無線網(wǎng)絡(luò)認(rèn)證改造

實名制上網(wǎng)的問題源頭：外來人員隨意接入不會遵從上網(wǎng)規(guī)定，其不良行為風(fēng)險將轉(zhuǎn)嫁給接入單位；內(nèi)部人員真實對應(yīng)問題：無法將互聯(lián)網(wǎng)行為和真實的人關(guān)聯(lián)定位，無法在發(fā)現(xiàn)問題后對當(dāng)事人進(jìn)行及時的糾正，無法及時提醒當(dāng)事人改正自己的行為。

無線網(wǎng)絡(luò)認(rèn)證的需要

公共圖書館作為公益的非經(jīng)營性服務(wù)場所，館內(nèi)覆蓋的無線網(wǎng)絡(luò)和分布在電子閱覽室等公共區(qū)域的自助查閱設(shè)備等都使圖書館內(nèi)部網(wǎng)絡(luò)直接暴露給外來的不確定身份的流動性人員，面臨著很大的的安全風(fēng)險；同時，需要接受公安網(wǎng)監(jiān)部門的監(jiān)管，讀者上網(wǎng)的用戶注冊信息、登錄時間、退出時間、登錄IP地址、登錄的讀者證號、瀏覽網(wǎng)站的IP地址或域名、違法的聊天和發(fā)帖內(nèi)容等，都需要具有至少兩個月的記錄備份，還需要通過上網(wǎng)行為審計設(shè)備向網(wǎng)監(jiān)部門實時上傳違法數(shù)據(jù)。

網(wǎng)絡(luò)認(rèn)證的幾種方式

認(rèn)證技術(shù)是AAA（認(rèn)證，授權(quán)，計費）的初始步驟，目前主要的認(rèn)證方式有以下三種 ：PPPoE、802.1X 和 Web Redirection 認(rèn)證。三種方式有其產(chǎn)生的背景原因和技術(shù)特點，以下對這幾種技術(shù)作一個簡要的分析比較：

（一） PPPoE認(rèn)證

通過PPPoE協(xié)議，互聯(lián)網(wǎng)服務(wù)提供商可以在以太網(wǎng)上實現(xiàn)PPP協(xié)議的主要功能，包括采用各種靈活的方式管理用戶。PPPoE協(xié)議允許通過一個連接客戶的簡單以太網(wǎng)橋啟動一個PPP對話。PPPoE的建立需要兩個階段，分別是搜尋階段和點對點對話階段。當(dāng)一臺主機(jī)希望啟動一個PPPoE對話，它首先必須完成搜尋階段以確定對端的以太網(wǎng)MAC地址，并建立一個PPPoE的對話號。搜尋階段是一個客戶-服務(wù)器的關(guān)系，主機(jī)和網(wǎng)絡(luò)設(shè)備將擁有能夠建立PPPoE的所有信息，這個階段將在點對點對話建立之前一直存在。一旦點對點對話建立，主機(jī)和網(wǎng)絡(luò)設(shè)備都必須為點對點對話階段虛擬接口提供資源。

優(yōu)點：最終用戶相對較容易接收

缺點：PPP協(xié)議和Ether net技術(shù)本質(zhì)上存在差異，PPP協(xié)議需要被再次封裝到以太幀中，所以封裝效率很低；PPPoE在發(fā)現(xiàn)階段會產(chǎn)生大量的廣播流量，對網(wǎng)絡(luò)性能產(chǎn)生很大的影響；組播業(yè)務(wù)開展困難，而視頻業(yè)務(wù)大部分是基于組播的；需要運營商提供客戶終端軟件，維護(hù)工作量過大；PPPoE認(rèn)證一般需要外置BAS，認(rèn)證完成后，業(yè)務(wù)數(shù)據(jù)流也必須經(jīng)過BAS設(shè)備，容易造成單點瓶頸和故障，而且該設(shè)備通常非常昂貴。

（二）802.1X認(rèn)證

優(yōu)點：

802.1X協(xié)議為二層協(xié)議，不需要到達(dá)三層，而且接入層交換機(jī)無需支持802.1q的VLAN，對設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本。

通過組播實現(xiàn)，解決其他認(rèn)證協(xié)議廣播問題，對組播業(yè)務(wù)的支持性好。業(yè)務(wù)報文直接承載在正常的二層報文上；用戶通過認(rèn)證后，業(yè)務(wù)流和認(rèn)證流實現(xiàn)分離，對后續(xù)的數(shù)據(jù)包處理沒有特殊要求。

缺點：

802.1X認(rèn)證需要特定客戶端軟件；

網(wǎng)絡(luò)現(xiàn)有樓層交換機(jī)的問題：由于802.1X是比較新的二層協(xié)議，要求樓道交換機(jī)支持認(rèn)證報文透傳或完成認(rèn)證過程，因此在全面采用該協(xié)議的過程中，存在對已經(jīng)在網(wǎng)上的用戶交換機(jī)的升級處理問題；

IP地址分配和網(wǎng)絡(luò)安全問題：802.1X協(xié)議是一個2層協(xié)議，只負(fù)責(zé)完成對用戶端口的認(rèn)證控制，對于完成端口認(rèn)證后，用戶進(jìn)入三層IP網(wǎng)絡(luò)后，需要繼續(xù)解決用戶IP地址分配、三層網(wǎng)絡(luò)安全等問題，圖創(chuàng)公司的無線認(rèn)證采用的就是這種方式，無法滿足我館的實際需要。

（三）Web Redirection認(rèn)證

這種方式是無線網(wǎng)絡(luò)服務(wù)提供商最常用的方式。無線網(wǎng)絡(luò)設(shè)置成開放模式，但另外在后臺利用無線接入控制網(wǎng)關(guān)(ACG)，攔截移動終端發(fā)出的Web封包(開啟瀏覽器嘗試上網(wǎng))，并強(qiáng)制重定向到認(rèn)證網(wǎng)頁要求輸入賬號密碼，然后ACG向Portal認(rèn)證服務(wù)器來確認(rèn)使用者的身份，認(rèn)證通過才可以自由訪問其它網(wǎng)站，而且用戶信息將被記錄。

圖1 我館主要網(wǎng)絡(luò)結(jié)構(gòu)和無線認(rèn)證實現(xiàn)流程

優(yōu)點：

Web承載在7層協(xié)議上，支持跨平臺，不需要特殊的客戶端軟件；

用戶在認(rèn)證前，不管是TELNET、FTP還是其它業(yè)務(wù)，必須使用瀏覽器進(jìn)行WEB認(rèn)證，防止匿名攻擊，保證網(wǎng)絡(luò)安全；

能夠通過支持三層協(xié)議的交換機(jī)，降低網(wǎng)絡(luò)重構(gòu)的工作量；

可以自己開發(fā)定制界面友好認(rèn)證界面和廣告投放界面。

缺點：

用戶連接性差，不容易檢測用戶離線，基于時間的計費較難實現(xiàn)；

認(rèn)證前后業(yè)務(wù)流和數(shù)據(jù)流無法區(qū)分。

由于我館實行零門檻無障礙的服務(wù)，所以無線網(wǎng)絡(luò)也不需要計費，不需要搭建RADIUS認(rèn)證服務(wù)器，采用的就是這種認(rèn)證方式，這樣做的好處就是最大限度地減少了對現(xiàn)有內(nèi)部網(wǎng)絡(luò)的重構(gòu)，以最低成本實現(xiàn)了電子閱覽室等公共區(qū)域無線網(wǎng)絡(luò)的實名認(rèn)證。

無線網(wǎng)絡(luò)認(rèn)證的原理

我館使用的是廣州圖創(chuàng)公司的Interlib圖書館集群自動化管理系統(tǒng)，業(yè)務(wù)數(shù)據(jù)庫管理軟件采用的是Oracle 10g。只需要通過數(shù)據(jù)庫連接代碼連接到Interlib數(shù)據(jù)庫，讀取到讀者信息數(shù)據(jù)表中的相關(guān)數(shù)據(jù)，再通過驗證程序進(jìn)行比較在通過認(rèn)證后傳送到ACG控制網(wǎng)關(guān)就能實現(xiàn)讀者的實名認(rèn)證與審計。

圖2 在核心交換機(jī)上配置鏡像端口和監(jiān)聽端口

圖3 指定監(jiān)聽端口，將外部認(rèn)證服務(wù)器的端口鏡像到ACG。

圖4 指定外部認(rèn)證服務(wù)器地址與認(rèn)證成功識別關(guān)鍵字

無線認(rèn)證的具體實現(xiàn)

包括認(rèn)證服務(wù)器的搭建，程序的開發(fā)調(diào)試，核心交換機(jī)的設(shè)置和ACG的第三方認(rèn)證功能的設(shè)置，步驟如下：

（一）服務(wù)器的環(huán)境搭建與Web程序開發(fā)（PHP語言）

1.settings運行環(huán)境版本信息

其中org.eclipse.php.cor e.prefs文件如下：

2.聲明函數(shù)文件說明

Common.inc.php核心函數(shù)庫、global.func.php常用函數(shù)、login.func.php登錄頁函數(shù)、oracle.func.php數(shù)據(jù)庫操作函數(shù)，由于篇幅有限，具體文件內(nèi)容請查詢《網(wǎng)絡(luò)運維與管理》雜志社官方網(wǎng)站IT運維網(wǎng)上的同名文章。

3.認(rèn)證頁面文件說明

（1）Code.php 生成驗證碼

（2）Config.php 登錄驗證

（3）Index.php 首頁

（4）isMobile.php 判斷手機(jī)或電腦端

（5）Mobile.php 手機(jī)端首頁

（6）Pc.php 電腦端首頁

由于篇幅有限，具體文件內(nèi)容請查詢《網(wǎng)絡(luò)運維與管理》雜志社官方網(wǎng)站IT運維網(wǎng)上的同名文章。

（二）交換機(jī)的配置與ACG第三方認(rèn)證的配置

我館使用了深信服AC-2000，它支持郵箱、微信、短信等多種認(rèn)證方式和第三方認(rèn)證服務(wù)器，并通過基于瀏覽器的認(rèn)證方式，方便了用戶的身份識別和認(rèn)證，并且有強(qiáng)大的監(jiān)控和審計功能，保護(hù)內(nèi)部數(shù)據(jù)安全、防止機(jī)密信息泄漏，如圖 2、3、4所示。