移動互聯(lián)網(wǎng)時代如何保障無線接入設(shè)備安全
移動互聯(lián)網(wǎng)、移動智能終端的快速興起,正在推動無線接入技術(shù)的快速發(fā)展。尤其是伴隨著全球移動數(shù)據(jù)流量的激增,以WiFi為代表的無線接入技術(shù)正在成為緩解蜂窩網(wǎng)絡(luò)壓力的有力手段。在旺盛的市場需求推動下,無線接入技術(shù)正在加快革命步伐,無線接入設(shè)備的種類也日漸增多,而由于海量設(shè)備的存在以及網(wǎng)絡(luò)復(fù)雜度的提升,使得無線接入設(shè)備和網(wǎng)絡(luò)的安全也成為一個突出問題。
隨著寬帶服務(wù)的普及,無線接入設(shè)備已經(jīng)不僅用于小范圍內(nèi)的局域網(wǎng)互連,而是更多地作為移動互聯(lián)網(wǎng)的“最后一公里”入口,成為移動互聯(lián)網(wǎng)不可或缺的承載平臺。當(dāng)前,由于無線接入設(shè)備與互聯(lián)網(wǎng)直接相連,網(wǎng)絡(luò)環(huán)境復(fù)雜,數(shù)量眾多,且智能化發(fā)展導(dǎo)致設(shè)備形態(tài)不斷豐富,其安全問題日益凸顯。那么,無線接入設(shè)備的安全問題主要有哪些?是否有辦法規(guī)避和解決?
無線接入設(shè)備種類日漸豐富
隨著移動互聯(lián)網(wǎng)的發(fā)展,尤其是智能操作系統(tǒng)的廣泛應(yīng)用,出現(xiàn)了不同形態(tài)的無線接入設(shè)備,其結(jié)構(gòu)和應(yīng)用原理也有所區(qū)別,以滿足不同的應(yīng)用場景和需求。大致上看,目前的無線局域網(wǎng)設(shè)備可以分為傳統(tǒng)無線局域網(wǎng)設(shè)備和新型無線局域網(wǎng)設(shè)備兩大類。
傳統(tǒng)無線局域網(wǎng)設(shè)備
傳統(tǒng)無線局域網(wǎng)設(shè)備主要指無線局域網(wǎng)AP(WLAN AP),根據(jù)應(yīng)用場合及部署方式不同,其可分為運(yùn)營級AP和家用級AP.
運(yùn)營級AP多使用“瘦AP”,主要由運(yùn)營商部署在酒店、機(jī)場等熱點(diǎn)地區(qū)。通常此類AP僅具有簡單的二層轉(zhuǎn)發(fā)功能,用于完成WLAN覆蓋和接入,網(wǎng)絡(luò)運(yùn)營所需的設(shè)備配置、路由、計(jì)費(fèi)等功能,由AP上聯(lián)的AC(接入控制器)和AS(接入服務(wù)器)集中控制完成,普通用戶一般無法獲得“瘦AP”的配置管理權(quán)限。
家用級AP多使用“胖AP”,除具有無線接入與覆蓋功能外,還具有無線參數(shù)選擇、路由、安全等功能,一般用戶可自行完成配置和管理。“胖AP”具有用戶側(cè)(LAN)接口和網(wǎng)絡(luò)側(cè)(WAN)接口,LAN接口用于實(shí)現(xiàn)無線接入與覆蓋,WAN接口通過固定寬帶接入(如以太網(wǎng)、DSL、PON等)與互聯(lián)網(wǎng)連接,同時還支持DHCP、DNS、PPPoE、VPN等與接入控制、地址分配、路由功能等相關(guān)的協(xié)議,以實(shí)現(xiàn)設(shè)備配置、路由、安全等功能。
新型無線局域網(wǎng)設(shè)備
隨著用戶接入需求的不斷升級,出現(xiàn)了多種新型無線接入設(shè)備,以滿足用戶在不同應(yīng)用場景下的接入需求。如3G/4G無線路由器(Mi-Fi/LTE-Fi)、智能無線路由器、智能盒子等。
3G/4G無線路由器突破了傳統(tǒng)WLAN AP必須采用有線方式接入互聯(lián)網(wǎng)的局限性,其WAN側(cè)接口通過3G/4G蜂窩網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)回傳。根據(jù)蜂窩回傳方式的不同,3G/4G無線路由器可分為Mi-Fi(3G回傳)和LTE-Fi(LTE回傳)接入設(shè)備。
由于Mi-Fi和LTE-Fi可實(shí)現(xiàn)多個用戶通過WLAN接入同一蜂窩網(wǎng)絡(luò)的目標(biāo),故廣泛應(yīng)用于家庭、小型辦公環(huán)境及特定行業(yè)應(yīng)用(油田、電力、公交、酒店、商場等)環(huán)境。Mi-Fi和LTE-Fi通常具有協(xié)議轉(zhuǎn)換(3G/4G-WLAN)、WLAN無線接入及路由/管理功能。協(xié)議轉(zhuǎn)換功能將3G/4G網(wǎng)絡(luò)轉(zhuǎn)換成無線局域網(wǎng)接入,WLAN無線接入功能實(shí)現(xiàn)WLAN覆蓋和接入,而路由/管理功能用于WLAN接入網(wǎng)絡(luò)與3G/4G網(wǎng)絡(luò)之間的路由和地址映射,使得多個WLAN用戶可共享同一3G/4G網(wǎng)絡(luò)連接并具有相應(yīng)的配置、安全、管理等功能。該類設(shè)備由運(yùn)營商進(jìn)行集采或市面自主銷售,最終由用戶進(jìn)行使用,一般無需電信運(yùn)營商統(tǒng)一配置管理,用戶自行對此類設(shè)備進(jìn)行配置和管理。
智能無線路由器就是采用智能化操作系統(tǒng)的無線局域網(wǎng)AP.與傳統(tǒng)無線局域網(wǎng)AP相比,智能無線路由器具有應(yīng)用層流量控制、應(yīng)用軟件安裝,甚至視頻、游戲等第三方服務(wù)端資源搭載類擴(kuò)展性功能,因而成為目前的一個應(yīng)用熱點(diǎn),其典型設(shè)備包括極路由、小米路由、360路由等。
智能盒子類似于機(jī)頂盒設(shè)備,其網(wǎng)絡(luò)側(cè)通過WLAN接口與互聯(lián)網(wǎng)相連,用戶側(cè)通過HDMI等視頻接口與電視、電腦等終端相連,實(shí)現(xiàn)內(nèi)容共享。此外,還可根據(jù)用戶需要安裝應(yīng)用軟件,從而拓展移動互聯(lián)網(wǎng)的應(yīng)用場景,因而引起了業(yè)界和用戶的極大關(guān)注,典型設(shè)備包括小米盒子、華為秘盒等。
兩大類安全問題不容忽視
無線局域網(wǎng)接入設(shè)備安全問題主要分為兩類:一是傳統(tǒng)無線接入設(shè)備存在的安全問題,二是智能化引起的新的安全問題。
目前,無線局域網(wǎng)接入設(shè)備的傳統(tǒng)安全問題主要涵蓋四個方面,即非法接入、無線竊聽、無線網(wǎng)絡(luò)干擾、網(wǎng)絡(luò)攻擊及遠(yuǎn)程控制。
非法接入可以從兩個角度去理解。一是用戶端非法連接無線接入設(shè)備,如WLAN用戶通過密碼破解等方式,非法連接到WLAN AP上,發(fā)動網(wǎng)絡(luò)攻擊。二是無線接入設(shè)備非法連接用戶端,如偽AP釣魚,入侵者通過硬件或軟件方式搭建偽造的無線局域網(wǎng)AP,誘導(dǎo)用戶接入到此偽AP上,并在用戶不知情的情況下收集用戶信息,執(zhí)行釣魚攻擊。
無線竊聽的安全隱患正日漸突出。當(dāng)前,無線接入設(shè)備的空中接口是非法分子竊聽和攻擊的焦點(diǎn),目前也存在很多商業(yè)和免費(fèi)的工具可以對無線局域網(wǎng)無線鏈路進(jìn)行抓包和解碼,獲取用戶應(yīng)用層傳輸數(shù)據(jù),并可據(jù)此發(fā)動網(wǎng)絡(luò)攻擊,給用戶安全帶來威脅。
無線網(wǎng)絡(luò)干擾會影響接入設(shè)備的正常使用。以WLAN AP為代表的無線接入設(shè)備主要工作在ISM頻段,因而難以實(shí)現(xiàn)統(tǒng)一有效的行業(yè)監(jiān)管和約束,攻擊者可以通過自主架設(shè)該類設(shè)備,給運(yùn)營商和用戶造成無線干擾,使上述設(shè)備無法正常使用。
網(wǎng)絡(luò)攻擊及遠(yuǎn)程控制的風(fēng)險不容忽視。無線接入設(shè)備普遍面臨網(wǎng)絡(luò)攻擊、遠(yuǎn)程控制等安全問題,如對無線接入設(shè)備發(fā)起Ping Flood、DDoS等洪泛攻擊,可能導(dǎo)致設(shè)備癱瘓;針對無線接入設(shè)備的某些預(yù)設(shè)端口,通過構(gòu)造特定的用戶數(shù)據(jù)包開啟遠(yuǎn)程登錄服務(wù),可對設(shè)備進(jìn)行遠(yuǎn)程控制,從而給用戶安全帶來極大威脅。
值得一提的是,智能化引發(fā)了無線局域網(wǎng)接入設(shè)備新的安全問題。當(dāng)前,Android等智能操作系統(tǒng)引入無線接入設(shè)備上,使其與應(yīng)用商店相結(jié)合,成為各種應(yīng)用程序的承載平臺和傳播渠道。用戶可便利地接入網(wǎng)絡(luò),同時安裝自己需要的應(yīng)用軟件,提升用戶體驗(yàn)。但由于Android操作系統(tǒng)具備開放的API,可被利用嵌入各類惡意代碼,在用戶不知情的情況下,后臺調(diào)用發(fā)送信息、聯(lián)網(wǎng)等功能,從而造成惡意吸費(fèi)、隱私被竊取甚至流量被劫持等安全威脅。
全面提升無線接入設(shè)備系統(tǒng)安全性
從信息安全的角度分析,任何一個信息系統(tǒng)的安全問題都來源于兩個方面:自身的脆弱性以及外來的攻擊。只有當(dāng)這兩方面因素共同作用,才會引發(fā)安全事件。對這兩方面因素中的任何一個進(jìn)行防護(hù),都可緩解甚至遏制安全問題的產(chǎn)生,從而達(dá)到信息系統(tǒng)機(jī)密性、完整性和可用性的要求。對于信息系統(tǒng)自身而言,由于信息系統(tǒng)總是處在復(fù)雜的應(yīng)用環(huán)境中,隨時可能受到各種有意無意的攻擊,因此只能盡量提升自身的安全防護(hù)能力,以對抗外來各種攻擊。
從無線接入設(shè)備系統(tǒng)的結(jié)構(gòu)來看,最底層是硬件芯片層;之上為系統(tǒng)軟件層,主要包括操作系統(tǒng)和協(xié)議棧;頂層為應(yīng)用層,主要指加載的應(yīng)用軟件,包括預(yù)置應(yīng)用軟件及第三方應(yīng)用軟件;外圍接口主要涉及系統(tǒng)軟件層和硬件芯片層。
如前所述,為抵抗外來攻擊,需從各層面增強(qiáng)無線接入設(shè)備安全防護(hù)能力,基本原則是不能在用戶不知情的情況下發(fā)生后臺調(diào)用系統(tǒng)資源等惡意行為。硬件層主要指芯片,是整個設(shè)備安全的根節(jié)點(diǎn),應(yīng)通過排查隱秘通道及后門、設(shè)置遠(yuǎn)程控制開關(guān)等措施,建立芯片安全防護(hù)能力。系統(tǒng)軟件層一方面需對操作系統(tǒng)進(jìn)行加固,防止API濫用造成惡意吸費(fèi)、竊取用戶隱私、損壞設(shè)備功能等危害用戶安全的行為;另一方面需通過端口封堵、加載協(xié)議棧補(bǔ)丁等措施,建立協(xié)議棧安全防護(hù)能力。應(yīng)用層需對應(yīng)用軟件提出安全目標(biāo),保證安裝到無線接入設(shè)備上的應(yīng)用軟件沒有損害用戶利益和危害網(wǎng)絡(luò)安全的行為。外圍接口層一方面要通過加密、鑒權(quán)和認(rèn)證等安全機(jī)制防止空中接口(WLAN、3G/4G、藍(lán)牙等)引起的非法接入、無線竊聽、無線網(wǎng)絡(luò)干擾等問題;另一方面要通過強(qiáng)化外圍接口管控能力,防止外圍接口被非法開啟、連接、調(diào)用而導(dǎo)致用戶數(shù)據(jù)泄露等安全問題。
評論