Идентификация абонента в Wi-Fi сети по телефонному номеру

23 декабря 2016
DPI
Идентификация абонента в Wi-Fi сети по телефонному номеру
Бесплатный Wi-Fi для посетителей кафе, ресторанов, торговых центров и многих других общественных мест уже стал обязательной нормой хорошего сервиса. Если еще несколько лет назад, чтобы выйти в интернет с планшета или телефона необходимо было использовать мобильный интернет, то сейчас бесплатный Wi-Fi есть практически везде: в транспорте, в парке, в кафе, в торговом центре. Но все чаще, при подключении к сети Wi-Fi требуется авторизация, зачем она нужна и как реализуется?

Анонимный и бесконтрольный доступ в сеть интернет может стать угрозой для государства и его жителей, именно поэтому Постановление правительства №758, вступившее в силу 13 августа 2014 года, обязало владельцев публичных заведений, которые предоставляют бесплатный доступ к Wi-Fi, идентифицировать пользователей. Согласно постановлению и разъяснениям Минкомсвязи, идентификация может быть выполнена тремя способами: по документу, удостоверяющему личность (например, паспорту), номеру мобильного телефона или учетной записи на сайте Госуслуг.

Кто отвечает за идентификацию

Проводить идентификацию пользователя, регистрировать его устройство в сети и следить за временем рабочей сессии должен владелец заведения, предоставляющий доступ к открытой Wi-Fi сети. Ответственность и штраф (до 50 000 рублей для ИП и до 200 000 рублей для юридических лиц) за невыполнение требований постановления ложится также на него.

Существуют 3 основных способа организации идентификации:

  1. Установка специального оборудования (роутера, прокси-сервера) в сети Wi-Fi заведения. Такой способ чаще всего применяется владельцами гостиниц, где для идентификации гостя в сети используется номер комнаты, к которому привязаны его паспортные данные.
  2. Использование готового решения от фирмы посредника, которая предоставляет оборудование и сервис по идентификации по номеру телефона. Этот способ может применяться владельцами небольших кафе и ресторанов, но имеет ограничение по масштабированию и требует заключения отдельного договора и ежемесячной платы за сервис.
  3. Предоставление услуги идентификации оператором связи, с которым заключен договор на предоставление доступа в интернет. Наиболее универсальный и доступный вариант, так как не требует дополнительных затрат на оборудование, может оплачиваться по основному договору предоставления доступа к сети интернет и не имеет ограничений по числу абонентов бесплатного Wi-Fi.
Напомним, что идентификация может осуществляться тремя способами — по документу, удостоверяющему личность (паспорт, водительские права и т.д.), номеру мобильного телефона или учетной записи на сайте Госуслуг. Авторизация через социальные сети не отвечает требованиям Постановления и не является правомерной.

идентификация в wi-fi

Идентификация по номеру телефона

Данный способ идентификации является наиболее распространённым, он не требует согласия по работе с персональными данными от пользователя Wi-Fi, как в случае использования паспорта, и не обязывает регистрироваться на сайте Госуслуг, для чего также необходим интернет, который пользователь пытается получить.

Последовательность действий пользователя для доступа к бесплатной сети Wi-Fi выглядит следующим образом:

  1. Абонент подключается к сети WiFi.
  2. Появляется приветственная страница заведения с информацией, что абонент должен открыть браузер и идентифицировать себя (на некоторых устройствах, например, iPhone, идентификация прямо с приветственной страницы не сохраняет cookie).
  3. В браузере, при переходе на любой URL, происходит переадресация абонента на страницу идентификации.
  4. Абонент вводит телефонный номер, запрашивает код доступа.
  5. Код доступа приходит на введенный номер телефона через SMS.
  6. Абонент вводит полученный код доступа на странице идентификации.
  7. Происходит запись сессионной cookie на абонентское устройство с сохранением в течение суток (это необходимо для повторного доступа в сеть без идентификации) и переход на запрошенный пользователем URL.

Владельцу заведения необходимо только установить и настроить оборудование Wi-Fi, подключить его к линии оператора связи и оплатить выбранный тарифный план. Работа по идентификации пользователя происходит на оборудовании оператора связи, как это происходит, рассмотрим на примере системы СКАТ от компании VAS Experts.

Схема идентификации оператором по номеру телефона

Помимо стандартного оборудования для предоставления доступа к сети интернет абонентам (коммутаторы, маршрутизаторы, граничный роутер, Wi-Fi точки доступа) оператор должен иметь:

  • Систему СКАТ;
  • DHCP сервер для организации централизованной выдачи адресов абонентам (в одной сети с DPI), обладающий возможностью при выдаче нового IP адреса вызвать shell скрипт;
  • Виртуальную машину с установленным WEB-сервером Apache (httpd), модулем просмотра статистики и отчетов (nfsen);
  • Доступ к сервису для отправки SMS сообщений (например, digital-direct.ru);
  • NAT для уменьшения количества используемых IPv4 адресов, и записью лога трансляций IP↔IP, PORT (опционально);
  • Radius для аутентификации в сети по идентификатору абонента (опционально).

Схема Wi-Fi идентификации

Последовательность операций при работе по такой схеме:

  1. Абонентское устройство (смартфона, планшет, ноутбук) подключается к Wi-Fi роутеру заведения (та самая бесплатная сеть);
  2. Wi-Fi роутер обращается за новым IP к DHCP серверу оператора связи;
  3. При выдаче нового IP, DHCP сервер вызывает shell-скрипт, и передает данные на Wi-Fi роутер;
  4. Shell-скрипт по выданному IP активирует на СКАТ DPI услугу белый список и тариф с ограничениями доступа;
  5. WEB-сервер получает запрос на приветственную страницу, абонент активирует браузер и переходит на любой URL;
  6. WEB-сервер получает запрос на страницу идентификации (и проверяет cookie), абонент вводит телефонный номер и нажимает «получить код доступа»;
  7. WEB-сервер получает запрос на код доступа, формирует случайное число и отправляет на телефон абонента с помощью внешнего сервиса, абонент вводит в форму полученный код и нажимает «подтвердить»;
  8. WEB-сервер получает запрос на подтверждение кода доступа, если код правильный, вызывает shell-скрипт для удаления услуги белый список и установки тарифа Wi-Fi доступа, устанавливает cookie в браузере и переадресует на запрошенный URL.

Настройка оборудования

Для реализации схемы необходимо настроить оборудование оператора: систему DPI, DHCP-сервер, Web-сервер.

Настройка системы DPI

  1. Используем описание классов протоколов txt
    http    cs0
    https    cs0
    dns    cs0
    default    cs1
  2. Конвертируем и из архива с исходниками копируем на сервер DPI
    cat protocols.txt|lst2dscp /etc/dpi/protocols.dscp
    htdocs/wifi/.script в /home/fastdpi/
  3. Создаём файл тарифа default_policing.cfg для доступа к интернет через WiFi — 10 mbit
    htb_inbound_root=rate 10mbit
    htb_inbound_class0=rate 1mbit ceil 10mbit
    htb_inbound_class1=rate 1mbit ceil 10mbit
    htb_inbound_class2=rate 8bit ceil 10mbit
    htb_inbound_class3=rate 8bit ceil 10mbit
    htb_inbound_class4=rate 8bit ceil 10mbit
    htb_inbound_class5=rate 8bit ceil 10mbit
    htb_inbound_class6=rate 8bit ceil 10mbit
    htb_inbound_class7=rate 8bit ceil 10mbit
    htb_root=rate 10mbit
    htb_class0=rate 1mbit ceil 10mbit
    htb_class1=rate 1mbit ceil 10mbit
    htb_class2=rate 8bit ceil 10mbit
    htb_class3=rate 8bit ceil 10mbit
    htb_class4=rate 8bit ceil 10mbit
    htb_class5=rate 8bit ceil 10mbit
    htb_class6=rate 8bit ceil 10mbit
    htb_class7=rate 8bit ceil 10mbit
  4. Создаём файл тарифа captive_portal_hard.cfg для блокировки доступа к интернету совместно с белым списком
    htb_inbound_root=rate 256kbit
    htb_inbound_class0=rate 8bit ceil 256kbit
    htb_inbound_class1=rate 8bit ceil 8bit
    htb_inbound_class2=rate 8bit ceil 8bit
    htb_inbound_class3=rate 8bit ceil 8bit
    htb_inbound_class4=rate 8bit ceil 8bit
    htb_inbound_class5=rate 8bit ceil 8bit
    htb_inbound_class6=rate 8bit ceil 8bit
    htb_inbound_class7=rate 8bit ceil 8bit
    htb_root=rate 256kbit
    htb_class0=rate 8bit ceil 256kbit
    htb_class1=rate 8bit ceil 8bit
    htb_class2=rate 8bit ceil 8bit
    htb_class3=rate 8bit ceil 8bit
    htb_class4=rate 8bit ceil 8bit
    htb_class5=rate 8bit ceil 8bit
    htb_class6=rate 8bit ceil 8bit
    htb_class7=rate 8bit ceil 8bit
  5. Настраиваем услугу белый список
    cp_server=yoursite.ru/welcome.php

Настройка DHCP-сервера

  1. Настраиваем удаленный запуск команд через SSH
  2. Устанавливаем триггер на выдачу нового IP:
    ssh dpi_user@dpi_host «/home/fastdpi/_add_captive_portal.sh »

Настройка Web-сервера

  1. Настраиваем удаленный запуск команд через SSH
  2. Настраиваем конфигурацию Apache, пример в директории архива conf/:
    • в conf.d/php.ini переносим / добавляем настройки из примера conf/php.ini
    • включаем файл conf
    • настраиваем DocumentRooot на /var/www/html/htdocs/wifi/
  3. Копируем htdocs/ в /var/www/html
  4. Редактируем /var/www/html/htdocs/wifi/.script/remove_captive_portal.sh
  5. Редактируем /var/www/html/htdocs/wifi/request.php, указываем USER и PASSWORD доступ к сервису отправки SMS сообщений

Реализация идентификации пользователя по такой схеме позволяет решить сразу несколько задач:

  • Предоставлять посетителям бесплатный доступ в интернет, повышая тем самым их лояльность и удовлетворенность;
  • Соответствовать требованиям Постановления и избежать штрафов;
  • Размещать на странице авторизации рекламу и информацию о маркетинговых акциях заведения;
  • Ведение статистики о посетителях для дальнейшего анализа с целью повышения качества предоставляемых услуг.

Для получения более подробной информации о функции идентификации пользователей системы DPI СКАТ и других ее возможностей можно обратится к специалистам компании VAS Experts.

Мы используем файлы cookies для оптимизации функциональности сайта и улучшения качества услуг. Нажимая «Принять», вы даете согласие на работу с этими файлами. Чтобы узнать больше, пожалуйста, прочтите нашу Политику конфиденциальности.