中国电信下一代互联网认证系统技术规范.docx
《中国电信下一代互联网认证系统技术规范.docx》由会员分享,可在线阅读,更多相关《中国电信下一代互联网认证系统技术规范.docx(27页珍藏版)》请在冰豆网上搜索。
中国电信下一代互联网认证系统技术规范
中国电信下一代互联网认证系统技术规范
中国电信下一代互联网
认证系统技术规范
〔修改稿〕
中国电信股份上海研究院
二零一一年五月
1编制说明
1.1范畴
本技术规范以RFC文档为依据,针对中国电信下一代互联网试点实际情形和具体要求,对下一代互联网IPv6城域网中认证系统的定义、网络定位、业务支持流程等进行了说明,对在系统中支持IPv6协议的功能提出了规定,包括认证、授权、计费等相关部分对IPv6协议属性支持的具体要求。
本文件不对中国电信现有的认证系统进行规范,仅针对下一代互联网〔IPv6〕技术中涉及到的用户接入认证系统进行规范。
本技术规范适用于中国电信认证系统支持IPv6功能的研制开发工作。
在本规范中:
〔1〕必须:
表示该条目是本规范必须。
违反如此的要求是原那么性错误。
〔2〕必须实现:
表示该要求必须实现,但不要求缺省使能。
〔3〕不承诺〔不能够〕:
表示该条目绝对禁止。
〔4〕应当〔建议〕:
表示在某些特定条件下存在忽视该条目的理由,然而忽视或违反该条目时必须认真衡量。
〔5〕应当〔建议〕实现:
与应当〔建议〕类似,实现时不必要缺省使能。
〔6〕不应当〔不建议〕:
表示在某些特定条件存在所描述行为可同意或有效的理由,但实现该行为时必须认真衡量。
〔7〕能够:
表示该条目确实可选。
1.2引用标准
以下标准包含的条文,通过在本标准中引用而构成为本标准的条文。
本标准出版时,所示版本均为有效。
所有标准都会被修订,使用本标准的各方应探讨,使用以下标准最新版本的可能性。
RFC2865/2318
RADIUS协议〔认证〕
RFC2866/2319
RADIUS协议〔计费〕
RFC2867
RADIUS协议〔隧道协议的计费〕
RFC2868
RADIUS协议〔隧道协议的认证〕
RFC2869
RADIUS协议扩展
RFC3162
RADIUS和IPv6
RFC3575
IANA对RADIUS的考虑
RFC5176/3576
RADIUS动态认证扩展
RFC3579
RADIUS支持可扩展的认证协议〔EAP〕
RFC4818
RADIUS属性-Delegated-IPv6-Prefix
RFC5080
一样RADIUS执行问题和建议
1.3定义、术语和缩写
1.3.1定义
认证系统:
为IP网络中的接入用户提供认证、授权、和计费服务的系统。
1.3.2术语和缩写
AAA
Authentication,Authorization&Accounting〔认证、授权和计费〕
BRAS
BroadbandRemoteAccessServer〔宽带接入服务器〕
CHAP
Challenge-handshakeAuthenticationProtocol〔握手认证协议〕
DHCP
DynamicHostConfigurationProtocol〔动态主机配置协议〕
DSLAM
DigitalSubscriberLineAccessMultiplexer〔数字用户线接入复用器〕
IPoE
IPoverEthernet
IPv6
InternetProtocolVersion6〔互联网协议第6版〕
IPv6CP
IPControlProtocol〔IPv6操纵协议〕
L2TP
Layer2TunnellingProtocol〔第二层隧道协议〕
LAC
L2TPAccessConcentrator〔L2TP访问集中器〕
LAN
LocalAreaNetwork〔局域网〕
LCP
LinkControlProtocol〔链路操纵协议〕
LNS
L2TPNetworkServer〔L2TP网络服务器〕
MAC
MediaAccessControl〔介质访问操纵〕
MIB
ManagementInformationBase〔治理信息库〕
NAT-PT
NetworkAddressTranslate+ProtocolTranslation〔网络地址翻译/协议翻译〕
PAP
PasswordAuthenticationProtocol〔密码认证协议〕
PPPoE
PPPOverEthernet
RADIUS
RemoteAuthorizationDialInUserService〔远程认证拨号用户服务〕
SNMP
SimpleNetworkManagementProtocol〔简单网络治理协议〕
TCP
TransmissionControlProtocol〔传输操纵协议〕
UDP
UserDatagramProtocol〔用户数据报协议〕
VPN
VirtualPrivateNetwork〔虚拟专用网〕
DS-Lite
Dualstack-Lite
NAT444
Natworkaddresstranslate444
2认证系统概述
2.1认证系统的定位
在中国电信IP城域网中,认证/计费服务器一样处于城域骨干网的核心层,通过网络与接入网关的认证端口建立IP连接,为用户接入网络提供认证、授权、和计费服务。
典型的网络拓扑如图1所示:
图1、认证系统在网络中的定位
2.2认证系统的功能和业务组成
认证系统要紧功能为:
提供用户接入中国电信IP网络时,对用户的身份的验证,包括用户帐号与密码的匹配关系,用户接入的线路认证、用户接入的次数验证等;在用户通过身份认证之后,为用户的当前接入配置适当的权限,包括用户接入的带宽等模板信息;在用户上线过程中和下线之后记录用户使用的计费原始信息,并生成原始话单。
同时,认证系统需要在用户上线过程中坚持用户在线信息表,并可对其它系统提供查询接口。
认证系统组成:
中国电信IP网认证系统由认证服务器、业务逻辑处理服务器和数据库服务器、接口服务器组成,各组成部分的功能描述如下:
认证服务器:
完成认证Radius协议/Diameter协议的解析,以及相关协议流程的支持;
业务逻辑处理服务器:
完成用户接入身份的验证,授权功能的实现和计费信息的采集,并实现用户在线信息的爱护;
数据库服务器:
储备用户的信息,包括身份信息、业务信息及其它相关信息;
接口服务器:
实现认证系统与其它周边系统的接口,例如:
开户接口。
3认证系统对IPv6协议的支持的总述
本文件不对中国电信现有的认证系统进行规范,仅针对认证系统对下一代互联网〔IPv6〕的支持进行规范。
在IP认证系统中扩充对IPv6协议的支持,要紧包括2方面的内容:
(1)IP认证系统中对用户提供IPv6服务时,所增加的相关属性、统计等;
(2)IP认证系统本身的IPv6化,包括系统本身支持IPv6协议栈,各服务器之间,及Client/Server之间传递的报文也用IPv6协议传送。
鉴于目前大部分设备都只支持IPv4协议,认证系统本身传递报文时要确认对方的协议栈,在具体实施时可能引起纷乱,因此建议系统的IPv6进程分为2时期进行。
(1)现时期以IPv4访问为主,所传递的报文内容包含了所需的IPv6属性。
(2)今后对IPv6的支持成熟后,增加系统本身的IPv6化,包括系统治理、系统间报文的传递等内容。
要求认证系统必须支持RFC3162所规定的6个RADIUS属性和RFC4818规定的1个属性,以支持对IPv6的认证和授权。
系统必须区分一般IPv4用户、纯IPv6用户及双栈用户,不同用户采纳由IT支撑系统在开户或修改用户信息时设置用户属性标识的方式实现,该属性标识由IT支撑系统在开户或账户修改时随接口指令传送给认证系统,认证系统将该标识存放在用户信息数据库中,在用户接入认证时通过该字段判定用户是IPv4用户或双栈用户或纯IPv6用户。
用户帐号名能够采纳任何符合中国电信帐号规范的帐号形式,帐号后缀能够依照业务需要定义任意形式的后缀,供专门业务〔如:
VPDN〕或帐号漫游使用〔如:
WLAN全国漫游〕。
4认证授权部分对IPv6的扩充
4.1功能扩充
为支持对IPv6用户的认证、授权,系统必须支持以下功能。
认证系统在用户业务属性中增加标识支持IPv6功能,识别用户是IPv4单栈、双栈或IPv6单栈接入。
认证系统必须对用户加以区分,标识用户为一般IPv4用户、纯IPv6用户、及双栈用户。
服务开通系统为IPv6用户〔或双栈用户〕开户后,将IPv6的用户信息传送给认证系统。
认证系统必须能接收和识别IPv6用户信息。
认证系统必须扩充RADIUS属性,支持RFC3162所规定的6个RADIUS属性和RFC4818规定的1个属性。
认证方式,应支持PAP、CHAP等认证方式。
在用户认证完成,用户上线过程中需要记录用户的在线信息,其中包括用户的IPv6地址。
需要支持在用户上线过程中接入服务器产生的中间计费包中的IPv6相关信息,如用户IPv6地址和当前IPv6使用的流量等。
在用户下线时,记录用户的下线时刻,并支持在用户下线计费包中的IPv6相关Radius属性,如用户IPv6地址、用户IPv6使用流量等。
考虑到用户的使用适应,用户登录时假如没带域名做如下处理:
双栈用户假如没带域名登录,按一般IPv4用户处理;纯IPv6用户登录时没写域名,按用户名错误处理。
其他写错域名时,按与VPN用户同等处理。
4.2数据格式定义
为支持IPv6功能,认证服务器需要增加相关的数据类型,要紧包括以下数据类型,但不限于这几种类型。
〔1〕IPv6地址〔IPv6Address〕:
IPv6地址为128比特以16字节数据格式表示。
〔2〕IPv6地址前缀〔IPv6Prefix〕:
IPv6地址前缀由2部分组成。
第一部分为地址前缀〔Prefix〕,数据形式为0-128比特,以16字节表示,第二部分为前缀的长度〔Length〕,格式为1字节,取值范畴为0-128。
〔3〕IPv6接口ID〔IPv6InterfaceID〕:
64比特,以8字节数据格式表示。
〔4〕IP用户类型:
标志用户的IP类型,有一般IPv4用户、双栈用户、纯IPv6用户3种类型。
格式规定为1字节,取值定义:
0为一般用户,1为双栈用户,2为纯IPv6用户。
4.3L2TP隧道
在VPN企业用户表中定义支持IPv6功能BRAS的域名,地址,隧道密码等参数。
当需要支持双栈或纯IPv6的用户在不支持IPv6的BRAS设备接入网络时,能够动态或静态提供L2TP隧道接入支持IPv6的LNS设备参数,为用户建立IPv6的PPPoE连接。
认证系统需要支持LNS参数的列表,以实现负载均衡或其它功能。
认证流程中,在RADIUS属性解析中增加相关IPv6属性解析。
依照IPV6地址生成IPV6格式的地址字符串以及依照IPv6地址字符串生成IPV6地址。
用户通过隧道上网时,在LAC和LNS中都会发送计费账单,需要排除LAC的账单。
4.4PROXY
一样PROXYRADIUS同时具有PROXY和SERVER的角色,因此要求PROXYRADIUS必须具有和RADIUS服务器相同的功能。
能把从接入服务器发送的带有IPv6相关属性的报文转发到RADIUS服务器。
能把RADIUS服务器回应的带有IPv6属性的报文转发给接入服务器。
PROXY不承诺过滤任何IPv6相关的Radius属性。
接入服务器与PROXY之间的传送协议可采纳IPv4或IPv6,PROXY与RADIUS服务器之间的传送协议也可采纳IPv4或IPv6,二段传送协议是独立的,并不要求两者保持一致。
4.5IPv6相关公共RADIUS属性
认证系统必须扩充RADIUS属性,支持RFC3162所规定的6个RADIUS属性和RFC4818规定的1个属性。
1、NAS-IPv6-Address。
属性号95,报文长度18,Address为16字节IPv6地址,是要求认证的用户所使用的接入服务器的IPv6地址。
是由接入服务器在Access-Request报文中发送给RADIUS服务器的。
其报文格式如下:
0123
01234567890123456789012345678901
Type
Length
Address
Address〔续〕
Address〔续〕
Address〔续〕
Address〔续〕
2、Framed-Interface-Id。
属性号96,报文长度10,Interface-Id为8字节IPv6接口ID,是IPv6CP协商后的接口ID,用以指示为用户配置的IPv6接口ID。
该属性可用于Access-Accept报文中。
假如该ID在IPv6CP过程中已协商成功,那么由接入服务器通过Access-Request报文发送给RADIUS服务器,RADIUS应采纳该接口ID值。
其报文格式如下:
0123
01234567890123456789012345678901
Type
Length
Interface-Id
Interface-Id〔续〕
Interface-Id〔续〕
3、Framed-IPv6-Prefix。
属性号97,报文长度4-20,Reserved固定为0,Prefix-Length按比特为单位指示Prefix的长度。
Prefix为0-128比特的IPv6地址前缀,超出Prefix-Length以外的比特位用0填充。
该属性可用于Access-Accept报文中,同时可显现多次。
该属性可用于Access-Request报文中,要求RADIUS服务器采纳该前缀值,RADIUS服务器能够认同采纳该值,但不是必须使用该值。
不必发送带有相同前缀的Framed-IPv6-Route属性。
其报文格式如下:
0123
01234567890123456789012345678901
Type
Length
Reserved
Prefix-Length
Prefix
Prefix〔续〕
Prefix〔续〕
Prefix〔续〕
4、Login-IPv6-Host。
属性号98,报文长度18,Address为16字节IPv6地址,是承诺访问服务器的主机的IPv6地址。
当包含Login-Service属性时,指示用以连接用户的系统。
该属性可用于Access-Accept报文中,也可用于Access-Request报文中,要求接入服务器期望连接的主机,RADIUS服务器能够认同采纳该值,但不是必须使用该值。
其报文格式如下:
0123
01234567890123456789012345678901
Type
Length
Address
Address〔续〕
Address〔续〕
Address〔续〕
Address〔续〕
其中,Address为全1时,接入服务器应承诺用户选择连接的地址或用户名。
Address为全0时,由接入服务器选择连接到用户的主机。
其他值为接入服务器连接的用户的地址。
5、Framed-IPv6-Route。
属性号99,报文长度大于3,Text字段说明IPv6的路由信息。
该属性提供了在接入服务器上配置的路由信息,该属性用于Access-Accept报文中,同时可显现多次。
报文格式如下:
012
012345678901234567890123
Type
Length
Text…
其中,Text为1或多个字节,其内容与实现相关,是一个可识别的字符串,而且不能阻碍协议的正常运行。
对IPv6路由,其形式应包含目标地址前缀、一个斜线〔/〕后跟十进制的前缀长度、一个空格、网关地址、一个空格、一或多个metric。
6、Framed-IPv6-Pool。
属性号100,报文长度大于3,String字段说明接入服务器给用户分配的IPv6地址前缀的前缀池的名字。
假如接入服务器不支持多个前缀池,那么忽略该属性。
其报文格式如下:
012
012345678901234567890123
Type
Length
String…
7、Delegated-IPv6-Prefix。
属性号123,报文长度4-20,Reserved固定为0,Prefix-Length按比特为单位指示授权的IPv6前缀的长度。
本属性用于用户为其用户网络分配IPv6地址所用的IPv6地址前缀。
该属性可用于Access-Accept报文中,同时可显现多次。
该属性可用于Access-Request报文中,要求RADIUS服务器采纳该前缀值,RADIUS服务器能够认同采纳该值,但不是必须使用该值。
其报文格式如下:
0123
01234567890123456789012345678901
Type
Length
Reserved
Prefix-Length
Prefix
Prefix〔续〕
Prefix〔续〕
Prefix〔续〕
Prefix为0-128比特的IPv6地址前缀,超出Prefix-Length以外的比特位用0填充。
表1列出了以上属性可能在哪种报文中显现的情形:
表1、IPv6相关Radius属性列表
Request
Accept
Reject
Challenge
AccountingRequest
#Attribute
0-1
0
0
0
0-1
95NAS-IPv6-Address
0-1
0-1
0
0
0-1
96Framed-Interface-Id
0+
0+
0
0
0+
97Framed-IPv6-Prefix
0+
0+
0
0
0+
98Login-IPv6-Host
0
0+
0
0
0+
99Framed-IPv6-Route
0
0-1
0
0
0-1
100Framed-IPv6-Pool
0+
0+
0
0
0+
123Delegated-IPv6-Prefix
上表中各条目的含义如下:
0该属性不显现;
0+可显现0到多个该属性的条目;
0-1可显现0或1个该属性的条目;
1该属性显现1次;
1+可显现1到多个该属性的条目。
4.6IPv6私有属性扩展
中国电信Radius私有属性〔Vendor属性26〕扩展如表2所示:
表2、Radius私有属性扩展表
子属性名
子属性号
最大长度
类型
说明
备注
中国电信Vendor扩展:
Vendor-ID标志为20942
USER-ADDRESS-TYPE
120
4
Integer
指明用户接入的地址类型
目前有6种定义:
0——公网IPv4用户;
1——私网IPv4用户;
2——公网双栈用户;
3——私网双栈用户;
4——DS-Lite用户;
5——纯IPv6用户
USER-ADDRESS-LOG
121
253
String
存放各种CGN地址转换日志信息
该字段包含映射时刻,公网地址、起始端口号、终止端口号、用户地址,各字段采纳〝;〞分割。
例举格式为:
映射时刻〔YY/MM/DD/HH/MM/SS〕;公网地址〔IPv4地址〕;起始端口号;终止端口号;用户地址〔能够是IPv4或IPv6地址〕
5计费采集部分对IPv6的扩充
计费采集部分与认证授权部分相同。
服务开通系统为IPv6用户〔或双栈用户〕开户后,将IPv6的用户信息传送给计费采集系统。
该系统必须能接收和识别IPv6用户信息。
计费采集系统必须对用户加以区分,标识用户为一般IPv4用户、纯IPv6用户、及双栈用户。
当用户发起呼叫连接时,计费采集系统必须能识别是不同类型的用户。
原始话单在本地处理时,应区分不同类型的的用户标识。
传递给计费系统的详单应区分不同类型的用户标识。
用户通过隧道上网时,在LAC和LNS中都会发送计费账单,需要排除LAC的账单。
6认证系统用户在线信息表要求
认证系统必须在用户接入时判定用户的接入类型〔如纯公网IPv4、私网IPv4、公网双栈、私网双栈、DS-Lite、纯IPv6〕,并在用户在线信息表中记录用户上线的IP地址。
用户在线IP地址能够由接入服务器发送的上线包、中间计费包、或下线包中的相关IP地址属性提取〔IPv6地址为:
Framed-IPv6-Prefix、Framed-Interface-Id属性组合而成;IPv4地址为:
Framed-IP-Address属性携带〕。
其中,IPv6地址由前缀和接口地址合成完整的IPv6地址;IPv4地址直截了当从Radius属性中提取。
7周边系统接口
认证系统扩充支持IPv6后,与其他系统之间接口也要有相应的扩充,相关系统要紧包括:
服务开通系统、网络设备、计费系统等。
其接口关系图如图2所示:
图2、周边系统接口
7.1与服务开通系统的接口
IPv6用户或双栈用户在服务开通系统开户后,需要把相关的用户名和接入业务标识传递给认证系统,包括认证、计费部分。
7.2与网络设备的接口
认证系统与网络设备的接口要紧是与接入服务器的接口。
认证系统必须能识别接入用户本地的接入服务器是否支持IPv6接入,依照不同情形进行相应的处理。
接入服务器与认证服务器之间传送的RUDIUS报文〔包括认证包、上线计费包、中间计费包和下线计费包〕,必须增加支持RFC3162和RFC4818所规定的RADIUS属性。
7.3与计费系统的接口
计费采集系统与计费系统之间的接口必须扩充,以支持对IPv6用户或双栈用户的标识。
支持在原始话单中传送用户IPv6地址信息和IPv6使用的流量信息。
在传送原始单时,原始话单中必须区分公网IPv4用户、私网IPv4用户、公网双栈用户、私网双栈用户、纯IPv6用户、及DS-Lite用户。
8AAA系统IPv6过渡技术支持
8.1概述
8.1.1IPv6过渡技术中认证与地址溯源概述
中国电信认证/计费系统〔AAA〕位于城域网核心,承担用户的接入认证和产生计费原始信息〔话单〕。
同时,通过AAA系统能够提供用户地址的溯源、反查等功能。
传统IPv4网络认证与地址溯源流程如图3所示:
图3、IPv4网络认证与地址溯源流程
由于IPv6过渡技术中采纳了地址转换技术。
因此,需要AAA系统能够提供用户上网过程中,地址转换前后的对应关系,保证用户地址能够溯源。
用户地址溯源分为两种,第一种为在线用户地址溯源,要求在用户在线状态下,依照公网IPv4、IPv6地址和端口信息反查用户的帐号信息;第二种为离线用户地址溯源,要求系统能够储存一定时刻内的用户上网信息和用户地址转换日志信息,提供反查用户历史上网信息的功能。
地址转换网关是完成过渡技术中地址转换的关键设备,在网络中地址转换网关能够采纳集中部署在城域网核心或分布式部署在
升级会员 