随着校园无线网络建设的快速发展，无线网络已成为校园用户的主要接入方式。但是，对于很多来校园短期访问的国内外客人来说，由于开户注销、安全认证、接入权限、在线支付等多方面因素，很多校园无线网络无法为学生提供便捷的接入服务。这样的用户。清华大学作为接待国内外访客较多的学校之一，在这方面进行了有益的尝试，建立了较为完善的自助无线访客系统，为各类来访用户提供了便捷的网络接入方式。情景。，在加强安全管控的同时，提高了访客的网络访问效率，

需求分析

一、现状分析

清华大学校园无线网络的主要设计目标是为校园内的师生提供服务。在此之前，没有专门针对游客的服务体系。如果访客需要接入校园网，校内被访者需提交书面申请，信息技术中心将审核访客身份信息，然后为访客创建临时账号。面试官的时间、精力和体力负担。

二、基本原则

通过对现状的分析，清华大学提出了无线访客系统的两个基本建设原则：安全性和简单性。

无线访客系统需要以访客实名信息为基础的接入认证，辅以被访者在校签名，实现访客身份验证和上网行为限制。所有入网场景均通过自助方式提供技术支持，保障网络安全。同时，最大程度简化了入网流程，缩短了开户时间，提升了访问者的用户体验。

3.客人分类

整理后，我们将未来的访客分为三类。他们来学校有不同的目的，有不同的资源访问要求：

访客（Guest）：主要指来校学习交流的受邀嘉宾。此类客人由受访者在校园内接待，一般需要参观校园资源；

游客（ ）：主要指来学校旅游的客人。此类嘉宾无校内受访者，无需访问清华大学校园资源；

旅行者（）：指来访的联盟成员。这些客人已经在当地机构开设了账户。来学校上网的主要目的是上网，一般不需要访问校内资源。

4. 开户场景

为了提升访问者的在线体验，需要从多个维度考虑开户场景，并进行针对性设计。这些维度因素包括：来访者是单人还是团体，是否接待被访者，被访者是否在现场，来宾是国内还是国外，是否需要访问校内资源等. 访客开户场景基本总结见表1。

表1 访客开户场景

其中，“客人”场景最为复杂。此类客人一般受邀访问，可能来自国内外，并在校园内受到受访者的接待。根据国家对互联网实名制的要求，访问者需要进行实名登记（如使用国内运营商注册的手机号）。在这种情况下，系统必须考虑到国内外访问者实名信息和语言的差异。来访者到达学校后，需要进行实名登记，实时开户。如果受访者在场，他们可以通过扫描二维码轻松为访问者开户；如果答辩人不在客人旁边，他们需要通过远程技术手段及时验证访问者的身份并实时为其开户。为了缩短访客的实时开户时间，受访者不妨在访客到达学校现场之前为其开户。因此，系统需要同时提供异地提前开户的技术手段。此外，学校还经常举办各种国内外学术会议和技术交流会，有时多达100人之多。在这种场景下，会议组织者一般会提前收集参会人员信息，提前批量开户访客管理系统，但即便如此，也很有可能会有临时人员直接到达现场参会请求访问互联网。因此，系统不仅需要为此类特殊情况提供便捷的现场网络接入支持，还需要将这些临时开户人员与之前参加同一活动的批量开户人员关联起来，以便方便会议组织者集中管理本次活动所有参会人员的网络访问信息。在上述开户场景中，被访者需要判断访问者是否可以访问校园资源，并对访问者进行授权。并且还需要将这些临时开户人员与之前参加同一活动的批量开户人员进行关联，以方便会议组织者集中管理本次活动所有参与者的入网信息。在上述开户场景中，被访者需要判断访问者是否可以访问校园资源，并对访问者进行授权。并且还需要将这些临时开户人员与之前参加同一活动的批量开户人员进行关联，以方便会议组织者集中管理本次活动所有参与者的入网信息。在上述开户场景中，被访者需要判断访问者是否可以访问校园资源，并对访问者进行授权。

“游客 ( )” 场景是最简单的。仅限有国内手机号的客人使用，手机号作为客人的实名信息。他们只能在来学校后当场开户。不提供提前开户方式，也无法访问校内资源。

“男访客( )”场景只为已经拥有联盟成员机构账户的访客提供服务。访客到达学校后，将通过相关校园无线网络发出的“”信号进行个人实名登记（此处需考虑国内外语言和个人的差异）证信息，并进行有针对性的设计），由被访者核实。然后就可以访问校园网了。为提升用户体验，受访者还可以在来访者到达学校前，通过无线访客系统自助服务平台为自己的账户注册实名信息，

系统设计

1. 去中心化提高开户效率

从上一章的描述可以看出，与现有的校园网相比，无线访客系统最大的改进在于访客开户流程。如图1所示，无线访客系统在传统的校园网开户流程中增加了“访客”的角色，将传统上由信息技术中心处理的访客身份验证和审核工作委托给校园内的受访者。亲临信息技术中心现场，访问者可在受访者协助下自行完成身份验证和开户，大大提高了访问者在线开户的效率（图中不同的访问者图标代表不同类型的访问者）不同场景下的访客）。

图1 访客开户模式

2、系统独立，确保安全可控

在“访客-应答者-信息技术中心”三级模式下，无线访客系统在安全防护、网络部署、业务连续性、场景自助服务等方面进行了综合考虑和全新设计，采用独立网络，独立管控。、双机冗余、增量部署无缝接入校园网。实名认证全过程可溯源至账号，保证访问者上网行为的安全可控，实现首次认证后全流程无感知入网。

图2是无线访客系统架构示意图。无线访客系统为三种类型的访客广播三种不同的 SSID：访客和。访客关联对应的SSID后，系统会自动引导用户通过实名认证接入校园网。图 中间不同颜色的线条表示不同场景下的接入认证过程。

图 2 无线访客系统架构和认证流程

3.细节优化提升用户体验

考虑到短期访问校园的校外访客不熟悉校园网络的使用方式，无线访客系统对开户、认证、支付、管理等各个操作环节进行了充分研究，并承载了出界面布局、信息提示和操作指导。专业的设计，优化的自助服务，无论是访问者还是受访者，专业的IT专业人员还是非专业人员都可以完成整个网络访问过程，无需信息技术中心的干预，大大提升了用户体验。图3为部分用户界面，可以看出无线访客系统充分考虑了用户体验。

影响

传统的校园网用户管理系统主要为校园内的师生提供服务，没有考虑访问者上网的特点和需求，导致访问者和师生在开户过程中没有明显区别。校园内的访客和师生的上网权限难以区分。，两组人混在一起，增加了管理的难度和复杂性。

过去，访问者认证和开户规则实际上将访问者的安全责任交给了信息技术中心的网络访问。在访客人数激增之后，对访客进行互联网安全审计和追溯变得更加困难。一旦发生网络安全事件，很难追查真正的责任人，增加了信息技术中心的安全责任。

新的无线访客系统设计为独立平台，拥有独立的IP地址池和独立的访客数据库，独立的在线审核，独立的管理系统，全面实现访客和学校师生的差异化管理. 同时，新系统引入校内被访者作为审计员，将原信息技术中心的审计和开户工作分配给每位被访者。来访者实名信息经过被访者核实，为来访者的上网行为背书，提高了被访者和来访者的安全意识。新的无线访客系统使之前备受诟病的网络访问成为过去。

在用户体验方面，新的无线访客系统支持游客、访客和漫游同时进行；支持预开户和现场实时开户；支持个人访客、小型会议或大型聚会等场景。受访者无需信息技术中心的干预，即可快速开通访问者的网络账户，大大简化了网络访问流程。同时，通过登录自助系统，受访者可以全面了解访问者的在线状态（如是否在线、登录时间、账号有效期等），并能及时做出相应的控制。 . 访客上网不再受信息技术中心审批效率的限制，并且极速开通后可立即上网。完成初始实名验证后，后续上网将无感知。

新的无线访客系统具有页面适配、业务自助、支付宝或微信实时充值、虚拟钱包、中英文界面等功能，让用户体验更精细。自年初正式投入使用以来，无线访客系统已为4万多名访客服务8万多个小时，为学校庆祝活动提供了有力支持。作为学校对外服务窗口之一，赢得了良好的口碑和口碑。，进一步提升了清华大学在国内外的形象。图 4-6 是基本操作的屏幕截图。

清华大学无线访客系统大大加强了对“访客”等特殊群体的服务能力，但目前系统仅支持IPv4。随着IPv6应用的逐渐发展，无线访客系统如何支持IPv6用户认证，如何支持IPv4/IPv6双栈用户无感知入网，如何解决无线终端IPv6地址变化问题，以及如何审计和追踪IPv6地址，都将是无线访客系统的下一个重点。无线访客系统将加强对IPv6的研究，力争尽快提供完整的双栈接入能力，将无线访客系统建设成全场景服务体系，全面提升系统服务能力。

（作者为清华大学信息技术中心）