重慶鐵通寬帶接入認證計費系統改造分析

寬帶網絡提供ADSL、Ethernet、HFC、WLAN的接入方式。寬帶接入服務器（BAS）是借鑒窄帶接入的成熟運作模式，其主要功能是結合路由器或交換機等網絡設備，完成對寬帶用戶的3A接入控制：認證（Authentication），驗證用戶的身份與可使用的網絡服務；授權（Authorization），依據認證結果開放網絡服務給用戶；計賬（Accounting），記錄用戶各種網絡服務的用量，并提供給計費系統。

其實現過程如下：用戶端設備—BAS（AAA客戶端）—AAAServer（AAA服務器）—計費系統；從BAS到AAA服務器之間通常采用RADIUS協議；AAA服務器和計費系統一般采用集中架構，以支持用戶漫游和減少成本。

認證技術分析比較

1.按網絡層次劃分比較

按照IP網絡分層模型，在協議每一層都可以針對接入用戶進行網絡的認證、鑒權。認證技術大致劃分為以下4種。

(1)物理層認證：802.11b采用典型的物理層認證。物理層認證的優(yōu)勢是不需要改動上層MAC或者TCP/IP；缺點是需要對NIC和接入服務器的硬件進行改動，并且協議修改反應到設備支持的周期長，而且很難和AAA進行集成。

(2)鏈路層認證：鏈路層認證的代表技術是PPPoE和802.1x，該認證方式的優(yōu)點是不需要對設備的硬件進行改動，通過軟件升級就可以實現新的認證技術引入。協議反應周期短，可以和AAA進行快速有效的融合（通過EAP）。其缺點是需要對鏈路層進行改動。

(3)IP層認證：IP層認證不需要對客戶的MAC和TCP/IP層進行修改，其缺點是在認證前需要向認證請求者開放一部分網絡訪問權限，為用戶分配地址。基于IP的認證一般不提供統計計費能力，擴展性不好。

(4)UDP/TCP應用層認證：UDP/TCP認證采用應用層認證，不需要對底層進行修改，一般采用令牌協議，在認證前需要開放部分網絡，沒有統計計費能力，擴展性不好。

綜合以上4種認證方式，可以發(fā)現鏈路層認證的優(yōu)勢突出。其特點是快速、簡單和成本低廉。多數的鏈路層協議像PPPoE和IEEE802都可以支持基于鏈路層的認證技術。客戶在認證之前不需要進行服務器的定位，不需要獲得IP地址。網絡接入設備只需要有限的三層功能，可以輕易實現和AAA的結合，從而提供豐富、靈活的認證方式和計費手段。在多協議網絡環(huán)境中，基于鏈路層的認證可以實現對上層應用的完全透明，也就是說可以實現和新的網絡層協議（比如IPv6）的兼容。鏈路層認證的處理減小了認證包處理的延時，保證了關鍵性應用的服務質量。

2.按實現方式比較

用戶認證與授權是網絡安全中的一個重要問題，只有網絡用戶的身份得到了有效、安全的認證，才能合理地對網絡的行為進行控制，從而保證整個網絡系統的安全與健康運營。目前業(yè)界常用的認證技術主要有PPPoE技術、Web技術和802.1x技術3種認證。

(1)PPPoE技術

PPPoE是目前xDSL網絡和以太網接入中的主流認證協議。該協議保留和繼承了PPP協議的特點：成熟，便于實現，可以支持多協議，容易與運營商現有設施配合，支持加密、認證、記賬等功能。但是PPPoE也存在一些固有的缺陷：認證流和業(yè)務流混合，認證流和業(yè)務流采用相同封裝，除了業(yè)務流引入不必要的PPP封裝開銷之外，還限制了一些新興的組播和流媒體應用在寬帶網絡中的推廣。

PPPoE協議的建立過程需要兩個階段：搜尋階段和點對點對話階段。PPPoE的發(fā)起設備通過搜尋階段確定目的端網絡設備的MAC地址，進而建立一個PPPoE的連接。當PPPoE的連接建立后，可以進行多種網絡特性的協商，包括決定其網絡可用性的身份認證。

(2)Web/VLAN技術

Web/VLAN技術是從MAC/VLAN改良而來的接入控制技術。當用戶尚未完成認證時，用戶的VLAN只能到達交換機內置或外接的Web認證模塊。當用戶通過認證后，Web認證模塊再命令交換機將用戶的VLANID打開。Web/VLAN技術提供了基于用戶身份的認證，在客戶端也不需要配置特別的客戶端軟件。

(3)802.1x技術

隨著IEEE802LAN技術的廣泛應用，出于網絡安全及運營計費的目的，在運營網絡以及企業(yè)局域網中，對網絡用戶進行身份認證的要求越來越迫切。在此基礎上，產生了IEEE802.1x協議。

IEEE802.1x被稱為基于端口的訪問控制協議，它能夠充分利用IEEE802LAN的優(yōu)勢，并能夠對網絡設備進行認證與授權的手段。

802.1x中端口的概念是廣義的，它不僅僅可以是網絡設備上的一個物理端口，也可以是一個邏輯端口，例如用戶端網絡設備的MAC地址，如果網絡系統中的交換機支持全程VLAN，也可以把VLANID看作是一個端口。因此，提供802.1x認證的認證系統（通常是網絡接入設備，即網絡交換機），既可以直接與需要認證的網絡設備相連，也可以通過其他可以透傳802.1x協議報文的網絡設備與它們間接相連。提供認證服務的交換機通過與認證服務器的相互配合，來決定接入到同一物理端口的不同網絡用戶可否使用該端口與外界網絡進行數據交換。

802.1x將每一個端口（廣義上的端口）邏輯上又分為兩個端口：受控端口與不受控端口。受控端口只能傳遞業(yè)務報文，在沒有通過認證的時候，受控端口是不能傳遞任何報文的；不受控端口只能傳遞認證報文。通過這種設計，就使得在同一設備上實現業(yè)務流與控制流相分離并能夠同時高效地處理認證數據與業(yè)務數據變?yōu)榭赡堋?/p>

(4)認證技術比較

表1是以上3種認證方式的簡單比較。

IEEE802.1x在眾多方面具有其他兩種認證方式所不能比擬的優(yōu)勢，但認證方式只能是一種基礎手段，還需要與其他網絡技術有機結合，才有可能有效保證整個網絡的安全與可靠。

采取802.1x認證與Web認證、PPPoe認證互補的方式，與寬帶用戶間進行信息交互，通過RADIUS協議與寬帶計費中心之間進行信息交互，從而完成對用戶的認證，并將認證技術與動態(tài)的訪問控制技術、動態(tài)的帶寬管理技術等有機結合，實現對寬帶用戶的有效管理。