用户安全问题是目前宽带网络开展业务时遇到的主要问题,具体表现为用户账号的非法共享(漫游)、用户账号的盗用以及对一些非法用户的追踪困难等问题。用户通过申请一个宽带上网账号,非法共享给其他人,使得多人能够同时上网,造成电信运营商业务收入的流失;同时因为账号可以漫游,也造成对非法用户(如在网上发表非法言论或故意破坏网络安全者)的定位和追踪困难。也有一些用户通过盗取其他用户的上网账号,由于当前宽带网络的业务开展和计费等服务都是基于账号提供的,这样就带来了用户与运营商在上网和业务等费用上的纠纷,降低了整个宽带网络用户的客户满意度。
出现用户账号非法共享(漫游)和盗用以及非法用户追踪困难的原因,主要是因为电信运营商没有对宽带用户账号安全提供限制和可靠的保护,其根本原因则是由于当前城域网VLAN资源不足,无法形成对宽带用户的唯一的标志。
目前整个宽带网络的认证和计费系统主要由BRAS设备和RadiusServer设备来共同完成,基于当前的城域网,因为VLAN资源不足致使多个用户共用一个VLAN的网络现状,可以直接在BRAS和RadiusServer设备上利用现有技术或者开发新的应用技术达到对用户账号的安全限制和保护,包括MAC地址同账号绑定以及根据目前网络现状开发的PITP协议、PPPoE+协议、DHCPOption82等技术。当然,这些方式虽然可以解决用户唯一标志问题,但无法形成对部分宽带业务的支撑;因此,要在解决用户安全问题的同时立足于满足未来宽带业务的发展,最根本的解决方案是通过对城域网网络结构进行优化和改造,保证每个用户分配一个VLAN或PVC从而实现用户的隔离,并在BRAS和RadiusServer上实现用户账号与VLAN或者PVC一一对应。
一、MAC地址绑定解决方案
世界上每个以太网卡具有唯一的MAC地址,用以区别不同的以太网用户。
基于PPP拨号方式的标准性、安全性和可扩展性,目前国内超过80%个人宽带用户都是采用PPPoE拨号方式、xDSL终端配置成纯桥接模式连接到宽带网络。因此,电信运营商可以在RadiusServer上将用户上网计算机的MAC地址同用户上网账号进行唯一性绑定,从而限制上网账号的唯一使用性。用户在进行PPPoE拨号连接的时候,BRAS设备获取用户的上网账号以及上网计算机的MAC地址,然后通过标准Radius协议将用户账号和MAC上报给RadiusServer,由Radiusserver完成账号和MAC地址一一对应的判别工作。由于MAC地址的唯一性,用户无法进行账号的非法共享或漫游,同时盗用的上网账号也无法使用。
MAC地址绑定解决方案的优点在于:简单方便,无须改造现有网络结构和DSLAM设备,只要BRAS设备能根据标准Radius协议上报用户账号和用户计算机MAC地址给RadiusServer,这一点目前的BRAS设备都能够做到。
MAC地址绑定解决方案的缺点则在于:Radiusserver端的维护工作量很大,需要经常维护庞大的用户MAC地址表;而且一旦用户更换电脑或者更换网卡都必须在Radiusserver上进行重新绑定,带来额外的工作量和用户投诉;同时对多个用户共用一个VLAN上行的组网模式,二层接入网络的用户安全隔离和广播报文控制也需要额外的解决方案。
二、PITP、PPPoE+扩展协议解决方案
PITP(PolicyInformationTransmissionProtocol),即策略信息传送协议,包括端口信息获取、带宽资源搜集、QoS策略下发以及配置维护信息传送等四种不同策略信息动作,是华为公司为解决IP-DSLAMVLANID的不足、IPTNQoS以及统一维护管理问题而提出的一种具有自主知识产权的新协议,可以解决用户上网账号盗用问题。用户在PPP拨号过程中,PPP认证报文由IP-DSLAM透传给BRAS设备。BRAS设备终结PPP认证报文,同时通过PITP协议与IP-DSLAM设备进行消息交换,由IP-DSLAM设备将用户所在的物理端口信息、槽位号和IP-DSLAM设备号上报到BRAS设备,再由BRAS设备上报给RadiusServer,来完成用户账号同所在IP-DSLAM设备号、槽位号及端口号等物理位置的唯一绑定。
PITP协议由于采用相对稳定的IP-DSLAM设备物理端口信息与用户上网账号进行捆绑,解决了MAC地址绑定方式带来的用户更换计算机或网卡需要进行重新绑定带来的额外工作量和用户投诉,同时面向IPTN提供QoS保障,满足未来IPTN业务需求。不足之处则由于目前没有形成统一的国际标准,应用受到一定限制。华为SmartAX系列IP-DSLAM能够与ISN8850/ESR8825系列BRAS设备配合,提供PITP解决方案,解决宽带运营中的用户安全问题。
目前,类似PITP协议上报用户所在IP-DSLAM设备的物理端口信息的还有PPPoE+、DHCPoption82等技术,利用PPPoE和DCHP协议的可扩展性,由IP-DSLAM设备在PPPoE或DHCP报文中插入宽带用户所在IP-DSLAM设备上的唯一物理端口信息,上报给BRAS设备,再由BRAS设备通过Radius协议上报RadiusServer,形成对用户物理位置的唯一标志。
三、VLAN或PVC绑定解决方案
VLAN或PVC绑定解决方案是在RadiusServer上对用户的宽带上网账号同接入用户的VLAN或PVC进行绑定。在宽带拨号用户进行拨号时,BRAS设备将接入用户的VLAN或PVC信息通过标准Radius协议上报给RadiusServer,由RadiusServer完成用户上网账号同VLAN或PVC的唯一性鉴别工作。显然,VLAN或PVC绑定解决方案在技术要求和宽带网络建网过程中,将每个用户划分为一个单独的VLAN或者PVC。
目前,在实际的组网中,ATM-DSLAM都采用一个用户一条PVC方式接入,非常容易实现用户账号同PVC的唯一性绑定;相比之下采用IP-DSLAM接入时,由于BRAS设备在城域网中位置过高,中间的二层汇聚层设备IP接入端口存在4kVLAN数目限制的问题,往往导致多个宽带用户共用一个VLAN接入,使得VLAN或PVC绑定技术的应用性受到很大限制。但从宽带网络发展的现状来看,IP-DSLAM逐渐成为当前宽带接入的主流方式,BRAS设备位置下移直连DSLAM设备也逐渐成为宽带网络建设中主要的实施方案,这样能够利用BRAS设备每个IP接入端口能够单独支持4kVLAN的特性,为每个接入的宽带用户分配不同的VLAN标志,实现了用户上网账号同VLAN唯一性绑定,避免账号公用和盗用问题。用户间通过VLAN或PVC隔离也可有效地解决二层接入网络广播风暴问题。
[1] [2]
VLAN绑定解决方案对IP-DSLAM和BRAS设备提出了性能上的要求。首先要求IP-DSLAM集成度比较高,这样能够最大限度地节省直连BRAS的端口资源;同时IP-DSLAM设备要求支持较多的VLAN数量,以保证每个用户都能够唯一地分配一个VLANID。另一方面,要求BRAS设备端口密度也比较高,保证尽量多地直连下面的DSLAM设备,节省投资。
(出处:http://www.sheup.com)
[1] [2]