實(shí)名制上網(wǎng)的問(wèn)題源頭：外來(lái)人員隨意接入不會(huì)遵從上網(wǎng)規(guī)定，其不良行為風(fēng)險(xiǎn)將轉(zhuǎn)嫁給接入單位；內(nèi)部人員真實(shí)對(duì)應(yīng)問(wèn)題：無(wú)法將互聯(lián)網(wǎng)行為和真實(shí)的人關(guān)聯(lián)定位，無(wú)法在發(fā)現(xiàn)問(wèn)題后對(duì)當(dāng)事人進(jìn)行及時(shí)的糾正，無(wú)法及時(shí)提醒當(dāng)事人改正自己的行為。

無(wú)線網(wǎng)絡(luò)認(rèn)證的需要

公共圖書(shū)館作為公益的非經(jīng)營(yíng)性服務(wù)場(chǎng)所，館內(nèi)覆蓋的無(wú)線網(wǎng)絡(luò)和分布在電子閱覽室等公共區(qū)域的自助查閱設(shè)備等都使圖書(shū)館內(nèi)部網(wǎng)絡(luò)直接暴露給外來(lái)的不確定身份的流動(dòng)性人員，面臨著很大的的安全風(fēng)險(xiǎn)；同時(shí)，需要接受公安網(wǎng)監(jiān)部門的監(jiān)管，讀者上網(wǎng)的用戶注冊(cè)信息、登錄時(shí)間、退出時(shí)間、登錄IP地址、登錄的讀者證號(hào)、瀏覽網(wǎng)站的IP地址或域名、違法的聊天和發(fā)帖內(nèi)容等，都需要具有至少兩個(gè)月的記錄備份，還需要通過(guò)上網(wǎng)行為審計(jì)設(shè)備向網(wǎng)監(jiān)部門實(shí)時(shí)上傳違法數(shù)據(jù)。

網(wǎng)絡(luò)認(rèn)證的幾種方式

認(rèn)證技術(shù)是AAA（認(rèn)證，授權(quán)，計(jì)費(fèi)）的初始步驟，目前主要的認(rèn)證方式有以下三種 ：PPPoE、802.1X 和 Web Redirection 認(rèn)證。三種方式有其產(chǎn)生的背景原因和技術(shù)特點(diǎn)，以下對(duì)這幾種技術(shù)作一個(gè)簡(jiǎn)要的分析比較：

（一） PPPoE認(rèn)證

通過(guò)PPPoE協(xié)議，互聯(lián)網(wǎng)服務(wù)提供商可以在以太網(wǎng)上實(shí)現(xiàn)PPP協(xié)議的主要功能，包括采用各種靈活的方式管理用戶。PPPoE協(xié)議允許通過(guò)一個(gè)連接客戶的簡(jiǎn)單以太網(wǎng)橋啟動(dòng)一個(gè)PPP對(duì)話。PPPoE的建立需要兩個(gè)階段，分別是搜尋階段和點(diǎn)對(duì)點(diǎn)對(duì)話階段。當(dāng)一臺(tái)主機(jī)希望啟動(dòng)一個(gè)PPPoE對(duì)話，它首先必須完成搜尋階段以確定對(duì)端的以太網(wǎng)MAC地址，并建立一個(gè)PPPoE的對(duì)話號(hào)。搜尋階段是一個(gè)客戶-服務(wù)器的關(guān)系，主機(jī)和網(wǎng)絡(luò)設(shè)備將擁有能夠建立PPPoE的所有信息，這個(gè)階段將在點(diǎn)對(duì)點(diǎn)對(duì)話建立之前一直存在。一旦點(diǎn)對(duì)點(diǎn)對(duì)話建立，主機(jī)和網(wǎng)絡(luò)設(shè)備都必須為點(diǎn)對(duì)點(diǎn)對(duì)話階段虛擬接口提供資源。

優(yōu)點(diǎn)：最終用戶相對(duì)較容易接收

缺點(diǎn)：PPP協(xié)議和Ether net技術(shù)本質(zhì)上存在差異，PPP協(xié)議需要被再次封裝到以太幀中，所以封裝效率很低；PPPoE在發(fā)現(xiàn)階段會(huì)產(chǎn)生大量的廣播流量，對(duì)網(wǎng)絡(luò)性能產(chǎn)生很大的影響；組播業(yè)務(wù)開(kāi)展困難，而視頻業(yè)務(wù)大部分是基于組播的；需要運(yùn)營(yíng)商提供客戶終端軟件，維護(hù)工作量過(guò)大；PPPoE認(rèn)證一般需要外置BAS，認(rèn)證完成后，業(yè)務(wù)數(shù)據(jù)流也必須經(jīng)過(guò)BAS設(shè)備，容易造成單點(diǎn)瓶頸和故障，而且該設(shè)備通常非常昂貴。

（二）802.1X認(rèn)證

優(yōu)點(diǎn)：

802.1X協(xié)議為二層協(xié)議，不需要到達(dá)三層，而且接入層交換機(jī)無(wú)需支持802.1q的VLAN，對(duì)設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本。

通過(guò)組播實(shí)現(xiàn)，解決其他認(rèn)證協(xié)議廣播問(wèn)題，對(duì)組播業(yè)務(wù)的支持性好。業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上；用戶通過(guò)認(rèn)證后，業(yè)務(wù)流和認(rèn)證流實(shí)現(xiàn)分離，對(duì)后續(xù)的數(shù)據(jù)包處理沒(méi)有特殊要求。

缺點(diǎn)：

802.1X認(rèn)證需要特定客戶端軟件；

網(wǎng)絡(luò)現(xiàn)有樓層交換機(jī)的問(wèn)題：由于802.1X是比較新的二層協(xié)議，要求樓道交換機(jī)支持認(rèn)證報(bào)文透?jìng)骰蛲瓿烧J(rèn)證過(guò)程，因此在全面采用該協(xié)議的過(guò)程中，存在對(duì)已經(jīng)在網(wǎng)上的用戶交換機(jī)的升級(jí)處理問(wèn)題；

IP地址分配和網(wǎng)絡(luò)安全問(wèn)題：802.1X協(xié)議是一個(gè)2層協(xié)議，只負(fù)責(zé)完成對(duì)用戶端口的認(rèn)證控制，對(duì)于完成端口認(rèn)證后，用戶進(jìn)入三層IP網(wǎng)絡(luò)后，需要繼續(xù)解決用戶IP地址分配、三層網(wǎng)絡(luò)安全等問(wèn)題，圖創(chuàng)公司的無(wú)線認(rèn)證采用的就是這種方式，無(wú)法滿足我館的實(shí)際需要。

（三）Web Redirection認(rèn)證

這種方式是無(wú)線網(wǎng)絡(luò)服務(wù)提供商最常用的方式。無(wú)線網(wǎng)絡(luò)設(shè)置成開(kāi)放模式，但另外在后臺(tái)利用無(wú)線接入控制網(wǎng)關(guān)(ACG)，攔截移動(dòng)終端發(fā)出的Web封包(開(kāi)啟瀏覽器嘗試上網(wǎng))，并強(qiáng)制重定向到認(rèn)證網(wǎng)頁(yè)要求輸入賬號(hào)密碼，然后ACG向Portal認(rèn)證服務(wù)器來(lái)確認(rèn)使用者的身份，認(rèn)證通過(guò)才可以自由訪問(wèn)其它網(wǎng)站，而且用戶信息將被記錄。

圖1 我館主要網(wǎng)絡(luò)結(jié)構(gòu)和無(wú)線認(rèn)證實(shí)現(xiàn)流程

優(yōu)點(diǎn)：

Web承載在7層協(xié)議上，支持跨平臺(tái)，不需要特殊的客戶端軟件；

用戶在認(rèn)證前，不管是TELNET、FTP還是其它業(yè)務(wù)，必須使用瀏覽器進(jìn)行WEB認(rèn)證，防止匿名攻擊，保證網(wǎng)絡(luò)安全；

能夠通過(guò)支持三層協(xié)議的交換機(jī)，降低網(wǎng)絡(luò)重構(gòu)的工作量；

可以自己開(kāi)發(fā)定制界面友好認(rèn)證界面和廣告投放界面。

缺點(diǎn)：

用戶連接性差，不容易檢測(cè)用戶離線，基于時(shí)間的計(jì)費(fèi)較難實(shí)現(xiàn)；

認(rèn)證前后業(yè)務(wù)流和數(shù)據(jù)流無(wú)法區(qū)分。

由于我館實(shí)行零門檻無(wú)障礙的服務(wù)，所以無(wú)線網(wǎng)絡(luò)也不需要計(jì)費(fèi)，不需要搭建RADIUS認(rèn)證服務(wù)器，采用的就是這種認(rèn)證方式，這樣做的好處就是最大限度地減少了對(duì)現(xiàn)有內(nèi)部網(wǎng)絡(luò)的重構(gòu)，以最低成本實(shí)現(xiàn)了電子閱覽室等公共區(qū)域無(wú)線網(wǎng)絡(luò)的實(shí)名認(rèn)證。

無(wú)線網(wǎng)絡(luò)認(rèn)證的原理

我館使用的是廣州圖創(chuàng)公司的Interlib圖書(shū)館集群自動(dòng)化管理系統(tǒng)，業(yè)務(wù)數(shù)據(jù)庫(kù)管理軟件采用的是Oracle 10g。只需要通過(guò)數(shù)據(jù)庫(kù)連接代碼連接到Interlib數(shù)據(jù)庫(kù)，讀取到讀者信息數(shù)據(jù)表中的相關(guān)數(shù)據(jù)，再通過(guò)驗(yàn)證程序進(jìn)行比較在通過(guò)認(rèn)證后傳送到ACG控制網(wǎng)關(guān)就能實(shí)現(xiàn)讀者的實(shí)名認(rèn)證與審計(jì)。

圖2 在核心交換機(jī)上配置鏡像端口和監(jiān)聽(tīng)端口

圖3 指定監(jiān)聽(tīng)端口，將外部認(rèn)證服務(wù)器的端口鏡像到ACG。

圖4 指定外部認(rèn)證服務(wù)器地址與認(rèn)證成功識(shí)別關(guān)鍵字

無(wú)線認(rèn)證的具體實(shí)現(xiàn)

包括認(rèn)證服務(wù)器的搭建，程序的開(kāi)發(fā)調(diào)試，核心交換機(jī)的設(shè)置和ACG的第三方認(rèn)證功能的設(shè)置，步驟如下：

（一）服務(wù)器的環(huán)境搭建與Web程序開(kāi)發(fā)（PHP語(yǔ)言）

1.settings運(yùn)行環(huán)境版本信息

其中org.eclipse.php.cor e.prefs文件如下：

2.聲明函數(shù)文件說(shuō)明

Common.inc.php核心函數(shù)庫(kù)、global.func.php常用函數(shù)、login.func.php登錄頁(yè)函數(shù)、oracle.func.php數(shù)據(jù)庫(kù)操作函數(shù)，由于篇幅有限，具體文件內(nèi)容請(qǐng)查詢《網(wǎng)絡(luò)運(yùn)維與管理》雜志社官方網(wǎng)站IT運(yùn)維網(wǎng)上的同名文章。

3.認(rèn)證頁(yè)面文件說(shuō)明

（1）Code.php 生成驗(yàn)證碼

（2）Config.php 登錄驗(yàn)證

（3）Index.php 首頁(yè)

（4）isMobile.php 判斷手機(jī)或電腦端

（5）Mobile.php 手機(jī)端首頁(yè)

（6）Pc.php 電腦端首頁(yè)

由于篇幅有限，具體文件內(nèi)容請(qǐng)查詢《網(wǎng)絡(luò)運(yùn)維與管理》雜志社官方網(wǎng)站IT運(yùn)維網(wǎng)上的同名文章。

（二）交換機(jī)的配置與ACG第三方認(rèn)證的配置

我館使用了深信服AC-2000，它支持郵箱、微信、短信等多種認(rèn)證方式和第三方認(rèn)證服務(wù)器，并通過(guò)基于瀏覽器的認(rèn)證方式，方便了用戶的身份識(shí)別和認(rèn)證，并且有強(qiáng)大的監(jiān)控和審計(jì)功能，保護(hù)內(nèi)部數(shù)據(jù)安全、防止機(jī)密信息泄漏，如圖 2、3、4所示。