移動(dòng)互聯(lián)網(wǎng)時(shí)代如何保障無(wú)線(xiàn)接入設備安全

移動(dòng)互聯(lián)網(wǎng)、移動(dòng)智能終端的快速興起，正在推動(dòng)無(wú)線(xiàn)接入技術(shù)的快速發(fā)展。尤其是伴隨著(zhù)全球移動(dòng)數據流量的激增，以WiFi為代表的無(wú)線(xiàn)接入技術(shù)正在成為緩解蜂窩網(wǎng)絡(luò )壓力的有力手段。在旺盛的市場(chǎng)需求推動(dòng)下，無(wú)線(xiàn)接入技術(shù)正在加快革命步伐，無(wú)線(xiàn)接入設備的種類(lèi)也日漸增多，而由于海量設備的存在以及網(wǎng)絡(luò )復雜度的提升，使得無(wú)線(xiàn)接入設備和網(wǎng)絡(luò )的安全也成為一個(gè)突出問(wèn)題。

隨著(zhù)寬帶服務(wù)的普及，無(wú)線(xiàn)接入設備已經(jīng)不僅用于小范圍內的局域網(wǎng)互連，而是更多地作為移動(dòng)互聯(lián)網(wǎng)的“最后一公里”入口，成為移動(dòng)互聯(lián)網(wǎng)不可或缺的承載平臺。當前，由于無(wú)線(xiàn)接入設備與互聯(lián)網(wǎng)直接相連，網(wǎng)絡(luò )環(huán)境復雜，數量眾多，且智能化發(fā)展導致設備形態(tài)不斷豐富，其安全問(wèn)題日益凸顯。那么，無(wú)線(xiàn)接入設備的安全問(wèn)題主要有哪些？是否有辦法規避和解決？

無(wú)線(xiàn)接入設備種類(lèi)日漸豐富

隨著(zhù)移動(dòng)互聯(lián)網(wǎng)的發(fā)展，尤其是智能操作系統的廣泛應用，出現了不同形態(tài)的無(wú)線(xiàn)接入設備，其結構和應用原理也有所區別，以滿(mǎn)足不同的應用場(chǎng)景和需求。大致上看，目前的無(wú)線(xiàn)局域網(wǎng)設備可以分為傳統無(wú)線(xiàn)局域網(wǎng)設備和新型無(wú)線(xiàn)局域網(wǎng)設備兩大類(lèi)。

傳統無(wú)線(xiàn)局域網(wǎng)設備

傳統無(wú)線(xiàn)局域網(wǎng)設備主要指無(wú)線(xiàn)局域網(wǎng)AP（WLAN AP），根據應用場(chǎng)合及部署方式不同，其可分為運營(yíng)級AP和家用級AP.

運營(yíng)級AP多使用“瘦AP”，主要由運營(yíng)商部署在酒店、機場(chǎng)等熱點(diǎn)地區。通常此類(lèi)AP僅具有簡(jiǎn)單的二層轉發(fā)功能，用于完成WLAN覆蓋和接入，網(wǎng)絡(luò )運營(yíng)所需的設備配置、路由、計費等功能，由AP上聯(lián)的AC（接入控制器）和AS（接入服務(wù)器）集中控制完成，普通用戶(hù)一般無(wú)法獲得“瘦AP”的配置管理權限。

家用級AP多使用“胖AP”，除具有無(wú)線(xiàn)接入與覆蓋功能外，還具有無(wú)線(xiàn)參數選擇、路由、安全等功能，一般用戶(hù)可自行完成配置和管理。“胖AP”具有用戶(hù)側（LAN）接口和網(wǎng)絡(luò )側（WAN）接口，LAN接口用于實(shí)現無(wú)線(xiàn)接入與覆蓋，WAN接口通過(guò)固定寬帶接入（如以太網(wǎng)、DSL、PON等）與互聯(lián)網(wǎng)連接，同時(shí)還支持DHCP、DNS、PPPoE、VPN等與接入控制、地址分配、路由功能等相關(guān)的協(xié)議，以實(shí)現設備配置、路由、安全等功能。

新型無(wú)線(xiàn)局域網(wǎng)設備

隨著(zhù)用戶(hù)接入需求的不斷升級，出現了多種新型無(wú)線(xiàn)接入設備，以滿(mǎn)足用戶(hù)在不同應用場(chǎng)景下的接入需求。如3G/4G無(wú)線(xiàn)路由器（Mi-Fi/LTE-Fi）、智能無(wú)線(xiàn)路由器、智能盒子等。

3G/4G無(wú)線(xiàn)路由器突破了傳統WLAN AP必須采用有線(xiàn)方式接入互聯(lián)網(wǎng)的局限性，其WAN側接口通過(guò)3G/4G蜂窩網(wǎng)絡(luò )進(jìn)行數據回傳。根據蜂窩回傳方式的不同，3G/4G無(wú)線(xiàn)路由器可分為Mi-Fi（3G回傳）和LTE-Fi（LTE回傳）接入設備。

由于Mi-Fi和LTE-Fi可實(shí)現多個(gè)用戶(hù)通過(guò)WLAN接入同一蜂窩網(wǎng)絡(luò )的目標，故廣泛應用于家庭、小型辦公環(huán)境及特定行業(yè)應用（油田、電力、公交、酒店、商場(chǎng)等）環(huán)境。Mi-Fi和LTE-Fi通常具有協(xié)議轉換（3G/4G-WLAN）、WLAN無(wú)線(xiàn)接入及路由/管理功能。協(xié)議轉換功能將3G/4G網(wǎng)絡(luò )轉換成無(wú)線(xiàn)局域網(wǎng)接入，WLAN無(wú)線(xiàn)接入功能實(shí)現WLAN覆蓋和接入，而路由/管理功能用于WLAN接入網(wǎng)絡(luò )與3G/4G網(wǎng)絡(luò )之間的路由和地址映射，使得多個(gè)WLAN用戶(hù)可共享同一3G/4G網(wǎng)絡(luò )連接并具有相應的配置、安全、管理等功能。該類(lèi)設備由運營(yíng)商進(jìn)行集采或市面自主銷(xiāo)售，最終由用戶(hù)進(jìn)行使用，一般無(wú)需電信運營(yíng)商統一配置管理，用戶(hù)自行對此類(lèi)設備進(jìn)行配置和管理。

智能無(wú)線(xiàn)路由器就是采用智能化操作系統的無(wú)線(xiàn)局域網(wǎng)AP.與傳統無(wú)線(xiàn)局域網(wǎng)AP相比，智能無(wú)線(xiàn)路由器具有應用層流量控制、應用軟件安裝，甚至視頻、游戲等第三方服務(wù)端資源搭載類(lèi)擴展性功能，因而成為目前的一個(gè)應用熱點(diǎn)，其典型設備包括極路由、小米路由、360路由等。

智能盒子類(lèi)似于機頂盒設備，其網(wǎng)絡(luò )側通過(guò)WLAN接口與互聯(lián)網(wǎng)相連，用戶(hù)側通過(guò)HDMI等視頻接口與電視、電腦等終端相連，實(shí)現內容共享。此外，還可根據用戶(hù)需要安裝應用軟件，從而拓展移動(dòng)互聯(lián)網(wǎng)的應用場(chǎng)景，因而引起了業(yè)界和用戶(hù)的極大關(guān)注，典型設備包括小米盒子、華為秘盒等。

兩大類(lèi)安全問(wèn)題不容忽視

無(wú)線(xiàn)局域網(wǎng)接入設備安全問(wèn)題主要分為兩類(lèi)：一是傳統無(wú)線(xiàn)接入設備存在的安全問(wèn)題，二是智能化引起的新的安全問(wèn)題。

目前，無(wú)線(xiàn)局域網(wǎng)接入設備的傳統安全問(wèn)題主要涵蓋四個(gè)方面，即非法接入、無(wú)線(xiàn)竊聽(tīng)、無(wú)線(xiàn)網(wǎng)絡(luò )干擾、網(wǎng)絡(luò )攻擊及遠程控制。

非法接入可以從兩個(gè)角度去理解。一是用戶(hù)端非法連接無(wú)線(xiàn)接入設備，如WLAN用戶(hù)通過(guò)密碼破解等方式，非法連接到WLAN AP上，發(fā)動(dòng)網(wǎng)絡(luò )攻擊。二是無(wú)線(xiàn)接入設備非法連接用戶(hù)端，如偽AP釣魚(yú)，入侵者通過(guò)硬件或軟件方式搭建偽造的無(wú)線(xiàn)局域網(wǎng)AP，誘導用戶(hù)接入到此偽AP上，并在用戶(hù)不知情的情況下收集用戶(hù)信息，執行釣魚(yú)攻擊。

無(wú)線(xiàn)竊聽(tīng)的安全隱患正日漸突出。當前，無(wú)線(xiàn)接入設備的空中接口是非法分子竊聽(tīng)和攻擊的焦點(diǎn)，目前也存在很多商業(yè)和免費的工具可以對無(wú)線(xiàn)局域網(wǎng)無(wú)線(xiàn)鏈路進(jìn)行抓包和解碼，獲取用戶(hù)應用層傳輸數據，并可據此發(fā)動(dòng)網(wǎng)絡(luò )攻擊，給用戶(hù)安全帶來(lái)威脅。

無(wú)線(xiàn)網(wǎng)絡(luò )干擾會(huì )影響接入設備的正常使用。以WLAN AP為代表的無(wú)線(xiàn)接入設備主要工作在ISM頻段，因而難以實(shí)現統一有效的行業(yè)監管和約束，攻擊者可以通過(guò)自主架設該類(lèi)設備，給運營(yíng)商和用戶(hù)造成無(wú)線(xiàn)干擾，使上述設備無(wú)法正常使用。

網(wǎng)絡(luò )攻擊及遠程控制的風(fēng)險不容忽視。無(wú)線(xiàn)接入設備普遍面臨網(wǎng)絡(luò )攻擊、遠程控制等安全問(wèn)題，如對無(wú)線(xiàn)接入設備發(fā)起Ping Flood、DDoS等洪泛攻擊，可能導致設備癱瘓；針對無(wú)線(xiàn)接入設備的某些預設端口，通過(guò)構造特定的用戶(hù)數據包開(kāi)啟遠程登錄服務(wù)，可對設備進(jìn)行遠程控制，從而給用戶(hù)安全帶來(lái)極大威脅。

值得一提的是，智能化引發(fā)了無(wú)線(xiàn)局域網(wǎng)接入設備新的安全問(wèn)題。當前，Android等智能操作系統引入無(wú)線(xiàn)接入設備上，使其與應用商店相結合，成為各種應用程序的承載平臺和傳播渠道。用戶(hù)可便利地接入網(wǎng)絡(luò )，同時(shí)安裝自己需要的應用軟件，提升用戶(hù)體驗。但由于A(yíng)ndroid操作系統具備開(kāi)放的API，可被利用嵌入各類(lèi)惡意代碼，在用戶(hù)不知情的情況下，后臺調用發(fā)送信息、聯(lián)網(wǎng)等功能，從而造成惡意吸費、隱私被竊取甚至流量被劫持等安全威脅。

全面提升無(wú)線(xiàn)接入設備系統安全性

從信息安全的角度分析，任何一個(gè)信息系統的安全問(wèn)題都來(lái)源于兩個(gè)方面：自身的脆弱性以及外來(lái)的攻擊。只有當這兩方面因素共同作用，才會(huì )引發(fā)安全事件。對這兩方面因素中的任何一個(gè)進(jìn)行防護，都可緩解甚至遏制安全問(wèn)題的產(chǎn)生，從而達到信息系統機密性、完整性和可用性的要求。對于信息系統自身而言，由于信息系統總是處在復雜的應用環(huán)境中，隨時(shí)可能受到各種有意無(wú)意的攻擊，因此只能盡量提升自身的安全防護能力，以對抗外來(lái)各種攻擊。

從無(wú)線(xiàn)接入設備系統的結構來(lái)看，最底層是硬件芯片層；之上為系統軟件層，主要包括操作系統和協(xié)議棧；頂層為應用層，主要指加載的應用軟件，包括預置應用軟件及第三方應用軟件；外圍接口主要涉及系統軟件層和硬件芯片層。

如前所述，為抵抗外來(lái)攻擊，需從各層面增強無(wú)線(xiàn)接入設備安全防護能力，基本原則是不能在用戶(hù)不知情的情況下發(fā)生后臺調用系統資源等惡意行為。硬件層主要指芯片，是整個(gè)設備安全的根節點(diǎn)，應通過(guò)排查隱秘通道及后門(mén)、設置遠程控制開(kāi)關(guān)等措施，建立芯片安全防護能力。系統軟件層一方面需對操作系統進(jìn)行加固，防止API濫用造成惡意吸費、竊取用戶(hù)隱私、損壞設備功能等危害用戶(hù)安全的行為；另一方面需通過(guò)端口封堵、加載協(xié)議棧補丁等措施，建立協(xié)議棧安全防護能力。應用層需對應用軟件提出安全目標，保證安裝到無(wú)線(xiàn)接入設備上的應用軟件沒(méi)有損害用戶(hù)利益和危害網(wǎng)絡(luò )安全的行為。外圍接口層一方面要通過(guò)加密、鑒權和認證等安全機制防止空中接口（WLAN、3G/4G、藍牙等）引起的非法接入、無(wú)線(xiàn)竊聽(tīng)、無(wú)線(xiàn)網(wǎng)絡(luò )干擾等問(wèn)題；另一方面要通過(guò)強化外圍接口管控能力，防止外圍接口被非法開(kāi)啟、連接、調用而導致用戶(hù)數據泄露等安全問(wèn)題。