下载文档原格式
接入网系统研发建设方案1. 实施背景随着互联网技术的快速发展和普及,人们对网络速度和稳定性的需求日益增长。
传统的接入网技术已无法满足现代社会的需求,因此,对新一代接入网系统的研发和建设迫在眉睫。
同时,我国政府对新一代信息技术产业给予了高度关注,为接入网系统的研发和建设提供了良好的政策环境。
2. 工作原理新一代接入网系统基于SDN(软件定义网络)和NFV(网络功能虚拟化)技术,通过集中控制和分布式处理相结合的方式,实现用户与核心网络的互联互通。
其主要功能包括用户认证、带宽管理、网络安全等。
3. 实施计划步骤3.1 需求分析:对用户需求进行深入调研,明确系统研发的目标和功能。
3.2 方案设计:根据需求分析结果,设计系统的架构、硬件配置、软件算法等。
3.3 系统开发:组织开发团队,进行系统开发。
3.4 测试与验证:对开发完成的系统进行严格的测试和验证,确保系统的稳定性和性能。
3.5 部署与实施:将系统部署到现场环境,进行实际运行测试,并根据实际运行情况进行优化调整。
3.6 后期维护与升级:对系统进行定期维护和升级,确保系统的长期稳定运行。
4. 适用范围本方案适用于各类需要进行网络接入的场景,如家庭、企业、学校等。
同时,对于一些特殊场景,如工业物联网、智能交通等,本方案也具有较强的适用性。
5. 创新要点5.1 采用SDN和NFV技术,实现接入网的灵活控制和高效处理。
5.2 集中控制与分布式处理相结合,提高网络整体性能和安全性。
5.3 用户认证、带宽管理、网络安全等功能一体化,简化运营维护工作。
6. 预期效果6.1 提高网络速度和稳定性,满足用户对高质量网络的需求。
6.2 降低运营成本,提高网络运营效率。
6.3 提高网络安全性和抗攻击能力,减少网络安全事件的发生。
7. 达到收益7.1 提高用户体验,增加用户黏性,为运营商带来更多的收益。
7.2 提高网络利用率,降低空闲资源消耗,节约成本。
7.3 提高网络安全防护能力,减少因网络安全事件带来的损失。
XX公司网络建设设计方案前言企业局域网伴随着Internet的成长而高速的发展,到现在已经形成了完整的体系结构和解决方案。
但要设计一个完善和健壮的企业网络是非常不容易的,因为这涉及到很多复杂的细节问题.首先是收集企业的网络办公需求,然后根据需求来设计企业网络,本设计是针对中型企业的网络,所以办公需求并不复杂。
在分析完整需求后,根据网络的特点分成硬件和软件的设计.硬件设计整个网络系统的基础,其中分成三个模块的设计:交换机模块、防火墙模块和服务器模块的设计,重点是交换机模块的设计。
软件设计就是在这些硬件的基础上实施各种高级的应用服务如DNS、DHCP、WEB、FTP和各种企业应用软件和数据库系统.全球性的国际计算机互联网Internet的迅速发展和普及,改变了整个信息产业的面貌,使信息技术产业从以计算机为中心发展到以网络为中心,并为计算机技术在工业、商业、教育及科研等领域中的应用提供了一个全新的网络通信环境,也从根本上加强并促进了群体工作成员之间的信息交流、资源共享、科学计算及技术合作等,进而推动了教育事业、科研及生产的发展。
Internet是一个全球性的开放的信息互连网络,它是以一系列关键支撑技术为核心发展起来的新兴领域,为人们提供了崭新的网络计算环境。
随着互联网的蓬勃发展,其巨大的潜力已经逐渐体现出来,一些互联网企业涉足传统产业已经取得了不菲的业绩,如运用网络概念多次融资,并利用网络优势通过并购的方式切入旅行服务行业的携程;其次,就是互联网在传播和获取信息上的优势;再者,就是企业想利用内外部网络进行有效的管理,提高管理效率:上述三大因素可以看作企业建网的主要的原因。
因此,可以这样讲,企业建网的最终目的和它的经营策略是吻合的,就是通过网络来降低企业的管理成本和交易成本以及通过开展电子商务活动来获得更多的利润.目录第一章网络设计原则与需求分析 41。
1 网络设计原则 41.2 网络设计需求分析 5第二章网络设计解决方案 62。
校园网网络建设方案的设计及分析在当今数字化时代,校园网已成为学校教育教学、科研管理和师生生活不可或缺的重要组成部分。
一个高效、稳定、安全的校园网不仅能够提升学校的教学质量和管理效率,还能为师生提供便捷的信息服务和交流平台。
因此,设计一套科学合理的校园网网络建设方案至关重要。
一、需求分析在设计校园网网络建设方案之前,首先需要对学校的网络需求进行全面的分析。
这包括以下几个方面:1、教学需求学校的教学活动是校园网的主要应用场景之一。
教师需要通过网络进行在线教学、资源共享、教学管理等;学生需要访问网络课程、查阅资料、完成作业等。
因此,校园网需要具备高速、稳定的网络连接,以支持多媒体教学资源的流畅传输。
2、科研需求科研工作对于网络的要求也较高。
科研人员需要访问国内外的学术数据库、进行科研协作和数据传输等。
这就要求校园网能够提供高速的国际出口带宽和稳定的网络环境。
3、管理需求学校的行政管理部门需要通过网络进行办公自动化、学籍管理、财务管理等工作。
这些系统需要在校园网内安全、稳定地运行,同时要保证数据的保密性和完整性。
4、生活需求师生在校园内的生活也离不开网络,如宿舍区的网络接入、校园一卡通系统的使用等。
因此,校园网需要覆盖学校的各个区域,为师生提供便捷的网络服务。
二、网络拓扑结构设计根据学校的规模和需求,校园网的拓扑结构可以采用星型、树型或混合型等结构。
一般来说,大型校园网多采用分层的星型结构,将网络分为核心层、汇聚层和接入层。
1、核心层核心层是校园网的骨干,负责高速数据交换和路由转发。
核心层设备应具备高性能、高可靠性和高扩展性,如高端路由器、核心交换机等。
2、汇聚层汇聚层将多个接入层设备连接到核心层,负责汇聚和转发来自接入层的流量。
汇聚层设备应具备较强的性能和一定的扩展性,如中端交换机等。
3、接入层接入层直接连接用户终端设备,如计算机、打印机、IP 电话等。
接入层设备应具备端口密度高、成本低等特点,如低端交换机等。
目录一、智慧校园一站式平台 (2)1、智慧校园简介 (2)2、智慧校园一站式平台特点: (4)二、可视化智慧校园综合信息管理平台 (4)1、可视化智慧校园简介 (4)2、可视化智慧校园平台特点 (5)3、AVCare可视化综合信息管理平台架构图 (6)4、iSchool可视化综合信息管理平台架构图 (7)5、智慧校园信息服务平台架构图 (8)三、IT 运维智慧服务平台 (9)1、IT运维智慧服务平台简介 (9)2、平台特点 (9)3、IT 运维智慧服务平台结构说明 (10)四、互动云录播系统 (11)1、互动云录播系统简介 (11)2、平台特点: (11)五、物联感知智能管控中心 (12)1、物联感知智能管控中心简介 (12)2、平台特点 (13)六、智能管控 (14)1、物联网产品体系分层图示及设备说明 (14)2、智能管控-人脸识别产品 (22)3、一卡通系统 (25)七、综合数据服务- (28)八、智慧应用-决策支持 (29)九、智慧校园预算表 (31)一、智慧校园一站式平台1、智慧校园简介作为智慧校园管理平台的开拓者与引领者,我公司以创新的iCore“智慧核”驱动的智慧校园平台体系架构,参与“智慧校园总体框架国家标准”的起草和制定。
并以此架构为基石,针对高教、普教、军校、职教等各类教育机构研制出四大可定制、可伸缩、可扩展的个性化智慧校园。
综合信息管理平台:AVCare®可视化智慧校园综合信息管理平台(高教、军校)、可视化智慧校园综合信息管理平台(普教、军校)、ISP 职教智慧校园信息服务平台、IT运维智慧服务平台,形成智慧校园一站式平台整体解决方案。
1.一站式规划:符合“智慧校园总体框架国家标准”“、多媒体教学环境工程建设规范”。
2.一站式设计:我公司本着自上向下设计、自下向上建设的理念,以“智慧校园总体框架国家标准”为基石,针对高教、普教、军校、职教等各类教育机构研制出四大可定制,可伸缩,可扩展的个性化智慧校园信息管理平台。
职业技术学院数字校园网建设方案目录第一章校园网建设方案 (4)1、项目概况 (4)1.1项目背景 (4)2、建设目标 (5)2.1总体建设目标 (5)3、建设原则 (5)4、系统整体设计 (7)4.1系统结构设计 (7)4.1.1总体技术架构 (7)4.1.2系统网络结构 (8)5、校园通信网络建设方案 (9)5.1项目建设内容 (9)5.2总体建设思路 (10)5.4总体网络系统建设 (12)5.4.1网络架构 (12)5.5有线网络系统建设 (14)5.5.1网络骨干区 (14)5.5.2网络核心 (15)5.5.3网络汇聚 (16)5.5.4网络接入 (17)5.5.5网络出口区 (19)5.6无线网络系统建设 (20)5.6.1无线网络建设规划 (20)5.6.2一体化无线网络管理架构 (24)第二章计算机网络信息中心设计方案 (27)1、前言 (27)2、项目概况 (27)3、网络信息中心设计指标 (28)4、设计依据 (28)5、网络信息中心设计宗旨 (29)6、网络信息中心建设目标 (29)7、设计内容 (31)7.1分项设计内容及界面划分说明 (31)8、网络信息中心建设系统设计 (32)8.1设计概述 (32)8.2网络信息中心地面部分 (33)8.2.1静电地板 (33)8.2.2静电地板的安装 (34)8.2.3装修 (36)8.2.4照明系统 (36)8.3电气工程部分 (37)8.3.1电气设计内容 (37)8.3.2配电柜 (37)8.3.3网络信息中心辅助设备动力配电系统 (38)8.3.4网络信息中心配电安装 (38)8.3.5网络信息中心强弱电走线方式 (39)8.4网络信息中心防雷接地部分 (39)8.4.1系统概述 (39)8.4.2设计原则 (39)8.4.3相关参数(要求) (39)8.4.4电源二级防雷 (40)8.4.5安全保护接地 (40)8.5空调系统 (41)8.6网络信息中心消防系统 (46)8.6.1设计依据 (46)8.6.2主要设备 (47)8.6.3保护区概况及设计 (47)8.6.4系统设计性能 (47)第一章校园网建设方案1、项目概况1.1项目背景职业技术学院于2002年9月由原职工大学、晋东南煤矿学校、农业学校合并组建合成。
统一认证与管理平台建设方案统一认证与管理平台(Unified Authentication and Management Platform,UAMP)是一种提供统一认证和统一管理服务的解决方案。
它通过集成用户身份认证、权限管理、访问控制、日志审计等功能,实现了企业内部各种应用和系统的统一用户管理和授权管理。
本文将介绍统一认证与管理平台建设的方案。
一、需求分析在企业内部,存在着许多不同的应用和系统,这些应用和系统可能来自不同的厂商、不同的部门,各自独立进行用户认证和权限控制。
这样的情况下,会导致很多问题,如用户需要记住多个不同的登录账号和密码,增加了用户的负担;权限管理分散,不易监控和管理;用户权限在不同系统间不同步,造成安全隐患等。
因此,建设统一认证与管理平台成为必要。
二、平台架构1.前端部分:包括用户访问界面和认证代理服务,用户通过统一的访问界面进行登录和访问权限申请,认证代理服务负责转发验证请求到后端。
2.后端部分:包括认证服务、权限管理服务、访问控制服务和日志审计服务等模块。
三、功能设计1.用户认证:统一认证与管理平台支持多种身份认证方式,如用户名密码、证书、双因素认证等。
用户只需提供一次认证,即可访问所有接入的应用和系统。
2.权限管理:平台提供了灵活的权限管理机制,支持基于角色的访问控制和访问策略的定义。
管理员可以定义角色,给角色赋予相应的权限,然后将用户分配到角色上。
3.访问控制:平台提供了细粒度的访问控制功能,可以精确控制用户对各个资源的访问权限,如文件、数据库、应用等。
4.日志审计:平台对用户的操作进行记录和审计,以便对安全事件进行溯源和追踪。
管理员可以查看用户的操作日志,及时发现并处理异常行为。
5.集成接口:平台提供了标准的接口,方便与各个应用和系统进行集成。
接入应用和系统只需根据接口规范进行相应的开发和配置即可。
四、实施步骤1.需求调研:与各业务部门进行沟通,了解各个应用和系统的用户认证和权限管理需求,明确建设目标和范围。
统一身份认证系统建设方案发布日期:2008-04-01** 研发背景随着信息技术的不断发展,企业已逐渐建立起多应用、多服务的IT 架构,在信息化建设中起到十分重要的作用。
但是各信息系统面向不同管理方向,各有其对应的用户群体、技术架构、权限体系,限制了系统之间的信息共享和信息交换,形成的信息孤岛。
同时,每一个信息系统的用户拥有不同的角色(职能),需要操作不同的系统,难以对其需要和拥有的信息和操作进行综合处理,限制信息系统效率的发挥。
在这种背景下企业准备实施内网信息门户系统。
其中统一身份管理系统是内网信息门户系统的一个重要组成部分。
统一身份管理将分散的用户和权限资源进行统一、集中的管理,统一身份管理的建设将帮助实现内网信息门户用户身份的统一认证和单点登录,改变原有各业务系统中的分散式身份认证及授权管理,实现对用户的集中认证和授权管理,简化用户访问内部各系统的过程,使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。
** 组成架构汇信科技与S U N 公司建立了紧密合作关系,汇信科技推出的统一身份认证解决方案基于S U N 公司的Sun Java Sys tem Ident i ty Manager和Sun Java Sys tem Access Manager以及Sun Java Sys tem Di r ec tory Server实现。
主要包括受控层、统一访问控制系统(统一认证服务器)、统一身份管理系统(统一身份管理服务器)、目录服务器。
受控层位于各应用服务器前端,负责策略的判定和执行,提供 A GE N T 和API两种部署方式。
统一认证服务器安装统一身份认证系统(A M),主要提供身份认证服务和访问控制服务。
统一认证服务器安装统一身份管理系统(I M),主要实现身份配给、流程自动化、委任管理、密码同步和密码重置的自助服务。
目录服务器部署Sun Java Sys tem Direc tory Server,是整个系统的身份信息数据中心。
智慧校园“互联网+”网络平台项目建设方案目录1运营维护方案 (6)2.1运营维护方案 (6)2.2.1运营资费 (6)2.2.2用户缴费方式 (6)2.2.3资费套餐设计 (7)2.2.4合作模式 (7)2.2.5后续投入保障措施 (11)2.2.6资产到期后处理 (12)2.2.7违约责任 (12)2.2.8服务保障体系 (12)1.3面对国家政策变化的应对措施 (36)2技术建设方案 (38)2.1校园网总体架构设计 (38)2.1.1建设原则 (38)2.1.2校园网建设内容框架 (39)2.1.3网络架构拓扑图 (41)2.1.4网络设计概述 (41)2.1.5骨干网络方案先进性与可行性 (42)2.1.6运营管理平台建设内容 (49)2.2无线网络建设方案 (51)2.2.1无线网络先进性设计 (51)2.2.2无线覆盖方案 (52)2.2.3无线多SSID设计 (58)2.2.4无线接入认证设计 (58)2.2.5无线安全技术设计 (60)2.2.6无线QOS设计 (61)2.2.7无线覆盖指标要求 (63)2.2.8无线方案特色 (65)2.3网络安全设计 (74)2.3.1设备级安全功能 (74)2.3.2防ARP攻击设计 (74)2.3.3交换机IP防扫描设计 (75)2.3.4防DOS/DDOS攻击 (75)2.3.5路由安全设计 (76)2.3.6设备管理安全设计 (77)2.3.7汇聚嵌入式安全 (78)2.3.8接入安全控制 (78)2.3.9IP+MAC+端口绑定 (79)2.3.10防止病毒广播泛洪 (79)2.3.11入网用户身份认证 (79)2.3.12防止对DHCP服务器攻击 (79)2.3.13多元素绑定技术构筑高安全校园网 (80)2.3.14防止用户私设代理服务器 (81)2.3.15恶意用户追查 (81)2.4等保建设方案 (81)2.4.1总体建设目标 (81)2.4.2安全技术体系目标 (82)2.4.3物理安全设计 (82)2.4.4计算环境安全设计 (83)2.4.5系统安全审计 (85)2.4.6数据完整性与保密性 (87)2.4.7备份与恢复 (88)2.4.8区域边界安全设计 (89)2.4.9安全隔离 (90)2.4.10通信网络安全设计 (94)2.4.11网络设备防护 (94)2.5主要产品资质材料 (99)2.5.1出口防火墙 (99)2.5.2行为管理 (101)2.5.3交换设备 (103)2.5.4无线设备 (111)2.5.5节点 (112)2.5.6安防监控 (113)2.5.7IP广播系统 (115)2.5.8认证计费 (117)3规划实施说明 (127)4.1无线网络工程实施要求 (127)4.2项目实施管理 (128)4.2.1项目范围管理 (128)4.2.2项目阶段规划 (129)4.3项目进度管理 (133)4.3.1项目里程碑规划 (133)4.3.2项目进度保障 (133)4.4项目沟通管理 (134)4.5项目风险管理 (138)4.6项目问题管理 (145)4.7项目变更管理 (146)4.8项目质量管理 (146)4.8.1环境要求 (146)4.8.2质量管理流程 (150)4.8.3设备上架安装 (150)4.8.4安装调试检查 (153)4.9工程文档管理 (159)4.10集成实施方案 (161)4.10.1工程情况概述 (161)4.10.2项目建设依据及原则 (161)4.10.3项目实施方案 (162)4.11工程施工管理 (192)4.11.1施工勘察 (192)4.11.2施工勘察工艺流程 (192)4.11.3施工勘察内容 (193)4.11.4设备机柜安装 (198)4.11.5线缆布放 (198)4.11.6管内穿线 (202)4.11.7设备安装 (205)4.11.8综合布线系统 (219)4.12无线网优方案 (232)4.12.1网优内容和方法 (232)4.12.2常用部署优化方法 (233)4.12.3常用配置优化方法 (233)4.12.4网优目标 (234)4.13网络测试 (236)4.13.1测试通过准则 (237)4.13.2设备基本功能测试 (238)4.13.3网络容错性测试 (240)4.13.4出口流量管理测试 (241)4.13.5网络稳定性测试 (241)4.13.6网络管理平台测试 (242)4.13.7无线网络测试 (243)4.14安全防护及文明施工措施和方案 (243)4.14.1安全施工目标 (243)4.14.2安全守则 (244)4.14.3安全组织措施 (244)4.14.4安全组织保证体系 (245)4.14.5项目各级管理人员安全责任 (245)4.14.6安全保障制度 (246)4数据处理 (254)4.1云超融合一体机产品特性 (255)4.2融合技术说明 (257)5校园数字IP网络广播系统 (258)5.1前言 (258)5.2系统设计依据 (259)5.3系统功能 (260)5.4系统详细说明 (261)5.4.1IP网络广播系统控制中心 (261)5.4.2IP网络远程呼叫站 (262)5.4.3IP网络有源监听音箱 (263)5.4.4IP网络室外音柱 (264)5.4.5广播话筒 (265)5.4.6无线话筒 (265)6校园视频监控系统方案 (266)6.1概述 (266)6.1.1系统建设目标 (266)6.1.2系统设计原则 (266)6.2总体设计 (269)6.3视频监控系统 (270)6.3.1监控点位分析 (270)6.3.2设备选型 (270)6.3.3监控点位布置 (271)6.4监控存储系统 (271)6.4.1设计原则 (272)6.4.2设备选型 (273)6.4.3存储需求计算 (274)1运营维护方案2.1运营维护方案2.2.1运营资费2.2.1.1收费标准制定规则1、校园网接入业务的资费参照周边高校资费标准以及保留学校原有收费标准的情况下,制定阶梯型的收费标准,校方与对资费标准具有监管权。
基础支撑平台第一章统一身份认证平台一、概述建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现,为数字化校园平台用户提供安全的一站式登录认证服务。
为平台用户以下主要功能:为平台用户提供“一点认证,全网通行”和“一点退出,整体退出”的安全一站式登录方便快捷的服务,同时不影响平台用户正常业务系统使用。
用户一次性身份认证之后,就可以享受所有授权范围内的服务,包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。
提供多种以及多级别的认证方式,包括支持用户名/ 密码认证、数字证书认证、动态口令认证等等,并且通过系统标准的可扩展认证接口(如支持JAAS,可以方便灵活地扩展以支持第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证。
系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAM规则,系统优点在于让高校不用淘汰现有的系统,无须进行用户信息数据大集中,便能够与其无缝集成,实现单点登录从而建立一个联盟化的网络,并且具有与未来的系统的高兼容性和互操作性,为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。
单点登录场景如下图所示:rr一次登录认证、自由访问授权范围内的服务单点登录的应用,减轻了用户记住各种账号和密码的负担。
通过单点登录,用户可以跨域访问各种授权的资源,为用户提供更有效的、更友好的服务;一次性认证减少了用户认证信息网络传输的频率,降低了被盗的可能性,提高了系统的整体安全性。
同时,基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点, 部署方便快捷。
、系统技术规范单点登录平台是基于国际联盟Liberty规范(简称“LA”的联盟化单点登录统一认证平台。
Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架,为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。
XXXX互联网接入平台建设方案为落实公司业务互联网化的发展规划,推动实现公司办公、管理等相关业务的互联网化和移动化,我部拟开展互联网接入平台系统的建设,建立互联网和公司内部网络的唯一通道,在安全风险可监、可控、可承受的前提下,为公司员工提供更加顺畅、更为便捷的互联网接入服务,满足公司员工利用PC、移动终端等客户端通过互联网灵活访问公司内网业务系统的需求。
一、需求分析(一)覆盖范围员工通过PC、移动终端等客户端能够访问公司办公网及交易网内的相关业务系统。
(二)接入终端需求1、PC终端员工能够使用PC、笔记本电脑等终端访问公司内网系统,并确保员工PC终端自身的安全性不会影响到公司内网的信息系统。
2、移动终端员工能够使用基于Android系统和iOS系统的移动终端,以企业APP的方式访问公司内网系统,访问期间,移动终端系统的其他程序无法获取相关数据等信息。
互联网接入平台能够对移动终端的安全性进行检测和管理,不符合安全策的移动终端不允许接入内部网络。
(三)多运营商接入需求公司员工通过联通、电信、移动等多个运营商接入互联网访问公司内部业务系统,因此互联网接入平台需支持上述各运营商,并能够选取最优访问路径以保障访问速度。
(四)身份认证及单点登录需求由于互联网接入平台面向互联网开放,用户身份认证必须采取强身份认证方式,除需设置一定复杂度的登录口令外,必须支持RSA动态令牌认证,可扩展支持短信、数字证书、指纹等高强度认证方式。
互联网接入平台具备单点登录功能,用户身份验证通过后,互联网接入平台将向用户开放其权限范围内的所有业务系统,且用户访问其中任何业务系统均不需要再次认证。
对B/S、C/S、APP 形态的业务系统均采用票据方式实现单点登录功能,不可使用密码代填的实现方式。
(五)安全防护需求1、数据安全传输要求PC终端、移动终端通过互联网访问公司内部网络的数据需采取加密措施,防止公司相关数据的泄露。
2、边界访问控制互联网接入平台应采取安全区域划分、访问控制、入侵检测/防御、APT检测/防御等安全防护措施,有效保障互联网接入平台后部的公司信息系统的安全性。
二、方案设计互联网接入平台主要由接入模块、认证模块、使用发布模块及安全防护模块组成,各模块之间紧密相连、相互配合。
图1 互联网接入平台主要功能模块(一)接入模块接入模块主要由链路负载均衡及SSL VPN组成。
其中,链路负载均衡连接联通、电信、移动等多个运营商,自动选取最优访问路径从而提升访问速度;SSL VPN用于互联网接入用户的基本认证,并和认证模块的认证系统紧密结合实现高强度认证,同时SSL VPN用于实现数据在互联网上的加密传输。
(二)认证模块认证模块主要用于实现互联网接入平台的统一身份认证和单点登录。
该模块需要和前台的SSL VPN及后台的使用系统紧密结合,一方面支撑访问用户的RSA动态令牌、短信、数字证书、指纹等高强度认证;另一方面,认证模块需建立访问用户账户和各内部使用系统账户之间的关联,基于票据的方式实现内部业务系统的单点登录。
公司内部的终端亦可使用互联网接入平台,在通过认证模块的身份认证后,实现内部网络中各使用系统的单点登录功能。
内部终端在访问互联网接入平台时,无需通过SSL VPN对传输进行数据加密。
(三)使用发布模块基于PC系统环境及移动终端系统环境的差异,互联网接入平台针对移动端采取不同的技术实现对内网使用的访问。
移动终端及使用管理移动使用管理模块主要提供移动终端的管理以及使用管理功能,主要功能实现如下:(1)移动设备管理实现对移动设备注册审核、信息管理、安全策略管理、安全性/合规检测等功能,实现对移动设备的信息收集、安全管理和准入控制等功能。
(2)使用管理建立公司的企业使用商店,实现公司内部业务的使用发布、使用分发管控等功能。
支持在一个客户端内管理公司APP,实现对内部业务APP的统一访问入口。
采用“沙箱”技术实现公司内部APP数据和个人数据的隔离,保障公司使用数据的安全性。
支持对APP的安全加固。
(四)安全防护模块互联网接入平台和互联网、内部使用系统的网络边界应采取边界防护措施;为进一步提升系统安全性,内部使用系统边界可采用使用层安全防护、APT 检测/防御等安全措施。
三、部署方案根据方案设计,考虑到互联网接入平台的冗余性,各主要硬件设备均配置两套实现冗余,部署方案如下图所示:图2 办公网互联网接入平台部署方案示意图办公网和交易网的互联网接入平台的实现和部署模式相同,两套系统相对独立,仅统一认证系统可共享使用。
四、主要场景(一)外部PC客户端访问B/S使用场景1、员工在首次使用时,在PC端通过浏览器访问VPN发布的认证登录界面,下载使用发布客户端,完成安装。
2、员工在PC端上通过浏览器访问VPN发布的认证登录界面,输入用于统一认证的用户名、密码及动态口令(或其他强身份认证方式)。
3、VPN将用户信息提交到统一身份认证系统进行认证。
4、统一认证系统对合法的接入用户发放票据并记录。
5、建立VPN隧道后,会话重定向至使用发布平台,客户端(PC 浏览器)向使用发布平台发出认证请求,使用发布平台将认证请求重定向至统一认证系统,统一认证系统要求客户端提交认证信息,客户端将缓存的票据提交至统一认证系统,统一认证系统返回有效安全票据将客户端请求重定向至使用发布平台,客户端携带票据访问使用发布系统。
6、使用发布平台接收票据后,对该安全票据进行分析确认。
票据验证成功后,则为该用户建立有效会话,向用户展示用户的权限内使用。
7、用户点击相关的业务系统图标启动使用,使用客户端通过使用发布平台的相关接口获取终端设备缓存的票据,使用客户端携带票据向内部业务系统发起认证登录请求,业务系统向统一身份认证系统对票据进行验证。
8、统一身份认证系统验证完成后,返回给业务系统,业务系统得到票据持有者的用户信息。
9、业务系统根据用户信息查询该用户的权限并生成用户界面。
10、最终业务系统向用户进行展示对用户的业务系统界面。
(二)外部PC客户端访问C/S使用场景针对PC客户端需要访问的C/S类使用,除因实现单点登录而对其认证功能的改造和B/S类业务不同外,其他实现模式和“PC 客户端访问B/S使用场景”相同。
(三)外部移动客户端获取和启动场景1、员工通过使用移动终端设备的浏览器访问移动使用管理服务器发布的安装包获取页面,下载并安装移动使用管理系统(以下简称EMM)的客户端。
2、EMM客户端中部署“VPN SDK”,用于实现单点登录。
3、启动EMM客户端后,输入用于统一认证的用户名、密码及动态口令(或其他强认证方式)。
4、认证请求发送至边界的VPN设备,VPN将用户信息提交到统一身份认证系统进行认证。
5、统一认证系统对合法的接入用户发放票据并记录。
6、建立VPN隧道后,会话重定向至EMM,EMM客户端向EMM 发出认证请求,EMM将认证请求重定向至统一认证系统,统一认证系统要求EMM客户端提交认证信息,EMM客户端将缓存的票据提交至统一认证系统,统一认证系统返回有效安全票据并将请求重定向至EMM,EMM客户端携带票据访问EMM系统。
7、EMM接收票据后,使用统一认证系统提供的SDK开发包,对该安全票据进行分析确认。
票据验证成功后,则为该用户建立有效会话。
8、员工可以在EMM客户端资源页面中下载其授权范围内的企业APP。
(四)外部移动客户端使用TouchID认证场景1、员工通过使用移动终端设备的浏览器访问移动使用管理服务器发布的安装包获取页面,下载并安装EMM客户端。
2、EMM客户端中部署“VPN SDK”,用于实现单点登录。
3、启动EMM客户端后,采用TouchID方式进行认证。
4、认证请求发送至边界的VPN设备,VPN将用户使用TouchID 通过认证的信息提交到统一身份认证系统进行认证。
5、统一认证系统采用信任TouchID为可信认证源的方式进行认证结果判定,通过认证后对合法的接入用户发放票据并记录。
注:其他实现模式和“移动客户端获取和启动场景”相同。
(五)企业APP使用场景通过EMM客户端发布的企业内部移动APP(以下简称企业APP),同样需要使用“集成SDK”,用于实现单点登录和移动使用安全管理。
1、启动某内网业务系统APP后,读取该终端设备上EMM客户端中缓存的有效认证票据。
2、APP携带票据向APP服务端发起认证请求,APP服务端将认证请求重定向至统一认证系统,统一认证系统要求APP提交认证信息,APP将缓存的票据提交至统一认证系统,统一认证系统返回有效安全票据将请求重定向至APP服务器,APP携带票据访问APP服务器。
3、APP服务端接收票据后,使用统一认证系统提供的SDK开发包,对该安全票据进行分析。
分析结果提交至统一认证系统,统一认证系统进行票据有效性验证,对正确的结果返回确认信息和对应的账号,APP服务端使用该账号为用户建立有效会话。
(六)内部PC单点登录场景公司员工可在公司内网使用PC登录互联网接入平台后,通过身份认证后,能够实现内部各使用系统访问时的单点登录。
1、内部终端访问统一认证系统面向内部网络发布的统一Portal页面,填写账户、密码及动态口令(或其他强身份认证方式)等认证信息。
2、统一认证系统对合法的接入用户发放票据并记录,并提供用户资源页面。
3、用户访问资源页面内的使用系统时直接调用浏览器(B/S 系统)或客户端(C/S)系统,不使用使用发布的模式。
4、用户点击相关的业务系统图标启动使用,用户通过认证系统接口携带票据向内部业务系统发起认证登录请求,业务系统向统一身份认证系统对票据进行验证。
5、统一身份认证系统验证完成后,返回给业务系统,业务系统得到票据持有者的用户信息。
6、业务系统根据用户信息查询该用户的权限并生成用户界面。
7、最终业务系统向用户进行展示对用户的业务系统界面。
五、主要挑战该方案涉及部分定制开发工作,主要体现在一下几方面:(一)功能性定制开发考虑到方案的全面性,方案中的部分需求需要定制开发,如SSLVPN以及APP、PC使用的B/S和C/S使用对统一身份认证及单点登录方式的支持、统一Portal门户等。
(二)各组件间的接口开发为实现该方案各组件之间紧密配合,不同组件之间需要一定的定制开发工作,主要包括:1、SSL VPN和身份认证系统之间的接口。
2、使用发布系统和身份认证系统之间的接口。
3、移动使用管理和身份认证系统之间的接口。
4、身份认证系统和内部使用系统之间的接口。
5、使用发布和C/S使用系统客户端之间的接口。
6、使用发布和B/S使用系统之间的接口。
7、移动使用管理模块和内部使用APP之间的接口。
8、移动使用管理APP和SSL VPN之间的接口。
上述定制开发涉及面较广,尤其是涉及到各内部使用系统,各系统之间需要一定的磨合,系统搭建和调试周期相对较长。
