1、基于DHCP的IPoE接入认证技术的研究与实现,研究生:王然导师:沈卓炜,研究背景研究内容及意义E-DHCP系统的设计需求E-DHCP系统的设计与实现测试结论,研究背景及意义,随着网络中计算机数量的不断上升,网络拓扑结构越来越复杂,网络管理员对网络中主机管理和配置的难度也随之增加。在这样的情况下,DHCP协议应运而生。但是,DHCP协议设计本身未考虑安全性,且它所承载的UDP/IP协议也不具备安全性。因此,DHCP协议面临着很多的安全威胁,如伪DHCP Server攻击、DHCP DoS攻击、DNS网络欺骗、IP欺骗等。除此之外,当今互联网规模日益扩大,以及宽带应用发展迅速,各种增值业务的需求
2、也愈加强烈。运营商开始为用户提供更多增值业务,如IPTV业务、IP电话业务等。这些都需要DHCP系统提供很好的增值扩展,方便实现对用户的计费、权限访问控制等功能。在DHCP的安全性与扩展性都面临着严峻挑战的背景下,出现了基于DHCP的认证方式,将一些成熟的接入认证技术融入到DHCP动态获取IP地址的过程中,从而有效提高DHCP的安全性,同时也增强了DHCP的扩展性。,研究内容及意义,研究内容:研究常与DHCP系统配合使用的几种认证技术,分析各自优势和劣势。结合DHCP系统特点、IPoE认证技术的特性、以及本项目对路由器的实际需求,提出对原有DHCP系统的具体改造实施方案。设计和实现增强版的DH
3、CP系统(E-DHCP系统)。对E-DHCP系统进行功能和性能的测试,并分析测试结果。,研究意义: 通过对DHCP系统的几种常用认证技术的研究,特别是对IPoE认证技术的分析,结合路由器研发的实际需求,实现一个基于特定平台的E-DHCP系统。 E-DHCP系统可对接入用户提供无感知认证和授权,也为管理员提供了多种认证依据的选择方式,有效提高原DHCP系统的安全性。 E-DHCP支持多种增值业务的开展,为适应未来网络发展的需要提高了灵活性和可扩展性。,E-DHCP系统的设计需求,为管理员提供配置命令识别和处理用户的接入会话请求对接入会话实施认证、授权和计费为通过认证的用户动态分配IP地址为成功上
4、线的用户下发策略规则静态或动态管理接入用户,E-DHCP系统的设计与实现,模块划分及其关系,E-DHCP系统与外部模块关系,一级模块分解,二级模块分解,数据存储配置存储 统一保存在动态内存数据库(DBM)Session存储 用户态和内核态分别存储 原因: 1、提高系统的可靠性 2、减小CPU的负载,Session存储结构typedef struct tagEDHCP_SESSION_KEY IF_INDEX ifIndex; struct in_addr stSrcIP; UCHAR ucIPMaskLen; UCHAR aucSrcMacMAC_ADDR_LEN; USHORT usVlan
5、ID; EDHCP_SESSION_KEY_S;,typedef struct tagEDHCP_KSESSION RADIX_NODE_S astNodeOfRadixEDHCP_Packet_NODE_NUM; EDHCP_SESSION_KEY_S stSessionKey; EDHCP_USER_INFO_S stUserInfo; UINT uiState; UINT uiDhcpLease; UINT uiDrvId; .EDHCP_KSESSION_S;,typedef struct tagEDHCP_SESSION RADIX_NODE_S astNodeOfRadixEDHC
6、P_Packet_NODE_NUM; EDHCP_SESSION_KEY_S stSessionKey; EDHCP_USER_INFO_S stUserInfo; EDHCP_AAA_INFO_S stAAAInfo; ULONG aulTimerEDHCP_TIMER_TYPE_BUFF; UINT uiState; UINT uiDhcpLease; .EDHCP_SESSION_S;,Session状态,Session表项维护一致性 同步 平滑有效性 DHCP-RELEASE报文、DHCP-DECLINE报文、DHCP-NAK报文等 租约到期 分配给用户的流量配额或在线时长配额用完 管理员强制用户下线 其它外部事件(接口删除、接口Up、接口Down等),报文处理Discover报文Request报文Ack报文Nak报文Release报文,Discover报文处理,Request报文处理,Ack报文处理,Nak报文处理,Release报文处理,配置管理TLV格式,测试结论,测试组网图,功能测试,性能测试,压力测试,Thank You,
