一種基于微信識別的商用無線網(wǎng)絡(luò)認證方法

金海峰

隨著移動互聯(lián)網(wǎng)的應(yīng)用普及，不管是校園、醫(yī)療、商貿(mào)、會展，或是酒店等場所都布置了大量開放性移動熱點，自2017年6月起，《中華人民共和國網(wǎng)絡(luò)安全法》明確規(guī)定：使用互聯(lián)網(wǎng)服務(wù)需進行帳號實名認證。因此，這些“免費”無線網(wǎng)絡(luò)的安全性，尤其是快速接入認證、網(wǎng)絡(luò)實名制、上網(wǎng)行為管控就成為了近年來研究的熱點。目前，無線網(wǎng)絡(luò)的認證方式主要包括：Web認證、短信認證、微信認證等。微信，作為移動互聯(lián)網(wǎng)時代最普及的應(yīng)用之一，文章以萬舜云商辦公樓為例，分析設(shè)計了一種基于微信識別的商用無線網(wǎng)絡(luò)認證方法，將無線認證與微信公眾號綁定，既方便了商家快速吸粉，用于后期商業(yè)推廣，又實現(xiàn)了網(wǎng)絡(luò)實名認證，嚴控用戶上網(wǎng)行為，為企業(yè)打造了開放、綠色的上網(wǎng)環(huán)境。

【關(guān)鍵詞】無線網(wǎng)絡(luò) 微信 快速接入認證 上網(wǎng)行為管理

1 三種無線網(wǎng)絡(luò)認證方法

隨著移動互聯(lián)網(wǎng)技術(shù)的發(fā)展，無線網(wǎng)絡(luò)的應(yīng)用有了空前的發(fā)展，無線網(wǎng)絡(luò)以其可移動、接入靈活等特點日益受到人們的青睞。無線網(wǎng)絡(luò)的廣泛普及，“蹭網(wǎng)”問題也日益突出，“蹭網(wǎng)”用戶的增加一方面浪費了寶貴的帶寬資源，另一方面違法上網(wǎng)行為無法把控，不能做到網(wǎng)絡(luò)實名制。如果要防止“蹭網(wǎng)”，可以為無線網(wǎng)絡(luò)設(shè)置密碼，但設(shè)置密碼后，用戶體驗就很差，而且設(shè)置密碼也不能做到使用網(wǎng)絡(luò)實名制，因此目前行業(yè)內(nèi)主流的既能做到無線網(wǎng)絡(luò)快速接入認證，又能實現(xiàn)使用網(wǎng)絡(luò)實名制，便于上網(wǎng)行為管控，主要有短信認證、Web認證和微信認證等三種方式。

短信認證是一種以用戶手機號作為上網(wǎng)憑證的上網(wǎng)管控方式，具體就是用戶在訪問無線網(wǎng)絡(luò)的時候，需要填寫用戶手機號，并輸入系統(tǒng)反饋的動態(tài)密碼，通過系統(tǒng)驗證后，才可以進行正常上網(wǎng)體驗。這種短信認證的方式，可以有效的規(guī)避違規(guī)上網(wǎng)、帶寬資源浪費、wifi密碼管理麻煩等多種問題。短信認證一般用于酒店、車站、醫(yī)院等人口流動頻繁的公共場所。

Web認證是一種對用戶接入網(wǎng)絡(luò)、以及訪問網(wǎng)絡(luò)權(quán)限進行控制的身份認證方法，具體就是預(yù)先由網(wǎng)絡(luò)管理人員以用戶的姓名、身份證號、或者手機號等個人信息為用戶名，在無線網(wǎng)絡(luò)認證服務(wù)器中開設(shè)上網(wǎng)賬號，用戶在訪問無線網(wǎng)絡(luò)的時候，在驗證頁面輸入個人賬號信息，通過系統(tǒng)驗證后，就可以正常上網(wǎng)。這種認賬方式需要存儲大量的用戶信息，需要消耗大量本地存儲控制，或者需要額外配置portal、radius服務(wù)器。Web賬號認證一般適用于企業(yè)、學(xué)校內(nèi)部，針對企業(yè)員工、或者學(xué)校師生進行實名認證。

微信認證，就是用戶在訪問無線網(wǎng)絡(luò)的時候，需要關(guān)注商家和企業(yè)的微信公眾號，才可以進行上網(wǎng)體驗的一種上網(wǎng)管控方式。微信認證一方面不需要密碼，關(guān)注公眾號就可以上網(wǎng)，極大減去了wifi密碼管理麻煩，另一方面，也實現(xiàn)了用戶上網(wǎng)實名制，可以對用戶上網(wǎng)行為采取有效管控，同時，微信認證，為企業(yè)和商家獲取了大量客戶資源，便于后期二次營銷推廣。目前，最常用的無線網(wǎng)絡(luò)微信認證需要經(jīng)過三個步驟：

（1）用戶手持手機、PAD等無線終端設(shè)備，連接指定的Wi-Fi信號。

（2）打開微信掃面微信公眾號二維碼，并關(guān)注。

（3）打開微信公眾號，單擊預(yù)先設(shè)置好的“一鍵上網(wǎng)”菜單、或者輸入“我要上網(wǎng)”，即可通過認證，從而獲取上網(wǎng)權(quán)限。當(dāng)前，微信認證被廣泛應(yīng)用到商場、會展、酒店等商務(wù)場所。

2 萬舜云商的網(wǎng)絡(luò)現(xiàn)狀

萬舜云商辦公樓位于東方廣場4號樓，辦公面積約3000平方米，18-20三個樓層，公司員工400多人，公司設(shè)有商品部、投資部、財務(wù)部、客服部、技術(shù)部、策劃部、運營部、理賠部、秘書部、經(jīng)理部等10個部門。公司網(wǎng)絡(luò)采用典型的三層架構(gòu)：用戶接入、雙核心、出口網(wǎng)關(guān)，雙核心采用了虛擬化技術(shù)，既提供冗余鏈路，解決交換環(huán)路問題，又保障了設(shè)備雙活、容災(zāi)，實現(xiàn)鏈路負載均衡，所有的無線接入AP通過各樓層POE交換機匯聚到雙核心，無線接入AP通過AC集中控制，方便管理。公司網(wǎng)絡(luò)拓撲如圖1所示，VLAN和IP地址等網(wǎng)絡(luò)基礎(chǔ)信息如表1所示。

3 萬舜云商無線網(wǎng)絡(luò)快速認證方案

為了保障網(wǎng)絡(luò)安全，滿足《中華人民共和國網(wǎng)絡(luò)安全法》、公安部82號令，公司網(wǎng)絡(luò)部署實名認證系統(tǒng)RG-UAC2000，引入實名認證接入機制，所用用戶包括公司員工、訪客通過實名登錄網(wǎng)絡(luò)，并對上網(wǎng)行為進行管控，記錄其上網(wǎng)行為日志，進而構(gòu)建開放、綠色的上網(wǎng)環(huán)境。

RG-UAC2000是星網(wǎng)銳捷自主研發(fā)的業(yè)界領(lǐng)先的上網(wǎng)行為管理與審計產(chǎn)品，支持路由、透明和混合模式，其部署在網(wǎng)絡(luò)的關(guān)鍵節(jié)點上，對數(shù)據(jù)進行全面檢查和分析，同時具備精細的上網(wǎng)行為管控功能。路由模式，該設(shè)備不僅需要對數(shù)據(jù)包進行審計，還需要對數(shù)據(jù)包進行尋路、路由，適用于對網(wǎng)絡(luò)拓撲更改不敏感的場景使用；透明模式，該設(shè)備不需要對流經(jīng)數(shù)據(jù)包進行路由選路，只需要進行必要的上網(wǎng)行為審計，適用于不希望更改路由、接口地址的應(yīng)用場景；混合模式，則是路由模式和透明模式同時使用，部分端口之間屬于路由模式，其他端口之間屬于透明模式，適用于網(wǎng)絡(luò)較為特殊、復(fù)雜的場景。本方案中，將RG-UAC2000串聯(lián)在雙核心和出口網(wǎng)關(guān)之間，采用透明模式，部署策略：

（1）公司員工通過Web賬號實名認證上網(wǎng)；

（2）訪客必須關(guān)注微信公眾號才可以使用網(wǎng)絡(luò)。改造后網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖2所示。

4 萬舜云商無線網(wǎng)絡(luò)快速認證方案的部署

4.1 透明模式的配置方法

（1）與雙核心、出口網(wǎng)關(guān)互聯(lián)端口加入透明組0中。

uac（config）#interface ge4 //與雙核心互聯(lián)端口

uac（config-range-if）#bridge-group 0 //將端口ge4加入透明組0中

uac（config-range-if）#exit

（2）設(shè)置透明組0管理地址。endprint

uac（config）#interface bvi0 //設(shè)置管理地址

uac（config-if）#ip address IpAddress

4.2 基于RG-UAC2000的賬號認證配置方法

（1）定義公司員工地址段。

uac（config）#address ComStaff //定義公司員工地址段

uac（config-comstaff）#ip subnet 192.168.0.0/16

uac（config-comstaff）#exit

（2）新建賬號。

uac（config）#user Staff-1 //新建賬號

uac（config-Staff-1）#enable //啟用賬號

uac（config-Staff-1）#enable authenticate //啟用密碼認證

uac（config-Staff-1）#authenticate local pwd //設(shè)置密碼

uac（config-Staff-1）#exit

（3）配置Web認證。

uac（config）#user-policy ge4 ge5 ComStaff any always local-webauth //啟用web認證

uac（config）#user-webauth login-multi number 4 //設(shè)置賬號同時在線終端總數(shù)

4.3 基于微信識別的無線網(wǎng)絡(luò)快速認證配置方法

（1）定義無線網(wǎng)絡(luò)用戶地址段。

uac（config）#address WlanUser //定義無線用戶地址段

uac（config-comstaff）#ip subnet 172.16.0.0/16

uac（config-comstaff）#exit

（2）配置微信認證。

uac（config）#user-webchat timeout 100 //微信登錄超時時長100S

uac（config）#user-webchat follow-host URL //設(shè)置微信認證URL

uac（config）#user-policy ge4 ge5 WlanUser any always wechat-webauth //啟用web認證

5 結(jié)語

無線網(wǎng)絡(luò)的移動性彌補了有線網(wǎng)絡(luò)的不足，滿足了用戶隨時接入網(wǎng)絡(luò)的需求，但是與之俱來的是網(wǎng)絡(luò)安全問題，尤其是網(wǎng)絡(luò)使用實名制問題，如何既能讓用戶快速接入網(wǎng)絡(luò)，又能管控用戶上網(wǎng)行為的已成為近些年研究的熱點。本文以萬舜云商辦公樓為例，在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)上，引入Web、微信認證機制，分別對公司員工、訪客接入網(wǎng)絡(luò)進行認證和上網(wǎng)行為管控，網(wǎng)絡(luò)平臺運營正常，極大滿足了公司的應(yīng)用需求。

參考文獻

[1]星網(wǎng)銳捷網(wǎng)絡(luò)有限公司.無線產(chǎn)品（AC與AP）10.4（1T7）版本配置手冊[EB/OL].http：//www.ruijie.com.cn.

[2]董延華，畢娜，曾軒，李曉佳，呂凱.基于Web安全認證的無線網(wǎng)絡(luò)覆蓋方案[J].吉林大學(xué)學(xué)報（信息科學(xué)版），2014，32（03）：300-300.

作者單位

江陰職業(yè)技術(shù)學(xué)院 江蘇省江陰市 214405endprint