對于以太網(wǎng)絡中多數(shù)業(yè)務來說，運營商無法從物理上完全控制客戶端設備或者媒介。運營商要實現(xiàn)對寬帶業(yè)務的可運營、可管理，就必須從邏輯上對用戶或者用戶設備進行控制。 該控制過程主要通過對用戶和用戶設備的認證和授權完成。

　　以太網(wǎng)用戶接入認證技術需求分析

　　面臨著基于以太業(yè)務應用的日益廣泛，迫切需要一種適應以太網(wǎng)多業(yè)務承載需求，兼顧以太接入靈活性和擴展性好的特點，并能確保以太接入安全性、支持運營商對接入用戶進行控制和管理的接入認證技術。

　　以太技術和接入認證技術的結合要求網(wǎng)絡接入控制完成以下功能：

　　網(wǎng)絡的接入控制與網(wǎng)絡提供的業(yè)務類型無關，即無論是有線接入業(yè)務或者是無線接入業(yè)務，或者其它形式的公眾以太接入業(yè)務，都采用一個通用的接入認證解決方案；電信級IP接入網(wǎng)絡要求對用戶進行嚴格的控制和管理，包括控制用戶對網(wǎng)絡的訪問、用戶身份識別；對于用戶來說，只需要面對單一的認證界面，用戶可以實現(xiàn)在多種網(wǎng)絡接入業(yè)務間漫游；對于新興業(yè)務的支持也是選擇認證技術時要考慮的一個重要因素，認證技術必須保證在現(xiàn)有的認證體系下對新興業(yè)務的支持；對于運營商而言，通用的認證解決方案可以簡化遠程接入VPN的安全管理，將用戶認證的范疇延伸到LAN范圍內(nèi)；適應電信級IP寬帶網(wǎng)接入控制需求的認證技術將簡化運營商網(wǎng)絡認證的體系結構，降低運營商用于培訓和維護的費用，減少運營成本。

　　認證技術分析

　　按照Internet網(wǎng)絡分層模型，在協(xié)議每一層都可以針對用戶或者設備進行網(wǎng)絡接入的認證、鑒權。一般來說根據(jù)認證發(fā)生所屬的網(wǎng)絡分層模型層次，可以將認證技術大致劃分為幾類，包括物理層認證、MAC層認證、IP層認證、UDP/TCP應用層認證。

　　802.11b采用典型的物理層認證。物理層認證的優(yōu)勢是，不需要改動上層MAC或者TCP/IP協(xié)議；缺點是需要對NIC和接入服務器的硬件進行改動，并且協(xié)議修改反應到設備支持的周期長（比如WEPv1.0），而且很難和AAA進行集成。

　　MAC層認證的代表技術是PPP和802.1x，該認證方式的優(yōu)點是不需要對設備的硬件進行改動，通過軟件升級就可以實現(xiàn)新的認證技術引入。協(xié)議反應周期短，可以和AAA進行快速有效的融合（通過EAP）。其缺點是需要對MAC層進行改動。

　　IP層認證不需要對客戶的MAC和TCP/IP層進行修改，其缺陷是在認證前需要向認證請求者開放一部分網(wǎng)絡訪問權限，為用戶分配地址?；贗P的認證一般不提供統(tǒng)計計費能力，擴展性不好。

　　UDP/TCP認證采用應用層認證，不需要對底層進行修改，一般采用令牌卡協(xié)議，在認證前需要開放部分網(wǎng)絡，沒有統(tǒng)計計費能力，擴展性不好。

　　綜合對比以上幾種認證方式，可以發(fā)現(xiàn)鏈路層認證的優(yōu)勢突出。其特點是快速、簡單和成本低廉。多數(shù)的鏈路層協(xié)議像PPP和IEEE802都可以支持基于鏈路層的認證技術。客戶在認證之前不需要進行服務器的定位，不需要獲得IP地址。網(wǎng)絡接入設備只需要有限的3層功能，可以輕易實現(xiàn)和AAA的結合，從而提供豐富、靈活的認證方式和計費手段。在多協(xié)議網(wǎng)絡環(huán)境中，基于鏈路層的認證可以實現(xiàn)對上層應用的完全透明，也就是說可以實現(xiàn)和新的網(wǎng)絡層協(xié)議（比如IPv6）的兼容。鏈路層認證處理減小了認證包處理的延時，保證了關鍵性應用的服務質(zhì)量。 文章錄入：csh    責任編輯：csh 

最新評論