ＥＰＯＮ安全問題探悉

（1.江蘇大學(xué) 計(jì)算機(jī)科學(xué)與通信工程學(xué)院， 江蘇 鎮(zhèn)江 212013； 2.浙江工業(yè)大學(xué) 信息工程學(xué)院， 杭州 310014）



摘 要：

以太無源光網(wǎng)絡(luò)(EPON)的點(diǎn)到多點(diǎn)（P2M）結(jié)構(gòu)使其存在嚴(yán)重的安全隱患。結(jié)合具體的EPON結(jié)構(gòu)和原理，全面詳細(xì)分析了EPON系統(tǒng)中各種安全攻擊（從簡(jiǎn)單的被動(dòng)監(jiān)測(cè)到拒絕服務(wù)（DoS）、再到偽裝和竊取服務(wù)（ToS））實(shí)施的原理、過程及其危害性，并提出了相應(yīng)的對(duì)策，包括鑒定、安全封裝、加密、入侵檢測(cè)、利用到期活動(dòng)等。

關(guān)鍵詞：以太無源光網(wǎng)絡(luò)； 安全； 竊聽； 拒絕服務(wù)； 偽裝； 竊取服務(wù)； 加密

中圖分類號(hào)：TN929.18 文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1001-3695(2009)02-0719-04



Analysis and research on security of EPON



ZHAO Dan1， ZHU Na1， ZHAO Hong2

 (1.School of Computer Science Telecommunications Engineering， University of Jiangsu， Zhenjiang Jiangsu 212013， China； 2.School of Information Engineering， Zhejiang University of Technology， Hangzhou 310014， China)



Abstract:Ethernet PON (EPON) system has serious security issues for its particular P2M(point to multi-point) architecture. This article analyzed the implementing theory， process and harm of all major security attacks， including simple passive monitoring， denial of service (DoS)， masquerading and theft of service (ToS) inherently presented in EPON systems in detail. And presented corresponding countermeasures， such as authentication， so-called secure packaging， encryption， intrusion detection and utilization of time-out events etc.

Key words：EPON; security; eavesdropping; DoS; masquerading; ToS; encryption



近年來，隨著Internet的普及和寬帶應(yīng)用型業(yè)務(wù)的大量涌現(xiàn)，用戶的帶寬需求日益增大。而核心網(wǎng)絡(luò)和用戶駐地網(wǎng)的速度都達(dá)到吉比特級(jí)別，接入網(wǎng)部分又淪為整個(gè)網(wǎng)絡(luò)的瓶頸。FTTH（光纖到戶）作為接入網(wǎng)的最終理想，已經(jīng)被人們重視并開始大量應(yīng)用。以太無源光網(wǎng)絡(luò)（Ethernet passive optical networks，EPON）是FTTH各種傳輸方案中性價(jià)比最高的一種，用來給大量個(gè)人或商業(yè)用戶提供傳輸安全敏感型數(shù)據(jù)的服務(wù)。由于其特有的P2M（點(diǎn)到多點(diǎn)）結(jié)構(gòu)及傳輸媒介的廣播特性，使得其具有特殊的安全需求。下行廣播通道能被任何想竊聽的組織秘密訪問，只要去掉光網(wǎng)絡(luò)單元（ONU）的邏輯鏈路標(biāo)志（LLID）過濾規(guī)則，使其工作在所謂的混雜模式下，即可訪問所有的下行數(shù)據(jù)流。從EPON的具體結(jié)構(gòu)出發(fā)，從研究MPCP（多點(diǎn)控制協(xié)議）及其對(duì)系統(tǒng)安全的影響入手來全面分析安全問題。

1 MPCP（多點(diǎn)控制）協(xié)議

由IEEE 802.3ah任務(wù)組開發(fā)的多點(diǎn)控制協(xié)議(MPCP)，是用來解決與在EPON系統(tǒng)P2M環(huán)境上進(jìn)行P2P以太網(wǎng)操作相關(guān)的問題。EPON系統(tǒng)中使用所謂的仲裁機(jī)制來動(dòng)態(tài)分配到各ONU傳輸介質(zhì)（光纖通道）的訪問權(quán)，從而給各個(gè)活動(dòng)附屬設(shè)備動(dòng)態(tài)分配上行傳輸時(shí)隙。如果能保持網(wǎng)絡(luò)的固定運(yùn)行環(huán)境，使鏈接的RTT（round-trip time，往返時(shí)間）穩(wěn)定，那么所分配的時(shí)隙總是會(huì)不重疊的，即它們到達(dá)OLT收發(fā)模塊時(shí)，數(shù)據(jù)幀可以被正確接收、成功描述和解碼，這樣就在用戶和EPON連接的高層網(wǎng)絡(luò)（MAN/WAN）之間提供了數(shù)據(jù)傳輸通道。MPCP提供了完整的信號(hào)設(shè)備（所謂的控制板），協(xié)調(diào)從多個(gè)活動(dòng)ONU到OLT接收器之間的數(shù)據(jù)傳輸（這樣上行方向是P2M操作模式）。

MPCP機(jī)制的運(yùn)行原理可以描述如下：采用TDM（時(shí)分復(fù)用）技術(shù)，將整個(gè)可用上行信道帶寬分為各個(gè)傳輸單位（通常稱為時(shí)隙），用OLT中心的包調(diào)度器的運(yùn)行機(jī)制下的DBA（動(dòng)態(tài)帶寬分配）機(jī)制分配給各個(gè)活動(dòng)ONU（更具體地說是各個(gè)LLID）。包調(diào)度器為各LLID分配上行傳輸時(shí)隙，它依賴于給定實(shí)體（如使用REPORT MPCP DU）的當(dāng)前帶寬需求、可用帶寬、其他LLID的帶寬需求、LLID數(shù)、采用的服務(wù)策略等；然后用相應(yīng)的GATE MPCP DU通知ONU傳輸時(shí)隙的大小和開始時(shí)間。

MPCP傳輸機(jī)制基于兩個(gè)信息幀，即上述的REPORT和GATE MPCP DU。REPORT MPCP DU由ONU發(fā)出，用來向OLT描述當(dāng)前帶寬需求。帶寬需求一般基于當(dāng)前擁有的隊(duì)列（一個(gè)ONU可以有多個(gè)存儲(chǔ)以太幀的包隊(duì)列，與多個(gè)可用LLID實(shí)體對(duì)應(yīng)[1]）。由于MPCP DU預(yù)先定義了有限大小，一個(gè)REPORT MPCP DU可擁有的報(bào)告隊(duì)列的最大值為13。IEEE 802.3ah標(biāo)準(zhǔn)允許存在所謂的隊(duì)列閾值（queue thresho-lds），使ONU能夠表示每個(gè)隊(duì)列的描述界限，通過在每個(gè)具體隊(duì)列的內(nèi)部結(jié)構(gòu)提供額外信息，提高OLT端的調(diào)度效率。這種機(jī)制在前述標(biāo)準(zhǔn)中從未被詳細(xì)闡述過，其實(shí)施是對(duì)系統(tǒng)開發(fā)商公開的。

一旦OLT端接收到REPORT MPCP DU，就對(duì)它進(jìn)行解析后傳給DBA模塊，DBA再負(fù)責(zé)安排上行傳輸時(shí)隙的大小和開始時(shí)間，要使得來自多個(gè)ONU的傳輸在OLT接收端不會(huì)重疊。每個(gè)分配的時(shí)隙的大小取決于實(shí)際帶寬需求、選擇的服務(wù)策略（用的是靜態(tài)還是動(dòng)態(tài)帶寬分配）、活動(dòng)LLID數(shù)、可用帶寬數(shù)、使用的輪流檢測(cè)協(xié)議等。該MPCP被設(shè)計(jì)成能運(yùn)行任意的DBA機(jī)制，從而為開發(fā)各種復(fù)雜的新帶寬分配協(xié)議提供一個(gè)共同的控制板。一旦DBA模塊完成時(shí)隙的大小和時(shí)間估計(jì)過程，一個(gè)GATE MPCP DU就構(gòu)造好了。其中裝有各自的DBA評(píng)估信息，并在第一個(gè)可能的時(shí)間在下行傳輸（以太網(wǎng)幀不能被割裂，因此所有MPCP DU以最高優(yōu)先級(jí)傳輸，雖然可能在傳送時(shí)排在一個(gè)長幀后面）。按照IEEE 802.3ah標(biāo)準(zhǔn)，一個(gè)GATE MPCP DU使得中央的OLT控制器一次最多調(diào)度四個(gè)傳輸時(shí)隙（即所謂的scheduling into the future），其尺寸為216-1 TQ（對(duì)于1 Gbps有效數(shù)據(jù)速率，1 TQ = 2 B = 16 ns），從而一個(gè)單個(gè)傳輸時(shí)隙限于約128 KB。收到這種MPCP DU后，ONU使用信息幀中的時(shí)間戳更新它的本地時(shí)鐘索引，從而有效地維護(hù)與OLT時(shí)鐘的全局同步，而無須一個(gè)單獨(dú)的時(shí)鐘信號(hào)。調(diào)度信息被相應(yīng)地解析和加工，由此造成傳輸事件產(chǎn)生，一旦本地時(shí)鐘值達(dá)到時(shí)隙開始值，如前面處理過的GATE MPCP DU，就會(huì)開始傳輸。在傳輸時(shí)隙，當(dāng)前ONU利用其本地的內(nèi)部ONU調(diào)度器傳輸存儲(chǔ)的以太幀，在分配時(shí)隙內(nèi)盡可能多地填滿。由于以太網(wǎng)幀不能割裂，且劃定范圍通常在REPORT MPCP DU傳送及接收各個(gè)GATE MPCP DU之間變化，就產(chǎn)生未使用的時(shí)隙殘余，從而造成上行信道傳輸某種程度的低效[2]。不符合當(dāng)前分配時(shí)隙大小的其余的幀將被推遲到下次OLT調(diào)度器授權(quán)的傳輸機(jī)會(huì)。

除了傳輸調(diào)度，MPCP也有許多其他功能，對(duì)正確操作EPON系統(tǒng)很重要，即自動(dòng)發(fā)現(xiàn)、注冊(cè)和為新連入的ONU測(cè)距（RTT計(jì)算），這些組成了所謂的發(fā)現(xiàn)過程。在發(fā)現(xiàn)過程中，新連入的ONU允許注冊(cè)到網(wǎng)絡(luò)中，OLT能獲得關(guān)于它們距離和容量（可以排隊(duì)的授權(quán)數(shù)、物理傳輸參數(shù)等）的信息。發(fā)現(xiàn)過程本身是很復(fù)雜的，特征是被稱為發(fā)現(xiàn)窗口的一段時(shí)間。在發(fā)現(xiàn)窗口內(nèi)，所有的標(biāo)準(zhǔn)數(shù)據(jù)傳輸均停止，只允許異步傳輸來自新連入ONU的REGISTER_REQ MPCP DU。其中該ONU至少有一個(gè)未注冊(cè)的LLID實(shí)體。這個(gè)過程是由特定的OLT實(shí)體驅(qū)動(dòng)，它定期使得發(fā)現(xiàn)窗口可用，廣播那些discovery flag（發(fā)現(xiàn)標(biāo)志）為可用的GATE MPCP DU，包括發(fā)現(xiàn)窗口的開始時(shí)間和長度。發(fā)現(xiàn)窗口是幾個(gè)ONU可以以異步的方式同步訪問上行信道的惟一的一段時(shí)間，因此原始傳輸可以重疊，導(dǎo)致包沖突，需要在下次發(fā)現(xiàn)窗口重新注冊(cè)。為了減少傳輸重疊，所有的ONU均用一個(gè)競(jìng)爭(zhēng)的算法——隨機(jī)延遲機(jī)制（random delay mechanism）來解決，即在分配的發(fā)現(xiàn)窗口內(nèi)等待一個(gè)隨機(jī)數(shù)的時(shí)間單元再傳輸REGISTER_REQ MPCP DU，這樣可以減少包沖突的概率。因此在一個(gè)發(fā)現(xiàn)窗口內(nèi)，OLT可以收到一個(gè)以上的有效注冊(cè)請(qǐng)求。

一個(gè)有效的REGISTER_REQ MPCP DU包含ONU的MAC地址和最大可授權(quán)數(shù)。當(dāng)收到一個(gè)有效的REGISTER_REQ幀時(shí)，OLT注冊(cè)O(shè)NU，分配并指派新的端口標(biāo)志（LLID），并將相應(yīng)的MAC地址與LLID綁定：之后，需要通知ONU成功接收注冊(cè)請(qǐng)求，這是通過使用包含新近指派LLID號(hào)的REGISTER MPCP DU和OLT必須的同步時(shí)間（物理層參數(shù)）來完成。此外，OLT回應(yīng)有待解決的最大授權(quán)數(shù)，這預(yù)示著該信息被正確接收，并即將開始調(diào)度過程。其次，為新注冊(cè)LLID預(yù)定一個(gè)GATE MPCP DU，允許特定ONU在上行傳輸REGISTER_ACK MPCP DU，完成注冊(cè)過程。注冊(cè)階段的具體過程和RTT測(cè)距可參見文獻(xiàn)[1，3]。

2 EPON中的竊聽

EPON中，只要將其中一個(gè)注冊(cè)過的ONU的工作方式設(shè)置成混雜模式，就可以在下行方向進(jìn)行竊聽了。因?yàn)榫W(wǎng)絡(luò)中的每個(gè)ONU均接收OLT發(fā)送的（更確切地說，應(yīng)該是OLT廣播的，因?yàn)橄滦型ǖ朗荘2M的）下行方向的數(shù)據(jù)包的一個(gè)拷貝，而ONU硬件無須進(jìn)行擴(kuò)展修改就可設(shè)置成混雜模式。攻擊者所要做的僅僅是使LLID過濾規(guī)則失效，就可以自由地訪問下行通道傳輸?shù)乃行畔⒘恕８愕氖牵玫母`聽方法完全是被動(dòng)的，OLT無法檢測(cè)到，且在網(wǎng)絡(luò)結(jié)構(gòu)或性能上不會(huì)觸發(fā)任何可察覺的負(fù)面影響；更為嚴(yán)重的是，它可以每天24小時(shí)、一周7天不間斷而不被發(fā)現(xiàn)。這無疑違背了數(shù)據(jù)保密和隱私原則。

在上行通道，網(wǎng)絡(luò)特有的硬件結(jié)構(gòu)能阻止用戶竊聽來自其他位置的數(shù)據(jù)，因此用戶數(shù)據(jù)較安全；同樣地，就被動(dòng)檢測(cè)而言，上行通道被認(rèn)為是安全的。只有OLT能接收和檢測(cè)到各個(gè)ONU的活躍期。文獻(xiàn)[4]中提出，目前傳輸路徑上的被動(dòng)分配器能夠引入足夠的信號(hào)反射（經(jīng)放大）來重建從其他ONU開始的上行傳輸。但直到現(xiàn)在，這種機(jī)制也才被實(shí)踐證明是可行的，現(xiàn)有信號(hào)反射強(qiáng)度能在噪聲等級(jí)之上抽取有用信號(hào)。

這種機(jī)制能否被應(yīng)用到實(shí)際中還未確定，需要進(jìn)一步研究（包括信號(hào)強(qiáng)度的測(cè)量）。另外，這種反射型上行傳輸?shù)牟ㄩL不同于下行，雖然ONU不需要完全調(diào)諧的接收器，但惡意用戶卻可以通過操作兩個(gè)帶精確調(diào)諧接收器的ONU來繞過這種限制。

此外，由于PSC（passive splitter combiner，無源光分路器）單元被制造成一個(gè)完全交互的設(shè)備，它本身就構(gòu)成了一個(gè)極為嚴(yán)重的安全威脅。因而，即使只有設(shè)備的一個(gè)端口與主通道連接，更多沒被連接的端口也可以被訪問。用戶定制設(shè)計(jì)的設(shè)備可以連接到PSC的沒被使用的這種端口，提供權(quán)限訪問用戶和系統(tǒng)敏感數(shù)據(jù)，將光信號(hào)傳輸給流量分析器。隨著PSC封裝工藝的提高，可以使用一種安全封裝法（即只有一個(gè)主端口和預(yù)先設(shè)置數(shù)量的端口可以使用，而其他端口隱藏在密封盒里）來阻止目前的這種竊聽。這樣，就不能訪問其他端口，如果試圖未經(jīng)授權(quán)就訪問上行通道的信號(hào)，將會(huì)毀壞設(shè)備而需要打開盒子。圖1是目前的一種安全封裝型PSC模塊的內(nèi)部結(jié)構(gòu)，包括一個(gè)輸入和幾個(gè)預(yù)先設(shè)置數(shù)量的輸出端口。

竊聽是一種典型的網(wǎng)絡(luò)初始階段攻擊方法，它以整個(gè)EPON網(wǎng)絡(luò)結(jié)構(gòu)為目標(biāo)，獲取訪問傳輸媒介的權(quán)限。通常被認(rèn)為是一種準(zhǔn)備階段，使用簡(jiǎn)單而完全透明的數(shù)據(jù)挖掘技術(shù)，攻擊者就可以獲得各種類型的敏感信息：從用戶數(shù)據(jù)（隱私）、用戶活動(dòng)周期（在隨后的DoS或ToS攻擊中使用）、系統(tǒng)敏感數(shù)據(jù)（如LLID和系統(tǒng)中各個(gè)ONU的MAC地址）到輪流檢測(cè)協(xié)議設(shè)置（可以從GATE MPCP DU及其內(nèi)容中估計(jì)得到）。獲取上述各種類型的系統(tǒng)和用戶敏感數(shù)據(jù)后，攻擊者可以進(jìn)行更可見的、更有破壞性的安全攻擊（即偽裝、DoS、ToS等），接下來將進(jìn)行詳細(xì)描述。

3 EPON中的拒絕服務(wù)

3.1 EPON下行傳輸

在下行方向，OLT廣播的以太包經(jīng)1×N的PSC或PSC級(jí)聯(lián)到達(dá)各ONU，每個(gè)ONU收到每個(gè)下行數(shù)據(jù)包的拷貝。接入的ONU的數(shù)目因可用預(yù)計(jì)光強(qiáng)度的不同為4~64。其中16是IEEE標(biāo)準(zhǔn)規(guī)定的一般值（實(shí)際使用通常包括32）。PON系統(tǒng)的下行通道的屬性使得網(wǎng)絡(luò)成為共享介質(zhì)網(wǎng)絡(luò)：OLT廣播的包到達(dá)各ONU后，ONU根據(jù)MAC和LLID地址進(jìn)行選擇過濾。下行通道的工作過程如圖2所示，各種廣播數(shù)據(jù)流中的包經(jīng)ONU過濾后最終被送往不同的終端用戶。

3. 2 EPON上行傳輸

上行方向（圖3），從ONU到OLT，EPON的工作模式是M2P，即多個(gè)ONU將數(shù)據(jù)包傳給一個(gè)OLT中的接收器模塊。此外，由于各ONU不能知道其他ONU的傳輸（PSC是單向設(shè)備，ONU看不到其他ONU在上行傳輸?shù)男盘?hào)），其連接性與P2P結(jié)構(gòu)相似，集中管理上行通道的訪問，在一個(gè)時(shí)間段內(nèi)只允許一個(gè)ONU發(fā)送數(shù)據(jù)包。然而，由于所有ONU均屬于一個(gè)沖突域，需要集中管理機(jī)制（一般通過一個(gè)DBA算法），默認(rèn)狀態(tài)的ONU不允許傳輸任何數(shù)據(jù)，除非由OLT授權(quán)。這樣，在任意時(shí)刻中心的OLT控制器可以發(fā)現(xiàn)各個(gè)ONU的預(yù)訂傳輸，數(shù)據(jù)沖突就可以避免了。這種集中管理的上行訪問策略的惟一特例是發(fā)現(xiàn)過程，它允許新接入未初始化的ONU注冊(cè)。

EPON是M2P網(wǎng)絡(luò)，每個(gè)ONU直接與OLT交互，因此在上行方向需要多路存取訪問協(xié)議，基于競(jìng)爭(zhēng)的媒介訪問機(jī)制（與CSMA/CD相似）很難實(shí)施[1，5]。在一般的網(wǎng)絡(luò)調(diào)度中，ONU無法檢測(cè)到OLT端的沖突，在OLT與每個(gè)ONU間采用反饋回路在經(jīng)濟(jì)上是不可行的。基于競(jìng)爭(zhēng)的機(jī)制在提供非確定業(yè)務(wù)方面有著明顯的缺點(diǎn)，如節(jié)點(diǎn)吞吐量和通道利用率可能被描述成靜態(tài)的平均值，那么在一個(gè)很小的時(shí)間間隔內(nèi)，不能保證ONU訪問媒介，即表示這種訪問協(xié)議不適合延遲敏感的傳輸，如視頻會(huì)議和VoIP。為了引進(jìn)幀傳遞中的決定性，文獻(xiàn)[6~9]中提出了基于請(qǐng)求/授權(quán)的非競(jìng)爭(zhēng)機(jī)制。

3. 3 上行DoS

DoS攻擊導(dǎo)致所有注冊(cè)激活的用戶擁有的標(biāo)準(zhǔn)服務(wù)失效和潛在網(wǎng)絡(luò)不連通，如果網(wǎng)絡(luò)設(shè)備遭到攻擊，只要一個(gè)本地機(jī)器遭到入侵，服務(wù)質(zhì)量就會(huì)嚴(yán)重下降。一般所謂的攻擊，是通過消耗目標(biāo)系統(tǒng)中共享的可用帶寬和網(wǎng)絡(luò)資源來實(shí)施的，過載一些緊張的部件，多數(shù)情況下是無限的任務(wù)。從用戶的角度看，這就會(huì)導(dǎo)致合法用戶無法訪問和（或）服務(wù)質(zhì)量（QoS）下降。標(biāo)準(zhǔn)的DoS攻擊有很多種實(shí)施方式，主要有以下三種安全威脅：

a)消耗計(jì)算資源，如帶寬、硬盤空間或CPU時(shí)間；

b)破壞系統(tǒng)敏感配置信息，如路由信息、LLID、MAC地址、VLAN標(biāo)簽等；

c)破壞物理層網(wǎng)絡(luò)連通性，如用強(qiáng)激光信號(hào)使上行信道溢出，從而阻止合法用戶的有用信息的傳輸。

PON網(wǎng)絡(luò)尤其是EPON中最簡(jiǎn)單的DoS攻擊，是簡(jiǎn)單地破壞網(wǎng)絡(luò)連通性。在特殊情況（EPON是P2M結(jié)構(gòu)）下，它受上行信道中適當(dāng)波長傳輸?shù)膹?qiáng)激光信號(hào)源限制（圖4），與選擇的上行傳輸窗口一致。

這可能會(huì)導(dǎo)致網(wǎng)絡(luò)上行信道鎖定（lock down）；而且，由于激活維持（keep alive）機(jī)制的運(yùn)行，會(huì)導(dǎo)致系統(tǒng)重啟，使得資源被黑客入侵，破壞精心制作的安全機(jī)制。這種攻擊下，該系統(tǒng)要得到保護(hù)只有兩種方式，要么降低整個(gè)PON系統(tǒng)效率（如用被動(dòng)式信號(hào)功率測(cè)量技術(shù)），探測(cè)和處理DoS來源；要么上行的傳輸通道動(dòng)態(tài)切換，以避免傳輸被干擾。前者的地址方案是可行的，通常可用于一個(gè)EPON系統(tǒng)下的DoS攻擊，而后者則是相當(dāng)難以實(shí)施，主要是由于安置在ONU中的激光源波長是固定的，以及缺乏適當(dāng)?shù)男帕顓f(xié)議。總之，這樣一個(gè)簡(jiǎn)單的DoS攻擊，對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、QoS以及數(shù)據(jù)的安全性有非常嚴(yán)重和破壞性的影響，

EPON具有完全被動(dòng)的網(wǎng)絡(luò)結(jié)構(gòu)，在ONU與OLT之間沒有一個(gè)積極的信號(hào)路由器，各種依靠特定系統(tǒng)功能（如中斷路由表等）的DoS攻擊不一定能發(fā)生。僅擾亂系統(tǒng)敏感的數(shù)據(jù)——包括MAC和LLID地址，是有可能的；偽造假冒REPORT MPCP DU請(qǐng)求過大的帶寬，造成設(shè)計(jì)拙劣的DBA算法給惡意的ONU分配大量可用的系統(tǒng)資源，而其余的合法用戶卻“挨餓”。實(shí)施一個(gè)ONU頻繁更換MAC地址，可能會(huì)引起中央的突發(fā)控制器很快用盡可用的MAC地址，而拒絕為任何新接入的合法ONU注冊(cè)。同樣地，可以在LLID層偽造。LLID地址空間是有限的，因此惡意的ONU運(yùn)行竄改過的注冊(cè)策略可注冊(cè)幾千個(gè)LLID，直到中央OLT控制器再次耗盡地址空間，開始拒絕為合法用戶服務(wù)。針對(duì)這種攻擊（基于MAC和LLID），可能的對(duì)策包括用戶敏感數(shù)據(jù)加密（混雜模式下LLID/MAC域的傳輸）與連接認(rèn)證[10，11]以及利用到期（timeout）活動(dòng)。Time-out最先被IEEE 802.3 ah標(biāo)準(zhǔn)化組織采用。一個(gè)預(yù)先定義的時(shí)間段內(nèi)，若ONU不能響應(yīng)keep alive機(jī)制，就會(huì)自動(dòng)注銷它注冊(cè)的MAC/LLID。這樣可防止不太復(fù)雜的系統(tǒng)級(jí)DoS，即單個(gè)惡意ONU經(jīng)常變化LLID/MAC的數(shù)據(jù)的情況。但是最近推出的分布式DoS（DDoS）攻擊，也是單個(gè)網(wǎng)絡(luò)的DoS攻擊的簡(jiǎn)單修改，可能會(huì)證明time-out活動(dòng)對(duì)系統(tǒng)級(jí)安全無效。

只要惡意用戶將ONU的工作模式設(shè)置成混雜模式，就可以自由地訪問下行數(shù)據(jù)傳輸通道，可以跟蹤目標(biāo)MAC/LLID和OLT之間的所有數(shù)據(jù)流，很容易給當(dāng)前修改過ONU分配一系列LLID和MAC地址，并追蹤EPON的keep alive機(jī)制的運(yùn)行情況。當(dāng)keep alive的GATE MPCP DU傳遞給這樣一個(gè)虛ONU，黑客只需要根據(jù)目標(biāo)行為，用零/最大帶寬請(qǐng)求來哄騙合法的GATE MPCP DU即可。以MAC/LLID地址空間溢出為目標(biāo)，傳輸一個(gè)零尺寸REPORT，迫使OLT跟蹤給定ONU，而最大尺寸的REPORT又為這樣一個(gè)虛設(shè)備請(qǐng)求帶寬，從而限制了合法用戶使用資源。有趣的是，其他PON系統(tǒng)也不能對(duì)這種攻擊免疫，無論是GPON還是較早的Apon/Bpon系統(tǒng)，均會(huì)發(fā)生這種攻擊。據(jù)稱在這一點(diǎn)上，只有適當(dāng)設(shè)計(jì)的加密和認(rèn)證機(jī)制保護(hù)系統(tǒng)敏感數(shù)據(jù)（如EPON中MAC及LLID地址），才能限制這種惡意攻擊的活動(dòng)機(jī)會(huì)。

4 EPON中的偽裝和竊取服務(wù)

一般來說，當(dāng)一個(gè)用戶企圖冒充另一個(gè)合法的網(wǎng)絡(luò)用戶（即偽裝），偽造他的數(shù)字簽名，企圖使用不要冒充者賬戶付費(fèi)的或冒充者沒有第一優(yōu)先權(quán)的網(wǎng)絡(luò)資源（帶寬、訪問特殊的付費(fèi)服務(wù)等），竊取服務(wù)（ToS）攻擊就發(fā)生了。網(wǎng)絡(luò)結(jié)構(gòu)上的初始偽裝攻擊是基于被動(dòng)監(jiān)測(cè)，在此期間，惡意用戶收集目標(biāo)設(shè)備（ONU）信息，包括LLID的數(shù)目、MAC地址、RRT等。這些收集到的信息是用來對(duì)惡意ONU進(jìn)行偽裝的，主要通過操縱每個(gè)傳輸數(shù)據(jù)幀（MAC及LLID地址）中的系統(tǒng)敏感數(shù)據(jù)，如圖5所示。攻擊者用目標(biāo)設(shè)備的LLID、前導(dǎo)碼CRC碼以及MAC地址域（為明確起見，沒畫在圖上）的值替代他自己的EPON硬件（ONU）自動(dòng)生成的相應(yīng)值，從而使他的幀看起來好像來自不同的ONU。這樣很容易蒙混過關(guān)，傳遞了大量的上行數(shù)據(jù)不被起訴，因?yàn)樗a(chǎn)生的傳輸費(fèi)用將被計(jì)算在另一個(gè)使用的目標(biāo)ONU的用戶（或用戶組）的賬戶上，而惡意用戶卻享受較低的介質(zhì)訪問費(fèi)用。

這里必須指出，在每個(gè)ONU注冊(cè)階段，OLT為ONU提供了一個(gè)數(shù)字水印的身份，它用于隨后的雙邊傳輸（上行/下行通道），并在傳送數(shù)據(jù)幀時(shí)由ONU和OLT插入。然而，用純文本格式傳遞重要和安全敏感型的數(shù)據(jù)，為實(shí)施偽裝攻擊提供了很好的機(jī)會(huì)；接著一般是ToS，惡意用戶只要在上行傳輸時(shí)簡(jiǎn)單偽造自己的LLID，即以另一個(gè)ONU的合法LLID來替換自己的LLID即可。如果用戶足夠了解EPON系統(tǒng)的硬件，這一步只是禁用LLID過濾，需要被動(dòng)監(jiān)察流量，如上所述。當(dāng)然，不能在一個(gè)隨機(jī)的時(shí)刻偽造LLID和轉(zhuǎn)發(fā)幀，因?yàn)樯闲型ǖ朗潜环殖筛鱾€(gè)時(shí)間間隙的，且訪問時(shí)間是由中央OLT控制器嚴(yán)格監(jiān)督。因而，這樣的偽裝者也一定能被動(dòng)監(jiān)測(cè)所有下行流量，對(duì)LLID過濾傳入數(shù)據(jù)流。具體來說，跟蹤和解碼在預(yù)定傳輸窗口攜帶信息的GATE MPCP DU，尤其是其時(shí)間和大小。ToS和偽裝攻擊一旦正在進(jìn)行，通常難以察覺，因?yàn)閻阂獾挠脩舯徽J(rèn)為是一個(gè)合法的，這種情況下EPON系統(tǒng)不能正確識(shí)別安全威脅。

5 EPON中的鑒定與數(shù)據(jù)保密

就網(wǎng)絡(luò)結(jié)構(gòu)和介質(zhì)訪問而言，EPON是非常開放的。一個(gè)新的ONU（用戶）是在發(fā)現(xiàn)過程自動(dòng)接入的，除非預(yù)先確定ONU（LLID）個(gè)數(shù)耗盡或沒有新設(shè)備可進(jìn)入該系統(tǒng)。但是，這種開放的運(yùn)行模式使未經(jīng)授權(quán)的用戶可以獲取系統(tǒng)資源，只需簡(jiǎn)單地開啟他的ONU，并連接到一個(gè)理論上不活躍的預(yù)留區(qū)（如預(yù)留下來為以后的配置用，或作為備份區(qū)，或不在配置時(shí)間內(nèi)組裝）。在這樣一個(gè)開放的系統(tǒng)結(jié)構(gòu)中，用戶認(rèn)證是一個(gè)必要的功能。通常認(rèn)為ONU必須加以認(rèn)證，但有必要考慮每個(gè)ONU可能擁有一定數(shù)量的LLID，用戶其實(shí)是與ISP簽署了SLA（service-level agreement，服務(wù)等級(jí)協(xié)議）的，協(xié)議清楚定義了使用的LLID（和相應(yīng)的流量等級(jí)）的數(shù)目。分配給特定ONU的LLID的實(shí)際數(shù)目，一般要考慮正常流量開銷和QoS/SLA兩方面的要求。正常流量開銷受增加的邏輯實(shí)體影響，而單ONU單LLID模式受標(biāo)準(zhǔn)（IEEE 802.3 2005-Clause 64.1.1）支持。單ONU多LLID模式也由一些芯片廠商提供，這擴(kuò)充了現(xiàn)有的標(biāo)準(zhǔn)規(guī)格，并提供了多端口ONU的模塊。對(duì)于非標(biāo)準(zhǔn)兼容ONU單元多邏輯實(shí)體，實(shí)際分配的LLID數(shù)量通常是3~8，具體取決于所支持的流量等級(jí)的數(shù)目、它們的映射機(jī)制以及提供給終端用戶的QoS的粒度。

盡管如此，可以預(yù)測(cè)，只要增加的傳輸開銷可緩解，下一代的EPON設(shè)備可能會(huì)為每個(gè)接入用戶提供三重LLID支持。而提高數(shù)據(jù)業(yè)務(wù)的信道帶寬的可用性或修改克服MPCP的低效性可緩解傳輸開銷。

具體情況可能有所不同，如單個(gè)用戶可能只被分配一個(gè)LLID。在這兩種情況下，認(rèn)證數(shù)據(jù)在每個(gè)LLID基礎(chǔ)上發(fā)送，而不是作為一個(gè)整實(shí)體的ONU。這可以防止ONU的誤用，而單個(gè)的設(shè)備是由合法用戶和惡意用戶共享的，針對(duì)后者的服務(wù)斷絕也影響前者。

用于EPON的各種形式的認(rèn)證協(xié)議被提出來[10~14]，但一般要求大幅度地修改，以規(guī)范MPCPDU流（尤其是在發(fā)現(xiàn)過程），以及有選擇地使用安全認(rèn)證服務(wù)器形式的第三方服務(wù)（如RADIUS）。這樣的解決方案雖然提供高水平的認(rèn)證，但卻使網(wǎng)絡(luò)的整體結(jié)構(gòu)復(fù)雜，且與現(xiàn)行MPCP規(guī)格不兼容。在不久的將來，對(duì)所說的標(biāo)準(zhǔn)進(jìn)行明顯的修改很困難。因此需要其他形式的ONU/LLID級(jí)認(rèn)證，即利用固有的EPON系統(tǒng)中的信息進(jìn)行數(shù)據(jù)完整性驗(yàn)證的新方法，以及（最有可能）對(duì)所有MPCP信息進(jìn)行強(qiáng)有效載荷加密或其他機(jī)制，有待于進(jìn)一步研究。

6 結(jié)束語

EPON是目前接入網(wǎng)研究的熱點(diǎn)，2009年下半年，10 G EPON的標(biāo)準(zhǔn)就要正式出臺(tái)了，而安全問題是其關(guān)鍵技術(shù)之一，安全問題的解決影響著商用的進(jìn)程。本文結(jié)合具體的EPON結(jié)構(gòu)和原理，全面分析了EPON系統(tǒng)中各種安全攻擊（從簡(jiǎn)單的被動(dòng)監(jiān)測(cè)到DoS，再到偽裝和ToS）實(shí)施的原理、過程及其危害性，并提出了相應(yīng)的對(duì)策，包括鑒定、安全封裝、加密、入侵檢測(cè)、利用到期活動(dòng)等，為進(jìn)一步研究EPON安全問題，開發(fā)靈活、高效、低價(jià)的安全方案，推動(dòng)EPON商用進(jìn)程奠定了基礎(chǔ)。

參考文獻(xiàn)：

[1]IEEE.802.3[S/OL]. [2005]. http://en.wikipedia.org/wiki/IEEE. 802.3.

[2]HAJDUZENIA M，da SILVA H J A，MONTEIRO P P. EPON versus APON and GPON: a detailed performance comparison[J]. Journal of Optical Networking，2006，5(4):298-319.

[3]KRAMER G. Ethernet passive optical networks[M]. New York: McGraw-Hill Professional Publishing，2005.

[4]KRAMER G，MUKHERJEE B，MAISLOS A. Multiprotocol over DWDM: building the next generation optical Internet: ethernet passive optical networks[M].Hoboken，NJ: Wiley，2003.

[5]CHAE C J，WONG E， TUCKER R S. Optical CSMA/CD media access scheme for Ethernet over passive optical network[J]. IEEE Photonics Technology Letters，2002，14(5):711-713.

[6]KRAMER G，MUKHERJEE B， PESAVENTO G. Interleaved polling with adaptive cycle time (IPACT): a dynamic bandwidth distribution scheme in an optical access network[J].Photonic Network Communications，2002，4(1):89-107.

[7]KRAMER G， MUKHERJEE B， PESAVENTO G. IPACT: a dynamic protocol for an Ethernet PON (EPON)[J]. IEEE Communications Magazine，2002，40(2):74-80. 

[8]KRAMER G， BANERJEE A， SINGHAL N K， et al. Fair queuing with service envelopes (FQSE): a cousin-fair hierarchical scheduler for subscriber access networks[J]. IEEE Journal on Selected Areas in Communicatiions，2004，22(8):1497-1513.

[9]MA Mao-de，ZHU Yong-qing， CHENG T H. A bandwidth guaranteed polling MAC protocol for ethernet passive optical networks[C]//Proc of the 22nd Annual Joint Conference on IEEE Computer and Communications Societies.2003:22-31.

[10]MURAKAMI K， FUJIMOTO Y， YOSHIHARA O. Authentication and encryption in EPON[R/OL].(2002-07).http://www.ieee802.org.13/efm/public/ju/02/p2mp/murakami_p2mp_1_0702.

[11]KIM J. Authentication and privacy in EPON[R/OL].(2002-07).http://www.ieee802.org/3/efm/public/julo2/p2mp/kim_jin_p2mp_3_0702.pdf.

[12]HARAN O. Ethernet PON: security considerations[R/OL].(2001-05).http://www.ieee802.org/3/efm/public/may01/haran_1_0501.pdf.

[13]ROMASCANU D， RIBEIRO C.Security aspects of the OAM protocol for EFM[R/OL].(2002-01).http://www.ieee802.org/3/efm/public/jan02/romascanu_1_0102.pdf.

[14]GUMMALLA A， RIBEIRO C， COOK C， et al. Security threats and mechanisms[R/OL].(2001-09).http://www.ieee802.org/3/efm/public/sep01/haran_1_0901.pdf.