1、1公共互联网 WIFI 接入服务方案设计 2目 录1. 方案背景1.1 背景 31.2 行业形势 42. 设计思路 52.1 合作模式 .62.2 云 WIFI 架构 72.3 统一认证 92.4 增值服务 132.5 云 WIFI 终端 .143. 运营模式 183.1 月租费模式 183.2 免费模式 194. 实施方法 204.1 云 WIFI 客户群 .204.2 云 WIFI 运营方 .214.3 云 WIFI 运营计划 .2231. 方案背景1.1 背景随着移动互联网产业的发展,商用宽带无线网络也得到了咖啡厅、西餐厅、连锁快餐厅、茶庄、书店、健身会所等中小企业主的喜爱。不过由于公共
2、商业场所人流量大、需求五花八门,因此如何保证这些场所宽带无线上网服务的质量、稳定性和安全性,需要公安主管部门、运营商、投资和应用单位一起努力,做好和履行相关的技术标准和服务规范。对公安网警网安部门而言,公共商用场所的无线宽带网络属于需要监管的另一个新领域,可以为收集公共安全数据提供一个良好的大数据来源。对运营商而言,公共商用场所的无线宽带网络是“宽带普及提速工程”的重要组成部分,建设并应用好这些无线宽带网络是“政府引导、企业为主、产业合作、社会支持”思路的充分体现。目前商用宽带无线网络在建设和运营中,已经通过设备方、业主单位和服务商共同努力,从解决好商用宽带无线网络的安全性、稳定性、登陆速度等
3、问题,破解公共无线网络用户体验和服务质量差等困局,到建设健全商用宽带无线网络的服务规范和服务标准,并开始提出了为用户创造商业价值的阶段。商用 Wi-Fi 在今年的竞争已趋于白热化,这是因为移动互联网的热潮,甚至已经引起了 O2O 的创业想象。消费者可以使用免费的 Wi-Fi 来进行娱乐或者消磨时间,仍是商用 Wi-Fi 最为基础的一个功能。 多数咖啡馆或者餐厅,抑或是商务区等地方铺设 Wi-Fi,商家除了满足消费者的上网需求之外,也企图延长消费者的停留时间,也就是用提高用户体验来做营销。“本店有 Wi-Fi ” 成为众多时尚消费人士选择餐饮小憩的吸铁石,而“全场 WIFI 免费”是商务区吸引客
4、流和人气的金字招牌。综上所述,商业 wifi 的提供,不仅需要考虑运营费用和技术问题,如频谱的规划、部署难度,还需要综合考虑接入的公共安全、数据的可靠性等诸多方面。41.2 行业形势公共 WiFi 成为商场,连锁,公共区域的基本配置,也是流动人群和目标客户的网络入口,日渐成为运营商,业主,互联网公司博弈,争夺网络入口主导权和流量导向增值的战场。借着移动互联网、上网入口、O2O 等热门概念的东风,商用 Wifi 迅速爆发成为创业热点,相关企业最多时高达 500 余家,包括阿里巴巴、腾讯、小米等互联网巨头早已在商用 Wifi 领域布局。如火如荼的 WIFI 布局,对社会公共安全带来了新的课题。随着
5、国家安全和反恐形势的日益重要,全社会都有一个共识,互联网访问不应成为不受监管的世外桃源。Wi-Fi 如今不仅是提供给用户进行娱乐的一种选择,也不仅是运营商用来吸引消费者的一种手段。对于某些不法分子,利用用户蹭用免费 Wi-Fi 的占便宜心理来盗用临时上网用户的个人信息和密码。这种威胁屡见不鲜,并且现已影响到互联网 WIFI 的发展。互联网接入的飞速发展,SNS、论坛、游戏、邮箱越来越多的成为信息发布的来源,自媒体的无监管状态已经成为扰乱社会生活的主要起因。因此要维护国家安全、维护社会公共利益的必然要求就一定要维护互联网公共安全。截止至 2012 年公安机关办理各类网络犯罪案件有 11.8 万余
6、起;2011 年至 2012 年,中国有超过 2057 亿人成为网络违法犯罪的受害者,平均每天有近 70 万网民遭受不同程度的网络违法犯罪的侵害。在 Wi-Fi 发展空前迅速的前提下,不难将对犯罪案件发生的担忧延伸到基于商用 Wi-Fi 环境下的商业运营中。互联网已经不可取代,而 Wi-Fi 的发展是基于互联网之上的移动网络,因此对于商用 Wi-Fi 的监督、控制、管理不仅是当务之急,更是稳固发展 Wi-Fi 的一大支柱。Wi-Fi 的发展不仅仅需要运营商与消费者双方参与,更是需要公共安全机构的介入来保障互联网的公共安全性。综上所述,商业 Wi-Fi 的提供,不止需要考虑运营费用和技术问题,如
7、频谱的规划、部署难度,首要考虑的应是公共安全、公共数据的可靠性。公安网警需要在公共 WIFI 兴起的起始就担任起安全监管的职责,做到可控可管,在技术手段和政策掌握上与公共WIFI 同时发展提高。因此一方面,目前的 wifi 趋势,对监管带来挑战,传统网安采取的排查-安装-监管方式亟待调整,应该在公共 WIFI 提供接入服务的同时,提供配套的信息安全监管服务。5另一方面,网警网安的监管需要兼顾互联网发展的趋势,避免对建设商、用户造成困扰,对社会发展和经济活动减少干涉和诱导,所以需要找到技术和法规上规避对商业模式形成的干扰。进入商业 Wifi 领域的企业众多,但是其商业模式大致只有三种自建模式,即
8、商户直接购买硬件和网络维护服务统一广告模式,通常是一家运营方免费为商户搭建Wifi,用户使用必须要看运营方派发的广告增值服务模式,提供数据分析、打通预定、点餐等增值服务。一是自建模式。即商户自行直接购买硬件和网络维护服务。服务于这种模式的公司从网络运维行业起家,他们有向企业客户销售产品的经验,并且能够提供持续的产品维护。尤其是针对大型商城、超市、酒店或者连锁经营商户,这类商户 Wifi 网络复杂要求较高,对接入质量、容量都有较高的要求。这个模式收益大且稳定可靠,符合安全规范,缺点是投资大,推广慢。二是广告模式。通常是运营方免费为商户搭建 Wifi,用户使用这个 Wifi 网络会弹出欢迎页广告、
9、登录页广告、初始页面广告、引导 APP 下载等。迈外迪就是广告模式的典型代表,只要用户自己开通了宽带,可以免费安装迈外迪的 Wifi 设备,而迈外迪可以从广告中获得收益。这个模式起步早,盈利模式简单易接收,但是日益受到投入大、收入渠道狭窄的限制。三是增值服务模式。通常是以低价将 Wifi 硬件销售给商户,用户上网也无需强制看广告,但是商用 Wifi 公司可以提供数据分析、微信对接,打通预定、订座、点餐等增值服务,商户可以根据自身情况自主选择是否购买这些增值服务,众多的创业企业都采用这种模式。其模式推广快、有持续盈利能力,问题是大多不合规,不能满足国家公共网络接入安全的法律要求。了解公共 WIF
10、I 的商业模式,我们可以推出针对性的技术和管理方案,适应公共WIFI 的蓬勃发展形势。2. 设计思路62.1 合作模式在公共商用 WIFI 的生态链中,以上模式各有优势和劣势。我们认为,这 3 个模式都可以在网安监管下,由网络安全、运营商、投资方三方联手推出一个稳定可靠的公共场所互联网接入方案,各用所长。新的方案在网安、运营商、商业价值中找到一个平衡点,从而可以让公共互联网 WIFI 服务健康、稳定的发展。在这个合作模型中,运营商、公安网警、增值服务商共同推出一个公共 WIFI 的接入中心,由运营商提供互联网接入宽带的 WIFI 套餐价格、最后一公里的宽带接入服务、认证服务,公安网警提供认证日
11、志对接平台、合规监管、运营方投资建网运营、个性化定制增值服务。众多的商户(连锁门店、单体网点)都可以选择加入这一平台,除了可以得到个性定制的增值服务以外,一站式享有优化的月租资费和无线网络安全报备服务。这一模式兼顾各方利益共赢,可以极大的减少商业用户建设公共 WIFI 的资金和精力投入,方便公安监管免除了合规后患,由于推广快起点高对商业资本有利可图、方便厂商的技术实现,同时也让运营商可以获得新的宽带用户基础。72.2 云 WIFI 架构原有的单机安全审计网关的部署,是单机完成一个热点 WIFI 场所的用户接入管控,包括短信、门户、审计日志都在本机上存储。核心端的管控主要是网络运维的状态监控数据
12、,审计日志本地存储备查。以上的传统审计网关设计方式,由于单机安全审计设备需要留存大量上网日志,进行安全认证,维持用户链接状态,提供门户服务器等任务,因此一般只有 X86 架构的主机和相当的存储才能胜任,也因此单机成本较高,并由于复杂度大,平均无故障时间受到较大影响,且故障率较高。优点也明显,设备处理能力强,一台审计网关往往可以携带 100 个用户安全上网,驱动的 AP 数量可以在数十个,覆盖较大面积的场所,如酒店、商店等。单机部署架构目前已经渐渐被云架构管控所取代,审计网关将短信、门户甚至审计日志都存储到云端(核心端) ,统一进行更新和管理。随着云 WIFI 架构的流行,单台 AP 往往就需要
13、担负起一个小型 WIFI 热点的接入控制,由于可以将门户、短信、安全审计等放在一个 AP 中实现。这样形成的新的安全审计设备可以认为是云 WIFI 的新产品形式,在接入容量、日志存储、应用识别上与传统审8计网关相比有不足,但造价低廉、方便部署,由于采用了云存储和审计的方式,除了本地受存储空间所限没有日志存储空间外,其他传统安全审计设备的功能也同样可以达到。对于大型网点,如一家店需要 3 个以上的 AP 才能有效覆盖的场所,我们继续采用日志网关+云 AP 的架构进行覆盖;对一个只需要 1-2 个 AP 就可以覆盖的门店和网点,我们提供一体化的云 WIFI 网关进行覆盖。2 者完成的功能一样,在支
14、持的用户数量、覆盖范围上有所差别。以上海电信、上海公安网安牵头,上海电信科技发展公司作为建设方投入建设的公共 WIFI 接入架构,可以建成如图所示,以位于电信 IDC 机房的公共 WIFI 管理中心,以及分发到各网点的瘦 WIFI 网关,通过互联网组成一个协调工作的运营网络,全程处于上海公安网警的监管和保障。按这样的云 WIFI 设计,可以提供的功能包括:1、为公共 WiFI 提供即插即用的统一登录,支持门户可定制,行为可记录,网络可监控的可管理的无线运营管理平台。支持利用已有社交网络账号体系进行身份关联认证和快速登陆。全网统一登录,用户完成一次注册登录,可以在网内各店跳转,无需二次登录验证。
15、92、提供基于公共 WiFi 接入及使用之上的增值业务平台。包括提供平台集成 API,广告信息定向推送及互动、用户行为数据分析等。3、定制化 Smart AP 的功能扩展:可以集成 3G/4G 网络、iBeacon 协议,USB 存储设备、自携带电池及充电等,实现包括定位,人流分析,区域导航,互动室展板、充电宝等系列产品。2.3 统一认证在所有接入本公共 WIFI 平台的 WIFI 用户,可以接入范围内统一登陆。用户只需完成一次注册登录,就可以享有 WIFI 接入服务,在各网点之间的 WIFI 环境进行跳转时,除了会弹出本商家的欢迎页面外,无需二次登录验证。这其中公众体验最直接的就是接入方便程
16、度,如何在公众体验和商业价值推广之间找到平衡,是我们设计门户的首选考虑。我们推荐几类上网门户方式,供商用户选择短信+门户10这是目前最常见的无线接入方式,也是网安官方唯一认可的方式,在许多网安强势的城市,这是唯一的选择。所有用户的上网必需在可以被追溯到实名身份的条件下上网- 意味着无线服务提供方必需能取得用户的手机号、或者身份证号。众多无需提供实名身份即可注册成功的 SNS 帐号,在网安看来视为不合规,不可用于上网身份的用户名。典型如连锁门店门户,在用户连接上开放 WIFI 后,还需要进行实名身份的认证,才能获得上网权限,门户举例如图:用户只有提供了手机号,并正确输入了获得的短信验证码后,才能
17、进入到具有内容的下一个欢迎页面。这个页面可以是 WEB 门户、手机版 APP 下载登录、或者媒体广告。这些重定向的跳转,也可以让商圈上网顾客直接获得智慧导购的入口,如一个商圈智慧导购的应用-地图导航模式的导购。APP 一键通上网与要求用户使用 WEB 浏览器进行门户上网不同,这一方法要求用户安装 NATIVE APP。 从线下发起的 APP 推介活动,可以为商圈 wifi 带来众多的互联网用户注册,无论是在家中,还是在实体商圈内,只要顾客打开 APP,就可以得到商圈的推介内容。线下 NATIVE APP 推介的方式众多,目的就是获得尽可能多的 APP 安装量,少占空间海量动态更新的内容才能维持
18、用户。11有了 APP 的装机量,我们建议推出一键通的服务。通过事先一次性提供的实名身份认证,可以得到用户真实身份与终端的绑定关系。再通过一键通背后的防伪和密码交换技术,可以从上网终端上,唯一的确定用户身份。用户通过事先打开的 APP 通道,即使在未获得上网权限的条件下,也能获得 APP访问权限,从中打开“上网一键通” 可以将机主身份加密传递到认证中心,经过认证后,直接开放上网权限。因为没有多余的输入验证码环节,用户体验非常方便。微信 SNS APP 上网微信是当今国内装机量最大的SNS APP, 从微信 APP 上上网是 2 方式中获得 APP 用户的捷径。从微信上网,一般采取以下方式。方式
19、一:通过关注企业微信公众号获取上网链接1、用户打开手机 Wifi,关联 SSID .2、打开微信,关注企业微信公众号3、公众号回复一个消息给客户4、客户点击消息中的超链接,会自动打开认证页通过认证。5、通过认证后打开广告页。12商圈(企业)用户需要先登录微信公众帐号,进行公众帐号的设置。设置自动回复的内容这样当顾客按要求在微信中加上商圈官微后,即可获得上网门户的门户地址,用户认证和登录门户内容推送可以相应进行。方式二:通过扫描二维码图形上网1、用户打开手机 Wifi,关联 SSID .2、打开微信,打扫二维码3、自动打开认证页并自动通过认证4、通过认证后打开广告页13门户网页上只有一个二维码,
20、上网用户需要使用微信“扫一扫”获得门户地址,并直接在认证页上打开完成认证。Wi-Fi 作为入口,接下来可以供商圈推业务,有的是推下载,有的推团购。用户: 用户通过下载广告可以得到奖励积分/所需道具。媒体:媒体通过嵌入 SDK 可以展示广告列表,通过引导用户完成任务获取收益。广告主: 广告主可快速在 APPs 活跃用户中推广应用,从而增加广告主官方微信粉丝量。 2.4 增值服务除了互联网 WIFI 接入服务以外,平台可以进行的增值服务提供包括:室内定位: 网点内的 WIFI 环境支撑室内定位的技术标准,支持主动式、被动式的室内定位 AP,并与可能的政府投资 WIFI 系统衔接,促使异构操作系统的
21、智能手机都能实现室内定位。WIFI 布局:覆盖用户可能包含大体量室内空间、地下通道、空中连廊、公共绿地等多种形态公共空间,我们提供优化的 WIFI 布局服务,帮助用户完成 WIFI 全覆盖,保障高并发数情况下,达到“高速、流畅”的用户体验。通过建立公共 WIFI 覆盖,对公众、商户、政府和管理部门都具有十分重要的意义。对公众, 可以清楚的知道自己的位置;商户的服务和商品引导;免费上网。对商户的意义:可以方便访问用户查询;寻找自己的 VIP 客户14引导客户到企业地块内;电子会员卡、精准营销、吸引回头客;挖掘消费者消费习惯;统计地块客流量;全覆盖的免费网络环境,加载企业信息服务系统对政府管理部门
22、的好处:实时客流量数据分析客流量历史统计分析热点客流区域分析平均客流分析,日均停留时间分析地块客流量、停留时长分析特殊人群实施流量监控系统智慧虹桥应用系统承载环境制订安全应急疏散、客流引导的决策支撑。从以上意义看来,不但在目前没有覆盖的网点需要新增无线覆盖,在原有的网点无线覆盖中,我们也将引导并入公共 WIFI 大网,获得无线感知、LBS 定位等功能,按云的模式统一进行用户登录和 LBS 无线感知。2.5 云 WIFI 终端我们采用的一体式云 WIFI 终端,集 AP 和安全审计为一体,统一完成用户登录、门户推送、日志上传等功能。这是一款集商用路由器和云门户推送系统为一体的商用 WiFi产品,
23、面向社会零售行业及垂直行业企业客户提供全方位的 WiFi 无线上网、广告营销、室内定位、客户营销等商业应用及无线营销解决方案,适用于包括餐饮娱乐、酒店景区、医院银行、交通枢纽等具有移动人群集散流转的经营或公共场所。云 WIFI 终端一体式提供以下功能:功能名称 功能描述会员卡号登录 结合商场会员管理系统,使用会员卡号直接登录社交账号登录 使用 QQ,微信,微博等账号登录网络手机号码登录 通过手机号码和短信方式使用网络首次登陆后无感知 第二次接入商场无线网络后直接使用差异化接入策略 为会员和普通顾客提供不同的接入策略15网页广告发布 通过网页浏览商场最新广告短信活动通知 通过短信接收最新的活动信
24、息社交账号推送 关注社交账号后,通过社交网络接收商场的活动信息自助广告内容管理 定制认证页面广告内容和页面风格短信批量发送 通过短信平台向指定顾客群发送信息企业社交账号关联 关联企业社交账号,用于发布消息社交账号消息推送 通过企业账号向所有关注用户发消息网络黑名单 指定认证通过后不能访问的网址网络白名单 设置未认证前也可以访问的网址指定登录成功页面 指定登录成功后强制跳转的页面终端类型记录 记录顾客使用的移动终端型号网络敏感词过滤 设置企业敏感词列表,禁止包含的网页URL 记录 记录顾客访问网络的 URL 历史记录流量和时长限制 设置用户上网后可以使用的流量和时长QoS 设置 设置不同用户不同
25、的上网策略应用限制 显示 P2P,视频等网络应用的使用基于应用分析 分析网络流量中的应用分布AP 关联 和分公司,门店等关联,名称管理AP 零接触配置 AP 插电后根据云端配置自动完成初始化AP 自动升级 在发布新的 ROM 后可后台自动完成升级和配置加载AP 状态监控 远程监控 AP 的实时运行状态,包括 CPU,内存,在线人数,实时流量等SSID 配置 远程配置 AP 的 SSID,可对 AP 做全局,分组,单个等多种范围的配置AP 故障告警 AP 失联,内部故障等通过短信或邮件发送告警信息AP 定期统计报告 为管理员提供定期的 AP 运行状态报告AP 负载告警 AP 负载临界或超界告警,
26、包括 CPU,内存,在线人数,流量等商场实时流量监控 实时流量和应用监控上网行为分析 商场某一时段的流量统计分析报表,了解顾客的网络访问习惯应用流量分析 基于网络应用的流量分析结果,了解网络中的流量分布,作为控制的参考定期流量报表 定期发送流量统计分析报表实时在线顾客查看 实时查看上网的在线顾客数量和详细信息顾客密度统计 统计商场中的实时客流分布密度16员工账号创建 创建用于无线网络登录的员工账号会员系统参数配置 提供和会员管理系统对接的配置项广告效果统计 统计发布广告的点击数人流量分析报告 商场的客流量趋势分析和统计AP 入库 AP 信息的入库记录AP 出库 AP 的客户关联,关联后商场可管
27、理该 AP固件发布 发布最新的 ROM 和升级信息AP 升级情况统计 统计 AP 的 ROM 版本情况AP 状态统计 所有 AP 的状态上报和监控AP 故障告警 AP 负载过高或失联告警商场账号创建 管理商场账号全局流量统计 平台全局流量的分析和统计平台运行报告 定期的平台运行报告,包括账号变动,AP 状态,在线人数等统计上网账号记录 记录上网的登录账号,无感知情况下页可以关联到顾客信息上网历史查询 记录用户的 IP,起始,结束时间网络访问 URL 记录 记录顾客访问互联网的详细 URL 记录支持网关、桥接等多种工作模式,支持 WDS 无线分布式系统功能支持 IEEE802.11b/g/n,I
28、EEE802.3/802.3u,IEEE802.1X,IEEE802.3X 等协议广泛支持 CSMA/CA、CSMA/CD、DHCP、NAT、PPPoE、DDNS 等协议提供 1 个 WAN 口,4 个 LAN 口,支持端口自适应支持最高 300MWLAN 传输速率支持 64/128 位 WEP 加密,支持无线加密标准 AES内建 DHCP 服务器,同时可进行动态地址分配,支持静态路由、动态路由广域网 Ping 过滤,支持网页 URL 过滤内建防火墙,支持 NAT,支持 IP 过滤、域名过滤和 MAC 地址过滤,支持 UPnP 通用即插即用、DDNS 动态域名解析支持 QoS,确保关键服务的质
29、量支持系统日志支持远程和 WEB 管理 802.3u,IEEE802.11b/g/n 支持CSMA/CA、CSMA/CD、AutoMDI/MDI-X广域网接口17固定 IP、动态 IP、PPPoE路由协议支持静态路由、动态路由(RIPv1 便捷式模板展现; 品牌页面更可自动适配不同的终端(电脑、智能手机、平板电脑 MID);3、智能账户管理 可以生成临时和永久两种账号:4、客流统计功能 统计商家每天、每月、每年的用户上网情况,精细到用户上网的时间、地点(AP)、上网终端(手机、平板电脑、笔记本电脑)5、WiFi 硬件涉及的设备免费提供安装布署前的方案策划、技术指导施工阶段的免费施工安装服务无线认证系统的接入调试长期稳定的网络监视服务4.3 云 WIFI 运营计划2014 年 7 月运营商和网安进行 3 个月的联合排查,对不合规的 WIFI 热点进行清理。2014 年 8 月建立三方合作的云 WIFI 平台。2014 年 9 月进行套餐宣传,并确定商务条件。2014 年底确立 1000 家云 WIFI 热点试点。
