- 1、本文档共6页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
中国移动4A系统建设
所谓的4A就是集中统一的账号(Account)管理、授权(Authorization)管理、认证(Authentication)管理和安全审计(Audit),缺一不可。
目前各个移动公司正在如火如荼地开展着4A项目的安全建设,参照的依据是移动集团关于4A建设的规范,而规范中很少提出具体的实现方案和相应的设备。所谓的4A就是集中统一的账号(Account)管理、授权(Authorization)管理、认证(Authentication)管理和安全审计(Audit),缺一不可。在这里结合具体情况谈谈在移动省公司或地级市公司建设4A项目的一些想法,仅供参考。
4A之账号管理
移动集团的4A规范中提出主账号和从账号的概念,主账号即自然人使用的账号,目前主要是网络准入控制系统的账号。从账号即资源设备自身账号,主要是指自然人登录设备或应用系统时使用的账号。
为此在4A平台中需要建立两个管理模块:主账号管理模块、从账号管理模块。
4A之授权管理
在“4A之账号管理”中进行主账号管理和从账号管理。而主账号和从账号之间需要通过资源设备进行关联。授权的目的就是使授权自然人可以登录那些设备,在相应的设备上使用从账号。因此形成“主账号-从账号-设备”三位一体的对应关系。
目前移动系统中使用的账号情况极为复杂,因此提出“以人为本”的关系梳理。该梳理就是要搞清“谁—能访问什么设备—使用哪个(些)系统账号”的关系,同时为认证和授权提供相应的关联列表。
4A之认证管理
前面进行了授权管理,接下来要对账号的合法性进行相应的认证。4A的认证合法性应该主要完成三项内容:主账号是否合法、从账号是否合法、授权是否合法。见图1认证及授权模块 的框图。
图1 认证及授权模块的的框图
认证及授权过程
●在前期的安全建设中,已经在网络中做了安全域划分及网络安全准入系统的建设。用户进入网络访问业务系统时,网络准入系统需对自然人身份的合法性进行认证,主账号认证信息打包转发给4A平台,4A平台对主账号的合法性进行判断,合法则让网络准入控制设备放开控制策略。
●主账号认证通过后,4A平台记录自然人、主账号、终端IP的对应关系,实现网络实名制记录。
●用户使用从账号登录网络设备、服务器、应用系统时,资源设备将从账号信息打包后发送给4A平台进行认证。
●4A平台对从账号和密码进行认证,不合法则向设备发送认证失败信息。
●4A平台对从账号认证合法后,平台根据授权管理的列表对从账号、主账号、设备之间的对应关系进行检查,如果从账号在授权列表中,则向被登录的设备返回认证合法信息,自然人可以使用该从账号在该设备登录,反之则拒绝自然人使用该从账号在该设备登录。
统一认证平台的建立
不管是主账号认证还是从账号认证,都是在4A平台中进行的,统一的认证系统是进行4A平台建设的前提。因此在建设4A系统之前弃用本地认证的方式,改为第三方认证的模式。就目前移动的实际情况而言,第三方认证主要包括Raduis、LDAP、手机短信等方式,因此4A平台中提供了基于认证转发的认证模块(认证中转站)。充分兼容目前移动公司采用的第三方认证。如图2所示。
图2 基于认证转发的认证模块(认证中转站)
●网络准入控制设备负责向4A平台进行自然人的主账号认证请求,平台接受到认证请求信息后,通过对应的主账号管理列表中指定的认证服务器进行认证转发。具体的账号合法性判断交给后台认证系统来完成。4A平台记录相应的用户信息,如主账号、终端IP等。
●用户要登录设备时要输入从账号。设备向4A平台进行从账号认证请求,平台根据设备的IP地址进行第三方认证转发。从账号的合法性判断交由后台认证系统来完成。4A平台此时记录自然人终端IP、设备IP,从账号等信息。
●根据两次记录的信息即可得出“终端IP、主账号(自然人)、设备IP、从账号”的对应关系。再根据这种对应关系去查找授权列表,如果该对应关系在授权列表中,4A平台则向设备返回从账号认证成功信息,用户可以登录设备进行操作,反之,4A平台则向设备返回认证失败信息,设备拒绝该登录。
4A之安全审计
安全审计主要是记录用户在设备上所有的操作行为,目前审计信息来源主要分为三类:
●网络审计设备:对网络传输的数据包进行重组,通过协议解析的方式获取用户的操作信息;
●堡垒跳转设备:用户要登录目标设备,必须先登录堡垒跳转设备,通过堡垒机再跳转到目标设备上进行操作。堡垒跳转设备则可记录用户所有的操作信息;
●目标设备日志:大多数设备都支持日志记录方式保存用户的操作。
原始审计信息统一被4A进行收集后需对主从账号进行关联从而关联到自然人,关联的具体方法如下:
●当用户进行网络安全准入认证(主账号认
您可能关注的文档
- 中国农村信用社发展的方向与模式探讨.doc
- 中国传统文化概论-浅谈中国饮食文化的特点和优劣.doc
- 中国农村商业银行竞争力的实证分析及提升策略.doc
- 中国传统的伦理道德思想.ppt
- 中国农工民主党入党申请书填写说明.doc
- 中国前列地尔市场发展研究报告.doc
- 中国动物卫生与流行病学中心廉政风险防控手册.doc
- 中国动画史简表.doc
- 中国区大赛全程冠名赞助回报方案.doc
- 中国医科大基础医学系统解剖学课件 第九章 女性生殖系统.ppt
- 2024重庆开放大学重庆工商职业学院事业单位招聘4人笔试模拟试题及答案解析.docx
- 2024重庆市大渡口区事业单位面向2025届高校毕业生招聘31人考试备考题库及答案解析.docx
- 2025潮州农商银行秋季校园招聘考试备考题库及答案解析.docx
- 2024重庆渝北区数据工具开发人员招聘2人笔试模拟试题及答案解析.docx
- 2024重庆渝北区救助管理站文秘岗招聘1人考试备考题库及答案解析.docx
- 2025东莞银行秋季校园招聘笔试模拟试题及答案解析.docx
- 2024江苏省城镇化和城乡规划研究中心招聘2人考试备考题库及答案解析.docx
- 2024辽宁辽阳市弓长岭区招聘社区工作者3人笔试模拟试题及答案解析.docx
- 2024中铁城建集团有限公司招聘全栈开发工程师考试备考题库及答案解析.docx
- 2025东莞银行秋季校园招聘考试备考题库及答案解析.docx
文档评论(0)