論文關(guān)鍵詞：SSL;SSL ;遠(yuǎn)程接入
　　論文摘要：本文討論了在遠(yuǎn)程安全接入領(lǐng)域的SSL 技術(shù)，通過(guò)對(duì)SSL協(xié)議的分析，全面衡量了SSL 遠(yuǎn)程接入方案在軍隊(duì)院校網(wǎng)絡(luò)應(yīng)用中的綜合優(yōu)勢(shì)。
1引言
打造遠(yuǎn)程安全接入平臺(tái)，一直是網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)的迫切需求。當(dāng)前，眾多的安全協(xié)議(如PPTP.L2TP.IPSec和MPLS)各具特色并側(cè)重于不同的方面，但能同時(shí)結(jié)合簡(jiǎn)易、安全兩項(xiàng)特性的則非SSL莫屬，SSL 是平衡訪問(wèn)自由度和安全性的出色解決方案。
2 SSL
安全套接層(Secure Sockets Layer, SSL)是Netscape于1994年提出的基于Web應(yīng)用的安全協(xié)議，它介于HTTP及TCP之間，高層協(xié)議可以透明地運(yùn)行在該協(xié)議之上，它指定了一種在應(yīng)用程序協(xié)議和丁CP/IP協(xié)議之間提供數(shù)據(jù)安全性分層的機(jī)制，能為丁CP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證、消息完整性以及可選的客戶機(jī)認(rèn)證。其安全連接基于握手協(xié)議、記錄協(xié)議和警告協(xié)議來(lái)完成。
3 SSL 主要特點(diǎn)
(1)高安全性:SSL安全通道可確保端到端真正安全可靠的連接，能有效保證信息的真實(shí)性、完整性和保密性。
(2)高易用性:無(wú)需客戶端的安裝和配置，對(duì)終端系統(tǒng)具有良好的兼容性。
(3)高性價(jià)比:不需要配置，易于部署及管理，可有效降低網(wǎng)絡(luò)配置成本。
(4)高可擴(kuò)展性和兼容性:可隨時(shí)添加需要保護(hù)的服務(wù)器，并適用于大多數(shù)設(shè)備。
(5)高效的資源控制能力:可區(qū)分用戶設(shè)置訪問(wèn)權(quán)限，實(shí)現(xiàn)區(qū)分對(duì)待的資源控制策略。
4 SSL 應(yīng)用優(yōu)勢(shì)
隨著軍隊(duì)院校網(wǎng)絡(luò)信息化建設(shè)的推進(jìn)，實(shí)際應(yīng)用中面臨著越來(lái)越多的跨地域、跨部門的數(shù)據(jù)傳遞，以及大量的遠(yuǎn)程訪問(wèn)內(nèi)網(wǎng)的需求。例如跨地域的會(huì)商研討、數(shù)據(jù)采集、資料檢索、分支部門和下屬機(jī)構(gòu)的機(jī)要信息交換等。根據(jù)這些需求和實(shí)際情況，下面主要從SSL 和IPSec 對(duì)比出發(fā)，全面衡量SSL 的優(yōu)勢(shì)。
(1)謹(jǐn)慎靈活的接入認(rèn)證策略。在遠(yuǎn)程接入過(guò)程中，用戶身份驗(yàn)證是整個(gè)過(guò)程的第一環(huán)，也是最重要的一環(huán)，如果不能有效識(shí)別用戶的身份，使得非法用戶接入，將給內(nèi)部網(wǎng)絡(luò)帶來(lái)極大的安全隱患。SSL 提供對(duì)所傳送數(shù)據(jù)的加密、認(rèn)證和發(fā)送源的身份認(rèn)證，支持將多種身份識(shí)別方式進(jìn)行組合，一般包括USB-Key、硬件特征碼、數(shù)字證書(shū)、動(dòng)態(tài)令牌、短信認(rèn)證等，而且可以對(duì)訪問(wèn)權(quán)限進(jìn)行嚴(yán)格的等級(jí)劃分，實(shí)現(xiàn)不同用戶對(duì)于不同應(yīng)用程序的控制。
(2)穩(wěn)妥有效的數(shù)據(jù)保護(hù)策略。因?yàn)镾SL 接入的是內(nèi)部網(wǎng)絡(luò)的應(yīng)用，而不是整個(gè)網(wǎng)絡(luò)，并限制了非Web端口的訪問(wèn)，使得部分文件操作功能不易實(shí)現(xiàn)，這實(shí)際上也起到了相應(yīng)的保護(hù)功能。同時(shí)，SSL網(wǎng)關(guān)隔離了內(nèi)部服務(wù)器和客戶端，客戶端的大多數(shù)病毒木馬感染不到內(nèi)網(wǎng)服務(wù)器。而IPSec 實(shí)現(xiàn)的是IP級(jí)別的訪問(wèn)，使得局域網(wǎng)能夠傳播的病毒，通過(guò)也能夠傳播，極易導(dǎo)致內(nèi)部網(wǎng)絡(luò)的防病毒策略形同虛設(shè)。一旦惡意IPSec 用戶獲得權(quán)限通過(guò)了網(wǎng)關(guān)，無(wú)疑會(huì)給內(nèi)網(wǎng)帶來(lái)災(zāi)難性的后果，但SSL 大大減弱了類似的風(fēng)險(xiǎn)。
(3)良好的可管理性和可控性。一方面，SSL 的部署不需改變?cè)W(wǎng)絡(luò)結(jié)構(gòu)，就可部署在內(nèi)網(wǎng)任一節(jié)點(diǎn)處，并可隨時(shí)添加需要保護(hù)的服務(wù)器。而IPSec 在部署時(shí)，則要考慮網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，設(shè)備的移除和添加就有可能導(dǎo)致重新部署，且客戶終端設(shè)備的變更，也意味著客戶端軟件的更新或部署。另一方面，數(shù)字化校園已經(jīng)將更多的服務(wù)集成于Web應(yīng)用，具備個(gè)性化的門戶網(wǎng)站，不同的部門和人員都有對(duì)應(yīng)的內(nèi)網(wǎng)訪問(wèn)權(quán)限。這和基于SSL 的用戶訪問(wèn)級(jí)別劃分控制策略是一致的。
(4)便捷的移動(dòng)性和分散性。SSL作為處于應(yīng)用層和丁CP/UD尸層之間的安全協(xié)議，可提供基于應(yīng)用層的訪問(wèn)控制，更適合遠(yuǎn)程安全訪問(wèn)的移動(dòng)性和分散性特點(diǎn)。SSL 能遍歷所有NAT設(shè)備、基于代理的防火墻和狀態(tài)檢測(cè)防火墻，這使得用戶能夠基本上不受接入位置限制，可以從眾多接入設(shè)備、任何遠(yuǎn)程位置訪問(wèn)網(wǎng)絡(luò)，而IPSec 則很難實(shí)現(xiàn)上述特點(diǎn)。其次，SSL無(wú)需在客戶端設(shè)備上安裝軟件，只需通過(guò)標(biāo)準(zhǔn)的Web瀏覽器連接網(wǎng)絡(luò)，即可訪問(wèn)內(nèi)部資源。而基于IPSec的遠(yuǎn)程訪問(wèn)不僅要安裝特殊用途的客戶端軟件，而且還存在兼容性問(wèn)題。