再灌水：无线网络可行性安全措施

无线网络可行性安全措施

陈爱平

关键词：无线网　安全性

　　无线技术本身，尤其是目前合适的局域网工具，提供了一些固有的特性，亦即在无域网络上附加的总体安全性。

一、跳频扩频无线技术

　　扩展频谱技术在50年前第一次被美国军方公开介绍，它用来进行保密传输。从一开始它就设计成抗噪音、干扰、阻塞和未授权控制。扩展频谱发送器用一个非常弱的功率，信号在一个很宽的频率范围内发射出去，与窄带射频相反，它将所有的能量集中到一个单一的频点。扩展频谱的实现方式有多种，最常用的两种是直接序列和跳频序列技术。
　　跳频方式来扩展信号在ISM频数中的2.400―2.483GHZ被分成79个分别不同的频道。传输采用一组随机序列(称为随机序列)的频点来发送，比如频道1，频道32，频道3，频道56等等。电台在一秒钟内切换着不同的频率，在每一个频率上发送一个固定的时间，接着继续使用该序列的下一个频道，当使用完该序列的所有频道时开始重复该序列。如果不知道在每一个频道上的停留时间(dwell)和它的跳频图案，对于一个企图非法加入的工作站来说是不可能接收和释译数据的。
　　使用不同的跳频图案，dwell时间，和/或者频道数可以允许两个距离很近的局域网同时存在，并且没有相互干扰和窃听数据的可能。

二、扩展服务集标识号(ESSID)的功能

　　对于任何一个可能存取Net接入点的适配器来说，(以Breeze产品为例)AP－10PR0.11首先决定如果这个适配器是否属于该网络，或扩展服务集。AP－10PR0.11判断适配器的32位高符的标识(ESSID)是否和它自己的相符。即使有另外一套Net产品，也没有人能够加入到网络或学习到跳频序列和定时。ESSID编程入SA－10PR0.11和SA－40PR0.11和AP－10PR0.11，并且在一个安装者密码的控制下，而且只能通过和设备的直接连接才能修改。
　　如果需要在一个网络上有分别的网段，比如财务部门和单位其它部门拥有不同的网段，那么你可以编写不同的ESSID。如果你需要支持移动用户和扩大带宽而连接多个AD－10PR0.11，那么它们的ESSID必须设置成一致而跳频序列应该不一样。所有这些设置都受AD－10PR0.11安装者定码的控制。
　　由于有了32位字符的ESSID和3位字符的跳频序列，您会发现对于那些试图经由局域网的无线网段进入局域网的人来讲，想推断出确切的ESSID和跳频序列有多么困难。

三、用户认证――口令控制措施

　　我们推荐在无线网的站点使用口令控制――当然未必要局限于无线网。诸如Novell Net Ware和Microsoft NT等网络操作系统和服务器提供了包括口令管理在内的内建各级完全服务。口令应处于严格的控制之下并经常予以变更。由于无线局域网的用户要包括移动用户，而移动用户倾向于把他们的笔记本电脑移来移去，因此，严格的口令策略等于增加了一个安全级别，它有助于确认网站是否正被合法的用户使用。

四、数据加密

　　假如某行业的数据要求极高的安全性，譬如说商用或军用网上的数据，那么我们应需要采取一些特殊的措施，最高级制的安全措施就是在网络上整体使用加密产品。当数据包中的数据在发送到局域网之前要用软件或硬件的方法进行加密。只有那些拥有正确密钥的站点才可以恢复，读取这些数据。
　　另外，全面的安全保障最好方法是加密，而目前许多网络操作系统具有加密能力，基于每个用户或服务点、价位较低的第三方加密产品均可胜任。像MCAFee Assicoate的Net Crypto或Captial Resources Snere等加密产品能够确保唯有授权用户可以进入网络读取数据，而每个用户应支付一定的费用。鉴于第三方加密软件开发商致力于加密事务，并可为用户提供最好的性能、质量服务和技术支持。

五、其他执行措施

　　无线局域网还有其他好的安全特性。例如AP－10PR0.11接入点会过滤那些对相关无线站点而言毫无用处的网络数据，这就意味着大部分有线网络数据根本不会以电波的形式发射出去。其次，无线网的节点和接入点有个与环境有关的转发范围限制，这个范围一般是几百英尺。这使得窃听者必须处于节点或接入点的附近。最后，无线用户具有流动性，他们可能在一次上网时间内由一个接入点移动至另一个接入点，与之对应，他们进行网络通信所使用的跳频序列也会发生变化，这使得窃听几乎毫无可能。□

陈爱平（武汉科技学院计算机系，武汉　430074）