无线城市安全认证架构与方法研究
2020-11-06展昭
摘 要:作为城市的“第五公用基础设施”,无线网络现在已经成为衡量一个城市的整体运行效率的重要尺度。构建安全可靠的安全认证管理平台,有益于增强无线网络可信度和提高政府形象。无线城市认证和门户平台为接入城市无线局域网的用户提供安全认证登录。平台提供统一的认证页面,页面设计简洁大方,采用统一标识并体现城市地方特色。另外,在认证页面上提供技术支持文字,包括运营商单位名称及客服电话。
关键词:无线城市;无线网络;安全认证
中图分类号:TN925 文献标识码:A 文章编号:2096-4706(2020)12-0151-03
Abstract:As the “fifth public infrastructure” of a city,wireless cities have now become an important measure of the overall operational efficiency of a city. Building a safe and reliable security certification management platform is conducive to enhancing the credibility of the wireless network and the display of government image. The wireless city authentication and portal platform provides secure authentication login for users who access the city wireless LAN. The platform provides a unified authentication page. The page design is simple and elegant,adopting a unified logo and reflecting the local characteristics of the city. In addition,provide technical support text on the certification page,including the name of the operator unit and customer service phone.
Keywords:wireless city;wireless network;safety certification
0 引 言
城市無线网络已成为信息化社会城市经济发展必不可少的基础网络设施,是城市运营的必要条件,本公司基于中国移动Portal V2.0.0协议对无线城市安全认证架构与方法进行了研究。大力推进公共场所的无线局域网建设,对提升城市功能服务质量、满足市民日益增长的信息消费增长需求具有重要意义。无线网络给社会带来的不仅仅是对未来丰富多彩的网络生活的憧憬,更重要的是带来了强大的社会发展新动力。因此,无线城市已成为未来信息化城市的发展方向。
城市无线局域网安全认证管理平台旨在为城市公共场所的无线局域网用户提供安全认证平台、移动互联网应用平台,构建集政务、商务、民生服务一体的综合性无线应用环境,深化无线网络在政务、企业、民生、文化、经济等方面的应用。重点建设内容包括:认证和门户平台、无线接入认证推送平台、内容发布平台、数据统计及运营平台、大数据平台、安全审计平台、网管和运维平台、移动互联网应用平台等。其中认证和门户平台为接入城市无线局域网的用户提供安全认证登录,是本文的重点。
1 需求分析
认证和门户平台的安全认证系统在设计时须考虑以下关键需求。
(1)包含RADIUS系统,支持标准RADIUS协议,支持标准的Portal协议或者中国移动WLAN业务Portal V2.0.0协议。
(2)认证方式具备手机短信、微信、QQ、本机号码一键登录、微博、无感知认证、AC认证和BRAS认证等认证方式。
(3)手机号认证需支持获取验证码认证方式,短信通道支持中国移动、中国联通、中国电信手机号码。
(4)支持已经注册过的手机号码用户,在再次登录时不需要重新获取验证码即可登录,其他覆盖同类设备区域的登录也不需重新获取验证码。
(5)为降低出口链路处的单点故障、实现后期无缝扩容,部署的认证系统采取旁路部署模式。
(6)支持基于MAC地址/用户手机号的认证黑白名单,列入黑名单的用户无法通过认证。
(7)支持存量AP认证和增量AP认证。
2 安全认证架构总体设计
认证和门户平台为接入城市无线局域网的用户提供安全认证登录。平台提供统一的认证页面,页面设计简洁大方,采用统一标识体现城市地方特色。另外,在认证页面上提供技术支持文字,包括运营商单位名称及客服电话。无线城市技术架构如图1所示。
3 安全认证架构硬件设计
3.1 存量AP的认证
存量AP的认证包括两种方式,若存量AC工作在二层则采用BRAS认证方式,若存量AC工作在三层则采用AC认证方式。
(1)如存量AP为胖AP部署,或存量AC为二层部署,旁挂于主干链路中,认证流程如下。
1)在网络出口添加认证及推送BRAS网关。
2)存量AP设备向新增BRAS网关发起HTTP认证上网请求。
3)BRAS网关将存量AP上网请求重定向到Portal推送系统,Portal向RADIUS系统提交验证请求,RADIUS系统校验账号密码合法性后,将校验结果返回到Portal。
4)Portal系统将Portal页面及认证结果传至BRAS网关(采用中国移动WLAN业务Portal V2.0.0协议或标准的Portal协议)。
5)BRAS网关将Portal页面及认证结果反馈至增量AP,如认证通过存量AP即正常接入网络,如认证不通过将在Portal页面上发出错误提示。
(2)如存量AP采用瘦AP部署方式,且存量AC属于三层部署,认证流程如下。
1)直接通过存量AC进行认证,存量AC将AP重定向到Portal推送系统,Portal向RADIUS提交验证请求,RADIUS返回认证结果至Portal。
2)RADIUS系统将认证结果发至Portal推送系统。
3)Portal推送系统通过中国移动WLAN业务Portal V2.0.0协议或标准的Portal协议将推送页面及认证结果发至存量AC。
4)存量AC将推送页面及认证结果反馈至存量AP,如认证通过存量AP即正常接入网络,如认证不通过将在Portal页面上发出错误提示。
3.2 增量AP认证
增量AP认证与存量AP类似,有两种方式,若存量AC工作在二层则采用BRAS认证方式,若新建存量AC工作在三层则采用AC认证方式。
(1)如增量AP为胖AP部署,认证流程如下。
1)在网络出口添加认证及推送BRAS网关。
2)增量AP向BRAS发起认证上网请求。
3)BRAS将增量AP上网请求重定向到Portal系统,Portal系统将验证请求提交至RADIUS认证系统,RADIUS认证系统将验证结果返回至Portal系统。
4)Portal系统将Portal页面及认证结果传至BRAS网关(通过中国移动WLAN业务Portal V2.0.0协议)。
5)BRAS网关将Portal页面及认证结果反馈至增量AP,如认证通过增量AP即正常接入网络,如认证不通过将在Portal页面上发出错误提示。
(2)如增量AP为瘦AP部署,认证流程如下。
1)增量AP设备经过本地交换路由接入公网。
2)AP设备用DNS发现的方式寻找云AC,并将用户的认证信息发至云AC。
3)云AC将HTTP认证请求信息重定向到Portal系统(采用移动Portal V2.0.0协议),Portal系统向RADIUS认证系统提交验证请求,RADIUS进行验证并把验证结果返回至Portal。
4)Portal系统将Portal页面及认证结果传至云AC(采用中国移动WLAN业务Portal V2.0.0协议)。
5)云AC将Portal页面及认证结果反馈至增量AP(采用CAPWAP协议),如认证通过AP即正常接入网络,如认证不通过将在Portal页面上发出错误提示。
4 安全认证架构功能设计
4.1 多维化用户安全认证
公众可使用手机、平板电脑、笔记本电脑等移动终端设备,通过手机短信、微信、QQ、APP无感知、一键登录、微博等方式实现安全认证。
(1)手机短信Web认证:手机短信Web认证支持三大运营商手机用户,各运营商手机用户都可享受同等服务。手机号认证支持动态验证码认证方式,短信通道支持中国移动、中国联通、中国电信手机号码。认证平台认证通过后记录用户的手机号码,下次该手机用户再次登录时不需要重新获取验证码即可登录,其他覆盖同类设备区域的登录也不需要重新获取验证码。用户的手机、平板电脑、笔记本电脑等多台设备可使用同一个手机号码登录。但若用户手机号码被列入黑名单,则该用户无法通过认证;若用户手机号码被列入白名单,则该用户无需认证即可登录。
(2)APP无感知认证:安全认证平台统一提供给Wi-Fi用户进行上网认证的拨号客户端APP,用户通过该APP进行实名注册后通过用户名、密码进行上网认证。该APP客户端具备区域内覆盖Wi-Fi网络热点查看、网络接入等功能。通过该APP,用户能够查看覆盖当前区域的所有无线热点账号以及各个账号的信号强度。用户可选择某个信号较强的账号,经安全认证后可接入网络,当然用户也可以通过APP实现接入账号的快速切换。
(3)一键登录认证:无线局域网安全认证平台支持用户在浏览过Portal内容后,不需要输入任何认证信息,点击“登录”按钮后实现一键登录认证上网(实际上后台默认采用一组固定用户名和密码进行登录校验,通过认证后返回登录成功提示)。该认证方式从用户体验来说较为简捷。
(4)微信认证:用户通过关注“无线城市”微信公众账号,直接实现认证通过后上网。
(5)QQ认证:无线局域网安全认证平台支持用户通过QQ号和密码进行关联登录,实现互联网的接入和访问。通过该方式进行认证登录,支持用户转发指定消息到其QQ空间或腾讯微博。
(6)微博认证:无线局域网安全认证平台也支持用戶通过微博账号、密码进行关联登录,实现互联网的接入。通过该方式进行认证登录,支持用户转发指定消息到其微博主页。
4.2 安全认证后台管理
(1)用户信息管理:通过后台对用户信息进行管理,包括用户类型、计费规则、上网时长等。通过该平台可以对同一用户账号(包括同一手机号、同一QQ账号、同一微信号、同一微博账号等)添加多个IP地址/MAC地址,实现多个终端共用同一账号进行网络接入,包括手机、PAD、笔记本电脑等不同的终端。
(2)黑名单/白名单管理:支持基于用户手机号或MAC地址的认证黑/白名单管理,将可疑的手机号码、MAC地址加入黑名单,则该用户无法通过认证并接入网络。另外也支持将信任的手机号码、MAC地址加入白名单,则用户无需认证即可接入网络。
(3)认证短信管理:手机认证短信具有中国移动、中国联通、中国电信三家独立短信发送端口。通过后端管理平台支持对认证短信的内容进行修改、删除等操作。系统具备5套不同的短信模板可供选择使用,管理者可以自定义认证短信内容,并可以对模板内容进行审核,未审核通过的短信模板不允许使用。
(4)Portal兼容性:系统推送的Portal认证页面通过判断不同终端属性,包括操作系统、浏览器、分辨率、终端型号等,按照不同的终端设置分辨率,推送适当分辨率的认证页面。
(5)跳转网站设置:系统支持设置指定的跳转网站,包括用户认证前放通指定网站、认证完成后跳转的网站地址。设置完成后,用户在认证完成前系统将插播指定网站的页面内容,认证完成后将直接跳转到预设的网络链接。
(6)上网带宽参数设置:通过后台可以设置单个用户的最大上网带宽,实现基于用户的带宽限制,防止因为个别用户下载或看视频占据大流量而导致其他用户无法正常上网的情况,并可以根据不同用户调整不同的限制策略。
(7)上网时长参数设置:通过后端管理平台可设置免费上网时长。管理者能够设定用户认证成功后单次上网时长,用户到上网时间后自动下线,如要继续上网需要再次认证和浏览广告、观看信息,然后再登录上网,达到加强广告效果的目的。
(8)强制用户下线:系统支持强制用户下线功能。如发现用户有恶意操作行为,管理员可以通过后端管理平台强制该用户下线。
4.3 统一门户平台
系统提供无线城市门户平台,在门户平台上可查看城市人文情况介绍、时事新闻、政策动向、政务民生、商业消费等信息。同时集成移动互联网应用平台,为用户提供便捷、实用、智能化的移动互联网服务入口。
5 结 论
本文研究了城市无线局域网安全认证管理平台的重点建设内容,给出了无线城市安全认证技术架构。根据对无线城市安全认证系统的需求调研,详细研究设计了认证和门户平台,研究内容包括平台的业务流程、硬件设备认证流程以及平台功能。构建安全可靠的安全认证管理平台,增强无线网络可信度和提升政府形象,为政府、企业、公众等用户提供集政务、商务、民生服务一体的综合性无线应用环境,深化无线网络在政务、企业、民生、文化、经济等方面应用,方便市民生活,提高企业经营业绩,提升政府管理水平。
参考文献:
[1] 全国信息技术标准化技术委员会.信息技术 系统间远程通信和信息交换 局域网和城域网 特定要求 第11部分:无线局域网媒体访问控制和物理层规范:GB 15629.11-2003 [S].北京:中国标准出版社,2004.
[2] 中国通信标准化协会.公众无线局域网网络管理 第2部分:网络管理系统功能要求:YD/T 2615.2-2013 [S].北京:人民邮电出版社,2013.
[3] 新华社.中共中央办公厅、国务院办公厅印发《2006-2020年国家信息化发展战略》 [EB/OL].(2006-05-08).http://www.gov.cn/jrzg/2006-05/08/content_275560.htm.
[4] 国务院.国务院关于加快培育和发展战略性新兴产業的决定 [EB/OL].(2010-10-18). http://www.gov.cn/zwgk/20 10-10/18/content_1724848.htm.
[5] 公安部信息系统安全标准化技术委员会.互联网信息服务系统安全保护技术措施技术要求:GA 611-2006 [S].北京:中国标准出版社,2006.
作者简介:展昭(1989.09—),男,汉族,安徽蚌埠人,系统架构师,本科,研究方向:智慧城市软件系统架构。
