第一篇:移动银行
上海天畅信息技术有限公司
www.xiexiebang.com
移动银行
一、方案背景
随着移动互联网的发展与智能终端的迅速普及,移动信息化技术日趋成熟,为银行业务发展与管理决策开辟了一条新的思路。智能终端为客户经理提供了更为方便、易用的业务处理和信息展示平台,相比于传统的笔记本电脑,智能终端更容易携带、可随时联网、具有更好的用户体验等,同时其丰富的应用扩展能力,以及对于外设接入的友好性,使得将业务办理带出固定网点走到客户身边成为可能。移动信息化的浪潮并不是简单的技术和渠道的革新,而是正在颠覆银行传统经营模式的全新的业态。
传统银行的营业网点业务受地点和受理方式的限制,如何为客户提供更优质、精准、快速的服务也日益受到银行企业的关注。银行产品的直销业务存在申请受理环节多、周期长、成本难控制、直销团队难管理、信息安全风险大、信息采集不准确等诸多问题,如何在激烈的市场竞争中克服这些困难也成为令管理者亟待解决的问题。
天畅信息的Push Win智能营销系统为一线的营销人员提供了一个更加灵活、快速且易于使用的信息系统,使银行营销人员可以在任何时间、任何地点为用户处理多种金融业务,而且极大的丰富了银行服务的内涵,使银行能以便利、高效而又安全的方式为客户提供更多传统和创新的服务。
二、应用场景分析
以对私VIP上门服务为例 上海天畅信息技术有限公司
www.xiexiebang.com
三、核心功能
Push Win银行解决方案为银行提供移动化一站式办理各类银行业务的服务系统,实现个人开卡、理财产品和基金产品的销售、电子银行签约、第三方存管签约等业务的移动化办理与管控,同时使用平板电脑进行日常办公的工作处理与审批,协助人员完成移动办公事务。为了保证平台可靠、安全、稳定的运行,平台需具备严格的身份认证管理;同时为了实现业务的规范化分配、监控与管理以及资源的安全使用,平台需提供统一的服务管理与资源管理。Push Win核心功能: 3.1借记卡
借助二代身份证读卡器验证和采集客户信息,通过密码键盘解决首次密码设置问题,支持现场审核和后台审批两种方式,客户信息实时传至核心系统,卡片现场开通。3.2电子银行签约
现场开通短信、网上银行、电话银行等渠道。3.3信用卡
由现场销售人员借助智能终端终端,利用蓝牙便携式打印机、二代身份证读写器等设备,帮助用户进行信息录入,进而完成信用卡申请、开卡、上门催收、商户拓展等业务。3.4大堂经理
主要实现对排队机的移动端管理,附带如计算器、行情分析及客户管理管理等功能。上海天畅信息技术有限公司
www.xiexiebang.com
3.5产品宣传
在移动客户端上展示产品视频或相关文字介绍,有利于客户经理随时随地实现对客户的产品展示和宣传。3.6小微贷款
在移动端上实现小微贷款客户的信息审核和协议签署。3.7远程销售
对于基金、理财产品等实现随时随地的展示。3.8人员管理
可远程共享知识库、考试等信息,移动终端上实现考勤、绩效管理等。
四、解决方案
4.1 总体架构
Push Win移动智能营销系统整合了天畅信息NAZA移动应用开发平台和ZIYA企业移动管理平台,打造一个具有弹性的移动平台以应对移动化浪潮,是适用于银行的移动应用创新解决方案。通过移动平台实现多业务的交叉使用,根据业务需求,快速迭代,展现灵活的扩展能力,使银行的营销服务能力和业务管理水平再上一个台阶。系统由移动终端、移动平台、后台应用三个部分组成。上海天畅信息技术有限公司
www.xiexiebang.com
4.2系统特点
确保最高的安全性-从系统架构、业务机制、数据安全处理和设备管控等多方面保证安全,保证行业规定。
高效的管理平台-通过ZIYA企业移动管理平台对移动终端设备进行高效管理,并通过定制化的程序流程实现对业务人员业务受理行为的管理功能。4.3最高的安全性
Push win的系统架构非常安全,从各个环节注重信息安全 ·建议使用安全的VPDN无线网络 ·采用SSL隧道加密技术
·对传输的数据进行3DES数据加密技术 ·数据在终端加密存储
·对业务流程进行严格控制,防止客户信息外泄 ·通过对移动终端设备的管控杜绝不安全行为的发生 4.4集中管控
·基于ZIYA设备的管控为IT部门提供高效集中的管理 ·全面的访问控制 上海天畅信息技术有限公司
www.xiexiebang.com
·设备策略发布 ·应用程序远程安装 ·资产管理
天畅公司简介
上海天畅信息技术有限公司(简称天畅信息)成立于2003年,是国内领先的企业级移动应用解决方案供应商,长期致力于移动数据行业应用领域信息平台建设、IT系统建设、移动应用建设,集产品研发、技术创新、信息服务为一体的国家高新技术企业。公司总部在上海,目前在北京、江苏、广东、山东等地设有分支机构。
天畅信息非常注重技术研发和应用,公司超过70%的员工为技术人员,分别来自上海交大、华东理工、南京邮电等著名高校。我们在上海和南京都设有软件开发中心,可以为行业客户提供优质技术支持。
天畅信息获得由国家认证的“高新技术企业”。超过50件版权权或专利。2012年,天畅信息获得时空五星基金的资金注入,成为东方资产平台下的专业企业移动互联技术公司。
第二篇:移动银行应用场景
移动小额贷款解决方案
市场空间
小额信贷市场需求巨大,主要是农户和贫困人口本身已是一个巨大市场,另外,目前中小企业总数已占企业总数99%,其中300人以下的小企业占95﹒8%,中小企业贡献中国GDP达到60%,这些小微企业的业务集中在批发和零售,普遍面临融资困难,存在巨大的融资需求。因此这对于日益发展的小额贷款公司来说提供了巨大的市场,随之而来的移动化营销技术的IT需求就变得迫在眉睫了。
方案背景
消费信贷业务中,绝大多数企业仍采用如下图的传统的业务办理方式:
1、客户申请
2、纸质录入信息
3、资料收集
4、信息录入系统
5、审核
6、签订合同
7、发放贷款
可见,消费金融业务的受理环节首先要依靠纸质申请表的填写与传递,不但时效性较低,而且较难实现营销方式的标准化和差异化,业务受理端的风险管理系统支持薄弱。且采用纸质申请表极易造成客户信息的外泄,对客户和企业造成损失。
因此,天畅信息该解决方案实现电子信贷移动平台的建设,将在一定范围内取代纸质申请表,实现业务的现场受理,并通过与中后台业务处理系统的整合,大幅度地提高中心业务处理的效率及风险管理的能力,同时该终端预留灵活的可扩展接口,根据其他业务的需要增加其他业务的推介与营销,促进交叉销售。
系统架构
从逻辑划分上来说,主要分为pad展现层,中间件业务处理层,核心支撑系统层,总共三层的逻辑架构,另有天畅信息的EMM产品座位设备管理,保证设备使用的安全。
(移动展业系统网络拓扑结构图)
业务员能够使用PAD终端进行展业活动,为客户提供小额贷款申请,该解决方案实现的系统通过与核心业务的对接,实现业务数据的交互,即时上传最新的业务进件、大大提高了小额贷款的业务效率与流程。
技术特点
1.运用了二代证身份证识别仪的识别技术,实现二代证身份证信息的输入,并能通过与公安网系统交互验证身份证信息的真伪。整合身份证读取验真功能,通过与公安部授权的专属二代证读卡器厂商合作,直接读取二代身份证芯片信息,在确保身份证真实性的前提下,直接将身份证数据导入展业系统。从而大大提高了投保人基本信息采集的真实性与便捷性。
2.运用到了电子签名技术,通过电容笔或者手指进行电子签名,并存档,实现业务的安全风险控制。
3.运用了录音技术,通过最终用户阅读相关风险条约,控制业务风险。
4.运用了GPS技术,实现对业务人员的考勤跟踪,每隔一段时间,即由PAD端上报地理位置信息。
核心功能
·业务产品介绍 ·业务申请 ·优惠活动宣传 ·营销支持 ·业务数据分析 ·业务支持 ·营销试算 ·信息查询 ·预审批查询 ·客户信息 ·申请件状态 ·准客户增加查询 ·日历 ·待处理公务 ·草稿箱 ·发件箱 ·贷款征信 ·系统设置 ·个人信息设置 ·密码设置 ·设备信息查询 ·签到 ·注销
客户收益
大大提升小额贷款的效率;
保护客户的隐私资料,防止业务违规操作;
通过联网核查贷款资质,有效减少了恶意骗贷的行为。
成功案例
1.南京银行电子信贷终端系统项目
2.兴业银行无纸化推卡及营销项目(大宗分期部分)3.渣打银行移动营销平台项目(小额贷款部分)
移动信用卡开卡解决方案
市场空间
全国共有银行企业上千家,其中五大国有商业银行 中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行,十二家全国性股份制商业银行 中信银行、中国光大银行、华夏银行、中国民生银行、广发银行、深圳发展银行、招商银行、兴业银行、上海浦东发展银行、恒丰银行、浙商银行、渤海银行、邮政储蓄 中国邮政储蓄银行,合资银行 中德住房储蓄银行、厦门国际银行、华一银行、华商银行、中信嘉华银行,另外还有众多地方性银行,均存在对信用卡业务移动化建设的需求,市场规模非常大。
方案背景
随着我国银行业的快速发展,市场竞争也在加剧,各银行在业务、营销等方面也不断进行创新,构建一套依托于先进数字技术,满足全新营销模式,支持销售展业的系统已成为各公司发展的迫切需求。
天畅信息的该解决方案基于对产品的定制研发能力,为银行业企业提供全面、专业的移动展业支持系统,将信用卡开卡、信息查询等应用移植到平板电脑上,并可根据用户的需求进行定制开发,极大的提高银行企业的信息化建设水平和工作效率。
三、系统架构
从逻辑划分上来说,主要分为pad展现层,中间件业务处理层,核心支撑系统层,总共三层的逻辑架构,另有天畅信息的EMM产品座位设备管理,保证设备使用的安全。
(移动展业系统网络拓扑结构图)
业务人员使用PAD终端进行展业活动介绍,并开展信用卡申请业务,PAD端系统通过与后台核心系统的对接实现数据传送,大大提高了进件效率,从而进一步提高了银行关于信息及关于信用卡业务的开卡率和首刷率。
四、技术特点
运用了二代证身份证识别仪的识别技术,实现二代证身份证信息的输入,并能通过与公安网系统交互验证身份证信息的真伪。整合身份证读取验真功能,通过与公安部授权的专属二代证读卡器厂商合作,直接读取二代身份证芯片信息,在确保身份证真实性的前提下,直接将身份证数据导入展业系统。从而大大提高了投保人基本信息采集的真实性与便捷性。
运用到了电子签名技术,通过电容笔或者手指进行电子签名,并存档,实现业务的安全风险控制。
五、核心功能
客户端界面展示
1.用户登录
用户启动客户端系统后需要录入用户名和密码才可进入系统。用户登录信息需在服务端设置并开通才能启动。
2.产品介绍
天畅信息的PushWin信用卡开卡的产品模块作用主要是通过移动终端,利用图片、文字、视频、音频等多种宣传手段,向客户展示南京银行的业务产品介绍。产品介绍可根据南京银行业务变化需求,通过服务器端的下发至各移动终端,达到快速发布,展现灵活,吸引客户的目的。
3.业务申请
业务申请件功能为核心模块,客户进入具体的产品业务申请界面,将提信用卡申请、附卡申请、团办卡申请等各种形式和产品的信息录入工作,业代可协助用户,利用PDA对所申请的金融产品进行相关的信息录入工作。
待办事项:
待办事项为营销人员的一个待处理工作包,里面存留了各种未完成的事项,营销人员通过简单的点击操作可轻松找到并处理之前未完成的工作,并可继续操作。如下图所示业务人员工作一半保存的附件拍摄,再由待办事项直接跳转到离开时刻的业务流程。
客户收益
有效提升效率,将传统进件申请过程由7个工作日缩短到10分钟; 提高开卡的信息准确率;
通过产品介绍,增强了业务人员的营销能力。
成功案例
1.交通银行信用卡中心天机变项目 2.兴业银行无纸化推卡及营销项目 3.上海银行PAD营销服务平台项目 4.渣打银行移动营销平台项目
移动银行厅堂管理解决方案
市场空间
全国范围共有上千家银行,面对移动化时代的到来,为了加强自身的竞争力,各自建设了很多移动营销、移动CRM、移动OA等应用,但对于厅堂管理的应用还处于刚刚起步阶段,以国内现有银行的数量来看,市场前景是巨大的。
方案背景
近年来,移动互联与智能芯片技术的快速发展使得基于各类手持终端的金融服务成为国内外金融业创新应用的新热点,并将此作为有效提升金融服务水平的重要手段,天畅信息厅堂管理解决方案正是为了提高银行网点的管理水平而设计的解决方案,旨在提升网点的管理效率,从而增强网点的营销和服务能力。
系统架构
从逻辑划分上来说,主要分为pad展现层,中间件业务处理层,核心支撑系统层,总共三层的逻辑架构,另有天畅信息的EMM产品座位设备管理,保证设备使用的安全。
(移动展业系统网络拓扑结构图)
银行网点的大堂经理、客户经理能够使用PAD终端进行展业活动,提供网点服务,该解决方案实现的厅堂管理系统通过与核心业务的对接,实现业务数据的交互,即时展现最新最快的产品资讯、营销活动资讯、行情资讯等等信息,并实时上传最新的业务信息至后台,如客户信息、大资金变动信息等等。
技术特点
5.集成了MDM功能,集中管理移动终端设备。
6.优化了程序统一分发模块,实现了APK程序的统一入口,包括发布、下线、升级等全流程的管理。
7.运用了GPS技术,实现对终端设备的地理位置的上报,保证了管理终端设备的安全和资产安全。
核心功能
网点管理 产品中心 信息资讯 客户管理 系统设置
个人信息设置
密码设置 注销
客户收益
通过该解决方案建立的银行网点厅堂综合管理平台,使得网点业务人员更高效的实施客户关系维护、营销管理、财富管理和分析决策的重要工具;是加快网点转型、提升全行管理效率的办公辅助工具;是业务操作和空间的渠道延伸。
成功案例
农业银行上海分行综合移动平台项目
第三篇:移动银行系统安全测评内容
移动银行系统安全测评主要从管理安全测评、业务安全测评和技术安全测评三方面开展。
1)管理安全测评
安全管理措施与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。评估内容主要涉及以下几个方面:
安全策略;
内控制度建设;
风险管理状况;
电子银行业务运行连续性计划;
电子银行业务运行应急计划;
电子银行风险预警体系;
电子银行系统运行管理。
2)业务安全测评
业务安全测评主要测试关注从业务申请开通、业务运行到交易处理过程中的安全措施,包括业务申请开通、业务安全交易机制、客户教育及权益保护等方面。可以从下面几方面进行评估:
业务申请及开通;
业务安全交易机制;
客户教育及权益保护。
3)技术安全测评
因系统托管在城市商业银行资金清算中心,所以技术安全测评主要内容为客户端安全和专用安全设备安全,不包含服务器端安全。
客户端安全;
专用安全设备安全;
第四篇:移动银行营销之我见
移动银行营销之我见
移动银行的出现,对降低柜面服务的压力、提高服务质量和效率具有积极的促进作用。同时,将银行同业间的竞争从有形的柜面延伸到了无形的网络空间,竞争的加剧是不可逆转的发展趋势。如何在激烈的竞争中脱颖而出,快速的抢占市场呢?移动银行作为新生事物,抓好市场营销至关重要。
首先,让客户认识移动银行。移动银行的营销难点在于客户对其一系列的操作流程望而却步,在心里不由自主的产生了抵触心理。针对这个方面,银行在对客户实行营销时,利用营业网点配置的媒体终端播放幻灯片进行演练,并指导客户现场操作,把握住营销的最佳时机,以热情周到的服务,引导客户亲身体验移动银行的便捷,提高营销的成功率和客户满意度。同时,在网点宣传栏中放置移动银行操作指示的宣传折页,让客户在银行等待办业务的空暇时间便可以了解使用流程。设立移动银行讲解宣传点,大堂放置宣传材料或张贴宣传橱窗,对前来开办移动银行业务的客户赠送小礼品等。加强和主流媒体的合作,利用网络或者金融类节目提高移动银行的影响力,渗透潜在客户群,让客户在潜移默化中接受移动银行。
其次,让客户爱上移动银行。为了鼓励客户使用移动银行,我行可以进行相应的折扣优惠,在柜面服务费用一定的情况下,通过移动银行办理转账、汇款等业务时可以给予客户一定的手续费优惠,实行网银积分兑换礼品和超市购物卡、加油卡等,帮客户节约费用,精打细算的过日子,提高客户的忠诚度,真正让移动银行成为客户身边的银行,从而让客户由衷的爱上移动银行。
第三、让客户离不开移动银行。结合大多数移动银行客户年轻化、追求时尚的因素,移动银行的营销要紧跟时代潮流,融入年轻人喜闻乐见的元素。比如:团购、秒杀、娱乐、健身等。不断优化服务,跟进客户。在巩固老客户的同时,通过把握新潮,紧踏时尚节拍来吸引新客户。建立与大型第三方支付平台、运营商、网购商家等企业的合作,拓展移动银行的业务蓝海,实现多方共赢,提高客对移动银行产品的信任和依赖感。
作为一名工行青年,在为移动银行的创新发展贡献一点薄弱力量的同时,我们更应该熟悉、使用、推广移动银行,然后去带动身边更多的人来使用移动银行。在不断的实践中思考问题,积极寻找解决问题的方法,为我行移动银行业务的创新与发展做出应有的努力。
青春的激情,鼓舞着我们的斗志;青春的芬芳,陶醉着我们的心灵;青春的奋斗,成就着远大的理想;昨天的理想就是今天的希望;今天的理想就是明天的追求;放飞我们的理想,相信自己有改变的力量;放飞我们的理想,让我们将理想真正在行动中启航。
工商银行电子银行自2000年正式服务客户开始,到今天已经有12个年头了。电子银行12的磨砺,已光华绽放,创造了电子银行发展史上的多年辉煌。无论是从电子银行业务的客户数,交易量,还是电子银行的品牌,产品,平台以及盈利能力,工行电子银行均领先于同业,得到了国内外高度的赞誉,为中国工商银行的可持续发展创造了核心竞争力。电子银行作为我行的一项核心业务,规模从无到有,从小到大;产品从单个到组合,从独立的到相互关联;服务渠道从平面到立体,从单一到多样,电子银行的作用从简单处理各种代理业务到作为工商银行的综合营销平台,为我行客户提供个性化的自助服务。电子银行业务的队伍不断壮大,专业门类齐全,为电子银行的正常营运提供了根本的保障,随着现代信息技术的发展和广泛应用,不断给电子银行业务带来了更多的发展机遇。
回首电子银行12的发展历程,感触良多。不禁想起这样一句话;世界之伟大在于它总是让人难以预料,世界之神奇在于它总是向着人们希望并为之努力地方向发展!十二岁的电子银行对此已经做出了最好的诠释,未来电子银行将怎样发展,如同12年前一样依然难以预料。但是可以肯定的是,未来的电子银行一定会像我们所希望的那样美好,因为我们的努力从来没有止息,我们青春的激情从来不曾减弱,我们前进的脚步永远不会停止!下面我将用几句诗句来表达我对工行电子银行业务的祝愿。
昨天,电子银行成立的激情还在心中回荡!路途中,那推陈出新的步伐仍在眼前飞扬!今天,客户沟通的平台又正在谱写新章。网银的精英们又敲起了创新的键盘!明天,优质服务的号角已经再次激扬吹响!电银的蓝图,又将昭示你飞腾的力量。明天,让我们为你喝彩,为你自豪,为你赞颂!祝愿你,一路顺风。E通全球!
移动银行,是利用移动通信终端来办理各项银行金融业务的简称。移动银行作为一种结合了银行金融业务和移动通信终端的崭新服务,使人们能够在任何时间、任何地点处理多种金融业务,极大地满足了客户在现代社会对银行服务的便利性、时效性等方面的需求;同时,也为银行带来了巨大的业务发展前景。
2011年11月22日,我行在全国范围内正式推出“工银移动银行”服务,成为国内首家全面整合并整体推出移动金融服务的商业银行。“工银移动银行”服务,囊括了短信手机银行、wap手机银行、iphone手机银行、android手机银行和ipad网上银行等一系列移动金融服务,可以为客户提供包括账户查询、转账汇款、支付缴费、贵金属买卖、理财产品和结售汇等各类金融业务。根据姜董事长在2011年底召开的全行发展战略研讨会上提出的要求,我行也将继续紧跟移动互联网的发展潮流,在不断完善移动金融业务的同时,通过与不同行业合作伙伴的合作,将娱乐、餐饮、旅游、票务等生活服务及在线支付业务有机整合,为客户提供随时、随地、随身的,工作+生活+金融一体化的精彩移动互联网服务。
我作为一名一线的前台柜员,结合平时办理业务时客户提出的问题,以及我自己在使用移动银行服务时的感受,谈几点对移动银行发展的体会:
一、使用便捷性。这是制约移动银行发展的一个重要因素。我们的很多客户知道手机银行,也想使用手机银行,可是他们面临一个很大的问题是怎么用,不会用,对于一些只会用手机接打电话的客户来说,甚至登录手机银行都是一大难题。我想我行在发展手机银行的未来,是否可以对操作界面进行进一步的优化整合,使其向“傻瓜式”的操作发展,甚至能否用语音进行操作,从而提高移动银行的受众度。
二、业务广泛性。目前,移动银行仍然是延续了网上银行的发展思路,只是把柜台上已经实现的服务功能放在手机上实现,而有些业务还不能通过移动银行来办理。这就产生了一个问题:客户使用移动银行的需求不高。我们能否进一步完善手机银行的功能,突破与柜面办理业务相同的范围,从而吸引客户,刺激客户的需求。例如完善贵金属双向交易、委托交易、手机无卡取现、手机消费等等。
三、使用安全性。这也是客户最为关心的一点。大部分客户在注册手机银行的时候都会问“这个安全吗?”“不会有什么问题吧?”“手机如果丢了不会钱也被人偷走了吧?”……这说明客户对我们的移动银行服务还不是很了解,我们应加大宣传力度,为客户提供一份详尽的使用说明,这样既方便了客户,解决了他们的后顾之忧,也能够更好的促进我行移动银行的发展。
以上就是我的一点粗浅之见。移动银行的发展,是未来银行金融业务发展的重要渠道之一,我们青年人更应该为移动银行的创新发展发挥自己的力量,衷心的希望工行在移动银行发展的道路上越走越好。
第五篇:基于STK方式的移动银行系统的设计与实现
第一章 引言
研究背景和方向
近几年来,随着Internet 的迅猛发展,用户接入网络数不断增加,ISP(Internet Service Provider 服务提供商)对用户接入和计费管理变得日益重要。在其它领域,如IP 电话运营商、大规模防火墙等,对用户接入认证的要求也越来越高,原有的简 单认证方式已经不满足当前需要,迫切需要一种能够完成实时用户接入认证、实时 记账、全局漫游、多种计费方式、支持多种认证安全方式、跨越多平台的用户接入 认证系统。
RADIUS(Remote Authentication Dial-In User Service 用户远程拨号验证服 务)协议[1]作为IETF(Internet Engine Tasks Force 互联网工程任务组)定义的 标准协议已经越来越被大多数ISP、ITSP 和安全系统所认可。RADIUS 协议中所规定 的接入认证(Authentication)、用户授权(Authorization)、记账(Accounting)[2]、漫游(Roaming)和属性(Attribute)扩展方式等解决了众多ISP 所面临的问题,成为今后流行的趋势。
这样,开发符合RADIUS 协议的用户接入认证、授权和记账的软件成为构筑ISP、电信运营商、安全网络系统中的必要部分。现行的RADIUS 开发虽然部分满足了用户 的需求,但存在几个关键问题,如开发者不能利用已有存在的系统,重复劳动,开 发周期长;各种系统实现方式差异很大,不利于维护扩充;软件特定平台,不能跨 越平台使用;对协议包理解方式不同,不能互通漫游等,这样就需要一种全新的开 发方法和框架。
我们分析了国际上流行的各种RADIUS 系统实现,依照最新的协议及讨论草案,结合其它系统的先进优点,设计并实现了一个可扩充的AAA 协议栈软件包。根据这 个软件包,用户可以在协议栈的基础之上,选择自己所需要的运行模块和连接方式,编写符合自己需要的用户回调函数和全局设置接口,就可以完成一个标准的RADIUS 系统。
用户使用本协议栈开发RADIUS 系统时,可以脱离编写协议时的各种繁琐过程,无需考虑协议的语法和数据包的结构,并且使系统所覆盖的协议最多。采用这种方 法开发的RADIUS 系统具有符合国际标准协议、使用简便、开发周期短、系统灵活性 高、易于扩充和与系统间可互通漫游的特点。我们采用这种方法已被开发者实际利 用,产生极大的利用价值,具有很好的发展前景。
在本文中,首先介绍RADIUS 协议及其特性,然后给出所设计协议栈的框架原理 及其实现,协议栈所支持的功能和应用方法,最后给出结论和进一步需要完成的工
一个可扩展的AAA 协议栈 2 作。
相关工作
国际上有一个组织和我们工作类似,项目名称为“Stacks of Internet Telephony” [3],开始时间大约为2000 年6 月。以下是我们所开发的RADIUS 协议栈 和这个项目中的关于RADIUS 的栈的比较: 系统实现和功能 本协议栈 Vovida 项目组 继承系统 Livingston RADIUS Merit AAA 系统框架 进程池 单请求派生进程
验证方式 PAP、CHAP、MS-CHAP PAP、CHAP、MS-CHAP 网管接口函数 支持 不支持
用户数据 本地文件、数据库 只支持本地文件 配置管理 本地文件、数据库 只支持本地文件 日志 按时间递进、数据库 简单文本
其它部分 提供客户端和测试程序 无客户端和测试程序
第二章 RADIUS 相关协议及其特性
RADIUS 系统框架
远程拨号用户鉴别服务RADIUS 是朗讯网际互连系统中的一个基于客户端/服务 员的安全协议。在RFC2138[4]和RFC2139[5]中被IETF 定义为标准协议。用户相关信息 存储于一个中心位置,被称为RADIUS 服务员。RADIUS 客户端与RADIUS 服务员通过 通信来验证用户。服务员返回给客户端关于验证用户的操作权限。虽然RADIUS 这个 名词用来说明客户端与服务员进行通信的网络协议,但它经常被用来说明整个客户 端/服务员系统。如图2-1 所示。
一个可扩展的AAA 协议栈 3 RADIUS客户端RADIUS服务员
认证记账请求 认证记账响应
图 2-1:一个简单的RADIUS 客户端/服务员系统框架
基于 RADIUS 的远程接入环境共包括三个部分:用户、远程接入服务员和
RADIUS 服务员。每个用户是RAS 的一个客户,而每个RAS 是用户的服务员和 RADIUS 服务员的客户。结构如图2-2。
数据库本地RADIUS服务员 远端RADIUS服务员 RAS ISDN RAS MODEMS RAS FIREWALL RAS 需认证端 网络计算机 移动用户 Internet用户 请求接入者 本地认证方法 UNIX password WinNT Domain Text 图 2-2:一个RADIUS 服务员结构说明
RAS 设备将不同连接用户的请求转换为RADIUS 认证请求或记账请求。
RADIUS 服务员可以接收来自不同RAS 设备上的请求信息,并选择预先设定的认证 方法来完成请求,并发送响应给RAS。
处于不同位置的RADIUS 服务员还可以连接在一起,组成一个RADIUS 认证环 境。每个RADIUS 可以将发给自己的请求转发给其它RADIUS 服务员来处理。结构 如图2-3。
一个可扩展的AAA 协议栈 4 RADIUS服务员 负责区域A用户 RADIUS服务员 负责区域B用户 RADIUS服务员 负责区域C用户 区域C RADIUS客户端
图 2-3:多个RADIUS 服务员的认证框架
这样就可以组成一个跨越不同地理位置的分布式认证环境,无论从认证用户数 量上,还是在用户分布上都可以实现透明的集中式管理。
RADIUS 基本功能
RADIUS 是一个在用户网络接入设备(例如拨号服务器)和用户信息存放设备 之间交换信息的标准方法。它有三个基本功能。
验证(Authentication):RADIUS 判别一个用户请求服务是否合法。用户鉴别 信息可以存放在本地users 文件,本地数据库、外部数据库中;也可以通过其它验证 方式进行鉴别如UNIX 口令文件、Windows NT 域数据库等。一个简单的典型例子如 下:
一个拨号用户通过 RADIUS 协议试图接入网络的过程如下:
1、用户拨号进入一个远程接入服务员(MODEM池)并开始一个PPP 会话;
2、远程接入服务员把从 PPP 会话中得到的用户验证信息经过处理,打成 RADIUS 协议请求包,传送给RADIUS 服务员;
3、如果 RADIUS 服务员通过了这个验证,它将发送接受响应给RAS,并附加 上其它信息包括用户建立连接所需要的IP 地址、最大连接时间等等;如果 RADIUS 不能验证这个请求或验证没有通过,它将发送拒绝响应给RAS 以 及错误的原因;
4、使用这些信息,RAS 如果受到接受响应包,则它允许用户开始操作网络,如果拒绝则断掉连接并给出错误信息。
授权(Authorization):RADIUS 协议可以控制用户会话中使用特定的网络设备 服务。在RAS 发送的验证请求信息中,除基本信息外,还可以有用户期望连接类型 等,RADIUS 服务员可以根据请求完成验证。RADIUS 服务员可以将验证通过的其 它参数发送给RAS 以规定用户连接。所有的属性交换由用户配置文件控制。配置文 件中包括两种属性:检查属性和返回属性。检查属性定义了一些连接所需请求。RAS 在向RADIUS 服务员发送验证请求时必须具备这些属性,否则验证不会成功。返回 一个可扩展的AAA 协议栈 5 属性为验证成功后 RADIUS 服务员发送给RAS 的附加信息,例如定义连接的一些参 数。一旦用户通过认证,RADIUS 服务员根据系统预先设置的用户配置文件,附加 用户可以使用的资源能力,如IP 地址、连接协议、连接速率等。通过这种方式,可 以集中管理用户的不同访问能力,比如用户普通电话拨号接入网络时应该获取的速 率和连接方式和通过ISDN 拨入网络的速率和连接方式,以及两种方式的口令可以 是不同的。
记账(Accounting):RADIUS 协议可以记录会话开始记录、会话结束记录。包 括本次连接的用户名、开始连接时间、结束连接时间、用户使用协议、用户使用带 宽、传输数据量、连接断开原因和出错信息等。RADIUS 客户端在连接开始的时候 向RADIUS 服务员发送会话开始记录,在连接结束的时候发送会话结束记录。通常 情况下RADIUS 服务员只记录会话结束记录;对于会话开始记录一般用于用户超时 监测和切断控制。
RADIUS 扩充功能
RADIUS 协议除了基本功能以外,为了适应Internet 的不断扩大,增强了几个功 能:
代理(漫游):为了能够使用户能在异地通过认证使用服务,RADIUS 协议支持 服务员之间转发代理请求和响应。请求和响应的转发根据RADIUS 服务员存放在本 地的proxy 文件或数据库中存放的外部RADIUS 服务员信息进行。如图2-3,当一个 用户在C 地要求使用服务时,C 地RADIUS 服务员首先判断该用户是否是本地用户,如果不是,根据用户特征查找代理表,看是否和用户开户地RADIUS A 有代理关系,如果有那么就转发该请求到A地RADIUS 服务员,A地RADIUS 服务员完成验证后,将响应结果发回C 地RADIUS 服务员,C 地RADIUS 再将结果发回给用户。记账签名和时间戳:记账请求/响应包必须签名。根据包的内容,使用客户端与
服务员之间的共享密钥,通过MD5 算法计算包的摘要,这样保证了记账包不被窃听 者篡改。时间戳也保证了记账记录的唯一性,保证记录的准确性,防止窃听者破环。用户自定义属性:RADIUS 协议除了规定的属性外,用户可以自行添加所需要 的属性。在添加用户自定义属性时,需要注明用户ID 等标志。这样不同运营商之间 除了协议规定的属性外,还可以互通其它属性,交换信息。
地址绑定:RADIUS 协议规定可以将RADIUS 服务员与指定的IP 地址绑定,这 样可以在多宿主主机上使用RADIUS。
RADIUS 配置
RADIUS 配置主要在RADIUS 服务员部分,通过各种配置文件进行。RADIUS 服务
一个可扩展的AAA 协议栈 6 员所需要的配置文件全部放在名为 raddb 的目录下。它的组织形式如下: 图 2-4 RADIUS 目录结构
字典文件 dictionary:RADIUS 服务员使用字典文件来建立检查属性列表和返回 属性列表。字典文件包括可能用到的属性名称、属性号、属性值等。用户文件users:存储用户的配置信息,包括鉴别和授权信息。
客户文件clients:存储RADIUS 所有的本服务员对应的客户端地址及共享密钥。代理文件proxy:存储所有远程RADIUS 服务员的地址和共享密钥等。菜单文件menus:存储各种用户通过认证后可以选择的服务类型。
RADIUS 特性
基于RADIUS 协议的接入认证/计费系统提供以下特性:
客户机/服务员模式:要求对用户进行认证的设备被称为客户端,要求RADIUS 服务员进行服务,而一个RADIUS 服务员也可以是其它服务员的客户端。
安全:在大型网络中,安全信息分散于网络不同设备上。RADIUS 协议可以允许 用户信息保存于一台主机之上,最小化安全漏洞的危险。RADIUS 服务员管理所有鉴 别和接入网络服务的功能。RADIUS 服务员与客户端之间使用共享密钥进行通信。可适应性:RADIUS 软件可以安装在任何通信环境之中。也可以和其它安全系统 和协议融合为一体。对用户可以使用多种验证方法。
可扩展性:所有传输的信息被组织为称为三元组(属性、长度、值)中,新的 属性可以随时添加。
管理简便:RADIUS 服务员将安全信息存储于中心位置,只需要维护这一处信息 即可。对不同厂商的远程接入设备可以按统一的安全模式维护和管理。
广泛的审计能力:RADIUS 提供一种审计跟踪能力,称为RADIUS 记账。收集来 的信息可以用来分析安全效果和计费。
一个可扩展的AAA 协议栈 7 第三章协议栈框架
协议栈包含协议框架
本协议栈所覆盖的协议主要有以下几个。
1、RADIUS 协议:定义于RFC2138 中,是RADIUS 体系的主要部分,主要对验证 和授权、包格式、语法和漫游等进行了规定。
2、RADIUS Accouting 协议:定义于RFC2139 中,主要对记账、记账包格式等 进行了规定。
3、RADIUS Authentication Client MIB:定义于RFC2618[6]中,主要定义了用 户在RADIUS 认证客户端中SNMP 代理需要的管理信息库。
4、RADIUS Authentication Server MIB:定义于RFC2619[7]中,主要定义了用 户在RADIUS 认证服务员中SNMP 代理需要的管理信息库。
5、RADIUS Accounting Client MIB:定义于RFC2620[8]中,主要定义了用户在 RADIUS 记账客户端中SNMP 代理需要的管理信息库。
6、RADIUS Accounting Server MIB:定义于RFC2621[9]中__________,主要定义了用户在
RADIUS 记账服务员中SNMP 代理需要的管理信息库。
本协议栈以TCP/IP 协议为基础,使用UDP 为主要传输手段。协议栈的核心为
RFC2138 和RFC2139 组成的RADIUS 主要系统。RFC2618-RFC2621 主要实现协议栈具 有网络管理功能,示意图如下。协议栈系统软件包
RFC2618 RFC2619 RFC2620 RFC2621 RFC2138 Authentication RFC2139 Accounting UDP IP 框图3-1 协议栈包含的协议
协议栈功能框架
本协议栈的功能框架如图3-2 所示。
一个可扩展的AAA 协议栈 8 AAA协议栈
包处理回调函数、用户全局设置、接口函数 网管模块 端口绑定监听 数据库访问模块 多种验证方式 包加密解密 包接收发送 漫游代理 配置管理
图 3-2 RADIUS 协议栈功能框架 各部分主要功能如下:
配置管理:负责从本地配置文件或数据库中读取系统的参数设置,包括地 址、端口号、认证协议、超时控制时间等。
多种验证方式:负责根据预先配置的方式对请求进行认证,包括PAP、CHAP、MS-CHAP 方式等。
包加密解密:对认证请求包的口令字段进行加密和解密,生成所需的请求 和响应验证字。
包接收发送:接收请求包,并将其组织成结构体形式;把结构体形式的数 据结构打成二进制包。
漫游代理:根据请求包内容,应用设置条件,判断其是否需要代理。如果 需要代理,则处理后转发出去。接收代理响应,并转发给RADIUS 客户端。端口绑定监听:根据配置主机和端口信息,申请socket 并绑定于指定端口。监听来自客户端以及其它RADIUS 服务员的请求和响应。
网管模块:对RADIUS 系统的各个状态和参数进行监控,并在SNMP 代理调 用时将这些参数返回给调用者。
数据库访问模块:在对用户认证和记账时访问用户数据,访问方式可以支 持多种数据库形式。
包处理回调函数、用户全局设置、接口函数:是用户使用本协议栈时需要 编写的代码部分,具体使用方法见第五章。
第四章协议栈实现
开发环境及工具
一个可扩展的AAA 协议栈 9 本协议栈的开发环境有多种,可以是 WinNT,Linux,HP-UX,Solaris 等UNIX 操作系统。如果使用专用数据库的话,还需要在所用操作系统上安装ORACLE 等数据 库服务器及客户端。工具是UNIX 上的C 编译系统或者是WINDOWS 上的VC 编译系统。本协议栈采用标准ANSI C 语言编写,因为C 语言执行速度快,兼容性和跨平台 性好。
系统逻辑流程
使用本协议栈开发的RADIUS 服务员系统在处理请求包时采用的算法如图4-1 所示。
打开预先定义端口或知名端口,申请网络数据报套接字绑定到端 口上,便于以后主动监听。
预先创建若干RADIUS子进程,并建立父子间通信的全双工管道等 待处理主进程发送给它们的处理请求。
主进程读取RADIUS代理表和RADIUS客户端表,以后检验客户端合 法性和查找远端代理地址。
将网络套接字和管道描述符全部放入一个SELECT描述字段中,该 字段中的项对应可以进行I/O的描述符。通过监控这个字段可以获 知那个I/O端口上有数据达到。求出包括网络套接字和父子进程间 管道描述字的最大值。
SELECT监听I/O。一旦数据到达,进行一下处理
如果表中网络套接字有数据发到,则调用处理子程序,该子程序 首先判断该请求的源是否合法,是否需要漫游处理,然后选择预 先分配的一个空闲进程处理请求。
如果管道描述字有数据发到,则表示对应子进程处理请求完毕,子程序恢复空闲状态。
图 4-1 系统网络通信算法
一个可扩展的AAA 协议栈 10 使用本协议栈开发的 RADIUS 服务员系统的系统逻辑流程如下。
初 始 化 配 置(是 否 派 生 子 进 程、字 典 文 件 和 日 志 文 件 路 径、终端参数)
登记各种信号处理例程s i g n a l()读取配置文件r a d c o n f i g _ i n i t(),读入主机地址、端口号、最大请求个数、代理服务超时时间、最大请求超时时间)
读取字典文件d i c t _ i n i t(),将字典内容放入内存组织成为链 表,以后使用
派生后台进程f o r k(),退出当前会话,这样脱离命令行 关闭终端c l o s e(),显示软件版本
打开知名端口o p e n _ u d p s o c k()绑定端口 清空所有网络套接字端口F D _ C L E A R(),准备监听
派生指定个数的子进程c h i l d _ m a k e(),并监控父子进程间通 信的读写管道
申请表空间,调用T U X E D O,读取客户端列表和代理服务员列
表放入内存表中u p d a t e _ c l i e n t s()u p d a t e _ p r o x y()将监控描述符字段清零并置位F D _ Z E R O()循环非阻塞监控以上端口S E L E C T(),根据情况分别执行以下 子程序F D _ I S S E T()认证记账端口请求,调用认证处理r a d _ r e q u e s t()代理认证 记账端口请求,调用代理处理R a d _ p r o x y()子进程发送信号,处理子进程完毕。子进程空闲置位。
图4-2 系统逻辑流程
一个可扩展的AAA 协议栈 11 RADIUS 服务员中采用基于数据报的并发无连接网络通信算法、进程处理采用主 进程循环处理,子进程顺序处理算法。并且为提高效率,采用进程预分配的方法。系统运行时,由空闲子进程组成一个空闲进程池,当有请求时,主进程顺序选 择一个空闲子进程完成请求。子进程完成请求后通知父进程。示意见图4-3。RADIUS主进程 子进程池 空闲子进程
接收新请求的子进程 正在处理请求的子进程 完成子进程通知父亲
图4-3 系统运行时进程关系图
包处理逻辑流程
协议栈中的主进程在处理请求包时所作处理如图4-4 所示。
接 收 数 据 包 到 缓 冲 区 r e c v f r o m()判断包源客户端的合法性
如果是认证包系列用f i n d _ c l i e n t()如果是记账包系列用c a l c _ a c c t r e q()将缓冲区打成请求头结构r a d r e c v()判断是否需要代理h a n d l e _ p r o x y()需要代理,调用代理模块保 存漫游状态p u s h _ p r o x y()发送到远端
s e n d p r o x y 2 s e r v e r()不需要代理,判断是否是重 包
查找空闲子进程
登记包特性到子进程结构中 将请求包放入缓冲区 通过F I F O 发送给子进程
图4-4 主进程处理请求包流程
一个可扩展的AAA 协议栈 12 协议栈中对于代理漫游包的处理如图 4-5 所示。
接收数据包到缓冲区recvfrom()判断包源服务员的合法性find_server()将缓冲区打成请求头结构radrecv()找出包对应的描述符
查找发送时记的请求头pop_proxy()转发响应给最初的客户端sendproxy2client()图 4-5 漫游请求包流程
协议栈中子进程处理请求包的流程图如图 4-6 所示。
循环等待父进程发送处理消息read()将接收到的缓冲区打成请求头结构radrecv()根据不同请求包类型,调用用户自定义回调函数响应模块 如认证处理rad_authenticate()等 处理完毕,返回继续等待下一个请求
图 4-6 子进程处理请求包流程
从图中可以看出,协议栈的用户只需要编写用户处理请求包的回调函数,对于 其它过程则可以不用关心。
测试环境和方法
一个可扩展的AAA 协议栈 13 本协议栈的测试环境可以象开发环境一样,有多种组合。下面选取其中一种,以协议栈为基础的RADIUS 系统,如图4-7 所示。本地RADIUS服务员 ORACLE 数据库
远端RADIUS服务员 RADIUS 客户端 测试程序
图 4-7 协议栈测试环境
其中本地 RADIUS 服务员接收发自RADIUS 客户端的请求,ORACLE 数据库作为存 储用户数据和配置信息的服务器。远程RADIUS 服务员接收漫游用户的认证请求。测 试程序负责产生测试呼叫。
测试分为两个部分:功能测试和性能测试。功能测试包括对RADIUS 服务员中是 否满足RFC2138 和RFC2139 中规定功能的测试;性能测试包括在大并发用户量下系 统的响应时间和正确率。需要编写一个能完成测试要求的测试程序。此测试程序运 行于RADIUS 客户端,通过进程间通信模仿调用方程序。测试前还要编写一个模拟数 据生成程序,它负责从数据库中抽取数据,模仿呼叫数据。
接口回调函数
开发者通过回调函数来使用本协议栈,在请求包处理回调函数中,开发者可以 使用协议栈提供的各种实用函数,包括属性提取函数、加密解密函数、包发送接收 函数、打包函数和访问数据库函数。一个典型的回调函数例子的流程图如下。
一个可扩展的AAA 协议栈 14 判断用户名长度是否合法 判断是否有属性getattribute()抽取SESSION_INDEX属性放入响应链表中抽取相应请求属性 getattribute()应用客户端口令解密请求口令decrypt_password()调TUXEDO访问数据库取口令get_password()判断为正确,并发送响应send_accept()判断为错误,并发送响应send_reject()图 4-8 典型回调函数流程图
第五章协议栈功能特点
协议实现全、互通性较高:本协议栈基本全部实现了IETF 中关于RADIUS 的相 关协议。由于本协议栈完全遵守IEFT 的关于RADIUS 的各个协议,所以在以本协议 栈为基础开发的RADIUS 系统可以完全实现互通,在和其它标准RADIUS 系统也可以 实现较大程度上的互通。
多种验证类型:在验证过程中,RAS 和RADIUS 服务员传送口令信息,这个口令 信息通过RAS 和RADIUS 服务员之间的共享密钥加密。口令信息源于用户输入,根据 用户选择可以有以下三种:
1、PAP(Password Authentication Protocol 口令验 证协议)非常简单,用户发送口令给RADIUS 服务员,RADIUS 服务员通过数据库或 操作系统来验证。用户发送口令给RAS 的过程中,口令以明文方式传送。RAS 传送 口令给RADIUS 的过程中,使用共享密钥加密。最后RADIUS 服务员以口令明文的方 式进行验证。
2、CHAP(Challenge Handshake Authentication Protocol 挑战握 手验证协议)避免在任何通信连接中使用口令明文。在CHAP 中,RAS 首先生成一个 随机数(称为挑战)并发送给用户,用户的PPP 端生成一个由口令和挑战组成的单 向摘要并发送给RAS,由于摘要是单向加密,RADIUS 服务员不能从摘要中恢复口令,所以它使用本地数据库中存储的用户口令用同样方法计算出摘要和接收的摘要比 较,如果相同则验证通过。
3、MS-CHAP(Microsoft Challenge Handshake 一个可扩展的AAA 协议栈 15 Authentication Protocol 微软挑战握手验证协议)是微软提出的类似于CHAP 而 整合入微软操作系统中的验证方法,它可以在操作系统之上采用不同级别:本地 用户、域用户、域组、主机用户、主机组合外部数据库等来验证用户。
二次开发工作量少,容易扩充:由于协议栈已经完成了开发RADIUS 系统所需的 大部分工作,用户只需要开发少量的回调函数,完成自己的特定需要,所以可以快 速开发。由于协议栈的实现是基于协议的包处理过程,所以用户可以根据协议的变 化和需求的变更,不断改进实现,而不需要太多工作量。
运行稳定:由于协议栈采用进程池的方式实现,所占用的内存一定,系统开销
最小。所以不会大量占用系统资源(CPU 处理时间和内存),不会出现因请求数量变 化而使系统资源的占用发生颠簸。更不会出现内存泄漏等错误。
性能:由于我们对协议栈的实现做到精益求精,采用高效的实现方法,优化代
码的设计,所以使用本协议栈开发的RADIUS 系统在同档次的服务器上运行效率比其 它系统要高。一般来说,在主频为300MHz 的主机上,其它系统可以实现500 个/秒 的认证速度,而使用本协议栈开发的RADIUS 系统可以实现1000 个每秒。
多种用户验证手段:本协议栈有多个模块支持多种数据库访问方式,用户数据 可以存放在以下几个形式中,文本文件、UNIX DBM、MYSQL、ORACLE、MS-SQL 等。多种日志方法:详细错误信息输出到本地日志、系统日志、数据库中。可以帮 助管理员和开发人员迅速找到错误原因,实时掌握系统状态。
跨平台运行:本协议栈可以运行在多个平台之上。由于是基于进程实现,所以
不会因为各个操作系统对线程实现不同而引发差异。本协议栈在 HP-UX 1 1.00、IBM RS6000 AIX 4.2、Redhat Linux 5.2、Slackware Linux 2.0.30、Solaris 2.7.1、Solaris x86 2.7.1、SunOS 4.1.3、WindowsNT/2000 上测试成功。
第六章 协议栈应用方法
本协议栈的应用可以分为以下几个步骤:
1、了解RADIUS 协议概况:开发者必须对RFC2138、RFC2139 有所了解,虽 然不用了解包的发送和接收、加密解密细节,但对协议的使用步骤和包 的格式定义必须了解。
2、了解协议栈和实用函数:开发者必须掌握本协议栈的逻辑流程,了解函 数的定义和调用的顺序。
3、编写用户回调接口函数:根据自定义的不同需要,对每个类型的请求进 行处理。
4、连接编译整个协议栈:选择不同运行模块,包括不同的验证方式、访问 数据库的类型等,在操作系统上运行编译器。
一个可扩展的AAA 协议栈 16
5、配置RADIUS 系统:在系统运行之前,需要根据不同的系统组成部分,选择适当方式来配置系统,例如:主机地址、端口、代理员的列表、客 户端的列表等。
在使用本协议栈时应注意以下几个问题:
1、字典文件和属性的定义:由于不同厂商对属性和属性值的定义值不同,所 以应注意区别,防止属性数据类型不匹配。
2、确定操作系统参数如最大打开文件数、信号灯数等符合需要。
3、尽量在用户回调函数中使用静态内存,防止动态内存使用不慎而引起的内 存泄漏和系统崩溃。
4、根据不同需要,连接不同模块,防止占用系统过多。
5、减少用户处理执行时间,以利于系统整体的运行性能。
第七章 结论
协议栈实现系统与相关系统比较
采用本协议栈编写的AAA 系统与其它典型RADIUS 实现系统比较如下表: 系统 本实现 Livingston[1] Merit[10] Ascend[11] Freeradius[12] 协议实现 全部 全部 全部 全部 全部 认证方式 一般 一般 一般 一般 多 功能 多 一般 一般 一般 多 兼容性 一般 好 一般 一般 一般 性能 好 一般 一般 一般 好 扩展性 好 一般 一般 一般 好 测试工具 全面 简单 简单 简单 简单
结论
由于Internet 不断发展,用户的接入越来越为人们关注。而防火墙和VPN 中的 不断使用,使RADIUS 协议也日益成为工业事实标准。
随着网络协议不断增多,使用协议栈来开发网络通信程序是近年来流行的趋势。开发一个可供快速组建RADIUS 系统的协议栈是一个必不可少的基础工具。
一个可扩展的AAA 协议栈 17 本文通过集成关于 RADIUS 的若干协议,实现一个AAA 协议栈,使得开发基于 RADIUS 协议的安全认证系统变得更加容易。
通过测试,本协议栈在同等环境条件下,系统的功能和性能达到相近系统的前 列。
不足之处和进一步的工作
虽然我们做了大量工作,但在以下几个方面还存在着不足:
1、对不同系统的各种属性的处理还不够全面。
2、认证中的验证类型还需扩充。
3、与其它安全认证系统的互通性有待提高。今后进一步的工作是:
1、实现最新的RADIUS 协议RFC2865[13]、RFC2866[14]。
2、改进协议栈,使之能运行于集群之上,提高系统性能。
3、对数据库的访问中增加LDAP(轻型目录访问协议)的支持。
4、加入负载平衡算法,使系统不同进程能发挥更大效率。
5、增强与其它RADIUS 系统的互通性。
6、支持TACACS+协议[15],TACACS 终端访问控制器接入控制系统协议。定义于 RFC1492 中。TACACS+增强型。类似于RADIUS 的AAA 协议,与RADIUS 不同 之处在于:传输协议使用TCP 而不是UDP。RADIUS 只加密口令字段,而 TACACS+加密整个包净荷。TACACS+允许验证和授权分离,而RADIUS 中验证 和授权是集成的。
7、支持Diameter 协议[16]。IETF 着眼的下一代AAA 协议。一个全新轻量级的,基于端点的。提供可扩展的基础来引进新策略和AAA 服务。继承RADIUS 的 机能。突破RADIUS 协议限制,允许服务员向客户端发送统一消息。使用重 传和失败恢复算法。提供端到端的安全机制。支持漫游和移动IP 网络。
参考文献
[1].Lucent, “Remote Authentication Dial-In User Service”, http://.charters/aaa-charter.html.[3].“Stacks of Internet Telephony”, http://www.xiexiebang.com, 2000 [4].C.Rigney, A.Rubens, W.Simpson, and S.Willens, “Remote Authentication Dial In User Service”, IETF Network Working Group, April 1997.RFC2138.[5].C.Rigney, “RADIUS Accounting”, IETF Network Working Group, April 1997.RFC2139.[6].B.Aboba, G.Zorn “RADIUS Authentication Client MIB”, IETF Network Working Group, June 1999.RFC2618.[7].B.Aboba, G.Zorn “RADIUS Authentication Server MIB”, IETF Network Working Group, June 1999.RFC2619.[8].B.Aboba, G.Zorn “ RADIUS Accounting Client MIB”, IETF Network Working Group, June 1999.RFC2620.[9].B.Aboba, G.Zorn “ RADIUS Accounting Server MIB”, IETF Network Working Group, June 1999.RFC2621.[10].University of Michigan and Merit Network, Inc.“Merit AAA Server”, 1992 [11].Ascend Communications, Inc.“Ascend RADIUS”, 1996 [12].“Free RADIUS Project”, http://www.xiexiebang.com, 2000 [13].C.Rigney, A.Rubens, W.Simpson, and S.Willens, “Remote Authentication Dial In User Service”, IETF Network Working Group, June 2000.RFC2865.[14].C.Rigney, “RADIUS Accounting”, IETF Network Working Group, June 2000.RFC2866.[15].C.Finseth, “An Access Control Protocol, Sometimes Called TACACS,” IETF RFC 1492, July 1993;available at ftp://ftp.isi.edu/in-notes/rfc1492.txt.[16].P.R.Calhoun, A.C.Rubens, and H.Akhtar, “Diameter Base Protocol,” IETF AAA Working Group, Internet draft, Oct.1999, work in progress.一个可扩展的AAA 协议栈 19 致谢
在此,首先向我的导师鞠九滨教授表示深深的谢意!从本科论文开始,鞠九滨 教授以他严谨的治学态度、渊博的学识、敏锐的思维和孜孜不倦的工作作风对我进 行了悉心的教诲,使我受益终生。
同时还要向李春阳高级工程师表示感谢,李老师一丝不苟的工作作风非常值得 我的学习。
向师兄张钶、张猛表示衷心的感谢。他们在科研上帮我攻克难关,给了我许多 无私的关心和帮助。
感谢研究小组成员刘静、张广艳、于海超,是他们使我在团结协作中不断成长。特别感谢于秀峰老师、胡成全老师、胡亮老师和房至一老师对我的帮助。
一个可扩展的AAA 协议栈 20 论文摘要 认证(Authentication)、授权(Authorization)、记账(Accounting)是网络接入 的三个重要需求。满足这些要求的RADIUS(Remote Authentication Dial-In User Service 用户远程拨号验证服务)协议作为IETF(Internet Engine Tasks Force 互联网工程任务组)定义的标准协议已经越来越被大多数ISP、ITSP 和安全系统所 认可。
这样,开发符合RADIUS 协议的用户接入认证、授权和记账的软件成为构筑ISP、电信运营商、安全网络系统中的必要部分。现行的RADIUS 开发虽然部分满足了用户 的需求,但存在几个关键问题,如开发者不能利用已有存在的系统,重复劳动,开 发周期长;各种系统实现方式差异很大,不利于维护扩充;软件特定平台,不能跨 越平台使用;对协议包理解方式不同,不能互通漫游。
作为一个可扩充的AAA 协议栈软件包,用户可以在AAA 协议栈的基础之上,选 择自己所需要的运行模块和连接方式,编写符合自己需要的用户回调函数和全局设 置接口,就可以完成一个标准的RADIUS 系统。用户使用本协议栈开发AAA 系统时,可以脱离编写协议时的各种繁琐过程,无需考虑协议的语法和数据包的结构,并且 使系统所覆盖的协议最多。采用这种方法开发的RADIUS 系统具有符合国际标准协 议、使用简便、开发周期短、系统灵活性高、易于扩充和与系统间可互通漫游的特 点。
一个可扩展的AAA 协议栈 21 Abstract Authentication, Authorization and Accounting are three crucial requirements for network access.To meet those requirements, RADIUS is introduced.As a standard protocol specified by IETF(Internet Engine Tasks Force), RADIUS(Remote Authentication Dial-In User Service)is widely accepted by most ISP, ITSP and security systems.Hence, developing RADIUS-compliant software for user access Authentication, Authorization and Accounting becomes a must-solve problem for constructing ISP, telecommunication commerce and secured network system.Though the present RADIUS development techniques satisfy the user demand to some extent, there still exist several critical undesired points, such as impossibility to reuse some existing systems, recursive labor, too long developing life cycle.Additionally, the difficulty in system maintenances and expansion due to the big difference in system implementation, software platform dependence, as well as inconvenience for inter-roaming because of various interpretation for a protocol packet.Our package is an extendable AAA protocol stack package, on which users could select their own modules and linking approaches, write their own user-defined routines and global configuration interface, thus finish a well-defined RADIUS system on the fly.Using our protocol stack package, users are able to get rid of the tedious processes of writing protocols, without considering protocol syntax or the frame structure of the packet, and are even able to cover more underlying protocols.The systems built by the means of this will have superior features such as complying with international standard, simpler manipulation, shorter developing life cycle, higher system flexibility, easier extendibility and facilitating system inter-roaming.__
点击咨询 