作為城市重要的交通工具�����,我國公交車日均客流量高達2.2億人次�,在公交車上開通免費WiFi�����,讓枯燥單調(diào)的車程變得有滋有味���,大大提升了市民日常出行環(huán)境。今年起����,包括北京����、上海等在內(nèi)的全國60余座城市都將陸續(xù)開通公交WiFi,市民出行乘車時有望享受到免費的WiFi����。隨著車載WiFi市場的爆發(fā)式增長,人們在享受免費WiFi暢游網(wǎng)絡(luò)的同時���,業(yè)界對乘客信息泄露���、釣魚網(wǎng)站等安全隱患問題的爭論也日益凸顯。
“云—管—端-應(yīng)用”全業(yè)務(wù)流下構(gòu)建車載WiFi安全體系設(shè)計
在目前車載WiFi行業(yè)剛剛起步并快速發(fā)展的階段�����,除了借鑒家庭WiFi領(lǐng)域多年來的成長經(jīng)驗外,需要針對車載WiFi獨特的應(yīng)用場景����,結(jié)合其移動性、運行環(huán)境等特殊要求����,從硬件����、軟件、網(wǎng)絡(luò)���、鏈路等多維度層面開展安全體系架構(gòu)的系統(tǒng)級頂層設(shè)計�����,這就對行業(yè)從業(yè)者提出了嚴峻的考驗��。作為國內(nèi)目前大型的車載WiFi設(shè)備供應(yīng)商����,深圳市宏電技術(shù)股份有限公司(以下簡稱宏電)FreeWiFi事業(yè)部總監(jiān) Seven 對此是擁有發(fā)言權(quán)的。他在主導(dǎo)研發(fā)設(shè)計車載WiFi級多媒體路由器前����,已經(jīng)擁有十多年工業(yè)級無線路由器的產(chǎn)品研發(fā)及市場經(jīng)驗,對車載WiFi安全設(shè)計的問題���,他毫不避諱的指出如果僅僅在設(shè)備端采用防火墻���、ARP檢測、DNS檢測等技術(shù)以及下載APP登陸等的方式只是起到查漏補缺的作用����,無法“一勞永逸”。而這也是業(yè)界大部分硬件廠家的做法��。他倡導(dǎo)廣大廠商應(yīng)該站在系統(tǒng)頂層設(shè)計的角度��,從設(shè)備端�����、傳輸網(wǎng)絡(luò)和云端平臺全業(yè)務(wù)流上同步加強安全防護措施���,構(gòu)筑“云—管—端-應(yīng)用”全方位的車載WiFi安全防護體系�����,才能夠真正從應(yīng)用場景出發(fā)多維度解決車載WiFi安全性這一風(fēng)險�,為尚未全面成熟的車載WiFi行業(yè)健康發(fā)展保駕護航��。
從車載WiFi終端入手嚴把安全第一關(guān)
車載WiFi路由器位于工作“第一現(xiàn)場”��,其安全性要求首當其中���,各大終端設(shè)備廠商也紛紛采用各種技術(shù)手段來提升車載WiFi設(shè)備的接入安全性和防護能力����,一般較常見的是將傳統(tǒng)PC安全手段移植到WiFi設(shè)備上���,起到了一定的防護作用。宏電Seven認為除了常規(guī)的安全技術(shù)手段外�����,在終端層面還需進行針對性的安全增強措施����。他指出在宏電車載WiFi路由器上����,采取的主要增強措施是不保留設(shè)備管理頁面并關(guān)閉所有端口�,只保留了SSH安全端口,通過linux防火墻能夠?qū)υO(shè)備本身起到很好的保護作用���。同時還采用了AP隔離技術(shù)使用戶與用戶之間不能互相訪問����,這樣可有效防止黑客竊取用戶數(shù)據(jù)����,有效保障用戶的信息的安全。
Seven說為了進一步防止黑客的攻擊�,宏電車載WiFi路由器設(shè)計時,全面采取了非被動式的主動鑒權(quán)管理模式�,讓任何被動訪問均視為無效。用戶與設(shè)備通訊是以UNIX域的加密通訊方式���,非法偽造通訊請求也均被視為無效�。同時��,如果設(shè)備在3G/4G公網(wǎng)IP變化,設(shè)備處于移動互聯(lián)網(wǎng)的安全端����,使用APN專網(wǎng)可進一步增加安全性。
無防護措施的傳輸鏈路也易遭遇劫持與竊密
車載WiFi設(shè)備是通過3G/4G轉(zhuǎn)WiFi提供乘客免費上網(wǎng)服務(wù)的��,因此網(wǎng)絡(luò)傳輸通道的速度和安全性直接關(guān)系到用戶的體驗�,信息數(shù)據(jù)在傳輸過程中也有可能被劫持、竊取����。關(guān)于這個問題,Seven認為從根本上講��,這也是一個從終端層面實現(xiàn)的問題���。所以他在進行WiFi產(chǎn)品系統(tǒng)設(shè)計時采用了一個大膽的創(chuàng)新——只保留了HTTPS作為唯一連接通訊方式�,將業(yè)務(wù)數(shù)據(jù)傳輸全部采用壓縮包方式進行傳輸和校驗���,通過這一做法大大加強了數(shù)據(jù)傳輸通道的安全性�����,讓黑客難以入侵。同時�����,他對所有用戶數(shù)據(jù)進行了token加密�,對敏感信息進行了私密轉(zhuǎn)換,即使遭到入侵���,別人獲取的也只是一堆經(jīng)過加密的斷碼而已�。
從云端防守保護數(shù)據(jù)“大腦”
可以說中心端云平臺就是數(shù)以千萬計的車載WiFi設(shè)備的“大腦”與總司令部��,掌管著數(shù)據(jù)匯總����、存儲以及命令分發(fā)等大權(quán),一旦遭受入侵將損失慘重�����,這塊安全防護體系構(gòu)建還未引起大部分廠商及WiFi運營商足夠重視���。Seven 提到��,除了常見的安全防火墻和防網(wǎng)絡(luò)攻擊的措施外�,宏電針對WiFi云平臺仍然做足了安全強化措施,如關(guān)閉https傳輸外的端口僅保留與設(shè)備通訊端口�����,同時使UI訪問與業(yè)務(wù)服務(wù)相互獨立�,減少被入侵的入口和幾率。同時還通過部署符合阿里云�����、騰訊云的基本安全需求和云安全服務(wù)��,大大加強了對如DDOS等網(wǎng)絡(luò)攻擊的防御能力�。
倡導(dǎo)良好WiFi使用習(xí)慣 安全蹭網(wǎng)并不難
除采用以上技術(shù)手段外,安全隱患還跟用戶的操作習(xí)慣有關(guān)�,但這方面卻是無法受到嚴格約束的。因此��,宏電FreeWiFi事業(yè)部總監(jiān)Seven倡導(dǎo)用戶要提高自我防范意識���,養(yǎng)成良好的WiFi使用習(xí)慣����,在公共場合盡可能選擇具有品牌的安全性較可靠的免費WiFi�,無密碼WiFi連接時需要多留心,運營商提供的無線熱點區(qū)域內(nèi)���,一般連接后會彈出一個網(wǎng)頁需要登錄����,如沒有出現(xiàn)�,則極有可能是假冒�。
另外,他還建議用戶將手機WiFi自動連接功能關(guān)閉���,避免在“不知情”的情況下落入“黑WiFi”的圈套����。同時在公共場合使用免費WiFi網(wǎng)絡(luò)時盡可能不要有網(wǎng)購或者是轉(zhuǎn)賬等相關(guān)行為��,也不要打開郵箱里的垃圾郵件或者陌生人郵件�����,才能夠真正做到“安全蹭網(wǎng)”����、“安心蹭網(wǎng)”�����。
媒體報道:http://www.mobiletalkclub.com/CompanyNewsDetail-EB15D661B0C1FB1C.html
