基于DHCP+的IP网络接入认证技术.pdfVIP

8 基于 DHCP+的 IP 网络接入认证技术 聂秀英 姚宏亮 关键词：接入认证 基于 EAP 的 DHCP 技术 1 概述 在用户接入 IP 网络或使用 IP 网络上的业务之前，对用户的身份进行认证 是目前为保证 IP 网络和 IP 网络业务安全性而普遍采用的方法之一。传统的接 入认证系统通常对认证流和媒体流不进行分离，换句话说认证流和媒体流通常 要经过类似于接入网关的同一个设备。这种实现方式对于传统的以文本为主要 传送内容的业务而言不会造成瓶颈，但随着视频信息在 IP 网络上所占的比例不 断提高，采用传统的认证系统体系架构的认证系统已经或正在成为阻碍宽带视 频业务发展的一个瓶颈。解决该问题的方法之一就是采用将认证流和媒体流相 分离的体系架构。本文介绍了基于 EAP 的动态地址分配扩展协议（DHCP+）IP 网接入认证鉴权技术以及据此制定的通信行业标准草案。 2 标准制定情况 业界一直非常重视制定 IP 网络接入认证、鉴权系统相关的标准。先后组织 制定了公众 IP 网络安全要求系列标准，主要包括“公众 IP 网络安全要求—基 于 Radius 的访问控制”、“公众 IP 网络安全要求—基于 Dimeter 的访问控制”、 “公众 IP 网络安全要求—基于证书的访问控制”和“公众 IP 网络安全要求— 基于 802.1X 的访问控制”等。这些标准部分解决了保证 IP 网络安全的系统的 标准化问题。 自 2002 年以来，我国河南网通在组建宽带互联网业务系统时选用了基于 EAP 的 DHCP 认证系统，完成对使用业务系统用户的接入认证以及 IP 网络地址 资源管理。该种将认证流和媒体流相分离的认证系统得到了使用者的好评。为 使该技术标准化以补充完善 IP 网络安全技术要求系列标准，信息产业部下达了 “基于 EAP 的动态地址分配扩展协议（DHCP+）IP 网接入认证鉴权技术要求” 标准项目（编号 2006H120）的制定任务。由信息产业部电信研究院牵头，润汇 科技有限公司、上海贝尔公司、华为技术有限公司等单位参加了标准的起草工 作。2007 年 12 月在 CCSA TC1 第 11 次全会上通过了该标准草案的审查，目前 9 标准草案报批稿已经完成，已上报国家有关管理部门待批。 3 主要技术思想 在 IPv4 的网络中普遍采用 DHCP 协议为使用网络的设备分配动态的 IP 地 址。若在进行地址分配之前将可用的网络地址分成多类，同时为每类地址与某 种特定的应用或业务关联起来，在给用户分配这些地址之前使用各种认证协议 对用户身份进行认证，并对用户使用特定业务或应用的权限进行鉴权。便可以 实现对地址资源的有效管理和应用，同时完成区分用户业务权限的功能。 在用户进行媒体内容发送和接收等正常业务使用时,在用户和系统之间建 立一个心跳会话,根据业务的需求确定用户终端需要向系统发送心跳信息的周 期,以实现系统对用户的管理和计费等功能。在用户使用业务时采用传统的业务 协议来进行。在对用户进行认证和鉴权时采用传统的认证和鉴权协议，如 Radius 等。 4 技术特点 标准草案由 7 个章节和 7 个资料性的附录组成，主要规定了基于 EAP 的 DHCP+ IP 网络接入认证系统的体系结构、组网方式、通信流程，通信协议以及 对相关设备的要求。本标准适用于链路层采用 IEEE 802 局域网技术、xDSL 技 术和 HFC 技术的公用 IP 接入网，可作为基于 EAP 的 DHCP+认证、鉴权软件和设 备的研制、生产、检验和工程建设的技术依据。 4.1 基于 EAP 的 DHCP+ IP 网络接入认证系统体系结构 图 1是基于 EAP 的 DHCP+ IP 网络接入认证系统体系结构。 使用基于 EAP 的 DHCP+ IP 网络接入认证系统对用户进行认证时，DHCP 服 务器首先为用户分配一受限 IP 地址，使得用户可以与认证系统之间交互认证信 息。认证系统在通过对用户身份的认证以及用户使用权限的鉴权后通知 DHCP 服务器根据事先配置好的地址使用策略为用户分配一个可以使用其所拟使用的 业务的非受限 IP 地址。在用户获得了非受限 IP 地址后与认证系统之间建立一 个心跳会话，以供认证计费系统对用户实施计费。在用户停止使用业务后，停 止对用户的计费，同时收回为用户分配的非受限 IP 地址，供其他用户申请时使 用，为用户分配一个受限 IP 地址。若用户还需要使用其他业务则重复上面的认 证过程。 10 图 1 基于 EAP 的 DHCP+ IP 网络接入认证系统体系结构 4.2 通信流程 用户使用基于 EAP 的 DHCP+认证鉴权系统时包括如下 5 个阶段。后 3 个阶 段是