【IT168 报道】用户认证与授权，也是网络安全中的一个重要问题，同时也是进行网络访问控制的重要方式之一。只有网络用户的身份得到了有效地、安全地认证，才能合理地对他的网络行为进行控制，从而保证整个网络系统的安全。目前业界常用的认证技术主要有三种：PPPoE认证、Web认证和IEEE 802.1x认证。这三种认证技术都已在不同程度上应用于电信运营网络和个事业单位网络上，在确保网络的健康运转及安全保护等方面起到了非常大的作用。下面就分别对这三种认证方式进行一下简单介绍与比较。

    1. PPPoE认证

    PPPoE（PPP over Ethernet）是1998年问世的以太网上的点对点协议，目前主要应用于像ADSL这样宽带接入的虚拟拨号接入中。不过当初该协议推出的主要目的只是想把灵活与廉价的以太局域网技术和扩展性较强的点对点协议以及它的管理控制功能结合起来。通过PPPoE，网络服务提供者可以在多种接入方式（例如以太网、电缆调制解调器、无线以太网等）下提供支持多用户的宽带接入服务。基本网络结构如图所示。
 

    PPPoE协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。PPPoE协议的建立过程需要两个阶段，分别是（Discovery stage）和点对点会话阶段(PPP Session stage)。当一台主机希望启动一个PPPoE对话，它首先必须完成搜索阶段以确定对端的以太网MAC地址，并建立一个PPPoE的对话号（SESSION-ID）在PPP协议定义了一个端对端的关系时，搜索阶段的进程中，主机（客户端）搜索并发现一个网络设备（服务器端）。在网络拓扑中，主机能与之通信的可能有不只一个网络设备。在搜寻阶段，主机可以发现所有的网络设备但只能选择一个。当搜索阶段顺利完成，主机和网络设备将拥有能够建立PPPoE的所有信息。搜索阶段将在点对点对话建立之前一直存在。一旦点对点对话建立，主机和网络设备都必须为点对点对话阶段虚拟接口提供资源。具体的认证步骤如下：

    1． 用户通过在客户端安装的PPPoE软件通过交换机向支持PPPoE认证的路由器提交用户名和密码。
    2． 路由器将收发的用户信息反馈给Radius服务器。
    3． Radius服务器把路由器提供的用户名和密码与自身的用户数据库进行比对，并将比对的结果通告路由器。如用户名和密码正确，Radius服务器将通告路由器认证成功，并将用户的帐号和当前用户IP地址信息形成表项，开始依时间或流量的计费；如果认证不通过，Radius服务器将通告路由器该用户为非法用户。
    4． 路由器根据从Radius服务器上获得的认证结果反馈给最终用户，如认证成功，路由器将允许用户访问网络资源；认证不成功，路由器将禁止与用户的连接。

    优点：   
    基于PPPoE的用户认证时目前使用的最多的一种认证方式之一，优点在于由传统PSTN窄带拨号接入技术发展过来，与原有的窄带网络用户接入认证体系一致，操作简单用户较容易接受。

    缺点：
    缺点是PPP技术与以太网技术的初衷是解决不同性质的网络问题，它们在本质上有很大的差别。如果要完成PPPoE，需要将PPP协议帧再次封装到以太帧中，并且这种封装基本上不能离开CPU的参与，其性价比较低。基于PPPoE的认证系统中一般需要外置的BAS（Broadband Access Server,，宽带接入服务器），即使在认证通过后，其业务流也需要通过BAS设备，因此，BAS设备造价较高并且很容易在网络中形成单点瓶颈和故障。另外，PPPoE在发现阶段会产生大量的广播流量来搜寻服务提供设备，对网络性能会造成瞬间影响，当同时发起认证的用户较多时，这种影响更明显。