據(jù)最新研究揭示,黑客竟能通過分析人聲引起的光纖震動,在800米外精準竊聽談話內容。常見光纖竊聽手段主要分兩種:一是通過外部引線接入光纜分流光信號;二是剝開光纜裸露光纖以收集泄露的光信號。
那么,全光網絡的安全性究竟如何?目前主流的防竊聽技術依賴于傳感器監(jiān)測光纖在異常情況下的微小擾動和信號衰減。然而,由于光纖竊聽泄漏的能量極其微弱,現(xiàn)有的防竊聽設備難以迅速且靈敏地檢測到竊聽行為。這意味著,針對光纖竊聽,我們尚未擁有真正有效的防御措施,建筑內的任何光纖纜線與麥克風無異,均面臨被竊聽的風險。廣泛采用的FTTR(Fiber to The Room)光纖到戶技術,雖為居民、企業(yè)及政府帶來便利,卻也潛藏著巨大的網絡安全隱患。
除了易被竊聽外,光纖網絡還存在其他安全弱點。網絡安全,一般從機密性、完整性和可用性三個方面衡量,即:保障網絡數(shù)據(jù)不被竊聽、網絡信息不被篡改、網絡服務不中斷。
機密性方面,PON網絡通過固定波長的光信號傳送業(yè)務數(shù)據(jù),黑客可通過插入光纖分流光信號等方式輕易竊取數(shù)據(jù)。雖然PON網絡采用了基于用戶身份認證的機制,但攻擊者通過偽造MAC地址等方式可以繞過認證,實現(xiàn)用戶仿冒。另外,簡單的用戶身份認證無法解決用戶私接設備的問題,例如:部分學校學生通過私接路由器到校園網以逃避上網計費、某公安系統(tǒng)員工將私人路由器接入內網交換機以便使用無線網絡,將網絡暴露在風險之中。而PON的網絡架構導致流量需繞行到核心層才可完成認證和檢測,非法流量無法在接入層完成快速發(fā)現(xiàn)和阻斷。相比之下,傳統(tǒng)的以太網絡協(xié)議支持更為豐富靈活的接入加密措施,如通過MACsec對數(shù)據(jù)進行硬件加密,黑客無法通過外接信號竊聽器解析信號。還支持通過接入交換機植入探針進行異常流量檢測、終端身份識別等,實現(xiàn)接入設備防仿冒、防私接。
完整性方面,PON網絡傳輸數(shù)據(jù)的光信號容易被竊聽和干擾,導致業(yè)務質量受損、數(shù)據(jù)篡改和損失。從物理架構上看,PON網絡屬于P2MP架構,雖然可通過端口實現(xiàn)業(yè)務硬隔離,保障了業(yè)務間安全隔離,但對于最終用戶來說,這只是一種相對簡單的資源分配:同一分光器下的用戶處于同一個廣播組內,PON網絡無法對終端用戶業(yè)務進行細粒度的分類處理(包括安全和SLA),并且這種廣播的方式將導致用戶無秘密可言,黑客可隨意獲取廣播信息,很難滿足等保2.0要求。相比之下,以太網絡可通過點對點的組網拓撲和靈活的網絡切片實現(xiàn)細粒度的業(yè)務質量和安全保障,是一種相對安全的完整性保護方式。
可用性方面, PON的無源設計是把雙刃劍。無源即無腦,任何一個報文的網絡策略都需要上送到OLT背后的核心交換機處理,頂層防控的設計導致單點癱瘓就會影響全網。而以太網絡通過核心、匯聚、接入三層設備的策略統(tǒng)一管理實現(xiàn)分布式網絡管理,不會讓單一設備承載過多的轉發(fā)計算壓力,在多業(yè)務承載的環(huán)境中既提高了整體性能,也降低了單點故障風險。從工作原理上看,PON網絡ONU上行數(shù)據(jù)采用TDMA共享信道方式傳輸,在每個時刻只有一個ONU可以發(fā)光傳輸上行數(shù)據(jù)。此時若出現(xiàn)流氓ONU持續(xù)發(fā)光,將導致同組所有ONU無法上網,出現(xiàn)大規(guī)模掉線。另外,源于運營商家寬的PON網絡設備生命周期設計一般為5年,質量可能無法滿足企業(yè)級網絡5-10年的長期工作可靠性要求。
總結來說,業(yè)務種類越多、權限復雜度越高,以太相對PON的優(yōu)點越明顯。反之,業(yè)務種類越少,權限單一的網絡,PON就可以揚長避短,發(fā)揮優(yōu)勢。也正因為如此,當前PON網絡主要應用于家庭寬帶,而對于企業(yè)、政府等對業(yè)務質量、網絡安全性、可用性有要求的場景,以太網還是最主流的選擇。
(免責聲明:本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網站出現(xiàn)的信息,均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時,應及時向本網站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。 )