大型商场无线网络覆盖安全管理方案分解
大型商场无线网络覆盖安全管理方案
目录
1方案背景 (3)
2方案介绍 (4)
2.1方案考虑因素 (4)
2.2方案拓扑设计 (5)
2.3使用流程 (8)
3方案特点 (10)
3.1设定个性化推送页面 (10)
3.2使用方式简便 (15)
3.3日志追踪溯源 (16)
3.4系统操作日志留存 (16)
3.5远程可管可控 (16)
3.6系统构建安全 (17)
3.7服务持续性运行 (18)
1方案背景
互联网技术的高速发展,极大地提高了网络的普及率和普及速度,网络正成为人们办公、日常生活、娱乐、教育、旅行等所必须的配备。天津赞普电子科技一直关注于宽带网络尤其是无线宽带的发展趋势,如何发挥自身在宽带计费行业的经验优势特点,推出适合各类终端用户以及商业用户的无线宽带业务,成为我公司近几年业务发展的方向。通过近一年的无线宽带部署实际部署和使用,获得到了用户的良好反馈,进一步增强了我公司对无线宽带网络覆盖的信心。
针对提供免费无线WiFi接入服务的大型商场、超市、卖场等,一般称为非经营性(或非盈利性)的无线网络覆盖场所,我公司推出了专门针对大型商场的无线覆盖方案,为商场的无线覆盖、安全管理、广告营销等提供了一站式服务。方案实现中,商场区域内以硬件部署为主,使用一定量的无线终端设备(无线WiFi路由器、汇聚交换机、无线控制器AC等)达到全区域的无线覆盖,另外根据用户的需要,提供两种后台部署方式供用户选择,即后台放置在商场内的机房或云平台。此外,还提供了完整和完善的后台网络安全管理机制,完善了无线网络覆盖的安全管理问题。
2方案介绍
根据当前宽带网络管理的行业现状,以及这类网络接入场所网络覆盖的特点和存在的问题,我公司凭借近年来在宽带数据业务方面积累的经验,以及相对于运营商更为灵活的业务模式,推出适合这些大型商场的宽带网络接入管理方案。方案部署力求简单、简易、有效,商场区域以线路铺设以及无线设备覆盖为主,其他所有认证授权、管理控制、广告业务系统全部存放于“云端”(部署在专业IDC机房),或者整个后台部署在商场的核心机房内,后期的软件、硬件维护等全部由我公司专业的售后服务团队支撑;商场经营者可登录管理平台对自己商场内的无线路由器进行用户信息查看、无线路由器状态检测、用户登录记录查询、认证推送页面定制、广告业务扩展等操作。
系统平台还整合了日志追踪管理系统,在特殊需要情况下,可配合公安网监部门,通过日志系统的关键信息记录追踪溯源,为商场管理者、公安网监部门免除管理的烦恼。
2.1方案考虑因素
●软件系统集中部署统一管理,商场内多个接入设备、不同用户接入,
统一汇集到核心管理系统进行统一管控,便于对软件管理系统的管理
和维护。
●末端部署简易化,使用简单的配置和插入即可完成全区域的无线网络
覆盖。
●尽可能利用这些场所现有宽带IP网络基础构建,减少现有网络拓扑结
构的改动。
●充分利用现有网络线路资源和网络硬件设备资源,尽量减少资金投入,
避免重复投资。
●高可靠性的管理系统能够保证认证授权和管理服务的持续运行。
●采用稳定、高效的数据库,保证数据采集的准确、安全和及时反馈。
●安全的系统基础构建和传输机制,确保用户信息不会泄露。
●充分发挥我公司在宽带网络的管理、多业务、灵活性方面的优势完全
控制整个网络的用户,进行安全有效的用户管理。
●提供简捷实用的用户Portal界面供管理员、商场经营者对业务进行操作
和管理,用户接入时的认证过程要简单、快速,并且能够记录关键信
息定位到人。
●系统配置不仅满足现在网络状况的需求,还要有能力承担商场未来3-5
年网络规模发展的需要。对于后期扩充能够以平滑方式升级,以及对
其他可能的对接的系统做好充分的前期准备,预留开放性接口。
2.2方案拓扑设计
在方案部署时,避免对网络结构和现有装修、线路走向做较大改动,后台软件系统服务器集中部署,对通过各接入点AP以及网络路由导向过来的网内所有用户网络访问认证请求做出授权,同时可选对接公安部门的网络安全审查日志系统,以达到详细记录用户网络访问行为的目的;广电宽带网络的专线服务则保障了整个方案的网络访问质量和可靠性。
根据商场的规模以及使用要求,本方案提供两种部署模式供用户选择:
后台部署在云平台,如下图所示:
Internet
Internet 方案拓扑示意图
运营商短信平台 集中管理
界面
手机短信
(用户名/密码)
后方支撑系统
(集群)
无线路由无线路由无线路由
无线控制器AC
部署地点:IDC 机房
根据A 方案的设计,将采用以下主要的软件系统和硬件设备:
类别 名称
数量 说明 租/买 硬件
设备
无线控制器AC
1 硬件设备,串接在核心路由之下,服务要求较高的商场可采用双机冗余部署 购买
SOSO WiFi 盒子 N 根据商场的规模确定点位及设备数量 购买 内网交换机
N 根据商场规模及接口数量采购市场主流的交换机设备 购买 核心路由出口
1 核心网络路由出口,建议商家采购市场主流的路由设备 购买 软件系统
MydRadius 认证计费
系统
2 计费软件,安装在硬件服务器上,双机冗余部署。商家以租用方式将服务托管于我公司IDC 中心。 租用 MydPortal WEB 认证
门户系统
2 为个性化广告推送、用户接入认证等提供支持,采用双机冗余部署。商家以租用方式将服务托管于我公司IDC 中心。 租用
短信网关 1 与国内三家运营商对接的通道 租用 MydASD 网监日志系
统 1 提供用户上网期间的网络访问日志采集和整理 租用
后台部署在商场的核心机房,如下图所示: Internet
Internet 方案拓扑示意图
运营商短信平台 集中管理
界面
手机短信
(用户名/密码)无线路由
无线路由无线路由
无线控制器AC MydRadius 核心路由出口短信通道
后台支撑系统MydPortal
部署地点:商场核心机房
根据B 方案的设计,将采用以下主要的软件系统和硬件设备:
类别 名称
数量 说明 租/买 硬件
设备
无线控制器AC
1 硬件设备,串接在核心路由之下,服务要求较高的商场可采用双机冗余部署 购买
SOSO WiFi 盒子 N 根据商场的规模确定点位及设备数量 购买 内网交换机
N 根据商场规模及接口数量采购市场主流的交换机设备 购买 核心路由出口
1 核心网络路由出口,建议商家采购市场主流的路由设备 购买 软件系统
MydRadius 认证计费
系统
2 计费软件,安装在硬件服务器上,双机冗余部署。商家以租用方式将服务托管于我公司IDC 中心。 购买 MydPortal WEB 认证
门户系统
2 为个性化广告推送、用户接入认证等提供支持,采用双机冗余部署。商家以租用方式将服务托管于我公司IDC 中心。 购买
短信网关 1 与国内三家运营商对接的通道 购买 MydASD 网监日志系
统 1 提供用户上网期间的网络访问日志采集和整理 购买
2.3使用流程
本方案提供的功能综合了行业内高效的宽带认证授权计费系统(由于为非经营性宽带网络,故本案中仅认证授权不计费),与国内电信行业运营商(中国移动、中国联通、中国电信)对接的短信网关对接系统用于向接入用户发放WiFi临时账户和密码,同时对上网用户的身份(手机号)以及上网过程中产品的行为进行记录,并提供了统一的管理平台分配给各级不同权限级别的管理员。由于手机号在国内已基本实现实名制,故定位到手机号则基本可以锁定到申请手机号人的详细信息(如姓名、身份证号等唯一标识)。日志系统将对采集到的访问记录做解析和整理,记录关键信息,若突发情况公安网络安全管理部门可以查询到以手机号为临时账户的用户,访问了哪些网站或参与了哪些网络活动,进而通过在各运营商处手机号登记的用户名和身份证号码找到具体的当事人,实现了对流动性临时账户使用者的网络安全管理。以下是本方案提供的使用流程:
1.用户通过无线标识SSID连接到场所内覆盖的WiFi设备,系统将定制的
个性化认证登陆界面推送给用户的登陆设备(如笔记本,平板电脑,
智能手机等)浏览器页面上,用户输入自己的手机号码并点击获取临
时密码;在登录窗口将展示商家的优惠活动、促销信息等推送内容;
2.无线路由设备将会把用户的请求通过我公司提供的专线宽带,转向部
署在IDC(或商场核心机房)的管理平台,系统将生成与此手机号码匹
配的临时使用密码并将通过内置的短信通道将生成的密码推送至各运
营商的短信网关,以手机短信方式发送到用户登记的手机号上;
3.用户手机接受到来自短信平台的密码短信,在认证窗口输入使用的手
机号以及获取的密码,点击登录;
4.系统会自动与之前生成的手机号与密码做匹配校验,核对失败返回错
误提示并继续提示获取密码窗口;核对成功后返回认证成功的消息,
用户正常访问Internet;
5.用户访问Internet期间,系统将记录关键的用户信息,在突发情况下可
协助公安网络安全部门对记录进行溯源(仅在云平台部署模式);
3方案特点
3.1自主设定个性化广告
商场的经营者可登录处于云端的管理平台,根据商场的业务需要,自主的对自己管辖的区域的无线设备进行管理,如设定带宽、免费使用时长等,同时还可以选择认证时推送给用户的模板类型、设定推送的广告展示、优惠活动、打折促销、微博平台展示等,最大化的利用无线平台实现广告推送。商场与各店铺经营者之间可协商使用宽带业务与广告业务的合作模式,在为顾客提供免费WiFi服务的同时还能打造绿色的可持续有收益的WiFi生态业务模式。
3.1.1多样的模板类型
模板一:分类导航型
此类模板对商家产品或营业种类进行了分类,客户可以首先点开自己想要浏览的商品页面。同时免费上网置于最低端,用户必须浏览完广告才可以登陆上网。 模板二:突出产品型
此模板突出单个产品的信息,如本店特价产品,图片简捷醒目,容易给人留下
深刻的印象,增强广告效应。
模板三:综合信息型
此模板显示整个商场的综合信息,客户可一览商场全景。
3.1.2商家店内展示
展示一
展示二
3.1.3定时下线,重推广告
商户可以通过商家管理后台来设置用户上网时长,超时则自动下线,当再次打开浏览器时,就会再次推出商家广告。增强了广告效应,有助于商家进行广告营销。
架设WIFI的背后,是我公司尝试利用大数据来重新打造卖场与客户之间的关系。大数据正逐渐成为左右卖场生存发展的无形大手,问题在于大数据对于商家到底是什么,我公司的答案是,“最重要的是做客人、商品、活动的结合。”我公司希望能充分挖掘会员信息,使会员不仅仅是促销积分的功用,也能为商家提供数据,在线下活动中可以贴上二维码。将活动信息就跟消费者个体的信息联系起来。以此为拓展,根据社交活动的信息及消费倾向,进行更为精准的营销。另外一个尝试是,我公司希望加强客户之间的社交属性,改变电子商务中缺乏娱乐和社交属性的问题,推出“微信朋友圈”,依托原有数据,面向更多朋友客户,线上推送商家自
己的定义、范围以及一些有趣的时尚信息。
3.2使用方式简便
为了让用户能尽快接入网络并享受到Internet的便捷,在手机大量普及的背景下,以手机短信作为临时无线宽带网络访问所使用密码的方式,无论是从便捷性还是安全性方面,都是方案首选。
流动场所的用户,大多为较前沿的电子产品使用者如各类平板电脑,智能手机近几年的大量普及也几乎成为人手一部,同时还有越来越便于携带的笔记本(或超级本)。方案提供以浏览器认证窗口弹出的方式为各类终端设备(如笔记本电脑、Pad、智能手机等)提供统一的页面认证方式,并且在识别用户的终端类型后自动推送适合浏览器显示的认证页面。
3.3日志追踪溯源
集成部署的无线系统平台对各部署点采集到的数据做解析、分析和归类存储,存取关键信息,在突发情况下,可协助公安网络安全监察部门对事件进行溯源,满足国家公安部门对上网场所的安全要求。
3.4系统操作日志留存
系统会自动记录所有级别的管理员登陆历史记录以及用户的详细操作记录,如修改、新增、删除了某条信息或设置项,低级别的账户只能看到自己的组内的操作记录,更高级别的账户则可以看到低级别的所有用户操作记录。在特殊情况下可跟踪到某个管理员对系统的操作行为,从而对系统做恢复处理,保证系统的整体安全性。
系统可设定记录的日志存放时间周期,超过存放周期的系统将自动清除以保持服务器的存储空间,系统默认提供最少60-180天的记录(注:由于较长的存储留存周期将消耗更大的存储空间,若有较长的存储留存周期要求需特殊告知,以保证系统预留足够的存储空间)。
3.5远程可管可控
由于区域内用户构成较为复杂且有一定的流动性,所以对单个用户的带宽
需要控制,如商家客户在自己的管理平台上远程设定每个访问用户的带宽为最高512Kbp或1Mbps,避免因为某个用户使用P2P或其他占用带宽的应用挤占了带宽出口,造成区域内其他用户访问网络很慢的情况,让有限的带宽资源得到合理利用。还可以查看当前在线的无线路由设备、查看当前在线的用户信息以及对无线路由设备进行远程批量升级等管理。
3.6系统构建安全
所有的用户数据均放置于云端(我公司具有专业的IDC机房),在传输过程中采用特殊的机制保证用户的信息不受破解;在存储的服务器均采用多点冗余备份,在某个物理硬盘损坏时能够通过其他的冗余数据完整的还原损坏前的所有数据,对数据存储的安全性做到万无一失。
由于管理系统集中部署,故要求部署的地点足够安全,能够避免自然破坏或人为的恶意网络攻击,服务能够保证长时间不间断运行,同时数据存放要足够安全,除了运营的商家客户已经上级公安监察等部门外,一律不能开放,对于可能预料的物理磁盘损耗有足够的冗余备份确保用户数据的完整性和安全
性。
3.7服务持续性运行
集成的无线运营平台所有的软件系统均采用双机或多机的冗余部署,能够承担超过百万级别用户的上网认证压力,并发能力可承担3-5万用户同时使用网络的级别;同时,多机之间构成服务的冗余备份,某台服务出现故障其他节点自动接手,保障整体系统的运作能持续性运行。机房的安全性达到国内机房协会评定的A类机房标准(分为A、B、C类,A类为最高),机房配电产品、网络产品采用全球一流的品牌,机房内机柜及恒湿恒温空调的摆放统一严格按照规范放置,保证机房内冷热通道的畅通,同时保证机柜内设备有效快速释放热量的同时,极大地节约能源;资源上提供双线带宽支持,UPS双线接入和备用发电机确保机房整体服务无间断运行。