光網路安全技術(TPSec),全稱為基於三元對等架構的光網路安全,是國際領先的網路安全基礎技術研發機構西電捷通公司研發的光網路安全技術,旨在解決無源光網路面臨的仿冒、偽裝、欺詐和侵入網路等安全風險,提供雙向的實體鑑別服務以及保密通信服務。
基本介紹
- 中文名:光網路安全
- 外文名:TePA-based PON Security
- 外文縮寫:TPSec
發展趨勢,系統組成,技術原理,基於證書鑑別,單播密鑰協商,組播密鑰分發,組播密鑰更新,網路套用,
發展趨勢
近年來,隨著技術的成熟,光纖通信以其寬頻寬、大容量、高速率等優勢一躍成為現代通信網路的重要支柱。全球90%以上的信息通信都由光網路承載,光網路已成為社會不可或缺的、重要的戰略基礎設施。但是,光網路在改善網路性能的同時,也給網路的安全帶來新的隱患,現已有越來越多的成熟技術和產品可對光網路進行攻擊、從光纖線路中截獲信息。西電捷通公司於2010年推出的光網路安全技術——TPSec,旨在解決無源光網路因覆蓋範圍廣,部署環境難以監控而造成的仿冒、偽裝、欺詐和侵入網路等安全風險,提供雙向的實體鑑別服務以及保密通信服務。
系統組成
TPSec系統包括三個實體部分:
系統組成
OUN:放在用戶駐地側,EPON中的ONU主要採用乙太網協定;在中頻寬和高頻寬的ONU中實現了成本低廉的乙太網第二層交換甚至是第三層路由功能。這種類型的ONU可以通過堆疊來為多個最終用戶提供很高的共享頻寬;ONU通過OLT訪問服務;
OLT:局端設備,放在中心機房,L2交換機或者L3路由器;通過鏈路另一端的鑑別伺服器對連線到鏈路對端的ONU進行鑑別,也可通過該鑑別伺服器完成ONU對其的鑑別。OLT為OUN提供服務連線埠,該連線埠可以是物理連線埠也可以是邏輯連線埠。
鑑別伺服器AS(Authentication Server):為OUN和OLT提供鑑別服務,是二者所信任的第三方實體。
其中ONU實體和OLT實體都稱為鑑別子系統。
技術原理
基於證書鑑別
基於證書的鑑別過程如圖1所示,接入鑑別確認分組可選,且如果是OLT先發起的,則鑑別過程沒有鑑別請求分組。
圖1
單播密鑰協商
使用基於證書的鑑別過程得到的BK或者是利用預共享密鑰導出BK完成單播會話密鑰的協商,建立USKSA。單播密鑰協商過程如圖2所示。
圖2
組播密鑰分發
組播密鑰分發協定中,將利用ONU與OLT之間的單播密鑰實現組播密鑰的安全分發,具體過程如圖3所示 。
圖3
組播密鑰更新
組播密鑰更新協定中,將利用ONU與OLT之間的對應組播業務組的當前組播密鑰實現新的組播密鑰的通告;具體過程如圖4所示。
圖4
網路套用
光網路安全TPSec基於三元對等架構,提供了基於連線埠的訪問控制機制,通過基於證書的對等鑑別機制或者預共享密鑰鑑別機制來識別設備身份的有效性,以做出正確的訪問控制決策。在此基礎上,TPSec還可提供端到端雙向保密通信服務。TPSec技術提供基於連線埠的訪問控制和端到端的雙向保密通信,用戶可根據套用需求啟用上行加密和下行加密也可根據需求僅啟用下行加密。
網路套用
