认证计费系统普遍存在以下三方面的问题:
1.网络对接入用户缺乏有效的接入控制,包括认证、计费、带宽限制、时间限制等,也无法灵活地按要求限制用户的接入。
2.单纯的网络连接服务和统一的包月收费这种粗放型的计费方式不能满足不同用户的要求,需要一种以用户为主的精细的灵活的计费方式。
3.网络的管理和运营存在大量的手工操作,不能及时、准确地完成如开户、销户、交费、退费、定期结算等的操作,效率较为低下。
针对上述问题,本文介绍了一种解决方案。为了有效控制用户网络接入,对radius数据包attribute域的值进行修改和添加,实现了对账户IP、MAC、上行带宽、下行带宽、上网时限等信息的管理;为了满足不同用户的要求,提出了以包月、计时、计流量为计费原型的计费策略方案;为了减轻网络管理的手工操作,设计了人性化的用户自助服务子系统,实现了用户信息注册、开户申请、续费申请、充值申请、销户申请等功能,申请提交后,等待网管人员的审核,提高了信息录入的准确度。
技术分析—AAA系统和radius协议
认证计费系统一般简称为AAA认证系统,是指Authentication(认证)、Authorization(授权)和Accounting(计费)。一套完善的AAA认证计费系统可以很好地解决网络管理和运营过程中出现的问题,比如认证计费和用户管理等。
radius(Remote Authentication Dial In User Service,远程验证拨号用户服务)是解决AAA最常用的通信协议。接入服务器和认证计费系统间的通信协议多采用radius。该协议采用客户机/服务器模式,能支持多种认证体系(PAP、CHAP、UNIX Login)。它通过UDP协议来传送数据包,包的格式允许其不断增加封装的属性,以支持新出现的认证需求,这提供了良好的可扩展机制。有关协议的最新标准可参照RFC2865 和RFC2866。
目前,FreeRADIUS服务被广泛地应用到radius服务器中,它具有高性能和高可配置性,是符合GPL规范的免费软件。它带有基于PHP的Web管理接口dialup_admin,支持SQL数据库用户管理。
技术分析—接入认证技术
用户终端与接入服务器之间的接入协议或方式就是接入认证技术,目前最流行的有PPPoE、Web和802.1x 3种。PPPoE认证与电信运营商非对称数字用户线(ADSL)接入业务相结合,应用最为广泛;Web认证和802.1x认证主要应用在以太网接入上,也获得了规模应用。这几种认证技术支撑了整个宽带用户接入的发展,对建设可运营、可管理的网络起到了非常大的作用。
Web认证兼容性好,应用业务可扩展性强,而且不需要客户端软件,所以备受青睐。Web认证过程属于全三层处理,可以跨越多个网络,灵活性好。在设备需求方面,Web认证和PPPoE认证要求相同,需要BAS和计费认证系统的支持,但Web认证过程中没有PPP的打包处理,所以不存在采用PPPoE认证方式中的MTU影响性能的问题。
802.1x认证的设备一般是成本较低的交换机,其可靠性和安全性都不是很好,抗攻击能力相对来说比较差,所以这种认证方式主要用于用户比较少的网络。而Web认证可以提供大容量的用户接入,能够在较大范围内提供高密度用户接入解决方案。本系统采用Web方式进行接入认证,用户数据包的识别方式为IP+VLAN+MAC。
Web认证步骤如下:
1.用户PC机启动,系统程序通过DHCP,向DHCP服务器请求IP地址。
2.接入服务器(如认证网关)为该用户添加访问记录,目的是限制用户只能访问一些内部服务器、个别外部服务器如DNS。
3.用户登录Web认证界面(内部服务器提供服务),提交认证请求信息。
4.接入服务器通过radius协议和认证系统进行通信,请求对用户进行认证。
5.认证系统返回认证结果,如果认证通过,用户可以自由访问网络。在使用两次地址分配的情况下,客户端会触发用户重新获取新的IP地址。
6.用户下线时,接入服务器会更新用户记录,并通告计费系统停止计费,用户的网络访问受限。如果使用两次地址分配,客户端会触发用户再次获取IP地址。
认证计费系统的组成和实现我们会在下一节中介绍:自主服务校园网认证 让计费变得人性化 下篇
【编辑推荐】
