中国电信资料下一代互联网认证系统技术规范.docVIP

中国电信下一代互联网 认证系统技术规范 （修改稿） 中国电信股份有限公司上海研究院 二零一一年五月 目 录 TOC \o 1-6 \h \z \u 1 编制说明 1 1.1 范围 1 1.2 引用标准 1 1.3 定义、术语和缩写 2 1.3.1 定义 2 1.3.2 术语和缩写 2 2 认证系统概述 3 2.1 认证系统的定位 3 2.2 认证系统的功能和业务组成 4 3 认证系统对IPv6协议的支持的总述 5 4 认证授权部分对IPv6的扩充 6 4.1 功能扩充 6 4.2 数据格式定义 6 4.3 L2TP隧道 7 4.4 PROXY 7 4.5 IPv6相关共有RADIUS属性 8 4.6 IPv6私有属性扩展 11 5 计费采集部分对IPv6的扩充 13 6 认证系统用户在线信息表要求 13 7 周边系统接口 13 7.1 与服务开通系统的接口 14 7.2 与网络设备的接口 14 7.3 与计费系统的接口 14 8 AAA系统IPv6过渡技术支持 15 8.1 概述 15 8.1.1 IPv6过渡技术中认证与地址溯源概述 15 8.1.2 过渡技术的四种地址溯源方案 16 8.2 AAA系统溯源改造总体要求 17 8.3 功能要求 18 8.3.1 静态映射表生成功能 18 8.3.2 动态映射关系获取功能 19 8.3.3 地址池选择功能 19 8.4 接口要求 20 8.4.1 与网管系统接口 20 8.4.2 与外部溯源请求系统接口 20 8.4.3 与Log服务器接口 22 9 性能与可靠性要求 23 9.1 AAA系统基本性能要求 23 9.2 可靠性要求 24 10 附：用户认证流程 24 10.1 本地BRAS接入认证流程 24 10.2 L2TP隧道方式接入认证流程 26 10.3 认证系统用户在线信息维护示例 27 编制说明 范围 本技术规范以RFC文档为依据，针对中国电信下一代互联网试点实际情况和具体要求，对下一代互联网IPv6城域网中认证系统的定义、网络定位、业务支持流程等进行了说明，对在系统中支持IPv6协议的功能提出了规定，包括认证、授权、计费等相关部分对IPv6协议属性支持的具体要求。 本文件不对中国电信现有的认证系统进行规范，仅针对下一代互联网（IPv6）技术中涉及到的用户接入认证系统进行规范。本技术规范适用于中国电信认证系统支持IPv6功能的研制开发工作。 在本规范中： （1）必须：表示该条目是本规范必须。违反这样的要求是原则性错误。 （2）必须实现：表示该要求必须实现，但不要求缺省使能。 （3）不允许（不可以）：表示该条目绝对禁止。 （4）应当（建议）：表示在某些特定条件下存在忽视该条目的理由，但是忽视或违反该条目时必须仔细衡量。 （5）应当（建议）实现：与应当（建议）类似，实现时不必要缺省使能。 （6）不应当（不建议）：表示在某些特定条件存在所描述行为可接受或有效的理由，但实现该行为时必须仔细衡量。 （7）可以：表示该条目确实可选。 引用标准 下列标准包含的条文，通过在本标准中引用而构成为本标准的条文。本标准出版时，所示版本均为有效。所有标准都会被修订，使用本标准的各方应探讨，使用下列标准最新版本的可能性。 RFC 2865/2318 RADIUS协议（认证） RFC 2866/2319 RADIUS协议（计费） RFC 2867 RADIUS协议（隧道协议的计费） RFC 2868 RADIUS协议（隧道协议的认证） RFC 2869 RADIUS协议扩展 RFC 3162 RADIUS和IPv6 RFC 3575 IANA对RADIUS的考虑 RFC 5176/3576 RADIUS动态认证扩展 RFC 3579 RADIUS支持可扩展的认证协议（EAP） RFC 4818 RADIUS属性－Delegated-IPv6-Prefix RFC 5080 一般RADIUS执行问题和建议 定义、术语和缩写 定义 认证系统：为IP网络中的接入用户提供认证、授权、和计费服务的系统。 术语和缩写 AAA Authentication，Authorization Accounting （认证、授权和计费） BRAS Broadband Remote Access Server （宽带接入服务器） CHAP Challenge-handshake Authentication Protocol （握手认证协议） DHC