统一认证平台的方案XXXX互联网接入平台建设方案doc

统一认证平台的方案XXXX互联网接入平台建设方案.doc统一认证平台的方案XXXX互联网接入平台建设方案.docPAGE12/12PAGE12统一认证平台的方案XXXX互联网接入平台建设方案.docPAGE

互联网接入平台建设方案

为落实企业业务互联网化的展开规划，推动实现企业办公、管理等相关业务的互联网化和移动化，我部拟展开互联网接入平台系统的建设，建立互联网与企业内部网络的唯一通道，在平安风险可监、可控、可承受的前提下，为企业员工提供更加顺畅、

更加便捷的互联网接入效劳，知足企业员工利用PC、移动终端等客户端经过互联网灵活接见企业内网业务系统的需求。一、需求解析

〔一〕覆盖范围

员工经过PC、移动终端等客户端可以接见企业办公网及交易网内的相关业务系统。

〔二〕接入终端需求

1、PC终端

员工可以使用PC、笔记本电脑等终端接见企业内网系统，并

保证员工PC终端自己的平安性不会影响到企业内网的信息系统。

2、移动终端

员工可以使用基于Android系统和iOS系统的移动终端，以

企业APP的方式接见企业内网系统，接见期间，移动终端系统的

其他程序无法获取相关数据等信息。互联网接入平台可以对移动

终端的平安性进行检测和管理，不吻合平安策的移动终端不允许1接入内部网络。

〔三〕多运营商接入需求

企业员工经过联通、电信、移动等多个运营商接入互联网接见企业内部业务系统，因此互联网接入平台需支持上述各运营商，并可以采用最优接见路径以保障接见速度。

〔四〕身份认证及单点登录需求

由于互联网接入平台面向互联网开放，用户身份认证必须采取强身份认证方式，除需设置一定复杂度的登录口令外，必须支

持RSA动向令牌认证，可扩展支持短信、数字证书、指纹等高强度认证方式。

互联网接入平台具备单点登录功能，用户身份考据通过后，互联网接入平台将向用户开放其权限范围内的所有业务系统，且

用户接见其中任何业务系统均不需要再次认证。对B/S、C/S、APP

形态的业务系统均采用票据方式实现单点登录功能，不可使用密码代填的实现方式。

〔五〕平安防备需求

1、数据平安传输要求

PC终端、移动终端经过互联网接见企业内部网络的数据需采

取加密举措，防备企业相关数据的泄露。

2、边界接见控制

互联网接入平台应采取平安地域划分、接见控制、入侵检测/

防守、APT检测/防守等平安防备举措，有效保障互联网接入平台2后部的企业信息系统的平安性。

二、方案设计

互联网接入平台主要由接入模块、认证模块、应用发布模块

及平安防备模块组成，各模块之间紧密相连、相互配合。

图1互联网接入平台主要功能模块

〔一〕接入模块

接入模块主要由链路负载平衡及SSLVPN组成。其中，链路

负载平衡连接联通、电信、移动等多个运营商，自动采用最优访

问路径进而提升接见速度；SSLVPN用于互联网接入用户的根本

认证，并与认证模块的认证系统紧密结合实现高强度认证，同时

SSLVPN用于实现数据在互联网上的加密传输。

〔二〕认证模块

认证模块主要用于实现互联网接入平台的统一身份认证和单

点登录。该模块需要与前台的SSLVPN及后台的应用系统紧密结

合，一方面支撑接见用户的RSA动向令牌、短信、数字证书、指

纹等高强度认证；另一方面，认证模块需建立接见用户账户与各

3内部应用系统账户之间的关系，基于票据的方式实现内部业务系统的单点登录。

企业内部的终端亦可使用互联网接入平台，在经过认证模块的身份认证后，实现内部网络中各应用系统的单点登录功能。内

部终端在接见互联网接入平台时，无需经过SSLVPN对传输进行数据加密。

〔三〕应用发布模块

基于PC系统环境及移动终端系统环境的差别，互联网接入平台针对移动端采取不同的技术实现对内网应用的接见。

移动终端及应用管理

移动应用管理模块主要提供移动终端的管理以及应用管理功能，主要功能实现如下：

1〕移动设备管理

实现对移动设备注册审核、信息管理、平安策略管理、平安

性/合规检测等功能，实现对移动设备的信息收集、平安管理和准入控制等功能。

2〕应用管理

建立企业的企业应用商店，实现企业内部业务的应用发布、

应用散发管控等功能。支持在一个客户端内管理企业APP，实现

对内部业务APP的统一接见入口。采用“沙箱〞技术实现企业内

部APP数据和个人数据的隔断，保障企业应用数据的平安性。支持对APP的平安加固。

4〔四〕平安防备模块

互联网接入平台与互联网、内部应用系统的网络边界应采取

边界防备举措；为进一步提升系统平安性，内部应用系统边界可

采用应用层平安防备、APT检测/防守等平安举措。

三、部署方案

根据方案设计，考虑到互联网接入平台的冗余性，各主要硬

件设备均配置两套实现冗余，部署方案如下列图所示：

图2办公网互联网接入平台部署方案示意图

办公网与交易网的互联网接入平台的实现和部署模式相同，

5两套系统相对独立，仅统一认证系统可共享使用。

四、主要场景

〔一〕外部PC客户端接见B/S应用场景

1、员工在首次使用时，在PC端经过浏览器接见VPN发布的

认证登录界面，下载应用发布客户端，完成安装。

2、员工在PC端上经过浏览器接见VPN发布的认证登录界面，

输入用于统一认证的用户名、密码及动向口令〔或其他强身份认证方式〕。

3、VPN将用户信息提交到统一身份认证系统进行认证。

4、统一认证系统对合法的接入用户发放票据并记录。

5、建立VPN隧道后，会话重定向至应用发布平台，客户端〔PC

浏览器〕向应用发布平台发出认证央求，应用发布平台将认证请

求重定向至统一认证系统，统一认证系统要求客户端提交认证信

息，客户端将缓存的票据提交至统一认证系统，统一认证系统返

回有效平安票据将客户端央求重定向至应用发布平台，客户端携

带票据接见应用发布系统。

66、应用发布平台接收票据后，对该平安票据进行解析确认。

票据考据成功后，那么为该用户建立有效会话，向用户展示用户的

权限内应用。

7、用户点击相关的业务系统图标启动应用，应用客户端经过

应用发布平台的相关接口获取终端设备缓存的票据，应用客户端

携带票据向内部业务系统倡始认证登录央求，业务系统向统一身

份认证系统对票据进行考据。

8、统一身份认证系统考据完成后，返回给业务系统，业务系

统获得票据拥有者的用户信息。

9、业务系统根据用户信息盘问该用户的权限并生成用户界

面。

10、最终业务系统向用户进行展示对用户的业务系统界面。

〔二〕外部PC客户端接见C/S应用场景

针对PC客户端需要接见的C/S类应用，除因实现单点登录而

对其认证功能的改造与B/S类业务不同外，其他实现模式与“PC

客户端接见B/S应用场景〞相同。

〔三〕外部移动客户端获取与启动场景

1、员工经过使用移动终端设备的浏览器接见移动应用管理服

7务器发布的安装包获取页面，下载并安装移动应用管理系统〔以下简称EMM〕的客户端。

2、EMM客户端中部署“VPNSDK〞，用于实现单点登录。

3、启动EMM客户端后，输入用于统一认证的用户名、密码及

动向口令〔或其他强认证方式〕。

4、认证央求发送至边界的VPN设备，VPN将用户信息提交到

统一身份认证系统进行认证。

5、统一认证系统对合法的接入用户发放票据并记录。

6、建立VPN隧道后，会话重定向至EMM，EMM客户端向EMM

发出认证央求，EMM将认证央求重定向至统一认证系统，统一认

证系统要求EMM客户端提交认证信息，EMM客户端将缓存的票据

提交至统一认证系统，统一认证系统返回有效平安票据并将央求

重定向至EMM，EMM客户端携带票据接见EMM系统。

7、EMM接收票据后，使用统一认证系统提供的SDK开发包，

对该平安票据进行解析确认。票据考据成功后，那么为该用户建立

有效会话。

88、员工可以在EMM客户端资源页面中下载其授权范围内的企

业APP。

〔四〕外部移动客户端使用TouchID认证场景

1、员工经过使用移动终端设备的浏览器接见移动应用管理服

务器发布的安装包获取页面，下载并安装EMM客户端。

2、EMM客户端中部署“VPNSDK〞，用于实现单点登录。

3、启动EMM客户端后，采用TouchID方式进行认证。

4、认证央求发送至边界的VPN设备，VPN将用户使用TouchID

经过认证的信息提交到统一身份认证系统进行认证。

5、统一认证系统采用信任TouchID为可信认证源的方式进行

认证结果判断，经过认证后对合法的接入用户发放票据并记录。

注：其他实现模式与“移动客户端获取与启动场景〞相同。

〔五〕企业APP使用场景

经过EMM客户端发布的企业内部移动APP〔以下简称企业

APP〕，同样需要使用“集成SDK〞，用于实现单点登录与移动应用

平安管理。

1、启动某内网业务系统APP后，读取该终端设备上EMM客户

端中缓存的有效认证票据。92、APP携带票据向APP效劳端倡始认证央求，APP效劳端将

认证央求重定向至统一认证系统，统一认证系统要求APP提交认

证信息，APP将缓存的票据提交至统一认证系统，统一认证系统

返回有效平安票据将央求重定向至APP效劳器，APP携带票据访

问APP效劳器。

3、APP效劳端接收票据后，使用统一认证系统提供的SDK开

发包，对该平安票据进行解析。解析结果提交至统一认证系统，

统一认证系统进行票据有效性考据，对正确的结果返回确认信息

和对应的账号，APP效劳端使用该账号为用户建立有效会话。

〔六〕内部PC单点登录场景

企业员工可在企业内网使用PC登录互联网接入平台后，经过

身份认证后，可以实现内部各应用系统接见时的单点登录。

1、内部终端接见统一认证系统面向内部网络发布的统一

Portal页面，填写账户、密码及动向口令〔或其他强身份认证方

式〕等认证信息。

2、统一认证系统对合法的接入用户发放票据并记录，并提供

用户资源页面。

3、用户接见资源页面内的应用系统时直接调用浏览器〔B/S

系统〕或客户端〔C/S〕系统，不使用应用发布的模式。

4、用户点击相关的业务系统图标启动应用，用户经过认证系

10统接口携带票据向内部业务系统倡始认证登录央求，业务系统向

统一身份认证系统对票据进行考据。

5、统一身份认证系统考据完成后，返回给业务系统，业务系

统获得票据拥有者的用户信息。

6、业务系统根据用户信息盘问该用户的权限并生成用户界

面。

7、最终业务系统向用户进行展示对用户的业务系统界面。

五、主要挑战

该方案涉及局部定制开发工作，主要表达在一下几方面：

〔一〕功能性定制开发

考虑到方案的全面性，方案中的局部需求需要定制开发，如SSLVPN以及APP、PC使用的B/S与C/S应用对统一身份认证及单点登录方式的支持、统一Portal门户等。

〔二〕各组件间的接口开发

为实现该方案各组件之间紧密配合，不同组件之间需要一定的定制开发工作，主要包括：

1、SSLVPN与身份认证系统之间的接口。

2、应用发布系统与身份认证系统之间的接口。

3、移动应用管