公共WiFi安全管控的探讨

【 摘 要 】 公共无线受到广大用户追捧，带来方便也带来信息安全隐患。论文就问题隐患、防御系统方面做探讨研究。防御措施从加密机制、无线入侵检测、制度统筹、个人安全意识四个方面做探讨研究。

【 关键词 】 公共无线局域网；信息安全；防御系统；无线入侵检测

1 引言

近年来很多城市都在构建无线城市，公共无线网络繁荣的同时，譬如信息被盗、网银被窃等各种安全隐患接踵而来。因此本文就公共无线安全做探讨。

2 问题隐患

2.1 制度方面的不足

更高统筹的适用有线与无线的安全管理制度亟待建立。国家对有线网络的安全管控制度，例如互联网经营性场所网吧的监管模式，已经无法适应无线网络。无线AP很多是个人提供或者商家免费提供的，没有统一的安全管理制度。例如不法分子使用伪造WiFi，只需15分钟就可以窃取手机上网用户的个人信息和密码。但是公共WiFi热点无需办理任何手续，没有任何检查措施，极易发生钱财被盗、隐私被侵犯的事件，且很难找到责任人。基于这些安全问题，需要更高统筹层面的安全管理制度来实现管理，实时采集网民身份与上网信息，确保公共场所无线网民身份可以被追溯。

2.2 认证方面的不足

热点数量巨大，使用人员不固定，认证简单是技术方面的主要问题。据有关资料2014年中国可查询到的公共WiFi热点覆盖已经超过600万个。如此庞大的无线热点和数据信息流，很难确保没有不法分子的伪热点。公共无线面向大众很多都是流动人员，往往考虑到使用的便捷性与设备的成本，而使用简单的认证方式。

2.3 攻击技术不难且成本较低

伪热点泛滥客户信息容易被盗。例如WiFi钓鱼，黑客在人流密集的公共场合制作一个看起来很像CMCC的伪热点。很多人无法识别是否是CMCC，连接这个伪热点而成为被钓的人。一旦连入伪热点手机就彻底裸奔了，然后手机所有联系人、照片、短信等个人信息就会全部落到黑客手里。如果在伪热点下交易支付，就更容易财产被盗取了。设备本身漏洞容易成为攻击目标。任何设备都不是完美的，无线设备比如路由器本身可能存在漏洞。黑客可能利用漏洞，入侵路由器，这种方式隐蔽性很强难以追踪。网络层攻击行为主要是破坏路由，如虫洞攻击、路由表溢出攻击、拜占庭攻击和黑洞攻击等。Tripwire公司安全研究人员Craig Young表示：当黑客意识到攻击路由器可获得大量信息，那么对路由器的攻击会加大。攻击路由器成本低，获取信息量大成为很多黑客的首选攻击对象。

2.4 无线网络安全缺陷分析

公共无线局域网由于自身的特点，面临比有线网络更广泛的安全威胁。这里我们只分析四种常见的威胁。（1）易受窃听，攻击者难以发现；（2）易受插入攻击，攻击者无需切开电缆就可向网络发送数据；（3）易受拒绝服务攻击（DoS），攻击者可发送大量垃圾信息来阻塞信道或对某个移动设备发送虚假服务请求，促使该设备始终处于全额工作状态来迅速耗尽电池中的电能；（4）“基站”伪装，攻击者用自己的 “伪基站”覆盖真正的基站，而使得无线终端错误地与之连接。

3 公共无线网络信息安全对策分析

虽然公共无线面临很严重的信息安全隐患，但是它的方便快捷还是让它成为了主流，很多城市都在打造无线城市，因此我们更需要从各个方面去维护网络的安全。接下来从技术、制度与个人习惯几个方面来探讨一下无线安全的应对措施。

3.1 加密技术需要不断提升

WEP（有线等效保密机制）保护早已过时，目前主流的是由802.1X认证机制保护的WPA2（WiFi接入保护）。802.11协议提供802.lli和802.llX安全机制，目前常用主要有WPA/WPA2-Enterprise和WPA/WAP2-PSK两种机制，前者比后者有更高的安全性。公共无线一般使用WPA/WAP2-PSK安全机制，采用预置共享密钥技术，需每个节点预先输入密钥，AP与终端四次握手后，应用PSK产生PTK作为校验密码。这样的加密技术比较简单，可以满足大部分的公共场所的无线需求。

对于对信息安全要求较高的比如企业和学校则需要WPA/WPA2-Enterprise。WPA-Enterprise采用RADIUS认证安全性较高，需要专门服务器，实行服务器与终端的双向验证后，服务器产生动态密钥，定期更新。WPA以及WPA2安全机制所采用的EAP（即扩展认证协议）模式通过802.1X认证机制代替代替PSK。这样就有能力为每位用户或每个客户端提供登录凭证，用户名、密码或者数字证书。

3.2 使用入侵检测系统

由于无线系统存在非法登陆、泛洪攻击、拒绝服务等攻击行为，提供无线服务的商家或者机构应安装入侵检测系统WIDS就是必要的。入侵检测系统是一种对网络传输进行即时监视，可以检测802.11主要信息流，并将其发送到中央服务器，检测攻击、未经授权的使用和违反策略的行为。常见的有覆盖式无线入侵检测系统跟嵌入式无线入侵系统。

3.3 制度上的完善

国家应建立完善的无线安全审计与监控制度，主要是以集中式的监控、分散式的保护为基本的原则，构建统一、完整的安全审计与监控系统。建立统筹程度更高的安全数据库，有严密的安全制度保证数据库的使用权限。审计系统应具有一定的审计标准，对各种载体无论是有线的还是无线的，个人的还是单位的都得到有效监管。构建全面综合面向网络的审计与监督系统，将信息的全过程进行监控与安全审计。

3.4 个人安全意识的提升

个人安全意识提升，可以养成一些好习惯。例如，不用WiFi时候将其关闭；自己的无线路由器经常修改加密密钥；不在公共无线下登录使用网银等；做好数据备份与还原工作；对一些重要的个人信息进行数据加密等。

4 结束语

无线城市要建立，无线安全需要技术方面的提高、制度方面的完善、个人安全意识的提高。本文从安全隐患跟防御措施两个方面做了探讨研究，希望我们的无线城市更安全更便捷。

参考文献

[1] 章翔凌，唐志刚.信息化条件下保密管理的技术策略[J].保密科学技术，201l，l1（03） .

[2] 辛良.公共无线网络对信息安全保密的影响及对策探讨[J].河南科技电子信息与计算机科学，2014.

作者简介：

廉颖 （1987-），女，山西忻州人，本科，助教；主要研究方向和关注领域：信息安全、数据挖掘、复杂网络计算。