校园网防私接综合解决方案

1、singleNet防私接综合解决方案 杭州雷龙网络目录综述1共享方式2防私接方案介绍-singleNet3内容运营4综述1校园带宽发展历程校园带宽发展历程对运营商所带来的影响对运营商所带来的影响防私接概述防私接概述综述校园带宽发展历程第第一代校一代校园网园网第二代校第二代校园网园网第三代校第三代校园网园网 数据共享时代数据共享时代 10/100M以太网技术 为分布的PC提供了一个 便利的连接通道，资源 共享是第一代网络的典 型特征！ 应用发展时代应用发展时代 2000年开始，由于带宽的提高促进了应用的发展，多媒体教学、办公自动化、网络图书馆，等成为高校教育不可或缺的平台，共享以Sygate和W

2、ingate为主 高安全性时代高安全性时代 1000M技术的出现大大 提高了校园的带宽资源， 此时校园用户逐步以娱乐 为主，由于大带宽的出现， 催生了一批代理软件，共 享精灵、共享卫士、路由 器以及针对wifi无线网技 术的代理方式应运而生1、互联网的出现为代理软件带来了契机， 通过代理软件可以将局域网中的其他 机器接入互联网，节省成本及开支;2、由于校园群体的特殊性，导致最初的 校园在宿舍的布线上只有单出口，而 且一个宿舍最少在4人，这就促使学生 只要申请一条线路，大家平摊费用在 辅以代理软件就可以达到全员上网的目 的；3、带宽提速(8-10M)，娱乐盛行(影视、 游戏)、资源下载更加催生了

3、代理方式 的发展；(路由器为主)4、手机终端的普及，使得wifi无线得到发 展，针对wifi的共享也应运而生；综述对运营商所带来的影响？1123私接情况都不利于运营商发展用户，降低网络的ARUP值，造成用户资源流失私接的用户将会额外占用运营商的网络资源，大大改变网络的“用户流量”模型，使得运营商的网络负担加重，不能充分利用资源为正式的用户提供更好的服务，严重甚至会影响正常用户的使用 私接往往以个人名义申请宽带而几个学生共用，并且分摊费 用，给运营商造成了巨大的经济损失，在高校网络付费的用 户和非法接入的用户比例从1:2到1:8不等；占用资源费用降低用户流失综述我司防私接概述？ 支持针对有线及无

4、线的PPPOE接入模式，也支持WIFI的portal客户端模式 1、通过我司整体校园网防私接平台可达到高度融合(包括认证计费平台和客户端两大主体); 2、我司也可与其他厂家认证平台合作，提供防私接接口程序与我司客户端进行对接，达到 防私接效果; 强制使用、驱动防范、在线监控 支持windows平台的操作系统(win XP、win7、win8);支持MAC系列的操作系统;支持手机系统(IOS 及Android系统) 丰富的营销手段，客户端提供强大的营销模式，支持气泡、首页窗体、欠费提醒 等个性化的营销服务手段 在占领用户桌面的同时提供自有的浏览器框架、丰富的资源内容整合，增强粘帖性，使学生更有

5、依赖感共享方式1背景背景硬件共享硬件共享软件共享软件共享共享方式背景？ 目前，大多高校数宽带业务都是基于包月的形式开展的，沿用了家庭用户的计费方式，而且考虑到学生的支付能力比较低，定价也一般比家庭用户要低。但是，事实上，高校学生用户利用宽带计费技术的不足以及目前带宽不断提升，往往以个人的名义申请宽带而让宿舍同学共用宽带而分摊费用，给运营商造成了巨大的经济损失，在高校网络付费用户和非法接入用户的比例从1:2到1:8不等硬件共享： 通常使用共享上网路由器，该类设备通常除具有共享上网的功能外，还具有HUB的功能。它们通过内置的硬件芯片来完成互联网和局域网之间数据包的交换管理，实质也就是在芯片中固化了

6、共享上网软件(使用的NAT技术)共享上网方式软件共享： 软件共享上网就是在局域网中的一台具有互联网连接线路的计算机上安装共享上网软件后实现整个局域网的共享Internet(采用NAT技术及PROXY技术)，常用软件有共享精灵，共享卫士等共享方式硬件共享通过通过NAT技术实现技术实现 NAT是Network Address Translation的缩写，采用网络地址转换技术，局域网内部的非法互联网IP地址通过NAT 可以转化成合法互联网IP地址，实现对外界网络如Internet的合法访问。NAT的实质其实可以这样理解，就是一个在数据包底层的Proxy代理，它不再单独为每一种互联网应用协议例如ht

7、tp,ftp,telnet做代理工作，它作的是每个TCP/IP数据包的代理WIFI互联网具有NAT功能的设备，为内网PC及手机提供共享上网服务通常采用具有NAT功能的路由器设备，其内部嵌入了一套共享软件，通过共享软件的设置，路由器具备自动拨号功能，从而给局域网内的有线设备提供上网服务；通过开启其内部的无线功能，将给局域网内的无线设备提供上网服务常用设备:D-LINK、TP-LINK、水星、腾达、360wifi、小度wifi等共享方式软件共享通过通过NAT技术和技术和PROXY实现实现 PROXY代理服务器是介于客户机网络应用程序和Internet相应服务器之间的一台服务器。例如客户机是浏览器则

8、Internet上就是Web服务器做响应，有了代理服务器之后，浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求，请求信号会先送到代理服务器，由代理服务器向Web服务器来取回浏览器所需要的信息并传送给你的浏览器WIFI互联网 在局域网中存在一台PC，此PC安装了特定的代理软件，代理软件具备NAT功能或PROXY代理功能，代理服务器进行拨号操作，局域网其他机器通过此台服务器进行上网服务。 具有NAT的软件:Sygate、Internet共享; 具有PROXY的软件:Wingate、CCProxy、共享卫士、共享精灵modem代理服务器防私接方案介绍1singleNetsingleNe

9、t三大保障三大保障singleNet-PC接入方案二接入方案二singleNet-PC接入方案一接入方案一singleNet-移动终端接入方案移动终端接入方案防私接方案介绍-singleNet？防止一拖防止一拖N，有效提升运营商价值，有效提升运营商价值占领校园用户桌面，提升宽带份额占领校园用户桌面，提升宽带份额带动带动C网业务持续增长网业务持续增长内容整合、提供个性化需求内容整合、提供个性化需求防私接方案介绍-singleNet三大保障客户端中集成专有防私接驱动程序，能全面防范代理程序，包括共享精灵、360wifi等相关软件及设备；1、客户端与自身认证平台配合，开启强制使用功能，此时用户只能使

10、用指定客户端才能认证上网，使用其他任何客户端都无法拨号成功；2、客户端也可通过和其他认证平台进行接口改造实现强制使用1、用户尝试破解，在短暂时间内破解客户端使用第三方客户端登录，监控服务器会在设定时间时将用户踢下线；2、使用硬件路由器拨号，无法发送客户端所独有的加密信息与监控服务器通信，因此也会将用户踢下线;3、当踢下线一定时间后，用户会加入黑名单，在一段时间内将禁止上网强制使用驱动控制监控辅助singleNet三大保障之一强制使用1、客户端与自身认证平台配合，开启强制使用功能，此时用户只能使用指定客户端才能认证上网，使用其他任何客户端都无法拨号成功；2、客户端也可通过和其他认证平台进行接口改

11、造实现强制使用强制使用接口是实现强制使用的关键 1、我司闪讯认证计费管理系统(AAA)具备; 2、提供API接口，可同其他厂家AAA无缝对接；1、客户端在拨号时会携带X位动态密钥(X位数字字母及字符组合);2、AAA或前置机接到客户端发送的报文后，经过解包然后验证通过或失败;两种强制方式： 1、前置机方式，前置机负责密钥解析; 2、AAA改造方式,提供API接口给AAA改造;经过改造后用户只能使用特有客户端进行拨号认证，使用其他任何拨号客户端或路由器都无法认证上网;singleNet三大保障之二驱动控制1、驱动程序将负责PC接受数据报文的传递;2、数据报文将通过接口传递给应用层进行分析驱动程序

12、存在于客户端中，在安装客户端时，驱动程序将一并安装针对底层进行驱动开发，产生客户端独有的驱动程序进行数据包过滤通过驱动的实时分析、过滤，将阻断一切Nat或Proxy发送的可疑报文客户端中集成专有防私接驱动程序，能全面防范代理程序，包括共享精灵、360wifi等相关软件及设备；驱动控制singleNet三大保障之三在线监控1、客户端同在线监控服务器之间存在检测关系;2、客户端每隔x时间会和监控进行通信;3、监控如x次都没收到客户端的通信报文，则将用户断开连接1、客户端安装时一并安装在线监控接口；2、部署在线监控服务器及监控程序；通过在公网环境部署一台在线监控服务器，完成防破解的闭环1、尝试破解的

13、用户将每隔x段时间断开连接;2、可设置加入黑名单，黑名单的用户在x时间内无法上网(拨号成功就断开);3、杜绝尝试破解的现象;1、用户尝试破解，在短暂时间内破解客户端使用第三方客户端登录，监控服务器会在设定时间时将用户踢下线；2、使用硬件路由器拨号，无法发送客户端所独有的加密信息与监控服务器通信，因此也会将用户踢下线;3、当踢下线一定时间后，用户会加入黑名单，在一段时间内将禁止上网监控辅助防私接方案介绍AAA改造 提供密钥算法的API AAA进行改造，具备解析客户端密钥算法的功能 客户端发起认证，AAA负责解析密钥是否合法，合法即通过 接入方案singleNet全面支持包括PC端有线及无线以及手

14、机终端无线上网方案，灵活的组合可满足运营商的各项要求支持PC终端有线及无线的接入改造：手机客户端 部署一台portal服务器 Portal服务器和AAA认证做接口 BAS设置ip段支持重定向功能，将连接无线AP的用户重定向到指定portal页面 开发ios和android的手机客户端，客户端代替web页面功能支持移动终端的无线的接入改造：singleNet-PCsingleNet-PC接入方案接入方案singleNet平台(管理服务器、升级服务器、在线监控服务器)AAA平台（可使用我司的闪讯认证计费平台-B平面，也可提供接口API与第三方厂商AAA做开发）BAS改造点改造点步骤及需求步骤及需求

15、功能功能singleNetsingleNet平台平台1、部署一套singleNet平台一套，包括管理服务器、在线监控服务器、升级服务器共三台机器；2、所需系统windows2003或2008，sql 2000数据库；3、三个ip及对应域名申请；1、管理服务器：负责客户端的查询、统计等工作;2、在线监控服务器：负责与客户端之间实时通信，并提供对客户端控制的相关功能;3、升级服务器：负责客户端的自动升级;AAAAAA改造点改造点1:1:与在线监与在线监控服务器接口对接控服务器接口对接( (可可后续开发上线后续开发上线) )1、如使用我司的闪讯认证计费平台建立校园B平面，则我司无缝对接;2、如AAA

16、为第三方厂商，我司则提供接口方案供AAA改造;此功能主要用于在线监控服务器在检测到非法用户后，向AAA发送下线请求，AAA将请求转给BAS完成将用户踢下线的功能AAAAAA改造点改造点2 21、我司提供强制使用的接口API2、如使用我司闪讯认证计费平台，则接口无缝对接；3、如使用其他厂商AAA，则我司提供接口API方案供厂商进行接口开发;3、API负责密钥验证;实现强制使用功能1、负责客户端发送的密钥验证功能；2、用户使用客户端拨号后携带n位密钥+帐号模式发送给BAS;3、BAS将认证信息送给AAA进行验证4、AAA对加密信息进行解密验证，验证；5、返回认证信息给用户告知是否成功；客户端开发客

17、户端开发开发前置机方式的客户端，支持前置机验证方式用户上网专用客户端:1、提供拨号及防私接功能;2、提供内容运营展示功能此方案优点及难点此方案优点及难点优点：优点：无需添加任何硬件设备，部署简单难点：难点：AAA需要进行接口改造；在以后的客户端更新或更改算法时，AAA也会联动更新;安装安装singleNetsingleNet客户端的终端客户端的终端运营商AAA平台接入接入BASBAS校园网络校园网络改造前改造后singleNet-singleNet-手机客户端方案介绍手机客户端方案介绍改造点改造点步骤及需求步骤及需求功能功能singleNetsingleNet平台平台1、部署一套singleN

18、et平台一套，包括管理服务器、在线监控服务器、升级服务器共三台机器；2、所需系统windows2003或2008，sql 2000数据库；3、三个ip及对应域名申请；1、管理服务器：负责客户端的查询、统计等工作;2、在线监控服务器：负责与客户端之间实时通信，并提供对客户端控制的相关功能;3、升级服务器：负责客户端的自动升级;部署部署portalportal服务器服务器1、部署一台到两台portal服务器2、部署接入程序负责手机客户端指向的程序,并提供认证功能接入接入BASBASBAS设置特定ip段重定向到指定的portal服务器重定向功能Radius(AAA)Radius(AAA)1、开发和portal的对接;2、判定移动终端设备;和portal之间的通信，传送用户认证报文信息客户端开发客户端开发移动终端客户端开发，支持IOS及Android系统用户上网专用客户端:1、指定portal地址的客户端;2、用户在使用中如同pc客户端模式，输入帐号和密码即可认证;singleNet防私接特点singleNet安全稳定安全稳定其他功能其他功能扩展扩展无漏报无漏报无多余无多余负载负载内容运营1内容运营