寬帶接入網(wǎng)絡的安全

摘要：寬帶接入網(wǎng)絡的技術(shù)發(fā)展迅速，其應用也越來越廣泛，但是安全問題也伴隨著它的發(fā)展成為大家越來越關(guān)心的問題。在接入網(wǎng)環(huán)境下，用戶、接入設備和網(wǎng)絡都面臨著各種威脅，特別是來自用戶側(cè)的威脅。針對當前網(wǎng)絡中出現(xiàn)的問題，可以采用端口定位、媒體訪問控制(MAC)地址防欺騙、非法業(yè)務監(jiān)測等技術(shù)和方案加以解決。

關(guān)鍵詞：寬帶接入；安全；寬帶接入遠程服務；接入節(jié)點；DSL接入復用器

Abstract: The broadband access security is receiving increasing attention as the broadband access network technology is growing briskly and broadband-enabled applications become more extensive. In an open access scenario， users， access equipments and networks are confronted with all kinds of threats and challenges， especially those from users’ ends. Preventive measures and solutions can be taken to unlock such challenges， which include port positioning， anti-spoofing of Media Access Control (MAC) address and monitoring of illegal services

Key words:broadband access; security; broadband remote access service; access point; DSL access multiplexer

最近10年，寬帶接入網(wǎng)絡在全球蓬勃發(fā)展，越來越多的個人用戶和企業(yè)用戶通過寬帶接入到Internet。同時，用戶對網(wǎng)絡性能的要求也越來越高，他們不再滿足于暢通無阻的高帶寬接入能力，逐漸對服務的質(zhì)量提出了更高的要求。在服務質(zhì)量(QoS)中，一個重要的不能忽視的指標就是安全保證。

1 寬帶接入安全性問題

寬帶接入網(wǎng)絡的快速發(fā)展使得寬帶用戶數(shù)成倍增加，但是也使得網(wǎng)絡遭受安全攻擊的可能性大大增加。特別是引入以太網(wǎng)技術(shù)、IP技術(shù)后，接入網(wǎng)安全性問題日益凸現(xiàn)。因為以太網(wǎng)絡是共享式的網(wǎng)絡，它的優(yōu)點和缺點均很明顯。當前網(wǎng)絡上很多黑客工具可以用來在以太網(wǎng)上興風作浪：監(jiān)聽他人信息、盜取業(yè)務、發(fā)起拒絕服務(DOS)攻擊^[1]，造成網(wǎng)絡設備癱瘓。IP網(wǎng)絡因為歷史原因，最初在安全性方面的設計考慮不多。IP網(wǎng)絡上的業(yè)務大都通過智能終端來完成，處于運營商控制范圍內(nèi)的中間設備主要的功能就是交換，運營商對業(yè)務很難控制，這就為惡意用戶提供了開展破壞活動的空間。

為提供“電信運營級”的接入網(wǎng)絡，為用戶提供安全的接入服務，檢測非法業(yè)務，保證網(wǎng)絡設備正常運行，目前是設備提供商和電信運營商共同關(guān)注的問題^[2-3]。

目前，寬帶接入技術(shù)呈現(xiàn)多樣化趨勢，包括數(shù)字用戶線(DSL)、混合光纖/同軸電纜(HFC)、無源光網(wǎng)絡(PON)和WiMax無線接入等，他們都具有如圖1所示的網(wǎng)絡架構(gòu)：

寬帶接入網(wǎng)絡的架構(gòu)包括以下幾個組成部分：

(1)用戶自組網(wǎng)絡

用戶自組網(wǎng)絡是以家庭網(wǎng)關(guān)為核心組成的局部網(wǎng)絡，這個網(wǎng)絡物理上歸屬于用戶。DSL是當前最普遍的用戶接入方式。

(2)接入節(jié)點

接入節(jié)點完成用戶線纜的物理終結(jié)，或者無線信道的終結(jié)，實現(xiàn)用戶數(shù)據(jù)的匯聚，滿足高密度、多形式的接入。接入節(jié)點最靠近用戶，是運營商網(wǎng)絡的邊緣，是安全防護的第一道門檻。在接入網(wǎng)安全問題中，接入節(jié)點處于重要的地位。

(3)以太網(wǎng)匯聚網(wǎng)絡

因為性價比突出，以太網(wǎng)受到運營商的青睞。進一步，以太網(wǎng)同時也肩負匯聚數(shù)據(jù)和網(wǎng)絡內(nèi)部數(shù)據(jù)交換的任務。

(4)寬帶網(wǎng)絡網(wǎng)關(guān)

寬帶網(wǎng)絡網(wǎng)關(guān)包括很多功能：終結(jié)以太層及其對應的封裝、用戶認證(結(jié)合認證服務器)、用戶端自動配置、QoS業(yè)務保證等。物理上，寬帶網(wǎng)絡網(wǎng)關(guān)可以是一個設備，也可以是多個設備，執(zhí)行寬帶接入遠程服務器、動態(tài)主機配置協(xié)議(DHCP)服務器(或DHCP中繼器)和路由器的功能。

接入節(jié)點、以太匯聚網(wǎng)絡和寬帶網(wǎng)絡網(wǎng)關(guān)屬于運營商所有，這些設備或者網(wǎng)絡對運營商而言都是可信的。用戶自組網(wǎng)絡歸用戶自己所有和使用。對運營商而言，用戶自組網(wǎng)絡是不可信的。安全威脅大都來自不可信網(wǎng)絡內(nèi)惡意用戶或者程序的攻擊。當然，有時安全問題也產(chǎn)生于可信任域內(nèi)，比如因為設備不穩(wěn)定等原因產(chǎn)生的安全問題。但安全問題主要還是來自不可信域?qū)尚湃斡虻陌踩{。

歸納起來，接入網(wǎng)絡中主要有下面的一些安全問題：

(1)非法用戶的接入。

(2)非法報文和惡意報文發(fā)送。

(3)通過媒體訪問控制(MAC)/IP地址欺騙，如冒用MAC地址或者IP地址，偷取他人的業(yè)務服務或者造成DOS攻擊。

(4)非法業(yè)務，如開展非法的IP語音(VoIP)業(yè)務、私拉亂接用戶等。

下面依次對上述問題以及與其相對應的解決方案展開論述。

2 非法用戶接入

非法用戶接入性質(zhì)嚴重，直接影響運營商的運營收益。如果不對用戶進行識別和認證，那么非法用戶接入就會大量存在。

用戶識別與認證技術(shù)已經(jīng)非常的成熟，基于以太網(wǎng)的點到點協(xié)議(PPPoE)、DHCP+Web和802.1x協(xié)議等已經(jīng)被普遍使用。當前，業(yè)界關(guān)注的問題是：對用戶端口(也稱為用戶線路)的識別。在零售模式下，每個用戶在接入節(jié)點處都有一個邏輯端口，有線環(huán)境下是硬端口，無線環(huán)境下是一個軟端口。如果認證服務器只是通過用戶名來識別用戶，那么用戶可以把自己的用戶名和密碼共享給其他用戶，其他用戶也能通過這一邏輯端口上網(wǎng)，這是運營商不希望看到的，會造成運營商的運營收入的減少。

在基于ATM的點到點協(xié)議(PPPoA)為主要接入方式時，用戶虛通道(VC)在寬帶接入遠程服務器(BRAS)上終結(jié)，因此，用戶的端口信息直接就可以在BRAS上獲取?，F(xiàn)在，PPPoE和IPoA是主要的接入方式。在這兩種接入方式下，物理上，用戶線路在接入節(jié)點處就被終結(jié)；VC信息要么在接入節(jié)點處終結(jié)，要么根本沒有，因此BRAS沒有辦法直接獲取用戶的端口信息。所以，必須有一套有效的機制能夠?qū)⒔尤牍?jié)點處的用戶端口信息傳遞給BRAS。當前，有多種用戶端口(或者用戶線路)識別方案被提出來：

(1)DHCP option82協(xié)議

DHCP Option82(RFC3046)協(xié)議在DHCP(RFC2131)的基礎上，對協(xié)議流程進行了擴充。接入節(jié)點需要截獲DHCP上下行協(xié)議報文，扮演二層DHCP中繼代理的角色。上行方向，將端口信息(也就是uPortID)插入到協(xié)議的Option82字段中；下行方向，剝離此字段信息(可選)。圖2為協(xié)議交互示意圖。

(2)PPPoE+協(xié)議

PPPoE+協(xié)議又稱為PPPoE中間代理。和DHCP Option82類似，它對PPPoE協(xié)議報文進行了擴充。接入節(jié)點截獲PPPoE搜索階段的協(xié)議報文，在上行方向插入端口信息。圖3為PPPoE+協(xié)議交互示意圖。

(3)VBAS協(xié)議

VBAS協(xié)議和PPPoE+略有不同，VBAS協(xié)議修改PPPoE的流程，在用戶與BRAS協(xié)議交互中，插入BRAS與接入節(jié)點的交互，獲取端口信息。圖4為VBAS協(xié)議交互示意圖。

(4)虛擬局域網(wǎng)棧

虛擬局域網(wǎng)棧(VLAN Stacking)采用雙標簽(Tag)，使用內(nèi)層VLAN來唯一標識用戶端口信息。

(5)虛擬MAC

虛擬媒體訪問控制(VMAC)對每個用戶數(shù)據(jù)報文的源MAC地址按照特定規(guī)則進行翻譯，翻譯后的MAC地址包含了用戶端口信息。這樣BRAS在PPPoE協(xié)議交互時，就可以直接從源MAC地址信息中獲取用戶端口信息。

各種用戶端口識別方案的優(yōu)缺點如表1所示。

3 非法報文和過量報文

上行方向，因為用戶自組網(wǎng)絡不受控，惡意用戶或者惡意程序就可構(gòu)造非法協(xié)議報文，向上發(fā)送，這不僅會導致網(wǎng)絡設備處理性能下降，有時還造成網(wǎng)絡設備系統(tǒng)紊亂甚至死機。另外，如果惡意用戶或者程序過量地上行發(fā)送協(xié)議、廣播報文，無論是合法還是非法，同樣會造成系統(tǒng)設備性能明顯下降，因為協(xié)議、廣播等報文的處理非常消耗設備資源。

下行方向，盡管處于可控的網(wǎng)絡域內(nèi)，但是因為設備自身穩(wěn)定性問題，以及網(wǎng)絡復雜性問題，也可能會出現(xiàn)非法或者過量報文發(fā)送，也需要進行防范。

非法報文包括：

(1)非法源MAC地址報文。源MAC地址不能是廣播或者組播地址，因為有些MAC地址已經(jīng)被標準組織所預留，不能被普通用戶使用。

(2)非法協(xié)議報文。從理論上分析，互聯(lián)網(wǎng)組管理協(xié)議(IGMP)上行方向不可能有詢問(Query)報文，下行方向不可能有報告/離開/加入(Report/Leave/Join)報文；DHCP協(xié)議上行不可能出現(xiàn)提供/確認(OFFER/ACK)報文，下行不可能出現(xiàn)發(fā)現(xiàn)/請求(DISCOVER/REQUEST)報文；PPPoE協(xié)議上行不會有PADO和PADS報文，下行不會有PADI和PADR報文。根據(jù)需要，對這些報文都要攔截過濾。

(3)超長報文、超短報文或者校驗錯報文，如低于64字節(jié)的報文或者大于1 518字節(jié)的報文。特定情況下，超長報文是允許的。

對于非法報文，一般的技術(shù)是使用過濾器來過濾丟棄這些報文。過濾器的基本原理是，根據(jù)用戶定義的被過濾數(shù)據(jù)報文的特征，匹配數(shù)據(jù)報文。如果符合預定義的特征，那么過濾掉該報文。當前的交換芯片大都具備報文特征提取和匹配功能，可以完成數(shù)據(jù)鏈路層、網(wǎng)絡層甚至更高層數(shù)據(jù)報文特征信息的提取和匹配。

過量報文類型一般分成以下幾類：

●過量的協(xié)議報文

●過量的廣播報文

●過量的組播報文

●過量不同源MAC地址的報文

前面3種過量報文會大量吞噬設備處理資源，第4種會占用交換芯片有限的MAC地址表資源，都需要進行控制。

前3種過量報文的處理步驟為：匹配特定類型的報文，特征是：特定的協(xié)議報文、廣播報文(或者某種更具體特征的廣播報文)、組播報文(或者某種更具體特征的組播報文)；統(tǒng)計此類報文的發(fā)送速率；如果發(fā)送速率超過預定義的速率，拋棄報文。

處理過量協(xié)議、廣播和組播報文的技術(shù)又被稱為報文抑制。

解決過量源MAC地址問題比較簡單：可設定用戶側(cè)端口MAC地址個數(shù)的上限。這樣，一旦端口達到預定義的MAC地址個數(shù)，后續(xù)帶有新MAC地址的報文一律被丟棄。

非法報文和過量報文的處理在接入網(wǎng)絡的各個層次都需要處理，但是對于接入節(jié)點，因為其在接入網(wǎng)中的位置，上述功能的實現(xiàn)尤其顯得重要。

4 MAC/IP地址欺騙

MAC/IP地址欺騙是非常嚴重的安全威脅。

MAC地址欺騙的本質(zhì)是會出現(xiàn)MAC地址重復，造成交換芯片MAC地址學習遷移，部分用戶無法上網(wǎng)。MAC地址欺騙可以分成下面兩種類型：

(1)用戶的MAC地址欺騙。

(2)上游網(wǎng)絡業(yè)務服務器(如BRAS、DHCP服務器/中繼、默認網(wǎng)關(guān)等)的MAC地址欺騙。

因為以太網(wǎng)自身的特點，MAC地址信息都是公開的，通過掃描工具，用戶可以較容易地獲取其他用戶的MAC地址信息。如果相同的MAC地址出現(xiàn)在設備的不同用戶端口上，就會造成MAC地址學習發(fā)生紊亂，導致用戶無法上網(wǎng)。

為了增強安全性，在接入網(wǎng)絡，一般要求在接入節(jié)點處實現(xiàn)用戶端口隔離：在同一個VLAN下的用戶之間相互不能通信，而只能和上行匯聚端口互通。用戶端口隔離可以通過私有虛擬局域網(wǎng)(PVLAN)技術(shù)來實現(xiàn)。

不是所有的交換芯片都支持PVLAN的功能，即使支持PVLAN的功能，也有可能因為設備MAC地址設置不當造成MAC地址重復問題，或者用戶通過其他渠道獲得其他用戶的MAC(比如“暴力”MAC嘗試)。PVLAN技術(shù)本身不足以完全解決用戶側(cè)MAC地址欺騙問題。解決用戶側(cè)MAC地址欺騙，有如下解決方法：

(1)VMAC 在接入節(jié)點處，在上行方向，給每個<物理端口，MAC>分配或者生成一個獨一無二的VMAC地址。被解釋以后的MAC地址因為是設備自己產(chǎn)生的，因此是可信的，而且確保不會出現(xiàn)用戶側(cè)MAC地址重復的現(xiàn)象。使用VMAC地址代替報文的源MAC地址。下行方向，根據(jù)VMAC查找到對應的原始的MAC地址，然后使用原始MAC地址代替VMAC地址。VMAC不僅僅可用來防止用戶MAC地址欺騙，還可防止對業(yè)務服務器MAC地址的欺騙，并且也可以用于用戶端口識別。缺點是影響與MAC地址相關(guān)的協(xié)議，處理復雜。

(2)MAC地址綁定。將MAC地址靜態(tài)綁定到用戶端口，如果數(shù)據(jù)報文的源MAC地址和綁定的MAC地址不同，則地址被丟棄。此方法雖簡單，但是可用性差。用戶自組網(wǎng)絡的MAC地址千差萬別，而且個數(shù)也不確定，如果采用靜態(tài)綁定，很難管理。

(3)基于PPPoE會話(Session)感知的數(shù)據(jù)報文轉(zhuǎn)發(fā)，應用于PPPoE接入環(huán)境。每個用戶都對應唯一的PPPoE會話標識(SessionID)。可以在接入節(jié)點上記錄一張表，上行直接匯聚，下行可以查看該表來進行數(shù)據(jù)轉(zhuǎn)發(fā)。這樣，數(shù)據(jù)報文的轉(zhuǎn)發(fā)完全可以不使用MAC地址，也就不需要學習，從而也就不存在MAC地址重復問題。

(4)基于IP感知的數(shù)據(jù)報文轉(zhuǎn)發(fā)。應用于IPoE的接入環(huán)境。在接入節(jié)點上，建立一張表，因為IP是唯一的，所以不會存在IP重復的現(xiàn)象，數(shù)據(jù)報文下行轉(zhuǎn)發(fā)沒有問題。和基于PPPoE Session的數(shù)據(jù)報文轉(zhuǎn)發(fā)一樣，接入節(jié)點上也不需要MAC地址學習。

上述3、4兩種處理方法對接入節(jié)點歸屬的VLAN有一定的要求。如果一個接入節(jié)點屬于一個唯一的VLAN，那么只要接入節(jié)點按照上述要求轉(zhuǎn)發(fā)數(shù)據(jù)報文即可。如果多個接入節(jié)點屬于一個VLAN，那么需要保證匯聚這些接入節(jié)點的交換機也要按照上述的要求轉(zhuǎn)發(fā)下行數(shù)據(jù)報文。利用PPPoE Session或者IP感知的方式和傳統(tǒng)的二層交換機的轉(zhuǎn)發(fā)機制有質(zhì)的不同，一般的交換芯片難以實現(xiàn)，而且只解決特定類型接入的MAC地址重復問題。優(yōu)點是不用修改數(shù)據(jù)報文，不會影響其他協(xié)議。

業(yè)務服務器的MAC地址欺騙將會使得網(wǎng)絡設備的業(yè)務服務器MAC地址學習發(fā)生遷移，從而造成設備下的部分用戶無法上網(wǎng)。業(yè)務服務器MAC地址防欺騙可以使用下面的技術(shù)來解決：

(1)VMAC

使用VMAC可以解決各種接入環(huán)境下的業(yè)務服務器MAC欺騙。

(2)業(yè)務服務器MAC地址靜態(tài)配置

手動將業(yè)務服務器的MAC配置到接入節(jié)點交換芯片的靜態(tài)MAC地址表上，這樣業(yè)務服務器MAC地址學習就不會發(fā)生遷移。這個方法雖然簡單，但靈活性和擴充性都很差。

(3)業(yè)務服務器MAC地址自動配置

這是本文提出的一種解決業(yè)務服務器MAC地址欺騙的方法。基本思想是，讓接入節(jié)點充當PPPoE或者DHCP客戶端，定期發(fā)起PPPoE或者DHCP請求，這樣就可以動態(tài)地獲取BRAS和DHCP服務器/中繼的MAC地址。其優(yōu)點非常明顯：可利用現(xiàn)有協(xié)議，不用手動配置，不修改數(shù)據(jù)報文，不影響其他協(xié)議。

IP欺騙存在于IPoE接入場景下，冒用他人IP地址，盜取服務，或者沒有通過DHCP獲得配置信息的情況下接入網(wǎng)絡，妨礙了運營商的統(tǒng)一管理。解決這個問題需要在接入節(jié)點上實現(xiàn)“DHCP IP源警衛(wèi)”，監(jiān)聽來往于用戶和DHCP服務器/中繼的協(xié)議報文，在用戶沒有獲取配置信息以前，除了DHCP協(xié)議報文，其他上行報文統(tǒng)統(tǒng)拋棄。一旦監(jiān)聽到DHCP ACK報文，就綁定<分配的IP，用戶MAC>到用戶端口，使能上行數(shù)據(jù)報文的發(fā)送，同時保證上行數(shù)據(jù)報文的和綁定的<分配的IP，用戶MAC>一致。在DHCP租用到期后，取消這種捆綁，并停止上行非DHCP協(xié)議報文發(fā)送。

5 非法業(yè)務

經(jīng)過多年的接入網(wǎng)絡建設，對于運營商而言，接入帶寬已經(jīng)不是主要的問題。當務之急，一是在現(xiàn)有網(wǎng)絡的基礎上，提供盡可能多的業(yè)務，改變目前僅靠接入和帶寬盈利的模式，改變粗放式的經(jīng)營路線；另一個就是控制目前在已有網(wǎng)絡中存在的非法業(yè)務。

所謂的非法業(yè)務是從運營商的角度來判定的一些目前網(wǎng)絡上存在的部分數(shù)據(jù)服務。非法業(yè)務形式多種多樣，下面僅是其中幾例：

(1)P2P流下載。P2P流下載能大量吞噬寶貴的網(wǎng)絡帶寬，影響用戶上網(wǎng)。

(2)VoIP。VoIP分流運營商已有的公共交換電話網(wǎng)(PSTN)業(yè)務，可能嚴重損害其業(yè)務收益。

(3)用戶側(cè)私拉亂接。寬帶用戶以個人的身份申請業(yè)務，但給企業(yè)或黑網(wǎng)吧使用，或與其他家庭共用寬帶，從而損害運營商的業(yè)務收益。

不同于前面幾節(jié)的安全問題，非法業(yè)務具有非常復雜的業(yè)務特征，不可能通過簡單的特征提取方法來判定某數(shù)據(jù)報文是否屬于非法業(yè)務的報文。為了檢測出某條數(shù)據(jù)流是否是非法業(yè)務，需要對數(shù)據(jù)流進行深度智能分析，依據(jù)預定義的特征信息庫，對數(shù)據(jù)流匹配才能判定。

用戶私拉亂接現(xiàn)象一般發(fā)生在用戶使用具有網(wǎng)絡地址轉(zhuǎn)換(NAT)功能的設備和接入節(jié)點對接情況下，上行數(shù)據(jù)報文從表面看起來好像從一個用戶發(fā)出的一樣。解決這個問題需要收集各種“蛛絲馬跡”：分析傳輸控制協(xié)議(TCP)連接數(shù)量、網(wǎng)絡流量、源TCP端口范圍，這些信息有一定的參考價值；分析MSN、Windows Update能攜帶的一些用戶特定信息；用戶上行數(shù)據(jù)流中，如OS版本、IE版本、用戶的行為習慣等有用的用戶信息。往往需要結(jié)合部分或者全部特征，作出綜合判斷，減少誤判和漏判。

非法VoIP檢測起來具有很大的難度，VoIP軟件數(shù)量眾多。為了穿越防火墻或者NAT，防止被檢測，有些VoIP軟件甚至在特殊端口上啟動私有隧道來承載VoIP相關(guān)數(shù)據(jù)。需要對數(shù)據(jù)報協(xié)議/傳輸控制協(xié)議(UDP/TCP)所有的數(shù)據(jù)流進行監(jiān)控，利用VoIP注冊、呼叫、準入等特征來分析數(shù)據(jù)流。

P2P流容易監(jiān)控，因為流行的P2P軟件數(shù)量有限，這些軟件所發(fā)出的數(shù)據(jù)報文的特征相對容易定義。

非法業(yè)務的檢測可以在接入網(wǎng)絡的各個層次進行。檢測點越往下游偏移，“分布式處理”的特征越強烈，容易在性能上得到提升，但是在價格、檢測點協(xié)作和管理方面相對于集中式檢測來說稍稍略弱一點。

非法業(yè)務的檢測技術(shù)上具有智能化的趨勢。但是回報較高，因為可以為運營商創(chuàng)造更高的附加值。隨著未來各種業(yè)務在寬帶接入網(wǎng)絡的興起，非法業(yè)務檢測將大有用武之地，代表著接入網(wǎng)絡安全研究的一個重要方向。

6 結(jié)束語

對于接入網(wǎng)絡的商業(yè)應用，安全是一個重要的不容回避的問題，也是一個隨著時間動態(tài)變化的課題。不僅運營商高度重視安全問題，網(wǎng)絡設備提供商對安全問題也異常重視，中興通訊提供的DSLAM和BRAS可以解決上述大部分接入網(wǎng)安全問題。

7 參考文獻

[1] PIKE J. Cisco 網(wǎng)絡安全[M]. 北京：清華大學出版社， 2004.

[2] 鮑淑娣， 沈連豐. 寬帶無線接入帶來的機遇與挑戰(zhàn)[J]. 中興通訊技術(shù)，2004，10(3): 36-39.

[3] 周武， 毛雪鴻. 固定寬帶無線接入技術(shù)的發(fā)展[J]. 中興通訊技術(shù)， 2004，10(3): 1-4.

收稿日期：2006-04-18

作 者 簡 介

王德強，南京大學畢業(yè)，博士。中興通訊股份有限公司網(wǎng)絡事業(yè)部系統(tǒng)三部系統(tǒng)工程師，主要從事網(wǎng)絡產(chǎn)品的開發(fā)和技術(shù)研究。已發(fā)表文章10篇，申請發(fā)明專利5項。