輔助集成設(shè)備及網(wǎng)絡(luò)安全接入系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本實(shí)用新型涉及互聯(lián)網(wǎng)領(lǐng)域�����,具體而言���,涉及一種輔助集成設(shè)備及網(wǎng)絡(luò)安全接入系統(tǒng)。
【背景技術(shù)】
[0002]早期的通信領(lǐng)域一般采用有線方式(如����,傳統(tǒng)寬帶服務(wù)典型組網(wǎng)方式)提供有線通信服務(wù)。如圖1所示�����,傳統(tǒng)寬帶服務(wù)典型組網(wǎng)系統(tǒng)包括:多個(gè)計(jì)算機(jī)終端102’ (即,PC終端)��、非對(duì)稱數(shù)字用戶線路/超高速數(shù)字用戶線路調(diào)制解調(diào)器104’ (Asymmetric DigitalSubscriber Line/Very High Speed Digital Subscriber Line Modem���,簡(jiǎn)稱為 ADSL/VDSL Modem)��、IP 數(shù)字用戶線路接入復(fù)用器 106’ (IP Digital Subscriber Line AccessMultiplexer���,簡(jiǎn)稱為 IP-DSLAM)、寬帶遠(yuǎn)程接入服務(wù)器 108’ (Broadband Remote AccessServer����,簡(jiǎn)稱為 BRAS)、路由器 110’ (Router)和互聯(lián)網(wǎng) 112’ (Internet)���,其中,各個(gè) PC終端均與ADSL/VDSL的一端相連接���,ADSL/VDSL的另一端則連接至寬帶運(yùn)營(yíng)商網(wǎng)絡(luò)中的IP-DSLAM設(shè)備���,而IP-DSLAM設(shè)備與該網(wǎng)絡(luò)中的其他設(shè)備如BRAS和Router依次相連,最終通過(guò) Router 接入 Internet����。
[0003]在實(shí)施有線通信時(shí)�����,寬帶運(yùn)營(yíng)商在寬帶有線接入“最后一公里”即在ADSL/VDSLModem與各個(gè)PC終端之間進(jìn)行有線連接時(shí)面臨巨大挑戰(zhàn)���,其挑戰(zhàn)主要包括:(1)某些開(kāi)發(fā)商在建造小區(qū)時(shí)已自行或委托物業(yè)運(yùn)營(yíng)寬帶業(yè)務(wù),也就是通常所說(shuō)的小區(qū)寬帶���,這樣����,為了自身利益���,這些開(kāi)發(fā)商或者被委托的物業(yè)自然不允許其他運(yùn)營(yíng)商接入小區(qū)����;(2)對(duì)于現(xiàn)有老小區(qū)的光纖改造��,物業(yè)常常以各種名義百般阻撓���;(3)部分寬帶用戶非常在意新布線路會(huì)破壞室內(nèi)裝修以致影響美觀�,導(dǎo)致入戶困難。
[0004]為了克服有線通信在“最后一公里”遇到的上述問(wèn)題��,無(wú)線通信設(shè)備如WLAN設(shè)備應(yīng)運(yùn)而生�。其中,早期的WLAN設(shè)備由于集物理層���、鏈路層和用戶數(shù)據(jù)加密�、用戶的認(rèn)證����、QoS、安全策略��、用戶的管理及其他應(yīng)用層功能等多種功能于一身��,被俗稱為“胖”接入點(diǎn)(Access Point���,簡(jiǎn)稱為AP),如無(wú)線路由器���。其中�����,“胖”AP具有配置靈活��、安裝簡(jiǎn)單��、性價(jià)比高等優(yōu)點(diǎn)���。然而�,由于不同“胖”AP之間相互獨(dú)立�,無(wú)法適應(yīng)用戶高度密集且有多個(gè)AP連續(xù)覆蓋的環(huán)境復(fù)雜應(yīng)用場(chǎng)景。
[0005]為了克服單個(gè)AP處理能力和覆蓋能力都不足的缺點(diǎn)����,同時(shí)適應(yīng)適合用戶高度密集且有多個(gè)AP連續(xù)覆蓋的環(huán)境復(fù)雜應(yīng)用場(chǎng)景,逐漸演進(jìn)出集中控制型AC+AP設(shè)備即集中控制器AC和輕量級(jí)AP相融合的設(shè)備�����,從而實(shí)現(xiàn)“胖” AP設(shè)備的功能�。其中,輕量級(jí)AP只保留物理層功能和鏈路層功能以及MAC功能���,提供可靠的���、高性能的射頻管理����,包括802.11協(xié)議的無(wú)線連接�����。而集中控制器AC集所有的上層功能于一身���,包括安全���、控制和管理等功能,與傳統(tǒng)的“胖”AP相比�����,輕量級(jí)AP由于功能被大大減弱而被俗稱為“瘦” AP��。如圖2所示�,AC+AP架構(gòu)WLAN典型組網(wǎng)系統(tǒng)包括:計(jì)算機(jī)終端102’和手機(jī)終端202’、接入點(diǎn)204’ (即“瘦” AP)��、局域網(wǎng)交換機(jī)206’(Lanswitch��,簡(jiǎn)稱為L(zhǎng)SW)�、接入控制器/寬帶遠(yuǎn)程接入服務(wù)器 208,(Access Controller/Broadband Remote Access Server�����,簡(jiǎn)稱為 AC/BRAS)����、驗(yàn)證/ 授權(quán) / 記賬設(shè)備 210’(Authenticat1n、Authorizat1n�����、Accounting��,簡(jiǎn)稱為 AAA)�����、歸屬位置寄存器212’ (Home Locat1n Register���,簡(jiǎn)稱為HLR)�、協(xié)議服務(wù)器214’ (即PortalServer)���、運(yùn)營(yíng)支撐系統(tǒng)216’ (Operat1n support system��,簡(jiǎn)稱為OSS)����、動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)器 218,(Dynamic Host Configurat1n Protocol Server�,簡(jiǎn)稱為 DHCP Server)、路由器110’(Router)和互聯(lián)網(wǎng)112’(即Internet)���,其中�,各設(shè)備之間的連接關(guān)系如圖2所示�,在此不再贅述。本組網(wǎng)系統(tǒng)的最大優(yōu)點(diǎn)是管理簡(jiǎn)單��,因?yàn)閃LAN設(shè)備的網(wǎng)管平臺(tái)只需管理AC就可以間接地管理到AP�,這大大減輕了后臺(tái)(如,網(wǎng)管平臺(tái))壓力���。同時(shí)��,由于“胖” AP是部署在公共場(chǎng)所中的�,一般用戶都有可能接觸到AP設(shè)備����,而AC設(shè)備是部署在機(jī)房中的���,一般用戶不可能接觸到AC設(shè)備�����,且AC作為統(tǒng)一的認(rèn)證點(diǎn)�,集安全管理和控制于一身,因此安裝在AC上的設(shè)備證書(shū)比安裝在“胖” AP上的數(shù)字證書(shū)更安全����。
[0006]為了克服有線通信在“最后一公里”遇到的上述問(wèn)題,也可以采用如圖3所示的小基站+CPE架構(gòu)WLAN典型組網(wǎng)方式(即BroFi方案)��,該組網(wǎng)也可以將“最后一公里”從有線變?yōu)闊o(wú)線����,降低寬帶入戶門檻,其中��,該小基站+CPE架構(gòu)WLAN典型組網(wǎng)系統(tǒng)包括:計(jì)算機(jī)終端102’�、客戶終端設(shè)備302’ (Customer Premise Equipment,簡(jiǎn)稱為CPE)����、演進(jìn)型接入點(diǎn)304’(Evolved Node B���,簡(jiǎn)稱為 eNodeB)、寬帶運(yùn)營(yíng)商網(wǎng)絡(luò) 306’�、互聯(lián)網(wǎng) 112’(即 Internet)和云管理平臺(tái)308’,其中��,系統(tǒng)中各設(shè)備及網(wǎng)絡(luò)之間的連接關(guān)系如圖所示����,在此不再贅述。
[0007]其中����,對(duì)于圖3所示的系統(tǒng),實(shí)施時(shí)�����,可以在社區(qū)外架設(shè)eNodeB�,eNodeB上行與寬帶運(yùn)營(yíng)商網(wǎng)絡(luò)306’相連,為用戶提供Internet訪問(wèn)服務(wù)�,具體地,eNodeB和CPE通過(guò)無(wú)線通信鏈路連接���,替代傳統(tǒng)的有線連接方式���,CPE可以部署在用戶家里���,通過(guò)W1-FI信號(hào)與手機(jī)、筆記本電腦���、Pad等用戶終端相連。在圖3所示的系統(tǒng)中����,AC具有四種部署情況:(1)AC部署在CPE上,對(duì)于家庭用戶��,一般將AC部署在CPE�����,此處CPE集成胖AP功能以滿足用戶方便部署的要求��,此時(shí)用戶不可以在各CPE間漫游����;(2) AC部署在eNodeB上,對(duì)于中小企業(yè)用戶,一般將AC部署在eNodeB上��,此時(shí)用戶可以在eNodeB下屬的多個(gè)CPE間漫游�;(3) AC部署在寬帶運(yùn)營(yíng)商網(wǎng)絡(luò)中,對(duì)于大企業(yè)用戶��,一般將AC部署在寬帶運(yùn)營(yíng)商網(wǎng)絡(luò)中�����,此時(shí)用戶可以在寬帶運(yùn)營(yíng)商網(wǎng)絡(luò)下屬的任意CPE間漫游�����;(4) AC部署在云管理平臺(tái)���,對(duì)于大企業(yè)用戶����,一般將AC部署在云管理平臺(tái)上���,此時(shí)用戶可以在云管理平臺(tái)下屬的任意CPE間漫游��。
[0008]然而�����,無(wú)論是小基站+CPE架構(gòu)提供W1-FI服務(wù)����,還是傳統(tǒng)架構(gòu)提供W1-FI服務(wù),為了保證網(wǎng)絡(luò)安全�,基本都要求通過(guò)身份驗(yàn)證的用戶才有權(quán)訪問(wèn)網(wǎng)絡(luò)。當(dāng)前主流的身份驗(yàn)證方式有兩種=W1-FI連接密碼驗(yàn)證方式和portal服務(wù)器驗(yàn)證方式�����。其中����,W1-FI連接密碼是用戶在連接非開(kāi)放W1-FI熱點(diǎn)時(shí)需要輸入的密碼�����,如果密碼輸入錯(cuò)誤���,則用戶無(wú)法接入W1-FI網(wǎng)絡(luò)����。Portal服務(wù)器驗(yàn)證是指用戶直接接入開(kāi)放的W1-FI熱點(diǎn)后,在打開(kāi)瀏覽器時(shí)通過(guò)在彈出用戶驗(yàn)證界面上輸入用戶名����、密碼等信息進(jìn)行的驗(yàn)證,如果驗(yàn)證成功���,則用戶可以接入并訪問(wèn)Internet網(wǎng)絡(luò)�。
[0009]對(duì)于企業(yè)或園區(qū)用戶�,如果采用W1-FI連接密碼的驗(yàn)證方式,則存在W1-FI密碼不能有效保護(hù)的風(fēng)險(xiǎn)�����,風(fēng)險(xiǎn)主要來(lái)自以下幾個(gè)方面:(1)員工離職或人員調(diào)整后��,密碼更改不及時(shí)�,導(dǎo)致密碼泄露,進(jìn)而不斷向外擴(kuò)散����;(2)惡意APP (如W1-FI萬(wàn)能鑰匙APP)主動(dòng)上傳W1-FI密碼;(3) W1-FI密碼破解工具通過(guò)技術(shù)手段獲取密碼��。進(jìn)一步��,密碼泄露會(huì)導(dǎo)致外部用戶隨意接入網(wǎng)絡(luò)并占用網(wǎng)絡(luò)帶寬,甚至導(dǎo)致用戶惡意接入并竊取企業(yè)機(jī)密信息���。
[0010]對(duì)于portal服務(wù)器驗(yàn)證方式���,當(dāng)用戶端口通過(guò)W1-FI連接再次登錄時(shí),需要重新輸入用戶名和密碼等驗(yàn)證信息���,這種交互式的驗(yàn)證方式驗(yàn)證效率低����、使用不方便��、用戶體驗(yàn)差����。
[0011]針對(duì)上述的問(wèn)題����,目前尚未提出有效的解決方案。
【實(shí)用新型內(nèi)容】
[0012]本實(shí)用新型實(shí)施例提供了一種輔助集成設(shè)備及網(wǎng)絡(luò)安全接入系統(tǒng)���,以至少解決由于驗(yàn)證密碼容易泄露而造成的W