宽带用户认证管理方式和技术实现探讨
一、建设电信级宽带IP城域网
宽带IP城域网成为电信网的骨干网络已是不争的事实,但是目前宽带IP城域网还不是一个电信级的网络,它的可运营、可管理特性同PSTN相比还存在较大差距。从可管理性方面来说,对用户实施业务的前提条件是识别用户,和PSTN网一样,用户分两类:卡号用户和固定用户,卡号用户是通过用户名、密码来识别用户,固定用户需要通过一些物理标识或二层逻辑标识来识别,宽带接入和窄带拨号接入不一样,窄带拨号接入目前只支持卡号用户,宽带接入不仅要支持卡号用户,也要支持固定用户,两种方式有不同的应用场合。在ADSL接入中,主要通过用户PVC的VPI/VCI来识别,但是在以太网接入中,卡号用户可以用PPPoE的SessionID(转发平面)在识别并转发,那对固定用户呢?华为公司采用了自己独有的专利技术,通过VLAN
ID来识别用户,从而使使用以太网技术来组建大规模的以太接入网成为了可能。
二、现有的宽带用户认证管理核心技术(PPPoE、WEB、DHCP)分析
认证可称AAA,包含三个方面:
Authentication鉴别、Authorization授权、Accounting计费。Radius协议是用来解决AAA的,现在用得最广,成为事实上的标准。
用户主机与网络设备的通信方式:大致可分PPPoE、DHCP/DHCP+、WEB方式;后面会专门介绍这三种方式。
网络设备与AAAServer的通信协议:采用标准的Radius协议,为实现增强功能,可采用扩展的Radius协议,即俗称Radius+;网络设备与AAA
Server通过Radius协议的认证的简要过程如下:
网络设备向AAA Server发出Access Request包,其中包含用户的帐号、密码、端口号、端口类型等;
AAA Server向网络设备回送Access Response包,其中包含用户的合法性和用户的一些设置,如IP地址,掩码,DNS
server,上网带宽,上网时段等;
网络设备不断向AAAServer发送计费消息包,这些消息包可以反映出上网开始时间,上网结束时间,输入输出流量,Session ID、帐号等;
三种认证方式在宽带接入中,按用户与网络设备之间的通信方式,可将认证分为以下三种:
(1)PPPoE(包PPPoA、PPTP等)
(2)DHCP/DHCP+
(3)Web认证
1、PPPoE认证
通过PPPoE(Point-to-Point Protocol over
Ethernet)协议,服务提供商可以在以太网上实现PPP协议的主要功能,包括采用各种灵活的方式管理用户。 PPPoE(Point-to-Point
Protocol over Ethernet)协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。
PPPoE的建立需要两个阶段,分别是搜寻阶段(Discovery stage)和点对点对话阶段(PPP Session
stage)。当一台主机希望启动一个PPPoE对话,它首先必须完成搜寻阶段以确定对端的以太网MAC地址,并建立一个PPPoE的对话号(SESSION_ID)。
在PPP协议定义了一个端对端的关系时,搜寻阶段是一个客户-服务器的关系。在搜寻阶段的进程中,主机(客户端)搜寻并发现一个网络设备(服务器端)。在网络拓扑中,主机能与之通信的可能有不只一个网络设备。在搜寻阶段,主机可以发现所有的网络设备但只能选择一个。当搜索阶段顺利完成,主机和网络设备将拥有能够建立PPPoE的所有信息。
搜索阶段将在点对点对话建立之前一直存在。一旦点对点对话建立,主机和网络设备都必须为点对点对话阶段虚拟接口提供资源。
PPPoE一般用于卡号用户,卡号用户的帐号和密码是通过PPPoE拔号软件输入的,费用也从输入的帐号上扣。
PPPoE认证主要利用PPP的一些属性,与它类似的认证方式还有PPPoA、PPTP、L2TP等。相比之下,PPPoE应用最普遍。
2、DHCP认证
DHCP的认证过程如下: 用户主机上电,发出DHCP Requst广播包;该包到达网络设备,网络设备得到用户的Vlan ID,根据Vlan
ID查表得到用户的认证帐号。将认证帐号送到Radius Server认证。Radius server返回认证响应。
用户上internet,有流量流经网络设备。网络设备检测到用户的上网流量,向Radius server发计费开始的消息包。
关机时,用户主机会发出DHCP Release包;该包达到网络设备,网络设备将向Radius
server发一个终止计费的消息包,该包同时也包含了用户的流量。计费结束。 DHCP认证适合固定用户。
3、Web认证
认证步骤如下: 用户机器上电启动,系统程序根据配置,通过DHCP由ISN做DHCP-Relay,向DHCP Server 要IP地址(私网或公网);
ISN为该用户构造对应表项信息(基于端口号、IP),添加用户ACL服务策略(让用户只能访问portal
server和一些内部服务器,个别外部服务器如DNS); Portal server向用户提供认证页面。在该页面中,用户输入帐号和口令,并单击"log
in"按钮。也可不输入由帐号和口令,直接单击"Log in"按钮; 该按钮启动portal
server上的Java程序,该程序将用户信息(IP地址,帐号和口令)送给网络中心设备ISN;
ISN8850利用IP地址将收到用户的信息,对用户的合法性进行检查。便于以后的合法性检查。如果用输入了帐号,则认为是卡号用户,使用用户输入的帐号和口令到Radius
server对用户进行认证。如果用户未输入帐号,则认为用户是固定用户,网络设备利用Vlan ID(或PVC
ID)查用户表得到用户的帐号和口令。将帐号送到Radius server进行认证; Radius Server返回认证结果给网络设备;
认证通过后,修改该用户的ACL,用户可以访问外部因特网或特定的网络服务。 用户离开网络前,连接到portal
server上,单击"断开网络"按钮。系统停止计费,删除用记的ACL和转发信息,限制用户不能访问外部网络。
在以上过程中,要注意检测用户非正常离开网络的情况,如用户主机死机,网络断掉,直接关机等。华为公司提供多种专利检测办法,如根据流量进行判断,通过测试用户主机是否正常运作进行判断等。
三种认证方式的比较
安全性:三种认证方式的安全性相当,都可对用户名和密码加密。IP地址防盗用、地址绑定、用户隔离等安全措施是由二层物理隔离和网络设备特殊处理实现,与认证方式无关。
PPPoE的缺点:用户主机需要增加额外的终端PPPoE拔号软件,从而带来较大的维护工作。 只有WEB认证和DHCP认证最为方便,不需要安装终端软件。
总结:采用Web计证,最好将Vlan ID(PVC
ID)作为一种定位用户上网位置的手段。如果用户接入采用公网IP地址,则存在地址紧张问题,建议同时采用DHCP认证和Web认证。同时DHCP认证用于分配IP地址,避免给非法用户分配IP地址;Web认证用来授权和计费。
在以上三种认证方式中,为防止非法用户使用网络和攻击,在网络设备中要采取地址反欺骗技术和动态ACL防火墙技术。
三、宽带接入服务器BAS建设模式分析
宽带接入服务器BAS设备是应ATM ADSL应用的需要而出现的,因为ATM
ADSL的承载网络是纯二层的ATM网络,无法实现IP层的管理,因此,需要一个网关设备,在ATM网络和IP网络之间实现适配,这个网关设备就是BAS,这种
网络结构同时也造成了BAS需要实现大而全的功能,包括认证,网络适配(如PPPOE终结,桥接终结等),安全管理,计费,业务汇聚收敛等等功能,设备非常复杂,而且容易产生网络瓶颈,BAS往往是宽带网最薄弱和最容易出问题的环节。
随着IP网络逐步取代ATM网络成为城域的基础网络,BAS这种集中管理的模式逐步会成为没有必要,城域网络是IP三层网络,不同层次的IP交换设备具备不同层次的管理功能,也就是说,IP的管理功能分散到网络的各个层次设备中去了,而不再需要一个独立的、集中的、大而全的BAS。例如,带宽限制在IP接入层就解决了,用户认证可由IP接入设备/汇聚层设备和AAA
Server配合即可完成,不再需要复杂的PPPOE的二层隧道认证方式,IP接入层/汇聚层设备对流量信息的收集,和AAA
SERVER配合即可实现计费功能。因此,随着电信级IP接入和交换设备的逐步出现,IP网络将朝端到端、分散式管理的方向发展。
Ethernet接入不会再象ATM
ADSL接入一样,需要BAS的集中管理设备,因为IP网络是三层网络,网络不同层次的设备具备了IP层的管理能力,这为IP分散管理的可行性提供了前提,虽然目前的大部分的三层交换机和路由器主要还是面向企业网的应用而设计,但是,我们看到,越来越多的电信级的管理功能在逐步的增加到这些设备中,新出现的专门为电信应用度身定做的IP接入和交换设备也在出现,例如华为的MA5200、ISN8850等。
总体而言,BAS的功能可以作为一个模块,存在于不同的网络结构和应用中时,它的组成和最佳应用位置也是不同的,并非越大越集中越好。随着宽带城域网建设的深入,BAS功能的分布也呈现出多样化的特征。