淺談ＢＡＳ設備常用認證技術的原理及特點

摘要：通過對BAS設備常用的認證技術的介紹，使得維護人員對寬帶網絡認證技術的原理以及特點有比較清楚的認識，在業務發展時，針對不同的用戶應用采取合理靈活的認證方式。

關鍵詞：BAS；認證；原理；業務

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)36-2877-03

Discuss the Principle and Characteristics of the BAS Equipment Common Authentication Technology

WANG Lei

(China Tietong Wuhu Branch， Wuhu 241000， China)

Abstract: Through the introducing of common authentication technology of the BAS equipment， help the maintenance staff clearly understanding to the principle of the broadba nd network authentication technology as well as the characteristic. When business development， adopts the reasonable flexible authentication way in view of the different user application.

Key words: BAS(broadband access server); authentication; principle; business

1 前言

BAS設備最重要的業務功能就是對用戶的認證、授權和計費。這三個功能相互關聯，又各自獨立。其中，認證是識別用戶的技術，它作為授權和計費的基礎，是最重要的環節。

對用戶的認證實質上是對用戶標識的認證，這就要求用戶具有一個唯一且有效的用戶標識，這個標識可以是地址標識、賬號或者連接端口的VLAN標識。將地址、賬號同VLAN ID標識進行綁定組合使用，可以得到全程有效的用戶標識。具體實現中，可以通過在靠近用戶的交換機上使用端口VLAN，為不同的用戶打上相應的VLAN ID，則VLAN ID將進化為唯一的用戶標識。利用這樣的VLAN ID，BAS設備可以精確的識別每一個用戶，并對用戶實施完備的控制。

BAS采用的經典認證技術有PPPoE認證、WEB認證以及802.1x認證，下面我們將對這三種認證技術的原理和特點做一個簡單的介紹：

2 PPPOE認證

2.1 PPPoE接入認證原理

PPPoE是利用以太網發送PPP包的傳輸方法和支持在同一以太網上建立多個PPP連接的接入技術。其結合了以太網和PPP連接的綜合屬性。 PPP協議是一種點到點的鏈路層協議，它提供了點到點的一種封裝、傳遞數據的一種方法。PPP協議一般包括三個協商階段：LCP（鏈路控制協議）階段，認證階段（比如CHAP/PAP），NC（網絡層控制協議，比如IPCP)階段。撥號后，用戶計算機和局方的接入服務器在LCP階段協商底層鏈路參數，然后在認證階段進行用戶計算機將用戶名和密碼發送給接入服務器認證，接入服務器可以進行本地認證，可以通過RADIUS協議將用戶名和密碼發送給AAA服務器進行認證。認證通過后，在NCP（IPCP）協商階段，接入服務器給用戶計算機分配網絡層參數如IP地址等。經過PPP的三個協商階段后，用戶就可以發送和接受網絡報文，用戶收發的所有網絡層報文都封裝在PPP報文中。 PPP協議的一個重要的功能是提供了身份驗證功能。以太網是一種廣播網絡，其缺點是通訊雙方無法相互驗證對方身份，通訊是不安全的。PPP協議提供了通訊雙方身份驗證的功能，但是PPP協議是一種點對點的協議，協議中沒有提供地址信息。如果PPP應用在以太網上，必須使用PPPoE再進行一次封裝，PPPoE協議提供了在以太網廣播鏈路上進行點對點通訊的能力。

2.2 認證流程

以PPP-CHAP為例，PPPoE用戶的接入流程如圖1。

1) PPPOE客戶端向PPPOE服務器設備發送一個PADI廣播報文，開始PPPoE接入。

2) PPPOE服務器向客戶端發送PADO報文。

3) 客戶端根據回應，發起PADR請求給PPPOE服務器。

4) PPPOE服務器產生一個session id，通過PADS發給客戶端。

5) 客戶端和PPPOE服務器之間進行PPP的LCP協商，建立鏈路層通信。同時，協商使用CHAP認證方式。

6) PPPOE服務器通過Challenge報文發送給認證客戶端，提供一個128bit的Challenge。

7) 客戶端收到Challenge報文后，將密碼和Challenge做MD5算法后的，在Response回應報文中把它發送給PPPOE服務器。

8) PPPOE服務器將Challenge、Challenge-Password和用戶名一起送到RADIUS用戶認證服務器，由RADIUS用戶認證服務器進行認證。

9) RADIUS用戶認證服務器根據用戶信息判斷用戶是否合法，然后回應認證成功/失敗報文到PPPOE服務器。如果成功，攜帶協商參數，以及用戶的相關業務屬性給用戶授權。如果認證失敗，則流程到此結束。

10) PPPOE服務器將認證結果返回給客戶端。

11) 用戶進行NCP（如IPCP）協商，通過PPPOE服務器獲取到規劃的IP地址等參數。

12) 認證如果成功，PPPOE服務器發起計費開始請求給RADIUS用戶認證服務器。

13) RADIUS用戶認證服務器回應計費開始請求報文。

14) 用戶此時通過認證，并且獲得了合法的權限，可以正常開展網絡業務。

15) 當用戶希望終止網絡業務的時候，同樣也可以通過PPPoE斷開網絡連接，此時會按照12）、13）中的格式發送計費終止報文。

圖1 PPPoE認證流程

2.3 PPPoE認證的特點

由于PPP協議提供了通訊雙方身份驗證的功能，因此安全性高；計費方式和認證方式靈活；支持的客戶端前置設備廣泛；局端的配置相對簡單。但是由于PPP協議是點到點的協議，因此對組播支持不是很好，同時客戶端需安裝PPPoE撥號軟件，運營商維護成本加大；客戶端CPU的負荷隨著流量增大而加重，影響高流量的多媒體應用。盡管如此，由于PPP協議的安全性、健壯性等特點，目前被廣泛與用于ADSL接入認證中。

3 802.1x協議認證

3.1 802.1x認證技術簡介

802.1X協議是由(美)電氣與電子工程師協會提出，剛剛完成標準化的一個符合IEEE 802協議集的局域網接入控制協議，其全稱為基于端口的訪問控制協議。802.1x協議起源于802.11協議，后者是標準的無線局域網協議，802.1x協議的主要目的是為了解決無線局域網用戶的接入認證問題。它能夠在利用IEEE 802局域網優勢的基礎上提供一種對連接到局域網的用戶進行認證和授權的手段，達到了接受合法用戶接入，保護網絡安全的目的。 802.1x認證，又稱EAPOE認證，主要用于寬帶IP城域網。

3.2 802．1x協議工作機制

在802.1X協議中，只有具備了以下三個元素才能夠完成基于端口的訪問控制的用戶認證和授權：

1) 客戶端：一般安裝在用戶的工作站上，當用戶有上網需求時，激活客戶端程序，輸入必要的用戶名和口令，客戶端程序將會送出連接請求。

2) 認證系統：在以太網系統中指認證交換機，其主要作用是完成用戶認證信息的上傳、下達工作，并根據認證的結果打開或關閉端口。

3) 認證服務器：通過檢驗客戶端發送來的身份標識（用戶名和口令）來判別用戶是否有權使用網絡系統提供的網絡服務，并根據認證結果向交換機發出打開或保持端口關閉的狀態。

在具有802.1X認證功能的網絡系統中，當一個用戶需要對網絡資源進行訪問之前必須先要完成以下的認證過程。

1) 當用戶有上網需求時打開802.1X客戶端程序，輸入已經申請、登記過的用戶名和口令，發起連接請求。此時，客戶端程序將發出請求認證的報文給交換機，開始啟動一次認證過程。

2) 交換機收到請求認證的數據幀后，將發出一個請求幀要求用戶的客戶端程序將輸入的用戶名送上來。

3) 客戶端程序響應交換機發出的請求，將用戶名信息通過數據幀送給交換機。交換機將客戶端送上來的數據幀經過封包處理后送給認證服務器進行處理。

4) 認證服務器收到交換機轉發上來的用戶名信息后，將該信息與數據庫中的用戶名表相比對，找到該用戶名對應的口令信息，用隨機生成的一個加密字對它進行加密處理，同時也將此加密字傳送給交換機，由交換機傳給客戶端程序。

5) 客戶端程序收到由交換機傳來的加密字后，用該加密字對口令部分進行加密處理（此種加密算法通常是不可逆的），并通過交換機傳給認證服務器。

6) 認證服務器將送上來的加密后的口令信息和其自己經過加密運算后的口令信息進行對比，如果相同，則認為該用戶為合法用戶，反饋認證通過的消息，并向交換機發出打開端口的指令，允許用戶的業務流通過端口訪問網絡。否則，反饋認證失敗的消息，并保持交換機端口的關閉狀態，只允許認證信息數據通過而不允許業務數據通過。

這里要提出的一個值得注意的地方是：在客戶端與認證服務器交換口令信息的時候，沒有將口令以明文直接送到網絡上進行傳輸，而是對口令信息進行了不可逆的加密算法處理，使在網絡上傳輸的敏感信息有了更高的安全保障，杜絕了由于下級接入設備所具有的廣播特性而導致敏感信息泄漏的問題。

3.3 802.1x認證技術的特點

在802.1X解決方案中，通常采用基于MAC地址的端口訪問控制模式。采用此種模式將會帶來降低用戶建網成本、降低認證服務器性能要求的優點。它僅僅關注端口的打開與關閉，認證通過后不再進行合法性檢查。是各種認證技術中最簡化的實現方案。

802.1x認證技術的操作對象為端口，合法用戶接入端口之后，端口處于打開狀態，因此其它用戶（合法或非法）通過該端口時，不需認證即可接入網絡。如果802.1x認證技術用于寬帶IP城域網的認證，就存在端口打開之后，其它用戶（合法或非法）可自由接入和無法控制的問題。對于此種訪問控制方式，應當采用相應的手段來防止由于MAC、IP地址假冒所發生的網絡安全問題。

4 WEB認證

4.1 WEB認證簡介

WEB認證最初是一種業務類型的認證，通過啟動一個WEB頁面輸入用戶名/密碼，實現用戶認證。它的特點是：在寬帶接入網中設置認證服務器，用戶端需要啟動IE等瀏覽器完成與認證服務器的交互。用戶認證成功后通過DHCP獲得合法的IP地址，認證服務器控制網絡交換機將用戶劃入設定好的VLAN中接入寬帶網。目前用的最多的是在一些門戶網站，例如新浪、搜狐等，通過WEB頁面實現對用戶是否有使用網絡權限的認證。

4.2 WEB認證流程

基于WEB的認證實際上是一系列認證方式的統稱。目前，各個廠商在用戶與認證服務器的交互過程、對交換機控制方式上不盡相同，暫時沒有統一的標準，但其認證過程可以歸納如下：

1) 用戶機器上電啟動，系統程序根據配置，通過DHCP由BAS做DHCP-Relay，向DHCP Server要IP地址（私網或公網）；

2) BAS為該用戶構造對應表項信息（基于端口號、IP），添加用戶ACL服務策略（讓用戶只能訪問portal server和一些內部服務器，個別外部服務器如DNS）；

3) Portal server向用戶提供認證頁面。在該頁面中，用戶輸入賬號和口令，并單擊“log in”按鈕，也可不輸入由賬號和口令，直接單擊“log in”按鈕；

4) 該按鈕啟動portal server上的Java程序，該程序將用戶信息（IP地址、賬號和口令）送給網絡中心設備BAS;

5) BAS利用IP地址將到用戶的二層地址、物理端口號（如Vlan ID、ADSL、PVC ID、PPP session）利用這些信息，對用戶的合法性進行檢查。如果用戶輸入了賬號，則認為是卡號用戶，使用用戶輸入的賬號和口令到Radius Server對用戶進行認證。如果用戶未輸入賬號，則認為用戶是固定用戶，網絡設備利用Vlan ID（或PVC ID）查用戶表得到用戶的賬號和口令，將賬號送到Radius Server進行認證；

6) Radius Server返回認證結果給BAS；

7) 認證通過后，BAS修改該用戶的ACL，用戶可以訪問外部因特網或特定的網絡服務。

8) 用戶離開網絡前，連接到portal server上，單擊“斷開網絡”按鈕。系統停止計費，刪除用戶的ACL和轉發信息，限制用戶不能訪問外部網絡。

9) 在以上過程中，要注意檢測用戶非正常離開網絡的情況，如用戶主機死機、網絡端掉、直接關機等。

4.3 Web認證的特點

優點：

1) 不需要特殊的客戶端軟件，降低了網絡維護工作量；

2) 可以提供Portal等業務認證；

缺點：

1) WEB承載在7層協議上，對于設備的要求較高，建網成本高；

2) 標準化和開放性差，在認證設備和WEB之間要采用私有的通訊協議；

3) WEB服務器對于認證用戶和非認證用戶都是可達的，易受惡意攻擊，安全性差；

4) 用戶連接性差，不容易檢測用戶離線，基于時間的計費較難實現；

5) 易用性不夠好，用戶在訪問網絡前，不管是TELNET、FTP還是其它業務，必須使用瀏覽器進行WEB認證；

6) IP地址的分配在用戶認證前，如果用戶不是上網用戶，則會造成地址的浪費，而且不便于多ISP的支持；

7) 認證前后業務流和控制流無法區分，需要消耗大量的CPU資源。

5 結束語

以上三種認證技術各有特點，應用場合不同，無優劣之分。通常，要求BAS能夠同時支持以上三種通用的認證方式，以適應不同客戶群的需要。作為運營商應選擇合適的接入認證技術，制定靈活的資費政策，為用戶提供多樣化的寬帶業務。

參考文獻：

[1] 李學軍，李洪.寬帶城域網的優化策略與實踐[M].北京:人民郵電出版社，2002:121-127.

[2] 蔡康，朱英軍.IP寬帶業務與運營[M].北京:人民郵電出版社，2003:95-105.