用于光網(wǎng)絡(luò)的安全監(jiān)視的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及用于光網(wǎng)絡(luò)的安全監(jiān)視系統(tǒng)�����,涉及具有此類系統(tǒng)的設(shè)備���,以及涉及監(jiān)視安全的對應(yīng)方法和安裝安全監(jiān)視系統(tǒng)的對應(yīng)方法�。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)容量需求的增加�,保護(hù)光網(wǎng)絡(luò)物理層的問題不能夠被忽略。光層安全受益于電磁抗干擾性���,然而光層不僅包括光纖范圍�����,而且還包括易受各種進(jìn)攻的攻擊的網(wǎng)絡(luò)裝備���。這意味著光網(wǎng)絡(luò)能夠幾乎與基于銅線的網(wǎng)絡(luò)一樣容易分接或干擾���。
[0003]已經(jīng)提出的提供通信安全的一種方式是跨光通信網(wǎng)絡(luò)傳送的信號的光學(xué)加密,如由 jung等人在2008年4月在Optical and Quantum Electronics vol.40�����,n0.5-6上公開的題為 “Demonstrat1n of 1Gbps all-optical encrypt1n and decrypt1n systemutilizing SOA XOR logic gates”中提出的��。光學(xué)加密面臨的問題是對于在通信網(wǎng)絡(luò)中的每個發(fā)射器和接收器的每個波長信道��,要求光學(xué)加密和解密裝置�����,這增加網(wǎng)絡(luò)成本��。
[0004]W02011103930中示出的一個已知方式有關(guān)通信網(wǎng)絡(luò)中光監(jiān)視點的易受攻擊性�。這些監(jiān)視點旨在用于監(jiān)視光譜和功率但是可能易受未授權(quán)偷聽的攻擊。監(jiān)視點典型地包括光分路器�����,布置成提取將被監(jiān)視的光信號的1%到10%之間,所提取的信號被提供到監(jiān)視端口���。被監(jiān)視的光信號攜帶的所有業(yè)務(wù)被復(fù)制在提取信號中并且被提供到監(jiān)視端口��。存在作為結(jié)果的問題�,活動業(yè)務(wù)在監(jiān)視端口易受偷聽的攻擊并且這呈現(xiàn)通信網(wǎng)絡(luò)安全的問題�����。
[0005]國際電信聯(lián)盟文檔ITU-T X.805 “Security architecture for systemsproviding end-to-end communicat1ns”陳述各種光保護(hù)方案��,以用于使得光連接安全�����,免于光纖被切割來放置嵌入的分接頭以用于偷聽�。然而�,ITU-T X.805中陳述的方法僅僅監(jiān)視光通信網(wǎng)絡(luò)光纖鏈路中的切割,而不能檢測經(jīng)由監(jiān)視端口的光信號偷聽�����。
[0006]光信號轉(zhuǎn)換設(shè)備被布置成接收分接的信號并且對分接的信號應(yīng)用光轉(zhuǎn)換函數(shù)來形成光監(jiān)視信號。光轉(zhuǎn)換函數(shù)被布置成保持分接信號的頻譜特性并且對分接的信號應(yīng)用時域模糊���。光信號轉(zhuǎn)換設(shè)備進(jìn)一步被布置成將光監(jiān)視信號提供到監(jiān)視端口����。因此��,可以形成來自輸入光信號或輸出光信號的光監(jiān)視信號����,在所述光監(jiān)視信號上在時域中業(yè)務(wù)被模糊,并且在所述光監(jiān)視信號中保持輸入光信號或輸出光信號的頻譜特性����。因此,通過光監(jiān)視信號上的偷聽來截取輸入信號或輸出信號上的業(yè)務(wù)變得困難或不可能�,而不需要每個波長信道的加密。
【發(fā)明內(nèi)容】
[0007]在申請者早先未公開的專利申請PCT/EP2012/060996中�,申請者描述了用于檢測未使用輸出端口的未授權(quán)訪問的安全監(jiān)視系統(tǒng)。該安全監(jiān)視系統(tǒng)包括阻塞部件��,其可移除地耦合到未使用輸出端口�����,以占用所述未使用輸出端口,以便排除任何其它部件使用未使用輸出端口來獲得對未使用輸出端口的光路的未授權(quán)訪問�。光檢測器耦合到阻塞部件并且被配置成檢測經(jīng)過未使用輸出端口的光信號。還存在告警電路����,其被配置成基于由光檢測器的光信號檢測來輸出指示未使用輸出端口已經(jīng)被訪問的告警信號。例如���,如果感應(yīng)到光信號中的中斷�,則可以輸出告警信號����,指示阻塞部件可已經(jīng)自未使用輸出端口移除,以及因此可已經(jīng)發(fā)生未授權(quán)訪問����。這個安全監(jiān)視系統(tǒng)具有使得未使用輸出端口能夠更安全而免于干擾或者免于偷聽的優(yōu)點��。
[0008]然而�,這個安全監(jiān)視系統(tǒng)不能夠用于檢測到未使用輸入端口的未授權(quán)訪問,自所述未使用輸入端口不存在輸出光信號�。未使用輸入端口不能夠用于訪問或分接光業(yè)務(wù)。然而�,申請者已經(jīng)領(lǐng)會���,盡管如此,其對于保護(hù)未使用輸入端口免于未授權(quán)訪問將是所期望的�����,因為這些端口能夠用于引入能夠破壞信號業(yè)務(wù)的干擾信號��。
[0009]本發(fā)明實施例旨在提供一種檢測未使用輸入端口的未授權(quán)訪問的安全監(jiān)視系統(tǒng)��。
[0010]根據(jù)本發(fā)明的第一方面����,提供一種用于光通信網(wǎng)絡(luò)的設(shè)備,所述設(shè)備具有至少兩條光路以用于去往或來自其它節(jié)點的光業(yè)務(wù)���,所述光路具有相應(yīng)的光端口�����,其中所述光端口中的至少一個被配置為未使用輸入端口�,可用于光業(yè)務(wù)的將來使用���。提供安全監(jiān)視系統(tǒng)以用于檢測未授權(quán)訪問���,并且具有包括接口的阻塞部件�����,所述接口可移除地耦合到未使用輸入端口來占用未使用輸入端口以便排除任何其它部件使用所述未使用輸入端口來獲得到所述未使用輸入端口的光路的未授權(quán)訪問�����。光源光耦合到所述阻塞部件的接口���,以便當(dāng)所述接口耦合到所述未使用輸入端口時,光能夠通過所述接口傳送到所述未使用輸入端口中����。光檢測器進(jìn)一步被布置成檢測從所述阻塞部件的接口反射回的光。提供告警電路�����,其被配置成基于由所述光檢測器的反射光檢測�,輸出指示未使用輸入端口已經(jīng)被訪問的告警信號。
[0011]該監(jiān)視能夠幫助使得節(jié)點更安全而免于干擾(例如至未使用輸入端口中的能夠干擾系統(tǒng)業(yè)務(wù)的噪聲信號的引入)�。其還能夠使得監(jiān)視系統(tǒng)外部于或者更加獨立于節(jié)點的其它部分�����,使得更容易升級現(xiàn)有節(jié)點。與應(yīng)用到整個節(jié)點或建筑的其它機械或物理安全措施相比��,這能夠更簡單�����、成本更低并且能夠有選擇地應(yīng)用以便僅僅如期望地保護(hù)節(jié)點的部分�。該新的監(jiān)視還與此類已知的方法兼容并且因此能夠使得安全能夠被以多等級提供以用于更加完全的安全。這些特點在原理上應(yīng)用于內(nèi)部可訪問或外部端口�����,以及應(yīng)用于使用作為結(jié)果的損害指示的任何方式���。
[0012]任何附加特征能夠加入這些特征中�,并且一些此類附加特征在下面被陳述以及在從屬權(quán)利要求中陳述�����,以及更詳細(xì)地描述�。
[0013]—個此類附加特征是光源被配置成發(fā)出與光通信網(wǎng)絡(luò)中的現(xiàn)有光業(yè)務(wù)不同波長的光。這是所期望的�����,因為其保證由安全監(jiān)視系統(tǒng)輸入到未使用輸入端口中的光自身不干擾光通信系統(tǒng)中的光業(yè)務(wù)。
[0014]另一此類附加特征是告警電路被配置成如果檢測的反射光功率大于預(yù)定義閾值�,
則輸出告警信號。
[0015]另一此類附加特征是節(jié)點包括至少一個光分路器和波長復(fù)用器�,所述至少一個光分路器具有耦合到未使用輸入端口的輸入,以及所述波長復(fù)用器具有耦合到未使用輸入端口的輸入�����。這些是通常使用的組件����,它們能夠?qū)е驴沼噍斎耄@因此能夠增加安全易受攻擊性�����。
[0016]另一此類附加特征是至少一個未使用輸入端口包括光連接器以及阻塞部件具有適合于與光連接器配對的對應(yīng)連接器����。該連接器使得增加干擾信號特別容易,因此在此情形中增加的安全特別有用����。
[0017]另一此類附加特征是監(jiān)視系統(tǒng)具有向網(wǎng)絡(luò)的網(wǎng)絡(luò)管理部件發(fā)送告警信號的通信部件����。由于網(wǎng)絡(luò)管理系統(tǒng)具有大量關(guān)于網(wǎng)絡(luò)狀態(tài)的信息�,這能夠幫助能夠?qū)崿F(xiàn)對于檢測的適當(dāng)響應(yīng)����。
[0018]另一此類附加特征是告警電路具有鎖存電路和復(fù)位電路,所述鎖存電路被配置成保持損害的暫時檢測的持續(xù)指示�����,以及所述復(fù)位電路用于根據(jù)外部信號復(fù)位所述鎖存電路����。這能夠幫助能夠?qū)崿F(xiàn)短暫檢測的處理。
[0019]本發(fā)明的另一方面是提供一種耦合到光網(wǎng)絡(luò)的設(shè)備的光路的未使用輸入端口的安全監(jiān)視系統(tǒng)���,所述設(shè)備具有至少兩條光路用于去往或來自其它節(jié)點的光業(yè)務(wù)����,所述光路具有相應(yīng)的光端口�����,其中所述光端口的至少一個被配置為未使用輸入端口,可用于在將來耦合光業(yè)務(wù)��。安全監(jiān)視系統(tǒng)用于檢測未授權(quán)訪問并且具有包括接口的阻塞部件����,所述接口用于與所述未使用輸入端口耦合以便占用所述未使用輸入端口。光源光耦合到阻塞部件的接口���,使得當(dāng)接口耦合到未使用輸入端口時�����,光能夠通過接口傳送到未使用輸入端口中�。光檢測器被布置成檢測反射回至阻塞部件的光�����。告警電路被提供����,其配置成基于由所述光檢測器的反射光檢測來輸出指示未使用輸入端口已經(jīng)被訪問的告警信號。
[0020]使監(jiān)視部件作為外部部件對于能夠?qū)崿F(xiàn)與現(xiàn)有節(jié)點一起使用以及對于能夠?qū)崿F(xiàn)與不同類型的節(jié)點一起使用特別有用�,例如不需要改變節(jié)點。
[0021]另一此類附加特征是告警電路被配置成如果由光檢測器檢測的反射光的功率大于預(yù)定義閾值,則輸出告警信號�����。
[0022]另一此類附加特征是用于向網(wǎng)絡(luò)的網(wǎng)絡(luò)管理部件發(fā)送告警信號的通信部件����。
[0023]另一此類附加特征是告警電路具有鎖存電路和復(fù)位電路��,所述鎖存電路用于保持檢測的持續(xù)指示����,以及所述復(fù)位電路用于根據(jù)外部信號復(fù)位所述鎖存電路。
[0024]另一此類附加特征是在存在兩個或更多阻塞部件用于兩個或更多相應(yīng)未使用輸入端口的情況下�,告警電路被配置成輸出指示兩個或更多未使用輸入端口中的哪個已經(jīng)被訪問的告警信號。這能夠幫助使得安全能夠基于每個端口或者每組端口來被處理�����。因此一個端口的告警指示不需要影響通過節(jié)點的所有業(yè)務(wù)�����,以及因此能夠降低業(yè)務(wù)的不必要的重路由選擇�,以及連同路徑更加詳細(xì)的安全等級圖像能夠被構(gòu)建。
[0025]另一此類附加特征是在存在兩個或更多阻塞部件用于兩個或更多相應(yīng)未使用輸入端口的情況下,以及告警電路被配置成組合光檢測器的輸出���,以便如果檢測到對兩個或更多未使用輸入端口中的任何一個的訪問則輸出公共告警信號����。該組合能夠幫助降低信號數(shù)量并且簡化布置��,這能夠使得具有多個未使用輸入端口或許多節(jié)點的系統(tǒng)的更加可縮放�。
[0026]另一此類附加特征是無源光分路器,被布置成將由光源發(fā)出的光分成多個部分�,以用于相應(yīng)地耦合到兩個或更多阻塞部件。將光耦合到多個阻塞部件的這種方式比要求多個光源(每個發(fā)出光以用于耦合到相應(yīng)阻塞部件)的備選解決方案更便宜�����。
[0027]另一此類附加特征是:第二阻塞部件��,可移除地耦合到設(shè)備的可用于光業(yè)務(wù)將來使用的未使用輸出端口��,以占用未使用輸出端口以便排除任何其它部件使用未使用輸出端口以獲得到未使用輸出端