統(tǒng)一認證平臺的方案XXXX互聯(lián)網(wǎng)接入平臺建設(shè)方案.doc統(tǒng)一認證平臺的方案XXXX互聯(lián)網(wǎng)接入平臺建設(shè)方案.docPAGE12/12PAGE12統(tǒng)一認證平臺的方案XXXX互聯(lián)網(wǎng)接入平臺建設(shè)方案.docPAGE

互聯(lián)網(wǎng)接入平臺建設(shè)方案

為落實企業(yè)業(yè)務(wù)互聯(lián)網(wǎng)化的展開規(guī)劃，推動實現(xiàn)企業(yè)辦公、管理等相關(guān)業(yè)務(wù)的互聯(lián)網(wǎng)化和移動化，我部擬展開互聯(lián)網(wǎng)接入平臺系統(tǒng)的建設(shè)，建立互聯(lián)網(wǎng)與企業(yè)內(nèi)部網(wǎng)絡(luò)的唯一通道，在平安風(fēng)險可監(jiān)、可控、可承受的前提下，為企業(yè)員工提供更加順暢、

更加便捷的互聯(lián)網(wǎng)接入效勞，知足企業(yè)員工利用PC、移動終端等客戶端經(jīng)過互聯(lián)網(wǎng)靈活接見企業(yè)內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)的需求。一、需求解析

〔一〕覆蓋范圍

員工經(jīng)過PC、移動終端等客戶端可以接見企業(yè)辦公網(wǎng)及交易網(wǎng)內(nèi)的相關(guān)業(yè)務(wù)系統(tǒng)。

〔二〕接入終端需求

1、PC終端

員工可以使用PC、筆記本電腦等終端接見企業(yè)內(nèi)網(wǎng)系統(tǒng)，并

保證員工PC終端自己的平安性不會影響到企業(yè)內(nèi)網(wǎng)的信息系統(tǒng)。

2、移動終端

員工可以使用基于Android系統(tǒng)和iOS系統(tǒng)的移動終端，以

企業(yè)APP的方式接見企業(yè)內(nèi)網(wǎng)系統(tǒng)，接見期間，移動終端系統(tǒng)的

其他程序無法獲取相關(guān)數(shù)據(jù)等信息。互聯(lián)網(wǎng)接入平臺可以對移動

終端的平安性進行檢測和管理，不吻合平安策的移動終端不允許1接入內(nèi)部網(wǎng)絡(luò)。

〔三〕多運營商接入需求

企業(yè)員工經(jīng)過聯(lián)通、電信、移動等多個運營商接入互聯(lián)網(wǎng)接見企業(yè)內(nèi)部業(yè)務(wù)系統(tǒng)，因此互聯(lián)網(wǎng)接入平臺需支持上述各運營商，并可以采用最優(yōu)接見路徑以保障接見速度。

〔四〕身份認證及單點登錄需求

由于互聯(lián)網(wǎng)接入平臺面向互聯(lián)網(wǎng)開放，用戶身份認證必須采取強身份認證方式，除需設(shè)置一定復(fù)雜度的登錄口令外，必須支

持RSA動向令牌認證，可擴展支持短信、數(shù)字證書、指紋等高強度認證方式。

互聯(lián)網(wǎng)接入平臺具備單點登錄功能，用戶身份考據(jù)通過后，互聯(lián)網(wǎng)接入平臺將向用戶開放其權(quán)限范圍內(nèi)的所有業(yè)務(wù)系統(tǒng)，且

用戶接見其中任何業(yè)務(wù)系統(tǒng)均不需要再次認證。對B/S、C/S、APP

形態(tài)的業(yè)務(wù)系統(tǒng)均采用票據(jù)方式實現(xiàn)單點登錄功能，不可使用密碼代填的實現(xiàn)方式。

〔五〕平安防備需求

1、數(shù)據(jù)平安傳輸要求

PC終端、移動終端經(jīng)過互聯(lián)網(wǎng)接見企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)需采

取加密舉措，防備企業(yè)相關(guān)數(shù)據(jù)的泄露。

2、邊界接見控制

互聯(lián)網(wǎng)接入平臺應(yīng)采取平安地域劃分、接見控制、入侵檢測/

防守、APT檢測/防守等平安防備舉措，有效保障互聯(lián)網(wǎng)接入平臺2后部的企業(yè)信息系統(tǒng)的平安性。

二、方案設(shè)計

互聯(lián)網(wǎng)接入平臺主要由接入模塊、認證模塊、應(yīng)用發(fā)布模塊

及平安防備模塊組成，各模塊之間緊密相連、相互配合。

圖1互聯(lián)網(wǎng)接入平臺主要功能模塊

〔一〕接入模塊

接入模塊主要由鏈路負載平衡及SSLVPN組成。其中，鏈路

負載平衡連接聯(lián)通、電信、移動等多個運營商，自動采用最優(yōu)訪

問路徑進而提升接見速度；SSLVPN用于互聯(lián)網(wǎng)接入用戶的根本

認證，并與認證模塊的認證系統(tǒng)緊密結(jié)合實現(xiàn)高強度認證，同時

SSLVPN用于實現(xiàn)數(shù)據(jù)在互聯(lián)網(wǎng)上的加密傳輸。

〔二〕認證模塊

認證模塊主要用于實現(xiàn)互聯(lián)網(wǎng)接入平臺的統(tǒng)一身份認證和單

點登錄。該模塊需要與前臺的SSLVPN及后臺的應(yīng)用系統(tǒng)緊密結(jié)

合，一方面支撐接見用戶的RSA動向令牌、短信、數(shù)字證書、指

紋等高強度認證；另一方面，認證模塊需建立接見用戶賬戶與各

3內(nèi)部應(yīng)用系統(tǒng)賬戶之間的關(guān)系，基于票據(jù)的方式實現(xiàn)內(nèi)部業(yè)務(wù)系統(tǒng)的單點登錄。

企業(yè)內(nèi)部的終端亦可使用互聯(lián)網(wǎng)接入平臺，在經(jīng)過認證模塊的身份認證后，實現(xiàn)內(nèi)部網(wǎng)絡(luò)中各應(yīng)用系統(tǒng)的單點登錄功能。內(nèi)

部終端在接見互聯(lián)網(wǎng)接入平臺時，無需經(jīng)過SSLVPN對傳輸進行數(shù)據(jù)加密。

〔三〕應(yīng)用發(fā)布模塊

基于PC系統(tǒng)環(huán)境及移動終端系統(tǒng)環(huán)境的差別，互聯(lián)網(wǎng)接入平臺針對移動端采取不同的技術(shù)實現(xiàn)對內(nèi)網(wǎng)應(yīng)用的接見。

移動終端及應(yīng)用管理

移動應(yīng)用管理模塊主要提供移動終端的管理以及應(yīng)用管理功能，主要功能實現(xiàn)如下：

1〕移動設(shè)備管理

實現(xiàn)對移動設(shè)備注冊審核、信息管理、平安策略管理、平安

性/合規(guī)檢測等功能，實現(xiàn)對移動設(shè)備的信息收集、平安管理和準入控制等功能。

2〕應(yīng)用管理

建立企業(yè)的企業(yè)應(yīng)用商店，實現(xiàn)企業(yè)內(nèi)部業(yè)務(wù)的應(yīng)用發(fā)布、

應(yīng)用散發(fā)管控等功能。支持在一個客戶端內(nèi)管理企業(yè)APP，實現(xiàn)

對內(nèi)部業(yè)務(wù)APP的統(tǒng)一接見入口。采用“沙箱〞技術(shù)實現(xiàn)企業(yè)內(nèi)

部APP數(shù)據(jù)和個人數(shù)據(jù)的隔斷，保障企業(yè)應(yīng)用數(shù)據(jù)的平安性。支持對APP的平安加固。

4〔四〕平安防備模塊

互聯(lián)網(wǎng)接入平臺與互聯(lián)網(wǎng)、內(nèi)部應(yīng)用系統(tǒng)的網(wǎng)絡(luò)邊界應(yīng)采取

邊界防備舉措；為進一步提升系統(tǒng)平安性，內(nèi)部應(yīng)用系統(tǒng)邊界可

采用應(yīng)用層平安防備、APT檢測/防守等平安舉措。

三、部署方案

根據(jù)方案設(shè)計，考慮到互聯(lián)網(wǎng)接入平臺的冗余性，各主要硬

件設(shè)備均配置兩套實現(xiàn)冗余，部署方案如下列圖所示：

圖2辦公網(wǎng)互聯(lián)網(wǎng)接入平臺部署方案示意圖

辦公網(wǎng)與交易網(wǎng)的互聯(lián)網(wǎng)接入平臺的實現(xiàn)和部署模式相同，

5兩套系統(tǒng)相對獨立，僅統(tǒng)一認證系統(tǒng)可共享使用。

四、主要場景

〔一〕外部PC客戶端接見B/S應(yīng)用場景

1、員工在首次使用時，在PC端經(jīng)過瀏覽器接見VPN發(fā)布的

認證登錄界面，下載應(yīng)用發(fā)布客戶端，完成安裝。

2、員工在PC端上經(jīng)過瀏覽器接見VPN發(fā)布的認證登錄界面，

輸入用于統(tǒng)一認證的用戶名、密碼及動向口令〔或其他強身份認證方式〕。

3、VPN將用戶信息提交到統(tǒng)一身份認證系統(tǒng)進行認證。

4、統(tǒng)一認證系統(tǒng)對合法的接入用戶發(fā)放票據(jù)并記錄。

5、建立VPN隧道后，會話重定向至應(yīng)用發(fā)布平臺，客戶端〔PC

瀏覽器〕向應(yīng)用發(fā)布平臺發(fā)出認證央求，應(yīng)用發(fā)布平臺將認證請

求重定向至統(tǒng)一認證系統(tǒng)，統(tǒng)一認證系統(tǒng)要求客戶端提交認證信

息，客戶端將緩存的票據(jù)提交至統(tǒng)一認證系統(tǒng)，統(tǒng)一認證系統(tǒng)返

回有效平安票據(jù)將客戶端央求重定向至應(yīng)用發(fā)布平臺，客戶端攜

帶票據(jù)接見應(yīng)用發(fā)布系統(tǒng)。

66、應(yīng)用發(fā)布平臺接收票據(jù)后，對該平安票據(jù)進行解析確認。

票據(jù)考據(jù)成功后，那么為該用戶建立有效會話，向用戶展示用戶的

權(quán)限內(nèi)應(yīng)用。

7、用戶點擊相關(guān)的業(yè)務(wù)系統(tǒng)圖標啟動應(yīng)用，應(yīng)用客戶端經(jīng)過

應(yīng)用發(fā)布平臺的相關(guān)接口獲取終端設(shè)備緩存的票據(jù)，應(yīng)用客戶端

攜帶票據(jù)向內(nèi)部業(yè)務(wù)系統(tǒng)倡始認證登錄央求，業(yè)務(wù)系統(tǒng)向統(tǒng)一身

份認證系統(tǒng)對票據(jù)進行考據(jù)。

8、統(tǒng)一身份認證系統(tǒng)考據(jù)完成后，返回給業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系

統(tǒng)獲得票據(jù)擁有者的用戶信息。

9、業(yè)務(wù)系統(tǒng)根據(jù)用戶信息盤問該用戶的權(quán)限并生成用戶界

面。

10、最終業(yè)務(wù)系統(tǒng)向用戶進行展示對用戶的業(yè)務(wù)系統(tǒng)界面。

〔二〕外部PC客戶端接見C/S應(yīng)用場景

針對PC客戶端需要接見的C/S類應(yīng)用，除因?qū)崿F(xiàn)單點登錄而

對其認證功能的改造與B/S類業(yè)務(wù)不同外，其他實現(xiàn)模式與“PC

客戶端接見B/S應(yīng)用場景〞相同。

〔三〕外部移動客戶端獲取與啟動場景

1、員工經(jīng)過使用移動終端設(shè)備的瀏覽器接見移動應(yīng)用管理服

7務(wù)器發(fā)布的安裝包獲取頁面，下載并安裝移動應(yīng)用管理系統(tǒng)〔以下簡稱EMM〕的客戶端。

2、EMM客戶端中部署“VPNSDK〞，用于實現(xiàn)單點登錄。

3、啟動EMM客戶端后，輸入用于統(tǒng)一認證的用戶名、密碼及

動向口令〔或其他強認證方式〕。

4、認證央求發(fā)送至邊界的VPN設(shè)備，VPN將用戶信息提交到

統(tǒng)一身份認證系統(tǒng)進行認證。

5、統(tǒng)一認證系統(tǒng)對合法的接入用戶發(fā)放票據(jù)并記錄。

6、建立VPN隧道后，會話重定向至EMM，EMM客戶端向EMM

發(fā)出認證央求，EMM將認證央求重定向至統(tǒng)一認證系統(tǒng)，統(tǒng)一認

證系統(tǒng)要求EMM客戶端提交認證信息，EMM客戶端將緩存的票據(jù)

提交至統(tǒng)一認證系統(tǒng)，統(tǒng)一認證系統(tǒng)返回有效平安票據(jù)并將央求

重定向至EMM，EMM客戶端攜帶票據(jù)接見EMM系統(tǒng)。

7、EMM接收票據(jù)后，使用統(tǒng)一認證系統(tǒng)提供的SDK開發(fā)包，

對該平安票據(jù)進行解析確認。票據(jù)考據(jù)成功后，那么為該用戶建立

有效會話。

88、員工可以在EMM客戶端資源頁面中下載其授權(quán)范圍內(nèi)的企

業(yè)APP。

〔四〕外部移動客戶端使用TouchID認證場景

1、員工經(jīng)過使用移動終端設(shè)備的瀏覽器接見移動應(yīng)用管理服

務(wù)器發(fā)布的安裝包獲取頁面，下載并安裝EMM客戶端。

2、EMM客戶端中部署“VPNSDK〞，用于實現(xiàn)單點登錄。

3、啟動EMM客戶端后，采用TouchID方式進行認證。

4、認證央求發(fā)送至邊界的VPN設(shè)備，VPN將用戶使用TouchID

經(jīng)過認證的信息提交到統(tǒng)一身份認證系統(tǒng)進行認證。

5、統(tǒng)一認證系統(tǒng)采用信任TouchID為可信認證源的方式進行

認證結(jié)果判斷，經(jīng)過認證后對合法的接入用戶發(fā)放票據(jù)并記錄。

注：其他實現(xiàn)模式與“移動客戶端獲取與啟動場景〞相同。

〔五〕企業(yè)APP使用場景

經(jīng)過EMM客戶端發(fā)布的企業(yè)內(nèi)部移動APP〔以下簡稱企業(yè)

APP〕，同樣需要使用“集成SDK〞，用于實現(xiàn)單點登錄與移動應(yīng)用

平安管理。

1、啟動某內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)APP后，讀取該終端設(shè)備上EMM客戶

端中緩存的有效認證票據(jù)。92、APP攜帶票據(jù)向APP效勞端倡始認證央求，APP效勞端將

認證央求重定向至統(tǒng)一認證系統(tǒng)，統(tǒng)一認證系統(tǒng)要求APP提交認

證信息，APP將緩存的票據(jù)提交至統(tǒng)一認證系統(tǒng)，統(tǒng)一認證系統(tǒng)

返回有效平安票據(jù)將央求重定向至APP效勞器，APP攜帶票據(jù)訪

問APP效勞器。

3、APP效勞端接收票據(jù)后，使用統(tǒng)一認證系統(tǒng)提供的SDK開

發(fā)包，對該平安票據(jù)進行解析。解析結(jié)果提交至統(tǒng)一認證系統(tǒng)，

統(tǒng)一認證系統(tǒng)進行票據(jù)有效性考據(jù)，對正確的結(jié)果返回確認信息

和對應(yīng)的賬號，APP效勞端使用該賬號為用戶建立有效會話。

〔六〕內(nèi)部PC單點登錄場景

企業(yè)員工可在企業(yè)內(nèi)網(wǎng)使用PC登錄互聯(lián)網(wǎng)接入平臺后，經(jīng)過

身份認證后，可以實現(xiàn)內(nèi)部各應(yīng)用系統(tǒng)接見時的單點登錄。

1、內(nèi)部終端接見統(tǒng)一認證系統(tǒng)面向內(nèi)部網(wǎng)絡(luò)發(fā)布的統(tǒng)一

Portal頁面，填寫賬戶、密碼及動向口令〔或其他強身份認證方

式〕等認證信息。

2、統(tǒng)一認證系統(tǒng)對合法的接入用戶發(fā)放票據(jù)并記錄，并提供

用戶資源頁面。

3、用戶接見資源頁面內(nèi)的應(yīng)用系統(tǒng)時直接調(diào)用瀏覽器〔B/S

系統(tǒng)〕或客戶端〔C/S〕系統(tǒng)，不使用應(yīng)用發(fā)布的模式。

4、用戶點擊相關(guān)的業(yè)務(wù)系統(tǒng)圖標啟動應(yīng)用，用戶經(jīng)過認證系

10統(tǒng)接口攜帶票據(jù)向內(nèi)部業(yè)務(wù)系統(tǒng)倡始認證登錄央求，業(yè)務(wù)系統(tǒng)向

統(tǒng)一身份認證系統(tǒng)對票據(jù)進行考據(jù)。

5、統(tǒng)一身份認證系統(tǒng)考據(jù)完成后，返回給業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系

統(tǒng)獲得票據(jù)擁有者的用戶信息。

6、業(yè)務(wù)系統(tǒng)根據(jù)用戶信息盤問該用戶的權(quán)限并生成用戶界

面。

7、最終業(yè)務(wù)系統(tǒng)向用戶進行展示對用戶的業(yè)務(wù)系統(tǒng)界面。

五、主要挑戰(zhàn)

該方案涉及局部定制開發(fā)工作，主要表達在一下幾方面：

〔一〕功能性定制開發(fā)

考慮到方案的全面性，方案中的局部需求需要定制開發(fā)，如SSLVPN以及APP、PC使用的B/S與C/S應(yīng)用對統(tǒng)一身份認證及單點登錄方式的支持、統(tǒng)一Portal門戶等。

〔二〕各組件間的接口開發(fā)

為實現(xiàn)該方案各組件之間緊密配合，不同組件之間需要一定的定制開發(fā)工作，主要包括：

1、SSLVPN與身份認證系統(tǒng)之間的接口。

2、應(yīng)用發(fā)布系統(tǒng)與身份認證系統(tǒng)之間的接口。

3、移動應(yīng)用管