用的信息是信道2在放大器上是非法的,而信道1才是一个非法的信道,此时网络管理系统无法做出正确的判断。
现在有许多对攻击进行分类的方法。例如,可以根据攻击的方式(被动、主动)、攻击使用的资源(传输/接收、协议、控制系统)、攻击目标(特定用户或网络/子网络)、欲意效果(通信分析、窃听或服务崩溃)、攻击位置(终端、节点、链路、多位置等)等进行分类。所有这些可能的攻击方法加起来有数百种,本文主要根据攻击的目的进行分类,可将AON网络攻击大致分为六类:通信分析、窃听、数据延迟、服务拒绝、QoS下降以及欺骗。其中,通信分析和窃听具有相似的特性,我们将其放在一起讨论;光纤网络缺乏光纤内存,在某种程度上不会受到延迟攻击的影响;欺骗可以通过使用密码学方法(如加密)来防止;服务拒绝和QoS降级可以统一地作为 “服务破坏”考虑。因此,本文讨论的攻击主要为两类:窃听与通信分析(以下称为窃听)和服务破坏。
为了方便讨论,这里介绍三种最常用的AON攻击。之所以选择这三种,主要是因为它们要么非常容易实现,要么对AON网络服务特别有效,要么与针对传统网络的攻击有截然不同的效果。
1) 使用单个的高能发射机插入到链路所产生的带内干扰攻击
其目的是通过插入信号降低接收机正确解译被发射数据的能力。攻击将破坏该链路上的信号,这与传统的网络是不同的。但是在AON中,该攻击使链路以及与该节点相连的其他网络链路上的信号减弱。
针对中心链路发起的一种单点攻击,它不仅影响攻击信号首先到达的节点(节点2),而且影响与节点2具有优先连接的其他两个节点(节点1和节点3)。这种攻击所利用的组件可以是藕合器、多路复用设备或光纤放大器等。
单点阈值带内能量检测并不一定能够确定攻击点的正确位置。如,在节点1的能量检测可能错误地将攻击定位在链路(1,2)之间。这个攻击可以进行得很容易、很巧妙,对个人用户特别有效。
(2) 使用带外干扰来利用光纤组件中的道间串扰
其意图在于通过利用泄漏的组件或交叉调制效果来减少通信信号的能量。特别地,由于在光纤放大器中存在着交叉增益调制效果,使用一个带外高能信号进行干扰是可能的。它的效果与在电子放大器中发现的增益压缩效果是截然不同的。攻击者将在一个与通信波段不同波长但又在放大器通带范围插入一个信号。该攻击能够奏效是因为放大器无法区别攻击信号和合法的网络通信信号,并且为每个信号提供同样的增益。放大器提供给攻击信号的这些增益会掠夺用于合法通信信号的增益,并且增加攻击信号下行序列的能量,允许它扩散到整个透明节点。采用接收机端的阈值带内能量检测方法并不一定能够阻止这种干扰攻击,因为攻击期间接收到的平均带内能量将减少(而不是增加)或保持不变。这类攻击将主要攻击节点中的放大器或放大后的光纤链路。
(3) 实现未授权的观察(即窃听)
攻击者通过在共享资源中监听从邻近信道中泄漏的道间串扰来获得有关邻近信号的信息。窃听可能发生在AON网络中的多个点。
攻击检测方法
对AON攻击的自动诊断和检测方法主要分为两大类,即对通信数据进行统计分析的方法和测量用于诊断/检测意图的信号的方法。前者以宽波带能量检测和光谱分析两种检测方法为代表,后者以导频音(Pilot Tone)和光时域反射检测方法为代表。
1.宽波带能量检测方法
能量检测方法对一个宽波带中接收到的光能量进行计量。它可以记录实际的能量值变化情况,由于需要与期望值进行对比,因此,能量的略微降低可能要很长时间才能检测出来。如果在统计分析中使用大数定律,那么,可能需要非常长的平均时间才能确定样本平均值与统计平均值具有统计学上的显著不同。在接收到的能量中,微小的、可检测到的变化并不一定就是攻击造成的(如组件老化等),不会对通信信号造成负面影响。因此,绝大多数方案使用阈值能量检测技术,当通信服务的下降到达或超过一定的阈值时即认为发生了攻击。
下面介绍该检测方法对上述三种攻击方式的有效性:
(1) 带内干扰攻击
能量检测技术非常适用于像放大器故障这样的问题,被认为是AON故障检测的基础。在发生干扰的情况下,接收机的能量不但不会减少,反而会增加。阈值能量检测器将检测到明显的干扰攻击。一个定时的干扰攻击可能会将BER降到无法接受的程度,而不会使平均接收能量上升到足以产生报警的程度,当对接收到的信号的统计并不是非常准确时,尤其如此。
(2) 带外攻击
在增益竞争中,接收到的信号能量一般会减少。然而,某些增益竞争攻击可能导致严重的SNR降低,而总能量不会降低。假设一个信号S必须跨过两个EDFA,即A1和A2,如果在A1中有一个增益竞争,信号S可能无法被足够地放大。在A2中,接收到的信号将比在无增益竞争时从A1中获得更多的ASE。通过在A2 中使用自动增益控制(即保持A2的输出能量在特定的级别上的一种方法),那么,在A2 后接收到的信号可能包含强加在A2的ASE上的A1的部分ASE。注意,如果A2的增益是固定的,A2的信号输出将比在A1中没有增益竞争时能量低。
另一种攻击将增益竞争与干扰结合起来对抗检测技术,因为这种控制不管A2是否具有自动增益控制。位于道间干扰点前面的放大器A1将受到增益竞争的影响。干扰信号插入在A1后面的道间串扰将获得合法信号S丢失给增益竞争的能量。因此,A2将对由于强加给S的干扰信号,以及来自A1的ASE所带来的能量减少,进行微弱的放大,而A2的输入能量对网络来讲仍然保持不变。对于这样的攻击,单纯的能量检测技术将无能为力。
(3) 窃听攻击
能量检测技术主要通过检测能量的损失来实现对窃听攻击的检测,其原理是窃听者要想达到目的必然要消耗大量的能量,所占用的能量大到足以使攻击检测系统注意到窃听者。这种方案有许多不足。它无法检测到在窃听点后面插入的干扰攻击。事实上,能量检测机制会把干扰噪声当作一个合法的未受窜改信号的一部分。总之,用于窃听的能量检测方法在以下几种情况下将无效:如果窃听并未使接收的能量减少到足以激发报警,如当