作为城市重要的交通工具,我国公交车日均客流量高达2.2亿人次,在公交车上开通免费WiFi,让枯燥单调的车程变得有滋有味,大大提升了市民日常出行环境。今年起,包括北京、上海等在内的全国60余座城市都将陆续开通公交WiFi,市民出行乘车时有望享受到免费的WiFi。随着车载WiFi市场的爆发式增长,人们在享受免费WiFi畅游网络的同时,业界对乘客信息泄露、钓鱼网站等安全隐患问题的争论也日益凸显。
“云—管—端-应用”全业务流下构建车载WiFi安全体系设计
在目前车载WiFi行业刚刚起步并快速发展的阶段,除了借鉴家庭WiFi领域多年来的成长经验外,需要针对车载WiFi独特的应用场景,结合其移动性、运行环境等特殊要求,从硬件、软件、网络、链路等多维度层面开展安全体系架构的系统级顶层设计,这就对行业从业者提出了严峻的考验。作为国内目前大型的车载WiFi设备供应商,深圳市宏电技术股份有限公司(以下简称宏电)FreeWiFi事业部总监 Seven 对此是拥有发言权的。他在主导研发设计车载WiFi级多媒体路由器前,已经拥有十多年工业级无线路由器的产品研发及市场经验,对车载WiFi安全设计的问题,他毫不避讳的指出如果仅仅在设备端采用防火墙、ARP检测、DNS检测等技术以及下载APP登陆等的方式只是起到查漏补缺的作用,无法“一劳永逸”。而这也是业界大部分硬件厂家的做法。他倡导广大厂商应该站在系统顶层设计的角度,从设备端、传输网络和云端平台全业务流上同步加强安全防护措施,构筑“云—管—端-应用”全方位的车载WiFi安全防护体系,才能够真正从应用场景出发多维度解决车载WiFi安全性这一风险,为尚未全面成熟的车载WiFi行业健康发展保驾护航。
从车载WiFi终端入手严把安全第一关
车载WiFi路由器位于工作“第一现场”,其安全性要求首当其中,各大终端设备厂商也纷纷采用各种技术手段来提升车载WiFi设备的接入安全性和防护能力,一般较常见的是将传统PC安全手段移植到WiFi设备上,起到了一定的防护作用。宏电Seven认为除了常规的安全技术手段外,在终端层面还需进行针对性的安全增强措施。他指出在宏电车载WiFi路由器上,采取的主要增强措施是不保留设备管理页面并关闭所有端口,只保留了SSH安全端口,通过linux防火墙能够对设备本身起到很好的保护作用。同时还采用了AP隔离技术使用户与用户之间不能互相访问,这样可有效防止黑客窃取用户数据,有效保障用户的信息的安全。
Seven说为了进一步防止黑客的攻击,宏电车载WiFi路由器设计时,全面采取了非被动式的主动鉴权管理模式,让任何被动访问均视为无效。用户与设备通讯是以UNIX域的加密通讯方式,非法伪造通讯请求也均被视为无效。同时,如果设备在3G/4G公网IP变化,设备处于移动互联网的安全端,使用APN专网可进一步增加安全性。
无防护措施的传输链路也易遭遇劫持与窃密
车载WiFi设备是通过3G/4G转WiFi提供乘客免费上网服务的,因此网络传输通道的速度和安全性直接关系到用户的体验,信息数据在传输过程中也有可能被劫持、窃取。关于这个问题,Seven认为从根本上讲,这也是一个从终端层面实现的问题。所以他在进行WiFi产品系统设计时采用了一个大胆的创新——只保留了HTTPS作为唯一连接通讯方式,将业务数据传输全部采用压缩包方式进行传输和校验,通过这一做法大大加强了数据传输通道的安全性,让黑客难以入侵。同时,他对所有用户数据进行了token加密,对敏感信息进行了私密转换,即使遭到入侵,别人获取的也只是一堆经过加密的断码而已。
从云端防守保护数据“大脑”
可以说中心端云平台就是数以千万计的车载WiFi设备的“大脑”与总司令部,掌管着数据汇总、存储以及命令分发等大权,一旦遭受入侵将损失惨重,这块安全防护体系构建还未引起大部分厂商及WiFi运营商足够重视。Seven 提到,除了常见的安全防火墙和防网络攻击的措施外,宏电针对WiFi云平台仍然做足了安全强化措施,如关闭https传输外的端口仅保留与设备通讯端口,同时使UI访问与业务服务相互独立,减少被入侵的入口和几率。同时还通过部署符合阿里云、腾讯云的基本安全需求和云安全服务,大大加强了对如DDOS等网络攻击的防御能力。
倡导良好WiFi使用习惯 安全蹭网并不难
除采用以上技术手段外,安全隐患还跟用户的操作习惯有关,但这方面却是无法受到严格约束的。因此,宏电FreeWiFi事业部总监Seven倡导用户要提高自我防范意识,养成良好的WiFi使用习惯,在公共场合尽可能选择具有品牌的安全性较可靠的免费WiFi,无密码WiFi连接时需要多留心,运营商提供的无线热点区域内,一般连接后会弹出一个网页需要登录,如没有出现,则极有可能是假冒。
另外,他还建议用户将手机WiFi自动连接功能关闭,避免在“不知情”的情况下落入“黑WiFi”的圈套。同时在公共场合使用免费WiFi网络时尽可能不要有网购或者是转账等相关行为,也不要打开邮箱里的垃圾邮件或者陌生人邮件,才能够真正做到“安全蹭网”、“安心蹭网”。
媒体报道:http://www.mobiletalkclub.com/CompanyNewsDetail-EB15D661B0C1FB1C.html