多业务接入认证技术白皮书
杭州华三通信技术有限公司
Catalog 目录
1前言 (3)
2认证技术介绍 (3)
2.1PPPOE认证 (3)
2.1.1PPPoE接入认证原理 (3)
2.1.2接入流程 (3)
2.1.3下线流程 (5)
2.1.4PPPOE+ (6)
2.2DHCP+认证 (7)
2.3PPPoE和DHCP认证的比较 (8)
1 前言
在国内宽带接入网中,传统业务主要为Internet访问,认证方式大多为PPPOE。而随着近年来IPTV业务的开展,网络由单业务承载转向了多业务承载,DHCP认证的方式也越来越受到关注,本文重点介绍这两种认证技术。
2 认证技术介绍
2.1 PPPOE认证
2.1.1 PPPoE接入认证原理
PPPoE是利用以太网发送PPP包的传输方法和支持在同一以太网上建立多个PPP连接的接入技术。其结合了以太网和PPP连接的综合属性。
PPP协议是一种点到点的链路层协议,它提供了点到点的一种封装、传递数据的一种方法。PPP协议一般包括三个协商阶段:LCP(链路控制协议)阶段,认证阶段(比如CHAP/PAP),NCP (网络层控制协议,比如IPCP)阶段。拨号后,用户计算机和局方的接入服务器在LCP阶段协商底层链路参数,然后
在认证阶段进行用户计算机将用户名和密码发送给接入服务器认证,接入服务器可以进行本地认证,可以通过RADIUS协议将用户名和密码发送给AAA服务器进行认证。认证通过后,在NCP(IPCP)协商阶段,接入服务器给用户计算机分配网络层参数如IP地址等。经过PPP 的三个协商阶段后,用户就可以发送和接受网络报文,用户收发的所有网络层报文都封装在PPP报文中。 PPP协议的一个重要的功能是提供了身份验证功能。
以太网是一种广播网络,其缺点是通讯双方无法相互验证对方身份,通讯是不安全的。PPP协议提供了通讯双方身份验证的功能,但是PPP协议是一种点对点的协议,协议中没有提供地址信息。如果PPP应用在以太网上,必须使用PPPoE再进行一次封装,PPPoE协议提供了在以太网广播链路上进行点对点通讯的能力。
2.1.2 接入流程
以PPP-CHAP为例,PPPoE用户的接入流程如下:
图 1 PPPoE认证流程
1) PPPOE客户端向PPPOE服务器设备发送一个PADI广播报文,开始PPPoE接入。
2) PPPOE服务器向客户端发送PADO报文。
3) 客户端根据回应,发起PADR请求给PPPOE服务器。
4) PPPOE服务器产生一个session id,通过PADS发给客户端。
5) 客户端和PPPOE服务器之间进行PPP的LCP协商,建立链路层通信。同时,协商使用
CHAP认证方式。
6) PPPOE服务器通过Challenge报文发送给认证客户端,提供一个128bit的Challenge。
7) 客户端收到Challenge报文后,将密码和Challenge做MD5算法后的,在Response回应报
文中把它发送给PPPOE服务器。
8) PPPOE服务器将Challenge、Challenge-Password和用户名一起送到RADIUS用户认证服
务器,由RADIUS用户认证服务器进行认证。
9) RADIUS用户认证服务器根据用户信息判断用户是否合法,然后回应认证成功/失败报文
到PPPOE服务器。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束。
10) PPPOE服务器将认证结果返回给客户端。
11) 用户进行NCP(如IPCP)协商,通过PPPOE服务器获取到规划的IP地址等参数。
12) 认证如果成功,PPPOE服务器发起计费开始请求给RADIUS用户认证服务器。
13) RADIUS用户认证服务器回应计费开始请求报文。
14) 用户此时通过认证,并且获得了合法的权限,可以正常开展网络业务。
15) 当用户希望终止网络业务的时候,同样也可以通过PPPoE断开网络连接,此时会按照
12)、13)中的格式发送计费终止报文。详细情况,请参见下节。
2.1.3 下线流程
PPPoE用户下线流程包括用户主动下线和异常下线两种情况。
用户主动下线流程如下图所示。
option是什么意思啊图1用户主动下线流程
1) 用户通过PPPoE客户端,主动向PPPoE服务器发送Terminate-Request;
2) PPPoE服务器向PPPoE客户端返回Terminate-Ack报文;
3) PPPoE服务器向AAA服务器发送计费停止请求的报文;
4) AAA服务器向认证点回计费停止请求报文的回应。
异常下线流程如下图所示。
图2异常下线流程
1) PPPoE服务器检测到用户已经不在线;
2) PPPoE服务器向AAA服务器发送计费停止请求的报文;
3) AAA服务器向认证点回计费停止请求报文的回应。
在PPP架构中,用户通常会通过传送IPCP(IP控制协议)终止消息而中断已建立的会话。否则,LCP(链路控制协议)周期性轮检机制能够检测出PPP会话是否已终止。如果检测到会话已中止,则分配给用户终端的IP地址将被释放回IP地址池中。因此,由于PPP会话的安全性、健壮性等