基于Radius和8021x的校园网认证计费体系研究与设计[权威资料].doc

基于Radius和802.1x的校园网认证计费体系研究与设计 　　摘要：该文通过对PPPoE和DHCP + Web及802.1x + Radius等认证协议的探讨和分析，提出采用较先进的802.1x + Radius 技术的认证计费体系设计方案。该方案针对该校网络结构，提高了计费的准确性和操作的可管理性，降低了网络协议的开销，提供了更好的网络性能，实现了管理要求。经应用证明，效果良好，提高了网络安全性能。 　　关键词：校园网；802.1x协议；Radius协议；身份认证；授权 　　TP393 A 1009-3044（2016）22-0030-02 　　1 引言 　　随着校园网络的发展，一些问题随之凸显，主要表现为在管理模式上缺乏合理行，在计费策略上缺乏灵活性，另外网络在安全性和稳定性方面也存在一定程度的缺陷。因此对网络中的资源如何进行有效的管理与分配，成为一个丞待解决的难题。本文通过对PPPoE、DHCP + Web和802.1x + Radius三种认证方式进行技术分析，总结它们各自的优缺点，在此基础上提出基于802.1x + Radius协议体系结构的校园网认证及计费管理系统的设计思路，并给出系统的具体设计方案。 　　2 用户认证过程和方式 　　2.1 用户认证过程 　　对用户的认证管理（AAA）包含：认证是指用户网络访问权限的验证工作；授权是指赋予用户可以使用的网络服务功能；计费是指根据计算得出的用户使用网络资源情况进行合理计费的功能。其基本模型如图1所示： 　　接入服务器和认证计费系统间的通信协议多采用Radius协议，它是解决AAA最常用的通信协议。目前主流的认证方式有PPPoE、WEB、802.1x。其中，基于PPPoE协议的方式，其系统管理性较强，同时对于计费比较准确，但其缺点是协议本身限制了网络环境的拓展和组播业务开发。基于DHCP + Web协议的认证对网络环境无影响，但在可管理性、异常情况计费等方面存在缺陷。而基于802.1x协议的系统是采用以太网技术，计费的准确性和管理性都有较高性能，能比较好的实现用户管理。 　　2.2 认证方式研究 　　Radius是一个针对网络用户进行身份验证的标准，能安全地、有效地实现用户登录和收费等功能，是对AAA的技术层面的重要支撑。Radius符合客户机/服务器模型，它利用一台服务器管理存储着许多客户机身份验证数据的仓库。与其他很多客户机/服务器解决方案不同，Radius协议是运行在UDP上的。之所以选择UDP，是为了简化服务器的实现，为用户频繁进出的场所提供更好的环境，并提供有关超时的灵活性。如果利用面向连接的会话维护客户机/服务器会话，将增加服务器实现的复杂度，并产生过多的额外开销。 　　Radius计费对Radius协议进行了扩展，为计费数据提供了可编程的接口。Radius计费也采用客户机/服务器模型结构，客户机是网络访问服务器，采用简单的账户请求包协议来实现服务器与客户机的数据交换，使用账户应答包作为数据接收成功反馈。账户应答包中包含从账户申请包中获得的一个标示符，客户机利用该标示符进行“匹配”，它标志着相应的请求已顺利结束，不必再采取重发等操作。利用账户应答包中的数据可以实现计费功能，典型的数据有：输入字节数/包数，输出字节数/包数，以及会话时间。Radius计费采用可扩展的代码/长度/值的格式传输计费数据。 　　3 系统总体设计 　　3.1 系统分析 　　总结以往校园网建设中的经验，针对实际用户身份验证以及相关费用计算的要求，对所设计的系统进行了认真的需求分析：首先，系统必须能实现对用户申请的安全性控制，确保使用网络的必须是经过认证的有效用户。经过身份认证的用户必须绑定其账号/密码、IP地址、交换机IP等各种信息，以确保用户身份的唯一性。另外，校园网管理者一般会要求在满足用户身份认证、收费计算等功能的同时，还必须增加自助查询服务的功能，同时可以对不同的管理者设定不同的管理权限和优先级。同时在系统的安全方面要重点考虑IP地址冲突及账号被盗等问题，防止私下设定代理服务器的现象发生。 　　3.2 系统策略选择 　　网络计费策略采用按流量和时间两种基本计费方式，用户可以自由选择。认证方式上，采用802.1x + Radius认证计费体系方案。其方案设计为用NAS将各处的用户信息传递给Radius服务器，但服务器用户身份确认成功后，再通过DHCP服务器配置给不同的用户一一对应的IP地址，此时表明用户申请有效。在实现方案上根据Radius协议，AAA认证服务器配置HTTP服务和数据库系统，为了防止IP地址冲突现象的出现，使用DHCP服务器实现上述功能。而