ME60认证技术及接入方式选择指导书选编.docxVIP

ME60认证技术及接入方式选择指导书华为技术有限公司Huawei Technologies Co., Ltd.修订记录日期修订版本描述作者/责任人2015-1-311.00首次发布何智峰目录1简介21.1背景21.2目标22主流认证技术32.1PPP42.1.1PPP认证原理42.1.2实现细节52.2802.1X82.2.1802.1X基本原理82.2.2802.1X实现细节82.3WEB认证122.3.1Web认证的基本原理122.3.2技术的实现细节122.4绑定认证182.4.1绑定认证的基本原理182.4.2绑定认证的实现细节182.5接入方式比较183解决方案193.1接入方式选用原则193.2计费策略选用原则203.3认证组网203.3.1典型认证组网203.3.2扩展认证组网三层WEB认证组网方式802.1x+RADIUS代理223.4远程RADIUS计费234附录244.1RADIUS协议简介244.2流量统计和计费24附录A 缩略语26ME60认证技术及接入方式选择指导书摘要：详细描述ME60的认证、授权、计费技术，以及典型的应用场景和接入方式选择指导关键词：认证、授权、计费简介背景传统的IP网络提供尽力而为的服务模式，追求的是简单、开放；电信IP承载网络中，网络服务提供商关注的是网络质量，提供可运营、可管理的网络服务。电信IP承载网络需要AAA配合，具体来说就是：认证Authentication用户使用系统时对其身份进行确认授权Authorization网络使用中，授予某用户使用网络通信的权限计费Accounting记录并提供用户使用网络的确切清单或数据认证就是识别用户身份的过程，为了保证合法的用户使用网络，需要鉴别用户身份。授权是根据认证识别后的用户标识，访问预配置的用户档案信息，根据用户档案信息授予用户对应的网络使用权限，包括带宽限制、访问列表、业务策略等等，提供承诺的网络服务；计费是根据用户使用网络的清单和数据生成帐单，通过帐单来收取对应的费用。计费信息可根据用户访问的业务、时长、流量等多种内容进行统计。三个技术相互独立又紧密联系，认证技术是用户身份的标识和用户接入的前提，授权是用户服务严格管理和控制的手段，而计费则是服务提供商获得收益的技术保证。目标目前网络中，认证、授权、计费技术种类繁多，不同运营商、不同用户、不同业务的认证、授权、计费要求各不相同。经过多年的努力，华为公司通过全球运营网络大量的部署，对认证、授权、计费技术进行分析和总结，提出了完整成熟的认证、授权、计费方案；通过方案的实施，有效地促进了宽带网络的建设和发展。ME60定位于IP/MPLS多业务承载网的边缘，将用户管理、业务控制、安全控制等各种功能有机地集成在一起，满足了不同级别客户的需求。本文主要介绍宽带网络中，华为数通ME60产品的认证、授权、计费技术和方案，以及典型的应用场景和接入方式选择指导。主流认证技术当前主流的认证方式包括PPP认证、802.1X认证、WEB认证和绑定认证。这四种认证方式与用户接入方式配合，完成用户的接入认证管理。每种认证方式都支持一种或多种认证技术，认证方式和认证技术关系如下表所示：认证技术和认证方式关系表认证方式认证技术PPP认证PAP、CHAP、EAP、MSCHAP_v1、MSCHAP _v2802.1X认证EAPWEB认证PAP、CHAP绑定认证使用用户的IP/MAC/位置信息等进行认证其中，EAP定义的认证构架中，包含了多种认证技术：EAP认证方式汇总用户授权采用的方法一般包括用户默认权限、Radius、COPS、diameter服务器上预配置的权限。用户上线时，系统下发用户访问网络的授权信息，完成用户访问网络的策略控制。计费方式主要有：包月计费、按时长计费、按流量计费、按目的地计费，根据收费方式不同，还可以再细分为预付费和后付费。要实施这些计费方式，使用的计费方案有两种：远程计费和本地计费。远程计费指通过RADIUS协议等AAA协议将原始计费信息从计费点送到计费服务器，由计费服务器通过营帐系统出帐单；本地计费指通过本地协议如内部接口，将原始信息保存在计费点上，然后通过文件方式导入到营帐系统，目前已基本淘汰。PPPPPP认证原理PPP协议是一种点到点的链路层协议，它提供了点到点的封装、传递数据的方法；如果PPP应用在以太网上，必须使用PPPoE再进行一次封装，进行广播链路上点对点通讯的协商，包括服务器的发现和会话标识Session ID的确认；PPPoEoA是PPPoE在ATM上通过RFC1483/2684进行桥接后的封装；PPPoA是PPP直接承载在ATM上。PPP协议一般包括三个协商阶段：LCP（链路控制协议）协商阶段，认证阶段（比如CHAP/PAP），NCP（网络层控制协议，比如IPCP)