【正文】 INMS 連接；對(duì)于不具有用戶管理和認(rèn)證的應(yīng)用系統(tǒng)，可以通過(guò) LDAP 接口訪問(wèn) CINMS 的認(rèn)證系統(tǒng)，不需自己管理用戶系統(tǒng)，而由 CINMS 統(tǒng)一管理。200。207。214。164。202。218。200。168。 WWW205。248。194。231。 189。211。200。235。EMAIL198。228。203。254。206。241。LDAP200。207。214。164。202。218。200。168。 208。197。 207。162。 178。227。205。248。 194。231。 178。227。196。191。 199。176。 185。230。 182。 CINMS需要強(qiáng)調(diào)的是，用戶對(duì)各種服務(wù)的的權(quán)限是相互獨(dú)立的，用戶可以分別選擇對(duì)各種服務(wù)的權(quán)限，支付不同的費(fèi)用，用戶權(quán)限可以隨時(shí)更改。這樣將給經(jīng)營(yíng)帶來(lái)非常大的靈活性，可以把更多的用戶吸引到 163/169 上，例如：面向網(wǎng)絡(luò)接入用戶：17 / 49用戶只具有網(wǎng)絡(luò)接入的權(quán)限，但不具有 WWW 和 EMAIL 等權(quán)限，只是通過(guò)163/169 系統(tǒng)接入網(wǎng)絡(luò)，再訪問(wèn)網(wǎng)上其他信息。面向 163/169 用戶：用戶具有網(wǎng)絡(luò)接入的權(quán)限，并選擇 WWW、EMAIL 或 163/169 提供的其他服務(wù)。面向非 163/169 用戶：對(duì)于已經(jīng)在其他 ISP 開(kāi)戶的用戶也可以吸引到 163/169 上，他們可以不具有網(wǎng)絡(luò)接入的權(quán)限，但可以選擇 163/169 提供的各種應(yīng)用服務(wù)，通過(guò)其他 ISP 上網(wǎng)后訪問(wèn)這些服務(wù)，并統(tǒng)一支付費(fèi)用。由于用戶可以統(tǒng)一支付 163/169 系統(tǒng)的所有費(fèi)用，不必象小型 ICP 一樣要求用戶成為會(huì)員，非常方便，就可以利用 163/169 規(guī)模大的優(yōu)勢(shì)，利用一些特色服務(wù)吸引其他 ISP 已經(jīng)發(fā)展的用戶，這樣就擴(kuò)大了潛在用戶的范圍。1. 網(wǎng)絡(luò)層（撥號(hào)接入）認(rèn)證/授權(quán)CINMS 的撥號(hào)接入認(rèn)證/ 授權(quán)對(duì)應(yīng)于郵電部規(guī)范中的網(wǎng)絡(luò)層認(rèn)證/授權(quán)。含義：用戶撥號(hào)上網(wǎng)時(shí)，系統(tǒng)對(duì)用戶的身份進(jìn)行驗(yàn)證。用戶身份認(rèn)證通過(guò)后，才能接入 163/169 系統(tǒng)，并根據(jù)用戶權(quán)限的限制能訪問(wèn)的網(wǎng)絡(luò)范圍。網(wǎng)絡(luò)層認(rèn)證僅存在于電話撥號(hào)接入方式，專線用戶無(wú)網(wǎng)絡(luò)層認(rèn)證。協(xié)議標(biāo)準(zhǔn)：基于國(guó)際標(biāo)準(zhǔn)的 RADIUS（Remote Authentication Dial－In User System）體系。RADIUS 是目前國(guó)際、國(guó)內(nèi)應(yīng)用最廣泛的用戶認(rèn)證協(xié)議，它定義了 Radius Server與 NAS（Network Access Server）、以及與其它 Radius Server 之間的數(shù)據(jù)傳輸格式。RADIUS 協(xié)議的標(biāo)準(zhǔn)性和它的廣泛使用，保證了 CINMS 與其他廠商 RADIUS 認(rèn)證系統(tǒng)之間的兼容。用戶權(quán)限級(jí)別：根據(jù)用戶能訪問(wèn)的網(wǎng)絡(luò)范圍，CINMS 撥號(hào)接入權(quán)限可以分為多個(gè)級(jí)別，目前郵電部關(guān)于 169 規(guī)范規(guī)定的訪問(wèn)控制級(jí)別分為三種：GUEST 用戶：無(wú)需注冊(cè)，可訪問(wèn)全國(guó) 169，但不能訪問(wèn) 163 和國(guó)際 INTERNET網(wǎng)內(nèi)有權(quán)用戶：需要注冊(cè)，可訪問(wèn)全國(guó) 169，但不能訪問(wèn) 163 和國(guó)際 INTERNET網(wǎng)外有權(quán)用戶：需要注冊(cè)，可訪問(wèn)全國(guó) 16163 和國(guó)際 INTERNET以上是郵電部對(duì)撥號(hào)接入權(quán)限級(jí)別的定義，但從 CINMS 可以提供更多、更靈活的撥號(hào)接入權(quán)限級(jí)別，例如：可以限制用戶只能訪問(wèn) 16不能訪問(wèn) 163 之外的 Inter；只能訪問(wèn)本省 16不能訪問(wèn)其他省的 169 等等。這種靈活的機(jī)制將給運(yùn)營(yíng)者提供更多的經(jīng)營(yíng)模式。 網(wǎng)絡(luò)層認(rèn)證/授權(quán)系統(tǒng)結(jié)構(gòu)作為全國(guó)范圍的公用計(jì)算機(jī)信息服務(wù)網(wǎng)絡(luò)，163/169 的業(yè)務(wù)管理具有管理范圍廣泛、網(wǎng)絡(luò)規(guī)模發(fā)展迅速、管理層次化、管理統(tǒng)一化的特點(diǎn)。針對(duì)這種特點(diǎn)，并結(jié)合郵電部最新的相關(guān)技術(shù)規(guī)范，我們將 CINMS 的網(wǎng)絡(luò)層認(rèn)證/ 授權(quán)設(shè)計(jì)為樹狀的 RADIUS 分布式系統(tǒng)，這是一種結(jié)構(gòu)清晰、模型簡(jiǎn)單、實(shí)現(xiàn)容易、且可伸縮能力強(qiáng)的系統(tǒng)結(jié)構(gòu)，使系統(tǒng)具有較好的橫向和縱向伸縮能力，無(wú)論是一級(jí)網(wǎng)絡(luò)、18 / 49兩級(jí)網(wǎng)絡(luò)、還是多級(jí)網(wǎng)絡(luò)，無(wú)論采用集中式認(rèn)證方式、還是分布式認(rèn)證方式，系統(tǒng)都可以滿足全網(wǎng)認(rèn)證的要求，且系統(tǒng)結(jié)構(gòu)不發(fā)生大的變化。 200。171。185。214。208。196。Radius Server202。161。214。208。196。Radius Server202。161。214。208。196。Radius Server181。216。202。208。RSNAS NAS181。216。202。208。Radius Server 181。216。202。208。Radius ServerNAS202。161。214。208。196。Radius Server181。216。202。208。Radius Server 181。216。202。208。Radius ServerNAS NAS181。216。202。208。RSNASRADIUS 認(rèn)證系統(tǒng)由四個(gè)主要元素構(gòu)成：用戶：用戶撥號(hào)接入網(wǎng)絡(luò)前，系統(tǒng)需要對(duì)其身份進(jìn)行認(rèn)證。用戶名稱以 e－mail 地址形式（username@realm name）表示用戶名及開(kāi)戶地域名，認(rèn)證系統(tǒng)能夠從用戶名稱取得用戶開(kāi)戶地信息。NAS（接入服務(wù)器）：用戶撥叫特服號(hào)后就接入 NAS，NAS 負(fù)責(zé)提示用戶輸入用戶名和密碼，向指定的 Radius Server 發(fā)出認(rèn)證請(qǐng)求，得到認(rèn)證結(jié)果并對(duì)用戶授權(quán)。Radius Server：負(fù)責(zé)接受 NAS 和其他 Radius Server 的認(rèn)證請(qǐng)求，實(shí)現(xiàn)認(rèn)證或轉(zhuǎn)發(fā)認(rèn)證請(qǐng)求。Radius Server 之間相互連接，可以實(shí)現(xiàn)漫游認(rèn)證。用戶數(shù)據(jù)庫(kù)：存放用戶屬性信息（含用戶權(quán)限），Radius Server 認(rèn)證需從用戶數(shù)據(jù)庫(kù)中提取用戶信息。RADIUS 協(xié)議只規(guī)定了系統(tǒng)的框架，以及 NASRADIUS、RADIUSRADIUS 之間的通信格式，其他部分可以由軟件開(kāi)發(fā)商自行設(shè)計(jì)，例如：NAS 指定哪臺(tái) Radius Server 為認(rèn)證服務(wù)器、Radius Server 到哪個(gè)用戶數(shù)據(jù)庫(kù)查詢用戶信息，RADIUS 協(xié)議都沒(méi)有規(guī)定。因此利用 RADIUS 可以構(gòu)建不同的業(yè)務(wù)模型，以適合不同的應(yīng)用要求，下一節(jié)詳細(xì)描述集中不同的業(yè)務(wù)模型和它們的比較。 網(wǎng)絡(luò)層認(rèn)證/授權(quán)業(yè)務(wù)模型樹型 RADIUS 系統(tǒng)具有良好的伸縮性，系統(tǒng)中的每一部分職責(zé)明確，流程清楚，當(dāng)系統(tǒng)橫向發(fā)展（增加省網(wǎng)、地市節(jié)點(diǎn)）和縱向發(fā)展（向下發(fā)展縣級(jí)節(jié)點(diǎn)）時(shí)，系統(tǒng)都能滿足管理要求。利用這種樹型 RADIUS 系統(tǒng)，可以靈活構(gòu)造出多種業(yè)務(wù)模型，分別適應(yīng)于多種情況。以下分析幾種典型的業(yè)務(wù)模型：完全集中式，集中式，分布式，綜合式。19 / 49完全集中式、集中式、分布式是目前應(yīng)用較多的業(yè)務(wù)模型，其中完全集中式和集中式由于實(shí)現(xiàn)簡(jiǎn)單，在早期的 163 和 169 系統(tǒng)中應(yīng)用較多，隨著用戶數(shù)量和經(jīng)營(yíng)靈活性的增加，分布式系統(tǒng)逐漸出現(xiàn)，但在發(fā)展過(guò)程中也暴露出一些缺點(diǎn)，于是眾多廠家開(kāi)始比較集中式和分布式。其實(shí)，CINMS 的系統(tǒng)設(shè)計(jì)是很靈活的：NAS 可以分布也可以集中，RADIUS 系統(tǒng)既可以分布又可以集中，用戶數(shù)據(jù)既可以隨 RADIUS 分布、又可以與 RADIUS 相對(duì)獨(dú)立。綜合集中式和分布式的優(yōu)缺點(diǎn)和目前系統(tǒng)的發(fā)展?fàn)顩r，我們?cè)O(shè)計(jì)了一種介于分布式和集中式之間的綜合式體系結(jié)構(gòu)，即數(shù)據(jù)集中、認(rèn)證分布的結(jié)構(gòu)，詳見(jiàn)“綜合式認(rèn)證”一節(jié)。 完全集中式認(rèn)證適用情況：用戶數(shù)量少、管理集中的省和直轄市。NAS 放置在省中心，各地用戶直接撥入省中心NAS，但按市話計(jì)費(fèi)。用戶數(shù)據(jù) 省中心集中存放全省的用戶數(shù)據(jù)，省內(nèi)認(rèn)證到省中心查詢。RADIUS 僅省中心設(shè)置 RADIUS 服務(wù)器，負(fù)責(zé)所有省內(nèi)認(rèn)證。優(yōu)點(diǎn) 實(shí)現(xiàn)簡(jiǎn)單，系統(tǒng)維護(hù)工作量小，容易實(shí)現(xiàn)全省統(tǒng)一管理。缺點(diǎn) 可靠性較差，省中心是系統(tǒng)的潛在故障點(diǎn)和瓶頸點(diǎn)；系統(tǒng)的可伸縮性比較差。 集中式認(rèn)證適用情況：用戶量不太大、管理相對(duì)集中的省或直轄市。NAS 各地市有自己的 NAS，各地用戶撥本地特服號(hào)接入本地 NAS。用戶數(shù)據(jù) 各地市不存放用戶數(shù)據(jù)，省中心集中存放全省用戶數(shù)據(jù)，所有認(rèn)證都到省中心查詢。RADIUS 各地市不設(shè)置 RADIUS 服務(wù)器，省中心設(shè)置 RADIUS 服務(wù)器，負(fù)責(zé)所有省內(nèi)認(rèn)證；優(yōu)點(diǎn) 實(shí)現(xiàn)比較簡(jiǎn)單，系統(tǒng)維護(hù)工作量較小，容易實(shí)現(xiàn)全省統(tǒng)一管理。缺點(diǎn) 可靠性較差，省中心是系統(tǒng)的潛在故障點(diǎn)和瓶頸點(diǎn)；系統(tǒng)的可伸縮性比較差。用 戶 數(shù) 據(jù) 庫(kù)省中心 RadiusServNA地 市 A用 戶 地 市 B用 戶用 戶 數(shù) 據(jù) 庫(kù)省中心 RadiusServNAS NAS地 市 A用 戶 地 市 B用 戶20 / 49 分布式認(rèn)證適用情況：用戶量大或各地市獨(dú)立管理的省。NAS 各地市有自己的 NAS，各地用戶撥本地特服號(hào)接入本地 NAS。用戶數(shù)據(jù) 各地存放本地用戶數(shù)據(jù)，供本地認(rèn)證使用；省中心存放全省的用戶數(shù)據(jù)，供漫游認(rèn)證使用。省中心和各地的用戶數(shù)據(jù)保持同步。RADIUS 各地市設(shè)置 RADIUS 服務(wù)器，負(fù)責(zé)本地認(rèn)證；省中心也設(shè)置RADIUS 服務(wù)器，負(fù)責(zé)漫游認(rèn)證；優(yōu)點(diǎn) 分布式體系結(jié)構(gòu)，可靠性好，系統(tǒng)可伸縮性強(qiáng)，能適應(yīng)大用戶量的沖擊；各地獨(dú)立性強(qiáng)，可以在不同地市實(shí)施不同政策。缺點(diǎn) 實(shí)現(xiàn)復(fù)雜，系統(tǒng)維護(hù)工作量較大，成本高，額外占用網(wǎng)絡(luò)帶寬。 混合式認(rèn)證適用情況：用戶量大、各地市管理統(tǒng)一的省。混合式認(rèn)證結(jié)構(gòu)是在分析上述三種系統(tǒng)的優(yōu)缺點(diǎn)之后提出的業(yè)務(wù)模型，它的結(jié)構(gòu)介于分布式和集中式之間（數(shù)據(jù)集中、認(rèn)證分布），也綜合了集中式和分布式的優(yōu)點(diǎn)，使整個(gè)系統(tǒng)性價(jià)比更高。具體地說(shuō)，綜合式的 NAS 和 RADIUS 分布到各地市，避免了集中式系統(tǒng)中 RADIUS的性能和可靠性瓶頸，性能和可靠性與分布式相似；同時(shí)，用戶數(shù)據(jù)庫(kù)集中在省中心，避免了分布式系統(tǒng)價(jià)格高、維護(hù)難、不易統(tǒng)一的缺點(diǎn)，實(shí)施難度與集中式系統(tǒng)相似。NAS（分布）各地市有自己的 NAS，各地用戶撥本地特服號(hào)接入本地 NAS。用戶數(shù)據(jù)（集中）各地市不存放用戶數(shù)據(jù)，省中心集中存放全省用戶數(shù)據(jù)，所有認(rèn)證都到省中心查詢。RADIUS（分布）各地市 RADIUS 服務(wù)器負(fù)責(zé)本地認(rèn)證，省中心 RADIUS 服務(wù)器負(fù)責(zé)漫游認(rèn)證；所有 RADIUS 都到省中心數(shù)據(jù)庫(kù)中查詢用戶數(shù)據(jù)。優(yōu)點(diǎn) 可靠性和性能與分布式類似，實(shí)現(xiàn)復(fù)雜程度和維護(hù)工作量與集中RadiusServRadiusServNASDB地 市 A用 戶 RadiusServNASDB地 市 B用 戶用 戶 數(shù) 據(jù) 庫(kù)省中心本 地認(rèn) 證 本 地認(rèn) 證漫 游認(rèn) 證 漫 游認(rèn) 證RadiusServRadiusServNAS RadiusServNAS用 戶 數(shù) 據(jù) 庫(kù)省中心 漫 游認(rèn) 證 漫 游認(rèn) 證本 地認(rèn) 證 本 地認(rèn) 證地 市 A用 戶 地 市 B用 戶21 / 49式類似，成本與集中式類似。缺點(diǎn) 額外占用網(wǎng)絡(luò)帶寬。 業(yè)務(wù)模型的系統(tǒng)配置NAS RADIUS 用戶數(shù)據(jù)庫(kù)完全集中 省中心到省中心 RADIUS 認(rèn)證省中心到省中心數(shù)據(jù)庫(kù)查詢省中心集中 各地市到省中心 RADIUS 認(rèn)證省中心到省中心數(shù)據(jù)庫(kù)查詢省中心分布 各地市到本地 RADIUS 認(rèn)證各地市到本地?cái)?shù)據(jù)庫(kù)查詢各地市混合 各地市到本地 RADIUS 認(rèn)證各地市到省中心數(shù)據(jù)庫(kù)查詢省中心 網(wǎng)絡(luò)層認(rèn)證/授權(quán)系統(tǒng)工作流程不同的 CINMS 業(yè)務(wù)模型，認(rèn)證/授權(quán)流程都不完全相同，為了分析業(yè)務(wù)流程方便，我們首先說(shuō)明一下 RADIUS 認(rèn)證/授權(quán)，其他流程都與之類似：本地認(rèn)證/授權(quán)流程用戶撥叫特服號(hào)（163/169）接入 NAS NAS 提示用戶輸入用戶名和密碼用戶輸入用戶名和密碼 NAS 將用戶名稱和密碼傳向 RADIUS 請(qǐng)求認(rèn)證 RADIUS 以用戶名稱為索引，到用戶數(shù)據(jù)庫(kù)中查詢用戶信息用戶數(shù)據(jù)庫(kù)核實(shí)用戶密碼，返回用戶信息（含權(quán)限） RADIUS 根據(jù)權(quán)限信息為用戶授權(quán) NAS 為用戶建立連接，并根據(jù)授權(quán)信息限制用戶訪問(wèn)漫游認(rèn)證/授權(quán)流程用戶撥叫特服號(hào)（163/169）接入 NAS NAS 提示用戶輸入用戶名和密碼用戶輸入用戶名和密碼178。166。186。197。211。195。187。167。NASRadius 211。195。187。167。202。253。190。221。191。226。12384567178。166。186。197。211。195。187。167。NAS202。244。181。216。Radius 211。195。187。167。202。253。190。221。191。226。123104679200。235。205。248。Radius5 822 / 49 NAS 將用戶名稱和密碼傳向本地 RADIUS 請(qǐng)求認(rèn)證本地 RADIUS 根據(jù)用戶名的屬地域名，到用戶屬地 RADIUS 請(qǐng)求認(rèn)證用戶屬地 RADIUS 到用戶數(shù)據(jù)庫(kù)中查詢用戶信息用戶數(shù)據(jù)庫(kù)核實(shí)用戶密碼，返回用戶信息（含權(quán)限）屬地 RADIUS 將用戶信息返回用戶入網(wǎng)處的 RADIUS RADIUS 根據(jù)權(quán)限信息為用戶授權(quán) NAS 建立用戶連接，并根據(jù)授權(quán)信息限制用戶訪問(wèn)上文提到，RADIUS 認(rèn)證系統(tǒng)有四個(gè)主要元素：用戶、NAS、RADIUS、用戶數(shù)據(jù)庫(kù)。在不同的業(yè)務(wù)模型中，四個(gè)主要元素的基本功能不變，只是相互的連接不同。因此以下分析的流程都與上述標(biāo)準(zhǔn)流程類似。 本地認(rèn)證/授權(quán)流程含義：指用戶無(wú)漫游（在其開(kāi)戶節(jié)點(diǎn)登錄上網(wǎng)）時(shí)，系統(tǒng)對(duì)用戶身份的驗(yàn)證。例如：用戶在廣州開(kāi)戶，在廣州上網(wǎng)。185。227。214。221。211。195。187。167。185。227。214。221。NAS185。227。214。221。Rad