YD/T 1908-2009
基本信息
标准号: YD/T 1908-2009
中文名称:基于可扩展认证协议(EAP)的动态地址分配扩展协议(DHCP+)IP 网接入认证鉴权技术要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:2723240
相关标签: 基于 扩展 认证 协议 动态 地址 分配 接入 技术
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1908-2009.AAA Technical Requirements for Public IP network - Access Control by DHCP+ based on EAP.
1范围
YD/T 1908规定了基于EAP的DHCP+ IP网络接入认证系统的体系结构、组网方式、通信流程,通信协议以及对相关设备的要求。
YD/T 1908适用于链路层采用IEEE 802局域网技术、xDSL技术和HFC技术的公用IP接入网,也适用于基于EAP的DHCP+认证、鉴权软件和设备。本标准不适用于IPv6网络环境。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
IETF RFC 1938 (1996) 一次性密码(OTP)系统
ETF RFC 2284 ( 1998) PPP可扩展认证协议(EAP)
IETF RFC 3046 (2001) DHCP中继代理信息选项协仪(DHCP option 82)
3术语、 定义和缩略语
3.1术语和定义
下列术语和定义适用于本标准。
3.1.1
受限地址
某一范围的IP地址(通常为私有地址),获取受限地址的接入用户仅能访问被资源提供者定义为受限的网络资源。
3.1.2
非受限地址
某一范围的IP地址(可以使用公网地址或私有地址),获取非受限地址的接入用户,可以访问资源提供者所提供的相应网络资源。
1范围
YD/T 1908规定了基于EAP的DHCP+ IP网络接入认证系统的体系结构、组网方式、通信流程,通信协议以及对相关设备的要求。
YD/T 1908适用于链路层采用IEEE 802局域网技术、xDSL技术和HFC技术的公用IP接入网,也适用于基于EAP的DHCP+认证、鉴权软件和设备。本标准不适用于IPv6网络环境。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
IETF RFC 1938 (1996) 一次性密码(OTP)系统
ETF RFC 2284 ( 1998) PPP可扩展认证协议(EAP)
IETF RFC 3046 (2001) DHCP中继代理信息选项协仪(DHCP option 82)
3术语、 定义和缩略语
3.1术语和定义
下列术语和定义适用于本标准。
3.1.1
受限地址
某一范围的IP地址(通常为私有地址),获取受限地址的接入用户仅能访问被资源提供者定义为受限的网络资源。
3.1.2
非受限地址
某一范围的IP地址(可以使用公网地址或私有地址),获取非受限地址的接入用户,可以访问资源提供者所提供的相应网络资源。
标准图片预览
标准内容
ICS33.040.40
中华人民共和国通信行业标准
YD/T 1908-2009
基于可扩展认证协议(EAP)的
动态地址分配扩展协议(DHCP+)IP网接入认证鉴权技术要求
AAA Technical Reguirements for Public IP network-Access Control by DHCP+ based on EAF2009-06-15发布
2009-09-01实施
中华人民共和国工业和信息化部发布前言·
2规范性引用文件
术语、定义和缩略语
系统结构
组网模型
6通信流程·
7通信协议
附录 A(资料性附录)NAT 支持方案附录B(资料性附录)防伪 DHCP检测方案·目
附录C(资料性附录)用户业务选择与带宽控制方案附录D(资料性附录)相关设备要求附录E(资料性附录)推荐的配置与性能参考实例附录F(资料性附录)受限地址资源考虑附录G(资料性附录)亚做攻击的防范次
KNYRAa
YD/T1908-2009
YD/T1908-2009
本标准是公众网络安全要求系列标准之一,本系列的标准结构和名称预让如下:1.YD/T1613-2U07公众IP网络安全要求-安全框架2.YD/T1614-2007公众IP网络安全要求-基于数字证书的访间控制3.YD/T1615-2007公众IP网络安全要求-基于远端接入用户验证服务协议(RADIUS)的访问控制
4.公众IP网络安全要求——基于802.1x的访问控制要求5.基于EAP的动态地址分配扩展协议(DHCP+)P网接入认证鉴权技术要求本标准的附录A、附录B、附录C、附录D、附录E、附录F、附录G均为资料性附录本标准由中国通信标准化协会提出并归口。本标准起草单位:北京润汇科技有限公司、工业和信息化部电信研究院、上海贝尔阿尔卡特股份有限公司、华为技术有限公司
本标准主要起草人:姚宏亮、聂秀英、佟立群、王地、陈晓、厉益舟YD/T1908-2009
基于可扩展认证协议(EAP)的动态地址分配扩展协议(DHCP+)IP网接入认证鉴权技术要求
t范围
本标准规定了基于EAP的DHCP+IP网络接入认证系统的体系结构、组网方式、通信流程,通信协议以及对相关设备的要求。
本标准适用于链路层采用IEEE802局域网技术、xDSL技术和HFC技术的公用IP接入网,也适用于基于EAP的DHCP+认证、鉴权软件和设备。本标准不适用于IPv6网络环境。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然面,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。IETFRFC 1938 (1996)
IETFRFC 2284 (1998)
ETFRFC 3046 (2001)
3术语、定义和缩略语
3.1术语和定义
《次性密码(OTP)系统
PPP可扩展认证协议(EAP)
DHCP中继代理信息选项协仪(DHCPoption82)下列术语和定义适用于本标准。3.1.1
受限地址
某一范围的IP地址(通常为私有地址),获取受限地址的接入用户仅能访问被资源提供者定义为受限的网络资源。
非受限地址
某一范围的P地址(可以使用公网地址或私有地址),获取非受限地划的接入用户,可以访问资源提供者所提供的相应网络资源。3.2缩略语
下列缩略语适用于本标准。
Auihentication,Authorization and AccountingAecess Control List
Asymmetric digital subscriber lineChallengeHandshakeAuthentication ProtocolCable modem termination systcmKANIKca
认证、鉴权和计费
访间控制表
非对称数据用户业务线
质询握手认证协议
同轴电缆调制解调器终结系统
YD/T 1908-2009
RADIUS
4系统结构
Dynamic Host Configuration ProtocolDigital Subscriber Line Access MultiplexerExicnsible Authentication ProtocolEAP over Radius
ENUS Control Protocol
EtherNet User Management SystemKeyed-HashingforMessageAuthenticationLocal Area Network
Media Access Conirol
Management Information Base
NetworkAddressTraaslation
Port Access Entily
Passwurd Authentication ProlocolPort Addrcss Translation
Point-to-Point Protocol
Remote Authentication Dial In User ServiceSimple Network Management ProtocnlStandard Performance Evaluation CorpTransport Level Security
TransactionProcessingPerformanceCouncilUser Datagram Protocol
Wireless LAN
动态主机配置协议
数字用户线接入复用器
可扩展认证协议
RADIUS协议承载的EAP
ENUS控制协议
以太网用广管理系统
用于信息身份验证的密钥-散列算法局域网
媒体访问控制
管理信息库
网络地址转换
端口接入实体
密码认证协议
端口地址转换
点对点协议
远端拨入用户认证服务
简单网络管理协议
标准性能评估公司
传输层安全
事务处理性能委员会
用户数据报协议
无线局域网
本标准规定的认证系统由 DHCP 服务器和 ECP 认证服务器组成,客户端和认证系统之间使用 FCP协设和标雅DHCP协设,如图1所示。当用户端(用户穿户端)接入网络时,首先按照DHCP协议发出获得地址:的请求(广播包),当认证系统接收到该请求后分配一个受限的网络地址给广端,此受限地址根据网络层的三层设备上所设置的ACL,限制用户端只能访问有限的网内资源;客广端成功接收到此受限地址后,向认证系统发送认证请求;认证系统接收到认证请求后通过AAA协议(如RADIUS协议)向AAA系统转发认证请求;当认证系统从AAA系统接收到认证成功消息后,认证系统给用户分配一个非受限的地址;用户端获取此地址后,与认证系统建立一个有效的会话连接。通过此连接,广端定时向认证系统发送状态消息,认证系统根婚收到的状态消息判断川广端是否处于激活状态。若连接中断意味着用户端已经退出,认证系统可以据此终止对此用户端的服务并回收相应的地址资源。本标准是建立在EAP-MD5方法之上,融合用户认证、地址分配策略控制、用户会话控制等实现的应用部署灵活且具有高安全性的互联网接入认证管理协议,在本协议中并没有使用到AP协议的全部特性;其中认证流程遵循的是CHAP协议,为了增强用户使用安全而采用重认证方式也同样遵循CHAP协议,2
5组网模型
5.1概述
受限网络资源
DHCP服务器bzxZ.net
接入网设备
AAA系统
三层设备
非受限网络资源
ECP认证正服务器
DSLAM/CMTS/Switch
图1系统结构
去活连接险
YD/T1908-2009
在实际配置中可采用集中式组网和分布式组网两种组网模式。集中组网模式是指在-个网络中仅配置一个集中的用户接入认证鉴权系统,该系统负责该网络上的所有用户的接入鉴权认证服务。分布式组网方式是指在一个网络中根据需要配置两个或多个用户接入认证鉴权系统,每个系统负责部分用户的接入认证鉴权服务,在提供用户漫游接入服务时,需配置一中心管理系统。5.2集中式组网模式
系统可以集中部署在网络任意交换机下,为全网各种接入方式提供接入认证服务。并且该系统可以通过增加服务器数量进行平滑扩展,如图2所示。在这种部署方式中推荐配置两套认证服务器,两套认证服务器之问可以热切互备;这两套服务器通过四层交换机接入骨干网络,以实现服务器问的负载均衡。5.3分布式组网
左右两个子系统为独立的子系统。子系统是可以平滑扩展的。即可以建立任意多个,但是这些系统之间处理的用户群是不一样的,如图3所示。子系统的内部的服务器数量在图中只是一个示意,是可以任意多的,取决于系统的性能要求。AAA系统采用本地数据库方式来为用户提供认证,授权,上下线操作。带来的业务影响包括:1开户或者销户行为将变为准实时生效。在中心AAA系统发生了这些操作时,中心AAA系统释相对应的AAA子系统发送更新消息。3
YD/T1908-2009
2)要求用户只能在一个子AAA系统上登录:对不同子AAA系统之间的用户使用进行漫游限制。提供的策略一般为:
》山漫游:
允许漫游,但是所有漫游的用户需要增加域名标识采用远程认证,授权,上下线的方式进行。在这种部署方式中,每个子系统推荐配置两套认证服务器,两套认证服务器之间可以热切互备;这两套服务器通过四层交换机接入骨干网络,以实现认证服务器间的负载均衡。完成DHCPRELAY的设备可以配置主备的RELAY目的地址指向不同的子系统,以实现子系统间的备份功能。AAA系统
认证系统
AAA系统
子系统
PC/机顶盒
PC/机顶盒
应用服务
三层设备
图2集中式组网拓扑结构
中心管理
PC/机项盒
认证流
+数据流
AAA系统
子系统
认证流
数据流
信息交换
图3分布式组网拓扑结构
6通信流程
6.1认证鉴权阶段
YD/T 1908-2009
用户使用基下EAP的DHCP+认证鉴权系统时包括如下5个阶段。后 3个阶段是在用户成功地通过认证和鉴权后进行,若用户认证鉴权失败,则用户不会经过面的三个阶段。1)分配受限地址阶段:该阶段为从用户请求连接到网络到用户获得受限地址为比的一个阶段。在该阶段中用户首先向边缘兰层设备发送DISCOVERY消息,边缘三层设备收到该消思后,根据配置在端口上的IP-HELPER-ADDRESS将包转发给DHCP服务器并宵接到达ECP认证服务器。ECP认证服务器收到了用户的数据包以后使DHCP服务器为用户分配可用受限地址。2)用户认证和鉴权阶段:该阶段是指用户提交相关的认证鉴权信息到用户收到认证鉴权结果的阶段。在该阶段中,用户登录直接与ECP认证系统连接的前端通信,发送登录数据包给ECP认证服务器。ECP认证服务器收到这个数据包以后,首先去AAA系统认证用户名口令和要求AAA系统为用户授权,这个调用的过程中,AAA系统会调用数据库来完成这些操作。3)分配非受限地址阶段:该阶段是指从用广成功通过认证鉴权后到完成非受限地址分配的阶段。该阶段相比分配受限地址阶段,多了两个异步的调用,即ECP认证服务器本身需要异步调用数据库记录在线用户:另外一个是ECP认证服务器通知AAA系统用户上线并记录用户的上线时间,AAA系统会调用数据库完成这个操作。
4)地址续租和会话阶段:该阶段是指狱得了非受限地址的用户通过与ECP认证服务器之间交换用广状态信意以实现地班续租和会话连接刷新阶段5)用户下线阶段:该阶段是指用户下线并释改非受限地址的阶段,在该阶段,除了接入子系统完成了用户下线修改权限的过程以外。还有三个异步操作,首先是ECP认证服务器异步调用数据库删除对的在线用产的操作:其饮ECP认证服务器会异步调用AAA系统的下线接口:最后CP认证服务器条统会异步调用 AAA 系统的计费接口。AAA 系统和数据库之间都是同步调用。6.2分配受限地址阶段通信流程
用户获取受限P地址通信流程如图4所示。流程说明:
I)客户端开机,发送Discovery请求,此请求中包括客户机的MAC地址:2)三层设备接收到请求后,转发给DHCP服务器;3)DHCP服务器将地址请求发给ECP认证服务器:4)ECP认证服务器根据客户机的MAC地址权限,返回该客户端应该获得的受限P地址:5)DHCP服务器给用户分配受限EP地址:6)三层设备转发Offer包,客户机获取受限IP地址。5
YD/T 1908-2009
客户端
三层改备
1)客户端发达DTSCOVER请求
6)三层设备转发0FFER包
DHCP服务器
三层设务转发请求到DHCP务
5)给用户分配受限IP地址
ECP认证服务器
3)DHCP服务器将地址请求发给
ECP认证服务器
4)ECP认证
服务器根据客户机的HAC地址
校限,这尚该客户端应该获得
的受限TP地址
图4用户获取受限IP地址通信流程6.3用户认证和鉴权阶段和分配非受限地址通信流程用户认证,授权及上线通信流程如图5所示。客户滑
1)客户端发送用户名和密码
DHEP服务器
4)认证服务器通知客户端认计通过5)齐户学向DFCP服务靠发送单新销来地址的请求
9)DHP驶务器给川广分配非受及地址6)DHCP服务器获取非
受限地址
ECP认证服务器
LAA案统
2)FCP认证服务器应AAA发这认证请求3)A系统返回
ECP认证服务器认证我授权结果
2】ECP服务器向AAA系统
爱起用产工线通知。并记录用的上线起烧时间
HAA系统返口给CP服务驿通知
图5认证、授权及上线通信流程
流程说明:
1)启动客户端,输入客户端名和密码后,向ECP认证服务器发送认证请求。2)ECP认证服务器调用认证接口,向AAA系统发送认证请求;3
认证通过,AAA系统返回ECP认证服务器认证和授权结果:ECP认证服务器通知客户端认证通过;4)1
客户端向DHCP服务器发送重新请求地址的请求:6)DHCP服务器获取非受限地址:YD/T 1908-2009
ECP认证服务器向AAA系统发出用户上线通知,并记录用户的上线起始时间;7
8)AAA系统返回给ECP认证服务器通知响应:9)DHCP 服务器给用户分配非受限地址。其中ECP模块(处理 ECP 协议)与DHCP 模快部署在一台服务器上,地址一致,客户端发起 ECP认证后,由ECP模块给客户端返回任务分配服务器地址。6.4地址续租和会话阶段通信流程地址续租和会话连接刷新阶段通信流程如图6所示,客广端
1)客户端周期性的发起会话连接刷新请求
\)客户端周期性的发起地址续租请求
THCP服务器
FCP认证服务器
2)ECP认证服务器收到会话连接刷新请求后给出会语连接刷新向
图6地址线租和会话连接刷新阶段通信流程流程说明:
1)客户端周期性的发起会话连接刷新请求:2)ECP认证服务器收到会话连接刷新请求后给出会话连接刷新响应。3)客户端周期性的发起地址续租请求;4)DHCP服务器收到地址续租请求后给出地址续租响应。会话连接刷新功能主要是完成主机是否在线的检测,也可以通过其它方式来实现,例如通过设备使用ARP问询方式定时检测主机是否在线,然后以带内或带外的方式通知DHCP服务器的方法来完成。子
YD/T 1908-2009
6.5用户下线阶段通信流程
6.5.1用户正常下线通信流程
用户正常下线通信流程如图7所示。客端
1)客户端发送下线请求
EHCP服务器
1)ECP认证服务器通知客户端可以下线5 )客户端向IHCP服务器发送重新请求驰址的请求
7服务器为客广机分配受限
6ICP服务器
软取受製地
ECP认证服务器
2FCP认证服务据向A44系统
:发送下线请求,器儿用出宇线的时司34AA系统给出下线成功回应
图7用户正常下线通信流程
流程说明:
1)客户端向ECP认证服务器发送下线请求;2)ECP认证服务器问AAA系统发送下线请求,并给出下线时间:3)AAA系统给出下线成功响应:4)FCP认证服务器通知客户端可以下线:客户端向DHCP服务器发送新申请地址请求:5
DHCP服务器获取受限地址:
7)DHCP服务器将分配的受限IP地址返回给客户端,AA4系统
注:客户端下线以后通过在用户 PC机上执行--条 DOS 下的 DHCPRENEW命令来重新发起一个标准DHCP流程。6.5.2用户异常下线通信流程
用户异常下线通信流程如图8所示。流程说明:
1)ECP认证服务器周期性的检测客户端的会话连接删新是否收到,当3次没有收到客广端的会话连接刷新时,判定用户已经下线:2)ECP认证服务器向AAA系统发送下线请求,并给出下线时间;3)AAA系统给出下线成功响应:4)ECP认证服务器通知DHCP服务器,用户已经下线成功;8
5)DHCP服务器回收地址资源。
DHCP服务器
ECP认证服务器
证服务案周
期性的控测客户端的
心跳是否牧到,
当3张
没有收到客产端的心
判定用产经
2)ECP认证服务器向AAM系统
爱送下线请求,出哺芦于线的时间3系统翁出下线成功回应
通知DHCP服务器改变用产的地址权限,并回收相应地址资源
图8用户异常下线通信流程
7通信协议
7.1协议概述
YD/T 1908-2009
AAA系统
DHCP扩展协议是在DHCP应用层面上扩展的一套协议。标准的DHCP协议只规定了户的计算机如何获得IP地址,没有提供认证、授权,计费等方法。为了适应网络运营的要求,除了运行标准的DHCP协议之外,采用网络应用层通信的方式传递用户、Session等信息,实现完整的认证、计费等流程。这科DHCP协议加应用层协议的方式简称DHCP扩展协议。DHCP扩展接入认证技术相对于标准的 DHCP协议相比,做了以下的扩展。
1)引入了多权限地址的概念,即在一个三层设备端口下,用户可以根据不同的权限情况得到不同的P地址池中的地址。
2)引入了用户的业务使用流程,即打通了用户AAA流程和DHCP流程之间的关系,通过MAC+物理端口来表示一一个用户,在用户登录以后改变MAC+物理端口的权限,为其变化对应的IP地址:。3)用户采用ECP协议遵循CHAP流程完成基于用户名和用户口令的认证,ECP认证服务器根据认证结果授权DHCP服务器为用产分配受限或非受限地址。4)完成了用户使用时长的采集,即通过和用户之间定义采集时长信息的协议,完成了开始使用到终止使用的时长确认。
7.1.1协议构成
通过客户端与ECP认证服务器协同通讯完成用户的认证、授权和计费,使用UDP协议传送ECP协议数据单元;同时配合使用动态土机配置协议在TCP/P宽带网络上使客户机获得网络配置倍息。服务器端UDP监听端口为2167。如图9所示,ECP协议数据单元由固定长度的头部分和可变长度的属性域部分组成。头部分规定了数据包的版本号、类型等信息,属性域规定了各种属性的值。9
KNIKca-
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T 1908-2009
基于可扩展认证协议(EAP)的
动态地址分配扩展协议(DHCP+)IP网接入认证鉴权技术要求
AAA Technical Reguirements for Public IP network-Access Control by DHCP+ based on EAF2009-06-15发布
2009-09-01实施
中华人民共和国工业和信息化部发布前言·
2规范性引用文件
术语、定义和缩略语
系统结构
组网模型
6通信流程·
7通信协议
附录 A(资料性附录)NAT 支持方案附录B(资料性附录)防伪 DHCP检测方案·目
附录C(资料性附录)用户业务选择与带宽控制方案附录D(资料性附录)相关设备要求附录E(资料性附录)推荐的配置与性能参考实例附录F(资料性附录)受限地址资源考虑附录G(资料性附录)亚做攻击的防范次
KNYRAa
YD/T1908-2009
YD/T1908-2009
本标准是公众网络安全要求系列标准之一,本系列的标准结构和名称预让如下:1.YD/T1613-2U07公众IP网络安全要求-安全框架2.YD/T1614-2007公众IP网络安全要求-基于数字证书的访间控制3.YD/T1615-2007公众IP网络安全要求-基于远端接入用户验证服务协议(RADIUS)的访问控制
4.公众IP网络安全要求——基于802.1x的访问控制要求5.基于EAP的动态地址分配扩展协议(DHCP+)P网接入认证鉴权技术要求本标准的附录A、附录B、附录C、附录D、附录E、附录F、附录G均为资料性附录本标准由中国通信标准化协会提出并归口。本标准起草单位:北京润汇科技有限公司、工业和信息化部电信研究院、上海贝尔阿尔卡特股份有限公司、华为技术有限公司
本标准主要起草人:姚宏亮、聂秀英、佟立群、王地、陈晓、厉益舟YD/T1908-2009
基于可扩展认证协议(EAP)的动态地址分配扩展协议(DHCP+)IP网接入认证鉴权技术要求
t范围
本标准规定了基于EAP的DHCP+IP网络接入认证系统的体系结构、组网方式、通信流程,通信协议以及对相关设备的要求。
本标准适用于链路层采用IEEE802局域网技术、xDSL技术和HFC技术的公用IP接入网,也适用于基于EAP的DHCP+认证、鉴权软件和设备。本标准不适用于IPv6网络环境。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然面,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。IETFRFC 1938 (1996)
IETFRFC 2284 (1998)
ETFRFC 3046 (2001)
3术语、定义和缩略语
3.1术语和定义
《次性密码(OTP)系统
PPP可扩展认证协议(EAP)
DHCP中继代理信息选项协仪(DHCPoption82)下列术语和定义适用于本标准。3.1.1
受限地址
某一范围的IP地址(通常为私有地址),获取受限地址的接入用户仅能访问被资源提供者定义为受限的网络资源。
非受限地址
某一范围的P地址(可以使用公网地址或私有地址),获取非受限地划的接入用户,可以访问资源提供者所提供的相应网络资源。3.2缩略语
下列缩略语适用于本标准。
Auihentication,Authorization and AccountingAecess Control List
Asymmetric digital subscriber lineChallengeHandshakeAuthentication ProtocolCable modem termination systcmKANIKca
认证、鉴权和计费
访间控制表
非对称数据用户业务线
质询握手认证协议
同轴电缆调制解调器终结系统
YD/T 1908-2009
RADIUS
4系统结构
Dynamic Host Configuration ProtocolDigital Subscriber Line Access MultiplexerExicnsible Authentication ProtocolEAP over Radius
ENUS Control Protocol
EtherNet User Management SystemKeyed-HashingforMessageAuthenticationLocal Area Network
Media Access Conirol
Management Information Base
NetworkAddressTraaslation
Port Access Entily
Passwurd Authentication ProlocolPort Addrcss Translation
Point-to-Point Protocol
Remote Authentication Dial In User ServiceSimple Network Management ProtocnlStandard Performance Evaluation CorpTransport Level Security
TransactionProcessingPerformanceCouncilUser Datagram Protocol
Wireless LAN
动态主机配置协议
数字用户线接入复用器
可扩展认证协议
RADIUS协议承载的EAP
ENUS控制协议
以太网用广管理系统
用于信息身份验证的密钥-散列算法局域网
媒体访问控制
管理信息库
网络地址转换
端口接入实体
密码认证协议
端口地址转换
点对点协议
远端拨入用户认证服务
简单网络管理协议
标准性能评估公司
传输层安全
事务处理性能委员会
用户数据报协议
无线局域网
本标准规定的认证系统由 DHCP 服务器和 ECP 认证服务器组成,客户端和认证系统之间使用 FCP协设和标雅DHCP协设,如图1所示。当用户端(用户穿户端)接入网络时,首先按照DHCP协议发出获得地址:的请求(广播包),当认证系统接收到该请求后分配一个受限的网络地址给广端,此受限地址根据网络层的三层设备上所设置的ACL,限制用户端只能访问有限的网内资源;客广端成功接收到此受限地址后,向认证系统发送认证请求;认证系统接收到认证请求后通过AAA协议(如RADIUS协议)向AAA系统转发认证请求;当认证系统从AAA系统接收到认证成功消息后,认证系统给用户分配一个非受限的地址;用户端获取此地址后,与认证系统建立一个有效的会话连接。通过此连接,广端定时向认证系统发送状态消息,认证系统根婚收到的状态消息判断川广端是否处于激活状态。若连接中断意味着用户端已经退出,认证系统可以据此终止对此用户端的服务并回收相应的地址资源。本标准是建立在EAP-MD5方法之上,融合用户认证、地址分配策略控制、用户会话控制等实现的应用部署灵活且具有高安全性的互联网接入认证管理协议,在本协议中并没有使用到AP协议的全部特性;其中认证流程遵循的是CHAP协议,为了增强用户使用安全而采用重认证方式也同样遵循CHAP协议,2
5组网模型
5.1概述
受限网络资源
DHCP服务器bzxZ.net
接入网设备
AAA系统
三层设备
非受限网络资源
ECP认证正服务器
DSLAM/CMTS/Switch
图1系统结构
去活连接险
YD/T1908-2009
在实际配置中可采用集中式组网和分布式组网两种组网模式。集中组网模式是指在-个网络中仅配置一个集中的用户接入认证鉴权系统,该系统负责该网络上的所有用户的接入鉴权认证服务。分布式组网方式是指在一个网络中根据需要配置两个或多个用户接入认证鉴权系统,每个系统负责部分用户的接入认证鉴权服务,在提供用户漫游接入服务时,需配置一中心管理系统。5.2集中式组网模式
系统可以集中部署在网络任意交换机下,为全网各种接入方式提供接入认证服务。并且该系统可以通过增加服务器数量进行平滑扩展,如图2所示。在这种部署方式中推荐配置两套认证服务器,两套认证服务器之问可以热切互备;这两套服务器通过四层交换机接入骨干网络,以实现服务器问的负载均衡。5.3分布式组网
左右两个子系统为独立的子系统。子系统是可以平滑扩展的。即可以建立任意多个,但是这些系统之间处理的用户群是不一样的,如图3所示。子系统的内部的服务器数量在图中只是一个示意,是可以任意多的,取决于系统的性能要求。AAA系统采用本地数据库方式来为用户提供认证,授权,上下线操作。带来的业务影响包括:1开户或者销户行为将变为准实时生效。在中心AAA系统发生了这些操作时,中心AAA系统释相对应的AAA子系统发送更新消息。3
YD/T1908-2009
2)要求用户只能在一个子AAA系统上登录:对不同子AAA系统之间的用户使用进行漫游限制。提供的策略一般为:
》山漫游:
允许漫游,但是所有漫游的用户需要增加域名标识采用远程认证,授权,上下线的方式进行。在这种部署方式中,每个子系统推荐配置两套认证服务器,两套认证服务器之间可以热切互备;这两套服务器通过四层交换机接入骨干网络,以实现认证服务器间的负载均衡。完成DHCPRELAY的设备可以配置主备的RELAY目的地址指向不同的子系统,以实现子系统间的备份功能。AAA系统
认证系统
AAA系统
子系统
PC/机顶盒
PC/机顶盒
应用服务
三层设备
图2集中式组网拓扑结构
中心管理
PC/机项盒
认证流
+数据流
AAA系统
子系统
认证流
数据流
信息交换
图3分布式组网拓扑结构
6通信流程
6.1认证鉴权阶段
YD/T 1908-2009
用户使用基下EAP的DHCP+认证鉴权系统时包括如下5个阶段。后 3个阶段是在用户成功地通过认证和鉴权后进行,若用户认证鉴权失败,则用户不会经过面的三个阶段。1)分配受限地址阶段:该阶段为从用户请求连接到网络到用户获得受限地址为比的一个阶段。在该阶段中用户首先向边缘兰层设备发送DISCOVERY消息,边缘三层设备收到该消思后,根据配置在端口上的IP-HELPER-ADDRESS将包转发给DHCP服务器并宵接到达ECP认证服务器。ECP认证服务器收到了用户的数据包以后使DHCP服务器为用户分配可用受限地址。2)用户认证和鉴权阶段:该阶段是指用户提交相关的认证鉴权信息到用户收到认证鉴权结果的阶段。在该阶段中,用户登录直接与ECP认证系统连接的前端通信,发送登录数据包给ECP认证服务器。ECP认证服务器收到这个数据包以后,首先去AAA系统认证用户名口令和要求AAA系统为用户授权,这个调用的过程中,AAA系统会调用数据库来完成这些操作。3)分配非受限地址阶段:该阶段是指从用广成功通过认证鉴权后到完成非受限地址分配的阶段。该阶段相比分配受限地址阶段,多了两个异步的调用,即ECP认证服务器本身需要异步调用数据库记录在线用户:另外一个是ECP认证服务器通知AAA系统用户上线并记录用户的上线时间,AAA系统会调用数据库完成这个操作。
4)地址续租和会话阶段:该阶段是指狱得了非受限地址的用户通过与ECP认证服务器之间交换用广状态信意以实现地班续租和会话连接刷新阶段5)用户下线阶段:该阶段是指用户下线并释改非受限地址的阶段,在该阶段,除了接入子系统完成了用户下线修改权限的过程以外。还有三个异步操作,首先是ECP认证服务器异步调用数据库删除对的在线用产的操作:其饮ECP认证服务器会异步调用AAA系统的下线接口:最后CP认证服务器条统会异步调用 AAA 系统的计费接口。AAA 系统和数据库之间都是同步调用。6.2分配受限地址阶段通信流程
用户获取受限P地址通信流程如图4所示。流程说明:
I)客户端开机,发送Discovery请求,此请求中包括客户机的MAC地址:2)三层设备接收到请求后,转发给DHCP服务器;3)DHCP服务器将地址请求发给ECP认证服务器:4)ECP认证服务器根据客户机的MAC地址权限,返回该客户端应该获得的受限P地址:5)DHCP服务器给用户分配受限EP地址:6)三层设备转发Offer包,客户机获取受限IP地址。5
YD/T 1908-2009
客户端
三层改备
1)客户端发达DTSCOVER请求
6)三层设备转发0FFER包
DHCP服务器
三层设务转发请求到DHCP务
5)给用户分配受限IP地址
ECP认证服务器
3)DHCP服务器将地址请求发给
ECP认证服务器
4)ECP认证
服务器根据客户机的HAC地址
校限,这尚该客户端应该获得
的受限TP地址
图4用户获取受限IP地址通信流程6.3用户认证和鉴权阶段和分配非受限地址通信流程用户认证,授权及上线通信流程如图5所示。客户滑
1)客户端发送用户名和密码
DHEP服务器
4)认证服务器通知客户端认计通过5)齐户学向DFCP服务靠发送单新销来地址的请求
9)DHP驶务器给川广分配非受及地址6)DHCP服务器获取非
受限地址
ECP认证服务器
LAA案统
2)FCP认证服务器应AAA发这认证请求3)A系统返回
ECP认证服务器认证我授权结果
2】ECP服务器向AAA系统
爱起用产工线通知。并记录用的上线起烧时间
HAA系统返口给CP服务驿通知
图5认证、授权及上线通信流程
流程说明:
1)启动客户端,输入客户端名和密码后,向ECP认证服务器发送认证请求。2)ECP认证服务器调用认证接口,向AAA系统发送认证请求;3
认证通过,AAA系统返回ECP认证服务器认证和授权结果:ECP认证服务器通知客户端认证通过;4)1
客户端向DHCP服务器发送重新请求地址的请求:6)DHCP服务器获取非受限地址:YD/T 1908-2009
ECP认证服务器向AAA系统发出用户上线通知,并记录用户的上线起始时间;7
8)AAA系统返回给ECP认证服务器通知响应:9)DHCP 服务器给用户分配非受限地址。其中ECP模块(处理 ECP 协议)与DHCP 模快部署在一台服务器上,地址一致,客户端发起 ECP认证后,由ECP模块给客户端返回任务分配服务器地址。6.4地址续租和会话阶段通信流程地址续租和会话连接刷新阶段通信流程如图6所示,客广端
1)客户端周期性的发起会话连接刷新请求
\)客户端周期性的发起地址续租请求
THCP服务器
FCP认证服务器
2)ECP认证服务器收到会话连接刷新请求后给出会语连接刷新向
图6地址线租和会话连接刷新阶段通信流程流程说明:
1)客户端周期性的发起会话连接刷新请求:2)ECP认证服务器收到会话连接刷新请求后给出会话连接刷新响应。3)客户端周期性的发起地址续租请求;4)DHCP服务器收到地址续租请求后给出地址续租响应。会话连接刷新功能主要是完成主机是否在线的检测,也可以通过其它方式来实现,例如通过设备使用ARP问询方式定时检测主机是否在线,然后以带内或带外的方式通知DHCP服务器的方法来完成。子
YD/T 1908-2009
6.5用户下线阶段通信流程
6.5.1用户正常下线通信流程
用户正常下线通信流程如图7所示。客端
1)客户端发送下线请求
EHCP服务器
1)ECP认证服务器通知客户端可以下线5 )客户端向IHCP服务器发送重新请求驰址的请求
7服务器为客广机分配受限
6ICP服务器
软取受製地
ECP认证服务器
2FCP认证服务据向A44系统
:发送下线请求,器儿用出宇线的时司34AA系统给出下线成功回应
图7用户正常下线通信流程
流程说明:
1)客户端向ECP认证服务器发送下线请求;2)ECP认证服务器问AAA系统发送下线请求,并给出下线时间:3)AAA系统给出下线成功响应:4)FCP认证服务器通知客户端可以下线:客户端向DHCP服务器发送新申请地址请求:5
DHCP服务器获取受限地址:
7)DHCP服务器将分配的受限IP地址返回给客户端,AA4系统
注:客户端下线以后通过在用户 PC机上执行--条 DOS 下的 DHCPRENEW命令来重新发起一个标准DHCP流程。6.5.2用户异常下线通信流程
用户异常下线通信流程如图8所示。流程说明:
1)ECP认证服务器周期性的检测客户端的会话连接删新是否收到,当3次没有收到客广端的会话连接刷新时,判定用户已经下线:2)ECP认证服务器向AAA系统发送下线请求,并给出下线时间;3)AAA系统给出下线成功响应:4)ECP认证服务器通知DHCP服务器,用户已经下线成功;8
5)DHCP服务器回收地址资源。
DHCP服务器
ECP认证服务器
证服务案周
期性的控测客户端的
心跳是否牧到,
当3张
没有收到客产端的心
判定用产经
2)ECP认证服务器向AAM系统
爱送下线请求,出哺芦于线的时间3系统翁出下线成功回应
通知DHCP服务器改变用产的地址权限,并回收相应地址资源
图8用户异常下线通信流程
7通信协议
7.1协议概述
YD/T 1908-2009
AAA系统
DHCP扩展协议是在DHCP应用层面上扩展的一套协议。标准的DHCP协议只规定了户的计算机如何获得IP地址,没有提供认证、授权,计费等方法。为了适应网络运营的要求,除了运行标准的DHCP协议之外,采用网络应用层通信的方式传递用户、Session等信息,实现完整的认证、计费等流程。这科DHCP协议加应用层协议的方式简称DHCP扩展协议。DHCP扩展接入认证技术相对于标准的 DHCP协议相比,做了以下的扩展。
1)引入了多权限地址的概念,即在一个三层设备端口下,用户可以根据不同的权限情况得到不同的P地址池中的地址。
2)引入了用户的业务使用流程,即打通了用户AAA流程和DHCP流程之间的关系,通过MAC+物理端口来表示一一个用户,在用户登录以后改变MAC+物理端口的权限,为其变化对应的IP地址:。3)用户采用ECP协议遵循CHAP流程完成基于用户名和用户口令的认证,ECP认证服务器根据认证结果授权DHCP服务器为用产分配受限或非受限地址。4)完成了用户使用时长的采集,即通过和用户之间定义采集时长信息的协议,完成了开始使用到终止使用的时长确认。
7.1.1协议构成
通过客户端与ECP认证服务器协同通讯完成用户的认证、授权和计费,使用UDP协议传送ECP协议数据单元;同时配合使用动态土机配置协议在TCP/P宽带网络上使客户机获得网络配置倍息。服务器端UDP监听端口为2167。如图9所示,ECP协议数据单元由固定长度的头部分和可变长度的属性域部分组成。头部分规定了数据包的版本号、类型等信息,属性域规定了各种属性的值。9
KNIKca-
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。