廣域網接入認證計費系統中的關鍵技術研究與實現

摘要：作為局域網管理的重要組成部份，廣域網接入時使用認證計費系統是提高網絡安全性以及避免網費收入損失的有效手段。作為認證計費系統中的核心技術，防止IP地址盜用、非法代理、ARP欺騙以及帶寬控制等必須很好地解決。通過使用winPcap提供的網絡底層訪問等技術，有效地解決了這些問題，經過長期運行測試，該系統達到了設計效果。

關鍵詞：認證計費；帶寬控制；winPcap開發

廣域網接入認證計費系統要對網絡用戶進行認證、授權、計費以及流量控制等運營管理需求的功能。目前此類認證計費技術主要有以下三種：PPPoE+Radius、DHCP+WEB+Radius、以及802.1X+Radius三種方式。因為802.1X認證方式具有安全可靠、簡潔高效等優點而被廣泛使用。本系統在802.1X協議提供的功能基礎上，結合WinPcap的網絡底層訪問技術，避免了IP地址盜用、ARP地址欺騙等各類安全隱患。

1、認證計費系統解決方法的現狀

公司目前應用的認證計費系統就是采用網絡底層訪問技術，利用winPcap這個分組捕獲庫完成了防NAT{-～理等多種功能。WinPcap是一個免費的分組捕獲庫，用它可以在windows操作平臺上來實現對底層包的截取過濾。它是獨立于主機協議（如TCP/IP）而發送和接收原始數據報，從而監聽網絡上傳輸的數據包。利用此編程技術，IP地址盜用、帶寬控制等問題也得到了很好地解決。

2、認證計費系統中關鍵技術的分析與解決

2.1 IP地址盜用

目前防止IP地址盜用的方法有許多，如靜態路由技術、交換機控制技術等。本系統中則采用了IP地址綁定技術。IP地址是可以隨時更換，而網卡上的MAC地址則是唯一固定不變的、用戶無法更改的。因此，通過IP地址和MAC地址在路由器和交換機上的綁定可以有效地避免IP地址被盜用，加強網絡的安全性。

在本系統中采用了IP地址與MAC地址自動綁定的方法。首先由網管中心給每一臺計算機分配一個IP地址，首次使用該地址時，由客戶端程序將查詢到的本機IP地址和MAC地址一起發送給管理服務器，服務器自動進行記錄。用戶要首先運行客戶端程序進行驗證，成功后則允許用戶接入到Internet，此后每隔一段時間客戶端程序都要把相關信息發送給服務器，如果服務器檢測出有不符的信息，則會中斷客戶機的internet連接。

2.2 NAT代理

造成網費收入流失最主要的原因就是NAT代理技術的使用，即多人利用同一IP地址訪問網絡。這一技術實現時要使用雙網卡或是多IP地址，因此，如果能夠檢測到雙網卡或多IP地址則有使用該技術的嫌疑，可中斷此連接。

為達到這一功能，系統利用winPcap捕獲數據包進行分析處理。程序中主要使用了可以獲得適合的網絡接口的列表：Libpcap中的pcap_findalldevs（ ）函數。它返回一個pcap_if結構的列表，根據此列表就可以判斷出每個網絡接口的信息。若有多于兩個網卡或IP地址的情況，則反饋給相關功能模塊，從而禁止網絡功能。

2.3 ARP地址欺騙

TCP/IP網絡依據IP地址進行數據包轉發，IP地址用來確定網絡上的主機地址，是個三層協議地址，而當IP包被送到數據鏈路層時，則需要使用物理地址來識別主機或節點。因此，主機在發送數據前需要知道下一跳IP地址的物理地址。ARP的作用就是獲取與IP地址相對應的主機MAC地址。查詢獲得后，主機就會將IP地址到硬件MAC地址之間的映射存放到本機的一個可以動態刷新的ARP高速緩存中。在發送報文前，主機先在ARP高速緩存中查找是否有目標IP地址對應的目的MAC地址。但是這個映射主機并不會檢查結果的合法性，而ARP欺騙正是利用TARP協議的這種機制。

2.4 帶寬控制

局域網建立初期出口帶寬各為100M，因為沒有對用戶帶寬進行限制，不少用戶經常抱怨網速太慢。經分析統計，網絡的帶寬主要為BitTorrent、HTTP、eDonkey、WinMedia、Real、FTP等應用程序所占用。這些應用當然可以通過路由器或交換機的關閉一部分端口來實現，但隨著技術的不斷發展，各種軟件使用了動態端口甚至HTTP協議來躲避端口的檢測，無法進行限制，缺乏靈活性。

針對這種狀況，加之網絡各類應用層出不窮，如果靠檢測各類應用是無法跟上技術發展的。一方面，考慮到普通用戶使用網絡的情況，我們采用取了簡便有效的方法：即限定每個IP地址的流量，而不管用戶使用什么應用協議。計算機網絡數據的輸出模型如圖2所示。

流量控制可以通過決定包是否加入排隊、拋棄或是延遲從而達到限率、優先級控制以及限流的目的。客戶端向服務器提供客戶信息，服務器端則完成帶寬分配、流量控制的任務。在Linux2.2及以上的版本內核里，可以利用iprouter命令集提供的tc命令完成帶寬分配。