青少年科普网网站建设策划方案

1、青少年科普网网站建设策划方案项目概述青少年科普网定位于立于宁波，面向全国性的青少年数字科技 馆，并逐步将其打造成为全市各科普场馆的主要的网上科普基地，以 达到为公众特别是青少年开展科普宣传教育、提供共享服务的目的。 集成全国数字化科普产品和信息资源，为宁波基层科普组织及相关机 构开展科普资源交流和共享服务；由于受众人群主要为青少年，因此 建馆在整体表现形式上将在固有特性的基础上，充分发挥他的趣味 性，互动性，娱乐性等更为人性化的特点。通过网络传播科普知识， 普及科学方法，弘扬科学思想和科学精神，激发青少年对科学技术知 识的兴趣，增强青少年的探索和传新能力，提高青少年科学文化素质， 打造宁波科教

2、强市，从而推动创新型国家的建设。宁波市青少年科普网将建成一个集现实虚拟技术和虚拟现实技术 综合运用的数字科技馆。以三维建模技术引入数字科技馆建设，实现 实体馆际的宏观导览和信息的交互式体验，并以富媒体技术（指运用 包括Flash、360全景、VR等多种技术将场景、视频、音频、图片、文 献资料等多种信息集成的合成技术）实现实体馆际微观导览和科普知 识信息获取。“宁波市青少年科普网”的建设将遵循SOA技术架构的思 想和PORTAL技术表现方式，使用CA数字证书安全体系，完成数据资 源聚合，形成统一的科普资源知识库，并且系统将具备高可扩展性和 信息获取效率。为贯彻全民科学素质行动计划纲要，加强宁波科

3、普教育基础设 施建设，搭建数字科普教育活动基地，进一步创新科普手段增加青少 年热爱科学，学科学的兴趣，增强青少年动手能力和创新能力，并青 少年发明创新、申请专利提供扶持，培养新一代小院士，提升科普工 作水平，树立文明城市、文化大市形象。我们计划建设宁波市青少年 科普网。建设科普网的重要意义和必要性宁波市青少年科普网是一项长期的公益性事业，他是实施将探索出一条 科普新路，并使有限的资金发挥更大的作用，从而对青少年和社会产生几级 而深远的影响，具有重要的社会意义。其建设的意义和必要性：（1）是贯彻落实全民科学素质行动计划纲要的重要举措，有利于 科普教育的开展，有力地促进文明城市和文化大市的建设。（

4、2）是整合社会和科研院校、各界科研人员、教师、专家学者的一个 互动网络资源服务平台，真正做到人人为我，我为人人。（3）是网络普及的必然产物，也是倡导绿色上网和网络文明的有力手 段。由于网络的普及，互联网已成为人们学习和娱乐的不可或缺的方式。但 当前的互联网信息良莠不齐。而针对青少年的科普教育、娱乐网站较为匮乏。 数字科技馆通过丰富、生动、直观、互动、便捷的只是传播，弥补书本教育 的不足，提高人们的兴趣，引导青少年学习科普知识的热情，减少青少年受 互联网不良内容的影响。努力成为新一代青少年上网的绿色通道！（4）突破了实体科技馆在时间和空间上的限制，可随时随地访问参观， 是实体科技馆生动的补充和延

5、续，是科普工作的新手段。（5）可有效结合实体科技馆的资源，相互依存，互为补充。数字科技 馆可介绍、演示实体科技馆的各类展品，成为实体科技馆宣传和服务的有效 工具。同时，也可借助虚拟现实设备，进行实体科技馆漫游、展品虚拟操作 和控制等，使偏远地区的青少年也能享受实体科技馆的资源。（6）使科技馆进校园、科技馆进社区、科技馆进农村、科技馆进家庭 成为现实。（7）以参与者的沉浸式体验、利用最新的Flash技术三维立体交互的 变现方式等，让抽象的科学原理变得形象直观、生动有趣，更容易被青少年 理解与接收，使用户可以打破常规的思维模式，以最真实、最细致的感觉体 验抽象的科学。（8）搭建了网络科普教育活动的

6、基础。数字科技馆可通过网上社区的 方式，建立网上科普活动基地，也可进行“网上竞赛”等不受场地、人员、 时间等现实的新的教育活动，为青少年提供与专家交流的机会。（9）与宁波市的电子科普画廊等现有的科普资源形成相互促进、资源 共享、共同发展的局面，合理推进宁波市的科普工作。（10）通过网上提供青少年专利申请服务支持，为青少年申请专利提 供方便，更为青少年专利的市场化、商业化提供牵线搭桥的作用。（11）通过虚拟3D技术充份提高青少年的想象力创造力以及动手能 力，开展线上线下发明创新大赛，为宁波培养小院士打下基础。（12）协助热爱科技的青年少申报专利，并通过网络平台促使发明专利进行市场化转化。青少年科

7、普网整体定位充分展示科学技术的美妙、神奇与趣味，以激发公众 对科技的兴趣；特别是利用生动、趣味的互动式游戏方式吸 引少年儿童对网上科技馆的兴趣，能过成绩排名、名人樘、 等栏目提升青少年玩科教游戏的成就感！通过相关领域的科学发现、技术发明历程和科技人 物，展示大自然的进化过程和人类探索认识自然、利用改造 自然的过程，揭示科技改变生活、科技推动社会进步、科技 创造未来的巨大作用；不仅要传播科技知识，还要展示科学家们在科学探索 和技术发明过程中体现的科学精神、科学思想和科学方法， 明确科学与伪科学的界限；展示人类在探索自然规律过程中的认识局限性和不 合理运用技术所产生的负面效应，展示各个领域里未解的

8、重 大科学之谜和技术难题；5 .贴近百姓生活，跟踪重大科技事件和社会关注热点， 关注科学技术的新突破、新进展和知识的更新。网站主要面向青少年、以及相关学校的教育工作者为 主，为他们提供一个健康的、阳光的、有趣的、科学的数字 网络平台（绿色上网通道）。通过这个平台，可以增加青少 年对科学的兴趣、提高科学知识，并以互动游戏的方式让青 少年以最喜爱的方式学会很多日常科学技能，增进知识，普 及科学知识。为青少年提供科技创新的商化技术转化平台， 使青少年的科技支持创新能尽快的转化为生产力，以最新的 互联网技术进行互动式教育；同时开放相关科学的教育课 件，为广大教育工作者提供最快捷方便的科学教育手段。平台

9、受众分析广大青少年儿童热爱科学的爱好者青少年的教育工作者青少年家长、专家、学者如何吸引青少年通过最新的展示方式，如3D、Flash、互动等生动趣味的展示方 式最大限度的吸引青少年的好奇心、理。通过接近于游戏的型式让青少年更容易喜欢和接受。通过多人团队参与方式加强参与性。通过各类游戏的排行榜、名人橙等方式吸引青少年不断学习不断 提升。通过积分、级别方式提升成长性空间。通过线上和线下活动宣传让青少年更加认知网站。通过对家长的宣传引导使家长更容易接受孩子上这个网站。通过与各大学校合作，共同引导孩子热爱上科技网。通过在网站上经常举办各种活动、大赛使青少年更喜欢、更关注 科技网。通过在线学习平台，使青少

10、年学习科技知识更方便、更快捷， 满足了青少年求知欲望。通过科技网公平、开放的展示平台，可以让更多优秀的青少年 获得更多的关注、展示机会！平台结构与栏目设计会员系统一站通会员系统：只要在网站任何地方注册的会员，即可享受宁波市青少年科普网整站服务！会员属性：会员姓名、性别、生日、电话、地址、Email、单位（学校）、QQ/msn会员类别：学生、家长、教师、专家、学者、嘉宾会员级别：1-20级会员积分：会员币：用来在网上消费，可以在线充值；在线充值消费系统提供CA数字证书以及个人认证系统确认系统的安全可靠。可提供手机充值、充值卡充值、网银充值、支付宝充值、财富通充值、服务点充值、邮政汇款等多种手段。

11、真正做到安全方便快捷！线在投稿作品上传（二期工程主要是视频发布，定价。）手机订阅（二期工程）RSS输出订阅（二期工程）会员功能资料修改密码修改头像上传安全问题/答案手机/邮箱绑定密码找回积分/级别/虚拟币查看在线投搞：可针对多个栏目作品上传：专利/课件/动画等二期在线充值手机充值、充值卡充值、网银充值、支付宝充值、财富通充值、服务点充值、邮政汇款等多种手段。消费记录查看二期（保留6个月记录）网络硬盘空间管理可升级购买空间我的博客一站通行集成博客所有管理功能我的论坛一站通行集成论坛所有管理功能在线消费（集成于具体应用之中）电子钱包管理我的收藏站内短信管理在线教学二期（集成于具体应用之中）在线作业

12、二期（集成于具体应用之中）五大馆：宇宙馆天文知识：望远镜、天文器具、各类天文现象、专用术语解释等航天知识：飞行器各种知识、火箭知识、中国发射的各种火刖星球知识：太阳系九大行星、卫星、星座、银河系、太空旅行地球馆地理知识：气象知识：灾害知识：环境保护：生物馆人体知识：动物知识：植物知识：微生物世界:急救常识：历史馆历史人物：历史事件：历史文物：科学馆物理：身边的物理现象化学：身边的化学现象电子：电脑知识:信息技术:网上科技馆选择一些具有代表性的科技馆，利用三维技术让广大青少年浏览参 观。网上博物馆动物馆、海洋馆、生态农庄、植物园等介绍。科学资源库科技图片专题展览动漫作品（可选有偿下载）音像作品（

13、可选有偿下载）科普报告（可选有偿下载）研究报告（可选有偿下载）科普基地科技馆展品博物馆展品科普活动教学课件（可选有偿下载）其它资源（可选有偿下载）专利技术（可选有偿购买）趣味学苑趣味学苑主要以动画型式、或是互交式教育、乃至于以游戏的方式提 供青少年学习科学知识的一种方式，全面应用3D技术、Flash动画、 互动游戏等方式来实现教育的目的，让青少年在玩的同时学习撑握知 识点。此栏目将不少于200件教程课件、500个动画、1000张图片在线教育系统/视频教育（二期工程）在线考试系统（二期工程）在线作业系统（二期工程）学前智力发开专栏（二期有偿服务项目）科技信息科技动态、科技政策、科技知识、科技创新

14、、高新产品、高新技术、本站动态校园科技博客与宁波各大学校共建频道。主要面向师生，让各大学校、师生在这里 分享，交流学科学、用科学的心得、体会！有专家博客、教师博客、 家长博客、学生博客、爱好者博客等等。博客功能像册功能（50M免费存储空间，可有偿扩容）评论功能模块功能（可选有偿模板）网络硬盘（二期，有偿购买）科技论坛（可选）略科技B2C商城（二期工程）科技图书、音像制品、科技模型科技玩具、教育用品等功能列表产品分类、产品例表、产品浏览、产品搜索、多条件排序产品收藏、产品购买、产品评价、用户登录、用户支付、购 买记录、购买评价后台功能：产品分类管理 产品管理支付管理 交易管理评价管理搜索分析销售

15、分析报表手机版（二期工程）主要是非视频信息平台的运营模式1、通过与各大小学、初中、高中、大学学校进行合作运营模式， 要求每位学生教师都去注册帐号。将来有可能实在网上科学教育、 远程科学教育，提升现在的教育手段和效果。并为广大青少年提 供一站是健康向上休闲娱乐网站。2、发行实体充值卡，与各书报厅、学校合作代销。同时可以要求 学校为学生集体代购一定额度的充值卡，充值卡一律在网上数字 馆消费。3、网站将不定期在平台上与各学校共同举办各种青少年科技活 动、比赛，例如倡导低碳的“节能在我身边”中小学生创意设计 大赛、航模竞赛、夏冬令营科普活动。4、与宁波科普电子画廊、电视、报纸等其它媒体形成湖动，共同

16、开展各类市民感兴趣并且积极参与的科普活动，如定期的科普打 擂台等。5、结合科普日、科技活动周等科技活动，追踪社会科技热点，组 织大型的科普知识竞赛等。在天文奇观日（例如月全食）日，对 天文奇观进行全程专题跟踪报道，做到最全面、专业。6、与本地各大门户网站进行合作，资源交换，频道共建等方式加 大宣传量。并与各大学校、机构、科研组织、专业论坛进行友情 链接，有效提升网站的权重PR值。7、通过SEO （搜索引擎优化）技术优化科技类关键词的各大搜索 引擎上的排名，提升网站访问量和知名度。8、网站适当在各生活小区进行广告投放，同时也在本地一些科教 类报刊杂志上进行一些广告投放。9、印制各种宣传单给学校，

17、向学生、家长宣传。10、发行线下期刊或报刊，向学生、家长、教师收费订阅服务。11、为专家、教师、科学爱好者提供科技作品上传发布权限，可由 网站进行有偿下载，利益共享方针。12、通过网上商务对科技类产品进行B2C网上销购，赠加网站收 入。13、通过规划出适量的广告位进行招商来增加网站收入。14、通过多渠道会员在线充值，并在线消费来增加网站收入。运营阶段规划为：第一年平台开发建设 第二年宣传推广、提升网站知名度和访问量（所有服务免费 开放）。第三年全面营收（来自于会员充值、广告、期刊定阅、商城） 市场营收计划 自网站正式运营开始，按保守算宁波总计30万学生量，与 学校深度合作后30%（10万）消费

18、人群。项目人均/年营收额会员点卡充值50元500万元订阅期刊、手机报30元300万元广告/赞助-50万元课件收入（二期）10元100万网上购物（二期）20200万在线学习教育（二期）20200万广告/赞助（二期类）-80万在上线后第二年将达到800多万营业额，第三年（二期完工） 后将达到1400多万元收入，具体良好的社会效益和经济效 益。平台的架构用户界面层UI应用罗辑/业务罗辑Web Server底层数据访问数据库User DataAPP Data网络拓扑架构网络应用图例平台的建设成本第一期系统建设成本590万2010-6到2011-9平台负载：支持200-500人同时在线视频或是互动，30

19、00人同时在线，每月支持150万人次访问量。分项目名称预算（万元人民币）备注总体方案策划、设计完善5系统标准化10平台软件成本10Windows Server 操作系统MSSQL数据库平台硬件成本30包括四台IBM网络服务器、HP存储系统、思可网络路由器、网络安全系统、机房以及 系统软件等用户安全认证系统15/三年用户CA数字认证系统， 安全系统。平台系统（SCMS）开发成本120会员系统、积份系统、实体卡 充值系统、在线支付充值系 统、信息发布平台、视频发布 系统、博客像册系统、论坛系 统、视频点播系统、有偿下载 系统内容制作成本2105大馆不少于300件互动式 Flash作品，不少于100

20、0个知 识点制作。科学资源库不小于500件作 品趣味学苑不少于200件互动 课件及科教游，500个动画及 视频，1000张图片。网络接入成本20-50/年100M光缆（双线路可选）活动推广宣传成本60小区、报刊亭、以及户外广告 35万、宣专单、宣传册、报 刊杂志15万、网络广告、其 它等10万。平台系统维护成本80/年系统完善、内容更新、硬件维 护合计590项目实施计划第一期：2010-6至2011-9 （15个月）后面是运营至2012-9时间项目2010-3 至 2010-5项目策化/需求分析2010-5 至 2010-8资料收集/汇总2010-6 至 2010-7系统标准化数据库架构设计2

21、010-7 至 2010-9系统分析架构设计2010-9 至 2011-85大馆、1学苑、1资料库3D建模、VR、Flash交互设计、内容制作2010-9 至 2011-7系统平台开发2011-5 至 2011-8系统测试、负载测试、罗辑测试2011-8 至 2011-9系统集成、上线发布2011-9 至 2011-10信息的发布、内容补充、完善2011-10 至 2011-11组办新闻发布会以及相豺艮道2011-11至 2012-2户外广告投放、相关媒体广告投放、学校合作洽谈、相关宣传资料的印制等2012-2 至 2012-5联合学校开通学生帐号，并举办第一次线上线下科教法动。2011-10

22、 至 2012-9执行所有的线上宣传，主要有SEO优化、网站合 作、EDM宣传、线上广告投放、建设QQ群、各 大网站软文宣传、活动的线上推广等。2012-2 至 2012-5实体充值卡设计、制作、和发行2012-5 至 2012-9与各报刊亭合作、发展各类代理汇道2011-9 至 2012-9各类功能的完善、并按运营需求开放各类线上活 动配套程序、以及代理汇道管理平台的开发建设2012-5 至 2012-9网站相关的活动、竞赛的举办。第二期系统建设成本640万+? 2012-6到6-2013-6目标达到支持1000-2000人在线视频或是互动，1万人同时在线，每月支持1500万人次访问量。总体

23、方案策划、设计完善 5万元软件版本升级 系统硬件升级扩容 平系统优化升级 功能开发系统标准化数据架构升级5万元10万80万（12-20台服务器以及配套硬件）50万200万（支持在线教育/远程教育/线上作业/视频上传发布/手机订阅/数字宁波馆手机版/在线商城）内容扩充200万（140万互动内容制作+60万在线教育视频版权）平台接入带宽升级至1000Mb （或是租用电信VIP机房）价格未知 系统升级后维护成本升为100万/年组织架构需要的运营证有：营业执照ICP备案ICP经营许可性（电信增值服务经营许可）网络视听节目许可证互联网出版许可证网络文化经营许可证附录名词解释：SOA:企业服务架构（Ser

24、vice Oriented Architecture,简称 SOA）SOA是一种软件系统架构。SOA不是一种语言，也不是一种具体的技术，更不是一种 产品，它给出在特定环境下推荐采用的一种架构，是一种理念架构，是人们面向应用服务的 解决方案框架。服务（service）是整个SOA实现的核心。SOA架构的基本元素是服务，SOA指定 一组实体（服务提供者、服务消费者、服务注册表、服务条款、服务代理和服务契约），这 些实体详细说明了如何提供和消费服务。遵循SOA观点的系统必须要有服务，这些服务是 可互操作的、独立的、模块化的、位置明确的、松耦合的并且可以通过网络（UDDI）查找 其地址。SOA的灵活性

25、将给企业带来巨大的好处。如果把企业的IT架构抽象出来，将其功能 以粗粒度的服务形式表示出来，每种服务都清晰地表示其业务价值，那么这些服务的顾客（可 能在公司内部，也可能是公司的某个业务伙伴）就可以选用这些服务，而不必考虑其后台实 现的具体技术。IDC在2005年进一步明确了 SOA的参考模型，提出了实现SOA所需要的 基本元素以及它们之间应该具备的逻辑关系，指引着SOA的良性发展。Portal 技术：Portal在英语中是入口的意思。Portal认证通常也称为Web认证，一般将Portal认证网站称 为门户网站。未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户

26、需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互 联网资源。用户可以主动访问已知的Portal认证网站，输入用户名和密码进行认证，这种开始Portal认 证的方式称作主动认证。反之，如果用户试图通过HTTP访问其他外网，将被强制访问Portal 认证网站，从而开始Portal认证过程，这种方式称作强制认证。Portal业务可以为运营商提供方便的管理功能，门户网站可以开展广告、社区服务、个性化 的业务等，使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。Portal扩展功能Portal的扩展功能主要是指通过强制接入终端实施补丁和防病毒策略，加强网络终端

27、对病毒 攻击的主动防御能力。具体扩展功能如下：在Portal身份认证的基础上增加了安全认证机制，可以检测接入终端上是 否安装了防病毒软件、是否更新了病毒库、是否安装了非法软件、是否更新了操 作系统补丁等；用户通过身份认证后仅仅获得访问部分互联网资源（受限资源）的权限， 如病毒服务器、操作系统补丁更新服务器等；当用户通过安全认证后便可以访问 更多的互联网资源（非受限资源）。Portal的系统组成Portal的典型组网方式如图1所示，它由五个基本要素组成：认证客户端、接入设备、Portal 服务器、认证/计费服务器和安全策略服务器。由于Portal服务器可以是接入设备之外的独立实体，也可以是存在于

28、接入设备 之内的内嵌实体，本文称之为“本地Portal服务器”，因此下文中除对本地支 持的Portal服务器做特殊说明之外，其它所有Portal服务器均指独立的Portal 服务器，请勿混淆。图 1 Portal 系统组成示意图认证客户端安装于用户终端的客户端系统，为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软 件的主机。对接入终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流 完成的。接入设备交换机、路由器等宽带接入设备的统称，主要有三方面的作用：在认证之前，将认证网段内用户的所有HTTP请求都重定向到Portal服务 器。在认证过程中，与Portal服

29、务器、安全策略服务器、认证/计费服务器交 互，完成身份认证/安全认证/计费的功能。在认证通过后，允许用户访问被管理员授权的互联网资源。Portal服务器接收Portal客户端认证请求的服务器端系统，提供免费门户服务和基于Web认证的界面，与接入设备交互认证客户端的认证信息。认证/计费服务器与接入设备进行交互，完成对用户的认证和计费。安全策略服务器与Portal客户端、接入设备进行交互，完成对用户的安全认证，并对用户进行授权操作。以上五个基本要素的交互过程为：未认证用户访问网络时，在IE地址栏中输入一个互联网的地址，那么此 HTTP请求在经过接入设备时会被重定向到Portal服务器的Web认证主

30、页上；若 需要使用Portal的扩展认证功能，则用户必须使用Portal客户端。用户在认证主页/认证对话框中输入认证信息后提交，Portal服务器会将 用户的认证信息传递给接入设备；然后接入设备再与认证/计费服务器通信进行认证和计费；认证通过后，如果未对用户采用安全策略，则接入设备会打开用户与互联 网的通路，允许用户访问互联网；如果对用户采用了安全策略，则客户端、接入 设备与安全策略服务器交互，对用户的安全检测通过之后，安全策略服务器根据 用户的安全性授权用户访问非受限资源。使用本地Portal服务器的Portal认证系统系统组成本地Portal服务器功能是指，Portal认证系统中不采用外部

31、独立的Portal服务器，而由接入 设备实现Portal服务器功能。这种情况下，Portal认证系统仅包括三个基本要素：认证客户 端、接入设备和认证/计费服务器，如图2所示。由于设备支持Web用户直接认证，因此就 不需要部署额外的Portal服务器，增强了 Portal认证的通用性。图2使用本地 Portal 服务器的 Portal 系统组成示意图认证害F却荷嵌FortdlflH莎器常接A役普伊说明.使用本地Portal服务器的Portal认证系统不支持Portal扩展功能，因此 不需要部署安全策略服务器。.内嵌本地Portal服务器的接入设备实现了简单的Portal服务器功能，仅能 给用户提

32、供通过Web方式登录、下线的基本功能，并不能完全替代独立的Portal服务器。认证客户端和本地Portal服务器之间的交互协议认证客户端和内嵌本地Portal服务器的接入设备之间可以采用HTTP和HTTPS协议通信。 若客户端和接入设备之间交互HTTP协议，则报文以明文形式传输，安全性无法保证；若客 户端和接入设备之间交互HTTPS协议，则报文基于SSL提供的安全机制以密文的形式传输， 数据的安全性有保障。本地Portal服务器支持用户自定义认证页面本地Portal服务器支持由用户自定义认证页面的内容，即允许用户编辑一套认证页面的 HTML文件，并在压缩之后保存至设备的存储设备中。该套自定义页

33、面中包括六个认证页 面：登录页面、登录成功页面、在线页面、下线成功页面、登录失败页面和系统忙页面。本 地Portal服务器根据不同的认证阶段向客户端推出对应的认证页面，若不自定义，则分别推 出系统提供的缺省认证页面。Portal的认证方式不同的组网方式下，可采用的Portal认证方式不同。按照网络中实施Portal认证的网络层次 来分，Portal的认证方式分为两种：二层认证方式和三层认证方式。哲说明二层认证方式的支持情况与设备的型号有关，请以设备的实际情况为准。二层认证方式这种方式支持在接入设备连接用户的二层端口上开启Portal认证功能，只允许源MAC地址 通过认证的用户才能访问外部网络资

34、源。目前，该认证方式仅支持本地Portal认证，即接入 设备作为本地Portal服务器向用户提供Web认证服务。另外，该方式还支持服务器下发授权VLAN和将认证失败用户加入认证失败VLAN功能(三 层认证方式不支持)。三层认证方式这种方式支持在接入设备连接用户的三层接口上开启Portal认证功能。三层接口 Portal认证 又可分为三种不同的认证方式：直接认证方式、二次地址分配认证方式和三层认证方式。直 接认证方式和二次地址分配认证方式下，认证客户端和接入设备之间没有三层转发；三层认 证方式下，认证客户端和接入设备之间可以跨接三层转发设备。直接认证方式用户在认证前通过手工配置或DHCP直接获取

35、一个IP地址，只能访问Portal服务器，以及 设定的免费访问地址；认证通过后即可访问网络资源。认证流程相对二次地址较为简单。二次地址分配认证方式用户在认证前通过DHCP获取一个私网IP地址，只能访问Portal服务器，以及设定的免费 访问地址；认证通过后，用户会申请到一个公网IP地址，即可访问网络资源。该认证方式 解决了 IP地址规划和分配问题，对未认证通过的用户不分配公网IP地址。例如运营商对于 小区宽带用户只在访问小区外部资源时才分配公网IP。哲说明使用本地Portal服务器的Portal认证不支持二次地址分配认证方式。可跨三层认证方式和直接认证方式基本相同，但是这种认证方式允许认证用户

36、和接入设备之间跨越三层转发设 备。对于以上三种认证方式，IP地址都是用户的唯一标识。接入设备基于用户的IP地址下发ACL 对接口上通过认证的用户报文转发进行控制。由于直接认证和二次地址分配认证下的接入设 备与用户之间未跨越三层转发设备，因此接口可以学习到用户的MAC地址，接入设备可以 利用学习到MAC地址增强对用户报文转发的控制粒度。二层Portal认证过程1.二层Portal认证流程目前，二层Portal认证只支持本地Portal认证，因此由接入设备作为本地Portal服务器向用 户提供Web认证服务，具体认证过程如下。图3二层 Portal 认证流程图Portal用户通过HTTP或HTTP

37、S协议发起认证请求。HTTP报文经过配置了 本地Portal服务器的接入设备的端口时会被重定向到本地Portal服务器，本地 Portal服务器提供Web页面供用户输入用户名和密码来进行认证。该本地Portal 服务器的监听IP地址为接入设备上一个与用户之间路由可达的三层接口 IP地址(通常为 Loopback 接口 IP)。接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。接入设备上的本地Portal服务器向客户端发送登录成功页面，通知客户 端认证(上线)成功。支持下发授权VLAN二层Portal认证支持服务器下发授权VLAN。当用户通过Portal认证后，如果授权服务器上 配

38、置了下发VLAN功能，那么服务器会将授权VLAN信息下发给接入设备，由接入设备将 认证成功的用户加入对应的授权VLAN中，若该VLAN不存在，则接入设备首先创建VLAN， 而后将用户加入授权VLAN中。通过支持下发授权VLAN，可实现对已认证用户可访问网络资源的控制。支持 Auth-Fail VLANAuth-Fail功能允许用户在认证失败的情况下，可以访问某一特定VLAN中的资源，比如获 取客户端软件，升级客户端或执行其他一些用户升级程序。这个VLAN称之为Auth-Fail VLANo二层Portal认证支持基于MAC的Auth-Fail VLAN,如果接入用户的端口上配置了 Auth-F

39、ail VLAN，则端口上会基于认证失败的MAC地址生成相应的MAC VLAN表项，认证失败的 用户将会被加入Auth-Fail VLAN中。加入Auth-Fail VLAN中的用户可以访问该VLAN中 的非HTTP资源，但用户的所有HTTP访问请求会被重定向到接入设备上进行认证，若用户 仍然没有通过认证，则将继续处于Auth-Fail VLAN内；若认证成功，则回到加入Auth-Fail VLAN之前端口所在的VLAN。处于Auth-Fail VLAN中的用户，若长时间无流量通过接入 端口，则将离开该VLAN。哲说明用户加入授权VLAN或Auth-Fail VLAN后，需要自动或者手动更新客

40、户端IP地 址，以保证可以与授权VLAN或Auth-Fail VLAN中的资源互通。三层Portal认证过程直接认证和可跨三层Portal认证流程相同。二次地址分配认证流程因为有两次地址分配过 程，所以其认证流程和另外两种认证方式有所不同。1.直接认证和可跨三层Portal认证的流程图4直接认证/可跨三层 Portal 认证流程图2.直接认证/可跨三层Portal认证流程:Portal用户通过HTTP协议发起认证请求。HTTP报文经过接入设备时，对 于访问Portal服务器或设定的免费访问地址的HTTP报文，接入设备允许其通过； 对于访问其它地址的HTTP报文，接入设备将其重定向到Portal

41、服务器。Portal 服务器提供Web页面供用户输入用户名和密码来进行认证。Portal服务器与接入设备之间进行CHAP (Challenge HandshakeAuthentication Protocol，质询握手验证协议)认证交互。若采用PAP(Password Authentication Protocol，密码验证协议)认证则直接进入下一步骤。Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入 设备，同时开启定时器等待认证应答报文。接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。接入设备向Portal服务器发送认证应答报文。Portal服务器向客户端

42、发送认证通过报文，通知客户端认证(上线)成功。Portal服务器向接入设备发送认证应答确认。客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接 入终端的安全性是否合格，包括是否安装防病毒软件、是否更新病毒库、是否安 装了非法软件、是否更新操作系统补丁等。安全策略服务器根据用户的安全性授权用户访问非受限资源，授权信息保 存到接入设备中，接入设备将使用该信息控制用户的访问。步骤(8)、(9)为Portal认证扩展功能的交互过程。二次地址分配认证方式的流程图5二次地址分配认证方式流程图:咱J认顿以(7用户己获律新IPCHAPH证变H.iAiiH计盟服务器4) RADIUSN1 以的iX

43、iiJ交豆安-藁略限务器E 发现用IP变化(9)检测到用IP变化(10)通佃l|： HI-壮成功 ：(13)授权二次地址分配认证流程：(6)同直接/可跨三层Portal认证中步骤(1)(6)。客户端收到认证通过报文后，通过DHCP请求获得新的公网IP地址，并通 知Portal服务器用户已获得新IP地址。Portal服务器通知接入设备客户端获得新公网IP地址。接入设备通过检测ARP协议报文发现了用户IP变化，并通告Portal服务 器已检测到用户IP变化。Portal服务器通知客户端上线成功。Portal服务器向接入设备发送IP变化确认报文。客户端和安全策略服务器之间进行安全信息交互。安全策略服

44、务器检测接 入终端的安全性是否合格，包括是否安装防病毒软件、是否更新病毒库、是否安 装了非法软件、是否更新操作系统补丁等。安全策略服务器根据用户的安全性授权用户访问非受限资源，授权信息保 存到接入设备中，接入设备将使用该信息控制用户的访问。步骤(12)、(13)为Portal认证扩展功能的交互过程。4.使用本地Portal服务器的认证流程图6使用本地 Portal 服务器的认证流程图直接/可跨三层本地Portal认证流程：Portal用户通过HTTP或HTTPS协议发起认证请求。HTTP报文经过配置了 本地Portal服务器的接入设备的接口时会被重定向到本地Portal服务器，本地 Porta

45、l服务器提供Web页面供用户输入用户名和密码来进行认证。该本地Portal 服务器的监听IP地址为接入设备上一个与用户之间路由可达的三层接口 IP地 址。接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。接入设备中的本地Portal服务器向客户端发送登录成功页面，通知客户 端认证(上线)成功。Portal支持双机热备1.概述在当前的组网应用中，用户对网络可靠性的要求越来越高，特别是在一些重点的业务入口或 接入点上需要保证网络业务的不间断性。双机热备技术可以保证这些关键业务节点在单点故 障的情况下，信息流仍然不中断。所谓双机热备，其实是双机业务备份。可以分别指定两台设备上的任意一个

46、支持备份接口功 能的以太网接口为备份接口，两个备份接口通过备份链路相连。或者在两台设备上分别指定 相同的备份VLAN，专用于传输双机热备相关的报文。在设备正常工作时，对业务信息进行 主备同步；在设备故障后，利用VRRP或动态路由(例如OSPF)机制实现业务流量切换到 备份设备，由备份设备继续处理业务，从而保证了当前的业务不被中断。关于双机热备的详 细介绍请参见“系统分册”中的“双机热备配置”。图7双机热备组网图Router A国白way ASwitcii ARouter BG凯白way BSwitcii BHost AHast B如图7所示，在一个典型的双机热备组网环境中，用户通过Portal

47、认证接入网络，为避免 接入设备单机故障的情况下造成的Portal业务中断，接入设备提供了 Portal支持双机热备功 能。该功能是指，接入设备Gateway A和Gateway B通过备份链路互相备份两台设备上的 Portal在线用户信息，实现当其中一台设备发生故障时，另外一台设备可以对新的Portal用 户进行接入认证，并能够保证所有已上线Portal用户的正常数据通信。2.基本概念设备的工作状态.独立运行状态：设备未与其它设备建立备份连接时所处的一种稳定状态。.同步运行状态：设备与对端设备之间成功建立备份连接，可以进行数据备份时所处的一种稳定状态。用户的工作模式.Stand-alone：表

48、示用户数据只在一台设备上存在。当前设备处于独立运行状态，或者当前设备处于同步运行状态但用户数据还未同步。. Primary：表明用户是由本端设备上线，用户数据由本端设备生成。本端设 备处于同步运行状态，可以处理并接收服务器发送的报文。. Secondary：表明用户是由对端设备上线，用户数据是由对端设备同步到本 端设备上的。本端设备处于同步运行状态，只接收并处理同步消息，不处理服务 器发送的报文。Portal支持多实例实际组网应用中，某企业的各分支机构属于不同的VPN，且各VPN之间的业务相互隔离。 如果各分支机构的Portal用户要通过位于总部VPN中的服务器进行统一认证，则需要Portal

49、 支持多实例。通过Portal支持多实例，可实现Portal认证报文通过MPLS VPN进行交互。如下图所示， 连接客户端的PE设备作为NAS，通过MPLS VPN将私网客户端的Portal认证报文透传给 网络另一端的私网服务器，并在AAA支持多实例的配合下，实现对私网VPN客户端的Portal 接入认证，满足了私网VPN业务隔离情况下的客户端集中认证，且各私网的认证报文互不 影响。图 8 Portal 支持多实例典型组网图CA数字证书:CA是证书的签发机构，它是PKI的核心。CA是 负责签发证书、认证证书、管理已颁发证书的机关。 它要制定政策和具体步骤来验证、识别用户身份，并 对用户证书进行

50、签名，以确保证书持有者的身份和公 钥的拥有权。CA也拥有一个证书（内含公钥）和私钥。网上 的公众用户通过验证 CA的签字从而信任 CA，任何人都可以得到 CA的证书（含公钥），用以验证它所签发的证书。如果用户想得到一份属于自己的证书，他应先向CA提出申请。在CA判明申请者的身份后，便为他分配一个公钥，并且CA将该公钥与申请者的身份信息绑在一起，并为之签字后，便形成证书发给申请者。如果一个用户想鉴别另一个证书的真伪，他就用CA的公钥对那个证书上的签字进行验证，一旦验证通过，该证书就被认为是有效的。证书1证书实际是由证书签证机关（CA）签发的对用户的公钥的认证。证书的内容包括：电子签证机关的信息、

51、公钥用户信息、公钥、权威机构的签字和有效期等等。目前，证书的格式和验证方法普遍遵循X.509国际标准。加密：我们将文字转换成不能直接阅读的形式（即密文）的过程称为加密。解密：我们将密文转换成能够直接阅读的文字（即明文）的过程称为解密。如何在电子文档上实现签名的目的呢？我们可以使用数字签名。RSA公钥体制可实现对数字信息的数字签名，方法如下：信息发送者用其私钥对从所传报文中提取出的特征数据（或称数字指纹）进行 RSA算法操作，以保证发信人无法抵赖曾发过该信息（即不可抵赖性），同时也确 保信息报文在传递过程中未被篡改（即完整性）。当信息接收者收到报文后，就可以 用发送者的公钥对数字签名进行验证。在

52、数字签名中有重要作用的数字指纹是通过一类特殊的散列函数（HASH函数）生成的。对这些HASH函数的特殊要求是:1 .接受的输入报文数据没有长度限制;对任何输入报文数据生成固定长度的摘要（数字指纹）输出；.从报文能方便地算出摘要；.难以对指定的摘要生成一个报文，而由该报文可以算出该指定的摘要；.难以生成两个不同的报文具有相同的摘要。验证：收方在收到信息后用如下的步骤验证您的签名：1 .使用自己的私钥将信息转为明文；2.使用发信方的公钥从数字签名部分得到原摘要；.收方对您所发送的源信息进行hash运算，也产生一个摘要；.收方比较两个摘要，如果两者相同，则可以证明信息签名者的身份。如果两摘要内容不符

53、，会说明什么原因呢？可能对摘要进行签名所用的私钥不是签名者的私钥，这就表明信息的签名者不可信；也可能收到的信息根本就不是签名者发送的信息，信息在传输过程中已经遭到破 坏或篡改。数字证书：答：数字证书为实现双方安全通信提供了电子认证。在因特网、公司内部网或外 部网中，使用数字证书实现身份识别和电子信息加密。数字证书中含有密钥对（公钥 和私钥）所有者的识别信息，通过验证识别信息的真伪实现对证书持有者身份的认证。使用数字证书能做什么？数字证书在用户公钥后附加了用户信息及 CA的签名。公钥是密钥对的一部分， 另一部分是私钥。公钥公之于众，谁都可以使用。私钥只有自己知道。由公钥加密的 信息只能由与之相对

54、应的私钥解密。为确保只有某个人才能阅读自己的信件，发送者 要用收件人的公钥加密信件；收件人便可用自己的私钥解密信件。同样，为证实发件 人的身份，发送者要用自己的私钥对信件进行签名；收件人可使用发送者的公钥对签 名进行验证，以确认发送者的身份。在线交易中您可使用数字证书验证对方身份。用数字证书加密信息，可以确保只 有接收者才能解密、阅读原文，信息在传递过程中的保密性和完整性。有了数字证书 网上安全才得以实现，电子邮件、在线交易和信用卡购物的安全才能得到保证。认证、数字证书和PKI解决的几个问题？ 保密性-只有收件人才能阅读信息。认证性-确认信息发送者的身份。完整性-信息在传递过程中不会被篡改。不可抵赖性-发送者不能否认已发送的信息。SEO：SE