劉國(guó)萍 ，劉建峰 /Liu Guoping，Liu Jianfeng

（1.中國(guó)電信北京研究院 北京 100035；2.北京市交通信息中心 北京 100073）

1 引言

當(dāng)前，移動(dòng)互聯(lián)網(wǎng)時(shí)代的信息安全成為業(yè)界關(guān)注的重點(diǎn)，Wi-Fi作為移動(dòng)互聯(lián)網(wǎng)的重要入口，其安全問(wèn)題更是全社會(huì)關(guān)注的焦點(diǎn)。央視 “3·15”晚會(huì)以大屏展示敏感信息的方式，向現(xiàn)場(chǎng)觀眾和全國(guó)觀眾說(shuō)明了使用不安全的公共Wi-Fi服務(wù)，尤其是釣魚Wi-Fi的嚴(yán)重后果和危害，這意味著未來(lái)很長(zhǎng)一段時(shí)間都將是用戶謹(jǐn)慎選擇Wi-Fi服務(wù)商品牌和建立信任感的過(guò)程。因此，在這個(gè)過(guò)程中，研究公共Wi-Fi服務(wù)存在的安全風(fēng)險(xiǎn)及如何建立可信Wi-Fi服務(wù)不僅對(duì)Wi-Fi服務(wù)提供商有參考價(jià)值，也對(duì)用戶增強(qiáng)Wi-Fi服務(wù)使用中的安全意識(shí)有指導(dǎo)意義。

根據(jù)應(yīng)用場(chǎng)景不同，目前Wi-Fi服務(wù)主要分為4類：家庭 Wi-Fi、企業(yè)內(nèi)部 Wi-Fi、商業(yè)場(chǎng)所 Wi-Fi和公共服務(wù)場(chǎng)所Wi-Fi等。其中，家庭和企業(yè)內(nèi)部的Wi-Fi服務(wù)多由家庭或企業(yè)內(nèi)部自建自營(yíng)，一般均通過(guò)網(wǎng)絡(luò)安全密鑰對(duì)Wi-Fi服務(wù)訪問(wèn)進(jìn)行安全保護(hù)，防止非授權(quán)的用戶使用Wi-Fi服務(wù)。商業(yè)場(chǎng)所和公共服務(wù)場(chǎng)所的Wi-Fi服務(wù)，因其龐大的客戶群體、靈活的商業(yè)模式及豐厚的潛在商業(yè)價(jià)值，吸引了各大互聯(lián)網(wǎng)公司、專業(yè)服務(wù)提供商及電信運(yùn)營(yíng)商投資建設(shè)，并向訪客提供免費(fèi)Wi-Fi服務(wù)。這種Wi-Fi服務(wù)多采用云端結(jié)合（云平臺(tái)+端接入設(shè)備）的模式來(lái)構(gòu)建Wi-Fi基礎(chǔ)設(shè)施，這樣，一方面可通過(guò)多租戶資源共享降低基礎(chǔ)設(shè)施建設(shè)成本；另一方面可按需向訪客提供靈活便捷的基于Web的驗(yàn)證模式，如短信驗(yàn)證碼或一鍵登錄等方式，以方便訪客使用。然而，這種Wi-Fi服務(wù)訪問(wèn)的便利性也給Wi-Fi服務(wù)使用帶來(lái)了安全隱患，“3·15”曝光的主要是這兩種場(chǎng)景下的Wi-Fi服務(wù)安全隱患。為了區(qū)分清楚，本文對(duì)這種基于云平臺(tái)的新型Wi-Fi服務(wù)統(tǒng)稱為云Wi-Fi服務(wù)。

實(shí)際上，無(wú)論是哪種場(chǎng)景的Wi-Fi服務(wù)都存在惡意釣魚AP、網(wǎng)絡(luò)嗅探攻擊、中間人攻擊、無(wú)線DDoS攻擊、非法服務(wù)訪問(wèn)以及惡意信息發(fā)布等安全隱患。對(duì)于家庭Wi-Fi和企業(yè)內(nèi)部Wi-Fi，由于物理區(qū)域的相對(duì)封閉性、訪問(wèn)人員身份的相對(duì)確定性以及服務(wù)建、管、用、維身份的一致性，無(wú)線訪問(wèn)的安全問(wèn)題相對(duì)不是很突出；商業(yè)場(chǎng)所和公共服務(wù)場(chǎng)所的Wi-Fi服務(wù)則因訪問(wèn)人員身份的不確定性、服務(wù)受眾的龐雜性以及服務(wù)建、管、用、維身份的多重性，其安全問(wèn)題將變得更加重要且棘手，因此，本文重點(diǎn)分析這兩種場(chǎng)景下云Wi-Fi服務(wù)的系統(tǒng)組成及潛在安全風(fēng)險(xiǎn)，并給出解決方案及關(guān)鍵技術(shù)實(shí)施建議。

2 云W i-Fi服務(wù)的系統(tǒng)模型

云Wi-Fi服務(wù)的系統(tǒng)模型包括系統(tǒng)架構(gòu)模型和工作流模型。

2.1 系統(tǒng)架構(gòu)模型

云Wi-Fi服務(wù)的系統(tǒng)架構(gòu)模型如圖1所示。系統(tǒng)架構(gòu)模型由服務(wù)提供商集中部署的云端服務(wù)平臺(tái)（CSP）、客戶側(cè)分散部署的無(wú)線接入設(shè)備（AP）以及訪客接入終端（Client）3個(gè)部分組成，是典型的“云—管—端”服務(wù)模型。其中，CSP的主要作用是對(duì)接入Wi-Fi服務(wù)的訪客提供基于Web的服務(wù)認(rèn)證，對(duì)所有客戶側(cè)部署的AP設(shè)備進(jìn)行集中配置管理和服務(wù)狀態(tài)監(jiān)控，向Client提供基于Portal的業(yè)務(wù)推送、廣告展示及其他個(gè)性化內(nèi)容推送；AP創(chuàng)建并維護(hù)Client對(duì)無(wú)線網(wǎng)絡(luò)接入訪問(wèn)許可列表，并記錄Client訪問(wèn)信息及上網(wǎng)行為；Client則在通過(guò)系統(tǒng)驗(yàn)證后按需訪問(wèn)其他任何互聯(lián)網(wǎng)服務(wù)。

2.2 工作流模型

云Wi-Fi服務(wù)的工作流模型如圖2所示。Client首先向AP發(fā)起Web訪問(wèn)請(qǐng)求；AP根據(jù)預(yù)先配置到AP上的CSP訪問(wèn)URL信息，將Client的Web訪問(wèn)重定向到該CSP上，CSP向Client返回登錄認(rèn)證頁(yè)，Client根據(jù)頁(yè)面提示信息輸入登錄認(rèn)證信息并提交CSP，CSP產(chǎn)生此次會(huì)話Token并將Client請(qǐng)求重定向到 AP，Client攜帶該 Token再次訪問(wèn)AP，AP向CSP請(qǐng)求驗(yàn)證該Token的有效性，驗(yàn)證通過(guò)后，AP將Client的Web請(qǐng)求重定向到系統(tǒng)預(yù)設(shè)的頁(yè)面，之后在該Token有效期內(nèi)，用戶可通過(guò)此Wi-Fi服務(wù)訪問(wèn)其他任何Web網(wǎng)站。

云Wi-Fi服務(wù)這種云端結(jié)合的多租戶服務(wù)模型有助于實(shí)現(xiàn)對(duì)分散部署客戶側(cè)的AP設(shè)備的集中管理、業(yè)務(wù)提供的個(gè)性化推送以及服務(wù)內(nèi)容的集約化運(yùn)營(yíng)，但相對(duì)于以單租戶形式僅提供無(wú)線網(wǎng)絡(luò)接入服務(wù)的傳統(tǒng)Wi-Fi服務(wù)而言，這種無(wú)線網(wǎng)絡(luò)服務(wù)訪問(wèn)的便捷性也給云Wi-Fi服務(wù)的安全帶來(lái)了極大隱患。

3 云W i-Fi服務(wù)的安全風(fēng)險(xiǎn)

參照?qǐng)D1所示，云Wi-Fi服務(wù)存在的安全威脅可分為以下兩大類。

一類安全威脅是提供服務(wù)的AP和CSP均是合法的，但接入服務(wù)的用戶或從互聯(lián)網(wǎng)來(lái)的用戶可能是惡意用戶，如圖3所示。在這類安全威脅中，惡意用戶通過(guò)對(duì)服務(wù)模型元素或其依賴的底層網(wǎng)絡(luò)進(jìn)行攻擊，使其不能按預(yù)期提供服務(wù)，如篡改AP上預(yù)先配置的DNS服務(wù)器地址（DNS篡改），對(duì)CSP進(jìn)行HTTPGet泛洪（DoS/DDoS攻擊）等，或?qū)υ亻g的通信報(bào)文進(jìn)行截獲以盜取正常用戶的隱私信息，如對(duì)AP與Client或AP與CSP間的通信報(bào)文進(jìn)行截獲并篡改（中間人攻擊）。

另一類安全威脅是用戶是正常的，但提供服務(wù)的關(guān)鍵元素AP和CSP被仿冒或被控制，如圖4所示。在這類安全威脅中，仿冒AP通過(guò)偽造和正常AP一樣的無(wú)線連接標(biāo)識(shí)符（SSID），讓不知情的訪客在無(wú)意識(shí)中將手機(jī)號(hào)碼、銀行賬號(hào)、密碼等隱私信息及其他上網(wǎng)行為等數(shù)據(jù)被該仿冒AP所采集，并通過(guò)其連接的云端平臺(tái)CSP將采集到的用戶隱私數(shù)據(jù)上報(bào)到平臺(tái)上，最終被非法利用。

綜合上述兩大類安全威脅，并結(jié)合“云—管—端”模型的特點(diǎn)及網(wǎng)絡(luò)信息安全評(píng)價(jià)指標(biāo)（保密性、完整性、真實(shí)性、可靠性、可用性、不可抵賴性），對(duì)云Wi-Fi服務(wù)可能帶來(lái)的安全風(fēng)險(xiǎn)進(jìn)行列舉，見表1。

4 可信云W i-Fi服務(wù)技術(shù)方案及關(guān)鍵技術(shù)研究

基于云Wi-Fi服務(wù)系統(tǒng)模型，針對(duì)可能存在的安全風(fēng)險(xiǎn)類型，給出基于“云—管—端”一體的可信云Wi-Fi服務(wù)整體方案，如圖5所示。以下是對(duì)該方案的具體闡述及關(guān)鍵實(shí)施技術(shù)分析。

4.1 云——安全服務(wù)平臺(tái)

表1 云Wi-Fi服務(wù)的安全風(fēng)險(xiǎn)

在可信云Wi-Fi服務(wù)的整體解決方案中，云端安全服務(wù)平臺(tái)是保障云Wi-Fi服務(wù)安全的核心部件。云端安全服務(wù)平臺(tái)包括CSP和云端安全服務(wù)監(jiān)控平臺(tái)（SOC），CSP除了提供對(duì)AP設(shè)備的常見管理功能外，更重要的是還提供了可信Wi-Fi熱點(diǎn)庫(kù)數(shù)據(jù)源，包括自有部署的可信Wi-Fi熱點(diǎn)庫(kù)及第三方合作的可信Wi-Fi熱點(diǎn)庫(kù)，這從根本上保障了用戶所連接的Wi-Fi熱點(diǎn)是安全可信的；SOC將云Wi-Fi服務(wù)系統(tǒng)的核心部件——云Wi-Fi服務(wù)平臺(tái)CSP、接入網(wǎng)絡(luò)AN和接入設(shè)備AP等系統(tǒng)的安全管理與監(jiān)控統(tǒng)一納入其中，包括集中安全事件管理、配置核查管理、系統(tǒng)漏洞掃描管理、4A（Authentication、Account、Authorization、Audit，認(rèn)證、賬號(hào)、授權(quán)、審計(jì)）管理、安全風(fēng)險(xiǎn)管理等安全管理功能，還可通過(guò)接入網(wǎng)絡(luò)設(shè)備或AP設(shè)備對(duì)非法訪問(wèn)行為實(shí)現(xiàn)聯(lián)動(dòng)式阻斷。具體安全技術(shù)實(shí)施包括但不限于以下4種。

（1）應(yīng)用訪問(wèn)控制

應(yīng)用訪問(wèn)控制屬應(yīng)用層安全措施，提供包括用戶身份驗(yàn)證、SSH/HTTPS訪問(wèn)、非法訪問(wèn)聯(lián)動(dòng)式阻斷、敏感信息加密等安全防護(hù)能力。

（2）服務(wù)狀態(tài)監(jiān)測(cè)

服務(wù)狀態(tài)監(jiān)測(cè)屬服務(wù)層安全措施，CSP平臺(tái)提供多種Web服務(wù)，同時(shí)，AN、AP設(shè)備也多采用Web方式管理，都運(yùn)行著httpd等Web服務(wù)。通過(guò)在SOC和CSP、AN和AP間部署異常流量監(jiān)控分析系統(tǒng)和攻擊溯源分析系統(tǒng)，實(shí)現(xiàn)對(duì)各系統(tǒng)Web服務(wù)狀態(tài)防DoS及DDoS攻擊檢測(cè)和其他異常流量監(jiān)測(cè)，并提供事后溯源追蹤分析數(shù)據(jù)。

（3）系統(tǒng)漏洞掃描

系統(tǒng)漏洞掃描屬系統(tǒng)層安全措施，針對(duì)CSP平臺(tái)、AN和AP設(shè)備等部署漏洞掃描系統(tǒng)，定制進(jìn)行漏洞掃描，并按需及時(shí)對(duì)漏洞進(jìn)行修補(bǔ)，提升系統(tǒng)及設(shè)備自身的安全性，降低被攻擊利用的可能性。

（4）硬件工作狀態(tài)監(jiān)測(cè)

硬件工作狀態(tài)監(jiān)測(cè)物理層安全，監(jiān)測(cè)AP、AN和CSP的上下電及重啟等事件，并產(chǎn)生告警事件以供運(yùn)維人員運(yùn)維參考。

4.2 管——接入設(shè)備深層定制

在可信云Wi-Fi服務(wù)解決方案中，接入設(shè)備AP自身的安全保障能力對(duì)構(gòu)建整個(gè)可信云Wi-Fi服務(wù)體系具有至關(guān)重要的作用。通過(guò)AP的深度定制，可以從網(wǎng)絡(luò)通道入口上減少云Wi-Fi服務(wù)的安全隱患，極大地提升云Wi-Fi服務(wù)的安全性。

電信運(yùn)營(yíng)商作為云Wi-Fi服務(wù)的提供商，在設(shè)備深度定制上擁有較強(qiáng)的優(yōu)勢(shì)：擁有上萬(wàn)規(guī)模的Wi-Fi設(shè)備資產(chǎn)的完全掌控權(quán)，可以基于Wi-Fi接入設(shè)備對(duì)設(shè)備硬件層、操作系統(tǒng)核心層到應(yīng)用層等進(jìn)行多層次深度定制，甚至可以從接入設(shè)備、網(wǎng)絡(luò)設(shè)備到服務(wù)平臺(tái)開展端到端的聯(lián)合深度定制。AP設(shè)備定制包括芯片級(jí)的跨頻道攻擊防護(hù)與DPI深度檢測(cè)、操作系統(tǒng)級(jí)的防ARP攻擊和防DNS篡改加解密等能力，以建立全方位的聯(lián)動(dòng)防護(hù)體系，實(shí)現(xiàn)Wi-Fi服務(wù)安全由事后被動(dòng)追查向事前防御、事中防護(hù)、事后追查相結(jié)合的主動(dòng)防御體系的轉(zhuǎn)變。

4.3 端——安全管理

用戶移動(dòng)終端是可信Wi-Fi服務(wù)解決方案的末梢單元，既可能是云Wi-Fi服務(wù)安全的施害方，也可能是不安全云Wi-Fi服務(wù)的受害方。作為正常的移動(dòng)終端用戶，做好終端安全管理是增強(qiáng)自身安全防護(hù)能力的重要措施。

終端的安全管理包括以下兩個(gè)層面。

（1）終端系統(tǒng)本身的安全防護(hù)能力加固

云Wi-Fi的接入終端通常是客戶端，如手機(jī)、Pad和筆記本電腦等，增強(qiáng)接入的移動(dòng)終端的安全防護(hù)能力通常是通過(guò)在終端上部署專用安全防護(hù)軟件，提供病毒查殺、應(yīng)用訪問(wèn)權(quán)限管理、防釣魚網(wǎng)站檢測(cè)、防ARP欺騙和間諜軟件等功能，保障移動(dòng)終端設(shè)備的使用安全性。

（2）可信無(wú)線連接客戶端軟件或插件

基于此可增強(qiáng)移動(dòng)終端訪問(wèn)Wi-Fi服務(wù)的安全性。結(jié)合AP設(shè)備深度定制和可信熱點(diǎn)數(shù)據(jù)池等能力，在可信無(wú)線連接軟件或插件上提供可信熱點(diǎn)連接導(dǎo)航圖、非可信熱點(diǎn)標(biāo)識(shí)及連接風(fēng)險(xiǎn)提示、敏感信息加密等安全防護(hù)能力，從用戶第一訪問(wèn)界面上保障其接入的是合法的Wi-Fi服務(wù)。

5 結(jié)束語(yǔ)

本文基于云Wi-Fi服務(wù)系統(tǒng)模型分析了目前存在的兩類云Wi-Fi安全風(fēng)險(xiǎn)，在此基礎(chǔ)上，給出了“云—管—端”一體的可信Wi-Fi服務(wù)技術(shù)方案，并對(duì)關(guān)鍵技術(shù)的實(shí)施給出了相關(guān)建議。

最后，針對(duì)云Wi-Fi服務(wù)的安全攻擊，尤其是偽AP釣魚的技術(shù)門檻相對(duì)較低，單純依靠安全技術(shù)的實(shí)施難以完全杜絕安全風(fēng)險(xiǎn)，需要社會(huì)各方共同努力。相關(guān)監(jiān)管部門需加快立法進(jìn)程，加大監(jiān)管制度保障，網(wǎng)民需提高自身約束和自我監(jiān)管意識(shí)，品牌Wi-Fi提供商需開放、共享自有Wi-Fi資源，聯(lián)手構(gòu)建安全Wi-Fi聯(lián)盟，以共同創(chuàng)建一個(gè)和諧、健康的網(wǎng)絡(luò)生態(tài)環(huán)境。

[1] 徐剛.構(gòu)建安全無(wú)線環(huán)境，讓釣魚Wi-Fi無(wú)處藏身[EB/OL].http://www.cnki.net.

[2]盛仲飆.Wi-Fi無(wú)線網(wǎng)絡(luò)技術(shù)及安全性研究[J].電子設(shè)計(jì)工程，2012，20（16）.

[3] 譚彥，厲萍，盧洪濤等.Wi-Fi無(wú)線釣魚攻擊分析及應(yīng)對(duì)技術(shù)研究[EB/OL].http://www.cnki.net.