◆程德懌

（上海市信息網(wǎng)絡(luò)有限公司 上海 200081）

電信運(yùn)營商Wi-Fi建設(shè)組網(wǎng)安全

◆程德懌

（上海市信息網(wǎng)絡(luò)有限公司 上海 200081）

隨著無線通信技術(shù)的發(fā)展，Wi-Fi業(yè)務(wù)的發(fā)展突飛猛進(jìn)。根據(jù)電信運(yùn)營商的特點(diǎn)，本文分析了其典型的Wi-Fi組網(wǎng)特點(diǎn)，并針對無線接入安全、線路安全、安全審計、管理平臺安全、制度和人員管理等方面提出了安全措施，并對將來不斷提升和改進(jìn)安全措施方面提出了要求。通過上述措施，可以更好地實(shí)現(xiàn)電信級Wi-Fi服務(wù)的高品質(zhì)和高安全性。

電信運(yùn)營商；Wi-Fi；安全；認(rèn)證

0 引言

隨著無線通信的發(fā)展，Wi-Fi作為一種常用的無線局域網(wǎng)實(shí)現(xiàn)方式也逐漸成為了人們重要的通信媒介。在一些公共場所，Wi-Fi的服務(wù)提供給予人們很大的便利；在一些服務(wù)場所，服務(wù)提供商通過Wi-Fi的提供更好地提升用戶的感知度，并贏得更高的客戶挽留時間。

Wi-Fi采用的是無線局域網(wǎng)IEEE 802.11系列標(biāo)準(zhǔn)，用戶可以為電子設(shè)備提供到就近的無線局域網(wǎng)的網(wǎng)絡(luò)接入功能，從而實(shí)現(xiàn)網(wǎng)絡(luò)應(yīng)用[1]。公共Wi-Fi的覆蓋范圍一般可達(dá)100米至300米左右，可以方便地覆蓋餐館、超市、酒店、機(jī)場、醫(yī)院和辦公場所等，在實(shí)際應(yīng)用中不需要布放接入網(wǎng)線而能夠便捷地提供互聯(lián)網(wǎng)的接入，具備部署快速、接入方便、成本低廉等優(yōu)勢。

在一些場所，電信運(yùn)營商參與了Wi-Fi的建設(shè)，以電信級的通信服務(wù)提升了Wi-Fi組網(wǎng)的品質(zhì)[2]。然而如何實(shí)現(xiàn)組網(wǎng)安全，是電信運(yùn)營商提供高質(zhì)量Wi-Fi服務(wù)考慮的關(guān)鍵點(diǎn)，也是電信運(yùn)營商實(shí)現(xiàn)差異化服務(wù)的體現(xiàn)。

1 電信運(yùn)營商Wi-Fi建設(shè)組網(wǎng)特點(diǎn)

由于單一場所的小區(qū)域Wi-Fi覆蓋的實(shí)現(xiàn)比較簡單，因此對于能夠承接這類組網(wǎng)建設(shè)的服務(wù)商的要求相對較低。而電信運(yùn)營商因為具備自身的一些優(yōu)勢，能夠承接更復(fù)雜的組網(wǎng)建設(shè)項目。

電信運(yùn)營商所建設(shè)的Wi-Fi實(shí)現(xiàn)方案，主要是依靠幾大類優(yōu)勢。

首先是通信資源的優(yōu)勢。電信運(yùn)營商具備從低端到高端的通信網(wǎng)絡(luò)和接入資源，以及足夠的互聯(lián)網(wǎng)出口資源，能夠根據(jù)客戶的要求選擇合適的產(chǎn)品，并實(shí)現(xiàn)價格優(yōu)勢。對于機(jī)房維護(hù)資源不足的客戶，電信運(yùn)營商可以提供數(shù)據(jù)中心或云產(chǎn)品，為客戶實(shí)現(xiàn)平臺的托管或云服務(wù)。

其次是系統(tǒng)集成能力的優(yōu)勢。電信運(yùn)營商具備成熟的系統(tǒng)集成能力，可以為客戶實(shí)現(xiàn)從設(shè)備到通信線路以及管理平臺和軟件等服務(wù)，并把這些服務(wù)有機(jī)地整合成一個綜合產(chǎn)品，為客戶提供全業(yè)務(wù)的綜合服務(wù)，避免了客戶向多家服務(wù)提供商進(jìn)行硬件和服務(wù)采購并整合的麻煩。當(dāng)Wi-Fi業(yè)務(wù)發(fā)生故障時，客戶只要向電信運(yùn)營商報修，由電信運(yùn)營商進(jìn)行綜合分析判斷，并提交相應(yīng)的服務(wù)人員進(jìn)行處理，而不必由客戶在不同的供應(yīng)商之間咨詢究竟問題出在哪里。

還有的是運(yùn)行維護(hù)及服務(wù)網(wǎng)點(diǎn)的優(yōu)勢。電信運(yùn)營商具備覆蓋全區(qū)域的運(yùn)行維護(hù)和服務(wù)網(wǎng)點(diǎn)以及服務(wù)人員，包括分布在各個電信網(wǎng)點(diǎn)的基層服務(wù)人員和集中的高端技術(shù)專家，能在較短時間內(nèi)實(shí)現(xiàn)維護(hù)和服務(wù)的響應(yīng)。同時電信運(yùn)營商還有良好的服務(wù)電話接聽體系，能夠全天候?qū)崿F(xiàn)服務(wù)需求的受理和分派。對于跨域的服務(wù)，電信運(yùn)營商還可以通過全國的互聯(lián)互通體系實(shí)現(xiàn)跨區(qū)域乃至跨省、跨國的服務(wù)調(diào)度。

更重要的是品牌效應(yīng)和客戶資源。這方面的優(yōu)勢使得一些重要的大客戶信任并愿意選擇電信運(yùn)營商作為其Wi-Fi建設(shè)的服務(wù)提供商。

基于上述優(yōu)勢，電信運(yùn)營商Wi-Fi建設(shè)的主要服務(wù)對象多為大量公共服務(wù)Wi-Fi，或者電信大客戶的批量服務(wù)場所、大客戶的辦公場所等。這些場所的特點(diǎn)是地點(diǎn)眾多或區(qū)域較廣，每個地點(diǎn)的配置和管理要求相近，并且具備管理平臺實(shí)施統(tǒng)一的管理。電信運(yùn)營商可以根據(jù)自身的資源條件，提供包括無線Wi-Fi接入、通信線路、安全審計設(shè)備以及Wi-Fi運(yùn)營的管理平臺。

這些公共服務(wù)的Wi-Fi或電信大客戶的Wi-Fi，更需要電信運(yùn)營商提供良好的接入便捷性、快速的網(wǎng)絡(luò)訪問服務(wù)、較高的系統(tǒng)穩(wěn)定性、一旦發(fā)生故障能迅速定位并快速修復(fù)。當(dāng)然更重要的是保障安全可靠。

2 組網(wǎng)安全

根據(jù)電信運(yùn)營商Wi-Fi建設(shè)組網(wǎng)的特點(diǎn)，需要在多個方面實(shí)施組網(wǎng)的安全，以實(shí)現(xiàn)對重要Wi-Fi組網(wǎng)項目的高性能要求。

2.1 無線接入安全

對于公共服務(wù)場所，以及電信大客戶的服務(wù)場所，例如超市、銀行網(wǎng)點(diǎn)等，由于提供服務(wù)的對象是不特定公眾人群，因此進(jìn)行身份認(rèn)證是必要的安全措施。公共場所的Wi-Fi服務(wù)由于需要開放，認(rèn)證方式不適合采用密碼認(rèn)證，更適合采用手機(jī)認(rèn)證，這樣不僅能夠?qū)τ诮尤胝哌M(jìn)行鑒別，還能在發(fā)生信息安全事件時對信息發(fā)送者進(jìn)行查找。

在無線接入端，對于傳送數(shù)據(jù)的加密算法也是安全的重點(diǎn)。早期使用的WEP協(xié)議（Wired Equivalent Privacy，有線等效保密）由于較容易被破解，因此現(xiàn)在已經(jīng)很少采用了[3]。TKIP協(xié)議（Temporal Key Integrity Protocol，臨時密鑰完整性協(xié)議）是在WEP基礎(chǔ)上的一種有限改進(jìn)協(xié)議[4]，而CCMP協(xié)議（Counter CBC-MAC Protocol，計數(shù)器模式密碼塊鏈消息完整碼協(xié)議）采用了安全性更高的AES算法，大大提升了加密傳輸?shù)陌踩浴?/p>

對于辦公場所，既有作為員工的固定用戶，也有作為外來訪客的不特定用戶，因此需要同時考慮這兩方面的需求。對固定用戶，可采用密碼認(rèn)證和MAC綁定認(rèn)證，防止仿冒身份的接入，對于這類用戶的訪問權(quán)限，可以在認(rèn)證之后充分放開。對不特定用戶，設(shè)置不同的SSID（Service Set Identifier，服務(wù)集體標(biāo)識）進(jìn)行接入，并采用手機(jī)認(rèn)證的措施，在訪問權(quán)限方面根據(jù)需要進(jìn)行限制。

2.2 線路安全

用戶通過無線接入到無線路由器，還需通過通信線路聯(lián)入互聯(lián)網(wǎng)。電信運(yùn)營商可提供多種通信接入線路，須根據(jù)成本要求和安全需求來合理選擇。對于低成本的公共熱點(diǎn)，可以采用EPON等實(shí)現(xiàn)互聯(lián)網(wǎng)接入。對于銀行、辦公場所等場合，則可以選擇安全性更高的二層以太網(wǎng)專線實(shí)現(xiàn)互聯(lián)網(wǎng)的接入，以保障有線傳輸過程中的信息防竊取。

對于公共服務(wù)的Wi-Fi，不能夠與企業(yè)的業(yè)務(wù)網(wǎng)絡(luò)共享互聯(lián)網(wǎng)出口，這樣做會導(dǎo)致外來的不安全的接入終端獲得企業(yè)的業(yè)務(wù)網(wǎng)絡(luò)的接入權(quán)限。正確的做法是在無線路由器后端提供專有的上網(wǎng)通信線路，將這條線路與企業(yè)的業(yè)務(wù)網(wǎng)絡(luò)完全隔離，獨(dú)立提供互聯(lián)網(wǎng)的出口。

2.3 安全審計

根據(jù)國家互聯(lián)網(wǎng)安全的規(guī)定，公共Wi-Fi必須提供安全審計功能，這是對信息安全的一種回溯和保障機(jī)制，也是對信息發(fā)送者的一種認(rèn)證。采用安全審計，當(dāng)發(fā)生信息安全問題時，可以根據(jù)安全審計日志，還原問題信息，追溯信息源。

安全審計設(shè)備的部署，可以是在接入端無線路由器的后續(xù)，這種部署方式的優(yōu)點(diǎn)是可以直接獲取原始安全審計信息，并發(fā)送至存儲端然后上報，缺點(diǎn)是當(dāng)分點(diǎn)數(shù)量比較多時，需要使用同樣數(shù)量的安全審計設(shè)備一一配備。當(dāng)然還可以在各個分點(diǎn)通過通信線路匯聚至總部之后進(jìn)行集中式的安全審計設(shè)備部署，這樣的部署方式需要在總部配備多端口接入的通信線路接入設(shè)備，并在集中式安全審計設(shè)備中實(shí)現(xiàn)對各個分點(diǎn)的數(shù)據(jù)匯總、存儲及上報，其優(yōu)點(diǎn)是節(jié)約設(shè)備成本和上傳帶寬，并可以對數(shù)據(jù)進(jìn)行匯總分析，缺點(diǎn)是一旦總部設(shè)備和線路出現(xiàn)故障，會導(dǎo)致一批分點(diǎn)安全審計功能失效。

2.4 管理平臺安全

對于具有大量分點(diǎn)的Wi-Fi組網(wǎng)，需要有一個管理平臺實(shí)施網(wǎng)絡(luò)管理。管理平臺可以部署在總部，也可以通過云管理平臺的方式進(jìn)行虛擬管理。無論是哪種管理方式，對管理平臺的網(wǎng)絡(luò)隱藏和防火墻保護(hù)是必要的。

整個管理平臺的訪問必須實(shí)施訪問控制，采取與互聯(lián)網(wǎng)相隔離的內(nèi)部網(wǎng)絡(luò)訪問機(jī)制，并通過訪問認(rèn)證的方式，實(shí)現(xiàn)對管理平臺操作訪問的安全保障。

2.5 制度和人員管理

電信運(yùn)營商本身具備完善的運(yùn)行維護(hù)管理制度、人員管理制度和安全保密制度，這是從事Wi-Fi建設(shè)的基本要求。同時對于電信大客戶方面具有較大規(guī)模的Wi-Fi組網(wǎng)項目，在客戶層面的這些制度，也是Wi-Fi組網(wǎng)安全的一個重要組成部分，只有和客戶一同達(dá)到制度和管理的完善，才能更好地防范因人員層面的漏洞而導(dǎo)致安全事件的發(fā)生。

3 結(jié)束語

電信運(yùn)營商具備多種多樣的通信資源提供能力，具備人才優(yōu)勢和技術(shù)優(yōu)勢，并能實(shí)現(xiàn)全程全網(wǎng)系統(tǒng)集成的服務(wù)，因此在Wi-Fi建設(shè)和服務(wù)中承擔(dān)了越來越多的項目，其中以公共服務(wù)Wi-Fi和電信大客戶服務(wù)場所或辦公場所的Wi-Fi提供為主?；谶@些特點(diǎn)，必須從多個方面實(shí)現(xiàn)組網(wǎng)安全：包括在無線接入方面從安全認(rèn)證到安全加密等措施；在通信線路方面根據(jù)客戶的需求選擇從低端到高端的合適接入產(chǎn)品，同時采取Wi-Fi出口和企業(yè)網(wǎng)絡(luò)的隔離；在安全審計方面，根據(jù)需要選擇分布式或集中式部署方式；對于管理平臺，無論是現(xiàn)場平臺還是云平臺，都必須采取防控和安全措施；在制度和人員管理方面，不僅要在電信運(yùn)營商層面做好，也要在客戶層面同步達(dá)成。

基于以上這些措施，電信運(yùn)營商的Wi-Fi建設(shè)組網(wǎng)能夠?qū)崿F(xiàn)較高的安全等級，向更多的高端客戶提供精品的Wi-Fi服務(wù)。當(dāng)然，隨著技術(shù)的發(fā)展和網(wǎng)絡(luò)安全形勢的變化，必須不斷地提升安全措施，以實(shí)現(xiàn)不斷發(fā)展加強(qiáng)的安全保護(hù)。

[1]高峰，高澤華，文柳等．無線城市：電信級Wi-Fi網(wǎng)絡(luò)建設(shè)與運(yùn)營[M]．北京：人民郵電出版社，2012．

[2]朱好好，樊耀東，楊會華．中國電信Wi-Fi分類建設(shè)策略及優(yōu)化運(yùn)營研究[J]．移動通信，2012．

[3]凡星，劉培奇．無線局域網(wǎng)中Wi-Fi安全技術(shù)研究[J]．電腦知識與技術(shù)，2012．

[4]宋宇波，胡愛群，蔡天佑．無線局域網(wǎng)TKIP協(xié)議的安全分析[J]．應(yīng)用科學(xué)學(xué)報，2005．

[5]李京，李永珍．AES 改進(jìn)算法在 CCMP 協(xié)議中的應(yīng)用[J]．延邊大學(xué)學(xué)報（自然科學(xué)版），2015．