Как реализовать механизм аутентификации пользователя точки доступа Wi-Fi

Обновлено: 21.11.2024

Правительства во всем мире имеют законы, контролирующие доступ в Интернет в общедоступных зонах Wi-Fi или гостевых точках доступа Wi-Fi.

В отличие от домашних сетей, которые защищены паролем WPA, системы входа в систему WiFi работают иначе, когда речь идет о создании общедоступных зон WiFi.

Например; большинство местных законов требуют, чтобы провайдеры Wi-Fi (кафе, гостиница, конференц-зал, магазин и т. д.) имели безопасную систему аутентификации или входа в сеть Wi-Fi. Эта система обеспечивает четкую проверку идентификатора пользователя и управление базой данных.

В этой записи блога мы пытаемся объяснить, как безопасная и законная аутентификация пользователей Wi-Fi может выполняться тремя различными способами:

Способ 1. Аутентификация WiFi: проверка идентификатора пользователя с помощью захвата номера мобильного телефона и SMS OTP

В этом методе вы можете использовать программное обеспечение для управления WiFi (или сервер Radius и SMS-шлюз) для аутентификации пользователей, входящих в вашу зону WiFi.

Первый шаг — получение номера мобильного телефона и MAC-адреса устройства. Эти данные необходимо сохранить в вашей локальной/облачной базе данных* — вам необходимо убедиться, что такие пользователи проверены. Для этого есть два возможных варианта:

Следующий шаг — подтвердить этот номер с помощью кода доступа по SMS.

В последнее время такие программы, как Muft WiFi, предоставляют функции вызова для входа в систему, в которых пользователь должен сделать телефонный звонок, чтобы получить доступ в Интернет.

Способ 2. Аутентификация WiFi с помощью идентификатора пользователя и захвата ваучера

Этот метод можно использовать только в том случае, если у вас есть способ зарегистрировать и подтвердить каждого пользователя через независимую систему (например, реестр с контактными данными пользователя и копией удостоверения личности с фотографией каждого пользователя). Этот метод широко используется в отелях, где идентификатор устройства, идентификатор учетной записи и код ваучера фиксируются для аутентификации пользователя.

Способ 3. Аутентификация WiFi через социальные сети*

Этот метод по-прежнему НЕ является законным способом аутентификации пользователей в большинстве стран, таких как Индия. Прежде чем использовать этот метод аутентификации, ознакомьтесь с местными законами.

Бонусный метод: проверка подлинности WiFi с помощью человека или без проверки подлинности.

Этот метод рекомендуется в таких странах, как Эстония, где проверка пользователя может не потребоваться, но во время аутентификации необходимо указать условия использования сети и политику конфиденциальности

В Windows® 8 реализовано множество улучшений беспроводного доступа с проверкой подлинности 802.1X, особенно для случаев, когда компьютер или другое устройство впервые подключается к защищенной сети, не использующей порталы авторизации.

Установление беспроводных подключений 802.1X на компьютерах под управлением Windows® 7 и более ранних операционных систем затруднено, поскольку настройки по умолчанию не предусматривают автоматической проверки подлинности, когда для подключения требуются методы проверки подлинности на основе расширяемого протокола проверки подлинности (EAP). .

Например, когда вы пытаетесь подключить управляемый организацией компьютер с Windows 7, присоединенный к домену, к общедоступной беспроводной точке доступа, Windows 7 автоматически предоставляет учетные данные домена в качестве подтверждения личности для точки беспроводного доступа (WAP) общедоступной точки доступа. Поскольку общедоступная точка доступа не является частью домена организации, она не может аутентифицировать клиентский компьютер, и аутентификация завершается ошибкой. В этом случае вы должны определить протокол аутентификации, который требуется для WAP, а затем выполнить сложный набор шагов, чтобы выбрать и настроить протокол в профиле беспроводной сети на вашем компьютере.

Подключение к общедоступным точкам доступа Wi-Fi

Когда вы сталкиваетесь с сигналом беспроводного доступа с помощью компьютера или другого устройства под управлением Windows 8, Windows сообщает вам, что беспроводная сеть доступна. Если вы выберете сеть и нажмете Подключиться, откроется следующее диалоговое окно.

Это диалоговое окно предоставляет возможность входа в сеть с использованием различных типов учетных данных. Windows предоставляет параметры учетных данных, основанные на типах учетных данных, найденных на компьютере.

Поддерживаются следующие типы учетных данных:

Имя пользователя и пароль. В дополнение к стандартным учетным данным, которые вы вводите в соответствующие поля, поддерживаются следующие типы имени пользователя и пароля:

Имя пользователя и токен-коды с одноразовым паролем (OTP) принимаются в виде имени пользователя и пароля. В этом случае пароль состоит из вашего личного идентификационного номера (ПИН-кода) и токена.

Используйте учетные данные для входа в Windows. Когда вы устанавливаете этот флажок, Windows 8 автоматически заполняет имя пользователя и пароль вашими учетными данными для входа в Windows.

Сертификаты реестра, хранящиеся в хранилище сертификатов на локальном компьютере. Сертификаты смарт-карт не поддерживаются.

Модуль идентификации абонента (SIM-карты) глобальной системы мобильной связи (GSM).

По умолчанию предоставляется возможность ввода имени пользователя и пароля, поскольку аутентификация на основе пароля является наиболее популярным методом аутентификации, используемым точками доступа Wi-Fi и другими организациями.

Если Windows 8 обнаружит другие формы учетных данных на компьютере, Windows предоставит ссылку, по которой можно щелкнуть, чтобы использовать эти учетные данные; однако эта ссылка не отображается, если операционная система не находит другие типы учетных данных на компьютере или устройстве, и для проверки подлинности необходимо ввести имя пользователя и пароль или учетные данные для входа в Windows.

На приведенном выше рисунке Windows 8 обнаружила альтернативные типы учетных данных на локальном компьютере — найдены и сертификат, и SIM-карта, поэтому отображается ссылка Другие способы подключения.

При нажатии на ссылку открывается новое диалоговое окно, в котором вам предлагаются варианты проверки подлинности беспроводного подключения с помощью сертификата или SIM-карты.

Если Windows 8 находит на компьютере только сертификат реестра, ссылка называется Подключиться с помощью сертификата . Если Windows 8 находит на компьютере только SIM-карту, ссылка называется Подключиться с помощью SIM-карты .

Если вы выберете один из этих альтернативных типов учетных данных, вам будет предложено ввести дополнительные учетные данные в соответствующем диалоговом окне, если это необходимо, например, пароль сертификата или PIN-код SIM-карты.

Учетные данные, которые вы предоставляете, затем используются для аутентификации в беспроводной сети.

Выбор протокола аутентификации

Когда вы выбираете тип учетных данных, которые хотите использовать для аутентификации в беспроводной сети, Windows 8 автоматически выбирает соответствующий протокол аутентификации для подключения. Следующие шаги содержат подробные сведения о том, как работает этот процесс.

Windows проверяет все установленные методы EAP в операционной системе, включая встроенные методы EAP и сторонние методы, и создает список, называемый коротким списком, методов аутентификации, соответствующих учетным данным. тип, который вы выбрали.

PEAP с Tunneled Transport Layer Security (TTLS) или PEAP-TTLS сопоставляется с методами на основе пароля, как и сторонние методы на основе OTP. Методы аутентификации EAP с алгоритмом Message-Digest (MD5) или EAP-MD5, а также EAP с протоколом аутентификации Microsoft Challenge Handshake Authentication Protocol версии 2 (MS-CHAP v2) или EAP-MS-CHAP v2 всегда игнорируются, поскольку: в целях безопасности беспроводной клиент Windows 8 их не использует.

Встроенные методы Microsoft всегда предпочтительнее сторонних реализаций. Например, если обнаружена сторонняя реализация PEAP, Windows по-прежнему будет выбирать только встроенную реализацию Microsoft при составлении списка протоколов.

В случае аутентификации на основе SIM-карты Windows включает в короткий список только те протоколы, которые поддерживаются вашей SIM-картой.

Windows использует этот список протоколов и согласовывает окончательный протокол с сервером службы удаленной аутентификации пользователей с телефонным подключением (RADIUS), который обрабатывает запрос на подключение и выполняет аутентификацию и авторизацию, например сервер под управлением Windows Server 2012 с сетевой политикой. Сервер (NPS) установлен и настроен как сервер RADIUS.

В зависимости от типа учетных данных Windows предлагает протоколы серверу RADIUS в порядке, указанном в таблице ниже.

Для PEAP и TTLS в качестве внутренних методов согласовываются только EAP-MS-CHAP v2 и протокол аутентификации по паролю (PAP).

Система Classic Hotspot позволяет пользователям создавать гостевые сети Wi-Fi. Предоставьте гостевой доступ к Wi-Fi через доступ на основе пароля, открытый доступ и авторизованные порталы для платного или бесплатного Wi-Fi.

Управляйте своими сетями и пользователями гостевого Wi-Fi, одновременно повышая прибыль от точек доступа Wi-Fi. С помощью Classic Hotspot вы можете настроить заставку, которую пользователь видит перед подключением к вашей сети. Размещайте рекламу на своих страницах-заставках и освещайте свои рекламные акции, используйте каналы социальных сетей в качестве метода аутентификации, используйте систему купонов для платного Wi-Fi и собирайте данные пользователей для проведения маркетинговых кампаний.

Я повышаю безопасность сети с помощью Classic Hotspot. Позвольте гостям подключаться и перемещаться по Интернету, использовать каналы социальных сетей, проверять электронную почту или потоковое видео и многое другое, в то время как ваши данные и сети остаются конфиденциальными и безопасными. Кроме того, скомпрометированные гостевые устройства не заразят никакие другие сети, файлы и программы.

Классическую точку доступа можно легко включить на любом совместимом устройстве. Управляйте и отслеживайте работу гостевого WiFi в облаке.

Захватывающий портал

Что такое Captive Portal?

Портал авторизации, также известный как страница-заставка, страница входа, портал-заставка и целевая страница, представляет собой веб-страницу, отображаемую пользователю гостевой сети Wi-Fi перед доступом к общедоступной сети Wi-Fi. На этой веб-странице пользователи могут пройти аутентификацию и зарегистрироваться в сети Wi-Fi, используя свои учетные данные.

Классическая точка доступа предлагает широкий спектр методов аутентификации, позволяющих предприятиям с несколькими вариантами предоставления пользователям гостевого WiFi доступа в Интернет. Компании имеют в своем распоряжении вход через социальные сети WiFi, аутентификацию на основе ваучеров для платного WiFi, простой вход по клику, электронную почту, телефон и вход через формы. Также можно комбинировать логин электронной почты и телефона, а также пароль и логин через социальную сеть, что идеально подходит для политик BYOD.

Какова функция авторизованного портала?

Переходной портал или страница-заставка позволяет пользователям получать доступ к сетям Wi-Fi и подключается к серверу Radius, на котором сохраняются данные доступа.

Автопортал — это мощный маркетинговый инструмент для сбора данных о пользователях и их сегментации. Таким образом, компании, предоставляющие Wi-Fi своим клиентам, могут собирать ценные данные и сегментировать их для проведения узкоспециализированных маркетинговых кампаний.

Используйте авторизованный портал в качестве канала, чтобы сообщать своим пользователям гостевой сети Wi-Fi рекламные акции, вставлять аудио- и видеообъявления и отображать любые убедительные сообщения, которые пользователи увидят в процессе аутентификации.

Редактор заставки

Создавайте заставки для мобильных устройств. Редактор страниц-заставок Classic Hotspot прост в использовании и позволяет создавать страницы-заставки независимо от выбранного вами метода входа в систему.

Проявите творческий подход к своим страницам-заставкам. Интуитивно понятное перетаскивание готовых элементов облегчит вашу работу. Настройте страницы-заставки, используя цвета вашего бренда, логотип, шрифт и любые другие факторы, которые делают ваш бизнес уникальным. Добавляйте новые методы входа за считанные секунды.

Смоделируйте весь процесс аутентификации. Предварительно просмотрите, как ваши адаптивные авторизованные порталы будут отображаться для пользователей, и смоделируйте весь процесс аутентификации, чтобы контролировать взаимодействие с пользователем.

Редактор Classic Hotspot позволяет вам устанавливать положения и условия (T&C), чтобы ваши сети Wi-Fi полностью соответствовали действующим законам. На каждой странице-заставке укажите надлежащее Положение и Условия / Политику конфиденциальности, соответствующую GDPR. Вы можете запросить у нашей команды успеха бесплатный шаблон Условий и правил / Политики конфиденциальности, который вы можете изменить в соответствии с вашим контекстом использования, потребностями, оценками и выбором в отношении целей обработки данных. ​

Панель управления аналитикой

Вся информация и данные, собранные от ваших пользователей гостевого Wi-Fi, хранятся на панели инструментов Classic Hotspot Analytics, интуитивно понятном веб-инструменте для доступа к вашей социальной статистике и контактным данным клиентов. Панель управления помогает анализировать данные и узнавать, как лучше привлечь внимание клиентов к вашему бренду.

Аналитическая панель также позволяет показывать рентабельность инвестиций вашим конечным пользователям. Определите, сколько новых контактов вы получаете ежемесячно через Wi-Fi по сравнению с тем, какой бюджет вам придется потратить на рекламу, чтобы получить такое же количество новых подключений.

Улучшение взаимодействия с пользователем

Благодаря функции "Запомнить меня" клиентские устройства могут легко повторно подключаться при возвращении в место, которое они посетили в прошлом.

Функция «Запомнить меня» позволяет выполнять автоматический повторный вход для возврата пользователей к тому же SSID, связанному с одной или несколькими точками доступа в той же сети. Это означает, что если пользователь подключается к SSID, отключается и возвращается к тому же SSID, пользователь будет автоматически распознан на предыдущей или другой точке доступа.

Благодаря возможностям роуминга в Classic Hotspot клиенты не теряют соединение при перемещении между местами с несколькими развернутыми точками доступа, поскольку они остаются на связи в любом месте.

Включите роуминг в своих сетях, даже если они не состоят из корпоративных точек доступа. Предположим, вы используете UniFi Outdoor вне помещения и несколько TP-Link для внутреннего Wi-Fi; в этом случае клиенты беспрепятственно перемещаются внутри и за пределами вашего заведения, не видя снова заставку после первой аутентификации.

Интеграции и API

Классическая система Hotspot позволяет создавать новые контакты и новые данные тремя способами:

• Для маркетинга по электронной почте используйте коннектор Classic Hotspot Mailchimp, который отправляет выбранные адреса электронной почты непосредственно в вашу учетную запись Mailchimp;
• Для измерения результатов вашего социального Wi-Fi и проведения маркетинговых кампаний и кампаний по продажам с высокой рентабельностью в вашем списке контактов путем экспорта их на любую стороннюю маркетинговую платформу или CRM в формате CSV;
• Настройте интеграцию с любой сторонней системой, используя API Push-уведомлений Classic Hotspot. В прошлом наши клиенты использовали эту функцию для интеграции классической точки доступа с Zendesk, Salesforce, Marketo, ConstantContact, SendinBlue, Sendgrid, Fidelio, Opera, Plivo и многими другими.

Благодаря этим интеграциям и API-интерфейсам вы можете получать доступ к данным своих клиентов WiFi из любого места и творчески использовать их для создания своего уникального приложения.

Фильтрация веб-контента

При развертывании сети Wi-Fi в общественном месте, например в школе, торговом центре или ресторане, очень важно обеспечить безопасный просмотр для всех пользователей гостевой сети Wi-Fi.

Классическая точка доступа позволяет использовать встроенную службу фильтрации DNS для фильтрации веб-контента и журналов веб-сайтов. Эта функция позволяет:

• Повышение безопасности и обеспечение ответственного использования Интернета пользователями
• Предотвратите нерациональное использование полосы пропускания, предотвращая доступ к нежелательным веб-сайтам.
• Отслеживание запросов URL

Классическая функция фильтрации веб-контента Hotspot позволяет блокировать доступ пользователей к неподходящим или несанкционированным веб-сайтам и приложениям при использовании сетей Wi-Fi. Этот фильтр блокирует вредоносные страницы, а также может работать как программный инструмент родительского контроля.

Аутентификация — это один из краеугольных камней решения по разгрузке. Aptilo предлагает передовые методы, а также альтернативные решения, позволяя поставщику услуг комбинировать методы и создавать более инновационные пользовательские интерфейсы.

Рекомендации по разгрузке: EAP-SIM/AKA

Аутентификация на основе SIM-карты — лучший способ аутентификации при разгрузке мобильных данных, поскольку в ней используется тот же механизм, что и в сети 3G/LTE, что делает процесс аутентификации простым и безопасным для конечного пользователя. Процесс автоматической аутентификации в сочетании с тенденцией смартфонов отдавать приоритет подключениям Wi-Fi по сравнению с подключениями 3G/LTE обеспечат высокий уровень разгрузки пользователей.

Aptilo SMP SIM Authentication™ аутентифицирует пользователей на основе информации, полученной от HLR или HSS в мобильном ядре в соответствии с функциональностью 3GPP AAA.

Сеть Wi-Fi должна поддерживать стандарт 802.1x, чтобы передавать учетные данные SIM-карты функции аутентификации SIM-карты, что обеспечивает дополнительное преимущество шифрования канала Wi-Fi с тем же уровнем безопасности, что и в сети. Сеть 3G/LTE. Безопасность и процесс автоматической аутентификации делают сеть Wi-Fi надежным расширением сети 3G/LTE. Вместе с новым стандартом IEEE 802.11u аутентификация EAP-SIM/AKA на основе SIM-карты стала основой точки доступа следующего поколения — точки доступа 2.0, как определено рабочей группой Hotspot 2.0 в Wi-Fi Alliance.

Ежегодно активируется около 800 млн новых устройств Wi-Fi; не все из них будут иметь SIM-карты или поддержку EAP-SIM/AKA. Операторам мобильной связи потребуются альтернативные методы аутентификации для поддержки этих клиентов.

Альтернативные методы аутентификации

Aptilo поддерживает ряд методов аутентификации, которые могут выступать в качестве альтернативы EAP-SIM/AKA. В реальных развертываниях поставщикам услуг всегда необходимо сбалансировать безопасность с пользовательским интерфейсом. Эти методы можно использовать для расширения и дополнения совместимости разгрузки мобильных данных с устаревшими устройствами, которые не имеют SIM-карт или не поддерживают механизмы аутентификации SIM.

Aptilo также позволяет поставщику услуг комбинировать методы аутентификации для создания более инновационных пользовательских интерфейсов. Например, для автоматической аутентификации пользователей с помощью SIM-карты перед отправкой их на авторизованный портал для утверждения суммы ежедневного платежа или получения коммерческого сообщения («предотвращение переполнения счетов»).

Одноразовый пароль по SMS

Доставка пароля пользователю по SMS или в клиентское приложение без уведомления — лучший способ надежно идентифицировать пользователя в сети Wi-Fi с открытым SSID.

Аутентификация на основе MAC

Очень распространенным методом для сетей Wi-Fi, работающих с открытым SSID, является использование аутентификации на основе Mac, где для идентификации используется уникальный адрес управления доступом к среде (MAC) устройства. Этот механизм обеспечивает удобный пользовательский интерфейс с автоматическим входом в сеть Wi-Fi и часто используется в качестве механизма повторной аутентификации для краткосрочных учетных записей в точках доступа Wi-Fi.Однако, поскольку MAC-адреса могут быть подделаны, аутентификация на основе MAC-адресов обычно не используется поставщиками услуг в качестве основного механизма аутентификации для долгосрочных учетных записей.

Вход в систему с нескольких устройств на основе местоположения — это запатентованное изобретение Aptilo, которое позволяет операторам мобильной связи достигать более высокого уровня безопасности для аутентификации устройств на основе MAC-адресов в сетях Wi-Fi. Это делает автоматическую аутентификацию на основе MAC для нескольких устройств более безопасной, привязывая их к активному мобильному телефону, принадлежащему тому же абоненту, который уже прошел аутентификацию с помощью безопасного метода EAP в том же месте.

Унифицированный доступ Wi-Fi Aptilo 3GPP

Стандарт доступа Wi-Fi 3GPP требует использования аутентификации SIM-карты (EAP-SIM/AKA), когда политики извлекаются из профиля абонента в HLR/HSS в процессе аутентификации. Эти политики имеют решающее значение для службы Wi-Fi и включают в себя такие вещи, как APN и параметры для настройки отдельного туннеля GTP для перенаправления пользовательского трафика в мобильное ядро.

Aptilo SMP уже обеспечивает доступ к Wi-Fi 3GPP для мобильных телефонов с SIM-картами с использованием EAP-SIM/AKA. Aptilo SMP теперь расширяет поддержку доступа к Wi-Fi 3GPP на все устройства Wi-Fi, в том числе с SIM-картами, но без поддержки аутентификации SIM-карты (EAP-SIM/AKA). Это новшество использует высоконадежный метод аутентификации EAP-TTLS/PEAP вместо EAP-SIM/AKA, при этом политики извлекаются из профиля абонента в HLR/HSS, как если бы это была аутентификация EAP-SIM/AKA. Aptilo SMP извлекает профиль абонента пользователя, используя MSISDN (номер мобильного телефона), а не IMSI (идентификатор SIM-карты) в качестве идентификатора, при этом используя для безопасности EAP-TTLS, а не EAP-SIM/AKA (оранжевый путь выше). Другими словами, Aptilo делает возможным доступ к Wi-Fi 3GPP в реальных условиях, добавляя поддержку устройств, не имеющих возможности аутентификации SIM-карты.

Унифицированное решение Aptilo 3GPP Wi-Fi для доступа работает для любого из методов доступа 3GPP Wi-Fi. Одним из самых популярных способов является доверенный доступ к Wi-Fi 3GPP. В этом методе пользовательский трафик безопасно передается в ядро ​​мобильной связи через туннель GTP (или MIP/PMIP) между WAG/TWAG (шлюзом беспроводного доступа) и GGSN/P-GW.

Читайте также:

  
• Почему существует две технологии беспроводной связи Bluetooth и Wi-Fi
  
• Настройка маршрутизатора Mercusys mw301r
  
• Как включить Bluetooth на скутере xiaomi
  
• Как проверить трафик на роутере
  
• Rcd 510 Bluetooth не работает