（通信与信息系统专业论文）radius服务器的实现.pdf

独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名： 侉班j | 复 日期：伽。峰f , e lc 7l t 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：睦堕! 垦 电于科技大学顺十学位论文：r a d i u s 服务器的实现 摘要 随着互联网的迅速发展，互联网用户数与日俱增，需要增强用户接入管理。 另一方面，网络运营商要通过增强用户管理，通过对用户使用网络的接入认证、 使用记账、计费收费来取得运营收入。由此引入了对用户接入管理及计费问题。 用户接入管理的核心是a a a ( a u t h e n t i c a t i o n 、a u t h o r i z a t i o n 、a c c o u n t i n g ， 即认证、授权、记账) 。它实现对接入用户的身份鉴定、网络资源和服务的使用 授权、记录用户对网络资源的使用情况。 a a a 目前主要的实现是r a d i u s 系统。r a d i u s ( r e m o t ea u t h e n t i c a t i o nd i a li n u s e rs e r v i c e ) 是一种拨号入网用户认证协议标准。对r a d i u s 的研究、开发和二次 开发具有重大意义。当前有不少免费的r a d i u s 软件实现版本，如f r e e r a d i u s 。但 这些丌放源代码在商业应用上还有不足，因此对r a d i u s 进行二次开发具有较大 的商业应用价值。 虽然r a d i u s 协议在互联网上运行多年，但至今尚未形成标准。一方面互联 网技术的发展对a a a 协议提出了新的要求，另一方面，r a d i u s 协议本身仍然有 不少可以改进之处。本文对a a a 体系结构进行讨论，并针对f r e e r a d i u s 版本进 行扩充和完善。 本文是具体课题的一部分。整个课题的最终目的是要研制出能满足i p 接入 网要求的a a a 系统。本文首先对a a a 系统的需求进行分析，给出a a a 系统的 初步设计方案。其次针对f r e e r a d i u s 组成模块进行分解和功能说明，进行模块间 接口和数据库设计。接下来详细叙述了r a d i u s 服务器的实现，包括数据处理流 程、系统安全性、冗余容错、系统异常处理、系统管理台和业务受理终端的设计 实现。最后对r a d i u s 系统功能性能进行测试，通过分析测试数据得出基本结论。 本文的重点是改进r a d i u s 服务器的数据流控制和数据库设计，以使整个服 务器具有高响应速度。此外，提高r a d i u s 系统的安全性是本文的重要组成部分。 关键字：i p 接入网，用户接入管理，网络接入服务器。a a a r a d i u s 1 b 了科技大学硕士学位论文：r a d i u s 服务器的实现 a b s t r a c t a si n t e r n e td e v e l o p e sr a p i d l y , t h en u m b e ro fi n t e m e tu s e r sg r o w sq u i c k l y m a n a g i n g l a r g en u m b e r so fu s e r s c a nc r e a t et h en e e df o rs i g n i f i c a n ta d m i n i s t r a t i v es u p p o r t b e s i d e s ，i s p sr e q u i r ec a r e f u la t t e n t i o nt ou s e r sa c e e s sa u t h o r i z a t i o n ，u s a g ea c c o u n t i n g ， b i l l i n g a n dc h a r g i n gt o g a i no p e r a t i n ge a m i n g t h e s eb r i n gf o r w a r du s e r s a c c e s s m a n a g e m e n t a n db i l l i n gi s s u e s t h ek e r n e lo fu s e r sa c c e s sm a n a g e m e n ti sa a af a u t h e n t i c a t i o n 、a u t h o r i z a t i o n 、 a c c o u n t i n g ) ，w h i c hr e a l i z ei d e n t i f i c a t i o no f a c c e s su s e r s ，a sw e l la sa u t h o r i z en e t w o r k r e s o u r c ea n ds e r v i c e st ot h e ma n dr e c o r dt h e i rn e t w o r k u s a g e n o wt h em a i ni m p l e m e n t a t i o nw a yo fa a ai sr a d i u s r a d i u s ( r e m o t ea u t h e n t i c a t i o n d i a li nu s e rs e r v i c e ) i sad i a l i nu s e ra u t h e n t i c a t o np r o t o c 0 1 d o i n gr e s e a r c ho n r a d i u s ，d e v e l o p e sa n dr e d e v e l o p e si t h a sg r e a tm e a n i n g t h e r ea r ec u r r e n t l ym a n y f l e es o f t w a r er e l e a s e so fr a d i u si m p l e m e n t a t i o n ，s u c ha sf r e e r a d i u s b u tt h e s e o p e n s o u r c e sh a v e m a n ys h o r t c o m i n g s i nb u s i n e s s a p p l i c a t i o n t h e r e f o r e ， r e d e v e l o p m e n t o fr a d i u sm a k e ss e n s e a u t h o u g hr a d i u sh a sb e e nr u n n i n go ni n t e m e tf o rm a n yy e a r s ，i th a s n tc o m ei n t o b e i n gas t a n d a r d o nt h eo n eh a n d ，t h ed e v e l o p m e n t o fi n t e m e tt e c h n o l o g i e sc a l l sf o r n e w r e q u e s t st oa a ap r o t o c o l s o n t h eo t h e rh a n d r a d i u s p r o t o c o li t s e l fs t i l ln e e d st o b ei m p r o v e d i nt h i sa r t i c l e a a aa r c h i t e c t u r ew i l lb ed i s c u s s e d t h e no nt h eb a s eo f f r e e r a d i u sr e l e a s e ，t h es o f t w a r ei m p l e m e n t a t i o ni se x t e n d e da n d p o l i s h e du p t h ea r t i c l ei s p a r t o fac o n c r e t ep r o j e c t t h ew h o l ep r o j e c ti st o d e v e l o pa na a a s y s t e m ，w h i c hs a t i s f i e st h ed e m a n d o fi pa c c e s sn e t w o r k f i r s t l y , t h er e q u i r e m e n t so f a a a s y s t e ma r ed i s c u s s e da n dp r e l i m i n a r yd e s i g no f t h es y s t e mi sg i v e n t h e n t u n i n g a t f r e e r a d i u s ，c o m p o s i n gm o d u l e sa r ed e c o m p o s e da n dm o d u l e sf u n c t i o n sa r e i n t e r p r e t a t e d i n t e r f a c e sb e t t e e w nm o d u l sa n dd a t a b a s es t r u c t u r ea r ed e s i g n e da sw e l l t h e ni nt h e f o l l o w i n gs e c t i o n ，d e t a i l di m p l e m e n t a t i o nw a yo fr a d i u s s e r v e ri s d e s c r i b e d ，i n c l u d i n g d a t a p r o c e s sf l o w , s y s t e ms e c u r i t y , r e d u n d a n c y a n d f a u l t - t o l e r m a c e ，s y s t e me x c e p t i o n a lh a n d l e ，s y s t e mm a n a g e m e n tp l a t f o r m ，e n du s e r s d e a li n t e r f a c e i nt h ee n d ，t e s t so fa a a s y s t e mf u n c t i o n sa n dp e r f o r m a n c ea r eg i v e n a n dr e s u l t sa r ee d u c e d t h ee m p h a s i so ft h i sa r t i c l ei sh o wt oi m p r o v et h ed a t ap r o c e s sf l o wo fr a d i u ss e r v e r 一堕! 型丝查兰堕= ! = 堂垡笙苎! 墨塑坐! 里堑墨堕壅垫 a n dh o wt o i m p r o v ed a t a b a s es t r u c t u r e ，s ot h a tt h ew h o l es e r v e rw i l lh a sah i g h p r o c e s ss p e e d f u r t h e r m o r e ，t oe n h a n c et h e s e c u r i t y l e v e lo ft h e s y s t e m i sa l l i m p o r t a n tp a r to f t h i sa r t i c l e k e yw o r d s ：i pa c c e s sn e t w o r k ，u s e r sa c c e s sm a n a g e m e n t ，n e t w o r ka c e s ss e r v e r a a a r a d i u s 3 电子科技大学烦士学位论文：r a d i u s 服务器的实现 11 用户接入管理概述 第一章引言 国际互联网( i n t e r n e t ) 经过3 0 多年的发展，已成为世界上覆盖面最广、规 模最大、信息资源最丰富的计算机信息网络。突飞猛进的信息技术，方便了人们 在不同网络上进行信息处理和沟通，也推动着多种信息网络走向互联互通。在这 一过程中，以1 p 技术为核心的i p 网络，因其支持种类多样的接入方式，和其上 灵活丰富的应用，成为网络融合的主导力量。以i p 技术为基础，g i i ( 全球信 息基础设施) 、n i i ( 国家信息基础设施) 和c n i i ( 中国国家信息基础设施) 在 i n t e r n e t 的基础上构建而成。在这些基础设施上，网络应用不断延伸，数据业务 种类层出不穷，给各类典型运营商提供巨大的机会。一方面，随着互联网的发展 和扩大，互联网用户数与同俱增。另一方面，网络运营要靠增强用户管理来取得 运营收入。发展i p 城域网成为运营商争取终端用户、把握经营机遇的重点。i p 城域网按网络结构分，可分为骨干层、汇聚层、接入层。其中接入管理的核心是 用户a a a ( 认证、授权、记账) 管理。 用户a a a 管理包括用户的认证、授权、记帐等功能，即在签约用) ( s u b s c r i b e r l 请求上网时对用户进行认证和授权，并提供有关的记帐信息以支持计费( b i l l i n g ) 系统对用户进行计费管理。 目前在i p 网络中，用户管理模式主要有两种：分布式和集中式。分布式管 理策略下，所有的管理功能都由接入设备完成，包括用户的鉴别和接入服务的提 供和审计。 集中式管理策略主要针对较大规模的接入网。所有用户的管理数据集中存放 在一个中心管理设备上，由中心管理设备决定接入设备应该为哪些用户提供接入 服务，而接入设备只需根据中心管理设备的指示完成相应的接入管理并提供接入 服务即可。 a a a 管理通常采用集中式的管理结构，由一个a a a 服务器统一管理整个接 入网中的所有用户。集中式a a a 管理的典型应用就是基于r a d i u s 协议的用户管 理方式。 1 2a a a 功能与r a d i u s a a a 是a u t h e n t i c a t i o n 、a u t h o r i z a t i o n 、a c c o u n t i n g 的缩写。其基本概念如下 6 电子科技大学碗= 卜学位论文：r a d i u s 服务器的实现 所述： a u t h e n t i c a t i o n ( 认证) ：在用户申请使用网络系统中的资源时，认证服务器对 用户身份信息( 诸如用户名、口令等) 的确认。认证服务器对身份信息与存储在 数据库罩的用户信息进行核对处理，根据处理结果确认用户身份是否正确。 a u t h o r i z a t i o nf 授权) ：网络系统根据认证结果，授权用户使用一定网络资源， 为用户提供相应的网络服务，如授予i p 地址等。 a c c o u n t i n g ( 记账) ： 网络系统收集、记录用户对网络资源的使用，以便向用 户收取资源使用费用，或者用于审计等目的。以互联网接入业务供应商i s p 为例， 用户的网络接入使用情况可以按流量或者时间被准确记录下来。 认证、授权和记账一起实现了网络系统对用户的身份鉴定，为签约用户提供 相应的网络资源和服务，并记录其对网络资源使用情况。这样既在一定程度上有 效地保障了合法用户的权益，又能有效地保障网络系统安全可靠地运行。因此， 互联网上的认证、授权和记账技术的发展关系到每一个互联网运营商和用户。 作为目静a a a 的主要实现，r a d i u s 的研究、开发和二次开发具有重大意义。 r a d i u s ( r e m o t ea u t h e n t i c a t i o nd i a li nu s e rs e r v i c e ) 的全称是远程认证拨入用户服 务，最初仅是针对拨号用户的a a a 协议。随着用户接入方式的多样化发展， r a d i u s 也发展为适应多种用户接入方式，如以太网接入，a d s l 接入等的通用 a a a 协议。本文主要讨论r a d i u s 在以太网接入方式下的实现。 由于近年来i n t e r n e t 的迅速普及，对r a d i u s 服务器的需求也日益扩大。国外 的最新r a d i u s 服务器产品主要有以下几点发展趋势： ( 1 ) r a d i u s 服务器处理的用户数量越来越大。这主要是由于无论是在发达国 家还是发展中国家，i n t e r n e t 用户的数量都在近两年呈现了爆炸性的增长，因此 各电信企业和接入服务商对高处理速率r a d i u s 服务器的需求也日益增长。 ( 2 ) 支持多种网络接入设备。r a d i u s 服务器与接入设备结合起来可阻提供给 用户一个完整的网络管理方案。还可结合计费系统以满足各种网络运营商的用户 管理和收费计费需求。 ( 3 ) 支持多种接入系统安全解决方案。如将客户账号与i p 地址、m a c 地址、 n a s 设备地址和n a s 端口绑定，以防止i p 地址和客户账号盗用：对每个客户 上下行的带宽上限加以限定，防止个别客户占用过多网络资源；等等。 电了科技大学硕士学位论文：r a d i u s 服务器韵实现 1 3 研制和开发r a d i u s 服务器的意义 随着网络的迅速普及和大量应用的出现，要求r a d i u s 服务器的功能完善， 性能提高。另一方面，随着电子商务等各种网络应用的出现，网络安全性变得越 来越重要，而r a d i u s 服务器作为一种重要的网络设备，是防御黑客进攻的第一 道堡垒和对其进行追踪的有力武器，其安全性的高低也成为衡量其优劣的重要指 标。因此，系统地研究a a a 服务器在网络安全中所处的地位，有针对性地提高 其安全机制是非常必要的。 同h , 1 ，r a d i u s 服务器负责接收记账采集点的用户记账信息，配合计费系统根 据费率生成账单。r a d i u s 服务器系统还要实现业务受理终端、管理控制台等部分， 以实现对系统的远程查询、设景及动态监视和对用户的远程查询及管理功能。 综上所述，研制具有较高安全性、高性能的r a d i u s 服务器对于提高我国在 网络设备上的技术水平，支持民族信息产业的快速发展，以及增强国家信息基础 设施的安全性有着重要的意义。 1 4 论文工作 港湾网络公司为了满足数据通信业务的发展，在p o w e r h a m m e r e s r 系 列交换机产品成熟的硬件基础上，进行开发研制a a a 系统项目，作为 p 0 w e r h a m m e r e s r 系列产品的组成部分，以满足p o w e r h a m m e re s r 系 列产品的需求作为项目的重点，考虑支持公司内的其他产品。 在整个项目中，本人承担a a a 系统中r a d i u s 服务器的研制开发。在整个项 目丌发中参与提出a a a 系统总体设计方案，然后根据r a d i u s 协议，在f r e e r a d i u s 的基础上进行二次丌发，编写r a d i u s 服务器各模块代码并在整个系统中进行调 测。主要做了以下几部分的工作： 1 阅读相关技术资料，熟悉和掌握n a s 系统的结构和工作原理。 2 参与a a a 系统方案提出和结构设计。 3 根据r a d i u s 协议，用c 语言完成编写r a d i u ss e r v e r 的代码并调试。 4 用j a v a 、j s p 语言编写a a a 系统管理台和受理终端模块的代码。 5 提交专门测试人员，对a a a 系统进行功能性能测试。根据反馈的测试 结果进行代码修改。经过1 4 轮反复测试，基本完善了a a a 系统的功能。 6 提交必要的代码和文档资料。 1 乜于科技火学颂j ：学位论文：r a d i u s 服务器的实现 第二章a a a 系统分析及初步设计 本章从应用的角度出发，对a a a 系统的需求进行了分析。主要包括a a a 系统的功能性能需求分析，系统的可靠性及安全性要求分析，最后给出a a a 系 统的初步设计方案。 2 1a a a 系统结构 a a a 管理通常采用集中式的管理结构，由一个a a a 服务器统一管理整个接 入网中的所有用户。用户接入设备( 例如n a s ，即n e t w o r k a c c e s s s e r v e r ，网络 接入服务器) 将自己的信息送给a a a 服务器，a a a 服务器根据预先设置的管理 策略将用户的授权信息返回给接入设备，接入设备根据这些授权信息为用户提供 相应的接入服务。在a a a 管理中，用户与接入设备间可以根据其按入技术采用 不同的接入管理方法，例如点到点协议( p p p , p o i n t - t o p o i n tp r o t o c 0 1 ) 、以太网上的 点到点技术( p p p o e ，p o i n t t o - p o i n tp r o t o c o lo v e re t h e m e t ) 和i e e e8 0 2 1 x 技术。接 入设备与a a a 服务器怕j 则可以根据管理策略选择合适的管理协议，如r a d i u s 。 集中式a a a 管理的典型应用就是基于r a d i u s 协议的用户管理方式。 r a d i u s 协议中定义了三层管理模型：用户一n a s r a d i u s 服务器，构成了一个 以r a d i u s 为中心的接入管理体制，图2 1 是该模型的一个简单示例。 图2 1 在以r a d i u s 为中心的接入管理体制中，请求上网者( u s e rs u p p l i c a n t ) 可根 据需要选择使用不同的协议( 例如8 0 2 1 x ) 接入到相应的n a s 上。这些n a s 并 不自己验证由接入协议所获得的用户信息，而是将这些信息通过r a d i u s 协议， 由n a s 中的r a d i u s 客户端实体( r a d i u s c l i e n t ) 送往r a d i u s 服务器( r a d i u ss e r v e r ) 进行验证，并将验证后的结果再通过接入认证协议送交给用户。通过r a d i u s 验 证的用户才能使用网络所提供的服务。由此可见，r a d i u s 协议仅在n a s 中的 r a d i u s 客户端与r a d i u s 服务器之间使用。但要实现以r a d i u s 为中心的接入管理 功能，还必须需要用户与n a s 问接入认证协议的配合。 9 电子科技火学硕= 仁学位论文：r a d i u s 服务器的实现 2 2r a d i u s 协议分析 接入管理a a a 功能的实现主要有两种：r a d i u s 和t a c a c s 。其中t a c a c s 是c i s c o 公司的专有认证授权汜账协议。本项目采用的是开放式的r a d i u s 协议。 2 2 1r a d i u s 协议简介 r a d i u s ( r e m o t ea u t h e n t i c a t i o nd i a li nu s e rs e r v i c e ) 的全称是远程认证拨入用 户服务，最初仅是针对拨号用户的a a a 协议。随着用户接八方式的多样化发展， r a d i u s 也发展为适应多种用户接八方式，如以太网接入，a d s l 接入等的通用 a a a 协议。它通过认证授权来提供用户接入服务，通过记账来收集、记录用户 对网络资源的使用。r a d i u s 服务器把用户的认证信息集中在服务器端管理，支持 r a d i u s 协议的客户端。例如n a s ，把用户要求的认证信息( 用户名和口令) 送 到r a d i u s 服务器认证，只有和服务器的用户数据中信息一致时，才被允许进入 网络。认证信息以加密的形式在客户端和服务器间传送。同时r a d i u s 服务器也 可通过对用户进行记账管理。 i 9 9 7 年1 月，r a d i u s 协议问世，因其结构良好，实现简单，扩展灵活等特 点引起人们的浓厚兴趣与关注。三个月后，r f c 2 1 3 8 2 1 3 9 草案产生。1 9 9 8 年 1 2 月，i e t f ( 国际互联网工程特别工作组) 在第4 3 次会议上成立了a a a 工作 组，着手a a a 相关标准的研究，讨论关于认证、授权和记账的问题。2 0 0 0 年6 月，r f c 2 8 6 5 2 8 6 6 中对r a d i u s 协议进行了进一步的改进和完善，使r a d i u s 协议 形成为一项通用的a a a 协议，在a d s l 接入、以太网接入、无线网络接入等领域 中得到广泛应用，成为目前最常用的a a a 协议之一。但是协议仍然有不少可以 改进之处，比如基于u d p 的传送、简单的丢包机制、没有关于重传的规定和集 中式记账服务。这些问题使得它不太适应当前网络的发展。需要进一步改进。2 0 0 0 年丌始对r a d i u s 进行深入讨论，提出r f c 2 8 6 8 ( r a d i u sa t t r i b u t e sf o rt t m n e l p r o t o c o l s u p p o r t ) 和r f c 2 8 6 7 ( r a d i u sa c c o u n t i n g m o d i f i c a t i o n sf o rt u n n e l p r o t o c o ls u p p o r t ) 。2 0 0 3 年，i e t f 的a a a 工作组再次从根本上对a a a 体系结 构进行了讨论，提出r f c 3 5 7 5 ( i a n a c o n s i d e r a t i o n s f o r r a d i u s ) 。 2 2 2r a d i u s 系统体系结构 ( 1 ) c s 模式 r a d i u s 是一种c s 结构的协议，它的客户端最初就是n a s ，现在运行在任 何硬件上的r a d i u s 客户端软件都可以成为r a d i u s 的客户端( r a d _ c ) 。客户端 的任务是把用户信息( 用户名，口令等) 传给指定的r a d i u s 服务器( r a d s ) ，并 i o i 乜子科技大学硕士学位论文：r a d i u s 服务器的实现 接受服务器的响应。r a d i u s 服务器的任务主要是：接受用户的连接请求，对用户 身份进行认证，返回用户接入网络的所有配置信息。 r a d i u s 协议还规定了重传机制。如果r a dc 向某个r a d i u s 服务器提交请求 没有收到返回信息，”接入请求”报文将被重传数次。经过数次重传失败后，r a d _ c 可以向备份r a d i u s 服务器重传。由于有多个备份r a d i u s 服务器，因此客户端进 行重传的时候，可以采用轮询的方法。具体的重传和轮询算法目前尚属研究范畴， r f c 2 8 6 5 中没有规定。如果备份r a d i u s 服务器的共事保密字和以前r a d i u s 服务 器的共享保密字不同，则需要重新进行认证。 r a d i u s 服务器和客户端通过u d p 协议进行通信，采用u d p 的基本考虑是因 为n a s 和r a d i u s 服务器大多在同一个局域网中，使用u d p 更加快捷方便。r a d i u s 服务器的1 8 1 2 端口负责认证，1 8 1 3 端口负责记账工作。 ( 2 ) 分布式结构 r a d i u s 是一个分布式系统。r a d i u s 客户端，主r a d i u s 服务器和多个备r a d i u s 服务器通常分布在网络上。首先，多个n a s 分布在网络上。请求上网者可根据 需要选择接入到相应的n a s 上，所有n a s 将用户的信息，包括自己的信息集中 送给r a d i u s 服务器进行a a a 管理。其次，r a d i u s 服务器也是分布式结构，r a d i u s 服务器可以作为其他r a d i u s 服务器或异种认证服务器的代理客户，支持代理和 漫游助能。简单地说，代理就是一台服务器，负责转发r a d i u s 认证和记账分组， 以此实现、止用户通过本来和其无关的r a d i u s 服务器进行认证。这样，无论接收 拨入呼u 的位置如何，都可以跨整个系统对呼叫进行认证。 本文不讨论r a d i u s 服务器作为代理服务器的情况。 2 2 _ 3r a d i u s 协议的特点 ( 1 )网络安全 客户端和r a d i u s 服务器之间的交互经过了共享保密字的认证。此外，为防 止他人经过传输线路获得用户口令，在传输过程中对口令进行了加密。 ( 2 )灵活的认证机制 r a d i u s 服务器支持多种认证方法。当用户提供用户名和口令时，它可以支持 p a p , c h a p , u n i x 登录和其他认证方式。 ( 3 )协议的可扩展性 所有的交互都包括可变长度的属性字段。为满足实际需要，用户可以加入新 u 于科技大学碳士学位论文：r a d i u s 服务器的实现 的属性值而不会对协议有任何影响。 2 3 a a a 系统分析 2 3 1 系统可行性和难点分析 从技术角度看，目前网络设备的开发己走向开放、标准的趋势，网络厂商提 出了标准化的体系结构。国产网络设备的研制开发可以采用这些开放式的器件和 系统结构，以弥补设计和制造技术薄弱的不足，并且大大缩短产品研制开发周期。 但同时，与国外的网络软件供应商相比，我们的软件开发技术明显落后，仍具有 许多难点： ( 1 ) 随着用户数量的不断增多，网络带宽迅速扩大，也要求认证服务器的功 能更完善，性能得到提高。如何改进r a d i u s 服务器数据流控制，数据库如何设 计得更加合理，使整个服务器具有高响应速度是一个难点。 ( 2 ) 安全机制的研究与实现。关于认证服务器安全机制的研究是本项目的一 个重点，从总体考虑，计划提供以下一些安全机制： 支持标准的r a d i u s 协议中的安全方案。 对r a d i u s 服务器进行管理配置时，实行安全管理。 ( 3 ) r a d i u s 服务器在授权阶段为用户动态分配i p 地址。r a d i u ss e r v e r 和d h c p 功能的配合，完成i p 地址管理。 ( 4 ) 管理与监测机制的研究与实现。由于要设计的系统采用分布式的模块结 构，给整个系统的管理与监测机制提出了新的要求。同时为了提高产品的市场竞 争力，需要提供完善的管理与监测机制，以便为设备的管理与维护提供强有力的 支持。可管理和监测的对象遍布整个系统的方方面面，如r a d i u s 服务器配置参 数、服务器工作状态、报文统计、接入用户的信息等等。 2 3 2a a a 系统功能性能分析 r a d i u s 服务器的丌发除了是服务于港湾公司的交换设备，还要求兼顾其他对 认证有需求的产品。要求开发一个稳定的，高性能的，可扩展性强，可灵活配置 的，安全性较高的a a a 系统。 r a d i u s 服务器需要实现的功能有如下几点： ( 1 1 认证服务：r a d i u s 服务器应支持标准r a d i u s 协议的客户端，通过标准的 r a d i u s 客户端进行简单条件下的测试，应该能够完成一般的认证操作。支持标准 乜于科技大学颂士学位论文：r a d i u s 服务器的实现 认证协议，包括：c h a p 、p a p 、e a p m d 5 和e a p t l s 。结合港湾公司自定义 屙陛，可支持基于用户m a c 、i p 、v l a n 、p o r t 等绑定认证。 ( 2 1 授权服务：为认证成功的用户授予i p 地址。在认证成功后的响应中加入 用户a c l ( 访问控制列表) 策略、带宽属性下发给接入设备。 ( 3 ) 记账服务：支持标准r a d i u s 记账协议，并支持港湾公司接入设备的实时 记账服务。对原始的记账信息进行数据库存储，并可根据实时记账报文，进行实 列更新。支持对用户上下线时间、流入流出流量的记录，提供对原始记账信息查 询的接1 3 ，导出方式( 导出到文件) 。 ( 4 ) 属性管理：支持标准r a d i u s 属性及港湾公司自定义属性的管理。 ( 5 1p u s h 操作：支持港湾公司自定义的c u t 报文，并能灵活触发，实现用 户强制下线。 ( 6 ) 用户管理：提供多种用户信息的建立，维护，查询，实现接口，存储方 式为数据库( m y s q l ，o r a c l e ) 。 ( 7 ) 其他特色服务：可支持用户的端口反查功能。 r a d i u s 服务器在性能上的要求主要在于对并发性报文的处理能力。 根据产品线的要求，服务器可同时接受5 0 0 个用户的认证或记账请求，其最 长处理时州应小于3 0 秒。操作系统的协议栈缓冲区可用来保存用户请求，所以 最关键的不是能否同时处理5 0 0 用户并发，而是能否在最短的时间内处理完缓冲 内所有的用户请求。这就要求整个服务器具有高响应速度。 2 3 3a a a 系统可靠性及安全性分析 作为一个完整的系统，存在着各种各样的失误可能性，为了能在失误的情况 下使系统避免损失，并且在失误恢复后恢复所有数据，对不稳定因素必须做出全 面的衡量，并做出应急方案。 ( 一) 不稳定因素及解决方案 以f 为主要的不稳定因素： 1 传送过程中在r a d i u s 服务器的s e r v e r 和c l i e n t 间丢包。由于采用 u d p 传送，有可能丢包。 2 r a d i u s 服务器失误，其结果为对接入或记账请求报文无响应。 3 n a s 失误。例如无表示记账结束的记账请求报文发出，正在记账的 会话无法停止。 1 3 1 乜予科技大学颂士学位论文；r a d i u s 服务器的实现 4 设备重启。 针对以上不稳定因素制定以下解决办法： 1 超时重传。r a d i u s 协议中设置了重传机制来弥补u d p 的不可靠传送 缺陷。因此对r a d i u s 服务器来说，超时重传为默认的。 2 主备用r a d i u s 服务器倒换。可以解决服务器失误的问题。 3 提高r a d i u s 服务器性能，减少服务器失误的情况。 ( 二) 数据库安全 数据库中保存着大量敏感信息，对数据库的加密是必须的，并且，各种密码 在数据库中均应加密。另外，利用数据库的本身的安全性设置来保证数据的安全 性和完整性，防范被解密的危险。 ( 三) 分组传送安全 a a a 系统是个分布式系统。r a d i u s 服务器和客户端交互过程中的各种分组 均在网络上传送。r a d i u s 协议中规定了客户端和r a d i u s 服务器之间的交互需经 过共享保密字的认证，并对传送过程中的用户口令进行加密。此外，为了管理监 测r a d i u s 服务器，需要一个管理服务器，管理服务器向r a d i u s 服务器的配置命 令和状态监测分组也在网络上传送。为了防止恶意盗用可信任主机的i p 对服务 器发送管理命令，管理服务器和r a d i u s 服务器需要保存一个他们所共享的密钥。 2 4 a a a 系统初步设计 2 4 1 软硬件配置设计 硬件环境：建议p 4 1 8 g 4 0 g b 2 5 6 m b 1 0 0 m b b p s 1 7 ”配置以上。 软件环境：操作系统w i n 2 0 0 0 x p , s u ns o l a r i s 数据库m y s q l 2 4 2 软件初步设计 基本设计思想是基于f r e e r a d i u s0 9 3 源码，进行功能上的修改和添加。 认证：使用f r e e r a d i u s 的认证程序进行认证，在数据库中加入认证条件，实 现特色认证，并在认证成功后的响应中加入用户a c l 、带宽属性下发给接入设 备。 记账：使用f r e e r a d i u s 的汜账程序进行记账，记账信息存储于数据库中。增 4 l u 了科技大学碗：卜学位论文：r a d i u s 服务器的实现 加接入设备的实时记账信息的处理，对汜账记录进行实时更新。 2 5 本章小结 本章从应用的角度出发，首先对a a a 系统开发的可行性及难点进行了分析。 接着确定了a a a 协议使用r a d i u s ，并对r a d i u s 协议基本工作原理、协议特点进 行了阐述。然后分析了a a a 系统的设计需求，包括a a a 系统的功能性能的需 求，系统存在的不稳定因素及可能的解决办法，数据库安全，以及网络上分组传 送安全解决方案。最后给出a a a 系统的软硬件初步设计方案。 电子科技大学硕士学位论文tr a d i u s 服务器的实现 第三章a a a 系统总体结构 31a a a 系统模块分解 本项目研制的a a a 系统是港湾网络有限公司推出的认证、授权、记账业务 管理软件系列产品，浚产品与港湾公司的p o w e r h a m m e r e s r 系列交换机配合使 用，实现用户的接入管理。p o w e r h a m m e r e s r 做为n a s 支持当前普遍应用的三 种主流认证技术：p p p o e 认证、w e b 认证和8 0 2 1 x 认证。p o w e r h a n l m e r e s r 中 的r a d i u s 的客户端与r a d i u s 服务器进行交互实现用户a a a 管理。本a a a 系统 应用在以太网上。 整个系统包括r a d i u s 服务器、d h c p 服务器、p o r t a l 服务器和管理服务器共 四部分。r a d i u s 服务器是用户a a a 管理的实现。d h c p 服务器可以看作r a d i u s 服务器的一个组件，可以与r a d i u s 服务器配合完成统一地址分配功能。p o r t a l 服务器和管理服务器本身不属于a a a 系统，但是根据项目需求，开发了p o r t a l 服务器，使用户在没有安装客户端的情况下，通过浏览器进行认证后上网，并且 完成记账功能。同样，应项目需求开发了统一管理服务器，目的是提供给系统管 理员一个方便，直观的操作管理界面。对r a d i u s 、p o r t a l 、d h c p 服务器进行监 视和配置，并对用户数据库进行操作。 整个系统组成如图3 ，l 所示： 图3 1 6 f 乜于科技大学硕士学位论文；r a d i u s 服务器的实现 下面是对图中重要模块的较详细的说明： ( 1 ) r a d i u s 服务器 r a d i u s 服务器实现用户认证、授权、记账功能。其功能是从以太网上接收由 r a d i u s 客户端发出的r a d i u s 接入请求，并通过查询数据库中预先存储的用户身 份信息( d b 中的u s e rd a t a ) 进行认证，在认证过程中授权签约用户使用网络资 源，并记录其记账数据。 在本课题中，暂不考虑r a d i u s 服务器作为代理的情况。 r a d i u s 服务器的特点主要有： 与d h c p 服务器组件配合完成统一地址分配功能。 与港湾交换机设备配合实现用户强制下线、安全绑定认证、端口反查等 特色功能。 d h c p 服务器可以看作r a d i u s 服务器的一个组件，可以与r a d i u s 服务器配 合完成统一地址分配功能。 ( 2 ) a a a 数据库( d b ) d b 中预先存储的用户身份信息，包括用户个人信息( 真实姓名、证件号码、 电话、地址等) 、用户认证信息( 用户名、口令、用户接入的n a s 端口号等) 、 用户授权信息、用户所属组信息等。r a d i u s 服务器通过查询d b 中的用户认证信 息进行认证，并向n a s 返回用户授权信息。 d b 中的汜账表存储用户上下线时间、流量等记账信息。当用户离开网络时， n a s 可以将用户对网络资源的使用情况发送给r a d i u s 服务器，r a d i u s 服务器记 录用户的记账信息存储在d b 中的记账表里，作为网络管理和用户管理的参考资 牲l 。 ( 3 ) p o r t a l