◆陳軍俊

GPON ONU安全問題的研究

◆陳軍俊

（上海諾基亞貝爾軟件有限公司 上海 201206）

ONU（光網(wǎng)絡(luò)單元）作為GPON網(wǎng)絡(luò)的重要組成部分，在使用過程中存在拒絕服務(wù)、竊聽和仿冒等諸多安全問題。本文重點(diǎn)分析了這些安全問題存在的原因，并針對(duì)性提出相應(yīng)的對(duì)策和解決方案，以期進(jìn)一步的提升整個(gè)GPON網(wǎng)絡(luò)的安全性。

吉比特?zé)o源光網(wǎng)絡(luò)；光網(wǎng)絡(luò)單元；安全；伽羅華計(jì)數(shù)器模式

0 引言

自從2013年國務(wù)院下發(fā)《國務(wù)院關(guān)于印發(fā)“寬帶中國”戰(zhàn)略及實(shí)施方案的通知》后，國內(nèi)三大運(yùn)營商電信、移動(dòng)和聯(lián)通開展了“寬帶中國專項(xiàng)行動(dòng)”，加速實(shí)施了“光進(jìn)銅退”的發(fā)展戰(zhàn)略。2015年9月底，中國光纖接入（FTTH/0）用戶首次超過了1億戶，而截至2018年底，這個(gè)數(shù)量在3.5億戶以上，占寬帶用戶總數(shù)的比重達(dá)到88%。

光纖接入網(wǎng)主要以PON技術(shù)為主，作為PON中重要技術(shù)之一的GPON(吉比特?zé)o源光網(wǎng)絡(luò))由于具有全程無源、寬帶高、高效率、抗干擾性強(qiáng)和支持全業(yè)務(wù)等特點(diǎn)[1]，已在全世界得到廣泛應(yīng)用。GPON系統(tǒng)包括OLT（光線路終端）、ONU(光網(wǎng)絡(luò)單元)和ODN（光分配網(wǎng)絡(luò)），ONU作為GPON系統(tǒng)中面向終端用戶的核心設(shè)備，其實(shí)現(xiàn)技術(shù)和運(yùn)維成本關(guān)系到光纖用戶的承受能力，從而直接影響GPON技術(shù)的發(fā)展和應(yīng)用前景。

1 ONU安全問題

隨著光纖接入用戶的不斷增多，ONU的安全問題也愈發(fā)突出[2]。由于ONU通常放置在用戶側(cè)[3]，極容易遭受來自用戶端的非法攻擊；同時(shí)由于GPON網(wǎng)絡(luò)采用點(diǎn)到多點(diǎn)的樹狀拓?fù)浣Y(jié)構(gòu)，下行鏈路為廣播方式，即所有ONU都能接收到OLT發(fā)出的下行幀，此種方式同樣在網(wǎng)絡(luò)側(cè)存在巨大安全威脅。

圖1 GPON網(wǎng)絡(luò)威脅模型

如圖1所示，目前ONU主要存在以下三類安全問題：

（1）DoS（拒絕服務(wù)）攻擊

常見的DoS攻擊包括SYN flooding、Ping of Death和Land Attack等，通過大量消耗網(wǎng)絡(luò)中的可用帶寬和資源來達(dá)到破壞GPON網(wǎng)絡(luò)物理連通性的目的。由于OLT與ONU之間通過OMCI協(xié)議報(bào)文進(jìn)行交互，在ONU注冊(cè)階段，大量的攻擊報(bào)文會(huì)占用可用帶寬，致使上行信道處于過載狀態(tài)甚至阻塞，使得PLOAM消息無法傳送至OLT，最終導(dǎo)致ONU無法正常注冊(cè)；而向已注冊(cè)的ONU進(jìn)行Dos攻擊，會(huì)使ONU的CPU利用率過高，即大量的非法報(bào)文占用CPU利用率，嚴(yán)重影響正常業(yè)務(wù)的處理，導(dǎo)致用戶服務(wù)質(zhì)量下降和被拒絕服務(wù)。

（2）竊聽

竊聽屬于常見的網(wǎng)絡(luò)攻擊行為，通過網(wǎng)絡(luò)無限制地接入傳輸媒介，并借助數(shù)據(jù)采集技術(shù)竊取用戶的私密信息。由于GPON網(wǎng)絡(luò)下行采用點(diǎn)到多點(diǎn)的結(jié)構(gòu)，ONU會(huì)接收到OLT廣播發(fā)送的所有報(bào)文，因此當(dāng)非法用戶在外場ODN中插入惡意設(shè)備，就能竊取到注冊(cè)用戶的業(yè)務(wù)數(shù)據(jù)、OLT發(fā)送至ONU的控制管理數(shù)據(jù)、ONU用戶活動(dòng)周期等重要信息。在掌握用戶上述私密信息之后再進(jìn)行仿冒、拒絕服務(wù)(Dos)等方式攻擊GPON網(wǎng)絡(luò)系統(tǒng)，破壞性極強(qiáng)。由于竊聽過程中網(wǎng)絡(luò)結(jié)構(gòu)和狀態(tài)不會(huì)出現(xiàn)任何異常，OLT端也無法探測到這種行為，因此整個(gè)過程無法被及時(shí)探查發(fā)現(xiàn)。

（3）仿冒

仿冒攻擊是竊聽后的進(jìn)一步升級(jí)行為。當(dāng)GPON系統(tǒng)內(nèi)存在不法分子對(duì)目標(biāo)ONU信息進(jìn)行竊取，包括ONU ID、MAC地址、往返時(shí)間(RTT)等信息，然后將自身ONU報(bào)文中的參數(shù)全部轉(zhuǎn)變?yōu)槟繕?biāo)ONU值，這樣其數(shù)據(jù)幀如同正常注冊(cè)用戶處所得。此種方式下，非法用戶可以實(shí)現(xiàn)上行數(shù)據(jù)的大規(guī)模傳送，且無任何費(fèi)用，相關(guān)傳輸成本由合法用戶來支出。

在非法用戶仿冒正常用戶的過程中，通常也出現(xiàn)其他嚴(yán)重的危害行為。例如，惡意用戶對(duì)正常用戶的數(shù)字簽名進(jìn)行偽造，使用正常用戶沒有支付費(fèi)用的帶寬、VIP業(yè)務(wù)等特殊的網(wǎng)絡(luò)資源。更為嚴(yán)重的是非法用戶通過偽裝冒充為合法用戶后，進(jìn)一步偽造控制信息達(dá)到與局端進(jìn)行交互的目的，在接入局端系統(tǒng)之后，修改或刪除系統(tǒng)配置，篡改用戶相關(guān)數(shù)據(jù)，嚴(yán)重威脅所有用戶的信息安全，對(duì)網(wǎng)絡(luò)系統(tǒng)產(chǎn)生巨大破壞。ITU-T G984.3協(xié)議也缺乏阻止非法ONU接入網(wǎng)絡(luò)的有效解決方案。

2 ONU安全方案

（1）DoS（拒絕服務(wù)）攻擊

防止DoS攻擊，首先可以通過啟用ONU的防火墻功能對(duì)需要進(jìn)入ONU CPU的協(xié)議報(bào)文，如ARP報(bào)文、源MAC地址未知的報(bào)文、DHCP協(xié)議報(bào)文、PPPoE報(bào)文、目的MAC為ONU MAC地址的報(bào)文和ICMP(網(wǎng)絡(luò)控制報(bào)文協(xié)議)報(bào)文等進(jìn)行限速，IpTables中的limitation模塊可對(duì)新的TCP請(qǐng)求鏈接進(jìn)行限速，即有效遏制SYN flooding攻擊。其次，合理設(shè)置ONU CPU的隊(duì)列，將上述協(xié)議報(bào)文送至指定CPU隊(duì)列進(jìn)行處理，同時(shí)設(shè)置令牌桶，嚴(yán)格控制CPU隊(duì)列收發(fā)協(xié)議報(bào)文的速率。

以上兩種方案雖不能杜絕攻擊行為，但已在最大程度上保護(hù)ONU，是當(dāng)前針對(duì)DoS攻擊最切實(shí)有效的防范措施。從眾多的ONU安全問題案例中分析我們可以發(fā)現(xiàn)對(duì)ONU的外部攻擊其實(shí)并沒有想象的嚴(yán)重，因?yàn)閷?shí)施這些攻擊非法用戶需要花費(fèi)極多的時(shí)間和資源，而所得的回報(bào)卻往往很有限，與消耗的資源并不相稱。

（2）竊聽和仿冒

目前現(xiàn)網(wǎng)中ONU最大的安全威脅還是來自針對(duì)其開展的竊聽與仿冒。傳統(tǒng)GPON網(wǎng)絡(luò)一直采用上行認(rèn)證下行加密簡單結(jié)合的工作模式，即ONU通過上行鏈路將序列號(hào)、密碼等重要信息發(fā)送給OLT端，由于上行無加密采用明文傳輸，竊聽者一旦截取到上行數(shù)據(jù)就能輕而易舉地獲得合法ONU的注冊(cè)信息以及下行數(shù)據(jù)加密的密鑰，能夠讓下行信息被輕松解密。此外下行沒有認(rèn)證，非法OLT可以偽造合法OLT來騙取ONU信息。因此為了更有效保證GPON網(wǎng)絡(luò)的安全性，能夠同時(shí)提供加密和認(rèn)證的工作模式將成為一種優(yōu)選方案。

GCM（Galois Counter Mode 伽羅華計(jì)數(shù)器模式）是一種可同時(shí)提供加密和認(rèn)證的分組密碼工作模式，以計(jì)數(shù)器（CTR）模式在GCM加密環(huán)節(jié)進(jìn)行應(yīng)用，同時(shí)在HASH函數(shù)運(yùn)算中使用128位伽羅華域乘法器，由此生成認(rèn)證標(biāo)簽。GCM安全性比較高，效率提升快[4]，在高速應(yīng)用中得到有效使用，可為今后GPON網(wǎng)絡(luò)的加密與認(rèn)證提供更優(yōu)的技術(shù)手段。

如圖2所示，基于GCM的GPON網(wǎng)絡(luò)的雙向加密認(rèn)證流程包括以下幾點(diǎn)：

( 1 ) OLT周期性的在下行方向發(fā)送廣播報(bào)文和注冊(cè)授權(quán)幀Discovery_Gate。

( 2 ) ONU上電之后，接收到OLT發(fā)出的Upstream_Overhead信息，ONU按照?qǐng)?bào)文內(nèi)容對(duì)自身工作參數(shù)做出調(diào)整。

( 3 ) ONU通過使用SN序列號(hào)等初始密鑰完成自己初始信息的GCM加密與認(rèn)證，并作為注冊(cè)請(qǐng)求幀Register_Request發(fā)送給OLT。OLT收到ONU注冊(cè)請(qǐng)求幀后，與查找表中的GCM加密認(rèn)證信息進(jìn)行比對(duì)，若是相同，則將該ONU置為active狀態(tài)，并選擇該ONU的初始密鑰作為密碼，對(duì)新密鑰請(qǐng)求幀New_key_request進(jìn)行GCM加密和認(rèn)證處理，隨后發(fā)送給ONU；若不相同，則表明ONU為非法的，不能接入。

( 4 ) ONU接收到New_key_request后，形成會(huì)話密鑰session_key并在shadow_key_register中儲(chǔ)存，隨后選擇初始密鑰對(duì)會(huì)話密鑰seesion_key進(jìn)行GCM加密認(rèn)證，通過New_key_response幀向OLT進(jìn)行傳輸，此幀重復(fù)發(fā)送三次。

( 5 ) 若OLT一直未收到ONU發(fā)送的密鑰幀或每次接收的密鑰幀均存在差異，則OLT將重新向ONU發(fā)送New_key_request幀，ONU需要生成并發(fā)送新的密鑰。若OLT接收到New_key_response，將會(huì)話密鑰seesion_key存儲(chǔ)在shadow_key_register中，并通過其對(duì)New_key_ack實(shí)現(xiàn)GCM加密認(rèn)證，然后發(fā)送接收確認(rèn)幀給ONU。

( 6 ) OLT會(huì)為被激活的合法ONU分配ONU-ID，ONU通過會(huì)話密鑰seesion_key對(duì)ONU-ID進(jìn)行GCM加密認(rèn)證，并再次計(jì)算認(rèn)證標(biāo)簽，若與接收到的認(rèn)證標(biāo)簽一致，則在ACTIVE寄存器內(nèi)存儲(chǔ)此ID信息。

( 7 ) OLT對(duì)合法ONU的均衡時(shí)延進(jìn)行測量，同時(shí)通過會(huì)話密鑰seesion_key對(duì)均衡時(shí)延進(jìn)行GCM加密認(rèn)證后發(fā)送給ONU。

( 8 ) OLT能夠通過序列號(hào)和password完成對(duì)ONU的認(rèn)證，在ONU測距后，OLT向ONU請(qǐng)求密碼，對(duì)ONU合法性做出判斷。

( 9 ) ONU通過會(huì)話密鑰session_key實(shí)現(xiàn)對(duì)password的GCM加密認(rèn)證，并發(fā)送給OLT。若password通過驗(yàn)證，采用會(huì)話密鑰session_key在Register注冊(cè)幀進(jìn)行GCM加密認(rèn)證，同時(shí)發(fā)送給ONU。ONU收到后，將進(jìn)行GCM加密認(rèn)證的注冊(cè)確認(rèn)幀Register_Ack發(fā)送給OLT。OLT接收到Register_Ack信息后，確認(rèn)ONU成功注冊(cè)，否則ONU注冊(cè)過程將無法完成。

圖2 GPON網(wǎng)絡(luò)雙向加密認(rèn)證流程

將GCM雙向加密認(rèn)證模式應(yīng)用于GPON網(wǎng)絡(luò)后，通過實(shí)現(xiàn)數(shù)據(jù)加密有效提升數(shù)據(jù)的保密性，起到防范鏈路竊聽的作用；此外，對(duì)用戶注冊(cè)信息和加密數(shù)據(jù)進(jìn)行認(rèn)證，確保了網(wǎng)絡(luò)上行和下行數(shù)據(jù)的合法完整性，避免非法用戶進(jìn)行仿冒與攻擊，為整個(gè)GPON網(wǎng)絡(luò)系統(tǒng)提供了可靠的安全解決方案。

3 結(jié)束語

光纖接入已發(fā)展成為國家戰(zhàn)略，GPON作為應(yīng)用最廣的技術(shù)之一，其重要組成部分ONU的安全性也愈發(fā)重要。本文通過對(duì)目前ONU在現(xiàn)網(wǎng)中存在的安全問題進(jìn)行研究和分析，提出有效的應(yīng)對(duì)解決方案，以此加強(qiáng)ONU的安全性和保密性，最終提升整個(gè)GPON網(wǎng)絡(luò)的穩(wěn)定性、完整性和可用性。

[1]張勇，徐永國，李廣成.GPON系統(tǒng)中長發(fā)光ONU檢測的解決方案[J].光通信研究，2011(1):19-21.

[2]吳文玲，馮登國.分組密碼工作模式的研究現(xiàn)狀[J].計(jì)算機(jī)學(xué)報(bào),Vol 29 No.1, 2006.1.

[3]ITU-T G.984.3-2004, Gigabit-capable Passive Optical Networks(GPON): Transmission Layer Specification[S].

[4]McGrew D, Viega J, The Galois Counter Mode of operation(GCM) intellectual property Statement. http://csrc.nist.gov/CryptoToolkit/modes/proposedmodes/gcm/gcm-nist-ipr.pdf, 2005.