◆何 迪

（遼寧省葫蘆島市委黨校 遼寧 125000）

公共環(huán)境下無(wú)線接入的安全問(wèn)題研究

◆何 迪

（遼寧省葫蘆島市委黨校 遼寧 125000）

互聯(lián)網(wǎng)技術(shù)在快速發(fā)展建設(shè)過(guò)程中，wifi網(wǎng)絡(luò)也開(kāi)始逐漸普及，人們經(jīng)常借助wifi網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)環(huán)境內(nèi)。但是wifi網(wǎng)絡(luò)在為人們提供便捷情況下，也增加了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。無(wú)線信號(hào)雖然具有良好的開(kāi)放性，但是也增加了無(wú)線熱點(diǎn)安全隱患。本文就對(duì)公共環(huán)境下無(wú)線接入安全問(wèn)題進(jìn)行分析研究，主要目的是提高社會(huì)大眾對(duì)無(wú)線接入安全的重視程度。

公眾wifi；信息泄露；協(xié)議報(bào)文；位置隱私

0 前言

公共wifi熱點(diǎn)能夠?yàn)槿藗兲峁└颖憬莸木W(wǎng)絡(luò)接入途徑，同時(shí)也增加了人們所需要應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。無(wú)線信號(hào)輻射范圍有限，空間通道具有良好開(kāi)放性特征，wifi熱點(diǎn)未加密處理之后，非常容易遭受到不良因素攻擊。黑客可以借助無(wú)線探測(cè)工具，對(duì)無(wú)線信道內(nèi)數(shù)據(jù)包非法窺視。與此同時(shí)，在公眾環(huán)境下，無(wú)線熱點(diǎn)自身也存在一定安全隱患。

1 wifi接入模型

計(jì)算機(jī)設(shè)備在安裝無(wú)線網(wǎng)卡之后，就可以成為無(wú)線接入點(diǎn)，為人們提供wifi信號(hào)。Wifi信號(hào)具有固定輻射范圍，智能終端在借助wifi信號(hào)進(jìn)入互聯(lián)網(wǎng)之后，智能終端就可以借助互聯(lián)網(wǎng)相互傳輸信息，例如數(shù)據(jù)包、數(shù)據(jù)幀等。Wifi熱點(diǎn)不僅僅承擔(dān)接入互聯(lián)網(wǎng)功能，同時(shí)也充當(dāng)其他角色，例如防火墻、服務(wù)器。

1.1 交換機(jī)

交換機(jī)在wifi接入模型數(shù)據(jù)鏈路層內(nèi)，主要作用是對(duì)有關(guān)智能終端設(shè)備進(jìn)行連接，幀為數(shù)據(jù)鏈路層數(shù)據(jù)單元，交換機(jī)通過(guò)接收及轉(zhuǎn)發(fā)數(shù)據(jù)幀，完成設(shè)備傳輸作用。交換機(jī)在讀取數(shù)據(jù)幀幀頭時(shí)，按照MAC協(xié)議對(duì)數(shù)據(jù)幀傳輸位置進(jìn)行確定。數(shù)據(jù)鏈路層在接受到網(wǎng)絡(luò)層數(shù)據(jù)包內(nèi)之后，需要在數(shù)據(jù)幀前后分別安裝首部及尾部，進(jìn)而構(gòu)建完善數(shù)據(jù)幀[1]。

1.2 路由器

路由器主要在wifi接入模型網(wǎng)絡(luò)層內(nèi)，主要作用為接收及傳輸IP數(shù)據(jù)包。路由器從某個(gè)端口接收到IP數(shù)據(jù)包之后，需要按照IP數(shù)據(jù)包內(nèi)容對(duì)傳輸目的地進(jìn)行確定，將IP數(shù)據(jù)包經(jīng)過(guò)專(zhuān)門(mén)端口傳輸?shù)铰酚善鲀?nèi)。下一個(gè)路由器也會(huì)按照相同處理方法，對(duì)IP數(shù)據(jù)包進(jìn)行傳輸，進(jìn)而將IP數(shù)據(jù)包傳輸?shù)浇K點(diǎn)上。

1.3 無(wú)線路由器

無(wú)線路由器實(shí)際上就是對(duì)寬帶路由器及單純型 AP進(jìn)行整合，借助路由器作用，讓無(wú)線網(wǎng)絡(luò)與互聯(lián)網(wǎng)相互連接，wifi信號(hào)就可以傳輸?shù)骄钟蚧ヂ?lián)網(wǎng)環(huán)境內(nèi)。少量設(shè)備在接入到無(wú)線網(wǎng)絡(luò)之后，交換機(jī)就可以完成設(shè)備通信需求。無(wú)線AP就起到無(wú)線交換機(jī)作用。無(wú)線路由器在獲取到 IP地址之后，數(shù)據(jù)包就可以在不同智能終端設(shè)備內(nèi)傳輸。智能終端在與互聯(lián)網(wǎng)通訊過(guò)程中，無(wú)線路由器就可以充當(dāng)傳統(tǒng)路由器功能[2]。

2 報(bào)文首部的安全問(wèn)題

網(wǎng)絡(luò)環(huán)境具有不同層次，在每個(gè)層次內(nèi)都具有相對(duì)應(yīng)的傳輸單位。網(wǎng)絡(luò)層都是以 IP數(shù)據(jù)包作為協(xié)議數(shù)據(jù)單元，主要由兩部分構(gòu)成，分別為IP首部及IP數(shù)據(jù)區(qū)。其中IP數(shù)首部主要包含三種信息類(lèi)別，分別為IP地址、目的IP地址及協(xié)議類(lèi)型。數(shù)據(jù)包在網(wǎng)絡(luò)環(huán)境內(nèi)傳輸過(guò)程中，需要添加或者是刪除數(shù)據(jù)幀首部及尾部。數(shù)據(jù)包在傳輸?shù)骄W(wǎng)絡(luò)層之后，需要重新添加數(shù)據(jù)幀首部及尾部，進(jìn)而形成一個(gè)完整數(shù)據(jù)幀。

報(bào)文具有通信傳輸過(guò)程中全部數(shù)據(jù)信息，所以報(bào)文長(zhǎng)短存在一定差距。報(bào)文在互聯(lián)網(wǎng)環(huán)境下傳輸中，需要添加一定信息，報(bào)文頭部為信息段落。數(shù)據(jù)包內(nèi)數(shù)據(jù)雖然可以重新進(jìn)行編碼或者是加密處理，但是報(bào)文首部并不會(huì)發(fā)生任何改變。所以，wifi網(wǎng)絡(luò)在獲取數(shù)據(jù)包過(guò)程中，報(bào)文首部會(huì)泄露一定數(shù)量信息。

2.1 URL泄露信息

URL主要包含四方面內(nèi)容，分別為協(xié)議、主機(jī)名、路徑、查詢(xún)內(nèi)容。正常情況下，URL網(wǎng)站信息來(lái)源主要由兩種，分別為DNS包及HTTP包，其中DNS包還包含兩個(gè)內(nèi)容，分別為IP地址及域名，主要將網(wǎng)絡(luò)國(guó)家及位置反映出來(lái)。例如，游客在瀏覽美國(guó)新聞網(wǎng)站過(guò)程中，可以按照域名對(duì)游客身份進(jìn)行推測(cè)，也就是了解該用戶(hù)國(guó)籍。

客戶(hù)機(jī)與服務(wù)器在進(jìn)行請(qǐng)求響應(yīng)過(guò)程中，主要借助兩個(gè)方法，分別為GET與POST。在POST方法內(nèi)，主要是對(duì)借助查詢(xún)字符，對(duì)FTTP消息進(jìn)行傳輸；GET方法主要是借助查詢(xún)字符，對(duì)URL請(qǐng)求進(jìn)行發(fā)送。任何人都可以查看URL內(nèi)信息，有關(guān)參數(shù)瀏覽器也進(jìn)行儲(chǔ)存。所以，瀏覽器通過(guò)GET方法進(jìn)行通信傳輸過(guò)程中，對(duì)服務(wù)器內(nèi)容進(jìn)行查詢(xún)，數(shù)據(jù)包在被黑客攻擊之后，利用報(bào)文就可以對(duì)所需要的信息進(jìn)行查詢(xún)[3]。

2.2 MAC地址泄露信息

MAC地址作為系統(tǒng)物理地址，在對(duì)網(wǎng)絡(luò)智能終端進(jìn)行標(biāo)識(shí)上，采取48位二進(jìn)制方法。MAC地址由兩部分構(gòu)成，分別為生產(chǎn)商編號(hào)及設(shè)備編號(hào)，其中生產(chǎn)商編號(hào)為MAC地址的前三位字節(jié)，設(shè)備編號(hào)為MAC地址后三位字節(jié)。

MAC地址具有唯一特性，同時(shí)MAC地址固定不變。用戶(hù)在與不可信wifi熱點(diǎn)連接之后，黑客就有可能完成設(shè)備所接受到的MAC地址信息，正常情況下采取6字節(jié)進(jìn)行表述[4]。

3 個(gè)人隱私安全問(wèn)題

根據(jù)我國(guó)有關(guān)部門(mén)所頒布的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》文獻(xiàn)，個(gè)人信息主要分為兩種類(lèi)別，分別為一般信息及敏感信息。簡(jiǎn)單來(lái)說(shuō)，個(gè)人隱私為不想被別人了解的信息。伴隨著智能終端逐漸推廣，wifi無(wú)線網(wǎng)絡(luò)越加成熟，信息交流速度顯著提升，人們雖然溝通更加便捷，但是也同樣為用戶(hù)隱私泄露帶來(lái)嚴(yán)重風(fēng)險(xiǎn)。

3.1 手機(jī)號(hào)碼泄露

實(shí)際手機(jī)號(hào)碼也是個(gè)人隱私重要組成部分。用戶(hù)在與 wifi網(wǎng)絡(luò)連接過(guò)程中，用戶(hù)需要借助個(gè)人手機(jī)號(hào)碼獲取wifi網(wǎng)絡(luò)驗(yàn)證碼，用戶(hù)手機(jī)號(hào)碼泄露，實(shí)際上就是用戶(hù)為泄露服務(wù)所付出的代價(jià)，也是用戶(hù)主動(dòng)泄露自身信息。

黑客可以構(gòu)建虛擬wifi接入點(diǎn)，利用wifi接入點(diǎn)了解用戶(hù)手機(jī)號(hào)碼。在互聯(lián)網(wǎng)背景之下，黑客獲取數(shù)據(jù)途徑更加廣泛，黑客在對(duì)信息分析對(duì)比之后，能夠?qū)€(gè)人隱私信息進(jìn)行有效判斷。

Web認(rèn)證屬于一種強(qiáng)制認(rèn)證方法，能夠?qū)Χ丝趯?duì)用戶(hù)訪問(wèn)權(quán)限進(jìn)行控制。Web認(rèn)證并不需要安裝在客戶(hù)端上，用戶(hù)應(yīng)用常規(guī)瀏覽器就可以對(duì)wifi網(wǎng)絡(luò)進(jìn)行認(rèn)證。部分wifi網(wǎng)絡(luò)在接入過(guò)程中，用戶(hù)無(wú)法直接應(yīng)用互聯(lián)網(wǎng)，瀏覽器會(huì)強(qiáng)加用戶(hù)瀏覽網(wǎng)站信息，經(jīng)過(guò)認(rèn)證之后，才可以應(yīng)用互聯(lián)網(wǎng)內(nèi)資源。正常情況下，web認(rèn)證采取動(dòng)態(tài)認(rèn)證方法，也就是用戶(hù)在對(duì)wifi網(wǎng)絡(luò)接入之后，手機(jī)通過(guò)短信方式獲取動(dòng)態(tài)驗(yàn)證碼。用戶(hù)想要獲取動(dòng)態(tài)驗(yàn)證碼。就必須輸入手機(jī)號(hào)碼，進(jìn)而用戶(hù)手機(jī)號(hào)碼個(gè)人信息也就遭受到泄露[5]。

3.2 位置隱私泄露

Wifi在通信過(guò)程中，主要借助無(wú)線電波進(jìn)行數(shù)據(jù)傳輸，所能夠傳輸?shù)木嚯x有限，大約在100米左右。Wifi無(wú)線通信電波頻率對(duì)用戶(hù)應(yīng)用質(zhì)量具有直接性影響，距離無(wú)線電波越近，wifi信號(hào)越強(qiáng)，用戶(hù)應(yīng)用wifi信號(hào)強(qiáng)弱也就暴露用戶(hù)自身位置信息。

通過(guò)wifi熱點(diǎn)能夠?qū)Φ乩砦恢眯畔⑦M(jìn)行確定，一個(gè)wifi熱點(diǎn)所覆蓋的范圍，能夠?qū)τ脩?hù)地理位置初步進(jìn)行判斷，在多個(gè)wifi熱點(diǎn)重疊范圍內(nèi)，能夠?qū)τ脩?hù)地理位置進(jìn)行更加精確判斷。Wifi信號(hào)所傳輸?shù)姆秶邢?，借助無(wú)線路由器，可以對(duì)wifi信號(hào)強(qiáng)度進(jìn)行預(yù)測(cè)，這樣就可以判斷用戶(hù)大約位置[6]。

4 結(jié)論

伴隨著wifi網(wǎng)絡(luò)逐漸普及，大部分公共場(chǎng)所也逐漸安裝了無(wú)線接入設(shè)施，為人們提供wifi熱點(diǎn)。公共環(huán)境無(wú)線接入為人們提供便捷通信情況下，也同樣帶來(lái)了安全問(wèn)題，本文僅僅對(duì)報(bào)文首部安全問(wèn)題及個(gè)人隱私安全問(wèn)題進(jìn)行分析研究，還存在一定不足，僅供參考。

[1]李潔，吳振強(qiáng)，于璐，孫鵬.增強(qiáng)的無(wú)線TNC證實(shí)模型及協(xié)議設(shè)計(jì)[J].計(jì)算機(jī)工程與應(yīng)用，2010.

[2]陳燕旋.試論無(wú)線校園網(wǎng)的接入安全[J].科技風(fēng)，2010.

[3]孫玉硯，劉卓華，李強(qiáng)，孫利民.一種面向 3G接入的物聯(lián)網(wǎng)安全架構(gòu)[J].計(jì)算機(jī)研究與發(fā)展，2010.

[4]邱知文，張杰.基于校園無(wú)線網(wǎng)的BYOD認(rèn)證系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用與軟件，2015.

[5]譚彥，厲萍，盧洪濤，鄧博存.Wi-Fi無(wú)線釣魚(yú)攻擊分析及應(yīng)對(duì)技術(shù)研究[J].電信科學(xué)，2013.

[6]徐培杰，李剛.交換機(jī)端口細(xì)分身份集的802.1x接入認(rèn)證擴(kuò)展技術(shù)[J].計(jì)算機(jī)應(yīng)用與軟件，2012.