文/李子木 楊家海 傅怡琦 張慧琳 杜小江 劉乃嘉

所有入網(wǎng)場景通過自服務(wù)方式提供技術(shù)支持，在保障網(wǎng)絡(luò)安全的同時(shí)，最大程度簡化入網(wǎng)流程，縮短開戶時(shí)間，提升來訪客人用戶體驗(yàn)。

隨著校園無線網(wǎng)建設(shè)的快速發(fā)展，無線網(wǎng)已經(jīng)成為校園用戶的主要接入手段，但是對于很多來校進(jìn)行短期訪問的國內(nèi)外客人，由于涉及到開戶銷戶、安全認(rèn)證、訪問權(quán)限、上網(wǎng)繳費(fèi)等多方面因素，目前很多校園無線網(wǎng)并不能為這類用戶提供方便的接入服務(wù)。清華大學(xué)作為接待國內(nèi)外來訪客人較多的學(xué)校之一，在這方面進(jìn)行了有益嘗試，建立了一套較為完善的自助式無線訪客系統(tǒng)，為多種場景下的來訪用戶提供了方便的入網(wǎng)手段，在加強(qiáng)安全管控的同時(shí)，提高了來訪客人入網(wǎng)效率，減輕了管理員負(fù)擔(dān)，提升了學(xué)校對外形象，取得了很好的使用效果。

需求分析

1.現(xiàn)狀分析

清華大學(xué)校園無線網(wǎng)主要設(shè)計(jì)目標(biāo)是為校內(nèi)師生提供服務(wù)，此前沒有專門面向來訪客人的服務(wù)系統(tǒng)。來訪客人若需要接入校園網(wǎng)，需要校內(nèi)受訪人提出書面申請，由信息技術(shù)中心審核來訪人身份信息，然后為來訪人創(chuàng)建臨時(shí)賬號，整個(gè)開戶流程相對繁瑣，時(shí)間較長，增加了校內(nèi)受訪人的時(shí)間精力和體力負(fù)擔(dān)。

2.基本原則

通過現(xiàn)狀分析，清華大學(xué)對無線訪客系統(tǒng)提出了兩點(diǎn)基本建設(shè)原則：安全、簡便。

無線訪客系統(tǒng)要求以來訪人實(shí)名信息為基礎(chǔ)實(shí)現(xiàn)準(zhǔn)入認(rèn)證，輔以校內(nèi)受訪人簽名方式實(shí)現(xiàn)來訪人身份驗(yàn)證和上網(wǎng)行為約束，所有入網(wǎng)場景通過自服務(wù)方式提供技術(shù)支持，在保障網(wǎng)絡(luò)安全的同時(shí)，最大程度簡化入網(wǎng)流程，縮短開戶時(shí)間，提升來訪客人用戶體驗(yàn)。

3.客人分類

經(jīng)過梳理，我們將來訪客人劃歸為三類，他們來校入網(wǎng)目的不同，資源訪問需求也不盡相同：

訪客（Guest）：主要指來校學(xué)習(xí)交流的受邀客人，此類客人由校內(nèi)受訪人接待，且一般需要訪問校內(nèi)資源；

游客（Visitor）：主要指來校旅游的客人，此類客人沒有校內(nèi)受訪人，也無需訪問清華大學(xué)校內(nèi)資源；

漫游客（Eduroam）：特指來訪的Eduroam 聯(lián)盟成員用戶，此類客人已經(jīng)在其當(dāng)?shù)貦C(jī)構(gòu)開通Eduroam 賬號，來校入網(wǎng)目的主要是接入互聯(lián)網(wǎng)，一般不需要訪問校內(nèi)資源。

4.開戶場景

為了提高來訪客人的入網(wǎng)體驗(yàn)，需要從多個(gè)維度考慮開戶場景，并進(jìn)行針對性設(shè)計(jì)。這些維度因素包括：來訪人是單人還是團(tuán)體、有無受訪人接待、受訪人是否在現(xiàn)場、客人來自國內(nèi)還是國外、是否需要訪問校內(nèi)資源等，對來訪人開戶入網(wǎng)場景的基本總結(jié)見表1。

其中，“訪客（Guest）”場景最為復(fù)雜。這類客人一般是受邀來訪，可能來自國內(nèi)外，有校內(nèi)受訪人進(jìn)行接待。按照國家對實(shí)名上網(wǎng)的要求，來訪客人需要進(jìn)行實(shí)名登記（例如使用國內(nèi)運(yùn)營商注冊的手機(jī)號碼），這種情況下系統(tǒng)必須要考慮到國內(nèi)外訪客在實(shí)名信息和語言文字方面的差別。當(dāng)訪客到達(dá)學(xué)校后需要現(xiàn)場進(jìn)行實(shí)名信息登記和實(shí)時(shí)開戶，此時(shí)如果受訪人在現(xiàn)場，則可以采用掃描二維碼的方式方便地為訪客開戶；如果受訪人不在客人旁邊，則需要通過遠(yuǎn)距離技術(shù)手段及時(shí)驗(yàn)證訪客身份并為其實(shí)時(shí)開戶。為了縮短訪客現(xiàn)場實(shí)時(shí)開戶時(shí)間，受訪人可能希望在訪客到達(dá)學(xué)?，F(xiàn)場之前就能夠?yàn)槠溟_戶，因此系統(tǒng)需要同時(shí)提供非現(xiàn)場提前開戶的技術(shù)手段。另外，學(xué)校里經(jīng)常舉行各類國內(nèi)外學(xué)術(shù)會(huì)議和技術(shù)交流，參會(huì)人員有時(shí)多達(dá)百人。這種場景下一般由會(huì)議組織者提前收集參會(huì)人員信息并提前進(jìn)行批量開戶，但即使如此，也很可能會(huì)有臨時(shí)人員直接到達(dá)現(xiàn)場參會(huì)并要求上網(wǎng)，因此系統(tǒng)不僅需要為此類特殊情況提供方便的現(xiàn)場入網(wǎng)支持，而且還需要將這些現(xiàn)場開戶的臨時(shí)人員與之前參與同一活動(dòng)的批量開戶人員進(jìn)行關(guān)聯(lián)，以方便會(huì)議組織者對本次活動(dòng)的所有參會(huì)人員入網(wǎng)信息進(jìn)行集中管理。在上述開戶場景中，需要由受訪人決定訪客是否可以訪問校內(nèi)資源，并對訪客進(jìn)行授權(quán)。

表1 來訪客人開戶場景

“游客（Visitor）”場景最為簡單，只面向具有國內(nèi)手機(jī)號的客人，采用手機(jī)號作為來訪人實(shí)名信息，且只能來校后現(xiàn)場開戶，不提供提前開戶手段，也不能訪問校內(nèi)資源。

“漫游客（Eduroam）”場景只為Eduroam 聯(lián)盟成員機(jī)構(gòu)下屬的已經(jīng)具有Eduroam 賬號的來訪人提供服務(wù)。來訪人到校后通過關(guān)聯(lián)校園無線網(wǎng)發(fā)布的“Eduroam”信號進(jìn)行個(gè)人實(shí)名信息登記（此處需要考慮國內(nèi)外語言文字和個(gè)人證件信息方面的差別，并進(jìn)行針對性設(shè)計(jì)），由受訪人驗(yàn)證通過后即可接入校園網(wǎng)。為了提高用戶體驗(yàn)，受訪人也可以在來訪人到校之前通過無線訪客系統(tǒng)自服務(wù)平臺(tái)為其Eduroam 賬號登記實(shí)名信息，來訪人到校后可直接接入校園網(wǎng)實(shí)現(xiàn)無感知入網(wǎng)。

系統(tǒng)設(shè)計(jì)

1.權(quán)力下放，提升開戶效率

圖1 訪客開戶模型的演進(jìn)

圖2 無線訪客系統(tǒng)架構(gòu)和認(rèn)證流程

從前一章描述中可以看到，同現(xiàn)有校園網(wǎng)相比，無線訪客系統(tǒng)最大的改進(jìn)是在訪客開戶環(huán)節(jié)。如圖1 所示，無線訪客系統(tǒng)在傳統(tǒng)校園網(wǎng)開戶流程中增加了“受訪人”角色，將傳統(tǒng)由信息技術(shù)中心負(fù)責(zé)的訪客身份驗(yàn)證審核工作分權(quán)下放給了校內(nèi)受訪人，不需要親臨信息技術(shù)中心現(xiàn)場，訪客即可在受訪人的協(xié)助下自助完成身份審核與開戶，大幅提高了訪客入網(wǎng)開戶效率（圖中不同訪客圖標(biāo)代表了不同類型不同場景的來訪客人）。

2.系統(tǒng)獨(dú)立，保證安全可控

在“訪客-受訪人-信息技術(shù)中心”三級模型下，無線訪客系統(tǒng)在安全保護(hù)、網(wǎng)絡(luò)部署、業(yè)務(wù)連續(xù)性、場景自服務(wù)等方面進(jìn)行了綜合考慮和全新設(shè)計(jì)，采用獨(dú)立網(wǎng)絡(luò)、獨(dú)立管控、雙機(jī)冗余、增量部署的方式與校園網(wǎng)無縫對接，全程實(shí)名，追溯到賬號，保證了訪客上網(wǎng)行為的安全可控，并實(shí)現(xiàn)了首次認(rèn)證后的全過程無感知入網(wǎng)。

圖2 為無線訪客系統(tǒng)架構(gòu)示意圖，無線訪客系統(tǒng)針對三類來訪人廣播三個(gè)不同的SSID：Guest、Visior 和Eduroam，來訪人關(guān)聯(lián)相應(yīng)SSID 后系統(tǒng)會(huì)全自動(dòng)引導(dǎo)用戶通過實(shí)名身份驗(yàn)證接入校園網(wǎng)，圖中不同顏色線段示意了不同場景下的準(zhǔn)入認(rèn)證流程。

3.細(xì)節(jié)優(yōu)化，提升用戶體驗(yàn)

圖3-1 訪客實(shí)名自助登記 圖3-2 訪客狀態(tài)自助查詢 圖3-3 受訪人的自服務(wù)主頁

圖3-4 受訪人管理訪客 圖3-5 受訪人賬戶信息 圖3-6 受訪人為訪客預(yù)開戶

考慮到短期來訪的校外客人對校園網(wǎng)使用方式不熟悉，因此無線訪客系統(tǒng)對開戶、認(rèn)證、繳費(fèi)、管理的每個(gè)操作環(huán)節(jié)都進(jìn)行了充分研究，在界面布局、信息提示和操作引導(dǎo)方面進(jìn)行了專業(yè)設(shè)計(jì)，對自助服務(wù)進(jìn)行了極致優(yōu)化，無論來訪人還是受訪人，無論專業(yè)IT 人士還是非專業(yè)人士都可以無障礙地完成整個(gè)入網(wǎng)過程操作，而無需信息技術(shù)中心的介入，極大提升了用戶體驗(yàn)。圖3 給出了部分用戶使用界面，可以看出無線訪客系統(tǒng)在用戶體驗(yàn)方面進(jìn)行了較為充分的考慮。

使用效果

傳統(tǒng)的校園網(wǎng)用戶管理系統(tǒng)，主要面向校內(nèi)師生提供服務(wù)，沒有考慮訪客的上網(wǎng)特點(diǎn)和需求，這導(dǎo)致訪客與校內(nèi)師生在開戶流程上沒有明顯區(qū)別、訪客與校內(nèi)師生的上網(wǎng)權(quán)限不易區(qū)分，兩類人群混在一起，增加了管理難度和復(fù)雜度。

以往的訪客身份驗(yàn)證和開戶規(guī)則，其實(shí)是把訪客對網(wǎng)絡(luò)訪問的安全責(zé)任交給了信息技術(shù)中心負(fù)責(zé)。在訪客數(shù)量激增后，訪客上網(wǎng)的安全審計(jì)和溯源難度增加，一旦出現(xiàn)網(wǎng)絡(luò)安全事件，真正的責(zé)任人追溯比較困難，加大了信息技術(shù)中心的安全責(zé)任。

新無線訪客系統(tǒng)設(shè)計(jì)為獨(dú)立的平臺(tái)，具備獨(dú)立的IP 地址池和獨(dú)立的訪客數(shù)據(jù)庫，有獨(dú)立的上網(wǎng)審計(jì)，獨(dú)立的管理系統(tǒng)，完全實(shí)現(xiàn)了訪客與本校師生的區(qū)分管理。同時(shí)，新系統(tǒng)引入校內(nèi)受訪人作為審核員，將以往信息技術(shù)中心的審核和開戶工作分配至各受訪人。訪客實(shí)名信息由受訪人負(fù)責(zé)驗(yàn)證并對訪客上網(wǎng)行為進(jìn)行背書，提高了受訪人與訪客的安全上網(wǎng)意識(shí)。新無線訪客系統(tǒng)讓以往頗受詬病的入網(wǎng)方式成為歷史，把簡單而又重復(fù)性高的審核和開戶工作分配給受訪人之后，信息技術(shù)中心可以把更多精力聚焦于核心的數(shù)據(jù)存儲(chǔ)和系統(tǒng)管理上，運(yùn)維工作效率得以大幅提升。

圖4 在線情況

圖5 使用流量

圖6 使用時(shí)長

在用戶體驗(yàn)方面，新無線訪客系統(tǒng)同時(shí)支持游客、訪客和Eduroam 漫游；支持預(yù)開戶和現(xiàn)場實(shí)時(shí)開戶；支持個(gè)人訪客、小型會(huì)議或大型集會(huì)等多種場景。受訪人可以快速開通訪客的入網(wǎng)賬號，無需信息技術(shù)中心介入，大大簡化了入網(wǎng)流程。與此同時(shí)，受訪人通過登錄自服務(wù)系統(tǒng)，能夠全面了解訪客的上網(wǎng)狀態(tài)（例如是否在線、登錄時(shí)間、賬號有效期等），并可以及時(shí)做出相應(yīng)管控。訪客入網(wǎng)不再受制于信息技術(shù)中心的審批效率，極速開通即刻上網(wǎng)。完成初次實(shí)名驗(yàn)證后，后續(xù)上網(wǎng)達(dá)到無感知。

新無線訪客系統(tǒng)具有頁面自適應(yīng)、業(yè)務(wù)自助化、支付寶或微信實(shí)時(shí)充值、虛擬錢包、中英文界面等特色功能，把用戶體驗(yàn)做到了細(xì)處。自年初正式投入運(yùn)行以來，無線訪客系統(tǒng)已經(jīng)服務(wù)4萬余名來訪客人，服務(wù)時(shí)長超過8 萬小時(shí)，并為校慶活動(dòng)提供了有力支持，作為學(xué)校對外服務(wù)窗口之一，獲得了良好口碑和美譽(yù)度，進(jìn)一步提升了清華大學(xué)的國內(nèi)外形象。圖4～6 為基本運(yùn)行情況截圖。

清華大學(xué)無線訪客系統(tǒng)極大加強(qiáng)了對“訪客”這類特殊人群的服務(wù)能力，但是目前該系統(tǒng)只支持IPv4。隨著IPv6 應(yīng)用的逐漸發(fā)展，無線訪客系統(tǒng)如何支持IPv6 用戶認(rèn)證、如何無感知支持IPv4/IPv6 雙棧用戶入網(wǎng)、如何解決安卓無線終端IPv6 地址不斷變化的難題、如何對IPv6 地址進(jìn)行審計(jì)和追溯，都將是無線訪客系統(tǒng)的下一步工作重點(diǎn)。無線訪客系統(tǒng)將在IPv6 方面加強(qiáng)研究，爭取早日提供完善的雙棧接入能力，將無線訪客系統(tǒng)打造為全場景服務(wù)系統(tǒng)，全面提升系統(tǒng)服務(wù)能力。