電信運營商Wi-Fi建設組網安全

◆程德懌

（上海市信息網絡有限公司 上海 200081）

電信運營商Wi-Fi建設組網安全

◆程德懌

（上海市信息網絡有限公司 上海 200081）

隨著無線通信技術的發展，Wi-Fi業務的發展突飛猛進。根據電信運營商的特點，本文分析了其典型的Wi-Fi組網特點，并針對無線接入安全、線路安全、安全審計、管理平臺安全、制度和人員管理等方面提出了安全措施，并對將來不斷提升和改進安全措施方面提出了要求。通過上述措施，可以更好地實現電信級Wi-Fi服務的高品質和高安全性。

電信運營商；Wi-Fi；安全；認證

0 引言

隨著無線通信的發展，Wi-Fi作為一種常用的無線局域網實現方式也逐漸成為了人們重要的通信媒介。在一些公共場所，Wi-Fi的服務提供給予人們很大的便利；在一些服務場所，服務提供商通過Wi-Fi的提供更好地提升用戶的感知度，并贏得更高的客戶挽留時間。

Wi-Fi采用的是無線局域網IEEE 802.11系列標準，用戶可以為電子設備提供到就近的無線局域網的網絡接入功能，從而實現網絡應用[1]。公共Wi-Fi的覆蓋范圍一般可達100米至300米左右，可以方便地覆蓋餐館、超市、酒店、機場、醫院和辦公場所等，在實際應用中不需要布放接入網線而能夠便捷地提供互聯網的接入，具備部署快速、接入方便、成本低廉等優勢。

在一些場所，電信運營商參與了Wi-Fi的建設，以電信級的通信服務提升了Wi-Fi組網的品質[2]。然而如何實現組網安全，是電信運營商提供高質量Wi-Fi服務考慮的關鍵點，也是電信運營商實現差異化服務的體現。

1 電信運營商Wi-Fi建設組網特點

由于單一場所的小區域Wi-Fi覆蓋的實現比較簡單，因此對于能夠承接這類組網建設的服務商的要求相對較低。而電信運營商因為具備自身的一些優勢，能夠承接更復雜的組網建設項目。

電信運營商所建設的Wi-Fi實現方案，主要是依靠幾大類優勢。

首先是通信資源的優勢。電信運營商具備從低端到高端的通信網絡和接入資源，以及足夠的互聯網出口資源，能夠根據客戶的要求選擇合適的產品，并實現價格優勢。對于機房維護資源不足的客戶，電信運營商可以提供數據中心或云產品，為客戶實現平臺的托管或云服務。

其次是系統集成能力的優勢。電信運營商具備成熟的系統集成能力，可以為客戶實現從設備到通信線路以及管理平臺和軟件等服務，并把這些服務有機地整合成一個綜合產品，為客戶提供全業務的綜合服務，避免了客戶向多家服務提供商進行硬件和服務采購并整合的麻煩。當Wi-Fi業務發生故障時，客戶只要向電信運營商報修，由電信運營商進行綜合分析判斷，并提交相應的服務人員進行處理，而不必由客戶在不同的供應商之間咨詢究竟問題出在哪里。

還有的是運行維護及服務網點的優勢。電信運營商具備覆蓋全區域的運行維護和服務網點以及服務人員，包括分布在各個電信網點的基層服務人員和集中的高端技術專家，能在較短時間內實現維護和服務的響應。同時電信運營商還有良好的服務電話接聽體系，能夠全天候實現服務需求的受理和分派。對于跨域的服務，電信運營商還可以通過全國的互聯互通體系實現跨區域乃至跨省、跨國的服務調度。

更重要的是品牌效應和客戶資源。這方面的優勢使得一些重要的大客戶信任并愿意選擇電信運營商作為其Wi-Fi建設的服務提供商。

基于上述優勢，電信運營商Wi-Fi建設的主要服務對象多為大量公共服務Wi-Fi，或者電信大客戶的批量服務場所、大客戶的辦公場所等。這些場所的特點是地點眾多或區域較廣，每個地點的配置和管理要求相近，并且具備管理平臺實施統一的管理。電信運營商可以根據自身的資源條件，提供包括無線Wi-Fi接入、通信線路、安全審計設備以及Wi-Fi運營的管理平臺。

這些公共服務的Wi-Fi或電信大客戶的Wi-Fi，更需要電信運營商提供良好的接入便捷性、快速的網絡訪問服務、較高的系統穩定性、一旦發生故障能迅速定位并快速修復。當然更重要的是保障安全可靠。

2 組網安全

根據電信運營商Wi-Fi建設組網的特點，需要在多個方面實施組網的安全，以實現對重要Wi-Fi組網項目的高性能要求。

2.1 無線接入安全

對于公共服務場所，以及電信大客戶的服務場所，例如超市、銀行網點等，由于提供服務的對象是不特定公眾人群，因此進行身份認證是必要的安全措施。公共場所的Wi-Fi服務由于需要開放，認證方式不適合采用密碼認證，更適合采用手機認證，這樣不僅能夠對于接入者進行鑒別，還能在發生信息安全事件時對信息發送者進行查找。

在無線接入端，對于傳送數據的加密算法也是安全的重點。早期使用的WEP協議（Wired Equivalent Privacy，有線等效保密）由于較容易被破解，因此現在已經很少采用了[3]。TKIP協議（Temporal Key Integrity Protocol，臨時密鑰完整性協議）是在WEP基礎上的一種有限改進協議[4]，而CCMP協議（Counter CBC-MAC Protocol，計數器模式密碼塊鏈消息完整碼協議）采用了安全性更高的AES算法，大大提升了加密傳輸的安全性。

對于辦公場所，既有作為員工的固定用戶，也有作為外來訪客的不特定用戶，因此需要同時考慮這兩方面的需求。對固定用戶，可采用密碼認證和MAC綁定認證，防止仿冒身份的接入，對于這類用戶的訪問權限，可以在認證之后充分放開。對不特定用戶，設置不同的SSID（Service Set Identifier，服務集體標識）進行接入，并采用手機認證的措施，在訪問權限方面根據需要進行限制。

2.2 線路安全

用戶通過無線接入到無線路由器，還需通過通信線路聯入互聯網。電信運營商可提供多種通信接入線路，須根據成本要求和安全需求來合理選擇。對于低成本的公共熱點，可以采用EPON等實現互聯網接入。對于銀行、辦公場所等場合，則可以選擇安全性更高的二層以太網專線實現互聯網的接入，以保障有線傳輸過程中的信息防竊取。

對于公共服務的Wi-Fi，不能夠與企業的業務網絡共享互聯網出口，這樣做會導致外來的不安全的接入終端獲得企業的業務網絡的接入權限。正確的做法是在無線路由器后端提供專有的上網通信線路，將這條線路與企業的業務網絡完全隔離，獨立提供互聯網的出口。

2.3 安全審計

根據國家互聯網安全的規定，公共Wi-Fi必須提供安全審計功能，這是對信息安全的一種回溯和保障機制，也是對信息發送者的一種認證。采用安全審計，當發生信息安全問題時，可以根據安全審計日志，還原問題信息，追溯信息源。

安全審計設備的部署，可以是在接入端無線路由器的后續，這種部署方式的優點是可以直接獲取原始安全審計信息，并發送至存儲端然后上報，缺點是當分點數量比較多時，需要使用同樣數量的安全審計設備一一配備。當然還可以在各個分點通過通信線路匯聚至總部之后進行集中式的安全審計設備部署，這樣的部署方式需要在總部配備多端口接入的通信線路接入設備，并在集中式安全審計設備中實現對各個分點的數據匯總、存儲及上報，其優點是節約設備成本和上傳帶寬，并可以對數據進行匯總分析，缺點是一旦總部設備和線路出現故障，會導致一批分點安全審計功能失效。

2.4 管理平臺安全

對于具有大量分點的Wi-Fi組網，需要有一個管理平臺實施網絡管理。管理平臺可以部署在總部，也可以通過云管理平臺的方式進行虛擬管理。無論是哪種管理方式，對管理平臺的網絡隱藏和防火墻保護是必要的。

整個管理平臺的訪問必須實施訪問控制，采取與互聯網相隔離的內部網絡訪問機制，并通過訪問認證的方式，實現對管理平臺操作訪問的安全保障。

2.5 制度和人員管理

電信運營商本身具備完善的運行維護管理制度、人員管理制度和安全保密制度，這是從事Wi-Fi建設的基本要求。同時對于電信大客戶方面具有較大規模的Wi-Fi組網項目，在客戶層面的這些制度，也是Wi-Fi組網安全的一個重要組成部分，只有和客戶一同達到制度和管理的完善，才能更好地防范因人員層面的漏洞而導致安全事件的發生。

3 結束語

電信運營商具備多種多樣的通信資源提供能力，具備人才優勢和技術優勢，并能實現全程全網系統集成的服務，因此在Wi-Fi建設和服務中承擔了越來越多的項目，其中以公共服務Wi-Fi和電信大客戶服務場所或辦公場所的Wi-Fi提供為主。基于這些特點，必須從多個方面實現組網安全：包括在無線接入方面從安全認證到安全加密等措施；在通信線路方面根據客戶的需求選擇從低端到高端的合適接入產品，同時采取Wi-Fi出口和企業網絡的隔離；在安全審計方面，根據需要選擇分布式或集中式部署方式；對于管理平臺，無論是現場平臺還是云平臺，都必須采取防控和安全措施；在制度和人員管理方面，不僅要在電信運營商層面做好，也要在客戶層面同步達成。

基于以上這些措施，電信運營商的Wi-Fi建設組網能夠實現較高的安全等級，向更多的高端客戶提供精品的Wi-Fi服務。當然，隨著技術的發展和網絡安全形勢的變化，必須不斷地提升安全措施，以實現不斷發展加強的安全保護。

[1]高峰，高澤華，文柳等．無線城市：電信級Wi-Fi網絡建設與運營[M]．北京：人民郵電出版社，2012．

[2]朱好好，樊耀東，楊會華．中國電信Wi-Fi分類建設策略及優化運營研究[J]．移動通信，2012．

[3]凡星，劉培奇．無線局域網中Wi-Fi安全技術研究[J]．電腦知識與技術，2012．

[4]宋宇波，胡愛群，蔡天佑．無線局域網TKIP協議的安全分析[J]．應用科學學報，2005．

[5]李京，李永珍．AES 改進算法在 CCMP 協議中的應用[J]．延邊大學學報（自然科學版），2015．