您现在的位置: 通信界 >> IT >> 技术正文  
 
基于SSL VPN单点登录在区域卫生信息平台中的应用
[ 通信界 / 佚名 / www.cntxj.net / 2012/3/25 10:59:57 ]
 

摘要:单点登录是近年来在开发大平台信息系统中出现的一门新兴技术,文章结合作者在开发岳阳楼区基于健康档案的区域卫生信息平台的实践,提出了单点登录技术与SSL VPN技术相结合的基于SSL VPN单点登录技术,为整合多种医疗业务应用系统提供了一个统一身份认证、统一用户管理、统一授权管理、统一资源管理和单点登录平台。

0 引言

基于居民健康档案的区域卫生信息平台是根据卫生部在《全国卫生信息化发展纲要(2003—2010年)》中提出的“建立区域卫生信息化示范区,实现区域内各卫生系统信息网上交换、区域内医疗卫生信息集中存储与管理、资源共享;在城市地区基本实现预防保健机构与卫生行政部门之间互联互通,资源共享;在有条件的农村地区,逐步将网络延伸到乡镇卫生医疗机构”的精神,以居民个人电子健康档案(EHR)为基础数据而建立的一种医疗资源共享信息系统。该区域卫生信息平台的核心是居民个人电子健康档案数据中心,居民个人电子健康档案的所有数据除了居民的基本信息由管理人员录入以外,其他各项健康数据都来自医疗服务机构的各种医疗IT应用系统。因此,基于居民健康档案的区域卫生信息平台需要与各医院的基本医疗系统、城镇职工和居民基本医疗保险、传染病报告、免疫接种、妇幼保健、新型农村合作医疗等各种信息系统互联互通,实现信息资源共享。该信息平台的技术构架是一个能够容纳管理个人健康档案的可扩充的、开放的、可持续发展的系统,其逻辑结构如图1所示。

1 传统登录方式与单点登录技术

建设基于居民健康档案的区域卫生信息平台的目的之一就是实现医疗卫生系统内部各种不同功能的业务应用系统互联互通,充分利用和整合现有卫生信息资源,实现信息资源共享,完成双向转诊、协同与远程医疗。由于历史的原因,医疗卫生系统内部各业务应用系统在开发的初期都是独立进行的,造成了彼此之间操作上的割裂和数据之间通信的割断。传统的登录方式是每个业务应用系统都需要用户输入用户名和密码才能登录。随着业务的发展,各个医疗服务机构都会增加更多应用系统在网上运行。尤其对于一些权限较高或是涉及业务较多的用户,如果每一个系统都需要他们进行密码的验证,那么用户使用系统的不便性是可想而知的。因此经常会有一些用户将多个系统设置成同一密码或是将记不住的密码写在纸上贴在桌子上,这样,对业务系统的访问存在着极大的安全隐患,使一些别有用心的工作人员有机会利用他人密码登录系统,进行非法操作,也会给发生重大医疗事故后的责任追查带来困难。另一方面,随着卫生系统内部内控要求的加强,需要对内部应用系统加强密码管理,每一个应用系统都需要在三个月内更换一次密码,记不住密码变得经常发生。而系统管理员也被拖入繁琐的重置用户密码的工作之中,无形中增加了管理员的工作量。总之,传统登录方式会带来以下的问题:

(1)如果每个系统都开发各自的身份认证系统将造成资源的浪费,加大开发成本;

(2)多个身份认证系统会增加整个系统的管理工作成本;

(3)用户需要记忆多个账户和口令,使用极为不便;

(4)无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在不同的系统内进行设置,因而造成修改策略的进度跟不上策略的变化;

(5)无法统一分析用户的应用行为。

基于上述情况,根据卫生部关于区域卫生信息平台建设的总体规划,要求对涉及到的内部业务应用系统进行整合与数据共享,同时建立一套统一的身份认证系统,以实现集中统一的身份认证,通过一次认证登录后就可访问所有有权访问的业务应用系统,避免频繁登录,并且能够保证用户身份的合法性和唯一性,对于业务应用系统的访问建立一套完整的安全防护和用户管理机制。

单点登录(Single Sign On,简称为SSO)技术就是为这样的多种业务应用系统提供集中统一的身份认证系统,实现“一点登录、多点漫游”的目标。

单点登录是目前比较流行的企业业务整合解决方案之一。单点登录是指在多个应用系统中,用户只需要输入一次用户名和密码,登录到统一信息门户管理层,就可以访问所有授权的业务应用系统。单点登录是一种用于方便用户访问网络的技术,无论多么复杂的网络结构,用户只需在登录时进行一次注册,即可获得访问系统和应用软件的授权,以后便可以在网络中自由穿梭,不必多次输人用户名和口令来确定身份,为用户提供统一的信息资源认证访问平台,建立统一的、基于角色的和个性化的信息访问、集成平台。单点登录系统从根本上不再使用基于用户名和密码的身份认证机制,而是采用结合了密码学技术的新的身份认证机制;单点登录系统把原来分散的用户管理集中了起来,各个系统之间依靠相互信赖的关系来进行用户身份的自动认证。用户的账号信息是集中保存和管理的,管理员只需要在统一的用户信息数据库中添加、删除用户账号,不必在多个系统中分别设置用户信息数据库。

2 SSL VPN技术

VPN(Virtual Private Network,虚拟专用网络)是一门网络新技术,为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式,它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。IPSec(Security)VPN与SSL(Secure Socket Layer,安全套接层协议)VPN是目前VPN领域流行的两类Intemet远程安全接入技术,从整体的安全等级来看,两者具有类似的功能特性,但也存在很大不同。

IPSec VPN工作在网络层,提供所有在网络层上的数据保护和透明的安全通信;IPSec VPN技术设计用于连接和保护在信任网络中的数据流,因此,更适合为不同的网络提供通信安全保障;部署IPSec VPN需要在客户端安装复杂的软件,以便远程访问;当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。而SSLVPN工作在应用层(基于HTFP协议)和TCP层之间,提供SSL链路上的数据完整性和SSL链路上的数据保密性;SSL VPN技术更适合应用于远程分散移动用户的安全接入。相对于IPSec VPN而言,部署SSL VPN方便,不需要安装客户端程序。目前对SSL VPN公认的四大优点是:1)简单性:它不需要配置,可以立即安装,立即生效;2)安装简单:客户端不需要安装专用程序,直接利用浏览器中内嵌的SSL协议即可;3)兼容性好:传统的IPSecVPN对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件,而SSL VPN则完全没有这样的麻烦。4)容易维护:只维护网关就可以;5)安全性高,对内部服务器和客户端实施了隔离,只留下Web浏览接口。

3 基于SSL VPN单点登录技术在区域卫生信息平台的部署

基于SSL VPN单点登录技术是将单点登录技术与SSL VPN技术相结合,将用户身份信息同时提供给SSL VPN接入系统,通过配置,SSL VPN接入设备指向单点登录的用户数据库,直接从中获取用户的身份信息,获得认证通过。在VPN上无需再重复建立一套用户数据库,系统管理员只需维护单点登录上的用户数据库,即可实现外网接入的统一用户管理和统一身份认证。

我们在开发湖南省岳阳市区域卫生信息平台的实践中,将信息平台内各个业务应用系统服务器组建成一个局域网,而把卫生局行政管理人员、医疗机构的医生与医辅管理人员、居民个人等所有用户都作为该局域网的外网用户,采用一台深信服SSL VPN设备进行区域平台系统用户的单点登录与统一身份认证,实现外网用户登录一次后就可访问该平台上所有授权访问的各个业务系统;同时也为外网用户提供安全的接入机制。区域卫生信息平台硬件系统拓扑结构如图2所示。

通过开发区域卫生信息平台的实践,基于SSL VPN单点登录技术具有如下特点:

(1)SSL VPN无需客户端程序,安装部署使用方便;

(2)SSL VPN不会受到安装在客户端与服务器之间的防火墙的影响;

(3)SSL VPN可以在任何地点,利用任何设备,连接到相应的网络资源上,具备优异的扩展能力;

(4)SSL VPN是基于应用层面的VPN,更容易提供细粒度远程访问,支持更多的身份认证方式,如USBKey,动态口令牌等。

(5)管理员只需维护一套用户数据库,管理外网访问用户的账号和密码。

4 结语

我们设计的基于SSL VPN单点登录系统不但可以提供一个统一身份认证、统一用户管理、统一授权管理、统一资源管理和单点登录平台,而且具有安装、部署、使用、维护均十分方便的特点,目前己广泛应用于整合多业务应用系统的大平台之中。

 

作者:佚名 合作媒体:不详 编辑:顾北

 

 

 
 热点技术
普通技术 “5G”,真的来了!牛在哪里?
普通技术 5G,是伪命题吗?
普通技术 云视频会议关键技术浅析
普通技术 运营商语音能力开放集中管理方案分析
普通技术 5G网络商用需要“无忧”心
普通技术 面向5G应运而生的边缘计算
普通技术 简析5G时代四大关键趋势
普通技术 国家网信办就《数据安全管理办法》公开征求意见
普通技术 《车联网(智能网联汽车)直连通信使用5905-5925MHz频段管理规定(
普通技术 中兴通讯混合云解决方案,满足5G多元业务需求
普通技术 大规模MIMO将带来更多无线信道,但也使无线信道易受攻击
普通技术 蜂窝车联网的标准及关键技术及网络架构的研究
普通技术 4G与5G融合组网及互操作技术研究
普通技术 5G中CU-DU架构、设备实现及应用探讨
普通技术 无源光网络承载5G前传信号可行性的研究概述
普通技术 面向5G中传和回传网络承载解决方案
普通技术 数据中心布线系统可靠性探讨
普通技术 家庭互联网终端价值研究
普通技术 鎏信科技CEO刘舟:从连接层构建IoT云生态,聚焦CMP是关键
普通技术 SCEF引入需求分析及部署应用
  版权与免责声明: ① 凡本网注明“合作媒体:通信界”的所有作品,版权均属于通信界,未经本网授权不得转载、摘编或利用其它方式使用。已经本网授权使用作品的,应在授权范围内使用,并注明“来源:通信界”。违反上述声明者,本网将追究其相关法律责任。 ② 凡本网注明“合作媒体:XXX(非通信界)”的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。 ③ 如因作品内容、版权和其它问题需要同本网联系的,请在一月内进行。
通信视界
华为余承东:Mate30总体销量将会超过两千万部
赵随意:媒体融合需积极求变
普通对话 苗圩:建设新一代信息基础设施 加快制造业数字
普通对话 华为余承东:Mate30总体销量将会超过两千万部
普通对话 赵随意:媒体融合需积极求变
普通对话 韦乐平:5G给光纤、光模块、WDM光器件带来新机
普通对话 安筱鹏:工业互联网——通向知识分工2.0之路
普通对话 库克:苹果不是垄断者
普通对话 华为何刚:挑战越大,成就越大
普通对话 华为董事长梁华:尽管遇到外部压力,5G在商业
普通对话 网易董事局主席丁磊:中国正在引领全球消费趋
普通对话 李彦宏:无人乘用车时代即将到来 智能交通前景
普通对话 中国联通研究院院长张云勇:双轮驱动下,工业
普通对话 “段子手”杨元庆:人工智能金句频出,他能否
普通对话 高通任命克里斯蒂安诺·阿蒙为公司总裁
普通对话 保利威视谢晓昉:深耕视频技术 助力在线教育
普通对话 九州云副总裁李开:帮助客户构建自己的云平台
通信前瞻
杨元庆:中国制造高质量发展的未来是智能制造
对话亚信科技CTO欧阳晔博士:甘为桥梁,携"电
普通对话 杨元庆:中国制造高质量发展的未来是智能制造
普通对话 对话亚信科技CTO欧阳晔博士:甘为桥梁,携"电
普通对话 对话倪光南:“中国芯”突围要发挥综合优势
普通对话 黄宇红:5G给运营商带来新价值
普通对话 雷军:小米所有OLED屏幕手机均已支持息屏显示
普通对话 马云:我挑战失败心服口服,他们才是双11背后
普通对话 2018年大数据产业发展试点示范项目名单出炉 2
普通对话 陈志刚:提速又降费,中国移动的两面精彩
普通对话 专访华为终端何刚:第三代nova已成为争夺全球
普通对话 中国普天陶雄强:物联网等新经济是最大机遇
普通对话 人人车李健:今年发力金融 拓展汽车后市场
普通对话 华为万飚:三代出贵族,PC产品已走在正确道路
普通对话 共享退潮单车入冬 智享单车却走向盈利
普通对话 Achronix发布新品单元块 推动eFPGA升级
普通对话 金柚网COO邱燕:天吴系统2.0真正形成了社保管