EPON网络安全性交流

EPON网络安全性交流

日期：2012-05-14密级：对内公开目录道路监控组网新需求01道路监控组网方式选择及其安全隐患02EPON网络的安全性传输03EPON组网的其他优势04道路监控接入网络新发展道路监控作为平安工程的重要组成部分，采用合适的接入组网方式需要慎重考虑。1、道路监控接入网络，出于安全因素和传输质量考虑，运营商公网逐渐被抛弃，公安专网、公安内网组网逐渐成为主流；2、随着视频监控数字化、网络化的发展，尤其是高清视频监控在公安视频监控应用中的爆炸式发展，高清IPC、高清编码器在道路监控中逐渐成为主流，IP到路面成为必然；3、传统的道路监控方案：采用视频光端机点对点拉光纤到派出所汇聚后再集中编码的方案是模拟接入方案，无法解决IP到路面的新要求。

道路监控接入网络新发展公安用户道路监控需要一种既经济又安全的IP网络接入方案？？道路监控点位分散，覆盖区域又广，建设经费就这么多，需要采用什么样的网络接入方式才能控制投资呢？？公安视频监控图像安全性要求高，又是采用公安专网建设，怎样才能保证接入网络的安全性，不会给公安专网带来安全隐患。目录道路监控组网新需求01道路监控组网方式选择及其安全隐患02EPON网络的安全性传输03EPON组网的其他优势04道路监控的特点

道路监控监控点之间距离比较大，覆盖范围广，监控点沿道路线性部署，每条道路上监控点密度较高；

道路监控重点监控路段都处于经济繁华地段，工程施工难度大，后期维护成本高，要求接入网络易部署，可靠性好，长期维护成本低；

道路监控对监控画面和实时性要求非常高，要求接入网络提供高带宽，提供QOS保障机制；

要求接入网络安全可靠，杜绝给公安专网带来安全隐患，避免外界对公安专网的非法入侵；传输线缆选择

道路监控点位空间分布特性：

道路监控监控点之间距离比较大，覆盖范围广；选取传输线缆，必须满足长距离传输的要求；

道路监控传输线缆应选择单模光纤，采用光纤接入组网；

线缆类型

有效传输距离网线100米多模光纤500米单模光纤20千米基于网络的业务系统常见的安全威胁非法窃听：应用于物理上连接于同一网段的主机，监视网络状态、数据流以及网络上传输信息的管理工具，它可以将网络接口设置在监听模式，并且可以截获网上传输的信息非授权访问：没有预先经过同意，或者在系统安全策略之外使用网络或者计算机资源。主要有以下几种形式：假冒、身份攻击、非法网络接入、合法用户以未授权方式接入等病毒感染：黑客侵入网络后，把病毒附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来，在网络内传播、复制计算机病毒，感染其他网络中的计算机，难以根除数据窃取与篡改：攻击者的目标就是系统中的重要数据，以非法手段窃得对数据的使用权，删除、修改、插入或者重发某些重要信息，以取得有益于攻击者、或者干扰系统正常运营的行为DOS攻击：通过常规的黑客手段侵入网络后，使用超出被攻击目标处理能力的大量数据包消耗系统可用系统、带宽资源，最后致使网络服务瘫痪的一种攻击手段欺骗攻击：攻击者创造一个易于误解的环境，以诱使受攻击者进入并且做出缺乏安全考虑的决策。常见的欺骗攻击有：WEB钓鱼欺骗、ARP欺骗、IP欺骗等服务器群普通以太网电口传输适用于100米以内的短距离IP监控接入基于明文和地址识别方式的CSMA/CD广播通信机制容易被非法搭线窃听开放的物理接口容易被非法接入，从而让内部用户感染病毒，服务器群面临数据泄漏和DDOS攻击的风险用户接入群网线监控前端接入网络非法接入病毒感染非法窃听数据泄漏视频监控传输网络DDOS攻击高清/标清IPCameraSFP光纤传输服务器群使用光中继器或者夹持耦合器对光纤窃听和非法接入，需要专用的光熔纤设备同样具有非法搭线窃听、非法接入、感染病毒，数据泄漏和DDOS攻击的安全风险网络光端机的安全隐患等同于普通以太网电口接入与SFP光纤传输用户接入群光纤监控前端接入网络非法接入病毒感染非法窃听数据泄漏视频监控传输网络DDOS攻击高清/标清IPCamera监控前端接入数字光端机传输点对点的数字光端机使用位同步与帧同步的串行信号通信机制，总线级联光端机使用CWDM（粗波分复用）不支持加密传输的光端机可以使用光中继器或者夹持耦合器对光纤窃听，破解同步机制后即可实现对数据的窃听点到点加密的数字光端机可以解决窃听风险光纤同轴视频线缆网线非法窃听监控中心标清模拟摄像机光端机光端机监控前端接入HD-SDI传输HD-SDI数字光端机包含有效信息起始位、行数信息、冗余校正码、辅助数据的串行信号通信机制，总线级联光端机使用时分复用技术可以使用光中继器或者夹持耦合器对光纤窃听，破解同步与复用机制后即可实现对数据的窃听标清光端机可以通过加密方式解决窃听问题，HD-SDI光端机受限于芯片性能无法实现光纤同轴视频线缆网线非法窃听监控中心高清模拟摄像机HD-SDI光端机HD-SDI光端机目录道路监控组网新需求01道路监控组网方式选择及其安全隐患02EPON网络的安全性传输03EPON组网的其他优势04EPON系统基本结构EPON的组成结构EPON由三部分组成：包括光线路终端（OLT）、光网络单元（ONU）和无源分光器（POS）。EPON工作原理下行采用TDM方式TDM(TimeDivisionMultiplexing)上行采用TDMA方式TDMA(TimeDivisionMultipleAccess)下行波长为1490nmOLT发送的混合数据通过Splitter到达每个用户的ONU每个ONU只接收发给自己的数据，丢弃其它数据上行波长为1310nm每个ONU在OLT允许的时间段内向OLT发送数据无需冲突检测报文不需要分片EPONONU的非法接入ONU上线前需要先到OLT上注册，携带ONUMAC、ONU硬件型号、以及802.1x认证信息；OLT上预先配置好ONUMAC地址、硬件型号，并绑定端口号；认证信息完全匹配后才允许ONU上线；监控前端以ONU子卡的形式直连EPON网络，ONU子卡与监控设备通过内部总线通信，规避了监控前端通过电口连接ONU存在电口被非法接入的安全隐患ONU注册认真信息校验……..……..……..EPONONU的假冒攻击ONUMAC和硬件型号是芯片固化的，且宿主系统和上层软件无法读取到、更无法写入，黑客无法通过设备串口读取和更改；OLT对ONU的802.1x认证信息在ONU第一次上线后一次性下发到ONU寄存器、长期生效，以后ONU的再上线需要802.1x认证；黑客无法窃听EPONONU的非法窃听ONU与OLT之间启用128位的AES加密或者48位的三重搅动加密（中国电信标准），形成端到端的加密通道各个ONU的密钥不同，10秒更新一次，远远超过破译时间EPONONU之间光路相互隔离ONU和ONU之间的光路经过分光器后是相互隔离的，在光学层面ONU侧无法监听其它ONU的上行报文ONU和ONU之间的通信全部通过OLT控制转发；即使有P2P模式也需要经OLT转发；(缺省情况下P2P模式是禁止的）EPON系统安全性OLT认证ONU：

ONUMAC地址、硬件型号、802.1x认证认证信息固化MAC和硬件型号芯片固化，802.1x相关信息一次性下发到ONU寄存器LLID私密每一个ONU只接收自己LLID的数据，其他数据丢弃不处理点到点数据加密128位的AES加密或者48位的三重搅动加密（中国电信标准），各个ONU的密钥不同，10秒更新一次无法仿冒：ONUMAC和硬件型号是芯片固化的，宿主系统和上层软件无法读取到、更无法写入；802.1x相关信息一次性下发到ONU寄存器、长期生效；无法接入：OLT先设置ONUMAC地址、硬件型号，并绑定端口号，对注册ONU携带的芯片固有MAC、ONU硬件型号认证，以及802.1x认证；无法侦听：每一对ONU与OLT之间启用128位的AES加密或者48位的三重搅动加密（中国电信标准），各个ONU的密钥不同，10秒更新一次安全隔离：给特定ONU的数据帧在物理层上携带ONU对应的LLID信息，ONU收到数据帧后，首先会比较LLID是不是自己的，如果不是，就直接丢弃，数据不会上二层视频监控EPON传输的安全对比优势序号攻击手段ONU子卡ONU＋用户设备以太网传输SFP光纤传输光端机传输HD-SDI传输1替换路边IP终端设备进行攻击或窃听数据(伪装ONU

MAC等)几乎不可能★★★★★★★★★★2在路边设备上多余UNI口接设备进行攻击或窃听数据几乎不可能★★★★★★★★★★3替换路边IP终端设备并在中间串连设备后进行攻击或窃听数据几乎不可能★★★★★★★★★★4在不改动原有接口的情况下在路边设备上已有接口并联旁路信号进行攻击或窃听数据几乎不可能★★★★★★★★★★结论：EPON的ODN(光分配网)其实是一个相对封闭的系统；可以认为OLT和直连的ONU组成了一个设备；EPON就是一个设备内的组件互联网络目录道路监控组网新需求01道路监控组网方式选择及其安全隐患02EPON网络的安全性传输03EPON组网的其他优势04EPON组网的其他优势EPON系统对局端资源占用很少，模块化程度高，EPON作为一种点到多点网络，以一种扇出的结构来节省光纤资源系统初期投入低，扩展容易，建设陈本低；EPON结构在传输途中不需电源，没有电子部件，防雷、抗干扰能力好，并且容易铺设，基本不用维护，长期运营成本和管理成本的节省很大；

提供非常高的带宽。EPON目前可以提供上下行对称的1Gbps的带宽，并且随着以太技术的发展可以升级到10Gbps，保证了高清视频监控的