基于SSL的VPN技术在无线局域网中的应用研究

吴献文 毛春丽 刘志成 肖立权

1 湖南铁道职业技术学院信息工程系 湖南 412001

2 湖南商学院 湖南 410205

3 国防科学技术大学 湖南 410073

0 引言

随着Internet技术、网络技术、信息技术、无线技术的迅猛发展，网络已经成为人们管理、信息获取的重要手段，但其安全隐患也越来越严重，尤其是无线通信是在自由空间中进行传输，而不是像有线网络那样是在一定的物理线缆上进行传输，因此无法通过对传输媒介的接入控制来保证数据不会被未经授权的用户获取，极易受到攻击。

本文主要针对无线局域网的安全缺陷，重点介绍了基于SSL VPN技术构建安全无线局域网的应用。

1 无线局域网简介

无线局域网（Wireless Local Area Network，WLAN），指应用无线通信技术将计算机设备互联起来，构成可以互相通信和实现资源共享的网络体系。

无线局域网是20世纪90年代计算机网络与无线通信技术相结合的产物，它使用无线信道来接入网络，为通信的移动化、个人化和多媒体应用提供了潜在的手段，并成为宽带无线接入的有效途径之一。

WLAN的出现，弥补了有线网络的不足，是对有线连网方式的一种补充和扩展，使网上的计算机具有可移动性，能快速、方便地解决有线方式不易实现的网络联通问题。

相对有线局域网来说，无线局域网主要特点（见表1）。

表1 无线局域网特点

2 无线局域网安全现状与隐患

随着移动技术的不断进步，无线网络越来越受到青睐，已经广泛应用于服务、企业等行业，其安全性也进一步受到关注。

2.1 无线局域网安全现状

目前无线局域网络产品主要采用的是IEEE 802.11b国际标准，大多应用DSSS（Direct Sequence Spread Spectrum）通信技术进行数据传输，该技术能有效防止数据在无线传输过程中丢失、干扰、信息阻塞及破坏等问题。802.11b标准的基本安全机制包括服务集标识符（SSID）、物理地址（MAC）过滤和有效对等保密（WEP）机制。如表2所示。

为了保证通信安全，提高安全性，无线局域网中还采用了认证、加密、物理隔离等等安全技术，如802.1X认证机制、802.11i、我国的WAPI（WLAN Authentication and Privacy Infrastructure）等。

表2 无线局域网基本安全机制

2.2 无线局域网安全隐患

一般来讲，网络安全包括数据完整性（通过数据校验实现）、数据安全性（通过数据加密实现）、数据来源的可靠性（通过用户身份认证实现）等问题，主要的安全隐患有：

（1）在802.11协议中提供的开放系统认证，允许任何用户接入到无线网络中来，并没有提供数据方面的保护。

（2）利用SSID可以限制用户的任意漫游，实现用户群分组，起到了一定的安全作用，但是AP会定期广播，容易获取；另外，如果支持any方式，只要处于AP的工作范围，就会自动与AP连接，非法用户就加入到了合法用户群中。

（3）MAC地址过滤的方式是通过允许或禁止列表中的MAC地址来保证其安全性，但用户如果更换网卡或者伪造MAC地址则无法识别。

（4）Wep加密机制采用RC4加密算法（加密解密密钥同）和ICV校验，但密钥长度只有40位，且没有密钥的管理、更新和分发机制，配置不方便，容易遭受攻击且没有办法应对。

3 SSL VPN

3.1 VPN简介

虚拟专用网络（Virtual Private Network，VPN）利用Internet或其他网络为用户提供隧道通信方式。VPN分为PPTP、L2TP和IPSec几种方式，具有与专用网络类似的安全性能。在具体VPN应用中，用户首先需要登录到一个VPN服务器，随后用户所传输的数据帧就会在进行加密之后作为数据部分封装到新的传输帧中，再在网络上进行传输。

VPN应用了安全隧道、密钥管理、用户身份认证、访问控制等技术，安全可靠，广泛应用于有线网络中。

VPN主要采用IPSec或SSL隧道技术来保障数据传输的安全。

3.2 SSL简介

安全套接字层（Secure Socket Layer，SSL）协议为Netscape所研发，用以保障在Internet上数据传输之安全，利用数据加密（Encryption）技术，可确保数据在网络上之传输过程中不会被截取及窃听。

SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层：

（1）SSL记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。

（2）SSL握手协议（SSL Handshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

SSL协议提供的服务主要有：

（3）认证用户和服务器，确保数据发送到正确的客户机和服务器；

（4）加密数据以防止数据中途被窃取；

（5）维护数据的完整性，确保数据在传输过程中不被改变。

3.3 SSL VPN

SSL VPN是采用SSL协议来实现远程接入的一种新型VPN技术。

须满足的基本条件是：

（1）使用SSL协议实现认证和加密；

（2）直接使用浏览器完成操作，不需要安装独立的客户端。

3.4 SSL VPN相对IPSec VPN的优势

表3 SSL VPN与IPSec VPN比较

IPSec VPN是基于网络层工作的，能提供强有力的安全保障，支持几乎所有的加密算法。SSL VPN是针对通信提出的，两者各具特色，具体比较如表3所示。

4 SSL VPN技术在无线局域网中的应用

目前已广泛应用于局域网络及远程接入等领域的VPN安全技术也可用于无线局域网。与IEEE 802.11b标准所采用的安全技术不同，VPN主要采用DES、3DES等技术来保障数据传输的安全。对于安全性要求更高的用户，英特尔建议用户建网时，将现有的VPN安全技术与IEEE 802.11b安全技术结合起来，这是目前较为理想的无线局域网络的安全解决方案。

SSL VPN可以在两台计算机间提供安全通道，能保护数据传输并识别通信计算机，以免在WLAN中信息被截取、篡改后重新发送给目标主机。其在无线局域网中的应用如图1所示。

图1 SSL VPN应用在WLAN中的示意图

在无线局域网中，安全问题显得更加突出，应用SSL VPN需要解决的安全问题及策略包括：

（1）客户端认证。即通信双方能够确认对方是正确的通信者，可在SSL VPN服务器中设置访问控制策略的服务器，专门负责对客户端进行认证，不同的客户端选择不同的策略。

（2）保密性。即传输的数据需要加密，但由于在通信过程中需要加密解密，这会耗费大量的资源而影响传输性能，因此要考虑加密算法的复杂程度。同时还要考虑密钥的传输和管理。

（3）消息完整性。即能够保证传输的数据没有被篡改，这可以采用设置访问控制策略的方式解决，给不同的用户设置不同的权限，只有拥有权限的用户才能访问相应的资源。

（4）服务器性能。几乎所有的通信和IP地址分配等工作都需要SSL VPN服务器来完成，因此服务器的性能必须要高。

5 结束语

SSL VPN技术在无线局域网中的应用已经非常流行，尤其是针对数据保密性非常强的应用。为了满足不同应用的需求，根据IPSec VPN和SSL VPN各自的优点，很多企业都是将两者结合起来使用，使网络更安全有效。

[1]李园，王燕鸿，张钺伟.无线网络安全性威胁及应对措施[J].现代电子技术.2007.

[2]赵伟艇.无线局域网的加密和访问控制安全性分析[J].微计算机信息.2007.

[3]周明.SSL VPN体系结构在无线局域网中的应用与设计.电子科技大学.2006.