宽带接入网络安全性问题综合讲解

网络 通信技术
目前,宽带接入网技术呈现多样化趋势,包括数字用户线(DSL)、混合光纤/同轴电缆(HFC)、无源光网络(PON)和WiMax无线接入等,他们都具有如图1所示的网络架构。

使用宽带接入网的用户都会遇到很多问题,特别是关于安全方面的,这里将介绍宽带接入网络安全性问题的解决方法,在这里拿出来和大家分享一下。最近10年,宽带接入网络在全球蓬勃发展,越来越多的个人用户和企业用户通过宽带接入网到Internet。同时,用户对网络性能的要求也越来越高,他们不再满足于畅通无阻的高带宽接入能力,逐渐对服务的质量提出了更高的要求。在服务质量(QoS)中,一个重要的不能忽视的指标就是安全保证。

1.宽带接入安全性问题

宽带接入网络的快速发展使得宽带用户数成倍增加,但是也使得网络遭受安全攻击的可能性大大增加。特别是引入以太网技术、IP技术后,接入网安全性问题日益凸现。因为以太网络是共享式的网络,它的优点和缺点均很明显。当前网络上很多黑客工具可以用来在以太网上兴风作浪:监听他人信息、盗取业务、发起拒绝服务(DOS)攻击[1],造成网络设备瘫痪。IP网络因为历史原因,最初在安全性方面的设计考虑不多。IP网络上的业务大都通过智能终端来完成,处于运营商控制范围内的中间设备主要的功能就是交换,运营商对业务很难控制,这就为恶意用户提供了开展破坏活动的空间。

为提供“电信运营级”的接入网络,为用户提供安全的接入服务,检测非法业务,保证网络设备正常运行,目前是设备提供商和电信运营商共同关注的问题[2-3]。目前,宽带接入网技术呈现多样化趋势,包括数字用户线(DSL)、混合光纤/同轴电缆(HFC)、无源光网络(PON)和WiMax无线接入等,他们都具有如图1所示的网络架构:宽带接入网络的架构包括以下几个组成部分:

(1)用户自组网络
用户自组网络是以家庭网关为核心组成的局部网络,这个网络物理上归属于用户。DSL是当前最普遍的用户接入方式。

(2)接入节点
接入节点完成用户线缆的物理终结,或者无线信道的终结,实现用户数据的汇聚,满足高密度、多形式的接入。接入节点最靠近用户,是运营商网络的边缘,是安全防护的第一道门槛。在接入网安全问题中,接入节点处于重要的地位。

(3)以太网汇聚网络
因为性价比突出,以太网受到运营商的青睐。进一步,以太网同时也肩负汇聚数据和网络内部数据交换的任务。

(4)宽带网络网关
宽带网络网关包括很多功能:终结以太层及其对应的封装、用户认证(结合认证服务器)、用户端自动配置、QoS业务保证等。物理上,宽带网络网关可以是一个设备,也可以是多个设备,执行宽带接入网远程服务器、动态主机配置协议(DHCP)服务器(或DHCP中继器)和路由器的功能。

接入节点、以太汇聚网络和宽带网络网关属于运营商所有,这些设备或者网络对运营商而言都是可信的。用户自组网络归用户自己所有和使用。对运营商而言,用户自组网络是不可信的。安全威胁大都来自不可信网络内恶意用户或者程序的攻击。当然,有时安全问题也产生于可信任域内,比如因为设备不稳定等原因产生的安全问题。但安全问题主要还是来自不可信域对可信任域的安全威胁。归纳起来,接入网络中主要有下面的一些安全问题:

(1)非法用户的接入。
(2)非法报文和恶意报文发送。
(3)通过媒体访问控制(MAC)/IP地址欺骗,如冒用MAC地址或者IP地址,偷取他人的业务服务或者造成DOS攻击。
(4)非法业务,如开展非法的IP语音(VoIP)业务、私拉乱接用户等。下面依次对上述问题以及与其相对应的解决方案展开论述。

2.非法用户接入

非法用户接入性质严重,直接影响运营商的运营收益。如果不对用户进行识别和认证,那么非法用户接入就会大量存在。用户识别与认证技术已经非常的成熟,基于以太网的点到点协议(PPPoE)、DHCP+Web和802.1x协议等已经被普遍使用。当前,业界关注的问题是:对用户端口(也称为用户线路)的识别。在零售模式下,每个用户在接入节点处都有一个逻辑端口,有线环境下是硬端口,无线环境下是一个软端口。如果认证服务器只是通过用户名来识别用户,那么用户可以把自己的用户名和密码共享给其他用户,其他用户也能通过这一逻辑端口上网,这是运营商不希望看到的,会造成运营商的运营收入的减少。

在基于ATM的点到点协议(PPPoA)为主要接入方式时,用户虚通道(VC)在宽带接入网远程服务器(BRAS)上终结,因此,用户的端口信息直接就可以在BRAS上获取。现在,PPPoE和IPoA是主要的接入方式。在这两种接入方式下,物理上,用户线路在接入节点处就被终结;VC信息要么在接入节点处终结,要么根本没有,因此BRAS没有办法直接获取用户的端口信息。所以,必须有一套有效的机制能够将接入节点处的用户端口信息传递给BRAS。当前,有多种用户端口(或者用户线路)识别方案被提出来:

(1)DHCP option82协议
DHCP Option82(RFC3046)协议在DHCP(RFC2131)的基础上,对协议流程进行了扩充。接入节点需要截获DHCP上下行协议报文,扮演二层DHCP中继代理的角色。上行方向,将端口信息(也就是uPortID)插入到协议的Option82字段中;下行方向,剥离此字段信息(可选)。

(2)PPPoE+协议
PPPoE+协议又称为PPPoE中间代理。和DHCP Option82类似,它对PPPoE协议报文进行了扩充。接入节点截获PPPoE搜索阶段的协议报文,在上行方向插入端口信息。

(3)VBAS协议
VBAS协议和PPPoE+略有不同,VBAS协议修改PPPoE的流程,在用户与BRAS协议交互中,插入BRAS与接入节点的交互,获取端口信息。

(4)虚拟局域网栈
虚拟局域网栈(VLAN Stacking)采用双标签(Tag),使用内层VLAN来唯一标识用户端口信息。

(5)虚拟MAC
虚拟媒体访问控制(VMAC)对每个用户数据报文的源MAC地址按照特定规则进行翻译,翻译后的MAC地址包含了用户端口信息。这样BRAS在PPPoE协议交互时,就可以直接从源MAC地址信息中获取用户端口信息。
 

责任编辑:王晓东 来源: 计世网
相关推荐

2009-11-03 09:39:44

2009-11-03 15:30:41

宽带接入网

2009-11-04 10:38:32

宽带接入网

2009-12-28 14:42:28

宽带接入网

2009-12-25 09:14:58

ADSL宽带接入网

2009-12-24 16:37:39

ADSL宽带接入网

2009-11-02 11:26:17

宽带接入网

2009-10-23 17:45:03

综合宽带接入网

2009-11-02 10:30:55

2009-12-28 15:39:43

宽带接入网系统

2009-12-29 13:35:27

综合宽带接入网技术

2009-11-02 13:03:01

2009-12-24 09:54:51

宽带接入网技术

2009-12-29 16:18:49

ADSL宽带接入网

2013-10-18 15:03:48

华为eLTE华为

2009-10-23 13:00:51

宽带接入网

2009-12-24 13:36:09

宽带接入网

2009-10-23 16:17:33

宽带接入网

2009-10-26 15:28:25

宽带接入网

2009-10-26 16:05:20

宽带接入网
点赞
收藏

51CTO技术栈公众号