WIFI+Portal认证解决方案_高可靠性

蓝海卓越WebPortal无线接入认证解决方案科技开创蓝海专业成就卓越目录一、项目背景 (1)二、需求分析 (1)三、方案设计原则 (2)四、方案详细说明 (2)4.1 方案拓扑图 (3)4.2 方案特色说明 (4)五、产品介绍 (5)5.1 蓝海卓越室外型无线AP NS712-POE (5)5.2 蓝海卓越NS-815-POE 300M POE 供电 AP (8)5.3 蓝海卓越Portal服务器产品 (11)六、典型客户案例 (13)6.1 合肥某商场 (13)6.2 XX市建设银行 (15)6.3 XX省图书馆 (17)6.4 郑州某宽带运营商 (18)一、项目背景随着移动终端设备的快速发展，越来越多的人随身携带者手机、平板、笔记本等移动终端。

人们在外就餐、购物消费、休闲娱乐、出差住宿时对无线上网的需求也越来越强烈，不论在快餐店、商场、酒店、步行街、医院、银行、景区、车站以及机场等公共区域场所内为顾客提供无线WIFI已经成为商家企业提供服务的一种手段。

商家企业通过提供易用的无线网络不仅可以使顾客方便的访问互联网，也可以使顾客驻足停留吸引人气增加消费。

提供WIFI已经成为商家企业提升服务水平，提高品牌知名度的一种方式。

但是传统的无线网络的接入方式，用户上网需要得知无线密码或者不需要密码直接接入到无线网络中，不仅在安全上存在一定的隐患，网络运行也不够稳定更不能对接入用户进行管理控制，实际操作起来也不够方便。

更重要的是商家企业并没有通过无线网络跟顾客建立一种良性互动，没有发挥其应有的作用，使无线网络的效果大打折扣。

因此如何部署一套可运营、可管理、可靠高效的无线网络已经成为商家企业的当务之急。

二、需求分析针对目前商场、连锁酒店等商家企业在无线网络建设及运营中存在的问题，商场、连锁酒店的无线接入认证解决方案需要满足以下需求：1、用户可以通过手机获取密码短信的方式方便的接入到无线网络中，只需要填写自己的手机号码接收密码短信即可；2、商家企业可以对认证页面进行高度定制，页面支持多种设计语言，以实现对认证页面自由设计的需求；3、方便管理，能够对接入无线网络中的用户进行上网时间、上传下载速度及使用流量等方面的控制管理；4、可以进行广告推送，只要用户接入到无线网络中，除了能够在认证页面推送业务广告和促销活动信息外，同时能够在不影响用户正常上网的情况下随时推送形式多样的广告及信息；5、部署方便，维护简单；商场及连锁酒店基本上都有现有的有线网络，在此基础上增加的无线网络，需要在不影响原有网络架构的前提下方便部署，同时对整体设备需要易操作易管理，维护简单。

免费Portal无线接入认证系统解决方案蓝海卓越基于多年的产品运营经验及对无线网络运营需求的深刻理解，针对中低端用户推出一套免费的“Web Portal无线接入认证系统”，从打造可管理、可运营的无线网络角度出发，致力于为中低端用户建设一个高效可靠、运营成本低的商用无线网络，使无线网络的部署轻松、可靠、高效。

需求分析在众多的公共场所，如：酒店、咖啡厅、学校、车站、商场等人流众多的地方，商家为了留住客户、解决客户在购物消费和等待时的上网问题，往往配置无线接入点提供给广大客户上网使用，而这种传统的输入密码方式不仅给管理带来了极大的不便，同时也具有一定的不安全性。

为了实现方便易用、安全稳定的无线接入认证，需要满足以下需求：1、方便部署、易于维护；使用此种解决方案的客户，无线认证规模都不是很大，大部分意向用户看到网上此类方案繁琐的安装介绍就已经选择止步了。

而我们提供的免费Portal 系统方案，用户可以很方便的进行安装部署，中文管理界面，易于维护。

2、能够在系统中建立上网账户，对用户进行管理；本系统采用Radius认证的方式，支持标准的Radius协议，用户可以自行选择Radius系统或者和现有的Radius系统对接。

免费版Portal系统集成FreeRadius，能够方便的建立用户上网账户，对用户的上网时长、上传下载等进行有效管理。

3、可以设置认证界面，推送相关信息和广告内容；认证页面高度定制，可以随意的设置满足自己需求的认证页面，目前支持JAVA、PHP环境。

方案拓扑方案中所需要的设备主要包括：Portal服务器、胖AP。

Portal服务器：蓝海卓越免费版Portal系统，WINDOWS环境，安装在一台WIN 系统电脑上即可；胖AP：胖AP产品分为室内型吸顶式AP和室外型壁挂式AP，均为蓝海卓越自主开发的AP固件，集成AP、AC及路由等功能，与蓝海卓越免费版Portal系统完美对接。

方案及Portal服务器说明1、部署简单，不影响现有网络环境；Portal服务程序为WIN环境，大大降低的安装的复杂性，只需要安装在现有环境中任意一台电脑中即可；同时只需要购买蓝海卓越一台胖AP产品即可，胖AP支持多种接入方式，完全适应现有的网络环境。

WiFi认证方案引言随着无线网络的快速发展和普及，越来越多的公共场所和企业都提供WiFi网络服务。

然而，为了确保网络访问的安全性和可控性，WiFi认证方案成为了必不可少的一部分。

本文将介绍几种常见的WiFi认证方案，包括预共享密钥（PSK）认证、802.1X认证和Captive Portal（通知门户）认证。

预共享密钥（PSK）认证预共享密钥（PSK）认证是一种简单且常见的WiFi认证方式。

在PSK认证中，无线路由器或接入点将预设一个共享密钥，用户需要输入正确的密钥才能连接WiFi网络。

这种认证方式相对容易部署和管理，适用于小规模网络和家庭网络。

然而，PSK认证的安全性相对较低。

由于所有连接到网络的设备都使用相同的预共享密钥，一旦密钥泄露，任何人都可以访问网络。

因此，对于需要更高安全性的网络，应选择其他更加安全的认证方式。

802.1X认证802.1X认证是一种基于IEEE 802.1X标准的WiFi认证方式。

该标准定义了一种认证框架，允许网络设备通过认证服务器验证用户的身份。

在802.1X认证中，用户需要提供用户名和密码等身份凭证，并且认证服务器会对其进行验证。

只有成功验证的用户才能连接到WiFi网络。

相比于PSK认证，802.1X认证提供了更高的安全性。

每个用户都有独立的身份凭证，且通信过程中使用加密机制进行安全保护。

这种认证方式适用于企业网络和公共场所，可实现精确的用户访问控制和细粒度的权限管理。

Captive Portal认证Captive Portal（通知门户）认证是一种常见的WiFi认证方式，常用于公共场所和商业场所。

在Captive Portal认证中，用户首先通过无线网络连接到一个特定的门户页面，然后需要提供身份信息或进行其他认证操作，才能获得网络访问权限。

Captive Portal通过重定向用户的网络流量到认证页面，实现了对用户的认证和限制。

用户通常需要提供手机号码、邮箱、社交账号等信息，或者支付一定费用，以获得网络访问权限。

无线认证解决方案随着无线网络的广泛应用，无线认证成为了保护网络安全的重要一环。

无线认证解决方案做为一种常用的网络验证手段，可以有效地确保只有授权用户能够接入网络，避免未经授权的用户或设备对网络资源进行非法访问。

一、概述无线认证解决方案是一种通过身份验证和访问控制来确认用户身份，并授予合法用户接入网络的技术手段。

它能够阻止未授权的用户或设备接入网络，保护网络系统的完整性和机密性。

二、基本原理无线认证解决方案的基本原理是通过认证服务器对用户进行身份验证，将用户的身份信息与授权信息进行比对。

只有当用户的身份信息与授权信息匹配时，才能顺利连接到网络。

这样做可有效防止未授权用户接入网络。

三、常用认证技术1. WEP（Wired Equivalent Privacy）WEP是最早被广泛应用的无线网络加密标准。

它通过使用共享密钥对数据进行加密，从而保证传输数据的机密性。

然而，WEP加密算法存在漏洞，易受到黑客攻击，因此现在已经不再推荐使用。

2. WPA（Wi-Fi Protected Access）WPA是WEP的升级版，通过动态密钥生成和分发的方式，增强了网络的安全性。

WPA可以使用预共享密钥（PSK）或802.1X/EAP （Extensible Authentication Protocol）进行认证。

WPA是目前使用最为广泛的无线网络认证技术。

3. WPA2（Wi-Fi Protected Access 2）WPA2是WPA的改进版，采用更加安全的加密算法来保护数据传输的安全性。

WPA2使用更强大的加密算法，如AES（Advanced Encryption Standard），对无线网络进行加密和身份验证。

四、部署方案1. 认证服务器搭建无线认证解决方案需要建立一个认证服务器来处理用户认证请求。

认证服务器可以部署在本地或云端，根据实际需求选择合适的搭建方案。

2. 用户身份认证用户可以通过多种方式进行身份认证，如用户名和密码、数字证书、一次性密码等。

目录一．项目背景 (3)二．需求分析 (3)三．组网拓扑图 (4)网络拓扑图 (4)四．接口调用流图 (5)五．产品功能 (5)4.1 基本网络功能 (5)4.2 高级管理功能 (5)六．管理功能（部分） (7)用户手机号码记录（实名制）： (7)七．方案优势 (8)一．项目背景大型企业内部都已集成了完善的办公系统（OA/CRM/ERM），并经过集成商的努力，各子系统都实现了账号、登录一体化，既保证了安全性，又兼顾了易用性。

员工只需要使用一个账号，即可以实现所有子系统的登录，任一子系统登录后，其它子系统自动授予相应的权限。

由于移动办公的需要，公司需要增加无线覆盖，同时也给了集成商一个难题：如何把基础网络的认证加入到办公系统的一体化体系里？二．需求分析客户希望在办公系统单点登录中集成无线认证功能，一方面增强无线的安全性，所有员工必须使用原授权账号登录无线网络，弥补无线网络难以审计的安全问题；另一方面需要与原办公体系保持一致性，在统一入口单点登录，提高办公效率。

具体需求如下：1）办公区域增加无线覆盖，并尽量减少对现有网络拓扑的改动；2）无线网络必须通过认证授权，并且授权方式与原办公一体化系统友好集成；3）用户开机后访问任意网址，认证网关自动跳转到OA-WEB系统页面，OA-WEB 系统登录成功后，通知认证网关放行这个MAC地址的机器的上网。

4）注销，用户从OA-WEB系统退出后，OA-WEB系统通知认证网关关闭这个MAC 地址的机器的上网。

5）终端计算机的自动放行，OA-WEB系统提前通知认证网关（放行或关闭）某个MAC地址机器的上网授权。

如：让某台机器开机后不用做认证就自动能上网，OA-WEB系统会定时把MAC地址白名单通知认证网关。

三．组网拓扑图3.1网络拓扑图组网说明：1）wifiAP认证网关部署在中心交换机和无线交换机之间（如果要对有线也增加认证，那可以放在路由器与中心交换机之间；2）保证应用服务器与web认证网关可以直接通讯（不通过NAT）；3）不改动原办公网络，不改动运营商网络网络架构。

浅谈WLAN运营中Portal认证安全性WLAN运营有多种认证方式，但最常用的方式为弹出Portal登录页面。

即：用户搜索到运营商的AP后，连接进去获得IP地址，打开浏览器，输入账号和密码便可登录，如下图展示的是Saiver的热点登录界面：这种方式虽然简单方便，但由于AP的接入没有采用WEP和WPA2等加密方式，空中信道很容易被侦查破解，黑客能够截获空中传输的账号和密码。

因此直接采用该方式安全性较低。

如何提高登录页面的安全性呢？目前大部分WLAN运营商采用以下几种辅助方案：1.Portal服务器与NAS和Radius服务器采用CHAP的认证方式2.HTTPS的登录页面方式3.手机短信获得动态密码的方式下面对这三种方式进行论述与比较。

1．方案1的认证方式最为简单实用，也非常安全。

其中Radius标准提供了两种可选的身份认证方法：口令验证协议PAP（PasswordAuthenticationProtocol，PAP）和质询握手协议（ChallengeHandshake Authentication Protocol，CHAP）。

如果双方协商达成一致，也可以不使用任何身份认证方法。

质询握手协议认证（CHAP）相比口令验证协议认证（PAP）安全性更高，因为CHAP不在线路上发送明文密码，而是发送经过摘要算法加工过的随机序列，也被称为"挑战字符串".处理算法和过程如下图所示。

与此同时，身份认证可以随时进行，包括在双方正常通信过程中。

因此，这种方式下传输的密码具有时效性。

采用PAP的认证方式，密码是明码或者采用可逆算法传输，而且可以通过查看登录页面的源代码查到加密的算法，因此可以很容易地找到破解的算法。

而CHAP采用MD5的加密方式是不可逆的，算法是公开的，也就是说侦听者无法从加密后的结果去反算出密码，在整个认证过程中的只有Radiusserver和用户知道密码，包括BRAS 等接入设备也只是传输MD5加密后的结果，加密采用一个挑战值的方式，每次认证都不一样，加密的结果也是每次不同，即使被黑客获得，也会在下一次认证时失效。