基金项目:电子信息产业发展基金项目(XDJ2-0514-27);西安科技大学培育基金(200830)

作者简介:田志英(1985-),女,山西五台人,硕士,研究方向为网络管理、信息技术;廖晓群,高工,研究方向是信息技术。

校园网认证计费系统的研究与实现

田志英1,廖晓群2,赵安新2

(11西安科技大学通信与信息工程学院,陕西西安710054;

21西安科技大学网络中心,陕西西安710054)

摘　要:为了构建安全可靠的数字化校园环境,实现用户身份认证和单点登录,建立了结合灵活计费策略的校园网认证计费系统。该系统基于RADIUS 通信协议,采用Web +DHCP 接入认证技术,通过LAMP 应用架构,实现了认证网关和RA 2DIUS 服务器的联动,可以灵活地改变计费策略,并有效地进行网络监控数据的交互。系统采用PHP +M ySQL 技术实现

了网络安全管理提供了认证计费管理平台和用户提供了自助服务平台的完美结合,为校园网络的运维管理提供了便利。系统已应用一年,成功实现了对教师和学生用户统一有效的认证计费管理,为用户提供了相对安全的网络环境。它不仅解决了校园网络管理的问题,而且给局域网(公司、校区、网吧、酒店等)认证计费系统的建设提供了一种思路。关键词:身份认证;计费策略;自助服务

中图分类号:TP311.52　　　　　　　文献标识码:A 　　　　　　　文章编号:1673-629X (2010)05-0202-05

R esearch and Implementation of C ampus N et work

Authentication and Accounting System

TIAN Zhi 2ying 1,L IAO Xiao 2qun 2,ZHAO An 2xin 2

(1.College of Communication and Information Engineering ,Xi ’an University

of Science and Technology ,Xi ’an 710054,China ;

2.Network Information Center ,Xi ’an University of Science and Technology ,Xi ’an 710054,China )

Abstract :In order to build a secure and reliable digital campus environment ,to achieve user authentication and single -point login ,estab 2lish the campus network authentication and accounting system combined strategy of flexible billing method.The system based on RA 2DIUS communication protocol and Web +DHCP access authentication technology ,through the LAMP application framework ,to achieve the certification gateways and RADIUS server interaction ,the flexibility to change the billing strategy and effective interaction of network monitoring data.The system uses PHP +MySQL technology to achieve network security management and provide authentication and accounting management platform ,user self -service platform may provide a perfect combination for the campus network.This system has facilitated the operation and maintenance management.System has been applied for one year ,it achieved for teachers and students an ef 2fective and integrated user authentication and accounting management successfully ,and provided users with a relatively secure network environment.It not only solved the campus network management problems ,but also provided a line of thought for the local area network (corporate ,campus ,Internet cafes ,hotels ,etc.)the construction of authentication and accounting system.K ey w ords :user authentication ;billing method ;self -service

0　引　言

随着Internet 的发展和CERNET 的接入,校园网络资源越来越丰富,功能越来越复杂。这虽然为用户提供了更广泛的资源共享和信息交流网络平台,但对

网络管理和网络安全问题提出了新的挑战。作为网络安全管理的重要组成部分,认证计费系统的建设势在必行。

目前,认证计费系统普遍存在以下三方面的问题:①网络对接入用户缺乏有效的接入控制,包括认证、计费、带宽、时间等,也无法灵活地按要求

用户的接入。

②单纯的网络连接服务和统一的包月收费这种粗放型的计费方式不能满足不同用户的要求,需要一种以用户为主的,精细、灵活的计费方式。

第20卷　第5期2010年5月　　　　　　　　　计算机技术与发展COMPU TER TECHNOLO GY AND DEV ELOPMEN T

　　　　　　　　Vol.20　No.5May 　2010

针对上述问题,该系统提供了一种解决方案。为了有效控制用户网络接入,对RADIUS数据包at2 tribute域的值进行修改和添加,实现了对账户IP、MAC、上行带宽、下行带宽、上网时限等信息的管理;为了满足不同用户的要求,提出了以包月、计时、计流量为计费原型的计费策略方案,实现了相对灵活的计费;为了减轻网络管理的手工操作,设计了人性化的用户自助服务子系统,实现了用户信息注册、开户申请、续费申请、充值申请、销户申请等功能,申请提交后,等待网管人员的审核,提高了信息录入的准确度[1,2]。

1　相关技术

1.1　AAA系统和RADIUS协议

认证计费系统一般简称为AAA认证系统,是指Authentication(认证)、Authorization(授权)和Account2 ing(计费)。一套完善的AAA认证计费系统可以很好地解决网络管理和运营过程中出现的问题,比如认证计费和用户管理等。

RADIUS(Remote Authentication Dial In User Ser2 vice,远程验证拨号用户服务)是解决AAA最常用的通信协议。接入服务器和认证计费系统间的通信协议多采用RADIUS。该协议采用客户机/服务器模式,能支持多种认证体系(PAP、CHAP、UNIX Login)。它通过UDP协议来传送数据包,包的格式允许其封装的属性可以不断增加,以支持新出现的认证需求[3,4],提供了良好的可扩展机制[5,6]。

目前,freeradius服务被广泛地应用到RADIUS服务器中,它具有高性能和高可配置性,是符合GPL规范的免费软件。它带有基于PHP的Web管理接口di2 alup-admin,支持SQL数据库用户管理。

1.2　接入认证技术

用户终端与接入服务器之间的接入协议或方式就是接入认证技术,目前最流行的有PPPo E、Web和802.1x3种。PPPo E认证与电信运营商非对称数字用户线(ADSL)接入业务相结合,应用最为广泛;Web认证和802.1x认证主要应用在以太网接入上,也获得了规模应用。这几种认证技术支撑了整个宽带用户接入的发展,对建设可运营、可管理的网络起到了非常大的作用[7,8]。

Web兼容性好,应用业务可扩展性强,而且不需要客户端软件,所以备受青睐。Web认证过程属全三层处理,可以跨越多个网络,灵活性好[9]。在设备需求方面,Web认证和PPPo E认证要求相同,需要BAS和计费认证系统的支持,但Web认证过程中没有PPP的打包处理,所以不存在采用PPPo E认证方式中的MTU影响性能的问题。802.1x认证的设备一般是成本较低的交换机,其可靠性和安全性都不是很好,抗攻击能力相对来说比较差,所以这种认证方式主要用于用户比较少的网络。而Web认证可以提供大容量的用户接入,能够在较大范围内提供高密度用户接入解决方案[10]。

Web认证步骤如下:

①用户PC机启动,系统程序通过DHCP,向DHCP服务器请求IP地址。

②接入服务器(如认证网关)为该用户添加访问记录,目的是用户只能访问一些内部服务器、个别外部服务器如DNS。

③用户登录Web认证界面(内部服务器提供服务),提交认证请求信息。

④接入服务器通过RADIUS协议和认证系统进行通信,请求对用户进行认证。

⑤认证系统返回认证结果,如果认证通过,用户可以自由访问网络。在使用两次地址分配的情况下,客户端会触发用户重新获取新的IP地址。

⑥用户下线时,接入服务器会更新用户记录,并通告计费系统停止计费,用户的网络访问受限。如果使用两次地址分配,客户端会触发用户再次获取IP地址[11]。

该系统采用Web方式进行接入认证,用户数据包的识别方式为IP+VLAN+MAC,安全性高。

2　系统组成

2.1　系统工作基本原理

系统主要由认证网关、RADIUS服务器和后台数据库三部分组成。认证网关和RADIUS服务器之间通过UDP协议进行传输,传输时用共享密钥来加密(key),且共享密钥不在网上传输。默认认证端口是1812,计费端口是1813。

系统实现的体系框图如图1所示。

用户向认证网关提交认证请求;认证网关向RA2 DIUS服务器转交用户认证信息;RADIUS服务器将用户信息与数据库信息进行比对,如果符合,则认证通过并授权,用户可以顺利访问网络资源,并开始计费,否则,认证失败,用户被拒绝访问网络资源。

可见,RADIUS服务器是整个系统的核心,它与认证网关连接,处理用户的认证和计费请求。在认证阶段,从认证网关提取用户名和密码,连接数据库,进行

・

3

2

・

第5期　　　　　　　　　　　　　田志英等:校园网认证计费系统的研究与实现

查询比较。在计费阶段,连接数据库,更新计费信息记录、上网日志记录等。

2.2　系统功能模块

该系统可分为三个子系统:网管子系统、用户自助服务子系统和后台通信子系统。

网管子系统由系统管理维护功能模块(数据库备份与恢复、日志管理、系统信息管理、系统升级管理)和用户管理维护功能模块(用户信息管理、账户使用明细查询等)组成。用户自助服务子系统功能主要包括用户注册、账号充值申请、账号续费申请、使用明细查询和用户信息维护。功能框图如图2所示。

通信子系统是解决认证网关和RADIUS 服务器的实时信息交互问题,是基于

RADIUS 协议的UDP 数据包传输。工作流图

如图3所示。

3　系统的实现

3.1　freeradius 安装

从http ://freeradius.org/download.html 下载freeradius2.0.0.tar.gz 文件,解压缩后执行./configure 、make all 、make install 编译并安装。freeradius 的主配置文件(raduisd.conf 、sql.

conf 、client.conf )放在/usr/local/etc/raddb 目录

下,radiusd 运行文件放置在/usr/local/sbin 目录下。最后,执行radiusd -X 命令,启动

freeradius 服务。若正常启动,则会出现:

Listening on authentication address 3port 1812Listening on accounting address 3port 1813Listening on proxy address 3port 1814Ready to process requests.

3.2　数据库设计

该系统后台数据库使用的就是MySQL 数据库。利用PowerDesiger 工具软件创建xkradius 数据库。通过对系统三大功能模块的功能细化和详细设计,将库表分为四类:用户信息表类、账户信息表类、

计费策略

图1　系统体系框图

　　图2　系统基本功能框图

　　　图3　通信子系统工作流图

表类、RADIUS 后台通信表类。其中,用户信息表类中的表字段信息可以从校园息平台的学籍管理系统和教务管理系统直接获取[12];账户信息表类可以同校园一卡通系统和财务管理系统共享;计费策略表类为系统计费功能的扩展提供了有效的后台数据库支持,以实现计费策略灵活管理;RADIUS 后台通信表类的设计主要是为了存放认证网关上定时接收到的账户信

・

402・　　　　　　　　　　　　　　　　　　　　　计算机技术与发展　　　　　　　　　　　　　　　　　　第20卷

息(IP 、MAC 、上线时间、下线时间等)。xkradius 数据库包括18个表:用户基本信息表(user -base -info )、ra 2

dius 响应信息表(radreply )、radius 检测信息表(rad 2check )、radius 组响应信息表(radgroupreply )、radius 组

检测信息表(radgroupcheck )、radius 用户组信息表

(radusergroup )、radius 授权信息表(radpostauth )、badusers -table (黑名单表)、account -log -table (账户日

志表)、online -table (在线信息表)、admin -table (管理员信息表)、user -traffic -table (用户流量表)、prepaid -log -table (充值日志表)、conpaid -log -table (续费日志

表)、accountclapol (计费策略分类表)、pakgepol (包月策略表)、timepol (计时策略表)、trafficpol (计流量策略表)。在表中添加相应的字段后,生成xkradius.sql 文件,以便导入到MySQL 数据库中。

3.3　配置freeradius 服务

radiusd.conf 文件:去掉authorize 和accouting 函数

体内的sql 注释(#),确保sql 功能可用。

sql.conf 文件:修改server (数据库服务器IP 地址

值)、login (root )、password (MySQL 的root 密码)、ra 2

dius -db (数据库名)的值。

clients.conf 文件:插入client {}函数,以添加认证

网关服务器的相关信息(IP 、secret 、shortname )等。

3.4　W eb 服务管理

系统Web 服务是建立在目前最流行的Web 应用

基础架构LAMP (Linux +Apache +MySQl +PHP )上。因此,只需考虑Web 服务的管理问题,webmin 应用服务软件提供了一个友好的可视化Web 管理平台。在

webmin 中,只要打开Apache Webserver 选项,修改vir 2tual server 下的address 、port 、Document root (dialup -ad 2min 文件包路径)的值,配置Web server 服务。然后,

打开MySQL Database Server 选项,添加数据库xkra 2

dius ,导入已生成的xkradius.sql 数据库文件,相当于在MySQL 数据库中创建了18个表,并且可以进行管理

和修改。

3.5　功能的实现

3.5.1　网管子系统和用户自助服务子系统的实现

这两个子系统功能主要是通过PHP 语言技术对后台数据库的操作来实现的。数据流图如图4所示。

3.5.2　通信子系统的实现

该子系统功能通过C 语言技术对基于RADIUS 协议的freeradius 服务的实现来完成。认证计费流程图如图5所示。

4　结束语

该系统已应用一年,成功实现了对教师和学生用户统一有效的认证计费管理,为用户提供了相对安全的网络环境。它不仅解决了校园网络管理的问题,而且给局域网(公司、校区、网吧、酒店等)

认证计费系统

图4　系统数据流图

・

502・第5期　　　　　　　　　　　　　田志英等:校园网认证计费系统的研究与实现

的建设提供了一种思路。

随着用户数量的不断增加,网络负荷会逐渐加重,为保证系统的快速性和稳健性,可结合接收数据流和发送数据流的分离、认证流和计费流的分离的技术对系统进行改进。

参考文献:

[1]　梁　根.基于RADIUS的校园网认证管理系统的研究与

实现[J].计算机技术与发展,2006,16(6):45-47.

[2]　丰　艳.基于RADIUS协议的VOIP认证/计费系统的设

计与实现[J].计算机工程与设计,2008,29(3):3478-

3481.

[3]　唐　磊,金连埔.大型拨号认证计费服务器的设计与实现

[J].计算机工程与设计,2004(7):160-161.

[4]　王保泉,赵艳红,陈发明.网络计费系统的设计与实现[J].

南京工业大学学报,2004,26(5):68-71.

[5]　IETF RFC2881.Network Access Server Requirement NAS

Model[S].2000.

[6]　IETF RFC2865.Remote Authentication Dial In User[S].

1997.

[7]　IETF RFC2138.Remote Authentication Dial In User[S].

1997.

[8]　IETF RFC2139.RADIUS Accounting[S].1999.

[9]　IETF RFC2866.RADIUS Accounting[S].2000.

[10]肖　义.3种接入认证技术的浅析与比较[J].光通信研究,

2006(3):25-28.

[11]徐云和,谢刚生,肖根如,等.基于OL E的校园管理信息系

统实现[J].西安科技大学学报,2004,24(4):451-455. [12]王晓路,卢建军,马　莉.基于JAVA的连接池优化Web数

据库连接[J].西安科技大学学报,2005,25(2):228-231.

(上接第201页)

　　tion,1992,87:7-16.

[7]　K egl B,Krzyzak A.Piecewise linear skeletonization using

principal curves[J].IEEE Transaction on Pattern Analysis and Machine Intelligence,2002,24(1):59-74.

[8]　Besl P J,Mc K ay N D.A method for registration of3-D

shapes[J].IEEE Trans on Pattern Analysis and Machine In2 telligence,1992,14(2):239-256.

[9]　Mumford D,Shah J.Optimal approximation by piecewise

smooth functions and assosiated variational problems[J].Com2 mun.Pure Appl.Math,19,42:577-685.

[10]Chan T F,Vese L A.Active Contour without Edges[J].

IEEE Trans on Image Processing,2001,10(2):266-277.[11]Sethian J A.Level Set Methods and Fast Marching Methods

Evolving Interfacts in Computational G eometry,Fluid Me2 chanics,Computer Vision and Materials Science[M].2nd ed.

Cambridge,U K:Cambridge University Press,1999. [12]娄　震,胡钟山,杨静宇.基于轮廓分段特征的手写体阿拉

伯数字识别[J].计算机学报,1999,22(10):1065-1073. [13]Malpica N,de Solorzano C O,Vaquero J J,et al.Applying

watershed algorithms to the segmentation of clustered nuclei [J].Cytometry,1997,28:2-297.

[14]Bleau A,Leon L J.Watershed-based segmentation and region

merging[J].Computer Vision and Image Understanding, 2000,77(3):317-370.

・

6

2

・　　　　　　　　　　　　　　　　　　　　　计算机技术与发展　　　　　　　　　　　　　　　　　　第20卷下载本文