系统集成技术应用之CINMS2.0总体设计之网络层（拨号接入）认证/授权

欣菲gzm

CINMS2.0总体设计之网络层（拨号接入）认证/授权\nCINMS 的拨号接入认证 / 授权对应于邮电部规范中的网络层认证 / 授权。 含义 ：用户拨号上网时，系统对用户的身份进行验证。用户身份认证通过后，才能接入 163/169 系统，并根据用户权限的限制能访问的网络范围。网络层认证仅存在于电话拨号接入方式，专线用户无网络层认证。 \n协议标准 ：基于国际标准的 RADIUS （ Remote Authentication Dial － In User System ）体系。 RADIUS 是目前国际、国内应用最广泛的用户认证协议，它定义了 Radius Server 与 NAS （ Network Access Server ）、以及与其它 Radius Server 之间的数据传输格式。 RADIUS 协议的标准性和它的广泛使用，保证了 CINMS 与其他厂商 RADIUS 认证系统之间的兼容。 \n用户权限级别 ：根据用户能访问的网络范围， CINMS 拨号接入权限可以分为多个级别，目前邮电部关于 169 规范规定的访问控制级别分为三种： \nGUEST 用户：无需注册，可访问全国 169 ，但不能访问 163 和国际 INTERNET \n网内有权用户：需要注册，可访问全国 169 ，但不能访问 163 和国际 INTERNET \n网外有权用户：需要注册，可访问全国 169 、 163 和国际 INTERNET \n以上是邮电部对拨号接入权限级别的定义，但从 CINMS 可以提供更多、更灵活的拨号接入权限级别，例如：可以限制用户只能访问 163 、不能访问 163 之外的 Internet ；只能访问本省 169 、不能访问其他省的 169 等等。这种灵活的机制将给运营者提供更多的经营模式。 \n网络层认证 / 授权系统结构 作为全国范围的公用计算机信息服务网络， 163/169 的业务管理具有管理范围广泛、网络规模发展迅速、管理层次化、管理统一化的特点。 \n针对这种特点，并结合邮电部最新的相关技术规范，我们将 CINMS 的网络层认证 / 授权设计为树状的 RADIUS 分布式系统，这是一种结构清晰、模型简单、实现容易、且可伸缩能力强的系统结构，使系统具有较好的横向和纵向伸缩能力，无论是一级网络、两级网络、还是多级网络，无论采用集中式认证方式、还是分布式认证方式，系统都可以满足全网认证的要求，且系统结构不发生大的变化。 \nRADIUS 认证系统由四个主要元素构成： \n用户 ：用户拨号接入网络前，系统需要对其身份进行认证。用户名称以 e － mail 地址形式（ username@realm name ）表示用户名及开户地域名，认证系统能够从用户名称取得用户开户地信息。 \nNAS （接入服务器） ：用户拨叫特服号后就接入 NAS ， NAS 负责提示用户输入用户名和密码，向指定的 Radius Server 发出认证请求，得到认证结果并对用户授权。 \nRadius Server ：负责接受 NAS 和其他 Radius Server 的认证请求，实现认证或转发认证请求。 Radius Server 之间相互连接，可以实现漫游认证。 \n用户数据库 ：存放用户属性信息（含用户权限）， Radius Server 认证需从用户数据库中提取用户信息。 \nRADIUS 协议只规定了系统的框架，以及 NAS-RADIUS 、 RADIUS-RADIUS 之间的通信格式，其他部分可以由软件开发商自行设计，例如： NAS 指定哪台 Radius Server 为认证服务器、 Radius Server 到哪个用户数据库查询用户信息， RADIUS 协议都没有规定。因此利用 RADIUS 可以构建不同的业务模型，以适合不同的应用要求，下一节详细描述集中不同的业务模型和它们的比较。