基于GPON的高校智慧校園網安全策略設計研究

左明慧

（常州工學院 網絡與教育技術中心，江蘇 常州 213032）

近些年來，隨著云計算、大數據、物聯網、移動互聯網、社交網絡等概念或技術的推廣應用，及國家提出的“互聯網+”行動計劃的實施，“智慧校園”“互聯網+智慧校園”就成為高校信息化建設的新模式和發展的必然方向.

校園的智慧化不僅對高校校園網的帶寬、QoS提出了高標準，而且對校園網的安全提出了更高的要求.校園智慧化必將導致校園網架構更加龐大，應用更加多樣，數據更加復雜，管理也更加困難，因此校園的網絡安全問題必然因校園的智慧化進程變得更加突出.近幾年，網絡安全面臨嚴重的挑戰，全球范圍內的大規模網絡病毒攻擊頻繁發生，安全漏洞頻現，國家機密、個人隱私、企業數據屢屢外泄，高校也在這一波又一波的網絡攻擊中屢次變成重災區.沒有安全的網絡，智慧校園必然變成水中月，鏡中花.

1 GPON概念及其安全特性

1.1 GPON組成及工作原理

GPON技術又稱為吉比特無源光網絡技術，是基于ITU-T G.984.x標準的最新一代寬帶無源光綜合接入技術，具有高帶寬、高效率、大覆蓋范圍、用戶接口豐富等眾多優點，被大多數運營商視為實現接入網業務寬帶化、綜合化改造的理想技術.該技術采用與APON、EPON相同的網絡拓撲結構，主要分為ONU、ODN、OLT三個部分.

在上圖中，線路終端的OLT設置在局端，被部署在中心機房位置，與ONU網絡單元相連，其為PON系統的核心功能設備，具有集中分配寬帶、監控運行系統運行的功能；光分配網絡ODN主要由光纖、無源光分路器兩部分組成，負責在ONU與OLT之間提供光通道.此外，遠端接入設備是連接用戶端設備的核心接口，匯聚用戶端不同的業務數據流需求，從而實現對不同數據的采集.

在應用過程中，GPON技術采用WDM技術為原理，實現了單光纖的雙向傳輸.

在操作中，為了有效分離同一根光纖上所有用戶發射的信號，一般會采用以下2種數據復用技術：（1）對于下行數據流，可采用廣播技術.由于下行幀長的格式為125μs，采用廣播技術可確保ONU能快速接收相同的數據.在操作過程中，需要通過ONUID劃分不同的數據.

（2）對于上行數據流，采用TDMA技術.上行是指通過時分復用的方式傳輸數據，上行鏈路被分成不同的時隙，根據下行幀的字段給每個ONU分配上行時隙.在此情況下，所有ONU可按照一定的順序發送數據，不會因爭奪時隙而出現沖突.在整個系統中，每幀共有9120個時隙.

1.2 GPON網絡的安全特性

高校校園網采用的接入網技術主要有三種：傳統的千兆以太網技術、EPON技術和GPON技術.

目前國內大多數據高校的校園網采用的都是傳統的核心—匯聚—接入三層模式的以太網絡架構，這種技術架構優勢突出，層次清晰，應用成熟，但其缺點也比較明顯，安全方面有先天不足,比如廣播風暴問題，設備多散導致的管理問題等.

GPON接入技術可以較好地解決以太網的這些不足，該網絡架構將匯聚設備移到了中心總機房，各樓層的節點都是通過ONU、光纖及分光器直接接入中心機房的OLT設備，實現了物理上的大二層的管理，大大減少了各樓層中間設備的故障可能，同時也大量減少了網絡設備的管理復雜度；考慮到光纖不受強電、強磁等外界影響的特性，光纖直接入戶大大減少了中間設備環節，從而幾乎避免了數據傳輸過程中的各種干擾和信息外泄的可能性，數據傳輸安全可以得到很好的保證.

當然，GPON系統是一種點到多點結構，其下行信元的傳輸是廣播式的，理論上，用戶（包括惡意用戶）在物理上可以收到OLT發向其他用戶的信息.盡管GPON在傳輸匯聚(TC)層引入安全加密機制，在G..983.1標準中，OLT通過ONU提供的3個字節長密鑰，對下行信元進行擾碼實現安全加密，上行幀以明文傳輸，但干擾碼所能實現的安全級別很低，而且短長度的密鑰極易破解.目前采取的解決方案，除了為每個ONU分配唯一的LLID外，普遍采用AES128加密技術（或基于AES的混合加密技術）對用戶數據進行加密，ONU將定時產生新的密鑰，并發送到OLT,OLT根據特定算法將ONU產生的密鑰轉換成真正的加密圖樣，對下行數據流進行加密.

2 GPON環境的高校智慧化校園網安全策略設計

互聯網+的大背景推動了高校校園智慧化的進程，物聯網、大數據等技術迅速應用于高校的教育教學管理，為高校的發展提供了動力，但同時也帶來了更多的校園安全問題.基于此，考慮到GPON技術上的優勢，常州工學院新校區采用GPON接入技術，遵循大二層扁平化設計思路，力爭構建一個高效、安全的智慧化校園網.

2.1 常州工學院GPON智慧校園網絡架構

整個校園網絡的物理拓撲圖如下.

從功能邏輯上看，可分為應用層、接入層、匯聚層、核心層、校園出口等五個層次.

核心層由核心交換機和BRAS模塊組成.其中BRAS模塊采用華為ME60設備，負責向全網用戶下推各種認證，實現統一實名制管理.

匯聚層將眾多的接入設備和大量用戶經過一次匯聚后再接入到核心層，擴展核心層接入用戶的數量.匯聚層采用PON進行全光校園網絡的統一承載.

接入層是最靠近終端用戶的網絡，為用戶提供各種接入方式，一般部署二層設備，集中歸屬到匯聚層的匯聚OLT.根據校園網的應用場景，接入層主要部署用于物聯網業務（比如一卡通、安防監控等）接入的GPON前端設備MDU以及用于辦上網業務的GPON前端設備光貓(ONT).

2.2 GPON環境的高校智慧化校園安全策略設計

網絡安全是智慧化校園建設的重中之重，為實現這一目標，應從校園網的整體架構設計到實際校園應用場景規劃，從不同角度多方位設計和制定相應的安全策略，封堵各種安全漏洞缺口，為智慧校園搭建一個從制度——人員——技術的三位一體的安全體系.

2.2.1 強化管理制度建設的安全策略

“無以規矩，不成方圓”.健全嚴格科學高效的管理制度是校園網正常運行的“法律依據”和安全保障.如果缺少了管理制度，就如同一個國家沒有法律一樣.無數的網絡攻擊案例都有力證明了堡壘最容易從內部被攻破，制度的缺失是網絡安全最大的漏洞.因此學校要以國家網絡安全法為準繩，建立從設備機房、運行維護，到信息發布、技術安全等一系列、全方位的管理制度，強化每一位人員的安全意識和法律意識.

2.2.2 構建優良機房環境的安全策略

良好的機房物理環境是網絡設備正常運轉，減少故障的有力保障.機房的建設要從機房溫度、濕度、除塵、靜電、電子屏蔽等多方位設計，搭建一個集UPS供電、防水、防塵、防電等多位一體的動力環境監控安全系統，并能通過系統管理平臺進行故障報警，保證網絡管理員第一時間接到故障信息，盡量減少災難損失.

2.2.3 大二層扁平化管理的安全策略

整個校園網采取GPON接入技術，建立以ONU——OLT——核心的網絡體系，各接入點通過樓層的分光器匯總接入OLT，匯聚層設備OLT和核心層設備集中部署在中心機房，所有接入層設備MDU和ONU直接在OLT上進行配置，減少了中間設備層次，降低了故障點概率；從用戶角度看，接入用戶都在BRAS上接入，用戶VLAN數據經過接入層ONU和匯聚層OLT直接透傳送至核心層BRAS再剔除VLAN標簽(單標簽或雙標簽)，不需要維護復雜的網絡架構與協議.因此，無論從物理還是邏輯上都實現了大二層的扁平化管理，簡化了網絡結構，降低了網絡的運維難度，提升了網絡的安全指數.

2.2.4 冗余備份的安全策略

為了增強網絡的可靠性和強度，避免因線路設備的故障導致網絡故障或癱瘓，整個校園網采取冗余的設計方案，核心和關鍵點的設備都采取雙機互備方案，可以無縫切換；重要設備之間的互聯線路也都采取冗余設計，保證在一條通信線路故障時能自動切換到另一條備用線路.同時采用堆疊、PPPoEoVLAN等技術，既增強了網絡的可靠性，又成功消除了網絡環路.

冗余策略不僅僅是物理設備的冗余，還包括重要數據的冗余.數據安全是整個校園網安全的重中之重.存放數據的服務器和存儲又是黑客攻擊的主要目標，為了保證數據在服務器和存儲出現物理故障或者被攻擊情況下能夠有效、快速的恢復，必須要定期做好各種數據的備份工作，并專人管理.

2.2.5 業務隔離的安全策略

業務隔離不僅指將物聯網和辦公網的有效隔離，也包括同網的終端用戶進行有效隔離.

考慮到物聯網數據的特殊性和重要性，為防止非法用戶獲取數據，在設計時就將物聯網和辦公網進行物理隔離，網絡設備和線路盡可能獨立，接入層ONU、匯聚層OLT和核心設備相對自成一體.從邏輯角度考慮，物聯網設備一般不需要訪問外網資源，因此在核心設備上建立嚴格的ACL，不允許普通用戶訪問物聯網設備和網段，管理員權限也給出嚴格限制.辦公用機和物聯網用機嚴格區分，不可混用.

為了保證每個用戶（這里所講的用戶主要指終端設備）網絡安全，可以利用GPON網絡特性并有效結合Qinq技術，將用戶VLAN封裝在接口VLAN中直接透明的送到BRAS設備進行拆封，用戶之間不可見，從而減少了用戶之間的干擾，保證了用戶的有效帶寬，避免廣播風暴的產生.另外，根據性質將用戶劃分成不同級別，并賦予不同的訪問權限，不同用戶只能訪問不同的資源.

2.2.6 業務系統的安全策略

校園網的所有應用都建立操作系統和應用系統之上的，這些操作系統和復雜多樣的應用系統又都或多或少的存在BUG和漏洞，而這些BUG和漏洞恰恰可以成為病毒入侵和黑客攻擊的主要后門和攻擊路線.因此校園網用戶，尤其是各系統管理員，必須養成良好的安全習慣，定時對系統進行補丁升級，病毒查殺，木馬掃描等安全操作，將隱患消滅于萌芽狀態

2.2.7 邊界的安全策略

邊界是校園網安全的最后一道屏障.互聯網充滿各式各樣的威脅，包括惡意的網絡攻擊和入侵、病毒傳播、木馬注入等等，作為學校出口，必須具有極高的安全設計，以保證內網安全和穩定.一般可以在校園網的邊界部署高效安全的網絡防火墻產品（比如華為U.S.G）

優秀的U.S.G能夠實現基于安全區域的安全隔離，利用這些安全區域可以靈活的將校園網應用發布于互聯網或僅內網可見.

U.S.G也能夠進行有效的網絡攻擊防御.互聯網的安全威脅主要集中在病毒、蠕蟲、惡意代碼，網頁篡改，垃圾郵件等方面，對外發布網站也常常成為攻擊目標.U.S.G采用先進的一體化檢測機制，將入侵防御功能、反病毒功能、UTRL過濾、ASPF深度檢測等安全特性集成于一體，形成立體的威脅防御解決方案.

而將U.S.G和ARRAY及其他安全產品結合，還可以實現流量的有效管控和用戶上網行為的安全審計.

3 結束語

在“互聯網+”背景下，智慧校園已成為高校信息化建設的必然趨勢，而網絡安全問題也勢必成為智慧校園建設中重中之重的研究課題.本文在分析研究GPON技術的安全特性基礎上，結合常州工學院新校區的智慧校園建設的實際情況，研究提出解決高校校園網安全的一些策略方案，希望能為其他高校的智慧校園建設提供借鑒.