公共場(chǎng)所無(wú)線局域網(wǎng)安全性研究

遼寧對(duì)外經(jīng)貿(mào)學(xué)院信息管理學(xué)院 呂曉明

公共場(chǎng)所無(wú)線局域網(wǎng)安全性研究

遼寧對(duì)外經(jīng)貿(mào)學(xué)院信息管理學(xué)院 呂曉明

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，無(wú)線局域網(wǎng)在公共場(chǎng)所已經(jīng)越來(lái)越常見(jiàn)，手機(jī)、家電也借此越來(lái)越智能化，那么終端在接入時(shí)的安全問(wèn)題也越來(lái)越受到人們的關(guān)注。本文就公共場(chǎng)所無(wú)線局域網(wǎng)的發(fā)展現(xiàn)狀展開(kāi)研究，探討一下公共無(wú)線網(wǎng)絡(luò)的加密方式及暴露的安全問(wèn)題，以及如何在技術(shù)和法律法規(guī)管理方面進(jìn)行無(wú)線局域網(wǎng)的安全性提高。

公共場(chǎng)所無(wú)線局域網(wǎng)；加密方式；安全問(wèn)題；法律法規(guī)完整性

現(xiàn)今無(wú)線局域網(wǎng)的覆蓋越來(lái)越廣，拿一部終端隨處都能能搜索到很多無(wú)線熱點(diǎn)（AP），常見(jiàn)的就是餐廳、酒吧、機(jī)場(chǎng)等場(chǎng)所提供的免費(fèi)WiFi，還有電信運(yùn)營(yíng)商提供的4G網(wǎng)絡(luò)也是一種公共的無(wú)線局域網(wǎng)，可是是有多少人在連接的時(shí)候考慮過(guò)安全性呢，會(huì)不會(huì)在數(shù)據(jù)傳輸過(guò)程中造成個(gè)人隱私或者密碼的泄露？顯然這些安全問(wèn)題應(yīng)該受到人們的關(guān)注。

對(duì)于有線網(wǎng)絡(luò)而言，數(shù)據(jù)是通過(guò)光纜在終端與服務(wù)器之間傳輸，通常只有光纜線路遭到破壞的情況下，數(shù)據(jù)才有可能泄露；而無(wú)線局域網(wǎng)中，數(shù)據(jù)是在空間傳播，只要在無(wú)線接入點(diǎn)（AP）覆蓋的范圍內(nèi)，終端都可以接收到無(wú)線網(wǎng)絡(luò)信號(hào)，無(wú)線接入點(diǎn)（AP）不能將信號(hào)定向傳輸?shù)揭粋€(gè)特定的終端，這樣就讓截取傳輸信息成為了可能，為了更好的說(shuō)明局域網(wǎng)的安全問(wèn)題，我們先談?wù)勈裁词菬o(wú)線局域網(wǎng)以及它有什么特點(diǎn)，數(shù)據(jù)泄露和安全問(wèn)題都是怎么產(chǎn)生的。

1.無(wú)線局域網(wǎng)的定義及特點(diǎn)

無(wú)線局域網(wǎng)（英語(yǔ)：Wireless LAN，縮寫(xiě)WLAN）是不使用任何線路連接的局域網(wǎng)，而是將電磁波作為數(shù)據(jù)傳送的媒介，傳送距離一般為幾十米。無(wú)線局域網(wǎng)的主干網(wǎng)路通常使用有線電纜，無(wú)線局域網(wǎng)用戶(hù)通過(guò)一個(gè)或多個(gè)無(wú)線接收設(shè)備接入無(wú)線局域網(wǎng)。這些年無(wú)線局域網(wǎng)以其方便、快捷、低成本、易架設(shè)等諸多優(yōu)勢(shì)而迅速發(fā)展，現(xiàn)已成為人們生活中不可缺少的基礎(chǔ)通信設(shè)施，幾乎所有公共場(chǎng)所都提供了免費(fèi)無(wú)線網(wǎng)絡(luò)接入服務(wù)，筆記本電腦、平板、智能手機(jī)等無(wú)線終端的廣泛使用標(biāo)志人類(lèi)已進(jìn)入無(wú)線時(shí)代。無(wú)線局域網(wǎng)最大的特點(diǎn)是覆蓋范圍小、傳輸速率高，無(wú)線局域網(wǎng)的覆蓋范圍一般不超過(guò)直徑50～100,m，其傳輸速率一般可以達(dá)到11～56M/s。無(wú)線局域網(wǎng)絡(luò)都以IEEE 802.11系列標(biāo)準(zhǔn)為核心。許多行業(yè)對(duì)這一技術(shù)標(biāo)準(zhǔn)已經(jīng)認(rèn)可，形成了統(tǒng)一標(biāo)準(zhǔn)并被廣泛的使用，擁有很大的市場(chǎng)潛力。

802.11協(xié)議提供了802.11i和802.11X安全機(jī)制，其中常用到的WPA-Enterprise采用了RADIUS（Remote Authentication Dial In User Service）認(rèn)證，具有很高的安全性，可是只適用于企業(yè)使用，公共場(chǎng)所如商場(chǎng)、餐廳、車(chē)站、機(jī)場(chǎng)等出于對(duì)成本和維護(hù)復(fù)雜度的考慮，并且公共場(chǎng)所人流量大且不固定，無(wú)法要求每個(gè)用戶(hù)終端都預(yù)先存入認(rèn)證證書(shū)。因此，現(xiàn)有的公共場(chǎng)所一般采用WPA-PSK加密或是不加密，采用的WPA-PSK加密的公共場(chǎng)所密鑰必然是公開(kāi)的，以方便顧客使用。不加密的無(wú)線局域網(wǎng)，所有數(shù)據(jù)信息均相當(dāng)于以明文形式傳輸，非常不安全。

2.無(wú)線局域網(wǎng)的加密方式

目前無(wú)線網(wǎng)絡(luò)中已經(jīng)存在多種加密技術(shù)，最常使用的是WEP、WPA 和WPA2這三種加密方式。下面簡(jiǎn)單探討一下這三種加密方式：

（1）WEP加密方式：WEP的全稱(chēng)為有線等效加密(Wired Equivalent Privacy)，是一種數(shù)據(jù)加密算法，在鏈路層采用RC4等效加密技術(shù),采用靜態(tài)的保密密鑰，各無(wú)線終端使用相同的密鑰訪問(wèn)無(wú)線網(wǎng)絡(luò),用戶(hù)的加密密鑰必須與無(wú)線熱點(diǎn)的密鑰相同時(shí)才能獲準(zhǔn)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)的上傳和下載,從而防止非授權(quán)用戶(hù)的監(jiān)聽(tīng)以及非法用戶(hù)的訪問(wèn)。使用了該技術(shù)的無(wú)線局域網(wǎng)，所有客戶(hù)端與無(wú)線接入點(diǎn)的數(shù)據(jù)都會(huì)以一個(gè)共享的密鑰進(jìn)行加密，密鑰常見(jiàn)的長(zhǎng)度是64位和128位兩種，密鑰越長(zhǎng)，破解起來(lái)就越困難，因此能夠提供更好的安全保護(hù)。但是它仍然存在很多缺陷，例如同一個(gè)局域網(wǎng)內(nèi)的所有用戶(hù)都共享一個(gè)密鑰，一個(gè)用戶(hù)丟失密鑰將使整個(gè)網(wǎng)絡(luò)都變得不安全。而且64位(或128位)的靜態(tài)密鑰在今天很 容易被破解，畢竟密鑰是靜態(tài)的，需要手工去維護(hù)，費(fèi)時(shí)費(fèi)力且擴(kuò)展能力差。

（2）WPA加密方式：WPA的全稱(chēng)為網(wǎng)絡(luò)安全存取（WiFi Protected Access），WPA協(xié)議是在前一代有線等效加密（WEP）的基礎(chǔ)上產(chǎn)生的，它解決了之前WEP的缺陷問(wèn)題，WPA是IEEE802.11i 的一個(gè)子集，其核心就是IEEE802.1x和暫時(shí)密鑰完整協(xié)議（Temporal Key Integrity Protocol，以下簡(jiǎn)稱(chēng)TKIP）。它利用TKIP作為安全協(xié)議和算法，根據(jù)通用密鑰，匹配表示電腦MAC地址和分組信息順序號(hào)的編號(hào)，分別為每個(gè)分組信息生成不同的密鑰，然后用RC4加密處理這些密鑰，處理過(guò)后，所有客戶(hù)端的分組信息所傳輸?shù)臄?shù)據(jù)將被不同的動(dòng)態(tài)密鑰所加密，使其更難以被破解。但是WPA自身也存在著問(wèn)題：容易遭到拒絕服務(wù)(DoS)攻擊，WPA使用一系列數(shù)學(xué)算法驗(yàn)證登錄進(jìn)入網(wǎng)絡(luò)的用戶(hù)，并防止未持有有效證書(shū)的人進(jìn)入。但如果黑客在一秒內(nèi)連續(xù)發(fā)送“兩次無(wú)效的偽造信息”，即未授權(quán)數(shù)據(jù)包，系統(tǒng)就以為遭到了攻擊，從而關(guān)閉網(wǎng)絡(luò)，使用戶(hù)無(wú)法接入無(wú)線網(wǎng)絡(luò)。

（3）WPA2加密方式：從名稱(chēng)的字面意思理解就是WPA加密的升級(jí)版。在WPA/WPA2中，成對(duì)臨時(shí)密鑰（Pairwise Transient Key，以下簡(jiǎn)稱(chēng)PTK）的生成是依賴(lài)于成對(duì)主密鑰(Pairwise Master Key，以下簡(jiǎn)稱(chēng)PMK)的，而PMK的方式有兩種，一種是PSK方式，也就是預(yù)共享密鑰模式(Pre-shared Key，又稱(chēng)為個(gè)人模式)，在這種方式中PMK=PSK；而另一種方式則需要認(rèn)證服務(wù)器和站點(diǎn)進(jìn)行協(xié)商來(lái)產(chǎn)生PMK。下面我們通過(guò)兩個(gè)公式來(lái)看看WPA和WPA2的區(qū)別：

WPA = IEEE 802.11i draft 3 = IEEE 802.1X/EAP + WEP/TKIP

WPA2 = IEEE 802.11i = IEEE 802.1X/EAP + WEP/TKIP/CCMP

目前WPA2加密方式的安全防護(hù)能力非常出色，并且現(xiàn)今的無(wú)線設(shè)備均支持WPA2加密方式，使用了這種無(wú)線加密方式的你將體驗(yàn)到最安全的無(wú)線網(wǎng)絡(luò)生活。

3.公共場(chǎng)所無(wú)線局域網(wǎng)的安全問(wèn)題

3.1公共網(wǎng)絡(luò)用戶(hù)自身安全意識(shí)較差

對(duì)于一個(gè)普通用戶(hù)而言，大多不會(huì)注意到公共無(wú)線網(wǎng)絡(luò)的安全性問(wèn)題，在使用中不會(huì)有意識(shí)的減少涉及自己隱私的數(shù)據(jù)信息傳播，可能會(huì)進(jìn)行網(wǎng)絡(luò)轉(zhuǎn)賬、社交平臺(tái)賬戶(hù)登陸、收發(fā)郵件、視頻語(yǔ)音聊天等行為，網(wǎng)絡(luò)設(shè)備的后臺(tái)一旦被入侵控制，很可能截獲所有用戶(hù)的傳輸信息，有很大的安全隱患。

3.2具有非法行為用戶(hù)的接入問(wèn)題

相比起有線網(wǎng)絡(luò)來(lái)講，無(wú)線網(wǎng)絡(luò)接入更加方便快捷，只要在覆蓋范圍內(nèi)都可以進(jìn)行連接，更何況是公共場(chǎng)所的共享無(wú)線網(wǎng)絡(luò)，架設(shè)者大多是商家自身或者運(yùn)營(yíng)商，網(wǎng)絡(luò)設(shè)置有公用密碼或不設(shè)密碼，并且不限制連接人數(shù)，可以隨意連接，這樣就會(huì)出現(xiàn)有具有非法行為的用戶(hù)接入網(wǎng)絡(luò)，惡意占用大量網(wǎng)絡(luò)資源，使其大量分流，降低其它用戶(hù)的網(wǎng)絡(luò)速度；還可能會(huì)侵入對(duì)網(wǎng)絡(luò)后臺(tái)進(jìn)行一些安全設(shè)置的更改，導(dǎo)致網(wǎng)絡(luò)架設(shè)者自身無(wú)法訪問(wèn)網(wǎng)絡(luò)，甚至造成財(cái)產(chǎn)損失。

3.3公共網(wǎng)絡(luò)平臺(tái)釣魚(yú)盜取用戶(hù)隱私信息的問(wèn)題

避開(kāi)不談企業(yè)無(wú)線網(wǎng)絡(luò)的安全性，因?yàn)橥ǔＦ髽I(yè)無(wú)線局域網(wǎng)的安全加密級(jí)別都會(huì)比一般公共場(chǎng)所的要高出很多，最常見(jiàn)的公共場(chǎng)所的無(wú)線網(wǎng)絡(luò)大多都是用簡(jiǎn)單的路由器進(jìn)行架設(shè)的，并不會(huì)設(shè)置較高的加密級(jí)別。運(yùn)營(yíng)商提供的公共網(wǎng)絡(luò)平臺(tái)也只需要在主頁(yè)面通過(guò)手機(jī)等方式登陸就可以訪問(wèn)免費(fèi)網(wǎng)絡(luò)，如果這樣的網(wǎng)絡(luò)被非法的入侵者控制，在公用的平臺(tái)網(wǎng)站設(shè)置釣魚(yú)網(wǎng)站，使得使用該網(wǎng)絡(luò)的接入者泄露大量的個(gè)人隱私（社交賬號(hào)、銀行賬戶(hù)信息等）使其遭受后期詐騙或直接的經(jīng)濟(jì)損失。

3.4架設(shè)網(wǎng)絡(luò)所用設(shè)備自身的問(wèn)題

由于無(wú)線網(wǎng)絡(luò)搭建的成本原因，網(wǎng)絡(luò)架設(shè)者或許不會(huì)使用支持加密級(jí)別較高的無(wú)線設(shè)備，這些設(shè)備往往容易被攻破，一旦有不法分子用病毒攻擊該無(wú)線網(wǎng)絡(luò)設(shè)備，而設(shè)備又沒(méi)有抵抗攻擊的安全支持或者自身存在安全漏洞，很容易導(dǎo)致病毒在瞬間傳遍整個(gè)無(wú)線網(wǎng)絡(luò)。

而家庭使用的無(wú)線局域網(wǎng)所使用的設(shè)備默認(rèn)設(shè)置為WEP加密模式，這種無(wú)線網(wǎng)絡(luò)很容易被不法分子抓取到握手包，隨后對(duì)包內(nèi)的密鑰信息進(jìn)行強(qiáng)行破解，只要用戶(hù)字典的數(shù)據(jù)庫(kù)足夠大，很容易獲得該網(wǎng)絡(luò)的密鑰和后臺(tái)的查看修改權(quán)限，對(duì)每一個(gè)接入的使用者有著一定的安全威脅。

產(chǎn)生以上問(wèn)題的原因主要是無(wú)線網(wǎng)絡(luò)具有的較強(qiáng)開(kāi)放性，防御的邊界不固定，傳播的信號(hào)具有多方位的特點(diǎn)，不法分子能夠從無(wú)線網(wǎng)絡(luò)的多個(gè)方位進(jìn)行入侵，導(dǎo)致多個(gè)接入點(diǎn)的安全遭到破壞；此外，無(wú)線網(wǎng)絡(luò)終端能夠隨時(shí)隨地接入網(wǎng)絡(luò)，不受時(shí)間和空間的限制，為黑客等入侵者提供了可乘之機(jī)；承載數(shù)據(jù)的電磁波在傳導(dǎo)的過(guò)程中會(huì)穿越多種物體，這些物體都可以對(duì)信息進(jìn)行截取，破解器加密碼，非法獲取資源。

4.公共場(chǎng)所無(wú)線局域網(wǎng)安全問(wèn)題的改進(jìn)措施

基于以上問(wèn)題的考慮，可以嘗試從以下方面來(lái)改進(jìn)公共場(chǎng)所無(wú)線局域網(wǎng)安全機(jī)制可以從技術(shù)和方面改進(jìn)：

（1）采用動(dòng)態(tài)密碼。雖然WPA/WPA2采用的AES加密和TKIP加密安全度很高，但仍有很多針對(duì)性的字典攻擊，因此報(bào)文加密密鑰必須周期性更新。

（2）不同終端之間設(shè)置獨(dú)立密碼。當(dāng)前公共無(wú)線網(wǎng)絡(luò)密碼大多是網(wǎng)絡(luò)架設(shè)者預(yù)設(shè)好的公用密碼，這種方式下的數(shù)據(jù)傳輸與明文傳輸無(wú)本質(zhì)區(qū)別。

（3）使其易于架設(shè)。公共網(wǎng)絡(luò)的架設(shè)方不是使用方，大多是商家免費(fèi)提供顧客使用，因此會(huì)嚴(yán)格限制投入的成本，僅保證基本的通信，過(guò)于復(fù)雜或代價(jià)較高的方案必然不會(huì)被采用。

（4）公共網(wǎng)絡(luò)接入者使用虛擬私人網(wǎng)路（VPN）來(lái)人為加密私人數(shù)據(jù)。虛擬私人網(wǎng)絡(luò)的信息在通過(guò)公用的網(wǎng)絡(luò)傳輸數(shù)據(jù)時(shí)是利用已加密的通道協(xié)議（Tunneling Protocol）來(lái)達(dá)到保密、傳送端認(rèn)證、信息準(zhǔn)確性等私人數(shù)據(jù)安全的效果。這種技術(shù)可以用不安全的公共網(wǎng)絡(luò)來(lái)傳送可靠、安全的信息。但需要注意的是，加密信息與否是可以控制的。沒(méi)有加密的虛擬私人網(wǎng)路信息依然有被竊取的危險(xiǎn)。

（5）降低無(wú)線網(wǎng)絡(luò)的輻射功率。輻射功率直接決定覆蓋范圍以及信號(hào)強(qiáng)度，限制了輻射功率可以降低信息被截取和不法分子遠(yuǎn)程接入控制的可能性，在滿足網(wǎng)速需求的前提下理性選擇合適的輻射功率。

（6）后向兼容性。802.11網(wǎng)絡(luò)已經(jīng)普及，有大量設(shè)備正在運(yùn)行，新的安全機(jī)制要得以推廣，必須能夠兼容現(xiàn)有設(shè)備。

5.公共場(chǎng)所無(wú)線網(wǎng)絡(luò)相關(guān)法律法規(guī)的完整性

公共網(wǎng)絡(luò)安全機(jī)制的加強(qiáng)單憑借技術(shù)手段是不夠的，畢竟不是所有的網(wǎng)絡(luò)架設(shè)者或者使用者都擁有一定的網(wǎng)絡(luò)技術(shù)，所以還需要有相關(guān)的法律法規(guī)的監(jiān)督管理，這樣才能更好的實(shí)現(xiàn)公共網(wǎng)絡(luò)的通信安全，2009年12月29日《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》在中華人民共和國(guó)工業(yè)和信息化部第8次部務(wù)會(huì)議中審議通過(guò)，自2010年3月1日起施行。其內(nèi)容對(duì)于電信網(wǎng)絡(luò)的架設(shè)、變更、安全防護(hù)都進(jìn)行了一定的規(guī)定，比如提供電信網(wǎng)絡(luò)的單位需要備案或者每年需要進(jìn)行安全評(píng)估等等，而這些多數(shù)是對(duì)于企業(yè)或者大型機(jī)構(gòu)，對(duì)于公共場(chǎng)所的私人店面或者娛樂(lè)場(chǎng)所提供的網(wǎng)絡(luò)管理并不是很全面，我認(rèn)為還有一些可以增加的項(xiàng)目如：

（1）制定與公共無(wú)線網(wǎng)絡(luò)架設(shè)的規(guī)范或標(biāo)準(zhǔn)，規(guī)定使用安全性較高的網(wǎng)絡(luò)設(shè)備或者采用較安全的加密方式。

（2）加強(qiáng)對(duì)于破壞公共網(wǎng)絡(luò)安全行為的懲戒力度，如被技術(shù)手段發(fā)現(xiàn)或者被舉報(bào)，都將嚴(yán)肅處理。

（3）教育部門(mén)在信息技術(shù)教育的同時(shí)增加對(duì)受教育者的網(wǎng)絡(luò)安全意識(shí)教育，加強(qiáng)無(wú)線網(wǎng)絡(luò)安全意識(shí)的普及。

（4）制定設(shè)備廠商的產(chǎn)品安全標(biāo)準(zhǔn)，進(jìn)行網(wǎng)絡(luò)設(shè)備的國(guó)家強(qiáng)制認(rèn)證，所有出廠的網(wǎng)絡(luò)設(shè)備需要達(dá)到一定的安全性標(biāo)準(zhǔn)，獲取認(rèn)證才可以進(jìn)入市場(chǎng)。

6.結(jié)束語(yǔ)

公共局域網(wǎng)越來(lái)越普及，使用者遍布各個(gè)年齡段，其安全問(wèn)題非常值得關(guān)注，希望在未來(lái)享受智能的互聯(lián)生活中能做到安全優(yōu)先，那樣才能使得每一個(gè)使用者有著放心舒適的網(wǎng)絡(luò)體驗(yàn)。在了解了什么是無(wú)線局域網(wǎng)以及他的安全機(jī)制和應(yīng)用之后，我們也能更加明確應(yīng)該從哪方面著手加強(qiáng)公共場(chǎng)所無(wú)線局域網(wǎng)的安全建設(shè)了，網(wǎng)絡(luò)安全是每一個(gè)網(wǎng)絡(luò)工作者在工作中最最應(yīng)該重視的工作內(nèi)容，只有每一個(gè)網(wǎng)絡(luò)搭建者和使用者都有了公共網(wǎng)絡(luò)安全意識(shí)，我們才能有更安全的網(wǎng)絡(luò)環(huán)境。

[1]姚志強(qiáng),蒲江,唐金藝.802.11 無(wú)線局域網(wǎng)安全性分析[J].計(jì)算機(jī)安全,2006.04.

[2]楊哲.無(wú)線網(wǎng)絡(luò)攻防實(shí)戰(zhàn)進(jìn)階[M].北京:電子工業(yè)出版社,2011.

[3]郭峰,增興至,劉乃安.無(wú)線局域網(wǎng)[M].北京:電子工業(yè)出版社,1997.

[4]何禮.無(wú)線局域網(wǎng)及其安全機(jī)制[J].現(xiàn)代通信技術(shù),2000(3).

[5]劉乃安.無(wú)線局域網(wǎng)技術(shù)及其應(yīng)用[J].今日電子,1995(4).

呂曉明（1993－），女，滿族，遼寧撫順人，遼寧對(duì)外經(jīng)貿(mào)學(xué)院信息管理學(xué)院學(xué)生。