1

LỜI MỞ ĐẦU
Mạng truy nhập quang GPON (viết tắt của từ Gigabit Passive Optical Network) là
sự phát triển của APON/BPON, hoạt động ở tốc độ lên tới hàng Gbps và đã được chuẩn hóa
thành ITU-T G.984. Mạng PON có tính chất đa hướng, nên mạng PON nói chung và GPON
nói riêng có tính bảo mật khơng cao dẫn đến cần có cơ chế bảo mật đáp ứng các yêu cầu
sau:
- Ngăn chặn người dùng khác dễ dàng giải mã dữ liệu xuống.
- Ngăn chặn người dùng khác giả mạo là một ONU/ONT hoặc người dùng khác.
- Cho phép thực hiện có hiệu quả về chi phí.
Hiện nay có một số giải pháp, trong đó có giải pháp mã hóa sử dụng khóa thay đổi
theo thời gian từ các ONU là giải pháp lấy tín hiệu lên (upstream) của các ONU làm khóa
để mã hóa tín hiệu xuống (downstream). Do tín hiệu lên (upstream) là riêng biệt của mỗi
ONU và thay đổi liên tục nên chỉ có ONU đó mới có khóa để giải mã.
Giải pháp sử dụng WDM-PON là giải pháp sử dụng kỹ thuật ghép kênh phân chia
theo bước sóng trong mạng quang thụ động.Mạng WDM có kiến trúc kiểu điểm – điểm, sử
dụng bước sóng riêng biệt cho từng ONU.
Mục tiêu của đề tài là làm rõ cơ chế bảo mật và các giải pháp đảm bảo an toàn dữ
liệu của mạng truy nhập GPON. Đánh giá hiệu quả bảo mật của các giải pháp đảm bảo an
toàn dữ liệu làm cơ sở đề xuất áp dụng vào thực tiễn. Luận văn gồm 3 chương được cấu trúc
như sau:
Chương 1: Mạng truy nhập quang GPON.
Chương 2: Vấn đề đảm bảo an toàn dữ liệu cho mạng GPON.
Chương 3: Các giải pháp tăng cường an toàn dữ liệu trong mạng GPON.

Chương 1: MẠNG TRUY NHẬP QUANG GPON
1.1. Giới thiệu mạng quang thụ động Passive Optical Network (PON)
PON là từ viết tắt của Passive Optical Network hay còn gọi là mạng quang
thụ động. Công nghệ mạng quang thụ động PON cịn được hiểu là mạng cơng nghệ quang

2

truy nhập giúp tăng cường kết nối giữa các nút mạng truy nhập của nhà cung cấp dịch vụ và
người sử dụng.

1.1.1. Tổng quan về công nghệ PON
Mạng quang thụ động PON sử dụng phần tử chia quang thụ động trong
phần mạng phân bố nằm giữa thiết bị đường truyền quang Otical Line Terminal
(OLT) và thiết bị kết cuối mạng quang Optical network Unit (ONU), Passive
Optical Splitter là bộ chia quang thụ động.

1.1.2. Đặc điểm của PON
1.1.3. Thành phần cơ bản của mạng quang thụ động PON
a. Sợi quang và cáp quang
b. Bộ tách/ghép quang
c. Đầu cuối đường quang OLT (Optical Line Terminal)
d. Mạng phân phối quang ODN (Optical Distributed Network)

e. Bộ chia (Splitter)
1.1.4. Mơ hình PON
1.1.5. Phân loại PON
a. TDM PON
b. WDM-PON
c. CDMA-PON
1.2. Gigabit PON (GPON)
GPON hay Gigabit Passive Opticcal Networks được định nghĩa bởi ITU-T trong
chuỗi các tài liệu từ G.984.1 đến G.984.6. GPON có thể truyền tải dữ liệu khơng chỉ
Ethernet mà cịn ATM và TDM (PSTN, ISDN, E1 và E3). Mạng GPON chứa hai thiết bị
hoạt động chính là Optical Line Termination(OLT) và Optical Network Unit (ONU). GPON

hỗ trợ đa dịch vụ, tốc độ cao và khoảng cách có thể lên đến 20km.


3

1.2.1. Hệ thống GPON

Hình 1.1: Kiến trúc mạng truy nhập quang GPON

1.2.2. Lớp truyền dẫn hội tụ GPON
a. Chức năng của GTC
b. Tốc độ bit của GPON
1.2.3. Khung truyền dẫn GPON
a. Cấu trúc khung hướng xuống
Một khung GTC đường xuống có khoảng thời gian 125us và chiều dài 38880 bytes,
tương ứng với tốc độ dữ liệu là 2.48832 Gbps. Hình 1.16 chỉ ra chi tiết cấu trúc khung GTC
đường xuống.
OLT gửi PCBd theo kiểu broadcast và mỗi ONU đều nhận được tồn bộ PCBd. Các
ONU sau đó sẽ hoạt động dựa trên các thơng tin liên quan chứa trong đó. Trường Psync chỉ
ra vị trí bắt đầu của khung. Trường Ident chứa một trường 8-KHz Superframe Counter được
sử dụng bởi hệ thống mã hóa và cũng có thể được sử dụng để cung cấp tốc độ đồng bộ thấp
giữa các tín hiệu tham chiếu. Trường PLOAM thực hiện chức năng như báo hiệu OAM
hoặc cảnh báo ngưỡng. Trường BIP (Bit Interleaved Parity) được dùng để ước lượng tỉ lệ lỗi
bit. Trường Plend chứa chiều dài của upstream bandwidth (US BW) map. Plent được gửi
hai lần. Mỗi thực thể trong trường Upstream Bandwidth (US BW) map đại diện một cấp
phát băng thông tới một T-CONT cụ thể. Số lượng thực thể được chỉ ra trong trường Plent
[2].


4


b. Cấu trúc khung hướng lên
Khoảng thời gian khung Đường lên GTC cũng là 125us và chiều dài là 19400 bytes,
do đó tốc độ dữ liệu là 1.24416 Gbps. Mỗi khung đường lên chứa một số các burst tới từ một
hoặc nhiều ONU. Mỗi đường lên burst chứa một PLOu (upstream physical layer overhead) và
một hoặc nhiều đoạn băng thông cấp phát cho từng ALLOC_ID riêng lẻ. BW Map chỉ ra việc
sắp xếp các burst trong khung và khoảng thời gian chỉ định cho mỗi burst. Mỗi khoảng chỉ
định được điều khiển bởi một cấu trúc đặc biệt của BW Map. Hình 1.17 chỉ ra cấu trúc khung
đường lên GTC.
PLOu tại vị trí bắt đầu của ONU đường lên burst chứa “preamble” cái mà đảm bảo
chính xác hoạt động của lớp vật lý của burst-mod upstream link. Trường PLOu chứa trường
ONU-ID nhận dạng duy nhất một ONU. Lớp vật lý đường lên OAM (PLOAMu) chịu trách
nhiệm quản lý chức năng định cỡ, kích hoạt ONU và phát thơng báo cảnh báo [2].


5

c. Phân bổ băng tần động DBA trong GPON
1.3. KẾT LUẬN CHƯƠNG
PON là mạng truy nhập có nhiều ưu điểm để triển khai các dịch vụ băng rộng
(thoại, dữ liệu, video) giữa các khối kết cuối đường dây ở xa (ONUs) và kết cuối mạng
(OLT). Khơng như mạng quang tích cực AON cần các bộ chuyển đổi quang điện tại mỗi
nút, mạng quang thụ động PON sử dụng các bộ ghép và chia quang thụ động để phân bổ lưu
lượng quang. Một cổng PON có thể tập trung lưu lượng từ 64 ONU đến một OLT được đặt
tổng đài nội hạt (CO) theo kiến trúc hình cây, bus, hoặc vịng ring chống lỗi.
Mạng PON ngoài việc giải quyết các vấn đề về băng thơng, nó cịn có ưu điểm là
chi phí lắp đặt thấp do nó tận dụng được những sợi quang trong mạng đã có từ trước. PON
cũng dễ dàng và thuận tiện trong việc ghép thêm các ONU theo yêu cầu của các dịch vụ,
trong khi đó việc thiết lập thêm các nút trong mạng tích cực khá phức tạp do việc cấp nguồn
tại mỗi nút mạng, và trong mỗi nút mạng đều cần có các bộ phát lại.

Công nghệ GPON giải quyết được vấn đề tắc nghẽn băng thông trong mạng truy
nhập, cho phép triển khai các dịch vụ băng rộng và có tính tương tác. Với việc đưa ra
một giải pháp với giá thành hạ, băng tần cao, có khả năng chống lỗi, cơng nghệ GPON
sẽ là giải pháp tốt nhất cho mạng thế hệ sau, cũng như cho mạng truy nhập băng rộng.

CHƯƠNG 2: VẤN ĐỀ ĐẢM BẢO AN TOÀN DỮ LIỆU
CHO MẠNG GPON
2.1. Quá trình đồng bộ OLT và ONU
Giao tiếp giữa OLT với các ONU cần phải được thiết lập sau khi kết nối đầu tiên
của ONU vào mạng. Đây là việc làm đầu tiên cho khách hàng mới. ONU của khách hàng
mới khơng thể truyền dữ liệu vì chưa đồng bộ. Do đó đồng bộ hóa với tín hiệu xuống
(downstream) là cần thiết. Trạng thái đầu tiên trong q trình kích hoạt được gọi là trạng
thái ban đầu (O1). Trong trường hợp này, ONU xác nhận các tham số LOS (Mất tín hiệu) và
LOF (Mất khung) là 1và 1. Nếu khung đầu tiên được nhận, cả hai tham số được đặt thành 0.
OLT cần tính chiều dài của mạng lưới phân phối cho ONU mới này theo công thức 2.1.
FDi = (RT Di - RTi)x102
Với FDi là khoảng cách cáp giữa OLT và ONU,
RT Di là độ trễ round-trip (tính bằng μs) được đo bởi OLT
RTi là thời gian đáp ứng của ONU

(2.1)


6

Giá trị 102m/μs biểu diễn các chỉ số khúc xạ đối với sợi G.652. Nó phụ thuộc vào
nhiệt độ và độ dài bước sóng.
Trạng thái ban đầu (O1)
ONU vừa được khởi đ ộng
ONU nhận các khung

dữ liệu xuống
ONU nhận yêu cầu vơ hiệu hóa

Trạng thái chờ (O2)
ONU đợi các tham số của mạng

ONU phát hiện LOS/LOF

ONU nhận các tham
số mào đầu
dữ liệu lên
Hẹn giờ TO1 hết hiệu lực

ONU nhận yêu cầu vơ hiệu hóa

Trạng thái số sêri (O3)
ONU đợi u cầu số sêri

ONU phát hiện LOS/LOF

ONU nhận ONU-ID

Hẹn giờ TO1 hết hiệu lực
Trạng thái định cỡ (O4)
ONU đợi yêu cầu định cỡ

ONU nhận u cầu vơ hiệu hóa

ONU phát hiện LOS/LOF
ONU nhận yêu cầu chấm dứt hoạt động


ONU nhận
trễ cân bằng

ONU nhận u cầu vơ hiệu hóa

Trạng thái hoạt động (O5)
ONU nhận và phát dữ liệu

ONU nhận yêu cầu chấm dứt hoạt động
ONU phát hiện LOS/LOF

ONU nhận thư
POPUP có hướng
ONU nhận được tin
nhắn POPUPquảng bá
ONU nhận yêu cầu vô hiệu hóa

Trạng thái POPUP (O6)
ONU xác nhận LOS/LOF

Trạng thái dừng kh ẩn cấp (O7)
ONU dừng phát dữ liệu cho đến
khi OLT cho phép

ONU nhận yêu cầu chấm dứt hoạt động
Hẹn giờ TO2 hết hiệu lực

ONU nhận yêu cầu cho phép


Hình 2.1: Sơ đồ trạng thái của ONU

2.2. Quá trình xác thực
Quá trình xác thực là tùy chọn được cung cấp bởi việc cài đặt ở OLT. Nếu OLT cần
mật mã của dữ liệu có nghĩa là OLT cung cấp một đăng ký ngẫu nhiên cho ONU. Sau khi
OLT viết lệnh để đăng ký lệnh ngẫu nhiên ở OLT. ONU chuyển sang trạng thái chờ lệnh.
Trong trạng thái này, ONU đợi OLT đọc đăng ký và viết kết quả so sánh. Trong trường hợp
tiêu chuẩn OLT và ONU đã thực hiện quá trình xác thực. Khi OLT khơng nhận được phản
hồi của ONU trong trạng thái chờ trong 3 giây (T1 hết hạn) Quá trình xác thực kết thúc với
một lỗi.


7
ONT ở trạng thái O5 chưa qua
quá trình xác thực
OLT cài đặt đăng ký mẫu
ngẫu nhiên

OLT chuẩn bị xác thực

Mẫu OLT không phù hợp

OLT cài đặt đăng ký
mẫu ngẫu nhiên và bảng kết
quả xác thực ONU
T1 hết hiệu lực

OLT đợi OLT được xác thực
Xác nhận thất bại
ONU phê chuẩn bảng

kết quả xác thực OLT
ONU cung cấp
khóa tới lớp TC

T2 hết hiệu lực

T3 hết hiệu lực

OLT và ONU đã xác thực

ONU khơng tin tưởng OLT

Q trình xác thực lỗi

Hình 2.2: Biểu đồ quá trình xác thực giữa OLT và ONU

Nếu quá trình xác thực được thực hiện, thì OLT đã sẵn sàng để mã hóa dữ liệu ban
đầu thơng qua một thông báo bảo mật (ISP hoạt động với giá trị tùy chọn này). Các thông
báo bảo mật được gửi cùng với u cầu thay đổi chính. Sau đó, ONU nhận được u cầu
thay đổi chính và xác nhận thơng báo này với yêu cầu xác nhận yêu cầu thay đổi chính. Mã
hóa dữ liệu được tạo ra và ONU gửi nó vào một tin nhắn PLOAM như một văn bản thuần
túy ba lần.


8

Hình 2.3: Q trình trao đổi tin nhắn chứa khóa mã hóa giữa OLT và ONU

2.3. Các mối đe dọa về bảo mật trong mạng GPON
Kẻ tấn công thụ động có thể nghe lén tín hiệu đường lên vì tiêu chuẩn ITU-T

G.984.3 (trong phần của các cơ chế bảo mật) chỉ định nghĩa mã hóa tín hiệu đường xuống.
Mã hóa tín hiệu đường xuống (128 bit AES ở chế độ truy cập) là tùy chọn. Hơn nữa, mật
khẩu và các phím được gửi như một văn bản thuần túy. Vì vậy, kẻ tấn cơng có thể nghe
trộm tín hiệu đường xuống.
ONU1

USER1

ONU2

USER2

ONU3

USER3

FILTER

OLT
SMF
SPLITTER

FILTER

FILTER

Hình 2.4: Nghe trộm xảy ra trong TDMA-PON

Mơ hình tấn công nghe trộm xảy ra trong TDMA-PON thể hiện trong hình 2.4. Một
kẻ tấn cơng bộ lọc của một trong các ONU, khi đó nó sẽ nhận được dữ liệu của tất cả các

ONU khác.


9

Một kẻ tấn cơng có thể phát lại tin nhắn PLOAM bằng văn bản đơn giản và làm rối
bận các dịch vụ, gia tăng thời gian truyền, giảm hiệu năng làm việc của mạng TDMA-PON.
Tin nhắn OAM lớp vật lý (PLOAM) hỗ trợ các chức năng quản lý lớp PON TC bao
gồm kích hoạt ONU, thiết lập OMCC, cấu hình mã hóa, quản lý phím và báo hiệu báo động.
Nó được vận chuyển trong trường tin nhắn PLOAM 13-byte trong phần đầu của khung GTC
đường xuống và phân bổ Alloc-ID mặc định của luồng GTC đường lên. Cấu trúc thư
PLOAM được thể hiện trong hình 2.5.
Các tin nhắn PLOAM nhạy cảm dưới dạng các văn bản đơn giản và không được
bảo vệ chống lại giả mạo. Điều này có thể bị lợi dụng để tấn công Man in the midle (MitM),
từ chối dịch vụ và mạo danh tấn công.
Trong mạng GPON, chỉ có ONU là phải chứng thực cịn OLT thường khơng được
chứng thực. Do đó, ONU khơng thể phát hiện OLT giả mạo. Khi đó, ONU gửi mật khẩu
trong dưới dạng văn bản đơn giản có thể bị OLT giả mạo chụp, phát lại và sử dụng cho việc
mạo danh ONU để thực hiện các loại tấn công khác.
Một kẻ tấn công đang cố gắng thực hiện ngăn chặn tài nguyên mạng của người
dùng hợp pháp. Ví dụ, cuộc tấn cơng DoS có thể ngăn chặn lưu lượng đường lên của ONU
từ đó từ chối dịch vụ của người dùng. Việc chứng thực an toàn của người sử dụng có khả
năng ngăn ngừa dạng tấn cơng này.
Kẻ tấn cơng sử dụng mạo danh ONU hoặc một số ONU để hưởng dịch vụ và băng
thông lớn hơn một cách bất hợp pháp.

2.4. Giải pháp an ninh cơ bản trong mạng GPON
Các mạng GPON đang sử dụng cơ chế mã hóa điểm đến điểm được gọi là Tiêu
chuẩn mã hóa tiên tiến - Advanced Encryption Standard (AES). AES đang sử dụng các
khoá mật mã 128, 192 hoặc 256 bit để mã hóa các khối dữ liệu của 128-bit.

AES là một thuật tốn “mã hóa khối” (block cipher) ban đầu được tạo ra bởi hai nhà
mật mã học người Bỉ là Joan Daemen và Vincent Rijmen. Kể từ khi được công bố là một
tiêu chuẩn, AES trở thành một trong những thuật tốn mã hóa phổ biến nhất sử dụng khóa


10

mã đối xứng để mã hóa và giải mã (một số được giữ bí mật dùng cho quy trình mở rộng
khóa nhằm tạo ra một tập các khóa vịng). Ở Việt Nam, thuật tốn AES đã được cơng bố
thành tiêu chuẩn quốc gia TCVN 7816:2007 năm 2007 về thuật toán mã hóa dữ liệu AES.

2.5. KẾT LUẬN CHƯƠNG
Mạng truy nhập quang thụ động GPON có ưu điểm là tốc độ truyền dẫn cao, có thể
giải quyết được vấn đề nút thắt cổ chai. Tuy nhiên, đa số mạng GPON hiện tại đều sử dụng
TDM-PON với kiến trúc P2MP dẫn đến dữ liệu được truyền tới tất cả những người sử dụng.
Nó dẫn đến các nguy cơ an ninh như: n

,t

,đ

,m

,t

. Bên cạnh đó, với nhu cầu ngày càng tăng đối với băng thông

,t

của các dịch vụ như: IP-Television và VOD chất lượng HD, mạng GPON với tốc độ phổ

biến hiện tại là đường lên 1.25 Gbit/s, đường xuống 2.5 Gbit/s hồn tồn có thể đáp ứng
được các u cầu về tốc độ trong tương lai gần. Chính vì vậy, nghiên cứu các giải pháp bảo
đảm an toàn dữ liệu cho mạng GPON có vai trị quan trọng và có ý nghĩa thiết thực. Trong
nội dung của chương đã đề cập đến những vấn đề cơ bản liên quan đến việc đảm bảo an
toàn dữ liệu cho mạng GPON, các nguy cơ mất an tồn và các kĩ thuật có thể sử dụng để đối
phó với các nguy cơ này.

CHƯƠNG 3: CÁC GIẢI PHÁP TĂNG CƯỜNG AN TOÀN DỮ
LIỆU TRONG MẠNG GPON
3.1. Giải pháp mã hóa sử dụng khóa thay đổi theo thời gian từ các ONU
3.1.1. Giới thiệu giải pháp
Phương pháp bảo mật năng động cho mã hóa lớp vật lý trong OFDM-PON. Các tín
hiệu đường lên
đường xuống và đường lên của ONU. Ở đây,
mỗi tín hiệu đường lên của ONU được sử dụng như chìa khố an tồn. Các tín hiệu đường
xuống được gửi đến các bên ONU, trong đó mỗi ONU chọn các sóng mang con OFDM
riêng. Sau đó q trình giải mã được thực hiện bằng cách sử dụng thuật tốn XOR giữa tín
hiệu đường xuống được mã hóa và tín hiệu đường lên đã lưu trữ. Vì thế, chỉ ONU đúng mới
có thể giải mã tín hiệu đã được mã hóa bởi vì nó có một bản sao của tín hiệu đường lên của
nó. Vì DSP rất dễ thực hiện trong hệ thống OFDM-PON và ONU khơng thể có được các tín
hiệu đường lên của ONU khác, XOR giữa các tín hiệu đường xuống và đường lên là một
phương pháp mã hóa đơn giản và hiệu quả cho tín hiệu đường xuống. Hơn nữa, tín hiệu


11

đường lên của mỗi ONU thay đổi theo thời gian, nghĩa là khóa an tồn là thay đổi. Thử
nghiệm để xác minh tính khả thi của phương pháp này. Truyền tải thành cơng 5-Gb/s (QAM
16) OFDM mã hóa tín hiệu đường xuống qua một sợi chế độ đơn mode tiêu chuẩn 25-km
(SSMF). Kết quả thử nghiệm chứng tỏ rằng phương pháp mã hóa này có thể nâng cao tính

bảo mật của hệ thống OFMD-PON.

3.1.2. Cơng thức mã hóa
a. Cơng thức cơ bản
3.1.

Hình 3.1

giải mã XOR

Tín hiệu đường lên của mỗi ONU được sử dụng làm khóa an tồn trong phương
pháp này. Mã hóa tín hiệu đường xuống được thực hiện bằng cách sử dụng thuật tốn XOR
giữa các tín hiệu đường lên và đường xuống. Sau đó, tín hiệu đường xuống đã được mã hóa
có thể giải mã bằng cách áp dụng thuật tốn XOR với tín hiệu đường lên đã được lưu trữ tại
mỗi ONU.

Hình 3.2: Mã hóa tại OLT và giải mã tại ONU1 đến ONUn

Dữ liệu đường lên từ mỗi ONU được điều chế trên các mạng quang khác nhau và
được truyền tới phía OLT (hình 3.3).


12

Hình 3.3: Q trình truyền tín hiệu đường lên của các ONU tới OLT

Một ONU không thể giải mã các tín hiệu đường xuống của các ONU khác do thiếu
tín hiệu đường lên của chúng (mơ tả ở hình 3.4). Do đó sự an tồn của tín hiệu đường xuống
được đảm bảo bằng cách sử dụng thuật toán XOR. Hơn nữa, khóa bảo mật sẽ tự động thay
đổi với tín hiệu đường lên. Vì vậy, lớp bảo mật vật lý có thể được cải thiện rất nhiều thơng

qua phương pháp được đề xuất.

Hình 3.4: Q trình truyền tín hiệu đường xuống của OLT
và quá trình giải mã tại các ONU

b. Truyền tải bất đối xứng trong hệ thống mã hóa
Trong hệ thống này, mã hóa tín hiệu đường xuống đạt được bằng cách áp dụng
phép tốn XOR giữa tín hiệu đường lên và tín hiệu đường xuống của ONU ở phía OLT.
Tuy nhiên, các tỷ lệ bit của tín hiệu đường lên và tín hiệu đường xuống thường khác nhau,
dẫn đến việc truyền không đối xứng cho hệ thống PON. Tốc độ bit của tín hiệu đường
xuống cao hơn tín hiệu đường lên. Do đó, chúng ta xác định một tham số bất đối xứng A
(một số nguyên dương), thỏa mãn sự bất bình đẳng.
(A - 1)lt; (Rd/Ru) ≤ A

(3.1)

Với Rd và Ru là tỷ lệ bit của các tín hiệu đường xuống và đường lên tương ứng.
Chúng ta có thể lặp lại tín hiệu đường lên A lần và sau đó áp dụng q trình mã hóa và giải
mã trên. Trong mạng truy nhập quang, sự bất đối xứng 4: 1 là một trường hợp phổ biến.


13

Hình 3.5 minh hoạ ngun tắc mã hóa XOR và giải mã giải mã XOR khi khơng đối xứng là
4:1.

Hình 3.5:Ngun tắc mã hóa XOR và giải mã XOR
khi khơng đối xứng là 4:1

3.1.3. Kết quả thử nghiệm

Tiến hành khảo sát trên hệ thống OFDM-PON. Trong một hệ thống PON thơng
thường, các tín hiệu đường lên có thể được lưu trữ tạm thời ở phía ONU. Đối với OFDMPON, tín hiệu đường lên cần phải được lưu trữ ở phía ONU để giải mã tín hiệu đường
xuống đã mã hóa. Thời gian lưu trữ xem như thời gian trễ của mỗi ONU. Đối với hệ thống
PON sử dụng sợi feeder 25 km, thời gian trễ 250µs là thời gian trễ quay vịng. Do đó, các
tín hiệu đường lên cần phải được khơi phục lại cho 250 µs ở phía ONU. Giả định rằng một
hệ thống PON 40Gb/s có 32 người dùng và mỗi ONU có chiều dài sợi dài 25km. Khi mỗi
ONU có cùng tốc độ bit đường lên, bộ nhớ bổ sung cho lưu trữ tín hiệu đường lên có thể
được tính bằng 40/32x250x10-6 Gb = 0,32 Mb. Cần lưu ý rằng các ONU có chiều dài sợi
quang khác nhau nên yêu cầu thời gian lưu trữ khác nhau.Mô hình thử nghiệm chứng minh
mã hố theo thuật tốn XOR trong hệ thống OFDM-PON được miêu tả trong hình 3.6.


14

Hình 3.6: Mơ hình mã hóa theo thuật tốn XOR trong hệ thống OFDM-PON

Sử dụng phần mềm MATLAB, và kích thước IFFT là 1024. Một băng tần bảo vệ
bằng băng thơng tín hiệu được sử dụng để tách tín hiệu OFDM từ sóng mang quang, tín hiệu
OFDM sử dụng 256 sóng mang con. Các DSP ở phía OLT và ONU được minh họa trong
hình 3.6. Data 1 và Data 2 cho ONU1 và ONU2 được tạo bởi một bộ tạo sóng tùy ý
(Tektronix 7122C) với tốc độ lấy mẫu 5-GSample/s và bộ chuyển đổi số-tương tự (DAC) –
10bit.
Phổ điện từ của các tín hiệu tại các điểm ONU1, ONU2, đầu vào OLT và tín hiệu
đường xuống như sau:

Hình 3.7: Phổ điện từ của tín hiệu OFDM tại

Hình 3.8: Phổ điện từ của tín hiệu OFDM tại

ONU1


ONU2


15

Hình 3.9: Phổ điện từ của tín hiệu OFDM tại

Hình 3.10: Phổ điện từ của tín hiệu OFDM

đầu vào OLT

đường xuống đã mã hóa

Tỉ lệ lỗi bit trong q trình truyền trước và sau khi mã hóa được miêu tả trong
các đồ thị sau.

Hình 3.11: (a) tỉ lệ lỗi bit tín hiệu đường lên; (b) tỉ lệ lỗi bit tín hiệu
đường xuống tại ONU1, ONU2 và khi khơng có khóa giải mã

Từ đồ thị trên ta thấy, tỉ lệ lỗi bit của tín hiệu đường lên thấp hơn của tín hiệu
đường xuống được giải mã. Bởi vì lỗi bit của tín hiệu đường lên sẽ ảnh hưởng đến tín hiệu
đường xuống mã hóa. Đối với các ONU bất hợp pháp và không khớp, các BERs là 0.5,
chứng tỏ rằng phương pháp mã hóa dựa vào thuật tốn XOR là phương pháp bảo mật đáng
tin cậy.

3.2. Giải pháp sử dụng WDM PON
3.2.1 Giới thiệu giải pháp
Hiện nay, hầu hết các triển khai PON đều sử dụng TDMA-PON, trong đó các khe
thời gian được gán cho mỗi thuê bao kết nối với PON. Mạng quang thụ động TDMA-PON

được triển khai rộng rãi theo kiến trúc mạng P2MP (point to mutil point). Với TDMA-PON,


16

băng thông được quyết định bởi kênh quang học và phần cứng trong CO (Centre Office), dữ
liệu xuống được chia sẻ tới tất cả người sử dụng. Tuy nhiên, với nhu cầu ngày càng tăng đối
với băng thông của các dịch vụ. Nó dẫn tới khả năng TDMA-PON hiện nay không thể hỗ
trợ các dịch vụ đa phương tiện yêu cầu băng thông lớn như IP-Television và VOD chất
lượng HD. Bên cạnh đó, TDM-PON vẫn khơng tận dụng hết băng thông các sợi quang học
(do phụ thuộc cả phần cứng CO), trong khi băng thông sợi quang thực sự là vơ hạn. Ngồi
ra, TDMA-PON cũng có một số lỗ hổng bảo mật có thể gây mất an tồn dữ liệu. Các
WDM-PON cung cấp những ưu điểm khác như dễ quản lý và khả năng nâng cấp, bảo mật
mạng mạnh mẽ, linh hoạt cao với dữ liệu và sự minh bạch của giao thức, do đó nó đã được
xem xét như một cơng nghệ truy cập trong tương lai.

3.2.2. Trình bày mơ hình hoạt động của giải pháp.
WDM-PON (Wavelength Division Multiplexing-Passive Optical Network) Mạng
quang thụ động ghép kênh phân chia bước sóng) là một kỹ thuật sử dụng trong các mạng
truy nhập và backhaul. Nó sử dụng nhiều bước sóng khác nhau (WDM) trên một cơ sở hạ
tầng cáp quang điểm-đa điểm vật lý không chứa các thành phần chủ động (PON). Hình 3.12
mơ tả hệ thống WDM-PON.
Tuy nhiên, tại OLT không phải lúc nào 32 bộ phát đều hoạt động, do đó sẽ xuất
hiện tình trạng một số bộ phát nhàn rỗi, không tận dụng hết các bộ phát gây nên lãng phí.
Điều này có thể được khắc phục bằng cách sử dụng Tunable Lasers (TLs) phù hợp trong
OLT. Với cấu hình laser điều chỉnh được, bộ điều khiển OLT kết nối với TLs sau đó kết nối
với một sợi đầu ra chung. Các khung dữ liệu được phát bởi bộ điều khiển OLT tới các TL.
Mỗi khung dữ liệu có đặc điểm nhận dạng duy nhất được mã hóa để xác định một ONU duy
nhất tương ứng với bộ điều khiển OLT. Mỗi ONU cũng được gán với một bước sóng duy
nhất. Do đó, với cấu tạo này thì OLT không cần các bộ thu – phát cho từng ONU.

OLT
λ1

ONU1

Tx1/Rx1

Tx32/Rx32

MUX/DEMUX

Tx3/Rx3

CIRCULATOR

λ32 ... λ3 λ2 λ1

SMF

BLS

MUX/DEMUX

Tx2/Rx2

λ2

ONU2
λ3


ONU3
λ32

ONU32

Hình 3.12: Mơ hình hoạt động của WDM-PON


17

Một hệ thống WDM-PON như được mơ tả ở hình 3.12 đã tạo nên các kết nối điểm
– điểm để truyền dữ liệu theo hai hướng song song từ OLT đến ONU và ngược lại. Đây là
điểm khác biệt với kết nối điểm – đa điểm của hệ thống TDMA-PON đang áp dụng rộng rãi
hiện nay. Trong WDM-PON, dữ liệu không được truyền tới tất cả người dùng, mà dữ liệu
của người dung nào thì chỉ được truyền đến người dùng đó. Do đó tính an tồn của dữ liệu
được truyền trong hệ thống WDM-PON được tăng lên vượt bậc so với dữ liệu được truyền
trong hệ thống TDMA-PON hiện nay. Dải sóng hoạt động của mơ hình này tn theo tiêu
chuẩn ITU-T G984.5 (tháng 5/2014).

3.2.3. Mô phỏng và đánh giá
Từ mơ hình đã xây dựng, ta sử dụng phần mềm Optisystem tiến hành mô phỏng hệ
thống WDM-PON ở trạng thái hoạt động bình thường khi chưa có nghe trộm xảy ra. Mơ
hình mơ phỏng được thể hiện ở trong hình 3.13.

Hình 3.13:Mơ hình hệ thống WDM-PON khi chưa có nghe trộm

Phổ truyền tải của WDM-PON ở đầu ra của bộ ghép kênh được thể hiện trong hình
3.14. Có bốn tần số của bốn kênh lần lượt là 193,1THz, 193,2THz, 193,3THz, 193,4THz.
Khoảng cách giữa các tần số của bốn kênh là 100GHz đủ để tránh nhiễu đến mức chấp nhận
được từ các tần số lân cận.



18

Hình 3.14: Phổ tín hiệu đầu ra bộ ghép kênh

Tại bộ tách kênh, luồng dữ liệu được tách ra thành các thành phần tần số riêng và
chúng được định tuyến theo các ONU tương ứng. Để xác minh việc định tuyến các luồng dữ
liệu có chính xác khơng. Chúng ta tiến hành đo kiểm tra phổ tín hiệu thu được tại các ONU
có kết quả như sau:

Hình 3.15: Phổ tín hiệu thu tại ONU1

Hình 3.16: Phổ tín hiệu thu tại ONU2

Hình 3.17: Phổ tín hiệu thu tại ONU3

Hình 3.18: Phổ tín hiệu thu tại ONU4

Qua đo kiểm tra phổ tín hiệu của hệ thống ta thấy các luồng dữ liệu được phát
đến ONU tương ứng. Tuy nhiên khi quan sát phổ tại các ONU ta thấy ngoài thành phần
tần số của ONU đó cịn có các thành phần tần số khác với phổ thấp hơn (công suất nhỏ
hơn). Liệu các thành phần tần số có bị lợi dụng để khai thác dữ liệu bất hợp pháp khơng.
Như vậy, tính an tồn của dữ liệu của các ONU khác có bị ảnh hưởng.


19
Optical
Filter
λ1

λ2
λ2

OLT

Optical
Filter
λ2
λ2

ONU1

Tx1/Rx1

λ2

Tx32/Rx32

CIRCULATOR

λ32 ... λ3 λ2 λ1

SMF

MUX/DEMUX

Tx3/Rx3

MUX/DEMUX


Amplifier

Tx2/Rx2

ONU2
λ3

ONU3
λ32

BLS

ONU32

Hình 3.19: Mơ hình nghe trộm trong WDM-PON tại ONU1

Để xác định tính an tồn của dữ liệu trong hệ thống WDM-PON, ta giả định cố
gắng nghe trộm dữ liệu của ONU2 từ vị trí đầu vào của ONU1. Sau khi tách kênh ở bộ
tách/ghép kênh, trên đường truyền của ONU1 không chỉ tồn tại mỗi cơng suất của bước
sóng λ1 mà cịn tồn tại cơng suất của các bước sóng khác. Tuy nhiên cơng suất của
chúng là rất nhỏ. Để nghe trộm dữ liệu của ONU2 ta sử dụng bộ lọc để lọc lấy bước sóng
λ2 (của ONU2), và do cơng suất của λ2 rất nhỏ nên ta sử dụng bộ khuếch đại quang
(EDFA) để tăng mức cơng suất của tín hiệu bị chặn (λ2). Mơ hình nghe trộm trong hệ
thống WDM-PON tại ONU1 được miêu tả ở hình 3.19.
Từ mơ hình đã xây dựng ở hình 3.16, ta sử dụng phần mềm optisystem tiến hành
mơ phỏng hệ thống WDM-PON khi cố tình nghe trộm như hình 3.20.

Hình 3.20:Mơ hình hệ thống WDM-PON khi có
nghe trộm dữ liệu của ONU2 tại ONU1


Từ mơ hình trên, sau khi tiến hành chạy phần mềm mô phỏng optisystem ta thu
được kết quả biểu đồ mắt tại các vị trí ONU2 và ONU nghe trộm (ONU1) lần lượt như sau:


20

Hình 3.21: Biểu đồ mắt của tín hiệu tại

Hình 3.22: Biểu đồ mắt của tín hiệu tại ONU

ONU2

nghe trộm (ONU1)

Qua đo kiểm tra ta thu được các giá trị đo tại ONU2 và tại ONU nghe trộm (ONU1)
như sau:
Bảng 3.1: So sánh kết quả đo kiểm tra tại ONU2 và ONU nghe trộm (ONU1)

ONU2

ONU nghe trộm

Max Q Factor 128,543

3,21409

Min BER

0


0,000650093

Eye Height

0,00436578

1,24713e-005

Threshold

0,00176179

0,000160625

Từ kết quả đo ở trên kết hợp với quan sát biểu đồ mắt, rút ra kết luận ở ONU nghe
trộm không thể khôi phục được dữ liệu của các ONU 2. Các kết quả thu được tương tự khi
làm thí nghiệm mơ phỏng với các ONU khác. Hình 3.23: Mơ hình hệ thống WDM-PON khi
có nghe trộm dữ liệu của ONU3 tại ONU1.

Hình 3.23:Mơ hình hệ thống WDM-PON khi có
nghe trộm dữ liệu của ONU3 tại ONU1


21

Hình 3.24: Biểu đồ mắt của tín hiệu tại

Hình 3.25: Biểu đồ mắt của tín hiệu tại ONU

ONU3


nghe trộm (ONU1)

Bảng 3.2: So sánh kết quả đo kiểm tra tại ONU3 và ONU nghe trộm (ONU1)

ONU2

ONU nghe trộm

137,93

0

0

1

Eye Height

0,00436649

0

Threshold

0,00178603

0

Max Q Factor

Min BER

Kết quả các tham số đo được tại ONU nghe trộm (ONU1) khi cố gắng nghe trộm dữ
liệu của ONU3 còn thấp hơn kết quả các tham số đo được của ONU nghe trộm (ONU1) khi
cố gắng nghe trộm dữ liệu của ONU2. Do đó, ta có thể kết luận không thể nghe trộm dữ liệu
của ONU khác từ một ONU bất kỳ trong hệ thống WDM-PON.

3.3. KẾT LUẬN CHƯƠNG
Chương này đã trình bày hai giải pháp nhằm đảm bảo an toàn dữ liệu cho mạng
GPON là: Giải pháp mã hóa sử dụng khóa thay đổi theo thời gian từ các ONU và giải pháp
sử dụng WDM PON. Giải pháp mã hóa sử dụng khóa thay đổi theo thời gian từ các ONU là
giải pháp kết hợp kỹ thuật OFDM với mã hóa nhằm tăng băng thơng đồng thời đảm bảo tính
an tồn của dữ liệu. Qua nghiên cứu trình bày ở phần 3.1, phương pháp mã hóa sử dụng
khóa thay đổi theo thời gian từ các ONU đã tăng tính bảo mật của dữ liệu qua đó đảm bảo
an toàn dữ liệu cho mạng.
Giải pháp sử dụng WDM PON có thể là một lựa chọn trong tương lai. Các nghiên
cứu trong mục 3.2, đặc biệt là phần mô phỏng trong tiểu mục 3.2.3 nhằm xác định tính an
tồn của dữ liệu. Các kết quả đã cho thấy: trong mạng WDM-PON, không thể nghe trộm,
khôi phục dữ liệu của một ONU bất kỳ từ một ONU khác. Ngoài ra, với kiến trúc điểm –


22

điểm được thiết lập thì những cơng đoạn để thiết lập kết nối vật lý như: xác thực, định cỡ…
trong hệ thống TDMA-PON là khơng cần thiết. Do đó các nguy cơ gây mất an ninh như: tấn
công phát lại, ăn trộm dịch vụ … được ngăn chặn.

KẾT LUẬN VÀ KIẾN NGHỊ
Do nhu cầu truyền thông tốc độ cao ngày càng tăng, các ứng dụngnội dung
ngàycàng phát triển đòi hỏi hạ tầng viễn thông phải pháttriển không ngừng để đáp ứng

những nhu cầu đó. Xây dựng hạ tầng viễn thơng phát triển không chỉ đáp ứng nhu cầu tăng
dung lượng mà nó cịn phải đảm bảo tính an tồn của dữ liệu trong quá trình truyền dẫn.
Mạng quang thụ động GPON sử dụng TDMA cơ bản đáp ứng được nhu cầu băng thông
hiện tại, nhưng trong tương lai sẽ là khó khăn. Ngồi ra, các nghiên cứu đã chỉ ra nó tồn tại
nhiều nguy cơ mất an tồn dữ liệu như: nghe trộm, tấn công phát lại, đánh chặn, mạo danh,
từ chối dịch vụ, trộm cắp dịch vụ.
Giải pháp mã hóa sử dụng khóa thay đổi theo thời gian từ các ONU và giải pháp sử
dụng WDM PON đã giải quyết được vấn đề trên khi cùng lúc nó làm tăng tính bảo mật của
hệ thống đồng thời gia tăng dung lượng, băng thông của mạng truy nhập. Mỗi giải pháp đều
có những ưu điểm và nhược điểm riêng. Với giải pháp mã hóa sử dụng khóa thay đổi theo
thời gian từ các ONU ngoài những ưu nhược điểm vốn có của hệ thống OFDM, nó cịn có
ưu điểm là tăng tính bảo mật của dữ liệu, có thể loại bỏ hoàn toàn nhiễu liên ký tự
(Intersymbol Interference- ISI) và nhược điểm là làm tăng khối lượng truyền dẫn.
Giải pháp sử dụng WDM PON vừa tăng dung lượng vừa tăng tính bảo mật cho hệ
thống mạng truy nhập quang thụ động. Nhược điểm lớn nhất của nó là chi phí triển khai,
khai thác, bảo dưỡng lớn hơn. Nhưng với nhu cầu về dung lượng tăng rất nhanh thì giải
pháp này mang tính khả thi cao trong tương lai.
Kiến nghị hướng nghiên cứu tiếp theo: Thiết kế triển khai hệ thống WDM-PON tại
Việt Nam.