800米外輕松竊聽談話信息，光纖網(wǎng)絡(luò)到底安不安全？

據(jù)最新研究揭示，黑客竟能通過分析人聲引起的光纖震動(dòng)，在800米外精準(zhǔn)竊聽談話內(nèi)容。常見光纖竊聽手段主要分兩種：一是通過外部引線接入光纜分流光信號(hào);二是剝開光纜裸露光纖以收集泄露的光信號(hào)。

那么，全光網(wǎng)絡(luò)的安全性究竟如何?目前主流的防竊聽技術(shù)依賴于傳感器監(jiān)測光纖在異常情況下的微小擾動(dòng)和信號(hào)衰減。然而，由于光纖竊聽泄漏的能量極其微弱，現(xiàn)有的防竊聽設(shè)備難以迅速且靈敏地檢測到竊聽行為。這意味著，針對(duì)光纖竊聽，我們尚未擁有真正有效的防御措施，建筑內(nèi)的任何光纖纜線與麥克風(fēng)無異，均面臨被竊聽的風(fēng)險(xiǎn)。廣泛采用的FTTR(Fiber to The Room)光纖到戶技術(shù)，雖為居民、企業(yè)及政府帶來便利，卻也潛藏著巨大的網(wǎng)絡(luò)安全隱患。

除了易被竊聽外，光纖網(wǎng)絡(luò)還存在其他安全弱點(diǎn)。網(wǎng)絡(luò)安全，一般從機(jī)密性、完整性和可用性三個(gè)方面衡量，即：保障網(wǎng)絡(luò)數(shù)據(jù)不被竊聽、網(wǎng)絡(luò)信息不被篡改、網(wǎng)絡(luò)服務(wù)不中斷。

機(jī)密性方面，PON網(wǎng)絡(luò)通過固定波長的光信號(hào)傳送業(yè)務(wù)數(shù)據(jù)，黑客可通過插入光纖分流光信號(hào)等方式輕易竊取數(shù)據(jù)。雖然PON網(wǎng)絡(luò)采用了基于用戶身份認(rèn)證的機(jī)制，但攻擊者通過偽造MAC地址等方式可以繞過認(rèn)證，實(shí)現(xiàn)用戶仿冒。另外，簡單的用戶身份認(rèn)證無法解決用戶私接設(shè)備的問題，例如：部分學(xué)校學(xué)生通過私接路由器到校園網(wǎng)以逃避上網(wǎng)計(jì)費(fèi)、某公安系統(tǒng)員工將私人路由器接入內(nèi)網(wǎng)交換機(jī)以便使用無線網(wǎng)絡(luò)，將網(wǎng)絡(luò)暴露在風(fēng)險(xiǎn)之中。而PON的網(wǎng)絡(luò)架構(gòu)導(dǎo)致流量需繞行到核心層才可完成認(rèn)證和檢測，非法流量無法在接入層完成快速發(fā)現(xiàn)和阻斷。相比之下，傳統(tǒng)的以太網(wǎng)絡(luò)協(xié)議支持更為豐富靈活的接入加密措施，如通過MACsec對(duì)數(shù)據(jù)進(jìn)行硬件加密，黑客無法通過外接信號(hào)竊聽器解析信號(hào)。還支持通過接入交換機(jī)植入探針進(jìn)行異常流量檢測、終端身份識(shí)別等，實(shí)現(xiàn)接入設(shè)備防仿冒、防私接。

完整性方面，PON網(wǎng)絡(luò)傳輸數(shù)據(jù)的光信號(hào)容易被竊聽和干擾，導(dǎo)致業(yè)務(wù)質(zhì)量受損、數(shù)據(jù)篡改和損失。從物理架構(gòu)上看，PON網(wǎng)絡(luò)屬于P2MP架構(gòu)，雖然可通過端口實(shí)現(xiàn)業(yè)務(wù)硬隔離，保障了業(yè)務(wù)間安全隔離，但對(duì)于最終用戶來說，這只是一種相對(duì)簡單的資源分配：同一分光器下的用戶處于同一個(gè)廣播組內(nèi)，PON網(wǎng)絡(luò)無法對(duì)終端用戶業(yè)務(wù)進(jìn)行細(xì)粒度的分類處理(包括安全和SLA)，并且這種廣播的方式將導(dǎo)致用戶無秘密可言，黑客可隨意獲取廣播信息，很難滿足等保2.0要求。相比之下，以太網(wǎng)絡(luò)可通過點(diǎn)對(duì)點(diǎn)的組網(wǎng)拓?fù)浜挽`活的網(wǎng)絡(luò)切片實(shí)現(xiàn)細(xì)粒度的業(yè)務(wù)質(zhì)量和安全保障，是一種相對(duì)安全的完整性保護(hù)方式。

可用性方面， PON的無源設(shè)計(jì)是把雙刃劍。無源即無腦，任何一個(gè)報(bào)文的網(wǎng)絡(luò)策略都需要上送到OLT背后的核心交換機(jī)處理，頂層防控的設(shè)計(jì)導(dǎo)致單點(diǎn)癱瘓就會(huì)影響全網(wǎng)。而以太網(wǎng)絡(luò)通過核心、匯聚、接入三層設(shè)備的策略統(tǒng)一管理實(shí)現(xiàn)分布式網(wǎng)絡(luò)管理，不會(huì)讓單一設(shè)備承載過多的轉(zhuǎn)發(fā)計(jì)算壓力，在多業(yè)務(wù)承載的環(huán)境中既提高了整體性能，也降低了單點(diǎn)故障風(fēng)險(xiǎn)。從工作原理上看，PON網(wǎng)絡(luò)ONU上行數(shù)據(jù)采用TDMA共享信道方式傳輸，在每個(gè)時(shí)刻只有一個(gè)ONU可以發(fā)光傳輸上行數(shù)據(jù)。此時(shí)若出現(xiàn)流氓ONU持續(xù)發(fā)光，將導(dǎo)致同組所有ONU無法上網(wǎng)，出現(xiàn)大規(guī)模掉線。另外，源于運(yùn)營商家寬的PON網(wǎng)絡(luò)設(shè)備生命周期設(shè)計(jì)一般為5年，質(zhì)量可能無法滿足企業(yè)級(jí)網(wǎng)絡(luò)5-10年的長期工作可靠性要求。

總結(jié)來說，業(yè)務(wù)種類越多、權(quán)限復(fù)雜度越高，以太相對(duì)PON的優(yōu)點(diǎn)越明顯。反之，業(yè)務(wù)種類越少，權(quán)限單一的網(wǎng)絡(luò)，PON就可以揚(yáng)長避短，發(fā)揮優(yōu)勢。也正因?yàn)槿绱?，?dāng)前PON網(wǎng)絡(luò)主要應(yīng)用于家庭寬帶，而對(duì)于企業(yè)、政府等對(duì)業(yè)務(wù)質(zhì)量、網(wǎng)絡(luò)安全性、可用性有要求的場景，以太網(wǎng)還是最主流的選擇。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）