免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

IPTV存在認(rèn)證“隱患”接入認(rèn)證改造組播安全體系

作者：中國網(wǎng)通集團(tuán)研究院 胡皓 加入時(shí)間：2005-5-30 19:07:45評論在組播業(yè)務(wù)中，運(yùn)營商需要保證業(yè)務(wù)的可運(yùn)營可管理，因此就要通過一些必要的策略來達(dá)到業(yè)務(wù)可控的目的。組播的控制策略有很多種，主要分為對RP的控制、對組播源的控制、對組播組的控制、對組播用戶的控制及對組播范圍的控制。而對組播用戶的控制，其重要的一個(gè)技術(shù)手段就是對用戶的認(rèn)證、授權(quán)。原有的寬帶網(wǎng)絡(luò)中用戶的認(rèn)證多用于IP單播業(yè)務(wù)，并不能夠完全滿足組播認(rèn)證的要求。這就需要運(yùn)營商對原有的認(rèn)證體系進(jìn)行改造，以適應(yīng)IPTV業(yè)務(wù)的開展要求。按用戶與網(wǎng)絡(luò)設(shè)備之間的通信方式，目前使用較多的網(wǎng)絡(luò)層接入認(rèn)證方式分為PPPoE和DHCP+Web兩種。PPPoE技術(shù)PPPoE類似于傳統(tǒng)的撥號接入方式，用戶端采用一個(gè)撥號軟件，發(fā)起PPP連接請求，穿過以太網(wǎng)交換機(jī)或者xDSL設(shè)備，終結(jié)在接入網(wǎng)關(guān)設(shè)備上。接入網(wǎng)關(guān)設(shè)備負(fù)責(zé)終結(jié)PPP連接，并與RADIUS服務(wù)器配合實(shí)現(xiàn)用戶管理和策略控制。目前PPPoE認(rèn)證技術(shù)在以太網(wǎng)接入和ADSL接入方式中應(yīng)用的最為廣泛，其組網(wǎng)原理基本相同，都是利用交換機(jī)或DSLAM將用戶接入網(wǎng)內(nèi)，在交換機(jī)和DSLAM后面設(shè)置BRAS設(shè)備來終結(jié)PPP。終結(jié)PPP連接的寬帶接入服務(wù)器可以對這些PPP連接分別進(jìn)行管理，可對用戶上網(wǎng)業(yè)務(wù)分別進(jìn)行時(shí)長和流量信息的統(tǒng)計(jì)，為各種計(jì)費(fèi)方式提供必要的用戶上網(wǎng)信息。PPPoE的實(shí)質(zhì)是在以太網(wǎng)上跑PPP協(xié)議，在用戶端和寬帶接入服務(wù)器之間建立了PPP的點(diǎn)對點(diǎn)通道。也就是說，如果在用戶主機(jī)和BRAS之間啟用組播業(yè)務(wù)，則組播數(shù)據(jù)必須以BRAS作為接收端復(fù)制點(diǎn)，這樣會(huì)使大量的組播數(shù)據(jù)穿越網(wǎng)絡(luò)和DSLAM設(shè)備，違背了組播的初衷。因此，PPPoE接入方式限制了組播協(xié)議的存在，影響組播視頻業(yè)務(wù)的開展。DHCP+WEB技術(shù)DHCP+Web認(rèn)證需要與DHCP服務(wù)器和Web認(rèn)證服務(wù)器配合使用，Host首先通過DHCP得到一個(gè)IP地址，與Web認(rèn)證服務(wù)器通信，也可以使用戶只訪問一些內(nèi)部服務(wù)器，然后，接入服務(wù)器將用戶強(qiáng)制連接到Web認(rèn)證服務(wù)器上，并在瀏覽器中彈出認(rèn)證頁面。在該頁面中輸入賬號和密碼，Web Server作為Radius的Client端把認(rèn)證信息傳送到Radius Server，對用戶進(jìn)行認(rèn)證。認(rèn)證通過后，用戶獲得新的合法的IP地址，可以訪問因特網(wǎng)或特定的網(wǎng)絡(luò)。在DHCP+Web認(rèn)證方式中，用戶主機(jī)和接入服務(wù)器之間并沒用任何類似PPP的第3層通道，也不存在對組播協(xié)議的限制。如果用戶主機(jī)到接入服務(wù)器之間的交換機(jī)或DSLAM能支持IGMP Snooping，組播業(yè)務(wù)很容易開展。但是DHCP本身存在很多缺點(diǎn)，特別是安全性問題，如何能夠保證用戶信息的合法性、真實(shí)性是DHCP需要解決的關(guān)鍵問題。改進(jìn)方案由此可以看到，網(wǎng)絡(luò)層認(rèn)證根據(jù)STB終端支持的程度可采用PPPOE認(rèn)證或DHCP方式。但是這兩種認(rèn)證方式，都不能夠滿足IPTV業(yè)務(wù)開展的需要。因此，我們就需要針對現(xiàn)有的認(rèn)證方式提供相應(yīng)的解決方案，在保證IPTV業(yè)務(wù)開展的前提下，盡可能的減少對現(xiàn)網(wǎng)的大規(guī)范改動(dòng)，以保證原有業(yè)務(wù)的支撐。對于STB終端采用PPPOE進(jìn)行認(rèn)證的方式，主要需要解決的問題是組播數(shù)據(jù)的下發(fā)。因此可以針對用戶的不同業(yè)務(wù)采用不同的業(yè)務(wù)分發(fā)通道。也就是說，一方面要求BRAS設(shè)備支持IPTV業(yè)務(wù)的PPPOE認(rèn)證，其相關(guān)的單播數(shù)據(jù)通過PPPoE的通道下發(fā)，另一方面組播數(shù)據(jù)通過IPOE的通道進(jìn)行下發(fā)；這就要求BRAS通過認(rèn)證信息能夠區(qū)分用戶業(yè)務(wù)種類，而DLSAM設(shè)備需要支持組播分發(fā)及組播組的控制，同時(shí)要求STB設(shè)備支持雙協(xié)議棧。這樣既可以保證原有認(rèn)證系統(tǒng)的功能，同時(shí)也能夠保證組播業(yè)務(wù)的順利開展。而對于DHCP認(rèn)證方式，其主要問題是保證DHCP接入的安全性和真實(shí)性，這就需要在DHCP包文中引入OP-TION82選項(xiàng)；對于存在多個(gè)終端同時(shí)使用DHCP的場合，為了區(qū)分這些終端，還需引入OPTION60選項(xiàng)。DHCP Option82選項(xiàng)通常由DSLAM設(shè)備將用戶的端口信息和設(shè)備信息插入到用戶的DHCP報(bào)文，DHCP服務(wù)器通過識別OPTION82來執(zhí)行IP地址分配策略或其它策略。OPTION60選項(xiàng)通常由終端自帶，不同類型的終端可以通過設(shè)置不同的OPTION60來識別。通過OPTION60選項(xiàng)，可以實(shí)現(xiàn)對不同的終端分配不同的地址空間。但是，OPTION82的引入需要DSLAM的支持，目前運(yùn)營商使用的設(shè)備大部分并不具備該功能，因此需要進(jìn)行網(wǎng)絡(luò)設(shè)備的改造。