IS009-移动4A系统应用延展解决方案20071203

IS009-移动4A系统应用延展解决方案20071203

ID:41006985

大小:142.50 KB

页数:4页

时间:2019-08-13

IS009-移动4A系统应用延展解决方案20071203_第1页
IS009-移动4A系统应用延展解决方案20071203_第2页
IS009-移动4A系统应用延展解决方案20071203_第3页
IS009-移动4A系统应用延展解决方案20071203_第4页
资源描述:

《IS009-移动4A系统应用延展解决方案20071203》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、在中国移动4A系统中部署ArrayNetworks的应用延展解决方案1.ArrayNetworks解决方案在中国移动4A系统中的部署架构ArrayNetworks公司基于移动公司的IT网络支撑系统的现状和4A规范要求,提出了一套与4A系统相结合的应用延展解决方案。4A系统是根据“中国移动信息系统集中账号口令管理(4A)技术要求”,实现各支撑系统内部用户统一账号(Account)管理、认证(Authentication)管理、授权(Authorization)管理和安全审计(Audit)。目前已有一些厂家开发了相应的4A管理软件系统,Array公司在其中的统一安全访问与流量管理方面提

2、出了相关的解决方案,如下图:在本方案中,可以采用Array公司的两个系列产品:SSLVPN网关产品SPX系列――完成4A系统的统一安全门户访问、数据加密、数字证书认证等工作;负载均衡和应用优化产品TMX系列――完成4A系统多服务器的流量管理以及系统的性能优化工作。2.4A系统的SSLVPN统一访问方案4A系统采用的是统一门户、统一认证方式,而这正是SSLVPN安全访问方案的优势,可以将4A系统的WEB访问门户与SSLVPN的访问门户统一起来,充分利用SSLVPN的安全防护功能。这里我们可以采用两种访问方案:SSLVPN网关只作安全防护网关;SSLVPN网关同时作认证网关。1)SSL

3、VPN网关只作安全防护网关第一个方案不需要SSLVPN网关参与4A系统的用户认证、授权与用户审计工作,实现起来非常方便。这种情况下,SSLVPN的访问认证界面和Portal采用4A系统自身的Web界面,不需要双方协商相应的认证接口和协议。这种方式对于数字证书的认证仍然可以支持,Array通过SSL协议仍然可以完成数字证书的验证工作,且数字证书可以存储在诸如智能卡、USB-Key等多种存储介质上。这种方案主要完成的是业务数据加密,防止数据篡改,以及数字证书认证的工作;提供应用层的安全保护工作,如DOS攻击,以及对于4A的WEB应用路径进行动态重写,并将HTTP协议的用户请求转换成HT

4、TPS协议的请求,这是通过Array的WRM(WebResourceMapping)技术实现的;WRM主要是提供应用层的安全防护,同时可以对URL进行掩码,后台的URL将以加密方式提供给用户的浏览器。2)SSLVPN网关同时作访问认证网关第二个方案较为复杂,要求SSLVPN网关在用户访问时,同时完成用户的认证工作。而用户的认证信息和权限信息存储在4A系统数据库中,这就需要SPX网关和4A系统通过相应的认证接口和协议来进行信息沟通,一般采用Radius、LDAP、AD等协议,或者是双方协商特定的接口协议。ArraySSLVPN网关同时也支持数字证书认证、双因素认证、短信密码认证等多种

5、方式,可以和4A系统的认证方式紧密的结合起来,由于不同的4A系统有不同的用户认证方法,这一般需要Array和他们协商统一的认证接口,达到更高的安全性。这种方案的优势是SSLVPN网关在进行安全保护、数据加密等功能的同时还进行用户的认证工作,同时也能作一定的用户授权和审计工作,进一步增强4A系统的用户访问的安全性。2.ArraySSLVPN对于4A后台各业务应用的支持方式由于移动内部的各个业务系统具有不同的应用架构,有些是B/S结构,有些业务应用是C/S结构,ArraySSLVPN可以采用不同的访问方式实现这些应用架构,无论是哪种实现方式,底层的通信协议都是SSL协议。1)B/S结构

6、-WRM方式如果内部的业务应用系统是B/S结构,客户端只需要浏览器即可完成操作,这时Array的WRM模块完全可以满足要求,WRM(WebResourceMapping)完成HTTP到HTTPS的转换工作,这时的SSLVPN网关的功能类似一个HTTPS的转换网关,完成Web内容的改写。用户在不安装任何软件或插件的情况下即可完成业务操作。2)C/S结构-L3VNP隧道模式如果业务系统是C/S结构,即客户端需要安装相应的业务客户端软件,ArraySSLVPN的实现方式是在用户终端和SSLVPN网关之间建立一条SSLL3VPN的隧道来实现C/S应用的访问。这条隧道用户通过浏览器既可以随时

7、建立,不需要提前安装,并且在这条隧道内部仍然有SSLVPN防火墙来提供ACL进行安全防护工作。3)C/S结构-TCS方式如果业务系统是C/S结构,而同时又不希望在用户终端上安装业务软件的客户端程序,Array提供了TCS(ThinClientSystem)模式。这时需要在内部为相应的业务系统建立终端服务器,提供远程桌面服务,在这台服务器上安装业务系统的客户端程序,远程用户只需要通过TCS登陆这台桌面终端服务器即可完成业务操作。TCS通过浏览器点击SSLVPN门户界面相

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。