使用寬帶接入網的用戶都會遇到很多問題，特別是關于安全方面的，這里將介紹寬帶接入網絡安全性問題的解決方法，在這里拿出來和大家分享一下。最近10年，寬帶接入網絡在全球蓬勃發展，越來越多的個人用戶和企業用戶通過寬帶接入網到Internet。同時，用戶對網絡性能的要求也越來越高，他們不再滿足于暢通無阻的高帶寬接入能力，逐漸對服務的質量提出了更高的要求。在服務質量(QoS)中，一個重要的不能忽視的指標就是安全保證。

1.寬帶接入安全性問題

寬帶接入網絡的快速發展使得寬帶用戶數成倍增加，但是也使得網絡遭受安全攻擊的可能性大大增加。特別是引入以太網技術、IP技術后，接入網安全性問題日益凸現。因為以太網絡是共享式的網絡，它的優點和缺點均很明顯。當前網絡上很多黑客工具可以用來在以太網上興風作浪：監聽他人信息、盜取業務、發起拒絕服務(DOS)攻擊[1]，造成網絡設備癱瘓。IP網絡因為歷史原因，最初在安全性方面的設計考慮不多。IP網絡上的業務大都通過智能終端來完成，處于運營商控制范圍內的中間設備主要的功能就是交換，運營商對業務很難控制，這就為惡意用戶提供了開展破壞活動的空間。

為提供“電信運營級”的接入網絡，為用戶提供安全的接入服務，檢測非法業務，保證網絡設備正常運行，目前是設備提供商和電信運營商共同關注的問題[2-3]。目前，寬帶接入網技術呈現多樣化趨勢，包括數字用戶線(DSL)、混合光纖/同軸電纜(HFC)、無源光網絡(PON)和WiMax無線接入等，他們都具有如圖1所示的網絡架構：寬帶接入網絡的架構包括以下幾個組成部分：

用戶自組網絡
用戶自組網絡是以家庭網關為核心組成的局部網絡，這個網絡物理上歸屬于用戶。DSL是當前最普遍的用戶接入方式。

(2)接入節點
接入節點完成用戶線纜的物理終結，或者無線信道的終結，實現用戶數據的匯聚，滿足高密度、多形式的接入。接入節點最靠近用戶，是運營商網絡的邊緣，是安全防護的第一道門檻。在接入網安全問題中，接入節點處于重要的地位。

(3)以太網匯聚網絡
因為性價比突出，以太網受到運營商的青睞。進一步，以太網同時也肩負匯聚數據和網絡內部數據交換的任務。

(4)寬帶網絡網關
寬帶網絡網關包括很多功能：終結以太層及其對應的封裝、用戶認證(結合認證服務器)、用戶端自動配置、QoS業務保證等。物理上，寬帶網絡網關可以是一個設備，也可以是多個設備，執行寬帶接入網遠程服務器、動態主機配置協議()服務器(或DHCP中繼器)和路由器的功能。

接入節點、以太匯聚網絡和寬帶網絡網關屬于運營商所有，這些設備或者網絡對運營商而言都是可信的。用戶自組網絡歸用戶自己所有和使用。對運營商而言，用戶自組網絡是不可信的。安全威脅大都來自不可信網絡內惡意用戶或者程序的攻擊。當然，有時安全問題也產生于可信任域內，比如因為設備不穩定等原因產生的安全問題。但安全問題主要還是來自不可信域對可信任域的安全威脅。歸納起來，接入網絡中主要有下面的一些安全問題：

非法用戶的接入。
(2)非法報文和惡意報文發送。
(3)通過媒體訪問控制(MAC)/IP地址欺騙，如冒用MAC地址或者IP地址，偷取他人的業務服務或者造成DOS攻擊。
(4)非法業務，如開展非法的IP語音(VoIP)業務、私拉亂接用戶等。下面依次對上述問題以及與其相對應的解決方案展開論述。

2.非法用戶接入

非法用戶接入性質嚴重，直接影響運營商的運營收益。如果不對用戶進行識別和認證，那么非法用戶接入就會大量存在。用戶識別與認證技術已經非常的成熟，基于以太網的點到點協議(PPPoE)、DHCP+Web和802.1x協議等已經被普遍使用。當前，業界關注的問題是：對用戶端口(也稱為用戶線路)的識別。在零售模式下，每個用戶在接入節點處都有一個邏輯端口，有線環境下是硬端口，無線環境下是一個軟端口。如果認證服務器只是通過用戶名來識別用戶，那么用戶可以把自己的用戶名和密碼共享給其他用戶，其他用戶也能通過這一邏輯端口上網，這是運營商不希望看到的，會造成運營商的運營收入的減少。

在基于ATM的點到點協議(PPPoA)為主要接入方式時，用戶虛通道(VC)在寬帶接入網遠程服務器(BRAS)上終結，因此，用戶的端口信息直接就可以在BRAS上獲取。現在，PPPoE和IPoA是主要的接入方式。在這兩種接入方式下，物理上，用戶線路在接入節點處就被終結；VC信息要么在接入節點處終結，要么根本沒有，因此BRAS沒有辦法直接獲取用戶的端口信息。所以，必須有一套有效的機制能夠將接入節點處的用戶端口信息傳遞給BRAS。當前，有多種用戶端口(或者用戶線路)識別方案被提出來：

DHCP option82協議
DHCP Option82(RFC3046)協議在DHCP(RFC2131)的基礎上，對協議流程進行了擴充。接入節點需要截獲DHCP上下行協議報文，扮演二層DHCP中繼代理的角色。上行方向，將端口信息(也就是uPortID)插入到協議的Option82字段中；下行方向，剝離此字段信息(可選)。

(2)PPPoE+協議
PPPoE+協議又稱為PPPoE中間代理。和DHCP Option82類似，它對PPPoE協議報文進行了擴充。接入節點截獲PPPoE搜索階段的協議報文，在上行方向插入端口信息。

(3)VBAS協議
VBAS協議和PPPoE+略有不同，VBAS協議修改PPPoE的流程，在用戶與BRAS協議交互中，插入BRAS與接入節點的交互，獲取端口信息。

(4)虛擬局域網棧
虛擬局域網棧(VLAN Stacking)采用雙標簽(Tag)，使用內層VLAN來唯一標識用戶端口信息。

(5)虛擬MAC
虛擬媒體訪問控制(VMAC)對每個用戶數據報文的源MAC地址按照特定規則進行翻譯，翻譯后的MAC地址包含了用戶端口信息。這樣BRAS在PPPoE協議交互時，就可以直接從源MAC地址信息中獲取用戶端口信息。