寬帶接入的認證管理方式分析

深圳市中興通訊股份有限公司 陳曉濤


　　電信運營商的網絡是一個可運營可管理的網絡，前期網絡的泡沫不在于我們的網絡規(guī)模是否超前，我們的帶寬是否太大，而是我們如何管理和運營我們的網絡，從中真正得到應有的效益，同時讓不同需求的用戶得到不同的服務，還有就是充分挖掘現有網絡的潛力，在目前的網絡中提供更多的服務。有必要強調：寬帶城域網應該是一個可運營、可管理的城域電信網絡，而不再是簡單的免費開放的城域計算機網絡平臺。
　　所以我們必須重新審視寬帶城域網建設中的認證、計費、業(yè)務開展等。



一、寬帶接入認證技術概述


　　目前寬帶接入的方式主要有xDSL、LMDS、HomePNA、LAN、HFC、WLAN等，根據不同電信運營商的基礎網絡結構，目前重點應用的有LAN、ADSL、WLAN。


　　以太網接入是指接入網用戶側采用以太網協議的接入技術，其簡單高效，能兼容所有帶標準以太網接口的終端，用戶不需要另配新的接口卡或協議軟件，因而是一種十分廉價的寬帶接入技術。因傳統(tǒng)以太網主要針對小型的專用網絡環(huán)境而設計，強調資源共享，所以在用戶信息的隔離、用戶傳輸質量的保證、業(yè)務管理和網絡可靠性方面考慮不太全面，這對以太網用于公用電信網很不利。目前一些設備制造商和運營商已注意到這些問題，提出了一些有效的解決方案：如通過VLAN進行用戶隔離，用IGMP Snooping(互聯網組管理協議竊聽)技術以及優(yōu)先級控制、Tagged VLAN(帶標記的虛擬局域網)等功能支持有實時與組播要求的視頻點播業(yè)務等；在用戶管理方面常用兩種以太網接入認證技術——基于BNAS(寬帶接入服務器)和PPPoE(基于以太網的點到點協議)認證方法以及基于以太網端口的用戶訪問控制技術IEEE 802.1x協 議。


　　另外一種方式為WEB/Portal 認證方式，各設備廠商具體實現并不完全一致，但其認證過程可以歸納為：用戶開機并通過DHCP服務器分配認證IP地址，局端設備通過對該IP地址進行強制URL訪問到登陸頁面，用戶輸入用戶賬號信息并發(fā)往認證服務器, 認證服務器獲得用戶MAC/IP/VLAN ID作為用戶標識，認證服務器反饋認證成功信息，局端設備將用戶VLAN ID、用戶端口、用戶IP地址和MAC地址進行可選擇性的綁定并開放用戶的上網功能。這種方式認證和業(yè)務流也實現了分離，并可以方便地利用WEB服務器推出Portal和廣告等增值業(yè)務，對用戶進行業(yè)務宣傳及業(yè)務引導。



二、WEB/Portal 認證過程


　　WEB/Portal 認證過程可以簡單描述如下：


　　1． 用戶通過Web/Portal server內置DHCP獲得IP地址。


　　2． 用戶通過Explore訪問WEB/Portal Server,輸入用戶名和密碼。


　　3． WEB/Portal Server獲得用戶MAC/IP/VID作為用戶標識。


　　4． 通過Server給某個MAC/IP/VID以上網權限，并檢驗每個數據流是否滿足權限要求。


　　5． 用戶下線，需要在WEB/PORTAL的Explore界面上注銷，通知系統(tǒng)停止計費。


　　6． 系統(tǒng)定期檢測用戶在線情況，發(fā)現用戶下線，停止計費。


　　傳統(tǒng)的Web/Portal認證是基于業(yè)務類型的認證，不需要安裝其他客戶端軟件，只需要瀏覽器就能完成，就用戶來說較為方便。但是由于Web認證需要7層協議支持，從邏輯上來說為了達到網絡2層的連接和認真而跑到7層，這首先不符合網絡邏輯。


　　由于Web/Portal認證是基于7層的認證，4層以下的網絡問題往往檢測不到。如斷電、突發(fā)故障等異常離線情況必須在2層做檢測，而Web/Portal對此束手無策。因此Web/Portal認證用戶連接性差，不容易檢測用戶離線，基于時間的計費較難實現。


　　如果用戶是異常下線，接入服務器需要根據設置的用戶空閑最長時間來判斷用戶的狀態(tài)。如果超過最長空閑時間，則認為用戶已下線。這種判斷用戶異常下線的方式，可能導致計費結束時間晚于用戶實際的下線時間。要解決這個問題，就可能需要將用戶空閑的最長時間設短，但此時間如果太短，必然又有可能讓用戶在上網的過程中出現多次需要重新進行認證，帶來使用的不方便。


　　Web/Portal認證中，無論什么用戶都可以先獲得IP地址，再上網通過客戶端認證，對目前網絡珍貴的IP地址來說造成了浪費，而且分配IP地址的Web認證服務器對用戶而言是完全裸露的，容易造成被惡意攻擊，并使得整網無法認證。
目前， Web/Portal認證在酒店、校園等網絡環(huán)境中有應用。



三、PPPoE認證


　　基于BNAS和PPPoE的認證方法是較早出現也是最常見的一種用戶管理手段(如圖1所示)。





圖1 PPPoE方式用戶管理




　　采用安裝在端局POP節(jié)點的BNAS，負責終結由用戶PC機發(fā)起的PPPoE進程，并在BNAS后面連接運營商的RADIUS(遠程認證撥入用戶服務)認證服務器和RADIUS計費服務器。當用戶登錄時，BNAS將用戶名和口令傳送到認證服務器，驗證通過后，BNAS將允許用戶接入網絡，并啟動計費服務器對用戶進行計費。BNAS投資昂貴，采用BNAS+PPPoE這一認證方法將增加城域網建設的投資。


　　 BNAS的業(yè)務接入方式與窄帶撥號接入服務器相同，采用PPP方式。采用PPP協議的好處是：成熟，便于實現，可以支持多協議，容易與ISP設施配合，支持加密、認證、記賬等功能。


　　1． PPP終結方式和PPP隧道方式


　　由于PPP連接的終結地方不同，RADIUS或者AAA功能的提供點不同，PPP連接可以分為PPP終結方式和PPP隧道（續(xù)傳）方式。


　　PPP連接終結在BNAS側，稱為PPP終結方式。


　　PPP連接終結在ISP，即PPP分組從用戶終端經過BNAS透明穿過，直接到達ISP節(jié)點，稱為PPP隧道方式或者PPP續(xù)傳方式。


　　2．PPPoE


　　通過PPPoE，在一個共享的以太網上的多個主機，可以通過一個或多個簡單的橋接入設備，與遠程接入集中器進行多個PPP會話。使用這種模型，每個主機使用它自己的PPP協議棧，并且提供給用戶一個熟悉的用戶接口。接入控制、計費和服務類型能夠基于每用戶，而不是每站點來處理。PPPoE包含發(fā)現和PPP會話兩個階段，發(fā)現階段是無狀態(tài)的Client/Server模式，目的是獲得PPPoE終結端的以太網MAC地址，并建立一個唯一的PPPoE SESSION_ID。發(fā)現階段結束后，就進入標準的PPP會話階段。


　　PPPoE有兩個不同的階段：發(fā)現階段和PPP會話階段。當一個主機想開始一個PPPoE會話，它必須首先進行發(fā)現階段以識別對端的以太網MAC地址，并建立一個PPPoE SESSION_ID。在發(fā)現階段，基于網絡的拓撲，主機可以尋找到多個接入集中器。發(fā)現階段允許主機尋找到所有的接入集中器，然后選擇一個。當發(fā)現階段成功完成，主機和選擇的接入集中器都有了他們在以太網上建立PPP連接的信息。直到PPP會話建立，發(fā)現階段一直保持無狀態(tài)的狀態(tài)。一旦PPP會話建立，主機和接入集中器都必須為PPP虛接口分配資源。


　�。�1）發(fā)現階段


　　發(fā)現階段有四個步驟，當此階段完成，通信的兩端都知道PPPoE SESSION_ID和對端的以太網地址，他們一起唯一定義PPPoE會話。這些步驟包括：主機廣播一個發(fā)起分組（PADI），一個或多個接入集中器發(fā)送給予分組（PADO），主機發(fā)送單播會話請求分組（PADR），選擇的接入集中器發(fā)送一個確認分組（PADS）。當主機接收到確認分組，它可以開始進行PPP會話階段。當接入集中器發(fā)送出確認分組，它可以開始進行PPP會話階段。


　　當主機在指定的時間內沒有接收到PADO，它應該重新發(fā)送它的PADI分組，并且加倍等待時間，這個過程會被重復期望的次數。如果主機正在等待接收PADS，應該使用具有主機重新發(fā)送PADR的相似超時機制。在重試指定的次數后，主機應該重新發(fā)送PADI分組。


　　 PPPoE還有一個PADT分組，它可以在會話建立后的任何時候發(fā)送，來終止PPPoE會話。它可以由主機或者接入集中器發(fā)送。當接收到一個PADT，不再允許使用這個會話來發(fā)送PPP業(yè)務。在發(fā)送或接收PADT后，即使正常的PPP終止分組也不必發(fā)送。PPP對端應該使用PPP協議自身來終止PPPoE會話，但是當PPP不能使用時，可以使用PADT。


　�。�2） PPP會話階段


　　一旦PPPoE會話開始，PPP數據就可以像其它的PPP封裝形式一樣發(fā)送。所有的以太網幀都是單播的。PPPoE會話的 SESSION_ID一定不能改變，并且必須是發(fā)現階段分配的值。


　　PPP連接可以分為PPP終結方式和PPP續(xù)傳方式。PPP連接終結在BNAS側，成為PPP終結方式。PPP連接終結在ISP，即PPP分組從用戶終端經過BNAS透明穿過，直接到達ISP節(jié)點，相當于用戶終端到ISP是一個PPP連接的隧道，所以也稱為L2TP VPN方式。



四、IEEE 802.1x認證


　　采用寬帶接入服務器BNAS和PPPoE技術的用戶管理方式目前存在如下問題：


　　◊ 由于寬帶接入服務器要終結大量的PPP會話，并轉發(fā)IP數據包，使寬帶接入服務器成為網絡性能的“瓶頸”，這可以通過合理的組網方式部分解決問題。


　　◊ 寬帶接入服務器通常放置在端局的位置，其下是巨大的廣播域，從用戶安全角度考慮，需要通過VLAN(虛擬局域網)技術來實現用戶的隔離，但是目前的設備只能支持最大4096個虛擬局域網。


　　◊ 由于PPPoE的點到點特性，使城域網組播業(yè)務的開展受到極大的限制。


　　◊ 采用BNAS和PPPoE方式增加了城域網建設的投資。


　　采用基于以太網端口的用戶訪問控制技術，可以克服PPPoE方式帶來的諸多問題，并避免引入寬帶接入服務器所帶來的巨大投資。


　　在傳統(tǒng)以太網設備基礎上，基于端口的網絡訪問控制技術采用IEEE 802.1x協議，提供了對基于以太網的點到點連接的端口用戶進行認證和授權的能力，從而使以太網設備達到電信運營要求，如圖2所示。用戶側的以太網交換機上放置一個擴展認證協議(EAP)代理，用戶PC機運行EAPoE(EAP over Ethernet)的客戶端軟件與交換機通信。當用戶通過EAPoE登錄交換機時，交換機將用戶名和口令傳送到后臺的RADIUS認證服務器上，如果用戶名／口令通過驗證，則相應以太網端口打開，允許用戶訪問；如果認證失敗，端口接入將被阻止。





　　基于端口的訪問控制技術(IEEE 802.1x協議)是為運營商提供的一種較為經濟實用的認證方式，可實現用戶設備在城域網邊緣的分散用戶集中認證管理，替代寬帶接入服務器實現城域網范圍內的用戶管理功能。


　　1． 技術介紹


　　基于以太網端口的用戶管理認證技術通過3個部分的功能實體來實現以太網端口用戶管理認證的模式


　　(1) 用戶PC上的客戶端軟件


　　輸入用戶ID(標識)和密碼，實現認證的客戶端主要功能。


　　(2) 靠近用戶側的以太網交換機


　　在普通以太網交換機上進行擴展，實現遠端授權撥號上網用戶服務認證代理功能，并根據RADIUS服務器的認證結果，開放用戶連接以太網業(yè)務端口的訪問權限。


　　(3) RADIUS服務器


　　進行用戶ID和密碼的認證，并返回結果給以太網交換機。


　　初始狀態(tài)下，與最終用戶相連的以太網交換機(放置在樓道的交換機)的所有業(yè)務端口是關閉的，只有管理和認證的端口是開放的。用戶通過客戶端軟件登錄交換機，交換機將用戶提供的ID和密碼傳送到后臺的RADIUS服務器(可以在本地，也可以通過廣域網設備連到遠地)上，如果用戶ID和密碼認證通過，則以太網交換機相應的業(yè)務端口打開，允許用戶訪問城域網絡。


　　通過這種基于L2(二層)以太網交換機的用戶管理方法，可以使城域網整體的組網變得非常簡單，通過L2以太網交換機和路由器兩種設備即基本實現，可同時實現業(yè)務的集中控制(以RADIUS為核心的業(yè)務中心控制)和分散實現(靠近用戶的以太網交換機實現)，滿足可運營、可管理寬帶城域網的用戶管理認證要求。


　　2． IEEE 802.1x協議


　　基于端口的網絡訪問控制技術，在傳統(tǒng)以太網設備的基礎上，采用IEEE 802.1x協議提供對基于以太網端口點到點連接的用戶進行認證、授權的能力，從而使以太網設備可以達到電信運營的要求，尤其在寬帶城域網的建設中可以發(fā)揮重大的作用。


　　802.1x協議是基于Client/Server的訪問控制和認證協議。它可以限制未經授權的用戶/設備通過接入端口訪問LAN/MAN。在獲得交換機或LAN提供的各種業(yè)務之前，802.1x對連接到交換機端口上的用戶/設備進行認證。在認證通過之前，802.1x只允許EAPoL(基于局域網的擴展認證協議)數據通過設備連接的交換機端口；認證通過以后，正常的數據可以順利地通過以太網端口。


　　(1) 協議簡介


　　基于端口的網絡訪問技術的基本思想是網絡系統(tǒng)可以控制面向最終用戶的以太網端口，使得只有網絡系統(tǒng)允許并授權的用戶可以訪問網絡系統(tǒng)的各種業(yè)務(如以太網連接，網絡層路由，Internet接入等業(yè)務)。


　　網絡訪問技術的核心部分是PAE(端口訪問實體)。在訪問控制流程中，端口訪問實體包含3部分：


　　認證者——對接入的用戶/設備進行認證的端口；


　　請求者——被認證的用戶/設備；


　　認證服務器——根據認證者的信息，對請求訪問網絡資源的用戶/設備進行實際認證功能的設備。


　　以太網的每個物理端口被分為受控和不受控的兩個邏輯端口，物理端口收到的每個幀都被送到受控和不受控端口。對受控端口的訪問，受限于受控端口的授權狀態(tài)。認證者的PAE根據認證服務器認證過程的結果，控制“受控端口”的授權/未授權狀態(tài)。處在未授權狀態(tài)的控制端口，拒絕用戶/設備的訪問。


　　(2)以太網端口的受控和非受控接入


　　 圖3示意了受控端口的認證狀態(tài)對訪問的影響。認證者1(可能是以太網交換機的某個端口)的受控端口處于未授權狀態(tài)，因此受控端口對連接在物理端口上的用戶MAC(媒體訪問控制)是關閉的，用戶的幀無法通過受控端口訪問網絡資源；認證者2(以太網交換機的另一個端口)的受控端口已經授權，因此連接的端口是開放的，用戶可以自由訪問網絡資源。






　　(3)受控和非受控端口在用戶認證中的應用


　　圖4示意了受控和非受控端口在認證過程中的應用。用戶對網絡資源的正常訪問都是在認證、授權以后，通過受控端口進行的；而非受控的端口用于認證之前，傳遞認證所需的各種信息。認證者PAE根據認證過程的結果，改變受控端口的授權狀態(tài)，從而實現對用戶訪問網絡資源的限制。





　　(4) 用戶以太網端口認證流程


　　用戶、以太網端口和認證服務器之間認證者(以太網端口)的受控端口處于未授權狀態(tài)，用戶/設備是無法享用認證者(以太網端口)提供的網絡接入業(yè)務的。認證者PAE利用非受控的端口，通過EAPoL協議與請求者PAE進行認證信息交互，并采用EAP協議與認證服務器進行通信。認證者PAE根據認證服務器返回的認證結果，開放或關閉受控端口的授權，從而控制最終用戶對網絡的訪問。


　　認證者PAE的作用相當于認證服務器的代理。它可以與認證服務器位于同一物理設備，也可以通過LAN、WAN與認證服務器進行本地和遠程認證。


　　(5) IEEE 802.1x的主要內容


　　端口訪問控制的應用前提是在用戶(請求者)和認證者(以太網端口)之間提供一條點到點的連接，這樣使認證以端口的形式進行。


　　基于端口的網絡訪問控制定義了3方面內容：


　　規(guī)定了請求者與認證者之間的認證信息通信協議；


　　認證者與認證服務器之間的通信協議；


　　根據協議交換的結果，控制認證者端口狀態(tài)的機制。


　　由于以太網設備(認證者)只是RADIUS的認證代理，負責傳遞認證信息，并根據認證服務器給出的結果進行操作，并不參與其實際的認證。
　　(6) 802.1x協議的特點


　　基于以太網端口認證的802.1x協議有如下特點：


　　借用了在RAS系統(tǒng)中常用的EAP(擴展認證協議)；


　　可以使用現有的后臺認證系統(tǒng)降低部署的成本，并有豐富的業(yè)務支持；


　　可以映射不同的用戶認證等級到不同的VLAN；


　　可以使交換端口和無線LAN具有安全的認證接入功能；



五、不同認證方式的比較


　　項目 WEB/Portal BNAS+PPPoE 802.1x


　　標準化程度 尚無標準 成熟標準 標準有待成熟，客戶端軟件廠家私有IP地址分配方式 DHCP方式，可基于端口分配，且能進行數量限制，地址分配不可控，容易造成地址浪費，先分配地址，后認證。 IPCP協商得到IP地址，自動配置網絡參數，先認證，后分配IP地址。 DHCP方式，先認證，后分配IP地址。


　　認證粒度 針對VLAN，一個VLAN一個用戶 針對用戶連接，一個端口可有多個用戶 針對端口，一個端口一個用戶（可擴展，創(chuàng)建邏輯端口，即可支持一個端口下多個用戶）RADIUS 標準化，基本成熟 標準化，成熟，所有的Radius都支持PPPoE 標準化，但目前Radius均不支持802.1X認證，需要做大量開發(fā)工作計費粒度 按用戶計費,無法精確判定異常原因下用戶離線時間，精度低 按用戶計費，且計費精度高 僅支持物理端口計費，同一端口下不同用戶無法區(qū)分安全性 IP/MAC/VLAN三者綁定，同一VLAN下易被仿冒IP、MAC PPP協議保證，不易被仿冒 物理端口使能時進行認證，認證通過后無限制，安全性差用戶數據包識別方式 IP地址+VLAN+MAC情況下，安全性較高 PPP SESSION ID，安全性最高 擴展方式支持MAC\VID，但MAC方式安全性差,VID方式成本高。客戶端軟件支持 需客戶端預裝IE（或其它瀏覽器） PPP撥號軟件（windows XP中已經集成） 專門的客戶端軟件或Windows XP用戶使用方便性 無需任何額外操作，最為簡單方便 與窄帶撥號一致，網絡參數自動配置 用戶必須啟動專門的客戶端軟件，需要對用戶進行專門培訓增值業(yè)務支持能力 可以結合Portal，實現多種業(yè)務選擇 可以結合Portal，實現多種業(yè)務選擇 不支持，需要做大量重新開發(fā)組播支持 不支持，只支持廣播 不支持，但可以在接入設備上進行組播流復制；如果用戶 側劃分了VLAN，則也不支持 支持，帶寬利用率高；如果用戶側劃分了VLAN則也不支持帶寬限制 接入設備端口上基于每個用戶限制 接入設備端口上基于每個用戶限制 接入設備物理端口上限制，不能再區(qū)分同一端口下不同用戶組網特性 集中的用戶接入控制點，需要下層設備支持VLAN劃分 集中的用戶接入控制點，一般不需要下層設備支持VLAN劃分 分散的用戶接入控制點網絡性能 網絡沒有集中“瓶頸”問題 寬帶接入服務器許終結大量的PPP會話，并對其下數據包進行路由，易產生網絡“瓶頸” 小區(qū)分散路由，網絡沒有集中“瓶頸”問題適用對象 固定用戶、卡號用戶 固定用戶、卡號用戶 固定用戶、卡號用戶（但不可以輸入用戶名和密碼）設備維護成本 維護服務器，分散式維護，成本高 維護BNAS，集中維護，成本較低 維護底層交換機，分散維護，成本較高組網成本 支持VALN的2、3層設備和WEB/DHCP服務器，成本高 常規(guī)2、3層設備和BNAS，成本較高 眾多支持802.1X的2層設備和常規(guī)3層設備，成本低網絡應用 少量商業(yè)網開局 大量商業(yè)網開局 少量商業(yè)網開局
建設成本 需要增加WEB/DHCP等服務器設備 需要增加寬帶接入設備 只需對原有的以太網交換機進行升級


　　通過上面的論述，可以看出，PPPoE認證方式屬于較成熟的應用；802.1X對組播支持能力較強，但用戶控制能力方面較弱，目前尚未大規(guī)模商業(yè)；WEB/Portal方式則可以實現較多的增值業(yè)務，但需要VLAN支持，對VLAN資源消耗較大。


PPPoE出現較早，產品支持最多；WEB方式由于無標準，產品實現技術不統(tǒng)一；802.1x為新認證方式，產品支持最少。


　　三種認證技術各有優(yōu)缺點，需要在實際應用中根據每種技術的技術特點和實際情況，綜合考慮才會使寬帶城域網發(fā)揮應有的效益。


　　總之，WEB/Portal方式浪費了網絡IP地址資源，增加了網絡投資，目前不能滿足電信運營商規(guī)模的大型寬帶城域網，較適合應用于園區(qū)網和校園網；PPPoE方式成熟可靠，需要增加投資的寬帶接入服務器BNAS等設備目前成本也大幅下降，通過合理的組網方式和設備性能的提升，可以解決所謂的網絡瓶頸問題；802.1x推出較晚，標準目前不是很成熟，但其一次性投資低，支持組播等特性使其具有強大的生命力，隨著標準的統(tǒng)一和完善，必然是未來寬帶城域網首選的認證管理方式。




----《通信世界》