- 1、本文档共5页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
基于DHCP的IP网络接入认证技术
8
基于 DHCP+的 IP 网络接入认证技术
聂秀英 姚宏亮
关键词:接入认证 基于 EAP 的 DHCP 技术
1 概述
在用户接入 IP 网络或使用 IP 网络上的业务之前,对用户的身份进行认证
是目前为保证 IP 网络和 IP 网络业务安全性而普遍采用的方法之一。传统的接
入认证系统通常对认证流和媒体流不进行分离,换句话说认证流和媒体流通常
要经过类似于接入网关的同一个设备。这种实现方式对于传统的以文本为主要
传送内容的业务而言不会造成瓶颈,但随着视频信息在 IP 网络上所占的比例不
断提高,采用传统的认证系统体系架构的认证系统已经或正在成为阻碍宽带视
频业务发展的一个瓶颈。解决该问题的方法之一就是采用将认证流和媒体流相
分离的体系架构。本文介绍了基于 EAP 的动态地址分配扩展协议(DHCP+)IP
网接入认证鉴权技术以及据此制定的通信行业标准草案。
2 标准制定情况
业界一直非常重视制定 IP 网络接入认证、鉴权系统相关的标准。先后组织
制定了公众 IP 网络安全要求系列标准,主要包括“公众 IP 网络安全要求—基
于 Radius 的访问控制”、“公众 IP 网络安全要求—基于 Dimeter 的访问控制”、
“公众 IP 网络安全要求—基于证书的访问控制”和“公众 IP 网络安全要求—
基于 802.1X 的访问控制”等。这些标准部分解决了保证 IP 网络安全的系统的
标准化问题。
自 2002 年以来,我国河南网通在组建宽带互联网业务系统时选用了基于
EAP 的 DHCP 认证系统,完成对使用业务系统用户的接入认证以及 IP 网络地址
资源管理。该种将认证流和媒体流相分离的认证系统得到了使用者的好评。为
使该技术标准化以补充完善 IP 网络安全技术要求系列标准,信息产业部下达了
“基于 EAP 的动态地址分配扩展协议(DHCP+)IP 网接入认证鉴权技术要求”
标准项目(编号 2006H120)的制定任务。由信息产业部电信研究院牵头,润汇
科技有限公司、上海贝尔公司、华为技术有限公司等单位参加了标准的起草工
作。2007 年 12 月在 CCSA TC1 第 11 次全会上通过了该标准草案的审查,目前
9
标准草案报批稿已经完成,已上报国家有关管理部门待批。
3 主要技术思想
在 IPv4 的网络中普遍采用 DHCP 协议为使用网络的设备分配动态的 IP 地
址。若在进行地址分配之前将可用的网络地址分成多类,同时为每类地址与某
种特定的应用或业务关联起来,在给用户分配这些地址之前使用各种认证协议
对用户身份进行认证,并对用户使用特定业务或应用的权限进行鉴权。便可以
实现对地址资源的有效管理和应用,同时完成区分用户业务权限的功能。
在用户进行媒体内容发送和接收等正常业务使用时,在用户和系统之间建
立一个心跳会话,根据业务的需求确定用户终端需要向系统发送心跳信息的周
期,以实现系统对用户的管理和计费等功能。在用户使用业务时采用传统的业务
协议来进行。在对用户进行认证和鉴权时采用传统的认证和鉴权协议,如
Radius 等。
4 技术特点
标准草案由 7 个章节和 7 个资料性的附录组成,主要规定了基于 EAP 的
DHCP+ IP 网络接入认证系统的体系结构、组网方式、通信流程,通信协议以及
对相关设备的要求。本标准适用于链路层采用 IEEE 802 局域网技术、xDSL 技
术和 HFC 技术的公用 IP 接入网,可作为基于 EAP 的 DHCP+认证、鉴权软件和设
备的研制、生产、检验和工程建设的技术依据。
4.1 基于 EAP 的 DHCP+ IP 网络接入认证系统体系结构
图 1是基于 EAP 的 DHCP+ IP 网络接入认证系统体系结构。
使用基于 EAP 的 DHCP+ IP 网络接入认证系统对用户进行认证时,DHCP 服
务器首先为用户分配一受限 IP 地址,使得用户可以与认证系统之间交互认证信
息。认证系统在通过对用户身份的认证以及用户使用权限的鉴权后通知 DHCP
服务器根据事先配置好的地址使用策略为用户分配一个可以使用其所拟使用的
业务的非受限 IP 地址。在用户获得了非受限 IP 地址后与认证系统之间建立一
个心跳会话,以供认证计费系统对用户实施计费。在用户停止使用业务后,停
止对用户的计费,同时收回为用户分配的非受限 IP 地址,供其他用户申请时使
用,为用户分配一个受限 IP 地址。若用户还需要使用其他业务则重复上面的认
证过程。
10
图 1 基于 EAP 的 DHCP+ IP 网络接入认证系统体系结构
4.2 通信流程
用户使用基于 EAP 的 DHCP+认证鉴权系统时包括如下 5 个阶段。后 3 个阶
段是
您可能关注的文档
- 云南省地质矿产勘查院.doc
- 云南师范大学2017年运动训练、武术与民族传统体育专业招生简章.pdf
- 二次回路保护芯片保险丝的发展ChipFuseDevelopmentsforSecondaryCircuit.pdf
- 产品简介AMDRadeonE6760.pdf
- 仲裁申请书(格式).doc
- 互联网金融对银行传统网点的影响及转型策略研究.pdf
- 体育学院民族传统体育课程实施方案(试行).pdf
- 交易所移动信息系统关键业务与技术探讨.pdf
- 使用红外技术为树木体检.pdf
- 使用软件优化的闪存存储,使数据中心的性能和效率上一个新台阶.pdf
- 幼儿教师资格证(考试资料)《幼儿保健知识与能力》新版初级练习卷有答案与.docx
- (附答案)川农12月《中药化学》作业考核-.docx
- (附答案)川农12月《园林植物保护学(本科)》作业考核-.docx
- (附答案)川农12月《有机化学(专科)》作业考核-.docx
- (附答案)川农12月《植物保护学(本科)》作业考核-.docx
- (附答案)东师《教育心理学》在线作业2-1(1).docx
- (附答案)川农12月《药剂学》作业考核-.docx
- (附答案)川农12月《配方饲料制造工艺与技术(专科)》作业考核-.docx
- 幼儿教师资格证(考试资料)《幼儿保健知识与能力》新版基础知识题库带解析.docx
- 幼儿教师资格证(考试资料)《幼儿保健知识与能力》基础知识模拟押题卷.docx
文档评论(0)