宽带接入认证技术浅析
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
IE 入用户认证控制 的实现 ,是基于对用户 在 BS A 设备上接人 端 口的开和关来 进行控 制
的。
232用户接人的端 口控制原理 .. 首先 , 客户端在 B S设备上要有一个 与其 A 唯一对应的接入端 口。接人端口可以是物理上 的, 也可是间接 的虚拟端 口。
21 P o 证 方 式 . P E认 P
此时 , A 设备 给 A A服务器发送一个计 BS A 费请求消息 , 要求 A A服务器 开始 计费。A A 从 服务器 回送一个计费响应消息 , 知 B S 告 A 设备 已接受其请 求。 当用户下 网时 , 客户端 的 P P E软件发送 Po 给 B AS一个 P D A T包 ,A B S设备 给 从 A服务 器发送一个计费请求消息 , 要求 A AA服务器停 止计费 , 并将用户上网的原始计费数据发送给 A A服务器。 从 服务器回送一个计费响应消 A A 息, 告知 B S A 设备已接受其请求 , 用户断线。 22We 认证方式 . b 基于 We b的认证是一 种应用层 的认证 方 法, 与接人的介质和网络环境没有直接的关系 ,
信I I I 息 科 学
科 信 技
— —
黑 龙 江— —
总
宽带接入认证 技术浅析
宫 蕾 孙 琼琼
( 平顶山教 育学院 , 南 平顶山 4 70 ) 河 60 0
摘 要: 本文详细介绍 了什 么是宽带接 入认证 , 了几种 常见的宽带接入认证技 术, 们对宽带接入认证有更好 的了解。 介绍 使人
录” 钮; 按
现 了业务数据流和认证流的完全隔离。 3总结 综上所述 ,在实际应尼 中根据不同 的组网 情况 , 结合各种认 证技术 的特点 , 选择最佳的认 证方法: 31 .针对 AD L个人用户 、若 局端 D L M S SA 支持 V A , L N 则采用 V A + d L N We 认证 ; 局 端 若 D L M不支持 V A N, SA L 则采用 P PE认证 。 Po 32 _针对 L N个人用户 。若 以太 网两 , A 二 层 交换机支持 V AN,则采 用 V AN L L +We d认 证 方 式 ;若 以太 网 两 , 二层 交换 机不 支持 VL N。 A 则采用 P P E认 证。 Po 33 _针对运 营管理要求不 高的简单 以太网 络可采用 8 2 X认证 。 0 .I 参 考 文献 『1 1刘清 , 乐燕群,A 维 系运 营商与用户 联 系 A A一 的命g [1 r . - 计算机世界报, 0 . N 2 3 0
211P P E技术介绍 .. P 0 P P E是一 个在 以太网 上传送 P P分组 Po P 的协议 ,P PE协议是 B A 支持的一个重要 Po RS 的用户 接人协议 。如 果用户 通过 以太 网或 者 AS D L等接入方式连 接到 B A R S那么用 户就必 须使用 P PE协议 , Po 而此时的 B A R S将汇 聚所 有的 P P E分组 , Po 并对这些接人用 户提供相应 的服务。 21 P o  ̄ 证方式介绍 .. P PE 2 P P E认证技术,用户端采用相应的拨 号 Po 软件发起 P P E连接请求 , P P E连接请 求 Po 该 Po 由以太 网帧 承载 , 穿越以太 网二层设备 , 最终在 BS A 设备处终结 ,由 B S A 设备与 A A服务器 A 配合 , 实现基于用户的访 问权限 、 计费和服务类 型的控制。 P P E认 证 的过 程 简述 如 下 : Po 首 先 ,由接 入用 户发起 P PE的建 立 , Po P P E建立 发现 阶段 。 Po 发现阶段完成后 ,AS B 设 备给该 P P E连接分配 一个唯 一会话 标识 号 Po
22 .. 4该按 钮 启 动 P r lSre 上 的 Jv ot evr a aa 程序 , 该程序将用户信息( 地址 , 号和 口令) I P 账 送给 网络中心设备 B A ; R S 225 B A .. R S利用 I P地址 得到用 户的二层 地址 、 理端 口号( Ⅵa D, S V D 物 如 I I AD L P C I, l P P Ss o D , P snI) e i 利用这些信息 , 对用户 的合法 性进行检查 , 如果用户输人了账 号, 则认为是卡 号用户 ,使用用户输入的账 号和口令 到 R du ais Sre 对 用户进行认证 ; e r v 如果用户 未输入账号 , 则认 为用户是 固定 用户 , 网络设备利 用 VaI l D n ( P C I) 或 V D查用户表得到用户 的账号 和 口令 , A。 将账号送到 R du evr aisSre 进行认证 ; 然 后 , 入 P PE 的 P P会 话 阶 段 , 户 进 Po P 用 22 R du Sre .. ais e r返 回 认 证 结 果 给 6 v 与 B S设备建立 P P连接 。 P P连接的认证 BR A P 在 P AS; 阶段 , A B S设备 通过 P AP认 证或 C P认 证 , HA 27 认 证 通过 后 , R S修 改 该 用 户 的 -. 7 BA 获取用户的身份特征信息 、 用户名 、 口令 ; 然后 , A L C ,用户可 以访 问 Dtre 或特 定 的网络服 l n! e B S设备将此信息通过 R IS协议 的认证请 务 : A ADU 求消息 , 传给 A A服务器。A A服务器将此信 A A 228 户离 开 网 络前 , 接 到 P l lS r— ..用 连 ol ev a 息与 自身数据库中的用 户注册信息比埘 ,若 一 e 上 , r 单击“ 断开网络” 按钮 , 系统停止计 费 , 删 致 则通过 R D U A 1 S协 议返 回 B S设备 一个认 除用户的 AX A ( 和转发信息 , 限制用户不能访问
客户端在 B S A 设备 上唯 一的接人端 口, 叉 被BS A 设备从逻辑上分为两个逻辑端 口: 受控 端 口和未受控端 口。 中, 其 受控端 口为用 户接入 务器查询用户数据库 ,依据数据库 中的信息对 接收到的用户身份特征信息进行认证 ;若认证 用 户 通 过 D C H P获 得 I 址 后 ,通 过 WE P地 B页 互联 网要使用的端 口,它在用户接入认证成功 通过 , 则打开相应 的通往 It t 口使用户可 面输入用户名和密码 。 ne 端 me 前是断开的, 认证通过后闭合 。 未受 控端 口为双 We 认 证 的主 要 过 程描 述 如 下 : b 以接入宽带 网络。 若认证未通过 , 则返回用户认 向连通端 口,但用户的应用数据流被禁止在此 证失败信息 , 禁止用户接入宽带 I P网络。 221 . 用户机器启动 ,通过 D C . H P由 B AS 端 口上传递 。 A 设备只需控制受控端 口的开 、 R BS 2几种认证方式 做 D P R ly向 D P Sre 要 I HC — ea, HC evr P地址 ( 私 关状态 , 但并不干涉未受 控端 口的状态 , 这样实
[] F - 5 6A Me o fr rnmtn .P 2R C 2 1 . t d o Ta s iig P h t P
OvrE e t【1 e t me S. h 『1 3毛拥华. 认证技 术分析及其应 用建议. 北京研
究 院.
责 任 编 辑 : 兴 红 王
一
8 — 3
关键词: 宽带接 入认证 ; P O P P E认证 ;E E O .X- ; B认证 IE 8 2I / X ̄-WE 宽 带用户接 人认证 主要是指 接人控 制设 备依据用户 的身份特征( 如用户名 、 密码) 进行用 户接人认证 , 过接入控制设备( 通 宽带接 入服务 器 ,A ) A Al B S与 A I 】 服务器配合 , 以实 现对每一 可 个不 同的用 户进行认证 , 对用 户的认证管理 ( 也 就是通 常所说 的 A A包含 3个方面 ,即认 证 A ( tetain: Au ni t )是指验证用户对 网络的访 问权 h c o 限: 授权 (u o ztn:是授权 用户 可 以使 用 A t ra o) h ii 的服 务 ; 费(con n) 计 A cu t g:是记录用 户使用 网 i 络资源的情况 ,包括 收发字节数、收发 数据包 数、 上网时长等。 在介绍认证技术前 , 必须 了解一下认证 过
程:
网中。
协 议 (o ae e ok A cs o tlPoo Pr B sd N t r cesC nr rt- t w o c1o o) 231IE 0 . - E E 8 2I . X认证基本概念
1 宽带用户接人认证通用过程 首先 用户连接 到 B S( 带接人 服务器) A 宽 上 , B S设 备获取用户的身份特征( 由 A 用户名 、 口令等) ;然后 , A 设备将用户的身份特征通 BS 过某 一特定 的 A A协议(A I S A R D U 协议) 由 I , P 网络 传递到 集 中放 置的 A 服 务器 ; A 从 A A服
网或公 网) ; 222 RA . B S为该 用户构 造对 应表 项信 息 . ( 基于端 口号 、 , I 添加用户 A L P) C 服务 策略( 让 用 户 只能 访 问 Pr lS r r 一些 内部 服务 oa e e和 t v 器, 个别外部服务器如 D S; N) 223 P r lSre 向用户提 供认证 页面 , . ot v r . Ae 在该 更面中 , 用户输人账号和 口令 , 单击 “ 并 登 录” 按钮 , 也可不输入账号和 口令 , 直接单击 “ 登
I tr e ; n e n t 证接受消息 ( 授权信息) 。 BS A 设备据此消息内容 ,通过与客户之间 2 . 在以上过程 中, 注意检测用户非正 .9 2 要 P P的 N P协商 , P C 给客户计算机 发送 I P地址 、 常离开网络 的情况 , 如用户主机死机 ,网络断 网关 、 S等配置信息。同时 ,AS设备开放客 掉 , DN B 直接关机等 。 户到互联网 的出 口。客户计算机依 据此信 息进 23I E 0 .X认 证 方式 . E E 8 21 行正确配置后 , 就可通过 B S A 设备接人 到互联 IE 0 .X协议是基 于端 口的访问控制 E E 821