一、

一、前言

隨著網路技術的進步，無線網路的技術已經成熟，透過無線網路上網已成趨勢。本校在去年業已完成了校園無線網路的建置，無線網路伴隨而來的問題是無線網路下的使用者身分認證、無線網路安全、無線網路的頻寬管理及網路使用的費用收取等。對於有線網路，由於無線網路是以無線電廣播的方式傳送資訊，訊號傳輸的無遠弗屆，讓有心人只要可以接收到無線網路的訊號便可以入侵系統、竊取使用者資料，為了保障合法使用者權益，我們必須對使用者作身分認證及增強資料傳播的安全性。

二、研究目的

AAA model是『Authentication、Authorization、Accounting』的縮寫，此model是目前在無線網路環境下提出來完成上述「使用者身分認證」及「網路費用收取」的一個解決方式。我們利用RADIUS Server來完成AAA model的建置。目前WLAN的安全是利用WEP加解密的方式來達到安全需求，不過由於WEP機制本身的缺失，這樣的方式容易讓入侵者輕易的解密，為了加強無線網路的安全性，我們利用VPN提供WLAN加密機制。

圖一：網路架構

RADIUS( Remote Access Dial In User Service) Protocol主要用來提供Authentication機制，用來辨認使用者的身份與密碼，確認通過之後，經由Authorization授權使用者登入網域使用相關資源，並可提供Accounting機制，保存使用者的網路使用記錄，以提供系統服務業者完整認證收費機制的一個基礎。

RADIUS所提供的Accounting功能是紀錄使用者在某一段連線時間內所使用的IP及該期間所傳輸的網路流量，對於一般的網路計費來說，這樣的資訊已是措措有餘。但是未來的網路服務品質應逐漸走向分級，而不是強迫使用者接受相同的服務。相根據使用者當下所需要的網路品質需求讓使用者自己選擇所需要的網路服務、或在網路壅塞狀況下，系統根據使用者提出的服務要求及網路狀況。這樣一個分級的網路服務品質需要一套相對應的分級收費制度，因此如何在無線網路頻寬條件限制下，研擬出一套提供服務的規則、收費制度，這樣的規則除了提供網路使用者好的服務品質外，也可做到頻寬管理。但是以目前RADIUS所提供的Accounting無法達到我們所要求的，除了紀錄使用者的IP及該段連線時間所傳送網路流量外，還需要額外的資訊紀錄使用者所要求的服務等級。

關於無線網路頻寬管理部分，我們在VPN設備之外架設一部PacketShaper頻管理器作為頻寬管理使用，由於使用者可以隨機、動態的要求所需網路服務品質，因此除了預設頻寬管理規則外，我們還要能夠隨時、即時、隨地的針對使用者的要求改變頻寬管理器的管理規則。

另外，除了上述的問題，『管理』也是我們的一個重點，一套精準有效率的頻寬管理與收費規則，除了作到公平外更重要的是讓每個使用者滿意我們所提供的服務品質。

三、研究方法

為了符合潮流及避免與其他無線網路系統不相容，我們希望在不改變現有網路架構下達到我們的目的。

在Accounting部分，當使用者通過帳號認證後，必須「即時」的提供該使用者網路服務，同時將資料紀錄包括使用者帳號、連線起始時間、連線結束時間、連線時間及網路服務等級紀錄在資料庫，以供後續計算網路使用費用時使用。由上述RADIUS Server所支援的Accounting特性，我們知道，RADIUS Accounting Server並不支援分級網路服務。在不改變整體網路架構的概念下，我們的解決方法其概念是：

1、Run a process called “check-session” forever

2、Check the log files of radius server every 3 seconds

3、Passing the log files and extracting information we need from the log file

4、According the information，making associated response

圖二：流程圖

上述方法所遭遇的第一個問題是「即時性（real-time）」，由於該方法是藉由每隔一段時間檢查RADIUS Server的連線紀錄檔（log file），因此無法作到當session建立或結束便立刻作出回應。雖然縮短檢查時間間距可以改善即時性，但是過度頻繁的檢查對系統來說可能是一項額外的沉重負擔，尤其每次的檢查都牽涉到了檔案的I/O。

其次是同步的問題，當一個session建立或結束的時候，RADIUS Server會將該session的紀錄寫入log file，而一個 “check-session” process則是固定時間間距的存取該log file，再根據所讀取的資料作出相對應的動作。會發生怎樣的同步問題呢，例如當RADIUS Server正將資料寫入log file時，“check-session” process也正在讀取該log file，導致“check-session” process可能讀取到不完整的紀錄，導致程式無法作出正確的回應。

除了上述的同步問題外，還有其他問題要考慮，例如，假設該 “check-session” process當掉重新執行後，該如何回復當掉期間的資料庫記錄？更嚴重的是可能造成使用者可以成功通過帳號認證，卻無法接收網路服務。因此，為了讓Accounting支援分級網路服務而將Accounting的功能從RADIUS Server拿出，另外透過其他process來完成，這樣的方式所要面對的問題及未知問題太多，要付出的成本及時間不符效益。因為同步問題的發生原因導致於我們產生一獨立的process執行Accounting，而此process需要透過RADIUS Server得知一個session的起始與結束，在不改變網路架構及解決同步問題下，我們朝著更改RADIUS Server的原始碼，將“check-session”的功能加入RADIUS Server裡，以此解決上述的問題。

更改RADIUS Server的原始碼是否會產生額外的問題？兩個不同的WLAN，一個使用未修改的RADIUS Server，另一個使用加入支援分級網路服務的RADIUS Server，是否無法溝通？NAS（VPN）是否需要更改設定以對應一個更改過的RADIUS Server？答案是不會。

首先，兩個RADIUS Server之間的溝通僅只在於「Roaming」時，所謂的Roaming其行為定義為：使用者A在WLAN_b下透過RADIUS_b作authentication，此時RADIUS_b將該authentication request轉送至該使用者A原來的authentication server RADIUS_a，這樣的過程不會干涉到accounting的部分，因此修改後的RADIUS Server仍然可以正常的與一般RADIUS Server溝通。同理，NAS（VPN）不用更改設定即可正常與修改過的RADIUS Server連線。唯一的限制是必須將RADIUS Server patch過後才能使之支援分級網路服務。

所以，更改原始碼是我認為支援分級網路服務收費最好的解決方法。

更改原始碼可分成三部份：設定檔的讀取、sql指令的產生、sql指令的執行。

l 設定檔的讀取：透過trace FreeRadius的原始碼，我們必須知道FreeRadius如何讀取設定檔radiusd.conf的內容及如何儲存讀進來的設定項目及如何將它使用在程式裡。由於我們的目標是要讓Radius支援分級網路服務，因此我們比須在radiusd.conf裡面新增加一個關於網路服務的預設項目，如此當一個新的session建立時，若該使用者未選擇網路服務，系統則可以radiusd.conf裡預設的網路服務提供給該使用者，而不會產生錯誤。

l sql指令的產生：根據使用者選擇網路服務等級及一些使用者資訊產生accounting時所需要的sql指令。在FreeRadius裡，所有的sql指令皆是動態產生的，我們必須將許多變數，例如：使用者名稱、連線IP、連線起始時間、資料庫名稱、欄位及使用者所選網路服務等許多變數轉換成真正的sql指令。

l sql指令的執行：正確的執行sql指令。確保資料正確的存入資料庫裡，同時根據此sql指令遠端控制頻寬管理器PacketShaper，對此使用者（IP）網路所使用頻寬作出合乎所選網路服務等級的回應。

目前的設計無法讓使用者在dial-up時候，同時選擇網路服務等級。這部分需要更改VPN，由於學校使用硬體VPN無法更改原始碼，因此我們退而求其次，使用者在成功dial-up後，再自行決定是否登入到系統更改所需的網路服務等級。在未登入系統改變服務等級前，每個使用者的網路服務等級根據登入帳號給予default service level。

我們將帳號分成四個群體，分別是：老師、學生、員工、其他，每個群體的default service level可在radiusd.conf裡自行設定，提供系統管理上的彈性。由於FreeRadius支援「Roaming」，透過設定，其他WLAN下的使用者可以使用學校的無線網路資源。因此，系統會判斷該登入帳號是否屬於學校所允許的其他WLAN使用者。系統將這些使用者歸類屬於「其他」群體。

我們需要哪些資料庫及欄位來支援分級網路服務？在Accounting的部分，除了保留原來FreeRadius所內定的Radacct table，我們新增加兩個table。

欄位	屬性NULL	說明
RadAcctId	否
AcctSessionId	否
AcctUniqueId	否
UserName	否
Realm	是
NASIPAddress	否
NASPortId	是
NASPortType	是
AcctStartTime	否
AcctStopTime	否
AcctSessionTime	是
AcctAuthentic	是
ConnectInfo_start	是
ConnectInfo_stop	是
AcctInputOctets	是
AcctOutputOctets	是
CalledStationId	否
CallingStationId	否
AcctTerminateCause	否
ServiceType	是
FramedProtocol	是
FramedIPAddress	否
AcctStartDelay	是
AcctStopDelay	是

Table 1：Radacct