遼寧對(duì)外經(jīng)貿(mào)學(xué)院信息管理學(xué)院 呂曉明
公共場(chǎng)所無(wú)線局域網(wǎng)安全性研究
遼寧對(duì)外經(jīng)貿(mào)學(xué)院信息管理學(xué)院 呂曉明
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,無(wú)線局域網(wǎng)在公共場(chǎng)所已經(jīng)越來(lái)越常見(jiàn),手機(jī)、家電也借此越來(lái)越智能化,那么終端在接入時(shí)的安全問(wèn)題也越來(lái)越受到人們的關(guān)注。本文就公共場(chǎng)所無(wú)線局域網(wǎng)的發(fā)展現(xiàn)狀展開(kāi)研究,探討一下公共無(wú)線網(wǎng)絡(luò)的加密方式及暴露的安全問(wèn)題,以及如何在技術(shù)和法律法規(guī)管理方面進(jìn)行無(wú)線局域網(wǎng)的安全性提高。
公共場(chǎng)所無(wú)線局域網(wǎng);加密方式;安全問(wèn)題;法律法規(guī)完整性
現(xiàn)今無(wú)線局域網(wǎng)的覆蓋越來(lái)越廣,拿一部終端隨處都能能搜索到很多無(wú)線熱點(diǎn)(AP),常見(jiàn)的就是餐廳、酒吧、機(jī)場(chǎng)等場(chǎng)所提供的免費(fèi)WiFi,還有電信運(yùn)營(yíng)商提供的4G網(wǎng)絡(luò)也是一種公共的無(wú)線局域網(wǎng),可是是有多少人在連接的時(shí)候考慮過(guò)安全性呢,會(huì)不會(huì)在數(shù)據(jù)傳輸過(guò)程中造成個(gè)人隱私或者密碼的泄露?顯然這些安全問(wèn)題應(yīng)該受到人們的關(guān)注。
對(duì)于有線網(wǎng)絡(luò)而言,數(shù)據(jù)是通過(guò)光纜在終端與服務(wù)器之間傳輸,通常只有光纜線路遭到破壞的情況下,數(shù)據(jù)才有可能泄露;而無(wú)線局域網(wǎng)中,數(shù)據(jù)是在空間傳播,只要在無(wú)線接入點(diǎn)(AP)覆蓋的范圍內(nèi),終端都可以接收到無(wú)線網(wǎng)絡(luò)信號(hào),無(wú)線接入點(diǎn)(AP)不能將信號(hào)定向傳輸?shù)揭粋€(gè)特定的終端,這樣就讓截取傳輸信息成為了可能,為了更好的說(shuō)明局域網(wǎng)的安全問(wèn)題,我們先談?wù)勈裁词菬o(wú)線局域網(wǎng)以及它有什么特點(diǎn),數(shù)據(jù)泄露和安全問(wèn)題都是怎么產(chǎn)生的。
無(wú)線局域網(wǎng)(英語(yǔ):Wireless LAN,縮寫(xiě)WLAN)是不使用任何線路連接的局域網(wǎng),而是將電磁波作為數(shù)據(jù)傳送的媒介,傳送距離一般為幾十米。無(wú)線局域網(wǎng)的主干網(wǎng)路通常使用有線電纜,無(wú)線局域網(wǎng)用戶(hù)通過(guò)一個(gè)或多個(gè)無(wú)線接收設(shè)備接入無(wú)線局域網(wǎng)。這些年無(wú)線局域網(wǎng)以其方便、快捷、低成本、易架設(shè)等諸多優(yōu)勢(shì)而迅速發(fā)展,現(xiàn)已成為人們生活中不可缺少的基礎(chǔ)通信設(shè)施,幾乎所有公共場(chǎng)所都提供了免費(fèi)無(wú)線網(wǎng)絡(luò)接入服務(wù),筆記本電腦、平板、智能手機(jī)等無(wú)線終端的廣泛使用標(biāo)志人類(lèi)已進(jìn)入無(wú)線時(shí)代。無(wú)線局域網(wǎng)最大的特點(diǎn)是覆蓋范圍小、傳輸速率高,無(wú)線局域網(wǎng)的覆蓋范圍一般不超過(guò)直徑50~100,m,其傳輸速率一般可以達(dá)到11~56M/s。無(wú)線局域網(wǎng)絡(luò)都以IEEE 802.11系列標(biāo)準(zhǔn)為核心。許多行業(yè)對(duì)這一技術(shù)標(biāo)準(zhǔn)已經(jīng)認(rèn)可,形成了統(tǒng)一標(biāo)準(zhǔn)并被廣泛的使用,擁有很大的市場(chǎng)潛力。
802.11協(xié)議提供了802.11i和802.11X安全機(jī)制,其中常用到的WPA-Enterprise采用了RADIUS(Remote Authentication Dial In User Service)認(rèn)證,具有很高的安全性,可是只適用于企業(yè)使用,公共場(chǎng)所如商場(chǎng)、餐廳、車(chē)站、機(jī)場(chǎng)等出于對(duì)成本和維護(hù)復(fù)雜度的考慮,并且公共場(chǎng)所人流量大且不固定,無(wú)法要求每個(gè)用戶(hù)終端都預(yù)先存入認(rèn)證證書(shū)。因此,現(xiàn)有的公共場(chǎng)所一般采用WPA-PSK加密或是不加密,采用的WPA-PSK加密的公共場(chǎng)所密鑰必然是公開(kāi)的,以方便顧客使用。不加密的無(wú)線局域網(wǎng),所有數(shù)據(jù)信息均相當(dāng)于以明文形式傳輸,非常不安全。
目前無(wú)線網(wǎng)絡(luò)中已經(jīng)存在多種加密技術(shù),最常使用的是WEP、WPA 和WPA2這三種加密方式。下面簡(jiǎn)單探討一下這三種加密方式:
(1)WEP加密方式:WEP的全稱(chēng)為有線等效加密(Wired Equivalent Privacy),是一種數(shù)據(jù)加密算法,在鏈路層采用RC4等效加密技術(shù),采用靜態(tài)的保密密鑰,各無(wú)線終端使用相同的密鑰訪問(wèn)無(wú)線網(wǎng)絡(luò),用戶(hù)的加密密鑰必須與無(wú)線熱點(diǎn)的密鑰相同時(shí)才能獲準(zhǔn)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)的上傳和下載,從而防止非授權(quán)用戶(hù)的監(jiān)聽(tīng)以及非法用戶(hù)的訪問(wèn)。使用了該技術(shù)的無(wú)線局域網(wǎng),所有客戶(hù)端與無(wú)線接入點(diǎn)的數(shù)據(jù)都會(huì)以一個(gè)共享的密鑰進(jìn)行加密,密鑰常見(jiàn)的長(zhǎng)度是64位和128位兩種,密鑰越長(zhǎng),破解起來(lái)就越困難,因此能夠提供更好的安全保護(hù)。但是它仍然存在很多缺陷,例如同一個(gè)局域網(wǎng)內(nèi)的所有用戶(hù)都共享一個(gè)密鑰,一個(gè)用戶(hù)丟失密鑰將使整個(gè)網(wǎng)絡(luò)都變得不安全。而且64位(或128位)的靜態(tài)密鑰在今天很 容易被破解,畢竟密鑰是靜態(tài)的,需要手工去維護(hù),費(fèi)時(shí)費(fèi)力且擴(kuò)展能力差。
(2)WPA加密方式:WPA的全稱(chēng)為網(wǎng)絡(luò)安全存取(WiFi Protected Access),WPA協(xié)議是在前一代有線等效加密(WEP)的基礎(chǔ)上產(chǎn)生的,它解決了之前WEP的缺陷問(wèn)題,WPA是IEEE802.11i 的一個(gè)子集,其核心就是IEEE802.1x和暫時(shí)密鑰完整協(xié)議(Temporal Key Integrity Protocol,以下簡(jiǎn)稱(chēng)TKIP)。它利用TKIP作為安全協(xié)議和算法,根據(jù)通用密鑰,匹配表示電腦MAC地址和分組信息順序號(hào)的編號(hào),分別為每個(gè)分組信息生成不同的密鑰,然后用RC4加密處理這些密鑰,處理過(guò)后,所有客戶(hù)端的分組信息所傳輸?shù)臄?shù)據(jù)將被不同的動(dòng)態(tài)密鑰所加密,使其更難以被破解。但是WPA自身也存在著問(wèn)題:容易遭到拒絕服務(wù)(DoS)攻擊,WPA使用一系列數(shù)學(xué)算法驗(yàn)證登錄進(jìn)入網(wǎng)絡(luò)的用戶(hù),并防止未持有有效證書(shū)的人進(jìn)入。但如果黑客在一秒內(nèi)連續(xù)發(fā)送“兩次無(wú)效的偽造信息”,即未授權(quán)數(shù)據(jù)包,系統(tǒng)就以為遭到了攻擊,從而關(guān)閉網(wǎng)絡(luò),使用戶(hù)無(wú)法接入無(wú)線網(wǎng)絡(luò)。
(3)WPA2加密方式:從名稱(chēng)的字面意思理解就是WPA加密的升級(jí)版。在WPA/WPA2中,成對(duì)臨時(shí)密鑰(Pairwise Transient Key,以下簡(jiǎn)稱(chēng)PTK)的生成是依賴(lài)于成對(duì)主密鑰(Pairwise Master Key,以下簡(jiǎn)稱(chēng)PMK)的,而PMK的方式有兩種,一種是PSK方式,也就是預(yù)共享密鑰模式(Pre-shared Key,又稱(chēng)為個(gè)人模式),在這種方式中PMK=PSK;而另一種方式則需要認(rèn)證服務(wù)器和站點(diǎn)進(jìn)行協(xié)商來(lái)產(chǎn)生PMK。下面我們通過(guò)兩個(gè)公式來(lái)看看WPA和WPA2的區(qū)別:
WPA = IEEE 802.11i draft 3 = IEEE 802.1X/EAP + WEP/TKIP
WPA2 = IEEE 802.11i = IEEE 802.1X/EAP + WEP/TKIP/CCMP
目前WPA2加密方式的安全防護(hù)能力非常出色,并且現(xiàn)今的無(wú)線設(shè)備均支持WPA2加密方式,使用了這種無(wú)線加密方式的你將體驗(yàn)到最安全的無(wú)線網(wǎng)絡(luò)生活。
3.1公共網(wǎng)絡(luò)用戶(hù)自身安全意識(shí)較差
對(duì)于一個(gè)普通用戶(hù)而言,大多不會(huì)注意到公共無(wú)線網(wǎng)絡(luò)的安全性問(wèn)題,在使用中不會(huì)有意識(shí)的減少涉及自己隱私的數(shù)據(jù)信息傳播,可能會(huì)進(jìn)行網(wǎng)絡(luò)轉(zhuǎn)賬、社交平臺(tái)賬戶(hù)登陸、收發(fā)郵件、視頻語(yǔ)音聊天等行為,網(wǎng)絡(luò)設(shè)備的后臺(tái)一旦被入侵控制,很可能截獲所有用戶(hù)的傳輸信息,有很大的安全隱患。
3.2具有非法行為用戶(hù)的接入問(wèn)題
相比起有線網(wǎng)絡(luò)來(lái)講,無(wú)線網(wǎng)絡(luò)接入更加方便快捷,只要在覆蓋范圍內(nèi)都可以進(jìn)行連接,更何況是公共場(chǎng)所的共享無(wú)線網(wǎng)絡(luò),架設(shè)者大多是商家自身或者運(yùn)營(yíng)商,網(wǎng)絡(luò)設(shè)置有公用密碼或不設(shè)密碼,并且不限制連接人數(shù),可以隨意連接,這樣就會(huì)出現(xiàn)有具有非法行為的用戶(hù)接入網(wǎng)絡(luò),惡意占用大量網(wǎng)絡(luò)資源,使其大量分流,降低其它用戶(hù)的網(wǎng)絡(luò)速度;還可能會(huì)侵入對(duì)網(wǎng)絡(luò)后臺(tái)進(jìn)行一些安全設(shè)置的更改,導(dǎo)致網(wǎng)絡(luò)架設(shè)者自身無(wú)法訪問(wèn)網(wǎng)絡(luò),甚至造成財(cái)產(chǎn)損失。
3.3公共網(wǎng)絡(luò)平臺(tái)釣魚(yú)盜取用戶(hù)隱私信息的問(wèn)題
避開(kāi)不談企業(yè)無(wú)線網(wǎng)絡(luò)的安全性,因?yàn)橥ǔF髽I(yè)無(wú)線局域網(wǎng)的安全加密級(jí)別都會(huì)比一般公共場(chǎng)所的要高出很多,最常見(jiàn)的公共場(chǎng)所的無(wú)線網(wǎng)絡(luò)大多都是用簡(jiǎn)單的路由器進(jìn)行架設(shè)的,并不會(huì)設(shè)置較高的加密級(jí)別。運(yùn)營(yíng)商提供的公共網(wǎng)絡(luò)平臺(tái)也只需要在主頁(yè)面通過(guò)手機(jī)等方式登陸就可以訪問(wèn)免費(fèi)網(wǎng)絡(luò),如果這樣的網(wǎng)絡(luò)被非法的入侵者控制,在公用的平臺(tái)網(wǎng)站設(shè)置釣魚(yú)網(wǎng)站,使得使用該網(wǎng)絡(luò)的接入者泄露大量的個(gè)人隱私(社交賬號(hào)、銀行賬戶(hù)信息等)使其遭受后期詐騙或直接的經(jīng)濟(jì)損失。
3.4架設(shè)網(wǎng)絡(luò)所用設(shè)備自身的問(wèn)題
由于無(wú)線網(wǎng)絡(luò)搭建的成本原因,網(wǎng)絡(luò)架設(shè)者或許不會(huì)使用支持加密級(jí)別較高的無(wú)線設(shè)備,這些設(shè)備往往容易被攻破,一旦有不法分子用病毒攻擊該無(wú)線網(wǎng)絡(luò)設(shè)備,而設(shè)備又沒(méi)有抵抗攻擊的安全支持或者自身存在安全漏洞,很容易導(dǎo)致病毒在瞬間傳遍整個(gè)無(wú)線網(wǎng)絡(luò)。
而家庭使用的無(wú)線局域網(wǎng)所使用的設(shè)備默認(rèn)設(shè)置為WEP加密模式,這種無(wú)線網(wǎng)絡(luò)很容易被不法分子抓取到握手包,隨后對(duì)包內(nèi)的密鑰信息進(jìn)行強(qiáng)行破解,只要用戶(hù)字典的數(shù)據(jù)庫(kù)足夠大,很容易獲得該網(wǎng)絡(luò)的密鑰和后臺(tái)的查看修改權(quán)限,對(duì)每一個(gè)接入的使用者有著一定的安全威脅。
產(chǎn)生以上問(wèn)題的原因主要是無(wú)線網(wǎng)絡(luò)具有的較強(qiáng)開(kāi)放性,防御的邊界不固定,傳播的信號(hào)具有多方位的特點(diǎn),不法分子能夠從無(wú)線網(wǎng)絡(luò)的多個(gè)方位進(jìn)行入侵,導(dǎo)致多個(gè)接入點(diǎn)的安全遭到破壞;此外,無(wú)線網(wǎng)絡(luò)終端能夠隨時(shí)隨地接入網(wǎng)絡(luò),不受時(shí)間和空間的限制,為黑客等入侵者提供了可乘之機(jī);承載數(shù)據(jù)的電磁波在傳導(dǎo)的過(guò)程中會(huì)穿越多種物體,這些物體都可以對(duì)信息進(jìn)行截取,破解器加密碼,非法獲取資源。
基于以上問(wèn)題的考慮,可以嘗試從以下方面來(lái)改進(jìn)公共場(chǎng)所無(wú)線局域網(wǎng)安全機(jī)制可以從技術(shù)和方面改進(jìn):
(1)采用動(dòng)態(tài)密碼。雖然WPA/WPA2采用的AES加密和TKIP加密安全度很高,但仍有很多針對(duì)性的字典攻擊,因此報(bào)文加密密鑰必須周期性更新。
(2)不同終端之間設(shè)置獨(dú)立密碼。當(dāng)前公共無(wú)線網(wǎng)絡(luò)密碼大多是網(wǎng)絡(luò)架設(shè)者預(yù)設(shè)好的公用密碼,這種方式下的數(shù)據(jù)傳輸與明文傳輸無(wú)本質(zhì)區(qū)別。
(3)使其易于架設(shè)。公共網(wǎng)絡(luò)的架設(shè)方不是使用方,大多是商家免費(fèi)提供顧客使用,因此會(huì)嚴(yán)格限制投入的成本,僅保證基本的通信,過(guò)于復(fù)雜或代價(jià)較高的方案必然不會(huì)被采用。
(4)公共網(wǎng)絡(luò)接入者使用虛擬私人網(wǎng)路(VPN)來(lái)人為加密私人數(shù)據(jù)。虛擬私人網(wǎng)絡(luò)的信息在通過(guò)公用的網(wǎng)絡(luò)傳輸數(shù)據(jù)時(shí)是利用已加密的通道協(xié)議(Tunneling Protocol)來(lái)達(dá)到保密、傳送端認(rèn)證、信息準(zhǔn)確性等私人數(shù)據(jù)安全的效果。這種技術(shù)可以用不安全的公共網(wǎng)絡(luò)來(lái)傳送可靠、安全的信息。但需要注意的是,加密信息與否是可以控制的。沒(méi)有加密的虛擬私人網(wǎng)路信息依然有被竊取的危險(xiǎn)。
(5)降低無(wú)線網(wǎng)絡(luò)的輻射功率。輻射功率直接決定覆蓋范圍以及信號(hào)強(qiáng)度,限制了輻射功率可以降低信息被截取和不法分子遠(yuǎn)程接入控制的可能性,在滿足網(wǎng)速需求的前提下理性選擇合適的輻射功率。
(6)后向兼容性。802.11網(wǎng)絡(luò)已經(jīng)普及,有大量設(shè)備正在運(yùn)行,新的安全機(jī)制要得以推廣,必須能夠兼容現(xiàn)有設(shè)備。
公共網(wǎng)絡(luò)安全機(jī)制的加強(qiáng)單憑借技術(shù)手段是不夠的,畢竟不是所有的網(wǎng)絡(luò)架設(shè)者或者使用者都擁有一定的網(wǎng)絡(luò)技術(shù),所以還需要有相關(guān)的法律法規(guī)的監(jiān)督管理,這樣才能更好的實(shí)現(xiàn)公共網(wǎng)絡(luò)的通信安全,2009年12月29日《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》在中華人民共和國(guó)工業(yè)和信息化部第8次部務(wù)會(huì)議中審議通過(guò),自2010年3月1日起施行。其內(nèi)容對(duì)于電信網(wǎng)絡(luò)的架設(shè)、變更、安全防護(hù)都進(jìn)行了一定的規(guī)定,比如提供電信網(wǎng)絡(luò)的單位需要備案或者每年需要進(jìn)行安全評(píng)估等等,而這些多數(shù)是對(duì)于企業(yè)或者大型機(jī)構(gòu),對(duì)于公共場(chǎng)所的私人店面或者娛樂(lè)場(chǎng)所提供的網(wǎng)絡(luò)管理并不是很全面,我認(rèn)為還有一些可以增加的項(xiàng)目如:
(1)制定與公共無(wú)線網(wǎng)絡(luò)架設(shè)的規(guī)范或標(biāo)準(zhǔn),規(guī)定使用安全性較高的網(wǎng)絡(luò)設(shè)備或者采用較安全的加密方式。
(2)加強(qiáng)對(duì)于破壞公共網(wǎng)絡(luò)安全行為的懲戒力度,如被技術(shù)手段發(fā)現(xiàn)或者被舉報(bào),都將嚴(yán)肅處理。
(3)教育部門(mén)在信息技術(shù)教育的同時(shí)增加對(duì)受教育者的網(wǎng)絡(luò)安全意識(shí)教育,加強(qiáng)無(wú)線網(wǎng)絡(luò)安全意識(shí)的普及。
(4)制定設(shè)備廠商的產(chǎn)品安全標(biāo)準(zhǔn),進(jìn)行網(wǎng)絡(luò)設(shè)備的國(guó)家強(qiáng)制認(rèn)證,所有出廠的網(wǎng)絡(luò)設(shè)備需要達(dá)到一定的安全性標(biāo)準(zhǔn),獲取認(rèn)證才可以進(jìn)入市場(chǎng)。
公共局域網(wǎng)越來(lái)越普及,使用者遍布各個(gè)年齡段,其安全問(wèn)題非常值得關(guān)注,希望在未來(lái)享受智能的互聯(lián)生活中能做到安全優(yōu)先,那樣才能使得每一個(gè)使用者有著放心舒適的網(wǎng)絡(luò)體驗(yàn)。在了解了什么是無(wú)線局域網(wǎng)以及他的安全機(jī)制和應(yīng)用之后,我們也能更加明確應(yīng)該從哪方面著手加強(qiáng)公共場(chǎng)所無(wú)線局域網(wǎng)的安全建設(shè)了,網(wǎng)絡(luò)安全是每一個(gè)網(wǎng)絡(luò)工作者在工作中最最應(yīng)該重視的工作內(nèi)容,只有每一個(gè)網(wǎng)絡(luò)搭建者和使用者都有了公共網(wǎng)絡(luò)安全意識(shí),我們才能有更安全的網(wǎng)絡(luò)環(huán)境。
[1]姚志強(qiáng),蒲江,唐金藝.802.11 無(wú)線局域網(wǎng)安全性分析[J].計(jì)算機(jī)安全,2006.04.
[2]楊哲.無(wú)線網(wǎng)絡(luò)攻防實(shí)戰(zhàn)進(jìn)階[M].北京:電子工業(yè)出版社,2011.
[3]郭峰,增興至,劉乃安.無(wú)線局域網(wǎng)[M].北京:電子工業(yè)出版社,1997.
[4]何禮.無(wú)線局域網(wǎng)及其安全機(jī)制[J].現(xiàn)代通信技術(shù),2000(3).
[5]劉乃安.無(wú)線局域網(wǎng)技術(shù)及其應(yīng)用[J].今日電子,1995(4).
呂曉明(1993-),女,滿族,遼寧撫順人,遼寧對(duì)外經(jīng)貿(mào)學(xué)院信息管理學(xué)院學(xué)生。