建认证体系确保宽带接入运行质量
时间:01-05
来源:人民邮电报
点击:
对于以太网络中多数业务来说,运营商无法从物理层面上完全控制客户端设备或者媒介。运营商要实现对宽带业务的可运营、可管理,就必须从逻辑上对用户或者用户设备进行控制。该控制过程主要通过对用户和用户设备的认证和授权完成。一般来说,需要进行认证和授权的业务种类包括:提供给多用户系统的以太城域网业务,这些业务包括(典型的TLS业务,L2或者是L3的VPN),在该业务组网环境中,客户前端交换机由同一建筑物内的多个用户共享;在以IEEE 802.11a和IEEE 802.1b提供无线以太接入的热点地区,像机场、商场、学校和餐厅等,需要基于每个用户设备或者用户进行接入认证,防止非授权用户接入;基于ATM RFC 1483的xDSL业务和IP以太接入网;基于EFM(Ethernet in the First Mile,IEEE 802.3ah)EPON接入和EoVDSL等业务;基于以太的Cable的共享RF信道接入方式。
电信级IP宽带网用户接入认证技术需求分析
面临着基于以太业务应用的日益广泛,迫切需要一种适应以太网多业务承载需求,兼顾以太接入灵活性和扩展性好的特点,并能确保以太接入安全性、支持运营商对接入用户进行控制和管理的接入认证技术。
以太技术和接入认证技术的结合,要求网络接入控制完成以下功能:
网络的接入控制与网络提供的业务类型无关,即无论是有线接入业务或者是无线接入业务,或者其它形式的公众以太接入业务,都采用一个通用的接入认证解决方案;电信级IP接入网络要求对用户进行严格的控制和管理,包括控制用户对网络的访问、用户身份识别;对于用户来说,只需要面对单一的认证界面,用户可以实现在多种网络接入业务间漫游;对于新兴业务的支持也是选择认证技术时要考虑的一个重要因素,认证技术必须保证在现有的认证体系下对新兴业务的支持;对于运营商而言,通用的认证解决方案可以简化远程接入VPN的安全管理,将用户认证的范畴延伸到LAN范围内;适应电信级IP宽带网接入控制需求的认证技术将简化运营商网络认证的体系结构,降低运营商用于培训和维护的费用,减少运营成本。
认证技术分析
按照Internet网络分层模型,在协议每一层都可以针对用户或者设备进行网络接入的认证、鉴权。一般来说,根据认证发生所属的网络分层模型层次,可以将认证技术大致划分为物理层认证、MAC层认证、IP层认证、UDP/TCP应用层认证。
802.11b采用典型的物理层认证。物理层认证的优势是,不必改动上层MAC或者TCP/IP协议。缺点是需要对NIC和接入服务器的硬件进行改动,并且协议修改反应到设备支持的周期长(比如WEP v1.0),而且很难和AAA进行集成。
MAC层认证的代表技术是PPP和802.1x,该认证方式的优点是不需要对设备的硬件进行改动,通过软件升级就可以实现新的认证技术引入。协议反应周期短,可以和AAA进行快速有效的融合(通过EAP)。其缺点是需要对MAC层进行改动。
IP层认证不需要对客户的MAC和TCP/IP层进行修改,其缺陷是在认证前需要向认证请求者开放一部分网络访问权限,为用户分配地址。基于IP的认证一般不提供统计计费能力,扩展性不好。
UDP/TCP认证采用应用层认证,不需要对底层进行修改,一般采用令牌卡协议,在认证前需要开放部分网络,没有统计计费能力,扩展性不好。
综合对比以上几种认证方式,可以发现链路层认证的优势突出。其特点是快速、简单和成本低廉。多数的链路层协议,像PPP和IEEE 802都可以支持基于链路层的认证技术。客户在认证之前无须进行服务器的定位,不必获得IP地址。网络接入设备只需要有限的3层功能,可以轻易地实现和AAA的结合,从而提供丰富、灵活的认证方式和计费手段。在多协议网络环境中,基于链路层的认证可以实现对上层应用的完全透明,也就是说,可以实现和新的网络层协议(比如IPv6)的兼容。链路层认证处理缩短了认证包处理的时间,保证了关键性应用的服务质量。
电信级IP宽带网用户接入认证技术需求分析
面临着基于以太业务应用的日益广泛,迫切需要一种适应以太网多业务承载需求,兼顾以太接入灵活性和扩展性好的特点,并能确保以太接入安全性、支持运营商对接入用户进行控制和管理的接入认证技术。
以太技术和接入认证技术的结合,要求网络接入控制完成以下功能:
网络的接入控制与网络提供的业务类型无关,即无论是有线接入业务或者是无线接入业务,或者其它形式的公众以太接入业务,都采用一个通用的接入认证解决方案;电信级IP接入网络要求对用户进行严格的控制和管理,包括控制用户对网络的访问、用户身份识别;对于用户来说,只需要面对单一的认证界面,用户可以实现在多种网络接入业务间漫游;对于新兴业务的支持也是选择认证技术时要考虑的一个重要因素,认证技术必须保证在现有的认证体系下对新兴业务的支持;对于运营商而言,通用的认证解决方案可以简化远程接入VPN的安全管理,将用户认证的范畴延伸到LAN范围内;适应电信级IP宽带网接入控制需求的认证技术将简化运营商网络认证的体系结构,降低运营商用于培训和维护的费用,减少运营成本。
认证技术分析
按照Internet网络分层模型,在协议每一层都可以针对用户或者设备进行网络接入的认证、鉴权。一般来说,根据认证发生所属的网络分层模型层次,可以将认证技术大致划分为物理层认证、MAC层认证、IP层认证、UDP/TCP应用层认证。
802.11b采用典型的物理层认证。物理层认证的优势是,不必改动上层MAC或者TCP/IP协议。缺点是需要对NIC和接入服务器的硬件进行改动,并且协议修改反应到设备支持的周期长(比如WEP v1.0),而且很难和AAA进行集成。
MAC层认证的代表技术是PPP和802.1x,该认证方式的优点是不需要对设备的硬件进行改动,通过软件升级就可以实现新的认证技术引入。协议反应周期短,可以和AAA进行快速有效的融合(通过EAP)。其缺点是需要对MAC层进行改动。
IP层认证不需要对客户的MAC和TCP/IP层进行修改,其缺陷是在认证前需要向认证请求者开放一部分网络访问权限,为用户分配地址。基于IP的认证一般不提供统计计费能力,扩展性不好。
UDP/TCP认证采用应用层认证,不需要对底层进行修改,一般采用令牌卡协议,在认证前需要开放部分网络,没有统计计费能力,扩展性不好。
综合对比以上几种认证方式,可以发现链路层认证的优势突出。其特点是快速、简单和成本低廉。多数的链路层协议,像PPP和IEEE 802都可以支持基于链路层的认证技术。客户在认证之前无须进行服务器的定位,不必获得IP地址。网络接入设备只需要有限的3层功能,可以轻易地实现和AAA的结合,从而提供丰富、灵活的认证方式和计费手段。在多协议网络环境中,基于链路层的认证可以实现对上层应用的完全透明,也就是说,可以实现和新的网络层协议(比如IPv6)的兼容。链路层认证处理缩短了认证包处理的时间,保证了关键性应用的服务质量。
- 超宽带无线技术(09-07)
- 中国联通宽带光缆传输技术(01-06)
- 全面解析MMDS无线微波技术的应用与发展(01-10)
- 超宽带无线电中纳秒级脉冲产生研究(01-10)
- 演进中的VoIP来电ID技术 (01-11)
- 论超宽带技术UWB的基本特点以及其发展(01-22)