GPS定位技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域中的應(yīng)用
發(fā)布日期:: 2011/10/11 作者來(lái)源:: 安全資訊/衛(wèi)通達(dá)
從美國(guó)的GPS全球衛(wèi)星定位系統(tǒng)開(kāi)始,這項(xiàng)以位置信息為聚焦點(diǎn)的技術(shù)逐漸進(jìn)入了人們的視野,并受到了極大的重視,發(fā)展速度迅猛。定位技術(shù)不僅對(duì)國(guó)家安全、軍事發(fā)展有著戰(zhàn)略性的意義,而且通過(guò)與現(xiàn)有的商業(yè)應(yīng)用服務(wù)相結(jié)合,為廣大民眾提供了一種基于位置信息的新型現(xiàn)代服務(wù)模式,帶來(lái)了新鮮的用戶體驗(yàn),并逐步滲透到人們?nèi)粘I畹姆椒矫婷?,正在成為生活中不可缺少的一種服務(wù)。
近十年來(lái)互聯(lián)網(wǎng)的飛躍式發(fā)展,在引領(lǐng)了第三次信息產(chǎn)業(yè)革命的同時(shí),也帶來(lái)了諸多問(wèn)題和隱患,其中的信息安全和網(wǎng)絡(luò)安全問(wèn)題就是一個(gè)明顯例子。尤其是伴隨著移動(dòng)寬帶接入技術(shù)的普及和發(fā)展,無(wú)線寬帶網(wǎng)絡(luò)安全隱患更是讓政府相關(guān)監(jiān)管部門(mén)和企業(yè)感到憂心忡忡。在這樣的背景下,考慮無(wú)線寬帶網(wǎng)絡(luò)的自身特點(diǎn)和安全防護(hù)需求,定位技術(shù)與網(wǎng)絡(luò)安全技術(shù)相結(jié)合所產(chǎn)生的基于位置信息的安全防護(hù)技術(shù)應(yīng)運(yùn)而生,而且必將有著廣闊的發(fā)展空間和應(yīng)用前景。
2 定位技術(shù)
2.1 GPS定位技術(shù)
GPS系統(tǒng)可以說(shuō)是出現(xiàn)最早、發(fā)展最成熟、應(yīng)用最廣泛的定位技術(shù)。GPS的英文全名是“Navigation Satellite Timing Ranging / Global Position System,即衛(wèi)星測(cè)時(shí)測(cè)距導(dǎo)航/全球定位系統(tǒng)。美國(guó)從20世紀(jì)70年代開(kāi)始研制GPS系統(tǒng),這項(xiàng)歷時(shí)20年,耗資200億美元的系統(tǒng),于1994年建成。該系統(tǒng)由24顆位于太空的衛(wèi)星群提供位置信息服務(wù),這24顆衛(wèi)星均勻地分布在6個(gè)軌道面上,以11小時(shí)58分為周期環(huán)繞地球運(yùn)轉(zhuǎn),衛(wèi)星軌道面相對(duì)于地球赤道面的軌道傾角為55°。這種布局的目的是保證在全球任何地點(diǎn)、任何時(shí)刻至少可以觀測(cè)到4顆衛(wèi)星。
GPS系統(tǒng)是一套具有在海、陸、空全方位實(shí)時(shí)三維導(dǎo)航與定位能力的新一代衛(wèi)星導(dǎo)航與定位系統(tǒng),其定位誤差可以控制在10m。經(jīng)過(guò)十多年全球眾多專業(yè)部門(mén)的使用表明,GPS具有全天候、高精度、自動(dòng)化、高效益等顯著特點(diǎn)。如今,GPS客戶端接收器體積不斷縮小,客戶端的精確度越來(lái)越高,甚至已經(jīng)出現(xiàn)在一些高端手機(jī)、筆記本電腦等電子產(chǎn)品中。GPS客戶端的普及加速了GPS定位技術(shù)在商業(yè)領(lǐng)域中的應(yīng)用,在創(chuàng)造了巨大的商業(yè)利潤(rùn)的同時(shí),也在逐步改變著現(xiàn)代人類的生活方式。
2.2 移動(dòng)定位技術(shù)
美國(guó)通信委員會(huì)(FCC)在1996年通過(guò)了增強(qiáng)911法案(在1999年再次修訂),要求手機(jī)運(yùn)營(yíng)商必須知道每一部手機(jī)的地理位置(誤差控制在50~100m之內(nèi))。任何一部手機(jī)撥打美國(guó)緊急服務(wù)電話911,政府就要知道其位置,即使用戶自身不知道身在哪里。FCC的這一法案,極大地促進(jìn)了移動(dòng)定位技術(shù)及其相關(guān)服務(wù)業(yè)務(wù)研究的發(fā)展。
3G時(shí)代的到來(lái)又為移動(dòng)定位技術(shù)的發(fā)展開(kāi)啟了新的篇章。隨著數(shù)據(jù)傳輸能力的提高,終端多媒體能力的普及以及終端芯片中內(nèi)置GPS方案的出現(xiàn),針對(duì)移動(dòng)定位技術(shù)的限制越來(lái)越少。目前,全球范圍內(nèi)普遍使用的3G移動(dòng)定位技術(shù)主要有4種,分別是基于網(wǎng)絡(luò)的CELL-ID,TOA/TDOA定位技術(shù),基于終端的OTDOA定位技術(shù)以及網(wǎng)絡(luò)與終端混合的A-GPS定位技術(shù)。
移動(dòng)定位技術(shù)的飛速發(fā)展和全球移動(dòng)用戶數(shù)量的迅猛增長(zhǎng),也為基于用戶位置的移動(dòng)定位業(yè)務(wù)(Location Based Service,LBS)提供了前所未有的發(fā)展機(jī)遇和極其誘人的市場(chǎng)前景。
2.3 室內(nèi)定位技術(shù)
即使GPS系統(tǒng)和諸多移動(dòng)定位技術(shù)在室外定位應(yīng)用服務(wù)中取得了巨大成功,但是在復(fù)雜的室內(nèi)環(huán)境中,例如機(jī)場(chǎng)大廳、展廳、倉(cāng)庫(kù)、超市、圖書(shū)館、地下停車場(chǎng)、礦井等環(huán)境中,它們的表現(xiàn)就不太令人滿意了。以GPS系統(tǒng)為例,在室內(nèi)定位時(shí)經(jīng)常由于無(wú)法接受到衛(wèi)星信號(hào)而導(dǎo)致定位失敗或者定位誤差過(guò)大,致使系統(tǒng)不能正常使用。為了彌補(bǔ)室內(nèi)定位的空白,各種各樣新穎的室內(nèi)定位技術(shù)如雨后春筍般應(yīng)運(yùn)而生,這其中包括室內(nèi)GPS定位技術(shù)、室內(nèi)無(wú)線定位技術(shù)(Wi-Fi,藍(lán)牙,RFID,光跟蹤,超聲波,紅外線,超寬帶,無(wú)線傳感器等)以及計(jì)算機(jī)視覺(jué)定位技術(shù)等。
雖然室內(nèi)定位技術(shù)的商業(yè)應(yīng)用處于剛剛起步的階段,但是隨著技術(shù)不斷進(jìn)步和發(fā)展以及與已有的定位技術(shù)和商業(yè)服務(wù)相結(jié)合,必將能夠創(chuàng)造出新的市場(chǎng)和商機(jī),而與其相關(guān)的位置服務(wù)業(yè)務(wù)也必將深入人們的生活之中。
3 定位技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用
隨著802.11n和Mesh技術(shù)的推出,無(wú)線局域網(wǎng)(WLAN)作為一種新興的互聯(lián)網(wǎng)寬帶接入手段正在逐步改變?nèi)藗儌鹘y(tǒng)的基于固定寬帶的上網(wǎng)方式。擺脫了網(wǎng)線的束縛,人們可以通過(guò)筆記本電腦、上網(wǎng)本、智能手機(jī)等便攜式的終端設(shè)備,在任何部署了無(wú)線局域網(wǎng)的場(chǎng)所連接到互聯(lián)網(wǎng),例如圖書(shū)館、商場(chǎng)、咖啡廳、餐廳等公共場(chǎng)所以及辦公大樓等辦公場(chǎng)所,極大地滿足了廣大用戶需要隨時(shí)隨地上網(wǎng)的迫切需求。而集中式的無(wú)線局域網(wǎng)架構(gòu)的應(yīng)用極大地降低了成本并簡(jiǎn)化了無(wú)線系統(tǒng)管理、安全和升級(jí)等任務(wù),使得無(wú)線局域網(wǎng)得到了迅速普及和快速發(fā)展。
無(wú)線局域網(wǎng)在終端和接入訪問(wèn)點(diǎn)(Access Piont)之間采取無(wú)線信道作為信息傳輸途徑,較之傳統(tǒng)的固定線路更為開(kāi)放、便捷的同時(shí),也為網(wǎng)絡(luò)安全帶來(lái)了新的挑戰(zhàn)。原有的固定局域網(wǎng)的網(wǎng)絡(luò)安全技術(shù)、策略和管理方式已經(jīng)不能滿足無(wú)線局域網(wǎng)新形勢(shì)下對(duì)網(wǎng)絡(luò)安全的需求。尤其是對(duì)于網(wǎng)絡(luò)安全有較高需求的企業(yè)來(lái)說(shuō),如何在使用無(wú)線局域網(wǎng)改善辦公條件的同時(shí),能夠有效阻止外界的非法訪問(wèn)、保護(hù)敏感信息等是當(dāng)前企業(yè)關(guān)注的焦點(diǎn)。
雖然一些標(biāo)準(zhǔn)(如Wi-Fi WPA2和802.11i)能夠提供全新水平的無(wú)線安全能力并得到了新的監(jiān)視和入侵保護(hù)工具的支持,但是企業(yè)的焦點(diǎn)已經(jīng)轉(zhuǎn)向如何將傳統(tǒng)的網(wǎng)絡(luò)安全和物理安全相結(jié)合,形成一套基于位置信息的新型網(wǎng)絡(luò)安全解決方案。幫助企業(yè)平衡在為自己的員工和訪客提供移動(dòng)上網(wǎng)服務(wù)的同時(shí),提供對(duì)這種難以管理的自由性進(jìn)行必要檢查之間的矛盾。
例如,企業(yè)在自己的辦公大樓內(nèi)部署了無(wú)線局域網(wǎng),方便員工辦公,但是企業(yè)不希望處于辦公大樓之外的人訪問(wèn)自己的無(wú)線局域網(wǎng),以防備網(wǎng)絡(luò)攻擊、敏感信息竊取等安全隱患。再比如,企業(yè)因?yàn)檗k公需要為人力資源部門(mén)實(shí)現(xiàn)無(wú)線上網(wǎng)功能,但是需要限制除人力資源部門(mén)以外的無(wú)線訪問(wèn),以阻止其他人訪問(wèn)部門(mén)內(nèi)部的敏感資料,如員工信息、績(jī)效考核信息等。
這就是基于位置信息的安全技術(shù)發(fā)揮作用的根本所在:基于用戶的位置信息限制無(wú)線局域網(wǎng)訪問(wèn)權(quán)限。除增加了一層物理安全保護(hù)外,定位控制加*問(wèn)權(quán)限控制還可以防止網(wǎng)絡(luò)單元的過(guò)載(并且阻止“拒絕服務(wù)的攻擊),以及限制訪客在哪里可以訪問(wèn)網(wǎng)絡(luò)。
這種新的網(wǎng)絡(luò)安全思路其實(shí)體現(xiàn)了一種“物理圍欄的概念,即基于訪客的地理位置以及授權(quán)狀態(tài)等因素,從而限制對(duì)網(wǎng)絡(luò)訪問(wèn)的活動(dòng)。這一理念在技術(shù)上并不難實(shí)現(xiàn),只要將定位技術(shù)引入無(wú)線局域網(wǎng)即可實(shí)現(xiàn)。
用戶的身份基于一種或多種ID(如RFID工牌/訪客牌和移動(dòng)Wi-Fi設(shè)備)來(lái)建立,同時(shí)采用定位技術(shù)來(lái)確定具體ID的位置,這樣就實(shí)現(xiàn)了對(duì)用戶適當(dāng)?shù)木W(wǎng)絡(luò)訪問(wèn)級(jí)別的設(shè)定。其基本的前提是圍繞每一個(gè)移動(dòng)設(shè)備和每名用戶建立一個(gè)虛擬的訪問(wèn)圍欄。它的工作原理是跟蹤用戶在樓內(nèi)的行動(dòng)情況,根據(jù)授權(quán)狀態(tài)和是否在指定的允許區(qū)域,來(lái)認(rèn)可或拒絕用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。
“物理圍欄還可以設(shè)定只有當(dāng)ID卡(物理安全)符合提供給指定的用戶和他的移動(dòng)設(shè)備時(shí),才能訪問(wèn)無(wú)線局域網(wǎng)和網(wǎng)絡(luò)資源,這樣極大地降低了某人使用其他用戶的便攜機(jī)或移動(dòng)設(shè)備訪問(wèn)網(wǎng)上非授權(quán)信息的可能性。
“地理圍欄通過(guò)對(duì)訪客位置進(jìn)行跟蹤,當(dāng)他/她在會(huì)議室與公司其他員工在一起時(shí)允許其訪問(wèn)無(wú)線局域網(wǎng),而離開(kāi)會(huì)議室之后的訪問(wèn)則予以拒絕。同時(shí),“地理圍欄還可以在訪客離開(kāi)允許區(qū)域后發(fā)出告警信息,并終止無(wú)線局域網(wǎng)訪問(wèn)。
基于位置信息的安全技術(shù)和用戶、移動(dòng)設(shè)備身份識(shí)別技術(shù)的綜合運(yùn)用,把網(wǎng)絡(luò)的防護(hù)和智能辨認(rèn)功能提升到更高的層次?!暗乩韲鷻诳梢詣?chuàng)建一個(gè)伴隨每一個(gè)移動(dòng)設(shè)備移動(dòng)的客戶化的無(wú)形圍欄,使網(wǎng)絡(luò)管理員能夠確保每一個(gè)設(shè)備僅能訪問(wèn)網(wǎng)絡(luò)上被授權(quán)的區(qū)域和資源。
4 室內(nèi)定位技術(shù)的原理
實(shí)現(xiàn)基于位置信息的網(wǎng)絡(luò)安全解決方案的關(guān)鍵在于獲取位置信息,這就需要定位技術(shù)的幫助?!拔锢韲鷻诘膽?yīng)用場(chǎng)景大多位于室內(nèi),所以本文以無(wú)線傳感器網(wǎng)絡(luò)為例,簡(jiǎn)述室內(nèi)定位技術(shù)的原理。
在無(wú)線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)定位技術(shù)中,根據(jù)節(jié)點(diǎn)是否已知自身的位置,把傳感器節(jié)點(diǎn)分為信標(biāo)節(jié)點(diǎn)(Beacon Node)和未知節(jié)點(diǎn)(Unknown Node)。信標(biāo)節(jié)點(diǎn)在網(wǎng)絡(luò)節(jié)點(diǎn)中所占的比例很小,是未知節(jié)點(diǎn)定位的參考點(diǎn)。除了信標(biāo)節(jié)點(diǎn)外,其他傳感器節(jié)點(diǎn)就是未知節(jié)點(diǎn),它們通過(guò)信標(biāo)節(jié)點(diǎn)的位置信息,根據(jù)一定的定位算法計(jì)算出自身位置。
根據(jù)定位過(guò)程中是否測(cè)量實(shí)際節(jié)點(diǎn)間的距離,把定位算法分成基于距離的(Range-based)定位算法和距離無(wú)關(guān)的(Range-free)定位算法。主流的基于距離的定位算法包括極大似然估計(jì)法和圓形定位算法。它們的原理是未知節(jié)點(diǎn)通過(guò)測(cè)量接收信號(hào)強(qiáng)度(RSS)獲得與信標(biāo)節(jié)點(diǎn)之間的實(shí)際距離,再使用一定數(shù)學(xué)方法獲得自身位置信息。
整理:洪麓豐