论文部分内容阅读
摘要:本文阐述了在大港油田宽带网发展过程中,如何通过逐步完善AAA系统,对普通ADSL用户进行管理。目前,大港油田需要通过认证服务的用户已达4万余户,该系统自投入使用后效果良好,为管理人员和油田宽带用户提供了方便。
关键词:AAA认证 radius协议
一、概述
AAA是authentication(认证),authorization(授权)and accounting(计费)的简称,它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。大港油田宽带网自2002年開始经过多次投资建设逐步建成的服务于油田各个行业的宽带网络。截至2012年底,需要认证的宽带用户已达到4万余户,用户在登录宽带时都需要进行网络的身份认证、授权和计费,以此来完成用户身份合法性的鉴别、权限的分配、话单的采集、费用的结算等。AAA系统包括Radius服务模块、综合业务管理模块、基于Web服务器的用户管理模块和营业收费模块。该系统结构如图所示。
AAA的各个模块从同一个数据库中读取数据。数据库中存储系统配置数据、用户的认证、授权和计费信息数据等,所有系统模块都依赖于数据库,出于安全性和可靠性考虑,我们对其采用定时异地备份。
图中的Radius服务器,在我们的系统中是一台运行Radius服务进程的主机。Radius服务进程实现了Radius协议的处理,完成认证和计费信息的采集和漫游转发,是整个系统的核心处理模块。图中,Web服务器模块包括基于Web方式的用户管理模块、营业收费模块、用户自服务模块和代理商管理模块。
> 用户管理模块主要提供给管理员配置系统数据、用户开户等功能,通过Web方式来实现,因此支持远程访问,若利用SSL等安全协议,则可以保证远程访问的安全性。
> 营业收费模块,可以实现后付费账户交费、卡类账户充值、操作员业务量统计等功能。
> 系统还提供了用户Web自助服务模块,用于用户自己登录修改密码,查询余额等功能。
多业务管理模块主要实现资费管理、计费结算、统计查询、用户管理、系统管理以及权限管理。
二、 系统组成
AAA系统主要由多业务管理系统、资费管理模块、计费结算模块、统计查询模块、用户管理模块、系统管理模块、权限管理模块、Web营帐系统、用户管理模块和营业收费模块组成
资费管理模块主要是以资费策略为核心,并包含业务管理功能;配置不同用户组、不同业务类型的费率策略;支持各种优惠策略,如分时段优惠、节假日优惠等。
结算和统计是运营系统中不可缺少的重要部分,也是产品直接面向用户的一部分。结算和统计模块主要完成对Radius服务模块采集的计费信息进行统计和结算。结算和统计结果存储在数据库中或者以文件的方式导出,最后可以以报表的方式提供给运营商。
用户管理模块主要提供给管理员配置系统数据、用户开户等功能,通过Web方式来实现,因此支持远程访问,若利用SSL等安全协议,则可以保证远程访问的安全性。
营业收费模块,可以实现后付费账户交费、卡类账户充值、操作员业务量统计等功能。
系统还提供了用户Web自助服务模块,用于用户自己登录修改密码,查询余额等功能。
多业务管理模块主要实现资费管理、计费结算、统计查询、用户管理、系统管理以及权限管理。
AAA Radius宽带认证计费管理系统包含一个高效的Radius Server,负责对宽带接入设备的接入用户进行认证、授权和计费数据采集。该系统包括六大功能模块:用户管理、缴费管理、计费策略定制、系统管理、Radius管理和用户服务。它最大特色就是服务和计费策略的定制。 我们可以预先定制好可向用户提供的服务种类及其对应的计费策略,开户时则根据用户的要求指定其计费策略,实现灵活准确的计费功能。该系统管理采用分级制度,包括普通管理员和系统管理员,普通管理员只做用户管理,系统管理员则负责其它所有的管理任务,所有管理员的动作行为都作相应的日志,以利于管理和计费系统的安全维护和运行。
三、系统应用
当radius系统启动后,如果用户想要通过与nas(pstn环境下的拨号接入服务器或以太网环境下带接入功能的以太网交换机)建立连接从而获得访问其它网络的权利或取得使用某些网络资源的权利时,nas,也就是radius客户端将把用户的认证、授权和计费请求传递给radius服务器。radius服务器上有一个用户数据库,其中包含了所有的用户认证和网络服务访问信息。radius服务器将在接收到nas传来的用户请求后,通过对用户数据库的查找、更新,完成相应的认证、授权和计费工作,并把用户所需的配置信息和计费统计数据返回给nas——在这里,nas起到了控制接入用户及对应连接的作用,而radius协议则规定了nas与radius服务器之间如何传递用户配置信息和计费信息。
nas和radius之间信息的交互是通过将信息承载在udp报文中来完成的。在这个过程中,交互双方将使用密钥对报文进行加密,以保证用户的配置信息(如密码)被加密后才在网络上传递,从而避免它们被侦听、窃取。
radius方案的认证和授权是不能分离的。
radius操作过程
radius服务器对用户的认证过程通常需要利用接入服务器等设备的代理认证功能,通常整个操作步骤如下:首先,客户端向radius服务器发送请求报文(该报文中包含用户名和加密口令);然后,客户端会收到radius服务器的响应报文,如accept报文、reject报文等,其中,accept报文表明用户通过认证;reject报文表明用户没有通过认证,需要用户重新输入用户名和口令,否则访问被拒绝。
四、结束语
近年来,通信技术日新月异,尤其是基于IP的数据通信技术更是迅猛发展。PSTN,ISDN,ADSL,以太网等各种方式的Internet接入,IP电话、视频会议、固网短信息等等,它们都需要一个身份认证、授权、计费的系统,来完成用户身份合法性的鉴别、权限的分配、话单的采集、费用的结算等功能。大港油田AAA系统正是适应这种需求而推出的大容量、高可靠性、并支持多种设备、多种业务的认证计费系统。
参考文献:卓越科技,SQL Server数据库开发,电子工业出版社,2009年4月第1期
关键词:AAA认证 radius协议
一、概述
AAA是authentication(认证),authorization(授权)and accounting(计费)的简称,它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。大港油田宽带网自2002年開始经过多次投资建设逐步建成的服务于油田各个行业的宽带网络。截至2012年底,需要认证的宽带用户已达到4万余户,用户在登录宽带时都需要进行网络的身份认证、授权和计费,以此来完成用户身份合法性的鉴别、权限的分配、话单的采集、费用的结算等。AAA系统包括Radius服务模块、综合业务管理模块、基于Web服务器的用户管理模块和营业收费模块。该系统结构如图所示。
AAA的各个模块从同一个数据库中读取数据。数据库中存储系统配置数据、用户的认证、授权和计费信息数据等,所有系统模块都依赖于数据库,出于安全性和可靠性考虑,我们对其采用定时异地备份。
图中的Radius服务器,在我们的系统中是一台运行Radius服务进程的主机。Radius服务进程实现了Radius协议的处理,完成认证和计费信息的采集和漫游转发,是整个系统的核心处理模块。图中,Web服务器模块包括基于Web方式的用户管理模块、营业收费模块、用户自服务模块和代理商管理模块。
> 用户管理模块主要提供给管理员配置系统数据、用户开户等功能,通过Web方式来实现,因此支持远程访问,若利用SSL等安全协议,则可以保证远程访问的安全性。
> 营业收费模块,可以实现后付费账户交费、卡类账户充值、操作员业务量统计等功能。
> 系统还提供了用户Web自助服务模块,用于用户自己登录修改密码,查询余额等功能。
多业务管理模块主要实现资费管理、计费结算、统计查询、用户管理、系统管理以及权限管理。
二、 系统组成
AAA系统主要由多业务管理系统、资费管理模块、计费结算模块、统计查询模块、用户管理模块、系统管理模块、权限管理模块、Web营帐系统、用户管理模块和营业收费模块组成
资费管理模块主要是以资费策略为核心,并包含业务管理功能;配置不同用户组、不同业务类型的费率策略;支持各种优惠策略,如分时段优惠、节假日优惠等。
结算和统计是运营系统中不可缺少的重要部分,也是产品直接面向用户的一部分。结算和统计模块主要完成对Radius服务模块采集的计费信息进行统计和结算。结算和统计结果存储在数据库中或者以文件的方式导出,最后可以以报表的方式提供给运营商。
用户管理模块主要提供给管理员配置系统数据、用户开户等功能,通过Web方式来实现,因此支持远程访问,若利用SSL等安全协议,则可以保证远程访问的安全性。
营业收费模块,可以实现后付费账户交费、卡类账户充值、操作员业务量统计等功能。
系统还提供了用户Web自助服务模块,用于用户自己登录修改密码,查询余额等功能。
多业务管理模块主要实现资费管理、计费结算、统计查询、用户管理、系统管理以及权限管理。
AAA Radius宽带认证计费管理系统包含一个高效的Radius Server,负责对宽带接入设备的接入用户进行认证、授权和计费数据采集。该系统包括六大功能模块:用户管理、缴费管理、计费策略定制、系统管理、Radius管理和用户服务。它最大特色就是服务和计费策略的定制。 我们可以预先定制好可向用户提供的服务种类及其对应的计费策略,开户时则根据用户的要求指定其计费策略,实现灵活准确的计费功能。该系统管理采用分级制度,包括普通管理员和系统管理员,普通管理员只做用户管理,系统管理员则负责其它所有的管理任务,所有管理员的动作行为都作相应的日志,以利于管理和计费系统的安全维护和运行。
三、系统应用
当radius系统启动后,如果用户想要通过与nas(pstn环境下的拨号接入服务器或以太网环境下带接入功能的以太网交换机)建立连接从而获得访问其它网络的权利或取得使用某些网络资源的权利时,nas,也就是radius客户端将把用户的认证、授权和计费请求传递给radius服务器。radius服务器上有一个用户数据库,其中包含了所有的用户认证和网络服务访问信息。radius服务器将在接收到nas传来的用户请求后,通过对用户数据库的查找、更新,完成相应的认证、授权和计费工作,并把用户所需的配置信息和计费统计数据返回给nas——在这里,nas起到了控制接入用户及对应连接的作用,而radius协议则规定了nas与radius服务器之间如何传递用户配置信息和计费信息。
nas和radius之间信息的交互是通过将信息承载在udp报文中来完成的。在这个过程中,交互双方将使用密钥对报文进行加密,以保证用户的配置信息(如密码)被加密后才在网络上传递,从而避免它们被侦听、窃取。
radius方案的认证和授权是不能分离的。
radius操作过程
radius服务器对用户的认证过程通常需要利用接入服务器等设备的代理认证功能,通常整个操作步骤如下:首先,客户端向radius服务器发送请求报文(该报文中包含用户名和加密口令);然后,客户端会收到radius服务器的响应报文,如accept报文、reject报文等,其中,accept报文表明用户通过认证;reject报文表明用户没有通过认证,需要用户重新输入用户名和口令,否则访问被拒绝。
四、结束语
近年来,通信技术日新月异,尤其是基于IP的数据通信技术更是迅猛发展。PSTN,ISDN,ADSL,以太网等各种方式的Internet接入,IP电话、视频会议、固网短信息等等,它们都需要一个身份认证、授权、计费的系统,来完成用户身份合法性的鉴别、权限的分配、话单的采集、费用的结算等功能。大港油田AAA系统正是适应这种需求而推出的大容量、高可靠性、并支持多种设备、多种业务的认证计费系统。
参考文献:卓越科技,SQL Server数据库开发,电子工业出版社,2009年4月第1期