公务员期刊网 论文中心 正文

宽带用户认证系统的建构

宽带用户认证系统的建构

系统功能模块

1全业务接口

全业务接口包括:业务受理接口、业务查询接口、数据同步接口、FTP文件上传接口。全业务接口架构如图2所示。业务受理/查询接口为“第三方系统”主动发出请求的通信过程,可根据接口双方约定,提供Socket、http、webservice等方式的接口数据请求支持。接口业务内容包括:新户注册、资料变更、账号开通、账号报停、账号复通、套餐变更、账号销户、预约报停、预约套餐、费用预缴、余额重置、欠费销账、欠费坏账、强制离线等。数据同步接口支持socket方式主动通知“第三方系统”;“第三方系统”的SocketServer收到通知后,再通过其Client端发出业务查询接口请求,取回需同步数据。接口内容包括:套餐列表、区域列表、带宽列表、资费列表、系统停机账号等。FTP文件上传接口支持FTP方式,将结算账单、账号上网详单、接口双方约定的其它数据定期上传到“第三方系统”的FTP服务器;定时将生成的上网计费账单(登录记录)格式化成文本文件,上传到“第三方”提供的ftp服务器,供“第三方”接口模块读取。统一身份认证接口实现单点登陆、多点认证,统一身份账号数据源;认证过程可实现系统间账号资源自动同步,减少人工操作环节;支持多种接口方式,灵活满足运营商不同发展阶段的需要。实时在线用户信息接口实现实时在线用户信息查询;手动强制在线用户离线;查看用户的使用记录;统计在线人数、TCP连接、UDP连接曲线、流量曲线等。

2RADIUS认证

RADIUSSERVER是宽带用户认证系统的核心组件,提供集中的用户验证和接入策略管理,使运营商能够控制用户对其网络的接入和使用,防止非法用户接入,在用户连接网络前确保他们遵从安全策略,为每位用户分配适当的接入级别,为计费/跟踪系统提供记账记录。支持各式802.1X安全认证协议,支持标准RADIUS协议,符合RFC2865、RFC2866、RFC3576协议,完整支持DHCP认证、IPoE认证、PP-PoE认证流程;针对BRAS(BroadbandRemoteAccessServer,宽带接入服务器)等接入设备断电或故障重启情况,提供在线用户防挂起设计;检测BRAS等接入设备重启后清空在线用户,防止用户认证失效。

3用户管理

用户管理支持灵活多样的业务处理方式:实时业务办理、预约业务受理、批量业务处理等。业务类型完善,包括:开户、开通、收费、报停、复通、变更套餐、修改资料、销户等。支持丰富的调账功能、完善的单条件及组合条件查询统计等。可追溯详细的业务受理日志、缴费记录、结算记录、上下网详单等。支持个人用户与专线用户管理,支持灵活的个人带宽管理,可支持对MAC、IP、VLAN、登录数等网络属性的绑定,也可根据网络接入参数实现后台自动绑定。

4用户自助服务

自助服务系统支持丰富的自助查询与自助业务办理功能,自助系统开放的功能可以在后台管理界面上由系统管理员统一配置,比如允许开放的自助查询业务、自助变更套餐、停/开机等。此外,还可以灵活配置允许自助维护用户资料的选项,比如哪些用户资料允许变更、哪些允许一次性变更等。

5统计分析报表

系统提供的查询报表功能丰富,分别基于用户、账务、操作人员、套餐组、运营、详单等作为侧重点,为系统的各部门人员提供其所关注的报表数据。支持丰富的单条件、多条件组合、复杂条件嵌套作为生成报表数据的筛选范围。

6系统权限管理

宽带用户认证系统支持完善的角色权限管理。角色信息可以配置工号、姓名、别名,可以分别用其中之一登录系统。可以配置系统使用者是否能多点登录系统及源地址范围绑定等。

系统方案实施

1系统组成和运行环境

宽带用户认证系统的关键业务系统包括:(1)ORACLE(10g)数据库服务器,用于存储系统所有业务数据和配置参数;(2)守护进程服务器,用于数据库服务器与BRAS进行数据交换与数据更新;(3)用户自服务(WEB)服务器,供用户在线查询或自服务的服务器系统;(4)访问记录服务器,用于记录用户上网访问记录的服务器。系统部署如图3所示。

2系统高可用设计

认证系统作为整个运营系统的数据及营帐中心,部署在核心机房的服务器区域。考虑到整体系统的高可用性,将Oracle数据库及守护进程服务器(负责同步RADIUS服务器与数据库信息)部署为双机热备模式。在系统中,RADIUSSERVER与后台数据库的数据同步与更新,是通过守护进程服务器实现的。RADIUSSERVER设备本身配有大容量的FLASHROM,RADIUSSERVER本身能保存用户话单和用户资料,在与后台(守护进程服务器)中断后,RADIUSSERVER仍能对中断前已开通的用户提供完整的接入、认证、计费和控制功能;中断过程中,对于正在正常使用的用户不产生任何影响。

3数据库服务器与数据存储的高可用性

采用数据库服务器双机热备+磁盘阵列的方案,实现数据库和数据库服务器的高可用性。

4宽带用户认证系统技术方案

方案实施网络拓扑图如图4所示。(1)RADIUS-1、RADIUS-2、数据库服务器、用户自服务服务器由城市热点提供。RADIUS-1、RADIUS-2两台服务器作为RADIUSSERVER,用户自服务服务器和终端用户之间需要路由可达。这部分需要三个公网IP地址:radius-1配置IP-W1,radius-2配置IP-W2,用户自服务服务器配置IP-W3。(2)管理部分只需保证RADIUS-1、RADIUS-2、数据库服务器、用户自服务服务器及管理终端相互连通。为节省公网地址资源和安全性考虑,采用私网IP地址:RADIUS-1配置IP-L3,RADIUS-2配置IP-L4,数据库服务器配置IP-L1,用户自服务服务器配置IP-L2。(3)数据库服务器采用centos5.6操作系统,安装ORACLE(10g)forlinux。(4)管理终端通过B/S界面进行用户管理、查询、统计。B/S结构(Browser/Server,浏览器/服务器模式),是WEB兴起后的一种网络结构模式,WEB浏览器是客户端最主要的应用软件。这种模式统一了客户端,将系统功能实现的核心部分集中到服务器上,简化了系统的开发、维护和使用。(5)RADIUS与BRAS通讯通过千兆光口。与数据库服务器通讯端口采用千兆电口。数据库服务器、用户自服务服务器所有通讯端口皆为千兆电口。安全配置及附属设备说明如下。(1)RADIUS-1、RADIUS-2、数据库服务器、用户自服务服务器及管理终端通过千兆电换机相互连接。(2)管理终端需访问数据库服务器IP-L1所在端口的80端口和SSH端口,目前启用了Iptables。(3)管理终端需访问用户自服务服务器IP-L2所在端口的SSH端口,目前启用了Iptables。(4)管理终端需访问RADIUS-1、RADIUS-2的IP-L3、IP-L4所在端口的SSH和telnet。(5)管理网安全措施由三部分组成:服务器启用IPtables,B/S操作页面登陆需要账号密码,可以控制登录B/S操作页面的管理终端的IP范围。(6)终端用户需访问用户自服务服务器IP-W3所在端口的80端口,目前启用了Iptables。(7)RADIUS-1、RADIUS-2的IP-L3、IP-L4只需同BRAS通信,目前启用了Iptables。(8)RADIUS-1、RADIUS-2只需同BRAS通信,在前端相关防护设备上做ACL(AccessControlList,访问控制列表)策略,禁止其他IP地址访问。

结束语

目前宽带用户认证系统平台已经构建完成并入网,实现了RADIUS认证平台功能。经过详细测试发现,认证服务器的处理能力决定着性能,认证服务器满足不少于20个认证/秒的处理能力,时延不大于5000ms。随着业务的发展,RADIUS认证平台系统由于具备灵活的扩展设计,能够根据用户量以及网络规模做相应的扩展。(本文作者:朱建斌 单位:中国移动山东公司泰安分公司)