目前，采用DSLAM(数字用户线接入复用器)设备、综合接入设备等接入设备提供宽带接入的应用已经十分广泛。可以提供包括ADSL(不对称数字用户线)、SHDSL(单线对高比特率数字用户线)、VDSL(甚高速数字用户线)等的多种宽带接入手段，提供用户的宽带上网以及其他业务的功能，例如，视频业务和IP电话业务等。
为实现针对接入用户的鉴权、计费操作，以及避免非法用户的恶意接入等需要，目前，在很多网络中均采用基于MAC(媒体接入控制)地址对相应的接入用户进行相应的过滤处理。
随着宽带应用的用户的增多，部分非法用户为达到非法接入的目的，便采用了仿冒合法MAC地址的方式接入宽带网络，开展非法业务；或者，采用仿冒MAC地址的方式恶意干扰宽带业务。例如，部分宽带应用的用户利用软件工具，更改部分用户的MAC地址，以对正常使用宽带网络的宽带用户进行攻击，干扰正常的宽带业务。因此，导致宽带接入网络中出现了MAC地址仿冒的问题，为此，需要在宽带接入网络中提供相应的防止MAC地址仿冒的功能。
目前，可以采用源MAC地址和端口绑定来实现防止MAC地址仿冒，源MAC地址和端口绑定指的是在DSLAM和综合接入设备等接入设备中为每个接入用户分配一个或者多个整个接入网络唯一的允许接入源MAC地址。具体为接入设备对用户上来的以太网报文的源MAC地址进行判断，只有源MAC地址为设定的MAC地址的报文才允许通过，转发到上层网络中；其他的源MAC地址不是设定的MAC地址的以太网报文将会被丢弃。这样，便可以有效地防止MAC地址仿冒的问题。
然而，目前采用的防止MAC地址仿冒的方法，虽然可以防止MAC地址仿冒的问题，但是这样需要对每个用户都进行设置，设置其能通过的源MAC地址。由于接入用户的源MAC都是随机分配的，如果接入用户很多，了解用户的MAC地址并在接入设备中进行相应设置的工作量将会非常庞大。
而且，上述防止MAC地址仿冒的处理方法还存在一个很大的缺陷，即：在源MAC地址和端口绑定之后，如果用户更换了一台PC或者更改为另一个正常的MAC地址，其业务也无法正常开展，必须要在接入设备中重新设置一次新的MAC地址。正是因为这个缺陷的存在，导致目前的防止MAC地址仿冒方法无法得到广泛的应用。

鉴于上述现有技术所存在的问题，本发明的目的是提供一种防止MAC地址仿冒的实现方法和设备，以有效解决宽带接入网络中的MAC地址仿冒问题。本发明的目的是通过以下技术方案实现的：
本发明提供了一种防止MAC地址仿冒的实现方法，包括：
A、获取请求接入网络的用户终端的媒体接入控制MAC地址信息及对应的端口信息；
B、根据所述获取的MAC地址信息进行判断，如果发现保存的MAC地址与用户端口的绑定关系中存在所述获取的MAC地址信息，将绑定关系中的端口信息与所述对应的端口信息进行比较，如果不同，向相应的接入设备返回认证不成功信息。
所述的步骤A包括：
A1、用户终端向接入设备发送认证请求报文，报文中携带着用户终端的MAC地址信息；
A2、接入设备获取所述认证请求报文，将认证请求报文和用户终端的端口信息发送给认证设备；
A3、认证设备接收接入设备发送的认证请求报文，并获取用户终端的MAC地址信息及对应的端口信息。
本发明中，步骤A2所述的认证请求报文处理方法包括：
支持在以太网的点对点协议认证报文或者动态主机配置协议DHCP认证报文中增加用户的端口信息后发送给认证设备。
所述的端口信息包括：
用户终端的物理端口信息、用户端口的虚路径标识VPI、虚通道标识VCI信息和/或用户端口的虚拟局域网标识VLAN ID信息。
所述向相应的接入设备返回认证不成功信息之后，所述方法还包括：
接入设备将其保存的所述用户终端的MAC地址信息删除。
所述向相应的接入设备返回认证不成功信息的步骤包括：
当认证设备在设定的时间段内产生的基于同一用户端口认证失败导致的消息超过预定的次数时，则通知接入设备将该用户端口禁止。
所述接入设备将其保存的所述用户终端的MAC地址信息删除包括：
当接入设备在设定的时间段内接收到的基于同一用户端口认证失败导致的消息超过预定的次数时，则将相应的用户端口禁止。
所述根据所述获取的MAC地址信息进行判断的步骤之后，还包括：
如果绑定关系中不存在所述获取的MAC地址信息，在认证设备上保存所述用户终端的MAC地址及其对应的端口信息。
本发明还提供了一种防止MAC地址仿冒的接入设备，包括：
xDSL接入模块，用于提供xDSL接口及相应的xDSL接入功能；
MAC地址仿冒处理模块，用于识别用户终端的认证报文，并且将认证报文和接入用户的端口信息送到上行接口模块，并根据接收到的认证设备下发的由于认证成功导致的消息，将相应的用户接入端口所学习到的MAC地址和该相应的用户接入端口绑定；或者根据接收到的认证设备返回的认证失败的消息，删除相应用户接入端口所学习到的MAC地址；
上行接口模块，用于将认证报文和该接入用户的端口信息送到认证设备以使所述认证设备获取认证报文中的MAC地址和该接入用户的端口信息，根据认获取的MAC地址信息进行判断，如果发现保存的MAC地址与用户端口的绑定关系中存在所述获取的MAC地址信息，将绑定关系中的端口信息与所述认证设备获取的接入用户的端口信息进行比较，如果不同，向接入设备返回认证失败的消息；并支持接收认证设备下发的消息，送到MAC地址仿冒处理模块。
所述的接入设备为只支持宽带接入的宽带接入设备，或为同时支持宽带接入和窄带接入的综合接入设备。
所述的xDSL接口为不对称数字用户线接口，单线对高比特数字用户线接口，或甚高速数字用户线接口。
所述的MAC地址仿冒处理模块还设置有计数器，用于对由于MAC地址仿冒导致的认证不成功的次数进行计数，且当一个用户接入端口在一段时间内出现MAC地址仿冒次数超过预定数值时，除了将所学习到的接入用户的MAC地址删除外，还将相应的用户接入端口关闭。
本发明还提供了一种防止MAC地址仿冒的认证设备，包括：
用户信息存储模块，用于完成用户信息的存储功能；
MAC地址仿冒识别模块，用于接收接入设备发上来的认证报文和用户端口信息，提取用户终端的MAC地址，确认是否存在MAC地址仿冒问题，如果用户为MAC地址仿冒的用户，则向接入设备返回携带端口信息的由于MAC地址仿冒导致认证失败的消息；如果用户为非MAC地址仿冒的用户，则将认证报文提交认证模块，并将用户的信息送到用户信息存储模块进行存储，其中，确认用户为MAC地址仿冒的用户包括：根据认证报文中的MAC地址信息进行判断，如果发现保存的MAC地址与用户端口的绑定关系中存在所述获取的MAC地址信息，将绑定关系中的端口信息与获取的用户端口信息进行比较，如果不同则确定所述用户为MAC地址仿冒的用户；
认证模块，用于完成非MAC地址仿冒的用户的认证报文的认证工作。
所述的MAC地址仿冒识别模块还包括计数器，当一个接入端口在一段时间内所发的MAC地址仿冒报文超过预定的数量时，则通知接入设备将该接入端口关闭或者禁止。
由上述本发明提供的技术方案可以看出，本发明所述的方法使得认证设备可以根据接收到的认证报文及相应的用户信息，以及该用户的MAC地址信息对其进行合法性判断，并在网络中存在MAC仿冒或者地址冲突问题时采取相应的解决手段，即禁止并删除仿冒MAC地址信息。
因此，本发明可以有效解决网络中的MAC地址仿冒的问题，例如：一台认证设备下面带多个接入设备，每个接入设备又带多个接入用户；如果有一个接入用户已经采用一个MAC-A地址认证成功，该认证设备下的另一个接入用户将无法再以MAC-A地址通过相应的认证，从而保证了原来已经认证成功的接入用户的业务正常使用。

图1为本发明所述的方法的应用环境示意图；
图2为本发明所述的方法的流程图；
图3为本发明提供的接入设备的结构示意图；
图4为本发明提供的认证设备的结构示意图。

本发明的目的主要是解决MAC地址仿冒的问题。本发明采用的方法是由认证设备根据收到的认证报文的用户信息及其MAC地址信息，结合其保存的相应信息判断是否存在MAC地址仿冒或者MAC地址冲突的情况，并拒绝存在MAC地址仿冒或MAC地址冲突情况的接入用户接入网络。使用本发明，如果出现地址仿冒的问题，可以通过这种方法对接入设备、认证设备等进行保护，并保证被仿冒用户的正常应用。
本发明所述的方法具体为：接入设备接收到接入用户的认证报文，将认证报文和用户端口信息，送到认证设备中，认证设备根据用户端口信息、源MAC地址与已知情况进行比较，如果没有存在MAC地址仿冒，则认证成功；如果存在地址仿冒的问题，返回认证不成功的信息，接入设备根据返回的不成功信息将所学习到的MAC地址删除。
为对本发明有进一步的理解，下面将结合附图对本发明所述的方法的具体实现方式作进一步的详细说明。
首先介绍一下本发明应用的组网环境。如图1所示，用户A和用户B通过接入设备A接入汇聚网，即接入设备A支持用户的接入，具体包括用户A(其MAC地址为MAC-A)和用户B(其MAC地址为MAC-B)；接入设备B则用于支持用户C(其MAC地址为MAC-C)的接入。接入设备A和接入设备B通过汇聚网接到认证设备上进行相应的认证处理。
为实现本发明，图1中相应的接入设备需要包括以下的功能：
完成用户接入的汇聚功能。接入设备可以接入一个或者更多的用户，汇聚之后通过ATM或者IP接口上行接到城域网，直接或者接到认证设备上；
完成用户信息的添加功能。接入设备可以完成用户信息的添加功能，可以在用户发上来的认证报文用户的信息；或者接入设备可以通过其他的协议将认证用户的用户端口信息送到认证设备；
提供上行接口。接入设备可以提供ATM或者IP的上行接口，通过上行接口接到城域网或者直接接到认证设备上，将用户信息上报给认证设备。
接入设备提供和认证设备通讯的功能。接入设备可以根据认证设备下发的由于MAC地址仿冒导致的认证不成功消息后，将该端口学习到的MAC地址删除。
同时，为实现本发明，图1中的认证设备可以为BRAS(宽带接入服务器)认证系统，也可以为DHCP(动态主机配置协议)服务器，但无论是什么样的认证设备均需要包括以下具体功能：
认证设备需要完成一个或者更多用户的用户认证功能。
认证设备上需要支持提取认证报文中带上的用户信息，并进行比较，以确定是否有MAC地址仿冒的问题。或者认证设备支持其他的通讯协议从接入设备中取得认证用户的端口信息；
认证设备提供和接入设备通讯的功能。认证设备可以将认证不成功的消息通过相关的协议送到接入设备。
本发明中，所述的认证设备与接入设备间可以通过城域网连接，也可以直接连接。
本发明中，所述的接入设备可以为支持宽带接入的DSLAM(数字用户线接入复用器)设备，也可以为能够同时支持宽带接入和窄带接入的综合接入设备。
本发明中，用户可以通过ADSL(不对称数字用户线)接入相应的接入设备，也可以通过SHDSL(单线对高比特数字用户线)接入，或者还可以通过VDSL(甚高速数字用户线)接入，等等。
如图2所示，本发明所述的方法在具体实现过程中包括以下步骤：
步骤21：用户向接入设备发送携带着自身MAC地址(即源MAC地址)信息的认证请求报文；
即接入设备对接入用户的认证报文进行捕获，当捕获到相应的认证请求报文后，则执行步骤22；
如图1所示，假设接入设备A下的用户A发起认证过程，则用户A将向接入设备发送认证请求报文；
在该步骤中，所述的认证请求报文可以为PPPOE(基于以太网的点对点协议)报文，也可以为DHCP(动态主机配置协议)报文；
步骤22：当接入设备A接收到用户A的认证请求报文后，在认证请求报文中增加该用户的端口信息，并送到认证设备进行相应的认证处理；或者接入设备A通过其他的通讯协议将该用户的端口信息送到认证设备；
所述的增加的用户的端口信息具体可以为：用户的物理位置信息(即用户的物理端口信息)，用户端口的VLAN(虚拟局域网)信息，或者是用户端口VPI(虚路径标识)/VCI(虚通道标识)信息，等等；
具体包括：可以在用户终端送上来的PPPOE认证报文中增加用户的端口信息，可以在用户终端送上来的DHCP认证报文中增加用户的端口信息；也可以在用户终端送上来的PPPOA认证报文中增加用户的端口信息；或者将用户终端送上来的PPPOA报文转换为PPPOE报文后增加用户的端口信息；或者可以支持采用其他协议将用户端口信息送到上行模块；
步骤23：认证设备获取所述认证请求报文中的MAC地址及用户端口信息，并将获取的信息与保存的信息进行比较判断，以判断该接入用户是否为仿冒MAC地址情况(或者判断是否为MAC地址出现冲突情况)，如果是，则执行步骤25，否则，执行步骤24，即按照正常的处理过程进行认证处理；
具体为，在认证设备上判断所述获取的MAC地址及用户端口信息对应的存储区域的状态：
如果信息存储区域为空(即认证设备上尚未保存任何MAC地址与用户端口的绑定关系信息)，则确定该用户可以合法接入，即未出现MAC地址仿冒或MAC地址冲突情况；
否则，继续判断所述已经存储有信息的存储区域是否有与该接入用户的MAC地址重复的情况，即判断保存的绑定关系中是否已经存在基于该MAC地址的绑定关系信息，如果没有，则仍将执行步骤24，否则，执行步骤25；
在该步骤中，认证设备首先根据MAC地址信息进行判断，如果发现保存的绑定关系中存在该MAC地址信息，则进一步将绑定关系中的端口信息与该MAC地址对应的端口信息进行比较，如果相同(说明是由同一用户发来的认证请求报文)，则不作处理，如果不同，则说明存在MAC地址仿冒或冲突，则需要执行步骤25；如果保存的绑定关系中不存在该MAC地址信息，则确定这是一个新的合法用户的认证请求，并执行步骤24；
步骤24：认证设备将接收到的用户端口的信息和该用户送上来的报文中所带的源MAC地址(如用户A的MAC-A地址)，以及认证设备的端口号进行绑定，并保存在信息对应存储区域中；
接入设备A下的用户A认证通过后，相应的业务便可以正常开展。
步骤25：当认证设备根据收到的认证请求报文中承载的相应信息确定其MAC地址为仿冒或发生MAC地址冲突时，则向相应的接入设备返回认证不成功信息，即认证失败消息；
仍如图1所示，假设当认证设备接收到用户(例如接入设备A的用户A)的认证请求报文，并根据用户的源MAC地址和认证设备的端口判断确定用户的MAC地址MAC-A和已经正常使用的用户冲突，则确定认证失败，并将失败的信息下发到接入设备上；
步骤26：接入设备根据返回的认证失败的消息，将学习到的该端口MAC地址信息及相应的端口信息均删除；
如果该端口在一段时间内由于MAC地址冲突导致多次认证不通过，认证设备通过相应的信息通知接入设备将相应的端口禁止，即禁止任何信息从该端口进入网络；
或者接入设备在一段时间内接收一定数量的由于MAC地址仿冒导致认证失败信息后，将该端口禁止。
如图1所示，其他的接入设备(例如接入设备B)或者用户(例如用户B和用户C)涉及的相应的认证处理过程与上述过程类似，故不再一一详述。
基于上述本发明所述的方法，本发明还提供了一种防止MAC地址仿冒的接入设备，所述的接入设备可以为只支持宽带接入的宽带接入设备，也可以为同时支持宽带接入和窄带接入的综合接入设备；
如图3所示，所述接入设备具体包括：
xDSL接入模块：用于提供xDSL的接入功能，即用于提供xDSL接口，所述的xDSL接口可以为ADSL接口(包括ADSL2、ADSL2+等)，也可以为SHDSL接口，也可以为VDSL接口；
MAC地址仿冒处理模块：用于完成用户接入端口的MAC地址学习功能；该模块可以识别用户终端的认证报文，并且将认证报文和该接入用户的端口信息送到上行接口；该模块可以根据接收到的认证设备下发的认证失败消息，删除相应用户接入端口所学习到的MAC地址；
所述的MAC地址仿冒处理模块还设置有计数器，用于进行由于MAC地址仿冒导致的认证不成功的计数，如果一个端口在一段时间内多次出现MAC地址仿冒的问题，除了可以将所学习到的接入用户的MAC地址删除外，也可以将该接入端口关闭；
上行接口模块：用于将认证报文和该接入用户的端口信息送到认证设备；并支持接收认证设备下发的是否认证成功消息，送到MAC地址仿冒处理模块；所述的上行接口可以为GE接口(可以为光接口或者电接口)，可以为FE接口(可以为光接口或者电接口)，也可以为STM-1接口(可以为光接口或者电接口)、E1接口、E3接口或STM-4接口。
基于本发明所述的方法，还提供了一种防止地址仿冒的认证设备，如图4所示，所述认证设备具体包括：
用户信息存储模块：用于完成用户信息的存储功能，可以将用户的MAC地址信息、用户的端口信息等存储起来；并可以根据该接入用户是否在线，确定是否删除所储存的该用户的MAC地址信息及对应的端口信息；
MAC地址仿冒识别模块：用于接收接入设备发上来的认证报文和用户端口信息，提取用户终端的MAC地址，确认是否存在MAC地址仿冒的问题，如果用户为MAC地址仿冒的用户，向接入设备返回携带端口信息的由于MAC地址仿冒导致认证失败的消息；如果用户为非MAC地址仿冒用户，将认证报文提交认证模块认证，并将用户的信息送到用户信息存储模块进行存储；所述的MAC地址仿冒识别模块还设置有计数器，根据计数器的计数结果如果确定一个接入端口在一段时间内所发的MAC地址仿冒报文超过一定的数量，由可以下发命令，通知接入设备将该接入端口关闭或者禁止；
所述的MAC地址仿冒识别模块可以支持对PPPOE报文进行判断是否存在MAC地址仿冒；可以支持对PPPOA报文进行判断是否存在MAC地址仿冒；可以支持对DHCP报文进行判断是否存在MAC地址仿冒；还可以支持通过其他认证设备和接入设备之间的通讯协议查；
认证模块：用于完成非MAC地址仿冒的用户的认证报文的认证工作；并且，所述的认证模块可以支持PPPOE的认证，或者可以支持PPPOA的认证，或者可以支持DHCP的认证。
在上述接入设备和认证设备中，所述的MAC地址仿冒处理模块和MAC地址仿冒识别模块配合便可以进行针对仿冒的MAC地址进行有效地识别，从而实现本发明的目的。
综上所述，在本发明提供的防止MAC地址仿冒的方法中，认证设备可以根据接收到的认证报文及相应的用户信息，以及该用户的MAC地址信息，进行判断，判断是否存在MAC地址仿冒或者MAC地址冲突的问题，从而有效防止MAC地址仿冒情况出现。
以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。