移動(dòng)互聯(lián)網(wǎng)時(shí)代如何保障無(wú)線接入設(shè)備安全

移動(dòng)互聯(lián)網(wǎng)、移動(dòng)智能終端的快速興起，正在推動(dòng)無(wú)線接入技術(shù)的快速發(fā)展。尤其是伴隨著全球移動(dòng)數(shù)據(jù)流量的激增，以WiFi為代表的無(wú)線接入技術(shù)正在成為緩解蜂窩網(wǎng)絡(luò)壓力的有力手段。在旺盛的市場(chǎng)需求推動(dòng)下，無(wú)線接入技術(shù)正在加快革命步伐，無(wú)線接入設(shè)備的種類也日漸增多，而由于海量設(shè)備的存在以及網(wǎng)絡(luò)復(fù)雜度的提升，使得無(wú)線接入設(shè)備和網(wǎng)絡(luò)的安全也成為一個(gè)突出問(wèn)題。

隨著寬帶服務(wù)的普及，無(wú)線接入設(shè)備已經(jīng)不僅用于小范圍內(nèi)的局域網(wǎng)互連，而是更多地作為移動(dòng)互聯(lián)網(wǎng)的“最后一公里”入口，成為移動(dòng)互聯(lián)網(wǎng)不可或缺的承載平臺(tái)。當(dāng)前，由于無(wú)線接入設(shè)備與互聯(lián)網(wǎng)直接相連，網(wǎng)絡(luò)環(huán)境復(fù)雜，數(shù)量眾多，且智能化發(fā)展導(dǎo)致設(shè)備形態(tài)不斷豐富，其安全問(wèn)題日益凸顯。那么，無(wú)線接入設(shè)備的安全問(wèn)題主要有哪些？是否有辦法規(guī)避和解決？

無(wú)線接入設(shè)備種類日漸豐富

隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展，尤其是智能操作系統(tǒng)的廣泛應(yīng)用，出現(xiàn)了不同形態(tài)的無(wú)線接入設(shè)備，其結(jié)構(gòu)和應(yīng)用原理也有所區(qū)別，以滿足不同的應(yīng)用場(chǎng)景和需求。大致上看，目前的無(wú)線局域網(wǎng)設(shè)備可以分為傳統(tǒng)無(wú)線局域網(wǎng)設(shè)備和新型無(wú)線局域網(wǎng)設(shè)備兩大類。

傳統(tǒng)無(wú)線局域網(wǎng)設(shè)備

傳統(tǒng)無(wú)線局域網(wǎng)設(shè)備主要指無(wú)線局域網(wǎng)AP（WLAN AP），根據(jù)應(yīng)用場(chǎng)合及部署方式不同，其可分為運(yùn)營(yíng)級(jí)AP和家用級(jí)AP.

運(yùn)營(yíng)級(jí)AP多使用“瘦AP”，主要由運(yùn)營(yíng)商部署在酒店、機(jī)場(chǎng)等熱點(diǎn)地區(qū)。通常此類AP僅具有簡(jiǎn)單的二層轉(zhuǎn)發(fā)功能，用于完成WLAN覆蓋和接入，網(wǎng)絡(luò)運(yùn)營(yíng)所需的設(shè)備配置、路由、計(jì)費(fèi)等功能，由AP上聯(lián)的AC（接入控制器）和AS（接入服務(wù)器）集中控制完成，普通用戶一般無(wú)法獲得“瘦AP”的配置管理權(quán)限。

家用級(jí)AP多使用“胖AP”，除具有無(wú)線接入與覆蓋功能外，還具有無(wú)線參數(shù)選擇、路由、安全等功能，一般用戶可自行完成配置和管理。“胖AP”具有用戶側(cè)（LAN）接口和網(wǎng)絡(luò)側(cè)（WAN）接口，LAN接口用于實(shí)現(xiàn)無(wú)線接入與覆蓋，WAN接口通過(guò)固定寬帶接入（如以太網(wǎng)、DSL、PON等）與互聯(lián)網(wǎng)連接，同時(shí)還支持DHCP、DNS、PPPoE、VPN等與接入控制、地址分配、路由功能等相關(guān)的協(xié)議，以實(shí)現(xiàn)設(shè)備配置、路由、安全等功能。

新型無(wú)線局域網(wǎng)設(shè)備

隨著用戶接入需求的不斷升級(jí)，出現(xiàn)了多種新型無(wú)線接入設(shè)備，以滿足用戶在不同應(yīng)用場(chǎng)景下的接入需求。如3G/4G無(wú)線路由器（Mi-Fi/LTE-Fi）、智能無(wú)線路由器、智能盒子等。

3G/4G無(wú)線路由器突破了傳統(tǒng)WLAN AP必須采用有線方式接入互聯(lián)網(wǎng)的局限性，其WAN側(cè)接口通過(guò)3G/4G蜂窩網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)回傳。根據(jù)蜂窩回傳方式的不同，3G/4G無(wú)線路由器可分為Mi-Fi（3G回傳）和LTE-Fi（LTE回傳）接入設(shè)備。

由于Mi-Fi和LTE-Fi可實(shí)現(xiàn)多個(gè)用戶通過(guò)WLAN接入同一蜂窩網(wǎng)絡(luò)的目標(biāo)，故廣泛應(yīng)用于家庭、小型辦公環(huán)境及特定行業(yè)應(yīng)用（油田、電力、公交、酒店、商場(chǎng)等）環(huán)境。Mi-Fi和LTE-Fi通常具有協(xié)議轉(zhuǎn)換（3G/4G-WLAN）、WLAN無(wú)線接入及路由/管理功能。協(xié)議轉(zhuǎn)換功能將3G/4G網(wǎng)絡(luò)轉(zhuǎn)換成無(wú)線局域網(wǎng)接入，WLAN無(wú)線接入功能實(shí)現(xiàn)WLAN覆蓋和接入，而路由/管理功能用于WLAN接入網(wǎng)絡(luò)與3G/4G網(wǎng)絡(luò)之間的路由和地址映射，使得多個(gè)WLAN用戶可共享同一3G/4G網(wǎng)絡(luò)連接并具有相應(yīng)的配置、安全、管理等功能。該類設(shè)備由運(yùn)營(yíng)商進(jìn)行集采或市面自主銷售，最終由用戶進(jìn)行使用，一般無(wú)需電信運(yùn)營(yíng)商統(tǒng)一配置管理，用戶自行對(duì)此類設(shè)備進(jìn)行配置和管理。

智能無(wú)線路由器就是采用智能化操作系統(tǒng)的無(wú)線局域網(wǎng)AP.與傳統(tǒng)無(wú)線局域網(wǎng)AP相比，智能無(wú)線路由器具有應(yīng)用層流量控制、應(yīng)用軟件安裝，甚至視頻、游戲等第三方服務(wù)端資源搭載類擴(kuò)展性功能，因而成為目前的一個(gè)應(yīng)用熱點(diǎn)，其典型設(shè)備包括極路由、小米路由、360路由等。

智能盒子類似于機(jī)頂盒設(shè)備，其網(wǎng)絡(luò)側(cè)通過(guò)WLAN接口與互聯(lián)網(wǎng)相連，用戶側(cè)通過(guò)HDMI等視頻接口與電視、電腦等終端相連，實(shí)現(xiàn)內(nèi)容共享。此外，還可根據(jù)用戶需要安裝應(yīng)用軟件，從而拓展移動(dòng)互聯(lián)網(wǎng)的應(yīng)用場(chǎng)景，因而引起了業(yè)界和用戶的極大關(guān)注，典型設(shè)備包括小米盒子、華為秘盒等。

兩大類安全問(wèn)題不容忽視

無(wú)線局域網(wǎng)接入設(shè)備安全問(wèn)題主要分為兩類：一是傳統(tǒng)無(wú)線接入設(shè)備存在的安全問(wèn)題，二是智能化引起的新的安全問(wèn)題。

目前，無(wú)線局域網(wǎng)接入設(shè)備的傳統(tǒng)安全問(wèn)題主要涵蓋四個(gè)方面，即非法接入、無(wú)線竊聽(tīng)、無(wú)線網(wǎng)絡(luò)干擾、網(wǎng)絡(luò)攻擊及遠(yuǎn)程控制。

非法接入可以從兩個(gè)角度去理解。一是用戶端非法連接無(wú)線接入設(shè)備，如WLAN用戶通過(guò)密碼破解等方式，非法連接到WLAN AP上，發(fā)動(dòng)網(wǎng)絡(luò)攻擊。二是無(wú)線接入設(shè)備非法連接用戶端，如偽AP釣魚(yú)，入侵者通過(guò)硬件或軟件方式搭建偽造的無(wú)線局域網(wǎng)AP，誘導(dǎo)用戶接入到此偽AP上，并在用戶不知情的情況下收集用戶信息，執(zhí)行釣魚(yú)攻擊。

無(wú)線竊聽(tīng)的安全隱患正日漸突出。當(dāng)前，無(wú)線接入設(shè)備的空中接口是非法分子竊聽(tīng)和攻擊的焦點(diǎn)，目前也存在很多商業(yè)和免費(fèi)的工具可以對(duì)無(wú)線局域網(wǎng)無(wú)線鏈路進(jìn)行抓包和解碼，獲取用戶應(yīng)用層傳輸數(shù)據(jù)，并可據(jù)此發(fā)動(dòng)網(wǎng)絡(luò)攻擊，給用戶安全帶來(lái)威脅。

無(wú)線網(wǎng)絡(luò)干擾會(huì)影響接入設(shè)備的正常使用。以WLAN AP為代表的無(wú)線接入設(shè)備主要工作在ISM頻段，因而難以實(shí)現(xiàn)統(tǒng)一有效的行業(yè)監(jiān)管和約束，攻擊者可以通過(guò)自主架設(shè)該類設(shè)備，給運(yùn)營(yíng)商和用戶造成無(wú)線干擾，使上述設(shè)備無(wú)法正常使用。

網(wǎng)絡(luò)攻擊及遠(yuǎn)程控制的風(fēng)險(xiǎn)不容忽視。無(wú)線接入設(shè)備普遍面臨網(wǎng)絡(luò)攻擊、遠(yuǎn)程控制等安全問(wèn)題，如對(duì)無(wú)線接入設(shè)備發(fā)起Ping Flood、DDoS等洪泛攻擊，可能導(dǎo)致設(shè)備癱瘓；針對(duì)無(wú)線接入設(shè)備的某些預(yù)設(shè)端口，通過(guò)構(gòu)造特定的用戶數(shù)據(jù)包開(kāi)啟遠(yuǎn)程登錄服務(wù)，可對(duì)設(shè)備進(jìn)行遠(yuǎn)程控制，從而給用戶安全帶來(lái)極大威脅。

值得一提的是，智能化引發(fā)了無(wú)線局域網(wǎng)接入設(shè)備新的安全問(wèn)題。當(dāng)前，Android等智能操作系統(tǒng)引入無(wú)線接入設(shè)備上，使其與應(yīng)用商店相結(jié)合，成為各種應(yīng)用程序的承載平臺(tái)和傳播渠道。用戶可便利地接入網(wǎng)絡(luò)，同時(shí)安裝自己需要的應(yīng)用軟件，提升用戶體驗(yàn)。但由于Android操作系統(tǒng)具備開(kāi)放的API，可被利用嵌入各類惡意代碼，在用戶不知情的情況下，后臺(tái)調(diào)用發(fā)送信息、聯(lián)網(wǎng)等功能，從而造成惡意吸費(fèi)、隱私被竊取甚至流量被劫持等安全威脅。

全面提升無(wú)線接入設(shè)備系統(tǒng)安全性

從信息安全的角度分析，任何一個(gè)信息系統(tǒng)的安全問(wèn)題都來(lái)源于兩個(gè)方面：自身的脆弱性以及外來(lái)的攻擊。只有當(dāng)這兩方面因素共同作用，才會(huì)引發(fā)安全事件。對(duì)這兩方面因素中的任何一個(gè)進(jìn)行防護(hù)，都可緩解甚至遏制安全問(wèn)題的產(chǎn)生，從而達(dá)到信息系統(tǒng)機(jī)密性、完整性和可用性的要求。對(duì)于信息系統(tǒng)自身而言，由于信息系統(tǒng)總是處在復(fù)雜的應(yīng)用環(huán)境中，隨時(shí)可能受到各種有意無(wú)意的攻擊，因此只能盡量提升自身的安全防護(hù)能力，以對(duì)抗外來(lái)各種攻擊。

從無(wú)線接入設(shè)備系統(tǒng)的結(jié)構(gòu)來(lái)看，最底層是硬件芯片層；之上為系統(tǒng)軟件層，主要包括操作系統(tǒng)和協(xié)議棧；頂層為應(yīng)用層，主要指加載的應(yīng)用軟件，包括預(yù)置應(yīng)用軟件及第三方應(yīng)用軟件；外圍接口主要涉及系統(tǒng)軟件層和硬件芯片層。

如前所述，為抵抗外來(lái)攻擊，需從各層面增強(qiáng)無(wú)線接入設(shè)備安全防護(hù)能力，基本原則是不能在用戶不知情的情況下發(fā)生后臺(tái)調(diào)用系統(tǒng)資源等惡意行為。硬件層主要指芯片，是整個(gè)設(shè)備安全的根節(jié)點(diǎn)，應(yīng)通過(guò)排查隱秘通道及后門(mén)、設(shè)置遠(yuǎn)程控制開(kāi)關(guān)等措施，建立芯片安全防護(hù)能力。系統(tǒng)軟件層一方面需對(duì)操作系統(tǒng)進(jìn)行加固，防止API濫用造成惡意吸費(fèi)、竊取用戶隱私、損壞設(shè)備功能等危害用戶安全的行為；另一方面需通過(guò)端口封堵、加載協(xié)議棧補(bǔ)丁等措施，建立協(xié)議棧安全防護(hù)能力。應(yīng)用層需對(duì)應(yīng)用軟件提出安全目標(biāo)，保證安裝到無(wú)線接入設(shè)備上的應(yīng)用軟件沒(méi)有損害用戶利益和危害網(wǎng)絡(luò)安全的行為。外圍接口層一方面要通過(guò)加密、鑒權(quán)和認(rèn)證等安全機(jī)制防止空中接口（WLAN、3G/4G、藍(lán)牙等）引起的非法接入、無(wú)線竊聽(tīng)、無(wú)線網(wǎng)絡(luò)干擾等問(wèn)題；另一方面要通過(guò)強(qiáng)化外圍接口管控能力，防止外圍接口被非法開(kāi)啟、連接、調(diào)用而導(dǎo)致用戶數(shù)據(jù)泄露等安全問(wèn)題。