宽带接入网络的安全.doc

works2006-10-12作者:王德强摘要:宽带接入网络的技术发展迅速,其应用也越来越广泛,但是安全问题也伴随着它的发展成为大家越来越关心的问题。在接入网环境下,用户、接入设备和网络都面临着各种威胁,特别是来自用户侧的威胁。针对当前网络中出现的问题,可以采用端口定位、媒体访问控制(MAC)地址防欺骗、非法业务监测等技术和方案加以解决。关键字:宽带接入;安全;宽带接入远程服务;接入节点;DSL接入复用器英文摘要:worktechnologyisgrowingbrisklyandbroadband-,users,worksareconfrontedwithallkindsofthreatsandchallenges,especiallythosefromusers’,whichincludeportpositioning,anti-essControl(MAC)addressandmonitoringofillegalservices英文关键字:ess;security;essservice;accesspoint;essmultiplexer最近10年,宽带接入网络在全球蓬勃发展,。同时,用户对网络性能的要求也越来越高,他们不再满足于畅通无阻的高带宽接入能力,逐渐对服务的质量提出了更高的要求。在服务质量(QoS)中,一个重要的不能忽视的指标就是安全保证。1宽带接入安全性问题宽带接入网络的快速发展使得宽带用户数成倍增加,但是也使得网络遭受安全攻击的可能性大大增加。特别是引入以太网技术、IP技术后,接入网安全性问题日益凸现。因为以太网络是共享式的网络,它的优点和缺点均很明显。当前网络上很多黑客工具可以用来在以太网上兴风作浪:监听他人信息、盗取业务、发起拒绝服务(DOS)攻击[1],造成网络设备瘫痪。IP网络因为历史原因,最初在安全性方面的设计考虑不多。IP网络上的业务大都通过智能终端来完成,处于运营商控制范围内的中间设备主要的功能就是交换,运营商对业务很难控制,这就为恶意用户提供了开展破坏活动的空间。为提供“电信运营级”的接入网络,为用户提供安全的接入服务,检测非法业务,保证网络设备正常运行,目前是设备提供商和电信运营商共同关注的问题[2-3]。目前,宽带接入技术呈现多样化趋势,包括数字用户线(DSL)、混合光纤/同轴电缆(HFC)、无源光网络(PON)和WiMax无线接入等,他们都具有如图1所示的网络架构:宽带接入网络的架构包括以下几个组成部分:(1)用户自组网络用户自组网络是以家庭网关为核心组成的局部网络,这个网络物理上归属于用户。DSL是当前最普遍的用户接入方式。(2)接入节点接入节点完成用户线缆的物理终结,或者无线信道的终结,实现用户数据的汇聚,满足高密度、多形式的接入。接入节点最靠近用户,是运营商网络的边缘,是安全防护的第一道门槛。在接入网安全问题中,接入节点处于重要的地位。(3)以太网汇聚网络因为性价比突出,以太网受到运营商的青睐。进一步,以太网同时也肩负汇聚数据和网络内部数据交换的任务。(4)宽带网络网关宽带网络网关包括很多功能:终结以太层及其对应的封装、用户认证(结合认证服务器)、用户端自动配置、QoS业务保证等。物理上,宽带网络网关可以是一个设备,也可以是多个设备,执行宽带接入远程服务器、动态主机配置协议(DHCP)服务器(或DHCP中继器)和路由器的功能。接入节点、以太汇聚网络和宽带网络网关属于运营商所有,这些设备或者网络对运营商而言都是可信的。用户自组网络归用户自己所有和使用。对运营商而言,用户自组网络是不可信的。安全威胁大都来自不可信网络内恶意用户或者程序的攻击。当然,有时安全问题也产生于可信任域内,比如因为设备不稳定等原因产生的安全问题。但安全问题主要还是来自不可信域对可信任域的安全威胁。归纳起来,接入网络中主要有下面的一些安全问题:(1)非法用户的接入。(2)非法报文和恶意报文发送。(3)通过媒体访问控制(MAC)/IP地址欺骗,如冒用MAC地址或者IP地址,偷取他人的业务服务或者造成DOS攻击。(4)非法业务,如开展非法的IP语音(VoIP)业务、私拉乱接用户等。下面依次对上述问题以及与其相对应的解决方案展开论述。2非法用户接入非法用户接入性质严重,直接影响运营商的运营收益。如果不对用户进行识别和认证,那么非法用户接入就会大量存在。用户识别与认证技术已经非常的成熟,基于以太网的点到点协议(PPPoE)、DHCP+。当前,业界关注的问题是:对用户端口(也称为用户线路)的识别。在零