蘭偉 魯小強 常曉磊

摘 要：介紹了無線局域網技術、網絡安全及傳統的網絡安全問題的解決方案，分析了基于WIFI的無縫定位技術，針對企業(yè)的無線局域網使用特點，提出了一種基于WIFI的無縫定位技術網絡安全問題解決方案及技術架構。

關鍵詞：無線局域網；WIFI；全球定位系統；無縫定位；網絡安全

1 引言

針對無線局域網網絡安全的特點，文中提出了將基于WIFI的無縫定位技術用于網絡安全的解決方案，為企業(yè)級用戶解決無線局域網網絡安全問題提供一條新的技術路線。

2 無線局域網及其安全問題解決方案

2.1 WIFI網絡

隨著“無線城市”概念的提出，許多國家和地區(qū)都提出了WIFI網絡覆蓋計劃，并付諸實施。WIFI網絡覆蓋范圍的擴展也促進了集成WIFI接收模塊的終端的發(fā)展，逐漸成為各種終端如計算機、手機、相機甚至汽車的標配。當前移動通信已進入“3G”時代，移動用戶對于數據上傳下載的需求急劇增長，只依靠3G網絡無法承擔日益增長的網絡載荷，而WIFI網絡具有低成本、無線、高速的特點，可以彌補3G網絡的不足，因此WIFI網絡在未來將有更加廣闊的應用前景。

2.2 MESH網絡

無線MESH是一種非常適合于覆蓋大面積開放區(qū)域（包括室外和室內）的無線區(qū)域網絡解決方案.無線MESH網的特點是：由包括一組呈網狀分布的無線AP構成，AP均采用點對點方式通過無線中繼鏈路互聯，將傳統WLAN中的無線“熱點”擴展為真正大面積覆蓋的無線“熱區(qū)”。終端目前的普及應用為無線MESH的迅速推廣帶來好處。因此，WIFI和無線MESH網絡可以相互補充、相互融合。

2.3 無線局域網安全問題常用解決方案

無線局域網以無線信號作為傳輸媒介，由于無線信道的特殊性及公開性，任何人都能監(jiān)測到信號，甚至使用各種非法手段竊聽及盜取數據，給網絡安全帶來了巨大的挑戰(zhàn)。由于WIFI網安全領域存在重大隱患，WIFI網被禁止在國內進行大規(guī)模推廣，可見無線局域網存在安全問題已成為WLAN產業(yè)進一步發(fā)展的最大阻力。

針對無線局域網存在的安全問題，IEEE802.11指定了多個安全機制來加強無線局域網的安全性（圖1是利用WPA方式構建的安全系統結構解決方案），相關安全標準已經進行實際應用并推廣。目前無線局域網的安全機制主要有以下幾種。

（1）WEP安全機制。WEP機制是一種對稱密鑰加密算法，采用了RSA數據保密公司的RC4偽隨機數產生器。在WEP機制中，同一無線網絡的所有用戶和AP都是用相同的密鑰用于加密和解密，網絡中的每一個用戶和AP都存放密鑰。802.11標準沒有定義一種密鑰管理協議，所以WEP密鑰都必須通過手工來管理。但是WEP加密機制存在缺點，在數據機密性、完整性及訪問控制方面并沒有達到預期的安全水平，利用現在的腳本工具就能成功的攻入網絡并發(fā)現WEP密鑰，因此引入更高安全級別、更完善的安全機制成為必然趨勢。

（2）WPA安全機制。針對WEP的設計缺陷，為增強無線局域網安全性，WIFI聯盟提出了一種新的安全機制：WPA（WIFI聯盟受限接入）作為無線網絡安全的一個過渡機制。WPA使用臨時密鑰集成協議TKIP進行數據加密，而認證有兩種模式：一種是適用企業(yè)級用戶的802.1X協議，一種是適用于家庭的預先共享密鑰PSK。WAP有效地解決了WEP中加密算法密鑰過短、靜態(tài)密鑰和密鑰缺乏管理等問題，但是依然存在缺陷：它采用的加密算法還是RC4加密算法，很容易遭到黑客的暴力破解；802.1x也存在不足，對于合法的EAPOL_Start報文AP都會進行處理，攻擊者只要發(fā)送大量EAPOL_Start報文就可以消耗AP的資源，使AP無法響應新的EAPOL請求，達到癱瘓網絡的目的。WPA存在的這些缺陷決定了難以成為一個理想的安全機制。

（3）802.11i安全機制。802.11i是一種新型的無線局域網安全機制，它提出了一個全新的安全體系，采用了公認最為成熟的AES加密算法，定義了而過渡安全網絡TSN，以802.1x作為認證和密鑰管理方式、以TKIP和CCMP作為數據加密機制，改進了原有安全機制存在的不足，具有很強的技術優(yōu)勢和應用前景。

除以上三種常用的安全機制，還有其它的安全機制，如WAPI（無線局域網鑒別和保密基礎結構）安全機制、基于VPN（虛擬個人局域網）的安全機制等。雖然無線局域網網絡安全組織推出了各種安全體制來提升WLAN的安全性，但是依然無法滿足企業(yè)級用戶對安全性的要求，需要探索利用其它技術手段來建立新的安全機制。

3 基于WIFI的無縫定位技術

WIFI不僅可以提供無線接入及數據傳輸功能，還可以用于定位。WIFI網絡在不增加額外的硬件情況下，通過分析接入點相對于無線網絡設備信號強度或者信噪比來推斷目標物體的位置?？蛻舳耸褂没蜻B接到一個接入點，此接入點提供最強的RSS信號。客戶端漫游，定期檢查信號強度，確定最佳的接入點。通過信號測量，可以得到客戶端的位置?；赪IFI的室內定位方法主要有兩種：傳播模型法和位置指紋法。位置指紋法需要大量的訓練，其定位精度與訓練點的個數有關系。傳播模型法是利用信號在室內的衰減規(guī)律，將接收到的信號強度轉換為距離，再由室內定位算法得出用戶終端的位置。傳播模型法的優(yōu)點是不需要大量的訓練，但其定位的準確度依賴于傳播模型和定位算法?；赪IFI的定位技術具有覆蓋面廣，信息傳輸速度快，成本低特點，成為室內定位的主要技術。

基于WIFI網的定位技術也存在諸多不足，當WIFI網信號不穩(wěn)定，基于WIFI的定位技術精度就會比較低，在室外無WIFI信號或者信號微弱的時候不能提供定位服務，難以保證定位服務的時空連續(xù)性。因此WIFI常用來輔助GPS進行定位與導航，為終端提供GPS無法實現的室內定位功能。

4 無縫定位技術用于無線局域網網絡安全

基于WIFI網的無縫定位技術提供的連續(xù)位置服務功能，在方便用戶進行定位與導航，也為實時監(jiān)測用戶的位置提供了可能性。只要用戶進入WIFI網信號區(qū)域時，并連接到WIFI網絡之后，采用必要的技術手段獲取用戶的位置信息，就可以對用戶的訪問行為進行實時監(jiān)控。如果配以必要的識別技術如RFID識別，在用戶進入WIFI網時進行身份識別。利用身份識別和位置監(jiān)測技術，可以形成一套基于位置信息的網絡安全解決方案，為無線網絡安全的監(jiān)管提供一條新的技術路線。

基于WIFI的無縫定位技術用于無線網絡安全基本思想就是根據用戶的位置信息限制無線局域網訪問權限，通過在無線局域網有效信號范圍構建起“物理圍欄”以及在用戶周圍構建起虛擬的“地理圍欄”，綜合了傳統的網絡安全和物理安全技術，有效的保護了無線網絡的安全。

4.1 物理圍欄

物理圍欄就是基于訪問用戶的授權建立的，主要應用RFID技術，它可以對訪問用戶的身份進行識別，當用戶的身份符合要求時，就可以突破物理圍欄，獲取無線局域網的訪問權限，這就從源頭上降低了用戶非法訪問無線局域網網絡資源的可能性。

4.2 地理圍欄

用戶在突破物理圍欄進入無線局域網后，還需要對用戶的行為進行實時監(jiān)控，這依賴于在訪問用戶的終端周圍建立起的地理圍欄。

利用WIFI網絡與GPS定位技術的融合，可以獲取用戶的位置信息，并將其訪問行為限定在合法的訪問區(qū)域之內，一旦用戶的訪問行為突破限定的訪問區(qū)域，可以采取斷網或者警告等手段來對用戶訪問進行控制。

基于位置信息的安全技術和用戶移動設備身份識別技術的綜合運用，把網絡的防護和智能辨認功能提升到更高的層次，地理圍欄可以創(chuàng)建一個伴隨每一個移動設備移動的客戶化的無形圍欄，使網絡管理員能夠確保每一個設備僅能訪問網絡上被授權的區(qū)域和資源。

5 結論

基于WIFI的無縫定位技術由于精度還比較低，需要進一步提高定位精度，此時基于WIFI的無縫定位技術用于網絡安全才具有實用性。

基于位置信息的網絡安全技術作為一種新興的跨學科的安全防護技術還處于研究和應用的初級階段，物理圍欄技術只是定位技術與網絡安全技術的簡單結合。隨著研究的深入及無縫定位技術的發(fā)展，基于位置信息的網絡安全技術必將更為成熟和完善，其應用領域也不再局限于無線局域網，將在更加廣泛的安全領域中發(fā)揮積極的作用。

[參考文獻]

[1]陳湉.定位技術在網絡安全領域中的應用[J].網絡技術，2010，（6）：15-17.

[2]吳雨航.WIFI網輔助GPS的無縫定位方法研究[D].北京：北京大學，2010：1-4.

[3]王娟，郭家奇，劉微.WIFI技術的深入探討與研究[J].價值工程，2011，（6）：1.

[4]李文龍.無線局域網安全研究[D].貴州：貴州大學，2008：17-23，34.