關鍵詞 認證 計費 寬帶網
　　我們已進入寬帶時代，寬帶網的認證和計費至關重要，也是一個頗有爭議的問題。寬帶網應該如何進行認證計費呢？
　　應該說，認證和計費是電信網的兩個有關聯的環(huán)節(jié)， 除了采用包月制計費方式、不依賴于認證外，一般來說，其它計費方式都和認證有關，也就是說，只有正確可靠地把用戶識別出來，正確無誤的計費才能得到保證。這就要求，認證應當具有不可更改性和不可抵賴性。
1 寬帶網和電話網有何不同？
　　我們首先看一看寬帶網和窄帶網有何不同。窄帶網包含了窄帶撥號網和窄帶專線網，寬帶網無論使用ADSL或LAN進行接入，本質上都是專線網，也就是說，每個用戶都占用局方的一個端口，這端口歸該用戶使用，該用戶不用，其它用戶也無法使用。因此專線網中按時長計費是不合理的。
　　可以設想一下，如果因為某種原因某些用戶安裝了寬帶卻不使用(目前我們撥號用戶中的零次用戶高達50%～60%)，那么我們巨大的寬帶網的投資何時能收回呢？
　　這一點和電話撥號網有本質的不同。電話撥號網通常按10~15比1(電話用戶/撥號服務器端口)的比例配備撥號服務器，某一用戶占用了撥號服務器的端口，其它用戶就無法使用。同時電話網是基于電路交換的網絡，一旦某一用戶上了網，即便沒有流量(如該用戶在寫E-mail)，他也占用了電話中繼和電話交換機的資源，因此電話撥號網按時長計費是合理的。但寬帶IP網不是這樣，從用戶端開始就是基于分組交換，當用戶無流量時，他不占用IP交換機的資源，除已永久分配給他的端口之外。
2 寬帶網應該如何計費？
　　一般說來，寬帶用戶費中包括兩部分比較合理， 即端口月租費和實際的流量費。實際的流量在某種程度上反映了對網絡資源的占用。 但遺憾的是，在目前的技術條件下，很難在IP公網上把某一個用戶真正使用的實際流量精確地計算出來。
　　這是由于以下原因：用戶接入端口的流量包含網絡上的廣播流量；由于TCP/IP的特性所致，當網絡上出現擁塞、丟包等，TCP/IP就會自動地把文件重發(fā)，這樣用戶就會感到，他們傳送的文件大小并沒有發(fā)生變化，但實測出來的流量會大于他們的文件的大小，并且會隨著網絡情況的不同而不同。實際上我們經常碰到用戶這樣的投訴：我們每月傳送的數據沒有大的變化，但為什么資費會不一樣呢?
　　為了減少不必要的資費糾紛，浙江省大部分用專線接入163網的用戶已改為包月制。
　　由于上述原因，在目前的技術條件下，不宜采用流量計費的方法。
3 寬帶網需要認證什么？
　　由于電話網中只要用戶一撥號，交換機就記錄下用戶的電話號碼，通過電話號碼就能確定用戶在何處上的網。RADIUS認證用戶的password，軟件把用戶名、口令和電話號碼及上網時長記錄下來，即可作為收費的法律依據。這是因為電話號碼一經確定，用戶不能更改，也無法抵賴，也就具有了法律效力。一旦發(fā)生話費糾紛，這一法律依據是極為重要的。
　　在寬帶網中，特別是LAN這種接入方式中，沒有了電話號碼這種用戶不能更改、也無法抵賴的依據。因此如果要在寬帶網上做認證的話，那么一定要對某種用戶不能更改，也無法抵賴的特征做認證。如果僅僅對用戶名和口令做認證，是不夠的。
　　根據以往用戶和電信局發(fā)生的資費糾紛來看，大致有幾種情況：有戶使用了，但自己感覺沒用那么多；別人盜用；電信局的計費系統(tǒng)有缺陷。無論何種情況，都需要我們有確實的證據，證明用戶何時在何處上的網。但是，目前流行的PPPoE方法，大多數廠家的軟件產品都僅對用戶名和口令進行認證，而無法確定用戶在何處上的網。
　　目前有的廠商利用DHCP+SERVER，對用戶的VLAN ID及IP地址、MAC地址等進行綁定，從而能確定用戶在何處上的網。
　　DHCP+ 的認證過程如下：DHCP 用戶通過廣播找到DHCP服務器，從回應的多個DHCP服務器中選一個提出申請，該服務器接受之后，通過認證用戶的有關信息，確認是合法用戶之后，就把相關參數，如ＩＰ地址、ＤＮＳ服務器、子網掩碼、網關的地址等傳送給用戶。用戶得到這些參數之后，就能直接進入Internet網進行通信，而所有的通信流無需經過ＤＨＣＰ服務器。
　　在這種方式下，用戶的流量可以分散到許多條路徑，互相進行交換或流向Internet網，不存在瓶頸。而PPPoE的方式下，用戶的流量必須經過寬帶接入服務器，數千甚至數萬用戶的流量全通過一個設備(即寬帶接入服務器)進行交換，或通向Internet網。當流量很大時寬帶接入服務器很容易成為瓶頸，因為寬帶接入服務器除了要完成普通路由器和交換機的功能外，還要做很多的工作，如對每個用戶(不是每個端口，一個端上有很多的用戶)流量進行監(jiān)控，有些工作還必須由軟件完成，如對用戶的認證。
4 兩種認證技術的主要區(qū)別
　　PPPoE接入設備要同Host(主機)在同一個二層內，以便Host通過廣播發(fā)現PPPoE接入設備。通過中繼代理，DHCP可以跨三層。
　　PPPoE接入設備是通信必經的Next Hop，即使是在PPPoE撥號認證成功后。DHCP+ Server只是在獲得IP配置信息階段起作用，以后的通信完全不經過它。這是很根本的一個區(qū)別，下面的許多差異都是由此產生的。
　　PPPoE接入設備如果性能不好，負擔又沉重，則很可能成為接入的瓶頸。DHCP+ Server由于只用于配置信息獲取階段，所以基本上不會成為瓶頸。
　　在計費上，PPPoE既可以計時，也可以計流量。DHCP+只能計時(如需計流量則必須在用戶接入處配備能計流量的交換機)。
　　PPPoE可以對用戶通信進行速率限制(Rate-Limit)，且很多設備可做到上、下行不對稱。DHCP+不能提供此功能。
　　有些PPPoE設備不支持VLAN，這會對某些應用構成一定的限制。DHCP+不存在這個問題。
　　PPPoE可方便地提供動態(tài)業(yè)務選擇特性(嚴格地說，這和PPPoE本身并沒有什么關系，但多和PPPoE同時應用)。
　　PPPoE設備可針對特定用戶設置ACL(訪問列表)過濾或防火墻功能。DHCP+不能做到。PPPoE可以防止地址沖突和地址盜用。DHCP+不能解決這個問題。
　　在運行Multicast(多播)應用時，由于PPPoE的點對點特性，即使幾個Host同屬于一個多播組，也要為每個Host單獨復制一份數據流。DHCP+不存在此問題。
　　值得一提的是，目前技術發(fā)展很快，如基于DHCP的Web認證方式免去了在用戶終端上安裝軟件，從而大大減少了安裝和維護的工作量。
5 接入認證能代替應用認證嗎?
　　寬帶網上今后肯定會有很多的應用， 中國電信作為一個ISP， 在用戶接入Internet時，所做的認證能取代Internet網上的各個應用的認證嗎? 答案顯然是否定的，這是因為:
　　(1) 作為一個應用，當它期望通過收費獲得收益，必然要面向廣大的群眾，當它連結在Internet網上時，用戶可以各種方式，通過各個不同的ISP進入Internet，因此各種應用勢必需要在它自己的網頁入口處進行認證才行，僅僅依靠中國電信的某省(中國電信的Internet認證以省為單位)的接入處所做的認證顯然是不夠的，就像一個公園有很多的入口，僅對某一個入口的游客進行認證和計費，顯然是不合理的。
　　(2) 各種應用本身有各種不同的需求，作為一個ISP的接入認證是很難滿足這些千差萬別的要求的，例如，我們和某高校討論建立高教網站時，他們提出，他們的網絡遠程教育包括學位教育、非學位教育、普通培訓等，各種教育中分不同的專業(yè)、不同的課程其收費標準均不相同，這么復雜的應用， 作為一個ISP的接入認證根本就無法滿足他們的要求。
6 小結
　　寬帶IP城域網的建設正在我國興起，如何進行計費和認證是大家所關注的焦點。由于寬帶IP城域網的建設剛剛起步，計費和認證的協(xié)議，硬件和軟件都不太成熟。 在我們建設的初期，采用包月制或許是比較合適的方法。

中國通信網(www.c114.net)—北極星電技術網