Как реализовать аутентификацию пользователей в открытом WiFi по электронной подписи?

Question

[rr806]

Здравствуйте, подскажите пожалуйста.
В рамках выпускной работы необходимо разработать систему аутентификации пользователей в открытом WiFi по электронной подписи. Подскажите, кто компетентен в этом вопросе. Какая схема реализации, какие протоколы использовать и тд.
Спасибо заранее.

Answer 1

[CityCat4]

Ээээ...Вы предлагаете нам сделать за Вас работу? :)

Answer 2

[Oopss]

Подпись не шифрует, она подтверждает авторство, целостность документа. Открытый WiFi так и будет открытым.

Answer 3

[alex_ak1]

Читал как это работает при аутентификации с телефоном. При первом коннекте весь трафик заворачивается на внутренний веб-сервер, который просит ввести номер телефона и присылает вам смс с кодом. После ввода кода сервер разрешает вашему ип ходить в интернет (просто правило в иптаблес).
Замените в этом месте веб-сервер и сможете подтверждать что-то по клиентскому сертификату.

Comments

[alex_ak1]

Sha644, Ну это вариант для публичных точек доступа. Вроде как он нормальный для кафешки или чего-нибудь аналогичного, что не требует шифрования.

[alex_ak1]

Sha644, Ну требовать регистрацию на госуслугах или в каком-то ином хранилище данных это по моему перебор какой-то для того, чтоб под гамбургер почитать анекдоттики.

[alex_ak1]

Sha644, А собственно авторизация за счет чего происходит? По маку или там все-таки нужен какой-то более хитрый ключ-сертификат-еще какая магия?
И как происходит начальная регистрация - вот купил я новый телефон и паспорт и дальше что мне делать?

[alex_ak1]

Sha644, Интересно, ушел читать. Спасибо за информацию

Answer 4

[xmoonlight]

Общие сведения по работе и настройке: здесь (keenetic)

Answer 5

[Валентин]

Если мы говорим именно об аутентификации без авторизации и шифрования, то надо экспериментировать с прозрачной ssl-прокси с аутентификацией по заранее выданному ssl-сертификату. Из бесплатных вариантов изучайте в этом направлении squid и возможности точки или шлюза по прозрачному проксированию, все делается.

Или упрощение - как тут советовали captive-портал на внутренний https-ресурс, который уже будет проверять выданный заранее сертификат и делать редирект на изначально запрашиваемые ресурсы. Скриптовать надо.