統(tǒng)一認(rèn)證平臺方案及對策XXXX互聯(lián)網(wǎng)接入平臺建設(shè)實施計劃方案

1、-PAGE . z.*互聯(lián)網(wǎng)接入平臺建設(shè)方案為落實公司業(yè)務(wù)互聯(lián)網(wǎng)化的發(fā)展規(guī)劃，推動實現(xiàn)公司辦公、管理等相關(guān)業(yè)務(wù)的互聯(lián)網(wǎng)化和移動化，我部擬開展互聯(lián)網(wǎng)接入平臺系統(tǒng)的建設(shè)，建立互聯(lián)網(wǎng)與公司部網(wǎng)絡(luò)的唯一通道，在安全風(fēng)險可監(jiān)、可控、可承受的前提下，為公司員工提供更加順暢、更為便捷的互聯(lián)網(wǎng)接入服務(wù)，滿足公司員工利用PC、移動終端等客戶端通過互聯(lián)網(wǎng)靈活訪問公司網(wǎng)業(yè)務(wù)系統(tǒng)的需求。一、需求分析（一）覆蓋圍員工通過PC、移動終端等客戶端能夠訪問公司辦公網(wǎng)及交易網(wǎng)的相關(guān)業(yè)務(wù)系統(tǒng)。（二）接入終端需求1、PC終端 員工能夠使用PC、筆記本電腦等終端訪問公司網(wǎng)系統(tǒng)，并確保員工PC終端自身的安全性不會影響到公司網(wǎng)的信息系統(tǒng)

2、。2、移動終端員工能夠使用基于Android系統(tǒng)和iOS系統(tǒng)的移動終端，以企業(yè)APP的方式訪問公司網(wǎng)系統(tǒng)，訪問期間，移動終端系統(tǒng)的其他程序無法獲取相關(guān)數(shù)據(jù)等信息?；ヂ?lián)網(wǎng)接入平臺能夠?qū)σ苿咏K端的安全性進(jìn)行檢測和管理，不符合安全策的移動終端不允許接入部網(wǎng)絡(luò)。（三）多運營商接入需求公司員工通過聯(lián)通、電信、移動等多個運營商接入互聯(lián)網(wǎng)訪問公司部業(yè)務(wù)系統(tǒng)，因此互聯(lián)網(wǎng)接入平臺需支持上述各運營商，并能夠選取最優(yōu)訪問路徑以保障訪問速度。（四）身份認(rèn)證及單點登錄需求由于互聯(lián)網(wǎng)接入平臺面向互聯(lián)網(wǎng)開放，用戶身份認(rèn)證必須采取強(qiáng)身份認(rèn)證方式，除需設(shè)置一定復(fù)雜度的登錄口令外，必須支持RSA動態(tài)令牌認(rèn)證，可擴(kuò)展支持短信、數(shù)字

3、證書、指紋等高強(qiáng)度認(rèn)證方式?；ヂ?lián)網(wǎng)接入平臺具備單點登錄功能，用戶身份驗證通過后，互聯(lián)網(wǎng)接入平臺將向用戶開放其權(quán)限圍的所有業(yè)務(wù)系統(tǒng)，且用戶訪問其中任何業(yè)務(wù)系統(tǒng)均不需要再次認(rèn)證。對B/S、C/S、APP形態(tài)的業(yè)務(wù)系統(tǒng)均采用票據(jù)方式實現(xiàn)單點登錄功能，不可使用密碼代填的實現(xiàn)方式。（五）安全防護(hù)需求1、數(shù)據(jù)安全傳輸要求PC終端、移動終端通過互聯(lián)網(wǎng)訪問公司部網(wǎng)絡(luò)的數(shù)據(jù)需采取加密措施，防止公司相關(guān)數(shù)據(jù)的泄露。2、邊界訪問控制互聯(lián)網(wǎng)接入平臺應(yīng)采取安全區(qū)域劃分、訪問控制、入侵檢測/防御、APT檢測/防御等安全防護(hù)措施，有效保障互聯(lián)網(wǎng)接入平臺后部的公司信息系統(tǒng)的安全性。二、方案設(shè)計互聯(lián)網(wǎng)接入平臺主要由接入模塊、認(rèn)

4、證模塊、應(yīng)用發(fā)布模塊及安全防護(hù)模塊組成，各模塊之間緊密相連、相互配合。圖1 互聯(lián)網(wǎng)接入平臺主要功能模塊（一）接入模塊接入模塊主要由鏈路負(fù)載均衡及SSL VPN組成。其中，鏈路負(fù)載均衡連接聯(lián)通、電信、移動等多個運營商，自動選取最優(yōu)訪問路徑從而提升訪問速度；SSL VPN用于互聯(lián)網(wǎng)接入用戶的基本認(rèn)證，并與認(rèn)證模塊的認(rèn)證系統(tǒng)緊密結(jié)合實現(xiàn)高強(qiáng)度認(rèn)證，同時SSL VPN用于實現(xiàn)數(shù)據(jù)在互聯(lián)網(wǎng)上的加密傳輸。（二）認(rèn)證模塊認(rèn)證模塊主要用于實現(xiàn)互聯(lián)網(wǎng)接入平臺的統(tǒng)一身份認(rèn)證和單點登錄。該模塊需要與前臺的SSL VPN及后臺的應(yīng)用系統(tǒng)緊密結(jié)合，一方面支撐訪問用戶的RSA動態(tài)令牌、短信、數(shù)字證書、指紋等高強(qiáng)度認(rèn)證；另

5、一方面，認(rèn)證模塊需建立訪問用戶賬戶與各部應(yīng)用系統(tǒng)賬戶之間的關(guān)聯(lián)，基于票據(jù)的方式實現(xiàn)部業(yè)務(wù)系統(tǒng)的單點登錄。公司部的終端亦可使用互聯(lián)網(wǎng)接入平臺，在通過認(rèn)證模塊的身份認(rèn)證后，實現(xiàn)部網(wǎng)絡(luò)中各應(yīng)用系統(tǒng)的單點登錄功能。部終端在訪問互聯(lián)網(wǎng)接入平臺時，無需通過SSL VPN對傳輸進(jìn)行數(shù)據(jù)加密。（三）應(yīng)用發(fā)布模塊基于PC系統(tǒng)環(huán)境及移動終端系統(tǒng)環(huán)境的差異，互聯(lián)網(wǎng)接入平臺針對移動端采取不同的技術(shù)實現(xiàn)對網(wǎng)應(yīng)用的訪問。移動終端及應(yīng)用管理移動應(yīng)用管理模塊主要提供移動終端的管理以及應(yīng)用管理功能，主要功能實現(xiàn)如下：（1）移動設(shè)備管理實現(xiàn)對移動設(shè)備注冊審核、信息管理、安全策略管理、安全性/合規(guī)檢測等功能，實現(xiàn)對移動設(shè)備的信息收

6、集、安全管理和準(zhǔn)入控制等功能。（2）應(yīng)用管理建立公司的企業(yè)應(yīng)用商店，實現(xiàn)公司部業(yè)務(wù)的應(yīng)用發(fā)布、應(yīng)用分發(fā)管控等功能。支持在一個客戶端管理公司APP，實現(xiàn)對部業(yè)務(wù)APP的統(tǒng)一訪問入口。采用沙箱”技術(shù)實現(xiàn)公司部APP數(shù)據(jù)和個人數(shù)據(jù)的隔離，保障公司應(yīng)用數(shù)據(jù)的安全性。支持對APP的安全加固。（四）安全防護(hù)模塊互聯(lián)網(wǎng)接入平臺與互聯(lián)網(wǎng)、部應(yīng)用系統(tǒng)的網(wǎng)絡(luò)邊界應(yīng)采取邊界防護(hù)措施；為進(jìn)一步提升系統(tǒng)安全性，部應(yīng)用系統(tǒng)邊界可采用應(yīng)用層安全防護(hù)、APT 檢測/防御等安全措施。三、部署方案根據(jù)方案設(shè)計，考慮到互聯(lián)網(wǎng)接入平臺的冗余性，各主要硬件設(shè)備均配置兩套實現(xiàn)冗余，部署方案如下圖所示：圖2 辦公網(wǎng)互聯(lián)網(wǎng)接入平臺部署方案示

7、意圖辦公網(wǎng)與交易網(wǎng)的互聯(lián)網(wǎng)接入平臺的實現(xiàn)和部署模式相同，兩套系統(tǒng)相對獨立，僅統(tǒng)一認(rèn)證系統(tǒng)可共享使用。四、主要場景（一）外部PC客戶端訪問B/S應(yīng)用場景1、員工在首次使用時，在PC端通過瀏覽器訪問VPN發(fā)布的認(rèn)證登錄界面，下載應(yīng)用發(fā)布客戶端，完成安裝。2、員工在PC端上通過瀏覽器訪問VPN發(fā)布的認(rèn)證登錄界面，輸入用于統(tǒng)一認(rèn)證的用戶名、密碼及動態(tài)口令（或其他強(qiáng)身份認(rèn)證方式）。3、VPN將用戶信息提交到統(tǒng)一身份認(rèn)證系統(tǒng)進(jìn)行認(rèn)證。4、統(tǒng)一認(rèn)證系統(tǒng)對合法的接入用戶發(fā)放票據(jù)并記錄。5、建立VPN隧道后，會話重定向至應(yīng)用發(fā)布平臺，客戶端（PC瀏覽器）向應(yīng)用發(fā)布平臺發(fā)出認(rèn)證請求，應(yīng)用發(fā)布平臺將認(rèn)證請求重定向至

8、統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一認(rèn)證系統(tǒng)要求客戶端提交認(rèn)證信息，客戶端將緩存的票據(jù)提交至統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一認(rèn)證系統(tǒng)返回有效安全票據(jù)將客戶端請求重定向至應(yīng)用發(fā)布平臺，客戶端攜帶票據(jù)訪問應(yīng)用發(fā)布系統(tǒng)。6、應(yīng)用發(fā)布平臺接收票據(jù)后，對該安全票據(jù)進(jìn)行解析確認(rèn)。票據(jù)驗證成功后，則為該用戶建立有效會話，向用戶展示用戶的權(quán)限應(yīng)用。7、用戶點擊相關(guān)的業(yè)務(wù)系統(tǒng)圖標(biāo)啟動應(yīng)用，應(yīng)用客戶端通過應(yīng)用發(fā)布平臺的相關(guān)接口獲取終端設(shè)備緩存的票據(jù)，應(yīng)用客戶端攜帶票據(jù)向部業(yè)務(wù)系統(tǒng)發(fā)起認(rèn)證登錄請求，業(yè)務(wù)系統(tǒng)向統(tǒng)一身份認(rèn)證系統(tǒng)對票據(jù)進(jìn)行驗證。8、統(tǒng)一身份認(rèn)證系統(tǒng)驗證完成后，返回給業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)得到票據(jù)持有者的用戶信息。9、業(yè)務(wù)系統(tǒng)根據(jù)用戶信息查

9、詢該用戶的權(quán)限并生成用戶界面。10、最終業(yè)務(wù)系統(tǒng)向用戶進(jìn)行展示對用戶的業(yè)務(wù)系統(tǒng)界面。（二）外部PC客戶端訪問C/S應(yīng)用場景針對PC客戶端需要訪問的C/S類應(yīng)用，除因?qū)崿F(xiàn)單點登錄而對其認(rèn)證功能的改造與B/S類業(yè)務(wù)不同外，其他實現(xiàn)模式與PC客戶端訪問B/S應(yīng)用場景”相同。（三）外部移動客戶端獲取與啟動場景1、員工通過使用移動終端設(shè)備的瀏覽器訪問移動應(yīng)用管理服務(wù)器發(fā)布的安裝包獲取頁面，下載并安裝移動應(yīng)用管理系統(tǒng)（以下簡稱EMM）的客戶端。2、EMM客戶端中部署VPN SDK”，用于實現(xiàn)單點登錄。3、啟動EMM客戶端后，輸入用于統(tǒng)一認(rèn)證的用戶名、密碼及動態(tài)口令（或其他強(qiáng)認(rèn)證方式）。4、認(rèn)證請求發(fā)送至邊

10、界的VPN設(shè)備，VPN將用戶信息提交到統(tǒng)一身份認(rèn)證系統(tǒng)進(jìn)行認(rèn)證。5、統(tǒng)一認(rèn)證系統(tǒng)對合法的接入用戶發(fā)放票據(jù)并記錄。6、建立VPN隧道后，會話重定向至EMM，EMM客戶端向EMM發(fā)出認(rèn)證請求，EMM將認(rèn)證請求重定向至統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一認(rèn)證系統(tǒng)要求EMM客戶端提交認(rèn)證信息，EMM客戶端將緩存的票據(jù)提交至統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一認(rèn)證系統(tǒng)返回有效安全票據(jù)并將請求重定向至EMM，EMM客戶端攜帶票據(jù)訪問EMM系統(tǒng)。7、EMM接收票據(jù)后，使用統(tǒng)一認(rèn)證系統(tǒng)提供的SDK開發(fā)包，對該安全票據(jù)進(jìn)行解析確認(rèn)。票據(jù)驗證成功后，則為該用戶建立有效會話。8、員工可以在EMM客戶端資源頁面中下載其授權(quán)圍的企業(yè)APP。（四）外部移動

11、客戶端使用TouchID認(rèn)證場景1、員工通過使用移動終端設(shè)備的瀏覽器訪問移動應(yīng)用管理服務(wù)器發(fā)布的安裝包獲取頁面，下載并安裝EMM客戶端。2、EMM客戶端中部署VPN SDK”，用于實現(xiàn)單點登錄。3、啟動EMM客戶端后，采用TouchID方式進(jìn)行認(rèn)證。4、認(rèn)證請求發(fā)送至邊界的VPN設(shè)備，VPN將用戶使用TouchID通過認(rèn)證的信息提交到統(tǒng)一身份認(rèn)證系統(tǒng)進(jìn)行認(rèn)證。5、統(tǒng)一認(rèn)證系統(tǒng)采用信任TouchID為可信認(rèn)證源的方式進(jìn)行認(rèn)證結(jié)果判定，通過認(rèn)證后對合法的接入用戶發(fā)放票據(jù)并記錄。注：其他實現(xiàn)模式與移動客戶端獲取與啟動場景”相同。（五）企業(yè)APP使用場景通過EMM客戶端發(fā)布的企業(yè)部移動APP（以下簡稱

12、企業(yè)APP），同樣需要使用集成SDK”，用于實現(xiàn)單點登錄與移動應(yīng)用安全管理。1、啟動*網(wǎng)業(yè)務(wù)系統(tǒng)APP后，讀取該終端設(shè)備上EMM客戶端中緩存的有效認(rèn)證票據(jù)。2、APP攜帶票據(jù)向APP服務(wù)端發(fā)起認(rèn)證請求，APP服務(wù)端將認(rèn)證請求重定向至統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一認(rèn)證系統(tǒng)要求APP提交認(rèn)證信息，APP將緩存的票據(jù)提交至統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一認(rèn)證系統(tǒng)返回有效安全票據(jù)將請求重定向至APP服務(wù)器，APP攜帶票據(jù)訪問APP服務(wù)器。3、APP服務(wù)端接收票據(jù)后，使用統(tǒng)一認(rèn)證系統(tǒng)提供的SDK開發(fā)包，對該安全票據(jù)進(jìn)行解析。解析結(jié)果提交至統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一認(rèn)證系統(tǒng)進(jìn)行票據(jù)有效性驗證，對正確的結(jié)果返回確認(rèn)信息和對應(yīng)的賬號，APP服

13、務(wù)端使用該賬號為用戶建立有效會話。（六）部PC單點登錄場景公司員工可在公司網(wǎng)使用PC登錄互聯(lián)網(wǎng)接入平臺后，通過身份認(rèn)證后，能夠?qū)崿F(xiàn)部各應(yīng)用系統(tǒng)訪問時的單點登錄。1、部終端訪問統(tǒng)一認(rèn)證系統(tǒng)面向部網(wǎng)絡(luò)發(fā)布的統(tǒng)一Portal頁面，填寫賬戶、密碼及動態(tài)口令（或其他強(qiáng)身份認(rèn)證方式）等認(rèn)證信息。2、統(tǒng)一認(rèn)證系統(tǒng)對合法的接入用戶發(fā)放票據(jù)并記錄，并提供用戶資源頁面。3、用戶訪問資源頁面的應(yīng)用系統(tǒng)時直接調(diào)用瀏覽器（B/S系統(tǒng)）或客戶端（C/S）系統(tǒng)，不使用應(yīng)用發(fā)布的模式。4、用戶點擊相關(guān)的業(yè)務(wù)系統(tǒng)圖標(biāo)啟動應(yīng)用，用戶通過認(rèn)證系統(tǒng)接口攜帶票據(jù)向部業(yè)務(wù)系統(tǒng)發(fā)起認(rèn)證登錄請求，業(yè)務(wù)系統(tǒng)向統(tǒng)一身份認(rèn)證系統(tǒng)對票據(jù)進(jìn)行驗證。5

14、、統(tǒng)一身份認(rèn)證系統(tǒng)驗證完成后，返回給業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)得到票據(jù)持有者的用戶信息。6、業(yè)務(wù)系統(tǒng)根據(jù)用戶信息查詢該用戶的權(quán)限并生成用戶界面。7、最終業(yè)務(wù)系統(tǒng)向用戶進(jìn)行展示對用戶的業(yè)務(wù)系統(tǒng)界面。五、主要挑戰(zhàn)該方案涉及部分定制開發(fā)工作，主要體現(xiàn)在一下幾方面：（一）功能性定制開發(fā)考慮到方案的全面性，方案中的部分需求需要定制開發(fā)，如SSLVPN以及APP、PC使用的B/S與C/S應(yīng)用對統(tǒng)一身份認(rèn)證及單點登錄方式的支持、統(tǒng)一Portal門戶等。（二）各組件間的接口開發(fā)為實現(xiàn)該方案各組件之間緊密配合，不同組件之間需要一定的定制開發(fā)工作，主要包括：SSL VPN與身份認(rèn)證系統(tǒng)之間的接口。應(yīng)用發(fā)布系統(tǒng)與身份認(rèn)證系統(tǒng)之