OTN系統(tǒng)安全防護(hù)和加密技術(shù)應(yīng)用研究

沈利泉，劉 軍（.浙江省通信產(chǎn)業(yè)服務(wù)有限公司，杭州 3300；.華信咨詢設(shè)計(jì)研究院有限公司，杭州 3005）

0 前言

OTN 網(wǎng)絡(luò)作為一個(gè)透明的傳送通道，具有端到端傳送的特性，對于每個(gè)再生段兩端的站點(diǎn)來說，OTN系統(tǒng)類似一段光纖，近似處于OSI（Open System Interconnection）參考模型第1 層（L1）。所以，一般認(rèn)為OTN系統(tǒng)本身是相對安全的。

隨著互聯(lián)網(wǎng)信息網(wǎng)絡(luò)的發(fā)展，信息安全顯得越來越重要，我國已發(fā)布《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T 22239-2019，簡稱為等保V2.0 版本）和《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南》（GA/T 1389-2017）。OTN系統(tǒng)在網(wǎng)絡(luò)中存在安全和防護(hù)缺陷，OTN 系統(tǒng)是否需要進(jìn)行相關(guān)安全防護(hù)和加密保護(hù)，也正逐漸成為OTN 網(wǎng)絡(luò)建設(shè)和設(shè)計(jì)需要研究和考慮的內(nèi)容。

1 OTN系統(tǒng)面臨的安全問題

1.1 OTN系統(tǒng)在網(wǎng)絡(luò)中的安全

OTN 系統(tǒng)是將客戶業(yè)務(wù)透明地從一個(gè)地方傳送到另一個(gè)地方，比如OTN 設(shè)備系統(tǒng)會(huì)將接入網(wǎng)的業(yè)務(wù)傳送到核心機(jī)房IP 承載網(wǎng)的核心路由器進(jìn)行路由。在這個(gè)傳送過程中，為了將客戶業(yè)務(wù)適配到傳送網(wǎng)的信號速率中，傳送網(wǎng)設(shè)備會(huì)對客戶業(yè)務(wù)進(jìn)行一定的封裝，同時(shí)，進(jìn)行一些差錯(cuò)控制和信號質(zhì)量的監(jiān)測。傳送網(wǎng)設(shè)備不會(huì)對其他設(shè)備傳過來的客戶業(yè)務(wù)進(jìn)行處理，這是傳送設(shè)備透明性的要求。

圖1 OTN系統(tǒng)在通信網(wǎng)絡(luò)中的安全問題示意圖

OTN 系統(tǒng)在通信網(wǎng)絡(luò)中的分層模型如圖1 所示，OTN 系統(tǒng)的安全問題需要從應(yīng)用層、網(wǎng)絡(luò)層、物理層和接入層等方面考慮。a）應(yīng)用與數(shù)據(jù)安全。OTN 系統(tǒng)作為承載通道，既承載了面向用戶應(yīng)用的業(yè)務(wù)數(shù)據(jù)，也承載了OTN 系統(tǒng)內(nèi)部網(wǎng)絡(luò)管理的數(shù)據(jù)，所以，一方面需要從整體安全的角度對數(shù)據(jù)、業(yè)務(wù)等層面進(jìn)行安全風(fēng)險(xiǎn)分析和防護(hù)，另一方面也需對OTN 系統(tǒng)本身的數(shù)據(jù)平面采取相關(guān)安全防護(hù)或者加密措施。

b）網(wǎng)絡(luò)和通信數(shù)據(jù)安全。OTN 傳送網(wǎng)一般在網(wǎng)絡(luò)層會(huì)與其他專業(yè)網(wǎng)絡(luò)互聯(lián)互通，如IP 承載網(wǎng)、網(wǎng)管網(wǎng)等。為保證OTN 系統(tǒng)的安全性，可以按第三方網(wǎng)絡(luò)邊界、縱向網(wǎng)絡(luò)邊界的邊界防護(hù)整體思路，實(shí)施邊界防護(hù)。

c）物理和環(huán)境安全。OTN 系統(tǒng)的物理和環(huán)境安全主要從機(jī)房門禁、智能機(jī)柜、光纖信號隔離、安防監(jiān)控等方面考慮相關(guān)安全防護(hù)措施。

d）接入安全。OTN 傳送網(wǎng)一般支持多業(yè)務(wù)的接入，一旦外部業(yè)務(wù)不加阻攔地接入到網(wǎng)絡(luò)中來，就有可能破壞網(wǎng)絡(luò)的安全邊界，使外來用戶具備對網(wǎng)絡(luò)進(jìn)行破壞的條件。仍需按第三方網(wǎng)絡(luò)邊界、縱向網(wǎng)絡(luò)邊界的邊界防護(hù)整體思路，實(shí)施邊界防護(hù)。對流經(jīng)此區(qū)域的數(shù)據(jù)包嚴(yán)格按照安全規(guī)則進(jìn)行過濾，將不安全的或不符合規(guī)則的數(shù)據(jù)包屏蔽，杜絕越權(quán)訪問，防止各類非法攻擊行為?；跀?shù)據(jù)包的源地址、目的地址、通信協(xié)議端口、流量、用戶、通信時(shí)間等信息，執(zhí)行嚴(yán)格的訪問控制。

1.2 OTN設(shè)備信號被直接物理探測的威脅

OTN 設(shè)備由于沒有MAC地址、IP地址被用來偽造和攻擊，OTN 設(shè)備的電交叉又位于交叉模塊和單元內(nèi)，對于外部的路由器、交換機(jī)等網(wǎng)絡(luò)網(wǎng)元來說，OTN設(shè)備是不可見和無法接觸的。所以，對OTN 系統(tǒng)的攻擊常常集中在光層，利用OTN 光通道、光纖非法竊聽或者干擾通信。

對OTN系統(tǒng)的非法探測主要有以下途徑。

a）利用不同組件的串?dāng)_。OTN 系統(tǒng)的分波器（AWG），將1 根光纖中傳輸?shù)亩嗖ㄩL信號按照不同的波長分解到不同的分波器端口，信號之間的串?dāng)_會(huì)讓其中一小部分信號泄露到其他光通道，這部分泄露的信號足以讓攻擊者檢測到它的存在，并從中恢復(fù)出一部分?jǐn)?shù)據(jù)。

b）利用設(shè)備和光纖的輸出端口。如果攻擊者非法接入到OTN 設(shè)備或光纖的輸出端，就可以竊聽到信道的信息。

c）利用光信號泄露，對光纜或光纖直接探測。光纖彎曲半徑較小（光信號對反射面的入射角小于臨界值），一小部分光信號會(huì)折射出光纖，導(dǎo)致信息泄露；利用特殊裝置或分光技術(shù)就可以直接在光通路上提取信息、探測數(shù)據(jù)。最典型和直接的非法探測方式如圖2 所示，當(dāng)纖芯中的光損不到1%的時(shí)候，只需要3個(gè)步驟就能利用相關(guān)檢測裝置和解密軟件進(jìn)行數(shù)據(jù)恢復(fù)和探測。

第1 步截取光信號：目標(biāo)光纖被放入設(shè)備適當(dāng)彎曲，光學(xué)檢測裝置提取折射光線轉(zhuǎn)發(fā)給光電轉(zhuǎn)換設(shè)備。

圖2 光信號被非法探測示意圖

第2 步轉(zhuǎn)換成電信號：光電轉(zhuǎn)換設(shè)備把光信號轉(zhuǎn)換為電信號，并將數(shù)據(jù)傳送到電腦。

第3步數(shù)據(jù)解讀：在電腦上運(yùn)行軟件，進(jìn)行數(shù)據(jù)解讀。

綜上所述，安全威脅需要接觸到光通道（波分端口）和光纖，并探測到通道中的信號。所以一方面需要從物理層面保護(hù)好OTN 設(shè)備及光纖光纜，另一方面需做好OTN 系統(tǒng)在網(wǎng)絡(luò)中的安全防護(hù)，加強(qiáng)自身的安全防護(hù)，并考慮對OTN 傳送通道中的光信號、電信號進(jìn)行加密保護(hù)。

2 OTN系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)

2.1 OTN系統(tǒng)安全防護(hù)點(diǎn)

綜合1.1 所述，OTN 系統(tǒng)的安全威脅來自O(shè)TN 系統(tǒng)內(nèi)部和邊界2 方面。OTN 系統(tǒng)內(nèi)部安全威脅是指OTN 系統(tǒng)自身的健康，如軟、硬件的安全問題，合法用戶在使用網(wǎng)絡(luò)資源的時(shí)候，有不合規(guī)的行為、誤操作、惡意破壞等情況發(fā)生。邊界安全威脅是指OTN 系統(tǒng)的接入、與外界互聯(lián)互通引起的安全問題，包括入侵、病毒與攻擊等。

OTN 系統(tǒng)數(shù)據(jù)安全的威脅來自系統(tǒng)內(nèi)部與邊界2個(gè)方面，而OTN 系統(tǒng)接入安全的威脅主要來自邊界。OTN 系統(tǒng)的數(shù)據(jù)安全及自身相關(guān)軟硬件的防范措施在第3章詳細(xì)闡述。OTN 系統(tǒng)安全防護(hù)的關(guān)鍵在于邊界防護(hù)，應(yīng)對OTN 系統(tǒng)外的入侵就要在網(wǎng)絡(luò)邊界上建立可靠的安全防御措施。

2.2 OTN系統(tǒng)防護(hù)方案

2.2.1 防火墻、安全網(wǎng)關(guān)

在工程建設(shè)中，業(yè)務(wù)承載服務(wù)層（IP 承載網(wǎng)、接入網(wǎng)）、網(wǎng)管通道（網(wǎng)管網(wǎng)）與OTN 承載層通過邊界網(wǎng)關(guān)（下一代防火墻、業(yè)務(wù)監(jiān)控網(wǎng)關(guān)、多重安全網(wǎng)關(guān)等）進(jìn)行安全防護(hù)。邊界網(wǎng)關(guān)的功能建議如下：

a）訪問控制/包過濾：安全策略的主要基礎(chǔ)目標(biāo)是限制外來資源訪問邊界內(nèi)的網(wǎng)絡(luò)和系統(tǒng)。網(wǎng)絡(luò)應(yīng)只許可必要的內(nèi)部連接和服務(wù)，并限制內(nèi)部用戶與外部目標(biāo)連接。

b）識別與認(rèn)證（I&A）：通常認(rèn)為在邊界以內(nèi)的用戶是被信任的，訪問內(nèi)部網(wǎng)絡(luò)的外來用戶必須通過認(rèn)證。通過防火墻屏蔽訪問的認(rèn)證方法有一次性密碼、時(shí)效型密碼和挑戰(zhàn)響應(yīng)案。

c）防病毒：支持惡意代碼防范功能。

d）加密：部分防火墻可以提供其他安全服務(wù)，包括通信流加密和解密。以加密方式通信，發(fā)出和接收防火墻必須使用兼容的加密系統(tǒng)，如Internet 協(xié)議安全（IPSec）標(biāo)準(zhǔn)。

e）IDS/IPS：支持入侵檢測、入侵防御功能。

f）審計(jì)：審計(jì)是指跟蹤分析和監(jiān)督檢查用戶和管理員的行為。審計(jì)的目的是確定用戶網(wǎng)絡(luò)行為的本質(zhì)。

g）網(wǎng)絡(luò)地址轉(zhuǎn)換：網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）可以把IP地址從一個(gè)域轉(zhuǎn)換到另一個(gè)域，并給主機(jī)提供透明的路由。NAT 能夠讓局域網(wǎng)使用一系列內(nèi)部通信流的IP地址和2套外來通信流的地址。

h）防止?jié)B透：防火墻應(yīng)保護(hù)自己免受攻擊，如果被攻破將會(huì)讓黑客訪問整個(gè)網(wǎng)絡(luò)，防火墻應(yīng)具備防止?jié)B透的功能。

i）配置&第三方監(jiān)視：合理配置防火墻組件是邊界安全的關(guān)鍵。防火墻的大多數(shù)漏洞都來自于不合理配置或維護(hù)防火墻。

2.2.2 業(yè)務(wù)隔離

OTN 系統(tǒng)網(wǎng)絡(luò)業(yè)務(wù)服務(wù)層的不同業(yè)務(wù)主要通過隔離的手段進(jìn)行邊界防護(hù)，隔離方式包括物理波道隔離、子波道隔離、端口隔離、VPN 隔離等；網(wǎng)管網(wǎng)也通過類似的隔離手段隔離其承載的網(wǎng)管業(yè)務(wù)。主要隔離手段如下：

a）不同業(yè)務(wù)之間子波道隔離+VPN隔離。

b）支撐系統(tǒng)之間不同業(yè)務(wù)子波道隔離+VPN 隔離。

c）業(yè)務(wù)系統(tǒng)與支撐系統(tǒng)波道隔離+端口隔離+VPN隔離。

d）IP 承載網(wǎng)、接入網(wǎng)與網(wǎng)管網(wǎng)波道隔離+端口隔離。

綜上所述，OTN 系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)的整體方案如圖3所示。

3 OTN設(shè)備的硬件和軟件安全防護(hù)

在配置和設(shè)計(jì)OTN 設(shè)備和系統(tǒng)時(shí)，可采取相關(guān)硬件和軟件方面的安全防范措施。

3.1 硬件安全

OTN 設(shè)備的硬件平臺，可采取如下安全防范措施：

圖3 OTN系統(tǒng)網(wǎng)絡(luò)安全防護(hù)示意圖

a）采取支持FEC 特性編碼，對光入侵、光擾亂等攻擊行為進(jìn)行糾錯(cuò)。部分廠家的設(shè)備還支持私有的增強(qiáng)型編碼，光竊聽者即使截獲了光信號，如不了解該編碼技術(shù)也很難還原原始的數(shù)據(jù)幀內(nèi)容，從而有效防止光竊聽的安全威脅；該編碼超強(qiáng)的糾錯(cuò)能力使得OTN系統(tǒng)對光入侵、光擾亂具有更強(qiáng)的防攻擊能力。

b）OTN 設(shè)備L1 層加密，實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)VC/ODUk硬管道安全直達(dá)。

c）硬件平臺設(shè)計(jì)采取控制平面、管理平面、數(shù)據(jù)平面物理隔離的設(shè)計(jì)方法，即使其中一個(gè)平面受到安全威脅，不會(huì)影響到其他平面運(yùn)行。

d）充分利用OTN 設(shè)備對波長轉(zhuǎn)換器、光放大器、光發(fā)送單元、光分波單元等的光信號監(jiān)視和告警功能，加強(qiáng)監(jiān)視和管理。

3.2 軟件安全

OTN 設(shè)備軟件系統(tǒng)在不同平面（O&M 管理數(shù)據(jù)、控制平面數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)）采取相應(yīng)的安全策略；各平面的數(shù)據(jù)使用不同的VLAN ID 來區(qū)分和隔離，3 個(gè)平面上的數(shù)據(jù)共享物理帶寬，各平面使用了不同的通信地址，某一平面數(shù)據(jù)異常不會(huì)影響到其他類型的數(shù)據(jù)和安全。

數(shù)據(jù)平面通過加強(qiáng)以太網(wǎng)業(yè)務(wù)訪問控制和過濾，負(fù)責(zé)隔離和處理進(jìn)入設(shè)備的業(yè)務(wù)數(shù)據(jù)流，丟棄各種不合法的錯(cuò)包，根據(jù)硬件轉(zhuǎn)發(fā)表項(xiàng)對業(yè)務(wù)數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)。一方面能有效防止用戶業(yè)務(wù)報(bào)文被惡意竊取、修改、刪除，保證用戶數(shù)據(jù)機(jī)密性和完整性；另一方面保證硬件轉(zhuǎn)發(fā)行為可控，防止轉(zhuǎn)發(fā)表項(xiàng)被惡意攻擊篡改，保證轉(zhuǎn)發(fā)平面穩(wěn)定可靠運(yùn)行。

OTN 設(shè)備軟件系統(tǒng)采取的相關(guān)安全策略如表1所示。

表1 OTN設(shè)備軟件系統(tǒng)采取的安全策略

4 OTN系統(tǒng)的安全加密技術(shù)

在OTN 設(shè)備系統(tǒng)L1 層安全加密的優(yōu)勢主要體現(xiàn)在時(shí)延、帶寬利用率和多業(yè)務(wù)支持，其與L2/L3 層加密的對比如表2所示。

目前，對OTN 設(shè)備系統(tǒng)光信號、電信號的加密保護(hù)，有以下幾種方式：

a）基于數(shù)字包封技術(shù)的電信號加密。數(shù)字包封技術(shù)在OTN 網(wǎng)絡(luò)的光通路層得到了廣泛應(yīng)用。基于數(shù)字包封技術(shù)的加密可以在不區(qū)分業(yè)務(wù)的情況下，對在OTN 網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)進(jìn)行加密保護(hù)，是一種有效的加密保護(hù)方法。此方法首先解波分復(fù)用，然后在每個(gè)波長上針對數(shù)字包進(jìn)行加密保護(hù)。

表2 OTN設(shè)備L1層加密與L2/L3層加密的對比

b）基于光包加密技術(shù)的光信號保護(hù)。光包由包頭和凈荷組成，首先可利用寬脈沖標(biāo)記法、高強(qiáng)度脈沖標(biāo)記法、微波副載波光標(biāo)記交換法以及電光調(diào)制光標(biāo)記交換法等技術(shù)提取分離出凈荷，然后通過光邏輯器件對提取出來的凈荷進(jìn)行加密，最后組合包頭和已經(jīng)加密的凈荷，實(shí)現(xiàn)數(shù)據(jù)安全保密。應(yīng)用基于光邏輯器件的光包加密技術(shù)，能夠滿足分組交換光網(wǎng)絡(luò)上承載的任何一種協(xié)議數(shù)據(jù)的安全保密需求。

受限于光邏輯器件的發(fā)展，基于光包加密技術(shù)缺乏相關(guān)的產(chǎn)品支持，目前僅有基于數(shù)字包封技術(shù)的電信號加密方式，在部分廠家設(shè)備型號中得到支持，相關(guān)產(chǎn)品處在試商用階段。

4.1 OTN系統(tǒng)電信號加密技術(shù)

OTN 系統(tǒng)電信號加密主要是采用客戶側(cè)業(yè)務(wù)加密形式。OTN 設(shè)備配置帶OTU 加密模塊的單板，客戶業(yè)務(wù)接入配置了加密功能的OTN 設(shè)備后，通過安全加密設(shè)備發(fā)送來的密鑰加密，以加密的業(yè)務(wù)形式在OTN網(wǎng)絡(luò)傳送，并在接收端OTN 設(shè)備上解密，實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)在OTN 網(wǎng)絡(luò)中的安全傳輸。OTN 客戶側(cè)業(yè)務(wù)加密方案如圖4所示。

圖4 OTN客戶側(cè)業(yè)務(wù)加密方案示意圖

可以對任意客戶業(yè)務(wù)進(jìn)行加密，OTN 客戶側(cè)業(yè)務(wù)加密具體實(shí)現(xiàn)原理如圖5所示。OTN 客戶側(cè)業(yè)務(wù)加密一般采用AES 加密算法，客戶業(yè)務(wù)先進(jìn)行適配，進(jìn)入合適的OPUk容器，在OPUk映射進(jìn)入ODUk之前，采用內(nèi)部或外部密鑰對OPUk的凈荷區(qū)進(jìn)行AES256 加密；對端在ODUk解映射成OPUk，采用協(xié)商的密鑰對OPUk的凈荷區(qū)進(jìn)行AES256解密，恢復(fù)成原有客戶業(yè)務(wù)。

圖5 OTN客戶側(cè)業(yè)務(wù)加密原理

OTN客戶側(cè)業(yè)務(wù)加密的優(yōu)勢體現(xiàn)在如下3點(diǎn)：

a）對客戶信號映射后的OPUk進(jìn)行加密，不影響OTN線路速率，和現(xiàn)網(wǎng)OTU線路無縫對接。

b）加密后的OPUk數(shù)據(jù)可以被OTN 網(wǎng)絡(luò)透傳和調(diào)度，不影響OTN現(xiàn)網(wǎng)的監(jiān)控和管理。

c）密鑰協(xié)商和加密管理使用OTN 開銷中的PSI字節(jié)，可被OTN現(xiàn)網(wǎng)透傳。

4.2 OTN設(shè)備支持加密的現(xiàn)狀

目前，國內(nèi)主要的OTN 設(shè)備供應(yīng)商均能提供基于客戶側(cè)加密的OTN 設(shè)備和系統(tǒng)。OTN 設(shè)備和L1 層業(yè)務(wù)加密系統(tǒng)由帶加密單板的OTN 設(shè)備、安全管理工具（例如SMT——Security Management Tool）和網(wǎng)絡(luò)管理系統(tǒng)3 部分組成。業(yè)務(wù)在源端加密后，經(jīng)OTN 網(wǎng)絡(luò)傳輸至對端，對端再對業(yè)務(wù)進(jìn)行解密，這樣就可以接收源端發(fā)送的真實(shí)信息；雙向加密過程包括認(rèn)證、密鑰協(xié)商和加解密。

國內(nèi)支持L1層業(yè)務(wù)加密OTN設(shè)備在加密原理、加密方式和設(shè)備型號等方面的對比如表3所示。

表3 國內(nèi)支持L1層業(yè)務(wù)加密OTN設(shè)備的對比

4.3 OTN設(shè)備加密與否的分析

在實(shí)際工程建設(shè)中，應(yīng)從應(yīng)用場景、安全測試驗(yàn)證、建設(shè)、維護(hù)的角度，評判是否采用OTN 設(shè)備加密，特別是考慮應(yīng)用場景下業(yè)務(wù)邏輯的匹配程度。

a）應(yīng)用場景分析?，F(xiàn)有的OTN 設(shè)備的加密應(yīng)用都是在大客戶專線接入層面，主要是金融類大客戶，特別是銀行專線項(xiàng)目，如中國工商銀行、北歐Nordia銀行、俄羅斯Serbank銀行等。

在國內(nèi)外OTN 長途干線上，無類似OTN 客戶側(cè)業(yè)務(wù)加密的商用案例，主要是由于現(xiàn)有的OTN 設(shè)備加密功能都是基于源端口到宿端口中的每條業(yè)務(wù)，而每條業(yè)務(wù)需單獨(dú)配置，適用于接入業(yè)務(wù)層面的單一的端到端的大客戶場景，與OTN 干線層面多樣化、多點(diǎn)化的業(yè)務(wù)邏輯往往不匹配。

b）安全測試和驗(yàn)證分析。OTN 客戶側(cè)業(yè)務(wù)加密協(xié)議、算法是非常成熟的（標(biāo)準(zhǔn)AES-256 加密算法，且采用CTR 模式），但在實(shí)際大規(guī)模應(yīng)用之前，應(yīng)注意檢驗(yàn)業(yè)務(wù)交互邏輯上是否有安全漏洞，提前進(jìn)行相關(guān)網(wǎng)絡(luò)的安全性測試、安全驗(yàn)證和審計(jì)。

c）建設(shè)角度分析。通信網(wǎng)絡(luò)的建網(wǎng)思路一般應(yīng)是減少長途OTN 干線、中繼OTN 站點(diǎn)對業(yè)務(wù)的處理，以提供便捷、高效的快速轉(zhuǎn)發(fā)，而將網(wǎng)絡(luò)的業(yè)務(wù)感知、控制、加密等放到邊緣的主機(jī)節(jié)點(diǎn)上來做，從ATM 到以太網(wǎng)、從IP到SDN的發(fā)展都是如此。

在OTN 系統(tǒng)本身具有較豐富的安全防范和報(bào)警功能的情況下，特別是OTN 傳輸系統(tǒng)往往承載的數(shù)據(jù)流量非常大，業(yè)務(wù)種類也非常多，數(shù)據(jù)解密和恢復(fù)時(shí)間也較長，想要持續(xù)對OTN 網(wǎng)絡(luò)非法探測難度非常大。OTN 作為透明的業(yè)務(wù)傳送通道，如果把加密功能放到OTN 傳送層（L1），則每條業(yè)務(wù)均需要配置成對的含加密或解密功能的端口，配置加解密管理終端及系統(tǒng)，整體投資預(yù)計(jì)將會(huì)提高15%以上，相對來說，物理防護(hù)更加直接和有效。

d）維護(hù)角度分析。若采用帶有加密功能的OTN設(shè)備，需要對每臺設(shè)備配置加解密軟件和賬戶，再用加密子賬戶進(jìn)行端口分配，然后針對每個(gè)端口的每條業(yè)務(wù)單獨(dú)加密配置、維護(hù)，維護(hù)復(fù)雜。另外，帶有加密功能的OTN 設(shè)備本身在運(yùn)行和維護(hù)上存在一些受限內(nèi)容，如表4所示。

表4 OTN加密設(shè)備在應(yīng)用上的主要受限

5 結(jié)束語

綜上所述，提升OTN 系統(tǒng)的安全性需要從OTN 系統(tǒng)的網(wǎng)絡(luò)安全、OTN 系統(tǒng)自身的軟硬件安全、OTN 設(shè)備加密傳輸幾個(gè)方面去考慮，同時(shí)，在實(shí)際工程建設(shè)和設(shè)計(jì)中，需結(jié)合應(yīng)用場景、安全測試和驗(yàn)證、建設(shè)和維護(hù)等方面，評估是否有必要應(yīng)用帶加密功能的OTN設(shè)備。