1前言 在國內寬頻接入網中，傳統業務主要為Internet訪問，認證方式大多為PPPOE。而隨著近年來IPTV業務的開展，網路由單業務承載轉向了多業務承載，DHCP認證的方式也越來越受到關注，本文重點介紹這兩種認證技術。 2認證技術介紹 2.1PPPOE認證 2.1.1 PPPoE接入認證原理 PPPoE是利用乙太網傳送PPP包的傳輸方法和支援在同一乙太網上建立多個PPP連線的接入技術。其結合了乙太網和PPP連線的綜合屬性。 PPP協議是一種點到點的鏈路層協議，它提供了點到點的一種封裝、傳遞資料的一種方法。PPP協議一般包括三個協商階段：LCP（鏈路控制協議）階段，認證階段（比如CHAP/PAP），NCP（網路層控制協議，比如IPCP)階段。撥號後，使用者計算機和局方的接入伺服器在LCP階段協商底層鏈路引數，然後在認證階段進行使用者計算機將使用者名稱和密碼傳送給接入伺服器認證，接入伺服器可以進行本地認證，可以通過RADIUS協議將使用者名稱和密碼傳送給AAA伺服器進行認證。認證通過後，在NCP（IPCP）協商階段，接入伺服器給使用者計算機分配網路層引數如IP地址等。經過PPP的三個協商階段後，使用者就可以傳送和接受網路報文，使用者收發的所有網路層報文都封裝在PPP報文中。 PPP協議的一個重要的功能是提供了身份驗證功能。 乙太網是一種廣播網路，其缺點是通訊雙方無法相互驗證對方身份，通訊是不安全的。PPP協議提供了通訊雙方身份驗證的功能，但是PPP協議是一種點對點的協議，協議中沒有提供地址資訊。如果PPP應用在乙太網上，必須使用PPPoE再進行一次封裝，PPPoE協議提供了在乙太網廣播鏈路上進行點對點通訊的能力。 2.1.2接入流程 以PPP-CHAP為例，PPPoE使用者的接入流程如下：

圖 1 PPPoE認證流程 1)PPPOE客戶端向PPPOE伺服器裝置傳送一個PADI廣播報文，開始PPPoE接入。 2)PPPOE伺服器向客戶端傳送PADO報文。 3)客戶端根據迴應，發起PADR請求給PPPOE伺服器。 4)PPPOE伺服器產生一個session id，通過PADS發給客戶端。 5)客戶端和PPPOE伺服器之間進行PPP的LCP協商，建立鏈路層通訊。同時，協商使用CHAP認證方式。 6)PPPOE伺服器通過Challenge報文傳送給認證客戶端,提供一個128bit的Challenge。 7)客戶端收到Challenge報文後，將密碼和Challenge做MD5演算法後的，在Response迴應報文中把它傳送給PPPOE伺服器。 8)PPPOE伺服器將Challenge、Challenge-Password和使用者名稱一起送到RADIUS使用者認證伺服器，由RADIUS使用者認證伺服器進行認證。 9)RADIUS使用者認證伺服器根據使用者資訊判斷使用者是否合法，然後迴應認證成功/失敗報文到PPPOE伺服器。如果成功，攜帶協商引數，以及使用者的相關業務屬性給使用者授權。如果認證失敗，則流程到此結束。 10)PPPOE伺服器將認證結果返回給客戶端。 11)使用者進行NCP（如IPCP）協商，通過PPPOE伺服器獲取到規劃的IP地址等引數。 12)認證如果成功，PPPOE伺服器發起計費開始請求給RADIUS使用者認證伺服器。 13)RADIUS使用者認證伺服器迴應計費開始請求報文。 14)使用者此時通過認證，並且獲得了合法的許可權，可以正常開展網路業務。 15)當用戶希望終止網路業務的時候，同樣也可以通過PPPoE斷開網路連線，此時會按照12）、13）中的格式傳送計費終止報文。詳細情況，請參見下節。 2.1.3下線流程 PPPoE使用者下線流程包括使用者主動下線和異常下線兩種情況。 使用者主動下線流程如下圖所示。

圖1 使用者主動下線流程 1)使用者通過PPPoE客戶端，主動向PPPoE伺服器傳送Terminate-Request； 2)PPPoE伺服器向PPPoE客戶端返回Terminate-Ack報文； 3)PPPoE伺服器向AAA伺服器傳送計費停止請求的報文； 4)AAA伺服器向認證點回計費停止請求報文的迴應。 異常下線流程如下圖所示。 圖2 異常下線流程 1)PPPoE伺服器檢測到使用者已經不線上； 2)PPPoE伺服器向AAA伺服器傳送計費停止請求的報文； 3)AAA伺服器向認證點回計費停止請求報文的迴應。 在PPP架構中，使用者通常會通過傳送IPCP（IP控制協議）終止訊息而中斷已建立的會話。否則，LCP（鏈路控制協議）週期性輪檢機制能夠檢測出PPP會話是否已終止。如果檢測到會話已中止，則分配給使用者終端的IP地址將被釋放回IP地址池中。因此，由於PPP會話的安全性、健壯性等特徵，而被廣泛應用於ADSL接入認證。