淺談BAS設(shè)備常用認證技術(shù)的原理及特點

1、淺談BS設(shè)備常用認證技術(shù)的原理及特點XX：1009-3044(20XX)36-2877-03DiscussthePrinciplendChrcteristicsoftheBSEquipmentCommonuthentictionTechnologyWNGLei(ChinTietongWuhuBrnch,Wuhu241000,Chin)bstrct:ThroughtheintroducingofcommonuthentictiontechnologyoftheBSequipment,helpthemintenncestffclerlyunderstndingtotheprincipleofthe

2、brodbndnetworkuthentictiontechnologyswellsthechrcteristic.Whenbusinessdevelopment,doptstheresonbleflexibleuthentictionwyinviewofthedifferentuserppliction.Keywords:BS(brodbndccessserver);uthentiction;principle;business1前言BS設(shè)備最重要的業(yè)務(wù)功能就是對用戶的認證、授權(quán)和計費。這三個功能相互關(guān)聯(lián)，又各自獨立。其中，認證是識別用戶的技術(shù)，它作為授權(quán)和計費的基礎(chǔ)，是最重要的環(huán)節(jié)。對用戶

3、的認證實質(zhì)上是對用戶標識的認證，這就要求用戶具有一個唯一且有效的用戶標識，這個標識可以是地址標識、賬號或者連接端口的VLN標識。將地址、賬號同VLNID標識進行綁定組合使用，可以得到全程有效的用戶標識。具體實現(xiàn)中，可以通過在靠近用戶的交換機上使用端口VLN，為不同的用戶打上相應(yīng)的VLNID，則VLNID將進化為唯一的用戶標識。利用這樣的VLNID，BS設(shè)備可以精確的識別每一個用戶，并對用戶實施完備的操縱。BS采納的經(jīng)典認證技術(shù)有PPPoE認證、WEB認證以及802.1x認證，下面我們將對這三種認證技術(shù)的原理和特點做一個簡單的介紹：2PPPOE認證PPPoE接入認證原理PPPoE是利用以太XX發(fā)

4、送PPP包的傳輸方法和支持在同一以太XX上建立多個PPP連接的接入技術(shù)。其結(jié)合了以太XX和PPP連接的綜合屬性。PPP協(xié)議是一種點到點的鏈路層協(xié)議，它提供了點到點的一種封裝、傳遞數(shù)據(jù)的一種方法。PPP協(xié)議一般包括三個協(xié)商階段：LCP（鏈路操縱協(xié)議）階段，認證階段（比如CHP/PP）,NC（XX絡(luò)層操縱協(xié)議，比如IPCP）階段。撥號后，用戶計算機和局方的接入服務(wù)器在LCP階段協(xié)商底層鏈路參數(shù)，然后在認證階段進行用戶計算機將用戶名和密碼發(fā)送給接入服務(wù)器認證，接入服務(wù)器可以進行本地認證，可以通過RDIUS協(xié)議將用戶名和密碼發(fā)送給服務(wù)器進行認證。認證通過后，在NCP（IPCP）協(xié)商階段，接入服務(wù)器給用

5、戶計算機分配XX絡(luò)層參數(shù)如IP地址等。經(jīng)過PPP的三個協(xié)商階段后，用戶就可以發(fā)送和接受XX絡(luò)報文，用戶收發(fā)的所有XX絡(luò)層報文都封裝在PPP報文中。PPP協(xié)議的一個重要的功能是提供了身份驗證功能。以太XX是一種廣播XX絡(luò)，其缺點是通訊雙方無法相互驗證對方身份，通訊是不安全的。PPP協(xié)議提供了通訊雙方身份驗證的功能，但是PPP協(xié)議是一種點對點的協(xié)議，協(xié)議中沒有提供地址信息。如果PPP應(yīng)用在以太XX上，必須使用PPPoE再進行一次封裝，PPPoE協(xié)議提供了在以太XX廣播鏈路上進行點對點通訊的能力。認證流程以PPP-CHP為例，PPPoE用戶的接入流程如圖1。PPPOE客戶端向PPPOE服務(wù)器設(shè)備發(fā)送

6、一個PDI廣播報文，開始PPPoE接入。PPPOE服務(wù)器向客戶端發(fā)送PDO報文?？蛻舳烁鶕?jù)回應(yīng)，發(fā)起PDR請求給PPPOE服務(wù)器。PPPOE服務(wù)器產(chǎn)生一個sessionid，通過PDS發(fā)給客戶端。客戶端和PPPOE服務(wù)器之間進行PPP的LCP協(xié)商，建立鏈路層通信。同時，協(xié)商使用CHP認證方式。PPPOE服務(wù)器通過Chllenge報文發(fā)送給認證客戶端,提供一個128bit的Chllenge?？蛻舳耸盏紺hllenge報文后，將密碼和Chllenge做MD5算法后的，在Response回應(yīng)報文中把它發(fā)送給PPPOE服務(wù)器。PPPOE服務(wù)器將Chllenge、Chllenge-Pssword和用戶名

7、一起送到RDIUS用戶認證服務(wù)器，由RDIUS用戶認證服務(wù)器進行認證。RDIUS用戶認證服務(wù)器根據(jù)用戶信息推斷用戶是否合法，然后回應(yīng)認證成功/失敗報文到PPPOE服務(wù)器。如果成功，攜帶協(xié)商參數(shù)，以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán)。如果認證失敗，則流程到此結(jié)束。PPPOE服務(wù)器將認證結(jié)果返回給客戶端。11)用戶進行NCP(如IPCP)協(xié)商，通過PPPOE服務(wù)器獵取到規(guī)劃的IP地址等參數(shù)。認證如果成功，PPPOE服務(wù)器發(fā)起計費開始請求給RDIUS用戶認證服務(wù)器。RDIUS用戶認證服務(wù)器回應(yīng)計費開始請求報文。用戶此時通過認證，并且獲得了合法的權(quán)限，可以正常開展XX絡(luò)業(yè)務(wù)。當用戶希望終止XX絡(luò)業(yè)務(wù)的時候

8、，同樣也可以通過PPPoE斷開XX絡(luò)連接，此時會按照12)、13)中的格式發(fā)送計費終止報文。圖1PPPoE認證流程2.3PPPoE認證的特點由于PPP協(xié)議提供了通訊雙方身份驗證的功能，因此安全性高；計費方式和認證方式靈活；支持的客戶端前置設(shè)備廣泛；局端的配置相對簡單。但是由于PPP協(xié)議是點到點的協(xié)議，因此對組播支持不是很好，同時客戶端需安裝PPPoE撥號軟件，運營商維護成本加大；客戶端CPU的負荷隨著流量增大而加重，影響高流量的多媒體應(yīng)用。盡管如此，由于PPP協(xié)議的安全性、健壯性等特點，目前被廣泛與用于DSL接入認證中。3802.1x協(xié)議認證802.1x認證技術(shù)簡介802.1X協(xié)議是由（美）電

9、氣與電子工程師協(xié)會提出，剛剛完成標準化的一個符合IEEE802協(xié)議集的局域XX接入操縱協(xié)議，其全稱為基于端口的訪問操縱協(xié)議。802.1x協(xié)議起源于802.11協(xié)議，后者是標準的無線局域XX協(xié)議，802.1x協(xié)議的主要目的是為了解決無線局域XX用戶的接入認證問題。它能夠在利用IEEE802局域XX優(yōu)勢的基礎(chǔ)上提供一種對連接到局域XX的用 TOC o 1-5 h z 戶進行認證和授權(quán)的手段，達到了接受合法用戶接入，保護XX絡(luò)安全的目的。802.1x認證，又稱EPOE認證，主要用于寬帶IP城域XX。3.28021x協(xié)議工作機制在802.1X協(xié)議中，只有具備了以下三個元素才能夠完成基于端口的訪問操縱的

10、用戶認證和授權(quán)：客戶端：一般安裝在用戶的工作站上，當用戶有上XX需求時，激活客戶端程序，輸入必要的用戶名和口令，客戶端程序?qū)统鲞B接請求。認證系統(tǒng)：在以太XX系統(tǒng)中指認證交換機，其主要作用是完成用戶認證信息的上傳、下達工作，并根據(jù)認證的結(jié)果打開或關(guān)閉端口。認證服務(wù)器：通過檢驗客戶端發(fā)送來的身份標識(用戶名和口令)來判別用戶是否有權(quán)使用XX絡(luò)系統(tǒng)提供的XX絡(luò)服務(wù)，并根據(jù)認證結(jié)果向交換機發(fā)出打開或保持端口關(guān)閉的狀態(tài)。在具有802.1X認證功能的XX絡(luò)系統(tǒng)中，當一個用戶需要對XX絡(luò)資源進行訪問之前必須先要完成以下的認證過程。當用戶有上XX需求時打開802.1X客戶端程序，輸入已經(jīng)申請、登記過的用戶

11、名和口令，發(fā)起連接請求。此時，客戶端程序?qū)l(fā)出請求認證的報文給交換機，開始啟動一次認證過程。交換機收到請求認證的數(shù)據(jù)幀后，將發(fā)出一個請求幀要求用戶的客戶端程序?qū)⑤斎氲挠脩裘蜕蟻??？蛻舳顺绦蝽憫?yīng)交換機發(fā)出的請求，將用戶名信息通過數(shù)據(jù)幀送給交換機。交換機將客戶端送上來的數(shù)據(jù)幀經(jīng)過封包處理后送給認證服務(wù)器進行處理。認證服務(wù)器收到交換機轉(zhuǎn)發(fā)上來的用戶名信息后，將該信息與數(shù)據(jù)庫中的用戶名表相比對，找到該用戶名對應(yīng)的口令信息，用隨機生成的一個加密字對它進行加密處理，同時也將此加密字傳送給交換機，由交換機傳給客戶端程序?？蛻舳顺绦蚴盏接山粨Q機傳來的加密字后，用該加密字對口令部分進行加密處理（此種加密算法通

12、常是不可逆的），并通過交換機傳給認證服務(wù)器。認證服務(wù)器將送上來的加密后的口令信息和其自己經(jīng)過加密運算后的口令信息進行對比，如果相同，則認為該用戶為合法用戶，反饋認證通過的消息，并向交換機發(fā)出打開端口的指令，同意用戶的業(yè)務(wù)流通過端口訪問XX絡(luò)。否則，反饋認證失敗的消息，并保持交換機端口的關(guān)閉狀態(tài)，只同意認證信息數(shù)據(jù)通過而不同意業(yè)務(wù)數(shù)據(jù)通過。這里要提出的一個值得注意的地方是：在客戶端與認證服務(wù)器交換口令信息的時候，沒有將口令以明文直接送到XX絡(luò)上進行傳輸，而是對口令信息進行了不可逆的加密算法處理，使在XX絡(luò)上傳輸?shù)拿舾行畔⒂辛烁叩陌踩Ｕ?，杜絕了由于下級接入設(shè)備所具有的廣播特性而導致敏感信息泄漏

13、的問題。802.1x認證技術(shù)的特點在802.1X解決方案中，通常采納基于MC地址的端口訪問操縱模式。采納此種模式將會帶來降低用戶建XX成本、降低認證服務(wù)器性能要求的優(yōu)點。它僅僅關(guān)注端口的打開與關(guān)閉，認證通過后不再進行合法性檢查。是各種認證技術(shù)中最簡化的實現(xiàn)方案。x認證技術(shù)的操作對象為端口，合法用戶接入端口之后，端口處于打開狀態(tài)，因此其它用戶（合法或非法）通過該端口時，不需認證即可接入XX絡(luò)。如果802.1x認證技術(shù)用于寬帶IP城域XX的認證，就存在端口打開之后，其它用戶（合法或非法）可自由接入和無法操縱的問題。對于此種訪問操縱方式，應(yīng)當采納相應(yīng)的手段來防止由于MC、IP地址假冒所發(fā)生的XX絡(luò)安

14、全問題。4WEB認證WEB認證簡介WEB認證最初是一種業(yè)務(wù)類型的認證，通過啟動一個WEB頁面輸入用戶名/密碼，實現(xiàn)用戶認證。它的特點是：在寬帶接入XX中設(shè)置認證服務(wù)器，用戶端需要啟動IE等掃瞄器完成與認證服務(wù)器的交互。用戶認證成功后通過DHCP獲得合法的IP地址，認證服務(wù)器操縱XX絡(luò)交換機將用戶劃入設(shè)定好的VLN中接入寬帶XX。目前用的最多的是在一些門戶XX站，例如新浪、搜狐等，通過WEB頁面實現(xiàn)對用戶是否有使用XX絡(luò)權(quán)限的認證。WEB認證流程基于WEB的認證實際上是一系列認證方式的統(tǒng)稱。目前，各個廠商在用戶與認證服務(wù)器的交互過程、對交換機操縱方式上不盡相同，臨時沒有統(tǒng)一的標準，但其認證過程可

15、以歸納如下：用戶機器上電啟動，系統(tǒng)程序根據(jù)配置，通過DHCP由BS做DHCP-Rely，向DHCPServer要IP地址（私XX或公XX）；BS為該用戶構(gòu)造對應(yīng)表項信息（基于端口號、IP），添加用戶CL服務(wù)策略（讓用戶只能訪問portlserver和一些內(nèi)部服務(wù)器，個別外部服務(wù)器如DNS）；Portlserver向用戶提供認證頁面。在該頁面中，用戶輸入賬號和口令，并單擊“l(fā)ogin”按鈕，也可不輸入由賬號和口令，直接單擊“l(fā)ogin”按鈕；該按鈕啟動portlserver上的Jv程序，該程序?qū)⒂脩粜畔ⅲ↖P地址、賬號和口令）送給XX絡(luò)中心設(shè)備BS;BS利用IP地址將到用戶的二層地址、物理端口號

16、（如VlnID、DSL、PVCID、PPPsession）利用這些信息，對用戶的合法性進行檢查。如果用戶輸入了賬號，則認為是卡號用戶，使用用戶輸入的賬號和口令到RdiusServer對用戶進行認證。如果用戶未輸入賬號，則認為用戶是固定用戶，XX絡(luò)設(shè)備利用VlnID（或PVCID）查用戶表得到用戶的賬號和口令，將賬號送到RdiusServer進行認證；RdiusServer返回認證結(jié)果給BS；7）認證通過后，BS修改該用戶的CL,用戶可以訪問外部因特XX或特定的XX絡(luò)服務(wù)。用戶離開XX絡(luò)前，連接到portlserver上，單擊“斷開XX絡(luò)”按鈕。系統(tǒng)停止計費，刪除用戶的CL和轉(zhuǎn)發(fā)信息，限制用戶不能訪問外部XX絡(luò)。在以上過程中，要注意檢測用戶非正常離開XX絡(luò)的情況，如用戶主機死機、XX絡(luò)端掉、直接關(guān)機等。4.3Web認證的特點優(yōu)點：不需要特別的客戶端軟件，降低了XX絡(luò)維護工作量；可以提供Portl等業(yè)務(wù)認證；缺點：WEB承載在7層協(xié)議上，對于設(shè)備的要求較高，建XX成本高；標準化和開放性差，在認證設(shè)備和WEB之間要采納私有的通訊協(xié)議；WEB服務(wù)器對于認證用戶和非認證用戶都是可達的，易受惡意攻擊，安全性差；用戶連接性