应用业务的用户连接

【摘要】应用业务的用户连接，包括连接方式的选择，连接管理和控制。连接的安全策略等等。用户的连接是用户接入系统，获得服务的前提。连接的安全保障，连接行为策略的设计对系统提供服务质量非常重要。应给予高度重视。本文介绍用户连接的一些基本知识希望能给读者在从事相关工作时一定的帮助。

【关键词】网络连接；网络安全；网络设计；设备部署

一、关于应用业务终端连接方式

用户连接系统，可以采取多种终端的连接部署形式。常见的终端线路部署形式分为独立终端线路连接和共享终端线路连接。

独立终端线路连接是指使用单独的终端线路连接特定的用户和系统。使用独立的终端线路连接系统。性能好，安全性高。但是成本也较高。现在一般只在特殊业务中使用。

共享终端线路的连接是指多个用户共享统一终端线路或共享统一主干线路的连接形式。目前大多的用户连接，都采用共享方式的终端线路。共享终端线路可以提高线路利用率，降低部署成本。在大多情况下应用业务中被广泛使用。由于此类终端线路，需要多用户共享使用。设计时应注意考虑解决共享冲突的发生，提高线路利用率以及如何保障安全等多种问题。此类技术经过多年来的不断发展已经比较成熟，在实际案例中广泛应用。

二、应用业务连接的工作模式

1.广播模式

在传统网络中，用户连接常使用广播模式，比较典型的如基于以太网的连接实现。终端在网络中广播消息，发现系统并连接。采用广播模式，使其连接的实现较为简单。服务端维持连接的资源开销相对较小。安全方面的存在一定挑战。例如arp下身份冒用等。且其难以在广域网中实现。

2.单纯的点对点模式

单纯的点对点连接模式是指单纯通过点对点协议直接连接至系统的接入方式。在一定安全机制的辅助下，连接的安全性有所提高。适合于广域网的连接。服务提供方负荷也相对较小。

3.隧道模式

隧道(Tunnelling)模式是指的利用网络隧道协议来实现终端的连接。隧道技术主要涉及了三种协议，即隧道协议、隧道协议下面的承载协议和隧道协议所承载的被承载协议。

常见隧道协议有两种类型，一种是二层隧道协议三层隧道协议，用于传输三层网络协议。二层协议主要有L2F、PPTP、L2TP三层协议主要有VTP、IPSec等。

虽然隧道连接技术对系统的开销相对较大。但其优异的安全性和可靠性以及灵活控制策略越来越成为当前系统连接模式的首选。

三、连接的设计与管理

A.认证机制

用户连接应以科学，完善用户认证机制为前提保障。这些机制包括合理，高效，安全的用户数据库管理。用户鉴别的反欺骗，反侵入策略等。科学的用户管理是业务使用权限和工作视图的依据。也是系统提供连接质量分类的依据。

B.连接质量

根据用户规划提供给用户不同的连接服务。例如按用户等级提供不同的连接速率，不同级别提供分级的安全保障，连接冲突时采取的服务优先等级等。连接服务的行为控制策略对连接的行为控制是非常重要的。

C.连接的安全性

（1）物理安全

终端线路的物理安全，对连接的安全性，可靠性非常重要。终端线路的部署应做到防雷，防震，安全可靠。应采用科学的综合布线方法。统一规划，严格施工。规划施工中做到，清晰准确，因地制宜。避免随意草率的线路布置。建设合理适应的线路环境，防止环境因素对线路稳定性的影响。关键领域可考虑屏蔽设施，阻止电磁泄露，造成安全上的隐患。

（2）信息安全

安全的内容：

保证数据的机密性，防止信息窃取。加密措施不力，数据信传送过程中，窃听者截获传送的数据信息，造成网上传输信息泄露。防止身份的假冒，因为认证机制的漏洞，造成攻击方假冒身份与连接方连接。使得数据遭到泄露和破坏。防止信息的篡改，当入侵者截获传送的数据信息以后。篡改数据并采用重放的手段。把篡改后的数据发送出去。造成数据安全的破坏。防止连接恶意破坏活动，入侵者恶意破坏正常的通信。造成拒绝连接，服务超限等网络故障。

几种常见的安全协议：

关于Ssl：

SsL(Secure Sockets Layer安全套接层下一代传输层安全设计“传输层安全”（Transport Layer Security，TLS）)是为网络通信传输提供数据安全以及数据完整性保护的一种安全协议。TLS与SSL在传输层对网络连接进行加密。

SSL协议设计在TCP/IP协议（传输层/网络层）与各种应用层协议之间，为数据信息通讯提供着安全支持保障。SSL协议被设计为为两层：

SSL Record Protocol（SSL记录协议）：是建立在可靠的传输协议（如TCP协议）之上，为高层协议提供了数据压缩、封装、加密等各种功能的支持。

SSL Handshake Protocol（SSL握手协议）：它建立在SSL Record Protocol之上，作为实际的数据传输开始前的准备工作。如通讯双方的身份认证、加密算法协商、加密密钥交换等等。

Secure Sockets Layer协议提供的服务主要包括：

a.对通讯数据加密以防止数据被监听或窃取。

b.保障通讯数据的完整性，确保数通讯据在传输过程中不被篡改。

c.对通讯双方认证。识别通讯双方的身份。

关于Ipsec：

IPSec基于第三层的端对端安全模式，在双方ip地址之间建立信任，保证通信的安全。

IPSec给出了应用于第三层上网络数据安全的一整套体系结构，其中主要包括Authentication Header（AH网络认证协议）、Encapsulating Security Payload（ESP封装安全载荷协议）、Internet Key Exchange（IKE密钥管理协议）和网络认证及加解密所需要的一些算法等。

IPSec向上提供了访问控制，数据源认证、数据加密等网络安全服务。它规定了如何在对等层之间选择安全协议。并确定安全算法和密钥交换。

（3）应用业务的连接网关

连接网关是指连接服务的独立部署。一般是由一个独立的，专门的连接服务器实现，提供网络各层的连接服务。每个终端统一连接到连接网关。由连接网关完成所有连接服务的控制和管理。连接网关隔离应用系统和终端的直接联络。这样的部署方式，可能会造成应用系统的系统开销增大。但这样部署大大的提高了连接的安全性。将非法侵入和攻击的连接屏蔽在系统服务之外。而且还可以灵活的管理终端连接的各种请求和行为。

四、应用业务用户连接的部署

1.应用业务终端连接的部署

在依据终端部署各种相关标准的同时，终端的部署应注意几个原则。

第一是标准化与个性化相协调的原则。标准化的终端可以提供给用户熟悉的人机对话环境。提高用户的工作效率。而个性化的终端设计能提供给用户良好的使用体验。激发用户的使用兴趣。所以在部署时应注意两者的相互结合。既要使得采用标准化使得用户们容易上手，又采取个性化要给用户以多种的使用选择。

第二应注意终端支持的广泛化的原则。目前桌面级终端产品日益增加。其发展也呈现多样化的趋势。例如，我们常见到的终端既有pc机又有苹果机。甚至现在流行的平板电脑。手机等等各种移动设备。终端市场越来越细化。我们在终端设计时应充分考虑其对市场的广泛支持。终端的跨平台设计对系统的架构来讲已经变得越来越重要。

2.应用系统中连接服务器的部署

独立的专门的连接服务器设计在某些系统中是非常必要的。随着集群技术，虚拟化技术应用的日益广泛。连接服务器的部署实现也表现的越来越灵活。特别云计算的出现后，业务使用可以在集群中弹性的分配。这种形式下采用独立部署连接服务，实现连接与应用业务的高度解耦势在必行。

连接服务器部署时，需要注意接入和业务充分隔离。这样才能充分保证终端连接的安全性。连接服务器部署也可采取集群模式。这样可以保证其软硬件科学部署与扩展，也大大的削弱了连接服务的瓶颈依赖。维持连接需要消耗大量的资源，在部署连接服务器时应予充分考虑。分配足够的计算能力和主存容量。

3.连接安全性的设计与部署

连接的安全部署，应遵循信息系统安全标准严格实施。安全技术的选择上IPSec是一个标准的第三层安全协议，它是在隧道外面再封装，保证了在传输过程中的安全。IPSec的主要特征在于它可以对所有IP级的通信进行加密。Ssl的安全机制是位于网络传输层和应用层之间。一般作为资源访问的安全控制。使用时应附加在其他连接机制上。保证连接的安全。两种安全技术各有特点。从目前看IPSec对VPN而言仍是重要的隧道和加密技术。但ssl技术发展的迅速。特别是降低部署成本、减小对日常性支持和管理等特性。对用户有着很大吸引力。应根据具体的系统要求选择部署相适应的技术。

五、应用业务连接质量的评价

对于连接质量的评价首先要科学的选择或设计出合理的评价模型。在选择和设计评价模型时应对系统接入的需求和质量属性有明确的认识和研究。这是评价模型客观，科学的前提。在评价模型选择或设计过程中要做到集思广益，反复推敲。召集领域专家反复论证，全面衡量。明确出识别系统质量的风险点。准确找出敏感点位置。设计出评价方案后应依据方案合理的组织评价工作的开展。对评价方案文档管理应由专人负责，清晰管理。

评价用例要求，用例数据覆盖全面。特别注意便捷用例的设计，避免发生遗漏。要保证用力的设计符合实际工作的情况。确认其客观有效。并注意评价用例的归档，分类，管理。应注意用例评价结果的记录准确和详细。

组织专家对评价结果，认真分析，识别问题所在。深刻的剖析内在的规律。根据分析的结果，提出行之有效的解决方案。

六、结束语

应用业务连接的规划与部署，目前已有多种成熟的解决方案。各类方案都有独到的特色。然用户的接入环境千变万化，用户需求莫衷一是。所以实际案例中设计者应做到因地制宜。根据科学的理论，自己丰富经验。结合实际情况，设计应对不同用户的需求和环境。已达到系统部署质量的优化。

参考文献

[1]易建勋译著.计算机网络设计[M].人民邮电出版社,2011,5.

[2]何文生译著.企业网搭建及应用[M].电子工业出版社,2010,1.

[3]汤小丹译著.计算机操作系统[M].西安电子科技大学出版社,2011,2.