中国电信下一代互联网认证系统技术规范.doc
《中国电信下一代互联网认证系统技术规范.doc》由会员分享,可在线阅读,更多相关《中国电信下一代互联网认证系统技术规范.doc(45页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、中国电信下一代互联网认证系统技术规范392020年5月29日文档仅供参考 中国电信下一代互联网认证系统技术规范(修改稿)中国电信股份有限公司上海研究院二零一一年五月目 录1编制说明11.1范围11.2引用标准11.3定义、术语和缩写21.3.1定义21.3.2术语和缩写22认证系统概述32.1认证系统的定位32.2认证系统的功能和业务组成43认证系统对IPv6协议的支持的总述54认证授权部分对IPv6的扩充64.1功能扩充64.2数据格式定义64.3L2TP隧道74.4PROXY74.5IPv6相关共有RADIUS属性84.6IPv6私有属性扩展115计费采集部分对IPv6的扩充136认证系统
2、用户在线信息表要求137周边系统接口137.1与服务开通系统的接口147.2与网络设备的接口147.3与计费系统的接口148AAA系统IPv6过渡技术支持158.1概述158.1.1IPv6过渡技术中认证与地址溯源概述158.1.2过渡技术的四种地址溯源方案168.2AAA系统溯源改造总体要求178.3功能要求188.3.1静态映射表生成功能188.3.2动态映射关系获取功能198.3.3地址池选择功能198.4接口要求208.4.1与网管系统接口208.4.2与外部溯源请求系统接口208.4.3与Log服务器接口229性能与可靠性要求239.1AAA系统基本性能要求239.2可靠性要求241
3、0附:用户认证流程2410.1本地BRAS接入认证流程2410.2L2TP隧道方式接入认证流程2610.3认证系统用户在线信息维护示例271 编制说明1.1 范围本技术规范以RFC文档为依据,针对中国电信下一代互联网试点实际情况和具体要求,对下一代互联网IPv6城域网中认证系统的定义、网络定位、业务支持流程等进行了说明,对在系统中支持IPv6协议的功能提出了规定,包括认证、授权、计费等相关部分对IPv6协议属性支持的具体要求。本文件不对中国电信现有的认证系统进行规范,仅针对下一代互联网(IPv6)技术中涉及到的用户接入认证系统进行规范。本技术规范适用于中国电信认证系统支持IPv6功能的研制开发
4、工作。在本规范中:(1)必须:表示该条目是本规范必须。违反这样的要求是原则性错误。(2)必须实现:表示该要求必须实现,但不要求缺省使能。(3)不允许(不能够):表示该条目绝对禁止。(4)应当(建议):表示在某些特定条件下存在忽视该条目的理由,可是忽视或违反该条目时必须仔细衡量。(5)应当(建议)实现:与应当(建议)类似,实现时不必要缺省使能。(6)不应当(不建议):表示在某些特定条件存在所描述行为可接受或有效的理由,但实现该行为时必须仔细衡量。(7)能够:表示该条目确实可选。1.2 引用标准下列标准包含的条文,经过在本标准中引用而构成为本标准的条文。本标准出版时,所示版本均为有效。所有标准都会
5、被修订,使用本标准的各方应探讨,使用下列标准最新版本的可能性。RFC 2865/2318RADIUS协议(认证)RFC 2866/2319RADIUS协议(计费)RFC 2867RADIUS协议(隧道协议的计费)RFC 2868RADIUS协议(隧道协议的认证)RFC 2869RADIUS协议扩展RFC 3162RADIUS和IPv6RFC 3575IANA对RADIUS的考虑RFC 5176/3576RADIUS动态认证扩展RFC 3579RADIUS支持可扩展的认证协议(EAP)RFC 4818RADIUS属性Delegated-IPv6-PrefixRFC 5080一般RADIUS执行问
6、题和建议1.3 定义、术语和缩写1.3.1 定义认证系统:为IP网络中的接入用户提供认证、授权、和计费服务的系统。1.3.2 术语和缩写AAAAuthentication,Authorization & Accounting (认证、授权和计费)BRASBroadband Remote Access Server (宽带接入服务器)CHAPChallenge-handshake Authentication Protocol (握手认证协议)DHCPDynamic Host Configuration Protocol (动态主机配置协议)DSLAMDigital Subscriber Lin
7、e Access Multiplexer (数字用户线接入复用器)IPoEIP over EthernetIPv6Internet Protocol Version 6 (互联网协议第6版)IPv6CPIP Control Protocol(IPv6控制协议)L2TPLayer 2 Tunnelling Protocol (第二层隧道协议)LACL2TP Access Concentrator (L2TP访问集中器)LANLocal Area Network(局域网)LCPLink Control Protocol(链路控制协议)LNSL2TP Network Server(L2TP网络服务器
8、)MACMedia Access Control(介质访问控制)MIBManagement Information Base(管理信息库)NAT-PTNetwork Address Translate + Protocol Translation(网络地址翻译/协议翻译)PAPPassword Authentication Protocol (密码认证协议)PPPoEPPP Over EthernetRADIUSRemote Authorization Dial In User Service (远程认证拨号用户服务)SNMPSimple Network Management Protocol
9、 (简单网络管理协议)TCPTransmission Control Protocol(传输控制协议)UDPUser Datagram Protocol(用户数据报协议)VPNVirtual Private Network (虚拟专用网)DS-LiteDual stack-LiteNAT444Natwork address translate 4442 认证系统概述2.1 认证系统的定位在中国电信IP城域网中,认证/计费服务器一般处于城域骨干网的核心层,经过网络与接入网关的认证端口建立IP连接,为用户接入网络提供认证、授权、和计费服务。典型的网络拓扑如图1所示:图1、认证系统在网络中的定位2.
10、2 认证系统的功能和业务组成认证系统主要功能为:提供用户接入中国电信IP网络时,对用户的身份的验证,包括用户帐号与密码的匹配关系,用户接入的线路认证、用户接入的次数验证等;在用户经过身份认证之后,为用户的当前接入配置适当的权限,包括用户接入的带宽等模板信息;在用户上线过程中和下线之后记录用户使用的计费原始信息,并生成原始话单。同时,认证系统需要在用户上线过程中维持用户在线信息表,并可对其它系统提供查询接口。认证系统组成:中国电信IP网认证系统由认证服务器、业务逻辑处理服务器和数据库服务器、接口服务器组成,各组成部分的功能描述如下:认证服务器:完成认证Radius协议/Diameter协议的解析
11、,以及相关协议流程的支持;业务逻辑处理服务器:完成用户接入身份的验证,授权功能的实现和计费信息的采集,并实现用户在线信息的维护;数据库服务器:存储用户的信息,包括身份信息、业务信息及其它相关信息;接口服务器:实现认证系统与其它周边系统的接口,例如:开户接口。3 认证系统对IPv6协议的支持的总述本文件不对中国电信现有的认证系统进行规范,仅针对认证系统对下一代互联网(IPv6)的支持进行规范。在IP认证系统中扩充对IPv6协议的支持,主要包括2方面的内容:(1) IP认证系统中对用户提供IPv6服务时,所增加的相关属性、统计等;(2) IP认证系统本身的IPv6化,包括系统本身支持IPv6协议栈
12、,各服务器之间,及Client/Server之间传递的报文也用IPv6协议传送。鉴于当前大部分设备都只支持IPv4协议,认证系统本身传递报文时要确认对方的协议栈,在具体实施时可能引起混乱,因此建议系统的IPv6进程分为2阶段进行。(1) 现阶段以IPv4访问为主,所传递的报文内容包含了所需的IPv6属性。(2) 将来对IPv6的支持成熟后,增加系统本身的IPv6化,包括系统管理、系统间报文的传递等内容。要求认证系统必须支持RFC 3162所规定的6个RADIUS属性和RFC4818规定的1个属性,以支持对IPv6的认证和授权。系统必须区分普通IPv4用户、纯IPv6用户及双栈用户6种用户,公网
13、、私网、双栈、V6,不同用户采用由IT支撑系统在开户或修改用户信息时设置用户属性标识的方式实现,该属性标识由IT支撑系统在开户或账户修改时随接口指令传送给认证系统,认证系统将该标识存放在用户信息数据库中,在用户接入认证时经过该字段判断用户是IPv4用户或双栈用户或纯IPv6用户。用户帐号名能够采用任何符合中国电信帐号规范的帐号形式,帐号后缀能够根据业务需要定义任意形式的后缀,供特殊业务(如:VPDN)或帐号漫游使用(如:WLAN属于漫游全国漫游)。4 认证授权部分对IPv6的扩充4.1 功能扩充 为支持对IPv6用户的认证、授权,系统必须支持以下功能。认证系统在用户业务属性中增加标识支持IPv
14、6功能,识别用户是IPv4单栈、双栈或IPv6单栈接入。认证系统必须对用户加以区分,标识用户为普通IPv4用户、纯IPv6用户、及双栈用户。服务开通系统为IPv6用户(或双栈用户)开户后,将IPv6的用户信息传送给认证系统。认证系统必须能接收和识别IPv6用户信息。认证系统必须扩充RADIUS属性,支持RFC 3162所规定的6个RADIUS属性和RFC4818规定的1个属性。认证方式,应支持PAP、CHAP等认证方式。在用户认证完成,用户上线过程中需要记录用户的在线信息,其中包括用户的IPv6地址。需要支持在用户上线过程中接入服务器产生的中间计费包中的IPv6相关信息,如用户IPv6地址和当
15、前IPv6使用的流量等。在用户下线时,记录用户的下线时间,并支持在用户下线计费包中的IPv6相关Radius属性,如用户IPv6地址、用户IPv6使用流量等。考虑到用户的使用习惯,用户登录时如果没带域名做如下处理:双栈用户如果没带域名登录,按普通IPv4用户处理给用户分配何种地址?依据什么?;纯IPv6用户登录时没写域名,按用户名错误处理。其它写错域名时,按与VPN用户同等处理。4.2 数据格式定义为支持IPv6功能,认证服务器需要增加相关的数据类型,主要包括以下数据类型,但不限于这几种类型。(1)IPv6地址(IPv6 Address):IPv6地址为128比特以16字节数据格式表示。(2)
16、IPv6地址前缀(IPv6 Prefix):IPv6地址前缀由2部分组成。第一部分为地址前缀(Prefix),数据形式为0128比特,以16字节表示,第二部分为前缀的长度(Length),格式为1字节,取值范围为0128。(3)IPv6接口ID(IPv6 Interface ID):64比特,以8字节数据格式表示。(4)IP用户类型:标志用户的IP类型,有普通IPv4用户、双栈用户、纯IPv6用户3种类型。格式规定为1字节,取值定义:0为普通用户,1为双栈用户,2为纯IPv6用户。4.3 L2TP隧道在VPN企业用户表中定义支持IPv6功能BRAS的域名,地址,隧道密码等参数。当需要支持双栈或
17、纯IPv6的用户在不支持IPv6的BRAS设备接入网络时,能够动态或静态提供L2TP隧道接入支持IPv6的LNS设备参数,为用户建立IPv6的PPPoE连接。认证系统需要支持LNS参数的列表,以实现负载均衡或其它功能。认证流程中,在RADIUS属性解析中增加相关IPv6属性解析。根据IPV6地址生成IPV6格式的地址字符串以及根据IPv6地址字符串生成IPV6地址。用户经过隧道上网时,在LAC和LNS中都会发送计费账单,需要排除LAC的账单。4.4 PROXY一般PROXY RADIUS同时具有PROXY和SERVER的角色,因此要求PROXY RADIUS必须具有和RADIUS服务器相同的功
18、能。能把从接入服务器发送的带有IPv6相关属性的报文转发到RADIUS服务器。能把RADIUS服务器回应的带有IPv6属性的报文转发给接入服务器。PROXY不允许过滤任何IPv6相关的Radius属性。接入服务器与PROXY之间的传送协议可采用IPv4或IPv6,PROXY与RADIUS服务器之间的传送协议也可采用IPv4或IPv6,二段传送协议是独立的,并不要求两者保持一致。4.5 IPv6相关公共RADIUS属性认证系统必须扩充RADIUS属性,支持RFC 3162所规定的6个RADIUS属性和RFC4818规定的1个属性。1、NAS-IPv6-Address。属性号95,报文长度18,A
19、ddress为16字节IPv6地址,是请求认证的用户所使用的接入服务器的IPv6地址。是由接入服务器在Access-Request报文中发送给RADIUS服务器的。其报文格式如下: 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1TypeLengthAddressAddress(续)Address(续)Address(续)Address(续)2、Framed-Interface-Id。属性号96,报文长度10,Interface-Id为8字节IPv6接口ID,是IPv6CP协商后的接口ID,用以指示为
20、用户配置的IPv6接口ID。该属性可用于Access-Accept报文中。如果该ID在IPv6CP过程中已协商成功,则由接入服务器经过Access-Request报文发送给RADIUS服务器,RADIUS应采用该接口ID值。其报文格式如下: 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1TypeLengthInterface-IdInterface-Id(续)Interface-Id(续)3、Framed-IPv6-Prefix。属性号97,报文长度420,Reserved固定为0,Prefix-L
21、ength按比特为单位指示Prefix的长度。Prefix为0128比特的IPv6地址前缀,超出Prefix-Length以外的比特位用0填充。该属性可用于Access-Accept报文中,而且可出现多次。该属性可用于Access-Request报文中,请求RADIUS服务器采用该前缀值,RADIUS服务器能够认同采用该值,但不是必须使用该值。不必发送带有相同前缀的Framed-IPv6-Route属性。其报文格式如下: 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1TypeLengthReserv
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 中国电信 下一代 互联网 认证 系统 技术规范
限制150内