WiFi 無感知認(rèn)證是一種無需用戶手動(dòng)輸入用戶名和密碼就能自動(dòng)連接 WiFi 網(wǎng)絡(luò)的認(rèn)證方式。它基于用戶設(shè)備的 MAC 地址或其他身份標(biāo)識(shí)，將設(shè)備與已經(jīng)注冊(cè)的用戶帳戶相關(guān)聯(lián)，從而實(shí)現(xiàn)自動(dòng)認(rèn)證。它可以提高用戶使用 WiFi 的便利性和安全性，同時(shí)也可以減少用戶記憶賬號(hào)密碼的煩惱和時(shí)間浪費(fèi)。

01 需求分析：

為增強(qiáng)企業(yè)內(nèi)網(wǎng)的安全性及可控性，某科技公司期望對(duì)員工接入有線網(wǎng)絡(luò)、無線 WiFi 時(shí)執(zhí)行 Portal 認(rèn)證入網(wǎng)的準(zhǔn)入控制，不允許外來電腦進(jìn)入公司隨意接入內(nèi)網(wǎng)。同時(shí)，該公司對(duì)接入場(chǎng)景提出挑戰(zhàn)，要求目前內(nèi)網(wǎng)中的用戶入網(wǎng)認(rèn)證是完全無感知的，而對(duì)于后面要接入網(wǎng)絡(luò)的用戶則進(jìn)行 Portal 認(rèn)證。

02 解決方案：

對(duì)于該公司的需求，我們提出 MAC 認(rèn)證的方案，正常配置 Portal 認(rèn)證，Portal 認(rèn)證前，設(shè)備會(huì)攜帶自身的 MAC 先進(jìn)行一次 MAC 無感知認(rèn)證，此次認(rèn)證的優(yōu)先級(jí)會(huì)高于頁面的 Portal 認(rèn)證，如圖：

所以設(shè)備側(cè)還是正常對(duì)接寧盾身份認(rèn)證系統(tǒng)，進(jìn)行 Portal 認(rèn)證。然后在啟用 Portal 認(rèn)證前，在系統(tǒng)上先更新目前已經(jīng)入網(wǎng)的終端設(shè)備、用戶設(shè)備 MAC 地址，如圖：

然后正常啟用 Portal，所有已經(jīng)更新了 MAC 地址的用戶設(shè)備和終端設(shè)備都可以通過 MAC 進(jìn)行無感知入網(wǎng)，不對(duì)目前的用戶有任何打擾，但實(shí)際上內(nèi)網(wǎng)已經(jīng)拉起了入網(wǎng)管控，后續(xù)如果有未在系統(tǒng)中有 MAC 記錄的設(shè)備，都需要進(jìn)行入網(wǎng)的 Portal 認(rèn)證，如此便達(dá)到了客戶需要實(shí)現(xiàn)的效果。

用戶正常通過MAC地址認(rèn)證上線

同理：

后續(xù)用戶設(shè)備在進(jìn)行 Portal 認(rèn)證后，也會(huì)對(duì)應(yīng)著發(fā)送自身設(shè)備的 MAC 進(jìn)行認(rèn)證，認(rèn)證通過后，系統(tǒng)會(huì)關(guān)聯(lián)記錄此用戶和 MAC 的關(guān)聯(lián)關(guān)系，進(jìn)行綁定，如圖：

用戶后續(xù)入網(wǎng)時(shí)，同一臺(tái)設(shè)備不需要進(jìn)行二次認(rèn)證，直接可以通過 MAC 無感知上線，對(duì)于用戶的打擾降至最低。

03 方案價(jià)值：

通過寧盾身份認(rèn)證系統(tǒng)建設(shè)內(nèi)網(wǎng)用戶有線/無線認(rèn)證基線后，實(shí)現(xiàn)了用戶身份認(rèn)證可信，有效阻止了非法接入。并且通過寧盾身份認(rèn)證系統(tǒng)對(duì)于內(nèi)網(wǎng)的終端資源可進(jìn)行統(tǒng)計(jì)，對(duì)于用戶的打擾非常低，可以實(shí)現(xiàn)全程無感上線。

（本文來源于寧盾，僅供學(xué)習(xí)和參考，未經(jīng)授權(quán)禁止轉(zhuǎn)載和復(fù)制。如欲了解更多內(nèi)容，可前往寧盾官網(wǎng)博客解鎖更多干貨）