《统一认证平台的设计方案(XXXX互联网接入平台建设方案)》由会员分享,可在线阅读,更多相关《统一认证平台的设计方案(XXXX互联网接入平台建设方案)(12页珍藏版)》请在金锄头文库上搜索。
1、XXXX 互联网接入平台建设方案为落实公司业务互联网化的发展规划,推动实现公司办公、管理等相关业务的互联网化和移动化,我部拟开展互联网接入平台系统的建设,建立互联网与公司内部网络的唯一通道,在安全风险可监、可控、可承受的前提下,为公司职工提供更加顺畅、更为便捷的互联网接入服务,满足公司职工利用 PC、移动终端等客户端通过互联网灵活访问公司内网业务系统的需求。一、需求分析一覆盖范围一覆盖范围职工通过 PC、移动终端等客户端能够访问公司办公网及交易网内的相关业务系统。二接入终端需求二接入终端需求1、PC 终端职工能够使用 PC、笔记本电脑等终端访问公司内网系统,并确保职工 PC 终端自身的安全性不
2、会影响到公司内网的信息系统。2、移动终端职工能够使用基于 Android 系统和 iOS 系统的移动终端,以企业 APP 的方式访问公司内网系统,访问期间,移动终端系统的其他程序无法获取相关数据等信息。互联网接入平台能够对移动终端的安全性进行检测和管理,不符合安全策的移动终端不允许1接入内部网络。三多运营商接入需求三多运营商接入需求公司职工通过联通、电信、移动等多个运营商接入互联网访问公司内部业务系统, 因此互联网接入平台需支持上述各运营商,并能够选取最优访问路径以保障访问速度。四身份认证及单点登录需求四身份认证及单点登录需求由于互联网接入平台面向互联网开放,用户身份认证必须采取强身份认证方式
3、,除需设置一定复杂度的登录口令外,必须支持 RSA 动态令牌认证,可扩展支持短信、数字证书、指纹等高强度认证方式。互联网接入平台具备单点登录功能,用户身份验证通过后,互联网接入平台将向用户开放其权限范围内的所有业务系统,且用户访问其中任何业务系统均不需要再次认证。对 B/S、 C/S、 APP形态的业务系统均采用票据方式实现单点登录功能,不可使用密码代填的实现方式。五安全防护需求五安全防护需求1、数据安全传输要求PC 终端、移动终端通过互联网访问公司内部网络的数据需采取加密措施,防止公司相关数据的泄露。2、边界访问控制互联网接入平台应采取安全区域划分、访问控制、入侵检测/防御、APT 检测/防
4、御等安全防护措施,有效保障互联网接入平台2后部的公司信息系统的安全性。二、方案设计互联网接入平台主要由接入模块、认证模块、应用发布模块及安全防护模块组成,各模块之间紧密相连、相互配合。图 1 互联网接入平台主要功能模块一接入模块一接入模块接入模块主要由链路负载均衡及 SSL VPN 组成。其中,链路负载均衡连接联通、电信、移动等多个运营商,自动选取最优访问路径从而提升访问速度;SSL VPN 用于互联网接入用户的基本认证,并与认证模块的认证系统紧密结合实现高强度认证,同时SSL VPN 用于实现数据在互联网上的加密传输。二认证模块二认证模块认证模块主要用于实现互联网接入平台的统一身份认证和单点
5、登录。该模块需要与前台的 SSL VPN 及后台的应用系统紧密结合,一方面支撑访问用户的 RSA 动态令牌、短信、数字证书、指纹等高强度认证;另一方面,认证模块需建立访问用户账户与各3内部应用系统账户之间的关联,基于票据的方式实现内部业务系统的单点登录。公司内部的终端亦可使用互联网接入平台,在通过认证模块的身份认证后,实现内部网络中各应用系统的单点登录功能。内部终端在访问互联网接入平台时,无需通过 SSL VPN 对传输进行数据加密。三应用发布模块三应用发布模块基于 PC 系统环境及移动终端系统环境的差异, 互联网接入平台针对移动端采取不同的技术实现对内网应用的访问。移动终端及应用管理移动应用
6、管理模块主要提供移动终端的管理以及应用管理功能,主要功能实现如下:1移动设备管理实现对移动设备注册审核、信息管理、安全策略管理、安全性/合规检测等功能,实现对移动设备的信息收集、安全管理和准入控制等功能。2应用管理建立公司的企业应用商店,实现公司内部业务的应用发布、应用分发管控等功能。支持在一个客户端内管理公司 APP,实现对内部业务 APP 的统一访问入口。采用“沙箱”技术实现公司内部 APP 数据和个人数据的隔离,保障公司应用数据的安全性。支持对 APP 的安全加固。4四安全防护模块四安全防护模块互联网接入平台与互联网、内部应用系统的网络边界应采取边界防护措施;为进一步提升系统安全性,内部
7、应用系统边界可采用应用层安全防护、APT 检测/防御等安全措施。三、部署方案根据方案设计,考虑到互联网接入平台的冗余性,各主要硬件设备均配置两套实现冗余,部署方案如下列图所示:图 2 办公网互联网接入平台部署方案示意图办公网与交易网的互联网接入平台的实现和部署模式相同,5两套系统相对独立,仅统一认证系统可共享使用。四、主要场景一外部一外部 PCPC 客户端访问客户端访问 B/SB/S 应用场景应用场景1、职工在首次使用时,在 PC 端通过浏览器访问 VPN 发布的认证登录界面,下载应用发布客户端,完成安装。2、 职工在 PC 端上通过浏览器访问 VPN 发布的认证登录界面,输入用于统一认证的用
8、户名、密码及动态口令或其他强身份认证方式 。3、VPN 将用户信息提交到统一身份认证系统进行认证。4、统一认证系统对合法的接入用户发放票据并记录。5、 建立 VPN 隧道后, 会话重定向至应用发布平台, 客户端 PC浏览器向应用发布平台发出认证请求,应用发布平台将认证请求重定向至统一认证系统,统一认证系统要求客户端提交认证信息,客户端将缓存的票据提交至统一认证系统,统一认证系统返回有效安全票据将客户端请求重定向至应用发布平台,客户端携带票据访问应用发布系统。66、应用发布平台接收票据后,对该安全票据进行解析确认。票据验证成功后,则为该用户建立有效会话,向用户展示用户的权限内应用。7、用户点击相
9、关的业务系统图标启动应用,应用客户端通过应用发布平台的相关接口获取终端设备缓存的票据,应用客户端携带票据向内部业务系统发起认证登录请求,业务系统向统一身份认证系统对票据进行验证。8、统一身份认证系统验证完成后, 返回给业务系统,业务系统得到票据持有者的用户信息。9、业务系统根据用户信息查询该用户的权限并生成用户界面。10、最终业务系统向用户进行展示对用户的业务系统界面。二外部二外部 PCPC 客户端访问客户端访问 C/SC/S 应用场景应用场景针对 PC 客户端需要访问的 C/S 类应用, 除因实现单点登录而对其认证功能的改造与 B/S 类业务不同外,其他实现模式与“PC客户端访问 B/S 应
10、用场景”相同。三外部移动客户端获取与启动场景三外部移动客户端获取与启动场景1、 职工通过使用移动终端设备的浏览器访问移动应用管理服7务器发布的安装包获取页面,下载并安装移动应用管理系统以下简称 EMM的客户端。2、EMM 客户端中部署“VPN SDK” ,用于实现单点登录。3、启动EMM 客户端后,输入用于统一认证的用户名、密码及动态口令或其他强认证方式 。4、认证请求发送至边界的 VPN 设备,VPN 将用户信息提交到统一身份认证系统进行认证。5、统一认证系统对合法的接入用户发放票据并记录。6、建立 VPN 隧道后,会话重定向至 EMM,EMM 客户端向 EMM发出认证请求,EMM 将认证请
11、求重定向至统一认证系统,统一认证系统要求 EMM 客户端提交认证信息,EMM 客户端将缓存的票据提交至统一认证系统,统一认证系统返回有效安全票据并将请求重定向至 EMM,EMM 客户端携带票据访问 EMM 系统。7、EMM 接收票据后,使用统一认证系统提供的 SDK 开发包,对该安全票据进行解析确认。票据验证成功后,则为该用户建立有效会话。88、 职工可以在 EMM 客户端资源页面中下载其授权范围内的企业 APP。四外部移动客户端使用四外部移动客户端使用 TouchIDTouchID 认证场景认证场景1、 职工通过使用移动终端设备的浏览器访问移动应用管理服务器发布的安装包获取页面,下载并安装
12、EMM 客户端。2、EMM 客户端中部署“VPN SDK” ,用于实现单点登录。3、启动 EMM 客户端后,采用 TouchID 方式进行认证。4、 认证请求发送至边界的 VPN 设备, VPN 将用户使用 TouchID通过认证的信息提交到统一身份认证系统进行认证。5、 统一认证系统采用信任 TouchID 为可信认证源的方式进行认证结果判定,通过认证后对合法的接入用户发放票据并记录。注:其他实现模式与“移动客户端获取与启动场景”相同。五企业五企业 APPAPP 使用场景使用场景通过 EMM 客户端发布的企业内部移动APP以下简称企业APP ,同样需要使用“集成SDK” ,用于实现单点登录与
13、移动应用安全管理。1、启动某内网业务系统 APP 后,读取该终端设备上 EMM 客户端中缓存的有效认证票据。92、APP 携带票据向 APP 服务端发起认证请求,APP 服务端将认证请求重定向至统一认证系统,统一认证系统要求 APP 提交认证信息,APP 将缓存的票据提交至统一认证系统,统一认证系统返回有效安全票据将请求重定向至 APP 服务器,APP 携带票据访问 APP 服务器。3、APP 服务端接收票据后,使用统一认证系统提供的 SDK 开发包,对该安全票据进行解析。解析结果提交至统一认证系统,统一认证系统进行票据有效性验证,对正确的结果返回确认信息和对应的账号,APP 服务端使用该账号
14、为用户建立有效会话。六内部六内部 PCPC 单点登录场景单点登录场景公司职工可在公司内网使用 PC 登录互联网接入平台后, 通过身份认证后,能够实现内部各应用系统访问时的单点登录。1、内部终端访问统一认证系统面向内部网络发布的统一Portal 页面,填写账户、密码及动态口令或其他强身份认证方式等认证信息。2、统一认证系统对合法的接入用户发放票据并记录,并提供用户资源页面。3、用户访问资源页面内的应用系统时直接调用浏览器B/S系统或客户端C/S系统,不使用应用发布的模式。4、用户点击相关的业务系统图标启动应用,用户通过认证系10统接口携带票据向内部业务系统发起认证登录请求,业务系统向统一身份认证
15、系统对票据进行验证。5、统一身份认证系统验证完成后, 返回给业务系统,业务系统得到票据持有者的用户信息。6、业务系统根据用户信息查询该用户的权限并生成用户界面。7、最终业务系统向用户进行展示对用户的业务系统界面。五、主要挑战该方案涉及部分定制开发工作,主要表达在一下几方面:一功能性定制开发考虑到方案的全面性,方案中的部分需求需要定制开发,如SSLVPN 以及 APP、PC 使用的 B/S 与 C/S 应用对统一身份认证及单点登录方式的支持、统一 Portal 门户等。二各组件间的接口开发为实现该方案各组件之间紧密配合,不同组件之间需要一定的定制开发工作,主要包括:1、 SSL VPN 与身份认证系统之间的接口。2、 应用发布系统与身份认证系统之间的接口。3、 移动应用管理与身份认证系统之间的接口。4、 身份认证系统与内部应用系统之间的接口。5、 应用发布与 C/S 应用系统客户端之间的接口。6、 应用发布与 B/S 应用系统之间的接口。117、 移动应用管理模块与内部应用 APP 之间的接口。8、 移动应用管理 APP 与 SSL VPN 之间的接口。上述定制开发涉及面较广,尤其是涉及到各内部应用系统,各系统之间需要一定的磨合,系统搭建和调试周期相对较长。六、项目初步预算七、进度计划该项目计划于 2015 年 12 月份启动招标,详细进度如下表所示:12
