寬帶網(wǎng)接入認(rèn)證的發(fā)展方向：WEB認(rèn)證

　　認(rèn)證和計(jì)費(fèi)是電信網(wǎng)的兩個(gè)有關(guān)聯(lián)的環(huán)節(jié),除了采用包月制計(jì)費(fèi)方式,它不依賴于認(rèn)證外,一般來(lái)說(shuō),其它計(jì)費(fèi)方式都和認(rèn)證有關(guān)。也就是說(shuō),只有正確可靠地把用戶識(shí)別出來(lái)。正確無(wú)誤的計(jì)費(fèi)才能得到保證。這就要求,這種認(rèn)證應(yīng)當(dāng)具有不可更改性和不可抵賴性。
下面我們來(lái)討論一下,在寬帶的情況下如何來(lái)保證認(rèn)證方式應(yīng)當(dāng)具有的不可更改性和不可抵賴性。


　　一、寬帶網(wǎng)需要認(rèn)證什么？[１]


　　由于電話網(wǎng)中只要用戶一撥號(hào),交換機(jī)就記錄下用戶的電話號(hào)碼,通過(guò)電話號(hào)碼就能唯一地確定用戶在何處上的網(wǎng)。RADIUS認(rèn)證用戶的PASSWORD,軟件把用戶的名,口令和電話號(hào)碼及上網(wǎng)時(shí)長(zhǎng)記錄下來(lái),即可作為收費(fèi)的法律依據(jù)。這是因?yàn)殡娫捥?hào)碼一經(jīng)確定,用戶不能更改,也無(wú)法抵賴,也就具有了法律效力。一旦發(fā)生話費(fèi)糾紛,這一法律依據(jù)是極為重要的。


　　在寬帶網(wǎng)中,特別是LAN這種接入方式中,沒(méi)有了電話號(hào)碼這種用戶不能更改,也無(wú)法抵賴的依據(jù)。因此如果要在寬帶網(wǎng)上作認(rèn)證的話,那么一定要對(duì)某種用戶不能更改,也無(wú)法抵賴的特征作認(rèn)證。如果僅僅對(duì)用戶名和口令作認(rèn)證,是不夠的。


　　根據(jù)以往用戶和電信局發(fā)生的資費(fèi)糾紛來(lái)看,大致有如下幾種情況：


1.有戶使用了,但自己感覺(jué)沒(méi)用那么多。


2.別人盜用


3.電信局的計(jì)費(fèi)系統(tǒng)有缺陷


　　無(wú)論何種情況,都需要我們有確實(shí)的證據(jù),證明用戶何時(shí)在何處上的網(wǎng)。


　　但是目前流行的PPPOE方法,大多數(shù)廠家的軟件產(chǎn)品都僅對(duì)用戶名和口令進(jìn)行認(rèn)證,而無(wú)法確定用戶在何處上的網(wǎng)。


目前有的廠商利用DHCP+SERVER,對(duì)用戶的VLAN ID及IP地址,MAC地址等進(jìn)行綁定,從而能確定用戶在何處上的網(wǎng)。


DHCP+的認(rèn)證過(guò)程如下：DHCP用戶通過(guò)廣播找到DHCP SERVER,從回應(yīng)的多個(gè)DHCP SERVER 中選一個(gè)提出申請(qǐng),該SERVER接受之后,通過(guò)認(rèn)證用戶的有關(guān)信息,確認(rèn)是合法用戶之后,就把相關(guān)參數(shù),如IP地址,DNS　SERVER,子網(wǎng)掩碼,網(wǎng)關(guān)的地址等,傳送給用戶。用戶得到這些參數(shù)之后,就能直接進(jìn)入INTERNET網(wǎng)進(jìn)行通信,而所有的通信流無(wú)需經(jīng)過(guò)DHCP SERVER。


　　由于寬帶網(wǎng)上的流量比較大,所以DHCP+SERVER這種方式比較適合。這是因?yàn)樵谶@種方式下,用戶的流量可以分散到許多條路徑,互相進(jìn)行交換或流向INTERNET網(wǎng),不存在瓶頸。而PPPOE的方式下,用戶的流量必需經(jīng)過(guò)寬帶接入服務(wù)器,數(shù)千甚至數(shù)萬(wàn)用戶的流量全通過(guò)一個(gè)設(shè)備,即寬帶接入服務(wù)器,進(jìn)行交換,或通向INTERNET網(wǎng)。當(dāng)流量很大時(shí)寬帶接入服務(wù)器很容易成為瓶頸。因?yàn)閷拵Ы尤敕��?wù)器除了要完成普通路由器和交換機(jī)的功能外,還要作很多的工作,如對(duì)每個(gè)用戶(不是每個(gè)端口,一個(gè)端上有很多的用戶),流量進(jìn)行監(jiān)控。有些工作還必須由軟件完成,如對(duì)用戶的認(rèn)證。寬帶接入服務(wù)器每端口的價(jià)格是普通IP交換機(jī)的數(shù)倍至數(shù)十倍,這一點(diǎn)也決定了不可能象布署IP交換機(jī)那樣來(lái)布署IP寬帶接入服務(wù)器。


　　二、兩種認(rèn)證技術(shù)的主要區(qū)別:[2]


　　PPPoE接入設(shè)備要同Hosts在同一個(gè)二層內(nèi),以便Hosts通過(guò)廣播發(fā)現(xiàn)PPPoE接入設(shè)備。通過(guò)中繼代理,DHCP可以跨三層。


　　PPPoE接入設(shè)備是通信必經(jīng)的Next Hop,即使是在PPPoE撥號(hào)認(rèn)證成功后。DHCP+ Server只是在獲得IP配置信息階段起作用,以后的通信完全不經(jīng)過(guò)它。這是很根本的一個(gè)區(qū)別,下面的許多差異都是由此產(chǎn)生的。


　　PPPoE接入設(shè)備如果性能不好,負(fù)擔(dān)又沉重,則很可能成為接入的瓶頸。DHCP+ Server由于只用于配置信息獲取階段,所以基本上不會(huì)成為瓶頸。


　　在計(jì)費(fèi)上,PPPoE既可以計(jì)時(shí),也可以計(jì)流量。DHCP+只能計(jì)時(shí),如需計(jì)流量則必須在用戶接入處配備能計(jì)流量的交換機(jī)。


　　PPPoE可以對(duì)用戶通信進(jìn)行速率限制(Rate-Limit),且很多設(shè)備可做到上、下行不對(duì)稱。DHCP需有交換機(jī)配合才能提供此功能。


　　有些PPPoE設(shè)備不支持VLAN,這會(huì)對(duì)某些應(yīng)用構(gòu)成一定的限制。DHCP+不存在這個(gè)問(wèn)題。


　　PPPoE可方便地提供動(dòng)態(tài)業(yè)務(wù)選擇特性(嚴(yán)格地說(shuō),這和PPPoE本身并沒(méi)有什么關(guān)系,但多和PPPoE同時(shí)應(yīng)用)。


　　PPPoE設(shè)備可針對(duì)特定用戶設(shè)置ACL(訪問(wèn)列表)過(guò)濾或防火墻功能。DHCP需有交換機(jī)配合才能提供此功能。


　　PPPoE可以防止地址沖突和地址盜用。DHCP需有交換機(jī)配合才能解決這個(gè)問(wèn)題。


　　在運(yùn)行Multicast(組播)應(yīng)用時(shí),由于PPPoE的點(diǎn)對(duì)點(diǎn)特性,即使幾個(gè)Host同屬于一個(gè)Multicast Group,也要為每個(gè)Host單獨(dú)復(fù)制一份數(shù)據(jù)流。DHCP+不存在此問(wèn)題。


　　值得一提的是,目前技術(shù)發(fā)展很快。如基于DHCP的WEB認(rèn)證方式免去了在用戶眾端上安裝軟件,從而大大減少了安裝和維護(hù)的工作量。


　　三、接入認(rèn)證能代替應(yīng)用認(rèn)證嗎?


　　寬帶網(wǎng)上今后肯定會(huì)有很多的應(yīng)用。有一種意見(jiàn)認(rèn)為有了我們的認(rèn)證和計(jì)費(fèi)系統(tǒng),今后各種應(yīng)用就無(wú)需再作其它認(rèn)證了。中國(guó)電信作為一個(gè)ISP,在用戶接入INTERNET時(shí),所作的認(rèn)證能取代INTERNET網(wǎng)上的各個(gè)應(yīng)用的認(rèn)證嗎?答案顯然是否定的。這是因?yàn)?


　　1.作為一個(gè)應(yīng)用,當(dāng)它期望通過(guò)收費(fèi)獲得收益,必然要面向廣大的群眾,當(dāng)它連結(jié)在INTERNET網(wǎng)上時(shí),用戶可以各種方式,通過(guò)各個(gè)不同的ISP進(jìn)入INTERNET。因此各種應(yīng)用勢(shì)必需要在它自己的網(wǎng)頁(yè)入口處進(jìn)行認(rèn)證才行。僅僅依靠中國(guó)電信的某省(中國(guó)電信的INTERNET認(rèn)證以省為單位)的接入處所作的認(rèn)證顯然是不夠的。就象一個(gè)公園有很多的入口,僅對(duì)某一個(gè)入口的游客進(jìn)行認(rèn)證和計(jì)費(fèi),顯然是不合理的。


　　2.各種應(yīng)用本身有各種不同的需求,作為一個(gè)ISP的接入認(rèn)證是很難滿足這些千差萬(wàn)別的要求的。例如,我們和某高校討論建立高教網(wǎng)站時(shí),他們提出,他們的網(wǎng)絡(luò)遠(yuǎn)程教育包括學(xué)位教育,非學(xué)位教育,普通培訓(xùn)等。各種教育中分不同的專業(yè),不同的課程其收費(fèi)標(biāo)準(zhǔn)均不相同。這么復(fù)雜的應(yīng)用,作為一個(gè)ISP的接入認(rèn)證根本就無(wú)法滿足他們的要求。


　　四、WEB認(rèn)證的優(yōu)點(diǎn)


　　對(duì)寬帶IP網(wǎng)的接入認(rèn)證來(lái)說(shuō),基于DHCP的WEB認(rèn)證方式是比較好的選擇。因?yàn)?WEB認(rèn)證方式有一個(gè)非常重要的優(yōu)點(diǎn),即用戶端無(wú)需安裝任何軟件,無(wú)需用戶作任何的配置。這對(duì)運(yùn)行商來(lái)說(shuō)是至關(guān)重要的。根據(jù)我省目前寬帶網(wǎng)的運(yùn)行情況來(lái)看,在用戶端安裝軟件,對(duì)以后的維護(hù)壓力非常大。一旦用戶的計(jì)算機(jī)發(fā)生問(wèn)題,軟件就需要重裝,重新配置,這對(duì)許多用戶來(lái)說(shuō),是件非常頭疼的事。


　　首先,這些軟件大都由一些大大小小的公司所自行開(kāi)發(fā)的,安裝的軟件需作各種參數(shù)的配置,并且對(duì)不同的操作系統(tǒng),如Windows98和Windows 2000配置的方式并不一樣,這對(duì)許多非計(jì)算機(jī)專業(yè)的用戶來(lái)說(shuō),是件頭疼的事。


　　其次,由于軟件裝在用戶的計(jì)算機(jī)中,一旦發(fā)生故障上不了網(wǎng),用戶就向電信局申告,電信局往往無(wú)法判定這倒底是線路有故障,還是用戶自己的計(jì)算機(jī)有故障,計(jì)算機(jī)的故障應(yīng)該找計(jì)算機(jī)公司,而不是電信局。這種時(shí)候電信局只能派人前往用戶家中,有時(shí)去了,用戶不在,用戶在時(shí),局方又派不出人,等等。


　　這等于把電信局的運(yùn)行維護(hù)延伸到了每個(gè)用戶家中的計(jì)算機(jī)上,這對(duì)局方是多么大的壓力��！


　　第三,由于技術(shù)的發(fā)展,認(rèn)證軟件常常需要修改。如果讓每個(gè)用戶都自行下載軟件,安裝,配置。勢(shì)必有很多的用戶要求助于電信運(yùn)行商。給局方帶來(lái)很多的工作量。而采用WEB方式則無(wú)這種麻煩。


　　同時(shí),WEB認(rèn)證幾乎是應(yīng)用認(rèn)證的最佳認(rèn)證方式。因?yàn)?對(duì)絕大多數(shù)的應(yīng)用來(lái)說(shuō),登錄到此應(yīng)用的網(wǎng)頁(yè),是不可逾越的第一步。在此作認(rèn)證是比較好的選擇。


　　綜上所述,WEB認(rèn)證方式將是未來(lái)的發(fā)展方向。


參考文獻(xiàn)：


1.1．邢小良,"關(guān)于寬帶IP網(wǎng)的認(rèn)證計(jì)費(fèi)方式探討",電信科學(xué),2001,Vol.17,No.10, pp.48-49.


2．中國(guó)電信數(shù)據(jù)通信局,"發(fā)展寬帶IP城域網(wǎng)的相關(guān)技術(shù)指導(dǎo)意見(jiàn)",2001.2。


CHINA通信網(wǎng)組稿