系列文章(二):从WLAN的安全威胁,解析电信诈骗的技术症结

导读:互联网的无线接入已经成为大趋势,其中无线局域网(又称为WLAN,Wireless Local AreaNetwork)以其使用方便、组网灵活、可扩展性好、成本低等优点,成为互联网特别是移动互联网接入首选的接入融合点,更成为了重要的移动互联服务和业务融合点。

也正是因此,WLAN安全问题已成为国家和企业以及个人在下一个移动互联网高速发展阶段最应重视的问题之一。本文将接着上一篇关于电信诈骗的讨论,重点针对电信诈骗中的WLAN安全问题进一步分析,并给出建设性的安全防护建议。

WLAN成为国内网民的主要上网方式

无论在家中,或者外出,人们对无线上网的需求越来越高。手机上网已成为网民上网的首选,截止目前,手机网民已超过6.3亿。值得注意的是,其中92%的手机网民选择使用WLAN接入互联网,由此可见,WLAN已经成为如今人们上网的主要方式。

据统计,目前全球有70%以上无线数据流量通过WLAN,未来2年WLAN设备出货量将超过70亿[1]。同时, WLAN接入目前已经成为智能终端的标准配置[2],人们普遍认为WLAN是加快移动互联网应用的最重要组件。

可能很多人不会对这些数字感到意外,毫无疑问移动互联网的发展推动了这些数字的攀升。不过,在人们享受Wi-Fi带来便利的同时,往往关注点在Wi-Fi联网的实际操作问题,鲜有关注Wi-Fi上网的安全问题,在《我国公众网络安全意识调查报告(2015)》中,有80.21%的被调查者会随意连接公共Wi-Fi,对公共Wi-Fi安全问题基本没有防范意识。

不安全WLAN热点相当于在数据传输的上游设置了一道阀门,所有接入者的数据都通过这个阀门与相应的网站进行传输,黑客通过一些特定的攻击设备,就可以对这些数据进行记录和抓取分析。这样,接入者的账号、密码等个人信息就被不法分子一览无余,不安全WLAN已然成为新的信息泄露重灾区。

WLAN面临的安全威胁与风险

WLAN需求已经开始从“可选”转向“必选”, 如今已经打破了用户对“无线是有线补充”的认知。但与此同时,有线网络曾经出现过的风险,在移动设备接入WLAN之后都有可能遇到。由于WLAN不受物理端口限制,以及WLAN的三百六十度无缝传输,无法通过对传输媒介的接入控制来保证数据不会被未经授权的用户获取和篡改。因此, WLAN网络所面临的安全威胁与风险甚至比有线网络更严重,WLAN网络的重要性与当前安全水平极不匹配。

今年的3?15晚会上,央视曝光了免费Wi-Fi的安全问题。在现场,几位工程师利用伪造Wi-Fi技术窃听了台下观众的上网内容,并在大屏幕上向大家展示,相信不少读者看了都心惊胆颤的。曾有一份抽样安全调查显示,全国8万个公共Wi-Fi中有21%存在风险。

不过安全专家们对其中危害很少做原理性质的说明,大家只能知其然而不知其所以然。我们知道连上公共Wi-Fi后可能会被盗取各种账号,但为什么会被盗号却不太清楚。一般来讲,手机上大公司的APP软件(微信、QQ、支付宝等)用了椭圆曲线、双向数字证书等非对称强加密保护,安全措施甚至高于银行等机构,不能窃听密码。表面上是微信、微博等APP的问题,3?15晚会现场演示过程中由于用户接入设置好的公共Wi-Fi,实质上并不是APP的问题,而是WLAN的安全问题。

WLAN所面临的安全威胁,主要表现在如下几个方面:

1、非法连接接入点

无线局域网接入点安装容易,携带方便,非法人员可以在网络管理人员未察觉的情况下非法安装无线接入点,合法用户接入非法接入点会造成用户私密信息泄露。或者在无线空间没有适当安全控制的情况下,如接入点在没有加密或在弱加密的条件下工作,非法用户与合法接入点建立连接,这种情况的发生即意味着内部网络向外部开放了,由此会导致重要数据和信息的泄露。

2、拒绝服务攻击

网络入侵者发送大量无效的报文到网络服务器,导致当正常合法的客户发送请求消息到服务器时,因处理这些无效报文信息,服务器无法响应合法用户的请求,从而拒绝向合法的客户服务。

3、未经授权访问

非法客户端未经身份核实或伪装身份接入网络,访问网络资源,享受网络提供的服务,对无线网络造成威胁。

4、数据拦截、篡改、监听

由于无线局域网属于开放性的物理传输系统,使用射频技术代替铜缆网线对通信数据进行传输,所以无线局域网的传输介质是电磁波,裸露在大气中,对于其物理层、链路层而言,很容易遭到电磁设备的干扰、监听,甚至是恶意破坏和篡改。入侵者利用TCP/IP网络通信协议的弱点,可以非法截获合法用户的通信信道,从而获取无线局域网的操作权限对传输数据进行拦截,也可以对网络通信数据进行检测、删除、增加或者改动,从而对无线局域网的传输信息造成安全威胁。

WLAN安全的技术现状

当前全球无线局域网接入安全技术主要有如下两种:

1、802.11i安全技术

802.11i定义了多种安全模式,后向兼容了问题诸多的WEP[3](有线等效保护),还定义了对称密码鉴别机制和802.1X与EAP相结合等鉴别机制,支持多种加密算法。

主要包括以下几种模式:

(1)WEP是IEEE 802.11标准最初使用的安全协议。其认证机制是接入点对客户机进行单向认证,采用开放式系统认证与共享式密钥认证算法,认证行为简单,易于伪造。其加密机制是64位WEP流加密算法,静态密钥,安全强度低。

(2)WPA是IEEE为了缓解来自产业和最终用户的压力,于2002年匆忙推出了IEEE802.11i标准的过渡方案——WPA,这是一种对WEP改进的安全技术,仍然基于RC4算法,有先天的缺陷,在通信的过程中不断地变更密钥,变更信息会在接入点与终端之间的数据包中传输,黑客只要监听到足够的数据包,就可以破解。

(3)WPA2有预共享密钥和802.1x+EAP两种认证模式,在加密算法的选择上采用了分组加密算法AES(Advanced Encryption Standard),AES具有密钥扩展灵活,性能良好等优势,WPA2相对于WEP和WPA在密码系统的强壮性、密钥管理、数据保护方面都有较大的提升。但WPA2仍然在结构上存在诸多问题没有有效解决,比如接入点不是鉴别参与实体,可成为中间人攻击节点、大规模网络部署时安全通道扩展性差等。

2、WAPI安全技术

802.11i并不是WLAN安全标准的终极,这一点,WAPI是一个很好地证明。针对802.11i标准的不完善之处,比如缺少对WLAN设备身份的安全认证,中国在无线局域网国家标准GB15629.11-2003中提出了安全等级更高的WAPI(Wireless Local Area Network Authentication and Privacy Infrastructure,无线局域网鉴别与保密基础结构)安全机制来保证无线局域网的安全。

WAPI是中国首个在宽带无线网络通信领域自主创新的安全接入技术。WAPI方案已由国际标准化组织ISO/IEC授权的机构正式批准发布,分配了WAPI 协议的专用以太类型字段,这也是中国在该领域惟一获得批准的协议。

WAPI为无线局域网安全而生

无线局域网安全是网络安全体系的基础,对于保障移动互联网安全,乃至维护整个网络安全体系的健壮性均至关重要。而无线局域网的安全性主要体现在两个方面:首先是接入安全[4],无线的接入安全具有双向的属性,即终端对网络和网络对终端都要通过认证能进行访问,显然网络的拥有者不希望非法的用户使用其资源,而终端也不希望错误地接入了未知的网络,因此无线局域网需要增强身份认证和访问控制机制;其次是信息保密,无线环境下,信息在空中无所不在的传递,任何人均可以收听和发送,不能保证用户传递的信息只被所期望的接受者收到和理解,因此无线局域网对信息进行有效的加密传输是必须采取的手段。

WAPI采用国家商用密码管理办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法,分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密,从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。

为了满足全无线网络的核心安全诉求,WAPI在认证方面采用了TePA三元对等安全理念,将接入点实质性引入到鉴别过程中,有效地阻止了无线局域网不符合安全条件的设备进入网络,也能避免用户的终端设备访问不符合安全条件的网络,实现了“合法用户访问合法网络”。

WAPI安全架构不仅具有有效的安全鉴别机制,还实现了灵活的密钥管理技术以及整个基础网络的集中用户管理。这使得其在无线通信应用中可以发挥最大的优势:从理论上屏蔽了中间人攻击和伪造接入点的可能;使用户不需任何妥协便能获得高效且可灵活扩展的无线接入与安全防护;为上层承载的各种应用可以安全、高效地运行奠定了基础并提供了可靠的保障。

应加强WLAN安全标准应用

在信息安全形势日益严峻的移动互联时代,WLAN安全问题始终是导致无线局域网市场无法拓展企业、行业高端客户的第一道屏障,因此,产业安全问题理应成为标准选择的一个重要考量。

IEEE 802.11i原有标准因其安全性一直以来都为全球用户所诟病,采用其标准建设将使国家公共基础设施网络存在极大的安全隐患和公共信息安全问题。WAPI安全技术架构将作为一种广泛适用于无线局域网网络接入控制、支持无线局域网络承载层安全的安全体系架构,并被越来越多的国家和市场所理解、认可和支持。


[1]市场分析公司ABI Research报告预测:到2017年, 全球市场上的WLAN设备数量将达到200亿部。

[2] 市场统计数据显示:2013年支持WLAN的设备将增长至15亿部。 各类电子设备中WLAN内置比例也正迅速上升, 渗透率从2009年的12%快速升至2012年的23%。 笔记本、 上网本和平板电脑中WLAN的渗透率已接近100%, 支持WLAN的智能手机比例也已超过80%。

[3]IEEE标准工作组认为:WEP算法的安全漏洞是由于WEP机制本身引起的,与密钥的长度无关,即使增加加密密钥的长度,也不可能增强其安全程度,初始化向量IV长度的增加也只能在有限程度上提高破解难度,比如延长破解信息收集时间,并不能从根本上解决问题。因为作为安全关键的加密部分,TKIP没有脱离WEP的核心机制。而且,TKIP甚至更易受攻击,因为它采用了Kerberos密码,常常可以用简单的猜测方法攻破。另一个严重问题是加/解密处理效率问题没有得到任何改进。

[4] 安全接入认证(鉴别)技术是一个完整的通信技术协议和信息系统中不可或缺的基础性关键技术,它可以有效保障通信网络及信息系统的结构性安全,因此被高度信息化的欧美等国家视为实施国家网络安全战略的重要技术支撑手段。

时间: 2024-10-05 05:32:12

系列文章(二):从WLAN的安全威胁,解析电信诈骗的技术症结的相关文章

JVM系列文章(二):垃圾回收机制

作为一个程序员,仅仅知道怎么用是远远不够的.起码,你需要知道为什么可以这么用,即我们所谓底层的东西. 那到底什么是底层呢?我觉得这不能一概而论.以我现在的知识水平而言:对于Web开发者,TCP/IP.HTTP等等协议可能就是底层:对于C.C++程序员,内存.指针等等可能就是底层的东西.那对于Java开发者,你的Java代码运行所在的JVM可能就是你所需要去了解.理解的东西. 我会在接下来的一段时间,和读者您一起去学习JVM,所有内容均参考自<深入理解Java虚拟机:JVM高级特性与最佳实践>(

NHibernate系列文章二十五:NHibernate查询之Query Over查询(附程序下载)

摘要 这一篇文章介绍在NHibernate 3.2里引入的Query Over查询,Query Over查询跟Criteria查询类似.首先创建IQueryOver对象,然后通过调用该对象的API函数,进行对象查询.这篇文章使用Query Over重写之前所有的查询. 本篇文章的代码可以到NHibernate查询下载 1.创建IQueryOver对象,返回所有Customer信息 1 public IList<Customer> QueryAllOver() 2 { 3 return Sess

NHibernate系列文章二十四:NHibernate查询之Linq查询(附程序下载)

摘要 NHibernate从3.0开始支持Linq查询.写Linq to NHibernate查询就跟写.net linq代码一样,非常灵活,可以很容易实现复杂的查询.这篇文章使用Linq to NHibernate重写之前所有的查询. 本篇文章的代码可以到NHibernate查询下载 1.创建IQueryable对象,返回所有Customer对象信息 1 public IList<Customer> QueryAllLinq() 2 { 3 return Session.Query<C

NHibernate系列文章二十:NHibernate关系之一对一(附程序下载)

摘要 NHibernate一对一关系虽然不经常碰到,但是在对于数据库结构优化的时候,经常会碰到一对一关系.比如,产品详细信息比较多的时候,可以把产品详细信息放到另一张表里面,Product主表只记录产品主要信息.这样能够显著提高产品的查询效率. 这篇文章的附件:NHibernate Demo下载. 1.建立ProductDetail表 这里将ProductId设置为主键. Product和ProductDetail之间的关系. ProductId既是主键又是外键. 创建ProductDetail

NHibernate系列文章二十二:NHibernate查询之HQL查询(附程序下载)

摘要 NHibernate提供了多种查询方式,最早的HQL语言查询.Criteria查询和SQL Query,到NHibernate 3.0的Linq NHibernate,NHIbernate 4.0又添加了Query Over.每种方式各有优缺点,任何一个SQL查询可以使用任何查询方式查询.根据程序员每种方式掌握的情况,可以使用不同的查询方式.本篇文章介绍HQL语言查询.HQL(Hibernate Query Language)是NHibernate特有的面向对象查询语言,他具有继承.多态的

NHibernate系列文章二十七:NHibernate Mapping之Fluent Mapping(附程序下载)

摘要 从这一节起,介绍NHibernate Mapping的内容.前面文章都是使用的NHibernate XML Mapping.NHibernate XML Mapping是NHibernate最早最成熟的Mapping方法.其他的Mapping方法都是基于XML Mapping的思想进行的“变种”,要么暂时不能完全像XML Mapping那样功能丰富.其他的Mapping方法目前包括:Fluent Mapping.Attribute Mapping和Mapping by Convention

vue-小爱ADMIN系列文章(二):微信微博等分享,国际化,前端性能优化,nginx服务器部署

最近在做我的小爱ADMIN后台管理系统,结合当前市场后台管理系统对相关功能的需求,我又开始新增了一些新的功能和组件,如分享功能组件,项目国际化功能:项目完成后,部署在nginx服务器,发现首次访问的速度特别慢,严重的影响了用户体验,因此,我又开始进行了一系列的前端性能优化;以及将优化后的项目部署到nginx服务器二级子目录的注意细节. 效果演示地址 github地址 分享功能 背景说明 用微信,微博等做网站的第三方登录及用微信和支付宝进行支付,都需要注册开发者账号和添加网站应用,比较麻烦.另外,

NHibernate系列文章二十一:延迟加载

摘要 NHibernate的延迟加载机制是很重要的内容.通过关系映射将数据库表之间的关系映射成对象之间的关系,如果没有延迟加载机制,从主表的一个对象的查询将直接查询出所有与该对象关联的其他对象,如果关联的对象上还有其他的关联对象,还要去查询其他的对象.如果这张“网”非常大,或者关联的数据库记录非常多的话,每次查询主表记录都要把整个数据库都查询一遍,这样效率会非常低下.为了解决这个问题产生了NHibernate延迟加载.对一些属性设置延迟加载,只在对象访问到这些属性的时候才去查询数据库,很大程度上

C#网络编程系列文章(二)之Socket实现同步TCP服务器

原创性声明 本文作者:小竹zz  本文地址http://blog.csdn.net/zhujunxxxxx/article/details/44258719 转载请注明出处 本文介绍 在上一篇博客中我说了,我将会介绍c#中使用Socket和TcpListener和UdpClient实现各种同步和异步的TCP和UDP服务器,这些都是是我自己花了很多天的时间来总结的,这样一来相信刚接触c#网络编程的朋友们不会像以前的我一样到处出找资料,到处调试.本次我介绍的是使用Socket来实现的同步的TCP服务