基于STK方式的移動银行系统的设计与实现.docVIP

第一章 引言 研究背景和方向 近几年来，随着Internet 的迅猛发展，用户接入网络数不断增加，ISP（Internet Service Provider 服务提供商）对用户接入和计费管理变得日益重要。在其它领域， 如IP 电话运营商、大规模防火墙等，对用户接入认证的要求也越来越高，原有的简 单认证方式已经不满足当前需要，迫切需要一种能够完成实时用户接入认证、实时 记账、全局漫游、多种计费方式、支持多种认证安全方式、跨越多平台的用户接入 认证系统。 RADIUS（Remote Authentication Dial-In User Service 用户远程拨号验证服 务）协议[1]作为IETF（Internet Engine Tasks Force 互联网工程任务组）定义的 标准协议已经越来越被大多数ISP、ITSP 和安全系统所认可。RADIUS 协议中所规定 的接入认证（Authentication）、用户授权（Authorization）、记账（Accounting）[2]、 漫游（Roaming）和属性（Attribute）扩展方式等解决了众多ISP 所面临的问题， 成为今后流行的趋势。 这样，开发符合RADIUS 协议的用户接入认证、授权和记账的软件成为构筑ISP、 电信运营商、安全网络系统中的必要部分。现行的RADIUS 开发虽然部分满足了用户 的需求，但存在几个关键问题，如开发者不能利用已有存在的系统，重复劳动，开 发周期长；各种系统实现方式差异很大，不利于维护扩充；软件特定平台，不能跨 越平台使用；对协议包理解方式不同，不能互通漫游等，这样就需要一种全新的开 发方法和框架。 我们分析了国际上流行的各种RADIUS 系统实现，依照最新的协议及讨论草案， 结合其它系统的先进优点，设计并实现了一个可扩充的AAA 协议栈软件包。根据这 个软件包，用户可以在协议栈的基础之上，选择自己所需要的运行模块和连接方式， 编写符合自己需要的用户回调函数和全局设置接口，就可以完成一个标准的RADIUS 系统。 用户使用本协议栈开发RADIUS 系统时，可以脱离编写协议时的各种繁琐过程， 无需考虑协议的语法和数据包的结构，并且使系统所覆盖的协议最多。采用这种方 法开发的RADIUS 系统具有符合国际标准协议、使用简便、开发周期短、系统灵活性 高、易于扩充和与系统间可互通漫游的特点。我们采用这种方法已被开发者实际利 用，产生极大的利用价值，具有很好的发展前景。 在本文中，首先介绍RADIUS 协议及其特性，然后给出所设计协议栈的框架原理 及其实现，协议栈所支持的功能和应用方法，最后给出结论和进一步需要完成的工 一个可扩展的AAA 协议栈 2 作。 相关工作 国际上有一个组织和我们工作类似，项目名称为“Stacks of Internet Telephony” [3]，开始时间大约为2000 年6 月。以下是我们所开发的RADIUS 协议栈 和这个项目中的关于RADIUS 的栈的比较： 系统实现和功能 本协议栈 Vovida 项目组 继承系统 Livingston RADIUS Merit AAA 系统框架 进程池 单请求派生进程 验证方式 PAP、CHAP、MS-CHAP PAP、CHAP、MS-CHAP 网管接口函数 支持 不支持 用户数据 本地文件、数据库 只支持本地文件 配置管理 本地文件、数据库 只支持本地文件 日志 按时间递进、数据库 简单文本 其它部分 提供客户端和测试程序 无客户端和测试程序 第二章 RADIUS 相关协议及其特性 RADIUS 系统框架 远程拨号用户鉴别服务RADIUS 是朗讯网际互连系统中的一个基于客户端/服务 员的安全协议。在RFC2138[4]和RFC2139[5]中被IETF 定义为标准协议。用户相关信息 存储于一个中心位置，被称为RADIUS 服务员。RADIUS 客户端与RADIUS 服务员通过 通信来验证用户。服务员返回给客户端关于验证用户的操作权限。虽然RADIUS 这个 名词用来说明客户端与服务员进行通信的网络协议，但它经常被用来说明整个客户 端/服务员系统。如图2-1 所示。 一个可扩展的AAA 协议栈 3 RADIUS客户端RADIUS服务员 认证记账请求 认证记账响应 图 2-1：一个简单的RADIUS 客户端/服务员系统框架 基于 RADIUS 的远程接入环境共包括三个部分：用户、远程接入服务员和 RADIUS 服务员。每个用户是RAS 的一个客户，而每个RAS 是用户的服务员和 RADIUS 服务员的客户。结构如图2-2。 数据库本地RADIUS服务员 远端RADIUS服务员 RAS ISDN RAS MODEMS RAS FIREWALL RAS 需认证端 网络计算机 移动