最新bank银行业wifi覆盖安全认证及portal认证的技术方案汇总.docx

1、最新bank银行业wifi覆盖安全认证及portal认证的技术方案汇总2013BANK银行业WiFi覆盖安全认证及Portal认证的技术方案_银行WiFi覆盖安全认证及Portal认证的技术方案_1.客户需求银行希望通过在各大支行实施无线WLAN覆盖，建设稳定、安全可控的无线网络系统，用于为顾客提供免费便利的上网服务环境。总体要求：1)接入网点无线网络专用光缆宽带，实现所有营业厅宽带接入，由运营商提供。2)网点无线网络环境必须和银行内部网络严格物理隔离，严禁将支行内部网络通过连接无线设备接入互联网。同时为确保体验设备的使用效果，采用合适带宽和其他控制手段，保障大多数用户上网质量。3)顾客使用W

2、iFi必须使用Portal认证机制，通过短信发送或接收密码来验证用户的真实性，并在全市范围内实现顾客的一次登录，全市自动漫游。4)构建中心平台，实现所有WiFi的Portal管理，信息发布及推送，并且提供用户信息管理能力及报表。5)自2005年以来，随着公安部82号令的执行和实施，相关网络服务的法律规范正式完整落实到位。故凡是通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。根据互联网信息服务管理办法（国务院令第292号）第三条之规定，自然成为非经营性互联网信息服务场所。 根据计算机信息网络国际联网安全保护管理办法(1997年12月11日国务院批准 1997年12月30日公安部发布

3、的公安部33号令) 的相关规定，非经营性互联网信息服务场所必须在服务时落实互联网安全技术保护措施。 该保护措施必须满足互联网安全保护技术措施规定（2005年12月13日公安部发布的公安部第82号令）的详细规范。6)根据公安部的规定，实施网络信息安全服务，必须采用经公安部检测通过的安全专用产品，并与各地网络安全管理部门的中心平台实现对接。2.需求分析1)建设的无线网络系统与支行内部网络严格物理隔离；2)用户在支行使用无线网络环境时，需弹出支行定制的Portal页面，用于完成上网认证。采用Portal+短信认证方式，实现用户接入的身份认证，并同时支持境内用户和境外运营商漫游用户。3)Portal界

4、面可由用户自定义修改及更换。4)WiFi网络安全必须满足公安部82号令及33号令要求，并与支行所在地网络安全管理部门对接。5)确保各用户上网可分配到合适的带宽，提供良好的用户体验。6)支持Bypass，在网络安全或者Portal认证功能失效时确保网络不会中断。7)提供网管中心平台，方便用户实时查看数据和支行WIFI状态，并可以自动出具每日、每周、每月报表。3.总体设计为了提供用户安全、快捷的服务，同时避免出现纷繁复杂的维护障碍，我们将本方案初步设计如下： 采用Vtache VSS-WG自营热点网关及MOTO专业AP，作为本方案基础，结合Portal中心平台提供一个完美的WiFi Portal服

5、务。 4.Vtache VSS-WG产品概述Vtache VSS-WG作为上海兴容通信专门针对商业自营无线热点的一款宽带接入型产品，设计和开发的软件硬件平台为商业自营无线热点提供一体化解决方案的同时，也为企业用户节约了投资维护成本。Vtache VSS-WG提供双WAN接入方式，可以为用户提供链路备份和负载分担，集交换、安全、VPN、wifi（11b/g）等功能于一体，可以为连锁企业用户提供多元化的解决方案，有效地把多种业务集中部署在同一接入设备上，减少建网的设备投资成本。2-1的网络部署具有运营商级别的管理维护功能，支持tr069、SNMP、syslog等协议，为设备良好的运行提供了有力的保

6、证，维护人员也可通过远程的web进行基本的维护管理，极大地保证了设备的稳定性。功能简介安全业务安全已经成为网络的基本功能，由于安全性功能内嵌于整个网络之中，Vtache VSS-WG网关在网络防御战略中起着重要作用。Vtache VSS-WG网关提供专门的安全数据连接设计技术，同时还支持高性能的数据加密。Vtache VSS-WG网关提供了丰富的安全功能，包括防火墙、IPSec VPN、CA、Secure Shell（SSH）协议2.0等等。作为专业无线非经营性上网场所认证产品，我们是国内第一家以无线上网作为主要工作状态的安全审计产品编号：XKC36575数据交换Vtache VSS-WG网关

7、支持固定的8个以太网交换接口，具备丰富的二层交换特性， VLAN隔离等，极大地满足了企业对于数据交换一站式组网的需要，同时也满足用户对于安全接入和认证的功能需求。WLAN无线接入Vtache VSS-WG网关设备作为企业分支机构的边缘接入设备，还支持WLAN无线接入功能，支持802.11b/g标准的通信，并且支持的功能特性丰富，足以满足用户对于WLAN无线接入的需要，大大地提高了该产品的综合接入能力。支持3G通信Vtache VSS-WG网关支持CDMA2000 EVDO无线通信，满足用户对于无线上行主链路和备份链路的应用需求，同时还提供运营商规范要求的众多业务和功能。丰富多样的维护管理功能，

8、与运营商网管无缝对接Vtache VSS-WG网关支持多种多样的维护管理功能，该设备可以支持命令行、WEB、SNMP和TR069几种方式的配置和维护管理方式，这些方式提供了对设备进行本地维护、远程维护、集中维护等多种维护手段，并提供完备的告警、测试、诊断、跟踪、日志等功能，方便用户的日常维护管理及降低成本。产品规格产品型号Vtache VSS-WG处理器5010 SCP 500MHz内存256M(DDR)Flash4MCF card256MUSB1(USB2.0)CON1固定以太口2个百兆接口固定交换口（二层）8个百兆以太网接口WLAN支持支持硬件加密支持最大功耗25W电源（AC）输入额定范围

9、：100-240V 50/60Hz外型尺寸（mm）30024044.2mm（WDH）重量2.5Kg环境温度0-40环境相对湿度5-90%（不结霜）硬件规格：功能点WAN接口功能多子接口（VLAN）支持路由/桥接/混合/镜像支持WAN接入认证方式PPPoE接入支持DHCP接入支持静态IP接入支持双WAN链路间的主备支持双WAN链路的负载均衡支持基本功能NTP(网络时间协议)支持VLAN划分支持DNS Client、Proxy支持DHCP Server支持DHCP Relay支持NAT（NAT、NAPT、Viirtual Server、一对一地址映射）支持QOS识别基于物理端口及VLAN支持基于I

10、P地址及地址段支持基于五元组支持QOS标记DSCP支持802.1P支持QOS限制双向流量限制支持带宽保证及动态调整支持静态路由支持策略路由支持安全和增强安全功能访问控制支持内容过滤支持DDNS（动态域名）支持状态检测防火墙支持满足82号令60天日志支持公安部安全销售许可证XKC36575增值业务功能DDNS（动态域名）支持IPSEC VPN支持SSL VPN支持网络U盘支持页面推送支持本地管理本地Web管理支持Web分权管理支持恢复出厂配置支持快速配置向导支持提供良好的中文界面支持远程管理远程Web管理支持远程故障诊断功能支持配置文件备份和出厂恢复支持SNMP网管支持TRO69网管支持日志管理

11、支持FTP客户端支持TELNET服务端支持服务场所支持1000次以上恶意关机可外置天线可支持POE金属外壳安全审计作为专业安全审计产品，Vtache 满足公安部关于安全审计的所有测试要求，根据国家相应法律规范和标准，其中可以提供所有安全审计日志。 5.Moto AP拥有无线最多接入点成功案例的AP 6521/AP 6511，二者软硬件结构一致，其中AP 6521用于接入点直放方式， AP 6511用户替换用户原有86面板以实现不同的用户结构需求。AP6521AP6511AP 6521/AP 6511为Moto最新设计的多功能接入点，旨在降低分支机构或总部部署和运行安全、可靠的802.11n无线

12、局域网（WLAN）的资源投入。该接入点采用MIMO无线传输技术，具有出众的接收和发射灵敏度，并配备一个GigE WAN上链端口。内置的WiNG5智能技术确保流量通过最高效的通道进行本地路由，同时不会影响接入点自身部署的服务质量和安全性。AP 6521/AP 6511也可被用作适用于.4GHz和5.0GHz频段的传感器，以实现多频段入侵防御或故障排除。AP 6511/6521可自动优化信道和功耗AP 6521/AP 6511最大限度地消除了诸如建筑物衰减、电子干扰或接入点安装位置不当等常见问题，因为交换机/控制器的SMART RF功能可自动优化功耗和信道选择，让每个用户都能始终获得高品质的可访问

13、性和移动性。AP 6521/AP 6511的高可靠性AP 6521/AP 6511重要的预先防范智能技术可动态感测弱信号或故障信号，安全地将用户移至备用AP，提高信号功率以自动填补覆盖漏洞并确保移动用户可不间断地访问网络，从而优化网络可用性。AP 6521/AP 6511的无缝安全性AP 6521/AP 6511安全特性包括集成2-7层状态数据包过滤防火墙AAA RADIUS服务、无线IPS-lite、VPN网关以及基于位置的访问控制。AP 6521/AP 6511可轻松快速部署AP6521无需配置或手动维护固件。MOTO无线控制器可搜索网络中的接入点，并自动下载所有配置参数和固件，极大地降低

14、了2层和3层部署的安装、维护和故障排除成本。AP 6521/AP 6511可提升终端与网络性能MOTOAP6521通过交换机/控制器的虚拟局域网特性，可提升用户终端和网络的性能。利用虚拟技术，每个AP6521接入点可被划分为4个独一无二的虚拟局域网，经定制后，可直接将相关业务流传送至目标接收者。这能降低网络的总业务流量，同时将用户终端的性能和电池工作时间提高最多25%。这也有助于减少提供独一无二的用户端服务所需的接入点数量。 6.支行组网技术方案拓扑说明运营商负责在每个支行提供一条符合用户带宽需求的宽带链路及CPE终端，并提供Vtache VSS-WG无线网关、及Portal认证平台，达到在支

15、行提供无线互联网接入服务并实现Portal认证。我方设计通过的在整个区域布设AP的方式投入无线上网服务。系统采用每个场所按照需求布设13个 AP 6511 / AP 6521，提供多个子网及广播域用于免费上网服务，AP覆盖范围主要为公共区域内，如果有增设等其他WiFi需求也可以采用多SSID模式提供服务。其中分别提供公共普通用户、VIP用户及移动终端演示网域实现。其中Vtache VSS-WG的安装，调试完全符合运营商设置下发方式，可以采取如下2种方法实现配置的下发：A）连入大网，直接通过TR.069从运营商下发配置；B）通过管理端下载配置文件，使用U盘自动配置；中心配置下方均由Vtache管

16、理平台提供，宽带链路及CPE的安装和维护由运营商负责。同时运营商可以通过标准网管系统管理各地网关运行状态，同时Vtache可以通过网管平台对部署在所有支行的网关进行统一的监控管理，确保WiFi服务的运行稳定。建设的无线网络环境和支行内部网络物理隔离，并通过设置MAC地址过滤、黑名单等方式，限制支行内部网络及其他相关办公设备利用无线网络接入互联网。各地部署的Vtache VSS-WG按照各地网络安全管理部门的要求级法律法规，与各地公安局/厅的中心平台对接，将数据实时上报到各地中心平台上。 Wi-Fi AP的构建及技术设计我方将在我方管理中心放置独立AC作为无线控制器，而每个营业厅的AP均采用可独

17、立工作的Remote AP模式保障在中心AC无法工作时，支行AP均可以继续运行。其中AP6521用于直放，置于可以布置得天花、检修空间等，而AP6511则用于无法放置直放AP的场所，用于直接替换86面板。支行流量控制策略 为了满足大多数顾客的常规上网需求，必须对支行的WiFi服务进行流量控制，避免个别多线程的P2P类应用大量抢占带宽，影响大多数顾客的上网感受。（见下图）所有的控制策略均可由客户自行定义和管理。 流量控制策略示意图7.中心PORTAL平台组网示意网管平台可实现远程配置、远程管理的功能，只需将网关插入已配置完毕的网络，即可完成自动配置工作，大大方便了支行的宽带无线热点实施进度。Vt

18、ache网管平台作为一套软件，可以直接提供给运营商安装于互联网上，并采用DNS负载均衡方式运行，同时所有服务器均采用云方式运行，单台服务器瘫痪并不会导致整个系统的瘫痪。本系统初步设计为可接入超过1024个网关。并可通过简单增加服务器实现功能。Vtache提供自主的Web管理终端：提供商家的自主的Web管理终端可以同时管理超过1000个网关8.Vtache Portal认证流程Vtache Portal认证系统用户上网流程如下：（1）用户使用笔记本搜索到无线网络，选择支行SSID接入无线网络；（2）Vtache VSS-WG检测到用户接入无线网络发起的arp请求，自动给用户终端分配IP地址；（3

19、）用户获取IP地址，输入任意URL地址上网；（4）Vtache VSS-WG将用户请求的URL重定向至接入认证Portal服务器；（5）用户在Portal界面输入手机号码；（6）Portal服务器将用户手机号码及验证码发送给短信平台；（7）短信平台将验证码发送给用户手机；（8）用户接收短信后，在Portal页面输入验证码；（9）Portal服务器通知网关允许用户上网；（10）用户访问网络；（11）Vtache VSS-WG允许用户到达指定网址。标准Portal认证为了方便管理，Vtache提供个性化的Portal管理平台，支行可以自行管理Portal认证界面。用户在支行访问互联网时，连接SSI

20、D后任何访问都会被强制重定向到支行定制的Portal页面，在Portal上输入手机号码并点击“发送上网密码”按钮，Portal服务器通过短信网关向用户手机发送验证码，用户即可以在Portal页面输入密码，即可完成认证并访问互联网。漫游Portal认证一旦用户完成验证过程，在一段时间的漫游期内（如三个月，支行可自行设定漫游期时长）再次登录支行的WiFi时，不需要用户再次通过手机获取密码，而是由Portal直接识别出用户为上次成功登陆的合法用户。并提示用户直接点击“连接上网”按钮后直接自动完成认证并放行上网。 我方采用标准的Radius认证机制，提供完全基于标准的Captive Portal支持，

21、不管是否使用我们的网关产品我们都可以同完全漫游认证保证，我们的系统初步设计为同时支持5000万用户的快速认证机漫游。防蹭网Portal认证同时为了防止不必要的蹭网现象的存在，我方提供更加完全的验证码防蹭网Portal技术。 Portal界面见下图在具备防蹭网功能的Portal页面上会多出一个防蹭网验证码的输入框，支行的POS系统与Vtache Portal平台进行同步后，所有支行每24小时自动更新一个随机验证码，当顾客登陆Portal界面时，除了自行通过手机获取动态上网密钥外，还需要向支行工作人员询问或从排号机小票上获取当天的防蹭网验证码，并同时在Portal上输入防蹭网验证码和上网密钥后即可

22、完成认证。当Portal识别出用户为漫游用户时，Portal上则只显示防蹭网验证码输入框，顾客只需向支行工作人员询问当天验证码或从排号机小票上获取防蹭网验证码即可完成认证上网。会员卡/现场终端密码认证系统Vtache Portal认证系统可与用户的会员卡系统或现场终端密码系统对接，用户可以通过使用自己的会员卡和密码来完成登录，或通过在现场终端上扫描证件的方式获取密码，完成WiFi登录。前提是提供一套完整的用户卡认证机制或者现场终端系统（见下图）。 现场终端密码认证 会员账号密码登录Portal自定义作为专业的WiFi网络实施技术提供者，我们将提供完整的Portal平台和认证平台，同时提供可以完

23、全定制，用户自己完全可控的Portal，可按照用户提出的按照不同季节，不同支行，不同城市，不同时间等100%的Portal自定义。可精确控制到每个支行的Portal内容的实时动态管理。Portal对操作系统、分辨率、语言自适应Vtache Portal平台能够自动识别顾客的操作系统/浏览器类型、语言及分辨率，并自动呈现给客户最符合客户终端显示特性的Portal界面，以带给用户最佳体验。目前所识别的类型包括PC平台、PAD平台、手机平台、IOS平台等。语言包括中英双语。Portal对手机运营商自适应中心Portal服务器分别通过独立SMS接口直接实现与三大运营商的短消息对接。大大缩短了短消息的验

24、证延时的时间。 确保平均短信延时不超过xx秒。对于境外漫游手机用户，填入其国际手机号后，Portal自动识别出非国内运营商，Portal将自动跳转到国际漫游界面，引导用户按照操作说明自动编辑认证短信发送给Portal服务器，并在60秒内完成认证自动跳转到认证成功页面。9.QiBang Portal 流程及技术细节Vtache Portal 流程及技术细节1)用户定义：Portal的响应：用户设备通过访问任意网站，Portal就会自动弹出，技术前提：用户所用的Web Browser必须支持Location字段，既302转发功能。兼容性：用户必须采用直接联网的浏览器，任何采取中转方式的浏览器是不会

25、被支持的，比如较早版本的ucweb。2)名词解释：SUCCESSS网页：场所提供的重定向网页地址，比如公司的主页。CNA支持：Captive Network Assistant，指某些程序或设备的特殊portal登陆支持Welcome页面Portal页面弹出后，用户看到的第一个页面，一般有免责条款，登录元素等Roaming页面国际漫游手机用户看到的页面对应于Apple的众多设备，及Skype等程序，他们可以通过这个特性实现一个mini browser的自动弹出来实现登陆，这个特点的初衷是防止非Web应用作为用户第一选择时，用户由于没有意识打开Web Browser而可能出现的疑问CNA不是一个

26、标准，只要提供Portal服务，CNA都会实现，现阶段，IOS5.0以上，LION OS 10.7.2以上提供了较为稳定的支持，而Andriod 3以上，windows vista以上则采取用户提醒方式来实现CNA部分支持，这样做比较符合这些平台上的Web应用习惯。本版本的Portal CNA支持，可以明确提供支持，同时也可以提供功能避免mini browser的出现3)新用户登陆流程：a)用户Web访问的所有链接被转发至网关80端口：http:/PORTAL地址:80/注：直接访问此地址也可以直接访问Portal。自此Portal服务器将自动判断用户的语言和设备来决定Welcome页面：Mo

27、bile用户（所有手机用户）：中文： http:/PORTAL地址:80/m_1/（缺省）英文： http:/PORTAL地址:80/m_0/Pad用户：中文：http:/PORTAL地址:80/p_1/（缺省）英文：http:/PORTAL地址:80/p_0/（缺省）桌面版本：中文：http:/PORTAL地址:80/s_1/（缺省）英文：http:/PORTAL地址:80/s_0/当系统无法判断或的语言系统超出系统语言，系统将按照如下规则进行选择：1、系统无法判断用户设备则显示桌面版本，2、系统无法用户语言判断则显示英文版本，b)Welcome页面登陆要素1、发送短信部分，提示用户填写手机

28、号码，可以点击获得短信，用户可以填写821位手机号，手机号必须为数字或者+数字，用户如果填写的手机号不满足1DDDDDDDDDD，D为数字，则进入Roaming页面用户可以获得短信的时间间隔1分钟，在1分钟内重复点击获得短信则延时将提升至5分钟，此提示的确实语言应由场所明确提供。点击以后用户将获得如下标准短信，短信的标准延时为4.3秒左右，但是根据客户端的不同，会出现各种程序延时，一般为14秒左右，一般人的观感为10秒左右：中文：无线密码 e8szi ,已连接无线的手机可点击 http:/PORTAL地址/u/?K=e8szi 场所签名英文：Key: 7w86d,Link: http:/POR

29、TAL地址/u/?K=7w86d signature提示：根据中国移动的短信强制要求，在中国移动用户收到的短信的最后部分会带有本公司的签名：兴容通信 用户可以点击短信的url直接登录，在测试期间，没有设备限制，可以在任何设备上，任何时间登陆。 密码为5位字母+数字，字母大小写没有限制，但是密码中为了防呆要求，不含如下字母和数字： 0和O，l和1，s和52、T&C免责条款，桌面版本为直版显示，自动撑满屏幕高度，PAD和MOBILE版本则为点开一个悬浮半透明框。用户可以通过点击上下部分的按钮来隐藏条款。3、登陆认证部分，此部分包括：3.1、接受条款的checkbox，根据最新的版本，此checkb

30、ox缺省状态是打勾的，也就是说缺省状态时用户接受条款，如果用户将此checkbox置空，则无法登录。3.2、密码框和登陆按钮，用户可以填写57位密码用于登陆。如果用户填写错误，登陆页面会自动返回登陆页面，此时可以提示用户登陆错误，但是登陆错误的提示语言需用场所自行提供，如果用户登陆成功，Web页面则转向:您自己可以挑选自己需要的SUCCESS网页c)Roaming页面要素Roaming页面仅有英文版本：Mobile用户（所有手机用户）：英文： http:/PORTAL地址:80/r_0/（缺省）桌面版本，Pad用户：（缺省）英文：http:/PORTAL地址:80/r_1/元素部分如下1、Warning 部分：提示用户填写的电话号码，同时声明此电话号码必须正确，并且提示用户可能产生的费用。如果用户填写错误，可以点击按钮回到Welcom页面，用户进入等待状态后，手机版的