认证和计费是电信网的两个有关联的环节,除了采用包月制计费方式,它不依赖于认证外,一般来说,其它计费方式都和认证有关。也就是说,只有正确可靠地把用户识别出来。正确无误的计费才能得到保证。这就要求,这种认证应当具有不可更改性和不可抵赖性。
下面我们来讨论一下,在宽带的情况下如何来保证认证方式应当具有的不可更改性和不可抵赖性。
一、宽带网需要认证什么?[1]
由于电话网中只要用户一拨号,交换机就记录下用户的电话号码,通过电话号码就能唯一地确定用户在何处上的网。RADIUS认证用户的PASSWORD,软件把用户的名,口令和电话号码及上网时长记录下来,即可作为收费的法律依据。这是因为电话号码一经确定,用户不能更改,也无法抵赖,也就具有了法律效力。一旦发生话费纠纷,这一法律依据是极为重要的。
在宽带网中,特别是LAN这种接入方式中,没有了电话号码这种用户不能更改,也无法抵赖的依据。因此如果要在宽带网上作认证的话,那么一定要对某种用户不能更改,也无法抵赖的特征作认证。如果仅仅对用户名和口令作认证,是不够的。
根据以往用户和电信局发生的资费纠纷来看,大致有如下几种情况:
1.有户使用了,但自己感觉没用那么多。
2.别人盗用
3.电信局的计费系统有缺陷
无论何种情况,都需要我们有确实的证据,证明用户何时在何处上的网。
但是目前流行的PPPOE方法,大多数厂家的软件产品都仅对用户名和口令进行认证,而无法确定用户在何处上的网。
目前有的厂商利用DHCP+SERVER,对用户的VLAN ID及IP地址,MAC地址等进行绑定,从而能确定用户在何处上的网。
DHCP+的认证过程如下:DHCP用户通过广播找到DHCP SERVER,从回应的多个DHCP SERVER 中选一个提出申请,该SERVER接受之后,通过认证用户的有关信息,确认是合法用户之后,就把相关参数,如IP地址,DNS SERVER,子网掩码,网关的地址等,传送给用户。用户得到这些参数之后,就能直接进入INTERNET网进行通信,而所有的通信流无需经过DHCP SERVER。
由于宽带网上的流量比较大,所以DHCP+SERVER这种方式比较适合。这是因为在这种方式下,用户的流量可以分散到许多条路径,互相进行交换或流向INTERNET网,不存在瓶颈。而PPPOE的方式下,用户的流量必需经过宽带接入服务器,数千甚至数万用户的流量全通过一个设备,即宽带接入服务器,进行交换,或通向INTERNET网。当流量很大时宽带接入服务器很容易成为瓶颈。因为宽带接入服务器除了要完成普通路由器和交换机的功能外,还要作很多的工作,如对每个用户(不是每个端口,一个端上有很多的用户),流量进行监控。有些工作还必须由软件完成,如对用户的认证。宽带接入服务器每端口的价格是普通IP交换机的数倍至数十倍,这一点也决定了不可能象布署IP交换机那样来布署IP宽带接入服务器。
二、两种认证技术的主要区别:[2]
PPPoE接入设备要同Hosts在同一个二层内,以便Hosts通过广播发现PPPoE接入设备。通过中继代理,DHCP可以跨三层。
PPPoE接入设备是通信必经的Next Hop,即使是在PPPoE拨号认证成功后。DHCP+ Server只是在获得IP配置信息阶段起作用,以后的通信完全不经过它。这是很根本的一个区别,下面的许多差异都是由此产生的。
PPPoE接入设备如果性能不好,负担又沉重,则很可能成为接入的瓶颈。DHCP+ Server由于只用于配置信息获取阶段,所以基本上不会成为瓶颈。
在计费上,PPPoE既可以计时,也可以计流量。DHCP+只能计时,如需计流量则必须在用户接入处配备能计流量的交换机。
PPPoE可以对用户通信进行速率限制(Rate-Limit),且很多设备可做到上、下行不对称。DHCP需有交换机配合才能提供此功能。
有些PPPoE设备不支持VLAN,这会对某些应用构成一定的限制。DHCP+不存在这个问题。
PPPoE可方便地提供动态业务选择特性(严格地说,这和PPPoE本身并没有什么关系,但多和PPPoE同时应用)。
PPPoE设备可针对特定用户设置ACL(访问列表)过滤或防火墙功能。DHCP需有交换机配合才能提供此功能。
PPPoE可以防止地址冲突和地址盗用。DHCP需有交换机配合才能解决这个问题。
在运行Multicast(组播)应用时,由于PPPoE的点对点特性,即使几个Host同属于一个Multicast Group,也要为每个Host单独复制一份数据流。DHCP+不存在此问题。
值得一提的是,目前技术发展很快。如基于DHCP的WEB认证方式免去了在用户众端上安装软件,从而大大减少了安装和维护的工作量。
三、接入认证能代替应用认证吗?
宽带网上今后肯定会有很多的应用。有一种意见认为有了我们的认证和计费系统,今后各种应用就无需再作其它认证了。中国电信作为一个ISP,在用户接入INTERNET时,所作的认证能取代INTERNET网上的各个应用的认证吗?答案显然是否定的。这是因为:
1.作为一个应用,当它期望通过收费获得收益,必然要面向广大的群众,当它连结在INTERNET网上时,用户可以各种方式,通过各个不同的ISP进入INTERNET。因此各种应用势必需要在它自己的网页入口处进行认证才行。仅仅依靠中国电信的某省(中国电信的INTERNET认证以省为单位)的接入处所作的认证显然是不够的。就象一个公园有很多的入口,仅对某一个入口的游客进行认证和计费,显然是不合理的。
2.各种应用本身有各种不同的需求,作为一个ISP的接入认证是很难满足这些千差万别的要求的。例如,我们和某高校讨论建立高教网站时,他们提出,他们的网络远程教育包括学位教育,非学位教育,普通培训等。各种教育中分不同的专业,不同的课程其收费标准均不相同。这么复杂的应用,作为一个ISP的接入认证根本就无法满足他们的要求。
四、WEB认证的优点
对宽带IP网的接入认证来说,基于DHCP的WEB认证方式是比较好的选择。因为,WEB认证方式有一个非常重要的优点,即用户端无需安装任何软件,无需用户作任何的配置。这对运行商来说是至关重要的。根据我省目前宽带网的运行情况来看,在用户端安装软件,对以后的维护压力非常大。一旦用户的计算机发生问题,软件就需要重装,重新配置,这对许多用户来说,是件非常头疼的事。
首先,这些软件大都由一些大大小小的公司所自行开发的,安装的软件需作各种参数的配置,并且对不同的操作系统,如Windows98和Windows 2000配置的方式并不一样,这对许多非计算机专业的用户来说,是件头疼的事。
其次,由于软件装在用户的计算机中,一旦发生故障上不了网,用户就向电信局申告,电信局往往无法判定这倒底是线路有故障,还是用户自己的计算机有故障,计算机的故障应该找计算机公司,而不是电信局。这种时候电信局只能派人前往用户家中,有时去了,用户不在,用户在时,局方又派不出人,等等。
这等于把电信局的运行维护延伸到了每个用户家中的计算机上,这对局方是多么大的压力啊!
第三,由于技术的发展,认证软件常常需要修改。如果让每个用户都自行下载软件,安装,配置。势必有很多的用户要求助于电信运行商。给局方带来很多的工作量。而采用WEB方式则无这种麻烦。
同时,WEB认证几乎是应用认证的最佳认证方式。因为,对绝大多数的应用来说,登录到此应用的网页,是不可逾越的第一步。在此作认证是比较好的选择。
综上所述,WEB认证方式将是未来的发展方向。
参考文献:
1.1.邢小良,"关于宽带IP网的认证计费方式探讨",电信科学,2001,Vol.17,No.10, pp.48-49.
2.中国电信数据通信局,"发展宽带IP城域网的相关技术指导意见",2001.2。
CHINA通信网组稿
|