学校的WiFi认证和其他场景有一个根本性的不同:在学校里,用户(学生)没有付费关系,但有管理关系。酒店WiFi认证的目标是让客人方便上网并完成计费,而学校WiFi认证的目标是让该用的人能用、不该用的时候不能用,同时还要满足实名制和上网行为审计的合规要求。这两个目标在系统设计和运营策略上有本质差异,如果不在项目初期理清楚,上线之后会出现各种预想不到的问题。
学生账号从哪里来,这是所有工作的前提。
学校场景下,WiFi认证系统的账号体系通常不是独立创建的,而是和学校已有的信息系统做对接。大多数高校有统一的学籍管理系统,每个学生有一个唯一学号;中小学可能有教务管理系统或者一卡通系统。通过对接这些系统来批量导入学生账号,比人工逐一创建要靠谱得多。但这个对接过程中有几个需要注意的细节。
第一是学号的格式统一问题。同一所学校里,本科生、硕士生、博士生、留学生的学号格式可能不一样,有的带字母前缀,有的是纯数字,长度也不同。如果认证系统在导入时不做兼容处理,就会出现部分学生无法登录的情况。第二是数据的同步频率——每年新生入学和老生毕业,学籍数据都有大的变动,同步频率太低了会导致新生的账号迟迟不可用,或者毕业生的账号一直保留在系统里形成安全漏洞。通常的做法是将数据同步设定为每天一次增量更新,在学生毕业季和入学季提高为每小时一次。
第三是账号的生命周期管理需要明确的策略。学生入校时自动创建账号并激活,在校期间正常使用,毕业或休学后账号应该在规定时间内(通常是一到三个月)转为禁用状态并最终删除。转专业的学生、留级的学生、交换生的账号归属也需要处理——不能因为学生换了学院就丢失了他的历史使用数据。这些策略需要在项目设计阶段就写进方案文档里,不要在系统上线后一个个来补。
时段控制是实现"该用的时候才能用"的核心手段。
中小学宿舍和部分大学宿舍有明确的熄灯断网制度——晚上11点之后不能再上网。但这个控制不能一刀切:周末和节假日可能需要放宽时间限制;考试季临近时可能需要调整策略让学生减少上网时间;寒暑假时在校生数量少,时段控制可以完全放开。
一个好的时段控制系统应该支持按日期类型、按用户分组、按区域做精细化的时间策略。日期类型至少要有工作日、周末、节假日、考试周四种;用户分组可以把本科生、研究生、教职工分开,研究生因为科研需要可能需要24小时网络权限,本科生遵守熄灯断网;按区域则是指教学楼、图书馆、宿舍楼的网络时间段策略应该不同——教学楼晚上不应有人但白天应该提供网络,宿舍楼白天可以有限制但晚自习时段需要网络。
在断网时间点到来时,系统如何处理已经在线的用户也是个需要考虑的问题。是直接强制断开,还是先发一个"还有5分钟断网"的提醒,让用户有时间保存工作和发送消息?前者的实现简单但用户体验粗暴,后者需要在技术上加一个定时提醒的机制但体验好很多。多数学校选择的是折衷方案:在断网前5分钟和1分钟各弹一次提醒,断网时间到后允许当前会话继续维持15分钟,15分钟后强制断开。
访客和临时账号的管理。
学校除了正式学生和教工外,还有大量临时用户:来参加学术会议的校外人员、短期培训的学员、来校参观的家长、在食堂吃饭用WiFi的周边居民。这些用户不应该进入正式的学生账号体系,但也不能把他们完全排除在外。处理方式通常是建立一套访客账号机制——由学校内部的行政人员通过认证系统的后台生成有时效性的访客账号,或者接入微信扫码认证让访客通过关注学校公众号来完成临时认证。
访客账号的管理有几个关键点:一是有效期必须明确,通常设置为1天到7天;二是访客的带宽和访问权限应该和正式学生做区分,比如访客只能访问互联网不能访问校内资源网;三是访客的上网行为同样受实名制和审计日志约束,监管要求不区分正式用户和访客用户。这些都需要WiFi认证系统在账号管理模块中原生支持,而不是通过打补丁的方式来实现。
设备数量和MAC地址绑定的管理。
现在学生拥有的上网设备数量远不止一两台——手机、平板、笔记本、智能手表,一个学生可能有四五个设备同时需要连接WiFi。如果认证系统限制每个账号只能绑定一个或两个MAC地址,学生体验会非常差。但如果完全不限制MAC数量,又可能导致账号被盗用后的安全隐患。
一个合理的折衷是:每个学生账号允许绑定5-8个MAC地址,超过上限后学生可以在自助服务页面里管理自己的设备列表,解除不再使用的设备绑定。同时,系统应对MAC地址的绑定和更换做日志记录,当一个账号频繁更换设备时触发安全提醒。如果某个学生账号在一天内更换了超过3个不同MAC地址,有可能是账号泄露或者学生在共享账号给其他人使用。
学生网络行为的数据使用边界。
学校可以通过认证系统获取到学生的上网时段、流量消耗、访问的网站类型等信息,这些数据在教学管理和学生辅导中有一定价值。但数据使用的边界必须非常清楚:哪些数据可以用于教学分析,哪些数据属于个人隐私不能触碰,哪些数据的使用需要提前告知学生并获得同意。这不是一个技术问题,是一个合规管理和伦理边界的问题。在系统建设初期就和学校的信息管理部门、法律合规部门一起讨论并明确数据使用策略,比事后因为数据使用不当引发投诉或舆情,要明智得多。
校园WiFi认证系统的建设,技术上没有特别高的门槛,真正的难度在于——它需要和学校的信息化基础、管理制度、学生行为特点、合规要求做深度结合。把WiFi认证当成一个独立的IT项目来做,上线后会发现四处漏风;把它放在学校信息化整体框架里来规划,才能让系统的生命周期更长、运维成本更低。