廣域網(wǎng)接入認證計費系統(tǒng)中的關(guān)鍵技術(shù)研究與實現(xiàn)

　　摘要：廣域網(wǎng)接入認證計費系統(tǒng)要對網(wǎng)絡(luò)用戶進行認證、授權(quán)、計費以及流量控制等運營管理需求的功能。目前此類認證計費技術(shù)主要有以下三種：PPPoE+Radius、DHCP+WEB+Radius、以及802.1X+Radius三種方式。因為802.1X認證方式具有安全可靠、簡潔高效等優(yōu)點而被廣泛使用。本系統(tǒng)在802.1X協(xié)議提供的功能基礎(chǔ)上，結(jié)合WinPcap的網(wǎng)絡(luò)底層訪問技術(shù)，避免了IP地址盜用、ARP地址欺騙等各類安全隱患。

　　1、認證計費系統(tǒng)解決方法的現(xiàn)狀

　　公司目前應(yīng)用的認證計費系統(tǒng)就是采用網(wǎng)絡(luò)底層訪問技術(shù)，利用winPcap這個分組捕獲庫完成了防NAT{-～理等多種功能。WinPcap是一個免費的分組捕獲庫，用它可以在windows操作平臺上來實現(xiàn)對底層包的截取過濾。它是獨立于主機協(xié)議(如TCP/IP)而發(fā)送和接收原始數(shù)據(jù)報，從而監(jiān)聽網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包。利用此編程技術(shù)，IP地址盜用、帶寬控制等問題也得到了很好地解決。

　　2、認證計費系統(tǒng)中關(guān)鍵技術(shù)的分析與解決

　　2.1 IP地址盜用

　　目前防止IP地址盜用的方法有許多，如靜態(tài)路由技術(shù)、交換機控制技術(shù)等。本系統(tǒng)中則采用了IP地址綁定技術(shù)。IP地址是可以隨時更換，而網(wǎng)卡上的MAC地址則是唯一固定不變的、用戶無法更改的。因此，通過IP地址和MAC地址在路由器和交換機上的綁定可以有效地避免IP地址被盜用，加強網(wǎng)絡(luò)的安全性。

　　在本系統(tǒng)中采用了IP地址與MAC地址自動綁定的方法。首先由網(wǎng)管中心給每一臺計算機分配一個IP地址，首次使用該地址時，由客戶端程序?qū)⒉樵兊降谋緳CIP地址和MAC地址一起發(fā)送給管理服務(wù)器，服務(wù)器自動進行記錄。用戶要首先運行客戶端程序進行驗證，成功后則允許用戶接入到Internet，此后每隔一段時間客戶端程序都要把相關(guān)信息發(fā)送給服務(wù)器，如果服務(wù)器檢測出有不符的信息，則會中斷客戶機的internet連接。

　　2.2 NAT代理

　　造成網(wǎng)費收入流失最主要的原因就是NAT代理技術(shù)的使用，即多人利用同一IP地址訪問網(wǎng)絡(luò)。這一技術(shù)實現(xiàn)時要使用雙網(wǎng)卡或是多IP地址，因此，如果能夠檢測到雙網(wǎng)卡或多IP地址則有使用該技術(shù)的嫌疑，可中斷此連接。

　　為達到這一功能，系統(tǒng)利用winPcap捕獲數(shù)據(jù)包進行分析處理。程序中主要使用了可以獲得適合的網(wǎng)絡(luò)接口的列表：Libpcap中的 pcap_findalldevs( )函數(shù)。它返回一個pcap_if結(jié)構(gòu)的列表，根據(jù)此列表就可以判斷出每個網(wǎng)絡(luò)接口的信息。若有多于兩個網(wǎng)卡或IP地址的情況，則反饋給相關(guān)功能模塊，從而禁止網(wǎng)絡(luò)功能。

　　2.3 ARP地址欺騙

　　TCP/IP網(wǎng)絡(luò)依據(jù)IP地址進行數(shù)據(jù)包轉(zhuǎn)發(fā)，IP地址用來確定網(wǎng)絡(luò)上的主機地址，是個三層協(xié)議地址，而當IP包被送到數(shù)據(jù)鏈路層時，則需要使用物理地址來識別主機或節(jié)點。因此，主機在發(fā)送數(shù)據(jù)前需要知道下一跳IP地址的物理地址。ARP的作用就是獲取與IP地址相對應(yīng)的主機MAC地址。查詢獲得后，主機就會將IP地址到硬件MAC地址之間的映射存放到本機的一個可以動態(tài)刷新的ARP高速緩存中。在發(fā)送報文前，主機先在ARP高速緩存中查找是否有目標IP地址對應(yīng)的目的MAC地址。但是這個映射主機并不會檢查結(jié)果的合法性，而ARP欺騙正是利用TARP協(xié)議的這種機制。

　　2.4 帶寬控制

　　局域網(wǎng)建立初期出口帶寬各為100M，因為沒有對用戶帶寬進行限制，不少用戶經(jīng)常抱怨網(wǎng)速太慢。經(jīng)分析統(tǒng)計，網(wǎng)絡(luò)的帶寬主要為BitTorrent、HTTP、eDonkey、WinMedia、Real、FTP等應(yīng)用程序所占用。這些應(yīng)用當然可以通過路由器或交換機的關(guān)閉一部分端口來實現(xiàn)，但隨著技術(shù)的不斷發(fā)展，各種軟件使用了動態(tài)端口甚至HTTP協(xié)議來躲避端口的檢測，無法進行限制，缺乏靈活性。

　　針對這種狀況，加之網(wǎng)絡(luò)各類應(yīng)用層出不窮，如果靠檢測各類應(yīng)用是無法跟上技術(shù)發(fā)展的。一方面，考慮到普通用戶使用網(wǎng)絡(luò)的情況，我們采用取了簡便有效的方法：即限定每個IP地址的流量，而不管用戶使用什么應(yīng)用協(xié)議。計算機網(wǎng)絡(luò)數(shù)據(jù)的輸出模型如圖2所示。

　　流量控制可以通過決定包是否加入排隊、拋棄或是延遲從而達到限率、優(yōu)先級控制以及限流的目的�？蛻舳讼蚍�務(wù)器提供客戶信息，服務(wù)器端則完成帶寬分配、流量控制的任務(wù)。在Linux2.2及以上的版本內(nèi)核里，可以利用iprouter命令集提供的tc命令完成帶寬分配。

【廣域網(wǎng)接入認證計費系統(tǒng)中的關(guān)鍵技術(shù)研究與實現(xiàn)】相關(guān)文章：

廣域網(wǎng)用戶集中管理系統(tǒng)實施在供電系統(tǒng)中的應(yīng)用11-21

網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)關(guān)鍵技術(shù)研究02-24

試論電子商務(wù)系統(tǒng)中的ＣＡ認證12-05

火電廠配煤系統(tǒng)關(guān)鍵技術(shù)研究論文提綱11-24

基于廣域網(wǎng)的多層無功電壓信息管理系統(tǒng)設(shè)計11-21

陣列信號處理的關(guān)鍵技術(shù)研究提綱12-06

談?wù)劻x工管理系統(tǒng)的設(shè)計與實現(xiàn)02-26

論文提綱范文：系統(tǒng)設(shè)計與實現(xiàn)05-27

綜合評價系統(tǒng)設(shè)計與實現(xiàn)論文提綱11-18

計算機安全弱點及關(guān)鍵技術(shù)研究論文02-20