无线网络环境下的信息安全分析

‘壹’ 网络时代的信息安全的有关内容

信息安全主要包括以下几个方面，即寄生系统的机密性，真实性，完整性，未经授权的复制和安全性。

信息系统安全包括：

（1）物理安全。物理安全主要包括环境安全，设备安全和媒体安全。处理秘密信息的系统中心房间应采取有效的技术预防措施。重要系统还应配备保安人员以进行区域保护。

（2）操作安全。操作安全性主要包括备份和恢复，病毒检测和消除以及电磁兼容性。应备份机密系统的主要设备，软件，数据，电源等，并能够在短时间内恢复系统。应当使用国家有关主管部门批准的防病毒和防病毒软件及时检测和消毒，包括服务器和客户端的病毒和防病毒软件。

（3）信息安全。确保信息的机密性，完整性，可用性和不可否认性是信息安全的核心任务。

（4）安全和保密管理。分类计算机信息系统的安全和保密管理包括三个方面：管理组织，管理系统和各级管理技术。建立完善的安全管理机构，建立安全保障管理人员，建立严格的安全保密管理体系，运用先进的安全保密管理技术，管理整个机密计算机信息系统。

(1)无线网络环境下的信息安全分析扩展阅读：

提升信息安全的技术方法

（1）信息流通过程中加密：通常信息在流通过程中，没有安全措施，易失窃，毫无安全性可言。通过加密等技术的使用，大大减小信息在流通中失窃的机率。

例如，保密线路应用在有线通信中；激光通信等技术应用在无线通信中，这都是比较有效的防窃措施。

（2）电磁辐射控制技术在计算机中的应用：由于电磁辐射的存在，计算机上的信息，在较远的地方使用相关专用的设备。

经分析技术就可以直接接收，拥有高超技术的黑客通过对电磁辐射的分析，窃取一些加密信息内容。

（3）防火墙的设置：防火墙是一种软件的防护形式。防火墙有自己的防护条例，对通信数据的来源和途径进行检测，对于危险的网站或信息，会自动防御，其防御效果还是不错的。

但从其防护方式上看，它是一种比较被动的防御方式，只有外面有进攻，它才能发挥作用。

‘贰’ 无线网络通信使用了哪些信息安全技术

提供拥有自主知识产权和业内技术领先的网络安全接入（TEPA/WAPI）、IP自适应移动安全接入网络技术及其解决方案（AIPN），以及专业可定制的宽带无线网络、AIPN系统和网络性能测评工具(NPQES)产品。

‘叁’ 透过公共 Wi-Fi 热点上网可能会面临哪些安全风险如何保障安全

安全风险是两个方面：1)连接者，可能被一些恶意热点所利用2)被连者，可能被一些人用来搞一些恶作剧或信息泄露等。共享WIFI，将随身电脑作为热点，客观上会有电脑隐私和安全风险，其实现在只在联网就存在风险。解决方法:1.在官网下载安装360手机卫士，可以下载正式版V5.5.0，也可以下载V6.0先锋体验版2.V5.5.0版本，wifi体检功能在“安全防护”中可以找到.3.点击wifi体检，卫士会对wifi环境的密码情况、DNS、以及是否遭受攻击等多维度检测，保障wifi安全。点击下面的wifi安全通道，建议开启安全通道，这样通过wifi传输的信息将会被加密，保证个人信息不会被窃取。4.V6.0版本，点击主界面的“支付保镖”，然后点击”防护wifi安全”，卫士开始扫描wifi环境，并且开启安全通道；点击下面的wifi安全通道，开通后，有效个人信息泄露，让安全蹭网。5.点击“支付保镖”右上角设置按钮，开启wifi安全自动检查动画，在每次链接wifi时，卫士上方会出现wifi安全检测的动画，如不希望出现，可以关闭掉。6.并且在V6.0版本中，可以开启“wifi安全通道”功能，给wifi加密，实现安全蹭网。

‘肆’ 关于网络信息处理和信息安全应用的一篇论文

热心相助
开题报告参考模板

XXXXXX学院

毕业论文开题报告

课题名称 手机无线联网安全技术及应用研究
学 院 电子信息学院
专 业 网络工程
班 级 BX0907
学 号 12
姓 名 XXX
指导教师 XXX

定稿日期： 2013 年 01 月 18 日

手机无线联网安全技术及应用研究
摘要：从第一台计算机发明到现在短短的几十年内，计算机和网络使得人们的生活发生着巨大的改变。电脑上网方式发生了很大的改变，人们不在局限于通过网线接入网络，出现了各种无线网络。但随着手机技术的发展，人们开始使用手机来接入网络浏览网页，聊天，下载各种需要的事物等等。
但是手机网络就如同计算机网络一样不是一个很成熟的，其中有着各种漏洞，黑客可以通过相关的漏洞来进行对手机用户的攻击。很多人通过手机下载各种java程序，而java程序中可能包含着木马病毒等等不利于手机用户的东西。
本文重点进行手机上网安全，手机病毒的危害，黑客攻击手机的方法手段，以及对应的预防措施等等
关键词：手机上网，网络安全，手机病毒，防范措施。
1 文献综述
随着手机技术的日趋成熟，接入互联网轻松获得大量的信息已成为未来手机发展的必然趋势。而且随着配备Java功能的i模式手机登场，手机接入互联网更为便捷，势必会因此增加手机感染病毒的机会。由于通过网络直接对WAP手机进行攻击比对GSM手机进行攻击更加简便易行，WAP手机已经成为电脑黑客攻击的重要对象。
黑客对手机进行攻击，通常采用以下三种方式：一是攻击WAP服务器，使WAP手机无法接收正常信息;二是攻击和控制“网关”，向手机发送垃圾信息(严格地说，以上两种手机病毒还属于电脑病毒，不会破坏手机本身);三是直接攻击手机本身，使手机无法提供服务。新一代的WAP手机由于其功能的多元化，因此病毒带来的灾害也会更大。侵袭WAP手机的病毒可能会自动启动电话录音功能、自动拨打电话、删除手机上的档案内容，甚至会制造出金额庞大的电话账单。
手机上网：WAP无线应用协议是一个开放式的标准协议，可以把网络上的信息传送到移动电话货其他无线通讯终端上。WAP是由多家通信业巨头统一制定的，它使用一种类似于HTML的标记式语言WML，并可通过WAP Gateway直接访问一般的网页。通过WAP,用户可以随时随地利用无线通讯终端来获取互联网上的即时信息或公司网站的资料，真正实现无线上网。CMWAP多用于WAP开头的网站为主。CMNET可以浏览WWW网站。手机上网（WAP）是移动互联网的一种体现形式。是传统电脑上网的延伸和补充。通过WAP，用户可以随时随地利用无线终端来获取互联网上的即时信息货公司网站的资料，真正实现无线上网。
手机病毒：手机病毒是一种具有破坏性，传染性的手机程序。可以通过发送彩信、短信，浏览网站，下载铃声，蓝牙等方式传播，会导致用户手机关机、死机、向外发送垃圾邮件泄露个人信息、自动拨打电话、发短信彩信等进行恶意扣费，甚至会损毁芯片、SIM卡等硬件，导致手机用户无法正常使用手机。史上最早的手机病毒于2000年被发现，在当时手机公司Movistar大量收到名为“Timofonica”的骚扰短信，该病毒由西班牙电信公司 “Telefonica”的移动系统向系统内的手机用户发送垃圾短信。此病毒仅仅被称作为短信炸弹。真正意义上的手机病毒直到2004年6月才出现，为一种名为“Cabir”蠕虫病毒，通过诺基亚s60系列手机进行复制，然后不断寻找安装了蓝牙的手机。在此之后手机病毒正式开始泛滥。据统计2012年二季度手机病毒数量达到23413个，接近2011年度全年数量。

2 选题背景及其意义
随着手机技术的日趋成熟，以及手机的便于携带功能使得手机接入网络的频率越来越高了，然而手机网络和计算机网络有很多的相似点，对于网络方面的法律不是很完善所以如何处理手机联网安全变成了一个广大手机用户的一个重要的问题。
智能手机（smartphone）与一般手机相比，它具有一般手机的通讯功能，还带有相应的操作系统（OS），可以通过下载安装应用软件来拓展手机的其他功能，如安装浏览器来浏览网页，收发邮件，查看股票、交通情况、天气情况，看电影，通过相应的软件来听音乐，玩游戏等，这类具有独立操作系统的手机被称之为智能手机。智能手机具有以下几个特点：1、具有接入无线互联网的能力, 2、具有PDA(Personal Digital Assistant),包括PIM(个人信息管理) 日程记事，任务安排，多媒体应用，浏览网页；3、具有开放性的操作系统，可以根据需求来安装需要的应用程序，使手机的功能等到极、大地拓展；4、具有强大的功能，极强的拓展能力，大量的第三方软件支持。
据统计至2012/06，中国手机上网用户人数突破3亿，手机上网用户比例占全部使用互联网人数的10%。手机用户多用于QQ聊天，微博，微信，查收电子邮件，手机游戏等等，通过以上所诉的方式可以使各种病毒在手机之间传播，而现在随着电脑和手机的高速发展，手机病毒发展的速度也日益加快。
由于3G的高速数据传播使得3G渐渐地取代了以前的2G以及2.5G。据调查WCDMA是世界上运用最广泛的，终端种类最多样的一种3G标准，已有538个WCMDA运营商于世界上246个国家和地区开通了WCDMA网络，3G商用市场份额超过80%，而WCDMA向下兼容的GSM网络已覆盖184个国家，遍布全球，WCDMA用户已超过6亿。因此研究手机联网安全
随着Symbian系统渐渐地退出智能手机的舞台，现在智能手机使用的主要操作系统分为Android系统以及IOS系统。Android是一种基于Linux的自由及开放源代码的操作系统，主要适用于便携设备。据2012年11月数据显示Android系统在全球智能手机操作系统市场所占的份额为76%，在中国市场占有率为90%。IOS系统是由苹果公司开发的操作系统，同样适用于便携设备。IOS是一种闭源系统，但IOS系统又不是传统意义上的闭源系统，随着Android系统地不断进化，IOS系统想要保持客户的情况，必须有所发展以适应相应的变化，因此IOS系统出现了一种新的闭源方式，系统代码封闭，其他的可以与第三方软件商分享利益；苹果手上的代码不会开放，但它们也会随着时间地变化而出现变化。于2011年11月数据显示，IOS占据全球智能手机系统市场份额的30%，在美国的市场占有率为43%。随着通信技术地进步，智能手机与第三方软件的开发和普及等在一定的程度上促使了手机病毒的制造和传播，据统计在Andriod平台上的病毒已经占到所有手机病毒的84%，研究手机安全的主要在于Andriod平台。但是2012年12月13日全球知名信息安全专家、亚洲网络信息安全组织SyScan创始人Thomas Lim在360SyScan国际安全会议上透露：“随着全球智能手机普及化的迅猛发展，苹果的IOS系统已成为黑客们攻击的新热点。”目前黑客正在试图通过程式组来攻击IOS，以一连串的方式对系统中的多个漏洞进行攻击。通过攻击，黑客完全控制掌握用户的IOS系统，录像、录音，通话等信息将会被攻击者窃取。由于这种形式的攻击复杂程度高，涉及底层系统的各个层面技术较为繁琐，现在还没有安全的预防方式。但是这是因为技术的复杂程度，所以目前对于IOS系统的攻击还是相对较少。故而目前研究手机病毒的焦点在于开放的Andriod平台。现在无线互联网领域的焦点是智能手机的信息安全，在移动安全领域出现的新威胁展现出了“作恶手法创新、危害加剧”的态势。根据目前智能手机市场上的占有量，Andriod系统的手机是信息安全、手机木马的重灾区，苹果IOS系统和塞班系统紧随其后。现在安全趋势主要体现在三个方面：首先，黑客借助鱼恶意软件来进行垃圾、欺诈短信的传播；其次，流氓推广木马趋泛滥，危害方式愈发隐蔽；第三，感染的途径方式在日益增多，二维码、微博正成为智能手机用户“中招”的新途径。
权限管理；一般指根据系统设置的安全规则或者安全策略，用户可以访问而且只能访问自己被授权的资源，不多不少。在安装应用程序的时候，手机用户需要注意应用程序索要的权限，有些病毒是在安装的时候通过获得更高地权限来进行各种不法的行为。
手机“肉鸡”如同电脑“肉鸡”一样也给手机用户带来极大的危害，许多手机在出厂前便被植入各种木马病毒，然后在用户使用手机的时候来进行各种操作，手机“肉鸡”的危害远大于电脑“肉鸡”，手机病毒可以给植入者带去相当可观的收入来源，曾报道过服务供应商可以在一个月内收入数亿的重款，因此导致相关的手机病毒木马更加频繁地出现在各种手机平台。
除此外在手机中的各种乱收费业务中，不少的是在于手机购买时的问题，由很多山寨的手机在出厂的时候内置各种系统，很多用户在不知不觉中被强制性地扣掉了不少的费用。有的却是在送去维修的时候被不甚感染了病毒木马等。

3 研究内容
3.1手机联网所受到的威胁
1）应用程序的漏洞 2）病毒 3）恶意或间谍软件 4）网络监听
5）手机出厂时内置的系统
3.2无线网络的完全
无线网络是利用无线电技术取代传统网线进行连入互联网。通过现在流行的手机无线联网方式（WIFI，3G等）来进行无线网络安全分析和研究。
无线网络安全标准
A.WEP(Wired Equivalent Privacy)
B. WPA(WI-FI Protected Access)
C. WAPI(WLAN Authentication and Privacy Infrastructure)
3.3 网络安全的攻防方式
通过现有的各种手机上网的威胁进行研究，了解现阶段的攻防方式
3.4网络边界安全
网络边界是内部网络和公共网络的分界线，网络边界路由器是所有流量出入内部网络的关键设备。网络边界安全是指在网络边界上采用的安全措施和手段，他通常包括防火墙，VPN设备等部件。
3.5网络终端安全
终端的安全是网络安全的重要组成部分，只有首先保证终端上没有病毒或木马的存在，才能最大可能地保证网络中数据的安全。

4 工作特色及其难点，拟采取的解决措施
了解手机用户使用手机时遇到的各种病毒有些困难。拟通过网络投票方式来查看一下有多少用户遇到过类似恶意扣费，自动拨打电话等问题，以及问题的种类。通过网络投票来了解用户使用的手机类型以及手机系统。
手机安全方面目前还没有一个完整的体系，使得应对手机安全有着不小的难度。由于安卓的开放源代码使得手机病毒可以迅速发展，当出现新的病毒时，不能够及时的了解和预防。
通过查找文献资料来研究手机病毒和黑客攻击手机的各种方式，对此进行如何使用手机来进行防御。

5 论文工作量及预期进度
2012/11/15-2013/01/ ： 确定选题、资料准备、翻译有关外文资料及阅读技术文献、撰写开题报告。
2013/01/ -2013/02/30： 调研分析、具体研究及新技术应用
2013/03/01-2013/05/01： 撰写毕业设计报告
2013/05/26-2013/06/05： 毕业设计答辩
6 预期成果及其可能的创新点
预计成果：通过研究黑客入侵手机的方式以及手机病毒的种类来了解和处理手机联网安全问题。通过手机病毒与计算机病毒的对比，来了解和应用手机联网安全技术，掌握有关手机联网安全的一些实际应用。通过文献资料来研究骇客攻击手机的方式，手机病毒的传播方式，手机权限相对应的功能，以及手机病毒的预防措施等。
可能的创新点；通过现在主流的各种上网方式（wifi,3G等），不同手机操作系统来研究手机的安全问题。

参考文献
[1] 贾铁军主编. 网络安全实用技术清华大学出版社.2011
[2] 贾铁军主编. 网络安全管理及实用技术. 机械工业出版社.2010
[3] 杨哲、 Zerone无线安全团队．无线网络黑客攻防．中国铁道出版社．2011
[4] 中国密码学会．无线网络安全．电子工业出版社，2011
[5] 贾铁军．网络安全技术及应用（第2版）．机械工业出版社，2014．
[6] 王继刚．手机病毒大曝光．西安交通大学出版社，2009．
[7] 诸葛建伟.网络攻防技术与实践. 清华大学出版社，2011
[8] 米歇尔(Mitchell T.M.). 大数据技术丛书：机器学习. 机械工业出版社，2008
[9] 王建锋.计算机病毒分析与防治大全(第3版).电子工业出版社，2011
[10]金光，江先亮. 无线网络技术教程:原理、应用与仿真实验.清华大学出版社，2011
[11]斯托林斯，无线通信与网络.清华大学出版社，2005
[12]雅各布森(Douglas Jacobson),网络安全基础:网络攻防、协议与安全.电子工业出版社，2011
[13]海吉(Yusuf Bhaiji).网络安全技术与解决方案(修订版).人民邮电出版社，2010
[14]麦克卢尔(Stuart McClure) , 斯卡姆布智(Joel Scambray), 库尔茨(George Kurtz).黑客大曝光:网络安全机密与解决方案(第6版).清华大学出版社,2010
[15]石志国 , 薛为民, 尹浩. 计算机网络安全教程(第2版).清华大学出版社，2011
[16]杨哲.无线网络安全攻防实战进阶.电子工业出版社，2011

指导教师意见

随着手机技术的日趋成熟，接入互联网轻松获得大量的信息已成为未来手机发展的必然趋势。而且随着配备Java功能的i模式手机登场，手机接入互联网更为便捷，势必会因此增加手机感染病毒的机会。由于通过网络直接对WAP手机进行攻击比对GSM手机进行攻击更加简便易行，WAP手机已经成为电脑黑客攻击的重要对象。

黑客对手机进行攻击，通常采用以下三种方式：一是攻击WAP服务器，使WAP手机无法接收正常信息;二是攻击和控制“网关”，向手机发送垃圾信息(严格地说，以上两种手机病毒还属于电脑病毒，不会破坏手机本身);三是直接攻击手机本身，使手机无法提供服务。新一代的WAP手机由于其功能的多元化，因此病毒带来的灾害也会更大。侵袭WAP手机的病毒可能会自动启动电话录音功能、自动拨打电话、删除手机上的档案内容，甚至会制造出金额庞大的电话账单。

该生能够按要求针对论文所涉及课题目的和意义进行分析，文献综述叙述较完整，研究内容阐述较合理，对实现设计的技术路线有初步的了解，对后期论文工作的进度安排较适当。

在以后的工作中，要按开题的要求进行论文工作，每周应按时与指导老师针对论文撰写及程序编写、调试过程中遇到的问题进行交流和沟通。

因此，同意开题。

指导教师签名：
2013年2月28日

评议小组意见

1、论文选题：□有理论意义；□有工程背景；□有实用价值；□意义不大。

2、论文的难度：□偏高；□适当；□偏低。

3、论文的工作量：□偏大；□适当；□偏小。

4、设计或研究方案的可行性：□好；□较好；□一般；□不可行。

5、学生对文献资料及课题的了解程度：□好；□较好；□一般；□较差。

6、学生在论文选题报告中反映出的综合能力和表达能力：

□好；□较好；□一般；□较差。

7、学生在论文选题报告中反映出的创新能力：

□好；□较好；□一般；□较差。

8、对论文选题报告的总体评价：□好；□较好；□一般；□较差

（在相应的方块内作记号“√”）

二级学院所确定评议小组名单（3-5人）

组长： 、

组员： 、 、 、

单位盖章 主管领导签名：

年 月 日

评议结论

评议小组组长签名：
评议小组组员签名：

年 月 日

‘伍’ 免费WiFi有哪些安全隐患

免费WiFi有这些安全隐患：个人信息泄露、被大数据圈钱、被无线WiFi“褥羊毛”、利用免费WiFi犯罪等。这些安全隐患不仅针对普通使用者，还囊括了一些商家。下面我就详细说说关于免费WiFi的事。

首先得了解什么是WiFi：网络-WiFi

如何规避风险的建议

• 第一，在点击网站前要注意站点开头，有“http”和“https”两种。而以“https”开头的是安全性更高的网站。然后，要定期进行浏览器的更新。最新版的会加进更完善的安全防护对策。另外，在无法确定连上的WiFi的安全性的时候，如果你没能找到可以确保安全性的无线网，那就最好不要用。对自己的信息进行保护，及时清除金融数据，最好不在公共WiFi状态下使用金融功能。（针对个人）

• 第二，各地应对所辖区域内的公众WiFi进行有效管理，利用路由监管技术，通过认证技术实现实名上网，同时在接入网络时发送安全通告。（针对政府）

• 第三，对WiFi提供者的经营场所进行管理可借鉴对网吧管理规定，在有线网络时代，网吧是提供上网的服务场所，那么在无线网络时代，对公众通过WiFi形式提供上网服务的场所也应该进行管理。（针对社会）

‘陆’ 无线局域网安全技术解析

由于无线局域网是以射频方式在开放的空间进行工作的，因而其开放性特点增加了确定无线 局域网安全 的难度，所以说相对于传统有线局域网而言，无线局域网的安全问题显得更为突出。其安全的内容主要体现在访问控制与信息保密两部分，目前已经有一些针对无线局域网的安全问题的解决 方法 ，但仍须不断改善。下面一起来学习无线局域网安全技术知识。

1无线局域网中不安全因素

无线局域网攻击可分为主动攻击和被动攻击两类。主动攻击是入侵者能够针对数据和通信内容进行修改，主动攻击主要有：

(1)信息篡改：网络攻击者能够针对网络通信数据进行删除、增加或改动。

(2)数据截获：是利用TCP/IP网络通信的弱点进行的，该方法会掠夺合法使用者的通信信道，进而获得系统的操作权限，截获数据。

(3)拒绝服务攻击：网络攻击者通过各种可能的方法使网络管理者无法获得系统资源及服务。

(4)重传攻击：网络攻击者从网络上获取某些通信内容，然后重新发送这些内容，以对服务器认证系统实施欺骗。

被动攻击主要是指网络入侵者取得对通信资源的存取权限，但是并不对数据内容进行篡改。主要有：

(1)非法窃听：入侵者针对通信数据进行侦听。(2)流量分析：入侵者可以得知诸如网络服务器位置及网络通信模式等相关信息。

2IEEE802.11标准的安全性

IEEE802.11b标准定义了两种方法实现无线局域网的接入控制和加密:系统ID(SSID)认证和有线对等加密(W-EP)。

2.1认证

当一个站点与另一个站点建立网络连接之前，必须首先通过认证，执行认证的站点发送一个管理认证帧到一个相应的站点，IEEE802.11b标准详细定义了两种认证服务:一是开放系统认证是802.11b默认的认证方式，是可用认证算法中简单的一种，分为两步，首先向认证另一站点的站点发送个含有发送站点身份的认证管理帧;然后，接收站发回一个提醒它是否识别认证站点身份的帧。另一是共享密钥认证，这种认证先假定每个站点通过一个独立于802.11网络的安全信道，已经接收到一个秘密共享密钥，然后这些站点通过共享密钥的加密认证，加密算法是有线等价加密(WEP)。

2.2WEP-WiredEquivalentPrivacy加密技术

WEP安全技术源自于名为RC4的RSA数据加密技术，以满足用户更高层次的网络安全需求。

WEP提供一种无线局域网数据流的安全方法，WEP是一种对称加密，加密和解密的密钥及算法相同，WEP的目标是接入控制，防止未授权用户接入网络，他们没有正确的WEP密钥。通过加密和只允许有正确WEP密钥的用户解密来保护数据流。

IEEE802.11b标准提供了两种用于无线局域网的WEP加密方案。第一种方案可提供四个缺省密钥以供所有的终端共享包括一个子系统内的所有接入点和客户适配器。当用户得到缺省密钥以后，就可以与子系统内所有用户安全通信，缺省密钥存在的问题是当它被广泛分配时可能会危及安全。第二种方案是在每个客户适配器建立一个与其他用户联系的密钥表、该方案比第一种方案更加安全，但随着终端数量的增加给每一个终端分配密钥很困难。

2.3IEEE802.11的安全缺陷

无线局域网IEEE802.11的安全缺陷可以从以下几个方面考虑：

(1)WEP的缺陷：密钥管理系统不够健全、安全机制提供的安全级别不高、数据包装算法不完善、认证系统不完善、初始化向量IV的操作存在不足。

(2)RC4加密算法的缺陷：WEP采用RC4密码算法，RC4算法的密钥序列与明文无关，属于同步流密码(SSC)。其弱点是解密丢步后，其后的数据均出错，若攻击者翻转密文中的bit位，解码后明文中的对应比特位也是翻转的，若攻击者截获两个使用相同密钥流加密的密文，可得到相应明文的异或结果，利用统计分析解密明文成为可能。(3)认证安全缺陷：IEEE802.11b标准的默认认证协议是开放式系统认证，实际上它是一个空的认证算法。它的认证机制就已经给黑客入侵打开了方便之门。

(4)访问控制的安全缺陷：封闭网络访问控制机制，因为管理消息在网络里的广播是不受任何阻碍的，因此，攻击者可以很容易地嗅探到网络名称，获得共享密钥;以太网MAC地址访问控制表，一是MAC地址很易被攻击者嗅探到，二是大多数的无线网卡可以用软件来改变MAC地址，伪装一个有效地址，越过防线，连接到网络。

3无线局域网中安全技术

(1)有线对等保密协议WEP：WEP协议设计的初衷是使用无线协议为网络业务流提供安全保证，使得 无线网络 的安全达到与有线网络同样的安全等级。是为了达到以下两个目的：访问控制和保密。

(2)Wi-Fi保护接入(WPA)：制定Wi-Fi保护接入协议是为了改善或者替换有漏洞的WEP加密方式。WPA提供了比WEP更强大的加密方式，解决了WEP存在的许多弱点。

(3)临时密钥完整性协议(TKIP)：TKIP是一种基础性的技术，允许WPA向下兼容WEP协议和现有的无线硬件。TKIP与WEP一起工作，组成了一个更长的128位密钥，并根据每个数据包变换密钥，使这个密钥比单独使用WEP协议安全许多倍。

(4)可扩展认证协议(EAP)：有EAP的支持，WPA加密可提供与控制访问无线网络有关的更多的功能。其方法不是仅根据可能被捕捉或者假冒的MAC地址过滤来控制无线网络的访问，而是根据公共密钥基础设施(PKI)来控制无线网络的访问。虽然WPA协议给WEP协议带来了很大的改善，它比WEP协议安全许多倍。

(5)访问控制表：在软件开发上采用的另一种保证安全的机制是基于用户以太网MAC地址的访问控制机制。每一个接入点都可以用所列出的MAC地址来限制网络中的用户数。如果用户地址存在于列表中，则允许访问网络，否则，拒绝访问。

4企业无线局域网安全防范建议

无线局域网安全技术可以划分为三种安全策略。多数安全产品提供商在配置安全系统时会采用这三种安全策略的组合。第一种策略是认证。这种策略包括判断客户端是否是授权的无线LAN用户以及确定该用户有什么权限。同时它也包括阻比非授权用户使用无线LAN的机制。第二种策略是在用户得到认证并接入无线LAN后维护会话的保密性机制。一般来说.保密性通过使用加密技术得以实现。最后一种策略是校验信息的完整性。

企业用户必须依据使用环境的机密要求程度，对使用的应用软件进行评估。切入点是从无线局域网的连接上开始，要考虑四个基本安全服务：

(1)经常进行审查：

保护WLAN的每一步就是完成网络审查，实现对内部网络的所有访问节点都做审查，确定欺骗访问节点，建立 规章制度 来约束它们，或者完全从网络上剥离掉它们;审查企业内无线网络设施及无线覆盖范围内的详细情况。

(2)正确应用加密：首先要选择合适的加密标准。无线网络系统不可能孤立地存在，在企业环境里尤其如此，所以加密方法一定要与上层应用系统匹配。在适用的情况下尽量选择密钥位数较高的加密方法

(3)认证同样重要：加密可以保护信息不被解除，但是无法保证数据的真实性和完整性，所以必须为其提供匹配的认证机制。在使用的无线网络系统带有认证机制的情况下可以直接利用。但是与加密一样，要保证认证机制与 其它 应用系统能够协同工作，在需要的情况下企业应该增加对WLAN用户的认证功能(如使用RADIUS)，也可配置入侵检测系统(IDS)，作为一种检测欺骗访问的前期识别方式。

(4)及时评估机密性：企业用户要每个季度对网络使用情况进行一次评估，以决定根据网络流量来改变网络中机密性要求，有针对性来分网段传输信息。

(5)将无线纳入安全策略：对于企业应用环境来说，将无线局域网安全问题纳入到企业整体网络安全策略当中是必不可少的。

企业有关信息安全方面的所有内容，包括做什么、由谁来做、如何做等等，应该围绕统一的目标来组织，只有这样才能打造出企业健康有效的网络安全体系。

5结束语

纵观无线网络发展历史，可以预见随着应用范围的日益普及，无线网络将面临越来越多的安全问题。然而，新的安全理论和技术的不断涌现使得我们有信心从容面对众多安全挑战，实现无线网络更广泛的应用。

‘柒’ 可信计算在信息环境中的安全作用分析

摘要：信息环境是网络空间的基础信息设施，将面临来自网络空间的攻击威胁。分析了信息环境在采取传统的安全防护措施下存在的安全漏洞与面临的威胁，重点对可信计算在信息环境的无线通信、有线网络、计算设施等方面发挥的安全增强作用进行了分析，对于提升信息环境应对网络空间攻击威胁有较强支撑。

内容目录：

1信息环境安全威胁

1.1无线网络面临的安全威胁

1.2有线网络面临的安全威胁

1.3计算设施面临的安全威胁

2可信计算安全增强作用

2.1可信计算在无线网络中的作用

2.2可信计算在有线网络中的作用

2.3可信计算在计算设施中的作用

3结语

由无线网络、有线网络和计算设施组成的信息环境，作为一种保障网络空间中信息高效处理和数据可靠通信的信息基础设施，近年来已经取得了较快的发展。由于信息环境在网络空间中的作用越来越重要，特别是对高度信息化武器装备效果发挥的作用越来越关键，信息环境已经成为敌手网络攻击的主要目标之一。此外，随着网络空间对抗博弈的不断加剧，网络攻击方式逐渐由病毒感染、漏洞入侵、非授权篡改等一般网络攻击方式，向更具隐蔽性、复合性的强网络攻击方式发展，例如系统完整性破坏、恶意代码植入、系统漏洞利用、 社会 工程学入侵等，使得信息环境面临更加严峻的网络攻击威胁。

信息环境在防火墙、防病毒软件和入侵检测等传统安全防护措施下，仅能有效应对一般性网络攻击威胁，面对强网络攻击威胁却束手无策。为了解决信息环境所面临的防御困局，国内诸多学者对可信计算下信息环境的安全增强作用进行了深入研究。沈昌祥院士等人 提出了基于可信计算技术构建纵深防御信息安全保障体系的理念，以防范未知漏洞或威胁。黄强等人 从终端安全角度，提出了利用可信计算技术解决主机程序被篡改、系统完整性被破坏、恶意代码被植入与运行、系统漏洞被利用、用户权限被篡改、秘密信息被窃取等强网络攻击问题的新思路。金刚 从安全体系结构角度，剖析了可信计算对舰艇计算环境的安全防护作用。近年来，可信计算技术的安全增强作用研究，主要侧重于计算终端安全增强方面，对于其在由无线网络、有线网络和计算设施等组成的信息环境中的安全增强作用研究还有待突破。

针对信息环境在强网络攻击威胁下所面临的安全防护难点，本文首先在已有传统的安全防护措施的条件下，分析了信息环境面临的网络攻击威胁，进而研究可信计算对信息环境的安全增强作用。

1 信息环境安全威胁

本文在信息环境采用了接入认证、入侵检测、访问控制、隔离交换、链路加密、主机防护和安全审计等传统的安全防护措施的条件下，对信息环境的无线网络、有线网络和计算设施所面临的安全威胁进行分析。

1.1无线网络面临的安全威胁

无线网络作为信息传输的枢纽，采用甚高频（Very High Frequency，VHF）、 高 频（HighFrequency，HF）等无线电信号运行在一个传播开放、干扰严重的无线环境中，面临的威胁有环境干扰、窃听、物理攻击、非法篡改等。特别是无线通信协议面临关键字段被截获、敏感内容被篡改、协议通信被重放等攻击威胁。采用传统的安全防护措施对无线通信协议的关键字段、敏感内容等进行机密性保护，对通信协议格式进行抗重放、防篡改等安全加固设计，能够对无线通信提供机密性和抗截获等安全保护。

1.2有线网络面临的安全威胁

在信息环境中，有线网络主要由网络系统、控制系统、信息局域网等组成。有线网络面临的攻击威胁包括供应链环节可能带来的病毒 / 木马注入攻击威胁，以及有线网络不可控成员或终端非法接入威胁。在有线网络的安全防护设计中，主要采用防火墙、接入控制、病毒查杀和身份认证等安全手段对其网络关口、内网终端的接入进行安全防护 ，具有网络边界防护的安全功效。

有线网络存在对未知病毒或木马不能免疫的隐患。有线网络的出口部署防火墙或接入控制等设备仅能对已知的病毒和木马进行查杀，对于未知病毒和木马则缺乏相应的处置能力。有线网络只有在未知病毒或木马对其造成了不良后果，方能事后发现，显然这种安全防护机制难以对未知病毒和木马进行免疫。

有线网络存在难以防止变异终端接入内网的漏洞。有线网络采用数字证书技术对接入终端身份合法性进行判断，可有效防止非法节点接入内网。这种技术仅对数字证书的有效性和合法性进行检验，只要具有表征合法性身份证书的终端均能合法接入内网。这种机制忽视了对接入终端 健康 度的检查，一旦具有合法证书或 Key 的终端机体发生变异，则无法避免“合法”终端接入内网。

1.3计算设施面临的安全威胁

终端、服务器等计算设施主要面临硬件被恶意置换、病毒 / 木马侵入、系统应用软件被篡改、硬件平台被事前植入“后门”等安全威胁。计算设施虽然采用登录认证、准入控制、病毒防护、补丁加固和安全审计等技术手段，对其进行较为全面的安全防护，但面临计算设施的物理硬件被恶意替换，应用软件被隐蔽篡改的安全威胁时，却无能为力。在计算设施中，软硬件的任何一个漏洞被敌手所用，都会对网络空间的信息环境造成难以估计的威胁。

此外，虽然计算设施使用的硬件平台与应用软件都有相应的国产化要求，但其仍然难以完全杜绝预置“后门”的存在。硬件平台中被预置“后门”很可能在关键时刻被激活，从内部直接获得 CPU 的运行权，并发起对信息环境的攻击。显然被预置的“后门”能绕过计算设施所采取的登录认证、准入控制、病毒防护、补丁加固等传统的安全防护措施的围堵与查杀，并能轻松地获取计算设施的关键信息。严重的是，攻击者通过对计算设施实施干扰，植入恶意代码，进而控制网络和关键系统，最终达到瘫网和控网的目的 。

2 可信计算安全增强作用

可信计算作为一种基于密码的运算与防护并存的安全计算模式，具有助力信息环境建立计算环境可信、网络可信和接入可信的安全能力。本文在已采取传统的安全防护措施的基础上，聚焦分析可信计算在信息环境的无线网络、有线网络和计算设施中的安全增强作用。

2.1可信计算在无线网络中的作用

采用可信计算技术，可在无线通信系统的收发两端对传输的数据进行有效的完整性验证，防止数据报文被篡改而带来的安全风险。

（1）发送端可杜绝不可信数据产生的风险 。无线通信发送端具备数据加密能力，对发送端产生的数据进行加密操作，并将加密的数据通过无线通信协议发送出去。一旦发送端遭到病毒、木马等恶意程序的入侵，则会使其上的硬件、操作系统、业务应用面临被恶意篡改的风险，从而引发无线通信发送端产生的数据是否可信的安全问题。

为解决上述问题，可在对数据加密前，采用可信度量方法对发送端的软硬件进行完整性度量，产生度量值，并对度量值进行签名，再将签名后的度量值与数据一起发送，这样既保障了发送端数据加密操作是建立在数据可信的基础之上，又保障了接收端接收到的加密数据是安全可信的。因此，在无线网络中，可信计算可以防止因硬件、操作系统、业务应用等被恶意程序篡改所导致发送端产生不可信数据的安全风险，也能防止接收端接收到不可信数据的安全风险。

（2）接收端可以杜绝数据被窃取的风险 。一旦无线通信接收端具有相应的解密能力，便能对无线链路中传输的加密数据包进行解密操作，从而获取无线链路传输的任何数据。若接收端硬件、操作系统、业务软件的任意一个部件被恶意攻击，使得程序被篡改，都将导致接收端数据存在被窃取的安全风险。对接收到的无线通信协议进行解密之前，都必须对接收端进行可信度量检查，在确保其可信度量合规的情况下，允许其对接收到的无线通信协议数据进行解密操作。可信度量检查可以从技术上保障，只有未遭受篡改的接收端（可信）才能执行解密操作，遭受过篡改的接收端（不可信）不能进行解密操作，从而杜绝从接收端将数据窃取的风险。

2.2可信计算在有线网络中的作用

对于有线网络，可信计算主要具有两方面的安全作用：一是对所有获取处理器（CentralProcessing Unit，CPU）运行权限的进程进行可信度量，可防止有线网络中病毒 / 木马运行的安全风险；二是对所有接入终端实施可信接入控制机制，可防止变异终端非法接入网络的安全风险。

（1）可对未知病毒 / 木马免疫。 当前，有线网络在防无线入侵攻击方面，主要是设计统一无线通信关口并在其上部署相应的防火墙、入侵检测、接入控制等设备，对病毒 / 木马等进行网络拦截、过滤筛选和入侵检测。由于防火墙、入侵检测、接入控制等安全设备主要依靠既定的安全策略（如特征码）进行工作，仅能对安全策略限定的病毒 / 木马等起到较好的防护作用，在其他未知病毒或木马的渗透面前，则显得力不从心，往往只能采取事后处置、策略调整的方式加以应对，其安全防御效果也难以达到最佳。

可信计算采用基于密码的可信运行控制机制，在获取 CPU 运行权限前，对所有进程进行可信度量的安全检查，只有符合可信度量安全检查要求的进程才能获得 CPU 的运行权限。部署在有线网络关口的防火墙、入侵检测等安全设备能够阻止安全策略设定内的已知病毒 / 木马进入网络内部，对于安全策略设定范围外的已知或未知的病毒 / 木马则难以有效拦截。对于绕过上述安全防护设备的病毒 / 木马，即使其进入到网络内部，也会因为无法通过可信运行控制机制的严格检查，而得不到运行。因此，可信计算安全防护机制，在不需要做任何安全策略调整的情况下，可对已知或未知的病毒 / 木马都具有免疫的功效。

（2）可杜绝非法终端的接入 。有线网络处于相对封闭的空间，与无线网络相比，其受到外部非法接入攻击的可能性较小。有线网络主要采用身份认证、网络接入控制技术，实现对接入终端的身份合法性与设备地址属性进行管控，以防止非法节点接入有线网络。上述的安全防护机制能对接入网络终端的用户身份进行安全性确认，也能确保地址合规的设备接入网络，但无法防止设备状态或软件系统变异的终端接入有线网络。

可信计算在身份认证技术的基础上，对终端设备状态（包括其上运行的应用软件）进行可信验证，并将终端设备的信任链扩展到整个网络，得到第三方认证系统的确认后，才允许接入有线网络。上述的可信网络接入控制机制，既确定了终端身份的合法性，又验证了设备状态合法性，只有在二者均合规的条件下才允许接入有线网络。因此，可信计算不仅能够阻止非法终端接入有线网络，也能阻止身份合法但状态被篡改的终端接入有线网络。

2.3可信计算在计算设施中的作用

可信计算对于计算设施的安全防护作用主要体现在两个方面：一是对端口进行可信管控，防止物理部件被非法替换的安全风险；二是对计算设施的软件运行进行可信运行控制，防止被篡改软件和被植入“后门”程序运行的安全风险。

（1）可杜绝物理部件被非法替换的风险 。计算设施的空间相对封闭，通常采用设备机箱加锁、部件加固、专用接口等物理方法防止硬件被替换，但其防御效果较差，无法绝对保障其部件不被替换。

可信计算基于完整性度量机制，可以直接对物理部件属性进行可信度量（如读取磁盘物理序列号、光驱序列号、显卡 OPROM、网卡设备 ID 等硬件特征），并与存储在可信硬件里的预期值进行比对，从而保障计算设施中物理部件的唯一性。采用该防范措施的好处是可以从技术层面防止物理部件被更换，即使其物理替换攻击行为发生，也能被系统快速检测到，并终止该部件的运行，从而保障整个系统的安全。

（2）可禁止被恶意篡改的软件、系统运行。 一方面，可信计算可以禁止计算设施中病毒 / 木马等程序的运行，防止计算设施中软件、系统被病毒 / 木马等恶意软件篡改；另一方面，即使计算设施中软件、系统被恶意篡改，在这些软件、系统执行前，都需要经过可信计算的运行控制检查，一旦其可信度量值不符合系统设定的安全值，则会被拒绝执行，从而达到保护计算设施中软件、系统安全运行的目的。

（3）可禁止被植入“后门”的运行 。如果“后门”程序通过不可预知的渠道避开了层层检查，进入计算设施中隐蔽躲藏，病毒扫描也难以发现其踪迹。此外，“后门”程序唤醒或激活的方式多样、毫无规律可言，防火墙、入侵检测等安全防护设备对其拦截的效率也难以准确评估。“后门”程序易被唤醒或激活，从而对计算设施发起攻击，进而给整个信息环境带来致命的打击。

在可信计算的防护下，即使进入计算设施的“后门”程序，并被唤醒或激活，但其在获取 CPU 的运行权限时，若没有运行控制策略的授权，则无法通过运行控制的可信度量检查，会被拒绝执行。因此，可信计算可在上述两道防线都失效的情况下，能够起到禁止计算设施中被植入“后门”程序运行的作用，从而达到保护信息环境的目的。

3 结语

引用格式： 谢小赋 , 吴成波 , 庞飞 , 等 . 可信计算在信息环境中的安全作用分析 [J]. 信息安全与通信保密 ,2022(5):108-113.

作者简介 >>> 谢小赋 ，男，硕士，高级工程师，主要研究方向为网络空间安全； 吴成波 ，男，硕士，助理研究员，主要研究方向为保密通信； 庞飞 ，男，硕士，高级工程师，主要研究方向为计算安全； 武丹丹 ，女，硕士，高级工程师，主要研究方向为网络空间安全。 选自《信息安全与通信保密》2022年第5期(为便于排版，已省去参考文献）

转自：信息安全与通信保密杂志社 公众号

‘捌’ 无线网安全建议 教你如何保护无线网络安全

下面将给用户一些基本的无线网络安全建议，这些建议将有助于用户更好保证自己的无线网络安全： 1. 无线网络适配器 在用户不使用网络时，建议用户关闭无线网络适配器，之所以这样做，有两个原因。首先，延长电池寿命;其次，防范使用“ Microsoft Windows silent ad hoc network advertisement”渗透攻击的最好方法。微软的自组网使用的是零默认设置访问，这就给攻击者以可乘之机。 2.校验无线网络SSID 校验SSID(Service Set Identifier或ESSID，用来区分不同的网络，最多可以有32个字符，无线网卡设置了不同的SSID就可以进入不同网络)有助于防止evil twin。evil twin即使攻击者利用攻击产生错误的无线网络。简单点说，用户根本不知道连接的是错误的网络，这样黑客就可以获取用户接受和发送的任何流量了。 3. 保证软件防火墙的安全性 Windows XP 和 Vista内置了防火墙，但是都不够。市面上的有很多功能更加强大的防火墙，完全可以满足笔记本使用者的需求。 4. 关闭Windows的文件和打印机共享功能 Windows的默认设置是关闭了这一功能，但是很多用户在实际工作的时候需要使用这一功能。开启这一功能实际上就是打开了“麻烦之门”。任何未经授权的人只要出现在这一无线网络的时候就可以访问这些文件。 5.不要使用无线网络在线传输敏感信息 这点就毋庸赘言。重要性可想而知，但是还是要提醒一下。 6.操作系统需实时升级 除了操作系统，还有杀毒软件，防火墙，网络浏览器以及无线网络客户机程序，这些都需要实时升级，这样就可以减少因其本身缺陷导致的攻击。 7.保护好任何敏感信息 网页当中保留的个人信息会成为黑客攻击提供十分有用的价值。因此如条件允许可以采用某些加密工具。 8.使用加密技术进行网上冲浪 在没有虚拟个人网络或是虚拟个人网络设置不正确的时候，这是很重要的。市面上有很多提供SSL(Security Socket Layer ，加密套接字协议层 ) VPN的技术，这样就可以在一个安全通道中传输机密文件。还有一些更加先进的服务，譬如超级代理等。 9.VPN 前面一个建议的局限就是它只适用于基于网络的应用程序。但是一些邮件应用程序呢?譬如Outlook。这正是虚拟个人网络大展拳脚的地方。但是很多人根本就不使用虚拟个人网络。虚拟个人网络保证用户即使在外的话也相当于家庭或是办公网络中的一部分。这样，所有的商业应用程序，文件共享或是网络访问都由公司的网络来完成。市面上的选择很多，推荐Open个人虚拟网络。 10.使用远程访问工具保证安全 不要通过有疑问的网络传输敏感数据。有一些设备可以保证出门在外的人通过家里的网络使用SSL通道实现远程控制。这样，网上冲浪，收发邮件还有其他一些活动只会在远程主机上实现。因此，除非在特别紧急的情况下，否则不要传输数据。 总结： 经常在外使用笔记本的人应该保持警惕。除了一些日常工作，他们经常需要在外做一些工作。以上一些建议能够保护他们在外使用时的信息安全。