基于无线路由器的Wi.docVIP

基于无线路由器的Wi 摘 要：为了解决目前许多公共场所提供的免费 Wi-Fi 信号存在巨大公共安全隐患的问题，防止不法分子利用免费 Wi-Fi 散布虚假与有害信息，影响社会治安，通过在 Wi-Fi 路由器上嵌入网络审计程序，采集并关联终端用户身份信息与用户上网内容，然后将审计数据存储到数据中心作进一步分析与处理。在实际应用中，Wi-Fi审计路由器能够有效审计并采集用户上网行为，为网络安全维护提供了基础数据。因此，在路由器端进行网络 流量审计监控的方法简单、有效，审计率可达到 99%以上。 关键词：Wi-Fi;嵌入式;路由器;网络审计 0 引言 近年来，随着物联网技术的快速发展与无线网络的普及 ，人 们生活中越来越离不开 Wi-Fi(Wireless Fideli? ty)。如今几乎所有智能手机和笔记本电脑都支持 Wi-Fi 通信方式，越来越多智能终端设备也支持通过无线方式接入互联网[1-2]。提供 Wi-Fi 的场所也不断增加，如火车站、宾馆、商场等，因此可能存在一些人利用公共网络匿名散 播谣言或发表攻击性言论的情况，网络安全成为当今不容忽视的问题[3]。自 2006 年起，公安部已将 WLAN 安全纳入网络安全范畴，并对其进行审查，只要是面向公众提供Wi-Fi 服务的场所，必须安装符合公安部 82 号令的互联网安全审计系统[4]。 审计系统需要依赖路由器等硬件设备采集用户上网行为。路由器等网关设备作为终端设备与互联网之间的桥梁，所有网络数据都必须经过网关设备，以提升数据质量[5-6]。随着物联网的发展，现有路由器等网关设备性能得到了大幅提升。以路由器为例，嵌入式操作系统 OpenWRT 被应用于诸多路由器品牌中，常见的有 TP-Link、小米、极路由等。此外，OpenWRT 系统作为 Linux 的一个嵌入式版本，支持多种主流处理器，可移植性强。同时，OpenWRT 系统操作简单，适用于嵌入式软件的定制开发[7-8]。 针对不同业务需求，网络审计方法也略有不同。王泽旺[9]基于 HTTP 协议内容进行分析，通过旁路监听的方式进行数据采集，重点分析 HTTP 协议相关内容;王庆刚等[10] 采集 2.4G 频段 MAC 数据帧，通过 python 解析内容并存储于本地;郭凯[11]基于 Windows 平台，利用 WinPcap 获取与分析流经网卡的所有数据。以上几种方法都实现了网络审计功能，但大多都是基于服务器旁路方式进行网络流量抓取，可移植性不强，也没有对用户个人信息进行采集与关联，不符合公安部的网络审计要求。 本文采用基于 OpenWRT 操作系统的路由器，并在路由器上开发了一个网络审计客户端，包含认证模块与审计模块。用户连接路由器时必须先认证身份，然后才能访问互联网。与此同时，审计客户端会同步解析用户上网行为，将其上网日志发送至公安数据中心备份，以供公安网络安全查询或舆情预警。 1 总体设计 1.1 整体业务结构设计 网络审计的主要目的是将上网用户的个人信息与该用户上网行为进行关联，提供给公安网警作进一步分析。审计流程分为 3 个步骤：① 用户身份获取;② 用户上网行为采集;③ 将用户身份与上网行为发送到数据中心进行存储，并将用户及其行为相关联[12]。整体业务系统物理结构如图 1 所示。 图 1 整体业务系统结构 其中审计路由器系统结构如图 2 所示。路由器的基础操作系统为 OpenWRT，除基本路由功能外，审计程序独立运行在操作系统上，随路由器系统一起启动，可利用监听路由器设备的无线网卡实现对无线数据的内容审计功能。 图 2 路由器系统结构 审计模块功能流程如图 3 所示。设备连接到无线路由器后，审计程序检查该设备是否已通过认证，若尚未认证，则弹出 portal 并要求用户进行认证操作。同时通过监听无线网卡，采集终端设备通信的网络数据包进行内容解析，上传到数据中心并与设备已认证的用户信息关联，形成一条记录。 图 3 网络审计流程 1.2 路由器操作系统选择 审计程序运行在无线路由器设备之上，常见路由器系统有 OpenWRT、DD-WRT、Tomato 等[13]。其中 DD-WRT 系统符合用户使用习惯，操作也很简单;Tomato 系统虽然稳定性略佳，但是支持的硬件类型较为局限;相比而言，Open? WRT 更贴近开发者使用习惯，且支持用户安装软件。因此，本文选择 OpenWRT 系统作为审计路由的操作系统[14]。 OpenWRT 是基于 Linux 内核的一个开源嵌入式系统，主要用于路由器等智能设备中。OpenWRT 系统有着良好的网络特性，因此 OpenWRT 可作为路由器的