一、綜述
目前各個移動公司正在如火如荼的開展著4a專案的安全建設,而參照的依據是移動集團關於4a建設的規範,而規範中很少提出具體的實現方案和相應的裝置。所謂的4a就是集中統一的帳號(account)管理、授權(authorization)管理、認證(authentication)管理和安全審計(audit),缺一不可。因此建設4a要結合本身的網路、系統、應用等情況,充分考慮4a這4個要素的具體實現方法。本人結合具體的實際談談在移動省公司或地級市公司建設4a專案的一些想法,僅供參考。
二、4a之帳號管理
就目前移動的實際情況,很多公司還沒有實現統一的帳號管理及認證,多數還是建立在系統本地管理和認證基礎之上。因此在移動集團的4a規範中提出主帳號和從帳號的概念:
主帳號:自然人使用的帳號,目前主要是網路准入控制系統的帳號。
從帳號:資源裝置自身帳號,主要是指自然人登入裝置或應用系統時使用的帳號。
為此在4a平台中需要建立兩個管理模組:主帳號管理模組、從帳號管理模組。如下圖所示:
(如果客戶的系統中已經實現了乙個自然人只使用同乙個帳號的情況,不存在復用帳號,即乙個自然人在所維護的裝置使用的都是同一帳號。這樣只需維護乙個管理模組即可。)
三、4a之授權管理
在「4a之帳號管理」中我們進行了主帳號管理和從帳號管理。而主帳號和從帳號之間需要通過資源裝置進行關聯。授權的目的就是授權自然人可以登入那些裝置,在相應的裝置上使用那個從帳號。因此形成「主帳號-從帳號-裝置」三位一體的對應關係。但自然人、裝置、系統帳號較多時就形成了乙個比較龐大的網狀的交叉複雜聯絡。如下圖所示:
上圖是目前移動系統中使用最多的帳號情況,主要有兩個含義:
? 自然人(主帳號)可以訪問多個裝置,在每個裝置上可以使用多個從帳號(系統帳號);
? 在多個裝置上可以使用相同名稱的從帳號;
? 多個主帳號在一台裝置上可以使用同乙個從帳號,即復用帳號。
不難看出如上的關係極為複雜,因此提出「以人為本」的關係梳理。如下圖所示
該梳理就是要搞清「誰——能訪問甚麼裝置——使用那個(些)系統帳號」的關係,同時為認證和授權提供相應的關聯列表。
在實際的建設中,這部分梳理工作量非常龐大,需要系統管理員和4a建設者共同努力來完成。可以採用「組」或「group」來進行相應人員、裝置、帳號的集合,同一「組」或「group」可以訪問相同的裝置,使用相同的從帳號。
四、4a之認證管理
前面進行了授權管理,接下來要對於帳號的合法性進行相應的認證。4a的認證合法性應該主要完成以下三項內容:
? 主帳號是否合法?
? 從帳號是否合法?
? 授權是否合法?
見如下認證及授權模組的的框圖:
舉例說明一下整個的認證及授權過程,如下圖所示:
? 在前期的安全建設中,已經在網路中做了安全域劃分及網路安全准入系統的建設。使用者通過網路訪問業務系統時,網路准入系統需對自然人身份的合法性進行認證,此時自然人使用主帳號的網路准入控制裝置進行認證,網路准入控制裝置將使用者的主帳號資訊打包**給4a平台,4a平台對主帳號的合法性進行判斷,合法則讓網路准入控制裝置放開控制策略,失敗將拒絕使用者使用網路。
? 主帳號認證通過後,4a平台記錄自然人、主帳號、終端ip的對應關係,實現網路實名制記錄。
? 使用者使用從帳號登入網路裝置、伺服器、應用系統時,資源裝置將從帳號資訊打包後傳送給4a平台進行認證。
? 4a平台對從帳號和密碼進行認證,不合法這向裝置返回認證失敗資訊。
? 4a平台對從帳號認證合法後,平台根據授權管理的列表對從帳號,主帳號、裝置之間的對應關係進行檢查,如果從帳號在授權列表中,則向被登入的裝置返回認證合法資訊,自然人可以使用該從帳號在該裝置登入,反之則拒絕自然人使用該從帳號在該裝置登入。(這裡已經不需要在進行主帳號認證,第一點中使用者登入網路時使用的就是主帳號登入了。已經確定了自然人的合法性了。)
統一認證平台的建立
不管是主帳號認證還是從帳號認證,都是在4a平台中進行的,統一的認證系統是進行4a平台建設的前提。因此在建設4a系統之前對目前的裝置的認證方式進行一次改進,棄用本地認證的方式,改為第三方認證的模式。就目前移動的實際情況,第三方認證主要包括raduis、ldap、手機簡訊等方式,因此在我們的4a平台中提供了基於認證**的認證模組(認證中轉站)。充分相容目前移動公司採用的第三方認證。如下圖所示:
? 網路准入控制裝置負責向4a平台進行自然人的主帳號認證請求,4a平台接受到認證請求資訊後,通過對應的主帳號管理列表中指定的認證伺服器進行認證**。具體的帳號合法性判斷交給後台認證系統來完成。4a平台記錄相應的使用者資訊,如主帳號、終端ip等。
? 使用者要登入裝置時要輸入系統帳號,即從帳號,從帳號的認證進行第三方來完成。裝置向4a平台進行從帳號認證請求,4a平台根據裝置的ip位址進行第三方認證**。從帳號的合法性判斷交由後台認證系統來完成。4a平台此時記錄自然人終端ip、裝置ip,從帳號等資訊。
? 根據兩次記錄的資訊即可得出「終端ip、主帳號(自然人)、裝置ip、從帳號」的對應關係。再根據這種對應關係去查詢授權列表,如果該對應關係在授權列表中,4a平台則向裝置返回從帳號認證成功資訊,使用者可以登入裝置進行操作,反之,4a平台則向裝置返回認證失敗資訊,裝置拒絕該登入。
五、4a之安全審計
審計事件的採集
安全審計主要是記錄使用者在裝置上所有的操作行為,目前審計資訊**主要分為三類:
? 網路審計裝置:對網路傳輸的資料報進行重組,通過協議解析的方式獲取使用者的操作資訊;
? 堡壘跳轉裝置:在目標裝置前部署堡壘跳轉裝置,使用者要登入目標裝置,必須先登入堡壘跳轉裝置,通過堡壘機再跳轉到目標裝置上進行操作。此時堡壘跳轉裝置在目標裝置和使用者之間構建了一道通訊橋梁。堡壘跳轉裝置則可記錄使用者所有的操作資訊。
? 目標裝置日誌:大多數裝置都支援日誌記錄方式儲存使用者的操作。
我們在建設4a平台時要充分考慮到這三種資訊源,對三種資訊源都要進行採集和分析。如下圖所示:
原始審計資訊統一被4a進行收集後需對主從帳號進行關聯從而關聯到自然人,那麼該如何進行關聯呢?
這個關鍵點就是自然人使用的終端的ip位址簡稱終端ip。
1、 當使用者進行網路安全准入認證(主帳號認證)時,4a平台會記錄「終端ip+主帳號」;
2、 在主帳號管理模組中我們已經手工錄入了「主帳號+自然人」;
3、 通過1和2的關聯即可得出使用者進行網路安全准入時「終端ip+主帳號+自然人」;
4、 審計裝置(天玥ii或天玥iv)能夠提供給4a平台的資料有「終端ip+從帳號+裝置ip+審計內容」;
5、 3和4中都有終端ip這個值。通過相應的關聯分析即可得出「終端ip、主帳號(自然人)、裝置ip、從帳號、審計內容」的關聯資訊。
(4a平台中應該要有乙個主帳號和終端ip進行動態繫結和動態解除的機制。這樣可以徹底解決dhcp分配造成終端ip不固定的問題。)
結合移動集團的4a規範提出「時間、自然人、主帳號、終端ip、目的ip、從帳號、審計事件、審計級別、審計回訪」九大審計要素,如下圖所示
公司新產品之我見(4) 可攜式蔬果檢測儀
農藥 化肥的大量使用,使得蔬菜 水果上附著很多殘留,如果食用後造成極大危害。病從口入 食品安全已成為當下的熱門話題,針對上述問題,提出可攜式蔬果檢測儀的構想。主要功能 1 能快速檢測蔬菜 水果中硝酸鹽及其它鹽類物質含量,還能分辨蔬菜水果本質的新鮮度。硝酸鹽作為農作氮肥進入蔬菜水果,由於缺乏用量規定過...
第4周專案4 建設雙鏈表演算法庫
檔名稱 專案1.cpp 作 者 王婧 完成日期 2016年9月20日 版 本 號 v1.0 問題描述 演算法庫包括兩個檔案 標頭檔案 dlinklist.h,包含定義順序表資料結構的 巨集定義 要實現演算法的函式的宣告 原始檔 dlinklist.cpp,包含實現各種演算法的函式的定義 請採用程式的...
第4周實踐專案2 建設「單鏈表」演算法庫
檔名稱 專案2 建設 單鏈表 演算法庫.cpp 作 者 魏樂天 完成日期 2015年11月2日 版 本 號 v1.0 問題描述 按照 0207將演算法變程式 部分建議的方法,建設自己的專業基礎設施演算法庫。這一周,建的是單鏈表的演算法庫。演算法庫包括兩個檔案 1.標頭檔案 linklist.h,包含...