三网融合业务接入控制方式的研究及实现

1 引言

目前，电信运营商发展宽带接入业务主要采用的是PPPoE接入控制，Radius认证的方式管理用户。这种方式采用动态分配IP地址，对每用户带宽进行控制，很好地支持了宽带业务的发展。由于宽带应用业务呈现多样化的发展趋势，特别是三网融合试点工作的启动，IPTV等流媒体业务和智能设备接入应用业务不同于一般的网页内容推送宽带业务，PPPoE接入方式已不能满足发展要求。IPoE接入控制方式不需要安装客户端程序，不需要输入用户名和密码，属于零配置部署，非常适合新型的网络终端设备，如IPTV机顶盒，WLAN，手持IP终端，视频监控，VoIP等零配置需求的终端。在三网融合的大背景下，IPoE方式提供规模发展IPTV业务的接入控制解决方案尤其有深远意义。目前，主流的接入认证控制技术主要包括PPPoE和IPoE。

2 主流接入认证控制方式

2.1 PPPoE认证技术

(l)PPPoE认证简介

PPPoE(PolntoPoilltProtocaloverEtherne）指在以太网上承载PPP协议，利用以太网将大量的主机组成网络，接入因特网，并对接入的每一个主机实现控制。PPPoE是在以太网上对PPP的封装，提供了在以太网广播链路上进行点对点通信的能力。PPP协议通过3个协议协商阶段：链路控制协议LCP，认证协议（PAP，CHAP)，网络控制协议NCP，解决了链路建立、维护、拆除、上层协议协商、认证等问题。拨号后，用户计算机和局端接入服务器（BRAS）在LCP阶段协商底层链路参数；在认证阶段将用户名和密码发送给接入服务器认证，接入服务器可以进行本地认证，可以通过RadiSS协议将用户名和密码发送给AAA服务器进行认证。认证通过后，在NCP(IPCP）协商阶段，接入服务器给用户计算机分配网络层参数（如IP地址等）。经过PPP的3个协商阶段成功后，用户就可以发送和接受网络报文，用户收发的所有网络层报文都封装在PPP报文中。PPP协议具备的身份验证功能很好地解决了以太网上的用户安全管理问题。

(2)PPPoE特点

PPPoE认证因其标准性、互通性好的特点而被广泛应用，商用成熟；PPPoE认证拨号软件与主流的PC操作系统可以良好地兼容，或已经内置于操作系统中；PPPoE通过惟一的Session-ID可以很好地保障用户的安全性，被广泛应用于宽带接入认证。

PPPoE的认证机制相对复杂，对设备处理性能。内存资源要求较高，而且用户需要一个认证的等待过程。因PPPoE终结于BRAS，BRAS与主机之问通过PPP建立起来的大量点到点的连接，所经过的交换机不能识别PPPoE报文格式，只能迸行转发，无法迸行针对VLAN等信息的组播复制，使组播复制点只能选择在BRAS设备上。BRAS设备暴露出的局限性无法满足宽带多媒体业务迅速发展的需求。

2.2 IPoE认证技术

(1)IPoE认证简介

IPoE利用DHCPOPTION信息实现了业务终端的零配置部署。IPoE既能通过元须用户名和密码的方式即可实现认证和自动配置，也可以通过DHCP+Web方式实现基于用户名和密码的认证。

DHCP是指动态主机配置协议，通过DHCP客户端，利用自动发现机制尝试与DHCP服务器建立通信。DHCP提供IP配置参数，对用户端的IP层进行配置。DHCP协议没有认证的功能，但可以配合其他技术实现认证，比如DHCP+Web方式，DHCP＋客户端方式和利用DHCP+OPTION扩展宇段进行认证。这些方式都统称为DHCP＋认证。现讨论的主要是DHCP+OPTION扩展字段进行认证，又称为IPoE认证方式。用作DHCP扩展的OPTION字段主要为OPTION60(RFC2132）和OPTION82(RFC3046）。其中，OPTION60中带有Vendor和Service Option信息，是用户终端发起DHCP请求时携带的信息，网络设备只需透传即可。其作用是用来识别用户终端类型，进而识别用户业务类型，DHCP服务器可以据此分配不同的业务IP地址。OPTION82信息是由网络设备插入在终端发出的DHCP报文中，主要用来标识用户终端的接入位置，实现用户和线路的精确绑定，保证了DHCP接入的安全性和真实性，DHCP OPTION82信息可以由DHCPSnooPing或DHCPRelay设备进行插入。

作为IPoE客户端的用户终端设备，产生DHCP消息，中间设备插入各种DHCP Option进行用户绑定，业务绑定等。BRAS或SR等宽带网络网关控制设备（Broadband Network Gatewny）负责DHCP消息到Radius认证消息的翻译。与Radius进行认证、授权、计费功能。认证通过后，下放Radius返回的每用户QoS，访问控制的列表等功能，同时对通过设备的流量/时长进行计费。Radius等IPoE业务控制系统，能够动态调整每用户的带宽和QoS属性，提供基于预付费、流量、时长等多种计费手段。对用户管理控制，并提供差异化的服务。

(2)IPo的认证特点

·基于用户物理位置（VLANyVCID标示）的认证和计费，连接网络时不需输入用户名和密码，对于永远在线的应用和不愿意输入用户名和密码的用户非常适合。

·DHCP+（option60/Option82）对DHCP协议进行了扩展，增加了安全（防DoS攻击及地址仿冒）、监控、用户识别等特性。与Radius相结合提供计费功能，便于运营。

·组播部署灵活，可高效实现组播复制，井把组播复制点下移至小区交换机、DSLAM等网络末梢。减轻网络压力，节约接入网的带宽。
门IPoE认证的安全措施

IPoE认证没有像PPPoE认证那样在网络层面提供惟一的点到点的通信机制，运营商在部署IPoE认证时，要重点关注安全问题。网络各层面的设备通过协同工作，增强网络的安全性。具体的安全保障措施如下：

·防地址欺骗

DHCP属于数据和认证分离的控制方式，安全性不及PPPoE，为防止用户静态配置IP地址，或者网络盗用，可以在接入设备或者业务路由器上部署MAC+IP绑定功能。启用DHCP Snooping或DHCP Relay的节点，在侦听到DHCP Offer消息时，生成IP和MAC的绑定关系，只有源MAC和IP匹配的IPoE帧才可以通过，否则丢弃。这样只有经过DHCP认证的用户才可以得到网络服务，未经认证，或者静态配置IP地址的终端不能得到服务。还可以基于OPTION82信息对用户的线路号进行识别认证来保证安全性。

·用户终端数限制通过系统将每个业务接入点连接的用户终端数量进行限制。

·防DOS攻击

在Radius中将用户的MAC地址和线路号绑定。在Radius数据库中查询到MAC地址和线路号，DHCP的请求方可经Radius服务器认证通过后被送到DHCP Server，才能获得IP地址。这种方式降低了通过发送大量的DHCP请求，模拟不同MAC地址的请求，攻击DHCP Server的风险。

在用户通过认证获得IP地址之前，设定DHCP数据包能够通过的数量限制，降低Radius Server的压力。如对来自同一个DSLAM线路号的Radius请求数量作控制，比如1s内，最多允许1个请求，如连续出现多个请求，则认为发生攻击，直接丢弃Radius数据包。依靠这种机制解决大量的DHCP请求发送到Radius服务器的风险。

·其它安全措施

禁止用户端口间直接转发的端口隔离；通过VLAN隔离方式进行业务隔离。