SSL在軍隊院校網(wǎng)絡應用優(yōu)勢簡論
時間:
冷冕冕 王佳鑫 王保華1由 分享
論文關(guān)鍵詞:SSL;SSL ;遠程接入
論文摘要:本文討論了在遠程安全接入領域的SSL 技術(shù),通過對SSL協(xié)議的分析,全面衡量了SSL 遠程接入方案在軍隊院校網(wǎng)絡應用中的綜合優(yōu)勢。
1引言
打造遠程安全接入平臺,一直是網(wǎng)絡遠程訪問的迫切需求。當前,眾多的安全協(xié)議(如PPTP.L2TP.IPSec和MPLS)各具特色并側(cè)重于不同的方面,但能同時結(jié)合簡易、安全兩項特性的則非SSL莫屬,SSL 是平衡訪問自由度和安全性的出色解決方案。
2 SSL
安全套接層(Secure Sockets Layer, SSL)是Netscape于1994年提出的基于Web應用的安全協(xié)議,它介于HTTP及TCP之間,高層協(xié)議可以透明地運行在該協(xié)議之上,它指定了一種在應用程序協(xié)議和丁CP/IP協(xié)議之間提供數(shù)據(jù)安全性分層的機制,能為丁CP/IP連接提供數(shù)據(jù)加密、服務器認證、消息完整性以及可選的客戶機認證。其安全連接基于握手協(xié)議、記錄協(xié)議和警告協(xié)議來完成。
3 SSL 主要特點
(1)高安全性:SSL安全通道可確保端到端真正安全可靠的連接,能有效保證信息的真實性、完整性和保密性。
(2)高易用性:無需客戶端的安裝和配置,對終端系統(tǒng)具有良好的兼容性。
(3)高性價比:不需要配置,易于部署及管理,可有效降低網(wǎng)絡配置成本。
(4)高可擴展性和兼容性:可隨時添加需要保護的服務器,并適用于大多數(shù)設備。
(5)高效的資源控制能力:可區(qū)分用戶設置訪問權(quán)限,實現(xiàn)區(qū)分對待的資源控制策略。
4 SSL 應用優(yōu)勢
隨著軍隊院校網(wǎng)絡信息化建設的推進,實際應用中面臨著越來越多的跨地域、跨部門的數(shù)據(jù)傳遞,以及大量的遠程訪問內(nèi)網(wǎng)的需求。例如跨地域的會商研討、數(shù)據(jù)采集、資料檢索、分支部門和下屬機構(gòu)的機要信息交換等。根據(jù)這些需求和實際情況,下面主要從SSL 和IPSec 對比出發(fā),全面衡量SSL 的優(yōu)勢。
(1)謹慎靈活的接入認證策略。在遠程接入過程中,用戶身份驗證是整個過程的第一環(huán),也是最重要的一環(huán),如果不能有效識別用戶的身份,使得非法用戶接入,將給內(nèi)部網(wǎng)絡帶來極大的安全隱患。SSL 提供對所傳送數(shù)據(jù)的加密、認證和發(fā)送源的身份認證,支持將多種身份識別方式進行組合,一般包括USB-Key、硬件特征碼、數(shù)字證書、動態(tài)令牌、短信認證等,而且可以對訪問權(quán)限進行嚴格的等級劃分,實現(xiàn)不同用戶對于不同應用程序的控制。
(2)穩(wěn)妥有效的數(shù)據(jù)保護策略。因為SSL 接入的是內(nèi)部網(wǎng)絡的應用,而不是整個網(wǎng)絡,并限制了非Web端口的訪問,使得部分文件操作功能不易實現(xiàn),這實際上也起到了相應的保護功能。同時,SSL網(wǎng)關(guān)隔離了內(nèi)部服務器和客戶端,客戶端的大多數(shù)病毒木馬感染不到內(nèi)網(wǎng)服務器。而IPSec 實現(xiàn)的是IP級別的訪問,使得局域網(wǎng)能夠傳播的病毒,通過也能夠傳播,極易導致內(nèi)部網(wǎng)絡的防病毒策略形同虛設。一旦惡意IPSec 用戶獲得權(quán)限通過了網(wǎng)關(guān),無疑會給內(nèi)網(wǎng)帶來災難性的后果,但SSL 大大減弱了類似的風險。
(3)良好的可管理性和可控性。一方面,SSL 的部署不需改變原網(wǎng)絡結(jié)構(gòu),就可部署在內(nèi)網(wǎng)任一節(jié)點處,并可隨時添加需要保護的服務器。而IPSec 在部署時,則要考慮網(wǎng)絡的拓撲結(jié)構(gòu),設備的移除和添加就有可能導致重新部署,且客戶終端設備的變更,也意味著客戶端軟件的更新或部署。另一方面,數(shù)字化校園已經(jīng)將更多的服務集成于Web應用,具備個性化的門戶網(wǎng)站,不同的部門和人員都有對應的內(nèi)網(wǎng)訪問權(quán)限。這和基于SSL 的用戶訪問級別劃分控制策略是一致的。
(4)便捷的移動性和分散性。SSL作為處于應用層和丁CP/UD尸層之間的安全協(xié)議,可提供基于應用層的訪問控制,更適合遠程安全訪問的移動性和分散性特點。SSL 能遍歷所有NAT設備、基于代理的防火墻和狀態(tài)檢測防火墻,這使得用戶能夠基本上不受接入位置限制,可以從眾多接入設備、任何遠程位置訪問網(wǎng)絡,而IPSec 則很難實現(xiàn)上述特點。其次,SSL無需在客戶端設備上安裝軟件,只需通過標準的Web瀏覽器連接網(wǎng)絡,即可訪問內(nèi)部資源。而基于IPSec的遠程訪問不僅要安裝特殊用途的客戶端軟件,而且還存在兼容性問題。
論文摘要:本文討論了在遠程安全接入領域的SSL 技術(shù),通過對SSL協(xié)議的分析,全面衡量了SSL 遠程接入方案在軍隊院校網(wǎng)絡應用中的綜合優(yōu)勢。
1引言
打造遠程安全接入平臺,一直是網(wǎng)絡遠程訪問的迫切需求。當前,眾多的安全協(xié)議(如PPTP.L2TP.IPSec和MPLS)各具特色并側(cè)重于不同的方面,但能同時結(jié)合簡易、安全兩項特性的則非SSL莫屬,SSL 是平衡訪問自由度和安全性的出色解決方案。
2 SSL
安全套接層(Secure Sockets Layer, SSL)是Netscape于1994年提出的基于Web應用的安全協(xié)議,它介于HTTP及TCP之間,高層協(xié)議可以透明地運行在該協(xié)議之上,它指定了一種在應用程序協(xié)議和丁CP/IP協(xié)議之間提供數(shù)據(jù)安全性分層的機制,能為丁CP/IP連接提供數(shù)據(jù)加密、服務器認證、消息完整性以及可選的客戶機認證。其安全連接基于握手協(xié)議、記錄協(xié)議和警告協(xié)議來完成。
3 SSL 主要特點
(1)高安全性:SSL安全通道可確保端到端真正安全可靠的連接,能有效保證信息的真實性、完整性和保密性。
(2)高易用性:無需客戶端的安裝和配置,對終端系統(tǒng)具有良好的兼容性。
(3)高性價比:不需要配置,易于部署及管理,可有效降低網(wǎng)絡配置成本。
(4)高可擴展性和兼容性:可隨時添加需要保護的服務器,并適用于大多數(shù)設備。
(5)高效的資源控制能力:可區(qū)分用戶設置訪問權(quán)限,實現(xiàn)區(qū)分對待的資源控制策略。
4 SSL 應用優(yōu)勢
隨著軍隊院校網(wǎng)絡信息化建設的推進,實際應用中面臨著越來越多的跨地域、跨部門的數(shù)據(jù)傳遞,以及大量的遠程訪問內(nèi)網(wǎng)的需求。例如跨地域的會商研討、數(shù)據(jù)采集、資料檢索、分支部門和下屬機構(gòu)的機要信息交換等。根據(jù)這些需求和實際情況,下面主要從SSL 和IPSec 對比出發(fā),全面衡量SSL 的優(yōu)勢。
(1)謹慎靈活的接入認證策略。在遠程接入過程中,用戶身份驗證是整個過程的第一環(huán),也是最重要的一環(huán),如果不能有效識別用戶的身份,使得非法用戶接入,將給內(nèi)部網(wǎng)絡帶來極大的安全隱患。SSL 提供對所傳送數(shù)據(jù)的加密、認證和發(fā)送源的身份認證,支持將多種身份識別方式進行組合,一般包括USB-Key、硬件特征碼、數(shù)字證書、動態(tài)令牌、短信認證等,而且可以對訪問權(quán)限進行嚴格的等級劃分,實現(xiàn)不同用戶對于不同應用程序的控制。
(2)穩(wěn)妥有效的數(shù)據(jù)保護策略。因為SSL 接入的是內(nèi)部網(wǎng)絡的應用,而不是整個網(wǎng)絡,并限制了非Web端口的訪問,使得部分文件操作功能不易實現(xiàn),這實際上也起到了相應的保護功能。同時,SSL網(wǎng)關(guān)隔離了內(nèi)部服務器和客戶端,客戶端的大多數(shù)病毒木馬感染不到內(nèi)網(wǎng)服務器。而IPSec 實現(xiàn)的是IP級別的訪問,使得局域網(wǎng)能夠傳播的病毒,通過也能夠傳播,極易導致內(nèi)部網(wǎng)絡的防病毒策略形同虛設。一旦惡意IPSec 用戶獲得權(quán)限通過了網(wǎng)關(guān),無疑會給內(nèi)網(wǎng)帶來災難性的后果,但SSL 大大減弱了類似的風險。
(3)良好的可管理性和可控性。一方面,SSL 的部署不需改變原網(wǎng)絡結(jié)構(gòu),就可部署在內(nèi)網(wǎng)任一節(jié)點處,并可隨時添加需要保護的服務器。而IPSec 在部署時,則要考慮網(wǎng)絡的拓撲結(jié)構(gòu),設備的移除和添加就有可能導致重新部署,且客戶終端設備的變更,也意味著客戶端軟件的更新或部署。另一方面,數(shù)字化校園已經(jīng)將更多的服務集成于Web應用,具備個性化的門戶網(wǎng)站,不同的部門和人員都有對應的內(nèi)網(wǎng)訪問權(quán)限。這和基于SSL 的用戶訪問級別劃分控制策略是一致的。
(4)便捷的移動性和分散性。SSL作為處于應用層和丁CP/UD尸層之間的安全協(xié)議,可提供基于應用層的訪問控制,更適合遠程安全訪問的移動性和分散性特點。SSL 能遍歷所有NAT設備、基于代理的防火墻和狀態(tài)檢測防火墻,這使得用戶能夠基本上不受接入位置限制,可以從眾多接入設備、任何遠程位置訪問網(wǎng)絡,而IPSec 則很難實現(xiàn)上述特點。其次,SSL無需在客戶端設備上安裝軟件,只需通過標準的Web瀏覽器連接網(wǎng)絡,即可訪問內(nèi)部資源。而基于IPSec的遠程訪問不僅要安裝特殊用途的客戶端軟件,而且還存在兼容性問題。