ASON光網(wǎng)絡(luò)管理系統(tǒng)安全性分析及對(duì)策研究

【摘 要】本文以SDH光網(wǎng)絡(luò)管理系統(tǒng)為研究目標(biāo)，分析其體系結(jié)構(gòu)、接口及分層結(jié)構(gòu)。從開放性、安全可信性和可管理可控制性三個(gè)角度，對(duì)ASON光網(wǎng)絡(luò)管理系統(tǒng)的安全性進(jìn)行分析，針對(duì)ASON網(wǎng)絡(luò)管理系統(tǒng)仿真了若干可能的攻擊方式，從電層和光層實(shí)現(xiàn)安全ASON光網(wǎng)絡(luò)管理系統(tǒng)的對(duì)策研究

【關(guān)鍵詞】ASON光網(wǎng)絡(luò) 管理系統(tǒng)安全性 安全對(duì)策

一、ASON光網(wǎng)絡(luò)管理系統(tǒng)概述

（一）ASON網(wǎng)管系統(tǒng)結(jié)構(gòu)

ASON的網(wǎng)管系統(tǒng)結(jié)構(gòu)由控制平面，傳送平面和管理平面組成。（1）控制平面：ASON的核心層面，它負(fù)責(zé)完成網(wǎng)絡(luò)連接的動(dòng)態(tài)建立和網(wǎng)絡(luò)資源的動(dòng)態(tài)分配。（2）傳送平面：目前傳送平面都是基于SDH技術(shù)的，能夠提供大容量且無阻塞的交叉連接的硬件平臺(tái)。（3）管理平面：不僅要支持傳統(tǒng)的管理功能，還要支持具有ASON特色的新功能。

（二）ASON網(wǎng)管系統(tǒng)接口說明

ASON節(jié)點(diǎn)中實(shí)現(xiàn)的主要接口包括用戶網(wǎng)絡(luò)接口（UNI）、網(wǎng)絡(luò)節(jié)點(diǎn)接口（NNI）、連接控制接口（CCI）、網(wǎng)管接口（NMI）等。UNI指ASON節(jié)點(diǎn)和客戶設(shè)備之間的接口；NNI是指ASON節(jié)點(diǎn)之間的接口，又分為域內(nèi)接口（I-NNI）和域間接口（E-NNI）；CCI是控制平面和傳送平面之間的接口；NMI是管理平面接口，分為管理平面與控制平面間的接口（NMI-A），管理平面和傳送平面間的接口（NMI-T）。

（三）ASON網(wǎng)管通信協(xié)議

控制平面有資源和服務(wù)發(fā)現(xiàn)，路由選擇，LSP建立/刪除等多項(xiàng)功能及UNI，NNI等多種接口，因此無法用單一協(xié)議規(guī)范?，F(xiàn)在普遍采用MPLS在光域擴(kuò)展后的GMPLS（通用多協(xié)議標(biāo)記交換）協(xié)議集作為控制平面協(xié)議。

光網(wǎng)絡(luò)中經(jīng)常需要雙向傳輸業(yè)務(wù)，在傳統(tǒng)MPLS中，要建立雙向LSP就必須分別建立兩個(gè)單向LSP，這種方式存在LSP建立時(shí)延過長、開銷過多、可靠性差、管理復(fù)雜等缺點(diǎn)。GMPLS定義了建立雙向LSP的方法。雙向LSP規(guī)定兩個(gè)方向的LSP具有相同的流量工程參數(shù)，包括LSP資源要求，保護(hù)和恢復(fù)方式等。

GMPLS協(xié)議在ASON控制平面中的應(yīng)用有以下幾種：

（1）GMPLS協(xié)議在ASON中的應(yīng)用主要集中在ASON控制平面。ASON控制平面的三種最基本的功能是：·資源發(fā)現(xiàn)功能：提供一種能自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)中可使用資源的能力；·路由控制功能：提供路由能力、拓?fù)浒l(fā)現(xiàn)能力和流量工程能力；

（2）GMPLS協(xié)議族中包括多種協(xié)議，有信令協(xié)議、路由協(xié)議和鏈路資源管理協(xié)議，這些協(xié)議經(jīng)過修改或者擴(kuò)展后都可以運(yùn)用于ASON之中，它們分別為：·鏈路資源管理協(xié)議：LMP（GMPLS協(xié)議首次提出）；

二、ASON網(wǎng)絡(luò)管理系統(tǒng)脆弱性分析

（一）網(wǎng)絡(luò)管理系統(tǒng)的安全漏洞

截至到現(xiàn)在，ASON網(wǎng)絡(luò)管理系統(tǒng)的三層結(jié)構(gòu)模式在各個(gè)廠商的產(chǎn)品中都是相同的，但由于各個(gè)廠商在建立網(wǎng)管信息模型中，設(shè)計(jì)的接口，通信協(xié)議的差異性，各個(gè)廠商所設(shè)計(jì)的產(chǎn)品設(shè)備并不能參與到管理中來。

1.ASON網(wǎng)管系統(tǒng)在開放性上存在的脆弱性分析。所謂網(wǎng)管系統(tǒng)的開放性，其實(shí)質(zhì)即為能夠在各廠商，各網(wǎng)管系統(tǒng)之間可以靈活進(jìn)行自適應(yīng)的兼容性。目前市場(chǎng)上在各業(yè)務(wù)和各廠商設(shè)備間存在的不兼容性，最主要的壁壘，便是各廠商在自由競爭、研發(fā)保密等條件下人為造成的。

2.ASON網(wǎng)管系統(tǒng)在安全可信性上存在的脆弱性分析。為確保ASON網(wǎng)絡(luò)健康運(yùn)轉(zhuǎn)，光網(wǎng)絡(luò)的子網(wǎng)層都把相應(yīng)的網(wǎng)管系統(tǒng)和網(wǎng)管網(wǎng)元配置在一起。所以，一旦有外界環(huán)境（如自然災(zāi)害）和黑客的攻擊，或網(wǎng)絡(luò)管理系統(tǒng)中的數(shù)據(jù)庫和網(wǎng)元節(jié)點(diǎn)同時(shí)損壞時(shí)，網(wǎng)絡(luò)配置的恢復(fù)非常復(fù)雜。

3.ASON網(wǎng)管系統(tǒng)在可控可管性上存在的脆弱性分析。當(dāng)下，在市場(chǎng)上應(yīng)用的ASON光網(wǎng)絡(luò)基本是由多個(gè)設(shè)備供應(yīng)商的設(shè)備拼湊成的，但由于網(wǎng)絡(luò)管理的不開放性，不同廠商的設(shè)備只能使用自己的管理系統(tǒng)。所以不同廠家設(shè)備間產(chǎn)生的沖突不可避免，這就造成了ASON網(wǎng)絡(luò)管理系統(tǒng)在可控可管性方面存在一定的隱患。

（二）ASON光網(wǎng)絡(luò)攻擊分析

對(duì)ASON光網(wǎng)絡(luò)管理系統(tǒng)的攻擊，將從光層和電層兩個(gè)層面來進(jìn)行分析。

1.光纖微彎注入攻擊。若使光纖微彎，其中的高階導(dǎo)模就可轉(zhuǎn)換為泄漏模，進(jìn)而讓光纖中的光輻射出來，由此，便可用于對(duì)ASON光網(wǎng)絡(luò)管理系統(tǒng)中的信息進(jìn)行分析和竊聽。

2.電信號(hào)層中間人攻擊。電信號(hào)層中間人攻擊是一種網(wǎng)絡(luò)中出現(xiàn)的傳統(tǒng)的攻擊方式，在這種未授權(quán)的情況下，侵入者可以非法進(jìn)入控制平面，能夠?qū)I(yè)務(wù)平面和管理平面中的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行破壞。

三、ASON網(wǎng)絡(luò)的安全措施

（一）電信號(hào)保護(hù)

維護(hù)ASON網(wǎng)絡(luò)管理信息的安全，需要從電信號(hào)與光信號(hào)的層面上進(jìn)行考慮。在電信號(hào)層，本文極力建議在ASON網(wǎng)絡(luò)管理系統(tǒng)中，能夠設(shè)立統(tǒng)一的認(rèn)證中心。用此方法，可以在合理給予管理者合法權(quán)限的同時(shí)，完成對(duì)網(wǎng)絡(luò)的集中管理。

在這里，我們舉例，當(dāng)控制層面A或業(yè)務(wù)層面B需要向管理層面C發(fā)送管理命令時(shí)，首先要產(chǎn)生若干認(rèn)證碼。通過這些認(rèn)證碼的排列組合，生成認(rèn)證向量。認(rèn)證向量由一個(gè)隨機(jī)數(shù)，一個(gè)期望應(yīng)答，加密密鑰，完整性密鑰以及認(rèn)證令牌組成，將認(rèn)證向量發(fā)送給認(rèn)證中心，通過加密，解密的運(yùn)算，將結(jié)果與恢復(fù)序列號(hào)進(jìn)行比較，若計(jì)算結(jié)果在恢復(fù)序列號(hào)的正確范圍內(nèi)，且該序列號(hào)在二元列表中，則驗(yàn)證成功，便將驗(yàn)證成功的消息原路返回，開始兩端點(diǎn)之間的通信。

認(rèn)證中心的出現(xiàn)，在電信號(hào)保護(hù)上為網(wǎng)絡(luò)的統(tǒng)一管理提供了解決方案。

（二）光信號(hào)保護(hù)

鑒于光信號(hào)較高的傳播速度，其加密技術(shù)則一定要應(yīng)用于高速的光邏輯器件之上。所以能夠采用量子技術(shù)實(shí)現(xiàn)上述光邏輯器件的功能，對(duì)光信號(hào)加密。量子編碼技術(shù)是基于量子力學(xué)之上的，在ASON中量子編碼技術(shù)能夠參考光子的相關(guān)定律進(jìn)行推演及實(shí)現(xiàn)。

四、結(jié)束語

ASON光網(wǎng)絡(luò)涉及面非常廣闊，傳遞的信息量十分巨大，一旦ASON網(wǎng)絡(luò)出現(xiàn)故障，會(huì)對(duì)整個(gè)使用方造成巨大的損失。為了克服信息傳遞中出現(xiàn)的安全隱患，通過對(duì)若干常用的攻擊方式進(jìn)行分析，本文提出了一些適用于提升ASON光網(wǎng)絡(luò)管理系統(tǒng)安全性的方法，為ASON光網(wǎng)絡(luò)管理系統(tǒng)的構(gòu)建提供了一個(gè)良好的思路和解決方案。