學(xué)習(xí)啦 > 論文大全 > 畢業(yè)論文 > 計(jì)算機(jī)論文 > 計(jì)算機(jī)網(wǎng)絡(luò) >

SSL在軍隊(duì)院校網(wǎng)絡(luò)應(yīng)用優(yōu)勢(shì)簡(jiǎn)論

時(shí)間: 冷冕冕 王佳鑫 王保華1 分享
  論文關(guān)鍵詞:SSL;SSL ;遠(yuǎn)程接入
  論文摘要:本文討論了在遠(yuǎn)程安全接入領(lǐng)域的SSL 技術(shù),通過(guò)對(duì)SSL協(xié)議的分析,全面衡量了SSL 遠(yuǎn)程接入方案在軍隊(duì)院校網(wǎng)絡(luò)應(yīng)用中的綜合優(yōu)勢(shì)。
1引言
打造遠(yuǎn)程安全接入平臺(tái),一直是網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)的迫切需求。當(dāng)前,眾多的安全協(xié)議(如PPTP.L2TP.IPSec和MPLS)各具特色并側(cè)重于不同的方面,但能同時(shí)結(jié)合簡(jiǎn)易、安全兩項(xiàng)特性的則非SSL莫屬,SSL 是平衡訪問(wèn)自由度和安全性的出色解決方案。
2 SSL
安全套接層(Secure Sockets Layer, SSL)是Netscape于1994年提出的基于Web應(yīng)用的安全協(xié)議,它介于HTTP及TCP之間,高層協(xié)議可以透明地運(yùn)行在該協(xié)議之上,它指定了一種在應(yīng)用程序協(xié)議和丁CP/IP協(xié)議之間提供數(shù)據(jù)安全性分層的機(jī)制,能為丁CP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證、消息完整性以及可選的客戶(hù)機(jī)認(rèn)證。其安全連接基于握手協(xié)議、記錄協(xié)議和警告協(xié)議來(lái)完成。
3 SSL 主要特點(diǎn)
(1)高安全性:SSL安全通道可確保端到端真正安全可靠的連接,能有效保證信息的真實(shí)性、完整性和保密性。
(2)高易用性:無(wú)需客戶(hù)端的安裝和配置,對(duì)終端系統(tǒng)具有良好的兼容性。
(3)高性?xún)r(jià)比:不需要配置,易于部署及管理,可有效降低網(wǎng)絡(luò)配置成本。
(4)高可擴(kuò)展性和兼容性:可隨時(shí)添加需要保護(hù)的服務(wù)器,并適用于大多數(shù)設(shè)備。
(5)高效的資源控制能力:可區(qū)分用戶(hù)設(shè)置訪問(wèn)權(quán)限,實(shí)現(xiàn)區(qū)分對(duì)待的資源控制策略。
4 SSL 應(yīng)用優(yōu)勢(shì)
隨著軍隊(duì)院校網(wǎng)絡(luò)信息化建設(shè)的推進(jìn),實(shí)際應(yīng)用中面臨著越來(lái)越多的跨地域、跨部門(mén)的數(shù)據(jù)傳遞,以及大量的遠(yuǎn)程訪問(wèn)內(nèi)網(wǎng)的需求。例如跨地域的會(huì)商研討、數(shù)據(jù)采集、資料檢索、分支部門(mén)和下屬機(jī)構(gòu)的機(jī)要信息交換等。根據(jù)這些需求和實(shí)際情況,下面主要從SSL 和IPSec 對(duì)比出發(fā),全面衡量SSL 的優(yōu)勢(shì)。
(1)謹(jǐn)慎靈活的接入認(rèn)證策略。在遠(yuǎn)程接入過(guò)程中,用戶(hù)身份驗(yàn)證是整個(gè)過(guò)程的第一環(huán),也是最重要的一環(huán),如果不能有效識(shí)別用戶(hù)的身份,使得非法用戶(hù)接入,將給內(nèi)部網(wǎng)絡(luò)帶來(lái)極大的安全隱患。SSL 提供對(duì)所傳送數(shù)據(jù)的加密、認(rèn)證和發(fā)送源的身份認(rèn)證,支持將多種身份識(shí)別方式進(jìn)行組合,一般包括USB-Key、硬件特征碼、數(shù)字證書(shū)、動(dòng)態(tài)令牌、短信認(rèn)證等,而且可以對(duì)訪問(wèn)權(quán)限進(jìn)行嚴(yán)格的等級(jí)劃分,實(shí)現(xiàn)不同用戶(hù)對(duì)于不同應(yīng)用程序的控制。
(2)穩(wěn)妥有效的數(shù)據(jù)保護(hù)策略。因?yàn)镾SL 接入的是內(nèi)部網(wǎng)絡(luò)的應(yīng)用,而不是整個(gè)網(wǎng)絡(luò),并限制了非Web端口的訪問(wèn),使得部分文件操作功能不易實(shí)現(xiàn),這實(shí)際上也起到了相應(yīng)的保護(hù)功能。同時(shí),SSL網(wǎng)關(guān)隔離了內(nèi)部服務(wù)器和客戶(hù)端,客戶(hù)端的大多數(shù)病毒木馬感染不到內(nèi)網(wǎng)服務(wù)器。而IPSec 實(shí)現(xiàn)的是IP級(jí)別的訪問(wèn),使得局域網(wǎng)能夠傳播的病毒,通過(guò)也能夠傳播,極易導(dǎo)致內(nèi)部網(wǎng)絡(luò)的防病毒策略形同虛設(shè)。一旦惡意IPSec 用戶(hù)獲得權(quán)限通過(guò)了網(wǎng)關(guān),無(wú)疑會(huì)給內(nèi)網(wǎng)帶來(lái)災(zāi)難性的后果,但SSL 大大減弱了類(lèi)似的風(fēng)險(xiǎn)。
(3)良好的可管理性和可控性。一方面,SSL 的部署不需改變?cè)W(wǎng)絡(luò)結(jié)構(gòu),就可部署在內(nèi)網(wǎng)任一節(jié)點(diǎn)處,并可隨時(shí)添加需要保護(hù)的服務(wù)器。而IPSec 在部署時(shí),則要考慮網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),設(shè)備的移除和添加就有可能導(dǎo)致重新部署,且客戶(hù)終端設(shè)備的變更,也意味著客戶(hù)端軟件的更新或部署。另一方面,數(shù)字化校園已經(jīng)將更多的服務(wù)集成于Web應(yīng)用,具備個(gè)性化的門(mén)戶(hù)網(wǎng)站,不同的部門(mén)和人員都有對(duì)應(yīng)的內(nèi)網(wǎng)訪問(wèn)權(quán)限。這和基于SSL 的用戶(hù)訪問(wèn)級(jí)別劃分控制策略是一致的。
(4)便捷的移動(dòng)性和分散性。SSL作為處于應(yīng)用層和丁CP/UD尸層之間的安全協(xié)議,可提供基于應(yīng)用層的訪問(wèn)控制,更適合遠(yuǎn)程安全訪問(wèn)的移動(dòng)性和分散性特點(diǎn)。SSL 能遍歷所有NAT設(shè)備、基于代理的防火墻和狀態(tài)檢測(cè)防火墻,這使得用戶(hù)能夠基本上不受接入位置限制,可以從眾多接入設(shè)備、任何遠(yuǎn)程位置訪問(wèn)網(wǎng)絡(luò),而IPSec 則很難實(shí)現(xiàn)上述特點(diǎn)。其次,SSL無(wú)需在客戶(hù)端設(shè)備上安裝軟件,只需通過(guò)標(biāo)準(zhǔn)的Web瀏覽器連接網(wǎng)絡(luò),即可訪問(wèn)內(nèi)部資源。而基于IPSec的遠(yuǎn)程訪問(wèn)不僅要安裝特殊用途的客戶(hù)端軟件,而且還存在兼容性問(wèn)題。
20590