寬頻使用者認證管理方式和技術實現探討

寬頻使用者認證管理方式和技術實現探討

一、建設電信級寬頻IP城域網

寬頻IP城域網成為電信網的骨幹網路已是不爭的事實，但是目前寬頻IP城域網還不是一個電信級的網路，它的可運營、可管理特性同PSTN相比還存在較大差距。從可管理性方面來說，對使用者實施業務的前提條件是識別使用者，和PSTN網一樣，使用者分兩類：卡號使用者和固定使用者，卡號使用者是通過使用者名稱、密碼來識別使用者，固定使用者需要通過一些物理標識或二層邏輯標識來識別，寬頻接入和窄帶撥號接入不一樣，窄帶撥號接入目前只支援卡號使用者，寬頻接入不僅要支援卡號使用者，也要支援固定使用者，兩種方式有不同的應用場合。在ADSL接入中，主要通過使用者PVC的VPI/VCI來識別，但是在乙太網路接入中，卡號使用者可以用PPPoE的SessionID(轉寄平面)在識別並轉寄，那對固定使用者呢？華為公司採用了自己專屬的專利技術，通過VLAN
ID來識別使用者，從而使使用乙太網路技術來組建大規模的以太接入網成為了可能。

二、現有的寬頻使用者認證管理核心技術（PPPoE、WEB、DHCP）分析

認證可稱AAA，包含三個方面：
Authentication鑒別、Authorization授權、Accounting計費。Radius協議是用來解決AAA的，現在用得最廣，成為事實上的標準。

使用者主機與網路裝置的通訊方式：大致可分PPPoE、DHCP/DHCP+、WEB方式；後面會專門介紹這三種方式。
網路裝置與AAAServer的通訊協定：採用標準的Radius協議，為實現增強功能，可採用擴充的Radius協議，即俗稱Radius+；網路裝置與AAA
Server通過Radius協議的認證的簡要過程如下：
網路裝置向AAA Server發出Access Request包，其中包含使用者的帳號、密碼、連接埠號碼、連接埠類型等；
AAA Server向網路裝置回送Access Response包，其中包含使用者的合法性和使用者的一些設定，如IP地址，掩碼，DNS
server，上網頻寬，上網時段等；
網路裝置不斷向AAAServer發送計費訊息包，這些訊息包可以反映出上網開始時間，上網結束時間，輸入輸出資料流量，Session ID、帳號等；

三種認證方式在寬頻接入中，按使用者與網路裝置之間的通訊方式，可將認證分為以下三種：
（1）PPPoE（包PPPoA、PPTP等）
（2）DHCP/DHCP+
（3）Web認證

1、PPPoE認證
通過PPPoE（Point-to-Point Protocol over
Ethernet）協議，服務提供者可以在乙太網路上實現PPP協議的主要功能，包括採用各種靈活的方式系統管理使用者。 PPPoE（Point-to-Point
Protocol over Ethernet）協議允許通過一個串連客戶的簡單乙太網路橋啟動一個PPP對話。
PPPoE的建立需要兩個階段，分別是搜尋階段（Discovery stage）和點對點對話階段（PPP Session
stage）。當一台主機希望啟動一個PPPoE對話，它首先必須完成搜尋階段以確定對端的乙太網路MAC地址，並建立一個PPPoE的對話號（SESSION_ID）。
在PPP協議定義了一個端對端的關係時，搜尋階段是一個客戶-伺服器的關係。在搜尋階段的進程中，主機（用戶端）搜尋並發現一個網路裝置（伺服器端）。在網路拓撲中，主機能與之通訊的可能有不只一個網路裝置。在搜尋階段，主機可以發現所有的網路裝置但只能選擇一個。當搜尋階段順利完成，主機和網路裝置將擁有能夠建立PPPoE的所有資訊。
搜尋階段將在點對點對話建立之前一直存在。一旦點對點對話建立，主機和網路裝置都必須為點對點對話階段虛擬介面提供資源。
PPPoE一般用於卡號使用者，卡號使用者的帳號和密碼是通過PPPoE拔號軟體輸入的，費用也從輸入的帳號上扣。
PPPoE認證主要利用PPP的一些屬性，與它類似的認證方式還有PPPoA、PPTP、L2TP等。相比之下，PPPoE應用最普遍。
2、DHCP認證
DHCP的認證過程如下： 使用者主機上電，發出DHCP Requst廣播包；該包到達網路裝置，網路裝置得到使用者的Vlan ID，根據Vlan
ID查表得到使用者的認證帳號。將認證帳號送到Radius Server認證。Radius server返回認證響應。
使用者上internet，有流量流經網路裝置。網路裝置檢測到使用者的上網流量，向Radius server發計費開始的訊息包。
關機時，使用者主機會發出DHCP Release包；該包達到網路裝置，網路裝置將向Radius
server發一個終止計費的訊息包，該包同時也包含了使用者的流量。計費結束。 DHCP認證適合固定使用者。
3、Web認證
認證步驟如下： 使用者機器上電啟動，系統程式根據配置，通過DHCP由ISN做DHCP-Relay，向DHCP Server 要IP地址（私網或公網）；
ISN為該使用者構造對應表項資訊（基於連接埠號碼、IP），添加使用者ACL服務策略（讓使用者只能訪問portal
server和一些內部伺服器，個別外部伺服器如DNS）； Portal server向使用者提供認證頁面。在該頁面中，使用者輸入帳號和口令，並單擊"log
in"按鈕。也可不輸入由帳號和口令，直接單擊"Log in"按鈕； 該按鈕啟動portal
server上的Java程式，該程式將使用者資訊（IP地址，帳號和口令）送給網路中心裝置ISN；
ISN8850利用IP地址將收到使用者的資訊，對使用者的合法性進行檢查。便於以後的合法性檢查。如果用輸入了帳號，則認為是卡號使用者，使用使用者輸入的帳號和口令到Radius
server對使用者進行認證。如果使用者未輸入帳號，則認為使用者是固定使用者，網路裝置利用Vlan ID（或PVC
ID）查使用者表得到使用者的帳號和口令。將帳號送到Radius server進行認證； Radius Server返回認證結果給網路裝置；
認證通過後，修改該使用者的ACL，使用者可以訪問外部網際網路或特定的網路服務。 使用者離開網路前，串連到portal
server上，單擊"斷開網路"按鈕。系統停止計費，刪除用記的ACL和轉寄資訊，限制使用者不能訪問外部網路。
在以上過程中，要注意檢測使用者非正常離開網路的情況，如使用者主機死機，網路斷掉，直接關機等。華為公司提供多種專利檢測辦法，如根據流量進行判斷，通過測試使用者主機是否正常運作進行判斷等。

三種認證方式的比較
安全性：三種認證方式的安全性相當，都可對使用者名稱和密碼加密。IP地址防盜用、地址綁定、使用者隔離等安全措施是由二層物理隔離和網路裝置特殊處理實現，與認證方式無關。
PPPoE的缺點：使用者主機需要增加額外的終端PPPoE拔號軟體，從而帶來較大的維護工作。 只有WEB認證和DHCP認證最為方便，不需要安裝終端軟體。
總結：採用Web計證，最好將Vlan ID(PVC
ID)作為一種定位使用者上網位置的手段。如果使用者接入採用公網IP地址，則存在地址緊張問題，建議同時採用DHCP認證和Web認證。同時DHCP認證用於分配IP地址，避免給非法使用者指派IP地址；Web認證用來授權和計費。
在以上三種認證方式中，為防止非法使用者使用網路和攻擊，在網路裝置中要採取地址反欺騙技術和動態ACL防火牆技術。

三、寬頻接入伺服器BAS建設模式分析

寬頻接入伺服器BAS裝置是應ATM ADSL應用的需要而出現的，因為ATM
ADSL的承載網路是純二層的ATM網路，無法實現IP層的管理，因此，需要一個網關裝置，在ATM網路和IP網路之間實現適配，這個網關裝置就是BAS，這種

網路結構同時也造成了BAS需要實現大而全的功能，包括認證，網路適配（如PPPOE終結，橋接終結等），安全管理，計費，業務匯聚收斂等等功能，裝置非常複雜，而且容易產生網路瓶頸，BAS往往是寬頻網最薄弱和最容易出問題的環節。
隨著IP網路逐步取代ATM網路成為城域的基礎網路，BAS這種集中管理的模式逐步會成為沒有必要，城網域網路是IP三層網路，不同層次的IP交換裝置具備不同層次的管理功能，也就是說，IP的管理功能分散到網路的各個層次裝置中去了，而不再需要一個獨立的、集中的、大而全的BAS。例如，頻寬節流設定在IP接入層就解決了，使用者認證可由IP接入裝置/匯聚層裝置和AAA
Server配合即可完成，不再需要複雜的PPPOE的二層隧道認證方式，IP接入層/匯聚層裝置對流量資訊的收集，和AAA
SERVER配合即可實現計費功能。因此，隨著電信級IP接入和交換裝置的逐步出現，IP網路將朝端到端、分散式管理的方向發展。
Ethernet接入不會再象ATM
ADSL接入一樣，需要BAS的集中管理裝置，因為IP網路是三層網路，網路不同層次的裝置具備了IP層的管理能力，這為IP分散管理的可行性提供了前提，雖然目前的大部分的三層交換器和路由器主要還是面向企業網的應用而設計，但是，我們看到，越來越多的電信級的管理功能在逐步的增加到這些裝置中，新出現的專門為電信應用度身定做的IP接入和交換裝置也在出現，例如華為的MA5200、ISN8850等。
總體而言，BAS的功能可以作為一個模組，存在於不同的網路結構和應用中時，它的組成和最佳應用位置也是不同的，並非越大越集中越好。隨著寬頻城域網建設的深入，BAS功能的分布也呈現出多樣化的特徵。