作者：冷冕冕 王佳鑫 王保华

　　论文关键词：ssl;ssl vpn;远程接入
　　论文摘要：本文讨论了在远程安全接入领域的ssl vpn技术，通过对ssl协议的分析，全面衡量了ssl vpn远程接入方案在军队院校网络应用中的综合优势。

    1引言
    打造远程安全接入平台，一直是网络远程访问的迫切需求。当前，众多的安全协议(如pptp.l2tp.ipsec和mpls)各具特色并侧重于不同的方面，但能同时结合简易、安全两项特性的则非ssl莫属，ssl vpn是平衡访问自由度和安全性的出色解决方案。
    2 ssl
    安全套接层(secure sockets layer, ssl)是netscape于1994年提出的基于web应用的安全协议，它介于http及tcp之间，高层协议可以透明地运行在该协议之上，它指定了一种在应用程序协议和丁cp/ip协议之间提供数据安全性分层的机制，能为丁cp/ip连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。WWW.11665.COM其安全连接基于握手协议、记录协议和警告协议来完成。
    3 ssl vpn主要特点
    (1)高安全性:ssl安全通道可确保端到端真正安全可靠的连接，能有效保证信息的真实性、完整性和保密性。
    (2)高易用性:无需客户端的安装和配置，对终端系统具有良好的兼容性。
    (3)高性价比:不需要配置，易于部署及管理，可有效降低网络配置成本。
    (4)高可扩展性和兼容性:可随时添加需要vpn保护的服务器，并适用于大多数设备。
    (5)高效的资源控制能力:可区分用户设置访问权限，实现区分对待的资源控制策略。
    4 ssl vpn应用优势
    随着军队院校网络信息化建设的推进，实际应用中面临着越来越多的跨地域、跨部门的数据传递，以及大量的远程访问内网的需求。例如跨地域的会商研讨、数据采集、资料检索、分支部门和下属机构的机要信息交换等。根据这些需求和实际情况，下面主要从ssl vpn和ipsec vpn对比出发，全面衡量ssl vpn的优势。

   (1)谨慎灵活的接入认证策略。在远程接入过程中，用户身份验证是整个过程的第一环，也是最重要的一环，如果不能有效识别用户的身份，使得非法用户接入，将给内部网络带来极大的安全隐患。ssl vpn提供对所传送数据的加密、认证和发送源的身份认证，支持将多种身份识别方式进行组合，一般包括usb-key、硬件特征码、数字证书、动态令牌、短信认证等，而且可以对访问权限进行严格的等级划分，实现不同用户对于不同应用程序的控制。
    (2)稳妥有效的数据保护策略。因为ssl vpn接入的是内部网络的应用，而不是整个网络，并限制了非web端口的访问，使得部分文件操作功能不易实现，这实际上也起到了相应的保护功能。同时，ssl网关隔离了内部服务器和客户端，客户端的大多数病毒木马感染不到内网服务器。而ipsec vpn实现的是ip级别的访问，使得局域网能够传播的病毒，通过vpn也能够传播，极易导致内部网络的防病毒策略形同虚设。一旦恶意ipsec vpn用户获得权限通过了网关，无疑会给内网带来灾难性的后果，但ssl vpn大大减弱了类似的风险。
    (3)良好的可管理性和可控性。一方面，ssl vpn的部署不需改变原网络结构，就可部署在内网任一节点处，并可随时添加需要vpn保护的服务器。而ipsec vpn在部署时，则要考虑网络的拓扑结构，设备的移除和添加就有可能导致vpn重新部署，且客户终端设备的变更，也意味着客户端软件的更新或部署。另一方面，数字化校园已经将更多的服务集成于web应用，具备个性化的门户网站，不同的部门和人员都有对应的内网访问权限。这和基于ssl vpn的用户访问级别划分控制策略是一致的。
    (4)便捷的移动性和分散性。ssl作为处于应用层和丁cp/ud尸层之间的安全协议，可提供基于应用层的访问控制，更适合远程安全访问的移动性和分散性特点。ssl vpn能遍历所有nat设备、基于代理的防火墙和状态检测防火墙，这使得用户能够基本上不受接入位置限制，可以从众多接入设备、任何远程位置访问网络，而ipsec vpn则很难实现上述特点。其次，ssl无需在客户端设备上安装软件，只需通过标准的web浏览器连接网络，即可访问内部资源。而基于ipsec的远程访问不仅要安装特殊用途的客户端软件，而且还存在兼容性问题。