鹿宁宁 发表于:14年08月01日 10:33 [转载] 网界网
性能是瓶颈
北京傲天动联解决方案品宣经理荣钰认为,对于O2O模式下的商超WiFi部署而言,无线网的性能仍旧是很大瓶颈。究其原因,有设备自身的问题,同时还有规划及实施上的问题。无线网络部署相当复杂,包括IP地址分配这种看似简单的问题,也往往会设置得十分糟糕。此外,认证的便捷性也很关键。如果无线网络向所有人开放,难免会产生安全政策风险。采用Portal认证无疑是最简单的,但缺陷在于,ios系统以外的许多系统都不易用。
另外,不同厂家在基于Portal的无感知认证上实现差别比较大,很多系统存在需要重复认证的弊端。采用APP的方式,最大的难题是APP如何推送及下载,虽然安装之后可以实现无感知认证上网,但很多用户还是不会选择下载。如今,新兴的是用微信、二维码的方式进行认证。WPA2的认证使用得较少,而且无法变更密码。另外一些采用路由器的组网方式,出于无线知识的欠缺,一般用户多会设成多个SSID而进行重复认证,且无法支持漫游,以至体验很差。
荣钰谈到,傲天动联最大的优势在于向大型商场提供了全套的无线智慧商圈解决方案。第一,傲天动联有定位+覆盖双模AP,具备综合算法的室内定位引擎, iOP平台的认证系统支持多种认证方式;第二,其OpenAPI是一个基于WebService的开放接口,能够把非关联、关联用户的位置信息和行动轨迹、用户的手机号码、认证用的ID、手机的MAC地址(iOS现在是不允许APP取MAC地址的)等收集起来提供给商场的BI软件使用。荣钰谈到,傲天动联现在首先针对的还是特大型商场,同时在对一些连锁商业推具备入场感知的集中管理分布实施的云管控解决方案。
安全稳妥的认证方式
众所周知,无线的挑战来自于丧失了安全边界。过去有线网络因为那根线,有着非常明晰的安全边界;反之,无线没有了那根线就没有了安全边界,有种有力无处使的感觉。因为无线网络少了线缆带来的天然边界物理边界,所以必须要进行认证。
然而,认证方式的选择要和业务方式来匹配。最安全的认证方式是综合认证方式,比如用最高安全性的802.11i或者国内最安全的WAPI再加上层次化认证来实现。但是这对于智慧商圈的顾客来说是难以接受的,因为需要经历证书申请、分发、安装等全过程。智慧商圈里针对广大用户的认证,则要考虑到易用性和基本安全性的结合。事实上,在智慧商圈里大家更多是将用户认证的过程视为收集用户信息的方式。
在采访调查过程中,网康科技、傲天动联及信锐技术一致认为,传统的portal认证还是比较好的途径,特别是结合短信认证网关,用短信发送动态密码始终是最合适的方式之一。这种方式基本上实现了法律法规的遵从,符合了公安部82号令。同时,手机号也对未来进行精准营销有重要的帮助,比如,商场可以用群发短信平台进行短信群发。另外,portal页面可以提供广告播放并推荐用户下载商超的APP,很多商业用户曾经对此兴趣浓厚。
然而,很多商家发现推荐用户安装APP其实难度很大,而一些轻APP的应用,比如基于HTML5或者微信平台的认证方式反而会更好一些。由此,诞生了微信平台的认证方式,比如关注微信即可上网。不过相比较portal方式,微信还不是一个标准化的产品。而中国移动就有自己的portal标准,大多数厂家是严格遵从这一标准的。
除了认证方式,认证控制点同样重要。在无线网络里可以有几个位置的认证,比如在总互联网出口认证,及在AP侧进行认证。这两者是不同的。前者认证一般在出口的网关和防火墙上完成认证,这种方式最大的问题是仅仅限制了用户是否可以使用互联网。实际上,用户早已接入到商场内部的无线局域网,并且可以访问内部的很多机器,包括其他用户的智能终端。如果遇到一个恶意终端,那么整个局域网将变得岌岌可危。
后者认证,则是将AP侧作为接入的控制点。由AP或者AC与AAA服务器和Portal服务器进行交互,决定用户是否可以接入。这种接入控制点接近用户的方式优点很多。没有通过授权的用户是不能进入网络的,也就自然无法对其他用户造成伤害。荣钰认为,可在认证时设计一些策略,比如限速、广播域隔离及基于认证状况的IP地址分配。无线网络移动性非常大,所以IP地址其实比原来要宝贵,很多用户说网络无法接入,其实很多情况是其私有地址池资源已经耗尽。另外,配WIPS功能也可以将一些行动异常的用户踢下线。严格把控边缘的好处,就如同对付非典的方法,即在网络最边缘禁止不安全的用户入网,而不是将所有用户放进来,只是在关键区域再做认证。
网康科技高级市场经理严雷谈到,网康推出的无线营销解决方案之中,包括了能够扮演AC角色的下一代防火墙产品,为无线接入提供稳妥的安全保障。同时企业必须加强数据安全管理,引入安全存储和DLP管理设备。
刚刚进入市场的无线安全新锐厂商信锐技术CEO郭梓栋介绍到,在商场O2O改造过程中的一个重要环节(+本站微信networkworldweixin),就是线上流量导入。他认为,流量导入是实现O2O的根本,如果没有用户数据,是无法完成O2O改造的,信锐技术通过微信认证、短信认证等信息将用户导入后端会员系统,才能实现精准营销。
