CC BY
120
Сравнительный анализ методов диагностики пасивных оптических сетей доступа
применительно к задачам обнаружения несанкционированных подключений
Булавкин ИА,
МТУСИ
ВЫБОР ТОГО ИЛИ ИНОГО МЕТОДА ДИАГНОСТИКИ ПАССИВНОЙ ОПТИЧЕСКОЙ СЕТИ ДОСТУПА ОКАЗЫВАЕТ НЕПОРЕДСТВЕННОЕ ВЛИЯНИЕ КАК НА СКОРОСТЬ ПОЛУЧЕНИЯ ОБРАБАТЫВАЕМЫХ ХАРАКТЕРИСТИК, ТАК И НА ТОЧНОСТЬ ОБНАРУЖЕНИЯ НЕСАНКЦИОНИРОВАННЫХ ПОДКЛЮЧЕНИЙ.
Система диагностики состояния волоконно-оптического тракта является ключевым элементом в системе обнаружения несанкционированных воздействий. Быстрое и точное обнаружение отклонений характеристик ВОЛС повышает эффективность системы обнаружения несанкционированных воздействий. Выбор система диагностики зависит от топологии сети, на которой она будет применяться.
Отличительной особенностью сетей PON от магистральных ВОЛС является наличие пассивных оптических разветвителей (ОР), через которые осуществляется передача информационных сигналов от оптического линейного окончания (ОЛО) к оптическому сетевому блоку (ОСБ) и от ОСБ к ОЛО. При построении пассивных оптических сетей доступа могут быть использованы три основные топологии, которые реализуются с помощью оптических разветвителей (ОР), установленных на сети: 1) топология звезда, 2) топология дерево, 3) топология шина. Эти топологии представлены на рис. 1.
Рассмотрим случай, при котором для диагностики состояния ВОЛС используется контрольный оптический сигнал, с помощью которого осуществляется измерение затухания в оптическом волокне. Способ, при котором измеряются характеристики сигнала на стороне приемника, получил название способа диагностики волоконно-оптического тракта с анализом прошедшего сигнала. Существуют два варианта реализации данного способа диагностики: случай,
при котором источник контрольного сигнала расположен на стороне ОЛО, способ, при котором контрольный сигнал передается со стороны ОСБ.
Рассмотрим первый случай, представленный на рис. 2. Контрольный сигнал с X = Xj передается со стороны ОЛО и, пройдя оптические разветвители, достигает каждого из ОСБ, на которых производится измерение мощности и других характеристик контрольного сигнала. На основании получаемых данных можно судить о затухании в оптическом волокне в конкретном направлении и изменении других характеристик. Информация о затухании в i-м направлении поступает из ОСБ на сторону ОЛО в обратном потоке, используя транспортные возможности технологии PON, где сохраняется в базе данных (БД).
Во втором случае, представленном на рис. 3, контрольные сигналы с X = Xj в строго отведенные моменты времени передаются с каждого ОСБ и, пройдя оптические разветвители, попадают в приемное устройство на стороне ОЛО. На стороне ОЛО производится измерение мощности и других характеристик принятых контрольных сигналов от каждого ОСБ. Полученные данные сохраняются в БД.
Первый способ, при котором передатчик контрольного сигнала расположен на стороне ОЛО, обладает следующими преимуществами: 1) более простая реализация, заключающаяся в том, что на стороне ОЛО устанавливается дополнительный источник оптического излучения, а на стороне ОСБ устанавливаются дополнительные фо-
Рис. 3. Передача контрольного сигнала со стороны ОСБ
топриемники, настроенные на длину волны передатчика контрольного. В случае второго способа речь идет о системе TDM, реализация которой более сложна и требует больших затрат; 2) использование одного высокостабильного источника лазерного излучения на стороне ОЛО снижает погрешность получаемых результатов. В случае использования источников оптического излучения на стороне ОСБ повышается вероятность ошибки, вызванная отклонением характеристик передающих устройств на стороне ОСБ от нормы. Здесь же надо учитывать и тот факт, что в случае неправильной работы источника излучения на стороне ОСБ под угрозу может быть поставлена работа системы обнаружения в целом. Один
Рис. 2. Передача контрольного сигнала со стороны ОЛО
из возможных сценариев, когда время передачи контрольного сигнала со стороны ОСБ превышает установленный интервал.
Основной недостаток способа, при котором контрольный сигнал передается со стороны ОЛО, заключается в большем времени, которое требуется для получения данных от ОСБ, так как контрольному сигналу требуется пройти маршрут от ОЛО к ОСБ, что занимает время ^, быть обработанным и вернуться в обратном потоке, на что потребуется время ^.
Другой широко распространенный способ диагностики ВОЛС получил название способ диагностики волоконно-оптического тракта с анализом отраженного сигнала, в котором ключевым блоком является оптический рефлектометр.
В случае использования системы диагностики с анализом отраженного сигнала на маршруте от ОЛО до первого разветвителя рефлектограмма будет мало отличаться от той, которую можно увидеть на сети с топологией точка-точка, что присуще магистральным ВОЛС.
Пройдя первый разветвитель, который на рис. 4 представлен окружностью с номером 1, зондирующий сигнал разделится на п-зондирующих сигналов, один из которых дойдет до следующего разветвителя, который на рис. 4 соответствует окружности с номером 2, и далее все зондирующие сигналы достигнут соответствующих оптических сетевых блоков: ОСБ_1, ОСБ_2, ОСБ...П. п-зондирующих сигналов отразятся на входе каждого сетевого блока ОСБ1 и, пройдя обратный маршрут, попадут в систе-
T-Comm #3-2008 21
0СБ1
Аз он д
Рис. 4. Метод диагностики с анализом отраженного сигнала в сети с оптическими разветвителями
му диагностики на стороне ОЛО через интервалы времени, связанные с расстоянием от ОЛО до ОСБ/.
При этом могут возникнуть следующего рода трудности: система не будет давать достоверных результатов в случае, когда расстояния от первого разветвителя до двух или более ОСБ, будут одинаковы или примерно равны. Другим недостатком этого метода анализа является время, которое требуется для того, чтобы получить несколько рефлек-тограмм, в результате которой получается итоговая рефлектограмма. Это приводит к появлению интервалов времени в которые ВОЛС не обеспечена защитой. В случае сложных топологий, таких как шина или дерево, эффективность и надежность рассматриваемого способа диагностики ухудшается. Это связано с тем, что злоумышленник может осуществить несанкционированное подКлючение на расстоянии /.подкл10чения =
= L0Л0_0CБ_¡, что не позволит обнаружить место несанкционированного подключения.
Рассмотренные трудности можно преодолеть путем установки на стороне каждого ОСБ системы мониторинга, использующей оптический рефлектометр. Данный вариант представляется мало пригодным по причине высокой стоимости самого рефлектометра, что резко отразиться на стоимости системы обнаружения несанкционированных подключений в целом.
В случае использование системы диа-
гностики ВОЛС с анализом характеристик прошедшего сигнала будет наблюдаться следующая картина. Контрольный сигнал со стороны ОЛО достигает первого оптического разветвителя, который на рисунке 4 представлен окружностью с номером 1. Далее контрольный сигнал проходит следующие оптические разветвители, достигая сетевых блоков ОСБ, в которых в наиболее простом случае через интервалы времени Дf проводится измерение уровня мощности принятого сигнала. В этом случае отсутствует проблема расстояния между оптическим разветвителем и сетевым блоком, так как анализу подвержен не отраженный, а прошедший сигнал. Каждый сетевой блок ОСБ в масштабе всей сети доступа имеет свой уникальной идентификатор, и оптическим линейным окончанием однозначно идентифицируется ОСБ, от которого в момент времени f была получена контрольная информация.
Таким образом, в сравнении с методом анализа характеристик отраженного сигнала отсутствует проблема времени, в течение которого один или несколько маршрутов прохождения оптического сигнала находится в незащищенном состоянии, так как на стороне ОЛО и каждого ОСБ можно установить минимальное время, через которое будет осуществляться передача и регистрироваться значение мощности контрольного сигнала. Способ, при котором анализиру-
ются характеристики прошедшего контрольного сигнала, применим на всех топологиях, его характеристики не ухудшаются при более сложных топологиях сетей по причине того, что маршрут следования анализируемых сигналов совпадает с маршрутами информационных сигналов. Недостатком способа с анализом прошедшего контрольного сигнала является отсутствие информации о координате места, в котором произошло отклонение характеристик. Другой недостаток этого способа заключается в том, что без применения дополнительных средств невозможно однозначно определить причину, вызвавшую ухудшение той или иной исследуемых характеристик.
В случае использования метода с анализом отраженного сигнала имеется возможность локализовать место и сделать предположение о причине, вызвавшей рост затухания. Для этого может быть использовано сравнение текущей рефлектограммы с эталонной, а также другие способы.
Компромиссным представляется решение, при котором на стороне ОЛО используются сразу два способа диагностики состояния ВОЛС. Большую часть времени работает система диагностики с анализом прошедшего сигнала, в этот период времени метод диагностики ВОЛС с анализом отраженного сигнала остается незадейство-ванный. Такая схема обеспечивает непрерывный контроль характеристик на всех участках ВОЛС. В том случае, если в одном из направлений возникают отклонения от нормы, система диагностики задействует оптический рефлектометр, с помощью которого получается детализированная картина распределения затухания по всей длине ВОЛС. На ее основании и на основании ранее полученных данных выносится заключение о характере и причине того или иного изменения.
Литература
1. Алексеев Е.Б., Устинов СА Технологии оптических сетей доступа. Тенденции развития в мире и России // Технологии и средства связи: Отраслевой каталог, 2005.
2. Булавкин И.А. Вопросы информационной безопасности сетей PON // Технологии и средства связи, 2006. — №2. — C. 104 —108.
3 M. Medard, D. Marquis and S.R. Chinn, Attack détection methods for all-optical networks, in: 1998 Network and Distributed System Security Symposium, sponsored by the Internet Society, session 3, p.1.
