氣象信息網(wǎng)絡(luò)在WPA模式下的安防技術(shù)探究

魯霞 胡仲殊 何歡 劉帆

摘要：近些年來，隨著互聯(lián)網(wǎng)的廣泛普及與應用，網(wǎng)絡(luò)安全問題備受關(guān)注。據(jù)相關(guān)數(shù)據(jù)統(tǒng)計，截至2019年6月，我國手機網(wǎng)民數(shù)量已經(jīng)達到8.72億人，其中通過WIFI無線網(wǎng)絡(luò)接入互聯(lián)網(wǎng)的用戶數(shù)量所占的比例高達90%以上。由此可見，WIFI已經(jīng)發(fā)展成為網(wǎng)民上網(wǎng)的首選方式。就氣象信息網(wǎng)絡(luò)而言，其無線局域網(wǎng)多使用WPA模式接入。但是在使用過程中，WPA也存在著一定的漏洞導致氣象信息往往會出現(xiàn)丟失或泄漏等現(xiàn)象，為氣象信息的安全性構(gòu)成了嚴重威脅?；诖?，本文首先簡述了WPA模式，后著重針對WPA模式下氣象信息網(wǎng)絡(luò)存在的安全隱患提出科學、有效的安防技術(shù)措施，以期能夠為確保氣象信息的安全性提供一定的借鑒與參考。

關(guān)鍵詞：WPA;氣象信息網(wǎng)絡(luò);漏洞;安防技術(shù)

引言

隨著社會經(jīng)濟的快速發(fā)展，科學技術(shù)也突飛猛進，與此同時無線網(wǎng)絡(luò)技術(shù)憑借其使用方便、操作便捷、成本低廉等優(yōu)勢在各行業(yè)領(lǐng)域得到廣泛普及與應用。在無線網(wǎng)絡(luò)覆蓋的區(qū)域，人們能夠隨時隨地的進行網(wǎng)絡(luò)交互。但是無線網(wǎng)絡(luò)在為人們生活帶來巨大便捷的同時，在技術(shù)上也存在著一定程度的漏洞，使黑客等不法分子有了可乘之機，進而嚴重威脅著信息的安全性。為實現(xiàn)網(wǎng)絡(luò)安全性的顯著提升，Wi-Fi聯(lián)盟積極探索出了性能更好的Wi-Fi保護接入?yún)f(xié)議，即WPA與WPA2，這一模式采用了更為復雜的加密算法以期能夠安全控制無線網(wǎng)絡(luò)的接入，但是在其使用過程中也并非萬無一失，依然存在著很多對WPA/WPA2進行無線抓包離線暴力破解的工具，也對氣象信息的安全性構(gòu)成了嚴重威脅。因此，在WPA模式下積極探索科學、有效的安防技術(shù)方式非常重要，對于確保氣象信息網(wǎng)絡(luò)的安全運行，并保證氣象信息的安全性等具有重要意義。

1WPA模式概述

1.1WPA簡述

當前，無線局域網(wǎng)是以IEEE802.11標準為依據(jù)，其中Wi-Fi標準屬于802.1l標準的一個子集，有線等效保密協(xié)議（WEP）與Wi-Fi保護訪問（WPA）是其中兩種比較著名的加密技術(shù)。其中前者屬于早期版本已被淘汰，而WPA與WPA2在各大領(lǐng)域得到廣泛應用。與WPA相比，盡管WPA2增加了AES-CCMP協(xié)議，但是兩者在認證方式上均支持“預共享秘鑰認證”算法，而且在攻擊方法上也基本相同。

1.2 WPA的特點

WPA模式主要表現(xiàn)出以下幾個特點：

（1）在TKIP當中Ⅳ的大小增加至48位;

（2）由Michael替代WEP加密當中的CRC校驗與計算;Michael能夠?qū)?4位MIC值進行計算，并使用TKIP進行加密，主要用于保證數(shù)據(jù)的完整性;

（3）Michael與TKIP主要使用主密鑰及其他值派生的臨時密鑰。其中主密鑰是由可擴展身份驗證協(xié)議——傳輸層安全性或受保護的EAP802.1x身份驗證當中派生出來的;通過數(shù)據(jù)包混合函數(shù)能夠準確地計算出RC4PRNG當中的輸入機密部分，而且該部分隨著幀的改變而發(fā)生一定程度的變化;

（4）自動生成新的密鑰及由此派生而來的新的臨時密鑰組;

（5）不需要重放保護TKIP，只需要使用Iv作為幀計數(shù)器以達到重放保護的目的。

1.3 WPA攻擊技術(shù)

通常情況下，WPA認證攻擊可以劃分為加密的攻擊與身份認證的攻擊兩大部分。其中前者僅僅只能夠?qū)鬏數(shù)臄?shù)據(jù)進行加（解）密，而攻擊者無法以合法用戶的身份參與到網(wǎng)絡(luò)當中進行攻擊，黑客往往不會選用這一方式進行攻擊;而“對身份認證的攻擊”是最為常見的WPA攻擊手段，這一方式往往是直接攻擊訪問的無線網(wǎng)絡(luò)，此時黑客也具備對通信數(shù)據(jù)進行加密或解密的功能，主要是由于已經(jīng)破解了主密鑰，此時黑客完全能夠以合法用戶的身份滲入到網(wǎng)絡(luò)當中。

2氣象信息網(wǎng)絡(luò)在WPA模式下面臨的問題

2.1未經(jīng)授權(quán)接入問題

與有線網(wǎng)絡(luò)相比，無線網(wǎng)絡(luò)的安全性比較低，而且還不具備有效的物理防護措施，部分氣象工作者缺乏安全防護意識，進而導致氣象信息網(wǎng)絡(luò)的安全隱患大大增加。部分用戶未經(jīng)授權(quán)就直接連接到氣象無線網(wǎng)絡(luò)，一旦非授權(quán)用戶入侵無線網(wǎng)絡(luò)，將會使氣象業(yè)務網(wǎng)絡(luò)的速度明顯降低;部分未經(jīng)授權(quán)用戶在接入氣象網(wǎng)絡(luò)之后，隨意更改網(wǎng)絡(luò)登錄信息與安全設(shè)置等，進而導致氣象信息網(wǎng)絡(luò)管理者無法正常登錄;另外，還有氣象工作者使用u盤、光盤與移動硬盤等設(shè)備隨意傳輸氣象文件與觀測數(shù)據(jù)，在未經(jīng)檢測條件下，外部數(shù)據(jù)資料極有可能帶有黑客程序或病毒等，一旦其侵入氣象局域網(wǎng)當中，也極易導致氣象數(shù)據(jù)或信息泄漏或丟失，對氣象信息網(wǎng)絡(luò)與計算機安全性構(gòu)成嚴重威脅。

2.2面臨密鑰重裝攻擊問題

通常情況下，WPA在加密算法上并不存在漏洞，相對而言其安全體系較高。采用字典攻擊是當前唯一一種且最有效的破解密鑰的方法，但是隨著密鑰復雜程度的增加，這一攻擊破解難度也會明顯上升。但是破解密鑰并不會威脅到STA站點（連接到無線網(wǎng)絡(luò)中的終端設(shè)備）與AP（無線接入點）之間的信息傳輸。當前，密鑰重裝攻擊（KRACK）作為一種最新的攻擊手段，能夠嚴重威脅到STA與AP之間信息的安全性。重放攻擊指的是攻擊者使用竊聽或其他手段針對發(fā)送用戶名的密碼、聊天消息、重要傳輸信息等敏感數(shù)據(jù)等進行截取，并對其進行部分破解或重放攻擊，進而導致欺騙對方及竊取信息的目的（圖1）。例如，在氣象網(wǎng)絡(luò)系統(tǒng)當中，攻擊者采用重放攻擊進行身份驗證，待身份認證通過之后直接登錄氣象局內(nèi)部賬號進而盜取或泄漏其中的氣象信息或機密文件，對氣象信息的安全性構(gòu)成了嚴重威脅。

3氣象信息網(wǎng)絡(luò)在wPA模式下的主要安防措施

3.1做好病毒入侵檢測

病毒入侵檢測技術(shù)往往是在內(nèi)網(wǎng)安全與保護的基礎(chǔ)上設(shè)計出來的，通過對網(wǎng)絡(luò)進行檢測以判斷是否出現(xiàn)有異常侵入，以達到有效防御外界病毒入侵的目的。在采用該技術(shù)對病毒進行檢測時應當主要針對氣象部門業(yè)務計算機當中的操作記錄與日志信息等進行檢測，一旦發(fā)現(xiàn)存在有入侵計算機的危險因素，應當遵循“防患于未然”的原則對單位網(wǎng)絡(luò)安全進行保護。“網(wǎng)絡(luò)”與“主機”是病毒入侵檢測的主要對象，所以必須兼顧網(wǎng)絡(luò)與主機，對其進行全面檢測，這樣既可確保業(yè)務計算機的安全、正常運行，又能保證氣象信息的安全眭。

3.2設(shè)置訪問控制

設(shè)置有效的訪問控制與防護墻是最為常見的網(wǎng)絡(luò)安防技術(shù)。其中前者的主要作用在于確保網(wǎng)絡(luò)信息的安全性與合理性，盡可能營造良好的網(wǎng)絡(luò)環(huán)境，以防止不法分子使用非法手段對氣象信息等進行訪問與利用。就訪問控制權(quán)限而言，入網(wǎng)訪問是最基本的權(quán)限，指的是只有獲取相應的權(quán)限才能對服務器進行訪問，并有權(quán)對服務器當中的信息與資料進行查詢與使用，這一方式嚴格控制了合法用戶訪問網(wǎng)絡(luò)的入口與時間。氣象信息網(wǎng)管人員應當以實際工作需求為依據(jù)設(shè)置合理的入網(wǎng)訪問權(quán)限，并在其中專門制定某一個人或一部分人有權(quán)對業(yè)務計算機當中的部分目錄等進行操作，其他人員則無權(quán)對其進行訪問與操作。

另外，還應當設(shè)置屬性安全控制，主要是指網(wǎng)絡(luò)設(shè)備及服務器當中的文件、目錄等應當與特定的某個屬性保持一致，以保證不會隨意更改網(wǎng)絡(luò)軟件、服務器當中的文件、目錄等。用戶在對服務器中的文件、目錄等進行訪問時，相關(guān)網(wǎng)絡(luò)安全管理工作人員應當指定特定的屬性，以保證用戶能夠正常對文件進行查閱與使用，又不至于對其造成破壞，進而保證其中氣象信息的安全性。