浅谈ＢＡＳ设备常用认证技术的原理及特点.docVIP

浅谈ＢＡＳ设备常用认证技术的原理及特点 　　摘要：通过对BAS设备常用的认证技术的介绍，使得维护人员对宽带网络认证技术的原理以及特点有比较清楚的认识，在业务发展时，针对不同的用户应用采取合理灵活的认证方式。 　　关键词：BAS；认证；原理；业务 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)36-2877-03 　　Discuss the Principle and Characteristics of the BAS Equipment Common Authentication Technology 　　WANG Lei 　　(China Tietong Wuhu Branch, Wuhu 241000, China) 　　Abstract: Through the introducing of common authentication technology of the BAS equipment, help the maintenance staff clearly understanding to the principle of the broadba nd network authentication technology as well as the characteristic. When business development, adopts the reasonable flexible authentication way in view of the different user application. 　　Key words: BAS(broadband access server); authentication; principle; business 　　1 前言 　　BAS设备最重要的业务功能就是对用户的认证、授权和计费。这三个功能相互关联，又各自独立。其中，认证是识别用户的技术，它作为授权和计费的基础，是最重要的环节。 　　对用户的认证实质上是对用户标识的认证，这就要求用户具有一个唯一且有效的用户标识，这个标识可以是地址标识、账号或者连接端口的VLAN标识。将地址、账号同VLAN ID标识进行绑定组合使用，可以得到全程有效的用户标识。具体实现中，可以通过在靠近用户的交换机上使用端口VLAN，为不同的用户打上相应的VLAN ID，则VLAN ID将进化为唯一的用户标识。利用这样的VLAN ID，BAS设备可以精确的识别每一个用户，并对用户实施完备的控制。 　　BAS采用的经典认证技术有PPPoE认证、WEB认证以及802.1x认证，下面我们将对这三种认证技术的原理和特点做一个简单的介绍： 　　2 PPPOE认证 　　2.1 PPPoE接入认证原理 　　PPPoE是利用以太网发送PPP包的传输方法和支持在同一以太网上建立多个PPP连接的接入技术。其结合了以太网和PPP连接的综合属性。 PPP协议是一种点到点的链路层协议，它提供了点到点的一种封装、传递数据的一种方法。PPP协议一般包括三个协商阶段：LCP（链路控制协议）阶段，认证阶段（比如CHAP/PAP），NC（网络层控制协议，比如IPCP)阶段。拨号后，用户计算机和局方的接入服务器在LCP阶段协商底层链路参数，然后在认证阶段进行用户计算机将用户名和密码发送给接入服务器认证，接入服务器可以进行本地认证，可以通过RADIUS协议将用户名和密码发送给AAA服务器进行认证。认证通过后，在NCP（IPCP）协商阶段，接入服务器给用户计算机分配网络层参数如IP地址等。经过PPP的三个协商阶段后，用户就可以发送和接受网络报文，用户收发的所有网络层报文都封装在PPP报文中。 PPP协议的一个重要的功能是提供了身份验证功能。以太网是一种广播网络，其缺点是通讯双方无法相互验证对方身份，通讯是不安全的。PPP协议提供了通讯双方身份验证的功能，但是PPP协议是一种点对点的协议，协议中没有提供地址信息。如果PPP应用在以太网上，必须使用PPPoE再进行一次封装，PPPoE协议提供了在以太网广播链路上进行点对点通讯的能力。 　　2.2 认证流程 　　以PPP-CHAP为例，PPPoE用户的接入流程如图1。 　　1) PPPOE客户端向PPPOE服务器设备发送一个PADI广播报文，开始PPPoE接入。 　　2) PPPOE服务器向客户端发送PADO报文。 　　3) 客户端根据回应，发起PADR请求给PPPOE服务器。 　　4) PPPOE服务器产生一个session id，通过PADS发给客户端。 　　5) 客户端和PPPOE服务器之间进行PPP的LCP协商，建立链路层通信。同时，协商使