解决方案 多业务接入认证技术白皮书（1）

1前言 在国内宽带接入网中，传统业务主要为Internet访问，认证方式大多为PPPOE。而随着近年来IPTV业务的开展，网络由单业务承载转向了多业务承载，DHCP认证的方式也越来越受到关注，本文重点介绍这两种认证技术。 2认证技术介绍 2.1PPPOE认证 2.1.1 PPPoE接入认证原理 PPPoE是利用以太网发送PPP包的传输方法和支持在同一以太网上建立多个PPP连接的接入技术。其结合了以太网和PPP连接的综合属性。 PPP协议是一种点到点的链路层协议，它提供了点到点的一种封装、传递数据的一种方法。PPP协议一般包括三个协商阶段：LCP（链路控制协议）阶段，认证阶段（比如CHAP/PAP），NCP（网络层控制协议，比如IPCP)阶段。拨号后，用户计算机和局方的接入服务器在LCP阶段协商底层链路参数，然后在认证阶段进行用户计算机将用户名和密码发送给接入服务器认证，接入服务器可以进行本地认证，可以通过RADIUS协议将用户名和密码发送给AAA服务器进行认证。认证通过后，在NCP（IPCP）协商阶段，接入服务器给用户计算机分配网络层参数如IP地址等。经过PPP的三个协商阶段后，用户就可以发送和接受网络报文，用户收发的所有网络层报文都封装在PPP报文中。 PPP协议的一个重要的功能是提供了身份验证功能。 以太网是一种广播网络，其缺点是通讯双方无法相互验证对方身份，通讯是不安全的。PPP协议提供了通讯双方身份验证的功能，但是PPP协议是一种点对点的协议，协议中没有提供地址信息。如果PPP应用在以太网上，必须使用PPPoE再进行一次封装，PPPoE协议提供了在以太网广播链路上进行点对点通讯的能力。 2.1.2接入流程 以PPP-CHAP为例，PPPoE用户的接入流程如下：

图 1 PPPoE认证流程 1)PPPOE客户端向PPPOE服务器设备发送一个PADI广播报文，开始PPPoE接入。 2)PPPOE服务器向客户端发送PADO报文。 3)客户端根据回应，发起PADR请求给PPPOE服务器。 4)PPPOE服务器产生一个session id，通过PADS发给客户端。 5)客户端和PPPOE服务器之间进行PPP的LCP协商，建立链路层通信。同时，协商使用CHAP认证方式。 6)PPPOE服务器通过Challenge报文发送给认证客户端,提供一个128bit的Challenge。 7)客户端收到Challenge报文后，将密码和Challenge做MD5算法后的，在Response回应报文中把它发送给PPPOE服务器。 8)PPPOE服务器将Challenge、Challenge-Password和用户名一起送到RADIUS用户认证服务器，由RADIUS用户认证服务器进行认证。 9)RADIUS用户认证服务器根据用户信息判断用户是否合法，然后回应认证成功/失败报文到PPPOE服务器。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束。 10)PPPOE服务器将认证结果返回给客户端。 11)用户进行NCP（如IPCP）协商，通过PPPOE服务器获取到规划的IP地址等参数。 12)认证如果成功，PPPOE服务器发起计费开始请求给RADIUS用户认证服务器。 13)RADIUS用户认证服务器回应计费开始请求报文。 14)用户此时通过认证，并且获得了合法的权限，可以正常开展网络业务。 15)当用户希望终止网络业务的时候，同样也可以通过PPPoE断开网络连接，此时会按照12）、13）中的格式发送计费终止报文。详细情况，请参见下节。 2.1.3下线流程 PPPoE用户下线流程包括用户主动下线和异常下线两种情况。 用户主动下线流程如下图所示。

图1 用户主动下线流程 1)用户通过PPPoE客户端，主动向PPPoE服务器发送Terminate-Request； 2)PPPoE服务器向PPPoE客户端返回Terminate-Ack报文； 3)PPPoE服务器向AAA服务器发送计费停止请求的报文； 4)AAA服务器向认证点回计费停止请求报文的回应。 异常下线流程如下图所示。

图2 异常下线流程 1)PPPoE服务器检测到用户已经不在线； 2)PPPoE服务器向AAA服务器发送计费停止请求的报文； 3)AAA服务器向认证点回计费停止请求报文的回应。 在PPP架构中，用户通常会通过传送IPCP（IP控制协议）终止消息而中断已建立的会话。否则，LCP（链路控制协议）周期性轮检机制能够检测出PPP会话是否已终止。如果检测到会话已中止，则分配给用户终端的IP地址将被释放回IP地址池中。因此，由于PPP会话的安全性、健壮性等特征，而被广泛应用于ADSL接入认证。