廣域網接入認證計費系統中的關鍵技術研究與實現

廣域網接入認證計費系統中的關鍵技術研究與實現

　　摘要：廣域網接入認證計費系統要對網絡用戶進行認證、授權、計費以及流量控制等運營管理需求的功能。目前此類認證計費技術主要有以下三種：PPPoE+Radius、DHCP+WEB+Radius、以及802.1X+Radius三種方式。因為802.1X認證方式具有安全可靠、簡潔高效等優點而被廣泛使用。本系統在802.1X協議提供的功能基礎上，結合WinPcap的網絡底層訪問技術，避免了IP地址盜用、ARP地址欺騙等各類安全隱患。

　　1、認證計費系統解決方法的現狀

　　公司目前應用的認證計費系統就是采用網絡底層訪問技術，利用winPcap這個分組捕獲庫完成了防NAT{-～理等多種功能。WinPcap是一個免費的分組捕獲庫，用它可以在windows操作平臺上來實現對底層包的截取過濾。它是獨立于主機協議(如TCP/IP)而發送和接收原始數據報，從而監聽網絡上傳輸的數據包。利用此編程技術，IP地址盜用、帶寬控制等問題也得到了很好地解決。

　　2、認證計費系統中關鍵技術的分析與解決

　　2.1 IP地址盜用

　　目前防止IP地址盜用的方法有許多，如靜態路由技術、交換機控制技術等。本系統中則采用了IP地址綁定技術。IP地址是可以隨時更換，而網卡上的MAC地址則是唯一固定不變的、用戶無法更改的。因此，通過IP地址和MAC地址在路由器和交換機上的綁定可以有效地避免IP地址被盜用，加強網絡的安全性。

　　在本系統中采用了IP地址與MAC地址自動綁定的方法。首先由網管中心給每一臺計算機分配一個IP地址，首次使用該地址時，由客戶端程序將查詢到的本機IP地址和MAC地址一起發送給管理服務器，服務器自動進行記錄。用戶要首先運行客戶端程序進行驗證，成功后則允許用戶接入到Internet，此后每隔一段時間客戶端程序都要把相關信息發送給服務器，如果服務器檢測出有不符的信息，則會中斷客戶機的internet連接。

　　2.2 NAT代理

　　造成網費收入流失最主要的原因就是NAT代理技術的使用，即多人利用同一IP地址訪問網絡。這一技術實現時要使用雙網卡或是多IP地址，因此，如果能夠檢測到雙網卡或多IP地址則有使用該技術的嫌疑，可中斷此連接。

　　為達到這一功能，系統利用winPcap捕獲數據包進行分析處理。程序中主要使用了可以獲得適合的網絡接口的列表：Libpcap中的 pcap_findalldevs( )函數。它返回一個pcap_if結構的列表，根據此列表就可以判斷出每個網絡接口的信息。若有多于兩個網卡或IP地址的情況，則反饋給相關功能模塊，從而禁止網絡功能。

　　2.3 ARP地址欺騙

　　TCP/IP網絡依據IP地址進行數據包轉發，IP地址用來確定網絡上的主機地址，是個三層協議地址，而當IP包被送到數據鏈路層時，則需要使用物理地址來識別主機或節點。因此，主機在發送數據前需要知道下一跳IP地址的物理地址。ARP的作用就是獲取與IP地址相對應的主機MAC地址。查詢獲得后，主機就會將IP地址到硬件MAC地址之間的映射存放到本機的一個可以動態刷新的ARP高速緩存中。在發送報文前，主機先在ARP高速緩存中查找是否有目標IP地址對應的目的MAC地址。但是這個映射主機并不會檢查結果的合法性，而ARP欺騙正是利用TARP協議的這種機制。

　　2.4 帶寬控制

　　局域網建立初期出口帶寬各為100M，因為沒有對用戶帶寬進行限制，不少用戶經常抱怨網速太慢。經分析統計，網絡的帶寬主要為BitTorrent、HTTP、eDonkey、WinMedia、Real、FTP等應用程序所占用。這些應用當然可以通過路由器或交換機的關閉一部分端口來實現，但隨著技術的不斷發展，各種軟件使用了動態端口甚至HTTP協議來躲避端口的檢測，無法進行限制，缺乏靈活性。

　　針對這種狀況，加之網絡各類應用層出不窮，如果靠檢測各類應用是無法跟上技術發展的。一方面，考慮到普通用戶使用網絡的情況，我們采用取了簡便有效的方法：即限定每個IP地址的流量，而不管用戶使用什么應用協議。計算機網絡數據的輸出模型如圖2所示。

　　流量控制可以通過決定包是否加入排隊、拋棄或是延遲從而達到限率、優先級控制以及限流的目的。客戶端向服務器提供客戶信息，服務器端則完成帶寬分配、流量控制的任務。在Linux2.2及以上的版本內核里，可以利用iprouter命令集提供的tc命令完成帶寬分配。

【廣域網接入認證計費系統中的關鍵技術研究與實現】相關文章：

廣域網用戶集中管理系統實施在供電系統中的應用11-21

網絡安全態勢感知系統關鍵技術研究02-24

試論電子商務系統中的ＣＡ認證12-05

火電廠配煤系統關鍵技術研究論文提綱11-24

基于廣域網的多層無功電壓信息管理系統設計11-21

陣列信號處理的關鍵技術研究提綱12-06

談談義工管理系統的設計與實現02-26

論文提綱范文：系統設計與實現05-27

綜合評價系統設計與實現論文提綱11-18

計算機安全弱點及關鍵技術研究論文02-20