統(tǒng)一認(rèn)證平臺(tái)的方案XXXX互聯(lián)網(wǎng)接入平臺(tái)建設(shè)方案doc

統(tǒng)一認(rèn)證平臺(tái)的方案XXXX互聯(lián)網(wǎng)接入平臺(tái)建設(shè)方案.doc統(tǒng)一認(rèn)證平臺(tái)的方案XXXX互聯(lián)網(wǎng)接入平臺(tái)建設(shè)方案.docPAGE12/12PAGE12統(tǒng)一認(rèn)證平臺(tái)的方案XXXX互聯(lián)網(wǎng)接入平臺(tái)建設(shè)方案.docPAGE

互聯(lián)網(wǎng)接入平臺(tái)建設(shè)方案

為落實(shí)企業(yè)業(yè)務(wù)互聯(lián)網(wǎng)化的展開規(guī)劃，推動(dòng)實(shí)現(xiàn)企業(yè)辦公、管理等相關(guān)業(yè)務(wù)的互聯(lián)網(wǎng)化和移動(dòng)化，我部擬展開互聯(lián)網(wǎng)接入平臺(tái)系統(tǒng)的建設(shè)，建立互聯(lián)網(wǎng)與企業(yè)內(nèi)部網(wǎng)絡(luò)的唯一通道，在平安風(fēng)險(xiǎn)可監(jiān)、可控、可承受的前提下，為企業(yè)員工提供更加順暢、

更加便捷的互聯(lián)網(wǎng)接入效勞，知足企業(yè)員工利用PC、移動(dòng)終端等客戶端經(jīng)過互聯(lián)網(wǎng)靈活接見企業(yè)內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)的需求。一、需求解析

〔一〕覆蓋范圍

員工經(jīng)過PC、移動(dòng)終端等客戶端可以接見企業(yè)辦公網(wǎng)及交易網(wǎng)內(nèi)的相關(guān)業(yè)務(wù)系統(tǒng)。

〔二〕接入終端需求

1、PC終端

員工可以使用PC、筆記本電腦等終端接見企業(yè)內(nèi)網(wǎng)系統(tǒng)，并

保證員工PC終端自己的平安性不會(huì)影響到企業(yè)內(nèi)網(wǎng)的信息系統(tǒng)。

2、移動(dòng)終端

員工可以使用基于Android系統(tǒng)和iOS系統(tǒng)的移動(dòng)終端，以

企業(yè)APP的方式接見企業(yè)內(nèi)網(wǎng)系統(tǒng)，接見期間，移動(dòng)終端系統(tǒng)的

其他程序無法獲取相關(guān)數(shù)據(jù)等信息。互聯(lián)網(wǎng)接入平臺(tái)可以對(duì)移動(dòng)

終端的平安性進(jìn)行檢測(cè)和管理，不吻合平安策的移動(dòng)終端不允許1接入內(nèi)部網(wǎng)絡(luò)。

〔三〕多運(yùn)營(yíng)商接入需求

企業(yè)員工經(jīng)過聯(lián)通、電信、移動(dòng)等多個(gè)運(yùn)營(yíng)商接入互聯(lián)網(wǎng)接見企業(yè)內(nèi)部業(yè)務(wù)系統(tǒng)，因此互聯(lián)網(wǎng)接入平臺(tái)需支持上述各運(yùn)營(yíng)商，并可以采用最優(yōu)接見路徑以保障接見速度。

〔四〕身份認(rèn)證及單點(diǎn)登錄需求

由于互聯(lián)網(wǎng)接入平臺(tái)面向互聯(lián)網(wǎng)開放，用戶身份認(rèn)證必須采取強(qiáng)身份認(rèn)證方式，除需設(shè)置一定復(fù)雜度的登錄口令外，必須支

持RSA動(dòng)向令牌認(rèn)證，可擴(kuò)展支持短信、數(shù)字證書、指紋等高強(qiáng)度認(rèn)證方式。

互聯(lián)網(wǎng)接入平臺(tái)具備單點(diǎn)登錄功能，用戶身份考據(jù)通過后，互聯(lián)網(wǎng)接入平臺(tái)將向用戶開放其權(quán)限范圍內(nèi)的所有業(yè)務(wù)系統(tǒng)，且

用戶接見其中任何業(yè)務(wù)系統(tǒng)均不需要再次認(rèn)證。對(duì)B/S、C/S、APP

形態(tài)的業(yè)務(wù)系統(tǒng)均采用票據(jù)方式實(shí)現(xiàn)單點(diǎn)登錄功能，不可使用密碼代填的實(shí)現(xiàn)方式。

〔五〕平安防備需求

1、數(shù)據(jù)平安傳輸要求

PC終端、移動(dòng)終端經(jīng)過互聯(lián)網(wǎng)接見企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)需采

取加密舉措，防備企業(yè)相關(guān)數(shù)據(jù)的泄露。

2、邊界接見控制

互聯(lián)網(wǎng)接入平臺(tái)應(yīng)采取平安地域劃分、接見控制、入侵檢測(cè)/

防守、APT檢測(cè)/防守等平安防備舉措，有效保障互聯(lián)網(wǎng)接入平臺(tái)2后部的企業(yè)信息系統(tǒng)的平安性。

二、方案設(shè)計(jì)

互聯(lián)網(wǎng)接入平臺(tái)主要由接入模塊、認(rèn)證模塊、應(yīng)用發(fā)布模塊

及平安防備模塊組成，各模塊之間緊密相連、相互配合。

圖1互聯(lián)網(wǎng)接入平臺(tái)主要功能模塊

〔一〕接入模塊

接入模塊主要由鏈路負(fù)載平衡及SSLVPN組成。其中，鏈路

負(fù)載平衡連接聯(lián)通、電信、移動(dòng)等多個(gè)運(yùn)營(yíng)商，自動(dòng)采用最優(yōu)訪

問路徑進(jìn)而提升接見速度；SSLVPN用于互聯(lián)網(wǎng)接入用戶的根本

認(rèn)證，并與認(rèn)證模塊的認(rèn)證系統(tǒng)緊密結(jié)合實(shí)現(xiàn)高強(qiáng)度認(rèn)證，同時(shí)

SSLVPN用于實(shí)現(xiàn)數(shù)據(jù)在互聯(lián)網(wǎng)上的加密傳輸。

〔二〕認(rèn)證模塊

認(rèn)證模塊主要用于實(shí)現(xiàn)互聯(lián)網(wǎng)接入平臺(tái)的統(tǒng)一身份認(rèn)證和單

點(diǎn)登錄。該模塊需要與前臺(tái)的SSLVPN及后臺(tái)的應(yīng)用系統(tǒng)緊密結(jié)

合，一方面支撐接見用戶的RSA動(dòng)向令牌、短信、數(shù)字證書、指

紋等高強(qiáng)度認(rèn)證；另一方面，認(rèn)證模塊需建立接見用戶賬戶與各

3內(nèi)部應(yīng)用系統(tǒng)賬戶之間的關(guān)系，基于票據(jù)的方式實(shí)現(xiàn)內(nèi)部業(yè)務(wù)系統(tǒng)的單點(diǎn)登錄。

企業(yè)內(nèi)部的終端亦可使用互聯(lián)網(wǎng)接入平臺(tái)，在經(jīng)過認(rèn)證模塊的身份認(rèn)證后，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)中各應(yīng)用系統(tǒng)的單點(diǎn)登錄功能。內(nèi)

部終端在接見互聯(lián)網(wǎng)接入平臺(tái)時(shí)，無需經(jīng)過SSLVPN對(duì)傳輸進(jìn)行數(shù)據(jù)加密。

〔三〕應(yīng)用發(fā)布模塊

基于PC系統(tǒng)環(huán)境及移動(dòng)終端系統(tǒng)環(huán)境的差別，互聯(lián)網(wǎng)接入平臺(tái)針對(duì)移動(dòng)端采取不同的技術(shù)實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)應(yīng)用的接見。

移動(dòng)終端及應(yīng)用管理

移動(dòng)應(yīng)用管理模塊主要提供移動(dòng)終端的管理以及應(yīng)用管理功能，主要功能實(shí)現(xiàn)如下：

1〕移動(dòng)設(shè)備管理

實(shí)現(xiàn)對(duì)移動(dòng)設(shè)備注冊(cè)審核、信息管理、平安策略管理、平安

性/合規(guī)檢測(cè)等功能，實(shí)現(xiàn)對(duì)移動(dòng)設(shè)備的信息收集、平安管理和準(zhǔn)入控制等功能。

2〕應(yīng)用管理

建立企業(yè)的企業(yè)應(yīng)用商店，實(shí)現(xiàn)企業(yè)內(nèi)部業(yè)務(wù)的應(yīng)用發(fā)布、

應(yīng)用散發(fā)管控等功能。支持在一個(gè)客戶端內(nèi)管理企業(yè)APP，實(shí)現(xiàn)

對(duì)內(nèi)部業(yè)務(wù)APP的統(tǒng)一接見入口。采用“沙箱〞技術(shù)實(shí)現(xiàn)企業(yè)內(nèi)

部APP數(shù)據(jù)和個(gè)人數(shù)據(jù)的隔斷，保障企業(yè)應(yīng)用數(shù)據(jù)的平安性。支持對(duì)APP的平安加固。

4〔四〕平安防備模塊

互聯(lián)網(wǎng)接入平臺(tái)與互聯(lián)網(wǎng)、內(nèi)部應(yīng)用系統(tǒng)的網(wǎng)絡(luò)邊界應(yīng)采取

邊界防備舉措；為進(jìn)一步提升系統(tǒng)平安性，內(nèi)部應(yīng)用系統(tǒng)邊界可

采用應(yīng)用層平安防備、APT檢測(cè)/防守等平安舉措。

三、部署方案

根據(jù)方案設(shè)計(jì)，考慮到互聯(lián)網(wǎng)接入平臺(tái)的冗余性，各主要硬

件設(shè)備均配置兩套實(shí)現(xiàn)冗余，部署方案如下列圖所示：

圖2辦公網(wǎng)互聯(lián)網(wǎng)接入平臺(tái)部署方案示意圖

辦公網(wǎng)與交易網(wǎng)的互聯(lián)網(wǎng)接入平臺(tái)的實(shí)現(xiàn)和部署模式相同，

5兩套系統(tǒng)相對(duì)獨(dú)立，僅統(tǒng)一認(rèn)證系統(tǒng)可共享使用。

四、主要場(chǎng)景

〔一〕外部PC客戶端接見B/S應(yīng)用場(chǎng)景

1、員工在首次使用時(shí)，在PC端經(jīng)過瀏覽器接見VPN發(fā)布的

認(rèn)證登錄界面，下載應(yīng)用發(fā)布客戶端，完成安裝。

2、員工在PC端上經(jīng)過瀏覽器接見VPN發(fā)布的認(rèn)證登錄界面，

輸入用于統(tǒng)一認(rèn)證的用戶名、密碼及動(dòng)向口令〔或其他強(qiáng)身份認(rèn)證方式〕。

3、VPN將用戶信息提交到統(tǒng)一身份認(rèn)證系統(tǒng)進(jìn)行認(rèn)證。

4、統(tǒng)一認(rèn)證系統(tǒng)對(duì)合法的接入用戶發(fā)放票據(jù)并記錄。

5、建立VPN隧道后，會(huì)話重定向至應(yīng)用發(fā)布平臺(tái)，客戶端〔PC

瀏覽器〕向應(yīng)用發(fā)布平臺(tái)發(fā)出認(rèn)證央求，應(yīng)用發(fā)布平臺(tái)將認(rèn)證請(qǐng)

求重定向至統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一認(rèn)證系統(tǒng)要求客戶端提交認(rèn)證信

息，客戶端將緩存的票據(jù)提交至統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一認(rèn)證系統(tǒng)返

回有效平安票據(jù)將客戶端央求重定向至應(yīng)用發(fā)布平臺(tái)，客戶端攜

帶票據(jù)接見應(yīng)用發(fā)布系統(tǒng)。

66、應(yīng)用發(fā)布平臺(tái)接收票據(jù)后，對(duì)該平安票據(jù)進(jìn)行解析確認(rèn)。

票據(jù)考據(jù)成功后，那么為該用戶建立有效會(huì)話，向用戶展示用戶的

權(quán)限內(nèi)應(yīng)用。

7、用戶點(diǎn)擊相關(guān)的業(yè)務(wù)系統(tǒng)圖標(biāo)啟動(dòng)應(yīng)用，應(yīng)用客戶端經(jīng)過

應(yīng)用發(fā)布平臺(tái)的相關(guān)接口獲取終端設(shè)備緩存的票據(jù)，應(yīng)用客戶端

攜帶票據(jù)向內(nèi)部業(yè)務(wù)系統(tǒng)倡始認(rèn)證登錄央求，業(yè)務(wù)系統(tǒng)向統(tǒng)一身

份認(rèn)證系統(tǒng)對(duì)票據(jù)進(jìn)行考據(jù)。

8、統(tǒng)一身份認(rèn)證系統(tǒng)考據(jù)完成后，返回給業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系

統(tǒng)獲得票據(jù)擁有者的用戶信息。

9、業(yè)務(wù)系統(tǒng)根據(jù)用戶信息盤問該用戶的權(quán)限并生成用戶界

面。

10、最終業(yè)務(wù)系統(tǒng)向用戶進(jìn)行展示對(duì)用戶的業(yè)務(wù)系統(tǒng)界面。

〔二〕外部PC客戶端接見C/S應(yīng)用場(chǎng)景

針對(duì)PC客戶端需要接見的C/S類應(yīng)用，除因?qū)崿F(xiàn)單點(diǎn)登錄而

對(duì)其認(rèn)證功能的改造與B/S類業(yè)務(wù)不同外，其他實(shí)現(xiàn)模式與“PC

客戶端接見B/S應(yīng)用場(chǎng)景〞相同。

〔三〕外部移動(dòng)客戶端獲取與啟動(dòng)場(chǎng)景

1、員工經(jīng)過使用移動(dòng)終端設(shè)備的瀏覽器接見移動(dòng)應(yīng)用管理服

7務(wù)器發(fā)布的安裝包獲取頁面，下載并安裝移動(dòng)應(yīng)用管理系統(tǒng)〔以下簡(jiǎn)稱EMM〕的客戶端。

2、EMM客戶端中部署“VPNSDK〞，用于實(shí)現(xiàn)單點(diǎn)登錄。

3、啟動(dòng)EMM客戶端后，輸入用于統(tǒng)一認(rèn)證的用戶名、密碼及

動(dòng)向口令〔或其他強(qiáng)認(rèn)證方式〕。

4、認(rèn)證央求發(fā)送至邊界的VPN設(shè)備，VPN將用戶信息提交到

統(tǒng)一身份認(rèn)證系統(tǒng)進(jìn)行認(rèn)證。

5、統(tǒng)一認(rèn)證系統(tǒng)對(duì)合法的接入用戶發(fā)放票據(jù)并記錄。

6、建立VPN隧道后，會(huì)話重定向至EMM，EMM客戶端向EMM

發(fā)出認(rèn)證央求，EMM將認(rèn)證央求重定向至統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一認(rèn)

證系統(tǒng)要求EMM客戶端提交認(rèn)證信息，EMM客戶端將緩存的票據(jù)

提交至統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一認(rèn)證系統(tǒng)返回有效平安票據(jù)并將央求

重定向至EMM，EMM客戶端攜帶票據(jù)接見EMM系統(tǒng)。

7、EMM接收票據(jù)后，使用統(tǒng)一認(rèn)證系統(tǒng)提供的SDK開發(fā)包，

對(duì)該平安票據(jù)進(jìn)行解析確認(rèn)。票據(jù)考據(jù)成功后，那么為該用戶建立

有效會(huì)話。

88、員工可以在EMM客戶端資源頁面中下載其授權(quán)范圍內(nèi)的企

業(yè)APP。

〔四〕外部移動(dòng)客戶端使用TouchID認(rèn)證場(chǎng)景

1、員工經(jīng)過使用移動(dòng)終端設(shè)備的瀏覽器接見移動(dòng)應(yīng)用管理服

務(wù)器發(fā)布的安裝包獲取頁面，下載并安裝EMM客戶端。

2、EMM客戶端中部署“VPNSDK〞，用于實(shí)現(xiàn)單點(diǎn)登錄。

3、啟動(dòng)EMM客戶端后，采用TouchID方式進(jìn)行認(rèn)證。

4、認(rèn)證央求發(fā)送至邊界的VPN設(shè)備，VPN將用戶使用TouchID

經(jīng)過認(rèn)證的信息提交到統(tǒng)一身份認(rèn)證系統(tǒng)進(jìn)行認(rèn)證。

5、統(tǒng)一認(rèn)證系統(tǒng)采用信任TouchID為可信認(rèn)證源的方式進(jìn)行

認(rèn)證結(jié)果判斷，經(jīng)過認(rèn)證后對(duì)合法的接入用戶發(fā)放票據(jù)并記錄。

注：其他實(shí)現(xiàn)模式與“移動(dòng)客戶端獲取與啟動(dòng)場(chǎng)景〞相同。

〔五〕企業(yè)APP使用場(chǎng)景

經(jīng)過EMM客戶端發(fā)布的企業(yè)內(nèi)部移動(dòng)APP〔以下簡(jiǎn)稱企業(yè)

APP〕，同樣需要使用“集成SDK〞，用于實(shí)現(xiàn)單點(diǎn)登錄與移動(dòng)應(yīng)用

平安管理。

1、啟動(dòng)某內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)APP后，讀取該終端設(shè)備上EMM客戶

端中緩存的有效認(rèn)證票據(jù)。92、APP攜帶票據(jù)向APP效勞端倡始認(rèn)證央求，APP效勞端將

認(rèn)證央求重定向至統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一認(rèn)證系統(tǒng)要求APP提交認(rèn)

證信息，APP將緩存的票據(jù)提交至統(tǒng)一認(rèn)證系統(tǒng)，統(tǒng)一認(rèn)證系統(tǒng)

返回有效平安票據(jù)將央求重定向至APP效勞器，APP攜帶票據(jù)訪

問APP效勞器。

3、APP效勞端接收票據(jù)后，使用統(tǒng)一認(rèn)證系統(tǒng)提供的SDK開

發(fā)包，對(duì)該平安票據(jù)進(jìn)行解析。解析結(jié)果提交至統(tǒng)一認(rèn)證系統(tǒng)，

統(tǒng)一認(rèn)證系統(tǒng)進(jìn)行票據(jù)有效性考據(jù)，對(duì)正確的結(jié)果返回確認(rèn)信息

和對(duì)應(yīng)的賬號(hào)，APP效勞端使用該賬號(hào)為用戶建立有效會(huì)話。

〔六〕內(nèi)部PC單點(diǎn)登錄場(chǎng)景

企業(yè)員工可在企業(yè)內(nèi)網(wǎng)使用PC登錄互聯(lián)網(wǎng)接入平臺(tái)后，經(jīng)過

身份認(rèn)證后，可以實(shí)現(xiàn)內(nèi)部各應(yīng)用系統(tǒng)接見時(shí)的單點(diǎn)登錄。

1、內(nèi)部終端接見統(tǒng)一認(rèn)證系統(tǒng)面向內(nèi)部網(wǎng)絡(luò)發(fā)布的統(tǒng)一

Portal頁面，填寫賬戶、密碼及動(dòng)向口令〔或其他強(qiáng)身份認(rèn)證方

式〕等認(rèn)證信息。

2、統(tǒng)一認(rèn)證系統(tǒng)對(duì)合法的接入用戶發(fā)放票據(jù)并記錄，并提供

用戶資源頁面。

3、用戶接見資源頁面內(nèi)的應(yīng)用系統(tǒng)時(shí)直接調(diào)用瀏覽器〔B/S

系統(tǒng)〕或客戶端〔C/S〕系統(tǒng)，不使用應(yīng)用發(fā)布的模式。

4、用戶點(diǎn)擊相關(guān)的業(yè)務(wù)系統(tǒng)圖標(biāo)啟動(dòng)應(yīng)用，用戶經(jīng)過認(rèn)證系

10統(tǒng)接口攜帶票據(jù)向內(nèi)部業(yè)務(wù)系統(tǒng)倡始認(rèn)證登錄央求，業(yè)務(wù)系統(tǒng)向

統(tǒng)一身份認(rèn)證系統(tǒng)對(duì)票據(jù)進(jìn)行考據(jù)。

5、統(tǒng)一身份認(rèn)證系統(tǒng)考據(jù)完成后，返回給業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系

統(tǒng)獲得票據(jù)擁有者的用戶信息。

6、業(yè)務(wù)系統(tǒng)根據(jù)用戶信息盤問該用戶的權(quán)限并生成用戶界

面。

7、最終業(yè)務(wù)系統(tǒng)向用戶進(jìn)行展示對(duì)用戶的業(yè)務(wù)系統(tǒng)界面。

五、主要挑戰(zhàn)

該方案涉及局部定制開發(fā)工作，主要表達(dá)在一下幾方面：

〔一〕功能性定制開發(fā)

考慮到方案的全面性，方案中的局部需求需要定制開發(fā)，如SSLVPN以及APP、PC使用的B/S與C/S應(yīng)用對(duì)統(tǒng)一身份認(rèn)證及單點(diǎn)登錄方式的支持、統(tǒng)一Portal門戶等。

〔二〕各組件間的接口開發(fā)

為實(shí)現(xiàn)該方案各組件之間緊密配合，不同組件之間需要一定的定制開發(fā)工作，主要包括：

1、SSLVPN與身份認(rèn)證系統(tǒng)之間的接口。

2、應(yīng)用發(fā)布系統(tǒng)與身份認(rèn)證系統(tǒng)之間的接口。

3、移動(dòng)應(yīng)用管