呂旭東 張雪霞 宋養(yǎng)齊

[摘 要]本文結(jié)合長慶油田認(rèn)證（Authentication）、授權(quán)（Accounting）和計費(fèi)（Authorization），即AAA認(rèn)證升級改造項(xiàng)目，從用戶結(jié)構(gòu)、認(rèn)證需求、設(shè)計要求、技術(shù)選擇、系統(tǒng)設(shè)計、系統(tǒng)實(shí)現(xiàn)等方面展開分析，研究了AAA認(rèn)證技術(shù)、系統(tǒng)架構(gòu)搭建、無線局域網(wǎng)（Wireless Local Area Network，WLAN）無感知認(rèn)證以及登錄源管理等關(guān)鍵技術(shù)在油田社區(qū)網(wǎng)的應(yīng)用，為基礎(chǔ)網(wǎng)絡(luò)認(rèn)證設(shè)計和管理提供相應(yīng)參考。

[關(guān)鍵詞]AAA認(rèn)證;長慶油田社區(qū)網(wǎng);系統(tǒng)設(shè)計

doi：10.3969/j.issn.1673 - 0194.2020.24.097

[中圖分類號]F426.22[文獻(xiàn)標(biāo)識碼]A[文章編號]1673-0194（2020）24-0-02

1? ? ?長慶油田社區(qū)網(wǎng)現(xiàn)狀調(diào)查

長慶油田社區(qū)網(wǎng)覆蓋陜西、甘肅、寧夏、內(nèi)蒙古4個省區(qū)，用戶群體分為社區(qū)網(wǎng)用戶、油區(qū)有線用戶、油區(qū)無線用戶和臨時辦公用戶，登錄方式分為辦公區(qū)用戶Web方式登錄、社區(qū)用戶使用基于以太網(wǎng)的點(diǎn)對點(diǎn)通信協(xié)議（Point to Point Protocol over Ethernet，PPPOE）撥號方式等。由于近年來用戶數(shù)量增多，BOSS升級改造、原有認(rèn)證（Authentication）、授權(quán)（Accounting）和計費(fèi)（Authorization），即AAA技術(shù)并發(fā)處理能力不足，缺少區(qū)域控制功能和認(rèn)證切換功能，用戶端Portal頁面使用體驗(yàn)差、移動端在使用過程中出現(xiàn)重復(fù)認(rèn)證等問題，需要重新設(shè)計認(rèn)證系統(tǒng)和服務(wù)。

2? ? ?系統(tǒng)設(shè)計要求

根據(jù)AAA技術(shù)發(fā)展和用戶實(shí)際需求，新系統(tǒng)的開發(fā)需要具備以下幾個特征：①標(biāo)準(zhǔn)化和易擴(kuò)展性，認(rèn)證計費(fèi)平臺結(jié)構(gòu)應(yīng)符合國際標(biāo)準(zhǔn)，設(shè)計標(biāo)準(zhǔn)化的技術(shù)和產(chǎn)品;②實(shí)用性，根據(jù)現(xiàn)有需求和可以預(yù)見的需求增長情況設(shè)計平臺能力，避免不必要的技術(shù)花費(fèi);③可靠性，根據(jù)業(yè)務(wù)關(guān)鍵性指標(biāo)需求，構(gòu)建可靠的網(wǎng)絡(luò)環(huán)境;④適應(yīng)性，根據(jù)現(xiàn)網(wǎng)網(wǎng)絡(luò)接入場景，適應(yīng)多業(yè)務(wù)發(fā)展需求，提供靈活多樣的管理策略;⑤安全性，搭建訪問控制機(jī)制的安全平臺，制定網(wǎng)絡(luò)隔離策略，確保數(shù)據(jù)庫的安全。

3? ? ?認(rèn)證技術(shù)選擇

根據(jù)區(qū)域位置和用戶屬性，社區(qū)網(wǎng)有線用戶、油寬有線用戶和油寬無線用戶需采用不同的方式進(jìn)行認(rèn)證。

3.1? ?AAA認(rèn)證

AAA認(rèn)證即認(rèn)證、授權(quán)和計費(fèi)3種網(wǎng)絡(luò)用戶管理技術(shù)。目的在于采用可靠的用戶認(rèn)證方式和用戶訪問控制手段，同時記錄網(wǎng)絡(luò)使用情況和用戶登錄日志，以提高管理能力。

3.2? ?RADIUS認(rèn)證協(xié)議

RADIUS認(rèn)證協(xié)議基于服務(wù)端和客戶端交互，是一種常用的AAA協(xié)議。通常使用User、Password、虛擬局域網(wǎng)（Virtual Local Area Network，VLAN）、Port等用戶身份信息，同時還具備AAA和Audit等應(yīng)用功能，具有良好的標(biāo)準(zhǔn)性和兼容性，可以按照網(wǎng)絡(luò)結(jié)構(gòu)和用戶屬性制定不同的認(rèn)證計費(fèi)規(guī)則。

3.3? ?PPPOE認(rèn)證技術(shù)

PPPOE協(xié)議是在廣播中將各處匯聚不同主機(jī)，實(shí)現(xiàn)主機(jī)與管理器之間的訪問，包括發(fā)現(xiàn)階段和會話階段，主要通過以太網(wǎng)幀傳輸。

3.4? ?Portal認(rèn)證

Portal認(rèn)證是基于應(yīng)用層的網(wǎng)頁驗(yàn)證方式。典型的組網(wǎng)方式包括認(rèn)證客戶端、接入設(shè)備、Portal服務(wù)器和AAA服務(wù)器。在以WLAN為主的網(wǎng)絡(luò)結(jié)構(gòu)環(huán)境中，用戶無須使用軟件進(jìn)行撥號。采用Portal認(rèn)證可以忽略網(wǎng)絡(luò)結(jié)構(gòu)、設(shè)備類型等。

4? ? ?系統(tǒng)設(shè)計

作為以用戶為直接服務(wù)對象的寬帶認(rèn)證計費(fèi)系統(tǒng)，需要滿足不斷變化的環(huán)境需求和服務(wù)，包括解決不同廠家設(shè)備的兼容性、多場景應(yīng)用體驗(yàn)、IPv6/v4雙棧環(huán)境、移動互聯(lián)網(wǎng)環(huán)境等要求。

4.1? ?系統(tǒng)架構(gòu)設(shè)計

寬帶認(rèn)證計費(fèi)系統(tǒng)以Linux作為基礎(chǔ)平臺，具有通用、易部署、可靠穩(wěn)定性高、開源等特點(diǎn)，能大大降低總體部署和維護(hù)成本。系統(tǒng)前后臺采用Tomcat+JDK+Oracle Database的架構(gòu)組合，相比典型的Apache+PHP+MYSQL/MS SQL 2008組合，該架構(gòu)更適用構(gòu)建企業(yè)級應(yīng)用。在數(shù)據(jù)庫構(gòu)建上，可以使用Oracle Database封裝業(yè)務(wù)數(shù)據(jù)，如實(shí)時應(yīng)用集群（Real Application Clusters，

RAC）、數(shù)據(jù)壓縮、備份、恢復(fù)等，通過簡單郵件傳輸協(xié)議（Simple Mail Transfer Protocol，SMTP）、傳輸控制協(xié)議（Transmission Control Protocol，TCP）等協(xié)議與其他模塊互聯(lián)。Oracle數(shù)據(jù)庫獨(dú)立運(yùn)行，不依賴web server及radius server，即可以完成系統(tǒng)月結(jié)出賬過程，月結(jié)性能可以達(dá)到1萬戶/分鐘。系統(tǒng)采用安全外殼協(xié)議（Secure Shell，SSH）或服務(wù)器端嵌入（Server Side Include，

SSI）成熟的開源開發(fā)框架，便于實(shí)現(xiàn)團(tuán)隊(duì)協(xié)作，能夠有效滿足客戶定制化需求。在該過程中，實(shí)現(xiàn)Radius Server、Tomcat、Database的解耦，Tomcat故障不會影響后臺業(yè)務(wù)的正常運(yùn)行，后臺

Database故障不會影響前臺Radius Server正常認(rèn)證。

4.2? ?系統(tǒng)部署

系統(tǒng)實(shí)現(xiàn)完全虛擬化部署，各組件模塊已針對虛擬化部署進(jìn)行優(yōu)化設(shè)計，如VMware平臺環(huán)境，支持完全虛擬化部署，以對數(shù)據(jù)中心進(jìn)行集約化運(yùn)維，降低互聯(lián)網(wǎng)技術(shù)（Internet Technology，IT）資本和運(yùn)營成本，提高工作效率和舒適度。采用集群式負(fù)載均衡部署，搭建Oracle數(shù)據(jù)庫系統(tǒng)和操作系統(tǒng)，寬帶認(rèn)證計費(fèi)系統(tǒng)前臺和后臺軟件按照高可靠性備份冗余要求優(yōu)化設(shè)計。

4.3? ?系統(tǒng)開發(fā)過程

①采用華為ME60作為接入設(shè)備，AAA認(rèn)證使用兩臺服務(wù)器進(jìn)行旁掛，實(shí)現(xiàn)用戶多方式場景計入和IPV4/IPV6雙棧支持。②設(shè)計開發(fā)用戶模塊、設(shè)備模塊、Eportal模塊、無感知模塊等。③使用兩個動態(tài)主機(jī)配置協(xié)議（Dynamic Host Configuration Protocol，DHCP）服務(wù)器構(gòu)建Failover雙機(jī)服務(wù)，實(shí)現(xiàn)現(xiàn)網(wǎng)IPV4/V6的全面支持，同時按照現(xiàn)有BOSS系統(tǒng)接口規(guī)范，定制開發(fā)接口。④實(shí)現(xiàn)用戶數(shù)據(jù)、賬號開停機(jī)同步。⑤部署用戶在線接口程序與i-log等三方行為日志系統(tǒng)對接，實(shí)施傳遞在線用戶賬號、網(wǎng)際互聯(lián)協(xié)議（Internet Protocol，IP）、姓名等自定義擴(kuò)展字段。

5? ? ?技術(shù)創(chuàng)新

5.1? ?無感知接入

無感知接入功能指在進(jìn)行非首次連接后，認(rèn)證系統(tǒng)配合接入服務(wù)器，為用戶的后期登錄提供自動完成認(rèn)證服務(wù)。樓宇自動化系統(tǒng)或建筑設(shè)備自動化系統(tǒng)（Building Automation System，BAS）先嘗試媒體存取控制位址（Media Access Control Address，MAC）作為賬號進(jìn)行RADIUS認(rèn)證，認(rèn)證失敗后再強(qiáng)推Portal認(rèn)證頁面，最后在認(rèn)證服務(wù)器端實(shí)現(xiàn)無感知認(rèn)證配置與支持。包括DHCP系統(tǒng)在識別到用戶上線時，立即通知計費(fèi)系統(tǒng)開啟計費(fèi)并放行用戶;DHCP檢測到用戶IP釋放的信息后，會向計費(fèi)系統(tǒng)發(fā)送停止計費(fèi)的指令并終止網(wǎng)絡(luò)授權(quán)。

5.2? ?Failover雙機(jī)服務(wù)

DHCP服務(wù)保障支持DHCP Failover協(xié)議，由兩臺DHCP Failover節(jié)點(diǎn)構(gòu)成一套Failover集群，兩個節(jié)點(diǎn)并行工作（Active/Active），單臺節(jié)點(diǎn)故障不影響DHCP服務(wù)的可用性。

5.3? ?區(qū)域控制

創(chuàng)建不同的套餐組，根據(jù)各區(qū)域BRAS上傳對應(yīng)的參數(shù)PVLAN、CLAN、CLOT、SLOT等，通過區(qū)域接入控制，對賬號主體進(jìn)行漫游區(qū)域控制。

5.4? ?守護(hù)進(jìn)程

守護(hù)進(jìn)程負(fù)責(zé)后臺數(shù)據(jù)庫與硬件的數(shù)據(jù)交互，一套數(shù)據(jù)庫只能同時運(yùn)行一個守護(hù)進(jìn)程，因此，必須確保運(yùn)行守護(hù)進(jìn)程的服務(wù)可控。系統(tǒng)配置了多個守護(hù)進(jìn)程，配置了不同的IP和端口，實(shí)現(xiàn)了多重備份，保證系統(tǒng)正常運(yùn)行。

6? ? ?系統(tǒng)實(shí)現(xiàn)

長慶油田社區(qū)網(wǎng)AAA系統(tǒng)的實(shí)施滿足了各項(xiàng)設(shè)計要求，由于系統(tǒng)復(fù)雜，本文主要展示以下幾個主要功能。①用戶管理，主要包括用戶查詢、業(yè)務(wù)受理、業(yè)務(wù)預(yù)約、批量業(yè)務(wù)等功能模塊。管理人員根據(jù)用戶的編號、賬號、姓名、狀態(tài)、證件號碼、IP地址編號等進(jìn)行各種條件和組合條件下的賬號查詢、開戶、復(fù)通、變更、銷戶等功能。②設(shè)備管理類，包括設(shè)備接入、主控子控配置、路由配置、直通配置、Radius服務(wù)器配置等功能模塊。管理員可以增加、刪除主服務(wù)器和子服務(wù)器，設(shè)置RADIUS服務(wù)器的參數(shù)并添加IP登錄源。③Portal認(rèn)證，用戶在手機(jī)端連接長慶油田寬帶網(wǎng)絡(luò)后，會自動彈出認(rèn)證界面，填寫賬號和密碼進(jìn)行登錄驗(yàn)證。在實(shí)際應(yīng)用中，由于采用了無感知功能，已認(rèn)證的用戶無須在WLAN環(huán)境改變時再次登錄，大大提高了用戶的上網(wǎng)體驗(yàn)。

7? ? ?結(jié) 語

AAA認(rèn)證系統(tǒng)的建設(shè)及應(yīng)用滿足了油田社區(qū)網(wǎng)不同用戶、不同環(huán)境的上網(wǎng)需求，降低了運(yùn)維人員管理難度，極大提高了長慶油田社區(qū)網(wǎng)絡(luò)管理水平。另外，建設(shè)過程中的經(jīng)驗(yàn)積累和運(yùn)行期間的技術(shù)總結(jié)有利于提高工作人員的技能水平、推動后期項(xiàng)目建設(shè)。

主要參考文獻(xiàn)

[1]王道佳，馬嚴(yán)，黃小紅.基于DHCP的校園網(wǎng)準(zhǔn)入及無感知方案研究[J].華中科技大學(xué)學(xué)報：自然科學(xué)版，2016（1）：181-185.

[2]王軍號，陸奎.RADIUS協(xié)議在AAA系統(tǒng)中的應(yīng)用研究[J].計算機(jī)技術(shù)與發(fā)展，2009（7）：199-202.

[3]周江，李賀武.一種面向Portal認(rèn)證的IPv6可信地址分配機(jī)制[J].電信科學(xué)，2019（12）：8-14.

[4]尹海成，許勤侃，梅儀國，等.下一代互聯(lián)網(wǎng)AAA認(rèn)證系統(tǒng)演進(jìn)過程研究[J].電信網(wǎng)技術(shù)，2014（6）：19-21.