很多酒店做无线认证的时候,思路是"买台设备,把认证功能开了,就算合规了"。结果网监检查一来,发现日志格式对不上、推送接口没打通、留存周期差几天——设备买了,功能开了,合规还是没做到。
问题出在把合规当成一个功能点,而不是一套体系。蓝海卓越在酒店无线认证项目里踩过的坑,归纳起来主要是四件事没在方案阶段说清楚。
《互联网安全保护技术措施规定》对日志的要求是明确的:用户身份信息、终端信息、上网日志,留存时长不低于6个月。但规定里没有写日志格式要是什么样子——这才是实际项目里扯皮最多的地方。
不同地区的网监平台,对日志字段的要求不一样。有的要求日志里包含手机号、认证时间、下线时间、访问IP;有的要求记录访问的具体URL;有的要求按天打包推送。这些要求如果不提前跟集成商和设备商确认清楚,等系统上线了再来改,要么加钱,要么改架构,代价都很大。
蓝海卓越的日志服务器在方案阶段就会问清楚当地网监的接口规范,配置的日志字段和推送格式在项目启动前跟甲方确认清楚。技术上能对接,但前提是方案阶段要把这件事拿出来谈,不是买了设备再来对。
酒店的网络架构这几年变化很大。传统模式是酒店自己拉宽带、建局域网,认证网关部署在酒店机房。现在运营商光纤到房间的方案越来越普及,OLT上联到运营商机房,多家酒店共用一个OLT,酒店侧的网络架构被压扁了。
这两种架构对认证系统的要求完全不同。
酒店自建局域网的场景,用蓝海卓越的本地部署方案最合适——认证网关部署在酒店机房,跟PMS对接做房号认证,日志服务器部署在本地留存,审计网关通过核心交换机镜像抓包上报。这套架构酒店自己管,权限清晰,数据在自己机房里。
运营商光纤到房间、多酒店共用OLT的场景,本地部署方案行不通了——酒店侧没有独立的网络出口,所有流量都在OLT上汇在一起。这时候蓝海卓越提供集中式方案:认证网关或审计网关部署在OLT上方,按VLAN区分各酒店流量,各自独立认证、日志独立留存、统一推送网监。这种架构适合运营商统一管理多酒店合规,单酒店改动小,但配置复杂度比本地方案高。
选错架构的后果是:设备买回来了,发现跟自己的网络接不上;或者架构选对了,但配置参数没调对,上线之后各种异常。蓝海卓越的方案团队在项目前期会跟甲方一起确认现有网络架构,再决定用哪种模式,这个环节不能省。
很多酒店有个误解:实名认证就等于麻烦的认证流程。用户要输入手机号、收验证码、填信息,体验比开放网络差很多。所以有些酒店就只开MAC地址认证——用户连接无线,不用填任何东西,直接上。这种方式对用户体验好,但完全不符合实名认证要求。
蓝海卓越解决这个矛盾的办法是分层处理。
住客走短信认证,配合无感知。用户首次连接,输入手机号收验证码,完成实名认证。之后在入住有效期内,接入同一SSID时系统自动识别MAC地址,直接放行,不需要重复操作。短信认证满足实名要求,无感知解决体验问题,两件事不矛盾。
员工和设备走白名单。酒店前台、工程部、管理人员的工作设备和固定终端,提前加入白名单,不需要任何认证就能上网,同时上网日志照常记录。这部分人不走短信认证流程,前台工作量进一步减少。
访客单独处理。不是住客但需要临时上网的人(访客、合作伙伴),可以选择前台登记授权或者短信认证,按需开通,不影响住客体验。
三套体系并行,各走各的认证逻辑,酒店不需要为了合规牺牲体验,也不需要为了体验放弃合规。
很多酒店建网的时候,无线认证系统是一套,IPTV是一套,日志审计又是一套,三套设备三条线,机房布线和运维都麻烦。蓝海卓越的认证网关可以同时承担这三个功能。
技术上是怎么实现的:认证网关在链路侧接入运营商线路,网关内置IPTV组播模块,单条运营商线路通过组播分给8个房间播放高清频道,IPTV和上网流量走VLAN隔离,互不抢占带宽。日志服务器通过认证网关采集全量上网日志留存6个月以上。审计网关在核心交换机侧做流量镜像,抓取用户上网记录推送给网监平台。
这三件事用一台网关加一台日志服务器就能跑起来,不是堆三套设备。对于客房数量在50到200间的酒店,这个方案在成本和运维复杂度上都很划算。
说到底,酒店无线认证合规这件事,不是买一台设备开一个功能就能解决。日志字段要提前对,架构方案要跟网络现状匹配,体验问题有办法分层处理,设备选型要考虑长期运维成本。这四件事在签合同之前谈清楚,上线之后才不会手忙脚乱。
English