用于光网络的安全监视的制作方法
【技术领域】
[0001]本发明涉及用于光网络的安全监视系统,涉及具有此类系统的设备,以及涉及监视安全的对应方法和安装安全监视系统的对应方法。
【背景技术】
[0002]随着网络容量需求的增加,保护光网络物理层的问题不能够被忽略。光层安全受益于电磁抗干扰性,然而光层不仅包括光纤范围,而且还包括易受各种进攻的攻击的网络装备。这意味着光网络能够几乎与基于铜线的网络一样容易分接或干扰。
[0003]已经提出的提供通信安全的一种方式是跨光通信网络传送的信号的光学加密,如由 jung等人在2008年4月在Optical and Quantum Electronics vol.40,n0.5-6上公开的题为 “Demonstrat1n of 1Gbps all-optical encrypt1n and decrypt1n systemutilizing SOA XOR logic gates”中提出的。光学加密面临的问题是对于在通信网络中的每个发射器和接收器的每个波长信道,要求光学加密和解密装置,这增加网络成本。
[0004]W02011103930中示出的一个已知方式有关通信网络中光监视点的易受攻击性。这些监视点旨在用于监视光谱和功率但是可能易受未授权偷听的攻击。监视点典型地包括光分路器,布置成提取将被监视的光信号的1%到10%之间,所提取的信号被提供到监视端口。被监视的光信号携带的所有业务被复制在提取信号中并且被提供到监视端口。存在作为结果的问题,活动业务在监视端口易受偷听的攻击并且这呈现通信网络安全的问题。
[0005]国际电信联盟文档ITU-T X.805 “Security architecture for systemsproviding end-to-end communicat1ns”陈述各种光保护方案,以用于使得光连接安全,免于光纤被切割来放置嵌入的分接头以用于偷听。然而,ITU-T X.805中陈述的方法仅仅监视光通信网络光纤链路中的切割,而不能检测经由监视端口的光信号偷听。
[0006]光信号转换设备被布置成接收分接的信号并且对分接的信号应用光转换函数来形成光监视信号。光转换函数被布置成保持分接信号的频谱特性并且对分接的信号应用时域模糊。光信号转换设备进一步被布置成将光监视信号提供到监视端口。因此,可以形成来自输入光信号或输出光信号的光监视信号,在所述光监视信号上在时域中业务被模糊,并且在所述光监视信号中保持输入光信号或输出光信号的频谱特性。因此,通过光监视信号上的偷听来截取输入信号或输出信号上的业务变得困难或不可能,而不需要每个波长信道的加密。
【发明内容】
[0007]在申请者早先未公开的专利申请PCT/EP2012/060996中,申请者描述了用于检测未使用输出端口的未授权访问的安全监视系统。该安全监视系统包括阻塞部件,其可移除地耦合到未使用输出端口,以占用所述未使用输出端口,以便排除任何其它部件使用未使用输出端口来获得对未使用输出端口的光路的未授权访问。光检测器耦合到阻塞部件并且被配置成检测经过未使用输出端口的光信号。还存在告警电路,其被配置成基于由光检测器的光信号检测来输出指示未使用输出端口已经被访问的告警信号。例如,如果感应到光信号中的中断,则可以输出告警信号,指示阻塞部件可已经自未使用输出端口移除,以及因此可已经发生未授权访问。这个安全监视系统具有使得未使用输出端口能够更安全而免于干扰或者免于偷听的优点。
[0008]然而,这个安全监视系统不能够用于检测到未使用输入端口的未授权访问,自所述未使用输入端口不存在输出光信号。未使用输入端口不能够用于访问或分接光业务。然而,申请者已经领会,尽管如此,其对于保护未使用输入端口免于未授权访问将是所期望的,因为这些端口能够用于引入能够破坏信号业务的干扰信号。
[0009]本发明实施例旨在提供一种检测未使用输入端口的未授权访问的安全监视系统。
[0010]根据本发明的第一方面,提供一种用于光通信网络的设备,所述设备具有至少两条光路以用于去往或来自其它节点的光业务,所述光路具有相应的光端口,其中所述光端口中的至少一个被配置为未使用输入端口,可用于光业务的将来使用。提供安全监视系统以用于检测未授权访问,并且具有包括接口的阻塞部件,所述接口可移除地耦合到未使用输入端口来占用未使用输入端口以便排除任何其它部件使用所述未使用输入端口来获得到所述未使用输入端口的光路的未授权访问。光源光耦合到所述阻塞部件的接口,以便当所述接口耦合到所述未使用输入端口时,光能够通过所述接口传送到所述未使用输入端口中。光检测器进一步被布置成检测从所述阻塞部件的接口反射回的光。提供告警电路,其被配置成基于由所述光检测器的反射光检测,输出指示未使用输入端口已经被访问的告警信号。
[0011]该监视能够帮助使得节点更安全而免于干扰(例如至未使用输入端口中的能够干扰系统业务的噪声信号的引入)。其还能够使得监视系统外部于或者更加独立于节点的其它部分,使得更容易升级现有节点。与应用到整个节点或建筑的其它机械或物理安全措施相比,这能够更简单、成本更低并且能够有选择地应用以便仅仅如期望地保护节点的部分。该新的监视还与此类已知的方法兼容并且因此能够使得安全能够被以多等级提供以用于更加完全的安全。这些特点在原理上应用于内部可访问或外部端口,以及应用于使用作为结果的损害指示的任何方式。
[0012]任何附加特征能够加入这些特征中,并且一些此类附加特征在下面被陈述以及在从属权利要求中陈述,以及更详细地描述。
[0013]—个此类附加特征是光源被配置成发出与光通信网络中的现有光业务不同波长的光。这是所期望的,因为其保证由安全监视系统输入到未使用输入端口中的光自身不干扰光通信系统中的光业务。
[0014]另一此类附加特征是告警电路被配置成如果检测的反射光功率大于预定义阈值,
则输出告警信号。
[0015]另一此类附加特征是节点包括至少一个光分路器和波长复用器,所述至少一个光分路器具有耦合到未使用输入端口的输入,以及所述波长复用器具有耦合到未使用输入端口的输入。这些是通常使用的组件,它们能够导致空余输入,这因此能够增加安全易受攻击性。
[0016]另一此类附加特征是至少一个未使用输入端口包括光连接器以及阻塞部件具有适合于与光连接器配对的对应连接器。该连接器使得增加干扰信号特别容易,因此在此情形中增加的安全特别有用。
[0017]另一此类附加特征是监视系统具有向网络的网络管理部件发送告警信号的通信部件。由于网络管理系统具有大量关于网络状态的信息,这能够帮助能够实现对于检测的适当响应。
[0018]另一此类附加特征是告警电路具有锁存电路和复位电路,所述锁存电路被配置成保持损害的暂时检测的持续指示,以及所述复位电路用于根据外部信号复位所述锁存电路。这能够帮助能够实现短暂检测的处理。
[0019]本发明的另一方面是提供一种耦合到光网络的设备的光路的未使用输入端口的安全监视系统,所述设备具有至少两条光路用于去往或来自其它节点的光业务,所述光路具有相应的光端口,其中所述光端口的至少一个被配置为未使用输入端口,可用于在将来耦合光业务。安全监视系统用于检测未授权访问并且具有包括接口的阻塞部件,所述接口用于与所述未使用输入端口耦合以便占用所述未使用输入端口。光源光耦合到阻塞部件的接口,使得当接口耦合到未使用输入端口时,光能够通过接口传送到未使用输入端口中。光检测器被布置成检测反射回至阻塞部件的光。告警电路被提供,其配置成基于由所述光检测器的反射光检测来输出指示未使用输入端口已经被访问的告警信号。
[0020]使监视部件作为外部部件对于能够实现与现有节点一起使用以及对于能够实现与不同类型的节点一起使用特别有用,例如不需要改变节点。
[0021]另一此类附加特征是告警电路被配置成如果由光检测器检测的反射光的功率大于预定义阈值,则输出告警信号。
[0022]另一此类附加特征是用于向网络的网络管理部件发送告警信号的通信部件。
[0023]另一此类附加特征是告警电路具有锁存电路和复位电路,所述锁存电路用于保持检测的持续指示,以及所述复位电路用于根据外部信号复位所述锁存电路。
[0024]另一此类附加特征是在存在两个或更多阻塞部件用于两个或更多相应未使用输入端口的情况下,告警电路被配置成输出指示两个或更多未使用输入端口中的哪个已经被访问的告警信号。这能够帮助使得安全能够基于每个端口或者每组端口来被处理。因此一个端口的告警指示不需要影响通过节点的所有业务,以及因此能够降低业务的不必要的重路由选择,以及连同路径更加详细的安全等级图像能够被构建。
[0025]另一此类附加特征是在存在两个或更多阻塞部件用于两个或更多相应未使用输入端口的情况下,以及告警电路被配置成组合光检测器的输出,以便如果检测到对两个或更多未使用输入端口中的任何一个的访问则输出公共告警信号。该组合能够帮助降低信号数量并且简化布置,这能够使得具有多个未使用输入端口或许多节点的系统的更加可缩放。
[0026]另一此类附加特征是无源光分路器,被布置成将由光源发出的光分成多个部分,以用于相应地耦合到两个或更多阻塞部件。将光耦合到多个阻塞部件的这种方式比要求多个光源(每个发出光以用于耦合到相应阻塞部件)的备选解决方案更便宜。
[0027]另一此类附加特征是:第二阻塞部件,可移除地耦合到设备的可用于光业务将来使用的未使用输出端口,以占用未使用输出端口以便排除任何其它部件使用未使用输出端口以获得到未使用输出端