认证计费系统技术分析:自主服务校园网认证 让计费变得人性化 上篇
认证计费系统组成—工作原理
系统主要由认证网关、radius服务器和后台数据库三部分组成。认证网关和radius服务器之间通过UDP协议进行传输,传输时用共享密钥来加密,且共享密钥不在网上传输。默认认证端口是1812,计费端口是1813。
用户向认证网关提交认证请求;认证网关向radius服务器转交用户认证信息;radius服务器将用户信息与数据库信息进行比对,如果符合,则认证通过并授权,用户可以顺利访问网络资源,并开始计费,否则,认证失败,用户被拒绝访问网络资源。
可见,radius服务器是整个系统的核心,它与认证网关连接,处理用户的认证和计费请求。在认证阶段,从认证网关提取用户名和密码,连接数据库,进行查询比较。在计费阶段,连接数据库,更新计费信息记录、上网日志记录等。
认证计费系统组成—功能模块
本系统可分为三个子系统:网管子系统、用户自助服务子系统和后台通信子系统。
网管子系统由系统管理维护功能模块(数据库备份与恢复、日志管理、系统信息管理、系统升级管理)和用户管理维护功能模块(用户信息管理、账户使用明细查询等)组成。用户自助服务子系统功能主要包括用户注册、账号充值申请、账号续费申请、使用明细查询和用户信息维护。
通信子系统是解决认证网关和radius服务器的实时信息交互问题,是基于radius协议的UDP数据包传输。
认证计费系统的实现—FreeRADIUS安装
从http://freeradius.org/download.html下载freeradius2.0.0.tar.gz文件,解压缩后执行./configure、make all、make install,然后编译并安装。FreeRADIUS的主配置文件(包括raduisd.conf、sql.conf、client.conf)放在/usr/local/etc/raddb目录下,radiusd运行文件放置在/usr/local/sbin目录下。最后,执行radiusdX命令,启动FreeRADIUS服务。若正常启动,则会出现:
- Listening on authentication address * port 1812
- Listening on accounting address * port 1813
- Listening on proxy address * port 1814
- Ready to process requests.
认证计费系统的实现—数据库设计
系统后台数据库使用的是MySQL数据库。我们利用PowerDesiger工具软件创建xkradius数据库。通过对系统三大功能模块的功能细化和详细设计,将库表分为四类:用户信息表类、账户信息表类、计费策略表类、radius后台通信表类。
用户信息表类中的表字段信息可以从校园网信息平台的学籍管理系统和教务管理系统直接获取;
账户信息表类可以同校园一卡通系统和财务管理系统共享;
计费策略表类为系统计费功能的扩展提供了有效的后台数据库支持,以实现计费策略灵活管理;
radius后台通信表类的设计主要是为了存放认证网关上定时接收到的账户信息(IP、MAC、上线时间、下线时间等)。
xkradius数据库包括18个表:
用户基本信息表(user_base_info)、radius响应信息表(radreply)、radius检测信息表(radcheck)、radius组响应信息表(radgroupreply)、radius组检测信息表(radgroupcheck)、radius用户组信息表(radusergroup)、radius授权信息表(radpostauth)、badusers_table(黑名单表)、account_log_table(账户日志表)、online_table(在线信息表)、admin_table(管理员信息表)、user_traffic_table(用户流量表)、prepaid_log_table(充值日志表)、conpaid_log_table(续费日志表)、accountclapol(计费策略分类表)、pakgepol(包月策略表)、timepol(计时策略表)、trafficpol(计流量策略表)。在表中添加相应的字段后,生成xkradius.sql文件,以便导入到MySQL数据库中。
认证计费系统的实现—配置FreeRADIUS服务
我们主要对以下文件进行操作:在radiusd.conf文件中去掉authorize和accouting函数体内的SQL注释(#),确保SQL功能可用;在sql.conf文件中修改Server(数据库服务器IP地址值)、login(root)、password(MySQL的root密码)、radius_db(数据库名)的值;在clients.conf文件中插入client{}函数,以添加认证网关服务器的相关信息(IP、secret、shortname)等。
Web服务管理
系统Web服务是建立在目前最流行的Web应用基础架构LAMP(Linux+Apache+MySQl+PHP)上的。因此,我们只需考虑Web服务的管理问题,webmin应用服务软件提供了一个友好的可视化Web管理平台。在webmin中,只要打开Apache Webserver选项,修改virtual server下的address、port、Document root(dialup_admin文件包路径)的值,配置Web Server服务。然后,打开MySQL Database Server选项,添加数据库xkradius,导入已生成的xkradius.sql数据库文件,这相当于在MySQL数据库中创建了18个表,并且可以进行管理和修改。
子系统的实现
1. 网管子系统和用户自助服务子系统
这两个子系统功能主要是通过PHP语言技术对后台数据库的操作来实现。
2. 通信子系统
该子系统功能通过C语言技术对基于radius协议的FreeRADIUS服务的实现来完成。
系统运营一年多,成功实现了对教师和学生用户统一有效的认证计费管理,为用户提供了相对安全的网络环境。它不仅解决了校园网络管理的问题,而且给局域网(公司、校区、网吧、酒店等)认证计费系统的建设提供了一种思路。随着用户数量的不断增加,网络负荷会逐渐加重,为保证系统的快速性和稳健性,可结合接收数据流和发送数据流的分离、认证流和计费流的分离的技术对系统进行改进。
【编辑推荐】
