论文部分内容阅读
宽带用户应提高网络安全意识,并采取强化系统、限制开放端口、关闭共享等相应的技术防范措施,以防止黑客侵入计算机,减少或避免因账号被盗用而产生的经济损失。
1.问题的产生
宽带的发展给人们带来了信息沟通的便利,但也产生了一些问题。近一个时期以来,许多中国电信ADSL宽带用户在毫不知情、毫无防范的情况下,账号被人盗用后进行QQ币冲值、玩盛大网络游戏及其他消费的事情时有发生。笔者是ADSL宽带包月用户,在 2005年5月份的网费单中凭空多出100元 “互联星空”费用。经过多方查询发现这100元来自互联星空所联合的众多SP(Service Provider服务提供商)之一“腾讯科技有限公司”,主要用于QQ账户充值消费。通过与消费的QQ号聊天,得知他是通过“互联星空一点通”进入ADSL账号进行消费的。
“互联星空一点通”是面向电信宽带账号用户推出的一项登录功能。宽带账号用户使用自己的宽带账号访问互联星空服务网站时,无须再输入账号名和密码,只需点击“互联星空一点通”按钮,即可安全登录,并直接使用互联星空合作伙伴提供的相关产品和服务。既然是安全登录,又怎么会出现账号丢钱的事情呢?
2.宽带账号费用超支的原因分析
当前,电信部门为了防止用户的宽带账号被盗取,已经在技术上做了很多防范,比如将宽带账号和拨号的电话号码捆绑到一起,甚至将宽带账号和计算机网卡的MAC地址捆绑在一起,让账号只能在固定的电脑或电话线路上使用,其他地方不能用绑定的账号上网。很多用户尤其是对计算机网络安全不是很专业的用户都认为这已经很安全了,账号不会被人轻而易举地盗取了,可是事实并非如此,如果你没有很好的网络安全意识,不对自己的电脑作出必要的安全防范,电脑黑客可以很轻易侵入你的电脑,进行远程盗用ADSL账号,甚至盗取你计算机中的重要资料。
电脑黑客可以利用开放端口和弱口令甚至空口令漏洞侵入用户电脑。黑客可以通过QQ获取对方网段(或直接获取IP),利用扫描工具(例如: Superscan、X-scan等)扫描用户计算机端口并获取IP,再运行客户端连接工具(例如:冰河2.2)侵入用户电脑,只要你的网络是通过宽带账号已经拨通的,他们就可以利用互联星空的“互联星空一点通”功能直接进行远程消费。家里的小孩和朋友通过你在家里拨通的ADSL账号,也能利用 “互联星空一点通”功能进入互联星空去订购各种服务。
由于互联星空为每一位宽带用户提供了至少100元的可以预支消费的“信用额度”,这些黑客或家里的孩子们就可以无所顾忌地在网络里提前消费了,往往很多用户只有在交费时才会发现自己要为别人买单了。
3.宽带账号安全的防范措施
针对以上情况,笔者特提出以下几点防范措施:
⑴ 注销互联星空账号或取消信用额度
宽带用户如果不打算使用互联星空,应尽快到电信营业厅申请销户或登录互联星空网站www.chinavnet.com, 在“我的星空”——“我的账户”——“我要销户”栏目申请注销。如发现账号被别人盗用,立刻修改自己的ADSL账号密码,并在“互联星空”的“我的星空”下及时取消所有订购的服务。
⑵ 强化系统,防止黑客入侵
强化系统:及时升级操作系统或打补丁以修补系统漏洞;减少电脑管理员人数;设置安全选项——不显示上次用户名;不要打开来路不明的电子邮件及软件程序,不要回陌生人的邮件;电脑要安装使用必要的防黑软件、防火墙和杀毒软件,并保持定期更新,及时查杀电脑病毒和木马,阻止黑客侵入电脑。一般来说,采用一些功能强大的反黑软件和软件防火墙来保证我们的系统安全。
强化口令:正确设置管理员密码(系统开机密码)和ADSL上网密码;数字与字母混合编排,同时包含多种类型的字符,比如大写字母、小写字母、数字、标点符号(@,#,!,$,%,& …);密码应该不少于8个字符;禁用ADSL拨号软件记住密码的功能,即不勾选“记住密码”项。
⑶ 限制开放端口,防止非法入侵
通过限制端口来防止非法入侵,关闭相应开放端口,比如3389端口。简单说来,非法入侵的主要方式可粗略分为两种:(1)扫描端口,通过已知的系统Bug攻入主机;(2)种植木马,利用木马开辟的后门进入主机。如果能限制这两种非法入侵方式,就能有效防止利用黑客工具的非法入侵。而且这两种非法入侵方式有一个共同点,就是通过端口进入主机。要想防止被黑就要关闭这些危险端口,对于个人用户来说,您可以限制所有的端口,因为您根本不必让您的机器对外提供任何服务;而对于对外提供网络服务的服务器,我们需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口25、110等)开放,其他的端口则全部关闭。
139端口是NetBIOS Session端口,用于文件和打印共享,值得注意的是运行samba的unix机器也开放了139端口,功能一样。这个端口是黑客比较喜欢利用的端口之一。关闭139端口方法是在“网络和拨号连接”窗口中的“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”选项,其中的“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打钩就关闭了139端口。 对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启时服务也重新启动,端口也随之开放。
3389端口,网络管理员可以通过它远程对安装有Windows Server或Windows XP的电脑进行管理和维护,黑客或非法攻击者也能较轻易地获得服务器中的超级管理员账号。在Windows XP中关闭的方法是:在“我的电脑”上点右键选属性→远程,将里面的远程协助和远程桌面两个选项框里的钩去掉。在Win2000 server中关闭的方法是: 开始→程序→管理工具→服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP中同样适用)
4899端口其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。4899不是系统自带的服务,需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。所以只要你的电脑做了基本的安全配置,黑客很难通过4899来控制你。
对于采用Windows 2000或者Windows XP的用户来说,不需要安装任何其他软件,可以利用“TCP/IP筛选”功能限制服务器的端口。具体设置(关闭的方法)如下:点击“开始→控制面板→网络连接→本地连接→右键→属性”,然后选择“Internet(tcp/ip)”→“属性”。在“Internet(tcp/ip)属性”对话框中选择“高级”选项卡。在“高级TCP/IP设置”对话框中点选“选项”→“TCP/IP筛选”→“属性”。在这里分为3项,分别是TCP、UDP、IP协议。假设我的系统只想开放21、80、25、110这4个端口,只要在“TCP端口”上勾选“只允许”,然后点击“添加”依次把这些端口添加到里面,再确定。注意:修改完以后系统会提示重新启动,这样设置才会生效。这样,系统重新启动以后只会开放刚才你所选的那些端口,其它端口都不会开放。
⑷ 关闭默认共享,禁止空连接
当前家用电脑所使用的操作系统多数为Win XP 和Win2000 pro,这两个系统提供的默认共享(IPC$、C$、D$、ADMIN$等)是黑客最喜欢利用的入侵途径,宽带用户可以运行CMD输入net share来查看本机的共享,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享后下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
关闭默认共享可以使用net share 默认共享名 /delete 命令(如 net share C$ /delete),但是这种方法关闭共享后下次开机的时候又出现了,所以如果宽带用户不在局域网内使用共享服务,干脆将本地连接属性中的“网络的文件和打印机共享”卸载掉,默认共享就可以彻底被关闭了。
禁止建立空连接的方法是:首先运行regedit,在注册表中找到主键[HKEY_LOCAL_MACHINE SYSTEM CurrentControl
Set Control LSA],把RestrictAnonymous(DWORD)的键值由0改为1。
⑸ 使用入侵检测手段,及时防范入侵
最为常见的木马通常都是基于TCP/UDP协议进行client端与server端之间的通讯的,既然利用到这两个协议,就不可避免要在server端(就是被种了木马的机器)打开监听端口来等待连接。我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客程序。
我们使用 Windows本身自带的netstat命令(详细方法可使用 netstat /?命令查询)和在Windows2000下的命令行工具fport,可以较为有效地看到计算机开放的端口,以及通过开放端口运行的一些可疑程序。及时关闭这些端口,删除这些可疑程序,就能较为有效地保证计算机系统的安全性。
4.结束语
宽带上网安全问题的产生,既有宽带运营商、网络服务商、内容提供商在网络安全策略设计和技术实施方面的原因,也有宽带用户自身安全意识、安全措施不到位的原因,还有我国网络立法滞后、出现问题无法可依的原因。解决宽带上网安全问题,需要多方面共同努力,宽带用户应提高网络安全意识,并采取强化系统、限制开放端口、关闭共享等相应的技术防范措施,以防止黑客侵入计算机,减少或避免因帐号被盗用而产生的经济损失。
记得张楚有句歌词:“隐藏的危险,变得很阴险”,最近怎么觉着这首名为“小人”的摇滚是写给网络犯罪的。随着网络化步伐的加快,网络已经成为我们生活中的一部分,宽带对应的安全问题日益突出,大家在谈论宽带问题时,往往爱谈论个人用户应该怎样注意保护自己的账号安全,但是安全问题只是个人用户造成的吗?这篇文章从另一个角度,以宽带问题为切入点,通过对某省的电信网上计费网站安全测试及获取电信的管理账号过程这一案例,深度剖析目前源于电信宽带的种种隐患。
宽带安全问题抛开个人用户的种种问题,从电信角度来说:现有网络硬件设备不能满足现有需求,造成用户认证困难:假如目前每个宽带账号和电话线路都可以绑定,真正做到一个账号只能在一条线路上使用,似乎目前很多安全问题都可以解决了。但目前的情况不是这样子的:在各种账号安全问题中,非法共享和盗用以及非法用户追踪困难的原因,主要是因为电信运营商没有对宽带用户账号安全提供限制和可靠的保护,无法形成对宽带用户的唯一的标志。市场经济下,投资成本和利润回报影响各个行业的决策,电信也不例外,目前国内整个宽带网络的认证和计费系统主要由BRAS设备和RadiusServer设备来共同完成,基于当前的城域网,而VLAN资源不足致使多个用户共用一个VLAN的网络现状。根据目前网络现状开发的PITP协议、PPPoE+协议、DHCPOption82等技术就是为了解决这一问题。
当然,这些方式虽然可以解决用户唯一标志问题,但无法在国内统一,原因其一就是成本问题。成本包含两部分:现有设备投资还没有收回,新技术投资收益还不能确定;其二就是由于中国的各地发展不平衡,改造起来很困难。对此我们应多给些时间,相信不久就会解决这个问题。从电信角度说,对于盗用账户的 解决方法目前主要有两个方法:
解决方法一:MAC地址绑定解决方案,电信运营商可以在RadiusServer上将用户上网计算机的MAC地址同用户上网账号进行唯一性绑定,利用MAC的唯一性,从而限制上网账号的唯一使用性。
用户在进行PPPoE拨号连接的时候,BRAS设备获取用户的上网账号以及上网计算机的MAC地址,然后通过标准Radius协议将用户账号和MAC上报给RadiusServer,由Radiusserver完成账号和MAC地址一一对应的判别工作。由于MAC地址的唯一性,用户无法进行账号的非法共享或漫游,同时盗用的上网账号也无法使用。简单方便,无须改造现有网络结构和DSLAM设备,只要BRAS设备能根据标准Radius协议上报用户账号和用户计算机MAC地址给RadiusServer,这一点目前的BRAS设备都能够做到。不过Radiusserver端的维护工作量很大,需要经常维护庞大的用户MAC地址表;而且一旦用户更换电脑或者更换网卡都必须在Radiusserver上进行重新绑定,带来额外的工作量和用户投诉;同时对多个用户共用一个VLAN上行的组网模式,二层接入网络的用户安全隔离和广播报文控制也需要额外的解决方案。
解决方法二:LAN或PVC绑定解决方案,VLAN或PVC绑定解决方案是在RadiusServer上对用户的宽带上网账号同接入用户的VLAN或PVC进行绑定。在宽带拨号用户进行拨号时,BRAS设备将接入用户的VLAN或PVC信息通过标准Radius协议上报给RadiusServer,由RadiusServer完成用户上网账号同VLAN或PVC的唯一性鉴别工作。显然,VLAN或PVC绑定解决方案在技术要求和宽带网络建网过程中,将每个用户划分为一个单独的VLAN或者PVC。目前,在实际的组网中,ATM-DSLAM都采用一个用户一条PVC方式接入,非常容易实现用户账号同PVC的唯一性绑定;为每个接入的宽带用户分配不同的VLAN标志,实现了用户上网账号同VLAN唯一性绑定,避免账号公用和盗用问题。用户间通过VLAN或PVC隔离也可有效地解决二层接入网络广播风暴问题。硬件上的问题不是最令人担心的,从发展的角度,可以很快解决,可有些软问题却比较令人担忧。
1.问题的产生
宽带的发展给人们带来了信息沟通的便利,但也产生了一些问题。近一个时期以来,许多中国电信ADSL宽带用户在毫不知情、毫无防范的情况下,账号被人盗用后进行QQ币冲值、玩盛大网络游戏及其他消费的事情时有发生。笔者是ADSL宽带包月用户,在 2005年5月份的网费单中凭空多出100元 “互联星空”费用。经过多方查询发现这100元来自互联星空所联合的众多SP(Service Provider服务提供商)之一“腾讯科技有限公司”,主要用于QQ账户充值消费。通过与消费的QQ号聊天,得知他是通过“互联星空一点通”进入ADSL账号进行消费的。
“互联星空一点通”是面向电信宽带账号用户推出的一项登录功能。宽带账号用户使用自己的宽带账号访问互联星空服务网站时,无须再输入账号名和密码,只需点击“互联星空一点通”按钮,即可安全登录,并直接使用互联星空合作伙伴提供的相关产品和服务。既然是安全登录,又怎么会出现账号丢钱的事情呢?
2.宽带账号费用超支的原因分析
当前,电信部门为了防止用户的宽带账号被盗取,已经在技术上做了很多防范,比如将宽带账号和拨号的电话号码捆绑到一起,甚至将宽带账号和计算机网卡的MAC地址捆绑在一起,让账号只能在固定的电脑或电话线路上使用,其他地方不能用绑定的账号上网。很多用户尤其是对计算机网络安全不是很专业的用户都认为这已经很安全了,账号不会被人轻而易举地盗取了,可是事实并非如此,如果你没有很好的网络安全意识,不对自己的电脑作出必要的安全防范,电脑黑客可以很轻易侵入你的电脑,进行远程盗用ADSL账号,甚至盗取你计算机中的重要资料。
电脑黑客可以利用开放端口和弱口令甚至空口令漏洞侵入用户电脑。黑客可以通过QQ获取对方网段(或直接获取IP),利用扫描工具(例如: Superscan、X-scan等)扫描用户计算机端口并获取IP,再运行客户端连接工具(例如:冰河2.2)侵入用户电脑,只要你的网络是通过宽带账号已经拨通的,他们就可以利用互联星空的“互联星空一点通”功能直接进行远程消费。家里的小孩和朋友通过你在家里拨通的ADSL账号,也能利用 “互联星空一点通”功能进入互联星空去订购各种服务。
由于互联星空为每一位宽带用户提供了至少100元的可以预支消费的“信用额度”,这些黑客或家里的孩子们就可以无所顾忌地在网络里提前消费了,往往很多用户只有在交费时才会发现自己要为别人买单了。
3.宽带账号安全的防范措施
针对以上情况,笔者特提出以下几点防范措施:
⑴ 注销互联星空账号或取消信用额度
宽带用户如果不打算使用互联星空,应尽快到电信营业厅申请销户或登录互联星空网站www.chinavnet.com, 在“我的星空”——“我的账户”——“我要销户”栏目申请注销。如发现账号被别人盗用,立刻修改自己的ADSL账号密码,并在“互联星空”的“我的星空”下及时取消所有订购的服务。
⑵ 强化系统,防止黑客入侵
强化系统:及时升级操作系统或打补丁以修补系统漏洞;减少电脑管理员人数;设置安全选项——不显示上次用户名;不要打开来路不明的电子邮件及软件程序,不要回陌生人的邮件;电脑要安装使用必要的防黑软件、防火墙和杀毒软件,并保持定期更新,及时查杀电脑病毒和木马,阻止黑客侵入电脑。一般来说,采用一些功能强大的反黑软件和软件防火墙来保证我们的系统安全。
强化口令:正确设置管理员密码(系统开机密码)和ADSL上网密码;数字与字母混合编排,同时包含多种类型的字符,比如大写字母、小写字母、数字、标点符号(@,#,!,$,%,& …);密码应该不少于8个字符;禁用ADSL拨号软件记住密码的功能,即不勾选“记住密码”项。
⑶ 限制开放端口,防止非法入侵
通过限制端口来防止非法入侵,关闭相应开放端口,比如3389端口。简单说来,非法入侵的主要方式可粗略分为两种:(1)扫描端口,通过已知的系统Bug攻入主机;(2)种植木马,利用木马开辟的后门进入主机。如果能限制这两种非法入侵方式,就能有效防止利用黑客工具的非法入侵。而且这两种非法入侵方式有一个共同点,就是通过端口进入主机。要想防止被黑就要关闭这些危险端口,对于个人用户来说,您可以限制所有的端口,因为您根本不必让您的机器对外提供任何服务;而对于对外提供网络服务的服务器,我们需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口25、110等)开放,其他的端口则全部关闭。
139端口是NetBIOS Session端口,用于文件和打印共享,值得注意的是运行samba的unix机器也开放了139端口,功能一样。这个端口是黑客比较喜欢利用的端口之一。关闭139端口方法是在“网络和拨号连接”窗口中的“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”选项,其中的“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打钩就关闭了139端口。 对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启时服务也重新启动,端口也随之开放。
3389端口,网络管理员可以通过它远程对安装有Windows Server或Windows XP的电脑进行管理和维护,黑客或非法攻击者也能较轻易地获得服务器中的超级管理员账号。在Windows XP中关闭的方法是:在“我的电脑”上点右键选属性→远程,将里面的远程协助和远程桌面两个选项框里的钩去掉。在Win2000 server中关闭的方法是: 开始→程序→管理工具→服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP中同样适用)
4899端口其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。4899不是系统自带的服务,需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。所以只要你的电脑做了基本的安全配置,黑客很难通过4899来控制你。
对于采用Windows 2000或者Windows XP的用户来说,不需要安装任何其他软件,可以利用“TCP/IP筛选”功能限制服务器的端口。具体设置(关闭的方法)如下:点击“开始→控制面板→网络连接→本地连接→右键→属性”,然后选择“Internet(tcp/ip)”→“属性”。在“Internet(tcp/ip)属性”对话框中选择“高级”选项卡。在“高级TCP/IP设置”对话框中点选“选项”→“TCP/IP筛选”→“属性”。在这里分为3项,分别是TCP、UDP、IP协议。假设我的系统只想开放21、80、25、110这4个端口,只要在“TCP端口”上勾选“只允许”,然后点击“添加”依次把这些端口添加到里面,再确定。注意:修改完以后系统会提示重新启动,这样设置才会生效。这样,系统重新启动以后只会开放刚才你所选的那些端口,其它端口都不会开放。
⑷ 关闭默认共享,禁止空连接
当前家用电脑所使用的操作系统多数为Win XP 和Win2000 pro,这两个系统提供的默认共享(IPC$、C$、D$、ADMIN$等)是黑客最喜欢利用的入侵途径,宽带用户可以运行CMD输入net share来查看本机的共享,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享后下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
关闭默认共享可以使用net share 默认共享名 /delete 命令(如 net share C$ /delete),但是这种方法关闭共享后下次开机的时候又出现了,所以如果宽带用户不在局域网内使用共享服务,干脆将本地连接属性中的“网络的文件和打印机共享”卸载掉,默认共享就可以彻底被关闭了。
禁止建立空连接的方法是:首先运行regedit,在注册表中找到主键[HKEY_LOCAL_MACHINE SYSTEM CurrentControl
Set Control LSA],把RestrictAnonymous(DWORD)的键值由0改为1。
⑸ 使用入侵检测手段,及时防范入侵
最为常见的木马通常都是基于TCP/UDP协议进行client端与server端之间的通讯的,既然利用到这两个协议,就不可避免要在server端(就是被种了木马的机器)打开监听端口来等待连接。我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客程序。
我们使用 Windows本身自带的netstat命令(详细方法可使用 netstat /?命令查询)和在Windows2000下的命令行工具fport,可以较为有效地看到计算机开放的端口,以及通过开放端口运行的一些可疑程序。及时关闭这些端口,删除这些可疑程序,就能较为有效地保证计算机系统的安全性。
4.结束语
宽带上网安全问题的产生,既有宽带运营商、网络服务商、内容提供商在网络安全策略设计和技术实施方面的原因,也有宽带用户自身安全意识、安全措施不到位的原因,还有我国网络立法滞后、出现问题无法可依的原因。解决宽带上网安全问题,需要多方面共同努力,宽带用户应提高网络安全意识,并采取强化系统、限制开放端口、关闭共享等相应的技术防范措施,以防止黑客侵入计算机,减少或避免因帐号被盗用而产生的经济损失。
记得张楚有句歌词:“隐藏的危险,变得很阴险”,最近怎么觉着这首名为“小人”的摇滚是写给网络犯罪的。随着网络化步伐的加快,网络已经成为我们生活中的一部分,宽带对应的安全问题日益突出,大家在谈论宽带问题时,往往爱谈论个人用户应该怎样注意保护自己的账号安全,但是安全问题只是个人用户造成的吗?这篇文章从另一个角度,以宽带问题为切入点,通过对某省的电信网上计费网站安全测试及获取电信的管理账号过程这一案例,深度剖析目前源于电信宽带的种种隐患。
宽带安全问题抛开个人用户的种种问题,从电信角度来说:现有网络硬件设备不能满足现有需求,造成用户认证困难:假如目前每个宽带账号和电话线路都可以绑定,真正做到一个账号只能在一条线路上使用,似乎目前很多安全问题都可以解决了。但目前的情况不是这样子的:在各种账号安全问题中,非法共享和盗用以及非法用户追踪困难的原因,主要是因为电信运营商没有对宽带用户账号安全提供限制和可靠的保护,无法形成对宽带用户的唯一的标志。市场经济下,投资成本和利润回报影响各个行业的决策,电信也不例外,目前国内整个宽带网络的认证和计费系统主要由BRAS设备和RadiusServer设备来共同完成,基于当前的城域网,而VLAN资源不足致使多个用户共用一个VLAN的网络现状。根据目前网络现状开发的PITP协议、PPPoE+协议、DHCPOption82等技术就是为了解决这一问题。
当然,这些方式虽然可以解决用户唯一标志问题,但无法在国内统一,原因其一就是成本问题。成本包含两部分:现有设备投资还没有收回,新技术投资收益还不能确定;其二就是由于中国的各地发展不平衡,改造起来很困难。对此我们应多给些时间,相信不久就会解决这个问题。从电信角度说,对于盗用账户的 解决方法目前主要有两个方法:
解决方法一:MAC地址绑定解决方案,电信运营商可以在RadiusServer上将用户上网计算机的MAC地址同用户上网账号进行唯一性绑定,利用MAC的唯一性,从而限制上网账号的唯一使用性。
用户在进行PPPoE拨号连接的时候,BRAS设备获取用户的上网账号以及上网计算机的MAC地址,然后通过标准Radius协议将用户账号和MAC上报给RadiusServer,由Radiusserver完成账号和MAC地址一一对应的判别工作。由于MAC地址的唯一性,用户无法进行账号的非法共享或漫游,同时盗用的上网账号也无法使用。简单方便,无须改造现有网络结构和DSLAM设备,只要BRAS设备能根据标准Radius协议上报用户账号和用户计算机MAC地址给RadiusServer,这一点目前的BRAS设备都能够做到。不过Radiusserver端的维护工作量很大,需要经常维护庞大的用户MAC地址表;而且一旦用户更换电脑或者更换网卡都必须在Radiusserver上进行重新绑定,带来额外的工作量和用户投诉;同时对多个用户共用一个VLAN上行的组网模式,二层接入网络的用户安全隔离和广播报文控制也需要额外的解决方案。
解决方法二:LAN或PVC绑定解决方案,VLAN或PVC绑定解决方案是在RadiusServer上对用户的宽带上网账号同接入用户的VLAN或PVC进行绑定。在宽带拨号用户进行拨号时,BRAS设备将接入用户的VLAN或PVC信息通过标准Radius协议上报给RadiusServer,由RadiusServer完成用户上网账号同VLAN或PVC的唯一性鉴别工作。显然,VLAN或PVC绑定解决方案在技术要求和宽带网络建网过程中,将每个用户划分为一个单独的VLAN或者PVC。目前,在实际的组网中,ATM-DSLAM都采用一个用户一条PVC方式接入,非常容易实现用户账号同PVC的唯一性绑定;为每个接入的宽带用户分配不同的VLAN标志,实现了用户上网账号同VLAN唯一性绑定,避免账号公用和盗用问题。用户间通过VLAN或PVC隔离也可有效地解决二层接入网络广播风暴问题。硬件上的问题不是最令人担心的,从发展的角度,可以很快解决,可有些软问题却比较令人担忧。