光纤通信网窃闻方式与防卫举措范文

作者：张睿汭单位：中国电力科学研究院信息通信研究所

倏逝波耦合法

人们认为光纤通信可靠、安全是因为光束缚在光纤中传递。但是，尽管信号大部分集中在纤芯，也有一小部分的光泄漏到包层，这部分光被称为倏逝波。去掉光缆涂覆层和小部分包层而不触及纤芯，这种方法使黑客能够接触到倏逝波并对线路开展窃听。对于一个熟练的技术员，整个过程只需1h。去除包层有几种方式，如利用氢氟酸的化学蚀刻或机械抛光等。一旦目标光缆被蚀刻，把另一根窃听光缆放在目标光缆上就可以采集倏逝波。倏逝耦合法的优点主要有无链路中断、可调耦合比以及极低损耗。

V型槽法

这种方法是将一个V型槽切入光纤包层并接近纤芯，从而导出光纤信号进行窃听的方法。V型槽的表面与光纤信号传输方向之间的夹角需要大于满足全内反射的临界角。这样，光信号在V型槽表面发生全内反射，从光纤的另一侧泄露。这种方法的缺点主要是：V型槽需要精确的切入光纤和精确的抛光，而且安装需要很长时间。但是这种窃听方法导致的光衰减很小，因此很难被发现。

光栅法

利用布拉格光栅进行窃听是目前最先进的窃听技术，并且很难通过网络测试和监控进行检测。它利用紫外激光器产生紫外光进行相干叠加，进而在目标光纤纤芯上形成布拉格光栅。再利用另一根光纤捕获目标光纤中由光栅反射出的部分光信号，从而实现对目标光纤的隐蔽窃听。

光纤通信网络安全的普遍误区

1误区1：光纤网络是安全的

如前所述，光纤网络可以被轻易地窃听，并没有绝对的数据安全性。光缆可以轻易地通过井盖找到。瑞士IDquantique公司2011年3月在瑞士日内瓦开展了这项测试。该公司员工购买20欧元荧光外套及安全帽，冒充维护工人，花费30min就打开井盖找到传递重要信息的光缆。此外，电信机房是另一个可以轻易介入光纤网络的地点。

它通常是网络中的重要节点。虽然电信机房通常通过物理访问控制进行保护，但是由于越来越多的服务外包和放松管制，老牌电信运营商被迫对外部公司开放机房，意味着光纤网络越来越难以保护。

2误区2：数据被大流量保护

人们普遍认为现代电信网络的比特率如此之高，所以实际上不可能有效地拦截和分析数据流，有价值的信息会被大流量掩盖。这是一种误解，主流网络分析仪有能力捕捉和处理甚至最大带宽的数据流。截获数据也可以存储后进行离线分析。

3误区3：WDM网络不能被窃听

“WDM技术很安全”这也是一个误区，因为没有什么能够防备，黑客也拥有和接收端相同的解复用设备。此外，前述的窃听方法可以提取光纤中的所有信道。高级滤波器也很容易买得到，可只让一个波长通过并滤掉其他波长，黑客由此可以选择正确的波长以便开展窃听。

防御措施

1OTDR测试

利用光时域反射计（OTDR）可以有效地检测到光纤弯曲窃听。图3为参考文献[8]报道的OTDR检测到的光纤弯曲窃听。但是这种方法也有局限性，比如无法检测出倏逝波耦合窃听。此外，为了检测大多数类型的窃听，信号衰减的限制都必须设置在较高的水平。这就会导致频繁误报，一次例行检查就足以触发告警。

2抗窃听光缆

前述的光栅窃听法隐蔽性较强，无法通过常规手段进行监测，利用抗窃听光纤可以有效抵御光栅窃听。抗窃听光纤具有高吸收的UV覆层，并且在光纤中提供一种或多种附加的光通道，以容纳监测信号。这种光纤不仅能阻止形成光栅窃听所需的“写”辐射接近光纤芯，并且能成功抵御光纤弯曲窃听。

3加密技术

（1）光码分多址技术

光码分多址（opticalcodedivisionmultiplexingaccess，OCDMA)技术是一种光域上的光信道多路复用和光网络多址接入技术。OCDMA系统给每个用户分配唯一的光码作为该用户的地址码，对要传输的数据信息用该地址码进行光编码。将多路不同的光编码信号合在一起进行传输；在接收端，授权用户以发端相同的地址码进行匹配光解码，使多个不同用户在同一传输系统中完成各自的信号传递，实现光信道多信道复用或光网络多址接入。光码分多址技术以其组网灵活、抗干扰性强、保密性好、系统容量大等特点成为光纤保密通信的研究热点之一，并已得到成熟的商业应用。

Shake在2005年对光码分多址技术的安全性进行了深入研究。文中指出，OCDMA保密性在很大程度上取决于系统的设计参数，一个采用智能编码的OCDMA信号可以使潜在的窃听者不得不采用复杂昂贵的探测器破解，另外快速编码重构也能进一步增加窃听的难度。这些因素使得OCDMA和WDM技术相比具有显著的安全优势。但是，OCDMA的安全性能要低于信号源加密技术。

（2）量子保密通信技术

量子通信是一种利用量子态进行信息传递的通信方式，是量子力学和经典通信交叉形成的新兴研究领域，也是量子信息学领域内研究较早的分支之一，已有20多年的发展历程。目前，以量子密钥分配为核心的量子保密通信技术得到快速发展。量子密钥分配发源于1984年，由IBM公司的Bennett和加拿大的Brassard共同提出了第一个量子密钥分配协议：BB84协议。与经典密码系统不同，在量子密钥分配中，通信双方通过量子态传递密钥，其安全性由量子力学的基本定律保证。这些定律包括了测量塌缩理论、海森堡不确定原理和量子不可克隆定律。由于这些定律，窃听者即便截获了量子态，也无法通过单次测量精确地获取量子态的状态信息，从而保证了密钥在分发过程中对窃听者的完全抵抗能力。一旦通信双方通过量子密钥分配共享了一组绝对安全的密钥，就可以利用各种传统加密手段进行安全性极高的保密通信。

在密钥长度足够长的情况下，用户可以选择一次一密（Vernam码）实现无条件安全的通信。目前BB84协议的安全性已经得到严格证明。尽管量子密钥分配技术拥有完美的安全性，但距离实际应用还有很长一段路程，从系统应用的角度来看，该技术存在以下问题亟待解决：关键器件性能、密钥速率、网络应用形式等。

（3）IPSec加密技术

IPSec加密技术是一种开放的第3层加密技术，即在网络层（也就是Internet层）对所传输的IP数据分组进行端到端的加密。IPSec加密技术提供了在不可靠的IP网络上进行安全通信的机制，在通信过程中只有发送方和接收方需要了解IPSec。因为IPSec加密技术会增大数据分组的大小并且需要在两端进行加解密处理，所以会增大通信时延。在IPv4中，IPSec是可选内容，而在IPv6中则是必选内容。这样，随着IPv6的进一步流行，IPSec将得到更广泛的应用。

结束语

光纤窃听技术的快速发展对光纤通信网络的安全性日益构成威胁，因此，研究光纤窃听技术的原理是十分必要的，开展OTDR测试技术可有效检测到光纤弯曲窃听，而对于隐蔽性较强的光栅窃听，新型的抗窃听光缆可以有效应对，可以预测这种光缆在未来应用前景也很广阔。当然抵御窃听的根本办法是采用加密技术。本文介绍的3种加密技术中，IPSec最成熟，OCDMA次之，量子保密通信技术最差。从安全性上来看，量子保密通信安全性最高，IPSec居中，OCDMA最差。

部署加密技术的策略首先要根据传递信息的价值量、安全性级别要求进行选择，其次要考虑窃听者存在的概率有多大，再次要考虑加密技术的成熟度以及建设成本，最后更要考虑适应长期的发展。比如，尽管量子保密通信技术成熟度最低，但它在未来的发展前景广阔。