對于以太網(wǎng)絡(luò)中多數(shù)業(yè)務(wù)來說，運(yùn)營商無法從物理上完全控制客戶端設(shè)備或者媒介。運(yùn)營商要實(shí)現(xiàn)對寬帶業(yè)務(wù)的可運(yùn)營、可管理，就必須從邏輯上對用戶或者用戶設(shè)備進(jìn)行控制。 該控制過程主要通過對用戶和用戶設(shè)備的認(rèn)證和授權(quán)完成。

　　以太網(wǎng)用戶接入認(rèn)證技術(shù)需求分析

　　面臨著基于以太業(yè)務(wù)應(yīng)用的日益廣泛，迫切需要一種適應(yīng)以太網(wǎng)多業(yè)務(wù)承載需求，兼顧以太接入靈活性和擴(kuò)展性好的特點(diǎn)，并能確保以太接入安全性、支持運(yùn)營商對接入用戶進(jìn)行控制和管理的接入認(rèn)證技術(shù)。

　　以太技術(shù)和接入認(rèn)證技術(shù)的結(jié)合要求網(wǎng)絡(luò)接入控制完成以下功能：

　　網(wǎng)絡(luò)的接入控制與網(wǎng)絡(luò)提供的業(yè)務(wù)類型無關(guān)，即無論是有線接入業(yè)務(wù)或者是無線接入業(yè)務(wù)，或者其它形式的公眾以太接入業(yè)務(wù)，都采用一個(gè)通用的接入認(rèn)證解決方案；電信級IP接入網(wǎng)絡(luò)要求對用戶進(jìn)行嚴(yán)格的控制和管理，包括控制用戶對網(wǎng)絡(luò)的訪問、用戶身份識別；對于用戶來說，只需要面對單一的認(rèn)證界面，用戶可以實(shí)現(xiàn)在多種網(wǎng)絡(luò)接入業(yè)務(wù)間漫游；對于新興業(yè)務(wù)的支持也是選擇認(rèn)證技術(shù)時(shí)要考慮的一個(gè)重要因素，認(rèn)證技術(shù)必須保證在現(xiàn)有的認(rèn)證體系下對新興業(yè)務(wù)的支持；對于運(yùn)營商而言，通用的認(rèn)證解決方案可以簡化遠(yuǎn)程接入VPN的安全管理，將用戶認(rèn)證的范疇延伸到LAN范圍內(nèi)；適應(yīng)電信級IP寬帶網(wǎng)接入控制需求的認(rèn)證技術(shù)將簡化運(yùn)營商網(wǎng)絡(luò)認(rèn)證的體系結(jié)構(gòu)，降低運(yùn)營商用于培訓(xùn)和維護(hù)的費(fèi)用，減少運(yùn)營成本。

　　認(rèn)證技術(shù)分析

　　按照Internet網(wǎng)絡(luò)分層模型，在協(xié)議每一層都可以針對用戶或者設(shè)備進(jìn)行網(wǎng)絡(luò)接入的認(rèn)證、鑒權(quán)。一般來說根據(jù)認(rèn)證發(fā)生所屬的網(wǎng)絡(luò)分層模型層次，可以將認(rèn)證技術(shù)大致劃分為幾類，包括物理層認(rèn)證、MAC層認(rèn)證、IP層認(rèn)證、UDP/TCP應(yīng)用層認(rèn)證。

　　802.11b采用典型的物理層認(rèn)證。物理層認(rèn)證的優(yōu)勢是，不需要改動(dòng)上層MAC或者TCP/IP協(xié)議；缺點(diǎn)是需要對NIC和接入服務(wù)器的硬件進(jìn)行改動(dòng)，并且協(xié)議修改反應(yīng)到設(shè)備支持的周期長（比如WEPv1.0），而且很難和AAA進(jìn)行集成。

　　MAC層認(rèn)證的代表技術(shù)是PPP和802.1x，該認(rèn)證方式的優(yōu)點(diǎn)是不需要對設(shè)備的硬件進(jìn)行改動(dòng)，通過軟件升級就可以實(shí)現(xiàn)新的認(rèn)證技術(shù)引入。協(xié)議反應(yīng)周期短，可以和AAA進(jìn)行快速有效的融合（通過EAP）。其缺點(diǎn)是需要對MAC層進(jìn)行改動(dòng)。

　　IP層認(rèn)證不需要對客戶的MAC和TCP/IP層進(jìn)行修改，其缺陷是在認(rèn)證前需要向認(rèn)證請求者開放一部分網(wǎng)絡(luò)訪問權(quán)限，為用戶分配地址。基于IP的認(rèn)證一般不提供統(tǒng)計(jì)計(jì)費(fèi)能力，擴(kuò)展性不好。

　　UDP/TCP認(rèn)證采用應(yīng)用層認(rèn)證，不需要對底層進(jìn)行修改，一般采用令牌卡協(xié)議，在認(rèn)證前需要開放部分網(wǎng)絡(luò)，沒有統(tǒng)計(jì)計(jì)費(fèi)能力，擴(kuò)展性不好。

　　綜合對比以上幾種認(rèn)證方式，可以發(fā)現(xiàn)鏈路層認(rèn)證的優(yōu)勢突出。其特點(diǎn)是快速、簡單和成本低廉。多數(shù)的鏈路層協(xié)議像PPP和IEEE802都可以支持基于鏈路層的認(rèn)證技術(shù)?？蛻粼谡J(rèn)證之前不需要進(jìn)行服務(wù)器的定位，不需要獲得IP地址。網(wǎng)絡(luò)接入設(shè)備只需要有限的3層功能，可以輕易實(shí)現(xiàn)和AAA的結(jié)合，從而提供豐富、靈活的認(rèn)證方式和計(jì)費(fèi)手段。在多協(xié)議網(wǎng)絡(luò)環(huán)境中，基于鏈路層的認(rèn)證可以實(shí)現(xiàn)對上層應(yīng)用的完全透明，也就是說可以實(shí)現(xiàn)和新的網(wǎng)絡(luò)層協(xié)議（比如IPv6）的兼容。鏈路層認(rèn)證處理減小了認(rèn)證包處理的延時(shí)，保證了關(guān)鍵性應(yīng)用的服務(wù)質(zhì)量。 文章錄入：csh    責(zé)任編輯：csh 

最新評論