《认证解决方案》word版.doc

《《认证解决方案》word版.doc》由会员分享，可在线阅读，更多相关《《认证解决方案》word版.doc（12页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、有线/无线认证解决方案2.认证解决方案42.1认证系统网络拓扑及方案说明42.2IM平台接口服务说明53.城市热点2166产品介绍73.1Dr.COM 2166 B-RAS计费系统简介73.2支持IPv6/v4双栈的认证计费和带宽控制83.3支持链路汇聚和负载均衡83.4RADIUS SERVER / RADIUS CLIENT83.5身份认证103.6详尽用户上网访问日志103.7丰富的计费策略113.8完善的接口功能113.9功能完善的网上自助服务系统113.10在线用户接口对接效果-与日志审计系统进行对接121.认证构建背景和目标随着网络的不断建设和完善，在WLAN使用过程中需要针对内部

2、人员上网及访客上网实现实名认证和记录，如内部办公人员通过固定账号密码进行认证，随着政务系统的网上，办公人员可以使用IM系统的同时通过网络认证，访客通过手机短信获取以手机号为账号，随机生成密码方式进行认证；并且能够通过一个用户管理平台查看无线用户所在的位置或区域。 建设目标：l 针对公共服务中心无线网络，提供两个SSID（内部、访客）及实名身份认证。建设统一身份认证平台，便于与政务通等系统实现相关对接。l 与政务通IM平台对接，实现单点登录SSO，即开机后登录IM平台自动通过网络认证，无需二次登录。l 实现双机热备，避免单点故障。l 实现无需安装插件的防代理功能。l 具备人机交互良好的用户操作界

3、面，便于管理员按照不同需求进行相关配置，支持管理员通过web浏览器、智能终端操作系统对统一身份认证平台的管理，查询，统计。l 针对后期访客，能够提供短信网关认证方案。2.认证解决方案2.1认证系统网络拓扑及方案说明n 硬件：Dr.COM 2166 B-RAS 认证网关Dr.COM Radius Servern 认证系统支撑管理平台：Dr.COM数据库服务器Dr.COM Billing ware ：管理支撑平台Dr.COM 政务系统全业务接口如上图，Dr.COM 2166 B-RAS 认证网关部署在网络出口上，负责对所接入的WLAN用户访问互联网的接入、认证、和控制，以及数据采集。Dr.COM

4、RADIUS SERVER则对内部WLAN用户进行RADIUS认证、Dr.COM Billing ware业务支撑在公共服务中心数据中心，系统实现网络监控、策略设置、账号管理、统计输出报表、访问记录存储等业务功能。各部分的主要作用说明如下：n Dr.COM 2166 B-RAS认证网关2166 B-RAS认证网关对WLAN接入用户提供认证、数据采集和用户接入控制管理。n Dr.COM高性能RADIUS服务器该系统处理无线用户提交的身份认证请求，可以基于不同SSID实现固定账号密码认证和短信账号认证n Dr.COM ORACLE数据库服务器该服务器对RADIUS服务器提供设备管理、业务配置管理、

5、安全管理、用户管理和营帐中心支撑平台。n Dr.COM 政府系统接口IM接口。接受IM平台发送认证信息，允许IM平台中登录用户信息直接在Dr.COM中认证通过2.2IM平台接口服务说明 系统结构图Dr.COM网关IM服务器用户Dr.COM业务接口 Portal服务器 流程说明1. 用户被AC重定向到PORTAL页面，提示使用IM客户端登录。2. 用户登录IM客户端，客户端将用户IP，账号信息发送到IM服务端3. IM服务端将登录信息转发Dr.COM全业务接口4. Dr.COM全业务接口校验账号信息5. Dr.COM校验信息成功，Dr.COM网关允许用户上网，并做相关记录3.城市热点2166产品

6、介绍3.1Dr.COM 2166 B-RAS计费系统简介Dr.COM 2166 B-RAS 宽带接入服务器是一种专用的以太网宽带接入的智能设备，部署在接入层，汇聚层和核心层的出口，支持分布式和堆叠，适用于城域网，大型小区的宽带运营，负责用户的认证，授权和计费，数据采集、实时控制和执行各种网络和计费策略，采用Dr.COM自主开发的网络操作系统，并将数据传送到后台进行处理，配合Dr.COM 的计费软件，共同组成Dr.COM宽带计费管理平台。Dr.COM 2166 B-RAS 宽带接入服务器支持线速的千兆 的L3 层交换，支持L2 L7 层的流分类，在流分类的基础上可以进行基于用户的ACL 和QOS

7、 方面的多种操作，执行各种类型的实时计费控制策略，单台支持64000个用户账号，最大型号支持16000个用户同时在线。双机热备份，可靠性非常高。产品外观前视图2166 B-RAS处理性能卓越设备采用多核技术，比上一代产品性能提高2-3倍；产品采用4核CPU，双操作系统的平台，继承了原有DrOS平台系统优异的稳定和高性能的优点，以DrOS为核心的同时又采用了开放的linux操作平台作为应用开发平台，支持IPv4/v6双栈技术，实现了双向2G（即4G的全线速转发能力），转发能力比Dr.COM 2133 B-RAS提高2-3倍，千兆全双工64字节包转发率达到100，真正实现千兆线性转发。3.2支持I

8、Pv6/v4双栈的认证计费和带宽控制IPv6(Internet Protocol Version 6，即网际网路协定版本6)也被称作下一代互联网协议，它是由IETF设计的用来替代现行的IPv4协议的一种新的IP协议。IPv6是为了解决IPv4所存在的一些问题和不足而提出的，同时它还在许多方面提出了改进，例如路由方面、自动配置等方面。新一代Dr.COM 2166 B-RAS全面支持IPv6，完全满足新一代IPV6网络认证计费和运营管理需求。同时，北京城市热点Dr.COM 2166 B-RAS是国内首个通过IPv6 Ready第二阶段增强金牌认证的宽带认证计费产品。3.3支持链路汇聚和负载均衡能够

9、灵活适应日益复杂的城域网网络环境，特别是在运营商经过多年发展后，并发用户数和流量大大增加，Dr.COM 2166 B-RAS为客户提供高性能和低成本的组网方案，大大提高客户的设备投资利用率。Dr.COM 2166 B-RAS最多可支持6个千兆网络端口，可支持双进双出的端口配置模式，另外两个千兆网络端口可用于两台Dr.COM 2166 B-RAS之间数据同步。 Dr.COM 2166 B-RAS端口支持链路聚合功能，两条1G捆绑可以满足单台设备单向2G双向4G的流量。3.4RADIUS SERVER / RADIUS CLIENT随着现有各厂商对Radius协议的标准化理解以及Radius扩展属

10、性的补充，Radius协议的功能越来越全面，城市热点2166支持标准RADIUS 协议，符合RFC 2865 RFC 2866协议，可以与第三方RADIUS配合完成认证，计费。也可以根据RADIUS SERVER扩展RADIUS属性。其主要优势是：1. 性能强大，其专用网络操作系统利用基于高性能的硬件，可实现每秒500万包的包处理能力，每秒可处理5000个认证请求，是普通软件RADIUS服务器的十倍；高性能和高并发认证能力对于故障恢复后“认证浪涌”、低时间间隔的计费更新包都是至关重要的，低性能的Radius服务器很容易在以上两种情况下导致负载过高甚至宕机。2. 可靠性高，Dr.COM Radi

11、us服务器除了可实现一主一备的冗余方式，另外可以实现用户账号的本地缓存，与后台数据库的互为冗余，当Radius服务器与数据库服务器通讯异常，Radius服务器可以使用本地缓存的用户账号继续提供认证和计费功能，使认证计费平台比一般软件Radius服务器可靠性更高；另外Dr.COM Radius服务器还支持单IP多台集群部署，实现负载均衡和热备，由于有些BAS设备切换主备RADIUS服务器的时间会比较长，因此单IP的RADIUS服务器集群比传统的主备RADIUS服务器部署对用户的影响更小，是一个更理想的高可用部署方式。支持Accountingon重登录设计，当接入服务器断电或其他故障重启后，如果向

12、Radius服务器发出Accountingon包，Dr.COM Radius服务器会将原来通过该接入服务器接入的在线用户清空，防止用户死锁而导致的无法登录。3. 安全性高，一般软件Radius服务器都是采用开源的Linux系统进行开发，由于是通用操作系统，其安全漏洞和后门需要频繁打补丁进行补漏，一旦补丁打得不及时，或者遭到黑客攻击，则整个认证平台可能会瘫痪，甚至导致账号资料的流失；而Dr.COM RADIUS Server采用城市热点自主研发的网络操作系统，其底层和内核均不是基于传统的Linux平台，因此不存在Linux等开源或商业操作系统带来的安全隐患，而且Dr.COM RADIUS Ser

13、ver具备内置防火墙、防DDOS攻击、内置ACL等多种安全功能，整体安全性比一般软件Radius服务器高得多。Dr.COM RADIUS Server支持CHAPMD5挑战值方式，在认证的通讯过程中保证不会被破解或监听到密码，比一般仅支持PAP的软件RADIUS服务器安全性更高。Dr.COM 产品自身除了可以作为RADIUS SERVER外，也可以配合第3方厂家的RADIUS SERVER作为RADIUS CLIENT使用。并创造性的提出Radius Cache功能，即便在Radius服务器死机的情况下，之前认证过的用户信息（只要用户有过1次登陆）会保留在Dr.COM Radius服务器中，所

14、以并不会影响用户的正常认证，充分弥补了由于Radius服务器不稳定因素导致不能认证的严重后果，即RADIUS服务器和接入服务器出现中断，也不会影响到正常接入。3.5身份认证Dr.COM 2166 B-RAS支持多种认证协议，能够直接终结PPPoE、PPTP认证协议，同时还支持802.1x、Web登录方式，自有的专用客户端还能提供防代理、透三层绑定MAC、在线催费、信息发布等功能，可根据自己的需要，灵活选择一种或多种认证方式。另外还支持标准的RADIUS协议，能够很方便的与第三方设备进行认证与计费，大大保护网络设备的投资。3.6详尽用户上网访问日志Dr.COM 计费网关在对于用户访问记录的记录方

15、面是非常完善的。而且为访问记录专门设计一个数据库日志文件。并且根据当其访问记录超过容量时，自动分配一个新的访问记录文件，可以通过写文件或者写数据库的形式保存访问记录，保证了访问记录的完整性和灵活性。Dr.COM 2166 B-RAS计费网关的存储过程是：用户登录认证成功后，访问网站，通过页面或者客户端注销后，产生登录记录和访问记录，2166 B-RAS计费网关把登录记录和访问记录存放到指定的Dr.COM数据库服务器中（2166 B-RAS计费网关支持双机热备份，数据库服务器可以采用双机热备份的形式，即多台数据库服务器互作备份），当主数据库服务器无法工作时，而且没有备份数据库服务器，这时，216

16、6 B-RAS并不会把用户的登录记录和访问记录丢弃，而是把登录记录和访问记录存储到 CPU RAM （即内存）中，保证了用户数据的完整性。如果主数据库连接长时间得不到恢复，硬件将只存储最新的16000条登陆记录，32000条访问记录。（如果用户每天访问记录特别大，通过增加内存即可，以上存储数据由内存大小决定）。访问日志是通过写文件的形式存储到数据库服务器硬盘里面的，存储时间的长短，取决于硬盘空间的大小。只要硬盘空间足够大，就可以存储相当的日志文件，并且保证数据不会丢失。在访问记录中您可以随时查询到：账户名、登陆访问时间、当前在线人数、总使用时间、登陆的目标网站地址、目标IP、源IP、MAC地址

17、等等。另外可根据需要增加所需字段，如用户操作系统标志、交换机标记、楼层标记等字段等。目前,公安和国家安全机关对访问记录的查询的需求是很大的，包括黑客攻击、反动言论的查询等，但访问记录的采集对嵌入网络出口的接入设备而言，是一个负载很重的工作。Dr.COM 2166 B-RAS以其高性能高稳定性，在不影响正常接入认证计费功能的同时，能够采集用户访问的完整url记录，大大满足用户的需求。3.7丰富的计费策略Dr.COM目前支持49种计费策略和16种服务策略，支持按流量、时间和包月计费；支持按期限、合约方式计费；支持临时、专线储值卡方式计费；支持按国内、国外分开计费；支持按不同目标地址及服务计费；支持

18、充值卡充值、网上自助服务；支持行政费用计费等；可以实现以上多种计费策略灵活组合计费；支持设定时间上限，流量上限，最低消费，信用额度，费用封顶，优惠，赠送等多项控制参数。3.8完善的接口功能 Dr.COM目前支持丰富的接口，酒店范围内的酒店PMS接口；高校范围内的一卡通接口、自服务系统接口等；企业内的工单系统接口、call center接口等；运营商范围内的97系统接口、银行代收系统接口等3.9功能完善的网上自助服务系统用户自服务系统是为用户提供网上自助服务的，使用该系统不但减轻运营部门日常业务的工作量，而且给用户带来极大的方便，用户无需亲临营业点即可通过网络进行日常业务操作及相关查询。用户可通过网上自助系统完成以下日常业务办理：用户账号预注册、登陆记录查询、缴费记录查询、充值记录查询、账单查询、实时服务费查寻、服务期限查询、开停机受理、组变更、充值卡充值、客户资料查询、密码修改等。3.10在线用户接口对接效果-与日志审计系统进行对接