（信息技术）中国移动信息系统集中账号口令管理(A)技术要求(定中国移动支撑系统集中账号管理、认证、授权与审计（4A）技术要求版本号：1.0.0目次前言 (1)1. 目的和适用范围 (2)2. 引用标准 (4)3. 相关术语与缩略语解释 (5)4. 综述 (6)4.1. 账号口令管理现状与面临的困难 (6)4.2. 4A框架国内外现状 (7)4.3. 中国移动4A框架 (9)4.4. 4A用例描述 (10)4.4.1. 管理员工作过程 (10)4.4.2. 普通用户工作过程 (10)4.5. 4A框架的价值 (11)4.5.1. 企业角度 (11)4.5.2. 管理员角度 (11)4.5.3. 普通用户角度 (12)4.5.4. 系统安全角度 (12)4.5.5. 系统管理成本角度 (12)5. 集中账号管理 (13)5.1. 集中账号管理的目的 (13)5.2. 对集中账号管理的要求 (13)5.3. 账号生存期管理 (15)5.3.1. 用户与账号的关系 (15)5.3.2. 用户、账号的管理流程 (16)5.4. 账号集中化管理架构 (17)5.4.1. 一般模型 (17)5.4.2. 主机、网络设备账号管理 (18)5.4.3. 应用系统账号集中管理 (20)5.4.4. 对集中账号管理的要求 (21)5.5. 自我服务系统 (22)6. 集中授权 (23)6.1. 基本技术 (23)6.1.1. 集中权限分配 (23)6.1.1.1. 权限定义 (23)6.1.1.2. 集中权限分配粒度 (24)6.1.1.3. 主流的授权技术 (25)6.1.1.4. 账号、用户、用户组、角色、权限关系 (26)6.1.2. 集中访问控制 (28)6.2. 网络设备和主机系统的集中授权 (30)6.3. 应用系统基于角色的集中授权 (31)6.4. 细粒度访问控制 (32)7. 集中认证 (34)7.1. 身份认证方式 (34)7.1.1. 基于用户名/口令的认证方式 (34)7.1.2. 基于动态口令的认证方式 (35)7.1.3. 基于智能卡的认证方式 (35)7.1.4. 基于生物特征的认证方式 (36)7.1.5. 基于数字证书的认证体系 (37)7.2. 认证方式选择 (37)7.3. 单点登录（Single Sign－On，SSO） (38)7.3.1. 单点登录要求 (39)7.3.2. 单点登录系统模型 (39)7.3.2.1. 以服务器为中心的单点登录模型 (39)7.3.2.2. 以客户端为中心的单点登录模型 (41)7.3.2.3. 客户/服务器模式的单点登录模型 (42)7.3.2.4. 模型选择 (43)7.3.3. 单点登录产品选择 (44)7.3.4. 单点登录适用范围 (45)7.3.5. 单点登录与集中身份认证 (46)7.4. 集中身份认证 (46)8. 集中安全审计 (49)8.1. 4A框架下的集中安全审计 (49)8.2. 基本要求 (50)8.3. 功能要求 (51)8.4. 审计结果的处理方式 (51)8.5. 集中存储策略 (52)9. 中央管理平台 (53)9.1. 目的 (53)9.2. 功能描述 (53)9.3. 功能要求 (54)9.4. 技术要求 (55)10. 实施建议 (56)10.1. 总体原则 (56)10.2. 技术建设建议 (57)10.2.1. 网络设备、主机集中管理 (57)10.2.1.1. 明确网络设备、主机资源及其访问权限 (57)10.2.1.2. 建立用户信息库 (57)10.2.1.3. 账号集中管理 (58)10.2.2. 应用集中管理 (59)10.2.2.1. 确定应用系统中的信息资源及其访问权限 (59)10.2.2.2. 建立用户信息数据库 (59)10.2.2.3. 根据工作岗位和任务职责定义角色 (60)10.2.2.4. 将角色分配给相关的用户 (61)10.2.3. 审计系统 (62)10.2.4. 口令策略管理 (62)10.3. 分步实施建议 (63)10.4. 实施过程中需要注意的问题 (65)10.4.1. 集中度的把握 (65)10.4.3. 紧急情况的处理 (66)10.4.4. 分级管理 (66)10.5. 4A产品选择需要考虑的问题 (67)11. 4A平台技术要求 (69)11.1. 涉密要求 (69)11.2. 可扩展性 (69)11.3. 开放性 (69)11.4. 安全（容灾）性 (69)11.5. 用户的自我管理 (70)11.6. 支持WEB方式 (70)12. 编制历史 (71)附录 (72)1. 中国移动安全目录规范 (73)1.1. 结构规划 (74)1.1.1. 目录内容规划 (74)1.1.2. 目录逻辑结构规划 (75)1.1.3. 目录物理结构规划 (82)1.2. 功能要求 (83)1.3. 编程接口 (85)2. 应用系统实现账号口令集中管理的相关标准 (90)2.1. 原有应用系统纳入4A框架管理的模式 (92)2.1.1.1. 实现方法 (92)2.1.1.2. 实施流程 (96)2.1.1.3. 注意事项 (98)2.1.1.4. 方案优点 (100)2.1.1.5. 方案缺点 (100)2.1.1.6. 4A框架对应用的管理 (100)2.1.2. 模式二：改造应用系统 (101)2.1.2.1. 背景和目的 (101)2.1.2.2. 参考资料 (101)2.1.2.3. 用户管理、认证、授权及审计流程 (102)2.1.2.4. 应用接口(API)－账号管理 (104)2.1.2.5. 应用接口(API)－认证及授权 (106)2.1.2.6. 接口应用 (108)2.2. 新应用系统开发 (111)2.3. 应用系统与企业安全目录 (112)3. 基于短消息的动态口令系统 (113)3.1. 动态口令技术 (113)3.2. 短消息业务概述 (113)3.3. 基于短信业务的主机动态口令登录 (114)3.3.1. 网络结构 (114)3.3.2. 登录口令获得流程 (115)3.3.3. 基于短信的动态口令系统的优点 (115)3.3.4. 基于呼叫中心的动态口令获取 (116)3.3.5. 小结 (116)4. 内部网的远程访问 (117)4.1. 远程拨号访问 (117)4.2. 通过虚拟专网(VPN)方式接入 (118)4.3. 通过专用软件方式接入 (118)前言本规范规定了中国移动通信有限公司各支撑系统内部用户账号（Account）管理、认证（Authentication）管理、授权(Authorization)管理和安全审计(Audit)的统一框架（简称4A框架）的系统结构、关键技术实现方法、实施步骤及注意事项，附录部分阐述了4A框架下各功能模块与企业安全目录及应用系统、网络设备、主机系统的接口方式，以及将应用系统纳入4A框架集中管理的具体方案。

本技术要求可作为选用4A产品、进行产品开发与测试、应用开发与改造的技术依据。

本要求由中国移动通信有限公司网络部提出并归口管理。

本要求起草单位：中国移动通信有限公司网络部、信息化办公室、计费中心本要求主要起草人：周智、刘楠、陈敏时、陈欣、徐海东、魏丽红本要求解释单位：中国移动通信有限公司网络部。

1.目的和适用范围本文在对中国移动各支撑系统的主机、网络设备和应用系统自身的账号管理、认证、授权、审计现状分析的基础上，制定4A框架技术要求，其目的是：1.阐述4A基本技术，规定4A框架下各部分的基本需求，为4A框架下的产品采购提供依据。

2.规定4A框架下各部分的连接界面，为4A框架下的产品开发提供依据。

3.规定将应用系统纳入4A框架的方案，便于在现有基础上实施4A框架。

4.提出4A框架实施的具体建议。

通过实施4A框架，可以达到以下目的：1.实现集中化的账号管理。

管理员在一点上即可对不同系统中的账号进行管理，由系统自动同步不同系统下的账号；账号创建、分配过程均留下电子记录，便于审计。

2.实现集中化的身份认证。

管理员不仅可以根据需要选择不同的身份认证方式，而且在不更改或只对应用进行有限更改的情况下，即可在原来只有弱身份认证手段的应用上，增加强身份认证手段，提高系统安全性。

3.实现集中访问授权。

对企业资产进行有效保护，防止私自授权或权限未及时收回对企业信息资产造成的安全损害；对应用实现基于角色的授权管理，在人员离职、岗位变动时，只需要在一处进行更改，即可在所有纳入4A框架的应用中改变权限；可以为授权增加特定的限制，如只有在规定的时间段、来自特定地域的人员才能访问指定的资源。

4.实现集中安全审计管理。

不仅能够对人员的登录过程、登录后进行的操作进行审计，而且能够将多个主机、设备、应用日志进行对比分析，从中发现问题。

5.实现单点登录，方便管理员和普通用户登录不同的系统。

本要求的适用范围：1.本文档制定的4A框架技术要求，既适用于中国移动某个独立的支撑系统，也适用于中国移动中的多个支撑系统，即可以对多个支撑系统中的主机、网络和应用层面的用户账号进行集中统一管理。

初期实施时可以先针对一个或几个系统，待取得实施经验后再针对更多的系统。

2.4A是一个复杂的过程，涉及众多的系统、产品和技术，本要求规定了一个实施框架，在此框架外，还需要其它辅助系统的支持。

2.引用标准a)GB/T 9387.2-1995 (ISO 7498-2：1989)信息处理系统开放系统互连基本参考模型第2部分：安全体系结构b)ISO 10181-1:1996信息安全框架1 信息技术开放系统互连开放系统安全框架第1部分：概述c)ISO 10181-2:1996信息安全框架2 信息技术开放系统互连开放系统安全框架第2部分：鉴别框架d)ISO 10181-3:1996信息安全框架3 信息技术开放系统互连开放系统安全框架第3部分：访问控制框架e)ISO 10181-4:1997信息安全框架4 信息技术开放系统互连开放系统安全框架第4部分：抗抵赖框架f)ISO 10181-7:1996信息安全框架7 信息技术开放系统互连开放系统安全框架第7部分：安全跟踪和告警框架g)RFC 1825信息安全框架8 Internet协议安全架构h)RFC 2865 Remote Authentication Dial In User Service (RADIUS)，RFC2866 RADIUS Accountingi)RFC 2251 Lightweight Directory Access Protocol (v3)j)ISO/IEC FDIS 9594-8 Information technology -- Open Systems Interconnection -- The Directory: Public-key and attribute certificateframeworksk)RFC 2510 - Internet X.509 Public Key Infrastructure CertificateManagement Protocolsl)RFC 3280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile3.相关术语与缩略语解释4.综述4.1.账号口令管理现状与面临的困难随着中国移动通信有限公司业务系统的迅速发展，各种支撑系统和用户数量的不断增加，网络规模迅速扩大，信息安全问题愈见突出，原有的账号口令管理措施已不能满足中国移动目前及未来业务发展的要求。