基于SSL VPN單點(diǎn)登錄在區(qū)域衛(wèi)生信息平臺中的應(yīng)用

作者：時(shí)間：2012-02-16 來源：網(wǎng)絡(luò)

加入技術(shù)交流群
- 掃碼加入
  和技術(shù)大咖面對面交流
  海量資料庫查詢

單點(diǎn)登錄(Single Sign On，簡稱為SSO)技術(shù)就是為這樣的多種業(yè)務(wù)應(yīng)用系統(tǒng)提供集中統(tǒng)一的身份認(rèn)證系統(tǒng)，實(shí)現(xiàn)“一點(diǎn)登錄、多點(diǎn)漫游”的目標(biāo)。
單點(diǎn)登錄是目前比較流行的企業(yè)業(yè)務(wù)整合解決方案之一。單點(diǎn)登錄是指在多個(gè)應(yīng)用系統(tǒng)中，用戶只需要輸入一次用戶名和密碼，登錄到統(tǒng)一信息門戶管理層，就可以訪問所有授權(quán)的業(yè)務(wù)應(yīng)用系統(tǒng)。單點(diǎn)登錄是一種用于方便用戶訪問網(wǎng)絡(luò)的技術(shù)，無論多么復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)，用戶只需在登錄時(shí)進(jìn)行一次注冊，即可獲得訪問系統(tǒng)和應(yīng)用軟件的授權(quán)，以后便可以在網(wǎng)絡(luò)中自由穿梭，不必多次輸人用戶名和口令來確定身份，為用戶提供統(tǒng)一的信息資源認(rèn)證訪問平臺，建立統(tǒng)一的、基于角色的和個(gè)性化的信息訪問、集成平臺。單點(diǎn)登錄系統(tǒng)從根本上不再使用基于用戶名和密碼的身份認(rèn)證機(jī)制，而是采用結(jié)合了密碼學(xué)技術(shù)的新的身份認(rèn)證機(jī)制；單點(diǎn)登錄系統(tǒng)把原來分散的用戶管理集中了起來，各個(gè)系統(tǒng)之間依靠相互信賴的關(guān)系來進(jìn)行用戶身份的自動認(rèn)證。用戶的賬號信息是集中保存和管理的，管理員只需要在統(tǒng)一的用戶信息數(shù)據(jù)庫中添加、刪除用戶賬號，不必在多個(gè)系統(tǒng)中分別設(shè)置用戶信息數(shù)據(jù)庫。

2 SSL VPN技術(shù)
VPN(Virtual Private Network，虛擬專用網(wǎng)絡(luò))是一門網(wǎng)絡(luò)新技術(shù)，為我們提供了一種通過公用網(wǎng)絡(luò)安全地對企業(yè)內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問的連接方式，它可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。IPSec(Security)VPN與SSL(Secure Socket Layer，安全套接層協(xié)議)VPN是目前VPN領(lǐng)域流行的兩類Intemet遠(yuǎn)程安全接入技術(shù)，從整體的安全等級來看，兩者具有類似的功能特性，但也存在很大不同。
IPSec VPN工作在網(wǎng)絡(luò)層，提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)和透明的安全通信；IPSec VPN技術(shù)設(shè)計(jì)用于連接和保護(hù)在信任網(wǎng)絡(luò)中的數(shù)據(jù)流，因此，更適合為不同的網(wǎng)絡(luò)提供通信安全保障；部署IPSec VPN需要在客戶端安裝復(fù)雜的軟件，以便遠(yuǎn)程訪問；當(dāng)用戶的VPN策略稍微有所改變時(shí)，VPN的管理難度將呈幾何級數(shù)增長。而SSLVPN工作在應(yīng)用層(基于HTFP協(xié)議)和TCP層之間，提供SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性；SSL VPN技術(shù)更適合應(yīng)用于遠(yuǎn)程分散移動用戶的安全接入。相對于IPSec VPN而言，部署SSL VPN方便，不需要安裝客戶端程序。目前對SSL VPN公認(rèn)的四大優(yōu)點(diǎn)是：1)簡單性：它不需要配置，可以立即安裝，立即生效；2)安裝簡單：客戶端不需要安裝專用程序，直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議即可；3)兼容性好：傳統(tǒng)的IPSecVPN對客戶端采用的操作系統(tǒng)版本具有很高的要求，不同的終端操作系統(tǒng)需要不同的客戶端軟件，而SSL VPN則完全沒有這樣的麻煩。4)容易維護(hù)：只維護(hù)網(wǎng)關(guān)就可以；5)安全性高，對內(nèi)部服務(wù)器和客戶端實(shí)施了隔離，只留下Web瀏覽接口。

3 基于SSL VPN單點(diǎn)登錄技術(shù)在區(qū)域衛(wèi)生信息平臺的部署
基于SSL VPN單點(diǎn)登錄技術(shù)是將單點(diǎn)登錄技術(shù)與SSL VPN技術(shù)相結(jié)合，將用戶身份信息同時(shí)提供給SSL VPN接入系統(tǒng)，通過配置，SSL VPN接入設(shè)備指向單點(diǎn)登錄的用戶數(shù)據(jù)庫，直接從中獲取用戶的身份信息，獲得認(rèn)證通過。在VPN上無需再重復(fù)建立一套用戶數(shù)據(jù)庫，系統(tǒng)管理員只需維護(hù)單點(diǎn)登錄上的用戶數(shù)據(jù)庫，即可實(shí)現(xiàn)外網(wǎng)接入的統(tǒng)一用戶管理和統(tǒng)一身份認(rèn)證。
我們在開發(fā)湖南省岳陽市區(qū)域衛(wèi)生信息平臺的實(shí)踐中，將信息平臺內(nèi)各個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)服務(wù)器組建成一個(gè)局域網(wǎng)，而把衛(wèi)生局行政管理人員、醫(yī)療機(jī)構(gòu)的醫(yī)生與醫(yī)輔管理人員、居民個(gè)人等所有用戶都作為該局域網(wǎng)的外網(wǎng)用戶，采用一臺深信服SSL VPN設(shè)備進(jìn)行區(qū)域平臺系統(tǒng)用戶的單點(diǎn)登錄與統(tǒng)一身份認(rèn)證，實(shí)現(xiàn)外網(wǎng)用戶登錄一次后就可訪問該平臺上所有授權(quán)訪問的各個(gè)業(yè)務(wù)系統(tǒng)；同時(shí)也為外網(wǎng)用戶提供安全的接入機(jī)制。區(qū)域衛(wèi)生信息平臺硬件系統(tǒng)拓?fù)浣Y(jié)構(gòu)如圖2所示。

本文引用地址：http://butianyuan.cn/article/155291.htm

通過開發(fā)區(qū)域衛(wèi)生信息平臺的實(shí)踐，基于SSL VPN單點(diǎn)登錄技術(shù)具有如下特點(diǎn)：
(1)SSL VPN無需客戶端程序，安裝部署使用方便；
(2)SSL VPN不會受到安裝在客戶端與服務(wù)器之間的防火墻的影響；
(3)SSL VPN可以在任何地點(diǎn)，利用任何設(shè)備，連接到相應(yīng)的網(wǎng)絡(luò)資源上，具備優(yōu)異的擴(kuò)展能力；
(4)SSL VPN是基于應(yīng)用層面的VPN，更容易提供細(xì)粒度遠(yuǎn)程訪問，支持更多的身份認(rèn)證方式，如USBKey，動態(tài)口令牌等。
(5)管理員只需維護(hù)一套用戶數(shù)據(jù)庫，管理外網(wǎng)訪問用戶的賬號和密碼。

4 結(jié)語
我們設(shè)計(jì)的基于SSL VPN單點(diǎn)登錄系統(tǒng)不但可以提供一個(gè)統(tǒng)一身份認(rèn)證、統(tǒng)一用戶管理、統(tǒng)一授權(quán)管理、統(tǒng)一資源管理和單點(diǎn)登錄平臺，而且具有安裝、部署、使用、維護(hù)均十分方便的特點(diǎn)，目前己廣泛應(yīng)用于整合多業(yè)務(wù)應(yīng)用系統(tǒng)的大平臺之中。

新聞中心

基于SSL VPN單點(diǎn)登錄在區(qū)域衛(wèi)生信息平臺中的應(yīng)用

評論

相關(guān)推薦

技術(shù)專區(qū)