无线网络认证改造

实名制上网的问题源头：外来人员随意接入不会遵从上网规定，其不良行为风险将转嫁给接入单位；内部人员真实对应问题：无法将互联网行为和真实的人关联定位，无法在发现问题后对当事人进行及时的纠正，无法及时提醒当事人改正自己的行为。

无线网络认证的需要

公共图书馆作为公益的非经营性服务场所，馆内覆盖的无线网络和分布在电子阅览室等公共区域的自助查阅设备等都使图书馆内部网络直接暴露给外来的不确定身份的流动性人员，面临着很大的的安全风险；同时，需要接受公安网监部门的监管，读者上网的用户注册信息、登录时间、退出时间、登录IP地址、登录的读者证号、浏览网站的IP地址或域名、违法的聊天和发帖内容等，都需要具有至少两个月的记录备份，还需要通过上网行为审计设备向网监部门实时上传违法数据。

网络认证的几种方式

认证技术是AAA（认证，授权，计费）的初始步骤，目前主要的认证方式有以下三种 ：PPPoE、802.1X 和 Web Redirection 认证。三种方式有其产生的背景原因和技术特点，以下对这几种技术作一个简要的分析比较：

（一） PPPoE认证

通过PPPoE协议，互联网服务提供商可以在以太网上实现PPP协议的主要功能，包括采用各种灵活的方式管理用户。PPPoE协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。PPPoE的建立需要两个阶段，分别是搜寻阶段和点对点对话阶段。当一台主机希望启动一个PPPoE对话，它首先必须完成搜寻阶段以确定对端的以太网MAC地址，并建立一个PPPoE的对话号。搜寻阶段是一个客户-服务器的关系，主机和网络设备将拥有能够建立PPPoE的所有信息，这个阶段将在点对点对话建立之前一直存在。一旦点对点对话建立，主机和网络设备都必须为点对点对话阶段虚拟接口提供资源。

优点：最终用户相对较容易接收

缺点：PPP协议和Ether net技术本质上存在差异，PPP协议需要被再次封装到以太帧中，所以封装效率很低；PPPoE在发现阶段会产生大量的广播流量，对网络性能产生很大的影响；组播业务开展困难，而视频业务大部分是基于组播的；需要运营商提供客户终端软件，维护工作量过大；PPPoE认证一般需要外置BAS，认证完成后，业务数据流也必须经过BAS设备，容易造成单点瓶颈和故障，而且该设备通常非常昂贵。

（二）802.1X认证

优点：

802.1X协议为二层协议，不需要到达三层，而且接入层交换机无需支持802.1q的VLAN，对设备的整体性能要求不高，可以有效降低建网成本。

通过组播实现，解决其他认证协议广播问题，对组播业务的支持性好。业务报文直接承载在正常的二层报文上；用户通过认证后，业务流和认证流实现分离，对后续的数据包处理没有特殊要求。

缺点：

802.1X认证需要特定客户端软件；

网络现有楼层交换机的问题：由于802.1X是比较新的二层协议，要求楼道交换机支持认证报文透传或完成认证过程，因此在全面采用该协议的过程中，存在对已经在网上的用户交换机的升级处理问题；

IP地址分配和网络安全问题：802.1X协议是一个2层协议，只负责完成对用户端口的认证控制，对于完成端口认证后，用户进入三层IP网络后，需要继续解决用户IP地址分配、三层网络安全等问题，图创公司的无线认证采用的就是这种方式，无法满足我馆的实际需要。

（三）Web Redirection认证

这种方式是无线网络服务提供商最常用的方式。无线网络设置成开放模式，但另外在后台利用无线接入控制网关(ACG)，拦截移动终端发出的Web封包(开启浏览器尝试上网)，并强制重定向到认证网页要求输入账号密码，然后ACG向Portal认证服务器来确认使用者的身份，认证通过才可以自由访问其它网站，而且用户信息将被记录。

图1 我馆主要网络结构和无线认证实现流程

优点：

Web承载在7层协议上，支持跨平台，不需要特殊的客户端软件；

用户在认证前，不管是TELNET、FTP还是其它业务，必须使用浏览器进行WEB认证，防止匿名攻击，保证网络安全；

能够通过支持三层协议的交换机，降低网络重构的工作量；

可以自己开发定制界面友好认证界面和广告投放界面。

缺点：

用户连接性差，不容易检测用户离线，基于时间的计费较难实现；

认证前后业务流和数据流无法区分。

由于我馆实行零门槛无障碍的服务，所以无线网络也不需要计费，不需要搭建RADIUS认证服务器，采用的就是这种认证方式，这样做的好处就是最大限度地减少了对现有内部网络的重构，以最低成本实现了电子阅览室等公共区域无线网络的实名认证。

无线网络认证的原理

我馆使用的是广州图创公司的Interlib图书馆集群自动化管理系统，业务数据库管理软件采用的是Oracle 10g。只需要通过数据库连接代码连接到Interlib数据库，读取到读者信息数据表中的相关数据，再通过验证程序进行比较在通过认证后传送到ACG控制网关就能实现读者的实名认证与审计。

图2 在核心交换机上配置镜像端口和监听端口

图3 指定监听端口，将外部认证服务器的端口镜像到ACG。

图4 指定外部认证服务器地址与认证成功识别关键字

无线认证的具体实现

包括认证服务器的搭建，程序的开发调试，核心交换机的设置和ACG的第三方认证功能的设置，步骤如下：

（一）服务器的环境搭建与Web程序开发（PHP语言）

1.settings运行环境版本信息

其中org.eclipse.php.cor e.prefs文件如下：

2.声明函数文件说明

Common.inc.php核心函数库、global.func.php常用函数、login.func.php登录页函数、oracle.func.php数据库操作函数，由于篇幅有限，具体文件内容请查询《网络运维与管理》杂志社官方网站IT运维网上的同名文章。

3.认证页面文件说明

（1）Code.php 生成验证码

（2）Config.php 登录验证

（3）Index.php 首页

（4）isMobile.php 判断手机或电脑端

（5）Mobile.php 手机端首页

（6）Pc.php 电脑端首页

由于篇幅有限，具体文件内容请查询《网络运维与管理》杂志社官方网站IT运维网上的同名文章。

（二）交换机的配置与ACG第三方认证的配置

我馆使用了深信服AC-2000，它支持邮箱、微信、短信等多种认证方式和第三方认证服务器，并通过基于浏览器的认证方式，方便了用户的身份识别和认证，并且有强大的监控和审计功能，保护内部数据安全、防止机密信息泄漏，如图 2、3、4所示。