蘭偉 魯小強 常曉磊

摘 要：介紹了無線局域網(wǎng)技術(shù)、網(wǎng)絡(luò)安全及傳統(tǒng)的網(wǎng)絡(luò)安全問題的解決方案，分析了基于WIFI的無縫定位技術(shù)，針對企業(yè)的無線局域網(wǎng)使用特點，提出了一種基于WIFI的無縫定位技術(shù)網(wǎng)絡(luò)安全問題解決方案及技術(shù)架構(gòu)。

關(guān)鍵詞：無線局域網(wǎng)；WIFI；全球定位系統(tǒng)；無縫定位；網(wǎng)絡(luò)安全

1 引言

針對無線局域網(wǎng)網(wǎng)絡(luò)安全的特點，文中提出了將基于WIFI的無縫定位技術(shù)用于網(wǎng)絡(luò)安全的解決方案，為企業(yè)級用戶解決無線局域網(wǎng)網(wǎng)絡(luò)安全問題提供一條新的技術(shù)路線。

2 無線局域網(wǎng)及其安全問題解決方案

2.1 WIFI網(wǎng)絡(luò)

隨著“無線城市”概念的提出，許多國家和地區(qū)都提出了WIFI網(wǎng)絡(luò)覆蓋計劃，并付諸實施。WIFI網(wǎng)絡(luò)覆蓋范圍的擴展也促進了集成WIFI接收模塊的終端的發(fā)展，逐漸成為各種終端如計算機、手機、相機甚至汽車的標(biāo)配。當(dāng)前移動通信已進入“3G”時代，移動用戶對于數(shù)據(jù)上傳下載的需求急劇增長，只依靠3G網(wǎng)絡(luò)無法承擔(dān)日益增長的網(wǎng)絡(luò)載荷，而WIFI網(wǎng)絡(luò)具有低成本、無線、高速的特點，可以彌補3G網(wǎng)絡(luò)的不足，因此WIFI網(wǎng)絡(luò)在未來將有更加廣闊的應(yīng)用前景。

2.2 MESH網(wǎng)絡(luò)

無線MESH是一種非常適合于覆蓋大面積開放區(qū)域（包括室外和室內(nèi)）的無線區(qū)域網(wǎng)絡(luò)解決方案.無線MESH網(wǎng)的特點是：由包括一組呈網(wǎng)狀分布的無線AP構(gòu)成，AP均采用點對點方式通過無線中繼鏈路互聯(lián)，將傳統(tǒng)WLAN中的無線“熱點”擴展為真正大面積覆蓋的無線“熱區(qū)”。終端目前的普及應(yīng)用為無線MESH的迅速推廣帶來好處。因此，WIFI和無線MESH網(wǎng)絡(luò)可以相互補充、相互融合。

2.3 無線局域網(wǎng)安全問題常用解決方案

無線局域網(wǎng)以無線信號作為傳輸媒介，由于無線信道的特殊性及公開性，任何人都能監(jiān)測到信號，甚至使用各種非法手段竊聽及盜取數(shù)據(jù)，給網(wǎng)絡(luò)安全帶來了巨大的挑戰(zhàn)。由于WIFI網(wǎng)安全領(lǐng)域存在重大隱患，WIFI網(wǎng)被禁止在國內(nèi)進行大規(guī)模推廣，可見無線局域網(wǎng)存在安全問題已成為WLAN產(chǎn)業(yè)進一步發(fā)展的最大阻力。

針對無線局域網(wǎng)存在的安全問題，IEEE802.11指定了多個安全機制來加強無線局域網(wǎng)的安全性（圖1是利用WPA方式構(gòu)建的安全系統(tǒng)結(jié)構(gòu)解決方案），相關(guān)安全標(biāo)準(zhǔn)已經(jīng)進行實際應(yīng)用并推廣。目前無線局域網(wǎng)的安全機制主要有以下幾種。

（1）WEP安全機制。WEP機制是一種對稱密鑰加密算法，采用了RSA數(shù)據(jù)保密公司的RC4偽隨機數(shù)產(chǎn)生器。在WEP機制中，同一無線網(wǎng)絡(luò)的所有用戶和AP都是用相同的密鑰用于加密和解密，網(wǎng)絡(luò)中的每一個用戶和AP都存放密鑰。802.11標(biāo)準(zhǔn)沒有定義一種密鑰管理協(xié)議，所以WEP密鑰都必須通過手工來管理。但是WEP加密機制存在缺點，在數(shù)據(jù)機密性、完整性及訪問控制方面并沒有達到預(yù)期的安全水平，利用現(xiàn)在的腳本工具就能成功的攻入網(wǎng)絡(luò)并發(fā)現(xiàn)WEP密鑰，因此引入更高安全級別、更完善的安全機制成為必然趨勢。

（2）WPA安全機制。針對WEP的設(shè)計缺陷，為增強無線局域網(wǎng)安全性，WIFI聯(lián)盟提出了一種新的安全機制：WPA（WIFI聯(lián)盟受限接入）作為無線網(wǎng)絡(luò)安全的一個過渡機制。WPA使用臨時密鑰集成協(xié)議TKIP進行數(shù)據(jù)加密，而認證有兩種模式：一種是適用企業(yè)級用戶的802.1X協(xié)議，一種是適用于家庭的預(yù)先共享密鑰PSK。WAP有效地解決了WEP中加密算法密鑰過短、靜態(tài)密鑰和密鑰缺乏管理等問題，但是依然存在缺陷：它采用的加密算法還是RC4加密算法，很容易遭到黑客的暴力破解；802.1x也存在不足，對于合法的EAPOL_Start報文AP都會進行處理，攻擊者只要發(fā)送大量EAPOL_Start報文就可以消耗AP的資源，使AP無法響應(yīng)新的EAPOL請求，達到癱瘓網(wǎng)絡(luò)的目的。WPA存在的這些缺陷決定了難以成為一個理想的安全機制。

（3）802.11i安全機制。802.11i是一種新型的無線局域網(wǎng)安全機制，它提出了一個全新的安全體系，采用了公認最為成熟的AES加密算法，定義了而過渡安全網(wǎng)絡(luò)TSN，以802.1x作為認證和密鑰管理方式、以TKIP和CCMP作為數(shù)據(jù)加密機制，改進了原有安全機制存在的不足，具有很強的技術(shù)優(yōu)勢和應(yīng)用前景。

除以上三種常用的安全機制，還有其它的安全機制，如WAPI（無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)）安全機制、基于VPN（虛擬個人局域網(wǎng)）的安全機制等。雖然無線局域網(wǎng)網(wǎng)絡(luò)安全組織推出了各種安全體制來提升WLAN的安全性，但是依然無法滿足企業(yè)級用戶對安全性的要求，需要探索利用其它技術(shù)手段來建立新的安全機制。

3 基于WIFI的無縫定位技術(shù)

WIFI不僅可以提供無線接入及數(shù)據(jù)傳輸功能，還可以用于定位。WIFI網(wǎng)絡(luò)在不增加額外的硬件情況下，通過分析接入點相對于無線網(wǎng)絡(luò)設(shè)備信號強度或者信噪比來推斷目標(biāo)物體的位置?？蛻舳耸褂没蜻B接到一個接入點，此接入點提供最強的RSS信號。客戶端漫游，定期檢查信號強度，確定最佳的接入點。通過信號測量，可以得到客戶端的位置?；赪IFI的室內(nèi)定位方法主要有兩種：傳播模型法和位置指紋法。位置指紋法需要大量的訓(xùn)練，其定位精度與訓(xùn)練點的個數(shù)有關(guān)系。傳播模型法是利用信號在室內(nèi)的衰減規(guī)律，將接收到的信號強度轉(zhuǎn)換為距離，再由室內(nèi)定位算法得出用戶終端的位置。傳播模型法的優(yōu)點是不需要大量的訓(xùn)練，但其定位的準(zhǔn)確度依賴于傳播模型和定位算法?；赪IFI的定位技術(shù)具有覆蓋面廣，信息傳輸速度快，成本低特點，成為室內(nèi)定位的主要技術(shù)。

基于WIFI網(wǎng)的定位技術(shù)也存在諸多不足，當(dāng)WIFI網(wǎng)信號不穩(wěn)定，基于WIFI的定位技術(shù)精度就會比較低，在室外無WIFI信號或者信號微弱的時候不能提供定位服務(wù)，難以保證定位服務(wù)的時空連續(xù)性。因此WIFI常用來輔助GPS進行定位與導(dǎo)航，為終端提供GPS無法實現(xiàn)的室內(nèi)定位功能。

4 無縫定位技術(shù)用于無線局域網(wǎng)網(wǎng)絡(luò)安全

基于WIFI網(wǎng)的無縫定位技術(shù)提供的連續(xù)位置服務(wù)功能，在方便用戶進行定位與導(dǎo)航，也為實時監(jiān)測用戶的位置提供了可能性。只要用戶進入WIFI網(wǎng)信號區(qū)域時，并連接到WIFI網(wǎng)絡(luò)之后，采用必要的技術(shù)手段獲取用戶的位置信息，就可以對用戶的訪問行為進行實時監(jiān)控。如果配以必要的識別技術(shù)如RFID識別，在用戶進入WIFI網(wǎng)時進行身份識別。利用身份識別和位置監(jiān)測技術(shù)，可以形成一套基于位置信息的網(wǎng)絡(luò)安全解決方案，為無線網(wǎng)絡(luò)安全的監(jiān)管提供一條新的技術(shù)路線。

基于WIFI的無縫定位技術(shù)用于無線網(wǎng)絡(luò)安全基本思想就是根據(jù)用戶的位置信息限制無線局域網(wǎng)訪問權(quán)限，通過在無線局域網(wǎng)有效信號范圍構(gòu)建起“物理圍欄”以及在用戶周圍構(gòu)建起虛擬的“地理圍欄”，綜合了傳統(tǒng)的網(wǎng)絡(luò)安全和物理安全技術(shù)，有效的保護了無線網(wǎng)絡(luò)的安全。

4.1 物理圍欄

物理圍欄就是基于訪問用戶的授權(quán)建立的，主要應(yīng)用RFID技術(shù)，它可以對訪問用戶的身份進行識別，當(dāng)用戶的身份符合要求時，就可以突破物理圍欄，獲取無線局域網(wǎng)的訪問權(quán)限，這就從源頭上降低了用戶非法訪問無線局域網(wǎng)網(wǎng)絡(luò)資源的可能性。

4.2 地理圍欄

用戶在突破物理圍欄進入無線局域網(wǎng)后，還需要對用戶的行為進行實時監(jiān)控，這依賴于在訪問用戶的終端周圍建立起的地理圍欄。

利用WIFI網(wǎng)絡(luò)與GPS定位技術(shù)的融合，可以獲取用戶的位置信息，并將其訪問行為限定在合法的訪問區(qū)域之內(nèi)，一旦用戶的訪問行為突破限定的訪問區(qū)域，可以采取斷網(wǎng)或者警告等手段來對用戶訪問進行控制。

基于位置信息的安全技術(shù)和用戶移動設(shè)備身份識別技術(shù)的綜合運用，把網(wǎng)絡(luò)的防護和智能辨認功能提升到更高的層次，地理圍欄可以創(chuàng)建一個伴隨每一個移動設(shè)備移動的客戶化的無形圍欄，使網(wǎng)絡(luò)管理員能夠確保每一個設(shè)備僅能訪問網(wǎng)絡(luò)上被授權(quán)的區(qū)域和資源。

5 結(jié)論

基于WIFI的無縫定位技術(shù)由于精度還比較低，需要進一步提高定位精度，此時基于WIFI的無縫定位技術(shù)用于網(wǎng)絡(luò)安全才具有實用性。

基于位置信息的網(wǎng)絡(luò)安全技術(shù)作為一種新興的跨學(xué)科的安全防護技術(shù)還處于研究和應(yīng)用的初級階段，物理圍欄技術(shù)只是定位技術(shù)與網(wǎng)絡(luò)安全技術(shù)的簡單結(jié)合。隨著研究的深入及無縫定位技術(shù)的發(fā)展，基于位置信息的網(wǎng)絡(luò)安全技術(shù)必將更為成熟和完善，其應(yīng)用領(lǐng)域也不再局限于無線局域網(wǎng)，將在更加廣泛的安全領(lǐng)域中發(fā)揮積極的作用。

[參考文獻]

[1]陳湉.定位技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域中的應(yīng)用[J].網(wǎng)絡(luò)技術(shù)，2010，（6）：15-17.

[2]吳雨航.WIFI網(wǎng)輔助GPS的無縫定位方法研究[D].北京：北京大學(xué)，2010：1-4.

[3]王娟，郭家奇，劉微.WIFI技術(shù)的深入探討與研究[J].價值工程，2011，（6）：1.

[4]李文龍.無線局域網(wǎng)安全研究[D].貴州：貴州大學(xué)，2008：17-23，34.