統(tǒng)一認(rèn)證平臺(tái)的設(shè)計(jì)方案(XXXX互聯(lián)網(wǎng)接入平臺(tái)建設(shè)方案)

XXXX互聯(lián)網(wǎng)接入平臺(tái)建設(shè)方案為落實(shí)公司業(yè)務(wù)互聯(lián)網(wǎng)化的開(kāi)展規(guī)劃，推動(dòng)實(shí)現(xiàn)公司辦公、管理等相關(guān)業(yè)務(wù)的互聯(lián)網(wǎng)化和移動(dòng)化，我部擬開(kāi)展互聯(lián)網(wǎng)接入平臺(tái)系統(tǒng)的建設(shè)，建立互聯(lián)網(wǎng)與公司內(nèi)部網(wǎng)絡(luò)的唯一通道，在平安風(fēng)險(xiǎn)可監(jiān)、可控、可承受的前提下，為公司職工提供更加順暢、更為便捷的互聯(lián)網(wǎng)接入效勞，滿足公司職工利用 PC移動(dòng)終端等客戶(hù)端通過(guò)互聯(lián)網(wǎng)靈活訪問(wèn)公司內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)的需求。一、需求分析〔一〕覆蓋范圍職工通過(guò)PC移動(dòng)終端等客戶(hù)端能夠訪問(wèn)公司辦公網(wǎng)及交易網(wǎng)內(nèi)的相關(guān)業(yè)務(wù)系統(tǒng)?！捕辰尤虢K端需求1、 PC終端職工能夠使用PC筆記本電腦等終端訪問(wèn)公司內(nèi)網(wǎng)系統(tǒng)，并確保職工PC終端自身的平安性不會(huì)影響到公司內(nèi)網(wǎng)的信息系統(tǒng)。2、 移動(dòng)終端職工能夠使用基于Android系統(tǒng)和iOS系統(tǒng)的移動(dòng)終端，以企業(yè)APP的方式訪問(wèn)公司內(nèi)網(wǎng)系統(tǒng)，訪問(wèn)期間，移動(dòng)終端系統(tǒng)的其他程序無(wú)法獲取相關(guān)數(shù)據(jù)等信息?；ヂ?lián)網(wǎng)接入平臺(tái)能夠?qū)σ苿?dòng)終端的平安性進(jìn)行檢測(cè)和管理，不符合平安策的移動(dòng)終端不允許接入內(nèi)部網(wǎng)絡(luò)〔三〕多運(yùn)營(yíng)商接入需求公司職工通過(guò)聯(lián)通、電信、移動(dòng)等多個(gè)運(yùn)營(yíng)商接入互聯(lián)網(wǎng)訪問(wèn)公司內(nèi)部業(yè)務(wù)系統(tǒng)，因此互聯(lián)網(wǎng)接入平臺(tái)需支持上述各運(yùn)營(yíng)商，并能夠選取最優(yōu)訪問(wèn)路徑以保障訪問(wèn)速度?！菜摹成矸菡J(rèn)證及單點(diǎn)登錄需求由于互聯(lián)網(wǎng)接入平臺(tái)面向互聯(lián)網(wǎng)開(kāi)放，用戶(hù)身份認(rèn)證必須采取強(qiáng)身份認(rèn)證方式，除需設(shè)置一定復(fù)雜度的登錄口令外，必須支持RSA動(dòng)態(tài)令牌認(rèn)證，可擴(kuò)展支持短信、數(shù)字證書(shū)、指紋等高強(qiáng)度認(rèn)證方式?；ヂ?lián)網(wǎng)接入平臺(tái)具備單點(diǎn)登錄功能，用戶(hù)身份驗(yàn)證通過(guò)后，互聯(lián)網(wǎng)接入平臺(tái)將向用戶(hù)開(kāi)放其權(quán)限范圍內(nèi)的所有業(yè)務(wù)系統(tǒng)，且用戶(hù)訪問(wèn)其中任何業(yè)務(wù)系統(tǒng)均不需要再次認(rèn)證。對(duì)B/S、C/S、APP形態(tài)的業(yè)務(wù)系統(tǒng)均采用票據(jù)方式實(shí)現(xiàn)單點(diǎn)登錄功能，不可使用密碼代填的實(shí)現(xiàn)方式?！参濉称桨卜雷o(hù)需求1、 數(shù)據(jù)平安傳輸要求PC終端、移動(dòng)終端通過(guò)互聯(lián)網(wǎng)訪問(wèn)公司內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)需采取加密措施，防止公司相關(guān)數(shù)據(jù)的泄露。2、 邊界訪問(wèn)控制互聯(lián)網(wǎng)接入平臺(tái)應(yīng)采取平安區(qū)域劃分、訪問(wèn)控制、入侵檢測(cè)/防御、APT檢測(cè)/防御等平安防護(hù)措施，有效保障互聯(lián)網(wǎng)接入平臺(tái)后部的公司信息系統(tǒng)的平安性。、方案設(shè)計(jì)互聯(lián)網(wǎng)接入平臺(tái)主要由接入模塊、認(rèn)證模塊、應(yīng)用發(fā)布模塊及平安防護(hù)模塊組成，各模塊之間緊密相連、相互配合r1■1 r|| 1:「!1t「E111f內(nèi)11*11璉路負(fù)就均舸< 1| 1I 1統(tǒng)-認(rèn)址11111PC鎖號(hào)用發(fā)希111111M培駁網(wǎng)用防護(hù):；網(wǎng)；rc|1 1侖1 1I1111111 ■1 1111111SSLVPN11 1i I1 11 1I 1111111「檢測(cè)&舫護(hù)1 1rrr1巴111]i接入模塊1 11 1( 11 1J |_11認(rèn)證模塊1 :應(yīng)出發(fā)祁模規(guī) 1___互聯(lián)網(wǎng)接入平臺(tái)111111111平安防護(hù)模塊ft\I外\I部:接：入:\?;圖1互聯(lián)網(wǎng)接入平臺(tái)主要功能模塊〔一〕接入模塊接入模塊主要由鏈路負(fù)載均衡及 SSLVPN組成。其中，鏈路負(fù)載均衡連接聯(lián)通、電信、移動(dòng)等多個(gè)運(yùn)營(yíng)商，自動(dòng)選取最優(yōu)訪問(wèn)路徑從而提升訪問(wèn)速度； SSLVPN用于互聯(lián)網(wǎng)接入用戶(hù)的根本認(rèn)證，并與認(rèn)證模塊的認(rèn)證系統(tǒng)緊密結(jié)合實(shí)現(xiàn)高強(qiáng)度認(rèn)證，同時(shí)SSLVPN用于實(shí)現(xiàn)數(shù)據(jù)在互聯(lián)網(wǎng)上的加密傳輸?！捕痴J(rèn)證模塊認(rèn)證模塊主要用于實(shí)現(xiàn)互聯(lián)網(wǎng)接入平臺(tái)的統(tǒng)一身份認(rèn)證和單點(diǎn)登錄。該模塊需要與前臺(tái)的 SSLVPN及后臺(tái)的應(yīng)用系統(tǒng)緊密結(jié)合，一方面支撐訪問(wèn)用戶(hù)的 RSA動(dòng)態(tài)令牌、短信、數(shù)字證書(shū)、指紋等高強(qiáng)度認(rèn)證；另一方面，認(rèn)證模塊需建立訪問(wèn)用戶(hù)賬戶(hù)與各內(nèi)部應(yīng)用系統(tǒng)賬戶(hù)之間的關(guān)聯(lián)，基于票據(jù)的方式實(shí)現(xiàn)內(nèi)部業(yè)務(wù)系統(tǒng)的單點(diǎn)登錄。公司內(nèi)部的終端亦可使用互聯(lián)網(wǎng)接入平臺(tái)，在通過(guò)認(rèn)證模塊的身份認(rèn)證后，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)中各應(yīng)用系統(tǒng)的單點(diǎn)登錄功能。內(nèi)部終端在訪問(wèn)互聯(lián)網(wǎng)接入平臺(tái)時(shí)，無(wú)需通過(guò) SSLVPN對(duì)傳輸進(jìn)行數(shù)據(jù)加密?！踩硲?yīng)用發(fā)布模塊基于PC系統(tǒng)環(huán)境及移動(dòng)終端系統(tǒng)環(huán)境的差異， 互聯(lián)網(wǎng)接入平臺(tái)針對(duì)移動(dòng)端采取不同的技術(shù)實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)應(yīng)用的訪問(wèn)。移動(dòng)終端及應(yīng)用管理移動(dòng)應(yīng)用管理模塊主要提供移動(dòng)終端的管理以及應(yīng)用管理功能，主要功能實(shí)現(xiàn)如下：〔1〕移動(dòng)設(shè)備管理實(shí)現(xiàn)對(duì)移動(dòng)設(shè)備注冊(cè)審核、信息管理、平安策略管理、平安性/合規(guī)檢測(cè)等功能，實(shí)現(xiàn)對(duì)移動(dòng)設(shè)備的信息收集、平安管理和準(zhǔn)入控制等功能?！?〕應(yīng)用管理建立公司的企業(yè)應(yīng)用商店，實(shí)現(xiàn)公司內(nèi)部業(yè)務(wù)的應(yīng)用發(fā)布、應(yīng)用分發(fā)管控等功能。支持在一個(gè)客戶(hù)端內(nèi)管理公司 APP實(shí)現(xiàn)對(duì)內(nèi)部業(yè)務(wù)APP的統(tǒng)一訪問(wèn)入口。采用“沙箱〞技術(shù)實(shí)現(xiàn)公司內(nèi)部APP數(shù)據(jù)和個(gè)人數(shù)據(jù)的隔離，保障公司應(yīng)用數(shù)據(jù)的平安性。支持對(duì)APP的平安加固。

〔四〕平安防護(hù)模塊互聯(lián)網(wǎng)接入平臺(tái)與互聯(lián)網(wǎng)、內(nèi)部應(yīng)用系統(tǒng)的網(wǎng)絡(luò)邊界應(yīng)采取邊界防護(hù)措施；為進(jìn)一步提升系統(tǒng)平安性，內(nèi)部應(yīng)用系統(tǒng)邊界可采用應(yīng)用層平安防護(hù)、APT檢測(cè)/防御等平安措施。三、部署方案根據(jù)方案設(shè)計(jì)，考慮到互聯(lián)網(wǎng)接入平臺(tái)的冗余性，各主要硬件設(shè)備均配置兩套實(shí)現(xiàn)冗余，部署方案如以下圖所示：屯信林動(dòng)征疇負(fù)岐均勳rs￡SI.VPV'ikt￡毎統(tǒng)安牛防護(hù)設(shè)備應(yīng)帀長(zhǎng)巾殺統(tǒng)祎胡噸旺酋理乘統(tǒng)公司辦公網(wǎng)屯信林動(dòng)征疇負(fù)岐均勳rs￡SI.VPV'ikt￡毎統(tǒng)安牛防護(hù)設(shè)備應(yīng)帀長(zhǎng)巾殺統(tǒng)祎胡噸旺酋理乘統(tǒng)公司辦公網(wǎng)圖2辦公網(wǎng)互聯(lián)網(wǎng)接入平臺(tái)部署方案示意圖辦公網(wǎng)與交易網(wǎng)的互聯(lián)網(wǎng)接入平臺(tái)的實(shí)現(xiàn)和部署模式相同，

兩套系統(tǒng)相對(duì)獨(dú)立，僅統(tǒng)一認(rèn)證系統(tǒng)可共享使用。四、主要場(chǎng)景〔一〕外部PC客戶(hù)端訪問(wèn)B/S應(yīng)用場(chǎng)景1、職工在首次使用時(shí)，在PC端通過(guò)瀏覽器訪問(wèn)VPN發(fā)布的認(rèn)證登錄界面，下載應(yīng)用發(fā)布客戶(hù)端，完成安裝。2、職工在PC端上通過(guò)瀏覽器訪問(wèn)VPN發(fā)布的認(rèn)證登錄界面，輸入用于統(tǒng)一認(rèn)證的用戶(hù)名、密碼及動(dòng)態(tài)口令〔或其他強(qiáng)身份認(rèn)證方式〕。3、VPN將用戶(hù)信息提交到統(tǒng)一身份認(rèn)證系統(tǒng)進(jìn)行認(rèn)證。4、統(tǒng)一認(rèn)證系統(tǒng)對(duì)合法的接入用戶(hù)發(fā)放票據(jù)并記錄fflPC統(tǒng)一fflPC統(tǒng)一5、建立VPN隧道后，會(huì)話重定向至應(yīng)用發(fā)布平臺(tái)，客戶(hù)端〔PC瀏覽器〕向應(yīng)用發(fā)布平臺(tái)發(fā)出認(rèn)證請(qǐng)求，應(yīng)用發(fā)布平臺(tái)將認(rèn)證請(qǐng)求重定向至統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一認(rèn)證系統(tǒng)要求客戶(hù)端提交認(rèn)證信息，客戶(hù)端將緩存的票據(jù)提交至統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一認(rèn)證系統(tǒng)返回有效平安5、建立6、應(yīng)用發(fā)布平臺(tái)接收票據(jù)后，對(duì)該平安票據(jù)進(jìn)行解析確認(rèn),票據(jù)驗(yàn)證成功后，那么為該用戶(hù)建立有效會(huì)話，向用戶(hù)展示用戶(hù)的權(quán)限內(nèi)應(yīng)用。7、用戶(hù)點(diǎn)擊相關(guān)的業(yè)務(wù)系統(tǒng)圖標(biāo)啟動(dòng)應(yīng)用， 應(yīng)用客戶(hù)端通過(guò)應(yīng)用發(fā)布平臺(tái)的相關(guān)接口獲取終端設(shè)備緩存的票據(jù)，應(yīng)用客戶(hù)端攜帶票據(jù)向內(nèi)部業(yè)務(wù)系統(tǒng)發(fā)起認(rèn)證登錄請(qǐng)求，業(yè)務(wù)系統(tǒng)向統(tǒng)一身份認(rèn)證系統(tǒng)對(duì)票據(jù)進(jìn)行驗(yàn)證。&統(tǒng)一身份認(rèn)證系統(tǒng)驗(yàn)證完成后， 返回給業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)得到票據(jù)持有者的用戶(hù)信息。9、 業(yè)務(wù)系統(tǒng)根據(jù)用戶(hù)信息查詢(xún)?cè)撚脩?hù)的權(quán)限并生成用戶(hù)界面。10、 最終業(yè)務(wù)系統(tǒng)向用戶(hù)進(jìn)行展示對(duì)用戶(hù)的業(yè)務(wù)系統(tǒng)界面?！捕惩獠縋C客戶(hù)端訪問(wèn)CIS應(yīng)用場(chǎng)景針對(duì)PC客戶(hù)端需要訪問(wèn)的CIS類(lèi)應(yīng)用，除因?qū)崿F(xiàn)單點(diǎn)登錄而對(duì)其認(rèn)證功能的改造與BIS類(lèi)業(yè)務(wù)不同外，其他實(shí)現(xiàn)模式與“ PC客戶(hù)端訪問(wèn)BIS應(yīng)用場(chǎng)景〞相同。〔三〕外部移動(dòng)客戶(hù)端獲取與啟動(dòng)場(chǎng)景1、職工通過(guò)使用移動(dòng)終端設(shè)備的瀏覽器訪問(wèn)移動(dòng)應(yīng)用管理服務(wù)器發(fā)布的安裝包獲取頁(yè)面，下載并安裝移動(dòng)應(yīng)用管理系統(tǒng)〔以下簡(jiǎn)稱(chēng)EMM的客戶(hù)端。2、EMM客戶(hù)端中部署“VPNSDK，用于實(shí)現(xiàn)單點(diǎn)登錄。3、啟動(dòng)EMM客戶(hù)端后，輸入用于統(tǒng)一認(rèn)證的用戶(hù)名、 密碼及動(dòng)態(tài)口令〔或其他強(qiáng)認(rèn)證方式〕。4、 認(rèn)證請(qǐng)求發(fā)送至邊界的VPN設(shè)備，VPN將用戶(hù)信息提交到統(tǒng)一身份認(rèn)證系統(tǒng)進(jìn)行認(rèn)證。5、 統(tǒng)一認(rèn)證系統(tǒng)對(duì)合法的接入用戶(hù)發(fā)放票據(jù)并記錄。6、 建立VPN隧道后，會(huì)話重定向至EMMEMM客戶(hù)端向EMM發(fā)出認(rèn)證請(qǐng)求，EMM將認(rèn)證請(qǐng)求重定向至統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一認(rèn)證系統(tǒng)要求EMM客戶(hù)端提交認(rèn)證信息，EMM客戶(hù)端將緩存的票據(jù)提交至統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一認(rèn)證系統(tǒng)返回有效平安票據(jù)并將請(qǐng)求重定向至EMMEMM客戶(hù)端攜帶票據(jù)訪問(wèn)EMM系統(tǒng)。7、EMM接收票據(jù)后，使用統(tǒng)一認(rèn)證系統(tǒng)提供的 SDK開(kāi)發(fā)包，對(duì)該平安票據(jù)進(jìn)行解析確認(rèn)。票據(jù)驗(yàn)證成功后，那么為該用戶(hù)建立有效會(huì)話。&職工可以在EMM客戶(hù)端資源頁(yè)面中下載其授權(quán)范圍內(nèi)的企業(yè)APR〔四〕外部移動(dòng)客戶(hù)端使用 TouchlD認(rèn)證場(chǎng)景1、 職工通過(guò)使用移動(dòng)終端設(shè)備的瀏覽器訪問(wèn)移動(dòng)應(yīng)用管理服務(wù)器發(fā)布的安裝包獲取頁(yè)面，下載并安裝 EMM客戶(hù)端。2、 EMM客戶(hù)端中部署“VPNSDK，用于實(shí)現(xiàn)單點(diǎn)登錄。3、 啟動(dòng)EMM客戶(hù)端后，采用TouchlD方式進(jìn)行認(rèn)證。4、 認(rèn)證請(qǐng)求發(fā)送至邊界的VPN設(shè)備，VPN將用戶(hù)使用TouchlD通過(guò)認(rèn)證的信息提交到統(tǒng)一身份認(rèn)證系統(tǒng)進(jìn)行認(rèn)證。5、 統(tǒng)一認(rèn)證系統(tǒng)采用信任TouchlD為可信認(rèn)證源的方式進(jìn)行認(rèn)證結(jié)果判定，通過(guò)認(rèn)證后對(duì)合法的接入用戶(hù)發(fā)放票據(jù)并記錄。注：其他實(shí)現(xiàn)模式與“移動(dòng)客戶(hù)端獲取與啟動(dòng)場(chǎng)景〞相同?！参濉称髽I(yè)APP使用場(chǎng)景通過(guò)EMM客戶(hù)端發(fā)布的企業(yè)內(nèi)部移動(dòng) APP〔以下簡(jiǎn)稱(chēng)企業(yè)APF〕，同樣需要使用“集成SDK，用于實(shí)現(xiàn)單點(diǎn)登錄與移動(dòng)應(yīng)用平安管理。1、啟動(dòng)某內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)APP后，讀取該終端設(shè)備上EMh客戶(hù)端中緩存的有效認(rèn)證票據(jù)。2、APP攜帶票據(jù)向APP效勞端發(fā)起認(rèn)證請(qǐng)求，APP效勞端將認(rèn)證請(qǐng)求重定向至統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一認(rèn)證系統(tǒng)要求 APP提交認(rèn)證信息，APP將緩存的票據(jù)提交至統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一認(rèn)證系統(tǒng)返回有效平安票據(jù)將請(qǐng)求重定向至 APP效勞器，APP攜帶票據(jù)訪問(wèn)APP效勞器。3、APP效勞端接收票據(jù)后，使用統(tǒng)一認(rèn)證系統(tǒng)提供的 SDK開(kāi)發(fā)包，對(duì)該平安票據(jù)進(jìn)行解析。解析結(jié)果提交至統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一認(rèn)證系統(tǒng)進(jìn)行票據(jù)有效性驗(yàn)證，對(duì)正確的結(jié)果返回確認(rèn)信息和對(duì)應(yīng)的賬號(hào)，APP效勞端使用該賬號(hào)為用戶(hù)建立有效會(huì)話。〔六〕內(nèi)部PC單點(diǎn)登錄場(chǎng)景公司職工可在公司內(nèi)網(wǎng)使用 PC登錄互聯(lián)網(wǎng)接入平臺(tái)后，通過(guò)身份認(rèn)證后，能夠?qū)崿F(xiàn)內(nèi)部各應(yīng)用系統(tǒng)訪問(wèn)時(shí)的單點(diǎn)登錄。1、 內(nèi)部終端訪問(wèn)統(tǒng)一認(rèn)證系統(tǒng)面向內(nèi)部網(wǎng)絡(luò)發(fā)布的統(tǒng)一Portal頁(yè)面，填寫(xiě)賬戶(hù)、密碼及動(dòng)態(tài)口令〔或其他強(qiáng)身份認(rèn)證方式〕等認(rèn)證信息。2、統(tǒng)一認(rèn)證系統(tǒng)對(duì)合法的接入用戶(hù)發(fā)放票據(jù)并記錄， 并提供用戶(hù)資源頁(yè)面。3、用戶(hù)訪問(wèn)資源頁(yè)面內(nèi)的應(yīng)用系統(tǒng)時(shí)直接調(diào)用瀏覽器〔 B/S系統(tǒng)〕或客戶(hù)端〔C/S〕系統(tǒng)，不使用應(yīng)用發(fā)布的模式。4、用戶(hù)點(diǎn)擊相關(guān)的業(yè)務(wù)系統(tǒng)圖標(biāo)啟動(dòng)應(yīng)用， 用戶(hù)通過(guò)認(rèn)證系統(tǒng)接口攜帶票據(jù)向內(nèi)部業(yè)務(wù)系統(tǒng)發(fā)起認(rèn)證登錄請(qǐng)求，業(yè)務(wù)系統(tǒng)向統(tǒng)一身份認(rèn)證系統(tǒng)對(duì)票據(jù)進(jìn)行驗(yàn)證。5、統(tǒng)一身份認(rèn)證系統(tǒng)驗(yàn)證完成后，返回給業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)得到票據(jù)持有者的用戶(hù)信息。6、業(yè)務(wù)系統(tǒng)根據(jù)用戶(hù)信息查詢(xún)?cè)撚脩?hù)的權(quán)限并生成用戶(hù)界面。7、最終業(yè)務(wù)系統(tǒng)向用戶(hù)進(jìn)行展示對(duì)用戶(hù)的業(yè)務(wù)系統(tǒng)界面。五、主要挑戰(zhàn)該方案涉及局部定制開(kāi)發(fā)工作，主要表達(dá)在一下幾方面：〔一〕功能性定制開(kāi)發(fā)考慮到方案的全面性，方案中的局部需求需要定制開(kāi)發(fā)，如SSLVPN以及APRPC使用的B/S與C/S應(yīng)用對(duì)統(tǒng)一身份認(rèn)證及單點(diǎn)登錄方式的支持、統(tǒng)一Portal門(mén)戶(hù)等。〔二〕各組件間的接口開(kāi)發(fā)為實(shí)現(xiàn)該方案各組件之間緊密配合，不同組件之間需要一定的定制開(kāi)發(fā)工作，主要包括：1、 SSLVPN與身份認(rèn)證系統(tǒng)之間的接口。2、 應(yīng)用發(fā)布系統(tǒng)與身份認(rèn)證系統(tǒng)之間的