無線網路環境下的信息安全分析

『壹』 網路時代的信息安全的有關內容

信息安全主要包括以下幾個方面，即寄生系統的機密性，真實性，完整性，未經授權的復制和安全性。

信息系統安全包括：

（1）物理安全。物理安全主要包括環境安全，設備安全和媒體安全。處理秘密信息的系統中心房間應採取有效的技術預防措施。重要系統還應配備保安人員以進行區域保護。

（2）操作安全。操作安全性主要包括備份和恢復，病毒檢測和消除以及電磁兼容性。應備份機密系統的主要設備，軟體，數據，電源等，並能夠在短時間內恢復系統。應當使用國家有關主管部門批準的防病毒和防病毒軟體及時檢測和消毒，包括伺服器和客戶端的病毒和防病毒軟體。

（3）信息安全。確保信息的機密性，完整性，可用性和不可否認性是信息安全的核心任務。

（4）安全和保密管理。分類計算機信息系統的安全和保密管理包括三個方面：管理組織，管理系統和各級管理技術。建立完善的安全管理機構，建立安全保障管理人員，建立嚴格的安全保密管理體系，運用先進的安全保密管理技術，管理整個機密計算機信息系統。

(1)無線網路環境下的信息安全分析擴展閱讀：

提升信息安全的技術方法

（1）信息流通過程中加密：通常信息在流通過程中，沒有安全措施，易失竊，毫無安全性可言。通過加密等技術的使用，大大減小信息在流通中失竊的機率。

例如，保密線路應用在有線通信中；激光通信等技術應用在無線通信中，這都是比較有效的防竊措施。

（2）電磁輻射控制技術在計算機中的應用：由於電磁輻射的存在，計算機上的信息，在較遠的地方使用相關專用的設備。

經分析技術就可以直接接收，擁有高超技術的黑客通過對電磁輻射的分析，竊取一些加密信息內容。

（3）防火牆的設置：防火牆是一種軟體的防護形式。防火牆有自己的防護條例，對通信數據的來源和途徑進行檢測，對於危險的網站或信息，會自動防禦，其防禦效果還是不錯的。

但從其防護方式上看，它是一種比較被動的防禦方式，只有外面有進攻，它才能發揮作用。

『貳』 無線網路通信使用了哪些信息安全技術

提供擁有自主知識產權和業內技術領先的網路安全接入（TEPA/WAPI）、IP自適應移動安全接入網路技術及其解決方案（AIPN），以及專業可定製的寬頻無線網路、AIPN系統和網路性能測評工具(NPQES)產品。

『叄』 透過公共 Wi-Fi 熱點上網可能會面臨哪些安全風險如何保障安全

安全風險是兩個方面：1)連接者，可能被一些惡意熱點所利用2)被連者，可能被一些人用來搞一些惡作劇或信息泄露等。共享WIFI，將隨身電腦作為熱點，客觀上會有電腦隱私和安全風險，其實現在只在聯網就存在風險。解決方法:1.在官網下載安裝360手機衛士，可以下載正式版V5.5.0，也可以下載V6.0先鋒體驗版2.V5.5.0版本，wifi體檢功能在「安全防護」中可以找到.3.點擊wifi體檢，衛士會對wifi環境的密碼情況、DNS、以及是否遭受攻擊等多維度檢測，保障wifi安全。點擊下面的wifi安全通道，建議開啟安全通道，這樣通過wifi傳輸的信息將會被加密，保證個人信息不會被竊取。4.V6.0版本，點擊主界面的「支付保鏢」，然後點擊」防護wifi安全」，衛士開始掃描wifi環境，並且開啟安全通道；點擊下面的wifi安全通道，開通後，有效個人信息泄露，讓安全蹭網。5.點擊「支付保鏢」右上角設置按鈕，開啟wifi安全自動檢查動畫，在每次鏈接wifi時，衛士上方會出現wifi安全檢測的動畫，如不希望出現，可以關閉掉。6.並且在V6.0版本中，可以開啟「wifi安全通道」功能，給wifi加密，實現安全蹭網。

『肆』 關於網路信息處理和信息安全應用的一篇論文

熱心相助
開題報告參考模板

XXXXXX學院

畢業論文開題報告

課題名稱 手機無線聯網安全技術及應用研究
學 院 電子信息學院
專 業 網路工程
班 級 BX0907
學 號 12
姓 名 XXX
指導教師 XXX

定稿日期： 2013 年 01 月 18 日

手機無線聯網安全技術及應用研究
摘要：從第一台計算機發明到現在短短的幾十年內，計算機和網路使得人們的生活發生著巨大的改變。電腦上網方式發生了很大的改變，人們不在局限於通過網線接入網路，出現了各種無線網路。但隨著手機技術的發展，人們開始使用手機來接入網路瀏覽網頁，聊天，下載各種需要的事物等等。
但是手機網路就如同計算機網路一樣不是一個很成熟的，其中有著各種漏洞，黑客可以通過相關的漏洞來進行對手機用戶的攻擊。很多人通過手機下載各種java程序，而java程序中可能包含著木馬病毒等等不利於手機用戶的東西。
本文重點進行手機上網安全，手機病毒的危害，黑客攻擊手機的方法手段，以及對應的預防措施等等
關鍵詞：手機上網，網路安全，手機病毒，防範措施。
1 文獻綜述
隨著手機技術的日趨成熟，接入互聯網輕松獲得大量的信息已成為未來手機發展的必然趨勢。而且隨著配備Java功能的i模式手機登場，手機接入互聯網更為便捷，勢必會因此增加手機感染病毒的機會。由於通過網路直接對WAP手機進行攻擊比對GSM手機進行攻擊更加簡便易行，WAP手機已經成為電腦黑客攻擊的重要對象。
黑客對手機進行攻擊，通常採用以下三種方式：一是攻擊WAP伺服器，使WAP手機無法接收正常信息;二是攻擊和控制「網關」，向手機發送垃圾信息(嚴格地說，以上兩種手機病毒還屬於電腦病毒，不會破壞手機本身);三是直接攻擊手機本身，使手機無法提供服務。新一代的WAP手機由於其功能的多元化，因此病毒帶來的災害也會更大。侵襲WAP手機的病毒可能會自動啟動電話錄音功能、自動撥打電話、刪除手機上的檔案內容，甚至會製造出金額龐大的電話賬單。
手機上網：WAP無線應用協議是一個開放式的標准協議，可以把網路上的信息傳送到行動電話貨其他無線通訊終端上。WAP是由多家通信業巨頭統一制定的，它使用一種類似於HTML的標記式語言WML，並可通過WAP Gateway直接訪問一般的網頁。通過WAP,用戶可以隨時隨地利用無線通訊終端來獲取互聯網上的即時信息或公司網站的資料，真正實現無線上網。CMWAP多用於WAP開頭的網站為主。CMNET可以瀏覽WWW網站。手機上網（WAP）是移動互聯網的一種體現形式。是傳統電腦上網的延伸和補充。通過WAP，用戶可以隨時隨地利用無線終端來獲取互聯網上的即時信息貨公司網站的資料，真正實現無線上網。
手機病毒：手機病毒是一種具有破壞性，傳染性的手機程序。可以通過發送彩信、簡訊，瀏覽網站，下載鈴聲，藍牙等方式傳播，會導致用戶手機關機、死機、向外發送垃圾郵件泄露個人信息、自動撥打電話、發簡訊彩信等進行惡意扣費，甚至會損毀晶元、SIM卡等硬體，導致手機用戶無法正常使用手機。史上最早的手機病毒於2000年被發現，在當時手機公司Movistar大量收到名為「Timofonica」的騷擾簡訊，該病毒由西班牙電信公司 「Telefonica」的移動系統向系統內的手機用戶發送垃圾簡訊。此病毒僅僅被稱作為簡訊炸彈。真正意義上的手機病毒直到2004年6月才出現，為一種名為「Cabir」蠕蟲病毒，通過諾基亞s60系列手機進行復制，然後不斷尋找安裝了藍牙的手機。在此之後手機病毒正式開始泛濫。據統計2012年二季度手機病毒數量達到23413個，接近2011年度全年數量。

2 選題背景及其意義
隨著手機技術的日趨成熟，以及手機的便於攜帶功能使得手機接入網路的頻率越來越高了，然而手機網路和計算機網路有很多的相似點，對於網路方面的法律不是很完善所以如何處理手機聯網安全變成了一個廣大手機用戶的一個重要的問題。
智能手機（smartphone）與一般手機相比，它具有一般手機的通訊功能，還帶有相應的操作系統（OS），可以通過下載安裝應用軟體來拓展手機的其他功能，如安裝瀏覽器來瀏覽網頁，收發郵件，查看股票、交通情況、天氣情況，看電影，通過相應的軟體來聽音樂，玩游戲等，這類具有獨立操作系統的手機被稱之為智能手機。智能手機具有以下幾個特點：1、具有接入無線互聯網的能力, 2、具有PDA(Personal Digital Assistant),包括PIM(個人信息管理) 日程記事，任務安排，多媒體應用，瀏覽網頁；3、具有開放性的操作系統，可以根據需求來安裝需要的應用程序，使手機的功能等到極、大地拓展；4、具有強大的功能，極強的拓展能力，大量的第三方軟體支持。
據統計至2012/06，中國手機上網用戶人數突破3億，手機上網用戶比例佔全部使用互聯網人數的10%。手機用戶多用於QQ聊天，微博，微信，查收電子郵件，手機游戲等等，通過以上所訴的方式可以使各種病毒在手機之間傳播，而現在隨著電腦和手機的高速發展，手機病毒發展的速度也日益加快。
由於3G的高速數據傳播使得3G漸漸地取代了以前的2G以及2.5G。據調查WCDMA是世界上運用最廣泛的，終端種類最多樣的一種3G標准，已有538個WCMDA運營商於世界上246個國家和地區開通了WCDMA網路，3G商用市場份額超過80%，而WCDMA向下兼容的GSM網路已覆蓋184個國家，遍布全球，WCDMA用戶已超過6億。因此研究手機聯網安全
隨著Symbian系統漸漸地退出智能手機的舞台，現在智能手機使用的主要操作系統分為Android系統以及IOS系統。Android是一種基於Linux的自由及開放源代碼的操作系統，主要適用於便攜設備。據2012年11月數據顯示Android系統在全球智能手機操作系統市場所佔的份額為76%，在中國市場佔有率為90%。IOS系統是由蘋果公司開發的操作系統，同樣適用於便攜設備。IOS是一種閉源系統，但IOS系統又不是傳統意義上的閉源系統，隨著Android系統地不斷進化，IOS系統想要保持客戶的情況，必須有所發展以適應相應的變化，因此IOS系統出現了一種新的閉源方式，系統代碼封閉，其他的可以與第三方軟體商分享利益；蘋果手上的代碼不會開放，但它們也會隨著時間地變化而出現變化。於2011年11月數據顯示，IOS占據全球智能手機系統市場份額的30%，在美國的市場佔有率為43%。隨著通信技術地進步，智能手機與第三方軟體的開發和普及等在一定的程度上促使了手機病毒的製造和傳播，據統計在Andriod平台上的病毒已經佔到所有手機病毒的84%，研究手機安全的主要在於Andriod平台。但是2012年12月13日全球知名信息安全專家、亞洲網路信息安全組織SyScan創始人Thomas Lim在360SyScan國際安全會議上透露：「隨著全球智能手機普及化的迅猛發展，蘋果的IOS系統已成為黑客們攻擊的新熱點。」目前黑客正在試圖通過程式組來攻擊IOS，以一連串的方式對系統中的多個漏洞進行攻擊。通過攻擊，黑客完全控制掌握用戶的IOS系統，錄像、錄音，通話等信息將會被攻擊者竊取。由於這種形式的攻擊復雜程度高，涉及底層系統的各個層面技術較為繁瑣，現在還沒有安全的預防方式。但是這是因為技術的復雜程度，所以目前對於IOS系統的攻擊還是相對較少。故而目前研究手機病毒的焦點在於開放的Andriod平台。現在無線互聯網領域的焦點是智能手機的信息安全，在移動安全領域出現的新威脅展現出了「作惡手法創新、危害加劇」的態勢。根據目前智能手機市場上的佔有量，Andriod系統的手機是信息安全、手機木馬的重災區，蘋果IOS系統和塞班系統緊隨其後。現在安全趨勢主要體現在三個方面：首先，黑客藉助魚惡意軟體來進行垃圾、欺詐簡訊的傳播；其次，流氓推廣木馬趨泛濫，危害方式愈發隱蔽；第三，感染的途徑方式在日益增多，二維碼、微博正成為智能手機用戶「中招」的新途徑。
許可權管理；一般指根據系統設置的安全規則或者安全策略，用戶可以訪問而且只能訪問自己被授權的資源，不多不少。在安裝應用程序的時候，手機用戶需要注意應用程序索要的許可權，有些病毒是在安裝的時候通過獲得更高地許可權來進行各種不法的行為。
手機「肉雞」如同電腦「肉雞」一樣也給手機用戶帶來極大的危害，許多手機在出廠前便被植入各種木馬病毒，然後在用戶使用手機的時候來進行各種操作，手機「肉雞」的危害遠大於電腦「肉雞」，手機病毒可以給植入者帶去相當可觀的收入來源，曾報道過服務供應商可以在一個月內收入數億的重款，因此導致相關的手機病毒木馬更加頻繁地出現在各種手機平台。
除此外在手機中的各種亂收費業務中，不少的是在於手機購買時的問題，由很多山寨的手機在出廠的時候內置各種系統，很多用戶在不知不覺中被強制性地扣掉了不少的費用。有的卻是在送去維修的時候被不甚感染了病毒木馬等。

3 研究內容
3.1手機聯網所受到的威脅
1）應用程序的漏洞 2）病毒 3）惡意或間諜軟體 4）網路監聽
5）手機出廠時內置的系統
3.2無線網路的完全
無線網路是利用無線電技術取代傳統網線進行連入互聯網。通過現在流行的手機無線聯網方式（WIFI，3G等）來進行無線網路安全分析和研究。
無線網路安全標准
A.WEP(Wired Equivalent Privacy)
B. WPA(WI-FI Protected Access)
C. WAPI(WLAN Authentication and Privacy Infrastructure)
3.3 網路安全的攻防方式
通過現有的各種手機上網的威脅進行研究，了解現階段的攻防方式
3.4網路邊界安全
網路邊界是內部網路和公共網路的分界線，網路邊界路由器是所有流量出入內部網路的關鍵設備。網路邊界安全是指在網路邊界上採用的安全措施和手段，他通常包括防火牆，VPN設備等部件。
3.5網路終端安全
終端的安全是網路安全的重要組成部分，只有首先保證終端上沒有病毒或木馬的存在，才能最大可能地保證網路中數據的安全。

4 工作特色及其難點，擬採取的解決措施
了解手機用戶使用手機時遇到的各種病毒有些困難。擬通過網路投票方式來查看一下有多少用戶遇到過類似惡意扣費，自動撥打電話等問題，以及問題的種類。通過網路投票來了解用戶使用的手機類型以及手機系統。
手機安全方面目前還沒有一個完整的體系，使得應對手機安全有著不小的難度。由於安卓的開放源代碼使得手機病毒可以迅速發展，當出現新的病毒時，不能夠及時的了解和預防。
通過查找文獻資料來研究手機病毒和黑客攻擊手機的各種方式，對此進行如何使用手機來進行防禦。

5 論文工作量及預期進度
2012/11/15-2013/01/ ： 確定選題、資料准備、翻譯有關外文資料及閱讀技術文獻、撰寫開題報告。
2013/01/ -2013/02/30： 調研分析、具體研究及新技術應用
2013/03/01-2013/05/01： 撰寫畢業設計報告
2013/05/26-2013/06/05： 畢業設計答辯
6 預期成果及其可能的創新點
預計成果：通過研究黑客入侵手機的方式以及手機病毒的種類來了解和處理手機聯網安全問題。通過手機病毒與計算機病毒的對比，來了解和應用手機聯網安全技術，掌握有關手機聯網安全的一些實際應用。通過文獻資料來研究駭客攻擊手機的方式，手機病毒的傳播方式，手機許可權相對應的功能，以及手機病毒的預防措施等。
可能的創新點；通過現在主流的各種上網方式（wifi,3G等），不同手機操作系統來研究手機的安全問題。

參考文獻
[1] 賈鐵軍主編. 網路安全實用技術清華大學出版社.2011
[2] 賈鐵軍主編. 網路安全管理及實用技術. 機械工業出版社.2010
[3] 楊哲、 Zerone無線安全團隊．無線網路黑客攻防．中國鐵道出版社．2011
[4] 中國密碼學會．無線網路安全．電子工業出版社，2011
[5] 賈鐵軍．網路安全技術及應用（第2版）．機械工業出版社，2014．
[6] 王繼剛．手機病毒大曝光．西安交通大學出版社，2009．
[7] 諸葛建偉.網路攻防技術與實踐. 清華大學出版社，2011
[8] 米歇爾(Mitchell T.M.). 大數據技術叢書：機器學習. 機械工業出版社，2008
[9] 王建鋒.計算機病毒分析與防治大全(第3版).電子工業出版社，2011
[10]金光，江先亮. 無線網路技術教程:原理、應用與模擬實驗.清華大學出版社，2011
[11]斯托林斯，無線通信與網路.清華大學出版社，2005
[12]雅各布森(Douglas Jacobson),網路安全基礎:網路攻防、協議與安全.電子工業出版社，2011
[13]海吉(Yusuf Bhaiji).網路安全技術與解決方案(修訂版).人民郵電出版社，2010
[14]麥克盧爾(Stuart McClure) , 斯卡姆布智(Joel Scambray), 庫爾茨(George Kurtz).黑客大曝光:網路安全機密與解決方案(第6版).清華大學出版社,2010
[15]石志國 , 薛為民, 尹浩. 計算機網路安全教程(第2版).清華大學出版社，2011
[16]楊哲.無線網路安全攻防實戰進階.電子工業出版社，2011

指導教師意見

隨著手機技術的日趨成熟，接入互聯網輕松獲得大量的信息已成為未來手機發展的必然趨勢。而且隨著配備Java功能的i模式手機登場，手機接入互聯網更為便捷，勢必會因此增加手機感染病毒的機會。由於通過網路直接對WAP手機進行攻擊比對GSM手機進行攻擊更加簡便易行，WAP手機已經成為電腦黑客攻擊的重要對象。

黑客對手機進行攻擊，通常採用以下三種方式：一是攻擊WAP伺服器，使WAP手機無法接收正常信息;二是攻擊和控制「網關」，向手機發送垃圾信息(嚴格地說，以上兩種手機病毒還屬於電腦病毒，不會破壞手機本身);三是直接攻擊手機本身，使手機無法提供服務。新一代的WAP手機由於其功能的多元化，因此病毒帶來的災害也會更大。侵襲WAP手機的病毒可能會自動啟動電話錄音功能、自動撥打電話、刪除手機上的檔案內容，甚至會製造出金額龐大的電話賬單。

該生能夠按要求針對論文所涉及課題目的和意義進行分析，文獻綜述敘述較完整，研究內容闡述較合理，對實現設計的技術路線有初步的了解，對後期論文工作的進度安排較適當。

在以後的工作中，要按開題的要求進行論文工作，每周應按時與指導老師針對論文撰寫及程序編寫、調試過程中遇到的問題進行交流和溝通。

因此，同意開題。

指導教師簽名：
2013年2月28日

評議小組意見

1、論文選題：□有理論意義；□有工程背景；□有實用價值；□意義不大。

2、論文的難度：□偏高；□適當；□偏低。

3、論文的工作量：□偏大；□適當；□偏小。

4、設計或研究方案的可行性：□好；□較好；□一般；□不可行。

5、學生對文獻資料及課題的了解程度：□好；□較好；□一般；□較差。

6、學生在論文選題報告中反映出的綜合能力和表達能力：

□好；□較好；□一般；□較差。

7、學生在論文選題報告中反映出的創新能力：

□好；□較好；□一般；□較差。

8、對論文選題報告的總體評價：□好；□較好；□一般；□較差

（在相應的方塊內作記號「√」）

二級學院所確定評議小組名單（3-5人）

組長： 、

組員： 、 、 、

單位蓋章 主管領導簽名：

年 月 日

評議結論

評議小組組長簽名：
評議小組組員簽名：

年 月 日

『伍』 免費WiFi有哪些安全隱患

免費WiFi有這些安全隱患：個人信息泄露、被大數據圈錢、被無線WiFi「褥羊毛」、利用免費WiFi犯罪等。這些安全隱患不僅針對普通使用者，還囊括了一些商家。下面我就詳細說說關於免費WiFi的事。

首先得了解什麼是WiFi：網路-WiFi

如何規避風險的建議

• 第一，在點擊網站前要注意站點開頭，有「http」和「https」兩種。而以「https」開頭的是安全性更高的網站。然後，要定期進行瀏覽器的更新。最新版的會加進更完善的安全防護對策。另外，在無法確定連上的WiFi的安全性的時候，如果你沒能找到可以確保安全性的無線網，那就最好不要用。對自己的信息進行保護，及時清除金融數據，最好不在公共WiFi狀態下使用金融功能。（針對個人）

• 第二，各地應對所轄區域內的公眾WiFi進行有效管理，利用路由監管技術，通過認證技術實現實名上網，同時在接入網路時發送安全通告。（針對政府）

• 第三，對WiFi提供者的經營場所進行管理可借鑒對網吧管理規定，在有線網路時代，網吧是提供上網的服務場所，那麼在無線網路時代，對公眾通過WiFi形式提供上網服務的場所也應該進行管理。（針對社會）

『陸』 無線區域網安全技術解析

由於無線區域網是以射頻方式在開放的空間進行工作的，因而其開放性特點增加了確定無線 區域網安全 的難度，所以說相對於傳統有線區域網而言，無線區域網的安全問題顯得更為突出。其安全的內容主要體現在訪問控制與信息保密兩部分，目前已經有一些針對無線區域網的安全問題的解決 方法 ，但仍須不斷改善。下面一起來學習無線區域網安全技術知識。

1無線區域網中不安全因素

無線區域網攻擊可分為主動攻擊和被動攻擊兩類。主動攻擊是入侵者能夠針對數據和通信內容進行修改，主動攻擊主要有：

(1)信息篡改：網路攻擊者能夠針對網路通信數據進行刪除、增加或改動。

(2)數據截獲：是利用TCP/IP網路通信的弱點進行的，該方法會掠奪合法使用者的通信信道，進而獲得系統的操作許可權，截獲數據。

(3)拒絕服務攻擊：網路攻擊者通過各種可能的方法使網路管理者無法獲得系統資源及服務。

(4)重傳攻擊：網路攻擊者從網路上獲取某些通信內容，然後重新發送這些內容，以對伺服器認證系統實施欺騙。

被動攻擊主要是指網路入侵者取得對通信資源的存取許可權，但是並不對數據內容進行篡改。主要有：

(1)非法竊聽：入侵者針對通信數據進行偵聽。(2)流量分析：入侵者可以得知諸如網路伺服器位置及網路通信模式等相關信息。

2IEEE802.11標準的安全性

IEEE802.11b標準定義了兩種方法實現無線區域網的接入控制和加密:系統ID(SSID)認證和有線對等加密(W-EP)。

2.1認證

當一個站點與另一個站點建立網路連接之前，必須首先通過認證，執行認證的站點發送一個管理認證幀到一個相應的站點，IEEE802.11b標准詳細定義了兩種認證服務:一是開放系統認證是802.11b默認的認證方式，是可用認證演算法中簡單的一種，分為兩步，首先向認證另一站點的站點發送個含有發送站點身份的認證管理幀;然後，接收站發回一個提醒它是否識別認證站點身份的幀。另一是共享密鑰認證，這種認證先假定每個站點通過一個獨立於802.11網路的安全信道，已經接收到一個秘密共享密鑰，然後這些站點通過共享密鑰的加密認證，加密演算法是有線等價加密(WEP)。

2.2WEP-WiredEquivalentPrivacy加密技術

WEP安全技術源自於名為RC4的RSA數據加密技術，以滿足用戶更高層次的網路安全需求。

WEP提供一種無線區域網數據流的安全方法，WEP是一種對稱加密，加密和解密的密鑰及演算法相同，WEP的目標是接入控制，防止未授權用戶接入網路，他們沒有正確的WEP密鑰。通過加密和只允許有正確WEP密鑰的用戶解密來保護數據流。

IEEE802.11b標准提供了兩種用於無線區域網的WEP加密方案。第一種方案可提供四個預設密鑰以供所有的終端共享包括一個子系統內的所有接入點和客戶適配器。當用戶得到預設密鑰以後，就可以與子系統內所有用戶安全通信，預設密鑰存在的問題是當它被廣泛分配時可能會危及安全。第二種方案是在每個客戶適配器建立一個與其他用戶聯系的密鑰表、該方案比第一種方案更加安全，但隨著終端數量的增加給每一個終端分配密鑰很困難。

2.3IEEE802.11的安全缺陷

無線區域網IEEE802.11的安全缺陷可以從以下幾個方面考慮：

(1)WEP的缺陷：密鑰管理系統不夠健全、安全機制提供的安全級別不高、數據包裝演算法不完善、認證系統不完善、初始化向量IV的操作存在不足。

(2)RC4加密演算法的缺陷：WEP採用RC4密碼演算法，RC4演算法的密鑰序列與明文無關，屬於同步流密碼(SSC)。其弱點是解密丟步後，其後的數據均出錯，若攻擊者翻轉密文中的bit位，解碼後明文中的對應比特位也是翻轉的，若攻擊者截獲兩個使用相同密鑰流加密的密文，可得到相應明文的異或結果，利用統計分析解密明文成為可能。(3)認證安全缺陷：IEEE802.11b標準的默認認證協議是開放式系統認證，實際上它是一個空的認證演算法。它的認證機制就已經給黑客入侵打開了方便之門。

(4)訪問控制的安全缺陷：封閉網路訪問控制機制，因為管理消息在網路里的廣播是不受任何阻礙的，因此，攻擊者可以很容易地嗅探到網路名稱，獲得共享密鑰;乙太網MAC地址訪問控製表，一是MAC地址很易被攻擊者嗅探到，二是大多數的無線網卡可以用軟體來改變MAC地址，偽裝一個有效地址，越過防線，連接到網路。

3無線區域網中安全技術

(1)有線對等保密協議WEP：WEP協議設計的初衷是使用無線協議為網路業務流提供安全保證，使得 無線網路 的安全達到與有線網路同樣的安全等級。是為了達到以下兩個目的：訪問控制和保密。

(2)Wi-Fi保護接入(WPA)：制定Wi-Fi保護接入協議是為了改善或者替換有漏洞的WEP加密方式。WPA提供了比WEP更強大的加密方式，解決了WEP存在的許多弱點。

(3)臨時密鑰完整性協議(TKIP)：TKIP是一種基礎性的技術，允許WPA向下兼容WEP協議和現有的無線硬體。TKIP與WEP一起工作，組成了一個更長的128位密鑰，並根據每個數據包變換密鑰，使這個密鑰比單獨使用WEP協議安全許多倍。

(4)可擴展認證協議(EAP)：有EAP的支持，WPA加密可提供與控制訪問無線網路有關的更多的功能。其方法不是僅根據可能被捕捉或者假冒的MAC地址過濾來控制無線網路的訪問，而是根據公共密鑰基礎設施(PKI)來控制無線網路的訪問。雖然WPA協議給WEP協議帶來了很大的改善，它比WEP協議安全許多倍。

(5)訪問控製表：在軟體開發上採用的另一種保證安全的機制是基於用戶乙太網MAC地址的訪問控制機制。每一個接入點都可以用所列出的MAC地址來限制網路中的用戶數。如果用戶地址存在於列表中，則允許訪問網路，否則，拒絕訪問。

4企業無線區域網安全防範建議

無線區域網安全技術可以劃分為三種安全策略。多數安全產品提供商在配置安全系統時會採用這三種安全策略的組合。第一種策略是認證。這種策略包括判斷客戶端是否是授權的無線LAN用戶以及確定該用戶有什麼許可權。同時它也包括阻比非授權用戶使用無線LAN的機制。第二種策略是在用戶得到認證並接入無線LAN後維護會話的保密性機制。一般來說.保密性通過使用加密技術得以實現。最後一種策略是校驗信息的完整性。

企業用戶必須依據使用環境的機密要求程度，對使用的應用軟體進行評估。切入點是從無線區域網的連接上開始，要考慮四個基本安全服務：

(1)經常進行審查：

保護WLAN的每一步就是完成網路審查，實現對內部網路的所有訪問節點都做審查，確定欺騙訪問節點，建立 規章制度 來約束它們，或者完全從網路上剝離掉它們;審查企業內無線網路設施及無線覆蓋范圍內的詳細情況。

(2)正確應用加密：首先要選擇合適的加密標准。無線網路系統不可能孤立地存在，在企業環境里尤其如此，所以加密方法一定要與上層應用系統匹配。在適用的情況下盡量選擇密鑰位數較高的加密方法

(3)認證同樣重要：加密可以保護信息不被解除，但是無法保證數據的真實性和完整性，所以必須為其提供匹配的認證機制。在使用的無線網路系統帶有認證機制的情況下可以直接利用。但是與加密一樣，要保證認證機制與 其它 應用系統能夠協同工作，在需要的情況下企業應該增加對WLAN用戶的認證功能(如使用RADIUS)，也可配置入侵檢測系統(IDS)，作為一種檢測欺騙訪問的前期識別方式。

(4)及時評估機密性：企業用戶要每個季度對網路使用情況進行一次評估，以決定根據網路流量來改變網路中機密性要求，有針對性來分網段傳輸信息。

(5)將無線納入安全策略：對於企業應用環境來說，將無線區域網安全問題納入到企業整體網路安全策略當中是必不可少的。

企業有關信息安全方面的所有內容，包括做什麼、由誰來做、如何做等等，應該圍繞統一的目標來組織，只有這樣才能打造出企業健康有效的網路安全體系。

5結束語

縱觀無線網路發展歷史，可以預見隨著應用范圍的日益普及，無線網路將面臨越來越多的安全問題。然而，新的安全理論和技術的不斷涌現使得我們有信心從容面對眾多安全挑戰，實現無線網路更廣泛的應用。

『柒』 可信計算在信息環境中的安全作用分析

摘要：信息環境是網路空間的基礎信息設施，將面臨來自網路空間的攻擊威脅。分析了信息環境在採取傳統的安全防護措施下存在的安全漏洞與面臨的威脅，重點對可信計算在信息環境的無線通信、有線網路、計算設施等方面發揮的安全增強作用進行了分析，對於提升信息環境應對網路空間攻擊威脅有較強支撐。

內容目錄：

1信息環境安全威脅

1.1無線網路面臨的安全威脅

1.2有線網路面臨的安全威脅

1.3計算設施面臨的安全威脅

2可信計算安全增強作用

2.1可信計算在無線網路中的作用

2.2可信計算在有線網路中的作用

2.3可信計算在計算設施中的作用

3結語

由無線網路、有線網路和計算設施組成的信息環境，作為一種保障網路空間中信息高效處理和數據可靠通信的信息基礎設施，近年來已經取得了較快的發展。由於信息環境在網路空間中的作用越來越重要，特別是對高度信息化武器裝備效果發揮的作用越來越關鍵，信息環境已經成為敵手網路攻擊的主要目標之一。此外，隨著網路空間對抗博弈的不斷加劇，網路攻擊方式逐漸由病毒感染、漏洞入侵、非授權篡改等一般網路攻擊方式，向更具隱蔽性、復合性的強網路攻擊方式發展，例如系統完整性破壞、惡意代碼植入、系統漏洞利用、 社會 工程學入侵等，使得信息環境面臨更加嚴峻的網路攻擊威脅。

信息環境在防火牆、防病毒軟體和入侵檢測等傳統安全防護措施下，僅能有效應對一般性網路攻擊威脅，面對強網路攻擊威脅卻束手無策。為了解決信息環境所面臨的防禦困局，國內諸多學者對可信計算下信息環境的安全增強作用進行了深入研究。沈昌祥院士等人 提出了基於可信計算技術構建縱深防禦信息安全保障體系的理念，以防範未知漏洞或威脅。黃強等人 從終端安全形度，提出了利用可信計算技術解決主機程序被篡改、系統完整性被破壞、惡意代碼被植入與運行、系統漏洞被利用、用戶許可權被篡改、秘密信息被竊取等強網路攻擊問題的新思路。金剛 從安全體系結構角度，剖析了可信計算對艦艇計算環境的安全防護作用。近年來，可信計算技術的安全增強作用研究，主要側重於計算終端安全增強方面，對於其在由無線網路、有線網路和計算設施等組成的信息環境中的安全增強作用研究還有待突破。

針對信息環境在強網路攻擊威脅下所面臨的安全防護難點，本文首先在已有傳統的安全防護措施的條件下，分析了信息環境面臨的網路攻擊威脅，進而研究可信計算對信息環境的安全增強作用。

1 信息環境安全威脅

本文在信息環境採用了接入認證、入侵檢測、訪問控制、隔離交換、鏈路加密、主機防護和安全審計等傳統的安全防護措施的條件下，對信息環境的無線網路、有線網路和計算設施所面臨的安全威脅進行分析。

1.1無線網路面臨的安全威脅

無線網路作為信息傳輸的樞紐，採用甚高頻（Very High Frequency，VHF）、 高 頻（HighFrequency，HF）等無線電信號運行在一個傳播開放、干擾嚴重的無線環境中，面臨的威脅有環境干擾、竊聽、物理攻擊、非法篡改等。特別是無線通信協議面臨關鍵欄位被截獲、敏感內容被篡改、協議通信被重放等攻擊威脅。採用傳統的安全防護措施對無線通信協議的關鍵欄位、敏感內容等進行機密性保護，對通信協議格式進行抗重放、防篡改等安全加固設計，能夠對無線通信提供機密性和抗截獲等安全保護。

1.2有線網路面臨的安全威脅

在信息環境中，有線網路主要由網路系統、控制系統、信息區域網等組成。有線網路面臨的攻擊威脅包括供應鏈環節可能帶來的病毒 / 木馬注入攻擊威脅，以及有線網路不可控成員或終端非法接入威脅。在有線網路的安全防護設計中，主要採用防火牆、接入控制、病毒查殺和身份認證等安全手段對其網路關口、內網終端的接入進行安全防護 ，具有網路邊界防護的安全功效。

有線網路存在對未知病毒或木馬不能免疫的隱患。有線網路的出口部署防火牆或接入控制等設備僅能對已知的病毒和木馬進行查殺，對於未知病毒和木馬則缺乏相應的處置能力。有線網路只有在未知病毒或木馬對其造成了不良後果，方能事後發現，顯然這種安全防護機制難以對未知病毒和木馬進行免疫。

有線網路存在難以防止變異終端接入內網的漏洞。有線網路採用數字證書技術對接入終端身份合法性進行判斷，可有效防止非法節點接入內網。這種技術僅對數字證書的有效性和合法性進行檢驗，只要具有表徵合法性身份證書的終端均能合法接入內網。這種機制忽視了對接入終端 健康 度的檢查，一旦具有合法證書或 Key 的終端機體發生變異，則無法避免「合法」終端接入內網。

1.3計算設施面臨的安全威脅

終端、伺服器等計算設施主要面臨硬體被惡意置換、病毒 / 木馬侵入、系統應用軟體被篡改、硬體平台被事前植入「後門」等安全威脅。計算設施雖然採用登錄認證、准入控制、病毒防護、補丁加固和安全審計等技術手段，對其進行較為全面的安全防護，但面臨計算設施的物理硬體被惡意替換，應用軟體被隱蔽篡改的安全威脅時，卻無能為力。在計算設施中，軟硬體的任何一個漏洞被敵手所用，都會對網路空間的信息環境造成難以估計的威脅。

此外，雖然計算設施使用的硬體平台與應用軟體都有相應的國產化要求，但其仍然難以完全杜絕預置「後門」的存在。硬體平台中被預置「後門」很可能在關鍵時刻被激活，從內部直接獲得 CPU 的運行權，並發起對信息環境的攻擊。顯然被預置的「後門」能繞過計算設施所採取的登錄認證、准入控制、病毒防護、補丁加固等傳統的安全防護措施的圍堵與查殺，並能輕松地獲取計算設施的關鍵信息。嚴重的是，攻擊者通過對計算設施實施干擾，植入惡意代碼，進而控制網路和關鍵系統，最終達到癱網和控網的目的 。

2 可信計算安全增強作用

可信計算作為一種基於密碼的運算與防護並存的安全計算模式，具有助力信息環境建立計算環境可信、網路可信和接入可信的安全能力。本文在已採取傳統的安全防護措施的基礎上，聚焦分析可信計算在信息環境的無線網路、有線網路和計算設施中的安全增強作用。

2.1可信計算在無線網路中的作用

採用可信計算技術，可在無線通信系統的收發兩端對傳輸的數據進行有效的完整性驗證，防止數據報文被篡改而帶來的安全風險。

（1）發送端可杜絕不可信數據產生的風險 。無線通信發送端具備數據加密能力，對發送端產生的數據進行加密操作，並將加密的數據通過無線通信協議發送出去。一旦發送端遭到病毒、木馬等惡意程序的入侵，則會使其上的硬體、操作系統、業務應用面臨被惡意篡改的風險，從而引發無線通信發送端產生的數據是否可信的安全問題。

為解決上述問題，可在對數據加密前，採用可信度量方法對發送端的軟硬體進行完整性度量，產生度量值，並對度量值進行簽名，再將簽名後的度量值與數據一起發送，這樣既保障了發送端數據加密操作是建立在數據可信的基礎之上，又保障了接收端接收到的加密數據是安全可信的。因此，在無線網路中，可信計算可以防止因硬體、操作系統、業務應用等被惡意程序篡改所導致發送端產生不可信數據的安全風險，也能防止接收端接收到不可信數據的安全風險。

（2）接收端可以杜絕數據被竊取的風險 。一旦無線通信接收端具有相應的解密能力，便能對無線鏈路中傳輸的加密數據包進行解密操作，從而獲取無線鏈路傳輸的任何數據。若接收端硬體、操作系統、業務軟體的任意一個部件被惡意攻擊，使得程序被篡改，都將導致接收端數據存在被竊取的安全風險。對接收到的無線通信協議進行解密之前，都必須對接收端進行可信度量檢查，在確保其可信度量合規的情況下，允許其對接收到的無線通信協議數據進行解密操作。可信度量檢查可以從技術上保障，只有未遭受篡改的接收端（可信）才能執行解密操作，遭受過篡改的接收端（不可信）不能進行解密操作，從而杜絕從接收端將數據竊取的風險。

2.2可信計算在有線網路中的作用

對於有線網路，可信計算主要具有兩方面的安全作用：一是對所有獲取處理器（CentralProcessing Unit，CPU）運行許可權的進程進行可信度量，可防止有線網路中病毒 / 木馬運行的安全風險；二是對所有接入終端實施可信接入控制機制，可防止變異終端非法接入網路的安全風險。

（1）可對未知病毒 / 木馬免疫。 當前，有線網路在防無線入侵攻擊方面，主要是設計統一無線通信關口並在其上部署相應的防火牆、入侵檢測、接入控制等設備，對病毒 / 木馬等進行網路攔截、過濾篩選和入侵檢測。由於防火牆、入侵檢測、接入控制等安全設備主要依靠既定的安全策略（如特徵碼）進行工作，僅能對安全策略限定的病毒 / 木馬等起到較好的防護作用，在其他未知病毒或木馬的滲透面前，則顯得力不從心，往往只能採取事後處置、策略調整的方式加以應對，其安全防禦效果也難以達到最佳。

可信計算採用基於密碼的可信運行控制機制，在獲取 CPU 運行許可權前，對所有進程進行可信度量的安全檢查，只有符合可信度量安全檢查要求的進程才能獲得 CPU 的運行許可權。部署在有線網路關口的防火牆、入侵檢測等安全設備能夠阻止安全策略設定內的已知病毒 / 木馬進入網路內部，對於安全策略設定范圍外的已知或未知的病毒 / 木馬則難以有效攔截。對於繞過上述安全防護設備的病毒 / 木馬，即使其進入到網路內部，也會因為無法通過可信運行控制機制的嚴格檢查，而得不到運行。因此，可信計算安全防護機制，在不需要做任何安全策略調整的情況下，可對已知或未知的病毒 / 木馬都具有免疫的功效。

（2）可杜絕非法終端的接入 。有線網路處於相對封閉的空間，與無線網路相比，其受到外部非法接入攻擊的可能性較小。有線網路主要採用身份認證、網路接入控制技術，實現對接入終端的身份合法性與設備地址屬性進行管控，以防止非法節點接入有線網路。上述的安全防護機制能對接入網路終端的用戶身份進行安全性確認，也能確保地址合規的設備接入網路，但無法防止設備狀態或軟體系統變異的終端接入有線網路。

可信計算在身份認證技術的基礎上，對終端設備狀態（包括其上運行的應用軟體）進行可信驗證，並將終端設備的信任鏈擴展到整個網路，得到第三方認證系統的確認後，才允許接入有線網路。上述的可信網路接入控制機制，既確定了終端身份的合法性，又驗證了設備狀態合法性，只有在二者均合規的條件下才允許接入有線網路。因此，可信計算不僅能夠阻止非法終端接入有線網路，也能阻止身份合法但狀態被篡改的終端接入有線網路。

2.3可信計算在計算設施中的作用

可信計算對於計算設施的安全防護作用主要體現在兩個方面：一是對埠進行可信管控，防止物理部件被非法替換的安全風險；二是對計算設施的軟體運行進行可信運行控制，防止被篡改軟體和被植入「後門」程序運行的安全風險。

（1）可杜絕物理部件被非法替換的風險 。計算設施的空間相對封閉，通常採用設備機箱加鎖、部件加固、專用介面等物理方法防止硬體被替換，但其防禦效果較差，無法絕對保障其部件不被替換。

可信計算基於完整性度量機制，可以直接對物理部件屬性進行可信度量（如讀取磁碟物理序列號、光碟機序列號、顯卡 OPROM、網卡設備 ID 等硬體特徵），並與存儲在可信硬體里的預期值進行比對，從而保障計算設施中物理部件的唯一性。採用該防範措施的好處是可以從技術層面防止物理部件被更換，即使其物理替換攻擊行為發生，也能被系統快速檢測到，並終止該部件的運行，從而保障整個系統的安全。

（2）可禁止被惡意篡改的軟體、系統運行。 一方面，可信計算可以禁止計算設施中病毒 / 木馬等程序的運行，防止計算設施中軟體、系統被病毒 / 木馬等惡意軟體篡改；另一方面，即使計算設施中軟體、系統被惡意篡改，在這些軟體、系統執行前，都需要經過可信計算的運行控制檢查，一旦其可信度量值不符合系統設定的安全值，則會被拒絕執行，從而達到保護計算設施中軟體、系統安全運行的目的。

（3）可禁止被植入「後門」的運行 。如果「後門」程序通過不可預知的渠道避開了層層檢查，進入計算設施中隱蔽躲藏，病毒掃描也難以發現其蹤跡。此外，「後門」程序喚醒或激活的方式多樣、毫無規律可言，防火牆、入侵檢測等安全防護設備對其攔截的效率也難以准確評估。「後門」程序易被喚醒或激活，從而對計算設施發起攻擊，進而給整個信息環境帶來致命的打擊。

在可信計算的防護下，即使進入計算設施的「後門」程序，並被喚醒或激活，但其在獲取 CPU 的運行許可權時，若沒有運行控制策略的授權，則無法通過運行控制的可信度量檢查，會被拒絕執行。因此，可信計算可在上述兩道防線都失效的情況下，能夠起到禁止計算設施中被植入「後門」程序運行的作用，從而達到保護信息環境的目的。

3 結語

引用格式： 謝小賦 , 吳成波 , 龐飛 , 等 . 可信計算在信息環境中的安全作用分析 [J]. 信息安全與通信保密 ,2022(5):108-113.

作者簡介 >>> 謝小賦 ，男，碩士，高級工程師，主要研究方向為網路空間安全； 吳成波 ，男，碩士，助理研究員，主要研究方向為保密通信； 龐飛 ，男，碩士，高級工程師，主要研究方向為計算安全； 武丹丹 ，女，碩士，高級工程師，主要研究方向為網路空間安全。 選自《信息安全與通信保密》2022年第5期(為便於排版，已省去參考文獻）

轉自：信息安全與通信保密雜志社 公眾號

『捌』 無線網安全建議 教你如何保護無線網路安全

下面將給用戶一些基本的無線網路安全建議，這些建議將有助於用戶更好保證自己的無線網路安全： 1. 無線網路適配器 在用戶不使用網路時，建議用戶關閉無線網路適配器，之所以這樣做，有兩個原因。首先，延長電池壽命;其次，防範使用「 Microsoft Windows silent ad hoc network advertisement」滲透攻擊的最好方法。微軟的自組網使用的是零默認設置訪問，這就給攻擊者以可乘之機。 2.校驗無線網路SSID 校驗SSID(Service Set Identifier或ESSID，用來區分不同的網路，最多可以有32個字元，無線網卡設置了不同的SSID就可以進入不同網路)有助於防止evil twin。evil twin即使攻擊者利用攻擊產生錯誤的無線網路。簡單點說，用戶根本不知道連接的是錯誤的網路，這樣黑客就可以獲取用戶接受和發送的任何流量了。 3. 保證軟體防火牆的安全性 Windows XP 和 Vista內置了防火牆，但是都不夠。市面上的有很多功能更加強大的防火牆，完全可以滿足筆記本使用者的需求。 4. 關閉Windows的文件和列印機共享功能 Windows的默認設置是關閉了這一功能，但是很多用戶在實際工作的時候需要使用這一功能。開啟這一功能實際上就是打開了「麻煩之門」。任何未經授權的人只要出現在這一無線網路的時候就可以訪問這些文件。 5.不要使用無線網路在線傳輸敏感信息 這點就毋庸贅言。重要性可想而知，但是還是要提醒一下。 6.操作系統需實時升級 除了操作系統，還有殺毒軟體，防火牆，網路瀏覽器以及無線網路客戶機程序，這些都需要實時升級，這樣就可以減少因其本身缺陷導致的攻擊。 7.保護好任何敏感信息 網頁當中保留的個人信息會成為黑客攻擊提供十分有用的價值。因此如條件允許可以採用某些加密工具。 8.使用加密技術進行網上沖浪 在沒有虛擬個人網路或是虛擬個人網路設置不正確的時候，這是很重要的。市面上有很多提供SSL(Security Socket Layer ，加密套接字協議層 ) VPN的技術，這樣就可以在一個安全通道中傳輸機密文件。還有一些更加先進的服務，譬如超級代理等。 9.VPN 前面一個建議的局限就是它只適用於基於網路的應用程序。但是一些郵件應用程序呢?譬如Outlook。這正是虛擬個人網路大展拳腳的地方。但是很多人根本就不使用虛擬個人網路。虛擬個人網路保證用戶即使在外的話也相當於家庭或是辦公網路中的一部分。這樣，所有的商業應用程序，文件共享或是網路訪問都由公司的網路來完成。市面上的選擇很多，推薦Open個人虛擬網路。 10.使用遠程訪問工具保證安全 不要通過有疑問的網路傳輸敏感數據。有一些設備可以保證出門在外的人通過家裡的網路使用SSL通道實現遠程式控制制。這樣，網上沖浪，收發郵件還有其他一些活動只會在遠程主機上實現。因此，除非在特別緊急的情況下，否則不要傳輸數據。 總結： 經常在外使用筆記本的人應該保持警惕。除了一些日常工作，他們經常需要在外做一些工作。以上一些建議能夠保護他們在外使用時的信息安全。