亚信4A管理平台技术白皮书
现统一的安全策略,从而在实质上降低了业务系统的安全性。因此需要根据中国移动的现状,研究集中统一的安全管理技术和平台,使得系统和安全管理人员可以对支撑系统的用户和各种资源进行集中管理、集中权限分配、集中审计,从技术上保证支撑系统安全策略的实施
? 版权所有 亚信(中国)科技有限公司 第6页 共21页
二. 亚信4A管理解决方案
亚信科技,针对中国移动在帐号管理、认证管理、授权管理和审计管理方面的实际需求,结合自身对运营商业务深入理解的优势,设计和开发了具有非常强可扩展性的4A平台:亚信4A管理平台(AIUAP)。AIUAP能够适应各种差异,将包括统一帐号管理、统一认证管理、统一授权管理、统一审计管理在内的所有功能模块集成在一起,以一个统一的风格呈现给最终用户和系统管理员。
2.1 4A总体架构
中国移动4A框架包括用户的账号(Account)管理、认证(Authentication)管理、授权(Authorization)管理和安全审计(Audit),简称4A框架。
账号管理是将自然人与其拥有的所有系统账号关联,集中进行管理,包括按照密码策略自动更改密码,不同系统间的账号同步等。
身份认证是信息安全的第一道防线,用以实现支撑系统对操作者身份的合法性检查。对信息统中的各种服务和应用来说,身份认证是一个基本的安全考虑。身份认证的方式可以有多种,包括静态口令方式、动态口令方式、基于公钥证书的认证方式以及基于各种生物特征的认证方式。
授权是指对用户使用支撑系统资源的具体情况进行合理分配的技术,实现不同用户对系统不同部分资源的访问。
审计是指收集、记录用户对支撑系统资源的使用情况,以便于统计用户对网络资源的访问情况,并且在出现安全事故时,可以追踪原因,追究相关人员的责任,以减少由于内部计算机用户滥用网络资源造成的安全危害。
4A一起确保合法用户安全、方便使用特定资源。这样既有效地保障了合法用户的权益,又能有效地保障支撑系统安全可靠地运行。
中国移动4A框架结构如图所示:
亚信4A管理平台技术白皮书
4A框架架构
亚信科技,针对中国移动在帐号管理、认证管理、授权管理和审计管理方面的实际需求,结合自身对运营商业务深入理解的优势,设计和开发了具有非常强可扩展性的4A平台:亚信4A管理平台(AIUAP)。AIUAP能够适应各种差异,将包括统一帐号管理、统一认证管理、统一授权管理、统一审计管理在内的所有功能模块集成在一起,以一个统一的风格呈现给最终用户和系统管理员。
? 版权所有 亚信(中国)科技有限公司 第8页 共21页
亚信4A管理平台技术白皮书
2.2 4A逻辑架构
中国移动4A框架是一个复杂的系统,目前还没有一个产品能够完全满足4A框架的所有需求,4A框架可以是一个集成的系统,即将不同产品或功能模块集成在一起,成为一个完整的4A框架。
基于亚信4A管理平台AIUAP建立的4A逻辑结构图如下:
AIUAP一方面具备自身内嵌的身份认证方式,还可以支持外部第三方身份关系系统,如:基于数字证书、OTP、短信、生物特征等多种身份认证方式,防止非法访问。另外,AIUAP还能够与外部审计组件结合,利用外部审计组件的专业化能力,对被管环境进行全面的审计,为用户提供丰富的审计报告。
2.3 亚信4A平台AIUAP构成模块
亚信4A管理平台AIUAP,主要由管理控制台、账号管理中心、认证管理管理中心、授权管理中心、审计管理中心五个模块组成。整个系统平台以统一的界面展现在用户面前,统一操作、统一分配、统一管理;同时还可以实现分布式、多级4A的部属与管理。AIUAP的通信传输和认证过程全部采用SSL进行数据
? 版权所有 亚信(中国)科技有限公司 第9页 共21页
亚信4A管理平台技术白皮书
加密、签名,防止数据链路的窃听。最为重要的是对AIUAP管理员权限进行非常清晰划分,以防止其行使不当权限;并且对其访问过程留下详细日志进行记录,以便于追溯。
亚信4A管理平台AIUAP可以配合用户各种信息系统的建设,统一信息系统安全处理流程。通过平台的建设,可以加强用户身份管理、统一信息系统的认证与授权机制,可以提高各应用系统身份认证的强度,提供多样化的认证机制,并通过认证和授权平台的方式为各业务系统提供机制统一的认证、授权安全服务,以支撑业务创新和流程整合。
亚信4A管理平台AIUAP的各个组成模块功能概述如下:
? 管理控制台:实现对4A平台本身的管理,提供给管理员统一的管理界
面,实现对管理员的帐号管理和权限管理。实现对4A各个功能模块启动、停止、允许状态的管理。
? 帐号管理中心:实现用户主、从帐号的统一管理,实现基于自然人的主
帐号管理,实现基于角色的身份管理,实现用户属性级别的细粒度权限
? 版权所有 亚信(中国)科技有限公司 第10页 共21页