張宏熙

摘要：5G時(shí)代，光接入網(wǎng)會(huì)逐步承載5G應(yīng)用，并向固移融合（FMC）的方向不斷演進(jìn)。在這種應(yīng)用場景下，光接入網(wǎng)的安全將面臨更多的威脅和挑戰(zhàn)。無源光纖網(wǎng)絡(luò)（PON）在演進(jìn)到下一代PON2（NGPON2）的過程中，安全能力也逐步加強(qiáng)。5G網(wǎng)絡(luò)面向垂直行業(yè)的安全應(yīng)用使得光接入網(wǎng)面臨著切片化的變革。光接入網(wǎng)必將融入到5G網(wǎng)絡(luò)中，和5G網(wǎng)絡(luò)一起為用戶構(gòu)建端到端的安全防護(hù)網(wǎng)。

關(guān)鍵詞：光接入網(wǎng);無源光網(wǎng)絡(luò);安全;5G技術(shù)

Abstract： In the 5G era， optical access network will gradually carry 5G applications and evolve to fixed-mobile convergence （FMC）. The security of the optical access network will face more threats and challenges. In the process of the evolution from passive optical fiber network （PON） to the next generation PON2 （NGPON2）， the security of PON is also gradually strengthened. At the same time， the security requirements of 5G network for vertical industry make the optical access network face the revolution of slicing. It is considered that optical access network will be integrated into 5G network， which can build the end-to-end security protection network.

Key words： optical access network; passive optical network; security; 5G technology

1 5G時(shí)代光接入網(wǎng)的發(fā)展

趨勢

光纖接入網(wǎng)絡(luò)經(jīng)過十幾年的高速發(fā)展，經(jīng)歷了光進(jìn)銅退、光纖到小區(qū)，目前已經(jīng)進(jìn)入光纖到戶的階段。隨著高清視頻業(yè)務(wù)的不斷興起，以及移動(dòng)網(wǎng)絡(luò)從4G往5G的成熟演進(jìn)，光接入網(wǎng)必將逐步承載大視頻以及5G相關(guān)的業(yè)務(wù)，并伴隨著虛擬化、云化的變革，朝著固移融合（FMC）（具體如圖1所示）的方向發(fā)展。

因此，5G光接入網(wǎng)在承載傳統(tǒng)接入業(yè)務(wù)的基礎(chǔ)上，還將承載著更多的大視頻業(yè)務(wù)以及移動(dòng)業(yè)務(wù)，包括5G前傳及中傳業(yè)務(wù)。4 K/8 K高清視頻業(yè)務(wù)的發(fā)展，對用戶帶寬的提升提出新的需求，目前光接入網(wǎng)的帶寬從100 M、1 G逐步過渡到10 G。因此，光纖接入（FTTX）技術(shù)從1 G 無源光纖網(wǎng)絡(luò)（PON）演進(jìn)到10 G PON，并向下一代（NG）PON演進(jìn)。在高帶寬提升的同時(shí)，5G移動(dòng)前傳或中傳的承載，對光接入段的時(shí)鐘精度要求在20 ns以下，時(shí)延要求500 μs以下。波分技術(shù)更適合傳遞低時(shí)延的業(yè)務(wù)，國際電信聯(lián)盟電信標(biāo)準(zhǔn)化部門（ITU-T）G.989已經(jīng)對NGPON2技術(shù)定義出了標(biāo)準(zhǔn)規(guī)范。另外，IEEE 1588技術(shù)會(huì)更多地應(yīng)用在光接入的相關(guān)領(lǐng)域，并從IEEE 1588V2升級到IEEE 1588V3，以更好地保證時(shí)鐘及時(shí)間的高質(zhì)量傳遞。

FMC要求網(wǎng)絡(luò)提供者給不同服務(wù)等級（QoS）的業(yè)務(wù)或不同運(yùn)營商的業(yè)務(wù)提供一個(gè)共享的接入平臺(tái)，或者說在承載5G網(wǎng)絡(luò)后，5G時(shí)代各垂直行業(yè)多樣化的業(yè)務(wù)需求會(huì)間接反映到光接入網(wǎng)絡(luò)上面。網(wǎng)絡(luò)切片正是滿足這類需求的重要技術(shù)，目前已經(jīng)在各大運(yùn)營商中開始部署。

視頻業(yè)務(wù)的發(fā)展對網(wǎng)絡(luò)帶寬的優(yōu)化提出了新的需求，通過光線路終端（OLT）的內(nèi)置刀片部署邊緣內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）節(jié)點(diǎn)是一個(gè)有效的解決方案。該方案可以降低視頻業(yè)務(wù)的時(shí)延，增強(qiáng)邊緣處理能力，讓OLT成為邊緣云計(jì)算平臺(tái)的節(jié)點(diǎn)。同時(shí)，基于網(wǎng)絡(luò)扁平化和虛擬化的要求，將寬帶網(wǎng)絡(luò)網(wǎng)關(guān)（BNG）下移以和OLT的轉(zhuǎn)發(fā)面融合，同時(shí)控制面上移云端，電信網(wǎng)絡(luò)軟件定義網(wǎng)絡(luò)（SDN）/網(wǎng)絡(luò)功能虛擬化（NFV）化給業(yè)務(wù)的快速部署帶來優(yōu)勢。

中興通訊的大容量光接入平臺(tái)（TITAN）支持未來NGPON2的大帶寬接入，也支持5G前傳和中傳;內(nèi)置刀片技術(shù)支持邊緣計(jì)算處理能力，也支持切片技術(shù)、SDN/NFV的虛擬化演進(jìn)。

2 5G時(shí)代光接入網(wǎng)的安全

挑戰(zhàn)

5G網(wǎng)絡(luò)對于增強(qiáng)移動(dòng)寬帶（eMBB）、海量機(jī)器類通信（mMTC）、高可靠低時(shí)延（uRLLC）這3大應(yīng)用場景和相關(guān)安全要求都有明確規(guī)劃。5G網(wǎng)絡(luò)是一個(gè)大容量的網(wǎng)絡(luò)，在承載5G后，光接入網(wǎng)的光網(wǎng)絡(luò)單元（ONU）從光纖到戶（FTTH）的一個(gè)用戶或少量用戶轉(zhuǎn)變?yōu)?G和FTTH融合的FMC接入，尤其是5G網(wǎng)絡(luò)支持廣連接、高覆蓋的物聯(lián)網(wǎng)接入，容量的提升要求其安全性也要上一個(gè)臺(tái)階。另外，5G是一個(gè)開放的網(wǎng)絡(luò)，海量的設(shè)備會(huì)暴露在更靠近用戶的區(qū)域，更易被黑客控制或攻擊。一旦遭到安全攻擊，影響面會(huì)非常大。如何避免受到網(wǎng)絡(luò)攻擊，如何避免敏感信息不被泄露，如何保證設(shè)備的可用性不受影響，如何在受到安全攻擊的情況下又如何把損失降低到最小，都是需要我們持續(xù)研究的課題。本文中，我們將重點(diǎn)探討5G安全挑戰(zhàn)下的PON網(wǎng)絡(luò)安全技術(shù)。

5G網(wǎng)絡(luò)的承載，必然讓光接入網(wǎng)絡(luò)的架構(gòu)產(chǎn)生重大變革。邊緣節(jié)點(diǎn)的下沉，對接入網(wǎng)絡(luò)的安全級別要求提高，原有針對核心網(wǎng)絡(luò)的攻擊模型需要引入接入層;為了支持切片功能，軟件架構(gòu)會(huì)進(jìn)行重構(gòu)，以便支持切片的快速部署、差異化服務(wù)及可剪裁等特性;為了提高通信系統(tǒng)的靈活性、可擴(kuò)展性，提升業(yè)務(wù)的部署速度，還會(huì)考慮引入信息技術(shù)（IT）。

對于5G安全架構(gòu)，NFV/SDN化和微服務(wù)化是其發(fā)展的必然趨勢。5G安全架構(gòu)會(huì)面臨新的挑戰(zhàn)，其安全功能也會(huì)和其他的功能一樣在新架構(gòu)里靈活地進(jìn)行編排和部署。虛擬化、云化相關(guān)的云安全聯(lián)盟已經(jīng)在這方面進(jìn)行了深入研究。本文中，我們會(huì)基于切片技術(shù)引入的光接入網(wǎng)架構(gòu)變化做探討。

3 光接入網(wǎng)的安全架構(gòu)

參照ITU-T X.805的標(biāo)準(zhǔn)建議，我們對光接入網(wǎng)的安全架構(gòu)進(jìn)行分析。ITU-T X.805建議的安全架構(gòu)分為3層（應(yīng)用安全層、業(yè)務(wù)安全層、基礎(chǔ)設(shè)施安全層）、3面（端用戶平面、控制平面、管理平面）。針對3層3面的資產(chǎn)，我們定義了8個(gè)安全維度（接入控制、認(rèn)證、不可否認(rèn)、數(shù)據(jù)保密性、數(shù)據(jù)完整性、通信安全、可用性、隱私性）、5類安全威脅（摧毀、破壞、移除、泄露、中斷）。

圖2是光接入網(wǎng)絡(luò)的安全架構(gòu)，包括基礎(chǔ)設(shè)施層的3個(gè)平面（用戶面、管理面、控制面）相關(guān)的安全模型。其中，光接入網(wǎng)絡(luò)主要涉及基礎(chǔ)設(shè)施層，少量位于服務(wù)層。文章中，我們重點(diǎn)探討基礎(chǔ)設(shè)施層的安全。

（1）用戶面。主要涉及PON層的通信安全、PON業(yè)務(wù)可用性安全、端到端業(yè)務(wù)可用性安全、時(shí)鐘可用性安全、切片安全等。

（2）控制面。主要涉及PON ONU接入安全以及用戶接入控制安全等。

（3）管理面。主要涉及管理通道安全、用戶隱私安全，以及固件安全等。

對于各層的安全，我們分別做如下考慮：針對PON層通信安全，主要考慮應(yīng)用PON層加密技術(shù);針對PON ONU接入安全，主要考慮應(yīng)用PON接入認(rèn)證技術(shù);針對PON接入業(yè)務(wù)可用性安全，主要考慮應(yīng)用PON保護(hù)技術(shù);針對端到端業(yè)務(wù)可用性安全，主要考慮分布式的防拒絕服務(wù)（DoS）攻擊技術(shù);針對時(shí)鐘同步安全，主要考慮時(shí)鐘和時(shí)間傳遞的保護(hù)和備份技術(shù);針對切片安全，主要考慮切片隔離和權(quán)限控制技術(shù);針對用戶隱私安全，主要考慮數(shù)據(jù)保護(hù)技術(shù)和脫敏技術(shù);針對固件安全，主要考慮數(shù)字證書技術(shù)。

4 關(guān)鍵安全技術(shù)

4.1 PON網(wǎng)絡(luò)通信安全技術(shù)

通過建模分析，我們可以發(fā)現(xiàn)PON網(wǎng)絡(luò)的通信安全主要存在以下威脅：

（1）在PON系統(tǒng)中，下行數(shù)據(jù)向PON上所有ONU進(jìn)行廣播。如果有惡意用戶對ONU進(jìn)行更換或重新編程，那他就能夠分析出所有用戶的所有下行數(shù)據(jù)。這是PON安全系統(tǒng)會(huì)遇到的“竊聽”威脅。

（2）上行數(shù)據(jù)可以來源于接入特定ODN的所有ONU。如果有惡意用戶對ONU進(jìn)行更換或重新編程，那他就可以通過偽造報(bào)文的方式來仿冒其他的ONU。

（3）攻擊者還可以在基礎(chǔ)設(shè)施上的不同點(diǎn)連接惡意設(shè)備（例如通過篡改街道機(jī)柜、備用端口或光纖電纜），以攔截或產(chǎn)生流量。根據(jù)不同位置，設(shè)備可以模仿OLT的行為，或可以模仿ONU的行為。

當(dāng)然，點(diǎn)對點(diǎn)（PtP）模式的波分復(fù)用（WDM）-PON相對于傳統(tǒng)的PON網(wǎng)絡(luò)或時(shí)分波分復(fù)用（TWDM）-PON網(wǎng)絡(luò)，安全威脅要弱一些，因?yàn)檫@種模式下不同用戶通過波長進(jìn)行了隔離。其主要的威脅來源于惡意破壞物理設(shè)備以模仿OLT或ONU設(shè)備的行為，或由于陣列波導(dǎo)光柵復(fù)用器（AWG）的性能問題或惡意干擾導(dǎo)致的不同波長間的串?dāng)_。對于物理設(shè)備的惡意破壞，則需要加強(qiáng)其管理，提升AWG的抗干擾性能，并且強(qiáng)化ONU的認(rèn)證機(jī)制。

針對加密技術(shù)，吉比特?zé)o源光網(wǎng)絡(luò)（GPON）可采用ITU-T G.984.3建議的高級加密標(biāo)準(zhǔn)（AES）技術(shù)，它以16字節(jié)（128 bit）為單位進(jìn)行操作，可以使用128，192或256 bit的秘鑰。AES加密采用計(jì)數(shù)器（CTR）模式，計(jì)數(shù)器寬度為46 bit，由16 bit的幀內(nèi)計(jì)數(shù)器和30 bit的幀間計(jì)數(shù)器組合而成。46 bit的計(jì)數(shù)器復(fù)制3次后保留并使用最低的128 bit，按照AES算法生成密碼進(jìn)行數(shù)據(jù)加密。加密秘鑰則由ONU產(chǎn)生，并定期和OLT進(jìn)行交互，OLT收到秘鑰后，和ONU同步進(jìn)行切換。這些交互的具體過程借助PON物理層的維護(hù)管理（PLOAM）通道來完成。

ITU-T G.984.3僅要求下行的加密，而ITU-T G.984.3以后的標(biāo)準(zhǔn)（XGPON開始，包括ITU-T G.987、ITU-T G.9807[4]和ITU-T G.989[5]等）則要求了雙向加密。雙向加密中，這64 bit是由14 bit的幀內(nèi)計(jì)數(shù)器和51 bit的幀間計(jì)數(shù)器的低50位組合而成（如圖3所示）。另外，秘鑰交互過程也更復(fù)雜，由OLT發(fā)起的多次交互來完成。秘鑰交互和切換通過PLOAM通道完成。另外，ITU-T G.984僅規(guī)范了下行單播數(shù)據(jù)的加密，而ITU-T G.987以后的標(biāo)準(zhǔn)則規(guī)范了上下行的單播，以及下行組播通道的加密。下行組播通道的加密秘鑰由OLT生成，并通過光網(wǎng)絡(luò)單元管理控制接口（OMCI）通道傳遞給ONU。

在管理通道完整性安全方面，ITU-T G.984.3僅要求PLOAM通道和OMCI通道采用循環(huán)冗余查核（CRC）校驗(yàn)，而ITU-T G.987以后的標(biāo)準(zhǔn)則要求這2個(gè)通道采用基于AES加密方式的消息認(rèn)證碼（AES-CMAC）的方式進(jìn)行加密。

其他方面的加密技術(shù)，還包括ITU-T G.983.1定義的攪動(dòng)（Churning）算法、中國電信在基于以太網(wǎng)的無源光網(wǎng)絡(luò)（EPON）技術(shù)規(guī)范中要求的三重?cái)噭?dòng)技術(shù)等。PON系統(tǒng)采用CTR模式的AES加密技術(shù)，相當(dāng)于一次一密，安全性相對比較高，其薄弱環(huán)節(jié)在于秘鑰（圖3中的秘鑰）從ONU到OLT的傳遞過程。從ITU-TG.987開始，各個(gè)標(biāo)準(zhǔn)均對秘鑰的加密傳送進(jìn)行了規(guī)范，并要求采用電子密碼本模式（ECB）的AES方法，但是其使用的秘鑰是加密秘鑰（KEK），存在一定的安全風(fēng)險(xiǎn)。在不考慮PON 互通性的前提下，采用非對稱的加密方式進(jìn)行秘鑰管理將能夠較大程度地提升安全性。

針對PtP類型的WDM-PON系統(tǒng)，加密技術(shù)沒有在標(biāo)準(zhǔn)里被定義。針對移動(dòng)前傳和中傳，尤其是僅針對接口進(jìn)行透傳處理的場景，加密可主要依靠基站和分布單元（DU）/集中單元（CU）間的數(shù)據(jù)進(jìn)行，如MACSec技術(shù)等。

在接入認(rèn)證方面，ITU-T G.984定義了ONU序列號(hào)和密碼2種認(rèn)證方式。序列號(hào)或密碼通過ONU經(jīng)由PLOAM通道上報(bào)，OLT會(huì)將其和預(yù)設(shè)置的序列號(hào)或密碼進(jìn)行關(guān)聯(lián)判斷。ITU-T G.987以后的標(biāo)準(zhǔn)定義了基于Register ID的認(rèn)證方式，可以經(jīng)由OMCI通道進(jìn)行雙向認(rèn)證，也可以通過IEEE 802.1X進(jìn)行雙向認(rèn)證。

未來的PON網(wǎng)絡(luò)認(rèn)證技術(shù)，應(yīng)在已有標(biāo)準(zhǔn)化的認(rèn)證技術(shù)基礎(chǔ)上，增加對ONU的為許可證（license）控制、數(shù)字證書校驗(yàn)等新技術(shù)，即在OLT上增加對ONU的許可控制，限制PON口下接入的終端型號(hào)，以及對應(yīng)型號(hào)的接入數(shù)量。此外，如果在OLT上增加數(shù)字證書認(rèn)證技術(shù)，針對ONU的固件進(jìn)行基于數(shù)字證書的認(rèn)證，可以最大程度地防止對ONU固件的篡改。可行的一種方式是在ONU上線的過程中對OLT和ONU上存放的數(shù)字證書進(jìn)行比較。對于不一致的情況，則不允許上線。

4.2 PON網(wǎng)絡(luò)流氓ONU防護(hù)技術(shù)

在PON網(wǎng)絡(luò)里，存在這樣一種威脅：由于某個(gè)ONU工作異常或攻擊者通過ONU進(jìn)行更換或重新編程，不依據(jù)OLT下發(fā)的授權(quán)時(shí)隙發(fā)送上行數(shù)據(jù)，或不依據(jù)OLT分配的邏輯通道ID發(fā)送上行數(shù)據(jù)。這樣會(huì)影響到其他ONU的正常工作。由于上行時(shí)隙的重疊或邏輯通道的沖突，會(huì)導(dǎo)致其他ONU產(chǎn)生誤碼甚至業(yè)務(wù)中斷，引起可用性問題。

我們可以從3個(gè)方面來應(yīng)對該威脅：

（1）檢測。

針對連續(xù)長發(fā)光型的流氓ONU，可以通過PON口的告警來識(shí)別。出現(xiàn)這種情況時(shí)，PON口會(huì)出現(xiàn)嚴(yán)重的誤碼，甚至上行突發(fā)丟失、出現(xiàn)信號(hào)丟失告警或ONU掉線告警。更嚴(yán)格的識(shí)別方法包括定期在非授權(quán)時(shí)隙進(jìn)行檢測，看能否發(fā)現(xiàn)從ONU送上來的連續(xù)光信號(hào)。

針對瞬間長發(fā)光型的流氓ONU，也可以通過PON口的告警來識(shí)別。出現(xiàn)這種情況時(shí)，PON口會(huì)出現(xiàn)誤碼，某些ONU的窗口漂移告警、上行突發(fā)丟失及ONU的掉線告警（一般是和流氓ONU相鄰的ONU）。更嚴(yán)格的識(shí)別方法具體包括定期在非授權(quán)時(shí)隙進(jìn)行檢測，看是否有可能檢測到非授權(quán)時(shí)隙瞬間發(fā)光。

針對邏輯通道非法搶占的情況，一般體現(xiàn)為某些邏輯通道業(yè)務(wù)異?；蚋婢?，辨識(shí)上會(huì)更困難一些。

（2）定位。

針對連續(xù)長發(fā)光型的流氓ONU，可以通過OLT對ONU順序下發(fā)關(guān)光的指令或順序物理斷開ONU的方式。如果某個(gè)ONU關(guān)光后，長發(fā)光異常消失，則流氓ONU得到定位;如果某個(gè)ONU開電前后系統(tǒng)由正常進(jìn)入異常狀態(tài)，則流氓ONU也可得到定位。

針對瞬間長發(fā)光型的流氓ONU，可以通過檢查動(dòng)態(tài)帶寬分配（DBA）列表中出現(xiàn)告警的ONU位置統(tǒng)計(jì)信息，得到流氓ONU及受影響ONU清單;通過和連續(xù)長發(fā)光型的流氓ONU類似的方式，進(jìn)行該清單中ONU的關(guān)光或物理斷開的方式，最終定位出流氓ONU。

針對邏輯通道非法搶占的情況，可以通過檢測ONU上線時(shí)間，結(jié)合邏輯通道相關(guān)業(yè)務(wù)異常的時(shí)間，對非法強(qiáng)占邏輯通道的流氓ONU進(jìn)行初步定位，并依次得到流氓ONU及受影響ONU清單，再通過類似連續(xù)長發(fā)光型的流氓ONU類似的方式，進(jìn)行該清單中ONU的關(guān)光或物理斷開，最終定位出流氓ONU。

（3）隔離或防護(hù)。

針對定位出的流氓ONU，可以遠(yuǎn)程發(fā)送下線指令，或采用人工關(guān)電來進(jìn)行隔離。對于非法搶占邏輯通道的流氓ONU，也可以采用邏輯通道編號(hào)和ONU認(rèn)證信息綁定的方式進(jìn)行防護(hù)。上行的非法邏輯通道的業(yè)務(wù)無法匹配綁定清單中的條目，OLT會(huì)對該業(yè)務(wù)進(jìn)行忽略。

以上的方法適用于普通的PON網(wǎng)絡(luò)和NGPON2的網(wǎng)絡(luò)。針對多波長的場景，在每個(gè)可能的波長中都需要進(jìn)行檢測和防護(hù)。但是，從某種意義上說，以上的方法僅能防范部分的流氓ONU，對于非常惡意的光層的干擾，還需要做進(jìn)一步的研究。

4.3 PON保護(hù)技術(shù)

PON網(wǎng)絡(luò)在應(yīng)用時(shí)，一個(gè)比較嚴(yán)重的可用性風(fēng)險(xiǎn)是光路的故障，包括PON接口或OLT節(jié)點(diǎn)的故障。為應(yīng)對這方面的可用性風(fēng)險(xiǎn)，做到失效時(shí)安全，PON網(wǎng)絡(luò)標(biāo)準(zhǔn)定義了4類保護(hù)方式：Type A、Type B、TypeC、TypeD，最常用的是TypeB保護(hù)。以上保護(hù)類型，針對OLT上的PON口，需要進(jìn)行冗余設(shè)計(jì)。一般主備端口位于不同的板卡或不同的OLT節(jié)點(diǎn)。針對5G接入，考慮到接入用戶量比較大，之后將會(huì)越來越多地應(yīng)用跨OLT的保護(hù)方案，而且由于基站距離短、密度大，所以更多使用TypeB保護(hù)，即主要保護(hù)主干光纖和OLT節(jié)點(diǎn)。針對AWG設(shè)備，則主要是依賴于物理方面的安全保護(hù)。圖4為典型的Type B類型的PON的保護(hù)方案（定義在ITU-T G.989中）。

和普通PON類似，NGPON2可以實(shí)現(xiàn)同一波長對之間的保護(hù)，即在這種情況下，不管是單波長的ONU或多波長的ONU都可以達(dá)到保護(hù)的效果。這主要是通過檢測某個(gè)特定波長的光信號(hào)的告警來實(shí)現(xiàn)的。對于多波長的ONU，如果各波長之間是負(fù)荷分擔(dān)的，則可以定義多個(gè)波長組合成的一個(gè)邏輯鏈路，那么Type B則實(shí)現(xiàn)的是多波長的邏輯鏈路組間的保護(hù)。這種情況下可以定義為僅有一個(gè)波長出現(xiàn)故障即實(shí)現(xiàn)保護(hù)，或者只有所有的波長都出現(xiàn)故障了再進(jìn)行業(yè)務(wù)保護(hù)。不論是TWDM PON還是PtP WDM PON，保護(hù)的流程都是類似的。ONU也可以采用不同的波長分別連接主備OLT端口。特別是在跨OLT保護(hù)的場景中，實(shí)現(xiàn)起來較為方便，可以減少OLT節(jié)點(diǎn)間的協(xié)議交互。當(dāng)然，ONU可以采用波長調(diào)諧方式實(shí)現(xiàn)在主備波長之間的切換，這在ONU支持可調(diào)諧或無色的情況下是非常適用的。

4.4 時(shí)鐘安全技術(shù)

5G前傳和中傳的承載，依賴于時(shí)鐘傳遞和IEEE 1588時(shí)間傳遞技術(shù)。時(shí)間或時(shí)鐘方面的信號(hào)劣化或中斷，對基站的工作是致命的。

在時(shí)鐘傳遞方面，OLT需要支持多種或多路時(shí)鐘源，包括外部大樓綜合定時(shí)供給設(shè)備（BITS）時(shí)鐘、同步以太網(wǎng)時(shí)鐘源、全球定位系統(tǒng)（GPS）時(shí)鐘源、IEEE 1588時(shí)鐘源等。在運(yùn)營過程中，根據(jù)時(shí)鐘源定義的優(yōu)先級，需要優(yōu)選出質(zhì)量最好、優(yōu)先級最高的時(shí)鐘源。在主用時(shí)鐘信號(hào)發(fā)生質(zhì)量劣化或出現(xiàn)丟失告警時(shí)，可以馬上切換到下一優(yōu)先級的時(shí)鐘。如果系統(tǒng)可以同時(shí)同步2路以上的時(shí)鐘源，則可以使備選時(shí)鐘質(zhì)量得到較好的保證，同時(shí)切換過程可以做到基本無損。PON光線路的時(shí)鐘需同步于OLT的系統(tǒng)時(shí)鐘源，可保證時(shí)鐘信號(hào)在PON鏈路上的有效傳遞。對于PtP類型的WDM-PON網(wǎng)絡(luò)，則只要OLT和ONU間特定的一個(gè)波長進(jìn)行同步以太網(wǎng)信息的傳遞即可。

在時(shí)間傳遞方面，OLT上也需支持多種或多路時(shí)間同步信號(hào)源，包括GPS時(shí)間、1秒脈沖（PPS）+日期時(shí)間（TOD）信號(hào)、1588協(xié)議端口等。精確時(shí)鐘協(xié)議（PTP）模塊進(jìn)行時(shí)間信號(hào)的同步及時(shí)間源的優(yōu)選。在運(yùn)營過程中，根據(jù)時(shí)間源定義的優(yōu)先級，優(yōu)選質(zhì)量最好、優(yōu)先級最高的時(shí)間源。在主用時(shí)間信號(hào)發(fā)生質(zhì)量劣化或者出現(xiàn)丟失告警的時(shí)候，可以馬上切換到下一優(yōu)先級的時(shí)間源。如果系統(tǒng)可以同時(shí)同步2路以上的時(shí)間源，則可以使備選時(shí)鐘質(zhì)量得到較好的保證，同時(shí)切換過程可以做到基本無損。時(shí)間信息在PON鏈路上的傳遞，主要依靠超幀信息作為基準(zhǔn)，而且靠OMCI信令進(jìn)行定期校準(zhǔn)。對于PtP類型的WDM-PON網(wǎng)絡(luò)，則只要OLT和ONU間特定的一個(gè)波長進(jìn)行IEEE 1588協(xié)議的傳遞即可。

針對時(shí)鐘的鎖相環(huán)以及時(shí)間的PTP模塊，系統(tǒng)需要考慮冗余備份，以便在發(fā)現(xiàn)故障的情況下可以自動(dòng)切換到備用的模塊。主備模塊可以位于專用的時(shí)鐘板卡上，也可以位于業(yè)務(wù)控制板上。如果位于業(yè)務(wù)控制板上，應(yīng)結(jié)合業(yè)務(wù)板卡的運(yùn)行情況綜合進(jìn)行板卡切換。不同的模塊間應(yīng)考慮主備時(shí)鐘及時(shí)間信號(hào)的跟蹤機(jī)制，以確保在主模塊故障后可以做到無損切換。

4.5 切片安全技術(shù)

光接入網(wǎng)絡(luò)目前已經(jīng)引入切片技術(shù)，但是主要應(yīng)用在OLT側(cè)，以面向不同的運(yùn)營商共享同一物理設(shè)備的方式為主，主要有基于板卡、基于PON口、基于ONU等方式劃分切片的應(yīng)用。引入5G承載后，場景會(huì)有革命性的變化。以垂直行業(yè)應(yīng)用為基礎(chǔ)將會(huì)是切片劃分的主要場景。因此，切片將會(huì)是從基站到核心網(wǎng)絡(luò)的端到端的隔離，即切片經(jīng)由光接入網(wǎng)時(shí)，ONU會(huì)按照業(yè)務(wù)切分，在OLT上，將會(huì)在PON口內(nèi)部按照不同的業(yè)務(wù)顆粒度進(jìn)行切分。這種場景下，切片間的安全攻擊、切片內(nèi)業(yè)務(wù)可用性威脅都要基于光接入網(wǎng)絡(luò)的特性來應(yīng)對。

為了達(dá)到切片隔離的效果，首先需要保證切片內(nèi)的業(yè)務(wù)調(diào)度。僅靠邏輯的隔離是不夠的，需要在QoS層面對業(yè)務(wù)進(jìn)行保證。不同的切片應(yīng)用在轉(zhuǎn)發(fā)面上不同的QoS單元中，例如PON接入層面，需要給不同的切片業(yè)務(wù)分配不同的邏輯通道，以對業(yè)務(wù)進(jìn)行專門控制。在上行方向，需要能基于Tcont或Tcont組進(jìn)行切片劃分，不同的Tcont或Tcont組需要能保證QoS的調(diào)度等級，以達(dá)到某個(gè)切片被攻擊但不會(huì)擴(kuò)散到其他切片的效果。當(dāng)然，對于PtP的WDMPON的場景，隔離就相對容易一些，可以采用不同波長或波長組為單位進(jìn)行切片劃分。

另外，在管理層面，切片的安全功能需要納入端到端切片的場景中進(jìn)行統(tǒng)一編排，從基礎(chǔ)設(shè)施層、業(yè)務(wù)層到應(yīng)用層都需要做到隔離。因此，管理面上的用戶接入及業(yè)務(wù)控制是非常重要的。對于切片間的互相訪問要進(jìn)行嚴(yán)格地鑒權(quán)，禁止非法的跨切片互訪。特別地，為防止跨切片的攻擊，如果涉及不同的切片采用相同的虛擬網(wǎng)絡(luò)的場景，應(yīng)該在切片間配置防火墻進(jìn)行隔離。

4.6 端到端業(yè)務(wù)可用性安全技術(shù)

端到端的業(yè)務(wù)安全是依據(jù)縱深防御的安全原則進(jìn)行部署的。從PON接入層到切片層，再到用戶業(yè)務(wù)管道，都需要進(jìn)行部署。在防DoS攻擊技術(shù)上，可以從接入節(jié)點(diǎn)到ONU、OLT再到核心網(wǎng)絡(luò)建立起端到端追蹤監(jiān)測系統(tǒng)。通過各個(gè)設(shè)備的聯(lián)動(dòng)，在某個(gè)節(jié)點(diǎn)發(fā)現(xiàn)疑似Dos攻擊的情況下，可以快速定位到攻擊源頭。同時(shí)，這也體現(xiàn)了一個(gè)分布式的網(wǎng)絡(luò)防御架構(gòu)，在接入網(wǎng)絡(luò)復(fù)雜的情況下，可以在更靠近攻擊源頭的地方及早發(fā)現(xiàn)并遏制。完備的入侵檢測系統(tǒng)（IDS）正是構(gòu)筑在這樣的分布式系統(tǒng)基礎(chǔ)上的。

4.7 CDN下沉相關(guān)安全技術(shù)

在可用性安全方面，需要考慮CDN設(shè)備和其他模塊的隔離。在這方面，防火墻技術(shù)、防Dos攻擊技術(shù)是非常重要的技術(shù)。來自于合法用戶的仿冒核心網(wǎng)設(shè)備的攻擊會(huì)是識(shí)別的難點(diǎn)，因此防火墻技術(shù)需要防止來自用戶側(cè)的攻擊，也需要防止來自網(wǎng)絡(luò)側(cè)的攻擊。根據(jù)CDN設(shè)備歸屬的業(yè)務(wù)，將CDN設(shè)備劃入對應(yīng)的切片也是必須的措施。另外，數(shù)據(jù)安全也非常重要，必須識(shí)別關(guān)鍵的隱私數(shù)據(jù)，并對該數(shù)據(jù)部署加密的存儲(chǔ)和傳輸，以及分析使用方面的脫敏等措施。

5 結(jié)束語

光接入網(wǎng)絡(luò)安全技術(shù)的部署對5G時(shí)代的光接入網(wǎng)的應(yīng)用能起到一定的防護(hù)作用。當(dāng)然，隨著5G技術(shù)的發(fā)展和應(yīng)用的深入，相關(guān)的安全繼續(xù)也需要不斷演進(jìn)。光接入網(wǎng)必將融入到5G網(wǎng)絡(luò)中，和5G網(wǎng)絡(luò)一起，為用戶構(gòu)建端到端的安全防護(hù)網(wǎng)。

參考文獻(xiàn)

[1] ITU-T. Gigabit-Capable Passive Optical Networks （GPON）： Transmission Convergence Layer Specification： ITU-T G.984.3[S]. 2009

[2] ITU-T. 10-Gigabit-Capable Passive Optical Networks （XG-PON）： Transmission Convergence （TC） Layer Specification： ITU-T G.987.3[S]. 2009

[3] ITU-T. 10-Gigabit-capable symmetric passive optical network （XGS-PON）： ITU-T G.9807.1[S]. 2016

[4] ITU-T. 40-Gigabit-Capable Passive Optical Networks （NG-PON2）： Transmission Convergence Layer Specification： ITU-T G.989.3[S]. 2015

[5] ITU- T. Security Architecture for Systems Providing End-to-End Communications： ITU-T X.805 [S]. 2003

[6] National Institute of Standards and Technology Framework for Improving Critical Infrastructure Cybersecurity Version 1.1 Draft 2[R/OL].[2019-05-25]. https：//aisel.aisnet.org/amcis2017/TREOs/Presentations/51/

[7] 任建勇. 光接入網(wǎng)的安全技術(shù)研究[J]. 信息網(wǎng)絡(luò)安全， 2009，（10）： 61. DOI：10.3969/j.issn.1671-1122.2009.10.022

[8] 張位. 光接入網(wǎng)絡(luò)的安全性及其增強(qiáng)技術(shù)研究[D]. 成都： 電子科技大學(xué)， 2017

[9] 喬婧， 潘武， 楊靜. 全光網(wǎng)絡(luò)的安全及防范分析[J]. 光通信技術(shù)， 2008， 32（3）： 10. DOI：10.3969/j.issn.1002-5561.2008.03.003