認證計費系統普遍存在以下三方面的問題：

1.網絡對接入用戶缺乏有效的接入控制，包括認證、計費、帶寬限制、時間限制等，也無法靈活地按要求限制用戶的接入。

2.單純的網絡連接服務和統一的包月收費這種粗放型的計費方式不能滿足不同用戶的要求，需要一種以用戶為主的精細的靈活的計費方式。

3.網絡的管理和運營存在大量的手工操作，不能及時、準確地完成如開戶、銷戶、交費、退費、定期結算等的操作，效率較為低下。

針對上述問題，本文介紹了一種解決方案。為了有效控制用戶網絡接入，對radius數據包attribute域的值進行修改和添加，實現了對賬戶IP、MAC、上行帶寬、下行帶寬、上網時限等信息的管理；為了滿足不同用戶的要求，提出了以包月、計時、計流量為計費原型的計費策略方案；為了減輕網絡管理的手工操作，設計了人性化的用戶自助服務子系統，實現了用戶信息注冊、開戶申請、續費申請、充值申請、銷戶申請等功能，申請提交后，等待網管人員的審核，提高了信息錄入的準確度。

技術分析—AAA系統和radius協議

認證計費系統一般簡稱為AAA認證系統，是指Authentication（認證）、Authorization（授權）和Accounting（計費）。一套完善的AAA認證計費系統可以很好地解決網絡管理和運營過程中出現的問題，比如認證計費和用戶管理等。

radius(Remote Authentication Dial In User Service,遠程驗證撥號用戶服務)是解決AAA最常用的通信協議。接入服務器和認證計費系統間的通信協議多采用radius。該協議采用客戶機/服務器模式，能支持多種認證體系（PAP、CHAP、UNIX Login）。它通過UDP協議來傳送數據包，包的格式允許其不斷增加封裝的屬性，以支持新出現的認證需求，這提供了良好的可擴展機制。有關協議的最新標準可參照RFC2865 和RFC2866。

目前，FreeRADIUS服務被廣泛地應用到radius服務器中，它具有高性能和高可配置性，是符合GPL規范的免費軟件。它帶有基于PHP的Web管理接口dialup_admin，支持SQL數據庫用戶管理。

技術分析—接入認證技術

用戶終端與接入服務器之間的接入協議或方式就是接入認證技術，目前最流行的有PPPoE、Web和802.1x 3種。PPPoE認證與電信運營商非對稱數字用戶線(ADSL)接入業務相結合，應用最為廣泛；Web認證和802.1x認證主要應用在以太網接入上，也獲得了規模應用。這幾種認證技術支撐了整個寬帶用戶接入的發展，對建設可運營、可管理的網絡起到了非常大的作用。

Web認證兼容性好,應用業務可擴展性強，而且不需要客戶端軟件，所以備受青睞。Web認證過程屬于全三層處理,可以跨越多個網絡，靈活性好。在設備需求方面,Web認證和PPPoE認證要求相同，需要BAS和計費認證系統的支持，但Web認證過程中沒有PPP的打包處理，所以不存在采用PPPoE認證方式中的MTU影響性能的問題。

802.1x認證的設備一般是成本較低的交換機，其可靠性和安全性都不是很好，抗攻擊能力相對來說比較差，所以這種認證方式主要用于用戶比較少的網絡。而Web認證可以提供大容量的用戶接入，能夠在較大范圍內提供高密度用戶接入解決方案。本系統采用Web方式進行接入認證，用戶數據包的識別方式為IP+VLAN+MAC。
Web認證步驟如下：

1.用戶PC機啟動，系統程序通過DHCP，向DHCP服務器請求IP地址。

2.接入服務器(如認證網關)為該用戶添加訪問記錄，目的是限制用戶只能訪問一些內部服務器、個別外部服務器如DNS。

3.用戶登錄Web認證界面（內部服務器提供服務），提交認證請求信息。

4.接入服務器通過radius協議和認證系統進行通信，請求對用戶進行認證。

5.認證系統返回認證結果，如果認證通過，用戶可以自由訪問網絡。在使用兩次地址分配的情況下，客戶端會觸發用戶重新獲取新的IP地址。

6.用戶下線時，接入服務器會更新用戶記錄，并通告計費系統停止計費，用戶的網絡訪問受限。如果使用兩次地址分配，客戶端會觸發用戶再次獲取IP地址。

認證計費系統的組成和實現我們會在下一節中介紹：自主服務校園網認證 讓計費變得人性化 下篇

【編輯推薦】

1. 簡化VPN身份認證
2. 簡介SMTPi的身份認證技術
3. 中國用戶對強身份認證最積極
4. 2009數據中心變化之IT身份認證
5. 確保網上銀行安全的多重身份認證方案
6. 網絡購物安全需警惕 身份認證誰說了算