無線網絡認證改造

實名制上網的問題源頭：外來人員隨意接入不會遵從上網規定，其不良行為風險將轉嫁給接入單位；內部人員真實對應問題：無法將互聯網行為和真實的人關聯定位，無法在發現問題后對當事人進行及時的糾正，無法及時提醒當事人改正自己的行為。

無線網絡認證的需要

公共圖書館作為公益的非經營性服務場所，館內覆蓋的無線網絡和分布在電子閱覽室等公共區域的自助查閱設備等都使圖書館內部網絡直接暴露給外來的不確定身份的流動性人員，面臨著很大的的安全風險；同時，需要接受公安網監部門的監管，讀者上網的用戶注冊信息、登錄時間、退出時間、登錄IP地址、登錄的讀者證號、瀏覽網站的IP地址或域名、違法的聊天和發帖內容等，都需要具有至少兩個月的記錄備份，還需要通過上網行為審計設備向網監部門實時上傳違法數據。

網絡認證的幾種方式

認證技術是AAA（認證，授權，計費）的初始步驟，目前主要的認證方式有以下三種 ：PPPoE、802.1X 和 Web Redirection 認證。三種方式有其產生的背景原因和技術特點，以下對這幾種技術作一個簡要的分析比較：

（一） PPPoE認證

通過PPPoE協議，互聯網服務提供商可以在以太網上實現PPP協議的主要功能，包括采用各種靈活的方式管理用戶。PPPoE協議允許通過一個連接客戶的簡單以太網橋啟動一個PPP對話。PPPoE的建立需要兩個階段，分別是搜尋階段和點對點對話階段。當一臺主機希望啟動一個PPPoE對話，它首先必須完成搜尋階段以確定對端的以太網MAC地址，并建立一個PPPoE的對話號。搜尋階段是一個客戶-服務器的關系，主機和網絡設備將擁有能夠建立PPPoE的所有信息，這個階段將在點對點對話建立之前一直存在。一旦點對點對話建立，主機和網絡設備都必須為點對點對話階段虛擬接口提供資源。

優點：最終用戶相對較容易接收

缺點：PPP協議和Ether net技術本質上存在差異，PPP協議需要被再次封裝到以太幀中，所以封裝效率很低；PPPoE在發現階段會產生大量的廣播流量，對網絡性能產生很大的影響；組播業務開展困難，而視頻業務大部分是基于組播的；需要運營商提供客戶終端軟件，維護工作量過大；PPPoE認證一般需要外置BAS，認證完成后，業務數據流也必須經過BAS設備，容易造成單點瓶頸和故障，而且該設備通常非常昂貴。

（二）802.1X認證

優點：

802.1X協議為二層協議，不需要到達三層，而且接入層交換機無需支持802.1q的VLAN，對設備的整體性能要求不高，可以有效降低建網成本。

通過組播實現，解決其他認證協議廣播問題，對組播業務的支持性好。業務報文直接承載在正常的二層報文上；用戶通過認證后，業務流和認證流實現分離，對后續的數據包處理沒有特殊要求。

缺點：

802.1X認證需要特定客戶端軟件；

網絡現有樓層交換機的問題：由于802.1X是比較新的二層協議，要求樓道交換機支持認證報文透傳或完成認證過程，因此在全面采用該協議的過程中，存在對已經在網上的用戶交換機的升級處理問題；

IP地址分配和網絡安全問題：802.1X協議是一個2層協議，只負責完成對用戶端口的認證控制，對于完成端口認證后，用戶進入三層IP網絡后，需要繼續解決用戶IP地址分配、三層網絡安全等問題，圖創公司的無線認證采用的就是這種方式，無法滿足我館的實際需要。

（三）Web Redirection認證

這種方式是無線網絡服務提供商最常用的方式。無線網絡設置成開放模式，但另外在后臺利用無線接入控制網關(ACG)，攔截移動終端發出的Web封包(開啟瀏覽器嘗試上網)，并強制重定向到認證網頁要求輸入賬號密碼，然后ACG向Portal認證服務器來確認使用者的身份，認證通過才可以自由訪問其它網站，而且用戶信息將被記錄。

圖1 我館主要網絡結構和無線認證實現流程

優點：

Web承載在7層協議上，支持跨平臺，不需要特殊的客戶端軟件；

用戶在認證前，不管是TELNET、FTP還是其它業務，必須使用瀏覽器進行WEB認證，防止匿名攻擊，保證網絡安全；

能夠通過支持三層協議的交換機，降低網絡重構的工作量；

可以自己開發定制界面友好認證界面和廣告投放界面。

缺點：

用戶連接性差，不容易檢測用戶離線，基于時間的計費較難實現；

認證前后業務流和數據流無法區分。

由于我館實行零門檻無障礙的服務，所以無線網絡也不需要計費，不需要搭建RADIUS認證服務器，采用的就是這種認證方式，這樣做的好處就是最大限度地減少了對現有內部網絡的重構，以最低成本實現了電子閱覽室等公共區域無線網絡的實名認證。

無線網絡認證的原理

我館使用的是廣州圖創公司的Interlib圖書館集群自動化管理系統，業務數據庫管理軟件采用的是Oracle 10g。只需要通過數據庫連接代碼連接到Interlib數據庫，讀取到讀者信息數據表中的相關數據，再通過驗證程序進行比較在通過認證后傳送到ACG控制網關就能實現讀者的實名認證與審計。

圖2 在核心交換機上配置鏡像端口和監聽端口

圖3 指定監聽端口，將外部認證服務器的端口鏡像到ACG。

圖4 指定外部認證服務器地址與認證成功識別關鍵字

無線認證的具體實現

包括認證服務器的搭建，程序的開發調試，核心交換機的設置和ACG的第三方認證功能的設置，步驟如下：

（一）服務器的環境搭建與Web程序開發（PHP語言）

1.settings運行環境版本信息

其中org.eclipse.php.cor e.prefs文件如下：

2.聲明函數文件說明

Common.inc.php核心函數庫、global.func.php常用函數、login.func.php登錄頁函數、oracle.func.php數據庫操作函數，由于篇幅有限，具體文件內容請查詢《網絡運維與管理》雜志社官方網站IT運維網上的同名文章。

3.認證頁面文件說明

（1）Code.php 生成驗證碼

（2）Config.php 登錄驗證

（3）Index.php 首頁

（4）isMobile.php 判斷手機或電腦端

（5）Mobile.php 手機端首頁

（6）Pc.php 電腦端首頁

由于篇幅有限，具體文件內容請查詢《網絡運維與管理》雜志社官方網站IT運維網上的同名文章。

（二）交換機的配置與ACG第三方認證的配置

我館使用了深信服AC-2000，它支持郵箱、微信、短信等多種認證方式和第三方認證服務器，并通過基于瀏覽器的認證方式，方便了用戶的身份識別和認證，并且有強大的監控和審計功能，保護內部數據安全、防止機密信息泄漏，如圖 2、3、4所示。