IPv过渡期的用户接入认证

1、IPv6过渡期的用户接入认证摘要：本文首先针对宽带用户接入认证中涉及到的PPP、NDP/SLAAC、DHCP和Radius进行论述，然后分析了在引入V6用户后带来的问题，并提出了相关的解决方案建议。Abstract: Firstly, we discussed some Internet access related protocols, such as PPP, NDP / SLAAC, DHCP and Radius, then analyzed some new issues when V6 service is introduced to ISP, and also give some

2、 solutions to solve the problems. 关键词：IPv6，过渡，接入认证，授权计费Keyword: IPv6, Transition, Access authentication, Authorization and accounting作者：胡捷，中国电信股份有限公司北京研究院，主任工程师王茜，中国电信股份有限公司北京研究院，全业务承载网研究室主任陈运清，中国电信股份有限公司北京研究院，网络技术研究部部长赵慧玲，中国电信股份有限公司北京研究院，副院长1V6连接型业务简介IPv6作为一种电信业务，在业务引入的初始阶段与V4没有本质区别，都是以连接型业务为主，应用型业

3、务可以视作增值服务，是在网络连接基础上提供的高层业务。运营商提供给用户基于IPv6协议的网络接入，以固网宽带为例，接入方式主要沿袭V4时期的xDSL、PON、LAN等方式。未来的趋势还将有WIFI和WiMAX等。连接型业务，最关键的在于用户接入认证和计费方式的采用。在V4时代，已经探索出非常完善的解决方案，即在用户接入认证方式上，采用PPP、DHCP+Web等，在认证计费方式上，主要采用Radius协议。V6引入后，变化不大，在接入认证上，多了一个SLAAC无状态地址自动配置协议，即基于NDP邻居发现协议实现的一种地址分配方式，目前来看，Radius依然是V6时代的主要认证计费协议，IETF于

4、2003年9月推出的Diameter，截止到目前，并没有得到大范围应用。V6的SLAAC基于IETF RFC 4862，重点解决的是在V6环境下地址自动分配的一种机制，其目的是简化V6终端的协议栈，采用无状态地址自动配置。所谓无状态，可以和有状态的DHCPv6进行对比说明：无状态方式网络中没有一台特定用于地址分配的服务器，所有主机的地址都是在通过RA报文发送的/64 Prefix中结合某种算法自行创建的；有状态方式则是在网络中设置一台DHCPv6服务器，负责为终端直接分配/128长度的地址，并且在DHCPv6服务器中有相关的状态记录，即终端的MAC地址、上线时间、地址分配后的有效期限等信息。通

5、过对SLAAC和DHCPv6协议的分析，在协议交互过程中，终端主机没有发送用户名和密码的机制，严格来说不能算作是一种接入认证技术，更多地是一种终端配置实现，包括地址、DNS地址、缺省网关、时效等参数；这类技术比较适合公司局域网，因为公司员工将电脑连入公司网络是无需采用用户名和密码进行验证的，而且在公司员工接入网络中，也无需对用户离线、上线进行时间和流量上的统计，默认所有用户安全；对于运营商来说，此种接入方式和地址分配策略无法满足以提供网络连接为收入来源的策略。运营商必须有一种机制实现对用户接入网络的控制，包括对用户合法性判断（认证）、对用户上网级别的规定（授权）、对用户流量和时长的统计（计费）

6、等各种手段。2V6连接型业务在认证、授权和计费方面的问题和解决方案在V4时代，绝大多数运营商都是采用PPP协议结合Radius协议来满足上述要求。PPP协议早期用于通过PSTN窄带拨号上网的环境下，实现用户账号的认证，授权，这两个功能通过PPP的LCP协议实现。后来又开发了NCP协议，使得在LCP鉴权通过后，可以通过NCP实现上网参数配置，从而避免了用户主机鉴权通过后还要发起DHCP请求的繁琐过程。运营商除通过PPP提供用户上网接入认证之外，还带来如下额外好处：l 每个用户一个PPP session，流量可以通过PPP封装进行隔离，起到类似VLAN隔离的效果，一定程度上保障安全；l BRAS设

7、备可以针对每个PPP session进行Inbound/Outbound流量控制，实现一定程度的服务质量；l BRAS设备可以针对每个PPP session进行上下线时长和流量统计，实现灵活精确的计费策略；l 一个用户可以同时发起多个PPP session，每个session对应一种业务，从而实现业务之间的隔离，BRAS可以为不同业务对应的PPP session配置不同的Profile，提供不同的QoS。V6时代，上述的四种优点依然具备，目前来看，与V4环境下PPP最大的不同在于，NCP不再参与终端上网参数的协商，而是在LCP进行用户名、密码认证后，终端依次启用NDP、DHCPv6来获得接口地

8、址、家庭网络前缀、DNS等参数。由于运营商有丰富的V4运营经验和PPP使用习惯，V6的PPP+NDP/SLAAC+DHCP显得繁琐，目前来看，PPPv6及相关协议解决方案的问题在于：l RFC5072规定的PPPv6只通过IPv6CP协商Interface-ID，但是协议中又建议此ID仅作为Link-local地址的ID，终端接口地址或者路由型家庭网关 WAN口地址依然需要通过NDP/SLAAC或者DHCPv6获得，现在看来RFC5072提供的协商功能非常有限；l 各种协议之间的运行顺序需要精确控制，一种协议状态Up后，才能进入下一种协议交互，协议之间的协同工作复杂，导致客户端和服务器端状态机

9、需要协调，程序开发复杂，各进程间容易导致冲突；l 各种协议的先后执行，引起额外的时延，用户认证授权时间延长；l V4依然采用NCP，V6采用NDP/SLAAC和DHCP，V4-reday和V6-reday有时差，导致BRAS发送Accounting-request报文时不能将V4和V6业务进行同步计费，运营支撑系统需要改造以便支持或容忍此现象；l 各种协议提供的部分功能是重复的，例如PPP session的连接状态即可代表用户在线，而此时的DHCP release 时长则完全没有必要采用；在PPP协议的点到点环境下没有必要采用DAD地址重复检测；此外SLAAC、DHCPv6都可以提供接口地址和

10、DNS地址协商，功能重复；导致以上局面有一定历史原因，目前中国电信已经向IETF提交了关于在开展V6宽带接入业务中采用PPPv6遇到的问题陈述（PPPv6 Problem statement and requirements: Draft-hu-pppext-IPv6CP-requirements-01），并且在试验网实践中总结经验，提出了自己的解决方案(PPP IPv6 Control Protocol Extensions: draft-hu-pppext-ipv6cp-extensions-01)，建议沿用V4时代PPP的功能，同时提供接口地址、DNS地址、家庭网络前缀、DS-Lite

11、AFTR地址、NTP地址等信息。这个草案提交后得到业界关注，英国一家专注研发CPE和L2TP LNS设备的厂商（）已经采纳了草案中建议的Option号码，计划在产品中实现上述功能。中国电信计划在2011年与中兴通讯合作开发PPPv6扩展协议，在中兴BRAS和中兴CPE之间采用基于这个草案的PPPv6扩展实现参数协商，回避引入NDP/SLAAC和DHCPv6带来的复杂性。从终端用户到BRAS采用PPP后，只是完成了用户接入认证的一个环节。在这个环节中终端相当于PPP Client，BRAS相当于PPP Server；一个完整的认证、授权、计费链条，还需要AAA服务器和计费服务器的参与。具体实现就

12、是BRAS同时作为Radius Client，通过UDP报文封装radius消息通过IP可达送到AAA服务器，AAA收到用户账号信息提供用户认证、授权，返回Access-accept消息给BRAS。V4环境下，BRAS得到授权后即通过PPP的NCP给终端分配上网所需要的参数，V6环境下则需要进一步调用NDP/SLAAC和DHCP进程。V4环境下一切进展顺利，协议开发和应用都已经成熟，接近完美。V6引入后则带来新的问题，本质原因是因为Radius协议在制定之初只考虑了V4协议单一环境。这些问题例举如下：l RFC2866中，只有对流量的统计属性（packages or octets），但是不能区

13、分是V4还是V6流量，无法满足ISP针对V4和V6流量分别计费的能力；目前已经有人提出了相关建议（RADIUS Accounting Extensions for IPv6: draft-maglione-radext-ipv6-acct-extensions-01）；l 现有的Rdius协议针对IPv6扩展的属性有Framed-Interface-Id,Framed-IPv6-Prefix,Framed-IPv6-Route,Framed-IPv6-Pool(RFC3162),和Delegated-IPv6-Prefix（RFC4818）,但是没有framed-ipv6-address，即/

14、128的IPV6 address属性。当主机或路由型家庭网关通过DHCPv6方式从BRAS获得接口地址（或路由型家庭网关的WAN口地址）时，采用stateful dhcp直接获得/128的地址，但是此时BRAS无法将/128的地址通过radius的accounting-request报文送到AAA服务器，影响对用户的计费和溯源；这个问题的进一步阐述如下：目前BRAS在accounting-request报文中只能上送/32的V4地址和/64的V6 Prefix和/或64位interface ID，无法上送/128的V6地址，如果用户采用SLAAC方式自行创建的/128地址，由于是无状态的，BR

15、AS不掌握终端的具体地址信息，无法通过Radius告诉AAA具体的终端地址是什么-针对此问题建议采用如下的方法解决：对于主机上网用户，为每台主机的PPP session分配不同的/64 prefix，由于Radius V6扩展已经具备上送/64前缀的功能，可以通过每用户唯一的前缀实现溯源；如果采用有状态的DHCP直接分配/128地址，BRAS掌握了终端用户地址信息，目前的Radius关于V6的扩展暂时欠缺这个功能，好在已经有人在IETF提交了草案提供解决方案建议（RADIUS attributes for IPv6 Access Networks: draft-ietf-radext-ipv6

16、-access-03.txt）；l 目前AAA在返回给BRAS的access accept报文中，没有对用户属性的定义（V4-only, V6-only, dual-stack），如果用户购买的是V6-only业务，而用户终端实际上是支持V4协议栈的，此时终端用户如果发起V4地址的协商和请求报文，BRAS是可以给V6-only用户分配V4地址和其他参数的，导致V6-only用户可以连接V4 Internet-现有的解决方案是关闭用户侧PPP协议配置中的V4协议栈，或者用户采用usernamedomain方式，BRAS为不同domain后缀的用户配置不同的Profile，分别为不同类型用户提供不

17、同类型地址，从而避免了V6-only用户接入V4 Internet；l 目前AAA返回给NSA的属性中，没有针对主机或者路由型家庭网关属性的定义，BRAS在通过对主机或路由型家庭网关的认证授权后，无法判断用户终端是主机还是RG，针对主机，只需给终端分配接口地址；针对RG，还需要分配内网prefix；由于BRAS无法识别用户属性，当恶意的主机发起access-request请求并获得access-accept许可后，可以向BRAS发起delegated-prefix申请，占用ISP 地址资源-目前的解决方案也是通过usernamedomain的方式为不同用户分配不同的Profile，从而避免主机

18、用户获得地址前缀；后两个问题，中国电信在V6实验网部署中总结了经验，已经在IETF提交了问题陈述（RADIUS issues in IPv6 deployments: draft-hu-v6ops-radius-issues-ipv6-00）；完善的解决方案正在酝酿，初步设想就是扩展Radius V6的支持属性，中国电信将于近期在IETF提交草案，具体建议如下：l 增加用户的用户属性：主机用户，或者家庭网络用户。AAA对用户类型在认证时进行判断，认证通过后下发用户类型信息给BRAS，BRAS就知道用户是主机用户还是网络用户了，从而针对不同用户属性采取不同的地址分配策略；l 增加用户的业务属性：

19、v4-only,v6-only,dual-stack，认证后反馈给BRAS，BRAS收到相关属性的字段，调用不同的Profile，实现v4用户只有V4地址，V6用户只有V6地址，双栈用户可同时获得V4，V6地址。3总结综上所述，V6全面推广还需要在某些细节上加以完善，例如在运营商最关心的接入、认证、授权、计费方面，在商业模式方面，以及配套的IT、IP运营支撑系统方面都需要进行相关的改造。这些问题只有在实践中才能发现，并促使人们寻求解决途径。虽然有些问题可以采用临时的、变通的方法解决或者规避，但是完善的解决方案仍然需要通过在IETF提交草案进行讨论，获得业界一致意见后成为标准，才能成为商业运营的前提，才可被运营商普遍接受和推广。参考文献1 RFC2866 Rigney, C., RADIUS Accounting, RFC 2866, June 2000.2 RFC3162 B. Aboba, G.