浅谈BAS设备常用认证技术的原理及特点

1、浅谈BS设备常用认证技术的原理及特点XX：1009-3044(20XX)36-2877-03DiscussthePrinciplendChrcteristicsoftheBSEquipmentCommonuthentictionTechnologyWNGLei(ChinTietongWuhuBrnch,Wuhu241000,Chin)bstrct:ThroughtheintroducingofcommonuthentictiontechnologyoftheBSequipment,helpthemintenncestffclerlyunderstndingtotheprincipleofthe

2、brodbndnetworkuthentictiontechnologyswellsthechrcteristic.Whenbusinessdevelopment,doptstheresonbleflexibleuthentictionwyinviewofthedifferentuserppliction.Keywords:BS(brodbndccessserver);uthentiction;principle;business1前言BS设备最重要的业务功能就是对用户的认证、授权和计费。这三个功能相互关联，又各自独立。其中，认证是识别用户的技术，它作为授权和计费的基础，是最重要的环节。对用户

3、的认证实质上是对用户标识的认证，这就要求用户具有一个唯一且有效的用户标识，这个标识可以是地址标识、账号或者连接端口的VLN标识。将地址、账号同VLNID标识进行绑定组合使用，可以得到全程有效的用户标识。具体实现中，可以通过在靠近用户的交换机上使用端口VLN，为不同的用户打上相应的VLNID，则VLNID将进化为唯一的用户标识。利用这样的VLNID，BS设备可以精确的识别每一个用户，并对用户实施完备的操纵。BS采纳的经典认证技术有PPPoE认证、WEB认证以及802.1x认证，下面我们将对这三种认证技术的原理和特点做一个简单的介绍：2PPPOE认证PPPoE接入认证原理PPPoE是利用以太XX发

4、送PPP包的传输方法和支持在同一以太XX上建立多个PPP连接的接入技术。其结合了以太XX和PPP连接的综合属性。PPP协议是一种点到点的链路层协议，它提供了点到点的一种封装、传递数据的一种方法。PPP协议一般包括三个协商阶段：LCP（链路操纵协议）阶段，认证阶段（比如CHP/PP）,NC（XX络层操纵协议，比如IPCP）阶段。拨号后，用户计算机和局方的接入服务器在LCP阶段协商底层链路参数，然后在认证阶段进行用户计算机将用户名和密码发送给接入服务器认证，接入服务器可以进行本地认证，可以通过RDIUS协议将用户名和密码发送给服务器进行认证。认证通过后，在NCP（IPCP）协商阶段，接入服务器给用

5、户计算机分配XX络层参数如IP地址等。经过PPP的三个协商阶段后，用户就可以发送和接受XX络报文，用户收发的所有XX络层报文都封装在PPP报文中。PPP协议的一个重要的功能是提供了身份验证功能。以太XX是一种广播XX络，其缺点是通讯双方无法相互验证对方身份，通讯是不安全的。PPP协议提供了通讯双方身份验证的功能，但是PPP协议是一种点对点的协议，协议中没有提供地址信息。如果PPP应用在以太XX上，必须使用PPPoE再进行一次封装，PPPoE协议提供了在以太XX广播链路上进行点对点通讯的能力。认证流程以PPP-CHP为例，PPPoE用户的接入流程如图1。PPPOE客户端向PPPOE服务器设备发送

6、一个PDI广播报文，开始PPPoE接入。PPPOE服务器向客户端发送PDO报文。客户端根据回应，发起PDR请求给PPPOE服务器。PPPOE服务器产生一个sessionid，通过PDS发给客户端。客户端和PPPOE服务器之间进行PPP的LCP协商，建立链路层通信。同时，协商使用CHP认证方式。PPPOE服务器通过Chllenge报文发送给认证客户端,提供一个128bit的Chllenge。客户端收到Chllenge报文后，将密码和Chllenge做MD5算法后的，在Response回应报文中把它发送给PPPOE服务器。PPPOE服务器将Chllenge、Chllenge-Pssword和用户名

7、一起送到RDIUS用户认证服务器，由RDIUS用户认证服务器进行认证。RDIUS用户认证服务器根据用户信息推断用户是否合法，然后回应认证成功/失败报文到PPPOE服务器。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束。PPPOE服务器将认证结果返回给客户端。11)用户进行NCP(如IPCP)协商，通过PPPOE服务器猎取到规划的IP地址等参数。认证如果成功，PPPOE服务器发起计费开始请求给RDIUS用户认证服务器。RDIUS用户认证服务器回应计费开始请求报文。用户此时通过认证，并且获得了合法的权限，可以正常开展XX络业务。当用户希望终止XX络业务的时候

8、，同样也可以通过PPPoE断开XX络连接，此时会按照12)、13)中的格式发送计费终止报文。图1PPPoE认证流程2.3PPPoE认证的特点由于PPP协议提供了通讯双方身份验证的功能，因此安全性高；计费方式和认证方式灵活；支持的客户端前置设备广泛；局端的配置相对简单。但是由于PPP协议是点到点的协议，因此对组播支持不是很好，同时客户端需安装PPPoE拨号软件，运营商维护成本加大；客户端CPU的负荷随着流量增大而加重，影响高流量的多媒体应用。尽管如此，由于PPP协议的安全性、健壮性等特点，目前被广泛与用于DSL接入认证中。3802.1x协议认证802.1x认证技术简介802.1X协议是由（美）电

9、气与电子工程师协会提出，刚刚完成标准化的一个符合IEEE802协议集的局域XX接入操纵协议，其全称为基于端口的访问操纵协议。802.1x协议起源于802.11协议，后者是标准的无线局域XX协议，802.1x协议的主要目的是为了解决无线局域XX用户的接入认证问题。它能够在利用IEEE802局域XX优势的基础上提供一种对连接到局域XX的用 TOC o 1-5 h z 户进行认证和授权的手段，达到了接受合法用户接入，保护XX络安全的目的。802.1x认证，又称EPOE认证，主要用于宽带IP城域XX。3.28021x协议工作机制在802.1X协议中，只有具备了以下三个元素才能够完成基于端口的访问操纵的

10、用户认证和授权：客户端：一般安装在用户的工作站上，当用户有上XX需求时，激活客户端程序，输入必要的用户名和口令，客户端程序将会送出连接请求。认证系统：在以太XX系统中指认证交换机，其主要作用是完成用户认证信息的上传、下达工作，并根据认证的结果打开或关闭端口。认证服务器：通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用XX络系统提供的XX络服务，并根据认证结果向交换机发出打开或保持端口关闭的状态。在具有802.1X认证功能的XX络系统中，当一个用户需要对XX络资源进行访问之前必须先要完成以下的认证过程。当用户有上XX需求时打开802.1X客户端程序，输入已经申请、登记过的用户

11、名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。交换机收到请求认证的数据帧后，将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。客户端程序响应交换机发出的请求，将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。认证服务器收到交换机转发上来的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给交换机，由交换机传给客户端程序。客户端程序收到由交换机传来的加密字后，用该加密字对口令部分进行加密处理（此种加密算法通

12、常是不可逆的），并通过交换机传给认证服务器。认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息，并向交换机发出打开端口的指令，同意用户的业务流通过端口访问XX络。否则，反馈认证失败的消息，并保持交换机端口的关闭状态，只同意认证信息数据通过而不同意业务数据通过。这里要提出的一个值得注意的地方是：在客户端与认证服务器交换口令信息的时候，没有将口令以明文直接送到XX络上进行传输，而是对口令信息进行了不可逆的加密算法处理，使在XX络上传输的敏感信息有了更高的安全保障，杜绝了由于下级接入设备所具有的广播特性而导致敏感信息泄漏

13、的问题。802.1x认证技术的特点在802.1X解决方案中，通常采纳基于MC地址的端口访问操纵模式。采纳此种模式将会带来降低用户建XX成本、降低认证服务器性能要求的优点。它仅仅关注端口的打开与关闭，认证通过后不再进行合法性检查。是各种认证技术中最简化的实现方案。x认证技术的操作对象为端口，合法用户接入端口之后，端口处于打开状态，因此其它用户（合法或非法）通过该端口时，不需认证即可接入XX络。如果802.1x认证技术用于宽带IP城域XX的认证，就存在端口打开之后，其它用户（合法或非法）可自由接入和无法操纵的问题。对于此种访问操纵方式，应当采纳相应的手段来防止由于MC、IP地址假冒所发生的XX络安

14、全问题。4WEB认证WEB认证简介WEB认证最初是一种业务类型的认证，通过启动一个WEB页面输入用户名/密码，实现用户认证。它的特点是：在宽带接入XX中设置认证服务器，用户端需要启动IE等扫瞄器完成与认证服务器的交互。用户认证成功后通过DHCP获得合法的IP地址，认证服务器操纵XX络交换机将用户划入设定好的VLN中接入宽带XX。目前用的最多的是在一些门户XX站，例如新浪、搜狐等，通过WEB页面实现对用户是否有使用XX络权限的认证。WEB认证流程基于WEB的认证实际上是一系列认证方式的统称。目前，各个厂商在用户与认证服务器的交互过程、对交换机操纵方式上不尽相同，临时没有统一的标准，但其认证过程可

15、以归纳如下：用户机器上电启动，系统程序根据配置，通过DHCP由BS做DHCP-Rely，向DHCPServer要IP地址（私XX或公XX）；BS为该用户构造对应表项信息（基于端口号、IP），添加用户CL服务策略（让用户只能访问portlserver和一些内部服务器，个别外部服务器如DNS）；Portlserver向用户提供认证页面。在该页面中，用户输入账号和口令，并单击“login”按钮，也可不输入由账号和口令，直接单击“login”按钮；该按钮启动portlserver上的Jv程序，该程序将用户信息（IP地址、账号和口令）送给XX络中心设备BS;BS利用IP地址将到用户的二层地址、物理端口号

16、（如VlnID、DSL、PVCID、PPPsession）利用这些信息，对用户的合法性进行检查。如果用户输入了账号，则认为是卡号用户，使用用户输入的账号和口令到RdiusServer对用户进行认证。如果用户未输入账号，则认为用户是固定用户，XX络设备利用VlnID（或PVCID）查用户表得到用户的账号和口令，将账号送到RdiusServer进行认证；RdiusServer返回认证结果给BS；7）认证通过后，BS修改该用户的CL,用户可以访问外部因特XX或特定的XX络服务。用户离开XX络前，连接到portlserver上，单击“断开XX络”按钮。系统停止计费，删除用户的CL和转发信息，限制用户不能访问外部XX络。在以上过程中，要注意检测用户非正常离开XX络的情况，如用户主机死机、XX络端掉、直接关机等。4.3Web认证的特点优点：不需要特别的客户端软件，降低了XX络维护工作量；可以提供Portl等业务认证；缺点：WEB承载在7层协议上，对于设备的要求较高，建XX成本高；标准化和开放性差，在认证设备和WEB之间要采纳私有的通讯协议；WEB服务器对于认证用户和非认证用户都是可达的，易受恶意攻击，安全性差；用户连接性