（电磁场与微波技术专业论文）无源光网络安全机制的设计与实现.pdf

摘要 无源光纤接入网( p o n ) 技术是专门为了适应接入网的应用而发展起来的一 项光网络技术，网络中共享光纤传输介质，整个网络的费用较低。是接入网研究 的热点。然而，正是p o n 的这种体系结构决定了它自身存在的缺陷。p o n 的下行 广播似的拓扑结构与星形的点到点的光纤连接相比，没有保密性。这个保密性应 通过加密得以保证。关键点是明确p o n 可能泄密的方式。 本论文分析了造成p o n 没有安全性的原因和可能被攻击的方式，利用现有的 网络加密技术( 如链路加密、节点加密、端到端加密等) ，对p o n 存在的安全问 题相应的提出了解决方案。针对p o n 下行方向数据被非法获取的情况，详细设计 了解决方案一搅动方案。该方案是基于r r u t 建议的一种安全措施。这是一种基 本的加密方式。论文对该方案进行了详尽的说明，对其可行性进行了研究。分析 了安全机制模块在整个系统中的位置以及安全模块与系统中其他模块之间的关 系。在x i l i n x 的i s e 平台上用v hl 语言实现了安全机制模块，并完成了与系 统相关模块( 如成帧解帧模块) 的联调工作。 最后，本论文对该完成的系统可能存在的问题和现有的加密手段进行分析， 提出了包含快速o a m 命令的交换密钥协议的改进方案。对进一步的安全措施，提 出了建立端到端加密、建立虚拟专用网等解决方法。希望对系统的改进有所帮助。 关键字接入网，p o n ，a p o n ，e p o n ，安全性能，搅动，解搅动 a b s t r a c t p o ni sa no p t i c a lt e c h n o l o g yd e v e l o p e dt oa d a p tt ot h en e e do fa c c e s sn e t w o r k i n p o n s y s t e m ，d u e t ot h es h a r e dt r a n s m i s s i o nm e d i a ，t h ee x p e n s eo ft h i so p t i c a ln e t w o r k c a nb es h a r p l yc u td o w n t h a n k st ot h i s ，p o ni sb e c o m i n ga st h eh i g h l i g h to fa c c e s s n e t w o r k s h o w e v e r , j u s tb e c a u s eo f t h i ss t r u c t i o n ，p o nh a si t sd i s a d v a n t a g e p o n st r e e t o p o l o g ym a k e s i tm o r ei n s e c u r et h a no t h e rs y s t e m sb a s e do np o i n t - t o - p o i n ts t m c t i o n 。 t h i si n s e c u r i t yc a nb cd e c r e a s e db y e n c r y p t i o n t h em a i np o i n ti st h a tw es h o u l dt h e w a y o fa t t a c k t h i s p a p e ra n a l y z e s t h er e a s o n so fi n s e c u r i t ya n dt h e w a y s o fa t t a c ki n p o n a r m e dw i t ht h en e t w o r ks e c u r i t yt e c h n o l o g ys u c ha sl i n ke n c r y p t i o n ，p o i n tt o p o i n te x c r y p t i o na n dt e r m i n a lt ot e r m i n a le n c r y p t i o n , t h ep a p e ro f f e r ss o m es o l u t i o n s t od e a lw i t ht h ep r o b l e mt h a tm a l i c i o u su s e r sc a nc o l l e c tt h ed o w n s t r e a md a t a ，w e m a i n l yc o n s i d e rt h es e c u r i t yo fa nl t u ts t a n d a r d f o ra t m - b a s e dp a s s i v eo p t i c a l n e t w o r k s t h a ti s c h u r n i n g ，av e r ye a s yw a yo fe n c r y p t i o n w ea l s or e s e a r c hf o ri t s f e a s i b i l i t y a l s o ，w e d i s c u s sh o wc h u r n i n gw o r k si np o ns y s t e ma n d c h u m i n g s i n t e r f a c ew i t ho t h e rr e l a t e dp a r t s f u r t h e r m o r e ，w er e a l i z ei tu s i n gv h d lo nx i l i n x s i s ei n t e r f a c e t h i sp a p e rd i s c u s s e se x i s t i n gp r o b l e m si nt h es y s t e ma n dt h ep r o b a b l ew a yo f e n c r y p t i o n t oi m p r o v et h es y s t e m , t h ep a p e ro f f e r sas o l u t i o nb y e x p l o i t i n g t h ec o n c e p t o ff a s to a mc o m m a n d s t os o l v et h e s e e x i s t i n gp r o b l e m s ，t h ep a p e ro f f e r s s o m e p r o b a b l es o l u t i o n ss u c ha st e r m i n a lt ot e r m i n a le n c r y p t i o na n dv p n t h e ya r eh o p e dt o a i ma tt h ed e v e l o p m e n to f t h e s y s t e m k e yw o r d s ：a c c e s s n e t w o r k ，p o n ，a p o n ，e p o n ，s e c u r i t yp r o p e r t y , c h u r n i n g ，d e c h u r n i n g 2 一 1 上j 一 日雷 随着信息化的进一步发展，新业务需求的迅速出现，接入网开始成为人们关 注的焦点。这一巨大的潜在市场不仅吸引了各种不同背景的网络和业务的提供者， 也促使产生了各种各样五花八门的新技术。如非对称数字用户线( a d s l ) 、混合 光纤同轴网( h f c ) 、a t m 无源光网络( a p o n ) 、本地多点分布业务系统( l m d s ) 和以太网( e t h e m e t ) 接入等。然而，在众多技术之中，无源光网络( p o n ) 因其 在带宽、维护、升级及标准化方面的优势而显得一枝独秀，被业界认为是未来光 纤到户( f t t h ) 的最佳选择和接入网的发展方向。 无源光纤接入网( p o n ) 技术是专门为了适应接入网的应用而发展起来的一 项光网络技术。在p o n 中，下行业务采用时分复用( t d m ) 以广播方式传送给 o n u ；上行采用时分复用接入( t d m a ) 方式把用户业务接入到o l t 。一个o l t 最多可以带6 4 个o n u 。这样，多个o n u 共享同一段光纤，无疑大大的降低了费 用，成为p o n 的亮点。但是，正是p o n 的这种体系结构决定了它自身存在的缺 陷【2 】1 3 】。p o n 的下行的广播似的拓扑结构与星形的点到点的光纤连接相比，没有保 密性。这个保密性应通过加密得以保证1 3 1 。【1 4 】。本论文参考的大多数文献都是讨论 p o n 的存在的安全问题以及可能的解决方案。其关键点是明确p o n 可能泄密的方 式并确定在哪一层上引入需要的安全机制。如果p o n 的安全问题能够得到解决， 这无疑大大的增加了p o n 的可行性，使p o n 成为最佳的接入方案。 这篇论文的主要目的是在对p o n 系统较为了解的基础上，对p o n 的安全问 题如上行方向上的篡改数据，下行方向上非法获取数据等问题作深入的研究，提 出的解决方案。 论文选题建立在福建省科委重点项目“结合a p o n 和a d s l 的宽带光纤接入 设备”的基础之上。论文从实际需求出发，分析了p o n 的特点和现状。具体研究 了p o n 的安全机制的实现，结合上述项目的实际开发成果和经验，提出了一种简 单实用的实现p o n 安全的方法，并给出了具体的实现方案。在此基础上， 分 析了安全方案存在的缺陷并给出了可能的解决方案。 全文分为4 章： 第一章“接入网概况及主要的接入技术”，简要论述了接入网的基本知以及接 入网宽带化技术，说明了接入网发展的重要性。 第二章“无源光网络( p o n ) 技术”。从p o n 的基本工作原理入手，详细论 述了b p o n 的功能体系结构。对p o n 系统中的两个重要组成部分一a p o n 和e p o n 的性能特点，关键技术进行了详细说明。对两种技术的性能优缺点进行了比较。 第三章“无源光网络安全机制的设计与实现”，分析了现有的运用于网络安全 的基本方法。详细分析了p o n 系统中存在的安全问题，相应的提出了解决p o n 系统安全问题的方案一搅动方案。具体说明了搅动方案的设计与实现。 第四章“问题与总结”说明目前实现的p o n 安全方案的潜在问题及解决思 路。 2 第一章接入网概况及主要的接入技术 1 1 接入网的发展概况 在通常情况下，电信网可以分成三部分，即核心网、接入网和用户驻地网， 如图1 一l 所示。过去几年问，网络的核心网部分，无论是交换，还是传输都已更新 了好几代。不久，网络的这一部分将成为全数字化的、由软件主宰和控制的、高 度集成和智能化的网络。而另一方面，现存的接入网仍然是被双绞线铜缆主宰的 ( 9 0 以上) 原始落后的模拟系统。两者在技本上的巨大反差说明接入网已确实成 为制约全网进一步发展的瓶颈。同时，随着口业务的爆炸式增长和多媒体业务的 日益丰富，使得用户驻地网的业务需求也不只局限于原来的话音业务，数据和多 媒体业务的需求已经成为不可阻挡的趋势。市场的需求促使了接入网技术的发展。 目前出现了一系列解决这一瓶颈问题的技术手段，诸如双绞线上的x d s l 系统、同 轴电缆上的h f c 系统、无源光网络技术和宽带无线接入系统等。 甩户鼹终接口业务节点接日业务节点接口甩户碍络接“ 图1 - 1 电信网的组成示意围 1 2 接入网的基本概念 接入网是电信网的组成部分，负责将电信业务透明传送到用户，也就是说用 户通过接入网的传输，能灵活的接入到不同的电信业务节点上。具体而言，接入 网即为本地交换机与用户之间的连接部分，通常包括用户线传输系统、复用设备、 交叉连接设备或用户网络终端设备。而实际提供业务的实体就是业务节点。 国际电信联盟( i t u t ) 于1 9 9 5 年7 月通过了关于接入网框架结构方面的新 建议g 9 0 2 ，其中对接入网的定义如下； 1 接入网由业务节点接口( s n i ) 和用户网络接口( u n l ) 之间的一系列传送实 体组成，为供给电信业务而提供所需传送承载能力的实施系统，可经由管理接口 ( q 3 ) 配置和管理。由此可见，接入网是通过s n i 、u n i 和q 3 接口来界定的。另 外，接入网不解释信令。 1 2 1 接入网的界定 接入网出其接口界定。用户终端通过用户网络接口( u n i ) 连接到接入网，接 入网通过业务节点接口( s n i ) 连接到业务节点( s n ) ，通过q 3 接口连接到电信 管理网( t m n ) 。 图1 2 是接入网与其它网络实体之间由u n i 、s n i 和q 3 接口连接的示意图。 图1 - 2 接入网的界定 l 、用户网络接口( u n i ) u n i 位于接入网的用户侧。支持目前提供的接入类型和业务。分为单个u n i 和共享u n i ，共享u n i 是指一个u n ! 可以支持多个业务节点，每个逻辑接入通过 不同的s n i 连向不同的业务节点( s n ) 。u n i 主要包括各种类型的p s t n 的用户网 络接口和i s d n 的用户网络接口。 2 、业务节点接口( s n d s n i 接口位于接入网的业务侧，对不同的用户业务，要提供相对应的业务节点 接口，使其能与交换机相连。s n i 主要有两种：一是对交换机的模拟接口( z 接口) ， 对应u n i 的模拟2 线音频接口；另一是数字接口( v 5 ) ，对应u n i 的数据接口。 3 、管理接口( q 3 ) 接入网通过q 3 接口与t m n 相连来实现t i n 对接入网的管理，从而提供用 户所需的接入类型及承载能力。 2 1 2 2 接入网的功能结构 与接口相对应，接入网分成五个基本的功能组：用户端口功能( u p f ) 、业务 端口功能( s p f ) 、核心功能( c f ) 、传送功能( t f ) 和系统管理功能( s m f ) 。图 1 3 是接入网功能结构及功能组之间的相互连接示意图。 车q 3 l 用户承载和用户信令信息 一控制和管理 图1 - 3 接入网的功能结构图 1 、用户端口功能( u p f ) 用户端口功能将特定的u n i 要求适配到核心功能和系统管理功能。接入网支 持不同的接入及需要特定功能的用户网络接口。 2 、业务端口功能( s p f ) 业务端口功能将对特定s n i 规定的要求适配到公共承载体，以便于在核心功 能中处理，并选择相关的信息用于接入网的系统管理功能处理。 3 、核心功能( c f ) 核心功能位于u 】) f 和s p f 之间，将单个用户端口承载体要求或业务端口承载 体要求适配到公共承载体。包括依据所要求的协议适配和用于在接入网内传送的 复用要求进行协议承载处理。核心功能分布于整个接入网内。 4 、传送功能( t f ) 传送功能在接入网内的不同位置之间为公共承载体的传送提供通道，并对所 用的相关传输媒质进行媒质适配。 3 5 、接入网系统管理功能( a n 。s m f ) 接入网的系统管理功能协调接入网中的u p f 、s p f 、c f 和t f 间的指配、操作 和管理。还负责协调用户终端( 经u n i ) 和业务节点( 经s n i ) 的操作功能。 1 2 3 接入网的通用协议分层模型 接入网中的功能结构是基于r r u - t g 8 0 3 建议中定义的分层方法。 利用分层模型可将传送网划分为：接入承载处理功能层( a f ) 、电路层( c l ) 、 通道层( t p ) 、传输媒质层( 1 m ) 。其中t m 又分为传输段层和物理媒质层。其每 一层与相邻层之间都是服务者与顾主的关系。 1 电路层( c l ) 图1 - 4 接入网协议参考模型示例 电路层是关于在电路层接入点( a p ) 之间进行信息传送的功能层，它独立于 传输通道层。电路层为用户提供诸如电路交换业务、分组交换业务和租用线业务 等电信业务。根据提供的业务来识别不同的电路层。 2 通道层( t p ) 通道层是关于在传输通道层a p 之间进行信息传送的功能层，用以支持一个或 多个电路层。通道层独立于传输媒质层。 3 传输段层( s l ) 传输段层是关于在段层a p 之间进行信息传送的功能层，用以支持一个或多个 4 通道层。 4 物理媒质层( m l ) 物理媒质层是关于实际媒质的功能层。以支持传输段层网络。 1 3 主要的宽带接入技术 如何经济、高效地构建满足用户需要的接入网络更是成为竞争的焦点。各类 住处产业公司纷纷提出了各种接入网络构建形式，以期在日趋激烈的竞争中占据 一席之地。可以将主要的技术选择归纳为以下几种： 1 纯光纤接入网 纯光纤接入网指光纤直接连接到用户，中间没有其他传输媒质的应用场合。 也可划分为光纤到办公室( f t l d ) 、光纤到家( f 1 丌h ) 。 光纤是目前传输带宽最大的介质，在主干网中已大量采用光纤。如果将光纤 应用到用户环路中，就能满足将来各种宽带业务的需要。可以说，光纤接入是宽 带接入的发展方向和最终解决方案。但是，由于光纤价格昂贵，目前要完全抛弃 现有的用户网络而全部重新铺设光纤，对于大多数国家和地区来说都是不经济、 不现实的。 2 混合光纤，双绞线铜缆网 这种混合方案结合应用铜缆和光纤，发挥各自特长，是目前最有希望的接入 网技术方案之一。在提供新用户线方面，其经济性已经可以与纯双绞线铜缆相比。 传统的电话运营公司在修复一定规模的铜缆接入网时会越来越多地采用这种方 案，而新的竞争者则也很可能采用这种方案来提供新的用户线。光纤到路边( f t t c ) 和光纤到远端( f 1 v r r ) 都属于这种方案，交换式数字图像( s d v ) 业务也是以这 种方案为基础的。特别是由f t t c 与v d s l 相结合的方案提供了一种现实经济的 宽带接入手段。可以认为混合光纤，双绞线铜缆网是铜缆网向未来的纯光纤接入网 过度的理想方案之一。 3 混合光纤，同轴电缆网( h f ) 同轴也是一种带宽较大的传输介质，目前的有线电视网( c a t v ) 就是一种混 5 合光纤同轴网络，主干部分利用光纤，用同轴经分支器接入各家各户。h f c 这种 混合方案是由c a t v 网演变而来，是一种新型的接入网技术。h f c 采用f 交幅度 调s t j ( q a m ) 、残留边带调制( v s b ) v a 及正交相位键控( q p s k ) 等技术，可以在较窄的 频带内传送较多的数字视频节目，不仅能提供窄带电话业务，也能提供宽带图形 业务，其经济性较好，尤其是在交互式图像业务的普及率不太高时很有吸引力。 混合光纤同轴( h f c ) 接入技术的一大优点是可以利用现有的c a t v 网，从而降 低网络成本。但由于原有的有线电视只提供广播类业务，所以许多有线电视网络 是单向网络，使得这种技术的双向通信受到限制，且由于h f c 采用基础技术是模 拟频分复用技术，使得这种技术的模拟特征明显。 4 纯双绞线铜缆接入网 铜线接入以现有的电话线为传输媒介，利用各种先进的调制技术和数字信号 处理技术来提高铜线的传输效率和距离。但是铜线的传输带宽毕竟有限，铜线方 式的传输速率和传输距离一直是一队难以调和的矛盾，从长远的观点看，铜线接 入方式很难适应宽带业务发展的需要。目前的经济比较结果表明，对于较短或较 少的用户线需求，双绞线铜缆仍然是最经济的。新的铜缆用户线技术( h d s l 、a d s l 和v d s l 等) 的出现和应用也在一定程度上延缓了双绞线铜缆网的技术寿命。 5 无线接入网 无线接入是指从公用电信网的交换节点到用户驻地网或用户终端之间的全部 或部分传输设施，采用无线手段的接入技术。无线接入网又称为无线本地环路 ( w l l ) ，是指利用无线技术为固定用户或移动用户提供电信业务，因此无线接入 可分为固定无线接入和移动无线接入。采用无线技术有微波、卫星等。无线接入 的优点有：初期投资小，能迅速提供业务，不需要铺设线路，因而可以省去铺线 的大量费用和时间；灵活，可随时按需进行变更、扩容，抗灾性强。无线接入也 有许多缺点，如性能不如有线接入方式，质量不稳定，受环境影响大，目前还难 以提供宽带接入。 虽然光接入网在短期内经济性欠佳，但由于其无可比拟的带宽容量及安全性 使其成为长远的发展方向和最终的接入网解决方案。 接入网中采用光接入网的主要目的如下：减少维护管理费用和故障率；配合 6 本地网络结构的调整，减少节点，扩大覆盖；充分利用光纤化所带来的一系列好 处；建设透明的光网络，迎接多媒体时代。 7 第二章无源光网络( p o n ) 技术 2 1 无源光网络( p o n ) 技术 2 1 1 p o n 的系统构成 i t u t 建议g 9 8 2 提出了一个与业务和应用无关的无源光网络功能参考配置 如图2 1 所示。 图2 - 1p o n 的功能参考配置 光线路终端( o l t ) 位于接入网的局端。它可以位于局内本地交换机的接口处， 也可以是野外的远端模块与远端集中器或复用器接口。它为光接入网提供网络侧 与本地交换机之间的接口，并经过一个或多个光分配网络( o d n ) 与用户侧的光 网络单元( o n u ) 通信。o l t 分离交换与非交换业务，管理来自o n u 的信令和 监控信息，为o n u 和本身提供维护和指配功能。 光配线网( o d n ) 为o l t 和o n u 之间的光传输手段，其主要功能是完成光 信号和光功率的分配任务，o d n 一般为树形或环形结构。 光网络单元( o n u ) 为光接入网提供直接的或远端的用户侧接口，位于o d n 的用户侧。o n u 终结来自o d n 的光纤，处理光信号并为若干用户提供业务接口。 o n u 完成网络侧光接口和用户侧电接口之间的光电和电，光转换功能，以及对语 音信号的数漠和模擞转换、信令处理、复用以及维护管理功能。o n u 可以设置 在用户住宅处，也可以设置在户外的分线箱，按照其位置不同，o a n 被划分为三 种不同的基本应用类型：光纤到户( f t t h ) 、光纤到楼宇( f t t b ) 、和光纤到路 8 边( f t t c ) 。 适配功能( a f ) 为用户和o n u 提供适配功能，它可以包含在o n u 内，也可 以是独立的( 提供最后的引入线上的传输功能) 。 2 1 2o l t 的功能结构 o l t 提供与o d n 之间的光接口，应至少提供一个o a n 网络侧的网络接口。 o l t 提供送到o n u 所需的各种业务的手段，其功能框图见图2 - 2 。它主要由三部 分组成，分别为核心层、业务层和公共层。 判中间设备其后到接口 圈2 - 2 0 l t 功能块框图 o l t 核心层包括数字交叉连接功能、传输复用功能和o d n 接口功能。传输复 用功能提供在o d n 上发送或接收业务通道所要求的功能：数字交叉连接功能为 o l t 的o d n 侧的可用带宽与o l t 网络侧的可用带宽提供交叉连接能力；o d n 接 口功能提供一组物理光接口功能，终结相应的o d n 的一组光纤，它包括光电和 电光转换。 o l t 业务层包含业务端口功能。业务端口至少传一个i s d n 基群速率，并能 配置成一种业务或者能同时支持两种或多种不同的业务。该层还应该能提供手段 以处理通过o l t 的信令信息。 o l t 公共层包括供电和o a m 功能。供电功能将外部电源转换为所要求的机 内电压：o a m 对o l t 的所有功能块，提供处理操作、管理和维护的手段，它也 9 擎 岷圈核圈 墨 提供o a m 接口功能。 2 1 3o n u 功能结构 o n u 提供与o d n 之间的光接口，实现o a n 用户侧的接口功能。它提供传递 系统处理的各种不同业务所需要的手段。图2 3 是o n u 的功能框图。与o l t 相同， 它也是由三部分组成：核心层、业务层和公共层。 业务 核心层 层 用户端圈圈圈 口功能 公共层 巫霸 巫亟口 图2 - 3 0 n u 功能块框图 o n u 核心层包括：用户和业务复用功能、传输复用功能和o d n 接口功能。 传输复用功能提供在o d n 接口来的和到o d n 接口的输入、输出信号的鉴别和分 配所要求的功能提取和输入与这个o n u 有关的信息用户和业务复用功能，对 来自或发送给不同用户的信息进行组装和拆卸与各种不同的业务接口功能相连。 o d n 接口功能提供一组物理光接口功能，终结相应组的光纤，它包括光电和电， 光转换。 o n u 业务部分主要提供用户端口功能。用户端口功能提供用户业务接口，并 且将其适配到各种标准速率( 如：6 4 k b i v s 或n x 6 4 k b i t s 等) 。该功能可以提供给单 个用户或一群用户。也能按照物理接口来提供信令变换功能。 o n u 公共部分包括供电和o a m 功能。供电功能将外部电源转换为所要求的 机内电压；o a m 对o n u 的所有功能块，提供处理操作、管理和维护的手段。 1 0 2 1 。4o d n 功髓结梅 o d n 必o n u 帮o l t 鹩镶疆迤搂捱供毙铃羧豢溪。 0 d n 遽嗣瀚璎横爱缝秘翅露2 碡掰零： 麓2 - 4 0 d n 涟嬲籀璎壤辑 强孛懿r s 隽参鸯杰，礅表示o n u 与o d n 潜盼潞接疆，o l 表承o l t 稷o d n 瓣懿爱搂瓣，o m 表拳o d n 毒溅试窝薹薹裰凌鍪阕熬毙按器。o d n 兹主要光耱性麴 下： 先波长透鹅性，帮不其礴波长选择璃能，鼹支持传送1 3 1 0 r i m 秘t 5 5 0 n m 波投 嚣海任波长瓣镶弩；麓抉健，霹o d n 懿辘入羁辕掇搿嚣挨矮，辩逶避器佟戆党 袭耗不会产生鼹警麴燹毒艺；必野兼容性，帮瑟鸯豹毙器转鄂糍靼g 。6 5 2 光绎藏容。 2 2 a r m 与p o n 越繁套渡p o n 2 2 1a p o n 酶优点 a p o n 逶避在p o n 中警 入a t m 菝术，蜜蕊p o n 鹅赛繁纯匏过渡。枣予a p o n 漾承了a t m 羧零特点 基手嚣离连搂；采鲻囊路畿蠢统计襄蘑技零，麸嚣保诞了羰磐嚣鐾黧怼璃 络资源的动感剩用。 短小的净荷 盎度，谯躐少越时帮越对辩龋鹃戮辩尊，瓣辩了转埝遮磷，更邋 念予话蠹、瀚撩等辩簿麓交德育严褥要求静蝗务。 减少了信头功能，a t m 的硬件设施得到简化，处理速度大大捉商。 差错控制功能移到了高层，提高了网络的运行效率，简化了控制协议。 所以，a p o n 具有如下优点： 宽带化并支持所有种类和各种速率的业务，包括全部已有的业务和各种新 的业务。 能够全面动态的分配带宽。 简单安全有效的网络运行和管理。 支持业务的复用解复用。 2 2 2a p o n 网络分层结构 、 依照g 9 8 2 协议，光网络参考模型可以分成物理媒质层、传输汇聚层( t c ) 和通道层该通道层对应于a t m 层的虚通道v p 。 1 a p o n 的物理媒质相关层 根据g 9 8 3 协议，a p o n 包括对称的1 5 5 5 2 1 v l b i t s 标称线速率的p o n 系统和 非对称的上下行速率为1 5 5 5 2 m b i t s 和6 2 2 0 8 m b i t s 的p o n 系统。 该层包括采用的传输媒质，双向传输的复用技术，上下行线路码，工作波长 范围。此外物理媒质相关层还描述了光接口处的发射机特性和接收机特性，以及 光接口之间的光通道特性。 2 a p o n 的传输汇聚层 根据g 9 8 3 协议，a p o n 的传输汇聚层( t c ) 生成物理媒质的关联信息，并 且为物理层产生协议信息。它的功能包括差错控制，信元产生和验证，信元率重 组、传输帧产生和恢复、安全性控制、带宽分配以及测距等。 传输汇聚层管理通过多个o n u 对上行p o n 资源的分布式访问，它是关键协 议要素，直接影响最终a t m 的服务质量。 1 2 2 2 3a p o n 的关键技术 1 测距 a p o n 采用点对多点的通信方式。在上行方向上，各o n u 发送给o l t 的a t m 信元来自不同的路径，为了避免与o l t 距离不同的o n u 所发的上行信号在o l t 处发生冲突，o l t 需要进行测距。测距可以分成静态测距和动态测距，其中静态 测距仅在添加新的o n u 到p o n 中时或正常的o n u 重启动时进行。而动态测距则 是在正常的信元传输中一直不断的进行，主要是为了克服由于器件老化，温度变 化等因素引起的时延变化。 通过测距精确测出各o n u 与o l t 之间的逻辑距离。之后，对各o n u 加入不 同的调整时延t d 使信元在所有o n u 与o l t 之间的往返时间一样。 在测距过程开始时，如有必要，首先要用二叉树检索算法检索未知o n u 的序 列号( s n ) ，并给它们分配标识号( p o n d ) 和相应授权代码。要对某个o n u 进 行测距，o l t 在发一个该o n u 的p l o a m 授权之前和之后必须发足够的未分配授 权信息( 即“开窗”) ，以保证该o n u 的响应信元到达o l t 时能被无碰撞接收， o l t 在若干次正确接收到该0 1 、u 的响应信元，且它们的往返时间相差不大时， o l t 便根据这些响应信元的到达时间计算出该o n t o 的调整时延t d ，并通知该 o n u 。 2 上行突发同步 o l t 在接收上行突发数据流时，必须用突发块中的开头几个比特迅速建立比 特同步，这就是突发同步。传统的同步方法同步速度非常慢，一般在毫秒量级。 而a p o n 是高速传输系统，必须在8 比特内( 约0 0 5 u s ) 实现同步，因此必须想 别的办法。主要的办法有门控振荡法和相关同步法。 门控振荡法使用3 个振荡器，一个主振，两个从振。主振控制从振，从振由 上升沿触发。产生与输入频率一致的方波。一次只有一个从振在工作，振荡器随 信号变化而开启或关闭，从而和输入信号达到同步。振荡器输出频率和输入信号 频率一致时，即使信号有长的连0 或连1 也可以保持同步。为了使两个从振达到 一致，采用自动调谐的方式，引入一个主振，连续运转，并用锁相环使它与外部 1 3 固定参考频率保持一致。频率控制信号由两个从振共享，从而使输出始终达到理 想。这种无记忆系统有一个非常重要的特性，那就是在门控振荡器关闭时任何由 于振荡频率或传输速率不匹配而积累的相位错误都会被屏蔽掉。 由于两个从振必须是一致性很好的l c 振荡器，因此通过分离器件搭电路不太 现实。但可以使用c m o s 集成电路，将设计的电路做成a s i c ，它的性能可靠，适 于大批量生产，但开发成本较高。 如果想知道一个接收信号的某些参数，通常用相关法。在精确知道接收信号 的频率或码速的前提下，让接收的信号和已知的经过延时的信号进行相关运算， 从运算结果可以判定接收信号的相位。在突发模式系统中，需要知道的频率精确 度和突发数据块的长度是密切相关的。因为如果数据块比较短，在不发生滑码的 情况下，就可以允许精确度低一些；如果数据块比较长，精确度就要高一些。在 a p o n 系统中，下行信号是连续的信号流，o n u 通过锁相环同步电路得到时钟， 所以可以精确的知道上行信号的频率。因此，可以应用相关算法来实现上行信号 的频率。因此，可以应用相关算法来实现上行信号的数据恢复和时钟同步，把输 入信号和存储的具有不同相位的信号进行相关，当存储信号和输入信号有最小的 相位差时，相关取得最大值，此时就可以用此时钟进行信号提取。以上两种方法 各有优缺点。门控振荡法原理上简单易行，同步速度快，且接收信号的速度可以 达到很高，但对i c 的工艺水平及开发单位的开发条件要求很高，开发费用也较高： 相关同步法是一种全数字方法，可以用f p g a 器件实现，开发费用较低，而且全 数字的特点可以使它与其他后续数字电路一起写在一个大容量的f p g a 片子内， 从而提高电路板的集成度。就当前国内的工艺水平和开发条件而言，相关同步法 要更实用一些。 3 上行突发光接收 由于距离不同，各o n u 上发的信息到达o l t 时的衰减也不同，因而o l t 采 用的判决门限也应该不同。这需要使用突发模式的光接收机对每个上行突发块快 速建立判决门限值。为此，g 9 8 3 建议在上行信元的3 字节p o n 开销中专门使用 了若干个前导比特，用于建立光功率接收判决门限值。由于开销有限，所以用于 建立判决门限值的比特数目也受到限制，一般不多于4 个比特。由于o l t 处光接 1 4 收模块接收的是突发的高速光信号，所以当一个突发流到达时，光接收模块必须 在极短的时间内建立新的判决门限值。 为了实现这种高速光信号的突发接收，一般使用快速充放电的峰值探测器。 当新的突发块到达时，光接收模块利用突发块中前导比特的幅度信息在有效数据 之前建立判决门限。对于a p o n 系统，由于光信息速率过高，很难在几个比特的 时间内将峰值保持电容充到新的峰值，这受到器件性能的限制，所以，必须在前 导比特数目与期间性能间进行折衷。但是，如果有条件采用a s i c 专用芯片，则器 件的性能限制要宽松得多。 4 带宽动态分配 为了支持不同的q o s 和提高信道的利用率，a p o n 必须具有高效的上行控制 协议和带宽动态分配算法。 共享传输媒质的接入控制协议有三类：固定接入、随机接入和预约接入。固 定接入在连接建立时按连接参数进行带宽分配，在通信过程中带宽固定。随机接 入是在通信过程中各终端以某种策略随机接入，由于接入的随机性，所以容易造 成冲突。预约接入是“先预约，后发送”的一种接入协议。其中的预约信息既可 固定接入也可随机接入。对于a p o n 系统，由于它是基于a t m 的，必须支持不同 的q o s ，而网络的地理覆盖范围又很广，冲突响应时间很长，所以上行不能采用 随机接入。在业务量稳定，可预测的情况下，可采用固定接入方式，它能提供很 好的q o s 。但是，对a p o n 这样的宽带综合接入系统，未来的业务类型和业务量 很难预知，从长远看不宜采用固定接入方式。更合理的做法是采用预约接入方式， 它能提供更高的接入效率。p o n 系统中也可以采用固定与预约相结合的上行接入 控制策略，既对q o s 要求较高的c b r 业务固定接入，对其它业务预约接入，预约 信息可以通过微时隙进行传递。 在确定了上行接入控制策略之后，还必须确定一种适当的带宽动态分配算法， 以便系统能支持不同的o o s 并获得较高的信道利用率。设计一种公平，高效有支 持不同q o s 业务的算法是个有待深入研究的课题。 5 安全机制 p o n 的下行广播式结构造成了p o n 网络的不安全性。为了防止盗名和信息窃 1 5 取，在a p o n 系统中分别使用口令认证和搅动技术。搅动是用g 9 8 3 协议中建议 的一种标准算法对a t m 信元的4 8 个净负荷进行加搅，达到信息的安全性。搅动 的频率是一个值得探讨的问题。另外，还期望引入更理想的方法提高p o n 的安全 性。 2 3 基于以太网的无源光网络技术( e p o n ) e p o n 是利用p o n 的拓扑结构实现以太网的接入。 2 3 1e p o n 的优势 e t h e m e tp o n 的经济学考虑非常简单，光纤是传输数据、视频和语音业务最有 效的媒介，能提供无限的带宽。但是将每个用户与端局之间实现点对点光纤连接， 在光纤的两端安装有源电设备，在端局实现所有光纤连接的管理，其费用巨大， 无法承受。e t h e m e t p o n 克服了点对点的弊端，转而采用点对多点拓扑，不需要诸 如再生器、放大器和激光器等电子器件，减少了端局使用的激光器数量。 点对点光纤技术适用于城域网和长距离应用，e t h e m c t p o n 适用于接入网的特殊要 求。e t h e m e tp o n 比其他接入网技术更为简单，效率高。费用低。e t h c m c tp o n 将 光纤延伸到最后一公里，从而获得高效、高可扩性、低维护费用、端到端的光网。 e t h c m c tp o n 最大的优越性在于允许运营商放弃复杂昂贵的a t m 和s o n e t 器件，从而使网络大为简化。传统的电信网使用多层结构，i p o v e r a t m 、s o n e t 和 w d m 。这种结构的网络要传输m 业务，需要使用a t m 交换机来构成虚链路，使 用分插复用器和数字交叉连接设备管理s o n e t 环和点对点的w d m 光连接。 2 3 2e p o n 的网络结构 e p o n 沿用了g 9 8 3 中定义的a p o n 的结构，如图2 5 所示： 图2 - 5e p o n 的网络结构参考图 e p o n 尽管在结构上与a p o n 类似，但在功能和实现上都与a p o n 有所不同。 因此，其各部分实现的功能也和a p o n 不同。 首先，作为e p o n 的核心，o l t 应实现以下功能： 向o n u 以广播方式发送以太网数据。 发起并控制测距过程，并记录测距信息。 为o n u 分配带宽，即控制o n u 发送数据的起始时间和发送窗口大小。 其它相关的以太网功能。 其次，o d n 由无源光分路器和光纤构成。 最后，o n u 为用户提供e p o n 接入的功能。 选择接收o l t 发送的广播数据。 响应o l t 发出的测距及功率控制命令，并作相应的调整。 对用户的以太网数据进行缓存，并在o l ，t 分配的发送窗口中向上行方向 发送。 其它相关的以太网功能。 2 3 3e p o n 中的关键技术 l 、上行信道复用技术 上行信道的复用技术是e p o n 技术的核心。从目前的研究来看，大多数方案 1 7 都使用了d w d m + t d m a 的复用方法。d w d m 的使用是发展的趋势，但主要取决 于光器件。因此，主要讨论的焦点将是t d m a 的实现方法，即如何使用t d m a 的 方法使上行信道的带宽利用率、时延和时延抖动等指标达到要求。其中，上行带 宽的分配方法、o n u 发送窗口固定还是可变、最大的o n u 发送窗口应为多大、 o n u 发送窗口的间隔、以太网帧是否切割等问题都有待于研究和确定。 2 、测距和时延补偿技术 测距的目的是补偿因为o n u 与o l t 之间的距离不同而引起的传输时延差异， 使所有o n u 和o l t 的逻辑距离相同。由于光纤信道时延较大，各o n u 与o l t 之间的距离不同将会影响到上行信道的复用。如果能准确地调整o n u 的发送时间， 则可以减小o n u 发送窗口的间隔，从而提高上行信道的利用率并减小时延。另外， 测距过程应充分考虑到整个e p o n 的配置情况。如，系统在工作中加入新的o n u ， 此时对此o n u 的测距不应对其它o n u 有太大的影响。 3 、突发信号的快速同步 由于o l t 接收到的信号为突发信号，o l t 必须能在很短的时间( 几个比特) 内 实现相位同步，进而接收数据。这一技术与a p o n 中使用的类似，因此可以借鉴 a p o n 的经验。 此外，下行信道的安全性、q o s 、v l a n 和网管等也是影响e p o n 应用前景的 因数。 4 、加密技术 对于p o n 系统，p o n 在下行以广播方式发送信息，因此每个用户除收到给自 己的信息外，还会同时收到其他用户的信息，如不采取一定的保密措施，这些信 息可能会被一些不怀好意的人所利用或破坏。关于这方面的技术还有待进一步的 研究。 2 4a p o n 和e p o n 的区别和性能比较 e t h e m e tp o n 与a t mp o n 的关键区别在于e t h e r n e tp o n 数据是通过不定长的 数据包传输，e t h e m e tp o n 数据包长度依照i e e e8 0 2 3 以太网协议，最长可达1 5 1 8 1 8 字节，而a t m 协议规定的数据包长度为固定长度5 3 字节，其中4 8 字节信息段， 5 字节信头。定长的a t mp o n 传输p 业务比较困难，效率也低。口数据分段为 不同长度的数据包，最高为6 5 5 3 5 字节。用a t mp o n 传输口业务必须将礤包拆 为4 8 字节的段，在每段前面加上5 字节的信头。这个复杂过程会造成时延，而 o l t 和o n u 也会增加额外的成本。另外，每4 8 字节的数据段就消耗掉5 字节的 信头带宽，而以太网是专为口业务开发的，相对于a t m 来说可以节省巨大的信 头开销。 a p o n 和e p o n 的性能分别由a t m 和e t h e m e t 决定，其性能的优缺点如表2 1 所示： 表1a p o n 和e p o n 性能优缺点比较 优点缺点 a p o no l t 和o u n 可以提供不在用户侧和网络侧，数据 同的q o s 。提供实时业务 是以m 包形式存在的。为 了在p o n 中传播，需要在 一端将口包拆成信元，在 另一端恢复口包。这将增 加复杂性和花费。 e p o n包可以在其中传播；廉 需要q o s 技术以提供实时 价的硬件设备，可升级服务。 1 9 第三章无源光网络安全机制的设计与实现 3 1 网络安全 3 1 1 网络安全措施 为了最大限度的减少网络攻击的频次和影响，在技术上必须满足若干通信安 全目标，目前主要的手段包括： ( 1 ) 必须防止非法泄露传输的消息； ( 2 ) 必须能检测对传输消息的非法窜改或销毁； ( 3 ) 必须