用户账号被盗的解决方案

　　用户安全问题是目前宽带网络开展业务时遇到的主要问题，具体表现为用户账号的非法共享（漫游）、用户账号的盗用以及对一些非法用户的追踪困难等问题。用户通过申请一个宽带上网账号，非法共享给其他人，使得多人能够同时上网，造成电信运营商业务收入的流失；同时因为账号可以漫游，也造成对非法用户（如在网上发表非法言论或故意破坏网络安全者）的定位和追踪困难。也有一些用户通过盗取其他用户的上网账号，由于当前宽带网络的业务开展和计费等服务都是基于账号提供的，这样就带来了用户与运营商在上网和业务等费用上的纠纷，降低了整个宽带网络用户的客户满意度。 　　出现用户账号非法共享（漫游）和盗用以及非法用户追踪困难的原因，主要是因为电信运营商没有对宽带用户账号安全提供限制和可靠的保护，其根本原因则是由于当前城域网VLAN资源不足，无法形成对宽带用户的唯一的标志。 　　 　　目前整个宽带网络的认证和计费系统主要由BRAS设备和RadiusServer设备来共同完成，基于当前的城域网，因为VLAN资源不足致使多个用户共用一个VLAN的网络现状，可以直接在BRAS和RadiusServer设备上利用现有技术或者开发新的应用技术达到对用户账号的安全限制和保护，包括MAC地址同账号绑定以及根据目前网络现状开发的PITP协议、PPPoE＋协议、DHCPOption82等技术。当然，这些方式虽然可以解决用户唯一标志问题，但无法形成对部分宽带业务的支撑；因此，要在解决用户安全问题的同时立足于满足未来宽带业务的发展，最根本的解决方案是通过对城域网网络结构进行优化和改造，保证每个用户分配一个VLAN或PVC从而实现用户的隔离，并在BRAS和RadiusServer上实现用户账号与VLAN或者PVC一一对应。 　　一、MAC地址绑定解决方案 　　 　　世界上每个以太网卡具有唯一的MAC地址，用以区别不同的以太网用户。 　　基于PPP拨号方式的标准性、安全性和可扩展性，目前国内超过80％个人宽带用户都是采用PPPoE拨号方式、xDSL终端配置成纯桥接模式连接到宽带网络。因此，电信运营商可以在RadiusServer上将用户上网计算机的MAC地址同用户上网账号进行唯一性绑定，从而限制上网账号的唯一使用性。用户在进行PPPoE拨号连接的时候，BRAS设备获取用户的上网账号以及上网计算机的MAC地址，然后通过标准Radius协议将用户账号和MAC上报给RadiusServer，由Radiusserver完成账号和MAC地址一一对应的判别工作。由于MAC地址的唯一性，用户无法进行账号的非法共享或漫游，同时盗用的上网账号也无法使用。 　　 　　MAC地址绑定解决方案的优点在于：简单方便，无须改造现有网络结构和DSLAM设备，只要BRAS设备能根据标准Radius协议上报用户账号和用户计算机MAC地址给RadiusServer，这一点目前的BRAS设备都能够做到。 　　 　　MAC地址绑定解决方案的缺点则在于：Radiusserver端的维护工作量很大，需要经常维护庞大的用户MAC地址表；而且一旦用户更换电脑或者更换网卡都必须在Radiusserver上进行重新绑定，带来额外的工作量和用户投诉；同时对多个用户共用一个VLAN上行的组网模式，二层接入网络的用户安全隔离和广播报文控制也需要额外的解决方案。 　　 　　二、PITP、PPPoE＋扩展协议解决方案 　　PITP（PolicyInformationTransmissionProto