1、認(rèn)證技術(shù)白皮書目 錄1前言22為什么使用認(rèn)證33認(rèn)證相關(guān)技術(shù)33.1PPPoE接入認(rèn)證原理43.2WEB接入認(rèn)證原理8接入認(rèn)證原理143.4綁定認(rèn)證原理183.5各種認(rèn)證方式比較194華為認(rèn)證方案特點(diǎn)204.1華為公司認(rèn)證解決方案特點(diǎn)205華為認(rèn)證技術(shù)解決方案225.1PPPoE接入認(rèn)證典型組網(wǎng)方式235.2WEB接入認(rèn)證典型組網(wǎng)方式24接入認(rèn)證典型組網(wǎng)方式275.4綁定認(rèn)證典型組網(wǎng)方式295.5多種認(rèn)證自由組合291 前言在數(shù)據(jù)網(wǎng)絡(luò)中，包括企業(yè)網(wǎng)、INTERNET網(wǎng)絡(luò)等等，追求的是網(wǎng)絡(luò)簡單、開放，所有人可以自由接入和使用。而在電信數(shù)據(jù)網(wǎng)絡(luò)中，運(yùn)營商(比如網(wǎng)絡(luò)服務(wù)提供商N(yùn)SP、業(yè)務(wù)提供商ISP

2、等)關(guān)心的是網(wǎng)絡(luò)可運(yùn)營和可管理，要管理每個(gè)用戶的接入、業(yè)務(wù)使用、費(fèi)用等等。在可運(yùn)營、可管理網(wǎng)絡(luò)中，引入了針對(duì)用戶管理的AAA技術(shù)，包括認(rèn)證（Authentication）、授權(quán)（Authorization）、計(jì)費(fèi)（Accounting）三個(gè)技術(shù)：認(rèn)證，是在用戶開始使用系統(tǒng)時(shí)對(duì)其身份進(jìn)行的確認(rèn)動(dòng)作。授權(quán)，是在網(wǎng)絡(luò)安全中，授權(quán)某用戶以特定的方式與某網(wǎng)絡(luò)系統(tǒng)通信。計(jì)費(fèi)，是記錄并提供關(guān)于經(jīng)濟(jì)活動(dòng)的確切清單或數(shù)據(jù)。認(rèn)證是識(shí)別用戶身份的過程，而授權(quán)是根據(jù)認(rèn)證識(shí)別后的用戶情況授予對(duì)應(yīng)的網(wǎng)絡(luò)使用權(quán)限（QoS、帶寬限制、訪問權(quán)限、用戶策略），而計(jì)費(fèi)也是根據(jù)認(rèn)證后的用戶身份采用對(duì)應(yīng)的計(jì)費(fèi)策略并記錄、提供計(jì)費(fèi)信息（

3、時(shí)長、流量、位置等等），三個(gè)技術(shù)緊密聯(lián)系但又相互獨(dú)立的。認(rèn)證技術(shù)是用戶管理最基本的技術(shù)。目前網(wǎng)絡(luò)中，有許多設(shè)備不支持認(rèn)證，有許多設(shè)備只支持某一種認(rèn)證，同時(shí)認(rèn)證技術(shù)種類繁多、認(rèn)證要求各不相同，造成網(wǎng)絡(luò)中認(rèn)證方案的混淆和混亂。華為公司經(jīng)過多年的努力，通過在全球運(yùn)營商網(wǎng)絡(luò)中大量的應(yīng)用，對(duì)認(rèn)證技術(shù)進(jìn)行合作分析、商用、評(píng)估等，輸出了完整的、成熟的認(rèn)證技術(shù)和方案，有效地提供了認(rèn)證技術(shù)選擇、認(rèn)證方案實(shí)施，很好地促進(jìn)了寬帶網(wǎng)絡(luò)的優(yōu)化和應(yīng)用。本文將從如下幾個(gè)方面介紹認(rèn)證技術(shù)：n 為什么使用認(rèn)證n 認(rèn)證相關(guān)技術(shù)n 華為認(rèn)證技術(shù)解決方案及特點(diǎn)n 華為認(rèn)證方案相關(guān)設(shè)備2 為什么使用認(rèn)證l 電信數(shù)據(jù)網(wǎng)的困惑在電信數(shù)據(jù)網(wǎng)

4、絡(luò)中，服務(wù)提供商(比如網(wǎng)絡(luò)服務(wù)提供商N(yùn)SP、業(yè)務(wù)提供商SP等)關(guān)心的是網(wǎng)絡(luò)可運(yùn)營和可管理，要管理每個(gè)用戶的接入、業(yè)務(wù)使用、費(fèi)用等等。而電信數(shù)據(jù)網(wǎng)絡(luò)中大量使用的是廣泛應(yīng)用在企業(yè)網(wǎng)、INTERNET網(wǎng)絡(luò)中的以太網(wǎng)交換機(jī)、路由器等設(shè)備，遵循的是典型的數(shù)據(jù)網(wǎng)絡(luò)理念，追求的是網(wǎng)絡(luò)簡單、開放，自由接入和使用。怎么才能夠在電信數(shù)據(jù)網(wǎng)絡(luò)中針對(duì)用戶進(jìn)行運(yùn)營、管理呢？最基本的技術(shù)就是通過認(rèn)證識(shí)別用戶身份。l 成熟的認(rèn)證技術(shù)當(dāng)前最為普遍主流認(rèn)證技術(shù)有三種：PPPoE/PPPoEoA/PPPoA認(rèn)證、WEB認(rèn)證和802.1X認(rèn)證，這三種認(rèn)證從標(biāo)準(zhǔn)狀態(tài)、商用情況看，技術(shù)上都已經(jīng)成熟。3 認(rèn)證相關(guān)技術(shù)當(dāng)前最為普遍主流認(rèn)證

5、技術(shù)有三種：PPPoE/PPPoEoA/PPPoA認(rèn)證、WEB認(rèn)證和802.1X認(rèn)證。嚴(yán)格意義上講，這三種認(rèn)證技術(shù)并不是真正的認(rèn)證方式，每種認(rèn)證技術(shù)都支持兩種以上的認(rèn)證方式，具體認(rèn)證技術(shù)和認(rèn)證方式關(guān)系如下表所示：表1 認(rèn)證技術(shù)和認(rèn)證方式關(guān)系表認(rèn)證技術(shù)認(rèn)證方式PPPoE認(rèn)證PAP、CHAP、EAPWEB認(rèn)證PAP、CHAP802.1X認(rèn)證EAP其中，EAP定義了一個(gè)認(rèn)證構(gòu)架，包含了很多種認(rèn)證方式：圖2 EAP認(rèn)證方式匯總同時(shí)，針對(duì)特殊應(yīng)用，還有綁定認(rèn)證和快速認(rèn)證等技術(shù)。3.1 PPPoE接入認(rèn)證原理PPP是傳統(tǒng)的認(rèn)證方式之一，PPPoE是利用以太網(wǎng)發(fā)送PPP包的傳輸方法和支持在同一以太網(wǎng)上建立多

6、個(gè)PPP連接的接入技術(shù)。PPPoE結(jié)合了以太網(wǎng)和PPP連接的綜合屬性。PPP協(xié)議是一種點(diǎn)到點(diǎn)的鏈路層協(xié)議，它提供了點(diǎn)到點(diǎn)的一種封裝、傳遞數(shù)據(jù)的一種方法。PPP協(xié)議一般包括三個(gè)協(xié)商階段：LCP（鏈路控制協(xié)議）階段，認(rèn)證階段（比如CHAP/PAP），NCP（網(wǎng)絡(luò)層控制協(xié)議，比如IPCP)階段。撥號(hào)后，用戶計(jì)算機(jī)和局方的接入服務(wù)器在LCP階段協(xié)商底層鏈路參數(shù)，然后在認(rèn)證階段進(jìn)行用戶計(jì)算機(jī)將用戶名和密碼發(fā)送給接入服務(wù)器認(rèn)證，接入服務(wù)器可以進(jìn)行本地認(rèn)證，可以通過RADIUS協(xié)議將用戶名和密碼發(fā)送給AAA服務(wù)器進(jìn)行認(rèn)證。認(rèn)證通過后，在NCP（IPCP）協(xié)商階段，接入服務(wù)器給用戶計(jì)算機(jī)分配網(wǎng)絡(luò)層參數(shù)如IP地

7、址等。經(jīng)過PPP的三個(gè)協(xié)商階段后，用戶就可以發(fā)送和接受網(wǎng)絡(luò)報(bào)文。用戶收發(fā)的所有網(wǎng)絡(luò)層報(bào)文都封裝在PPP報(bào)文中。 PPP協(xié)議的一個(gè)重要的功能是提供了身份驗(yàn)證功能。以太網(wǎng)是一種廣播網(wǎng)絡(luò)，其缺點(diǎn)是通訊雙方無法相互驗(yàn)證對(duì)方身份，通訊是不安全的。PPP協(xié)議提供了通訊雙方身份驗(yàn)證的功能，但是PPP協(xié)議是一種點(diǎn)對(duì)點(diǎn)的協(xié)議，協(xié)議中沒有提供地址信息。如果PPP應(yīng)用在以太網(wǎng)上，必須使用PPPoE再進(jìn)行一次封裝，PPPoE協(xié)議提供了在以太網(wǎng)廣播鏈路上進(jìn)行點(diǎn)對(duì)點(diǎn)通訊的能力。3.1.1 認(rèn)證系統(tǒng)架構(gòu)對(duì)于基于PPPoE的認(rèn)證系統(tǒng)，客戶終端上的PPPoE客戶端到PPPoE服務(wù)器之間為二層網(wǎng)絡(luò)，PPPoE服務(wù)器負(fù)責(zé)終結(jié)PPP

8、oE客戶端發(fā)起的PPPoE協(xié)議，并利用PPP協(xié)議中支持的認(rèn)證方法對(duì)客戶終端的PPP連接請(qǐng)求進(jìn)行認(rèn)證?；赑PPoE的認(rèn)證系統(tǒng)架構(gòu)見下圖：圖3 基于PPPoE的認(rèn)證系統(tǒng)架構(gòu)基于PPPoE的認(rèn)證系統(tǒng)功能實(shí)體協(xié)議棧見下圖。在PPP的LCP協(xié)商階段，進(jìn)行認(rèn)證。圖4 基于PPPoE的認(rèn)證系統(tǒng)功能實(shí)體協(xié)議棧3.1.2 接入流程以PPP-CHAP為例，PPPoE用戶的接入流程如下：圖 1 PPPoE認(rèn)證流程1) PPPOE客戶端向PPPOE服務(wù)器設(shè)備發(fā)送一個(gè)PADI報(bào)文，開始PPPoE接入。2) PPPOE服務(wù)器向客戶端發(fā)送PADO報(bào)文。3) 客戶端根據(jù)回應(yīng)，發(fā)起PADR請(qǐng)求給PPPOE服務(wù)器。4) PPP

9、OE服務(wù)器產(chǎn)生一個(gè)session id，通過PADS發(fā)給客戶端。5) 客戶端和PPPOE服務(wù)器之間進(jìn)行PPP的LCP協(xié)商，建立鏈路層通信。同時(shí)，協(xié)商使用CHAP認(rèn)證方式。6) PPPOE服務(wù)器通過Challenge報(bào)文發(fā)送給認(rèn)證客戶端,提供一個(gè)128bit的Challenge。7) 客戶端收到Challenge報(bào)文后，將密碼和Challenge做MD5算法后的，在Response回應(yīng)報(bào)文中把它發(fā)送給PPPOE服務(wù)器。8) PPPOE服務(wù)器將Challenge、Challenge-Password和用戶名一起送到RADIUS用戶認(rèn)證服務(wù)器，由RADIUS用戶認(rèn)證服務(wù)器進(jìn)行認(rèn)證。9) RADIUS

10、用戶認(rèn)證服務(wù)器根據(jù)用戶信息判斷用戶是否合法，然后回應(yīng)認(rèn)證成功/失敗報(bào)文到PPPOE服務(wù)器。如果成功，攜帶協(xié)商參數(shù)，以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán)。如果認(rèn)證失敗，則流程到此結(jié)束。10) PPPOE服務(wù)器將認(rèn)證結(jié)果返回給客戶端。11) 用戶進(jìn)行NCP（如IPCP）協(xié)商，通過PPPOE服務(wù)器獲取到規(guī)劃的IP地址等參數(shù)。12) 認(rèn)證如果成功，PPPOE服務(wù)器發(fā)起計(jì)費(fèi)開始請(qǐng)求給RADIUS用戶認(rèn)證服務(wù)器。13) RADIUS用戶認(rèn)證服務(wù)器回應(yīng)計(jì)費(fèi)開始請(qǐng)求報(bào)文。用戶此時(shí)通過認(rèn)證，并且獲得了合法的權(quán)限，可以正常開展網(wǎng)絡(luò)業(yè)務(wù)。當(dāng)用戶希望終止網(wǎng)絡(luò)業(yè)務(wù)的時(shí)候，同樣也可以通過PPPoE斷開網(wǎng)絡(luò)連接，此時(shí)會(huì)按照12

11、）、13）中的格式發(fā)送計(jì)費(fèi)終止報(bào)文。詳細(xì)情況，請(qǐng)參見下節(jié)。3.1.3 下線流程PPPoE用戶下線流程包括用戶主動(dòng)下線和異常下線兩種情況。用戶主動(dòng)下線流程如下圖所示。圖5 用戶主動(dòng)下線流程1) 用戶通過PPPoE客戶端，主動(dòng)向PPPoE服務(wù)器發(fā)送Terminate-Request；2) PPPoE服務(wù)器向PPPoE客戶端返回Terminate-Ack報(bào)文；3) PPPoE服務(wù)器向AAA服務(wù)器發(fā)送計(jì)費(fèi)停止請(qǐng)求的報(bào)文；4) AAA服務(wù)器向認(rèn)證點(diǎn)回計(jì)費(fèi)停止請(qǐng)求報(bào)文的回應(yīng)。異常下線流程如下圖所示。圖6 異常下線流程1) PPPoE服務(wù)器檢測(cè)到用戶已經(jīng)不在線；2) PPPoE服務(wù)器向AAA服務(wù)器發(fā)送計(jì)費(fèi)停

12、止請(qǐng)求的報(bào)文；3) AAA服務(wù)器向認(rèn)證點(diǎn)回計(jì)費(fèi)停止請(qǐng)求報(bào)文的回應(yīng)。3.2 WEB接入認(rèn)證原理3.2.1 認(rèn)證系統(tǒng)架構(gòu)基于WEB的認(rèn)證系統(tǒng)架構(gòu)見下圖。接入服務(wù)器對(duì)來自STA的HTTP請(qǐng)求重定向到POTRAL服務(wù)器中，利用PORTAL頁面對(duì)用戶進(jìn)行認(rèn)證。圖7 基于WEB的認(rèn)證系統(tǒng)架構(gòu)基于WEB的認(rèn)證系統(tǒng)功能實(shí)體協(xié)議棧見下圖。圖8 基于WEB的認(rèn)證系統(tǒng)功能實(shí)體協(xié)議棧3.2.2 WEB接入認(rèn)證流程用戶在WEB認(rèn)證之前，必須先通過DHCP、靜態(tài)配置等獲得IP地址。用戶如果被配置成強(qiáng)制WEB認(rèn)證，則用戶只需要輸入自己喜歡的網(wǎng)頁即可，系統(tǒng)自動(dòng)下載認(rèn)證網(wǎng)頁。用戶提交了用戶名和密碼之后，接入服務(wù)器與WEB認(rèn)證服

13、務(wù)器協(xié)調(diào)工作，對(duì)用戶進(jìn)行認(rèn)證。下面以普通動(dòng)態(tài)用戶為例，具體步驟如下：客戶終端 145接入服務(wù)器DHCP服務(wù)器AAA服務(wù)器WEB認(rèn)證服務(wù)器23城域網(wǎng)67891011圖9 VLAN用戶接入流程（WEB認(rèn)證）（1）（4）為動(dòng)態(tài)用戶通過DHCP協(xié)議獲取地址的過程（靜態(tài)用戶手工配置地址即可。）；（5）用戶訪問WEB認(rèn)證服務(wù)器的認(rèn)證頁面，并在其中輸入用戶名、密碼，點(diǎn)擊登陸按鈕；（6）WEB認(rèn)證服務(wù)器將用戶的信息通過內(nèi)部協(xié)議，通知接入服務(wù)器；（7）接入服務(wù)器到相應(yīng)的AAA服務(wù)器對(duì)該用戶進(jìn)行認(rèn)證；（8）AAA服務(wù)器返回認(rèn)證結(jié)果給接入服務(wù)器；（9）接入服務(wù)器將認(rèn)證結(jié)果通知WEB認(rèn)證服務(wù)器；（10）WEB認(rèn)證服務(wù)

14、器通過HTTP頁面將認(rèn)證結(jié)果通知用戶；（11）如果認(rèn)證成功用戶即可正常訪問網(wǎng)絡(luò)資源。3.2.3 三層用戶的WEB認(rèn)證用戶沒有與接入服務(wù)器 2層相連，中間存在路由器等3層設(shè)備，這樣用戶到接入服務(wù)器的報(bào)文中只有用戶的IP地址沒有MAC地址信息，這種類型的用戶稱為3層認(rèn)證用戶。與2層認(rèn)證用戶不同的是3層認(rèn)證用戶的MAC地址接入服務(wù)器獲取不到，因而不能進(jìn)行MAC、IP的綁定檢查安全性不高容易仿冒；ARP請(qǐng)求不能穿透路由器因而不能對(duì)用戶進(jìn)行ARP探測(cè)確定是否在線。對(duì)此，接入服務(wù)器要求3層認(rèn)證用戶必須進(jìn)行WEB認(rèn)證，不能通過綁定認(rèn)證等方式上線。另外，接入服務(wù)器支持當(dāng)網(wǎng)絡(luò)發(fā)生問題用戶原先的線路不同，但有另一

15、條線路可以訪問接入服務(wù)器的情況，此時(shí)接入服務(wù)器可以通過新的IP包找到到達(dá)用戶的新路徑更新相關(guān)的信息。IP報(bào)文觸發(fā)3層用戶上線的流程如下圖所示：圖10 IP報(bào)文觸發(fā)3層認(rèn)證用戶上線流程（1）用戶的IP報(bào)文到達(dá)接入服務(wù)器，接入服務(wù)器為其分配資源建立預(yù)連接；（2）用戶的HTTP請(qǐng)求被強(qiáng)制到（或用戶主動(dòng)訪問)WEB認(rèn)證服務(wù)器的認(rèn)證頁面，并在其中輸入用戶名、密碼，點(diǎn)擊登陸按鈕；（3）WEB認(rèn)證服務(wù)器將用戶的信息通過內(nèi)部協(xié)議，通知接入服務(wù)器；（4）接入服務(wù)器到相應(yīng)的AAA服務(wù)器對(duì)該用戶進(jìn)行認(rèn)證；（5）AAA服務(wù)器返回認(rèn)證結(jié)果給接入服務(wù)器；（6）接入服務(wù)器將認(rèn)證結(jié)果通知WEB認(rèn)證服務(wù)器；（7）WEB認(rèn)證服務(wù)

16、器通過HTTP頁面將認(rèn)證結(jié)果通知用戶；（8）如果認(rèn)證成功用戶即可正常訪問網(wǎng)絡(luò)資源。3.2.4 WEB認(rèn)證用戶下線流程WEB認(rèn)證用戶下線流程包括用戶主動(dòng)下線和異常下線兩種情況。用戶主動(dòng)下線流程如下圖所示。圖11 用戶正常下線流程1) 當(dāng)用戶需要下線時(shí)，可以點(diǎn)擊認(rèn)證結(jié)果頁面上的下線機(jī)制，向Portal服務(wù)器發(fā)起一個(gè)下線請(qǐng)求。2) Portal服務(wù)器向接入服務(wù)器發(fā)起下線請(qǐng)求。3) 接入服務(wù)器返回下線結(jié)果給Portal服務(wù)器。4) Portal服務(wù)器根據(jù)下線結(jié)果，推送含有對(duì)應(yīng)的信息的頁面給用戶。5) 當(dāng)接入服務(wù)器收到下線請(qǐng)求時(shí)，向RADIUS服務(wù)器發(fā)計(jì)費(fèi)結(jié)束報(bào)文。6) RADIUS服務(wù)器回應(yīng)接入服務(wù)器

17、的計(jì)費(fèi)結(jié)束報(bào)文。異常下線包含兩種情況：接入服務(wù)器偵測(cè)到用戶下線s圖12 接入服務(wù)器檢測(cè)到用戶異常下線流程1) 接入服務(wù)器檢測(cè)到用戶下線，向Portal服務(wù)器發(fā)出下線請(qǐng)求。2) Portal服務(wù)器回應(yīng)下線成功。3) 當(dāng)接入服務(wù)器收到下線請(qǐng)求時(shí)，向RADIUS用戶認(rèn)證服務(wù)器發(fā)計(jì)費(fèi)結(jié)束報(bào)文。4) RADIUS用戶認(rèn)證服務(wù)器回應(yīng)接入服務(wù)器的計(jì)費(fèi)結(jié)束報(bào)文。Portal服務(wù)器偵測(cè)到用戶下線圖13 Portal服務(wù)器檢測(cè)到用戶異常下線流程1) Portal 服務(wù)器偵測(cè)到用戶下線，向接入服務(wù)器發(fā)出下線請(qǐng)求。2) 接入服務(wù)器回應(yīng)下線成功。3) 當(dāng)接入服務(wù)器收到下線請(qǐng)求時(shí)，向RADIUS用戶認(rèn)證服務(wù)器發(fā)計(jì)費(fèi)結(jié)束報(bào)

18、文。4) RADIUS用戶認(rèn)證服務(wù)器回應(yīng)接入服務(wù)器的計(jì)費(fèi)結(jié)束報(bào)文。3.3 802.1X接入認(rèn)證原理3.3.1 認(rèn)證系統(tǒng)架構(gòu)基于802.1x的認(rèn)證系統(tǒng)架構(gòu)見下圖。在此種架構(gòu)下，系統(tǒng)實(shí)現(xiàn)IEEE 802.1x中定義的認(rèn)證請(qǐng)求者、認(rèn)證點(diǎn)和認(rèn)證服務(wù)器的三元結(jié)構(gòu)。認(rèn)證請(qǐng)求者對(duì)應(yīng)客戶終端，認(rèn)證點(diǎn)可以對(duì)應(yīng)接入服務(wù)器，認(rèn)證服務(wù)器對(duì)應(yīng)AAA服務(wù)器。基于802.1x的認(rèn)證系統(tǒng)利用EAP協(xié)議的擴(kuò)展能力可以選用不同的認(rèn)證算法。圖14 基于802.1x的認(rèn)證系統(tǒng)架構(gòu)基于802.1x的EAP認(rèn)證系統(tǒng)各實(shí)體協(xié)議棧見下圖。圖15 基于802.1x的認(rèn)證系統(tǒng)功能實(shí)體透傳方式協(xié)議棧3.3.2 802.1X接入認(rèn)證流程基于802.

19、1x的認(rèn)證系統(tǒng)利用EAP協(xié)議的擴(kuò)展能力可以選用不同的認(rèn)證算法。以EAP-MD5為例：圖16 EAP-MD5認(rèn)證方式交互圖流程描述如下：1. 在用戶和接入服務(wù)器之間建立好物理連接后，用戶客戶端向接入服務(wù)器發(fā)送一個(gè)EAPoL-Start報(bào)文（如果用戶是動(dòng)態(tài)分配地址的，可能是DHCP請(qǐng)求報(bào)文；如果用戶是手工配置地址的，可能是ARP請(qǐng)求報(bào)文），開始802.1x接入的開始。2. 接入服務(wù)器向客戶端發(fā)送EAP-Request/Identity報(bào)文，要求客戶端將用戶名送上來。3. 客戶端回應(yīng)一個(gè)EAP-Response/Identity給接入服務(wù)器的請(qǐng)求，其中包括用戶名。4. 接入服務(wù)器以EAP Over

20、RADIUS的報(bào)文格式向RADIUS認(rèn)證服務(wù)器發(fā)送Access-Request報(bào)文，里面含有客戶端發(fā)給接入服務(wù)器的EAP-Response/Identity報(bào)文，將用戶名提交RADIUS認(rèn)證服務(wù)器。5. 接入服務(wù)器產(chǎn)生一個(gè)128 bit的Challenge。6. RADIUS認(rèn)證服務(wù)器回應(yīng)接入服務(wù)器一個(gè)Access-Challenge報(bào)文，里面含有EAP-Request/MD5-Challenge報(bào)文，送給接入服務(wù)器用戶對(duì)應(yīng)的Challenge。7. 接入服務(wù)器通過EAP-Request/MD5-Challenge發(fā)送給認(rèn)證客戶端,送給用戶Challenge。8. 客戶端收到EAP-Reque

21、st/MD5-Challenge報(bào)文后，將密碼和Challenge做MD5算法后的Challenge-Password，在EAP-Response/MD5-Challenge回應(yīng)中把它發(fā)送給接入服務(wù)器。9. 接入服務(wù)器將Challenge-Password通過Access-Request報(bào)文送到RADIUS用戶認(rèn)證服務(wù)器，由RADIUS用戶認(rèn)證服務(wù)器進(jìn)行認(rèn)證。10. RADIUS用戶認(rèn)證服務(wù)器根據(jù)用戶信息判斷用戶是否合法，然后回應(yīng)認(rèn)證成功/失敗報(bào)文到接入服務(wù)器。如果成功，攜帶協(xié)商參數(shù)，以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán)。11. 接入服務(wù)器根據(jù)認(rèn)證結(jié)果，給用戶回應(yīng)EAP-Success/EAP-F

22、ailure，通知用戶認(rèn)證結(jié)果。如果認(rèn)證失敗，則流程到此結(jié)束。如果成功，可以進(jìn)行后續(xù)的授權(quán)、計(jì)費(fèi)等流程。3.3.3 用戶下線流程用戶下線流程包括用戶主動(dòng)下線和異常下線兩類情況。用戶主動(dòng)下線流程如下圖所示。圖17 用戶主動(dòng)下線流程1) 客戶端主動(dòng)向認(rèn)證點(diǎn)發(fā)送EAP-Logoff消息；2) 認(rèn)證點(diǎn)向認(rèn)證服務(wù)器發(fā)送計(jì)費(fèi)停止請(qǐng)求的報(bào)文；3) 認(rèn)證服務(wù)器向認(rèn)證點(diǎn)回計(jì)費(fèi)停止請(qǐng)求報(bào)文的回應(yīng)。異常下線流程如下圖所示：圖18 認(rèn)證點(diǎn)檢測(cè)用戶下線流程1) 認(rèn)證點(diǎn)檢測(cè)發(fā)現(xiàn)用戶已經(jīng)不在線；2) 認(rèn)證點(diǎn)向認(rèn)證服務(wù)器發(fā)送計(jì)費(fèi)停止請(qǐng)求的報(bào)文；3) 認(rèn)證服務(wù)器向認(rèn)證點(diǎn)回計(jì)費(fèi)停止請(qǐng)求報(bào)文的回應(yīng)。3.4 綁定認(rèn)證原理所謂綁定認(rèn)證

23、就是使用用戶連接的物理信息進(jìn)行認(rèn)證。系統(tǒng)自動(dòng)根據(jù)用戶所在的端口、VLAN等物理信息到對(duì)應(yīng)的AAA服務(wù)器進(jìn)行認(rèn)證，用戶無需手工認(rèn)證。3.5 各種認(rèn)證方式比較表2 各種認(rèn)證方式比較表認(rèn)證方式PPPoE認(rèn)證WEB認(rèn)證802.1x認(rèn)證接入控制粒度PPP連接VLAN用戶、物理端口邏輯端口客戶端支持商用客戶端WinXP集成標(biāo)準(zhǔn)瀏覽器廠商私有客戶端WinXP有限支持組播支持組播報(bào)文可以不通過PPPoE封裝支持支持封裝開銷PPP封裝大報(bào)文分片以太網(wǎng)封裝以太網(wǎng)封裝IP地址分配方式IPCPDHCP/靜態(tài)DHCP/靜態(tài)（擴(kuò)展）IP地址分配流程先認(rèn)證后分配IP先分配IP后認(rèn)證二次地址分配認(rèn)證后DHCP分配地址額外的W

24、LAN支持無無重認(rèn)證機(jī)制密鑰傳送EAP-SIM認(rèn)證協(xié)議標(biāo)準(zhǔn)標(biāo)準(zhǔn)協(xié)議私有協(xié)議標(biāo)準(zhǔn)認(rèn)證協(xié)議與RADIUS Server配合標(biāo)準(zhǔn)協(xié)議標(biāo)準(zhǔn)協(xié)議標(biāo)準(zhǔn)協(xié)議附加設(shè)備RADIUS ServerPORTAL ServerRADIUS ServerRADIUS ServerAS（EAP-SIM認(rèn)證）用戶異常離線檢測(cè)LCP ECHO報(bào)文WEB keep-alive檢測(cè)ARP檢測(cè)Keep-alive機(jī)制重認(rèn)證機(jī)制技術(shù)應(yīng)用情況成熟成熟新技術(shù)附加業(yè)務(wù)特性VPDN支持認(rèn)證前免費(fèi)資源訪問認(rèn)證界面廣告業(yè)務(wù)服務(wù)選擇業(yè)務(wù)定制無同時(shí)，需要注意的是，上述認(rèn)證方式都包含了兩部分內(nèi)容：1. 用戶終端和接入服務(wù)器之間使用PPPoE、WEB和

25、802.1X認(rèn)證；2. 接入服務(wù)器和AAA服務(wù)器之間使用的標(biāo)準(zhǔn)的或者擴(kuò)展的RADIUS協(xié)議。主要差異都在第一部分中；第二部分除802.1X使用擴(kuò)展的EAP屬性外，其他都一樣。4 華為認(rèn)證技術(shù)解決方案認(rèn)證應(yīng)用在所有運(yùn)營領(lǐng)域，同時(shí)結(jié)合認(rèn)證技術(shù)本身特點(diǎn)，認(rèn)證技術(shù)的選用有四個(gè)原則：l 客戶使用習(xí)慣從用戶習(xí)慣看，窄帶用戶習(xí)慣PPPoE認(rèn)證客戶端，酒店、會(huì)議等用戶習(xí)慣WEB認(rèn)證界面，WLAN用戶習(xí)慣802.1x認(rèn)證認(rèn)證客戶端。服務(wù)器及VIP用戶習(xí)慣綁定認(rèn)證。l 網(wǎng)絡(luò)提供能力基于ATM的DSLAM支持可以提供PPPoE，以太網(wǎng)交換機(jī)可以提供802.1X，多數(shù)基于IP的BAS設(shè)備提供兩種以上的認(rèn)證技術(shù)。802

26、.1X對(duì)應(yīng)的AAA服務(wù)器必須能夠提供EAP認(rèn)證功能。l 客戶終端成熟度PPPoE客戶端非常成熟、穩(wěn)定，WEB認(rèn)證只要標(biāo)準(zhǔn)商用的WWW瀏覽器，但802.1x客戶端目前還只有Windows XP和Windows 2000 SP1有限支持。l 網(wǎng)絡(luò)維護(hù)工作量PPPoE和802.1x有專用客戶終端，需要說明書和維護(hù)，有相當(dāng)?shù)木S護(hù)工作量；WEB認(rèn)證沒有專用客戶終端，維護(hù)工作量小，但由于使用商用的WWW瀏覽器因此對(duì)客戶操作系統(tǒng)、瀏覽器均有一定的要求。4.1 PPPoE接入認(rèn)證典型組網(wǎng)方式（1）本地認(rèn)證組網(wǎng)方式對(duì)于小的局點(diǎn)，Quidway® MA5200系列寬帶智能接入服務(wù)器對(duì)任何接入方式都提供了

27、強(qiáng)大的本地認(rèn)證功能，從而可以省去RADIUS服務(wù)器減少組網(wǎng)成本。下面是PPPoE用戶本地認(rèn)證的組網(wǎng)示意圖：MA 5200 BRASEthernetEthernetNE RouterIP BackboneAAA server圖19 本地認(rèn)證組網(wǎng)示意圖PPPoE在撥號(hào)上網(wǎng)時(shí)將用戶名和密碼送到MA5200，如果本地有該用戶并且密碼驗(yàn)證通過就允許用戶上網(wǎng)，否則拒絕。（2）RADIUS認(rèn)證組網(wǎng)方式Quidway® MA5200系列寬帶智能接入服務(wù)器同時(shí)也支持靈活的RADIUS認(rèn)證的功能。下面是PPPoE用戶RADIUS認(rèn)證的組網(wǎng)示意圖。MA 5200 BRASEthernetEthernetN

28、E RouterIP BackboneAAA ServerDHCP Server圖20 RADIUS認(rèn)證組網(wǎng)示意圖收到用戶的認(rèn)證請(qǐng)求后將用戶名和密碼發(fā)送到RADIUS服務(wù)器進(jìn)行認(rèn)證，如果認(rèn)證成功，就根據(jù)配置對(duì)用戶進(jìn)行分配地址，如果分配成功就通知用戶認(rèn)證成功，進(jìn)行IPCP協(xié)商。（3）混合組網(wǎng)方式Quidway® MA5200系列寬帶智能接入服務(wù)器根據(jù)用戶的認(rèn)證信息，可以判斷用戶需要進(jìn)行本地認(rèn)證，還是RADIUS認(rèn)證，從而可以根據(jù)組網(wǎng)需要組合使用本地認(rèn)證和RADIUS認(rèn)證。4.2 WEB接入認(rèn)證典型組網(wǎng)方式（1）本地認(rèn)證組網(wǎng)方式對(duì)于小的局點(diǎn)，Quidway® MA5200系列寬

29、帶智能接入服務(wù)器對(duì)任何接入方式都提供了強(qiáng)大的本地認(rèn)證功能，可以省去RADIUS服務(wù)器、Portal服務(wù)器、DHCP服務(wù)器，從而減少組網(wǎng)成本。下面是WEB用戶本地認(rèn)證的組網(wǎng)示意圖：MA 5200 BRASEthernetEthernetNE RouterIP BackboneAAA serverDHCP serverPortal server圖21 本地認(rèn)證組網(wǎng)示意圖WEB認(rèn)證時(shí)將用戶名和密碼送到MA5200，如果本地有該用戶并且密碼驗(yàn)證通過就允許用戶上網(wǎng)，否則拒絕。（2）RADIUS認(rèn)證組網(wǎng)方式Quidway® MA5200系列寬帶智能接入服務(wù)器同時(shí)也支持靈活的RADIUS認(rèn)證的功能。下面是WEB認(rèn)證用戶RADIUS認(rèn)證的組網(wǎng)示意圖。MA 5200 BRASEthernetEthernetNE RouterIP BackboneAAA ServerDHCP ServerPortal Server圖22 RADIUS認(rèn)證組網(wǎng)示意圖收到用戶的認(rèn)證請(qǐng)求后將用戶名和密碼發(fā)送到RADIUS服務(wù)器進(jìn)行認(rèn)證。（3）混合組網(wǎng)方式Quidway® MA5200系列寬帶智能接入服務(wù)器根據(jù)用戶的認(rèn)證信息，可以判斷用戶需要進(jìn)行本地認(rèn)證，還是RADIUS認(rèn)證，從而可