李玉對　鐘寶榮

摘要：無線局域網(wǎng)的安全運營管理是近些年的研究熱點，而用戶的接入認(rèn)證是整個網(wǎng)絡(luò)安全管理和運營的基礎(chǔ)。WiFi收費系統(tǒng)是將傳統(tǒng)的網(wǎng)絡(luò)管理，通過網(wǎng)絡(luò)認(rèn)證的方式，實現(xiàn)對網(wǎng)絡(luò)的連通性、計時計費和流量控制等管理。該文首先對WEB認(rèn)證服務(wù)器和OpenWrt系統(tǒng)路由器的WiFiDog服務(wù)等工具的介紹，然后對用戶在WEB認(rèn)證過程中的流程和數(shù)據(jù)流向進(jìn)行詳細(xì)的剖析，在用戶頁面的跳轉(zhuǎn)、登錄和eASY-的過程中深入探討WifiDog的網(wǎng)關(guān)心跳協(xié)議、用戶狀態(tài)心跳協(xié)議、跳轉(zhuǎn)協(xié)議和注冊協(xié)議的數(shù)據(jù)格式和接口所起到的重要作用。最后，分析在整個設(shè)計過程中遇到的難題，認(rèn)真總結(jié)每個難題的出現(xiàn)和解決方法，同時提出本文設(shè)計的系統(tǒng)在未來發(fā)展的廣泛應(yīng)用前景和潛在巨大的拓展性。

關(guān)鍵詞：WEB認(rèn)證；WiFiDog；OpenWa

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2017）08-0087-03

1概述

1.1背景與意義

在以太網(wǎng)技術(shù)飛速發(fā)展的今天，如何管理、運營網(wǎng)絡(luò)從而取得實際的效益已經(jīng)成為眾多電信運營商關(guān)注的焦點。認(rèn)證系統(tǒng)作為用戶接入網(wǎng)絡(luò)的重要組成部分，是實現(xiàn)可管理、可運營網(wǎng)絡(luò)的關(guān)鍵。但同時WiFi的引入帶來新的安全問題，和以前的布線網(wǎng)絡(luò)要求有實際的物理端口接入不同，任何一個用戶都可以憑借自己的無線設(shè)備接人到WiFi上來訪問網(wǎng)絡(luò)資源，甚至對無線網(wǎng)絡(luò)中的通信進(jìn)行監(jiān)聽或者攻擊。這樣無線網(wǎng)絡(luò)安全的管理和運營更顯得尤為重要，而接人認(rèn)證技術(shù)是實現(xiàn)對網(wǎng)絡(luò)管理和運營的基礎(chǔ)。因此，近年來對于無線接人認(rèn)證技術(shù)的研究一直是一個熱點。

通過本文設(shè)計的系統(tǒng)，物業(yè)公司可以更加便利地對居民使用的無線網(wǎng)絡(luò)進(jìn)行計費管理；商家店鋪能夠在為顧客提供免費網(wǎng)絡(luò)的同時，將認(rèn)證頁面導(dǎo)向到本店鋪，不僅達(dá)到免費宣傳的目的，也省去了顧客輸入密碼這一繁瑣步驟。

1.2發(fā)展現(xiàn)狀

無線網(wǎng)絡(luò)用戶認(rèn)證技術(shù)是無線網(wǎng)絡(luò)管理中最重要的技術(shù)之一，通過用戶認(rèn)證可以有效避免非法用戶訪問網(wǎng)絡(luò)資源，保證授權(quán)用戶訪問被允許的網(wǎng)絡(luò)資源。目前，國內(nèi)外在無線局域網(wǎng)接入認(rèn)證技術(shù)方面應(yīng)用最廣泛的主要有三種，即PPPoE認(rèn)證，Web認(rèn)證和802.1x認(rèn)證。PPPoE認(rèn)證主要應(yīng)用于電信運營商的ADSL業(yè)務(wù)中，Web認(rèn)證和802.1x認(rèn)證主要應(yīng)用于以太網(wǎng)業(yè)務(wù)中，這三種認(rèn)證方式從技術(shù)上來說安全性相當(dāng)，都可以采用用戶名+密碼的認(rèn)證方式應(yīng)用到無線網(wǎng)絡(luò)中，但PPPoE認(rèn)證和802.1x認(rèn)證不能穿透三層網(wǎng)絡(luò)，只能用于兩層網(wǎng)絡(luò)，且認(rèn)證時需要安裝客戶端軟件，對于無線用戶管理來說比較麻J煩.Web認(rèn)證兼容性好，可以提供大容量的用戶接入認(rèn)證，且無需安裝認(rèn)證客戶端，使用用戶個人系統(tǒng)自帶的Web瀏覽器即可完成接人認(rèn)證，比較適合商家店鋪、圖書館等公共場所使用。另外，Web認(rèn)證過程屬于三層網(wǎng)絡(luò)通信，可以跨越多個以太網(wǎng)絡(luò)，靈活性好，特別適合于有多個獨立無線網(wǎng)絡(luò)區(qū)域的公共場所。

目前國內(nèi)主要是三大運營商即中國聯(lián)通、中國電信和中國移動向市場推出了自己的無線網(wǎng)絡(luò)接入認(rèn)證服務(wù)，其中中國移動公司推出的CMCC-EDU在高校范圍內(nèi)使用最為廣泛。由于競爭商家比較少，因此在服務(wù)和費用上還有很大的欠缺，覆蓋區(qū)域小、網(wǎng)速慢以及資費高等缺陷令用戶普遍不太滿意。同時一些店家商鋪為了迎合年輕人的需求，在店鋪內(nèi)都提供了免費的WiFi，這種免費的無線網(wǎng)絡(luò)依舊是單一的輸入密碼連接過程，密碼復(fù)雜顧客就會有不滿，密碼簡單又會出現(xiàn)長久蹭網(wǎng)現(xiàn)象，所以商家都希望尋求一種合理經(jīng)濟的解決辦法。

從我國的整體情況來看，WiFi認(rèn)證或者收費系統(tǒng)主要集中在大城市的火車站、高校、快餐店等。要想全面推廣，就需要進(jìn)一步降低設(shè)備的費用，增加第三方認(rèn)證平臺等。

2系統(tǒng)概括

2.1系統(tǒng)需求分析

像酒店、學(xué)校、候車室等熱點場所，如果有一個相對比較完善的無線局域網(wǎng)接人認(rèn)證計費系統(tǒng)，不僅方便了網(wǎng)絡(luò)使用者接入網(wǎng)絡(luò)，也減輕了網(wǎng)絡(luò)管理者的維護(hù)負(fù)擔(dān)。現(xiàn)有主流的無線網(wǎng)絡(luò)接入認(rèn)證服務(wù)一般都由電信運營商提供，在安全方面作了很多措施對網(wǎng)絡(luò)設(shè)備的要求非常高，因此前期投入很大。

但在某些WiFi熱點覆蓋的場所內(nèi)，對安全要求相對要低，我們可以簡化一些網(wǎng)絡(luò)設(shè)備，降低設(shè)備資本，因此本文設(shè)計的WiFi收費的目的是：憑借盡可能少的網(wǎng)絡(luò)硬件設(shè)備，設(shè)計并實現(xiàn)一個具有自己特色的相對比較完善的WEB接入認(rèn)證計費系統(tǒng)，以應(yīng)用于商鋪、候車室等熱點場所。本文設(shè)計的系統(tǒng)應(yīng)用在人群密集的場所，所以需要兼顧到用戶接入設(shè)備的多樣性，在對用戶發(fā)送認(rèn)證頁面時需要保持良好的兼容性，同時還要能夠使整個認(rèn)證的流程簡單化，讓用戶盡可能快捷便利地完成WiFi從接入到認(rèn)證再到接通。

2.2系統(tǒng)模型

根據(jù)現(xiàn)有認(rèn)證系統(tǒng)的基本模式，結(jié)合實際情況本文提出的WiFi接入認(rèn)證和WiFi收費方案為：首先配置OpenWrt系統(tǒng)的路由器，插入外網(wǎng)線并設(shè)置WAN口確保其此時是可以接通網(wǎng)絡(luò)的，再啟用路由器的DHCP服務(wù)，使接入用戶可以從路由器上自動獲取到，P地址。接入路由器后用戶可以自由訪問特定的資源，當(dāng)用戶要訪問的資源受限時，路由器就會啟動WiFiDog服務(wù)，按照配置文件將用戶瀏覽器發(fā)出的HTTP請求自動重新定向到由WEB服務(wù)器提供的認(rèn)證頁面上。用戶在該認(rèn)證頁面上輸入用戶名和密碼等相關(guān)信息進(jìn)行身份認(rèn)證，客戶端是不需要任何額外的客戶端軟件支持的。通過認(rèn)證后，頁面跳轉(zhuǎn)到登錄成功頁面，此時用戶可以訪問受限資源，同時WiFi計費開始。這個方案需要解決的關(guān)鍵問題是何按照WiFiDog協(xié)議實現(xiàn)認(rèn)證服務(wù)器、路由器和用戶設(shè)備之間的通信。本系統(tǒng)的基本模型如圖1中WiFi收費系統(tǒng)的認(rèn)證模型所示，它由三大基本模塊組成，分別是：帶有WiFiDog協(xié)議的路由器、客戶端或AP設(shè)備（主要用來拓展網(wǎng)絡(luò)覆蓋范圍）、WEB認(rèn)證服務(wù)器模塊和后臺數(shù)據(jù)庫，其中WEB認(rèn)證服務(wù)器、后臺數(shù)據(jù)庫服務(wù)器以及計費系統(tǒng)服務(wù)器都在一臺主機上實現(xiàn)。

認(rèn)證過程如圖2所示，過程的描述如下：

1）如果用戶端已經(jīng)連接，就可以進(jìn)行初始化請求。

2）網(wǎng)關(guān)防火墻規(guī)則破壞了將它重定向到網(wǎng)關(guān)本地?zé)狳c的需求。如果遇到這種情況，網(wǎng)關(guān)就會提供HTTP Redirect回復(fù)，包含網(wǎng)關(guān)ID，網(wǎng)關(guān)FQDN和其它信息。

3）客戶端向網(wǎng)關(guān)指定認(rèn)證服務(wù)器發(fā)送請求。

4）認(rèn)證服務(wù)器用回復(fù)認(rèn)證頁面給客戶端。

5）客戶提供他的身份信息（包含用戶名和密碼）。

6）基于成功認(rèn)證，客戶端通過自己的認(rèn)證對象token（一次性標(biāo)識）實現(xiàn)HTTP重定向到網(wǎng)關(guān)自己的網(wǎng)絡(luò)服務(wù)器。

7）客戶端連接到網(wǎng)關(guān)并提供他的標(biāo)識。

8）網(wǎng)關(guān)請求確認(rèn)來自認(rèn)證服務(wù)器的標(biāo)識。

9）認(rèn)證服務(wù)器確認(rèn)標(biāo)識。

10）網(wǎng)關(guān)向客戶端發(fā)送成功界面即將hup：//auth_server/por-tal/認(rèn)證服務(wù)器的成功頁面推送到客戶端。

11）認(rèn)證服務(wù)器提示客戶端：請求已成功并啟動計時。

2.3流程描述

用戶在通過WiFi收費系統(tǒng)上網(wǎng)的過程中，系統(tǒng)要處理大量的數(shù)據(jù)流，這些數(shù)據(jù)流是很復(fù)雜的，按照數(shù)據(jù)流完成的功能將它大致分為三個部分。

圖3是用戶連接請求認(rèn)證功能的流程圖。客戶端用戶連接WiFi，通過路由模塊的DHCP服務(wù)獲取IP，認(rèn)證頁面向服務(wù)器請求認(rèn)證，認(rèn)證服務(wù)器為其形成一次性token，攜帶token成功通過路由器的WiFiDog開始上網(wǎng)。

圖4是用戶連接成功后計時計費功能的流程圖。用戶通過計時頁面定時向認(rèn)證服務(wù)器發(fā)送計時數(shù)據(jù)，服務(wù)器接收計時數(shù)據(jù)修改用戶剩余時間。當(dāng)用戶剩余時間不足或賬戶被禁時就斷開網(wǎng)絡(luò)并停止計費。

圖5是用戶請求斷開網(wǎng)絡(luò)連接功能的流程圖。用戶通過斷網(wǎng)按鈕向服務(wù)器發(fā)送

請求斷網(wǎng)數(shù)據(jù)，服務(wù)器修改用戶token等參數(shù)并停止計費，服務(wù)器發(fā)送應(yīng)答數(shù)據(jù)將當(dāng)前頁面跳轉(zhuǎn)到登錄界面。

3結(jié)果分析

3.1認(rèn)證服務(wù)器和路由器的部署

認(rèn)證服務(wù)器和路由器的互通是整個項目實施的關(guān)鍵所在。本文設(shè)計的系統(tǒng)采用的是IIS服務(wù)器，其中認(rèn)證服務(wù)器的路徑很重要，路徑地址要根據(jù)WiFiDog協(xié)議回傳信息的格式來調(diào)整，對路由器配置完成后，要進(jìn)行一次重啟才可以生效。從數(shù)據(jù)傳輸?shù)男屎桶踩矫婵紤]，本系統(tǒng)路由器和服務(wù)器是通過有線的物理途徑進(jìn)行連接的。首先認(rèn)證服務(wù)器端的設(shè)置要與路由器設(shè)置一致，采用靜態(tài)ip設(shè)置為：192.168.L2255.255.255.0，服務(wù)器的路徑地址也要與路由器上設(shè)置的路徑保持一致，否則路由器信息回傳時會找不到路徑而報錯。然后啟動IIS服務(wù)器，將192.168.L2和端口80綁定到對應(yīng)的網(wǎng)站上。

3.2認(rèn)證服務(wù)器的運行

3.2.1登錄腳本

當(dāng)用戶連接到無線路由器后，發(fā)送任意界面的請求，WiFi-Dog就會為每個連接的用戶啟動一個線程。用戶第一次發(fā)送請求上網(wǎng)時，WiFiDog就根據(jù)協(xié)議規(guī)范將用戶的請求界面重新定向到登錄認(rèn)證界面，路由器通過接收的認(rèn)證頁面向客戶端傳遞參數(shù)，包含目前路由器所在網(wǎng)絡(luò)的網(wǎng)關(guān)地址和開放端口后，客戶端的Mac和之前用戶請求訪問的網(wǎng)絡(luò)地址等。

按照表1的格式要求，舉例如下：

3.2.2認(rèn)證腳本

路由器將本身存放的信息和用戶之前請求的登錄信息按照特定的格式，發(fā)送給認(rèn)證服務(wù)器來驗證，認(rèn)證頁面在接收到傳來的參數(shù)后，將參數(shù)中的MAC地址和token到后臺數(shù)據(jù)庫查詢，通過回復(fù)碼Auth：1代表認(rèn)證成功，Auth：0代表認(rèn)證失敗。路由器接收到回復(fù)碼后進(jìn)行下一步操作。

按照表2的格式要求，舉例如下：

3.2.3計費腳本

用戶通過認(rèn)證后，系統(tǒng)會將計時界面推送給用戶，開始計時，頁面顯示在線時長。為了避免頁面整體刷新占用資源，故嵌套了一個定時頁面，負(fù)責(zé)定時將累計時間發(fā)送給后臺服務(wù)器，每隔一段時間，就執(zhí)行Downtime函數(shù)減少用戶后臺剩余時間，根據(jù)返回結(jié)果來判斷用戶的狀態(tài)，結(jié)果為-1表示用戶剩余時間不足，結(jié)果為-2表示用戶被管理員拉黑。無論是時間不足還是用戶被拉黑，都需要將頁面跳轉(zhuǎn)到登錄界面上。

3.2.4心跳腳本

WiFiDog：將ping協(xié)議作為心跳機制向認(rèn)證服務(wù)器發(fā)送當(dāng)前狀態(tài)信息，實現(xiàn)認(rèn)證服務(wù)器和每個節(jié)點的狀態(tài)雙向健康監(jiān)測的機制。

2604&sys_load=0.03&wifidog_uptime=3861。按照回復(fù)要求，在ping頁面加載時就需要自動回復(fù)pong作為應(yīng)答。

4結(jié)束語

目前市場上流行的廣告路由，用戶只能夠按照廣告路由商家固定的模式設(shè)計，最終顯示的效果是千篇一律，沒有自己的特點，而且對廣告路由商家的平臺具有很強的依賴性。本文設(shè)計的WiFi收費系統(tǒng)，一是解決認(rèn)證信息頁面模式單一的問題，二是拓寬認(rèn)證平臺，不僅可以使用商家提供的平臺也可以使用其他網(wǎng)絡(luò)商的服務(wù)器，甚至是直接進(jìn)行本地認(rèn)證。使整個系統(tǒng)變成模塊化，用戶可以很大程度上自定義每一個模塊，再通過關(guān)鍵流程連接起來，就可以形成獨具自己特色的WiFi收費系統(tǒng)或者廣告宣傳。