ME60认证技术及接入方式选择指导书

1、ME60认证技术及接入方式选择指导书华为技术有限公司Huawei Technologies Co., Ltd.ME60认证技术及接入方式选择指导书修订记录日期修订版本描述作者/责任人2015-1-311.00首次发布何智峰ME60认证技术及接入方式选择指导书目 录1简介21.1背景21.2目标22主流认证技术32.1PPP42.1.1PPP认证原理42.1.2实现细节52.2802.1X82.2.1802.1X基本原理82.2.2802.1X实现细节82.3WEB认证122.3.1Web认证的基本原理122.3.2技术的实现细节122.4绑定认证182.4.1绑定认证的基本原理182.4.2绑

2、定认证的实现细节182.5接入方式比较183解决方案193.1接入方式选用原则193.2计费策略选用原则203.3认证组网203.3.1典型认证组网203.3.2扩展认证组网三层WEB认证组网方式802.1x+RADIUS代理223.4远程RADIUS计费234附录244.1RADIUS协议简介244.2流量统计和计费24附录A 缩略语26Copyright ©2015 华为技术有限公司 版权所有，侵权必究iiCopyright ©2015 华为技术有限公司 版权所有，侵权必究26ME60认证技术及接入方式选择指导书摘 要：详细描述ME6

3、0的认证、授权、计费技术，以及典型的应用场景和接入方式选择指导关键词：认证、授权、计费1 简介 1.1 背景传统的IP网络提供尽力而为的服务模式，追求的是简单、开放；电信IP承载网络中，网络服务提供商关注的是网络质量，提供可运营、可管理的网络服务。电信IP承载网络需要AAA配合，具体来说就是：n 认证 Authentication 用户使用系统时对其身份进行确认n 授权 Authorization 网络使用中，授予某用户使用网络通信的权限n 计费 Accounting 记录并提供用户使用网络的确切清单或数据认证就是识别用户身份的过程，为了保证合法的用户使用网络，需要鉴别用户身份。授权是根据认证

4、识别后的用户标识，访问预配置的用户档案信息，根据用户档案信息授予用户对应的网络使用权限，包括带宽限制、访问列表、业务策略等等，提供承诺的网络服务；计费是根据用户使用网络的清单和数据生成帐单，通过帐单来收取对应的费用。计费信息可根据用户访问的业务、时长、流量等多种内容进行统计。三个技术相互独立又紧密联系，认证技术是用户身份的标识和用户接入的前提，授权是用户服务严格管理和控制的手段，而计费则是服务提供商获得收益的技术保证。1.2 目标目前网络中，认证、授权、计费技术种类繁多，不同运营商、不同用户、不同业务的认证、授权、计费要求各不相同。经过多年的努力，华为公司通过全球运营网络大量的部署，对认证、授

5、权、计费技术进行分析和总结，提出了完整成熟的认证、授权、计费方案；通过方案的实施，有效地促进了宽带网络的建设和发展。ME60定位于IP/MPLS多业务承载网的边缘，将用户管理、业务控制、安全控制等各种功能有机地集成在一起，满足了不同级别客户的需求。本文主要介绍宽带网络中，华为数通ME60产品的认证、授权、计费技术和方案，以及典型的应用场景和接入方式选择指导。2 主流认证技术当前主流的认证方式包括PPP认证、802.1X认证、WEB认证和绑定认证。这四种认证方式与用户接入方式配合，完成用户的接入认证管理。每种认证方式都支持一种或多种认证技术，认证方式和认证技术关系如下表所示：表1 认证技术和认证

6、方式关系表认证方式认证技术PPP认证PAP、CHAP、EAP、MSCHAP_v1、MSCHAP _v2802.1X认证EAPWEB认证PAP、CHAP绑定认证使用用户的IP/MAC/位置信息等进行认证其中，EAP定义的认证构架中，包含了多种认证技术：图1 EAP认证方式汇总用户授权采用的方法一般包括用户默认权限、Radius、COPS、diameter服务器上预配置的权限。用户上线时，系统下发用户访问网络的授权信息，完成用户访问网络的策略控制。计费方式主要有：包月计费、按时长计费、按流量计费、按目的地计费，根据收费方式不同，还可以再细分为预付费和后付费。要实施这些计费方式，使用的计费方案有两种

7、：远程计费和本地计费。远程计费指通过RADIUS协议等AAA协议将原始计费信息从计费点送到计费服务器，由计费服务器通过营帐系统出帐单；本地计费指通过本地协议如内部接口，将原始信息保存在计费点上，然后通过文件方式导入到营帐系统，目前已基本淘汰。2.1 PPP2.1.1 PPP认证原理PPP协议是一种点到点的链路层协议，它提供了点到点的封装、传递数据的方法；如果PPP应用在以太网上，必须使用PPPoE再进行一次封装，进行广播链路上点对点通讯的协商，包括服务器的发现和会话标识Session ID的确认；PPPoEoA是PPPoE在ATM上通过RFC1483/2684进行桥接后的封装；PPPoA是PP

8、P直接承载在ATM上。PPP协议一般包括三个协商阶段：LCP（链路控制协议）协商阶段，认证阶段（比如CHAP/PAP），NCP（网络层控制协议，比如IPCP)协商阶段。用户上网拨号时，用户计算机和服务提供商的接入服务器在LCP阶段协商链路层参数，然后将用户名和密码发送给接入服务器进行CHAP/PAP认证，接入服务器可以进行本地认证，也可以通过RADIUS协议将用户名和密码发送给AAA服务器进行认证。认证通过后，在NCP（IPCP）协商阶段，接入服务器给用户计算机分配网络层参数例如IP地址等。PPP的三个协商阶段通过后，用户就可以发送和接收数据报文，进行上网体验了。 PPPOE的接入认证过程函盖

9、了PPP认证技术，增加了广播链路上点对点通讯的协商。后面的描述都以PPPOE为描述目标。2.1.2 实现细节认证系统架构基于PPPoE的认证系统中，PPPoE客户端到PPPoE服务器之间为二层网络，PPPoE服务器负责终结PPPoE客户端发起的PPPoE协议报文，并利用PPP对客户终端的PPP连接请求进行认证。基于PPPoE的认证系统架构见下图：图2 基于PPPoE的认证系统架构PPPoE实体协议栈见下图：图3 基于PPPoE的认证系统功能实体协议栈接入流程以CHAP为例，PPPoE用户的接入流程如下：图4 PPPoE认证流程1) PPPOE客户端向PPPOE服务器设备发送一个PADI报文，开

10、始PPPoE接入。2) PPPOE服务器向客户端发送PADO报文。3) 客户端根据回应，发起PADR请求给PPPOE服务器。4) PPPOE服务器产生一个Session id，通过PADS发给客户端。5) 客户端和PPPOE服务器之间进行PPP的LCP协商，建立链路层通信。6) PPPOE服务器通过Challenge报文发送给认证客户端,提供一个128bit的Challenge。7) 客户端收到Challenge报文后，将密码和Challenge做MD5算法后的，在Response回应报文中把它发送给PPPOE服务器。8) PPPOE服务器将Challenge、Challenge-Passwo

11、rd和用户名一起送到RADIUS用户认证服务器，由RADIUS用户认证服务器进行认证。9) RADIUS用户认证服务器根据用户信息判断用户是否合法，然后回应认证成功/失败报文到PPPOE服务器。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束。10) PPPOE服务器将认证结果返回给客户端。11) 用户进行NCP（如IPCP）协商，通过PPPOE服务器获取到规划的IP地址等参数。12) 认证如果成功，PPPOE服务器发起计费开始请求给RADIUS用户认证服务器。13) RADIUS用户认证服务器回应计费开始请求报文。用户此时通过认证，并且获得了合法的权限，

12、可以正常开展网络业务。当用户希望终止网络业务的时候，可以通过PPPoE断开网络连接。下线流程PPPoE用户下线流程包括用户主动下线和异常下线两种情况。用户主动下线流程如下图所示：图5 用户主动下线流程1) 用户通过PPPoE客户端，主动向PPPoE服务器发送Terminate-Request；2) PPPoE服务器向PPPoE客户端返回Terminate-Ack报文；3) PPPoE服务器向AAA服务器发送计费停止请求的报文；4) AAA服务器向认证点回计费停止请求报文的回应。异常下线流程如下图所示：图6 异常下线流程1) PPPoE服务器检测到用户已经不在线；2) PPPoE服务器向AAA服

13、务器发送计费停止请求的报文；3) AAA服务器向认证点回计费停止请求报文的回应。ME60支持的PPP用户下线检测条件主要有：a) PPP ECHO超时；b) 上行流量闲置；2.2 802.1X2.2.1 802.1X基本原理802.1X 协议起源于无线局域网（WLAN）的发展和应用，WLAN具有移动性、开放性的特点，因此需要对用户的端口接入进行认证控制，以保护无线频谱资源的利用和网络安全。802.1X协议应用于有线局域网中，通过对用户接入端口的认证控制，达到对用户管理的目的。当用户上网时，用户接入端口状态为锁闭状态，用户发起认证申请，认证通过后，用户获得二层网络的使用权。2.2.2 802.1

14、X实现细节认证系统架构基于802.1X的认证系统架构见下图：图7 基于802.1X的认证系统架构在此种架构下，系统由认证请求者、认证点和认证服务器的三元结构组成。认证请求者对应客户终端，认证点可以对应接入服务器，认证服务器对应AAA服务器。802.1X认证系统各实体协议栈见下图。图8 基于802.1X的认证系统功能实体透传方式协议栈802.1X接入认证流程基于802.1X的认证系统利用EAP协议的扩展能力可以选用不同的认证算法，以EAP-MD5为例：图9 EAP-MD5认证方式交互图流程描述如下：1. 用户和接入服务器之间建立好物理连接后，用户客户端向接入服务器发送一个EAPoL-Start报

15、文（如果用户是动态分配地址的，可能是DHCP请求报文；如果用户是手工配置地址的，可能是ARP请求报文），开始802.1X接入的开始。2. 接入服务器向客户端发送EAP-Request/Identity报文，要求客户端将用户名送上来。3. 客户端回应一个EAP-Response/Identity给接入服务器的请求，其中包括用户名。4. 接入服务器以EAP Over RADIUS的报文格式向RADIUS认证服务器发送Access-Request报文，里面含有客户端发给接入服务器的EAP-Response/Identity报文，将用户名提交RADIUS认证服务器。5. 接入服务器产生一个128 bi

16、t的Challenge。6. RADIUS认证服务器回应接入服务器一个Access-Challenge报文，里面含有EAP-Request/MD5-Challenge报文，送给接入服务器用户对应的Challenge。7. 接入服务器通过EAP-Request/MD5-Challenge发送给认证客户端,送给用户Challenge。8. 客户端收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的Challenge-Password，在EAP-Response/MD5-Challenge回应中把它发送给接入服务器。9. 接入服务器将Challen

17、ge-Password通过Access-Request报文送到RADIUS用户认证服务器，由RADIUS用户认证服务器进行认证。10. RADIUS用户认证服务器根据用户信息判断用户是否合法，然后回应认证成功/失败报文到接入服务器。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。11. 接入服务器根据认证结果，给用户回应EAP-Success/EAP-Failure，通知用户认证结果。如果认证失败，则流程到此结束。如果成功，可以进行后续的授权、计费等流程。用户下线流程用户下线流程包括用户主动下线和异常下线两类情况，用户主动下线流程如下图所示：图10 用户主动下线流程1) 客户端主动向

18、认证点发送EAP-Logoff消息；2) 认证点向认证服务器发送计费停止请求的报文；3) 认证服务器向认证点回计费停止请求报文的回应。异常下线流程如下图所示：图11 认证点检测用户下线流程1) 认证点检测发现用户已经不在线；2) 认证点向认证服务器发送计费停止请求的报文；3) 认证服务器向认证点回计费停止请求报文的回应。ME60支持的802.1x用户下线检测条件主要有：a) ARP超时；b) Keep-alive超时c) 上行流量闲置；4)2.3 WEB认证2.3.1 Web认证的基本原理Web认证时，客户端使用标准Web浏览器（例如IE），填入用户名、密码信息，页面提交后，由Web服务器和设

19、备配合完成用户的认证。2.3.2 技术的实现细节认证系统架构接入服务器将来自客户的HTTP请求重定向到POTRAL服务器，PORTAL页面上输入用户名、密码进行认证：图12 基于WEB的认证系统架构基于WEB的认证系统功能实体协议栈见下图。图13 基于WEB的认证系统功能实体协议栈WEB接入认证流程用户在WEB认证之前，必须先通过DHCP、静态配置等获得IP地址。用户如果被配置成强制WEB认证，则用户只需要输入自己喜欢的网页即可，系统自动下载认证网页。用户提交了用户名和密码之后，接入服务器与WEB认证服务器协调工作，对用户进行认证。下面以普通动态用户为例，具体步骤如下：客户终端 145接入服务

20、器DHCP服务器AAA服务器WEB认证服务器36789101123图14 IPoE用户接入流程（WEB认证）（1）（4）为动态用户通过DHCP协议获取地址的过程（静态用户手工配置地址即可。）；（5）用户访问WEB认证服务器的认证页面，并在其中输入用户名、密码，点击登陆按钮；（6）WEB认证服务器将用户的信息通过内部协议，通知接入服务器；（7）接入服务器到相应的AAA服务器对该用户进行认证；（8）AAA服务器返回认证结果给接入服务器；（9）接入服务器将认证结果通知WEB认证服务器；（10）WEB认证服务器通过HTTP页面将认证结果通知用户；（11）如果认证成功用户即可正常访问网络资源。三层用户的

21、WEB认证用户与接入服务器中间存在路由器等三层设备，这样用户到接入服务器的报文中只有用户的IP地址没有MAC地址信息，这种类型的用户称为三层认证用户。与二层认证用户不同的是三层认证用户的MAC地址接入服务器获取不到，因而不能进行MAC、IP的绑定检查，安全性不高，容易仿冒；ARP请求不能穿透路由器因而不能对用户进行ARP探测确定是否在线。对此，三层认证用户必须进行WEB认证，不能通过绑定认证等方式上线。IP报文触发三层用户上线的流程如下图所示：图15 IP报文触发3层认证用户上线流程（1）用户的IP报文到达接入服务器，接入服务器为其分配资源建立预连接； （2）用户的HTTP请求被强制到（或用户

22、主动访问)WEB认证服务器的认证页面，并在其中输入用户名、密码，点击登陆按钮；（3）WEB认证服务器将用户的信息通过内部协议，通知接入服务器；（4）接入服务器到相应的AAA服务器对该用户进行认证；（5）AAA服务器返回认证结果给接入服务器；（6）接入服务器将认证结果通知WEB认证服务器；（7）WEB认证服务器通过HTTP页面将认证结果通知用户；（8）如果认证成功用户即可正常访问网络资源。WEB认证用户下线流程WEB认证用户下线流程包括用户主动下线和异常下线两种情况。用户主动下线流程如下图所示。图16 用户正常下线流程1) 当用户需要下线时，可以点击认证结果页面上的下线机制，向Portal服务器

23、发起一个下线请求。2) Portal服务器向接入服务器发起下线请求。3) 接入服务器返回下线结果给Portal服务器。4) Portal服务器根据下线结果，推送含有对应的信息的页面给用户。5) 当接入服务器收到下线请求时，向RADIUS服务器发计费结束报文。6) RADIUS服务器回应接入服务器的计费结束报文。异常下线包含两种情况：接入服务器侦测到用户下线：图17 接入服务器检测到用户异常下线流程1) 接入服务器检测到用户下线，向Portal服务器发出下线请求。2) Portal服务器回应下线成功。3) 当接入服务器收到Portal服务器的下线成功消息时，向RADIUS用户认证服务器发计费结束

24、报文。4) RADIUS用户认证服务器回应接入服务器的计费结束报文。Portal服务器侦测到用户下线：图18 Portal服务器检测到用户异常下线流程1) Portal 服务器侦测到用户下线，向接入服务器发出下线请求。2) 接入服务器回应下线成功。3) 当接入服务器收到下线请求时，向RADIUS用户认证服务器发计费结束报文。RADIUS用户认证服务器回应接入服务器的计费结束报文。2.4 绑定认证2.4.1 绑定认证的基本原理狭义的绑定认证就是IPoE用户上线时对用户接入的端口、VLAN、MAC地址、IP地址等信息的合法性检查，从而确定用户是否合法。广义上看，AAA服务器可对任何接入类型（PPP

25、/802.1x/WEB）叠加基于接入时的端口、VLAN、MAC地址、IP地址等信息的合法性检查，实现绑定认证与其他认证的叠加。绑定设置的过程用户不感知，进一步保证了用户业务的安全。2.4.2 绑定认证的实现细节AAA服务器将用户的接入端口、VLAN、MAC、IP地址等形成绑定关系，用户接入时系统对用户接入端口、VLAN、MAC、IP地址等信息进行合法性验证。2.5 接入方式比较表2 接入方式比较表认证方式PPPoE认证WEB认证802.1X认证接入控制粒度PPP连接MAC/IP逻辑端口/MAC（扩展）IP地址分配方式IPCPDHCP/静态DHCP/静态（扩展）IP地址分配流程先认证后分配IP先

26、分配IP后认证二次地址分配（扩展）认证后DHCP分配地址客户端支持商用客户端Windows集成标准浏览器厂商私有客户端Window有限支持智能手机：运营商定制组播支持按PPP SESSION复制二层链路压力大按VLAN复制二层链路压力较小按VLAN复制二层链路压力较小封装开销PPP封装大报文分片以太网封装以太网封装安全性1、安全性高，每个PPPoE会话有唯一的session id，不会遭到其他用户攻击2、不存在对设备的ARP攻击1、存在地址盗用、私设DHCP服务器等安全性方面的风险2、存在用户对设备进行ARP攻击风险WLAN场景：有空口加密，安全性高固网场景：与WEB认证类似，存在地址盗用，A

27、RP攻击风险断线重拨支持不支持支持接入网络不能穿越三层网络能穿越三层网络不能穿越三层网络IPv6支持情况好ME60以下的二层设备不感知V4/V6差异一般BNG以下的二层设备感知DHCPv6一般BNG以下的二层设备感知DHCPv6额外的WLAN支持无无重认证机制密钥传送EAP-SIM认证协议标准标准协议私有协议标准认证协议AAA兼容标准协议标准协议标准协议附加设备RADIUS ServerPORTAL ServerRADIUS ServerRADIUS ServerAS（EAP-SIM认证）用户异常离线检测LCP ECHO报文WEB keep-alive检测ARP检测Keep-alive机制重认

28、证机制技术应用情况成熟成熟成熟附加业务特性VPDN支持认证前免费资源访问认证界面广告业务服务选择业务定制无3 解决方案3.1 接入方式选用原则结合认证技术本身特点，认证技术的选用有四个原则：客户使用习惯从用户习惯看，窄带用户习惯PPP认证；酒店、会议电话等用户习惯WEB认证；WLAN用户习惯WEB认证和802.1X认证；专用服务器、VIP客户习惯绑定认证。网络提供能力根据网络设备是否支持PPP认证、WEB认证、802.1X认证进行认证方式的选择。802.1X对应的AAA服务器要求必须能够提供EAP认证功能。客户终端成熟度PPP客户端非常成熟、稳定；WEB认证只要标准商用的WWW浏览器；802.

29、1X客户端目前主要是移动运营商定制。网络维护工作量PPPoE和802.1X需要专用客户终端；WEB认证操作简便，只需商用的WWW浏览器即可。3.2 计费策略选用原则客户使用网络的习惯和业务要求n 长时间在线用户可选用包月计费n 普通用户可选用按时长计费n 运营商也可提供按流量计费n 运营商可按照用户访问的业务进行计费网络提供能力n 具体AAA服务器的网络可以提供远端计费，否则只能使用本地计费或者不计费。n 具备流量采集能力的设备，可以提供按流量计费；否则只能提供时长或者包月计费。n 具备预付费能力的AAA服务器或者本地服务器，可提供预付费。3.3 认证组网3.3.1 典型认证组网ME60提供多

30、种主流认证技术，组网时可以自由选择认证方式，可以任选一个或多个。图19 多种认证组合组网示意图3.3.2 扩展认证组网三层WEB认证组网方式用户通过路由器等三层网络连到接入服务器。此时，开启三层WEB认证功能即可。图20 三层WEB认证组网图层IPoE接入组网为：· 用户经DHCP Relay设备ME60A，从ME60B的GE1/0/2接口下以三层IPoE方式接入。· 用户在ME60B采用Web认证，并采用RADIUS认证模式和RADIUS计费模式。· 用户接入网关为ME60A，但是用户认证等接入控制由ME60B完成802.1x+RADIUS代理图21 RADIU

31、S代理认证组网图如上图所示，由于ME60不具备空口加密的能力，WLAN用户的数据报文加密必须由AP/AC完成。WLAN用户要访问网络，需要先通过802.1x认证方式在AC上进行RADIUS认证，然后通过路由器进行RADIUS计费。用户上线的过程如下： 1. WLAN用户发送802.1x报文到AC，AC终结802.1x报文，发送RADIUS报文到ME60。 2. ME60作为RADIUS代理，侦听AC发给RADIUS服务器的认证报文，转发给RADIUS服务器，侦听RADIUS服务器发送的认证回应报文，转发给AC，在代理过程中保存RADIUS服务器下发给该账号的授权信息。 3. 认证通过后，用户发

32、送DHCP报文到ME60获取地址，地址获取过程中ME60根据该用户MAC查询在代理过程中保存的账号授权信息，如果该用户账号的授权信息存在，那么给用户分配空闲IP地址，并且使用保存的授权信息给用户授权。同时ME60发送开始计费报文到RADIUS服务器，对用户做计费。 4. 对于AC发送的计费报文做直接回应，不发给RADIUS服务器。3.4 远程RADIUS计费图22 Radius计费组网示意图ME60感知用户上网和下线后，自动和AAA服务器交换计费信息。所有计费信息都保存在AAA服务器内，营帐系统直接从AAA服务器提取原始计费信息。ME60严格按照RFC2865，RFC2866，RFC2869的定义进行RADIUS协议的实现，提供标准的RADIUS计费属性和扩展。支持和业界主流厂商大量对接应用，比如华为iTellin、华为CAMS、亚信、联创、天府热线、中太、深圳银河通等等，提供包月、时长、流量、按业务计费。4 附录4.1 RADIUS协议简介AAA采用RADIUS协议进行实现。由于RADIUS是公开的标准协议，容易实现各厂商地互联