定位技术在网络安全领域中的应用
随着802.11n和Mesh技术的推出,无线局域网(WLAN)作为一种新兴的互联网宽带接入手段正在逐步改变人们传统的基于固定宽带的上网方式。摆脱了网线的束缚,人们可以通过笔记本电脑、上网本、智能手机等便携式的终端设备,在任何部署了无线局域网的场所连接到互联网,例如图书馆、商场、咖啡厅、餐厅等公共场所以及办公大楼等办公场所,极大地满足了广大用户需要随时随地上网的迫切需求。而集中式的无线局域网架构的应用极大地降低了成本并简化了无线系统管理、安全和升级等任务,使得无线局域网得到了迅速普及和快速发展。
无线局域网在终端和接入访问点(Access Piont)之间采取无线信道作为信息传输途径,较之传统的固定线路更为开放、便捷的同时,也为网络安全带来了新的挑战。原有的固定局域网的网络安全技术、策略和管理方式已经不能满足无线局域网新形势下对网络安全的需求。尤其是对于网络安全有较高需求的企业来说,如何在使用无线局域网改善办公条件的同时,能够有效阻止外界的非法访问、保护敏感信息等是当前企业关注的焦点。
虽然一些标准(如Wi-Fi WPA2和802.11i)能够提供全新水平的无线安全能力并得到了新的监视和入侵保护工具的支持,但是企业的焦点已经转向如何将传统的网络安全和物理安全相结合,形成一套基于位置信息的新型网络安全解决方案。帮助企业平衡在为自己的员工和访客提供移动上网服务的同时,提供对这种难以管理的自由性进行必要检查之间的矛盾。
例如,企业在自己的办公大楼内部署了无线局域网,方便员工办公,但是企业不希望处于办公大楼之外的人访问自己的无线局域网,以防备网络攻击、敏感信息窃取等安全隐患。再比如,企业因为办公需要为人力资源部门实现无线上网功能,但是需要限制除人力资源部门以外的无线访问,以阻止其他人访问部门内部的敏感资料,如员工信息、绩效考核信息等。
这就是基于位置信息的安全技术发挥作用的根本所在:基于用户的位置信息限制无线局域网访问权限。除增加了一层物理安全保护外,定位控制加*问权限控制还可以防止网络单元的过载(并且阻止“拒绝服务”的攻击),以及限制访客在哪里可以访问网络。
这种新的网络安全思路其实体现了一种“物理围栏”的概念,即基于访客的地理位置以及授权状态等因素,从而限制对网络访问的活动。这一理念在技术上并不难实现,只要将定位技术引入无线局域网即可实现。
用户的身份基于一种或多种ID(如RFID工牌/访客牌和移动Wi-Fi设备)来建立,同时采用定位技术来确定具体ID的位置,这样就实现了对用户适当的网络访问级别的设定。其基本的前提是围绕每一个移动设备和每名用户建立一个虚拟的访问围栏。它的工作原理是跟踪用户在楼内的行动情况,根据授权状态和是否在指定的允许区域,来认可或拒绝用户对网络资源的访问。
“物理围栏”还可以设定只有当ID卡(物理安全)符合提供给指定的用户和他的移动设备时,才能访问无线局域网和网络资源,这样极大地降低了某人使用其他用户的便携机或移动设备访问网上非授权信息的可能性。
“地理围栏”通过对访客位置进行跟踪,当他/她在会议室与公司其他员工在一起时允许其访问无线局域网,而离开会议室之后的访问则予以拒绝。同时,“地理围栏”还可以在访客离开允许区域后发出告警信息,并终止无线局域网访问。
基于位置信息的安全技术和用户、移动设备身份识别技术的综合运用,把网络的防护和智能辨认功能提升到更高的层次。“地理围栏”可以创建一个伴随每一个移动设备移动的客户化的无形围栏,使网络管理员能够确保每一个设备仅能访问网络上被授权的区域和资源。
4 室内定位技术的原理
实现基于位置信息的网络安全解决方案的关键在于获取位置信息,这就需要定位技术的帮助。“物理围栏”的应用场景大多位于室内,所以本文以无线传感器网络为例,简述室内定位技术的原理。
在无线传感器网络节点定位技术中,根据节点是否已知自身的位置,把传感器节点分为信标节点(Beacon Node)和未知节点(Unknown Node)。信标节点在网络节点中所占的比例很小,是未知节点定位的参考点。除了信标节点外,其他传感器节点就是未知节点,它们通过信标节点的位置信息,根据一定的定位算法计算出自身位置。
根据定位过程中是否测量实际节点间的距离,把定位算法分成基于距离的(Range-based)定位算法和距离无关的(Range-free)定位算法。主流的基于距离的定位算法包括极大似然估计法和圆形定位算法。它们的原理是未知节点通过测量接收信号强度(RSS)获得与信标节点之间的实际距离,再使用一定数学方法获得自身位置信息。
这其中的关键环节有两个:
(1)如何将接收信号强度转换为节点之间的距离。在基于距离的定位算法中,已知发射节点的发射信号强度,接收节点根据信号强度,计算出信号的传播损耗,利用理论和经验模型将传输损耗转化为距离。实际上这个理论和经验模型就是无线信道模型,它将接收信号强度与距离联系起来。例如,在自由空间衰落模型中,发射方和接收方之间的距离越远,接收信号强度越弱。目前,常用的信道模型包括Nakagami衰落模型、瑞利衰落模型、莱斯衰落模型以及对数正态阴影路径损耗模型。保证定位精确度的首要工作就是选择正确的信道模型。不同空间的信号衰落规律是不一样的,只有根据具体情况选择适当的信道模型,才能够使接收信号强度能够较为精确地转换为节点之间的距离,不至于引入过大的误差,降低定位精确度。
(2)关键环节在于定位算法所使用的数学方法至少需要3个信标节点的距离和位置信息才能够计算未知节点的位置。而且获得的信标节点的距离和位置信息越多,定位精确度越高。所以在系统部署的环节中,信标节点位置选择的标准是:能够保证在定位区域内的任何位置都可以接收到至少3个信标节点的信号。而由于建筑物内墙壁的阻挡会导致接收信号强度急剧下降,影响接收信号强度转换为实际距离的结果,所以最好能够保证在定位区域内的任何位置都可以接收到至少3个视距范围内信标节点的信号。
无线传感器网络定位技术的原理同样适用于其他基于无线信号的室内定位技术,例如Wi-Fi,蓝牙,RFID等。只是由于所使用的具体的物理层技术不同,在获得已知和未知节点间距离的方法上可能不近相同。通信距离上的差异、网络结构的不同也导致基于不同定位技术的定位系统在部署方面存在差异,但是其大致原理和所使用的定位算法还是相通的。
5 结束语
基于位置信息的网络安全技术作为一种新兴的、跨学科的安全防护技术还处于研究和应用的初级阶段。“物理围栏”技术只是定位技术与网络安全技术的简单结合。随着研究的深入,基于位置信息的网络安全技术必将更为成熟和完善,其应用领域也不再局限于无线局域网,而是将在更广泛的安全领域中发挥积极的作用。
评论