摘要：寬帶接入網(wǎng)絡(luò)的技術(shù)發(fā)展迅速，其應(yīng)用也越來(lái)越廣泛，但是安全問(wèn)題也伴隨著它的發(fā)展成為大家越來(lái)越關(guān)心的問(wèn)題。在接入網(wǎng)環(huán)境下，用戶、接入設(shè)備和網(wǎng)絡(luò)都面臨著各種威脅，特別是來(lái)自用戶側(cè)的威脅。針對(duì)當(dāng)前網(wǎng)絡(luò)中出現(xiàn)的問(wèn)題，可以采用端口定位、媒體訪問(wèn)控制(MAC)地址防欺騙、非法業(yè)務(wù)監(jiān)測(cè)等技術(shù)和方案加以解決。

關(guān)鍵詞：寬帶接入；安全；寬帶接入遠(yuǎn)程服務(wù)；接入節(jié)點(diǎn)；DSL接入復(fù)用器

Abstract: The broadband access security is receiving increasing attention as the broadband access network technology is growing briskly and broadband-enabled applications become more extensive. In an open access scenario， users， access equipments and networks are confronted with all kinds of threats and challenges， especially those from users’ ends. Preventive measures and solutions can be taken to unlock such challenges， which include port positioning， anti-spoofing of Media Access Control (MAC) address and monitoring of illegal services

Key words:broadband access; security; broadband remote access service; access point; DSL access multiplexer

最近10年，寬帶接入網(wǎng)絡(luò)在全球蓬勃發(fā)展，越來(lái)越多的個(gè)人用戶和企業(yè)用戶通過(guò)寬帶接入到Internet。同時(shí)，用戶對(duì)網(wǎng)絡(luò)性能的要求也越來(lái)越高，他們不再滿足于暢通無(wú)阻的高帶寬接入能力，逐漸對(duì)服務(wù)的質(zhì)量提出了更高的要求。在服務(wù)質(zhì)量(QoS)中，一個(gè)重要的不能忽視的指標(biāo)就是安全保證。

1 寬帶接入安全性問(wèn)題

寬帶接入網(wǎng)絡(luò)的快速發(fā)展使得寬帶用戶數(shù)成倍增加，但是也使得網(wǎng)絡(luò)遭受安全攻擊的可能性大大增加。特別是引入以太網(wǎng)技術(shù)、IP技術(shù)后，接入網(wǎng)安全性問(wèn)題日益凸現(xiàn)。因?yàn)橐蕴W(wǎng)絡(luò)是共享式的網(wǎng)絡(luò)，它的優(yōu)點(diǎn)和缺點(diǎn)均很明顯。當(dāng)前網(wǎng)絡(luò)上很多黑客工具可以用來(lái)在以太網(wǎng)上興風(fēng)作浪：監(jiān)聽(tīng)他人信息、盜取業(yè)務(wù)、發(fā)起拒絕服務(wù)(DOS)攻擊^[1]，造成網(wǎng)絡(luò)設(shè)備癱瘓。IP網(wǎng)絡(luò)因?yàn)闅v史原因，最初在安全性方面的設(shè)計(jì)考慮不多。IP網(wǎng)絡(luò)上的業(yè)務(wù)大都通過(guò)智能終端來(lái)完成，處于運(yùn)營(yíng)商控制范圍內(nèi)的中間設(shè)備主要的功能就是交換，運(yùn)營(yíng)商對(duì)業(yè)務(wù)很難控制，這就為惡意用戶提供了開(kāi)展破壞活動(dòng)的空間。

為提供“電信運(yùn)營(yíng)級(jí)”的接入網(wǎng)絡(luò)，為用戶提供安全的接入服務(wù)，檢測(cè)非法業(yè)務(wù)，保證網(wǎng)絡(luò)設(shè)備正常運(yùn)行，目前是設(shè)備提供商和電信運(yùn)營(yíng)商共同關(guān)注的問(wèn)題^[2-3]。

目前，寬帶接入技術(shù)呈現(xiàn)多樣化趨勢(shì)，包括數(shù)字用戶線(DSL)、混合光纖/同軸電纜(HFC)、無(wú)源光網(wǎng)絡(luò)(PON)和WiMax無(wú)線接入等，他們都具有如圖1所示的網(wǎng)絡(luò)架構(gòu)：

寬帶接入網(wǎng)絡(luò)的架構(gòu)包括以下幾個(gè)組成部分：

(1)用戶自組網(wǎng)絡(luò)

用戶自組網(wǎng)絡(luò)是以家庭網(wǎng)關(guān)為核心組成的局部網(wǎng)絡(luò)，這個(gè)網(wǎng)絡(luò)物理上歸屬于用戶。DSL是當(dāng)前最普遍的用戶接入方式。

(2)接入節(jié)點(diǎn)

接入節(jié)點(diǎn)完成用戶線纜的物理終結(jié)，或者無(wú)線信道的終結(jié)，實(shí)現(xiàn)用戶數(shù)據(jù)的匯聚，滿足高密度、多形式的接入。接入節(jié)點(diǎn)最靠近用戶，是運(yùn)營(yíng)商網(wǎng)絡(luò)的邊緣，是安全防護(hù)的第一道門檻。在接入網(wǎng)安全問(wèn)題中，接入節(jié)點(diǎn)處于重要的地位。

(3)以太網(wǎng)匯聚網(wǎng)絡(luò)

因?yàn)樾詢r(jià)比突出，以太網(wǎng)受到運(yùn)營(yíng)商的青睞。進(jìn)一步，以太網(wǎng)同時(shí)也肩負(fù)匯聚數(shù)據(jù)和網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)交換的任務(wù)。

(4)寬帶網(wǎng)絡(luò)網(wǎng)關(guān)

寬帶網(wǎng)絡(luò)網(wǎng)關(guān)包括很多功能：終結(jié)以太層及其對(duì)應(yīng)的封裝、用戶認(rèn)證(結(jié)合認(rèn)證服務(wù)器)、用戶端自動(dòng)配置、QoS業(yè)務(wù)保證等。物理上，寬帶網(wǎng)絡(luò)網(wǎng)關(guān)可以是一個(gè)設(shè)備，也可以是多個(gè)設(shè)備，執(zhí)行寬帶接入遠(yuǎn)程服務(wù)器、動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)服務(wù)器(或DHCP中繼器)和路由器的功能。

接入節(jié)點(diǎn)、以太匯聚網(wǎng)絡(luò)和寬帶網(wǎng)絡(luò)網(wǎng)關(guān)屬于運(yùn)營(yíng)商所有，這些設(shè)備或者網(wǎng)絡(luò)對(duì)運(yùn)營(yíng)商而言都是可信的。用戶自組網(wǎng)絡(luò)歸用戶自己所有和使用。對(duì)運(yùn)營(yíng)商而言，用戶自組網(wǎng)絡(luò)是不可信的。安全威脅大都來(lái)自不可信網(wǎng)絡(luò)內(nèi)惡意用戶或者程序的攻擊。當(dāng)然，有時(shí)安全問(wèn)題也產(chǎn)生于可信任域內(nèi)，比如因?yàn)樵O(shè)備不穩(wěn)定等原因產(chǎn)生的安全問(wèn)題。但安全問(wèn)題主要還是來(lái)自不可信域?qū)尚湃斡虻陌踩{。

歸納起來(lái)，接入網(wǎng)絡(luò)中主要有下面的一些安全問(wèn)題：

(1)非法用戶的接入。

(2)非法報(bào)文和惡意報(bào)文發(fā)送。

(3)通過(guò)媒體訪問(wèn)控制(MAC)/IP地址欺騙，如冒用MAC地址或者IP地址，偷取他人的業(yè)務(wù)服務(wù)或者造成DOS攻擊。

(4)非法業(yè)務(wù)，如開(kāi)展非法的IP語(yǔ)音(VoIP)業(yè)務(wù)、私拉亂接用戶等。

下面依次對(duì)上述問(wèn)題以及與其相對(duì)應(yīng)的解決方案展開(kāi)論述。

2 非法用戶接入

非法用戶接入性質(zhì)嚴(yán)重，直接影響運(yùn)營(yíng)商的運(yùn)營(yíng)收益。如果不對(duì)用戶進(jìn)行識(shí)別和認(rèn)證，那么非法用戶接入就會(huì)大量存在。

用戶識(shí)別與認(rèn)證技術(shù)已經(jīng)非常的成熟，基于以太網(wǎng)的點(diǎn)到點(diǎn)協(xié)議(PPPoE)、DHCP+Web和802.1x協(xié)議等已經(jīng)被普遍使用。當(dāng)前，業(yè)界關(guān)注的問(wèn)題是：對(duì)用戶端口(也稱為用戶線路)的識(shí)別。在零售模式下，每個(gè)用戶在接入節(jié)點(diǎn)處都有一個(gè)邏輯端口，有線環(huán)境下是硬端口，無(wú)線環(huán)境下是一個(gè)軟端口。如果認(rèn)證服務(wù)器只是通過(guò)用戶名來(lái)識(shí)別用戶，那么用戶可以把自己的用戶名和密碼共享給其他用戶，其他用戶也能通過(guò)這一邏輯端口上網(wǎng)，這是運(yùn)營(yíng)商不希望看到的，會(huì)造成運(yùn)營(yíng)商的運(yùn)營(yíng)收入的減少。

在基于ATM的點(diǎn)到點(diǎn)協(xié)議(PPPoA)為主要接入方式時(shí)，用戶虛通道(VC)在寬帶接入遠(yuǎn)程服務(wù)器(BRAS)上終結(jié)，因此，用戶的端口信息直接就可以在BRAS上獲取?，F(xiàn)在，PPPoE和IPoA是主要的接入方式。在這兩種接入方式下，物理上，用戶線路在接入節(jié)點(diǎn)處就被終結(jié)；VC信息要么在接入節(jié)點(diǎn)處終結(jié)，要么根本沒(méi)有，因此BRAS沒(méi)有辦法直接獲取用戶的端口信息。所以，必須有一套有效的機(jī)制能夠?qū)⒔尤牍?jié)點(diǎn)處的用戶端口信息傳遞給BRAS。當(dāng)前，有多種用戶端口(或者用戶線路)識(shí)別方案被提出來(lái)：

(1)DHCP option82協(xié)議

DHCP Option82(RFC3046)協(xié)議在DHCP(RFC2131)的基礎(chǔ)上，對(duì)協(xié)議流程進(jìn)行了擴(kuò)充。接入節(jié)點(diǎn)需要截獲DHCP上下行協(xié)議報(bào)文，扮演二層DHCP中繼代理的角色。上行方向，將端口信息(也就是uPortID)插入到協(xié)議的Option82字段中；下行方向，剝離此字段信息(可選)。圖2為協(xié)議交互示意圖。

(2)PPPoE+協(xié)議

PPPoE+協(xié)議又稱為PPPoE中間代理。和DHCP Option82類似，它對(duì)PPPoE協(xié)議報(bào)文進(jìn)行了擴(kuò)充。接入節(jié)點(diǎn)截獲PPPoE搜索階段的協(xié)議報(bào)文，在上行方向插入端口信息。圖3為PPPoE+協(xié)議交互示意圖。

(3)VBAS協(xié)議

VBAS協(xié)議和PPPoE+略有不同，VBAS協(xié)議修改PPPoE的流程，在用戶與BRAS協(xié)議交互中，插入BRAS與接入節(jié)點(diǎn)的交互，獲取端口信息。圖4為VBAS協(xié)議交互示意圖。

(4)虛擬局域網(wǎng)棧

虛擬局域網(wǎng)棧(VLAN Stacking)采用雙標(biāo)簽(Tag)，使用內(nèi)層VLAN來(lái)唯一標(biāo)識(shí)用戶端口信息。

(5)虛擬MAC

虛擬媒體訪問(wèn)控制(VMAC)對(duì)每個(gè)用戶數(shù)據(jù)報(bào)文的源MAC地址按照特定規(guī)則進(jìn)行翻譯，翻譯后的MAC地址包含了用戶端口信息。這樣BRAS在PPPoE協(xié)議交互時(shí)，就可以直接從源MAC地址信息中獲取用戶端口信息。

各種用戶端口識(shí)別方案的優(yōu)缺點(diǎn)如表1所示。

3 非法報(bào)文和過(guò)量報(bào)文

上行方向，因?yàn)橛脩糇越M網(wǎng)絡(luò)不受控，惡意用戶或者惡意程序就可構(gòu)造非法協(xié)議報(bào)文，向上發(fā)送，這不僅會(huì)導(dǎo)致網(wǎng)絡(luò)設(shè)備處理性能下降，有時(shí)還造成網(wǎng)絡(luò)設(shè)備系統(tǒng)紊亂甚至死機(jī)。另外，如果惡意用戶或者程序過(guò)量地上行發(fā)送協(xié)議、廣播報(bào)文，無(wú)論是合法還是非法，同樣會(huì)造成系統(tǒng)設(shè)備性能明顯下降，因?yàn)閰f(xié)議、廣播等報(bào)文的處理非常消耗設(shè)備資源。

下行方向，盡管處于可控的網(wǎng)絡(luò)域內(nèi)，但是因?yàn)樵O(shè)備自身穩(wěn)定性問(wèn)題，以及網(wǎng)絡(luò)復(fù)雜性問(wèn)題，也可能會(huì)出現(xiàn)非法或者過(guò)量報(bào)文發(fā)送，也需要進(jìn)行防范。

非法報(bào)文包括：

(1)非法源MAC地址報(bào)文。源MAC地址不能是廣播或者組播地址，因?yàn)橛行㎝AC地址已經(jīng)被標(biāo)準(zhǔn)組織所預(yù)留，不能被普通用戶使用。

(2)非法協(xié)議報(bào)文。從理論上分析，互聯(lián)網(wǎng)組管理協(xié)議(IGMP)上行方向不可能有詢問(wèn)(Query)報(bào)文，下行方向不可能有報(bào)告/離開(kāi)/加入(Report/Leave/Join)報(bào)文；DHCP協(xié)議上行不可能出現(xiàn)提供/確認(rèn)(OFFER/ACK)報(bào)文，下行不可能出現(xiàn)發(fā)現(xiàn)/請(qǐng)求(DISCOVER/REQUEST)報(bào)文；PPPoE協(xié)議上行不會(huì)有PADO和PADS報(bào)文，下行不會(huì)有PADI和PADR報(bào)文。根據(jù)需要，對(duì)這些報(bào)文都要攔截過(guò)濾。

(3)超長(zhǎng)報(bào)文、超短報(bào)文或者校驗(yàn)錯(cuò)報(bào)文，如低于64字節(jié)的報(bào)文或者大于1 518字節(jié)的報(bào)文。特定情況下，超長(zhǎng)報(bào)文是允許的。

對(duì)于非法報(bào)文，一般的技術(shù)是使用過(guò)濾器來(lái)過(guò)濾丟棄這些報(bào)文。過(guò)濾器的基本原理是，根據(jù)用戶定義的被過(guò)濾數(shù)據(jù)報(bào)文的特征，匹配數(shù)據(jù)報(bào)文。如果符合預(yù)定義的特征，那么過(guò)濾掉該報(bào)文。當(dāng)前的交換芯片大都具備報(bào)文特征提取和匹配功能，可以完成數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層甚至更高層數(shù)據(jù)報(bào)文特征信息的提取和匹配。

過(guò)量報(bào)文類型一般分成以下幾類：

●過(guò)量的協(xié)議報(bào)文

●過(guò)量的廣播報(bào)文

●過(guò)量的組播報(bào)文

●過(guò)量不同源MAC地址的報(bào)文

前面3種過(guò)量報(bào)文會(huì)大量吞噬設(shè)備處理資源，第4種會(huì)占用交換芯片有限的MAC地址表資源，都需要進(jìn)行控制。

前3種過(guò)量報(bào)文的處理步驟為：匹配特定類型的報(bào)文，特征是：特定的協(xié)議報(bào)文、廣播報(bào)文(或者某種更具體特征的廣播報(bào)文)、組播報(bào)文(或者某種更具體特征的組播報(bào)文)；統(tǒng)計(jì)此類報(bào)文的發(fā)送速率；如果發(fā)送速率超過(guò)預(yù)定義的速率，拋棄報(bào)文。

處理過(guò)量協(xié)議、廣播和組播報(bào)文的技術(shù)又被稱為報(bào)文抑制。

解決過(guò)量源MAC地址問(wèn)題比較簡(jiǎn)單：可設(shè)定用戶側(cè)端口MAC地址個(gè)數(shù)的上限。這樣，一旦端口達(dá)到預(yù)定義的MAC地址個(gè)數(shù)，后續(xù)帶有新MAC地址的報(bào)文一律被丟棄。

非法報(bào)文和過(guò)量報(bào)文的處理在接入網(wǎng)絡(luò)的各個(gè)層次都需要處理，但是對(duì)于接入節(jié)點(diǎn)，因?yàn)槠湓诮尤刖W(wǎng)中的位置，上述功能的實(shí)現(xiàn)尤其顯得重要。

4 MAC/IP地址欺騙

MAC/IP地址欺騙是非常嚴(yán)重的安全威脅。

MAC地址欺騙的本質(zhì)是會(huì)出現(xiàn)MAC地址重復(fù)，造成交換芯片MAC地址學(xué)習(xí)遷移，部分用戶無(wú)法上網(wǎng)。MAC地址欺騙可以分成下面兩種類型：

(1)用戶的MAC地址欺騙。

(2)上游網(wǎng)絡(luò)業(yè)務(wù)服務(wù)器(如BRAS、DHCP服務(wù)器/中繼、默認(rèn)網(wǎng)關(guān)等)的MAC地址欺騙。

因?yàn)橐蕴W(wǎng)自身的特點(diǎn)，MAC地址信息都是公開(kāi)的，通過(guò)掃描工具，用戶可以較容易地獲取其他用戶的MAC地址信息。如果相同的MAC地址出現(xiàn)在設(shè)備的不同用戶端口上，就會(huì)造成MAC地址學(xué)習(xí)發(fā)生紊亂，導(dǎo)致用戶無(wú)法上網(wǎng)。

為了增強(qiáng)安全性，在接入網(wǎng)絡(luò)，一般要求在接入節(jié)點(diǎn)處實(shí)現(xiàn)用戶端口隔離：在同一個(gè)VLAN下的用戶之間相互不能通信，而只能和上行匯聚端口互通。用戶端口隔離可以通過(guò)私有虛擬局域網(wǎng)(PVLAN)技術(shù)來(lái)實(shí)現(xiàn)。

不是所有的交換芯片都支持PVLAN的功能，即使支持PVLAN的功能，也有可能因?yàn)樵O(shè)備MAC地址設(shè)置不當(dāng)造成MAC地址重復(fù)問(wèn)題，或者用戶通過(guò)其他渠道獲得其他用戶的MAC(比如“暴力”MAC嘗試)。PVLAN技術(shù)本身不足以完全解決用戶側(cè)MAC地址欺騙問(wèn)題。解決用戶側(cè)MAC地址欺騙，有如下解決方法：

(1)VMAC 在接入節(jié)點(diǎn)處，在上行方向，給每個(gè)<物理端口，MAC>分配或者生成一個(gè)獨(dú)一無(wú)二的VMAC地址。被解釋以后的MAC地址因?yàn)槭窃O(shè)備自己產(chǎn)生的，因此是可信的，而且確保不會(huì)出現(xiàn)用戶側(cè)MAC地址重復(fù)的現(xiàn)象。使用VMAC地址代替報(bào)文的源MAC地址。下行方向，根據(jù)VMAC查找到對(duì)應(yīng)的原始的MAC地址，然后使用原始MAC地址代替VMAC地址。VMAC不僅僅可用來(lái)防止用戶MAC地址欺騙，還可防止對(duì)業(yè)務(wù)服務(wù)器MAC地址的欺騙，并且也可以用于用戶端口識(shí)別。缺點(diǎn)是影響與MAC地址相關(guān)的協(xié)議，處理復(fù)雜。

(2)MAC地址綁定。將MAC地址靜態(tài)綁定到用戶端口，如果數(shù)據(jù)報(bào)文的源MAC地址和綁定的MAC地址不同，則地址被丟棄。此方法雖簡(jiǎn)單，但是可用性差。用戶自組網(wǎng)絡(luò)的MAC地址千差萬(wàn)別，而且個(gè)數(shù)也不確定，如果采用靜態(tài)綁定，很難管理。

(3)基于PPPoE會(huì)話(Session)感知的數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)，應(yīng)用于PPPoE接入環(huán)境。每個(gè)用戶都對(duì)應(yīng)唯一的PPPoE會(huì)話標(biāo)識(shí)(SessionID)?？梢栽诮尤牍?jié)點(diǎn)上記錄一張表，上行直接匯聚，下行可以查看該表來(lái)進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。這樣，數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā)完全可以不使用MAC地址，也就不需要學(xué)習(xí)，從而也就不存在MAC地址重復(fù)問(wèn)題。

(4)基于IP感知的數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)。應(yīng)用于IPoE的接入環(huán)境。在接入節(jié)點(diǎn)上，建立一張表，因?yàn)镮P是唯一的，所以不會(huì)存在IP重復(fù)的現(xiàn)象，數(shù)據(jù)報(bào)文下行轉(zhuǎn)發(fā)沒(méi)有問(wèn)題。和基于PPPoE Session的數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)一樣，接入節(jié)點(diǎn)上也不需要MAC地址學(xué)習(xí)。

上述3、4兩種處理方法對(duì)接入節(jié)點(diǎn)歸屬的VLAN有一定的要求。如果一個(gè)接入節(jié)點(diǎn)屬于一個(gè)唯一的VLAN，那么只要接入節(jié)點(diǎn)按照上述要求轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文即可。如果多個(gè)接入節(jié)點(diǎn)屬于一個(gè)VLAN，那么需要保證匯聚這些接入節(jié)點(diǎn)的交換機(jī)也要按照上述的要求轉(zhuǎn)發(fā)下行數(shù)據(jù)報(bào)文。利用PPPoE Session或者IP感知的方式和傳統(tǒng)的二層交換機(jī)的轉(zhuǎn)發(fā)機(jī)制有質(zhì)的不同，一般的交換芯片難以實(shí)現(xiàn)，而且只解決特定類型接入的MAC地址重復(fù)問(wèn)題。優(yōu)點(diǎn)是不用修改數(shù)據(jù)報(bào)文，不會(huì)影響其他協(xié)議。

業(yè)務(wù)服務(wù)器的MAC地址欺騙將會(huì)使得網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)服務(wù)器MAC地址學(xué)習(xí)發(fā)生遷移，從而造成設(shè)備下的部分用戶無(wú)法上網(wǎng)。業(yè)務(wù)服務(wù)器MAC地址防欺騙可以使用下面的技術(shù)來(lái)解決：

(1)VMAC

使用VMAC可以解決各種接入環(huán)境下的業(yè)務(wù)服務(wù)器MAC欺騙。

(2)業(yè)務(wù)服務(wù)器MAC地址靜態(tài)配置

手動(dòng)將業(yè)務(wù)服務(wù)器的MAC配置到接入節(jié)點(diǎn)交換芯片的靜態(tài)MAC地址表上，這樣業(yè)務(wù)服務(wù)器MAC地址學(xué)習(xí)就不會(huì)發(fā)生遷移。這個(gè)方法雖然簡(jiǎn)單，但靈活性和擴(kuò)充性都很差。

(3)業(yè)務(wù)服務(wù)器MAC地址自動(dòng)配置

這是本文提出的一種解決業(yè)務(wù)服務(wù)器MAC地址欺騙的方法?；舅枷胧?，讓接入節(jié)點(diǎn)充當(dāng)PPPoE或者DHCP客戶端，定期發(fā)起PPPoE或者DHCP請(qǐng)求，這樣就可以動(dòng)態(tài)地獲取BRAS和DHCP服務(wù)器/中繼的MAC地址。其優(yōu)點(diǎn)非常明顯：可利用現(xiàn)有協(xié)議，不用手動(dòng)配置，不修改數(shù)據(jù)報(bào)文，不影響其他協(xié)議。

IP欺騙存在于IPoE接入場(chǎng)景下，冒用他人IP地址，盜取服務(wù)，或者沒(méi)有通過(guò)DHCP獲得配置信息的情況下接入網(wǎng)絡(luò)，妨礙了運(yùn)營(yíng)商的統(tǒng)一管理。解決這個(gè)問(wèn)題需要在接入節(jié)點(diǎn)上實(shí)現(xiàn)“DHCP IP源警衛(wèi)”，監(jiān)聽(tīng)來(lái)往于用戶和DHCP服務(wù)器/中繼的協(xié)議報(bào)文，在用戶沒(méi)有獲取配置信息以前，除了DHCP協(xié)議報(bào)文，其他上行報(bào)文統(tǒng)統(tǒng)拋棄。一旦監(jiān)聽(tīng)到DHCP ACK報(bào)文，就綁定<分配的IP，用戶MAC>到用戶端口，使能上行數(shù)據(jù)報(bào)文的發(fā)送，同時(shí)保證上行數(shù)據(jù)報(bào)文的和綁定的<分配的IP，用戶MAC>一致。在DHCP租用到期后，取消這種捆綁，并停止上行非DHCP協(xié)議報(bào)文發(fā)送。

5 非法業(yè)務(wù)

經(jīng)過(guò)多年的接入網(wǎng)絡(luò)建設(shè)，對(duì)于運(yùn)營(yíng)商而言，接入帶寬已經(jīng)不是主要的問(wèn)題。當(dāng)務(wù)之急，一是在現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)上，提供盡可能多的業(yè)務(wù)，改變目前僅靠接入和帶寬盈利的模式，改變粗放式的經(jīng)營(yíng)路線；另一個(gè)就是控制目前在已有網(wǎng)絡(luò)中存在的非法業(yè)務(wù)。

所謂的非法業(yè)務(wù)是從運(yùn)營(yíng)商的角度來(lái)判定的一些目前網(wǎng)絡(luò)上存在的部分?jǐn)?shù)據(jù)服務(wù)。非法業(yè)務(wù)形式多種多樣，下面僅是其中幾例：

(1)P2P流下載。P2P流下載能大量吞噬寶貴的網(wǎng)絡(luò)帶寬，影響用戶上網(wǎng)。

(2)VoIP。VoIP分流運(yùn)營(yíng)商已有的公共交換電話網(wǎng)(PSTN)業(yè)務(wù)，可能嚴(yán)重?fù)p害其業(yè)務(wù)收益。

(3)用戶側(cè)私拉亂接。寬帶用戶以個(gè)人的身份申請(qǐng)業(yè)務(wù)，但給企業(yè)或黑網(wǎng)吧使用，或與其他家庭共用寬帶，從而損害運(yùn)營(yíng)商的業(yè)務(wù)收益。

不同于前面幾節(jié)的安全問(wèn)題，非法業(yè)務(wù)具有非常復(fù)雜的業(yè)務(wù)特征，不可能通過(guò)簡(jiǎn)單的特征提取方法來(lái)判定某數(shù)據(jù)報(bào)文是否屬于非法業(yè)務(wù)的報(bào)文。為了檢測(cè)出某條數(shù)據(jù)流是否是非法業(yè)務(wù)，需要對(duì)數(shù)據(jù)流進(jìn)行深度智能分析，依據(jù)預(yù)定義的特征信息庫(kù)，對(duì)數(shù)據(jù)流匹配才能判定。

用戶私拉亂接現(xiàn)象一般發(fā)生在用戶使用具有網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)功能的設(shè)備和接入節(jié)點(diǎn)對(duì)接情況下，上行數(shù)據(jù)報(bào)文從表面看起來(lái)好像從一個(gè)用戶發(fā)出的一樣。解決這個(gè)問(wèn)題需要收集各種“蛛絲馬跡”：分析傳輸控制協(xié)議(TCP)連接數(shù)量、網(wǎng)絡(luò)流量、源TCP端口范圍，這些信息有一定的參考價(jià)值；分析MSN、Windows Update能攜帶的一些用戶特定信息；用戶上行數(shù)據(jù)流中，如OS版本、IE版本、用戶的行為習(xí)慣等有用的用戶信息。往往需要結(jié)合部分或者全部特征，作出綜合判斷，減少誤判和漏判。

非法VoIP檢測(cè)起來(lái)具有很大的難度，VoIP軟件數(shù)量眾多。為了穿越防火墻或者NAT，防止被檢測(cè)，有些VoIP軟件甚至在特殊端口上啟動(dòng)私有隧道來(lái)承載VoIP相關(guān)數(shù)據(jù)。需要對(duì)數(shù)據(jù)報(bào)協(xié)議/傳輸控制協(xié)議(UDP/TCP)所有的數(shù)據(jù)流進(jìn)行監(jiān)控，利用VoIP注冊(cè)、呼叫、準(zhǔn)入等特征來(lái)分析數(shù)據(jù)流。

P2P流容易監(jiān)控，因?yàn)榱餍械腜2P軟件數(shù)量有限，這些軟件所發(fā)出的數(shù)據(jù)報(bào)文的特征相對(duì)容易定義。

非法業(yè)務(wù)的檢測(cè)可以在接入網(wǎng)絡(luò)的各個(gè)層次進(jìn)行。檢測(cè)點(diǎn)越往下游偏移，“分布式處理”的特征越強(qiáng)烈，容易在性能上得到提升，但是在價(jià)格、檢測(cè)點(diǎn)協(xié)作和管理方面相對(duì)于集中式檢測(cè)來(lái)說(shuō)稍稍略弱一點(diǎn)。

非法業(yè)務(wù)的檢測(cè)技術(shù)上具有智能化的趨勢(shì)。但是回報(bào)較高，因?yàn)榭梢詾檫\(yùn)營(yíng)商創(chuàng)造更高的附加值。隨著未來(lái)各種業(yè)務(wù)在寬帶接入網(wǎng)絡(luò)的興起，非法業(yè)務(wù)檢測(cè)將大有用武之地，代表著接入網(wǎng)絡(luò)安全研究的一個(gè)重要方向。

6 結(jié)束語(yǔ)

對(duì)于接入網(wǎng)絡(luò)的商業(yè)應(yīng)用，安全是一個(gè)重要的不容回避的問(wèn)題，也是一個(gè)隨著時(shí)間動(dòng)態(tài)變化的課題。不僅運(yùn)營(yíng)商高度重視安全問(wèn)題，網(wǎng)絡(luò)設(shè)備提供商對(duì)安全問(wèn)題也異常重視，中興通訊提供的DSLAM和BRAS可以解決上述大部分接入網(wǎng)安全問(wèn)題。

7 參考文獻(xiàn)

[1] PIKE J. Cisco 網(wǎng)絡(luò)安全[M]. 北京：清華大學(xué)出版社， 2004.

[2] 鮑淑娣， 沈連豐. 寬帶無(wú)線接入帶來(lái)的機(jī)遇與挑戰(zhàn)[J]. 中興通訊技術(shù)，2004，10(3): 36-39.

[3] 周武， 毛雪鴻. 固定寬帶無(wú)線接入技術(shù)的發(fā)展[J]. 中興通訊技術(shù)， 2004，10(3): 1-4.

收稿日期：2006-04-18

作 者 簡(jiǎn) 介

王德強(qiáng)，南京大學(xué)畢業(yè)，博士。中興通訊股份有限公司網(wǎng)絡(luò)事業(yè)部系統(tǒng)三部系統(tǒng)工程師，主要從事網(wǎng)絡(luò)產(chǎn)品的開(kāi)發(fā)和技術(shù)研究。已發(fā)表文章10篇，申請(qǐng)發(fā)明專利5項(xiàng)。