摘 ?要：作為城市的“第五公用基礎設施”，無線網(wǎng)絡現(xiàn)在已經(jīng)成為衡量一個城市的整體運行效率的重要尺度。構(gòu)建安全可靠的安全認證管理平臺，有益于增強無線網(wǎng)絡可信度和提高政府形象。無線城市認證和門戶平臺為接入城市無線局域網(wǎng)的用戶提供安全認證登錄。平臺提供統(tǒng)一的認證頁面，頁面設計簡潔大方，采用統(tǒng)一標識并體現(xiàn)城市地方特色。另外，在認證頁面上提供技術(shù)支持文字，包括運營商單位名稱及客服電話。

關鍵詞：無線城市;無線網(wǎng)絡;安全認證

中圖分類號：TN925 ? ? 文獻標識碼：A 文章編號：2096-4706（2020）12-0151-03

Abstract：As the “fifth public infrastructure” of a city，wireless cities have now become an important measure of the overall operational efficiency of a city. Building a safe and reliable security certification management platform is conducive to enhancing the credibility of the wireless network and the display of government image. The wireless city authentication and portal platform provides secure authentication login for users who access the city wireless LAN. The platform provides a unified authentication page. The page design is simple and elegant，adopting a unified logo and reflecting the local characteristics of the city. In addition，provide technical support text on the certification page，including the name of the operator unit and customer service phone.

Keywords：wireless city;wireless network;safety certification

0 ?引 ?言

城市無線網(wǎng)絡已成為信息化社會城市經(jīng)濟發(fā)展必不可少的基礎網(wǎng)絡設施，是城市運營的必要條件，本公司基于中國移動Portal V2.0.0協(xié)議對無線城市安全認證架構(gòu)與方法進行了研究。大力推進公共場所的無線局域網(wǎng)建設，對提升城市功能服務質(zhì)量、滿足市民日益增長的信息消費增長需求具有重要意義。無線網(wǎng)絡給社會帶來的不僅僅是對未來豐富多彩的網(wǎng)絡生活的憧憬，更重要的是帶來了強大的社會發(fā)展新動力。因此，無線城市已成為未來信息化城市的發(fā)展方向。

城市無線局域網(wǎng)安全認證管理平臺旨在為城市公共場所的無線局域網(wǎng)用戶提供安全認證平臺、移動互聯(lián)網(wǎng)應用平臺，構(gòu)建集政務、商務、民生服務一體的綜合性無線應用環(huán)境，深化無線網(wǎng)絡在政務、企業(yè)、民生、文化、經(jīng)濟等方面的應用。重點建設內(nèi)容包括：認證和門戶平臺、無線接入認證推送平臺、內(nèi)容發(fā)布平臺、數(shù)據(jù)統(tǒng)計及運營平臺、大數(shù)據(jù)平臺、安全審計平臺、網(wǎng)管和運維平臺、移動互聯(lián)網(wǎng)應用平臺等。其中認證和門戶平臺為接入城市無線局域網(wǎng)的用戶提供安全認證登錄，是本文的重點。

1 ?需求分析

認證和門戶平臺的安全認證系統(tǒng)在設計時須考慮以下關鍵需求。

（1）包含RADIUS系統(tǒng)，支持標準RADIUS協(xié)議，支持標準的Portal協(xié)議或者中國移動WLAN業(yè)務Portal V2.0.0協(xié)議。

（2）認證方式具備手機短信、微信、QQ、本機號碼一鍵登錄、微博、無感知認證、AC認證和BRAS認證等認證方式。

（3）手機號認證需支持獲取驗證碼認證方式，短信通道支持中國移動、中國聯(lián)通、中國電信手機號碼。

（4）支持已經(jīng)注冊過的手機號碼用戶，在再次登錄時不需要重新獲取驗證碼即可登錄，其他覆蓋同類設備區(qū)域的登錄也不需重新獲取驗證碼。

（5）為降低出口鏈路處的單點故障、實現(xiàn)后期無縫擴容，部署的認證系統(tǒng)采取旁路部署模式。

（6）支持基于MAC地址/用戶手機號的認證黑白名單，列入黑名單的用戶無法通過認證。

（7）支持存量AP認證和增量AP認證。

2 ?安全認證架構(gòu)總體設計

認證和門戶平臺為接入城市無線局域網(wǎng)的用戶提供安全認證登錄。平臺提供統(tǒng)一的認證頁面，頁面設計簡潔大方，采用統(tǒng)一標識體現(xiàn)城市地方特色。另外，在認證頁面上提供技術(shù)支持文字，包括運營商單位名稱及客服電話。無線城市技術(shù)架構(gòu)如圖1所示。

3 ?安全認證架構(gòu)硬件設計

3.1 ?存量AP的認證

存量AP的認證包括兩種方式，若存量AC工作在二層則采用BRAS認證方式，若存量AC工作在三層則采用AC認證方式。

（1）如存量AP為胖AP部署，或存量AC為二層部署，旁掛于主干鏈路中，認證流程如下。

1）在網(wǎng)絡出口添加認證及推送BRAS網(wǎng)關。

2）存量AP設備向新增BRAS網(wǎng)關發(fā)起HTTP認證上網(wǎng)請求。

3）BRAS網(wǎng)關將存量AP上網(wǎng)請求重定向到Portal推送系統(tǒng)，Portal向RADIUS系統(tǒng)提交驗證請求，RADIUS系統(tǒng)校驗賬號密碼合法性后，將校驗結(jié)果返回到Portal。

4）Portal系統(tǒng)將Portal頁面及認證結(jié)果傳至BRAS網(wǎng)關（采用中國移動WLAN業(yè)務Portal V2.0.0協(xié)議或標準的Portal協(xié)議）。

5）BRAS網(wǎng)關將Portal頁面及認證結(jié)果反饋至增量AP，如認證通過存量AP即正常接入網(wǎng)絡，如認證不通過將在Portal頁面上發(fā)出錯誤提示。

（2）如存量AP采用瘦AP部署方式，且存量AC屬于三層部署，認證流程如下。

1）直接通過存量AC進行認證，存量AC將AP重定向到Portal推送系統(tǒng)，Portal向RADIUS提交驗證請求，RADIUS返回認證結(jié)果至Portal。

2）RADIUS系統(tǒng)將認證結(jié)果發(fā)至Portal推送系統(tǒng)。

3）Portal推送系統(tǒng)通過中國移動WLAN業(yè)務Portal V2.0.0協(xié)議或標準的Portal協(xié)議將推送頁面及認證結(jié)果發(fā)至存量AC。

4）存量AC將推送頁面及認證結(jié)果反饋至存量AP，如認證通過存量AP即正常接入網(wǎng)絡，如認證不通過將在Portal頁面上發(fā)出錯誤提示。

3.2 ?增量AP認證

增量AP認證與存量AP類似，有兩種方式，若存量AC工作在二層則采用BRAS認證方式，若新建存量AC工作在三層則采用AC認證方式。

（1）如增量AP為胖AP部署，認證流程如下。

1）在網(wǎng)絡出口添加認證及推送BRAS網(wǎng)關。

2）增量AP向BRAS發(fā)起認證上網(wǎng)請求。

3）BRAS將增量AP上網(wǎng)請求重定向到Portal系統(tǒng)，Portal系統(tǒng)將驗證請求提交至RADIUS認證系統(tǒng)，RADIUS認證系統(tǒng)將驗證結(jié)果返回至Portal系統(tǒng)。

4）Portal系統(tǒng)將Portal頁面及認證結(jié)果傳至BRAS網(wǎng)關（通過中國移動WLAN業(yè)務Portal V2.0.0協(xié)議）。

5）BRAS網(wǎng)關將Portal頁面及認證結(jié)果反饋至增量AP，如認證通過增量AP即正常接入網(wǎng)絡，如認證不通過將在Portal頁面上發(fā)出錯誤提示。

（2）如增量AP為瘦AP部署，認證流程如下。

1）增量AP設備經(jīng)過本地交換路由接入公網(wǎng)。

2）AP設備用DNS發(fā)現(xiàn)的方式尋找云AC，并將用戶的認證信息發(fā)至云AC。

3）云AC將HTTP認證請求信息重定向到Portal系統(tǒng)（采用移動Portal V2.0.0協(xié)議），Portal系統(tǒng)向RADIUS認證系統(tǒng)提交驗證請求，RADIUS進行驗證并把驗證結(jié)果返回至Portal。

4）Portal系統(tǒng)將Portal頁面及認證結(jié)果傳至云AC（采用中國移動WLAN業(yè)務Portal V2.0.0協(xié)議）。

5）云AC將Portal頁面及認證結(jié)果反饋至增量AP（采用CAPWAP協(xié)議），如認證通過AP即正常接入網(wǎng)絡，如認證不通過將在Portal頁面上發(fā)出錯誤提示。

4 ?安全認證架構(gòu)功能設計

4.1 ?多維化用戶安全認證

公眾可使用手機、平板電腦、筆記本電腦等移動終端設備，通過手機短信、微信、QQ、APP無感知、一鍵登錄、微博等方式實現(xiàn)安全認證。

（1）手機短信Web認證：手機短信Web認證支持三大運營商手機用戶，各運營商手機用戶都可享受同等服務。手機號認證支持動態(tài)驗證碼認證方式，短信通道支持中國移動、中國聯(lián)通、中國電信手機號碼。認證平臺認證通過后記錄用戶的手機號碼，下次該手機用戶再次登錄時不需要重新獲取驗證碼即可登錄，其他覆蓋同類設備區(qū)域的登錄也不需要重新獲取驗證碼。用戶的手機、平板電腦、筆記本電腦等多臺設備可使用同一個手機號碼登錄。但若用戶手機號碼被列入黑名單，則該用戶無法通過認證;若用戶手機號碼被列入白名單，則該用戶無需認證即可登錄。

（2）APP無感知認證：安全認證平臺統(tǒng)一提供給Wi-Fi用戶進行上網(wǎng)認證的撥號客戶端APP，用戶通過該APP進行實名注冊后通過用戶名、密碼進行上網(wǎng)認證。該APP客戶端具備區(qū)域內(nèi)覆蓋Wi-Fi網(wǎng)絡熱點查看、網(wǎng)絡接入等功能。通過該APP，用戶能夠查看覆蓋當前區(qū)域的所有無線熱點賬號以及各個賬號的信號強度。用戶可選擇某個信號較強的賬號，經(jīng)安全認證后可接入網(wǎng)絡，當然用戶也可以通過APP實現(xiàn)接入賬號的快速切換。

（3）一鍵登錄認證：無線局域網(wǎng)安全認證平臺支持用戶在瀏覽過Portal內(nèi)容后，不需要輸入任何認證信息，點擊“登錄”按鈕后實現(xiàn)一鍵登錄認證上網(wǎng)（實際上后臺默認采用一組固定用戶名和密碼進行登錄校驗，通過認證后返回登錄成功提示）。該認證方式從用戶體驗來說較為簡捷。

（4）微信認證：用戶通過關注“無線城市”微信公眾賬號，直接實現(xiàn)認證通過后上網(wǎng)。

（5）QQ認證：無線局域網(wǎng)安全認證平臺支持用戶通過QQ號和密碼進行關聯(lián)登錄，實現(xiàn)互聯(lián)網(wǎng)的接入和訪問。通過該方式進行認證登錄，支持用戶轉(zhuǎn)發(fā)指定消息到其QQ空間或騰訊微博。

（6）微博認證：無線局域網(wǎng)安全認證平臺也支持用戶通過微博賬號、密碼進行關聯(lián)登錄，實現(xiàn)互聯(lián)網(wǎng)的接入。通過該方式進行認證登錄，支持用戶轉(zhuǎn)發(fā)指定消息到其微博主頁。

4.2 ?安全認證后臺管理

（1）用戶信息管理：通過后臺對用戶信息進行管理，包括用戶類型、計費規(guī)則、上網(wǎng)時長等。通過該平臺可以對同一用戶賬號（包括同一手機號、同一QQ賬號、同一微信號、同一微博賬號等）添加多個IP地址/MAC地址，實現(xiàn)多個終端共用同一賬號進行網(wǎng)絡接入，包括手機、PAD、筆記本電腦等不同的終端。

（2）黑名單/白名單管理：支持基于用戶手機號或MAC地址的認證黑/白名單管理，將可疑的手機號碼、MAC地址加入黑名單，則該用戶無法通過認證并接入網(wǎng)絡。另外也支持將信任的手機號碼、MAC地址加入白名單，則用戶無需認證即可接入網(wǎng)絡。

（3）認證短信管理：手機認證短信具有中國移動、中國聯(lián)通、中國電信三家獨立短信發(fā)送端口。通過后端管理平臺支持對認證短信的內(nèi)容進行修改、刪除等操作。系統(tǒng)具備5套不同的短信模板可供選擇使用，管理者可以自定義認證短信內(nèi)容，并可以對模板內(nèi)容進行審核，未審核通過的短信模板不允許使用。

（4）Portal兼容性：系統(tǒng)推送的Portal認證頁面通過判斷不同終端屬性，包括操作系統(tǒng)、瀏覽器、分辨率、終端型號等，按照不同的終端設置分辨率，推送適當分辨率的認證頁面。

（5）跳轉(zhuǎn)網(wǎng)站設置：系統(tǒng)支持設置指定的跳轉(zhuǎn)網(wǎng)站，包括用戶認證前放通指定網(wǎng)站、認證完成后跳轉(zhuǎn)的網(wǎng)站地址。設置完成后，用戶在認證完成前系統(tǒng)將插播指定網(wǎng)站的頁面內(nèi)容，認證完成后將直接跳轉(zhuǎn)到預設的網(wǎng)絡鏈接。

（6）上網(wǎng)帶寬參數(shù)設置：通過后臺可以設置單個用戶的最大上網(wǎng)帶寬，實現(xiàn)基于用戶的帶寬限制，防止因為個別用戶下載或看視頻占據(jù)大流量而導致其他用戶無法正常上網(wǎng)的情況，并可以根據(jù)不同用戶調(diào)整不同的限制策略。

（7）上網(wǎng)時長參數(shù)設置：通過后端管理平臺可設置免費上網(wǎng)時長。管理者能夠設定用戶認證成功后單次上網(wǎng)時長，用戶到上網(wǎng)時間后自動下線，如要繼續(xù)上網(wǎng)需要再次認證和瀏覽廣告、觀看信息，然后再登錄上網(wǎng)，達到加強廣告效果的目的。

（8）強制用戶下線：系統(tǒng)支持強制用戶下線功能。如發(fā)現(xiàn)用戶有惡意操作行為，管理員可以通過后端管理平臺強制該用戶下線。

4.3 ?統(tǒng)一門戶平臺

系統(tǒng)提供無線城市門戶平臺，在門戶平臺上可查看城市人文情況介紹、時事新聞、政策動向、政務民生、商業(yè)消費等信息。同時集成移動互聯(lián)網(wǎng)應用平臺，為用戶提供便捷、實用、智能化的移動互聯(lián)網(wǎng)服務入口。

5 ?結(jié) ?論

本文研究了城市無線局域網(wǎng)安全認證管理平臺的重點建設內(nèi)容，給出了無線城市安全認證技術(shù)架構(gòu)。根據(jù)對無線城市安全認證系統(tǒng)的需求調(diào)研，詳細研究設計了認證和門戶平臺，研究內(nèi)容包括平臺的業(yè)務流程、硬件設備認證流程以及平臺功能。構(gòu)建安全可靠的安全認證管理平臺，增強無線網(wǎng)絡可信度和提升政府形象，為政府、企業(yè)、公眾等用戶提供集政務、商務、民生服務一體的綜合性無線應用環(huán)境，深化無線網(wǎng)絡在政務、企業(yè)、民生、文化、經(jīng)濟等方面應用，方便市民生活，提高企業(yè)經(jīng)營業(yè)績，提升政府管理水平。

參考文獻：

[1] 全國信息技術(shù)標準化技術(shù)委員會.信息技術(shù) 系統(tǒng)間遠程通信和信息交換 局域網(wǎng)和城域網(wǎng) 特定要求 第11部分：無線局域網(wǎng)媒體訪問控制和物理層規(guī)范：GB 15629.11-2003 [S].北京：中國標準出版社，2004.

[2] 中國通信標準化協(xié)會.公眾無線局域網(wǎng)網(wǎng)絡管理 第2部分：網(wǎng)絡管理系統(tǒng)功能要求：YD/T 2615.2-2013 [S].北京：人民郵電出版社，2013.

[3] 新華社.中共中央辦公廳、國務院辦公廳印發(fā)《2006-2020年國家信息化發(fā)展戰(zhàn)略》 [EB/OL].（2006-05-08）.http：//www.gov.cn/jrzg/2006-05/08/content_275560.htm.

[4] 國務院.國務院關于加快培育和發(fā)展戰(zhàn)略性新興產(chǎn)業(yè)的決定 [EB/OL].（2010-10-18）. http：//www.gov.cn/zwgk/20 10-10/18/content_1724848.htm.

[5] 公安部信息系統(tǒng)安全標準化技術(shù)委員會.互聯(lián)網(wǎng)信息服務系統(tǒng)安全保護技術(shù)措施技術(shù)要求：GA 611-2006 [S].北京：中國標準出版社，2006.

作者簡介：展昭（1989.09—），男，漢族，安徽蚌埠人，系統(tǒng)架構(gòu)師，本科，研究方向：智慧城市軟件系統(tǒng)架構(gòu)。