1 引言
目前,電信運營商發展寬帶接入業務主要采用的是PPPoE接入控制,Radius認證的方式管理用戶。這種方式采用動態分配IP地址,對每用戶帶寬進行控制,很好地支持了寬帶業務的發展。由于寬帶應用業務呈現多樣化的發展趨勢,特別是三網融合試點工作的啟動,IPTV等流媒體業務和智能設備接入應用業務不同于一般的網頁內容推送寬帶業務,PPPoE接入方式已不能滿足發展要求。IPoE接入控制方式不需要安裝客戶端程序,不需要輸入用戶名和密碼,屬于零配置部署,非常適合新型的網絡終端設備,如IPTV機頂盒,WLAN,手持IP終端,視頻監控,VoIP等零配置需求的終端。在三網融合的大背景下,IPoE方式提供規模發展IPTV業務的接入控制解決方案尤其有深遠意義。目前,主流的接入認證控制技術主要包括PPPoE和IPoE。
2 主流接入認證控制方式
2.1 PPPoE認證技術
(l)PPPoE認證簡介
PPPoE(PolntoPoilltProtocaloverEtherne)指在以太網上承載PPP協議,利用以太網將大量的主機組成網絡,接入因特網,并對接入的每一個主機實現控制。PPPoE是在以太網上對PPP的封裝,提供了在以太網廣播鏈路上進行點對點通信的能力。PPP協議通過3個協議協商階段:鏈路控制協議LCP,認證協議(PAP,CHAP),網絡控制協議NCP,解決了鏈路建立、維護、拆除、上層協議協商、認證等問題。撥號后,用戶計算機和局端接入服務器(BRAS)在LCP階段協商底層鏈路參數;在認證階段將用戶名和密碼發送給接入服務器認證,接入服務器可以進行本地認證,可以通過RadiSS協議將用戶名和密碼發送給AAA服務器進行認證。認證通過后,在NCP(IPCP)協商階段,接入服務器給用戶計算機分配網絡層參數(如IP地址等)。經過PPP的3個協商階段成功后,用戶就可以發送和接受網絡報文,用戶收發的所有網絡層報文都封裝在PPP報文中。PPP協議具備的身份驗證功能很好地解決了以太網上的用戶安全管理問題。
(2)PPPoE特點
PPPoE認證因其標準性、互通性好的特點而被廣泛應用,商用成熟;PPPoE認證撥號軟件與主流的PC操作系統可以良好地兼容,或已經內置于操作系統中;PPPoE通過惟一的Session-ID可以很好地保障用戶的安全性,被廣泛應用于寬帶接入認證。
PPPoE的認證機制相對復雜,對設備處理性能。內存資源要求較高,而且用戶需要一個認證的等待過程。因PPPoE終結于BRAS,BRAS與主機之問通過PPP建立起來的大量點到點的連接,所經過的交換機不能識別PPPoE報文格式,只能迸行轉發,無法迸行針對VLAN等信息的組播復制,使組播復制點只能選擇在BRAS設備上。BRAS設備暴露出的局限性無法滿足寬帶多媒體業務迅速發展的需求。
2.2 IPoE認證技術
(1)IPoE認證簡介
IPoE利用DHCPOPTION信息實現了業務終端的零配置部署。IPoE既能通過元須用戶名和密碼的方式即可實現認證和自動配置,也可以通過DHCP+Web方式實現基于用戶名和密碼的認證。
DHCP是指動態主機配置協議,通過DHCP客戶端,利用自動發現機制嘗試與DHCP服務器建立通信。DHCP提供IP配置參數,對用戶端的IP層進行配置。DHCP協議沒有認證的功能,但可以配合其他技術實現認證,比如DHCP+Web方式,DHCP+客戶端方式和利用DHCP+OPTION擴展宇段進行認證。這些方式都統稱為DHCP+認證。現討論的主要是DHCP+OPTION擴展字段進行認證,又稱為IPoE認證方式。用作DHCP擴展的OPTION字段主要為OPTION60(RFC2132)和OPTION82(RFC3046)。其中,OPTION60中帶有Vendor和Service Option信息,是用戶終端發起DHCP請求時攜帶的信息,網絡設備只需透傳即可。其作用是用來識別用戶終端類型,進而識別用戶業務類型,DHCP服務器可以據此分配不同的業務IP地址。OPTION82信息是由網絡設備插入在終端發出的DHCP報文中,主要用來標識用戶終端的接入位置,實現用戶和線路的精確綁定,保證了DHCP接入的安全性和真實性,DHCP OPTION82信息可以由DHCPSnooPing或DHCPRelay設備進行插入。
作為IPoE客戶端的用戶終端設備,產生DHCP消息,中間設備插入各種DHCP Option進行用戶綁定,業務綁定等。BRAS或SR等寬帶網絡網關控制設備(Broadband Network Gatewny)負責DHCP消息到Radius認證消息的翻譯。與Radius進行認證、授權、計費功能。認證通過后,下放Radius返回的每用戶QoS,訪問控制的列表等功能,同時對通過設備的流量/時長進行計費。Radius等IPoE業務控制系統,能夠動態調整每用戶的帶寬和QoS屬性,提供基于預付費、流量、時長等多種計費手段。對用戶管理控制,并提供差異化的服務。
(2)IPo的認證特點
·基于用戶物理位置(VLANyVCID標示)的認證和計費,連接網絡時不需輸入用戶名和密碼,對于永遠在線的應用和不愿意輸入用戶名和密碼的用戶非常適合。
·DHCP+(option60/Option82)對DHCP協議進行了擴展,增加了安全(防DoS攻擊及地址仿冒)、監控、用戶識別等特性。與Radius相結合提供計費功能,便于運營。
·組播部署靈活,可高效實現組播復制,井把組播復制點下移至小區交換機、DSLAM等網絡末梢。減輕網絡壓力,節約接入網的帶寬。
門IPoE認證的安全措施
IPoE認證沒有像PPPoE認證那樣在網絡層面提供惟一的點到點的通信機制,運營商在部署IPoE認證時,要重點關注安全問題。網絡各層面的設備通過協同工作,增強網絡的安全性。具體的安全保障措施如下:
·防地址欺騙
DHCP屬于數據和認證分離的控制方式,安全性不及PPPoE,為防止用戶靜態配置IP地址,或者網絡盜用,可以在接入設備或者業務路由器上部署MAC+IP綁定功能。啟用DHCP Snooping或DHCP Relay的節點,在偵聽到DHCP Offer消息時,生成IP和MAC的綁定關系,只有源MAC和IP匹配的IPoE幀才可以通過,否則丟棄。這樣只有經過DHCP認證的用戶才可以得到網絡服務,未經認證,或者靜態配置IP地址的終端不能得到服務。還可以基于OPTION82信息對用戶的線路號進行識別認證來保證安全性。
·用戶終端數限制通過系統將每個業務接入點連接的用戶終端數量進行限制。
·防DOS攻擊
在Radius中將用戶的MAC地址和線路號綁定。在Radius數據庫中查詢到MAC地址和線路號,DHCP的請求方可經Radius服務器認證通過后被送到DHCP Server,才能獲得IP地址。這種方式降低了通過發送大量的DHCP請求,模擬不同MAC地址的請求,攻擊DHCP Server的風險。
在用戶通過認證獲得IP地址之前,設定DHCP數據包能夠通過的數量限制,降低Radius Server的壓力。如對來自同一個DSLAM線路號的Radius請求數量作控制,比如1s內,最多允許1個請求,如連續出現多個請求,則認為發生攻擊,直接丟棄Radius數據包。依靠這種機制解決大量的DHCP請求發送到Radius服務器的風險。
·其它安全措施
禁止用戶端口間直接轉發的端口隔離;通過VLAN隔離方式進行業務隔離。
