多重定位技術(shù)極增強無線網(wǎng)絡(luò)的安全性

時間：2007-12-26 13:20:00

關(guān)鍵字：無線網(wǎng)絡(luò) 定位技術(shù) 無線局域網(wǎng) 移動設(shè)備

手機看文章

掃描二維碼
隨時隨地手機看文章

[導(dǎo)讀]企業(yè)為無線網(wǎng)絡(luò)添加物理安全并非易事。通過內(nèi)置RFID芯片的員工胸卡和Wi-Fi移動設(shè)備，并結(jié)合一定的位置算法，可以確定用戶身份，允許其擁有相應(yīng)級別的網(wǎng)絡(luò)訪問權(quán)，此舉為無線網(wǎng)絡(luò)增加了安全性。隨著802.11n和網(wǎng)狀網(wǎng)技

企業(yè)為無線網(wǎng)絡(luò)添加物理安全并非易事。

通過內(nèi)置RFID芯片的員工胸卡和Wi-Fi移動設(shè)備，并結(jié)合一定的位置算法，可以確定用戶身份，允許其擁有相應(yīng)級別的網(wǎng)絡(luò)訪問權(quán)，此舉為無線網(wǎng)絡(luò)增加了安全性。

隨著802.11n和網(wǎng)狀網(wǎng)技術(shù)的出現(xiàn)，無線網(wǎng)絡(luò)開始真正成為有線局域網(wǎng)之外的另一種選擇。不過Wi-Fi想漸成氣候，就必須提供級別更高的安全性和可靠性。它采用了哪些措施來預(yù)防未授權(quán)訪問？網(wǎng)絡(luò)管理員如何防范“看不見”的威脅呢？

雖然Wi-Fi受WPA2和802.11i等標(biāo)準影響提供了新的無線安全級別，并且得到了新的監(jiān)控及入侵防護工具的支持，但許多企業(yè)對綜合IT安全和物理安全的防御措施日益產(chǎn)生了興趣。不過，企業(yè)為無線網(wǎng)絡(luò)添加物理安全并非易事。企業(yè)如何做到既為員工提供足夠的移動性又能對這種無線自由進行必要的控制呢，這是一對矛盾體。

企業(yè)可能不放心讓員工在無線局域網(wǎng)覆蓋的任何地方都能訪問人力資源、財務(wù)或者新產(chǎn)品文檔方面的敏感信息，所以對訪問身份和地點要進行限制。在財務(wù)部門提供移動功能，要限制財務(wù)部門以外的員工無線訪問財務(wù)信息，防止敏感材料被泄露。這時候，基于位置的安全就可以派上用場: 根據(jù)某人身份，限制誰可以或不可以訪問無線局域網(wǎng)。定位控制結(jié)合訪問權(quán)限不但可以添加另一層安全，還可以防止網(wǎng)絡(luò)段負荷過大(以及防止拒絕服務(wù)攻擊)，并且限制訪客在指定地點訪問無線局域網(wǎng)。

如今主要的無線局域網(wǎng)交換機能夠利用無線接入點收集來的數(shù)據(jù)，分析出筆記本電腦或者移動設(shè)備的位置。這種所謂的“定位”服務(wù)可用來跟蹤整個企業(yè)里面的資產(chǎn)。比如在醫(yī)院，它們用來確定醫(yī)生和輸血及手術(shù)器材的位置。同樣的，這項技術(shù)用于安全方面，能夠通過“地理圍欄”(geo-fencing)的方式起到更大的作用。“地理圍欄”這個術(shù)語主要指根據(jù)移動員工或者訪客的地理位置和授權(quán)狀況，限制他們對網(wǎng)絡(luò)的訪問。

這種“地理圍欄”的工作方式如下: 無線交換機“跟蹤”用戶在大樓內(nèi)的行蹤，根據(jù)用戶的授權(quán)狀況以及對方是否在許可的指定區(qū)域，允許或者拒絕對方訪問網(wǎng)絡(luò)上的資源。它還確保只有當(dāng)指定的用戶及其移動設(shè)備出示了身份卡，才可以訪問無線局域網(wǎng)和有線網(wǎng)絡(luò)的資源。

例如: 無線交換機能夠監(jiān)控訪客，如果訪客與公司其他員工在一起，那么可以授權(quán)他們訪問會議室里面的無線局域網(wǎng); 但如果訪客離開會議室， “地理圍欄”技術(shù)就會發(fā)出警報，終止無線局域網(wǎng)訪問權(quán)。

如果企業(yè)使用RFID標(biāo)簽和閱讀器，那么只要用戶通過RFID閱讀器，就能夠被記錄下來，用于一般的資產(chǎn)跟蹤。不過，最準確的位置信息需要借助Wi-Fi三角測量(Wi-Fi triangulation)這種方法來獲得。企業(yè)使用無線局域網(wǎng)接入點以及支持定位功能的無線交換機，只要測量所傳輸數(shù)據(jù)包的信號強度，或者利用來自三個或者更多接入點的信標(biāo)來ping(一種網(wǎng)絡(luò)命令)連接設(shè)備，就能跟蹤網(wǎng)絡(luò)上的每一個移動設(shè)備。

因為大多數(shù)企業(yè)的無線局域網(wǎng)被配置成確保應(yīng)用擁有最佳吞吐率，因而接入點的覆蓋區(qū)域通常存在大批重疊現(xiàn)象。這意味著，在任何一個位置，移動設(shè)備有可能連接到某個接入點，但它仍能看到并且連接到附近的接入點。需要三個接入點才能使用Wi-Fi三角測量術(shù)準確測出移動設(shè)備在大樓中的方位。這種方法可以把移動設(shè)備的位置精度控制在3到5米內(nèi)，準確性超過90%。

有些企業(yè)結(jié)合Wi-Fi、RFID及其他新興技術(shù)來獲得更詳細的位置信息。這項技術(shù)名為復(fù)合技術(shù)(compounding)?；厩疤崾?，無線交換機能夠分析兩組數(shù)據(jù)(Wi-Fi和RFID)，為網(wǎng)絡(luò)上每個移動設(shè)備和用戶描繪出更準確的位置信息。

結(jié)合IT安全、身份卡等物理安全工具，以及通過無線局域網(wǎng)實時監(jiān)控移動設(shè)備的功能，為網(wǎng)絡(luò)另外增添了一道防御的屏障。地理圍欄設(shè)起了一道定制、隱形的圍欄，可以隨著每個移動設(shè)備一起移動，從而向網(wǎng)絡(luò)管理員保證: 每個設(shè)備只能訪問網(wǎng)絡(luò)上的授權(quán)區(qū)域和資源。