国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　全光纖網(wǎng)絡(AON)是未來電信和數(shù)據(jù)網(wǎng)絡發(fā)展的必然趨勢，與現(xiàn)有的電-光網(wǎng)絡以及電網(wǎng)絡相比，它具有許多不同的安全特性?；贏ON的網(wǎng)絡攻擊檢測將成為保證AON安全的重要一環(huán)。

　　全光纖網(wǎng)絡就是在網(wǎng)絡中全部使用光波通信的網(wǎng)絡。更準確地講，在一個AON中，所有的網(wǎng)絡-網(wǎng)絡接口都是基于光纖傳輸?shù)?，所有的用?網(wǎng)絡接口在接口的網(wǎng)絡端都使用光纖傳輸。AON網(wǎng)絡節(jié)點或傳輸系統(tǒng)中所有的交換與路由都具有更高的帶寬。

　　目前，對AON的研究主要分成兩類：波分多路復用(WDM)和時分多路復用(TDM)。TDM網(wǎng)絡的研究現(xiàn)在還遠沒有達到商業(yè)成熟性，因此，本文的討論結(jié)果主要適用于WDM AON。

　　現(xiàn)有的AON一般采取電路交換式的網(wǎng)絡結(jié)構(gòu)，它與現(xiàn)有的電信線路、網(wǎng)絡和一些在Internet中經(jīng)常使用的多路復用設(shè)備是兼容的。完全可操作的包交換AON結(jié)構(gòu)現(xiàn)在還沒有出現(xiàn)，其中一個重要原因是缺乏分布式的光纖內(nèi)存。 AON結(jié)構(gòu)一般可分為光纖終端、網(wǎng)絡節(jié)點以及經(jīng)放大后的光纖鏈路。信令通常使用一個單獨的控制網(wǎng)絡(并不總是全光纖的)，交換和路由常用的拓撲結(jié)構(gòu)包括星形、環(huán)形及網(wǎng)狀，一些AON結(jié)構(gòu)也允許混合式的拓撲。

　　不同的拓撲結(jié)構(gòu)具有不同的安全特性。環(huán)形拓撲對攻擊的定位相對容易，同時很容易重新路由;網(wǎng)狀拓撲更豐富的節(jié)點交互連接，一般使服務恢復更容易一些;星形拓撲使攻擊檢測比在網(wǎng)狀拓撲中更容易一些，但星形網(wǎng)絡hub的破壞會影響所有的網(wǎng)絡服務。

　　盡管有多種可能的拓撲結(jié)構(gòu)，但絕大多數(shù)現(xiàn)代的WDM AON都是使用較小的組件組合而成的。這個特點對于安全研究是非常重要的，因為理解每個組件的安全特性對研究整個網(wǎng)絡的安全特性是十分有用的?，F(xiàn)在最經(jīng)常用到的AON 組件主要包括：藕合器、分離器、解復用設(shè)備、光放大器、空間交換設(shè)備、激發(fā)器、接收機和光纖等。

　　上述組件都已經(jīng)是商品化的產(chǎn)品，其中每一個組件都可能受到多種攻擊。目前，這些組件已被集成到多種測試床中，用以研究AON的安全特性。

　　攻擊方法

　　每一種AON組件都可能受到某些形式的拒絕服務或竊聽攻擊。我們最關(guān)心的攻擊是干擾攻擊(即用攻擊信號來干擾合法的網(wǎng)絡信號，可能導致服務降級或拒絕服務)以及利用設(shè)備道間串擾(Crosstalk)的攻擊。設(shè)備道間串擾是信號從光纖設(shè)備的一部分泄漏到另一部分時發(fā)生的一種現(xiàn)象，在絕大多數(shù)現(xiàn)代光纖設(shè)備中普遍存在，可用于服務拒絕或竊聽攻擊。全光纖網(wǎng)絡的攻擊檢測與傳統(tǒng)的電-光網(wǎng)絡和電網(wǎng)絡有很多不同，主要包括：

　　在AON中，攻擊必須在網(wǎng)絡中可能發(fā)生攻擊的任何點被檢測和識別;

　　攻擊檢測的速率應該與AON網(wǎng)絡的數(shù)據(jù)傳輸速率相匹配。

　　AON的高數(shù)據(jù)速率對攻擊檢測有重要的影響，因為大量的數(shù)據(jù)可以在短時間內(nèi)被影響，而且受影響的數(shù)據(jù)量與數(shù)據(jù)率成正比。類似地，在竊聽攻擊中，受破壞的數(shù)據(jù)量與數(shù)據(jù)率也成正比。與傳統(tǒng)的電-光網(wǎng)絡的低速率相比，在AON 的某個特定的光纖路徑中，更大的數(shù)據(jù)量意味著會有更多的數(shù)據(jù)受到某種特定攻擊的威脅。

　　AON的高數(shù)據(jù)率并不是將攻擊的識別放在所有可能的攻擊位置的唯一原因。因為在AON中，一個網(wǎng)絡管理系統(tǒng)可能給出一個錯誤的判斷。如圖 1所示，信道1通過道間串擾(帶內(nèi)干擾)來攻擊信道2。交換設(shè)備的輸出能力足以使它在放大器的信道3產(chǎn)生增益競爭攻擊。如果放大器檢測到信道2對信道3的攻擊，但交換設(shè)備并沒有檢測到信道1對信道2的攻擊，那么，網(wǎng)絡管理系統(tǒng)可能決定斷開信道2。事實上，唯一可供網(wǎng)絡管理系統(tǒng)使用的信息是信道2在放大器上是非法的，而信道1才是一個非法的信道，此時網(wǎng)絡管理系統(tǒng)無法做出正確的判斷。

　　現(xiàn)在有許多對攻擊進行分類的方法。例如，可以根據(jù)攻擊的方式(被動、主動)、攻擊使用的資源(傳輸/接收、協(xié)議、控制系統(tǒng))、攻擊目標(特定用戶或網(wǎng)絡/子網(wǎng)絡)、欲意效果(通信分析、竊聽或服務崩潰)、攻擊位置(終端、節(jié)點、鏈路、多位置等)等進行分類。所有這些可能的攻擊方法加起來有數(shù)百種，本文主要根據(jù)攻擊的目的進行分類，可將AON網(wǎng)絡攻擊大致分為六類：通信分析、竊聽、數(shù)據(jù)延遲、服務拒絕、QoS下降以及欺騙。其中，通信分析和竊聽具有相似的特性，我們將其放在一起討論;光纖網(wǎng)絡缺乏光纖內(nèi)存，在某種程度上不會受到延遲攻擊的影響;欺騙可以通過使用密碼學方法(如加密)來防止;服務拒絕和QoS降級可以統(tǒng)一地作為 “服務破壞”考慮。因此，本文討論的攻擊主要為兩類：竊聽與通信分析(以下稱為竊聽)和服務破壞。

　　為了方便討論，這里介紹三種最常用的AON攻擊。之所以選擇這三種，主要是因為它們要么非常容易實現(xiàn)，要么對AON網(wǎng)絡服務特別有效，要么與針對傳統(tǒng)網(wǎng)絡的攻擊有截然不同的效果。

　　1) 使用單個的高能發(fā)射機插入到鏈路所產(chǎn)生的帶內(nèi)干擾攻擊

　　其目的是通過插入信號降低接收機正確解譯被發(fā)射數(shù)據(jù)的能力。攻擊將破壞該鏈路上的信號，這與傳統(tǒng)的網(wǎng)絡是不同的。但是在AON中，該攻擊使鏈路以及與該節(jié)點相連的其他網(wǎng)絡鏈路上的信號減弱。

　　針對中心鏈路發(fā)起的一種單點攻擊，它不僅影響攻擊信號首先到達的節(jié)點(節(jié)點2)，而且影響與節(jié)點2具有優(yōu)先連接的其他兩個節(jié)點(節(jié)點1和節(jié)點3)。這種攻擊所利用的組件可以是藕合器、多路復用設(shè)備或光纖放大器等。

　　單點閾值帶內(nèi)能量檢測并不一定能夠確定攻擊點的正確位置。如，在節(jié)點1的能量檢測可能錯誤地將攻擊定位在鏈路(1，2)之間。這個攻擊可以進行得很容易、很巧妙，對個人用戶特別有效。

　　(2) 使用帶外干擾來利用光纖組件中的道間串擾

　　其意圖在于通過利用泄漏的組件或交叉調(diào)制效果來減少通信信號的能量。特別地，由于在光纖放大器中存在著交叉增益調(diào)制效果，使用一個帶外高能信號進行干擾是可能的。它的效果與在電子放大器中發(fā)現(xiàn)的增益壓縮效果是截然不同的。攻擊者將在一個與通信波段不同波長但又在放大器通帶范圍插入一個信號。該攻擊能夠奏效是因為放大器無法區(qū)別攻擊信號和合法的網(wǎng)絡通信信號，并且為每個信號提供同樣的增益。放大器提供給攻擊信號的這些增益會掠奪用于合法通信信號的增益，并且增加攻擊信號下行序列的能量，允許它擴散到整個透明節(jié)點。采用接收機端的閾值帶內(nèi)能量檢測方法并不一定能夠阻止這種干擾攻擊，因為攻擊期間接收到的平均帶內(nèi)能量將減少(而不是增加)或保持不變。這類攻擊將主要攻擊節(jié)點中的放大器或放大后的光纖鏈路。

　　(3) 實現(xiàn)未授權(quán)的觀察(即竊聽)

　　攻擊者通過在共享資源中監(jiān)聽從鄰近信道中泄漏的道間串擾來獲得有關(guān)鄰近信號的信息。竊聽可能發(fā)生在AON網(wǎng)絡中的多個點。

　　攻擊檢測方法

　　對AON攻擊的自動診斷和檢測方法主要分為兩大類，即對通信數(shù)據(jù)進行統(tǒng)計分析的方法和測量用于診斷/檢測意圖的信號的方法。前者以寬波帶能量檢測和光譜分析兩種檢測方法為代表，后者以導頻音(Pilot Tone)和光時域反射檢測方法為代表。

　　1.寬波帶能量檢測方法

　　能量檢測方法對一個寬波帶中接收到的光能量進行計量。它可以記錄實際的能量值變化情況，由于需要與期望值進行對比，因此，能量的略微降低可能要很長時間才能檢測出來。如果在統(tǒng)計分析中使用大數(shù)定律，那么，可能需要非常長的平均時間才能確定樣本平均值與統(tǒng)計平均值具有統(tǒng)計學上的顯著不同。在接收到的能量中，微小的、可檢測到的變化并不一定就是攻擊造成的(如組件老化等)，不會對通信信號造成負面影響。因此，絕大多數(shù)使用閾值能量檢測技術(shù)，當通信服務的下降到達或超過一定的閾值時即認為發(fā)生了攻擊。

　　下面介紹該檢測方法對上述三種攻擊方式的有效性：

　　(1) 帶內(nèi)干擾攻擊

　　能量檢測技術(shù)非常適用于像放大器故障這樣的問題，被認為是AON故障檢測的基礎(chǔ)。在發(fā)生干擾的情況下，接收機的能量不但不會減少，反而會增加。閾值能量檢測器將檢測到明顯的干擾攻擊。一個定時的干擾攻擊可能會將BER降到無法接受的程度，而不會使平均接收能量上升到足以產(chǎn)生報警的程度，當對接收到的信號的統(tǒng)計并不是非常準確時，尤其如此。

　　(2) 帶外攻擊

　　在增益競爭中，接收到的信號能量一般會減少。然而，某些增益競爭攻擊可能導致嚴重的SNR降低，而總能量不會降低。假設(shè)一個信號S必須跨過兩個EDFA，即A1和A2，如果在A1中有一個增益競爭，信號S可能無法被足夠地放大。在A2中，接收到的信號將比在無增益競爭時從A1中獲得更多的ASE。通過在A2 中使用自動增益控制(即保持A2的輸出能量在特定的級別上的一種方法)，那么，在A2 后接收到的信號可能包含強加在A2的ASE上的A1的部分ASE。注意，如果A2的增益是固定的，A2的信號輸出將比在A1中沒有增益競爭時能量低。

　　另一種攻擊將增益競爭與干擾結(jié)合起來對抗檢測技術(shù)，因為這種控制不管A2是否具有自動增益控制。位于道間干擾點前面的放大器A1將受到增益競爭的影響。干擾信號插入在A1后面的道間串擾將獲得合法信號S丟失給增益競爭的能量。因此，A2將對由于強加給S的干擾信號，以及來自A1的ASE所帶來的能量減少，進行微弱的放大，而A2的輸入能量對網(wǎng)絡來講仍然保持不變。對于這樣的攻擊，單純的能量檢測技術(shù)將無能為力。

　　(3) 竊聽攻擊

　　能量檢測技術(shù)主要通過檢測能量的損失來實現(xiàn)對竊聽攻擊的檢測，其原理是竊聽者要想達到目的必然要消耗大量的能量，所占用的能量大到足以使攻擊檢測系統(tǒng)注意到竊聽者。這種方案有許多不足。它無法檢測到在竊聽點后面插入的干擾攻擊。事實上，能量檢測機制會把干擾噪聲當作一個合法的未受竄改信號的一部分。