蘭偉 魯小強(qiáng) 常曉磊

摘 要：介紹了無線局域網(wǎng)技術(shù)、網(wǎng)絡(luò)安全及傳統(tǒng)的網(wǎng)絡(luò)安全問題的解決方案，分析了基于WIFI的無縫定位技術(shù)，針對(duì)企業(yè)的無線局域網(wǎng)使用特點(diǎn)，提出了一種基于WIFI的無縫定位技術(shù)網(wǎng)絡(luò)安全問題解決方案及技術(shù)架構(gòu)。

關(guān)鍵詞：無線局域網(wǎng)；WIFI；全球定位系統(tǒng)；無縫定位；網(wǎng)絡(luò)安全

1 引言

針對(duì)無線局域網(wǎng)網(wǎng)絡(luò)安全的特點(diǎn)，文中提出了將基于WIFI的無縫定位技術(shù)用于網(wǎng)絡(luò)安全的解決方案，為企業(yè)級(jí)用戶解決無線局域網(wǎng)網(wǎng)絡(luò)安全問題提供一條新的技術(shù)路線。

2 無線局域網(wǎng)及其安全問題解決方案

2.1 WIFI網(wǎng)絡(luò)

隨著“無線城市”概念的提出，許多國(guó)家和地區(qū)都提出了WIFI網(wǎng)絡(luò)覆蓋計(jì)劃，并付諸實(shí)施。WIFI網(wǎng)絡(luò)覆蓋范圍的擴(kuò)展也促進(jìn)了集成WIFI接收模塊的終端的發(fā)展，逐漸成為各種終端如計(jì)算機(jī)、手機(jī)、相機(jī)甚至汽車的標(biāo)配。當(dāng)前移動(dòng)通信已進(jìn)入“3G”時(shí)代，移動(dòng)用戶對(duì)于數(shù)據(jù)上傳下載的需求急劇增長(zhǎng)，只依靠3G網(wǎng)絡(luò)無法承擔(dān)日益增長(zhǎng)的網(wǎng)絡(luò)載荷，而WIFI網(wǎng)絡(luò)具有低成本、無線、高速的特點(diǎn)，可以彌補(bǔ)3G網(wǎng)絡(luò)的不足，因此WIFI網(wǎng)絡(luò)在未來將有更加廣闊的應(yīng)用前景。

2.2 MESH網(wǎng)絡(luò)

無線MESH是一種非常適合于覆蓋大面積開放區(qū)域（包括室外和室內(nèi)）的無線區(qū)域網(wǎng)絡(luò)解決方案.無線MESH網(wǎng)的特點(diǎn)是：由包括一組呈網(wǎng)狀分布的無線AP構(gòu)成，AP均采用點(diǎn)對(duì)點(diǎn)方式通過無線中繼鏈路互聯(lián)，將傳統(tǒng)WLAN中的無線“熱點(diǎn)”擴(kuò)展為真正大面積覆蓋的無線“熱區(qū)”。終端目前的普及應(yīng)用為無線MESH的迅速推廣帶來好處。因此，WIFI和無線MESH網(wǎng)絡(luò)可以相互補(bǔ)充、相互融合。

2.3 無線局域網(wǎng)安全問題常用解決方案

無線局域網(wǎng)以無線信號(hào)作為傳輸媒介，由于無線信道的特殊性及公開性，任何人都能監(jiān)測(cè)到信號(hào)，甚至使用各種非法手段竊聽及盜取數(shù)據(jù)，給網(wǎng)絡(luò)安全帶來了巨大的挑戰(zhàn)。由于WIFI網(wǎng)安全領(lǐng)域存在重大隱患，WIFI網(wǎng)被禁止在國(guó)內(nèi)進(jìn)行大規(guī)模推廣，可見無線局域網(wǎng)存在安全問題已成為WLAN產(chǎn)業(yè)進(jìn)一步發(fā)展的最大阻力。

針對(duì)無線局域網(wǎng)存在的安全問題，IEEE802.11指定了多個(gè)安全機(jī)制來加強(qiáng)無線局域網(wǎng)的安全性（圖1是利用WPA方式構(gòu)建的安全系統(tǒng)結(jié)構(gòu)解決方案），相關(guān)安全標(biāo)準(zhǔn)已經(jīng)進(jìn)行實(shí)際應(yīng)用并推廣。目前無線局域網(wǎng)的安全機(jī)制主要有以下幾種。

（1）WEP安全機(jī)制。WEP機(jī)制是一種對(duì)稱密鑰加密算法，采用了RSA數(shù)據(jù)保密公司的RC4偽隨機(jī)數(shù)產(chǎn)生器。在WEP機(jī)制中，同一無線網(wǎng)絡(luò)的所有用戶和AP都是用相同的密鑰用于加密和解密，網(wǎng)絡(luò)中的每一個(gè)用戶和AP都存放密鑰。802.11標(biāo)準(zhǔn)沒有定義一種密鑰管理協(xié)議，所以WEP密鑰都必須通過手工來管理。但是WEP加密機(jī)制存在缺點(diǎn)，在數(shù)據(jù)機(jī)密性、完整性及訪問控制方面并沒有達(dá)到預(yù)期的安全水平，利用現(xiàn)在的腳本工具就能成功的攻入網(wǎng)絡(luò)并發(fā)現(xiàn)WEP密鑰，因此引入更高安全級(jí)別、更完善的安全機(jī)制成為必然趨勢(shì)。

（2）WPA安全機(jī)制。針對(duì)WEP的設(shè)計(jì)缺陷，為增強(qiáng)無線局域網(wǎng)安全性，WIFI聯(lián)盟提出了一種新的安全機(jī)制：WPA（WIFI聯(lián)盟受限接入）作為無線網(wǎng)絡(luò)安全的一個(gè)過渡機(jī)制。WPA使用臨時(shí)密鑰集成協(xié)議TKIP進(jìn)行數(shù)據(jù)加密，而認(rèn)證有兩種模式：一種是適用企業(yè)級(jí)用戶的802.1X協(xié)議，一種是適用于家庭的預(yù)先共享密鑰PSK。WAP有效地解決了WEP中加密算法密鑰過短、靜態(tài)密鑰和密鑰缺乏管理等問題，但是依然存在缺陷：它采用的加密算法還是RC4加密算法，很容易遭到黑客的暴力破解；802.1x也存在不足，對(duì)于合法的EAPOL_Start報(bào)文AP都會(huì)進(jìn)行處理，攻擊者只要發(fā)送大量EAPOL_Start報(bào)文就可以消耗AP的資源，使AP無法響應(yīng)新的EAPOL請(qǐng)求，達(dá)到癱瘓網(wǎng)絡(luò)的目的。WPA存在的這些缺陷決定了難以成為一個(gè)理想的安全機(jī)制。

（3）802.11i安全機(jī)制。802.11i是一種新型的無線局域網(wǎng)安全機(jī)制，它提出了一個(gè)全新的安全體系，采用了公認(rèn)最為成熟的AES加密算法，定義了而過渡安全網(wǎng)絡(luò)TSN，以802.1x作為認(rèn)證和密鑰管理方式、以TKIP和CCMP作為數(shù)據(jù)加密機(jī)制，改進(jìn)了原有安全機(jī)制存在的不足，具有很強(qiáng)的技術(shù)優(yōu)勢(shì)和應(yīng)用前景。

除以上三種常用的安全機(jī)制，還有其它的安全機(jī)制，如WAPI（無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)）安全機(jī)制、基于VPN（虛擬個(gè)人局域網(wǎng)）的安全機(jī)制等。雖然無線局域網(wǎng)網(wǎng)絡(luò)安全組織推出了各種安全體制來提升WLAN的安全性，但是依然無法滿足企業(yè)級(jí)用戶對(duì)安全性的要求，需要探索利用其它技術(shù)手段來建立新的安全機(jī)制。

3 基于WIFI的無縫定位技術(shù)

WIFI不僅可以提供無線接入及數(shù)據(jù)傳輸功能，還可以用于定位。WIFI網(wǎng)絡(luò)在不增加額外的硬件情況下，通過分析接入點(diǎn)相對(duì)于無線網(wǎng)絡(luò)設(shè)備信號(hào)強(qiáng)度或者信噪比來推斷目標(biāo)物體的位置?？蛻舳耸褂没蜻B接到一個(gè)接入點(diǎn)，此接入點(diǎn)提供最強(qiáng)的RSS信號(hào)。客戶端漫游，定期檢查信號(hào)強(qiáng)度，確定最佳的接入點(diǎn)。通過信號(hào)測(cè)量，可以得到客戶端的位置。基于WIFI的室內(nèi)定位方法主要有兩種：傳播模型法和位置指紋法。位置指紋法需要大量的訓(xùn)練，其定位精度與訓(xùn)練點(diǎn)的個(gè)數(shù)有關(guān)系。傳播模型法是利用信號(hào)在室內(nèi)的衰減規(guī)律，將接收到的信號(hào)強(qiáng)度轉(zhuǎn)換為距離，再由室內(nèi)定位算法得出用戶終端的位置。傳播模型法的優(yōu)點(diǎn)是不需要大量的訓(xùn)練，但其定位的準(zhǔn)確度依賴于傳播模型和定位算法?；赪IFI的定位技術(shù)具有覆蓋面廣，信息傳輸速度快，成本低特點(diǎn)，成為室內(nèi)定位的主要技術(shù)。

基于WIFI網(wǎng)的定位技術(shù)也存在諸多不足，當(dāng)WIFI網(wǎng)信號(hào)不穩(wěn)定，基于WIFI的定位技術(shù)精度就會(huì)比較低，在室外無WIFI信號(hào)或者信號(hào)微弱的時(shí)候不能提供定位服務(wù)，難以保證定位服務(wù)的時(shí)空連續(xù)性。因此WIFI常用來輔助GPS進(jìn)行定位與導(dǎo)航，為終端提供GPS無法實(shí)現(xiàn)的室內(nèi)定位功能。

4 無縫定位技術(shù)用于無線局域網(wǎng)網(wǎng)絡(luò)安全

基于WIFI網(wǎng)的無縫定位技術(shù)提供的連續(xù)位置服務(wù)功能，在方便用戶進(jìn)行定位與導(dǎo)航，也為實(shí)時(shí)監(jiān)測(cè)用戶的位置提供了可能性。只要用戶進(jìn)入WIFI網(wǎng)信號(hào)區(qū)域時(shí)，并連接到WIFI網(wǎng)絡(luò)之后，采用必要的技術(shù)手段獲取用戶的位置信息，就可以對(duì)用戶的訪問行為進(jìn)行實(shí)時(shí)監(jiān)控。如果配以必要的識(shí)別技術(shù)如RFID識(shí)別，在用戶進(jìn)入WIFI網(wǎng)時(shí)進(jìn)行身份識(shí)別。利用身份識(shí)別和位置監(jiān)測(cè)技術(shù)，可以形成一套基于位置信息的網(wǎng)絡(luò)安全解決方案，為無線網(wǎng)絡(luò)安全的監(jiān)管提供一條新的技術(shù)路線。

基于WIFI的無縫定位技術(shù)用于無線網(wǎng)絡(luò)安全基本思想就是根據(jù)用戶的位置信息限制無線局域網(wǎng)訪問權(quán)限，通過在無線局域網(wǎng)有效信號(hào)范圍構(gòu)建起“物理圍欄”以及在用戶周圍構(gòu)建起虛擬的“地理圍欄”，綜合了傳統(tǒng)的網(wǎng)絡(luò)安全和物理安全技術(shù)，有效的保護(hù)了無線網(wǎng)絡(luò)的安全。

4.1 物理圍欄

物理圍欄就是基于訪問用戶的授權(quán)建立的，主要應(yīng)用RFID技術(shù)，它可以對(duì)訪問用戶的身份進(jìn)行識(shí)別，當(dāng)用戶的身份符合要求時(shí)，就可以突破物理圍欄，獲取無線局域網(wǎng)的訪問權(quán)限，這就從源頭上降低了用戶非法訪問無線局域網(wǎng)網(wǎng)絡(luò)資源的可能性。

4.2 地理圍欄

用戶在突破物理圍欄進(jìn)入無線局域網(wǎng)后，還需要對(duì)用戶的行為進(jìn)行實(shí)時(shí)監(jiān)控，這依賴于在訪問用戶的終端周圍建立起的地理圍欄。

利用WIFI網(wǎng)絡(luò)與GPS定位技術(shù)的融合，可以獲取用戶的位置信息，并將其訪問行為限定在合法的訪問區(qū)域之內(nèi)，一旦用戶的訪問行為突破限定的訪問區(qū)域，可以采取斷網(wǎng)或者警告等手段來對(duì)用戶訪問進(jìn)行控制。

基于位置信息的安全技術(shù)和用戶移動(dòng)設(shè)備身份識(shí)別技術(shù)的綜合運(yùn)用，把網(wǎng)絡(luò)的防護(hù)和智能辨認(rèn)功能提升到更高的層次，地理圍欄可以創(chuàng)建一個(gè)伴隨每一個(gè)移動(dòng)設(shè)備移動(dòng)的客戶化的無形圍欄，使網(wǎng)絡(luò)管理員能夠確保每一個(gè)設(shè)備僅能訪問網(wǎng)絡(luò)上被授權(quán)的區(qū)域和資源。

5 結(jié)論

基于WIFI的無縫定位技術(shù)由于精度還比較低，需要進(jìn)一步提高定位精度，此時(shí)基于WIFI的無縫定位技術(shù)用于網(wǎng)絡(luò)安全才具有實(shí)用性。

基于位置信息的網(wǎng)絡(luò)安全技術(shù)作為一種新興的跨學(xué)科的安全防護(hù)技術(shù)還處于研究和應(yīng)用的初級(jí)階段，物理圍欄技術(shù)只是定位技術(shù)與網(wǎng)絡(luò)安全技術(shù)的簡(jiǎn)單結(jié)合。隨著研究的深入及無縫定位技術(shù)的發(fā)展，基于位置信息的網(wǎng)絡(luò)安全技術(shù)必將更為成熟和完善，其應(yīng)用領(lǐng)域也不再局限于無線局域網(wǎng)，將在更加廣泛的安全領(lǐng)域中發(fā)揮積極的作用。

[參考文獻(xiàn)]

[1]陳湉.定位技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域中的應(yīng)用[J].網(wǎng)絡(luò)技術(shù)，2010，（6）：15-17.

[2]吳雨航.WIFI網(wǎng)輔助GPS的無縫定位方法研究[D].北京：北京大學(xué)，2010：1-4.

[3]王娟，郭家奇，劉微.WIFI技術(shù)的深入探討與研究[J].價(jià)值工程，2011，（6）：1.

[4]李文龍.無線局域網(wǎng)安全研究[D].貴州：貴州大學(xué)，2008：17-23，34.