使用宽带接入网的用户都会遇到很多问题，特别是关于安全方面的，这里将介绍宽带接入网络安全性问题的解决方法，在这里拿出来和大家分享一下。最近10年，宽带接入网络在全球蓬勃发展，越来越多的个人用户和企业用户通过宽带接入网到Internet。同时，用户对网络性能的要求也越来越高，他们不再满足于畅通无阻的高带宽接入能力，逐渐对服务的质量提出了更高的要求。在服务质量(QoS)中，一个重要的不能忽视的指标就是安全保证。

1.宽带接入安全性问题

宽带接入网络的快速发展使得宽带用户数成倍增加，但是也使得网络遭受安全攻击的可能性大大增加。特别是引入以太网技术、IP技术后，接入网安全性问题日益凸现。因为以太网络是共享式的网络，它的优点和缺点均很明显。当前网络上很多黑客工具可以用来在以太网上兴风作浪：监听他人信息、盗取业务、发起拒绝服务(DOS)攻击[1]，造成网络设备瘫痪。IP网络因为历史原因，最初在安全性方面的设计考虑不多。IP网络上的业务大都通过智能终端来完成，处于运营商控制范围内的中间设备主要的功能就是交换，运营商对业务很难控制，这就为恶意用户提供了开展破坏活动的空间。

为提供“电信运营级”的接入网络，为用户提供安全的接入服务，检测非法业务，保证网络设备正常运行，目前是设备提供商和电信运营商共同关注的问题[2-3]。目前，宽带接入网技术呈现多样化趋势，包括数字用户线(DSL)、混合光纤/同轴电缆(HFC)、无源光网络(PON)和WiMax无线接入等，他们都具有如图1所示的网络架构：宽带接入网络的架构包括以下几个组成部分：

用户自组网络
用户自组网络是以家庭网关为核心组成的局部网络，这个网络物理上归属于用户。DSL是当前最普遍的用户接入方式。

(2)接入节点
接入节点完成用户线缆的物理终结，或者无线信道的终结，实现用户数据的汇聚，满足高密度、多形式的接入。接入节点最靠近用户，是运营商网络的边缘，是安全防护的第一道门槛。在接入网安全问题中，接入节点处于重要的地位。

(3)以太网汇聚网络
因为性价比突出，以太网受到运营商的青睐。进一步，以太网同时也肩负汇聚数据和网络内部数据交换的任务。

(4)宽带网络网关
宽带网络网关包括很多功能：终结以太层及其对应的封装、用户认证(结合认证服务器)、用户端自动配置、QoS业务保证等。物理上，宽带网络网关可以是一个设备，也可以是多个设备，执行宽带接入网远程服务器、动态主机配置协议()服务器(或DHCP中继器)和路由器的功能。

接入节点、以太汇聚网络和宽带网络网关属于运营商所有，这些设备或者网络对运营商而言都是可信的。用户自组网络归用户自己所有和使用。对运营商而言，用户自组网络是不可信的。安全威胁大都来自不可信网络内恶意用户或者程序的攻击。当然，有时安全问题也产生于可信任域内，比如因为设备不稳定等原因产生的安全问题。但安全问题主要还是来自不可信域对可信任域的安全威胁。归纳起来，接入网络中主要有下面的一些安全问题：

非法用户的接入。
(2)非法报文和恶意报文发送。
(3)通过媒体访问控制(MAC)/IP地址欺骗，如冒用MAC地址或者IP地址，偷取他人的业务服务或者造成DOS攻击。
(4)非法业务，如开展非法的IP语音(VoIP)业务、私拉乱接用户等。下面依次对上述问题以及与其相对应的解决方案展开论述。

2.非法用户接入

非法用户接入性质严重，直接影响运营商的运营收益。如果不对用户进行识别和认证，那么非法用户接入就会大量存在。用户识别与认证技术已经非常的成熟，基于以太网的点到点协议(PPPoE)、DHCP+Web和802.1x协议等已经被普遍使用。当前，业界关注的问题是：对用户端口(也称为用户线路)的识别。在零售模式下，每个用户在接入节点处都有一个逻辑端口，有线环境下是硬端口，无线环境下是一个软端口。如果认证服务器只是通过用户名来识别用户，那么用户可以把自己的用户名和密码共享给其他用户，其他用户也能通过这一逻辑端口上网，这是运营商不希望看到的，会造成运营商的运营收入的减少。

在基于ATM的点到点协议(PPPoA)为主要接入方式时，用户虚通道(VC)在宽带接入网远程服务器(BRAS)上终结，因此，用户的端口信息直接就可以在BRAS上获取。现在，PPPoE和IPoA是主要的接入方式。在这两种接入方式下，物理上，用户线路在接入节点处就被终结；VC信息要么在接入节点处终结，要么根本没有，因此BRAS没有办法直接获取用户的端口信息。所以，必须有一套有效的机制能够将接入节点处的用户端口信息传递给BRAS。当前，有多种用户端口(或者用户线路)识别方案被提出来：

DHCP option82协议
DHCP Option82(RFC3046)协议在DHCP(RFC2131)的基础上，对协议流程进行了扩充。接入节点需要截获DHCP上下行协议报文，扮演二层DHCP中继代理的角色。上行方向，将端口信息(也就是uPortID)插入到协议的Option82字段中；下行方向，剥离此字段信息(可选)。

(2)PPPoE+协议
PPPoE+协议又称为PPPoE中间代理。和DHCP Option82类似，它对PPPoE协议报文进行了扩充。接入节点截获PPPoE搜索阶段的协议报文，在上行方向插入端口信息。

(3)VBAS协议
VBAS协议和PPPoE+略有不同，VBAS协议修改PPPoE的流程，在用户与BRAS协议交互中，插入BRAS与接入节点的交互，获取端口信息。

(4)虚拟局域网栈
虚拟局域网栈(VLAN Stacking)采用双标签(Tag)，使用内层VLAN来唯一标识用户端口信息。

(5)虚拟MAC
虚拟媒体访问控制(VMAC)对每个用户数据报文的源MAC地址按照特定规则进行翻译，翻译后的MAC地址包含了用户端口信息。这样BRAS在PPPoE协议交互时，就可以直接从源MAC地址信息中获取用户端口信息。