ACR系統是分布式的，它由ACR-S交換主機、分復用單元EMD、遠端接口單元RIU和寬帶接入服務器BAS（ACR-Portal）、認證服務器BOS（ACR-RADIUS）等組成，如圖2所示。

?

?

?

2 三種認證方式分別在ACR系統中的實現
2.1 Web＋DHCP認證方式
2.1.1 Web＋DHCP概述
　　Web＋DHCP認證方式根據在網絡拓撲中的位置，可分為兩大類：直通式和旁路式。直通式就是認證系統處在用戶與接入設備" title="接入設備">接入設備之間，全部用戶流量都經過認證系統；旁路式就是認證系統在拓撲上處于接入設備之上，認證系統與用戶之間只要保證IP層相通即可。直通式認證系統容易實現對用戶的細粒度控制，原理簡單、直觀；但從提高系統性能、降低研發、組網和維護管理成本的角度看，旁路式比直通式認證系統有明顯的優勢。
2.1.2 Web＋DHCP認證技術在ACR中的實現流程
　　在ACR系統中無論直路式或旁路式都可實現，但兩者相比較旁路式更為實際一些。Web+DHCP方式在ACR中的通信流程如圖3所示。

?

?

　　Web+DHCP方式無需在用戶端安裝客戶端軟件，用戶開機后Host通過二層廣播向ACR-Portal請求提供Host的IP地址，在ACR系統中可由ACR-Portal作為DHCP服務器，同時ACR-Portal為該用戶建立一個用戶表項，記錄用戶的MAC地址和已分配的IP地址等信息，添加用戶服務策略。
　　用戶在認證前只能訪問門戶站點即ACR-Portal。如果用戶要轉到其他網站、得到更多服務，則必須先打開瀏覽器通過Web方式進行認證，輸入用戶名和密碼，通過ACR-Portal將用戶名和密碼送往ACR-RADIUS服務器進行認證。認證通過后，ACR-Portal可向用戶下載一個小程序，用戶通過此程序提供的小窗口可以看上線時間、租用剩余時間等。
　　用戶正常下網時，可利用上述下載的小程序執行“斷開網絡”操作。將用戶下網的消息發送給ACR-Portal，由ACR-Portal發出計費Stop包給后臺ACR-RADIUS，同時在ACR-Portal中刪除此用戶記錄并釋放用戶的IP地址。
　　若在ACR上形成直路式認證系統，只需要ACR-Portal將認證數據直接透傳給ACR-RADIUS即可。
2.2 PPPoE認證方式
2.2.1 PPPoE概述
　　1998年Redback網絡公司聯合UUNET公司和RouterWare軟件公司開發了以太網上點對點協議PPPoE，并得到了IETF的認可，于1999年2 月被IETF接受，以RFC2516發布。
2.2.2 PPPoE認證技術在ACR中的實現流程
　　PPPoE在ACR中的通信流程如圖4所示。在ACR系統中建立一個PPP連接，同樣也要建立一個惟一的會話標識符，按照RFC2516標準分兩個階段：Discovery階段和PPP會話階段。

?

　　(1)Discovery階段
　　a.Host向ACR-Portal發送一個初始化PADI(PPPoE? Active Discovery Initiation)包。
　　b.ACR-Portal返回應答PADO(PPPoE Active Discovery Offer)包。
　 ?c.Host發出會話請求PADR(PPPoE Active Discovery Request)包。
　 ?d.ACR-Portal發回會話確認PADS(PPPoE Active Discovery Session-confirmation)包。
??? (2)PPP會話階段
　　當一個Host想發起PPPoE會話(PPP Session)時，它必須首先完成識別對等端(ACR-Portal)的MAC地址并建立PPPoE的SESSION_ID。PPPoE會話的SESSION_ID不允許發生改變，必須是Discovery階段所指定的值，即建立了一個PPP過程。之后ACR-RADIUS驗證PPP包中的Host用戶及密碼，若認證通過，告知ACR-Portal完成認證過程，并分配IP地址，開始計費進行控制。
2.3 IEEE 802.1X認證方式
2.3.1 802.1X概述
　　802.1X協議是基于端口的訪問控制協議(Port-based Network Access Control Protocol)。主要由認證服務器(Authentication Server)、認證者(Authenticator)和申請者(Supplicant) 三部分組成，其系統結構如圖5所示。

?

2.3.2 802.1X在ACR中的實現流程
　　在ACR系統中ACR-RADIUS、ACR-Portal、Host分別扮演認證服務器、認證者、申請者的角色。圖6是802.1X方式在ACR中的通信流程。

?

?

　　(1)當Host上網時先發出請求認證的報文給ACR-Portal，開始啟動一次認證過程;
　　(2)ACR-Portal收到請求認證的數據幀后，將發出一個請求幀要求Host將輸入的用戶名送上來;
　? (3)Host響應ACR-Portal發出的請求，將用戶名信息通過數據幀送給ACR-Portal。ACR-Portal再將Host送上來的數據幀經過EAP封包處理后送給ACR-RADIUS進行認證;
　 ?(4)ACR-RADIUS收到ACR-Portal轉發上來的用戶信息后，將該信息與數據庫中的用戶名表相比對，找到該用戶名對應的口令信息，用隨機生成的一個加密字對它進行加密處理，同時將此加密字傳送給ACR-Portal，由ACR-Portal傳給Host;
??? (5)Host收到由ACR-Portal傳來的加密字后，用該加密字對口令部分進行加密處理(如MD5不可逆的加密算法)，并通過ACR-Portal再傳給ACR-RADIUS;
　 ?(6)ACR-RADIUS將送上來的加密后的口令信息與其他經過加密運算后的口令信息進行對比，如果相同，則認為該用戶為合法用戶，反饋認證通過的消息，并向ACR-Portal發出打開端口的指令，允許用戶的業務流通過端口訪問網絡，至此完成認證過程。
　　在Host與ACR-Portal交換口令信息的時候，沒有將口令以明文直接送到網絡上進行傳輸，而是對口令信息進行MD5不可逆的加密算法處理，使在網絡上傳輸的敏感信息有了更高的安全保障，杜絕了由于下級接入設備所具有的廣播特性而導致敏感信息泄漏的問題。
3? 三種認證方式在ACR中的對比研究
　 　Web+DHCP.PPPoE和802.1X三種認證方式對比研究如表1所示。因為不同接入網絡和網絡管理員的要求（例如公安網、軍隊網的接入網要求）、網絡管理員對三種認證方式的熟練程度以及網絡運營商對運營要求等，三種認證技術都有需求。目前三種認證方式都是位于各自單獨的應用環境下分別在ACR系統中實現的。如果能在一個統一的通用環境情況下，即三種認證方式在ACR系統中一起進行認證，還需要進一步研究與實踐，這也是筆者下一步的研究方向,即集成式可擴展的接入認證機制的研究，以便為ACR系統可接入、可控制、可管理、可擴展的大規模寬帶網提供更好的技術服務。

?

參考文獻
[1] ?鄔江興.中國高性能寬帶信息網(3TNet)綜述.通訊世界, ?2002,（1）:37-40.
[2] ?NDSC. 大規模接入匯聚路由器（ACR）總體技術規范[S]，2005.
[3] ?汪斌強，鄔江興. 基于IPv6的大規模接入匯聚路由器的設想和實現.電信科學, 2006,(1):5-9.
[4] ?DROMS R. Dynamic host configuration protocol[S]. RFC?2131, Bucknell University, March 1997.
[5]? SIMPSON W. RFC1661: Point to point protocol[Z]. 1994.
[6]? RIGNEY C. Remote authentication dial in user service?(RADIUS) [M]. IETF, RFC2865, 2000.