宽带认证论文范文

宽带认证论文范文（精选6篇）

宽带认证论文 第1篇

关键词：宽带接入认证,PPPOE认证,IEEE802.1X认证,WEB认证

宽带用户接入认证主要是指接入控制设备依据用户的身份特征(如用户名、密码)进行用户接入认证，通过接入控制设备(宽带接入服务器，BAS)与AAA[1]服务器配合，可以实现对每一个不同的用户进行认证，对用户的认证管理(也就是通常所说的AAA包含3个方面，即认证(Authentication)：是指验证用户对网络的访问权限;授权(Authorization)：是授权用户可以使用的服务;计费(Accounting)：是记录用户使用网络资源的情况，包括收发字节数、收发数据包数、上网时长等。

在介绍认证技术前，必须了解一下认证过程：

1 宽带用户接入认证通用过程

首先用户连接到BAS(宽带接入服务器)上，由BAS设备获取用户的身份特征(用户名、口令等);然后，BAS设备将用户的身份特征通过某一特定的AAA协议(RADIUS协议)，由IP网络传递到集中放置的AAA服务器;AAA服务器查询用户数据库，依据数据库中的信息对接收到的用户身份特征信息进行认证;若认证通过，则打开相应的通往Internet端口使用户可以接入宽带网络。若认证未通过，则返回用户认证失败信息，禁止用户接入宽带IP网络。

2 几种认证方式

2.1 PPPoE认证方式

2.1.1 PPPoE技术介绍

PPPoE是一个在以太网上传送PPP分组的协议，PPPoE协议是BRAS支持的一个重要的用户接入协议。如果用户通过以太网或者ADSL等接入方式连接到BRAS那么用户就必须使用PPPoE协议，而此时的BRAS将汇聚所有的PPPoE分组，并对这些接入用户提供相应的服务。

2.1.2 PPPoE[2]认证方式介绍

PPPoE认证技术,用户端采用相应的拨号软件发起PPPoE连接请求，该PPPoE连接请求由以太网帧承载，穿越以太网二层设备，最终在BAS设备处终结，由BAS设备与AAA服务器配合，实现基于用户的访问权限、计费和服务类型的控制。

PPPoE认证的过程简述如下：

首先，由接入用户发起PPPoE的建立，PPPoE建立发现阶段。发现阶段完成后，BAS设备给该PPPoE连接分配一个唯一会话标识号A。

然后，进入PPPoE的PPP会话阶段，用户与BAS设备建立PPP连接。在PPP连接的认证阶段，BAS设备通过PAP认证或CHAP认证，获取用户的身份特征信息、用户名、口令;然后，BAS设备将此信息通过RADIUS协议的认证请求消息，传给AAA服务器。AAA服务器将此信息与自身数据库中的用户注册信息比对，若一致则通过RADIUS协议返回BAS设备一个认证接受消息(授权信息)。

BAS设备据此消息内容，通过与客户之间PPP的NCP协商，给客户计算机发送IP地址、网关、DNS等配置信息。同时，BAS设备开放客户到互联网的出口。客户计算机依据此信息进行正确配置后，就可通过BAS设备接入到互联网中。

此时，BAS设备给AAA服务器发送一个计费请求消息，要求AAA服务器开始计费。AAA服务器回送一个计费响应消息，告知BAS设备已接受其请求。

当用户下网时，客户端的PPPo E软件发送给BAS一个PADT包，BAS设备给AAA服务器发送一个计费请求消息，要求AAA服务器停止计费，并将用户上网的原始计费数据发送给AAA服务器。AAA服务器回送一个计费响应消息，告知BAS设备已接受其请求，用户断线。

2.2 Web认证方式

基于Web的认证是一种应用层的认证方法，与接入的介质和网络环境没有直接的关系，用户通过DHCP获得IP地址后，通过WEB页面输入用户名和密码。

Web认证的主要过程描述如下：

2.2.1用户机器启动，通过DHCP由BRAS做DHCP-Relay,向DHCP Server要IP地址(私网或公网);

2.2.2 BRAS为该用户构造对应表项信息(基于端口号、IP)，添加用户ACL服务策略(让用户只能访问Portal Server和一些内部服务器，个别外部服务器如DNS);

2.2.3 Portal Server向用户提供认证页面，在该页面中，用户输人账号和口令，并单击“登录”按钮，也可不输入账号和口令，直接单击“登录”按钮;

2.2.4该按钮启动Portal Server上的Java程序，该程序将用户信息(IP地址，账号和口令)送给网络中心设备BRAS;

2.2.5 BRAS利用IP地址得到用户的二层地址、物理端口号(如Vlan ID,ADSL PVC ID,PPP Session ID)，利用这些信息，对用户的合法性进行检查，如果用户输入了账号，则认为是卡号用户，使用用户输入的账号和口令到Radius Server对用户进行认证;如果用户未输入账号，则认为用户是固定用户，网络设备利用Vlan ID(或PVC ID)查用户表得到用户的账号和口令，将账号送到Radius Server进行认证;

2.2.6 Radius Server返回认证结果给BRAS;

2.2.7认证通过后，BRAS修改该用户的ACL，用户可以访问Internet或特定的网络服务：

2.2.8用户离开网络前，连接到Portal Server上，单击“断开网络”按钮，系统停止计费，删除用户的ACL和转发信息，限制用户不能访问Internet;

2.2.9在以上过程中，要注意检测用户非正常离开网络的情况，如用户主机死机，网络断掉，直接关机等。

2.3 IEEE 802.1X认证方式

IEEE 802.1X协议是基于端口的访问控制协议(Port Based Network Access Control Protoco1)。

2.3.1 IEEE 802.1X认证基本概念

IEEE 802.1X认证方式在传统共享以太网上对接入用户认证控制的实现，是基于对用户在BAS设备上接入端口的开和关来进行控制的。

2.3.2 用户接入的端口控制原理

首先，客户端在BAS设备上要有一个与其唯一对应的接入端口。接入端口可以是物理上的，也可是间接的虚拟端口。

客户端在BAS设备上唯一的接入端口，又被BAS设备从逻辑上分为两个逻辑端口：受控端口和未受控端口。其中，受控端口为用户接入互联网要使用的端口，它在用户接入认证成功前是断开的，认证通过后闭合。未受控端口为双向连通端口，但用户的应用数据流被禁止在此端口上传递。BAS设备只需控制受控端口的开、关状态，但并不干涉未受控端口的状态，这样实现了业务数据流和认证流的完全隔离。

3 总结

综上所述，在实际应用中根据不同的组网情况，结合各种认证技术的特点，选择最佳的认证方法：

3.1针对ADSL个人用户。若局端DSLAM支持VLAN，则采用VLAN+Wed认证;若局端DSLAM不支持VLA N，则采用PPPoE认证。

3.2针对LAN个人用户。若以太网两/二层交换机支持VLAN，则采用VLAN+Wed认证方式;若以太网两/二层交换机不支持VLAN，则采用PPPoE认证。

3.3针对运营管理要求不高的简单以太网络可采用802.1X认证。

参考文献

[1]刘清,乐燕群.AAA-维系运营商与用户联系的命脉[N].计算机世界报,2003.

[2]RFC-2516.A Method for Transmitting.PPP Over Ethernet[S].

宽带认证论文 第2篇

账号注册的通告

云南农业大学学生宿舍区校园宽带网于2012年3月12日投入试运行。工程建设已完成，逐步进入正常运行，目前运行情况稳定。为了向同学提供更优质的互联网服务，同时加强校园网络安全管理，2012年4月10日起上网需进行实名认证，请同学们在此之前完成账号注册，以免影响正常上网。

请同学按照以下步骤进行账号申请，准确无误填写注册资料、并按照流程取得上网账号。

一、上网账号自助申请步骤：

1、2、个人电脑连接宿舍宽带网端口，“本地连接”设置为“自动获取IP地址”； 打开浏览器（IE），登陆ftp://172.16.252.2/，根据自己的电脑操作系统，下载并安装“中国联通云南农业大学学生上网认证客户端软件及使用说明.rar“，并参照说明文件进行操作和安装客户端。

3、运行客户端软件

4、点击“自助服务”（或在IE中打开http://172.16.252.2:8080/selfservice/）登陆自助服务平台

5、点击“匿名登录”

选择“自助注册”

填写规则：

用户名：填写学号；

申请信息：填写原校园网账号（指原在校信息中心开户并可用的账号）带*部分资料需按要求真实填写，否则无法通过审核。

6、7、填写完毕，点击“保存”。

持有效证件（学生证、身份证）至“云南农业大学学生宿舍区校园宽带网业务办理点”进行账号审核，并交纳 ￥20.00（人民币贰拾元）开户费。注意事项：

a)每个需要上网的同学必须获得一个账号，没有上网账号的同学将无法接入互联网。b)对于原来已经具有校园网账号（指原在校信息中心开户并可用账号）的同学，也必须按以上流程申请新账号，再持有效证件（学生证、身份证）至“云南农业大学学生宿舍区校园宽带网业务办理点”进行资料审核，无需交纳开户费，原有余额的将自动结

转至新账号。

c)新开校园网账号的同学，均可以免费获得3m网线一根。

二、宽带网使用方法：

1、运行客户端软件

2、用户名：填写审核通过的有效账号（即个人学号）；

3、服务选择“Free”免费访问校园网，选择“Internet”即可在试运行期内免费接入Internet；

为避免同学注册拥挤，方便同学使用，从即日起，开始受理同学的自助注册，和账号审核。

云南农业大学宿舍校园宽带网业务办理点

地址： 中国联通营业厅（东校区教工宿舍3区1栋，原老商业街）电话：8013991（业务咨询）； 8013992、***（故障申告）

云南农业大学党委宣传部网络中心

宽带认证技术的分析与实现 第3篇

宽带, 从一般的角度理解, 它是能够满足人们感观所能感受到的各种媒体在网络上传输所需要的带宽, 因此它也是一个动态的、发展的概念。电信级宽带不是简单免费开放的计算机网络平台。因此, 以信息共享为设计初衷的以态网技术在宽带城域网领域应用就出现了安全方面和实现差别化服务方面的不足。在这样的前提下, 基于宽带接入的各种认证技术的产生就成了必然。

用户认证对宽带接入的意义在于使宽带网络可以像窄带接入一样进行运营管理。用户认证包括认证 (Authentication) 、授权 (Authorization) 和计费 (Accounting) , 又称3A或AAA, 其中认证是验证用户的身份与可使用的网络服务;授权是依据认证结果给用户开放网络服务;计费是记录用户对各种网络服务的用量, 并提供给计费系统。如果没有实现合理的3A接入控制, 宽带网络只能提供基于端口、包月制的资费方案。如果没有基于用户身份的认证, 也很难实现建立增值服务的发展空间。

网络设备与AAA服务器的通信协议采用标准的RADIUS协议, RADIUS协议用来解决, AAA用户认证的, 现在用得最广, 成为事实上的标准。为实现增值功能, 可采用RADIUS+协议。

2 用户认证技术需要完成的功能

运营级的宽带接入网络是一个以盈利为目的的公用网络, 与局域网的认证、计费、用户管理和宽带管理要求有很大的区别, 电信运营网络应具有较强的可运营及可管理性, 主要反映在用户管理、安全管理、业务管理和计费管理等方面。

2.1 用户管理。

通过用户基本信息管理, 系统维护人员可以管理用户的账号、正常还是暂停或待激活等状态用户管理。用户需要到宽带接入网运营商处进行开户登记, 运营商在用户进行通信时对用户进行认证和授权。对于运营商而言, 只有掌握用户的信息才能对用户进行有效的管理, 因此需要对每个用户进行开户登记。而在用户进行通信时, 还要杜绝非法用户接入网络, 占用网络资源, 影响合法用户的使用。因此需要对用户进行合法性认证, 并根据用户属性使用使用户享有相应的权利。

2.2 计费管理。

网管理功能的一个子集。计费管理能够测量网络业务的使用, 并能决定和开列这种使用费用的一组功能。计费管理是指宽带接入网需要提供有关计费的信息, 包括用户的类别 (是账号用户还是固定用户) 、用户使用时长、时间、用户流量等数据, 以支持计费系统对用户的计费管理。可运营的宽带网络, 应提供丰富的计费手段, 实现按实测时长计费、按流量计费甚至按业务类型计费等等, 为实现灵活的计费策略提供基础。

2.3 业务管理。

用户提供接入互联网服务的宽带网络不仅要满足基本的宽带业务, 而且应能支持增值业务需求, 比如:支持用户的多ISP选择、支持组播业务、门户业务、用户区别访问、业务定制, 网络游戏、远程教育、远程医疗、电子商务等业务需求。

2.4 用户安全性保障。

在宽带接入网络中, 用户安全性保障体现在用户数据安全和设备安全。保护用户数据的安全性, 隔离携带用户个人信息的广播消息, 如ARP, DHCP消息等, 防止网络关键设备受到攻击。数据加密可以有效防止数据库信息失密性的有效手段。为了保证数据库系统的安全性, 通常采取的是强制存取检测方式审计是将用户操作数据库的所有记录存储在审计日志。宽带接入网络应通过严格的二层隔离和三层受控访问, 防止用户之间的攻击和黑客对关键服务器的恶性攻击, 同时通过严格的用户控制管理, 防止用户的地址仿冒和地址篡改, 保证宽带城域网的安全。

3 宽带用户认证技术类别

目前常见的用户认证机制按照数据流与控制流的不同流向主要可分为两类:

3.1 基于网关的验证机制:

由某台验证服务器对用户的身份进行验证, 这种认证机制没有区分通信的控制流和数据流, 所有的信息包都要通过一台认证服务器做处理, 这样其吞吐量就会受到比较大的限制。如目前使用广泛的PPPo E, 其中网关设备是宽带接入服务器。

3.2 将用户的数据流和控制信息分开的认证机制:

认证服务器只需对用户的认证信息进行验证, 随后的用户数据包就不再通过认证服务器, 而直接由交换机转发处理。在这种方式中, 认证服务器不会成为网络上数据通信的瓶颈。采用这样的认证机制技术的有DHCP+、Web认证、802.1x等技术。

4 认证方式的实现

4.1 PPPo E。

PPPo E是一种2层链路技术, 由RFC2516文档定义。PPPo E类似于传统的拨号接入方式, 用户端采用一个拨号软件, 发起PPP连接请求, 穿过以太网交换机或者x DSL设备, 终结在集中控制管理层的接入网关设备上, 如果能带接入服务器。接入网关设备负责终结PPP连接, 并与RADIUS服务器配合实现用户管理和策略控制, PPPo E是从窄带技术演化而来, PPPo E是一种过渡技术。

4.2 DHCP+。

DHCP为在中、大型网络, 特别是大型网络中免除客户端主机手工配置上网参数所带来的一系列问题, 而以一台DHCP服务器进行按需自动分配主机上网参数的一种技术, 它可以提高效率, 避免手工配置错误, 缺点是没有认证功能。DHCP是一种高层协议, 其起作用的阶段只是在为用户分配地址的阶段。一旦用户获得IP地址后, DHCP在用户IP地址失效前, 将基本不再起作用。因此, 在IP城域网中直接使用DHCP方式而没有其他辅助技术的配合, DHCP不能发现网络上非DHCP客户机已经在使用的IP地址, 其安全性、用户可管理性较差。

4.3 Web认证。

Web认证方案首先需要给用户分配一个地址, 用于访问门户网站, 在登陆窗口上键入用户名与密码, 然后通过Radius客户端去Radius服务器认证, 如认证通过, 则触发客户端重新发起地址分配请求, 给用户分配一个可以访问外网的地址。在这种认证方式中, 用户可以自设IP地址或通过DHCP获得一个地址, 打开浏览器, 无论输入一个什么地址, 都会被强制转到一个运营商的界面, 要求用户进行认证。认证通过后就可以访问其他站点了。由于这种认证方式不需要客户端软件, 因此可以开发出更多的增值业务, 成为实用性最强的认证技术之一。

4.4 IEEE802.

1X。IEEE802是一种应用于LAN交换机和无线LAN接入点的用户认证技术。如传统的局域网交换机, 用户就可以访问局域网中的设备和资源。这种模式在单位内部网络中, 其安全性尚可接受;但如果作为宽带运营网络的接入手段, 其安全性方面就成了必须考虑的因素, 要求ISP能对用户的接入进行控制和配置。另外, 作为运营商计费也是必须考虑的因素。

从应用程度上来看, 目前电信界主要有3种认证方式:PPPo E、Web、802.1x。关于这3种方式的普及率, 最初以PPPo E为最多;当Web方式得到越来越多的设备厂商的支持之后, 他更加受运营商的青睐;而802.1x作为新的技术, 目前只有少量厂家支持。从认证技术发展的趋势来看, 采用将数据流和控制流分离的认证方式将会在今后的宽带接入认证中得到普遍应用。

参考文献

[1]唐雄燕.面向新型业务的宽带接入网[M].北京:电子工业出版社, 2012.

宽带认证论文 第4篇

中国广播电视网络经过几十年的发展,已建成世界上覆盖人口最多,无线、有线、卫星等多种技术手段并用,中央与地方、城市与农村、国内与国外并重的规模庞大的广播电视网络,广播电视的传播能力、覆盖水平、服务质量大大提高,广播电视数字化进程明显加快,进入了有线、无线、台内数字化全面推进的新阶段。截至2011年底,中国有线电视网络拥有1.9亿有线电视用户,是用户聚集度最高、用户终端规模全球最大的有线电视网络,是入户带宽资源最高的基础信息网络,这些都是下一代宽带网络与应用技术研究最坚实的物质基础。

随着入网用户的增加,用户对业务的需求也日益膨胀,广电宽带数据网将向多业务承载网的方向发展。在系统中引入的BRAS(Broadband Remote Access Server,宽带接入服务器)设备负责终端用户的连接和用户流量的汇聚,并与认证系统、计费系统和客户管理系统及服务策略控制系统相配合,实现用户接入的认证、计费和管理功能。BRAS具有灵活的接入认证方式、有效的地址管理功能、强大的用户管理功能,并能提供丰富的业务及控制功能。

在建设用户认证系统平台中,如何使用正确的测试方法评估系统的处理能力,确保在高峰期间系统的稳定性和健壮性,成为有线网络运营商面临的重要问题。

2 Web认证技术

2.1 概念

Web认证接入方式采用了HTTP重定向技术,客户端无需安装任何软件,用户打开浏览器输入任意网址后,由认证系统推送认证登录界面,输入用户名和密码发送到认证服务器进行身份认证,从而获得相应的授权。

2.2 认证系统体系结构

在使用Web认证的系统中,AAA服务器(认证、授权和计费,Authentication,Authorization,and Accounting)与BRAS设备之间使用RADIUS(远程用户拨号认证系统,Remote Authentication Dial In User Service)协议,BRAS设备为AAA服务器的客户端。门户服务器从用户提交的报文中将用户名和密码提取,封装成相应的报文传递给BRAS设备,BRAS设备再与AAA服务器通信完成认证,体系结构如图1所示。

2.3 Web认证系统流程

Web认证系统的流程,从用户发起HTTP请求、BRAS设备触发认证、到用户完成认证,可以划分为6个步骤,如图2所示。

1)用户登陆浏览器,输入任意网址发出HTTP请求,BRAS设备收到后,判断用户是否通过认证,如果用户没有经过认证,则将认证门户服务器地址推送到用户客户端。

2)用户客户端对认证门户服务器发出登陆页面的HTTP GET请求,认证门户服务器返回登陆页面的URL地址。

3)用户通过浏览器页面呈现的表单输入用户名密码,提交给门户服务器的认证模块,等待认证结果。

4)门户服务器认证模块将用户信息进行协议封装后传递给BRAS设备对应接口。

5)BRAS设备收到带有用户信息的数据报文后,经过AAA客户端接口,使用RADIUS协议与AAA服务器完成用户信息认证。

6)返回的结果信息经由门户服务器推送到用户的浏览器界面上。

从认证系统的体系结构和整体流程可以看出,影响认证系统性能的接口和环节较多,需要分解整个流程,单步测试后,再进行整体测试,以判断系统的性能瓶颈。

3 测试方法学

针对网络应用层的测试方法学在业界还没有形成系统的RFC文档,测试方法的选择要基于各个协议的RFC文档定义,以及参考相关网络设备对于应用层测试的要求。在用户的整个认证流程中,HTTP协议和RADIUS协议都有相关RFC文档说明。

3.1 HTTP协议和HTTP事务处理速率

HTTP(Hypertext Transport Protocol)协议,即超文本传输协议,是网络应用层最常用的协议之一。HTTP协议目前常用的版本包括HTTP1.0(RFC1945)[1]和HTTP1.1(RFC2616)[2]。两者的区别在于是否默认支持持续性连接。持续性连接是指在最初的HTTP信息交互完成之后,相应的TCP连接仍然保持打开的状态,使用持续连接,多个HTTP请求可以在同一个TCP连接里完成,因而能提高HTTP的性能。

根据RFC3511[3]中的相关定义,HTTP事务是指客户端和服务器之间一次请求与响应的过程,因此HTTP事务处理速率(HTTP Transaction Rate)的测试目的在于检验DUT(被测设备,Device Under Test)/SUT(被测系统,System Under Test)能支持的用户存取HTTP对象的最大速率。HTTP事务处理速率测试的重点在于检验被测设备的CPU运算速度、内存资源利用率等性能指标。对于用户而言,如果设备的运算性能和资源不足,尽管网络带宽足够,用户仍然无法体验快速流畅的网络应用[4]。

3.2 RADIUS协议和用户请求处理速率

RADIUS协议由RFC2865[5]、RFC2866[6]定义,是目前应用最广泛的AAA协议。

用户请求处理是指用户通过客户端与服务器之间发起的一次请求并认证完成的过程。对于RADIUS服务器来说,每个用户在认证过程中都会首先向服务器发起一次认证请求并获得认证的结果。用户请求处理速率的测试重点是检测服务设备在CPU、内存利用没有达到饱和状态时能够处理的用户请求速率。如果设备的最大用户请求速率不能满足用户数量的设计要求,那么就会导致大量用户无法接入的故障出现。

4 系统性能测试方法研究

基于认证流程,系统性能测试被分解成4个阶段逐一进行,使用Spirent Avalanche网络应用层仿真及性能测试仪表模拟对应接口的用户行为。

4.1 BRAS设备的URL地址重定向性能

基于系统流程,如图3所示将测试仪和BRAS连接,BRAS在收到用户的HTTP GET请求后,首先判断用户是否通过认证,如果是未认证用户,则返回认证门户服务器的URL地址。

1)使用测试仪模拟客户端,在测试仪表的物理测试端口,通过配置,模拟仿真一定数量的IP地址,并保证这些IP地址并没有被BRAS设备认证过,如图4所示。

2)配置客户端发出HTTP GET请求的行为。由于测试系统未包含DNS域名解析服务器,使用任意一个不可被直接访问到的IP地址即可,例192.168.1.1/index.html(见图5),客户端的HTTP版本配置为HTTP 1.1。

3)GET请求发出后,BRAS设备要判断用户是否认证,并回复URL重定向的报文,其中HTTP状态码为302(见图6),客户端收到此报文认为一次有效的HTTP重定向请求事务处理结束。

4)如果每次事务处理都成功,则提高每秒钟事务的请求数目,反之则降低。在所有事务都成功的临界状态下,记录每秒的事务请求处理速率(TPS,Transactions/s)。

4.2 认证门户的请求处理能力

认证门户服务器基于HTTP架构设计,服务器的硬件和HTTP软件环境的性能同样会成为影响Web认证整体性能的瓶颈之一。按照图7所示,将测试仪表和门户服务器集群直接连接。

门户测试指标同样是HTTP事务处理速率,同时需要分别测试门户服务器静态首页和动态处理两种情况下的对应数据。因为在实际业务运行中,如果门户的动态处理能力出现饱和,但是静态性能仍有空闲,用户还是可以访问到认证首页。

1)静态页面

使用测试仪模拟用户客户端,配置客户端为HTTP1.1版本,对门户服务器的静态首页发出HTTP GET请求。记录系统能够成功处理的最大HTTP事务请求处理速率。

2)动态页面

使用测试仪模拟用户客户端,配置客户端为HTTP1.1版本。通过读取真实用户数据信息表(见图8)中的用户ID和登陆密码,对门户服务器的用户名密码提交页面发出大量的用户HTTP POST请求。

门户服务器配置模拟认证程序,在收到用户信息后返回HTTP/1.1 200 OK的状态结果(见图9)。记录系统能够成功处理的最大HTTP事务请求处理速率。

4.3 AAA服务器RADIUS请求处理能力

AAA服务器对RADIUS请求的处理能力是Web认证系统性能的重要测试指标。测试仪和RADIUS服务器连接如图10所示。

对于AAA服务器的服务性能,需要测试记录用户请求处理速率。利用测试仪模拟RADIUS客户端,按照RA-DIUS标准协议发出认证请求,AAA服务器在收到请求后返回认证结果给客户端。

对于不同的AAA服务器,RADIUS协议采用的EAP(可扩展身份验证协议,Extensible Authentication Protocol)类型可能不同,在实际测试中,主要评估的是系统处理能力,无论用户认证是通过还是拒绝,都算一次有效的请求处理过程,如图11所示。

4.4 整体系统处理能力

理论上,上述3个测试结果中获得的最小数据即是系统整体性能参考值。认证流程涉及的每个环节和接口,都可能会对测试结果带来影响,为了保证该数据的准确性,需要进行一次完整的系统测试,如图12所示。

负责认证的服务系统位于省级的中心机房,BRAS设备位于地市机房。整体性能测试将认证系统看作一个黑盒,使用网络测试仪读取用户信息数据表数据,模拟用户发起HTTP GET请求,获得重定向地址后,输入用户名密码,HTTP POST提交后,返回HTTP/1.1 200 OK的状态码。

测试仪表配置中,需要对每一步系统回应报文的捕获后,提取相关变量,模拟用户客户端连续请求发出过程。在获得到HTTP/1.1 200 OK状态码后,一个有效的认证流程结束。将整个认证过程看成一个HTTP事务处理,记录获得的HTTP事务处理速率,即整体系统的性能。

5 结论

本文研究了针对基于BRAS设备Web认证系统的性能测试方法。根据Web认证系统自身的特点,将被测系统划分为3部分分别测试,获取相应的数据后,再进行整体测试。运用此方法可以有效地发现认证系统存在的性能瓶颈,并在进行整体测试时,可以模拟更接近真实处理能力的请求量。

随着广电宽带数据网的进一步建设,BRAS设备会被更加广泛地使用,而Web认证作为一种认证手段也会得到相关的应用。运用合理的性能测试方法,可以准确判断系统的瓶颈,为制定系统进一步的升级改造策略提供指导。

参考文献

[1]BERNERS L T,FIELDING R,FRYSTYK H.Hypertext transfer pro tocol—HTTP/1.0,RFC1945[S].1996.

[2]FIELDING R,GETTYS J,MOGUL J,et al.Hypertext transfer proto col—HTTP/1.1,RFC2616[S].1999.

[3]HICKMAN B,NEWMAN D,TADJUDIN S.Benchmarking methodol ogy for firewall performance,RFC 3511[S].2003.

[4]林田,施小秋,胡波.网络性能测试与分析[M].北京:高等教育出版社,2009.

[5]RIGNEY C,WILLENS S,RUBENS A,et al.Remote authenticationdial in user service(RADIUS),RFC 2865[S].2000.

宽带认证论文 第5篇

1 RADIUS技术原理

RADIUS协议能够在认证服务器和宽带远程接入服务器之间的配置信息和承载认证授权计费的协议。

RADIUS代理通常设置于RADIUS与BRAS服务器的消息转发节点, 此节点与RADIUS服务器无异, 均能够实现RADIUS和BRAS服务器之间“代理服务器”, 从而接受BRAS设备的计费报文及RADIUS的直接应答、转发以及解析等报文, 从而结合实际需要予以处理, 随后转发为RADIUS认证服务器, BRAS接收RADIUS发起和回送的报文, 并且予以妥善处理。

RADIUS代理中的RADIUS报文主要包括code1、code2、code3、code4、code5, 注:code1为用户认证请求, code2为认证通过, code3为认证拒绝, code4为计费开始及结束, code5为计费响应。

2 RADIUS技术方案

进行认证和计费的过程中, 通过相关环节能够实现业务的灵活控制, 例如RADIUS代理收到的“计费开始应答返回”、“RADIUS认证结果”、“RADIUS认证请求”等, RADIUS代理能够通过“修改RADIUS绘画的报文属性”以及“不转发, 自己应答”等保证业务和用户的控制灵活, 降低了大规模改造RADIUS服务器的频率。

(1) RADIUS代理接收认证请求报文后, 通过端口VLAN、域名、账号、时段等信息, 对用户是否能够上网进行判断, 并且对其进行控制, 例如端口绑定控制、黑白名单控制以及漫游区域控制等。

(2) RADIUS代理接收计费应答报文之后, 能够对计费响应报文中的Ses-sionTimeout属性进行相应的修改, 在修改之后, 将认证响应报文反馈给BRAS, 从而根据Session-Timeout时间采取强制的办法迫使用户下线。

(3) RADIUS代理在接收认证结果之后, 能够将IP地址池等配置信息进行合理的修改, 从而控制上网路由的差异。

3 RADIUS应用

3.1 共享上网的控制

一般而言, 高校等区域的用户相对较为集中, 而且此类用户均具有不同程度的网络知识, 而且大多数均使用双网卡以及宽带路由器共享网络, 实现多人同时上网。

为了解决上述存在的共享问题, 通常利用专用拨号软件+RADIUS代理, 从而精细控制账号使用范围, 从而规避跨区使用。

BRAS设备能够把RADIUS服务器IP地址设置为代理IP地址, 通过RADIUS代理和拨号客户端软件的加解密算法, 识别专业拨号软件, RADIUS代理还能够解码还原客户端的认证信息, 并且将信息重新封装, 从而形成标准的RADIUS协议报文, 将其予以转发, 并且进行后续认证, 具体的认证转发流程:

(1) 通过拨号客户端软件进行用户的拨号认证, 并且将密码信息、用户名等予以加密编码, 并且通过Point To Point Protocol Over Ethernet协议转发给BRAS服务器。

(2) 利用BRAS将用户认证请求进行检测, 并且转发给RADIUS, 对其请求进行授权及认证。

(3) 利用RADIUS代理对报文进行解析, 从而判断是否应用“专用拨号客户端”, 如果结果为是, 那么将RADIUS予以解码还原, 并且发送给服务器, 如果结果为否, 那么将对BRAS认证回复拒绝报文, 那么该用户则会断网。

(4) RADIUS服务器能够对用户的口令及用户名进行验证, 假如结果有效, 那么RADIUS将会接收到上网时间认证结果。

(5) 认证结果报文将会通过RADIUS代理予以加密编啊, 并且BRAS将会对其进行接收。

(6) 通过连接配置和建立BRAS, 实现用户的网络访问。

因为专用客户端软件的认证信息能够予以加密, 例如用户通过标准客户端以及宽带路由器输入密码和用户名, 否则不可以通过认证, 限制用户的共享上网, 该方法优点突出, 不需要将现有的网络设备进行替换, 从而节省成本, 其次, 通过动态密钥, 还能够方式专用客户端的密钥被破解。

3.2 管理白名单

利用RADIUS代理和专用客户端, 实现管理白名单的目的, 控制用户上网的扩展能力, 具体认证转发流程如下:

(1) 利用RADIUS代理对报文进行解析, 从而判断是否存在于白名单, 如果结果为是, 那么将RADIUS予以解码还原, 并且发送给服务器, 如果结果为否, 那么将对BRAS认证回复拒绝报文, 那么该用户则会断网, 此流程和上述管理共享上网流程类似。

(2) (3) (4) 与上文3.1共享上网的控制步骤相同, 不一一赘述。

白名单主要应用于具有较高差异的资费市场, 例如高校市场和大众市场, 其市场资费差异较大, 为了避免大众的宽带账号流入到高校中, 从而导致一系列不良现象发生, 应该对其进行白名单管理, 从而促使高校只能使用高校市场账号, 大众只能使用大众市场账号, 精细控制上网账号的漫游。

4 总结

总而言之, RADIUS代理能对对不同用户、BRAS进行相应控制, 不需要对RADIUS服务器进行大规模改造, 实现节省成本, 灵活控制的目的, 在当前的宽带接入认证领域中得到了广泛的应用, 值得推广。

摘要：RADIUS代理能够在RADIUS和BRAS服务器之间予以设置, 从而实现转发RADIUS信息的功能, RADIUS代理能够通过“修改RADIUS绘画的报文属性”以及“不转发, 自己应答”等保证业务和用户的控制灵活, 降低了大规模改造RADIUS服务器的频率。

关键词：RADIUS代理,宽带接入,认证

参考文献

[1]巫俊峰.应用Tek RADIUS零成本构建网络设备统一认证系统[J].电信技术, 2012, (8) :25-29.

[2]胡捷, 王茜, 陈运清.IPv6过渡期的用户接入认证[C], 下一代互联网与应用研讨会论文集, 2011.

宽带认证论文 第6篇

1容灾的意义

容灾的级别一般分为:数据级、应用级、业务级。

数据级容灾:是指系统可以将主中心的所有数据完整地备份到灾备中心, 是更高级容灾模式的基础[1]。它只能保证数据的完整性, 业务可能会因为灾难而中断。

应用级容灾:是指在灾难来临时主要业务不中断, 但是重要的客户数据以及计费数据可能丢失。

业务级容灾:是指在灾难来临时主要业务不中断, 并且重要数据在灾备中心有存储不会丢失。

通信行业是一个特殊的行业, 是与人民群众的生活密切相关的。一方面, 当灾难来临时需要保证重要上网业务不能中断;另一方面, 客户资料和计费资料对于企业本身又是非常重要的, 必须保证这些重要数据不能丢失。故宽带认证鉴权系统的容灾需要考虑业务级的容灾。

2容灾需求

宽带认证鉴权系统对容灾的需求:

1采用主中心和灾备中心同时建设的双中心模式, 要求双中心必须为异地建设;

2实现数据远端备份, 确保关键业务系统及其关联系统的数据安全, 保证两中心节点间数据的完整性、可靠性和一致性;

3规避不可抗力导致的区域性灾难 (地震、强降雨、大范围停电等) , 提供系统恢复机制, 将引发的业务损失降低到可接受的程度;

4规避恶意攻击导致的全系统瘫痪;

5双中心互为热备, 正常情况下平均分摊全网的业务压力, 减小服务器超负荷运行带来的宕机风险。

3部署方案

3.1部署原则

主中心部署系统所有核心业务, 包括系统数据库、Radius、认证计费服务器、业务管理、接口、统计分析等, 主中心正常系统业务一切正常。

灾备中心部署系统主要业务, 一旦主中心系统无法运行, 灾备中心可提供系统主要业务, 确保用户正常上网。但是业务无法受理, 统计分析、自服务等辅助业务无法使用。灾备中心主要包含radius、认证计费服务器、逻辑备份服务器和数据库服务器。

3.2总体网络架构

电信运营商的宽带认证鉴权系统一般在各省集中设置一套认证鉴权系统, 系统由主中心和灾备中心组成, 两个中心采取异地建设模式。主中心设置在省会城市, 灾备中心设置在尽可能距离适中、地震烈度不能高于主中心城市的另外一个城市, 两个中心采用负荷分担的工作模式。系统网络链路采用双向冗余, 确保其安全性和可靠性。

结构采用的是三层架构, 应用层、业务处理层、数据库层。

应用层由Radius服务器组成, 主要功能是接收各种接入服务器的消息报文, 对报文进行解析、预处理等, 然后把标准化后的报文传送给后面的认证计费业务层进行认证授权、计费等处理。

业务处理层由认证授权、计费等各种服务器组成, 包括认证授权服务器、计费服务器等。

数据库层由数据库组成, 存放各种用户资料、设备资源信息和用户清账单等。

总体网络结构如下图所示:

3.3系统容灾部署

此系统的容灾部署大体可以分为三个部分:网络容灾、应用容灾和数据容灾。

3.3.1网络容灾部署

所有服务器均双上联至内网交换机, 内网交换机双上联至负载均衡设备, 负载均衡设备上联至接入路由器, 保证内网交换机、负载均衡设备、甚至是接入路由器任何一台出现故障时, 不对业务造成任何影响。

在异地建立灾备中心, 通过光线传输和主中心组成一个局域网, 保证一个中心网络全部出现故障的情况下, 另一个中心承载全网业务。

3.3.2应用容灾部署

每个中心部署多台Radius主机, 负载均衡的同时互为热备, 即使在某主机宕机的情况下, 不影响认证计费。

系统部署校园宽带免认证、数据库免认证和认证直通模式, 分别在短信网关、数据库和认证计费主机出现故障时候启动免认证, 优先保证业务的恢复。

每个中心部署2台认证计费主机, 通过Corba总线和Radius主机互通, Radius主机自动检测, 发现一台认证计费主机故障, 自动把认证计费请求转发到另外正常的主机。

数据库安装相应软件, 实时检测Oracle实例的运行情况, 当主机Oracle实例无法响应请求, 软件自动切换实例到备机。

多项业务均部署多台主机通过负载均衡和热备, 提高系统的可靠性和安全性。

3.3.3数据容灾部署

在灾备中心建设一套数据库和存储设备, 通过磁盘阵列底层拷贝方式, 把主中心数据库信息实时拷贝到灾备中心, 数据差异不足两分钟。

主中心数据库部署RMAN物理备份, 每周日全备, 其他时间段每四个小时增量备份, 几乎可以做到数据不丢失。

灾备中心部署逻辑备份主机, 用户信息、设备信息、配置信息等关键信息, 每四个小时导出一次, 数据保存一个月。

用户清单数据, 除了在数据库中保存6个月之外, 还导出来放在灾备中心的逻辑备份中心保存6个月。

Radius的Detail原始文件, 每天通过FTP方式保存到逻辑备份主机, 保存期限6个月, 用于数据库无法恢复情况下的清单回收。

3.4系统故障应对步骤

3.4.1存储故障应对步骤

主中心的存储作为主用存储, 保存AAA系统所有用户信息、设备信息、Nas分组信息等, 灾备中心利用存储设备本身的机制, 从主中心通过光纤链路, 底层复制, 实时增量同步主中心变化的数据量。

若发生存储故障, 系统做以下应对步骤:

1系统启用应急模式, 只用内存库里面的信息保持认证正常, 以最短时间恢复业务;

2停止主备中心存储底层同步;

3启用灾备中心数据库;

4修改主备中心业务应用主机, 数据库连接改为备中心备数据库;

5恢复系统正常模式。

3.4.2数据库故障流程

认证数据库主机由两台配置一样主机组成, 两台主机以冷备模式运行, 正常情况下, 一台主机提供所有的数据库服务, 数据库主机运行状况、网络连接情况、存储访问情况、监听状态等均需要有软件监控。

数据库主机出现故障, 系统应对步骤如下:

1第一时间检测到主数据库异常;

2强制停止主机数据库主机的进程、监听程序、浮动地址, 卸载磁盘阵列;

3在备数据库启动浮动地址, 挂在磁盘阵列, 启动进程, 启动监听进程;

4对外提供服务。

3.4.3应用故障流程

对外提供服务的所有关键应用都应采用两台或者多台主机, 主机通过负载均衡设备, 对外提供一个公网地址, 始终出于热备状态。负载均衡设备接收来自客户端的请求, 根据配置的主机IP和端口, 按照源地址或者轮训的方式, 把请求转发到不同的业务应用主机上。

当某台应用主机出现故障时, 系统应对步骤如下:

1发现某台业务主机应用程序异常, 停止对应的应用进程;

2应用端口释放;

3负载均衡器实时检测主机IP和端口状态;

4负载均衡器发现出故障的主机应用端口不在线, 业务转发时不再往该主机转发;

5应用恢复正常后, 负载均衡器恢复往该主机转发客户请求。

3.4.4不可预料性故障流程

两个中心平时处于热备状态, 正常情况下互相独立运行, 各承载相应宽带用户的认证计费处理, 异常情况下互为备份, 主机配置, 每个中心可以承担全省的认证计费请求。

当有火灾、地震等不可预料的灾难发生时, 系统应对步骤如下:

1每台Bras上都按区域划分, 配置主Radius和备Radius的公网地址;

2一个中心因为不可预知的原因发生重大故障导致网络不可达的时候, Bras会优先向配置的主Radius地址发送认证计费请求, 当该中心的Radius不响应, Bras则会向所配置的备中心Radius重启发起认证计费请求;

3极端情况下, AAA系统可以启用免认证方式, 不对拨号用户做任何校验, 直接允许接入互联网;

4极端情况下, Bras设备启用免认证方式, 所有用户请求不经过AAA系统, 直接由Bras返回允许接入互联网。

4结束语

文章以电信运营商的认证计费系统为例, 部署了业务级容灾, 并详细说明各种情况下, 系统的容灾处理。对电信运营商来说, 能够保证合法用户正常的上网业务是所有业务发展的基础, 故电信运营商的宽带认证鉴权系统部署业务级冗灾是非常必要的。更深层次地研究系统部署中各业务模块的灾备处理流程以及云灾备是否可以顺利地实施等问题具有非常重要的意义。

参考文献