云平臺的4A系統(tǒng)實(shí)現(xiàn)方式研究

（中國移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司，北京 100080）

1 云平臺現(xiàn)狀分析

1.1 云平臺現(xiàn)狀

1.1.1 云平臺分類

由于電信運(yùn)營商內(nèi)部IT支撐系統(tǒng)、業(yè)務(wù)平臺在系統(tǒng)定位、維護(hù)單位、對資源的管理、使用、安全、計(jì)費(fèi)等方面的需求與對公眾服務(wù)的差異明顯。按使用人員不同，云平臺分為私有云、公眾服務(wù)云兩大云計(jì)算平臺。

私有云平臺：面向內(nèi)部IT支撐系統(tǒng)和業(yè)務(wù)平臺的資源需求，建設(shè)私有云平臺，為IT支撐系統(tǒng)和業(yè)務(wù)平臺提供基礎(chǔ)設(shè)施；

公眾服務(wù)云平臺：基于IDC數(shù)據(jù)中心，構(gòu)建公眾服務(wù)云平臺，面向公眾客戶提供基于云計(jì)算的IT服務(wù)。

1.1.2 云平臺架構(gòu)

云計(jì)算平臺由云管理平臺和資源池系統(tǒng)組成。其中，云管理平臺負(fù)責(zé)云計(jì)算服務(wù)的運(yùn)營，并對資源池系統(tǒng)以及其中的各類資源進(jìn)行集中管理。資源池系統(tǒng)是由資源池管理平臺、各種資源相關(guān)系統(tǒng)或設(shè)備以及連接上述實(shí)體的網(wǎng)絡(luò)所組成的集群。資源池系統(tǒng)提供云平臺所需的各類的資源，包括計(jì)算資源、存儲(chǔ)資源、網(wǎng)絡(luò)資源等。云管理平臺與資源池系統(tǒng)之間通過資源管理接口連接。

圖1 云平臺架構(gòu)圖

1.2 現(xiàn)狀分析

云平臺包括兩類資源，即系統(tǒng)資源和應(yīng)用資源。兩類資源的具體特點(diǎn)如下。

1.2.1 特點(diǎn)1：對外提供的各類系統(tǒng)資源較多

從云平臺現(xiàn)狀中可看出資源池系統(tǒng)為云平臺提供的各類系統(tǒng)資源的種類及數(shù)量較多。主要包括：

計(jì)算資源包括虛擬機(jī)資源、x86物理機(jī)資源和小型機(jī)資源等，由x86物理機(jī)、小型機(jī)等提供。

網(wǎng)絡(luò)資源包括公網(wǎng)IP資源、帶寬資源、虛擬防火墻資源、負(fù)載均衡資源等，由路由器/交換機(jī)、防火墻、負(fù)載均衡器等設(shè)備提供。

存儲(chǔ)資源主要包括分布式文件存儲(chǔ)、塊存儲(chǔ)、日志詳單類數(shù)據(jù)存儲(chǔ)。其中分布式文件存儲(chǔ)、日志詳單類數(shù)據(jù)存儲(chǔ)系統(tǒng)基于x86物理機(jī)實(shí)現(xiàn)，塊存儲(chǔ)基于磁盤陣列實(shí)現(xiàn)。

本地備份服務(wù)由備份服務(wù)器和分布式文件系統(tǒng)等備份介質(zhì)提供。計(jì)算資源、存儲(chǔ)資源、網(wǎng)絡(luò)資源、本地備份資源之間相互協(xié)作對外提供完整的資源使用環(huán)境。

1.2.2 特點(diǎn)2：云平臺上承載的各種應(yīng)用資源較多

云平臺主要面向客戶提供基礎(chǔ)設(shè)施云服務(wù)，其上承載著三大支撐系統(tǒng)的各類應(yīng)用。如業(yè)務(wù)支撐系統(tǒng)的計(jì)費(fèi)系統(tǒng)、電子渠道系統(tǒng)，網(wǎng)管支撐系統(tǒng)的檢測平臺、業(yè)務(wù)平臺、各專業(yè)網(wǎng)管系統(tǒng)，以及統(tǒng)一門戶、電子郵件等管理信息化系統(tǒng)。

2 云平臺的4A系統(tǒng)建設(shè)方案分析

2.1 4A系統(tǒng)架構(gòu)

4A系統(tǒng)在系統(tǒng)架構(gòu)上劃分為3層：接口層、核心服務(wù)層及展現(xiàn)層。

接口層：主要功能是實(shí)現(xiàn)核心層與外部產(chǎn)品、用戶資源系統(tǒng)之間的數(shù)據(jù)交互，其中資源驅(qū)動(dòng)接口實(shí)現(xiàn)資源從賬號的收集和同步管理，日志采集接口接收外部系統(tǒng)產(chǎn)生的各類日志。

核心服務(wù)層：應(yīng)用處理層由基礎(chǔ)數(shù)據(jù)和大量功能模塊組成，是整個(gè)產(chǎn)品的基礎(chǔ)和核心。其中數(shù)據(jù)組成包括用戶身份數(shù)據(jù)、資源數(shù)據(jù)、授權(quán)策略數(shù)據(jù)和日志數(shù)據(jù)等。系統(tǒng)通過功能框架實(shí)現(xiàn)對這些數(shù)據(jù)的維護(hù)和管理，這些管理功能分為統(tǒng)一身份管理，資源及認(rèn)證管理，賬號授權(quán)管理，訪問控制管理，安全審計(jì)管理，安全合規(guī)管理，安全事件管理。

展現(xiàn)層：系統(tǒng)門戶作為系統(tǒng)的統(tǒng)一入口，為普通人員和管理人員提供了Web方式登錄界面，并根據(jù)登錄人員的身份展現(xiàn)不同的維護(hù)管理界面，提供了不同的管理功能。

2.2 4A系統(tǒng)功能比較

三大支撐系統(tǒng)對4A系統(tǒng)功能要求不盡相同。管理信息化系統(tǒng)4A主要側(cè)重在應(yīng)用的賬號、授權(quán)及認(rèn)證管理，主要包括單點(diǎn)登錄及4A（賬號管理、認(rèn)證管理、授權(quán)管理、審計(jì)管理）等功能。業(yè)務(wù)支撐系統(tǒng)4A除應(yīng)用的賬號、授權(quán)及認(rèn)證管理外還與業(yè)務(wù)支撐系統(tǒng)各應(yīng)用本身密切相關(guān)。主要包括單點(diǎn)登錄、4A、金庫模式、系統(tǒng)防繞行等內(nèi)容。網(wǎng)管支撐系統(tǒng)4A側(cè)重在設(shè)備層面的賬號、授權(quán)、認(rèn)證管理及對設(shè)備層面操作行為的審計(jì)。需采用“堡壘主機(jī)”技術(shù)，避免人員使用不安全終端直接訪問系統(tǒng)，并在堡壘主機(jī)側(cè)通過文本和視頻方式，完整記錄維護(hù)人員和廠家人員的維護(hù)操作。4A除單點(diǎn)登錄及4A功能外，為提高對被管系統(tǒng)的安全保障服務(wù)還包括金庫模式、上報(bào)接口、合規(guī)管理、票據(jù)漫游、程序調(diào)用接口等功能。

各4A系統(tǒng)在管理范圍、使用人員、被管系統(tǒng)改造等方面也各有不同。

（1）管理支撐系統(tǒng)4A管控范圍主要集中在管理信息系統(tǒng)內(nèi)部，側(cè)重在應(yīng)用層面的管理。使用人員主要為公司全體員工，外部供應(yīng)商用戶，人員數(shù)量較多。由于需要實(shí)現(xiàn)使用人員登錄各應(yīng)用系統(tǒng)的單點(diǎn)登錄功能，需要對各應(yīng)用系統(tǒng)進(jìn)行大量的改造工作。實(shí)時(shí)性、穩(wěn)定性、賬號變更頻率要求相對較低。

（2）業(yè)務(wù)支撐系統(tǒng)4A管控范圍主要集中在業(yè)務(wù)支撐系統(tǒng)內(nèi)部，同樣側(cè)重在應(yīng)用層面的管理。使用人員主要為營業(yè)廳、客服、渠道、市場部門的營業(yè)人員、客服人員、業(yè)務(wù)管理人員及集團(tuán)客戶經(jīng)理等。由于與各業(yè)務(wù)系統(tǒng)聯(lián)系緊密，需對應(yīng)用系統(tǒng)進(jìn)行大量的改造工作。營業(yè)廳營業(yè)員、客服坐席均需登錄4A系統(tǒng)，而且有時(shí)還需不間斷登錄，故對4A實(shí)時(shí)性、穩(wěn)定性要求較高，且賬號管理變更頻繁，每天營業(yè)員、集團(tuán)客戶的權(quán)限都有大量的變更需求。

（3）網(wǎng)管支撐系統(tǒng)4A管控范圍除網(wǎng)管系統(tǒng)外，還涉及通信網(wǎng)和業(yè)務(wù)系統(tǒng)，覆蓋范圍較廣。側(cè)重在面向網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫等設(shè)備層面的管理。使用人員主要為公司內(nèi)部及廠家的系統(tǒng)維護(hù)人員?；静恍枰獙?yīng)用系統(tǒng)進(jìn)行改造。實(shí)時(shí)性、穩(wěn)定性、賬號變更頻率要求相對較低。

綜上所述，云平臺上承載的三大支撐系統(tǒng)4A系統(tǒng)的管控范圍和力度并不完全一致。管理信息系統(tǒng)部側(cè)重全網(wǎng)的統(tǒng)一認(rèn)證和統(tǒng)一的身份管理。項(xiàng)目實(shí)施的重點(diǎn)在于各管理信息系統(tǒng)對統(tǒng)一身份管理的支持。業(yè)務(wù)支撐系統(tǒng)部側(cè)重對計(jì)費(fèi)、經(jīng)分等應(yīng)用系統(tǒng)賬號口令集中管理和應(yīng)用日志的審計(jì)，項(xiàng)目實(shí)施重點(diǎn)在于對應(yīng)用系統(tǒng)的改造。網(wǎng)管支撐系統(tǒng)側(cè)重對維護(hù)人員接入業(yè)務(wù)系統(tǒng)的集中控制和設(shè)備層、操作系統(tǒng)層賬號口令的集中管理。

2.3 云平臺4A系統(tǒng)實(shí)現(xiàn)方式

云平臺4A系統(tǒng)的建設(shè)模式有集中建設(shè)、獨(dú)立建設(shè)兩種方式。

2.3.1 方案1：集中建設(shè)

云平臺集中建設(shè)4A系統(tǒng)，為云平臺所有資源（包括系統(tǒng)資源和應(yīng)用資源）統(tǒng)一提供4A服務(wù)，即功能統(tǒng)一、硬件統(tǒng)一、業(yè)務(wù)統(tǒng)一，如圖2所示。

2.3.2 方案2：系統(tǒng)資源集中，應(yīng)用獨(dú)立建設(shè)

由云平臺4A系統(tǒng)統(tǒng)一管理系統(tǒng)資源，建設(shè)統(tǒng)一登陸認(rèn)證平臺，為各支撐系統(tǒng)集中進(jìn)行用戶管理、認(rèn)證管理。而應(yīng)用資源由各支撐系統(tǒng)根據(jù)自身的功能需求為各自管控范圍內(nèi)的應(yīng)用資源提供4A服務(wù)，如圖3所示。

2.4 方案比較

方案1結(jié)構(gòu)清晰，軟硬件均集中部署，便于統(tǒng)一維護(hù)擴(kuò)容，并且各支撐系統(tǒng)可統(tǒng)一開發(fā)功能需求。本方案無法實(shí)現(xiàn)各支撐系統(tǒng)的個(gè)性化功能需求，各業(yè)務(wù)系統(tǒng)的業(yè)務(wù)流程需要逐一進(jìn)行調(diào)研，并將被管資源接入4A系統(tǒng)。方案2結(jié)構(gòu)較為清晰，實(shí)現(xiàn)了用戶統(tǒng)一登錄門戶，簡化了認(rèn)證過程。但整合深度不夠，軟件功能分三大支撐系統(tǒng)分別開發(fā)，無法實(shí)現(xiàn)集中維護(hù)擴(kuò)容。

圖2 集中建設(shè)方式功能架構(gòu)圖

圖3 獨(dú)立建設(shè)方式功能架構(gòu)圖

綜上所述，云平臺硬件設(shè)備較多，其上承載的業(yè)務(wù)系統(tǒng)也比較繁雜，對安全性要求較高。考慮到方案1集中建設(shè)雖然便于集中管理和維護(hù)，但存在較高安全風(fēng)險(xiǎn)，且工程實(shí)施困難較大，投資較高，且無法全部實(shí)現(xiàn)各個(gè)支撐系統(tǒng)對4A的功能需求，推薦采用方案2系統(tǒng)資源集中進(jìn)行管控，統(tǒng)一進(jìn)行用戶、認(rèn)證管理，而應(yīng)用資源各自獨(dú)立實(shí)現(xiàn)4A功能，即各支撐系統(tǒng)的應(yīng)用可直接納入到本線條的4A系統(tǒng)進(jìn)行管理。

表1 方案對比表

2.5 授權(quán)方式分析

由于系統(tǒng)資源難以對其進(jìn)行改造，所以本文不對系統(tǒng)資源的實(shí)體內(nèi)授權(quán)進(jìn)行討論。從4A實(shí)現(xiàn)對應(yīng)用資源的授權(quán)粒度角度看，有以下兩個(gè)建設(shè)方案。

2.5.1 方案1：實(shí)現(xiàn)實(shí)體級集中授權(quán)

授權(quán)粒度只精確到應(yīng)用、設(shè)備、主機(jī)，通俗說就是用戶是否有權(quán)連接某個(gè)IP地址＋端口。實(shí)體內(nèi)部資源的訪問權(quán)限還需要在實(shí)體內(nèi)部進(jìn)行分配和管理。針對各應(yīng)用來說，在認(rèn)證及登陸完成后，需由各應(yīng)用系統(tǒng)自身的權(quán)限控制模塊進(jìn)行用戶行為的進(jìn)一步控制。

2.5.2 方案2：實(shí)體內(nèi)部資源級授權(quán)（簡稱實(shí)體內(nèi)授權(quán)）

授權(quán)粒度精確到應(yīng)用、設(shè)備、主機(jī)內(nèi)的資源。資源包括應(yīng)用的功能模塊、HTML頁面、數(shù)據(jù)庫表或字段、主機(jī)內(nèi)的文件或目錄等。由4A實(shí)現(xiàn)實(shí)體內(nèi)部資源級授權(quán)后，實(shí)體內(nèi)部資源的訪問權(quán)限不需要在實(shí)體內(nèi)部進(jìn)行分配和管理，或?qū)嶓w內(nèi)部資源的訪問權(quán)限可在實(shí)體內(nèi)部進(jìn)行保存，但需與4A平臺保持一致。針對各應(yīng)用來說，在認(rèn)證及登陸完成后，可由各應(yīng)用系統(tǒng)自身的權(quán)限控制模塊進(jìn)行用戶行為的進(jìn)一步控制，或由4A平臺進(jìn)行用戶行為的進(jìn)一步控制。

表2 不同授權(quán)粒度方案對比表

綜上，由于實(shí)現(xiàn)實(shí)體內(nèi)資源級集中授權(quán)需要比實(shí)現(xiàn)實(shí)體級集中授權(quán)對應(yīng)用系統(tǒng)改造量較大，對集成商要求較高，需與各應(yīng)用廠商配合，且花費(fèi)更大的代價(jià)，因此本位建議暫只實(shí)現(xiàn)實(shí)體級授權(quán)，今后隨著4A技術(shù)的進(jìn)一步發(fā)展，集成商實(shí)施經(jīng)驗(yàn)的積累，可擴(kuò)展到實(shí)體內(nèi)資源級的授權(quán)。

3 結(jié)束語

云平臺目前已是各大運(yùn)營商的建設(shè)重點(diǎn)，實(shí)現(xiàn)對內(nèi)部人員和廠家人員訪問云平臺各系統(tǒng)資源、應(yīng)用資源的全程集中管控已是迫在眉睫。4A系統(tǒng)的建設(shè)能夠提升運(yùn)營商在用戶密碼、認(rèn)證方面的管理力度，更好地滿足審計(jì)的要求。能夠提高整體信息系統(tǒng)的安全性，提升應(yīng)對各種攻擊、威脅和風(fēng)險(xiǎn)的能力，提高運(yùn)營商整體管控力度。

[1] 中國移動(dòng)通信企業(yè)標(biāo)準(zhǔn)，QB-Y-065-2010，中國移動(dòng)業(yè)務(wù)支撐網(wǎng)4A安全技術(shù)規(guī)范v2.0.0[S].

[2] 中國移動(dòng)通信企業(yè)標(biāo)準(zhǔn)，中國移動(dòng)賬號口令集中管理系統(tǒng)功能及技術(shù)規(guī)范[S].