公務員期刊網(wǎng) 論文中心 正文

寬帶用戶認證系統(tǒng)的建構

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了寬帶用戶認證系統(tǒng)的建構范文,希望能給你帶來靈感和參考,敬請閱讀。

寬帶用戶認證系統(tǒng)的建構

系統(tǒng)功能模塊

1全業(yè)務接口

全業(yè)務接口包括:業(yè)務受理接口、業(yè)務查詢接口、數(shù)據(jù)同步接口、FTP文件上傳接口。全業(yè)務接口架構如圖2所示。業(yè)務受理/查詢接口為“第三方系統(tǒng)”主動發(fā)出請求的通信過程,可根據(jù)接口雙方約定,提供Socket、http、webservice等方式的接口數(shù)據(jù)請求支持。接口業(yè)務內容包括:新戶注冊、資料變更、賬號開通、賬號報停、賬號復通、套餐變更、賬號銷戶、預約報停、預約套餐、費用預繳、余額重置、欠費銷賬、欠費壞賬、強制離線等。數(shù)據(jù)同步接口支持socket方式主動通知“第三方系統(tǒng)”;“第三方系統(tǒng)”的SocketServer收到通知后,再通過其Client端發(fā)出業(yè)務查詢接口請求,取回需同步數(shù)據(jù)。接口內容包括:套餐列表、區(qū)域列表、帶寬列表、資費列表、系統(tǒng)停機賬號等。FTP文件上傳接口支持FTP方式,將結算賬單、賬號上網(wǎng)詳單、接口雙方約定的其它數(shù)據(jù)定期上傳到“第三方系統(tǒng)”的FTP服務器;定時將生成的上網(wǎng)計費賬單(登錄記錄)格式化成文本文件,上傳到“第三方”提供的ftp服務器,供“第三方”接口模塊讀取。統(tǒng)一身份認證接口實現(xiàn)單點登陸、多點認證,統(tǒng)一身份賬號數(shù)據(jù)源;認證過程可實現(xiàn)系統(tǒng)間賬號資源自動同步,減少人工操作環(huán)節(jié);支持多種接口方式,靈活滿足運營商不同發(fā)展階段的需要。實時在線用戶信息接口實現(xiàn)實時在線用戶信息查詢;手動強制在線用戶離線;查看用戶的使用記錄;統(tǒng)計在線人數(shù)、TCP連接、UDP連接曲線、流量曲線等。

2RADIUS認證

RADIUSSERVER是寬帶用戶認證系統(tǒng)的核心組件,提供集中的用戶驗證和接入策略管理,使運營商能夠控制用戶對其網(wǎng)絡的接入和使用,防止非法用戶接入,在用戶連接網(wǎng)絡前確保他們遵從安全策略,為每位用戶分配適當?shù)慕尤爰墑e,為計費/跟蹤系統(tǒng)提供記賬記錄。支持各式802.1X安全認證協(xié)議,支持標準RADIUS協(xié)議,符合RFC2865、RFC2866、RFC3576協(xié)議,完整支持DHCP認證、IPoE認證、PP-PoE認證流程;針對BRAS(BroadbandRemoteAccessServer,寬帶接入服務器)等接入設備斷電或故障重啟情況,提供在線用戶防掛起設計;檢測BRAS等接入設備重啟后清空在線用戶,防止用戶認證失效。

3用戶管理

用戶管理支持靈活多樣的業(yè)務處理方式:實時業(yè)務辦理、預約業(yè)務受理、批量業(yè)務處理等。業(yè)務類型完善,包括:開戶、開通、收費、報停、復通、變更套餐、修改資料、銷戶等。支持豐富的調賬功能、完善的單條件及組合條件查詢統(tǒng)計等。可追溯詳細的業(yè)務受理日志、繳費記錄、結算記錄、上下網(wǎng)詳單等。支持個人用戶與專線用戶管理,支持靈活的個人帶寬管理,可支持對MAC、IP、VLAN、登錄數(shù)等網(wǎng)絡屬性的綁定,也可根據(jù)網(wǎng)絡接入?yún)?shù)實現(xiàn)后臺自動綁定。

4用戶自助服務

自助服務系統(tǒng)支持豐富的自助查詢與自助業(yè)務辦理功能,自助系統(tǒng)開放的功能可以在后臺管理界面上由系統(tǒng)管理員統(tǒng)一配置,比如允許開放的自助查詢業(yè)務、自助變更套餐、停/開機等。此外,還可以靈活配置允許自助維護用戶資料的選項,比如哪些用戶資料允許變更、哪些允許一次性變更等。

5統(tǒng)計分析報表

系統(tǒng)提供的查詢報表功能豐富,分別基于用戶、賬務、操作人員、套餐組、運營、詳單等作為側重點,為系統(tǒng)的各部門人員提供其所關注的報表數(shù)據(jù)。支持豐富的單條件、多條件組合、復雜條件嵌套作為生成報表數(shù)據(jù)的篩選范圍。

6系統(tǒng)權限管理

寬帶用戶認證系統(tǒng)支持完善的角色權限管理。角色信息可以配置工號、姓名、別名,可以分別用其中之一登錄系統(tǒng)。可以配置系統(tǒng)使用者是否能多點登錄系統(tǒng)及源地址范圍綁定等。

系統(tǒng)方案實施

1系統(tǒng)組成和運行環(huán)境

寬帶用戶認證系統(tǒng)的關鍵業(yè)務系統(tǒng)包括:(1)ORACLE(10g)數(shù)據(jù)庫服務器,用于存儲系統(tǒng)所有業(yè)務數(shù)據(jù)和配置參數(shù);(2)守護進程服務器,用于數(shù)據(jù)庫服務器與BRAS進行數(shù)據(jù)交換與數(shù)據(jù)更新;(3)用戶自服務(WEB)服務器,供用戶在線查詢或自服務的服務器系統(tǒng);(4)訪問記錄服務器,用于記錄用戶上網(wǎng)訪問記錄的服務器。系統(tǒng)部署如圖3所示。

2系統(tǒng)高可用設計

認證系統(tǒng)作為整個運營系統(tǒng)的數(shù)據(jù)及營帳中心,部署在核心機房的服務器區(qū)域。考慮到整體系統(tǒng)的高可用性,將Oracle數(shù)據(jù)庫及守護進程服務器(負責同步RADIUS服務器與數(shù)據(jù)庫信息)部署為雙機熱備模式。在系統(tǒng)中,RADIUSSERVER與后臺數(shù)據(jù)庫的數(shù)據(jù)同步與更新,是通過守護進程服務器實現(xiàn)的。RADIUSSERVER設備本身配有大容量的FLASHROM,RADIUSSERVER本身能保存用戶話單和用戶資料,在與后臺(守護進程服務器)中斷后,RADIUSSERVER仍能對中斷前已開通的用戶提供完整的接入、認證、計費和控制功能;中斷過程中,對于正在正常使用的用戶不產(chǎn)生任何影響。

3數(shù)據(jù)庫服務器與數(shù)據(jù)存儲的高可用性

采用數(shù)據(jù)庫服務器雙機熱備+磁盤陣列的方案,實現(xiàn)數(shù)據(jù)庫和數(shù)據(jù)庫服務器的高可用性。

4寬帶用戶認證系統(tǒng)技術方案

方案實施網(wǎng)絡拓撲圖如圖4所示。(1)RADIUS-1、RADIUS-2、數(shù)據(jù)庫服務器、用戶自服務服務器由城市熱點提供。RADIUS-1、RADIUS-2兩臺服務器作為RADIUSSERVER,用戶自服務服務器和終端用戶之間需要路由可達。這部分需要三個公網(wǎng)IP地址:radius-1配置IP-W1,radius-2配置IP-W2,用戶自服務服務器配置IP-W3。(2)管理部分只需保證RADIUS-1、RADIUS-2、數(shù)據(jù)庫服務器、用戶自服務服務器及管理終端相互連通。為節(jié)省公網(wǎng)地址資源和安全性考慮,采用私網(wǎng)IP地址:RADIUS-1配置IP-L3,RADIUS-2配置IP-L4,數(shù)據(jù)庫服務器配置IP-L1,用戶自服務服務器配置IP-L2。(3)數(shù)據(jù)庫服務器采用centos5.6操作系統(tǒng),安裝ORACLE(10g)forlinux。(4)管理終端通過B/S界面進行用戶管理、查詢、統(tǒng)計。B/S結構(Browser/Server,瀏覽器/服務器模式),是WEB興起后的一種網(wǎng)絡結構模式,WEB瀏覽器是客戶端最主要的應用軟件。這種模式統(tǒng)一了客戶端,將系統(tǒng)功能實現(xiàn)的核心部分集中到服務器上,簡化了系統(tǒng)的開發(fā)、維護和使用。(5)RADIUS與BRAS通訊通過千兆光口。與數(shù)據(jù)庫服務器通訊端口采用千兆電口。數(shù)據(jù)庫服務器、用戶自服務服務器所有通訊端口皆為千兆電口。安全配置及附屬設備說明如下。(1)RADIUS-1、RADIUS-2、數(shù)據(jù)庫服務器、用戶自服務服務器及管理終端通過千兆電換機相互連接。(2)管理終端需訪問數(shù)據(jù)庫服務器IP-L1所在端口的80端口和SSH端口,目前啟用了Iptables。(3)管理終端需訪問用戶自服務服務器IP-L2所在端口的SSH端口,目前啟用了Iptables。(4)管理終端需訪問RADIUS-1、RADIUS-2的IP-L3、IP-L4所在端口的SSH和telnet。(5)管理網(wǎng)安全措施由三部分組成:服務器啟用IPtables,B/S操作頁面登陸需要賬號密碼,可以控制登錄B/S操作頁面的管理終端的IP范圍。(6)終端用戶需訪問用戶自服務服務器IP-W3所在端口的80端口,目前啟用了Iptables。(7)RADIUS-1、RADIUS-2的IP-L3、IP-L4只需同BRAS通信,目前啟用了Iptables。(8)RADIUS-1、RADIUS-2只需同BRAS通信,在前端相關防護設備上做ACL(AccessControlList,訪問控制列表)策略,禁止其他IP地址訪問。

結束語

目前寬帶用戶認證系統(tǒng)平臺已經(jīng)構建完成并入網(wǎng),實現(xiàn)了RADIUS認證平臺功能。經(jīng)過詳細測試發(fā)現(xiàn),認證服務器的處理能力決定著性能,認證服務器滿足不少于20個認證/秒的處理能力,時延不大于5000ms。隨著業(yè)務的發(fā)展,RADIUS認證平臺系統(tǒng)由于具備靈活的擴展設計,能夠根據(jù)用戶量以及網(wǎng)絡規(guī)模做相應的擴展。(本文作者:朱建斌 單位:中國移動山東公司泰安分公司)