[硕士论文精品]局域网接入认证计费系统设计和实现

西南交通大学硕士研究生学位论文第1页摘要本论文致力于设计并实现一个基于WEB方式的接入认证计费系统。该系统定位在小范围热点场所无线局域网的认证业务，实现对用户的接入认证、计费和管理等应用。所实现的系统具有安全性好、可靠性高、可维护性好、界面友好和断线检测准确等优点。论文首先分析比较了PPPOE、瑾EE8021X和WEB认证三种主要认证技术，然后结合无线局域网的特点，以用户进行认证的便利性为前提，选择以WEB认证方式为基础进行开发。接着，进行了系统总体设计，确定了WEB服务器模块和后台数据库在LINUX下的开发环境，并针对作者所在实验室的具体情况设计了后台数据库、用户使用界面以及系统管理工具。针对用户身份认证和断线检测需求，提出并实现了密码和验证码的双重认证方式，SELET监听器并结合JAVA定时器异常断线检测，保证了系统认证的安全性和计费的准确性。从用户帐号管理和后台数据库维护入手，还设计实现了一个基于WEB并带有数据库自动清理程序的系统管理工具，给系统管理员提供了对用户的添加、删除、修改、查看、查询以及续费等系列操作，保证了系统的可维护性。在分别实现系统各模块基础上，论文利用重定向和SOCKET通信技术实现了系统的整台联调，并给出了测试结果。最后，论文对本项研究工作进行了总结并提出了对未来工作的展望。关键词WEB认证断线检测JAVA定时器；SOCKET西南交通大学硕士研究生学位论文第L页第一章绪论11课题研究背景与意义INTEMET产生于20世纪80年代，发展于90年代，到今天MTEMET已经成为人们生活工作学习中必不可少的一部份。从窄带到宽带，从有线到无线，对网络的管理和运营显得日益重要。因此作为网络管理运营基础的接入认证计费技术也已成为近几年业界研究的一个热点问题。目前最常用的宽带接入认证技术有PPPOE认证、IEEE8021X认证和WEB认证。本文的研究对象是酒店、旅馆、实验室等热点场所的宽带无线局域网的接入认证技术，致力于开放一个免费的宽带接入认证计费系统。尽管采用哪种认证方式与网络的物理形态【2无绝对关系，但是每种认证方式的特点也决定了它更适合于哪种网络。PPPOE和IEEE8021X两种认证技术的安全性高于WBB认证【3】，但都需要在客户端运行专用软件，这不仅给运营商带来相对较大的前期投资和后期维修压力，同时也给用户初次使用带来不便。而WEB认证技术直接利用客户端的浏览器进行认证，不需要安装其他软件，用户可以在任何时候进行接入认证，其系统安金性也有一定的保证。因此我们选择研究开发一个基于WEB的无线局域网接入认证计费系统。12国内外研究现状接入认证计费系统一般简称为AAA认证系统，AAA指AUTHENTICATION认证、AUTH嘶ZATION授权和ACCOUNTING计费5L6】。一套完善的AAA认证系统可以很好地解决网络管理和运营过程中出现的问题，比如认证计费和用户管理等。系统在用户进行认证的过程中，根据用户使用网络的特征参数，如上网时间、流量、服务等级等，对用户进行授权并实施相应的计费策略。图11I7J显示了AAA认证系统的基本结构，整个认证端由NASNETWORKACCESSSERVER，网络接入服务器1、RADIUSREMOTEAUTHENTICATIONDIALINUSERSERVICE，远端拨入用户验证服务服务器和后台数据库组成。亘宣窭望盔堂塑生塑塞皇兰焦迨塞篁要图11AAA系统的基本结构NAS是RADIUS服务器的客户端，它向RADS服务器转交用户认证信息，并在认证通过后，向RADIUS服务器发送计费信息。除此之外，它还包括地址分配、地址转换、HTTP请求重定向、控制用户访问权限和上网缓冲等功能。RADIUS服务器作为整个系统的认证中心服务器，它与NAS连接，处理用户的认证、计费请求。它收到认证请求后，提取用户名和密码，在数据库中查询比较。收到计费请求后，向数据库中添加计费信息记录，上网日志记录，每次上网的通信详情，包括上网时间、下网时间、上下行通信流量。数据库则用于保存所有的用户信息、计费信息以及上网日志等。整个认证流程为A用户向NAS提交认证请求；BNAS向RADIUS转交用户认证信息；CRADIUS将用户信息与数据库内信息进行核对，如果符合，则认证通过，否则认证失败。目前较为著名的AAA认证系统有美国FUNK软件公司开发的STEELBELTEDRADIUS系列；深圳华为技术有限公司开发的INFOXAAA认证、授权和计费系统以及北京首信股份有限公司开发的CASL0A系统等。AAA认证系统通常应用PPPOE，IEEE8021X和WEB认证等技术。这些技术各有各的优势，相对而言也存在不足。以下将对这三种技术做一定的分析和比较，阐明我们选择研究WEB认证技术作为无线局域网接入认证技术的理由。西南交通大学硕士研究生学位论文第3页121宽带接入认证技术一PPPOE认证PPPOE全称为POINTTOPOINTPROTOCOLOVERETHEMET，即以太网上的点对点协议认证，由REDBACK网络公司、客户端软件开发商ROUTERWARE公司以及WBRLDCOM子公司UUNETTECHNOLOGIES公司于1998年联合开发川。PPPOE为IETFRFC2516标准协议10】，将应用于窄带网的PPP协议【LLJ转移到宽带以太网上【”】，实现在以太网上传输封装PPP报文。由于以太网技术十分成熟且使用广泛，而PPP协议在传统的拨号上网应用中显示出良好的可扩展性和优质的管理控制机制，二者结合而成的PPPOE协议得到了宽带接入运营商的认可并广为采用，最典型的应用是在ADSL【91ASYMMETRICALDIGITALSUBSC加ERLOOP，非对称数据用户环线接入方式中。PPPOE建立过程可以分为DISCOVERY阶段和PPP会话阶段【13】。DISCOVERY阶段是一个无状态的阶段，该阶段主要是选择接入服务器，确定所要建立的PPP会话标识符SESSIONID，同时获得对方点到点的连接信息。DISCOVERY阶段保持无连接状态直到一个PPP会话的建立。一旦PPP连接建立，则用户主机和接入设备都必须为PPP虚拟端口分配资源。PPP会话阶段执行标准的PPP过程，主要是LCP、认证、NCP3个协议的协商过程，LCP阶段主要完成建立、配置和检测数据链路连接，认证协议类型由LCP协商CHAP或者PAP，NCP是一个协议族，用于配置不同的网络层协议，常用的是IP控制协议IPCP，它负责配鼍用户的IP和DNS等工作。采用PPPOE认证，客户端需要安装PPPOE客户端软件。该软件的作用是连接操作系统的PPP协议和以太网协议，并通过PPPOE协议连接ISP。安装软件后，用户无需进行INT锄ET协议属性的设置。目前常用的软件有EFFICIENTNETWORKS开发的ENTERNET300、WINDRIVER公司开发的WINPOET【8】以及个人开发的PPPOE驱动软件RASPPPOE。进行认证上网时，用户运行客户端软件，输入用户名和密码，由客户端软件发出第二层广播包，寻找PPPOEBAS。BAS将用户信息送往后台RADIUS服务器【14【15】，对该用户进行认证和授权等。由于PPPOE从基于ATMASYLLCLLRONOUSTRANSFERMODE，异步转移模式的窄带网引入到宽带以太网，有其一定局限性。1PPPOE的实质是在以太网上实现PPP协议，在客户端和BAS之间建立了PPP的点对点通道。如果在用户主机和BAS之间启用组播业务，则组播数据必须以BAS作为接收端复制点，这样会使大量的组播数亘塑壅逼查兰塑主塑塞圭兰垡笙塞蔓兰戛据穿越网络和DSLAM设备，违背组播的初衷。因此PPPOE接入方式限制了组播协议的存在，影响视频业务的开展。2PPPOE是一个客户端服务器协议，客户端需要发送P_ADI包寻找BAS，因此它必须同BAS在同一个广播式的二层网络内。在建设网络时，BAS应该靠近用户进行分布式的放置，从而大大增加了整个网络的建设成本。31PPPOE利用BAS转发、处理认证和计费数据包，因此当其转发、处理能力达不到要求，就会降低通信效率，成为网络性能的“瓶颈”。另外，PPPOE客户端软件大多是第三方软件，因此不能避免与操作系统不兼容或与其他应用程序相冲突的可能。这样既会给用户带来困扰，又给运营商带来了巨大的维护压力。并且在热点场所的无线接入中，如果要求客户端另外安装认证软件，难免会给使用者带来不便。122宽带接入认证技术二IEEE8021X认证IEEE8021X是基于端口的网络访问控制协议PORTBASEDNETWORKACCESSCONTR01PROTOC01。在IEEE802所定义的局域网环境下，任何非法用户都可以利用物理连接口进入局域网，为了解决这个问题，8021X协议应运而生。2001年6月IEEE将8021X正式颁布了IEEE8021X标准【17】，作为基于以太局域网、城域网和各种宽带接入手段的用户或设备接入认证协议。8021X认证限制未经授权的用户或设备通过接入端口访问网络，其认证系统为支持8021X协议的网络设备如8021X交换机。该设备对应于不同用户的端口，有两个逻辑端口受控端口和不受控端口。不受控端口始终处于双向连通状态，主要用来传递EAPOLEXTENSIBLEAUTHENTICATIONPROTOC01OVERLAN，基于局域网的扩展认证协议协议帧，可保证客户端始终可以发出或接受认证。受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务LL”。由于NULLX西南交通大学硕士研究生学位论文第6页123宽带接入认证技术三WEB认证WEB认证起源于电子邮箱之类的业务类型认证，用户只需要通过浏览器，在一个WEB页面输入用户名和密码，便可实现对用户是否有使用网络权限的认证。这种认证方式均为各厂商私有，没有国际标准。如FENGINER4000系列路由器即可提供基于WEB方式的认证【Z。WEB认证的主要过程H”如下用户打开计算机，系统程序根据配置，通过DHCP协议【22123J做DHCPRELAY，向DHCP服务器请求IP地址私网或公网。同时网关设备为该用户构造对应表项信息基于端口号、IP，添加用户AC乙服务策略。这样用户在认证通过前只能访问门户网站PORTALSERVER和一些内部服务器。用户访问其他网络资源的时候，首先打开浏览器输入要访问的网站地址，接着用户被网关设备自动定向门户网站，门户网站将返回一个WEB认证页面。用户在认证页面提交用户名和密码，进行认证。认证通过后，用户即可访问所有网络资源。用户正常下网后，门户网站将用户下网的消息发送给网关设备，由网关设备发出计费STOP包给后台，同时在网关设备中删除此用户记录。DHCP服务器释放用户的口地址。WEB认证利用WEB浏览器进行身份认证，无需安装额外的软件，也避免了系统和软件间可能存在的不兼容问题。因此对于用户来说比较容易接受并且维护简单；对于运营商来说则大大减少了他们的维护工作量FL】。这是WEB认证的一个突出的优点，也正因如此，WEB认证更适合于无线局域网的上网认证，NULLX西南交通大学硕士研究生学位论文第7页WEB认证一般采用RC4序列密码算法【251，即用共享密钥将来自伪随机数据产生器的数据生成任意字节长序列，然后将数据序列与明文进行异或处理，生成加密文本。它最大的缺点是缺乏高度的安全保证。但整体方案简单方便，不需要额外增加客户端软件，易于实施，对用户的兼容性最好。根据以上的分析，表11对PPPOE、8021X和WEB这三种认证技术从产生背景、标准协议等几个方面进行了比较。我们可以看出，WEB认证的“标准协议”和“设备支持”都为厂家私有，为我们提供了更为自由的开发环境，同时使用该认证方式不需要安装客户端软件，非常符合热点场所无线局域网的接入认证，因此我们选择WEB认证方式。表11三种宽带接入认证技术的比较认证技术PPPOE8021XWEB产生背景窄带宽带针对局域网业务认证标准协议RFC2516IEEE标准厂家私有客户端软件需要需要不需要设备支持业界设备业界设备厂家私有应用范围运营商首选小规模商用酒店学校等13主要研究内容与论文结构基于WEB的WLAN认证计费系统是一合作项目，由本文和朱建勋撰写的基于WEB和RADRUS的WLAN认证计费系统组成。本文研究的主体是基于WEB的无线局域网接入认证计费系统的总体设计以及后台数据库和WEB服务器两大模块的具体设计和实现，另外还包括整体系统整合方案的提出和实现NULLX西南交通大学硕士研究生学位论文第11页它根据用户提交的用户名和密码等信息，与后台数据库中的信息进行核对以完成认证过程。同时该模块也负责用户异常断线的检测工作。并且该模块内包含一个系统管理工具。4后台数据库存储用户信息，包括认证信息用户名，密码，IP等、业务属性信息、计费信息等等。22系统功能模块设计221系统功能的上线流程本论文提出的WEB接入认证计费系统的接入认证上线流程如图22所示，具体描述如下1用户打开计算机后，DHCP模块给计算机分配一个动态IP。此时用户就可以访问特定资源。特定资源指的是用户无需认证就可以访问的网络资源，由访问控制策略模块设定，如认证系统中的门户网站即WEB服务器模块提供的认证页面。2用户需要访问受限资源时，打开浏览器提交HTTP请求，该请求都被访问控制策略模块重定向到WEB服务器模块。WEB服务器推出认证页面。3用户在认证页面向WEB服务器模块提交用户认证信息，包括用户名、密码和验证码。4WEB服务器模块获取了用户名、密码和验证码后，与后台数据库中的用户信息进行核对，即认证。如果认证通过，进行一下操作AWEB服务器模块向访问控制策略模块发送用户上线信息，访问控制策略模块允许用户访问所有网络资源；BWEB服务器模块向用户推出用户在线状态查询页面。这个页面的作用有两个对于用户来说，可通过该页面查看自己的在线信息，如在线时间等对于认证系统本身来说，则利用该页面监听用户的在线情况，以确保异常断线下的计费准确度。CWEB服务器模块更新后台数据库，记录用户上线时间，开始计费。如果认证不通过，则WEB服务器模块再次向用户提供认证页面。西南交通大学硕士研究生学位论文第14页具体设计见第四章。24开发环境介绍LINUX强大的网络功能和开放的源代码，可为系统开发提供很大便利，因此本接入认证计费系统选择构建在LINUX平台下。系统访问控制策略模块涉及到LINUX内核的编程，选择C语言进行开发；而WEB服务器模块采用JSPSERVLET技术，选择JAVA语言进行开发，部份内容需要JAVASC邱T语言的辅助。以下具体介绍在REDHAT9O版本的“NUX下开发、运行WEB服务器模块和后台数据库的环境。2。41JSP动态网页设计语言JSPJAVASERVERPAGE，即JAVA服务器端页面是由SUNMICROSYSTEM公司倡导、多家公司参与建立的一种动态网页技术标准，其在动态网页的创建中有强大而特殊的功能【2“。作为一种服务器端的脚本技术，JSP技术通过将JAVA程序代码SCRIPTLET和JSP标记TA曲嵌入到HTML页面中，能实现各种复杂的逻辑功能，生成包含动态WEB内容的JSP页面。利用JSP技术可将内容的生成和显示进行分离【27】，WEB页面开发人员可以用HTML或者XML标识来设计和格式化最终页面，用JSP标识或者SCRIPTLET来生成页面上的动态内容。生成内容的逻辑被封装在标识和JAVABEANS组件中，并且捆绑在SCRIPTLET中，所有的脚本在服务器端运行。这样WEB管理人员和页面设计者，能够编辑和使用JSP页面，面不影响内容的生成。在服务器端，JSP引擎解释JSP标识和小脚本，生成所请求的内容，并且将结果以HTML或者】L页面的形式发送回浏览器。这有助于作者保护自己的代码，而又保证任何基于HTML的WEB浏览器的完全可用性。和传统的CGI相比较，JSP有相当的优势2”。首先，在速度上，传统的CGI程序需要使用系统的标准输入输出设备来实现动态网页的生成，而JSP是直接和服务器相关联的。而且对于CGI来说，每一个访问就需要新增加一个进程来处理，进程不断地建立和销毁对于作为WEB服务器的计算机将是不小的负担。其次，SP是专门为WEB开发而设计的，其目的是为了建立基西南交通大学硕士研究生学位论文第15页于WEB的应用程序，包含了一整套的规范和工具。使用JSP技术可以很方便她将一大堆，SP页面组合成为一个WEB应用程序。由于JSP页面的内置脚本语言是基于JAVA编程语言的，而且所有的JSP页面都被编译成为JAVASERVLET，JSP页面就具有JAVA技术的所有好处，包括健壮的存储管理和安全性等，尤其拥有JAVA编程语言“一次编写，各处运行”的特点。进行JSP开发工作必须安装JDK软件包。JDKJAVADEVELOPMENTKIT29即JAVA开发工具包，是由SLLLL免费提供的供WINDOWS、S01ARIS以及LINUX使用的JSP运行环境。本系统选择的是适用于LINUX下的JDKL50。242MYSQL数据库和JDBC驱动器MYSQL是一个跨平台的多用户、多线程的SQL数据库系统，由一个服务器守护程序MYSQLD和很多不同的客户程序和库组成，具有客户机明艮务器的分布式体系结构【31，同时也是LINUX系统中使用最为简单、性能稳定的数据库系统，成为中小企业网站LINUX平台的首选自由数据库系统。其功能特点如下D可以同时处理几乎不限数量的用户；E处理多达50，000，000以上的记录；F命令执行速度快G简单有效的用户特权系统。本系统选择的是REDHAT9O自带的MYSOL版本。用JAVA程序访问MYSQL数据库需要一个特定驱动器程序【32】38。该驱动程序是适合特定的数据库JDBCJAVADATABASECORHLECTIVITY接口的实现。它是由一个中间层，把IAVA方法调用翻译为专用的数据库API调用，然后用来操作数据库。JDBC驱动器可以完成三个功能A建立一个与数据源的连接；B发送查询和UPDATE语句到数据源取回结果集C处理结果。MYSQL对应的驱动程序有很多，如MMMYSQL、IDSJDBCDRIVER、ETDIRECTDRIVER等。本系统选择的是MYSQL官方驱动程序一一CONNECTORJ31，其前身就是MMMYSQL。西南交通大学硕士研究生学位论文第16夏243WEB服务器本系统WEB服务器由APACHE和TOMCAT构成。APACHE源于NCSA的HTCPD服务器，是一个免费开源的HTTP服务器，现已成为世界上最流行的WEB服务器软件之一【2”，市场占有率达60左右。REDHAT9O自带这个WEB服务器软件。TOMCAT则是SUN公司官方推荐的一个免费开源的SERVLET和JSP容器33J34】。它是JAKARTA项目中的一个重要的子项目，其被JAVAWORID杂志的编辑选为2001年度最具创新的IAVA产品MOSTINNOVATIVEJAVAPRODUCT，受到越来越多软件公司和开发人员的喜爱。SERVLET和JSP的最新规范都可以在TOMCAT的新版本中得到实现。由于APACHE的性能高于TOMCAT，比TOMCAT更快、更强壮，能够很好地为网站的静态页面请求提供支持而TOMCAT负责处理JSPSERVLET，可以很好地为网站的动态页面请求提供支持。为了使WEB服务器具有更好的可扩展性和安全性，需要对APACHE和T0MCAT进行整合吲详见附录。244开发工具ECLIPSEECLIPSE是替代IBM的商业软件SUALAGEFORJAVAJ的下一代自由集成开发环境IDE，也是一免费开源软件【36】37L。它可以通过安装各种插件成为各种领域的工具，如编程工具、项目开发工具、建模工具、测试工具、版本管理工具等；可以进行JAVA应用程序开发、C应用程序开发、WEB应用程序开发、J2EE项目开发及STNLTS框架开发等。根据需要，通过安装LONLBOZ30154F551、EMFSDORUNTIME2O137】、SQLEXPLORER吲等插件将ECLIPSE3O1配置成JSP和后台数据库MYSQL的开发工具。其中LOMBOZ和EMFSDORNNTIME的版本都必须和所选的ECLIPSE版本匹配。如ECL谛E301就必须对应LOMBOZ3O1和EMFSDORUNTIME2O1，否则安装究成之后也无法正常运行。25本章小结本章主要介绍我们这个基于WEB的接入认证计费系统的总体设计。首西南交通大学硕士研究生学位论文第17页先分析了系统需求、提出系统模型，给出系统模型图。并对系统开发的分工作了简单介绍。然后从系统功能的上线流程和下线流程两方面介绍系统模块设计，并给出了用户上线和下线的流程示意图。接着提出系统管理与维护的设计，最后针对WEB服务器模块和后台数据库，从动态网页涉及语言、后台数据库、WEB服务器应急系统开发工具等几个方面介绍了系统的开发环境。西南交通大学硕士研究生学位论文第18页第三章后台数据库和WEB服务器设计和实现31后台数据库设计本系统是针对作者所在实验室的具体情况设计的，根据其用户群的特点将用户分为5类，分别是AVIP主要针对院长、副院长等特殊用户群，长期有效B教师除V口之外的教师，长期有效C学生本实验室所有在读生，长期有效；D过客账号临时使用实验室网络的用户，如短期实习生等，有效期180天E免费账号针对来我校访问的学者，有效期180天。在计费方面，采取以时计费的方式。系统根据用户结构和计费方式的特殊性，在后台数据库里一共建立了4张表，分别是是USERS，ACCOUNT，GUEST和CATEGORY。利用SQLEXPLORER对数据库进行建模，字段定义如下所示1USERS表该表用于记录用户基本资料，如用户名、密码等。表31给出了该表的定义。2ACCOUNT表该表用于记录每次用户上网的信息，如上网开始时间、结束时间以及持续时间等。表32给出了该表的定义。3GUEST表该表用于记录第一次生成的过客账号信息，包裹用户名和密码。当账号被激活后，对应信息将从该表中删除。表33给出了该表的定义。4CATEGORY表该表用于记录不同帐号的收费信息，如单价、对应持续时间等。表34给出了该表的定义。西南交通大学硕士研究生学位论文第19页表31USERS表的定义字段名类型说明USERIDVARCHAR20主键，用户IDDWDMD5VARCHAR255经MD5加密的用户密码NAMEVARCHAR30用户姓名NUNMERVARCHAR20用户学号STATUSVARCHAR10用户所处状态在线或离线TIMELE矗INT12用户剩余上网时间UNSLGNEDACCOUNTLERNOAT8，5用户帐号余额LASTONLINEDATETIME用户最后一词登陆时间CATEGORYVARCHAR5用户所申请的帐号类别EXPIREDATEDATETIME用户帐号到期时间ACTIVETINYINT4用于判断用户帐号是否含“有效期”表32ACCOUNT表的定义字段名类型说明USERIDVARCHAR20用户IDIDINT11主键，自增字段UNSIGNEDSTARTTIMEDATETIME本次上网开始时间ENDTIMEDATETIME本次上网结束时间IPVARCHAR30用户本次上网的IP地址ONLINETIMEIT10用户本次上网持续时间UNSIGNEDCONSUMPTIONFIOAT8，5用户上网消费金额STATUSVARCHAR1O用户本次状态在线或离线西南交通大学硕士研究生学位论文第21页费类型、帐户余额、本次在线最长对长以及已在线时长等信息，如果用户的在线时间超过了“本次在线最长时长”，用户将被迫自动断线。同时提供三个按钮，分别是“下线”、“上网记录查询”、“修改密码”。通过这三个按钮用户可以提交下线请求，查看过去30天之内的上网记录并可以随时修改自己的密码，以防密码被破解盗用。该页面初始设定为20秒刷新一次，如果用户异常断线则在30秒内用户将自动断线，详见433。4PASSWORDJSP该页面是用户进行密码修改的页面。为了保证帐号的安全，用户有必要不定期地修改密码。另外，对于过客账号，由于密码是系统生成的，不便记忆，因此也有必要修改密码。5USERACCOUNTJSP该页面用来显示用户的过去30天之内的上网记录。6LOGOUTDONEJSP该页面是用户下线后的确认页面，并提示用户本次在线时长及帐户余额。如果余额小于一定值，还将提醒用户进行充值。图31用户接入认证首页西南交通大学硕士研究生学位论文第22页图32用户在线状态查询图33用户上网信息查询页面西南交通大学硕士研究生学位论文第23页322用户身份认羹鎏鋈讲始增箝蔷的藩嚣捕槽括采鼻铡尝茹嚣罂孕秀一整盒囊雾委霎蠢铺奏荔辇；嚣嚣接誓蕉；糕妻1弋一烈璎耀箍泷寸鸿辜褒。琴撙研驵舶鬟C币昏囊螽佰镝琏缁糟埕咎豁；桨0量型判；型蓦掣萋耍篓鲸囊口藩瞬篓誊掣蕊莹蠹荔晶圳受蚕丝判蒯些攀砸璜一望|；翠4一II。囊；引I冀；黠2蠢搴HQI，也是INTEMET上进行应用开发最为通用的API。SOCKET提供了两台计算机之间进行通信的机制，通常用来实现客户端CLIENT和服务器端SERVER的连接。一个SOCKET由一个IP地址和一个端口号唯一确定。一个TCP连接的建立开始于TCP客户端创建一个SOCKET，然后调用CONECT函数来启动TCP协议；在服务器端，当SOCKET建立以后，调用函数BIND绑定其公认端口号，然后调用LISTEN来准备接收客户端请求，最后调用函数ACC印T完成接收，这样一次通信便告结束【511。客户端和服务器端都可以通过SEND，WRITE等方法与对方通信。直到最后需要关闭连接的时候，客户端和服务器端调用函数CLOSE来关闭连接。因此对于一个功能齐全的SOCKET，都要包含以下基本结构，或者说其工作过程包含以下四个基本步骤A创建SOCKET；B打开连接到SOCKET的输入出流；C按照一定的协议对SOCKET进行读写操作；D1关闭SOCKET。SOCKET编程主要是指基于TCPIP协议的网络编程，可以用多种程序语言来实现，如C语言，PERL语言，JAVA语言等，而且用不同程序语言编写的客户端和服务器端SOCKET可以实现TCP连接。本系统的WEB服务器模块实际亘查銮塑盔堂耍主堑塞皇兰垡笙窒篁I要_。不同的属性有不同的参数值。其中HTTPEQUIV属性中的RE缸SH参数用于定义页面自动刷新的时间间隔。针对本系统的要求，用户在线状态查询页面ONLINEJSP的META标签的定义为其中”20”即系统初始定义的页面自动刷新的时间间隔，单位为“秒”，管理员可以根据需要对其进行修改。3232服务器端断线检测程序当后台数据库的数据得到更新后，服务器端将自动调用用户异常断线检测程序检测用户是否异常断线。该检测程序满足以下3个要求1检测程序必须在认证系统启动时自动加载运行；2检测程序的存活期必须为认证系统的整个生命期；3检测程序必须能定时对数据库进行扫描，且只有在前一次检测完成时再进行第二次检测。根据这3个要求，本论文提出了SERVLET监听器结合JAVA定时器的检测方案。编写监听器需要实现相应的接口。本系统需要实现的是IAVA【SERVLETSERVLETCONTCXTLISTENER接口，该接口在SERVLET23API中引入【43】，用于监听SERVLETCONTCXT。当创建SERVLETCONTEXT时，激发COAVABEANS实现，分别是CHECKONLINELISTENERLIAVA和CHECKONLINERJAVA。其中CHECKONLINELISTENERAVA是监听器的实现类，调用JAVAUTILTIMER，定义了检测程序周期性执行的时间间隔；CHECKONLINERJAVA则定义了TIMER所安排执行的用户异常断线检测程序。从JAVAUTIL，TIMERTASK继承，它根据ACCOUNT表ENDTIME项的更新值找出断线用户，并发送SOCKET信息给访问控制策略模块。同时在CHECKONLINER，IAVA西南交通大学硕士研究生学位论文第27更本系统初始设定为每30秒扫描一次数据库，管理员可以在源代码中修改该值。需要注意该值的取值，首先该值必须大于页面刷新时间间隔，并且大小适宜，太小会增加系统负担太大则影响计费的精确度。33系统管理工具为了便于管理员管理认证系统，我特地设计并开发了一个基于WEB方式的系统管理工具，分前台和后台两部分。前台由JSP页面组成，它包括了对用户的查看、添加、删除、修改、搜索等一系列操作；后台则是在服务器启动时自动运行的数据库清理程序。以下将对这两部分内容作详细的介绍。331系统管理工具前台系统管理工具前台一共设计并实现了17个JSP管理界面，每个界面包括导航栏和操作栏。导航栏主要方便管理员选择要进行的操作，操作栏则是管理员进行相应操作的界面。参见图35管理员登录界面，图中左侧即导航栏，右侧操作栏为管理员进行登录操作的界面。图3，5管理员登录页面西南交通大学硕士研究生学位论文第29页免费帐号。管理员一次只能添加一个非过客帐号。添加过客账号是本系统的一个特色功能，可以次性添加最多5个帐号和对应密码。管理员只需在添加过客帐号的页面输入帐号的前缀和一次性添加的帐号个数，提交请求后系统将自动生成带有相同前缀的一组帐号和相应密码。这组帐号和密码最初保存在后台数据库的GUEST表中，管理员可以随时查询帐号名和密码。在帐号交付使用前，管理员需要对过客帐号进行激活操作，激活之后该帐号资料将从GUEST表中删除，同时该帐号的用户名和经过加密后的密码将被添加到USERS表中。这样既保证了使用中过客帐号信息的安全，也保证管理员可以随时查询未被启用的帐号和密码，以避免非过客帐号的闲置。33，14查找用户查找用户分为快速查找和分类查找。快速查找可以根据管理员输入的具体信息进行模糊查找。分类查找分为“付费类型”、“在线状态”、“过期帐号”三个大类的查找。管理员可以根据查找的结果对用户进行信息查看、删除、修改等一系列操作。3315用户续费管理员可以通过用户续费界面随时为用户进行续费操作。但当用户续费时改变付费类型时，为保证用户剩余上网时长不受影响，系统将相应改变用户余额。余额改变公式为原余额原单价元，J、时现单价续费金额。3316费用设定该界面是管理员设定各类帐号付费标准的界面，这样可以提高系统收费的灵活性。3317管理员注销管理员完成管理操作之后，通过注销退出系统。再次登录时需要重新通过登录界面进行登录。332系统管理工具后台系统管理工具前台是对用户帐号的全面管理，而系统管理工具后台则是为维护后台数据库而设计。因为用户每次登录系统都会在后台数据库的ACC01LT表中增加新的纪录。如果不定时进行清理，势必会增加系统负荷，最终导致系统崩溃。系统管理工具后台是个JAVASERVLET程序，在JAVA定时器的控制下，西南交通大学硕士研究生学位论文第30页该程序将在WEB服务器启动5秒后自动运行，删除后台数据库ACC01111T表内30天以前的记录。其关键源代码见下34本章小结本章主要介绍了后台数据库和WEB服务器的设计与实现。本章首先阐述了选择MYSQL数据库的理由，列出了数据库各表的用途与定义；之后从用户界面设计、身份认证、异常断线检测等三个方面具体介绍了WEB服务器模块的设计和实现，提出并实现密码和验证码的双重认证方式以及SERVLET监听器结合JAVA定时器的异常断线检测方案；最后从系统管理工具的前台和后台两方面阐明该基于WEB方式的系统管理工具的完善性和必要性，提出并实现了数据库自动清理程序。西南交通大学硕士研究生学位论文第31页第四章系统整合本系统是合作课题，整体系统由四大模块组成。本论文研究的重点是WEB服务器模块和后台数据库两大模块；朱建勋同学论文研究的重点是DHCP模块和访问控制策略模块两大模块。完成各大模块的研究之后，最关键的是系统的整体整合问题，即两人负责的两大关键模块间访问控制策略模块和WEB服务器模块的整合问题。图41给出了系统的整合方案采用了重定向技术和SOCKET通信技术完成整合。图41两大模块间的整合41整合技术重定向技术在用户通过认证之前，当用户在浏览器地址栏输入任意网址后，系统会将用户重定向到用户认证页面109INJSP，从而完成了访问控制策略模块和WEB服务器模块第一步整合。该步整合涉及到WEB服务器和访问控制策略两大模块的重定向技术。以下针对重定向技术作简单介绍1WEB服务器端的重定向WEB服务器端主要的JSPSERVLET重定向技术有两种461【471一是使用REQUESTDSIPATCHER的FORWARD方法，即；一是使用H郇SERVLETREPONSE的SENDREDIRECT方法，即”RESPONSESENDREDIRECT1”。前者在服务器端起作用，仅是容器中控制权的转向，在客户端浏览器地址栏中不会显示转向后的地址，即浏览器地址栏URL不变后者则在用户的浏览器端工作，是完全的跳转，浏览器将会得到跳转的地址，并重新发送请求。2访问控制策略模块的重定向西南交通大学硕士研究生学位论文第34页数据库以及SOCKET端口启动等，因此存在由于管理耋季裂鋈鍪耋薹羹霾丽戮鞘薪酸甲凳擎剖到；藏掣G雩II蠢|璺态疆盟滔婵卿型暨书巴阳F融尉驯萤舡戮“治捌暴烈嚣；耥潞蒹蹦豁捕甑甍龟IJ毪J刊翮簖懿翟哩薹I护蠢内F劐K越确霪书圳憾俨填倒嘎澜速嘲葚滢矗馐璎翔醋堑瓣黜薰鬟鞠醚鞑鲤“鞠潋卑雌。套警穆驯L蓦剖断线检测首先利用客户端用户在线状态查询页面ONLINEJSP的自动刷新更新数据库中ACCOUNT表的ENDTIME项；然后利用服务器端的SERYLET监听器结合JAVA定时器程序定时查出断线用户，并发送SOCKET程序，通知访问控制策略模块将用户从用户在线列表中删除，阻止用户访问收费网络资源。下面将具体介绍用户异常断线检测的实现。3231客户端页面的自动刷新利用客户端页面的刷新，调用JAVABE姐S的数据更新函数对数据库中ACCOUNT表的ENDNME项进行更新是实现用户断线检测的前提条件。META标签14L】【42】是HTML语言HEAD区的一个辅助性标签，共有两个属性，分别是HTTPEQUIVHTTP标题信息属性和NAME页面描述信息属性，NULLX200808酉南交通大学硕士研究生学位论文第37页432测试步骤1组建无线局域网局域网中2台电脑，1台装有无线网卡的电脑作无线局域网中的客户机，另一台作服务器，服务器中的一个网卡连接AP，该网卡作为内部网关一个网卡连接外网，用于访问外部资源。其网络配置图如图44所示。圈4_4系统整合测试配置图2运行程序A启动WEB服务器；B启动后台数据库；C启动IPTABLES防火墙；D启动DHCP服务器E启动SOCKET服务器端程序F装载访问控制策略模块。3用户认证部分AB、将测试客户机设置成自动获取口方式，测试DHCP模块；打开浏览器窗口，输入任意网址，测试系统整合的重定向部分C刻意输入错误的用户名、密码和验证码信息，提交信息，测试用户认证结果；D关闭SOCKET服务器端程序，测试用户认证结果；E重新启动SOCKET服务器端程序，输入正确用户名、密码和验证码，测试认证结果；D点击用户在线状态查询页面的“下线”按钮，测试正常下线西南交通大学硕士研究生学位论文第38页G重复BD，关闭用户在线状态查询页面，测试异常下线；4系统管理部分A1打开浏览器窗口，进入管理员登录页面；B1输入错误管理员名和密码，测试管理员认证结果；C输入正确管理员名和密码，测试管理员认证结果；D进行用户查看、修改、添加、查询、激活以及费用设定等一系列操作，测试操作结果；E注销，退出管理系统。433测试结论整合测试得到以下结论1测试客户机上不需要安装任何插件，只需通过IE浏览器登录接入认证计费系统认证页面进行认证。用户感觉不到网关的存在，圆满地实现了透明网关的功能。2根据用户用户名、密码、验证码输入的不同错误以及SOCKET服务器端的运行情况，系统会给出相应的错误提示。3在SOCKET服务器端程序正常运行时，如果输入正确的用户名、密码和验证码，认证确实通过，WEB服务器立即推出WELCOME页面，提示用户通过认证，15秒后该页面自动关闭，出现用户在线状态查询页面。同时数据库记录用户在线时间进行计费。用户可以访问所有受限网络。4根据用户的不同类型，用户在线状态查询页面能正确显示相应的信息，包括用户名、在线时间、本次在线最长市场；用户可以在在线状态查询页面查看上网信息、修改页面、下线等操作。5用户正常下线和异常下线均成功实现NULLX西南交通大学硕士研究生学位论文第39页44本章小结本章首先提出系统整合方案，然后重点介绍了重定向技术和SOCKET技术以及如何采用这两个关键技术实现访问控制策率与WEB服务器模块间的整合，最后给出系统整合测试结果。西南交通大学硕士研究生学位论文第41页52研究过程中的疑难问题及其解决思路整个研究过程可以说是疑难问题出现和解决的过程。在这个过程中，我解决问题的能力得到了进一步的提商。以下针对几个关键性的问题作一个总结在进行本课题研究之前，我很少接触LI肌X系统，对该系统下的软件并不熟悉。因此用什么软件来进行系统开发，是最初困扰我的问题。在大量查询网络资料的基础上，我找到了ECLIPE这个集成开发环境，经过最初的测试，确定了该软件适用于本课题的开发。ECLIPSE是一个开放性的集成开发环境，必须安装多个插件才能满足本项目的开发要求，而且某些插件的版本号还必须对应参见244。我曾因为忽视版本的对应性而没有成功。开始以为是ECLIPSE自身的问题，后来在其官方网站上查阅了资料才知道问题所在。另外配嚣LOMBOZ也需要特殊的步骤，我是根据其官方文档才成功配置的。因此在初次使用某些软件的时候，最好可以在其官方网站找帮助文档，这可以让你事半功倍。LINLL【下的A口ACHE服务器是众所周知的，其强大的功能也能到了用户们的肯定，但是运行JSP，SERVLET还必须需要TOMCAT容器。如果不进行整合，那么必须在浏览器地址栏输入地址的时候必须加入8080端口的参数，这不仅会影响用户使用的便利性，也会影响最后系统的整合，因此整合是必须的。网络上目前比较流行的整合器是MODJK和MODJK2，其中由于MODJK2配置非常麻烦，已经不再建议使用了。在查阅大量资料并不断试验之后，我发现一种更加简单的整合方式，用MO山ROXY来实现，参见附录。这个问题的解决花了我相当多的时间，真的体会到了“失败是成功之母”含义。本系统的WEB服务器模块是用J8VA开发的，而访问控制策略模块是用C语言开发的。针对用不同语言开发的两个模块，用什么方式来实现系统第二步整合曾一度成为我们开发过程中的关键问题。最后在了解TCP协议的基础，应用了SOCKET技术很好地解决了这个问题，详见42。西南交通大学硕士研究生学位论文第44页致谢首先我要感谢我的导师范平志教授，感谢他在这两年半以来对我在生活、学习、工作等各方面的关心和支持，使我能顺利完成学业。并且本论文的选题和研究工作都得到了范老师的悉心指导，他给予我的宝贵意见和建议对我的论文工作起到了很大的帮助。范老师渊博的知识，敏锐的思维和严谨的治学态度使我受益匪浅，谨此对他表示深深的谢意。同时要感谢合作伙伴朱建勋同学，在整个研究过程中他都给我很大的支持，在遇到问题的时候和我一起商量解决。正是两人共同的努力，才有今天的成果。另外，也感谢01404实验室的同学们在整个研究过程中给与我的支持，我们一起度过了一段令人难忘的紧张而美好的时光。最后，还要特别感谢我的家人和朋友们，他们的支持、关心和爱，是我能够顺利完成学业的动力。西南交通大学硕士研究生学位论文第45页参考文献【1】袁智坚宽带接入网络中的主要认证技术中国数据通信，2003，1014222】吴企渊计算机网络北京清华大学出版杜，2006年3】陶晓明，孙树峰，薛梅无线局域网安全认证协议研究菏泽师范专科学校学报，2004，2629，134】METZCAAAPROTOCOLSAUTLLENTICATION，卸MORIZATION，A11DACCOUNTINGFORTHEINTEMET纽TEMETCOMPUTING，IEEE，1999，3675795BABORA，PCALHOUN，SGLASSCRITERIAFOREVALUATINGAAAPROTOCOISFORNETWORKACCESSRFC2989NOVENLBER20006】TWORKWORKINGGROUPA从觚THORIZATIONREQUIREMENTSRFC2906AUGUST20007朱恺，曹秀英无线局域网中RADIUS协议原理与实现微计算机信息，20042091181208李连宇PPPOE协议简介华为南京办事处HTTPN和今后努力的方向本课题虽然已经完成，我们的系统经过测试也运行正常。但是任何一个系统总有它需要改经的地方，以下将对存在的问题和今后努力的方向作一个总结。对于像实验室这样的环境，如果在接入认证计费系统中加入打印服务器模块，实现打印认证，那么这个认证系统将更加完善。目前，WINDOWS系统已经成功实现利用浏览器实现打印认证，但是LINUX下还是只能通过坤PINTEMETPRINTINGPROTOC01来实现打印认证。我曾经尝试过用LINUX下的CUPSCOMMOUN蛩586L【12厉鲁卫，蒋苗林，周朔燕等，PPP协议及其在PPPOE宽带接入中的应用口，中国有线电视，2004，25861【13李俊华PPPOE协议分析及LINUX操作系统下的设计与研究D成都；西南交通大学机械学院，200414】张南雨，屈学莲RADIUS协议认证和授权方法及包结构重庆邮电学院学报，200L，133788115张剑，黄本雄，汪晓玲，RADIUS协议在无线宽带接入认证与计费系统中的应用中38】LUKEWELL鹕LAURATHOIILSONMYSQLTUTORIALSALRISPUBLISLLING，200311391RONALDRIVESTTHEMD5MESSAGED嬉ESTALGONTHRNHTEMETRFCS132L，1992F401王可MD5算法详解H钍PWWW。YESKYCO“246218246，SH衄I411METAMETAINFO肋ATIONHTTP枷NNI，HTMHELP