中国移动网元omc安全接入接口技术规范 v0.9

'QB-╳╳-╳╳╳-╳╳╳╳中国移动通信企业标准QB-╳╳-╳╳╳-╳╳╳╳中国移动集团网元OMC安全接入接口技术规范版本号：1.0╳╳╳╳-╳╳-╳╳实施2011-10-××发布中国移动通信有限公司发布 QB-╳╳-╳╳╳-╳╳╳╳目　录1范围12引用文件13术语、定义和缩略语24总体说明34.1目标34.2原则44.3说明45帐号管理接口55.1整体逻辑说明55.2帐号管理接口功能说明55.3帐号管理接口流程说明65.3.1帐号查询接口处理流程65.3.2帐号添加接口处理流程75.3.3帐号删除接口处理流程75.3.4帐号变更接口处理流程85.3.5角色查询接口处理流程95.4OMC侧帐号目录结构105.5ObjectClass说明115.5.1LDAP接口连接说明115.5.2AccountObjectClass说明115.5.3RoleObjectClass说明115.6口令信息解密方法116单点登录接口126.1单点登录方式126.1.1应用场景与流程说明126.1.2应用资源侧接口定义137审计类接口137.1审计日志内容137.2日志采集接口157.3SYSLOG接口157.3.1应用场景与流程说明157.3.2应用资源侧接口定义157.3.2.1PRI定义157.3.2.2MSG定义178运行性能要求188.1性能说明18I QB-╳╳-╳╳╳-╳╳╳╳前言本标准的目的。本标准主要包括以下几方面内容。本标准的附录为标准性附录，附录为资料性附录。本标准由中移号文件印发。本标准由中国移动通信有限公司提出并归口。本标准由标准归口部门负责解释。本标准起草单位：本标准主要起草人：I QB-╳╳-╳╳╳-╳╳╳╳1范围本标准规定了中国移动集团网络支撑系统中应用资源与安全管控系统集成技术接口实现方式；明确了接口的应用场景与流程，并详细定义了技术接口。供中国移动集团内部与移动集团网管系统承建商实现应用资源与安全管控系统的集成接口建设。2引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。[1]《中国移动帐号口令集中管理系统功能与技术规范》中国移动通信有限公司[2]《中国移动日志集中管理与审计系统功能与技术规范》中国移动通信有限公司[3]《中国移动综合维护接入平台功能与技术规范》中国移动通信有限公司[4]《中国移动支撑系统集中帐号管理、认证、授权与审计（4A）技术要求》中国移动通信有限公司[5]中国移动管理信息系统统一用户目录模式（LDAPSchema）技术规范-1.0.0.中国移动通信有限公司[6]中国移动网络安全管控平台统一用户目录模式（LDAPSchema）技术规范中国移动通信有限公司[7]《中国移动南方基地应用资源与4A系统集成接口技术规范v1.0.0》中国移动通信有限公司[8]RFC4513《LightweightDirectoryAccessProtocol(LDAP):AuthenticationMethodsandSecurityMechanisms》RFC18 QB-╳╳-╳╳╳-╳╳╳╳1术语、定义和缩略语下列术语、定义和缩略语适用于本标准：词语解释4AAccount，Authorization，Authentication，Audit（帐号管理，授权管理，认证管理，审计管理）的缩写。资源自然人要访问的业务系统中的实体，如应用程序、帐号、目录、文件、数据库、数据库中保存的某个表、IP、端口等等；可以根据实际需要，将多个资源看作一个整体；也可以将一个资源进一步细分成多个资源。应用资源业务系统中的一种资源类型，例如网管系统、业务支撑系统等。系统资源业务系统中的一种资源类型，包括主机、网络设备、数据库等。自然人使用资源的物理存在的人。在本规范中自然人和普通用户可以互换。内部用户属于企业内部员工，且可以使用企业应用资源的人。外部用户不属于企业内部员工，但使用企业内应用资源的人，如第三方用户。包括代维人员、能够访问内部系统的操作人员、供应商用户。用户指使用业务系统的自然人，包括使用业务系统所提供功能的普通用户和对业务系统自身进行管理操作的管理员用户。主帐号自然人在4A系统中的唯一身份标识。18 QB-╳╳-╳╳╳-╳╳╳╳从帐号4A系统管理的自然人在被管系统中的帐号。权限对特定资源进行某种操作的能力。实体级授权指对授权管理到决定用户是否被允许访问应用资源或者系统资源，而对用户在应用资源或系统资源内部的操作不做权限管理。普通用户指使用4A系统的用户，即利用4A系统的认证、授权等功能访问被管资源的操作维护人员，其具备访问4A系统普通用户门户等权限。管理员指4A系统的管理员，其具备操作帐号管理、资源管理、授权管理等4A系统功能模块的权限。日志用户对资源操作行为的记录，或反映资源状态的记录。审计对日志进行分析的过程。代理程序为了方便描述OMC自身帐号存储模块与对外提供接口的LDAP之间数据同步的机制采用的一个概念性的词汇，并不规定网元必须采用一个代理程序来处理，只要实现功能即可。管控平台网络安全管控平台的简称1总体说明1.1目标网元设备接入网络安全管控平台的目标：u从帐号管理实现网络安全管控平台对中国移动集团OMC资源的从帐号集中管理；实现网络安全管控平台从各OMC从帐号的自动采集；实现网络安全管控平台18 QB-╳╳-╳╳╳-╳╳╳╳对各应用OMC中的从帐号进行创建、修改、删除、角色分配。u单点登录各个OMC的客户端软件需要支持从管控平台上的单点登录。u审计管理网络安全管控平台系统的审计管理能够实现对OMC侧的日志统一采集，形成统一标准的日志格式；支持快速检索原始日志，支持安全事件事后责任调查。u运行性能在一定配置的服务器上各个OMC的客户端软件需要满足同时启动多个实例的要求，并且要求一个并行运行的最小数量。1.1原则为保证各OMC配合网络安全管控平台系统接入工作顺利落实，应遵循以下原则：l一致性：依据本规范执行网络安全管控平台系统与OMC的集成工作，确保信息关联和功能交互的一致性。l可靠性：接入工作中所采用的技术措施、实施手段要求是成熟稳定的，不会影响应用资源的正常运行。同时，在管控平台无法提供服务情况下能够保障应用系统资源提供正常服务。l安全性：OMC与安全管控系统进行敏感数据传送时应有完善的加密处理，服务调用要求有可靠的安全验证机制。1.2说明OMC与网络安全管控平台系统集成需明确定义各类通讯交互接口，包括通讯内容、协议、格式等。应用资源与网络安全管控平台应同时提供对相关标准协议和自定义接口的支持，以适应之间通讯要求。在接口定义方面应尽量采用通用的协议和技术，以确保其扩展性和兼容性。网络安全管控平台系统为支持与应用系统的集成定义了三类接口：帐号类接口、登录类接口（含认证类接口）、审计类接口。18 QB-╳╳-╳╳╳-╳╳╳╳1帐号管理接口1.1整体逻辑说明网络安全管控平台通过帐号同步管理接口对OMC帐号进行集中统一的管理。为统一网络安全管控平台的接口标准，OMC侧需建立帐号管理虚拟目录，网络安全管控平台对OMC侧的虚拟目录进行操作，OMC系统根据虚拟目录的数据变化进行向OMC帐号库的数据同步。整体流程如下图所示：51帐号同步管理整体逻辑说明网络安全管控平台的帐号同步管理接口管理OMC帐号与认证相关的信息的同步、新增、修改和删除等操作。关于OMC帐号的权限管理部分，网络安全管控平台通过同步接口实现OMC侧帐号角色的查询，并完成帐号与角色的关联关系建立，角色内部包含的权限信息由OMC内部完成。网络安全管控平台采用JNDI方式操作OMC厂商提供的虚拟LDAP。OMC侧应提供给网络安全管控系统具有登录并操作LDAP权限的帐号。OMC接入网络安全管控系统系统后对帐号的创建、删除，修改密码必须在安全管控系统中操作。在网络安全管控系统创建OMC的帐号后即可使用此帐号登录并操作OMC，该帐号如需其他非必选信息则可在OMC侧操作，补全该帐号的所有信息。1.2帐号管理接口功能说明序号接口名称功能说明1帐号查询接口网络安全管控平台初始化时或定期从OMC侧同步帐号使用18 QB-╳╳-╳╳╳-╳╳╳╳2帐号添加接口网络安全管控平台向OMC侧新增帐号3帐号删除接口网络安全管控平台从OMC侧删除帐号4帐号属性修改接口网络安全管控平台修改OMC侧帐号的口令信息、角色及其他属性信息变更5角色查询接口网络安全管控平台从OMC侧同步角色信息使用1.1帐号管理接口流程说明1.1.1帐号查询接口处理流程帐号查询接口为网络安全管控平台提供OMC侧帐号同步功能。代理程序与虚拟目录和OMC帐号库之间的数据处理逻辑由OMC内部处理，不做强制要求。代理程序处理虚拟目录和OMC帐号库存的数据同步时间不应超过5分钟，具体处理流程如下：52帐号查询接口流程说明流程说明：1.OMC通过代理程序实时的监控OMC帐号库的帐号信息；2.代理程序将帐号信息同步至虚拟目录，帐号信息包括帐号ID、帐号关联的角色信息；3.网络安全管控平台的帐号同步接口对虚拟目录中的帐号信息进行读取查询；4.帐号同步管理接口将读取到的帐号信息写入网络安全管控平台的目录中。18 QB-╳╳-╳╳╳-╳╳╳╳1.1.1帐号添加接口处理流程帐号添加接口是管控平台实现帐号集中管理的基础功能实现手段，该接口将帐号信息同步推送至OMC侧，代理程序与虚拟目录和OMC帐号库之间的数据处理逻辑由OMC内部处理，不做强制要求。代理程序处理虚拟目录和OMC帐号库的数据同步时间不应超过5分钟具体处理流程如下：53帐号添加接口流程说明流程说明：1.管控平台同步接口将新增帐号送至虚拟目录；2.代理程序监控虚拟目录的增量变化；3.代理程序根据虚拟目录的变化同步更新OMC设备帐号库中的帐号信息；1.1.2帐号删除接口处理流程帐号删除接口是管控平台实现帐号集中管理的基础功能实现手段，该接口同步删除OMC设备侧的帐号信息，代理程序与虚拟目录和OMC帐号库之间的数据处理逻辑由OMC内部处理，不做强制要求。代理程序处理虚拟目录和OMC帐号库存的数据同步时间不应超过5分钟具体处理流程如下：18 QB-╳╳-╳╳╳-╳╳╳╳54帐号删除接口流程说明流程说明：1.管控平台同步接口删除虚拟目录的相应帐号信息；2.代理程序监控虚拟目录的变化；3.代理程序根据虚拟目录的变化同步更新OMC设备帐号库中的帐号信息；1.1.1帐号属性修改接口处理流程网络安全管控平台通过帐号属性修改接口对OMC侧的帐号帐号属性进行变更，代理程序与虚拟目录和OMC帐号库之间的数据处理逻辑由OMC内部处理，不做强制要求。代理程序处理虚拟目录和OMC帐号库存的数据同步时间不应超过5分钟，具体处理流程如下：18 QB-╳╳-╳╳╳-╳╳╳╳55帐号属性修改接口流程说明流程说明：1.管控平台同步接口更新虚拟目录的相应帐号信息；2.代理程序监控虚拟目录的变化；3.代理程序对虚拟目录中的帐号口令信息进行解密；4.代理程序帐号口令及其他属性变化信息更至新OMC设备帐号库；1.1.1角色查询接口处理流程角色查询接口为网络安全管控平台从OMC侧同步所有角色信息提供功能性的支撑，代理程序与虚拟目录和OMC帐号库之间的数据处理逻辑由OMC内部处理，不做强制要求。代理程序处理虚拟目录和OMC帐号库存的数据同步时间不应超过5分钟，具体处理流程如下：18 QB-╳╳-╳╳╳-╳╳╳╳56角色查询接口流程说明流程说明：1.代理程序实时的监视OMC帐号库的角色信息；2.代理程序将角色信息同步至虚拟目录；3.网络安全管控平台的帐号同步接口对虚拟目录中的角色信息进行读取查询；4.帐号同步管理接口将读取到的角色信息写入网络安全管控平台的目录中。1.1OMC侧帐号目录结构OMC帐号存储在ou=Account节点下,角色信息存储在ou=Role节点下，具体目录信息树如下图所示：57目录信息树示意图18 QB-╳╳-╳╳╳-╳╳╳╳1.1ObjectClass说明1.1.1LDAP接口连接说明OMC提供的虚拟目录应满足LDAPv3协议标准。网络安全管控平台使用OMC侧提供的LDAP登录帐号，通过JNDI连接虚拟目录进行相关操作。具体操作内容参见“5.2帐号管理接口功能说明”。1.1.2AccountObjectClass说明ObjectClassAttributeTopcmcc-AccountuID必填SDirectoryStringOMC帐号IDaccPassword可选SDirectoryStringOMC帐号口令accRole可选MDirectoryStringOMC角色名称accstatus可选SDitrctoryStringOMC帐号状态，0表示正常，1表示异常accReserve1可选SDirectoryString预留单值字段1accReserve2可选SDirectoryString预留单值字段2accReserveList1可选MDirectoryString预留多值字段1accReserveList2可选MDirectoryString预留多值字段2注：为保证从帐号口令的机密性，网络安全管控平台对accPassword字段写入的信息应采用对称加密算法进行存储。1.1.3RoleObjectClass说明ObjectClassAttributeTopcmcc-RoleroleName必填SDirectoryStringOMC角色名称roleDesc可选SDirectoryStringOMC角色描述accReserve1可选SDirectoryString预留单值字段1accReserve2可选SDirectoryString预留单值字段2accReserveList1可选MDirectoryString预留多值字段1accReserveList2可选MDirectoryString预留多值字段21.2口令信息及加解密方法OMC帐号口令长度限制为小于等于16字节。18 QB-╳╳-╳╳╳-╳╳╳╳为保证OMC帐号口令信息的机密性，需对OMC帐号的口令信息进行加密。由于OMC的代理程序在向OMC帐号库中同步账号信息时需要获取帐号口令原文，因此网络安全管控平台采用标准3DES加密算法的ECB模式对其进行加密，填充方式为PKCS5Padding。具体说明如下：l网络安全管控平台采用3DES对OMC帐号的口令信息进行加、解密；lOMC设备采用3DES算法进行口令解密后将帐号及口令信息写入OMC帐号库；lOMC设备的历史帐号在向虚拟LDAP中同步时不需要同步口令信息，虚拟LDAP中的密码为空即可。l在实施OMC接入工作时，网络安全管控平台厂商向OMC厂商提供帐号口令的加密密钥。1单点登录接口1.1单点登录方式OMC的维护客户端程序在启动程序中使用登录参数来实现由管控平台的单点登录。1.1.1应用场景与流程说明用户登录管控平台后，通过单点登录方式访问OMC发布在桌面发布服务器上的维护客户端软件。OMC的维护客户端软件安装在桌面发布服务器上，管控平台通过调用安装在桌面发布服务器上的OMC，同时传递登录OMC必须的参数，以这种方式打开网元维护客户端软件，并实现单点登录。因为OMC维护客户端需要发布在桌面发布服务器上，所以客户端软件必须要支持启动多实例。并且支持安装在现在最高版本的Windows服务器版本操作系统上。18 QB-╳╳-╳╳╳-╳╳╳╳1.1.1应用资源侧接口定义OMC的维护客户端程序的启动参数需要包含以下几个必填项，但不限于以下必填项，可根据实际需要进行扩展，但扩展项不能为必填项：待登录OMC的IP，登录端口，用户名、密码。每个参数之间用一个半角空格隔开。所有项均为明文，不加密。网元客户端启动必选变量定义表顺序变量名称（中文）变量名称(英文，大小写敏感)变量含义与取值示例1.待登录OMC的IP-ip-ip10.12.13.142.代登录OMC端口-port-port233.待登录OMC用户名-u-uzhangsan4.待登录OMC密码-p-pxxxxxx启动参数中必填项的名称、取值格式都应与上表一致，但不要求各参数的前后顺序，OMC客户端程序应支持参数前后顺序变化后正常启动并运行。保留-t做为可选项，留作将来使用票据方式登录的扩展。启动命令示例如下，斜体为可选项：C:ProgramFilesTD-ToolsTDTools.exe–ip10.12.13.14–port23–uzhangsan–p123456–t票据内容18 QB-╳╳-╳╳╳-╳╳╳╳1审计类接口1.1审计日志内容OMC发送到网络安全管控平台的日志内容应包括：自然人登录OMC，对用户的操作，高危及关键操作。本规范将OMC的日志审计内容分为两种类型：1)系统安全审核记录，如帐号登录、帐号管理、密码修改、权限管理等；2)记录用户在OMC上的所有操作行为和操作结果；OMC发送到网络安全管控平台的日志至少需包含但不限于以下内容：日志产生时间，从帐号名称，OMC自身IP，用户端IP，用户操作类型，用户操作内容，操作结果。日志内容的必选变量定义表顺序变量名称（中文）变量名称(英文，大小写敏感)变量含义与取值示例1.日志产生时间LogTime日志产生的具体时间，至少精确到秒，建议精确到毫秒；时间格式：YYYY-MM-DDhh:mm:ss或YYYY-MM-DDhh:mm:ss[.fff]（包含毫秒，以英文句号隔开）；2.从帐号名称SubUser登录OMC所使用的OMC上的帐号名称，即管控平台的从帐号，例如zhangsan；3.OMC自身IPIPOMC自身的IP；4.用户端IPSip建立会话的来源IP地址，即操作用户端的IP地址5.用户操作类型OpType用户访问OMC的操作类型。下列值为必选，其他情况可自定义：“Login”（登录应用资源）“Logout”（登出应用资源）6.操作结果OpResult本条日志所进行操作成功与否；字典项：0失败18 QB-╳╳-╳╳╳-╳╳╳╳1正常2部分成功3其他1.用户操作内容OpText用户对操作行为的详细描述，具体内容由OMC确定；日志内容中必选变量的名称、取值格式都应与上表一致，且变量顺序也依据上表的顺序自上而下。1.1日志采集接口OMC将日志通过SYSLOG协议发送到安全管控系统。在OMC运行正常的情况下，日志应实时发送，最长延迟时间不超过5分钟。1.2SYSLOG接口1.2.1应用场景与流程说明OMC将日志通过SYSLOG协议，将每条日志信息以一个UDP数据包的形式发送至安全管控系统采集服务器的UDP514端口完成采集。SYSLOG的UDP数据包应为采用UTF-8编码的可读的文本内容。接口使用流程如下图所示：1.2.2应用资源侧接口定义SYSLOG消息格式包含PRI、HEADER、MSG三个部分，其中HEADER部分是可选的。本规范中仅要求OMC的日志消息中包含PRI和MSG部分。18 QB-╳╳-╳╳╳-╳╳╳╳1.1.1.1PRI定义üPRI部分由英文尖括号包含的一个数字构成，例如：<30>ü该数字包含了程序模块（Facility）和严重性（Severity）；ü该数字是由Facility乘以8，然后加上Severity得来；对应二进制的话，低位的3个bit表示Severity，剩下的高位的部分右移3位，即是Facility的值。举例：十进制30 =  二进制0001111000011...=Facility:DAEMON-systemdaemons(3).....110=Severity:INFO-informational(6)Facility取值可见下表：表格1Facility取值表数字Facility描述0KERN(kernelmessages)内核消息1USER(user-levelmessages)用户级别的消息2MAIL(mailsystem)邮件3DAEMON(systemdaemons)系统守护进程4AUTH(security/authorizationmessages)认证消息5SYSLOG(messagesgeneratedinternallybysyslogd)Syslog系统自身的消息6LPR(lineprintersubsystem)打印机7NEWS(networknewssubsystem)新闻组8UUCP(UUCPsubsystem)UUCP系统9CRON(clockdaemon)计划任务10AUTHPRIV(security/authorizationmessages(note1))认证消息11FTP(FTPdaemon)FTP12NTP(NTPsubsystem)NTP系统13LOG_AUDIT(logaudit)审计记录14LOG_ALERT(logalert)告警记录18 QB-╳╳-╳╳╳-╳╳╳╳15CLOCK(clockdaemon)计划任务16LOCAL0(localuse0)应用保留，由应用自定义017LOCAL1(localuse1)应用保留，由应用自定义118LOCAL2(localuse2)应用保留，由应用自定义219LOCAL3(localuse3)应用保留，由应用自定义320LOCAL4(localuse4)应用保留，由应用自定义421LOCAL5(localuse5)应用保留，由应用自定义522LOCAL6(localuse6)应用保留，由应用自定义623LOCAL7(localuse7)应用保留，由应用自定义7本规范要求OMC至少能够提供Severity部分的值，取值如下表：表格2Severity取值表数字Severity描述0Emergency紧急状态，系统不可用1Alert必须立刻采取行动2Critical严重情况3Error普通错误4Warning警告5Notice需要注意6Informational信息7Debug调试信息【特殊情况】对于OMC侧不能提供PRI部分，则可将PRI部分取值固定：将所有Facility指定为USER，Severity指定为NOTICE，即：<13>1.1.1.1MSG定义MSG部分以key=“value”的形式顺序包含所有需要记录的变量，每个键值对之间用英文分号隔开，变量取值应以英文双引号（”）隔开。18 QB-╳╳-╳╳╳-╳╳╳╳如有其他可选项则排列在必选项之后，结尾没有分号，以英文“””结尾。如果日志内容超出syslog协议的最大长度可截断，不在下一条重新传输，但结尾仍然必须以英文“””结尾。例如下，斜体部分为可能的非必选项：<13>LogTime=”2011-4-906:13:50.899”;SubUser=”zhangsan”;IP=”10.0.0.123”;Sip=”10.12.34.56”;OpType=”Login”;OpResult=”1”;OpText=”zhangsanlogin”;DataCount=”362”;Duration=”3”1运行性能要求1.1性能说明下表描述的是Citrix发布服务器的配置，对应应用资源可运行的客户端数量最少为12个实例。要支持更多或更少的客户端数，可根据下表的对应关系进行折算。参数名称参数值CPU2*E56204c2.4GHz或以上内存16G（4*4G）18'