eng
Выпуск #8/2020
В. В. Гришачев
Перехват трафика в оптических сетях: метод оптического туннелирования
Перехват трафика в оптических сетях: метод оптического туннелирования
Просмотры: 3212
В статье проанализирован перехват информации на основе оптического туннелирования информационного сигнала из волоконно-оптического канала оптической системы связи в канал утечки. Анализ выполнен методом численного моделирования. Он показывает высокий уровень угроз информационной безопасности критической информационной инфраструктуры. Перехват может быть реализован скрытно в полевых условиях с вероятностью появления ошибочного бита, не бóльшим, чем в линии связи, даже при сохранении структуры оптического волокна и с минимальными разрушениями защитных оболочек кабеля.
Теги: informational and informative signals optical link and leakage channel optical network information security optical tunneling traffic intercept информационная безопасность оптических сетей информационный и информативный оптический сигнал оптические каналы связи и утечки оптическое туннелирование перехват трафика
Перехват трафика в оптических сетях: метод оптического туннелирования
В. В. Гришачев
ИИНиТБ РГГУ, Москва, Россия
Статья поступила: 24.10.2020
Принята к публикации: 24.11.2020
Проблема защиты информации в оптических сетях связи
В структуре современных систем связи определяющую роль играют оптические сети, в основе которых находятся волоконно-оптические системы передачи информации. Передача информации через оптический кабель дает значительные преимущества перед другими каналами связи, одно из которых − высокая защищенность передачи от перехвата [1,2]. Надо отметить, что повышенный уровень безопасности во многом определяется малой изученностью методов формирования каналов утечки и существует достаточно много технических решений получения доступа к передаваемой по волоконно-оптическим каналам информации.
Перехват информационного трафика в сетях связи – это несанкционированный доступ к передаваемой по сетям связи информации с помощью средств технической разведки, т. е. технических средств не входящих в штатную инфраструктуру системы связи [2–5]. Структура перехвата включает штатный канал и линию связи, в котором формируется нештатный канал и линия утечки. Основой перехвата является физический способ подключения к штатному каналу связи. По способу подключения модель перехвата включает два вида (рис. 1):
контактный перехват, формируемый путем отвода части информационного оптического сигнала из канала связи в канал утечки (рис. 1A, 1B);
дистанционный перехват, формируемый путем регистрации оптических и неоптических информативных сигналов без или с воздействием на канал связи (рис. 1C, 1D).
Вид перехвата определяет используемые средства технической разведки и эффективность функционирования, т. е. уровень опасности угрозы.
Дистанционный перехват. Одно из главных преимуществ оптического канала, по сравнению электрическими каналами связи, состоит в отсутствии побочных электромагнитных излучений и наводок (ПЭМИН), но данное утверждение не является абсолютным. Как показывает численное моделирование [6, 7], в оптическом кабеле присутствуют информативные электромагнитные излучения на частотах, близких к частотам модуляции информационного сигнала оптической несущей, – паразитные электромагнитные излучения (ПрЭМИ), формируемые вследствие нелинейно-оптических преобразований, оценка мощности которых показывает возможность формирования дистанционного канала утечки.
Также в литературе обсуждается дистанционный перехват на основе ядерного магнитного резонанса и других физических явлений без проведения какого-либо анализа. Все способы строятся на физических явлениях взаимодействия информационного сигнала с материалом канала связи, приводящее к информативным модуляциям параметров среды.
Контактный перехват. Отвод части излучения из оптоволокна является технической задачей требуемой для многих целей работы волоконно-оптических технологий, таких как объединение и разделение оптического потока в волокне и другие. Данные технологии могут успешно применяться и в технике перехвата, тем более что некоторые устройства с подобными функциями применяются при монтаже и эксплуатации волоконно-оптических систем передачи информации. Например, в службах мониторинга сети используются устройства-перехватчики трафика (network tap), которые представляются в виде включаемых в разрыв волокон с помощью штатных разъемов волоконно-оптического ответвителя и предназначенных для штатного контроля информационного трафика [1, 2].
Другое устройство, коммерческая волоконно-оптическая прищепка (например FOD‑5503), используется при монтаже и эксплуатации оптической сети для голосовой связи между монтажниками на расстояниях более 200 км путем вывода / ввода части излучения на изгибе волокна [2].
Широкое распространение данных технических устройств, имеющих двойное назначение, привело к тому, что при обсуждении перехвата обсуждаются только эти два канала утечки. Их опасность значительно преувеличена, так как все они легко обнаруживаются службами мониторинга и безопасности либо при монтаже, либо при эксплуатации. Более или менее они эффективны для внутреннего нарушителя, который, используя свои знания работы локальной сети внутри контролируемой зоны, может подключить либо перехватчик трафика, либо прищепку-ответвитель. Перехват трафика в телекоммуникациях усложняется, так как разрыв канала будет обнаружен, отвод части информационного оптического сигнала на изгибе слишком значителен по величине, что скажется на функционале сети.
Анализ угроз показывает, что существуют другие более эффективные модели контактного перехвата, к которым относится перехват трафика на основе отвода части оптического излучения из канала связи в канал утечки путем оптического туннелирования [2–3]. Хотя данный контактный перехват качественно описан достаточно давно, но физическое описание и оценки его эффективности отсутствуют. В данной работе данный пробел восполняется, что может позволить составить более полную модель угроз информационной безопасности трафику в оптических сетях.
Методика и оценка
эффективности перехвата
Перехват трафика в информационных кабельных сетях имеет свои особенности, и для их выявления необходимо определить технические характеристики формирования и функционирования канала утечки [2–5, 8–10]. Основными составляющими канала утечки являются способ физического доступа к информационному сигналу и формирования информативного сигнала, реализация канала утечки и технические средства регистрации. Кроме этого необходимо определиться с техническими характеристиками, определяющими эффективность функционирования канала утечки.
Канал связи и утечки. Обобщенная структурная схема перехвата информационного трафика в оптических сетях представлена на рис. 2. Штатный канал связи состоит из передатчика 1, канала связи 2 в виде оптического кабеля и приемника 3. Основными частями канала утечки являются система формирования информативного сигнала 4, например путем отвода части излучения из канала связи в канал утечки, и система регистрации информативного сигнала 5. Функционирование канала утечки, которое может быть реализовано различными способами, определяется методом формирования информативного сигнала.
Параметры канала связи определяются длиной канала (L), мощностями оптического сигнала на входе (Pin), т. е. мощностью передатчика, и на выходе (Pout), т. е. на входе в приемник, которые определяют бюджет линии связи (Pin–Pout в дБ). Величина Pout определяется чувствительностью приемника, которая не может быть выше этой величины. Также на работу линии связи влияют шумовые характеристики линии, задаваемые отношениями сигнал / шум на входе SNRin и выходе SNRout, которые можно разделить на электронные в активных частях и оптические в канале связи.
Параметры канала утечки определяются расстоянием (x) до места формирования информативного сигнала в канале утечки, выбор которого оказывает значительное влияние на его эффективность. Чем ближе к передатчику расположен отвод, тем выше мощность информационного сигнала и тем большую мощность с меньшими шумами информативного сигнала (Pleak) можно отвести скрытно от систем мониторинга. Эффективность перехвата во многом связана с шумами канала утечки SNRleak, которые главным образом генерируются при подключении к штатному каналу связи и отводом в канал утечки.
В других технических устройствах канала утечки шумы могут быть сокращены путем использования малошумящих приемников и усилителей по сравнению со штатными устройствами канала связи, что позволит добиться лучших шумовых характеристик.
Блок-схема канала утечки. Эффективная регистрация трафика может быть реализована по схеме (рис. 3), в которой отведенный информативный сигнал 1 отрезается от канала связи путем установки оптического изолятора 2, последующего усиления 3 и преобразователя 4. Оптический изолятор выполняется в виде фарадеевского элемента, циркулятора или другого элемента и предназначен для недопущения обратных оптических излучений из канала утечки в канал связи, и в первую очередь излучений от оптического усилителя. Отводимый оптический сигнал должен быть малой величины, в предельном случае, порядка одного или нескольких фотонов, что позволяет повысить скрытность отвода излучения. Усиление позволяет повысить сигнал до требуемой мощности в преобразователе и последующего декодирования.
Задача канала утечки состоит в перехвате информационного трафика в канале связи без потерь информации. В цифровых системах связи это связано с формированием канала утечки, в котором вероятность появления ошибочного бита (BERleak) будет не больше, чем вероятность появления ошибочного бита (BERlink) в канале связи, т. е.
.
Из этих предположений, основными параметрами канала связи являются: (1) оптический бюджет линии Pin–Pout, с которым связана чувствительность приемника; (2) отношение сигнал / шум на входе SNRin и на выходе SNRout канала связи. Тогда основными параметрами канала утечки, основанного на отведении части информационного оптического сигнала в канал утечки, являются мощность Pleak и отношение сигнал / шум SNRleak информативного оптического сигнала.
Ограничения на мощность отводимого информативного сигнала определяются: (1) чувствительностью оптического приемника канала утечки, который должен надежно регистрировать сигнал с вероятностью появления ошибочного бита не большим, чем в канале связи; (2) с долей отводимой мощности из канала связи, которая должна быть такой малой, чтобы не быть обнаруженной системой мониторинга. На расстоянии x от передатчика мощность информативного сигнала Pleak = Px зависит от мощности информационного сигнала P0 в месте формирования канала утечки, что позволяет ввести понятие коэффициента передачи мощности из канала связи в канал утечки
.
Дополнительные ограничения связаны с отношением сигнал / шум информативного сигнала – оно должно быть не меньше, чем у штатного приемника канала связи. Для характеристики шумовых свойств каналов можно использовать понятие коэффициента шума элементов канала [8–10], т. е. отношение SNR на входе элемента к SNR на выходе, так что интегральные коэффициенты шума канала связи и канала утечки определяются соответственно, как
и .
Каждый из которых является произведением коэффициентов шума отдельных элементов, составляющих канал. Для канала утечки его можно определить в виде произведения
,
коэффициентов шума системы формирования информативного сигнала (FT), линии передачи (FL), усилителя (FA) и преобразователя (приемника) (FR). Наибольший вклад в зашумление информативного сигнала вносит система формирования информативного сигнала, что связано с необходимостью его создания в полевых условиях существующей линии связи, в то время как другие элементы могут быть изготовлены заранее промышленным способом с характеристиками, превосходящими штатные элементы.
Условием для достоверной оценки эффективности канала утечки является требование
,
тогда вероятность появления ошибочного бита в канале утечки будет не больше, чем в канале связи, т. е. .
Введенные параметры позволяют провести анализ эффективности функционирования каналов утечки на основе отвода части оптического излучения из канала связи и сделать предположения по эффективной защите канала связи от перехвата по отдельным типам. В частности, далее рассматривается канал утечки на основе отвода части оптического излучения из канала связи в канал утечки на основе оптического туннелирования.
Оптическое туннелирование в перехвате трафика
Явление оптического туннелирования состоит в нарушении полного внутреннего отражения на границе сердцевина / оболочка оптического волокна, которое связано с формированием поверхностной волны, проникающей внутрь оболочки с экспоненциально убывающей интенсивностью по глубине проникновения, варьирующуюся с углом падения и длиной волны [2, 3, 11–13]. Проникающая в оболочку отражаемая волна уходит от границы на расстояния нескольких длин волн и может быть захвачена другим волноводом. При условии фазового синхронизма в основном волноводе и дополнительном волноводе, перехватывающем часть поверхностной волны, происходит перетекание волны, которое может быть полным.
Модель отвода оптической мощности из одного волновода в другой, близко расположенный волновод, представлена на рис. 4. Два волноводных канала вдоль оси y шириной w с показателями преломления n1 и n2 разделены расстоянием s с показателем преломления n3, образующим оптический контакт вдоль волокон длиной z по оси z. По информационному каналу связи распространяется оптическое информационное излучение мощностью P0, в области оптического контакта часть излучения мощностью Px переходит в информативный канал утечки.
Коэффициент передачи из канала связи в канал утечки для случая оптического туннелирования можно определить методом связанных мод [11–13] как
,
который зависит от коэффициента связи оптических мод (K) в каналах связи и утечки, оптической контактной длины волноводов z с оптическими потерями в канале связи α и разностью постоянных распространения между ними Δβ.
В приближении малого поглощения (α << 1) и одинаковости волноводов (Δβ ≈ 0) получим
.
Отвод мощности из канала связи в канал утечки не должен быть большим. Он не должен превышать типичные значения потерь на оптических неоднородностях типа сварки (менее 0,1 дБ, порядка 0,01–0,02 дБ), поэтому отводимая мощность всегда много меньше 1 при , что позволяет определить коэффициент передачи в виде
.
Как видно, значение коэффициента передачи определяется коэффициентом связи K между волноводами каналов связи и утечки, а длина оптического контакта z волноводов играет роль параметра, с помощью которого можно влиять на величину коэффициента передачи.
Оценка интегрального коэффициента передачи из канала связи в канал утечки может быть проведена в приближении плоских волноводов с параболическим профилем показателя преломления методом связанных мод. Для оценки используем геометрические и оптические параметры волноводов, близкие по величине к цилиндрическим волокнам оптических систем связи [1,2].
Геометрические параметры: ширина волновода порядка диаметра сердцевины волокна – 8–9 мкм (w / λ = 8), ширина оптического контакта меньше или порядка толщины оболочки волокна – ~60 мкм при диаметре оболочки 125 мкм (s / λ ≤ 50).
Длина оптического контакта порядка 1 см (z / λ = 104) выбирается из условий технической возможности фиксации протяженного контакта механическими и клеевыми приспособлениями, а также из условия фазового синхронизма связанных мод. Длина когерентности информационного оптического сигнала ограничивается частотой модуляции, следовательно, для скорости передачи информации более 10 ГГц длина когерентности составит порядка 6 см.
Оптические параметры: показатели преломления волноводов как у сердцевин выпускаемых оптоволокон порядка n1 = n2 = 1,45, показатель преломления оптического контакта n3 = 1,44 (т. е. n1 (n2) – n3 = 0,01) и критический угол θc = 1,45328 рад (sin θc = n3 / n2 = 0,9931), т. е. пределы изменения угла падения и синуса угла падения .
Предлагаемые приближения можно транслировать на цилиндрические волокна с определенными ограничениями, но они позволяют определить основные параметры оптического туннелирования по порядку величины, что вполне достаточно для поставленной задачи по оценке эффективности канала утечки.
Коэффициент связи оптических мод K зависит от типа волноводов, расстояния между волноводами (s), частоты или длины волны информационного сигнала (ω или λ), постоянной распространения волновода (), показателя преломления среды волновода (n), волнового числа информационного сигнала в вакууме , угла падения (θ, принимающего значения от критического угла падения до направления распространения вдоль оси волновода π / 2). В приближении плоских одинаковых волноводов с n1 = n2, Δβ = 0 и параболическим профилем показателя преломления коэффициент связи [11] имеет вид
Тогда коэффициент передачи может быть представлен в удобном для численного моделирования виде
,
где введены безразмерные константы на основании принятых геометрических и оптических характеристик волноводов:
; ; ; для и , λ = 1,6 мкм, , , .
В результате численного моделирования получена зависимость коэффициента передачи от угла падения , которая имеет ярко выраженный максимум (рис. 5). Коэффициент передачи равен 0 при критических углах падения, с увеличением угла падения он быстро растет и достигает своего максимума. Приближение направления распространения к приосевым лучам приводит к быстрому падению коэффициента передачи до 0. Таким образом, коэффициент передачи имеет узкий по углу падения максимум, в котором сосредоточена небольшая доля мощности информационного сигнала. Величина максимума достигает 1 при увеличении длины оптического контакта более 1 мм. Это позволяет полностью отводить в канал утечки малые доли информационного потока, отклоняющиеся от приосевого направления распространения, что трудно фиксируется системами мониторинга сети.
Из графика зависимости видно, что присутствующие в структуре потока направления лучей распространения, близкие к критическому углу падения θc, будут эффективно переходить из канала связи в канал утечки. В приближении оптического контакта длиной порядка ста величин длин волн (~160 мкм) и при ширине около 40 длин волн (~65 мкм) в канал утечки будет переходить более 1% мощности всех лучей с углом падения, близким к критическому углу. Увеличение длины оптического контакта в 100 раз до 16 мм приведет к вовлечению в процесс формирования информативного сигнала более удаленные от критического угла лучи со 100% передачей в канал утечки. Более близкие к критическому углу лучи не будут оказывать существенного влияние на коэффициент передачи из-за нарушения волнового синхронизма между каналами. Таким образом, 100%-ая передача будет происходить в узком диапазоне углов падения, ограниченных шириной диапазона углов с максимальной передачей, порядка 0,003 рад из общего диапазона углов порядка 0,1 рад. Интегральный коэффициент передачи мощности можно оценить в 1%. Такой вид зависимости предполагает возможность формирования регистрируемого информативного сигнала в канале утечки даже для цилиндрических волокон соединенных оптическим клеем без стравливания оболочки волокна до сердцевины, что значительно упрощает технику отвода светового потока и делает её скрытной для мониторинга.
Оценка расстояния от передатчика линии связи до места перехвата. Мощность Pleak информативного сигнала в месте перехвата определяется исходной мощностью Pin передатчика, потерями α в канале связи и коэффициентом передачи κ, так что
.
Минимальную отводимую в канал утечки мощность можно оценить в 10 фотонов, которая ограничивается шумами средств технической разведки канала утечки. Ограничение по мощности для скорости передачи информации 100 Гб / сек составит дБм (0,1 мкВт), отсюда получаем максимальную дальность перехвата
.
Для интегрального коэффициента передачи κ = 1%, мощности передатчика Pin = 10 дБм и потерей в канале связи α = 0,5 дБ / км расстояние, до которого будет возможен перехват с принятой техникой разведки, достигнет 60 км.
Шумы информативного сигнала в канале утечки. При формировании информативного сигнала путем оптического туннелирования коэффициент связи оптических мод (K) испытывает флуктуации вследствие теплового изменения расстояния между каналами (δs), ширины спектра информационного сигнала (δω), направления распространения (δθ), что вызывает флуктуации коэффициента передачи и, следовательно, искажения информативного сигнала в канале утечки, т. е. появление мультипликативных шумов.
Аддитивными шумами можно пренебречь, так как проникновение из внешней среды или внутренние генерации света незначительны. В месте отвода оптического излучения среднеквадратичная мощность информационного сигнала в канале связи и информативного сигнала в канале утечки
и ,
где первые слагаемые и − мощности полезной части сигнала, а вторые слагаемые и − мощности шумов. Среднеквадратичная мощность полезной части информативного сигнала
и шумовой части
,
где – паразитные флуктуации коэффициента передачи, которые уменьшают величину полезной части информативного сигнала на и на столько же увеличивают её шумовую часть, – аддитивные шумы, которыми пренебрегаем. Отсюда можно получить связь отношения сигнал / шум информационного и информативного сигналов в виде коэффициента шума канала утечки
.
То есть предполагается, что основной вклад в шумы дает способ формирования отвода части информационного сигнала из канала связи в канал утечки, шумы других частей канала утечки нивелируются выбором малошумящих средств технической разведки.
Оценка флуктуаций коэффициента передачи определяется относительными флуктуациями параметров оптического туннелирования, таких как угол падения , ширина и длина оптического контакта, ширины волновода и других, связанных с тепловыми колебаниями в месте контакта. В приближении малости коэффициента передачи его величина связывается с относительными флуктуациями в принятых обозначениях и приближениях как
Если учесть большую длину оптического контакта и стабильность ширины волновода, то коэффициент передачи можно оценить приближением
.
Тогда коэффициент шума передачи
для , т. е. .
Это значительно затрудняет перехват. Но эффективного перехвата можно достичь использованием менее шумящего приемника по сравнению со штатным приемником линии связи (т. е. с вероятностью появления ошибочного бита, не большего штатного канала связи).
Особенности перехвата
трафика в оптических
сетях связи
Практическая реализация перехвата возможна при создании эффективного и стабильного оптического контакта между каналами связи и утечки, что требует выполнения определенных условий по доступу к оптическому кабелю и технических решений по формированию отвода части оптического излучения. На основе проведенного качественного анализа формирования информативного сигнала методом оптического туннелирования можно предложить несколько структурных схем реализации канала утечки (рис. 6). Несмотря на то, что значения коэффициента передачи должны быть малы, но даже в этом случае реализовать туннелирование света через защитные оболочки трудно.
Поэтому, во‑первых, необходимо освободить волокно от всех защитных оболочек до оптической оболочки волокна, составляющее в диаметре 125 мкм; во‑вторых, в области оптического контакта с волокном канала связи необходимо использовать канал утечки в виде волновода без оболочки удобной формы, переходящее в обычное цилиндрическое волокно.
Формирование устойчивого оптического контакта можно осуществить механическим (рис. 6А) или клеевым (рис. 6В) способами без изгиба волокна. Последний способ предпочтительнее, так как более устойчив к внешним воздействиям: границы оптического клея выполняют фокусирующие функции для туннелирующего в него света и защитные функции от внешних воздействий, которые могут повлиять как на канал утечки, так и на канал связи. Дополнительное небольшое воздействие внешних физических полей на оптический контакт, в том числе и механическое воздействие (т. е. изгиб), может увеличить коэффициент передачи. Еще один способ (рис. 6С) связан с использованием оптического клея как второй оболочки вокруг первой оболочки оптического волокна канала связи, в которую туннелирует свет и фокусируется на вход волокна канала утечки с градиентной линзой на конце.
Предложенные схемы позволяют реализовать перехват в полевых условиях простейшими средствами технической разведки с минимальными затратами по времени. В частности, формирование контакта с применением оптического клея можно реализовать без полного разрушения защитных оболочек кабеля путем ввода клея и волокна канала утечки через малый прокол в кабеле полой цилиндрической трубкой наподобие иглы медицинского шприца.
Все это показывает высокий уровень угрозы данного сценария перехвата, противодействие которому требует разработки методов защиты кабельной системы, использования оптоволокна высокого качества, непрерывного мониторинга состояния канала связи и других действий. В существующих условиях эксплуатации волоконно-оптических систем передачи информации основным способом предотвращения перехвата является использование качественного оптического кабеля при качественном монтаже, которое позволяет уменьшить вероятность скрытного подключения.
АВТОР
Гришачев Владимир Васильевич к. ф.‑ м. н., доц. Института информационных наук и технологий безопасности (ИИНиТБ), Российского Государственного гуманитарного университета (РГГУ), email: grishachev@mail.ru, Москва, Россия.
ORCID: 0000-0002-7585-7282
СПИСОК ЛИТЕРАТУРЫ
Фриман Р. Л. Волоконно-оптические системы связи / Пер. с англ. под ред. Н. Н. Слепова. – 4‑е доп. изд. – М.: Техносфера. 2007. 511 с.
Шубин В. В. Информационная безопасность волоконно-оптических систем. – Саров: РФЯЦ-ВНИИЭФ, 2015. – 257 с.
Гришачев В. В., Кабашкин В. Н., Фролов А. Д. Анализ каналов утечки информации в волоконно-оптических линиях связи: нарушение полного внутреннего отражения. Информационное противодействие угрозам терроризма. 2005; 4: 194–204.
Булавкин И. А. Вопросы информационной безопасности сетей PON. Технологии и средства связи. 2006; 2:104–108.
Глущенко А., Глущенко Л., Тупота В. Оценка защищенности информации, циркулирующей в ВОЛП. Фотоника. 2010; 4: 36–42.
Гришачев В. В. Анализ каналов утечки информации в волоконно-оптических линиях связи: паразитные электромагнитные излучения. Материалы XXIV науч.-практ. конф. «Комплексная защита информации». – Витебск: ВГТУ. 2019; 44–52.
Гришачев В. В. Перехвата трафика в оптических сетях: информативные паразитные электромагнитные излучения. Фотоника. 2019; 13(3): 280–294. DOI: 10.22184 / FRos.2019.13.3.280.294.
Гришачев В. В., Косенко О. А. Количественная оценка эффективности канала утечки информации по техническим параметрам каналов связи. Вопросы защиты информации. 2010; 4:9–17.
Гришачев В. В., Косенко О. А. Оценка коэффициента шума технического канала утечки информации. Вопросы защиты информации. 2011; 1: 29–36.
Гришачев В. В. Методика оценки параметров технического канала утечки информации. Вопросы защиты информации. 2012;1:12–16.
Введение в интегральную оптику / Под ред. М. Барноски. – М.: Мир, 1977. 368 с.
Маркузе Д. Оптические волноводы. / Пер. с англ. – М.: Мир. 1974. 576 с.
Снайдер А. В., Лав Дж. Д. Теория оптических волноводов. – М.: Радио и связь. 1987. 656 с.
В. В. Гришачев
ИИНиТБ РГГУ, Москва, Россия
Статья поступила: 24.10.2020
Принята к публикации: 24.11.2020
Проблема защиты информации в оптических сетях связи
В структуре современных систем связи определяющую роль играют оптические сети, в основе которых находятся волоконно-оптические системы передачи информации. Передача информации через оптический кабель дает значительные преимущества перед другими каналами связи, одно из которых − высокая защищенность передачи от перехвата [1,2]. Надо отметить, что повышенный уровень безопасности во многом определяется малой изученностью методов формирования каналов утечки и существует достаточно много технических решений получения доступа к передаваемой по волоконно-оптическим каналам информации.
Перехват информационного трафика в сетях связи – это несанкционированный доступ к передаваемой по сетям связи информации с помощью средств технической разведки, т. е. технических средств не входящих в штатную инфраструктуру системы связи [2–5]. Структура перехвата включает штатный канал и линию связи, в котором формируется нештатный канал и линия утечки. Основой перехвата является физический способ подключения к штатному каналу связи. По способу подключения модель перехвата включает два вида (рис. 1):
контактный перехват, формируемый путем отвода части информационного оптического сигнала из канала связи в канал утечки (рис. 1A, 1B);
дистанционный перехват, формируемый путем регистрации оптических и неоптических информативных сигналов без или с воздействием на канал связи (рис. 1C, 1D).
Вид перехвата определяет используемые средства технической разведки и эффективность функционирования, т. е. уровень опасности угрозы.
Дистанционный перехват. Одно из главных преимуществ оптического канала, по сравнению электрическими каналами связи, состоит в отсутствии побочных электромагнитных излучений и наводок (ПЭМИН), но данное утверждение не является абсолютным. Как показывает численное моделирование [6, 7], в оптическом кабеле присутствуют информативные электромагнитные излучения на частотах, близких к частотам модуляции информационного сигнала оптической несущей, – паразитные электромагнитные излучения (ПрЭМИ), формируемые вследствие нелинейно-оптических преобразований, оценка мощности которых показывает возможность формирования дистанционного канала утечки.
Также в литературе обсуждается дистанционный перехват на основе ядерного магнитного резонанса и других физических явлений без проведения какого-либо анализа. Все способы строятся на физических явлениях взаимодействия информационного сигнала с материалом канала связи, приводящее к информативным модуляциям параметров среды.
Контактный перехват. Отвод части излучения из оптоволокна является технической задачей требуемой для многих целей работы волоконно-оптических технологий, таких как объединение и разделение оптического потока в волокне и другие. Данные технологии могут успешно применяться и в технике перехвата, тем более что некоторые устройства с подобными функциями применяются при монтаже и эксплуатации волоконно-оптических систем передачи информации. Например, в службах мониторинга сети используются устройства-перехватчики трафика (network tap), которые представляются в виде включаемых в разрыв волокон с помощью штатных разъемов волоконно-оптического ответвителя и предназначенных для штатного контроля информационного трафика [1, 2].
Другое устройство, коммерческая волоконно-оптическая прищепка (например FOD‑5503), используется при монтаже и эксплуатации оптической сети для голосовой связи между монтажниками на расстояниях более 200 км путем вывода / ввода части излучения на изгибе волокна [2].
Широкое распространение данных технических устройств, имеющих двойное назначение, привело к тому, что при обсуждении перехвата обсуждаются только эти два канала утечки. Их опасность значительно преувеличена, так как все они легко обнаруживаются службами мониторинга и безопасности либо при монтаже, либо при эксплуатации. Более или менее они эффективны для внутреннего нарушителя, который, используя свои знания работы локальной сети внутри контролируемой зоны, может подключить либо перехватчик трафика, либо прищепку-ответвитель. Перехват трафика в телекоммуникациях усложняется, так как разрыв канала будет обнаружен, отвод части информационного оптического сигнала на изгибе слишком значителен по величине, что скажется на функционале сети.
Анализ угроз показывает, что существуют другие более эффективные модели контактного перехвата, к которым относится перехват трафика на основе отвода части оптического излучения из канала связи в канал утечки путем оптического туннелирования [2–3]. Хотя данный контактный перехват качественно описан достаточно давно, но физическое описание и оценки его эффективности отсутствуют. В данной работе данный пробел восполняется, что может позволить составить более полную модель угроз информационной безопасности трафику в оптических сетях.
Методика и оценка
эффективности перехвата
Перехват трафика в информационных кабельных сетях имеет свои особенности, и для их выявления необходимо определить технические характеристики формирования и функционирования канала утечки [2–5, 8–10]. Основными составляющими канала утечки являются способ физического доступа к информационному сигналу и формирования информативного сигнала, реализация канала утечки и технические средства регистрации. Кроме этого необходимо определиться с техническими характеристиками, определяющими эффективность функционирования канала утечки.
Канал связи и утечки. Обобщенная структурная схема перехвата информационного трафика в оптических сетях представлена на рис. 2. Штатный канал связи состоит из передатчика 1, канала связи 2 в виде оптического кабеля и приемника 3. Основными частями канала утечки являются система формирования информативного сигнала 4, например путем отвода части излучения из канала связи в канал утечки, и система регистрации информативного сигнала 5. Функционирование канала утечки, которое может быть реализовано различными способами, определяется методом формирования информативного сигнала.
Параметры канала связи определяются длиной канала (L), мощностями оптического сигнала на входе (Pin), т. е. мощностью передатчика, и на выходе (Pout), т. е. на входе в приемник, которые определяют бюджет линии связи (Pin–Pout в дБ). Величина Pout определяется чувствительностью приемника, которая не может быть выше этой величины. Также на работу линии связи влияют шумовые характеристики линии, задаваемые отношениями сигнал / шум на входе SNRin и выходе SNRout, которые можно разделить на электронные в активных частях и оптические в канале связи.
Параметры канала утечки определяются расстоянием (x) до места формирования информативного сигнала в канале утечки, выбор которого оказывает значительное влияние на его эффективность. Чем ближе к передатчику расположен отвод, тем выше мощность информационного сигнала и тем большую мощность с меньшими шумами информативного сигнала (Pleak) можно отвести скрытно от систем мониторинга. Эффективность перехвата во многом связана с шумами канала утечки SNRleak, которые главным образом генерируются при подключении к штатному каналу связи и отводом в канал утечки.
В других технических устройствах канала утечки шумы могут быть сокращены путем использования малошумящих приемников и усилителей по сравнению со штатными устройствами канала связи, что позволит добиться лучших шумовых характеристик.
Блок-схема канала утечки. Эффективная регистрация трафика может быть реализована по схеме (рис. 3), в которой отведенный информативный сигнал 1 отрезается от канала связи путем установки оптического изолятора 2, последующего усиления 3 и преобразователя 4. Оптический изолятор выполняется в виде фарадеевского элемента, циркулятора или другого элемента и предназначен для недопущения обратных оптических излучений из канала утечки в канал связи, и в первую очередь излучений от оптического усилителя. Отводимый оптический сигнал должен быть малой величины, в предельном случае, порядка одного или нескольких фотонов, что позволяет повысить скрытность отвода излучения. Усиление позволяет повысить сигнал до требуемой мощности в преобразователе и последующего декодирования.
Задача канала утечки состоит в перехвате информационного трафика в канале связи без потерь информации. В цифровых системах связи это связано с формированием канала утечки, в котором вероятность появления ошибочного бита (BERleak) будет не больше, чем вероятность появления ошибочного бита (BERlink) в канале связи, т. е.
.
Из этих предположений, основными параметрами канала связи являются: (1) оптический бюджет линии Pin–Pout, с которым связана чувствительность приемника; (2) отношение сигнал / шум на входе SNRin и на выходе SNRout канала связи. Тогда основными параметрами канала утечки, основанного на отведении части информационного оптического сигнала в канал утечки, являются мощность Pleak и отношение сигнал / шум SNRleak информативного оптического сигнала.
Ограничения на мощность отводимого информативного сигнала определяются: (1) чувствительностью оптического приемника канала утечки, который должен надежно регистрировать сигнал с вероятностью появления ошибочного бита не большим, чем в канале связи; (2) с долей отводимой мощности из канала связи, которая должна быть такой малой, чтобы не быть обнаруженной системой мониторинга. На расстоянии x от передатчика мощность информативного сигнала Pleak = Px зависит от мощности информационного сигнала P0 в месте формирования канала утечки, что позволяет ввести понятие коэффициента передачи мощности из канала связи в канал утечки
.
Дополнительные ограничения связаны с отношением сигнал / шум информативного сигнала – оно должно быть не меньше, чем у штатного приемника канала связи. Для характеристики шумовых свойств каналов можно использовать понятие коэффициента шума элементов канала [8–10], т. е. отношение SNR на входе элемента к SNR на выходе, так что интегральные коэффициенты шума канала связи и канала утечки определяются соответственно, как
и .
Каждый из которых является произведением коэффициентов шума отдельных элементов, составляющих канал. Для канала утечки его можно определить в виде произведения
,
коэффициентов шума системы формирования информативного сигнала (FT), линии передачи (FL), усилителя (FA) и преобразователя (приемника) (FR). Наибольший вклад в зашумление информативного сигнала вносит система формирования информативного сигнала, что связано с необходимостью его создания в полевых условиях существующей линии связи, в то время как другие элементы могут быть изготовлены заранее промышленным способом с характеристиками, превосходящими штатные элементы.
Условием для достоверной оценки эффективности канала утечки является требование
,
тогда вероятность появления ошибочного бита в канале утечки будет не больше, чем в канале связи, т. е. .
Введенные параметры позволяют провести анализ эффективности функционирования каналов утечки на основе отвода части оптического излучения из канала связи и сделать предположения по эффективной защите канала связи от перехвата по отдельным типам. В частности, далее рассматривается канал утечки на основе отвода части оптического излучения из канала связи в канал утечки на основе оптического туннелирования.
Оптическое туннелирование в перехвате трафика
Явление оптического туннелирования состоит в нарушении полного внутреннего отражения на границе сердцевина / оболочка оптического волокна, которое связано с формированием поверхностной волны, проникающей внутрь оболочки с экспоненциально убывающей интенсивностью по глубине проникновения, варьирующуюся с углом падения и длиной волны [2, 3, 11–13]. Проникающая в оболочку отражаемая волна уходит от границы на расстояния нескольких длин волн и может быть захвачена другим волноводом. При условии фазового синхронизма в основном волноводе и дополнительном волноводе, перехватывающем часть поверхностной волны, происходит перетекание волны, которое может быть полным.
Модель отвода оптической мощности из одного волновода в другой, близко расположенный волновод, представлена на рис. 4. Два волноводных канала вдоль оси y шириной w с показателями преломления n1 и n2 разделены расстоянием s с показателем преломления n3, образующим оптический контакт вдоль волокон длиной z по оси z. По информационному каналу связи распространяется оптическое информационное излучение мощностью P0, в области оптического контакта часть излучения мощностью Px переходит в информативный канал утечки.
Коэффициент передачи из канала связи в канал утечки для случая оптического туннелирования можно определить методом связанных мод [11–13] как
,
который зависит от коэффициента связи оптических мод (K) в каналах связи и утечки, оптической контактной длины волноводов z с оптическими потерями в канале связи α и разностью постоянных распространения между ними Δβ.
В приближении малого поглощения (α << 1) и одинаковости волноводов (Δβ ≈ 0) получим
.
Отвод мощности из канала связи в канал утечки не должен быть большим. Он не должен превышать типичные значения потерь на оптических неоднородностях типа сварки (менее 0,1 дБ, порядка 0,01–0,02 дБ), поэтому отводимая мощность всегда много меньше 1 при , что позволяет определить коэффициент передачи в виде
.
Как видно, значение коэффициента передачи определяется коэффициентом связи K между волноводами каналов связи и утечки, а длина оптического контакта z волноводов играет роль параметра, с помощью которого можно влиять на величину коэффициента передачи.
Оценка интегрального коэффициента передачи из канала связи в канал утечки может быть проведена в приближении плоских волноводов с параболическим профилем показателя преломления методом связанных мод. Для оценки используем геометрические и оптические параметры волноводов, близкие по величине к цилиндрическим волокнам оптических систем связи [1,2].
Геометрические параметры: ширина волновода порядка диаметра сердцевины волокна – 8–9 мкм (w / λ = 8), ширина оптического контакта меньше или порядка толщины оболочки волокна – ~60 мкм при диаметре оболочки 125 мкм (s / λ ≤ 50).
Длина оптического контакта порядка 1 см (z / λ = 104) выбирается из условий технической возможности фиксации протяженного контакта механическими и клеевыми приспособлениями, а также из условия фазового синхронизма связанных мод. Длина когерентности информационного оптического сигнала ограничивается частотой модуляции, следовательно, для скорости передачи информации более 10 ГГц длина когерентности составит порядка 6 см.
Оптические параметры: показатели преломления волноводов как у сердцевин выпускаемых оптоволокон порядка n1 = n2 = 1,45, показатель преломления оптического контакта n3 = 1,44 (т. е. n1 (n2) – n3 = 0,01) и критический угол θc = 1,45328 рад (sin θc = n3 / n2 = 0,9931), т. е. пределы изменения угла падения и синуса угла падения .
Предлагаемые приближения можно транслировать на цилиндрические волокна с определенными ограничениями, но они позволяют определить основные параметры оптического туннелирования по порядку величины, что вполне достаточно для поставленной задачи по оценке эффективности канала утечки.
Коэффициент связи оптических мод K зависит от типа волноводов, расстояния между волноводами (s), частоты или длины волны информационного сигнала (ω или λ), постоянной распространения волновода (), показателя преломления среды волновода (n), волнового числа информационного сигнала в вакууме , угла падения (θ, принимающего значения от критического угла падения до направления распространения вдоль оси волновода π / 2). В приближении плоских одинаковых волноводов с n1 = n2, Δβ = 0 и параболическим профилем показателя преломления коэффициент связи [11] имеет вид
Тогда коэффициент передачи может быть представлен в удобном для численного моделирования виде
,
где введены безразмерные константы на основании принятых геометрических и оптических характеристик волноводов:
; ; ; для и , λ = 1,6 мкм, , , .
В результате численного моделирования получена зависимость коэффициента передачи от угла падения , которая имеет ярко выраженный максимум (рис. 5). Коэффициент передачи равен 0 при критических углах падения, с увеличением угла падения он быстро растет и достигает своего максимума. Приближение направления распространения к приосевым лучам приводит к быстрому падению коэффициента передачи до 0. Таким образом, коэффициент передачи имеет узкий по углу падения максимум, в котором сосредоточена небольшая доля мощности информационного сигнала. Величина максимума достигает 1 при увеличении длины оптического контакта более 1 мм. Это позволяет полностью отводить в канал утечки малые доли информационного потока, отклоняющиеся от приосевого направления распространения, что трудно фиксируется системами мониторинга сети.
Из графика зависимости видно, что присутствующие в структуре потока направления лучей распространения, близкие к критическому углу падения θc, будут эффективно переходить из канала связи в канал утечки. В приближении оптического контакта длиной порядка ста величин длин волн (~160 мкм) и при ширине около 40 длин волн (~65 мкм) в канал утечки будет переходить более 1% мощности всех лучей с углом падения, близким к критическому углу. Увеличение длины оптического контакта в 100 раз до 16 мм приведет к вовлечению в процесс формирования информативного сигнала более удаленные от критического угла лучи со 100% передачей в канал утечки. Более близкие к критическому углу лучи не будут оказывать существенного влияние на коэффициент передачи из-за нарушения волнового синхронизма между каналами. Таким образом, 100%-ая передача будет происходить в узком диапазоне углов падения, ограниченных шириной диапазона углов с максимальной передачей, порядка 0,003 рад из общего диапазона углов порядка 0,1 рад. Интегральный коэффициент передачи мощности можно оценить в 1%. Такой вид зависимости предполагает возможность формирования регистрируемого информативного сигнала в канале утечки даже для цилиндрических волокон соединенных оптическим клеем без стравливания оболочки волокна до сердцевины, что значительно упрощает технику отвода светового потока и делает её скрытной для мониторинга.
Оценка расстояния от передатчика линии связи до места перехвата. Мощность Pleak информативного сигнала в месте перехвата определяется исходной мощностью Pin передатчика, потерями α в канале связи и коэффициентом передачи κ, так что
.
Минимальную отводимую в канал утечки мощность можно оценить в 10 фотонов, которая ограничивается шумами средств технической разведки канала утечки. Ограничение по мощности для скорости передачи информации 100 Гб / сек составит дБм (0,1 мкВт), отсюда получаем максимальную дальность перехвата
.
Для интегрального коэффициента передачи κ = 1%, мощности передатчика Pin = 10 дБм и потерей в канале связи α = 0,5 дБ / км расстояние, до которого будет возможен перехват с принятой техникой разведки, достигнет 60 км.
Шумы информативного сигнала в канале утечки. При формировании информативного сигнала путем оптического туннелирования коэффициент связи оптических мод (K) испытывает флуктуации вследствие теплового изменения расстояния между каналами (δs), ширины спектра информационного сигнала (δω), направления распространения (δθ), что вызывает флуктуации коэффициента передачи и, следовательно, искажения информативного сигнала в канале утечки, т. е. появление мультипликативных шумов.
Аддитивными шумами можно пренебречь, так как проникновение из внешней среды или внутренние генерации света незначительны. В месте отвода оптического излучения среднеквадратичная мощность информационного сигнала в канале связи и информативного сигнала в канале утечки
и ,
где первые слагаемые и − мощности полезной части сигнала, а вторые слагаемые и − мощности шумов. Среднеквадратичная мощность полезной части информативного сигнала
и шумовой части
,
где – паразитные флуктуации коэффициента передачи, которые уменьшают величину полезной части информативного сигнала на и на столько же увеличивают её шумовую часть, – аддитивные шумы, которыми пренебрегаем. Отсюда можно получить связь отношения сигнал / шум информационного и информативного сигналов в виде коэффициента шума канала утечки
.
То есть предполагается, что основной вклад в шумы дает способ формирования отвода части информационного сигнала из канала связи в канал утечки, шумы других частей канала утечки нивелируются выбором малошумящих средств технической разведки.
Оценка флуктуаций коэффициента передачи определяется относительными флуктуациями параметров оптического туннелирования, таких как угол падения , ширина и длина оптического контакта, ширины волновода и других, связанных с тепловыми колебаниями в месте контакта. В приближении малости коэффициента передачи его величина связывается с относительными флуктуациями в принятых обозначениях и приближениях как
Если учесть большую длину оптического контакта и стабильность ширины волновода, то коэффициент передачи можно оценить приближением
.
Тогда коэффициент шума передачи
для , т. е. .
Это значительно затрудняет перехват. Но эффективного перехвата можно достичь использованием менее шумящего приемника по сравнению со штатным приемником линии связи (т. е. с вероятностью появления ошибочного бита, не большего штатного канала связи).
Особенности перехвата
трафика в оптических
сетях связи
Практическая реализация перехвата возможна при создании эффективного и стабильного оптического контакта между каналами связи и утечки, что требует выполнения определенных условий по доступу к оптическому кабелю и технических решений по формированию отвода части оптического излучения. На основе проведенного качественного анализа формирования информативного сигнала методом оптического туннелирования можно предложить несколько структурных схем реализации канала утечки (рис. 6). Несмотря на то, что значения коэффициента передачи должны быть малы, но даже в этом случае реализовать туннелирование света через защитные оболочки трудно.
Поэтому, во‑первых, необходимо освободить волокно от всех защитных оболочек до оптической оболочки волокна, составляющее в диаметре 125 мкм; во‑вторых, в области оптического контакта с волокном канала связи необходимо использовать канал утечки в виде волновода без оболочки удобной формы, переходящее в обычное цилиндрическое волокно.
Формирование устойчивого оптического контакта можно осуществить механическим (рис. 6А) или клеевым (рис. 6В) способами без изгиба волокна. Последний способ предпочтительнее, так как более устойчив к внешним воздействиям: границы оптического клея выполняют фокусирующие функции для туннелирующего в него света и защитные функции от внешних воздействий, которые могут повлиять как на канал утечки, так и на канал связи. Дополнительное небольшое воздействие внешних физических полей на оптический контакт, в том числе и механическое воздействие (т. е. изгиб), может увеличить коэффициент передачи. Еще один способ (рис. 6С) связан с использованием оптического клея как второй оболочки вокруг первой оболочки оптического волокна канала связи, в которую туннелирует свет и фокусируется на вход волокна канала утечки с градиентной линзой на конце.
Предложенные схемы позволяют реализовать перехват в полевых условиях простейшими средствами технической разведки с минимальными затратами по времени. В частности, формирование контакта с применением оптического клея можно реализовать без полного разрушения защитных оболочек кабеля путем ввода клея и волокна канала утечки через малый прокол в кабеле полой цилиндрической трубкой наподобие иглы медицинского шприца.
Все это показывает высокий уровень угрозы данного сценария перехвата, противодействие которому требует разработки методов защиты кабельной системы, использования оптоволокна высокого качества, непрерывного мониторинга состояния канала связи и других действий. В существующих условиях эксплуатации волоконно-оптических систем передачи информации основным способом предотвращения перехвата является использование качественного оптического кабеля при качественном монтаже, которое позволяет уменьшить вероятность скрытного подключения.
АВТОР
Гришачев Владимир Васильевич к. ф.‑ м. н., доц. Института информационных наук и технологий безопасности (ИИНиТБ), Российского Государственного гуманитарного университета (РГГУ), email: grishachev@mail.ru, Москва, Россия.
ORCID: 0000-0002-7585-7282
СПИСОК ЛИТЕРАТУРЫ
Фриман Р. Л. Волоконно-оптические системы связи / Пер. с англ. под ред. Н. Н. Слепова. – 4‑е доп. изд. – М.: Техносфера. 2007. 511 с.
Шубин В. В. Информационная безопасность волоконно-оптических систем. – Саров: РФЯЦ-ВНИИЭФ, 2015. – 257 с.
Гришачев В. В., Кабашкин В. Н., Фролов А. Д. Анализ каналов утечки информации в волоконно-оптических линиях связи: нарушение полного внутреннего отражения. Информационное противодействие угрозам терроризма. 2005; 4: 194–204.
Булавкин И. А. Вопросы информационной безопасности сетей PON. Технологии и средства связи. 2006; 2:104–108.
Глущенко А., Глущенко Л., Тупота В. Оценка защищенности информации, циркулирующей в ВОЛП. Фотоника. 2010; 4: 36–42.
Гришачев В. В. Анализ каналов утечки информации в волоконно-оптических линиях связи: паразитные электромагнитные излучения. Материалы XXIV науч.-практ. конф. «Комплексная защита информации». – Витебск: ВГТУ. 2019; 44–52.
Гришачев В. В. Перехвата трафика в оптических сетях: информативные паразитные электромагнитные излучения. Фотоника. 2019; 13(3): 280–294. DOI: 10.22184 / FRos.2019.13.3.280.294.
Гришачев В. В., Косенко О. А. Количественная оценка эффективности канала утечки информации по техническим параметрам каналов связи. Вопросы защиты информации. 2010; 4:9–17.
Гришачев В. В., Косенко О. А. Оценка коэффициента шума технического канала утечки информации. Вопросы защиты информации. 2011; 1: 29–36.
Гришачев В. В. Методика оценки параметров технического канала утечки информации. Вопросы защиты информации. 2012;1:12–16.
Введение в интегральную оптику / Под ред. М. Барноски. – М.: Мир, 1977. 368 с.
Маркузе Д. Оптические волноводы. / Пер. с англ. – М.: Мир. 1974. 576 с.
Снайдер А. В., Лав Дж. Д. Теория оптических волноводов. – М.: Радио и связь. 1987. 656 с.
Отзывы читателей
