用户自主服务引入校园网认证系统让计费变得人性化

文/廖晓群 田志英 赵安新

随着Internet的发展和教育网的接入，校园网络资源越来越丰富，功能越来越复杂。这虽然为用户提供了更广泛的资源共享和信息交流网络平台，但对网络管理和网络安全问题提出了新的挑战。作为网络安全管理的重要组成部分，认证计费系统的建设势在必行。

目前，认证计费系统普遍存在以下三方面的问题：

1.网络对接入用户缺乏有效的接入控制，包括认证、计费、带宽限制、时间限制等，也无法灵活地按要求限制用户的接入。

2.单纯的网络连接服务和统一的包月收费这种粗放型的计费方式不能满足不同用户的要求，需要一种以用户为主的精细的灵活的计费方式。

3.网络的管理和运营存在大量的手工操作，不能及时、准确地完成如开户、销户、交费、退费、定期结算等的操作，效率较为低下。

针对上述问题，本系统提供了一种解决方案。为了有效控制用户网络接入，对radius数据包attribute域的值进行修改和添加，实现了对账户IP、MAC、上行带宽、下行带宽、上网时限等信息的管理；为了满足不同用户的要求，提出了以包月、计时、计流量为计费原型的计费策略方案；为了减轻网络管理的手工操作，设计了人性化的用户自助服务子系统，实现了用户信息注册、开户申请、续费申请、充值申请、销户申请等功能，申请提交后，等待网管人员的审核，提高了信息录入的准确度。

相关技术

AAA系统和radius协议

认证计费系统一般简称为AAA认证系统，是指Authentication（认证）、Authorization（授权）和Accounting（计费）。一套完善的AAA认证计费系统可以很好地解决网络管理和运营过程中出现的问题，比如认证计费和用户管理等。

radius(Remote Authentication Dial In User Service,远程验证拨号用户服务)是解决AAA最常用的通信协议。接入服务器和认证计费系统间的通信协议多采用radius。该协议采用客户机/服务器模式，能支持多种认证体系（PAP、CHAP、UNIX Login）。它通过UDP协议来传送数据包，包的格式允许其不断增加封装的属性，以支持新出现的认证需求，这提供了良好的可扩展机制。有关协议的最新标准可参照RFC2865 和RFC2866。

目前，FreeRADIUS服务被广泛地应用到radius服务器中，它具有高性能和高可配置性，是符合GPL规范的免费软件。它带有基于PHP的Web管理接口dialup_admin，支持SQL数据库用户管理。

接入认证技术

用户终端与接入服务器之间的接入协议或方式就是接入认证技术，目前最流行的有PPPoE、Web和802.1x 3种。PPPoE认证与电信运营商非对称数字用户线(ADSL)接入业务相结合，应用最为广泛；Web认证和802.1x认证主要应用在以太网接入上，也获得了规模应用。这几种认证技术支撑了整个宽带用户接入的发展，对建设可运营、可管理的网络起到了非常大的作用。

Web认证兼容性好,应用业务可扩展性强，而且不需要客户端软件，所以备受青睐。Web认证过程属于全三层处理,可以跨越多个网络，灵活性好。在设备需求方面,Web认证和PPPoE认证要求相同，需要BAS和计费认证系统的支持，但Web认证过程中没有PPP的打包处理，所以不存在采用PPPoE认证方式中的MTU影响性能的问题。802.1x认证的设备一般是成本较低的交换机，其可靠性和安全性都不是很好，抗攻击能力相对来说比较差，所以这种认证方式主要用于用户比较少的网络。而Web认证可以提供大容量的用户接入，能够在较大范围内提供高密度用户接入解决方案。本系统采用Web方式进行接入认证，用户数据包的识别方式为IP+VLAN+MAC。

Web认证步骤如下：

图1 系统体系

1.用户PC机启动，系统程序通过DHCP，向DHCP服务器请求IP地址。

2.接入服务器(如认证网关)为该用户添加访问记录，目的是限制用户只能访问一些内部服务器、个别外部服务器如DNS。

3.用户登录Web认证界面（内部服务器提供服务），提交认证请求信息。

4.接入服务器通过radius协议和认证系统进行通信，请求对用户进行认证。

5.认证系统返回认证结果，如果认证通过，用户可以自由访问网络。在使用两次地址分配的情况下，客户端会触发用户重新获取新的IP地址。

6.用户下线时，接入服务器会更新用户记录，并通告计费系统停止计费，用户的网络访问受限。如果使用两次地址分配，客户端会触发用户再次获取IP地址。

系统组成

工作原理

系统主要由认证网关、radius服务器和后台数据库三部分组成。认证网关和radius服务器之间通过UDP协议进行传输，传输时用共享密钥来加密，且共享密钥不在网上传输。默认认证端口是1812，计费端口是1813。

系统实现的体系框图，如图1所示。

用户向认证网关提交认证请求；认证网关向radius服务器转交用户认证信息；radius服务器将用户信息与数据库信息进行比对，如果符合，则认证通过并授权，用户可以顺利访问网络资源，并开始计费，否则，认证失败，用户被拒绝访问网络资源。

可见，radius服务器是整个系统的核心，它与认证网关连接，处理用户的认证和计费请求。在认证阶段，从认证网关提取用户名和密码，连接数据库，进行查询比较。在计费阶段，连接数据库，更新计费信息记录、上网日志记录等。

功能模块

本系统可分为三个子系统：网管子系统、用户自助服务子系统和后台通信子系统。

网管子系统由系统管理维护功能模块（数据库备份与恢复、日志管理、系统信息管理、系统升级管理）和用户管理维护功能模块（用户信息管理、账户使用明细查询等）组成。用户自助服务子系统功能主要包括用户注册、账号充值申请、账号续费申请、使用明细查询和用户信息维护。功能框图如图2所示。

通信子系统是解决认证网关和radius服务器的实时信息交互问题，是基于radius协议的UDP数据包传输。工作流图如图3所示。

图2 网管子系统和用户自助服务子系统的基本功能

图3 通信子系统工作流

系统的实现

FreeRADIUS安装

我们从http://freeradius.org/download.html下载freeradius2.0.0.tar.gz文件，解压缩后执行./configure、make all、make install,然后编译并安装。FreeRADIUS的主配置文件（包括raduisd.conf、sql.conf、client.conf）放在/usr/local/etc/raddb目录下，radiusd运行文件放置在/usr/local/sbin目录下。最后，执行radiusdX命令，启动FreeRADIUS服务。若正常启动，则会出现：

Listening on authentication address * port 1812

Listening on accounting address * port 1813

Listening on proxy address * port 1814

Ready to process requests.

数据库设计

本系统后台数据库使用的是MySQL数据库。我们利用PowerDesiger工具软件创建xkradius数据库。通过对系统三大功能模块的功能细化和详细设计，将库表分为四类：用户信息表类、账户信息表类、计费策略表类、radius后台通信表类。其中，用户信息表类中的表字段信息可以从校园网信息平台的学籍管理系统和教务管理系统直接获取；账户信息表类可以同校园一卡通系统和财务管理系统共享；计费策略表类为系统计费功能的扩展提供了有效的后台数据库支持，以实现计费策略灵活管理；radius后台通信表类的设计主要是为了存放认证网关上定时接收到的账户信息（IP、MAC、上线时间、下线时间等）。xkradius数据库包括18个表：用户基本信息表（user_base_info）、radius响应信息表（radreply）、radius检测信息表（radcheck）、radius组响应信息表（radgroupreply）、radius组检测信息表（radgroupcheck）、radius用户组信息表（radusergroup）、radius授权信息表（radpostauth）、badusers_table（黑名单表）、account_log_table（账户日志表）、online_table（在线信息表）、admin_table（管理员信息表）、user_traffic_table（用户流量表）、prepaid_log_table（充值日志表）、conpaid_log_table（续费日志表）、accountclapol（计费策略分类表）、pakgepol（包月策略表）、timepol（计时策略表）、trafficpol（计流量策略表）。在表中添加相应的字段后，生成xkradius.sql文件，以便导入到MySQL数据库中。

配置FreeRADIUS服务

我们主要对以下文件进行操作：在radiusd.conf文件中去掉authorize和accouting函数体内的SQL注释（#），确保SQL功能可用；在sql.conf文件中修改Server（数据库服务器IP地址值）、login（root）、password（MySQL的root密码）、radius_db（数据库名）的值；在clients.conf文件中插入client{}函数，以添加认证网关服务器的相关信息（IP、secret、shortname）等。

Web服务管理

系统Web服务是建立在目前最流行的Web应用基础架构LAMP（Linux+Apache+MySQl+PHP）上的。因此，我们只需考虑Web服务的管理问题，webmin应用服务软件提供了一个友好的可视化Web管理平台。在webmin中，只要打开Apache Webserver选项，修改virtual server下的address、port、Document root（dialup_admin文件包路径）的值，配置Web Server服务。然后，打开MySQL Database Server选项，添加数据库xkradius，导入已生成的xkradius.sql数据库文件，这相当于在MySQL数据库中创建了18个表，并且可以进行管理和修改。

子系统的实现

1.网管子系统和用户自助服务子系统

这两个子系统功能主要是通过PHP语言技术对后台数据库的操作来实现。

2.通信子系统

该子系统功能通过C语言技术对基于radius协议的FreeRADIUS服务的实现来完成。认证计费流程图如图4所示。

图4 认证计费流程

本系统运营一年多，成功实现了对教师和学生用户统一有效的认证计费管理，为用户提供了相对安全的网络环境。它不仅解决了校园网络管理的问题，而且给局域网（公司、校区、网吧、酒店等）认证计费系统的建设提供了一种思路。随着用户数量的不断增加，网络负荷会逐渐加重，为保证系统的快速性和稳健性，可结合接收数据流和发送数据流的分离、认证流和计费流的分离的技术对系统进行改进。