IPTV承載網接入認證方案對比
加入技術交流群
IPTV是對組播要求極高的業務。在組播業務中,要保證業務的可運營、可管理,就要通過一些必要的策略來達到業務可控的目的。組播的控制策略有很多種,其中控制組播用戶的一個重要技術手段就是對用戶進行認證、授權。原有寬帶網絡中用戶的認證多用于IP單播業務,并不能夠完全滿足組播認證的要求。這就需要對原有的認證體系進行改造,以適應IPTV業務的開展要求。
對于采用PPPoE進行認證的方式,主要需要解決的問題是組播數據的下發。因此,可以針對用戶的不同業務采用不同的業務分發通道。也就是說,一方面要求BRAS設備支持IPTV業務的PPPoE認證,其相關的單播數據通過PPPoE的通道下發;另一方面組播數據通過IPOE的通道進行下發。這就要求BRAS通過認證信息能夠區分用戶業務種類,而DSLAM設備需要支持組播分發及組播組的控制,同時要求STB設備支持雙協議棧。這樣既可以保證原有認證系統的功能,同時也能夠保證組播業務的順利開展。
對于DHCP認證方式,其主要問題是保證DHCP接入的安全性和真實性,這就需要在DHCP包文中引入OPTION82選項;對于存在多個終端同時使用DHCP的場合,為了區分這些終端,還需引入OPTION60選項。DHCPOPTION82選項通常由DSLAM設備將用戶的端口信息和設備信息插入到用戶的DHCP報文,DHCP服務器通過識別OPTION82來執行IP地址分配策略或其它策略。OPTION60選項通常由終端自帶,不同類型的終端可以通過設置不同的OPTION60來識別。通過OPTION60選項,可以實現對不同的終端分配不同的地址空間。但是,OPTION82的引入需要DSLAM的支持,目前網絡上使用的設備大部分并不具備該功能,因此需要進行接入設備的改造。
兩種認證方式各有優缺點,PPPoE認證技術比較成熟,安全性高,不需要進行接入網設備的改造,但是BRAS對組播等新業務支持能力差(目前BRAS均不支持組播)、效率低;需要改造BRAS來支持,投資很大,不利于IPTV業務的拓展。而DHCP+Web可以實現較多的增值業務,同時又可以很好地支持組播業務。雖然DHCP認證方式安全性不如PPPoE,但經過多年的發展,已具備相應的條件保證IPTV接入認證的安全。為保證接入的安全性可配合使用接入網設備支持的OPTION82特性,為防止DHCPServer欺騙,可進行二層的用戶隔離。采用DHCP認證方式,IPTV業務流量可以從三層交換機走,投資很少,符合運營者發展IPTV的長遠利益。
下面,我們從幾個方面來具體比較PPPoE和DHCP在IPTV網絡中的適用性。
●計費的準確性
對于PPPoE方式,在用戶認證通過后,由寬帶接入服務器(BAS),向后臺的RADIUS服務器發送計費開始包,在用戶下線后(用戶主動掛斷、異常死機、網絡斷等),由BAS向后臺的RADIUS服務器發送計費結束包。后臺計費系統便可根據計費起始包、結束包按時長、按流量進行實時計費。采用這種方式,計費數據相當準確。
對于DHCP+Web方式,用戶認證通過后,同樣由接入服務器向后臺的RADIUS服務器發送計費開始包,當用戶需要下線時,需要通過點擊Web頁面掛斷按鈕,觸發寬帶接入服務器向后臺的RADIUS服務器發送計費結束包。在這種正常情況下,計費數據較準。但如果用戶是異常下線,接入服務器需要根據設置的用戶空閑最長時間來判斷,如果超過最長空閑時間。則認為是用戶已下線,此時寬帶接入服務器向后臺的RADIUS服務器發送計費結束包。后臺計費系統便可根據計費起始包、結束包按時長、按流量進行實時計費。利用這種判斷用戶異常下線方式,可能最后的計費結束包的時間比用戶實際的下線時間要多出一段時間。要解決這個問題,需要將用戶空閑的最長時間設短,但此時間如果太短,又有可能讓用戶在上網的過程中(比如較長時間的閱讀,沒有通信流量的時候,會被BAS認為是用戶已下線),出現多次需要重新進行認證,帶來使用的不方便性。
●對網絡環境的要求
PPPoE的本質就是在以太網上跑PPP協議。由于PPP協議認證過程的第一階段是Discovery階段,廣播只能在二層網絡,才能發現BAS。因此,也就決定了在用戶主機和BAS之間,不能有路由器或三層交換機。另外,由于PPPoE的點對點的本質,在用戶主機和BAS之間,限制了組播協議的存在。這樣,將會在一定程度上,影響今后視頻業務的開展。不過國際上為了解決這個問題,提出了一些草案(IPmulticastingandbroadcasting extension for PPPoE Protocol),希望能解決PPPoE上的組播問題。DHCP+Web認證不存在二層網絡的限制,同樣也不存在組播協議的限制。
●可管理性
對于PPPoE方式,寬帶接入服務器與RADIUS服務器配合,可以進行一定程度的服務質量控制。較多的接入服務器能夠實現Policing和rate-limiting等功能。Policing是一種接收控制功能,只容許指定速率的流量通過。類似的,rate-limiting是發送控制功能,只容許指定速率的流量發送。
對于DHCP+Web方式,當采用旁路方式的網絡架構時,不能對用戶進行帶寬管理。如果是直路的網絡架構,可以根據用戶的不同,對帶寬進行不同等級的限速控制。
●IP地址分配
PPPoE方式下的IP地址分配,完全是由寬帶接入服務器和RADIUS服務器配合完成,用戶不能修改。同時,后臺的支撐系統還能夠根據不同的用戶分配不同范圍、不同性質的IP地址,如某些用戶使用公網地址,某些用戶使用私有地址。
DHCP+Web則不能根據用戶的不同,在IP地址的分配上做不同的區分。另外,使用DHCP來動態分配IP地址,還可以基于策略化分配。
●客戶端軟件限制
使用PPPoE進行用戶認證,必須在客戶端安裝虛擬撥號軟件。通過此虛擬撥號軟件來與運營商局端的寬帶接入服務器完成PPPoE的連接。但隨著WindowsXP的發布,微軟已把PPPoE虛擬撥號的功能集成到操作系統中。
DHCP+Web認證方式最大的一個優勢就在于客戶端不需要安裝任何撥號軟件,認證完全依靠瀏覽器來完成,在維護上很方便。
●多服務選擇能力
在PPPoE方式下,許多廠家的寬帶接入服務器提供類似“虛設備”的處理模塊,不同的用戶能夠基于不同的“虛設備”,而引導至不同的服務區域。
對于DHCP+Web方式,要實現多服務選擇能力比較困難。目前能夠支持多服務選擇的設備只有少數幾家國外設備,如Ellacoya也是主要依靠VitualServiceContext技術來實現的。
●性能特點
由于PPPoE的特點,寬帶接入服務器可能會成為網絡的瓶頸。對于DHCP+Web,一般采用網絡旁路的架構,不會影響到網絡的性能。
3、結束語
從以上多個角度的對比,兩種方式各有優缺點,基于PPPoE的認證方式,可管理性強,計費準確,其代價就是PPP本身限制了網絡環境和組播業務的開展。而Web方式的認證,對網絡環境不會造成任何影響,但在整個網絡的用戶可管理性、異常情況下計費準確度等方面都存在一定問題。運營商可以根據自身的業務運營特點,采用相應的認證方式。如果運營商偏重系統的可管理性、計費的精確性,推薦采用PPPoE的認證計費方式,如果偏重客戶端的方便性,而對用戶端的計費要求不是很高的情況(例如目前常用的包月制)下,推薦采用DHCP+Web認證計費模式。
目前兩種認證模式在國內外運營商都有應用案例。隨著IPTV業務的用戶數量的增加,DHCP認證方式的應用會逐步增多,如最近韓國電信IPTV已經采用了DHCP方式,國內運營商也有針對DHCP方案的試驗系統。
評論