EPON網(wǎng)絡(luò)安全性交流

EPON網(wǎng)絡(luò)安全性交流

日期：2012-05-14密級：對內(nèi)公開目錄道路監(jiān)控組網(wǎng)新需求01道路監(jiān)控組網(wǎng)方式選擇及其安全隱患02EPON網(wǎng)絡(luò)的安全性傳輸03EPON組網(wǎng)的其他優(yōu)勢04道路監(jiān)控接入網(wǎng)絡(luò)新發(fā)展道路監(jiān)控作為平安工程的重要組成部分，采用合適的接入組網(wǎng)方式需要慎重考慮。1、道路監(jiān)控接入網(wǎng)絡(luò)，出于安全因素和傳輸質(zhì)量考慮，運營商公網(wǎng)逐漸被拋棄，公安專網(wǎng)、公安內(nèi)網(wǎng)組網(wǎng)逐漸成為主流；2、隨著視頻監(jiān)控數(shù)字化、網(wǎng)絡(luò)化的發(fā)展，尤其是高清視頻監(jiān)控在公安視頻監(jiān)控應(yīng)用中的爆炸式發(fā)展，高清IPC、高清編碼器在道路監(jiān)控中逐漸成為主流，IP到路面成為必然；3、傳統(tǒng)的道路監(jiān)控方案：采用視頻光端機點對點拉光纖到派出所匯聚后再集中編碼的方案是模擬接入方案，無法解決IP到路面的新要求。

道路監(jiān)控接入網(wǎng)絡(luò)新發(fā)展公安用戶道路監(jiān)控需要一種既經(jīng)濟(jì)又安全的IP網(wǎng)絡(luò)接入方案？？道路監(jiān)控點位分散，覆蓋區(qū)域又廣，建設(shè)經(jīng)費就這么多，需要采用什么樣的網(wǎng)絡(luò)接入方式才能控制投資呢？？公安視頻監(jiān)控圖像安全性要求高，又是采用公安專網(wǎng)建設(shè)，怎樣才能保證接入網(wǎng)絡(luò)的安全性，不會給公安專網(wǎng)帶來安全隱患。目錄道路監(jiān)控組網(wǎng)新需求01道路監(jiān)控組網(wǎng)方式選擇及其安全隱患02EPON網(wǎng)絡(luò)的安全性傳輸03EPON組網(wǎng)的其他優(yōu)勢04道路監(jiān)控的特點

道路監(jiān)控監(jiān)控點之間距離比較大，覆蓋范圍廣，監(jiān)控點沿道路線性部署，每條道路上監(jiān)控點密度較高；

道路監(jiān)控重點監(jiān)控路段都處于經(jīng)濟(jì)繁華地段，工程施工難度大，后期維護(hù)成本高，要求接入網(wǎng)絡(luò)易部署，可靠性好，長期維護(hù)成本低；

道路監(jiān)控對監(jiān)控畫面和實時性要求非常高，要求接入網(wǎng)絡(luò)提供高帶寬，提供QOS保障機制；

要求接入網(wǎng)絡(luò)安全可靠，杜絕給公安專網(wǎng)帶來安全隱患，避免外界對公安專網(wǎng)的非法入侵；傳輸線纜選擇

道路監(jiān)控點位空間分布特性：

道路監(jiān)控監(jiān)控點之間距離比較大，覆蓋范圍廣；選取傳輸線纜，必須滿足長距離傳輸?shù)囊螅?/p>

道路監(jiān)控傳輸線纜應(yīng)選擇單模光纖，采用光纖接入組網(wǎng)；

線纜類型

有效傳輸距離網(wǎng)線100米多模光纖500米單模光纖20千米基于網(wǎng)絡(luò)的業(yè)務(wù)系統(tǒng)常見的安全威脅非法竊聽：應(yīng)用于物理上連接于同一網(wǎng)段的主機，監(jiān)視網(wǎng)絡(luò)狀態(tài)、數(shù)據(jù)流以及網(wǎng)絡(luò)上傳輸信息的管理工具，它可以將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽模式，并且可以截獲網(wǎng)上傳輸?shù)男畔⒎鞘跈?quán)訪問：沒有預(yù)先經(jīng)過同意，或者在系統(tǒng)安全策略之外使用網(wǎng)絡(luò)或者計算機資源。主要有以下幾種形式：假冒、身份攻擊、非法網(wǎng)絡(luò)接入、合法用戶以未授權(quán)方式接入等病毒感染：黑客侵入網(wǎng)絡(luò)后，把病毒附著在各種類型的文件上，當(dāng)文件被復(fù)制或從一個用戶傳送到另一個用戶時，它們就隨同文件一起蔓延開來，在網(wǎng)絡(luò)內(nèi)傳播、復(fù)制計算機病毒，感染其他網(wǎng)絡(luò)中的計算機，難以根除數(shù)據(jù)竊取與篡改：攻擊者的目標(biāo)就是系統(tǒng)中的重要數(shù)據(jù)，以非法手段竊得對數(shù)據(jù)的使用權(quán)，刪除、修改、插入或者重發(fā)某些重要信息，以取得有益于攻擊者、或者干擾系統(tǒng)正常運營的行為DOS攻擊：通過常規(guī)的黑客手段侵入網(wǎng)絡(luò)后，使用超出被攻擊目標(biāo)處理能力的大量數(shù)據(jù)包消耗系統(tǒng)可用系統(tǒng)、帶寬資源，最后致使網(wǎng)絡(luò)服務(wù)癱瘓的一種攻擊手段欺騙攻擊：攻擊者創(chuàng)造一個易于誤解的環(huán)境，以誘使受攻擊者進(jìn)入并且做出缺乏安全考慮的決策。常見的欺騙攻擊有：WEB釣魚欺騙、ARP欺騙、IP欺騙等服務(wù)器群普通以太網(wǎng)電口傳輸適用于100米以內(nèi)的短距離IP監(jiān)控接入基于明文和地址識別方式的CSMA/CD廣播通信機制容易被非法搭線竊聽開放的物理接口容易被非法接入，從而讓內(nèi)部用戶感染病毒，服務(wù)器群面臨數(shù)據(jù)泄漏和DDOS攻擊的風(fēng)險用戶接入群網(wǎng)線監(jiān)控前端接入網(wǎng)絡(luò)非法接入病毒感染非法竊聽數(shù)據(jù)泄漏視頻監(jiān)控傳輸網(wǎng)絡(luò)DDOS攻擊高清/標(biāo)清IPCameraSFP光纖傳輸服務(wù)器群使用光中繼器或者夾持耦合器對光纖竊聽和非法接入，需要專用的光熔纖設(shè)備同樣具有非法搭線竊聽、非法接入、感染病毒，數(shù)據(jù)泄漏和DDOS攻擊的安全風(fēng)險網(wǎng)絡(luò)光端機的安全隱患等同于普通以太網(wǎng)電口接入與SFP光纖傳輸用戶接入群光纖監(jiān)控前端接入網(wǎng)絡(luò)非法接入病毒感染非法竊聽數(shù)據(jù)泄漏視頻監(jiān)控傳輸網(wǎng)絡(luò)DDOS攻擊高清/標(biāo)清IPCamera監(jiān)控前端接入數(shù)字光端機傳輸點對點的數(shù)字光端機使用位同步與幀同步的串行信號通信機制，總線級聯(lián)光端機使用CWDM（粗波分復(fù)用）不支持加密傳輸?shù)墓舛藱C可以使用光中繼器或者夾持耦合器對光纖竊聽，破解同步機制后即可實現(xiàn)對數(shù)據(jù)的竊聽點到點加密的數(shù)字光端機可以解決竊聽風(fēng)險光纖同軸視頻線纜網(wǎng)線非法竊聽監(jiān)控中心標(biāo)清模擬攝像機光端機光端機監(jiān)控前端接入HD-SDI傳輸HD-SDI數(shù)字光端機包含有效信息起始位、行數(shù)信息、冗余校正碼、輔助數(shù)據(jù)的串行信號通信機制，總線級聯(lián)光端機使用時分復(fù)用技術(shù)可以使用光中繼器或者夾持耦合器對光纖竊聽，破解同步與復(fù)用機制后即可實現(xiàn)對數(shù)據(jù)的竊聽標(biāo)清光端機可以通過加密方式解決竊聽問題，HD-SDI光端機受限于芯片性能無法實現(xiàn)光纖同軸視頻線纜網(wǎng)線非法竊聽監(jiān)控中心高清模擬攝像機HD-SDI光端機HD-SDI光端機目錄道路監(jiān)控組網(wǎng)新需求01道路監(jiān)控組網(wǎng)方式選擇及其安全隱患02EPON網(wǎng)絡(luò)的安全性傳輸03EPON組網(wǎng)的其他優(yōu)勢04EPON系統(tǒng)基本結(jié)構(gòu)EPON的組成結(jié)構(gòu)EPON由三部分組成：包括光線路終端（OLT）、光網(wǎng)絡(luò)單元（ONU）和無源分光器（POS）。EPON工作原理下行采用TDM方式TDM(TimeDivisionMultiplexing)上行采用TDMA方式TDMA(TimeDivisionMultipleAccess)下行波長為1490nmOLT發(fā)送的混合數(shù)據(jù)通過Splitter到達(dá)每個用戶的ONU每個ONU只接收發(fā)給自己的數(shù)據(jù)，丟棄其它數(shù)據(jù)上行波長為1310nm每個ONU在OLT允許的時間段內(nèi)向OLT發(fā)送數(shù)據(jù)無需沖突檢測報文不需要分片EPONONU的非法接入ONU上線前需要先到OLT上注冊，攜帶ONUMAC、ONU硬件型號、以及802.1x認(rèn)證信息；OLT上預(yù)先配置好ONUMAC地址、硬件型號，并綁定端口號；認(rèn)證信息完全匹配后才允許ONU上線；監(jiān)控前端以O(shè)NU子卡的形式直連EPON網(wǎng)絡(luò)，ONU子卡與監(jiān)控設(shè)備通過內(nèi)部總線通信，規(guī)避了監(jiān)控前端通過電口連接ONU存在電口被非法接入的安全隱患ONU注冊認(rèn)真信息校驗……..……..……..EPONONU的假冒攻擊ONUMAC和硬件型號是芯片固化的，且宿主系統(tǒng)和上層軟件無法讀取到、更無法寫入，黑客無法通過設(shè)備串口讀取和更改；OLT對ONU的802.1x認(rèn)證信息在ONU第一次上線后一次性下發(fā)到ONU寄存器、長期生效，以后ONU的再上線需要802.1x認(rèn)證；黑客無法竊聽EPONONU的非法竊聽ONU與OLT之間啟用128位的AES加密或者48位的三重攪動加密（中國電信標(biāo)準(zhǔn)），形成端到端的加密通道各個ONU的密鑰不同，10秒更新一次，遠(yuǎn)遠(yuǎn)超過破譯時間EPONONU之間光路相互隔離ONU和ONU之間的光路經(jīng)過分光器后是相互隔離的，在光學(xué)層面ONU側(cè)無法監(jiān)聽其它ONU的上行報文ONU和ONU之間的通信全部通過OLT控制轉(zhuǎn)發(fā)；即使有P2P模式也需要經(jīng)OLT轉(zhuǎn)發(fā)；(缺省情況下P2P模式是禁止的）EPON系統(tǒng)安全性O(shè)LT認(rèn)證ONU：

ONUMAC地址、硬件型號、802.1x認(rèn)證認(rèn)證信息固化MAC和硬件型號芯片固化，802.1x相關(guān)信息一次性下發(fā)到ONU寄存器LLID私密每一個ONU只接收自己LLID的數(shù)據(jù)，其他數(shù)據(jù)丟棄不處理點到點數(shù)據(jù)加密128位的AES加密或者48位的三重攪動加密（中國電信標(biāo)準(zhǔn)），各個ONU的密鑰不同，10秒更新一次無法仿冒：ONUMAC和硬件型號是芯片固化的，宿主系統(tǒng)和上層軟件無法讀取到、更無法寫入；802.1x相關(guān)信息一次性下發(fā)到ONU寄存器、長期生效；無法接入：OLT先設(shè)置ONUMAC地址、硬件型號，并綁定端口號，對注冊O(shè)NU攜帶的芯片固有MAC、ONU硬件型號認(rèn)證，以及802.1x認(rèn)證；無法偵聽：每一對ONU與OLT之間啟用128位的AES加密或者48位的三重攪動加密（中國電信標(biāo)準(zhǔn)），各個ONU的密鑰不同，10秒更新一次安全隔離：給特定ONU的數(shù)據(jù)幀在物理層上攜帶ONU對應(yīng)的LLID信息，ONU收到數(shù)據(jù)幀后，首先會比較LLID是不是自己的，如果不是，就直接丟棄，數(shù)據(jù)不會上二層視頻監(jiān)控EPON傳輸?shù)陌踩珜Ρ葍?yōu)勢序號攻擊手段ONU子卡ONU＋用戶設(shè)備以太網(wǎng)傳輸SFP光纖傳輸光端機傳輸HD-SDI傳輸1替換路邊IP終端設(shè)備進(jìn)行攻擊或竊聽數(shù)據(jù)(偽裝ONU

MAC等)幾乎不可能★★★★★★★★★★2在路邊設(shè)備上多余UNI口接設(shè)備進(jìn)行攻擊或竊聽數(shù)據(jù)幾乎不可能★★★★★★★★★★3替換路邊IP終端設(shè)備并在中間串連設(shè)備后進(jìn)行攻擊或竊聽數(shù)據(jù)幾乎不可能★★★★★★★★★★4在不改動原有接口的情況下在路邊設(shè)備上已有接口并聯(lián)旁路信號進(jìn)行攻擊或竊聽數(shù)據(jù)幾乎不可能★★★★★★★★★★結(jié)論：EPON的ODN(光分配網(wǎng))其實是一個相對封閉的系統(tǒng)；可以認(rèn)為OLT和直連的ONU組成了一個設(shè)備；EPON就是一個設(shè)備內(nèi)的組件互聯(lián)網(wǎng)絡(luò)目錄道路監(jiān)控組網(wǎng)新需求01道路監(jiān)控組網(wǎng)方式選擇及其安全隱患02EPON網(wǎng)絡(luò)的安全性傳輸03EPON組網(wǎng)的其他優(yōu)勢04EPON組網(wǎng)的其他優(yōu)勢EPON系統(tǒng)對局端資源占用很少，模塊化程度高，EPON作為一種點到多點網(wǎng)絡(luò)，以一種扇出的結(jié)構(gòu)來節(jié)省光纖資源系統(tǒng)初期投入低，擴(kuò)展容易，建設(shè)陳本低；EPON結(jié)構(gòu)在傳輸途中不需電源，沒有電子部件，防雷、抗干擾能力好，并且容易鋪設(shè)，基本不用維護(hù)，長期運營成本和管理成本的節(jié)省很大；

提供非常高的帶寬。EPON目前可以提供上下行對稱的1Gbps的帶寬，并且隨著以太技術(shù)的發(fā)展可以升級到10Gbps，保證了高清視頻監(jiān)控的