论文部分内容阅读
摘要:通过对BAS设备常用的认证技术的介绍,使得维护人员对宽带网络认证技术的原理以及特点有比较清楚的认识,在业务发展时,针对不同的用户应用采取合理灵活的认证方式。
关键词:BAS;认证;原理;业务
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)36-2877-03
Discuss the Principle and Characteristics of the BAS Equipment Common Authentication Technology
WANG Lei
(China Tietong Wuhu Branch, Wuhu 241000, China)
Abstract: Through the introducing of common authentication technology of the BAS equipment, help the maintenance staff clearly understanding to the principle of the broadba nd network authentication technology as well as the characteristic. When business development, adopts the reasonable flexible authentication way in view of the different user application.
Key words: BAS(broadband access server); authentication; principle; business
1 前言
BAS设备最重要的业务功能就是对用户的认证、授权和计费。这三个功能相互关联,又各自独立。其中,认证是识别用户的技术,它作为授权和计费的基础,是最重要的环节。
对用户的认证实质上是对用户标识的认证,这就要求用户具有一个唯一且有效的用户标识,这个标识可以是地址标识、账号或者连接端口的VLAN标识。将地址、账号同VLAN ID标识进行绑定组合使用,可以得到全程有效的用户标识。具体实现中,可以通过在靠近用户的交换机上使用端口VLAN,为不同的用户打上相应的VLAN ID,则VLAN ID将进化为唯一的用户标识。利用这样的VLAN ID,BAS设备可以精确的识别每一个用户,并对用户实施完备的控制。
BAS采用的经典认证技术有PPPoE认证、WEB认证以及802.1x认证,下面我们将对这三种认证技术的原理和特点做一个简单的介绍:
2 PPPOE认证
2.1 PPPoE接入认证原理
PPPoE是利用以太网发送PPP包的传输方法和支持在同一以太网上建立多个PPP连接的接入技术。其结合了以太网和PPP连接的综合属性。 PPP协议是一种点到点的链路层协议,它提供了点到点的一种封装、传递数据的一种方法。PPP协议一般包括三个协商阶段:LCP(链路控制协议)阶段,认证阶段(比如CHAP/PAP),NC(网络层控制协议,比如IPCP)阶段。拨号后,用户计算机和局方的接入服务器在LCP阶段协商底层链路参数,然后在认证阶段进行用户计算机将用户名和密码发送给接入服务器认证,接入服务器可以进行本地认证,可以通过RADIUS协议将用户名和密码发送给AAA服务器进行认证。认证通过后,在NCP(IPCP)协商阶段,接入服务器给用户计算机分配网络层参数如IP地址等。经过PPP的三个协商阶段后,用户就可以发送和接受网络报文,用户收发的所有网络层报文都封装在PPP报文中。 PPP协议的一个重要的功能是提供了身份验证功能。以太网是一种广播网络,其缺点是通讯双方无法相互验证对方身份,通讯是不安全的。PPP协议提供了通讯双方身份验证的功能,但是PPP协议是一种点对点的协议,协议中没有提供地址信息。如果PPP应用在以太网上,必须使用PPPoE再进行一次封装,PPPoE协议提供了在以太网广播链路上进行点对点通讯的能力。
2.2 认证流程
以PPP-CHAP为例,PPPoE用户的接入流程如图1。
1) PPPOE客户端向PPPOE服务器设备发送一个PADI广播报文,开始PPPoE接入。
2) PPPOE服务器向客户端发送PADO报文。
3) 客户端根据回应,发起PADR请求给PPPOE服务器。
4) PPPOE服务器产生一个session id,通过PADS发给客户端。
5) 客户端和PPPOE服务器之间进行PPP的LCP协商,建立链路层通信。同时,协商使用CHAP认证方式。
6) PPPOE服务器通过Challenge报文发送给认证客户端,提供一个128bit的Challenge。
7) 客户端收到Challenge报文后,将密码和Challenge做MD5算法后的,在Response回应报文中把它发送给PPPOE服务器。
8) PPPOE服务器将Challenge、Challenge-Password和用户名一起送到RADIUS用户认证服务器,由RADIUS用户认证服务器进行认证。
9) RADIUS用户认证服务器根据用户信息判断用户是否合法,然后回应认证成功/失败报文到PPPOE服务器。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束。
10) PPPOE服务器将认证结果返回给客户端。
11) 用户进行NCP(如IPCP)协商,通过PPPOE服务器获取到规划的IP地址等参数。
12) 认证如果成功,PPPOE服务器发起计费开始请求给RADIUS用户认证服务器。
13) RADIUS用户认证服务器回应计费开始请求报文。
14) 用户此时通过认证,并且获得了合法的权限,可以正常开展网络业务。
15) 当用户希望终止网络业务的时候,同样也可以通过PPPoE断开网络连接,此时会按照12)、13)中的格式发送计费终止报文。
图1 PPPoE认证流程
2.3 PPPoE认证的特点
由于PPP协议提供了通讯双方身份验证的功能,因此安全性高;计费方式和认证方式灵活;支持的客户端前置设备广泛;局端的配置相对简单。但是由于PPP协议是点到点的协议,因此对组播支持不是很好,同时客户端需安装PPPoE拨号软件,运营商维护成本加大;客户端CPU的负荷随着流量增大而加重,影响高流量的多媒体应用。尽管如此,由于PPP协议的安全性、健壮性等特点,目前被广泛与用于ADSL接入认证中。
3 802.1x协议认证
3.1 802.1x认证技术简介
802.1X協议是由(美)电气与电子工程师协会提出,刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议,其全称为基于端口的访问控制协议。802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段,达到了接受合法用户接入,保护网络安全的目的。 802.1x认证,又称EAPOE认证,主要用于宽带IP城域网。
3.2 802.1x协议工作机制
在802.1X协议中,只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权:
1) 客户端:一般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求。
2) 认证系统:在以太网系统中指认证交换机,其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。
3) 认证服务器:通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的网络服务,并根据认证结果向交换机发出打开或保持端口关闭的状态。
在具有802.1X认证功能的网络系统中,当一个用户需要对网络资源进行访问之前必须先要完成以下的认证过程。
1) 当用户有上网需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。
2) 交换机收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。
3) 客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。
4) 认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给交换机,由交换机传给客户端程序。
5) 客户端程序收到由交换机传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过交换机传给认证服务器。
6) 认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,反馈认证失败的消息,并保持交换机端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。
这里要提出的一个值得注意的地方是:在客户端与认证服务器交换口令信息的时候,没有将口令以明文直接送到网络上进行传输,而是对口令信息进行了不可逆的加密算法处理,使在网络上传输的敏感信息有了更高的安全保障,杜绝了由于下级接入设备所具有的广播特性而导致敏感信息泄漏的问题。
3.3 802.1x认证技术的特点
在802.1X解决方案中,通常采用基于MAC地址的端口访问控制模式。采用此种模式将会带来降低用户建网成本、降低认证服务器性能要求的优点。它仅仅关注端口的打开与关闭,认证通过后不再进行合法性检查。是各种认证技术中最简化的实现方案。
802.1x认证技术的操作对象为端口,合法用户接入端口之后,端口处于打开状态,因此其它用户(合法或非法)通过该端口时,不需认证即可接入网络。如果802.1x认证技术用于宽带IP城域网的认证,就存在端口打开之后,其它用户(合法或非法)可自由接入和无法控制的问题。对于此种访问控制方式,应当采用相应的手段来防止由于MAC、IP地址假冒所发生的网络安全问题。
4 WEB认证
4.1 WEB认证简介
WEB认证最初是一种业务类型的认证,通过启动一个WEB页面输入用户名/密码,实现用户认证。它的特点是:在宽带接入网中设置认证服务器,用户端需要启动IE等浏览器完成与认证服务器的交互。用户认证成功后通过DHCP获得合法的IP地址,认证服务器控制网络交换机将用户划入设定好的VLAN中接入宽带网。目前用的最多的是在一些门户网站,例如新浪、搜狐等,通过WEB页面实现对用户是否有使用网络权限的认证。
4.2 WEB认证流程
基于WEB的认证实际上是一系列认证方式的统称。目前,各个厂商在用户与认证服务器的交互过程、对交换机控制方式上不尽相同,暂时没有统一的标准,但其认证过程可以归纳如下:
1) 用户机器上电启动,系统程序根据配置,通过DHCP由BAS做DHCP-Relay,向DHCP Server要IP地址(私网或公网);
2) BAS為该用户构造对应表项信息(基于端口号、IP),添加用户ACL服务策略(让用户只能访问portal server和一些内部服务器,个别外部服务器如DNS);
3) Portal server向用户提供认证页面。在该页面中,用户输入账号和口令,并单击“log in”按钮,也可不输入由账号和口令,直接单击“log in”按钮;
4) 该按钮启动portal server上的Java程序,该程序将用户信息(IP地址、账号和口令)送给网络中心设备BAS;
5) BAS利用IP地址将到用户的二层地址、物理端口号(如Vlan ID、ADSL、PVC ID、PPP session)利用这些信息,对用户的合法性进行检查。如果用户输入了账号,则认为是卡号用户,使用用户输入的账号和口令到Radius Server对用户进行认证。如果用户未输入账号,则认为用户是固定用户,网络设备利用Vlan ID(或PVC ID)查用户表得到用户的账号和口令,将账号送到Radius Server进行认证;
6) Radius Server返回认证结果给BAS;
7) 认证通过后,BAS修改该用户的ACL,用户可以访问外部因特网或特定的网络服务。
8) 用户离开网络前,连接到portal server上,单击“断开网络”按钮。系统停止计费,删除用户的ACL和转发信息,限制用户不能访问外部网络。
9) 在以上过程中,要注意检测用户非正常离开网络的情况,如用户主机死机、网络端掉、直接关机等。
4.3 Web认证的特点
优点:
1) 不需要特殊的客户端软件,降低了网络维护工作量;
2) 可以提供Portal等业务认证;
缺点:
1) WEB承载在7层协议上,对于设备的要求较高,建网成本高;
2) 标准化和开放性差,在认证设备和WEB之间要采用私有的通讯协议;
3) WEB服务器对于认证用户和非认证用户都是可达的,易受恶意攻击,安全性差;
4) 用户连接性差,不容易检测用户离线,基于时间的计费较难实现;
5) 易用性不够好,用户在访问网络前,不管是TELNET、FTP还是其它业务,必须使用浏览器进行WEB认证;
6) IP地址的分配在用户认证前,如果用户不是上网用户,则会造成地址的浪费,而且不便于多ISP的支持;
7) 认证前后业务流和控制流无法区分,需要消耗大量的CPU资源。
5 结束语
以上三种认证技术各有特点,应用场合不同,无优劣之分。通常,要求BAS能够同时支持以上三种通用的认证方式,以适应不同客户群的需要。作为运营商应选择合适的接入认证技术,制定灵活的资费政策,为用户提供多样化的宽带业务。
参考文献:
[1] 李学军,李洪.宽带城域网的优化策略与实践[M].北京:人民邮电出版社,2002:121-127.
[2] 蔡康,朱英军.IP宽带业务与运营[M].北京:人民邮电出版社,2003:95-105.
关键词:BAS;认证;原理;业务
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)36-2877-03
Discuss the Principle and Characteristics of the BAS Equipment Common Authentication Technology
WANG Lei
(China Tietong Wuhu Branch, Wuhu 241000, China)
Abstract: Through the introducing of common authentication technology of the BAS equipment, help the maintenance staff clearly understanding to the principle of the broadba nd network authentication technology as well as the characteristic. When business development, adopts the reasonable flexible authentication way in view of the different user application.
Key words: BAS(broadband access server); authentication; principle; business
1 前言
BAS设备最重要的业务功能就是对用户的认证、授权和计费。这三个功能相互关联,又各自独立。其中,认证是识别用户的技术,它作为授权和计费的基础,是最重要的环节。
对用户的认证实质上是对用户标识的认证,这就要求用户具有一个唯一且有效的用户标识,这个标识可以是地址标识、账号或者连接端口的VLAN标识。将地址、账号同VLAN ID标识进行绑定组合使用,可以得到全程有效的用户标识。具体实现中,可以通过在靠近用户的交换机上使用端口VLAN,为不同的用户打上相应的VLAN ID,则VLAN ID将进化为唯一的用户标识。利用这样的VLAN ID,BAS设备可以精确的识别每一个用户,并对用户实施完备的控制。
BAS采用的经典认证技术有PPPoE认证、WEB认证以及802.1x认证,下面我们将对这三种认证技术的原理和特点做一个简单的介绍:
2 PPPOE认证
2.1 PPPoE接入认证原理
PPPoE是利用以太网发送PPP包的传输方法和支持在同一以太网上建立多个PPP连接的接入技术。其结合了以太网和PPP连接的综合属性。 PPP协议是一种点到点的链路层协议,它提供了点到点的一种封装、传递数据的一种方法。PPP协议一般包括三个协商阶段:LCP(链路控制协议)阶段,认证阶段(比如CHAP/PAP),NC(网络层控制协议,比如IPCP)阶段。拨号后,用户计算机和局方的接入服务器在LCP阶段协商底层链路参数,然后在认证阶段进行用户计算机将用户名和密码发送给接入服务器认证,接入服务器可以进行本地认证,可以通过RADIUS协议将用户名和密码发送给AAA服务器进行认证。认证通过后,在NCP(IPCP)协商阶段,接入服务器给用户计算机分配网络层参数如IP地址等。经过PPP的三个协商阶段后,用户就可以发送和接受网络报文,用户收发的所有网络层报文都封装在PPP报文中。 PPP协议的一个重要的功能是提供了身份验证功能。以太网是一种广播网络,其缺点是通讯双方无法相互验证对方身份,通讯是不安全的。PPP协议提供了通讯双方身份验证的功能,但是PPP协议是一种点对点的协议,协议中没有提供地址信息。如果PPP应用在以太网上,必须使用PPPoE再进行一次封装,PPPoE协议提供了在以太网广播链路上进行点对点通讯的能力。
2.2 认证流程
以PPP-CHAP为例,PPPoE用户的接入流程如图1。
1) PPPOE客户端向PPPOE服务器设备发送一个PADI广播报文,开始PPPoE接入。
2) PPPOE服务器向客户端发送PADO报文。
3) 客户端根据回应,发起PADR请求给PPPOE服务器。
4) PPPOE服务器产生一个session id,通过PADS发给客户端。
5) 客户端和PPPOE服务器之间进行PPP的LCP协商,建立链路层通信。同时,协商使用CHAP认证方式。
6) PPPOE服务器通过Challenge报文发送给认证客户端,提供一个128bit的Challenge。
7) 客户端收到Challenge报文后,将密码和Challenge做MD5算法后的,在Response回应报文中把它发送给PPPOE服务器。
8) PPPOE服务器将Challenge、Challenge-Password和用户名一起送到RADIUS用户认证服务器,由RADIUS用户认证服务器进行认证。
9) RADIUS用户认证服务器根据用户信息判断用户是否合法,然后回应认证成功/失败报文到PPPOE服务器。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束。
10) PPPOE服务器将认证结果返回给客户端。
11) 用户进行NCP(如IPCP)协商,通过PPPOE服务器获取到规划的IP地址等参数。
12) 认证如果成功,PPPOE服务器发起计费开始请求给RADIUS用户认证服务器。
13) RADIUS用户认证服务器回应计费开始请求报文。
14) 用户此时通过认证,并且获得了合法的权限,可以正常开展网络业务。
15) 当用户希望终止网络业务的时候,同样也可以通过PPPoE断开网络连接,此时会按照12)、13)中的格式发送计费终止报文。
图1 PPPoE认证流程
2.3 PPPoE认证的特点
由于PPP协议提供了通讯双方身份验证的功能,因此安全性高;计费方式和认证方式灵活;支持的客户端前置设备广泛;局端的配置相对简单。但是由于PPP协议是点到点的协议,因此对组播支持不是很好,同时客户端需安装PPPoE拨号软件,运营商维护成本加大;客户端CPU的负荷随着流量增大而加重,影响高流量的多媒体应用。尽管如此,由于PPP协议的安全性、健壮性等特点,目前被广泛与用于ADSL接入认证中。
3 802.1x协议认证
3.1 802.1x认证技术简介
802.1X協议是由(美)电气与电子工程师协会提出,刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议,其全称为基于端口的访问控制协议。802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段,达到了接受合法用户接入,保护网络安全的目的。 802.1x认证,又称EAPOE认证,主要用于宽带IP城域网。
3.2 802.1x协议工作机制
在802.1X协议中,只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权:
1) 客户端:一般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求。
2) 认证系统:在以太网系统中指认证交换机,其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。
3) 认证服务器:通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的网络服务,并根据认证结果向交换机发出打开或保持端口关闭的状态。
在具有802.1X认证功能的网络系统中,当一个用户需要对网络资源进行访问之前必须先要完成以下的认证过程。
1) 当用户有上网需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。
2) 交换机收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。
3) 客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。
4) 认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给交换机,由交换机传给客户端程序。
5) 客户端程序收到由交换机传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过交换机传给认证服务器。
6) 认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,反馈认证失败的消息,并保持交换机端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。
这里要提出的一个值得注意的地方是:在客户端与认证服务器交换口令信息的时候,没有将口令以明文直接送到网络上进行传输,而是对口令信息进行了不可逆的加密算法处理,使在网络上传输的敏感信息有了更高的安全保障,杜绝了由于下级接入设备所具有的广播特性而导致敏感信息泄漏的问题。
3.3 802.1x认证技术的特点
在802.1X解决方案中,通常采用基于MAC地址的端口访问控制模式。采用此种模式将会带来降低用户建网成本、降低认证服务器性能要求的优点。它仅仅关注端口的打开与关闭,认证通过后不再进行合法性检查。是各种认证技术中最简化的实现方案。
802.1x认证技术的操作对象为端口,合法用户接入端口之后,端口处于打开状态,因此其它用户(合法或非法)通过该端口时,不需认证即可接入网络。如果802.1x认证技术用于宽带IP城域网的认证,就存在端口打开之后,其它用户(合法或非法)可自由接入和无法控制的问题。对于此种访问控制方式,应当采用相应的手段来防止由于MAC、IP地址假冒所发生的网络安全问题。
4 WEB认证
4.1 WEB认证简介
WEB认证最初是一种业务类型的认证,通过启动一个WEB页面输入用户名/密码,实现用户认证。它的特点是:在宽带接入网中设置认证服务器,用户端需要启动IE等浏览器完成与认证服务器的交互。用户认证成功后通过DHCP获得合法的IP地址,认证服务器控制网络交换机将用户划入设定好的VLAN中接入宽带网。目前用的最多的是在一些门户网站,例如新浪、搜狐等,通过WEB页面实现对用户是否有使用网络权限的认证。
4.2 WEB认证流程
基于WEB的认证实际上是一系列认证方式的统称。目前,各个厂商在用户与认证服务器的交互过程、对交换机控制方式上不尽相同,暂时没有统一的标准,但其认证过程可以归纳如下:
1) 用户机器上电启动,系统程序根据配置,通过DHCP由BAS做DHCP-Relay,向DHCP Server要IP地址(私网或公网);
2) BAS為该用户构造对应表项信息(基于端口号、IP),添加用户ACL服务策略(让用户只能访问portal server和一些内部服务器,个别外部服务器如DNS);
3) Portal server向用户提供认证页面。在该页面中,用户输入账号和口令,并单击“log in”按钮,也可不输入由账号和口令,直接单击“log in”按钮;
4) 该按钮启动portal server上的Java程序,该程序将用户信息(IP地址、账号和口令)送给网络中心设备BAS;
5) BAS利用IP地址将到用户的二层地址、物理端口号(如Vlan ID、ADSL、PVC ID、PPP session)利用这些信息,对用户的合法性进行检查。如果用户输入了账号,则认为是卡号用户,使用用户输入的账号和口令到Radius Server对用户进行认证。如果用户未输入账号,则认为用户是固定用户,网络设备利用Vlan ID(或PVC ID)查用户表得到用户的账号和口令,将账号送到Radius Server进行认证;
6) Radius Server返回认证结果给BAS;
7) 认证通过后,BAS修改该用户的ACL,用户可以访问外部因特网或特定的网络服务。
8) 用户离开网络前,连接到portal server上,单击“断开网络”按钮。系统停止计费,删除用户的ACL和转发信息,限制用户不能访问外部网络。
9) 在以上过程中,要注意检测用户非正常离开网络的情况,如用户主机死机、网络端掉、直接关机等。
4.3 Web认证的特点
优点:
1) 不需要特殊的客户端软件,降低了网络维护工作量;
2) 可以提供Portal等业务认证;
缺点:
1) WEB承载在7层协议上,对于设备的要求较高,建网成本高;
2) 标准化和开放性差,在认证设备和WEB之间要采用私有的通讯协议;
3) WEB服务器对于认证用户和非认证用户都是可达的,易受恶意攻击,安全性差;
4) 用户连接性差,不容易检测用户离线,基于时间的计费较难实现;
5) 易用性不够好,用户在访问网络前,不管是TELNET、FTP还是其它业务,必须使用浏览器进行WEB认证;
6) IP地址的分配在用户认证前,如果用户不是上网用户,则会造成地址的浪费,而且不便于多ISP的支持;
7) 认证前后业务流和控制流无法区分,需要消耗大量的CPU资源。
5 结束语
以上三种认证技术各有特点,应用场合不同,无优劣之分。通常,要求BAS能够同时支持以上三种通用的认证方式,以适应不同客户群的需要。作为运营商应选择合适的接入认证技术,制定灵活的资费政策,为用户提供多样化的宽带业务。
参考文献:
[1] 李学军,李洪.宽带城域网的优化策略与实践[M].北京:人民邮电出版社,2002:121-127.
[2] 蔡康,朱英军.IP宽带业务与运营[M].北京:人民邮电出版社,2003:95-105.