無線城市安全認證架構與方法研究

摘 ?要：作為城市的“第五公用基礎設施”，無線網絡現在已經成為衡量一個城市的整體運行效率的重要尺度。構建安全可靠的安全認證管理平臺，有益于增強無線網絡可信度和提高政府形象。無線城市認證和門戶平臺為接入城市無線局域網的用戶提供安全認證登錄。平臺提供統一的認證頁面，頁面設計簡潔大方，采用統一標識并體現城市地方特色。另外，在認證頁面上提供技術支持文字，包括運營商單位名稱及客服電話。

關鍵詞：無線城市;無線網絡;安全認證

中圖分類號：TN925 ? ? 文獻標識碼：A 文章編號：2096-4706（2020）12-0151-03

Abstract：As the “fifth public infrastructure” of a city，wireless cities have now become an important measure of the overall operational efficiency of a city. Building a safe and reliable security certification management platform is conducive to enhancing the credibility of the wireless network and the display of government image. The wireless city authentication and portal platform provides secure authentication login for users who access the city wireless LAN. The platform provides a unified authentication page. The page design is simple and elegant，adopting a unified logo and reflecting the local characteristics of the city. In addition，provide technical support text on the certification page，including the name of the operator unit and customer service phone.

Keywords：wireless city;wireless network;safety certification

0 ?引 ?言

城市無線網絡已成為信息化社會城市經濟發展必不可少的基礎網絡設施，是城市運營的必要條件，本公司基于中國移動Portal V2.0.0協議對無線城市安全認證架構與方法進行了研究。大力推進公共場所的無線局域網建設，對提升城市功能服務質量、滿足市民日益增長的信息消費增長需求具有重要意義。無線網絡給社會帶來的不僅僅是對未來豐富多彩的網絡生活的憧憬，更重要的是帶來了強大的社會發展新動力。因此，無線城市已成為未來信息化城市的發展方向。

城市無線局域網安全認證管理平臺旨在為城市公共場所的無線局域網用戶提供安全認證平臺、移動互聯網應用平臺，構建集政務、商務、民生服務一體的綜合性無線應用環境，深化無線網絡在政務、企業、民生、文化、經濟等方面的應用。重點建設內容包括：認證和門戶平臺、無線接入認證推送平臺、內容發布平臺、數據統計及運營平臺、大數據平臺、安全審計平臺、網管和運維平臺、移動互聯網應用平臺等。其中認證和門戶平臺為接入城市無線局域網的用戶提供安全認證登錄，是本文的重點。

1 ?需求分析

認證和門戶平臺的安全認證系統在設計時須考慮以下關鍵需求。

（1）包含RADIUS系統，支持標準RADIUS協議，支持標準的Portal協議或者中國移動WLAN業務Portal V2.0.0協議。

（2）認證方式具備手機短信、微信、QQ、本機號碼一鍵登錄、微博、無感知認證、AC認證和BRAS認證等認證方式。

（3）手機號認證需支持獲取驗證碼認證方式，短信通道支持中國移動、中國聯通、中國電信手機號碼。

（4）支持已經注冊過的手機號碼用戶，在再次登錄時不需要重新獲取驗證碼即可登錄，其他覆蓋同類設備區域的登錄也不需重新獲取驗證碼。

（5）為降低出口鏈路處的單點故障、實現后期無縫擴容，部署的認證系統采取旁路部署模式。

（6）支持基于MAC地址/用戶手機號的認證黑白名單，列入黑名單的用戶無法通過認證。

（7）支持存量AP認證和增量AP認證。

2 ?安全認證架構總體設計

認證和門戶平臺為接入城市無線局域網的用戶提供安全認證登錄。平臺提供統一的認證頁面，頁面設計簡潔大方，采用統一標識體現城市地方特色。另外，在認證頁面上提供技術支持文字，包括運營商單位名稱及客服電話。無線城市技術架構如圖1所示。

3 ?安全認證架構硬件設計

3.1 ?存量AP的認證

存量AP的認證包括兩種方式，若存量AC工作在二層則采用BRAS認證方式，若存量AC工作在三層則采用AC認證方式。

（1）如存量AP為胖AP部署，或存量AC為二層部署，旁掛于主干鏈路中，認證流程如下。

1）在網絡出口添加認證及推送BRAS網關。

2）存量AP設備向新增BRAS網關發起HTTP認證上網請求。

3）BRAS網關將存量AP上網請求重定向到Portal推送系統，Portal向RADIUS系統提交驗證請求，RADIUS系統校驗賬號密碼合法性后，將校驗結果返回到Portal。

4）Portal系統將Portal頁面及認證結果傳至BRAS網關（采用中國移動WLAN業務Portal V2.0.0協議或標準的Portal協議）。

5）BRAS網關將Portal頁面及認證結果反饋至增量AP，如認證通過存量AP即正常接入網絡，如認證不通過將在Portal頁面上發出錯誤提示。

（2）如存量AP采用瘦AP部署方式，且存量AC屬于三層部署，認證流程如下。

1）直接通過存量AC進行認證，存量AC將AP重定向到Portal推送系統，Portal向RADIUS提交驗證請求，RADIUS返回認證結果至Portal。

2）RADIUS系統將認證結果發至Portal推送系統。

3）Portal推送系統通過中國移動WLAN業務Portal V2.0.0協議或標準的Portal協議將推送頁面及認證結果發至存量AC。

4）存量AC將推送頁面及認證結果反饋至存量AP，如認證通過存量AP即正常接入網絡，如認證不通過將在Portal頁面上發出錯誤提示。

3.2 ?增量AP認證

增量AP認證與存量AP類似，有兩種方式，若存量AC工作在二層則采用BRAS認證方式，若新建存量AC工作在三層則采用AC認證方式。

（1）如增量AP為胖AP部署，認證流程如下。

1）在網絡出口添加認證及推送BRAS網關。

2）增量AP向BRAS發起認證上網請求。

3）BRAS將增量AP上網請求重定向到Portal系統，Portal系統將驗證請求提交至RADIUS認證系統，RADIUS認證系統將驗證結果返回至Portal系統。

4）Portal系統將Portal頁面及認證結果傳至BRAS網關（通過中國移動WLAN業務Portal V2.0.0協議）。

5）BRAS網關將Portal頁面及認證結果反饋至增量AP，如認證通過增量AP即正常接入網絡，如認證不通過將在Portal頁面上發出錯誤提示。

（2）如增量AP為瘦AP部署，認證流程如下。

1）增量AP設備經過本地交換路由接入公網。

2）AP設備用DNS發現的方式尋找云AC，并將用戶的認證信息發至云AC。

3）云AC將HTTP認證請求信息重定向到Portal系統（采用移動Portal V2.0.0協議），Portal系統向RADIUS認證系統提交驗證請求，RADIUS進行驗證并把驗證結果返回至Portal。

4）Portal系統將Portal頁面及認證結果傳至云AC（采用中國移動WLAN業務Portal V2.0.0協議）。

5）云AC將Portal頁面及認證結果反饋至增量AP（采用CAPWAP協議），如認證通過AP即正常接入網絡，如認證不通過將在Portal頁面上發出錯誤提示。

4 ?安全認證架構功能設計

4.1 ?多維化用戶安全認證

公眾可使用手機、平板電腦、筆記本電腦等移動終端設備，通過手機短信、微信、QQ、APP無感知、一鍵登錄、微博等方式實現安全認證。

（1）手機短信Web認證：手機短信Web認證支持三大運營商手機用戶，各運營商手機用戶都可享受同等服務。手機號認證支持動態驗證碼認證方式，短信通道支持中國移動、中國聯通、中國電信手機號碼。認證平臺認證通過后記錄用戶的手機號碼，下次該手機用戶再次登錄時不需要重新獲取驗證碼即可登錄，其他覆蓋同類設備區域的登錄也不需要重新獲取驗證碼。用戶的手機、平板電腦、筆記本電腦等多臺設備可使用同一個手機號碼登錄。但若用戶手機號碼被列入黑名單，則該用戶無法通過認證;若用戶手機號碼被列入白名單，則該用戶無需認證即可登錄。

（2）APP無感知認證：安全認證平臺統一提供給Wi-Fi用戶進行上網認證的撥號客戶端APP，用戶通過該APP進行實名注冊后通過用戶名、密碼進行上網認證。該APP客戶端具備區域內覆蓋Wi-Fi網絡熱點查看、網絡接入等功能。通過該APP，用戶能夠查看覆蓋當前區域的所有無線熱點賬號以及各個賬號的信號強度。用戶可選擇某個信號較強的賬號，經安全認證后可接入網絡，當然用戶也可以通過APP實現接入賬號的快速切換。

（3）一鍵登錄認證：無線局域網安全認證平臺支持用戶在瀏覽過Portal內容后，不需要輸入任何認證信息，點擊“登錄”按鈕后實現一鍵登錄認證上網（實際上后臺默認采用一組固定用戶名和密碼進行登錄校驗，通過認證后返回登錄成功提示）。該認證方式從用戶體驗來說較為簡捷。

（4）微信認證：用戶通過關注“無線城市”微信公眾賬號，直接實現認證通過后上網。

（5）QQ認證：無線局域網安全認證平臺支持用戶通過QQ號和密碼進行關聯登錄，實現互聯網的接入和訪問。通過該方式進行認證登錄，支持用戶轉發指定消息到其QQ空間或騰訊微博。

（6）微博認證：無線局域網安全認證平臺也支持用戶通過微博賬號、密碼進行關聯登錄，實現互聯網的接入。通過該方式進行認證登錄，支持用戶轉發指定消息到其微博主頁。

4.2 ?安全認證后臺管理

（1）用戶信息管理：通過后臺對用戶信息進行管理，包括用戶類型、計費規則、上網時長等。通過該平臺可以對同一用戶賬號（包括同一手機號、同一QQ賬號、同一微信號、同一微博賬號等）添加多個IP地址/MAC地址，實現多個終端共用同一賬號進行網絡接入，包括手機、PAD、筆記本電腦等不同的終端。

（2）黑名單/白名單管理：支持基于用戶手機號或MAC地址的認證黑/白名單管理，將可疑的手機號碼、MAC地址加入黑名單，則該用戶無法通過認證并接入網絡。另外也支持將信任的手機號碼、MAC地址加入白名單，則用戶無需認證即可接入網絡。

（3）認證短信管理：手機認證短信具有中國移動、中國聯通、中國電信三家獨立短信發送端口。通過后端管理平臺支持對認證短信的內容進行修改、刪除等操作。系統具備5套不同的短信模板可供選擇使用，管理者可以自定義認證短信內容，并可以對模板內容進行審核，未審核通過的短信模板不允許使用。

（4）Portal兼容性：系統推送的Portal認證頁面通過判斷不同終端屬性，包括操作系統、瀏覽器、分辨率、終端型號等，按照不同的終端設置分辨率，推送適當分辨率的認證頁面。

（5）跳轉網站設置：系統支持設置指定的跳轉網站，包括用戶認證前放通指定網站、認證完成后跳轉的網站地址。設置完成后，用戶在認證完成前系統將插播指定網站的頁面內容，認證完成后將直接跳轉到預設的網絡鏈接。

（6）上網帶寬參數設置：通過后臺可以設置單個用戶的最大上網帶寬，實現基于用戶的帶寬限制，防止因為個別用戶下載或看視頻占據大流量而導致其他用戶無法正常上網的情況，并可以根據不同用戶調整不同的限制策略。

（7）上網時長參數設置：通過后端管理平臺可設置免費上網時長。管理者能夠設定用戶認證成功后單次上網時長，用戶到上網時間后自動下線，如要繼續上網需要再次認證和瀏覽廣告、觀看信息，然后再登錄上網，達到加強廣告效果的目的。

（8）強制用戶下線：系統支持強制用戶下線功能。如發現用戶有惡意操作行為，管理員可以通過后端管理平臺強制該用戶下線。

4.3 ?統一門戶平臺

系統提供無線城市門戶平臺，在門戶平臺上可查看城市人文情況介紹、時事新聞、政策動向、政務民生、商業消費等信息。同時集成移動互聯網應用平臺，為用戶提供便捷、實用、智能化的移動互聯網服務入口。

5 ?結 ?論

本文研究了城市無線局域網安全認證管理平臺的重點建設內容，給出了無線城市安全認證技術架構。根據對無線城市安全認證系統的需求調研，詳細研究設計了認證和門戶平臺，研究內容包括平臺的業務流程、硬件設備認證流程以及平臺功能。構建安全可靠的安全認證管理平臺，增強無線網絡可信度和提升政府形象，為政府、企業、公眾等用戶提供集政務、商務、民生服務一體的綜合性無線應用環境，深化無線網絡在政務、企業、民生、文化、經濟等方面應用，方便市民生活，提高企業經營業績，提升政府管理水平。

參考文獻：

[1] 全國信息技術標準化技術委員會.信息技術 系統間遠程通信和信息交換 局域網和城域網 特定要求 第11部分：無線局域網媒體訪問控制和物理層規范：GB 15629.11-2003 [S].北京：中國標準出版社，2004.

[2] 中國通信標準化協會.公眾無線局域網網絡管理 第2部分：網絡管理系統功能要求：YD/T 2615.2-2013 [S].北京：人民郵電出版社，2013.

[3] 新華社.中共中央辦公廳、國務院辦公廳印發《2006-2020年國家信息化發展戰略》 [EB/OL].（2006-05-08）.http：//www.gov.cn/jrzg/2006-05/08/content_275560.htm.

[4] 國務院.國務院關于加快培育和發展戰略性新興產業的決定 [EB/OL].（2010-10-18）. http：//www.gov.cn/zwgk/20 10-10/18/content_1724848.htm.

[5] 公安部信息系統安全標準化技術委員會.互聯網信息服務系統安全保護技術措施技術要求：GA 611-2006 [S].北京：中國標準出版社，2006.

作者簡介：展昭（1989.09—），男，漢族，安徽蚌埠人，系統架構師，本科，研究方向：智慧城市軟件系統架構。