亚信联创4A白皮书

亚信统一帐号、认证、授权和审计（4A）管理平台AIUAP技术白皮书亚信科技（中国）有限公司2008年1月亚信4A管理平台技术白皮书©版权所有亚信(中国)科技有限公司第2页共21页目录一.需求分析.............................................................................................41.1现状分析.....................................................................................41.2需求分析.....................................................................................4二.亚信4A管理解决方案.........................................................................72.14A总体架构.................................................................................72.24A逻辑架构.................................................................................92.3亚信4A平台AIUAP构成模块.......................................................92.4基于AIUAP平台的4A框架......................................................112.5亚信4A管理平台AIUAP功能描述..............................................132.5.1管理控制台......................................................................142.5.1.1管理员管理............................................................142.5.1.2权限管理...............................................................142.5.1.3组件管理...............................................................152.5.1.4运行管理...............................................................152.5.2帐号管理中心..................................................................152.5.2.1帐号管理的范围....................................................152.5.2.2帐号管理的内容....................................................152.5.3认证管理中心..................................................................152.5.3.1认证管理的范围....................................................162.5.3.2认证管理的内容....................................................162.5.4授权管理中心..................................................................162.5.4.1授权管理的范围....................................................162.5.4.2授权管理的内容....................................................162.5.5审计管理中心..................................................................172.5.5.1审计管理范围........................................................172.5.5.2审计信息收集与标准化..........................................172.6亚信业务操作监控与审计系统AIBASS......................................18三.方案特点和优势...............................................................................19亚信4A管理平台技术白皮书©版权所有亚信(中国)科技有限公司第3页共21页3.1功能优势...................................................................................193.2性能优势...................................................................................203.3公司优势...................................................................................20一.需求分析1.1现状分析中国移动是我国特大型电信运营商之一，有三十多家分公司，其网络规模庞大，应用系统种类众多、复杂。早期以及现在绝大部分的支撑系统，都使用简单的用户名/密码方式来进行访问控制保护，这种方式主要存在以下几方面的不足：安全强度较低，难以真正保证系统的安全；随着用户名/密码对的增多，用户势必采取一些不安全的辅助手段来记忆，从而造成这种保护形同虚设，极大降低了安全强度；难以实现企业安全策略，造成安全保护链中具有众多的薄弱环节；极差的可伸缩性(scalability)；对信息资源的共享也造成了极大障碍，等等。建设4A框架，保证安全、高效的利用好这些网络和应用资源，提高企业的核心竞争力，是一个非常重要的课题。为建设4A框架，将侧重网络设备管理的AAA系统、侧重应用管理的身份管理系统以及PKI等技术结合起来，充分注重网络和信息安全的最佳实践，对各类资源按其重要程度分级进行保护，采取这样的技术路线可望达到较好的效果。1.2需求分析随着中国移动通信有限公司业务系统的迅速发展，各种支撑系统和用户数量的不断增加，网络规模迅速扩大，信息安全问题愈见突出，原有的账号口令管理措施已不能满足中国移动目前及未来业务发展的要求。主要表现在以下方面：亚信4A管理平台技术白皮书©版权所有亚信(中国)科技有限公司第5页共21页1、中国移动的支撑系统中有大量的网络设备、主机系统和应用系统，分别属于不同的不同的业务系统。目前各应用系统都有一套独立的认证、授权和审计系统，并且由相应的系统管理员负责维护和管理。当维护人员同时对多个系统进行维护时，工作复杂度会成倍增加。2、各系统分别管理所属的系统资源，为本系统的用户分配权限，缺乏集中统一的资源授权管理平台，无法严格按照最小权限原则分配权限。另外，随着用户数量的增加，权限管理任务越来越重，系统的安全性无法得到充分保证。3、有些账号多人共用，不仅在发生安全事故，难于确定账号的实际使用者，而且在平时难于对账号的扩散范围进行控制，容易造成安全漏洞。4、支撑系统的增多，使用户经常需要在各个系统之间切换，每次从一个系统切换到另一支撑系统时，都需要输入用户名和口令进行登录。给用户的工作带来不便，影响了工作效率。用户为便于记忆口令会采用较简单的口令或将多个支撑系统的口令设置成相同的，危害到系统的安全性。5、由于各支撑系统独立运行、维护和管理，所以各系统的审计也是相互独立的，不但各个系统单独审计，即使同一系统中的每个网络设备，每个主机系统，每个业务系统及每个数据库系统都要分别进行审计，缺乏集中统一的系统访问审计。无法对支撑系统进行综合分析，不能及时发现入侵行为。总之，随着业务系统和支撑系统的发展及内部用户的增加，一方面系统维护和管理人员的工作负担增加，工作效率无法提高；另一方面无法对各业务系统实亚信4A管理平台技术白皮书©版权所有亚信(中国)科技有限公司第6页共21页现统一的安全策略，从而在实质上降低了业务系统的安全性。因此需要根据中国移动的现状，研究集中统一的安全管理技术和平台，使得系统和安全管理人员可以对支撑系统的用户和各种资源进行集中管理、集中权限分配、集中审计，从技术上保证支撑系统安全策略的实施二.亚信4A管理解决方案亚信科技，针对中国移动在帐号管理、认证管理、授权管理和审计管理方面的实际需求，结合自身对运营商业务深入理解的优势，设计和开发了具有非常强可扩展性的4A平台：亚信4A管理平台（AIUAP）。AIUAP能够适应各种差异，将包括统一帐号管理、统一认证管理、统一授权管理、统一审计管理在内的所有功能模块集成在一起，以一个统一的风格呈现给最终用户和系统管理员。2.14A总体架构中国移动4A框架包括用户的账号（Account）管理、认证（Authentication）管理、授权(Authorization)管理和安全审计(Audit)，简称4A框架。账号管理是将自然人与其拥有的所有系统账号关联，集中进行管理，包括按照密码策略自动更改密码，不同系统间的账号同步等。身份认证是信息安全的第一道防线，用以实现支撑系统对操作者身份的合法性检查。对信息统中的各种服务和应用来说，身份认证是一个基本的安全考虑。身份认证的方式可以有多种，包括静态口令方式、动态口令方式、基于公钥证书的认证方式以及基于各种生物特征的认证方式。授权是指对用户使用支撑系统资源的具体情况进行合理分配的技术，实现不同用户对系统不同部分资源的访问。审计是指收集、记录用户对支撑系统资源的使用情况，以便于统计用户对网络资源的访问情况，并且在出现安全事故时，可以追踪原因，追究相关人员的责任，以减少由于内部计算机用户滥用网络资源造成的安全危害。4A一起确保合法用户安全、方便使用特定资源。这样既有效地保障了合法用户的权益，又能有效地保障支撑系统安全可靠地运行。中国移动4A框架结构如图所示：亚信4A管理平台技术白皮书©版权所有亚信(中国)科技有限公司第8页共21页4A框架架构亚信科技，针对中国移动在帐号管理、认证管理、授权管理和审计管理方面的实际需求，结合自身对运营商业务深入理解的优势，设计和开发了具有非常强可扩展性的4A平台：亚信4A管理平台（AIUAP）。AIUAP能够适应各种差异，将包括统一帐号管理、统一认证管理、统一授权管理、统一审计管理在内的所有功能模块集成在一起，以一个统一的风格呈现给最终用户和系统管理员。亚信4A管理平台技术白皮书©版权所有亚信(中国)科技有限公司第9页共21页2.24A逻辑架构中国移动4A框架是一个复杂的系统，目前还没有一个产品能够完全满足4A框架的所有需求，4A框架可以是一个集成的系统，即将不同产品或功能模块集成在一起，成为一个完整的4A框架。基于亚信4A管理平台AIUAP建立的4A逻辑结构图如下：AIUAP一方面具备自身内嵌的身份认证方式，还可以支持外部第三方身份关系系统，如：基于