一、核心目标
在基础设施薄弱、传统宽带覆盖不足、用户支付习惯独特(高度依赖移动支付、现金)的非洲市场,利用SpaceX星链的低轨道卫星网络作为骨干接入,构建稳定可靠的本地WIFI热点,并通过高效、灵活、本地化的认证和计费系统,实现服务的商业化运营和可持续发展。
二、市场特点
Ø 支付习惯:移动支付(如M-Pesa、Airtel Money、MTN Mobile Money)是主要支付方式,信用卡普及率较低,现金支付仍重要。
Ø 价格敏感度:用户对价格高度敏感,需要灵活的定价策略。
Ø 网络覆盖差:目标区域缺乏可靠的固定或移动宽带。
Ø 用户群体:多元化,包括居民、游客、小企业、学校、医疗机构、矿业/旅游营地等。
Ø 基础设施限制:电力供应不稳定,物理环境可能严酷(高温、沙尘)。
Ø 监管差异:各国电信政策和数据法规有所不同。
三、星链特点
优势
Ø 覆盖广:可覆盖偏远乡村、岛屿、公路沿线。
Ø 性能较好:相比传统卫星,延迟更低,带宽更高。
Ø 部署快:终端设备安装相对简单。
劣势
Ø 运营成本:终端设备成本、月租费是固定开支。
Ø 可用带宽:基于共享网络,带宽可能受用户数量和星链自身网络状态影响。
Ø 物理限制:终端需要相对空旷的视野,设备有被盗窃风险。
Ø 性能波动:极端天气可能影响连接稳定性。
Ø 政策风险:服务许可可能受制于当地法规(频谱使用、外资比例等)。
四、解决方案架构
解决方案的核心在于连接星链网络和最终用户之间的本地化WIFI基础设施和智能认证计费平台。
网络拓扑
基础设施层
Ø
星链用户终端:SpaceX的卫星天线和路由器,负责接入星链卫星网络。这是网络入口点。需要妥善防护和安保。
本地网络(WLAN)设备
Ø
高性能WIFI接入点:建议选择工业级或企业级无线设备,支持高密度用户并发、良好的QoS管理和多种认证方式。支持WIFI6以获得更高性能和容量。
Ø
本地网关/路由器:作为网络核心,连接星链终端和WIFI AP。需要具备以下关键功能:
Ø
流量整形和QoS:管理有限的上行带宽(星链终端到卫星),优先保障关键应用(视频通话,在线学习等),实施公平使用策略。
Ø
VLAN/IP管理:隔离用户流量,确保安全。
Ø
与计费系统对接:支持RADIUS 协议与后台认证计费系统通信。
Ø
支持PORTAL认证:实现用户PORTAL认证,自助开户及交费。
Ø
交换机:连接多个AP和网关。
Ø
电源管理设备:考虑到电力不稳定,需要稳定的UPS或太阳能+电池组解决方案。
Ø
可选 - 本地缓存/内容服务器:对于热门/静态内容,如教育资料、软件更新,可部署本地缓存,减少对卫星带宽的消耗,提升用户体验。
Ø
认证计费系统层:核心!
需求分析
Ø 适应多种付费方式:移动支付、预付费券(代金券/密码)、现金充值(通过代理商)、按需计费(时长/流量)。
Ø 灵活定价:按时间(分钟/小时/天/周/月)、按流量(MB/GB)、组合套餐、动态限速(使用后降速不断网)、免费增值策略(如限速免费,付费提速)。
Ø 多语言认证界面(英语、法语、阿拉伯语、葡萄牙语、本地语言等)。
Ø 用户管理:自助注册、资料修改、套餐购买、账户状态查询(流量/时长使用情况)。
Ø 安全:防范账号滥用、盗用。
Ø 可靠性与扩展性:系统需稳定,可支撑多个热点、用户规模的增长。
计费方案
Ø 开源核心(主流选择):
Ø 计费核心:蓝海卓越认证计费系统是广泛使用AAA服务器,负责执行用户的认证、授权和计费。可与各类网关设备完美集成。
Ø 用户门户:搭配强大的用户管理系统和认证门户。常用方案可使用蓝海卓越计费系统,可以实现用户PORTAL页面展示,用户,报表分析,套餐定制,自助系统。
Ø 云服务平台:如果本地IT运维能力有限或需快速部署多节点,可考虑成熟的云WIFI管理和计费服务平台。
关键组件集成
Ø RADIUS服务器:接收AP/网关转发的用户登录请求。
Ø 认证门户(PORTAL):用户在连接到WIFI后强制重定向到的登录页面,在此完成登录、购买、注册等操作。
Ø 支付网关集成:集成当地主流移动支付平台(API对接如 M-Pesa, MTN Mobile Money, Airtel Money, Orange Money 等)的SDK/API,以及可能的代理系统管理预付费券。考虑兼容现金充值渠道。
Ø 管理后台:供运营管理员进行用户管理、套餐管理、设备监控、计费规则设定、财务对账、报表生成等。界面应直观。
Ø API接口:便于与其他系统(如运营商代理系统、APP)集成。
Ø 用户接入层:
Ø 无缝体验:用户连接SSID -> 自动弹出 Portal -> 选择登录/注册方式 -> 完成认证/付费 -> 上网。
认证方式
Ø 预付费券:购买带有唯一密码的实体/电子券,在门户输入密码上网。对现金用户友好。
Ø 手机号+短信验证:输入手机号 -> 收到含登录链接或验证码的短信 -> 登录。(集成性强,依赖短信费用)。
Ø 移动支付直付:在Portal页面选择时长/流量套餐 -> 调起手机支付APP (如M-Pesa) 支付 -> 自动开通/续时。
Ø 社交登录/一键注册:通过Facebook/Google等账号快速注册登录(可能需关注数据隐私)。
Ø 账号密码:适合长期固定用户,如企业、商铺。
Ø 用户体验优化:门户简洁明了,支付流程简化,提供本地语言支持,清晰展示余额/剩余流量/时长。
五、实施与运营策略
本地化适配
Ø 支付方式:支持当地1-2种主流的移动支付方式,并考虑代理充值渠道。
Ø 定价策略:小金额、短时长套餐(如10分钟、50MB、1小时)起步,提供日包、周包、夜猫子套餐等灵活选择。捆绑当地内容(如教育、娱乐App)。
Ø 语言与文化:认证门户、操作指引、客户服务必须使用当地语言,符合用户习惯。
Ø 内容优化:如有可能,与本地内容提供商合作。
风险管理
Ø 带宽管理:严格实施基于策略的QoS,防止滥用,保障公平性。设定用户带宽上限。
Ø 财务对账:每日/定期对账移动支付平台、现金充值代理,确保账目清晰。
Ø 安全和合规:用户数据存储和传输需加密;实施网络安全措施。
Ø 物理安全:确保星链终端和设备防盗、防破坏(固定牢固、监控、社区合作)。
Ø 备用电源:保证电力供应连续性。
营销与服务
Ø 渠道推广:通过本地代理点、APP推广、社交媒体、学校/企业合作。
Ø 客户服务:建立本地客服团队(或外包),通过电话、WhatsApp、社交媒体及时响应问题。
Ø 免费增值/社区服务:在诊所、学校等地点提供免费的基本连接服务,增强品牌好感。
商业模式
Ø B2C(直接用户):在村落广场、集市、交通枢纽、独立商店部署热点。
Ø 与本地ISP/运营商合作:他们提供本地运维或分销。
Ø 与小企业/旅馆/营地合作:由业主部署,向其客人/顾客提供网络(可按收入分成)。
Ø B2G(政府/学校/项目):为学校、医疗机构、政府项目提供定制化连接解决方案。
Ø 差异化优势(相对于传统方案)。
Ø 覆盖广泛:突破地理限制,覆盖光纤/移动网络无法到达的区域。
Ø 部署快速:相比于铺设电缆或建设基站,WIFI+星链部署速度更快。
Ø 成本优势(对比传统卫星):使用星链成本低于VSAT,性能更好。
Ø 灵活性和适应性:认证计费系统可按需定制,定价和支付方式高度本地化。
Ø 开放生态:基于开源技术栈,可扩展性强。
六、关键成功因素
Ø 强大的后台计费系统:核心要求稳定、灵活、本地支付无缝集成。
Ø 有效的本地带宽/QoS管理:在有限的星链上行带宽下服务好尽可能多的用户。
Ø 本地支付集成深度:是否完美支持主流移动钱包和现金渠道是关键用户体验。
Ø 价格合理性:在覆盖运营成本基础上,提供用户负担得起的价格套餐。
Ø 可靠的本地基础设施:耐用的设备、稳定的电力、物理安保。
Ø 本地运营能力:分销、客服、维护等团队贴近当地。
七、小结
在非洲利用星链提供WIFI上网服务,技术方案相对成熟(星链终端 + WIFI AP + 计费系统 + 移动支付集成),其成功高度依赖本地化运营能力(支付渠道接入、定价、客服、代理商网络、热点选择)和强大的后台认证计费平台的实现。选择可靠、灵活且易于集成本地移动支付的开源计费系统是技术核心。清晰了解目标区域的用户需求、支付习惯和监管环境是基础。为解决非洲的数字鸿沟问题提供了非常有潜力的途径。
八、主要使用设备清单(根据实际情况选择)
| 产品名称型号 |
功能描述 |
| AAA接入认证系统 |
AAA统一认证系统,软件部署版本,可以使用服务器或云主机部署
支持CMCC 2.0、华为PORTAL、蓝海卓越PORTAL、等认证方式;
支持Portal页面自定义,自行上传PORTAL页面
企业微信对接认证,MAC无感知认证
支持 PPPoE/PORTAL/802.1X/L2TP 认证方式
含1服务器许可,不限服务器性能
支持对接多项目,支持对接多NAS设备 |
| 云主机 |
安装部署AAA接入认证系统使用 |
| 下方的认证网关,根据实际情况选择不同规格 |
认证网关
NE-20-200 |
多功能认证网关|9寸桌面式|最大支持双向2G流量,(5个千兆电口)外置电源,支持200用户在线 |
认证网关
NE-20-300 |
多功能认证网关|9寸桌面式|最大支持双向2G流量(5个千兆电口)外置电源,支持300用户在线 |
认证网关
NE-80-500 |
多功能认证网关|19寸1U机架式|8G内存|60G闪存|最大支持双向6G流量,(8个千兆电口)内置电源,支持500用户在线 |
认证网关
NE-80-1K |
多功能认证网关|19寸1U机架式|8G内存|60G闪存|最大支持双向6G流量,(8个千兆电口,2个万兆光口),支持1000用户在线 |
| 下方的AC、AP、云AC,根据实际情况选择 |
| 云AC控制器 |
云AC平台,支持跨区域管理蓝海卓越无线AP设备 |
| 云AC平台授权 |
云AC平台授权,支持100个AP设备管理
支持设备上线,配置下发,设备升级,分组管理,多用户管理,工单管理,地图管理,设备离线预警,运营管理等
需用户自备云主机或服务器 |
| 无线AP |
WIFI6无线AP,3000M,吸顶式安装 |
| 无线路由 |
WIFI6无线路由,3000M,桌面式安装 |
| 下方的光猫及相关设备,根据实际情况选择 |
| 光猫 |
WIFI5光猫,千兆有线接口,单频WIFI |
| 光电转换器 |
1光1电光电转换器,光口用于接猫棒 |
| OLT猫棒 |
支持32个光猫接入,直接接入分光器 |
九、解决方案特点
支持多协议
Ø 支持市场上主流的华为Portal 1.0、2.0,CMCC 1.0、2.0协议和标准Raidus认证规范,可以同支持华为Portal协议或CMCC协议的AC、交换机、BRAS以及其他网关类设备进行对接,实现灵活部署和快速交付;
Ø 支持任意使用HTTP提交等方式的NAS设备对接使用。
支持AAA转发
Ø 支持与AC/BRAS对接后,向第三方AAA服务器进行认证和记帐的转发,并在转发过程中进行数据记录。
支持短信认证
Ø 支持使用内置帐号密码登录。
Ø 支持通过展示PORTAL页面后点击按纽实现一键登录。
支持帐号密码/一键登录
Ø 支持与AC/BRAS对接后,向第三方AAA服务器进行认证和记帐的转发,并在转发过程中进行数据记录。
支持PEAP与EAP-SIM认证
Ø 支持手机终端采用PEAP认证或是EAP-SIM认证,实现更高级别的安全认证。
支持802.1X认证
Ø 通过与交换机或是NAC联动,实现802.1X认证。
支持APP认证
Ø 基于策略的判断,可以实现基于MAC地址的无感知认证、用户二次登录无感知认证,用户二次登录推PORTAL免认证。
支持LDAP认证
Ø 通过与WINDOWS域认证结合,实现企业的统一身份认证和权限下发。
支持第三方数据源认证
Ø 与任意第三方数据源对接,实现认证,如一卡通、OA、或任意第三方数据库,以及基于身份证的刷卡认证。
支持二次认证
Ø 支持多种二次认证方式,包括:
n AAA转发,用户的PORTAL认证请求,直接发送到学校的AAA服务器认证,AAA服务器经过认证后,将认证请求直接转发给运营商的AAA服务器。
n 用户的PORTAL认证请求,先在学校的AAA内部完成第一次认证,认证成功,PORTAL服务器向BRAS发起认证,由BRAS转到运营商的AAA进行认证
n 用户分两种类型,一种只能访问校园内部资源,属于免费用户。一种可以访问内部资源和完整的互联网资源,属于收费用户。做法是在对用户进行认证后,向BRAS或AC下发不同的RADIUS参数,指定其可以访问不同的资源。
n 外网同时接入2-3家运营商,可能有移动、联通、移动。各家的用户,在输入自己的帐号后,首先要在校园的AAA进行一次认证,再由学校的AAA根据用户类别分配到不同的运营商进行二次认证。做法是,在学校的AAA上设定不同的区域,如移动、联通、移动三个区域,用户只能属于一个区域,具备该区域独有的属性,PORTAL与BARS、AAA交互完成后,由学校的AAA返回认证结果,并将该属性下发给BARS设备,BRAS设备收到该属性后,会立即到其指定的运营商的AAA进行二次认证。属性名称为:tunnel-server-endpoint。
支持多厂商NAS设备
Ø 多NAS支持:支持对接多个NAS设备,向多个NAC设备网络用户推送不同的认证页 面;
Ø 支持华为、中兴、浪潮、H3C、JUNIPER、爱立信、迪普、京信、傲天动联、寰创、西加云杉、汉明、锐捷、TPLINK、PANABIT、爱快、蓝海卓越、Microtik......等主流厂商AC/BRAS/网关产品的RADIUS和PORTAL对接;
优越的前端页面编辑体验
Ø
认证页面自定义:根据蓝海卓越认证页面定制规范,用户可以很方便使用任意网页编辑语言设计自己的认证页面样式,以及认证成功页面的样式,同时也可以设置认证成功页面显示的时间;
Ø
WEB编辑:PORTAL认证页面,可以通过WEB管理界面进行编辑,可以对图片、文字、链接、颜色、认证方式等内容进行修改和编辑,使之符合不同场景的使用需求;
Ø
URL跳转:支持用户认证成功后强制跳转至某URL;
Ø
终端自适应:认证页面会根据终端类型的不同,推送不同的认证页面形式,如PC和手机推送不同的PORTAL页面,或安卓和IOS推送不同的PORTAL页面;
Ø
认证前端分离:支持认证前端页面和Portal服务器分离,用户可以随意指定前端WEB认证页面地址;
灵活的PORTAL模板推送策略
Ø
PORTAL推送策略:根据4W(When、Where、What)规则设置终端用户的认证页面展示策略,即可以指定时间、指定AP组、指定SSID、推送指定内容;
Ø
默认策略:当现有的策略不能够匹配时,则终端弹出的Portal认证页面内容为默认策略中指定的模板;
Ø
策略元素管理:可以对策略设定中的多个元素进行管理配置,包括:
n AP组
n SSID
n APID
n 用户组
n 时间组
Ø
重定向URL参数配置:可以修改与AC/BRAS对接的PORTAL参数,方便与各品牌AC/BRAS产品对接。
多种认证方式支持
Ø
短信认证:短信认证属于基础型同时又是使用范围最广的认证方式。使用人群不受限制,商业、企业等机构的员工、访客皆受用。同时也适用于需要强制身份认证和行为记录的场景;
Ø
微信认证:由于微信强大的营销价值,微信连WiFi经常被用于超大型商业广场、连锁超市、银行网店、商业地产、智慧城市等大型营销型场所;
Ø
帐号密码认证:针对企业员工,推荐使用用户名密码认证与临时账号,在认证方式上将员工、访客分离,另根据业务实际需求调整网络带宽、流量、上网时长等,将传统的以“网络资源为导向”变成以“业务为导向”的用网管控,还可将多分支机构员工入网进行整合,通过无感知认证,实现全网架构,一次认证,移动通行;
Ø
一键登录认证:适用于为了简化客户接入无线网络的步骤、节省客户时间、以及保护客户个人隐私的上网认证方式;
Ø
访客扫码认证:当访客进入访问网络空间,需被访人扫描二维码并进行授权,然后访客才可以使用网络,这种一对一的访客准入形式使得入网访客有迹可循,也在最大程度上保证了网络准入的安全;
Ø
AD域认证:应用于企业员工上网的身份认证和审计的认证方式,通过蓝海卓越认证计费平台与企业的域认证结合,不仅可以实现员工身份准入,权限控制,安全审计等功能,同时实现了企业员工统一管理,减少了重复管理的麻烦,减轻了管理人员的负担
Ø
APP认证:APP认证是以企业自有 APP 作为登录 WIFI 认证入口,帮助增加 APP 的下载使用量;
Ø
第三方数据源认证:通过对接企业OA或是用户数据库等第三方数据源进行身份认证,使企业管理方便统一;
Ø
二次认证:通常是用于和运营商对接的收费场景,如高校、景区、工厂等环境,用户的帐号先在蓝海卓越的认证平台进行第一次认证,认证失败则直接拒绝,认证成功后,再将认证请求提交到运营商的BRAS和AAA进行认证;
Ø
MAC二次免认证:MAC二次免认证是一种基于MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。能实现用户在第一次认证成功后,第二次弹出的是广告页面,无需用户采用认证的方式登录,只需点击一键认证,或是页面倒计时完成自动认证即可;
Ø
MAC无感知认证:于MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC地址认证的设备上线以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码。若该用户认证成功,则允许其访问网络资源,否则该用户的MAC地址就被添加为静默MAC;
人性化的计费系统
Ø
短信管理:可以对使用手机短信认证的用户设置短信密码有效期以及获取短信规则,防止用户一段时间内大量接收短信密码,耗费短信资源;
Ø
认证计费:通过Portal服务器中自带的Radius认证计费系统,完成对终端用户的认证上网并计费,支持标准Radius协议;
Ø
开户管理:可以在认证计费系统中直接建立账户并选择相应的套餐,用户根据账户信息即可实现在认证页面认证上网,对于手机短信认证用户自动开户;
Ø
套餐管理:强大的套餐管理功能,支持对上传、下载、上网周期、累计时间、最大在线时间、密码有效期等参数进行设置,满足各种场合的用户上网控制需求;
Ø
终端MAC绑定:用户账户可以绑定该用户第一次上线时的MAC地址,防止用户在多个终 端设备上使用一个账户进行认证上网;
Ø
NAS绑定:用户账户可以绑定该用户第一次上线时的NAS IP地址;
Ø
AP MAC绑定:用户账户可以绑定该用户第一次上线时的AP MAC地址;
Ø
最大在线用户:可以在套餐管理中设置账户允许的最大在线用户数,方便用户在不同的终端设备上同时使用一个账户上网,或者限制用户一个账户在不同终端同时使用;
Ø
在线用户:可以随时查看当前网络中的在线用户信息,包括用户名、NAS地址、客户端IP、上传流量、下载流量、记账开始时间、在线时长等信息,并可以手动将用户强制下线;
Ø
历史记录:可以随时查看最近1个月内的用户上网历史记录信息,包括包括用户名、NAS地址、客户端IP、上传流量、下载流量、记账开始时间、在线时长等信息,并可以查看每一条记录的详细信息。
完善的财务管理功能
在本系统中,与财务有关的有如下几个部分:
Ø 用户充值开户
Ø 用户充值续费
Ø 财务订单记录
Ø 营业报表统计
Ø 用户帐单记录
Ø 用户自助交费
Ø 营业对帐功能
充值卡功能
在本系统中,通过充值卡功能,可以为用户提供充值卡帐号充值功能:
Ø 卡片生成
Ø 卡片销售
Ø 销售统计
Ø 充值记录
数据统计分析
系统内置详细的统计分析功能,可以帮助管理者有效的进行决策分析,主要包括如下:
Ø
注册人数走势
Ø
在线人数走势
Ø
注册类型统计
Ø
上网终端统计
Ø
账号在线率统计
Ø
在网用户率统计
Ø
PORTAL推送统计
Ø
累计认证成功数
Ø
人均上网时长
Ø
人均上网流量
Ø
认证失败记录表
Ø
PORTAL推送日志
Ø 套餐用户比例
Ø 到期用户数统计
Ø 续费用户数统计
对接第三方网银支付
在收费场景中,需要用到支付的情况,目前系统内置支持如下几种收费方式:
Ø 微信支付
Ø 支付宝支付
Ø 其他需要的第三方支付
说明:支付方式为用户自行配置,需要申请微信公众号或是支付宝商户帐号。
接口功能
系统内置WEBSERVICE接口供其他系统调用,可以实现如下接口:
用户管理接口:
Ø 开户接口
Ø 删除用户接口
Ø 判断用户是否存在接口
Ø 用户下线接口
Ø 修改用户资料接口
Ø 套餐变更接口
Ø 用户销户接口
Ø 强制下线接口
Ø 账号基本信息查询接口
Ø 每日使用时长/流量查询接口
Ø 每小时使用流量查询接口
Ø 账户充流量接口
Ø 日/月流量查询接口
Ø 设置日/月流量预警值接口
Ø 发送短信接口
PORTAL认证接口:
Ø 提交认证接口
日志管理
系统提供完善的日志功能,包括如下:
Ø
上网记录:用户上网的历史记录
Ø
操作日志:管理员对系统的操作日志
Ø
接口日志:WEBSERVICE接口调用及操作日志
Ø
短信日志:发送短信的日志
Ø
登录日志:管理人员登录日志
Ø
访客授权日志:内部员工给企业访客扫码授权的日志
Ø
身份认证日志:身份实名认证接口调用及结果日志
Ø 到期提醒日志:通过短信提醒到期用户的通知
Ø 代理日志:代理商登录及操作日志记录
Ø 清空日志:根据时间条件清空日志
实名认证
系统提供实名认证功能,可以实现国家政策要求的强实名认证,并与第三方认证平台接口打通,实现手机号、身份证号、人脸识别三合一认证。
分级分权管理
结合系统中的角色管理实现不同等级用户拥有对系统功能不同的管理权限,方便客户根据项目及业务进行权限的分级和管理。
可以预定义不同的权限角色,方便进行管理员设置。
代理商管理
可以为二级代理商开设帐号,并分配组组管理权限;
代理商权限区别于管理员权限,属于独立模块,代理商通常是用于第三方合作机构管理其用户而设置;
包括:
代理商建立、修改、删除
代理商权限配置
代理商登录和操作记录
代理商公告及通知管理
代理商充值折扣管理
告警功能
支持设备离线事件的邮件、短信告警功能,协助用户对设备进行离线事件处理,有效处理问题和保护设备资产,降低运营成本。
公安日志审计系统对接功能
支持与公安部认定的符合32号令日志设备厂商(如任子行),进行数据对接,推送用户认证及上网登录记录,包括:
Ø 用户名
Ø 上网时间
Ø IP地址
数据备份功能
支持多种数据备份功能,包括:
Ø 手动备份到本地电脑
Ø 自动备份到服务器本地存储
Ø 自动邮件关键数据备份
Ø 双机热备
Ø 双机冷备
自助服务系统
系统自带用户自助服务平台,用户使用自己得账号登陆,可实现中下功能:
Ø 查询基本信息
Ø 查询订单信息
Ø 自助下线
Ø 查询上网历史记录
Ø 实现自助缴费功能
Ø 新用户自助注册缴费上网
English