下一代网络(NGN)与认证技术

进行了任何认证。但实际上由于用户需要对使用网络的用户实施计费就必须记录与使用者相关的信息。对于主线固定电话，每一部固定电话均对应一个电话号码，同时固定电话与电话交换局之间通过一条用户专用线路连接。在某一固定电话在使用过程中，与其相连的电话交换机便可识别其电话号码，并根据该电话号码来认证该固定电话并根据主叫号码和被叫号码对主叫用户实施计费。而使用电话的双方在进行通话初期由通话双方通过交换对方的身份而进行相互的认证。电话网络根据固定电话的号码对电话设备进行认证，而使用通信业务的对等体则通过双方之间的对话来对对方进行认证。

　　（2）移动电话网络中的认证

　　与固定电话网络一样，每一个移动电话终端对应一个固定的移动电话号码。根据移动电话号码对使用终端进行认证。与固定电话网络不同点在于在每一个移动通信终端中包含的SIM卡中存储与移动电话相关的信息，在用户使用移动终端时，通过将SIM卡中存储的信息发送到通信网络来实施认证。又由于移动通信网络为用户提供移动和漫游的便利，其网络的计费和认证系统较固定电话网络复杂一些。但二者均不需要由用户显式地提供用于认证的信息。

　　（3）对智能网络业务用户或预付费用户的认证

　　在现有的固定电话网络和移动电话网络均向用户提供智能业务和用户预付费业务。对于800号智能业务，通信网络运营者主要是通过将800号码分配给相应的用户来实施对800号被叫用户的号码进行认证并实施计费，而对预付费业务可以采用根据预付费卡的序列号和密码实施认证和计费，在具体实施时可以将预付费卡号与主叫号码绑定来减少用户输入预付费卡的序列号和密码的麻烦。但其认证和计费方式依然与采用预付费卡的序列号和密码进行认证和计费的规则相同。

　　3.2　用于IP网络的认证技术

　　由于IP网络通常采用动态地址分配的方式向使用网络的用户提供IP地址信息，因而在IP网络中采用类似于电话交换网络中所采用的主叫线标识的地址对用户进行认证是不可行的。下面简单介绍在基于IP协议的网络上使用的Radius、Diameter、PKIX对用户进行认证的认证技术。

　　（1）RADIUS

　　RADIUS（用户远程拨号认证服务）协议是由IETF制定的用于对远程拨入方式连接到IP网络时对用户进行认证的协议。该协议由IETF于1997年推出，后经两次修订，目前其标准号为RFC 2865。该协议主要以客户端/服务器的方式对作为客户端的用户进行认证，而在作为服务器的一端有包含相关信息的数据库相连，实现对用户所提交相关信息进行认证以确定用户是否可以通过认证。由于Radius协议本身的简单性及可扩展性，Radius协议被广泛应用于网络接入认证以及业务层认证。目前IETF已经开始着手扩展Radius协议使其可应用于如IP电话等特定的业务。同时Radius协议对用户连接到网络的方式并没有限制，换句话说，用不同的接入方式（如PPP协议、IEEE 802.1X协议等）连接到网络上的用户均可以使用Radius协议进行认证。通过扩展协议（EAP）的使用进行认证的标识符也从过去的使用用户名加密码扩展到使用数字证书作为用户标识。

　　（2）DIAMETER

　　Diameter是对Radius协议的扩展，主要是为网络接入、移动IP等具体应用中使用的认证、授权、计费提供一个基本的框架，它可以用于本地及漫游情况下的认证、授权与计费。在由3GPP所制定的IMS系统中将Diameter协议作为认证、授权、计费的候选协议，但由于目前移动IP以及IMS仅在一定范围内试验或应用，并没有广泛地应用。为此Diameter协议的应用也没有大规模地采用。与Radius协议相比，Diameter协议在使用时除了Radius协议使用时采用的客户端、服务器外还需要网络代理、重定向代理、变换代理、中继器、Diameter节点等实现用户漫游认证等功能。Diameter协议在使用过程中需要与其他协议相互配合。

　　（3）PKI

　　PKI（公开密钥基础设施）与Radius协议和Diameter协议不同，它并不是采用客户机/服务器方式进行，即服务器一方对客户端一方实施认证、授权和计费，而是采用组建由认证方和被认证方均信任的第三方机构（认证中心）通过向所服务的用户提供基于公开密钥加密的数字证书并管理数字证书的生成、颁发以及撤消等，并提供证书废弃列表，供基于数字证书进行认证的各方查询数字证书的有效性，由认证方和被认证方相互认证。PKI为完成认证而组建的基础设施。PKI相关的标准建议由IETF PKIX工作组制订，有关数字证书的标准由ITU-T SG17所制订的ITU-T建议书X.509所规定。

由于数字证书采用了非对称密钥加密的方式，是目前情况下安全保密领域普遍认为效果较好而且使用广泛