硕士学位论文-IP城域网综合接入认证系统的分析与设计.pdf

北京邮电大学 硕士学位论文 IP城域网综合接入认证系统的分析与设计 姓名：王宝刚 申请学位级别：硕士 专业：软件工程 指导教师：罗守山 20081001 北京邮电大学硕士论文 IP 城域网综合接入认证系统的分析与设计 摘要 宽带I P 城域网是网络运营商互联网及增值业务承载网络，是城 域网运营商竞争的核心所在，这种竞争体现在三个方面：用户市场份 额的竞争、不断出现的新的组网技术的竞争、灵活多变的业务模式的 竞争。运营商在提高竞争力的过程中除关注网络自身的建设，更关注 业务支撑系统的建设，已经把业务支撑系统能力提升作为其提高核心 竞争力的关键手段。接入认证系统是城域网业务支撑系统中的关键子 系统，其与城域网数据业务计费及管理系统紧密配合，实现I P 城域 网业务的支撑，直接面向城域网终端用户提供接入认证服务，接入认 证系统的服务质量、效率以及灵活性是提高竞争力最直接的要求。 I P 城域网业务当前主要发展趋势可以归纳为普及化、宽带化、差 异化、综合化，I P 城域网的网络建设需要满足这些承载要求，同时 I P 城域网接入认证也要充分满足这些要求，表现在城域网接入认证的 统一、新的城域网接入方式( 如I P o E ) 的认证支持、满足城域网业 务灵活性需求、扩展性需求等。目前城域网接入认证系统随着认证技 术的不断发展，面对差异化的业务需求及城域网业务快速增长的压 力，存在的不足逐渐显现，一方面表现在新型城域网业务的接入认证 能力上；另一方面表现在城域网业务规模及扩展能力上，必须从实际 出发，着眼现实及发展，对城域网接入认证系统进行规划设计，建设 全新的融合多种先进技术，满足当前及将来一定时间内城域网业务发 展需要的接入认证系统。 本文从城域网自身网络结构发展、城域网业务发展、城域网技术 发展等多个角度出发，对城域网接入认证系统需求进行了分析，并对 新一代城域网综合接入认证系统进行了总体设计、详细的功能设计， 并对系统的应用部署和典型应用流程进行了说明。系统采用松耦合设 计，功能模块可以根据系统负载通过扩容实现承载能力的提升，同时 系统支持多种认证方式，满足当前城域网全部业务的接入认证需要， 同时为新业务的接入认证支持和快速的业务部署提供保证。系统扩展 性设计满足电信级运营支撑系统的基本要求。 本文主要进行了如下几方面的工作： ( 1 ) I P 城域网的发展和业务承载分析； 北京邮电大学硕士论文 ( 2 ) I P 城域网接入认证现状及需求分析； ( 3 ) 接入认证技术的研究； ( 4 ) 城域网综合认证系统整体架构及功能设计； ( 5 ) 综合认证系统的部署和应用流程设计。 随着城域网业务的进一步丰富和发展，城域网综合接入认证系统 必将发挥其统一、融合、高灵活性、较强的扩展性等方面的优势，为 城域网全业务的发展提供强有力的支撑。 关键词：I P 城域网、接入认证、系统设计、R a d i u s 、D H C P 。 北京邮电大学硕士论文 A N A IY S I SA N DD E S I G N O FT H E D 卫G RA T E DA C C E S SA I 兀圈E N 耵C A n O N S Y S T E MF O RI PB A S E D 【A N A B S T R A C T B r o a d b a n dI Pb a s e dN 心( M e t r o p o l i t a nA r e aN e t w o r k ) i st h e b e a r i n gn e t w o r kf o rI n t e r n e t s e r v i c e sa n do t h e rv a l u e a d d e ds e r v i c e s p r o v i d e db yn e t w o r ko p e r a t o r s ，w h i c hi so n eo ft h ek e ya s p e c t so ft h e c o m p e t i t i o no fn e t w o r ks e r v i c e s T h i Sc o m p e t i t i o ni sr e f l e c t e di nt h r e e a r e a s ：t h ec o m p e t i t i o no fs u b s c r i b e rm a r k e ts h a r e ，t h ec o m p e t i t i o no f e m e r g i n gn e wn e t w o r k i n gt e c h n o l o g i e s ，a n dt h ec o m p e t i t i o no ff l e x i b i l i t y o f 也eb u s i n e s sm o d e l s I na d d i t i o nt of o c u so nt h ec o n s t r u c t i o no f 也e n e t w o r ki n f r a s t r u c t u r e ，o p e r a t o r sp a ym o r ea t t e n t i o nt ot h e i rb u s i n e s s s u p p o r ts y s t e m sS Oa st oe n h a n c et h e i rc o m p e t i t i v e n e s s T h ea b i l i t yo ft h e b u s i n e s ss u p p o r ts y s t e m si st h ek e ym e a n so fi m p r o v i n gt h e i rC O r e c o m p e t i t i v e n e s s 硼1 ea c c e s sa u t h e n t i c a t i o ns y s t e mi sak e ys u b - s y s t e mo f t h e 洲b u s i n e s s s u p p o r ts y s t e m s ，w h i c hC a l ls u p p o r tt h eI Pb a s e d 心 s e r v i c e si nc o m b i n a t i o nw i t ht h eM A Nd a t as e r v i c e b i l l i n g a n d m a n a g e m e n ts y s t e m T h ea c c e s sa u t h e n t i c a t i o ns y s t e mp r o v i d e sa c c e s s a u t h e n t i c a t i o ns e r v i c ed i r e c t l yt ot h eu s e r s ，w i t ht h es e r v i c eq u a l i t y , e f f i c i e n c y a n d f l e x i b i l i t y a st h ek e yd e m a n d st oe n h a n c et h e c o m p e t i t i v e n e s so f t h eo p e r a t o r s T h em a i nc u r r e n tb u s i n e s st r e n d so fl Pb a s e dM A Nc a nb er e d u c e d t op o p u l a r i t y , b r o a d b a n d ，d i f f e r e n t i a t i o n ，a n di n t e g r a t i o n T h e c o n s t r u c t i o no fI Pb a s e dN 心m u s tm e e tt h e s ed e m a n d sf o rb e a r i n ga l l k i n d so fs e r v i c e s ，m e a n w h i l e ，t h eI P 删a c c e s sa u t h e n t i c a t i o ns y s t e m m u s ta l s of u l l y 如l 丘l lt h e s er e q u i r e m e n t s ，p r o v i d i n gu n i f i e da u t h e n t i c a t i o n , s u p p o r t i n gn e w 删a c c e s sa u t h e n t i c a t i o nm o d e ( s u c h a sI P o E ) ，a n d r e a l i z i n gf l e x i b i l i t y , e x t e n d i b i l i t y , a n do t h e rr e q u i r e m e n t so fM A N b u s i n e s so p e r a t i o n N o w a d a y s ，f a c i n gt h ed i f f e r e n t i a t i o no fb u s i n e s s r e q u i r e m e n t sa sw e l la st h ep r e s s u r eo ft h er a p i dg r o w t ho f t h eM A N I 北京邮电大学硕士论文 b u s i n e s s ，t h eM A N a c c e s sa u t h e n t i c a t i o ns y s t e mi sg r a d u a l l yf a l l i n gs h o r t o fc a p a b i l i t i e s ，w i t hl a c ko fa c c e s sa u t h e n t i c a t i o nf u n c t i o n a l i t yf o rn e w M A Ns e r v i c e sa n ds e a l a b i l i t ya n de x t e n d i b i l i t yf o rc u r r e n tM A Ns e r v i c e s T h e r e f o r e ，a c c o r d i n gt ot h e s ef a c t s ，h a v i n gt h er e a l i t ya n dd e v e l o p m e n t i n m i n d ，a n db a s e dO nn e wa u t h e n t i c a t i o nt e c h n o l o g i e s ，w em u s tr e p l a n ， r e d e s i g na n dr e b u i l dab r a n d - n e wM A N a c c e s sa u t h e n t i c a t i o ns y s t e m ， u s i n gv a r i e t yo f a d v a n c e dt e c h n o l o g i e sa n dm e e t i n gt h ec u r r e n ta n d f u t u r e M A Nb u s i n e s sr e q u i r e m e n t s T h i st h e s i sa n a l y z e st h eM A Na c c e s sa u t h e n t i c a t i o ns y s t e mb a s e do n t h ed e v e l o p m e n to f 删n e t w o r ki n f r a s t r u c t u r e ，M A Nb u s i n e s s ，删 n e t w o r k i n gt e c h n o l o g i e s ，a n do t h e rr e l a t e da r e a s ，p r o v i d e st h eg e n e r a la n d d e t a i l e d d e s i g n o ft h en e w g e n e r a t i o n M A Ni n t e g r a t e da c c e s s a u t h e n t i c a t i o ns y s t e m ，a n dd e s c r i b e st h es y s t e ma p p l i c a t i o nd e p l o y m e n t a n dt y p i c a la p p l i c a t i o np r o c e s s e s T h en e ws y s t e mu s e sal o o s e l yc o u p l e d m o d eo fs y s t e md e s i g n ，w i t he a c hf u n c t i o nm o d u l ec a p a b l eo fb e i n g a d d e do re x p a n d e db a s e do nn e wn e e d so rs y s t e ml o a dt oe x t e n do r e n h a n c et h e c a p a c i t y M e a n w h i l e ，t h en e ws y s t e ms u p p o r t sm u l t i p l e a u t h e n t i c a t i o nm e t h o d s ，m e e t i n ga l lc u r r e n tM A Na c c e s sa u t h e n t i c a t i o n n e e d sa sw e l la sG a s u r i n ga c c e s sa u t h e n t i c a t i o ns u p p o r tf o rn e ws e r v i c e i n t r o d u c t i o na n dr a p i dd e p l o y m e n t 1 1 1 es c a l a b i l i t yo ft h en e ws y s t e m m e e t st h eb a s i cd e s i g nd e m a n d so ft h ec a r r i e r - g r a d e o p e r a t i o ns u p p o r t s y s t e m 1 1 1 em a i nt a s k so ft h i st h e s i sa r ea sf o l l o w s ： ( 1 ) A n a l y s i so ft h ed e v e l o p m e n ta n ds e r v i c e sb e a r i n go fI Pb a s e d 删； ( 2 ) A n a l y s i so ft h ea c t u a l i t ya n dr e q u i r e m e n t so fI Pb a s e dM A N a c c e s sa u t h e n t i c a t i o n ； ( 3 ) R e s e a r c h o fa c c e s sa u t h e n t i c a t i o nt e c h n o l o g i e s ； ( 4 ) D e s i g n o fg e n e r a la r c h i t e c t u r ea n df u n c t i o n a l i t yo fM A N i n t e g r a t e da c c e s sa u t h e n t i c a t i o ns y s t e m ； ( 5 ) D e s i g no fs y s t e md e p l o y m e n ta n da p p l i c a t i o np r o c e s s e so ft h e M A N i n t e g r a t e da c c e s sa u t h e n t i c a t i o ns y s t e m W i t ht h ef u r t h e rb o o m i n ga n dd e v e l o p m e n to fM A Ns e r v i c e s ，t h e i n t e g r a t e dM 匕a c c e s sa u t h e n t i c a t i o ns y s t e mw i l lb eb o u n dt oe x e r ti t s U 北京邮电大学硕士论文 a d v a n t a g e sO nu n i t y , i n t e g r a t i o n ，h i g hf l e x i b i l i t y , h i g hs c a l a b i l i t ya n d e x t e n d i b i l i t y , a n dS 0o n ，p r o v i d i n gp o w e r f u ls u p p o r tf o rt h ef u l ls e r v i c e d e v e l o p m e n t o ft h eM A Nb u s i n e s s K E YW O R D S ：I Pb a s e dM A N ，a c c e s sa u t h e n t i c a t i o n ，s y s t e md e s i g n , r a d i u s ，D H C P 北京邮电大学硕士论文 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：1 荔J 辞1 日期：2 即留， 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在年解密后适用本授权书。非保密论 文注释：本学位论文不属于保密范围，适用本授权书。 本人签名：五荔 砷1 日期：印g ，I 导师签名：发，11 日期：、侈矛， = j f - j 北京邮电大学硕士论文 第1 章绪论 1 1 I P 城域网接入认证的背景 我国宽带I P 城域网建设从1 9 9 9 年开始，到目前为止我国电信运营商都进 行了I P 城域网的建设，中国电信，中国网通，中国联通，中国移动等大型电信 运营商都在I P 城域网的建设进行了大量的投入。 I P 宽带城域网以多业务的光传送网为开放的基础平台，在其上通过路由器、 交换机等设备构建I P 数据网络核心层，通过各类网关、接入设备实现语音、数 据、多媒体业务及各种增值业务接入。与各运营商骨干网互通，形成地市综合业 务网络，承担城域网内集团用户、商用大楼、智能小区的业务接入和电路出租业 务，具有覆盖面广、投资量大、接入技术多样化、接入方式灵活，强调业务功能 和服务质量等特点。I P 城域网作为数据业务承载和接入的核心网络，通过与I P 骨干网或I P 省网的汇接，提供多种接入手段实现多种数据业务的承载，I P 城域 网的应用环境较为复杂，各种业务和各种协议都在此汇聚，分流和进出I P 骨干 网络。 宽带I P 城域网是网络运营商互联网及增值业务承载网络，是运营商业务发 展的核心所在，随着互联网络业务的不断发展，互联网增值业务的不断涌现，运 营商在发展业务、发展用户方面面临激烈的竞争，竞争体现在三个方面：用户市 场份额的竞争、不断出现的新的组网技术的竞争、灵活多变的业务模式的竞争。 I P 城域网是各地市的宽带、窄带等口业务的承载平台，所有口业务都将在 城域网内接入开展，城域网上应能同时承载语音、视频、数据及企业互联等业务； 在业务的可控化方面要尽量做到业务的感知、认证、计费、安全和Q o S 等的集 中控制和管理；还需充分考虑成本因素，以最小成本完成组网优化工作，保护已 有设备投资。此外，新型城域网应该达到网络层次清晰化、网络结构扁平化、网 络服务质量差异化、集中管理和控制的要求。为不同地区构建一个适合该地区业 务需求发展的城域网是未来几年网络建设规划方面重中之重的工作。 城域网接入层最靠近用户的一端，区分服务、为特定业务和用户提供服务 质量保证显得尤为重要。而接入认证是实现以上业务功能的前提，没有统一的接 入认证，就无法实现良好的业务感知、服务区分，无法为城域网用户提供差异化 的服务，无法为用户提供准确的计费、较强的安全保障、承诺的Q O S 保证等。 因此城域网接入认证是城域网健康发展、多业务承载的基础。目前城域网认证系 北京邮电大学硕士论文 统满足城域网建设初期认证需求，虽然有部分修改但总体上没有大的变化，存在 以下问题无法满足新条件下城域网发展的需要： 接入认证系统与计费系统呈紧耦合状态，不利于多业务的快速部署和承载： 接入认证系统设计初衷是满足窄带用户的需要，随着城域网宽带化趋势的演 进，系统在效率和功能等方面已经无法满足需要； 目前接入认证系统支持业务单一，面对新业务部署引入的多种终端缺乏有力 支持，成为新业务发展的阻碍； 在网络技术的不断发展和城域网设备不断更新换代的大环境下，城域网接入 认证系统如何发挥新技术变革带来的功能优势和设备更新带来的性能优势， 是目前迫切需要解决的问题，也是提高口城域网运营效率和运营质量的关 键所在。 1 2l P 城域网接入认证系统简介 接入认证系统是城域网业务支撑系统中的关键子系统，如图1 一l 所示，接入 认证系统与城域网数据业务计费及管理系统、各增值业务系统紧密配合，实现P 城域网业务的支撑，业务受理系统完成城域网相关业务的受理，并通过工单到业 务计费及管理系统中实现业务开通、业务管理、计费处理等，业务计费及管理系 统通过与接入认证系统的业务开通接口将业务开通到认证系统数据库，接入认证 系统控制用产的接入及业务使用，同时接入认证系统负责完成用户使用信息的采 集，通过计费采集接口完成计费信息的传送。 一2 北京邮电大学硕士论文 l 增值业务系统 图1 - 1 接入认证系统与其它业务支撑系统关系图 接入认证系统通过对用户终端设备或城域网业务汇聚设备的控制，完成接入 用户的认证和授权，同时为城域网业务的计费提供基本用户使用信息。系统为用 户合法接入网络、获得承诺的服务质量、实现准确计费提供保证，是保障城域网 业务高效率、高质量运营的关键。 1 3 论文的背景及主要工作 论文的背景： 本人所在公司的主要客户为电信运营商，公司的主要业务包括为城域网运营 商提供综合的系统集成解决方案、I P 业务综合业务支撑系统、I P 业务增值系统。 本人的工作内容包括为运营商提供城域网网络方案设计、业务承载方案设计、业 务支撑系统解决方案等，在实际工作中对城域网运营商的网络发展、新技术的应 用等方面有较为全面的了解，城域网作为I P 多业务的承载网络已经是不争的事 实，目前新业务的部署受到了诸多因素的制约，包括接入层设备性能及功能支持、 3 北京邮电大学硕士论文 汇聚层网络结构及网络设备的能力、业务支撑系统的支持等新业务的部署对于 接入认证提出了更高的要求，结合电信运营商的实际需求，本文希望立足现状， 面向未来发展，通过对新型城域网综合接入认证系统的建设进行论证和分析，完 成系统构架及功能设计，满足城域网新业务开展的需求。 主要工作： 本文通过对I P 城域网现状及发展的分析，对城域网接入认证现状及需求进行 了深入的分析，论证了建设城域网综合接入认证系统的必要性，完成了I P 城域网 综合认证系统框架设计、功能设计、并对系统的部署方案和业务开展流程进行了 详细的阐述。在本课题中，本人参与了城域网综合认证系统的需求研究和设计的 全过程，主要做了如下五个方面的工作： ( 1 ) I P 城域网的发展和业务承载分析； ( 2 ) I P 城域网接入认证现状及需求分析； ( 3 ) 接入认证技术的研究； ( 4 ) 城域网综合认证系统整体架构及功能设计； ( 5 ) 综合认证系统的部署和应用流程设计。 1 4 论文的创新及结构 本课题的创新之处在于。 ( 1 ) 结合现有城域罔发展实际情况，充分考虑城域网业务发展及技术发展，进 行了城域网综合接入认证系统的设计。 ( 2 ) I P 城域网作为下一代网络的核心网络，其接入认证结构对于数据业务、 语音业务、视频业务的融合起到了关键的推动作用，城域网接入认证系统 的改进和提升对于三网融合技术的发展和应用具有重要意义。 本论文的结构： 第一章主要介绍了城域网接入认证的背景，对城域网接入认证系统作了简要 介绍，对接入认证系统与其它业务支撑系统间的关系进行了说明； 第二章介绍了城域网综合接入认证得相关技术、认证协议以及内存数据库技 术。 第三章对城域网综合接入认证系统进行了需求分析，从城域网技术发展、结 构发展、业务需求等角度出发，分析了新一代城域网接入认证系统面临的挑战， 指出接入认证系统的关键需求和主要发展方向。 第四章进行了城域网综合接入认证系统的总体设计，阐明了系统的逻辑架 构、功能架构及相关功能模块设计。 4 北京邮电大学硕士论文 第五章介绍了接入认证系统详细的功能设计。 第六章介绍了城域网综合接入认证系统的部署和应用，以及应用流程。 其中第三章到第六章是本课题研究的核心部分，第三章从城域网网络结构发 展及现状出发，分析了城域网网络结构的发展对接入认证系统提出的新需求，并 结合城域网业务整体趋势，提出了新一代城域网接入认证系统的调整和建设需 求，特别是在第四章提出了全新的接入认证系统架构，整合了接入认证的服务功 能，使接入认证系统即可以满足城域网业务的平滑过渡，又可以满足当前及一定 发展阶段新型城域网业务的发展需要。 5 - 北京邮电大学硕士论文 第2 章城域网接入认证相关技术 按照王n t e r n e t 网络分层模型，在协议每一层都可以针对用户或者设备进行 网络接入的认证、鉴权。一般来说根据认证发生所属的网络分层模型层次，可以 将认证技术大致划分为几类，包括物理层认证、M A C 层认证、I P 层认证、U D P T C P 应用层认证。 ( 1 ) 8 0 2 1 l b 采用典型的物理层认证。物理层认证的优势是，不需要改动上层 M A C 或者T C P I P 协议：缺点是需要对N I C 和接入服务器的硬件进行改 动，并且协议修改反应到设备支持的周期长，而且很难和A A A 进行集成。 ( 2 ) M A C 层认证的代表技术是P P P 和8 0 2 1 x ，该认证方式的优点是不需要对 设备的硬件进行改动，通过软件升级就可以实现新的认证技术引入。协议 反应周期短，可以和A A A 进行快速有效的融合( 通过勘让) 。其缺点是 需要对M A C 层进行改动。 ( 3 ) I P 层认证不需要对客户的M A C 和T C P I P 层进行修改，其缺陷是在认证 前需要向认证请求者开放一部分网络访问权限，为用户分配地址基于口 的认证一般不提供统计计费能力，扩展性不好。 ( 4 ) U D P f r C P 认证采用应用层认证不需要对底层进行修改，一般采用令牌 卡协议，在认证前需要开放部分网络，没有统计计费能力，扩展性不好。 综合对比以上几种认证方式，可以发现链路层认证的优势突出。其特点是快 速、简单和成本低廉。多数的链路层协议像P P P 和I E E E 8 0 2 都可以支持基于链路 层的认证技术。客户在认证之前不需要进行服务器的定位，不需要获得I P 地址。 网络接入设备只需要有限的3 层功能，可以轻易实现和A A A 的结合，从而提供丰 富、灵活的认证方式和计费手段。在多协议网络环境中，基于链路层的认证可以 实现对上层应用的完全透明，也就是说可以实现和新的网络层协议( 比如I P v 6 ) 的兼容。链路层认证处理减小了认证包处理的延时，保证了关键性应用的服务质 量。 2 1 城域网接入方式 2 1 1P P P O E 接入 P P P o E ( P P Po v e rE t h e r n e t ) 为I E T FR F C 2 5 1 6 标准协议，是从基于A T M 的 窄带网引入到宽带以太网的，实现在E t h e r n e t 上传输封装P P P 报文，由于I P 包 和P P P 报文不兼容，必须有专门的设备终结P P P 报文并转换为I P 报文，这种设 6 北京邮电大学硕士论文 备就是B R A S 。用户与B R A S 设备之间P P P o E 通信过程包含两个阶段：P P P o E 发现 阶段和P P P 会话阶段，发现阶段是无状态的C l i e n t S e r v e r 模式，目的是获得 P P P o E 终结端的以太网M A C 地址，并建立一个唯一的P P P o ES E S S I O N - I D 。发现阶 段结束后，就进入标准的P P P 会话阶段。一旦P P P o E 会话开始，P P P 数据就可以 像其它的P P P 封装形式一样发送。 P P P O E ( P P P o v e r E t h e r n e t ) 技术通过把最经济的局域网技术一以太网和点 对点协议的可扩展性及管理控制功能结合在一起，网络服务提供商和电信运营商 利用其可靠和熟悉的技术来加速部署高速互联网业务。它使服务提供商在通过数 字用户线、电缆调制解调器或无线连接等方式，提供支持多用户的宽带接入服务 时更加简便易行。同时该技术亦简化了最终用户在选择这些服务时的配置操作。 P P P O E 在标准P P P 报文的前面加上以太网的报头，使得P P P O E 提供通过简 单桥接接入设备连接远端接入设备，并可以利用以太网的共享性连接多个用户主 机，在这个模型下，每个用户主机利用自身的P P P 堆栈，用户使用熟悉的界面。 接入控制，计费等都可以针对每个用户来进行。 P P P O E 接入认证安装与操作方式类似于以往的拨号网络模式，用户处的 X D S L 调制解调器无须任何配置，方便用户使用。允许多个用户共享一个高速数 据接入链路，适应小型企业和远程办公的要求。终端用户可同时接入多个I S P ， 这种动态服务选择的功能可以使I S P 容易创建和提供新的业务兼容现有所有 的X D S L M o d e m 和D S L A M 。P P P o E 接入认证存在的不足在于，P P P 的额外开销，技 术实现复杂度高( 多次堆栈) ，设备造价较高。 图2 - 1P P P o E 用户接入认证演程图 7 北京邮电大学硕士论文 用户P P P o E 认证流程如下： ( 1 ) 用户通过以太网网卡发起P P P 连接； ( 2 ) 宽带接入服务器( B R A S ) 向R a d i u s 服务器请求认证和授权； ( 3 ) R a d i u s 服务器查找自己的用户数据库；根据查找结果把授权信息通过 R a d i u s 协议发送给宽带接入服务器( B R A s ) ； ( 4 ) 宽带接入服务器( B l 认S ) 根据授权信息启动P P P 协议； ( 5 ) 宽带接入服务器( B K A S ) 向R a d i u s 发送计费开始包，R a d i u s 服务器收到 计费开始包后，把计费信息写入计费文件d e t a i l ： ( 6 ) 用户使用完I n t e r n e t 后，断开与宽带接入服务器( B R A s ) 的连接； ( 7 )宽带接入服务器( B R A S ) 向R a d i u s 服务器发送计费结束包，R a d i u s 服务 器收到计费结束包后，把计费信息写入计费文件d e t a i l 。 2 1 2D H O P + W E B 接入 D H C P + W e bL o g i n 方式接入只需要客户端有浏览器，无需特定的客户端软件 支持，方便用户使用，支持W e bP o r t a l ，可以和宽带应用紧密结合，目前广泛应 用在酒店、学校等场所 D H C P + W e bL o g i n 接入方式的核心是一台宽带接入控制器，宽带接入控制 器采用的核心技术是策略路由或源地址路由技术，是靠控制用户I P 地址的路由 表达到对用户上网控制的接入控制器主要控制功能在0 s I 三层以上，一般支持 三层、四层( 七层) 控制。可以对用户进行细粒度的控制，如控制用户的协议使 用，控制用户访问范围等。接入控制器核心是I P 路由软件，所以一般均支持N A T 功能，接入控制也支持S e s s i o n 和M A C 地址绑定，可以防止用户I P 地址盗用。 同时支持实时断线、流量计费、时长计费。 D H C P + W e bL o g i n 上网流程如图所示： 8 北京邮电大学硕士论文 I用户宽带控制器附c P 服务嚣 P o r t a l R a d i u s 服务器 ( 1 ) 用户发起司f 束并获细龇- l ( 2 ) 用户K 耳啊w P O l l W 咒团J t t f HE 1 恳l ，、- r ( 3 ) 进行安全k 证信息交互 ：兰j 疆I - d p m 目n m - _ 十 ( 5 ) 运目认证结果及授权信息 、( 6 ) 用户路由开 一放及策略设置 n 盥：上。：士 l ，o o or - j H ，m 小 用户上同 ) c s 脯、攫! L t h ： 7 ，A n _ 目m _ m r 1r1r 1r 1r 1r 图2 - 2D H C P + V E B 用户接入认证流程图 用户接入网络，宽带控制器作为D H C P 代理转发D H C P 请求至D H C P 服务器， D f l C P 服务器分配I P 地址、D N S 等信息； 用户开始访问页面，被宽带控制器强制访问P o r t a l 页面，并进行认证信 息输入； 宽带控制器与P o r t a l 进行用户认证信息安全交互； 宽带控制服务器通过R a d i u s 协议把认证请求发给R a d iu sS e r v e r ： R a d i u s 服务器返回认证结果及用户授权信息： 用户认证通过后宽带控制器对用户I P 地址设定路由策略允许用户出去访 问，并设定用户控制策略。 认证通过后接入控制器向R a d i u sS e r v e r 发计费起始包。 宽带控制器接受用户下线请求或根据策略判断用户是否下线： 用户下线，控制器会取消用户的路由策略，并向R a d i u sS e r v e r 发送计费 终I E 包。 2 1 38 0 2 1 X 接入 8 0 2 1 X 为I E E ES t d8 0 2 1 X - 2 0 0 1 基于端口的访问控制协议，可以克服P P P o E 方式带来的诸多问题，并避免引入宽带接入服务器所带来的巨大投资。8 0 2 1 X 协议限制未经授权的用户设备通过接入端口访问L A N I _ A N 。在获得交换机或L A N 提供的各种业务之前，8 0 2 1 x 对连接到交换机端口上的用户进行认证。在认证 通过之前，8 0 2 1 x 只允许E A P o L ( 基于局域网的扩展认证协议) 数据通过设备连接 的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。 9 ， ) ) ) ) ) ) ) ) ) l 2 3 4 5 6 7 8 9 ( ( ( ( ( ( ( ( ( 北京邮电大学硕士论文 8 0 2 1 X 协议体系结构包括三个重要的部分：S u p p l i c a n tS y s t e m 客户端、 A u t h e n t i c a t o rS y s t e m 认证系统、A u t h e n t i c a t i o nS e r v e rS y s t e m 认证服务 器。 r 。”。”1r 。”。l lr 。1 l 三懈l | i l 黔i l 磊撇止 4 函 峥蛾 l l l妒钮粕椭瑚哩如自醇 器一：嚣游：l 哗 X llL 1 一一JI - 一一一一罩一一一一一一l一一一，。 歉l -薹 ，i ，u 瞧 田2 - 38 0 2 1 X 协议体系结构图 客户端系统一般为一个用户终端系统，该终端系统通常要安装一个客户端软 件，用户通过启动这个客户端软件发起I E E E8 0 2 I X 协议的认证过程。为支持基 于端口的接入控制，客户端系统需支持E A P O L 协议 认证系统通常为支持8 0 2 I X 协议的网络设备，如8 0 2 1 X 交换机。该设备对 应于不同用户的端口( 可以是物理端口，也可以是用户设备的M A C 地址、V L A N 、 I P 等) 有两个逻辑端口t 受控端口和不受控端口不受控端口始终处于双向连 通状态，主要用来传递F A P O L 协议帧，可保证客户端始终可以发出或接受认证。 受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务受控端口 可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境如果用户未 通过认证，则受控端口处于未认证状态则用户无法访问认证系统提供的服务。 认证服务器通常为R A D I U s 服务器，该服务器可以存储有关用户的信息，比 如用户所属的V L A N 、C A R 参数、优先级、用户的访闯控制列表等等。当用户通过 认证后，认证服务器会把用户的相关信息传递给认证系统，由认证系统构建动态 的访问控制列表，用户的后续流量就将接受上述参数的监管认证服务器和 R A D I U S 服务器之间通过E , 4 P 协议进行通信 在8 0 2 1 X 协议中的。可控端口一与“非可控端口一是逻辑上的理解，设备 内部并不存在这样的物理开关对于每个用户而言，8 0 2 I X 协议均为其建立一 条逻辑的认证通道，该逻辑通道其他用户无法使用，不存在端口打开后被其他用 户利用问题。 8 0 2 I X 认证协议已经得到了很多软件厂商的重视，目前微软也在大力推广， 并在W i n d o w sX P 中已经整合8 0 2 1 X 客户端软件，无需要另外安装客户端软件 1 0 北京邮电大学硕士论文 I E E E 8 0 2 1 x 认证过程，如图2 - 4 所示： l I用户交换机 一( 1 ) 用户与交换机建立网络连接 一 ( 2 ) 用户与交换机通过 一 E A P o l 协议交互认证信息 一 、 )( 5 r 、 用户上网 ( 7 ) 用 图2 - 49 0 2 1 X 用户接入认证漉程图 ( 1 ) 用户与8 0 2 1 X 建立网络连接，此时用户端口被关闭； ( 2 ) 用户打开8 0 2 1 X 客户端软件，与8 0 2 1 X 交换机进行认证信息交互： ( 3 ) 8 0 2 1 X 交换机通过R a d i u s 协议把认证请求发给R a d i u sS e r v e r ； ( 4 ) R a d i u s 服务器返回认证结果： ( 5 ) 8 0 2 1 X 交换机打开用户端口，用户可以正常使用网络； ( 6 ) 认证通过后8 0 2 1 X 交换机向R a d i u sS e r v e r 发计费起始包。 ( 7 ) 用户下线，8 0 2 1 X 交换机关闭用户端口，并向R a d i u sS e r v e r 发送计费 终止包。 2 1 4IP O E 接入 用户端计算机将I P 报文通过以太网卡封装成E t h e r n e t 帧送到用户端交换 机，再经过光纤传输送到局端交换机。I P o E 接入方式随着城域网I P T V 业务的出 现，组播在城域网上的应用而表现出强烈的需求，采用I P o E 方式提供I P T V 业 务，组播报文在l P O E 通道上承载，不需要对组播报文作P P P 封装处理，因此 组播复制工作不限定在终结P P P o E 的B R A S 设备进行，可以根据业务量灵活地 部署在业务路由器( S R ) 、汇聚交换机，甚至在接入设备( D S L A M 或园区交换机) 上，可以极大地发挥城域网的组播业务的承载效率。同时由于新型城域网业务层 面控制能力的争强，终端对于接入灵活性非人为干预需求的增强，I P o E 接入方 北京邮电大学硕士论文 式将是将来城域网接入的主要发展方向。 2 2 认证协议 2 2 1A A A 的应用 A A A 指的是A u t h e n t i c a t i o n ( 鉴别) ，A u t h o r i z a t i o n ( 授权) ，A c c o u n t i n g ( 计费) 。自网络诞生以来，认证、授权以及计费体制( A A A ) 就成为其运营的 基础，网络中各类资源的使用，需要由认证、授权和计费进行管理。而A A A 的 发展与变迁自始至终都吸引着营运商的目光。对于一个商业系统来说，鉴别是至 关重要的，只有确