宽带用户接入认证方式浅析

王  政1    陈  萍2 
　　（1. 山东省通信公司，  济南  250001
       2. 山东省邮政机械厂，  济南  250022）

　　摘    要：认证系统是宽带接入网的重要组成部分，本文从几个方面讨论了目前业界应用的几种主流认证方式，即PPPOE认证技术、WEB认证技术和802.1x认证技术。
　　关键词：PPPOE、WEB、802.1x 、认证方式
　　1    前 言

　　随着Internet网络的发展，访问Internet网络的用户急速增加，给网络服务的提供者（ISP）们提出了一个无法回避的问题，如何保证远程访问的网络安全。
　　人们通常把认证（Authentication）、授权（Authorization）和计帐（Accounting）称为"3A"或"AAA"，以此作为网络安全策略的一个组成部分。"认证"是确认远端访问用户的身份，判断访问者是否是合法的网络用户，常用的办法是是以一个用户标识和一个与之对应的口令来识别用户。"授权"即对不同用户赋予不同的权限限制用户可以使用的服务，如限制其访问某些服务器或使用某些应用，从而避免了合法用户有意或无意地破坏系统。"计帐"记录了用户使用网络服务中的所有操作，包括使用的服务类型、起始时间、数据流量等信息，它不仅为ISP们提供了计费手段，对网络的使用也起到一定程度的监视作用。
　　"3A"涉及的内容很多，限于篇幅所限，本文仅讨论目前业界应用的几种主流认证方式。PPPOE认证方式、WEB认证方式和802.1x认证方式，供大家参考。

　　2    目前业界应用的几种主流认证方式

　　2.1. PPPOE认证方式
　　PPPoE 即国际标准RFC2516，为一种将窄带拨号认证技术用于宽带网络的认证方式。它最初被用于ADSL的认证，后来应用于VDSL和LAN的接入认证。
　　PPPOE的建立需要两个阶段：搜寻阶段（Discovery stage）和点对点对话阶段（PPP Session stage）。其流程描述如下：
　　（1）Host发二层广播包，等待Access  Concentrator响应；
　　（2）Access  Concentrator/Concentrators（一个或多个）收到广播后，若能提供（Offer）所需Service，发Offer响应包给原Host；
　　（3）Host收到Offer响应后，根据一定的原则（由具体实现决定）挑选出一个Access  Concentrator ，向其发出Request包；
　　（4）被选中的Access  Concentrator收到Request包后，产生一个唯一的Session ID，将其返回给Host。
　　此后进入了PPP Session阶段。经过LCP过程请求RADIUS认证、授权后，建立起PPP连接，即可传送PPP数据（PPP封装IP、Ethernet封装PPP）。
　　2.2. WEB认证方式
　　WEB认证需要与DHCP Server和Portal server配合使用，WEB认证的主要过程描述如下：
　　（1）用户机器上电启动，系统程序根据配置，通过DHCP由BAS做DHCP-Relay，向DHCP Server要IP地址（私网或公网）；
　　（2）BAS为该用户构造对应表项信息（基于端口号、IP），添加用户ACL服务策略（让用户只能访问portal server和一些内部服务器，个别外部服务器如DNS）；
　　（3）Portal server向用户提供认证页面，在该页面中，用户输入帐号和口令，并单击"log in"按钮，也可不输入由帐号和口令，直接单击"Log in"按钮；
　　（4）该按钮启动portal server上的Java程序，该程序将用户信息（IP地址，帐号和口令）送给网络中心设备BAS；
　　（5）BAS利用IP地址得到用户的二层地址、物理端口号（如Vlan ID, ADSL PVC ID，PPP session ID），利用这些信息，对用户的合法性进行检查，如果用户输入了帐号，则认为是卡号用户，使用用户输入的帐号和口令到Radius server对用户进行认证，如果用户未输入帐号，则认为用户是固定用户，网络设备利用Vlan ID（或PVC ID）查用户表得到用户的帐号和口令，将帐号送到Radius server进行认证；
　　（6）Radius Server返回认证结果给BAS；
　　（7）认证通过后，BAS修改该用户的ACL，用户可以访问外部因特网或特定的网络服务；
　　（8）用户离开网络前，连接到portal server上，单击"断开网络"按钮，系统停止计费，删除用户的ACL和转发信息，限制用户不能访问外部网络；
　　（9）在以上过程中，要注意检测用户非正常离开网络的情况，如用户主机死机，网络断掉，直接关机等。
　　2.3.   802.1X认证方式
　　IEEE 802.1x是一个基于端口的网络访问控制的标准草案。最早它是无线以太网遵循的一种应用协议，但在有线以太网络的引入有效解决了传统网络认证问题。目前，它可提供对802.11无线网络和对有线以太网络的网络访问权限的验证。这种基于端口的网络接入控制采用交换式局域网基础设施的物理特性来认证连接到局域网某个端口的设备。802.1x的实质是对以太网端口进行鉴权，如果认证过程失败，端口接入将被阻止。应用该协议，可以将ADSL、VDSL、LAN等多种宽带接入方式的认证计费融为一体，简化了网络结构。802.1X认证的主要过程描述如下：
　　（1）用户开机后，通过802.1x客户端软件发起请求，查询网络上能处理EAPOL（EAP Over LAN）数据包的设备，如果某台验证设备能处理EAPOL数据包，就会向客户端发送响应包并要求用户提供合法的身份标识，如用户名、密码；
　　（2）客户端收到验证设备的响应后，会提供身份标识给验证设备，由于此时客户端还未经过验证，因此认证流只能从验证设备的未受控的逻辑端口经过。验证设备通过EAP协议将认证流转发到AAA服务器，进行认证；
　　（3)如果认证通过，则认证系统的受控逻辑端口打开；
　　（4)客户端软件发起DHCP请求，经认证设备转发到DHCP Server；
　　（5)DHCP Server 为用户分配IP地址；
　　（6）DHCP Server分配的地址信息返回给认证系统，认证系统记录用户的相关信息，如MAC，IP地址等信息，并建立动态的ACL访问列表，以限制用户的权限；
　　（7）当认证设备检测到用户的上网流量，就会向认证服务器发送计费信息，开始对用户计费；
　　（8）如果用户要下网，可以通过客户端软件发起LogOff过程，认证设备检测到该该数据包后，会通知AAA服务器停止计费，并删除用户的相关信息（MAC/IP），受控逻辑端口关闭，用户进入再认证状态；
　　（9）验证设备会通过定期的检测来保证链路的激活，如果用户异常死机，则验证设备在发起多次检测后,自动认为用户已经下线,于是向认证服务器发送终止计费的信息。

　　3   几种主流认证方式的比较

　　3.1工作效率
　　3.1. 1 PPPOE认证方式
　　PPPOE是从基于ATM技术的网络引入到宽带以太网中的，PPP协议和Ethernet技术本质上存在差异。在PPPOE认证过程以及随后的数据交换过程，PPP协议需要被再次封装到以太帧中，认证系统必须将每个包进行拆解才能判断和识别用户是否合法，一旦用户增多或者数据包增大，封装速度必然跟不上，形成网络瓶颈，所以封装效率很低。PPPoE在发现阶段会产生大量的广播流量，对网络性能产生很大的影响。另外，PPP是基于"点对点"的协议，不支持组播业务。
　　3.1.2  WEB认证方式
　　认证前后业务流和数据流无法区分，WEB认证方式是基于应用层的认证，认证报文需要经过链路层、网络层，传输层以及应用层，造成认证效率较低。WEB认证方式对于组播等视频业务支持比较好。
　　3.1.3   802.1X认证方式
　　802.1x与传统认证方式最本质的区别就是"认证与交换相分离"。一旦认证通过，所有的业务流量就和认证系统分开，有效的解决了网络认证瓶颈问题。在最初的认证过程中，有别于PPPOE方式的认证广播数据流，802.1X采用组播的方式进行分发认证信息流，采取一种"认证后不管"的方式，在认证完成，参数设置完成后，交换机对网络流量不做过多的干预，极大的提高了数据交换效率，易于实现一种合理成本下的"可运营，可管理"。"认证与交换相分离"使得业务的开展不受认证系统任何影响，使得诸如组播等新型视频业务开展非常方便。
　　3.2安全性
　　3.2.1  PPPOE认证方式
　　PPPOE的封装方式，将会造成宽带接入网的种种问题。在PPPOE认证中，所有的数据包都需要经过BAS系统，BAS必须将每个包进行拆解才能判断和识别用户是否合法，一旦用户增多或者数据包增大，封装速度必然跟不上，成为了网络瓶颈，这将会对电信运营商的高可靠性带来较大的隐患，很可能形成单点故障，甚至造成全网瘫痪的情况。
　　3.2.2   WEB认证方式
　　WEB认证方式在认证前就为用户分配了IP地址，而且分配IP地址的DHCP对用户而言是完全裸露的，容易造成被恶意攻击，一旦被攻击瘫痪，整个网络就没法认证。为了解决易受攻击问题，就必须加装一个防火墙，这样一来又大大增加了建网成本。目前针对WEB的攻击方式多种多样、层出不穷，这对WEB认证方式的安全应用带来了极大的挑战。
　　3.2.3  802.1X认证方式
　　802.1X认证是基于端口的认证，这里所说的端口是一个逻辑上的广义端口概念的统称，并非单指物理端口，因为包含有物理端口、MAC、VLAN，IP等识别用户或用户群的标识。可以灵活的根据应用的情况、业务的要求，针对用户的类型，选择端口形式进行控制。并且802.1X认证是在二层网络上实现用户认证，并可以通过设备实现MAC、端口、账户和密码等绑定技术，具有较高的安全性。
　　3.3  维护工作量
　　3.3.1  PPPOE认证方式
　　需要特定的客户端软件，并且需针对特定的客户端软件做配置，这给用户以及系统调试人员带来比较大的工作量。另一方面，PPPOE认证需要经过BAS系统，集中的认证方式使认证系统的负荷很大，容易形成单点故障，造成维护工作量大大增加。
　　3.3.2  WEB认证方式
　　WEB/PORTAL认证是基于业务类型的认证，不需要安装其他客户端软件，只需要浏览器就能完成，用户比较方便，一定程度上也降低了维护工作量。但另一方面，WEB认证方式涉及的认证层次比较高，经历的层次较多，因此故障的概率会随之增加，又会增加维护工作量。
　　3.3.3   802.1X认证方式
　　需要客户端软件。但微软已经开始在其操作系统中内置客户端软件，旧版本的操作系统打上补丁后也可以不需要另外加装客户端软件，可以降低维护工作量。

　　4   小结

        PPPOE在技术上存在一些缺陷，但它是目前最成熟的标准，仍有较大应用价值；WEB认证方式标准不统一，为各厂商私有，对于需要广泛兼容性的环境不适合，还有待于标准的进一步统一。802.1X认证方式作为新推出的国际标准的安全认证协议，正越来越引起厂商和运营商的重视，随着更多的接入设备对该标准的支持，该认证方式也会得到越来越多的应用。