3 定位技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

　　隨著802.11n和Mesh技術(shù)的推出，無線局域網(wǎng)（WLAN）作為一種新興的互聯(lián)網(wǎng)寬帶接入手段正在逐步改變?nèi)藗儌鹘y(tǒng)的基于固定寬帶的上網(wǎng)方式。擺脫了網(wǎng)線的束縛，人們可以通過筆記本電腦、上網(wǎng)本、智能手機(jī)等便攜式的終端設(shè)備，在任何部署了無線局域網(wǎng)的場(chǎng)所連接到互聯(lián)網(wǎng)，例如圖書館、商場(chǎng)、咖啡廳、餐廳等公共場(chǎng)所以及辦公大樓等辦公場(chǎng)所，極大地滿足了廣大用戶需要隨時(shí)隨地上網(wǎng)的迫切需求。而集中式的無線局域網(wǎng)架構(gòu)的應(yīng)用極大地降低了成本并簡化了無線系統(tǒng)管理、安全和升級(jí)等任務(wù)，使得無線局域網(wǎng)得到了迅速普及和快速發(fā)展。

　　無線局域網(wǎng)在終端和接入訪問點(diǎn)（Access Piont）之間采取無線信道作為信息傳輸途徑，較之傳統(tǒng)的固定線路更為開放、便捷的同時(shí)，也為網(wǎng)絡(luò)安全帶來了新的挑戰(zhàn)。原有的固定局域網(wǎng)的網(wǎng)絡(luò)安全技術(shù)、策略和管理方式已經(jīng)不能滿足無線局域網(wǎng)新形勢(shì)下對(duì)網(wǎng)絡(luò)安全的需求。尤其是對(duì)于網(wǎng)絡(luò)安全有較高需求的企業(yè)來說，如何在使用無線局域網(wǎng)改善辦公條件的同時(shí)，能夠有效阻止外界的非法訪問、保護(hù)敏感信息等是當(dāng)前企業(yè)關(guān)注的焦點(diǎn)。

　　雖然一些標(biāo)準(zhǔn)（如Wi-Fi WPA2和802.11i）能夠提供全新水平的無線安全能力并得到了新的監(jiān)視和入侵保護(hù)工具的支持，但是企業(yè)的焦點(diǎn)已經(jīng)轉(zhuǎn)向如何將傳統(tǒng)的網(wǎng)絡(luò)安全和物理安全相結(jié)合，形成一套基于位置信息的新型網(wǎng)絡(luò)安全解決方案。幫助企業(yè)平衡在為自己的員工和訪客提供移動(dòng)上網(wǎng)服務(wù)的同時(shí)，提供對(duì)這種難以管理的自由性進(jìn)行必要檢查之間的矛盾。

　　例如，企業(yè)在自己的辦公大樓內(nèi)部署了無線局域網(wǎng)，方便員工辦公，但是企業(yè)不希望處于辦公大樓之外的人訪問自己的無線局域網(wǎng)，以防備網(wǎng)絡(luò)攻擊、敏感信息竊取等安全隱患。再比如，企業(yè)因?yàn)檗k公需要為人力資源部門實(shí)現(xiàn)無線上網(wǎng)功能，但是需要限制除人力資源部門以外的無線訪問，以阻止其他人訪問部門內(nèi)部的敏感資料，如員工信息、績效考核信息等。

　　這就是基于位置信息的安全技術(shù)發(fā)揮作用的根本所在：基于用戶的位置信息限制無線局域網(wǎng)訪問權(quán)限。除增加了一層物理安全保護(hù)外，定位控制加*問權(quán)限控制還可以防止網(wǎng)絡(luò)單元的過載（并且阻止“拒絕服務(wù)”的攻擊），以及限制訪客在哪里可以訪問網(wǎng)絡(luò)。

　　這種新的網(wǎng)絡(luò)安全思路其實(shí)體現(xiàn)了一種“物理圍欄”的概念，即基于訪客的地理位置以及授權(quán)狀態(tài)等因素，從而限制對(duì)網(wǎng)絡(luò)訪問的活動(dòng)。這一理念在技術(shù)上并不難實(shí)現(xiàn)，只要將定位技術(shù)引入無線局域網(wǎng)即可實(shí)現(xiàn)。

　　用戶的身份基于一種或多種ID（如RFID工牌/訪客牌和移動(dòng)Wi-Fi設(shè)備）來建立，同時(shí)采用定位技術(shù)來確定具體ID的位置，這樣就實(shí)現(xiàn)了對(duì)用戶適當(dāng)?shù)木W(wǎng)絡(luò)訪問級(jí)別的設(shè)定。其基本的前提是圍繞每一個(gè)移動(dòng)設(shè)備和每名用戶建立一個(gè)虛擬的訪問圍欄。它的工作原理是跟蹤用戶在樓內(nèi)的行動(dòng)情況，根據(jù)授權(quán)狀態(tài)和是否在指定的允許區(qū)域，來認(rèn)可或拒絕用戶對(duì)網(wǎng)絡(luò)資源的訪問。

　　“物理圍欄”還可以設(shè)定只有當(dāng)ID卡（物理安全）符合提供給指定的用戶和他的移動(dòng)設(shè)備時(shí)，才能訪問無線局域網(wǎng)和網(wǎng)絡(luò)資源，這樣極大地降低了某人使用其他用戶的便攜機(jī)或移動(dòng)設(shè)備訪問網(wǎng)上非授權(quán)信息的可能性。

　　“地理圍欄”通過對(duì)訪客位置進(jìn)行跟蹤，當(dāng)他/她在會(huì)議室與公司其他員工在一起時(shí)允許其訪問無線局域網(wǎng)，而離開會(huì)議室之后的訪問則予以拒絕。同時(shí)，“地理圍欄”還可以在訪客離開允許區(qū)域后發(fā)出告警信息，并終止無線局域網(wǎng)訪問。

　　基于位置信息的安全技術(shù)和用戶、移動(dòng)設(shè)備身份識(shí)別技術(shù)的綜合運(yùn)用，把網(wǎng)絡(luò)的防護(hù)和智能辨認(rèn)功能提升到更高的層次。“地理圍欄”可以創(chuàng)建一個(gè)伴隨每一個(gè)移動(dòng)設(shè)備移動(dòng)的客戶化的無形圍欄，使網(wǎng)絡(luò)管理員能夠確保每一個(gè)設(shè)備僅能訪問網(wǎng)絡(luò)上被授權(quán)的區(qū)域和資源。

　　4 室內(nèi)定位技術(shù)的原理

　　實(shí)現(xiàn)基于位置信息的網(wǎng)絡(luò)安全解決方案的關(guān)鍵在于獲取位置信息，這就需要定位技術(shù)的幫助。“物理圍欄”的應(yīng)用場(chǎng)景大多位于室內(nèi)，所以本文以無線傳感器網(wǎng)絡(luò)為例，簡述室內(nèi)定位技術(shù)的原理。

　　在無線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)定位技術(shù)中，根據(jù)節(jié)點(diǎn)是否已知自身的位置，把傳感器節(jié)點(diǎn)分為信標(biāo)節(jié)點(diǎn)（Beacon Node）和未知節(jié)點(diǎn)（Unknown Node）。信標(biāo)節(jié)點(diǎn)在網(wǎng)絡(luò)節(jié)點(diǎn)中所占的比例很小，是未知節(jié)點(diǎn)定位的參考點(diǎn)。除了信標(biāo)節(jié)點(diǎn)外，其他傳感器節(jié)點(diǎn)就是未知節(jié)點(diǎn)，它們通過信標(biāo)節(jié)點(diǎn)的位置信息，根據(jù)一定的定位算法計(jì)算出自身位置。

　　根據(jù)定位過程中是否測(cè)量實(shí)際節(jié)點(diǎn)間的距離，把定位算法分成基于距離的（Range-based）定位算法和距離無關(guān)的（Range-free）定位算法。主流的基于距離的定位算法包括極大似然估計(jì)法和圓形定位算法。它們的原理是未知節(jié)點(diǎn)通過測(cè)量接收信號(hào)強(qiáng)度（RSS）獲得與信標(biāo)節(jié)點(diǎn)之間的實(shí)際距離，再使用一定數(shù)學(xué)方法獲得自身位置信息。

　　這其中的關(guān)鍵環(huán)節(jié)有兩個(gè)：

　　（1）如何將接收信號(hào)強(qiáng)度轉(zhuǎn)換為節(jié)點(diǎn)之間的距離。在基于距離的定位算法中，已知發(fā)射節(jié)點(diǎn)的發(fā)射信號(hào)強(qiáng)度，接收節(jié)點(diǎn)根據(jù)信號(hào)強(qiáng)度，計(jì)算出信號(hào)的傳播損耗，利用理論和經(jīng)驗(yàn)?zāi)Ｐ蛯鬏敁p耗轉(zhuǎn)化為距離。實(shí)際上這個(gè)理論和經(jīng)驗(yàn)?zāi)Ｐ途褪菬o線信道模型，它將接收信號(hào)強(qiáng)度與距離聯(lián)系起來。例如，在自由空間衰落模型中，發(fā)射方和接收方之間的距離越遠(yuǎn)，接收信號(hào)強(qiáng)度越弱。目前，常用的信道模型包括Nakagami衰落模型、瑞利衰落模型、萊斯衰落模型以及對(duì)數(shù)正態(tài)陰影路徑損耗模型。保證定位精確度的首要工作就是選擇正確的信道模型。不同空間的信號(hào)衰落規(guī)律是不一樣的，只有根據(jù)具體情況選擇適當(dāng)?shù)男诺滥Ｐ停拍軌蚴菇邮招盘?hào)強(qiáng)度能夠較為精確地轉(zhuǎn)換為節(jié)點(diǎn)之間的距離，不至于引入過大的誤差，降低定位精確度。

　　（2）關(guān)鍵環(huán)節(jié)在于定位算法所使用的數(shù)學(xué)方法至少需要3個(gè)信標(biāo)節(jié)點(diǎn)的距離和位置信息才能夠計(jì)算未知節(jié)點(diǎn)的位置。而且獲得的信標(biāo)節(jié)點(diǎn)的距離和位置信息越多，定位精確度越高。所以在系統(tǒng)部署的環(huán)節(jié)中，信標(biāo)節(jié)點(diǎn)位置選擇的標(biāo)準(zhǔn)是：能夠保證在定位區(qū)域內(nèi)的任何位置都可以接收到至少3個(gè)信標(biāo)節(jié)點(diǎn)的信號(hào)。而由于建筑物內(nèi)墻壁的阻擋會(huì)導(dǎo)致接收信號(hào)強(qiáng)度急劇下降，影響接收信號(hào)強(qiáng)度轉(zhuǎn)換為實(shí)際距離的結(jié)果，所以最好能夠保證在定位區(qū)域內(nèi)的任何位置都可以接收到至少3個(gè)視距范圍內(nèi)信標(biāo)節(jié)點(diǎn)的信號(hào)。

　　無線傳感器網(wǎng)絡(luò)定位技術(shù)的原理同樣適用于其他基于無線信號(hào)的室內(nèi)定位技術(shù)，例如Wi-Fi，藍(lán)牙，RFID等。只是由于所使用的具體的物理層技術(shù)不同，在獲得已知和未知節(jié)點(diǎn)間距離的方法上可能不近相同。通信距離上的差異、網(wǎng)絡(luò)結(jié)構(gòu)的不同也導(dǎo)致基于不同定位技術(shù)的定位系統(tǒng)在部署方面存在差異，但是其大致原理和所使用的定位算法還是相通的。

　　5 結(jié)束語

　　基于位置信息的網(wǎng)絡(luò)安全技術(shù)作為一種新興的、跨學(xué)科的安全防護(hù)技術(shù)還處于研究和應(yīng)用的初級(jí)階段。“物理圍欄”技術(shù)只是定位技術(shù)與網(wǎng)絡(luò)安全技術(shù)的簡單結(jié)合。隨著研究的深入，基于位置信息的網(wǎng)絡(luò)安全技術(shù)必將更為成熟和完善，其應(yīng)用領(lǐng)域也不再局限于無線局域網(wǎng)，而是將在更廣泛的安全領(lǐng)域中發(fā)揮積極的作用。