• /  4
  • 下载费用: 9.9积分  

IS009-移动4A系统应用延展解决方案20071203

'IS009-移动4A系统应用延展解决方案20071203'
在中国移动4A系统中部署Array Networks的应用延展解决方案1. Array Networks解决方案在中国移动4A系统中的部署架构 Array Networks 公司基于移动公司的IT网络支撑系统的现状和4A规范要求,提出了一套与4A系统相结合的应用延展解决方案。4A系统是根据“中国移动信息系统集中账号口令管理(4A)技术要求”,实现各支撑系统内部用户统一账号(Account)管理、认证(Authentication)管理、 授权(Authorization)管理和安全审计(Audit)。目前已有一些厂家开发了相应的4A管理软件系统,Array 公司在其中的统一安全访问与流量管理方面提出了相关的解决方案,如下图: 在本方案中,可以采用Array公司的两个系列产品:SSL VPN网关产品SPX系列――完成4A系统的统一安全门户访问、数据加密、数字证书认证等工作;负载均衡和应用优化产品TMX系列――完成4A系统多服务器的流量管理以及系统的性能优化工作。2. 4A系统的SSL VPN统一访问方案 4A系统采用的是统一门户、统一认证方式,而这正是SSL VPN安全访问方案的优势,可以将4A系统的WEB访问门户与SSL VPN的访问门户统一起来,充分利用SSL VPN的安全防护功能。这里我们可以采用两种访问方案:SSL VPN网关只作安全防护网关;SSL VPN网关同时作认证网关。1) SSL VPN网关只作安全防护网关 第一个方案不需要SSL VPN网关参与4A系统的用户认证、授权与用户审计工作,实现起来非常方便。这种情况下,SSL VPN的访问认证界面和Portal采用4A系统自身的Web界面,不需要双方协商相应的认证接口和协议。这种方式对于数字证书的认证仍然可以支持,Array通过SSL 协议仍然可以完成数字证书的验证工作,且数字证书可以存储在诸如智能卡、USB-Key等多种存储介质上。 这种方案主要完成的是业务数据加密,防止数据篡改,以及数字证书认证的工作;提供应用层的安全保护工作,如DOS攻击,以及对于4A的WEB应用路径进行动态重写,并将HTTP协议的用户请求转换成HTTPS协议的请求,这是通过Array 的WRM( Web Resource Mapping)技术实现的;WRM主要是提供应用层的安全防护,同时可以对URL进行掩码,后台的URL将以加密方式提供给用户的浏览器。2) SSL VPN网关同时作访问认证网关 第二个方案较为复杂,要求SSL VPN网关在用户访问时,同时完成用户的认证工作。而用户的认证信息和权限信息存储在4A系统数据库中,这就需要SPX网关和4A系统通过相应的认证接口和协议来进行信息沟通,一般采用Radius、LDAP、AD等协议,或者是双方协商特定的接口协议。 Array SSL VPN网关同时也支持数字证书认证、双因素认证、短信密码认证等多种方式,可以和4A系统的认证方式紧密的结合起来,由于不同的4A系统有不同的用户认证方法,这一般需要Array和他们协商统一的认证接口,达到更高的安全性。 这种方案的优势是SSL VPN网关在进行安全保护、数据加密等功能的同时还进行用户的认证工作,同时也能作一定的用户授权和审计工作,进一步增强4A系统的用户访问的安全性。3. Array SSL VPN对于4A后台各业务应用的支持方式 由于移动内部的各个业务系统具有不同的应用架构,有些是B/S结构,有些业务应用是C/S结构,Array SSL VPN可以采用不同的访问方式实现这些应用架构,无论是哪种实现方式,底层的通信协议都是SSL 协议。1) B/S结构-WRM方式 如果内部的业务应用系统是B/S结构,客户端只需要浏览器即可完成操作,这时Array的WRM模块完全可以满足要求,WRM( Web Resource Mapping)完成HTTP 到HTTPS的转换工作,这时的SSL VPN网关的功能类似一个HTTPS的转换网关,完成Web内容的改写。用户在不安装任何软件或插件的情况下即可完成业务操作。2) C/S结构-L3VNP隧道模式 如果业务系统是C/S结构,即客户端需要安装相应的业务客户端软件,Array SSL VPN的实现方式是在用户终端和SSL VPN网关之间建立一条SSL L3VPN的隧道来实现C/S应用的访问。这条隧道用户通过浏览器既可以随时建立,不需要提前安装,并且在这条隧道内部仍然有SSL VPN防火墙来提供ACL进行安全防护工作。3) C/S结构-TCS方式 如果业务系统是C/S结构,而同时又不希望在用户终端上安装业务软件的客户端程序,Array提供了TCS ( Thin Client System)模式。这时需要在内部为相应的业务系统建立终端服务器,提供远程桌面服务,在这台服务器上安装业务系统的客户端程序,远程用户只需要通过TCS登陆这台桌面终端服务器即可完成业务操作。TCS通过浏览器点击SSL VPN门户界面相应模块即可实现远程桌面的安全访问,简单易行。这种方案的好处是不需要终端用户安装业务客户端程序,且数据和应用都在数据中心,安全性较高。4. 4A系统中Web服务器和应用服务器的可靠性实现Array TMX系列部署在4A系统的Web服务器、应用服务器的前面,完成两个功能,服务器流量负载均衡和应用性能加速功能。 服务器的负载均衡:实现将访问流量智能的分担到多台服务器上面。作服务器的健康检查,当服务器出现故障时将流量导向健康服务器。 应用性能加速:通过TMX的内容缓存技术、连接复用技术,HTTP压缩技术、QOS技术等实现性能的提升。5. Array 解决方案为4A系统带来的应用价值 提供统一的安全访问门户:SSL VPN为4A系统提供统一的Web访问门户,充分发挥4A系统的统一接入的优势。 统一认证:Array SPX作为SSL VPN网关可以实现用户的认证,如数字证书认证、双因素认证、短信密码认证等。 安全防护、数据加密:SSL VPN作为安全网关提供安全防护,并实现业务应用数据加密,防篡改,为4A系统保驾护航。 随时随地的访问能力:SSL VPN的访问只需要客户端具有浏览器即可完成,不需要安装特殊的客户端软件,用户可以在任何时间,任何地点安全方便的接入4A系统。 应用层的安全防护:通过HTTPS的安全代理实现WEB内容改写,完成7层的应用防护,提高4A系统的WEB门户访问的安全性。 提高4A服务的可靠性:TMX完成流量的均衡,以及服务器的健康检查,提升4A系统的应用可用性。 加速4A系统的访问速度:通过TMX的内容缓存技术、连接复用技术,HTTP压缩技术、QOS技术等实现系统性能的提升,保证大并发访问量的系统响应能力。
关 键 词:
IS009 移动 系统 应用 延展 解决方案 20071203
 天天文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
关于本文
本文标题:IS009-移动4A系统应用延展解决方案20071203
链接地址: https://www.wenku365.com/p-41006985.html
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服点击这里,给天天文库发消息,QQ:1290478887 - 联系我们

本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有【成交的100%(原创)】。本站是网络服务平台方,若您的权利被侵害,侵权客服QQ:1290478887 欢迎举报。

1290478887@qq.com 2017-2027 https://www.wenku365.com 网站版权所有

粤ICP备19057495号 

收起
展开