鐘文基

（廣西水利電力職業(yè)技術(shù)學(xué)院，廣西 南寧 530023）

隨著移動(dòng)智能設(shè)備的普及和無(wú)線網(wǎng)絡(luò)技術(shù)的快速發(fā)展，用戶的上網(wǎng)方式也發(fā)生了巨大改變，網(wǎng)絡(luò)接入由傳統(tǒng)的有線網(wǎng)絡(luò)接入轉(zhuǎn)為無(wú)線接入方式，上網(wǎng)終端也更加多樣化。為了能隨時(shí)隨地接入網(wǎng)絡(luò)，無(wú)線網(wǎng)絡(luò)逐漸進(jìn)入人們的學(xué)習(xí)生活中。無(wú)線網(wǎng)絡(luò)作為一種短距離的無(wú)線傳輸技術(shù)，可為一定范圍內(nèi)的無(wú)線終端接入網(wǎng)絡(luò)中，大大提高了便利性及體驗(yàn)度。但是，隨著人們對(duì)無(wú)線網(wǎng)絡(luò)使用度的提高，及移動(dòng)電商、移動(dòng)支付的興起，無(wú)線網(wǎng)絡(luò)的安全性日益重要。

1 無(wú)線網(wǎng)絡(luò)概述

無(wú)線網(wǎng)絡(luò)是一種利用射頻技術(shù)實(shí)現(xiàn)無(wú)線數(shù)據(jù)通信的網(wǎng)絡(luò)，該技術(shù)的出現(xiàn)，彌補(bǔ)了傳統(tǒng)有線網(wǎng)絡(luò)的不足，達(dá)到了延伸網(wǎng)絡(luò)的目的，使得用戶實(shí)現(xiàn)了隨時(shí)隨地暢通網(wǎng)絡(luò)。

無(wú)線網(wǎng)絡(luò)技術(shù)具有如下幾個(gè)特點(diǎn)[1]。

（1）布線靈活，施工成本低。傳統(tǒng)的有線局域網(wǎng)需要穿墻挖洞，埋管布線，施工成本高。無(wú)線網(wǎng)絡(luò)只需布線至無(wú)線接入點(diǎn)位置，就能實(shí)現(xiàn)該區(qū)域的網(wǎng)絡(luò)覆蓋，方便快捷的網(wǎng)絡(luò)組建方式，大大降低了成本。

（2）信號(hào)覆蓋面廣，上網(wǎng)方式靈活。無(wú)線網(wǎng)絡(luò)信號(hào)覆蓋廣，普通的家用無(wú)線路由器能在空曠的地方傳輸100 m，室內(nèi)覆蓋十幾米，能穿透3～4堵磚墻，穿透1～2堵混凝土墻，用戶在無(wú)線網(wǎng)絡(luò)覆蓋的地方，均可實(shí)現(xiàn)網(wǎng)絡(luò)接入，上網(wǎng)方式靈活方便。

（3）組網(wǎng)靈活。傳統(tǒng)的有線網(wǎng)絡(luò)在有信息點(diǎn)的地方才能接入網(wǎng)絡(luò)，如果網(wǎng)絡(luò)建設(shè)初期沒(méi)有規(guī)劃信息點(diǎn)，后期很難滿足業(yè)務(wù)發(fā)展的需求，而無(wú)線網(wǎng)絡(luò)只需要根據(jù)用戶群實(shí)際需求進(jìn)行規(guī)劃，調(diào)整AP數(shù)量和位置，就可以實(shí)現(xiàn)網(wǎng)絡(luò)的接入。

2 無(wú)線網(wǎng)絡(luò)安全標(biāo)準(zhǔn)

當(dāng)前無(wú)線網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，有美國(guó)電氣電子工程師協(xié)會(huì)（Institute of Electrical and Electronics Engineers，IEEE）制定的，也有我國(guó)制定的，大致有以下3種。

2.1 WEP協(xié)議

有線等效加密（Wired Equivalent Privacy，WEP）是最基本的無(wú)線安全加密協(xié)議，對(duì)用戶接入網(wǎng)絡(luò)提供認(rèn)證機(jī)制，防止未授權(quán)用戶接入。在客戶端和無(wú)線AP連接過(guò)程中，會(huì)有4次握手的過(guò)程：第一次握手，客戶端發(fā)送認(rèn)證請(qǐng)求給無(wú)線AP，幀控制頭里面包括了源地址、目標(biāo)地址等信息；第二次握手，無(wú)線AP收到請(qǐng)求后，發(fā)送一個(gè)包含64或者128位隨機(jī)數(shù)列的挑戰(zhàn)字符串給客戶端；第三次握手，當(dāng)客戶端收到無(wú)線AP的響應(yīng)幀后，用RC4算法對(duì)無(wú)線的密鑰和挑戰(zhàn)字符串進(jìn)行加密，然后發(fā)回給無(wú)線AP；第四次握手，無(wú)線AP用RC4加密算法對(duì)自身的密鑰和挑戰(zhàn)字符串加密，并與客戶端發(fā)來(lái)的信息進(jìn)行對(duì)比，如果匹配正確，說(shuō)明客戶端的密鑰和無(wú)線AP密鑰相同，則發(fā)送認(rèn)證成功的信息給客戶端[2]，如圖1所示。

圖1 WEP加密的驗(yàn)證及加密過(guò)程

2.2 WPA協(xié)議

無(wú)線保護(hù)接入安全機(jī)制（WiFi Protected Access，WPA）適用于中小型企業(yè)無(wú)線網(wǎng)絡(luò)及家庭無(wú)線網(wǎng)絡(luò)。WEP的加密機(jī)制存在著一些缺陷，如密鑰管理簡(jiǎn)單，沒(méi)有有效保護(hù)消息完整性等。WPA是對(duì)WEP加密方式的改進(jìn)，有WPA和WPA2兩個(gè)標(biāo)準(zhǔn)，WPA依然采用與WEP相同的加密算法，是在802.11i完備之前替代WEP的過(guò)渡方案。WPA2是WPA的第二代，在802.11i的標(biāo)準(zhǔn)上制定的，它采用更安全的加密算法，從而為企業(yè)提供了較安全的保護(hù)。例如WPA2-PSK加密方式采用PSK認(rèn)證算法+TKIP加密算法，或CCMP加密算法，安全性較高，如果采用的是CCMP加密算法，目前還沒(méi)有被破解[3]。

2.3 WAPI協(xié)議

無(wú)線局域網(wǎng)鑒別和保密的安全協(xié)議（Wireless LAN Authentication and Privacy Infrastructure，WAPI）由中國(guó)自主研發(fā)，擁有自主知識(shí)產(chǎn)權(quán)的無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)，在2003年5月，由我國(guó)科技部、信息產(chǎn)業(yè)部、國(guó)家發(fā)改委等部門(mén)聯(lián)合發(fā)布為國(guó)家標(biāo)準(zhǔn)，是中國(guó)無(wú)線局域網(wǎng)安全的強(qiáng)制性標(biāo)準(zhǔn)。WAPI有兩種鑒別方式：預(yù)共享密鑰鑒別和證書(shū)鑒別。認(rèn)證過(guò)程簡(jiǎn)單，預(yù)共享密鑰鑒別通過(guò)配置無(wú)線密鑰，用戶輸入密鑰接入網(wǎng)絡(luò)；證書(shū)鑒別方式通過(guò)數(shù)字證書(shū)作為無(wú)線設(shè)備和用戶的身份認(rèn)證，防止密鑰被盜后未授權(quán)者訪問(wèn)網(wǎng)絡(luò)，安全性更高。WAPI可實(shí)現(xiàn)雙向身份鑒別，能對(duì)無(wú)線用戶和無(wú)線AP之間進(jìn)行雙向認(rèn)證，既可以防止未授權(quán)用于接入網(wǎng)絡(luò)，又可以檢測(cè)假冒AP偽裝成合法設(shè)備，安全強(qiáng)度較高[4]。

3 無(wú)線網(wǎng)絡(luò)面臨的安全問(wèn)題

3.1 盜用無(wú)線網(wǎng)絡(luò)

非授權(quán)用戶通過(guò)盜用無(wú)線網(wǎng)絡(luò)，對(duì)正常用戶上網(wǎng)造成影響。輕則占用用戶帶寬，影響正常用戶的網(wǎng)絡(luò)速度，重則盜用無(wú)線網(wǎng)絡(luò)進(jìn)行黑客攻擊或者發(fā)布非法言論，使正常用戶受牽連。

3.2 竊聽(tīng)無(wú)線網(wǎng)絡(luò)

數(shù)據(jù)通信過(guò)程中很多都是以明文方式進(jìn)行傳輸?shù)?，無(wú)線網(wǎng)絡(luò)被入侵后，黑客可通過(guò)抓包軟件，監(jiān)聽(tīng)數(shù)據(jù)獲得用戶通信信息，關(guān)鍵性的數(shù)據(jù)會(huì)被泄露。例如，郵箱帳號(hào)密碼、游戲帳號(hào)密碼等未經(jīng)加密傳輸?shù)臄?shù)據(jù)。

3.3 進(jìn)行釣魚(yú)攻擊

此攻擊手段主要是在公共無(wú)線網(wǎng)絡(luò)中，黑客通過(guò)建立無(wú)線網(wǎng)絡(luò)接入點(diǎn)，為用戶提供無(wú)線網(wǎng)絡(luò)接入。一旦用戶接入了黑客所建立的無(wú)線網(wǎng)絡(luò)，黑客就會(huì)誘使用戶訪問(wèn)到被竄改的網(wǎng)頁(yè)，植入木馬。部分用戶的系統(tǒng)就會(huì)遭受掃描、入侵和攻擊，甚至被黑客控制計(jì)算機(jī)，信息遭受泄露[5]。

4 無(wú)線網(wǎng)絡(luò)安全防范措施

（1）網(wǎng)卡物理地址過(guò)濾。每個(gè)移動(dòng)終端都有唯一的網(wǎng)卡物理地址（MAC），當(dāng)用戶接入網(wǎng)絡(luò)時(shí)無(wú)線AP可識(shí)別客戶端MAC地址。通過(guò)設(shè)置黑白名單方式對(duì)網(wǎng)卡地理地址進(jìn)行過(guò)濾，只允許白名單內(nèi)的MAC地址終端接入，或者使用黑名單對(duì)MAC地址進(jìn)行過(guò)濾，拒絕黑名單內(nèi)的MAC地址終端接入。

（2）采用WPA2-PSK認(rèn)證加密方式，且設(shè)置復(fù)雜度較高的密碼。如果采用弱口令，攻擊者很容易通過(guò)詞典猜解方式進(jìn)行快速破解。如果密碼包含大小寫(xiě)、數(shù)字、特殊字符，且8位長(zhǎng)度以上的復(fù)雜密碼，攻擊者的攻擊難度大大提高，以現(xiàn)有的計(jì)算能力，采用暴力破解的方法，需要耗費(fèi)數(shù)年時(shí)間。

（3）隱藏?zé)o線SSID。無(wú)線SSID是用來(lái)區(qū)分不同無(wú)線網(wǎng)絡(luò)的標(biāo)識(shí)符，默認(rèn)情況下路由器的無(wú)線SSID廣播功能是開(kāi)啟的，無(wú)線終端可通過(guò)掃描發(fā)現(xiàn)該無(wú)線網(wǎng)絡(luò)的名稱。把無(wú)線SSID隱藏且取消廣播后，能避免無(wú)線終端掃描發(fā)現(xiàn)無(wú)線網(wǎng)絡(luò)，在一定程度上防止非法用戶蹭網(wǎng)。

（4）修改無(wú)線路由器的默認(rèn)密碼。路由器出廠都有默認(rèn)的密碼，如果默認(rèn)密碼沒(méi)有經(jīng)過(guò)修改，就會(huì)給網(wǎng)絡(luò)攻擊者帶來(lái)可乘之機(jī)。因此，對(duì)路由器默認(rèn)密碼進(jìn)行修改后，可避免非法人員修改配置。

（5）無(wú)線攻擊檢測(cè)。在大型無(wú)線網(wǎng)絡(luò)中，在無(wú)線AP中部署數(shù)據(jù)收發(fā)引擎，實(shí)時(shí)采集數(shù)據(jù)并送到后端內(nèi)置無(wú)線威脅感知引擎的服務(wù)器進(jìn)行安全性檢測(cè)，當(dāng)檢測(cè)到惡意行為時(shí)，可通過(guò)引擎聯(lián)動(dòng)采取措施，將威脅抑制在攻擊前，保障網(wǎng)絡(luò)安全。

（6）采用WAPI認(rèn)證方式。WAPI認(rèn)證簡(jiǎn)單易行，且能雙向認(rèn)證、能動(dòng)態(tài)管理密鑰，相比較于WiFi，WAPI更安全，在無(wú)線設(shè)備支持的情況下，采用WAPI數(shù)字證書(shū)方式進(jìn)行加密，完善的鑒別協(xié)議，雙向身份鑒別，能給客戶帶來(lái)更安全的體驗(yàn)[6]。

5 結(jié)語(yǔ)

總之，無(wú)線網(wǎng)絡(luò)給人們帶來(lái)了巨大的便捷性，彌補(bǔ)了有線網(wǎng)絡(luò)的不足，但是，隨之而來(lái)的安全性問(wèn)題也不容忽視。為了能更好地使用無(wú)線網(wǎng)絡(luò)，保護(hù)信息安全，就必須對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行充分研究，設(shè)置更多更有效的安全措施，以保障無(wú)線網(wǎng)絡(luò)的安全性。