《認(rèn)證解決方案》word版

1、有線/無線認(rèn)證解決方案 TOC o 1-3 h z u HYPERLINK l _Toc389292634 2.認(rèn)證解決方案 PAGEREF _Toc389292634 h 4 HYPERLINK l _Toc389292635 2.1認(rèn)證系統(tǒng)網(wǎng)絡(luò)拓?fù)浼胺桨刚f明 PAGEREF _Toc389292635 h 4 HYPERLINK l _Toc389292636 2.2IM平臺(tái)接口服務(wù)說明 PAGEREF _Toc389292636 h 5 HYPERLINK l _Toc389292637 3.城市熱點(diǎn)2166產(chǎn)品介紹 PAGEREF _Toc389292637 h 7 HYPERLINK

2、 l _Toc389292638 3.1Dr.COM 2166 B-RAS計(jì)費(fèi)系統(tǒng)簡介 PAGEREF _Toc389292638 h 7 HYPERLINK l _Toc389292639 3.2支持IPv6/v4雙棧的認(rèn)證計(jì)費(fèi)和帶寬控制 PAGEREF _Toc389292639 h 8 HYPERLINK l _Toc389292640 3.3支持鏈路匯聚和負(fù)載均衡 PAGEREF _Toc389292640 h 8 HYPERLINK l _Toc389292641 3.4RADIUS SERVER / RADIUS CLIENT PAGEREF _Toc389292641 h 8 H

3、YPERLINK l _Toc389292642 3.5身份認(rèn)證 PAGEREF _Toc389292642 h 10 HYPERLINK l _Toc389292643 3.6詳盡用戶上網(wǎng)訪問日志 PAGEREF _Toc389292643 h 10 HYPERLINK l _Toc389292644 3.7豐富的計(jì)費(fèi)策略 PAGEREF _Toc389292644 h 11 HYPERLINK l _Toc389292645 3.8完善的接口功能 PAGEREF _Toc389292645 h 11 HYPERLINK l _Toc389292646 3.9功能完善的網(wǎng)上自助服務(wù)系統(tǒng) PA

4、GEREF _Toc389292646 h 11 HYPERLINK l _Toc389292647 3.10在線用戶接口對(duì)接效果-與日志審計(jì)系統(tǒng)進(jìn)行對(duì)接 PAGEREF _Toc389292647 h 121.認(rèn)證構(gòu)建背景和目標(biāo)隨著網(wǎng)絡(luò)的不斷建設(shè)和完善，在WLAN使用過程中需要針對(duì)內(nèi)部人員上網(wǎng)及訪客上網(wǎng)實(shí)現(xiàn)實(shí)名認(rèn)證和記錄，如內(nèi)部辦公人員通過固定賬號(hào)密碼進(jìn)行認(rèn)證，隨著政務(wù)系統(tǒng)的網(wǎng)上，辦公人員可以使用IM系統(tǒng)的同時(shí)通過網(wǎng)絡(luò)認(rèn)證，訪客通過手機(jī)短信獲取以手機(jī)號(hào)為賬號(hào)，隨機(jī)生成密碼方式進(jìn)行認(rèn)證；并且能夠通過一個(gè)用戶管理平臺(tái)查看無線用戶所在的位置或區(qū)域。 建設(shè)目標(biāo)：針對(duì)公共服務(wù)中心無線網(wǎng)絡(luò)，提供兩個(gè)SS

5、ID（內(nèi)部、訪客）及實(shí)名身份認(rèn)證。建設(shè)統(tǒng)一身份認(rèn)證平臺(tái)，便于與政務(wù)通等系統(tǒng)實(shí)現(xiàn)相關(guān)對(duì)接。與政務(wù)通IM平臺(tái)對(duì)接，實(shí)現(xiàn)單點(diǎn)登錄SSO，即開機(jī)后登錄IM平臺(tái)自動(dòng)通過網(wǎng)絡(luò)認(rèn)證，無需二次登錄。實(shí)現(xiàn)雙機(jī)熱備，避免單點(diǎn)故障。實(shí)現(xiàn)無需安裝插件的防代理功能。具備人機(jī)交互良好的用戶操作界面，便于管理員按照不同需求進(jìn)行相關(guān)配置，支持管理員通過web瀏覽器、智能終端操作系統(tǒng)對(duì)統(tǒng)一身份認(rèn)證平臺(tái)的管理，查詢，統(tǒng)計(jì)。針對(duì)后期訪客，能夠提供短信網(wǎng)關(guān)認(rèn)證方案。2.認(rèn)證解決方案2.1認(rèn)證系統(tǒng)網(wǎng)絡(luò)拓?fù)浼胺桨刚f明硬件：Dr.COM 2166 B-RAS 認(rèn)證網(wǎng)關(guān)Dr.COM Radius Server認(rèn)證系統(tǒng)支撐管理平臺(tái)：Dr.CO

6、M數(shù)據(jù)庫服務(wù)器Dr.COM Billing ware ：管理支撐平臺(tái)Dr.COM 政務(wù)系統(tǒng)全業(yè)務(wù)接口如上圖，Dr.COM 2166 B-RAS 認(rèn)證網(wǎng)關(guān)部署在網(wǎng)絡(luò)出口上，負(fù)責(zé)對(duì)所接入的WLAN用戶訪問互聯(lián)網(wǎng)的接入、認(rèn)證、和控制，以及數(shù)據(jù)采集。Dr.COM RADIUS SERVER則對(duì)內(nèi)部WLAN用戶進(jìn)行RADIUS認(rèn)證、Dr.COM Billing ware業(yè)務(wù)支撐在公共服務(wù)中心數(shù)據(jù)中心，系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)控、策略設(shè)置、賬號(hào)管理、統(tǒng)計(jì)輸出報(bào)表、訪問記錄存儲(chǔ)等業(yè)務(wù)功能。各部分的主要作用說明如下：Dr.COM 2166 B-RAS認(rèn)證網(wǎng)關(guān)2166 B-RAS認(rèn)證網(wǎng)關(guān)對(duì)WLAN接入用戶提供認(rèn)證、數(shù)據(jù)采

7、集和用戶接入控制管理。Dr.COM高性能RADIUS服務(wù)器該系統(tǒng)處理無線用戶提交的身份認(rèn)證請(qǐng)求，可以基于不同SSID實(shí)現(xiàn)固定賬號(hào)密碼認(rèn)證和短信賬號(hào)認(rèn)證 Dr.COM ORACLE數(shù)據(jù)庫服務(wù)器該服務(wù)器對(duì)RADIUS服務(wù)器提供設(shè)備管理、業(yè)務(wù)配置管理、安全管理、用戶管理和營帳中心支撐平臺(tái)。Dr.COM 政府系統(tǒng)接口IM接口。接受IM平臺(tái)發(fā)送認(rèn)證信息，允許IM平臺(tái)中登錄用戶信息直接在Dr.COM中認(rèn)證通過2.2IM平臺(tái)接口服務(wù)說明系統(tǒng)結(jié)構(gòu)圖Dr.COM網(wǎng)關(guān)IM服務(wù)器用戶Dr.COM業(yè)務(wù)接口Portal服務(wù)器流程說明用戶被AC重定向到PORTAL頁面，提示使用IM客戶端登錄。用戶登錄IM客戶端，客戶端將

8、用戶IP，賬號(hào)信息發(fā)送到IM服務(wù)端IM服務(wù)端將登錄信息轉(zhuǎn)發(fā)Dr.COM全業(yè)務(wù)接口Dr.COM全業(yè)務(wù)接口校驗(yàn)賬號(hào)信息Dr.COM校驗(yàn)信息成功，Dr.COM網(wǎng)關(guān)允許用戶上網(wǎng)，并做相關(guān)記錄3.城市熱點(diǎn)2166產(chǎn)品介紹3.1Dr.COM 2166 B-RAS計(jì)費(fèi)系統(tǒng)簡介Dr.COM 2166 B-RAS 寬帶接入服務(wù)器是一種專用的以太網(wǎng)寬帶接入的智能設(shè)備，部署在接入層，匯聚層和核心層的出口，支持分布式和堆疊，適用于城域網(wǎng)，大型小區(qū)的寬帶運(yùn)營，負(fù)責(zé)用戶的認(rèn)證，授權(quán)和計(jì)費(fèi)，數(shù)據(jù)采集、實(shí)時(shí)控制和執(zhí)行各種網(wǎng)絡(luò)和計(jì)費(fèi)策略，采用Dr.COM自主開發(fā)的網(wǎng)絡(luò)操作系統(tǒng)，并將數(shù)據(jù)傳送到后臺(tái)進(jìn)行處理，配合Dr.COM 的計(jì)

9、費(fèi)軟件，共同組成Dr.COM寬帶計(jì)費(fèi)管理平臺(tái)。Dr.COM 2166 B-RAS 寬帶接入服務(wù)器支持線速的千兆 的L3 層交換，支持L2 L7 層的流分類，在流分類的基礎(chǔ)上可以進(jìn)行基于用戶的ACL 和QOS 方面的多種操作，執(zhí)行各種類型的實(shí)時(shí)計(jì)費(fèi)控制策略，單臺(tái)支持64000個(gè)用戶賬號(hào)，最大型號(hào)支持16000個(gè)用戶同時(shí)在線。雙機(jī)熱備份，可靠性非常高。產(chǎn)品外觀前視圖2166 B-RAS處理性能卓越設(shè)備采用多核技術(shù)，比上一代產(chǎn)品性能提高2-3倍；產(chǎn)品采用4核CPU，雙操作系統(tǒng)的平臺(tái)，繼承了原有DrOS平臺(tái)系統(tǒng)優(yōu)異的穩(wěn)定和高性能的優(yōu)點(diǎn)，以DrOS為核心的同時(shí)又采用了開放的linux操作平臺(tái)作為應(yīng)用開發(fā)

10、平臺(tái)，支持IPv4/v6雙棧技術(shù)，實(shí)現(xiàn)了雙向2G（即4G的全線速轉(zhuǎn)發(fā)能力），轉(zhuǎn)發(fā)能力比Dr.COM 2133 B-RAS提高2-3倍，千兆全雙工64字節(jié)包轉(zhuǎn)發(fā)率達(dá)到100，真正實(shí)現(xiàn)千兆線性轉(zhuǎn)發(fā)。3.2支持IPv6/v4雙棧的認(rèn)證計(jì)費(fèi)和帶寬控制IPv6(Internet Protocol Version 6，即網(wǎng)際網(wǎng)路協(xié)定版本6)也被稱作下一代互聯(lián)網(wǎng)協(xié)議，它是由IETF設(shè)計(jì)的用來替代現(xiàn)行的IPv4協(xié)議的一種新的IP協(xié)議。IPv6是為了解決IPv4所存在的一些問題和不足而提出的，同時(shí)它還在許多方面提出了改進(jìn)，例如路由方面、自動(dòng)配置等方面。新一代Dr.COM 2166 B-RAS全面支持IPv6，完

11、全滿足新一代IPV6網(wǎng)絡(luò)認(rèn)證計(jì)費(fèi)和運(yùn)營管理需求。同時(shí)，北京城市熱點(diǎn)Dr.COM 2166 B-RAS是國內(nèi)首個(gè)通過IPv6 Ready第二階段增強(qiáng)金牌認(rèn)證的寬帶認(rèn)證計(jì)費(fèi)產(chǎn)品。3.3支持鏈路匯聚和負(fù)載均衡能夠靈活適應(yīng)日益復(fù)雜的城域網(wǎng)網(wǎng)絡(luò)環(huán)境，特別是在運(yùn)營商經(jīng)過多年發(fā)展后，并發(fā)用戶數(shù)和流量大大增加，Dr.COM 2166 B-RAS為客戶提供高性能和低成本的組網(wǎng)方案，大大提高客戶的設(shè)備投資利用率。Dr.COM 2166 B-RAS最多可支持6個(gè)千兆網(wǎng)絡(luò)端口，可支持雙進(jìn)雙出的端口配置模式，另外兩個(gè)千兆網(wǎng)絡(luò)端口可用于兩臺(tái)Dr.COM 2166 B-RAS之間數(shù)據(jù)同步。 Dr.COM 2166 B-RA

12、S端口支持鏈路聚合功能，兩條1G捆綁可以滿足單臺(tái)設(shè)備單向2G雙向4G的流量。3.4RADIUS SERVER / RADIUS CLIENT隨著現(xiàn)有各廠商對(duì)Radius協(xié)議的標(biāo)準(zhǔn)化理解以及Radius擴(kuò)展屬性的補(bǔ)充，Radius協(xié)議的功能越來越全面，城市熱點(diǎn)2166支持標(biāo)準(zhǔn)RADIUS 協(xié)議，符合RFC 2865 RFC 2866協(xié)議，可以與第三方RADIUS配合完成認(rèn)證，計(jì)費(fèi)。也可以根據(jù)RADIUS SERVER擴(kuò)展RADIUS屬性。其主要優(yōu)勢是：性能強(qiáng)大，其專用網(wǎng)絡(luò)操作系統(tǒng)利用基于高性能的硬件，可實(shí)現(xiàn)每秒500萬包的包處理能力，每秒可處理5000個(gè)認(rèn)證請(qǐng)求，是普通軟件RADIUS服務(wù)器的十

13、倍；高性能和高并發(fā)認(rèn)證能力對(duì)于故障恢復(fù)后“認(rèn)證浪涌”、低時(shí)間間隔的計(jì)費(fèi)更新包都是至關(guān)重要的，低性能的Radius服務(wù)器很容易在以上兩種情況下導(dǎo)致負(fù)載過高甚至宕機(jī)?？煽啃愿?，Dr.COM Radius服務(wù)器除了可實(shí)現(xiàn)一主一備的冗余方式，另外可以實(shí)現(xiàn)用戶賬號(hào)的本地緩存，與后臺(tái)數(shù)據(jù)庫的互為冗余，當(dāng)Radius服務(wù)器與數(shù)據(jù)庫服務(wù)器通訊異常，Radius服務(wù)器可以使用本地緩存的用戶賬號(hào)繼續(xù)提供認(rèn)證和計(jì)費(fèi)功能，使認(rèn)證計(jì)費(fèi)平臺(tái)比一般軟件Radius服務(wù)器可靠性更高；另外Dr.COM Radius服務(wù)器還支持單IP多臺(tái)集群部署，實(shí)現(xiàn)負(fù)載均衡和熱備，由于有些BAS設(shè)備切換主備RADIUS服務(wù)器的時(shí)間會(huì)比較長，因

14、此單IP的RADIUS服務(wù)器集群比傳統(tǒng)的主備RADIUS服務(wù)器部署對(duì)用戶的影響更小，是一個(gè)更理想的高可用部署方式。支持Accountingon重登錄設(shè)計(jì)，當(dāng)接入服務(wù)器斷電或其他故障重啟后，如果向Radius服務(wù)器發(fā)出Accountingon包，Dr.COM Radius服務(wù)器會(huì)將原來通過該接入服務(wù)器接入的在線用戶清空，防止用戶死鎖而導(dǎo)致的無法登錄。安全性高，一般軟件Radius服務(wù)器都是采用開源的Linux系統(tǒng)進(jìn)行開發(fā)，由于是通用操作系統(tǒng)，其安全漏洞和后門需要頻繁打補(bǔ)丁進(jìn)行補(bǔ)漏，一旦補(bǔ)丁打得不及時(shí)，或者遭到黑客攻擊，則整個(gè)認(rèn)證平臺(tái)可能會(huì)癱瘓，甚至導(dǎo)致賬號(hào)資料的流失；而Dr.COM RADIUS

15、 Server采用城市熱點(diǎn)自主研發(fā)的網(wǎng)絡(luò)操作系統(tǒng)，其底層和內(nèi)核均不是基于傳統(tǒng)的Linux平臺(tái)，因此不存在Linux等開源或商業(yè)操作系統(tǒng)帶來的安全隱患，而且Dr.COM RADIUS Server具備內(nèi)置防火墻、防DDOS攻擊、內(nèi)置ACL等多種安全功能，整體安全性比一般軟件Radius服務(wù)器高得多。Dr.COM RADIUS Server支持CHAPMD5挑戰(zhàn)值方式，在認(rèn)證的通訊過程中保證不會(huì)被破解或監(jiān)聽到密碼，比一般僅支持PAP的軟件RADIUS服務(wù)器安全性更高。Dr.COM 產(chǎn)品自身除了可以作為RADIUS SERVER外，也可以配合第3方廠家的RADIUS SERVER作為RADIUS C

16、LIENT使用。并創(chuàng)造性的提出Radius Cache功能，即便在Radius服務(wù)器死機(jī)的情況下，之前認(rèn)證過的用戶信息（只要用戶有過1次登陸）會(huì)保留在Dr.COM Radius服務(wù)器中，所以并不會(huì)影響用戶的正常認(rèn)證，充分彌補(bǔ)了由于Radius服務(wù)器不穩(wěn)定因素導(dǎo)致不能認(rèn)證的嚴(yán)重后果，即RADIUS服務(wù)器和接入服務(wù)器出現(xiàn)中斷，也不會(huì)影響到正常接入。3.5身份認(rèn)證Dr.COM 2166 B-RAS支持多種認(rèn)證協(xié)議，能夠直接終結(jié)PPPoE、PPTP認(rèn)證協(xié)議，同時(shí)還支持802.1x、Web登錄方式，自有的專用客戶端還能提供防代理、透三層綁定MAC、在線催費(fèi)、信息發(fā)布等功能，可根據(jù)自己的需要，靈活選擇一種

17、或多種認(rèn)證方式。另外還支持標(biāo)準(zhǔn)的RADIUS協(xié)議，能夠很方便的與第三方設(shè)備進(jìn)行認(rèn)證與計(jì)費(fèi)，大大保護(hù)網(wǎng)絡(luò)設(shè)備的投資。3.6詳盡用戶上網(wǎng)訪問日志Dr.COM 計(jì)費(fèi)網(wǎng)關(guān)在對(duì)于用戶訪問記錄的記錄方面是非常完善的。而且為訪問記錄專門設(shè)計(jì)一個(gè)數(shù)據(jù)庫日志文件。并且根據(jù)當(dāng)其訪問記錄超過容量時(shí)，自動(dòng)分配一個(gè)新的訪問記錄文件，可以通過寫文件或者寫數(shù)據(jù)庫的形式保存訪問記錄，保證了訪問記錄的完整性和靈活性。Dr.COM 2166 B-RAS計(jì)費(fèi)網(wǎng)關(guān)的存儲(chǔ)過程是：用戶登錄認(rèn)證成功后，訪問網(wǎng)站，通過頁面或者客戶端注銷后，產(chǎn)生登錄記錄和訪問記錄，2166 B-RAS計(jì)費(fèi)網(wǎng)關(guān)把登錄記錄和訪問記錄存放到指定的Dr.COM數(shù)據(jù)庫

18、服務(wù)器中（2166 B-RAS計(jì)費(fèi)網(wǎng)關(guān)支持雙機(jī)熱備份，數(shù)據(jù)庫服務(wù)器可以采用雙機(jī)熱備份的形式，即多臺(tái)數(shù)據(jù)庫服務(wù)器互作備份），當(dāng)主數(shù)據(jù)庫服務(wù)器無法工作時(shí)，而且沒有備份數(shù)據(jù)庫服務(wù)器，這時(shí)，2166 B-RAS并不會(huì)把用戶的登錄記錄和訪問記錄丟棄，而是把登錄記錄和訪問記錄存儲(chǔ)到 CPU RAM （即內(nèi)存）中，保證了用戶數(shù)據(jù)的完整性。如果主數(shù)據(jù)庫連接長時(shí)間得不到恢復(fù)，硬件將只存儲(chǔ)最新的16000條登陸記錄，32000條訪問記錄。（如果用戶每天訪問記錄特別大，通過增加內(nèi)存即可，以上存儲(chǔ)數(shù)據(jù)由內(nèi)存大小決定）。訪問日志是通過寫文件的形式存儲(chǔ)到數(shù)據(jù)庫服務(wù)器硬盤里面的，存儲(chǔ)時(shí)間的長短，取決于硬盤空間的大小。只要硬盤空間足夠大，就可以存儲(chǔ)相當(dāng)?shù)娜罩疚募⑶冶ＷC數(shù)據(jù)不會(huì)丟失。在訪問記錄中您可以隨時(shí)查詢到：賬戶名、登陸訪問時(shí)間、當(dāng)前在線人數(shù)、總使用時(shí)間、登陸的目標(biāo)網(wǎng)站地址、目標(biāo)IP、源IP、MAC地址等等。另外可根據(jù)需要增加所需字段，如用戶操作系統(tǒng)標(biāo)志、交換機(jī)標(biāo)記、樓層標(biāo)記等字段等。目前,公安和國家安全機(jī)關(guān)對(duì)訪問記錄的查詢的需求是很大的，包括黑客攻擊、反動(dòng)言論的查詢等，但訪問記錄的采集對(duì)嵌入網(wǎng)絡(luò)出口