基于SSL VPN的單點(diǎn)登錄在智慧校園平臺(tái)中的應(yīng)用

俞靚亮

摘要：在過(guò)去幾年的時(shí)間中，寧波廣播電視大學(xué)開(kāi)發(fā)和購(gòu)買了各類信息系統(tǒng)和運(yùn)維系統(tǒng)，例如工資查詢系統(tǒng)、科研管理系統(tǒng)、智慧校園門戶和思福迪堡壘機(jī)等?；诰W(wǎng)絡(luò)安全和信息保密的考慮，這些系統(tǒng)需要部署在校園網(wǎng)環(huán)境中對(duì)授權(quán)用戶開(kāi)放訪問(wèn)，在互聯(lián)網(wǎng)上授權(quán)用戶只能通過(guò)登錄vpn后才能訪問(wèn)這些系統(tǒng)。該文采用了深信服的sslvpn，認(rèn)證方式包括本地密碼認(rèn)證和cas票據(jù)認(rèn)證，對(duì)于已經(jīng)接入智慧校園統(tǒng)一身份認(rèn)證的系統(tǒng)，采用cas票據(jù)認(rèn)證先登錄vpn，再訪問(wèn)這些系統(tǒng)，對(duì)于思福迪堡壘機(jī)等運(yùn)維系統(tǒng)，只需新建若干個(gè)本地賬戶分配給有需要的老師即可。此外，該文還實(shí)現(xiàn)了vpn無(wú)感知拉起業(yè)務(wù)系統(tǒng)的功能，被授權(quán)的用戶在互聯(lián)網(wǎng)上直接輸入業(yè)務(wù)系統(tǒng)的網(wǎng)址，就能調(diào)用vpn并訪問(wèn)該業(yè)務(wù)系統(tǒng)，達(dá)到方便又安全的效果。

關(guān)鍵詞：?jiǎn)吸c(diǎn)登錄;vpn;cas

中圖分類號(hào)：TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2021）04-0050-03

Abstract： In the past few years，Ningbo TV & Radio University has developed and purchased various information systems and operation and maintenance systems， such as salary query system， scientific research management system， smart campus portal and SAFETYBASE fortress machine， etc. Based on the consideration of network security and information confidentiality， these systems need to be deployed in the campus network environment to open access to authorized users. Authorized users on the Internet can only access these systems by logging in VPN.In this paper， we use SSL VPN of SANGFOR， which includes local password authentication and CAS bill authentication. For the system that has been connected to the unified identity authentication of smart campus， we use CAS bill authentication to log in VPN first， and then access these systems. For the operation and maintenance system such as the SAFETY BASE fortress machine， we only need to create a number of local accounts and assign them to the teachers who need them.In addition， this paper also realizes the function of pulling up the business system without VPN awareness. Authorized users can directly input the web address of the business system on the Internet， and then they can call VPN and visit the business system， achieving the convenient and safe effect.

Key words：single sign-on; VPN;CAS

1 sslvpn中單點(diǎn)登錄技術(shù)的研究現(xiàn)狀

sslvpn中單點(diǎn)登錄主要包括ldap認(rèn)證、radius認(rèn)證、域單點(diǎn)登錄認(rèn)證和cas認(rèn)證。ldap是Lightweight Directory Access Protocol（輕型目錄訪問(wèn)協(xié)議）的縮寫，是一個(gè)開(kāi)放的，中立的，工業(yè)標(biāo)準(zhǔn)的應(yīng)用協(xié)議，通過(guò)IP協(xié)議提供訪問(wèn)控制和維護(hù)分布式信息的目錄信息。目錄服務(wù)在開(kāi)發(fā)內(nèi)部網(wǎng)和與互聯(lián)網(wǎng)程序共享用戶、系統(tǒng)、網(wǎng)絡(luò)、服務(wù)和應(yīng)用的過(guò)程中占據(jù)了重要地位。例如，目錄服務(wù)可能提供了組織有序的記錄集合，通常有層級(jí)結(jié)構(gòu)，例如公司電子郵件目錄。同理，也可以提供包含了地址和電話號(hào)碼的電話簿。ldap的一個(gè)常用用途是單點(diǎn)登錄，用戶可以在多個(gè)服務(wù)中使用同一個(gè)密碼，通常用于公司內(nèi)部網(wǎng)站的登錄中，這樣用戶可以在公司計(jì)算機(jī)上登錄一次，便可以自動(dòng)在公司內(nèi)部網(wǎng)上登錄。radius是一種用于在需要認(rèn)證其鏈接的網(wǎng)絡(luò)訪問(wèn)服務(wù)器（nas）和共享認(rèn)證服務(wù)器之間進(jìn)行認(rèn)證、授權(quán)和記賬信息的文檔協(xié)議。radius服務(wù)器負(fù)責(zé)接收用戶的連接請(qǐng)求、認(rèn)證用戶，然后返回客戶機(jī)所有必要的配置信息以將服務(wù)發(fā)送到用戶，利用radius可以實(shí)現(xiàn)單點(diǎn)登錄。域單點(diǎn)登錄認(rèn)證借助Active Directory用作單點(diǎn)登錄的身份提供商，人員和機(jī)構(gòu)信息都保存在Active Directory中，機(jī)構(gòu)節(jié)點(diǎn)為樹(shù)形節(jié)點(diǎn)，節(jié)點(diǎn)下包含了人員節(jié)點(diǎn)，可以實(shí)現(xiàn)域用戶自動(dòng)登錄sslvpn。

石炎生[1]在開(kāi)發(fā)岳陽(yáng)樓區(qū)基于健康檔案的區(qū)域衛(wèi)生信息平臺(tái)的實(shí)踐，提出了單點(diǎn)登錄技術(shù)與SSL VPN技術(shù)相結(jié)合的基于SSL VPN單點(diǎn)登錄技術(shù)，為整合多種醫(yī)療業(yè)務(wù)應(yīng)用系統(tǒng)提供了一個(gè)統(tǒng)一身份認(rèn)證、統(tǒng)一用戶管理、統(tǒng)一授權(quán)管理、統(tǒng)一資源管理和單點(diǎn)登錄平臺(tái)。周蕾[2]針對(duì)VPN網(wǎng)絡(luò)中眾多遺留系統(tǒng)單點(diǎn)登錄的應(yīng)用需求，提出了基于Web Services的統(tǒng)一身份認(rèn)證方案，并從系統(tǒng)的功能設(shè)計(jì)、Web服務(wù)設(shè)計(jì)以及安全機(jī)制設(shè)計(jì)等方面，詳細(xì)敘述了系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)過(guò)程。由于SSL VPN接入方式安全、簡(jiǎn)單易用，且可進(jìn)行有效的權(quán)限管理，同時(shí)具備跨平臺(tái)、免客戶端等特性，被大量使用，其認(rèn)證方式多種多樣，目前使用較多的有動(dòng)態(tài)口令認(rèn)證技術(shù)、數(shù)字證書(shū)認(rèn)證技術(shù)等。王鵬[3]基于此，技術(shù)分析了企業(yè)SSL VPN認(rèn)證方式。鄧屾[4]對(duì)vpn網(wǎng)絡(luò)中通信安全隱患進(jìn)行了分析，通過(guò)防火墻技術(shù)、文件機(jī)密和數(shù)字簽名技術(shù)、漏洞掃描技術(shù)、入侵檢測(cè)技術(shù)等方面做以深入探討，能為相關(guān)人士提供有效參考。周偉[5]為方便教職工在校園網(wǎng)外能快速訪問(wèn)校園網(wǎng)絡(luò)資源，在開(kāi)源項(xiàng)目OpenVPN的基礎(chǔ)上結(jié)合數(shù)字校園統(tǒng)一身份認(rèn)證平臺(tái)設(shè)計(jì)開(kāi)發(fā)了遠(yuǎn)程接入系統(tǒng)。系統(tǒng)采用客戶機(jī)/服務(wù)器模式，用戶通過(guò)客戶端軟件使用數(shù)字校園統(tǒng)一身份認(rèn)證系統(tǒng)進(jìn)行認(rèn)證，與VPN接入服務(wù)器建立連接后可快速訪問(wèn)校園網(wǎng)絡(luò)資源。

2 sslvpn中單點(diǎn)登錄的技術(shù)實(shí)現(xiàn)

搭建ldap服務(wù)器或者radius服務(wù)器，通過(guò)外部認(rèn)證用戶數(shù)據(jù)庫(kù)的映射或?qū)氲奖镜豷slvpn的形式來(lái)托管用戶密碼認(rèn)證操作，存在一個(gè)問(wèn)題：無(wú)法實(shí)時(shí)同步ldap服務(wù)器或者radius服務(wù)器與統(tǒng)一認(rèn)證服務(wù)器之間的賬號(hào)和密碼。當(dāng)用戶修改統(tǒng)一認(rèn)證的密碼之后，ldap服務(wù)器或者radius服務(wù)器無(wú)法及時(shí)獲取到修改后的密碼，用戶無(wú)法正確登錄sslvpn。域單點(diǎn)登錄認(rèn)證也有這個(gè)問(wèn)題。所以本文采用cas認(rèn)證的方式，直接把sslvpn系統(tǒng)作為casclient端接入到智慧校園的單點(diǎn)登錄系統(tǒng)的server端中。

寧波廣播電視大學(xué)智慧校園的單點(diǎn)登錄系統(tǒng)的服務(wù)端采用了廣州聯(lián)奕信息科技有限公司開(kāi)發(fā)的casserver，各類業(yè)務(wù)系統(tǒng)如果要接入單點(diǎn)登錄系統(tǒng)，必須自行開(kāi)發(fā)casclient，并且在server端注冊(cè)Client的信息，包括應(yīng)用名稱，應(yīng)用域名、登錄url、退出url、字符編碼等信息。首先我們把sslvpn的域名注冊(cè)到server端，然后在系統(tǒng)設(shè)置->sslvpn選項(xiàng)->主題管理->登錄策略中增加一條策略，如圖1所示。訪問(wèn)地址/*表示使用域名訪問(wèn)vpn。適用用戶如果未選擇，則為默認(rèn)用戶組中的所有用戶。門戶類別選擇第三方門戶，認(rèn)證類型選擇cas票據(jù)認(rèn)證。設(shè)置成功之后，用戶在瀏覽器中輸入vpn域名，就會(huì)自動(dòng)跳轉(zhuǎn)到智慧校園的單點(diǎn)登錄系統(tǒng)界面，輸入用戶名和密碼，就能登錄vpn進(jìn)入資源列表頁(yè)面。因?yàn)閱吸c(diǎn)登錄系統(tǒng)的用戶是全校的教職工，還有一些零散的用戶，例如各個(gè)縣級(jí)電大和公司運(yùn)維人員的賬號(hào)不在單點(diǎn)登錄系統(tǒng)的用戶列表中。需要為這些用戶建立新的登錄策略，其訪問(wèn)地址使用ip地址形式，適用用戶選擇這些零散的用戶，門戶類別選擇本地門戶，如圖2所示。另外，還需要在系統(tǒng)設(shè)置->sslvpn選項(xiàng)->系統(tǒng)選項(xiàng)->資源服務(wù)選項(xiàng)->web應(yīng)用中設(shè)置web泛域名：*.vpn.nbtvu.net.cn：8118。所謂“泛域名”就是在一個(gè)域名根之下的，所有未建立的子域名集合，泛域名不包括已成功建立域名記錄的子域名。所謂“泛域名解析”是指：利用通配符* （星號(hào)）來(lái)做次級(jí)域名以實(shí)現(xiàn)所有的次級(jí)域名均指向同一IP地址。需要說(shuō)明的是，如果單獨(dú)設(shè)置一個(gè)子域名解析，那么該解析記錄優(yōu)先，泛域名解析不起作用。泛域名解析主要包括以下用途：（1）可以讓域名支持無(wú)限的子域名（這也是泛域名解析最大的用途）。（2）防止用戶錯(cuò)誤輸入導(dǎo)致的網(wǎng)站不能訪問(wèn)的問(wèn)題。（3）可以讓直接輸入網(wǎng)址登錄網(wǎng)站的用戶輸入簡(jiǎn)潔的網(wǎng)址即可訪問(wèn)網(wǎng)站。（4）在域名前添加任何子域名，均可訪問(wèn)到所指向的web地址。泛域名在實(shí)際使用中作用是非常廣泛的，比如實(shí)現(xiàn)無(wú)限二級(jí)域名功能，提供免費(fèi)的url轉(zhuǎn)發(fā)，在idc部門實(shí)現(xiàn)自動(dòng)分配免費(fèi)網(wǎng)址，在大型企業(yè)中實(shí)現(xiàn)網(wǎng)址分類管理等等，都發(fā)揮了巨大的作用。

設(shè)置成功之后，如果資源類型是“web應(yīng)用”類型，資源的域名是wqs.nbtvu.net.cn，那么用戶打開(kāi)資源之后，在瀏覽器地址欄可以看到訪問(wèn)地址是wqs-nbtvu-net-cn.vpn.nbtvu.net.cn：8118。科研管理系統(tǒng)也需要設(shè)置成在內(nèi)網(wǎng)訪問(wèn)，外網(wǎng)訪問(wèn)必須通過(guò)vpn，它的域名是kyxt.nbtvu.net.cn，經(jīng)過(guò)vpn設(shè)備解析之后訪問(wèn)地址變成了kyxt-nbtvu-net-cn.vpn.nbtvu.net.cn：8118。類似的，如果以后有新的系統(tǒng)x.nbtvu.net.cn需要設(shè)置成外網(wǎng)通過(guò)vpn訪問(wèn)，那么它的域名就會(huì)變成x-nbtvu-net-cn.vpn.nbtvu.net.cn：8118。在域名vpn.nbtvu.net.cn前添加任何子域名，均可訪問(wèn)到vpn.nbtvu.net.cn所指向的web地址。

3? sslvpn無(wú)感知拉起業(yè)務(wù)系統(tǒng)的技術(shù)實(shí)現(xiàn)

vpn無(wú)感知拉起場(chǎng)景適用于業(yè)務(wù)系統(tǒng)使用域名且被cas業(yè)務(wù)系統(tǒng)納管的場(chǎng)景。終端用戶在內(nèi)網(wǎng)訪問(wèn)和互聯(lián)網(wǎng)訪問(wèn)該業(yè)務(wù)系統(tǒng)，體驗(yàn)保持一致，即都是使用域名訪問(wèn)該業(yè)務(wù)系統(tǒng)，但業(yè)務(wù)系統(tǒng)未映射到互聯(lián)網(wǎng)，通過(guò)互聯(lián)網(wǎng)訪問(wèn)該業(yè)務(wù)系統(tǒng)無(wú)感知拉起vpn，代理訪問(wèn)該業(yè)務(wù)系統(tǒng);通過(guò)內(nèi)網(wǎng)不使用vpn，直接訪問(wèn)該業(yè)務(wù)系統(tǒng)。

首先，在外網(wǎng)的dns服務(wù)器上把業(yè)務(wù)系統(tǒng)的域名wqs.nbtvu.net.cn指向vpn設(shè)備的外網(wǎng)ip地址，確保在外網(wǎng)訪問(wèn)wqs.nbtvu.net.cn時(shí)，能連接vpn設(shè)備。內(nèi)網(wǎng)dns服務(wù)器將該業(yè)務(wù)指向內(nèi)網(wǎng)真實(shí)IP。然后，將泛域名*.vpn.nbtvu.net.cn指向vpn設(shè)備的外網(wǎng)ip地址，因?yàn)樵谕饩W(wǎng)訪問(wèn)wqs.nbtvu.net.cn時(shí)，vpn設(shè)備會(huì)為之產(chǎn)生域名wqs-nbtvu-net-cn.vpn.nbtvu.net.cn。另外，在上一節(jié)中已經(jīng)提到要在資源服務(wù)選項(xiàng)中為web應(yīng)用設(shè)置web泛域名：*.vpn.nbtvu.net.cn：8118。最后，因?yàn)関pn設(shè)備部署模式為單臂模式，部署在內(nèi)網(wǎng)，通過(guò)出口設(shè)備連接上網(wǎng)。需要在網(wǎng)絡(luò)出口設(shè)備防火墻上設(shè)置vpn設(shè)備的內(nèi)網(wǎng)ip的80端口映射到vpn設(shè)備的外網(wǎng)ip的80端口，以實(shí)現(xiàn)web應(yīng)用的80端口跳轉(zhuǎn)。如果業(yè)務(wù)系統(tǒng)使用的端口為非標(biāo)準(zhǔn)端口，http協(xié)議非80端口，https協(xié)議非443端口，則需在系統(tǒng)維護(hù)->控制臺(tái)命令中執(zhí)行webvpn-port add端口號(hào)，即可監(jiān)聽(tīng)所需的非標(biāo)準(zhǔn)端口。

設(shè)置完成后，學(xué)校教職工在外網(wǎng)輸入http：//wqs.nbtvu.net.cn，由于域名wqs.nbtvu.net.cn指向了vpn設(shè)備的外網(wǎng)ip地址并且vpn設(shè)備的內(nèi)網(wǎng)ip的80端口映射到vpn設(shè)備的外網(wǎng)ip的80端口，vpn設(shè)備就能監(jiān)聽(tīng)到訪問(wèn)請(qǐng)求并且把訪問(wèn)地址解析為http：//wqs-nbtvu-net-cn.vpn.nbtvu.net.cn：8118/，其中wqs-nbtvu-net-cn.vpn.nbtvu.net.cn是泛域名*.vpn.nbtvu.net.cn根據(jù)業(yè)務(wù)系統(tǒng)具體生成的一個(gè)子域名，8118是預(yù)先配置的端口號(hào)。因?yàn)樵O(shè)置了使用域名訪問(wèn)vpn設(shè)備的認(rèn)證類型是cas票據(jù)認(rèn)證，所以在用戶沒(méi)有登錄統(tǒng)一身份認(rèn)證系統(tǒng)的情況下，訪問(wèn) http：//wqs-nbtvu-net-cn.vpn.nbtvu.net.cn：8118/會(huì)跳轉(zhuǎn)到統(tǒng)一身份認(rèn)證系統(tǒng)的登錄界面（如果用戶已經(jīng)登錄了統(tǒng)一身份認(rèn)證系統(tǒng)，就能自動(dòng)訪問(wèn)http：//wqs.nbtvu.net.cn地址）。用戶輸入正確的統(tǒng)一身份認(rèn)證用戶名和密碼后就能訪問(wèn)http：//wqs.nbtvu.net.cn地址。但是還有一個(gè)問(wèn)題，工資查詢系統(tǒng)接入到統(tǒng)一身份認(rèn)證系統(tǒng)的地址是http：//wqs.nbtvu.net.cn/sso/login.aspx，所以還需要在http：//wqs.nbtvu.net.cn地址對(duì)應(yīng)的頁(yè)面文件中增加一行跳轉(zhuǎn)到http：//wqs.nbtvu.net.cn/sso/login.aspx的代碼，這樣才能實(shí)現(xiàn)用戶輸入正確的統(tǒng)一身份認(rèn)證用戶名和密碼，登錄統(tǒng)一身份認(rèn)證系統(tǒng)后，再自動(dòng)登錄工資查詢系統(tǒng)。另外，學(xué)校教職工在內(nèi)網(wǎng)輸入http：//wqs.nbtvu.net.cn，不經(jīng)過(guò)vpn設(shè)備，通過(guò)內(nèi)網(wǎng)dns服務(wù)器直接訪問(wèn)對(duì)應(yīng)的內(nèi)網(wǎng)ip地址。如果用戶已經(jīng)登錄了統(tǒng)一身份認(rèn)證系統(tǒng)，就能自動(dòng)登錄工資查詢系統(tǒng)，否則，輸入正確的統(tǒng)一身份認(rèn)證用戶名和密碼，登錄統(tǒng)一身份認(rèn)證系統(tǒng)后，再自動(dòng)登錄工資查詢系統(tǒng)。

4 總結(jié)

本文在sslvpn設(shè)備中實(shí)現(xiàn)了與智慧校園統(tǒng)一身份認(rèn)證系統(tǒng)對(duì)接的cas票據(jù)認(rèn)證功能，全校教職工只需登錄統(tǒng)一身份認(rèn)證系統(tǒng)后，就能自動(dòng)登錄vpn，進(jìn)行各類資源的訪問(wèn)。另外，還為一些單獨(dú)的用戶實(shí)現(xiàn)了使用ip地址登錄vpn進(jìn)行資源訪問(wèn)的功能。最后，還為教職工在外網(wǎng)訪問(wèn)受限在校園網(wǎng)內(nèi)部的業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)了無(wú)感知拉起業(yè)務(wù)系統(tǒng)的功能，達(dá)到了方便、安全的目的。

參考文獻(xiàn)：

[1] 石炎生，嚴(yán)權(quán)峰，劉利強(qiáng).基于SSL VPN單點(diǎn)登錄在區(qū)域衛(wèi)生信息平臺(tái)中的應(yīng)用[J].電子技術(shù)，2011，40（11）：40-41.

[2] 周蕾.基于VPN的統(tǒng)一身份認(rèn)證關(guān)鍵技術(shù)研究與應(yīng)用[J].淮陰工學(xué)院學(xué)報(bào)，2009，18（3）：35-39.

[3] 王鵬.企業(yè)SSL VPN認(rèn)證方式分析[J].無(wú)線互聯(lián)科技，2019（23）：39-40.

[4] 鄧屾.基于VPN與網(wǎng)絡(luò)安全的研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（1）：35-36.

[5] 周偉.基于統(tǒng)一身份認(rèn)證的OpenVPN系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].攀枝花學(xué)院學(xué)報(bào)，2010，27（6）：32-35，75.

【通聯(lián)編輯：代影】