详情
多重定位技术极增强无线网络的安全性
作者:计世网
时间:2007-12-26 10:48:54
通过内置RFID芯片的员工胸卡和Wi-Fi移动设备,并结合一定的位置算法,可以确定用户身份,允许其拥有相应级别的网络访问权,此举为无线网络增加了安全性。

  通过内置RFID芯片的员工胸卡和Wi-Fi移动设备,并结合一定的位置算法,可以确定用户身份,允许其拥有相应级别的网络访问权,此举为无线网

 
络增加了安全性。

随着802.11n和网状网技术的出现,无线网络开始真正成为有线局域网之外的另一种选择。不过Wi-Fi想渐成气候,就必须提供级别更高的安全性和可靠性。它采用了哪些措施来预防未授权访问?网络管理员如何防范“看不见”的威胁呢?

虽然Wi-Fi受WPA2和802.11i等标准影响提供了新的无线安全级别,并且得到了新的监控及入侵防护工具的支持,但许多企业对综合IT安全和物理安全的防御措施日益产生了兴趣。 不过,企业为无线网络添加物理安全并非易事。企业如何做到既为员工提供足够的移动性又能对这种无线自由进行必要的控制呢,这是一对矛盾体。

企业可能不放心让员工在无线局域网覆盖的任何地方都能访问人力资源、财务或者新产品文档方面的敏感信息,所以对访问身份和地点要进行限制。在财务部门提供移动功能,要限制财务部门以外的员工无线访问财务信息,防止敏感材料被泄露。这时候,基于位置的安全就可以派上用场: 根据某人身份,限制谁可以或不可以访问无线局域网。定位控制结合访问权限不但可以添加另一层安全,还可以防止网络段负荷过大(以及防止拒绝服务攻击),并且限制访客在指定地点访问无线局域网。

如今主要的无线局域网交换机能够利用无线接入点收集来的数据,分析出笔记本电脑或者移动设备的位置。这种所谓的“定位”服务可用来跟踪整个企业里面的资产。比如在医院,它们用来确定医生和输血及手术器材的位置。同样的,这项技术用于安全方面,能够通过“地理围栏”(geo-fencing)的方式起到更大的作用。“地理围栏”这个术语主要指根据移动员工或者访客的地理位置和授权状况,限制他们对网络的访问。

这种“地理围栏”的工作方式如下: 无线交换机“跟踪”用户在大楼内的行踪,根据用户的授权状况以及对方是否在许可的指定区域,允许或者拒绝对方访问网络上的资源。它还确保只有当指定的用户及其移动设备出示了身份卡,才可以访问无线局域网和有线网络的资源。

例如: 无线交换机能够监控访客,如果访客与公司其他员工在一起,那么可以授权他们访问会议室里面的无线局域网; 但如果访客离开会议室, “地理围栏”技术就会发出警报,终止无线局域网访问权。

如果企业使用RFID标签和阅读器,那么只要用户通过RFID阅读器,就能够被记录下来,用于一般的资产跟踪。不过,最准确的位置信息需要借助Wi-Fi三角测量(Wi-Fi triangulation)这种方法来获得。企业使用无线局域网接入点以及支持定位功能的无线交换机,只要测量所传输数据包的信号强度,或者利用来自三个或者更多接入点的信标来ping(一种网络命令)连接设备,就能跟踪网络上的每一个移动设备。

因为大多数企业的无线局域网被配置成确保应用拥有最佳吞吐率,因而接入点的覆盖区域通常存在大批重叠现象。这意味着,在任何一个位置,移动设备有可能连接到某个接入点,但它仍能看到并且连接到附近的接入点。需要三个接入点才能使用Wi-Fi三角测量术准确测出移动设备在大楼中的方位。这种方法可以把移动设备的位置精度控制在3到5米内,准确性超过90%。

有些企业结合Wi-Fi、RFID及其他新兴技术来获得更详细的位置信息。这项技术名为复合技术(compounding)。基本前提是,无线交换机能够分析两组数据(Wi-Fi和RFID),为网络上每个移动设备和用户描绘出更准确的位置信息。

结合IT安全、身份卡等物理安全工具,以及通过无线局域网实时监控移动设备的功能,为网络另外增添了一道防御的屏障。地理围栏设起了一道定制、隐形的围栏,可以随着每个移动设备一起移动,从而向网络管理员保证: 每个设备只能访问网络上的授权区域和资源。(庄道军 编译)

上一篇:香港大学开设RFID(电子标签)科技的工业应用课程 下一篇:芬兰时装公司采用RFID技术