网络管理与维护 有线电视技术 RADIUS静议筒析及共套 城城lil计费系统中的应用 ≥ _ 陈越 杨光 韩毅 济南市广播电视局 摘要:本文对广泛应用的RADIUS协议进行了分析,阐明了其主要特征、实现过程。在此基础上,讨论了在城域网 F1_rB+LAN接入方式下。建设基于RADIUS协议的认证计费系统的方案。 关键词:RADlUS F1TB LAN 认证计费 RADIUS f Remote Authentication Dial In User 记账服务器之间的交互是通过共享密钥的使用来鉴 别的,这个共享密钥根本不会通过网络传送。 (3)具有可扩充性。所有的事务都是由不同长度 的属性一长度一值的三元组构成的。新的属性值的加入 不会影响到原有协议的执行。 (4)认证机制灵活,可以采用队P、CHAP或者Unix 登录认证等多种方式。 Service,远程认证拨入用户服务)协议最初是由 Livingston公司提出的,原先的目的是为拨号用户进 行认证和计费。后来经过多次改进,形成了一项通用 的认证计费协议。由于Internet接入的不断发展, RADIUS协议已经被绝大部分电信设备提供商所支 持,并成为了电信运营商对Intemet用户进行认证和 计费采集的标准。 2协议的交互过程 1 协议简析 在RADIUS协议的实现过程中存在3个方面:用 RADIUS认证主要用于基于挑战/应答 (Challenge/Response)的认证方式,是一种可扩展的 户计算机、NAS服务器(Network Access Server)、 RADIUS服务器。用户计算机是认证请求的发起方, 协议,它进行的全部工作都是基于Attribute-Length- Value的向量进行的。RADIUS协议的主要特征是: (1)基于客户/服务器模式。网络接入服务器是 RADIUS记账服务器的客户端。客户端负责将用户的 NAS则作为和RADIUS服务器通信的Client方。 用户接入时,NAS接受用户请求,并向RADIUS Server发出用户认证请求,认证被允许则请求 RADIUS Server开始一个计费会话(Session),标志开 始对用户进行计费,用户断开则终止会话,并向 RADIUS Server发出计费停止请求,其中包含了用户 的时长、流量等计费详单信息;RADIUS Server对每 个请求做ACK或者NAK应答。当RADIUS Server对 NAS的用户认证请求进行ACK时,通常还包含了一 记账信息传递给指定的RADIUS记账服务器。 RADIUS记账服务器负责接收记账请求,并给客户端 返回一个响应信息,表明记账请求被成功的接收。 RADIUS记账服务器可以作为其他类型的记账服务 器的代理。 (2)通过共享密钥保证安全。客户端与RADIUS 些对用户的授权(Authorization)信息,比如用户本次 ● 200 6年第1 1期(总第203期) 维普资讯 http://www.cqvip.com
有线电视技术 的最大被允许在线时长、用户被允许的最大带宽等信 息。基于上述行为,RADIUS还经常被称为AAA,即 Authentication,Authorization和Accounting。 网络管理与维护 Identiifer,简称ID,一个字节,主要用户应答双方 的报文序列的匹配,应和答的ID应该相同。 Length,报文长度,两个字节,指从Code开始计 算的报文有效长度。 Authenticator,16个字节,包校验相关字段,见下 一3交互过程使用的数据传输协议和端口 ADIRUS采用UDP协议,Server方监听1812/ 1813的认证/计费端口。协议的交互是简单的Client 小节的详细描述。 Attirbutes,属性序列。每一属性由以下部分组成: 方请求、Server方应答,当Client方在规定超时间隔内 没有收到Server方应答,则重发,重复到达最大重发 l! I 1:: I 次数则请求失败。超时间隔和最大重发次数通常在 Client方可配置。 可以看出,采用UDP而不是TCP有如下优点: (1)Type,1字节,属性号,比如User—Name、User— Password等每个属性都有对应的属性号。 (2)Length,1字节,从Type开始属性长度,该值 通常≥3。 (1)考虑在Client端配置使用冗余RADIUS服务 器的话,使用UDP可以很方便的向多个Server传送 数据。 (3)Value,最大253字节,属性值,属性值的表达 具有以下几种形式: (2)TCP的传输超时控制较复杂,导致对超时的 判断时间较长,而认证本身要求较短的超时判断时 间。 ( ̄)string,最大253字节,不能包含0x00; ②IP地址,4字节,网络顺序; ③整数,4字节,网络顺序; (3)使用UDP,超时处理基本上在Client端完成, 实现较为简单。 @UNIX时间,4字节,网络顺序,1970年开始到 事件发生时刻消逝的秒数。 每个属性号都在RFC当中规定了属性值的类 型,比如User—Name是string类型的,Framed-IP- 4 RADIUS报文分析 RADIUS报文的基本组成如下,每行表示四个字 节: Address是IP地址类型的,等等。 属性号26是厂商私有属性,即VSA(Vendor Speciifc Attirbute)。 7 Type l L ̄.sth lVendor-Id 此时LengthI>7,Vendor-Id四个字节,为厂商号 码,Attributes则包含一个或多个厂商私有属性,每个 属性的打包方式同普通属性。 Code,报文类型,占一个字节,较常用的有以下五 种RADIUS报文类型: 5信息安全性和完整性 认证请求,NAS请求 RADIUS采用了计费消息旁路机制提高了整个 认证成功,RADIUS 认证失败,RADIUS 认证系统的效率和可靠性,RADIUS Server专门负责 用户认证和授权,而另外一个计费引擎进程(Acct)¥ ̄ (1)Access—Request RADIUS Server (2)Access—Accept 应答NAS (3)Access—Reject 应答NAS 负责计费信息入库和实时扣费等操作,同时采用消息 队列也增加了系统对计费信息的缓存,能确保应付系 计费请求,NAS请求 (4)Accounting-Request RADIUS Server 统高峰期大量的计费信息入库,如图1所示。 每台上网主机通过客户端软件登录到NAS服务 (5)Accounting—Response 计费信息采集完成, RADIUS应答NAS 器,NAS将用户认证请求发送到RADIUS认证服务 器,获得认证通过返回信息后NAS服务器为其自动 2006年第1 1期(总第203期) 维普资讯 http://www.cqvip.com
网络管理与维护 有线电视技术 的Accounting-Request报文到RADIUS Server的对 应端El,标志一个计费会话(Session)的开始;当用户 离线后,NAS则会再发送Acct—Stop类型Accouting— Request类型的报文,标志一个计费会话的结束。 Acct-Stop的Accounting-Request报文带有很详细的 计费数据:用户在线时长、用户发生的进出流量统计 等,根据这些信息,RADIUS Server本身或者后台计 费系统就可以为用户进行实时扣费或者按月结算账 单。 由于NAS和RADIUS之间传输的数据非常敏 感,ADIUS协议规定了NAS和RRADIUS Server双方 必须对报文进行数字签名,算法采用MD5,NAS和 ADIRUS双方使用相同的KEY。在Access—Request报 文中,NAS应用随机数和KEY生成MD5串再与用户 图1 明文密码进行异或操作后进行传输,使得用户明文密 码不在Internet被泄露;在其它授权和计费报文中,双 方则对整个报文包含的关键数据字段进行数字签名 打开上网通道。比较典型的用户、NAS、RADIUS之间 的通信流程如图2所示。 用户 NAS RADIUS SERVER 后再传输,对端验证数字签名不通过则丢弃该报文, 以保证网络安全和报文的信息完整性。 . 6 RADlUS在城域网接入认证中的应用 。、—AUTH REQ\-. 目前城域网接入技术主要有下面几种: ・AUTH ACK/—ADSL接入技术 Cable Modem接入技术 邢+LAN接人技术 +LAN技术来接入城区用户。但 ・/磅 . ・/ 。ACCTSTARTREQ—随着光纤和光设备价格的不断下降,越来越多的 —\运营商采用了邢-. LAN技术在用户接入认证技术上的先天不足,限制了 在接入市场上的大规模应用。 、 开请求 \ ACCT STOP REQ ‘—随着用户接人数量与消费需求的增加,网络费用 已成为我们和用户共同关注的问题。为了合理地分配 AC—CT—ST—OPACK——一 网络带宽,监控网络使用情况,正确统计用户的使用 费用,我们完成了一套集计费、控制、认证为一体的全 功能宽带上网计费管理系统。 . 图 2 ■ 整个计费管理系统运行基于Linux操作系统平 台,使用电信级ORACLE数据库系统对数据进行存 储,管理采用B/S的方式进行,管理者可以不用安装 任何其他的客户端,直接使用浏览器对系统进行管 理。 由图2可以看到:当用户认证时,NAS会发出 Access—Request报文到RADIUS Server的对应端口, 报文中包含用户的账号、密码、用户主叫号、ISP被叫 号等信息;如果认证通过,RADIUS Server会应答 Access—Accept报文,报文中可能包含用户被分配最 大在线时长等授权信息,否则应答Access-Reject报 文。 认证系统框架由三部分组成:ADIRUS服务、Web 管理系统和后台计费系统。RADIUS服务是一个基于 标准的RADIUS协议的后台服务进程,实现用户的认 证、授权以及采集原始的计费清单记录。Web管理系 当用户接人成功后,NAS则发送Acct-Start类型 2006年第l1期(总第203期) 维普资讯 http://www.cqvip.com
有线电视技术 统实现对整个系统的管理,包括开户、销账、制定优惠 网络管理与维护 通过与RADIUS的结合,可以灵活方便的增加用户, 以及针对不同的环境增加相应的用户策略、控制列表 策略等管理行为。后台计费系统完成对用户的计费, 根据RADIUS采集的计费清单和Web管理定义的用 户优惠策略生成账单,并修改用户的状态对用户的上 网行为进行控制。图3为统一认证计费平台。 统一认证计费平台 等。可以实现流量控制,在设置用户时针对不同的服 务设定最高流量限制。 (2)后台服务——为给用户提供稳定的不间断计 费服务,最大限度保障用户权益,服务器运行的稳定 性就成为最重要的环节,对重要服务器均采用RAID5 硬盘冗余技术,大大提高了系统稳定性,数据库采用 认证系统 账务系统 Web服 系统 了高性能的ORALCE平台,并且采用了数据库与服 务分离的方式,用户数据存入磁盘阵列;数据安全方 面通过Linux的Shell每天自动进行备份,并再次进 行异地备份,确保了灾难性故障的数据保障。 (3)考虑到服务器可能受到网内外黑客的攻击,我 I银行托l l网上 I.ANII Cable lI专线 账务I接入II接入ll接入 管理I l收系统I l交易 计费系统 后台管 理系统 们在认证管理系统中加入了高性能的电信级防火墙。 宽带接入服务器和RADIUS服务器、数据库服务器均 置于内部网管网段,保障带宽和安全性。 (4)工作情况说明: I入计费l l务计费l 图3 I恢复I I管理I (1)用户接入端——我们使用的宽带接入NAS服 务器是跨三层工作的设备,支持RADIUS协议,在实 ①系统正常工作时 接入服务器Bras中,服务指向主RADIUS系统 Master机,如图4中虚线A所示。同时,备RADIUS服 务器处在备用状态。 主RADIUS系统中,Master机挂载磁盘阵列提供 服务。 际系统中转发用户认证请求,完成对用户上网费用地 采集与记录,配合RADIUS对用户进行即时控制。 ①硬件方面:采用Intel至强2.4GHz CPU、 1024M DDR内存,1U 19”的标准机箱能方便地安装 备RADIUS服务器服务正常运行,同时接收 上架。单台可处理4096个用户并发请求。 ②软件方面:支持DHCP协议动态分配地址、 NAT(网络地址转换)、Web Portal、报文过滤等功能。 Apps传来的用户数据。 Apps向主RADIUS系统Master机和备RADIUS 服务器同时发送用户资料数据,如图4中虚线B所 图4 (下转第126页) 2006年第1 1期(总第203期) 维普资讯 http://www.cqvip.com
国外动态及简讯 9使用手机开启STB键匙系统的开发 在CRI论坛中,作为广播与通信的融合,还提出 了于CATV台的应用例。 日本CATV台,作为新的商机在多频道电视、因 特网、IP电话的所谓三套业务(Triple Play三重播放) 有线电视技术 卫星CAS卡)、C-CAS卡(通信卫星CAS卡)的管理 须向各公司分别传送。(2)作业员与顾客家中操作员 用电话传送时的传送差错(讲错了或听错了)。(3)操 作员录入的差错。(4)深夜在开启作业没完成之前,操 作员不能结束业务等。 新系统的输入终端是手机,不仅价廉而且又有摄 像机、GPS功能,如果再加上程序修改功能,引用后更 具扩展性。 之外,现在又加上了手机通信,即成为所谓的四套业 务引起社会注视。于是,今后往手机提供节目信息、预 约节目、遥控器功能以及对于交费等均可利用手机进 行。它已成为CA Ⅳ台的新业务。 以往,在多数的CATV台,为了开启STB键匙,操 不过,作为安全性措施,采取了:(1)往手机下载 之际,要事先登录。(2)利用此系统时,必须进行用户 ID(识别)和口令(password)识别。(3)作业员不需要的 作员接到用户用电话打来的STB的条码信息等之后, 再往“用户管理系统”进行登录,再开启键匙。这中间 不仅需要开通作业时间,而且对于条码信息的传送和 输入也需要十分细心才行。 但在新开发的系统中,为了提高业务效率, TepukoCATV台与KDDI协作,可利用“an手机”将开 顾客的信息不能开示。 另外,当手机丢失时,采取:(1)作业结束后,手机 内的顾客信息自动消除。(2)在服务器上设置手机丢 失时拒绝连线。(3)此手机对拨号电话、地址表、电子 邮件等用密码锁定,使作业员不能作其它目的使用。 关于STB的条码识别方法,当初曾想利用手机上 的摄像机拍摄条码之后读取的方式。但由于此项开发 费用昂贵,后来,便选择了利用“条码读取器”读取的 方式。 启STB键匙的必要数据,经条码阅读器读取,就可不 经操作员直接向用户管理系统进行登录。 据TepukoCATV台负责人称:开发这一系统的原 委是: 现在,每月加入数字广播的用户达2000户之多, 其中90%是经过营业员通过用户个别访问得到的。于 目前能够与条码读取器适应的手机,只有KDDI 的3G手机。 目前,“TepukoCATV”正在以该系统为基础编写 是,为了提高效率和简化作业过程,就开发了利用作 业员的手机开启STB键匙的系统。这一系统克服了以 往开启系统的缺欠。例如:(1)STB、B—CAS卡(广播 报告书,准备制定今后在所有的手机上均能利用这一 系统的方针。现在,虽然尚处于应用试验阶段,但一旦 时机成熟即将全面采用这一系统。A (上接第107页) 示。 Master机提供服务。 手动调整接入服务器中Bras的指向,使服务指 向主系统,同时将备RADIUS切换到备用状态。 ②主RADIUS系统Master机服务因故障或检修 终止时。 ④用户在使用自助服务系统时,只能访问用户自 助服务器的页面,而账户验证和数据查询是由用户自 接入服务器Bras中,服务自动指向备RADIUS 服务器,如图4中虚线C所示,原主RADIUS系统 助服务器访问备RADIUS服务器来完成。修改账号数 据是由用户自助服务器同时访问主RADIUS系统和 Master机处在备用状态。 备RADIUS服务器提供认证服务。 备RADIUS服务器来完成。这样,用户不能直接访问 主RADIUS系统和备RADIUS服务器,提高了系统的 安全性。 参考资料 1 RFC2865:Remote Authentication Dial in User Service 2 RFC2866:Radius Accounting 主RADIUS系统中将磁盘阵列挂载到Slave机 上。而后开始检修主机。 ③当故障排除或检修结束后 各营业网点业务结束后,将备RADIUS的用户数 据导出,而后倒入主RADIUS系统中。 交换主RADIUS系统中Master和Slave的IP地 3 RFC2869:Radius Extensions 4 RFC2867:Radius Accounting Modiicatfions for Tunnel Protocol Support 址。使用Slave机提供服务。当然,也可以不交换IP地 址,直接将磁盘阵列挂载到Master上。这样就用 5 RFC2868:Radius Attributes for Tunne1 Protocol Support 2006年第l l期(总第203期)
因篇幅问题不能全部显示,请点此查看更多更全内容