大型商场无线网络覆盖安全管理方案

大型商场无线网络覆盖安全管理方案

目录

1方案背景 (3)

2方案介绍 (4)

2.1方案考虑因素 (4)

2.2方案拓扑设计 (5)

2.3使用流程 (8)

3方案特点 (10)

3.1设定个性化推送页面 (10)

3.2使用方式简便 (15)

3.3日志追踪溯源 (16)

3.4系统操作日志留存 (16)

3.5远程可管可控 (16)

3.6系统构建安全 (17)

3.7服务持续性运行 (18)

1方案背景

互联网技术的高速发展，极大地提高了网络的普及率和普及速度，网络正成为人们办公、日常生活、娱乐、教育、旅行等所必须的配备。天津赞普电子科技一直关注于宽带网络尤其是无线宽带的发展趋势，如何发挥自身在宽带计费行业的经验优势特点，推出适合各类终端用户以及商业用户的无线宽带业务，成为我公司近几年业务发展的方向。通过近一年的无线宽带部署实际部署和使用，获得到了用户的良好反馈，进一步增强了我公司对无线宽带网络覆盖的信心。

针对提供免费无线WiFi接入服务的大型商场、超市、卖场等，一般称为非经营性（或非盈利性）的无线网络覆盖场所，我公司推出了专门针对大型商场的无线覆盖方案，为商场的无线覆盖、安全管理、广告营销等提供了一站式服务。方案实现中，商场区域内以硬件部署为主，使用一定量的无线终端设备（无线WiFi路由器、汇聚交换机、无线控制器AC等）达到全区域的无线覆盖，另外根据用户的需要，提供两种后台部署方式供用户选择，即后台放置在商场内的机房或云平台。此外，还提供了完整和完善的后台网络安全管理机制，完善了无线网络覆盖的安全管理问题。

2方案介绍

根据当前宽带网络管理的行业现状，以及这类网络接入场所网络覆盖的特点和存在的问题，我公司凭借近年来在宽带数据业务方面积累的经验，以及相对于运营商更为灵活的业务模式，推出适合这些大型商场的宽带网络接入管理方案。方案部署力求简单、简易、有效，商场区域以线路铺设以及无线设备覆盖为主，其他所有认证授权、管理控制、广告业务系统全部存放于“云端”（部署在专业IDC机房），或者整个后台部署在商场的核心机房内，后期的软件、硬件维护等全部由我公司专业的售后服务团队支撑；商场经营者可登录管理平台对自己商场内的无线路由器进行用户信息查看、无线路由器状态检测、用户登录记录查询、认证推送页面定制、广告业务扩展等操作。

系统平台还整合了日志追踪管理系统，在特殊需要情况下，可配合公安网监部门，通过日志系统的关键信息记录追踪溯源，为商场管理者、公安网监部门免除管理的烦恼。

2.1方案考虑因素

●软件系统集中部署统一管理，商场内多个接入设备、不同用户接入，

统一汇集到核心管理系统进行统一管控，便于对软件管理系统的管理

和维护。

●末端部署简易化，使用简单的配置和插入即可完成全区域的无线网络

覆盖。

●尽可能利用这些场所现有宽带IP网络基础构建，减少现有网络拓扑结

构的改动。

●充分利用现有网络线路资源和网络硬件设备资源，尽量减少资金投入，

避免重复投资。

●高可靠性的管理系统能够保证认证授权和管理服务的持续运行。

●采用稳定、高效的数据库，保证数据采集的准确、安全和及时反馈。

●安全的系统基础构建和传输机制，确保用户信息不会泄露。

●充分发挥我公司在宽带网络的管理、多业务、灵活性方面的优势完全

控制整个网络的用户，进行安全有效的用户管理。

●提供简捷实用的用户Portal界面供管理员、商场经营者对业务进行操作

和管理，用户接入时的认证过程要简单、快速，并且能够记录关键信

息定位到人。

●系统配置不仅满足现在网络状况的需求，还要有能力承担商场未来3-5

年网络规模发展的需要。对于后期扩充能够以平滑方式升级，以及对

其他可能的对接的系统做好充分的前期准备，预留开放性接口。

2.2方案拓扑设计

在方案部署时，避免对网络结构和现有装修、线路走向做较大改动，后台软件系统服务器集中部署，对通过各接入点AP以及网络路由导向过来的网内所有用户网络访问认证请求做出授权，同时可选对接公安部门的网络安全审查日志系统，以达到详细记录用户网络访问行为的目的；广电宽带网络的专线服务则保障了整个方案的网络访问质量和可靠性。

根据商场的规模以及使用要求，本方案提供两种部署模式供用户选择：

后台部署在云平台，如下图所示：

方案拓扑示意图

手机短信

无线路由

无线路由

根据A 方案的设计，将采用以下主要的软件系统和硬件设备：

后台部署在商场的核心机房，如下图所示：

手机短信

无线路由

无线路由

无线路由

根据B 方案的设计，将采用以下主要的软件系统和硬件设备：

2.3使用流程

本方案提供的功能综合了行业内高效的宽带认证授权计费系统（由于为非经营性宽带网络，故本案中仅认证授权不计费），与国内电信行业运营商（中国移动、中国联通、中国电信）对接的短信网关对接系统用于向接入用户发放WiFi临时账户和密码，同时对上网用户的身份（手机号）以及上网过程中产品的行为进行记录，并提供了统一的管理平台分配给各级不同权限级别的管理员。由于手机号在国内已基本实现实名制，故定位到手机号则基本可以锁定到申请手机号人的详细信息（如姓名、身份证号等唯一标识）。日志系统将对采集到的访问记录做解析和整理，记录关键信息，若突发情况公安网络安全管理部门可以查询到以手机号为临时账户的用户，访问了哪些网站或参与了哪些网络活动，进而通过在各运营商处手机号登记的用户名和身份证号码找到具体的当事人，实现了对流动性临时账户使用者的网络安全管理。以下是本方案提供的使用流程：

1.用户通过无线标识SSID连接到场所内覆盖的WiFi设备，系统将定制的

个性化认证登陆界面推送给用户的登陆设备（如笔记本，平板电脑，

智能手机等）浏览器页面上，用户输入自己的手机号码并点击获取临

时密码；在登录窗口将展示商家的优惠活动、促销信息等推送内容；

2.无线路由设备将会把用户的请求通过我公司提供的专线宽带，转向部

署在IDC（或商场核心机房）的管理平台，系统将生成与此手机号码匹

配的临时使用密码并将通过内置的短信通道将生成的密码推送至各运

营商的短信网关，以手机短信方式发送到用户登记的手机号上；

3.用户手机接受到来自短信平台的密码短信，在认证窗口输入使用的手

机号以及获取的密码，点击登录；

4.系统会自动与之前生成的手机号与密码做匹配校验，核对失败返回错

误提示并继续提示获取密码窗口；核对成功后返回认证成功的消息，