辅助集成设备及网络安全接入系统的制作方法

辅助集成设备及网络安全接入系统的制作方法
【技术领域】
[0001]本实用新型涉及互联网领域，具体而言，涉及一种辅助集成设备及网络安全接入系统。
【背景技术】
[0002]早期的通信领域一般采用有线方式(如，传统宽带服务典型组网方式)提供有线通信服务。如图1所示，传统宽带服务典型组网系统包括:多个计算机终端102’ (即，PC终端)、非对称数字用户线路/超高速数字用户线路调制解调器104’ (Asymmetric DigitalSubscriber Line/Very High Speed Digital Subscriber Line Modem，简称为 ADSL/VDSL Modem)、IP 数字用户线路接入复用器 106’ (IP Digital Subscriber Line AccessMultiplexer，简称为 IP-DSLAM)、宽带远程接入服务器 108’ (Broadband Remote AccessServer，简称为 BRAS)、路由器 110’ (Router)和互联网 112’ (Internet)，其中，各个 PC终端均与ADSL/VDSL的一端相连接，ADSL/VDSL的另一端则连接至宽带运营商网络中的IP-DSLAM设备，而IP-DSLAM设备与该网络中的其他设备如BRAS和Router依次相连，最终通过 Router 接入 Internet。
[0003]在实施有线通信时，宽带运营商在宽带有线接入“最后一公里”即在ADSL/VDSLModem与各个PC终端之间进行有线连接时面临巨大挑战，其挑战主要包括:(1)某些开发商在建造小区时已自行或委托物业运营宽带业务，也就是通常所说的小区宽带，这样，为了自身利益，这些开发商或者被委托的物业自然不允许其他运营商接入小区；(2)对于现有老小区的光纤改造，物业常常以各种名义百般阻挠；(3)部分宽带用户非常在意新布线路会破坏室内装修以致影响美观，导致入户困难。
[0004]为了克服有线通信在“最后一公里”遇到的上述问题，无线通信设备如WLAN设备应运而生。其中，早期的WLAN设备由于集物理层、链路层和用户数据加密、用户的认证、QoS、安全策略、用户的管理及其他应用层功能等多种功能于一身，被俗称为“胖”接入点(Access Point，简称为AP)，如无线路由器。其中，“胖”AP具有配置灵活、安装简单、性价比高等优点。然而，由于不同“胖”AP之间相互独立，无法适应用户高度密集且有多个AP连续覆盖的环境复杂应用场景。
[0005]为了克服单个AP处理能力和覆盖能力都不足的缺点，同时适应适合用户高度密集且有多个AP连续覆盖的环境复杂应用场景，逐渐演进出集中控制型AC+AP设备即集中控制器AC和轻量级AP相融合的设备，从而实现“胖” AP设备的功能。其中，轻量级AP只保留物理层功能和链路层功能以及MAC功能，提供可靠的、高性能的射频管理，包括802.11协议的无线连接。而集中控制器AC集所有的上层功能于一身，包括安全、控制和管理等功能，与传统的“胖”AP相比，轻量级AP由于功能被大大减弱而被俗称为“瘦” AP。如图2所示，AC+AP架构WLAN典型组网系统包括:计算机终端102’和手机终端202’、接入点204’ (即“瘦” AP)、局域网交换机206’(Lanswitch，简称为LSW)、接入控制器/宽带远程接入服务器 208，(Access Controller/Broadband Remote Access Server，简称为 AC/BRAS)、验证/ 授权 / 记账设备 210’(Authenticat1n、Authorizat1n、Accounting，简称为 AAA)、归属位置寄存器212’ (Home Locat1n Register，简称为HLR)、协议服务器214’ (即PortalServer)、运营支撑系统216’ (Operat1n support system，简称为OSS)、动态主机配置协议服务器 218，(Dynamic Host Configurat1n Protocol Server，简称为 DHCP Server)、路由器110’(Router)和互联网112’(即Internet)，其中，各设备之间的连接关系如图2所示，在此不再赘述。本组网系统的最大优点是管理简单，因为WLAN设备的网管平台只需管理AC就可以间接地管理到AP，这大大减轻了后台(如，网管平台)压力。同时，由于“胖” AP是部署在公共场所中的，一般用户都有可能接触到AP设备，而AC设备是部署在机房中的，一般用户不可能接触到AC设备，且AC作为统一的认证点，集安全管理和控制于一身，因此安装在AC上的设备证书比安装在“胖” AP上的数字证书更安全。
[0006]为了克服有线通信在“最后一公里”遇到的上述问题，也可以采用如图3所示的小基站+CPE架构WLAN典型组网方式(即BroFi方案)，该组网也可以将“最后一公里”从有线变为无线，降低宽带入户门槛，其中，该小基站+CPE架构WLAN典型组网系统包括:计算机终端102’、客户终端设备302’ (Customer Premise Equipment，简称为CPE)、演进型接入点304’(Evolved Node B，简称为 eNodeB)、宽带运营商网络 306’、互联网 112’(即 Internet)和云管理平台308’，其中，系统中各设备及网络之间的连接关系如图所示，在此不再赘述。
[0007]其中，对于图3所示的系统，实施时，可以在社区外架设eNodeB，eNodeB上行与宽带运营商网络306’相连，为用户提供Internet访问服务，具体地，eNodeB和CPE通过无线通信链路连接，替代传统的有线连接方式，CPE可以部署在用户家里，通过W1-FI信号与手机、笔记本电脑、Pad等用户终端相连。在图3所示的系统中，AC具有四种部署情况:(1)AC部署在CPE上，对于家庭用户，一般将AC部署在CPE，此处CPE集成胖AP功能以满足用户方便部署的要求，此时用户不可以在各CPE间漫游；(2) AC部署在eNodeB上，对于中小企业用户，一般将AC部署在eNodeB上，此时用户可以在eNodeB下属的多个CPE间漫游；(3) AC部署在宽带运营商网络中，对于大企业用户，一般将AC部署在宽带运营商网络中，此时用户可以在宽带运营商网络下属的任意CPE间漫游；(4) AC部署在云管理平台，对于大企业用户，一般将AC部署在云管理平台上，此时用户可以在云管理平台下属的任意CPE间漫游。
[0008]然而，无论是小基站+CPE架构提供W1-FI服务，还是传统架构提供W1-FI服务，为了保证网络安全，基本都要求通过身份验证的用户才有权访问网络。当前主流的身份验证方式有两种=W1-FI连接密码验证方式和portal服务器验证方式。其中，W1-FI连接密码是用户在连接非开放W1-FI热点时需要输入的密码，如果密码输入错误，则用户无法接入W1-FI网络。Portal服务器验证是指用户直接接入开放的W1-FI热点后，在打开浏览器时通过在弹出用户验证界面上输入用户名、密码等信息进行的验证，如果验证成功，则用户可以接入并访问Internet网络。
[0009]对于企业或园区用户，如果采用W1-FI连接密码的验证方式，则存在W1-FI密码不能有效保护的风险，风险主要来自以下几个方面:(1)员工离职或人员调整后，密码更改不及时，导致密码泄露，进而不断向外扩散；(2)恶意APP (如W1-FI万能钥匙APP)主动上传W1-FI密码；(3) W1-FI密码破解工具通过技术手段获取密码。进一步，密码泄露会导致外部用户随意接入网络并占用网络带宽，甚至导致用户恶意接入并窃取企业机密信息。
[0010]对于portal服务器验证方式，当用户端口通过W1-FI连接再次登录时，需要重新输入用户名和密码等验证信息，这种交互式的验证方式验证效率低、使用不方便、用户体验差。
[0011]针对上述的问题，目前尚未提出有效的解决方案。
【实用新型内容】
[0012]本实用新型实施例提供了一种辅助集成设备及网络安全接入系统，以至少解决由于验证密码容易泄露而造成的W