BAS用户认证管理方式

BAS发展历程与用户认证方式 深圳华为技术有限公司 BAS 发展历程与用户认证方式 第 1 页 共 9 页 HUAWEI 目 录 1. BAS 与用户认证的意义...........................................................................................2 2. 用户认证的基本流程 ...............................................................................................2 3. 宽带用户分类..........................................................................................................3 4. 三种认证方式比较...................................................................................................3 4.1 PPPOE认证 ..................................................................................................4 4.2 DHCP认证....................................................................................................4 4.3 WEB 认证 ......................................................................................................5 5. 三种认证方式的比较 ...............................................................................................6 BAS 发展历程与用户认证方式 第 2 页 共 9 页 HUAWEI BAS发展历程与用户认证方式 1. BAS与用户认证的意义 BAS(宽带接入服务器)是借鉴窄带网络运营 管理的成熟运作模式 在数据网络由窄 带向宽带演进的趋势下 使宽带网络可以象PSTN网一样运营 管理的驱动下应运而生的 BAS的主要功能是结合网络设备完成对宽带网络用户的认证 管理 对用户的认证管理即通常所说的AAA包含三个方面 Authentication(认证) Authorization(授权) Accounting(计费) Authentication验证用户是否可以获得访问权 Authorization授权用户可以使用哪些服务 Accounting用户使用网络资源的情况 包括收发字节数 收发数据包数 上 网时长等计费所需信息 如果没有BAS对用户的认证管理 宽带网络只能实现简单的接入功能 既不可以合理 使用网络资源 保证网络安全 也不能针对不同的用户提供差异化的服务 如没有用户 认证就不能发展卡号用户 对于固定端口 不能对用户进行认证就象自来水公司将自来 水管道铺到用户家中而没有水表来计费 没有管理手段来确保收费 只能进行无限制的 供水服务一样造成资源的严重浪费 没有对用户的管理认证作为基础也就无法针对用户 开展增值业务实现增值 盈利的建网目的 通过引入BAS不但解决了原来通过在ATM网络下挂DSLAM的方式实现ADSL用户的 专线而使整个解决建立在二层网络之上所带来的没有认证 计费 也没有对 IP层的 管理等问 而且使基于企业网发展而来的IP网络通过BAS结合先进的技术手段实现从零 管理网络到电信级运营网络的转变 同时BAS也是ATM网络到IP网络的互通网关和认证服 务器 实现用户的认证 计费和管理功能及ATM网络与IP网络的互通 2. 用户认证的基本流程 RadiusRemote Authentication Digl In User Service)是解决AAA最广泛和最常 见的协议 并已发展成为事实上的标准 在宽带IP城域网中 主要采用Radius协议进行 认证 以便于宽带城域网设置统一的Radius协议和计费服务器 实现用户集中管理 同 时 Radius协议作为一种标准协议 也获得了绝大多数厂家BAS的支持 使用Radius协议实现AAA一般涉及以下环节 用户主机-------> BASAAA Client-------> AAA Server -------> 计费软件 BAS 发展历程与用户认证方式 第 3 页 共 9 页 HUAWEI 用户主机与BAS的通信方式 分为PPPoEDHCP/DHCP+WEB Portal方式 BAS与AAA Server的通信协议 采用标准的Radius协议 为了实现增强功能 如在 用户认证结果中包含带宽 访问权限等授权信息 在实时计费报文中包含不同优先级和 业务类型的流量信息等 可采用对Radius协议属性进行适当扩展的Radius+协议 AAA Server与运营计费软件系统进行通信 AAA Server给出详细的原始计费信息 运营计费软件系统对这些数据进行处理 输出话单 在授权阶段 运营计费软件系统需 要根据用户余额 当前时间 费率 优惠时段等参数反算出用户的上网时间 通过AAA Server送给BAS使BAS依据反馈信息完成对用户的管理 BAS作为AAA的Client端 与AAA Server通过Radius协议认证的简要过程如下 * BAS向AAAServer发出Accessuest包 其中包含用户的帐号 密码 端口号 端 口类型等 * AAA Server向BAS回送Access Response包 其中包含用户的合法性和用户设置 如IP地址 掩码 DNS Server上网带宽 上网时段等 * BAS实时向AAA Server发送计费消息包 这些消息包反映上网开始时间 上网 结束时间 输入输出流量 Session ID帐号等 3. 宽带用户分类 对用户进行管理而言 对用户实施业务的前提条件是识别定位用户 和PSTN网一样 需要管理的用户分两类 卡号用户和固定用户 卡号用户相当于200300电话卡 固定 用户相当于家中的固定电话 卡号用户上网时需要输入帐号和密码 BAS通过帐号进行计费 固定用户上网即插 即用 不需要输入帐号和密码 BAS根据用户上网端口进行计费 BAS可通过用户PVC的VPI/VCI识别ADSL接入用户 但对以太网接入用户的识别较困 难 因为用户的MAC地址和IP地址都不能作为识别的依据 比较好的解决办法是通过在以 太网接入中为每个用户划分一个Vlan并由以太网交换机为该用户端口标上801.1q的Vlan Tag宽带接入服务器根据VLAN ID识别定位以太网接入用户 通过这种解决方案 使采 用以太网技术组建大规模面向公众运营的宽带IP网络成为可能 4. 三种认证方式比较 在宽带接入中 根据用户与 BAS 之间的通信方式 可以将认证分为 PPPoE包括 PPPoADHCP和 Web 认证三种认证方式 BAS 发展历程与用户认证方式 第 4 页 共 9 页 HUAWEI 4.1 PPPoE认证 通过 PPPoEPoint-to-Point Protocol over Ethernet协议 服务提供商可以 在以太网实现PPP协议的主要功能 包括采用各种灵活的方式管理用户 PPPoE 协议允许通过一个连接客户的简单以太网桥启动一个PPP对话 PPPoE 的建立需要经过搜寻 Discovery stage和点对点对话 PPP Session stage 两个阶段 当一台主机希望启动一个PPPoE对话 它首先必须完成搜寻阶段 确定对端的 以太网 MAC 地址 并建立一个 PPPoE 对话号 SESSION_ID 在 PPP 协议定义一个端对端关系时 搜寻阶段实际是一个客户与服务器的关系 在搜寻阶段进程中 主机 客户端 搜寻并发现一个网络设备 服务器端 在网络拓 扑中 主机能与之通信的可能不只一个网络设备 但只能选择其中的一个 当搜索阶段 完成后 主机和网络设备将拥有能够建立PPPoE的所有信息 搜索阶段将在点对点对话建立之前一直存在 一旦点对点对话建立 主机和网络设 备都必须为点对点对话阶段的虚拟接口提供资源 PPPoE 一般用于卡号用户 也可用于固定用户申请独用的一个公网IP地址 以便在 公私网混合编址时满足开展特定用户的特殊业务 如网络游戏 VOIPEthernet Phone 的需要 4.2 DHCP认证 DHCP的认证过程如下 * 用户主机上电 发出DHCP Requst广播包 * 该包到达BAS并得到用户的Vlan ID根据Vlan ID得到用户认证帐号 * 将认证帐号送到Radius Server认证 * Radius Server返回认证响应 用户上Internet网 有流量流经BASBAS检测到用户上网流量后 向Radius Server 发计费开始消息包 关机后 用户主机发出DHCP Release包 该包到达BASBAS向Radius Server发送 一个终止计费的消息包 该包同时也包含了用户流量 计费结束 详细过程如下 * 用户主机上电 发出 DHCP Requst 广播包 * BAS 收到 DHCP Request 广播包 缓存 BAS 发展历程与用户认证方式 第 5 页 共 9 页 HUAWEI * BAS 利用 Vlan ID 查用户表得到用户帐号 将帐号送到 Radius Server 进行 认证 * Radius Server 返回认证结果给 BAS * BAS 将 DHCP Requst 转发给 DHCP Server * DHCP Server 响应 DHCP 申请 * BAS 收到响应 转发给用户主机 同时BAS记录用户 Vlan IDMAC 地址 IP 地 址 为用户构造转发信息表 * BAS 根据 Radius Server 认证结果 动态建立基于用户源 IP 地址的 ACL控 制用户访问权限 如未开户用户只能访问 Portal Server开户用户可以访问 因特网 * BAS 检测到用户上网流量 向 Radius Server 发计费开始消息包 * 用户主机发出 DHCP Release 包 该包达到 BASBAS 删除用户 ACL删除用 户的转发信息 BAS 向 Radius Server 发送一个终止计费的消息包 该包包含 用户流量 计费结束 * 用户主机死机或异常情况下 用户主机未发出 DHCP Release 包 BAS 增加智 能检测 若在设置的一段时间内 未检测到用户流量或用户主机已不在线 则 将断开网络 向 Radius Server 发一个终止计费的消息包 该包同时也包含用 户流量 计费结束 4.3 Web 认证 具体步骤如下 * 用户主机上电启动 系统程序根据配置 通过 DHCP 由 BAS 进行 DHCP-Relay 向DHCP Server 申请IP地址 私网或公网 * BAS 为该用户构造对应表项信息 基于端口号 IP地址 添加用户 ACL 服 务策略 使用户只能访问 Portal Server 等内部服务器及个别外部服务器如 DNS * BAS将用户强制连接到 Portal Server并在浏览器中弹出认证页面 在该页 面中 用户输入帐号和口令 并单击 log in按钮 或不输入由帐号和口令 直接单击 上网 按钮 * 该按钮启动 Portal Server 上的 Java 程序 将用户信息 IP 地址 帐号和 BAS 发展历程与用户认证方式 第 6 页 共 9 页 HUAWEI 口令 送给宽带接入服务器 * BAS 利用 IP 地址将收到的用户信息 进行合法性检查 如果用户输入了帐号 则认为是卡号用户 使用用户输入的帐号和口令到 Radius Server 进行认证 如果用户未输入帐号 则认为用户为固定用户 宽带接入服务器利用 Vlan ID 或 PVC ID查用户表得到用户帐号和口令 将帐号送到 Radius Server 进 行认证 * Radius Server 返回认证结果给 BAS * 认证通过后 修改该用户的 ACL使用户可以访问 Internet 或特定的外部网 络服务 * 用户离开网络前 连接到 Portal Server单击 断网 按钮 系统停止计费 删除用户的ACL和转发信息 限制用户不能访问外部网络 * 以上过程中 必须注意检测用户的非正常离开网络的情况 如主机死机 网络 断掉或直接关机等 这就需要有多种检测方法来发现上述异常情况 如根据流 量进行判断 通过测试用户主机是否正常运性进行判断等 5. 三种认证方式的比较 DHCP 认证适合于固定用户 PPPoE 和 WEB 认证适合于固定用户和卡号用户 安全性 三种认证方式的安全性相当 都可以对用户名和密码加密 IP地址防盗用 地址绑定 用户隔离等安全措施是由二层物理隔离和网络设备特殊处理实现 如I通过对 VLAN ID+MAC+IP地址捆绑 限制一个端口的IP地址数等 与认证方式无关 PPPoE 的不足 用户主机需要增加额外的 PPPoE 终端拔号软件 从而带来较大的 维护工作 目前 PPPoE 软件与 Windows 操作系统的兼容性还存在问题 PPPoE 无法穿 透三层网络 宽带接入服务器与用户之间必须通过二层网络相连 使网络的可扩展性和 稳定性受到影响 PPPoE 不适合组播业务 很多基于组播的协议难以开展 PPPoE 方式 在开始阶段 必须使用广播方式 一方面在理论上是可能被黑客截获并利用 存在一定 的安全问题 另一方面在大量用户频繁访问时存在广播风暴问题 造成带宽浪费 PPPoE 设 备是通信必经的 Next Hop即使在拨号认证成功后 由于 PPPoE 协议头要占用以太网 帧的8个字节 使网络带宽传输效率降低 同时 由于该帧头使 PPPoE 的MTU比以太网接 入变小了8个字节 会出现 IP 分片情形 如使用FTP下载文件时 IP 分片对宽带接入服 务器的性能影响较大 如果 PPPoE 设备的性能不好 负担又比较沉重的话 很容易会成 为接入的瓶颈 BAS 发展历程与用户认证方式 第 7 页 共 9 页 HUAWEI DHCP 认证不需要终端软件 兼容性好 但用户不能输入卡号和密码 适用于固定 用户 其优点是认证过程由网络设备自动进行 不需终端参与和干预 对一些情形较容 易实现 如智能冰箱连接互联网 WEB 认证也不需要终端软件 兼容性好 应用业务可扩展性强 可用于卡号和固定 用户 完全具备 DHCP 认证方式的简便性 同时又具有满足多层次用户的使用需求 相比较而言 WEB 认证和 DHCP 认证最为方便 它们不需要安装终端软件 可实现 傻瓜式透明服务 对非 PC 终端的支持也较方便 另外 WEB 认证除了可实现基于用户的 管理外 还可在智能网络设备及 Portal Server 的配合下方便地实现基于应用的管理 灵活性好 同时由于用户接入网络要缺省地访问运营商的门户网页 运营商可以利用门 户资源在门户网站开展广告 业务推介等增值业务 增加运营收入 DHCP ServerWEB Server 只是在获取IP配置 认证阶段起作用 以后的通信信息 完全不需要它进行处理 不会形成信息传送瓶颈 比较信息简单列表如下 WEB PPPOE DHCP 适合用户 固定/卡号 固定/卡号 固定 维护工作 简单 复杂 简单 带宽利用率 高 低 高 组播业务 支持 不支持 支持 使用操作 简单 简单 简单 可扩展性 强 教弱 一般 用户范围 适合各层次用户 用户需要了解一定技术知识 适合各层次用户 用户端要求 无特殊要求 需安装终端软件 无特殊要求 安全性 安全 安全 安全 采用 Web 认证方式时 可以将 Vlan IDPVC ID作为一种定位用户上网位置及 安全隔离的手段 针对目前IP地址资源比较匮乏的现实情况 在IP城域网需要实现公私IP 地址混合使用 在城域网出口处进行NAT处理 从而充分利用IP地址资源 避免IP地址紧 张的情况 在以上三种认证方式中 为了防止非法用户使用网络和攻击网络 在网络设 备中必须采取地址反欺骗技术和动态ACL防火墙技术来保证网络的安全性和可管理维护 在实际应用中 BAS 需要支持上述三种认证方式 支持固定用户和卡号用户 可以 BAS 发展历程与用户认证方式 第 8 页 共 9 页 HUAWEI 根据宽带网络运营 管理的需求 选择合适的一种认证方式或多种认证方式结合使用 从而满足不同层次用户需求和运营模式的需要 使宽带网络应用得到更进一步的普及和 发展