请您评价此文
窗体底端
DHCP+接入认证技术的现状
DHCP+接入认证技术是一种基于DHCP协议通过控制终端用户的IP地址分配实现控制用户接入的认证鉴权技术,DHCP+目前尚处于发展初期阶段,尚未推出正式的标准。常见于PPPoE接入认证方式受限的场合,例如BTV业务应用场合。目前,DHCP+在国内驻地网运营商的小区宽带或大客户接入中有小规模应用,海外地区的城域网建设中也有部分应用。
DHCP+接入认证技术对DHCP协议的扩展
DHCP协议是DHCP+接入认证技术的基础,它是RFC组织定义的一种标准,采用客户机-服务器工作机制,实现客户机向服务器请求分配IP地址的流程。为了解决对用户进行有效的接入认证控制问题和提高接入网络的安全性,DHCP+接入认证技术在网络安全、网络监控以及用户控制和终端识别等方面对DHCP协议进行了扩展。
网络安全方面,在报文入接口通过对报文匹配DHCP Snooping绑定表项,防止了IP盗用、用户私接、DHCP Server仿冒、IP/MAC Spoofing攻击、DoS(Deny of Service)攻击,规避了DHCP协议的安全缺陷。
网络监控方面,通过对丢弃的非法报文分别计数,在网管系统的配合下,实现针对各种攻击的阀值告警分别输出,提高运维部门的故障定位和解决效率,以降低运营成本。
用户控制方面,DHCP PS(DHCP Policy Server)通过建立基于用户物理位置信息的本地数据库,对用户进行认证控制。所谓用户物理位置信息就是标识用户所在的设备、端口以及QinQ双层标签信息,当然,所谓用户是用一个或多个MAC地址来识别的。用这种方法了私拉盗接和用户串用等问题,从而减轻了运维压力,保护了合法用户的权益,为营运增收提供可能。
此外,华为公司在DHCP+报文中引入了多个灵活的Option字段,满足不同场合的用户需求。例如对于存在多个终端同时使用DHCP的场合,在DHCP+报文中引入Option60以区分终端类型。DHCP PS通过识别Option60选项实现对不同的终端分配不同的地址空间功能。
DHCP+接入认证技术功能实现
图-1显示了DHCP+用于城域网接入认证的应用场景。在华为公司城域网解决方案中,Internet业务以原有PPPoE方式通过BRAS设备接入,VoIP、VoD、BTV等业务以DHCP+认证方式接入用户。我们以BTV业务为例,分析一下DHCP+接入认证技术是如何实现在认证和安全方面的上述功能的。
基于DHCP+接入认证技术的BTV组播接入过程
首先我们了解一下城域网中针对BTV业务的配置情况,自家庭网关传送到DSLAM上的BTV组播业务的PVC,在DSLAM设备上全部映射到组播VLAN中,在UPE上终结IGMP报文,然后在UPE和NPE以及核心层部署组播路由协议PIM-SSM或者PIM-SM/DM。在UPE设备上配置DHCP Relay功能、DHCP Snooping功能、Option82功能以及相应的报文检查功能,在DSLAM设备上如果功能支持也可以配置DHCP Snooping功能、Option82功能。
客户享受组播服务之前,STB通过两次握手,向DHCP PS申请IP地址的过程:
1、客户端广播DHCP Discover报文,以发现DHCP PS,UPE依据DHCP Snooping功能捕获此报文,并插入Option82,然后把报文中继到DHCP PS。Option82是DHCP报文中的一个选项字段,它携带了DHCP请求报文入端口信息、QinQ双层标签以及UPE设备名称等信息,此选项内容因生产厂家而略异。如果DSLAM设备配置上述功能,Option82在DSLAM设备插入,则在UPE上通过配置可以重新插入自己的Option82信息,也可以直接透传DSLAM设备上的Option82信息。
2、DHCP PS收到报文后,通过读取Option82信息分离出其中的设备端口信息、QinQ双层标签等标识用户物理位置的信息,然后将此信息与DHCP PS上的用户数据库相应信息比较。不一致,则DHCP PS不做任何响应;一致,则DHCP PS回送一个DHCP Offer报文。其中含有一个IP地址和携带原有Option82信息,其中的数据库信息是运营商开户时根据用户所在设备端口、QinQ双层标签信息录入的,供DHCP PS认证用户的数据。
3、此报文通过UPE时,被剥离Option82,从相应的Vlan和端口送出,STB收到后,广播DHCP Request报文,以通知其它未选中的DHCP PS和询问被选中的DHCP PS其它的配置选项,如DNS、网关地址等。
4、此报文在UPE上同样做Option82插入处理并向DHCP PS中继,DHCP PS收到此报文后,将回送一个DHCP ACK报文,其中包括用户IP、网关、DNS等配置信息以及IP租约信息,并携带Option82信息。
5、UPE收到此报文,剥离Option82信息后向STB转发此报文,同时根据报文内容和Option82完成建立DHCP+ Snooping绑定表项。STB收到DHCP ACK报文后,广播一个免费ARP报文,确认自己使用的IP地址没有与其它用户冲突后,开始使用此IP地址,与此同时在DHCP PS上根据配置决定是否将该用户的MAC地址和其用户数据库信息绑定,作为用户再次接入的认证条件。
至此用户与DHCP PS的报文交互完成,客户终端开始发送IGMP请求报文,申请加入组播组,加入成功后,组播业务流开始接入到BTV客户终端。
另外,DHCP+接入认证技术也可以用于运营商的园区网和大客户接入场合,组网模式如图-2所示,其中核心设备可以是三层或者二层交换机,接入过程和原理与上述相同。用户认证接入之后通过防火墙NAT功能访问Internet和享受其它服务,用于满足小区宽带业务经营者需求、集团用户的个性化需求,也给用户接入和安全互访带来便利。
DHCP PS对接入用户的控制
DHCP PS在收到自客户终端的DHCP Discover报文后,将依据报文中Option82描述的UPE设备、所在端口、QinQ双层标签信息与开户时录入的用户物理位置数据库信息对照,根据结果进行下一动作,用户再次认证上线时,DHCP PS将根据用户MAC和录入的用户物理位置数据库信息唯一标识用户。DHCP PS用这种方法对用户做接入权限认证,防止用户私接盗用问题,增强用户控制。如图-1中红色箭头所示,同一个用户从UPE/DSLAM/LAN设备的不同Vlan接口接入被拒绝分配IP地址,不同的用户从相同UPE/DSLAM/LAN设备Vlan接口接入也被拒绝分配IP地址。
在UPE/LAN上建立DHCP+ Snooping绑定表项内容如表-1所示(各厂家内容略有不同)。其中接口信息正是分析DHCP+ ACK报文中Option82获取的。
| Mac addr | IP addr | Lense(s) | Type | Outside-Vlan | Inside-Vlan | Interface |
| 00:02:98:F4:D2:C1 | 10.110.98.75 | 060820-1050 | STATIC | 100 | 1100 | Ethernet4/0/0 |
表-1 DHCP+ Snooping绑定表
DHCP+接入认证技术应对攻击策略
在采用传统DHCP协议时,用户和服务器可能面临各种各样的攻击和仿冒,DHCP+接入认证技术根据不同攻击类型,提供不同应对策略,见表-2。
| 攻击类型 | DHCP+接入认证技术防攻击策略 |
| DHCP Server仿冒者攻击 | 端口上设置信任(Trusted)和不信任(Untrusted)工作模式 |
| 中间人攻击 | 通过DHCP Snooping绑定表对攻击报文匹配过滤 |
| IP/MAC Spoofing攻击 | 通过DHCP Snooping绑定表对攻击报文匹配过滤 |
| 改变CHADDR值的DoS攻击 | 检查DHCP报文的CHADDR字段 |
表-2 攻击类型与防攻击策略对应表
所谓DHCP Server仿冒攻击,就是DHCP Server仿冒者通过UPE的其它业务端口发送DHCP Responses (offer、ack、nak)报文给DHCP Client,使其获取错误的IP、网关地址等,达到DoS(Deny of Service)的目的。DHCP+接入认证技术通过仅在接到DHCP PS方向的接口上设置DHCP Snooping“信任”模式,对于“不信任”端口上收到的DHCP Responses报文将直接丢弃,以此达到隔离DHCP Server仿冒者的目的。 中间人攻击是指中间人向客户端发带有自己MAC和服务器IP的报文,又同时向服务器发带有自己MAC和客户端IP的报文,最终使客户端和服务器分别学到自己的IP和MAC,使服务器发到客户端的报文都会经过中间人。IP/MAC Spoofing攻击是指攻击者向服务器发送带有合法用户IP和MAC的报文,使服务器误以为已经学到这个合法用户的IP和MAC,但真正的合法用户不能从服务器获得服务。为隔离中间人攻击与IP/MAC Spoofing攻击,DHCP+接入认证技术使用UPE设备上生成的DHCP Snooping绑定表对接口收到的报文进行检查。如果接口收到ARP或者IP报文,就用报文中的“源IP+源MAC”去匹配DHCP Snooping绑定表,如果绑定表中没有匹配项就丢弃该报文,否则正常转发,通过这样匹配方式,不仅可以防止上述攻击,也防止了设置静态IP的用户和IP盗用者。 对于DHCP饿死攻击(所谓饿死攻击是指攻击者通过不断变换用户物理地址,尝试申请DHCP域中所有的IP地址,以耗尽DHCP Server地址池资源,导致其他正常用户无法获得地址,达到DoS的目的。),我们可以在DSLAM/LAN端口上设置MAC Limit数量来此类攻击。但攻击者倘若改变的不是数据帧头部的源MAC,而是改变DHCP报文中的CHADDR(Client Hardware Address)值来不断申请IP地址。那么“MAC地址”方案显然是行不通的。为保证业务的安全性,DHCP+接入认证技术检查DHCP Request报文中CHADDR字段。如果该字段跟数据帧头部的源MAC相匹配,便转发报文;否则,丢弃报文,有效阻止这类攻击。 此外,华为公司在海外区域市场的数例城域网应用中还做到了防止仿冒用户进行IP地址续租攻击,以及灵活利用其它Option实现运营商定制功能和解决网上发现的新问题等。 DHCP+接入认证技术的客观局限性 DHCP+接入认证技术优势主要体现在其组播支持方面。众所周知,组播复制点越接近用户越能节省带宽,而组播复制点一般部署在二层和三层网络的分界线。这就意味着DHCP+接入认证技术组播优势要充分体现,城域网络必须是三层路由到边缘的组网模式。倘若将来视频分发以P2P技术为主,其组播优势便无用武之地。 DHCP+接入认证技术尚处于其发展初期阶段,协议相关标准还没有最终制定,厂家之间的实现标准尚不统一,使其进一步发展完善受限。DHCP+接入认证技术目前仅仅适用于包月制收费方式,很难做到根据流量和时长进行计费,从而对用户的不可控因素较多,Internet业务的Wholesale销售模式也难以进行,这些都是任何运营商所不愿看到的。而且由于其开放性特点,其接入的安全性尚需接受更多的验证和考验。 因而这种接入方式有很大局限性,目前阶段仅适用于小规模部署的部分业务,例如利用傻终端接入的BTV业务,并不能取代PPPoE实现其它业务类型的接入管理。 |
