宽带网络提供ADSL、Ethernet、HFC、WLAN的接入方式。宽带接入服务器（BAS）是借鉴窄带接入的成熟运作模式，其主要功能是结合路由器或交换机等网络设备，完成对宽带用户的3A接入控制：认证（Authentication），验证用户的身份与可使用的网络服务；授权（Authorization），依据认证结果开放网络服务给用户；计账（Accounting），记录用户各种网络服务的用量，并提供给计费系统。

其实现过程如下：用户端设备—BAS（AAA客户端）—AAAServer（AAA服务器）—计费系统；从BAS到AAA服务器之间通常采用RADIUS协议；AAA服务器和计费系统一般采用集中架构，以支持用户漫游和减少成本。

认证技术分析比较

1.按网络层次划分比较

按照IP网络分层模型，在协议每一层都可以针对接入用户进行网络的认证、鉴权。认证技术大致划分为以下4种。

(1)物理层认证：802.11b采用典型的物理层认证。物理层认证的优势是不需要改动上层MAC或者TCP/IP；缺点是需要对NIC和接入服务器的硬件进行改动，并且协议修改反应到设备支持的周期长，而且很难和AAA进行集成。

(2)链路层认证：链路层认证的代表技术是PPPoE和802.1x，该认证方式的优点是不需要对设备的硬件进行改动，通过软件升级就可以实现新的认证技术引入。协议反应周期短，可以和AAA进行快速有效的融合（通过EAP）。其缺点是需要对链路层进行改动。

(3)IP层认证：IP层认证不需要对客户的MAC和TCP/IP层进行修改，其缺点是在认证前需要向认证请求者开放一部分网络访问权限，为用户分配地址。基于IP的认证一般不提供统计计费能力，扩展性不好。

(4)UDP/TCP应用层认证：UDP/TCP认证采用应用层认证，不需要对底层进行修改，一般采用令牌协议，在认证前需要开放部分网络，没有统计计费能力，扩展性不好。

综合以上4种认证方式，可以发现链路层认证的优势突出。其特点是快速、简单和成本低廉。多数的链路层协议像PPPoE和IEEE802都可以支持基于链路层的认证技术。客户在认证之前不需要进行服务器的定位，不需要获得IP地址。网络接入设备只需要有限的三层功能，可以轻易实现和AAA的结合，从而提供丰富、灵活的认证方式和计费手段。在多协议网络环境中，基于链路层的认证可以实现对上层应用的完全透明，也就是说可以实现和新的网络层协议（比如IPv6）的兼容。链路层认证的处理减小了认证包处理的延时，保证了关键性应用的服务质量。

2.按实现方式比较

用户认证与授权是网络安全中的一个重要问题，只有网络用户的身份得到了有效、安全的认证，才能合理地对网络的行为进行控制，从而保证整个网络系统的安全与健康运营。目前业界常用的认证技术主要有PPPoE技术、Web技术和802.1x技术3种认证。

(1)PPPoE技术

PPPoE是目前xDSL网络和以太网接入中的主流认证协议。该协议保留和继承了PPP协议的特点：成熟，便于实现，可以支持多协议，容易与运营商现有设施配合，支持加密、认证、记账等功能。但是PPPoE也存在一些固有的缺陷：认证流和业务流混合，认证流和业务流采用相同封装，除了业务流引入不必要的PPP封装开销之外，还限制了一些新兴的组播和流媒体应用在宽带网络中的推广。

PPPoE协议的建立过程需要两个阶段：搜寻阶段和点对点对话阶段。PPPoE的发起设备通过搜寻阶段确定目的端网络设备的MAC地址，进而建立一个PPPoE的连接。当PPPoE的连接建立后，可以进行多种网络特性的协商，包括决定其网络可用性的身份认证。

(2)Web/VLAN技术

Web/VLAN技术是从MAC/VLAN改良而来的接入控制技术。当用户尚未完成认证时，用户的VLAN只能到达交换机内置或外接的Web认证模块。当用户通过认证后，Web认证模块再命令交换机将用户的VLANID打开。Web/VLAN技术提供了基于用户身份的认证，在客户端也不需要配置特别的客户端软件。

(3)802.1x技术

随着IEEE802LAN技术的广泛应用，出于网络安全及运营计费的目的，在运营网络以及企业局域网中，对网络用户进行身份认证的要求越来越迫切。在此基础上，产生了IEEE802.1x协议。

IEEE802.1x被称为基于端口的访问控制协议，它能够充分利用IEEE802LAN的优势，并能够对网络设备进行认证与授权的手段。

802.1x中端口的概念是广义的，它不仅仅可以是网络设备上的一个物理端口，也可以是一个逻辑端口，例如用户端网络设备的MAC地址，如果网络系统中的交换机支持全程VLAN，也可以把VLANID看作是一个端口。因此，提供802.1x认证的认证系统（通常是网络接入设备，即网络交换机），既可以直接与需要认证的网络设备相连，也可以通过其他可以透传802.1x协议报文的网络设备与它们间接相连。提供认证服务的交换机通过与认证服务器的相互配合，来决定接入到同一物理端口的不同网络用户可否使用该端口与外界网络进行数据交换。

802.1x将每一个端口（广义上的端口）逻辑上又分为两个端口：受控端口与不受控端口。受控端口只能传递业务报文，在没有通过认证的时候，受控端口是不能传递任何报文的；不受控端口只能传递认证报文。通过这种设计，就使得在同一设备上实现业务流与控制流相分离并能够同时高效地处理认证数据与业务数据变为可能。

(4)认证技术比较

表1是以上3种认证方式的简单比较。

IEEE802.1x在众多方面具有其他两种认证方式所不能比拟的优势，但认证方式只能是一种基础手段，还需要与其他网络技术有机结合，才有可能有效保证整个网络的安全与可靠。

采取802.1x认证与Web认证、PPPoe认证互补的方式，与宽带用户间进行信息交互，通过RADIUS协议与宽带计费中心之间进行信息交互，从而完成对用户的认证，并将认证技术与动态的访问控制技术、动态的带宽管理技术等有机结合，实现对宽带用户的有效管理。

1 2 下一页