收藏
下载资源

管理信息化信息技术中国移动信息系统集中账号口令管理4A技术要求定

上传人:蜀歌 文档编号:145944984 上传时间:2020-09-24 格式:PDF 页数:91 大小:815.66KB
返回 下载 相关 举报
管理信息化信息技术中国移动信息系统集中账号口令管理4A技术要求定_第1页
第1页 / 共91页
管理信息化信息技术中国移动信息系统集中账号口令管理4A技术要求定_第2页
第2页 / 共91页
管理信息化信息技术中国移动信息系统集中账号口令管理4A技术要求定_第3页
第3页 / 共91页
管理信息化信息技术中国移动信息系统集中账号口令管理4A技术要求定_第4页
第4页 / 共91页
管理信息化信息技术中国移动信息系统集中账号口令管理4A技术要求定_第5页
第5页 / 共91页
点击查看更多>>
资源描述

《管理信息化信息技术中国移动信息系统集中账号口令管理4A技术要求定》由会员分享,可在线阅读,更多相关《管理信息化信息技术中国移动信息系统集中账号口令管理4A技术要求定(91页珍藏版)》请在金锄头文库上搜索。

1、管理信息化信息技术中国移动信 息系统集中账号口令管理 4A 技术 要求定 管理信息化信息技术中国移动信 息系统集中账号口令管理 4A 技术 要求定 中国移动支撑系统集中账号管理、认证、 授权与审计(4A)技术要求 中国移动支撑系统集中账号管理、认证、 授权与审计(4A)技术要求 版 本 号 :版 本 号 : 1 . 0 . 0 目次目次 前 言 1 1.目的和适用范围 2 2.引用标准 4 3.相关术语与缩略语解释 5 4.综述 6 4.1.账号口令管理现状与面临的困难 6 4.2.4A 框架国内外现状 7 4.3.中国移动 4A 框架 9 4.4.4A 用例描述 10 4.4.1.管理员工作

2、过程 10 4.4.2.普通用户工作过程 10 4.5.4A 框架的价值 11 4.5.1.企业角度 11 4.5.2.管理员角度 11 4.5.3.普通用户角度 12 4.5.4.系统安全角度 12 4.5.5.系统管理成本角度 12 5.集中账号管理 13 5.1.集中账号管理的目的 13 5.2.对集中账号管理的要求 13 5.3.账号生存期管理 15 5.3.1.用户与账号的关系 15 5.3.2.用户、账号的管理流程 16 5.4.账号集中化管理架构 17 5.4.1.一般模型 17 5.4.2.主机、网络设备账号管理 18 5.4.3.应用系统账号集中管理 20 5.4.4.对集中

3、账号管理的要求 21 5.5.自我服务系统 22 6.集中授权 23 6.1.基本技术 23 6.1.1.集中权限分配 23 6.1.1.1.权限定义 23 6.1.1.2.集中权限分配粒度 24 6.1.1.3.主流的授权技术 25 6.1.1.4.账号、用户、用户组、角色、权限关系 26 6.1.2.集中访问控制 28 6.2.网络设备和主机系统的集中授权 30 6.3.应用系统基于角色的集中授权 31 6.4.细粒度访问控制 32 7.集中认证 34 7.1.身份认证方式 34 7.1.1.基于用户名/口令的认证方式 34 7.1.2.基于动态口令的认证方式 35 7.1.3.基于智能卡

4、的认证方式 35 7.1.4.基于生物特征的认证方式 36 7.1.5.基于数字证书的认证体系 37 7.2.认证方式选择 37 7.3.单点登录(Single SignOn,SSO)38 7.3.1.单点登录要求 39 7.3.2.单点登录系统模型 39 7.3.2.1.以服务器为中心的单点登录模型 39 7.3.2.2.以客户端为中心的单点登录模型 41 7.3.2.3.客户/服务器模式的单点登录模型 42 7.3.2.4.模型选择 43 7.3.3.单点登录产品选择 44 7.3.4.单点登录适用范围 45 7.3.5.单点登录与集中身份认证 46 7.4.集中身份认证 46 8.集中安

5、全审计 49 8.1.4A 框架下的集中安全审计 49 8.2.基本要求 50 8.3.功能要求 51 8.4.审计结果的处理方式 51 8.5.集中存储策略 52 9.中央管理平台 53 9.1.目的 53 9.2.功能描述 53 9.3.功能要求 54 9.4.技术要求 55 10.实施建议 56 10.1.总体原则 56 10.2.技术建设建议 57 10.2.1.网络设备、主机集中管理 57 10.2.1.1.明确网络设备、主机资源及其访问权限 57 10.2.1.2.建立用户信息库 57 10.2.1.3.账号集中管理 58 10.2.2.应用集中管理 59 10.2.2.1.确定应

6、用系统中的信息资源及其访问权限 59 10.2.2.2.建立用户信息数据库 59 10.2.2.3.根据工作岗位和任务职责定义角色 60 10.2.2.4.将角色分配给相关的用户 61 10.2.3.审计系统 62 10.2.4.口令策略管理 62 10.3.分步实施建议 63 10.4.实施过程中需要注意的问题 65 10.4.1.集中度的把握 65 10.4.2.系统性能 65 10.4.3.紧急情况的处理 66 10.4.4.分级管理 66 10.5.4A 产品选择需要考虑的问题 67 11.4A 平台技术要求 69 11.1.涉密要求 69 11.2.可扩展性 69 11.3.开放性

7、69 11.4.安全(容灾)性 69 11.5.用户的自我管理 70 11.6.支持 WEB 方式 70 12.编制历史 71 附录 72 1.中国移动安全目录规范 73 1.1.结构规划 74 1.1.1.目录内容规划 74 1.1.2.目录逻辑结构规划 75 1.1.3.目录物理结构规划 82 1.2.功能要求 83 1.3.编程接口 85 2.应用系统实现账号口令集中管理的相关标准 90 2.1.原有应用系统纳入 4A 框架管理的模式 92 2.1.1.模式一:不改造 92 2.1.1.1.实现方法 92 2.1.1.2.实施流程 96 2.1.1.3.注意事项 98 2.1.1.4.方

8、案优点 100 2.1.1.5.方案缺点 100 2.1.1.6.4A 框架对应用的管理 100 2.1.2.模式二:改造应用系统 101 2.1.2.1.背景和目的 101 2.1.2.2.参考资料 101 2.1.2.3.用户管理、认证、授权及审计流程 102 2.1.2.4.应用接口(API)账号管理 104 2.1.2.5.应用接口(API)认证及授权 106 2.1.2.6.接口应用 108 2.2.新应用系统开发 111 2.3.应用系统与企业安全目录 112 3.基于短消息的动态口令系统 113 3.1.动态口令技术 113 3.2.短消息业务概述 113 3.3.基于短信业务的

9、主机动态口令登录 114 3.3.1.网络结构 114 3.3.2.登录口令获得流程 115 3.3.3.基于短信的动态口令系统的优点 115 3.3.4.基于呼叫中心的动态口令获取 116 3.3.5.小结 116 4.内部网的远程访问 117 4.1.远程拨号访问 117 4.2.通过虚拟专网(VPN)方式接入 118 4.3.通过专用软件方式接入 118 QB-W-002-2005 前言前言 本规范规定了中国移动通信有限公司各支撑系统内部用户账号(Account)管理、认证 (Authentication)管理、授权(Authorization)管理和安全审计(Audit)的统一框架(简

10、称 4A 框架)的系统结构、关键技术实现方法、实施步骤及注意事项,附录部分阐述了 4A 框架 下各功能模块与企业安全目录及应用系统、网络设备、主机系统的接口方式,以及将应用系 统纳入 4A 框架集中管理的具体方案。 本技术要求可作为选用 4A 产品、 进行产品开发与测试、 应用开发与改造的技术依据。 本要求由中国移动通信有限公司网络部提出并归口管理。 本要求起草单位:中国移动通信有限公司网络部、信息化办公室、计费中心 本要求主要起草人:周智、刘楠、陈敏时、陈欣、徐海东、魏丽红 本要求解释单位:中国移动通信有限公司网络部。 QB-W-002-2005 2 1.目的和适用范围1.目的和适用范围 本

11、文在对中国移动各支撑系统的主机、网络设备和应用系统自身的账号管理、认证、授 权、审计现状分析的基础上,制定 4A 框架技术要求,其目的是: 1.阐述 4A 基本技术,规定 4A 框架下各部分的基本需求,为 4A 框架下的产品采购提 供依据。 2.规定 4A 框架下各部分的连接界面,为 4A 框架下的产品开发提供依据。 3.规定将应用系统纳入 4A 框架的方案,便于在现有基础上实施 4A 框架。 4.提出 4A 框架实施的具体建议。 通过实施 4A 框架,可以达到以下目的: 1.实现集中化的账号管理。管理员在一点上即可对不同系统中的账号进行管理,由系 统自动同步不同系统下的账号;账号创建、分配过

12、程均留下电子记录,便于审计。 2.实现集中化的身份认证。管理员不仅可以根据需要选择不同的身份认证方式,而且 在不更改或只对应用进行有限更改的情况下,即可在原来只有弱身份认证手段的应用上,增 加强身份认证手段,提高系统安全性。 3.实现集中访问授权。对企业资产进行有效保护,防止私自授权或权限未及时收回对 企业信息资产造成的安全损害 ; 对应用实现基于角色的授权管理,在人员离职、岗位变动时, 只需要在一处进行更改,即可在所有纳入 4A 框架的应用中改变权限;可以为授权增加特定 的限制,如只有在规定的时间段、来自特定地域的人员才能访问指定的资源。 4.实现集中安全审计管理。 不仅能够对人员的登录过程

13、、 登录后进行的操作进行审计, 而且能够将多个主机、设备、应用日志进行对比分析,从中发现问题。 5.实现单点登录,方便管理员和普通用户登录不同的系统。 本要求的适用范围: 1.本文档制定的 4A 框架技术要求,既适用于中国移动某个独立的支撑系统,也适用 于中国移动中的多个支撑系统,即可以对多个支撑系统中的主机、网络和应用层面的用户账 号进行集中统一管理。初期实施时可以先针对一个或几个系统,待取得实施经验后再针对更 多的系统。 2.4A 是一个复杂的过程,涉及众多的系统、产品和技术,本要求规定了一个实施框 架,在此框架外,还需要其它辅助系统的支持。 2.引用标准2.引用标准 a)GB/T9387

14、.2-1995(ISO7498-2:1989)信息处理系统开放系统互连基本参考模 型第 2 部分:安全体系结构 b)ISO10181-1:1996 信息安全框架 1 信息技术开放系统互连开放系统安全框架 第 1 部分:概述 c)ISO10181-2:1996 信息安全框架 2 信息技术开放系统互连开放系统安全框架 QB-W-002-2005 3 第 2 部分:鉴别框架 d)ISO10181-3:1996 信息安全框架 3 信息技术开放系统互连开放系统安全框架 第 3 部分:访问控制框架 e)ISO10181-4:1997 信息安全框架 4 信息技术开放系统互连开放系统安全框架 第 4 部分:抗

15、抵赖框架 f)ISO10181-7:1996 信息安全框架 7 信息技术开放系统互连开放系统安全框架 第 7 部分:安全跟踪和告警框架 g)RFC1825 信息安全框架 8Internet 协议安全架构 h)RFC2865RemoteAuthenticationDialInUserService(RADIUS), RFC2866RADIUSAccounting i)RFC2251LightweightDirectoryAccessProtocol(v3) j)ISO/IECFDIS9594-8Informationtechnology-OpenSystemsInterconnection- -

16、TheDirectory:Public-keyandattributecertificateframeworks k)RFC2510-InternetX.509PublicKeyInfrastructureCertificateManagementPr otocols l)RFC3280-InternetX.509PublicKeyInfrastructureCertificateandCertifica teRevocationList(CRL)Profile 3.相关术语与缩略语解释3.相关术语与缩略语解释 略缩词英文中文 4A(AAAA)Accounting,Authorization,Authentication,Audi t 账号管理, 授权, 认证,审计 AAAAuthentication,Authorization,Accounting认证,授权,账 号管理 ACLAccessControlList访问控制列表 ADFAccessDecisionFunction访问控制决策 单元 AEFAccessEnforcementFunction访问控制执行

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 经营企划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号