（信号与信息处理专业论文）公共无线局域网络（pwlan）安全体系及其应用——接入控制技术研究.pdf

摘要 摘要 随着无线宽带! p 嫠a 技术匏迅速发展，公共无线局域网( p w l a n ) 已成为人们研究熟点。 p w l a n 安全体系中，接入控制器在无线接入网与圆定i p 骨干网之间充当一i n t e m e t 网关功能，将需要 访问控制的局域网与i n t e m e t 连接起来，它集成了用户认证、访问控制、计费采瘫、网络管理等功能。 作力国家8 6 3 项目“公共无线局域网络( p w l a n ) 安全体系及其研究”的一部分，论文深入研究了接 入控制器的设计与实现。 论文介绍了无线局域网标准的发展，描述了无线局域网的网络拓扑结构，分析了p w l a n 安全 体系结构；其次，一方面通过对接入控剃器功能翻析，给出了接入控制器舶总体设i 十、模块设计和 系统实现方案。另一方面通过研究如套接k i 编程、多线程编程等系统实现涉及的相关技术，在接八 控制器中实现了核心功能模块。例如，通过扩展访问控制列表( a c l ) 技术，提出并实现了四种类 型鹊a c l ；实现了网络她址转换( n a t ) 模块和动态主机配置( d h c p ) 功能；实现了讨费信息采 集，及通过r a d i u s 协议将计费信息发送到远程计费服务器。实现接入控制功能可基本满足移动运 营商规范书的要求。最后对论文工作进行了总结并提出了展望。 关键词：公共无线局域网( p w l a n ) 、接入控制器、访问控制列表( a c l ) 、网络地址转换( n a t ) 、 动态主枫配置协议( d h c p ) 、r a d i u s 协议 至亘茎兰堡主兰垡塑苎 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fw i r e l e s sb r o a d - b a n d e di pa c c e s s t e c h n o l o g y , p u b l i cw i r e l e s sl a n ( p w l a n ) h a sb e c o m i n go n eo fr e s e a r c hh o t p o t sr e c e n t ly i nt h es e c u r ea r c h i t e c t u r eo fp w l a n ，a c c e s s c o n t r o l l e r ( a c ) ，w h i c ha c t sa st h ei n t e m e tg a t e w a yb e t w e e nt h ew i r e l e s sa c c e s sn e t w o r ka n dt h ef i x e di p b a c k b o n e ，c o n n e c t st h el a n sw i t ht h ei n t e r n e t a c c e s sc o n t r o l l e rc o n t a i n sa l ln e c e s s a r ye l e m e n t si n c l u d i n g u s e ra u t h e n t i c a t i o n ，a c c e s sc o n t r o l ，b i l l i n gi n f o r m a t i o nc o l l e c t i o n ，n e t w o r km a n a g e m e n ta n ds oo n b a s e d o no n ep a r to ft h er e s e a r c hw o r ko ft h e r e s e a r c ha n dd e v e l o p m e n to nt h es e c u r ea r c h i t e c t u r eo ft h e p w l a n ”s u p p o r t e db yt h ep r o j e c to fh i - t e c hr e s e a r c ha n dd e v e l o p m e n tp r o g r a mo fc h i n a ( g r a n tn o 2 0 0 2 a a l 4 3 0 l o ) ，t h i st h e s i sd i s c u s s e st h ed e s i g na n dt h ei m p l e m e n t a t i o no f t h ea c c e s sc o n t r o l l e ri ng r e a t d e t a i l s f i r s to fa l l ，t h i st h e s i si n t r o d u c e st h ed e v e l o p m e n to fw l a n s t a n d a r d s ，d e s c r i b e st h et o p o l o g i c a l a r c h i t e c t u r eo fw l a na n da n a l y z e si t ss e c u r ea r c h i t e c t u r ea sw e l lt h e nw ep r e s e n tt h eo v e r a l ld e s i g n ， m o d u l ed e s i g na n dt h es y s t e mi m p l e m e n t a t i o ns c h e m et h r o u g ha n a l y z i n gt h ef u n c t i o n so ft h ea cw h a t s m o r e ，w eb u i l dt h ek e r n e lf u n c t i o nm o d u l eo ft h ea cb ya p p l y i n gt h er e l a t e dt e c h n o l o g ys u c ha ss o c k e t p r o g r a m m i n ga n dm u l t i - t h r e a dp r o g r a m m i n g f o re x a m p l e ，w ec r e a t ef o u rk i n d so fa c c e s sc o n t r o ll i s t ( a c l ) b ye x t e n d i n gt h et e c h n o l o g yo f a c l ，r e a l i z et h ef u n c t i o n so f n e t w o r ka d d r e s st r a n s l a t i o n ( n a t ) ， d y n a m i c h o s t c o n f i g u r a t i o np r o t o c o l ( d h c p ) a n d f u l f i l lt h eg o a lo f b i l l i n gi n f o r m a t i o nc o l l e c t i o nt o g e t h e r w i t hi t st h et r a n s m i s s i o nt h r o u g hr e m o t ea u t h e n t i c a t i o nd i a l i nu s e rs e r v i c e ( r a d i u s ) p r o t o c 0 1 o u rw o r k c a nr o u g h l ys a t i s f yt h es p e c i f i c a t i o no ft h eo p e r a t o r si n c l u d i n gc h i n am o b i l ea n dc h i n au n i c o r n t h e c o n c l u s i o no f t h i st h e s i si si n c l u d e di nt h ef i n a lp a r t k e y w o r d s ：p w l a n ，a c c e s sc o n t r o l l e r , a c c e s sc o n t r o ll i s t ( a c l ) ，n e t w o r ka d d r e s st r a n s l a t i o n ( n a t ) ， d y n a m i ch o s tc o n f i g u r a t i o np r o t o c o l ( d h c p ) ，r e m o t e a u t h e n t i c a t i o nd i a l - i nu s e rs e r v i c e ( r a d i u s ) h 东南大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成 果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表 或撰写过的研究成果，也不包含为获得东南大学或其它教育机构的学位或证书而使用过 的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并 表示了谢意。 研究生签名：聋耋日期：巡! ? 廿 东南大学学位论文使用授权声明 东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位论文的 复印件和电子文档，可以采用影印、缩印或其他复制手段保存论文。本人电子文档的内 容和纸质论文的内容相一致。除在保密期内的保密论文外，允许论文被查阅和借阅，可 以公布( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权东南大学研 究生院办理。 研究生签名：车蕴导师签名：量叁如 日期：。汩l 产3 2 一 第一章绪论 第一章绪论 1 1 无线局域网标准及其概述1 】【2 】 无线局域网是计算机网络与无线通信技术相结合的产物，在不采用传统电缆线的同时，提供传 统有线局域网的所有功能，网络所需的基础设施不需要再埋在地下或隐藏在墙里，网络却能够随着 需要移动或变化。它是在有线局域网的基础上通过无线h u b 、无线访问节点( a p ) 、无线网桥、无 线网卡等设备使无线通信得以实现。 从八十年代后期开始，美国联邦通信委员会( f c c ) 对无线电的计算机通信开放了无需申请许 可证就可以使用的2 4 gi s m ( i n d u s t r i m ，s c i e n t i f i ca n dm e d i c a l ) 频段，使得无线网络的研究成为通 信领域的一个热点。1 9 9 1 年3 月，i e e e 批准了由v i ch a y e s 领导的小组提出的项目授权申请 p a r ( p r o j e c t a u t h o r i z a t i o n r e q u e s t ) ，成立了8 0 2 1 1 工作组。1 9 9 7 年6 月i e e e 8 0 2 1 1 协议标准出台， 这是无线局域网发展史上的一个里程碑。该标准定义物理层和媒体访问控匍j ( m a c ) 层规范。允许无 线局域网及无线设备制造商建立互操作网络设备。但其传输数据的最高速率限制在2 m b p s ，因此在 市场上的使用也受到了限制。 为了解决8 0 2 1 1 标准在数据传输速率和传输距离限制的问题，i e e e s 0 2 1 1 标准工作委员会又先 后发布了8 0 2 1 l b 、8 0 2 1 l a 标准。1 9 9 9 年9 月发布的8 0 2 1 l b 标准，主要是工作在2 4 g h z 频段的高 速物理层规范，支持5 5m b p s 和1 1m b p s 两个新速率。物理层的调制方式为c c k ( c o m p l i m e n t a r y c o d ek e y i n g ，补码键控) 的d s s s ( d i r e c ts e q u e n c es p r e a ds p e c t r m n ，直序扩频) 。由于8 0 2 1 1 b 规定的 是动态速率。允许数据速率根据噪音状况进行自动调整。这就意味着8 0 2 1 l b 设各在噪声的条件下 将以更低速率、l m b p s 、2 m b p s 、5 5 m b p s 、1 1 m b p s 等多种速率传输。多速率机制的介质接入控制 ( m a c ) 确保当工作站之间距离过长或干扰太大、信噪比低于某个门限时，传输速率能够从1 1 m b p s 自动降到55 m b p s ，或者根据直接序列扩频技术调整到2 m b p s 和i m b p s 。目前8 0 21 1 b 实际上已经 成为w l a n 市场上的主流技术。 尽管8 0 2 1 1 b 支持1 i m 的传输速率，但由于实际传输速率在5 m 左右，也不能满足i p 语音、视 频数据流、视频会议以及数据密集企业的需求。2 0 0 0 年发布的8 0 21 1 a 标准改变了这种状况，它j 二 作在5 g h z u - n i i 频带。物理层速率5 4 m b p s ，传输层可达2 5 m b p s ，能平滑地和常规局域网特别是交 换式主干集成。8 0 2 1 l a 物理层的调制方式为正交频分复用( o f d m ) ，该技术可帮助提高速度和改 进信号质量，并可克服干扰。 由于市场上的主流技术是8 0 2 1 l b ，并且8 0 2 1 1 a 不能和8 0 2 1 1 b 兼容。2 0 0 1 年1 1 月】5 日，1 e e e 试验性地批准一种新技术8 0 2 1 l g 。该技术可以提升家庭、公司和公共场所的无线互联网接入速度， 使无线网络每秒传输最大速度可达5 4 m b p s ，比现在通用的8 0 2 1 l b 要快出五倍，并且和8 0 2 1 l b 兼 容。i e e e 8 0 21 l g 标准方案工作在2 4 g h z 频段上。该标准一经通过，美国i n t e r s i l 公司与美国t i 公 司就分别宣布将在2 0 0 2 年推出用于i e e e 8 0 2 1 l g 的芯片组。i e e e 8 0 21 l g 中规定的调制方式有两种， 包括5 g h z 频带无线l a n “i e e e 8 0 2 1 l a 中采用的o f d m 与i e e e 8 0 21 l b 中采用的c c k 。通过规定 两种调制方式，既达到了用2 4 g h z 频段实现i e e e 8 0 2 1 l a 水平的数据传送速度，也确保了与 1 东南大学硕士学位论文 i e e e 8 0 2 1 l b 产品的兼容。 当前无线网络的带宽珍贵而稀缺，要想在无线网络上畅快淋漓地运行语音和视频这类对带宽有 着巨大消耗的应用，就必须为无线网络引入q o s ( q u a l i t yo f s e r v i c e ，服务质量) 服务保障机制。为弥 补这一不足，i e e e 提出了8 0 2 1 1 的增强型标准一一8 0 2 1 l e 。8 0 2 1 l e 增加了对q o s 的定义，旨在保 证语音和视频等高带宽应用的通讯质量。此外，还有8 0 2 1 i f 标准定义了一套称之为l a p p ( i n t e r - a c c e s s p o i n tp r o t o c 0 1 ) 的协议，以实现不同供货商的接入点a p 问的互操作性。8 0 2 1l i 标准对8 0 2 1lm a c 层在安全性方面的增强，它与8 0 2 1 x 一起，为w l a n 提供认证和安全机制。 1 2 无线局域网的网络拓扑结构p 在i e e e 8 0 2 1 1 中定义了几种常用的拓扑结构：基本服务组b s s ( b a s i cs e r v i c es e t ) ；分布式系统 服务d s s ( d i s t r i b u t i o ns y s t e ms e r v i c e s ) ；扩展服务组e s s ( e x t e n d e d s e r v i c es e t ) 。 基本服务组b s s 是组成一个8 0 2 1 l 局域网的最基本的单元。一个基本服务组中可包含若干个站 点s t a ( s t a t i o n ) 。在一个b s s 中的站点之间可以直接通信。一个单独的b s s 组成的网络0 b s s ) 是 i e e e 8 0 21 1 中最基本的类型，如图1 1 所示，它没有中枢链路基础结构，最少包含两台站点。一个 基本服务组所能覆盖的区域受到环境和站点收发机特性的限制。为了满足跨越i b s s 范围限制的要 求，我们可以把多个基本服务组通过分布式系统d s ( d i s t r i b u t i o ns y s t e m ) 连接起来。分布系统和基 本服务组可以组成任意大小、复杂的无线网络，这样组成的网络称为扩展服务组( e s s ) 网络。图 1 2 为e s s 网络结构图。 图1 - 1 1 b s s 网络结构图 jj j b s s 2 一 、- ， 。一 图1 - 2e s s 网络结构图 无线局域网通常有两种工作模式，a dh o c 模式和i n f r a s t r u c t u r e 模式。一般i b s s 中的站点工作在 a dh o c 模式下。在该模式下各站点之间两两亩接通信，不需要第三者的介入ee s s 中站点工作在 i n f f a s t m c t u r e 模式下。该模式需要a p 的介入，任何通信都通过a p 来转发a 一个站点可以通过a p 把数据发送给另一个站点，或者发送到d s 中去。 2 汆、夕 丫j 洲 第一章绪论 1 3 公共无线局域网安全体系结构1 4 1 1 5 1 目前无线局域网( w l a n ) 的应用模式可以分为两大类：一类是企业或个人自建的无线局域网， 广泛用于金融、医疗、制造、零售等行业；另一类是电信运营商构建的可运营的公共无线局域网 ( p w l a n ) ，p w l a n 最重要的是要具备可运营、可管理的条件。 如图1 3 所示，p w l a n 安全体系融合w l a n 的有关安全特性和g s m g p r s 的网络认证安全 特性，是既有利于移动用户，又有利于运营商的高效率、高安全性的公共无线局域网络模型。主要 由移动终端( m t ) 、接入点( a p ) 、接入控制器( a c ) 、a a a 服务器组成。 图1 - 3p w l a n 安全体系结构 移动 用户 各种移动终端通过标准的8 0 2 1 1 空中接口接入a p ，是直接连接用户终端的无线局域网中不可 缺少的设备。 无线接入点是w l a n 业务网络的小型无线基站设备，完成8 0 2 1 1 b 标准的无线接入功能。 接入控制器在无线接入网与固定i p 骨干网之间充当i n t e m e t 网关功能，将需要访问控制的局域 网与i n t e r n e t 连接起来：实施对网络的业务控制和计费信息采集，并提供用户控制管理功能，包括用 户安全控制、认证控制、计费信息采集。a c 可以直接和a a a 服务器相连，也可以通过i p 骨干网 相连；a c 通过与a a a 服务器交互，为p w l a n 提供有关用户的a a a 信息。 a a a 服务器的认证中心主要设各是r a d i u s 服务器，用以存储用户的身份信息，并完成用户的 认证和鉴权等功能，而其计费中心则主要完成用户的计费功能。 东南大学硕士学位论文 1 4 论文的主要工作 论文作为国家8 6 3 项目“公共无线局域网络( p w l a n ) 安全体系及其研究”的一部分，深入研究 了接入控制技术。 论文介绍了无线局域网标准的发展，描述了无线局域网的网络拓扑结构，分析了p w l a n 安全 体系结构：其次一方面通过对接入控制器功能剖析，给出了接入控制器的总体设计、模块设计。 另一方面通过研究如网络数据包的捕获、套接口编程、多线程编程等系统实现涉及的相关技术在 按入控制器中实现了核心功能模块。例如，通过扩展访问控制列表( a c l ) 技术，提出并实现了四 种类型的a c l ；实现了网络地址转换( n a t ) 模块和动态主机配置( d h c p ) 功能：实现了计费信 息采集，及通过r a d i u s 协议将计费信息发送到远程计费服务器。实现接八控制功能可基本满足移 动运营商规范书的要求。最后对论文工作进行了总结，并提出了展望。 论文的内窖共分七章： 第一章，介绍了无线局域网的特点、标准、组成及网络拓扑结构，分析了p w l a n 体系结构。 第二章，剖析接入控制器的功能，提出了接入控制器的总体设计、模块设计。 第三章，研究了接入控制器系统实现中的一些关键技术如网络数据包的捕获、套接口编程、 多线程编程。 第四章 第五章 第六章 第七章 通过扩展访问控制列表( a c l ) 技术，提出井实现了四种类型的a c l 。 研究了网络地址转换( n a t ) 的原理、类型，实现了n a t 模块。研究了动态主机配 置协议( , d p i c p ) 酶工作原理，实现了d k i c p 模块。 实现了计费信息采集，及通过r a d i u s 协议将计费信息发送到远程计费服务器。 论文的总结与展望。 4 笙三童堡垒堡型墨墨竺璺堡堡生 第二章接入控制器系统总体设计 根据p w l a n 安全体系结构，接入控制器在无线接入网和固定i p 骨干网之间充当网关的功能， 他将需要进行访问控制的局域网和i n t e m e t 连接起来，并实旖网络业务控制和计费信息的采集，同时 对网络进行监控，保障网络的安全。 2 1 系统结构框图 我们通过对国家联通、移动等无线运营商的技术规范和当今主要的接入控制器系列产品功能进 行研究，对接入控制器进行了模块的划分，并在此基础上进行了总体结构设计。表2 - 1 为其各模块 及其功能描述。图2 - 1 为a c 系统结构图。 表2 - 1 a c 模块功能表 模块名 模块功能描述 w e b 处理系统监听一个t c p 端口，用来接收和发送h r r p 协议的数据。w e b 处理系统必须 根据用户状态信息中的w e b 认证标志位来处理用户的h t t p 请求。如果为t r u e 则可以进行w e b 认证，f a l s e 则不可进行w e b 认证。认证的用户名和密码需要 发送至r a d i u s 服务器进行验证。w e b 认证成功或失败需要调用接入控制引 擎中的相应用户状态改变接口。认证成功则返回成功页面，用户可以点击页面 的l o g o u t 按钮退出认证。w e b 处理系统处理用户的l o g o u t 消息，并调用接入 控制引擎中的相应的接口改变用户状态。 r a d i u s 处理系负责和r a d i u s 服务器进行通讯，把认证数据计费数据打成r a d i u s 包的格 统式发送出去，并把r a d i u s 服务器发送的数据进行分析，传递给相应的功能 模块进行处理。在支持认证和费认证设各的时候，r a d i u s 处理系统需要查看 此用户是否为a p 认证，如果是则根据用户信息中的a p 地址修改u d p 包发 送给a p 。 8 0 2 l x 平台 接收接入控制引擎传来的e a p o l ( e a p o v e rl a n s ) 包，经过a u t h e n t i c a t o r 处理 把e a p ( e x t e n s i b l ea u t h e n t i c a t i o np r o t o c 0 1 ) 包发送给r a d i u s 处理系统。得到 认证结果调用接入控制引擎中的相应的接口设置用户状态。 m o b i l ei p 实现移动i p 的功能。 i p s e c部署在a c 和r a d i u s 服务器之间的保护数据传输的相对独立系统。 网管a g e n t监听s n m p 消息，读取或写入m i b 库。监听c o n s o l e 口，进行本地配置。监 听t e l n e t 端口，进行远程配置。 以太网子系统负责收发m a c 包。包括本地m a c 接口和远程m a c 接口。 接入控制引擎对本地m a c 数据进行分流处理，传递给相应的功能模块。并能为新的用户开 辟用户数据区。 东南大学硕士学位论文 访问控制引擎对远程m a c 数据进行分流处理，传递给相应的功能模块。 n a t 实现网络地址转换的功能，并能和v p n ( v i r t u a l p r i v a t en e t w o r k ) 兼容。 v p n接收本地和远程的v p n 数据，负责进行处理。 定时器以秒为单位计时。 计费系统负责对认证通过的用户进行计费采集。 权限管理对认证通过的用户进行权限配置并可以根据r a d i u s 发送的权限进行配置。 耳享 本地姒c 本地m c 输入输出 r 一厂、 l 网管接口l 一日瞥请求叫 列管a g e n t j l 。附耥厂t j 写毗t 读m j b |f +j 1m i b 库 图2 - i 系统结构框图 6 证输出 i 正输 譬南 一 一 限 l l l 川爨 第二章接入控制器系统总体设计 2 2 接入控制引擎设计 接入控制引擎是a c 的核心功能模块，它负责分析用户的数据包并传递给相应的功能模块去处 理。接入控制引擎首先处理由m a c 模块发送的以太帧，合法后进行功能分析，是认证数据包，交 给认证控制模块处理。是计费数据包，交给计费模块处理。v p n 数据包，交给v p n 模块处理。接 入控制引擎的设计如图2 - 2 。 认证计费控制 权限设置- - e ( ：! 势写认证统计，：j 囹 图2 - 2 接入控制引擎的数据流图 1 )接入控制引擎的模块说明： a c 策略：根据a c 当前的状态信息，对数据包进行过滤。基于每个用户的认证策略实现，不同 的认证结果实现不同的访问策略。 接入控制主模块：接收a c 策略处理的输入，进行包的类型分析，并交给相应的处理。以m a c 地址为用户标识判断是否为新的用户。加入用户信息列表。根据全局区的用户数据初始化用户信息。 认证控制：所有用户的认证信息的一个统一管理平台。接收接入控制主模块的数据输入进行认 证处理，包括w e b 数据包的重定向( 根据状态标志判别) ，e a p 终结方式与e a p 透传方式的兼容( 根 据a p 信息和状态标志来判断) ，w e b 认证与e a p 认证的协调( 根据状态标志判别) 。认证控制能根 7 东南大学硕士学位论文 据认证的状态对用户的连接进行统计，能根据认证策略和认证的状态对用户进行权限控制。 认证统计：基于每小时、每天和每月的用户连接次数、用户连接失败次数、用户连接的平均时 长的统计。 2 ) 接入控制引擎的数据流说明： 读a c 策略：通过读取a c 控制状态参数a c s w i t c h ，实行a c 正常执行与关闭的切换。 a c 策略过滤输出；用户m a c 数据包经过a c 策略模块过虑后向其它功能模块输出。 输入a c 策略：原始m a c 数据包，通过m a c 层模块接收用户的发送的数据包。 读用户初始信息：建立一个用户数据类型的数据所有初始值。 创建新用户：根据用户数据类型的数据的初始值建立一个新的用户加入用户数据区。 8 0 21 x 认证控制输出：认证数据包和当前的用户数据。 8 0 2 1 x 认证控制输入：认证数据包和当前的用户数据。 a p 信息：a c 所管理的所有a p 数据。其a p 的数据结构如下： t y p e d e f s t r u c ta c c e s s p o i n t u i n t 8 a p m a c a d d r e t h _ _ a d d r _ l e n ； a p 的m a c 地址。 u i n t 3 2 a p l p a d d r ； l a p 的i p 地址。 e r l l l ma c c e s s p o i n t t y p e 印t y p e ； a p 的类型。 u i n t 8 * l a s t f r a m e ；a p 的上一个发送的以太帧。 u i n t 3 2l a s t f r a m e l e n ；a p 的上一个发送的以太帧长度。 ) a c c e s s p o i n t ； 读取认证状态：a c 读取用户认证策略a u t h p o l i c y 结构，强制w e b 认证，强制e a p 认证和自适 应。读取用户认证状态a u t h s t a t u s 结构，得到当前用户所处的认证状态。 写认证状态：写用户认证状态a u t h s t a t u s 结构，设置当前用户所处的认证状态。写用户认证统计 a u t h s t a t u s s t a t i s t i c s 结构，将用户认证结果加上时间戳存入链表。 w e b 认证控制：表示w e b 认证的结果。 8 0 2 1 x 本地输入：e a p o l 数据包。 8 0 2 1 x 本地输出：e a p o l 数据包和认证状态( 成功、失败、端口强开和端口强关) 。 认证统计：根据用户认证的结果对用户进行认证统计。 认证计费控制：根据认证的结果，通知计费系统进行相应的处理。 设置权限：认证控制根据认证结果通知权限管理进行相应的操作。 3 )接入控制器引挚流程图 进行初始化之后，系统首先要得到本地网卡的m a c 地址信息，然后系统循环处理网络上的数据 包。在这个循环中的处理过程为： a )接收本地网卡的以太帧，过滤掉广播包。 b )解析数据包，得到初始包的信息，并判断是i p 包还是e a p o l 包。 c 1 对e a p o l 包进行e a p o l 包处理。 8 第二章接入控制器系统总体设计 d ) 对i p 包进行相应i p 包处理。 图2 - 3 为接入控制器引擎处理以上步骤流程图的流程图。 图2 - 3 接入控制器引擎流程图 接入控制器引擎在解析数据包后判断数据包的类型，如果是e a p o l 包则进行相应的e a p o l 处 理，如果是i p 包，则进行i p 包的处理。由于e a p o l 包处理过程是系统进行8 0 2l x 认证处理的数 据包，不属于论文研究的范围，因此论文只分析i p 包的处理过程。 图2 - 4 为接入控制器引擎i p 包处理流程图。 9 东南大学硕士学位论文 图2 - 4 接入控制器引擎i p 包处理流程图 在i p 包处理过程中，系统进行如下步骤的处理： a ) 首先要判断是本机发出的包还是发向本机的包。 b 1 如是本机发出的包，一种是计费数据包，一种为e a p 透传的包。计费包为发向r a d i u s 服务 器的计费数据。 处理发向本机的数据包，一种为a p 发送的e a p 透传帧。一种为用户数据包a d ) 进行系统循环处理。 1 0 第二章接入控制器系统总体设计 2 3 系统中的主要数据结构设计 下面的数据结构定义了系统中的一个用户数据结构，这个数据结构是系统中用得最多的数据结 构。因为系统中允许接入的都是作为一个用户来计算的，系统的操作策略都是针对特定用户的，它 是系统中的最重要的数据结构。 t y p e d e f s t r u e t a c c e s s c o n t r o l u s e r u i n t l 6u s e r l d ； c h a r + u s e r n a m e ； u i n t 8u s e r m a c a d d r e t h _ a d d r - _ l e n ； u l n t 3 2u s e r i p a d d r ； u 1 n t 3 2a p l p a d d r ； u i n t l 6 a p p o r t ； u 1 n t l 6 r a d i u s l d ； u i n t l6r a d i u s s e n d p o r t ； e n u m a c c l t y p ea e c t t y p e ； u i n t l 6a c c t s e s s i o n l d ； u i n t 8 r a d i u s a u t h e n t i c a t o r a u t h e n t i c a t o r _ l e n 】； u i n t 8 r a d i u s s t a t e 2 5 6 ； u 1 n t l 6s t a t e l e n ； e 1 1 h i t ia u t h e n t i c a t e s t a t u sa u t h s t a t u s ； e n u m a u t h e n t i c a t e p o l i c ya u t h p o l i c y ； s t r u c ta u t h s t a t i s t i c s n o d e + a u t h s t a t i s t i c s h e a d e r ； u i n t 6 4a c c o u n t t i m e s t a r t ； u i n t 6 4 a c c o u n t t i m e s t o p ； s t r u c tt r a f f i c s t a t i s t i c s n o d e + a c c o u n t s t a t i s t i c s h e a d e r ； s t r u c td y n a m i e p e r m i s s i o na u t h o r i t y p e r m i s s i o n ； e n u mb o o li s r e d i r e c t ； s t r u c td o t l x a u t h e n t i c a t o rd o t l x a u t h e n t i c a t o r ； s t r u c ta c c e s s c o n t r o l u s e r + n e x t ； s t r u c ta c c e s s c o n t r o l u s e r + p r e v i o u s ； a c c e s s c o n t r o l u s e r ； u s e r l d ：为每一个分配一个i d u s e r n a m e ：用户登陆输入的用户名 u s e r m a c a d d r ：用户的m a c 地址 u s e r l p a d d r ：用户的i p 地址 l l 东南大学硕士学位论文 一一_ - - _ - - _ - _ - _ ，_ 一 a p l p a d d r ：用户接入a p 的i p 地址 a p p o r t ：a p 发给r a d i u s 使用的端口号 r a d i u s l d ： 用户与r a d i u s 通讯的i d e n t i f i e r r a d i u s s e n d p o r t ：用户与r a d i u s 通讯的端日号 a c c t t y p e ：标记计费状态 a c c t s e s s i o n l d ：标示某用户一次上网的纪录 r a d i u s a u t h e n t i c a t o r ：1 6 b y t e s 的a u t h e n t i c a t o r 域 r a d i u s s t a t e ：2 5 6 b y t e s 的s t a t e 域 s t a t e l e n ：r a s i u ss t a t u s 域的长度 a u t h s t a t u s ：用户当前的认证状态 a u t h p o l i c y ：用户当前的认证策略 a u t h s t a t i s t i c s h e a d e r ：用户认证结果加上时间戳的链表头指针 a c c o u n t t i m e s t a r t ：8 b y t e s 的时间表示用户上线时间 a c c o u n t t i m e s t o p ：8 b y t e s 的时间表示用户下线时间。 a c c o u n t s t a t i s t i c s h e a d e r ：用于流量统计的链表，包括i p 地址，上行流量和下行流量大小 a u t h o r i t y p e r m i s s i o n ：表示用户的权限信息 i s r e d i r e c t ：重定向标志 d o t l x a u t h e n t i c a t o r ：8 0 2 1 x 的a u t h e n t i c a t o r 需要的数据类型 n e x t ：指向下一个节点的指针 p r e v i o u s ：指向前一个节点的指针 1 2 第三章接入控制器系统实现技术 第三章接入控制器系统实现技术 在这一章里，我们将讨论接入控制器系统实现的一些相关技术：网络数据包的捕获、套接口编 程、多线程编程。网络数据包捕获是系统实现的基础，我们捕获网络数据包，进行判断，作出控制 策略，限制用户的接入：套接口编程是实现c s 模型的根本，当客户机和服务器需要通信时就需要 创建套接字；多线程则是提供系统运行效率的种策略。 3 1 网络数据包的捕获1 6 】1 7 i 编写网卡设备驱动程序、利用l i b p c a p 库函数以及原始套接字编程都可以实现网络数据包的捕 获。我们采用l i b p c a p 库函数实现网络数据包的捕获。 l i b p c a p 是一个系统无关、采用分组捕获机制的函数库，用于访1 7 数据链路层。这个库为不同的 平台提供了一致的编程接口，在安装了l i b p c a p 的平台上，以l i b p c a p 为接口写的程序，能够自由地 跨平台使用。大多数监听程序都使用它和内核部分进行通信。在l i n u x 系统下，l i b p c a p 可以使_ = j b p f ( b e r k e l e y p a c k e tf i l t e r ) 分组捕获机制来获得很高的性能。 3 1 1 基于b s d 系统的监听程序结构 图3 - 1 描述了基于b s d 系统的监听程序结构及j i b p c a p 在该结构中的地位。 u s e - c o d e c a l lt ol i b p c a p j u s c r b u f f e r 2 l il u s e rc o d e c a l lt ol i b p c a p l u s e r n u f f e r l l l j b p c a pl i b r a r y 图3 1 基于b s d 系统的监听程序结构 东南大学硕士学位论文 该图所示系统大体由3 部分组成：n e t w o r k t a p ，b e r k e l y p a c k e t f i l t e r ( b p f ) 和l i b p c a p l i b r a r y 。 n e t w o r k t a p 监视网络中的所以数据包，b p f 用过滤条件匹配所有由n e t w o r k t a p 监视到的包，若匹 配成功则将之从网卡的缓冲区中复制到核心缓冲区中。 但从开发者的角度来看，系统中最主要的部分是l i b p c a pl i b r a r y 。它隐藏了用户程序和操作系 统内核交互的细节。它完成了如下工作： 1 ) 向用户程序提供了一套功能强大的接口。 2 ) 根据用户程序要求生成过滤指令。 3 ) 管理用户缓冲区( u s e r b u f f e r ，对用户程序不可见) 。 4 ) 负责用户程序和系统内核的交互。 3 1 2l i b p c a p 函数库源代码基本结构 l i b p c a p 的结构并不复杂。首先，为了提供跨平台兼容性，源码中并没有m a k e f i l e 文件，而是要 运行c o n f i g u r e 脚本自动生成m a k e f i l e ，c o n f i g u r e 脚本一方面检测系统特征，以确定当前系统及一些 相关配置；另一方面读取写好的m a k e f i l e i n 文件，以此生成适应当前平台的m a k e f i l e 文件。 l i b p c a p 共有二十多个c 程序文件，我们将其功能分组介绍。 1 ) 打开、读取设备、设鼍过滤器部分 这一部分介绍所有与具体系统监听方式密切相关的函数，也就是最底层直接与具体设备打交道 的函数。设计者将其独立出来，如果要加入新的系统支持，仅需要修改这一部分即可。这一部分主 要提供3 个函数：p c a p _ r e a d o ，p c a p _ o p e n _ l i v e 0 ，p c a p _ s e t f i l e r 0 。文件形式为p c a p 一“ i n tp c a p _ r e a d ( p c a ”+ p ，i n t c n t ，p c a p _ h a n d l e rc a l l b a c k ，u _ c h a r + u s e r ) 该函数用于读取底层数据包过滤机制缓冲区中的数据包，并