DHCP+在IPTV中成为标准的可行性V2.docVIP

DHCP+作为IPTV承载网技术标准的对策分析报告（业务咨询部）2005年7月27日一、摘要目标：使ENUS的DHCP+协议成为网通IPTV承载网的接入认证标准。本文通过对ENUS DHCP技术的核心要点，以及其他厂商使用DHCP协议的option属性实现用户AAA功能的可行性进行分析。得到以下主要结论：1、 ENUS系统目前具有的最大优势，包括：l ENUS系统已经经过大规模电信级运营考验，成熟、可靠、稳定。l 防伪DHCP方案较其它解决方案有优势。2、 IPTV应用场景下，网络设备扩展DHCP协议属性，机顶盒客户端可以订制的DHCP协议，这些技术可以不采用ENUS的DHCP+协议来实现机顶盒业务的接入认证功能。而且我们也无法通过专利保护形成对其他厂家的技术壁垒。3、 从推广ENUS DHCP技术，进而使其成为网通IPTV企业标准的角度考虑，我们建议的对策如下：l 向网通免费开放DHCP+协议，不以其它厂家的解决方案为完全竞争对手，而是将这些解决方案与ENUS的DHCP+ 方案融合起来。例如：“ENUS客户端option 82认证方式ENUS服务器端管理系统”。l 免费或象征性收费，授权机顶盒厂家使用DHCP协议及专利。扩大终端厂商的支持范围。l 通过收取ENUS的服务器端的费用来获得回报。l 成为运营商标准后，对公司未来的发展提供巨大的机会。这是后续的回报。4、 下一步工作计划l 全面了解网通集团标准制定的工作内容和进展，并争取参与。此事由赵睿负责，但需要销售创造机会。l 在河南、河北、北京等省全力推进参与IPTV试验局。姚洪亮和左长波负责此事。二、全文1、 ENUS DHCP的技术要点ENUS DHCP认证技术是以DHCP协议为核心，采用用户名、MAC地址和DHCP分配的动态IP地址绑定组成的AccessKey技术，实现了合理完善的用户认证、授权机制。ENUS DHCP的主要应用场景是针对PC用户使用宽带互联网时，实现用户的AAA管理。这种应用场景存在以下特点：l DHCP协议的客户端是在标准操作系统上运行，在现有的操作系统中如：WIN95，WIN98，WIN2000，WINME，LINUX等的协议栈中都缺省带有DHCP的客户端协议。只要启动它就可以与网络中的DHCP服务器进行通信，来获得IP地址。这种DHCP Client是我们无法修改的(或者修改起来很困难)。同时这种DHCP Client只提供标准的DHCP分配地址功能，不能提供安全性保障。l 现行电信运营商经营宽带网的主要价格策略为计时、限时包月、包月，因此用户不是时时在线的，需要由DHCP客户端模拟用户上下线动作，同时需要认证系统需要实现实时认证功能，并为计费系统提供精确的上网、下网时间。为适应以上特点，ENUS系统采用私有协议（ECP协议）对DHCP协议进行扩展，实现了认证、计时、上下网、系统安全性等功能。具体要点如下：l 上下网动作：在用户认证通过或者下网之后，强制用户释放地址，重新获取地址，以此来改变用户地址；如果是客户端用户，客户端应用程序可以主动的释放或者获取地址。l 实时认证：在路由器上设置不同的IP地址池，各个IP地址池中的IP地址具有不同的访问权限，只有认证通过的用户才可以访问公网，非认证通过的用户只能访问内部网络, 以解决大量占用IP地址的问题。l 精确的上网、下网时间：客户端主动发起和服务器端的Socket心跳连接，服务器Socket Server通过采集心跳连接的起止时间，获得精确的上网、下网时间。l 系统安全性：n 防IP/MAC地址盗用：通过TELNET方式访问和控制路由器，定期获取路由器上的ARP信息，与系统已经分配的IP地址比较，如果发现不在系统分配列表中的地址，则认为是盗用IP，通过TELNET，将其IP地址对应的MAC设置成一个不存在的MAC地址，以此达到限制盗用IP地址的使用。n 防伪DHCP服务器：通过在离用户最近的三层设备上开启DHCP relay功能，控制DHCP Discovery的广播域范围，客户端监控服务器返回的OFFER包，读取Relay_Agent属性，抛弃Relay_Agent0的OFFER包，屏蔽伪DHCP服务器对用户分配地址的请求。以上技术要点应该是润汇公司通过ENUS专利需要保护的DHCP主要方法和特征。专利保护最主要的原则是“全面覆盖原则”，即权利要求书中所有的特征构成一个整体。只有对整体侵权，才构成侵权。目前我们把多个需要保护的方法放在一个专利里了，这样任何单个的方法很难单独进行保护。2、 IPTV业务应用场景的变化IPTV业务，是使用宽带网络为传输介质，以机顶盒为输入终端，以普通电视为显示设备的新一代家庭娱乐的业务。这种应用有效地将电视、通讯和PC三个领域结合在一起。IPTV的优势在于实现真正的互动，他不但能接收广播信号，也能实现用户与SP的互动。而且由于使用的是TCP/IP协议，IPTV还可以非常容易地将电视服务和互联网浏览，电子邮件，以及多种在线信息咨询、娱乐、教育及商务功能结合在一起。在这种应用场景下，存在以下特点：l IPTV应用场合下，客户端主要是机顶盒，都是专用操作系统，其内容是可以完全定制的。它内部的DHCP Client可以由厂商根据要求修改，增加各种功能。l IPTV应用场合下，接入本身只是一个基础服务，可能会采用包月计费方式，不需要精确的上网、下网时间，可能不需要实时认证，计时、下网、实时更换地址等功能并非必须的功能。因此，在IPTV的应用场景下，ENUS DHCP会遇到更多的基于DHCP协议的实现技术的竞争。3、 标准DHCP实现AAA的方式由于机顶盒的可定制性，各厂商可以通过利用DHCP协议中规定的option属性，实现AAA功能。目前看有以下三种方式：3.1 改造DHCP客户端，通过私有协议扩展，实现基于机顶盒硬件配置信息的认证利用RFC 2132中option 43(Vendor Specific Information)、Option 60(Vendor Class Identifier)，RFC3004中 Option 77 (User Class)等属性，进行厂商扩展定义，用于向服务器传递机顶盒的硬件配置信息（固化在机顶盒中或IC卡中的用户名/口令、用户ID等），实现类似于MAC地址绑定的认证。这种方式的缺点如下：l 厂商扩展是非标准的，不同的厂商实现方式不同，不同厂商的客户端和服务器间不能互通。因此，对于运营商来说，一旦采用某个厂家的方案，将不得不全部采购他的机顶盒和服务器端设备，这是运营商很难接受的。l 由于认证方式只是由客户端向服务器传送固化的硬件配置信息，因此认证过程中缺少必要的服务器和客户端的交互过程。非法用户非常容易截取固化的硬件配置信息，进行非法接入。因此，安全性存在问题。3.2 网络设备进行升级，支持option 82属性，实现基于端口的认证RFC3046中规定了 Option 82(Relay Agent Information)属性，通过对直接和用户连接的网络设备的升级，使其支持option 82属性。在客户端发起的DHCP请求通过网络设备时，由网络设备利用option 82中规定的Agent Circuit ID或Agent Remote ID子属性来传递端口信息，实现基于端口的认证。这种方式的优点是非常明显的，具体如下：l 在包月制的情况下，DHCP客户端可以采用类似于标准操作系统中提供的客户端即可实现用户认证功能。l 采用的协议是标准的，各厂商可普遍支持。l 可以通过在网络设备上实现的DHCP监听功能，实现防IP地址盗用。通过监听DHCP的请求和应答，记录哪些用户是从DHCP分配地址的，并拒绝非DHCP分配地址的客户的访问(匹配IP和MAC，甚至端口)，这是目前最有效的防IP地址盗用的方法。这种方式的实现，要求在直接接用户的网络设备上(即能从端口上区分用户的设备)必须实现Option 82插入功能。不过从目前的情况看，华为、UT等公司在其IPTV解决方案中，大多推荐option 82的解决方案。因此，我们判断，在网络设备中实现Option 82插入功能，可能只需升级网络设备的IOS即可实现。这种方式将是ENUS在IPTV业务中面临的主要竞争对手。3.3 利用标准协议，在DHCP客户端上实现完善的DHCP认证机制RFC3118中规定了 Option 90 (Authentication)属性，能够实现完善的DHCP认证机制。Option90提供了验证使用dhcp协议的服务器/客户端合法性的框架，并给出了相应的认证协议。Option 90通过一个server和client之间的共享密钥来验证对方，client-id是客户端的唯一标识，可以采用mac+relay_host_ip来组合，在一个dhcp session中间，dhcp server为每个客户端在dhcp discover/offer的时候计算密钥并保留当时的认证参数(主密钥, RDM, Protocol)，并在整个session中使用这些认证参数。采用这个标准，可以实现用户认证、计费、防IP盗用、防DoS攻击等功能，即可实现比较完备的DHCP用户接入AAA系统。4、 标准DHCP实现AAA技术要点分析通过上述说明，可以看到option 82、option 90可以实现比较完备的接入AAA系统。我们将针对这两种方式分析他们实现ENUS DHCP所列举的技术要点的实现难度：l 上下网动作：在IPTV应用场景下，一旦采用包月方式，用户上下网动作已经并非主要功能。即使仍然需要上下网动作，由于机顶盒采用专用操作系统，其内容可以定制，因此实现上下网动作非常容易。l 实时认证：option 82、option 90均能提供比较完备的实时认证功能。l 精确的上网、下网时间：机顶盒采用专用操作系统，可提供定制的DHCP客户端，通过采集客户端和服务器端之间的DHCP心跳，可以得到精确的上网、下网时间。l 防IP/MAC地址盗用：option 82、option 90均能提供完备的防IP/MAC地址盗用的方案。l 防伪DHCP服务器：option 82、option 90均未提供防伪DHCP服务器方案。目前，ENUS DHCP所使用的防伪DHCP服务器方案是比较好的解决方案。从以上分析，可以看出，上面所列的标准DHCP实现AAA方式，可以脱离ENUS DHCP专利保护的特征，实现ENUS所实现的主要技术要点。唯一未提供的是防伪DHCP服务器方案。但防伪DHCP服务器方案相对较简单，也很难申请附加专利进行保护。5、 如何在争取最大利益的前提下开放ENUS标准的对策从上面的分析看，我们可以得出以下结论：l 其他厂商可以独立实现基于DHCP协议的接入认证系统，且和其中某些认证系统相比，ENUS系统并没有明显的优势。反而由于使用私有协议，还处于相对劣势。l