基于SSL VPN的單點登錄在智慧校園平臺中的應用

俞靚亮

摘要：在過去幾年的時間中，寧波廣播電視大學開發(fā)和購買了各類信息系統(tǒng)和運維系統(tǒng)，例如工資查詢系統(tǒng)、科研管理系統(tǒng)、智慧校園門戶和思福迪堡壘機等。基于網(wǎng)絡安全和信息保密的考慮，這些系統(tǒng)需要部署在校園網(wǎng)環(huán)境中對授權(quán)用戶開放訪問，在互聯(lián)網(wǎng)上授權(quán)用戶只能通過登錄vpn后才能訪問這些系統(tǒng)。該文采用了深信服的sslvpn，認證方式包括本地密碼認證和cas票據(jù)認證，對于已經(jīng)接入智慧校園統(tǒng)一身份認證的系統(tǒng)，采用cas票據(jù)認證先登錄vpn，再訪問這些系統(tǒng)，對于思福迪堡壘機等運維系統(tǒng)，只需新建若干個本地賬戶分配給有需要的老師即可。此外，該文還實現(xiàn)了vpn無感知拉起業(yè)務系統(tǒng)的功能，被授權(quán)的用戶在互聯(lián)網(wǎng)上直接輸入業(yè)務系統(tǒng)的網(wǎng)址，就能調(diào)用vpn并訪問該業(yè)務系統(tǒng)，達到方便又安全的效果。

關鍵詞：單點登錄;vpn;cas

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）04-0050-03

Abstract： In the past few years，Ningbo TV & Radio University has developed and purchased various information systems and operation and maintenance systems， such as salary query system， scientific research management system， smart campus portal and SAFETYBASE fortress machine， etc. Based on the consideration of network security and information confidentiality， these systems need to be deployed in the campus network environment to open access to authorized users. Authorized users on the Internet can only access these systems by logging in VPN.In this paper， we use SSL VPN of SANGFOR， which includes local password authentication and CAS bill authentication. For the system that has been connected to the unified identity authentication of smart campus， we use CAS bill authentication to log in VPN first， and then access these systems. For the operation and maintenance system such as the SAFETY BASE fortress machine， we only need to create a number of local accounts and assign them to the teachers who need them.In addition， this paper also realizes the function of pulling up the business system without VPN awareness. Authorized users can directly input the web address of the business system on the Internet， and then they can call VPN and visit the business system， achieving the convenient and safe effect.

Key words：single sign-on; VPN;CAS

1 sslvpn中單點登錄技術(shù)的研究現(xiàn)狀

sslvpn中單點登錄主要包括ldap認證、radius認證、域單點登錄認證和cas認證。ldap是Lightweight Directory Access Protocol（輕型目錄訪問協(xié)議）的縮寫，是一個開放的，中立的，工業(yè)標準的應用協(xié)議，通過IP協(xié)議提供訪問控制和維護分布式信息的目錄信息。目錄服務在開發(fā)內(nèi)部網(wǎng)和與互聯(lián)網(wǎng)程序共享用戶、系統(tǒng)、網(wǎng)絡、服務和應用的過程中占據(jù)了重要地位。例如，目錄服務可能提供了組織有序的記錄集合，通常有層級結(jié)構(gòu)，例如公司電子郵件目錄。同理，也可以提供包含了地址和電話號碼的電話簿。ldap的一個常用用途是單點登錄，用戶可以在多個服務中使用同一個密碼，通常用于公司內(nèi)部網(wǎng)站的登錄中，這樣用戶可以在公司計算機上登錄一次，便可以自動在公司內(nèi)部網(wǎng)上登錄。radius是一種用于在需要認證其鏈接的網(wǎng)絡訪問服務器（nas）和共享認證服務器之間進行認證、授權(quán)和記賬信息的文檔協(xié)議。radius服務器負責接收用戶的連接請求、認證用戶，然后返回客戶機所有必要的配置信息以將服務發(fā)送到用戶，利用radius可以實現(xiàn)單點登錄。域單點登錄認證借助Active Directory用作單點登錄的身份提供商，人員和機構(gòu)信息都保存在Active Directory中，機構(gòu)節(jié)點為樹形節(jié)點，節(jié)點下包含了人員節(jié)點，可以實現(xiàn)域用戶自動登錄sslvpn。

石炎生[1]在開發(fā)岳陽樓區(qū)基于健康檔案的區(qū)域衛(wèi)生信息平臺的實踐，提出了單點登錄技術(shù)與SSL VPN技術(shù)相結(jié)合的基于SSL VPN單點登錄技術(shù)，為整合多種醫(yī)療業(yè)務應用系統(tǒng)提供了一個統(tǒng)一身份認證、統(tǒng)一用戶管理、統(tǒng)一授權(quán)管理、統(tǒng)一資源管理和單點登錄平臺。周蕾[2]針對VPN網(wǎng)絡中眾多遺留系統(tǒng)單點登錄的應用需求，提出了基于Web Services的統(tǒng)一身份認證方案，并從系統(tǒng)的功能設計、Web服務設計以及安全機制設計等方面，詳細敘述了系統(tǒng)的設計和實現(xiàn)過程。由于SSL VPN接入方式安全、簡單易用，且可進行有效的權(quán)限管理，同時具備跨平臺、免客戶端等特性，被大量使用，其認證方式多種多樣，目前使用較多的有動態(tài)口令認證技術(shù)、數(shù)字證書認證技術(shù)等。王鵬[3]基于此，技術(shù)分析了企業(yè)SSL VPN認證方式。鄧屾[4]對vpn網(wǎng)絡中通信安全隱患進行了分析，通過防火墻技術(shù)、文件機密和數(shù)字簽名技術(shù)、漏洞掃描技術(shù)、入侵檢測技術(shù)等方面做以深入探討，能為相關人士提供有效參考。周偉[5]為方便教職工在校園網(wǎng)外能快速訪問校園網(wǎng)絡資源，在開源項目OpenVPN的基礎上結(jié)合數(shù)字校園統(tǒng)一身份認證平臺設計開發(fā)了遠程接入系統(tǒng)。系統(tǒng)采用客戶機/服務器模式，用戶通過客戶端軟件使用數(shù)字校園統(tǒng)一身份認證系統(tǒng)進行認證，與VPN接入服務器建立連接后可快速訪問校園網(wǎng)絡資源。

2 sslvpn中單點登錄的技術(shù)實現(xiàn)

搭建ldap服務器或者radius服務器，通過外部認證用戶數(shù)據(jù)庫的映射或?qū)氲奖镜豷slvpn的形式來托管用戶密碼認證操作，存在一個問題：無法實時同步ldap服務器或者radius服務器與統(tǒng)一認證服務器之間的賬號和密碼。當用戶修改統(tǒng)一認證的密碼之后，ldap服務器或者radius服務器無法及時獲取到修改后的密碼，用戶無法正確登錄sslvpn。域單點登錄認證也有這個問題。所以本文采用cas認證的方式，直接把sslvpn系統(tǒng)作為casclient端接入到智慧校園的單點登錄系統(tǒng)的server端中。

寧波廣播電視大學智慧校園的單點登錄系統(tǒng)的服務端采用了廣州聯(lián)奕信息科技有限公司開發(fā)的casserver，各類業(yè)務系統(tǒng)如果要接入單點登錄系統(tǒng)，必須自行開發(fā)casclient，并且在server端注冊Client的信息，包括應用名稱，應用域名、登錄url、退出url、字符編碼等信息。首先我們把sslvpn的域名注冊到server端，然后在系統(tǒng)設置->sslvpn選項->主題管理->登錄策略中增加一條策略，如圖1所示。訪問地址/*表示使用域名訪問vpn。適用用戶如果未選擇，則為默認用戶組中的所有用戶。門戶類別選擇第三方門戶，認證類型選擇cas票據(jù)認證。設置成功之后，用戶在瀏覽器中輸入vpn域名，就會自動跳轉(zhuǎn)到智慧校園的單點登錄系統(tǒng)界面，輸入用戶名和密碼，就能登錄vpn進入資源列表頁面。因為單點登錄系統(tǒng)的用戶是全校的教職工，還有一些零散的用戶，例如各個縣級電大和公司運維人員的賬號不在單點登錄系統(tǒng)的用戶列表中。需要為這些用戶建立新的登錄策略，其訪問地址使用ip地址形式，適用用戶選擇這些零散的用戶，門戶類別選擇本地門戶，如圖2所示。另外，還需要在系統(tǒng)設置->sslvpn選項->系統(tǒng)選項->資源服務選項->web應用中設置web泛域名：*.vpn.nbtvu.net.cn：8118。所謂“泛域名”就是在一個域名根之下的，所有未建立的子域名集合，泛域名不包括已成功建立域名記錄的子域名。所謂“泛域名解析”是指：利用通配符* （星號）來做次級域名以實現(xiàn)所有的次級域名均指向同一IP地址。需要說明的是，如果單獨設置一個子域名解析，那么該解析記錄優(yōu)先，泛域名解析不起作用。泛域名解析主要包括以下用途：（1）可以讓域名支持無限的子域名（這也是泛域名解析最大的用途）。（2）防止用戶錯誤輸入導致的網(wǎng)站不能訪問的問題。（3）可以讓直接輸入網(wǎng)址登錄網(wǎng)站的用戶輸入簡潔的網(wǎng)址即可訪問網(wǎng)站。（4）在域名前添加任何子域名，均可訪問到所指向的web地址。泛域名在實際使用中作用是非常廣泛的，比如實現(xiàn)無限二級域名功能，提供免費的url轉(zhuǎn)發(fā)，在idc部門實現(xiàn)自動分配免費網(wǎng)址，在大型企業(yè)中實現(xiàn)網(wǎng)址分類管理等等，都發(fā)揮了巨大的作用。

設置成功之后，如果資源類型是“web應用”類型，資源的域名是wqs.nbtvu.net.cn，那么用戶打開資源之后，在瀏覽器地址欄可以看到訪問地址是wqs-nbtvu-net-cn.vpn.nbtvu.net.cn：8118。科研管理系統(tǒng)也需要設置成在內(nèi)網(wǎng)訪問，外網(wǎng)訪問必須通過vpn，它的域名是kyxt.nbtvu.net.cn，經(jīng)過vpn設備解析之后訪問地址變成了kyxt-nbtvu-net-cn.vpn.nbtvu.net.cn：8118。類似的，如果以后有新的系統(tǒng)x.nbtvu.net.cn需要設置成外網(wǎng)通過vpn訪問，那么它的域名就會變成x-nbtvu-net-cn.vpn.nbtvu.net.cn：8118。在域名vpn.nbtvu.net.cn前添加任何子域名，均可訪問到vpn.nbtvu.net.cn所指向的web地址。

3? sslvpn無感知拉起業(yè)務系統(tǒng)的技術(shù)實現(xiàn)

vpn無感知拉起場景適用于業(yè)務系統(tǒng)使用域名且被cas業(yè)務系統(tǒng)納管的場景。終端用戶在內(nèi)網(wǎng)訪問和互聯(lián)網(wǎng)訪問該業(yè)務系統(tǒng)，體驗保持一致，即都是使用域名訪問該業(yè)務系統(tǒng)，但業(yè)務系統(tǒng)未映射到互聯(lián)網(wǎng)，通過互聯(lián)網(wǎng)訪問該業(yè)務系統(tǒng)無感知拉起vpn，代理訪問該業(yè)務系統(tǒng);通過內(nèi)網(wǎng)不使用vpn，直接訪問該業(yè)務系統(tǒng)。

首先，在外網(wǎng)的dns服務器上把業(yè)務系統(tǒng)的域名wqs.nbtvu.net.cn指向vpn設備的外網(wǎng)ip地址，確保在外網(wǎng)訪問wqs.nbtvu.net.cn時，能連接vpn設備。內(nèi)網(wǎng)dns服務器將該業(yè)務指向內(nèi)網(wǎng)真實IP。然后，將泛域名*.vpn.nbtvu.net.cn指向vpn設備的外網(wǎng)ip地址，因為在外網(wǎng)訪問wqs.nbtvu.net.cn時，vpn設備會為之產(chǎn)生域名wqs-nbtvu-net-cn.vpn.nbtvu.net.cn。另外，在上一節(jié)中已經(jīng)提到要在資源服務選項中為web應用設置web泛域名：*.vpn.nbtvu.net.cn：8118。最后，因為vpn設備部署模式為單臂模式，部署在內(nèi)網(wǎng)，通過出口設備連接上網(wǎng)。需要在網(wǎng)絡出口設備防火墻上設置vpn設備的內(nèi)網(wǎng)ip的80端口映射到vpn設備的外網(wǎng)ip的80端口，以實現(xiàn)web應用的80端口跳轉(zhuǎn)。如果業(yè)務系統(tǒng)使用的端口為非標準端口，http協(xié)議非80端口，https協(xié)議非443端口，則需在系統(tǒng)維護->控制臺命令中執(zhí)行webvpn-port add端口號，即可監(jiān)聽所需的非標準端口。

設置完成后，學校教職工在外網(wǎng)輸入http：//wqs.nbtvu.net.cn，由于域名wqs.nbtvu.net.cn指向了vpn設備的外網(wǎng)ip地址并且vpn設備的內(nèi)網(wǎng)ip的80端口映射到vpn設備的外網(wǎng)ip的80端口，vpn設備就能監(jiān)聽到訪問請求并且把訪問地址解析為http：//wqs-nbtvu-net-cn.vpn.nbtvu.net.cn：8118/，其中wqs-nbtvu-net-cn.vpn.nbtvu.net.cn是泛域名*.vpn.nbtvu.net.cn根據(jù)業(yè)務系統(tǒng)具體生成的一個子域名，8118是預先配置的端口號。因為設置了使用域名訪問vpn設備的認證類型是cas票據(jù)認證，所以在用戶沒有登錄統(tǒng)一身份認證系統(tǒng)的情況下，訪問 http：//wqs-nbtvu-net-cn.vpn.nbtvu.net.cn：8118/會跳轉(zhuǎn)到統(tǒng)一身份認證系統(tǒng)的登錄界面（如果用戶已經(jīng)登錄了統(tǒng)一身份認證系統(tǒng)，就能自動訪問http：//wqs.nbtvu.net.cn地址）。用戶輸入正確的統(tǒng)一身份認證用戶名和密碼后就能訪問http：//wqs.nbtvu.net.cn地址。但是還有一個問題，工資查詢系統(tǒng)接入到統(tǒng)一身份認證系統(tǒng)的地址是http：//wqs.nbtvu.net.cn/sso/login.aspx，所以還需要在http：//wqs.nbtvu.net.cn地址對應的頁面文件中增加一行跳轉(zhuǎn)到http：//wqs.nbtvu.net.cn/sso/login.aspx的代碼，這樣才能實現(xiàn)用戶輸入正確的統(tǒng)一身份認證用戶名和密碼，登錄統(tǒng)一身份認證系統(tǒng)后，再自動登錄工資查詢系統(tǒng)。另外，學校教職工在內(nèi)網(wǎng)輸入http：//wqs.nbtvu.net.cn，不經(jīng)過vpn設備，通過內(nèi)網(wǎng)dns服務器直接訪問對應的內(nèi)網(wǎng)ip地址。如果用戶已經(jīng)登錄了統(tǒng)一身份認證系統(tǒng)，就能自動登錄工資查詢系統(tǒng)，否則，輸入正確的統(tǒng)一身份認證用戶名和密碼，登錄統(tǒng)一身份認證系統(tǒng)后，再自動登錄工資查詢系統(tǒng)。

4 總結(jié)

本文在sslvpn設備中實現(xiàn)了與智慧校園統(tǒng)一身份認證系統(tǒng)對接的cas票據(jù)認證功能，全校教職工只需登錄統(tǒng)一身份認證系統(tǒng)后，就能自動登錄vpn，進行各類資源的訪問。另外，還為一些單獨的用戶實現(xiàn)了使用ip地址登錄vpn進行資源訪問的功能。最后，還為教職工在外網(wǎng)訪問受限在校園網(wǎng)內(nèi)部的業(yè)務系統(tǒng)實現(xiàn)了無感知拉起業(yè)務系統(tǒng)的功能，達到了方便、安全的目的。

參考文獻：

[1] 石炎生，嚴權(quán)峰，劉利強.基于SSL VPN單點登錄在區(qū)域衛(wèi)生信息平臺中的應用[J].電子技術(shù)，2011，40（11）：40-41.

[2] 周蕾.基于VPN的統(tǒng)一身份認證關鍵技術(shù)研究與應用[J].淮陰工學院學報，2009，18（3）：35-39.

[3] 王鵬.企業(yè)SSL VPN認證方式分析[J].無線互聯(lián)科技，2019（23）：39-40.

[4] 鄧屾.基于VPN與網(wǎng)絡安全的研究[J].網(wǎng)絡安全技術(shù)與應用，2020（1）：35-36.

[5] 周偉.基于統(tǒng)一身份認證的OpenVPN系統(tǒng)的設計與實現(xiàn)[J].攀枝花學院學報，2010，27（6）：32-35，75.

【通聯(lián)編輯：代影】