吕旭东 张雪霞 宋养齐
[摘 要]本文结合长庆油田认证(Authentication)、授权(Accounting)和计费(Authorization),即AAA认证升级改造项目,从用户结构、认证需求、设计要求、技术选择、系统设计、系统实现等方面展开分析,研究了AAA认证技术、系统架构搭建、无线局域网(Wireless Local Area Network,WLAN)无感知认证以及登录源管理等关键技术在油田社区网的应用,为基础网络认证设计和管理提供相应参考。
[关键词]AAA认证;长庆油田社区网;系统设计
doi:10.3969/j.issn.1673 - 0194.2020.24.097
[中图分类号]F426.22[文献标识码]A[文章编号]1673-0194(2020)24-0-02
1 长庆油田社区网现状调查
长庆油田社区网覆盖陕西、甘肃、宁夏、内蒙古4个省区,用户群体分为社区网用户、油区有线用户、油区无线用户和临时办公用户,登录方式分为办公区用户Web方式登录、社区用户使用基于以太网的点对点通信协议(Point to Point Protocol over Ethernet,PPPOE)拨号方式等。由于近年来用户数量增多,BOSS升级改造、原有认证(Authentication)、授权(Accounting)和计费(Authorization),即AAA技术并发处理能力不足,缺少区域控制功能和认证切换功能,用户端Portal页面使用体验差、移动端在使用过程中出现重复认证等问题,需要重新设计认证系统和服务。
2 系统设计要求
根据AAA技术发展和用户实际需求,新系统的开发需要具备以下几个特征:①标准化和易扩展性,认证计费平台结构应符合国际标准,设计标准化的技术和产品;②实用性,根据现有需求和可以预见的需求增长情况设计平台能力,避免不必要的技术花费;③可靠性,根据业务关键性指标需求,构建可靠的网络环境;④适应性,根据现网网络接入场景,适应多业务发展需求,提供灵活多样的管理策略;⑤安全性,搭建访问控制机制的安全平台,制定网络隔离策略,确保数据库的安全。
3 认证技术选择
根据区域位置和用户属性,社区网有线用户、油宽有线用户和油宽无线用户需采用不同的方式进行认证。
3.1 AAA认证
AAA认证即认证、授权和计费3种网络用户管理技术。目的在于采用可靠的用户认证方式和用户访问控制手段,同时记录网络使用情况和用户登录日志,以提高管理能力。
3.2 RADIUS認证协议
RADIUS认证协议基于服务端和客户端交互,是一种常用的AAA协议。通常使用User、Password、虚拟局域网(Virtual Local Area Network,VLAN)、Port等用户身份信息,同时还具备AAA和Audit等应用功能,具有良好的标准性和兼容性,可以按照网络结构和用户属性制定不同的认证计费规则。
3.3 PPPOE认证技术
PPPOE协议是在广播中将各处汇聚不同主机,实现主机与管理器之间的访问,包括发现阶段和会话阶段,主要通过以太网帧传输。
3.4 Portal认证
Portal认证是基于应用层的网页验证方式。典型的组网方式包括认证客户端、接入设备、Portal服务器和AAA服务器。在以WLAN为主的网络结构环境中,用户无须使用软件进行拨号。采用Portal认证可以忽略网络结构、设备类型等。
4 系统设计
作为以用户为直接服务对象的宽带认证计费系统,需要满足不断变化的环境需求和服务,包括解决不同厂家设备的兼容性、多场景应用体验、IPv6/v4双栈环境、移动互联网环境等要求。
4.1 系统架构设计
宽带认证计费系统以Linux作为基础平台,具有通用、易部署、可靠稳定性高、开源等特点,能大大降低总体部署和维护成本。系统前后台采用Tomcat+JDK+Oracle Database的架构组合,相比典型的Apache+PHP+MYSQL/MS SQL 2008组合,该架构更适用构建企业级应用。在数据库构建上,可以使用Oracle Database封装业务数据,如实时应用集群(Real Application Clusters,
RAC)、数据压缩、备份、恢复等,通过简单邮件传输协议(Simple Mail Transfer Protocol,SMTP)、传输控制协议(Transmission Control Protocol,TCP)等协议与其他模块互联。Oracle数据库独立运行,不依赖web server及radius server,即可以完成系统月结出账过程,月结性能可以达到1万户/分钟。系统采用安全外壳协议(Secure Shell,SSH)或服务器端嵌入(Server Side Include,
SSI)成熟的开源开发框架,便于实现团队协作,能够有效满足客户定制化需求。在该过程中,实现Radius Server、Tomcat、Database的解耦,Tomcat故障不会影响后台业务的正常运行,后台
Database故障不会影响前台Radius Server正常认证。
4.2 系统部署
系统实现完全虚拟化部署,各组件模块已针对虚拟化部署进行优化设计,如VMware平台环境,支持完全虚拟化部署,以对数据中心进行集约化运维,降低互联网技术(Internet Technology,IT)资本和运营成本,提高工作效率和舒适度。采用集群式负载均衡部署,搭建Oracle数据库系统和操作系统,宽带认证计费系统前台和后台软件按照高可靠性备份冗余要求优化设计。
4.3 系统开发过程
①采用华为ME60作为接入设备,AAA认证使用两台服务器进行旁挂,实现用户多方式场景计入和IPV4/IPV6双栈支持。②设计开发用户模块、设备模块、Eportal模块、无感知模块等。③使用两个动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)服务器构建Failover双机服务,实现现网IPV4/V6的全面支持,同时按照现有BOSS系统接口规范,定制开发接口。④实现用户数据、账号开停机同步。⑤部署用户在线接口程序与i-log等三方行为日志系统对接,实施传递在线用户账号、网际互联协议(Internet Protocol,IP)、姓名等自定义扩展字段。
5 技术创新
5.1 无感知接入
无感知接入功能指在进行非首次连接后,认证系统配合接入服务器,为用户的后期登录提供自动完成认证服务。楼宇自动化系统或建筑设备自动化系统(Building Automation System,BAS)先尝试媒体存取控制位址(Media Access Control Address,MAC)作为账号进行RADIUS认证,认证失败后再强推Portal认证页面,最后在认证服务器端实现无感知认证配置与支持。包括DHCP系统在识别到用户上线时,立即通知计费系统开启计费并放行用户;DHCP检测到用户IP释放的信息后,会向计费系统发送停止计费的指令并终止网络授权。
5.2 Failover双机服务
DHCP服务保障支持DHCP Failover协议,由两台DHCP Failover节点构成一套Failover集群,两个节点并行工作(Active/Active),单台节点故障不影响DHCP服务的可用性。
5.3 區域控制
创建不同的套餐组,根据各区域BRAS上传对应的参数PVLAN、CLAN、CLOT、SLOT等,通过区域接入控制,对账号主体进行漫游区域控制。
5.4 守护进程
守护进程负责后台数据库与硬件的数据交互,一套数据库只能同时运行一个守护进程,因此,必须确保运行守护进程的服务可控。系统配置了多个守护进程,配置了不同的IP和端口,实现了多重备份,保证系统正常运行。
6 系统实现
长庆油田社区网AAA系统的实施满足了各项设计要求,由于系统复杂,本文主要展示以下几个主要功能。①用户管理,主要包括用户查询、业务受理、业务预约、批量业务等功能模块。管理人员根据用户的编号、账号、姓名、状态、证件号码、IP地址编号等进行各种条件和组合条件下的账号查询、开户、复通、变更、销户等功能。②设备管理类,包括设备接入、主控子控配置、路由配置、直通配置、Radius服务器配置等功能模块。管理员可以增加、删除主服务器和子服务器,设置RADIUS服务器的参数并添加IP登录源。③Portal认证,用户在手机端连接长庆油田宽带网络后,会自动弹出认证界面,填写账号和密码进行登录验证。在实际应用中,由于采用了无感知功能,已认证的用户无须在WLAN环境改变时再次登录,大大提高了用户的上网体验。
7 结 语
AAA认证系统的建设及应用满足了油田社区网不同用户、不同环境的上网需求,降低了运维人员管理难度,极大提高了长庆油田社区网络管理水平。另外,建设过程中的经验积累和运行期间的技术总结有利于提高工作人员的技能水平、推动后期项目建设。
主要参考文献
[1]王道佳,马严,黄小红.基于DHCP的校园网准入及无感知方案研究[J].华中科技大学学报:自然科学版,2016(1):181-185.
[2]王军号,陆奎.RADIUS协议在AAA系统中的应用研究[J].计算机技术与发展,2009(7):199-202.
[3]周江,李贺武.一种面向Portal认证的IPv6可信地址分配机制[J].电信科学,2019(12):8-14.
[4]尹海成,许勤侃,梅仪国,等.下一代互联网AAA认证系统演进过程研究[J].电信网技术,2014(6):19-21.