本文關(guān)鍵詞：軍械工程學(xué)院學(xué)報，由筆耕文化傳播整理發(fā)布。

基于Portal的商業(yè)WiFi業(yè)務(wù)統(tǒng)一認(rèn)證平臺設(shè)計與實現(xiàn)

2016005期

徐苑苑

（上海電信科技發(fā)展有限公司 上海 200030）

摘 要 Internet的廣泛應(yīng)用促使人們對網(wǎng)絡(luò)安全的關(guān)注越來越深入，公共WiFi也越來越普及，建設(shè)一個安全統(tǒng)一的公共WiFi認(rèn)證中心，是越來越迫切的需求。如何對公共WiFi 進行用戶控制，對公共WiFi的數(shù)據(jù)進行驗證，保證網(wǎng)絡(luò)交流的安全可靠性成為人們所關(guān)注的焦點�；赑ortal的統(tǒng)一認(rèn)證平臺正是基于這樣一種背景下應(yīng)運而生。實時短信認(rèn)證技術(shù)可以有效的解決網(wǎng)絡(luò)安全問題，其功能可歸結(jié)為門戶推送和身份認(rèn)證兩大功能。本設(shè)計從統(tǒng)一認(rèn)證中心的構(gòu)建出發(fā)，通過構(gòu)建短信認(rèn)證管理中心，通過手機短消息，實現(xiàn)對用戶的實時認(rèn)證，來實現(xiàn)對網(wǎng)絡(luò)可信任身份的保證，確保網(wǎng)絡(luò)通信的安全。

關(guān)鍵詞 公共WiFi，Portal認(rèn)證，統(tǒng)一認(rèn)證平臺

中圖分類號：TP3　文獻標(biāo)識碼：A

doi:10.3969/j.issn.1674-7933.2016.05.03

Portal-based Commercial WiFi Service Unifi ed

Authentication Platform

XU Yuanyuan

Abstract The extensive application of Internet makes people pay more attention to the security of network, andthe public WiFi is becoming more and more popular. It is urgent to build a secure and unifi ed public WiFi authenticationcenter. How to control public WiFi, to verify the data of public WiFi, to ensure the security and reliability of networkcommunication have become the focus of people´s attention. Portal based unifi ed authentication platform is based onsuch a background came into being. Real time SMS authentication technology can effectively solve the problem ofnetwork security, and its functions can be attributed to the two functions of portal push and identity authentication. Thisdesign bases on from construction of unifi ed authentication center, by constructing the SMS authentication managementcenter, through mobile phone short message, real-time authentication of users, to achieve identity trust guarantee on thenetwork, to ensure the security of network communication.

KeyWords Public WiFi, Portal Authentication, Unifi ed Authentication Platform

0 引言

軟件項目開發(fā)需要一個團隊互相配合、分工協(xié)作。WiFi統(tǒng)一認(rèn)證平臺可以規(guī)范一個軟件開發(fā)團隊的日常工作，提高工作效率。軟件項目管理是為了使軟件項目能夠按照預(yù)定的成本、進度、質(zhì)量順利完成，而對成本、人員、進度、質(zhì)量、風(fēng)險等進行分析和管理的活動。目前，統(tǒng)一認(rèn)證平臺系統(tǒng)的資源未得到有效利用，同時安全性也存在一定風(fēng)險，數(shù)據(jù)方面也缺少分析及挖掘。然而，軟件項目的管理主要有手工存取及利用VSS、SVN等工具對軟件項目進行管理，起不到對項目進度的實時跟蹤與管理。

為了建立統(tǒng)一的無線網(wǎng)絡(luò)平臺，為電信網(wǎng)點提供穩(wěn)定、安全的無線網(wǎng)絡(luò)訪問環(huán)境, 為后續(xù)電信WiFi平臺在電信網(wǎng)點開展市場宣傳、銷售、售后服務(wù)等業(yè)務(wù)系統(tǒng)提供可靠的基礎(chǔ)支持，本項目設(shè)計了一個基于Portal的方便商業(yè)軟件開發(fā)過程管理的統(tǒng)一認(rèn)證平臺。Portal技術(shù)是一種Web門戶技術(shù)，能將多個信息系統(tǒng)、數(shù)據(jù)平臺進行整合，提供同一用戶身份驗證，它能有效的管理軟件開發(fā)過程中每個階段進展情況[1]；即時跟蹤項目開發(fā)過程中的Bug，提供公司財富庫資源的開放和權(quán)限控制。面對Portal技術(shù)，IBM、SUN、ORACLE和微軟等商業(yè)巨擘都耗費巨資開發(fā)了自己的Portal平臺。因此，本文基于Portal技術(shù)，設(shè)計并實現(xiàn)了一個商業(yè)WiFi業(yè)務(wù)統(tǒng)一認(rèn)證平臺。

1 需求分析

1.1 業(yè)務(wù)需求

在實際商業(yè)WiFi組網(wǎng)應(yīng)用中，用戶對網(wǎng)絡(luò)驗證的可靠性要求越來越高。若接入設(shè)備與認(rèn)證服務(wù)器通信中斷，將導(dǎo)致用戶無法正常上線同時對設(shè)備及服務(wù)器帶來計費問題。如何維護網(wǎng)絡(luò)的穩(wěn)定是需要解決的問題之一。

由于在開發(fā)過程中會遇到許多問題，面對面的通知、開發(fā)過程中Bug的記錄與后期查看、任務(wù)下發(fā)與跟蹤等都會使項目進度變慢。對于公司的財富庫的使用沒有很好的利用，總是要通過其他工具去查看資源，使用極不方便。

基于以上情況，需要平臺采用信息技術(shù)對軟件項目進度、流程、Bug等方面進行管理，提高系統(tǒng)開發(fā)效率的目的。在該系統(tǒng)中，希望實現(xiàn)包括開發(fā)流程跟蹤、Bug管理、文檔管理、財富庫建設(shè)等基礎(chǔ)功能，可以解決開發(fā)進度跟蹤困難、管理提交文檔不便、開發(fā)過程中所產(chǎn)生的Bug處理結(jié)果不明、公司財富庫得不到有效的利用的問題。

為進一步完善軟件項目流程及資源的統(tǒng)一管理，更加全面、有效的服務(wù)于軟件開發(fā)過程和財富庫管理，基于Portal的商業(yè)WiFi業(yè)務(wù)平臺需達(dá)成以下業(yè)務(wù)目標(biāo)：

(1) 構(gòu)建統(tǒng)一、穩(wěn)定、安全的電信網(wǎng)點無線網(wǎng)絡(luò)環(huán)境。

(2) 為電信網(wǎng)點客戶訪問互聯(lián)網(wǎng)時提供穩(wěn)定的無線WiFi接入環(huán)境。

(3) 按照公安部82號令要求，提供客戶接入無線網(wǎng)絡(luò)時的認(rèn)證信息及相關(guān)數(shù)據(jù)，通過電信網(wǎng)點端公共場所安全管理系統(tǒng)進行數(shù)據(jù)合并后上傳到公安網(wǎng)監(jiān)部門。

(4) 為電信網(wǎng)點員工訪問業(yè)務(wù)系統(tǒng)提供穩(wěn)定的WiFi接入環(huán)境。

(5) 收集電信網(wǎng)點客流信息，為電信網(wǎng)點實現(xiàn)客流分析提供數(shù)據(jù)支持。

(6) 用戶通過接入設(shè)備訪問web server認(rèn)證頁面，通過認(rèn)證后可以訪問外網(wǎng)。

(7) 在不同的組網(wǎng)模式下，支持多種認(rèn)證方式[2]。

1.2 可行性分析

可行性研究的目的就是用最小的代價在盡可能短的時間內(nèi)確定問題是否能夠解決。該系統(tǒng)的可行性分析包括經(jīng)濟可行性、技術(shù)可行性和操作可行性三個方面的內(nèi)容。經(jīng)過系統(tǒng)分析，此系統(tǒng)開發(fā)目標(biāo)明確，在各方面都可行，并且投入少、見效快。因此系統(tǒng)的開發(fā)是完全可行的。

2 概要設(shè)計

統(tǒng)一運維和認(rèn)證中心系統(tǒng)，是整個WiFi系統(tǒng)的門戶，需要滿足管理員、廠商、顧客的多種接入需要，平臺采用集中認(rèn)證、集中更新Portal的模式來建設(shè)[3]，按以下總體架構(gòu)進行。

2.1 架構(gòu)及部署

本項目分為總部端-電信網(wǎng)點兩層結(jié)構(gòu)，針對一個典型的商業(yè)WiFi場所，總體架構(gòu)圖如圖1。

部署分為總部端和電信網(wǎng)點端進行，電信網(wǎng)點端無線網(wǎng)絡(luò)架構(gòu)往往按單出口和雙出口兩種提供給用戶，如圖2中右上角“出口*”所標(biāo)記的。當(dāng)采用“單出口”模式時，該出口就是員工出口；當(dāng)采用“雙出口”模式時，出口是員工、客戶共用出口。

2.2 功能設(shè)計

在完成了對平臺的功能需求分析后，對系統(tǒng)的功能進行設(shè)計。設(shè)計中，考慮將應(yīng)用分離為不同的功能，這些功能保持盡可能小的重疊，使各功能的依賴關(guān)系最小化。統(tǒng)一認(rèn)證系統(tǒng)實現(xiàn)客戶的無線接入認(rèn)證[4]，主要功能如下：

(1) 支持客戶通過以微信掃一掃后選擇關(guān)注、短信認(rèn)證、會員號登陸等多種認(rèn)證方式，接入電信網(wǎng)點無線網(wǎng)絡(luò)；后續(xù)可支持支付寶掃一掃關(guān)注。統(tǒng)一Portal 認(rèn)證包括微信、短信、會員號、白名單、MAC免認(rèn)證等多種認(rèn)證方式，適合不同人群，另外如百度APP 一鍵式登錄，也可以支持其他“掃一掃”的APP登錄方式，包括支付寶。

(2) 平臺可以收集到店并連接上WiFi 客戶的微信OpenID、手機號等；短信和微信登錄，Portal 都會記錄微信OPEN ID和手機號。

(3) 平臺可收集到打開WiFi但未連接到電信網(wǎng)點無線的非關(guān)聯(lián)客戶MAC地址及到店、離店信息；Portal 啟動嗅探功能，可以收集到連接和非連接的MAC地址；更進一步的，可以提供客人軌跡記錄、位置服務(wù)等功能，開發(fā)進店、離店的應(yīng)用。

(4) 客戶二次到店或跨電信網(wǎng)點無需再次認(rèn)證；Portal系統(tǒng)有二次免認(rèn)證功能，在全系統(tǒng)范圍內(nèi)（跨店）方便用戶簡化上網(wǎng)流程。

(5) 客戶認(rèn)證界面為統(tǒng)一樣式，分為上下兩部分，上部為總部端控制，總部端可根據(jù)需要調(diào)整認(rèn)證Portal界面樣式、修正廣告內(nèi)容。下部為電信網(wǎng)點控制，電信網(wǎng)點可以自定義認(rèn)證畫面，進行廣告宣傳；Portal有多種子頁面可供不同管理員定制，自行管理，同時提供Portal自服務(wù)平臺，供管理員進行個性化Portal 頁面的定制。

(6) 自動匹配各類型無線終端，并推送自匹配分辨率的廣告頁面所有Portal 頁面均可以自適應(yīng)用戶終端屏幕。

(7) 可按公司架構(gòu)自定義建立：地區(qū)、大區(qū)、小區(qū)（城市）、電信網(wǎng)點四級組織架構(gòu)分組管理，招標(biāo)人可以查看各級的客戶到店情況；電信網(wǎng)點可以查看、統(tǒng)計本店到店客戶情況；Portal 管理系統(tǒng)提供分級權(quán)限的管理員設(shè)置，用戶可以自行定義多級組織架構(gòu)管理權(quán)限。

(8) 在線用戶手機號碼、IP、MAC等實時查看和管理。

Portal 提供在線用戶號碼、終端信息的查看、管理、下線等服務(wù)；支持802.1x認(rèn)證，電信網(wǎng)點員工可以通過WPA2+AES接入專用高安全無線SSID。WiFi系統(tǒng)結(jié)合認(rèn)證系統(tǒng)，可以現(xiàn)行提供mac認(rèn)證、802.1x認(rèn)證。

(9) 電信網(wǎng)點員工通過短信認(rèn)證，接入電信網(wǎng)點辦公無線網(wǎng)絡(luò)；支持辦公網(wǎng)的多種認(rèn)證方式，如白名單認(rèn)證后，賦予員工不同的訪問權(quán)限。

(10) 支持黑白名單功能，電信網(wǎng)點員工、客戶訪問相互隔離，并可根據(jù)自身網(wǎng)絡(luò)情況，在員工、客戶訪問網(wǎng)絡(luò)時提供不同的用戶訪問權(quán)限。Portal系統(tǒng)通過定義不同認(rèn)證方式的先后優(yōu)先級，可以先為員工進行mac和用戶名認(rèn)證，通過RADIUS屬性授權(quán)，給予員工不同的訪問權(quán)限。Portal的認(rèn)證機制、認(rèn)證日志均可以標(biāo)準(zhǔn)接口開放，方便招標(biāo)人實現(xiàn)考勤等第三方系統(tǒng)的對接。

3 詳細(xì)設(shè)計與技術(shù)實現(xiàn)

3.1 模塊設(shè)計

1) Portal模塊

Portal按支持多熱點模式部署，各區(qū)域（網(wǎng)點）直接調(diào)用數(shù)據(jù)中心IDC的Portal，全部由核心端 Portal系統(tǒng)直接為所有區(qū)域上網(wǎng)用戶提供Portal推送服務(wù)，分為一套統(tǒng)一Portal門戶和RADIUS用戶認(rèn)證系統(tǒng)。

本地有網(wǎng)關(guān)承載本地Portal，本地Portal由IDC統(tǒng)一Portal模塊進行管理和更新，本地Portal 留存本地所需要的多套Portal模版供管理員調(diào)用，IDC保留所有網(wǎng)點Portal模版?zhèn)溆煤蛡浞荨?/p>

這一設(shè)計的優(yōu)勢是用戶得到門戶推送時延最低，且可以統(tǒng)一和分級分權(quán)限管理相結(jié)合，本地Portal 可以在IDC 擁塞或者本地與IDC終端時依然正常工作，不會造成大面積用戶Portal的故障，減小運維的壓力。

2) 廣告經(jīng)營模塊

廣告經(jīng)營模塊與Portal 系統(tǒng)密切對接，隨時將更新的廣告內(nèi)容，通過認(rèn)證前Portal、認(rèn)證后Portal、懸浮窗（條）等形式更新到所有網(wǎng)點Portal上去。

廣告經(jīng)營模塊包括CMS 內(nèi)容編排系統(tǒng)，以及SMS短信通道、微信對接服務(wù)，可以直接編輯信息推送的模版和內(nèi)容，并對手機號、微信ID進行內(nèi)容的推送。

3) 寬帶計費

可以用于場內(nèi)WiFi 使用的收費運營，可選。

4) WiFi定位引擎和圖商

此次平臺雖然包含多個綜合體功能區(qū)塊，但均屬于一個局域網(wǎng)內(nèi)，在數(shù)據(jù)中心IDC 上部署一套ALE 定位引擎，可以在本地進行所有無線終端的位置計算，并上傳位置等信息與核心IDC端的WiFi定位引擎，由核心端定位引擎調(diào)用地圖服務(wù)器，為BI大數(shù)據(jù)分析和APP 等提供位置信息。上傳定位數(shù)據(jù)由時間戳、終端ID、類型、MAC，以及地圖位置坐標(biāo)組成，大約20字節(jié)，按100個終端每秒產(chǎn)生一次，則每個AP 要產(chǎn)生 20bytes *100*8=16kbps 的LBS 流量，300個AP大約4800kbps，即IDC定位數(shù)據(jù)流在局域網(wǎng)內(nèi)是4800kbps；相對于全場千兆上聯(lián)其數(shù)據(jù)速率要求可以說不會產(chǎn)生壓力。因此如果其他異地網(wǎng)點也進行LBS位置服務(wù)時，在異地店內(nèi)增加ALE定位引擎模塊，將定位后的數(shù)據(jù)發(fā)往總部圖商和定位引擎，這樣可以大大降低IDC總部定位引擎的帶寬消耗。

5) 網(wǎng)安審計

場內(nèi)由于提供公共互聯(lián)網(wǎng)服務(wù)，需要安裝網(wǎng)安審計設(shè)備備查。在出入口采用旁路或者串接網(wǎng)安審計設(shè)備的方式，可以在網(wǎng)安設(shè)備上產(chǎn)生上網(wǎng)日志，并對接屬地網(wǎng)安平臺，IDC核心端安裝網(wǎng)安設(shè)備的統(tǒng)一管理平臺，完成故障報修、維護、告警等運維任務(wù)。

3.2 門戶設(shè)計

按如圖3的架構(gòu)設(shè)計，所有的Portal均為集中化統(tǒng)一管理，由一個統(tǒng)一的管理中心進行所有Portal的編排、發(fā)放、統(tǒng)計、策略更新�？紤]到此次網(wǎng)點較多，有區(qū)域化管理和部署的特點，Portal既可以集中化部署，也可以用POP點的方式分散壓力，甚至在本地定位引擎和網(wǎng)安設(shè)備上起Portal服務(wù)—本地提供Portal服務(wù)，更新由中心控制和分發(fā)，所有的其他認(rèn)證、短信驗證碼、微信服務(wù)對接等都在核心端實現(xiàn)對接。

Portal服務(wù)與認(rèn)證服務(wù)分開部署架構(gòu)如圖4。

認(rèn)證流程：當(dāng)WiFi客戶端連接WiFi后，終端的CaptivePortal機制調(diào)用瀏覽器發(fā)起流量。

AC或IAP截取用戶上行的訪問TCP請求，掛起，并自行發(fā)起向Portal 服務(wù)器的Portal頁面請求，Portal服務(wù)器群在負(fù)載均衡設(shè)備的管理下，組成一個高性能的服務(wù)器群，響應(yīng)預(yù)設(shè)的根據(jù)不同AC發(fā)起的Portal request，將對應(yīng)的Portal頁面通過AC傳送到WiFi用戶的終端屏幕上，提示用戶輸入手機號。

用戶在認(rèn)證前Portal上輸入手機號，發(fā)現(xiàn)需要填寫驗證碼，則點擊一邊的“驗證碼”發(fā)送。這一動作，Portal服務(wù)啟動動態(tài)驗證碼計算引擎，隨機得到一個驗證碼。Portal通過短消息通道，將這個驗證碼發(fā)出給填入的手機號；同時做一個動作，將手機號和驗證碼傳送到用戶數(shù)據(jù)庫的相應(yīng)表單中，新增一個新紀(jì)錄。

用戶通過手機拿到驗證碼之后，輸入Portal，Portal服務(wù)器將填入的結(jié)果發(fā)還給AC，AC拿著這一對手機號和驗證碼，轉(zhuǎn)而送到認(rèn)證服務(wù)器中去。

作為標(biāo)準(zhǔn)的RADIUS服務(wù)器，Radius服務(wù)器通過數(shù)據(jù)庫，前往查證是否屬實。認(rèn)證服務(wù)器從數(shù)據(jù)庫中得到查閱人的信息，以及剛剛預(yù)存的驗證碼，比較是否屬實。這個數(shù)據(jù)庫中的記錄，剛剛?cè)霂鞄酌腌�，這里確定幾個回復(fù)策略：

一個手機號只允許3個終端上網(wǎng)

驗證碼有效期3次，可以供不同終端上網(wǎng)

Portal服務(wù)器，只寫入新記錄

Portal服務(wù)器對接入的AC要預(yù)設(shè)的要求

認(rèn)證服務(wù)器作為Radius服務(wù)器，將收到AC轉(zhuǎn)過來登記信息，開始調(diào)看數(shù)據(jù)庫，從庫存狀態(tài)分別送入“通過”“失敗”“掛起”等狀態(tài)。其他Radius參數(shù)可以選配，供形成訪問時間、訪問范圍等進行授權(quán)�？梢栽谶@個數(shù)據(jù)表中，進行BI數(shù)據(jù)分析。AC得到確切的Radius參數(shù)，為每個上網(wǎng)用戶建立QOS保障的上網(wǎng)通道。根據(jù)這些上網(wǎng)時長、業(yè)務(wù)類型等數(shù)據(jù)，AC 可以為用戶提供QOS保證的通道建立。

4 應(yīng)用實例

此次平臺采用構(gòu)件技術(shù)來完成開發(fā)，構(gòu)件技術(shù)是目前最重要的軟件開發(fā)技術(shù)。它使得軟件可重用大量已有的軟件實現(xiàn)，可動態(tài)地組裝一個軟件系統(tǒng)，提供了各種軟件構(gòu)件之間的可操作性，這為最終用戶定制一個軟件以及軟件本身的升級和維護提供了良好的機制，為軟件的再利用提供了技術(shù)保證。平臺 Portal系統(tǒng)包括NOC運維管理模塊，用戶管理模塊，行為分析管理模塊。

Portal的用戶管理可以完成對用戶級別的控制和統(tǒng)計。

如查閱上網(wǎng)用戶、對用戶進行訪問速率、時間的限制、人工強制下線等，包括：

● 顯示用戶訪問日志，顯示內(nèi)容包括有qq、郵箱、論壇、博客、網(wǎng)店等訪問的帳號名稱，可用于后臺的推廣。

● 用戶在百度查詢的關(guān)鍵字及其搜索的次數(shù)。

● 顯示用戶訪問網(wǎng)站URL及標(biāo)題。

● 通過AP檢測手機mac出現(xiàn)的時間。

● 用戶終端詳細(xì)信息。

● 微信掃一掃登錄上網(wǎng)的用戶信息。

● 用戶停留時間及來訪次數(shù)。

5 結(jié)束語

本文設(shè)計并實現(xiàn)了基于Portal技術(shù)的WiFi統(tǒng)一認(rèn)證平臺，用戶可通過瀏覽器靈活訪問網(wǎng)絡(luò)，完成身份驗證等操作。同時，Portal可以保障關(guān)鍵數(shù)據(jù)的訪問控制，提高平臺的安全性。平臺的開發(fā)過程基于B/S架構(gòu)的管理系統(tǒng)，運用有效的管理軟件開發(fā)過程中每個階段進展情況；即時跟蹤項目開發(fā)過程中的Bug，提供公司財富庫資源的開放和權(quán)限控制�？s短軟件開發(fā)的進度、提高軟件產(chǎn)品的質(zhì)量，有效的維護公司財富庫資源。

本設(shè)計從統(tǒng)一認(rèn)證中心的構(gòu)建出發(fā)，通過構(gòu)建短信認(rèn)證管理中心，通過手機短消息，實現(xiàn)對用戶的實時認(rèn)證，來實現(xiàn)對網(wǎng)絡(luò)可信任身份的保證，，確保網(wǎng)絡(luò)通信的安全。本系統(tǒng)采用多層體系結(jié)構(gòu)，保證了系統(tǒng)良好的靈活性和可擴展性，并實現(xiàn)了用戶在需求分析階段提出的功能需求。為了提高系統(tǒng)性能，簡化了系統(tǒng)邏輯，部分功能由自動運行程序處理。并且，將web系統(tǒng)與文檔成功分離，提升文檔的靈活性和系統(tǒng)可配置性。根據(jù)項目需要，另加設(shè)了文檔在線查看功能，利用ActiveX Offi ce組件，方便使用者查看相關(guān)文檔。

參考文獻

[1]吳潔明, 楊軼鑫. 基于Portal的統(tǒng)一身份認(rèn)證系統(tǒng)研究與開發(fā)[J]. 航空計算技術(shù), 2004, 34(4):89-91.

[2]劉冰. 在數(shù)字化校園中利用Portal和Ldap實現(xiàn)統(tǒng)一身份認(rèn)證的研究與應(yīng)用[D]. 沈陽理工大學(xué), 2008.

[3]董兆殷. 基于Portal認(rèn)證的校園WLAN安全設(shè)計及應(yīng)用[J]. 中國新技術(shù)新產(chǎn)品, 2010(11):20-20.

[4]王增光, 陳立云, 盧昱. WiFi環(huán)境下的身份認(rèn)證模型研究[J]. 軍械工程學(xué)院學(xué)報, 2015, 27(1):46-49.

[5]沈旺東. 云WIFI基礎(chǔ)平臺管理系統(tǒng)的分析與設(shè)計[D]. 云南大學(xué), 2015.

原文來源：《軟件產(chǎn)業(yè)與工程》

  本文關(guān)鍵詞：軍械工程學(xué)院學(xué)報，由筆耕文化傳播整理發(fā)布。