构建可信运营级云W i-Fi服务方案及关键技术研究

刘国萍 ，刘建峰 /Liu Guoping，Liu Jianfeng

（1.中国电信北京研究院 北京 100035；2.北京市交通信息中心 北京 100073）

1 引言

当前，移动互联网时代的信息安全成为业界关注的重点，Wi-Fi作为移动互联网的重要入口，其安全问题更是全社会关注的焦点。央视 “3·15”晚会以大屏展示敏感信息的方式，向现场观众和全国观众说明了使用不安全的公共Wi-Fi服务，尤其是钓鱼Wi-Fi的严重后果和危害，这意味着未来很长一段时间都将是用户谨慎选择Wi-Fi服务商品牌和建立信任感的过程。因此，在这个过程中，研究公共Wi-Fi服务存在的安全风险及如何建立可信Wi-Fi服务不仅对Wi-Fi服务提供商有参考价值，也对用户增强Wi-Fi服务使用中的安全意识有指导意义。

根据应用场景不同，目前Wi-Fi服务主要分为4类：家庭 Wi-Fi、企业内部 Wi-Fi、商业场所 Wi-Fi和公共服务场所Wi-Fi等。其中，家庭和企业内部的Wi-Fi服务多由家庭或企业内部自建自营，一般均通过网络安全密钥对Wi-Fi服务访问进行安全保护，防止非授权的用户使用Wi-Fi服务。商业场所和公共服务场所的Wi-Fi服务，因其庞大的客户群体、灵活的商业模式及丰厚的潜在商业价值，吸引了各大互联网公司、专业服务提供商及电信运营商投资建设，并向访客提供免费Wi-Fi服务。这种Wi-Fi服务多采用云端结合（云平台+端接入设备）的模式来构建Wi-Fi基础设施，这样，一方面可通过多租户资源共享降低基础设施建设成本；另一方面可按需向访客提供灵活便捷的基于Web的验证模式，如短信验证码或一键登录等方式，以方便访客使用。然而，这种Wi-Fi服务访问的便利性也给Wi-Fi服务使用带来了安全隐患，“3·15”曝光的主要是这两种场景下的Wi-Fi服务安全隐患。为了区分清楚，本文对这种基于云平台的新型Wi-Fi服务统称为云Wi-Fi服务。

实际上，无论是哪种场景的Wi-Fi服务都存在恶意钓鱼AP、网络嗅探攻击、中间人攻击、无线DDoS攻击、非法服务访问以及恶意信息发布等安全隐患。对于家庭Wi-Fi和企业内部Wi-Fi，由于物理区域的相对封闭性、访问人员身份的相对确定性以及服务建、管、用、维身份的一致性，无线访问的安全问题相对不是很突出；商业场所和公共服务场所的Wi-Fi服务则因访问人员身份的不确定性、服务受众的庞杂性以及服务建、管、用、维身份的多重性，其安全问题将变得更加重要且棘手，因此，本文重点分析这两种场景下云Wi-Fi服务的系统组成及潜在安全风险，并给出解决方案及关键技术实施建议。

2 云W i-Fi服务的系统模型

云Wi-Fi服务的系统模型包括系统架构模型和工作流模型。

2.1 系统架构模型

云Wi-Fi服务的系统架构模型如图1所示。系统架构模型由服务提供商集中部署的云端服务平台（CSP）、客户侧分散部署的无线接入设备（AP）以及访客接入终端（Client）3个部分组成，是典型的“云—管—端”服务模型。其中，CSP的主要作用是对接入Wi-Fi服务的访客提供基于Web的服务认证，对所有客户侧部署的AP设备进行集中配置管理和服务状态监控，向Client提供基于Portal的业务推送、广告展示及其他个性化内容推送；AP创建并维护Client对无线网络接入访问许可列表，并记录Client访问信息及上网行为；Client则在通过系统验证后按需访问其他任何互联网服务。

2.2 工作流模型

云Wi-Fi服务的工作流模型如图2所示。Client首先向AP发起Web访问请求；AP根据预先配置到AP上的CSP访问URL信息，将Client的Web访问重定向到该CSP上，CSP向Client返回登录认证页，Client根据页面提示信息输入登录认证信息并提交CSP，CSP产生此次会话Token并将Client请求重定向到 AP，Client携带该 Token再次访问AP，AP向CSP请求验证该Token的有效性，验证通过后，AP将Client的Web请求重定向到系统预设的页面，之后在该Token有效期内，用户可通过此Wi-Fi服务访问其他任何Web网站。

云Wi-Fi服务这种云端结合的多租户服务模型有助于实现对分散部署客户侧的AP设备的集中管理、业务提供的个性化推送以及服务内容的集约化运营，但相对于以单租户形式仅提供无线网络接入服务的传统Wi-Fi服务而言，这种无线网络服务访问的便捷性也给云Wi-Fi服务的安全带来了极大隐患。

3 云W i-Fi服务的安全风险

参照图1所示，云Wi-Fi服务存在的安全威胁可分为以下两大类。

一类安全威胁是提供服务的AP和CSP均是合法的，但接入服务的用户或从互联网来的用户可能是恶意用户，如图3所示。在这类安全威胁中，恶意用户通过对服务模型元素或其依赖的底层网络进行攻击，使其不能按预期提供服务，如篡改AP上预先配置的DNS服务器地址（DNS篡改），对CSP进行HTTPGet泛洪（DoS/DDoS攻击）等，或对元素间的通信报文进行截获以盗取正常用户的隐私信息，如对AP与Client或AP与CSP间的通信报文进行截获并篡改（中间人攻击）。

另一类安全威胁是用户是正常的，但提供服务的关键元素AP和CSP被仿冒或被控制，如图4所示。在这类安全威胁中，仿冒AP通过伪造和正常AP一样的无线连接标识符（SSID），让不知情的访客在无意识中将手机号码、银行账号、密码等隐私信息及其他上网行为等数据被该仿冒AP所采集，并通过其连接的云端平台CSP将采集到的用户隐私数据上报到平台上，最终被非法利用。

综合上述两大类安全威胁，并结合“云—管—端”模型的特点及网络信息安全评价指标（保密性、完整性、真实性、可靠性、可用性、不可抵赖性），对云Wi-Fi服务可能带来的安全风险进行列举，见表1。

4 可信云W i-Fi服务技术方案及关键技术研究

基于云Wi-Fi服务系统模型，针对可能存在的安全风险类型，给出基于“云—管—端”一体的可信云Wi-Fi服务整体方案，如图5所示。以下是对该方案的具体阐述及关键实施技术分析。

4.1 云——安全服务平台

表1 云Wi-Fi服务的安全风险

在可信云Wi-Fi服务的整体解决方案中，云端安全服务平台是保障云Wi-Fi服务安全的核心部件。云端安全服务平台包括CSP和云端安全服务监控平台（SOC），CSP除了提供对AP设备的常见管理功能外，更重要的是还提供了可信Wi-Fi热点库数据源，包括自有部署的可信Wi-Fi热点库及第三方合作的可信Wi-Fi热点库，这从根本上保障了用户所连接的Wi-Fi热点是安全可信的；SOC将云Wi-Fi服务系统的核心部件——云Wi-Fi服务平台CSP、接入网络AN和接入设备AP等系统的安全管理与监控统一纳入其中，包括集中安全事件管理、配置核查管理、系统漏洞扫描管理、4A（Authentication、Account、Authorization、Audit，认证、账号、授权、审计）管理、安全风险管理等安全管理功能，还可通过接入网络设备或AP设备对非法访问行为实现联动式阻断。具体安全技术实施包括但不限于以下4种。

（1）应用访问控制

应用访问控制属应用层安全措施，提供包括用户身份验证、SSH/HTTPS访问、非法访问联动式阻断、敏感信息加密等安全防护能力。

（2）服务状态监测

服务状态监测属服务层安全措施，CSP平台提供多种Web服务，同时，AN、AP设备也多采用Web方式管理，都运行着httpd等Web服务。通过在SOC和CSP、AN和AP间部署异常流量监控分析系统和攻击溯源分析系统，实现对各系统Web服务状态防DoS及DDoS攻击检测和其他异常流量监测，并提供事后溯源追踪分析数据。

（3）系统漏洞扫描

系统漏洞扫描属系统层安全措施，针对CSP平台、AN和AP设备等部署漏洞扫描系统，定制进行漏洞扫描，并按需及时对漏洞进行修补，提升系统及设备自身的安全性，降低被攻击利用的可能性。

（4）硬件工作状态监测

硬件工作状态监测物理层安全，监测AP、AN和CSP的上下电及重启等事件，并产生告警事件以供运维人员运维参考。

4.2 管——接入设备深层定制

在可信云Wi-Fi服务解决方案中，接入设备AP自身的安全保障能力对构建整个可信云Wi-Fi服务体系具有至关重要的作用。通过AP的深度定制，可以从网络通道入口上减少云Wi-Fi服务的安全隐患，极大地提升云Wi-Fi服务的安全性。

电信运营商作为云Wi-Fi服务的提供商，在设备深度定制上拥有较强的优势：拥有上万规模的Wi-Fi设备资产的完全掌控权，可以基于Wi-Fi接入设备对设备硬件层、操作系统核心层到应用层等进行多层次深度定制，甚至可以从接入设备、网络设备到服务平台开展端到端的联合深度定制。AP设备定制包括芯片级的跨频道攻击防护与DPI深度检测、操作系统级的防ARP攻击和防DNS篡改加解密等能力，以建立全方位的联动防护体系，实现Wi-Fi服务安全由事后被动追查向事前防御、事中防护、事后追查相结合的主动防御体系的转变。

4.3 端——安全管理

用户移动终端是可信Wi-Fi服务解决方案的末梢单元，既可能是云Wi-Fi服务安全的施害方，也可能是不安全云Wi-Fi服务的受害方。作为正常的移动终端用户，做好终端安全管理是增强自身安全防护能力的重要措施。

终端的安全管理包括以下两个层面。

（1）终端系统本身的安全防护能力加固

云Wi-Fi的接入终端通常是客户端，如手机、Pad和笔记本电脑等，增强接入的移动终端的安全防护能力通常是通过在终端上部署专用安全防护软件，提供病毒查杀、应用访问权限管理、防钓鱼网站检测、防ARP欺骗和间谍软件等功能，保障移动终端设备的使用安全性。

（2）可信无线连接客户端软件或插件

基于此可增强移动终端访问Wi-Fi服务的安全性。结合AP设备深度定制和可信热点数据池等能力，在可信无线连接软件或插件上提供可信热点连接导航图、非可信热点标识及连接风险提示、敏感信息加密等安全防护能力，从用户第一访问界面上保障其接入的是合法的Wi-Fi服务。

5 结束语

本文基于云Wi-Fi服务系统模型分析了目前存在的两类云Wi-Fi安全风险，在此基础上，给出了“云—管—端”一体的可信Wi-Fi服务技术方案，并对关键技术的实施给出了相关建议。

最后，针对云Wi-Fi服务的安全攻击，尤其是伪AP钓鱼的技术门槛相对较低，单纯依靠安全技术的实施难以完全杜绝安全风险，需要社会各方共同努力。相关监管部门需加快立法进程，加大监管制度保障，网民需提高自身约束和自我监管意识，品牌Wi-Fi提供商需开放、共享自有Wi-Fi资源，联手构建安全Wi-Fi联盟，以共同创建一个和谐、健康的网络生态环境。

[1] 徐刚.构建安全无线环境，让钓鱼Wi-Fi无处藏身[EB/OL].http://www.cnki.net.

[2]盛仲飙.Wi-Fi无线网络技术及安全性研究[J].电子设计工程，2012，20（16）.

[3] 谭彦，厉萍，卢洪涛等.Wi-Fi无线钓鱼攻击分析及应对技术研究[EB/OL].http://www.cnki.net.