使用寬帶接入網(wǎng)的用戶都會遇到很多問題，特別是關于安全方面的，這里將介紹寬帶接入網(wǎng)絡安全性問題的解決方法，在這里拿出來和大家分享一下。最近10年，寬帶接入網(wǎng)絡在全球蓬勃發(fā)展，越來越多的個人用戶和企業(yè)用戶通過寬帶接入網(wǎng)到Internet。同時，用戶對網(wǎng)絡性能的要求也越來越高，他們不再滿足于暢通無阻的高帶寬接入能力，逐漸對服務的質(zhì)量提出了更高的要求。在服務質(zhì)量(QoS)中，一個重要的不能忽視的指標就是安全保證。

1.寬帶接入安全性問題

寬帶接入網(wǎng)絡的快速發(fā)展使得寬帶用戶數(shù)成倍增加，但是也使得網(wǎng)絡遭受安全攻擊的可能性大大增加。特別是引入以太網(wǎng)技術、IP技術后，接入網(wǎng)安全性問題日益凸現(xiàn)。因為以太網(wǎng)絡是共享式的網(wǎng)絡，它的優(yōu)點和缺點均很明顯。當前網(wǎng)絡上很多黑客工具可以用來在以太網(wǎng)上興風作浪：監(jiān)聽他人信息、盜取業(yè)務、發(fā)起拒絕服務(DOS)攻擊[1]，造成網(wǎng)絡設備癱瘓。IP網(wǎng)絡因為歷史原因，最初在安全性方面的設計考慮不多。IP網(wǎng)絡上的業(yè)務大都通過智能終端來完成，處于運營商控制范圍內(nèi)的中間設備主要的功能就是交換，運營商對業(yè)務很難控制，這就為惡意用戶提供了開展破壞活動的空間。

為提供“電信運營級”的接入網(wǎng)絡，為用戶提供安全的接入服務，檢測非法業(yè)務，保證網(wǎng)絡設備正常運行，目前是設備提供商和電信運營商共同關注的問題[2-3]。目前，寬帶接入網(wǎng)技術呈現(xiàn)多樣化趨勢，包括數(shù)字用戶線(DSL)、混合光纖/同軸電纜(HFC)、無源光網(wǎng)絡(PON)和WiMax無線接入等，他們都具有如圖1所示的網(wǎng)絡架構：寬帶接入網(wǎng)絡的架構包括以下幾個組成部分：

(1)用戶自組網(wǎng)絡
用戶自組網(wǎng)絡是以家庭網(wǎng)關為核心組成的局部網(wǎng)絡，這個網(wǎng)絡物理上歸屬于用戶。DSL是當前最普遍的用戶接入方式。

(2)接入節(jié)點
接入節(jié)點完成用戶線纜的物理終結，或者無線信道的終結，實現(xiàn)用戶數(shù)據(jù)的匯聚，滿足高密度、多形式的接入。接入節(jié)點最靠近用戶，是運營商網(wǎng)絡的邊緣，是安全防護的第一道門檻。在接入網(wǎng)安全問題中，接入節(jié)點處于重要的地位。

(3)以太網(wǎng)匯聚網(wǎng)絡
因為性價比突出，以太網(wǎng)受到運營商的青睞。進一步，以太網(wǎng)同時也肩負匯聚數(shù)據(jù)和網(wǎng)絡內(nèi)部數(shù)據(jù)交換的任務。

(4)寬帶網(wǎng)絡網(wǎng)關
寬帶網(wǎng)絡網(wǎng)關包括很多功能：終結以太層及其對應的封裝、用戶認證(結合認證服務器)、用戶端自動配置、QoS業(yè)務保證等。物理上，寬帶網(wǎng)絡網(wǎng)關可以是一個設備，也可以是多個設備，執(zhí)行寬帶接入網(wǎng)遠程服務器、動態(tài)主機配置協(xié)議(DHCP)服務器(或DHCP中繼器)和路由器的功能。

接入節(jié)點、以太匯聚網(wǎng)絡和寬帶網(wǎng)絡網(wǎng)關屬于運營商所有，這些設備或者網(wǎng)絡對運營商而言都是可信的。用戶自組網(wǎng)絡歸用戶自己所有和使用。對運營商而言，用戶自組網(wǎng)絡是不可信的。安全威脅大都來自不可信網(wǎng)絡內(nèi)惡意用戶或者程序的攻擊。當然，有時安全問題也產(chǎn)生于可信任域內(nèi)，比如因為設備不穩(wěn)定等原因產(chǎn)生的安全問題。但安全問題主要還是來自不可信域?qū)尚湃斡虻陌踩{。歸納起來，接入網(wǎng)絡中主要有下面的一些安全問題：

(1)非法用戶的接入。
(2)非法報文和惡意報文發(fā)送。
(3)通過媒體訪問控制(MAC)/IP地址欺騙，如冒用MAC地址或者IP地址，偷取他人的業(yè)務服務或者造成DOS攻擊。
(4)非法業(yè)務，如開展非法的IP語音(VoIP)業(yè)務、私拉亂接用戶等。下面依次對上述問題以及與其相對應的解決方案展開論述。

2.非法用戶接入

非法用戶接入性質(zhì)嚴重，直接影響運營商的運營收益。如果不對用戶進行識別和認證，那么非法用戶接入就會大量存在。用戶識別與認證技術已經(jīng)非常的成熟，基于以太網(wǎng)的點到點協(xié)議(PPPoE)、DHCP+Web和802.1x協(xié)議等已經(jīng)被普遍使用。當前，業(yè)界關注的問題是：對用戶端口(也稱為用戶線路)的識別。在零售模式下，每個用戶在接入節(jié)點處都有一個邏輯端口，有線環(huán)境下是硬端口，無線環(huán)境下是一個軟端口。如果認證服務器只是通過用戶名來識別用戶，那么用戶可以把自己的用戶名和密碼共享給其他用戶，其他用戶也能通過這一邏輯端口上網(wǎng)，這是運營商不希望看到的，會造成運營商的運營收入的減少。

在基于ATM的點到點協(xié)議(PPPoA)為主要接入方式時，用戶虛通道(VC)在寬帶接入網(wǎng)遠程服務器(BRAS)上終結，因此，用戶的端口信息直接就可以在BRAS上獲取。現(xiàn)在，PPPoE和IPoA是主要的接入方式。在這兩種接入方式下，物理上，用戶線路在接入節(jié)點處就被終結；VC信息要么在接入節(jié)點處終結，要么根本沒有，因此BRAS沒有辦法直接獲取用戶的端口信息。所以，必須有一套有效的機制能夠?qū)⒔尤牍?jié)點處的用戶端口信息傳遞給BRAS。當前，有多種用戶端口(或者用戶線路)識別方案被提出來：

(1)DHCP option82協(xié)議
DHCP Option82(RFC3046)協(xié)議在DHCP(RFC2131)的基礎上，對協(xié)議流程進行了擴充。接入節(jié)點需要截獲DHCP上下行協(xié)議報文，扮演二層DHCP中繼代理的角色。上行方向，將端口信息(也就是uPortID)插入到協(xié)議的Option82字段中；下行方向，剝離此字段信息(可選)。

(2)PPPoE+協(xié)議
PPPoE+協(xié)議又稱為PPPoE中間代理。和DHCP Option82類似，它對PPPoE協(xié)議報文進行了擴充。接入節(jié)點截獲PPPoE搜索階段的協(xié)議報文，在上行方向插入端口信息。

(3)VBAS協(xié)議
VBAS協(xié)議和PPPoE+略有不同，VBAS協(xié)議修改PPPoE的流程，在用戶與BRAS協(xié)議交互中，插入BRAS與接入節(jié)點的交互，獲取端口信息。

(4)虛擬局域網(wǎng)棧
虛擬局域網(wǎng)棧(VLAN Stacking)采用雙標簽(Tag)，使用內(nèi)層VLAN來唯一標識用戶端口信息。

(5)虛擬MAC
虛擬媒體訪問控制(VMAC)對每個用戶數(shù)據(jù)報文的源MAC地址按照特定規(guī)則進行翻譯，翻譯后的MAC地址包含了用戶端口信息。這樣BRAS在PPPoE協(xié)議交互時，就可以直接從源MAC地址信息中獲取用戶端口信息。