文/李子木 楊家海 傅怡琦 張慧琳 杜小江 劉乃嘉

所有入網(wǎng)場景通過自服務(wù)方式提供技術(shù)支持，在保障網(wǎng)絡(luò)安全的同時，最大程度簡化入網(wǎng)流程，縮短開戶時間，提升來訪客人用戶體驗。

隨著校園無線網(wǎng)建設(shè)的快速發(fā)展，無線網(wǎng)已經(jīng)成為校園用戶的主要接入手段，但是對于很多來校進行短期訪問的國內(nèi)外客人，由于涉及到開戶銷戶、安全認(rèn)證、訪問權(quán)限、上網(wǎng)繳費等多方面因素，目前很多校園無線網(wǎng)并不能為這類用戶提供方便的接入服務(wù)。清華大學(xué)作為接待國內(nèi)外來訪客人較多的學(xué)校之一，在這方面進行了有益嘗試，建立了一套較為完善的自助式無線訪客系統(tǒng)，為多種場景下的來訪用戶提供了方便的入網(wǎng)手段，在加強安全管控的同時，提高了來訪客人入網(wǎng)效率，減輕了管理員負(fù)擔(dān)，提升了學(xué)校對外形象，取得了很好的使用效果。

需求分析

1.現(xiàn)狀分析

清華大學(xué)校園無線網(wǎng)主要設(shè)計目標(biāo)是為校內(nèi)師生提供服務(wù)，此前沒有專門面向來訪客人的服務(wù)系統(tǒng)。來訪客人若需要接入校園網(wǎng)，需要校內(nèi)受訪人提出書面申請，由信息技術(shù)中心審核來訪人身份信息，然后為來訪人創(chuàng)建臨時賬號，整個開戶流程相對繁瑣，時間較長，增加了校內(nèi)受訪人的時間精力和體力負(fù)擔(dān)。

2.基本原則

通過現(xiàn)狀分析，清華大學(xué)對無線訪客系統(tǒng)提出了兩點基本建設(shè)原則：安全、簡便。

無線訪客系統(tǒng)要求以來訪人實名信息為基礎(chǔ)實現(xiàn)準(zhǔn)入認(rèn)證，輔以校內(nèi)受訪人簽名方式實現(xiàn)來訪人身份驗證和上網(wǎng)行為約束，所有入網(wǎng)場景通過自服務(wù)方式提供技術(shù)支持，在保障網(wǎng)絡(luò)安全的同時，最大程度簡化入網(wǎng)流程，縮短開戶時間，提升來訪客人用戶體驗。

3.客人分類

經(jīng)過梳理，我們將來訪客人劃歸為三類，他們來校入網(wǎng)目的不同，資源訪問需求也不盡相同：

訪客（Guest）：主要指來校學(xué)習(xí)交流的受邀客人，此類客人由校內(nèi)受訪人接待，且一般需要訪問校內(nèi)資源；

游客（Visitor）：主要指來校旅游的客人，此類客人沒有校內(nèi)受訪人，也無需訪問清華大學(xué)校內(nèi)資源；

漫游客（Eduroam）：特指來訪的Eduroam 聯(lián)盟成員用戶，此類客人已經(jīng)在其當(dāng)?shù)貦C構(gòu)開通Eduroam 賬號，來校入網(wǎng)目的主要是接入互聯(lián)網(wǎng)，一般不需要訪問校內(nèi)資源。

4.開戶場景

為了提高來訪客人的入網(wǎng)體驗，需要從多個維度考慮開戶場景，并進行針對性設(shè)計。這些維度因素包括：來訪人是單人還是團體、有無受訪人接待、受訪人是否在現(xiàn)場、客人來自國內(nèi)還是國外、是否需要訪問校內(nèi)資源等，對來訪人開戶入網(wǎng)場景的基本總結(jié)見表1。

其中，“訪客（Guest）”場景最為復(fù)雜。這類客人一般是受邀來訪，可能來自國內(nèi)外，有校內(nèi)受訪人進行接待。按照國家對實名上網(wǎng)的要求，來訪客人需要進行實名登記（例如使用國內(nèi)運營商注冊的手機號碼），這種情況下系統(tǒng)必須要考慮到國內(nèi)外訪客在實名信息和語言文字方面的差別。當(dāng)訪客到達(dá)學(xué)校后需要現(xiàn)場進行實名信息登記和實時開戶，此時如果受訪人在現(xiàn)場，則可以采用掃描二維碼的方式方便地為訪客開戶；如果受訪人不在客人旁邊，則需要通過遠(yuǎn)距離技術(shù)手段及時驗證訪客身份并為其實時開戶。為了縮短訪客現(xiàn)場實時開戶時間，受訪人可能希望在訪客到達(dá)學(xué)?，F(xiàn)場之前就能夠為其開戶，因此系統(tǒng)需要同時提供非現(xiàn)場提前開戶的技術(shù)手段。另外，學(xué)校里經(jīng)常舉行各類國內(nèi)外學(xué)術(shù)會議和技術(shù)交流，參會人員有時多達(dá)百人。這種場景下一般由會議組織者提前收集參會人員信息并提前進行批量開戶，但即使如此，也很可能會有臨時人員直接到達(dá)現(xiàn)場參會并要求上網(wǎng)，因此系統(tǒng)不僅需要為此類特殊情況提供方便的現(xiàn)場入網(wǎng)支持，而且還需要將這些現(xiàn)場開戶的臨時人員與之前參與同一活動的批量開戶人員進行關(guān)聯(lián)，以方便會議組織者對本次活動的所有參會人員入網(wǎng)信息進行集中管理。在上述開戶場景中，需要由受訪人決定訪客是否可以訪問校內(nèi)資源，并對訪客進行授權(quán)。

表1 來訪客人開戶場景

“游客（Visitor）”場景最為簡單，只面向具有國內(nèi)手機號的客人，采用手機號作為來訪人實名信息，且只能來校后現(xiàn)場開戶，不提供提前開戶手段，也不能訪問校內(nèi)資源。

“漫游客（Eduroam）”場景只為Eduroam 聯(lián)盟成員機構(gòu)下屬的已經(jīng)具有Eduroam 賬號的來訪人提供服務(wù)。來訪人到校后通過關(guān)聯(lián)校園無線網(wǎng)發(fā)布的“Eduroam”信號進行個人實名信息登記（此處需要考慮國內(nèi)外語言文字和個人證件信息方面的差別，并進行針對性設(shè)計），由受訪人驗證通過后即可接入校園網(wǎng)。為了提高用戶體驗，受訪人也可以在來訪人到校之前通過無線訪客系統(tǒng)自服務(wù)平臺為其Eduroam 賬號登記實名信息，來訪人到校后可直接接入校園網(wǎng)實現(xiàn)無感知入網(wǎng)。

系統(tǒng)設(shè)計

1.權(quán)力下放，提升開戶效率

圖1 訪客開戶模型的演進

圖2 無線訪客系統(tǒng)架構(gòu)和認(rèn)證流程

從前一章描述中可以看到，同現(xiàn)有校園網(wǎng)相比，無線訪客系統(tǒng)最大的改進是在訪客開戶環(huán)節(jié)。如圖1 所示，無線訪客系統(tǒng)在傳統(tǒng)校園網(wǎng)開戶流程中增加了“受訪人”角色，將傳統(tǒng)由信息技術(shù)中心負(fù)責(zé)的訪客身份驗證審核工作分權(quán)下放給了校內(nèi)受訪人，不需要親臨信息技術(shù)中心現(xiàn)場，訪客即可在受訪人的協(xié)助下自助完成身份審核與開戶，大幅提高了訪客入網(wǎng)開戶效率（圖中不同訪客圖標(biāo)代表了不同類型不同場景的來訪客人）。

2.系統(tǒng)獨立，保證安全可控

在“訪客-受訪人-信息技術(shù)中心”三級模型下，無線訪客系統(tǒng)在安全保護、網(wǎng)絡(luò)部署、業(yè)務(wù)連續(xù)性、場景自服務(wù)等方面進行了綜合考慮和全新設(shè)計，采用獨立網(wǎng)絡(luò)、獨立管控、雙機冗余、增量部署的方式與校園網(wǎng)無縫對接，全程實名，追溯到賬號，保證了訪客上網(wǎng)行為的安全可控，并實現(xiàn)了首次認(rèn)證后的全過程無感知入網(wǎng)。

圖2 為無線訪客系統(tǒng)架構(gòu)示意圖，無線訪客系統(tǒng)針對三類來訪人廣播三個不同的SSID：Guest、Visior 和Eduroam，來訪人關(guān)聯(lián)相應(yīng)SSID 后系統(tǒng)會全自動引導(dǎo)用戶通過實名身份驗證接入校園網(wǎng)，圖中不同顏色線段示意了不同場景下的準(zhǔn)入認(rèn)證流程。

3.細(xì)節(jié)優(yōu)化，提升用戶體驗

圖3-1 訪客實名自助登記 圖3-2 訪客狀態(tài)自助查詢 圖3-3 受訪人的自服務(wù)主頁

圖3-4 受訪人管理訪客 圖3-5 受訪人賬戶信息 圖3-6 受訪人為訪客預(yù)開戶

考慮到短期來訪的校外客人對校園網(wǎng)使用方式不熟悉，因此無線訪客系統(tǒng)對開戶、認(rèn)證、繳費、管理的每個操作環(huán)節(jié)都進行了充分研究，在界面布局、信息提示和操作引導(dǎo)方面進行了專業(yè)設(shè)計，對自助服務(wù)進行了極致優(yōu)化，無論來訪人還是受訪人，無論專業(yè)IT 人士還是非專業(yè)人士都可以無障礙地完成整個入網(wǎng)過程操作，而無需信息技術(shù)中心的介入，極大提升了用戶體驗。圖3 給出了部分用戶使用界面，可以看出無線訪客系統(tǒng)在用戶體驗方面進行了較為充分的考慮。

使用效果

傳統(tǒng)的校園網(wǎng)用戶管理系統(tǒng)，主要面向校內(nèi)師生提供服務(wù)，沒有考慮訪客的上網(wǎng)特點和需求，這導(dǎo)致訪客與校內(nèi)師生在開戶流程上沒有明顯區(qū)別、訪客與校內(nèi)師生的上網(wǎng)權(quán)限不易區(qū)分，兩類人群混在一起，增加了管理難度和復(fù)雜度。

以往的訪客身份驗證和開戶規(guī)則，其實是把訪客對網(wǎng)絡(luò)訪問的安全責(zé)任交給了信息技術(shù)中心負(fù)責(zé)。在訪客數(shù)量激增后，訪客上網(wǎng)的安全審計和溯源難度增加，一旦出現(xiàn)網(wǎng)絡(luò)安全事件，真正的責(zé)任人追溯比較困難，加大了信息技術(shù)中心的安全責(zé)任。

新無線訪客系統(tǒng)設(shè)計為獨立的平臺，具備獨立的IP 地址池和獨立的訪客數(shù)據(jù)庫，有獨立的上網(wǎng)審計，獨立的管理系統(tǒng)，完全實現(xiàn)了訪客與本校師生的區(qū)分管理。同時，新系統(tǒng)引入校內(nèi)受訪人作為審核員，將以往信息技術(shù)中心的審核和開戶工作分配至各受訪人。訪客實名信息由受訪人負(fù)責(zé)驗證并對訪客上網(wǎng)行為進行背書，提高了受訪人與訪客的安全上網(wǎng)意識。新無線訪客系統(tǒng)讓以往頗受詬病的入網(wǎng)方式成為歷史，把簡單而又重復(fù)性高的審核和開戶工作分配給受訪人之后，信息技術(shù)中心可以把更多精力聚焦于核心的數(shù)據(jù)存儲和系統(tǒng)管理上，運維工作效率得以大幅提升。

圖4 在線情況

圖5 使用流量

圖6 使用時長

在用戶體驗方面，新無線訪客系統(tǒng)同時支持游客、訪客和Eduroam 漫游；支持預(yù)開戶和現(xiàn)場實時開戶；支持個人訪客、小型會議或大型集會等多種場景。受訪人可以快速開通訪客的入網(wǎng)賬號，無需信息技術(shù)中心介入，大大簡化了入網(wǎng)流程。與此同時，受訪人通過登錄自服務(wù)系統(tǒng)，能夠全面了解訪客的上網(wǎng)狀態(tài)（例如是否在線、登錄時間、賬號有效期等），并可以及時做出相應(yīng)管控。訪客入網(wǎng)不再受制于信息技術(shù)中心的審批效率，極速開通即刻上網(wǎng)。完成初次實名驗證后，后續(xù)上網(wǎng)達(dá)到無感知。

新無線訪客系統(tǒng)具有頁面自適應(yīng)、業(yè)務(wù)自助化、支付寶或微信實時充值、虛擬錢包、中英文界面等特色功能，把用戶體驗做到了細(xì)處。自年初正式投入運行以來，無線訪客系統(tǒng)已經(jīng)服務(wù)4萬余名來訪客人，服務(wù)時長超過8 萬小時，并為校慶活動提供了有力支持，作為學(xué)校對外服務(wù)窗口之一，獲得了良好口碑和美譽度，進一步提升了清華大學(xué)的國內(nèi)外形象。圖4～6 為基本運行情況截圖。

清華大學(xué)無線訪客系統(tǒng)極大加強了對“訪客”這類特殊人群的服務(wù)能力，但是目前該系統(tǒng)只支持IPv4。隨著IPv6 應(yīng)用的逐漸發(fā)展，無線訪客系統(tǒng)如何支持IPv6 用戶認(rèn)證、如何無感知支持IPv4/IPv6 雙棧用戶入網(wǎng)、如何解決安卓無線終端IPv6 地址不斷變化的難題、如何對IPv6 地址進行審計和追溯，都將是無線訪客系統(tǒng)的下一步工作重點。無線訪客系統(tǒng)將在IPv6 方面加強研究，爭取早日提供完善的雙棧接入能力，將無線訪客系統(tǒng)打造為全場景服務(wù)系統(tǒng)，全面提升系統(tǒng)服務(wù)能力。