SSL在軍隊院校網(wǎng)絡(luò)應(yīng)用優(yōu)勢簡論

　　論文關(guān)鍵詞：SSL;SSL ;遠(yuǎn)程接入
　　論文摘要：本文討論了在遠(yuǎn)程安全接入領(lǐng)域的SSL 技術(shù)，通過對SSL協(xié)議的分析，全面衡量了SSL 遠(yuǎn)程接入方案在軍隊院校網(wǎng)絡(luò)應(yīng)用中的綜合優(yōu)勢。
1引言
打造遠(yuǎn)程安全接入平臺，一直是網(wǎng)絡(luò)遠(yuǎn)程訪問的迫切需求。當(dāng)前，眾多的安全協(xié)議(如PPTP.L2TP.IPSec和MPLS)各具特色并側(cè)重于不同的方面，但能同時結(jié)合簡易、安全兩項特性的則非SSL莫屬，SSL 是平衡訪問自由度和安全性的出色解決方案。
2 SSL
安全套接層(Secure Sockets Layer, SSL)是Netscape于1994年提出的基于Web應(yīng)用的安全協(xié)議，它介于HTTP及TCP之間，高層協(xié)議可以透明地運行在該協(xié)議之上，它指定了一種在應(yīng)用程序協(xié)議和丁CP/IP協(xié)議之間提供數(shù)據(jù)安全性分層的機制，能為丁CP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證、消息完整性以及可選的客戶機認(rèn)證。其安全連接基于握手協(xié)議、記錄協(xié)議和警告協(xié)議來完成。
3 SSL 主要特點
(1)高安全性:SSL安全通道可確保端到端真正安全可靠的連接，能有效保證信息的真實性、完整性和保密性。
(2)高易用性:無需客戶端的安裝和配置，對終端系統(tǒng)具有良好的兼容性。
(3)高性價比:不需要配置，易于部署及管理，可有效降低網(wǎng)絡(luò)配置成本。
(4)高可擴展性和兼容性:可隨時添加需要保護的服務(wù)器，并適用于大多數(shù)設(shè)備。
(5)高效的資源控制能力:可區(qū)分用戶設(shè)置訪問權(quán)限，實現(xiàn)區(qū)分對待的資源控制策略。
4 SSL 應(yīng)用優(yōu)勢
隨著軍隊院校網(wǎng)絡(luò)信息化建設(shè)的推進(jìn)，實際應(yīng)用中面臨著越來越多的跨地域、跨部門的數(shù)據(jù)傳遞，以及大量的遠(yuǎn)程訪問內(nèi)網(wǎng)的需求。例如跨地域的會商研討、數(shù)據(jù)采集、資料檢索、分支部門和下屬機構(gòu)的機要信息交換等。根據(jù)這些需求和實際情況，下面主要從SSL 和IPSec 對比出發(fā)，全面衡量SSL 的優(yōu)勢。
(1)謹(jǐn)慎靈活的接入認(rèn)證策略。在遠(yuǎn)程接入過程中，用戶身份驗證是整個過程的第一環(huán)，也是最重要的一環(huán)，如果不能有效識別用戶的身份，使得非法用戶接入，將給內(nèi)部網(wǎng)絡(luò)帶來極大的安全隱患。SSL 提供對所傳送數(shù)據(jù)的加密、認(rèn)證和發(fā)送源的身份認(rèn)證，支持將多種身份識別方式進(jìn)行組合，一般包括USB-Key、硬件特征碼、數(shù)字證書、動態(tài)令牌、短信認(rèn)證等，而且可以對訪問權(quán)限進(jìn)行嚴(yán)格的等級劃分，實現(xiàn)不同用戶對于不同應(yīng)用程序的控制。
(2)穩(wěn)妥有效的數(shù)據(jù)保護策略。因為SSL 接入的是內(nèi)部網(wǎng)絡(luò)的應(yīng)用，而不是整個網(wǎng)絡(luò)，并限制了非Web端口的訪問，使得部分文件操作功能不易實現(xiàn)，這實際上也起到了相應(yīng)的保護功能。同時，SSL網(wǎng)關(guān)隔離了內(nèi)部服務(wù)器和客戶端，客戶端的大多數(shù)病毒木馬感染不到內(nèi)網(wǎng)服務(wù)器。而IPSec 實現(xiàn)的是IP級別的訪問，使得局域網(wǎng)能夠傳播的病毒，通過也能夠傳播，極易導(dǎo)致內(nèi)部網(wǎng)絡(luò)的防病毒策略形同虛設(shè)。一旦惡意IPSec 用戶獲得權(quán)限通過了網(wǎng)關(guān)，無疑會給內(nèi)網(wǎng)帶來災(zāi)難性的后果，但SSL 大大減弱了類似的風(fēng)險。
(3)良好的可管理性和可控性。一方面，SSL 的部署不需改變原網(wǎng)絡(luò)結(jié)構(gòu)，就可部署在內(nèi)網(wǎng)任一節(jié)點處，并可隨時添加需要保護的服務(wù)器。而IPSec 在部署時，則要考慮網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，設(shè)備的移除和添加就有可能導(dǎo)致重新部署，且客戶終端設(shè)備的變更，也意味著客戶端軟件的更新或部署。另一方面，數(shù)字化校園已經(jīng)將更多的服務(wù)集成于Web應(yīng)用，具備個性化的門戶網(wǎng)站，不同的部門和人員都有對應(yīng)的內(nèi)網(wǎng)訪問權(quán)限。這和基于SSL 的用戶訪問級別劃分控制策略是一致的。
(4)便捷的移動性和分散性。SSL作為處于應(yīng)用層和丁CP/UD尸層之間的安全協(xié)議，可提供基于應(yīng)用層的訪問控制，更適合遠(yuǎn)程安全訪問的移動性和分散性特點。SSL 能遍歷所有NAT設(shè)備、基于代理的防火墻和狀態(tài)檢測防火墻，這使得用戶能夠基本上不受接入位置限制，可以從眾多接入設(shè)備、任何遠(yuǎn)程位置訪問網(wǎng)絡(luò)，而IPSec 則很難實現(xiàn)上述特點。其次，SSL無需在客戶端設(shè)備上安裝軟件，只需通過標(biāo)準(zhǔn)的Web瀏覽器連接網(wǎng)絡(luò)，即可訪問內(nèi)部資源。而基于IPSec的遠(yuǎn)程訪問不僅要安裝特殊用途的客戶端軟件，而且還存在兼容性問題。