对于光网络的安全性监控
| 专利类型 | 发明公开 | 法律事件 | 公开; 实质审查; 授权; 未缴年费; |
| 专利有效性 | 失效专利 | 当前状态 | 权利终止 |
| 申请号 | CN201280073879.1 | 申请日 | 2012-06-11 |
| 公开(公告)号 | CN104335513A | 公开(公告)日 | 2015-02-04 |
| 申请人 | 瑞典爱立信有限公司; | 申请人类型 | 企业 |
| 发明人 | M.科斯坦蒂尼; R.马格里; | 第一发明人 | M.科斯坦蒂尼 |
| 权利人 | 瑞典爱立信有限公司 | 权利人类型 | 企业 |
| 当前权利人 | 瑞典爱立信有限公司 | 当前权利人类型 | 企业 |
| 省份 | 当前专利权人所在省份: | 城市 | 当前专利权人所在城市: |
| 具体地址 | 当前专利权人所在详细地址:瑞典斯德哥尔摩 | 邮编 | 当前专利权人邮编: |
| 主IPC国际分类 | H04B10/07 | 所有IPC国际分类 | H04B10/07 ; H04Q11/00 ; H04J14/02 |
| 专利引用数量 | 6 | 专利被引用数量 | 2 |
| 专利权利要求数量 | 16 | 专利文献类型 | A |
| 专利代理机构 | 中国专利代理(香港)有限公司 | 专利代理人 | 杨美灵; 汤春龙; |
| 摘要 | 用于光通信网的装置(10),所述装置具有对于光业务的光路,以及光端口(20,40),所述光端口中的一个光端口是未使用的输出端口(20)。安全性 监控系统 (30)具有阻塞部件(50),所述阻塞部件可拆装地耦合到所述未使用的输出端口以占据所述未使用的输出端口以防止未授权的 访问 。光检测器(60)能够检测通过所述未使用的输出端口至阻塞部件的光 信号 ,以及具有告警 电路 (70),其被配置为基于检测到 光信号 来输出告警信号。这种监控能够有助于保护使得 节点 免受干扰或免受窃听。通过阻塞该端口,该监控能够独立于在光路上的信号类型。该系统能够是无源的或有源的,以及不要求在已安装的节点配置中的改变,以及因此能够容易地被添加到现有架构中。 | ||
| 权利要求 | 1.用于光通信网的装置,所述装置具有对于去往或来自其它节点的光业务的至少两个光路,所述光路具有各自的光端口,其中所述光端口中的至少一个光端口被配置成未使用的输出端口,能够在将来用于光业务,以及 |
||
| 说明书全文 | 对于光网络的安全性监控技术领域背景技术[0002] 随着对网络容量的需求增长,不能忽视保护光网络的物理层安全的问题。光层安全性得益于电磁抗扰度,然而光层不但包含光纤跨段而且还包含易于被各种攻击的网络设备。这意味的是,与基于铜线的网络一样,光网络可能同样易于被偷听或干扰。 [0003] 已经提出了对于提供通信安全性的一种方法是跨越光通信网传送的信号的光加密,如由Jung等人提出的“使用SOA XOR逻辑门的10Gbps全光加密和解密系统的演示(Demonstration of l0Gbps all-optical encryption and decryption system utilizing SOA XOR logic gates)”,光和量子电子(Optical and Quantum Electronics),卷. 40, 号. 5-6, 2008年4月。光加密面对的问题是,对于在通信网内的每个传送器和接收器处的每个波长通道,要求光加密和解密设备,使网络成本升高。 [0004] 在WO2011103930中示出的一种已知方法与通信网中的光监控点的脆弱性有关。这些监控点旨在用于监控光谱和功率,但是可能容易受到未授权的窃听。它们典型地包括: 光分路器,其被布置为提取将被监控的光信号的1%至10%之间的光信号,所提取的信号被提供给监控端口。在所提取的信号中复制由被正被监控的光信号所载有的所有业务,以及将该所有业务提供给监控端口。所产生的问题是,在该监控端口处,实时业务易于受到窃听,以及这呈现了通信网安全性的问题。 [0005] 国际电信联盟文档ITU-T X.805 “对于提供端到端通信的系统的安全性架构(Security architecture for systems providing end-to-end communications)”阐述了用于使得保护光连接免于光纤被切断以放置用于窃听的在线分接头的各种光保护方案。然而,在ITU-T X.805中阐述的方法仅监控光通信网光纤链路中的被切断,以及不能检测经由监控端口来窃听光信号。 [0006] 光信号转换装置被布置为:接收分接的信号,以及将光传递函数应用于该分接的信号以形成光监控信号。光传递函数被布置为保持该分接信号的频谱属性以及将时域混淆应用于该分接信号。光信号转换装置还被布置为向监控端口提供光监控信号。因此,可以形成来自输入光信号或输出光信号的光监控信号,在其上的业务在时域中被混淆,以及其中保持该输入光信号或该输出光信号的频谱属性。因此,通过在光监控信号上的窃听来截取在输入信号或输出信号上的业务变得困难或不可能,而不需要每个波长通道的加密。 发明内容[0007] 根据本发明的第一方面,提供了用于光通信网的装置,该装置具有对于去往和来自其它节点的光业务的至少两个光路,该光路具有各自的光端口,其中该光端口中的至少一个光端口被配置成未使用的输出端口,可以在将来用于耦合光业务。提供了安全性监控系统,其用于检测未授权的访问以及具有阻塞部件,该阻塞部件可拆装地耦合到该未使用的输出端口以占据该未使用的输出端口,以便把任何其它部件排除在使用该未使用的输出端口以获得对该未使用的输出端口的光路的未授权访问之外。光检测器耦合到该阻塞部件,以及被配置为检测通过该未使用的输出端口的光信号。提供了告警电路,其被配置为基于由光检测器检测到光信号来输出指示该未使用的输出端口已经被访问的告警信号。这种监控能够有助于保护节点防止被干扰或防止被窃听。通过阻塞该端口,监控能够独立于光路上的信号类型,已经因此能够比其它方法(诸如,加密传送的信号,或在信号被输出给监控输出之前,修改该信号以使业务模糊)更易于实现。然而,通过使用用于光业务的真实输出光路来检测干预(tampering),它可能比阻塞对未使用的输出端口的访问的其它方法对干预更敏感。光检测器被配置为感知在至少一个未使用的输出端口上的输出光信号,以及告警电路被布置为基于由该光检测器检测到输出光信号来输出告警信号。这使用该检测能够基于输出光业务。它还使得监控系统能够在该节点的外部或更独立于该节点的其余部分,使得更易于升级现有节点。与应用于整个节点或建筑物的其它机械的或物理的安全措施相比,这能够更简单、成本更小以及能够选择性地被应用,以便根据需要保护节点的仅一部分。该新颖的监控也与此类已知的方法兼容,以及因此使得在对于更全面的安全性的多个级别上能够提供安全性。这些区别在原理上应用于内部可访问的端口或外部端口两者,以及应用于使用所生成的干预指示的任何方式。例如,参见图1。 [0008] 能够将任何另外的特征添加到这些特征,以及在以下阐述以及在从属权利要求中阐述以及更详细地描述了一些此类另外的特征。一个此类另外的特征是,告警电路被配置为:如果感知到光信号中的中断,则输出告警信号。这是一种进行检测的方式,能够设想其它方式。例如,参见图3。 [0009] 另一个此类另外的特征是,节点包括以下中的至少一个:光分路器,其具有耦合到未使用的输出端口的输出,以及波长解复用器,其具有耦合到该未使用的输出端口的输出。这些是能够导致备用输出的通用组件,因此它们能够导致安全漏洞,例如,参见图8和图9。 [0010] 另一个此类另外的特征是,至少一个未使用的输出端口包括:光连接器以及阻塞部件,该阻塞部件具有适用于与该光连接器匹配以将该未使用的输出端口的光路与光检测器耦合的对应的连接器。该连接器使得特别容易窃听,因此在这种情况下,增加的安全性特别有用。例如,参见图4。 [0011] 另一个此类另外的特征是,监控系统具有用于向网络的网络管理部件发送告警信号的通信部件。当网络管理系统具有关于网络状态的大量信息时,这能够有助于启用对于该检测的适当响应。例如,参见图5。 [0012] 另一个此类另外的特征是,告警电路具有被配置为维持临时检测到干预的持续指示的闩锁电路,以及用于根据外部信号来重置该闩锁电路的重置电路。这能够有助于启用瞬态检测的处理。例如,参见图6。 [0013] 本发明的另一个方面提供了安全性监控系统,该系统用于耦合到光网络装置的光路的未使用的输出端口,该装置具有对于去往和来自其它节点的光业务的至少两个光路,该光路具有各自的光端口,其中该光端口中的至少一个光端口被配置成未使用的输出端口,可以在将来用于耦合光业务。安全性监控系统用于检测未授权的访问以及具有阻塞部件,该阻塞部件用于与该未使用的输出端口耦合以便占据该未使用的输出端口。光检测器耦合到该阻塞部件,以及被配置为检测通过该未使用的输出端口的光信号。提供了告警电路,其被配置为基于由光检测器检测到光信号来输出指示该未使用的输出端口已经被访问的告警信号。使监控部件作为外部部件是特别有用的,以使得能够与现有节点结合使用,以及以使得能够与例如不同类型的节点结合使用而不需要改变该节点。 [0014] 另一个此类另外的特征是,告警电路被配置为:如果感知到光信号中的中断,则输出告警信号。例如,参见图3。 [0015] 另一个此类另外的特征是,通信部件用于向网络的网络管理部件发送告警信号。例如,参见图5和图7。 [0016] 另一个此类另外的特征是,该告警电路具有用于维持检测的持续指示的闩锁电路,以及用于根据外部信号来重置闩锁电路的重置电路。例如。参见图6。 [0017] 另一个此类另外的特征是,其中具有对于两个或更多的各自未使用的输出端口的两个或更多的阻塞部件,该告警电路被配置为输出指示已经访问了两个或更多的未使用的输出端口中的哪个输出端口的告警信号。这能够有助于使得能够基于每个端口或每个端口组来处理安全性。因此,对于一个端口的告警指示不用影响通过节点的所有业务,以及因此能够减少不必要的业务重路由,以及能够构建沿着路径的更详细的安全级别图。例如,参见图11。 [0018] 另一个此类另外的特征是,其中具有对于两个或更多的各自未使用的输出端口的两个或更多的阻塞部件,以及告警电路被配置为:如果检测到对该两个或更多未使用的输出端口中的任何端口的访问,则将光检测器的输出组合以输出公共告警。这种组合能够有助于减少信号的数目以及简化布置,这能够使得它更加可扩展到具有许多未使用的输出端口或许多节点的系统。例如,参见图10。 [0019] 本发明的另一个方面提供了一种监控光路的安全性以检测对光网络装置中的光路的未授权访问的方法,该装置具有对于去往和来自其它节点的光业务的至少两个光路,该光路具有各自光端口,其中该光端口中的至少一个光端口被配置成未使用的输出端口,可以在将来用于耦合光业务。有以下步骤:阻塞至少一个未使用的输出端口以便将任何其它部件排除在使用该未使用的输出端口以获得对该未使用的输出端口的光路的未授权访问之外,检测该未使用的输出端口的光路上的光信号,以及基于由光检测器检测到的光信号来输出指示是否已经发生访问的告警信号。例如,参见图2。 [0020] 另一个另外的特征是以下步骤:感知是否检测到光信号中的中断,以及根据该感知来输出告警信号。例如,参见图3。 [0021] 另一个此类另外的特征是以下步骤:向网络的网络管理部件发送告警信号。例如,参见图7或图10。 [0022] 本发明的另一个方面提供了一种安装安全性监控系统以升级光通信网的装置的方法,该装置具有对于去往和来自网络的其它部件的光业务的至少两个光路,以及具有各自光端口,其中该光端口中的至少一个光端口被配置成未使用的输出端口,可以在将来用于耦合光业务。安全性监控系统用于检测未授权的访问以及具有阻塞部件,该阻塞部件适用于可拆装地耦合到至少一个未使用的输出端口以占据该未使用的输出端口以便把任何其它部件排除在使用该未使用的输出端口以获得对该未使用的输出端口的光路的未授权访问之外。有光检测器,其耦合到该阻塞部件,以及被配置为检测通过该未使用的输出端口的光信号,以及告警电路,其被配置为基于由光检测器检测到光信号来输出指示该未使用的输出端口已经被访问的告警信号。安装安全性监控系统的该方法具有以下步骤:将该安全性监控系统的阻塞部件耦合到未使用的输出端口,以及向该安全性监控系统的电路提供通信路径以将指示传递给该网络的网络管理系统。 [0024] 能够将另外特征中的任何特征组合在一起以及与多个方面中的任何方面组合或从多个方面中的任何方面中被放弃要求保护。对于本领域的技术人员来说,尤其是通过与其它现有技术相比,其它效果和结果是明显的。在不背离本发明的权利要求书的情况下,能够做出许多变型和修改。因此,应当清楚理解的是,本发明的形式仅是说明性的,以及不是旨在限制本发明的范围。附图说明 [0025] 参照附图,仅通过示例来描述本发明的实施例,其中:图1示出了根据第一实施例的以光网络节点形式的装置的示意图, 图2示出了根据实施例的在操作安全性监控系统中的步骤, 图3示出了根据实施例的在操作安全性监控系统中的步骤,该步骤包括通过感知光信号中的中断来进行监控, 图4示出了根据实施例的装置示意图,该装置具有用于占据未使用的光连接器的阻塞部件, 图5示出了根据实施例的装置的示意图,该装置具有用于占据未使用的光连接器的阻塞部件以及用于向网络管理系统发送告警信号的通信部件, 图6示出了根据实施例的装置的示意图,该装置具有闩锁告警信号, 图7示出了根据实施例的在安装安全性监控系统中的步骤, 图8示出了根据实施例的以着色/方向性的ROADM节点形式的装置的示意图,图9示出了根据实施例的以着色/方向性的ROADM节点形式的装置的示意图,以及图10和图11示出了装置的示意图,该装置在它们的告警电路中具有特征。 具体实施方式[0026] 将参照特定实施例以及参照某些附图来描述本发明,但是本发明不限制于此,而是仅由权利要求书来限定。所描述的附图仅是示意性的并且是非限制性的。在附图中,元素中的一些元素的尺寸可能被放大以及出于说明性的目的可能没有按比例绘制。 [0027] 缩写:AD: 模数转换器 AWG: 阵列波导 HW: 硬件 LC 朗讯类型连接器 LOS: 信号丢失 MTP: 多光纤端接推入式(连接器类型) ROADM: 可重配置光分插复用器 WDM 波分复用 WSON 波长交换光网络 WSS: 波长选择开关 定义: 在本说明书和权利要求书中使用词语“包括”的地方,不是排除其它元素或步骤,以及不应当被解释为限制于其后列出的含义。在当提及单数名词时,例如,“一个”或“一种”,“该”,使用了不定冠词或定冠词,这可以包含多个该名词,除非特别地陈述了其它的。 [0028] 所描述的节点或网络的单元或部件可以包括:编码在介质中的用于执行任何种类的信息处理的逻辑。逻辑可以包括:编码在磁盘或其它计算机可读介质中的软件,和/或编码在专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它处理器或硬件中的指令。 [0029] 提及的节点能够涵盖任何种类的交换节点,不限于所述的类型,不限于任何的集成水平,或大小或带宽或比特率等。 [0030] 提及的交换机能够涵盖任何类型的交换机或交换机矩阵或交叉连接,不管该交换机是否能够处理或分隔或组合被交换的数据。 [0031] 提及的程序或软件能够涵盖在处理硬件上能够直接或间接运行的任何语言中的任何类型的程序。 [0032] 提及的处理器、硬件、处理硬件或电路能够涵盖任何种类的逻辑或模拟电路,集成到任何程度,以及不限于通用处理器、数字信号处理器、ASIC、FPGA、离散组件或逻辑等。提及的处理器旨在涵盖使用多个处理器(例如,它们可能被集成在一起,或共同位于相同节点中或在不同位置处分布)的实现方式。 [0033] 能够在硬件、由处理装置运行的软件中或由硬件和软件的组合来实现本文中描述的多个电路或电路的功能。处理装置能够包括:计算机、处理器、状态机、逻辑阵列或任何其它合适的处理装置。 [0034] 处理装置能够是通用处理器,其运行软件以使得该通用处理器执行所要求的任务,或处理装置能够专用于执行所要求的功能。实施例能够具有机器可读指令(软件)形式的程序,当由处理器运行该程序时,该程序执行任何所描述的方法。可以将该程序存储在电子存储设备、硬盘、光盘或其它机器可读存储介质或非短暂性的介质上。能够经由网络连接将程序下载到存储介质。 [0035] 提及的端口旨在涵盖任何种类的端口,示例包含以及不限于:用于内部或外部耦合的光连接器,用于在卡和主板之间耦合的连接器,没有端接的光纤尾部(用于将来接合),具有此类连接器或光纤以及相关联的电路或组件的卡,对于监控光谱或对于未来扩容或重配置而提供的端口,或由于市场上可以买到的光分支组件不提供期望数目的输出,等。 [0036] 提及的对光路的访问旨在涵盖任何种类的物理访问(该物理访问可能影响该光路上的光信号),诸如连接到光连接器或接合光纤尾部或分接出一部分的光功率,以便能够接收在该光路上的光信号,或以便能够将干扰光信号添加到该光路。 [0037] 所公开的发明的修改或其它实施例将为已经受益于在上述描述和相关联的附图中呈现的教导的本领域的技术人员所能想到。因此,将理解的是,本发明不限制于公开的特定实施例,以及意在将修改和其它实施例包含在本公开的范围内。尽管在本文中可能使用了特定的术语,但是它们仅被用在一般和描述性的含义中,并且不是用于限制的目的。 [0038] 通过介绍本发明的实施例的特征,将呈现已知特征中的一些论述。现今的ROADM架构允许具有不同功能性(诸如,着色/不着色、无方向性/有方向性、无竞争性等)的节点。所有这些架构在易于访问未使用的光输出端口方面上示出了一定程度的脆弱性,其中载有大量业务的光信号能够被分接或访问以及现在没有可供使用的检测恶意侵入的手段。 [0039] 这些架构的脆弱点中的一些脆弱点包含:-典型的广播&选择结构的线路分路器的未使用的输出端口 -在下引(drop)侧的无源AWG端口 -在无方向性的架构中的ADD通道分路器输出端口 -在具有相干转发器的无着色架构的下引侧中的分路器输出端口 -在无连接架构中的NxM端口。 [0040] -卡监控端口(例如,光放大器监控器)因此,在对于光网络的当前和将来的节点架构中,有许多未使用的输出端口可用,它们是未保护的和可访问的,而现有技术没有认识到这个问题。依赖于建筑物或房间或机柜的安全措施。但是许多客户的站点/建筑物可能没有被充分地保护以对抗对设备的侵入或访问,因此用于防止数据被非法访问的另外手段是期望的。 [0041] 对于其它类型的未使用端口(出于恶意的目的,从该端口能够提取信号)而言,通过在时域中使信号模糊而不改变光谱来保护监控端口安全的已知方法是没有用的。以这种方式不能保护在ROADM节点中的未使用的光输出端口,因为不能使该信号失真。 [0042] 此外,那些方法要求修改存在监控端口的现有的卡。这阻碍了在已安装的网络中的使用。因此,允许网络光安全水平的在业务中升级的方法是所期望的。示出脆弱性端口的大多数单元恰好是无源的(分路器、AWG滤波器等)以及将它们转换成有源的单元将太麻烦以及在商业上没有优势。因此,本发明人已经认识到对具有更广阔保护能力的不同方法的需求。这能够基于‘安全保护元件’,其向ROADM节点提供验证穿越该节点自身的光路没有以任何方式被泄露、分接、下引或干扰的能力。ROADM架构示出了对于恶意操作者的访问的许多‘缺点’和脆弱点。当前,对设备而言,没有办法来检测对这些许多点的访问。 [0043] 图1、2,本发明的第一实施例图1示出了具有外部安全性监控系统30的光网络的节点10形式的装置的示意图。该节点具有由至其它端口的链路占据的端口40。例如,以分路器或解复用器形式提供了光分支部件15。因此,有两个或更多的光路。这些路径中的一个路径通向未使用的输出端口20。 系统监控部件具有阻塞部件50,该部件50占据该未使用的输出端口,以便防止对该未使用的输出端口的光路的未授权访问。提供了光检测器60,其耦合到该阻塞部件以及被配置为检测通过该未使用的端口的光信号。它能够被集成在阻塞部件中,或装备有光路(诸如光纤悬空引线),以便该光检测器能够远离于该端口几米远。监控系统还具有告警电路70,其耦合到光检测器以及被配置为基于由该光检测器检测到光信号来输出指示该未使用的输出端口已经被访问的告警信号。 [0044] 所提出的安全性监控系统或保护单元(其能够是适合放入主设备中的卡,或被封装在类似比萨盒中的有源框架)能够具有光检测器,该光检测器被实现成一组光电二极管,该一组光电二极管被连接到以例如连接到ROADM节点的开放的不安全端口的光连接器形式的阻塞部件。出于恶意目的的此类连接的任何开放将被瞬时检测到,以及能够发送告警信号以使得网络操作者能够采取合适的对策。 [0045] 能够将这个方法或装置应用于当前的设备或已安装的遗留设备,因为它能够基于新添加的单元,该单元不要求在已开发的设备卡中的改变。此外,该单元能够基于低成本设备以及简单的低速电子产品和控制器。该思想与ITU-T X.805有关,提及不可否认性和访问控制安全性维度,以及安全管理平面。 [0046] 如果ROADM具有所需的安全性能力,则安全性监控系统能够将这个信息(例如,指示安全性能力和它的当前状态)传递给网络控制和管理以用于任何适当的响应,诸如例如警告操作人员,或重新路由敏感业务,或更新路由数据库。注意能够对于可以使用的方向的子集中的节点容量的一部分来实施安全性。在多个参数的这种情况下,它能够对于安全性是可用的波长和/或方向来进行通信。 [0047] 能够将安全性监控系统实现成具有使用光电二极管阵列来端接的一系列光连接的卡或比萨盒单元,光电二极管阵列能够检测存在或不存在进入光。以这种方式,被保护以免受非法访问的节点端口被连接到安全保护单元的输入端口,以及任何断开连接将被检测到并通过信号传送给更高级的节点或网络管理。 [0048] 图2示出了根据诸如图1的实施例或其它实施例的实施例的操作步骤。在步骤300,由阻塞部件阻塞未使用的输出端口,该阻塞部件被耦合到未使用的输出端口。它占据了该端口,以便防止对光路的任何未授权的访问。在步骤310,光检测器检测通过该未使用的输出端口的光路的光信号。在步骤320,如果检测器检测到光信号中的中断,则推断为该阻塞部件已经被移除或以一些方式被干预,以及因此未授权的访问已经发生。输出告警信号,以及这能够用于任何目的,例如,警告操作者,或重新路由业务,或更新路由选择数据库。 [0049] 以上描述的这些特征的一些效果和结果如下:-能够保护免受对系统节点架构的不安全端口的不希望的访问。 [0050] -不要求在已安装的节点配置中的改变:能够在活动的网络上添加该单元以将节点升级到更高的安全水平。 [0051] -对节点的业务卡不要求专用硬件。 [0052] -它能够应用于无源单元以及更复杂的有源单元。 [0053] -可扩展:能够取决于想要保护的端口/线路的数目,来设计该单元的尺寸。 [0054] -低成本:能够基于具有光电二极管的以及简单的低速电子产品的低成本硬件。 [0055] 图3,通过感知光信号中的中断来进行监控图3示出了类似于图2的方法,以及示出了图1的实施例或其它实施例的一些操作步骤。在步骤300,通过耦合阻塞部件来阻塞未使用的输出端口。阻塞部件占据该端口以便防止对光路的任何未授权的访问。在步骤310,光检测器检测通过该未使用的输出端口的光路的光信号。在步骤315,由光检测器感知光信号中的中断。在步骤320,如果该检测器检测到光信号中的中断,则推断为阻塞部件已经被移除或以一些方式被干预,以及从而已经发生未授权的访问。输出告警信号,以及这能够用于任何目的。 [0056] 图4,具有用于占据未使用的光连接器的阻塞部件的实施例图4示出了与图1的实施例类似的实施例,以及类似的参考标记用于对应的特征。在图4中,未使用的输出端口20具有光连接器25。光连接器25被耦合到阻塞部件的对应连接器55,以便占据该未使用的端口以及防止对该光路的任何其它访问。 [0057] 图5,具有用于向NMS发送告警信号的通信部件的实施例图5示出了与图4的实施例类似的实施例,以及类似的参考标记用于对应的特征。在图5中,未使用的输出端口20具有光连接器25。光连接器25被耦合到阻塞部件的对应连接器55,以便占据该未使用的端口以及防止对该光路的任何其它访问。安全性监控系统具有通信部件75,以便能够将输出的告警信号发送给网络管理部件80。 [0058] 图6,具有闩锁的告警信号的实施例图6示出了与图4的实施例类似的实施例,以及类似的参考标记用于对应的特征。在图6中,告警电路70具有闩锁电路77,以便能够输出瞬态告警的持续指示。提供了重置电路78以重置闩锁电路。 [0059] 图7,根据实施例安装安全性监控系统图7示出了根据实施例的在安装安全性监控系统的方法中的步骤。在步骤400,该安装通过可拆装地将阻塞部件耦合到装置的未使用端口来开始,并从而排除对未使用端口的光路的未授权访问。在步骤410,从安全性监控系统提供通信路径以用于向网络管理系统传递告警信号。网络管理系统能够远离于该装置,在中心位置或可以是本地的,例如分布式控制平面的软件代理。在一些情况下,可能需要一些配置输入,例如以识别哪些端口被阻塞部件中的哪些阻塞部件阻塞。在步骤420,在安装之后,操作能够开始,以及监控系统能够开始检测信号中是否有中断,其将指示阻塞端口被未授权地干预或移除。能够仅当检测到时才发送该告警信号,或能够周期性地发送信号以给出没有检测到的肯定指示,或能够响应于由管理系统的轮询在请求时发送。在步骤430,如果接收到告警,则网络管理系统在屏幕上向操作者提供视图,该视图指示该告警已经发生的地方以及可能的补救动作,诸如例如启动站点巡视,重新路由业务以避免该位置,或提出其它安全措施,诸如例如,加密或更详细地监控。 [0060] 图8以着色的/有方向性的ROADM节点形式的实施例图8示出了根据另一个实施例的以节点形式的装置的一部分的示意图,在该实施例中,安全性监控系统被应用于着色的/有方向性的ROADM节点。示出了去往和来自另一个节点的一个双向光链路(线路1),可以提供许多其它此类线路。光放大器510被提供作为输入和输出接口。这些放大器的监控输出被馈入安全性监控系统。分路器550将进入光信号(其典型地是WDM信号)分成9个相同的副本(在其它示例中,可以有更多或更少的副本)。 这些副本中的一个副本被馈入到下引解复用器AWG 500,下引解复用器AWG 500将WDM信号的n个个体波长分离以及将每个波长耦合到不同的转发器(TP 1…n),转发器接着将电或光信号输出到本地客户端接口。因为AWG可能没有匹配转发器的期望数目的“恰好”数目的输出,所以可能有若干备用输出,该备用输出是未使用端口。这些备用输出被耦合到安全性监控系统,以便它们被占据以及不易受未授权、未检测到的窃听的攻击。 [0061] 如示出的,分路器具有8个其它输出。这些其它输出中4个输出被馈入到其它线路以及因此被“使用”。另外4个是未使用的,以及因此被馈入到安全性监控系统,以便它们被占据以及不易于受未授权、未检测到的窃听的攻击。因此,如所示出的安全性监控系统占据所有未使用的监控端口、未使用的分路器端口以及未使用的解复用器下引端口。 [0062] 转发器还具有进入信号,该进入信号用于添加到被发送给其它节点的WDM信号。这些信号作为来自转发器的个体波长被耦合到AWG复用器505。来自复用器505的WDM“添加”信号被馈入到WSS 540,WSS 540选择“添加”信号的哪些波长与来自其它线路的其它波长一起在线路1上发出。来自WSS 540的输出WDM信号被馈入给光放大器510以用于传输给下一个节点。能够对于由节点服务的线路中的每个线路,提供部件510、550和540。 [0063] 如果对于给定进入线路的所有未使用的输出端口被占据和监控,则这能够提供对于该线路的安全能力,即使进入到同一节点的其它线路没有相同的安全性。安全性监控系统能够被布置为向网络管理系统指示线路中的哪些线路是安全的。 [0064] 或者,在另外的示例中,能够通过占据所有未使用的监控端口、所有未使用的分路器端口,但是仅占据对应于波长的子集的下引端口中的选择的端口,来保护该波长的子集。安全性监控系统能够被布置为向网络管理系统指示波长中的哪些波长是安全的。 [0065] 或者,如果需要,则整个节点的所有未使用的输出端口能够由安全性监控系统来占据或监控。此外,如果其它脆弱点需要被保护,诸如手工配置交换机或输入端口,如果它们在物理上接近于保护的未使用的输出端口,则能够制造阻塞部件,以便当在适当的位置占据该未使用的输出端口时覆盖此类其它脆弱点。这比这些其它脆弱点具有各自的覆盖更好,因为不需要分别地监控对此类各自覆盖的干预。 [0066] 图9以无颜色/无方向性ROADM节点形式的实施例图9示出了根据另一个实施例的以节点形式的装置的一部分的示意图,其中安全性监控系统被应用于更高级的无颜色/无方向性的架构。如在图8中示出的,一个双向光链路(线路1)被示出为去往和来自另一个节点,可以提供许多其它此类线路。光放大器510被提供作为输入和输出接口。这些放大器的监控输出被馈入安全性监控系统。分路器550将进入光信号(其典型地是WDM信号)分成9个相同的副本(在其它示例中,可以有更多或更少的副本)。这些副本中的一个副本被馈入到无方向性端口1的WSS 560的输入。这里,WSS 560从来自所有线路的WDM输入来选择波长,以及将所产生的WDM信号馈入至光放大器510,接着至WSS 610,其中对于输出到不同的相干转发器620来选择WDM信号的波长,不同的相干转发器620能够选择或处理多个波长。能够有级联的分路器以提供用于更多的转发器。 [0067] 如在图8中,可以有分路器550的许多备用输出,这些备用输出是未使用端口,没有被耦合到其它线路。这些备用示出被示出为耦合到安全性监控系统,以便它们被占据以及不易于受到未授权、未检测到的窃听。此外,还有来自WSS 610的许多备用输出,这些备用输出是未使用相干下引端口。这些端口全部被示出为耦合到安全性监控系统。还有来自光放大器的监控端口,这些监控端口也是未使用的以及也被安全性监控系统占据和监控,以及不易于受到未授权、未检测的窃听。因此,如示出的安全性监控系统占据了所有未使用的监控端口、未使用的分路器端口以及未使用的解复用器下引端口。 [0068] 转发器也具有进入信号,这些进入信号用于添加到被发送给其它节点的WDM信号。这些WDM信号能够具有在相干转发器处生成的可选择的波长或多个波长。这些信号由耦合器600而不是图8中示出的波长复用器来组合,假定不同的输入不具有重叠的波长分配。在耦合器600之前,能够有分路器(未示出)以使得转发器能够将它们的进入信号分布到该节点内的其它无方向性端口。由耦合器600输出的结果WDM信号经由光放大器510被馈入分路器570。该分路器的输出被分发给线路中的不同线路。这些输出中的一个输出被示出为传送给线路1,至WSS 540的输入。这个部件对于线路1上的输出,从不同线路和端口选择波长。分路器570的输出比线路更多,以及因此3个备用输出是未使用的输出端口,它们被示出为被安全性监控系统占据。 [0069] 根据节点需求和系统架构,能够采用若干实现方式。可能的区别将是管理所有监控点的连接的空间和机械要求。使用滑入单元,预见对于15英寸的单槽卡的高达40~48个LC连接的限制是合理的。比萨盒方法能够达到在单个机架单元解决方案上大约80~100个LC连接。增加密度的可能性是使用MTP连接器连同“多头(Hydra)”电缆,但是这将增加该解决方案的成本。 [0070] 安全性监控系统能够具有相对简单的设计。例如,它能够是独立箱,或被实现成被插入到该节点的模块。它能够具有带有控制电子装置的光电二极管阵列,以便一旦该连接开路,则能够检测到LOS情况。更简单的解决方案能够使用仅比较器(模拟)或引入一些AD组件,它将能够管理对于每个端口的不同阈值。使用具有专用SW的微控制器允许告警管理以及与网络设备的通信。 [0071] 基本解决方案能够由通过被导线连接到该设备的接地接触的逻辑OR所连接的所有监控的实体组成。这将仅发出节点访问告警,而没有特定端口的指示,但是能够在现有的设备上添加而不需要特定的部署/升级(仅需要具有安全告警的所使用的接地接触的逻辑指配)。 [0072] 取决于节点架构,可能要求不同数目的监控点。对于完全无色的和无方向的解决方案,基于广播和选择架构(大部分安装的基于WSS的节点),需要管理有限数量的开放未保护的端口:分路器的未使用的线路和上路端口加上放大器监控端口。具有8-16个监控器的解决方案能够符合要求。对于更多复杂的节点,诸如具有固定的非无方向性的分插的那些节点,它们也将使得AWG解复用器(或其他解复用器技术)的所有空闲的端口被监控,因为节点的通透通道将被分路以及呈现在对应的解复用器端口处。在这些情况下,具有数十个监控器的解决方案可能是优选的。 [0073] 图10和图11 装置的实施例,该装置在它们的告警电路中具有特征图10和图11示出在告警电路中具有特定特征的实施例。图10示出了与图1的实施例类似的实施例,以及具有多个未使用的输出端口和对应的阻塞部件。示出了两个,但是当然能够具有更多个。告警电路具有组合电路72以用于组合来自不同阻塞部件的信号。这可以是简单的逻辑OR电路,以便如果阻塞部件中的任何阻塞部件被干预,则发送告警。 [0074] 图11示出了与图10的实施例类似的实施例,也具有多个未使用的输出端口和对应的阻塞部件。但是替代组合电路72,该告警电路具有端口ID电路74。这使得如果阻塞部件中的任何阻塞部件被干预,则发送告警信号,但是在这种情况下,发送哪个端口已经触发该告警的指示。能够在各种方式中实现这种方案,其中一种方式涉及例如使用查找表。该查找表能够通过来自光检测器的进入信号来编址,以及能够输出端口ID数字。这些数字能够在安装阻塞部件时来建立,以及能够被存储在非易失性存储器中。 [0075] 在权利要求书中能够设想其它变型和实施例。 |
||
QQ群二维码
意见反馈
意见反馈