1、singleNet防私接綜合解決方案 杭州雷龍網絡目錄綜述1共享方式2防私接方案介紹-singleNet3內容運營4綜述1校園帶寬發展歷程校園帶寬發展歷程對運營商所帶來的影響對運營商所帶來的影響防私接概述防私接概述綜述校園帶寬發展歷程第第一代校一代校園網園網第二代校第二代校園網園網第三代校第三代校園網園網 數據共享時代數據共享時代 10/100M以太網技術 為分布的PC提供了一個 便利的連接通道，資源 共享是第一代網絡的典 型特征！ 應用發展時代應用發展時代 2000年開始，由于帶寬的提高促進了應用的發展，多媒體教學、辦公自動化、網絡圖書館，等成為高校教育不可或缺的平臺，共享以Sygate和W

2、ingate為主 高安全性時代高安全性時代 1000M技術的出現大大 提高了校園的帶寬資源， 此時校園用戶逐步以娛樂 為主，由于大帶寬的出現， 催生了一批代理軟件，共 享精靈、共享衛士、路由 器以及針對wifi無線網技 術的代理方式應運而生1、互聯網的出現為代理軟件帶來了契機， 通過代理軟件可以將局域網中的其他 機器接入互聯網，節省成本及開支;2、由于校園群體的特殊性，導致最初的 校園在宿舍的布線上只有單出口，而 且一個宿舍最少在4人，這就促使學生 只要申請一條線路，大家平攤費用在 輔以代理軟件就可以達到全員上網的目 的；3、帶寬提速(8-10M)，娛樂盛行(影視、 游戲)、資源下載更加催生了

3、代理方式 的發展；(路由器為主)4、手機終端的普及，使得wifi無線得到發 展，針對wifi的共享也應運而生；綜述對運營商所帶來的影響？1123私接情況都不利于運營商發展用戶，降低網絡的ARUP值，造成用戶資源流失私接的用戶將會額外占用運營商的網絡資源，大大改變網絡的“用戶流量”模型，使得運營商的網絡負擔加重，不能充分利用資源為正式的用戶提供更好的服務，嚴重甚至會影響正常用戶的使用 私接往往以個人名義申請寬帶而幾個學生共用，并且分攤費 用，給運營商造成了巨大的經濟損失，在高校網絡付費的用 戶和非法接入的用戶比例從1:2到1:8不等；占用資源費用降低用戶流失綜述我司防私接概述？ 支持針對有線及無

4、線的PPPOE接入模式，也支持WIFI的portal客戶端模式 1、通過我司整體校園網防私接平臺可達到高度融合(包括認證計費平臺和客戶端兩大主體); 2、我司也可與其他廠家認證平臺合作，提供防私接接口程序與我司客戶端進行對接，達到 防私接效果; 強制使用、驅動防范、在線監控 支持windows平臺的操作系統(win XP、win7、win8);支持MAC系列的操作系統;支持手機系統(IOS 及Android系統) 豐富的營銷手段，客戶端提供強大的營銷模式，支持氣泡、首頁窗體、欠費提醒 等個性化的營銷服務手段 在占領用戶桌面的同時提供自有的瀏覽器框架、豐富的資源內容整合，增強粘帖性，使學生更有

5、依賴感共享方式1背景背景硬件共享硬件共享軟件共享軟件共享共享方式背景？ 目前，大多高校數寬帶業務都是基于包月的形式開展的，沿用了家庭用戶的計費方式，而且考慮到學生的支付能力比較低，定價也一般比家庭用戶要低。但是，事實上，高校學生用戶利用寬帶計費技術的不足以及目前帶寬不斷提升，往往以個人的名義申請寬帶而讓宿舍同學共用寬帶而分攤費用，給運營商造成了巨大的經濟損失，在高校網絡付費用戶和非法接入用戶的比例從1:2到1:8不等硬件共享： 通常使用共享上網路由器，該類設備通常除具有共享上網的功能外，還具有HUB的功能。它們通過內置的硬件芯片來完成互聯網和局域網之間數據包的交換管理，實質也就是在芯片中固化了

6、共享上網軟件(使用的NAT技術)共享上網方式軟件共享： 軟件共享上網就是在局域網中的一臺具有互聯網連接線路的計算機上安裝共享上網軟件后實現整個局域網的共享Internet(采用NAT技術及PROXY技術)，常用軟件有共享精靈，共享衛士等共享方式硬件共享通過通過NAT技術實現技術實現 NAT是Network Address Translation的縮寫，采用網絡地址轉換技術，局域網內部的非法互聯網IP地址通過NAT 可以轉化成合法互聯網IP地址，實現對外界網絡如Internet的合法訪問。NAT的實質其實可以這樣理解，就是一個在數據包底層的Proxy代理，它不再單獨為每一種互聯網應用協議例如ht

7、tp,ftp,telnet做代理工作，它作的是每個TCP/IP數據包的代理WIFI互聯網具有NAT功能的設備，為內網PC及手機提供共享上網服務通常采用具有NAT功能的路由器設備，其內部嵌入了一套共享軟件，通過共享軟件的設置，路由器具備自動撥號功能，從而給局域網內的有線設備提供上網服務；通過開啟其內部的無線功能，將給局域網內的無線設備提供上網服務常用設備:D-LINK、TP-LINK、水星、騰達、360wifi、小度wifi等共享方式軟件共享通過通過NAT技術和技術和PROXY實現實現 PROXY代理服務器是介于客戶機網絡應用程序和Internet相應服務器之間的一臺服務器。例如客戶機是瀏覽器則

8、Internet上就是Web服務器做響應，有了代理服務器之后，瀏覽器不是直接到Web服務器去取回網頁而是向代理服務器發出請求，請求信號會先送到代理服務器，由代理服務器向Web服務器來取回瀏覽器所需要的信息并傳送給你的瀏覽器WIFI互聯網 在局域網中存在一臺PC，此PC安裝了特定的代理軟件，代理軟件具備NAT功能或PROXY代理功能，代理服務器進行撥號操作，局域網其他機器通過此臺服務器進行上網服務。 具有NAT的軟件:Sygate、Internet共享; 具有PROXY的軟件:Wingate、CCProxy、共享衛士、共享精靈modem代理服務器防私接方案介紹1singleNetsingleNe

9、t三大保障三大保障singleNet-PC接入方案二接入方案二singleNet-PC接入方案一接入方案一singleNet-移動終端接入方案移動終端接入方案防私接方案介紹-singleNet？防止一拖防止一拖N，有效提升運營商價值，有效提升運營商價值占領校園用戶桌面，提升寬帶份額占領校園用戶桌面，提升寬帶份額帶動帶動C網業務持續增長網業務持續增長內容整合、提供個性化需求內容整合、提供個性化需求防私接方案介紹-singleNet三大保障客戶端中集成專有防私接驅動程序，能全面防范代理程序，包括共享精靈、360wifi等相關軟件及設備；1、客戶端與自身認證平臺配合，開啟強制使用功能，此時用戶只能使

10、用指定客戶端才能認證上網，使用其他任何客戶端都無法撥號成功；2、客戶端也可通過和其他認證平臺進行接口改造實現強制使用1、用戶嘗試破解，在短暫時間內破解客戶端使用第三方客戶端登錄，監控服務器會在設定時間時將用戶踢下線；2、使用硬件路由器撥號，無法發送客戶端所獨有的加密信息與監控服務器通信，因此也會將用戶踢下線;3、當踢下線一定時間后，用戶會加入黑名單，在一段時間內將禁止上網強制使用驅動控制監控輔助singleNet三大保障之一強制使用1、客戶端與自身認證平臺配合，開啟強制使用功能，此時用戶只能使用指定客戶端才能認證上網，使用其他任何客戶端都無法撥號成功；2、客戶端也可通過和其他認證平臺進行接口改

11、造實現強制使用強制使用接口是實現強制使用的關鍵 1、我司閃訊認證計費管理系統(AAA)具備; 2、提供API接口，可同其他廠家AAA無縫對接；1、客戶端在撥號時會攜帶X位動態密鑰(X位數字字母及字符組合);2、AAA或前置機接到客戶端發送的報文后，經過解包然后驗證通過或失敗;兩種強制方式： 1、前置機方式，前置機負責密鑰解析; 2、AAA改造方式,提供API接口給AAA改造;經過改造后用戶只能使用特有客戶端進行撥號認證，使用其他任何撥號客戶端或路由器都無法認證上網;singleNet三大保障之二驅動控制1、驅動程序將負責PC接受數據報文的傳遞;2、數據報文將通過接口傳遞給應用層進行分析驅動程序

12、存在于客戶端中，在安裝客戶端時，驅動程序將一并安裝針對底層進行驅動開發，產生客戶端獨有的驅動程序進行數據包過濾通過驅動的實時分析、過濾，將阻斷一切Nat或Proxy發送的可疑報文客戶端中集成專有防私接驅動程序，能全面防范代理程序，包括共享精靈、360wifi等相關軟件及設備；驅動控制singleNet三大保障之三在線監控1、客戶端同在線監控服務器之間存在檢測關系;2、客戶端每隔x時間會和監控進行通信;3、監控如x次都沒收到客戶端的通信報文，則將用戶斷開連接1、客戶端安裝時一并安裝在線監控接口；2、部署在線監控服務器及監控程序；通過在公網環境部署一臺在線監控服務器，完成防破解的閉環1、嘗試破解的

13、用戶將每隔x段時間斷開連接;2、可設置加入黑名單，黑名單的用戶在x時間內無法上網(撥號成功就斷開);3、杜絕嘗試破解的現象;1、用戶嘗試破解，在短暫時間內破解客戶端使用第三方客戶端登錄，監控服務器會在設定時間時將用戶踢下線；2、使用硬件路由器撥號，無法發送客戶端所獨有的加密信息與監控服務器通信，因此也會將用戶踢下線;3、當踢下線一定時間后，用戶會加入黑名單，在一段時間內將禁止上網監控輔助防私接方案介紹AAA改造 提供密鑰算法的API AAA進行改造，具備解析客戶端密鑰算法的功能 客戶端發起認證，AAA負責解析密鑰是否合法，合法即通過 接入方案singleNet全面支持包括PC端有線及無線以及手

14、機終端無線上網方案，靈活的組合可滿足運營商的各項要求支持PC終端有線及無線的接入改造：手機客戶端 部署一臺portal服務器 Portal服務器和AAA認證做接口 BAS設置ip段支持重定向功能，將連接無線AP的用戶重定向到指定portal頁面 開發ios和android的手機客戶端，客戶端代替web頁面功能支持移動終端的無線的接入改造：singleNet-PCsingleNet-PC接入方案接入方案singleNet平臺(管理服務器、升級服務器、在線監控服務器)AAA平臺（可使用我司的閃訊認證計費平臺-B平面，也可提供接口API與第三方廠商AAA做開發）BAS改造點改造點步驟及需求步驟及需求

15、功能功能singleNetsingleNet平臺平臺1、部署一套singleNet平臺一套，包括管理服務器、在線監控服務器、升級服務器共三臺機器；2、所需系統windows2003或2008，sql 2000數據庫；3、三個ip及對應域名申請；1、管理服務器：負責客戶端的查詢、統計等工作;2、在線監控服務器：負責與客戶端之間實時通信，并提供對客戶端控制的相關功能;3、升級服務器：負責客戶端的自動升級;AAAAAA改造點改造點1:1:與在線監與在線監控服務器接口對接控服務器接口對接( (可可后續開發上線后續開發上線) )1、如使用我司的閃訊認證計費平臺建立校園B平面，則我司無縫對接;2、如AAA

16、為第三方廠商，我司則提供接口方案供AAA改造;此功能主要用于在線監控服務器在檢測到非法用戶后，向AAA發送下線請求，AAA將請求轉給BAS完成將用戶踢下線的功能AAAAAA改造點改造點2 21、我司提供強制使用的接口API2、如使用我司閃訊認證計費平臺，則接口無縫對接；3、如使用其他廠商AAA，則我司提供接口API方案供廠商進行接口開發;3、API負責密鑰驗證;實現強制使用功能1、負責客戶端發送的密鑰驗證功能；2、用戶使用客戶端撥號后攜帶n位密鑰+帳號模式發送給BAS;3、BAS將認證信息送給AAA進行驗證4、AAA對加密信息進行解密驗證，驗證；5、返回認證信息給用戶告知是否成功；客戶端開發客

17、戶端開發開發前置機方式的客戶端，支持前置機驗證方式用戶上網專用客戶端:1、提供撥號及防私接功能;2、提供內容運營展示功能此方案優點及難點此方案優點及難點優點：優點：無需添加任何硬件設備，部署簡單難點：難點：AAA需要進行接口改造；在以后的客戶端更新或更改算法時，AAA也會聯動更新;安裝安裝singleNetsingleNet客戶端的終端客戶端的終端運營商AAA平臺接入接入BASBAS校園網絡校園網絡改造前改造后singleNet-singleNet-手機客戶端方案介紹手機客戶端方案介紹改造點改造點步驟及需求步驟及需求功能功能singleNetsingleNet平臺平臺1、部署一套singleN

18、et平臺一套，包括管理服務器、在線監控服務器、升級服務器共三臺機器；2、所需系統windows2003或2008，sql 2000數據庫；3、三個ip及對應域名申請；1、管理服務器：負責客戶端的查詢、統計等工作;2、在線監控服務器：負責與客戶端之間實時通信，并提供對客戶端控制的相關功能;3、升級服務器：負責客戶端的自動升級;部署部署portalportal服務器服務器1、部署一臺到兩臺portal服務器2、部署接入程序負責手機客戶端指向的程序,并提供認證功能接入接入BASBASBAS設置特定ip段重定向到指定的portal服務器重定向功能Radius(AAA)Radius(AAA)1、開發和portal的對接;2、判定移動終端設備;和portal之間的通信，傳送用戶認證報文信息客戶端開發客戶端開發移動終端客戶端開發，支持IOS及Android系統用戶上網專用客戶端:1、指定portal地址的客戶端;2、用戶在使用中如同pc客戶端模式，輸入帳號和密碼即可認證;singleNet防私接特點singleNet安全穩定安全穩定其他功能其他功能擴展擴展無漏報無漏報無多余無多余負載負載內容運營1內容運營