宽带接入网络的安全

发布: 2012-10-18 06:29 | 作者: 王德强中兴通讯上海� | 来源: | 字体: 小中大

相关专题：中兴通讯无线芯片

摘要：本文讨论了在宽带接入环境下，接入设备、接入网络面临的各种安全威胁，以及针对这些安全问题业界提出的各种解决方案，并且对接入网未来的安全研究做了一点展望。

关键词：宽带接入，安全，宽带接入服务器，接入节点，DSL接入复用器

Abstract: This paper describes variant security threats to broadband access network. Different solutions to these threats are brought forward and weighted. Meanwhile, a prospect of research on broadband access network research is made.

Keyword: Broadband access, Security, BRAS, AN, DSLAM

最近10年，宽带接入网络在全球蓬勃发展，越来越多的个人用户和企业用户通过宽带接入连接到了Internet。同时，用户的上网体验越来越细腻，他们不再满足于接入能力、畅通无阻的高带宽，而逐渐对服务的质量提出了更高的要求。在服务质量中，一个重要的、不能忽视的课题就是安全保证。

1 宽带接入安全性问题

接入网络的蓬勃发展带来了成倍的用户，但是也使得网络遭受安全攻击的可能性大大增加。特别是引入以太网技术、IP技术后，接入网安全性问题日益凸现，监听他人信息，盗取业务（Theft of Service），甚至造成他人遭受拒绝服务（Denial of Service）攻击[3]等安全性问题时有发生。提供'电信运营级'的接入网络，为用户提供安全的接入服务，检测非法业务，保证网络设备正常运行，就成为设备商和运营商共同关注的问题。

　　宽带接入技术呈现多样化趋势，包括xDSL、HFC、xPON和Wimax无线接入等等，他们大致都具有下面的网络架构[1]：

图 1 宽带接入网络的架构

包括以下几个组成部分：

1．用户自组网络 Customer Prem. Net。xDSL是当前最普遍的用户接入方式。

2．接入节点 AN（Access Node）。完成用户线缆的物理终结，或者无线信道的终结。AN最靠近用户，是安全防护的第一道门栏。在接入网安全中，AN占有重要的地位。

3．以太网汇聚网络 Ethernet Aggregation Network。它进一步对汇聚数据，同时也肩负网络内部数据交换的任务。

4．宽带网络网关 Broadband Network Geteway ，它包括很多功能：终结以太层及其对应的封装、用户认证（结合认证服务器）、用户端自动配置、QoS业务保证、默认网关等等。

接入节点、以太汇聚网络和宽带网络网关属于运营商所有，这些设备或者网络对运营商而言都是可信的。用户自组网络归用户自己所有和使用，用户自主网路对运营商是不可信的。有时安全问题产生于信任域内，但是安全威胁大都来自不信任网络内恶意用户或者程序的攻击。归纳起来，当前，接入网络中主要有下面的一些安全问题：

1．非法用户的接入

2．非法报文和恶意报文发送

3． MAC/IP地址欺骗，冒用MAC地址或者IP地址，偷取他人的业务服务或者造成DoS攻击

下面本文依次对上述问题以及其对应的解决方案展开论述。

2 非法用户接入

非法用户接入性质严重，直接损害运营商的运营收益。如果不对用户进行识别和认证，那么非法用户接入就会大量存在。

用户识别与认证技术已经非常的成熟，比如PPPoE、DHCP+Web和802.1x等已经被普遍使用。业界当前普遍关注的问题是：对用户端口（也称为用户线路）的识别。如果认证服务器只是通过用户名来识别用户，那么用户可以把自己的用户名和密码共享给其他用户，其他用户也能上网，这是运营商不希望看到的。

过去在PPPoA为主要接入方式时，用户VC在BRAS上终结，因此，用户的端口信息直接就可以在BRAS上获取。现在，PPPoE和IPoA是主要的接入方式。这两种接入方式下，没有办法让BRAS直接获取端口信息。当前，有多种用户端口（或者用户线路）识别方案被提出来：

* DHCP option82 DHCP Option82（RFC3046）在DHCP（RFC2131）的基础上，对DHCP协议流程进行了扩充。AN需要截获DHCP上下行协议报文，扮演2层DHCP Relay Agent的角色。上行方向，将端口信息插入到option82字段中；下行方向，剥离此字段信息（可选）。下图为协议交互图：

图 2 DHCP Option82协议交互图

* PPPoE+ 又称为PPPoE Intermediate Agent，和DHCP option82类似，它对PPPoE协议报文进行了扩充。AN截获PPPoE搜索阶段的协议报文，上行插入端口信息。下图为其协议交互图：

图 3 PPPoE+协议交互图

* VBAS 和PPPoE+略有不同，VBAS修改PPPoE的流程，在用户与BRAS协议交互中，插入BRAS与AN的交互，获取端口信息。协议交互图如下：

图 4 VBAS协议交互图

* VLAN Stacking 也就是双Tag，使用内层VLAN来唯一标识用户端口信息。

* VMAC 该方法对每个用户数据报文的源MAC地址按照特定规则进行翻译，翻译后的MAC地址包含了用户端口信息。这样BRAS在PPPoE协议交互时，就可以直接从源MAC地址信息中获取到用户端口信息。

各种实现方式的优缺点如下：

表格 1 端口识别技术优缺点对比

3 非法报文和过量报文

上行方向，因为用户自组网络不受控，如果恶意用户构造非法协议报文，向上发送，就会导致网络设备处理性能下降，有时还造成网络设备系统紊乱，甚至死机。如果恶意用户过量地上行发送协议、广播报文，无论是合法还是非法，都会造成系统设备性能明显下降，因为协议、广播等报文的处理非常消耗设备资源。

下行方向，尽管处于可控的网络域内，但是因为设备自身稳定性问题，以及网络复杂性问题，也可能会出现非法或者过量报文发送，也需要进行防范。

归纳起来，非法报文包括：

1. 非法源MAC地址报文。源MAC地址不能是广播或者组播地址；有些MAC地址已经被标准组织所预留，不能被普通用户使用。

2. 非法协议报文。从理论上分析，IGMP协议上行方向不可能有Query报文，下行方向不可能有Report/Leave/Join报文；DHCP协议上行不可能出现Offer/Ack报文，下行不可能出现Discover/Request；PPPoE协议上行不会有PADO和PADS报文，下行不会有PADI和PADR报文；路由协议报文等。根据需要，对这些报文都可以拦截过滤。

3. 超长报文、超短报文或者校验错报文。低于64字节的报文或者大于1518字节的报文。特定情况下，超长报文（jumbo frame）是允许的。

过量报文类型一般分成以下几类：

1. 过量的协议报文

2. 过量的广播报文

3. 过量的组播报文

4. 过量不同源MAC地址的报文

前面三种过量报文类型会大量吞噬设备处理资源，第四种会占用交换芯片有限的MAC地址表资源，都需要进行控制。

前三种过量报文的处理步骤一般如下：

1. 匹配特定类型的报文特征是：特定的协议报文、广播报文（或者某种更具体特征的广播报文）、组播报文（或者某种更具体特征的组播报文）

2. 统计此类报文的发送速率

3. 如果发送速率超过预定义的速率，抛弃报文

处理过量协议、广播和组播报文的技术又称为报文抑制。

解决过量源MAC地址问题比较简单：可设定用户侧端口学习MAC地址个数的上限。这样，一旦端口达到预定义的MAC地址个数，后续带有新MAC地址的报文一律被丢弃。

4 MAC/IP地址欺骗

MAC/IP地址欺骗是非常严重的安全威胁。

MAC地址欺骗的本质是会出现重复的MAC地址，造成交换芯片MAC学习迁移，部分用户无法上网。MAC地址欺骗可以分成下面两种类型：

1．用户的MAC地址欺骗；

2．上游网络业务服务器（如BRAS，DHCP Server/Relay，默认网关等）的MAC地址欺骗；

以太网中MAC地址信息基本是公开的，通过扫描工具，用户也可以较容易地获取其它用户的MAC地址信息。如果相同的MAC地址出现在设备的不同用户端口上，就会造成MAC地址学习发生紊乱，导致用户无法上网。

为了增强安全性，在接入网络，一般要求在AN处实现用户端口隔离：在同一个VLAN下的用户之间相互不能通信，而只能和上行汇聚口互通。用户端口隔离可以通过PVLAN（Private VLAN）技术来实现。

图 5 PVLAN

假定PortA、PortB到PortF都属于一个VLAN，PortA是上联口。如果设置为PVLAN，那么上行，用户口只能和PortA互通；下行PortA可以和PortB到PortF用户端口相通。

不是所有的交换芯片都支持PVLAN的功能，即使支持PVLAN的功能，也有可能因为设备MAC地址设置不当造成MAC地址重复问题，或者用户通过其他渠道获得其他用户的MAC（比如'暴力'MAC尝试）。PVLAN技术本身不足以完全解决用户侧MAC地址欺骗问题。解决用户侧MAC地址欺骗，存在不同的解决方法，优缺点各不相同：

1. VMAC 在AN处，上行方向，给每个<物理端口, MAC>分配或者生成一个独一无二的虚拟MAC（Virtual MAC，简称VMAC）地址。被解释以后的MAC地址因为是设备自己产生的，因此是可信的，而且确保不会出现用户侧MAC地址重复的现象。使用VMAC地址代替报文的源MAC地址。下行方向，根据VMAC查找到对应的原始的MAC地址，然后使用原始MAC地址代替VMAC地址。VMAC不仅仅可用来防止用户MAC地址欺骗，还可防止对业务服务器MAC地址的欺骗，并且也可以用于用户端口识别。缺点是影响与MAC地址相关的协议，处理复杂。

2. MAC地址绑定将MAC地址静态绑定到用户端口，如果数据报文的源MAC地址和绑定的MAC地址不同，那么被丢弃。此方法非常简单，但存在管理难的问题。

3. 基于PPPoE Session感知的数据报文转发应用于PPPoE接入环境。每个用户都对应独一的PPPoE_SessionID。我们可以在AN上记录一张的表，上行直接汇聚，下行可以查看该表来进行数据转发。这样，数据报文的转发完全可以不使用MAC地址，也就不需要学习，从而也就不存在MAC地址重复问题。

4. 基于IP感知的数据报文转发应用于IPoE的接入环境。在AN上，建立一张表，因为IP是唯一的，所以不会存在IP重复的现象，数据报文下行转发没有问题。和基于PPPoE Session的数据报文转发一样，AN上也不需要MAC学习。

利用PPPoE Session或者IP感知的方式和传统的二层交换机的转发机制已经有质的不同，一般的交换芯片难以实现。他们的优点是，不用修改数据报文，不会影响其它协议。

业务服务器的MAC地址欺骗将会使得网络设备的业务服务器MAC地址学习发生迁移，从而造成设备下的部分用户无法上网。业务服务器MAC地址防欺骗可以使用下面的技术来解决：

1. VMAC 使用VMAC可以解决在各种接入环境下的业务服务器MAC欺骗。

2. 业务服务器MAC地址静态配置手动将业务服务器的MAC配置到AN交换芯片的静态MAC地址表上，这样业务服务器MAC地址学习就不会发生迁移。

3. 业务服务器MAC地址自动配置基本思想是，让AN充当PPPoE或者DHCP客户端，定期发起PPPoE或者DHCP请求，这样就可以动态的获取BRAS和DHCP Server/Relay的MAC地址。其优点非常明显：利用现有的协议，不用手动配置，不修改数据报文，不影响其它协议。

IP欺骗存在于IPoE接入场景下，冒用他人IP地址，盗取服务，或者没有通过DHCP获得配置信息的情况下接入网络，妨碍了运营商的统一管理。解决这个问题需要在AN上实现DHCP IP Source Guard。它监听来往于用户和DHCP Server/Relay的协议报文，在用户没有获取配置信息以前，除了DHCP协议报文，其他上行报文统统抛弃。一旦监听到DHCP Ack报文，就绑定<分配的IP, 用户MAC>到用户端口，使能上行数据报文的发送，同时保证上行数据报文的和绑定的<分配的IP, 用户MAC>一致。在DHCP租用到期后，取消这种捆绑，并且停止上行非DHCP协议报文的发送。

5 中兴宽带接入设备的安全功能及特点

经过多年的积累，中兴通讯的宽带接入设备已经在国际国内大规模使用。面对各种不同的安全要求场景，中兴通讯的宽带接入设备都经受住了各种各样的考验。

前面描述的技术问题，是目前业界比较关注的问题。除了提供对这些问题的解决方法外，中兴通信宽带接入设备还支持很多其他重要的安全功能。具体如下：

1. 用户标识功能（也就是前面说的非法用户接入）

* DHCP Option82

* PPPoE+

* VBAS

* VLAN Stacking

2. 认证

* 802.1x

* Radius client

3. MAC/IP地址欺骗

* MAC地址绑定，通过绑定MAC地址来防止MAC地址欺骗。

* IP地址绑定，通过绑定IP地址来防止IP地址欺骗。

* MAC地址个数限制，限制MAC地址个数可以减少MAC地址欺骗的可能性。

* IP地址个数限制，限制IP地址个数可以减少IP地址欺骗的可能性。

* DHCP Snooping Guard，动态绑定IP/MAC地址到端口。

4. 过量和非法报文

* 广播报文抑制/组播报文抑制/未知单播报文抑制

* 数据流限速

* 非法协议报文过滤，PPPoE非法协议报文过滤和IGMP非法协议过滤

* 未知组播报文过滤

5. 组播安全

* IGMP协议报文抑制，基于端口和基于VLAN。

* 用户端口组播组过滤，用户端口组播组个数限制

* 组播组个数限制

* 组播VLAN，其他VLAN不跑组播业务

6. 高层协议安全

* SNMP v3

* SSHv2

* 路由协议认证，包括RIP/OSPF/IS-IS/BGP的各种认证

7. 其他

* ACL，强大的L2到L7多层次报文识别功能。

* PVLAN

* 网管IP地址限制，只有特定的IP地址才能SNMP访问设备。

* Telnet IP地址限制，只有特定的IP地址才能Telnet访问设备。

* 多级用户权限和口令保护

6 结束语

对于接入网络的商业应用，安全是一个重要的不容回避的问题，安全也是一个随着时间动态变化的课题。不仅运营商高度重视安全问题，包括中兴通讯在内的网络设备提供商对安全问题也是异常重视，中兴通讯提供的DSLAM设备提供了接入层次的强大的安全解决方案。

参考文献：

[1] http://www.dslforum.org/ftparchive/Working_Texts/WT-101v11.doc, 2006

[2] http://www.greatbit.com/.

[3] James Pike. 《Cisco 网络安全》, 北京：清华大学出版社, 2004-09.

作者：王德强中兴通讯上海研究所，上海 201203 来源：C114 (中国通信网)

←←微信扫描二维码，即可将本文分享到朋友圈
版权申明：部分文章转载或来源于投稿，不代表本站赞同其观点，如有异议，请联系我们。
上篇文章：新型宽带无线接入系统研发进展
下篇文章：几种宽带无线接入技术的比较
中兴通讯无线芯片

扫码关注5G通信官方公众号,免费领取以下5G精品资料

1、回复“YD5GAI”免费领取《中国移动：5G网络AI应用典型场景技术解决方案白皮书》

2、回复“5G6G”免费领取《5G_6G毫米波测试技术白皮书-2022_03-21》

3、回复“YD6G”免费领取《中国移动：6G至简无线接入网白皮书》

4、回复“LTBPS”免费领取《《中国联通5G终端白皮书》》

5、回复“ZGDX”免费领取《中国电信5GNTN技术白皮书》

6、回复“TXSB”免费领取《通信设备安装工程施工工艺图解》

7、回复“YDSL”免费领取《中国移动算力并网白皮书》

8、回复“5GX3”免费领取《R1623501-g605G的系统架构1》

本周热点本月热点

最热通信招聘

业界最新资讯

123

宽带接入网络的安全

最热通信招聘

业界最新资讯

每日5G科技快讯|设备商索赔6.805亿；三星史无前例大裁员；中兴否认在德国起诉联想；英特尔离职员工转投英伟达；知名大厂4.5亿…

韩国SKT：电信网络演进范式须改变 6G将成为下一代AI基础设施

爱立信携手中国移动部署基带节能解决方案

最新招聘信息

最新技术文章

最新论坛贴子