北京迪威达康Mydradius无线宽带认证计费管理系统方案.docx

1、北京迪威达康Mydradius无线宽带认证计费管理系统方案Mydradius 10g无线宽带认证计费管 理 系 统 建 设 方 案目 录一、前言 4二、需求说明 421 需求说明 4三、解决方案 531 网络组网 532 启用认证计费系统的多种认证机制 6321 用户名和密码MSCHAPV2验证 7322 MAC绑定认证 7323 唯一认证 7324 最大在线时长Session-Timeout 8325 强制下线功能 833启用认证计费系统的多种计费机制 8331 时长计费 8332 包月计费 8333 应用计费 9334 计费建议 934 启用认证计费系统的多种收费方式 9341 后收费 9

2、342 预收费 10343 收费建议 1035 启动认证计费系统的分级权限管理 10351 权限管理 10352 角色管理 10353 管理员管理 11354 操作日志 1136 管理系统的可拆装模块化设计 1137 认证计费系统的功能描述 11371分布式体系结构 11372 稳定可靠的系统 12373 可扩展功能全的管理系统 12374 丰富的业务功能 12375 系统的实时性 13376 数据库的备份恢复机制 13377 认证计费系统的防攻击性 14四、实施建议 1441 安全布置 1542 预留分布式 1543 数据库硬件配置 1544 数据库备份和恢复 1545 认证方式 1546

3、AC采用带宽控制和会话隔离 1547 AC启动计费心跳功能 1648 计费方式 1649 收费方式 16410 分角色管理 16411 统计报表 16412 数据输出 17413 其它功能 17一、前言随着Internet的迅速发展和普及，网络已成为现代人工作、学习、生活和娱乐中越来越重要的工具和载体。宽带城域网不断涌现，许多大中型企业、大中小学校里已经或即将投入资金建造自己的区域网络，并接入Internet。网络延伸到的每个角落，无论是办公室、机房，还是家庭，人们都可以通过网络方便快捷地上网、游戏娱乐、即时沟通、查阅资料等等。这无疑为人们学习和生活带来了极大的好处，但与此同时，建设通讯线路、

4、购买通讯设备、聘用运营维护人员来运营网络是需要大量的资金的投入，而这些投入最终是需要一套稳定可靠、切实有效的计费收费软件来回收成本，同时期望通过计费的手段以使网络更合理、更有效的使用，最大程度上节省带宽资源，达到网络的使用最优化。采用合理的计费管理系统是保障网络正常稳定运营的关键。本方案结合BRICOM提供的需求文档以及双方的沟通交流，同时参照我们以往的客户实际运营经验书写而成，不祥之处有待补充。二、需求说明21 需求说明1、认证计费系统与无线AC接入设备对接，实现无线客户端的身份认证、计费控制。2、认证计费系统支持双机热备方式，保证两台数据库的数据库实时同步，当主服务器出现硬件故障的时候，辅

5、服务器无缝接管主服务器的认证计费功能。3、系统提供完备的WEB管理界面，多权限控制机制可以让各部分人员协调工作。4、本系统可以与内网的认证系统对接，实现数据的备份，可由总网管统一管理，内网有有线用户由内网认证系统处理，无线用户通过本系统认证计费，当有线系统出现故障的时候，本计费系统可以接管内网的认证计费控制。三、解决方案根据以上的需求，我们提出以下组网方案供选择。31 网络组网1、一台AC组成核心接入系统，负责无线用户的网络接入控制。2、认证计费中心设计上放置两台服务器，一台为主服务器，一台为备用服务器，同一时刻只有一台机器工作启动，当主服务器不可用时，备用服务器可以启用。按照实际的运营经验，

6、单台服务器完全可以承受35万宽带用户的认证和计费需求。3、认证计费的管理、客户查询系统可以和认证计费合并在一台机器上，建议是可以独立采用一台普通服务器即可。32 启用认证计费系统的多种认证机制客户机身份认证时，AC只负责将用户信息（用户名和密码）以及会话信息（网关地址、用户IP地址、用户MAC地址等等）传送到认证计费系统，认证计费系统要根据预先设置好的认证机制，结合传送上来的信息来验证每个用户的身份。321 用户名和密码MSCHAPV2验证AC和认证计费系统之间的启用安全的MSCHAPV2认证机制，通过随机串来生成随机密码摘要在网络上传输，从而有效防止网络监听导致密码泄密。认证计费系统根据预先

7、开设好的用户名和密码对该随机串进行正向运算并比较结果，进行校验。322 MAC绑定认证根据实际的运营实例来看，企业网络内部除了需要对用户和密码进行认证外，还需要绑定其它物理参数来唯一确认用户，绑定参数可以有多种，比如IP绑定、MAC地址绑定、DSLAN端口绑定等等。1、 IP地址一般动态分配，静态维护IP地址工作量巨大，不可取。，动态分配的IP要实现绑定基本不太可能。2、 推荐采用MAC绑定认证，因为整个网络是二层接入网络，AC从IP层上直接可以获取到客户机的MAC地址，在计费系统上可以查看上线用户属性，点绑定即可自动绑定到该MAC地址上。客户机的MAC存在可修改性，但是需要一定计算机知识的人

8、才可以修改，从大范围上来说，采用MAC地址绑定是切实有效的。323 唯一认证企业网运营一般要求一个帐号同时只能一次登陆，认证计费系统可以设定一个帐号是一次登陆还是多次登陆，对公用帐号可以允许多人同时登陆在线。324 最大在线时长Session-Timeout用户认证通过后，可以根据金额或者包月过期情况返回本次会话最大的时长，到这个时长后AC会根据这个时长控制自动终止用户会话，防止用户过期使用系统。325 强制下线功能用户PPP会话建立后，管理员有时候由于各种原因要将用户强制下线，可以通过网管系统关闭物理端口，同时也可以通过计费系统发送下线指令强制已经在线用户自动掉线。33启用认证计费系统的多种

9、计费机制目前宽带计费采用的几种计费方式为时长计费、流量计费、包月计费、包天计费，但是从实际运营情况来说，流量计费基本众多运营商废弃，转而采用时长和包月计费，包天计费也非常少，在酒店会用到包天这种方式。建议应用时长计费和包月计费两种模型来应用到本次项目中。331 时长计费时长计费是按照用户PPPOE会话的时长来计算金额的，时长计费是最直接、精确的计费方式，同时可以非常灵活的设置优惠措施，可以按日、周、月、时间范围来优惠。332 包月计费包月计费是目前众多宽带运营商应用最为广泛的计费方式，粗放的包月就直接是每月收取固定费用，精细的包月可以是包月上下限方式，比如99元包100小时，超过100小时按照

10、2元/小时收取。本系统还支持一种步步高方式的包月，比如99元包100小时，超过100小时按照2元/小时收取，超过200小时按照3元/小时收取，最高封顶150元等。333 应用计费系统预留应用计费接口，可以针对网络后续建设中的增值服务进行计费，比如网络电视、视频会议、IM即时沟通等等收费业务，针对每个服务预留服务代码，可以纳入到统一的计费管理平台上。334 计费建议建议采用精细的包月计费方式，使计费政策更贴近用户，实际运营证明，这种方式是被广大用户所接受。34 启用认证计费系统的多种收费方式收费是宽带运营商必须面临的问题，目前主要的收费方式是后收费、预收费、免费三种。作为一个商业运营的网络运营商

11、，免费只能是针对内部职工或者商业合作用户，免费用户量比较少，更多的是收费用户。341 后收费后收费是针对长期使用的用户采用的一种计费方式，中电信和中网通都大型宽带运营商均采用这种模式，用户先使用，网络使用费随电话费用一并交纳，这种方式更多的是和电话帐单一并输入，需要宽带计费系统和电话收费系统做统一帐单接口，涉及到电话计费厂商和宽带计费厂商的系统接口问题。本系统提供开放的API，可以允许电话计费厂商获取某个帐号某个月的帐单情况。342 预收费预收费方式是用户先交费，然后使用，当费用不足时，自动停机！这种方式目前被广大专网运营商所采用，方式灵活，管理方便。宽带计费系统自成体系，不需要和电话计费合并

12、输出计费帐单，不足之处是用户需要分开交纳电话和宽带计费费用。343 收费建议收费方式可根据实际情况来决定，两种方式均可，以方便用户最为最高准则。35 启动认证计费系统的分级权限管理计费系统的权限拆分的非常细致，可以自己定义角色来分配给不同的管理员，同时权限可以方便的授权或者回收。351 权限管理管理系统针对每个操作项目均可以管理到，提供提供功能权限管理界面，可以允许后续开发的管理模块自由挂接到系统中，纳入到统一的权限管理中。352 角色管理管理系统可以对权限进行分组，每个分组设定一个角色名称，每个角色的权限可以授权或者回收，每个角色可以有多个管理员。353 管理员管理管理员可以划分成超级管理员

13、、帐务管理员、客户服务管理员、工程服务管理员等等。354 操作日志每个管理员的每一步关键的操作，系统均记录到日志系统中，允许超级管理员可以随时查看每个管理员的工作情况及其出现纠纷的时候，该由那个管理员负责。36 管理系统的可拆装模块化设计认证计费系统的管理系统采用模块化设计，根据功能的扩展可以通过插入功能模块即可实现平滑升级，系统开放管理系统的开发API，允许第三方按照API来编写模块挂接到管理系统中。管理系统和查询系统全部基于JAVA SERVLET编写，可以通过更改模板HTML文件来切换页面的显示方式，而不需要修改业务程序。37 认证计费系统的功能描述认证计费系统详细的功能描述请参见Myd

14、radius功能说明手册.doc,本次仅结合本项目进行一个描述。371分布式体系结构Mydradius可以进行分布式布置，单台机器承受用户在35万左右，随着用户规模扩大，可增加前台服务器来分担认证和计费的压力。采用Mydradius可以最大程度上保证系统平滑扩展到大容量用户规模。随着用户规模的扩大，Mydradius可以实现一次布置，平滑升级效果。372 稳定可靠的系统系统基于Linux操作系统之上，采用最稳定的Oracle数据库作为后台数据运算核心，认证计费代码采用ANSI C高效代码编写而成，认证计费核心支持宽带、VOIP、内容计费支持，可以随时升级扩展成多业务计费平台。Mydradius

15、可以实现在电源、硬件、网络可靠的情况下，3年持续运转，正常工作，不给用户造成因认证计费系统导致用户全网中断。373 可扩展功能全的管理系统管理系统全部为模块化设计，显示页面采用HTML模板和标签，企业网页编辑人员均可对系统进行切换显示界面。Mydradius可以被配置或者修改HTML模板来达到更换企业形象，丰富的标签机制保证不需要任何的程序开发。374 丰富的业务功能支持所有接入方式，基于时长、流量、包月、包天等进行实时计费；灵活的费率策略和折扣定制功能，支持所有的计费方式；支持多种付费类型：预付费、预付费卡、后付费、免费等；支持多种认证方式：Radius、Web、VLAN、PPPOE等； 具

16、有强大的访问控制和系统管理功能：带宽控制、上网时间段/范围控制、在线用户/在线服务/访问记录实时监控等；带宽控制可以精确到Kb，有效保证带宽的合理使用；具有完善的帐务管理和报表统计功能。375 系统的实时性实时性包括实时计费、实时服务、实时自服务、实时访问控制和实时系统监控等五个部分。实时计费：对于预付费业务（包括卡业务）的用户，能进行实时费用扣减和资源反算，并提供服务限制。对于超出阈值的用户可以实时断线； 实时服务：服务实时申请/撤销/暂停/恢复；用户在服务申请后立即能够使用，一旦被禁止又将立即无法访问；做到“即开即通、即禁即止”。对于可充值卡，能够做到随时缴款随时启用；实时自服务：用户可以

17、实时通过Web查询当前自己的帐户余额和服务使用记录，对帐户密码等信息的更改能够实时生效；实时访问控制：当用户达到设定的限制或服务限额，系统将根据设置采取拒绝访问、催缴通知等措施；实时系统监控：对异常情况进行实时告警。376 数据库的备份恢复机制数据的可靠性、安全性是计费系统的关键。我们在系统设计时通过以下措施实现高可靠性和高可用性，实现计费系统7X24小时不间断正确工作。管理员可以随时通过管理系统备份数据库到操作台机器上，系统每天凌晨会做数据库的全备份。往往企业在上计费系统时，会上双机系统，成本很高，达到的效果也不是很理想，我们建议采用单机系统，定期备份核心数据库，同时做一个备份机器以防止主服

18、务器硬件异常能最快的速度恢复上去。从实际的运营经验来看，单台服务器承受35万用户完全没有问题，只要机器硬件稳定可靠，最好定期备份，是最经济、可靠的方案。377 认证计费系统的防攻击性认证计费系统是整个宽带运营的核心，它一旦遭受攻击，将造成全网的认证延迟，甚至是全网中断，所以对计费系统的保护是良好运营的前提。规划认证计费系统放置到AC同一个VLAN，对外不可见，在外部放置一个WWW查询服务器，允许客户机查询自己的上网记录情况，该WWW服务器只允许通过数据库连接端口访问认证计费中心，其它端口全部封闭。认证计费核心服务器由内部操作控制台来控制，不对外开放远程控制权限，需要厂家支持的时候，可临时开放远

19、程控制权限。四、实施建议根据Mydradius的功能列表，同时结合本次项目特色，做如下项目实施建议：41 安全布置认证计费核心和AC放置同一个VLAN，不允许外部访问，只接收前台WWW查询服务器的用户服务查询。42 预留分布式认证计费核心可随着用户增长，增加服务器即可实现平滑升级。43 数据库硬件配置采用硬件RAID5方式对数据库进行磁盘冗余，用户量规模扩大可采用磁盘阵列，增强系统的IO能力。44 数据库备份和恢复采用定期在线全数据库备份机制，保证系统的数据安全。5000用户规模的认证计费核心数据库一年的数据量大约是500M左右，备份和恢复时间大概是510分钟左右。45 认证方式采用安全的CH

20、AP认证方式，对客户机采用自动绑定MAC地址功能，达到最大程度上限制一个帐号固定终端使用。46 AC采用带宽控制和会话隔离AC采用带宽控制保证客户机接入的网络速度，同时把每个PPPOE会话进行完全隔离，互相不能访问。47 AC启动计费心跳功能AC启动计费心跳功能，保证由于客户机异常关机、或者汇接交换异常时，最大程度上保证用户的计费数据正确。48 计费方式计费方式采用时长和包月两种机制，可实现步步高等精细计费，增强用户使用黏性。49 收费方式建议采用预收费方式，不交费或者欠费用户自动停机，达到预警时间内将自动发送提醒邮件到客户邮箱。410 分角色管理按照运营角色分成超级管理员、收费管理员、客户服务管理员、工程管理员等角色。实施对整个系统的管理。411 统计报表系统可出具用户清单、用户帐单、日报表、月报表、财务流水报表、历史上线报表、上线时刻走势图、时长消费走势图等等分析统计报表，以供业务统计分析。412 数据输出系统提供开放API，允许第三方软件开放商针对本系统开发，同时提供数据导出机制，导出到XLS文件中或者文本文件中，作为第三方的数据对接凭证。413 其它功能其它没有提及的功能，请参照Mydradius功能说明.doc手册