文｜李志偉

一、常見認(rèn)證方式

1. PPPoE認(rèn)證方式

1.1 PPPoE概述

PPPoE技術(shù)是基于IETF RFC標(biāo)準(zhǔn)協(xié)議開發(fā)的，是將PPP承載到以太網(wǎng)之上，充分利用以太網(wǎng)技術(shù)的尋址能力，其實(shí)質(zhì)是在共享介質(zhì)的網(wǎng)絡(luò)上提供二條邏輯上的點(diǎn)到店鏈路，向以太網(wǎng)中的每個(gè)上網(wǎng)用戶與寬帶接入服務(wù)器之間提供一條邏輯PPP連接。

1.2 PPPoE認(rèn)證方式的優(yōu)缺點(diǎn)

PPPoE利用了PPP協(xié)議的優(yōu)點(diǎn)，模擬了電話撥號(hào)用戶的上網(wǎng)方式，主要有以下優(yōu)點(diǎn)：可以利用原有電話撥號(hào)用戶的運(yùn)營(yíng)模式，集中設(shè)立用戶數(shù)據(jù)庫(kù)，集中設(shè)立AAA Server，可管理性較強(qiáng)。PPPoE便于開展多服務(wù)選擇服務(wù)。對(duì)不同服務(wù)，可以用不同的用戶名后綴來區(qū)分。PPPoE方式可以對(duì)用戶進(jìn)行嚴(yán)格的速率限制，便于對(duì)用戶速率需求進(jìn)行量體裁衣，區(qū)別收費(fèi)。

但是，在運(yùn)營(yíng)過程中，PPPoE認(rèn)證方式也暴露了一些缺點(diǎn)：給運(yùn)營(yíng)商帶來了巨大的維護(hù)壓力。PPPoE在以太網(wǎng)上，需要通過VLAN(虛擬局域網(wǎng))技術(shù)來實(shí)現(xiàn)用戶的隔離，如果使用一個(gè)三層網(wǎng)絡(luò)，又存在PPPoE服務(wù)器的成本與管理問題。PPPoE方式在其整個(gè)通信過程都必須進(jìn)行PPPoE的封裝，效率較低，隨著用戶數(shù)量的大量增加對(duì)BRAS設(shè)備的性能要求呈指數(shù)上升。

2. Web認(rèn)證方式

2.1 Web認(rèn)證概述

Web認(rèn)證起源于網(wǎng)絡(luò)業(yè)務(wù)的認(rèn)證，例如：網(wǎng)上銀行、基于Web的電子郵件等。后來被網(wǎng)絡(luò)設(shè)備提供商在網(wǎng)絡(luò)設(shè)備上進(jìn)行實(shí)現(xiàn)，用于驗(yàn)證網(wǎng)絡(luò)用戶是否具有使用網(wǎng)絡(luò)的權(quán)限.

2.2 WEB認(rèn)證方式的優(yōu)缺點(diǎn)

WEB認(rèn)證方式的優(yōu)點(diǎn)：無(wú)需特殊的客戶端軟件，降低網(wǎng)絡(luò)維護(hù)工程量；無(wú)需多層數(shù)據(jù)封裝，保證效率問題；運(yùn)營(yíng)商可利用門戶網(wǎng)站提供多種業(yè)務(wù)認(rèn)證服務(wù)。

WEB認(rèn)證方式的缺點(diǎn)：WEB承載在OSL 7層協(xié)議上，對(duì)于設(shè)備的要求較高，建網(wǎng)成本高；易用性不夠好；對(duì)所有用戶都是開放的，很容易受到惡意的攻擊，其安全性較差；未認(rèn)證用戶也需要占用IP地址資源；用戶離線檢查較難，不適合基于時(shí)間的計(jì)費(fèi)方式；業(yè)務(wù)數(shù)據(jù)流與控制數(shù)據(jù)流不分離，對(duì)網(wǎng)絡(luò)接入設(shè)備的要求比較高。

3. IEEE 802.1x認(rèn)證方式

3.1 802.1x概述

IEEE 802.1x是2001年6月IEEE通過的被稱為基于端口的訪問控制協(xié)議，將它引入有線以太網(wǎng)絡(luò)中將可以有效解決傳統(tǒng)網(wǎng)絡(luò)的認(rèn)證問題，是一種較新的以太網(wǎng)認(rèn)證技術(shù)。IEEE 802.1x基于端口訪問控制的技術(shù)可實(shí)現(xiàn)用戶設(shè)備在城域網(wǎng)邊緣的分散用戶控制和集中的認(rèn)證管理；可以替代寬帶接入服務(wù)器實(shí)現(xiàn)城域網(wǎng)范圍內(nèi)的用戶管理功能。在802.1x協(xié)議中，只有具備了客戶端、認(rèn)證系統(tǒng)、認(rèn)證服務(wù)器三個(gè)元素才能夠完成基于端口的訪問控制的用戶認(rèn)證和授權(quán)。

4. DHCP+認(rèn)證方式

4.1 DHCP+概述

DHCP+接入，就是在DHCP協(xié)議的基礎(chǔ)上，進(jìn)一步對(duì)其進(jìn)行擴(kuò)展，使其具有更強(qiáng)的功能。DHCP+方式保留DHCP的所有功能，同時(shí)可以通過RA-DIUS方式對(duì)用戶進(jìn)行認(rèn)證。實(shí)現(xiàn)DHCP+方式的接入服務(wù)器同RADIUS服務(wù)器配合，能完成單純的DHCP方式無(wú)法完成的用戶認(rèn)證、用戶上網(wǎng)時(shí)長(zhǎng)、詳細(xì)的上下網(wǎng)時(shí)間等計(jì)費(fèi)參數(shù)的統(tǒng)計(jì)，實(shí)現(xiàn)靈活的計(jì)費(fèi)方式，同時(shí)也能實(shí)現(xiàn)對(duì)用戶的管理與控制。

4.2 DHCP+具有的優(yōu)缺點(diǎn)

DHCP+認(rèn)證方式是動(dòng)態(tài)分配地址，并且是在通過認(rèn)證之后分配地址。這種有效的節(jié)省了IP地址資源；DHCP+方式可以跨越三層設(shè)備；DHCP+只能通過計(jì)時(shí)長(zhǎng)的方式來計(jì)費(fèi)，本身不能提供流量計(jì)費(fèi)功能；

DHCP+不提供速率控制功能。同時(shí)不能針對(duì)特定用戶設(shè)置ACL過濾或防火墻功能；DHCP+服務(wù)器一般內(nèi)置于交換機(jī)或路由器中，或者由專用的工作站擔(dān)任，價(jià)格低廉；DHCP+目前還不能有效解決地址沖突和地址盜用的問題。

5. DHCP+Web認(rèn)證方式

5.1 DHCP+Web概述

DHCP+Web認(rèn)證方式根據(jù)在網(wǎng)絡(luò)拓?fù)渲械奈恢?，可分為兩大類：直通式和旁路式。直通式認(rèn)證系統(tǒng)容易實(shí)現(xiàn)對(duì)用戶的細(xì)粒度控制，原理簡(jiǎn)單、直觀；但從提高系統(tǒng)性能、降低研發(fā)、組網(wǎng)和維護(hù)管理成本的角度看，旁路式比直通式認(rèn)證系統(tǒng)有明顯優(yōu)勢(shì)，應(yīng)逐漸成為未來幾年的主流認(rèn)證方式。

5.2 DHCP+Web認(rèn)證方式的優(yōu)缺點(diǎn)

DHCP+web認(rèn)證只在獲得IP配置信息階段起作用，不存在接入瓶頸問題，對(duì)流量大的寬帶網(wǎng)較適合；可以實(shí)現(xiàn)按時(shí)長(zhǎng)計(jì)費(fèi)，與業(yè)務(wù)流實(shí)現(xiàn)了分離，易于利用Web服務(wù)器推出門戶和廣告等增值業(yè)務(wù)，也免去了在用戶端安裝軟件，大大減少了安裝和維護(hù)的工作量；但是DHCP+Web不能計(jì)算流量，且有交換機(jī)的配合才能對(duì)用戶的傳輸速率進(jìn)行控制，對(duì)地址沖突和地址盜用問題也需有交換機(jī)的配合才能解決。

認(rèn)證方式 PPPoE DHCP+ 802.1x Web DHCP+Web完善程度 已經(jīng)標(biāo)準(zhǔn)化，幾乎所有設(shè)備均可支持 不標(biāo)準(zhǔn) IEEE標(biāo)準(zhǔn)，大部分設(shè)備可支持良好，但標(biāo)準(zhǔn)未統(tǒng)一標(biāo)準(zhǔn)未統(tǒng)一系統(tǒng)開銷 較大 小 小 小 小IP地址分配 認(rèn)證后分配 認(rèn)證后分配 認(rèn)證后分配 認(rèn)證前分配 認(rèn)證前后均占用IP地址客戶端軟件 需要 不需要 需要 不需要 不需要計(jì)費(fèi)功能支持按用戶方式進(jìn)行按時(shí)常、流量計(jì)費(fèi)，與端口無(wú)關(guān)按時(shí)長(zhǎng)計(jì)費(fèi)計(jì)費(fèi)方式靈活可計(jì)時(shí)、計(jì)流量，支持基于端口的計(jì)費(fèi)支持按業(yè)務(wù)端口流量、按用戶上網(wǎng)時(shí)長(zhǎng)計(jì)費(fèi)按時(shí)長(zhǎng)計(jì)費(fèi)安全性 能夠防止地址沖突與地址盜用只進(jìn)行認(rèn)證檢驗(yàn)，不進(jìn)行信道加密，安全性較差可采用MD5、TLS等加密技術(shù)實(shí)現(xiàn)動(dòng)態(tài)密鑰分配易受攻擊，安全性較差只進(jìn)行認(rèn)證檢驗(yàn)，不進(jìn)行信道加密，安全性較差測(cè)機(jī)制 定時(shí)發(fā)送握手信息 周期性重復(fù)認(rèn)證 定時(shí)發(fā)送握手信息 根據(jù)用戶最大空閑時(shí)間判定系統(tǒng)復(fù)雜性與成本斷網(wǎng)檢測(cè)方式 PPP協(xié)議本身有檢系統(tǒng)簡(jiǎn)單，成本低廉系統(tǒng)需要與DHCP Server配合使用，成本較高系統(tǒng)簡(jiǎn)單、成本低系統(tǒng)需要與DHCP Server配合使用，成本較高系統(tǒng)需要與DHCP Server配合使用，成本較高擴(kuò)展性 差 只適用固定用戶 好 好 好

二、幾種認(rèn)證方式的比較

通過對(duì)上面提到的集中寬帶接入技術(shù)的分析，對(duì)比各種技術(shù)的特點(diǎn)，我們可以得到下面的對(duì)比表。

三、結(jié)論

PPPoE方式成熟可靠，需要增加投資的寬帶接入服務(wù)器BNAS等設(shè)備目前成本也大幅下降，通過合理的組網(wǎng)方式和設(shè)備性能的提升，可以解決所謂的網(wǎng)絡(luò)瓶頸問題，特別適合應(yīng)用于ADSL接入；802.1x推出較晚，標(biāo)準(zhǔn)目前不是很成熟，但其一次性投資低，支持組播等特性使其具有強(qiáng)大的生命力，隨著標(biāo)準(zhǔn)的統(tǒng)一和完善，必然是未來寬帶城域網(wǎng)首選的認(rèn)證管理方式；Web方式浪費(fèi)了網(wǎng)絡(luò)IP地址資源，增加了網(wǎng)絡(luò)投資，目前不能滿足電信運(yùn)營(yíng)商規(guī)模的大型寬帶城域網(wǎng)，較適合應(yīng)用于酒店、賓館園區(qū)網(wǎng)和校園網(wǎng)；DHCP+方式一般用在以太網(wǎng)接入中，由于標(biāo)準(zhǔn)的不統(tǒng)一，目前開展不是很多，而利用DHCP的動(dòng)態(tài)地址分配方式同Web技術(shù)進(jìn)行配合來實(shí)現(xiàn)更加理想的認(rèn)證方式即DHCP+Web方式目前成為主流的認(rèn)證方式，對(duì)流量大的寬帶網(wǎng)比較適合。這幾種認(rèn)證技術(shù)各有優(yōu)缺點(diǎn)，應(yīng)根據(jù)實(shí)際情況綜合考慮，實(shí)現(xiàn)對(duì)寬帶網(wǎng)的可運(yùn)營(yíng)、可管理，發(fā)揮其最大的效益。