定位技術(shù)在信息網(wǎng)絡(luò )安全技術(shù)中的應用

1引言

　近十年來(lái)互聯(lián)網(wǎng)的飛躍式發(fā)展，在引領(lǐng)了第三次信息產(chǎn)業(yè)革命的同時(shí)，也帶來(lái)了諸多問(wèn)題和隱患，其中的信息安全和網(wǎng)絡(luò )安全問(wèn)題就是一個(gè)明顯例子。尤其是伴隨著(zhù)移動(dòng)寬帶接入技術(shù)的普及和發(fā)展，無(wú)線(xiàn)寬帶網(wǎng)絡(luò )安全隱患更是讓政府相關(guān)監管部門(mén)和企業(yè)感到憂(yōu)心忡忡。在這樣的背景下，考慮無(wú)線(xiàn)寬帶網(wǎng)絡(luò )的自身特點(diǎn)和安全防護需求，定位技術(shù)與網(wǎng)絡(luò )安全技術(shù)相結合所產(chǎn)生的基于位置信息的安全防護技術(shù)應運而生，而且必將有著(zhù)廣闊的發(fā)展空間和應用前景

　　2 定位技術(shù)

　　2.1 GPS定位技術(shù)

　　GPS系統可以說(shuō)是出現最早、發(fā)展最成熟、應用最廣泛的定位技術(shù)。GPS的英文全名是“Navigation Satellite Timing And Ranging / Global Position System”，即衛星測時(shí)測距導航/全球定位系統。美國從20世紀70年代開(kāi)始研制GPS系統，這項歷時(shí)20年，耗資200億美元的系統，于1994年建成。該系統由24顆位于太空的衛星群提供位置信息服務(wù)，這24顆衛星均勻地分布在6個(gè)軌道面上，以11小時(shí)58分為周期環(huán)繞地球運轉，衛星軌道面相對于地球赤道面的軌道傾角為55°。這種布局的目的是保證在全球任何地點(diǎn)、任何時(shí)刻至少可以觀(guān)測到4顆衛星。

　　GPS系統是一套具有在海、陸、空全方位實(shí)時(shí)三維導航與定位能力的新一代衛星導航與定位系統，其定位誤差可以控制在10m。經(jīng)過(guò)十多年全球眾多專(zhuān)業(yè)部門(mén)的使用表明，GPS具有全天候、高精度、自動(dòng)化、高效益等顯著(zhù)特點(diǎn)。如今，GPS客戶(hù)端接收器體積不斷縮小，客戶(hù)端的精確度越來(lái)越高，甚至已經(jīng)出現在一些高端手機、筆記本電腦等電子產(chǎn)品中。GPS客戶(hù)端的普及加速了GPS定位技術(shù)在商業(yè)領(lǐng)域中的應用，在創(chuàng )造了巨大的商業(yè)利潤的同時(shí)，也在逐步改變著(zhù)現代人類(lèi)的生活方式。

　　2.2 移動(dòng)定位技術(shù)

　　美國通信委員會(huì )（FCC）在1996年通過(guò)了增強911法案（在1999年再次修訂），要求手機運營(yíng)商必須知道每一部手機的地理位置（誤差控制在50~100m之內）。任何一部手機撥打美國緊急服務(wù)電話(huà)911，政府就要知道其位置，即使用戶(hù)自身不知道身在哪里。FCC的這一法案，極大地促進(jìn)了移動(dòng)定位技術(shù)及其相關(guān)服務(wù)業(yè)務(wù)研究的發(fā)展。

　　3G時(shí)代的到來(lái)又為移動(dòng)定位技術(shù)的發(fā)展開(kāi)啟了新的篇章。隨著(zhù)數據傳輸能力的提高，終端多媒體能力的普及以及終端芯片中內置GPS方案的出現，針對移動(dòng)定位技術(shù)的限制越來(lái)越少。目前，全球范圍內普遍使用的3G移動(dòng)定位技術(shù)主要有4種，分別是基于網(wǎng)絡(luò )的CELL-ID，TOA/TDOA定位技術(shù)，基于終端的OTDOA定位技術(shù)以及網(wǎng)絡(luò )與終端混合的A-GPS定位技術(shù)。

　　移動(dòng)定位技術(shù)的飛速發(fā)展和全球移動(dòng)用戶(hù)數量的迅猛增長(cháng)，也為基于用戶(hù)位置的移動(dòng)定位業(yè)務(wù)（Location Based Service，LBS）提供了前所未有的發(fā)展機遇和極其誘人的市場(chǎng)前景。

　　2.3 室內定位技術(shù)

　　即使GPS系統和諸多移動(dòng)定位技術(shù)在室外定位應用服務(wù)中取得了巨大成功，但是在復雜的室內環(huán)境中，例如機場(chǎng)大廳、展廳、倉庫、超市、圖書(shū)館、地下停車(chē)場(chǎng)、礦井等環(huán)境中，它們的表現就不太令人滿(mǎn)意了。以GPS系統為例，在室內定位時(shí)經(jīng)常由于無(wú)法接受到衛星信號而導致定位失敗或者定位誤差過(guò)大，致使系統不能正常使用。為了彌補室內定位的空白，各種各樣新穎的室內定位技術(shù)如雨后春筍般應運而生，這其中包括室內GPS定位技術(shù)、室內無(wú)線(xiàn)定位技術(shù)（Wi-Fi，藍牙，RFID，光跟蹤，超聲波，紅外線(xiàn)，超寬帶，無(wú)線(xiàn)傳感器等）以及計算機視覺(jué)定位技術(shù)等。

　　雖然室內定位技術(shù)的商業(yè)應用處于剛剛起步的階段，但是隨著(zhù)技術(shù)不斷進(jìn)步和發(fā)展以及與已有的定位技術(shù)和商業(yè)服務(wù)相結合，必將能夠創(chuàng )造出新的市場(chǎng)和商機，而與其相關(guān)的位置服務(wù)業(yè)務(wù)也必將深入人們的生活之中。

　　3 定位技術(shù)在網(wǎng)絡(luò )安全中的應用

　　隨著(zhù)802.11n和Mesh技術(shù)的推出，無(wú)線(xiàn)局域網(wǎng)（WLAN）作為一種新興的互聯(lián)網(wǎng)寬帶接入手段正在逐步改變人們傳統的基于固定寬帶的上網(wǎng)方式。擺脫了網(wǎng)線(xiàn)的束縛，人們可以通過(guò)筆記本電腦、上網(wǎng)本、智能手機等便攜式的終端設備，在任何部署了無(wú)線(xiàn)局域網(wǎng)的場(chǎng)所連接到互聯(lián)網(wǎng)，例如圖書(shū)館、商場(chǎng)、咖啡廳、餐廳等公共場(chǎng)所以及辦公大樓等辦公場(chǎng)所，極大地滿(mǎn)足了廣大用戶(hù)需要隨時(shí)隨地上網(wǎng)的迫切需求。而集中式的無(wú)線(xiàn)局域網(wǎng)架構的應用極大地降低了成本并簡(jiǎn)化了無(wú)線(xiàn)系統管理、安全和升級等任務(wù)，使得無(wú)線(xiàn)局域網(wǎng)得到了迅速普及和快速發(fā)展。

　　無(wú)線(xiàn)局域網(wǎng)在終端和接入訪(fǎng)問(wèn)點(diǎn)（Access Piont）之間采取無(wú)線(xiàn)信道作為信息傳輸途徑，較之傳統的固定線(xiàn)路更為開(kāi)放、便捷的同時(shí)，也為網(wǎng)絡(luò )安全帶來(lái)了新的挑戰。原有的固定局域網(wǎng)的網(wǎng)絡(luò )安全技術(shù)、策略和管理方式已經(jīng)不能滿(mǎn)足無(wú)線(xiàn)局域網(wǎng)新形勢下對網(wǎng)絡(luò )安全的需求。尤其是對于網(wǎng)絡(luò )安全有較高需求的企業(yè)來(lái)說(shuō)，如何在使用無(wú)線(xiàn)局域網(wǎng)改善辦公條件的同時(shí)，能夠有效阻止外界的非法訪(fǎng)問(wèn)、保護敏感信息等是當前企業(yè)關(guān)注的焦點(diǎn)。

　　雖然一些標準（如Wi-Fi WPA2和802.11i）能夠提供全新水平的無(wú)線(xiàn)安全能力并得到了新的監視和入侵保護工具的支持，但是企業(yè)的焦點(diǎn)已經(jīng)轉向如何將傳統的網(wǎng)絡(luò )安全和物理安全相結合，形成一套基于位置信息的新型網(wǎng)絡(luò )安全解決方案。幫助企業(yè)平衡在為自己的員工和訪(fǎng)客提供移動(dòng)上網(wǎng)服務(wù)的同時(shí)，提供對這種難以管理的自由性進(jìn)行必要檢查之間的矛盾。

　　例如，企業(yè)在自己的辦公大樓內部署了無(wú)線(xiàn)局域網(wǎng)，方便員工辦公，但是企業(yè)不希望處于辦公大樓之外的人訪(fǎng)問(wèn)自己的無(wú)線(xiàn)局域網(wǎng)，以防備網(wǎng)絡(luò )攻擊、敏感信息竊取等安全隱患。再比如，企業(yè)因為辦公需要為人力資源部門(mén)實(shí)現無(wú)線(xiàn)上網(wǎng)功能，但是需要限制除人力資源部門(mén)以外的無(wú)線(xiàn)訪(fǎng)問(wèn)，以阻止其他人訪(fǎng)問(wèn)部門(mén)內部的敏感資料，如員工信息、績(jì)效考核信息等。

　　這就是基于位置信息的安全技術(shù)發(fā)揮作用的根本所在：基于用戶(hù)的位置信息限制無(wú)線(xiàn)局域網(wǎng)訪(fǎng)問(wèn)權限。除增加了一層物理安全保護外，定位控制加*問(wèn)權限控制還可以防止網(wǎng)絡(luò )單元的過(guò)載（并且阻止“拒絕服務(wù)”的攻擊），以及限制訪(fǎng)客在哪里可以訪(fǎng)問(wèn)網(wǎng)絡(luò )。

　　這種新的網(wǎng)絡(luò )安全思路其實(shí)體現了一種“物理圍欄”的概念，即基于訪(fǎng)客的地理位置以及授權狀態(tài)等因素，從而限制對網(wǎng)絡(luò )訪(fǎng)問(wèn)的活動(dòng)。這一理念在技術(shù)上并不難實(shí)現，只要將定位技術(shù)引入無(wú)線(xiàn)局域網(wǎng)即可實(shí)現。

　　用戶(hù)的身份基于一種或多種ID（如RFID工牌/訪(fǎng)客牌和移動(dòng)Wi-Fi設備）來(lái)建立，同時(shí)采用定位技術(shù)來(lái)確定具體ID的位置，這樣就實(shí)現了對用戶(hù)適當的網(wǎng)絡(luò )訪(fǎng)問(wèn)級別的設定。其基本的前提是圍繞每一個(gè)移動(dòng)設備和每名用戶(hù)建立一個(gè)虛擬的訪(fǎng)問(wèn)圍欄。它的工作原理是跟蹤用戶(hù)在樓內的行動(dòng)情況，根據授權狀態(tài)和是否在指定的允許區域，來(lái)認可或拒絕用戶(hù)對網(wǎng)絡(luò )資源的訪(fǎng)問(wèn)。

　　“物理圍欄”還可以設定只有當ID卡（物理安全）符合提供給指定的用戶(hù)和他的移動(dòng)設備時(shí)，才能訪(fǎng)問(wèn)無(wú)線(xiàn)局域網(wǎng)和網(wǎng)絡(luò )資源，這樣極大地降低了某人使用其他用戶(hù)的便攜機或移動(dòng)設備訪(fǎng)問(wèn)網(wǎng)上非授權信息的可能性。

　　“地理圍欄”通過(guò)對訪(fǎng)客位置進(jìn)行跟蹤，當他/她在會(huì )議室與公司其他員工在一起時(shí)允許其訪(fǎng)問(wèn)無(wú)線(xiàn)局域網(wǎng)，而離開(kāi)會(huì )議室之后的訪(fǎng)問(wèn)則予以拒絕。同時(shí)，“地理圍欄”還可以在訪(fǎng)客離開(kāi)允許區域后發(fā)出告警信息，并終止無(wú)線(xiàn)局域網(wǎng)訪(fǎng)問(wèn)。

　　基于位置信息的安全技術(shù)和用戶(hù)、移動(dòng)設備身份識別技術(shù)的綜合運用，把網(wǎng)絡(luò )的防護和智能辨認功能提升到更高的層次。“地理圍欄”可以創(chuàng )建一個(gè)伴隨每一個(gè)移動(dòng)設備移動(dòng)的客戶(hù)化的無(wú)形圍欄，使網(wǎng)絡(luò )管理員能夠確保每一個(gè)設備僅能訪(fǎng)問(wèn)網(wǎng)絡(luò )上被授權的區域和資源。

　　4 室內定位技術(shù)的原理

　　實(shí)現基于位置信息的網(wǎng)絡(luò )安全解決方案的關(guān)鍵在于獲取位置信息，這就需要定位技術(shù)的幫助。“物理圍欄”的應用場(chǎng)景大多位于室內，所以本文以無(wú)線(xiàn)傳感器網(wǎng)絡(luò )為例，簡(jiǎn)述室內定位技術(shù)的原理。

　　在無(wú)線(xiàn)傳感器網(wǎng)絡(luò )節點(diǎn)定位技術(shù)中，根據節點(diǎn)是否已知自身的位置，把傳感器節點(diǎn)分為信標節點(diǎn)（Beacon Node）和未知節點(diǎn)（Unknown Node）。信標節點(diǎn)在網(wǎng)絡(luò )節點(diǎn)中所占的比例很小，是未知節點(diǎn)定位的參考點(diǎn)。除了信標節點(diǎn)外，其他傳感器節點(diǎn)就是未知節點(diǎn)，它們通過(guò)信標節點(diǎn)的位置信息，根據一定的定位算法計算出自身位置。

　　根據定位過(guò)程中是否測量實(shí)際節點(diǎn)間的距離，把定位算法分成基于距離的（Range-based）定位算法和距離無(wú)關(guān)的（Range-free）定位算法。主流的基于距離的定位算法包括極大似然估計法和圓形定位算法。它們的原理是未知節點(diǎn)通過(guò)測量接收信號強度（RSS）獲得與信標節點(diǎn)之間的實(shí)際距離，再使用一定數學(xué)方法獲得自身位置信息。

　　這其中的關(guān)鍵環(huán)節有兩個(gè)：

　?。?）如何將接收信號強度轉換為節點(diǎn)之間的距離。在基于距離的定位算法中，已知發(fā)射節點(diǎn)的發(fā)射信號強度，接收節點(diǎn)根據信號強度，計算出信號的傳播損耗，利用理論和經(jīng)驗模型將傳輸損耗轉化為距離。實(shí)際上這個(gè)理論和經(jīng)驗模型就是無(wú)線(xiàn)信道模型，它將接收信號強度與距離聯(lián)系起來(lái)。例如，在自由空間衰落模型中，發(fā)射方和接收方之間的距離越遠，接收信號強度越弱。目前，常用的信道模型包括Nakagami衰落模型、瑞利衰落模型、萊斯衰落模型以及對數正態(tài)陰影路徑損耗模型。保證定位精確度的首要工作就是選擇正確的信道模型。不同空間的信號衰落規律是不一樣的，只有根據具體情況選擇適當的信道模型，才能夠使接收信號強度能夠較為精確地轉換為節點(diǎn)之間的距離，不至于引入過(guò)大的誤差，降低定位精確度。

　?。?）關(guān)鍵環(huán)節在于定位算法所使用的數學(xué)方法至少需要3個(gè)信標節點(diǎn)的距離和位置信息才能夠計算未知節點(diǎn)的位置。而且獲得的信標節點(diǎn)的距離和位置信息越多，定位精確度越高。所以在系統部署的環(huán)節中，信標節點(diǎn)位置選擇的標準是：能夠保證在定位區域內的任何位置都可以接收到至少3個(gè)信標節點(diǎn)的信號。而由于建筑物內墻壁的阻擋會(huì )導致接收信號強度急劇下降，影響接收信號強度轉換為實(shí)際距離的結果，所以最好能夠保證在定位區域內的任何位置都可以接收到至少3個(gè)視距范圍內信標節點(diǎn)的信號。

　　無(wú)線(xiàn)傳感器網(wǎng)絡(luò )定位技術(shù)的原理同樣適用于其他基于無(wú)線(xiàn)信號的室內定位技術(shù)，例如Wi-Fi，藍牙，RFID等。只是由于所使用的具體的物理層技術(shù)不同，在獲得已知和未知節點(diǎn)間距離的方法上可能不近相同。通信距離上的差異、網(wǎng)絡(luò )結構的不同也導致基于不同定位技術(shù)的定位系統在部署方面存在差異，但是其大致原理和所使用的定位算法還是相通的。

　　5 結束語(yǔ)

　　基于位置信息的網(wǎng)絡(luò )安全技術(shù)作為一種新興的、跨學(xué)科的安全防護技術(shù)還處于研究和應用的初級階段。“物理圍欄”技術(shù)只是定位技術(shù)與網(wǎng)絡(luò )安全技術(shù)的簡(jiǎn)單結合。隨著(zhù)研究的深入，基于位置信息的網(wǎng)絡(luò )安全技術(shù)必將更為成熟和完善，其應用領(lǐng)域也不再局限于無(wú)線(xiàn)局域網(wǎng)，而是將在更廣泛的安全領(lǐng)域中發(fā)揮積極作用。