ACR系統(tǒng)是分布式的，它由ACR-S交換主機(jī)、分復(fù)用單元EMD、遠(yuǎn)端接口單元RIU和寬帶接入服務(wù)器BAS（ACR-Portal）、認(rèn)證服務(wù)器BOS（ACR-RADIUS）等組成，如圖2所示。

?

?

?

2 三種認(rèn)證方式分別在ACR系統(tǒng)中的實(shí)現(xiàn)
2.1 Web＋DHCP認(rèn)證方式
2.1.1 Web＋DHCP概述
　　Web＋DHCP認(rèn)證方式根據(jù)在網(wǎng)絡(luò)拓?fù)渲械奈恢茫煞譃閮纱箢悾褐蓖ㄊ胶团月肥?。直通式就是認(rèn)證系統(tǒng)處在用戶與接入設(shè)備" title="接入設(shè)備">接入設(shè)備之間，全部用戶流量都經(jīng)過認(rèn)證系統(tǒng)；旁路式就是認(rèn)證系統(tǒng)在拓?fù)渖咸幱诮尤朐O(shè)備之上，認(rèn)證系統(tǒng)與用戶之間只要保證IP層相通即可。直通式認(rèn)證系統(tǒng)容易實(shí)現(xiàn)對(duì)用戶的細(xì)粒度控制，原理簡(jiǎn)單、直觀；但從提高系統(tǒng)性能、降低研發(fā)、組網(wǎng)和維護(hù)管理成本的角度看，旁路式比直通式認(rèn)證系統(tǒng)有明顯的優(yōu)勢(shì)。
2.1.2 Web＋DHCP認(rèn)證技術(shù)在ACR中的實(shí)現(xiàn)流程
　　在ACR系統(tǒng)中無論直路式或旁路式都可實(shí)現(xiàn)，但兩者相比較旁路式更為實(shí)際一些。Web+DHCP方式在ACR中的通信流程如圖3所示。

?

?

　　Web+DHCP方式無需在用戶端安裝客戶端軟件，用戶開機(jī)后Host通過二層廣播向ACR-Portal請(qǐng)求提供Host的IP地址，在ACR系統(tǒng)中可由ACR-Portal作為DHCP服務(wù)器，同時(shí)ACR-Portal為該用戶建立一個(gè)用戶表項(xiàng)，記錄用戶的MAC地址和已分配的IP地址等信息，添加用戶服務(wù)策略。
　　用戶在認(rèn)證前只能訪問門戶站點(diǎn)即ACR-Portal。如果用戶要轉(zhuǎn)到其他網(wǎng)站、得到更多服務(wù)，則必須先打開瀏覽器通過Web方式進(jìn)行認(rèn)證，輸入用戶名和密碼，通過ACR-Portal將用戶名和密碼送往ACR-RADIUS服務(wù)器進(jìn)行認(rèn)證。認(rèn)證通過后，ACR-Portal可向用戶下載一個(gè)小程序，用戶通過此程序提供的小窗口可以看上線時(shí)間、租用剩余時(shí)間等。
　　用戶正常下網(wǎng)時(shí)，可利用上述下載的小程序執(zhí)行“斷開網(wǎng)絡(luò)”操作。將用戶下網(wǎng)的消息發(fā)送給ACR-Portal，由ACR-Portal發(fā)出計(jì)費(fèi)Stop包給后臺(tái)ACR-RADIUS，同時(shí)在ACR-Portal中刪除此用戶記錄并釋放用戶的IP地址。
　　若在ACR上形成直路式認(rèn)證系統(tǒng)，只需要ACR-Portal將認(rèn)證數(shù)據(jù)直接透?jìng)鹘oACR-RADIUS即可。
2.2 PPPoE認(rèn)證方式
2.2.1 PPPoE概述
　　1998年Redback網(wǎng)絡(luò)公司聯(lián)合UUNET公司和RouterWare軟件公司開發(fā)了以太網(wǎng)上點(diǎn)對(duì)點(diǎn)協(xié)議PPPoE，并得到了IETF的認(rèn)可，于1999年2 月被IETF接受，以RFC2516發(fā)布。
2.2.2 PPPoE認(rèn)證技術(shù)在ACR中的實(shí)現(xiàn)流程
　　PPPoE在ACR中的通信流程如圖4所示。在ACR系統(tǒng)中建立一個(gè)PPP連接，同樣也要建立一個(gè)惟一的會(huì)話標(biāo)識(shí)符，按照RFC2516標(biāo)準(zhǔn)分兩個(gè)階段：Discovery階段和PPP會(huì)話階段。

?

　　(1)Discovery階段
　　a.Host向ACR-Portal發(fā)送一個(gè)初始化PADI(PPPoE? Active Discovery Initiation)包。
　　b.ACR-Portal返回應(yīng)答PADO(PPPoE Active Discovery Offer)包。
　 ?c.Host發(fā)出會(huì)話請(qǐng)求PADR(PPPoE Active Discovery Request)包。
　 ?d.ACR-Portal發(fā)回會(huì)話確認(rèn)PADS(PPPoE Active Discovery Session-confirmation)包。
??? (2)PPP會(huì)話階段
　　當(dāng)一個(gè)Host想發(fā)起PPPoE會(huì)話(PPP Session)時(shí)，它必須首先完成識(shí)別對(duì)等端(ACR-Portal)的MAC地址并建立PPPoE的SESSION_ID。PPPoE會(huì)話的SESSION_ID不允許發(fā)生改變，必須是Discovery階段所指定的值，即建立了一個(gè)PPP過程。之后ACR-RADIUS驗(yàn)證PPP包中的Host用戶及密碼，若認(rèn)證通過，告知ACR-Portal完成認(rèn)證過程，并分配IP地址，開始計(jì)費(fèi)進(jìn)行控制。
2.3 IEEE 802.1X認(rèn)證方式
2.3.1 802.1X概述
　　802.1X協(xié)議是基于端口的訪問控制協(xié)議(Port-based Network Access Control Protocol)。主要由認(rèn)證服務(wù)器(Authentication Server)、認(rèn)證者(Authenticator)和申請(qǐng)者(Supplicant) 三部分組成，其系統(tǒng)結(jié)構(gòu)如圖5所示。

?

2.3.2 802.1X在ACR中的實(shí)現(xiàn)流程
　　在ACR系統(tǒng)中ACR-RADIUS、ACR-Portal、Host分別扮演認(rèn)證服務(wù)器、認(rèn)證者、申請(qǐng)者的角色。圖6是802.1X方式在ACR中的通信流程。

?

?

　　(1)當(dāng)Host上網(wǎng)時(shí)先發(fā)出請(qǐng)求認(rèn)證的報(bào)文給ACR-Portal，開始啟動(dòng)一次認(rèn)證過程;
　　(2)ACR-Portal收到請(qǐng)求認(rèn)證的數(shù)據(jù)幀后，將發(fā)出一個(gè)請(qǐng)求幀要求Host將輸入的用戶名送上來;
　? (3)Host響應(yīng)ACR-Portal發(fā)出的請(qǐng)求，將用戶名信息通過數(shù)據(jù)幀送給ACR-Portal。ACR-Portal再將Host送上來的數(shù)據(jù)幀經(jīng)過EAP封包處理后送給ACR-RADIUS進(jìn)行認(rèn)證;
　 ?(4)ACR-RADIUS收到ACR-Portal轉(zhuǎn)發(fā)上來的用戶信息后，將該信息與數(shù)據(jù)庫(kù)中的用戶名表相比對(duì)，找到該用戶名對(duì)應(yīng)的口令信息，用隨機(jī)生成的一個(gè)加密字對(duì)它進(jìn)行加密處理，同時(shí)將此加密字傳送給ACR-Portal，由ACR-Portal傳給Host;
??? (5)Host收到由ACR-Portal傳來的加密字后，用該加密字對(duì)口令部分進(jìn)行加密處理(如MD5不可逆的加密算法)，并通過ACR-Portal再傳給ACR-RADIUS;
　 ?(6)ACR-RADIUS將送上來的加密后的口令信息與其他經(jīng)過加密運(yùn)算后的口令信息進(jìn)行對(duì)比，如果相同，則認(rèn)為該用戶為合法用戶，反饋認(rèn)證通過的消息，并向ACR-Portal發(fā)出打開端口的指令，允許用戶的業(yè)務(wù)流通過端口訪問網(wǎng)絡(luò)，至此完成認(rèn)證過程。
　　在Host與ACR-Portal交換口令信息的時(shí)候，沒有將口令以明文直接送到網(wǎng)絡(luò)上進(jìn)行傳輸，而是對(duì)口令信息進(jìn)行MD5不可逆的加密算法處理，使在網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒂辛烁叩陌踩Ｕ?，杜絕了由于下級(jí)接入設(shè)備所具有的廣播特性而導(dǎo)致敏感信息泄漏的問題。
3? 三種認(rèn)證方式在ACR中的對(duì)比研究
　 　Web+DHCP.PPPoE和802.1X三種認(rèn)證方式對(duì)比研究如表1所示。因?yàn)椴煌尤刖W(wǎng)絡(luò)和網(wǎng)絡(luò)管理員的要求（例如公安網(wǎng)、軍隊(duì)網(wǎng)的接入網(wǎng)要求）、網(wǎng)絡(luò)管理員對(duì)三種認(rèn)證方式的熟練程度以及網(wǎng)絡(luò)運(yùn)營(yíng)商對(duì)運(yùn)營(yíng)要求等，三種認(rèn)證技術(shù)都有需求。目前三種認(rèn)證方式都是位于各自單獨(dú)的應(yīng)用環(huán)境下分別在ACR系統(tǒng)中實(shí)現(xiàn)的。如果能在一個(gè)統(tǒng)一的通用環(huán)境情況下，即三種認(rèn)證方式在ACR系統(tǒng)中一起進(jìn)行認(rèn)證，還需要進(jìn)一步研究與實(shí)踐，這也是筆者下一步的研究方向,即集成式可擴(kuò)展的接入認(rèn)證機(jī)制的研究，以便為ACR系統(tǒng)可接入、可控制、可管理、可擴(kuò)展的大規(guī)模寬帶網(wǎng)提供更好的技術(shù)服務(wù)。

?

參考文獻(xiàn)
[1] ?鄔江興.中國(guó)高性能寬帶信息網(wǎng)(3TNet)綜述.通訊世界, ?2002,（1）:37-40.
[2] ?NDSC. 大規(guī)模接入?yún)R聚路由器（ACR）總體技術(shù)規(guī)范[S]，2005.
[3] ?汪斌強(qiáng)，鄔江興. 基于IPv6的大規(guī)模接入?yún)R聚路由器的設(shè)想和實(shí)現(xiàn).電信科學(xué), 2006,(1):5-9.
[4] ?DROMS R. Dynamic host configuration protocol[S]. RFC?2131, Bucknell University, March 1997.
[5]? SIMPSON W. RFC1661: Point to point protocol[Z]. 1994.
[6]? RIGNEY C. Remote authentication dial in user service?(RADIUS) [M]. IETF, RFC2865, 2000.