（计算机应用技术专业论文）radius服务器在voip电话认证计费系统中的应用与实现.pdf

武汉科技大学 硕士学位论文第1 页 r a d i u s 服务器在v o i p 电话认证计费系统中的应用与实现 摘要 v o i p 技术作为一种以i p 网络为传输载体的语音和传真通信技术，以其高效的语音 传输和低廉的资费，得到越来越广泛的应用，具有广阔的应用前景。由于i p 网络的开放 性和i p 电话终端的智能性，所以认证、授权的功能在v o i p 系统中显得尤为重要。基于 r a d i u s 协议的认证计费系统是v o i p 系统的重要组成部分，它能够保证v o i p 系统提供安 全可靠的服务。同时作为商业性的运营商而言，计费功能在v o i p 中也是必不可少的功能。 利用计费功能，不仅可以计算网络用户的上网费用，还可以监控网络流量，分析网络的使 用情况及性能，从而合理调整网络的路由，合理分配网络流量，保证网络高效、稳定、可 靠地运行。 本研究课题以嵌入式实验室前期研究工作“基于h 3 2 3 协议v o i p 电话系统”为实践基 础，在此之上，分析了原有系统在认证和计费上的不足之处，提出了改进的设想一一即将 认证和计费功能从n a s 中独立出来，并采用r a d i u s 协议来实现其功能，这样做提高了 认证和授权安全性和效率，充分利用r a d i u s 提供的灵活多变的属性，来实现多样的计费 功能。 作者在此研究基础上成文。本论文研究t v o i p 技术以及计费相关的标准与协议，重 点研究了r a d i u s 协议的内容和工作机制；设计并实现了基于r a d i u s 协议的认证、计费功能。 而且在实现的过程中，针对r a d i u s 认证的安全性和计费的合理性，做了一定的改进，提高 了认证安全性，精确了计费计算。测试表明，本r a d i u s 服务器能够和客户端、网守一起协 调工作，完成v o i p 的认证和计费功能，同时本系统也有一定的灵活性，能够支持多种业 务，有比较灵活的计费策略。最后提出本系统的不足之处和有待进一步深入的设想。 关键词：v o i p ，r a d i u s ，认证与计费 第1 i 页武汉科技大学 硕士学位论文 a p p l i c a t i o na n di m p l e m e n t a t i o no fr a d i u ss e r v e ri nv o l p a u t h e n t i c a t i o na n d a c c o u n t i n gs y s t e m a b s t r a c t t h ev o i pt e e h n o l o g yt o o ko n ek i n da st r a n s m i t st h ec a r r i e rv o i c ea n dt h e f a c s i m i l ec o m m u n i c a t i o nt e c h n o l o g yt a k et h ei pn e t w o r k ，b yi t sh i g h l ye f f e c t i v e v o i c et r a n s m i s s i o na n d l o we x p e n s i v ef e e s ，g e t st h em o r ea n dm o r ew i d e s p r e a d a p p l i c a t i o n ，h a st h eg r e a ta p p l i c a t i o np r o s p e c t a sar e s u l to fi pn e t w o r ko p e n n e s s a n di pt e l e p h o n et e r m i n a li n t e l l i g e n c e ，t h e r e f o r et h ea u t h e n t i c a t i o n ，t h e a u t h o r i z a t i o nf u n c t i o na p p e a r si nt h ev o i ps y s t e me s p e c i a l l yi m p o r t a n t l y c o s t s t h es y s t e mb a s e do nt h er a d i u sp r o t o c o la u t h e n t i c a t i o n a c c o u n t i n gi st h ev o i p s y s t e mi m p o r t a n tc o n s t i t u e n t 。i tc a ng u a r a n t e et h ey o i ps y s t e m ，p r o v i d e st h es a f e r e l i a b l es e r v i c e m e a n w h i l es a y sa st h ec o m m e r c i a lo p e r a t i o nb u s i n e s s 。a c c o u n t i n g f u n c t i o ni ny o i pa l s oi st h ee s s e n t i a lm o d u l e u s i n ga c c o u n t i n gf u n c t i o n ，n o to n l y m a yc a l c u l a t et h ef e eo ft h en e t w o r ku s e rt oa c c e s st h en e t w o r k ，b u ta l s om a ym o n i t o r t h en e t w o r kc u r r e n tc a p a c i t y ，t h ea n a l y s i sn e t w o r k s e r v i c ec o n d i t i o na n dt h e p e r f o r m a n c e 。t h u st h e r e a s o n a b l e r e g u l a t i n g n e t w o r kr o u t e ，t h er a t i o n a l d i s t r i b u t i o nn e t w o r kc u r r e n tc a p a c i t y ，g u a r a n t e e dt h en e t w o r kh i g h l y e f f e c t i v e 。 i ss t a b l e ，r e l i a b l yw o r k s t h i sr e s e a r c hi sb a e s e do nt h ep r a c t i c eo f “t h ea p p l i c a t i o no fh 3 2 3p o r t o c o l i nv o i ps y s t e m ”，w h i c hh a db e e nf i n i s h e di no u rl a bb e f o r e w e a s s a yt h es h o r t c o m i n go ft h ea u t h e n t i c a t i o n a c c o u n t i n gf u n t i o ni no l d s y s t e m a n dp r o p o s e dt h ei m p r o v e m e n tt e n t a t i v ep l a n ：t a k i n ga u t h e n t i c a t e s a c c o u n t i n gf u n c t i o ni n d e p e n d e n t l yo u tf r o mn a s ，a n du s e st h er a d i u sp r o t o c o lt o r e a l i z et h ef u n c t i o n t h i se n h a n c e dt h ea u t h e n t i c a t i o na n d t h ea u t h o r i z a t i o n s e c u r i t y a n d t h ee f f i c i e n c y ，f u l l yf l e x i b l ea t t r i b u t ew h i c hp r o v i d e du s i n g r a d i u s r e a l i z e dd i v e r s e l ya c c o u n t i n gf u n c t i o n if i n i s h e dt h ep a p e rb a s e do nt h i sr e s e a r c h t h ep r e s e n tp a p e rh a ss t u d i e d t h ev o i pt e c h n o l o g ya sw e l la sa c c o u n t i n gt h ec o r r e l a t i o ns t a n d a r da n dt h ep r o t o c o l ， h a ss t u d i e dt h er a d i u sp r o t o c o lc o n t e n ta n dt h ew o r kf l o w ：d e s i g n e da n dr e a l i z e s b a s e do f tt h er a d i u sp r o t o c o la u t h e n t i c a t i o n a c c o u n t i n gf u n c t i o n m o r e o v e ri n t h er e a l i z a t i o np r o c e s s ，t h e r a t i o n a l i t yw h i c ha n da c c o u n t i n gi nv i e wo ft h er a d i u s a u t h e n t i c a t i o ns e c u r i t y ，h a sm a d e t h ec e r t a i ni m p r o v e m e n t ，e n h a n c e dt h e a u t h e n t i c a t i o ns e c u r i t y ，w a sp r e c i s et h ec o m p u t a t i o n t h et e s ti n d i c a t e dt h a t ，t h i s r a d i u ss e r v e rc a nw i t ht h ec l i e n tt e r m i a n l ，t h eg a t e k e e p e rc o o r d i n a t e st o g e t h e r w o r k s ，c o m p l e t e sv o l pt h ea u t h e n t i c a t i o na n da c c o u n t i n gf u n c t i o n ，s i m u l t a n e o u s l y t h i ss y s t e ma l s oh a st h ec e r t a i nf l e x i b i1i t y ，c a ns u p p o r tm a n yk i n d so fs e r v i c e s ， h a sq u i t en i m b l ya c c o u n t i n gs t r a t e g y f i n a l l yp r o p o s e dt h i ss y s t e md e f i c i e n c ya n d w a i t sf o r f u r t h e rt h et h o r o u g ht e n t a t i v ep l a n k e yw o r d s ：v o l p ，r a d i u sp r o t o c o l ，a u t h e n t i c a t i o na n da c c o u n t i n g 武汉科技大学硕士学位论文第1 页 第1 章绪论 1 1 课题的研究背景 i n t e r n e t 经过2 0 多年的发展，取得了极大的成功，它已成为世界上覆盖面最广、规 模最大、信息资源最丰富的计算机信息网络，它在当今世界各国推行的n i i ( 国家信息基础 设施) 和g i i ( 全球信息基础设施) 计划中扮演着极其重要的角色。 信息技术革命强烈的改变着世界，各个国家为了适应信息社会发展的需要，纷纷提 出建设国家信息基础设施的计划，而i n t e r n e t 是所有这一切的基础，所以说i n t e r n e t 正 成为人们科研工作甚至是日常生活的不可缺少的一部分。但是随着计算机技术的迅速发 展，人们不再满足于只在i n t e r n e t 上进行简单的文本数据传输，而希望能够传输语音、 图像、视频等多媒体数据，而随着i n t e r n e t 传输速率和带宽的提高，这一愿望正在走向 现实。v o i p 技术就是在这种情况下发展起来的。 v o i p ，是v o i c eo v e ri p 的简称，也就是i p 语音技术，其根本思想是通过i p 包的 传送来实现语音业务在发送端对语音数据进行编码压缩，然后将数据封装在i p 包内，通 过i p 网或互联网发送到接收端，并进行解包解压缩，还原数据，实现语音通信。v o i p 技 术的出现，使语音业务在数据网上连续而高效的传输成为可能，它提供了一种强大、经济、 有效的新的通信手段。它能够促进网络资源利用，降低语音业务成本。i p 电话与传统电话 的主要区别在于使用的传输媒介和交换方式不同。i p 电话使用的传输媒介为i n t e r n e t ， 而传统电话使用的为p s t n ，i p 电话使用分组交换技术，传统电话使用电路交换技术。分 组交换技术的使用，使得i p 电话有信怠时才传送数据。无信息时不需要传送数据，使用 压缩技术后，i p 电话所需的网络带宽远低于传统电话所需的网络带宽“1 可以想象，v o i p 电话是通过m 网络传递语音信号的，因此它继承了p 网络所有的安 全性问题。比如( d i p 电话是开放性的网络。用户可以以多种方式非常方便地访问它，开放 性的存在必然导致安全性的隐患。电话接入i p 网络。既可以通过计算机，也可以和计算 机并行接入，甚至不用专门的l p 电话机，仅仅使用计算机接入网络，此时m 电话是计算 机中的一个应用程序。( 2 ) 目前对v o i p 安全性问题缺少研究和理解，对安全标准、安全产 品、安全的网络体系结构和管理的研究较少，给攻击者提供了可乘之机。( 3 ) 随着i p 电话 技术的发展，m 电话终端设备逐渐具备了呼叫智能性，电话可以是具有c p u ，内存，操 作系统、应用程序等的计算设备，可以执行不同的任务，用户终端设备的智能性越高，不 安全的因素就越多。因此身份认证和授权在v o i p 电话上的重要性尤为关键。 认证计费系统是v o l p 系统的重要组成部分，认证、授权以及计费体制 ( a u t h e n t i c a t i o na u t h o r i z a t i o na c c o u n t i n g ) 的发展与变迁自始至终都吸引着运营商， 对于一个商业系统来说，鉴别是第一步要做的，只有确认了用户的身份，才能知道所提供 的服务应该向谁收费，同时也能防止非法用户对网络进行破坏。在确认用户身份后，根据 用户开户时所申请的服务类别，系统可以授予客户相应的权限。最后，在用户使用系统资 源时，需要有相应的设备来统计用户对资源的占用情况，据此向客户收取相应的费用。计 费管理作为网络管理五大功能之一，它能够监测和控制网络操作的费用、代价，记录网络 第2 页武汉科技大学硕士学位论文 资源的使用情况，而且可以合理调整网络路由，分配网络流量，从而大大加强网络的管理 能力，合理控制成本，为用户提供更好的服务。也为运营商提供收费的依据。现在广泛应 用得比较广泛的a a a 服务协议主要有r a d i u s 和t a c a c s + 以及发展中的d i a m e t e r 协议。啪 r a d i u s 协议( r e m o t ea u t h e n t i c a t i o nd i a l i nu s e rs e r v i c e ) ，即远程验证拨入用 户由朗讯公司提出的一种基于客户机服务器结构的安全协议，是网络接入到服务器和认 证服务器之间的一个常见协议，它是专门为接入认证而设计的，具有简单、高效、扩充性 好以及支持漫游等特点，非常适合用来实现v 0 i p 的认证计费系统。该协议分成两部分： 认证部分( r f c 2 1 3 8 ) 。1 和计费部分( r f c 2 1 3 9 ) “1 。它为集中地管理网络中分散用户的计费 认证、用户配置信息的传送以及整个过程中的信息安全提供了明确的规范。客户机和 r a d i u s 服务器之问的认证处理通过共享密钥来实现，且不通过网络来传送。”基于r a d i u s 的v o i p 认证系统，可以保证用户安全的使用网络资源，以确保用户身份的合法性旧。同时 其落地话单，经过数据处理，进行计费及其它帐务处理。 1 2v o i p 的发展及国内外技术 1 2 1v 0 i p 的发展 在 2 0 0 5 年中国v o i p 市场研究报告中表明，从2 0 0 0 年以后，业晃开始出现基于 n g n 构建的v o i p 网络。在这个阶段，m g c p 和s i p 等协议替代了传统的h 3 2 3 协议。由 于这些协议摆脱了h 3 2 3 协议特有的繁重的继承性工作，在此一阶段，v o i p 业务表现有 了很大变化，由单纯的语音应用开始向多媒体应用进行拓展，业务的覆盖范围也从长途业 务集变成了长途+ 本地+ 多媒体业务集。 截至到2 0 0 4 年全球v o i p 设备市场已经达到5 0 亿美元，预计2 0 0 4 年后全球v o i p 设 备市场仍将按较高的增长率增长，到2 0 0 8 年市场规模将达到2 0 0 亿美元。其中2 0 0 5 年和 2 0 0 6 年将是全球v o i p 设备市场增长最迅速的两年。据i r e s e a r c h 统计，2 0 0 4 年中国使用 p ct op c 方式的v o i p 用户飞速增长，截止到2 0 0 4 年底p ct op c 的用户规模已达1 9 0 0 万，到2 0 0 5 年底使用p ct op c 的v o i p 用户有望达到2 9 0 0 万，到2 0 0 8 年p ct op c 的 v o i p 用户规模将达到8 0 0 0 万。 在全球经过近6 年的发展，伴随着技术的成熟及市场的兴起，v o i p 开始进入一个新 的发展时期。而中国的v o i p 市场正处于变革的前夕，市场井喷状况即将出现。根据 i r e s e a r c h 资料显示，2 0 0 4 年中国i p p b x 的市场规模为5 9 亿元，比2 0 0 3 年增长2 4 7 ， 2 0 0 5 年i p - p b x 设备市场仍将高速增长达到2 0 亿元。预计到2 0 0 8 年，中国i p - p b x 的市场 规模将达到9 6 亿元。相对于i d c 的调查显示的全球v o i p 设备市场5 0 的增速成长速度， 中国v o i p 设备市场拥有相当可观的发展潜力。 从国内企业级通讯市场的发展来看，l o 年前，由于国内的企业，特别是大中型企业数 量有限，企业通讯主要是基于运营商的传统p b x 方式。但随着中国经济的迅速发展，特别 是在中国进入w t o 之后，国内的大中型企业越来越多，通讯需求也出现了很多变化。这类 企业由于业务覆盖范围广泛，在海内外或国内不同有很多分支机构，非常需要有高性能的 武汉科技大学硕士学位论文第3 页 网络通讯方案帮助他们降低成本，提高工作效率，改善管理模式，从而增强其自身的市场 竞争力。 在这样的背景下，原有的设备提供商所提供的设备和解决方案已经远远无法满足企业 级市场的需要。另一方面，很多高端的国外品牌由于受到全球市场的价格策略限制，无法 提供满足中国市场和企业要求的产品价格：而国内的厂商又没有高品质，性能稳定的产品。 中国的企业级用户需要更加适合自身的新型通讯产品和高性价比的解决方案。 目前中国市场上的v o i p 设备生产供应商和解决方案提供商主要分为3 类： 1 国外大型综合设备供应商：如c i s c o 、a v a v y 等。这类厂商的产品拥有良好的产品 品质和性能保证，但因为旗下的产品种类众多，v o i p 只是作为其众多类别产品的一个产 品系列，因此不可能投入1 0 0 的资源和精力为中国市场的提供专注的服务；另一方面，受 限于大公司全球的价格策略，价格普遍非常高，无法为国内的企业级用户提供可接受的价 格。 2 国外专业y o i p 设备厂商：如苏迪斯，奥迪坚等这类生产商是专业的v o i p 厂商， 但是由于其业务覆盖全球市场，针对性的价格策略限制较大，其产品价格对于中国用户也 相对较高，情况与第一类厂商类似。 3 。中国本土的v o i p 设备厂商：随着v o i p 市场的发展，近年来出现了很多中国本土 的设备供应商。这类的厂商的产品价格较前两类低，但是由于技术上的局限性，产品性能 普遍存在各种各样的问题，不能满足不同类型客户不断变化的使用要求和对稳定性能的追 求。 ( 1 ) v o i p 产生的背景 i p 电话的产生0 1 i n t e r n e t 商业化以后，在全世界，特别是发达国家迅速发展起来。在一些国家( 如美 国) 本地电话i n t e r n e t 接入采用包月制。不限时限量，因此i n t e r n e t 是近乎免费的( f r e e ) 的，人们都希望能通过这近乎免费的网络进行传统的电话和传真服务。1 9 9 5 年2 月以色列 v o c a l t e c 公司研制出可以通过i n t e r n e t 网打长途电话的软件产品“i n t e r n e tp h o n e ”。 用户只要在多媒体p c 机上安装该软件，就可以通过i n t e r n e t 网和任何地方安装同样 软件的联机用户进行通话。这项技术上的突破引起全世界的瞩目，其背后的无限商机也使 许多公司进行此项技术的研究，从而使i p 电话技术得到迅速发展，人们把这种在i n t e r n e t 上实现电话业务称为i n t e r n e t 电话，应该说是i p 电话的雏形。 经过五年的发展，i p 电话成为信息技术进步带来的一项新型电话业务在全世界开展， 并对传统电话业务形成越来越大的威胁。i p 电话从当初的p c 到p c 发展到今天的p c 到p c 、 p c 到电话、电话到电话等多种业务形式，但不论是现在还是将来，电话到电话的应用将拥 有最大的市场，i p 电话承载网络可以是i n t e r n e t ，更多的是遵循t c p i p 协议的专用网 或i n t e r n e t 。因此对我们来说，i p 电话传真就是通过i p 网络传送电话传真业务。i p 网泛指基本t c p i p 协议的网络，包括因特网i n t e r n e t 和企业网i n t e r n e t 。 i p 电话迅速发展的背景0 1 第4 页武汉科技大学硕士学位论文 从最初的i n t e r n e t 应用到可以利用普通电话实现通话，i p 电话在短短的几年间得到 了非常迅速的发展。i p 电话为什么会在这样短的时间里引起全球电信界的关注，并且正在 或将要对传统的通信方式产生巨大的冲击? 这除了i p 电话采用语音压缩和统计复用技术 节约宽带从而造成运营成本降低外，还有以下两个原因： 第一，电话业务历来都是各国管制最为严格的业务，但对于i p 电话各国大多采取宽 容甚至是扶植的态度，如美国将i p 电话归类为增值业务，从而不必承担长途电话公司所 受的管制规定，这样i p 电话提供长途电话业务时，不必向本地电话公司交纳占长途电话 费4 0 左右的接入费。这样庞大的通信市场潜力，必然吸引众多传统和新型的电信公司加 入到i p 电话的研究、开发和经营的队伍中。 第二，各国国际长途电话费存在着严重的不平衡性，且国际长途电话业务在很多国 家都是垄断经营的。这样，国际话费低的国家电信运营者可以利用各国对i p 电话的政策 优惠，通过i p 电话向国际话费高的国家渗透，直接或间接进入电信市场中尚未开放国家 的国际长途业务经营领域；而资费商的国家可以降低i p 电话同国际回叫业务争夺用户， 同时开拓新的用户群；在国际电信业务垄断经营国家，新的电信或i s p 运营者迫切希望进 入这一高利润的垄断经营领域，i p 电话的应运而生正好为其提供了一条有效途径。 ( 2 ) v o l p 技术上经历的几个阶段旧 技术突破期( 1 9 9 5 1 9 9 6 ) i p 电话最早是作为i n t e r n e t 上的联机应用出现的，那时只要通过双方拥有同样的客 户端应用软件就可以在i n t e r n e t 上进行实时通话了，当然语音质量存在很多问题。最早 推出这种客户端软件的是以色列的v o c a l t e c 公司，他们在1 9 9 5 年2 月宣布推出“i n t e r n e t p h o n e ”，可以说是现代i p 电话的雏形。 自从v o c a l t e c 推出了软件“i n t e r n e tp h o n e ”后，不少软件公司，包括很多在公司， 都相继推出了类似的软件，比如微软的n e t m e e t i n g 、i d t 的n e t 2 p h o n e 、n e t s p e a k 的 w e b p h o n e 、英特尔的i n t e r n e tv i d e op h o n e 等，用户只需在p c 机上安装客户端软件，并 配合麦克风、声卡、音响等设备，就可以在i p 网上与同样安装了这些软硬件的用户通话 了。由于当时这种应用只限于在i n t e r n e t 上使用，因此那时人们通常将这种应用称为 “i n t e r n e t 电话”这一时期，使用者大多数是i n t e r n e t 上的网迷，语音质量基本没有 保证，技术还不完全成熟，人们对它的认识也比较稚嫩，我们也可以把这一时期i p 电话 发展的萌芽期。 发展期( 1 9 9 6 1 9 9 9 ) 逐渐地，电信公司开始认识到利用i n t e r n e t 实现语音业务的巨大潜在市场，他们开 始考虑如何将i n t e r n e t 和已有的p s t n 结合起来，从而更加广泛的普通电话用户提供业务。 于是，用以连接i n t e r n e t 和p s t n 的网关设备出现了，由于利用i n t e r n e t 代替传统的长 途电话线路可以大大降低成本，许多产品制造商和业务商纷纷看好这一市场并开始制造设 备和提供业务。可以说，这时i p 电话进入快速的发展阶段。 由于利用公司的i n t e r n e t 传输实时的语音存在很多不足，难以保证用户接受的语音质量，这对一项业务来说显然是 武汉科技大学硕士学位论文第5 页 不行的。因此很多业务商建立了专用的i p 网或在i n t e r n e t 上构建v p n ( 虚拟专用网) 来 提供语音业务，从而实现较好的语音质量，这时的i p 电话也可以真正地称为i p 电话了 成熟期( 2 0 0 0 - ) 也许再过几年，i p 电话将步入成熟期，届时i p 电话将具有以下特点： 技术成熟。 统一标准。 全球网络实现互通。 语音质量良好。 大部份传统电信运营公司开始提供i p 电话业务。 向i p 传输多媒体业务过渡。目前，i p 电话正处于发展期，各个设备制造商纷纷攉 出i p 电话网关产品，众多电信运营公司开始经营i p 电话业务，i p 电话正以强大的吸引力 吸引着传统和新型的电信公司。 回顾i p 电话的发展历程，著名i p 电话分析家j e f fp u l v e r 做出了如下总结： 1 9 9 5 年是业余家之年。 l 鲫6 年是i p 电话客户端软件年。 1 9 9 7 年是i p 电话网关( g a t e w a y ) 年。 1 9 9 8 年是i p 电话网守( g a t e k e e p e r ) 年。 1 9 9 9 年是i p 电话应用年。 2 0 0 3 年，i t u th 3 2 3 标准的撰写者访问中国他们对中国v o l p 发展情况非常钦佩 c i s c o 在亚太区的v o i p 产品负责人王成昆( 音译) 先生表示，正是在中国的带动下亚太 地区v o i p 才飞速地发展。 i 2 2 国内外v o i p 的关键技术 ( 1 ) 语音处理技术 低比特率话音编码 低比特率话音编码是通过模拟人的发声器官，确定参数横型，用数字信号处理技术提 取参数实现低比特率话音编码的这种技术已经在数字移动通信系统中成功应用。目前 v o i p 采用的低比特率话音编码标准为g 7 2 6 ，g 7 2 9 a “1 ，g 7 2 8 嘲，g 7 2 3 1 。 静音检测”3 静音检测是通过设定门限，当话音信号能量低于门限是作为静音处理，目的是减少语 音包。在实际应用中，静音压缩算法由两部分组成：话音活动性检测器( v a d ) 和舒适噪 音生成器( c n g ) 。 回波消除” 由于v o i p 涉及到与p s t n 网的互连，而电话是二线制，有2 4 线转换问题，因此也有 回声干扰问题。回波消除是通过自适应方法估计回波信号的大小，在接收信号中减去此估 计值。 ( 2 ) i p 语音通信协议 第6 页武汉科技大学 硕士学位论文 语音在i p 上传送需要通信协议，包括实时控制协议、话音信息传送协议、话音通信 控制协议和多点控制协议。实时控制协议采用i e t f 的r t p 协议其它3 个协议有两个不 同的协议簇：h 3 2 3 和s i p 目前国内的商用v o i p 系统大部分采用h 3 2 3 协议簇。 ( 3 ) 网络安全和q o s 技术”1 由于i p 网络是开放式网络，因此必须十分注意网络的安全，以防止网络受到恶意 攻击v o l p 网络采取的安全技术包括： 鉴权：用户的身份验证。 权限验证：用户的业务权限的控制。 加密：对鉴权、权限验证、计费等消息采用加密技术。 由于i p 网络承载多种服务，大多服务是非实时的，而语音电话服务是实时的，因 此v o i p 必须有o o s 保障。目前能采取的措施有： 采用租用专线，专门构建v o l p 的网络。 在公共的i p 网络上，采用资源预留协议( r s v p ) 等协议来保证语音包括q o s 。 采用m p l s 或q o s 路由技术来保证不同服务的q o s 。 今天，中国己发展为全球最大的v o i p 市场之一，据m i i 报告，2 0 0 0 年中国v o i p 业 务流量仅占整个业务的1 8 ，而2 0 0 1 年前六个月，中国v o i p 业务流量达到8 1 亿分钟， 占整个长话业务1 9 2 。如今，v o i p 技术作为一种以i p 网络为传输载体的语音和传真通 信技术，以其高效的语音传输和低廉的资费，更是发展迅速，得到越来越广泛的应用，具 有广阔的应用前景基于r a d i u s 协议的认证计费系统是v o i p 系统的重要组成部分，它能 够保证v o l p 系统提供安全可靠的服务。目前i p 电话的业务量在不断地增长同时，在 v o i p 系统中开展的业务种类也日益丰富，不仅包括现在流行的i p 电话卡业务，还有主叫 业务，传真业务、多方会议业务等。因此，认证计费系统不仅要能应对大业务、高并发的 情况而且要实时、灵活、保证2 4 小时运转。为此，运营商的运营策略正逐步从以业务为 中心向以客户为中心转换，其中重要一环就是要求计费准确、实时，提供准确的帐单，让 客户明明白白消费。 1 3v 0 i p 系统的构成 本课题的v o i p 系统，采用基于h 3 2 3 协议开发的设备构建系统，主要由i p 电话终端、网 关( g w ，g a t e w a y ) 、网守( g k ，g a t e k e e p e r ) 以及系统管理平台等4 部分组成。嘲 ( 1 ) i p 电话终端：包括传统的语音电话机、p c ，i p 电话机，也可以是集语音、数据和图像于 一体的多媒体业务终端。 ( 2 ) 网关：网关提供1 p 网络和电话网之间的接口，负责完成i p 网络内的语音信号到p s t n 网 络的语音信号转换过程。 ( 3 ) 网守：网守提供呼叫控制业务并且起到了中心控制点的作用，实际上是整个系统的服 务平台，负责系统的管理、配置和维护工作。主要提供地址解析、访问控制、身份验证、 安全检查、域管理、呼叫控制信令以及呼叫管理等的h 3 2 3 实体，有时它也具有带宽控制 武汉科技大学硕士学位论文第7 页 和管理、路由控制和计费等功能。 ( 4 ) 业务和管理系统：指由服务器和用户及系统数据库组成的，包括计费管理、认证计费 数据库、网路管理、用户及业务管理、系统物理设备等构件组成的系统。 1 4 本课题的主要任务 实验室课题的前期研究工作中。已经实现了基于h 3 2 3 协议的v o l p 电话系统组建， i p 电话终端、网关、网守之间可以顺利通畅的配合工作，因此本课题的工作重点在于系统 管理平台一一认证、计费功能模块的研究和设计。本课题主要有三个任务： 第一：分析v o l p 系统的认证和计费过程及其处理流程。 第- - - ：结合r a d i u s 协议的特点，设计出安全可靠的网络认证计费系统。 第三：对计费系统中的数据进行数据挖掘和数据分析，给网络管理提供参考性的统计 数据，并为管理员提供灵活多样的计费策略 在认证计费系统设计中，作者完成了本系统的需求分析，设计和实现了v o l p 电话系 统网守，网关的构建和认证、计费模块功能，并且针对r a d i u s 协议的特性，对其认证的 安全性和计费的精确性进行了改进。 作者查阅了大量关于v o l p 技术及其发展方向，熟悉了r a d i u s 协议体系结构。在设计 开发过程中，作者紧密结合实际，努力地进行需求分析、系统设计，圆满地完成了开发任 务。 1 5 本文的内容安摔 本论文共分为六章。 第一章：绪论。介绍本课题的背景和来源，所完成的工作以及论文的内容安排。 第二章：a a a 技术规范和r a d i u s 协议原理，介绍r a d i u s 体系结构、工作过程，特点和 容灾处理。 第三章：基于r a d i u s 协议的认证和计费系统模型研究，介绍认证和计费原理和流程。 第四章r a d i u s 认证和计费系统的总体设计，针对认证的安全性和计费的精确性提出 改进设计。 第五章：系统功能的实现。逐步完成了认证和计费功能，基本实现了实验的预期效果。 第六章总结与展望。 其中第四、五章为作者在课题中完成的工作。 第8 页武汉科技大学硕士学位论文 第2 章r a d i u s 协议原理及其应用 在第一章中，我们了解到v o i p 是基于i p 网络的电话系统，由于i p 网络的开放性和 i p 电话终端的智能性，引发了在v o i p 电话系统中身份验证和授权功能的必要性和重要性。 在早期的v o i p 电话系统中，用户的身份验证和授权都是在n a s ( n e t w o r ka c c e s ss e r v e r ) 上进行，这里的n a s 是网络接入服务器，是实现远程访问的关键设备，它主要用于为远程 用户提供网络资源的接入服务既可以是一个交换机，也可以是一个网守或者是一个具备 网络接入功能的计算机( 在实验室前期课题研究中，我们实现的“基于h 3 2 3 协议的v o i p 电话系统”，就是使用一个网守来实现其身份验证功能) 。n a s 的主要功能是远程接入、 实现拨号虚拟专网( v p d n ) 、构建企业内部i n t r a n e t 等，在并发用户较多的情况下，n a s 身兼数职，既要管理网络接入也要负责身份验证，负荷过大，势必在响应速度上会受影响， 同时n a s 对身份的验证是在本地上进行，存在着一定的风险和漏洞，容易被攻击和破解密 码。因此我们需要也有必要将身份验证和用户授权的功能从n a s 从剥离出来，单独建立一 个服务器专门用来实现验证和授权的功能。 于是实验室课题组开始着手分析和研究r a d i u s 协议，一种专门为实现i p 网络的认 证、授权而设计的协议，具有简单、高效、扩充性好以及支持漫游等特点，同时它还具备 良好的计费功能扩展，非常适合用来实现v o l p 电话的认证、计费系统。 2 1a 从技术规范介绍和r a d i u s 协议引出 随着i n t e r n e t 的发展，越来越多的应用通过网络得以实现，拨号用户、专线用户以 及各种商用业务的发展使i n t e r n e t 面临许多挑战。如何安全、有效、可靠的保证计算机网 络信息资源存取及用户如何以合法身份登陆、怎样授予相应的权限，又怎样记录用户做过 什么的过程成为任何网络服务提供者需要考虑和解决的问题。正是基于此需求，a a a 协议 逐渐发展完善起来，成为很多网络设备解决该类问题的标准。 a a a 即为a u t h e n t i c a t i o n ( 认证) 。a u t h o r i z a t i o n ( 授权) ，a c c o u n t i n g ( 记费) 嘲。认证 ( a u t h e n t i c a t i o n ) 即辨别用户是谁的过程。通常该过程通过输入有效的用户名和密码实现 授权( a u t h o r i z a t i o n ) ：对完成认证过程的用户授予相应权限，解决他能做什么的闯题。在 一些身份认证的实现中，认证和授权是统一在一起的：计帐( a c c o u n t i n g ) ：统计用户做过 什么的过程，用户使用的时间和费用。通常可以用用户占用系统时问、接受和发送的信息 量来衡量。 a a a 技术使用相同方式配置3 种独立的安全更能，它提供了完成下列3 种服务的模块化 方法： ( 1 ) 认证：在用户接入网络前识别他们并判断是否允许按入。a a a 服务器将预先存储在数 据库里的用户信息和用户要求接入时提供的信息进行比较，然后根据处理结果确认用户身 份是否正确。 ( 2 ) 授权：对合法用户进行权限分配。用户通过身份认证后，系统根据用户数据库提供的 信息对用户权限进行限定。 武汉科技大学硕士学位论文第9 页 ( 3 ) 计费：收集用户信息，记录用户接入后消耗了多少资源，以实现计费，并对网络的用 户承载量做出判断。认证、授权和计费一起实现了网络系统对特定用户的网络资源使用 情况的准确记录。这样既在一定程度上有效她保障了合法用户的权益，又能有效地保障网 络系统安全可靠地运行。 目前比较流行的a a a 系统有r a d i u s ，t a c a u s + ( t e r m i n a la c c e s sc o n t r o l l e ra c c e s s c o n t r o ls y s t e mp l u s ) 以及发展中的d i a m e t e r 协议等，前两种协议在技术上已经比较成 熟和完善，并都有各自独特的特点。r a d i u s ( r e m o t ea u t h e n t i c a t i o nd i a l i nu s e rs e r v i c e ) 是远程用户拨号系统的简称，主要用于对所处地域分散，数量大以及上网条件差别不一的 串行线用户以及拨号接入的远程用户的认证，授权和计费的管理。该协议于1 9 9 7 年正式成 为r f c 标准，它由两部分组成即认证部分( r f c 2 1 3 8 ) 和计费部分( r f c 2 1 3 9 ) ，2 0 0 0 年6 月又对 协议作出了一定的补充和改进，分别定为r f c 2 8 6 5 和r f c 2 8 6 6 “”t a c a u s + 是c i s c o 公司提出 的用于其公司路由器和终端服务产品的远程访问控制协议，具有和r a d i u s 相似的功能。 r a d i u s 协议和t a c a c s + 虽然在功能上有相似之处，但是在实现上还是有一些差别，主 要体现在以下方面： ( 1 ) l i a d i u s 在传输层使用u d p 协议，这使得服务器的实现比较简单，用户的身份认证请求 与响应包长度比较短，速度快。但是u d p 是不可靠协议，因此丢包的情况比较普遍，因此 影响了认证和计费的可靠性。而t a c a c s + 采用t c p 实现客户端和服务器的连接，提高了服务 器和客户端传送认证和计费信息中报文的正确性，但是它也有缺点，就是超时重传的时间 比较长，因此t a c a c s + 的效率相对r a d i u s 来说要低。 ( 2 ) r a d i u s 和t a c a c s + 都是采用m d 5 算法加密，但是r a d i u s 只是对用户属性加密，而t a c a c s + 是对整个数据包加密，因此t a c a c s + 具有更高的安全性1 。 ( 3 ) r a d i u s 具有将服务器作为代理的功能，这一点对于i p 运营商来说十分重要，而ta c a c s + 没有此功能。 ( 4 ) 支持r a d i