27-EFT.WP.Packets.Light v1.0 | 第13章 安全与完整性（篡改/窃听/注入）

目录 ／ 文档-技术白皮书 ／ 27-EFT.WP.Packets.Light v1.0

第13章 安全与完整性（篡改/窃听/注入）

一句话目标：建立光包链路在物理层与近物理层的完整性与安全监测口径，用“配置口径 vs 测量口径”的两口径并行方法检测篡改/窃听/注入等异常，并以契约与清单落盘。

I. 范围与对象

1. 输入
   • 链路与设备：分段路径 gamma(ell)，器件清单（WSS/ROADM/EDFA/连接器）与 hash/id/有效期；
   • 计量与遥测：P_tx/P_rx/OSNR/Q/EVM（第11章），频谱/偏振/时间戳流（tau_mono/ts），标签 label=(lambda,k_sub,S_sel)（第5章），交换/排队遥测（第9/10章）；
   • 基线策略：允许频谱与功率窗口、偏振状态集合、到达时/时钟约束、合规掩膜与门限（策略哈希与 RefCond）。
2. 输出
   • 完整性指标与告警：E_balance、Spec_anom、Pol_anom、Timing_anom、BER_drift、Tap_suspect 等；
   • 两口径差：配置口径（策略/模型预测） vs 测量口径（实测）差 delta_form_sec；
   • 清单：manifest.packet.sec.*（证据 URI、阈值、处置结果）与不确定度 u/U。
3. 边界
   本章仅定义监测/校核/处置与发布口径，不涉及攻击细节或绕过方法；加密/认证等高层方案仅作接口指引，不给实现细节。

II. 名词与变量

• 能量与功率：窗口能量 E(x;M) = (1/2) x^T M x，能量平衡残差 E_balance = |E_rx - (E_tx - A + G)| / E_tx（A 总损耗、G 增益）。
• 频谱与掩膜：主带 B，相邻带 B_adj；频谱距离 D_spec = ( ∫_B | |X|^2 - |X|_{ref}^2 | df ) / ∫_B |X|_{ref}^2 df。
• 偏振/状态：Stokes 向量 S = (S0,S1,S2,S3)，偏振异常 Pol_anom = || S - S_ref ||_2 / S0。
• 时间与对齐：到达时一致化 T_arr*（第8章），时钟 offset/skew/J（第3章）；时间异常 Timing_anom = |T_arr* - t̂_cont|/T_sym。
• 误差与质量：EVM, BER_pre/post，漂移 BER_drift = |BER_meas - BER_ref|。
• 统计检验：χ^2/KS/MMD；对数似然/阈值 τ_*。
• 量纲：unit(E_balance)=1，unit(D_spec)=1，unit(Timing_anom)=1，unit(Pol_anom)=1。

III. 公设 P613-*

• P613-1（两口径并行）：安全/完整性发布必须并行给出配置口径（策略/模型预测）与测量口径（实测）并记录 delta_form_sec。
• P613-2（测度显式）：功率/频谱/偏振/时间的积分与统计显式域与测度：( ∫_{t∈W} · dt )、( ∫_{f∈B} · df )、( ∑_{pkt∈W} · )。
• P613-3（量纲合规）：所有字段通过 check_dim；对数量与线性数值的换算写入清单。
• P613-4（分段可追溯）：异常定位需回溯到段/器件 hash 与时间窗口；处置动作与证据 URI 落盘。
• P613-5（Fail-Closed）：契约失败或证据不足时，应进入保守处置（限流/旁路/回滚/隔离）并记录策略卡。

IV. 最小方程 S613-*

1. 能量与功率完整性
   能量守恒残差：
   E_balance = | E_rx - ( E_tx - E_loss + E_gain ) | / E_tx，
   其中 E_rx = ( ∫_{t∈W} |y(t)|^2 dt )、E_tx = ( ∫_{t∈W} |x(t)|^2 dt )；E_loss/E_gain 由清单与第6/9章功率计划给出。
2. 频谱与掩膜一致
   • 频谱距离：D_spec = ( ∫_B |S_rx(f) - S_ref(f)| df ) / ∫_B S_ref(f) df（S = |X|^2，参考为配置掩膜或近邻时间参考）。
   • 带外泄漏：OBB 与 ACLR（第4章），异常门 Spec_anom = 1_{ACLR<ACLR_min or OBB>OBB_max or D_spec>τ_spec}。
3. 偏振/通道状态监测
   • Pol_anom = || S - S_ref ||_2 / S0，其中 S_ref 来自短窗平滑或设备标定；
   • 若启用偏振随机化，发布 S_ref 的时间常数并采用相对门限。
4. 时间完整性与注入检测
   • 到达时偏离：Timing_anom = |T_arr* - t̂_cont| / T_sym（第3/8章），超过门限记异常；
   • 包速率/长度异常：对 λ_pkt/L_pkt 执行 KS/MMD，p < α 记异常。
5. 质量一致性
   EVM_pred/BER_pred（第4/11章）与 EVM_meas/BER_meas 的差 ΔQ，若 |ΔQ|>τ_Q 触发深度校核（可能注入/篡改）。
6. 两口径差与综合评分
   • delta_form_sec = w_E E_balance + w_S D_spec + w_P Pol_anom + w_T Timing_anom + w_Q |ΔQ|；
   • 综合告警评分 Score = σ( a^T z )（z=[E_balance,D_spec,Pol_anom,Timing_anom,|ΔQ|]，σ 为标定后的 Sigmoid/软阈）。

V. 计量流程 M60-13（就绪→采集→评估→处置→落盘）

1. 就绪：冻结策略与基线（功率/频谱/偏振/时间/质量门限），加载 RefCond 与设备/段清单；统一 B/RBW/窗长 与时标 tau_mono/ts。
2. 采集：从 OSA/功率计/IQ/计数器读取数据流，形成窗口化数据集与参考（邻窗/黄金路径/配置曲线）。
3. 评估：按 S613-* 计算 E_balance/D_spec/Pol_anom/Timing_anom/ΔQ 与 delta_form_sec，估计不确定度 u/U。
4. 处置（策略卡）：
   • 限流/旁路/回滚：当 Score 或关键单项超阈；
   • 功率/均衡回写：若能量/频谱超阈；
   • 重同步/扩卫兵位：若时间/对齐异常；
   • 隔离分段：标注可疑段或端口，切换备用；
   • 所有动作与证据 URI 落盘。
5. 落盘：manifest.packet.sec.* = {strategy.hash, RefCond, metrics:{E_balance,D_spec,Pol_anom,Timing_anom,ΔQ}, delta_form_sec, Score, actions[], u/U, contracts.*, signature}。

VI. 契约与断言 C60-13x（建议阈值）

• C60-1301（两口径差）：delta_form_sec_p95 ≤ tol_sec（按场景配置）。
• C60-1302（能量守恒）：E_balance_p95 ≤ τ_E。
• C60-1303（频谱完整）：ACLR ≥ ACLR_min 且 OBB ≤ OBB_max，D_spec_p95 ≤ τ_spec。
• C60-1304（时间完整）：Timing_anom_p95 ≤ τ_T；到达时与对齐满足第8/第3章契约。
• C60-1305（偏振稳定）：Pol_anom_p95 ≤ τ_P（或在偏振随机化场景采用相对门限）。
• C60-1306（质量一致）：|ΔQ|_p95 ≤ τ_Q；若不满足，触发补偿/功率/同步联动。
• C60-1307（量纲合规）：所有指标 check_dim 通过；dB↔线性换算记录。

VII. 实现绑定 I60-13*（接口原型、输入输出、不变量）

• I60-131 compute_energy_balance(x,y,plan) -> E_balance
• I60-132 spectral_anomaly(Y, Y_ref, B, RBW) -> {D_spec, ACLR, OBB}
• I60-133 polarization_anomaly(S, S_ref) -> Pol_anom
• I60-134 timing_integrity(T_arr_star, t_hat_cont, T_sym) -> Timing_anom
• I60-135 quality_consistency(EVM_pred, EVM_meas, BER_pred, BER_meas) -> ΔQ
• I60-136 fuse_security_score(z, coeff) -> Score
• I60-137 compare_dual_sec(cfg_metrics, meas_metrics, weights) -> delta_form_sec
• I60-138 act_security_policy(Score, rules) -> actions[]
• I60-139 emit_sec_manifest(results, policy) -> manifest.packet.sec
  不变量：two_forms_present=true；check_dim(*) 通过；段/设备与策略 hash 可追溯；所有动作可回放。

VIII. 交叉引用

• 物理与补偿：第2/第6章；
• 成帧与对齐：第3章；
• 调制与测量/映射：第4/第11章（OSNR/EVM/BER）；
• 到达时一致化：第8章；
• 交换与路由：第9/第10章（功率计划、排队与守恒）。

IX. 质量与风控

• SLI/SLO：delta_form_sec_p95, E_balance_p95, D_spec_p95, Pol_anom_p95, Timing_anom_p95, Score, mitigation_latency。
• 回退梯度：limit → bypass → rollback → isolate_segment → re-route → re-calibrate。
• 审计：证据快照（功率/频谱/偏振/时间）、阈值与策略版本、处置轨迹、manifest 签名链与回放一致性。

小结

• 本章将完整性/安全监测统一为“配置 vs 测量两口径 + 合同化阈值 + 清单落盘”的工程框架；
• 通过 P613/S613/M60-13/C60-13x/I60-13* 与 manifest.packet.sec.*，实现安全与完整性的可度量、可处置、可审计落地。