基于RFC 3576協(xié)議的BRAS主動(dòng)控制系統(tǒng)研究

薛曉東，趙永軍（中國(guó)鐵通河南分公司，河南鄭州450052）

0 前言

高速寬帶化是當(dāng)前網(wǎng)絡(luò)發(fā)展的主要方向。經(jīng)連年的持續(xù)發(fā)展，我國(guó)寬帶網(wǎng)絡(luò)己初具規(guī)模。目前各大運(yùn)營(yíng)商都在積極開展新業(yè)務(wù)以吸引更多的用戶，而其中的寬帶認(rèn)證鑒權(quán)與計(jì)費(fèi)系統(tǒng)將扮演舉足輕重的角色。如何在基礎(chǔ)網(wǎng)絡(luò)接入業(yè)務(wù)的基礎(chǔ)上進(jìn)一步提供更多的服務(wù)選擇，是各大運(yùn)營(yíng)商目前面臨的共同問題。無疑，通過個(gè)性化服務(wù)，創(chuàng)造更高的ARUP值，將是寬帶網(wǎng)絡(luò)發(fā)展的主要方向。

針對(duì)上述需求，本文首先對(duì)目前各大運(yùn)營(yíng)商普遍使用的遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)（RADIUS）協(xié)議組的認(rèn)證部分作一簡(jiǎn)單介紹。介紹如何應(yīng)用RADIUS協(xié)議來實(shí)現(xiàn)寬帶網(wǎng)絡(luò)接入服務(wù)器（BRAS）與RADIUS服務(wù)器之間的通信，完成對(duì)個(gè)人用戶上網(wǎng)認(rèn)證、授權(quán)和計(jì)費(fèi)控制的；然后提出了一些現(xiàn)實(shí)問題，并引入RFC3576和一些輔助技術(shù)，討論如何設(shè)計(jì)和實(shí)現(xiàn)一套接入設(shè)備的主動(dòng)管理系統(tǒng)。

1 RADIUS協(xié)議簡(jiǎn)介

RADIUS是一種C/S結(jié)構(gòu)協(xié)議，其客戶端最初就是網(wǎng)絡(luò)接入服務(wù)器（NAS-Net Access Server），現(xiàn)在任何RADIUS客戶端軟件的計(jì)算機(jī)都可成為RADIUS的客戶端。RADIUS協(xié)議認(rèn)證機(jī)制靈活，可采用密碼認(rèn)證協(xié)議（PAP）、挑戰(zhàn)握手認(rèn)證協(xié)議（CHAP）或 Unix 登錄認(rèn)證等多種方式。

RADIUS協(xié)議的基本工作原理是：用戶接入NAS，NAS使用Access-Require數(shù)據(jù)包向RADIUS服務(wù)器提交用戶信息（如用戶名、密碼等，用戶密碼是經(jīng)MD5加密的），雙方使用共享密鑰，這個(gè)密鑰不經(jīng)網(wǎng)絡(luò)傳播；RADIUS服務(wù)器對(duì)用戶名和密碼的合法性進(jìn)行檢驗(yàn)，必要時(shí)可提出一個(gè)Challenge，要求進(jìn)一步對(duì)用戶認(rèn)證，也可對(duì)NAS進(jìn)行類似的認(rèn)證；如果合法，給NAS返回Access-Accept數(shù)據(jù)包，允許用戶進(jìn)行下一步工作，否則返回Access-Reject數(shù)據(jù)包，拒絕用戶訪問；如果允許訪問，NAS向RADIUS服務(wù)器提出計(jì)費(fèi)請(qǐng)求（Account-Require），RADIUS 服務(wù)器響應(yīng) Account-Accept，對(duì)用戶開始計(jì)費(fèi)，同時(shí)用戶可進(jìn)行相關(guān)操作。

RADIUS服務(wù)器和NAS服務(wù)器通過用戶數(shù)據(jù)包協(xié)議（UDP）進(jìn)行通信，RADIUS服務(wù)器的1812端口負(fù)責(zé)認(rèn)證，1813端口負(fù)責(zé)計(jì)費(fèi)。采用UDP的基本原因是其效率比較高。為彌補(bǔ)UDP協(xié)議在可靠性上的不足，RADIUS協(xié)議還規(guī)定了重傳機(jī)制。如果NAS向某個(gè)RADIUS服務(wù)器提交請(qǐng)求沒有收到返回信息，則可要求備份RADIUS服務(wù)器重傳。由于有多個(gè)備份RADIUS服務(wù)器，因此NAS進(jìn)行重傳時(shí)可采用輪詢或先主后備方式。如果備份RADIUS服務(wù)器的密鑰和以前RADIUS服務(wù)器的密鑰有所不同，則需重新進(jìn)行認(rèn)證。由于RADIUS協(xié)議簡(jiǎn)單明了并具有可擴(kuò)充性，因此得到了廣泛應(yīng)用（如普通電話、ADSL、小區(qū)寬帶上網(wǎng)及IP電話、VPDN、移動(dòng)電話預(yù)付費(fèi)等）。最近，IEEE提出的802.1x標(biāo)準(zhǔn)是一種基于端口的標(biāo)準(zhǔn)，用于對(duì)無線網(wǎng)絡(luò)的接入認(rèn)證，在認(rèn)證時(shí)也采用了RADIUS協(xié)議。

1.1 遠(yuǎn)端RADIUS驗(yàn)證-PAP方式

遠(yuǎn)端PAP方式見圖1。用戶請(qǐng)求上網(wǎng)時(shí)，用戶以明文形式將用戶名及其密碼傳遞給NAS，NAS把用戶名和加密過的密碼放到驗(yàn)證請(qǐng)求包的相應(yīng)屬性中傳遞給RADIUS服務(wù)器，根據(jù)RADIUS服務(wù)器返回結(jié)果來決定是否允許該用戶上網(wǎng)。

1.2 遠(yuǎn)端RADIUS驗(yàn)證-CHAP方式

遠(yuǎn)端CHAP方式見圖2。用戶請(qǐng)求上網(wǎng)時(shí)，NAS產(chǎn)生一個(gè)16 byte隨機(jī)碼（還有一個(gè)ID號(hào)-本地路由器主機(jī)名）給用戶；用戶端得到該包后使用自己獨(dú)有的設(shè)備或軟件對(duì)傳來的各域進(jìn)行加密，生成一個(gè)Response傳給NAS，NAS把傳回來的CHAP ID和Response分別作為用戶名、密碼及原來的16 byte隨機(jī)碼傳給RADIUS服務(wù)器；RADIUS根據(jù)用戶名在服務(wù)器端查找數(shù)據(jù)庫(kù)，得到和用戶端進(jìn)行加密所用的一樣的密碼，然后根據(jù)傳來的16 byte隨機(jī)碼進(jìn)行加密，將其結(jié)果與傳來的Password進(jìn)行比較，相同時(shí)表明驗(yàn)證通過，否則表明驗(yàn)證失敗。另外，如果驗(yàn)證成功，RADIUS服務(wù)器同樣也可生成一個(gè)16 byte隨機(jī)碼對(duì)用戶進(jìn)行詢問。

1.3 RADIUS協(xié)議傳輸模式

采用RADIUSUDP傳輸模式有以下幾個(gè)原因。

a）NAS和RADIUS服務(wù)器間傳遞的一般是數(shù)十至上百個(gè)字節(jié)長(zhǎng)度的數(shù)據(jù)，用戶可容忍幾秒到十幾秒的驗(yàn)證等待時(shí)間。處理大量用戶時(shí)服務(wù)器端采用多線程，可支持較高的并發(fā)。

b）TCP必須是成功建立連接后才進(jìn)行數(shù)據(jù)傳輸?shù)摹Ｔ诖罅坑脩羰褂玫那闆r下，TCP的實(shí)時(shí)性不好。

c）由于向主用服務(wù)器發(fā)送請(qǐng)求失敗后還必須向備用服務(wù)器發(fā)送請(qǐng)求，因此RADIUS要有重傳和備用服務(wù)器機(jī)制，而TCP不能很好地滿足這一機(jī)制。

2 RFC3576協(xié)議

2.1 簡(jiǎn)介

RFC3576協(xié)議于 2003年 7月由 Cisco Systems、Circular Logic和Microsoft等3家公司的3位作者發(fā)表，全稱為Dynamic Authorization Extensions to RADIUS，可實(shí)現(xiàn)對(duì)RADIUS的授權(quán)動(dòng)態(tài)控制。在被BRAS/NAS實(shí)現(xiàn)后，就允許動(dòng)態(tài)地改變一個(gè)用戶的會(huì)話 （包括中斷用戶會(huì)話和修改會(huì)話授權(quán)2個(gè)功能定義）。目前，Juniper、華為、中興等BRAS廠家均采用不同形式實(shí)現(xiàn)了該協(xié)議。

由RFC2865定義的RADIUS基本協(xié)議不支持由RADIUS服務(wù)器主動(dòng)向NAS發(fā)出的消息，即用戶一旦撥號(hào)上網(wǎng)后，其主動(dòng)下網(wǎng)前的會(huì)話狀態(tài)是不受RADIUS服務(wù)器控制的，然而不少時(shí)候確實(shí)是需要在用戶不重新發(fā)起一個(gè)會(huì)話情況下修改用戶會(huì)話狀態(tài)的。為克服這一限制，多個(gè)廠家實(shí)現(xiàn)了RADIUS協(xié)議的擴(kuò)展命令，以支持由RADIUS主動(dòng)發(fā)給NAS的命令消息。擴(kuò)展命令支持停止會(huì)話（DM）和授權(quán)變更（CoA）2種消息，其中：DM消息實(shí)現(xiàn)強(qiáng)制將用戶會(huì)話立刻停止，CoA消息實(shí)現(xiàn)修改用戶授權(quán) （如數(shù)據(jù)過濾器、帶寬、ACL、QoS或其他一些廠家支持的屬性）。

2.2 DM

一個(gè)斷線請(qǐng)求 （Disconnect-Quest）包由RADIUS服務(wù)器發(fā)出，在NAS收到此包后結(jié)束一個(gè)用戶的會(huì)話，并丟棄掉相關(guān)的上下文信息。斷線請(qǐng)求包將發(fā)送到NAS的3799號(hào)端口，并在包中通過標(biāo)識(shí)屬性（如ACCT-SESSION-ID）告知NAS需結(jié)束的會(huì)話。DM消息的原理見圖3。

如果會(huì)話上下文被丟棄且用戶會(huì)話終止，則NAS需給斷線請(qǐng)求包一個(gè)ACK的回應(yīng)；如果NAS不能中斷會(huì)話并丟棄其相關(guān)上下文，就需回復(fù)一個(gè)NAK的包給RADIUS服務(wù)器。NAS必須回應(yīng)斷線請(qǐng)求包。如果NAS不支持這種斷線請(qǐng)求，則需回復(fù)一個(gè)帶有“Unsupported Service”值的Error-Cause屬性包給RADIUS服務(wù)器。在成功終止會(huì)話后，在NAS返回給RADIUS的ACK包中需包括值為Admin-Reset的Acct-Terminate屬性（見RFC2866），用以標(biāo)識(shí)會(huì)話終止的原因。

2.3 CoA

CoA請(qǐng)求包里包含了要求NAS修改的會(huì)話動(dòng)態(tài)授權(quán)消息，典型的如修改用戶的過濾器和帶寬。更細(xì)顆粒度的帶寬控制可實(shí)現(xiàn)上行和下行的區(qū)別修改。CoA消息使用的端口和報(bào)文格式與DM消息相同。CoA消息的原理見圖4。

同樣，如果NAS成功地修改了用戶的會(huì)話授權(quán)，則需回復(fù)一個(gè)ACK消息給RADIUS服務(wù)器，否則給RADIUS服務(wù)器回應(yīng)一個(gè)NAK報(bào)文，在NAK報(bào)文中需列出不支持的屬性和值。

3 實(shí)現(xiàn)接入設(shè)備主動(dòng)控制系統(tǒng)需解決的問題

RFC3576是個(gè)協(xié)議建議，并非廠家必須實(shí)現(xiàn)的強(qiáng)制性規(guī)則。因此，要真正實(shí)現(xiàn)一個(gè)達(dá)到電信級(jí)應(yīng)用要求的接入設(shè)備主動(dòng)控制系統(tǒng)，還需解決大量的實(shí)際問題。下面僅就其中的幾個(gè)問題進(jìn)行闡述，并提出解決建議。需要說明的是，這些建議僅為理論研究，而不代表實(shí)際測(cè)試結(jié)果。

3.1 獲得會(huì)話的詳細(xì)參數(shù)簡(jiǎn)介

在RFC中，并未描述在不知道當(dāng)前會(huì)話參數(shù)的情況下，如何從NAS上獲取參數(shù)的辦法。但在實(shí)際工程中，如果要實(shí)現(xiàn)控制就必須提前了解會(huì)話的具體參數(shù)，并根據(jù)參數(shù)內(nèi)容作出控制的判斷和需控制的參數(shù)定制。可通過以下2個(gè)方式來獲取一個(gè)具體會(huì)話的參數(shù)。

a）通過Telnet命令仿真獲得。Telnet命令仿真方式是利用軟件來模擬Telnet的命令操作，將需問詢的參數(shù)加入到操作命令中，再采用統(tǒng)一的字符代碼表達(dá)式對(duì)其返回的結(jié)果進(jìn)行格式化，生成屬性對(duì)。對(duì)于此方式，筆者曾用Python的內(nèi)置模塊telnetlib測(cè)試成功。

b）通過SNMP網(wǎng)管命令獲得。通常的BRAS均支持SNMP網(wǎng)管命令，可通過此命令查詢系統(tǒng)狀態(tài)。而對(duì)于服務(wù)器上的會(huì)話狀態(tài)，通常需通過廠家提供的MIB庫(kù)對(duì)其返回的信息進(jìn)行分析。

3.2 RFC中CoA的語(yǔ)義問題

CoA在RFC3576中有個(gè)潛在的模糊問題，即：由于只有一次交互過程，所以在RADIUS發(fā)給NAS的CoA報(bào)文屬性對(duì)中，對(duì)未發(fā)送的屬性是去掉或保持在語(yǔ)義上是模糊的。例如：RADIUS給BAS發(fā)送了帶寬=1 024 bit/s、ACL=XTemplage屬性，而會(huì)話本身具有帶寬=512 bit/s、ACL=YTemplage、IsFilter=Yes屬性。 對(duì)于“帶寬”和“ACL”屬性沒有2義性來說，很明確是要進(jìn)行修改操作的，但對(duì)于“IsFilter”屬性，是要從會(huì)話中刪除此或不作任何個(gè)性，協(xié)議本身并未明確規(guī)定。因此，需準(zhǔn)確了解不同廠家的BRAS實(shí)現(xiàn)方式，并據(jù)其定義相應(yīng)的規(guī)則庫(kù)。

3.3 廠家自定義屬性的支持

由于CoA可能實(shí)現(xiàn)的功能非常多，具體的功能均通過廠家的擴(kuò)展屬性來實(shí)現(xiàn)。因此在實(shí)際工程中，需建立一套對(duì)廠家擴(kuò)展屬性和實(shí)現(xiàn)功能的一個(gè)規(guī)則數(shù)據(jù)庫(kù)。通過此庫(kù)來保存不同廠家設(shè)備甚至同一型號(hào)設(shè)備的不同配置方式所帶來的差異性，并提供友好管理界面實(shí)現(xiàn)隨時(shí)修改和測(cè)試功能。

3.4 實(shí)現(xiàn)方式

對(duì)于接入設(shè)備的主動(dòng)控制系統(tǒng)來說，其功能模塊可按圖5的方式來實(shí)現(xiàn)。

由圖5可知，通過一個(gè)數(shù)據(jù)庫(kù)來管理BRAS的廠家私有屬性及對(duì)協(xié)議的支持細(xì)節(jié)，通過中間的服務(wù)提供者完成對(duì)不同底層技術(shù)的真實(shí)實(shí)現(xiàn)，并由各服務(wù)提供者完成與設(shè)備的真正通信。中間由一個(gè)統(tǒng)一的服務(wù)接口來完成對(duì)下層實(shí)現(xiàn)細(xì)節(jié)的屏蔽。上層則提供幾個(gè)標(biāo)準(zhǔn)系統(tǒng)，如：通過“基于Web的管理系統(tǒng)”來實(shí)現(xiàn)對(duì)規(guī)則庫(kù)的管理及對(duì)服務(wù)的真實(shí)調(diào)用；通過“外部接口系統(tǒng)”完成需對(duì)系統(tǒng)進(jìn)行的自動(dòng)調(diào)用或業(yè)務(wù)系統(tǒng)需實(shí)現(xiàn)的帶寬調(diào)整等；“服務(wù)測(cè)試系統(tǒng)”則是提供檢查服務(wù)提供者的有效性手段，以方便及時(shí)地將各服務(wù)提供者及BAS的狀態(tài)反饋給各上層系統(tǒng)。

4 結(jié)束語(yǔ)

本文簡(jiǎn)單介紹了RADIUS協(xié)議的基本概念，深入闡述了RFC3576協(xié)議的基本原理，簡(jiǎn)要論述了如何實(shí)現(xiàn)一套基于web的BRAS上網(wǎng)會(huì)話的主動(dòng)控制系統(tǒng)。該系統(tǒng)在實(shí)現(xiàn)電信業(yè)務(wù)上有極大的潛在好處。它打破了以往用戶一旦通過認(rèn)證并上網(wǎng)后，便不可對(duì)其上網(wǎng)會(huì)話屬性進(jìn)行修改的成見，并為實(shí)現(xiàn)通過一個(gè)門戶網(wǎng)站動(dòng)態(tài)地選擇當(dāng)前要使用的服務(wù)、不斷線的服務(wù)升級(jí)、動(dòng)態(tài)ACL、動(dòng)態(tài)帶寬、動(dòng)態(tài)QoS控制、方便的服務(wù)測(cè)試和強(qiáng)制斷線等提供了辦法，還為未來的業(yè)務(wù)向更友好、更靈活的方面發(fā)展打下了基礎(chǔ)。

［1］Rigney C.RFC 2866-RADIUS Accounting［EB/OL］.［2010-12-09］.http://www.cnpaf.net/Class/Rfcen/200502/3931.htm.

［2］Aboba B.，J.Wood.RFC 3539-Authentication，Authorization and Accounting （AAA）Transport Profile ［EB/OL］. ［2010-12-09］.http://www.chinaitpower.com/A200508/2005-08-02/181855.html.

［3］摩根，洛夫林.CCNP ISCW認(rèn)證考試指南［M］.夏俊杰，譯.北京：人民郵電出版社，2008.