全光網(wǎng)絡(luò )中攻擊的檢測與定位

3 易受攻擊的器件

全光網(wǎng)絡(luò )中易受攻擊的器件主要包括：光纖、發(fā)送器、接收器、(解)復用器、光交叉連接設備(OXC)、光濾波器、光開(kāi)關(guān)、耦合器、光放大器等。

下面以OXC結點(diǎn)為例，分析易受攻擊的光器件，將攻擊點(diǎn)編號，如圖4所示。

攻擊點(diǎn)1――光纖 光纖的易接近性以及其自身的串擾、非線(xiàn)性、彎曲輻射特性為斷纖和竊聽(tīng)攻擊提供了機會(huì )。

攻擊點(diǎn)2――測試接入端口 用于測試或需要時(shí)方便連接的測試接入端口卻成為攻擊者利用的對象：可用于竊聽(tīng)，還可以在端口處人為改變傳輸信號的功率、偏振等指標，信號再通過(guò)對這些指標比較敏感的器件時(shí)(比如放大器對偏振較敏感)，服務(wù)質(zhì)量就會(huì )降低。

攻擊點(diǎn)3――EDFA EDFA存在兩個(gè)不容忽視的問(wèn)題：增益競爭和增益譜不平坦。如果增益譜不平坦，即使每個(gè)波道光功率相等，通過(guò)EDFA，輸出的光功率也會(huì )出現波動(dòng)起伏現象，再通過(guò)下一級EDFA時(shí)將產(chǎn)生更加嚴重的增益競爭，使得光信噪比下降，因此攻擊者可采用帶外干擾攻擊降低或破壞通信質(zhì)量。

攻擊點(diǎn)4――分光器／合光器 解復用器是由一個(gè)分光器和一個(gè)濾波器組成。它所面臨的危險與濾波器的易攻擊性相同。

攻擊點(diǎn)5――濾波器 在全光網(wǎng)絡(luò )中，各個(gè)波道間隔非常小，而濾波器的帶寬要求非常窄，但又必須滿(mǎn)足通帶平坦和邊帶陡峭條件，否則，相鄰波道信號就會(huì )發(fā)生串擾，為非授權侵入提供機會(huì )，此種攻擊很難檢測和定位。

攻擊點(diǎn)6――光開(kāi)關(guān) 若光開(kāi)關(guān)行性能不理想，會(huì )導致串擾，且具有傳播性，一階串擾引起二階串擾，再引起三階串擾等，如圖5所示。合法用戶(hù)間也可能存在串擾，可怕的是，一旦攻擊者發(fā)送惡意攻擊信號，將產(chǎn)生嚴重的帶內干擾，同時(shí)也能通過(guò)串擾竊聽(tīng)。

4 攻擊的檢測方法

4.1 現有的檢測方法

常用的攻擊檢測方法有：寬帶功率檢測法、光譜分析法、監控信號分析法、光時(shí)域反射法，它們能初步檢測出帶內干擾攻擊、帶外干擾攻擊、竊聽(tīng)和斷纖。

寬帶功率檢測法是測量光信號在較大譜寬內的功率并與期望值比較來(lái)檢測攻擊的方法。需要時(shí)間長(cháng)，且測到較小的功率變化不一定是攻擊所致(可能是器件老化，光纖修補等)。

光譜分析法是用光譜分析儀測量光信號的頻譜的變化來(lái)檢測的攻擊方法。但同樣比較取樣平均和統計平均，需要時(shí)間長(cháng)，反應慢，而且對不改變光譜形狀的攻擊則無(wú)法檢測。

監控信號分析法是利用傳送監控信號來(lái)檢測傳輸中斷，但監控信號并不能完全代表通信信息的質(zhì)量，而且對通信信號質(zhì)量有影響。

光時(shí)域反射法是用OTDR監控信號和分析監控信號的反射信號來(lái)檢測的攻擊方法。然而，只要有不大于1％光泄漏，OTDR無(wú)法檢測到這種攻擊。

鑒于它們的局限性，提出了兩種新的檢測方法。