本文設計了一個基于IEEE 802.1X并與LDAP(Lightwigh Directory Access Protocol)即輕量級目錄訪問協(xié)議結(jié)合使用的計費系統(tǒng)的實現(xiàn)方案。與目前常用計費系統(tǒng)中存在的問題相對照��,該計費系統(tǒng)的設計目標是:統(tǒng)一身份認證����、認證與計費分離、提供更高的安全性�,在保證系統(tǒng)具備足夠的安全性和較高效率的基礎上,使之易于擴展�,易于管理。
本系統(tǒng)的主要部分采用的是基于C技術(shù)的C/S體系結(jié)構(gòu)�����,在瀏覽器端的查詢及管理中采用的是基于JSP(Java Server Page)的B/S體系結(jié)構(gòu)�����。使用基于LDAP的訪問控制技術(shù)能夠完全適應這個環(huán)境��,它使整個開發(fā)過程得到極大簡化����,系統(tǒng)的安全管理更加方便�,也使系統(tǒng)在安全得到保證的情況下�����,運行效率大幅提高�。
LDAP技術(shù)
在網(wǎng)絡計費中應用的優(yōu)勢
LDAP(Lightwigh Directory Access Protocol)即輕量級目錄訪問協(xié)議是在本文中所要用到的一項重要技術(shù),是用來訪問存儲在信息目錄中的信息的協(xié)議���。LDAP服務器是用來處理查詢和更新LDAP目錄內(nèi)信息的����,LDAP目錄也是一種重點在于優(yōu)化數(shù)據(jù)讀取性能的數(shù)據(jù)庫����。
LDAP的目錄服務基于客戶/服務器模型�����,即用戶向服務器發(fā)出請求����,由服務器予以響應,其工作原理如圖1所示�。
LDAP協(xié)議及時解決了統(tǒng)一身份認證的問題。用戶只要申請一個賬號,就能使用所有相應的網(wǎng)絡服務����,并簡化了管理工作。在計費系統(tǒng)中各個子系統(tǒng)都遵從同一目錄訪問標準����,能與同一目錄服務交互,就可將其認證�、權(quán)限信息統(tǒng)一保管于該目錄服務器中,從而實現(xiàn)統(tǒng)一認證�����,用戶只使用一個用戶名���、密碼�,便可對所有的服務進行權(quán)限許可的訪問���。
LDAP服務器存儲用戶的信息�,如用戶名���、密碼�、IP地址等。對于固定IP用戶���,不需要到LDAP服務器進行認證��,直接使用路由器采集數(shù)據(jù)�����,生成日志文件后�,摘取必要的信息存入數(shù)據(jù)庫即可�。對于撥號入網(wǎng)的用戶,原來的RADIUS(Remote Authentication Dial In User Service遠程驗證撥號用戶服務)服務器不再用作校驗入網(wǎng)用戶身份�,只負責采集流量數(shù)據(jù),將有用的數(shù)據(jù)寫入數(shù)據(jù)庫中����,同時起到撥號連接的作用�����。
網(wǎng)絡用戶訪問Internet時����,需要通過防火墻進行認證���,防火墻若支持LDAP,作為一個LDAP Client����,要向LDAP Server進行認證,即用戶上網(wǎng)時�,防火墻要求用戶出示Username、Password�,用戶將這些信息發(fā)送到防火墻,防火墻又將這些信息發(fā)送到目錄服務器��,要求LDAP服務器進行比較�,LDAP服務器返回比較結(jié)果,防火墻根據(jù)LDAP服務器返回的結(jié)果確定是否讓用戶通過���。
IEEE的全稱是電氣電子工程師學會(The Institute of Electricaland Electronics Engineers��,Inc)��,是世界上最大的專業(yè)技術(shù)學會�,屬非盈利機構(gòu)�����。
IEEE 802局域網(wǎng)/城域網(wǎng)標準化委員會(IEEE 802 LAN/MAN Standards Committee)的任務是制定對應于OSI參考模型中物理層和鏈路層的標準。
簡潔高效:純以太網(wǎng)技術(shù)內(nèi)核��,保持IP網(wǎng)絡無連接特性����,去除冗余昂貴的多業(yè)務網(wǎng)關設備,消除網(wǎng)絡認證計費瓶頸和單點故障����,易于支持多業(yè)務。
輕易實現(xiàn):可在普通L3�����、L2�、IPDSLAM上實現(xiàn),網(wǎng)絡綜合造價成本低��。
安全可靠:在二層網(wǎng)絡上實現(xiàn)用戶認證���,結(jié)合MAC、端口�、賬戶和密碼等,綁定技術(shù)具有很高的安全性���。
行業(yè)標準:IEEE標準�,微軟操作系統(tǒng)內(nèi)置支持。
易于運營:控制流和業(yè)務流完全分離���,易于實現(xiàn)多業(yè)務運營���,少量改造傳統(tǒng)包月制等單一收費制網(wǎng)絡即可升級成運營級網(wǎng)絡。
IEEE 802.1X認證是基于端口的認證���,不是單指物理端口�����,而是包含有物理端口�、MAC��、VLAN���、IP等識別用戶或用戶群的標識�。它可以靈活地根據(jù)應用情況及業(yè)務要求����,針對用戶類型���,選擇端口形式進行控制,且是在二層網(wǎng)絡上實現(xiàn)用戶認證��,可以通過設備實現(xiàn)MAC��、端口���、賬戶和密碼等綁定技術(shù)����,具有較高的安全性�。
可以在IEEE 802認證、授權(quán)功能的交換機上通過“IP+MAC”的綁定來阻止假冒MAC地址的用戶非法訪問�����。
當假冒者和合法用戶分屬于交換機兩個不同的物理端口�����,則假冒者即使知道合法用戶的MAC地址�,但由于該MAC地址不在同一物理端口,假冒者仍無法進入網(wǎng)絡系統(tǒng)�。對于這種情況,可以在交換機上實現(xiàn)更為嚴格的“IP+MAC+端口”的綁定����。
由于IEEE 802.1X采用了基于二層的認證方式,因此�����,當采用動態(tài)地址分配方案時����,只有用戶認證通過后,才能夠分配到IP網(wǎng)絡地址�。對于靜態(tài)地址分配策略,如果假冒了IP地址�,而沒有能夠通過認證,也不會與正在使用該地址的合法用戶發(fā)生地址沖突��。
如果用戶能夠通過認證����,但假冒了其他用戶的IP地址,則通過在認證交換機上采用“IP+MAC”綁定的方式來控制用戶的訪問接入���。這使得假冒用戶無法進行正常的業(yè)務通信���,從而達到防止IP地址被篡改����、假冒的目的�����。
基于IEEE 802.1X的
計費系統(tǒng)的設計
1.網(wǎng)絡計費系統(tǒng)的總體結(jié)構(gòu)
通過分析計費系統(tǒng)的幾種基本方式和傳統(tǒng)的認證方法���,結(jié)合該項目��,應用IEEE 802.1X進行創(chuàng)新����,設計出功能更強大�����,更安全的網(wǎng)絡計費系統(tǒng)�����。
(1)網(wǎng)絡計費系統(tǒng)的總體結(jié)構(gòu)
系統(tǒng)由以下幾部分構(gòu)成:原始數(shù)據(jù)采集子系統(tǒng)、支持IEEE802.1X的網(wǎng)絡設備��、RADIUS服務器����、LDAP服務器及用戶IEEE802.1X客戶端���、用戶查詢�、Web管理服務器��。網(wǎng)絡計費系統(tǒng)總體結(jié)構(gòu)如圖2所示�����。
圖2 網(wǎng)絡計費系統(tǒng)總體結(jié)構(gòu)
計費系統(tǒng)各部分的功能簡述如下:
原始數(shù)據(jù)采集子系統(tǒng):本系統(tǒng)中研究的上網(wǎng)方式主要包括撥號上網(wǎng)和固定IP上網(wǎng)��,還有對郵件的單獨計費等�,針對這幾種不同的上網(wǎng)服務有不同的數(shù)據(jù)收集方法。
IEEE 802.1X服務器:包括兩部分���,支持IEEE 802.1X協(xié)議的網(wǎng)絡設備和RADIUS服務器����,用于對上網(wǎng)用戶的訪問進行認證控制。
IEEE 802.1X客戶端:注冊用戶可借此連接到網(wǎng)絡上���。
LDAP服務器:將合法用戶的基本信息�,如用戶名���、密碼等存儲在LDAP服務器中����,對用戶的身份認證從RADIUS服務器中分離出來����,單獨到LDAP服務器認證。
Web管理服務器:注冊用戶可以通過Web方式對自己的上網(wǎng)記錄進行查詢����;管理員通過Web管理服務器對注冊用戶的上網(wǎng)情況進行統(tǒng)計和管理。
(2)網(wǎng)絡計費系統(tǒng)的總體結(jié)構(gòu)設計思路
采用IEEE 802.1X協(xié)議對用戶訪問進行控制
從總體結(jié)構(gòu)圖上可以看到���,在系統(tǒng)中有兩處用到了IEEE 802.1X協(xié)議:用戶通過IEEE 802.1X客戶端發(fā)出認證請求到支持IEEE 802.1X的網(wǎng)絡設備上進行認證��,以請求入網(wǎng)���。Windows XP操作系統(tǒng)自帶IEEE 802.1X認證的功能���。
這種設計的好處是業(yè)務與認證相分離,提高效率����,消除了傳統(tǒng)的網(wǎng)絡瓶頸,并可對突發(fā)的病毒攻擊及時封鎖���,有很強的安全性。
采用LDAP服務器存儲用戶信息
采用LDAP數(shù)據(jù)主要有三方面考慮����。一是因為LDAP是一種通用服務器,便于其他服務器訪問�,實現(xiàn)不同上網(wǎng)方式進行統(tǒng)一身份認證的功能;二是LDAP的查詢性能相對要高于通用的關系型數(shù)據(jù)庫��,一般情況下�����,其查詢效率要高于普通關系型數(shù)據(jù)庫一個數(shù)量級�,而在服務控制的實施過程中,所有對LDAP的訪問都是查詢性質(zhì)的�,也采用LDAP���;三是LDAP服務器有很完善的安全措施,方便保護重要的授權(quán)數(shù)據(jù)�����。
身份認證獨立和統(tǒng)一化
用撥號方式上網(wǎng)一般都采用“賬號+密碼”方式���。固定IP上網(wǎng)為了防止惡意用戶盜用IP現(xiàn)象的發(fā)生���,也采用了“賬號+密碼”的方式對用戶進行限制,單獨計費的電子郵件管理中的身份認證也與撥號上網(wǎng)相類似�����。
對于各種各樣的網(wǎng)絡服務�,傳統(tǒng)方式是進行單獨認證管理,這樣不僅用戶需要記住各種各樣的用戶名和密碼�����,使用不同網(wǎng)絡服務時要進行不同的認證��;對于管理員來說�,如果一個用戶要分別進行不同的維護��,則必須開始兩個賬戶���,撤消某個用戶相關的網(wǎng)絡服務也得進行類似操作。
采用LDAP身份認證之后��,可以將用戶的各種網(wǎng)絡服務需要進行的認證都指向LDAP服務器����,進行統(tǒng)一認證,即用戶只要注冊一次就可以分別使用不同的網(wǎng)絡服務���,也可以進行統(tǒng)一管理,實現(xiàn)了身份認證的獨立和統(tǒng)一化����。
(1)用戶首先在管理員處通過C/S方式或者B/S注冊登記自己的賬號和密碼,這些用戶相關的信息存儲在LDAP服務器中��,同時還可以在LDAP中記錄用戶所請求的網(wǎng)絡服務�����。管理員將用戶狀態(tài)設定為開通�。
(2)用戶在帶有IEEE802.1X協(xié)議認證的客戶端發(fā)出網(wǎng)絡服務請求���,有以下幾種形式:可以通過專用的客戶端軟件手動發(fā)出請求;也可以采用WindowsXP操作系統(tǒng)中自帶的IEEE802.1X認證發(fā)出請求����。
(3)發(fā)出請求后,查詢網(wǎng)絡上能處理EAPOL數(shù)據(jù)包的設備�����,即具有IEEE 802.1X協(xié)議功能的網(wǎng)絡設備�,認證數(shù)據(jù)報文從驗證設備的非受控端口通過EAP協(xié)議將認證數(shù)據(jù)報文轉(zhuǎn)發(fā)到RADIUS服務器認證,RADIUS服務器將認證的動作指向LDAP服務器所在的IP端口�����,與事先注冊的用戶資料進行比較���,認證后返回值��,如果不成功���,則打開網(wǎng)絡設備的受控端口。
(4)客戶端軟件發(fā)起DHCP請求,經(jīng)認證設備發(fā)到DHCP服務器�,并得到一個IP地址,建立動態(tài)的ACL訪問列表��。
(5)RADIUS服務器記錄用戶連接成功的信息����,將上網(wǎng)記錄寫入數(shù)據(jù)庫以便計費。
(6)用戶發(fā)出斷線請求后�,認證設備檢測到此類數(shù)據(jù)包,則通知RADIUS服務器停止計費��,并刪除用戶的相關信息(如IP�����、MAC等)���,關閉網(wǎng)絡設備的受控端口。如果用戶非正常斷線���,驗證設備在發(fā)起多次檢測后�����,自動認為用戶已經(jīng)下線����,向RADIUS服務器發(fā)出停止計費的信息。
(1)客戶端系統(tǒng)設計
客戶端為任何接入LAN設備����,只需要客戶端支持EAPOL協(xié)議即可。為了支持IEEE 802.1X���,WindowsXP提供了一種IEEE 802.1X客戶裝置�����,并增加了Windows RADIUS服務器IAS(Internet Authentication Server)以支持認證功能����。
(2)認證系統(tǒng)設計
認證系統(tǒng)內(nèi)部有受控端口和非受控端口���。非受控端口始終處于雙向連通狀態(tài)����,主要用來傳遞EAP協(xié)議包�����。受控端口可以配置為雙向受控、輸入受控兩種方式�����,以適應不同的應用環(huán)境�����。
受控端口也可以通過網(wǎng)管配置為強制授權(quán)����、強制非授權(quán),在這種情況下就無需認證過程����。
IEEE 802.1X支持受控端口授權(quán)狀態(tài)的老化功能,而在重認證過程中受控可以繼續(xù)保持“已授權(quán)”狀態(tài)����,除非重認證失敗。
(3)認證服務器系統(tǒng)設計
在本系統(tǒng)中認證服務器采用撥入計費RADIUS�,RADIUS是在NAS(Network Access Server����,網(wǎng)絡訪問服務器)和集中存放認證信息的Radius服務器之間傳輸認證����、授權(quán)和配置信息的協(xié)議���。RADIUS以Client/Server模式工作���,主要用來將用戶信息傳遞給Server,Server則對用戶進行認證��,并返回用戶的配置信息����,為保證傳輸?shù)陌踩裕贑lient與Server之間傳遞的數(shù)據(jù)均以MD5方式加密�����。RADIUS Server端與Client端通信主要有認證��、授權(quán)和計費三個部分��,本系統(tǒng)中對RADIUS服務器作了相應的擴充和修改�����,增加了新的用戶授權(quán)和認證模塊。
(4)LDAP服務器設計
在系統(tǒng)中采用Netscape的LDAP服務器���,可以和RADIUS服務器在同一臺電腦上運行���,也可以處于不同的主機上。在計費系統(tǒng)中各個子系統(tǒng)都遵從同一目錄訪問標準��,能與同一目錄服務交互��,則可以將其認證�、權(quán)限信息統(tǒng)一保管于該目錄服務器中,從而實現(xiàn)統(tǒng)一認證���,用戶只使用一個用戶名/密碼���,便可以對所有的服務進行權(quán)限許可的訪問。
本文設計了一種基于IEEE 802.1X協(xié)議的LDAP網(wǎng)絡計費系統(tǒng)���,在體系結(jié)構(gòu)上�����,該系統(tǒng)主要由客戶端系統(tǒng)���、認證系統(tǒng)、認證服務器系統(tǒng)和LDAP服務器組成���。
與以往的網(wǎng)絡計費系統(tǒng)不同的是����,由于使用了具有IEEE 802.1X的網(wǎng)絡設備��,用戶在上網(wǎng)過程中的認證數(shù)據(jù)報文與認證通過后上網(wǎng)過程中傳輸?shù)臄?shù)據(jù)報文分別通過不同的端口���,即非受控端口和受控端口來完成傳輸���。
用戶的認證與控制由RADIUS服務器和交換機利用非受控端口共同完成,業(yè)務數(shù)據(jù)報文則直接承載在二層報文上通過受控端口進行交換�����,有效實現(xiàn)了業(yè)務與認證的分離�,這個特性是對傳統(tǒng)網(wǎng)絡認證方式的一種革命性創(chuàng)新。
相關用戶的訪問控制信息均集中存儲在LDAP服務器上�����,所有的認證都由RADIUS服務器指向LDAP服務器,由LDAP服務器完成���。通過各個服務器之間的相互配合完成完整的網(wǎng)絡計費功能���。
其難點在于統(tǒng)一身份認證的設計與流程,以及具有IEEE 802.1X功能設備在計費系統(tǒng)中的應用��。在整個計費流程中應使用具有IEEE 802.1X功能的設備���,實現(xiàn)了業(yè)務與功能的分離���,并且在B/S結(jié)構(gòu)的管理部分中,瀏覽器端也同LDAP服務器連接���,實現(xiàn)了身份認證真正的統(tǒng)一����。
