多业务接入认证技术白皮书1前言在国内宽带接入网中,传统业务主要为Internet访问,认证方式大多为PPPoE而随着近年来IPTV业务的开展,网络由单业务承载转向了多业务承载,DHCP认证的方式也越来越受到关注,本文重点介绍这两种认证技术2认证技术介绍2.1PPPoE认证2.1.1PPPoE接入认证原理PPPoE是利用以太网发送PPP包的传输方法和支持在同一以太网上建立多个PPP连接的接入技术其结合了以太网和PPP连接的综合属性PPP协议是一种点到点的链路层协议,它提供了点到点的一种封装、传递数据的一种方法PPP协议一般包括三个协商阶段:LCP(链路控制协议)阶段,认证阶段(比如CHAP/PAP),NCP(网络层控制协议,比如IPCP)阶段拨号后,用户计算机和局方的接入服务器在LCP阶段协商底层链路参数,然后在认证阶段进行用户计算机将用户名和密码发送给接入服务器认证,接入服务器可以进行本地认证,可以通过RADIUS协议将用户名和密码发送给AAA服务器进行认证认证通过后,在NCP(IPCP)协商阶段,接入服务器给用户计算机分配网络层参数如IP地址等经过PPP的三个协商阶段后,用户就可以发送和接受网络报文,用户收发的所有网络层报文都封装在PPP报文中。
PPP协议的一个重要的功能是提供了身份验证功能以太网是一种广播网络,其缺点是通讯双方无法相互验证对方身份,通讯是不安全的PPP协议提供了通讯双方身份验证的功能,但是PPP协议是一种点对点的协议,协议中没有提供地址信息如果PPP应用在以太网上,必须使用PPPoE再进行一次封装,PPPoE协议提供了在以太网广播链路上进行点对点通讯的能力2.1.2接入流程以PPP-CHAP为例,PPPoE用户的接入流程如下:P PP PP PO OE E客客户户端端 客客户户终终端端P PP PP PO OE E服服务务器器 接接入入服服务务器器A AA AA A服服务务器器PPPOE 协商1.PADI2.PADO3.PADR4.PADS5.LCP协商(使用CHAP认证)6.challengePPP 协商计费开始、终止7.response8.access-request9.access-accept/access- reject 10.Success/failure11.NCP协商12.accounting-request/ Start,stop 13.accounting-request/ Start,stop图 1 PPPoE认证流程1) PPPoE客户端向PPPOE服务器设备发送一个PADI广播报文,开始PPPoE接入;2) PPPoE服务器向客户端发送PADO报文;3) 客户端根据回应,发起PADR请求给PPPoE服务器;4) PPPoE服务器产生一个session id,通过PADS发给客户端;5) 客户端和PPPoE服务器之间进行PPP的LCP协商,建立链路层通信。
同时,协商使用CHAP认证方式;6) PPPoE服务器通过Challenge报文发送给认证客户端,提供一个128bit的Challenge7) 客户端收到Challenge报文后,将密码和Challenge做MD5算法后的,在Response回应报文中把它发送给PPPOE服务器;8) PPPoE服务器将Challenge、Challenge-Password和用户名一起送到RADIUS用户认证服务器,由RADIUS用户认证服务器进行认证;9) RADIUS用户认证服务器根据用户信息判断用户是否合法,然后回应认证成功/失败报文到PPPoE服务器如果成功,携带协商参数,以及用户的相关业务属性给用户授权如果认证失败,则流程到此结束;10)PPPoE服务器将认证结果返回给客户端;11)用户进行NCP(如IPCP)协商,通过PPPoE服务器获取到规划的IP地址等参数;12)认证如果成功,PPPoE服务器发起计费开始请求给RADIUS用户认证服务器;13)RADIUS用户认证服务器回应计费开始请求报文;14)用户此时通过认证,并且获得了合法的权限,可以正常开展网络业务;15)当用户希望终止网络业务的时候,同样也可以通过PPPoE断开网络连接,此时会按照12)、13)中的格式发送计费终止报文,详细情况,请参见下节。
2.1.3下线流程PPPoE用户下线流程包括用户主动下线和异常下线两种情况用户主动下线流程如下图所示P PP PP PO OE E客客户户端端P PP PP PO OE E服服务务器器A AA AA A服服务务器器用户1.terminate-request2.terminate-ack 3.accounting-request/stop4.accounting-response/stop图2 用户主动下线流程1) 用户通过PPPoE客户端,主动向PPPoE服务器发送Terminate-Request;2) PPPoE服务器向PPPoE客户端返回Terminate-Ack报文;3) PPPoE服务器向AAA服务器发送计费停止请求的报文;4) AAA服务器向认证点回计费停止请求报文的回应异常下线流程如下图所示P PP PP PO OE E客客户户端端P PP PP PO OE E服服务务器器A AA AA A服服务务器器用户2.accounting-request/stop3.accounting-response/stop1.检测用户已不图3 异常下线流程1) PPPoE服务器检测到用户已经不;2) PPPoE服务器向AAA服务器发送计费停止请求的报文;3) AAA服务器向认证点回计费停止请求报文的回应。
在PPP架构中,用户通常会通过传送IPCP(IP控制协议)终止消息而中断已建立的会话否则,LCP(链路控制协议)周期性轮检机制能够检测出PPP会话是否已终止如果检测到会话已中止,则分配给用户终端的IP地址将被释放回IP地址池中因此,由于PPP会话的安全性、健壮性等特征,而被广泛应用于ADSL接入认证2.1.4PPPOE+出于精细化管理的需要,运营商要能对用户进行精确定位,实现可溯源性,便于业务和用户管理为了实现这个目的,针对PPPoE认证方式的技术手段主要有QINQ、VBAS和PPPOE+等,从目前应用来看,针对上网业务采用QINQ进行用户定位是主流趋势,由于QINQ技术和PPPoE无直接关系,本文中不做重点描述这里简单介绍一下PPPOE+认证PPPoE+方案的原始思路是,DSLAM在收到用户的PPPoE PADI和PPPoE PADR报文以后,在报文里增加表示用户物理端口号和PVC的PPPoE+ tag上游BRAS识别出PPPoE+ Tag以后,会把用户的物理位置信息提取出来,用Radius NAS-Port-ID属性发给Radius Server,用来做用户识别和用户管理t te er rm mi in na al lD DS SL LA AM MB BR RA AS Sc cl li ie en nt tP Pp pp po oe e i in nt te er rm me ed di ia at te e a ag ge en nt ts se er rv ve er rP PA AD DI IPADI+VSAPADOPADRPADR+VSAPADSLCP MESSAGE EXCHANGENCP MESSAGE EXCHANGEDATA EXCHANGEPPPoE+的具体流程如下:1) 用户终端发起PPPoE请求,发送PPPoE PADI报文;2) DSLAM捕捉到PADI报文,送给PPPoE Intermediate Agent处理;3) PPPoE Intermediate Agent按照用户的物理位置,把用户的物理位置信息当作VSA(Vendor Specified Attribute)写入PADI报文里。
这个VSA,就是PPPoE+ Tag;4) BRAS收到PADI+VSA以后,给用户回应PADO报文;5) 终端按照正常流程,发送PADR报文,请求MA5200G接入;6) DSLAM捕捉PADR报文,把PPPoE+ Tag插入到PADR报文里;7) BRAS接受到PADR+VSA以后,为这个STB分配一个PPP Session ID,把这个PPPoE+ Tag和PPP Session ID绑定起来;8) BRAS这时可以正常处理PPP流程PPP流程完成以后,BRAS通过Radius NAS-Port-ID把PPPoE+ Tag发送给IPTV业务系统和Radius Server2.2DHCP+认证DHCP本身是一种动态主机配置协议,最初主要针对于LAN应用通过终端上的DHCP客户端,利用自动发现机制来尝试联系网络中的DHCP服务器DHCP提供一系列IP配置参数,对用户端的IP层进行配置DHCP协议本身并没有用来认证的功能,但是DHCP可以配合其他技术实现认证,比如DHCP+web方式、DHCP+客户端方式和利用DHCP扩展字段进行认证所有这些方式都统称为DHCP+认证(DHCP+认证本身没有标准),其中利用DHCP扩展字段方式不需要在用户终端上安装任何客户端程序,不需要输入用户名和密码,更适合IPTV这类业务的应用,下文中提到的DHCP+认证特指这种通过OPTION字段来实现认证的机制,也是下面重点介绍的内容。
用来作为认证用的OPTION字段主要为OPTION 60和OPTION 82其中OPTION 60中带有Vendor和Service Option信息,是由用户终端发起DHCP请求时携带的信息,网络设备只需要透传即可其在应用中的作用是用来识别用户终端类型,从而识别用户业务类型,DHCP服务器可以依赖于此分配不同的业务IP地址而OPTION 82信息是由网络设备插入在终端发出的DHCP报文中,主要用来标识用户终端的接入位置,比如对于交换机而言,通常插入的是交换机的桥MAC、用户接入的端口号和DHCP 报文所在VLAN号;`M MA AN NI IN NT TE ER RN NE ET TA AA AA A s se er rv ve er rP PC CT TV VS ST TB BR RT TU UD DH HC CP P S SE ER RV VE ER R4 4. .p pc c发发起起p pp pp po oe e1 1. .S ST TB B启启动动后后发发D DH HC CP P2 2. .D DS SL LA AM M/ /L L2 2根根据据用用户户的的位位置置信信息息((端端口口/ /v vl la an n/ /p pv vc c等等)), , 将将D DH HC CP P报报文文增增加加O OP PT TI IO ON N8 82 2后后发发送送到到D DH HC CP P S SE ER RV VE ER R6.根据用户账号进行AAA认证N N2 20 00 00 05 5. .B BA AS S发发起起r ra ad di iu us s到到A AA AA A进进行行用用户户认认证证3 3. .D DH HC CP P s se er rv ve er r根根据据S ST TB B的的D DH HC CP P报报文文的的O OP PT TI IO ON N8 82 2判判断断其其合合法法性性,,只只有有合合法法 的的请请求求才才给给予予分分配配地地址址,,通通常常分分配配私私网网地地址址。
7 7. .. .认认证证通通过过后后给给p pc c分分配配地地址址Video sms &video contentHome networkN NA AP PN NS SP PS ST TB B接接入入认认证证与与地地址址分分配配((D DH HC CP P+ +))在具体认证过程中,DHCP+认证又可分为两种机制:由支持OPTION 60和OPTION 82的DHCP服务器认证。