产品简介
针对网络运营中,有线及无线网络对用户的管理能力弱、业务控制能力差、网络安全无法保障等问题,蓝海卓越凭借多年来对无线网络的深刻认识,在进行了充分的市场调研的基础上,准确把握了国内无线网络市场的需求,推出了蓝海卓越NSCP-S100系列有线无线统一准入认证系统,平台内包括认证模块、portal模块、NAS对接模块、财务模块、统计分析模块、网银对接模块、日志记录模块、及自助系统模块。系统实现了对有线、无线网络终端的认证页面定制、PORTAL推送、用户计费、策略设置、财务管理、统计分析、用户认证管理、代理管理等功能,可以满足用户有线/无线网络接入认证、网络运营中的用户准入、认证管理、业务控制、财务统计、网银对接等要求,同时提供页面定制规范,极大丰富了用户对前端认证页面的多样化展示需求。
产品示意图,仅供参考
蓝海卓越NSCP-S100系列有线无线统一准入认证系统是基于NatShell自主开发的高性能底层RADIUS和PORTAL系统,采用功能模块松耦合,采用标准协议,支持系统耦合与开放的整体架构、功能模块耦合度、协议、接口开放程度和标准程度对应用系统开发。
蓝海卓越NSCP-S100系列有线无线统一准入认证系统采用旁路部署模式,适用于任意网络,为用户提供Portal认证,AAA授权,实时控制,配合系统中自带的用户管理及财务管理平台,完成开户、建立套餐、认证上网、计费管理、统计分析等功能。用户、套餐、计费策略、账务等核心内容统一集中管理。支持主流认证形式如Portal、802.1X、PPPOE、L2TP、LDAP等,并实现灵活的账号管控策略,包括账号漫游管理,单账户允许终端数量管理、AAA/本地账号逻辑控制及自动翻译。管理员可以分级分权进行管理,用户可分级分权自助服务。
Portal组件可实现灵活可定制的Portal页面,包括不同终端屏幕尺寸类型提供定制适配的页面、页面元素可针对客户定制化等,兼容主流Bras、AC、交换机、网关、防火墙等设备对接。
主要特点
支持多协议
Ø 支持市场上主流的华为Portal 1.0、2.0,CMCC 1.0、2.0协议,HTTPS提交协议、WIFIDOG协议等PORTAL协议,可以同支持华为Portal协议或CMCC协议的AC、交换机、BRAS以及其他网关类设备进行对接,实现灵活部署和快速交付;
Ø 支持标准Raidus认证规范,可以与全球任何主流产品厂商进行RADIUS对接认证。
支持多厂商NAS设备
Ø 多NAS支持:支持对接多个NAS设备,向多个NAC设备网络用户推送不同的认证页 面;
Ø 支持华为、中兴、浪潮、H3C、信锐、蓝海卓越、JUNIPER、爱立信、思科、迪普、京信、傲天动联、寰创、西加云杉、汉明、锐捷、TPLINK、PANABIT、Microtik......等主流厂商AC/BRAS/网关产品的RADIUS和PORTAL对接。
多种认证方式支持
Ø 短信认证:短信认证属于基础型同时又是使用范围最广的认证方式。使用人群不受限制,商业、企业等机构的员工、访客皆受用。同时也适用于需要强制身份认证和行为记录的场景;
Ø 微信认证:由于微信强大的营销价值,微信连WiFi经常被用于超大型商业广场、连锁超市、银行网店、商业地产、智慧城市等大型营销型场所;
Ø 帐号密码认证:针对企业员工,推荐使用用户名密码认证与临时账号,在认证方式上将员工、访客分离,另根据业务实际需求调整网络带宽、流量、上网时长等,将传统的以“网络资源为导向”变成以“业务为导向”的用网管控,还可将多分支机构员工入网进行整合,通过无感知认证,实现全网架构,一次认证,移动通行;
Ø 一键登录认证:适用于为了简化客户接入无线网络的步骤、节省客户时间、以及保护客户个人隐私的上网认证方式;
Ø 访客扫码认证:当访客进入访问网络空间,需被访人扫描二维码并进行授权,然后访客才可以使用网络,这种一对一的访客准入形式使得入网访客有迹可循,也在最大程度上保证了网络准入的安全;
Ø AD域认证:应用于企业员工上网的身份认证和审计的认证方式,通过蓝海卓越认证计费平台与企业的域认证结合,不仅可以实现员工身份准入,权限控制,安全审计等功能,同时实现了企业员工统一管理,减少了重复管理的麻烦,减轻了管理人员的负担
Ø APP认证:APP认证是以企业自有 APP 作为登录 WIFI 认证入口,帮助增加 APP 的下载使用量;
Ø 第三方数据源认证:通过对接企业OA或是用户数据库等第三方数据源进行身份认证,使企业管理方便统一;
Ø 二次认证:通常是用于和运营商对接的收费场景,如高校、景区、工厂等环境,用户的帐号先在蓝海卓越的认证平台进行第一次认证,认证失败则直接拒绝,认证成功后,再将认证请求提交到运营商的BRAS和AAA进行认证;
Ø MAC二次免认证:MAC二次免认证是一种基于MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。能实现用户在第一次认证成功后,第二次弹出的是广告页面,无需用户采用认证的方式登录,只需点击一键认证,或是页面倒计时完成自动认证即可;
Ø MAC无感知认证:于MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC地址认证的设备上线以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码。若该用户认证成功,则允许其访问网络资源,否则该用户的MAC地址就被添加为静默MAC;
短信认证
Ø 支持使用内置帐号密码登录。
Ø 支持通过展示PORTAL页面后点击按纽实现一键登录。
帐号密码/一键登录
Ø 支持与AC/BRAS对接后,向第三方AAA服务器进行认证和记帐的转发,并在转发过程中进行数据记录。
PEAP与EAP-SIM认证
Ø 支持手机终端采用PEAP认证或是EAP-SIM认证,实现更高级别的安全认证。
802.1X认证
Ø 通过与交换机或是NAC联动,实现802.1X认证。
APP认证
Ø 基于策略的判断,可以实现基于MAC地址的无感知认证、用户二次登录无感知认证,用户二次登录推PORTAL免认证。
LDAP认证
Ø 通过与WINDOWS域认证结合,实现企业的统一身份认证和权限下发。
第三方数据源认证
Ø 与任意第三方数据源对接,实现认证,如一卡通、OA、或任意第三方数据库,以及基于身份证的刷卡认证。
支持二次认证
支持多种二次认证方式,包括:
n AAA转发,用户的PORTAL认证请求,直接发送到学校的AAA服务器认证,AAA服务器经过认证后,将认证请求直接转发给运营商的AAA服务器。
n 用户的PORTAL认证请求,先在学校的AAA内部完成第一次认证,认证成功,PORTAL服务器向BRAS发起认证,由BRAS转到运营商的AAA进行认证
n 用户分两种类型,一种只能访问校园内部资源,属于免费用户。一种可以访问内部资源和完整的互联网资源,属于收费用户。做法是在对用户进行认证后,向BRAS或AC下发不同的RADIUS参数,指定其可以访问不同的资源。
n 外网同时接入2-3家运营商,可能有移动、联通、移动。各家的用户,在输入自己的帐号后,首先要在校园的AAA进行一次认证,再由学校的AAA根据用户类别分配到不同的运营商进行二次认证。做法是,在学校的AAA上设定不同的区域,如移动、联通、移动三个区域,用户只能属于一个区域,具备该区域独有的属性,PORTAL与BARS、AAA交互完成后,由学校的AAA返回认证结果,并将该属性下发给BARS设备,BRAS设备收到该属性后,会立即到其指定的运营商的AAA进行二次认证。属性名称为:tunnel-server-endpoint。
优越的前端页面编辑体验
Ø 认证页面自定义:根据蓝海卓越认证页面定制规范,用户可以很方便使用任意网页编辑语言设计自己的认证页面样式,以及认证成功页面的样式,同时也可以设置认证成功页面显示的时间;
Ø WEB编辑:PORTAL认证页面,可以通过WEB管理界面进行编辑,可以对图片、文字、链接、颜色、认证方式等内容进行修改和编辑,使之符合不同场景的使用需求;
Ø URL跳转:支持用户认证成功后强制跳转至某URL;
Ø 终端自适应:认证页面会根据终端类型的不同,推送不同的认证页面形式,如PC和手机推送不同的PORTAL页面,或安卓和IOS推送不同的PORTAL页面;
Ø 认证前端分离:支持认证前端页面和Portal服务器分离,用户可以随意指定前端WEB认证页面地址;
灵活的PORTAL模板推送策略
Ø PORTAL推送策略:根据4W(When、Where、What)规则设置终端用户的认证页面展示策略,即可以指定时间、指定AP组、指定SSID、推送指定内容;
Ø 默认策略:当现有的策略不能够匹配时,则终端弹出的Portal认证页面内容为默认策略中指定的模板;
Ø 策略元素管理:可以对策略设定中的多个元素进行管理配置,包括:
n AP组
n SSID
n APID
n 用户组
n 时间组
Ø 重定向URL参数配置:可以修改与AC/BRAS对接的PORTAL参数,方便与各品牌AC/BRAS产品对接。
防止用户使用默认模板访问
在一些运营场景中,多个项目使用同一个认证平台,不同的项目推送不同的PORTAL页面,对应不同的套餐和资费价格,用户在正常推送页面时,会通过重定向地址携带的参数来对用户进行区分显示,但部分用户会去掉重定向参数,直接使用IP或域名访问PORTAL页面,此时会导致用户管理和计费的混乱;
为了解决此问题,统一认证计费平台会通过使用默认模板策略,防止用户通过默认IP或域名进行访问,从而杜绝用户管理混乱问题。
人性化的用户管理模块
Ø 短信管理:可以对使用手机短信认证的用户设置短信密码有效期以及获取短信规则,防止用户一段时间内大量接收短信密码,耗费短信资源;
Ø 用户认证:通过Portal服务器中自带的Radius认证计费系统,完成对终端用户的认证上网并计费,支持标准Radius协议;
Ø 开户管理:可以在认证计费系统中直接建立账户并选择相应的套餐,用户根据账户信息即可实现在认证页面认证上网,对于手机短信认证用户自动开户;
Ø 套餐管理:强大的套餐管理功能,支持对上传、下载、上网周期、累计时间、最大在线时间、密码有效期等参数进行设置,满足各种场合的用户上网控制需求;
Ø 证件照片上传:可以上传并查看用户的证件照,包括身份证、护照、户口本、军官证等;
Ø 终端MAC绑定:用户账户可以绑定该用户第一次上线时的MAC地址,防止用户在多个终 端设备上使用一个账户进行认证上网;
Ø NAS绑定:用户账户可以绑定该用户第一次上线时的NAS IP地址;
Ø AP MAC绑定:用户账户可以绑定该用户第一次上线时的AP MAC地址;
Ø VLAN绑定:用户账户可以绑定该用户第一次上线时的VLAN地址,包括单层VLAN和双层VLAN(QINQ);
Ø 固定MAC绑定:用户的电脑终端第一次认证,即被识别为固定MAC,并进行自动绑定,固定MAC绑定不会被系统自动修改,仅可由管理员修改或清除;
Ø 自由MAC绑定:所有的终端,非固定MAC绑定的,均被识别为自由MAC绑定,执行MAC绑定及下线策略;
Ø 最大在线用户:可以在套餐管理中设置账户允许的最大在线用户数,方便用户在不同的终端设备上同时使用一个账户上网,或者限制用户一个账户在不同终端同时使用;
Ø 在线用户:可以随时查看当前网络中的在线用户信息,包括用户名、NAS地址、客户端IP、上传流量、下载流量、记账开始时间、在线时长等信息,并可以手动将用户强制下线;
Ø 历史记录:可以随时查看最近1个月内的用户上网历史记录信息,包括包括用户名、NAS地址、客户端IP、上传流量、下载流量、记账开始时间、在线时长等信息,并可以查看每一条记录的详细信息。
多用户组自注册分组功能
在一些运营场景中,多个项目使用同一个认证平台,不同的项目对应不同的套餐和资费价格,用户在自助注册、自注交费时,管理员希望用户只能看到用户自己所属项目的套餐和资费,但用户如查直接使用IP或域名访问PORTAL页面进行注册,会只显示默认项目和套餐,此时会导致用户管理和计费的混乱;
在统一认证计费系统中,为了解决此问题,可以将用户组与套餐进行关联,并通过重定向的参数进行区别显示,从而解决此问题。
灵活自定义资费套餐
系统支持管理员自定义套餐,可自定义内容包括:
计费方式:时长/计费
时间纬度:小时、天、周、月、年
价格
周期
绑定策略:MAC绑定、VLAN绑定、NASIP、APMAC、SSID等
在线人数策略
计时模式:立即计时、上线计时、指定时间计时、系统自动判断(到期后计时)
分时间策略
带宽限制策略
代拨套餐
转发套餐
MAC无感知策略
自助开户购买策略
自助续费策略
用户组对应策略
财务统计功能
在本系统中,与财务有关的有如下几个部分:
Ø 用户充值开户
Ø 用户充值续费
Ø 财务订单记录
Ø 营业报表统计
Ø 用户帐单记录
Ø 用户自助交费
Ø 营业对帐功能
Ø 报表导出功能
Ø 支付宝微信对帐功能
充值卡功能
在本系统中,通过充值卡功能,可以为用户提供充值卡帐号充值功能:
Ø 卡片生成
Ø 卡片销售
Ø 销售统计
Ø 充值记录
VPN服务器功能
统一认证系统可以部署在云端,对接多个NAS设备,由于云端部署通常有固定公网IP,而NAS设备所在的项目位置,可能不一定有公网IP,在CMCC的PORTAL协议中规定,需要双方进行交互才可以完成认证,因此需要NAS端具备VPN客户端能力,通过L2TP VPN拨号到统一认证计费系统,获得固定的IP地址,实现对接认证;
统一认证系统内置VPN服务器功能,及VPN用户管理功能,可以实现VPN服务器接收NAS拨号请求,并管理NAS上的VPN用户能力。
数据统计分析
系统内置详细的统计分析功能,可以帮助管理者有效的进行决策分析,主要包括如下:
Ø 注册收费统计
Ø 活跃终端统计
Ø 注册类型统计
Ø 在线人数走势
Ø 帐号在线率统计
Ø 在网用户率统计
Ø 模板统计
Ø 人均上网流量统计
Ø 人均上网时长统计
Ø 流量详细统计
Ø 流量段统计
Ø 时长统计
Ø 活跃度统计
Ø 套餐统计
Ø 认证错误信息统计
Ø 用户组分布统计
Ø 终端分布情况统计
Ø 运营商用户数统计
对接第三方网银支付
在收费场景中,需要用到支付的情况,目前系统内置支持如下几种收费方式:
Ø 微信支付
Ø 支付宝支付
Ø 银盛支付
Ø BoaoBill支持(海外)
Ø 其他需要的第三方支付
Ø 余额支付
说明:支付方式为用户自行配置,需要申请微信公众号或是支付宝商户帐号或是对应的支付公司帐号。
接口功能
系统内置WEBSERVICE接口供其他系统调用,可以实现如下接口:
用户管理接口:
Ø 开户接口
Ø 删除用户接口
Ø 判断用户是否存在接口
Ø 用户下线接口
Ø 修改用户资料接口
Ø 套餐变更接口
Ø 用户销户接口
Ø 强制下线接口
Ø 账号基本信息查询接口
Ø 每日使用时长/流量查询接口
Ø 每小时使用流量查询接口
Ø 账户充流量接口
Ø 日/月流量查询接口
Ø 设置日/月流量预警值接口
Ø 发送短信接口
PORTAL认证接口:
Ø 提交认证接口
自助管理系统接口:
Ø 查询用户信息
Ø 充值续费
Ø 绑定运营商
Ø 用户下线
Ø 查询流量明细
Ø 自助暂信恢复
日志管理
系统提供完善的日志功能,包括如下:
Ø 上网记录:用户上网的历史记录
Ø 操作日志:管理员对系统的操作日志
Ø 接口日志:WEBSERVICE接口调用及操作日志
Ø 短信日志:发送短信的日志
Ø 登录日志:管理人员登录日志
Ø 访客授权日志:内部员工给企业访客扫码授权的日志
Ø 身份认证日志:身份实名认证接口调用及结果日志
Ø 到期提醒日志:通过短信提醒到期用户的通知
Ø 代理日志:代理商登录及操作日志记录
Ø 清空日志:根据时间条件清空日志
运营管理
系统提供完善的运营管理功能,用于协助管理员查看用户情况,分析用户故障:
Ø PORTAL页面重定向URL记录:用于查看用户是否正确收取重定向URL;
Ø 提交认证错误记录:用于判断用户PORTAL认证错误原因;
Ø 在线用户:查询在线用户状态;
Ø 上网记录:查询用户历史上网记录;
Ø 用户暂停记录:查询用户自助暂停记录;
Ø 用户认证计录:记录并查询用户所有的提交认证记录及详情;
Ø 转发认证日志:查询用户通过AAA转发的详细情况;
Ø 关注用户认证记录:对特殊标记用户认证记录进行记录并查询。
实名认证
系统提供实名认证功能,可以实现国家政策要求的强实名认证,并与第三方认证平台接口打通,实现手机号、身份证号、人脸识别三合一认证。
分级分权管理
结合系统中的角色管理实现不同等级用户拥有对系统功能不同的管理权限,方便客户根据项目及业务进行权限的分级和管理。
可以预定义不同的权限角色,方便进行管理员设置。
代理商管理
可以为二级代理商开设帐号,并分配组组管理权限;
代理商权限区别于管理员权限,属于独立模块,代理商通常是用于第三方合作机构管理其用户而设置;
包括:
代理商建立、修改、删除
代理商权限配置
代理商登录和操作记录
代理商公告及通知管理
代理商充值折扣管理
告警功能
支持设备离线事件的邮件、短信告警功能,协助用户对设备进行离线事件处理,有效处理问题和保护设备资产,降低运营成本。
公安日志审计系统对接功能
支持与公安部认定的符合32号令日志设备厂商(如任子行),进行数据对接,推送用户认证及上网登录记录,包括:
Ø 用户名
Ø 上网时间
Ø IP地址
数据备份功能
支持多种数据备份功能,包括:
Ø 手动备份到本地电脑
Ø 自动备份到服务器本地存储
Ø 自动邮件关键数据备份
Ø 双机热备
Ø 双机冷备
Ø 云主机备份(坚果云)
其他配置功能
为了提升运营和管理能力,系统提供了详细的配置功能,主要包括:
界面配置:可自由配置界面LOGO,公司名称等信息;
批量配置:可对常用功能进行批量配置,包括:
Ø 是否进行实名认证
Ø 管理系统登录是否使用验证码
Ø 首次登陆是否强制修改密码
Ø 首次登陆是否强制设置密保
Ø 是否开启预放行
Ø 管理员密码强度设置
Ø 代理商密码强度设置
Ø 用户密码强度设置
Ø 管理员密码更改周期
Ø 管理员密码更换提前多少天提醒
Ø 在线检测周期
注册流程配置:可对用户自助注册流程进行配置,以适应不同的项目;
系统设置:常用系统设置,包括:
Ø 自助系统独立账号
Ø SQL调试模式
Ø 计账唯一ID
Ø 停机扫描
Ø 定时重启
Ø 清除mac
Ø 到期时间更新
Ø 系统广播
Ø 套餐编辑-重置参数功能
Ø 批量设置用户最大mac绑定数量
Ø 批量设置允许同时在线数
Ø 预放行在线时长
Ø 定时清理用户配置 :
Ø 管理员账号登录限制
Ø portal用户登录限制
Ø 密码错误锁定时长(秒)
Ø 自动删除系统日志
Ø 自动删除操作日志
Ø 自动删除文件日志
Ø 自动删除历史数据
用户自助相关设置:包括:
Ø 自助首页标题
Ø 设置自助系统菜单显示
Ø 自助账户信息备注
Ø 自助微信登录
Ø 自助允许用户切换套餐生效时间
Ø 自助注册是否使用验证码
Ø 自注册是否允许找回密码
Ø 找回密码方式
Ø 自注册是否允许直接输入网址注册
Ø 短信验证码注册时,是否需要用户单独设置密码
Ø 自助开户密码是否使用明文
Ø 自助开户是否使用邮箱
Ø 用户点击下线是否清除MAC
Ø 自注册用户每日允许注册次数
Ø 自助底部文字设置
预放行配置:可对用户使用预放行的时长、流量、每日使用次数进行配置。
用户开户模板字段配置:包括:
Ø 姓名
Ø 身份证号码
Ø 手机号码
Ø 邮箱
Ø 住址
Ø MAC绑定
Ø 允许同时在线人数
Ø 绑定APID/APMAC
Ø 绑定NASIP绑定SSID
Ø 设置预开户
Ø 用户备注
Ø 地址池名称
Ø 代理拨号VLAN
Ø 代理拨号账号
Ø 代理拨号密码
Ø 允许MAC绑定数量
Ø 安装地址
Ø LOID箱子/OLT端口号
Ø VLANID
Ø VLANSN
Ø 用户MAC
Ø 认证别名
敏感词管理功能
为防止用户自助系统填写非法字符,系统设置了敏感词管理,对于填写的敏感词,系统内部在任何位置均不允许填写并保存。
自助服务系统
系统自带用户自助服务平台,用户使用自己得账号登陆,可实现中下功能:
Ø 查询基本信息
Ø 查询订单信息
Ø 自助下线
Ø 查询上网历史记录
Ø 实现自助缴费功能
Ø 用户自助暂停、自助恢复
Ø 用户自助绑定运营商代拨
Ø 新用户自助注册缴费上网
