蓝海卓越统一认证计费系统是集认证、计费与管理于一体的有线、无线网络认证计费准入平台,面向运营商、大中型企业、商业机构的员工、访客,在保证员工认证安全的同时,提升网络运维人员的网络调控管理功能,可在多分支多品牌设备集中化管理上进行应用,通过数据统计及报表分析更好的帮助客户诊断和发现问题。另将平台与云服务结合,不尽降低了运营成本也使得维护更加高效。
本系统支持如下认证方式:
一键认证
认证方式简介
适用于为了简化客户接入无线网络的步骤、节省客户时间、以及保护客户个人隐私的上网认证方式。
应用场景
一般适用于各种临时性活动场合,供用户进行临时性上网等使用场景。
认证流程
使用该方式上网较为简单,用户进入到无线覆盖范围,终端连接无线Wi-Fi,点击登录按钮。即可开始上网。如下图所示:
帐号密码认证
认证方式简介
针对企业员工,推荐使用用户名密码认证与临时账号,在认证方式上将员工、访客分离,另根据业务实际需求调整网络带宽、流量、上网时长等,将传统的以“网络资源为导向”变成以“业务为导向”的用网管控,还可将多分支机构员工入网进行整合,通过无感知认证,实现全网架构,一次认证,移动通行。
用户名密码认证可允许多账户源接入,如AD、LDAP、POP3或DB用户源。
应用场景
用户名密码主要用于企业员工的网络接入,对于相对严密的机构,可使用用用户名+手机动态密码以加强网络准入的管控。
认证流程
短信认证
认证方式简介
即在Portal页面中填写手机号码与短信密码登录。使用流程也会相对简单。经常与微信、用户名等认证方式一起使用,也可单独使用。
应用场景
短信认证属于基础型同时又是使用范围最广的认证方式。使用人群不受限制,商业、企业等机构的员工、访客皆受用。同时也适用于需要强制身份认证和行为记录的场景。
认证流程
1、用户连接ssid,手机端自动弹出Portal页面,PC端需打开浏览器输入常用网址登录。由于部分手机系统安全原因,不会自动弹出Portal页面,此时可以通过打开浏览器窗口,手动输入网址或地址访问互联网,从而实现Portal页面重定向。
2、在页面中输入手填入获取的验证码,点击登录即可。系统会自动以该用户手机号码开户生成用户帐号。并记录用户的上网日志。
配置步骤
1、添加短信接口
2、购买短信条数
3、设置默认模板为短信认证模板
4、发送短信测试验证
打开主界面—认证管理—短信接口—添加短信接口
设置默认模板为短信模板
模板效果
微信连WIFI与强关注
由于微信应用的广泛使用,微信连WIFI在为顾客提供免费无线网络的同时也帮助客户打开了微信营销渠道大门。用户连接无线后点击portal页面的“微信连WIFI”按钮后呼起微信,并引导顾客关注公众号,如果开启了微信强关注功能,未关注顾客将在3分钟后下线。
应用场景:
由于微信强大的营销价值,微信连WiFi经常被用于超大型商业广场、连锁超市、银行网店、商业地产、智慧城市等大型营销型场所。当然也不乏企业用在访客宣传等应用场景,总体来讲,使用范围较广泛。
认证流程
手机端:
1.用户连接ssid,自动弹出Portal页面;(注:如果未自动弹出Portal页面可以通过打开浏览器输入网址访问外网实现)
2.点击“微信连WiFi”链接按钮呼起微信;(如果需要获取用户的手机号,该页面会增加手机号验证码输入框,我们同时保证用户只有在完成手机号验证码的基础上点击“微信连WiFi”按钮才会生效。)
3.进入微信连WiFi页面后点击“立即连接”,稍后便引导进入公众号关注页面;
4.根据微信官方流程要求,商家不得强制要求用户关注公众号,这种情况下,我们做了一个策略设置,在模板中有两种类型模板:1、微信引导关注模板。2、微信强关注模板。如果商家想要实现强关注,则选择强关注模板,此时上网流程一致,最终上网顾客可根据自己喜好决定是否关注公众号,未关注顾客将在2分钟后自动下线。
使用类型
微信连WIFI应用场景通常有如下几种:
1、引导关注:中小型客户,仅需微信连WIFI的引导关注,不需要强关注,则只需使用本系统对接AC或BRAS即可。
2、非自运营型强关注:中小型客户,需要使用微信连WIFI,并且要求客户强制关注,但未自己运营微信公众号服务器的开发维护,则可使用本系统配合我司微信服务云平台实现。,客户无需重新租赁微信服务器即可完成微信连wifi认证功能。只需打开我公司的微信服务器地址,使用企业的微信号扫码授权即可实现。
3、自运营型强关注:大型客户或运营类客户,需要用户强关注,并且自建微信公众号服务器,则需要部署本系统,并按微信提供的流程,和调用我公司提供的开户接口,进行流程的开发重建。需要客户具备一定的开发能力。
说明:如果客户基于微信服务器进行微信公众号相关功能的开发,只需要调用我方接口,要求如下:
微信服务器必须公网部署,要求80端口可访问(腾讯官方要求);
微信服务器收到微信官方服务器转发的关注事件,需要将事件内容POST给本系统的服务器指定端口;
微信服务器收到微信官方服务器转发的取关事件,需要将事件内容POST给本系统的服务器指定端口;
事件内容格式直接参考微信官方服务器转发的内容即可,原样POST转发给本系统的服务器指定端口即可;
本系统收到微信服务器发来的消息,即会做相应的处理。
重要说明
部分AC及BRAS设备支持预放行功能,微信连wifi使用的模板调用了预放行接口,可以使终端在未认证的情况下完成微信连wifi的整个流程。
如果是第三方AC需要支持域名或IP地址白名单,具体的白名单信息请咨询我方技术人员。
如果是使用引导型关注,无需设备支持预放行功能。
AD域(LDAP)认证
认证方式简介
AD域认证(LDAP),是一种应用于企业员工上网的身份认证和审计的认证方式,通过蓝海卓越认证计费平台与企业的域认证结合,不仅可以实现员工身份准入,权限控制,安全审计等功能,同时实现了企业员工统一管理,减少了重复管理的麻烦,减轻了管理人员的负担。
应用场景
AD域认证适用于企业的员工上网准入使用。
认证流程
1.员工进入网络,弹出PORTAL页面,员工输入自己的工号和密码进行验证准入上网。
2.蓝海卓越认证计费平台通过与企业的域认证服务器联动,实现对用户的身份查询、认证、准入、上网记录。
3.可开启MAC无感知,同时设定员工每24小时必须认证一次(时间可自定义),保证安全的同时,减少员工不必要的上网麻烦。
访客扫码认证
认证方式简介
如果说用户名密码是员工的专用,协助扫码则是访客认证的标配。当访客进入访问网络空间,需被访人扫描二维码并进行授权,然后访客才可以使用网络,这种一对一的访客准入形式使得入网访客有迹可循,也在最大程度上保证了网络准入的安全。
应用场景
协助扫码适用于企业的访客用户临时接入网络使用。
认证流程
1.用户连接ssid,手机端自动弹出Portal页面,PC端需打开浏览器输入常用网址登录;(注:如果手机端未自动弹出Portal页面可以通过打开浏览器,手动输入网址打开)
2.根据页面提示“请被访人扫描二维码并授权”,被访人授权通过后即可上网。
3.对于平均流量较大且网络使用较为严格的酒店或公司,通过临时账号认证为来访访客建立临时账号,并与行为审计相结合,实现实名审计。
APP认证
认证方式简介
APP认证是以企业自有APP作为登录WIFI认证入口,帮助增加APP的下载使用量。
认证原理
APP客户端类似于浏览器,在APP上模拟http请求,并经由APPServer将认证请求提交给PortalServer以便完成portal认证流程。所以原有的CMCC/华为Portal协议流程不变,仅在用户端上将浏览器替换成为APP客户端。本来是由Portal认证页面提交认证信息给PortalServer,现在变更为由APP客户端提交认证请求给APPServer,并由APPServer转发提交给PortalServer。
同时由于APP客户端需要同APP服务端进行交互,之前经由AC返回给PortalServer的信息,本来是返回给Portal认证页面(比如认证失败的错误信息);现在由PortalServer返回给APPServer,并由APPServer返回给APP客户端。
当然,以上描述的提交认证请求和返回认证结果,其实也可以绕过APPServer,由APP客户端同PortalServer直接进行交互,但是增加APPServer中转后,客户亦可以实现一些其他功能,增强业务流程的可塑性。所以建议APPServer做中转。
认证流程
通过对APP认证原理的描述,我们可以将APP认证流程理解如下:
注册流程
1.一般在Portal认证页面提供APP的下载途径,由用户根据自身系统选择下载APP;注意AC需要将APP的下载地址放在白名单中;
2.用户下载APP后需要进行注册流程,一方面需要将用户的注册信息写入在APPServer的数据库中,注册成功后将该用户注册的用户名密码信息调用蓝海卓越Rdaius接口进行开户;
3.蓝海卓越Radius接口会根据实际情况返回开户结果给APPServer,APPServre返回给APP客户端。
认证流程
1.APP客户端点击登录按钮,即发起http请求,并获得重定向的参数;
2.将重定向的参数以及APP客户端本地自带的用户名密码信息,按照蓝海卓越Portal接口参数的要求提交给APPServer;
3.APPServre收到认证请求后转发给PortalServer,以便完成Portal认证。
注销/下线流程
1.APP客户端注销账户,同样将APPServer数据库中的相关信息注销,并调用蓝海卓越Radius接口将用户销户;
2.同时APPServre应调用蓝海卓越Radius接口将用户下线;
用户变更流程
1.APP客户端可以进行修改密码、变更套餐等多种操作,将变更请求转发给APPServer;
2.APPServer根据Radius接口对用户信息进行变更。
二次认证
认证方式简介
二次认证的本质是用户的帐号先在蓝海卓越的认证平台进行第一次认证,认证失败则直接拒绝,认证成功后,再将认证请求提交到运营商的BRAS和认证管理进行认证。必须要两次认证都成功,用户才可以正常上网。
二次认证通常是用于和运营商对接的收费场景,如高校、景区、工厂等环境。
二次认证通常用于二级运营商。
二次认证的几种方式
根据不同的项目情况,分为以下几种二次认证的方式,分别如下:
一、认证管理转发,用户的PORTAL认证请求,直接发送到运营方的认证管理服务器认证,认证管理服务器经过认证后,将认证请求直接转发给电信的认证管理服务器。
二、用户的PORTAL认证请求,先在运营方的认证管理内部完成第一次认证,认证成功,PORTAL服务器再向BRAS发走认证,由BRAS转到电信运营商的认证管理进行认证
三、用户分两种类型,一种只能访问校园内部资源,属于免费用户。一种可以访问内部资源和完整的互联网资源,属于收费用户。基本做法是在认证后,向BRAS或AC下发不同的RADIUS参数,指定其可以访问不同的资源。
四、外网同时接入2-3家运营商,可能有电信、联通、移动。各家的用户,在输入自己的帐号后,首先要运营方的认证管理进行一次认证,再由运营方的认证管理根据用户类别分配到不同的运营商进行二次认证。做法是,在运营方的认证管理上设定不同的区域,如电信、联通、移动三个区域,用户只能属于一个区域,具备该区域独有的属性,PORTAL与BARS、认证管理交互完成后,由运营方的认证管理返回认证结果,并将该属性下发给BARS设备,BRAS设备收到该属性后,会立即到其指定的运营商的认证管理进行二次认证。属性名称为:tunnel-server-endpoint,参考方案见下页。
某广电项目二次认证流程
组网拓扑
认证流程
本地用户(黄色箭头):
1.用户提交拨号请求到客户BRAS
2.客户BRAS将认证的用户信息发送到客户RADIUS上进行认证
3.RADIUS判断用户为本地用户,且用户信息正确,则采用标准RADIUS认证流程进行认证
4.客户RADIUS返回客户BRAS用户认证成功,同时用户上网(访问Internet)
联通用户(红色箭头):
1.用户提交拨号请求到客户BRAS
2.客户BRAS将认证的用户信息发送到客户RADIUS上进行认证
3.客户RADIUS判断用户为联通用户,且用户信息正确,则返回客户BRAS用户认证成功报文(此报文中携带“tunnel-server-endpoint”参数,此参数为告知客户BRAS此用户需要通过L2TP隧道到对端BRAS上进行再次认证)
4.客户BRAS接收并识别客户RADIUS返回的参数,客户BRAS通过识别的参数与联通的BRAS之间建立L2TP隧道,并将此用户的拨号请求通过隧道发送到联通BRAS上进行再次认证
5.联通BRAS发送信息到RADIUS进行认证
6.RADIUS返回认证结果
7.客户通过联通BRAS访问Internet
省网用户(蓝色箭头):
1.用户提交拨号请求到客户BRAS
2.客户BRAS将认证的用户信息发送到客户RADIUS上进行认证
3.客户RADIUS判断用户为省网用户,且用户信息正确,则返回客户BRAS用户认证成功报文(此报文中携带“tunnel-server-endpoint”参数,此参数为告知客户BRAS此用户需要通过L2TP隧道到对端BRAS上进行再次认证)
4.客户BRAS通过识别客户RADIUS返回的参数,与省网的BRAS之间建立L2TP隧道,并将此用户拨号的请求通过隧道发送到省网BRAS上进行再次认证
5.省网BRAS发送认证信息到RADIUS进行认证
6.省网RADIUS返回认证结果
7.客户通过省网BRAS访问Internet
代理拨号认证
认证方式简介
代理所认证是由本地运营商与一级运营商(电信、联通、移动)开展业务合作,本地运营商提供校园或企业本地接入网的有线和无线覆盖业务,但出口带宽不足,无法快速发展更多用户,通过和一级运营商合作的模式,利用一级运营商提供的合作出口,快速发展用户,并与一级运营商实现盈利分成。
一级运营商要求提供用户资料,包括用户认证密码,实名信息,要求合作用户必须在一级运营商的认证系统实现认证计费。
通常本地业务操作员在本地系统录好数据后,再次通过一级运营商提供的业务系统界面录入信息,该方法操作繁琐,效率低下。
如果一级运营商业务系统提供数据授权接口,技术上可以实现本地业务系统自动实现数据同步授权,用户数据只需录入一次即可。
本地运营商要求所有用户必须在本地认证系统保存,用户通过有线或无线接入后必须首先在本地认证系统进行认证。用户通过认证后,本地用户通过本地出口上网,合作运营商用户通过合作运营商出口上网。
电信运营商关注高校的手机业务,每年秋季的新生入学,更是三大电信运营商争取高校新用户的关键时间节点;高校运营商主营宽带,需要电信运营商提供的出口带宽资源。因此,以“手机业务换出口资源“的策略实现了电信运营商和高校运营商双赢的局面,也是与电信运营商合作的传统方式,如下图所示。
其中,与省分BOSS的用户信息同步以及与省分认证管理的二次认证,是可选的,考虑到安全因素,电信运营商也很少对第三方运营商开放认证和业务接口。当区分不同用户类型后,本地用户走本地认证,合作用户通过BRAS的隧道认证模式走一级运营商的认证流程,在这种模式下,合作用户无法在本地认证,一次迫切需要解决二次认证的需求。 在用户走一级运营商认证的模式下,用户的有效信息在本地运营商业务系统可能处于缺失或不准确状态。
所谓“代拨”,其实是校园侧BAS设备搭了一座“桥”,将“校内用户终端的有线或无线PORTAL认证”与“运营商的PPPoe代拨链路”连接起来,由校园运营商在用户和电信运营商之间增加了一道转发实现。
实际运营过程中,合作运营方案经常受很多因素的影响,如高校运营商规模、分成模式、网络拓扑、投资方式、高校的角色等,根据最终的合作运营方案做出调整,以满足运营商的运营需求。
代拨简易流程示意
代拨流程说明
用户通过无线或有线方式接入学校内网后,被重定向至统一认证Portal门户,用户输入账号密码提交认证。
蓝海卓越路由首先进行本地认证,本地认证服务器对用户进行验证根据用户绑定的运营商类型下发不同地址池。
蓝海卓越根据本地认证下发的地址池选择不同运营商线路开始PPPOE代理拨号,认证成功后将用户内网IP连接和PPPOE代理拨号会话连接建立一对一NAT转换,实现上网目的。
典型PORTAL代拨上网流程
用户上网说明:
第一步:用户连接WIFI;
第二步:用户访问互联网,经过代拨网关,通过代拨网关进行PORTAL重定向;
第三步:用户在PORTAL页面输入上网帐号密码认证,进行认证;认证计费平台将认证成功后的结果返回给代拨网关,并下发代拨的帐号和密码给代拨网关;
第四步:代拨网关拿到代拨帐号密码,向对应的运营商的BRAS发起拨号请求;
第五步:运营商BRAS将拨号请求发给省公司认证管理;
第六步:运营商认证管理对拨号请求进行鉴权后返回结果给BRAS
第七步:BRAS将拨号结果返回给代拨网关;
第八步:代拨网关根据结果决定是否允许用户上网,如果通过,允许用户上网,如果不通过,则返回认证失败信息给用户的PORTAL页面。
MAC二次免认证
认证方式简介
MAC二次免认证是一种基于MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。能实现用户在第一次认证成功后,第二次弹出的是广告页面,无需用户采用认证的方式登录,只需点击一键认证,或是页面倒计时完成自动认证即可。
应用场景
用于二次MAC免认证,减轻多次认证的重复输入帐号密码的动作。
通常是与其他的认证方式结合使用,如短信认证、帐号密码认证等,即用户联网的首次认证,通常还是采用的其他某一种认证方式,认证成功并开启了二次MAC免认证后,用户再次联网,系统会自动判断,不再给用户推送认证页面,而是推送指定的广告页面,广告页面可以设置为一键认证,或是倒计时几秒后自动认证,用户无需重复输入帐号密码即可完成认证,可以极大的提升用户的上网体验。
二次MAC免认证通常用于商场、机场、车站、码头等公共WIFI场合,这些场合,通常要求用户采用手机号码注册认证,以实现身份实名认证,同时由于的商业广告推送的需求,又不能采用MAC无感知认证,还是需要给客户推送PORTAL页面,而又不能要求客户重复输入手机号进行认证(一是用户觉得烦,二是短信会产生费用),此时就适合使用二次MAC免认证。
MAC无感知流程
MAC无感知认证,需要本系统与具备MAC无感知的设备配合工作,流程如下:
- 用户首次接入网络,通过NAS设备弹出认证页面,用户通过输入手机号进行注册验证上网。(此时系统会记录下用户的MAC地址)
- 用户离开网络,再次进入,系统判定该用户属于二次MAC免认证用户类型,则对该客户展示二次MAC免认证模板,用户点击一键认证或是倒计时认证后,即可正常上网。
MAC无感知认证
认证方式简介
MAC无感知认证是一种基于MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC地址认证的设备上线以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码。若该用户认证成功,则允许其访问网络资源,否则该用户的MAC地址就被添加为静默MAC。在静默时间内(可通过静默定时器配置),来自此MAC地址的用户报文到达时,设备直接做丢弃处理,以防止非法MAC短时间内的重复认证。
应用场景
用于二次认证,减轻多次认证的重复劳动。
通常是与其他的认证方式结合使用,如微信认证、短信认证、帐号密码认证、AD域认证等,即用户联网的首次认证,通常还是采用的其他某一种认证方式,认证成功并开启了MAC无感知认证后,用户再次联网,则是由设备自动代替用户发认证请求,由于时间极极短,通常是在用户接入网络的3秒以内,因此用户是没有任何感知的情况下就已经联网并认证成功,可以极大的提升用户的上网体验。
在收费网络场景里,MAC无感知是必须要具备的功能,通常在一个计费周期内,只要用户不欠费,帐号状态正常,则无需再次弹出PORTAL页面认证。
应用条件
MAC无感知流程
MAC无感知认证,需要本系统与具备MAC无感知的设备配合工作,流程如下:
5、用户首次接入网络,通过NAS设备弹出认证页面,用户通过输入帐号密码或是其他方式认证成功(此时系统会记录下用户的MAC地址)
6、用户离开网络,再次进入,NAS设备检测到该用户上线,则将该用户的MAC地址做为认证条件向认证系统发起认证请求
7、认证系统判断该用户为MAC无感知用户,则对该用户放行。
能对接实现的设备
在不同的网络中,NAS设备是不固定的,有些是二层设备,如AC、交换、DHCP服务器等,有些是三层设备,如网关、防火墙等。
在二层设备中,由于可以获取到用户的MAC地址,因此可以实现MAC无感知认证。而在三层设备中,由于三层网络中无法获知用户的MAC地址,所以如果NAS设备是三层设备,则无法在该设备上启用MAC无感知认证。
目前能进行MAC无感知认证的设备,通常如下:
- 本地AC控制器
- 交换机
- DHCP服务器
不同的设备的MAC无感知方式,也不尽相同,详细配置需要与蓝海卓越厂家技术沟通。
哑终端认证
认证方式简介
哑终端认证主要应用于无线网络办公设备,通过账号密码登录无线网络。例如4S店维修人员的手持终端,通过对设备进行统一认证,方便公司对资源设备的管控。
应用价值
加强对企业内部无线上网设备的统一管控制,如无线打印机、特殊手持终端、医疗终端等设备。
认证流程
哑终端认证是通过设备的MAC地址进行准入认证,需要预先将设备的MAC地址录入到蓝海卓越认证系统中。
认证方式结合MAC无感知进行,当设备接入网络,自动完成认证,当设备离网,自动下线。
设备更换后,原有设备MAC地址从认证系统中删除,则该设备就不能再进行联网。
最后编辑:admin 更新时间:2022-12-10 08:15
