您现在的位置: 通信界 >> 接入系统 >> 技术正文  
 
三网融合业务接入控制方式的研究及实现
[ 通信界 / 佚名 / www.cntxj.net / 2016/4/25 22:45:16 ]
 

1 引言

目前,电信运营商发展宽带接入业务主要采用的是PPPoE接入控制,Radius认证的方式管理用户。这种方式采用动态分配IP地址,对每用户带宽进行控制,很好地支持了宽带业务的发展。由于宽带应用业务呈现多样化的发展趋势,特别是三网融合试点工作的启动,IPTV等流媒体业务和智能设备接入应用业务不同于一般的网页内容推送宽带业务,PPPoE接入方式已不能满足发展要求。IPoE接入控制方式不需要安装客户端程序,不需要输入用户名和密码,属于零配置部署,非常适合新型的网络终端设备,如IPTV机顶盒,WLAN,手持IP终端,视频监控,VoIP等零配置需求的终端。在三网融合的大背景下,IPoE方式提供规模发展IPTV业务的接入控制解决方案尤其有深远意义。目前,主流的接入认证控制技术主要包括PPPoE和IPoE。

2 主流接入认证控制方式

2.1 PPPoE认证技术

(l)PPPoE认证简介

PPPoE(PolntoPoilltProtocaloverEtherne)指在以太网上承载PPP协议,利用以太网将大量的主机组成网络,接入因特网,并对接入的每一个主机实现控制。PPPoE是在以太网上对PPP的封装,提供了在以太网广播链路上进行点对点通信的能力。PPP协议通过3个协议协商阶段:链路控制协议LCP,认证协议(PAP,CHAP),网络控制协议NCP,解决了链路建立、维护、拆除、上层协议协商、认证等问题。拨号后,用户计算机和局端接入服务器(BRAS)在LCP阶段协商底层链路参数;在认证阶段将用户名和密码发送给接入服务器认证,接入服务器可以进行本地认证,可以通过RadiSS协议将用户名和密码发送给AAA服务器进行认证。认证通过后,在NCP(IPCP)协商阶段,接入服务器给用户计算机分配网络层参数(如IP地址等)。经过PPP的3个协商阶段成功后,用户就可以发送和接受网络报文,用户收发的所有网络层报文都封装在PPP报文中。PPP协议具备的身份验证功能很好地解决了以太网上的用户安全管理问题。

(2)PPPoE特点

PPPoE认证因其标准性、互通性好的特点而被广泛应用,商用成熟;PPPoE认证拨号软件与主流的PC操作系统可以良好地兼容,或已经内置于操作系统中;PPPoE通过惟一的Session-ID可以很好地保障用户的安全性,被广泛应用于宽带接入认证。

PPPoE的认证机制相对复杂,对设备处理性能。内存资源要求较高,而且用户需要一个认证的等待过程。因PPPoE终结于BRAS,BRAS与主机之问通过PPP建立起来的大量点到点的连接,所经过的交换机不能识别PPPoE报文格式,只能迸行转发,无法迸行针对VLAN等信息的组播复制,使组播复制点只能选择在BRAS设备上。BRAS设备暴露出的局限性无法满足宽带多媒体业务迅速发展的需求。

2.2 IPoE认证技术

(1)IPoE认证简介

IPoE利用DHCPOPTION信息实现了业务终端的零配置部署。IPoE既能通过元须用户名和密码的方式即可实现认证和自动配置,也可以通过DHCP+Web方式实现基于用户名和密码的认证。

DHCP是指动态主机配置协议,通过DHCP客户端,利用自动发现机制尝试与DHCP服务器建立通信。DHCP提供IP配置参数,对用户端的IP层进行配置。DHCP协议没有认证的功能,但可以配合其他技术实现认证,比如DHCP+Web方式,DHCP+客户端方式和利用DHCP+OPTION扩展宇段进行认证。这些方式都统称为DHCP+认证。现讨论的主要是DHCP+OPTION扩展字段进行认证,又称为IPoE认证方式。用作DHCP扩展的OPTION字段主要为OPTION60(RFC2132)和OPTION82(RFC3046)。其中,OPTION60中带有Vendor和Service Option信息,是用户终端发起DHCP请求时携带的信息,网络设备只需透传即可。其作用是用来识别用户终端类型,进而识别用户业务类型,DHCP服务器可以据此分配不同的业务IP地址。OPTION82信息是由网络设备插入在终端发出的DHCP报文中,主要用来标识用户终端的接入位置,实现用户和线路的精确绑定,保证了DHCP接入的安全性和真实性,DHCP OPTION82信息可以由DHCPSnooPing或DHCPRelay设备进行插入。

作为IPoE客户端的用户终端设备,产生DHCP消息,中间设备插入各种DHCP Option进行用户绑定,业务绑定等。BRAS或SR等宽带网络网关控制设备(Broadband Network Gatewny)负责DHCP消息到Radius认证消息的翻译。与Radius进行认证、授权、计费功能。认证通过后,下放Radius返回的每用户QoS,访问控制的列表等功能,同时对通过设备的流量/时长进行计费。Radius等IPoE业务控制系统,能够动态调整每用户的带宽和QoS属性,提供基于预付费、流量、时长等多种计费手段。对用户管理控制,并提供差异化的服务。

(2)IPo的认证特点

·基于用户物理位置(VLANyVCID标示)的认证和计费,连接网络时不需输入用户名和密码,对于永远在线的应用和不愿意输入用户名和密码的用户非常适合。

·DHCP+(option60/Option82)对DHCP协议进行了扩展,增加了安全(防DoS攻击及地址仿冒)、监控、用户识别等特性。与Radius相结合提供计费功能,便于运营。

·组播部署灵活,可高效实现组播复制,井把组播复制点下移至小区交换机、DSLAM等网络末梢。减轻网络压力,节约接入网的带宽。
门IPoE认证的安全措施

IPoE认证没有像PPPoE认证那样在网络层面提供惟一的点到点的通信机制,运营商在部署IPoE认证时,要重点关注安全问题。网络各层面的设备通过协同工作,增强网络的安全性。具体的安全保障措施如下:

·防地址欺骗

DHCP属于数据和认证分离的控制方式,安全性不及PPPoE,为防止用户静态配置IP地址,或者网络盗用,可以在接入设备或者业务路由器上部署MAC+IP绑定功能。启用DHCP Snooping或DHCP Relay的节点,在侦听到DHCP Offer消息时,生成IP和MAC的绑定关系,只有源MAC和IP匹配的IPoE帧才可以通过,否则丢弃。这样只有经过DHCP认证的用户才可以得到网络服务,未经认证,或者静态配置IP地址的终端不能得到服务。还可以基于OPTION82信息对用户的线路号进行识别认证来保证安全性。

·用户终端数限制通过系统将每个业务接入点连接的用户终端数量进行限制。

·防DOS攻击

在Radius中将用户的MAC地址和线路号绑定。在Radius数据库中查询到MAC地址和线路号,DHCP的请求方可经Radius服务器认证通过后被送到DHCP Server,才能获得IP地址。这种方式降低了通过发送大量的DHCP请求,模拟不同MAC地址的请求,攻击DHCP Server的风险。

在用户通过认证获得IP地址之前,设定DHCP数据包能够通过的数量限制,降低Radius Server的压力。如对来自同一个DSLAM线路号的Radius请求数量作控制,比如1s内,最多允许1个请求,如连续出现多个请求,则认为发生攻击,直接丢弃Radius数据包。依靠这种机制解决大量的DHCP请求发送到Radius服务器的风险。

·其它安全措施

禁止用户端口间直接转发的端口隔离;通过VLAN隔离方式进行业务隔离。

 

 

作者:佚名 合作媒体:不详 编辑:顾北

 

 

 
 热点技术
普通技术 “5G”,真的来了!牛在哪里?
普通技术 5G,是伪命题吗?
普通技术 云视频会议关键技术浅析
普通技术 运营商语音能力开放集中管理方案分析
普通技术 5G网络商用需要“无忧”心
普通技术 面向5G应运而生的边缘计算
普通技术 简析5G时代四大关键趋势
普通技术 国家网信办就《数据安全管理办法》公开征求意见
普通技术 《车联网(智能网联汽车)直连通信使用5905-5925MHz频段管理规定(
普通技术 中兴通讯混合云解决方案,满足5G多元业务需求
普通技术 大规模MIMO将带来更多无线信道,但也使无线信道易受攻击
普通技术 蜂窝车联网的标准及关键技术及网络架构的研究
普通技术 4G与5G融合组网及互操作技术研究
普通技术 5G中CU-DU架构、设备实现及应用探讨
普通技术 无源光网络承载5G前传信号可行性的研究概述
普通技术 面向5G中传和回传网络承载解决方案
普通技术 数据中心布线系统可靠性探讨
普通技术 家庭互联网终端价值研究
普通技术 鎏信科技CEO刘舟:从连接层构建IoT云生态,聚焦CMP是关键
普通技术 SCEF引入需求分析及部署应用
  版权与免责声明: ① 凡本网注明“合作媒体:通信界”的所有作品,版权均属于通信界,未经本网授权不得转载、摘编或利用其它方式使用。已经本网授权使用作品的,应在授权范围内使用,并注明“来源:通信界”。违反上述声明者,本网将追究其相关法律责任。 ② 凡本网注明“合作媒体:XXX(非通信界)”的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。 ③ 如因作品内容、版权和其它问题需要同本网联系的,请在一月内进行。
通信视界
华为余承东:Mate30总体销量将会超过两千万部
赵随意:媒体融合需积极求变
普通对话 苗圩:建设新一代信息基础设施 加快制造业数字
普通对话 华为余承东:Mate30总体销量将会超过两千万部
普通对话 赵随意:媒体融合需积极求变
普通对话 韦乐平:5G给光纤、光模块、WDM光器件带来新机
普通对话 安筱鹏:工业互联网——通向知识分工2.0之路
普通对话 库克:苹果不是垄断者
普通对话 华为何刚:挑战越大,成就越大
普通对话 华为董事长梁华:尽管遇到外部压力,5G在商业
普通对话 网易董事局主席丁磊:中国正在引领全球消费趋
普通对话 李彦宏:无人乘用车时代即将到来 智能交通前景
普通对话 中国联通研究院院长张云勇:双轮驱动下,工业
普通对话 “段子手”杨元庆:人工智能金句频出,他能否
普通对话 高通任命克里斯蒂安诺·阿蒙为公司总裁
普通对话 保利威视谢晓昉:深耕视频技术 助力在线教育
普通对话 九州云副总裁李开:帮助客户构建自己的云平台
通信前瞻
杨元庆:中国制造高质量发展的未来是智能制造
对话亚信科技CTO欧阳晔博士:甘为桥梁,携"电
普通对话 杨元庆:中国制造高质量发展的未来是智能制造
普通对话 对话亚信科技CTO欧阳晔博士:甘为桥梁,携"电
普通对话 对话倪光南:“中国芯”突围要发挥综合优势
普通对话 黄宇红:5G给运营商带来新价值
普通对话 雷军:小米所有OLED屏幕手机均已支持息屏显示
普通对话 马云:我挑战失败心服口服,他们才是双11背后
普通对话 2018年大数据产业发展试点示范项目名单出炉 2
普通对话 陈志刚:提速又降费,中国移动的两面精彩
普通对话 专访华为终端何刚:第三代nova已成为争夺全球
普通对话 中国普天陶雄强:物联网等新经济是最大机遇
普通对话 人人车李健:今年发力金融 拓展汽车后市场
普通对话 华为万飚:三代出贵族,PC产品已走在正确道路
普通对话 共享退潮单车入冬 智享单车却走向盈利
普通对话 Achronix发布新品单元块 推动eFPGA升级
普通对话 金柚网COO邱燕:天吴系统2.0真正形成了社保管