随着校园无线网建设的快速发展,无线网已经成为校园用户的主要接入手段,但是对于很多来校进行短期访问的国内外客人,由于涉及到开户销户、安全认证、访问权限、上网缴费等多方面因素,目前很多校园无线网并不能为这类用户提供方便的接入服务。清华大学作为接待国内外来访客人较多的学校之一,在这方面进行了有益尝试,建立了一套较为完善的自助式无线访客系统,为多种场景下的来访用户提供了方便的入网手段,在加强安全管控的同时,提高了来访客人入网效率,减轻了管理员负担,提升了学校对外形象,取得了很好的使用效果。
需求分析
1.现状分析
清华大学校园无线网主要设计目标是为校内师生提供服务,此前没有专门面向来访客人的服务系统。来访客人若需要接入校园网,需要校内受访人提出书面申请,由信息技术中心审核来访人身份信息,然后为来访人创建临时账号,整个开户流程相对繁琐,时间较长,增加了校内受访人的时间精力和体力负担。
2.基本原则
通过现状分析,清华大学对无线访客系统提出了两点基本建设原则:安全、简便。
无线访客系统要求以来访人实名信息为基础实现准入认证,辅以校内受访人签名方式实现来访人身份验证和上网行为约束,所有入网场景通过自服务方式提供技术支持,在保障网络安全的同时,最大程度简化入网流程,缩短开户时间,提升来访客人用户体验。
3.客人分类
经过梳理,我们将来访客人划归为三类,他们来校入网目的不同,资源访问需求也不相同:
访客(Guest):主要指来校学习交流的受邀客人,此类客人由校内受访人接待,且一般需要访问校内资源;
游客(Visitor):主要指来校旅游的客人,此类客人没有校内受访人,也无需访问清华大学校内资源;
漫游客(Eduroam):特指来访的Eduroam联盟成员用户,此类客人已经在其当地机构开通Eduroam账号,来校入网目的主要是接入互联网,一般不需要访问校内资源。
4.开户场景
为了提高来访客人的入网体验,需要从多个维度考虑开户场景,并进行针对性设计。这些维度因素包括:来访人是单人还是团体、有无受访人接待、受访人是否在现场、客人来自国内还是国外、是否需要访问校内资源等,对来访人开户入网场景的基本总结见表1。
其中,"访客(Guest)"场景最为复杂。这类客人一般是受邀来访,可能来自国内外,有校内受访人进行接待。按照国家对实名上网的要求,来访客人需要进行实名登记(例如使用国内运营商注册的手机号码),这种情况下系统必须要考虑到国内外访客在实名信息和语言文字方面的差别。当访客到达学校后需要现场进行实名信息登记和实时开户,此时如果受访人在现场,则可以采用扫描二维码的方式方便地为访客开户;如果受访人不在客人旁边,则需要通过远距离技术手段及时验证访客身份并为其实时开户。为了缩短访客现场实时开户时间,受访人可能希望在访客到达学校现场之前就能够为其开户,因此系统需要同时提供非现场提前开户的技术手段。另外,学校里经常举行各类国内外学术会议和技术交流,参会人员有时多达百人。这种场景下一般由会议组织者提前收集参会人员信息并提前进行批量开户,但即使如此,也很可能会有临时人员直接到达现场参会并要求上网,因此系统不仅需要为此类特殊情况提供方便的现场入网支持,而且还需要将这些现场开户的临时人员与之前参与同一活动的批量开户人员进行关联,以方便会议组织者对本次活动的所有参会人员入网信息进行集中管理。在上述开户场景中,需要由受访人决定访客是否可以访问校内资源,并对访客进行授权。
"游客(Visitor)"场景最为简单,只面向具有国内手机号的客人,采用手机号作为来访人实名信息,且只能来校后现场开户,不提供提前开户手段,也不能访问校内资源。
"漫游客(Eduroam)"场景只为Eduroam联盟成员机构下属的已经具有Eduroam账号的来访人提供服务。来访人到校后通过关联校园无线网发布的"Eduroam"信号进行个人实名信息登记(此处需要考虑国内外语言文字和个人证件信息方面的差别,并进行针对性设计),由受访人验证通过后即可接入校园网。为了提高用户体验,受访人也可以在来访人到校之前通过无线访客系统自服务平台为其Eduroam账号登记实名信息,来访人到校后可直接接入校园网实现无感知入网。
系统设计
1.权力下放,提升开户效率
从前一章描述中可以看到,同现有校园网相比,无线访客系统最大的改进是在访客开户环节。如图1所示,无线访客系统在传统校园网开户流程中增加了"受访人"角色,将传统由信息技术中心负责的访客身份验证审核工作分权下放给了校内受访人,不需要亲临信息技术中心现场,访客即可在受访人的协助下自助完成身份审核与开户,大幅提高了访客入网开户效率(图中不同访客图标代表了不同类型不同场景的来访客人)。
图1 访客开户的模型
2.系统独立,保证安全可控
在"访客-受访人-信息技术中心"三级模型下,无线访客系统在安全保护、网络部署、业务连续性、场景自服务等方面进行了综合考虑和全新设计,采用独立网络、独立管控、双机冗余、增量部署的方式与校园网无缝对接,全程实名,追溯到账号,保证了访客上网行为的安全可控,并实现了首次认证后的全过程无感知入网。
图2为无线访客系统架构示意图,无线访客系统针对三类来访人广播三个不同的SSID:Guest、Visior和Eduroam,来访人关联相应SSID后系统会全自动引导用户通过实名身份验证接入校园网,图中不同颜色线段示意了不同场景下的准入认证流程。
图2 无线访客系统构架和认证流程
3.细节优化,提升用户体验
考虑到短期来访的校外客人对校园网使用方式不熟悉,因此无线访客系统对开户、认证、缴费、管理的每个操作环节都进行了充分研究,在界面布局、信息提示和操作引导方面进行了专业设计,对自助服务进行了极致优化,无论来访人还是受访人,无论专业IT人士还是非专业人士都可以无障碍地完成整个入网过程操作,而无需信息技术中心的介入,极大提升了用户体验。图3给出了部分用户使用界面,可以看出无线访客系统在用户体验方面进行了较为充分的考虑。
使用效果
传统的校园网用户管理系统,主要面向校内师生提供服务,没有考虑访客的上网特点和需求,这导致访客与校内师生在开户流程上没有明显区别、访客与校内师生的上网权限不易区分,两类人群混在一起,增加了管理难度和复杂度。
以往的访客身份验证和开户规则,其实是把访客对网络访问的安全责任交给了信息技术中心负责。在访客数量激增后,访客上网的安全审计和溯源难度增加,一旦出现网络安全事件,真正的责任人追溯比较困难,加大了信息技术中心的安全责任。
新无线访客系统设计为独立的平台,具备独立的IP地址池和独立的访客数据库,有独立的上网审计,独立的管理系统,完全实现了访客与本校师生的区分管理。同时,新系统引入校内受访人作为审核员,将以往信息技术中心的审核和开户工作分配至各受访人。访客实名信息由受访人负责验证并对访客上网行为进行背书,提高了受访人与访客的安全上网意识。新无线访客系统让以往颇受诟病的入网方式成为历史,把简单而又重复性高的审核和开户工作分配给受访人之后,信息技术中心可以把更多精力聚焦于核心的数据存储和系统管理上,运维工作效率得以大幅提升。
在用户体验方面,新无线访客系统同时支持游客、访客和Eduroam漫游;支持预开户和现场实时开户;支持个人访客、小型会议或大型集会等多种场景。受访人可以快速开通访客的入网账号,无需信息技术中心介入,大大简化了入网流程。与此同时,受访人通过登录自服务系统,能够全面了解访客的上网状态(例如是否在线、登录时间、账号有效期等),并可以及时做出相应管控。访客入网不再受制于信息技术中心的审批效率,极速开通即刻上网。完成初次实名验证后,后续上网达到无感知。
新无线访客系统具有页面自适应、业务自助化、支付宝或微信实时充值、虚拟钱包、中英文界面等特色功能,把用户体验做到了细处。自年初正式投入运行以来,无线访客系统已经服务4万余名来访客人,服务时长超过8万小时,并为校庆活动提供了有力支持,作为学校对外服务窗口之一,获得了良好口碑和美誉度,进一步提升了清华大学的国内外形象。图4~6为基本运行情况截图。
清华大学无线访客系统极大加强了对"访客"这类特殊人群的服务能力,但是目前该系统只支持IPv4。随着IPv6应用的逐渐发展,无线访客系统如何支持IPv6用户认证、如何无感知支持IPv4/IPv6双栈用户入网、如何解决安卓无线终端IPv6地址不断变化的难题、如何对IPv6地址进行审计和追溯,都将是无线访客系统的下一步工作重点。无线访客系统将在IPv6方面加强研究,争取早日提供完善的双栈接入能力,将无线访客系统打造为全场景服务系统,全面提升系统服务能力。
(作者:李子木 杨家海 傅怡琦 张慧琳 杜小江 刘乃嘉,单位为清华大学信息化技术中心)
声明:本文来自中国教育网络,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。