用户接入认证和计费

用户接入认证和计费

www.linuxaid.com.cn  only_you

〖 返回〗〖转发〗

用户接入认证和计费  作者：only_you(2001-04-04 18:24:33) 〖回复〗〖打包〗〖转发〗   用户上网访问流程 1用户上网流程    用户可以首先经过PSTN（ISDN）拨号到接入设备经过本地SWITCH直接到认证服务器进行认证，查询省数据库验证用户的USERNAME和PASSWD。认证通过后，服务器发出用户的电子身份证经过SWITCH给接入设备。然后接入设备从IP池里随机分配给用户一个动态IP。记费服务器开始对用户上网做统一的记费服务。这时用户统一从SWITCH交换到网络开始访问网络上的其他主机和各种信息（WWW、FTP、EMAIL）。或者可以经过路由器访问其它各点的各种信息服务， 2网络系统模块 2.1接入 1、接入服务器概述      接入设备为用户拨号上网的设备例如：MAX 4000， Total Control等。拨号接入可分为模拟中继与数字中继连接两种。      一：采用模拟中继相连      根据设计容量申请模拟中继，直接和MODEM相联，用户使用PC+ MODEM通过模拟电话线拨号进入本系统。此种方式优势在于投资少，用户接入线数灵活，但是由于模拟中继无法送出用户主叫号码，因此该种方式中基于主叫号码的各种业务和管理均无法实现。     二：采用数字中继相连       接入平台方法扩容灵活，设备成熟，用户同样采用PC+MODEM通过模拟电话线拨号进入本系统。采用此方法可以取用户主叫号码，进而开展各项基于此项功能上的各种应用服务。目前通常的方案都使用集成化数字接入平台，如ASCEND公司的MAX 4000、3COM公司的AB8000、CISCO公司的AS5800等产品。 2、接入服务器的工作流程        用户可以用普通电话线或ISDN通过E1中继数字拨入到TotalControl的E1/PRI接入卡上网，该卡通过TDM时分复用）总线实现到与modem卡之间的通信，然后通过Packet(分组总线)到NETServer卡路由到指定认证服务器进行认证。 如果认证通过，授权信息反馈给NETserver卡，该卡给用户动态分配一个IP通过内部总线反馈给E1/PRI接入卡允许用户接入上网。 2.2认证    RADIUS模块主要负责对上网帐户进行网络层和信息层认证，授权。用户数据放在数据库里，RADIUS收到认证请求后，到数据库去查找用户数据，确定是否允许用户上网。 1、网络层认证、授权 一：认证     当CLIENT端（包括接入服务器和信息层）传送用户的上网请求后，Radius(Remote Authentication Dial-In User System)Server在接收的请求信息中得到用户的姓名和密码，然后通过查询数据库中的用户信息表检查用户输入的姓名和密码是否正确。如果两者都正确则允许用户上网，否则向用户返回验证失败的信息。  网络层认证流程图如下： (1) A省用户在本地拨叫特服号码接入A1地NAS (2) A1地NAS提示用户输入用户名和密码 (3) A省用户输入用户名和密码 (4) A1地NAS将用户名称和密码加密后传向A省中心Radius Server请求认证 (5) A省中心Radius Server用对应的解密钥成功解密收到的密文后，再以用户名称为索引，到A省用户数据库中查询用户信息 (6) A省用户数据库返回用户信息，含用户名、密码、用户权限等 (7) A省中心Radius Server核实用户密码正确后，将权限信息加密传递给A1地NAS (8) A1地NAS根据成功解密得到的用户权限为用户授权 二：授权    对于网络层认证通过的用户赋予某种权限，如本地用户，CHINANET用户，INTERNET用户及GUEST用户。     A：本地用户只能访问多媒体信息网     B：能访问多媒体信息网与CHINANET     C：能访问多媒体信息网、CHINANET与INTERNET     D：GUEST用户的在多媒体信息网上的权限比本地用户低一些    用户认证通过后，Radius Sever从数据库中查询到用户的权限，然后根据不同的用户权限给接入服务器返回不同的授权控制，如动态分配IP地址，地址掩码，Filter-Id等授权信息。其中用户的网络权限控制是通过Filter-Id机制实现的。对于从信息层认证的请求，Radius Server返回用户的开户地，用户名，主叫号码，用户的信息层权限等信息。 2、信息层认证、授权     信息层身份认证的目的是：在用户访问信息时，能够针对不同的用户和不同的信息源进行分类身分验证。由于利用WWW技术访问信息节点时信息检索是不连续检索，WWW Server对用户的身份是无记忆性的。因此通过半开放性网络，利WWW技术进行信息网的持续的用户身份认证一直是WWW技术所面临的技术难题。为此，可以通过电子身份证技术对用户的信息层请求进行用户身份的标识．从而能够同时记录下信息请求与用户身份，达到计费的目的．     电子身份证是新一代的用户认证机制．其原理如下：         当客户端软件访问服务器时，服务器端要求用户输入用户名和口令，服务器根据用户的用户名和口令到该管理领域内的用户管理服务器去认证，当认证通过后，系统授权用户接入到系统上来，这时服务器端会发给用户一个电子身份证，当用户访问服务器时，客户端软件会把电子身份证传送到服务器端，服务器端对该电子身份证进行分析处理，如果该电子身份符合要求，则确认该用户为可进行访问的合法用户．   认证流程：    如果用户已有电子身份证，可直接访问信息源，如果用户没有电子身份证，先为用户发放电子身份证，用户持电子身份证访问信息源   i.发放电子身份证流程   1) 用户通过www系统访问信息源的信息。   2) 信息源平台发现用户没有电子身份证，要求用户输入用户名和口令。 3) 信息源平台持用户名和口令，通过访问用户信息库，取得用户权限,信息源平台根据用户权限，为用户发放一定权限的电子身份证。 ii.持电子身份证上网流程   1) 用户持电子身份证，通过www系统访问信息源的信息 2) 信息源平台判断用户电子身份证是否有权访问此信息．如果有权限，传输数据；否则,拒绝访问。 .2.3记费     记费主要负责采集原始计费数据，进行计算，生成结算信息功能。计费部分的整体思路：ISP服务量的计费，从数据流程上看可以分为四个阶段，即计费数据的采集、计算服务量费用、记帐、结算。计费数据的采集是指从数据采集点（LOG文件、硬件设备等）读取数据，经过合法性检查转换为标准数据格式，倒入数据库的过程；计算服务量费用指针对具体的一条服务记录计算费用的过程；记帐指将计费过程计算出来的费用及相关数据更新到用户帐号上。结算过程指在每个结算周期末终结用户的各种帐单，完成用户本周期总帐单的过程。因此从数据的流向上看，这四个阶段的次序应为：数据采集-->计算费用-->记帐-->结算。