波分复用系统是将多个独立的光波耦合复用到一根光纤中传输,从而更有效地提供带宽,让IP、ATM、SDH等数据通过统一的光纤层传输的系统。波分复用系统在改善网络性能的同时,也给网络的安全带来了一定的隐患。
一、波分复用系统面临的安全威胁
WDM/OTN/ASON网络透明传输特性使得信号传输过程中不需要经过识别和再生等电子过程,这在改善网络性能的同时,也给网络的安全带来了一定的隐患,其中非法探测是网络攻击的常用手段,其是指恶意攻击用户利用光网络组件的缺陷来非法窃听或者干扰通信,主要有以下途径:
①利用组件串扰。解复用器将一根光纤中传输的多波长信号按照不同的波长分解到不同的物理路径,信号之间的串扰会让其中一小部分泄露到其他路径,这部分泄露的信号足以让攻击者检测到它的存在,并从中恢复出一部分数据。
②利用光放大器的缺陷。EDFA提供给单一通道的增益是所有通过该放大器信号幅度总和的函数,这意味着一起传输的信号经历着微小的、与相邻通道信号有关的幅度调制。攻击者可以利用此微量调制在相邻通道恢复想要探测的信号。
③对光纤的攻击。光纤弯曲或损坏时,光会辐射出光纤导致信息泄露;光纤的某种非线性特性会在不同的波长下产生交互感应的信号,所产生的串音就有可能被攻击者所利用;利用分光技术和光纤熔接技术可以直接在光通路上提取信息、探测数据,以实施窃听。
④对波长选择交换设备的攻击。在此攻击方法中,如果攻击者非法接人到光纤的输出端就可以窃听到信道的信息。
因此,在WDM/OTN/ASON网络透明传输的业务数据很容易通过上述途径被攻击者非法探测,成为WDM/OTN/ASON网络传输的重大安全隐患。此外,在WDM/OTN/ASON的管理平面,相关网络设备、通路的监控管理信息也是透明传输的,攻击者可通过对监控管理信息的攻击,实现对网络的干扰;对于ASON网络,攻击者还可通过对其特有的智能化网络控制平面的攻击,干扰网络的连接、交换等控制管理功能,从而影响网络正常通信。
随着WDMtOTN/ASON技术在国防军事通信网络中的应用,如何解决其面临的一系列安全问题,确保业务信息的可靠安全传输,成为迫切需要解决的问题。
目前,尽管在IP网络层、以太网链路层、SDH链路层都已研制出相应的加密设备,对传输的数据进行加密保护:但就WDM/OTN/ASON系统来说,这些加密保护方式还显得单一,不够全面d特别是对基于DWDM技术的WDM/OTN/ASON网络,其上传输了大量不同波长、不同速率的各种综合数据业务,仅依靠已有的专用业务加密手段,在区分业务的情况下来确保相应业务数据传输安全。已远远不能满足DWDM网络发展对安全保密的需要。同时。尽管有了IP/EtherNet及SDH等各类加密手段,但其IP/EtherNet包头,SDH的帧开销及业务类型特征码等在网络中的透明传输,也给了传送网的攻击者更多的分析和发挥空间。因此,研究基于WDM的加密技术是十分必要的。
二、波分复用系统加密技术研究
1、WDM原理及系统构成
N路波长复用的WDM系统的总体结构主要由发送和接收光复用终端(OMT)单元与中继线路放大(ILA)单元三部分组成4如果按组成模块来分,则由光波长转换单元(OTU)、分波,合波器(ODU/OMU)、光放大器(BA/LA/PA)和光监控信道,通路(OSC)组成。DWDM系统的构成如图l所示,发送端的发射机发出波长不同而精度和稳定度满足一定要求的光信号,经过光波长复用器复用在一起送入掺饵光纤功率放大器,再将放大后的多路光信号送入光纤传输,中间可以根据情况决定有或没有光线路放大器,到达接收端经光前置放大器放大以后,送人光波长分波器分解出原来的各路信号。
2、加密总体设计思路
在WDM网络光通路层,设计采用OUT加密模块对传输数据进行加密保护,其原理如图2所示。
OTU加密模块的设计思路可以从多个方面展开:
①基于数字包封技术的电信号加密。数字包封技术在WDM网络的光通路层得到广泛应用,基于数字包封技术的加密可以在不区分业务的情况下,对在WDM网络上传输的数据进行加密保护,是一种有效的加密保护方法。此方法首先解波分复用,然后在每个波长上针对数字包进行加密保护。
②基于波长交换交叉技术的光信号保护。波长选择变换交叉技术是指将任意一根输入光纤中的任意波长在不同的时间按一定规则交叉连接到另一输出光纤中的任意波长,利用此技术,可以在光通道层对合波前的光信号进行交换、交叉保护,分波后按相同的规则进行重组。此方法基于光学原理及全光网络中的光传送理论,但同时需依赖于光器件的发展。
③基于光包加密技术的光信号保护。光包是由包头和净荷组成,首先可利用宽脉冲标记法~高强度脉冲标记法、微波副载波光标记交换法以及电光调制光标记交换法等技术提取分离出净荷,然后通过光逻辑器件对提取出来的净荷进行加密,最后组合包头和已经加密的净荷,实现数据安全保密。应用基于光逻辑器件的光包加密技术,能够满足分组交换光网络上承载的任何一种协议数据的安全保密需求。目前,光器件也在逐步发展,光可编程逻辑专用芯片已在实验室测试阶段,但整体推进还较为缓慢。
受限于光逻辑器件的发展,目前先开展基于数字包封技术的电信号加密是切实可行的路线。
3、波分复用系统加密技术研究
根据WDM原理,OTU层可采用基于G.709的数字包封技术,如图3所示。
针对数字包封技术的特点,可采取如下方式:
①仅针对光净荷单元加密。根据ITU G.709标准,客户信号通过异步方式和比特同步方式映射到光净荷单元OPUk,因此,要实现对客户信息传输的安全保护,只需要对OPUk进行加密保护即可。根据以上分析,可采取对传输客户信息的光净荷单元净荷进行加密保护,如图4所示。采用这种方法,可在不区分业务类型的前提下。有效实现对客户信息数据传输的安全保护。
②针对光通路数据单元加密。在OTU层帧结构中,OPUk开销包含支持客户信号适配的信息。ODUk开销中包括网络维护信息和支持光通道操作的功能信息,这些信息对WDM网络的运行、管理和维护至关重要。因此,为了更加有效地保护WDM传输、运行等的安全,可针对光通路数据单元进行加密保护,如图5所示。采用这种方法,可以在保护客户信息的同时,对网络部分运行、管理和维护信息进行加密保护,更加有效地确保WDM网络的安全。
4、系统配置
WDM加密设备在WDM网络的典型配置如图6所示。
小知识之波分复用
波分复用WDM(Wavelength Division Multiplexing)是将两种或多种不同波长的光载波信号(携带各种信息)在发送端经复用器(亦称合波器,Multiplexer)汇合在一起,并耦合到光线路的同一根光纤中进行传输的技术;在接收端,经解复用器(亦称分波器或称去复用器,Demultiplexer)将各种波长的光载波分离,然后由光接收机作进一步处理以恢复原信号。这种在同一根光纤中同时传输两个或众多不同波长光信号的技术,称为波分复用。