使用寬帶接入網(wǎng)的用戶(hù)都會(huì)遇到很多問(wèn)題，特別是關(guān)于安全方面的，這里將介紹寬帶接入網(wǎng)絡(luò)安全性問(wèn)題的解決方法，在這里拿出來(lái)和大家分享一下。最近10年，寬帶接入網(wǎng)絡(luò)在全球蓬勃發(fā)展，越來(lái)越多的個(gè)人用戶(hù)和企業(yè)用戶(hù)通過(guò)寬帶接入網(wǎng)到Internet。同時(shí)，用戶(hù)對(duì)網(wǎng)絡(luò)性能的要求也越來(lái)越高，他們不再滿(mǎn)足于暢通無(wú)阻的高帶寬接入能力，逐漸對(duì)服務(wù)的質(zhì)量提出了更高的要求。在服務(wù)質(zhì)量(QoS)中，一個(gè)重要的不能忽視的指標(biāo)就是安全保證。

1.寬帶接入安全性問(wèn)題

寬帶接入網(wǎng)絡(luò)的快速發(fā)展使得寬帶用戶(hù)數(shù)成倍增加，但是也使得網(wǎng)絡(luò)遭受安全攻擊的可能性大大增加。特別是引入以太網(wǎng)技術(shù)、IP技術(shù)后，接入網(wǎng)安全性問(wèn)題日益凸現(xiàn)。因?yàn)橐蕴W(wǎng)絡(luò)是共享式的網(wǎng)絡(luò)，它的優(yōu)點(diǎn)和缺點(diǎn)均很明顯。當(dāng)前網(wǎng)絡(luò)上很多黑客工具可以用來(lái)在以太網(wǎng)上興風(fēng)作浪：監(jiān)聽(tīng)他人信息、盜取業(yè)務(wù)、發(fā)起拒絕服務(wù)(DOS)攻擊[1]，造成網(wǎng)絡(luò)設(shè)備癱瘓。IP網(wǎng)絡(luò)因?yàn)闅v史原因，最初在安全性方面的設(shè)計(jì)考慮不多。IP網(wǎng)絡(luò)上的業(yè)務(wù)大都通過(guò)智能終端來(lái)完成，處于運(yùn)營(yíng)商控制范圍內(nèi)的中間設(shè)備主要的功能就是交換，運(yùn)營(yíng)商對(duì)業(yè)務(wù)很難控制，這就為惡意用戶(hù)提供了開(kāi)展破壞活動(dòng)的空間。

為提供“電信運(yùn)營(yíng)級(jí)”的接入網(wǎng)絡(luò)，為用戶(hù)提供安全的接入服務(wù)，檢測(cè)非法業(yè)務(wù)，保證網(wǎng)絡(luò)設(shè)備正常運(yùn)行，目前是設(shè)備提供商和電信運(yùn)營(yíng)商共同關(guān)注的問(wèn)題[2-3]。目前，寬帶接入網(wǎng)技術(shù)呈現(xiàn)多樣化趨勢(shì)，包括數(shù)字用戶(hù)線(DSL)、混合光纖/同軸電纜(HFC)、無(wú)源光網(wǎng)絡(luò)(PON)和WiMax無(wú)線接入等，他們都具有如圖1所示的網(wǎng)絡(luò)架構(gòu)：寬帶接入網(wǎng)絡(luò)的架構(gòu)包括以下幾個(gè)組成部分：

(1)用戶(hù)自組網(wǎng)絡(luò)
用戶(hù)自組網(wǎng)絡(luò)是以家庭網(wǎng)關(guān)為核心組成的局部網(wǎng)絡(luò)，這個(gè)網(wǎng)絡(luò)物理上歸屬于用戶(hù)。DSL是當(dāng)前最普遍的用戶(hù)接入方式。

(2)接入節(jié)點(diǎn)
接入節(jié)點(diǎn)完成用戶(hù)線纜的物理終結(jié)，或者無(wú)線信道的終結(jié)，實(shí)現(xiàn)用戶(hù)數(shù)據(jù)的匯聚，滿(mǎn)足高密度、多形式的接入。接入節(jié)點(diǎn)最靠近用戶(hù)，是運(yùn)營(yíng)商網(wǎng)絡(luò)的邊緣，是安全防護(hù)的第一道門(mén)檻。在接入網(wǎng)安全問(wèn)題中，接入節(jié)點(diǎn)處于重要的地位。

(3)以太網(wǎng)匯聚網(wǎng)絡(luò)
因?yàn)樾詢(xún)r(jià)比突出，以太網(wǎng)受到運(yùn)營(yíng)商的青睞。進(jìn)一步，以太網(wǎng)同時(shí)也肩負(fù)匯聚數(shù)據(jù)和網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)交換的任務(wù)。

(4)寬帶網(wǎng)絡(luò)網(wǎng)關(guān)
寬帶網(wǎng)絡(luò)網(wǎng)關(guān)包括很多功能：終結(jié)以太層及其對(duì)應(yīng)的封裝、用戶(hù)認(rèn)證(結(jié)合認(rèn)證服務(wù)器)、用戶(hù)端自動(dòng)配置、QoS業(yè)務(wù)保證等。物理上，寬帶網(wǎng)絡(luò)網(wǎng)關(guān)可以是一個(gè)設(shè)備，也可以是多個(gè)設(shè)備，執(zhí)行寬帶接入網(wǎng)遠(yuǎn)程服務(wù)器、動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)服務(wù)器(或DHCP中繼器)和路由器的功能。

接入節(jié)點(diǎn)、以太匯聚網(wǎng)絡(luò)和寬帶網(wǎng)絡(luò)網(wǎng)關(guān)屬于運(yùn)營(yíng)商所有，這些設(shè)備或者網(wǎng)絡(luò)對(duì)運(yùn)營(yíng)商而言都是可信的。用戶(hù)自組網(wǎng)絡(luò)歸用戶(hù)自己所有和使用。對(duì)運(yùn)營(yíng)商而言，用戶(hù)自組網(wǎng)絡(luò)是不可信的。安全威脅大都來(lái)自不可信網(wǎng)絡(luò)內(nèi)惡意用戶(hù)或者程序的攻擊。當(dāng)然，有時(shí)安全問(wèn)題也產(chǎn)生于可信任域內(nèi)，比如因?yàn)樵O(shè)備不穩(wěn)定等原因產(chǎn)生的安全問(wèn)題。但安全問(wèn)題主要還是來(lái)自不可信域?qū)尚湃斡虻陌踩{。歸納起來(lái)，接入網(wǎng)絡(luò)中主要有下面的一些安全問(wèn)題：

(1)非法用戶(hù)的接入。
(2)非法報(bào)文和惡意報(bào)文發(fā)送。
(3)通過(guò)媒體訪問(wèn)控制(MAC)/IP地址欺騙，如冒用MAC地址或者IP地址，偷取他人的業(yè)務(wù)服務(wù)或者造成DOS攻擊。
(4)非法業(yè)務(wù)，如開(kāi)展非法的IP語(yǔ)音(VoIP)業(yè)務(wù)、私拉亂接用戶(hù)等。下面依次對(duì)上述問(wèn)題以及與其相對(duì)應(yīng)的解決方案展開(kāi)論述。

2.非法用戶(hù)接入

非法用戶(hù)接入性質(zhì)嚴(yán)重，直接影響運(yùn)營(yíng)商的運(yùn)營(yíng)收益。如果不對(duì)用戶(hù)進(jìn)行識(shí)別和認(rèn)證，那么非法用戶(hù)接入就會(huì)大量存在。用戶(hù)識(shí)別與認(rèn)證技術(shù)已經(jīng)非常的成熟，基于以太網(wǎng)的點(diǎn)到點(diǎn)協(xié)議(PPPoE)、DHCP+Web和802.1x協(xié)議等已經(jīng)被普遍使用。當(dāng)前，業(yè)界關(guān)注的問(wèn)題是：對(duì)用戶(hù)端口(也稱(chēng)為用戶(hù)線路)的識(shí)別。在零售模式下，每個(gè)用戶(hù)在接入節(jié)點(diǎn)處都有一個(gè)邏輯端口，有線環(huán)境下是硬端口，無(wú)線環(huán)境下是一個(gè)軟端口。如果認(rèn)證服務(wù)器只是通過(guò)用戶(hù)名來(lái)識(shí)別用戶(hù)，那么用戶(hù)可以把自己的用戶(hù)名和密碼共享給其他用戶(hù)，其他用戶(hù)也能通過(guò)這一邏輯端口上網(wǎng)，這是運(yùn)營(yíng)商不希望看到的，會(huì)造成運(yùn)營(yíng)商的運(yùn)營(yíng)收入的減少。

在基于ATM的點(diǎn)到點(diǎn)協(xié)議(PPPoA)為主要接入方式時(shí)，用戶(hù)虛通道(VC)在寬帶接入網(wǎng)遠(yuǎn)程服務(wù)器(BRAS)上終結(jié)，因此，用戶(hù)的端口信息直接就可以在BRAS上獲取?，F(xiàn)在，PPPoE和IPoA是主要的接入方式。在這兩種接入方式下，物理上，用戶(hù)線路在接入節(jié)點(diǎn)處就被終結(jié)；VC信息要么在接入節(jié)點(diǎn)處終結(jié)，要么根本沒(méi)有，因此BRAS沒(méi)有辦法直接獲取用戶(hù)的端口信息。所以，必須有一套有效的機(jī)制能夠?qū)⒔尤牍?jié)點(diǎn)處的用戶(hù)端口信息傳遞給BRAS。當(dāng)前，有多種用戶(hù)端口(或者用戶(hù)線路)識(shí)別方案被提出來(lái)：

(1)DHCP option82協(xié)議
DHCP Option82(RFC3046)協(xié)議在DHCP(RFC2131)的基礎(chǔ)上，對(duì)協(xié)議流程進(jìn)行了擴(kuò)充。接入節(jié)點(diǎn)需要截獲DHCP上下行協(xié)議報(bào)文，扮演二層DHCP中繼代理的角色。上行方向，將端口信息(也就是uPortID)插入到協(xié)議的Option82字段中；下行方向，剝離此字段信息(可選)。

(2)PPPoE+協(xié)議
PPPoE+協(xié)議又稱(chēng)為PPPoE中間代理。和DHCP Option82類(lèi)似，它對(duì)PPPoE協(xié)議報(bào)文進(jìn)行了擴(kuò)充。接入節(jié)點(diǎn)截獲PPPoE搜索階段的協(xié)議報(bào)文，在上行方向插入端口信息。

(3)VBAS協(xié)議
VBAS協(xié)議和PPPoE+略有不同，VBAS協(xié)議修改PPPoE的流程，在用戶(hù)與BRAS協(xié)議交互中，插入BRAS與接入節(jié)點(diǎn)的交互，獲取端口信息。

(4)虛擬局域網(wǎng)棧
虛擬局域網(wǎng)棧(VLAN Stacking)采用雙標(biāo)簽(Tag)，使用內(nèi)層VLAN來(lái)唯一標(biāo)識(shí)用戶(hù)端口信息。

(5)虛擬MAC
虛擬媒體訪問(wèn)控制(VMAC)對(duì)每個(gè)用戶(hù)數(shù)據(jù)報(bào)文的源MAC地址按照特定規(guī)則進(jìn)行翻譯，翻譯后的MAC地址包含了用戶(hù)端口信息。這樣BRAS在PPPoE協(xié)議交互時(shí)，就可以直接從源MAC地址信息中獲取用戶(hù)端口信息。