鲁霞 胡仲殊 何欢 刘帆

摘要：近些年来，随着互联网的广泛普及与应用，网络安全问题备受关注。据相关数据统计，截至2019年6月，我国手机网民数量已经达到8.72亿人，其中通过WIFI无线网络接入互联网的用户数量所占的比例高达90%以上。由此可见，WIFI已经发展成为网民上网的首选方式。就气象信息网络而言，其无线局域网多使用WPA模式接入。但是在使用过程中，WPA也存在着一定的漏洞导致气象信息往往会出现丢失或泄漏等现象，为气象信息的安全性构成了严重威胁。基于此，本文首先简述了WPA模式，后着重针对WPA模式下气象信息网络存在的安全隐患提出科学、有效的安防技术措施，以期能够为确保气象信息的安全性提供一定的借鉴与参考。

关键词：WPA;气象信息网络;漏洞;安防技术

引言

随着社会经济的快速发展，科学技术也突飞猛进，与此同时无线网络技术凭借其使用方便、操作便捷、成本低廉等优势在各行业领域得到广泛普及与应用。在无线网络覆盖的区域，人们能够随时随地的进行网络交互。但是无线网络在为人们生活带来巨大便捷的同时，在技术上也存在着一定程度的漏洞，使黑客等不法分子有了可乘之机，进而严重威胁着信息的安全性。为实现网络安全性的显著提升，Wi-Fi联盟积极探索出了性能更好的Wi-Fi保护接入协议，即WPA与WPA2，这一模式采用了更为复杂的加密算法以期能够安全控制无线网络的接入，但是在其使用过程中也并非万无一失，依然存在着很多对WPA/WPA2进行无线抓包离线暴力破解的工具，也对气象信息的安全性构成了严重威胁。因此，在WPA模式下积极探索科学、有效的安防技术方式非常重要，对于确保气象信息网络的安全运行，并保证气象信息的安全性等具有重要意义。

1WPA模式概述

1.1WPA简述

当前，无线局域网是以IEEE802.11标准为依据，其中Wi-Fi标准属于802.1l标准的一个子集，有线等效保密协议（WEP）与Wi-Fi保护访问（WPA）是其中两种比较著名的加密技术。其中前者属于早期版本已被淘汰，而WPA与WPA2在各大领域得到广泛应用。与WPA相比，尽管WPA2增加了AES-CCMP协议，但是两者在认证方式上均支持“预共享秘钥认证”算法，而且在攻击方法上也基本相同。

1.2 WPA的特点

WPA模式主要表现出以下几个特点：

（1）在TKIP当中Ⅳ的大小增加至48位;

（2）由Michael替代WEP加密当中的CRC校验与计算;Michael能够对64位MIC值进行计算，并使用TKIP进行加密，主要用于保证数据的完整性;

（3）Michael与TKIP主要使用主密钥及其他值派生的临时密钥。其中主密钥是由可扩展身份验证协议——传输层安全性或受保护的EAP802.1x身份验证当中派生出来的;通过数据包混合函数能够准确地计算出RC4PRNG当中的输入机密部分，而且该部分随着帧的改变而发生一定程度的变化;

（4）自动生成新的密钥及由此派生而来的新的临时密钥组;

（5）不需要重放保护TKIP，只需要使用Iv作为帧计数器以达到重放保护的目的。

1.3 WPA攻击技术

通常情况下，WPA认证攻击可以划分为加密的攻击与身份认证的攻击两大部分。其中前者仅仅只能够对传输的数据进行加（解）密，而攻击者无法以合法用户的身份参与到网络当中进行攻击，黑客往往不会选用这一方式进行攻击;而“对身份认证的攻击”是最为常见的WPA攻击手段，这一方式往往是直接攻击访问的无线网络，此时黑客也具备对通信数据进行加密或解密的功能，主要是由于已经破解了主密鑰，此时黑客完全能够以合法用户的身份渗入到网络当中。

2气象信息网络在WPA模式下面临的问题

2.1未经授权接入问题

与有线网络相比，无线网络的安全性比较低，而且还不具备有效的物理防护措施，部分气象工作者缺乏安全防护意识，进而导致气象信息网络的安全隐患大大增加。部分用户未经授权就直接连接到气象无线网络，一旦非授权用户入侵无线网络，将会使气象业务网络的速度明显降低;部分未经授权用户在接入气象网络之后，随意更改网络登录信息与安全设置等，进而导致气象信息网络管理者无法正常登录;另外，还有气象工作者使用u盘、光盘与移动硬盘等设备随意传输气象文件与观测数据，在未经检测条件下，外部数据资料极有可能带有黑客程序或病毒等，一旦其侵入气象局域网当中，也极易导致气象数据或信息泄漏或丢失，对气象信息网络与计算机安全性构成严重威胁。

2.2面临密钥重装攻击问题

通常情况下，WPA在加密算法上并不存在漏洞，相对而言其安全体系较高。采用字典攻击是当前唯一一种且最有效的破解密钥的方法，但是随着密钥复杂程度的增加，这一攻击破解难度也会明显上升。但是破解密钥并不会威胁到STA站点（连接到无线网络中的终端设备）与AP（无线接入点）之间的信息传输。当前，密钥重装攻击（KRACK）作为一种最新的攻击手段，能够严重威胁到STA与AP之间信息的安全性。重放攻击指的是攻击者使用窃听或其他手段针对发送用户名的密码、聊天消息、重要传输信息等敏感数据等进行截取，并对其进行部分破解或重放攻击，进而导致欺骗对方及窃取信息的目的（图1）。例如，在气象网络系统当中，攻击者采用重放攻击进行身份验证，待身份认证通过之后直接登录气象局内部账号进而盗取或泄漏其中的气象信息或机密文件，对气象信息的安全性构成了严重威胁。

3气象信息网络在wPA模式下的主要安防措施

3.1做好病毒入侵检测

病毒入侵检测技术往往是在内网安全与保护的基础上设计出来的，通过对网络进行检测以判断是否出现有异常侵入，以达到有效防御外界病毒入侵的目的。在采用该技术对病毒进行检测时应当主要针对气象部门业务计算机当中的操作记录与日志信息等进行检测，一旦发现存在有入侵计算机的危险因素，应当遵循“防患于未然”的原则对单位网络安全进行保护。“网络”与“主机”是病毒入侵检测的主要对象，所以必须兼顾网络与主机，对其进行全面检测，这样既可确保业务计算机的安全、正常运行，又能保证气象信息的安全眭。

3.2设置访问控制

设置有效的访问控制与防护墙是最为常见的网络安防技术。其中前者的主要作用在于确保网络信息的安全性与合理性，尽可能营造良好的网络环境，以防止不法分子使用非法手段对气象信息等进行访问与利用。就访问控制权限而言，入网访问是最基本的权限，指的是只有获取相应的权限才能对服务器进行访问，并有权对服务器当中的信息与资料进行查询与使用，这一方式严格控制了合法用户访问网络的入口与时间。气象信息网管人员应当以实际工作需求为依据设置合理的入网访问权限，并在其中专门制定某一个人或一部分人有权对业务计算机当中的部分目录等进行操作，其他人员则无权对其进行访问与操作。

另外，还应当设置属性安全控制，主要是指网络设备及服务器当中的文件、目录等应当与特定的某个属性保持一致，以保证不会随意更改网络软件、服务器当中的文件、目录等。用户在对服务器中的文件、目录等进行访问时，相关网络安全管理工作人员应当指定特定的属性，以保证用户能够正常对文件进行查阅与使用，又不至于对其造成破坏，进而保证其中气象信息的安全性。