定位技術在網絡安全領域中的應用

　　3 定位技術在網絡安全中的應用

　　隨著802.11n和Mesh技術的推出，無線局域網（WLAN）作為一種新興的互聯網寬帶接入手段正在逐步改變人們傳統的基于固定寬帶的上網方式。擺脫了網線的束縛，人們可以通過筆記本電腦、上網本、智能手機等便攜式的終端設備，在任何部署了無線局域網的場所連接到互聯網，例如圖書館、商場、咖啡廳、餐廳等公共場所以及辦公大樓等辦公場所，極大地滿足了廣大用戶需要隨時隨地上網的迫切需求。而集中式的無線局域網架構的應用極大地降低了成本并簡化了無線系統管理、安全和升級等任務，使得無線局域網得到了迅速普及和快速發展。

　　無線局域網在終端和接入訪問點（Access Piont）之間采取無線信道作為信息傳輸途徑，較之傳統的固定線路更為開放、便捷的同時，也為網絡安全帶來了新的挑戰。原有的固定局域網的網絡安全技術、策略和管理方式已經不能滿足無線局域網新形勢下對網絡安全的需求。尤其是對于網絡安全有較高需求的企業來說，如何在使用無線局域網改善辦公條件的同時，能夠有效阻止外界的非法訪問、保護敏感信息等是當前企業關注的焦點。

　　雖然一些標準（如Wi-Fi WPA2和802.11i）能夠提供全新水平的無線安全能力并得到了新的監視和入侵保護工具的支持，但是企業的焦點已經轉向如何將傳統的網絡安全和物理安全相結合，形成一套基于位置信息的新型網絡安全解決方案。幫助企業平衡在為自己的員工和訪客提供移動上網服務的同時，提供對這種難以管理的自由性進行必要檢查之間的矛盾。

　　例如，企業在自己的辦公大樓內部署了無線局域網，方便員工辦公，但是企業不希望處于辦公大樓之外的人訪問自己的無線局域網，以防備網絡攻擊、敏感信息竊取等安全隱患。再比如，企業因為辦公需要為人力資源部門實現無線上網功能，但是需要限制除人力資源部門以外的無線訪問，以阻止其他人訪問部門內部的敏感資料，如員工信息、績效考核信息等。

　　這就是基于位置信息的安全技術發揮作用的根本所在：基于用戶的位置信息限制無線局域網訪問權限。除增加了一層物理安全保護外，定位控制加*問權限控制還可以防止網絡單元的過載（并且阻止“拒絕服務”的攻擊），以及限制訪客在哪里可以訪問網絡。

　　這種新的網絡安全思路其實體現了一種“物理圍欄”的概念，即基于訪客的地理位置以及授權狀態等因素，從而限制對網絡訪問的活動。這一理念在技術上并不難實現，只要將定位技術引入無線局域網即可實現。

　　用戶的身份基于一種或多種ID（如RFID工牌/訪客牌和移動Wi-Fi設備）來建立，同時采用定位技術來確定具體ID的位置，這樣就實現了對用戶適當的網絡訪問級別的設定。其基本的前提是圍繞每一個移動設備和每名用戶建立一個虛擬的訪問圍欄。它的工作原理是跟蹤用戶在樓內的行動情況，根據授權狀態和是否在指定的允許區域，來認可或拒絕用戶對網絡資源的訪問。

　　“物理圍欄”還可以設定只有當ID卡（物理安全）符合提供給指定的用戶和他的移動設備時，才能訪問無線局域網和網絡資源，這樣極大地降低了某人使用其他用戶的便攜機或移動設備訪問網上非授權信息的可能性。

　　“地理圍欄”通過對訪客位置進行跟蹤，當他/她在會議室與公司其他員工在一起時允許其訪問無線局域網，而離開會議室之后的訪問則予以拒絕。同時，“地理圍欄”還可以在訪客離開允許區域后發出告警信息，并終止無線局域網訪問。

　　基于位置信息的安全技術和用戶、移動設備身份識別技術的綜合運用，把網絡的防護和智能辨認功能提升到更高的層次。“地理圍欄”可以創建一個伴隨每一個移動設備移動的客戶化的無形圍欄，使網絡管理員能夠確保每一個設備僅能訪問網絡上被授權的區域和資源。

　　4 室內定位技術的原理

　　實現基于位置信息的網絡安全解決方案的關鍵在于獲取位置信息，這就需要定位技術的幫助。“物理圍欄”的應用場景大多位于室內，所以本文以無線傳感器網絡為例，簡述室內定位技術的原理。

　　在無線傳感器網絡節點定位技術中，根據節點是否已知自身的位置，把傳感器節點分為信標節點（Beacon Node）和未知節點（Unknown Node）。信標節點在網絡節點中所占的比例很小，是未知節點定位的參考點。除了信標節點外，其他傳感器節點就是未知節點，它們通過信標節點的位置信息，根據一定的定位算法計算出自身位置。

　　根據定位過程中是否測量實際節點間的距離，把定位算法分成基于距離的（Range-based）定位算法和距離無關的（Range-free）定位算法。主流的基于距離的定位算法包括極大似然估計法和圓形定位算法。它們的原理是未知節點通過測量接收信號強度（RSS）獲得與信標節點之間的實際距離，再使用一定數學方法獲得自身位置信息。

　　這其中的關鍵環節有兩個：

　　（1）如何將接收信號強度轉換為節點之間的距離。在基于距離的定位算法中，已知發射節點的發射信號強度，接收節點根據信號強度，計算出信號的傳播損耗，利用理論和經驗模型將傳輸損耗轉化為距離。實際上這個理論和經驗模型就是無線信道模型，它將接收信號強度與距離聯系起來。例如，在自由空間衰落模型中，發射方和接收方之間的距離越遠，接收信號強度越弱。目前，常用的信道模型包括Nakagami衰落模型、瑞利衰落模型、萊斯衰落模型以及對數正態陰影路徑損耗模型。保證定位精確度的首要工作就是選擇正確的信道模型。不同空間的信號衰落規律是不一樣的，只有根據具體情況選擇適當的信道模型，才能夠使接收信號強度能夠較為精確地轉換為節點之間的距離，不至于引入過大的誤差，降低定位精確度。

　　（2）關鍵環節在于定位算法所使用的數學方法至少需要3個信標節點的距離和位置信息才能夠計算未知節點的位置。而且獲得的信標節點的距離和位置信息越多，定位精確度越高。所以在系統部署的環節中，信標節點位置選擇的標準是：能夠保證在定位區域內的任何位置都可以接收到至少3個信標節點的信號。而由于建筑物內墻壁的阻擋會導致接收信號強度急劇下降，影響接收信號強度轉換為實際距離的結果，所以最好能夠保證在定位區域內的任何位置都可以接收到至少3個視距范圍內信標節點的信號。

　　無線傳感器網絡定位技術的原理同樣適用于其他基于無線信號的室內定位技術，例如Wi-Fi，藍牙，RFID等。只是由于所使用的具體的物理層技術不同，在獲得已知和未知節點間距離的方法上可能不近相同。通信距離上的差異、網絡結構的不同也導致基于不同定位技術的定位系統在部署方面存在差異，但是其大致原理和所使用的定位算法還是相通的。

　　5 結束語

　　基于位置信息的網絡安全技術作為一種新興的、跨學科的安全防護技術還處于研究和應用的初級階段。“物理圍欄”技術只是定位技術與網絡安全技術的簡單結合。隨著研究的深入，基于位置信息的網絡安全技術必將更為成熟和完善，其應用領域也不再局限于無線局域網，而是將在更廣泛的安全領域中發揮積極的作用。