宽带用户认证系统的建构(共3526字).doc

宽带用户认证系统的建构(共3526字)1全业务接口全业务接口包括：业务受理接口、业务查询接口、数据同步接口、FTP文件上传接口。全业务接口架构如图2所示。业务受理/查询接口为“第三方系统”主动发出请求的通信过程，可根据接口双方约定，提供Socket、http、webservice等方式的接口数据请求支持。接口业务内容包括：新户注册、资料变更、账号开通、账号报停、账号复通、套餐变更、账号销户、预约报停、预约套餐、费用预缴、余额重置、欠费销账、欠费坏账、强制离线等。数据同步接口支持socket方式主动通知“第三方系统”；“第三方系统”的SocketServer收到通知后，再通过其Client端发出业务查询接口请求，取回需同步数据。接口内容包括：套餐列表、区域列表、带宽列表、资费列表、系统停机账号等。FTP文件上传接口支持FTP方式，将结算账单、账号上网详单、接口双方约定的其它数据定期上传到“第三方系统”的FTP服务器；定时将生成的上网计费账单（登录记录）格式化成文本文件，上传到“第三方”提供的ftp服务器，供“第三方”接口模块读取。统一身份认证接口实现单点登陆、多点认证，统一身份账号数据源；认证过程可实现系统间账号资源自动同步，减少人工操作环节；支持多种接口方式，灵活满足运营商不同发展阶段的需要。实时在线用户信息接口实现实时在线用户信息查询；手动强制在线用户离线；查看用户的使用记录；统计在线人数、TCP连接、UDP连接曲线、流量曲线等。2RADIUS认证RADIUSSERVER是宽带用户认证系统的核心组件，提供集中的用户验证和接入策略管理，使运营商能够控制用户对其网络的接入和使用，防止非法用户接入，在用户连接网络前确保他们遵从安全策略，为每位用户分配适当的接入级别，为计费/跟踪系统提供记账记录。支持各式802.1X安全认证协议，支持标准RADIUS协议，符合RFC2865、RFC2866、RFC3576协议，完整支持DHCP认证、IPoE认证、PP-PoE认证流程；针对BRAS（BroadbandRemoteAccessServer，宽带接入服务器）等接入设备断电或故障重启情况，提供在线用户防挂起设计；检测BRAS等接入设备重启后清空在线用户，防止用户认证失效。3用户管理用户管理支持灵活多样的业务处理方式：实时业务办理、预约业务受理、批量业务处理等。业务类型完善，包括：开户、开通、收费、报停、复通、变更套餐、修改资料、销户等。支持丰富的调账功能、完善的单条件及组合条件查询统计等。可追溯详细的业务受理日志、缴费记录、结算记录、上下网详单等。支持个人用户与专线用户管理，支持灵活的个人带宽管理，可支持对MAC、IP、VLAN、登录数等网络属性的绑定，也可根据网络接入参数实现后台自动绑定。4用户自助服务自助服务系统支持丰富的自助查询与自助业务办理功能，自助系统开放的功能可以在后台管理界面上由系统管理员统一配置，比如允许开放的自助查询业务、自助变更套餐、停/开机等。此外，还可以灵活配置允许自助维护用户资料的选项，比如哪些用户资料允许变更、哪些允许一次性变更等。5统计分析报表系统提供的查询报表功能丰富，分别基于用户、账务、操作人员、套餐组、运营、详单等作为侧重点，为系统的各部门人员提供其所关注的报表数据。支持丰富的单条件、多条件组合、复杂条件嵌套作为生成报表数据的筛选范围。6系统权限管理宽带用户认证系统支持完善的角色权限管理。角色信息可以配置工号、姓名、别名，可以分别用其中之一登录系统。可以配置系统使用者是否能多点登录系统及源地址范围绑定等。系统方案实施1系统组成和运行环境宽带用户认证系统的关键业务系统包括：（1）ORACLE（10g）数据库服务器，用于存储系统所有业务数据和配置参数；（2）守护进程服务器，用于数据库服务器与BRAS进行数据交换与数据更新；（3）用户自服务（WEB）服务器，供用户在线查询或自服务的服务器系统；（4）访问记录服务器，用于记录用户上网访问记录的服务器。系统部署如图3所示。2系统高可用设计认证系统作为整个运营系统的数据及营帐中心，部署在核心机房的服务器区域。考虑到整体系统的高可用性，将Oracle数据库及守护进程服务器（负责同步RADIUS服务器与数据库信息）部署为双机热备模式。在系统中，RADIUSSERVER与后台数据库的数据同步与更新，是通过守护进程服务器实现的。RADIUSSERVER设备本身配有大容量的FLASHROM，RADIUSSERVER本身能保存用户话单和用户资料，在与后台（守护进程服务器）中断后，RADIUSSERVER仍能对中断前已开通的用户提供完整的接入、认证、计费和控制功能；中断过程中，对于正在正常使用的用户不产生任何影响。3数据库服务器与数据存储的高可用性采用数据库服务器双机热备磁盘阵列的方案，实现数据库和数据库服务器的高可用性。4宽带用户认证系统技术方案方案实施网络拓扑图如图4所示。（1）RADIUS-1、RADIUS-2、数据库服务器、用户自服务服务器由城市热点提供。RADIUS-1、RADIUS-2两台服务器作为RADIUSSERVER，用户自服务服务器和终端用户之间需要路由可达。这部分需要三个公网IP地址：radius-1配置IP-W1，radius-2配置IP-W2，用户自服务服务器配置IP-W3。（2）管理部分只需保证RADIUS-1、RADIUS-2、数据库服务器、用户自服务服务器及管理终端相互连通。为节省公网地址资源和安全性考虑，采用私网IP地址：RADIUS-1配置IP-L3，RADIUS-2配置IP-L4，数据库服务器配置IP-L1，用户自服务服务器配置IP-L2。（3）数据库服务器采用centos5.6操作系统，安装ORACLE（10g）forlinux。（4）管理终端通过B/S界面进行用户管理、查询、统计。B/S结构（Browser/Server，浏览器/服务器模式），是WEB兴起后的一种网络结构模式，WEB浏览器是客户端最主要的应用软件。这种模式统一了客户端，将系统功能实现的核心部分集中到服务器上，简化了系统的开发、维护和使用。（5）RADIUS与BRAS通讯通过千兆光口。与数据库服务器通讯端口采用千兆电口。数据库服务器、用户自服务服务器所有通讯端口皆为千兆电口。安全配置及附属设备说明如下。（1）RADIUS-1、RADIUS-2、数据库服务器、用户自服务服务器及管理终端通过千兆电换机相互连接。（2）管理终端需访问数据库服务器IP-L1所在端口的80端口和SSH端口，目前启用了Iptables。（3）管理终端需访问用户自服务服务器IP-L2所在端口的SSH端口，目前启用了Iptables。（4）管理终端需访问RADIUS-1、RADIUS-2的IP-L3、IP-L4所在端口的SSH和telnet。（5）管理网安全措施由三部分组成：服务器启用IPtables，B/S操作页面登陆需要账号密码，可以控制登录B/S操作页面的管理终端的IP范围。（6）终端用户需访问用户自服务服务器IP-W3所在端口的80端口，目前启用了Iptables。（7）RADIUS-1、RADIUS-2的IP-L3、IP-L4只需同BRAS通信，目前启用了Iptables。（8）RADIUS-1、RADIUS-2只需同BRAS通信，在前端相关防护设备上做ACL（AccessControlList，访问控制列表）策略，禁止其他IP地址访问。结束语目前宽带用户认证系统平台已经构建完成并入网，实现了RADIUS认证平台功能。经过详细测试发现，认证服务器的处理能力决定着性能，认证服务器满足不少于20个认证/秒的处理能力，时延不大于5000ms。随着业务的发展，RADIUS认证平台系统由于具备灵活的扩展设计，能够根据用户量以及网络规模做相应的扩展。（本文第 7 页 共 7 页