加强无线局域网安全能力,保障移动互联网安全

1 无线局域网安全是移动互联网安全体

系的重要组成部分

2013年6月，美国中央情报局（CIA）前雇员爱德华·斯诺登将两份绝密资料交给媒体，披露了美国国家安全局代号“棱镜”的项目，将美国网络监听的丑行完全暴露于公众面前。美国的棱镜计划不仅仅是针对美国国内公民，显然也针对了全球所有的可能目标。各国在棱镜门和后续发酵的事件中，感受到了既有网络安全存在的巨大风险，纷纷探讨网络信息安全问题的解决之道。棱镜门所暴露出来的只是诸多网络信息安全问题的一个方面，除非永远与世隔绝，否则用户从接入网络的那一刻就面临着信息被窃取的可能。如何在融入网络世界及共享网络资源的同时尽可能的保护网络信息安全，保护用户个人隐私是网络安全防护的最终目标。

网络通信发展的永恒主题是使人们能自由沟通及互相共享网络资源，而安全性是保障实现这一目标的关键要素和必要条件。互联网的无线接入已经成为大趋势，其中无线局域网的（WLAN）技术在已有成熟的产业链基础上以其方便的、低成本的接入模式，成为互联网特别是移动互联网接入最主要和首选的技术手段。在2G、3G乃至即将到来的的4G和未来的5G的时代，我们可以看到，不论智能移动终端的通信制式如何设计，其中必不可少的一个通信模式一定是无线局域网，在各大无线网络运营商建设的无线网络中，唯一统一的制式就是无线局域网，而根据调研机构和运营商的数据业务分析报告，在智能手机、平板电脑等移动终端的互联网的交互数据中，通过无线局域网的流量超过了70%。

因此，无线局域网的安全是移动互联网安全体系的重要部分，也是用户进行移动互联网通信过程中风险最大的一部分，主要的安全隐患包括数据窃取、中间人攻击和伪接入点欺骗等，解决好无线局域网的安全问题，是进行网络安全防护的第一步，对于维护整个网络安全体系的健壮性至关重要。

2 无线局域网安全方案分析

无线局域网安全是网络安全体系的基础，而无线局域网面临的主要安全挑战有几个方面：首先是接入安全，无线的接入安全具有双向的属性，即终端对网络和网络对终端都要有认可方能进行访问，显然网络的拥有者不希望非法的用户使用其资源，而终端也不希望错误地接入了未知的网络；其次是信息保密，无线的环境之下，信息在空中无所不在的传递，任何人均可以收听和发送，不能保证用户传递的信息只被期望的接受者收到而其他人无法获取，因此对信息进行有效的加密传输是必须采取的手段。

当前全球无线局域网接入安全技术主要有如下两种：

（1）802.11i安全技术

802.11i定义了多种安全模式，前向兼容了问题诸多的WEP（有线等效保护），还定义了对称密码鉴别机制和802.1X与EAP相结合等鉴别机制，支持多种加密算法。主要包括以下几种模式：

1）WEP是IEEE 802.11标准最初使用的安全协议。其认证机制是接入点对客户机进行单向认证，采用开放式系统认证与共享式密钥认证算法，认证行为简单，易于伪造。其加密机制是64位WEP流加密算法，静态密钥，安全强度低。

2）WPA IEEE为了缓解来自产业和最终用户的压力，于2002年匆忙推出了IEEE802.11i标准的过渡方案——WPA，这是一种对WEP改进的安全技术，仍然基于RC4算法，有先天的缺陷，在通信的过程中不断地变更密钥，变更信息会在接入点与终端之间的数据包中传输，黑客只要监听到足够的数据包，就可以破解。

3）WPA2有预共享密钥和802.1x+EAP两种认证模式，在加密算法的选择上采用了分组加密算法AES，AES具有密钥扩展灵活，性能良好等优势，WPA2相对于WEP和WPA在密码系统的强壮性、密钥管理、数据保护方面都有较大的提升。但WPA2仍然在结构上存在诸多问题没有有效解决，如：接入点不是鉴别参与实体，可成为中间人攻击节点、大规模网络部署时安全通道扩展性差等。

（2）WAPI安全技术

虽然IEEE802.11i解决了传统安全体制的大部分问题，但是当它应用到面向公众的运营级无线局域网中的时候，还存在相当的问题。

而WAPI在认证方面采用了完全针对无线设计的三元鉴别模式，将接入点实质性引入到鉴别过程中，这种方式在无线通信中应用的最大的优势是从理论上屏蔽了中间人攻击和伪造接入点的可能。对于采用WAPI接入的终端来说，只有在得到了鉴别服务器确认了接入点的身份后方才打开数据端口。另一方面的特点是WAPI将数字签名引入到通信鉴别中，进一步强化了无线的安全性，长达256位的数字密钥与有限位数的个人密码相比更不易遗失，安全等级更高。现在，数字签名已经更广泛的应用在了移动互联网和通信的各个领域。

WAPI技术在大型公众运营网络的应用可以极大的强化信息公共基础设施的安全能力，将无线接入的安全风险降至可控范围。

3 我国无线局域网基础设施安全现状堪

忧，应尽快进行安全防护

由于无线通信特殊的辐射性质，无线空间传播信道的开放性导致多种不安全因素，包括假冒攻击、网络欺骗、信息窃取等，使无线网络的运营和通信信息安全受到极大威胁。需要采取一系列安全措施，以防止信息被非法的接受者轻易地截收，并防止对业务的欺诈性接入等。

比较上述几种安全技术，WAPI以其高强度的安全能力及完整的自主创新产业链，成为保障无线局域网基础设施安全的首选技术。

2000年左右，无线局域网产品开始在我国逐步应用，初期的产品形态和产品价格等均不甚成熟。2009年之后，各种智能终端产品，特别是智能手机产业的快速爆发给无线局域网的发展带来重大机遇。现今，无线局域网已经成为智能移动终端和个人消费电子产品的标准配置。以三大运营商及各地无线城市建设带动的公众无线网络建设也随之快速发展，据统计目前以三大运营商为主的WLAN公众网络部署的接入点数量超过了600万个，包括个人互联网应用、电子商务应用和办公网络应用中无线局域网接入模式已经超过有线网络成为最主要的模式。但其中仅有极少数量的热点启用了安全技术，安全风险极大。

在全国各地企事业单位和政府部门甚至军队等单位的无线应用也已经快马加鞭的启动。在此情况之下，政府和网络运营商等网络设施建设者更应清晰的认识到无线局域网在整个互联网体系中的重要战略地位，统筹规划，利用自主可控的WAPI技术做好无线局域网基础设施安全防护，保障国家、社会和公民的信息网络安全。