◆程德懌

（上海市信息網(wǎng)絡(luò)有限公司 上海 200081）

電信運(yùn)營(yíng)商Wi-Fi建設(shè)組網(wǎng)安全

◆程德懌

（上海市信息網(wǎng)絡(luò)有限公司 上海 200081）

隨著無(wú)線通信技術(shù)的發(fā)展，Wi-Fi業(yè)務(wù)的發(fā)展突飛猛進(jìn)。根據(jù)電信運(yùn)營(yíng)商的特點(diǎn)，本文分析了其典型的Wi-Fi組網(wǎng)特點(diǎn)，并針對(duì)無(wú)線接入安全、線路安全、安全審計(jì)、管理平臺(tái)安全、制度和人員管理等方面提出了安全措施，并對(duì)將來(lái)不斷提升和改進(jìn)安全措施方面提出了要求。通過(guò)上述措施，可以更好地實(shí)現(xiàn)電信級(jí)Wi-Fi服務(wù)的高品質(zhì)和高安全性。

電信運(yùn)營(yíng)商；Wi-Fi；安全；認(rèn)證

0 引言

隨著無(wú)線通信的發(fā)展，Wi-Fi作為一種常用的無(wú)線局域網(wǎng)實(shí)現(xiàn)方式也逐漸成為了人們重要的通信媒介。在一些公共場(chǎng)所，Wi-Fi的服務(wù)提供給予人們很大的便利；在一些服務(wù)場(chǎng)所，服務(wù)提供商通過(guò)Wi-Fi的提供更好地提升用戶的感知度，并贏得更高的客戶挽留時(shí)間。

Wi-Fi采用的是無(wú)線局域網(wǎng)IEEE 802.11系列標(biāo)準(zhǔn)，用戶可以為電子設(shè)備提供到就近的無(wú)線局域網(wǎng)的網(wǎng)絡(luò)接入功能，從而實(shí)現(xiàn)網(wǎng)絡(luò)應(yīng)用[1]。公共Wi-Fi的覆蓋范圍一般可達(dá)100米至300米左右，可以方便地覆蓋餐館、超市、酒店、機(jī)場(chǎng)、醫(yī)院和辦公場(chǎng)所等，在實(shí)際應(yīng)用中不需要布放接入網(wǎng)線而能夠便捷地提供互聯(lián)網(wǎng)的接入，具備部署快速、接入方便、成本低廉等優(yōu)勢(shì)。

在一些場(chǎng)所，電信運(yùn)營(yíng)商參與了Wi-Fi的建設(shè)，以電信級(jí)的通信服務(wù)提升了Wi-Fi組網(wǎng)的品質(zhì)[2]。然而如何實(shí)現(xiàn)組網(wǎng)安全，是電信運(yùn)營(yíng)商提供高質(zhì)量Wi-Fi服務(wù)考慮的關(guān)鍵點(diǎn)，也是電信運(yùn)營(yíng)商實(shí)現(xiàn)差異化服務(wù)的體現(xiàn)。

1 電信運(yùn)營(yíng)商Wi-Fi建設(shè)組網(wǎng)特點(diǎn)

由于單一場(chǎng)所的小區(qū)域Wi-Fi覆蓋的實(shí)現(xiàn)比較簡(jiǎn)單，因此對(duì)于能夠承接這類組網(wǎng)建設(shè)的服務(wù)商的要求相對(duì)較低。而電信運(yùn)營(yíng)商因?yàn)榫邆渥陨淼囊恍﹥?yōu)勢(shì)，能夠承接更復(fù)雜的組網(wǎng)建設(shè)項(xiàng)目。

電信運(yùn)營(yíng)商所建設(shè)的Wi-Fi實(shí)現(xiàn)方案，主要是依靠幾大類優(yōu)勢(shì)。

首先是通信資源的優(yōu)勢(shì)。電信運(yùn)營(yíng)商具備從低端到高端的通信網(wǎng)絡(luò)和接入資源，以及足夠的互聯(lián)網(wǎng)出口資源，能夠根據(jù)客戶的要求選擇合適的產(chǎn)品，并實(shí)現(xiàn)價(jià)格優(yōu)勢(shì)。對(duì)于機(jī)房維護(hù)資源不足的客戶，電信運(yùn)營(yíng)商可以提供數(shù)據(jù)中心或云產(chǎn)品，為客戶實(shí)現(xiàn)平臺(tái)的托管或云服務(wù)。

其次是系統(tǒng)集成能力的優(yōu)勢(shì)。電信運(yùn)營(yíng)商具備成熟的系統(tǒng)集成能力，可以為客戶實(shí)現(xiàn)從設(shè)備到通信線路以及管理平臺(tái)和軟件等服務(wù)，并把這些服務(wù)有機(jī)地整合成一個(gè)綜合產(chǎn)品，為客戶提供全業(yè)務(wù)的綜合服務(wù)，避免了客戶向多家服務(wù)提供商進(jìn)行硬件和服務(wù)采購(gòu)并整合的麻煩。當(dāng)Wi-Fi業(yè)務(wù)發(fā)生故障時(shí)，客戶只要向電信運(yùn)營(yíng)商報(bào)修，由電信運(yùn)營(yíng)商進(jìn)行綜合分析判斷，并提交相應(yīng)的服務(wù)人員進(jìn)行處理，而不必由客戶在不同的供應(yīng)商之間咨詢究竟問(wèn)題出在哪里。

還有的是運(yùn)行維護(hù)及服務(wù)網(wǎng)點(diǎn)的優(yōu)勢(shì)。電信運(yùn)營(yíng)商具備覆蓋全區(qū)域的運(yùn)行維護(hù)和服務(wù)網(wǎng)點(diǎn)以及服務(wù)人員，包括分布在各個(gè)電信網(wǎng)點(diǎn)的基層服務(wù)人員和集中的高端技術(shù)專家，能在較短時(shí)間內(nèi)實(shí)現(xiàn)維護(hù)和服務(wù)的響應(yīng)。同時(shí)電信運(yùn)營(yíng)商還有良好的服務(wù)電話接聽(tīng)體系，能夠全天候?qū)崿F(xiàn)服務(wù)需求的受理和分派。對(duì)于跨域的服務(wù)，電信運(yùn)營(yíng)商還可以通過(guò)全國(guó)的互聯(lián)互通體系實(shí)現(xiàn)跨區(qū)域乃至跨省、跨國(guó)的服務(wù)調(diào)度。

更重要的是品牌效應(yīng)和客戶資源。這方面的優(yōu)勢(shì)使得一些重要的大客戶信任并愿意選擇電信運(yùn)營(yíng)商作為其Wi-Fi建設(shè)的服務(wù)提供商。

基于上述優(yōu)勢(shì)，電信運(yùn)營(yíng)商Wi-Fi建設(shè)的主要服務(wù)對(duì)象多為大量公共服務(wù)Wi-Fi，或者電信大客戶的批量服務(wù)場(chǎng)所、大客戶的辦公場(chǎng)所等。這些場(chǎng)所的特點(diǎn)是地點(diǎn)眾多或區(qū)域較廣，每個(gè)地點(diǎn)的配置和管理要求相近，并且具備管理平臺(tái)實(shí)施統(tǒng)一的管理。電信運(yùn)營(yíng)商可以根據(jù)自身的資源條件，提供包括無(wú)線Wi-Fi接入、通信線路、安全審計(jì)設(shè)備以及Wi-Fi運(yùn)營(yíng)的管理平臺(tái)。

這些公共服務(wù)的Wi-Fi或電信大客戶的Wi-Fi，更需要電信運(yùn)營(yíng)商提供良好的接入便捷性、快速的網(wǎng)絡(luò)訪問(wèn)服務(wù)、較高的系統(tǒng)穩(wěn)定性、一旦發(fā)生故障能迅速定位并快速修復(fù)。當(dāng)然更重要的是保障安全可靠。

2 組網(wǎng)安全

根據(jù)電信運(yùn)營(yíng)商Wi-Fi建設(shè)組網(wǎng)的特點(diǎn)，需要在多個(gè)方面實(shí)施組網(wǎng)的安全，以實(shí)現(xiàn)對(duì)重要Wi-Fi組網(wǎng)項(xiàng)目的高性能要求。

2.1 無(wú)線接入安全

對(duì)于公共服務(wù)場(chǎng)所，以及電信大客戶的服務(wù)場(chǎng)所，例如超市、銀行網(wǎng)點(diǎn)等，由于提供服務(wù)的對(duì)象是不特定公眾人群，因此進(jìn)行身份認(rèn)證是必要的安全措施。公共場(chǎng)所的Wi-Fi服務(wù)由于需要開(kāi)放，認(rèn)證方式不適合采用密碼認(rèn)證，更適合采用手機(jī)認(rèn)證，這樣不僅能夠?qū)τ诮尤胝哌M(jìn)行鑒別，還能在發(fā)生信息安全事件時(shí)對(duì)信息發(fā)送者進(jìn)行查找。

在無(wú)線接入端，對(duì)于傳送數(shù)據(jù)的加密算法也是安全的重點(diǎn)。早期使用的WEP協(xié)議（Wired Equivalent Privacy，有線等效保密）由于較容易被破解，因此現(xiàn)在已經(jīng)很少采用了[3]。TKIP協(xié)議（Temporal Key Integrity Protocol，臨時(shí)密鑰完整性協(xié)議）是在WEP基礎(chǔ)上的一種有限改進(jìn)協(xié)議[4]，而CCMP協(xié)議（Counter CBC-MAC Protocol，計(jì)數(shù)器模式密碼塊鏈消息完整碼協(xié)議）采用了安全性更高的AES算法，大大提升了加密傳輸?shù)陌踩浴?/p>

對(duì)于辦公場(chǎng)所，既有作為員工的固定用戶，也有作為外來(lái)訪客的不特定用戶，因此需要同時(shí)考慮這兩方面的需求。對(duì)固定用戶，可采用密碼認(rèn)證和MAC綁定認(rèn)證，防止仿冒身份的接入，對(duì)于這類用戶的訪問(wèn)權(quán)限，可以在認(rèn)證之后充分放開(kāi)。對(duì)不特定用戶，設(shè)置不同的SSID（Service Set Identifier，服務(wù)集體標(biāo)識(shí)）進(jìn)行接入，并采用手機(jī)認(rèn)證的措施，在訪問(wèn)權(quán)限方面根據(jù)需要進(jìn)行限制。

2.2 線路安全

用戶通過(guò)無(wú)線接入到無(wú)線路由器，還需通過(guò)通信線路聯(lián)入互聯(lián)網(wǎng)。電信運(yùn)營(yíng)商可提供多種通信接入線路，須根據(jù)成本要求和安全需求來(lái)合理選擇。對(duì)于低成本的公共熱點(diǎn)，可以采用EPON等實(shí)現(xiàn)互聯(lián)網(wǎng)接入。對(duì)于銀行、辦公場(chǎng)所等場(chǎng)合，則可以選擇安全性更高的二層以太網(wǎng)專線實(shí)現(xiàn)互聯(lián)網(wǎng)的接入，以保障有線傳輸過(guò)程中的信息防竊取。

對(duì)于公共服務(wù)的Wi-Fi，不能夠與企業(yè)的業(yè)務(wù)網(wǎng)絡(luò)共享互聯(lián)網(wǎng)出口，這樣做會(huì)導(dǎo)致外來(lái)的不安全的接入終端獲得企業(yè)的業(yè)務(wù)網(wǎng)絡(luò)的接入權(quán)限。正確的做法是在無(wú)線路由器后端提供專有的上網(wǎng)通信線路，將這條線路與企業(yè)的業(yè)務(wù)網(wǎng)絡(luò)完全隔離，獨(dú)立提供互聯(lián)網(wǎng)的出口。

2.3 安全審計(jì)

根據(jù)國(guó)家互聯(lián)網(wǎng)安全的規(guī)定，公共Wi-Fi必須提供安全審計(jì)功能，這是對(duì)信息安全的一種回溯和保障機(jī)制，也是對(duì)信息發(fā)送者的一種認(rèn)證。采用安全審計(jì)，當(dāng)發(fā)生信息安全問(wèn)題時(shí)，可以根據(jù)安全審計(jì)日志，還原問(wèn)題信息，追溯信息源。

安全審計(jì)設(shè)備的部署，可以是在接入端無(wú)線路由器的后續(xù)，這種部署方式的優(yōu)點(diǎn)是可以直接獲取原始安全審計(jì)信息，并發(fā)送至存儲(chǔ)端然后上報(bào)，缺點(diǎn)是當(dāng)分點(diǎn)數(shù)量比較多時(shí)，需要使用同樣數(shù)量的安全審計(jì)設(shè)備一一配備。當(dāng)然還可以在各個(gè)分點(diǎn)通過(guò)通信線路匯聚至總部之后進(jìn)行集中式的安全審計(jì)設(shè)備部署，這樣的部署方式需要在總部配備多端口接入的通信線路接入設(shè)備，并在集中式安全審計(jì)設(shè)備中實(shí)現(xiàn)對(duì)各個(gè)分點(diǎn)的數(shù)據(jù)匯總、存儲(chǔ)及上報(bào)，其優(yōu)點(diǎn)是節(jié)約設(shè)備成本和上傳帶寬，并可以對(duì)數(shù)據(jù)進(jìn)行匯總分析，缺點(diǎn)是一旦總部設(shè)備和線路出現(xiàn)故障，會(huì)導(dǎo)致一批分點(diǎn)安全審計(jì)功能失效。

2.4 管理平臺(tái)安全

對(duì)于具有大量分點(diǎn)的Wi-Fi組網(wǎng)，需要有一個(gè)管理平臺(tái)實(shí)施網(wǎng)絡(luò)管理。管理平臺(tái)可以部署在總部，也可以通過(guò)云管理平臺(tái)的方式進(jìn)行虛擬管理。無(wú)論是哪種管理方式，對(duì)管理平臺(tái)的網(wǎng)絡(luò)隱藏和防火墻保護(hù)是必要的。

整個(gè)管理平臺(tái)的訪問(wèn)必須實(shí)施訪問(wèn)控制，采取與互聯(lián)網(wǎng)相隔離的內(nèi)部網(wǎng)絡(luò)訪問(wèn)機(jī)制，并通過(guò)訪問(wèn)認(rèn)證的方式，實(shí)現(xiàn)對(duì)管理平臺(tái)操作訪問(wèn)的安全保障。

2.5 制度和人員管理

電信運(yùn)營(yíng)商本身具備完善的運(yùn)行維護(hù)管理制度、人員管理制度和安全保密制度，這是從事Wi-Fi建設(shè)的基本要求。同時(shí)對(duì)于電信大客戶方面具有較大規(guī)模的Wi-Fi組網(wǎng)項(xiàng)目，在客戶層面的這些制度，也是Wi-Fi組網(wǎng)安全的一個(gè)重要組成部分，只有和客戶一同達(dá)到制度和管理的完善，才能更好地防范因人員層面的漏洞而導(dǎo)致安全事件的發(fā)生。

3 結(jié)束語(yǔ)

電信運(yùn)營(yíng)商具備多種多樣的通信資源提供能力，具備人才優(yōu)勢(shì)和技術(shù)優(yōu)勢(shì)，并能實(shí)現(xiàn)全程全網(wǎng)系統(tǒng)集成的服務(wù)，因此在Wi-Fi建設(shè)和服務(wù)中承擔(dān)了越來(lái)越多的項(xiàng)目，其中以公共服務(wù)Wi-Fi和電信大客戶服務(wù)場(chǎng)所或辦公場(chǎng)所的Wi-Fi提供為主。基于這些特點(diǎn)，必須從多個(gè)方面實(shí)現(xiàn)組網(wǎng)安全：包括在無(wú)線接入方面從安全認(rèn)證到安全加密等措施；在通信線路方面根據(jù)客戶的需求選擇從低端到高端的合適接入產(chǎn)品，同時(shí)采取Wi-Fi出口和企業(yè)網(wǎng)絡(luò)的隔離；在安全審計(jì)方面，根據(jù)需要選擇分布式或集中式部署方式；對(duì)于管理平臺(tái)，無(wú)論是現(xiàn)場(chǎng)平臺(tái)還是云平臺(tái)，都必須采取防控和安全措施；在制度和人員管理方面，不僅要在電信運(yùn)營(yíng)商層面做好，也要在客戶層面同步達(dá)成。

基于以上這些措施，電信運(yùn)營(yíng)商的Wi-Fi建設(shè)組網(wǎng)能夠?qū)崿F(xiàn)較高的安全等級(jí)，向更多的高端客戶提供精品的Wi-Fi服務(wù)。當(dāng)然，隨著技術(shù)的發(fā)展和網(wǎng)絡(luò)安全形勢(shì)的變化，必須不斷地提升安全措施，以實(shí)現(xiàn)不斷發(fā)展加強(qiáng)的安全保護(hù)。

[1]高峰，高澤華，文柳等．無(wú)線城市：電信級(jí)Wi-Fi網(wǎng)絡(luò)建設(shè)與運(yùn)營(yíng)[M]．北京：人民郵電出版社，2012．

[2]朱好好，樊耀東，楊會(huì)華．中國(guó)電信Wi-Fi分類建設(shè)策略及優(yōu)化運(yùn)營(yíng)研究[J]．移動(dòng)通信，2012．

[3]凡星，劉培奇．無(wú)線局域網(wǎng)中Wi-Fi安全技術(shù)研究[J]．電腦知識(shí)與技術(shù)，2012．

[4]宋宇波，胡愛(ài)群，蔡天佑．無(wú)線局域網(wǎng)TKIP協(xié)議的安全分析[J]．應(yīng)用科學(xué)學(xué)報(bào)，2005．

[5]李京，李永珍．AES 改進(jìn)算法在 CCMP 協(xié)議中的應(yīng)用[J]．延邊大學(xué)學(xué)報(bào)（自然科學(xué)版），2015．