ACR系统是分布式的，它由ACR-S交换主机、分复用单元EMD、远端接口单元RIU和宽带接入服务器BAS（ACR-Portal）、认证服务器BOS（ACR-RADIUS）等组成，如图2所示。

2 三种认证方式分别在ACR系统中的实现
2.1 Web＋DHCP认证方式
2.1.1 Web＋DHCP概述
　　Web＋DHCP认证方式根据在网络拓扑中的位置，可分为两大类：直通式和旁路式。直通式就是认证系统处在用户与接入设备" title="接入设备">接入设备之间，全部用户流量都经过认证系统；旁路式就是认证系统在拓扑上处于接入设备之上，认证系统与用户之间只要保证IP层相通即可。直通式认证系统容易实现对用户的细粒度控制，原理简单、直观；但从提高系统性能、降低研发、组网和维护管理成本的角度看，旁路式比直通式认证系统有明显的优势。
2.1.2 Web＋DHCP认证技术在ACR中的实现流程
　　在ACR系统中无论直路式或旁路式都可实现，但两者相比较旁路式更为实际一些。Web+DHCP方式在ACR中的通信流程如图3所示。

　　Web+DHCP方式无需在用户端安装客户端软件，用户开机后Host通过二层广播向ACR-Portal请求提供Host的IP地址，在ACR系统中可由ACR-Portal作为DHCP服务器，同时ACR-Portal为该用户建立一个用户表项，记录用户的MAC地址和已分配的IP地址等信息，添加用户服务策略。
　　用户在认证前只能访问门户站点即ACR-Portal。如果用户要转到其他网站、得到更多服务，则必须先打开浏览器通过Web方式进行认证，输入用户名和密码，通过ACR-Portal将用户名和密码送往ACR-RADIUS服务器进行认证。认证通过后，ACR-Portal可向用户下载一个小程序，用户通过此程序提供的小窗口可以看上线时间、租用剩余时间等。
　　用户正常下网时，可利用上述下载的小程序执行“断开网络”操作。将用户下网的消息发送给ACR-Portal，由ACR-Portal发出计费Stop包给后台ACR-RADIUS，同时在ACR-Portal中删除此用户记录并释放用户的IP地址。
　　若在ACR上形成直路式认证系统，只需要ACR-Portal将认证数据直接透传给ACR-RADIUS即可。
2.2 PPPoE认证方式
2.2.1 PPPoE概述
　　1998年Redback网络公司联合UUNET公司和RouterWare软件公司开发了以太网上点对点协议PPPoE，并得到了IETF的认可，于1999年2 月被IETF接受，以RFC2516发布。
2.2.2 PPPoE认证技术在ACR中的实现流程
　　PPPoE在ACR中的通信流程如图4所示。在ACR系统中建立一个PPP连接，同样也要建立一个惟一的会话标识符，按照RFC2516标准分两个阶段：Discovery阶段和PPP会话阶段。

　　(1)Discovery阶段
　　a.Host向ACR-Portal发送一个初始化PADI(PPPoE  Active Discovery Initiation)包。
　　b.ACR-Portal返回应答PADO(PPPoE Active Discovery Offer)包。
　  c.Host发出会话请求PADR(PPPoE Active Discovery Request)包。
　  d.ACR-Portal发回会话确认PADS(PPPoE Active Discovery Session-confirmation)包。
    (2)PPP会话阶段
　　当一个Host想发起PPPoE会话(PPP Session)时，它必须首先完成识别对等端(ACR-Portal)的MAC地址并建立PPPoE的SESSION_ID。PPPoE会话的SESSION_ID不允许发生改变，必须是Discovery阶段所指定的值，即建立了一个PPP过程。之后ACR-RADIUS验证PPP包中的Host用户及密码，若认证通过，告知ACR-Portal完成认证过程，并分配IP地址，开始计费进行控制。
2.3 IEEE 802.1X认证方式
2.3.1 802.1X概述
　　802.1X协议是基于端口的访问控制协议(Port-based Network Access Control Protocol)。主要由认证服务器(Authentication Server)、认证者(Authenticator)和申请者(Supplicant) 三部分组成，其系统结构如图5所示。

2.3.2 802.1X在ACR中的实现流程
　　在ACR系统中ACR-RADIUS、ACR-Portal、Host分别扮演认证服务器、认证者、申请者的角色。图6是802.1X方式在ACR中的通信流程。

　　(1)当Host上网时先发出请求认证的报文给ACR-Portal，开始启动一次认证过程;
　　(2)ACR-Portal收到请求认证的数据帧后，将发出一个请求帧要求Host将输入的用户名送上来;
　  (3)Host响应ACR-Portal发出的请求，将用户名信息通过数据帧送给ACR-Portal。ACR-Portal再将Host送上来的数据帧经过EAP封包处理后送给ACR-RADIUS进行认证;
　  (4)ACR-RADIUS收到ACR-Portal转发上来的用户信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时将此加密字传送给ACR-Portal，由ACR-Portal传给Host;
    (5)Host收到由ACR-Portal传来的加密字后，用该加密字对口令部分进行加密处理(如MD5不可逆的加密算法)，并通过ACR-Portal再传给ACR-RADIUS;
　  (6)ACR-RADIUS将送上来的加密后的口令信息与其他经过加密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息，并向ACR-Portal发出打开端口的指令，允许用户的业务流通过端口访问网络，至此完成认证过程。
　　在Host与ACR-Portal交换口令信息的时候，没有将口令以明文直接送到网络上进行传输，而是对口令信息进行MD5不可逆的加密算法处理，使在网络上传输的敏感信息有了更高的安全保障，杜绝了由于下级接入设备所具有的广播特性而导致敏感信息泄漏的问题。
3  三种认证方式在ACR中的对比研究
　 　Web+DHCP.PPPoE和802.1X三种认证方式对比研究如表1所示。因为不同接入网络和网络管理员的要求（例如公安网、军队网的接入网要求）、网络管理员对三种认证方式的熟练程度以及网络运营商对运营要求等，三种认证技术都有需求。目前三种认证方式都是位于各自单独的应用环境下分别在ACR系统中实现的。如果能在一个统一的通用环境情况下，即三种认证方式在ACR系统中一起进行认证，还需要进一步研究与实践，这也是笔者下一步的研究方向,即集成式可扩展的接入认证机制的研究，以便为ACR系统可接入、可控制、可管理、可扩展的大规模宽带网提供更好的技术服务。

参考文献
[1]  邬江兴.中国高性能宽带信息网(3TNet)综述.通讯世界,  2002,（1）:37-40.
[2]  NDSC. 大规模接入汇聚路由器（ACR）总体技术规范[S]，2005.
[3]  汪斌强，邬江兴. 基于IPv6的大规模接入汇聚路由器的设想和实现.电信科学, 2006,(1):5-9.
[4]  DROMS R. Dynamic host configuration protocol[S]. RFC 2131, Bucknell University, March 1997.
[5]  SIMPSON W. RFC1661: Point to point protocol[Z]. 1994.
[6]  RIGNEY C. Remote authentication dial in user service (RADIUS) [M]. IETF, RFC2865, 2000.