 |
相关文章 |
|
|
|
|
|
|
| 前校园网认证计费体系出现的网络安全 |
| 作者:佚名 来源:本站整理 发布时间:2008-5-4 7:30:28 发布人:guo8130 |
 减小字体
 增大字体
|
|
随着校园网的规模的扩大,缺乏合理的管理模式,缺乏灵活的计费策略,网络的安全
性及稳定性得不到保障等问题也逐渐暴露并显现出其严重性。因此,如何对网络中的各种资
源进行有效的管理和分配,已经成为高校校园网络管理者的一个重要课题。
本文结合MVC 架构中基于J2EE 的Struts 模式,设计并实现了基于802.1x 的校园网认
证及计费管理系统的解决方案。本系统采用802.1x + Radius 认证计费体系方案,对用户身
份进行认证;使用Radius 服务器实时采集数据,制定了灵活的计费策略对用户进行计费;
校园网络计费管理系统和用户自服务子系统,全面解决了上网用户身份认证、授权、上网时
间/流量计费、收费结算与费用查询、接入管理等宽带校园网络应用过程中面临的核心问题。
本文实现的校园网认证计费方案,与J2EE Struts 架构进行了优化整合,实现了身份认
证系统、后台计费主系统和计费前端管理系统等主要功能。
2.系统设计方案
针对校园网建设的目前需求和以往认证及计费系统的弊端,本文开发和设计出基于
802.lx 的认证及计费管理系统。该系统采用802.1x + Radius 认证计费体系方案,对用户身份
进行认证;使用Radius 服务器实时采集数据,制定了灵活的计费策略对用户进行计费;并
结合MVC 架构中的基于J2EE 的Struts 模式设计的校园网络计费管理系统和用户自服务子
系统,全面解决了上网用户身份认证、授权、上网时间/流量计费、收费结算与费用查询、
接入管理等宽带校园网络应用过程中面临的核心问题。
2.1 802.1x认证协议
802.1x 协议是基于Client/Server 的访问控制和认证协议,它作为二层协议,不需要到
达三层,对设备的整体性能要求不高,可以有效降低建网成本;借用了在RAS 系统中常用
的EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP 认证架构的
兼容;802.1x 的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能,从而可以实
现业务与认证的分离。由Radius 和交换机利用不可控的逻辑端口共同完成对用户的认证与
控制,业务报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据
包是无需封装的纯数据包;可以使用现有的后台认证系统降低部署的成本,并有丰富的业务
支持;可以映射不同的用户认证等级到不同的VLANL;可以使交换端口和无线LAN 具有
代写论文
- 2 -
安全的认证接入功能。
802.1x 协议作为一种基于端口的网络接入控制技术,只关注LAN 端口的开关,通过认
证时,LAN 端口打开,否则端口处于关闭状态。认证的结果仅仅是LAN 端口状态的改变,
不涉及传统认证技术必须考虑的IP 地址协商与分配问题。因此,802.1x 也是目前各种认证
技术中最易实现的一种解决方案之一。[1]
2.2 Radius认证
Radius(Remote Authorization Dial In User Service)是一个应用广泛的标准,用于对网
络用户的身份验证。它能提供安全性、身份认证和计费管理,提供对AAA 的支持,即
Authentication(认证)、Authorization(授权)和Accounting(计费)。Radius 计费为存储
的登录网络用户会话中搜集到的计费数据提供了可编程的接口。采用客户机/服务器模型,
其中客户机是网络访问服务器(Network Access Server,NAS),服务器是接收并存储来自
一个或多个NAS 的计费数据的进程。他们之间的通信协议利用简单的Account-Request(账
户请求)包实现客户机到服务器的数据通信,利用Account-Response(账户应答)包作为回
应,表示数据已成功接收。
Radius 计费采用可扩展的代码/长度/值的格式传输计费数据。协议只需选用新的代码,
就能够增加新的属性。据估计,未来厂商的Radius 实现中将增加针对服务的数据类型,例
如:使用特定COS 发送的数据,特定响应时间发送的数据以及其他策略信息,随着时间的
推移,这些数据类型可能成为标准代码。
2.3 系统设计框架
本系统采用802.1x + Radius 认证计费体系方案。各子网内的用户通过运行客户端软件
输入用户名和密码,系统自动将该信息经由NAS(Network Access Server)传送至Radius
Server 进行认证,身份验证通过后,由DHCP 服务器给用户分配合法的IP 地址(也可分配
固定IP),允许其使用整个网络资源,如果验证未能通过,用户只能在子网内进行通信。
通过安全登录、认证,用户才能取得合法的IP 地址,用户的IP 地址与用户的账号唯一对应,
通过网络管理软件,对用户使用网络的情况进行监控,有效地防止了IP 地址盗用和非法用
户使用网络,保障了网络的安全。校园网认证及计费管理系统网络构架如图1 所示:
代写论文
- 3 -
防火墙
radius服务器
路由器
核心交换机
汇聚交换机
mysql数据库
图1 校园网认证及计费管理系统网络构架
用户通过客户端连接交换机,交换机将用户请求信息通过非受控端口发送至Radius 服
务器,进行身份认证,身份认证通过则打开交换机一个逻辑端口的受控端口,并利用受控端
口通信。交换机实时将流量和时间等信息传至Radius 服务器,作为计费的原始数据。
3. MVC架构和Struts框架介绍
本系统采用基于MVC架构的Struts 框架结构编程,为系统提供了一个友好的用户界面,
具有易于扩展和扩充,易于操作和管理等优点。
3.1 MVC的结构
MVC 是Model-View-Controller 的简称[2],即把一个应用的输入、处理、输出流程按照
Model、View、Controller 的方式进行分离。这样一个应用被分成模型、视图和控制器三部
分。模型层表示数据和业务逻辑,视图层提供数据显示和用户输入,控制层负责派遣用户请
求和控制流程。图2 显示了这几个模块各自的功能以及它们的相互关系:
应用MVC 可以使多个视图能共享一个模型,同一个Web 应用程序会提供多种用户界面,
业务逻辑和表示层分离,同一个模型可以被不同的视图重用,大大提高了代码的可重用性。
此外,控制器提高了应用程序的灵活性和可配置性。
代写论文
- 4 -
图2 MVC 设计模式
3.2 Struts框架
Struts 按照MVC 模式的思想,提供了一种创建Web 应用程序的框架。其中对应用程序
的用户界面表示和数据的后端逻辑处理代码进行了抽象,整合了Servlets 和JSP 在Web 应
用开发上的优势以建立灵活,扩展性强,复用程度高的应用系统。Struts 是一个“Web 应用
框架”,实现了MVC 设计模式,它同时包含了丰富的标记库和独立于该框架工作的实用程
序类,可以大大简化J2EE 的Web 应用开发。Struts 的工作原理如图3 所示:
图3 Struts 的工作原理
4. 系统功能设计
4.1 计费系统软件结构
代写论文
- 5 -
图4 校园网计费系统软件结构图
在完成用户身份认证后,启用访问费用判断模块来判断用户是否具有足够金额访问网络
(账户金额>0),可根据实际情况断开或者保持用户的网络连接(通过控制受控端口的状态)。
在服务器强制断开用户网络连接或者用户主动断开网络连接时,用户此次使用网络的流量、
使用时间等信息自动写入数据库中。定时启动计费策略模块,计算出用户在定时范围内的网
络通信费用,修改数据库中的账户余额。
4.2 计费前端管理系统软件体系结构
计费管理系统层次结构图如图5 所示:
图5 计费管理系统层次结构图
本认证及计费管理系统主要功能包括:
1. 身份认证系统:在校园网中实施基于802.1x + Radius 的认证系统。用户输入用户名和
代写论文
- 6 -
密码,报文送达交换机端口,此时交换机相应端口对于此用户来说是非授权状态,报文打上
相应端口的PVID,然后根据用户名所带域名送到相应域中进行认证,如果该域配置了radius
认证方式,那么交换机就把该报文转为radius 报文送给相应的认证和计费服务器,认证和计
费服务器如果存在相应的用户名和密码,就返回认证成功消息给交换机,此时端口对此用户
变为授权状态,如果用户名不存在或者密码错误等,就返回认证不成功消息给交换机,端口
仍然为非授权状态。
2. 后台计费主系统:用于数据库中的计费信息进行统计汇总,并按照预先定义的计算规则
进行费用计算,生成计费账单,扣除用户预交费用等。
3. 计费前端管理系统:包括用户组的管理、用户的管理、计费策略管理、缴费管理、网络
查询管理、用户权限管理。用户自服务模块提供界面供用户直接查询流水、账单以及修改用
户信息等功能。
4.3 数据库总体设计
对于目前的网络来说,由于网络上的设备主要有交换设备和路由器,因此计费数据可从
交换设备和路由器上获得,实际上,该两种设备已经包含了计费所需的信息。在本解决方案
中,数据的采集可通过Radius 协议直接把接入交换机上的数据读入认证服务器中。Radius
会自动在mysql 数据库中创建表,这几个表表名如下[3]:nas,radacct,radcheck ,radgroupcheck,
radgroupreply,radreply ,radpostauth,usergroup,详情见图6 所示:
图6 Radius 认证计费数据表结构
5. 系统功能的实现
5.1 认证模块的实现
在网络最低端的接入层采用具有802.1x 技术的交换机来达到对端口控制的目的。本系
统选择了Linux 操作系统(RedHat Linux 7.2)作为服务器的平台。作为解决方案的核心,
代写论文
- 7 -
认证服务器选择了基于Radius 协议的FreeRadius 认证系统,并选用MySQL 数据库作为用
户管理数据库,实现网络用户的集中管理。
5.2计费模块的实现
计费系统根据设置的时间频率定时通过计费策略模块算出在一定时间内的上网费用,并
累加到表user 的Cost(上网费用)列,更新Balance 列(即账户余额=预存金额-上网费用)。
计算上网费用的时间频率管理员可以通过配置文件设置,系统要求实时程度高,则时间可以
设置较短;系统要求效率高,则时间可以设置较长。访问费用判断模块通过判断账户余额是
否小于0 来确定用户是否有权使用网络。
为满足不同层次用户的需求,计费系统的计费策略要求为不同需求的用户提供不同层次
的服务和不同的收费准则。可以从三个角度考虑:用户流量、用户上网时间、用户上网时段,
采取的是有限制的包月方式。用户先缴纳一定费用的月租费,享受一定范围的免费网络使用
(免费时长或免费流量)。在超过这个免费范围之后,设置在一定流量范围内(或时间范围)
收取的上网费用。
系统使用者可以根据自身及用户情况,量体裁衣,灵活制定计费策略,如针对学生用户、
教师用户等等。当有新的需求时,可随时增加策略,以适应新的需求。
5.3管理模块
5.3.1用户分组管理
管理用户的一个最好的方法是按照计费类型或具有相同属性的用户进行分类,把他们集
中在一起管理,每个用户组具有他们相应的属性。例如:学生用户和教师用户,就属于两个
不同类型的用户。对于学生来说将会要求得严格一些,如限制每天上网的时间段,限制每天
上网的时间等。创建一个用户组时,需要给这个用户组定义组属性,如分时段控制用户上网、
限制用户上下行带宽以及MAC、user、port 的绑定等。
5.3.2限定上网时间
限制的方法可通过在认证服务器上进行配置,以控制用户的认证,使学生只能在特定的
时间段上网。在FreeRadius 中,可对单个用户或用户组设置允许的登录时间段。时间段可
以设置一段,也可以用分隔符“|”或“,”将多个时间段分开。在用户认证时,只要把用户的系
统时间与用户账户中的时间信息比较,判断该时间是否在用户可以上网的时间段中,如果在
则允许认证通过,否则,将返回认证失败。限制功能由logintime 模块来实现。此模块处理
Login-Time(允许上网时间),Current-Time(当前时间)和Time-Of-Day(上网结束时间)
属性。logintime 模块必须放到authorize 模块的结尾,以便对用户Login-Time 进行检查。
logintime 模块也必须被放到instantiate 模块,以便激活“Current-Time 和Time-Of-Day”的比
较函数。当用户登录时,根据Login-Time 和,Current-Time 计算出session-timeout 即用户可
以上网的时间。此后,设定计时器时间长度为session-timeout[4]并开启计时器,当计时器超
时,触发用户下网操作[5]。
logintime {
reply-message = "You are calling outside your allowed timespan\r\n"
reply-message = "Outside allowed timespan (%{check:Login-Time}), %{User-Name}\r\n"
minimum-timeout = 60 }
代写论文
- 8 -
Instantiate{ ……
Logintime }
Authorize{ ……
Logintime }
5.3.3 IP、MAC、User、Port的绑定
针对校园网中出现的IP 地址盗用问题,其解决办法是IP、MAC、User、Port 四者绑定,
但是这一方法虽然能保证网络的使用安全,同时也给用户带来了很大的不便,使得用户上网
只能在固定的地点使用固定的机器。本文在设计时给网络管理者以灵活的选择,根据情况可
以自行选择这四者中的任意组合绑定。
先以User 和MAC 的绑定为例,介绍如何实现绑定的:
为mysql 的数据库radius 中的表radcheck 增加一个mac 字段,varchar(50)类型
在radiusd.conf 中多加一个步骤
post-auth { # See "suthentication Logging Queries" in sql.conf
sql #去掉原来的注释语句 }
修改sql.conf 中的authorize_check_query 为:
#这里修改验证方式,加上mac 验证
authorize_check_query = "SELECT id,UserName,Attribute,Value,op FROM
${authcheck_table} WHERE Username = '%{SQL-User-Name}' and
(mac='%{Calling-Station-Id}' or isnull(mac) or mac='') ORDER BY id"
#如果需要对大小写敏感的话使用下面的语句:
authorize_check_query = "SELECT id,UserName,Attribute,Value,op FROM
${authcheck_table} WHERE STRCMP(Username, '%{SQL-User-Name}') = 0
and (mac='%{Calling-Station-Id}' or isnull(mac) or mac='') ORDER BY id"
修改postauth_query 语句:
#change here 把postauth_query 改为记录mac 地址的过程了
postauth_query = "UPDATE ${authcheck_table} set mac='%{Calling-Station-
Id}' WHERE Username = '%{SQL-User-Name}' and (mac='' or isnull(mac))"
注:配置文件中定义的变量用${variablename}表示;而在请求中NAS 发送给radius 服务器
的动态变量用%{variablename}表示。在用户首次登陆时记录其mac 地址,下一次要验证时就
会是用户名和mac 地址相符才可以通过验证了[6]。
IP 在数据库对应的字段是NASIPAddress,Port 在数据库对应的字段是NASPort,MAC
在数据库对应的字段是CallingStationId ,User 在数据库对应的字段是UserName,依照上面
的方法做一下改动就可以实现四者的任意组合绑定了。
5.3.4 只允许用户的唯一登录
在没有绑定交换机端口的情况下,盗用者可凭借他人的Use 账号、IP 地址和MAC 地址
来通过认证,非法使用网络服务。要解决这样的问题,可以在认证服务器上对用户或用户组
设置一个参数Simultaneous-Use,这个参数可以限制用户的登录数。
在sql.conf 中去掉simul_count_query 前的注释,然后在radiusd.conf 中开启sql 模块[7]。如果
想限制某个用户,例如test 用户,就在radcheck 表中插入下面记录:
insert into radcheck (username,attribute,op,value) values ('test','Simultaneous-Use',':=','1');
如果想对一组中的用户进行限制,例如:user 组,就在radgroupcheck 中插入下面记录:
代写论文
- 9 -
insert into radgroupcheck (groupname,attribute,op,value)
values ('user','Simultaneous-Use',':=','1');
6. 结束语
本文设计出802.1x + Radius 认证计费体系方案,通过采用STRUTS 框架和MVC 技术,
实现了系统各主要功能,并为系统的扩展提供了方便。随着技术的发展和知识的更新,将逐
步完善校园网认证、计费管理系统的功能。
参考文献
[1] 朱海龙,张国清.基于802.1x的以太网接入技术[J].计算机工程.2003,(10): 130-132.
[2] Ted Husted,Eric Liu(铁手)译.Struts In Action[M]. Manning Publications.2005,6.
[3] MySQL DDL script[EB/OL]. http://wiki.freeradius.org/MySQL_DDL_scrip
[4] RFC3580.IEEE 802.1x remote authentication dial in user service(Radius) usage guidelines [S]. 2003,9.
[5] Radiusd.conf.[EB/OL]. http://wiki.freeradius.org/Radiusd.conf
[6] FreeRadius 的安装和PPPoE 中Mac 地址与账号的绑定[EB/OL] .
http://blog.csdn.net/liswa/archive/2005/03/21/325639.aspx
[7] 关于在Linux 下搭建VPN 的用户验证问题[EB/OL].
http://www.bibts.com/-t525549.htm
The Realization of Authentication and Account System on
Campus Netrwork Based on Struts Framework under MVC
Mode
Liu Xiangying
Department of Computer Science and Technology,Tianjin Polytechnic University,Tianjin
(300160)
Abstract
The scale of school network is getting bigger and bigger, but we can also find problem such as the
safety and stability problems of the network. This system adopts “Radius+802.1x” structure to
authenticate users. With the help of Struts, which is based on J2EE structure, to administrate and
distribute all kinds of the resources in the school network ,it has become a great challenge to the
administrator of the school network. this research designs a accounting system and a user self-help
system to comprehensively solve the problems
Keywords: MVC,Struts;Radius,802.1x protocol,Authentication【本站部分论文来自网络和数据库,如果无意中侵犯原作者的版权,请作者及时联系我站,我站将立刻删除。本站提供全面的代写论文、论文代写、代写代发等业务,代写毕业论文、代写职称论文等服务,全心全意,欢迎咨询!】 |
|
| []
[返回上一页]
[打 印]
[收 藏] |
|
|
| ∷相关文章评论∷ (评论内容只代表网友观点,与本站立场无关!) [更多评论...] |
|
|
|
|
