用戶安全問(wèn)題是目前寬帶網(wǎng)絡(luò)開(kāi)展業(yè)務(wù)時(shí)碰到的主要問(wèn)題，具體表現(xiàn)為用戶賬號(hào)的非法共享（漫游）、用戶賬號(hào)的盜用以及對(duì)一些非法用戶的追蹤困難等問(wèn)題。用戶通過(guò)申請(qǐng)一個(gè)寬帶上網(wǎng)賬號(hào)，非法共享給其他人，使得多人能夠同時(shí)上網(wǎng)，造成電信運(yùn)營(yíng)商業(yè)務(wù)收入的流失；同時(shí)因?yàn)橘~號(hào)可以漫游，也造成對(duì)非法用戶（如在網(wǎng)上發(fā)表非法言論或故意破壞網(wǎng)絡(luò)安全者）的定位和追蹤困難。也有一些用戶通過(guò)盜取其他用戶的上網(wǎng)賬號(hào)，由于當(dāng)前寬帶網(wǎng)絡(luò)的業(yè)務(wù)開(kāi)展和計(jì)費(fèi)等服務(wù)都是基于賬號(hào)提供的，這樣就帶來(lái)了用戶與運(yùn)營(yíng)商在上網(wǎng)和業(yè)務(wù)等費(fèi)用上的糾紛，降低了整個(gè)寬帶網(wǎng)絡(luò)用戶的客戶滿足度。

出現(xiàn)用戶賬號(hào)非法共享（漫游）和盜用以及非法用戶追蹤困難的原因，主要是因?yàn)殡娦胚\(yùn)營(yíng)商沒(méi)有對(duì)寬帶用戶賬號(hào)安全提供限制和可靠的保護(hù)，其根本原因則是由于當(dāng)前城域網(wǎng)VLAN資源不足，無(wú)法形成對(duì)寬帶用戶的唯一的標(biāo)志。

目前整個(gè)寬帶網(wǎng)絡(luò)的認(rèn)證和計(jì)費(fèi)系統(tǒng)主要由BRAS設(shè)備和RadiusServer設(shè)備來(lái)共同完成，基于當(dāng)前的城域網(wǎng)，因?yàn)閂LAN資源不足致使多個(gè)用戶共用一個(gè)VLAN的網(wǎng)絡(luò)現(xiàn)狀，可以直接在BRAS和RadiusServer設(shè)備上利用現(xiàn)有技術(shù)或者開(kāi)發(fā)新的應(yīng)用技術(shù)達(dá)到對(duì)用戶賬號(hào)的安全限制和保護(hù)，包括MAC地址同賬號(hào)綁定以及根據(jù)目前網(wǎng)絡(luò)現(xiàn)狀開(kāi)發(fā)的PITP協(xié)議、PPPoE＋協(xié)議、DHCPOption82等技術(shù)。當(dāng)然，這些方式雖然可以解決用戶唯一標(biāo)志問(wèn)題，但無(wú)法形成對(duì)部分寬帶業(yè)務(wù)的支撐；因此，要在解決用戶安全問(wèn)題的同時(shí)立足于滿足未來(lái)寬帶業(yè)務(wù)的發(fā)展，最根本的解決方案是通過(guò)對(duì)城域網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行優(yōu)化和改造，保證每個(gè)用戶分配一個(gè)VLAN或PVC從而實(shí)現(xiàn)用戶的隔離，并在BRAS和RadiusServer上實(shí)現(xiàn)用戶賬號(hào)與VLAN或者PVC一一對(duì)應(yīng)。

一、MAC地址綁定解決方案

世界上每個(gè)以太網(wǎng)卡具有唯一的MAC地址，用以區(qū)別不同的以太網(wǎng)用戶。

基于PPP撥號(hào)方式的標(biāo)準(zhǔn)性、安全性和可擴(kuò)展性，目前國(guó)內(nèi)超過(guò)80％個(gè)人寬帶用戶都是采用PPPoE撥號(hào)方式、xDSL終端配置成純橋接模式連接到寬帶網(wǎng)絡(luò)。因此，電信運(yùn)營(yíng)商可以在RadiusServer上將用戶上網(wǎng)計(jì)算機(jī)的MAC地址同用戶上網(wǎng)賬號(hào)進(jìn)行唯一性綁定，從而限制上網(wǎng)賬號(hào)的唯一使用性。用戶在進(jìn)行PPPoE撥號(hào)連接的時(shí)候，BRAS設(shè)備獲取用戶的上網(wǎng)賬號(hào)以及上網(wǎng)計(jì)算機(jī)的MAC地址，然后通過(guò)標(biāo)準(zhǔn)Radius協(xié)議將用戶賬號(hào)和MAC上報(bào)給RadiusServer，由Radiusserver完成賬號(hào)和MAC地址一一對(duì)應(yīng)的判別工作。由于MAC地址的唯一性，用戶無(wú)法進(jìn)行賬號(hào)的非法共享或漫游，同時(shí)盜用的上網(wǎng)賬號(hào)也無(wú)法使用。

MAC地址綁定解決方案的優(yōu)點(diǎn)在于：簡(jiǎn)單方便，無(wú)須改造現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和DSLAM設(shè)備，只要BRAS設(shè)備能根據(jù)標(biāo)準(zhǔn)Radius協(xié)議上報(bào)用戶賬號(hào)和用戶計(jì)算機(jī)MAC地址給RadiusServer，這一點(diǎn)目前的BRAS設(shè)備都能夠做到。

MAC地址綁定解決方案的缺點(diǎn)則在于：Radiusserver端的維護(hù)工作量很大，需要經(jīng)常維護(hù)龐大的用戶MAC地址表；而且一旦用戶更換電腦或者更換網(wǎng)卡都必須在Radiusserver上進(jìn)行重新綁定，帶來(lái)額外的工作量和用戶投訴；同時(shí)對(duì)多個(gè)用戶共用一個(gè)VLAN上行的組網(wǎng)模式，二層接入網(wǎng)絡(luò)的用戶安全隔離和廣播報(bào)文控制也需要額外的解決方案。

二、PITP、PPPoE＋擴(kuò)展協(xié)議解決方案

PITP（PolicyInformationTransmissionPRotocol），即策略信息傳送協(xié)議，包括端口信息獲取、帶寬資源搜集、QoS策略下發(fā)以及配置維護(hù)信息傳送等四種不同策略信息動(dòng)作，是華為公司為解決ip－DSLAMVLANID的不足、IPTNQoS以及統(tǒng)一維護(hù)治理問(wèn)題而提出的一種具有自主知識(shí)產(chǎn)權(quán)的新協(xié)議，可以解決用戶上網(wǎng)賬號(hào)盜用問(wèn)題。用戶在PPP撥號(hào)過(guò)程中，PPP認(rèn)證報(bào)文由IP－DSLAM透?jìng)鹘oBRAS設(shè)備。BRAS設(shè)備終結(jié)PPP認(rèn)證報(bào)文，同時(shí)通過(guò)PITP協(xié)議與IP－DSLAM設(shè)備進(jìn)行消息交換，由IP－DSLAM設(shè)備將用戶所在的物理端口信息、槽位號(hào)和IP－DSLAM設(shè)備號(hào)上報(bào)到BRAS設(shè)備，再由BRAS設(shè)備上報(bào)給RadiusServer，來(lái)完成用戶賬號(hào)同所在IP－DSLAM設(shè)備號(hào)、槽位號(hào)及端口號(hào)等物理位置的唯一綁定。

PITP協(xié)議由于采用相對(duì)穩(wěn)定的IP－DSLAM設(shè)備物理端口信息與用戶上網(wǎng)賬號(hào)進(jìn)行捆綁，解決了MAC地址綁定方式帶來(lái)的用戶更換計(jì)算機(jī)或網(wǎng)卡需要進(jìn)行重新綁定帶來(lái)的額外工作量和用戶投訴，同時(shí)面向IPTN提供QoS保障，滿足未來(lái)IPTN業(yè)務(wù)需求。不足之處則由于目前沒(méi)有形成統(tǒng)一的國(guó)際標(biāo)準(zhǔn)，應(yīng)用受到一定限制。華為SmartAX系列IP－DSLAM能夠與ISN8850/ESR8825系列BRAS設(shè)備配合，提供PITP解決方案，解決寬帶運(yùn)營(yíng)中的用戶安全問(wèn)題。

目前，類似PITP協(xié)議上報(bào)用戶所在IP－DSLAM設(shè)備的物理端口信息的還有PPPoE＋、DHCPoption82等技術(shù)，利用PPPoE和DCHP協(xié)議的可擴(kuò)展性，由IP－DSLAM設(shè)備在PPPoE或DHCP報(bào)文中插入寬帶用戶所在IP－DSLAM設(shè)備上的唯一物理端口信息，上報(bào)給BRAS設(shè)備，再由BRAS設(shè)備通過(guò)Radius協(xié)議上報(bào)RadiusServer，形成對(duì)用戶物理位置的唯一標(biāo)志。

三、VLAN或PVC綁定解決方案

VLAN或PVC綁定解決方案是在RadiusServer上對(duì)用戶的寬帶上網(wǎng)賬號(hào)同接入用戶的VLAN或PVC進(jìn)行綁定。在寬帶撥號(hào)用戶進(jìn)行撥號(hào)時(shí)，BRAS設(shè)備將接入用戶的VLAN或PVC信息通過(guò)標(biāo)準(zhǔn)Radius協(xié)議上報(bào)給RadiusServer，由RadiusServer完成用戶上網(wǎng)賬號(hào)同VLAN或PVC的唯一性鑒別工作。顯然，VLAN或PVC綁定解決方案在技術(shù)要求和寬帶網(wǎng)絡(luò)建網(wǎng)過(guò)程中，將每個(gè)用戶劃分為一個(gè)單獨(dú)的VLAN或者PVC。

目前，在實(shí)際的組網(wǎng)中，ATM－DSLAM都采用一個(gè)用戶一條PVC方式接入，非常輕易實(shí)現(xiàn)用戶賬號(hào)同PVC的唯一性綁定；相比之下采用IP－DSLAM接入時(shí)，由于BRAS設(shè)備在城域網(wǎng)中位置過(guò)高，中間的二層匯聚層設(shè)備IP接入端口存在4kVLAN數(shù)目限制的問(wèn)題，往往導(dǎo)致多個(gè)寬帶用戶共用一個(gè)VLAN接入，使得VLAN或PVC綁定技術(shù)的應(yīng)用性受到很大限制。但從寬帶網(wǎng)絡(luò)發(fā)展的現(xiàn)狀來(lái)看，IP－DSLAM逐漸成為當(dāng)前寬帶接入的主流方式，BRAS設(shè)備位置下移直連DSLAM設(shè)備也逐漸成為寬帶網(wǎng)絡(luò)建設(shè)中主要的實(shí)施方案，這樣能夠利用BRAS設(shè)備每個(gè)IP接入端口能夠單獨(dú)支持4kVLAN的特性，為每個(gè)接入的寬帶用戶分配不同的VLAN標(biāo)志，實(shí)現(xiàn)了用戶上網(wǎng)賬號(hào)同VLAN唯一性綁定，避免賬號(hào)公用和盜用問(wèn)題。用戶間通過(guò)VLAN或PVC隔離也可有效地解決二層接入網(wǎng)絡(luò)廣播風(fēng)暴問(wèn)題。

VLAN綁定解決方案對(duì)IP－DSLAM和BRAS設(shè)備提出了性能上的要求。首先要求IP－DSLAM集成度比較高，這樣能夠最大限度地節(jié)省直連BRAS的端口資源；同時(shí)IP－DSLAM設(shè)備要求支持較多的VLAN數(shù)量，以保證每個(gè)用戶都能夠唯一地分配一個(gè)VLANID。另一方面，要求BRAS設(shè)備端口密度也比較高，保證盡量多地直連下面的DSLAM設(shè)備，節(jié)省投資。