ACR系統(tǒng)是分布式的，它由ACR-S交換主機、分復用單元EMD、遠端接口單元RIU和寬帶接入服務器BAS（ACR-Portal）、認證服務器BOS（ACR-RADIUS）等組成，如圖2所示。

?

?

?

2 三種認證方式分別在ACR系統(tǒng)中的實現(xiàn)
2.1 Web＋DHCP認證方式
2.1.1 Web＋DHCP概述
　　Web＋DHCP認證方式根據(jù)在網(wǎng)絡拓撲中的位置，可分為兩大類：直通式和旁路式。直通式就是認證系統(tǒng)處在用戶與接入設備" title="接入設備">接入設備之間，全部用戶流量都經(jīng)過認證系統(tǒng)；旁路式就是認證系統(tǒng)在拓撲上處于接入設備之上，認證系統(tǒng)與用戶之間只要保證IP層相通即可。直通式認證系統(tǒng)容易實現(xiàn)對用戶的細粒度控制，原理簡單、直觀；但從提高系統(tǒng)性能、降低研發(fā)、組網(wǎng)和維護管理成本的角度看，旁路式比直通式認證系統(tǒng)有明顯的優(yōu)勢。
2.1.2 Web＋DHCP認證技術在ACR中的實現(xiàn)流程
　　在ACR系統(tǒng)中無論直路式或旁路式都可實現(xiàn)，但兩者相比較旁路式更為實際一些。Web+DHCP方式在ACR中的通信流程如圖3所示。

?

?

　　Web+DHCP方式無需在用戶端安裝客戶端軟件，用戶開機后Host通過二層廣播向ACR-Portal請求提供Host的IP地址，在ACR系統(tǒng)中可由ACR-Portal作為DHCP服務器，同時ACR-Portal為該用戶建立一個用戶表項，記錄用戶的MAC地址和已分配的IP地址等信息，添加用戶服務策略。
　　用戶在認證前只能訪問門戶站點即ACR-Portal。如果用戶要轉到其他網(wǎng)站、得到更多服務，則必須先打開瀏覽器通過Web方式進行認證，輸入用戶名和密碼，通過ACR-Portal將用戶名和密碼送往ACR-RADIUS服務器進行認證。認證通過后，ACR-Portal可向用戶下載一個小程序，用戶通過此程序提供的小窗口可以看上線時間、租用剩余時間等。
　　用戶正常下網(wǎng)時，可利用上述下載的小程序執(zhí)行“斷開網(wǎng)絡”操作。將用戶下網(wǎng)的消息發(fā)送給ACR-Portal，由ACR-Portal發(fā)出計費Stop包給后臺ACR-RADIUS，同時在ACR-Portal中刪除此用戶記錄并釋放用戶的IP地址。
　　若在ACR上形成直路式認證系統(tǒng)，只需要ACR-Portal將認證數(shù)據(jù)直接透傳給ACR-RADIUS即可。
2.2 PPPoE認證方式
2.2.1 PPPoE概述
　　1998年Redback網(wǎng)絡公司聯(lián)合UUNET公司和RouterWare軟件公司開發(fā)了以太網(wǎng)上點對點協(xié)議PPPoE，并得到了IETF的認可，于1999年2 月被IETF接受，以RFC2516發(fā)布。
2.2.2 PPPoE認證技術在ACR中的實現(xiàn)流程
　　PPPoE在ACR中的通信流程如圖4所示。在ACR系統(tǒng)中建立一個PPP連接，同樣也要建立一個惟一的會話標識符，按照RFC2516標準分兩個階段：Discovery階段和PPP會話階段。

?

　　(1)Discovery階段
　　a.Host向ACR-Portal發(fā)送一個初始化PADI(PPPoE? Active Discovery Initiation)包。
　　b.ACR-Portal返回應答PADO(PPPoE Active Discovery Offer)包。
　 ?c.Host發(fā)出會話請求PADR(PPPoE Active Discovery Request)包。
　 ?d.ACR-Portal發(fā)回會話確認PADS(PPPoE Active Discovery Session-confirmation)包。
??? (2)PPP會話階段
　　當一個Host想發(fā)起PPPoE會話(PPP Session)時，它必須首先完成識別對等端(ACR-Portal)的MAC地址并建立PPPoE的SESSION_ID。PPPoE會話的SESSION_ID不允許發(fā)生改變，必須是Discovery階段所指定的值，即建立了一個PPP過程。之后ACR-RADIUS驗證PPP包中的Host用戶及密碼，若認證通過，告知ACR-Portal完成認證過程，并分配IP地址，開始計費進行控制。
2.3 IEEE 802.1X認證方式
2.3.1 802.1X概述
　　802.1X協(xié)議是基于端口的訪問控制協(xié)議(Port-based Network Access Control Protocol)。主要由認證服務器(Authentication Server)、認證者(Authenticator)和申請者(Supplicant) 三部分組成，其系統(tǒng)結構如圖5所示。

?

2.3.2 802.1X在ACR中的實現(xiàn)流程
　　在ACR系統(tǒng)中ACR-RADIUS、ACR-Portal、Host分別扮演認證服務器、認證者、申請者的角色。圖6是802.1X方式在ACR中的通信流程。

?

?

　　(1)當Host上網(wǎng)時先發(fā)出請求認證的報文給ACR-Portal，開始啟動一次認證過程;
　　(2)ACR-Portal收到請求認證的數(shù)據(jù)幀后，將發(fā)出一個請求幀要求Host將輸入的用戶名送上來;
　? (3)Host響應ACR-Portal發(fā)出的請求，將用戶名信息通過數(shù)據(jù)幀送給ACR-Portal。ACR-Portal再將Host送上來的數(shù)據(jù)幀經(jīng)過EAP封包處理后送給ACR-RADIUS進行認證;
　 ?(4)ACR-RADIUS收到ACR-Portal轉發(fā)上來的用戶信息后，將該信息與數(shù)據(jù)庫中的用戶名表相比對，找到該用戶名對應的口令信息，用隨機生成的一個加密字對它進行加密處理，同時將此加密字傳送給ACR-Portal，由ACR-Portal傳給Host;
??? (5)Host收到由ACR-Portal傳來的加密字后，用該加密字對口令部分進行加密處理(如MD5不可逆的加密算法)，并通過ACR-Portal再傳給ACR-RADIUS;
　 ?(6)ACR-RADIUS將送上來的加密后的口令信息與其他經(jīng)過加密運算后的口令信息進行對比，如果相同，則認為該用戶為合法用戶，反饋認證通過的消息，并向ACR-Portal發(fā)出打開端口的指令，允許用戶的業(yè)務流通過端口訪問網(wǎng)絡，至此完成認證過程。
　　在Host與ACR-Portal交換口令信息的時候，沒有將口令以明文直接送到網(wǎng)絡上進行傳輸，而是對口令信息進行MD5不可逆的加密算法處理，使在網(wǎng)絡上傳輸?shù)拿舾行畔⒂辛烁叩陌踩Ｕ?，杜絕了由于下級接入設備所具有的廣播特性而導致敏感信息泄漏的問題。
3? 三種認證方式在ACR中的對比研究
　 　Web+DHCP.PPPoE和802.1X三種認證方式對比研究如表1所示。因為不同接入網(wǎng)絡和網(wǎng)絡管理員的要求（例如公安網(wǎng)、軍隊網(wǎng)的接入網(wǎng)要求）、網(wǎng)絡管理員對三種認證方式的熟練程度以及網(wǎng)絡運營商對運營要求等，三種認證技術都有需求。目前三種認證方式都是位于各自單獨的應用環(huán)境下分別在ACR系統(tǒng)中實現(xiàn)的。如果能在一個統(tǒng)一的通用環(huán)境情況下，即三種認證方式在ACR系統(tǒng)中一起進行認證，還需要進一步研究與實踐，這也是筆者下一步的研究方向,即集成式可擴展的接入認證機制的研究，以便為ACR系統(tǒng)可接入、可控制、可管理、可擴展的大規(guī)模寬帶網(wǎng)提供更好的技術服務。

?

參考文獻
[1] ?鄔江興.中國高性能寬帶信息網(wǎng)(3TNet)綜述.通訊世界, ?2002,（1）:37-40.
[2] ?NDSC. 大規(guī)模接入?yún)R聚路由器（ACR）總體技術規(guī)范[S]，2005.
[3] ?汪斌強，鄔江興. 基于IPv6的大規(guī)模接入?yún)R聚路由器的設想和實現(xiàn).電信科學, 2006,(1):5-9.
[4] ?DROMS R. Dynamic host configuration protocol[S]. RFC?2131, Bucknell University, March 1997.
[5]? SIMPSON W. RFC1661: Point to point protocol[Z]. 1994.
[6]? RIGNEY C. Remote authentication dial in user service?(RADIUS) [M]. IETF, RFC2865, 2000.