亚信4A管理平台技术白皮书
分配管理和用户委托管理。在被管资源范围内管理并同步从帐号信息,提供了从帐号、密码同步功能。建立主帐号和各资源内的从帐号的关联关系。
? 认证管理中心:提供企业用户访问入口,实现资源统一管理,可以方便、
有效、安全地访问企业内部的资源。在所有应用系统中,采用多级别的、统一的认证手段,实现单点登录。
? 授权管理中心:建设基于策略的访问控制机制,实现安全策略的集中管
理和资源的委托授权,可以对系统内部各种资源进行统一的管理。提供统一的授权架构,使新的应用可以很容易的集成到这个平台当中来。 ? 审计管理中心:安全审计主要是实现及时发现非法登录和非法操作,对
非法登录和非法操作快速分析、定位和响应。管理全部的日志审计,用于处理所有4A系统相关日志的审计工作,包括资源提供的部分访问日志,并在模块内部通过关联分析的能力,提供对日志的整体分析。
2.4 基于AIUAP平台的4A框架
中国移动4A框架是一个复杂的系统,目前还没有一个产品能够完全满足4A框架的所有需求,4A框架可以是一个集成的系统,即将不同产品或功能模块集成在一起,成为一个完整的4A框架。AIUAP一方面具备自身内嵌的身份认证方式,还可以支持外部第三方身份关系系统,如:基于数字证书、OTP、短信、SSO等多种身份认证方式,防止非法访问。另外,AIUAP还能够与外部审计组件结合,利用外部审计组件的专业化能力,对被管环境进行全面的审计,为用户提供丰富的审计报告。
基于亚信4A管理平台AIUAP建立的4A框架结构图如下:
? 版权所有 亚信(中国)科技有限公司 第11页 共21页
亚信4A管理平台技术白皮书
对应的框架包括的内容如下:
产品名称 数量 用途 AIUAP核心服务系统。面向应用资源和系统资源的集中帐号、权限、认证和授权系统,提供4A规范要求的管理功能和接口功能。通过4A方面提供系统的主帐号管理、从帐号管理、角色管理、授权管理、审计管理、接口管理等。根据提供的功能模块、产品的不同价格有所差异。 4A集中登录2套 软件 面向BOSS、BASS、BOMC等系统,商用WebPortal软件,提供后台开发和维护人员的访问接入。通过集中登录实现基于网关的访问控制、身份认证等功能。 审计数据库2套 软件 Oracle数据库,相应数据库服务器的CPU数量的Lincense。用于存储来自访问层、应用层、存储层等应用资源访问的所有操作行为;用户存储所有系统资源的维护和管理操作行为。 帐号数据库2套 软件 帐号数据库,相应Oracle或LDAP服务器的CPU数量的Lincense。用于存储主帐号、从帐号、主从关联关系以及其他必要的属性。根据采用的数据库的形式不同价格、CPU的数量有差异。 4A管理平台1套 软件 ? 版权所有 亚信(中国)科技有限公司 第12页 共21页
亚信4A管理平台技术白皮书
强认证组件 1套 动态口令认证系统、PKI证书系统或短信密码认证系统,提供应用主帐号登录和身份认证功能。用于实现来自操作人员的双因素认证。根据采用的认证系统形式、双因素介质、终端数量的价格有差异。 审计组件 1套 AIBASS安全审计系统、堡垒主机等形式,提供针对操作系统、数据库和网络设备的集中操作行为监控和审计接口。传送日志到4A平台。根据审计系统形式、部署的位置不同价格有差异。 其他可能软 件 根据解决方案的差异而带来的内容,如咨询服务、帐号服务、审计服务、技术培训等 其他辅助软件如下:
? AIUAP强认证管理组件:AIMPASS短信密码认证系统产生完全随机变
化的动态密码,通过手机短信发送到用户的移动电话上,利用手机来保证用户身份的唯一性,结合成熟认证协议进行用户动态密码认证。 ? AIUAP亚信日志集中管理与审计系统AIISM采集系统主机、网络设备、
防火墙等设备自身产生的日志;
? AIUAP亚信业务操作监控与审计系统AIBASS在多个系统集中接口处
安装网络日志采集器,采集系统登录、使用、维护过程中产生的网络日志;采集的各类日志发送到日志集中管理与审计系统AIISM服务器存储、分析、审计。
2.5 亚信4A管理平台AIUAP功能描述
亚信4A管理平台AIUAP的各个组成模块功能架构如下:
? 版权所有 亚信(中国)科技有限公司 第13页 共21页
亚信4A管理平台技术白皮书
下面针对相应模块进行描述:
2.5.1 管理控制台
管理控制台用于对多个功能模块及接口实现集中管理,其功能主要分为下述两个部分: ? 提供Web模式的展现 ? 自身模块的管理。
2.5.1.1 管理员管理
4A管理员的生命周期管理,提供对4A管理员本身的创建、修改、删除和查询等功能。 4A管理员的分级/分层管理、委托管理(或临时授权),提供对4A管理员的按照管理需求进行级别定义等。
2.5.1.2 权限管理
4A管理员的权限管理:4A管理员允许按照功能点和管理范围定义角色,并将人和角色
? 版权所有 亚信(中国)科技有限公司 第14页 共21页
亚信4A管理平台技术白皮书
关联起来。
2.5.1.3 组件管理
对4A管理平台的各组件设置提供统一的设置入口。
2.5.1.4 运行管理
提供对4A管理平台相关模块启动、停止的管理; 提供对4A管理平台状态的监控和管理。
2.5.2 帐号管理中心
2.5.2.1 帐号管理的范围
帐号管理主要包括主帐号和从帐号的管理,用于集中维护自然人(主帐号)和资源(从帐号)在内的全部帐号以及和帐号相关的可在4A帐号管理模块中集中管理的帐号属性。
2.5.2.2 帐号管理的内容
帐号管理提供完善的帐号生命周期管理能力,用于从现存帐号数据库导入或映射业务支撑系统现存帐号;维护和现有外部帐号库中帐号的同步更新;将帐号管理模块中帐号推送到相应外部帐号库中等等。
2.5.3 认证管理中心
对于来自不同业务系统的用户,根据访问对象由认证功能模块来提供强认证服务。用户在访问受保护的系统之前,首先经过身份认证系统识别身份,然后根据用户的身份和授权,决定用户是否能够访问某个资源。
4A管理平台认证管理模块可以自身提供强认证服务,同时也可以根据需要将认证请求
? 版权所有 亚信(中国)科技有限公司 第15页 共21页