文｜李志伟

一、常见认证方式

1. PPPoE认证方式

1.1 PPPoE概述

PPPoE技术是基于IETF RFC标准协议开发的，是将PPP承载到以太网之上，充分利用以太网技术的寻址能力，其实质是在共享介质的网络上提供二条逻辑上的点到店链路，向以太网中的每个上网用户与宽带接入服务器之间提供一条逻辑PPP连接。

1.2 PPPoE认证方式的优缺点

PPPoE利用了PPP协议的优点，模拟了电话拨号用户的上网方式，主要有以下优点：可以利用原有电话拨号用户的运营模式，集中设立用户数据库，集中设立AAA Server，可管理性较强。PPPoE便于开展多服务选择服务。对不同服务，可以用不同的用户名后缀来区分。PPPoE方式可以对用户进行严格的速率限制，便于对用户速率需求进行量体裁衣，区别收费。

但是，在运营过程中，PPPoE认证方式也暴露了一些缺点：给运营商带来了巨大的维护压力。PPPoE在以太网上，需要通过VLAN(虚拟局域网)技术来实现用户的隔离，如果使用一个三层网络，又存在PPPoE服务器的成本与管理问题。PPPoE方式在其整个通信过程都必须进行PPPoE的封装，效率较低，随着用户数量的大量增加对BRAS设备的性能要求呈指数上升。

2. Web认证方式

2.1 Web认证概述

Web认证起源于网络业务的认证，例如：网上银行、基于Web的电子邮件等。后来被网络设备提供商在网络设备上进行实现，用于验证网络用户是否具有使用网络的权限.

2.2 WEB认证方式的优缺点

WEB认证方式的优点：无需特殊的客户端软件，降低网络维护工程量；无需多层数据封装，保证效率问题；运营商可利用门户网站提供多种业务认证服务。

WEB认证方式的缺点：WEB承载在OSL 7层协议上，对于设备的要求较高，建网成本高；易用性不够好；对所有用户都是开放的，很容易受到恶意的攻击，其安全性较差；未认证用户也需要占用IP地址资源；用户离线检查较难，不适合基于时间的计费方式；业务数据流与控制数据流不分离，对网络接入设备的要求比较高。

3. IEEE 802.1x认证方式

3.1 802.1x概述

IEEE 802.1x是2001年6月IEEE通过的被称为基于端口的访问控制协议，将它引入有线以太网络中将可以有效解决传统网络的认证问题，是一种较新的以太网认证技术。IEEE 802.1x基于端口访问控制的技术可实现用户设备在城域网边缘的分散用户控制和集中的认证管理；可以替代宽带接入服务器实现城域网范围内的用户管理功能。在802.1x协议中，只有具备了客户端、认证系统、认证服务器三个元素才能够完成基于端口的访问控制的用户认证和授权。

4. DHCP+认证方式

4.1 DHCP+概述

DHCP+接入，就是在DHCP协议的基础上，进一步对其进行扩展，使其具有更强的功能。DHCP+方式保留DHCP的所有功能，同时可以通过RA-DIUS方式对用户进行认证。实现DHCP+方式的接入服务器同RADIUS服务器配合，能完成单纯的DHCP方式无法完成的用户认证、用户上网时长、详细的上下网时间等计费参数的统计，实现灵活的计费方式，同时也能实现对用户的管理与控制。

4.2 DHCP+具有的优缺点

DHCP+认证方式是动态分配地址，并且是在通过认证之后分配地址。这种有效的节省了IP地址资源；DHCP+方式可以跨越三层设备；DHCP+只能通过计时长的方式来计费，本身不能提供流量计费功能；

DHCP+不提供速率控制功能。同时不能针对特定用户设置ACL过滤或防火墙功能；DHCP+服务器一般内置于交换机或路由器中，或者由专用的工作站担任，价格低廉；DHCP+目前还不能有效解决地址冲突和地址盗用的问题。

5. DHCP+Web认证方式

5.1 DHCP+Web概述

DHCP+Web认证方式根据在网络拓扑中的位置，可分为两大类：直通式和旁路式。直通式认证系统容易实现对用户的细粒度控制，原理简单、直观；但从提高系统性能、降低研发、组网和维护管理成本的角度看，旁路式比直通式认证系统有明显优势，应逐渐成为未来几年的主流认证方式。

5.2 DHCP+Web认证方式的优缺点

DHCP+web认证只在获得IP配置信息阶段起作用，不存在接入瓶颈问题，对流量大的宽带网较适合；可以实现按时长计费，与业务流实现了分离，易于利用Web服务器推出门户和广告等增值业务，也免去了在用户端安装软件，大大减少了安装和维护的工作量；但是DHCP+Web不能计算流量，且有交换机的配合才能对用户的传输速率进行控制，对地址冲突和地址盗用问题也需有交换机的配合才能解决。

认证方式 PPPoE DHCP+ 802.1x Web DHCP+Web完善程度 已经标准化，几乎所有设备均可支持 不标准 IEEE标准，大部分设备可支持良好，但标准未统一标准未统一系统开销 较大 小 小 小 小IP地址分配 认证后分配 认证后分配 认证后分配 认证前分配 认证前后均占用IP地址客户端软件 需要 不需要 需要 不需要 不需要计费功能支持按用户方式进行按时常、流量计费，与端口无关按时长计费计费方式灵活可计时、计流量，支持基于端口的计费支持按业务端口流量、按用户上网时长计费按时长计费安全性 能够防止地址冲突与地址盗用只进行认证检验，不进行信道加密，安全性较差可采用MD5、TLS等加密技术实现动态密钥分配易受攻击，安全性较差只进行认证检验，不进行信道加密，安全性较差测机制 定时发送握手信息 周期性重复认证 定时发送握手信息 根据用户最大空闲时间判定系统复杂性与成本断网检测方式 PPP协议本身有检系统简单，成本低廉系统需要与DHCP Server配合使用，成本较高系统简单、成本低系统需要与DHCP Server配合使用，成本较高系统需要与DHCP Server配合使用，成本较高扩展性 差 只适用固定用户 好 好 好

二、几种认证方式的比较

通过对上面提到的集中宽带接入技术的分析，对比各种技术的特点，我们可以得到下面的对比表。

三、结论

PPPoE方式成熟可靠，需要增加投资的宽带接入服务器BNAS等设备目前成本也大幅下降，通过合理的组网方式和设备性能的提升，可以解决所谓的网络瓶颈问题，特别适合应用于ADSL接入；802.1x推出较晚，标准目前不是很成熟，但其一次性投资低，支持组播等特性使其具有强大的生命力，随着标准的统一和完善，必然是未来宽带城域网首选的认证管理方式；Web方式浪费了网络IP地址资源，增加了网络投资，目前不能满足电信运营商规模的大型宽带城域网，较适合应用于酒店、宾馆园区网和校园网；DHCP+方式一般用在以太网接入中，由于标准的不统一，目前开展不是很多，而利用DHCP的动态地址分配方式同Web技术进行配合来实现更加理想的认证方式即DHCP+Web方式目前成为主流的认证方式，对流量大的宽带网比较适合。这几种认证技术各有优缺点，应根据实际情况综合考虑，实现对宽带网的可运营、可管理，发挥其最大的效益。