移動互聯(lián)網(wǎng)時代如何保障無線接入設(shè)備安全

    移動互聯(lián)網(wǎng)、移動智能終端的快速興起，正在推動無線接入技術(shù)的快速發(fā)展。尤其是伴隨著全球移動數(shù)據(jù)流量的激增，以WiFi為代表的無線接入技術(shù)正在成為緩解蜂窩網(wǎng)絡(luò)壓力的有力手段。在旺盛的市場需求推動下，無線接入技術(shù)正在加快革命步伐，無線接入設(shè)備的種類也日漸增多，而由于海量設(shè)備的存在以及網(wǎng)絡(luò)復(fù)雜度的提升，使得無線接入設(shè)備和網(wǎng)絡(luò)的安全也成為一個突出問題。

    隨著寬帶服務(wù)的普及，無線接入設(shè)備已經(jīng)不僅用于小范圍內(nèi)的局域網(wǎng)互連，而是更多地作為移動互聯(lián)網(wǎng)的“最后一公里”入口，成為移動互聯(lián)網(wǎng)不可或缺的承載平臺。當(dāng)前，由于無線接入設(shè)備與互聯(lián)網(wǎng)直接相連，網(wǎng)絡(luò)環(huán)境復(fù)雜，數(shù)量眾多，且智能化發(fā)展導(dǎo)致設(shè)備形態(tài)不斷豐富，其安全問題日益凸顯。那么，無線接入設(shè)備的安全問題主要有哪些？是否有辦法規(guī)避和解決？

無線接入設(shè)備種類日漸豐富

    隨著移動互聯(lián)網(wǎng)的發(fā)展，尤其是智能操作系統(tǒng)的廣泛應(yīng)用，出現(xiàn)了不同形態(tài)的無線接入設(shè)備，其結(jié)構(gòu)和應(yīng)用原理也有所區(qū)別，以滿足不同的應(yīng)用場景和需求。大致上看，目前的無線局域網(wǎng)設(shè)備可以分為傳統(tǒng)無線局域網(wǎng)設(shè)備和新型無線局域網(wǎng)設(shè)備兩大類。

傳統(tǒng)無線局域網(wǎng)設(shè)備

    傳統(tǒng)無線局域網(wǎng)設(shè)備主要指無線局域網(wǎng)AP（WLAN AP），根據(jù)應(yīng)用場合及部署方式不同，其可分為運(yùn)營級AP和家用級AP。

    運(yùn)營級AP多使用“瘦AP”，主要由運(yùn)營商部署在酒店、機(jī)場等熱點(diǎn)地區(qū)。通常此類AP僅具有簡單的二層轉(zhuǎn)發(fā)功能，用于完成WLAN覆蓋和接入，網(wǎng)絡(luò)運(yùn)營所需的設(shè)備配置、路由、計(jì)費(fèi)等功能，由AP上聯(lián)的AC（接入控制器）和AS（接入服務(wù)器）集中控制完成，普通用戶一般無法獲得“瘦AP”的配置管理權(quán)限。

    家用級AP多使用“胖AP”，除具有無線接入與覆蓋功能外，還具有無線參數(shù)選擇、路由、安全等功能，一般用戶可自行完成配置和管理。“胖AP”具有用戶側(cè)（LAN）接口和網(wǎng)絡(luò)側(cè)（WAN）接口，LAN接口用于實(shí)現(xiàn)無線接入與覆蓋，WAN接口通過固定寬帶接入（如以太網(wǎng)、DSL、PON等）與互聯(lián)網(wǎng)連接， 同時還支持DHCP、DNS、PPPoE、VPN等與接入控制、地址分配、路由功能等相關(guān)的協(xié)議，以實(shí)現(xiàn)設(shè)備配置、路由、安全等功能。

新型無線局域網(wǎng)設(shè)備

    隨著用戶接入需求的不斷升級，出現(xiàn)了多種新型無線接入設(shè)備，以滿足用戶在不同應(yīng)用場景下的接入需求。如3G/4G無線路由器（Mi-Fi/LTE-Fi）、智能無線路由器、智能盒子等。

    3G/4G無線路由器突破了傳統(tǒng)WLAN AP必須采用有線方式接入互聯(lián)網(wǎng)的局限性，其WAN側(cè)接口通過3G/4G蜂窩網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)回傳。根據(jù)蜂窩回傳方式的不同，3G/4G無線路由器可分為Mi-Fi（3G回傳）和LTE-Fi（LTE回傳）接入設(shè)備。

    由于Mi-Fi和LTE-Fi可實(shí)現(xiàn)多個用戶通過WLAN接入同一蜂窩網(wǎng)絡(luò)的目標(biāo)，故廣泛應(yīng)用于家庭、小型辦公環(huán)境及特定行業(yè)應(yīng)用（油田、電力、公交、酒店、商場等）環(huán)境。Mi-Fi和LTE-Fi通常具有協(xié)議轉(zhuǎn)換（3G/4G-WLAN）、WLAN無線接入及路由/管理功能。協(xié)議轉(zhuǎn)換功能將3G/4G網(wǎng)絡(luò)轉(zhuǎn)換成無線局域網(wǎng)接入，WLAN無線接入功能實(shí)現(xiàn)WLAN覆蓋和接入，而路由/管理功能用于WLAN接入網(wǎng)絡(luò)與3G/4G網(wǎng)絡(luò)之間的路由和地址映射，使得多個WLAN用戶可共享同一3G/4G網(wǎng)絡(luò)連接并具有相應(yīng)的配置、安全、管理等功能。該類設(shè)備由運(yùn)營商進(jìn)行集采或市面自主銷售，最終由用戶進(jìn)行使用，一般無需電信運(yùn)營商統(tǒng)一配置管理，用戶自行對此類設(shè)備進(jìn)行配置和管理。

    智能無線路由器就是采用智能化操作系統(tǒng)的無線局域網(wǎng)AP。與傳統(tǒng)無線局域網(wǎng)AP相比，智能無線路由器具有應(yīng)用層流量控制、應(yīng)用軟件安裝，甚至視頻、游戲等第三方服務(wù)端資源搭載類擴(kuò)展性功能，因而成為目前的一個應(yīng)用熱點(diǎn)，其典型設(shè)備包括極路由、小米路由、360路由等。

    智能盒子類似于機(jī)頂盒設(shè)備，其網(wǎng)絡(luò)側(cè)通過WLAN接口與互聯(lián)網(wǎng)相連，用戶側(cè)通過HDMI等視頻接口與電視、電腦等終端相連，實(shí)現(xiàn)內(nèi)容共享。此外，還可根據(jù)用戶需要安裝應(yīng)用軟件，從而拓展移動互聯(lián)網(wǎng)的應(yīng)用場景，因而引起了業(yè)界和用戶的極大關(guān)注，典型設(shè)備包括小米盒子、華為秘盒等。

兩大類安全問題不容忽視

    無線局域網(wǎng)接入設(shè)備安全問題主要分為兩類：一是傳統(tǒng)無線接入設(shè)備存在的安全問題，二是智能化引起的新的安全問題。

目前，無線局域網(wǎng)接入設(shè)備的傳統(tǒng)安全問題主要涵蓋四個方面，即非法接入、無線竊聽、無線網(wǎng)絡(luò)干擾、 網(wǎng)絡(luò)攻擊及遠(yuǎn)程控制。

    非法接入可以從兩個角度去理解。一是用戶端非法連接無線接入設(shè)備，如WLAN用戶通過密碼破解等方式，非法連接到WLAN AP上，發(fā)動網(wǎng)絡(luò)攻擊。二是無線接入設(shè)備非法連接用戶端，如偽AP釣魚，入侵者通過硬件或軟件方式搭建偽造的無線局域網(wǎng)AP，誘導(dǎo)用戶接入到此偽AP上，并在用戶不知情的情況下收集用戶信息，執(zhí)行釣魚攻擊。

    無線竊聽的安全隱患正日漸突出。當(dāng)前，無線接入設(shè)備的空中接口是非法分子竊聽和攻擊的焦點(diǎn)，目前也存在很多商業(yè)和免費(fèi)的工具可以對無線局域網(wǎng)無線鏈路進(jìn)行抓包和解碼，獲取用戶應(yīng)用層傳輸數(shù)據(jù)，并可據(jù)此發(fā)動網(wǎng)絡(luò)攻擊，給用戶安全帶來威脅。

    無線網(wǎng)絡(luò)干擾會影響接入設(shè)備的正常使用。以WLAN AP為代表的無線接入設(shè)備主要工作在ISM頻段，因而難以實(shí)現(xiàn)統(tǒng)一有效的行業(yè)監(jiān)管和約束，攻擊者可以通過自主架設(shè)該類設(shè)備，給運(yùn)營商和用戶造成無線干擾，使上述設(shè)備無法正常使用。

    網(wǎng)絡(luò)攻擊及遠(yuǎn)程控制的風(fēng)險不容忽視。無線接入設(shè)備普遍面臨網(wǎng)絡(luò)攻擊、遠(yuǎn)程控制等安全問題，如對無線接入設(shè)備發(fā)起Ping Flood、DDoS等洪泛攻擊，可能導(dǎo)致設(shè)備癱瘓；針對無線接入設(shè)備的某些預(yù)設(shè)端口，通過構(gòu)造特定的用戶數(shù)據(jù)包開啟遠(yuǎn)程登錄服務(wù)，可對設(shè)備進(jìn)行遠(yuǎn)程控制，從而給用戶安全帶來極大威脅。

    值得一提的是，智能化引發(fā)了無線局域網(wǎng)接入設(shè)備新的安全問題。當(dāng)前，Android等智能操作系統(tǒng)引入無線接入設(shè)備上，使其與應(yīng)用商店相結(jié)合，成為各種應(yīng)用程序的承載平臺和傳播渠道。用戶可便利地接入網(wǎng)絡(luò)，同時安裝自己需要的應(yīng)用軟件，提升用戶體驗(yàn)。但由于Android操作系統(tǒng)具備開放的API，可被利用嵌入各類惡意代碼，在用戶不知情的情況下，后臺調(diào)用發(fā)送信息、聯(lián)網(wǎng)等功能，從而造成惡意吸費(fèi)、隱私被竊取甚至流量被劫持等安全威脅。

全面提升無線接入設(shè)備系統(tǒng)安全性

    從信息安全的角度分析，任何一個信息系統(tǒng)的安全問題都來源于兩個方面：自身的脆弱性以及外來的攻擊。只有當(dāng)這兩方面因素共同作用，才會引發(fā)安全事件。對這兩方面因素中的任何一個進(jìn)行防護(hù)，都可緩解甚至遏制安全問題的產(chǎn)生，從而達(dá)到信息系統(tǒng)機(jī)密性、完整性和可用性的要求。對于信息系統(tǒng)自身而言，由于信息系統(tǒng)總是處在復(fù)雜的應(yīng)用環(huán)境中，隨時可能受到各種有意無意的攻擊，因此只能盡量提升自身的安全防護(hù)能力，以對抗外來各種攻擊。

    從無線接入設(shè)備系統(tǒng)的結(jié)構(gòu)來看，最底層是硬件芯片層；之上為系統(tǒng)軟件層，主要包括操作系統(tǒng)和協(xié)議棧；頂層為應(yīng)用層，主要指加載的應(yīng)用軟件，包括預(yù)置應(yīng)用軟件及第三方應(yīng)用軟件；外圍接口主要涉及系統(tǒng)軟件層和硬件芯片層。

    如前所述，為抵抗外來攻擊，需從各層面增強(qiáng)無線接入設(shè)備安全防護(hù)能力，基本原則是不能在用戶不知情的情況下發(fā)生后臺調(diào)用系統(tǒng)資源等惡意行為。硬件層主要指芯片，是整個設(shè)備安全的根節(jié)點(diǎn)，應(yīng)通過排查隱秘通道及后門、設(shè)置遠(yuǎn)程控制開關(guān)等措施，建立芯片安全防護(hù)能力。系統(tǒng)軟件層一方面需對操作系統(tǒng)進(jìn)行加固，防止API濫用造成惡意吸費(fèi)、竊取用戶隱私、損壞設(shè)備功能等危害用戶安全的行為；另一方面需通過端口封堵、加載協(xié)議棧補(bǔ)丁等措施，建立協(xié)議棧安全防護(hù)能力。應(yīng)用層需對應(yīng)用軟件提出安全目標(biāo)，保證安裝到無線接入設(shè)備上的應(yīng)用軟件沒有損害用戶利益和危害網(wǎng)絡(luò)安全的行為。外圍接口層一方面要通過加密、鑒權(quán)和認(rèn)證等安全機(jī)制防止空中接口（WLAN、3G/4G、藍(lán)牙等）引起的非法接入、無線竊聽、無線網(wǎng)絡(luò)干擾等問題；另一方面要通過強(qiáng)化外圍接口管控能力，防止外圍接口被非法開啟、連接、調(diào)用而導(dǎo)致用戶數(shù)據(jù)泄露等安全問題。

作者：汪坤 夏駱輝 賀鵬 秦巖 陳永欣 來源：人民郵電報