用戶安全問題是目前寬帶網絡開展業務時遇到的主要問題,具體表現為用戶賬號的非法共享(漫游)、用戶賬號的盜用以及對一些非法用戶的追蹤困難等問題。用戶通過申請一個寬帶上網賬號,非法共享給其他人,使得多人能夠同時上網,造成電信運營商業務收入的流失;同時因為賬號可以漫游,也造成對非法用戶(如在網上發表非法言論或故意破壞網絡安全者)的定位和追蹤困難。也有一些用戶通過盜取其他用戶的上網賬號,由於當前寬帶網絡的業務開展和計費等服務都是基於賬號提供的,這樣就帶來了用戶與運營商在上網和業務等費用上的糾紛,降低了整個寬帶網絡用戶的客戶滿意度。
出現用戶賬號非法共享(漫游)和盜用以及非法用戶追蹤困難的原因,主要是因為電信運營商沒有對寬帶用戶賬號安全提供限制和可靠的保護,其根本原因則是由於當前城域網VLAN資源不足,無法形成對寬帶用戶的唯一的標志。
目前整個寬帶網絡的認證和計費系統主要由BRAS設備和RadiusServer設備來共同完成,基於當前的城域網,因為VLAN資源不足致使多個用戶共用一個VLAN的網絡現狀,可以直接在BRAS和RadiusServer設備上利用現有技術或者開發新的應用技術達到對用戶賬號的安全限制和保護,包括MAC地址同賬號綁定以及根據目前網絡現狀開發的PITP協議、PPPoE+協議、DHCPOption82等技術。當然,這些方式雖然可以解決用戶唯一標志問題,但無法形成對部分寬帶業務的支撐;因此,要在解決用戶安全問題的同時立足於滿足未來寬帶業務的發展,,最根本的解決方案是通過對城域網網絡結構進行優化和改造,保證每個用戶分配一個VLAN或PVC從而實現用戶的隔離,並在BRAS和RadiusServer上實現用戶賬號與VLAN或者PVC一一對應。
一、MAC地址綁定解決方案
世界上每個以太網卡具有唯一的MAC地址,用以區別不同的以太網用戶。
基於PPP撥號方式的標准性、安全性和可擴展性,目前國內超過80%個人寬帶用戶都是采用PPPoE撥號方式、xDSL終端配置成純橋接模式連接到寬帶網絡。因此,電信運營商可以在RadiusServer上將用戶上網計算機的MAC地址同用戶上網賬號進行唯一性綁定,從而限制上網賬號的唯一使用性。用戶在進行PPPoE撥號連接的時候,BRAS設備獲取用戶的上網賬號以及上網計算機的MAC地址,然後通過標准Radius協議將用戶賬號和MAC上報給RadiusServer,由Radiusserver完成賬號和MAC地址一一對應的判別工作。由於MAC地址的唯一性,用戶無法進行賬號的非法共享或漫游,同時盜用的上網賬號也無法使用。
MAC地址綁定解決方案的優點在於:簡單方便,無須改造現有網絡結構和DSLAM設備,只要BRAS設備能根據標准Radius協議上報用戶賬號和用戶計算機MAC地址給RadiusServer,這一點目前的BRAS設備都能夠做到。
MAC地址綁定解決方案的缺點則在於:Radiusserver端的維護工作量很大,需要經常維護龐大的用戶MAC地址表;而且一旦用戶更換電腦或者更換網卡都必須在Radiusserver上進行重新綁定,帶來額外的工作量和用戶投訴;同時對多個用戶共用一個VLAN上行的組網模式,二層接入網絡的用戶安全隔離和廣播報文控制也需要額外的解決方案。
二、PITP、PPPoE+擴展協議解決方案
PITP(PolicyInformationTransmissionProto
