国产91免费_国产精品电影一区_日本s色大片在线观看_中文在线免费看视频

您現(xiàn)在的位置: 通信界 >> 互聯(lián)網(wǎng)絡(luò) >> 技術(shù)正文  
 
三網(wǎng)融合業(yè)務(wù)接入控制方式的研究及實(shí)現(xiàn)
[ 通信界 / 泰爾網(wǎng) / www.6611o.com / 2011/8/17 18:43:26 ]
 

1 引言

目前,電信運(yùn)營商發(fā)展寬帶接入業(yè)務(wù)主要采用的是PPPoE接入控制,Radius認(rèn)證的方式管理用戶。這種方式采用動(dòng)態(tài)分配IP地址,對每用戶帶寬進(jìn)行控制,很好地支持了寬帶業(yè)務(wù)的發(fā)展。由于寬帶應(yīng)用業(yè)務(wù)呈現(xiàn)多樣化的發(fā)展趨勢,特別是三網(wǎng)融合試點(diǎn)工作的啟動(dòng),IPTV等流媒體業(yè)務(wù)和智能設(shè)備接入應(yīng)用業(yè)務(wù)不同于一般的網(wǎng)頁內(nèi)容推送寬帶業(yè)務(wù),PPPoE接入方式已不能滿足發(fā)展要求。IPoE接入控制方式不需要安裝客戶端程序,不需要輸入用戶名和密碼,屬于零配置部署,非常適合新型的網(wǎng)絡(luò)終端設(shè)備,如IPTV機(jī)頂盒,WLAN,手持IP終端,視頻監(jiān)控,VoIP等零配置需求的終端。在三網(wǎng)融合的大背景下,IPoE方式提供規(guī)模發(fā)展IPTV業(yè)務(wù)的接入控制解決方案尤其有深遠(yuǎn)意義。目前,主流的接入認(rèn)證控制技術(shù)主要包括PPPoE和IPoE。

2 主流接入認(rèn)證控制方式

2.1 PPPoE認(rèn)證技術(shù)

(l)PPPoE認(rèn)證簡介

PPPoE(PolntoPoilltProtocaloverEtherne)指在以太網(wǎng)上承載PPP協(xié)議,利用以太網(wǎng)將大量的主機(jī)組成網(wǎng)絡(luò),接入因特網(wǎng),并對接入的每一個(gè)主機(jī)實(shí)現(xiàn)控制。PPPoE是在以太網(wǎng)上對PPP的封裝,提供了在以太網(wǎng)廣播鏈路上進(jìn)行點(diǎn)對點(diǎn)通信的能力。PPP協(xié)議通過3個(gè)協(xié)議協(xié)商階段:鏈路控制協(xié)議LCP,認(rèn)證協(xié)議(PAP,CHAP),網(wǎng)絡(luò)控制協(xié)議NCP,解決了鏈路建立、維護(hù)、拆除、上層協(xié)議協(xié)商、認(rèn)證等問題。撥號后,用戶計(jì)算機(jī)和局端接入服務(wù)器(BRAS)在LCP階段協(xié)商底層鏈路參數(shù);在認(rèn)證階段將用戶名和密碼發(fā)送給接入服務(wù)器認(rèn)證,接入服務(wù)器可以進(jìn)行本地認(rèn)證,可以通過RadiSS協(xié)議將用戶名和密碼發(fā)送給AAA服務(wù)器進(jìn)行認(rèn)證。認(rèn)證通過后,在NCP(IPCP)協(xié)商階段,接入服務(wù)器給用戶計(jì)算機(jī)分配網(wǎng)絡(luò)層參數(shù)(如IP地址等)。經(jīng)過PPP的3個(gè)協(xié)商階段成功后,用戶就可以發(fā)送和接受網(wǎng)絡(luò)報(bào)文,用戶收發(fā)的所有網(wǎng)絡(luò)層報(bào)文都封裝在PPP報(bào)文中。PPP協(xié)議具備的身份驗(yàn)證功能很好地解決了以太網(wǎng)上的用戶安全管理問題。

(2)PPPoE特點(diǎn)

PPPoE認(rèn)證因其標(biāo)準(zhǔn)性、互通性好的特點(diǎn)而被廣泛應(yīng)用,商用成熟;PPPoE認(rèn)證撥號軟件與主流的PC操作系統(tǒng)可以良好地兼容,或已經(jīng)內(nèi)置于操作系統(tǒng)中;PPPoE通過惟一的Session-ID可以很好地保障用戶的安全性,被廣泛應(yīng)用于寬帶接入認(rèn)證。

PPPoE的認(rèn)證機(jī)制相對復(fù)雜,對設(shè)備處理性能。內(nèi)存資源要求較高,而且用戶需要一個(gè)認(rèn)證的等待過程。因PPPoE終結(jié)于BRAS,BRAS與主機(jī)之問通過PPP建立起來的大量點(diǎn)到點(diǎn)的連接,所經(jīng)過的交換機(jī)不能識(shí)別PPPoE報(bào)文格式,只能迸行轉(zhuǎn)發(fā),無法迸行針對VLAN等信息的組播復(fù)制,使組播復(fù)制點(diǎn)只能選擇在BRAS設(shè)備上。BRAS設(shè)備暴露出的局限性無法滿足寬帶多媒體業(yè)務(wù)迅速發(fā)展的需求。

2.2 IPoE認(rèn)證技術(shù)

(1)IPoE認(rèn)證簡介

IPoE利用DHCPOPTION信息實(shí)現(xiàn)了業(yè)務(wù)終端的零配置部署。IPoE既能通過元須用戶名和密碼的方式即可實(shí)現(xiàn)認(rèn)證和自動(dòng)配置,也可以通過DHCP+Web方式實(shí)現(xiàn)基于用戶名和密碼的認(rèn)證。

DHCP是指動(dòng)態(tài)主機(jī)配置協(xié)議,通過DHCP客戶端,利用自動(dòng)發(fā)現(xiàn)機(jī)制嘗試與DHCP服務(wù)器建立通信。DHCP提供IP配置參數(shù),對用戶端的IP層進(jìn)行配置。DHCP協(xié)議沒有認(rèn)證的功能,但可以配合其他技術(shù)實(shí)現(xiàn)認(rèn)證,比如DHCP+Web方式,DHCP+客戶端方式和利用DHCP+OPTION擴(kuò)展宇段進(jìn)行認(rèn)證。這些方式都統(tǒng)稱為DHCP+認(rèn)證。現(xiàn)討論的主要是DHCP+OPTION擴(kuò)展字段進(jìn)行認(rèn)證,又稱為IPoE認(rèn)證方式。用作DHCP擴(kuò)展的OPTION字段主要為OPTION60(RFC2132)和OPTION82(RFC3046)。其中,OPTION60中帶有Vendor和Service Option信息,是用戶終端發(fā)起DHCP請求時(shí)攜帶的信息,網(wǎng)絡(luò)設(shè)備只需透傳即可。其作用是用來識(shí)別用戶終端類型,進(jìn)而識(shí)別用戶業(yè)務(wù)類型,DHCP服務(wù)器可以據(jù)此分配不同的業(yè)務(wù)IP地址。OPTION82信息是由網(wǎng)絡(luò)設(shè)備插入在終端發(fā)出的DHCP報(bào)文中,主要用來標(biāo)識(shí)用戶終端的接入位置,實(shí)現(xiàn)用戶和線路的精確綁定,保證了DHCP接入的安全性和真實(shí)性,DHCP OPTION82信息可以由DHCPSnooPing或DHCPRelay設(shè)備進(jìn)行插入。

作為IPoE客戶端的用戶終端設(shè)備,產(chǎn)生DHCP消息,中間設(shè)備插入各種DHCP Option進(jìn)行用戶綁定,業(yè)務(wù)綁定等。BRAS或SR等寬帶網(wǎng)絡(luò)網(wǎng)關(guān)控制設(shè)備(Broadband Network Gatewny)負(fù)責(zé)DHCP消息到Radius認(rèn)證消息的翻譯。與Radius進(jìn)行認(rèn)證、授權(quán)、計(jì)費(fèi)功能。認(rèn)證通過后,下放Radius返回的每用戶QoS,訪問控制的列表等功能,同時(shí)對通過設(shè)備的流量/時(shí)長進(jìn)行計(jì)費(fèi)。Radius等IPoE業(yè)務(wù)控制系統(tǒng),能夠動(dòng)態(tài)調(diào)整每用戶的帶寬和QoS屬性,提供基于預(yù)付費(fèi)、流量、時(shí)長等多種計(jì)費(fèi)手段。對用戶管理控制,并提供差異化的服務(wù)。

(2)IPo的認(rèn)證特點(diǎn)

·基于用戶物理位置(VLANyVCID標(biāo)示)的認(rèn)證和計(jì)費(fèi),連接網(wǎng)絡(luò)時(shí)不需輸入用戶名和密碼,對于永遠(yuǎn)在線的應(yīng)用和不愿意輸入用戶名和密碼的用戶非常適合。

·DHCP+(option60/Option82)對DHCP協(xié)議進(jìn)行了擴(kuò)展,增加了安全(防DoS攻擊及地址仿冒)、監(jiān)控、用戶識(shí)別等特性。與Radius相結(jié)合提供計(jì)費(fèi)功能,便于運(yùn)營。

·組播部署靈活,可高效實(shí)現(xiàn)組播復(fù)制,井把組播復(fù)制點(diǎn)下移至小區(qū)交換機(jī)、DSLAM等網(wǎng)絡(luò)末梢。減輕網(wǎng)絡(luò)壓力,節(jié)約接入網(wǎng)的帶寬。
門IPoE認(rèn)證的安全措施

IPoE認(rèn)證沒有像PPPoE認(rèn)證那樣在網(wǎng)絡(luò)層面提供惟一的點(diǎn)到點(diǎn)的通信機(jī)制,運(yùn)營商在部署IPoE認(rèn)證時(shí),要重點(diǎn)關(guān)注安全問題。網(wǎng)絡(luò)各層面的設(shè)備通過協(xié)同工作,增強(qiáng)網(wǎng)絡(luò)的安全性。具體的安全保障措施如下:

·防地址欺騙

DHCP屬于數(shù)據(jù)和認(rèn)證分離的控制方式,安全性不及PPPoE,為防止用戶靜態(tài)配置IP地址,或者網(wǎng)絡(luò)盜用,可以在接入設(shè)備或者業(yè)務(wù)路由器上部署MAC+IP綁定功能。啟用DHCP Snooping或DHCP Relay的節(jié)點(diǎn),在偵聽到DHCP Offer消息時(shí),生成IP和MAC的綁定關(guān)系,只有源MAC和IP匹配的IPoE幀才可以通過,否則丟棄。這樣只有經(jīng)過DHCP認(rèn)證的用戶才可以得到網(wǎng)絡(luò)服務(wù),未經(jīng)認(rèn)證,或者靜態(tài)配置IP地址的終端不能得到服務(wù)。還可以基于OPTION82信息對用戶的線路號進(jìn)行識(shí)別認(rèn)證來保證安全性。

·用戶終端數(shù)限制通過系統(tǒng)將每個(gè)業(yè)務(wù)接入點(diǎn)連接的用戶終端數(shù)量進(jìn)行限制。

·防DOS攻擊

在Radius中將用戶的MAC地址和線路號綁定。在Radius數(shù)據(jù)庫中查詢到MAC地址和線路號,DHCP的請求方可經(jīng)Radius服務(wù)器認(rèn)證通過后被送到DHCP Server,才能獲得IP地址。這種方式降低了通過發(fā)送大量的DHCP請求,模擬不同MAC地址的請求,攻擊DHCP Server的風(fēng)險(xiǎn)。

在用戶通過認(rèn)證獲得IP地址之前,設(shè)定DHCP數(shù)據(jù)包能夠通過的數(shù)量限制,降低Radius Server的壓力。如對來自同一個(gè)DSLAM線路號的Radius請求數(shù)量作控制,比如1s內(nèi),最多允許1個(gè)請求,如連續(xù)出現(xiàn)多個(gè)請求,則認(rèn)為發(fā)生攻擊,直接丟棄Radius數(shù)據(jù)包。依靠這種機(jī)制解決大量的DHCP請求發(fā)送到Radius服務(wù)器的風(fēng)險(xiǎn)。

·其它安全措施

禁止用戶端口間直接轉(zhuǎn)發(fā)的端口隔離;通過VLAN隔離方式進(jìn)行業(yè)務(wù)隔離。

 

 

作者:泰爾網(wǎng) 合作媒體:泰爾網(wǎng) 編輯:顧北

 

 

 
 熱點(diǎn)技術(shù)
普通技術(shù) “5G”,真的來了!牛在哪里?
普通技術(shù) 5G,是偽命題嗎?
普通技術(shù) 云視頻會(huì)議關(guān)鍵技術(shù)淺析
普通技術(shù) 運(yùn)營商語音能力開放集中管理方案分析
普通技術(shù) 5G網(wǎng)絡(luò)商用需要“無憂”心
普通技術(shù) 面向5G應(yīng)運(yùn)而生的邊緣計(jì)算
普通技術(shù) 簡析5G時(shí)代四大關(guān)鍵趨勢
普通技術(shù) 國家網(wǎng)信辦就《數(shù)據(jù)安全管理辦法》公開征求意見
普通技術(shù) 《車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)直連通信使用5905-5925MHz頻段管理規(guī)定(
普通技術(shù) 中興通訊混合云解決方案,滿足5G多元業(yè)務(wù)需求
普通技術(shù) 大規(guī)模MIMO將帶來更多無線信道,但也使無線信道易受攻擊
普通技術(shù) 蜂窩車聯(lián)網(wǎng)的標(biāo)準(zhǔn)及關(guān)鍵技術(shù)及網(wǎng)絡(luò)架構(gòu)的研究
普通技術(shù) 4G與5G融合組網(wǎng)及互操作技術(shù)研究
普通技術(shù) 5G中CU-DU架構(gòu)、設(shè)備實(shí)現(xiàn)及應(yīng)用探討
普通技術(shù) 無源光網(wǎng)絡(luò)承載5G前傳信號可行性的研究概述
普通技術(shù) 面向5G中傳和回傳網(wǎng)絡(luò)承載解決方案
普通技術(shù) 數(shù)據(jù)中心布線系統(tǒng)可靠性探討
普通技術(shù) 家庭互聯(lián)網(wǎng)終端價(jià)值研究
普通技術(shù) 鎏信科技CEO劉舟:從連接層構(gòu)建IoT云生態(tài),聚焦CMP是關(guān)鍵
普通技術(shù) SCEF引入需求分析及部署應(yīng)用
  版權(quán)與免責(zé)聲明: ① 凡本網(wǎng)注明“合作媒體:通信界”的所有作品,版權(quán)均屬于通信界,未經(jīng)本網(wǎng)授權(quán)不得轉(zhuǎn)載、摘編或利用其它方式使用。已經(jīng)本網(wǎng)授權(quán)使用作品的,應(yīng)在授權(quán)范圍內(nèi)使用,并注明“來源:通信界”。違反上述聲明者,本網(wǎng)將追究其相關(guān)法律責(zé)任。 ② 凡本網(wǎng)注明“合作媒體:XXX(非通信界)”的作品,均轉(zhuǎn)載自其它媒體,轉(zhuǎn)載目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點(diǎn)和對其真實(shí)性負(fù)責(zé)。 ③ 如因作品內(nèi)容、版權(quán)和其它問題需要同本網(wǎng)聯(lián)系的,請?jiān)谝辉聝?nèi)進(jìn)行。
通信視界
華為余承東:Mate30總體銷量將會(huì)超過兩千萬部
趙隨意:媒體融合需積極求變
普通對話 苗圩:建設(shè)新一代信息基礎(chǔ)設(shè)施 加快制造業(yè)數(shù)字
普通對話 華為余承東:Mate30總體銷量將會(huì)超過兩千萬部
普通對話 趙隨意:媒體融合需積極求變
普通對話 韋樂平:5G給光纖、光模塊、WDM光器件帶來新機(jī)
普通對話 安筱鵬:工業(yè)互聯(lián)網(wǎng)——通向知識(shí)分工2.0之路
普通對話 庫克:蘋果不是壟斷者
普通對話 華為何剛:挑戰(zhàn)越大,成就越大
普通對話 華為董事長梁華:盡管遇到外部壓力,5G在商業(yè)
普通對話 網(wǎng)易董事局主席丁磊:中國正在引領(lǐng)全球消費(fèi)趨
普通對話 李彥宏:無人乘用車時(shí)代即將到來 智能交通前景
普通對話 中國聯(lián)通研究院院長張?jiān)朴拢弘p輪驅(qū)動(dòng)下,工業(yè)
普通對話 “段子手”楊元慶:人工智能金句頻出,他能否
普通對話 高通任命克里斯蒂安諾·阿蒙為公司總裁
普通對話 保利威視謝曉昉:深耕視頻技術(shù) 助力在線教育
普通對話 九州云副總裁李開:幫助客戶構(gòu)建自己的云平臺(tái)
通信前瞻
楊元慶:中國制造高質(zhì)量發(fā)展的未來是智能制造
對話亞信科技CTO歐陽曄博士:甘為橋梁,攜"電
普通對話 楊元慶:中國制造高質(zhì)量發(fā)展的未來是智能制造
普通對話 對話亞信科技CTO歐陽曄博士:甘為橋梁,攜"電
普通對話 對話倪光南:“中國芯”突圍要發(fā)揮綜合優(yōu)勢
普通對話 黃宇紅:5G給運(yùn)營商帶來新價(jià)值
普通對話 雷軍:小米所有OLED屏幕手機(jī)均已支持息屏顯示
普通對話 馬云:我挑戰(zhàn)失敗心服口服,他們才是雙11背后
普通對話 2018年大數(shù)據(jù)產(chǎn)業(yè)發(fā)展試點(diǎn)示范項(xiàng)目名單出爐 2
普通對話 陳志剛:提速又降費(fèi),中國移動(dòng)的兩面精彩
普通對話 專訪華為終端何剛:第三代nova已成為爭奪全球
普通對話 中國普天陶雄強(qiáng):物聯(lián)網(wǎng)等新經(jīng)濟(jì)是最大機(jī)遇
普通對話 人人車?yán)罱。航衲臧l(fā)力金融 拓展汽車后市場
普通對話 華為萬飚:三代出貴族,PC產(chǎn)品已走在正確道路
普通對話 共享退潮單車入冬 智享單車卻走向盈利
普通對話 Achronix發(fā)布新品單元塊 推動(dòng)eFPGA升級
普通對話 金柚網(wǎng)COO邱燕:天吳系統(tǒng)2.0真正形成了社保管