基于Portal的商业WiFi业务统一认证平台设计与实现

  本文关键词：军械工程学院学报，由笔耕文化传播整理发布。

基于Portal的商业WiFi业务统一认证平台设计与实现

2016005期

徐苑苑

（上海电信科技发展有限公司 上海 200030）

摘 要 Internet的广泛应用促使人们对网络安全的关注越来越深入，公共WiFi也越来越普及，建设一个安全统一的公共WiFi认证中心，是越来越迫切的需求。如何对公共WiFi 进行用户控制，对公共WiFi的数据进行验证，保证网络交流的安全可靠性成为人们所关注的焦点。基于Portal的统一认证平台正是基于这样一种背景下应运而生。实时短信认证技术可以有效的解决网络安全问题，其功能可归结为门户推送和身份认证两大功能。本设计从统一认证中心的构建出发，通过构建短信认证管理中心，通过手机短消息，实现对用户的实时认证，来实现对网络可信任身份的保证，确保网络通信的安全。

关键词 公共WiFi，Portal认证，统一认证平台

中图分类号：TP3　文献标识码：A

doi:10.3969/j.issn.1674-7933.2016.05.03

Portal-based Commercial WiFi Service Unifi ed

Authentication Platform

XU Yuanyuan

Abstract The extensive application of Internet makes people pay more attention to the security of network, andthe public WiFi is becoming more and more popular. It is urgent to build a secure and unifi ed public WiFi authenticationcenter. How to control public WiFi, to verify the data of public WiFi, to ensure the security and reliability of networkcommunication have become the focus of people´s attention. Portal based unifi ed authentication platform is based onsuch a background came into being. Real time SMS authentication technology can effectively solve the problem ofnetwork security, and its functions can be attributed to the two functions of portal push and identity authentication. Thisdesign bases on from construction of unifi ed authentication center, by constructing the SMS authentication managementcenter, through mobile phone short message, real-time authentication of users, to achieve identity trust guarantee on thenetwork, to ensure the security of network communication.

KeyWords Public WiFi, Portal Authentication, Unifi ed Authentication Platform

0 引言

软件项目开发需要一个团队互相配合、分工协作。WiFi统一认证平台可以规范一个软件开发团队的日常工作，提高工作效率。软件项目管理是为了使软件项目能够按照预定的成本、进度、质量顺利完成，而对成本、人员、进度、质量、风险等进行分析和管理的活动。目前，统一认证平台系统的资源未得到有效利用，同时安全性也存在一定风险，数据方面也缺少分析及挖掘。然而，软件项目的管理主要有手工存取及利用VSS、SVN等工具对软件项目进行管理，起不到对项目进度的实时跟踪与管理。

为了建立统一的无线网络平台，为电信网点提供稳定、安全的无线网络访问环境, 为后续电信WiFi平台在电信网点开展市场宣传、销售、售后服务等业务系统提供可靠的基础支持，本项目设计了一个基于Portal的方便商业软件开发过程管理的统一认证平台。Portal技术是一种Web门户技术，能将多个信息系统、数据平台进行整合，提供同一用户身份验证，它能有效的管理软件开发过程中每个阶段进展情况[1]；即时跟踪项目开发过程中的Bug，提供公司财富库资源的开放和权限控制。面对Portal技术，IBM、SUN、ORACLE和微软等商业巨擘都耗费巨资开发了自己的Portal平台。因此，本文基于Portal技术，设计并实现了一个商业WiFi业务统一认证平台。

1 需求分析

1.1 业务需求

在实际商业WiFi组网应用中，用户对网络验证的可靠性要求越来越高。若接入设备与认证服务器通信中断，将导致用户无法正常上线同时对设备及服务器带来计费问题。如何维护网络的稳定是需要解决的问题之一。

由于在开发过程中会遇到许多问题，面对面的通知、开发过程中Bug的记录与后期查看、任务下发与跟踪等都会使项目进度变慢。对于公司的财富库的使用没有很好的利用，总是要通过其他工具去查看资源，使用极不方便。

基于以上情况，需要平台采用信息技术对软件项目进度、流程、Bug等方面进行管理，提高系统开发效率的目的。在该系统中，希望实现包括开发流程跟踪、Bug管理、文档管理、财富库建设等基础功能，可以解决开发进度跟踪困难、管理提交文档不便、开发过程中所产生的Bug处理结果不明、公司财富库得不到有效的利用的问题。

为进一步完善软件项目流程及资源的统一管理，更加全面、有效的服务于软件开发过程和财富库管理，基于Portal的商业WiFi业务平台需达成以下业务目标：

(1) 构建统一、稳定、安全的电信网点无线网络环境。

(2) 为电信网点客户访问互联网时提供稳定的无线WiFi接入环境。

(3) 按照公安部82号令要求，提供客户接入无线网络时的认证信息及相关数据，通过电信网点端公共场所安全管理系统进行数据合并后上传到公安网监部门。

(4) 为电信网点员工访问业务系统提供稳定的WiFi接入环境。

(5) 收集电信网点客流信息，为电信网点实现客流分析提供数据支持。

(6) 用户通过接入设备访问web server认证页面，通过认证后可以访问外网。

(7) 在不同的组网模式下，支持多种认证方式[2]。

1.2 可行性分析

可行性研究的目的就是用最小的代价在尽可能短的时间内确定问题是否能够解决。该系统的可行性分析包括经济可行性、技术可行性和操作可行性三个方面的内容。经过系统分析，此系统开发目标明确，在各方面都可行，并且投入少、见效快。因此系统的开发是完全可行的。

2 概要设计

统一运维和认证中心系统，是整个WiFi系统的门户，需要满足管理员、厂商、顾客的多种接入需要，平台采用集中认证、集中更新Portal的模式来建设[3]，按以下总体架构进行。

2.1 架构及部署

本项目分为总部端-电信网点两层结构，针对一个典型的商业WiFi场所，总体架构图如图1。

部署分为总部端和电信网点端进行，电信网点端无线网络架构往往按单出口和双出口两种提供给用户，如图2中右上角“出口*”所标记的。当采用“单出口”模式时，该出口就是员工出口；当采用“双出口”模式时，出口是员工、客户共用出口。

2.2 功能设计

在完成了对平台的功能需求分析后，对系统的功能进行设计。设计中，考虑将应用分离为不同的功能，这些功能保持尽可能小的重叠，使各功能的依赖关系最小化。统一认证系统实现客户的无线接入认证[4]，主要功能如下：

(1) 支持客户通过以微信扫一扫后选择关注、短信认证、会员号登陆等多种认证方式，接入电信网点无线网络；后续可支持支付宝扫一扫关注。统一Portal 认证包括微信、短信、会员号、白名单、MAC免认证等多种认证方式，适合不同人群，另外如百度APP 一键式登录，也可以支持其他“扫一扫”的APP登录方式，包括支付宝。

(2) 平台可以收集到店并连接上WiFi 客户的微信OpenID、手机号等；短信和微信登录，Portal 都会记录微信OPEN ID和手机号。

(3) 平台可收集到打开WiFi但未连接到电信网点无线的非关联客户MAC地址及到店、离店信息；Portal 启动嗅探功能，可以收集到连接和非连接的MAC地址；更进一步的，可以提供客人轨迹记录、位置服务等功能，开发进店、离店的应用。

(4) 客户二次到店或跨电信网点无需再次认证；Portal系统有二次免认证功能，在全系统范围内（跨店）方便用户简化上网流程。

(5) 客户认证界面为统一样式，分为上下两部分，上部为总部端控制，总部端可根据需要调整认证Portal界面样式、修正广告内容。下部为电信网点控制，电信网点可以自定义认证画面，进行广告宣传；Portal有多种子页面可供不同管理员定制，自行管理，同时提供Portal自服务平台，供管理员进行个性化Portal 页面的定制。

(6) 自动匹配各类型无线终端，并推送自匹配分辨率的广告页面所有Portal 页面均可以自适应用户终端屏幕。

(7) 可按公司架构自定义建立：地区、大区、小区（城市）、电信网点四级组织架构分组管理，招标人可以查看各级的客户到店情况；电信网点可以查看、统计本店到店客户情况；Portal 管理系统提供分级权限的管理员设置，用户可以自行定义多级组织架构管理权限。

(8) 在线用户手机号码、IP、MAC等实时查看和管理。

Portal 提供在线用户号码、终端信息的查看、管理、下线等服务；支持802.1x认证，电信网点员工可以通过WPA2+AES接入专用高安全无线SSID。WiFi系统结合认证系统，可以现行提供mac认证、802.1x认证。

(9) 电信网点员工通过短信认证，接入电信网点办公无线网络；支持办公网的多种认证方式，如白名单认证后，赋予员工不同的访问权限。

(10) 支持黑白名单功能，电信网点员工、客户访问相互隔离，并可根据自身网络情况，在员工、客户访问网络时提供不同的用户访问权限。Portal系统通过定义不同认证方式的先后优先级，可以先为员工进行mac和用户名认证，通过RADIUS属性授权，给予员工不同的访问权限。Portal的认证机制、认证日志均可以标准接口开放，方便招标人实现考勤等第三方系统的对接。

3 详细设计与技术实现

3.1 模块设计

1) Portal模块

Portal按支持多热点模式部署，各区域（网点）直接调用数据中心IDC的Portal，全部由核心端 Portal系统直接为所有区域上网用户提供Portal推送服务，分为一套统一Portal门户和RADIUS用户认证系统。

本地有网关承载本地Portal，本地Portal由IDC统一Portal模块进行管理和更新，本地Portal 留存本地所需要的多套Portal模版供管理员调用，IDC保留所有网点Portal模版备用和备份。

这一设计的优势是用户得到门户推送时延最低，且可以统一和分级分权限管理相结合，本地Portal 可以在IDC 拥塞或者本地与IDC终端时依然正常工作，不会造成大面积用户Portal的故障，减小运维的压力。

2) 广告经营模块

广告经营模块与Portal 系统密切对接，随时将更新的广告内容，通过认证前Portal、认证后Portal、悬浮窗（条）等形式更新到所有网点Portal上去。

广告经营模块包括CMS 内容编排系统，以及SMS短信通道、微信对接服务，可以直接编辑信息推送的模版和内容，并对手机号、微信ID进行内容的推送。

3) 宽带计费

可以用于场内WiFi 使用的收费运营，可选。

4) WiFi定位引擎和图商

此次平台虽然包含多个综合体功能区块，但均属于一个局域网内，在数据中心IDC 上部署一套ALE 定位引擎，可以在本地进行所有无线终端的位置计算，并上传位置等信息与核心IDC端的WiFi定位引擎，由核心端定位引擎调用地图服务器，为BI大数据分析和APP 等提供位置信息。上传定位数据由时间戳、终端ID、类型、MAC，以及地图位置坐标组成，大约20字节，按100个终端每秒产生一次，则每个AP 要产生 20bytes *100*8=16kbps 的LBS 流量，300个AP大约4800kbps，即IDC定位数据流在局域网内是4800kbps；相对于全场千兆上联其数据速率要求可以说不会产生压力。因此如果其他异地网点也进行LBS位置服务时，在异地店内增加ALE定位引擎模块，将定位后的数据发往总部图商和定位引擎，这样可以大大降低IDC总部定位引擎的带宽消耗。

5) 网安审计

场内由于提供公共互联网服务，需要安装网安审计设备备查。在出入口采用旁路或者串接网安审计设备的方式，可以在网安设备上产生上网日志，并对接属地网安平台，IDC核心端安装网安设备的统一管理平台，完成故障报修、维护、告警等运维任务。

3.2 门户设计

按如图3的架构设计，所有的Portal均为集中化统一管理，由一个统一的管理中心进行所有Portal的编排、发放、统计、策略更新。考虑到此次网点较多，有区域化管理和部署的特点，Portal既可以集中化部署，也可以用POP点的方式分散压力，甚至在本地定位引擎和网安设备上起Portal服务—本地提供Portal服务，更新由中心控制和分发，所有的其他认证、短信验证码、微信服务对接等都在核心端实现对接。

Portal服务与认证服务分开部署架构如图4。

认证流程：当WiFi客户端连接WiFi后，终端的CaptivePortal机制调用浏览器发起流量。

AC或IAP截取用户上行的访问TCP请求，挂起，并自行发起向Portal 服务器的Portal页面请求，Portal服务器群在负载均衡设备的管理下，组成一个高性能的服务器群，响应预设的根据不同AC发起的Portal request，将对应的Portal页面通过AC传送到WiFi用户的终端屏幕上，提示用户输入手机号。

用户在认证前Portal上输入手机号，发现需要填写验证码，则点击一边的“验证码”发送。这一动作，Portal服务启动动态验证码计算引擎，随机得到一个验证码。Portal通过短消息通道，将这个验证码发出给填入的手机号；同时做一个动作，将手机号和验证码传送到用户数据库的相应表单中，新增一个新纪录。

用户通过手机拿到验证码之后，输入Portal，Portal服务器将填入的结果发还给AC，AC拿着这一对手机号和验证码，转而送到认证服务器中去。

作为标准的RADIUS服务器，Radius服务器通过数据库，前往查证是否属实。认证服务器从数据库中得到查阅人的信息，以及刚刚预存的验证码，比较是否属实。这个数据库中的记录，刚刚入库几秒钟，这里确定几个回复策略：

一个手机号只允许3个终端上网

验证码有效期3次，可以供不同终端上网

Portal服务器，只写入新记录

Portal服务器对接入的AC要预设的要求

认证服务器作为Radius服务器，将收到AC转过来登记信息，开始调看数据库，从库存状态分别送入“通过”“失败”“挂起”等状态。其他Radius参数可以选配，供形成访问时间、访问范围等进行授权。可以在这个数据表中，进行BI数据分析。AC得到确切的Radius参数，为每个上网用户建立QOS保障的上网通道。根据这些上网时长、业务类型等数据，AC 可以为用户提供QOS保证的通道建立。

4 应用实例

此次平台采用构件技术来完成开发，构件技术是目前最重要的软件开发技术。它使得软件可重用大量已有的软件实现，可动态地组装一个软件系统，提供了各种软件构件之间的可操作性，这为最终用户定制一个软件以及软件本身的升级和维护提供了良好的机制，为软件的再利用提供了技术保证。平台 Portal系统包括NOC运维管理模块，用户管理模块，行为分析管理模块。

Portal的用户管理可以完成对用户级别的控制和统计。

如查阅上网用户、对用户进行访问速率、时间的限制、人工强制下线等，包括：

● 显示用户访问日志，显示内容包括有qq、邮箱、论坛、博客、网店等访问的帐号名称，可用于后台的推广。

● 用户在百度查询的关键字及其搜索的次数。

● 显示用户访问网站URL及标题。

● 通过AP检测手机mac出现的时间。

● 用户终端详细信息。

● 微信扫一扫登录上网的用户信息。

● 用户停留时间及来访次数。

5 结束语

本文设计并实现了基于Portal技术的WiFi统一认证平台，用户可通过浏览器灵活访问网络，完成身份验证等操作。同时，Portal可以保障关键数据的访问控制，提高平台的安全性。平台的开发过程基于B/S架构的管理系统，运用有效的管理软件开发过程中每个阶段进展情况；即时跟踪项目开发过程中的Bug，提供公司财富库资源的开放和权限控制。缩短软件开发的进度、提高软件产品的质量，有效的维护公司财富库资源。

本设计从统一认证中心的构建出发，通过构建短信认证管理中心，通过手机短消息，实现对用户的实时认证，来实现对网络可信任身份的保证，，确保网络通信的安全。本系统采用多层体系结构，保证了系统良好的灵活性和可扩展性，并实现了用户在需求分析阶段提出的功能需求。为了提高系统性能，简化了系统逻辑，部分功能由自动运行程序处理。并且，将web系统与文档成功分离，提升文档的灵活性和系统可配置性。根据项目需要，另加设了文档在线查看功能，利用ActiveX Offi ce组件，方便使用者查看相关文档。

参考文献

[1]吴洁明, 杨轶鑫. 基于Portal的统一身份认证系统研究与开发[J]. 航空计算技术, 2004, 34(4):89-91.

[2]刘冰. 在数字化校园中利用Portal和Ldap实现统一身份认证的研究与应用[D]. 沈阳理工大学, 2008.

[3]董兆殷. 基于Portal认证的校园WLAN安全设计及应用[J]. 中国新技术新产品, 2010(11):20-20.

[4]王增光, 陈立云, 卢昱. WiFi环境下的身份认证模型研究[J]. 军械工程学院学报, 2015, 27(1):46-49.

[5]沈旺东. 云WIFI基础平台管理系统的分析与设计[D]. 云南大学, 2015.

原文来源：《软件产业与工程》

  本文关键词：军械工程学院学报，由笔耕文化传播整理发布。