文档库

最新最全的文档下载
当前位置:文档库 > 基于DHCP的接入认证系统的技术浅析

基于DHCP的接入认证系统的技术浅析

基于DHCP的接入认证系统的技术浅析

万方数据

计算机系统胆用2009年第S期

但是,由于DHCP协议原本为局域网所设计,不能进行认证、授权和SESSION控制,也不能精确采集用户的上网时长,不适合广域网;DHCPSERVER由于设计简单,功能单一,不能满足电信级运营的需要。虽然设备厂家努力在改进这些缺点,并且在DHCP协议上进行了各种扩展,但是总体上仍然没有解决上述问题,最终DHCP协议还是无法被大规模采用。

4DHCP+接入认证技术对DHCP的扩展DHCP协议是DHCP+接入认证技术的基础,它是RFC组织定义的一种标准,采用客户机一服务器工作机制,实现客户机向服务器请求分配IP地址的流程。为了解决对用户进行有效的接入认证控制问题和提高接入网络的安全性,DHCP+接入认证技术在网络安全、网络监控以及用户控制和终端识别等方面对DHCP协议进行了扩展。

(1)引入了多权限地址的概念,即在一个三层设备端口下,用户可以根据不同的权限情况得到不同的lP地址池中的地址。

(2)引入了用户的业务使用流程,即打通了用户AAA流程和DHCP流程之间的关系,通过MAC+物理端口来表示一个用户,在用户登录以后改变MAC+物理端口的权限,为其变化对应的IP地址。

(3)网络安全方面,在报文入接口通过对报文匹配DHCPSnooping绑定表项,防止了IP盗用、用户私接、DHCPSerVer仿冒、lP/MACSpoofjng攻击、DoS(DenyofService)攻击,规避了DHCP协议的安全缺陷。

(4)网络监控方面,通过对丢弃的非法报文分别计数,在网管系统的配合下,实现针对各种攻击的阀值告警分别输出,提高运维部门的故障定位和解决效率,以降低运营成本。同时,通过和用户之间定义采集时长信息的协议,完成了开始使用到终止使用的时长确认。

(5)用户控制方面,DHCPPS(DHCPPoJjcySer-ver)通过建立基于用户物理位置信息的本地数据库,对用户进行认证控制。所谓用户物理位置信息就是标识用户所在的设备、端口以及QinQ双层标签信息,当然,所谓用户是用一个或多个MAC地址来识别的。用这种方法限制了私拉盗接和用户串用等问题,从而减轻了运维压力,保护了合法用户的权益,为营运增

164应用技术Appli酣Tednlique收提供可能。

另外,由于扩展了DHCPOption属性的应用,满足不同场合的用户需求,使得运营商可以将这些属性与用户认证和地址分配策略结合起来,完成统一接入控制。

5DHCP+接入认证技术功能实现介绍目前,在接八认证领域占主流地位的是PPPoE技术,DHCP+认证技术在国内主要还是应用于部分驻地网运营商的小区或酒店接入。本文以中国网通某分公司的宽带用户的接入认证管理系统为例来介绍利用DHCP+接入认证技术功能的实现

5.1系统部署

图1显示了DHCP+用于城域网接入认证的应用场景。在该城域网解决方案中,Internet业务以原有PPPoE方式通过BRAS设备接入,VoIP、VoD、8TV等业务以DHCP+认证方式接入用户。

图1DHCP+认证接入技术城域网络模型

5.2DHCP+系统模块架构

宽带网用户通过客户端软件和DHCP协议与宽带网接入认证管理系统进行交互,进而接入到宽带网络中,并使用某种特定的网络服务,如图2所示。

当该系统中在收到自客户终端的DHCPDis—cover报文后,将依据报文中Optjon描述的设备、所在端口、与开户时录入的用户物理位置数据库信息对照,根据结果进行下一动作,用户再次认证上线时,系统将根据用户MAC和录入的用户物理位置数据库信息唯一标识用户。系统用这种方法对用户做接入权限认证,防止用户私接盗用问题,增强用户控制。

基于DHCP的接入认证系统的技术浅析

此外,由于DHCP系统本身不具备用户Session

万方数据

基于DHCP的接入认证系统的技术浅析

万方数据

基于DHCP的接入认证系统的技术浅析

基于DHCP+的接入认证系统的技术浅析

作者:徐润沁, 刘军杰

作者单位:徐润沁(中国科学院研究生院,北京,100080), 刘军杰(北京邮电大学,软件学院,北京

,100876)

刊名:

计算机系统应用

英文刊名:COMPUTER SYSTEMS & APPLICATIONS

年,卷(期):2009,18(5)

被引用次数:1次

参考文献(7条)

1.张志方DHCP+技术分析及其在河南电信宽带IP网中的应用[期刊论文]-科技创业月刊 2004(15)

2.刘联海.周德新安全DHCP系统的设计与实现[期刊论文]-信息技术 2004(08)

3.任凤姣.王洪.贾卓生DHCP安全系统[期刊论文]-计算机工程 2004(17)

4.孙力芾.李生红DHCP及Option82安全机制的原理与实现[期刊论文]-信息技术 2005(08)

5.梁红军.何岩DHCP在宽带网络中的应用[期刊论文]-光通信研究 2005(05)

6.但松健校园以太宽带网用户接入认证技术的研究[期刊论文]-重庆教育学院学报 2006(03)

7.赵东升利用改进的DHCP+技术实现宽带IP网用户认证计费管理[期刊论文]-电信科学 2002(07)

相似文献(10条)

1.会议论文徐庆.蒙向阳宽带接入的认证技术——PPPoE、80

2.1x、DHCP+Web Portal和DHCP+2007

为了提高网络利用率,对现在使用的各种认证技术进行了研究:首先介绍了现在主流的几种认证方式PPPoE、802.1x、DHCP+Web Portal和DHCP+,并对这几种方式进行了比较,最后得出结论。

2.学位论文周曙光PPPoE和DHCP相关协议分析及其在网络机顶盒上的实现2006

随着全球宽带产业链的形成发展以及DSL技术的不断扩大,IPTV的春天已经来到,已进入一个飞速增长阶段。作为IPTV业务承载的终端,网络机顶盒越来越受到各网络产品开发商的重视。网络机顶盒有广大的市场潜力,而且是今后发展的必然趋势。

本课题基于网络机顶盒的实际开发,研究了PPPoE和DHCP接入方式中涉及的相关协议,并实现了PPPoE和DHCP两种接入方式。

本文主要研究了以下内容:首先分析研究了PPPoE相关的PPPoE、PPP、LCP、PAP、CHAP、IPCP协议,接下来分析研究了DHCP相关协议,然后介绍了网络机顶盒的开发环境,本文最后实现了PPPoE和DHCP接入方式。

3.外文期刊柘植宗俊.中村亮.坂本健一.加沢徹.芦賢浩.Munetoshi Tsuge.Ryou Nakamura.Ken-ichi Sakamoto. Toru Kazawa.Yoshihiro Ashi光アクセスシステム向けレイヤ2アクセスセキュリティ機能の一検討

DHCPによるIPアドレス割当もしくはPPPoEセッションを用いたレイヤ2アクセス綱において,送信元アドレス·セッションID詐称パケットを遮断する機能,およびユーザ毎の接続端末数·セッション数を制限する機能を,レイヤ2スイッチー体型光アクセスシステム向けに検討した·ユーザからの攻撃の防止やネットワーク資源の節約のために本機能は有効である?本方式では,OLT内のレイヤ2スイッチでDHCPパケットおよびPPPoEディスカバリパケットをスヌープすることにより正当なIPアドレスやセッションIDを把握し,上記機能を実現する.

4.学位论文梁红军宽带认证系统的研究与实现2005

随着Internet技术的广泛应用,宽带网络用户越来越多,IP数据业务迅猛增长.如何避免采用传统的单一的"包月"收费制度,增强网络的安全性能,构建一个可运营可管理可盈利的接入网络是当前宽带网络建设的热门话题.本文针对这一实际情况,提出了一整套实用高效的宽带认证系统实现方案.本文从宽带接入的发展历史着手,介绍了PPPoE、WEB、802.1x三种主流认证方式的技术背景,详细分析了各种技术的特点和应用场合,以及所面临的技术问题.随后,对与宽带认证系统密切相关的Radius和DHCP等技术进行了深入研究,并采用二层VLAN技术实现对专线用户的支持以及用户控制.随后,从各种认证方式的基本原理出发,剖析了多种备选方案,解决了诸多技术难题,并设计了主要的软件处理流程.在PPPoE认证部分,分析了产生拒绝服务(DoS)攻击的原因,并采用Ac-Cookie技术减少此种攻击的威胁.针对PPPoE支持组播业务差的不足,对二层组播IGMP Snooping和IGMP Proxy进行了分别研究,提出了一种先认证后组播、组播与VLAN相结合的方法.此外还从系统兼容性和实用性的角度对一些具体问题提出了解决方案,如数据重发、服务类型提供、最大用户数目限制等.在802.1x认证部分,针对该标准在有线局域网和无线局域网工作环境上的差异,对应用中的用户绑定、用户认证发起、DHCP触发、重认证、异常下线等系列问题进行研究,并提出相应解决方法.尽管WEB认证没有统一的国际标准,在对多种实现方案进行了深入研究后,从尽量减少私有协议、易于管理控制的角度选择了内置方式,并实现了WEB方式中重定向、地址二次分配等关键技术.为了验证所设计宽带接入认证系统的有效性,在烽火网络ADSL接入平台中,对系统进行了严格的测试,结果显示能完成预定的各项功能,且兼容主流厂家的客户端软件,运行稳定.本系统认证模块已成功移植到网络处理器(NP)平台,商用效果良好.本论文的研究成果对正在进行的宽带网络运营具有重要的借鉴意义.

5.学位论文宋亮宽带接入协议的研究与实现2003

宽带接入协议是目前各运营商开展宽带接入业务必须使用的协议,比如:PPPOE、802.1X、RADIUS、DHCP等.这些协议和技术,通过组合可以实现不同的宽带接入方式.但目前由于宽带用户数量规模还相对比较小,这就存在一个宽带接入建设投资大而收益小的矛盾,是否可以通过现有技术来实现一个性价比比较高的宽带接入系统是一个值得探讨的问题.该论文通过对PPPOE、802.1X、RADIUS、DHCP等协议的介绍,首先给用户系统的展现了宽带接入控制系统的概念,并通过对协议的分析导出了DHCP+客户端的宽带接入控制系统.

6.期刊论文李俊杰.冯南梓DHCP+接入控制技术分析及安全防范探讨-广东通信技术2008,28(2)

通过PPPoE与DHCP技术对比,突出DHCP+在运营业务支撑能力上的技术优势,并针对DHCP+应用的网络安全问题进行讨论.

7.期刊论文陈慧民.王长永.孙丽杰利用Linux系统和PPPOE技术构建企业Intranet网关的方法-黑龙江电力2004,26(1)

介绍了IP技术在企业网中的一般实现方式和Linux操作系统.举例阐述了基于REDHAT 7.3Linux系统采用PPPOE和NAT技术实现一个经济、高效、安全的企业Intranet网关的方法.

8.学位论文崔文杰IP可视电话的视频编码及码率控制的研究2004

可视电话使人们在通话时能够看到对方影像,是一种发展前景看好的多媒体通信设备,它不仅适用于家庭生活,而且还可以广泛应用于各项商务活动、远程教学、安防监控、医院护理、医疗诊断、科学考察等不同行业的多种领域.随着科学技术的进步和人民生活水平的提高,打破了原先的技术条件和经济状况的限制,大规模发展可视电话成为可能.尤其是面对突如其来的"非典"疫情,各大通讯公司以最快的速度为省城各大医院开通了可视电话,协助全社会战胜"非典"病魔起着很大的作用.为此,我们进行了基于H.323和Trimedia TM1300处理器芯片的IP可视电话系统的设计和实现.H.323是ITU-T推出的用于IP分组网络的多媒体通信终端协议,Trimedia TM1300处理器芯片是Philips公司推出的一种基于多媒体应用的具有VLIW指令,含有128个通用寄存器,32位的高性能处理器,它能够通过编程实现通信协议,完成高质量的音频、视频处理和网络接口.我们设计的IP可视电话系统主要集中在音视频编解码的实时实现、H.323协议栈的实现、一些必要的网络通信协议如PPPoE、SMTP、POP3、IMAP、DHCP等实现,在保证压缩音视频的QoS质量的同时,尽可能地发展各种增值业务服务如邮件系统、浏览网页和组成家庭智能系统等.该文主要针对作者在实现IP可视电话系统中所从事的研究工作而展开的,将重点放在IP可视电话系统中TCP/IP协议栈在pSOS+上的移植、网络通信协议如PPPoE、PPP、SMTP、IMAP、POP3、DNS、DHCP等协议的实现、H.263视频编码及其码率控制算法研究、视频编码中基于程序结构和TM1300 DSP专用指令的优化方法,同时初步介绍H.323、SIP、H.264及嵌入式系统中的实时操作系统(RTOS)pSOS+.在第一章中先简介IP可视电话系统的发展历程、前景和软硬件框架结构,然后简要说明作者的研究工作.在第二章中阐述了ITU-T的H.323、IETF的SIP多媒体框架协议以及它们之间的比较.在第三章中阐述了基于IP的网络通信协议的实现,主要是OpenBSD中的TCP/IP协议栈在pSOS+上的移植和PPPoE、PPP、SMTP、IMAP、POP3、DNS、DHCP协议、嵌入式Web服务器的实现,然后介绍如何利用RTP/RTCP来检测网络有效带宽,其中的网络有效带宽就是在第六章提出的码率控制算法中确定目标帧率的依据之一.在第四章中主要阐述了H.261、H.263、H.263+标准的内容及其比较、H.264标准及其与H.263编码性能的比较.在第五章中阐述了H.263视频编码中基于程序结构和TM1300 DSP专用指令的优化方法.在第六章中详细阐述了视频编码中的关键技术之一的码率控制算法,其中提出了一种简单、有效、适合网络带宽抖动的自适应可变帧率的码率控制算法.

9.期刊论文朱新芬.孟利民.ZHU Xin-fen.MENG Li-min宽带接入认证方式的分析与比较-浙江工业大学学报

2009,37(2)

为实现宽带网的"可运营和可管理",用户认证是HFC等,相应的宽带接入认证方式有PPPoE,IEEE802.1x,DHCP+,Web等.通过对各种认证方式的原理、认证流程介绍,以及各自的优劣分析与比较,以找出适用不同场合的接入认证方式.pp-PoE方式成熟可靠,特别适合应用于ADSL接入;802.1x是未来宽带城域网首选的认证管理方式;Web方式较适合应用于酒店、宾馆园区网和校园网;DHCP+方式一般用在以太网接入中,而利用DHCP的动态地址分配方式同Web技术进行配合来实现更加理想的认证方式即DHCP+Web方式目前成为主流的认证方式.

10.学位论文邢燚基于IXP425网络处理器的无线接入路由器2008

随着计算机网络的高速发展,传统的通用处理器和ASIC由于各自的缺点已经不能满足发展的需要,网络处理器凭借其性能和灵活性并重的特点在网络设备开发中得到了广泛应用。IXP425是Intel公司面向中小企业和SOHO用户开发的一款高度集成的单芯片处理器,尤其适用于接入路由器、防火墙的开发。

本文的内容,就是在自主研发的EITS425开发平台上,根据应用需求合理选取硬件模块,定制uCLinux操作系统,并配之以相应的应用软件,实现一个基于IXP425网络处理器的无线接入路由器。

归纳起来本课题的主要工作如下:

从硬件方面详细描述了EITS425开发板的设计思路,介绍了在EITS425开发平台上构建无线接入路由器的方法,并分析了各个模块电路的具体电路实现。

主机开发环境的建立,Bootloader和uCLinux操作系统的定制。本课题采用了U-Boot作为开发板的Bootloader,Snapgear Linux作为操作系统平台。 完成了硬件设备驱动的开发,包括:IXP425网络处理器NPE驱动的开发,无线接入点的驱动开发以及无线/有线透明网桥的开发。至此,完成底层软件的开发,交给用户和开发人员一个完整、稳定的平台,可以直接在该平台上进行路由器应用软件的开发。

实现了基于FASTPATH构架的快速软件分组交换/路由机制,提高包转发性能;基于NAT的服务,实现局域网合法享用同一公网IP接入广域网;DHCP服务器和客户端的开发,实现网络参数自动配置;建立PPPOE服务,实现ADSL广域网接入。

进行了无线接入路由器的功能验证。

本论文的设计成果,既可作为产品直接投放市场,也可在其基础上进行二次开发,实现一些更新、更流行的网络设备功能。

引证文献(1条)

1.朱鹏.谢欣.周显敬.陈尚义终端安全接入技术及发展趋势研究[期刊论文]-信息安全与通信保密 2010(2)

本文链接:http://www.wendangku.net/doc/782fc1f5f61fb7360b4c65ec.html/Periodical_jsjxtyy200905042.aspx

授权使用:黄小强(wfxadz),授权号:75e23752-8c9e-4d2f-910d-9dfd00c0ada1

下载时间:2010年9月26日