（计算机软件与理论专业论文）基于ieee8021x的网络计费和认证系统的应用与研究.pdf

北京交通大 学硕 1 .1 开 究生毕业论文 y 5 8 e 2 2 o 基于i e e e 8 0 2 a x的网络计费和认证系统 的应用与研究 摘要: 本论文针对传统的网络计费系统存在的缺点， 即安全性较差， 易产生瓶 颈， 难以 适应于规模较大的系统的要求， 对一种新型的认证技术一 基于i e e e 8 0 2 . 1 x的认证技术进行了研究和具体的设计，并引人了l d a p 认证功能。 网络计费技术的理论研究已 经比较充分， 通常采用a a a结构，即认证 ( a u t h e n ti c a t i o n ) , 一个组成部分. 法的网络用户. 授权( a u t h o r i z a ti o n ) 和计费( a c c o u n t i n g ) 作为网 络安全策略的 认证”是确认远端访问用户的身份，判断访问者是否是合 目前业界应用的几种主流认证方式有: v l a n i d认证方式和 we b三种认证方式. p p p o e认证方式、 中应用十分广泛. 但这三种认证机制事实上既没有保障数据的安全性( 保密性 和完整性) ，也没有防止非授权访问的功能. 鉴于这种情况， 结合高等教育出版社 “ 网络计费系统”的项目 实践， 本 论文对一种新型的访问控制的实现技术即 基于i e e e 8 0 2 . 1 x并结合l d a p 的 访间控制技术进行研究和设计. 论文首先对这种新技术的社会价值和经济价值进行了分析， 并对设计过 程中所涉及到的理论进行了必要的介绍，主要包括网络计费系统的基本理 裕作f t . r m t y 的 其 太佃 依 知 t na p姑 食 婆 随后论文就展开具体的设计过程. 由三个部分组成即客户端系统、 在体系上， 这个系统的认证结构主要 方式所不同， i e e e 8 0 2 . 1 x是一个基于端口 的网络访问 控制的标准草案， 核 心是可扩展认证协议 e a 夕 ， 并有效地实现了业务和认证的分离. 此业务与认 证分离的特性是对传统网络认证的一种革命性的创新， 有效地解决了 传统的 p p p o f _ v l a n t d和 we b / p o r ta l 认征卞才带奥的向颠 在认证服务器系统部分， l d a p的概念， 结合r a d i u s 现访问控制的集中 授权和管理 模比较大的计费系统的需要， 务型数据库。 传统方法采用 r a d i u s结构，本论文引人了 一起构成认证服务器系统部分， 可以有效地实 ， 大大简化了授权管理的复杂性，能够适应规 l d a p 服务器的查询效率要远远优于普通的事 基于i e e e 8 0 2 . i x的网络计费和认证系统的应用与研究 最后，为了进一步检测设计中性能， 论文最后对所设计的基于 i e e e 8 0 2 a x的计费系统进行了 具体的测试和分析. 测试以不采用i e e e 8 0 2 a x的 情况和采用 8 0 2 a x和l d a p的情况为参照， 得出结论:采用i e e e 8 0 2 . 1 x 和l d a p 技术不管在用户并发数还是响应速度上性能确实有很大的提高. 总而言之， 本论文所设计的这种技术确实避免了 传统网络计费系统技术 的诸多缺点， 能够适应各种计费系统的需要， 并能给实际的工程实践带来切 实的好处， 具有一定的社会价值和经济价值. 本计费系统已 经在高等教育出 版社正式运行. 关键词: 网络计费、l d a p , a a a , i e e e 8 0 2 . i x , r a d ius , p p p o e , e a p 北京交通大学硕 1 研究生毕业论文 an ap p l i c a t i on and s t udy of t f f f 8 0 2 . x- b as e d nt ; 7 wor k ac c ount i ng and aut he nt i c a t i o n s ys t e m ab s t r a c t : t h i s p a p e r s t u d i e s a n e w a u t h e n t i c a t i o n t e c h n o l o g y i n d e t a i l w h i c h i s b a s e d o n i e e e 8 0 2 . 1 x a u t h e n t i c a t i o n - t e c h n o l o g y , a n d i n t r o d u c e s t h e l d a p a c c e s s c o n t r o l i n o r d e r t o m a k e u p f o r t h e d e t e c t i o n s o f t r a d i t i o n a l n e t w o r k a c c o u n t i n g s y s t e m , f o r e x a m p l e , t h e t r a d i t i o n a l s y s t e m h a s l o w e r s e c u r i ty , p r o d u c e t h e b o t t l e - n e c k e a s i l y a n d i t i s d i ffic u lt t o m e e t t h e d e m a n d o f t h e l a r g e s y s t e m . t h e t h e o ry o f n e t w o r k a c c o u n t i n g t e c h n o l o g y h a s s t u d i e d s u ff i c i e n t l y , i t u s u a l l y a d o p t a a a s t r u c t u r e , t h a t i s t o s a y a u t h e n t i c a t i o n , a u t h o r i z a t i o n a n d a c c o u n t i n g a r e r e g a r d e d a s a p a rt o f s e c u r i ty s t r a t e g y r e s p e c t i v e l y . a u t h e n t i c a t i o n i s t o a ff i r m t h e u s e r s i d e n t i ty a n d t o j u d g e w h e t h e r t h e v i s it o r i s t h e v a l i d n e t w o r k u s e r . n o w , p p p o e , v l a n l d a n d we b a r e t h e 3 m o s t p o p u l a r a u t h e n t ic a t io n m e t h o d s . a n d t h e s e 3 m e t h o d s a r e w i d e l y u s e d in t h e t r a d it i o n a l n e t w o r k a c c o u n t i n g s y s t e m . b u t i n f a c t , t h e s e 3 m e c h a n i s m n e i t h e r h a s s e c u r it y o n d a ta ( s e c r e c y a n d i n t e g r a l i t y ) n o r h a s t h e f u n c ti o n t o p r e v e n t i n v a l i d u s e r a c c e s s ing . i n t e r ms o f d e t e c ti o n s o f a n d d e s i g n a n e w a u t h i l dap a c c e s s c o n t r o l t r a d i ti o n a l n e t w o r k a c c o u n ti n g s y s t e m , w e s t u d y t e c h n o l o g y b a s e d o n i e e e 8 0 2 . 1 x a n d c o m b i n e d i n t h i s p a p e r , a l l o u r w o r k a re b as e d o n t h e n e t w o r k a c c o u n t i n g s y s te m o f h i g h e r e d u c a ti o n p r e s s . a t fi r s t , w e ma k e a n a n a l y s i s o f t h e s o c i a l v a l u e a n d e c o n o m i c v a l u e o f t h i s n e w t e c h n o l o g y , a n d i n t r o d u c e s o m e t h e o ri e s w h i c h as t h e b as i c t h e o ry o f n e t w o r k a c c o u n t i n g s y s t e m , s o on a r e re f e r r e r i n t h e p a p e r , s u c h 正e e 8 0 2 . 1 x a n d l dap a n d t h e n , w e a d d r e s s t h e w h o l e p r o c e s s o f d e s i g n . t h e a u t h e n ti c a ti o n s t ru c t u r e o f t h i s s y s t e m c o n s i s t s o f t h r e e p a r t s : a u t h e n t i c a t o r , s u p p l i c a n t a n d a u t h e n ti c a ti o n s e r v e r . d i ff e r e n t fr o m t h e t r a d it i o n a l a u t h e n t i c a t i o n , i e e e 8 0 2 . 1 x i s a s t a n d a r d d r a ft a b o u t n e t w o r k a c c e s s c o n t r o l p o rt - b as e d , i t s k e rn e l i s e a p w h i c h h as b e e n r e a l i z e d t h e s e p a r a ti o n b e t w e e n o p e r a t i o n a n d a u t h e n t i c a t i o n e ff e c t iv e l y . t h i s s e p a r a ti o n i s a re v o l u ti o n a ry i n n o v a ti o n t o th e t r a d i t i o n a l n e t w o r k a u t h e n ti c a ti o n a n d s o lv e s t h e p r o b l e m b r o u g h t b y t r a d i t i o n a l p p p o e v l a n i d a n d w e b / p o rt a l . 基于i e e e 8 0 2 . i x的网 络计费和认证系统的应用与研究 t h e t r a d i t i o n a l m e t h o d s a d o p t e d r a d i u s s t r u c t u r e i n t h e s e r v e r , b u t w e i n t r o d u c e l d a p i n t h e p a p e r a n d b u i l d t h e a u t h e n t ic a t i o n s e r v e r w i t h a n c o m b i n a t i o n o f l d a p a n d r a d i u s , s u c h d e s i g n r e a l i z e s t h e c e n t r a l iz e d w i t h - r i z a t i o na n d a n d m a n a g e m e n t , s i m p li f i e s t h e c o m p l e x i ty o f t h e a u t h o r i z a t i o n l d a p s e r v e r s s e a r c h e ff i c i e n c y i s t h e n e e d o f l a r g e - s c a l e a c c o u n t i n g s y s t e m . h i g h e r t h a n o r d i n a ry b u s i n e s s l i k e d a t a b a s e . f i n a l l y , w e h a v e s o m e t e s t s i n o r d e r t o d e t e c t t h e p e r f o r m a n c e o f o u r s y s t e m . t h e t e s t is u n d e r t w o d iff e r e n t c o n d it i o n s w it h a d o p t in g i e e e 8 0 2 . 1 x a n d n o t a d o p t i n g t h a t . w e d r a w a c o n c lu s i o n t h a t w i t h t h e re f e r e n c e t o t h e n u m b e r o f c o - o c c u r r e n c e s a n d t h e s p e e d o f r e s p o n s e , t h e p e r f o r m a n c e i s r e a l l y h i g h e r w h e n a d o p t i n g i e e e 8 0 2 . 1 x . a ll in a ll , t h e t e c h n o lo g y d e s i g n e d i n t h e p a p e r a v o i d s m a n y o f t r a d i t i o n a l n e t w o r k a c c o u n t i n g s y s t e m a n d a d o p t s t h e n e e d s o f v a r i o u s a c c o u n t i n g s y s t e m . i t c a n o ff e r t h e c o n v e n i e n c e o f e n g i n e e r i n g a n d s o c i a l a n d v a lu e t o s o m e e x t e n t . n o w t h i s a c c o u n t i n g s y s t e m h a s r u n r e g u l a r l y i n h i g h e r e d u c a t i o n p re s s . k e y w o r d s : ne t wo r k g s y s t e m, l d a p , a a a, i e e e 8 0 2 . 1 x, r a d i u s , p p p oe, e ap 北京交通大学硕 _ 研究生毕业论义 序言 0 - 1 网络计费系统的研究现状 当 今的计算机网络正经历着一个飞速的发展阶段. 在过去， 传统的网络 i s p ( i n t e rn e t s e r v i c e p r o v i d e r ) 即设备提供商仅仅提供给客户一种设备 ( 比 如网络交换设备) .而网络设备只是负责速率问题而不是使用间题.所以， 并没有特别涉及到计费间题。 但在中国 教育和科研计算机网c e r n e t确立 了有偿使用网络资源的原则后，c e r n e t国际通信费用由各人网单位分担。 这使得计费管理在网络管理工作中日 益重要起 来. 根据o s i / i s o ， 计费管理 已 经成为网络管理s 项基本领域 ( 即容错、 构建、 安全、实现和计费管理) 中的一项.它能够监测和控制网络操作的费用、代价， 记录网络资源的使用 情况. 作为影响最大的网络管理功能， 计费管理系统在整个网络管理系统中 占 有相当重要的地位. 计费管理的主要目的是正确地计算和收取用户使用网络服务的费用. 同 时， 计费管理还要进行网络资源利用率的统计和网络的成本效益核算。 对于 以盈利为目的的网 络经营者来说， 计费管理功能无疑是非常重要的. 在计费管理中， 首先要根据各 类服务的成本、 供需关系等因素制 定资费 政策， 资费政策还包括根据业务情况制定的折扣率. 其次要收集计费收 据， 如使用的网络服务、占用时间、 通信距离、 通信地点等计算服务费用。 计费管理主要提供费率管理功能和账单管理功能. 1 .费率管理功能 费率管理要根据资费政策进行. 制定资费政策时， 要考虑到网络运行成 本和资源的 利用情况. 网络运行成本主要包括网 络设备的 折旧费、 线路租用 费、 人员工资、 办公行政费等. 不同的 服务需要不同的资源支持， 在提供服 务的过程中， 不同资源的 余缺状况、 忙闲 状况 不同， 并且这种状况还随时间 发生变化.因 此， 制定 服务的资费政策要调查提供服 数量以及时间等情况. 务时所用资源的种类、 服务计费的方式主要有以下几种: ( 1 ) 按流量计费: 如在分组网中， 按为客户传递的数据包的数量计费 第 t 页 基于eee e 8 0 2 . 1 x的网络计费和认证系统的应用与研究 (按时间 计费: 如在电 话网中， 按客 户的 通话时间长 度计费 ( 3 ) 按次计费: 如手机发送短信息 按次数计费 ( 4 ) 包租计费: 如一个月固 定费用的 拨号上网 服务. 费率管理功能的作用就是根据网 络运行成本和资源利用情况， 合理地 设 定和调整各种服务的资费标准和计费方式， 以 利用网络服务获得较好的经济 效益。 2 .账单管理功能 账单管理功能的主要作用是收集计费数据、 计算客户应付的网 络服务费 用、保存和维护账单. 收集计费数据是实现账单管理功能的基础。 对于不同的网 络服务， 需要 不同的计费数据，主要包括客户标识、 开始时间、 结束时间、 服务类型、 服 务量等.这些数据被收 集后将被作为被管对象存储起来. 计算客户应付的网络服务费用时， 从数据库中 获取指定时间 段的客户计 费信息， 然后根据资费标准和计费方式进行计算， 形成账单. 账单是客户关心的重要数据， 需要在数据库中 保存和维护， 以备客户查 询和置疑。与此同时，就涉及到每个用户的上网计费问题。 目前已 有的计费有固定 e p上网、电话拨号入网、 通过分组网上网、 通 过帧中继上网、通过专线上网等几种人网方式，近期也出现了 c a b l e和 a d s l (a s y m e t r i c d i g i t a l s u b s c r i b e r l o o p ) 技术即 非对 称 数字 用户 环路 技 术方式的上网方式. 不同 人网方式的计费方式也不同， 本文中 主要讨论用 户 群中最常使用的固定i p 上网和电话拨号上网. 就固定 i p人网方式 来说， 方法很多， 第一种方法， 如果使用了 代理 服 务器， 借助于代理服务器的特点， 我们可以 使用代理服务器的功能来进行 针 费，这种情况，可以在代理服务器上安装一个计费进程， 从而取得计费表. 第二种方法， 我们可以 专门使用一台 计算机用于计费， 但是需要满足一定的 条件: 所有到路由 器的流量计费工作站都能监听到， 否则造成数据的不准确。 我们可以采用让路由 器和计费工作站在同一个物理网段上来实现这种方法. 所以 必须是完全的第一层的互连设备. 计费工作站的网卡必须使用混杂模 式，以 便能接收到以 太网上所有的报文.第三种方法就是直接使用路由 器， 通过路由器内 部功能来实现计费。路由器是园区网和 i n t e rn e t 连接通道， 是 信息出 人的咽喉.企业网络中的所有到i n t e rn e t 的网络流量都必须经过路由 器，反之也一样，所以成了计费软件采集流量数据的地方. 第 2 页 北京交通大 学硕 : 研究生毕业论文 对于拨号上网 方式， 由于没有分配固 定的l p ， 只能根据用户名和密 码而 不是上网ip进行 计费。 它可以 得到与专线上网 相同的i n t e rn e t 服务，目 前比 较常用的是用户使用调制解调器通过slip/ppp协议与网 络接人服务器相连. 除了提供用户接人外， 网络接人服务器还负责采集用户的用户名和口 令，以 提供用户接人认证之用， 并将采集到的用户名和口 令， 送到r a d i u s ( r e m o t e a u t h e n t i c a t i o n d i a l i n u s e r s e r v i c e ) 即 远程拨 人用 户认 证 服务 器中 去 完成认 证. r a d i u s 以c / s 模式工作， 网络访间服务n a s ( n e t w o r k a c c e s s s e r v i c e ) 用为客户端， 将用户信息传送给认证服务器， 并进行授权， 同时开始启动计 费功能， 也负担起数据采集的任务，由于拨号上网 方式的计费通常以时间为 单位进行， 通常认证服务器会记录用户联网 和断开的时间，以 便用于计费。 在各式各样的计费管理系统中， 只是针对某一项特定的服务: 如电子邮 件、 拨号计费、 p r o x y 计费、 固 定i p 计费等. 对于某个用户， 在享用几项 服务的同时， 就必须拥有相应的几个账号和密码. 管理员也得为同一个用户 同时维护不同的 账号， 这为用户本身和管理人员带来极大的不方便， 而且在 安全性方面也有很大的漏洞， 本文就这些问 题做出了 最初的解决方案并付诸 实现. 0 - 2 本论文要解决的间题 以 往的计费 方式及相关的计费系统在很长一段时间起了很好的作用， 有 些也是现在主流的计费方式，为计算机网络的发展作了 重要的贡献. 但是， 不可否认， 其中 某些环节或多或少存在着这样那样的间题， 某些只适用一定 的范围.比 如计费过程中的认证体系则处在发展阶 段， 目 前最常用的几种认 证方式应用最为广泛， 但由于它们都具有不可忽略缺点， 造成计费过程中 很 大的漏洞，已 经越来越不能适应迅猛发展的实际 应用的要求. 在以 下章节中 会详细介绍. 为此， 本论文参考了当前国内 外最新的一些相 关的 研究成果， 设计了一 个基于i e e e 8 0 2 . 1 x并与l d a p( l i g h t w e i g h t d i re c t o ry a c c e s s p r o t o c o l ) 即 轻量级目录访问协议结合使用的的计费系统的实现方案. 与目 前常用的计费 系统中 所存在的问题相对照， 这种计费系统的 设计技术目 标是: 统一身份认 证， 认证与计费分离. 更高的安全性， 在保证系统具备足够的安全性和较高 效率的基础上， 使之易于扩展， 易于管理。 在实现结构中上， 这个系统逻辑上主要由 具有i e e e 8 0 2 . i x协议功能的 网络设备、 若干其他功能的服务器和一个l d a p 服务器构成， 其用户信息及 访问控制信息库都集中 于l a d p 服务器上; 其他服务器各自 负责某项专门的 第 3页 基于i e e e 8 0 2 a x的网络计费 和认证系统的 应用与研究 任务， 通过各个服务器之间的相互配合完成完整的身份认证及上网计费功 能 控制用户上网行为. 采用上述两项技术即i e e e 8 0 2 a x和l d a p 的这个网络计费系统具有一 定的 经济价值和社会价值: 首先， 它是面向 系统安全的， 主要是为了 解决系 统安全间题而设计的， 众所周知， 系统安全问题本身就是一个具有很大的经 济和社会价值的研究领域. 其次， 本系统实现了较好的 方便性， 各种不同 类 型用户的统一认证不仅给用户也给管理员带来了很大的方便， 在很大程度上 减轻了管理员的工作. 我在开发高等教育出版社的网络计费系统时， 就采用了这种访问控制技 术， 这个网络计费系统的主要部分采用的是基于c 技术的c / s 结构体系， 在 浏 览 器端的查询及管 理中 采用的 是基于j s p ( j a v a s e r v e r p a g e ) 的b / s 的 结 构体系. 我们使这种基于l d a p 的 访问 控制技术完全适应于这个环境， 收到 了 不错的效果:它使开发过程得到很大简化，使系统的安全管理更加方便， 也使系统在安全得到保证的情况下，运行效率得到较大的提高. 本论文就 行了更进一步 是这次工程实践的直接成果. 此外， 在本文中还对有些问题进 的研究， 探索了一些新的实用技术一一虽然这些技术没有来得 及在本计费系统中 得到应用. 但可以 相信， 它们对将来类似的开 发设计是很 有意义的. 第 4页 北京交通大学硕 研究生毕业论文 第一章网络计费的基本理论 1 9 9 5 年末，c e r n e t 示范工程通过验收， 标志着c e r n e t 骨干网的建成， 同时也有遍及2 0 多个省份加人了这个网络.1 9 9 7 年1 月1 日 开始， c e r n e t 网络正式按流量计费收费， 其收费政策主要是: 根据联网 计算机获取c e r n e t 以 外网络资源的数据流量收费， 每兆字节1 0 元卜 另外， 除了c e r n e t 分摊的 流量费用之外， 还需要支持设备更新、 d d n 专线 网 络系统运行维护费用等。 因 此， 采用合理的 计费系统是网 络正常 运行的 保证. 根据提供的服务不同， 有不同的计费策略， 一般来说主要对用户有 i p 的流量计费、 对拨号用户的 计费，基于这种计费政策， 计费系统需要实现如下功能: ( 1 ) 实现对网络按i p 地址和按用户的流量计费: 对于服务器等主机按i p 地址对网络流量计费， 对于p c 等多用户使用的机器按用户对网 络流量计费， 并能防止i p 地址盗用。 保证计费的准确性. ( 2 ) 实现对拨号用户时间计费与按流量计费:拨号用户除能够按拨人时 间计费外，还能够按照用户使用的网络流量计费. ( 3 ) 实现某种程度上的管理控制功能:能够禁止某些地址的访问或者对 某些地址的访间， 能够根据用户的缴费 情况控制其使用， ( 4 ) 保证系统的完整性和安全性:能够在一定程度上防止用户伪造或盗 用他人的账号和流量，伪造篡改费用数据等. 1 - 1 网 络计费的 关键技术 网络计费系统是一个综合性系统， 主要涉及用户行为控制 信息处理和信息发布3 方面， 其实重点和难点就是实现数据采集和身份认证， 对于不同的上网方式其认证方式和采集方式都有不同. 就数据采集而言，目 前已 经有很多安全而有效的方法可以实现，单独对固定 i p上网 就有好几种 方式. 而在具体实施计费管理系统中， 应根据现有内 部网 络设备环境和网络 收费模式来综合确定计费数据采集方案， 在完成数据采集后， 接下来的 工作 就是处理数据和公布信息 下面就目 前流行的计费中的 若干关键技术进行简 苗 6 6又 1 . 奋 力 第 5 页 基于i e e e 8 0 2 a x的网络计费和认证系统的 应用与研究 1 - 1 - 1 . 基于p r o x y服务器的网 络计费 p r o x y服务器即代理服务器是执行代理服务的软件应用程序，它安装 在一台同时跨越 i n t e rn e t 和内部网的计算机上，处于客户端和网站服务器之 间，用以实现内部网络用户对i n t e m e t 的访问，如图1 - 1 所示。 图1 - 1 基于p r o x y服务器的网 络计费的结构 当位于内部网络上的计算机请示访问i n t e rn e t 时，先通过局域网将访问 请示提交给充当代理服务器的计算机，代理服务器软件对此请示进行分析， 对禁止的请示予以拒绝，对合法的请示则转发到i n t e m e t 上去;当代理服务 器从i n t e rn e t 上收到请示的 信息时， 代理服务器软件将能够识别这是局域网 中哪台计算机请示的内 容， 并将它正确地传送给该计算机， 从而完成 “ 代理 服务万职能。 使用代理服务器进行计费管理，首选要求内 部网安装p r o x y 服务器， 然 后封锁其他出口，强制用户必须通过代理访问 i n t e m e t 。代理服务器把所有 通 过 它 的 用 户分 成若 千 组 ( g r o u p ) ， 并 为 各 组中 的 每 个 用 户 分 配一 个p r o x y 账 号 和一 组密码( 也 可与i p 对应 ) 。当 用户通过代理服 务器向i n t e m e t 发出 请 示 时， p r o x y 会 对发出 请示 用户的i p 地 址、 p r o x y 账号 、 请 示 时间 和u r l 以 及 信息 长 度等作详细的 记录 和分 析。 根据从p r o x y 上定 期获得的 不同p r o x y 账 号 用户的i p 传输记录数据， 可以 分 类统计出 每个p r o x y 账号 用户的 信息 流量、 使用时间及用户应缴纳的费用。 很显然， 利用代理服务器计费的最大特点是可以管理到用户级， 利用i p 和p r o x y 来记录用户请示 信息， 用户向 代理发出 请 示之前， 首 选要 验证p r o x y 和 密 码， 只 有当 用 户的i p . p r o x y 账号、 密 码 一 致时 请 示 才能 成功， 否 则 请 求将 被 拒绝。 因为p r o x y 账号和密码是 保密的， 即使 用户的i p 泄露， 只要 盗 用者不知道用户的p r o x y 账号和密码， 盗用将无法成功， 所以 代理服务器具 有较高的可行性和安全性。 基于p r o x y的计费系统总体上可以 划分为3 个功能模块， 它们分别是 第6页 北京交通大学rk ; i 研究生毕业论文 数据采集模块、计费信息处理模块、数据查询模块，如图1 一所示。 图 1 - 2 基于p r o x y的 计费模块结构 从图1 一中我们可以 看出 计费数据库在整个计费系统中占 有至关重要的 地位，它是其它功能模块的数据来源和数据目的。 首选要解决如何获取用户访问信息的问题。 代理服务器将全部用户的详 细 请求信息存储于日 志文件中。 ms p r o x y s e r v e r 日 志表有2 2 个字段，为方 便对网络访问信息的处理， 把日 志文件通过o d b c写入到数据表中。 取出其 中 与计费 有关的 字段 ( 客户的i p 地址、 帐 户名、日 志记 录发生的时间， 发 送 和接受的 字节 数等) 写 入一 个简明 数据表中， 计费 软件定 期地从日 志文件中 获 得不同p r o x y 账号用户的i i i 传输记录数据， 分类统计出 每个p r o x y 账号用户 的 信息流量及该用户应缴的费用， 将统计值加上用户信息写入数据库。 采用 目 前流行的w e b 技术， 用户可以 使用浏览器通过网络查询当月费用， 流量以 及自己的帐户余额情况， 本模块是计费系统中主要的用户操作模块。 使用基 于w e b 技术的数据查询的最大好处是与后台的数据库实现动态交互。 1 - 1 一 基于s n mp ( s i m p l e n e t w o r k ma n a g e m e n t p r o t o c o l )的网 络计费 对于专线计费来说， 采用s n mp 协议的 优越性在于保护了 路由 器操作口 令， 但是 s n mp v i 采集速度比 较慢。 据测算:用 s n m p v 1 协议采集 8 0 0 0 多条记录的时间为1 0 分钟左右， s n m p v 2 和s n m p v 3 协议速度比 较快， 但 是只有安装i o s 1 1 .2 或更高版本的c i s c o路由 器才支持s n mp v 2 c ， 若采用 s n m p v 2 协议就需要更新相关设备， 增加系统实 施的复杂性。 s n mp 协议有很好的能用性。s n mp 协议日 益发展，已 经成为网络管理 规范， 基于s n m p 保证了 计费 系统的能用性和重用性。 网 络管理人员根据实 际流量设定采集时间间隔， 定时采集计费数据， 这样就缓解了s n m p 采集数 第 7页 墓于i e e e 8 0 2 . i x的网络计费和认证系统的应用与研究 据较慢的缺点。 计费系统通过s n w 读取计费设备中的n u b库， 来获取网络中各i p 地 址的流量情况， 将流量写入数据库， 并区分出免费流量和计费流量， 最后根 据计费策略生成用户需要查询的费用报表.原理如图1 - 3 所示. 读取计费设各地址及计费策略 原 始 数 据 夕 收 集 相 关 原 始 数 据 获得计费设备流量信息 数据存储 图 1 - 3 基于s n m p 计费系统原理框图 1 - 1 一 基于服务质量的网络计费 1 .服务质量的引出 网络技术的飞速发展，正促使i n t e m e t 由支持单一数据业务的网络向支 持包括数据、语音、视频等多种业务的综合通信平台转变。同时， i n t e m e t 的商用化要求网络对其所支持的业务提供服务质量的保证。 尽管宽带网络的 第 8页 北京交通大学硕 卜 研究生毕业论文 建设和高速路由 器的研制为i n t e rn e t 的发展提供了 带宽保证， 但目 前玩 t e m e t 对数据报 “ 尽力而为”的转发特性， 无法提供业务区分和服务质量的保证: 而用户数目的增长和多媒体应用的增加会很快地消耗掉增加的带宽容量， 使 得网络负载迅速加重，这种网络拥塞状况限制了新的应用的开发和使用. 为了 使 i n t e rn e t 发展成为可以商用的提供服务质量保证的多业务网络， 我们必须作如下的努力: 一是通过技术手段使得网络具有对不同 数据报提供 不同转发特性的能力， 从而可以 对具有不同服务质量要求的业务提供不同质 量的服务，这方面的工作包括己 提出的i n t s e r v和d i f s e r v 方案，已有广泛 的 讨论; 二是基于不同的 技术方案设计相应的价格和计价体系， 借此来调节 网络服务提供者和用户间的相互关系， 既吸引更多的用户来使用网络又限制 用户对网络资源的浪费和恶意使用， 提高网络资源的利用率。 简单地说， 就 是制定灵活的价格机制， 在网络空闲资源较少时适当提高价格， 在空闲资源 较多时适当降低价格， 用价格杠杆和保证服务质量的原则促使用户主动避开 网络拥塞期， 达到网 络负载在时间上的平衡分布.同时， 对不同 质量的 服务 规定不同的服务价格，以此引导用户不至于盲目 请示高指标的服务参数， 减 少资源浪费。 i p q o s 的 产生促进了i n t e rn e t 上多 媒体应用的发展， 也对网 络管理提出 了 新的 要求. 采用i p q o s 技术， i s p 可以 根据不同的 数据类 型和用户的 要求 提供不同 质量的服务，因而要求对用户收取不同的费用， 因此实现基于服务 质量q o s 的计费管理成为i s p 的迫切要求。 i e t f定义了 两 种 i p q o s结构一 综合 服务结 构( i n t s e r % 和区 分服务结构 ( d i ff s e r v ) e i n t s e r v一般应用在企业网 络的边沿，采用资源预约的方式为用 户提供端到端的质量保证型服务或可控负载型服务。它使用一种类似 a t m s v c 的 方 法， 在 发 送端 和 接收 端 之间 用r s v p ( r e s o u r c e r e s e r v a t i o n p r o t o c o l) 作为每个流的信令.r s v p的信息跨越整个网络， 请求2 预留资源。i n t s e r v 是 基 于 流的、 状 态相 关的 ( s t a te f u l ) 的 体 系 结 构， 与 状态 无 关的 体 系 结 构 相比 ， i n t s e r v 提供的服务具有更好的服务质量保证。 但其实现比 较困难， 并且面临 着可扩展问题和鲁棒性问 题。 d i f s e r v 比i n t s e r v 更具可扩展性， 它可以 根据应用或服务类型排出 不同 的优先级别， 因此可用于企业的广域网中， 并在运营商网络中发挥重要的作 用。 d i ff s e r v 用i p 包头的区 别 服务标记 域 ( d s f i e l d ) 来 表示， d s 定 义为原i p v 4 包头的t o s 字节或i m 包头的流类型字节的前6 位，如图1 - 4 所示。 ds f i e l d 图1 4 i p包头区分服务标记域 第 9 页 基于正 e e 8 0 2 a x的网络计费和认证系统的应用与研究 c u未在区分服务体系中 定义， 用于其它用途. 通过该字段的标记， 下 行节点可以获取足够的 服务质量信息， 以对到达该端口 的 数据包做出相应的 “ 处理” ， 将它们正确地转发给下一跳的路由器. d i ff s e r v简化了网络内部节点的服务机制， 在内部节点只进行简单的调 度转发， 而流状态信息的 保存和流监控机制的实现等只在边界节点进行， 内 部节点是状态无关的.此外，d i ff s e r v采用层次化结构，总体集中控制策略 及面向对象的模块化思想与封装思想， 增强灵活性和通用性， 简单有效， 满 足了实际应用对可扩展性的 要求. 从经济的观点 来看， d i ff s e r v允许更灵活 的计费方案， 但同时也增加了计费管理的复杂性. 通信网络平台对于承载业务提供的服务质量保证主要包括以 下 3个方 面: ( 1 ) 透明性保证， 是指对承载业务的数据传输时间和语意完整性的保 证; 例如，对丢包率、 延时、 延时抖动等指标的 保证; ( 2 ) 吞吐量保证， 指对单位时间内所传输的 数据量保证; ( 3 ) 可接人性保证， 指对业务接人请求接纳的概率和业务连接建立的 延迟的保证. 不同 性质的业务对于服务质量的要求是不同的的.目 前和未来 i n t e m e t 所支持的业务按照流量的特点可以分成如下两大类: 弹性业务( e l a s t i c t r a ff i c ) 和非弹性业务( s t r e a m t r a ff i c ) , 弹性业务主要是指没有严格时间特性要求的数据、 文本或图片等的传 输; 例如f t p , e - m a i l 和www浏览业务. 这些业务可以 允许一定的传输延 时和延时抖动， 但要保证所传输数据的完整性. 不同的弹性业务对于吞吐量 的要求会相差很大， 例如对于www浏览来说， 数十k b p s 的吞吐量就会产 生很好的浏览效果;而对于较大的文件传输则需要更高的数据吞吐率. 非弹性业务包括诸如电话和电视会议等应用产生的有一定时间特性和 传输速率要求的业务. 这类业务对于网络的传输延时和延时抖动有严格的要 求， 但可以容忍一定程度的数据包的丢失. 尽管目 前的i n t e rn e t 没有引人接人控制的机制， 然而对于需要支持服务 质量的通信网络， 为了保证负载不超过网络的服务能力， 拒绝过量业务接人 的控制机制的引人是不可避免的， i n t s e r v 和d i ff s e r v 方案中都引人了接人控 制正说明了这一点. 在商用的通信网中， 对用户业务申请的拒绝率要足够低， 例如在电话网中要求忙时的阻塞率的一种有效手段. 不同业务对于服务质量的不同要求决定了它们对网络资源的占用情况 第 1 0页 北京交通人学r卜 研究生毕业论文 也是不同的. 按照经济规律， 在提供服务质量保证的多业务网络中 用户应缴 纳4 种费用:固定的接人费用、使用费用、 拥塞费用和服务质量费用. 接人费用是用户为接人网络而以 月计的定购费用， 与用户对网 络的使用 情况 无关， 这一费用大体上取决于用户接人网络的 容量. 通过这一费用，网 络服务提供者收回为用户接入提供的固 定硬件、 软件和管理的投资. 使用费用是由 用户对于网络的使用情况决定的， 可以按照使用时间、 传 送 数 据 量 或 端 到 端 距 离 等 指 标 来 计 算. 目 前， 象 校 园 网 这 样 的 局 域网 中 都 是 按照传送数据量来对用户 计费的， 而通过电 话线上网的家庭用户一般是按照 使用时间来计费的. 拥塞费用 依赖于网络在用户使用时的负载 状况. 负载重时费