EPON安全策略分析研究.pdfVIP

第四届中国国际光通信产业发展高峰论坛第五届中国光通信论坛 EPON安全策略分析 周飞 (长飞光纤光缆有限公司光网络部) 摘要：本文分析EPON网络系统所面临的安全威胁．并针对这些安全威胁提出一些安全策略． 关键词：EPON系统安全认证加密 1、引言 EPON系统是基于千兆以太网和无源光网络技术，提供多业务承载能力和电信级运 营服务质量的宽带接入。该项目起源于国家高技术研究发展计划(863计划)课题任务—— 基于千兆以太网的宽带无源光网络系统。近几年，由于IP的迅速崛起．以太网取代ATM 成了最理想的链路层协议，而PON作为接入网的物理层仍然是比较理想的，将链路层 的以太网技术和物理层的PON技术结合在一起有助于开发出新一代的光接入网，基本 做法是在与APON类似的结构，保留物理层PON，而以以太网技术代替ATM技术作为 数据链路层协议，构成一个可以提高更大带宽、更低成本和更宽业务能力的新的结合体 EPON，同时省去了IP到ATM的映射和复杂性。它是一种新兴的实现光纤到户的很具 有潜力的技术。 2、Ethemet．PON接入技术 基于Ethernet的无源光接入网络是通过光纤光缆连接着延伸至家庭和企业用户的通 信网络。局端到用户由～根光纤连接，距离可达20km．根据光纤的终端到达地点可分 着各个用户的的各条光纤。在局端的EPON设备叫光线路终端(OLT)；而在用户端的系 统则叫光网络单元(ONE)。 从OLT传送到ONE的各数据包是广播式的，分光器同时将数据包传送给所有的 ONU。不过，在每个数据包当中都有着各自的目的地址信息，各个ONE根据特定的地 址信息提取自己的数据包，丢弃那些地址信息与自己不同的数据包。上行信息是采用 每个ONE，每个ONU的信号在经过不同长度的光纤(不同的延时)传输后，进入光分配 】25 第四届中国国际光通信产业发展高峰论坛第五届中国光通信论坛 器的共用光纤，正好占据分配给它的一个指定时隙，以避免发生相互冲突。 3、EPON系统的安全性分析 EPON系统的安全性是指系统的信息安全，信息安全涉及到信息的保密性 性就是保证信息不被泄漏给未经授权的人。完整性就是防止信息被未经授权的篡改。 可用性就是保证信息及信息系统确实为授权使用者所用。可控性就是对信息及信息系统 实施安全监控。 由于EPON是PON技术和以太网技术的结合，我们就耍针对PON和以太网的技术 特点，以及EPON系统的应用环境和拓扑结构(如图1所示)来进行安全性分析。 FTTBUSlNE∞F1THO雌 图1 EPON应用结构示意图 如图l所示， EPON系统采用星形拓扑结构，OLT是局端设备，ONU是用户端设 备，对系统的控制、管理、维护功能都集中在OLT侧，不允许ONU之间直接进行通信， 所以主要考虑ONU侧存在的安全性威胁或从ONU侧可能对系统进行的攻击。 1)保密性威胁：EPON下行方向的数据采取广播形式(如图2所示)，每个ONU 能接收到所有的下行数据，802．3ah标准中为每个连接设定LLID(逻辑链路标识)，每砷 126 第四届中国国际光通信产业发展高峰论坛第五届中国光通信论坛 ONU只能接收带有属于自己的LLID的数据包，其余的数据包丢弃不再转发。不过LLID 主要是为了区分不同连接而设定的。ONU侧如果只是简单根据LLID进行过滤很显然是 不够的，因为传送的是标准的以太网帧，所以用户可以以某种方式不管LLID，而获取 非本ONU的信息，信息的保密性受到威胁，这显然是运营商和用户所不愿看到的，为 了隔离用户信息，保证每个ONU数据的私密性，需要在下行方向对每个ONU的数据 进行加密算法； 帧来实现OLT与ONU的动态交互，包括：带宽请求、带宽授权、测距、P2P仿真、保 护倒换等等。所定义的MAC控制帧和OAM帧的帧格式与以太网帧是一样的，由于以 太网帧的结构对用户是透明的，同时ONU作为用户侧设备为用户提供以太网口接入， 这样上行方向存在合法的用户通过数据通道伪造MAC控制帧或OAM帧，来更改系统 配置