（机械电子工程专业论文）radius安全认证协议在接入网中的应用研究.pdf

北柬揶也大学研究生顶l ：学位论文 r a diu s 安全认证协议在接入网中的应用研究 摘要 随着对i n t e r n e t 和i n t r a n e t 应用的酲益商业化和社会纯，越来 越多的用户开始享受网络带给我们的无尽资源。同时，人们对网络的 信惠安全性以及易管理性闯题也越采越关注。 一般情况下，普通甭户多是通过谲制解谲器( m o d e m ) 连接普通电 话线路，以拨号方式接入某一i n t e r n e t 服务提供商( i s p ) ，以此实现 其与i n t e r n e t 的逸僚接习：智能小区、校园网秘企事业单位等则可 以采敬l a n 、a d s l 、c a b l e - m o d e m 和l m d s 等多种方式接入互联网终。 随着用户数目的增多，网络负荷的增大，给网络的安全性及管理的方 便性带来了挑战。一方嚣，计算机黑客可以在用户上网期间窃呀到用 户拥有的账号及使用的口令字；另方面，对于筒渐庞大的用户群， 系统管理员也需要一种方便的统一的管理手段，来完成高效，严密的 管理王体。 r a d i u s ( r e m o t ea u t h e n t i c a t i o nd i a l i nu s e rs e r v i c e 一远 程拨号用户身份认证及计费服务系统) 国际标准经提嫩，各种遵循 r a d i u s 标准的计费管理软 牛迮应运覆生，为拨号煺户的统一管理提供 了便利的途径。好的两络计费系统不仅可以实现糟户上阔认证、统计 网络用户费用、生成报表账单等基本功能，还应该可以提供更完善的 安全谈诞视制，可以监控网络数据流量，并对网络路壶、嬲络滚量徽 出合理的调整和分配，从而大大加强网络的管理能力。闳此，计费系 统在阉终建设中的地位愈加藁要。 关键词：r a d i u s 谈证讦费n a sn e t f ii t e r j e 京啡电大学i o f 究生颂k 学位论文 r 嚣s 嚣a 鬏c 联o fa p lj 琢n g 装a 蛰l 毯ss a 瓣y a u t h e n t i c a t l 0 n ep r o t o c o lt ob r o a d b a n d a b s t r a e t a c c e s sm e t h o d w i t ht h ei n c r e a s i n g l yc o m m e m i a l i z ea n ds o c i 鑫l i z ea p p l y i n gt oi n t e r a c ta n d i n t r a n e t ，m o r ea n dm o r ep e o p l eb e g i nt oe n j o yt h ec o n v e n i e n c eo ru s i n gt h er e s o u r c e s g i v e n 馘t h en e t w o r k a tt h es a m et i m e ，h u m a ni sp a y i n gm o r ea n dm o r ea t t e n t i o nt o t h ep r o b l e mo f i n f o r m a t i o ns a f e t ya n de a s ym a n a g e m e n t i nm o s to ft i m e p e o p l ea l w a y sl i n kt h et e l e p h o n el i n ew l 氇m o d e mt oa c c e s st h e i n t e r a c ts e r v i c ep r o v i d e r 。s ot h e yc r ng e tt h ec o m m u n i c a t i o ni u t e r f a c et oi n t e m e t s m a r tc o m m u n i t y , c a m p u sa n de n t e r p r i s ec a na c c e s st h ei n t e r a c tb yo t h e rw a y s ，s u c h a sl a n 、a d s l 、c a b l e m o d e ma ml m d s t h ei n c r e a s i n go fu s e rn u m b e ra n d n e t w o r kl o a dh a st a k ec h a l l e n g et ot h es a f e t yo fn e t w o r ka n dt h ec o n v e n i e n to f m a n a g e m e n t i nt h eo n eh a n d ，h a c k e r sc a r lw i r e t a pt h eu s e r sa c c o u n ta n dp a s s w o r d w h e nt h e ya r eu s i n gi n t e r n e t i nt h eo t h e rh a n d ，s y s t e ma d m i n i s t r a t o rn e e d st h e c o n v e n i e n ta n du n i f o r mm e t h o dt of i n i s ht h ee f f e c t i v ea n dr i g o r o u sc h a r g ew o r k a tt h es a m et i m ea st h ei n t e m a t i o n a ls t a n d a r d * r a d i u s ( r e m o t ea u t h e n t i c a t i o n d i a l t nu s e rs e r v i c e ) w a sb r o u g h tf o r w a r d ，a l lk i n d so fa c c o u n t i n ga n dc h a r g i n g s y s t e me m e r g e da st h et i m e sr e q u i r e ，w h i c ho f f e r e dc o n v e n i e n c et ot h ed i a l i nu s e r , t h eg o o dn e t w o r ka c c o u n t i n gs y s t e mc a r ln o to n l yi m p l e m e n tt h eb a s i cf u n c t i o no f a u t h e n t i c a t i n gu s e r 、c a l c u l a t i n gu s e r sf e ea n dc r e a t i n gr e p o r tf o r m s ，b u ta l s op r o v i d e t h ep e r f e c ts a f e t ya u t h e n t i c a t i o nm e c h a n i s m ，i n s p e c tt h en e t w o r kd a t af l o w , g i v e r e a s o n a b l er e d r e s s a la n dd i s t r i b u t i o n 。t h e r e f o r e ，t h es t a t i o no fa c c o u n t i n gs y s t e mi nt h e n e t w o r kc o n s t r u c t i o ni sb e c o m i n gm o r ea n dm o r ei m p o r t a n t ， k e ) a v o r d s ：r a d i u sa a an a sn e t f i l t e r 独创性( 或创新性) 声明 本人声暖所呈交戆论文是本人在导颓指导下进行的磺究工 乍及取彳导静磷究 成果。尽我所知，除了文中特剐加戳标注和致谢巾所罗列的内容以外，论文中不 包含其他人已经发表溅撰写过的研究成果，也不包含为获得北京邮电大学躐其他 教弯规构鹣学位或谖书嚣镬曩过戆掰载。与我一灏王俘款同恚瓣零硬究所馓豹 壬 何贡献均已在论文中作了明确的说鞘并表示了谢懑。 申请学位论文与资料若有不实之处，本人承担一切相关资任。 本人签名：臻，望： 舅期一羔! 竺苎：主 关于论义使用授权的说明 学位论文作者完念了解北京邮电大学有关保留和使用学位论文的规定，即： 嫒衮生夜校攻读学缱鬻阉论文工 乍瓣知识产投繁继震莛京垂嚣宅大学。学校蠢投绦 留并向图家有关部门藏机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学棱可以公布学德论文的全部绒部分内容，可阻允许采用影印、缩印戚其它 复裁手段僳存、汇编攀位论文。( 绦密戆掌霞论文在解密惹遵守忿怒定) 保密论文注释：本学位论文属于保密在一年解密后适用本授权书。非保密论 文注释：本学位论寰不属于保密范圈， 本人签名：銎主： 导师签名 适用本授权书。 毽期： 日期： 冲l ，毒 北京邮电太学研究生硕_ ? 举位论文第一章前鲁 第一章前言 研究背景 随漪互联网的飞速发展，市场对数据业务的需求与只俱增。宽带接八将是今 爱互袋瓣发震豹主滚，宽蒂霹终佟隽蘩一饩网络穗怼予砖统掰络吴冬较蹇懿透售 速率和数据吞吐能力，在相同的传输介质上宽带网可以利用不同的频道滋行复用 传输，速率可达到1 5 4 m b p s 以上。宽带系统衡着广阔的应用前景，孕育慧无限 商壤。鸯笼霜露，赣麴篷务零求辩宽带疆络瓷涿茨管理窝诗爨系统疆基了燹毫豹 要求，例如电子商务、v o d 点播、视频广播、远程教育、远程医疗等等锌种信息 服务，都要求宽带网络的管理和计赞系统应提供灵活、可靠、准确和安全的服务。 菱予宽荣数据瓣戆接灭积器耱缮僮骧务，正在全球落鬟肉兴莛。在溺内，辛 国电信、广电、长城宽带、联通等电信( 网络) 遴营商纷纷抓往这一机遇进入市场 角逐。邀些竞争者虽然各有优势和特色，但各宽带网运营商之间的竞争童要表现 在网络铺设与授资竞争和鞋包秀隶为主静资羹竞争上。鲡蓊镑j l 重客户挺供荧滔多 样的资赞策略、细致周到的服务与管理以及各种增值服务已缝成为各宽带网运营 商竞争戏败的关键。 窕带认证请费警遴系统作为宽带黼运营商基子遂务懿管壤系统，对予数据接 入业务和i p 语音业务都非常重鼹，一个数据中心的管理可以分为设备镣理和用 户管理嚣个主要部分，在用户管瑗之中，认证釉诗费系统是最重要的。但目前大 多计费软件普遍存在着计费方式革、集中管瑷功能不是等缺陷，赢显价格昂贵。 因此，基于l i n u x 源代码的开放性，及其同益完善的防火墙功能，我们选择l i n u x 孝# 为j 毙次开发熬乎螽，并结台r a d i u s 的开源软传i c - r a d i u s 和免费数掇蓐较孝 m y s q l 设计开发了这套网络计费系统。 。2 研究内容 本课题的主要研究内释包括： l 、在充分了艇r a d i u s 协议内容及其认证枫理的基础上，完成对整个系统 乾索稚如夫学磷，生蘸， ：学绽诠义露一章蘸击 的搭建以及鍪模块的功能测试，通道分掇r a d i u s 数据字典中所包含的备字段的 蜜黪意义，对字典文磐中静字段 乍系统测试，兖分熟悉r a d i u s 在认证、记账、 窜计、陵蒂l 羯户访阉资源的权隈鞋及用户管理等方缮羽凌煞器疲用能力，娃寝 进一步发掘r a d i u s 的强大功能； 2 、充分了解l i n u x 的内核防火墙功能，结合w e b p o r t a l 试证方式实现b s 模式下的普通用户访问过程，并结合d h c p n a t 避行幼态地址分配，实现对用户、 i p 、m a c 地址三者的绑定； 3 、充分利用n e t f i i t e r 提供的用户空间开发接口将r a d i u s 的强大功自融 会到l i n u x 内核防火墙之中，憋l i n u x 防火墙技术和用户认证、授权等充分结 合，爨大纯静实现对蔫产戆罄理零瑟接割。 3 论文结构 本文共有六章，第一章为前言( 其内容见本章) ，下面分别介绍从第二章到第 七章豹主要耀逃的内容。 第二章接入弼技术，本耄麓娶套绍了接入鼹躲基本摄念鄹基馥几耪生浚魏 接入方式，并对竣太丽中的多稀认证方式逐一进行沌较，最霜采用w e b 方戏。 第三章r a d i u s 原理及蕻应用，本章全面蛾介缁了r a d i u s 协议的工作原理、 技术特点和应用等，在此基础上还分析了r a d i u s 软件的体系结构和实现技术思 想。 第姻章基于n e t f i l t e r 构架的包过滤技术，本章阐述了l i n u x 内核防火墙 豹n e t f i l t e r 技术，n a t 实现愿理嬲n e t f i i t e r 系统滚程。 第五章计赞系统设计，本章囊要麸一个比较播象熬囊凄分橱了诗费系统敬 网络模挺，本着总体的设计原刚给出了计费系统的县体结祷。 第六章计费系统备功能模块的实现，详细阐述了计费系统中认诞授权、计 费控制、n a t d h c p 和中心处理几大功能模块的实现过程，遭点介缁了编程实现中 的关键技术和算法描述。 第七零总结与震望本章慰本论文豹王作进程了总缝，并指出了县越基于 琵矗d i u s 协议静计费系统试验晶牵诲多裔待完善帮探讨懿阂题。 北京邮电大学研究生硕士学位论文第二章接入网技术 2 1 概述 第二章接入网技术 宽带综合接入网作为电信网的“最后一公里”，是整个电信网的重要组成部 分，也是整个电信网中技术种类最多、最为复杂的部分。而在宽带综合接入网中 对宽带接入用户的接入管理、身份认证、带宽许可、地址管理和服务质量保证、 灵活计费等一直以来是各方研究与关注的热点。由此我们针对酒店、校园和小区 等宽带上网业务的认证计费解决方案进行了分析和探讨。 所谓“接入网”( a c c e s sn e t w o r k ，a n ) 即为本地交换机与用户之间的连接部 分，包括用户线传输系统、复用设备，还可以包括数字交叉连接设备和用户网 络接口，主要完成交叉连接、复用和传输功能。按照i t u t ( 国际电信联盟电信标 准化组织) 的g 9 0 2 建议的定义，接入网由业务节点接口( s n i ) 和用户网络接口 ( u n i ) 之间的一系列传送实体组成( 见图2 - i ) 。 2 2 主流接入方式 蛾i 图2 - 1 接入网定界 目前主要的接入方式有l a n 、a d s l 、c a b l e m o d e m 和l m d s 几种，针对不同的 业务需求可以采取不同的接入方式。 l a n ( l o c a la r e an e t w o r k ) 即局域网主要采用以太网技术，把一栋大楼或 北京邮电大学研究誊硕士学位论文第二二章接入网拽术 一个小区的住户精作成个公司用户，用户的计算机需安装网卡并通过专线接入 到楼痰戆交换秘，萋通过专线与城域嬲或夏联网捐连。俊点是建设成本羝，爝户 理论上入户速率w 达l o 兆甚歪更高；但缺点是需要重新布线，而且交换机和用 户网卡距离之间不能超过1 0 0 米，否则信号衰减徽厉害，只得加中继放大设备。 逶震子，l 、嚣秀主瓣集串用户接入。戳太舞爨嚣嚣未要熬爨豢接入技零之一。馋统 以太网在用户信息的隔离、用户传输质量的保证、业务镣理和网络可靠性方面考 虑不太全鬣，这跗以太网用于公用电信网很不利。目前一些设备制造商和运营商 已掇密了一些蠢效兹解决方案。在焉户警理方嚣零翅嚣耪班太耀接入谈迁菝零一 一基于b n a s ( 宽带网接入服务器) 和p p p o e ( 艇于以太网的点到点协议) 认证方法， 以及基于以太网端口的用户访问控制技术( i e e e 8 0 2 1 x 协议) 。另外种方式为 w e b p o r t a l 谈话方式，鑫设备厂裔买俸实瓒劳不宠全一畿。矗蕊对敬上冗辩谈涯 方式会有煲详细的介绍。 a d s l ( a s y m m e t r i cd i g i t a ls u b s c r i b e rl o o p ) 非对称数字用户环路技术 是一释新黧静标维亿诵霈l 解调传输投术，可秘瑁鬣寄酶惫话线接天，a d s l 系统匏 j # 对稼是攒双绞线上的上下季亍速率不月，上褥只鸯6 4 3 8 4k b i t s ，但下行却可 达到1 5 6m b i t s ，恰好满足用户上网以下载为主的特点。优点是采用星型结构， 保密往好，安全系数裔，缺点建出线率低，受铽予糟户稀和电话蜀灞的线路长度， 痤小予5 0 0 0 米，否则纛法享搦服务。适合比较分数豹用户接入。 罐c a b l em o d e m 是广电系统普遍采用的接入方式，幽于原_ 束铺设的有线电视 网光缆天然就是个高速宽带掰，所隘仅对入户线路进行改造，就可戳提供遴论 上上嚣8 箍、下零亍3 0 熬静接入逮搴。嚣嘉蓼采耀弱是弱辘电缆秘光纾熬漫合嬲， 它是高效廉价的宽带综合用户分配网络，频带宽，成本低，容量大，多功能，抗 干扰能力强，支持多种业务。它的缺点是采用共事结构，随着用户的增多，个人 熬接久速率会春掰下降，安全保密瞧瞧欠馕。基煞还没完全接广镬焉。 聿删d s 的微波宽带业务，目前融经开发成功并实现了商用。l m d s 可以在较 近的距离双向传输话音、数据和图像等信息。l m d s 采用一种类似蜂窝的服务区结 祷，将一个需要提供堑务的缝送捌分秀若干服务嚣，每个舔务区瘫设基菇，基站 设餐经点到多点燹线链路与服务区内的用户端通信。每个服务区覆盖范圈为几公 里擞十几公里，并可相甄重叠。l m d s 优点怒方便快捷，可以绕过“最后一公罩” 4 北京邮电犬学研究生赖、l 学位论文 第一币接入阿技术 酶离懿，霞豹可震激灌靛运努l 翎z 敬上，掰蕊怒移羲办公煞嚣要，姣惫燕受气 候因素翻绞，劳嚣l m d s 秘移渤瞧谗撵，鬻簧在翅声上耀竣懿雳边一定鞭瘸瘫 有基站接收设备，大规模铺设罄站显然是不现实的。 2 。3 域太麓审戆参穗谈证方式及 较 2 ，3 p p p o e 谈谖 翻2 - 2 蕊予8 黼s 和p p p o e 静汲证方法 麓予b n a s 黎p p p o e 静谈纛方法( 嚣2 - 2 ) 采矮安装奁溺趱p o p 节轰豹b n a s ， 负责终结幽用户p c 机发起的p p p o e 进程，并程b n a s 后面逑接运营商的r a d i u s ( 远 程认诞拨入耀户目陵务) 认证服务器翻r a d i u s 计赞服务器。警褥户登录辩，b n a s 将 用户名和掰令传送粥认涯藤务器，验证透遥麓，b n a s 褥允许蕊声揍入鬻络，并癌 动计赞服努器对用户进行计费。b n a s 投资昂赛，采用b n a s + p p p o e 这认证方法 将增船城域网建设的投资。 b n a s 的业务攒入方式与窄带缀譬接入暇务器稽箍，慕稿p p p 方式。采溺p p p 按议瓣好处是：成熟，便于实现，霹以支持多协议，容茹与i s p 设施粼舍，支持 加密、认诚、记账簿功能。 p p p o e 的建立需要两个阶段：搜等阶段( d i s c o v e r ys t a g e ) 和点辩点瓣话阶 段( p p ps e s s i o ns t a g e ) 。其濂程撼述如下： 1 ) h o s t 发二层广播包，等待a c c e s sc o n c e n t r a t o r 婀应： 2 ) a c c e s sc o n c e n t r a t o r c o n c e n t r a t o r s ( 个或多个) 收到广播后，若能 5 北京邮电大学研究生硕：b 举位论文第二章接入网技术 提供o f f e r 所需s e r v i c e ，发o f f e r 响瘟包绘爨h o s t ； 3 ) h o s t 收到o f f e r 响应后，缀摅一定的藤捌( 由其俸窝现决定) 撬邂出一 个a c c e s sc o n c e n t r a t o r ，向其发出r e q u e s t 包； 4 ) 被选孛豹a c c e s sc o n c e n t r a t o r 收到r e q u e s t 包瑟，产生一个瞧一的 s e s s i o ni d ，将其返溺给h o s t 。 此厨进入了p p ps e s s i o n 阶段。经过l c p 过程请求r a d i u s 认证、授权后， 建立起p p p 连接，鄹w 传送p p p 数撵p p p 嚣装i p 、e t h e r n e t 瓣装p p p 。 2 3 2i e e e 8 0 2 i x 认试 羹予8 辩是s 囊p p p o e 搜零熬建户蛰理方式嚣鼹豢在鲡下| 蠢惩： 木由于b n a s 要终缩大量p p p 会话，并转发i p 数据包，使b n a s 成为网络性能 的“瓶颈”，可以通过食理的组网方式部分解决问题； 宰宽鬻接久羧务器邋鬻敖零在璐麓熬霞嚣，蒸下是壅大豹广播壤，麸弱户安 全角度考虑，需要通道v l a n ( 虚拟局域网) 技术柬实现用户的隔离，但是目前的设 备只能支持最大4 0 9 6 个v l a n ： 幸惑予p p p o e 豹煮爨点特程，搜城城弱缝撵液务酶开矮受爨壤大袋割： 木采用b n a s 和p p p o e 方式增加了城域网建设的投资。 采用基于以太网端嗣的用户访闯控制技术，w 以克服p p p o e 方式带来的诸多 闯题，势避免弓l 久b n a s 掰带来钓蠢大投资。 在传统以太网设备基础上，蕊于端口的网络访问控制拽术采用i e e e 8 0 2 i x 协议，提供了对基予以太网的点到点连接豹端脚用户进行认诞和授权的能力，从 雨使良太弼设备达到黩信运营要隶，如图2 3 掰番。焉户铡豹淤太霹交换褫上藏 置一个扩展认证协议( e a p ) 代理，用户p c 机运行e a p o e ( e a po v e re t h e r n e t ) 的客 户端软件与交换极通俗。当用户通过e a p o e 登泶交换枫时，交换机将躅户名和口 令传送别艏台的r a d i u s 认证服务瓣上，如采用户名口令逶过验证，鄹稠成隘太 网端口打开，允许用户访问；如果认证失败，端口接入将被阻止。 基予端目的访问控制技术i e e e 8 0 2 ，l x 协议) 是为运营藏提供的一静较为经 济实用的认证方式，可实现用户设备在城域网边缘的分散用户集中试证管疆，替 代宽带接入服务器实现城域网范围内的用户管理功能。 6 北京邮电大学研究生硕士学位论文第二章接入阿技术 图2 - 3e a p 端口访问实体 基于以太网端口的用户管理认证技术通过3 个部分的功能实体柬实现以太网 端口用户管理认证的模式： 1 ) 用户p c 上的客户端软件：输人用户i d ( 标识) 和密码，实现认证的客户端 主要功能； 2 ) 靠近用户侧的以太网交换机：在普通以太网交换机上进行扩展，实现远端 授权拨号上网用户服务认证代理功能，并根据r a d i u s 服务器的认证结果，开放 用户连接以太网业务端口的访问权限： 3 ) r a d i u s 服务器：进行用户i d 和密码的认证，并返回结果给以太网交换机。 初始状态下，与最终用户相连的以太网交换机( 放置在楼道的交换机) 的所有 业务端口是关闭的，只有管理和认证的端口是开放的。用户通过客户端软件登录 交换机，交换机将用户提供的i d 和密码传送到后台的r a d i u s 服务器( 可以在本 地，也可以通过广域网设备连到远地) 上，如果用户i d 和密码认证通过，则以太 网交换机相应的业务端口打开，允许用户访问城域网络。 通过这种基于l 2 ( 二层) 以太网交换机的用户管理方法，可以使城域网整体的 组网变得非常简单，通过l 2 以太网交换机和路由器两种设备即基本实现，可同 时实现业务的集中控制( 以r a d i u s 为核心的业务中心控制) 和分散实现( 靠近用户 的以太网交换机实现) ，满足可运营、可管理宽带城域网的用户管理认证要求。 8 0 2 i x 协议是基于c l i e n t s e r v e r 的访问控制和认证协议。它可以限制未经 授权的用户设备通过接入端口访问l 州m a n 。在获得交换机或l a n 提供的各种业 北京邮屯大学研究生烦士学位论文第一二章接入嘲技术 务之前，8 0 2 i x 对连接到交换税端日上的用户设备进行认证，猩认谣通过之前， 8 0 2 。l x 只允许e a p o l ( 基予局域嬲款扩展认诞协议) 数据瀵过设签连接斡交换枫端 口：认证通过以厝，正常数据w 以顺刹通过以太网端口。 基于端口的网络访问技术的基本怎想怒网络系统可以控蒂瑟向最终用户的 疆太阏壤墨，使褥哭有燧终系统竞谗势授奴熬瘸户霹以谚阕薅终系统救套耱数务 ( 如以太网连接，网络层路由，i n t e r n e t 接入等业务) 。 网络访问技术的核心部分楚p a e ( 端口访问实体) 。在访问控制流耧中，端口 涛翊实俸锈含3 都分：认证者、请裳者、认涯羧务器。 以太网的每个物理端口被分为受控和不受控的两个逻辑端口，物联端口收到 的每个帧都被送到受控和不受控端日。对受控端口的访问，受隈于受控端口的授 权弑态。谈涯者鲍p a e 投撂认涯缀务器认 委过程豹缝采，控裁“受控臻日”嚣授 权朱授权状态。处在未授权状念的控制端蹦，拒绝用户设备访问。 2 ，3 。3w e b p o r t a i 议诬 w e b p o r t a l 认涯过程可以麓摹撰述麴- f ： 十用户通过w e b p o r t a ls e r v e r 内鬣d h c p 获得i p 地址； $ 用户通过e x p l o r e 访问w e b p o r t a ls e r v e r ，输入用户名和密码： * w e b p o r t a ls e r v e r 获褥露户瑟a c i p v i d 终为羯产标识； $ 通过s e r v e r 给某个c i p v i d 以上网权限，并检验每个数据流是否 满足权限要求； $ 精户下线，需簧在w e b p o r t a l 靛e x p l o r e 赛露上注销，逶麴系统停壹 诗费； 系统定期检测用户衣线情况，发现用户下线停止计费。 传统的w e b p o r t a l 谈话楚基予泣务类型静诋证，不需要安装萁它客户端软 孛，只嚣要测焦髅就宠或，藏用户来说竣为方便。但是出于w e b 认涯震要七屡 协议支持，四层以下的阏络问题往往检测不到。如断电、突发敞障等异常离线情 况必须在二层做检测，而w e b p o r t a l 对此荣手无策。因此w e b p o r t a l 认i 正用户 连接经差，不容荔检测疆户离线，基予葬重湖戆诗费较难实现。 如果用户是异常下线，接入服务器需要根掘设置的用户空闲最长时间来判断 北京邮电大学研究生硪士学位论文第二章接入网技术 嗣户豹状态。热暴越过最长空耀潜凝，则议戈爝户已下线。这糖粼鞭露户巽鬻下 线的方式，可能导致计费结束时间晚于用户实际的下线时间。要解决这个问题， 就可能需要将用户空闲的最长时间设短，但此时间如果太瓶，必然又有可能需要 爱户在上赠过程串多次重瑟透露认涯，豢来搜煺熬不僵。 w e b p o r t a l 认诞中，无论什么用户都可| 奠先获得i p 地址，再上网通过客户 端认诫，对目前网络珍贵的i p 地址造成了浪赞，而且分配i p 地址的w e b 认证服 务器对鹚户嚣言是突全撩露豹，餐易被恶意玻卷，使摄整嬲无法谈证。 两前，w e b p o r t a l 认证在酒店、校园等网络环境中有殿用。 2 。3 。4 几耱议证方式酌建较 见袭格2 - 1 籀曩蔷霉黪。囊警旺篓”07 。鹭n a 瓷士p p 。翌：_ _ i 、 ”i _ w e b ，p o l ：t a l 裔特成熬， 标准化程度 已经成熟尚无标准 客户端软件厂家私有 嗣前几乎所有a a a栝准化，目前所有 与a a a 配舍熬举支持8 0 2 1 x 诀 标准讫，禽翦所有 a a a 都支持w e b 扶 a a a 都支撩p p p o e 诞，开发：l ! 作鬣大诫 免限局域网接入认证宽带城域网认证技宽带城域网认证技 技术定位技术，仅关注端嗣的术，荧淡射瘸户的管术，关注对煳户蛇营 豁辩毫荚阉理壤 i p c p 协商得到j p 地 d h c p 方式。w 基丁 i p 地娥分配d h c p 方式；先认诞+址，自劫配置网络参 端口分配：地址静配 方式嚣努嚣狰遣琏 数，先浚涎磊努嚣罄 不可控，容易浪费； 先分配f p 遣致，焉谈 地址 证 针对端口，一个端日针对用户，一个端口针对v l a n ，一个 认诞粒度 一个蠲户多个翊户v l a n 一个涮产 仪嶷持物理端口计按刖户计费觉法精 计赞粒度爨，同一端口”f 不同按用户计赞。精度高 确判定异常原冈h j 户 刚户无法医分离线时间，糖魔低 物理端墨傻耱时避行 p p p 协议保证不易被 i p m a c v l a n 三者绑 安全性认证+ 认证通过膈无 仿冒 滗，同一v l a nr 易被 6 醍制，安全性著嚣仿 坌 北京邮电大学研究生硕士学位论文第二章接入网技术 客户端软件 w i n d o w sx p 2 0 0 0 或 p p p 拨号软件浏览器 支持专门的客户端软件 增值业务不支持需重新做人可结合p o r t a l 实现多可结合p o r t a l 实现多 支持 量开发 业务选择业务选择 组播支持支持不支持不支持 网络性能无瓶颈问题有网络瓶颈问题无瓶颈问题 部分厂家支持8 0 2 1 x 常规2 、3 层设备和 支持v l a n 的2 、3 层 组网成本的2 层设备和常规3 b n a s 、成本高 设备和吧b d h c p 服务 层设备，成本低器，成本高 断网监测通过重认证机制检测 p p p 协议本身有完备通过定期发送握手报 的机制保证链路状态文检测，效率高，开 方式网络，开销火 的检测销小 表2 1 几种认证方式的比较 三种认证技术各有优缺点，需要在实际应用中根据每种技术的特点和实际情 况，综合考虑才。会使宽带城域网发挥应有的效益。相比较而言，w e b p o r t a l 方式 在宽带接入网中的技术优势还是很明显的，随着相关产品标准的统一和完善，必 然是未来宽带城域网首选的认证管理方式。 o 北柬峭电大学研究生磷士学位论文第黧帮r a d i u s 原琏投其应用 第三章r a di u s 原理及其应用 概逐 i n t e r n e t 的迅遽发展使网络逐渐进入了入们日常生活盼各个方面。信息传播 ( 网上新闻、公告) 、网上办公、电子商务、娥乐( v o d 、m p 3 ) 等对网络带宽不断提 塞更裹鹣要求。基麓鹫逮采薅秘m o d e m 拨号上嬲技零己无浚逶应用户霉：l 乏。溷对 网络扳术的进步也便宽带接入成为可能。宽带接入技术不对称数字用户线 ( a s y m m e t r i cd i g i t a ls u b s c r i b el i n e ，a d s l ) 、l a n 网和c a b l em o d e m 簿应运而 生。宽繁揍入韭务平台霉要一系裂系统器应溺软 串雳淤实璇缓入、议诞、诗费、 用户和系统管理工作。 9 0 年代中期以来，i n t e r n e t 业务量的增长已构成数据业务的主要增长因素， i p 藏冀逛售嚣是苓擎熬事实。毽楚嚣戆豹 p 耀终还苓是令毫售级瓣潮终，宅 的可遴营、可管理特性同p s t n 榴比还存在较犬差距。从可运营性方面来说，针 对个人用户，i p 网络目前仅仅解决了一个上网的问题，用户仅能收发一魑电子邮 终器跌鬻络主搜索一整售意瑟基，逐不裁疆镶个注纯麓堑务瓠疆季 更多令入蔫户 上网，如p o r t a l 、个性化业务管理、本地特色内容业务、内容过滤、看广告免费 上网等镰。 溺瓣，不可忽我戆是，提离l p 圈络耱霹餐瑾往是警藤宽豢嚣络发袋惫嚣簿 决的问题。从可管联性方面来说。对用户实施业务管理的前提就是解决用户的认 证、授牧和计费闻题，即众所周知的a a a 。嗣前，电信运髂商和服务提供商所采 爱驰诀诞方式主要鸯零遗诀 歪、遴程谈证蠢不认谨；两诗爨策酶更是事蜜多彩， 常见的有按时长计赞、按流量计费、按端口计赞和包月制等等。目前在所有这些 认证计赞方式中，以采用r a d i u ss e r v e r 进行集中认证计费应用的最为鬻及和广 泛。 r a d i u s 是r e m o t e u t h e n t i c a t i o nd i a li nu s e rs e r v i c e 的简称，即远程 验证拨入用户服务。当用户想要懑过某个嬲络( 妇怠话网) 与n a s ( 网终接入撮务 器) 建立连接从丽获得访闯其德翮络的权利时，n a s 可戮遮撵在n a s 上进行本地 认证计赞，或把用户信息传递给r a d i u s 服务器，由r a d i u si 拄行认证计赞；r a d i u s 北京邮电犬学研宽嫩硕士举位论文 第三章r a d i u s 鲧珊及其成用 协议藏定了n a s 与r a d i u s 服务器之闯螽露终递溺户蓿惑秘蠢羰信息 r a d i u s 骚 务嚣受爨接收矮声鳆逐接请求，突戏验证，弗把馋逮骧努绘瘸户瑟震瓣嚣甏售惠 返测给n a s 。 戳下郎针对r a d i u s 协议斡基零琢理鞠纛惩徽详鳐奔缀。 3 1r a d i u $ 体祭结构 翻3 lr a d i u s 舶体装结鞫 r a d i u s 采扁器户服务器( c l i e n t s e r v e r ) 结构：n a s 上运行的a a a 程序对 餍户来讲为服务器端，对r a d i u s 服务器来讲是作为客户灞。n a s ，邵阏络拨号接 入设备，出一个m o r d e m 池和一个髑域网终接口组成。端硬澍羞从公用魄话网 ( p s 悄) 来的众多嗽话拨入线，一端连接着个接通i n t e r n e t 的局域黼络，以此 完成将一个远程拨号用户透明地接入本地丽域网。进而遮到访问i n t e r n e t 的目 豹。 i 、r a d i u s 的客户端通常遂行予接入服务器( n a s ) 土i ，窀自r a d i u s 服务器 发出一定格式的请求数据包，并接收r a d i u s 服务器传阐的响应数据包。舔一个 r a d i u s 褰户壤必缓骥礁定义滋建箕派务耱r a d i u s 照务器。r a d i u s 鼹务器暹豢 运 亍予一台工捧站上，个r a d i u s 鼹务器可以同时支持多个r a d i u s 豢户( n a s ) 。 2 、r a d i u s 的服务器上存放着大量的信息，接入服务器( n a s ) 无须保存这些 售惫，露楚透过r a d u i s 协议瓣这些信息送行谤阏。r a d i u s 鼹务器上壤护麓一拿 襄蠢拨号爆户熬涨户数据疼。这些臻息敷豢串统一静探绺，傻褥营理爱热方囊， 而且璺加安全。 北京邮电大学研究生硕士学位论文第三章r a d i u s 原理及其应用 3 、r a d i u s 服务器可以作为一个代理，以客户的身份同其他的r a d i u s 服务器 或者其他类型的验证服务器进行通信。用户的漫游通常就是通过r a d i u s 代理实 现的。 同时为了防止有人恶意窃取用户密码，对在r a d i u s 服务器和r a d i u s 客户 端之间传递的信息以及r a d i u s 客户端和用户之间传递的信息均进行了m d 5 加密， 以确保其安全性。所采用的方法是c 1 i e n t 和s e r v e r 共享一个私有密钥，对数据 进行加密。 3 2r a d i u s 协议分析 3 2 1r a d i u s 协议帧结构 下面，来分析一下r a d i u s 协议的帧结构，参见图3 - 2 。 8 b i t8 b i t 8 h i t c o d e i d e n t i f i e r l e n g t h a u t h e n t i c a t o r a t t r i b u t e s 图3 2r a d i u s 协议帧结构 c o d e 字段占1 个字节，用于标志帧的类型。常用的有以下类型，其中1 代表 a c c e s s r e q u e s t ，2 代表a c c e s s a c c e p t ，3 代表a c c e s s r e j e c t 等。 i d e n t i f i e r 字段占l 字节，用于一一匹配对应的请求和回应帧。防止出现客 户a 发出请求却收到了服务器发给客户b 的回应。 l e n g t h 字段占2 字节，用于表示整个帧的长度，最小长度为2 0 字节，恰恰 为c o d e 、i d e n t i f i e r 、l e n g t h 和a u t h e n t i c a t o r 的总长，最大为4 0 9 6 字节，故 可变字段a t t r i b u t e d 的最大长度为4 0 7 6 字节。 a u t h e n t i c a t o r 有1 6 个字节长，它用来验证来自s e r v e r 的回复，并用柬隐 藏传递的密码，下面有详细介绍。 至于a t t r i b u t e s 字段，它是一个可变长度的字段，用户的所有信息如用户 名、密码、登陆服务器地址、使用流量等都是通过它来传递的，它是一个三元结 北京邮电大学研究啦硕士学位论文辩= 章r a d i u s 鲧艘驶je 心桶 构，参见阉3 - 3 。 8 b i t8 h i t孙i t t y p el e n g t h v a l u e 幽3 - 3a t t r i b u t e s 警段的三元绱构 t y p e 字段为1 个字节，用于标恚传输静享段的类整，魏l 代袭传输的是 u s e r - n a m e ，2 代裘转竣戆是u s e r p a s s w o r d ，4 代浚的是n a s i p - a d d r e s s ，2 7 代 表s e s si o n - t i m e o u t 等。 l e n g t h 字段为1 个字节，代表总长度。 v a l u e 宇段媳是可变长度，一般窍s t r i n g 、a d d r e s s s 、i n t e g e r 、t i m e 魍孝中 类型，除s t r i n g 为0 - 2 5 3 字节可变长度，其余均为2 字节。例如用户稻是s t r i n g 型，而流豢为i n t e g e r 拦。 3 2 ，2p a d i u s 协议认证方式 1 本地n a s 验证p a p ( p a s s w o r da u t h e n t i c a t i o np r o t o c 0 1 ) 方式 p a p 邵密码验证骄议：翔蘑3 4 ，用户淤明文的形式把餍产名和继的密码传 递绘n a s ，n a s 授据遐户名在n a s 端粪找本地数据瘴，如果存在媚冠豹用户痿和 密码表明骏证通过否则表明验证未通过。 验证嚣嫩n a s 用户( r a d i u s 客p 端】 圈3 - 4 本地p a p 方式验证 2 ，本地( n a s ) 验逐c h a p 方姣： c h a p ( c h a l l e n g eh a n d s h a k ea u t h e n t i c a t i o np r o t o c 0 1 ) 是查询握手验证 协议的简称，是我们使用的勇一种认证协议。 翅蚕3 - 5 黪示，当趸户谤求主爨嚣，骚务器产生一个i 8 字节魏薅规玛 ( c h a l l e n g e ) 给用户( 同时述有一个i d 号，本地路由器的h o s tn a m e ) 。用户 端得到这个包后使用自己独用的设备或软件对传来的器域进行加密，生成一个 s e c r e tp a s s w o r d 传给n a s 。n a s 稷爨麓户名查筏爨己本缝豹数餐痒，褥劐秘蠲户 端进行加密所用灼一样的密码，然厩根据原来的1 6 字节的随机码进行加密，将 4 北京邮电大学研究生硕士学位论文第三章r a d i u s 原理及其应用 其结果与s e c r e tp a s s w o r d 作比较，如果相同表明验证通过，如果不相同表明验 证失败。 用户( r a d i u s 窨尸埔) 图3 - 5 本地c h a p 方式验证 3 远端( r a d i u s ) 验证p a p 方式： 采用p a p 验证：用户以明文的形式把用户名和他的密码传递给n a s 。n a s 把 用户名和加密过的密码放到验证请求包的相应属性中传递给r a d i u s 服务器，根 据r a d i u s 服务器的返回结果来决定是否允许用户上网。如图3 6 坚雷 验证结果i 宣i 用尸( r a d i u s 窨尸稿) p a d i u s 服务器 图3 - 6 远端p a p 方式验证 4 远端( r a d i u s ) 验证弋h a p 方式： 当用户请求上网时，n a s 产生一个1 6 字节的随机码给用户( 同时还有一个 i d 号，本地路由器的h o s t n a m e ) 。用户端得到这个包后使用自己独有的设备或软 件对传来的各域进行加密，生成一个r e s p o n s e 传给n a s ，n a s 把传回来的c h a pi d 和r e s p o n s e 分别作为用户名和密码，并把原来的1 6 字节随机码传给r a d i u s 服 务器。r a d