三种认证技术在ACR系统中的对比研究

1、    三种认证技术在ACR系统中的对比研究        王苏南， 张国杰， 智英建， 张 时间:2008年02月26日     字 体: 大 中 小        关键词:<"cblue" " target='_blank'>三种<"cblue" " targe

2、t='_blank'>认证方式<"cblue" " target='_blank'>认证技术<"cblue" " target='_blank'>接入设备<"cblue" " target='_blank'>实现流程            摘?要：针对大规模接入汇聚路由器ACR(Ac

3、cess Convergence Router)多用户、多需求、易网管的特点，使Web+DHCP、 PPPoE、802.1X<"cblue" " title="三种">三种常用的<"cblue" " title="认证技术">认证技术能够在ACR系统中分别实现，并对比研究了三种不同技术多方面的优劣差异。关键词：接入网络? <"cblue" " title="认证方式">认证方式? Web+DHCP? PPPoE

4、? 802.1X? 目前宽带接入网主要有ADSL、LAN和ACR三种方式。ADSL方式终端用户带宽窄，无法开展宽带流媒体业务；接入段设备复杂，无法对接入段通用设备实施管理，不能对用户带宽灵活配置，不便于引入新的业务；接入段由三层组成：接入层汇聚层路由层。LAN方式其汇聚带宽统计复用，无法确保用户端到端带宽；接入段设备复杂，无法对接入段通用设备实施管理，不能对用户带宽灵活配置，不便于引入新的业务；其接入段由汇聚层和路由层组成。而ACR接入方式接入段设备一体化，方便对接入段设备实施管理，方便对用户带宽灵活配置；接入段为一层：路由层。1 ACR系统简介对于下一代互联网面临的新业务拓展和安全性服务问题

5、，汪斌强教授和邬江兴院士提出了基于IPv4/IPv6双栈的大规模接入汇聚路由器ACR的概念。? ACR接入段仅由路由层一层组成，如图1所示，它能确保用户端到端带宽，便于引入新的运营策略和新业务。?ACR系统是分布式的，它由ACR-S交换主机、分复用单元EMD、远端接口单元RIU和宽带接入服务器BAS（ACR-Portal）、认证服务器BOS（ACR-RADIUS）等组成，如图2所示。?2 三种认证方式分别在ACR系统中的实现2.1 WebDHCP认证方式2.1.1 WebDHCP概述WebDHCP认证方式根据在网络拓扑中的位置，可分为两大类：直通式和旁路式。直通式就是认证系统处在用户与<

6、"cblue" " title="接入设备">接入设备之间，全部用户流量都经过认证系统；旁路式就是认证系统在拓扑上处于接入设备之上，认证系统与用户之间只要保证IP层相通即可。直通式认证系统容易实现对用户的细粒度控制，原理简单、直观；但从提高系统性能、降低研发、组网和维护管理成本的角度看，旁路式比直通式认证系统有明显的优势。2.1.2 WebDHCP认证技术在ACR中的实现流程在ACR系统中无论直路式或旁路式都可实现，但两者相比较旁路式更为实际一些。Web+DHCP方式在ACR中的通信流程如图3所示。?Web+DHCP方式无需在用户端安装客

7、户端软件，用户开机后Host通过二层广播向ACR-Portal请求提供Host的IP地址，在ACR系统中可由ACR-Portal作为DHCP服务器，同时ACR-Portal为该用户建立一个用户表项，记录用户的MAC地址和已分配的IP地址等信息，添加用户服务策略。用户在认证前只能访问门户站点即ACR-Portal。如果用户要转到其他网站、得到更多服务，则必须先打开浏览器通过Web方式进行认证，输入用户名和密码，通过ACR-Portal将用户名和密码送往ACR-RADIUS服务器进行认证。认证通过后，ACR-Portal可向用户下载一个小程序，用户通过此程序提供的小窗口可以看上线时间、租用剩余时间

8、等。用户正常下网时，可利用上述下载的小程序执行“断开网络”操作。将用户下网的消息发送给ACR-Portal，由ACR-Portal发出计费Stop包给后台ACR-RADIUS，同时在ACR-Portal中删除此用户记录并释放用户的IP地址。若在ACR上形成直路式认证系统，只需要ACR-Portal将认证数据直接透传给ACR-RADIUS即可。2.2 PPPoE认证方式2.2.1 PPPoE概述1998年Redback网络公司联合UUNET公司和RouterWare软件公司开发了以太网上点对点协议PPPoE，并得到了IETF的认可，于1999年2 月被IETF接受，以RFC2516发布。2.2.

9、2 PPPoE认证技术在ACR中的实现流程PPPoE在ACR中的通信流程如图4所示。在ACR系统中建立一个PPP连接，同样也要建立一个惟一的会话标识符，按照RFC2516标准分两个阶段：Discovery阶段和PPP会话阶段。?(1)Discovery阶段a.Host向ACR-Portal发送一个初始化PADI(PPPoE? Active Discovery Initiation)包。b.ACR-Portal返回应答PADO(PPPoE Active Discovery Offer)包。 ?c.Host发出会话请求PADR(PPPoE Active Discovery Request)包。 ?

10、d.ACR-Portal发回会话确认PADS(PPPoE Active Discovery Session-confirmation)包。? (2)PPP会话阶段当一个Host想发起PPPoE会话(PPP Session)时，它必须首先完成识别对等端(ACR-Portal)的MAC地址并建立PPPoE的SESSION_ID。PPPoE会话的SESSION_ID不允许发生改变，必须是Discovery阶段所指定的值，即建立了一个PPP过程。之后ACR-RADIUS验证PPP包中的Host用户及密码，若认证通过，告知ACR-Portal完成认证过程，并分配IP地址，开始计费进行控制。2.3 IEE

11、E 802.1X认证方式2.3.1 802.1X概述802.1X协议是基于端口的访问控制协议(Port-based Network Access Control Protocol)。主要由认证服务器(Authentication Server)、认证者(Authenticator)和申请者(Supplicant) 三部分组成，其系统结构如图5所示。?2.3.2 802.1X在ACR中的实现流程在ACR系统中ACR-RADIUS、ACR-Portal、Host分别扮演认证服务器、认证者、申请者的角色。图6是802.1X方式在ACR中的通信流程。?(1)当Host上网时先发出请求认证的报文给ACR

12、-Portal，开始启动一次认证过程;(2)ACR-Portal收到请求认证的数据帧后，将发出一个请求帧要求Host将输入的用户名送上来;? (3)Host响应ACR-Portal发出的请求，将用户名信息通过数据帧送给ACR-Portal。ACR-Portal再将Host送上来的数据帧经过EAP封包处理后送给ACR-RADIUS进行认证; ?(4)ACR-RADIUS收到ACR-Portal转发上来的用户信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时将此加密字传送给ACR-Portal，由ACR-Portal传给Host;?

13、 (5)Host收到由ACR-Portal传来的加密字后，用该加密字对口令部分进行加密处理(如MD5不可逆的加密算法)，并通过ACR-Portal再传给ACR-RADIUS; ?(6)ACR-RADIUS将送上来的加密后的口令信息与其他经过加密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息，并向ACR-Portal发出打开端口的指令，允许用户的业务流通过端口访问网络，至此完成认证过程。 在Host与ACR-Portal交换口令信息的时候，没有将口令以明文直接送到网络上进行传输，而是对口令信息进行MD5不可逆的加密算法处理，使在网络上传输的敏感信息有了更高的安全保

14、障，杜绝了由于下级接入设备所具有的广播特性而导致敏感信息泄漏的问题。3? 三种认证方式在ACR中的对比研究 Web+DHCP.PPPoE和802.1X三种认证方式对比研究如表1所示。因为不同接入网络和网络管理员的要求（例如公安网、军队网的接入网要求）、网络管理员对三种认证方式的熟练程度以及网络运营商对运营要求等，三种认证技术都有需求。目前三种认证方式都是位于各自单独的应用环境下分别在ACR系统中实现的。如果能在一个统一的通用环境情况下，即三种认证方式在ACR系统中一起进行认证，还需要进一步研究与实践，这也是笔者下一步的研究方向,即集成式可扩展的接入认证机制的研究，以便为ACR系统可接入、可控制

15、、可管理、可扩展的大规模宽带网提供更好的技术服务。?参考文献1 ?邬江兴.中国高性能宽带信息网(3TNet)综述.通讯世界, ?2002,（1）:37-40.2 ?NDSC. 大规模接入汇聚路由器（ACR）总体技术规范S，2005.3 ?汪斌强，邬江兴. 基于IPv6的大规模接入汇聚路由器的设想和实现.电信科学, 2006,(1):5-9.4 ?DROMS R. Dynamic host configuration protocolS. RFC?2131, Bucknell University, March 1997.5? SIMPSON W. RFC1661: Point to point protocolZ. 1994.6? RIGNEY C. Remote authentication dial in