基于SSL的VPN技術在無線局域網中的應用研究

吳獻文 毛春麗 劉志成 肖立權

1 湖南鐵道職業技術學院信息工程系 湖南 412001

2 湖南商學院 湖南 410205

3 國防科學技術大學 湖南 410073

0 引言

隨著Internet技術、網絡技術、信息技術、無線技術的迅猛發展，網絡已經成為人們管理、信息獲取的重要手段，但其安全隱患也越來越嚴重，尤其是無線通信是在自由空間中進行傳輸，而不是像有線網絡那樣是在一定的物理線纜上進行傳輸，因此無法通過對傳輸媒介的接入控制來保證數據不會被未經授權的用戶獲取，極易受到攻擊。

本文主要針對無線局域網的安全缺陷，重點介紹了基于SSL VPN技術構建安全無線局域網的應用。

1 無線局域網簡介

無線局域網（Wireless Local Area Network，WLAN），指應用無線通信技術將計算機設備互聯起來，構成可以互相通信和實現資源共享的網絡體系。

無線局域網是20世紀90年代計算機網絡與無線通信技術相結合的產物，它使用無線信道來接入網絡，為通信的移動化、個人化和多媒體應用提供了潛在的手段，并成為寬帶無線接入的有效途徑之一。

WLAN的出現，彌補了有線網絡的不足，是對有線連網方式的一種補充和擴展，使網上的計算機具有可移動性，能快速、方便地解決有線方式不易實現的網絡聯通問題。

相對有線局域網來說，無線局域網主要特點（見表1）。

表1 無線局域網特點

2 無線局域網安全現狀與隱患

隨著移動技術的不斷進步，無線網絡越來越受到青睞，已經廣泛應用于服務、企業等行業，其安全性也進一步受到關注。

2.1 無線局域網安全現狀

目前無線局域網絡產品主要采用的是IEEE 802.11b國際標準，大多應用DSSS（Direct Sequence Spread Spectrum）通信技術進行數據傳輸，該技術能有效防止數據在無線傳輸過程中丟失、干擾、信息阻塞及破壞等問題。802.11b標準的基本安全機制包括服務集標識符（SSID）、物理地址（MAC）過濾和有效對等保密（WEP）機制。如表2所示。

為了保證通信安全，提高安全性，無線局域網中還采用了認證、加密、物理隔離等等安全技術，如802.1X認證機制、802.11i、我國的WAPI（WLAN Authentication and Privacy Infrastructure）等。

表2 無線局域網基本安全機制

2.2 無線局域網安全隱患

一般來講，網絡安全包括數據完整性（通過數據校驗實現）、數據安全性（通過數據加密實現）、數據來源的可靠性（通過用戶身份認證實現）等問題，主要的安全隱患有：

（1）在802.11協議中提供的開放系統認證，允許任何用戶接入到無線網絡中來，并沒有提供數據方面的保護。

（2）利用SSID可以限制用戶的任意漫游，實現用戶群分組，起到了一定的安全作用，但是AP會定期廣播，容易獲取；另外，如果支持any方式，只要處于AP的工作范圍，就會自動與AP連接，非法用戶就加入到了合法用戶群中。

（3）MAC地址過濾的方式是通過允許或禁止列表中的MAC地址來保證其安全性，但用戶如果更換網卡或者偽造MAC地址則無法識別。

（4）Wep加密機制采用RC4加密算法（加密解密密鑰同）和ICV校驗，但密鑰長度只有40位，且沒有密鑰的管理、更新和分發機制，配置不方便，容易遭受攻擊且沒有辦法應對。

3 SSL VPN

3.1 VPN簡介

虛擬專用網絡（Virtual Private Network，VPN）利用Internet或其他網絡為用戶提供隧道通信方式。VPN分為PPTP、L2TP和IPSec幾種方式，具有與專用網絡類似的安全性能。在具體VPN應用中，用戶首先需要登錄到一個VPN服務器，隨后用戶所傳輸的數據幀就會在進行加密之后作為數據部分封裝到新的傳輸幀中，再在網絡上進行傳輸。

VPN應用了安全隧道、密鑰管理、用戶身份認證、訪問控制等技術，安全可靠，廣泛應用于有線網絡中。

VPN主要采用IPSec或SSL隧道技術來保障數據傳輸的安全。

3.2 SSL簡介

安全套接字層（Secure Socket Layer，SSL）協議為Netscape所研發，用以保障在Internet上數據傳輸之安全，利用數據加密（Encryption）技術，可確保數據在網絡上之傳輸過程中不會被截取及竊聽。

SSL協議位于TCP/IP協議與各種應用層協議之間，為數據通訊提供安全支持。SSL協議可分為兩層：

（1）SSL記錄協議（SSL Record Protocol）：它建立在可靠的傳輸協議（如TCP）之上，為高層協議提供數據封裝、壓縮、加密等基本功能的支持。

（2）SSL握手協議（SSL Handshake Protocol）：它建立在SSL記錄協議之上，用于在實際的數據傳輸開始前，通訊雙方進行身份認證、協商加密算法、交換加密密鑰等。

SSL協議提供的服務主要有：

（3）認證用戶和服務器，確保數據發送到正確的客戶機和服務器；

（4）加密數據以防止數據中途被竊取；

（5）維護數據的完整性，確保數據在傳輸過程中不被改變。

3.3 SSL VPN

SSL VPN是采用SSL協議來實現遠程接入的一種新型VPN技術。

須滿足的基本條件是：

（1）使用SSL協議實現認證和加密；

（2）直接使用瀏覽器完成操作，不需要安裝獨立的客戶端。

3.4 SSL VPN相對IPSec VPN的優勢

表3 SSL VPN與IPSec VPN比較

IPSec VPN是基于網絡層工作的，能提供強有力的安全保障，支持幾乎所有的加密算法。SSL VPN是針對通信提出的，兩者各具特色，具體比較如表3所示。

4 SSL VPN技術在無線局域網中的應用

目前已廣泛應用于局域網絡及遠程接入等領域的VPN安全技術也可用于無線局域網。與IEEE 802.11b標準所采用的安全技術不同，VPN主要采用DES、3DES等技術來保障數據傳輸的安全。對于安全性要求更高的用戶，英特爾建議用戶建網時，將現有的VPN安全技術與IEEE 802.11b安全技術結合起來，這是目前較為理想的無線局域網絡的安全解決方案。

SSL VPN可以在兩臺計算機間提供安全通道，能保護數據傳輸并識別通信計算機，以免在WLAN中信息被截取、篡改后重新發送給目標主機。其在無線局域網中的應用如圖1所示。

圖1 SSL VPN應用在WLAN中的示意圖

在無線局域網中，安全問題顯得更加突出，應用SSL VPN需要解決的安全問題及策略包括：

（1）客戶端認證。即通信雙方能夠確認對方是正確的通信者，可在SSL VPN服務器中設置訪問控制策略的服務器，專門負責對客戶端進行認證，不同的客戶端選擇不同的策略。

（2）保密性。即傳輸的數據需要加密，但由于在通信過程中需要加密解密，這會耗費大量的資源而影響傳輸性能，因此要考慮加密算法的復雜程度。同時還要考慮密鑰的傳輸和管理。

（3）消息完整性。即能夠保證傳輸的數據沒有被篡改，這可以采用設置訪問控制策略的方式解決，給不同的用戶設置不同的權限，只有擁有權限的用戶才能訪問相應的資源。

（4）服務器性能。幾乎所有的通信和IP地址分配等工作都需要SSL VPN服務器來完成，因此服務器的性能必須要高。

5 結束語

SSL VPN技術在無線局域網中的應用已經非常流行，尤其是針對數據保密性非常強的應用。為了滿足不同應用的需求，根據IPSec VPN和SSL VPN各自的優點，很多企業都是將兩者結合起來使用，使網絡更安全有效。

[1]李園，王燕鴻，張鉞偉.無線網絡安全性威脅及應對措施[J].現代電子技術.2007.

[2]趙偉艇.無線局域網的加密和訪問控制安全性分析[J].微計算機信息.2007.

[3]周明.SSL VPN體系結構在無線局域網中的應用與設計.電子科技大學.2006.