據(jù)最新研究揭示,黑客竟能通過分析人聲引起的光纖震動,在800米外精準竊聽談話內(nèi)容。常見光纖竊聽手段主要分兩種:一是通過外部引線接入光纜分流光信號;二是剝開光纜裸露光纖以收集泄露的光信號。
那么,全光網(wǎng)絡(luò)的安全性究竟如何?目前主流的防竊聽技術(shù)依賴于傳感器監(jiān)測光纖在異常情況下的微小擾動和信號衰減。然而,由于光纖竊聽泄漏的能量極其微弱,現(xiàn)有的防竊聽設(shè)備難以迅速且靈敏地檢測到竊聽行為。這意味著,針對光纖竊聽,我們尚未擁有真正有效的防御措施,建筑內(nèi)的任何光纖纜線與麥克風(fēng)無異,均面臨被竊聽的風(fēng)險。廣泛采用的FTTR(Fiber to The Room)光纖到戶技術(shù),雖為居民、企業(yè)及政府帶來便利,卻也潛藏著巨大的網(wǎng)絡(luò)安全隱患。
除了易被竊聽外,光纖網(wǎng)絡(luò)還存在其他安全弱點。網(wǎng)絡(luò)安全,一般從機密性、完整性和可用性三個方面衡量,即:保障網(wǎng)絡(luò)數(shù)據(jù)不被竊聽、網(wǎng)絡(luò)信息不被篡改、網(wǎng)絡(luò)服務(wù)不中斷。
機密性方面,PON網(wǎng)絡(luò)通過固定波長的光信號傳送業(yè)務(wù)數(shù)據(jù),黑客可通過插入光纖分流光信號等方式輕易竊取數(shù)據(jù)。雖然PON網(wǎng)絡(luò)采用了基于用戶身份認證的機制,但攻擊者通過偽造MAC地址等方式可以繞過認證,實現(xiàn)用戶仿冒。另外,簡單的用戶身份認證無法解決用戶私接設(shè)備的問題,例如:部分學(xué)校學(xué)生通過私接路由器到校園網(wǎng)以逃避上網(wǎng)計費、某公安系統(tǒng)員工將私人路由器接入內(nèi)網(wǎng)交換機以便使用無線網(wǎng)絡(luò),將網(wǎng)絡(luò)暴露在風(fēng)險之中。而PON的網(wǎng)絡(luò)架構(gòu)導(dǎo)致流量需繞行到核心層才可完成認證和檢測,非法流量無法在接入層完成快速發(fā)現(xiàn)和阻斷。相比之下,傳統(tǒng)的以太網(wǎng)絡(luò)協(xié)議支持更為豐富靈活的接入加密措施,如通過MACsec對數(shù)據(jù)進行硬件加密,黑客無法通過外接信號竊聽器解析信號。還支持通過接入交換機植入探針進行異常流量檢測、終端身份識別等,實現(xiàn)接入設(shè)備防仿冒、防私接。
完整性方面,PON網(wǎng)絡(luò)傳輸數(shù)據(jù)的光信號容易被竊聽和干擾,導(dǎo)致業(yè)務(wù)質(zhì)量受損、數(shù)據(jù)篡改和損失。從物理架構(gòu)上看,PON網(wǎng)絡(luò)屬于P2MP架構(gòu),雖然可通過端口實現(xiàn)業(yè)務(wù)硬隔離,保障了業(yè)務(wù)間安全隔離,但對于最終用戶來說,這只是一種相對簡單的資源分配:同一分光器下的用戶處于同一個廣播組內(nèi),PON網(wǎng)絡(luò)無法對終端用戶業(yè)務(wù)進行細粒度的分類處理(包括安全和SLA),并且這種廣播的方式將導(dǎo)致用戶無秘密可言,黑客可隨意獲取廣播信息,很難滿足等保2.0要求。相比之下,以太網(wǎng)絡(luò)可通過點對點的組網(wǎng)拓撲和靈活的網(wǎng)絡(luò)切片實現(xiàn)細粒度的業(yè)務(wù)質(zhì)量和安全保障,是一種相對安全的完整性保護方式。
可用性方面, PON的無源設(shè)計是把雙刃劍。無源即無腦,任何一個報文的網(wǎng)絡(luò)策略都需要上送到OLT背后的核心交換機處理,頂層防控的設(shè)計導(dǎo)致單點癱瘓就會影響全網(wǎng)。而以太網(wǎng)絡(luò)通過核心、匯聚、接入三層設(shè)備的策略統(tǒng)一管理實現(xiàn)分布式網(wǎng)絡(luò)管理,不會讓單一設(shè)備承載過多的轉(zhuǎn)發(fā)計算壓力,在多業(yè)務(wù)承載的環(huán)境中既提高了整體性能,也降低了單點故障風(fēng)險。從工作原理上看,PON網(wǎng)絡(luò)ONU上行數(shù)據(jù)采用TDMA共享信道方式傳輸,在每個時刻只有一個ONU可以發(fā)光傳輸上行數(shù)據(jù)。此時若出現(xiàn)流氓ONU持續(xù)發(fā)光,將導(dǎo)致同組所有ONU無法上網(wǎng),出現(xiàn)大規(guī)模掉線。另外,源于運營商家寬的PON網(wǎng)絡(luò)設(shè)備生命周期設(shè)計一般為5年,質(zhì)量可能無法滿足企業(yè)級網(wǎng)絡(luò)5-10年的長期工作可靠性要求。
總結(jié)來說,業(yè)務(wù)種類越多、權(quán)限復(fù)雜度越高,以太相對PON的優(yōu)點越明顯。反之,業(yè)務(wù)種類越少,權(quán)限單一的網(wǎng)絡(luò),PON就可以揚長避短,發(fā)揮優(yōu)勢。也正因為如此,當前PON網(wǎng)絡(luò)主要應(yīng)用于家庭寬帶,而對于企業(yè)、政府等對業(yè)務(wù)質(zhì)量、網(wǎng)絡(luò)安全性、可用性有要求的場景,以太網(wǎng)還是最主流的選擇。