廣域網(wǎng)接入認(rèn)證計(jì)費(fèi)系統(tǒng)中的關(guān)鍵技術(shù)研究與實(shí)現(xiàn)

　　摘要：廣域網(wǎng)接入認(rèn)證計(jì)費(fèi)系統(tǒng)要對(duì)網(wǎng)絡(luò)用戶進(jìn)行認(rèn)證、授權(quán)、計(jì)費(fèi)以及流量控制等運(yùn)營(yíng)管理需求的功能。目前此類認(rèn)證計(jì)費(fèi)技術(shù)主要有以下三種：PPPoE+Radius、DHCP+WEB+Radius、以及802.1X+Radius三種方式。因?yàn)?02.1X認(rèn)證方式具有安全可靠、簡(jiǎn)潔高效等優(yōu)點(diǎn)而被廣泛使用。本系統(tǒng)在802.1X協(xié)議提供的功能基礎(chǔ)上，結(jié)合WinPcap的網(wǎng)絡(luò)底層訪問(wèn)技術(shù)，避免了IP地址盜用、ARP地址欺騙等各類安全隱患。

　　1、認(rèn)證計(jì)費(fèi)系統(tǒng)解決方法的現(xiàn)狀

　　公司目前應(yīng)用的認(rèn)證計(jì)費(fèi)系統(tǒng)就是采用網(wǎng)絡(luò)底層訪問(wèn)技術(shù)，利用winPcap這個(gè)分組捕獲庫(kù)完成了防NAT{-～理等多種功能。WinPcap是一個(gè)免費(fèi)的分組捕獲庫(kù)，用它可以在windows操作平臺(tái)上來(lái)實(shí)現(xiàn)對(duì)底層包的截取過(guò)濾。它是獨(dú)立于主機(jī)協(xié)議(如TCP/IP)而發(fā)送和接收原始數(shù)據(jù)報(bào)，從而監(jiān)聽(tīng)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包。利用此編程技術(shù)，IP地址盜用、帶寬控制等問(wèn)題也得到了很好地解決。

　　2、認(rèn)證計(jì)費(fèi)系統(tǒng)中關(guān)鍵技術(shù)的分析與解決

　　2.1 IP地址盜用

　　目前防止IP地址盜用的方法有許多，如靜態(tài)路由技術(shù)、交換機(jī)控制技術(shù)等。本系統(tǒng)中則采用了IP地址綁定技術(shù)。IP地址是可以隨時(shí)更換，而網(wǎng)卡上的MAC地址則是唯一固定不變的、用戶無(wú)法更改的。因此，通過(guò)IP地址和MAC地址在路由器和交換機(jī)上的綁定可以有效地避免IP地址被盜用，加強(qiáng)網(wǎng)絡(luò)的安全性。

　　在本系統(tǒng)中采用了IP地址與MAC地址自動(dòng)綁定的方法。首先由網(wǎng)管中心給每一臺(tái)計(jì)算機(jī)分配一個(gè)IP地址，首次使用該地址時(shí)，由客戶端程序?qū)⒉樵兊降谋緳C(jī)IP地址和MAC地址一起發(fā)送給管理服務(wù)器，服務(wù)器自動(dòng)進(jìn)行記錄。用戶要首先運(yùn)行客戶端程序進(jìn)行驗(yàn)證，成功后則允許用戶接入到Internet，此后每隔一段時(shí)間客戶端程序都要把相關(guān)信息發(fā)送給服務(wù)器，如果服務(wù)器檢測(cè)出有不符的信息，則會(huì)中斷客戶機(jī)的internet連接。

　　2.2 NAT代理

　　造成網(wǎng)費(fèi)收入流失最主要的原因就是NAT代理技術(shù)的使用，即多人利用同一IP地址訪問(wèn)網(wǎng)絡(luò)。這一技術(shù)實(shí)現(xiàn)時(shí)要使用雙網(wǎng)卡或是多IP地址，因此，如果能夠檢測(cè)到雙網(wǎng)卡或多IP地址則有使用該技術(shù)的嫌疑，可中斷此連接。

　　為達(dá)到這一功能，系統(tǒng)利用winPcap捕獲數(shù)據(jù)包進(jìn)行分析處理。程序中主要使用了可以獲得適合的網(wǎng)絡(luò)接口的列表：Libpcap中的 pcap_findalldevs( )函數(shù)。它返回一個(gè)pcap_if結(jié)構(gòu)的列表，根據(jù)此列表就可以判斷出每個(gè)網(wǎng)絡(luò)接口的信息。若有多于兩個(gè)網(wǎng)卡或IP地址的情況，則反饋給相關(guān)功能模塊，從而禁止網(wǎng)絡(luò)功能。

　　2.3 ARP地址欺騙

　　TCP/IP網(wǎng)絡(luò)依據(jù)IP地址進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)，IP地址用來(lái)確定網(wǎng)絡(luò)上的主機(jī)地址，是個(gè)三層協(xié)議地址，而當(dāng)IP包被送到數(shù)據(jù)鏈路層時(shí)，則需要使用物理地址來(lái)識(shí)別主機(jī)或節(jié)點(diǎn)。因此，主機(jī)在發(fā)送數(shù)據(jù)前需要知道下一跳IP地址的物理地址。ARP的作用就是獲取與IP地址相對(duì)應(yīng)的主機(jī)MAC地址。查詢獲得后，主機(jī)就會(huì)將IP地址到硬件MAC地址之間的映射存放到本機(jī)的一個(gè)可以動(dòng)態(tài)刷新的ARP高速緩存中。在發(fā)送報(bào)文前，主機(jī)先在ARP高速緩存中查找是否有目標(biāo)IP地址對(duì)應(yīng)的目的MAC地址。但是這個(gè)映射主機(jī)并不會(huì)檢查結(jié)果的合法性，而ARP欺騙正是利用TARP協(xié)議的這種機(jī)制。

　　2.4 帶寬控制

　　局域網(wǎng)建立初期出口帶寬各為100M，因?yàn)闆](méi)有對(duì)用戶帶寬進(jìn)行限制，不少用戶經(jīng)常抱怨網(wǎng)速太慢。經(jīng)分析統(tǒng)計(jì)，網(wǎng)絡(luò)的帶寬主要為BitTorrent、HTTP、eDonkey、WinMedia、Real、FTP等應(yīng)用程序所占用。這些應(yīng)用當(dāng)然可以通過(guò)路由器或交換機(jī)的關(guān)閉一部分端口來(lái)實(shí)現(xiàn)，但隨著技術(shù)的不斷發(fā)展，各種軟件使用了動(dòng)態(tài)端口甚至HTTP協(xié)議來(lái)躲避端口的檢測(cè)，無(wú)法進(jìn)行限制，缺乏靈活性。

　　針對(duì)這種狀況，加之網(wǎng)絡(luò)各類應(yīng)用層出不窮，如果靠檢測(cè)各類應(yīng)用是無(wú)法跟上技術(shù)發(fā)展的。一方面，考慮到普通用戶使用網(wǎng)絡(luò)的情況，我們采用取了簡(jiǎn)便有效的方法：即限定每個(gè)IP地址的流量，而不管用戶使用什么應(yīng)用協(xié)議。計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)的輸出模型如圖2所示。

　　流量控制可以通過(guò)決定包是否加入排隊(duì)、拋棄或是延遲從而達(dá)到限率、優(yōu)先級(jí)控制以及限流的目的�？蛻舳讼蚍�務(wù)器提供客戶信息，服務(wù)器端則完成帶寬分配、流量控制的任務(wù)。在Linux2.2及以上的版本內(nèi)核里，可以利用iprouter命令集提供的tc命令完成帶寬分配。

【廣域網(wǎng)接入認(rèn)證計(jì)費(fèi)系統(tǒng)中的關(guān)鍵技術(shù)研究與實(shí)現(xiàn)】相關(guān)文章：

廣域網(wǎng)用戶集中管理系統(tǒng)實(shí)施在供電系統(tǒng)中的應(yīng)用11-21

網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)關(guān)鍵技術(shù)研究02-24

試論電子商務(wù)系統(tǒng)中的ＣＡ認(rèn)證12-05

火電廠配煤系統(tǒng)關(guān)鍵技術(shù)研究論文提綱11-24

基于廣域網(wǎng)的多層無(wú)功電壓信息管理系統(tǒng)設(shè)計(jì)11-21

陣列信號(hào)處理的關(guān)鍵技術(shù)研究提綱12-06

談?wù)劻x工管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)02-26

論文提綱范文：系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)05-27

綜合評(píng)價(jià)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)論文提綱11-18

計(jì)算機(jī)安全弱點(diǎn)及關(guān)鍵技術(shù)研究論文02-20