CN108199869A - 用于教育领域的无线城域网及其安全管理系统 - Google Patents

Abstract

本发明涉及无线城域网技术领域，尤其涉及一种用于教育领域的无线城域网及其安全管理系统。所述无线城域网由H3C 7506E无线核心交换机配置两块无线控制器AC板卡组成；所述无线控制器AC增加256个无线AP授权。所述安全管理系统包括身份认证模块、行为管理模块、堡垒机模块、日志记录模块和在线监控模块；本发明通过设置行为管理用于互联网用户控制和管理对互联网的使用。其包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。在网络中建议透明部署；通过设置堡垒机模块对内部管理人员以及第三方维护人员进行4A内控管理。

Description

用于教育领域的无线城域网及其安全管理系统

技术领域

本发明涉及无线城域网技术领域，尤其涉及一种用于教育领域的无线城域网及其安全管理系统。

背景技术

无线城域网(WMAN)是指在地域上覆盖城市及其郊区范围的分布节点之间传输信息的本地分配无线网络。能实现语音、数据、图像、多媒体、IP等多业务的接入服务。其覆盖范围的典型值为3～5km，点到点链路的覆盖可以高达几十千米，可以提供支持QoS的能力和具有一定范围移动性的共享接入能力。MMDS、LMDS和WiMAX等技术属于城域网范畴。目前业界企业级

WLAN的技术发展趋势形成了两套主流的组网趋势，即FAT AP和FIT AP(胖AP和瘦AP的方案)。

FAT AP是传统的WLAN组网方案，AP本身承担了认证终结、漫游切换、动态密钥产生等复杂功能，相对来说AP的功能较重因此称为FAT AP，华为3Com提供WA1208E共室内室外共四款11a/b/g全系列AP作为FAT AP方案组网。

FIT AP是新兴的一种WLAN组网模式，其相对FAT AP方案增加了Wireless Switch(无

线交换机)作为中央集中控制管理设备，原先在FAT AP自身上承载的认证终结、漫游切换、动态密钥等复杂业务功能转移到Wireless Switch上来进行，AP与WirelessSwitch之间通过隧道方式进行通信，之间可以跨越L2、L3网络甚至广域网进行连接，因此减少了单个AP的负担，提高了整网的工作效率。同时由于FIT AP方案这种集中式管理的特点，可以很方便的通过升级Wireless Switch的软件版本实现更丰富业务功能的扩展。

目前华为3Com公司提供Wireless Switch(WX5002/WX4400/WX1200)+FIT AP(WA2110-AG/AP2750/AP3750)+专业无线网管(Quidview/WXM)+CAMS的FIT AP解决方案，所有AP本身零配置安装，并且除了传输数据之外，还可以对整网无线射频环境进行监控，侦测出非法入侵AP和非法客户端。

教育信息化是现在发展的重要趋势，无线城域网也是教育业比如学校、校区内的基础设施，因此建成了基本覆盖一个区域内所有教育单位主要教学部位的无线网络。同时，无线网络还需要具备安全接入，实名认证以及和上网行为管理设备联动的技术要求的无线城域网及其安全管理系统十分必要。

发明内容

本申请提供了一种用于教育领域的无线城域网及其安全管理系统，以解决现有技术中教育系统网路环境不够安全的问题。

为此，本发明提供了下述技术方案：一种用于教育领域的无线城域网，所述无线城域网包括无线控制器AC和多台无线AP组成；所述无线AP皆由该无线控制器AC进行统一的配置和管理；其特征在于：所述无线城域网由H3C 7506E无线核心交换机配置两块无线控制器AC板卡组成；所述无线控制器AC增加256个无线AP授权。

进一步地，所述无线AP通过PoE交换机进行远程的PoE供电或者选择本地供电。

一种用于教育领域的安全管理系统，所述安全管理系统包括身份认证模块、行为管理模块、堡垒机模块、日志记录模块和在线监控模块；所述身份认证模块输出端分别与行为管理模块输入端、日志记录模块和堡垒机模块电连接；

所述行为管理模块输出端分别与堡垒机模块和在线监控模块电连接；

所述日志记录模块与在线监控模块电连接。

进一步地，所述在线监控模块内设置有在线用户监控子系统、上网状态监控子系统、防火墙、IDS、信息安全审计系统、强制离线系统和信息发布系统；所述在线用户监控子系统分别与上网状态监控子系统、防火墙、信息安全审计系统和防火墙电连接；所述防火墙与IDS电连接；所述信息安全审计系统与所述强制离线系统电连接；所述强制离线系统与信息发布系统电连接。

进一步地，所述身份认证模块工作流程为：

用户打开网址，认证设备自动重定向到连接Portal Serve上的主页面；

用户在主页面上输入手机号码，并点击“获取上网账号”按钮；

Portal Server自动向数据库写入账号和随机密码，后台系统自动开始计算账号有效期；

确认写入成功后，Portal Server调用短信接口将上网账号和密码发给短信接口模块(短信网关)；

用户手机收到短信网关发送的上网账号和密码；

用户通过手提电脑或手机等WLAN终端上网，认证设备自动重定向到PortalServer的登录页；

用户输入账号密码，点击登陆；

Portal Server将用户输入的账号密码与数据库中的账号进行校验

Portal Server将校验结果发送指定给认证设备

校验成功后，用户则直接访问互联网；

有效期结束后，账号自动下线。

进一步地，所述日志记录模块记录的内容包括：账户名、登陆访问时间、当前在线人数、总使用时间、登陆的目标网站地址、目标IP、源IP、MAC地址、GET/POST行为、用户操作系统标志、交换机标记、楼层标记。

进一步地，所述上网状态监控子系统监控的上网状态包括：当日和当月上网时长、当日和当月上下行流量、接收和发送的包数、TCP连接数、源IP、源MAC。

本申请提供的技术方案包括以下有益技术效果：

1、用户只需要建立业务参数模板和设备参数模板，并设定指定的AP引用这些模板，当FIT AP启动时无线控制器会根据预先的配置引用信息给FIT AP下发配置，用户的配置工作量大大减少。

2、用户对FIT AP的管理是通过无线控制器来代理完成，网管不再关心FIT AP的IP地址，FIT AP和无线控制器之间的关联是自动完成，不再需用户对AP进行的配置干预。

3、无线用户的数据报文被FIT AP封装在AP和AC间的数据隧道中，接入AP的边缘网络不需要再为无线用户的接入而更改VLAN和ACL等配置。

4、无线控制器保存了所管理的FIT AP的运行状况和在线用户统计信息，维护人员只需登录到指定的无线控制器就可以完成信息察看。用户对FIT AP的管理是通过无线控制器来代理完成，因此在线更改服务策略设定和安全策略设定也不再需要逐一登录到AP设备，而只需要登录到指定的无线控制器就可以完成设置，无线控制器会自动把新的配置下发到指定的FIT AP。

5、用户不再需要手动逐一对AP设备进行软件升级，AP在每次重新启动时会自动比较当前运行的版本和无线控制器上保存的版本，如果无线控制器上保存的版本更新，FITAP会自动更新本地的软件。

6、AP本地不再保存配置信息，即使设备丢失也不存在因配置丢失而出现的安全隐患。

7、通过设置安全管理系统进行安全加固，保证教育环境上网环境。

8、通过设置行为管理用于互联网用户控制和管理对互联网的使用。其包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。在网络中建议透明部署。

9、通过设置堡垒机模块对内部管理人员以及第三方维护人员进行4A内控管理。

附图说明

为了更清楚地说明本申请的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的一种用于教育领域的安全管理系统的模块结构示意图。

图2为本申请实施例提供的一种用于教育领域的安全管理系统中的在线监控模块结构示意图。

图3为本申请实施例提供的一种用于教育领域的安全管理系统的数据流向图。

图4为本申请实施例提供的一种用于教育领域的安全管理系统的身份认证上网流程示意图。

图5为本申请实施例提供的一种用于教育领域的安全管理系统的上网状态监控子系统监控数据示意图一。

图6为本申请实施例提供的一种用于教育领域的安全管理系统的上网状态监控子系统监控数据示意图二。

图7为本申请实施例提供的一种用于教育领域的安全管理系统的上网状态监控子系统监控数据示意图三。

图8为本申请实施例提供的一种用于教育领域的安全管理系统的上网状态监控子系统监控数据示意图四。

图9为本申请实施例提供的一种用于教育领域的安全管理系统的一种用于教育领域的无线城域网的学校室内放装示意图。

图10为本申请实施例提供的一种用于教育领域的安全管理系统的一种用于教育领域的无线城域网的学校楼道放装示意图。

具体实施方式

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

实施例一

如图1所示一种用于教育领域的安全管理系统，其特征在于：所述安全管理系统包括身份认证模块、行为管理模块、堡垒机模块、日志记录模块和在线监控模块；所述身份认证模块输出端分别与行为管理模块输入端、日志记录模块和堡垒机模块电连接；

所述行为管理模块输出端分别与堡垒机模块和在线监控模块电连接；

所述日志记录模块与在线监控模块电连接。

作为本实施例技术方案的一大改进，所述堡垒机系统为绿盟OSMS(NH3)V5.6：主要用于对内部管理人员以及第三方维护人员进行4A内控管理。

作为本实施例技术方案的一大改进，行为管理模块为深信服上网行为管理模块AC-10000；用于互联网用户控制和管理对互联网的使用。其包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。在网络中建议透明部署。

认证设备和深信服AC-10000行为审计设备进行对接，认证设备能够记录客户上网账号、MAC、IP、URL，并将账号信息推送给行为审计设备，行为审计基于认证通过的账号进行行为审计，并在行为审计的后台中能够查询到账号、URL、上网内容等信息，方便用户后期反查，只需要输入账号就能查询到相关用户的上网信息。

具体地说，如图3所示，为本安全管理系统的数据流向示意图。

一、无线控制器：无线控制器和AP是无线网完成数据转发的基础部件。在控制器加AP的网络架构下，所有关于无线射频管理、网络安全管理等的智能处理都在控制器上集中处理，而AP只完成空口侧数据的收发。在实际工作中，每台控制器会管理一定数量的AP，并与每台AP建立安全加密隧道。用户数据经无线介质到达AP后，AP将数据封装到隧道中传送到控制器。控制器将数据解出，并根据管理员设定的安全、QoS等管理策略，进行处理。

二、身份认证：提供针对学校办公人员、学生和访客的无线接入认证，不同的用户群提供不同的认证方式和上网权限，并形成日志传送至行为管理审计设备。

三、行为管理：将网络中所有用户的上网行为进行监管，同时与任性系统进行联动,将认证的账号与审计系统管理的IP对应，在审计系统上显示对于用户名。

针对教育局无线网络，提供一个或多个SSID(内部、访客)及原有有线网络，实现有线、无线统一身份认证。建设统一身份认证平台，便于后期与数字化校园等系统实现相关对接。

针对访客用户实现短信网关认证，便于访客接入无线网络(访客)，能够快速、便捷通过手机获取认证账号及密码，实现实名认证。

具备个性化Portal认证页面，提供中英文Portal，并能够区分智能终端和普通PC等不同的终端提供覆盖个性化要求的页面；提供永嘉教育局认证门户整体形象。

具备人机交互良好的用户操作界面，便于管理员按照不同需求进行相关配置，支持管理员通过web浏览器、智能终端操作系统对统一身份认证平台的管理，查询，统计。

考虑教育局无线网络对个性化Portal认证页面的应用需求，无线认证设备提供给了基于运营商Portal 2.0协议的的AC Portal软件：

A：无线控制器端采用标准Portal2.0协议，将web认证页面指向认证设备ACPortal服务器。AC Portal根据无线控制器推送信息(IP、vlan、SSID、终端类型)下发不同的认证页面

B：无线控制器采用radius协议与认证设备网关对接，实现统一身份认证及短信网关认证

作为本实施例技术方案的一大改进，如图4所示，所述身份认证模块工作流程为：

用户打开网址，认证设备自动重定向到连接Portal Serve上的主页面；

用户在主页面上输入手机号码，并点击“获取上网账号”按钮；

Portal Server自动向数据库写入账号和随机密码，后台系统自动开始计算账号有效期；

确认写入成功后，Portal Server调用短信接口将上网账号和密码发给短信接口模块(短信网关)；

用户手机收到短信网关发送的上网账号和密码；

用户通过手提电脑或手机等WLAN终端上网，认证设备自动重定向到PortalServer的登录页；

用户输入账号密码，点击登陆；

Portal Server将用户输入的账号密码与数据库中的账号进行校验

Portal Server将校验结果发送指定给认证设备

校验成功后，用户则直接访问互联网；

有效期结束后，账号自动下线。

具体地说，认证系统部署好了以后所有用户采用用户名密码来认证上网；用户名是注册在系统中，对应用户实名。这样所有用户上网的记录都对应到用户个人；用户注册不仅包括用户实名还有用户的电话，地址和邮件等实时信息。

作为本实施例技术方案的一大改进，所述日志记录模块在对于用户访问记录的记录方面是非常完善的，可为访问记录专门设计一个数据库日志文件。并且根据当其访问记录超过容量时，自动分配一个新的访问记录文件，可以通过写文件或者写数据库的形式保存访问记录，保证了访问记录的完整性和灵活性。

认证网关的存储过程是：用户登录认证成功后，访问网站，通过页面或者客户端注销后，产生登录记录和访问记录，认证网关把登录记录和访问记录存放到指定的数据库服务器中

访问日志是通过写文件的形式存储到数据库服务器硬盘里面的，存储时间的长短，取决于硬盘空间的大小。只要硬盘空间足够大，就可以存储相当的日志文件，并且保证数据不会丢失。

在访问记录中您可以随时查询到：账户名、登陆访问时间、当前在线人数、总使用时间、登陆的目标网站地址、目标IP、源IP、MAC地址、GET/POST行为等等。另外可根据需要增加所需字段，如用户操作系统标志、交换机标记、楼层标记等字段等。

目前,公安和国家安全机关对访问记录的查询的需求是很大的，包括黑客攻击、反动言论的查询等，但访问记录的采集对嵌入网络出口的接入设备而言，是一个负载很重的工作。认证网关以其高性能高稳定性，在不影响正常接入认证功能的同时，能够采集用户访问的完整URL记录，大大满足校园管理的需求。

实施例二

如图2所示，所述在线监控模块内设置有在线用户监控子系统、上网状态监控子系统、防火墙、IDS、信息安全审计系统、强制离线系统和信息发布系统；所述在线用户监控子系统分别与上网状态监控子系统、防火墙、信息安全审计系统和防火墙电连接；所述防火墙与IDS电连接；所述信息安全审计系统与所述强制离线系统电连接；所述强制离线系统与信息发布系统电连接。

具体地说，如图5-8所示，系统提供完整的在线用户监控子系统，能够实时监控用户的上网状态，包括当日和当月上网时长、当日和当月上下行流量、接收和发送的包数、TCP连接数、源IP、源MAC等详细信息，认证系统用户在线监控管理系统可以与IDS、防火墙、信息安全审计系统等实现对接,将以上设备采集的检测信息与系统的用户账号进行实时映射，向网管提供完整的用户上网实时行为信息，对于非法用户，可在用户在线监控管理系统对用户进行强制离线和消息发布等功能，使学校网管能够迅速找到定位问题源头并能实时对用户进行控制，使网络管理更加具有时效性、操作性和精确性。

实施例三

一种用于教育领域的无线城域网，所述无线城域网包括无线控制器AC和多台无线AP组成；所述无线AP皆由该无线控制器AC进行统一的配置和管理；其特征在于：所述无线城域网由H3C 7506E无线核心交换机配置两块无线控制器AC板卡组成；所述无线控制器AC增加256个无线AP授权。

作为本实施例技术方案的一大改进，所述无线AP通过PoE交换机进行远程的PoE供电或者选择本地供电。

具体地说，该架构具备如下优点：

A.FIT AP的配置保存在无线控制器中，FIT AP启动时会自动从无线控制器下载合适的设备配置信息。

B.FIT AP需要能够自动获取IP地址，同时FIT AP需要能够自动发现可接入的无线控制器，并对无线控制器和FIT AP之间的网络拓扑不敏感。

C.无线控制器支持FIT AP的配置代理和查询代理，能够将用户对FIT AP的配置顺利传达到指定的FIT AP设备，同时可以实时察看FIT AP的状态和统计信息。

D.无线控制器保存FIT AP的最新软件，并负责FIT AP软件的自动更新。

通过这一全新的网络管理接口可以很好的解决目前中大型WLAN网络组网中存在的管理问题：

1、用户只需要建立业务参数模板和设备参数模板，并设定指定的AP引用这些模板，当FIT AP启动时无线控制器会根据预先的配置引用信息给FIT AP下发配置，用户的配置工作量大大减少。

2、用户对FIT AP的管理是通过无线控制器来代理完成，网管不再关心FIT AP的IP地址，FIT AP和无线控制器之间的关联是自动完成，不再需用户对AP进行的配置干预。

3、无线用户的数据报文被FIT AP封装在AP和AC间的数据隧道中，接入AP的边缘网络不需要再为无线用户的接入而更改VLAN和ACL等配置。

4、无线控制器保存了所管理的FIT AP的运行状况和在线用户统计信息，维护人员只需登录到指定的无线控制器就可以完成信息察看。用户对FIT AP的管理是通过无线控制器来代理完成，因此在线更改服务策略设定和安全策略设定也不再需要逐一登录到AP设备，而只需要登录到指定的无线控制器就可以完成设置，无线控制器会自动把新的配置下发到指定的FIT AP。

5、用户不再需要手动逐一对AP设备进行软件升级，AP在每次重新启动时会自动比较当前运行的版本和无线控制器上保存的版本，如果无线控制器上保存的版本更新，FITAP会自动更新本地的软件。

6、AP本地不再保存配置信息，即使设备丢失也不存在因配置丢失而出现的安全隐患。

实施例四

为了确保区域内所有教育单位无线网络系统解决方案更加具有可行性。在科学实施之前，对其主要区域的无线覆盖情况进行勘测，以确定各需要覆盖的区域中所需AP数量和安装方式，以保证无线网络系统在各个县市区域及下属学校的顺利应用。

根据学校对无线区域覆盖的要求以及现场勘测，精确的设计了楼层的点位部署位置和数量。

如图9所示，为某学校的某一楼层室内放装示意图。

具体地说，应用场景：教学楼区域、会议室，电子阅览室；

角色：老师、学生；

终端：笔记本电脑，电子书包(PAD)，部分手机终端，部分教学设备；

AP部署方式：在每个教室和楼道内壁挂或者吸顶安装；

AP要求：支持802.11ac，支持2.4G/5G双频模式，支持频谱分析，支持频谱导航，支持漫游导航。

如图10所示，为某学校的某一楼层楼道放装示意图。

具体地说，应用场景：教学楼区域、会议室，电子阅览室；

角色：老师、行政人员；

终端：笔记本电脑，电子书包(PAD)，部分手机终端，部分教学设备；

AP部署方式：在每个教室和楼道内壁挂或者吸顶安装；

AP要求：支持802.11ac，支持2.4G/5G双频模式，支持频谱分析，支持频谱导航，支持漫游导航。

需要说明的是，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅是本申请的具体实施方式，使本领域技术人员能够理解或实现本申请。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

应当理解的是，本申请并不局限于上面已经描述并在附图中示出的内容，并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。

Claims (7)

1.用于教育领域的无线城域网，所述无线城域网包括无线控制器AC和多台无线AP组成；所述无线AP皆由该无线控制器AC进行统一的配置和管理；其特征在于：所述无线城域网由H3C 7506E无线核心交换机配置两块无线控制器AC板卡组成；所述无线控制器AC增加256个无线AP授权。

2.根据权利要求1所述的用于教育领域的无线城域网，其特征在于：所述无线AP通过PoE交换机进行远程的PoE供电或者选择本地供电。

3.一种用于教育领域的安全管理系统，其特征在于：所述安全管理系统包括身份认证模块、行为管理模块、堡垒机模块、日志记录模块和在线监控模块；所述身份认证模块输出端分别与行为管理模块输入端、日志记录模块和堡垒机模块电连接；

所述行为管理模块输出端分别与堡垒机模块和在线监控模块电连接；

所述日志记录模块与在线监控模块电连接。

4.根据权利要求3所述的用于教育领域的安全管理系统，其特征在于：所述在线监控模块内设置有在线用户监控子系统、上网状态监控子系统、防火墙、IDS、信息安全审计系统、强制离线系统和信息发布系统；所述在线用户监控子系统分别与上网状态监控子系统、防火墙、信息安全审计系统和防火墙电连接；所述防火墙与IDS电连接；所述信息安全审计系统与所述强制离线系统电连接；所述强制离线系统与信息发布系统电连接。

5.根据权利要求3所述的用于教育领域的安全管理系统，其特征在于：所述身份认证模块工作流程为：

用户打开网址，认证设备自动重定向到连接Portal Serve上的主页面；

用户在主页面上输入手机号码，并点击“获取上网账号”按钮；

Portal Server自动向数据库写入账号和随机密码，后台系统自动开始计算账号有效期；

确认写入成功后，Portal Server调用短信接口将上网账号和密码发给短信接口模块(短信网关)；

用户手机收到短信网关发送的上网账号和密码；

用户通过手提电脑或手机等WLAN终端上网，认证设备自动重定向到Portal Server的登录页；

用户输入账号密码，点击登陆；

Portal Server将用户输入的账号密码与数据库中的账号进行校验

Portal Server将校验结果发送指定给认证设备

校验成功后，用户则直接访问互联网；

有效期结束后，账号自动下线。

6.根据权利要求3所述的用于教育领域的安全管理系统，其特征在于：所述日志记录模块记录的内容包括：账户名、登陆访问时间、当前在线人数、总使用时间、登陆的目标网站地址、目标IP、源IP、MAC地址、GET/POST行为、用户操作系统标志、交换机标记、楼层标记。

7.根据权利要求4所述的一种用于教育领域的安全管理系统，其特征在于：所述上网状态监控子系统监控的上网状态包括：当日和当月上网时长、当日和当月上下行流量、接收和发送的包数、TCP连接数、源IP、源MAC。