重庆铁通宽带接入认证计费系统改造分析

重庆铁通宽带接入认证计费系统设计

随着宽带用户数量的增长以及市场发展的需要，中国铁通重庆分公司已完成IP网骨干汇聚层的建设，宽带接入层也在逐步建设中。为了更好地开展宽带业务，中国铁通重庆分公司对宽带接入认证计费系统进行了改造。

1.改造后达到的目标

(1)全新的安全认证方式：先认证，后分配IP地址，再上网。

(2)分布式接入服务器，统一后台认证和计费。

(3)可以支持十万级别的用户量和四万同时在线的访问和计费。

(4)解决"包月制"的致命弱点——对宽带增值服务无法收取费用。增值服务是吸引用户接入的最主要原因，也是运营商能否尽快盈利的关键。

(5)提供完善、方便的用户管理功能以及严格的安全性结构。

(6)提供良好的系统的可扩展性，便于系统升级扩展。

(7)具有多种统计报表生成和结算方式，便于运营商的日常运作。

(8)方便统一管理接入服务器。

2.认证计费系统结构图

中国铁通重庆分公司宽带认证计费系统架构如图1所示。

图1  中国铁通重庆分公司宽带认证计费系统架构

3.认证计费流程

(1)认证流程

·PPPoE认证

PPPoE分发现阶段和PPP会话阶段。

首先进入发现阶段：主机发二层广播包，期待接入设备响应；接入设备（一个或多个）收到广播后，若能提供所需服务，则发提供响应包给原主机；主机收到提供响应后，依据一定的原则（由具体实现决定）挑选出一个接入设备，向其发出请求包；被选中的接入设备收到请求包后，产生一个惟一的会话ID，将其返回给主机。

此后即进入PPP会话阶段。经过LCP过程请求认证服务器RADIUS认证，授权后，建立起PPP阶段，即可传送PPP数据（PPP封装IP包，以太网封装PPP）。

实现过程：PPPoE用户建立起PPP会话后，由接入设备或各地市的BAS终结PPPoE报文，经过LCP过程向设在重庆的认证服务器发起RADIUS请求。认证服务器响应请求，并将账户密码比对结果返回接入设备或BAS，以确定是否允许用户建立PPP，允许后分配合法IP地址，用户可以上网。

·Web认证

Web认证过程可以简单描述如下：用户发起DHCP客户端请求，通过门户网站服务器DHCP分配IP地址；用户通过浏览器访问Web/PortalServer，（或由BAS重定向到PortalServer）输入用户名和密码；Web/PortalServer获得用户MAC/IP/VID作为用户标识，并发送验证信息到Radius服务器进行验证（或在Portal Server上作本地认证）；通过验证后，返回成功标示给BAS或Portal Server，赋予用户（MAC/IP/VID）以上网权限，并检验每个数据流是否满足权限要求；用户下线，需要在Web/PORTAL的Web界面上注销，通知系统停止计费；系统定期检测用户在线情况，发现用户下线，停止计费。

实现过程：通过DHCP服务器给用户动态配IP地址，接入设备为用户构造对应表项信息（基于端口号、IP），添加用户ACL服务策略。然后由门户网站向用户提供认证页面，在该页面中用户可输入账号和口令，接入设备将用户信息（IP地址，帐号和口令）传送给设置在重庆的RADIUS服务器，RADIUS服务器将认证的结果反馈给接入设备。最后认证通过后，接入设备修改用户的ACL，用户可以访问外部因特网和特定的网络服务。用户需离开网络前，连接到门户网站上选择断开网络。系统停止计费，删除用户的ACL和转发信息，限制用户不能访问外部网络。

·802.1x认证

实现过程：用户由802.1x客户端软件向接入设备发起请求，接入设备收到请求后向客户端发送响应包并要求用户提供合法的用户名和密码。由于此时客户端还没有通过认证，接入设备只开通未受控的逻辑端口（管理和认证端口）。接入设备通过EAP协议将认证信息转发到重庆的Radius服务器上进行认证；Radius服务器返回认证信息，802.1x系统的受控逻辑端口打开（业务端口），可进行正常的业务数据转发。此时客户端软件再发起DHCP请求，由DHCP服务器为用户分配合法IP地址。然后DHCP服务器将分配的地址信息返回给认证系统，认证系统记录下用户的相关信息（MAC，IP，用户名，VID等）并建立动态的ACL，授权用户可以上网。

(2)计费流程

中国铁通重庆分公司中心机房计费系统依据不同的认证接入用户进行计费，各地市的接入设备负责定时采集IP包记录，通过IP网存入设置在重庆中心机房数据原始记录库，然后由计费服务器根据具体的记录，费率以及计算规则进行计算，并将计算出的费用及相关数据更新到数据库中的账户信息中，供各类计费进程调用。

(3)总评

中国铁通重庆分公司认证计费系统升级改造后，结合具体的用户端接入情况，分别采用了Web/VLAN、PPPOE、802.1x三种认证技术，对用户进行了充分有效的认证管理。实现了系统管理、运营管理、用户管理、数据采集及记费帐务管理等功能，同时具备向多业务管理、计费系统平滑扩展的能力，系统完全建成后将具备工单流程管理、采集计费、账务管理、资源管理、故障检测告警、增值业务管理等丰富的功能，实现了对宽带接入用户的有效管理。