通信产业报

IPTV存在认证“隐患”接入认证改造组播安全体系

作者：中国网通集团研究院 胡皓 加入时间：2005-5-30 19:07:45评论
在组播业务中，运营商需要保证业务的可运营可管理，因此就要通过一些必要的策略来达到业务可控的目的。组播的控制策略有很多种，主要分为对RP的控制、对组播源的控制、对组播组的控制、对组播用户的控制及对组播范围的控制。而对组播用户的控制，其重要的一个技术手段就是对用户的认证、授权。原有的宽带网络中用户的认证多用于IP单播业务，并不能够完全满足组播认证的要求。这就需要运营商对原有的认证体系进行改造，以适应IPTV业务的开展要求。按用户与网络设备之间的通信方式，目前使用较多的网络层接入认证方式分为PPPoE和DHCP+Web两种。
PPPoE技术
PPPoE类似于传统的拨号接入方式，用户端采用一个拨号软件，发起PPP连接请求，穿过以太网交换机或者xDSL设备，终结在接入网关设备上。接入网关设备负责终结PPP连接，并与RADIUS服务器配合实现用户管理和策略控制。
目前PPPoE认证技术在以太网接入和ADSL接入方式中应用的最为广泛，其组网原理基本相同，都是利用交换机或DSLAM将用户接入网内，在交换机和DSLAM后面设置BRAS设备来终结PPP。终结PPP连接的宽带接入服务器可以对这些PPP连接分别进行管理，可对用户上网业务分别进行时长和流量信息的统计，为各种计费方式提供必要的用户上网信息。
PPPoE的实质是在以太网上跑PPP协议，在用户端和宽带接入服务器之间建立了PPP的点对点通道。也就是说，如果在用户主机和BRAS之间启用组播业务，则组播数据必须以BRAS作为接收端复制点，这样会使大量的组播数据穿越网络和DSLAM设备，违背了组播的初衷。因此，PPPoE接入方式限制了组播协议的存在，影响组播视频业务的开展。
DHCP+WEB技术
DHCP+Web认证需要与DHCP服务器和Web认证服务器配合使用，Host首先通过DHCP得到一个IP地址，与Web认证服务器通信，也可以使用户只访问一些内部服务器，然后，接入服务器将用户强制连接到Web认证服务器上，并在浏览器中弹出认证页面。在该页面中输入账号和密码，Web Server作为Radius的Client端把认证信息传送到Radius Server，对用户进行认证。认证通过后，用户获得新的合法的IP地址，可以访问因特网或特定的网络。
在DHCP+Web认证方式中，用户主机和接入服务器之间并没用任何类似PPP的第3层通道，也不存在对组播协议的限制。如果用户主机到接入服务器之间的交换机或DSLAM能支持IGMP Snooping，组播业务很容易开展。但是DHCP本身存在很多缺点，特别是安全性问题，如何能够保证用户信息的合法性、真实性是DHCP需要解决的关键问题。
改进方案
由此可以看到，网络层认证根据STB终端支持的程度可采用PPPOE认证或DHCP方式。但是这两种认证方式，都不能够满足IPTV业务开展的需要。因此，我们就需要针对现有的认证方式提供相应的解决方案，在保证IPTV业务开展的前提下，尽可能的减少对现网的大规范改动，以保证原有业务的支撑。
对于STB终端采用PPPOE进行认证的方式，主要需要解决的问题是组播数据的下发。因此可以针对用户的不同业务采用不同的业务分发通道。也就是说，一方面要求BRAS设备支持IPTV业务的PPPOE认证，其相关的单播数据通过PPPoE的通道下发，另一方面组播数据通过IPOE的通道进行下发；这就要求BRAS通过认证信息能够区分用户业务种类，而DLSAM设备需要支持组播分发及组播组的控制，同时要求STB设备支持双协议栈。这样既可以保证原有认证系统的功能，同时也能够保证组播业务的顺利开展。
而对于DHCP认证方式，其主要问题是保证DHCP接入的安全性和真实性，这就需要在DHCP包文中引入OP-TION82选项；对于存在多个终端同时使用DHCP的场合，为了区分这些终端，还需引入OPTION60选项。DHCP Option82选项通常由DSLAM设备将用户的端口信息和设备信息插入到用户的DHCP报文，DHCP服务器通过识别OPTION82来执行IP地址分配策略或其它策略。OPTION60选项通常由终端自带，不同类型的终端可以通过设置不同的OPTION60来识别。通过OPTION60选项，可以实现对不同的终端分配不同的地址空间。但是，OPTION82的引入需要DSLAM的支持，目前运营商使用的设备大部分并不具备该功能，因此需要进行网络设备的改造。