光傳輸網(wǎng)安全風(fēng)險分析及防御技術(shù)研究*

吳流麗，廖建華，汪文曉，張永星，顏培杰，朱 笛

（中國人民解放軍61660 部隊(duì)，北京 100089）

0 引 言

光纖通信是目前實(shí)現(xiàn)高速率、大帶寬、低時延、遠(yuǎn)距離信息傳輸?shù)闹匾ㄐ攀侄?。?jù)統(tǒng)計，全球90%以上的互聯(lián)網(wǎng)數(shù)據(jù)通過光纖傳輸，99%以上的洲際通信業(yè)務(wù)由海底光纜承載[1]。

相比互聯(lián)網(wǎng)等TCP/IP 網(wǎng)絡(luò)，光傳輸網(wǎng)相對封閉，攻擊面相對較少。但隨著量子計算、人工智能的廣泛應(yīng)用，自動交換光網(wǎng)絡(luò)（Automatically Switched Optical Network，ASON）、全光網(wǎng)絡(luò)的逐步推廣及網(wǎng)絡(luò)攻防技術(shù)的快速發(fā)展，使得光傳輸網(wǎng)面臨的安全威脅不斷涌現(xiàn)。過去普遍被認(rèn)為具有優(yōu)良安全保密性能的光纖通信，現(xiàn)在也面臨著信息“被攔截、被復(fù)制、被篡改”的風(fēng)險。據(jù)悉，斯諾登揭露的“棱鏡”計劃平行項(xiàng)目“上游”（Upstream）通過美國本土電信公司和網(wǎng)絡(luò)企業(yè)等服務(wù)商簽署相應(yīng)的《網(wǎng)絡(luò)安全協(xié)議》，利用海底光纜對外國政府進(jìn)行數(shù)據(jù)搜集和監(jiān)控[2-5]。

安全風(fēng)險分析是制訂安全解決方案、提供安全服務(wù)以及實(shí)施安全機(jī)制的前提和基礎(chǔ)。本文從提高光傳輸網(wǎng)絡(luò)安全性和可靠性出發(fā)，分析光傳輸網(wǎng)絡(luò)不同組成部分面臨的安全威脅，在此基礎(chǔ)上總結(jié)相應(yīng)的防御技術(shù)，提出科學(xué)有效的安全防護(hù)體系建議，從而為光傳輸網(wǎng)絡(luò)安全防護(hù)基礎(chǔ)設(shè)施構(gòu)建和安全機(jī)制制定提供支撐。

1 光傳輸網(wǎng)安全風(fēng)險分析

光傳輸網(wǎng)按照不同的功能可劃分為傳輸介質(zhì)層和運(yùn)維管理層。傳輸介質(zhì)層是指光纖傳輸?shù)奈锢斫橘|(zhì)，主要包括傳輸網(wǎng)元設(shè)備和光纖傳輸線路，是數(shù)據(jù)傳輸?shù)闹黧w。運(yùn)維管理層主要指光網(wǎng)管系統(tǒng)，負(fù)責(zé)數(shù)據(jù)維護(hù)、配置管理及業(yè)務(wù)控制，保證光傳輸網(wǎng)的正常運(yùn)行。

1.1 光傳輸網(wǎng)元設(shè)備安全風(fēng)險

光通信產(chǎn)業(yè)鏈主要包括光芯片、光器件、光模塊、光設(shè)備等，代表產(chǎn)品與相應(yīng)制造廠商如表1 所示。受產(chǎn)業(yè)基礎(chǔ)配套能力和知識產(chǎn)權(quán)限制，國內(nèi)廠商大多處于產(chǎn)業(yè)鏈下游，核心光芯片和光器件的自主研發(fā)和技術(shù)實(shí)力較弱，大部分仍依靠進(jìn)口。其中，光芯片屬于技術(shù)密集型行業(yè)，工藝流程極為復(fù)雜，處于產(chǎn)業(yè)鏈的核心位置，具有極高的技術(shù)壁壘。美日廠商憑借核心技術(shù)占據(jù)了全球高端光芯片市場，而國內(nèi)廠商則聚集于中低端市場，10 Gbit/s 以下的光芯片國產(chǎn)化替代已經(jīng)完成，但高速光電芯片（25 Gbit/s 及以上）差距明顯。光器件、模塊產(chǎn)業(yè)也是我國競爭力較為欠缺的光通信子產(chǎn)業(yè)，國內(nèi)廠商占據(jù)全球約25%的市場份額，整體上表現(xiàn)較為分散，無源器件競爭力相對較高，有源器件國產(chǎn)水平不足。

因此，在光產(chǎn)業(yè)鏈的自主可控風(fēng)險方面，一是可能面臨光器件/芯片供應(yīng)不穩(wěn)定甚至斷供風(fēng)險；二是非國產(chǎn)芯片/器件邏輯在設(shè)計、生產(chǎn)、制造流程中可能被人為設(shè)置后門缺陷或漏洞，加上目前的安全風(fēng)險評估缺少供應(yīng)鏈風(fēng)險評估，導(dǎo)致傳輸設(shè)備易被對手控制，出現(xiàn)設(shè)備癱瘓、信息被竊取或無法恢復(fù)等問題，給光傳輸網(wǎng)帶來較大的風(fēng)險隱患[2]。

1.2 光纖傳輸線路安全風(fēng)險

光纖傳輸線路覆蓋范圍大，為攻擊發(fā)起提供了天然的機(jī)動余地。同時，在傳輸線路上存在無人值守的傳輸基站和無人看管的人井，導(dǎo)致非法人員可接觸到光纜或傳輸設(shè)備，實(shí)施服務(wù)破壞或非法竊聽[4-11]。

1.2.1 服務(wù)破壞

服務(wù)破壞主要指通過干擾攻擊、物理損毀[6-10]等方式破壞光傳輸網(wǎng)絡(luò)的正常通信或OPM 降低光通信服務(wù)質(zhì)量。

干擾攻擊將干擾光注入原通信光纖中進(jìn)行攻擊，使正常通信信號失真或損壞。根據(jù)干擾方式不同可進(jìn)一步分為帶內(nèi)干擾攻擊、帶外干擾攻擊、延遲干擾攻擊、強(qiáng)光干擾攻擊等。

物理損毀通過直接損壞傳輸光纜、設(shè)備、基站等硬件設(shè)施導(dǎo)致通信中斷。物理損毀的方式包括危險性誤操作和人為假冒攻擊等。危險性誤操作包括板卡、電源替換或線纜擴(kuò)容、施工等諸多無意誤操作。人為假冒攻擊是指對手有意偽裝成合法用戶獲得訪問權(quán)，直接以物理方式盜竊或破壞設(shè)備、光纜，直接導(dǎo)致傳輸設(shè)備宕機(jī)、傳輸節(jié)點(diǎn)毀壞，造成通信業(yè)務(wù)中斷。

1.2.2 非法竊聽

非法竊聽主要指未經(jīng)發(fā)送端授權(quán)的第三方通過非法手段截獲光通信信息[4-11]，竊聽方式可進(jìn)一步分為隱蔽竊聽和非隱蔽竊聽。

隱蔽竊聽通過旁路光信號實(shí)現(xiàn)信息竊取，不會造成信息傳輸中斷或缺失，通常難以發(fā)現(xiàn)，常見手段主要有光纖彎曲法、光束分離法、信道光耦合法、V 型槽法、侵入式光柵法等。

非隱蔽竊聽通過將光纜斷開攔截光信息或接入非法設(shè)備等方式竊取數(shù)據(jù)、篡改信息或植入指令，易發(fā)現(xiàn)但難以與意外斷裂事故辨別。

1.3 光網(wǎng)管系統(tǒng)安全風(fēng)險

光網(wǎng)管系統(tǒng)負(fù)責(zé)傳輸網(wǎng)的性能監(jiān)測、故障定位、系統(tǒng)安全維護(hù)、信道調(diào)度和業(yè)務(wù)開放等操作控制，是傳輸網(wǎng)的中樞，光傳輸網(wǎng)安全極大依賴于網(wǎng)管系統(tǒng)[12-17]。隨著ASON 等新型光網(wǎng)絡(luò)技術(shù)的誕生及應(yīng)用，光網(wǎng)絡(luò)智能化程度越來越高，其對網(wǎng)管系統(tǒng)服務(wù)質(zhì)量的依賴性日益凸顯。

1.3.1 可靠性風(fēng)險

一般而言，光網(wǎng)管系統(tǒng)設(shè)備節(jié)點(diǎn)配置信息采用集中存儲方式，各設(shè)備節(jié)點(diǎn)只保留自身的配置信息。一旦網(wǎng)管數(shù)據(jù)庫和部分設(shè)備節(jié)點(diǎn)同時發(fā)生損毀，整個光傳輸網(wǎng)絡(luò)業(yè)務(wù)的恢復(fù)只能通過相應(yīng)運(yùn)維人員進(jìn)行手工配置，不僅業(yè)務(wù)恢復(fù)時間較長且容易出錯，可能嚴(yán)重影響光傳輸網(wǎng)絡(luò)的安全運(yùn)行。

1.3.2 可管可控性風(fēng)險

由于光網(wǎng)管系統(tǒng)的非開放性，不同廠商的網(wǎng)管系統(tǒng)一般不兼容，因此光傳輸網(wǎng)絡(luò)中的光傳輸設(shè)備通常需要采用不同的網(wǎng)管系統(tǒng)進(jìn)行管理，無法通過同一網(wǎng)管系統(tǒng)實(shí)現(xiàn)業(yè)務(wù)的端到端指配，跨網(wǎng)絡(luò)業(yè)務(wù)的調(diào)度需要通過兩套以上的網(wǎng)管系統(tǒng)來完成，業(yè)務(wù)調(diào)度煩瑣復(fù)雜，增加了一線運(yùn)維人員的誤操作風(fēng)險，導(dǎo)致光網(wǎng)管系統(tǒng)在可管可控性方面存在一定的隱患。

1.3.3 攻擊滲透風(fēng)險

光網(wǎng)管系統(tǒng)大量使用通用操作系統(tǒng)以及基于Web 技術(shù)的應(yīng)用程序，與互聯(lián)網(wǎng)一樣受到漏洞、病毒、網(wǎng)絡(luò)攻擊等威脅。同時，當(dāng)前光傳輸網(wǎng)網(wǎng)管系統(tǒng)信息部分接口采用明文傳送，沒有采用任何加密等保護(hù)措施，導(dǎo)致網(wǎng)管信息存在被非法竊取或任意篡改的風(fēng)險。由于傳輸光纜跨越地理空間廣闊，其網(wǎng)絡(luò)管理系統(tǒng)需采用分布式遠(yuǎn)程管理，大多數(shù)的網(wǎng)絡(luò)管理數(shù)據(jù)需要經(jīng)過多個節(jié)點(diǎn)的轉(zhuǎn)發(fā)才能到達(dá)目的地，這進(jìn)一步加劇了網(wǎng)管數(shù)據(jù)被竊取篡改的風(fēng)險。

2 光傳輸網(wǎng)安全防御技術(shù)

國內(nèi)外研究者針對上述安全問題進(jìn)行深入研究，提出了諸多安全防御技術(shù)。

2.1 供應(yīng)鏈安全自動檢測技術(shù)

針對核心傳輸設(shè)備不可控風(fēng)險，可利用供應(yīng)鏈安全自動檢測技術(shù)，基于快速準(zhǔn)確的組件功能自動分析能力，對光傳輸系統(tǒng)中通過供應(yīng)鏈輸入的軟件與固件進(jìn)行快速檢測，快速發(fā)現(xiàn)其中隱藏的惡意功能，并且不斷監(jiān)測、測試、驗(yàn)證供應(yīng)鏈安全性，在一定程度上減輕核心傳輸器件不可控的風(fēng)險[18-19]。

2.2 光纖傳輸線路安全防御技術(shù)

2.2.1 干擾抵御

針對可能出現(xiàn)的帶內(nèi)干擾、帶外干擾、延遲干擾、強(qiáng)光干擾等攻擊方式，采用安全性能更強(qiáng)的光傳輸網(wǎng)組件和設(shè)備，增強(qiáng)自身抵御攻擊的能力。

例如，在解復(fù)用器后使用濾波器，濾除一定帶寬之外的信號，防止利用光放大器帶外增益競爭發(fā)起干擾攻擊。在波長進(jìn)行選擇交換前，采用均衡技術(shù)對摻鉺光纖放大器（Erbium Doped Fiber Amplifier，EDFA）增益競爭進(jìn)行保護(hù)，利用光限幅放大器限制最大輸出光功率，防止信號功率過強(qiáng)對光組件的破壞，同時降低利用串音影響正常通信的可能。

2.2.2 網(wǎng)絡(luò)拓?fù)渥杂Ｗo(hù)

針對光纖斷裂、物理損毀等攻擊方式，采用網(wǎng)絡(luò)拓?fù)渥杂Ｗo(hù)技術(shù)保證光傳輸網(wǎng)傳輸?shù)目煽啃?，主要有保護(hù)策略和恢復(fù)策略兩種。

保護(hù)策略是指為光網(wǎng)絡(luò)的承載業(yè)務(wù)提供預(yù)留的保護(hù)通道/鏈路，當(dāng)網(wǎng)絡(luò)發(fā)生故障時，利用預(yù)留的保護(hù)通道/鏈路傳送業(yè)務(wù)，可進(jìn)一步分為線形保護(hù)、環(huán)網(wǎng)保護(hù)。由于保護(hù)通道/鏈路都是預(yù)先建立的，在故障發(fā)生時不需要通過光網(wǎng)絡(luò)的信令進(jìn)行倒換，因此業(yè)務(wù)恢復(fù)的速度快，適用于較高等級的業(yè)務(wù)。但是保護(hù)策略的資源利用率較低。

恢復(fù)策略是指通過重路由等機(jī)制，為光網(wǎng)絡(luò)的承載業(yè)務(wù)動態(tài)尋找網(wǎng)絡(luò)中的剩余資源，從而恢復(fù)被中斷的業(yè)務(wù)。該機(jī)制能夠高效利用光網(wǎng)絡(luò)資源，但對光通信設(shè)備的軟硬件要求較高，實(shí)現(xiàn)成本高，同時恢復(fù)響應(yīng)不確定，業(yè)務(wù)恢復(fù)時間較長。

2.2.3 攻擊監(jiān)測

通過實(shí)時監(jiān)測光功率或特定光信號，及時檢測攻擊行為，防范非法竊光及分光問題。主要技術(shù)包括：光脈沖時域反射技術(shù)（Optical Time-Domain Reflectometer，OTDR）、光脈沖頻域反射技術(shù)（Optical Frequency-Domain Reflectometer，OFDR）、光功率檢測儀、光譜分析儀、特殊光纜等。

2.2.4 光域加密

光域加密通過在物理光層對數(shù)據(jù)進(jìn)行安全加密，以增強(qiáng)信息抗截獲能力。當(dāng)前，國內(nèi)外有噪聲加密光通信、混沌光通信、擴(kuò)頻光通信、隱蔽光通信、跳頻光通信等幾個主流的研究方向[20]。

2.3 光網(wǎng)管系統(tǒng)安全防御技術(shù)

針對光網(wǎng)管系統(tǒng)的安全風(fēng)險，重點(diǎn)加強(qiáng)對網(wǎng)管系統(tǒng)的管理和控制，以提升光傳輸網(wǎng)絡(luò)的安全性能。例如，按照GB/T 22239—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》等標(biāo)準(zhǔn)規(guī)范建立完善的安全體系；進(jìn)一步細(xì)化完善相關(guān)的技術(shù)標(biāo)準(zhǔn)，規(guī)范網(wǎng)管接口、網(wǎng)管通信協(xié)議和網(wǎng)管信息模型，確保網(wǎng)管系統(tǒng)的兼容性，全面提高網(wǎng)管系統(tǒng)的開放性和可管可控性；改善數(shù)據(jù)備份方式，提升設(shè)備配置數(shù)據(jù)庫可靠性；對網(wǎng)管管理控制信息進(jìn)行一定的加密處理，防范網(wǎng)管信息篡改。同時，采用帶外管理策略建立傳輸網(wǎng)管信息的專用數(shù)據(jù)通信網(wǎng)絡(luò)（Data Communication Network，DCN），使網(wǎng)絡(luò)管理通信流與用戶數(shù)據(jù)流分離，進(jìn)一步降低攻擊面[12-13]。

3 光傳輸網(wǎng)絡(luò)安全防護(hù)體系

網(wǎng)絡(luò)安全防護(hù)體系是保證光網(wǎng)絡(luò)安全的前提和基礎(chǔ)。按照預(yù)警、保護(hù)、檢測、響應(yīng)、恢復(fù)和反擊（Warning, Protection, Detection, Recovery,Response, Counterattack，WPDRRC），保護(hù)、檢測、響應(yīng)和恢復(fù)（Protection, Detection, Recovery,Response，PDRR）等信息安全模型，以光傳輸網(wǎng)安全需求分析為出發(fā)點(diǎn)，針對光傳輸網(wǎng)在傳輸網(wǎng)元設(shè)備、傳輸線路、網(wǎng)管系統(tǒng)等方面的安全風(fēng)險，以密碼算法、安全協(xié)議、管控策略、安全機(jī)制等安全基礎(chǔ)支撐功能為依托，塑造形成“監(jiān)、固、控、評”的動態(tài)防御體系，全面保障光傳輸網(wǎng)的安全。

3.1 加強(qiáng)光產(chǎn)業(yè)研發(fā)，建立安全供應(yīng)鏈體系

關(guān)注光核心芯片、軟件的自主研發(fā)，解決深層次供應(yīng)依賴等安全問題，實(shí)現(xiàn)真正的自主可控。

建立覆蓋整個生命周期的風(fēng)險評估機(jī)制，引入端到端的供應(yīng)鏈安全評估流程和方法，確保產(chǎn)品滿足安全要求，符合法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，防范光傳輸網(wǎng)中各類設(shè)備和系統(tǒng)帶病入網(wǎng)。

3.2 強(qiáng)化光域加密，防范光信號信道竊聽

面向網(wǎng)絡(luò)協(xié)議棧各層級進(jìn)行加密防護(hù)，使安全能力貫通傳輸、網(wǎng)絡(luò)、應(yīng)用和業(yè)務(wù)邏輯等不同層面，形成全方位數(shù)據(jù)安全防護(hù)體系，防范流量劫持和信道竊聽，解決數(shù)據(jù)傳輸存在的安全問題。目前來看，光物理層加密能夠提供高效、低延遲的大帶寬安全承載解決方案，將密鑰交給不同用戶自行管理，可滿足多租戶環(huán)境中密鑰管理需求，在服務(wù)類型、速率和網(wǎng)絡(luò)體系結(jié)構(gòu)等方面靈活度較高。國內(nèi)華為、中興等廠商已申請與光物理層加密相關(guān)的專利，為下一步大容量、高速率物理層數(shù)據(jù)加密設(shè)備的規(guī)?；瘧?yīng)用奠定了基礎(chǔ)。

3.3 全面安全加固，減少光傳輸網(wǎng)脆弱性

安全加固是針對光傳輸網(wǎng)絡(luò)中可能存在安全隱患的環(huán)節(jié)或器件進(jìn)行安全加固，從而提升光傳輸網(wǎng)絡(luò)的抗入侵、抗損毀和抗竊聽等能力，主要包括線路加固、節(jié)點(diǎn)加固、網(wǎng)管加固等。

線路加固主要針對傳輸線路上的安全風(fēng)險進(jìn)行加固，例如針對彎曲光纖進(jìn)行竊聽的安全風(fēng)險，可采用彎曲易斷的光纖或具有高強(qiáng)度防護(hù)層的光纖實(shí)現(xiàn)線路的安全加固。

節(jié)點(diǎn)加固主要針對光纜傳輸網(wǎng)節(jié)點(diǎn)的安全風(fēng)險進(jìn)行加固。例如，在值守力量薄弱或者無人值守站點(diǎn)進(jìn)行周界防護(hù)，保證節(jié)點(diǎn)設(shè)備安全。采用可調(diào)光帶阻濾波器、增益鎖定摻鉺光纖（Erbium-Doped Fiber，EDF）、設(shè)置強(qiáng)光保護(hù)裝置等策略來應(yīng)對針對EDFA 發(fā)起的帶寬外攻擊、強(qiáng)光攻擊和增益競爭攻擊。采用高隔離度的波分復(fù)用（Wavelength Division Multiplexing，WDM）、設(shè)置功率檢測裝置和隔離開關(guān)等策略來應(yīng)對光交叉連接（Optical Cross-Connect，OXC）竄擾竊聽風(fēng)險。基于可信啟動等安全機(jī)制，從底層硬件打造安全光傳輸設(shè)備。

網(wǎng)管加固主要針對光纜傳輸網(wǎng)節(jié)點(diǎn)網(wǎng)管進(jìn)行加固，包括終端加固、系統(tǒng)加固、冗余備份等。例如，采用終端防護(hù)軟件對網(wǎng)管系統(tǒng)的終端進(jìn)行防護(hù)，定期進(jìn)行漏洞掃描及補(bǔ)丁修復(fù)。除此之外，還應(yīng)該實(shí)施權(quán)限最小原則，減少對外暴露面等。

3.4 構(gòu)建監(jiān)測預(yù)警體系，實(shí)現(xiàn)威脅快速感知

一是光纖入侵檢測。通過對光纖線路信號進(jìn)行實(shí)時監(jiān)測，采用入侵行為檢測、入侵行為分析、入侵行為定位等技術(shù)進(jìn)行多維度的檢測和分析，從而實(shí)現(xiàn)對分光、干擾攻擊等入侵行為的實(shí)時監(jiān)測、精確定位和快速預(yù)警。

二是設(shè)備及系統(tǒng)層面入侵檢測。提供主機(jī)和網(wǎng)絡(luò)層面的入侵檢測能力，實(shí)時感知設(shè)備及系統(tǒng)的安全狀態(tài)。

三是安全態(tài)勢感知。通過采集光纖層、設(shè)備層、系統(tǒng)層、網(wǎng)絡(luò)層的流量及日志等各類數(shù)據(jù)，綜合利用大數(shù)據(jù)分析、異常檢測等技術(shù)識別光網(wǎng)絡(luò)中的潛在風(fēng)險，實(shí)時感知光網(wǎng)絡(luò)安全態(tài)勢。

3.5 采取彈性網(wǎng)絡(luò)機(jī)制，增強(qiáng)光傳輸網(wǎng)恢復(fù)能力

采用彈性網(wǎng)絡(luò)機(jī)制，通過鏈路級、設(shè)備級、網(wǎng)絡(luò)級、管理級的多維度冗余保護(hù)，構(gòu)建自動響應(yīng)、協(xié)同聯(lián)動閉環(huán)，使得網(wǎng)絡(luò)受損后能夠快速隔離被損部分，迅速修復(fù)被損數(shù)據(jù)并啟動網(wǎng)絡(luò)重建，全面提升光傳輸可用性。

4 結(jié) 語

隨著光通信網(wǎng)絡(luò)開放能力逐步增強(qiáng)，光傳輸網(wǎng)的網(wǎng)絡(luò)安全問題逐步引起越來越多人的關(guān)注。目前，國內(nèi)外的專家學(xué)者和工程技術(shù)人員在這方面做了許多工作，提出了一系列的安全解決方案。我們應(yīng)該將這些安全技術(shù)與產(chǎn)業(yè)發(fā)展、網(wǎng)絡(luò)組織、運(yùn)行維護(hù)等相結(jié)合，增強(qiáng)相關(guān)軟硬件防護(hù)措施，確保光網(wǎng)絡(luò)的端到端、全生命周期安全可靠，從而滿足信息時代光傳輸網(wǎng)的安全需求。