徐紫東

摘要：無線網(wǎng)絡(luò)在社會(huì)各領(lǐng)域的普及應(yīng)用，給人們的工作和生活帶來極大的便利。然而，無線網(wǎng)絡(luò)上流動(dòng)著大量的數(shù)據(jù)，其中包含著個(gè)人的隱私和企業(yè)的商業(yè)機(jī)密，如何在無線網(wǎng)絡(luò)上有效地保護(hù)企業(yè)和個(gè)人的數(shù)據(jù)信息，是_個(gè)值得研究的課題。文章對(duì)Wi-Fi的安全性進(jìn)行了探討。

關(guān)鍵詞：Wi-Fi；數(shù)據(jù)；安全

1 Wi-Fi概述

Wi-Fi全稱是Wireless Fidelity，是一種無線網(wǎng)絡(luò)技術(shù)。IEEE802是一個(gè)開發(fā)大量局域網(wǎng)標(biāo)準(zhǔn)的委員會(huì)，1990年成立了新的工作組IEEE802.11，負(fù)責(zé)開發(fā)無線局域網(wǎng)（WLAN）的協(xié)議和傳輸規(guī)范，1999年工業(yè)界成立了Wi-Fi聯(lián)盟，致力于解決符合802.11標(biāo)準(zhǔn)產(chǎn)品的生產(chǎn)和設(shè)備兼容問題，Wi-Fi聯(lián)盟創(chuàng)建了一套驗(yàn)證802.11b標(biāo)準(zhǔn)，即Wi-Fi。自2005年底開始，很多手機(jī)廠商開始將Wi-Fi引入自己的產(chǎn)品中，為了推廣IEEE802.11應(yīng)用，解決各家產(chǎn)品兼容性的問題，成立了無線以太網(wǎng)兼容性聯(lián)盟WECA，即Wi-Fi認(rèn)證標(biāo)準(zhǔn)，這個(gè)組織負(fù)責(zé)測(cè)試和頒發(fā)。

無線網(wǎng)絡(luò)提供了靈活、便利的上網(wǎng)方式，實(shí)現(xiàn)了任何人在任何時(shí)候、任何地點(diǎn)的上網(wǎng)需求，無線網(wǎng)絡(luò)具有以下特點(diǎn)：（1）易于安裝。無線網(wǎng)絡(luò)的組建、配置不需要大量的工程布線及線路維護(hù)。（2）易于擴(kuò)展。由于不需要布線，只要在Wi-Fi的范圍內(nèi)，可以隨意增加上網(wǎng)設(shè)備。（3）易于移動(dòng)。Wi-Fi的范圍也不受地理環(huán)境的限制，無線網(wǎng)絡(luò)路由器通過特定的無線電波傳送信號(hào)，在這個(gè)發(fā)射頻率的有效范圍內(nèi)，任何能夠捕捉該頻率的信號(hào)設(shè)備，都可以進(jìn)入該網(wǎng)絡(luò)。（4）安全防護(hù)能力較弱。無線網(wǎng)絡(luò)不同于有線網(wǎng)絡(luò)，有線網(wǎng)絡(luò)入網(wǎng)設(shè)備需要用網(wǎng)線接入，安全防范易于控制，而無線網(wǎng)絡(luò)信號(hào)通過無線電波輻射四周，面臨著較大的安全風(fēng)險(xiǎn)，攻擊者可以在網(wǎng)絡(luò)內(nèi)的任何位置實(shí)施攻擊，無法及時(shí)發(fā)現(xiàn)攻擊源，無線網(wǎng)絡(luò)的移動(dòng)性帶來了新的安全問題。

2 無線網(wǎng)絡(luò)安全機(jī)制

無線網(wǎng)絡(luò)存在安全隱患和安全漏洞，為保證數(shù)據(jù)不被非法讀取，需要采取一定的安全機(jī)制。一般采用加密認(rèn)證機(jī)制，其中常見加密方式有WEP，WPA和WPA2等。

2.1 WEP加密

在早期IIEE 802.11標(biāo)準(zhǔn)中，主要使用的加密技術(shù)就是WEP（Wired Equivalent Privacy有線等效協(xié)議）。WEP屬于IE EE 802.1標(biāo)準(zhǔn)的一部分，是一種對(duì)稱加密加密鑰，采用RC4加密算法，用戶的加密密鑰必須與無線接入點(diǎn)AP的密鑰相同才能獲取網(wǎng)絡(luò)資源，防止非授權(quán)用戶的監(jiān)聽。AP和它連接的所有移動(dòng)終端都使用相同的加密密鑰，一旦其中一個(gè)用戶的密鑰泄漏，其他用戶的密鑰也無法保密。WEP協(xié)議還存在完整性保護(hù)的安全問題，該協(xié)議使用循環(huán)冗余校驗(yàn)CRC完整性保護(hù)，密碼學(xué)意義上的完整性校驗(yàn)用于檢測(cè)對(duì)數(shù)據(jù)的惡意篡改，但是在修改數(shù)據(jù)內(nèi)容的同時(shí)并修改CRC值，就能通過完整性檢測(cè)，因而無法提供密碼學(xué)意義上的數(shù)據(jù)完整性保護(hù)。為了改善WEP安全性缺陷，Wi-Fi聯(lián)盟提出一種新的方法WPA，用以提高無線網(wǎng)絡(luò)的安全性。

2.2 WPA加密

WPA全名為Wi-Fi Protected Access，有WPA和WPA2兩個(gè)標(biāo)準(zhǔn)，WPA繼承了WEP基本原理。加強(qiáng)了生成加密密鑰的算法，所有客戶端的所有分組信息所交換的數(shù)據(jù)，將由各不相同的密鑰加密而成。無論收集到多少的數(shù)據(jù)包，想破解原始的通用密鑰幾乎是不可能的。WPA中的MIC則是為了防止黑客的篡改而定制的，具有較高的安全特性，當(dāng)MIC發(fā)生錯(cuò)誤時(shí)，數(shù)據(jù)很可能已經(jīng)被篡改，系統(tǒng)很可能正在受到攻擊。此時(shí)，WPA會(huì)采取一系列的對(duì)策，如及時(shí)更換一組密鑰，來阻止黑客的攻擊。

IEEE完成并公布IEEE 802.11i無線局域網(wǎng)安全標(biāo)準(zhǔn)后，Wi-Fi聯(lián)盟公布了WPA第2版（WPA2）。它支持更高級(jí)的使用計(jì)數(shù)器模式和密碼塊鏈消息身份驗(yàn)證代碼協(xié)議的高級(jí)加密標(biāo)準(zhǔn)AES。為了更好地支持用戶對(duì)WPA的實(shí)施，WPA系列針對(duì)中小辦公室/家庭用戶和企業(yè)推出了2種不同的形式：WPA/WPA2個(gè)人版和WPA或WPA2企業(yè)版。

我國(guó)在無線局域網(wǎng)國(guó)家標(biāo)準(zhǔn)中提出了安全等級(jí)更高的WAPI，通過數(shù)字證書和傳輸數(shù)據(jù)的加密，實(shí)現(xiàn)設(shè)備的身份鑒別、訪問控制和用戶信息的加密保護(hù)。當(dāng)無線客戶端登錄時(shí)，在訪問網(wǎng)絡(luò)之前必須進(jìn)行身份驗(yàn)證，持有合法證書的移動(dòng)終端才能接入無線接入點(diǎn)AP。

3 無線網(wǎng)絡(luò)攻擊方式

無處不在的無線網(wǎng)絡(luò)的滲透和攻擊，危及到企業(yè)和個(gè)人的敏感數(shù)據(jù)信息。無線網(wǎng)絡(luò)安全加密認(rèn)證機(jī)制，對(duì)無線網(wǎng)絡(luò)提供較好的安全通道，合法用戶是可以通過網(wǎng)絡(luò)的。然而，攻擊者入侵無線網(wǎng)絡(luò)，只要使攻擊者破解無線網(wǎng)絡(luò)的安全漏洞，就能繞過無線網(wǎng)絡(luò)原有的防御，進(jìn)入無線網(wǎng)絡(luò)。下面是幾種常用攻擊方式。

3.1 口令攻擊

無線網(wǎng)絡(luò)系統(tǒng)都是通過口令來驗(yàn)證用戶身份。入侵網(wǎng)絡(luò)，口令可以說是無線網(wǎng)絡(luò)安全屏障的第一層防護(hù)。用戶在設(shè)置中，若使用了弱口令，由于其安全性能較差，攻擊者可以通過暴力破解，入侵無線網(wǎng)絡(luò)。2015年6月，360天巡實(shí)驗(yàn)室對(duì)北京市區(qū)8個(gè)人口和辦公密集區(qū)域的Wi-Fi網(wǎng)絡(luò)進(jìn)行了實(shí)地檢測(cè)，90.2%的企業(yè)無線網(wǎng)絡(luò)密碼為不安全的純數(shù)字密碼，只有9.8%的企業(yè)Wi-Fi使用了“數(shù)字+字母”或“數(shù)字+字母+特殊符號(hào)”的組合，密碼強(qiáng)度過低，會(huì)使企業(yè)網(wǎng)絡(luò)處于非常不安全的狀態(tài)。

3.2 偽造基站

GSM（全球移動(dòng)通信系統(tǒng)）網(wǎng)絡(luò)，即2G第二代移動(dòng)通信技術(shù)。GSM存在著2個(gè)安全缺陷：其一，身份認(rèn)證不是雙向認(rèn)證。移動(dòng)終端用戶發(fā)出信號(hào)，被基站認(rèn)證其身份，但基站無須向終端用戶證明其身份；其二，不能夠提供重放防護(hù)。被截獲的三元組（RAND，XRES，Kc）可以不斷重放，為攻擊者提供無限期的有效密鑰Kc。攻擊者可以在用戶A與運(yùn)營(yíng)商的基站之間裝一個(gè)偽造基站，偽造基站向覆蓋無線區(qū)域中的終端發(fā)送數(shù)據(jù)，覆蓋區(qū)域內(nèi)的終端向偽造基站回應(yīng)一個(gè)信息，驗(yàn)證自己的身份，從而連接到偽造基站。當(dāng)手機(jī)用戶A向手機(jī)用戶B發(fā)出短信（電話）時(shí)，由偽基站將用戶A的短信（電話）的數(shù)據(jù)轉(zhuǎn)發(fā)給用戶B，用戶A，B對(duì)此運(yùn)行過程毫無察覺。因此，偽基站監(jiān)聽了用戶A發(fā)送的短信及電話內(nèi)容。

3.3 網(wǎng)絡(luò)釣魚

釣魚網(wǎng)站是一種通過發(fā)送聲稱知名機(jī)構(gòu)的網(wǎng)站，用欺騙性郵件、短信，引誘收信人給出敏感信息如：銀行賬號(hào)、口令等信息的攻擊方式。如：10086偽基站釣魚網(wǎng)站，攻擊者利用偽基站向用戶群發(fā)短信，短信內(nèi)容如：10086積分兌換，進(jìn)入移動(dòng)網(wǎng)站，下載積分APP。若點(diǎn)擊，即下載木馬病毒，木馬病毒是一個(gè)短信攔截器，當(dāng)攻擊者取得用戶的銀行存款時(shí)，銀行通過短信向用戶手機(jī)發(fā)送動(dòng)態(tài)驗(yàn)證碼，會(huì)轉(zhuǎn)發(fā)給攻擊者，攻擊者取走用戶銀行賬戶的資金，用戶毫不知情。

3.4 滲透內(nèi)網(wǎng)

內(nèi)網(wǎng)是一個(gè)有線網(wǎng)絡(luò)，每個(gè)電腦有其固定的IP地址，易于管理。但是，無線網(wǎng)絡(luò)特別是私自亂建的Wi-Fi網(wǎng)絡(luò)，給內(nèi)網(wǎng)安全造成了極大的隱患。這種搭建的無線網(wǎng)絡(luò)，實(shí)際上是在授權(quán)的設(shè)備上重新打開一個(gè)窗口，使得那些未經(jīng)授權(quán)的攻擊者可以不受限制通過這個(gè)窗口，入侵內(nèi)網(wǎng)系統(tǒng)。如：在《2015企業(yè)無線網(wǎng)絡(luò)安全報(bào)告》報(bào)告中，2015年3月由于某公司內(nèi)部存在開放的Wi-Fi網(wǎng)絡(luò)，導(dǎo)致超級(jí)計(jì)算機(jī)天河一號(hào)被入侵，大量敏感信息遭泄漏。

4 無線網(wǎng)絡(luò)安全策略

無線網(wǎng)絡(luò)入侵，會(huì)泄露企業(yè)機(jī)密文件和個(gè)人用戶的隱私信息。在移動(dòng)互聯(lián)時(shí)代，制定無線網(wǎng)絡(luò)安全防范策略，應(yīng)有效地保護(hù)好國(guó)家、企業(yè)和個(gè)人的數(shù)據(jù)安全，無線安全策略有以下幾個(gè)方面：（1）企業(yè)要不斷提升網(wǎng)絡(luò)產(chǎn)品安全性能，盡可能地為用戶提供安全的上網(wǎng)環(huán)境。（2）制定和完善法律、法規(guī)。無線網(wǎng)絡(luò)發(fā)展迅速，國(guó)家應(yīng)及時(shí)更新、完善相應(yīng)的法律、法規(guī)，對(duì)于從事無線網(wǎng)絡(luò)上違法犯罪活動(dòng)，予以打擊。（3）制定網(wǎng)絡(luò)安全管理制度。防止員工無意操作，打開內(nèi)部網(wǎng)絡(luò)一個(gè)端口，造成入侵內(nèi)網(wǎng)的安全威脅。（4）提高個(gè)人用戶防護(hù)能力。使用無線網(wǎng)絡(luò)要加強(qiáng)安全防護(hù)。不要使用WEP加密認(rèn)證方式，采用WPA2加密認(rèn)證方式；設(shè)置密碼，用“數(shù)字+字母+特殊符號(hào)”的組合方式；不要在公共場(chǎng)所不要輕易共享密碼；不使用時(shí)可以關(guān)閉無線網(wǎng)絡(luò)；降低無線路由器的傳輸功率；關(guān)閉網(wǎng)絡(luò)SSID廣播；手機(jī)不要使用公共無線網(wǎng)絡(luò)網(wǎng)銀轉(zhuǎn)賬；不要輕信積分兌換信息，學(xué)會(huì)識(shí)別無線釣魚網(wǎng)站。

5 結(jié)語(yǔ)

在移動(dòng)互聯(lián)時(shí)代，Wi-Fi網(wǎng)絡(luò)成了黑客入侵的突破口，給用戶帶來新的安全威脅，國(guó)家、企業(yè)和個(gè)人應(yīng)不斷適應(yīng)社會(huì)的發(fā)展需求，全方位地提升無線網(wǎng)絡(luò)安全防護(hù)體系。