干货分享：宏电WiFi事业部总监谈车载WiFi安全体系设计

       作为城市重要的交通工具，我国公交车日均客流量高达2.2亿人次，在公交车上开通免费WiFi，让枯燥单调的车程变得有滋有味，大大提升了市民日常出行环境。今年起，包括北京、上海等在内的全国60余座城市都将陆续开通公交WiFi，市民出行乘车时有望享受到免费的WiFi。随着车载WiFi市场的爆发式增长，人们在享受免费WiFi畅游网络的同时，业界对乘客信息泄露、钓鱼网站等安全隐患问题的争论也日益凸显。

“云—管—端-应用”全业务流下构建车载WiFi安全体系设计

       在目前车载WiFi行业刚刚起步并快速发展的阶段，除了借鉴家庭WiFi领域多年来的成长经验外，需要针对车载WiFi独特的应用场景，结合其移动性、运行环境等特殊要求，从硬件、软件、网络、链路等多维度层面开展安全体系架构的系统级顶层设计，这就对行业从业者提出了严峻的考验。作为国内目前大型的车载WiFi设备供应商，深圳市宏电技术股份有限公司（以下简称宏电）FreeWiFi事业部总监 Seven  对此是拥有发言权的。他在主导研发设计车载WiFi级多媒体路由器前，已经拥有十多年工业级无线路由器的产品研发及市场经验，对车载WiFi安全设计的问题，他毫不避讳的指出如果仅仅在设备端采用防火墙、ARP检测、DNS检测等技术以及下载APP登陆等的方式只是起到查漏补缺的作用，无法“一劳永逸”。而这也是业界大部分硬件厂家的做法。他倡导广大厂商应该站在系统顶层设计的角度，从设备端、传输网络和云端平台全业务流上同步加强安全防护措施，构筑“云—管—端-应用”全方位的车载WiFi安全防护体系，才能够真正从应用场景出发多维度解决车载WiFi安全性这一风险，为尚未全面成熟的车载WiFi行业健康发展保驾护航。

从车载WiFi终端入手严把安全第一关

       车载WiFi路由器位于工作“第一现场”，其安全性要求首当其中，各大终端设备厂商也纷纷采用各种技术手段来提升车载WiFi设备的接入安全性和防护能力，一般较常见的是将传统PC安全手段移植到WiFi设备上，起到了一定的防护作用。宏电Seven认为除了常规的安全技术手段外，在终端层面还需进行针对性的安全增强措施。他指出在宏电车载WiFi路由器上，采取的主要增强措施是不保留设备管理页面并关闭所有端口，只保留了SSH安全端口，通过linux防火墙能够对设备本身起到很好的保护作用。同时还采用了AP隔离技术使用户与用户之间不能互相访问，这样可有效防止黑客窃取用户数据，有效保障用户的信息的安全。

       Seven说为了进一步防止黑客的攻击，宏电车载WiFi路由器设计时，全面采取了非被动式的主动鉴权管理模式，让任何被动访问均视为无效。用户与设备通讯是以UNIX域的加密通讯方式，非法伪造通讯请求也均被视为无效。同时，如果设备在3G/4G公网IP变化，设备处于移动互联网的安全端，使用APN专网可进一步增加安全性。

无防护措施的传输链路也易遭遇劫持与窃密

       车载WiFi设备是通过3G/4G转WiFi提供乘客免费上网服务的，因此网络传输通道的速度和安全性直接关系到用户的体验，信息数据在传输过程中也有可能被劫持、窃取。关于这个问题，Seven认为从根本上讲，这也是一个从终端层面实现的问题。所以他在进行WiFi产品系统设计时采用了一个大胆的创新——只保留了HTTPS作为唯一连接通讯方式，将业务数据传输全部采用压缩包方式进行传输和校验，通过这一做法大大加强了数据传输通道的安全性，让黑客难以入侵。同时，他对所有用户数据进行了token加密，对敏感信息进行了私密转换，即使遭到入侵，别人获取的也只是一堆经过加密的断码而已。

从云端防守保护数据“大脑” 

      可以说中心端云平台就是数以千万计的车载WiFi设备的“大脑”与总司令部，掌管着数据汇总、存储以及命令分发等大权，一旦遭受入侵将损失惨重，这块安全防护体系构建还未引起大部分厂商及WiFi运营商足够重视。Seven 提到，除了常见的安全防火墙和防网络攻击的措施外，宏电针对WiFi云平台仍然做足了安全强化措施，如关闭https传输外的端口仅保留与设备通讯端口，同时使UI访问与业务服务相互独立，减少被入侵的入口和几率。同时还通过部署符合阿里云、腾讯云的基本安全需求和云安全服务，大大加强了对如DDOS等网络攻击的防御能力。

倡导良好WiFi使用习惯   安全蹭网并不难 

       除采用以上技术手段外，安全隐患还跟用户的操作习惯有关，但这方面却是无法受到严格约束的。因此，宏电FreeWiFi事业部总监Seven倡导用户要提高自我防范意识，养成良好的WiFi使用习惯，在公共场合尽可能选择具有品牌的安全性较可靠的免费WiFi，无密码WiFi连接时需要多留心，运营商提供的无线热点区域内，一般连接后会弹出一个网页需要登录，如没有出现，则极有可能是假冒。

       另外，他还建议用户将手机WiFi自动连接功能关闭，避免在“不知情”的情况下落入“黑WiFi”的圈套。同时在公共场合使用免费WiFi网络时尽可能不要有网购或者是转账等相关行为，也不要打开邮箱里的垃圾邮件或者陌生人邮件，才能够真正做到“安全蹭网”、“安心蹭网”。

媒体报道：http://www.mobiletalkclub.com/CompanyNewsDetail-EB15D661B0C1FB1C.html