隨著校園無線網建設的快速發展，無線網已經成為校園用戶的主要接入手段，但是對於很多來校進行短期訪問的國內外客人，由於涉及到開戶銷戶、安全認證、訪問權限、上網繳費等多方麵因素，目前很多校園無線網並不能為這類用戶提供方便的接入服務。清華大學作為接待國內外來訪客人較多的學校之一，在這方麵進行了有益嚐試，建立了一套較為完善的自助式無線訪客係統，為多種場景下的來訪用戶提供了方便的入網手段，在加強安全管控的同時，提高了來訪客人入網效率，減輕了管理員負擔，提升了學校對外形象，取得了很好的使用效果。

需求分析

　　1.現狀分析

　　清華大學校園無線網主要設計目標是為校內師生提供服務，此前沒有專門麵向來訪客人的服務係統。來訪客人若需要接入校園網，需要校內受訪人提出書麵申請，由信息技術中心審核來訪人身份信息，然後為來訪人創建臨時賬號，整個開戶流程相對繁瑣，時間較長，增加了校內受訪人的時間精力和體力負擔。

　　2.基本原則

　　通過現狀分析，清華大學對無線訪客係統提出了兩點基本建設原則：安全、簡便。

　　無線訪客係統要求以來訪人實名信息為基礎實現準入認證，輔以校內受訪人簽名方式實現來訪人身份驗證和上網行為約束，所有入網場景通過自服務方式提供技術支持，在保障網絡安全的同時，最大程度簡化入網流程，縮短開戶時間，提升來訪客人用戶體驗。

　　3.客人分類

　　經過梳理，我們將來訪客人劃歸為三類，他們來校入網目的不同，資源訪問需求也不相同：

　　訪客（Guest）：主要指來校學習交流的受邀客人，此類客人由校內受訪人接待，且一般需要訪問校內資源；

　　遊客（Visitor）：主要指來校旅遊的客人，此類客人沒有校內受訪人，也無需訪問清華大學校內資源；

　　漫遊客（Eduroam）：特指來訪的Eduroam聯盟成員用戶，此類客人已經在其當地機構開通Eduroam賬號，來校入網目的主要是接入互聯網，一般不需要訪問校內資源。

　　4.開戶場景

　　為了提高來訪客人的入網體驗，需要從多個維度考慮開戶場景，並進行針對性設計。這些維度因素包括：來訪人是單人還是團體、有無受訪人接待、受訪人是否在現場、客人來自國內還是國外、是否需要訪問校內資源等，對來訪人開戶入網場景的基本總結見表1。

表1 來訪客人開戶場景

　　其中，“訪客（Guest）”場景最為複雜。這類客人一般是受邀來訪，可能來自國內外，有校內受訪人進行接待。按照國家對實名上網的要求，來訪客人需要進行實名登記（例如使用國內運營商注冊的手機號碼），這種情況下係統必須要考慮到國內外訪客在實名信息和語言文字方麵的差別。當訪客到達學校後需要現場進行實名信息登記和實時開戶，此時如果受訪人在現場，則可以采用掃描二維碼的方式方便地為訪客開戶；如果受訪人不在客人旁邊，則需要通過遠距離技術手段及時驗證訪客身份並為其實時開戶。為了縮短訪客現場實時開戶時間，受訪人可能希望在訪客到達學校現場之前就能夠為其開戶，因此係統需要同時提供非現場提前開戶的技術手段。另外，學校裏經常舉行各類國內外學術會議和技術交流，參會人員有時多達百人。這種場景下一般由會議組織者提前收集參會人員信息並提前進行批量開戶，但即使如此，也很可能會有臨時人員直接到達現場參會並要求上網，因此係統不僅需要為此類特殊情況提供方便的現場入網支持，而且還需要將這些現場開戶的臨時人員與之前參與同一活動的批量開戶人員進行關聯，以方便會議組織者對本次活動的所有參會人員入網信息進行集中管理。在上述開戶場景中，需要由受訪人決定訪客是否可以訪問校內資源，並對訪客進行授權。

　　“遊客（Visitor）”場景最為簡單，隻麵向具有國內手機號的客人，采用手機號作為來訪人實名信息，且隻能來校後現場開戶，不提供提前開戶手段，也不能訪問校內資源。

　　“漫遊客（Eduroam）”場景隻為Eduroam聯盟成員機構下屬的已經具有Eduroam賬號的來訪人提供服務。來訪人到校後通過關聯校園無線網發布的“Eduroam”信號進行個人實名信息登記（此處需要考慮國內外語言文字和個人證件信息方麵的差別，並進行針對性設計），由受訪人驗證通過後即可接入校園網。為了提高用戶體驗，受訪人也可以在來訪人到校之前通過無線訪客係統自服務平台為其Eduroam賬號登記實名信息，來訪人到校後可直接接入校園網實現無感知入網。

係統設計

　　1.權力下放，提升開戶效率

　　從前一章描述中可以看到，同現有校園網相比，無線訪客係統最大的改進是在訪客開戶環節。如圖1所示，無線訪客係統在傳統校園網開戶流程中增加了“受訪人”角色，將傳統由信息技術中心負責的訪客身份驗證審核工作分權下放給了校內受訪人，不需要親臨信息技術中心現場，訪客即可在受訪人的協助下自助完成身份審核與開戶，大幅提高了訪客入網開戶效率（圖中不同訪客圖標代表了不同類型不同場景的來訪客人）。

圖1 訪客開戶的模型

　　2.係統獨立，保證安全可控

　　在“訪客-受訪人-信息技術中心”三級模型下，無線訪客係統在安全保護、網絡部署、業務連續性、場景自服務等方麵進行了綜合考慮和全新設計，采用獨立網絡、獨立管控、雙機冗餘、增量部署的方式與校園網無縫對接，全程實名，追溯到賬號，保證了訪客上網行為的安全可控，並實現了首次認證後的全過程無感知入網。

　　圖2為無線訪客係統架構示意圖，無線訪客係統針對三類來訪人廣播三個不同的SSID：Guest、Visior和Eduroam，來訪人關聯相應SSID後係統會全自動引導用戶通過實名身份驗證接入校園網，圖中不同顏色線段示意了不同場景下的準入認證流程。

圖2 無線訪客係統構架和認證流程

　　3.細節優化，提升用戶體驗

　　考慮到短期來訪的校外客人對校園網使用方式不熟悉，因此無線訪客係統對開戶、認證、繳費、管理的每個操作環節都進行了充分研究，在界麵布局、信息提示和操作引導方麵進行了專業設計，對自助服務進行了極致優化，無論來訪人還是受訪人，無論專業IT人士還是非專業人士都可以無障礙地完成整個入網過程操作，而無需信息技術中心的介入，極大提升了用戶體驗。圖3給出了部分用戶使用界麵，可以看出無線訪客係統在用戶體驗方麵進行了較為充分的考慮。

使用效果

　　傳統的校園網用戶管理係統，主要麵向校內師生提供服務，沒有考慮訪客的上網特點和需求，這導致訪客與校內師生在開戶流程上沒有明顯區別、訪客與校內師生的上網權限不易區分，兩類人群混在一起，增加了管理難度和複雜度。

　　以往的訪客身份驗證和開戶規則，其實是把訪客對網絡訪問的安全責任交給了信息技術中心負責。在訪客數量激增後，訪客上網的安全審計和溯源難度增加，一旦出現網絡安全事件，真正的責任人追溯比較困難，加大了信息技術中心的安全責任。

　　新無線訪客係統設計為獨立的平台，具備獨立的IP地址池和獨立的訪客數據庫，有獨立的上網審計，獨立的管理係統，完全實現了訪客與本校師生的區分管理。同時，新係統引入校內受訪人作為審核員，將以往信息技術中心的審核和開戶工作分配至各受訪人。訪客實名信息由受訪人負責驗證並對訪客上網行為進行背書，提高了受訪人與訪客的安全上網意識。新無線訪客係統讓以往頗受詬病的入網方式成為曆史，把簡單而又重複性高的審核和開戶工作分配給受訪人之後，信息技術中心可以把更多精力聚焦於核心的數據存儲和係統管理上，運維工作效率得以大幅提升。

　　在用戶體驗方麵，新無線訪客係統同時支持遊客、訪客和Eduroam漫遊；支持預開戶和現場實時開戶；支持個人訪客、小型會議或大型集會等多種場景。受訪人可以快速開通訪客的入網賬號，無需信息技術中心介入，大大簡化了入網流程。與此同時，受訪人通過登錄自服務係統，能夠全麵了解訪客的上網狀態（例如是否在線、登錄時間、賬號有效期等），並可以及時做出相應管控。訪客入網不再受製於信息技術中心的審批效率，極速開通即刻上網。完成初次實名驗證後，後續上網達到無感知。

　　新無線訪客係統具有頁麵自適應、業務自助化、支付寶或微信實時充值、虛擬錢包、中英文界麵等特色功能，把用戶體驗做到了細處。自年初正式投入運行以來，無線訪客係統已經服務4萬餘名來訪客人，服務時長超過8萬小時，並為校慶活動提供了有力支持，作為學校對外服務窗口之一，獲得了良好口碑和美譽度，進一步提升了清華大學的國內外形象。圖4~6為基本運行情況截圖。

　　清華大學無線訪客係統極大加強了對“訪客”這類特殊人群的服務能力，但是目前該係統隻支持IPv4。隨著IPv6應用的逐漸發展，無線訪客係統如何支持IPv6用戶認證、如何無感知支持IPv4/IPv6雙棧用戶入網、如何解決安卓無線終端IPv6地址不斷變化的難題、如何對IPv6地址進行審計和追溯，都將是無線訪客係統的下一步工作重點。無線訪客係統將在IPv6方麵加強研究，爭取早日提供完善的雙棧接入能力，將無線訪客係統打造為全場景服務係統，全麵提升係統服務能力。

　　（本文刊載於《中國教育網絡》雜誌2019年7月刊， 作者：清華大學信息化技術中心  李子木 楊家海 傅怡琦 張慧琳 杜小江 劉乃嘉）

　　進入專題>>2019高校信息化創新實踐方案展示