Bezpečnostní rizika v současné generaci pasivních optických přístupových sítí

Rok / Year: Svazek / Volume: Číslo / Number: 2010 12 3 Bezpečnostní rizika v současné generaci pasivních optických přístupových sítí Security Threats in the Current Generation of Passive Optical Access Networks Matěj Rohlík, Pavel Lafata rohlimat@fel.cvut.cz, lafatpav@fel.cvut.cz Fakulta elektrotechnická, České vysoké učení technické v Praze Abstrakt: Díky postupnému rozvoji a nasazování pasivních optických přístupových sítí v praxi dojde k pokrytí širokého počtu domácností a koncových uživatelů výkonným přístupovým řešením, což mimo jiné umožní vznik a přístup k řadě moderních multimediálních a interaktivních služeb. V souvislosti s tím se však objevuje nutnost dostatečného zabezpečení přenášených dat i vlastní optické sítě proti různým druhům bezpečnostních rizik. V tomto příspěvku jsou popsány nejvážnější bezpečnostní hrozby v současné generaci pasivních optických sítí a nastíněny možnosti pro jejich odstranění. Abstract: Thanks to the progressive development and deployment of passive optical access network, a wide number of households and the end users will be soon covered with powerful access solution, which will allow to access advanced multimedia and interactive services. However, it appears to be necessary to adequately secure transmitted data and also the optical networks itself against various types of security risks. This paper describes the most serious security threats in the current generation of passive optical networks and it offers several possibilities for their elimination.

Bezpečnostní rizika v současné generaci pasivních optických přístupových sítí Matěj Rohlík, Pavel Lafata Katedra telekomunikační techniky, Fakulta elektrotechnická, České vysoké učení technické v Praze Technická 2, 166 27, Praha 6 Email: rohlimat@fel.cvut.cz, lafatpav@fel.cvut.cz Abstrakt - Díky postupnému rozvoji a nasazování pasivních optických přístupových sítí v praxi dojde k pokrytí širokého počtu domácností a koncových uživatelů výkonným přístupovým řešením, což mimo jiné umožní vznik a přístup k řadě moderních multimediálních a interaktivních služeb. V souvislosti s tím se však objevuje nutnost dostatečného zabezpečení přenášených dat i vlastní optické sítě proti různým druhům bezpečnostních rizik. V tomto příspěvku jsou popsány nejvážnější bezpečnostní hrozby v současné generaci pasivních optických sítí a nastíněny možnosti pro jejich odstranění. 1 Úvod Pasivní optické přístupové sítě PON (Passive Optical Network) jsou v poslední době stále častěji diskutovány jako jedno z perspektivních řešení pro pokrytí budoucích požadavků na přenosové rychlosti a celkovou výkonnost moderních přístupových datových a telekomunikačních sítí. Optická vlákna postupně nahrazují stávající metalické rozvody nejen v oblasti páteřních, ale v poslední době i přístupových sítí a zejména v rozlehlých městských aglomeracích je úspěšně budována optická přístupová infrastruktura. Tam, kde není výhodné vybudovat čistě optické připojení až k samotnému koncovému uživateli (např. varianty FTTH (FTT Home), FTTO (FTT Office)), jsou účelně využívány stávající metalické infrastruktury a vznikají tak kombinované opticko-metalické přípojky. V praxi se tyto varianty rozdělují podle umístění bodu, ve kterém je zakončeno přívodní optické vlákno a odkud dále pokračuje směrem ke koncovému uživateli navazující metalická přípojka. Nejčastěji se jedná o varianty FTTB (FTT Building), FTTC (FTT Curb) či FTTN (FTT Node) a pro navazující metalické připojení slouží zejména vysokorychlostní širokopásmové přípojky VDSL2 (Very High Speed DSL) či lokální datové sítě založené na protokolu Ethernet. I přesto, že současná generace pasivních optických sítí založená na časově sdíleném přístupu TDMA (Time Division Multiple Access) nabízí dostatečně vysoké přenosové rychlosti v porovnání s jinými přístupovými technologiemi, byly již navrženy nové možnosti pro další zvyšování přenosových rychlostí a kapacit. Zejména použití vlnového dělení a přenos většího množství vlnových délek jedním optickým vláknem WDM (Wavelength Division Multiplex) umožní dosáhnout vyšších přenosových rychlostí a připojit větší množství koncových uživatelů v rámci jedné přístupové sítě [1]. Vzniklé hybridní optické sítě, označované jako WDM-TDMA PON, budou zřejmě tvořit univerzální řešení v oblasti přístupových sítí a systémů, určených pro distribuci hlasových služeb, vysokorychlostního datového připojení a multimediálních služeb, jako např. distribuce televizního vysílání ve vysokém HD (High Definition) rozlišení. Díky hromadnému pokrytí domácností dostatečně výkonným přístupovým řešením dojde i k rychlému rozvoji interaktivních a multimediálních služeb, jako je např. e-learning, e-health, e-money aj. V souvislosti s nabídkou těchto služeb se však dostává do popředí nutnost dostatečným způsobem zajistit bezpečnost přenášených dat a citlivých informací (např. zdravotní stav pacienta v případě služby e-health, či údaje bankovní transakce při použití služby e-money). Hlavní část zabezpečení bude sice vázána na použití moderních kryptografických a autentizačních prostředků na vyšších vrstvách modelu RM-OSI (jako např. protokoly SSL či TLS využité webovým prohlížečem pro zabezpečený přenos protokolem HTTPS), nicméně bude rovněž potřeba zajistit uspokojivým způsobem i zabezpečení ze strany vlastní přenosové sítě proti neoprávněnému odposlechu nebo manipulaci s daty. Ačkoliv v případě použití optického vlákna jako přenosového média odpadávají některé bezpečnostní problémy známé z bezdrátových či metalických přístupových sítí (jako např. odposlechnutí metalických nestíněných vedení či nešifrovaných bezdrátových přenosů WiFi), existuje přesto skupina potenciálních rizik ohrožujících správnou funkci pasivní optické sítě či umožňující nelegální přístup k přenášeným uživatelským informacím. V tomto příspěvku budou postupně diskutovány nejvážnější hrozby, které se mohou v současné generaci pasivních optických sítí z pohledu přenosových mechanizmů vyskytnout. Tyto hrozby budou klasifikovány na základě svojí závažnosti a nastíněny možnosti pro jejich odstranění. 2 Základní rizika a nutnosti zabezpečení Většina současných bezpečnostních rizik v pasivních optických sítích vychází z jejich základních přenosových principů [2], [3]. Nejzávažnější problém představuje samotná architektura sítě, kdy všechny optické síťové jednotky či zakončení ONU/ONT (Optical Network Unit/Termination) sdílejí navzájem část optické distribuční sítě ODN (Optical Distribution Network). V obou směrech je přenos datových jednotek a rámců řešen pomocí časového sdílení společné kapacity a časově sdíleného přístupu. Ve směru sestupném (downstream) probíhá komunikace ve všesměrovém (broadcast) režimu, kdy společný časový multirámec obsahuje jednotlivé příspěvky pro všechny aktivní koncové optické jednotky ONU/ONT a je distribuován pomocí pasivních optických rozbočovačů (split- 37 1

ter) do všech koncových bodů sítě. Koncová optická jednotka následně z multirámce vydělí pouze tu část, která je určena pro ni samotnou, zbylá část multirámce je automaticky zahozena. Rozpoznání vlastního obsahu je provedeno na základě jeho označení příslušným identifikátorem koncové jednotky, který je uložen jako služební informace v záhlaví každé datové jednotky. Datová část s obsahem uživatelských dat je v sestupném směru vždy šifrována, v případě sítě GPON (Gigabit PON) pomocí blokové šifry AES (Advanced Encryption Standard), pro sítě EPON (Ethernet PON) není metoda striktně dána, většinou se jedná o proprietární řešení jednotlivých výrobců založené na velmi podobném principu jako v případě varianty GPON a mechanizmu typu AES. Záhlaví a jiné služební informace se však přenáší nešifrované. Ve směru vzestupném je potřeba vhodným způsobem řídit vysílací okamžiky jednotlivých koncových jednotek ONU/ONT tak, aby po jejich průchodu pasivními rozbočovači nedocházelo ke vzájemným překrýváním a kolizím. Předpokládá se rovněž, že tyto příspěvky procházejí jednosměrně pouze mezi danou koncovou jednotkou a centrální jednotkou optického linkového zakončení OLT (Optical Line Termination) a není tedy nutné je šifrovat ani jinak zabezpečovat. Problém představuje rovněž umístění jednotlivých optických jednotek. Centrální jednotka optického linkového zakončení OLT se typicky nachází v chráněných prostorech daného operátora, fyzický přístup k ní není tedy obvykle možný. Jiná je však situace s optickými síťovými jednotkami ONU/ONT, které jsou v případě přípojek typu FTTH či FTTO obvykle umístěny přímo u koncového zákazníka, a jsou tak volně přístupné pro provedení případných zásahů či jiných neoprávněných úprav. Riziko rovněž představují nezakončené a nechráněné výstupy pasivních optických rozbočovačů. směru. V případě, že jedna z koncových optických jednotek ONU/ONT nebude dodržovat své přidělené vysílací okamžiky, naruší tím provoz i všech zbývajících koncových jednotek ve vzestupném směru, neboť po průchodu optického signálu pasivními rozbočovači dojde ke kolizím mezi ním a příspěvky odesílanými zbylými optickými jednotkami a tím i k jejich znehodnocení. Například tedy postačí, aby útočící koncová jednotka ONU/ONT (nebo i jiný vhodný optický zdroj) vysílala nepřerušovaný optický signál dostatečné úrovně a tím efektivně přeruší veškerý provoz v optické síti ve vzestupném směru [6]. Navíc je v takovém případě velmi obtížné určit takto vysílající koncovou optickou jednotku a řešení celé situace si většinou vyžádá postupné manuální odpojování úseků optické sítě a přímý zásah přítomné údržby. Možné řešení uvedeného problému je popsáno v [7]. Jedná se o systém využívající speciálních pasivních optických spojek s příměsí oxidu telluričitého TeO 2 a vlnových filtrů pro jejich řízení. V klidovém stavu je spojka obousměrně průchozí, její vložný útlum se pohybuje pouze kolem 1 db. V případě potřeby vzdáleného odpojení požadovaného úseku optické trasy je z jednotky OLT vyslán řídící impulz definované úrovně na určené vlnové délce (pro řízení těchto spojek v celé síti je např. možné využít dosud neobsazené pásmo v okolí vlnových délek 1510-1520 nm), na který reaguje příměs spojky změnou svého optického stavu do nepropustného. Tím účinně zabrání jakémukoliv dalšímu průchodu optického paprsku. 3 Bezpečnostní hrozby V této sekci budou postupně představeny hlavní problémy a rizika spojená s přenosem uživatelských dat v pasivních optických sítích. Tyto hrozby lze v zásadě rozdělit do několika skupin podle jejich principu: útok typu DoS (Denial of Service) odposlech služebních zpráv (traffic analysis) odposlech (eavesdropping) uživatelských dat ve vzestupném směru odposlech (eavesdropping) uživatelských dat v sestupném směru maskování (spoofing, masquerading) 3.1 Útok typu DoS V tomto případě se nejedná o bezprostřední ohrožení bezpečnosti vlastních uživatelských dat, ale o způsobení nedostupnosti určité služby, případně celé pasivní optické sítě ostatním uživatelům. Jeho provedení v případě pasivních optických sítí není složité realizovat a vychází z principu sdílení společné přenosové kapacity a řízení vysílacích okamžiků koncových optických jednotek ONU/ONT ve vzestupném Obrázek 1: Princip pasivní spojky v otevřeném a nepropustném stavu Uvedené řešení je pouze pasivní, není potřeba žádného dodatečného napájení či ovládání, zpět do průchodného stavu však může spojku uvést pouze obsluha přítomná na jejím místě. V celé optické síti je možné rozmístit větší množství těchto pasivních spojek, např. na jednotlivé výstupy všech pasivních rozbočovačů, a pomocí vhodných vlnových filtrů a definovaných délek je možné každou řídit individuálně a vzdáleně z centrální jednotky OLT tak odpojovat problematické úseky optické sítě. 3.2 Odposlech služebních zpráv V sestupném směru jsou ve společném multirámci šifrována pouze vlastní uživatelská data, záhlaví datových jednotek s obsahem služebních a řídících zpráv, adresy a identifikátory jednotlivých koncových jednotek jsou však bez jakéhokoliv zabezpečení. V ideálním případě koncová optická jednotka ONU/ONT provede filtraci příchozího multirámce a vybere z 37 2

něho pouze uživatelskou část pro ni určenou [2]. Pokud by se však potenciálnímu útočníkovi podařilo předchozí proces filtrace obejít, získal by tak přístup nejen k uživatelským datům všech aktivních koncových jednotek ONU/ONT (v šifrované podobě), ale i ke služebním a řídícím zprávám pro jednotlivé koncové jednotky. Vzhledem k tomu, že se optické síťové jednotky či zakončení ONU/ONT nacházejí typicky v prostorech koncových uživatelů, není zásah do programového vybavení a tím pádem obejití filtračního procesu v koncové jednotce ONU/ONT příliš obtížný, jak dokládá např. [6]. Takto modifikovaná koncová jednotka, která umožňuje vyšším vrstvám kompletní přístup k obsahu přenášenému v sestupném směru, se označuje jako tzv. promiskuitní (promiscuous) či jako pracující v tzv. promiskuitním režimu (promiscuous mode). Vyšší vrstvy tak mohou pracovat s daty, které nebyly původně určeny odposlouchávající koncové jednotce. Otázka odposlechu přenášených uživatelských dat bude diskutována v následující části, potenciální útočník však může zneužít i služební a řídící zprávy, zejména pokud nejsou, jako v případě pasivních optických sítí, nijak chráněny. Analýzou obsahu služebních záhlaví jednotlivých datových rámců a bloků je možné například získat přehled o počtu a aktuálním stavu všech aktivních koncových jednotek ONU/ONT, získat jejich identifikátory, informace o aktuálně přidělené vysílací kapacitě každé koncové jednotce pro směr vzestupný apod. Na základě těchto informací lze získat velmi přesný obraz aktuálního provozu v celé pasivní optické síti. Zřejmě nejzávažnější nebezpečí představuje přístup k identifikátorům a adresám všech aktivních koncových optických jednotek. Každá optická síťová jednotka či zakončení ONU/ONT je v dané optické síti vybavena jednoznačným identifikátorem, který je jí vždy přidělen při úvodním procesu připojování nové jednotky do optické sítě (ONU Discover) a který je následně používán pro obousměrnou komunikaci mezi ní a centrální jednotkou optického linkového zakončení OLT a pro značení všech přenášených datových jednotek. Potenciální útočník může získaný identifikátor použít pro svou vlastní optickou koncovou jednotku ONU/ONT (opět stačí většinou pouze zásah do programového vybavení jednotky) a tím se přímo vydávat za jinou koncovou jednotku se všemi možnostmi, které z toho vyplývají. Tento způsob zneužití cizího identifikátoru (adresy) a proces vydávání se za jinou koncovou jednotku v síti se označuje jako maskování (spoofing, masquerading) a bude blíže popsán v další části tohoto příspěvku. Pro zabránění odposlechu a zneužití služebních informací a zpráv byla navržena v příspěvku [8] metoda pro šifrování i těchto částí přenášených datových jednotek. Uvedený ochranný systém spočívá v zabezpečení služebních zpráv (zejména identifikátorů koncových optických jednotek a informací o přidělené přenosové kapacitě ve vzestupném směru) pomocí unikátního klíče a logické funkce XOR. Pro oba přenosové směry existuje vždy mezi každou optickou síťovou jednotkou či zakončením ONU/ONT a jednotkou optického linkového zakončení OLT dvojice unikátních klíčů označovaných jako SK (Secret Keys). Tyto klíče jsou mezi oběma stranami vyměněny v počáteční fázi registrace nové koncové jednotky do optické sítě pomocí zabezpečeného protokolu KAP (Key Agreement Protocol). V dalším průběhu komunikace jsou vždy vygenerovány pseudonáhodné klíče K 1, K 2,, K n pro zabezpečení jednotlivých polí ve služebních zprávách a informacích, následně jsou pomocí funkce XOR a klíče SK zašifrovány ( K SK, K SK,... K SK ) a uloženy do předem vyhrazených pozic v záhlaví datové jednotky. Dále jsou pomocí 1 2 n jednotlivých klíčů K 1, K 2, K n a funkce XOR zabezpečeny nejdůležitější části záhlaví. Správnou interpretaci klíčů K 1 až K n a následně dešifrování obsahu služebních informací a záhlaví může provést pouze koncová jednotka s platným unikátním klíčem SK. 3.3 Odposlech uživatelských dat ve vzestupném směru V ideálním případě se uživatelská data a služební a řídící zprávy šíří ve vzestupném směru pouze mezi danou koncovou optickou jednotkou a centrální jednotkou optického linkového zakončení OLT. Jak však poukazuje literatura [9], která vychází zejména z praktických zkušeností různých operátorů provozujících pasivní optické přístupové sítě, je v některých případech možné odposlouchávat i provoz ve vzestupném směru zejména díky odrazům vznikajícím na nedostatečně přizpůsobených rozhraních. Článek [10] dále interpretuje výsledky měření, které byly provedeny na testovací optické síti, a potvrzuje existenci uvedeného rizika odposlechu provozu ve vzestupném směru. V doporučeních pasivních optických sítí EPON (IEEE 802.3ah) a GPON (ITU-T G.984) jsou mimo jiné uvedeny nezbytné parametry optické distribuční sítě ODN pro správný provoz zvolené varianty pasivní optické sítě. Tato doporučení se zejména týkají útlumových charakteristik a hodnot útlumu odrazu ORL (Optical Return Loss) [11], kde by měly zejména minimální hodnoty útlumu odrazu zaručovat dostatečnou směrovost. V praxi však mohou být útlumy odrazu výrazně nižší, cože je způsobeno například nečistotami na konektorech na rozhraních optického vlákna a pasivního rozbočovače či jednotky optického linkového zakončení OLT. Odražené optické signály se od místa odrazu šíří sestupným směrem a pomocí pasivních rozbočovačů se dostávají až k jednotlivým koncovým optickým jednotkám. V závislosti na místě odrazu a topologii použité optické distribuční sítě (zejména typu, počtu a konfiguraci pasivních rozbočovačů, délky jednotlivých úseků optických vláken aj.) mohou mít v určitých případech tyto odražené optické signály dostatečnou úroveň, aby je bylo možné detekovat a zachytit. Zjednodušeně tuto možnost ilustruje Obrázek 2, kde modře je znázorněno vysílání jednotky ONU 1 ve vzestupném směru a žlutou a fialovou barvou odrazy na rozhraních pasivních rozbočovačů, které se šíří zpět k jednotkám ONU 2 a 3. Obrázek 2: Vznik a šíření odrazů ve vzestupném směru Protože běžný provoz v sestupném směru probíhá u současné generace pasivních optických sítí v pásmu vlno- 37 3

vých délek 1480 až 1500 nm, nejsou jím tyto odrazy ovlivňovány a rušeny. Pro zachycení a analýzu odrazů nelze použít běžnou koncovou optickou jednotku ONU/ONT, neboť její detektor není pro vzestupné pásmo 1260 až 1360 nm přizpůsoben. Avšak vzhledem k tomu, že koncové optické jednotky a tím pádem i koncové body optické distribuční sítě ODN, ke kterým jsou tyto jednotky připojeny, mohou být volně přístupné, nabízí se možnost použít vlastního detektoru a provoz v pásmu vyhrazeném pro vzestupný směr pasivně odposlouchávat (eavesdropping). Tato bezpečnostní hrozba je o to větší, neboť pasivní odposlech nelze detektovat a navíc provoz ve vzestupném směru v současných pasivních optických sítích není nijak zabezpečen ani šifrován. Pasivně lze tak nejen odposlouchávat přenášená uživatelská data bez rizika odhalení a bez nutnosti jejich dešifrování, ale rovněž zachytit vygenerované klíče, které po určitých intervalech odesílá každá koncová jednotka ONU/ONT ve vzestupném směru a které následně používá centrální jednotka optického linkového zakončení OLT pro šifrování provozu ve směru sestupném. Ochrana proti odposlechu odrazů je prezentována v [9], nejvhodnějším řešením se nabízí šifrování provozu i ve směru vzestupném. Problém však představuje dostatečná bezpečnost při výměně klíčů, řešením by zřejmě bylo použití protokolu KAP. Jako další perspektivní možnost se nabízí systém pomalého vlnového skákání WH (Wavelength Hopping), který bude představen v rámci následující části pojednávající o zabezpečení sestupného směru. 3.4 Odposlech uživatelských dat v sestupném směru Princip odposlechu uživatelských dat byl popsán v předchozí části článku. Pro jeho realizaci v sestupném směru je buď možné použít koncovou optickou jednotku v tzv. promiskuitním režimu, která umožňuje zachytávat veškerý provoz v optické síti, nebo takovou jednotku využít v kombinaci s maskováním a přímo se vydávat za požadovaného uživatele. V prvním případě lze zejména pasivně zachytávat komunikaci jiných koncových jednotek, ve druhém přímo aktivně zneužívat cizí identifikační údaje a využívat tak např. služby kompromitovaného koncového uživatele. Provoz je v sestupném směru zabezpečen (nejčastěji pomocí blokové šifry AES), takže jej není v současné době možné prolomit. V případě, kdy se podaří útočníkovi přímo zachytit klíč pomocí odrazů ve vzestupném směru, je možné pasivně odposlouchávat a dešifrovat uživatelská data odesílaná v sestupném směru. Stejně jako v případě odposlechu ve vzestupném směru, nelze ani pasivní odposlech ve směru sestupném detekovat. Určitý stupeň ochrany poskytuje skutečnost, že příspěvky pro jednotlivé koncové uživatele ve společném multirámci mohou být libovolně dlouhé a jejich délka se v každém multirámci může měnit na základě aktuálního stavu a potřeb koncových optických jednotek. Útočník tak musí důsledně ze služebních zpráv a informací v záhlavích analyzovat délky jednotlivých bloků uživatelských dat, jejich konce a začátky ve společném multirámci. Nicméně ani toto nepředstavuje významnější překážku pro realizaci odposlechu, jak dokládá např. [6] a [12]. Možné řešení bylo představeno v [12], [13] a [14]. Jedná se o tzv. metodu pomalého vlnového skákání WH (Wavelength Hopping) společně s generováním cyklických kódů (Cycling Code Technique). Základní princip spočívá v rozdělení uživatelských dat do několika bloků, které jsou pak postupně vysílány na odlišných vlnových délkách. Pro generování pseudonáhodných posloupností vlnových délek mohou být použity cyklické kódy a jejich deriváty, např. OOC (Optical Orthogonal Codes) či MW-OOC (Multiple Wavelength OOC) jak uvádí [12]. Tato posloupnost musí být předem určena a známa jak na vysílací, tak i přijímací straně. Zavedení vlnového skákání WH se u pasivních optických sítí předpokládá v obou směrech. Pro úspěšný odposlech pak bude navíc potřeba znalost posloupnosti použitých vlnových délek. Článek [12] například uvádí použití hustého vlnového dělení DWDM (Dense WDM) s rozestupem nosných 25 či 50 GHz, což by umožnilo vyhradit až několik set vlnových délek pro realizaci vlnového skákání. Popsaná metoda spočívá ve vygenerování dvojice pseudonáhodných matic individuálně vždy pro komunikaci mezi jednou koncovou jednotkou ONU a centrální jednotkou optického linkového zakončení OLT pro každý směr přenosu, jedna matice tvořená z množiny dostupných vlnových délek a druhá kódová matice stejné velikosti. Z těchto matic je dále vygenerována posloupnost vlnových délek pro realizaci vlastního skákání. Pro zamezení mezikanálových interferencí je potřeba zajistit ortogonalitu kódové matice a následně i vzniklé posloupnosti vlnových délek. Z toho vyplývá i nutné omezení pro přenášené datové bloky, které musí být vždy stejné délky, např. vlnové skákání po jednotlivých rámcích Ethernet u varianty EPON. Dále by bylo nutné vybavit koncové jednotky ONU i jednotku OLT vhodným přeladitelným zdrojem (nebo dvojicí zdrojů) a sadou vlnových filtrů, což by znamenalo zejména zvýšení ceny optických jednotek. Na druhé straně se však jedná o velmi odolné zabezpečení proti odposlechu, jak dokládá na modelových výpočtech literatura [13], bez přesné znalosti posloupnosti použitých vlnových délek je pasivní odposlech prakticky nemožný. 3.5 Maskování Tato bezpečnostní hrozba byla již popsána v předchozím textu. Na základě odcizeného identifikátoru se může útočník vydávat za jinou koncovou optickou jednotku v téže síti, a mít tak přístup k informacím a službám kompromitovaného uživatele. Pro zabránění odcizení a zneužití identifikátoru jiných optických jednotek bude potřeba implementovat zabezpečení přenášených služebních zpráv a informací. 4 Závěr Z výčtu předchozích bezpečnostních rizik (Obrázek 3.) vyplývá, že bude potřeba v pasivních optických sítích implementovat nové a komplexnější systémy pro zabezpečení přenášených uživatelských informací i služebních zpráv. Zejména hrozba pasivního odposlechu uživatelských dat a služebních zpráv v obou směrech přenosu představuje značné riziko. Pro zabránění zneužití identifikátorů a adres koncových optických jednotek, či jejich podvržení, bude potřeba zajistit dodatečné šifrování záhlaví přenášených datových jednotek a zpráv. 37 4

March 2008. Dostupný z WWW: <http://www.itu.int/rec/t-rec-g.984.1-4>. [5] IEEE: IEEE Standard 802.3ah-2004, Ethernet in the First Mile. [online], [cit. 2009-15-10]. IEEE 802.3ah, June 2004. Dostupný z WWW: <http://ieee802.org/3/efm/>. Obrázek 3: Bezpečnostní rizika v PON Z pohledu perspektivně uvažovaných možností pro zvyšování přenosové kapacity pomocí vlnového dělení u budoucí generace pasivních optických sítí se jako nejvhodnější způsob zabezpečení ukazuje použití moderních blokových šifer společně se zabezpečeným systémem pro výměnu klíčů. Bude rovněž nutné vhodným způsobem zabezpečit i přenášené služební a řídící zprávy a to jak ve směru sestupném, tak i vzestupném. To by bylo možné realizovat pomocí sady unikátních klíčů, které by byly individuální pro každou optickou jednotku a směr přenosu, obdobně jako je inicializace šifrovaného spojení realizována v protokolu IPsec tedy pomocí kryptografického algoritmu Diffie-Hellman. Implementace metody vlnového skákání představuje v praxi příliš vysoké náklady a nároky zejména z pohledu optických jednotek a její praktický přínos je diskutabilní. Jiným vhodným způsobem zabezpečení je využití již existujících protokolů vyšších vrstev jako např. IPsec, a vytvoření oddělených virtuálních sítí s navzájem utajenými informacemi, které v případě odposlechnutí budou vždy čitelné pouze oprávněným stranám. Poděkování Tento příspěvek vznikl za podpory Výzkumného záměru MSM6840770014. Literatura [1] LAFATA, P.: Pasivní optické sítě WDM-PON. Access server [online]. 2009, roč. 7, č. 200905, [cit. 2009-15- 10]. Dostupný z WWW: <http://access.feld.cvut.cz/view.php?cisloclanku=200905 0004>. ISSN 1214-9675 [2] LAFATA, P., VODRÁŽKA, J.: Pasivní optická síť GPON. Access server [online]. 2009, roč. 7, č. 200905, [cit. 2009-15-10]. Dostupný z WWW: <http://access.feld.cvut.cz/view.php?cisloclanku=200905 0002>. ISSN 1214-9675 [3] LAFATA, P.: Pasivní optická přístupová síť EPON. Access server [online]. 2009, roč. 7, č. 200905, [cit. 2009-15-10]. Dostupný z WWW: <http://access.feld.cvut.cz/view.php?cisloclanku=200905 0003>. ISSN 1214-9675 [4] ITU-T: G.984.1-4 - Gigabit-capable passive optical networks (GPON). [online], [cit. 2009-15-10]. ITU-T, [6] KARTALOPOULOS, S., V., JIN, D.: Vulnerabilities and Security Strategy for the Next Generation Bandwidth Elastic PON. WSEAS Transactions on Communications [online], [cit. 2009-13-10]. ECE Department, TCOM graduate program, The University of Oklahoma, USA 2007. Dostupný z WWW: <http://portal.acm.org/citation.cfm?id=1486852>. [7] WONG, S.-W., SHAW, W.-T., DAS, S., KAZOVSKY, L., G.: Enabling Security Countermeasure and Service Restoration in Passive Optical Networks. IEEE Xplore [online], [cit. 2009-13-10]. Photonic and Networking Research Laboratory, Stanford University, USA 2006. Dostupný z WWW: <http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumb er=4150993&isnumber=4150630>. [8] INÁCIO, P., R., M., HAJDUCZENIA, M., FREIRE, M., M., da SILVA, H., J., A., MONTEIRO, P., P.: Preamble Encryption Mechanism for Enhanced Privacy in Ethernet Passive Optical Networks. SpringerLink [online], [cit. 2009-13-10]. Siemens S. A., Research and Development Department, Rua Irmaos Siemens, Amadora, Portugal 2006. Dostupný z WWW: <http://www.springerlink.com/content/b10r38361942106 3/>. [9] O BYRNE, V.: Verizon s Fiber to the Premises: Leassons Learned. Proceedings of OFC 2005. [10] GUTIERREZ, D., CHO, J., KAZOVSKY, L., G.: TDM- PON Security Issues: Upstream Encryption is Needed. IEEE Xplore [online], [cit. 2009-13-10]. Photonic and Networking Research Laboratory, Stanford University, USA 2007. Dostupný z WWW: <http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumb er=4348474&isnumber=4348298>. [11] LAFATA, P.: Útlumová bilance pasivních optických přístupových sítí. Access server [online]. 2009, roč. 7., č. 200906, s. 0002 [cit. 2009-15-10]. Dostupný z WWW: <http://access.feld.cvut.cz/view.php?cisloclanku=200906 0002>. ISSN 1214-9675. [12] SHAWBAKI, W., KAMAL, A.: Security for FTTx Optical Access Networks. IEEE Xplore [online], [cit. 2009-13-10]. Department of Electrical and Computer Engineering, Iowa State University, USA 2006. Dostupný z WWW: <http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumb er=4116550&isnumber=4116490>. [13] SHAWBAKI, W.: Security in Passive Optical Network via Wavelength Hopping and Codes cycling techniques. 37 5

SpringerLink [online], [cit. 2009-13-10]. Department of Electrical and Computer Engineering, Iowa State University, USA 2006. Dostupný z WWW: <http://www.springerlink.com/content/x4470494l26623n 7/>. [14] TANCEVSKI, L., ANDONVIC, I.: Hybrid Wavelength Hopping/ Time Spreading Schemes for use in Massive Optical Network with Increase Security. IEEE Journal of Lightwave Technology, VOL. 14, No 12, December 1996. 37 6