学术堂首页 | 文献求助论文范文 | 论文题目 | 参考文献 | 开题报告 | 论文格式 | 摘要提纲 | 论文致谢 | 论文查重 | 论文答辩 | 论文发表 | 期刊杂志 | 论文写作 | 论文PPT
学术堂专业论文学习平台您当前的位置:学术堂 > 艺术论文 > 广播电视论文

IP城域网下传媒不同业务认证方式选择

时间:2014-08-26 来源:未知 作者:小韩 本文字数:4231字

论文摘要
 

  1 广电 IP 城域网建设背景

  按照《国家高性能宽带信息网暨中国下一代广播电视网自主创新合作协议书》的要求,努力构建 NGB 传输网络、NGB 业务平台、NGB 管理系统,实现广播电视网络跨地区的互通、交换和节目资源的共享,为用户提供更加优质、更加高效的全方位服务,真正满足人民群中对现代数字媒体和综合信息服务的需求。

  按照“统筹规划、分步实施、滚动发展”的原则,我集团公司开始建设省干网络、城域网,大规模推进接入网双向改造。到 2015 年,全省县级以上城市双向用户覆盖率达到100%。同时做好基础网和管道建设,为将来向 NGB 过渡打下良好基础。

  到 2015 年,有 100 万用户入户带宽达到 NGB 的要求,实现双向、互动、多业务和跨域互通的全新数字电视服务,真正实现三网融合。吉视传媒网络将成为吉林省信息化建设的重要基础设施,为各级政府、企事业单位、个人用户提供全方位的信息服务,构建信息化城市、信息化社区、信息化家庭。

  2 广电 IP 城域网络建网原则

  广电 IP 网络作为广电各类业务的开展基础,基重要性不言而喻,其建设目标是建成一个完整统一、组网灵活、易扩充的网络平台,满足传送语音、文字、数据、图像、VPN 等各类综合信息业务。

  总的来说,设备选型要技术先进,能适应未来发展,具有灵活方便的业务扩展能力和充分完备的接入能力,设备及其软件具有可持续发展的平滑升级性;在技术选择上综合考虑先进性、成熟性及良好的性价比,以网络的可扩展性和可管理性为基础,统一规划、分步实施。

  (1)开放性:为了保证系统的持续发展和系统不同设备的互联互通,所采用的网络技术应符合国际标准的通信协议、标准化接口和我国的技术规范,支持良好的维护、测量及管理手段,提供网络统一实时监控的信息处理功能,实现网络的统一管理。

  (2)可运营性:建设广电 IP 网络的目的就是能向大量用户提供良好的业务管理能力,支持对宽带用户的接入管理、身份认证、地址管理和服务质量(QoS),并针对不同的业务提供灵活的计费方式,确保网络的可运营性。

  (3)可管理性:IP 运营网络是分层的网络结构,吉视传媒 IP 城域网的建设采用省中心统一计费、省中心统一互联网出口的设计思路,实现统一的业务调度和管理,从而降低网络运营成本。

  (4)可扩充性:用户数量和宽带业务种类发展有着不确定性。随着业务需求的不断变化,要求 IP 运营网络建设成完整统一、组网灵活、易扩充的弹性网络平台。

  (5)可增值性:网络建设要根据市场竞争和发展,充分考虑业务的扩展能力,针对不同用户业务需要提供丰富的宽带增值业务,使网络持续盈利。

  (6)安全可靠性:网络的设计要充分考虑到其稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施。

  3 组网结构

  全省 IP 城域网络分为以下几个层次,如图 1 所示。【图.略】

  (1)核心层。核心层架构采用省中心骨干网+地级市核心层+县级市核心层的三级模式。

  (2)汇聚层。主要指城域网汇聚层。考虑到投资成本,初期可建设双归属结构的 IP 城域网。

  (3)接入层。接入层面向用户和业务。① EPON+LAN 模式作为吉林省网双向化改造的主推路线。② EPON+EoC 模式作为吉林省网双向化改造的补充和过渡路线。③ CMTS 模式作为吉林省网双向化改造的保留和过渡路线。

  (4)业务控制层。为使网络结构更清晰,我们单分出一个业务控制层,承担多业务接入、控制管理、计费、路由运算等功能,主要设备有 BRAS等。

  4 用户认证

  对于个人业务来说,用户的接入安全和用户的精确定位是两个必须考虑的问题。对于用户接入安全,可以通过 VLAN 隔离和端口隔离实现用户间的隔离,使不同的用户之间无法互访。要精确定位用户,首先要精确标识用户,无论从安全的角度还是从管理的角度都是非常重要的。通过用户账号和地理位置的绑定,可以解决盗用账号和一号多用的问题,防止运营商资费的流失;另外,通过这种对应关系,还可以对于问题用户(黑客或者网络出故障者)进行快速定位,提高用户的满意度。对于用户上网业务,采用双层 Tag 分别标识小区位置以及在小区中的精确位置,从而达到精确标识的目的;对于 STB 业务采用DHCP snooping option 82 的 方 式实现用户的精确标识。

  目前常用的认证方式有两种:

  PPPoE、DHCP+ 认证,基于不同的业务终端采用不同的认证方式。

  4.1 认证方式选择
  4.1.1 PPPoE 认证
  PPPoE 在标准 PPP 报文的前面加上以太网的报头,使得 PPPoE 提供通过简单桥接接入设备连接远端接入设备,并可以利用以太网的共享性连接多个用户主机,在这个模型下,每个用户主机利用自身的 PPP 堆栈,用户使用熟悉的界面。接入控制,计费等都可以针对每个用户来进行。

  建立一个以太网上点对点协议会话包括两个阶段:发现(Discovery)阶段, PPP 会话阶段。

  (1)用户主机发出 PPPoE 有效发 现 初 始(PADI) 包。PADI 包 必须至少包含一个服务名称类型的标签,向接入设备提出所要求提供的服务。一个完整的 PADI(包括 PPPoE头)不能超过 1484 字节,以留下充足的预留给 agent 设备增加 Relay-Session-Id 标识。

  (2)接入设备收到在服务范围内 的 PADI 包 后, 发 送 PPPoE 有 效发现提供(PADO)包以响应请求。PADO 包必须包含一个接入设备名称类型的标签以及一个或多个服务名称类型标签,表明可向用户主机提供的服务种类。

  (3)用户主机在可能收到的多个PADO 包中选择一个合适的接入设备,选择的原则是根据 PADO 中接入设备名称类型标签和服务名称类型标签的内容。然后向所选择的接入设备发送PPPoE 有效发现请求(PADR)包。PADR 包必须包含一个服务名称类型标签,确定向接入设备请求的服务种类。当一个用户主机在确定时间没有收 到 PADO, 他 会 重 发 一 个 PADI,同时等待两倍的时间。这种过程可以根据需要重复多次。

  (4) 接 入 设 备 收 到 PADR 包后准备开始 PPP 会话,它发送一个PPPoE 有效发现会话确认( PADS)包。PADS 包也必须包含一个服务名称类型的标签确认向用户主机提供的服务。当用户主机收到PADS包确认后,双方就进入 PPP 会话阶段。如果接入设备不能识别 PADR 中的服务名称类型的标签,则会回一个包含服务名称错误标签的 PADS。如果用户主机在确定时间没收到 PADS 包,与没收到PADO 作同样处理。

  从上面的过程可以看出,PPPoE的客户端和接入服务器(BAS 设备)需要在一个二层网络内,这样 PPPoE的广播报文才可以到达 BAS 设备,完成相关的协商和认证过程。一般采用PPPoE方式对宽带PC业务进行认证。PPPoE 认证方式特点:协议成熟、兼容 BRAS、Radius设备。内置账号密码,安全性较高,可以实时监测,对接入网设备安全性要求较低。地址分配灵活,通过域名管理区分权限。

  4.1.2 DHCP+ 认证
  DHCP 是一种动态主机配置协议,最初主要针对于 LAN 应用。通过终端上的 DHCP 客户端,利用自动发现机制来尝试联系网络中的 DHCP 服务器。DHCP 提供一系列 IP 配置参数,对用户端的 IP 层进行配置。

  DHCP 协议本身并没有用来认证的功能,但是 DHCP 可以配合其他技术实现认证,比如 DHCP+Web 方式、DHCP+ 客户端方式和利用 DHCP 扩展字段进行认证。所有这些方式都统称 为 DHCP+ 认 证(DHCP+ 认 证 本身没有标准),其中利用 DHCP 扩展字段方式不需要在用户终端上安装任何客户端程序,不需要输入用户名和密码。

  用来作为认证用的 OPTION 字段主 要 为 OPTION60 和 OPTION82。

  其 中 OPTION60 中 带 有 Vendor 和Service Option 信息,是由用户终端发起 DHCP 请求时携带的信息,网络设备只需要透传即可。其在应用中的作用是用来识别用户终端类型,从而识别用户业务类型,DHCP 服务器可以依赖于此分配不同的业务 IP 地址。

  而 OPTION82 信 息 是 由 网 络 设备插入在终端发出的 DHCP 报文中,主要用来标识用户终端的接入位置,比如对于交换机而言,通常插入的是交换机的桥 MAC、用户接入的端口号和 DHCP 报文所在 VLAN 号。

  在具体认证过程中,DHCP+ 认证又可分为两种机制:

  (1) 由 支 持 OPTIONT60 和OPTION82 的 DHCP 服务器认证DHCP 服务器上包含所有合法接入用户的 OPTION82 信息,当收到一个 DHCP 请求报文后,直接利用OPTION82 信息和数据库中的合法信息进行比对,若一致,则认为用户合法,再根据 OPTION60 字段分配 IP 地址。若不一致,则认为用户非法,不分配IP 地址。可以看出,DHCP+ 认证主要是根据用户的物理位置来进行认证的。这种模式需要服务器具备数据库来记录大量的 OPTION82 信息,目前业界采用这种模式的较多。

  (2) 由 业 务 网 关 设 备 配 合RADIUS 服务器和 DHCP 服务器一起认证当业务网关收到 DHCP 请求报文后,把 OPTION 信息封装到 RADIUS的一个扩展字段中送到 RADIUS 服务器进行认证,若通过则再利用 DHCP服务器分配 IP 地址,否则不给用户分配 IP 地址。这种方式对 DHCP 服务器要求不高,利用 RADIUS 服务器来完成认证。DHCP+ 认证方式特点:终端零配置,符合用户使用习惯,扩展性较好。表 1 是以上所述两种认证方式的对比。【表1】
论文摘要

  通过上面的比较,建议:

  (1)对个人宽带上网用户,适合采用 PPPoE 方式;(2)对 STB 交互用户,适合使用DHCP 方式。

  4.2 认证流程
  4.2.1 宽带上网业务认证
  采用 PPPoE 认证,认证流程如图 2 所示。上网终端(PC)通过PPPoE上网,通过 BAS 和 Radius 服务器认证和分配 IP 地址。【图.略】

  4.2.2 STB 业务认证
  STB 采用 DHCP+ 认证方式,其认证流程如图 3 所示。【图.略】

  STB 的 DHCP 报 文 中 可 携 带Vendor 和 Service Option(DHCPOption60) , 分 前 端 OLT 设 备 或USR 可根据 Option60 将用户的 DHCP请求 relay 到不同的 DHCP 服务器,实现根据业务的不同分配不同的 IP 地址;也可以由 DHCP 服务器根据 Option60为用户终端(例如区分 STB 和 IAD)分配不同的地址。

  另外可以通过 DHCP Option82功 能, 在 网 络 设 备 上( 如 OLT 或ONU) 给 用 户 的 DHCP 报 文 打 上Option82 标记,指示用户的物理位置;这样在 DHCP Server 上可根据Option82 判断 DHCP 请求的合法性,保证地址分配的安全性。

  5 总结

  由于广电网络双向化改造的特殊性,所以网络中多接入方式并存,多业务并存,因此需要针对每种不同的业务进行不同认证方式的选型,经过多种认证方式的比较,最终确定了机顶盒采用 DHCP 认证方式,宽带上网用户采用了 PPPoE 认证方式。

  参考文献
  
  [1] 唐礼贤 . 浅析建设广电宽带城域网时应 注 意 的 问 题 .[EB/OL],2009-09-25.
  [2] RFC 2516, A Method for TransmittingPPP Over Ethernet (PPPoE)[S] .1999.
  [3] 钱志毅 .DHCP_Option60 在广电城域网中的应用 [J]. 中国有线电视 ,2011,(06):695-697.

    相近分类:
    • 成都网络警察报警平台
    • 公共信息安全网络监察
    • 经营性网站备案信息
    • 不良信息举报中心
    • 中国文明网传播文明
    • 学术堂_诚信网站