电子技术与软件工程
Electronic Technology & Software Engineering
网络通信技术Network Communication Technology
基于SSL V P N的医院OA-钉钉安全接入方案
邵旻晖竺荣楼文彦
(宁波市医疗中心李惠利医院浙江省宁波市315000 )
摘要:本文提出了一种基于SSL VPN的医院0A-钉钉安全接入方案,SSL安全协议为网络通信提供安全性以及数据完整性,VPN又 支持远程访问医院内部网络的应用,通过将医院0A接入医院钉钉中,医务人员可以随时随地使用手机上的钉钉APP访问和登录医院内网,借助钉钉接收和处理来自内网的信息。该方案在保证通信安全的前提下满足了医务人员远程办公的需要,不但提高了医务人员的工作效率,而且提升了医院信息化建设的水平。
关键词:SSL V P N;医院0A;钉钉安全接入
1引言
随着移动通信技术的不断发展,智能手机由于其携带方便、通 信快捷,已经成为医务人员不可或缺的办公工具。作为信息科管理 人员,如何在远程办公模式下保障智能手机安全接入医院内网就成 了一个需要思考的问题。
若想远程接入内网,原有的方案需要将内网服务器映射到公网,并且只能限制对端域名访问或者IP访问,这会使内网服务器面临 来自公网的安全威胁。若想阻挡这些安全威胁,就需要配置防火墙、WAF、IDS、IPS等应用防护设备,这又将带来额外的经济开销与 管理成本。钉钉(DingTalk)是中国领先的智能移动办公平台,由阿 里巴巴集团开发,免费提供给所有中国企业,用于商务沟通和工作 协同。钉钉具有和O A协同办公系统集成的功能,并且本院所有职 工均已注册钉钉账号,因此本文尝试将SSL VPN技术应用于医院 OA-钉钉安全接入方案,以医院钉钉为入口,以医院O A为后端支 撑,构建医院移动办公门户,既保证医务人员对医院O A信息数据 实时接收与处理,又保障内网信息数据安全性。
说明:泛城名:Vvpn指曲vpn
O A B务器地址:oa
I I T D5a~I
I H S p f f i I I而软B I
hupyy/oacom vpncom
—v
------302K H---------
https//ssl.vpacom/auth.htm l#recSr
ect stH tpsy/oa.vpnxom
用f资源不
^4®s e s s i o
t K Em Ji&Bcode
~tn t p i7/ssl.vpac om/aiA h.c s pTcode
---issm iftSB aen!--
Wtps://oa.vp«vci o m-^
.
.....lit tp$y/oapi.din<}Vauth.csp?code=xx& -
-----------is a n n is a a额------------
■丨
h ttp://oa _
图1:医院O A-钉钉vpn方案逻辑图
2 SSLVPN简介
2. 1V P N技术
虚拟专用网(VPN)可以被认为是虚拟出来的企业内部专线网 络,通过它可以实现外部对企业内部网络资源的访问。VPN技术 是依靠Internet服务提供商(ISP)和其他网络服务提供商(NSP),在 公用网络中建立专用的数据通信网络技术。在虚拟专用网中,任意 两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的[2]。目前,较为主流的VPN 技术有两种,分别是SSLVPN和IPSecVPN,两者的主要性能比 较如表1所示[3]。
由表1可知,IPSec VPN是站点到站点安全连接的最优选择,而SSLVPN由于其兼容性强、无需客户端安装和配置简单等优势,己经成为远程访问领域最好的解决方案。
2. 2SSL V P N优势
2.2.1灵活、稳定的远程办公模式
SSLVPN技术采用标准TCP/UDP协议进行通信,不管是Windows、Linux等PC操作系统还是Android、iOS等智能手机操 作系统,都能很好的兼容和支持,这使得用户可以使用任何设备接 入内部网络。SSLVPN连接成功后,无需在远程客户端上安装任何 软件,用户只需要一台连接了 Internet的计算机,通过Web浏览器 就可以安全地远程访问内网资源。就用户使用而言,其操作方式也 与登录等常见操作类似,用户可以迅速掌握使用方法,大 大降低了操作难度。可以说,SSLVPN能够支撑整个网络应用平台 安全地延伸至各远程用户,提供具有较高性能和高稳定性的远程办
<99+工作通知:宁波市医疗...^•••
Q09
~药品质璽与安全小组•通知
日期 2021 01 07 08:42
标S S I两K区丨2020年9月
医院药品检啻C总
^03
~药品质置与安全筲理小组-通知
日期 2021 01.07 08:43
标兹I两茕区I2020年11月
医院药品检8汇总
1月7日09 07
医务部-文竄
日期 2021 01 07 09:07
标题【乐部琮区120?1年1
月第1周第一次运行病历
医务部•文韋
日期 20210V07 09:11
标趑【东部院区丨1月!i曰病
历瑾控会汶a n
图2:医院0A-钉钉接入实现效果
公服务[4]。
2.2.2安全、可靠的认证加密方式
在数据安全性方面,SSL是一种在主机之间提供安全通信的协
17
网络通信技术
李惠利
Network Communication Technology
电子技术与软件工程
Electronic Technology & Software Engineering 表1:SSL VPN与丨PSec VPN的性能比较
对比项SSL VPN IPSec
身份验证单向、双向身份认证双向身份验证数字证书数字证书
加密
强加密强加密基于Web浏览器依靠执行
全程安全性
端到端安全网络边缘到客户端
只从客户到资源端全过程加密仅对从客户到VPN网关之间通道加密
可访问性任何时间、任何地点访问限制适用己经定义好的受控用户的访问费用低(无需任何附加客户端软件)高(需要管理客户端软件)
安装
即插即用安装通常需要长时间的软件配置无需任何附加的客户端软、硬件安装需要客户端软件或者硬件
易使用性对用户友好,使用非常熟悉的浏览器对没w相应技术的用户比较困难无需终端用户的培训需要培训基于Web应用
支持的应用文件共享所有基于IP协议的服务
E-mail
议,主要由SSL握手协议和SSL记录协议组成,它们共同为远程 访问连接提供认证、加密和防篡改功能[5]。当用户远程访问内网资 源时,会先验证双方身份的合法性,防止数据被恶意窃取、篡改,确保数据传输的安全性。SSL VPN支持多种加密算法,具有防恶意 欺骗、防信息泄密等诸多优点,并隔离了内网服务器和客户端,使 内网资源受外部病毒感染的可能性极大削减,进一步保障了远程访 问的安全性[61。
2.2.3强大、细致的认证控制功能
SSL VPN具有增强的远程安全访问控制功能,实现可靠稳定、可代理的连接,只有被授权的用户才可以
远程访问内网资源。SSL VPN在权限控制方面具有强大的监管能力,可以根据用户的不同 身份,相应地赋予不同的访问权限,使用户只可以访问授权给他的 资源,而无法访问其它任何未经授权的资源。除此之外,SSL VPN 还可以细化接入的控制功能,实现对通信隧道的精细划分,使远程 用户可以同时安全地访问Internet和内网,以适应各种日常工作的 需求[7]。
2.2.4高性价比的组网扩容
SSL V PN的部署很简单,仅需要部署一台SSL VPN设备,就 可以为所有用户提供安全的远程接入功能。在网络扩容方面,当需 要添加用户时,若在设备自身的性能范围内,只需要增加对远程用 户的授权即可;若是超出设备的性能范围,也只需要根据具体情况 购置新的SSL VPN设备,通过集技术提升SSL VPN的远程访问 能力,在保证早期投资不浪费的情况下,实现网络性能的无缝升级 和平滑扩充[7]。
3医院0A-钉钉安全接入方案对比
MiniComiect由深信服公司提供,主要用于移动办公场景,能 够帮助员工在办公室以外使用公司内部网络系统。同时钉钉、企业 和政务等应用支持从应用中拉起MiniConnect登录VPN,打通内外网环境。经过前期的研究与分析,提出了三种基于VPN 的医院0A-钉钉的安全接入方案,以下是对三种方案的介绍与优 缺点分析。
3. 1第一种方案
该方案不改变MiniConnect产品形态,将登录过程前移到钉钉 工作台。该方案的具体登录过程可以分为:(1)解析VPN域名—(2) 加载VPNHTML页面—(3)执行j s逻辑,获取钉钉免密code— (4)拉起Miniconenct客户端—(5)使用免密钉钌code进行认证―> (6) VPN资源拉取与解析—(7)启动VPN隧道—(8)跳回钌钉客户端,
访问内网资源。
该方案可以将用户的登录过程前移到钉钉工作台,一进入钉钉
工作台就拉起VPN(在这里可以添加一些用户交互以缓解登录等 待),之后点击钉钉里面的内网H5应用就可直接访问。但是该方
案需要钉钉的工作台集成深信服公司的几百行代码,代码过于冗余
且不易后期维护,并且会对工作台加载时间造成一定影响,影响时
长在2-3s。
3.2第二种方案
该方案在钉钉上集成完整版VPNSDK,无需外部拉起MiniConnect。
(1)集成L3VPN:钉钉集成SDK的L3VPN模式,登录过程由钉钉来控制,不会出现外部拉起Miniconnect的过程。该方法
需要钉钉客户端集成SDK,将SDK接口封装成j s接口并开放给
第三方H5应用调用,其登录过程不依赖MiniConnect客户端,没
有应用之间的跳转过程,但会导致iO S钉钉客户端将无法上架到 AppStore。
(2)集成Tcp:钉钉集成SDK的TCP模式,登录过程由钉钉来控制,不会出现外部拉起Minicomiect的过程。该方法需要钉钉
客户端集成SDK,将SDK接口封装成j s接口并幵放给第三方H5
应用调用,其登录过程不依赖MiniConnect客户端,没有应用之间
的跳转过程,并且不用启动虚拟网卡,整体登录时间可以缩短l-2s
左右,但是随着Andmid/iOS系统升级可能会存在潜在兼容性问题。
3. 3第三种方案
该方案使用WEB VPN技术,无需外部拉起MiniConnect。该
方案采用WEB VPN方式,WEB VPN可以省去拉起MiniConnect
客户端认证的过程,使登录过程不依赖MiniConnect客户端,没有
应用之间的跳转过程。VPN登录过程对于用户使透明的,用户登
录时间会极大缩短,登录过程对用户基本无感知。VPN登陆后,
内网H5应用资源被V PN设备代理走HTTPS加密隧道传输,0A
厂商修改应用就可支持HTTPS传输,可以保障数据传输安全。该
方案在钉钉上无需任何改动,不会影响到钉钉iO S客户端上架。
该方案需要做的改动有:
(1)域名改成泛域名后可能通不过钉钉的域名校验,需要OA
厂商配合修改配置:
18
电子技术与软件工程
Electronic Technology & Software Engineering
软件开发与应用
Software Development And Application
基于Photoshop 的3D 个性背景实现
姜真杰
(苏州市职业大学计算机工程学院江苏省苏州市215104 )
摘要:本文针对一张人物数码照片经过抠图、分解图层等操作后,进一步运用3D 凸出设置、立体环绕设置、由图层生成平面及球 体设置使之呈现出站在3D 背景中的炫酷效果,赋予照片更时尚的观感。
关键词:Photoshop ; 3D 功能;深度映射
3D 效果的呈现在当下十分受青年人的推崇,这对单纯平面展 示效果带来不小的冲击。Photoshop 专注于平面设计[1’2’3’41,为了迎 合观者的感受和时代的发展,也适时推出了 3D 功能菜单。其中包 括-些常见形状的3D 效果制作,例如锥形、圆柱、立方体等,甚 至还包含易拉罐和啤酒瓶等日常饮品的3D 效果生成。同时,针对 各种实体对象可以旋转、拖动、添加材质、调整透明度、设置折射、 漫射等光线变化,极大方便了使用者的操作体验151。
文中将结合一张数码照片素材综合运用3D 处理效果结合滤镜 及调整菜单制作四种3D 个性化背景,提升数码照片的3D 特效展 示体验。1素材的选取
素材的选取要考虑实际的合成效果,文中选择一位站立姿态的
女生素材,图片的分辨率为2976*3968,分辨率的高低对最终效果 的影响必须考虑,尽量选择分辨率高的图片,如图1所示。这张照 片中的光线不是十分强烈,人物及景物的整体光线较为适当。素材 选定之后,接下来是对画面的分割处理,根据需要将图片背景分割 成如图2的几个部分。首先人物的抠图建议采用磁性套索或路径工 具进行处理,如果人物的头发比较飘逸可以进一步结合智能半径或 通道。如图3,人物部分抠图完成后需创建•个单独图层保存。接 下来的地面和建筑可以使用多边形套索进行分割即可,这样方便快 捷而且准确,同样需要为每一个分割部分创建一个新图层,这样就 形成了人物、楼宇、地面共四个图层。2 3D 个性背景效果的制作
2.1运用3D 凸出操作制作极挑背景
(2) 考虑到安全性,需要为VPN 配置泛域名证书,以支持 HTTPS 代理,需要信息科在阿里云上购买泛域名证书,费用为
1700元/年;
(3) 将医院现有的VPN 设备升级到WEB  VPN 版本。
3. 4建议方案
通过对上述三种基于V PN 的医院OA -钉钉安全接入方案优缺 点的分析,前两种方案需要在钉钌软件上做改动,对钌钌的影响较 大,钉钉方面接受的可能性会比较低,因此综合考虑决定采取第三 种解决方案。方案逻辑图如图1所示。4实施效果
按照方案3,我院选用了一台SANGFOR  VPN 1000-B 400设备 搭建医院VPN 系统,顺利完成了基于SSL  VPN 技术的医院0A -钉钉安全接入方案,实现了医务人员在钉钉上对医院内网的安全登 录和安全操作。医务人员通过手机登录钉钉后,内网的认证过程由
VPN 代为执行,这一过程对用户透明,无需再次进行身份认证,
就可以直接打开应用。图2展示了医院O A 中的通知在钉钉上的通 知推送效果,点开即可查看通知内容。5结语
本次研究借助SSL  VPN 技术,实现了在智能手机上借助钉钉 对医院内网的安全登录和安全操作,达到丫医务人员远程访问和处 理内网信息的目标。SSL  VPN 具备兼容性强、无需客户端安装和配 置简单等优势,并且其作为-种成熟的安全技术,也为医院内网的 数据信息提供了安全保障。医院OA -钉钉安全接入方案完成后, 在院内的使用效果良好,不仅方便了医务人员的远程工作,有效地 提高了医务人员的工作效率,而且对医院未来的信息化建设与信息
化管理具有重要的意义。
参考文献
[1] 党李成,许璐,朱国辉.基于智能手机的SSL  VPN 虚拟通道
技术在传染病疫情网络直报工作中的应用[J ].医学信息学杂 志,2017, 38 (5): 25-28.
[2] 孟郁洁,王松旺,张鹏等.VPN 技术在流行病学在线调查系统
中的应用[J ].中国数字医学,2019,14 (8):42-44+51.
[3] 肖佳,杨科.基于SSL  VPN 协议的安全浏览系统的设计实现及
复合应用方案[J ].信息网络安全,2012 (11):66-70.
[4] 尹淑玲.SSL  VPN 技术及应用研究U ].计算机技术与发
展,2013, 23(6): 129-131+135.
[5] 王琳,封化民,刘飚等.基于混合方法的SSL  VPN 加密流量识
别研究[J ].计算机应用与软件,2019, 36 (2): 315-322.
[6] 李哲.面向SSL  VPN 网关的链路管理优化技术研究[D ].哈尔滨:
哈尔滨工程大学,2018.
[7] 刘阳.基于USBkey 认证的SSL  VPN 网络的设计与实现[D ].长春:
吉林大学,2014.
作者简介邵旻晖( 1995-),男,浙江省宁波市人。硕士学位,助理工程师。研究方向为网络安全、数据库安全。
竺荣( 1975-),男,浙江省宁波市人。大学本科学历,中级工程师。研究方向为医院网络安全、医院信息化建设。楼文彦(1995-),男,浙江省宁波市人。大学本科学历,助理工程师。研究方向为网络安全、服务器管理。
19