海关移动应用平台vpn方案5.0

《海关移动应用平台vpn方案5.0》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、海关移动应用平台一一VPN改造方案1.1原VPN方案1.1.1网络部署规划图VPN平台统证网关internet换平台务晦关短伕网关純关申理网防移动按入安全区移功办公修叢怙任交换机笄户繭交换机回海关移动应用中何件廉务裁1・1・2输入输出认证请求结果回豆请求帆養信息返回尿養信息发起域认证回复结果1.1.3VPN平台设备功能及描述设备名称功能描述功能划分接入网关部署在对外接入局域网的两台交换机之间，提供合法用户安全数据链路，完成脅户端与应用服务端的通信加密VPN基本功能认证网关1.客户端软件读取TF卡中

2、用户CA信息与认证网关完成身份校验，认证网关与CA服务器联动，查询在线状态、CA吊销列表等。验证通过后给客户端返回VPN结果；2客户端读取域账号信息，与三统一平台校验用户身份信息，联动三统一完成授权应用列表下发1.VPN基本功能2.VPN基本功能管理网关1.在VPN身份认证完成后，还需要根据证书中的域信息，需要给三统一服务器发送域账号认证，并且解析放回认证结果信息，VPN需要实现与三统一访问的接口2.实现中间间服务器配置同步接口，接收来自中间间服务器信息；3.通过接收应用中间件传递过来的地址信息（

3、IP/域）与省份识别码，以及应用中间件配置推送信息，建立并维护按省份划分的应用中间件访问列表，以及策略权限信息；4.根据请求用户的用户信息，下发相应访问权限列表信息；1.开发定制实现2.开发定制实现3.开发定制实现4.开发定制实现1.2现有VPN方案设计1.2.1拓扑设计H下证匸冠匚否百2凤队iFlt向122流程说明1.TF卡证书登录流程:1）用户输入pin码信息，进行身份校验；2）移动应用调用安全组件SDK,发起TF证书认证登录操作；3）安全组件校验pin码信息，校验成功后，从TF卡容器中枚举证

4、书信息；4）从TF卡中读取用户证书，进行签名加密，给SSLVPN发送证书认证请求；5）SSLVPN接收到证书认证请求后，校验客户端提交证书是否为CA颁发；6）SSLVPN给海关CA服务器发送请求，在线查询CA有效信息；7）海关CA服务器给SSLVPN发送在线查询结果信息；8）SSLVPN给安全组件返回TF卡证书认证结果信息；9）安全组件给应用返回TF卡证书认证结果信息；2海关CA域账号信息认证流程10）移动应用给海关三统一服务器，发送域账号身份认证请求；11）三统一服务器进行身份查询后，给移动应用

5、返回认证信息和用户GUID信VPN网关功能描述接入部分部署在对外接入局域网的两台交换机之间，提供合法用户安全数据链路，完成客户端与应用服务端的通信加密认证部分1•客户端软件读取TF卡中用户CA信息与认证网关完成身份校验，认证网关与CA服务器联动，查询在线状态、CA吊销列表等。验证通过后给客户端返回VPN结果；2•客户端读取域账号信息，与三统一平台校验用户身份信息，联动三统一完成授权应用权限1.2.3方案简介1.部署考虑2台VPN设备集群部署在对外接入局域网中，部署简单。便于后期升级扩容、；更换VP

6、N设备不会影响整个系统海关对外接入局域网1.稳定性可扩展性考虑现有VPN实现方式，VPN设备集群模式，负载均衡部署。后期平台扩容方便，非对称集群技术可以直接增加VPN设备，在保证了原有投资的同时实现性能的平滑扩充。集群组1.统一接入平台海关移动应用平台是海关移动应用体系的棊础，为各类移动业务应用提供开发运行坏境，以及安全策略实施上的支持。作为统一的安全接入平台除满足现有的业务系统安全接入外，还应具备更灵活的后期扩容和升级改造。在整个接入平台中，VPN作为数据传输层设备在平台中承担重要角色。原VPN

7、方案中，VPN在平台中即作为数据传输加密工具，又与三统一和现有应用系统联动实现应用策略下发，后期在更换VPN品牌和升级改造中对整个平台改动和影响较大。现有方案中，VPN担任角色明确，升级改造、扩容如果涉及到VPN部分只需替换即町，不会因VPN设备而影响整个平台。1.故障定位整个单兵系统中，涉及到的厂商多、业务系统广，数据交互复杂，用户终端在发起一次请求需要经过客户端软件、SDK、VPN、CA、三统一、中间件服务器、应用服务器等，并且在不同系统间存在多次交互。原方案屮，VPN与业务系统结合紧密，在后

8、期上线使用后，岀现系统无法访问时很难定位问题岀在终端、链路还是应用，增加运维难度和运维成本，降低故常处理效率。现有方案中，VPN只做认证和链路传输加密,“相对独立”的运行于整个系统中，便于后期故障排查和问题定位。系统故障后，可以从认证、链路、应用分层排查，实现快速定位并责任到具体厂家。