中国电信下一代互联网认证系统技术规范.docx

1、中国电信下一代互联网认证系统技术规范中国电信下一代互联网认证系统技术规范中国电信下一代互联网认证系统技术规范修改稿中国电信股份上海研究院二零一一年五月1编制说明1.1范畴本技术规范以RFC文档为依据，针对中国电信下一代互联网试点实际情形和具体要求，对下一代互联网IPv6城域网中认证系统的定义、网络定位、业务支持流程等进行了说明，对在系统中支持IPv6协议的功能提出了规定，包括认证、授权、计费等相关部分对IPv6协议属性支持的具体要求。本文件不对中国电信现有的认证系统进行规范，仅针对下一代互联网IPv6技术中涉及到的用户接入认证系统进行规范。本技术规范适用于中国电信认证系统支持IPv6功能的研制

2、开发工作。在本规范中：1必须：表示该条目是本规范必须。违反如此的要求是原那么性错误。2必须实现：表示该要求必须实现，但不要求缺省使能。3不承诺不能够：表示该条目绝对禁止。4应当建议：表示在某些特定条件下存在忽视该条目的理由，然而忽视或违反该条目时必须认真衡量。5应当建议实现：与应当建议类似，实现时不必要缺省使能。6不应当不建议：表示在某些特定条件存在所描述行为可同意或有效的理由，但实现该行为时必须认真衡量。7能够：表示该条目确实可选。1.2引用标准以下标准包含的条文，通过在本标准中引用而构成为本标准的条文。本标准出版时，所示版本均为有效。所有标准都会被修订，使用本标准的各方应探讨，使用以下标准

3、最新版本的可能性。RFC 2865/2318RADIUS协议认证RFC 2866/2319RADIUS协议计费RFC 2867RADIUS协议隧道协议的计费RFC 2868RADIUS协议隧道协议的认证RFC 2869RADIUS协议扩展RFC 3162RADIUS和IPv6RFC 3575IANA对RADIUS的考虑RFC 5176/3576RADIUS动态认证扩展RFC 3579RADIUS支持可扩展的认证协议EAPRFC 4818RADIUS属性Delegated-IPv6-PrefixRFC 5080一样RADIUS执行问题和建议1.3定义、术语和缩写1.3.1定义认证系统：为IP网络

4、中的接入用户提供认证、授权、和计费服务的系统。1.3.2术语和缩写AAAAuthentication，Authorization & Accounting 认证、授权和计费BRASBroadband Remote Access Server 宽带接入服务器CHAPChallenge-handshake Authentication Protocol 握手认证协议DHCPDynamic Host Configuration Protocol 动态主机配置协议DSLAMDigital Subscriber Line Access Multiplexer 数字用户线接入复用器IPoEIP over

5、EthernetIPv6Internet Protocol Version 6 互联网协议第6版IPv6CPIP Control ProtocolIPv6操纵协议L2TPLayer 2 Tunnelling Protocol 第二层隧道协议LACL2TP Access Concentrator L2TP访问集中器LANLocal Area Network局域网LCPLink Control Protocol链路操纵协议LNSL2TP Network ServerL2TP网络服务器MACMedia Access Control介质访问操纵MIBManagement Information Bas

6、e治理信息库NAT-PTNetwork Address Translate + Protocol Translation网络地址翻译/协议翻译PAPPassword Authentication Protocol 密码认证协议PPPoEPPP Over EthernetRADIUSRemote Authorization Dial In User Service 远程认证拨号用户服务SNMPSimple Network Management Protocol 简单网络治理协议TCPTransmission Control Protocol传输操纵协议UDPUser Datagram Proto

7、col用户数据报协议VPNVirtual Private Network 虚拟专用网DS-LiteDual stack-LiteNAT444Natwork address translate 4442认证系统概述2.1认证系统的定位在中国电信IP城域网中，认证/计费服务器一样处于城域骨干网的核心层，通过网络与接入网关的认证端口建立IP连接，为用户接入网络提供认证、授权、和计费服务。典型的网络拓扑如图1所示：图1、认证系统在网络中的定位2.2认证系统的功能和业务组成认证系统要紧功能为：提供用户接入中国电信IP网络时，对用户的身份的验证，包括用户帐号与密码的匹配关系，用户接入的线路认证、用户接入的

8、次数验证等；在用户通过身份认证之后，为用户的当前接入配置适当的权限，包括用户接入的带宽等模板信息；在用户上线过程中和下线之后记录用户使用的计费原始信息，并生成原始话单。同时，认证系统需要在用户上线过程中坚持用户在线信息表，并可对其它系统提供查询接口。认证系统组成：中国电信IP网认证系统由认证服务器、业务逻辑处理服务器和数据库服务器、接口服务器组成，各组成部分的功能描述如下：认证服务器：完成认证Radius协议/Diameter协议的解析,以及相关协议流程的支持；业务逻辑处理服务器：完成用户接入身份的验证，授权功能的实现和计费信息的采集，并实现用户在线信息的爱护；数据库服务器：储备用户的信息，包

9、括身份信息、业务信息及其它相关信息；接口服务器：实现认证系统与其它周边系统的接口，例如：开户接口。3认证系统对IPv6协议的支持的总述本文件不对中国电信现有的认证系统进行规范，仅针对认证系统对下一代互联网IPv6的支持进行规范。在IP认证系统中扩充对IPv6协议的支持，要紧包括2方面的内容：（1）IP认证系统中对用户提供IPv6服务时，所增加的相关属性、统计等；（2）IP认证系统本身的IPv6化，包括系统本身支持IPv6协议栈，各服务器之间，及Client/Server之间传递的报文也用IPv6协议传送。鉴于目前大部分设备都只支持IPv4协议，认证系统本身传递报文时要确认对方的协议栈，在具体实

10、施时可能引起纷乱，因此建议系统的IPv6进程分为2时期进行。（1）现时期以IPv4访问为主，所传递的报文内容包含了所需的IPv6属性。（2）今后对IPv6的支持成熟后，增加系统本身的IPv6化，包括系统治理、系统间报文的传递等内容。要求认证系统必须支持RFC 3162所规定的6个RADIUS属性和RFC4818规定的1个属性，以支持对IPv6的认证和授权。系统必须区分一般IPv4用户、纯IPv6用户及双栈用户，不同用户采纳由IT支撑系统在开户或修改用户信息时设置用户属性标识的方式实现，该属性标识由IT支撑系统在开户或账户修改时随接口指令传送给认证系统，认证系统将该标识存放在用户信息数据库中，在

11、用户接入认证时通过该字段判定用户是IPv4用户或双栈用户或纯IPv6用户。用户帐号名能够采纳任何符合中国电信帐号规范的帐号形式，帐号后缀能够依照业务需要定义任意形式的后缀，供专门业务如：VPDN或帐号漫游使用如：WLAN全国漫游。4认证授权部分对IPv6的扩充4.1功能扩充 为支持对IPv6用户的认证、授权，系统必须支持以下功能。认证系统在用户业务属性中增加标识支持IPv6功能，识别用户是IPv4单栈、双栈或IPv6单栈接入。认证系统必须对用户加以区分，标识用户为一般IPv4用户、纯IPv6用户、及双栈用户。服务开通系统为IPv6用户或双栈用户开户后，将IPv6的用户信息传送给认证系统。认证系

12、统必须能接收和识别IPv6用户信息。认证系统必须扩充RADIUS属性，支持RFC 3162所规定的6个RADIUS属性和RFC4818规定的1个属性。认证方式，应支持PAP、CHAP等认证方式。在用户认证完成，用户上线过程中需要记录用户的在线信息，其中包括用户的IPv6地址。需要支持在用户上线过程中接入服务器产生的中间计费包中的IPv6相关信息，如用户IPv6地址和当前IPv6使用的流量等。在用户下线时，记录用户的下线时刻，并支持在用户下线计费包中的IPv6相关Radius属性，如用户IPv6地址、用户IPv6使用流量等。考虑到用户的使用适应，用户登录时假如没带域名做如下处理：双栈用户假如没带

13、域名登录，按一般IPv4用户处理；纯IPv6用户登录时没写域名，按用户名错误处理。其他写错域名时，按与VPN用户同等处理。4.2数据格式定义为支持IPv6功能，认证服务器需要增加相关的数据类型，要紧包括以下数据类型，但不限于这几种类型。1IPv6地址IPv6 Address：IPv6地址为128比特以16字节数据格式表示。2IPv6地址前缀IPv6 Prefix：IPv6地址前缀由2部分组成。第一部分为地址前缀Prefix，数据形式为0128比特，以16字节表示，第二部分为前缀的长度Length，格式为1字节，取值范畴为0128。3IPv6接口IDIPv6 Interface ID：64比特，

14、以8字节数据格式表示。4IP用户类型：标志用户的IP类型，有一般IPv4用户、双栈用户、纯IPv6用户3种类型。格式规定为1字节，取值定义：0为一般用户，1为双栈用户，2为纯IPv6用户。4.3L2TP隧道在VPN企业用户表中定义支持IPv6功能BRAS的域名，地址，隧道密码等参数。当需要支持双栈或纯IPv6的用户在不支持IPv6的BRAS设备接入网络时，能够动态或静态提供L2TP隧道接入支持IPv6的LNS设备参数，为用户建立IPv6的PPPoE连接。认证系统需要支持LNS参数的列表，以实现负载均衡或其它功能。认证流程中，在RADIUS属性解析中增加相关IPv6属性解析。依照IPV6地址生成

15、IPV6格式的地址字符串以及依照IPv6地址字符串生成IPV6地址。用户通过隧道上网时，在LAC和LNS中都会发送计费账单，需要排除LAC的账单。4.4PROXY一样PROXY RADIUS同时具有PROXY和SERVER的角色，因此要求PROXY RADIUS必须具有和RADIUS服务器相同的功能。能把从接入服务器发送的带有IPv6相关属性的报文转发到RADIUS服务器。能把RADIUS服务器回应的带有IPv6属性的报文转发给接入服务器。PROXY不承诺过滤任何IPv6相关的Radius属性。接入服务器与PROXY之间的传送协议可采纳IPv4或IPv6，PROXY与RADIUS服务器之间的传

16、送协议也可采纳IPv4或IPv6，二段传送协议是独立的，并不要求两者保持一致。4.5IPv6相关公共RADIUS属性认证系统必须扩充RADIUS属性，支持RFC 3162所规定的6个RADIUS属性和RFC4818规定的1个属性。1、NAS-IPv6-Address。属性号95，报文长度18，Address为16字节IPv6地址，是要求认证的用户所使用的接入服务器的IPv6地址。是由接入服务器在Access-Request报文中发送给RADIUS服务器的。其报文格式如下： 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6

17、 7 8 9 0 1TypeLengthAddressAddress续Address续Address续Address续2、Framed-Interface-Id。属性号96，报文长度10，Interface-Id为8字节IPv6接口ID，是IPv6CP协商后的接口ID，用以指示为用户配置的IPv6接口ID。该属性可用于Access-Accept报文中。假如该ID在IPv6CP过程中已协商成功，那么由接入服务器通过Access-Request报文发送给RADIUS服务器，RADIUS应采纳该接口ID值。其报文格式如下： 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4

18、5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1TypeLengthInterface-IdInterface-Id续Interface-Id续3、Framed-IPv6-Prefix。属性号97，报文长度420，Reserved固定为0，Prefix-Length按比特为单位指示Prefix的长度。Prefix为0128比特的IPv6地址前缀，超出Prefix-Length以外的比特位用0填充。该属性可用于Access-Accept报文中，同时可显现多次。该属性可用于Access-Request报文中，要求RADIUS服务器采纳该前缀值，RADIUS服务器能够认同采纳该值，

19、但不是必须使用该值。不必发送带有相同前缀的Framed-IPv6-Route属性。其报文格式如下： 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1TypeLengthReservedPrefix-LengthPrefixPrefix续Prefix续Prefix续4、Login-IPv6-Host。属性号98，报文长度18，Address为16字节IPv6地址，是承诺访问服务器的主机的IPv6地址。当包含Login-Service属性时，指示用以连接用户的系统。该属性可用于Access-Accept报

20、文中，也可用于Access-Request报文中，要求接入服务器期望连接的主机，RADIUS服务器能够认同采纳该值，但不是必须使用该值。其报文格式如下： 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1TypeLengthAddressAddress续Address续Address续Address续其中，Address为全1时，接入服务器应承诺用户选择连接的地址或用户名。Address为全0时，由接入服务器选择连接到用户的主机。其他值为接入服务器连接的用户的地址。5、Framed-IPv6-Route

21、。属性号99，报文长度大于3，Text字段说明IPv6的路由信息。该属性提供了在接入服务器上配置的路由信息，该属性用于Access-Accept报文中，同时可显现多次。报文格式如下： 0 1 2 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 TypeLengthText其中，Text为1或多个字节，其内容与实现相关，是一个可识别的字符串，而且不能阻碍协议的正常运行。对IPv6路由，其形式应包含目标地址前缀、一个斜线/后跟十进制的前缀长度、一个空格、网关地址、一个空格、一或多个metric。6、Framed-IPv6-Pool。属性号100，报文

22、长度大于3，String字段说明接入服务器给用户分配的IPv6地址前缀的前缀池的名字。假如接入服务器不支持多个前缀池，那么忽略该属性。其报文格式如下： 0 1 2 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 TypeLengthString7、Delegated-IPv6-Prefix。属性号123，报文长度420，Reserved固定为0，Prefix-Length按比特为单位指示授权的IPv6前缀的长度。本属性用于用户为其用户网络分配IPv6地址所用的IPv6地址前缀。该属性可用于Access-Accept报文中，同时可显现多次。该属性可

23、用于Access-Request报文中，要求RADIUS服务器采纳该前缀值，RADIUS服务器能够认同采纳该值，但不是必须使用该值。其报文格式如下： 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1TypeLengthReservedPrefix-LengthPrefixPrefix续Prefix续Prefix续Prefix为0128比特的IPv6地址前缀，超出Prefix-Length以外的比特位用0填充。表1列出了以上属性可能在哪种报文中显现的情形：表1、IPv6相关Radius属性列表Reque

24、stAcceptRejectChallengeAccounting Request# Attribute0-10000-195 NAS-IPv6-Address0-10-1000-196 Framed-Interface-Id0+0+000+97 Framed-IPv6-Prefix0+0+000+98 Login-IPv6-Host00+000+99 Framed-IPv6-Route00-1000-1100 Framed-IPv6-Pool0+0+000+123 Delegated-IPv6-Prefix上表中各条目的含义如下: 0 该属性不显现； 0+ 可显现0到多个该属性的条目； 0-

25、1 可显现0或1个该属性的条目； 1 该属性显现1次； 1+ 可显现1到多个该属性的条目。4.6IPv6私有属性扩展中国电信Radius私有属性Vendor属性26扩展如表2所示：表2、Radius私有属性扩展表子属性名子属性号最大长度类型说明备注中国电信Vendor扩展：Vendor-ID标志为20942USER-ADDRESS-TYPE1204Integer指明用户接入的地址类型目前有6种定义：0公网IPv4用户；1私网IPv4用户；2公网双栈用户；3私网双栈用户；4DS-Lite用户；5纯IPv6用户USER-ADDRESS-LOG121253String存放各种CGN地址转换日志信息该

26、字段包含映射时刻，公网地址、起始端口号、终止端口号、用户地址，各字段采纳；分割。例举格式为：映射时刻YY/MM/DD/HH/MM/SS；公网地址IPv4地址；起始端口号；终止端口号；用户地址能够是IPv4或IPv6地址5计费采集部分对IPv6的扩充计费采集部分与认证授权部分相同。服务开通系统为IPv6用户或双栈用户开户后，将IPv6的用户信息传送给计费采集系统。该系统必须能接收和识别IPv6用户信息。计费采集系统必须对用户加以区分，标识用户为一般IPv4用户、纯IPv6用户、及双栈用户。当用户发起呼叫连接时，计费采集系统必须能识别是不同类型的用户。原始话单在本地处理时，应区分不同类型的的用户标

27、识。传递给计费系统的详单应区分不同类型的用户标识。用户通过隧道上网时，在LAC和LNS中都会发送计费账单，需要排除LAC的账单。6认证系统用户在线信息表要求认证系统必须在用户接入时判定用户的接入类型如纯公网IPv4、私网IPv4、公网双栈、私网双栈、DS-Lite、纯IPv6，并在用户在线信息表中记录用户上线的IP地址。用户在线IP地址能够由接入服务器发送的上线包、中间计费包、或下线包中的相关IP地址属性提取IPv6地址为：Framed-IPv6-Prefix、Framed-Interface-Id属性组合而成；IPv4地址为：Framed-IP-Address属性携带。其中，IPv6地址由前

28、缀和接口地址合成完整的IPv6地址；IPv4地址直截了当从Radius属性中提取。7周边系统接口认证系统扩充支持IPv6后，与其他系统之间接口也要有相应的扩充，相关系统要紧包括：服务开通系统、网络设备、计费系统等。其接口关系图如图2所示：图2、周边系统接口7.1与服务开通系统的接口IPv6用户或双栈用户在服务开通系统开户后，需要把相关的用户名和接入业务标识传递给认证系统，包括认证、计费部分。7.2与网络设备的接口认证系统与网络设备的接口要紧是与接入服务器的接口。认证系统必须能识别接入用户本地的接入服务器是否支持IPv6接入，依照不同情形进行相应的处理。接入服务器与认证服务器之间传送的RUDIU

29、S报文包括认证包、上线计费包、中间计费包和下线计费包，必须增加支持RFC3162和RFC4818所规定的RADIUS属性。7.3与计费系统的接口计费采集系统与计费系统之间的接口必须扩充，以支持对IPv6用户或双栈用户的标识。支持在原始话单中传送用户IPv6地址信息和IPv6使用的流量信息。在传送原始单时，原始话单中必须区分公网IPv4用户、私网IPv4用户、公网双栈用户、私网双栈用户、纯IPv6用户、及DS-Lite用户。8AAA系统IPv6过渡技术支持8.1概述8.1.1IPv6过渡技术中认证与地址溯源概述中国电信认证/计费系统AAA位于城域网核心，承担用户的接入认证和产生计费原始信息话单。

30、同时，通过AAA系统能够提供用户地址的溯源、反查等功能。传统IPv4网络认证与地址溯源流程如图3所示：图3、IPv4网络认证与地址溯源流程由于IPv6过渡技术中采纳了地址转换技术。因此，需要AAA系统能够提供用户上网过程中，地址转换前后的对应关系，保证用户地址能够溯源。用户地址溯源分为两种，第一种为在线用户地址溯源，要求在用户在线状态下，依照公网IPv4、IPv6地址和端口信息反查用户的帐号信息；第二种为离线用户地址溯源，要求系统能够储存一定时刻内的用户上网信息和用户地址转换日志信息，提供反查用户历史上网信息的功能。地址转换网关是完成过渡技术中地址转换的关键设备，在网络中地址转换网关能够采纳集中部署在城域网核心或分布式部署在