重慶鐵通寬帶接入認(rèn)證計(jì)費(fèi)系統(tǒng)改造分析

寬帶網(wǎng)絡(luò)提供ADSL、Ethernet、HFC、WLAN的接入方式。寬帶接入服務(wù)器（BAS）是借鑒窄帶接入的成熟運(yùn)作模式，其主要功能是結(jié)合路由器或交換機(jī)等網(wǎng)絡(luò)設(shè)備，完成對(duì)寬帶用戶的3A接入控制：認(rèn)證（Authentication），驗(yàn)證用戶的身份與可使用的網(wǎng)絡(luò)服務(wù)；授權(quán)（Authorization），依據(jù)認(rèn)證結(jié)果開(kāi)放網(wǎng)絡(luò)服務(wù)給用戶；計(jì)賬（Accounting），記錄用戶各種網(wǎng)絡(luò)服務(wù)的用量，并提供給計(jì)費(fèi)系統(tǒng)。

其實(shí)現(xiàn)過(guò)程如下：用戶端設(shè)備—BAS（AAA客戶端）—AAAServer（AAA服務(wù)器）—計(jì)費(fèi)系統(tǒng)；從BAS到AAA服務(wù)器之間通常采用RADIUS協(xié)議；AAA服務(wù)器和計(jì)費(fèi)系統(tǒng)一般采用集中架構(gòu)，以支持用戶漫游和減少成本。

認(rèn)證技術(shù)分析比較

1.按網(wǎng)絡(luò)層次劃分比較

按照IP網(wǎng)絡(luò)分層模型，在協(xié)議每一層都可以針對(duì)接入用戶進(jìn)行網(wǎng)絡(luò)的認(rèn)證、鑒權(quán)。認(rèn)證技術(shù)大致劃分為以下4種。

(1)物理層認(rèn)證：802.11b采用典型的物理層認(rèn)證。物理層認(rèn)證的優(yōu)勢(shì)是不需要改動(dòng)上層MAC或者TCP/IP；缺點(diǎn)是需要對(duì)NIC和接入服務(wù)器的硬件進(jìn)行改動(dòng)，并且協(xié)議修改反應(yīng)到設(shè)備支持的周期長(zhǎng)，而且很難和AAA進(jìn)行集成。

(2)鏈路層認(rèn)證：鏈路層認(rèn)證的代表技術(shù)是PPPoE和802.1x，該認(rèn)證方式的優(yōu)點(diǎn)是不需要對(duì)設(shè)備的硬件進(jìn)行改動(dòng)，通過(guò)軟件升級(jí)就可以實(shí)現(xiàn)新的認(rèn)證技術(shù)引入。協(xié)議反應(yīng)周期短，可以和AAA進(jìn)行快速有效的融合（通過(guò)EAP）。其缺點(diǎn)是需要對(duì)鏈路層進(jìn)行改動(dòng)。

(3)IP層認(rèn)證：IP層認(rèn)證不需要對(duì)客戶的MAC和TCP/IP層進(jìn)行修改，其缺點(diǎn)是在認(rèn)證前需要向認(rèn)證請(qǐng)求者開(kāi)放一部分網(wǎng)絡(luò)訪問(wèn)權(quán)限，為用戶分配地址。基于IP的認(rèn)證一般不提供統(tǒng)計(jì)計(jì)費(fèi)能力，擴(kuò)展性不好。

(4)UDP/TCP應(yīng)用層認(rèn)證：UDP/TCP認(rèn)證采用應(yīng)用層認(rèn)證，不需要對(duì)底層進(jìn)行修改，一般采用令牌協(xié)議，在認(rèn)證前需要開(kāi)放部分網(wǎng)絡(luò)，沒(méi)有統(tǒng)計(jì)計(jì)費(fèi)能力，擴(kuò)展性不好。

綜合以上4種認(rèn)證方式，可以發(fā)現(xiàn)鏈路層認(rèn)證的優(yōu)勢(shì)突出。其特點(diǎn)是快速、簡(jiǎn)單和成本低廉。多數(shù)的鏈路層協(xié)議像PPPoE和IEEE802都可以支持基于鏈路層的認(rèn)證技術(shù)�？蛻粼谡J(rèn)證之前不需要進(jìn)行服務(wù)器的定位，不需要獲得IP地址。網(wǎng)絡(luò)接入設(shè)備只需要有限的三層功能，可以輕易實(shí)現(xiàn)和AAA的結(jié)合，從而提供豐富、靈活的認(rèn)證方式和計(jì)費(fèi)手段。在多協(xié)議網(wǎng)絡(luò)環(huán)境中，基于鏈路層的認(rèn)證可以實(shí)現(xiàn)對(duì)上層應(yīng)用的完全透明，也就是說(shuō)可以實(shí)現(xiàn)和新的網(wǎng)絡(luò)層協(xié)議（比如IPv6）的兼容。鏈路層認(rèn)證的處理減小了認(rèn)證包處理的延時(shí)，保證了關(guān)鍵性應(yīng)用的服務(wù)質(zhì)量。

2.按實(shí)現(xiàn)方式比較

用戶認(rèn)證與授權(quán)是網(wǎng)絡(luò)安全中的一個(gè)重要問(wèn)題，只有網(wǎng)絡(luò)用戶的身份得到了有效、安全的認(rèn)證，才能合理地對(duì)網(wǎng)絡(luò)的行為進(jìn)行控制，從而保證整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全與健康運(yùn)營(yíng)。目前業(yè)界常用的認(rèn)證技術(shù)主要有PPPoE技術(shù)、Web技術(shù)和802.1x技術(shù)3種認(rèn)證。

(1)PPPoE技術(shù)

PPPoE是目前xDSL網(wǎng)絡(luò)和以太網(wǎng)接入中的主流認(rèn)證協(xié)議。該協(xié)議保留和繼承了PPP協(xié)議的特點(diǎn)：成熟，便于實(shí)現(xiàn)，可以支持多協(xié)議，容易與運(yùn)營(yíng)商現(xiàn)有設(shè)施配合，支持加密、認(rèn)證、記賬等功能。但是PPPoE也存在一些固有的缺陷：認(rèn)證流和業(yè)務(wù)流混合，認(rèn)證流和業(yè)務(wù)流采用相同封裝，除了業(yè)務(wù)流引入不必要的PPP封裝開(kāi)銷(xiāo)之外，還限制了一些新興的組播和流媒體應(yīng)用在寬帶網(wǎng)絡(luò)中的推廣。

PPPoE協(xié)議的建立過(guò)程需要兩個(gè)階段：搜尋階段和點(diǎn)對(duì)點(diǎn)對(duì)話階段。PPPoE的發(fā)起設(shè)備通過(guò)搜尋階段確定目的端網(wǎng)絡(luò)設(shè)備的MAC地址，進(jìn)而建立一個(gè)PPPoE的連接。當(dāng)PPPoE的連接建立后，可以進(jìn)行多種網(wǎng)絡(luò)特性的協(xié)商，包括決定其網(wǎng)絡(luò)可用性的身份認(rèn)證。

(2)Web/VLAN技術(shù)

Web/VLAN技術(shù)是從MAC/VLAN改良而來(lái)的接入控制技術(shù)。當(dāng)用戶尚未完成認(rèn)證時(shí)，用戶的VLAN只能到達(dá)交換機(jī)內(nèi)置或外接的Web認(rèn)證模塊。當(dāng)用戶通過(guò)認(rèn)證后，Web認(rèn)證模塊再命令交換機(jī)將用戶的VLANID打開(kāi)。Web/VLAN技術(shù)提供了基于用戶身份的認(rèn)證，在客戶端也不需要配置特別的客戶端軟件。

(3)802.1x技術(shù)

隨著IEEE802LAN技術(shù)的廣泛應(yīng)用，出于網(wǎng)絡(luò)安全及運(yùn)營(yíng)計(jì)費(fèi)的目的，在運(yùn)營(yíng)網(wǎng)絡(luò)以及企業(yè)局域網(wǎng)中，對(duì)網(wǎng)絡(luò)用戶進(jìn)行身份認(rèn)證的要求越來(lái)越迫切。在此基礎(chǔ)上，產(chǎn)生了IEEE802.1x協(xié)議。

IEEE802.1x被稱(chēng)為基于端口的訪問(wèn)控制協(xié)議，它能夠充分利用IEEE802LAN的優(yōu)勢(shì)，并能夠?qū)�網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證與授權(quán)的手段。

802.1x中端口的概念是廣義的，它不僅僅可以是網(wǎng)絡(luò)設(shè)備上的一個(gè)物理端口，也可以是一個(gè)邏輯端口，例如用戶端網(wǎng)絡(luò)設(shè)備的MAC地址，如果網(wǎng)絡(luò)系統(tǒng)中的交換機(jī)支持全程VLAN，也可以把VLANID看作是一個(gè)端口。因此，提供802.1x認(rèn)證的認(rèn)證系統(tǒng)（通常是網(wǎng)絡(luò)接入設(shè)備，即網(wǎng)絡(luò)交換機(jī)），既可以直接與需要認(rèn)證的網(wǎng)絡(luò)設(shè)備相連，也可以通過(guò)其他可以透?jìng)?02.1x協(xié)議報(bào)文的網(wǎng)絡(luò)設(shè)備與它們間接相連。提供認(rèn)證服務(wù)的交換機(jī)通過(guò)與認(rèn)證服務(wù)器的相互配合，來(lái)決定接入到同一物理端口的不同網(wǎng)絡(luò)用戶可否使用該端口與外界網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換。

802.1x將每一個(gè)端口（廣義上的端口）邏輯上又分為兩個(gè)端口：受控端口與不受控端口。受控端口只能傳遞業(yè)務(wù)報(bào)文，在沒(méi)有通過(guò)認(rèn)證的時(shí)候，受控端口是不能傳遞任何報(bào)文的；不受控端口只能傳遞認(rèn)證報(bào)文。通過(guò)這種設(shè)計(jì)，就使得在同一設(shè)備上實(shí)現(xiàn)業(yè)務(wù)流與控制流相分離并能夠同時(shí)高效地處理認(rèn)證數(shù)據(jù)與業(yè)務(wù)數(shù)據(jù)變?yōu)榭赡堋?/p>

(4)認(rèn)證技術(shù)比較

表1是以上3種認(rèn)證方式的簡(jiǎn)單比較。

IEEE802.1x在眾多方面具有其他兩種認(rèn)證方式所不能比擬的優(yōu)勢(shì)，但認(rèn)證方式只能是一種基礎(chǔ)手段，還需要與其他網(wǎng)絡(luò)技術(shù)有機(jī)結(jié)合，才有可能有效保證整個(gè)網(wǎng)絡(luò)的安全與可靠。

采取802.1x認(rèn)證與Web認(rèn)證、PPPoe認(rèn)證互補(bǔ)的方式，與寬帶用戶間進(jìn)行信息交互，通過(guò)RADIUS協(xié)議與寬帶計(jì)費(fèi)中心之間進(jìn)行信息交互，從而完成對(duì)用戶的認(rèn)證，并將認(rèn)證技術(shù)與動(dòng)態(tài)的訪問(wèn)控制技術(shù)、動(dòng)態(tài)的帶寬管理技術(shù)等有機(jī)結(jié)合，實(shí)現(xiàn)對(duì)寬帶用戶的有效管理。