基于Radius和802.1x的校园网认证计费体系研究与设计

马菲

摘要：该文通过对PPPoE和DHCP + Web及802.1x + Radius等认证协议的探讨和分析，提出采用较先进的802.1x + Radius 技术的认证计费体系设计方案。该方案针对该校网络结构，提高了计费的准确性和操作的可管理性，降低了网络协议的开销，提供了更好的网络性能，实现了管理要求。经应用证明，效果良好，提高了网络安全性能。

关键词：校园网；802.1x协议；Radius协议；身份认证；授权

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）22-0030-02

1 引言

随着校园网络的发展，一些问题随之凸显，主要表现为在管理模式上缺乏合理行，在计费策略上缺乏灵活性，另外网络在安全性和稳定性方面也存在一定程度的缺陷。因此对网络中的资源如何进行有效的管理与分配，成为一个丞待解决的难题。本文通过对PPPoE、DHCP + Web和802.1x + Radius三种认证方式进行技术分析，总结它们各自的优缺点，在此基础上提出基于802.1x + Radius协议体系结构的校园网认证及计费管理系统的设计思路，并给出系统的具体设计方案。

2 用户认证过程和方式

2.1 用户认证过程

对用户的认证管理（AAA）包含：认证是指用户网络访问权限的验证工作；授权是指赋予用户可以使用的网络服务功能；计费是指根据计算得出的用户使用网络资源情况进行合理计费的功能。其基本模型如图1所示：

接入服务器和认证计费系统间的通信协议多采用Radius协议，它是解决AAA最常用的通信协议。目前主流的认证方式有PPPoE、WEB、802.1x。其中，基于PPPoE协议的方式，其系统管理性较强，同时对于计费比较准确，但其缺点是协议本身限制了网络环境的拓展和组播业务开发。基于DHCP + Web协议的认证对网络环境无影响，但在可管理性、异常情况计费等方面存在缺陷。而基于802.1x协议的系统是采用以太网技术，计费的准确性和管理性都有较高性能，能比较好的实现用户管理。

2.2 认证方式研究

Radius是一个针对网络用户进行身份验证的标准，能安全地、有效地实现用户登录和收费等功能，是对AAA的技术层面的重要支撑。Radius符合客户机/服务器模型，它利用一台服务器管理存储着许多客户机身份验证数据的仓库。与其他很多客户机/服务器解决方案不同，Radius协议是运行在UDP上的。之所以选择UDP，是为了简化服务器的实现，为用户频繁进出的场所提供更好的环境，并提供有关超时的灵活性。如果利用面向连接的会话维护客户机/服务器会话，将增加服务器实现的复杂度，并产生过多的额外开销。

Radius计费对Radius协议进行了扩展，为计费数据提供了可编程的接口。Radius计费也采用客户机/服务器模型结构，客户机是网络访问服务器，采用简单的账户请求包协议来实现服务器与客户机的数据交换，使用账户应答包作为数据接收成功反馈。账户应答包中包含从账户申请包中获得的一个标示符，客户机利用该标示符进行“匹配”，它标志着相应的请求已顺利结束，不必再采取重发等操作。利用账户应答包中的数据可以实现计费功能，典型的数据有：输入字节数/包数，输出字节数/包数，以及会话时间。Radius计费采用可扩展的代码/长度/值的格式传输计费数据。

3 系统总体设计

3.1 系统分析

总结以往校园网建设中的经验，针对实际用户身份验证以及相关费用计算的要求，对所设计的系统进行了认真的需求分析：首先，系统必须能实现对用户申请的安全性控制，确保使用网络的必须是经过认证的有效用户。经过身份认证的用户必须绑定其账号/密码、IP地址、交换机IP等各种信息，以确保用户身份的唯一性。另外，校园网管理者一般会要求在满足用户身份认证、收费计算等功能的同时，还必须增加自助查询服务的功能，同时可以对不同的管理者设定不同的管理权限和优先级。同时在系统的安全方面要重点考虑IP地址冲突及账号被盗等问题，防止私下设定代理服务器的现象发生。

3.2 系统策略选择

网络计费策略采用按流量和时间两种基本计费方式，用户可以自由选择。认证方式上，采用802.1x + Radius认证计费体系方案。其方案设计为用NAS将各处的用户信息传递给Radius服务器，但服务器用户身份确认成功后，再通过DHCP服务器配置给不同的用户一一对应的IP地址，此时表明用户申请有效。在实现方案上根据Radius协议，AAA认证服务器配置HTTP服务和数据库系统，为了防止IP地址冲突现象的出现，使用DHCP服务器实现上述功能。而在用户端采用802.1x协议，通过交换机实现基于端口访问控制的最终用户管理，因此用户要配备一个802.lx协议的客户程序来进行网络接入认证。

3.3 认证及计费管理系统网络构架

校园认证系统与计费系统网络结构如图2所示。

将客户端和交换机连接，系统利用非受控端口将用户使用请求等信息传送给Radius服务器，用户认证工作成功后打开交换机的受控端口进行数据通信，交换机实时将相关信息发送给Radius服务器，实现收费等系统功能。

3.4 校园网计费系统软件结构图

校园网计费系统软件结构如图3所示。

当用户申请登录成功的时候，系统会通过调用访问费用判断模块进行网络金额查询，用来判断用户账号费用是否充足，从而决定用户端受控端口的网络连接状态。当用户主动断开用户网络或服务器强制断开网络连接的情况下，系统会自动实时更新数据库的信息，包括流量、使用时间等数据。同时通过计费策略模块，实时计算用户的相关网络费用，不断实时修改用户网络金额数据。

4 认证及计费管理系统主要功能

在校园网的用户认证系统设计中采用了基于802.1x + Radius的核心技术。当用户进行系统登录认证时，用户名和密码等信息报文送达交换机端口，该端口当前还未授权，配置上相应端口的PVID报文被系统送到与用户相对应的域中进行身份比对，该域如果采用radius认证方式，则交换机把该报文转化生成为radius报文，送给认证和计费服务器进行认证，服务器中如有相应的用户信息，就将成功消息返回给交换机，此时端口变为授权状态，如系统无用户信息或密码不正确，则返回认证失败消息，端口还是非授权状态。

后台计费系统主要是根据预先定义的规则将数据库中的收费等信息汇总后计算，形成计费账单，并以此为依据实现实时扣除用户费用等功能。在系统实现中，采用STRUTS 的结构框架以及MVC关键技术，既实现了目前系统管理、计费、安全等性能要求，也为系统今后的扩展提供了方便。

5 结束语

本文研究并设计了基于802.1x + Radius的认证收费体系方案，该系统采用了较灵活的计算用户费用策略，以方便在校大学生的学习和生活为核心，同时提升了学校的网络现代化管理水平，实现了集多种操作功能于一个系统的目的。本文研究并设计的校园网认证计费系统在天津工业大学进行实施，目前系统运行状况良好，达到预期目标。

参考文献：

[1] 董延华，毕娜，王春晓. 基于802.1x协议的校园网安全认证设计与实现[J]. 吉林师范大学学报（自然科学版），2016，1：124-127.

[2] 蒋华，张乐乾，阮玲玲. 基于公钥密码体制的802.1x双向认证研究[J]. 计算机应用与软件，2016，2：290-293.

[3] 陈金明，曾炜. 基于802.1x的信息网络接入控制安全认证系统设计[J]. 微型电脑应用，2016，2：61-62.

[4] 曹忠华. 校园网基于802.1x无感知认证的研究与实现[J]. 中国教育信息化，2015，9：62-65.

[5] 梁超. 多种认证模式相结合的高校网络出口计费系统的研究[D].暨南大学，2015.

[6] Jiange Zhang，Yuanbo Guo，Yue Chen，Jun Ma. AAA Based on 802.1x Authentication[A]. 重庆环球联合科学技术研究院.Proceedings of 2015 Joint International Mechanical，Electronic and Information Technology Conference（JIMET 2015）[C].重庆环球联合科学技术研究院，2015：4.

[7] Qinggui Hu. The new method to prevent ARP spoofing based on 802.1X protocol[A]. 重庆环球联合科学技术研究院.Proceedings of 2015 Joint International Mechanical，Electronic and Information Technology Conference（JIMET 2015）[C].重庆环球联合科学技术研究院，2015：5.