三網(wǎng)融合業(yè)務(wù)接入控制方式的研究及實(shí)現

標簽：PPPoE 三網(wǎng)融合

1 引言

目前，電信運營(yíng)商發(fā)展寬帶接入業(yè)務(wù)主要采用的是PPPoE接入控制，Radius認證的方式管理用戶(hù)。這種方式采用動(dòng)態(tài)分配IP地址，對每用戶(hù)帶寬進(jìn)行控制，很好地支持了寬帶業(yè)務(wù)的發(fā)展。由于寬帶應用業(yè)務(wù)呈現多樣化的發(fā)展趨勢，特別是三網(wǎng)融合試點(diǎn)工作的啟動(dòng)，IPTV等流媒體業(yè)務(wù)和智能設備接入應用業(yè)務(wù)不同于一般的網(wǎng)頁(yè)內容推送寬帶業(yè)務(wù)，PPPoE接入方式已不能滿(mǎn)足發(fā)展要求。IPoE接入控制方式不需要安裝客戶(hù)端程序，不需要輸入用戶(hù)名和密碼，屬于零配置部署，非常適合新型的網(wǎng)絡(luò )終端設備，如IPTV機頂盒，WLAN，手持IP終端，視頻監控，VoIP等零配置需求的終端。在三網(wǎng)融合的大背景下，IPoE方式提供規模發(fā)展IPTV業(yè)務(wù)的接入控制解決方案尤其有深遠意義。目前，主流的接入認證控制技術(shù)主要包括PPPoE和IPoE。

2 主流接入認證控制方式

2.1 PPPoE認證技術(shù)

(l)PPPoE認證簡(jiǎn)介

PPPoE(PolntoPoilltProtocaloverEtherne)指在以太網(wǎng)上承載PPP協(xié)議，利用以太網(wǎng)將大量的主機組成網(wǎng)絡(luò )，接入因特網(wǎng)，并對接入的每一個(gè)主機實(shí)現控制。PPPoE是在以太網(wǎng)上對PPP的封裝，提供了在以太網(wǎng)廣播鏈路上進(jìn)行點(diǎn)對點(diǎn)通信的能力。PPP協(xié)議通過(guò)3個(gè)協(xié)議協(xié)商階段：鏈路控制協(xié)議LCP，認證協(xié)議(PAP，CHAP)，網(wǎng)絡(luò )控制協(xié)議NCP，解決了鏈路建立、維護、拆除、上層協(xié)議協(xié)商、認證等問(wèn)題。撥號后，用戶(hù)計算機和局端接入服務(wù)器(BRAS)在LCP階段協(xié)商底層鏈路參數;在認證階段將用戶(hù)名和密碼發(fā)送給接入服務(wù)器認證，接入服務(wù)器可以進(jìn)行本地認證，可以通過(guò)RadiSS協(xié)議將用戶(hù)名和密碼發(fā)送給AAA服務(wù)器進(jìn)行認證。認證通過(guò)后，在NCP(IPCP)協(xié)商階段，接入服務(wù)器給用戶(hù)計算機分配網(wǎng)絡(luò )層參數(如IP地址等)。經(jīng)過(guò)PPP的3個(gè)協(xié)商階段成功后，用戶(hù)就可以發(fā)送和接受網(wǎng)絡(luò )報文，用戶(hù)收發(fā)的所有網(wǎng)絡(luò )層報文都封裝在PPP報文中。PPP協(xié)議具備的身份驗證功能很好地解決了以太網(wǎng)上的用戶(hù)安全管理問(wèn)題。

(2)PPPoE特點(diǎn)

PPPoE認證因其標準性、互通性好的特點(diǎn)而被廣泛應用，商用成熟;PPPoE認證撥號軟件與主流的PC操作系統可以良好地兼容，或已經(jīng)內置于操作系統中;PPPoE通過(guò)惟一的Session-ID可以很好地保障用戶(hù)的安全性，被廣泛應用于寬帶接入認證。

PPPoE的認證機制相對復雜，對設備處理性能。內存資源要求較高，而且用戶(hù)需要一個(gè)認證的等待過(guò)程。因PPPoE終結于BRAS，BRAS與主機之問(wèn)通過(guò)PPP建立起來(lái)的大量點(diǎn)到點(diǎn)的連接，所經(jīng)過(guò)的交換機不能識別PPPoE報文格式，只能迸行轉發(fā)，無(wú)法迸行針對VLAN等信息的組播復制，使組播復制點(diǎn)只能選擇在BRAS設備上。BRAS設備暴露出的局限性無(wú)法滿(mǎn)足寬帶多媒體業(yè)務(wù)迅速發(fā)展的需求。

2.2 IPoE認證技術(shù)

(1)IPoE認證簡(jiǎn)介

IPoE利用DHCPOPTION信息實(shí)現了業(yè)務(wù)終端的零配置部署。IPoE既能通過(guò)元須用戶(hù)名和密碼的方式即可實(shí)現認證和自動(dòng)配置，也可以通過(guò)DHCP+Web方式實(shí)現基于用戶(hù)名和密碼的認證。

DHCP是指動(dòng)態(tài)主機配置協(xié)議，通過(guò)DHCP客戶(hù)端，利用自動(dòng)發(fā)現機制嘗試與DHCP服務(wù)器建立通信。DHCP提供IP配置參數，對用戶(hù)端的IP層進(jìn)行配置。DHCP協(xié)議沒(méi)有認證的功能，但可以配合其他技術(shù)實(shí)現認證，比如DHCP+Web方式，DHCP+客戶(hù)端方式和利用DHCP+OPTION擴展宇段進(jìn)行認證。這些方式都統稱(chēng)為DHCP+認證?，F討論的主要是DHCP+OPTION擴展字段進(jìn)行認證，又稱(chēng)為IPoE認證方式。用作DHCP擴展的OPTION字段主要為OPTION60(RFC2132)和OPTION82(RFC3046)。其中，OPTION60中帶有Vendor和Service Option信息，是用戶(hù)終端發(fā)起DHCP請求時(shí)攜帶的信息，網(wǎng)絡(luò )設備只需透傳即可。其作用是用來(lái)識別用戶(hù)終端類(lèi)型，進(jìn)而識別用戶(hù)業(yè)務(wù)類(lèi)型，DHCP服務(wù)器可以據此分配不同的業(yè)務(wù)IP地址。OPTION82信息是由網(wǎng)絡(luò )設備插入在終端發(fā)出的DHCP報文中，主要用來(lái)標識用戶(hù)終端的接入位置，實(shí)現用戶(hù)和線(xiàn)路的精確綁定，保證了DHCP接入的安全性和真實(shí)性，DHCP OPTION82信息可以由DHCPSnooPing或DHCPRelay設備進(jìn)行插入。

作為IPoE客戶(hù)端的用戶(hù)終端設備，產(chǎn)生DHCP消息，中間設備插入各種DHCP Option進(jìn)行用戶(hù)綁定，業(yè)務(wù)綁定等。BRAS或SR等寬帶網(wǎng)絡(luò )網(wǎng)關(guān)控制設備(Broadband Network Gatewny)負責DHCP消息到Radius認證消息的翻譯。與Radius進(jìn)行認證、授權、計費功能。認證通過(guò)后，下放Radius返回的每用戶(hù)QoS，訪(fǎng)問(wèn)控制的列表等功能，同時(shí)對通過(guò)設備的流量/時(shí)長(cháng)進(jìn)行計費。Radius等IPoE業(yè)務(wù)控制系統，能夠動(dòng)態(tài)調整每用戶(hù)的帶寬和QoS屬性，提供基于預付費、流量、時(shí)長(cháng)等多種計費手段。對用戶(hù)管理控制，并提供差異化的服務(wù)。

(2)IPo的認證特點(diǎn)

·基于用戶(hù)物理位置(VLANyVCID標示)的認證和計費，連接網(wǎng)絡(luò )時(shí)不需輸入用戶(hù)名和密碼，對于永遠在線(xiàn)的應用和不愿意輸入用戶(hù)名和密碼的用戶(hù)非常適合。

·DHCP+(option60/Option82)對DHCP協(xié)議進(jìn)行了擴展，增加了安全(防DoS攻擊及地址仿冒)、監控、用戶(hù)識別等特性。與Radius相結合提供計費功能，便于運營(yíng)。

·組播部署靈活，可高效實(shí)現組播復制，井把組播復制點(diǎn)下移至小區交換機、DSLAM等網(wǎng)絡(luò )末梢。減輕網(wǎng)絡(luò )壓力，節約接入網(wǎng)的帶寬。

門(mén)IPoE認證的安全措施

IPoE認證沒(méi)有像PPPoE認證那樣在網(wǎng)絡(luò )層面提供惟一的點(diǎn)到點(diǎn)的通信機制，運營(yíng)商在部署IPoE認證時(shí)，要重點(diǎn)關(guān)注安全問(wèn)題。網(wǎng)絡(luò )各層面的設備通過(guò)協(xié)同工作，增強網(wǎng)絡(luò )的安全性。具體的安全保障措施如下：

·防地址欺騙

DHCP屬于數據和認證分離的控制方式，安全性不及PPPoE，為防止用戶(hù)靜態(tài)配置IP地址，或者網(wǎng)絡(luò )盜用，可以在接入設備或者業(yè)務(wù)路由器上部署MAC+IP綁定功能。啟用DHCP Snooping或DHCP Relay的節點(diǎn)，在偵聽(tīng)到DHCP Offer消息時(shí)，生成IP和MAC的綁定關(guān)系，只有源MAC和IP匹配的IPoE幀才可以通過(guò)，否則丟棄。這樣只有經(jīng)過(guò)DHCP認證的用戶(hù)才可以得到網(wǎng)絡(luò )服務(wù)，未經(jīng)認證，或者靜態(tài)配置IP地址的終端不能得到服務(wù)。還可以基于OPTION82信息對用戶(hù)的線(xiàn)路號進(jìn)行識別認證來(lái)保證安全性。

·用戶(hù)終端數限制通過(guò)系統將每個(gè)業(yè)務(wù)接入點(diǎn)連接的用戶(hù)終端數量進(jìn)行限制。

·防DOS攻擊