钟文基
(广西水利电力职业技术学院,广西 南宁 530023)
随着移动智能设备的普及和无线网络技术的快速发展,用户的上网方式也发生了巨大改变,网络接入由传统的有线网络接入转为无线接入方式,上网终端也更加多样化。为了能随时随地接入网络,无线网络逐渐进入人们的学习生活中。无线网络作为一种短距离的无线传输技术,可为一定范围内的无线终端接入网络中,大大提高了便利性及体验度。但是,随着人们对无线网络使用度的提高,及移动电商、移动支付的兴起,无线网络的安全性日益重要。
无线网络是一种利用射频技术实现无线数据通信的网络,该技术的出现,弥补了传统有线网络的不足,达到了延伸网络的目的,使得用户实现了随时随地畅通网络。
无线网络技术具有如下几个特点[1]。
(1)布线灵活,施工成本低。传统的有线局域网需要穿墙挖洞,埋管布线,施工成本高。无线网络只需布线至无线接入点位置,就能实现该区域的网络覆盖,方便快捷的网络组建方式,大大降低了成本。
(2)信号覆盖面广,上网方式灵活。无线网络信号覆盖广,普通的家用无线路由器能在空旷的地方传输100 m,室内覆盖十几米,能穿透3~4堵砖墙,穿透1~2堵混凝土墙,用户在无线网络覆盖的地方,均可实现网络接入,上网方式灵活方便。
(3)组网灵活。传统的有线网络在有信息点的地方才能接入网络,如果网络建设初期没有规划信息点,后期很难满足业务发展的需求,而无线网络只需要根据用户群实际需求进行规划,调整AP数量和位置,就可以实现网络的接入。
当前无线网络安全标准,有美国电气电子工程师协会(Institute of Electrical and Electronics Engineers,IEEE)制定的,也有我国制定的,大致有以下3种。
有线等效加密(Wired Equivalent Privacy,WEP)是最基本的无线安全加密协议,对用户接入网络提供认证机制,防止未授权用户接入。在客户端和无线AP连接过程中,会有4次握手的过程:第一次握手,客户端发送认证请求给无线AP,帧控制头里面包括了源地址、目标地址等信息;第二次握手,无线AP收到请求后,发送一个包含64或者128位随机数列的挑战字符串给客户端;第三次握手,当客户端收到无线AP的响应帧后,用RC4算法对无线的密钥和挑战字符串进行加密,然后发回给无线AP;第四次握手,无线AP用RC4加密算法对自身的密钥和挑战字符串加密,并与客户端发来的信息进行对比,如果匹配正确,说明客户端的密钥和无线AP密钥相同,则发送认证成功的信息给客户端[2],如图1所示。
图1 WEP加密的验证及加密过程
无线保护接入安全机制(WiFi Protected Access,WPA)适用于中小型企业无线网络及家庭无线网络。WEP的加密机制存在着一些缺陷,如密钥管理简单,没有有效保护消息完整性等。WPA是对WEP加密方式的改进,有WPA和WPA2两个标准,WPA依然采用与WEP相同的加密算法,是在802.11i完备之前替代WEP的过渡方案。WPA2是WPA的第二代,在802.11i的标准上制定的,它采用更安全的加密算法,从而为企业提供了较安全的保护。例如WPA2-PSK加密方式采用PSK认证算法+TKIP加密算法,或CCMP加密算法,安全性较高,如果采用的是CCMP加密算法,目前还没有被破解[3]。
无线局域网鉴别和保密的安全协议(Wireless LAN Authentication and Privacy Infrastructure,WAPI)由中国自主研发,拥有自主知识产权的无线局域网安全标准,在2003年5月,由我国科技部、信息产业部、国家发改委等部门联合发布为国家标准,是中国无线局域网安全的强制性标准。WAPI有两种鉴别方式:预共享密钥鉴别和证书鉴别。认证过程简单,预共享密钥鉴别通过配置无线密钥,用户输入密钥接入网络;证书鉴别方式通过数字证书作为无线设备和用户的身份认证,防止密钥被盗后未授权者访问网络,安全性更高。WAPI可实现双向身份鉴别,能对无线用户和无线AP之间进行双向认证,既可以防止未授权用于接入网络,又可以检测假冒AP伪装成合法设备,安全强度较高[4]。
非授权用户通过盗用无线网络,对正常用户上网造成影响。轻则占用用户带宽,影响正常用户的网络速度,重则盗用无线网络进行黑客攻击或者发布非法言论,使正常用户受牵连。
数据通信过程中很多都是以明文方式进行传输的,无线网络被入侵后,黑客可通过抓包软件,监听数据获得用户通信信息,关键性的数据会被泄露。例如,邮箱帐号密码、游戏帐号密码等未经加密传输的数据。
此攻击手段主要是在公共无线网络中,黑客通过建立无线网络接入点,为用户提供无线网络接入。一旦用户接入了黑客所建立的无线网络,黑客就会诱使用户访问到被窜改的网页,植入木马。部分用户的系统就会遭受扫描、入侵和攻击,甚至被黑客控制计算机,信息遭受泄露[5]。
(1)网卡物理地址过滤。每个移动终端都有唯一的网卡物理地址(MAC),当用户接入网络时无线AP可识别客户端MAC地址。通过设置黑白名单方式对网卡地理地址进行过滤,只允许白名单内的MAC地址终端接入,或者使用黑名单对MAC地址进行过滤,拒绝黑名单内的MAC地址终端接入。
(2)采用WPA2-PSK认证加密方式,且设置复杂度较高的密码。如果采用弱口令,攻击者很容易通过词典猜解方式进行快速破解。如果密码包含大小写、数字、特殊字符,且8位长度以上的复杂密码,攻击者的攻击难度大大提高,以现有的计算能力,采用暴力破解的方法,需要耗费数年时间。
(3)隐藏无线SSID。无线SSID是用来区分不同无线网络的标识符,默认情况下路由器的无线SSID广播功能是开启的,无线终端可通过扫描发现该无线网络的名称。把无线SSID隐藏且取消广播后,能避免无线终端扫描发现无线网络,在一定程度上防止非法用户蹭网。
(4)修改无线路由器的默认密码。路由器出厂都有默认的密码,如果默认密码没有经过修改,就会给网络攻击者带来可乘之机。因此,对路由器默认密码进行修改后,可避免非法人员修改配置。
(5)无线攻击检测。在大型无线网络中,在无线AP中部署数据收发引擎,实时采集数据并送到后端内置无线威胁感知引擎的服务器进行安全性检测,当检测到恶意行为时,可通过引擎联动采取措施,将威胁抑制在攻击前,保障网络安全。
(6)采用WAPI认证方式。WAPI认证简单易行,且能双向认证、能动态管理密钥,相比较于WiFi,WAPI更安全,在无线设备支持的情况下,采用WAPI数字证书方式进行加密,完善的鉴别协议,双向身份鉴别,能给客户带来更安全的体验[6]。
总之,无线网络给人们带来了巨大的便捷性,弥补了有线网络的不足,但是,随之而来的安全性问题也不容忽视。为了能更好地使用无线网络,保护信息安全,就必须对无线网络进行充分研究,设置更多更有效的安全措施,以保障无线网络的安全性。