淺談公共Wi-Fi 的安全審計(jì)解決方案

魯曉霞，彭紀(jì)源，楊曉鳴

（湖南省郵電規(guī)劃設(shè)計(jì)院有限公司，長(zhǎng)沙 410026）

1 研究背景

中國(guó)的互聯(lián)網(wǎng)和信息網(wǎng)絡(luò)在最近的十余年獲得了飛速的發(fā)展，無線網(wǎng)絡(luò)也隨著“無線城市”的到來，而普及到國(guó)內(nèi)各個(gè)家庭和公共場(chǎng)所，人們已經(jīng)開始享受無線（Wi-Fi）網(wǎng)絡(luò)給工作及生活帶來的便捷。但這種便捷同樣也給不法份子帶來可乘之機(jī)，越來越多的網(wǎng)絡(luò)違法活動(dòng)開始通過公眾場(chǎng)所的無線網(wǎng)絡(luò)來進(jìn)行。尤其是像酒店、咖啡廳、餐館、商場(chǎng)等提供無線網(wǎng)絡(luò)服務(wù)的公眾場(chǎng)所，更是違法犯罪活動(dòng)的高發(fā)地，需要對(duì)網(wǎng)絡(luò)行為進(jìn)行有效的監(jiān)控，從而有效的打擊網(wǎng)絡(luò)違法活動(dòng)。

根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》（公安部令第33號(hào)）、《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》（公安部令第82號(hào)）、《中華人民共和國(guó)刑法修正案（九）》、《中華人民共和國(guó)反恐怖主義法》、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等相關(guān)法律規(guī)定，無線Wi-Fi 上網(wǎng)服務(wù)場(chǎng)所需落實(shí)互聯(lián)網(wǎng)安全保護(hù)技術(shù)防范措施。

因此，本文就如何實(shí)現(xiàn)對(duì)公共Wi-Fi 的安全審計(jì)展開討論。

2 公共Wi-Fi 的主要問題

遍布公共場(chǎng)所的無線“熱點(diǎn)”，將人們的生活和工作帶入一個(gè)全新的時(shí)代。但無線網(wǎng)絡(luò)的開放性也給管理帶來極大的困難，對(duì)公共Wi-Fi 提出了新的機(jī)遇和挑戰(zhàn)。具體表現(xiàn)在：

（1）安全問題。賓館酒店等公共娛樂場(chǎng)所的網(wǎng)絡(luò)，方便的不僅僅是正常信息的獲取和交流。惡意代碼，比如病毒、蠕蟲、間諜軟件等等，也在搭乘著便車，籍由網(wǎng)頁、Email、聊天工具、下載工具等方式，侵入到網(wǎng)絡(luò)的各個(gè)角落，而現(xiàn)有的安全手段面對(duì)新形勢(shì)下出現(xiàn)的安全問題捉襟見肘、收效甚微。

（2）資源問題。據(jù)中國(guó)社會(huì)科學(xué)研究院最新的統(tǒng)計(jì)調(diào)查表明，70%的互聯(lián)網(wǎng)帶寬資源被音樂、電影下載占用著，賓館酒店等公共娛樂場(chǎng)所也是如此。若對(duì)此不加管理，將嚴(yán)重消耗帶寬資源，導(dǎo)致正常業(yè)務(wù)得不到應(yīng)有的資源保障。因此，需要一種有效的資源管理控制手段，確保重要業(yè)務(wù)的正常運(yùn)行，避免帶寬等重要資源的浪費(fèi)。

（3）內(nèi)容問題。用戶在獲取有用信息的同時(shí)，也被各種不良內(nèi)容侵蝕著。同時(shí)，網(wǎng)絡(luò)可能會(huì)把用戶一些保密信息泄漏出去。任何用戶都擔(dān)心自己的機(jī)密信息泄露出去，而公共Wi-Fi 提供了方便的信息交流和傳遞環(huán)境。如何確保用戶利用網(wǎng)絡(luò)獲取有用信息的同時(shí)，免受不良內(nèi)容的干擾，同時(shí)安全保密信息，是公共Wi-Fi 面臨的一個(gè)難題。

3 解決方案

要解決公共場(chǎng)的Wi-Fi 問題，可以通過建設(shè)安全審計(jì)平臺(tái)實(shí)現(xiàn)對(duì)用戶上網(wǎng)行為實(shí)施記錄和審計(jì)，從而獲取用戶身份和網(wǎng)上活動(dòng)信息，進(jìn)行帶寬管理、訪問控制、流量統(tǒng)計(jì)、內(nèi)容審計(jì)等，為公共場(chǎng)所提供一定的上網(wǎng)管理手段，方便分配和管理網(wǎng)絡(luò)資源，滿足相關(guān)主管部門對(duì)安全管控的要求。

3.1 總體思路

安全審計(jì)平臺(tái)的總體思路是通過Wi-Fi 認(rèn)證平臺(tái)獲取時(shí)間、賬號(hào)、用戶MAC、用戶IP、所在商家、所在熱點(diǎn)、終端類型等內(nèi)容，通過安全審計(jì)平臺(tái)獲取用戶MAC、用戶IP 及上網(wǎng)行為，然后將以上兩個(gè)信息以MAC、IP 等信息為關(guān)聯(lián)，實(shí)現(xiàn)上網(wǎng)行為的可追溯。用戶終端設(shè)備溯源流程示意圖1所示：

圖1 用戶終端設(shè)備溯源流程

通聯(lián)日志是數(shù)據(jù)采集點(diǎn)上報(bào)至審計(jì)平臺(tái)的數(shù)據(jù)，內(nèi)容如下：

手機(jī)端IP/MAC/端口服務(wù)端：IP/端口

樣例如圖2所示：

圖2 通聯(lián)日志樣例

從上述流程及樣例可以得知IP 溯源可以通過服務(wù)IP 和端口及時(shí)間情況來回溯出具體的終端用戶情況。

3.2 安全審計(jì)平臺(tái)組網(wǎng)架構(gòu)

安全審計(jì)平臺(tái)網(wǎng)絡(luò)架構(gòu)如圖3所示：

安全審計(jì)中心對(duì)場(chǎng)所、設(shè)備等基礎(chǔ)信息的管理和新場(chǎng)所、設(shè)備的接入進(jìn)行審核，提供對(duì)于管理對(duì)象的運(yùn)營(yíng)情況、服務(wù)狀態(tài)的監(jiān)控和遠(yuǎn)程維護(hù)功能，接收?qǐng)鏊驮O(shè)備上報(bào)的數(shù)據(jù)，并將接收到的數(shù)據(jù)進(jìn)行解析和處理，按照公安業(yè)務(wù)系統(tǒng)的要求，對(duì)數(shù)據(jù)進(jìn)行轉(zhuǎn)化，實(shí)現(xiàn)對(duì)接。從數(shù)據(jù)處理流程由下而上分為：前端設(shè)備數(shù)據(jù)接收、數(shù)據(jù)處理和數(shù)據(jù)對(duì)接、管理界面。

圖3 安全審計(jì)平臺(tái)網(wǎng)絡(luò)架構(gòu)

（1）前端設(shè)備數(shù)據(jù)接入。前端設(shè)備數(shù)據(jù)的接入分為設(shè)備基礎(chǔ)信息和公共上網(wǎng)服務(wù)場(chǎng)所審計(jì)數(shù)據(jù)，將數(shù)據(jù)加密后，上報(bào)到安全審計(jì)中心。通過互聯(lián)網(wǎng)與安全審計(jì)中心進(jìn)行交互和業(yè)務(wù)數(shù)據(jù)接收，支持分布式，可以通過增加服務(wù)器來對(duì)處理性能進(jìn)行擴(kuò)展。

（2）數(shù)據(jù)處理和數(shù)據(jù)對(duì)接。數(shù)據(jù)處理和數(shù)據(jù)對(duì)接實(shí)現(xiàn)與前端設(shè)備的交互，并生成公安要求的數(shù)據(jù)，主要由前端管理服務(wù)器、數(shù)據(jù)解析存儲(chǔ)服務(wù)器、數(shù)據(jù)對(duì)接服務(wù)器組成。前端管理服務(wù)器負(fù)責(zé)監(jiān)控服務(wù)場(chǎng)所和前端服務(wù)狀態(tài)，實(shí)現(xiàn)設(shè)備的遠(yuǎn)程維護(hù)和新設(shè)備的接入；數(shù)據(jù)解析存儲(chǔ)服務(wù)器負(fù)責(zé)接收服務(wù)場(chǎng)所和前端設(shè)備采集到的數(shù)據(jù)，對(duì)數(shù)據(jù)做梳理和統(tǒng)計(jì)，監(jiān)控場(chǎng)所和設(shè)備的數(shù)據(jù)上報(bào)情況，對(duì)上報(bào)的鏡像數(shù)據(jù)進(jìn)行協(xié)議還原、解析，并將數(shù)據(jù)輸出到指定位置；數(shù)據(jù)對(duì)接服務(wù)器負(fù)責(zé)按照公安業(yè)務(wù)要求將所需數(shù)據(jù)報(bào)送給公安部門。

（3）管理界面。管理界面的功能，主要包括：基礎(chǔ)信息管理、系統(tǒng)管理、前端設(shè)備管理和數(shù)據(jù)統(tǒng)計(jì)等功能。

3.3 方案介紹

目前公共場(chǎng)所提供的Wi-Fi 大致分為兩種情形組網(wǎng)，一種是通過AC+瘦AP 的方式，一種是通過PON 上行或LAN 上行的三合一終端（寬帶、IPTV、Wi-Fi 三者合一）方式。根據(jù)Wi-Fi組網(wǎng)情況不同安全審計(jì)方案可分為分布式審計(jì)和集中式審計(jì)兩種方案，無論哪種方案都需要建設(shè)安全審計(jì)平臺(tái)，不同點(diǎn)在于安全審計(jì)網(wǎng)關(guān)的放置的位置。

3.3.1 集中式審計(jì)方案

此種方案安全審計(jì)網(wǎng)關(guān)放置在局端機(jī)房，對(duì)BRAS、AC、CR 上聯(lián)口光口鏡像，一般安全審計(jì)網(wǎng)關(guān)的帶寬至少在1Gb/s，也有2Gb/s、4Gb/s、8Gb/s、20Gb/s 等各種型號(hào)，價(jià)位相對(duì)較高。采用此種方案需要滿足如下要求：

（1）流量必須匯聚：要進(jìn)行安全審計(jì)的公共場(chǎng)所的所有Wi-Fi 的上網(wǎng)流量必須匯聚，如AC+瘦AP 組網(wǎng)時(shí)，采用“集中轉(zhuǎn)發(fā)”而非“本地轉(zhuǎn)發(fā)”，用戶上網(wǎng)數(shù)據(jù)流經(jīng)過AC。

（2）安全審計(jì)網(wǎng)關(guān)旁掛在流量匯聚點(diǎn)：如旁掛在AC 上聯(lián)口，做光口鏡像。

（3）IP 地址可區(qū)分：應(yīng)保證安全審計(jì)網(wǎng)關(guān)采集到的IP 地址是惟一、可識(shí)別的，如采用AC+瘦AP 組網(wǎng)的形式，用戶的IP地址應(yīng)由AC 統(tǒng)一分配，以滿足要求。

（4）業(yè)務(wù)可區(qū)分：流量匯聚點(diǎn)側(cè)有各種業(yè)務(wù)，為減少安全審計(jì)網(wǎng)關(guān)的負(fù)荷，最好能夠直接把Wi-Fi 業(yè)務(wù)區(qū)分出來；如在AC側(cè)流量全部為Wi-Fi 業(yè)務(wù)，不需再區(qū)分。

3.3.2 分布式審計(jì)方案

分布式安全審計(jì)：安全審計(jì)網(wǎng)關(guān)放置在熱點(diǎn)，熱點(diǎn)出口路由器/交換機(jī)光口鏡像；或采用軟件探針方式裝在酒店Wi-Fi 的三合一終端里。這種分布式的安全審計(jì)網(wǎng)關(guān)設(shè)備價(jià)格相對(duì)較低。建議單AP 的小微場(chǎng)景可以采用最便宜的安全審計(jì)網(wǎng)關(guān)，其他的場(chǎng)景視AP 數(shù)、帶寬流量要求而定。采用此種方式安全審計(jì)網(wǎng)關(guān)一般是軟件形式，采用嵌入式插件嵌入熱點(diǎn)設(shè)備，因此，對(duì)熱點(diǎn)設(shè)備有一定的要求。

3.4 方案比選

下面將從實(shí)現(xiàn)復(fù)雜度、設(shè)備類型、經(jīng)濟(jì)性、適用場(chǎng)景等幾個(gè)方面對(duì)集中式審計(jì)方案和分布式審計(jì)方案進(jìn)行比較，如表1所示：

表1 兩種審計(jì)方案的比較

綜上所述，以上兩種方案各有優(yōu)勢(shì)，在實(shí)際應(yīng)用中應(yīng)根據(jù)現(xiàn)網(wǎng)情況及建設(shè)方要求進(jìn)行詳細(xì)分析比較，獲取優(yōu)勢(shì)方案。

4 結(jié)束語

遍布公共場(chǎng)所的無線“熱點(diǎn)”，將人們的生活和工作帶入一個(gè)全新的時(shí)代。但無線網(wǎng)絡(luò)的開放性也給管理帶來極大的困難。本文論述了安全審計(jì)平臺(tái)實(shí)現(xiàn)方案，并對(duì)集中式方案和分布式方案進(jìn)行對(duì)比分析。后續(xù)經(jīng)營(yíng)場(chǎng)所還可以通過該平臺(tái)開展大數(shù)據(jù)營(yíng)銷和分析，發(fā)現(xiàn)經(jīng)營(yíng)問題，提高收益。