首页 · 会议 · 正文

800米外轻松窃听谈话信息,光纤网络到底安不安全?

据最新研究揭示,黑客竟能通过分析人声引起的光纤震动,在800米外精准窃听谈话内容。常见光纤窃听手段主要分两种:一是通过外部引线接入光缆分流光信号;二是剥开光缆裸露光纤以收集泄露的光信号。

那么,全光网络的安全性究竟如何?目前主流的防窃听技术依赖于传感器监测光纤在异常情况下的微小扰动和信号衰减。然而,由于光纤窃听泄漏的能量极其微弱,现有的防窃听设备难以迅速且灵敏地检测到窃听行为。这意味着,针对光纤窃听,我们尚未拥有真正有效的防御措施,建筑内的任何光纤缆线与麦克风无异,均面临被窃听的风险。广泛采用的FTTR(Fiber to The Room)光纤到户技术,虽为居民、企业及政府带来便利,却也潜藏着巨大的网络安全隐患。

除了易被窃听外,光纤网络还存在其他安全弱点。网络安全,一般从机密性、完整性和可用性三个方面衡量,即:保障网络数据不被窃听、网络信息不被篡改、网络服务不中断。

机密性方面,PON网络通过固定波长的光信号传送业务数据,黑客可通过插入光纤分流光信号等方式轻易窃取数据。虽然PON网络采用了基于用户身份认证的机制,但攻击者通过伪造MAC地址等方式可以绕过认证,实现用户仿冒。另外,简单的用户身份认证无法解决用户私接设备的问题,例如:部分学校学生通过私接路由器到校园网以逃避上网计费、某公安系统员工将私人路由器接入内网交换机以便使用无线网络,将网络暴露在风险之中。而PON的网络架构导致流量需绕行到核心层才可完成认证和检测,非法流量无法在接入层完成快速发现和阻断。相比之下,传统的以太网络协议支持更为丰富灵活的接入加密措施,如通过MACsec对数据进行硬件加密,黑客无法通过外接信号窃听器解析信号。还支持通过接入交换机植入探针进行异常流量检测、终端身份识别等,实现接入设备防仿冒、防私接。

完整性方面,PON网络传输数据的光信号容易被窃听和干扰,导致业务质量受损、数据篡改和损失。从物理架构上看,PON网络属于P2MP架构,虽然可通过端口实现业务硬隔离,保障了业务间安全隔离,但对于最终用户来说,这只是一种相对简单的资源分配:同一分光器下的用户处于同一个广播组内,PON网络无法对终端用户业务进行细粒度的分类处理(包括安全和SLA),并且这种广播的方式将导致用户无秘密可言,黑客可随意获取广播信息,很难满足等保2.0要求。相比之下,以太网络可通过点对点的组网拓扑和灵活的网络切片实现细粒度的业务质量和安全保障,是一种相对安全的完整性保护方式。

可用性方面, PON的无源设计是把双刃剑。无源即无脑,任何一个报文的网络策略都需要上送到OLT背后的核心交换机处理,顶层防控的设计导致单点瘫痪就会影响全网。而以太网络通过核心、汇聚、接入三层设备的策略统一管理实现分布式网络管理,不会让单一设备承载过多的转发计算压力,在多业务承载的环境中既提高了整体性能,也降低了单点故障风险。从工作原理上看,PON网络ONU上行数据采用TDMA共享信道方式传输,在每个时刻只有一个ONU可以发光传输上行数据。此时若出现流氓ONU持续发光,将导致同组所有ONU无法上网,出现大规模掉线。另外,源于运营商家宽的PON网络设备生命周期设计一般为5年,质量可能无法满足企业级网络5-10年的长期工作可靠性要求。

总结来说,业务种类越多、权限复杂度越高,以太相对PON的优点越明显。反之,业务种类越少,权限单一的网络,PON就可以扬长避短,发挥优势。也正因为如此,当前PON网络主要应用于家庭宽带,而对于企业、政府等对业务质量、网络安全性、可用性有要求的场景,以太网还是最主流的选择。