腾讯里约可信应用支撑平台技术概览

一、 产品定位与核心亮点

腾讯里约可信应用支撑平台是由业务安全网关（RIO） 和域控管理平台（UD） 组成的一体化解决方案。其核心技术属性为通过反向代理、访问控制、集中鉴权实现应用安全访问，并结合身份治理、单点登录、终端认证完成企业域内用户管理。商业化差异化卖点在于提供 Windows AD域控的国产化替代能力，并构建高效的用户、设备、应用与服务治理体系。

二、 产品应用场景

1. 政企移动办公

• 受众：拥有移动办公需求的大型政企机构。
• 场景痛点：需管理内网应用暴露面、实施准入限制、进行限流限频，并协调内外部组织。
• 解决方案价值：为业务系统提供安全加固，收敛业务对外暴露面。

2. 金融机构终端身份认证

• 受众：对自主可控有高要求的金融机构。
• 场景痛点：需实现身份统一管理（“一人一账号”），避免重复登录，提升安全性并降低运维成本。
• 解决方案价值：平滑替换AD域，提供统一认证平台。

3. 通用数字化治理挑战

• 受众：进行数字化升级的各行业企业。
• 核心痛点：
  • 组织内部如何有效协同与管理应用（挑战一）。
  • 生态上下游如何实现高效应用集成（挑战二）。
  • 如何保障用户访问过程中的身份与数据安全及等保合规（挑战三）。
  • 信创背景下如何实现Windows AD替换和信创终端认证（挑战四）。

三、 应用框架和功能介绍

功能框架

平台采用联动架构：用户业务请求首先经过里约域控管理平台(UD) 进行身份目录管理，随后由里约业务安全网关(RIO) 执行基于身份的访问控制，最终安全访问Web API、Rest API、RPC等多种协议的后端应用（应用A、B、C）。

硬核指标

• 支持协议：4/7层协议、LDAP、API、RADIUS、NTLM、Kerberos等主流认证协议。
• 数据格式兼容性：兼容AD和OpenLDAP数据格式。
• 性能架构：具备先进底层通讯架构，支持横向扩展，满足超大规模并发需求，具备低延时特性。

产品优势

• 开箱即用：预适配腾讯生态应用，支持对接企微、IOA、AD等身份源。
• 国产化替代：自研通用目录产品，可平滑替代微软AD域控，兼容信创操作系统。
• 安全可控：支持灵活可配置的安全准入控制机制，规则可定制化。
• 高可靠性：支持集群部署和异地容灾，完全规避单点故障。
• 一体化治理：遵循零信任理念，提供业务及身份一体化安全治理方案。

荣誉背书与资质认证

• 安全合规：满足网络安全等级保护三级测评要求，并获得咨询报告。
• 信创资质：取得相关国产硬件、操作系统的兼容性适配证书，入选工信部信创图谱。
• 专业认证：获取网络安全专用产品安全检测证书。
• 技术专利：获得相关专利证书50余项。

四、 典型案例

案例一：某政企移动办公方案

• 背景：某政企需解决移动办公场景下的内网应用安全访问与协同管理问题。
• 解决方案：部署RIO业务安全网关，为财经助手、2000助手等业务系统提供网关通用能力（如服务路由），管理应用暴露面。
• 成效：实现了内外部组织的高效协同与安全准入控制。

案例二：某金融机构自主可控终端身份认证

• 背景：某金融机构需实现终端身份认证的自主可控，并统一管理身份。
• 解决方案：通过域控管理平台(UD)替换AD域，集成人脸识别、密码登录等多种认证方式，并通过认证插件（Windows/Linux）实现SSO一键登录所有应用（应用A、B、C）。
• 成效：成功实现“一人一账号”，提升了安全性，降低了运维成本，并为未来业务系统提供了统一的认证平台基础。