統(tǒng)一認證平臺的設計方案互聯(lián)網(wǎng)接入平臺建設方案

XXXX互聯(lián)網(wǎng)接入平臺建設方案為落實企業(yè)業(yè)務互聯(lián)網(wǎng)化發(fā)展規(guī)劃，推進實現(xiàn)企業(yè)辦公、管理等相關業(yè)務互聯(lián)網(wǎng)化和移動化，我部擬開展互聯(lián)網(wǎng)接入平臺系統(tǒng)建設，建立互聯(lián)網(wǎng)與企業(yè)內部網(wǎng)絡唯一通道，在安全風險可監(jiān)、可控、可承受前提下，為企業(yè)員工提供愈加順暢、更為便捷互聯(lián)網(wǎng)接入服務，滿足企業(yè)員工利用PC、移動終端等客戶端經(jīng)過互聯(lián)網(wǎng)靈活訪問企業(yè)內網(wǎng)業(yè)務系統(tǒng)需求。一、需求分析（一）覆蓋范圍員工經(jīng)過PC、移動終端等客戶端能夠訪問企業(yè)辦公網(wǎng)及交易網(wǎng)內相關業(yè)務系統(tǒng)。（二）接入終端需求1、PC終端員工能夠使用PC、筆記本電腦等終端訪問企業(yè)內網(wǎng)系統(tǒng)，并確保員工PC終端本身安全性不會影響到企業(yè)內網(wǎng)信息系統(tǒng)。2、移動終端員工能夠使用基于Android系統(tǒng)和iOS系統(tǒng)移動終端，以企業(yè)APP方式訪問企業(yè)內網(wǎng)系統(tǒng)，訪問期間，移動終端系統(tǒng)其余程序無法獲取相關數(shù)據(jù)等信息?；ヂ?lián)網(wǎng)接入平臺能夠對移動終端安全性進行檢測和管理，不符合安全策移動終端不允許1接入內部網(wǎng)絡。（三）多運行商接入需求企業(yè)員工經(jīng)過聯(lián)通、電信、移動等多個運行商接入互聯(lián)網(wǎng)訪問企業(yè)內部業(yè)務系統(tǒng)，所以互聯(lián)網(wǎng)接入平臺需支持上述各運行商，并能夠選取最優(yōu)訪問路徑以保障訪問速度。（四）身份認證及單點登錄需求因為互聯(lián)網(wǎng)接入平臺面向互聯(lián)網(wǎng)開放，用戶身份認證必須采取強身份認證方式，除需設置一定復雜度登錄口令外，必須支持動態(tài)令牌認證，可擴展支持短信、數(shù)字證書、指紋等高強度認證方式?；ヂ?lián)網(wǎng)接入平臺具備單點登錄功效，用戶身份驗證經(jīng)過后，互聯(lián)網(wǎng)接入平臺將向用戶開放其權限范圍內全部業(yè)務系統(tǒng)，且用戶訪問其中任何業(yè)務系統(tǒng)均不需要再次認證。對B/SAPP形態(tài)業(yè)務系統(tǒng)均采取票據(jù)方式實現(xiàn)單點登錄功效，不可使用密碼代填實現(xiàn)方式。（五）安全防護需求1、數(shù)據(jù)安全傳輸要求PC終端、移動終端經(jīng)過互聯(lián)網(wǎng)訪問企業(yè)內部網(wǎng)絡數(shù)據(jù)需采取加密方法，預防企業(yè)相關數(shù)據(jù)泄露。2、邊界訪問控制互聯(lián)網(wǎng)接入平臺應采取安全區(qū)域劃分、訪問控制、入侵檢測/防御、APT檢測/防御等安全防護方法，有效保障互聯(lián)網(wǎng)接入平臺2后部企業(yè)信息系統(tǒng)安全性。二、方案設計互聯(lián)網(wǎng)接入平臺主要由接入模塊、認證模塊、應用公布模塊及安全防護模塊組成，各模塊之間緊密相連、相互配合。圖1互聯(lián)網(wǎng)接入平臺主要功效模塊（一）接入模塊接入模塊主要由鏈路負載均衡及SSLVPN組成。其中，鏈路負載均衡連接聯(lián)通、電信、移動等多個運行商，自動選取最優(yōu)訪問路徑從而提升訪問速度；SSLVPN用于互聯(lián)網(wǎng)接入用戶基本認證，并與認證模塊認證系統(tǒng)緊密結合實現(xiàn)高強度認證，同時SSL用于實現(xiàn)數(shù)據(jù)在互聯(lián)網(wǎng)上加密傳輸。（二）認證模塊認證模塊主要用于實現(xiàn)互聯(lián)網(wǎng)接入平臺統(tǒng)一身份認證和單點登錄。該模塊需要與前臺SSLVPN及后臺應用系統(tǒng)緊密結合，首先支撐訪問用戶動態(tài)令牌、短信、數(shù)字證書、指紋等高強度認證；另首先，認證模塊需建立訪問用戶賬戶與各3內部應用系統(tǒng)賬戶之間關聯(lián)，基于票據(jù)方式實現(xiàn)內部業(yè)務系統(tǒng)單點登錄。企業(yè)內部終端亦可使用互聯(lián)網(wǎng)接入平臺，在經(jīng)過認證模塊身份認證后，實現(xiàn)內部網(wǎng)絡中各應用系統(tǒng)單點登錄功效。內部終端在訪問互聯(lián)網(wǎng)接入平臺時，無需經(jīng)過SSLVPN對傳輸進行數(shù)據(jù)加密。（三）應用公布模塊基于PC系統(tǒng)環(huán)境及移動終端系統(tǒng)環(huán)境差異，互聯(lián)網(wǎng)接入平臺針對移動端采取不一樣技術實現(xiàn)對內網(wǎng)應用訪問。移動終端及應用管理移動應用管理模塊主要提供移動終端管理以及應用管理功能，主要功效實現(xiàn)以下：（）移動設備管理實現(xiàn)對移動設備注冊審核、信息管理、安全策略管理、安全性/合規(guī)檢測等功效，實現(xiàn)對移動設備信息搜集、安全管理和準入控制等功效。（）應用管理建立企業(yè)企業(yè)應用商店，實現(xiàn)企業(yè)內部業(yè)務應用公布、應用分發(fā)管控等功效。支持在一個客戶端內管理企業(yè)APP，實現(xiàn)對內部業(yè)務APP統(tǒng)一訪問入口。采取“沙箱”技術實現(xiàn)企業(yè)內部APP數(shù)據(jù)和個人數(shù)據(jù)隔離，保障企業(yè)應用數(shù)據(jù)安全性。支持對安全加固。4（四）安全防護模塊互聯(lián)網(wǎng)接入平臺與互聯(lián)網(wǎng)、內部應用系統(tǒng)網(wǎng)絡邊界應采取邊界防護方法；為深入提升系統(tǒng)安全性，內部應用系統(tǒng)邊界可采取應用層安全防護、APT檢測/防御等安全方法。三、布署方案依照方案設計，考慮到互聯(lián)網(wǎng)接入平臺冗余性，各主要硬件設備均配置兩套實現(xiàn)冗余，布署方案以下列圖所表示：圖2辦公網(wǎng)互聯(lián)網(wǎng)接入平臺布署方案示意圖辦公網(wǎng)與交易網(wǎng)互聯(lián)網(wǎng)接入平臺實現(xiàn)和布署模式相同，5兩套系統(tǒng)相對獨立，僅統(tǒng)一認證系統(tǒng)可共享使用。四、主要場景（一）外部PC客戶端訪問B/S應用場景1、員工在首次使用時，在PC端經(jīng)過瀏覽器訪問VPN公布認證登錄界面，下載應用公布客戶端，完成安裝。2PC端上經(jīng)過瀏覽器訪問VPN公布認證登錄界面，輸入用于統(tǒng)一認證用戶名、密碼及動態(tài)口令（或其余強身份認3、VPN將用戶信息提交到統(tǒng)一身份認證系統(tǒng)進行認證。4、統(tǒng)一認證系統(tǒng)對正當接入用戶發(fā)放票據(jù)并統(tǒng)計。5VPN隧道后，會話重定向至應用公布平臺，客戶端（PC瀏覽器）向應用公布平臺發(fā)出認證請求，應用公布平臺將認證請求重定向至統(tǒng)一認證系統(tǒng)，統(tǒng)一認證系統(tǒng)要求客戶端提交認證信息，客戶端將緩存票據(jù)提交至統(tǒng)一認證系統(tǒng)，統(tǒng)一認證系統(tǒng)返回有效安全票據(jù)將客戶端請求重定向至應用公布平臺，客戶端攜帶票據(jù)訪問應用公布系統(tǒng)。66、應用公布平臺接收票據(jù)后，對該安全票據(jù)進行解析確認。票據(jù)驗證成功后，則為該用戶建立有效會話，向用戶展示用戶權限內應用。7應用客戶端經(jīng)過應用公布平臺相關接口獲取終端設備緩存票據(jù)，應用客戶端攜帶票據(jù)向內部業(yè)務系統(tǒng)發(fā)起認證登錄請求，業(yè)務系統(tǒng)向統(tǒng)一身份認證系統(tǒng)對票據(jù)進行驗證。8、統(tǒng)一身份認證系統(tǒng)驗證完成后，返回給業(yè)務系統(tǒng)，業(yè)務系統(tǒng)得到票據(jù)持有者用戶信息。9、業(yè)務系統(tǒng)依照用戶信息查詢該用戶權限并生成用戶界面。10、最終業(yè)務系統(tǒng)向用戶進行展示對用戶業(yè)務系統(tǒng)界面。（二）外部PC客戶端訪問C/S應用場景針對PC客戶端需要訪問C/S類應用，除因實現(xiàn)單點登錄而對其認證功效改造與B/S類業(yè)務不一樣外，其余實現(xiàn)模式與“PC客戶端訪問B/S應用場景”相同。（三）外部移動客戶端獲取與開啟場景17務器公布安裝包獲取頁面，下載并安裝移動應用管理系統(tǒng)（以下簡稱EMM）客戶端。2、EMM客戶端中布署“VPNSDK3、開啟EMM客戶端后，輸入用于統(tǒng)一認證用戶名、密碼及動態(tài)口令（或其余強認證方式）。4、認證請求發(fā)送至邊界VPN設備，VPN將用戶信息提交到統(tǒng)一身份認證系統(tǒng)進行認證。5、統(tǒng)一認證系統(tǒng)對正當接入用戶發(fā)放票據(jù)并統(tǒng)計。6、建立VPN隧道后，會話重定向至EMM，EMM客戶端向EMM發(fā)出認證請求，EMM將認證請求重定向至統(tǒng)一認證系統(tǒng)，統(tǒng)一認證系統(tǒng)要求EMM客戶端提交認證信息，EMM客戶端將緩存票據(jù)提交至統(tǒng)一認證系統(tǒng)，統(tǒng)一認證系統(tǒng)返回有效安全票據(jù)并將請求重定向至EMM，EMM客戶端攜帶票據(jù)訪問EMM系統(tǒng)。7、EMM接收票據(jù)后，使用統(tǒng)一認證系統(tǒng)提供SDK開發(fā)包，對該安全票據(jù)進行解析確認。票據(jù)驗證成功后，則為該用戶建立有效會話。88EMM客戶端資源頁面中下載其授權范圍內企業(yè)APP。（四）外部移動客戶端使用TouchID認證場景1務器公布安裝包獲取頁面，下載并安裝EMM客戶端。2、EMM客戶端中布署“VPNSDK3、開啟EMM客戶端后，采取TouchID方式進行認證。4VPN設備，VPN將用戶使用TouchID經(jīng)過認證信息提交到統(tǒng)一身份認證系統(tǒng)進行認證。5TouchID為可信認證源方式進行認證結果判定，經(jīng)過認證后對正當接入用戶發(fā)放票據(jù)并統(tǒng)計。注：其余實現(xiàn)模式與“移動客戶端獲取與開啟場景”相同。（五）企業(yè)APP使用場景經(jīng)過客戶端公布企業(yè)內部移動APP（以下簡稱企業(yè)APPSDK安全管理。1后，讀取該終端設備上EMM客戶端中緩存有效認證票據(jù)。92、APP攜帶票據(jù)向APP服務端發(fā)起認證請求，APP服務端將認證請求重定向至統(tǒng)一認證系統(tǒng)，統(tǒng)一認證系統(tǒng)要求APP提交認證信息，APP將緩存票據(jù)提交至統(tǒng)一認證系統(tǒng)，統(tǒng)一認證系統(tǒng)返回有效安全票據(jù)將請求重定向至APP服務器，APP攜帶票據(jù)訪問服務器。3、服務端接收票據(jù)后，使用統(tǒng)一認證系統(tǒng)提供SDK開發(fā)包，對該安全票據(jù)進行解析。解析結果提交至統(tǒng)一認證系統(tǒng)，統(tǒng)一認證系統(tǒng)進行票據(jù)有效性驗證，對正確結果返回確認信息和對應賬號，服務端使用該賬號為用戶建立有效會話。（六）內部PC單點登錄場景企業(yè)員工可在企業(yè)內網(wǎng)使用PC登錄互聯(lián)網(wǎng)接入平臺后，經(jīng)過身份認證后，能夠實現(xiàn)內部各應用系統(tǒng)訪問時單點登錄。1、內部終端訪問統(tǒng)一認證系統(tǒng)面向內部網(wǎng)絡公布統(tǒng)一Portal頁面，填寫賬戶、密碼及動態(tài)口令（或其余強身份認證方式）等認證信息。2并提供用戶資源頁面。3、用戶訪問資源頁面內應用系統(tǒng)時直接調用瀏覽器（B/S系統(tǒng)）或客戶端（C/S）系統(tǒng)，不使用應用公布模式。4用戶經(jīng)過認證系10統(tǒng)接口攜帶票據(jù)向內部業(yè)務系統(tǒng)發(fā)起認證登錄請求，業(yè)務系統(tǒng)向統(tǒng)一身份認證系統(tǒng)對票據(jù)進行驗證。5、統(tǒng)一身份認證系統(tǒng)驗證完成后，返回給業(yè)務系統(tǒng)，業(yè)務系統(tǒng)得到票據(jù)持有者用戶信息。6、業(yè)務系統(tǒng)依照用戶信息查詢該用戶權限并生成用戶界面。7、最終業(yè)務系統(tǒng)向用戶進行展示對用戶業(yè)務系統(tǒng)界面。五、主要挑戰(zhàn)該方案包括部分定制開發(fā)工作，主要表現(xiàn)在一下幾方面：（一）功效性定制開發(fā)考慮到方案全方面性，方案中部分需求需要定制開發(fā)，如SSLVPN以及APP、PC使用B/S與C/S應用對統(tǒng)一身份認證及單點登錄方式支持、統(tǒng)一Portal門戶等。（二）各組件間接口開發(fā)為實現(xiàn)該方案各組件之間緊密配合，不一樣組件之間需要一定定制開發(fā)工作，主要包含：1、SSL與身份認證系統(tǒng)之間接口。2、應用公布系統(tǒng)與身份認證系統(tǒng)之間接口。3、移動應用管理與身份認證系統(tǒng)之間