附件二：一、概述1、項(xiàng)目名稱、起止時(shí)間、主要功能、投資情況、當(dāng)前運(yùn)行情況項(xiàng)目名稱：基于動(dòng)態(tài)密碼的云身份管理系統(tǒng)及其在XXXX集團(tuán)AAA系統(tǒng)動(dòng)態(tài)認(rèn)證改造中的應(yīng)用。起止時(shí)間：主要功能:統(tǒng)一帳號管理:是建立在虛擬化的資源池上的應(yīng)用接口層，為云用戶提供了一個(gè)統(tǒng)一的帳號和單點(diǎn)登錄窗口，避免了在訪問資源過程中頻繁的帳號切換。統(tǒng)一認(rèn)證管理:解決身份憑證管理、強(qiáng)認(rèn)證（通常為多因素身份認(rèn)證）、委派身份認(rèn)證、及跨越所有云服務(wù)類型的信任管理。由于云計(jì)算環(huán)境下，資源分布具有很大的動(dòng)態(tài)變化特性，靜態(tài)密碼的安全性已經(jīng)很難滿足要求，動(dòng)態(tài)密碼以其特有的隨機(jī)性一次性而更加適合云計(jì)算環(huán)境。統(tǒng)一授權(quán)管理:根據(jù)各種資源對賬號、角色、權(quán)限及各類關(guān)系的不同定義，抽象成統(tǒng)一的數(shù)據(jù)定義，采用關(guān)系型數(shù)據(jù)庫存儲(chǔ)方式,對賬號/密碼信息、系統(tǒng)及應(yīng)用資源信息、角色及策略管理信息以及各信息之間的關(guān)聯(lián)關(guān)系信息進(jìn)行加密存放。并基于用戶、主機(jī)、網(wǎng)段等參數(shù)添加訪問控制策略，完全模擬主機(jī)與用戶發(fā)起方，發(fā)送拆連請求，達(dá)到網(wǎng)絡(luò)訪問的控制。統(tǒng)一審計(jì)管理：當(dāng)用戶根據(jù)授權(quán)訪問資源時(shí)，系統(tǒng)用戶業(yè)務(wù)行為進(jìn)行實(shí)時(shí)解析,建立日志,事后處理歸并，并為安全審計(jì)人員提供了視頻、圖標(biāo)等以多種查詢方式。，并且我司能夠?yàn)橛脩籼峁┵Y深的審計(jì)專家真實(shí)分析、展現(xiàn)審計(jì)結(jié)果。投資情況：XX公司在云身份管理系統(tǒng)研發(fā)的投入累計(jì)已經(jīng)超過200萬，為XXXX集團(tuán)實(shí)施改造而投入的研發(fā)、測試成本超過20萬。?XXXX集團(tuán)AAA系統(tǒng)動(dòng)態(tài)認(rèn)證改造投入總計(jì)：2000萬元.當(dāng)前運(yùn)行狀況：2、簡述項(xiàng)目相關(guān)領(lǐng)域的現(xiàn)狀、研究目的、意義及國內(nèi)外技術(shù)概況項(xiàng)目相關(guān)領(lǐng)域的現(xiàn)狀2010年6月,胡錦濤總書記在兩院院士大會(huì)上就指出,“互聯(lián)網(wǎng)、云計(jì)算、物聯(lián)網(wǎng)、知識服務(wù)、智能服務(wù)的快速發(fā)展為個(gè)性化制造和服務(wù)創(chuàng)新提供了有力工具和環(huán)境"，將云計(jì)算應(yīng)用提上了創(chuàng)新生產(chǎn)方式的高度。10月，國家發(fā)展和改革委員會(huì)、工業(yè)和信息化部聯(lián)合發(fā)布《關(guān)于做好云計(jì)算服務(wù)創(chuàng)新發(fā)展試點(diǎn)示范工作的通知》,確定在北京、上海、深圳、杭州、無錫五個(gè)城市先行開展云計(jì)算服務(wù)創(chuàng)新發(fā)展試點(diǎn)示范工作，進(jìn)一步明確了國家發(fā)展云計(jì)算的總體思路和戰(zhàn)略布局.身份管理是實(shí)現(xiàn)云環(huán)境下按需計(jì)算服務(wù)戰(zhàn)略的先導(dǎo),也是云計(jì)算安全的基礎(chǔ).身份管理的研究工作在國外開展的較早，最初是一些行業(yè)組織與企業(yè)開展的商業(yè)部署方案。微軟在20世紀(jì)末推廣的“Passport”項(xiàng)目，就是互聯(lián)網(wǎng)業(yè)務(wù)單點(diǎn)登錄的早期應(yīng)用.然而，由于大家擔(dān)心微軟會(huì)收集大量的用戶個(gè)人信息，因此該項(xiàng)目并沒有得到業(yè)內(nèi)的廣泛支持，最終以失敗告終。后來微軟公司又啟動(dòng)了WindowsCardspace研究項(xiàng)目，致力于身份元系統(tǒng)的研究，即為不同的數(shù)字身份系統(tǒng)提供一個(gè)統(tǒng)一的抽象表示層，而這個(gè)系統(tǒng)可以取代傳統(tǒng)的用戶名和密碼認(rèn)證方式，可以提供更好的反釣魚功能，防止其它網(wǎng)絡(luò)犯罪等。2001年，為了抗衡微軟的Passport,由SUN牽頭成立了自由聯(lián)盟(LibertyAlliance)，致力于研究開放的、具有引導(dǎo)與實(shí)踐性的聯(lián)邦身份管理機(jī)制。自由聯(lián)盟重點(diǎn)解決企業(yè)之間身份系統(tǒng)的可互操作性問題，定義一些在企業(yè)內(nèi)部和企業(yè)之間使用的統(tǒng)一身份技術(shù)和流程的公共規(guī)范。近幾年，Web2。0應(yīng)用的蓬勃發(fā)展，個(gè)人參與互聯(lián)網(wǎng)應(yīng)用的創(chuàng)造與使用愈發(fā)廣泛，一個(gè)用戶可能有十幾乃至上百個(gè)個(gè)人ID，極大地影響到了用戶的多業(yè)務(wù)體驗(yàn)，OPenID就是解決跨業(yè)務(wù)域的單點(diǎn)認(rèn)證問題，為用戶提供一個(gè)全球惟一標(biāo)識，進(jìn)行一次認(rèn)證，即可實(shí)現(xiàn)多業(yè)務(wù)的使用與體驗(yàn)。隨著各種網(wǎng)絡(luò)、服務(wù)與業(yè)務(wù)系統(tǒng)逐漸向云上遷移，目前彼此獨(dú)立設(shè)置、缺乏可互操作性的身份管理系統(tǒng)也需要遷移?為了實(shí)現(xiàn)全球一體的通用身份管理架構(gòu)目標(biāo),ITU—T在2006年啟動(dòng)了身份管理標(biāo)準(zhǔn)化研究工作，鼓勵(lì)全球所有的ICT領(lǐng)域的專家共同參與、推動(dòng)通用身份管理架構(gòu)的研究工作。在ITU—T的研究活動(dòng)中，美國是研究工作的主導(dǎo)力量，目前已經(jīng)批準(zhǔn)發(fā)布了X。1250《全球可互操作的身份管理需求》其它的配套標(biāo)準(zhǔn)也在加緊完善過程中。在Xo1250的發(fā)布過程中，以德國為首的歐洲國家與美國展開了激烈且微妙的博弈。大家關(guān)注的焦點(diǎn)是身份管理的對象是否會(huì)涉及到自然人,身份提供商是否是一個(gè)集中設(shè)置的機(jī)構(gòu),它是否需要由國家來進(jìn)行授權(quán)與管理等方面，因?yàn)檫@些問題會(huì)涉及到不同國家的組織架構(gòu)設(shè)置，對不同國家的法律法規(guī)遵從和國家利益、國家安全密切相關(guān)的問題。國內(nèi)對網(wǎng)絡(luò)身份管理的研究起步較晚，隨著政府對網(wǎng)絡(luò)監(jiān)管力度的加強(qiáng)，網(wǎng)絡(luò)實(shí)名制成為我國身份管理發(fā)展的重要里程碑。研究目的和意義：身份及身份管理貫穿于日常生活的方方面面，諸如普通公民的戶籍、護(hù)照或者社會(huì)安全號碼(SIN)等都是國籍身份的一部分,與之相對應(yīng)的國家機(jī)構(gòu)形成對它們的頒發(fā)、監(jiān)控、撤銷和恢復(fù)等管理機(jī)制就構(gòu)成對應(yīng)的身份管理.公民利用這些身份可以享受相關(guān)的服務(wù)，例如國家基本醫(yī)療、報(bào)稅等服務(wù)。與上述廣義身份和身份管理相對應(yīng)，在信息領(lǐng)域中涉及到用戶證書以及通過身份認(rèn)證和授權(quán)登陸在線系統(tǒng)的整個(gè)流程構(gòu)成信息系統(tǒng)的身份和身份管理，例如ITU—T定義的目錄服務(wù)系統(tǒng)X.500,X.509和PKI等。在我國現(xiàn)階段ICT環(huán)境中，由于網(wǎng)絡(luò)和業(yè)務(wù)區(qū)隔不明確，因此無論是XX運(yùn)營商還是互聯(lián)網(wǎng)服務(wù)提供商都承擔(dān)若干角色,而且通常意義上講,用戶身份及身份管理與業(yè)務(wù)或者應(yīng)用緊耦合,這樣就造成同一用戶在不同應(yīng)用環(huán)境中使用不同身份、不同身份認(rèn)證機(jī)制以及帶來的潛在的用戶安全隱患;這種情況下，用戶身份和身份管理實(shí)際上被網(wǎng)絡(luò)或者業(yè)務(wù)應(yīng)用實(shí)體身份所代替，不能提供針對用戶身份的特定服務(wù)，例如為用戶提供個(gè)性化的3P服務(wù)(Presence,Preference，Profile)等；跨域場景中，例如跨不同運(yùn)營商網(wǎng)絡(luò)不能為用戶提供一致的用戶身份及身份管理。網(wǎng)絡(luò)和業(yè)務(wù)融合的飛速發(fā)展正在形成對于“獨(dú)立的第三方身份管理"的需求，形成用戶、業(yè)務(wù)服務(wù)提供商和身份服務(wù)提供商三方互動(dòng),有效協(xié)同以網(wǎng)絡(luò)為中心、業(yè)務(wù)為中心的身份管理機(jī)制。這樣一個(gè)可信任、可共享的第三方數(shù)據(jù)信息，可以提供跨業(yè)務(wù)領(lǐng)域、跨國家行政部門公共身份數(shù)據(jù)信息，增強(qiáng)用戶體驗(yàn)，諸如單點(diǎn)登錄認(rèn)證、統(tǒng)一賬單服務(wù)等，既可有效保障用戶隱私，又能提高多業(yè)務(wù)環(huán)境中監(jiān)管的有效性.3、承擔(dān)單位與聯(lián)合單位概況以及任務(wù)分工XXXX集團(tuán)AAA系統(tǒng)動(dòng)態(tài)認(rèn)證改造項(xiàng)目中，XX網(wǎng)絡(luò)安全技術(shù)有限公司是技術(shù)提供方和集成實(shí)施方。XX網(wǎng)絡(luò)安全技術(shù)有限公司的云身份管理系統(tǒng)擁有完整的自主知識產(chǎn)權(quán),包括雙因素動(dòng)態(tài)認(rèn)證系統(tǒng)等在內(nèi)的12項(xiàng)專利?？刹渴鹪诼?lián)想服務(wù)器和國產(chǎn)linux操作系統(tǒng)之上。目前，XX網(wǎng)絡(luò)安全技術(shù)有限公司正在持續(xù)改進(jìn)和完善云身份管理系統(tǒng)以便滿足未來擴(kuò)容和推廣的要求。以實(shí)現(xiàn)統(tǒng)一管理、身份認(rèn)證，從而統(tǒng)一系統(tǒng)管理員、開發(fā)廠商對后臺(tái)業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)的動(dòng)態(tài)密碼認(rèn)證接口,控制其訪問權(quán)限并進(jìn)行對應(yīng)的審計(jì)工作。實(shí)現(xiàn)以下安全目標(biāo):1、 搭建起統(tǒng)一的安全管理技術(shù)和平臺(tái)根據(jù)網(wǎng)絡(luò)現(xiàn)狀的分析,研究集中統(tǒng)一的安全管理技術(shù)和平臺(tái)，使得系統(tǒng)和安全管理人員可以對業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)的用戶和各種資源進(jìn)行集中權(quán)限分配、集中認(rèn)證，從技術(shù)層面上保證業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)安全策略的實(shí)施。2、 搭建起全網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng)的框架通過實(shí)現(xiàn)分布式管理模式部署全網(wǎng)的框架滿足以下要求：對所有用戶身份認(rèn)證都必須進(jìn)行統(tǒng)一身份認(rèn)證基于動(dòng)態(tài)密碼、硬件令牌和用戶名密碼，同時(shí)硬件令牌結(jié)合保護(hù)密碼；當(dāng)合法用戶訪問被保護(hù)的應(yīng)用系統(tǒng)之前，必須通過一個(gè)統(tǒng)一的客戶端軟件或WEB頁面進(jìn)行注冊；用戶身份的產(chǎn)生、發(fā)放、生效以及暫停、中止都簡單可行;傳輸合法用戶身份的過程必須采用加密技術(shù),以保證認(rèn)證過程不被惡意窺視。3、 制止內(nèi)部合法用戶的違法操作原先可能出現(xiàn)的情況,即系統(tǒng)維護(hù)員、操作員、廠商開發(fā)人員等這些具有系統(tǒng)較高權(quán)限的人員，在其權(quán)限范圍內(nèi)或越權(quán)可能進(jìn)行一些非法操作，比如修改數(shù)據(jù)庫數(shù)據(jù)、更改網(wǎng)絡(luò)配置、獲取公司機(jī)密信息等行為，今后將得到有效地控制.現(xiàn)在，所有針對被保護(hù)應(yīng)用系統(tǒng)的訪問和操作，都將與用戶身份緊緊結(jié)合，非法的訪問將被立刻發(fā)現(xiàn)并記錄，責(zé)任人也會(huì)被迅速落實(shí)，這種系統(tǒng)的威懾力將大大減少內(nèi)部違規(guī)操作的可能。4、 實(shí)現(xiàn)對登錄應(yīng)用系統(tǒng)的過程進(jìn)行審計(jì)的要求由于網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫等的訪問方式多種多樣，有些服務(wù)器提供了部分審計(jì)功能，但有些敏感的、核心的維護(hù)操作卻無法審計(jì)下來（比如：telnet、FTP、數(shù)據(jù)庫的訪問等），或者說從系統(tǒng)本身的海量審計(jì)數(shù)據(jù)中，很難查找到相關(guān)的信息,這對事后的取證分析和責(zé)任界定都帶來了很大困難。新的安全系統(tǒng)將很好的提供這項(xiàng)功能。5、 及時(shí)響應(yīng)非法操作原先對于重要服務(wù)器的非法訪問，服務(wù)器并不能做出判斷,也許要等到事后很長時(shí)間后才會(huì)暴露，或許永遠(yuǎn)也不會(huì)有人知道，即使查出了非法訪問,但后果已經(jīng)形成，無法彌補(bǔ),新系統(tǒng)將可以在非法訪問的同時(shí)做出響應(yīng)。

二、項(xiàng)目關(guān)鍵技術(shù)1、項(xiàng)目主要研發(fā)內(nèi)容及達(dá)到的技術(shù)和性能指標(biāo)XXXX集團(tuán)AAA系統(tǒng)動(dòng)態(tài)認(rèn)證改造是針對集中管理的數(shù)百臺(tái)網(wǎng)絡(luò)設(shè)備的應(yīng)用項(xiàng)目，目前集團(tuán)管理人員和各個(gè)集成商/廠商等多個(gè)機(jī)構(gòu)的不同人員同時(shí)使用這個(gè)系統(tǒng)，對網(wǎng)絡(luò)進(jìn)行日常運(yùn)行維護(hù)。隨著XX業(yè)務(wù)支撐系統(tǒng)的迅速發(fā)展，各種支撐應(yīng)用和用戶數(shù)量的不斷增加,網(wǎng)絡(luò)規(guī)模迅速擴(kuò)大，信息安全問題愈見突出，對系統(tǒng)之間的整合提出了更高的要求。系統(tǒng)整合的一個(gè)重要基礎(chǔ)是賬號數(shù)據(jù)的統(tǒng)一、授權(quán)的集中、單點(diǎn)登錄認(rèn)證、安全審計(jì)。原有的賬號、權(quán)限、認(rèn)證、審計(jì)方面的安全措施已不能滿足XX目前及未來業(yè)務(wù)系統(tǒng)發(fā)展的要求.主要問題表現(xiàn)在以下1、1、2345、分散的權(quán)限管理。自然人身份和業(yè)務(wù)系統(tǒng)賬號重疊。靜態(tài)密碼安全性低。獨(dú)立的審計(jì)，缺乏關(guān)聯(lián)分析.XX網(wǎng)絡(luò)安全技術(shù)有限公司提供的技術(shù)，使XXXX能夠在現(xiàn)有基礎(chǔ)上平穩(wěn)地整合運(yùn)維網(wǎng)絡(luò)資源，建立一個(gè)統(tǒng)一的基礎(chǔ)安全服務(wù)系統(tǒng)，為各應(yīng)用資源提供準(zhǔn)確組織人員數(shù)據(jù)，并可以高效、方便的進(jìn)行數(shù)據(jù)安全管理。動(dòng)態(tài)密碼的應(yīng)用既有效地保障和方便了合法用戶的訪問及操作，又能有效地保障業(yè)務(wù)支撐系統(tǒng)安全可靠地運(yùn)行。XX網(wǎng)絡(luò)安全技術(shù)有限公司的云身份管理系統(tǒng)的主要功能包括：統(tǒng)一帳號管理:是建立在虛擬化的資源池上的應(yīng)用接口層，為云用戶提供了一個(gè)統(tǒng)一的帳號和單點(diǎn)登錄窗口，避免了在訪問資源過程中頻繁的帳號切換。統(tǒng)一認(rèn)證管理:解決身份憑證管理、強(qiáng)認(rèn)證（通常為多因素身份認(rèn)證）、委派身份認(rèn)證、及跨越所有云服務(wù)類型的信任管理.由于云計(jì)算環(huán)境下，資源分布具有很大的動(dòng)態(tài)變化特性，靜態(tài)密碼的安全性已經(jīng)很難滿足要求，動(dòng)態(tài)密碼以其特有的隨機(jī)性、一次性而更加適合云計(jì)算環(huán)境。統(tǒng)一授權(quán)管理：根據(jù)各種資源對賬號、角色、權(quán)限及各類關(guān)系的不同定義，抽象成統(tǒng)一的數(shù)據(jù)定義,采用關(guān)系型數(shù)據(jù)庫存儲(chǔ)方式，對賬號/密碼信息、系統(tǒng)及應(yīng)用資源信息、角

色及策略管理信息以及各信息之間的關(guān)聯(lián)關(guān)系信息進(jìn)行加密存放。并基于用戶、主機(jī)、網(wǎng)段等參數(shù)添加訪問控制策略，完全模擬主機(jī)與用戶發(fā)起方，發(fā)送拆連請求，達(dá)到網(wǎng)絡(luò)訪問的控制.統(tǒng)一審計(jì)管理：當(dāng)用戶根據(jù)授權(quán)訪問資源時(shí)，系統(tǒng)用戶業(yè)務(wù)行為進(jìn)行實(shí)時(shí)解析，建立日志,事后處理歸并，并為安全審計(jì)人員提供了視頻、圖標(biāo)等以多種查詢方式。，并且我司能夠?yàn)橛脩籼峁┵Y深的審計(jì)專家真實(shí)分析、展現(xiàn)審計(jì)結(jié)果。XX網(wǎng)絡(luò)安全技術(shù)有限公司的云身份管理系統(tǒng)認(rèn)證服務(wù)器性能參數(shù)認(rèn)證系統(tǒng)技術(shù)參數(shù)可容納用戶數(shù)1千萬單認(rèn)證服務(wù)器處理能力短連接4000次/秒(測試認(rèn)證服務(wù)器：dell6850；CPU：4核Intel(R)Xeon(TM)CPU3.00GHz大4個(gè)；內(nèi)存：8GB)認(rèn)證響應(yīng)時(shí)間〈100毫秒認(rèn)證帶寬占用<100M認(rèn)證數(shù)據(jù)冗災(zāi)集群式備份帶外認(rèn)證支持帶外認(rèn)證支持協(xié)議Radius等標(biāo)準(zhǔn)協(xié)議、iKEY認(rèn)證協(xié)議(支持TCP、SOAP承載方式)和定制客戶接口協(xié)議認(rèn)證穩(wěn)定性最高連續(xù)滿功率運(yùn)行認(rèn)證次數(shù)1,000,000,000次認(rèn)證正確性連續(xù)滿功率運(yùn)行時(shí)正確率大于99。9999999%支持操作系統(tǒng)Windows、Linux、Unix支持?jǐn)?shù)據(jù)庫Oracle、Db2、MySQL、MSSQLServer支持動(dòng)態(tài)密碼長度6—8位PIN碼功能支持密鑰自助寫入支持XX網(wǎng)絡(luò)安全技術(shù)有限公司的云身份管理系統(tǒng)令牌硬件參數(shù)項(xiàng)目指標(biāo)描述算法支持國家密碼局授權(quán)安全算法、OATH組織國際TOTP標(biāo)準(zhǔn)算法工作溫度、濕度-10°C?+50°C,10%RH~90%RH防干擾符合GB4343.1-2003

防塵、防水達(dá)IP67等級抗震可承受震動(dòng)頻率上限300HZ,振幅上限3mm，水平振動(dòng)及垂直震動(dòng)1小時(shí)抗擠壓可承受上限液壓1000N或氣壓1000N擠壓1小時(shí)抗跌落可承受高1m,混凝土地表，自由跌落，產(chǎn)品各面各為底面跌落1次.抗電磁干擾可抗工頻50Hz,1安/米（A/m）連續(xù)磁場的干擾抗靜電可抗空隙式放電8kV,接觸式放電4kV外殼有害材質(zhì)符合ROHS標(biāo)準(zhǔn)對6種有害物質(zhì)規(guī)定晶振頻率晶振頻率在32768HZ偏差W20ppm電池年限23年防拆令牌內(nèi)部全部用膠料填充，無法拆解得到內(nèi)部電路注膠低壓注塑XX網(wǎng)絡(luò)安全技術(shù)有限公司的云身份管理系統(tǒng)授權(quán)控制系統(tǒng)技術(shù)指標(biāo)：授權(quán)控制系統(tǒng)技術(shù)參數(shù)最大同時(shí)在線管理員賬號20（同時(shí)在線管理應(yīng)用系統(tǒng)數(shù)）最大支持用戶數(shù)10000最大網(wǎng)絡(luò)會(huì)話數(shù)15000最大網(wǎng)絡(luò)流量1000Mbps最大審計(jì)策略數(shù)30000最大事務(wù)處理能力5000eps最大日志規(guī)則數(shù)1000最低查詢響應(yīng)速度5秒最大存儲(chǔ)速度8000條/秒平均無故障時(shí)間10000小時(shí)平均故障修復(fù)時(shí)間4小時(shí)XX網(wǎng)絡(luò)安全技術(shù)有限公司的云身份管理系統(tǒng)審計(jì)系統(tǒng)技術(shù)指標(biāo)網(wǎng)絡(luò)審計(jì)系統(tǒng)技術(shù)參數(shù)最大網(wǎng)絡(luò)會(huì)話數(shù)15000最大網(wǎng)絡(luò)流量1000Mbps最大審計(jì)策略數(shù)30000最低查詢響應(yīng)時(shí)間5秒最大存儲(chǔ)速度8000條/秒平均無故障時(shí)間10000小時(shí)平均故障修復(fù)時(shí)間4小時(shí)2、項(xiàng)目涉及的關(guān)鍵技術(shù)分析（例如laaS、DaaS、PaaS、SaaS等虛擬化、分布式計(jì)算、并行計(jì)算、大規(guī)模數(shù)據(jù)存儲(chǔ)與管理、服務(wù)交付技術(shù)等）XX云身份管理系統(tǒng)為用戶提供了跨系統(tǒng)、跨域、跨資源的安全認(rèn)證和安全管理能力。使得用戶能夠在虛擬化的安全架構(gòu)上部署和運(yùn)行自己的操作系統(tǒng)和應(yīng)用軟件，是一種典型的云基礎(chǔ)設(shè)施作為服務(wù)（IaaS）模型。XX云身份管理系統(tǒng)通過設(shè)備資產(chǎn)管理功能提供了將資源抽象化的能力，并交付連接到這些資源的物理或邏輯網(wǎng)絡(luò)連接。并提供了一組API,允許用戶與基礎(chǔ)設(shè)施進(jìn)行管理和其它形式的交互。XX云身份管理系統(tǒng)的關(guān)鍵技術(shù)主要包括動(dòng)態(tài)密碼技術(shù)動(dòng)態(tài)密碼認(rèn)證能夠有效的防止密碼泄露而引起的危險(xiǎn)危險(xiǎn),動(dòng)態(tài)密碼只能一次有效,使用過的動(dòng)態(tài)密碼不能重復(fù)使用。所以即使動(dòng)態(tài)密碼被偷看或竊聽了也沒有危險(xiǎn)。它具有以下優(yōu)點(diǎn):（1） 動(dòng)態(tài)性：令牌產(chǎn)生的密碼每分鐘變化一次,不同時(shí)刻使用不同密碼登錄,每個(gè)密碼都只在其產(chǎn)生的時(shí)間范圍內(nèi)有效。（2） 隨機(jī)性：動(dòng)態(tài)密碼每次都是隨機(jī)產(chǎn)生的,不可預(yù)測。（3） 一次性:每個(gè)動(dòng)態(tài)密碼使用過一次后,不能再重復(fù)使用.（4） 抗偷看竊聽性：由于動(dòng)態(tài)性和一次性的特點(diǎn),即使某一個(gè)動(dòng)態(tài)密碼被人偷看或竊聽了,也無法使用。（5） 不可復(fù)制性：動(dòng)態(tài)密碼的產(chǎn)生可與事件因子緊密相關(guān),因此也就保證只有特定用戶才能使用動(dòng)態(tài)密碼,其他用戶無法獲得、無法共享.3、系統(tǒng)總體架構(gòu)（包括必要的架構(gòu)設(shè)計(jì)圖）及實(shí)施方案XX云身份管理系統(tǒng)架構(gòu)設(shè)計(jì)如下圖所示：在這些功能設(shè)計(jì)時(shí)，我們采用了模塊化和組件化的設(shè)計(jì)思想,將整個(gè)運(yùn)維平臺(tái)分為5個(gè)功能子系統(tǒng)，結(jié)合用戶接口、系統(tǒng)接口來完成圖示的所有功能。系統(tǒng)部署示意圖實(shí)施說明在xxxx集團(tuán)公司SOC系統(tǒng)中部署身份認(rèn)證平臺(tái)用來實(shí)現(xiàn)用戶身份認(rèn)證、動(dòng)態(tài)密碼驗(yàn)證、權(quán)限的分析匹配、SSO單點(diǎn)登錄，合法用戶登錄身份認(rèn)證平臺(tái)后即可依據(jù)相應(yīng)權(quán)限點(diǎn)擊對應(yīng)資源訪問，同時(shí)無需再次輸入系統(tǒng)的用戶名及密碼大大方便用戶的訪問，也可以規(guī)避密碼的風(fēng)險(xiǎn)。在XXXX集團(tuán)公司SOC系統(tǒng)中部署賬號管理平臺(tái)實(shí)現(xiàn)網(wǎng)絡(luò)中的賬號收集、賬號管理，管理員可以在賬號管理平臺(tái)上實(shí)現(xiàn)對網(wǎng)絡(luò)設(shè)備、主機(jī)、各系統(tǒng)中的現(xiàn)存用戶及新添加用戶信息收集、分配、權(quán)限的管理日常維護(hù)等相關(guān)的管理。為XXXX集團(tuán)公司配發(fā)用戶授權(quán)500個(gè)：擬配置硬件令牌100個(gè)、軟件令牌100個(gè)，短信動(dòng)態(tài)密碼許可300個(gè)；在XXXX集團(tuán)公司SOC系統(tǒng)的兩臺(tái)核心交換機(jī)上分別以旁路接入方式部署二臺(tái)安全服務(wù)器，通過交換機(jī)的鏡像功能將業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)提供給XX風(fēng)信子安全服務(wù)器以實(shí)現(xiàn)強(qiáng)身份認(rèn)證、訪問控制以及網(wǎng)絡(luò)行為審計(jì)的功能.安全服務(wù)器同時(shí)通過交換機(jī)的鏡像功能利用業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)實(shí)現(xiàn)強(qiáng)身份認(rèn)證、訪問控制以及網(wǎng)絡(luò)行為審計(jì)的功能.在方案中部署的審計(jì)服務(wù)器具備數(shù)據(jù)記錄的功能，可以將系統(tǒng)審計(jì)下來的結(jié)果統(tǒng)一記錄在數(shù)據(jù)庫中便于管理員查詢。用戶可以根據(jù)所要審計(jì)的重點(diǎn)和要點(diǎn)，在授權(quán)管理中心上靈活配置策略來實(shí)現(xiàn)用戶的強(qiáng)身份認(rèn)證、訪問控制和行為審計(jì).本方案中的審計(jì)控制平臺(tái)可以安裝在審計(jì)管理員的維護(hù)終端上，通過審計(jì)控制平臺(tái)能夠快速查詢審計(jì)結(jié)果、輸出各類豐富的審計(jì)報(bào)表.?本方案中將監(jiān)控中心軟件安裝到管理員辦公PC上，可以實(shí)時(shí)監(jiān)控系統(tǒng)運(yùn)行情況和監(jiān)控用戶違法操作，一旦系統(tǒng)出現(xiàn)問題或用戶有違法操作時(shí)可以第一時(shí)間反映給管理員能夠讓管理及時(shí)處理問題.4、項(xiàng)目中涉及的主要國產(chǎn)關(guān)鍵軟硬件產(chǎn)品及知識產(chǎn)權(quán)情況.本共采用服務(wù)器4臺(tái)，均采用國產(chǎn)服務(wù)器，使用Linux操作系統(tǒng)。核心軟件“XX云身份管理系統(tǒng)”是XX公司自主研發(fā)的新一代安全基礎(chǔ)軟件。包括了動(dòng)態(tài)密碼、身份認(rèn)證、授權(quán)管理、安全審計(jì)等模塊。上海XX網(wǎng)絡(luò)安全技術(shù)有限公司是國家密碼管理局正式批準(zhǔn)的商用密碼產(chǎn)品生產(chǎn)定點(diǎn)單位和銷售許可單位，主要致力于擁有完全自主知識產(chǎn)權(quán)的“iKEY雙因素動(dòng)態(tài)密碼身份認(rèn)證系統(tǒng)（SRT0901動(dòng)態(tài)口令系統(tǒng)）”的研發(fā)、生產(chǎn)、銷售和服務(wù)。該系統(tǒng)成為國內(nèi)首款由國密局頒發(fā)的商用密碼產(chǎn)品型號證書的動(dòng)態(tài)密碼身份認(rèn)證產(chǎn)品。該產(chǎn)品采用國密局授權(quán)的國密安全算法，產(chǎn)品系列覆蓋全，包括基于時(shí)間型、挑戰(zhàn)碼、智能卡式、與手機(jī)SIM卡或SD卡相結(jié)合、數(shù)字證書與動(dòng)態(tài)密碼相結(jié)合等動(dòng)態(tài)密碼身份認(rèn)證技術(shù)，可以根據(jù)客戶不同需求定制端到端的解決方案，滿足客戶各種信息安全需求。XX科技作為XX信息安全行業(yè)的先鋒者，已申報(bào)國家發(fā)明專利12項(xiàng),并受國密局委托參與編制我國動(dòng)態(tài)密碼產(chǎn)品相關(guān)技術(shù)標(biāo)準(zhǔn)?同時(shí)，XX科技目前是國家信息安全標(biāo)準(zhǔn)化委員會(huì)等標(biāo)準(zhǔn)化組織的成員單位，并協(xié)助參與信息安全相關(guān)的國家及行業(yè)標(biāo)準(zhǔn)編制工作。5、方案的科學(xué)性、合理性、先進(jìn)性、可行性分析評價(jià)滿足IT內(nèi)控、SOX、COBIT等法案法規(guī)合規(guī)性要求規(guī)范管理，梳理管理數(shù)據(jù)流和業(yè)務(wù)數(shù)據(jù)流，做到對管理數(shù)據(jù)流進(jìn)行操作審計(jì)，解決安全管理領(lǐng)域“人”的問題.解決操作管理、重要應(yīng)用、機(jī)密資料安全審計(jì)難題，通過“操作機(jī)”將使用者電腦變?yōu)椤笆菘蛻魴C(jī)"，避免使用者電腦通過網(wǎng)絡(luò)直接接觸重要應(yīng)用和機(jī)密資料，降低木馬、間諜、內(nèi)部安全威脅。建立統(tǒng)一資源操作管理平臺(tái)，完成服務(wù)器集群統(tǒng)一操作管理。管理行為不再“隨時(shí)隨地"，操作審計(jì)不再“若有若無”，用戶行為不再“無法無天”，管理員從此擺脫網(wǎng)絡(luò)管理“黑匣子”時(shí)代，對服務(wù)器上管理行為“了然于胸”。操作審計(jì)方案完備，解決審計(jì)“死角”，解決圖形審計(jì)難題，解決服務(wù)器間跳轉(zhuǎn)操作（WINDOWS跳轉(zhuǎn)到UNIX）進(jìn)而逃避審計(jì)行為，不留審計(jì)漏洞，惡意用戶無法逃避監(jiān)控。減輕管理員工作壓力，提高工作效率，確保管理制度的順利實(shí)施完成對第三方代維、系統(tǒng)集成商現(xiàn)場施工的規(guī)范化管理，防范外來風(fēng)險(xiǎn)如果發(fā)生事故，快速、準(zhǔn)確的進(jìn)行責(zé)任鑒定和安全事件追溯，采取補(bǔ)救措施準(zhǔn)確審計(jì)數(shù)據(jù)庫SQL操作語句，防范0RACLE、SYBASE、MSSQL、INFORMIX等數(shù)據(jù)庫安全風(fēng)險(xiǎn)三、項(xiàng)目實(shí)施的措施、條件1、項(xiàng)目實(shí)施的政策環(huán)境需求（國家“十二五”規(guī)劃、國發(fā)4號文，新興戰(zhàn)略性產(chǎn)業(yè)規(guī)劃、兩化融合戰(zhàn)略等對項(xiàng)目實(shí)施的影響和推動(dòng)促進(jìn)作用）在黨和政府制定的一系列政策指引下,我們認(rèn)識到云計(jì)算本質(zhì)上是軟硬件技術(shù)發(fā)展到一定階段后，必然要出現(xiàn)的一種資源整合模式。本項(xiàng)目中XXXX集團(tuán)的需求即代表了這種趨勢和潮流。同時(shí)，云計(jì)算不僅僅是一個(gè)技術(shù)問題,更多的是一種商業(yè)模式或者管理模式的創(chuàng)新,能夠?yàn)槠髽I(yè)降低成本、提高管理水平、帶來經(jīng)營業(yè)績的增長，也能幫助政府改善投資環(huán)境、提升城市信息化建設(shè)水平，滿足日益發(fā)展的公眾信息服務(wù)需求。XX云身份管理系統(tǒng)的推出就是為了推進(jìn)云計(jì)算的普及而做出的努力.黨中央和政府制定的政策幫助我們認(rèn)清了云計(jì)算產(chǎn)業(yè)的核心價(jià)值，鑒定了我們參與、推動(dòng)云計(jì)算產(chǎn)業(yè)的決心,消除了后顧之憂。2、項(xiàng)目運(yùn)營的設(shè)備條件本共采用服務(wù)器4臺(tái)，其中2臺(tái)配置4顆4核CPU、16GB內(nèi)存、4塊300GB以上硬盤，用于認(rèn)證服務(wù)器以及保存審計(jì)數(shù)據(jù)，二臺(tái)認(rèn)證服務(wù)器實(shí)現(xiàn)雙機(jī)熱備；另外2臺(tái)配置2顆CPU，8GB以上內(nèi)存，用于控制分析服務(wù)器。二臺(tái)控制分析服務(wù)器分別接入到SOC系統(tǒng)擴(kuò)容后的兩臺(tái)熱備核心交換機(jī)上，并在交換機(jī)上完成端口鏡像配置，將SOC系統(tǒng)的訪問數(shù)據(jù)流分別鏡像至二臺(tái)控制分析服務(wù)器上.3、項(xiàng)目成功的技術(shù)基礎(chǔ)條件，包括試驗(yàn)場地、測試手段等。項(xiàng)目的建設(shè)依據(jù)XX集團(tuán)給出的動(dòng)態(tài)密碼系統(tǒng)建設(shè)規(guī)范指導(dǎo)，并密切結(jié)合XXXX集團(tuán)公司的實(shí)際情況和具體環(huán)境;動(dòng)態(tài)密碼系統(tǒng)建設(shè)不對現(xiàn)有系統(tǒng)的可用性、可靠性和性能帶來負(fù)面影響。系統(tǒng)的各個(gè)組成部件選用符合國際、國內(nèi)標(biāo)準(zhǔn)的硬件和軟件技術(shù)搭建支撐平臺(tái)，采用規(guī)范的接口和協(xié)議，保證系統(tǒng)各組成部分協(xié)同一致，構(gòu)成可兼容、易移植的系統(tǒng)安全支撐平臺(tái)。并遵循以下原則?充分利用現(xiàn)有系統(tǒng)資源，深入挖潛，保護(hù)現(xiàn)有投資。?利用先進(jìn)的安全審計(jì)技術(shù)和平臺(tái)，避免低水平重復(fù)建設(shè)。充分考慮系統(tǒng)應(yīng)變能力、容錯(cuò)能力和完善的安全機(jī)制.在設(shè)備的選型中堅(jiān)持高可靠性、高性能、標(biāo)準(zhǔn)化、開放性、安全性、易擴(kuò)充性、先進(jìn)性、實(shí)用性和易維護(hù)性。系統(tǒng)在滿足現(xiàn)狀的情況下，充分考慮未來和發(fā)展，安全系統(tǒng)總體能力留有余地。安全系統(tǒng)設(shè)計(jì)充分考慮服務(wù)器、網(wǎng)絡(luò)設(shè)備、網(wǎng)管系統(tǒng)、各類數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)的相互關(guān)聯(lián)性，并充分考慮這些設(shè)備和系統(tǒng)在未來的擴(kuò)展性及兼容性。系統(tǒng)建設(shè)遵循的標(biāo)準(zhǔn)ISO標(biāo)準(zhǔn)：設(shè)計(jì)標(biāo)準(zhǔn)（IS015408、IS017799、IS07498—2）?實(shí)施標(biāo)準(zhǔn)（SSE—CMM、IS09001）GB標(biāo)準(zhǔn):《計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》《開放系統(tǒng)互連基本參考模型第2部分安全體系結(jié)構(gòu)》《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》《商用密碼管理?xiàng)l例》《計(jì)算機(jī)病毒防治管理辦法》《計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》《中華人民共和國計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全保護(hù)條例》《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》《計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》《計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法》項(xiàng)目部署范圍本項(xiàng)目將在XXXX集團(tuán)公司中心機(jī)房部署相應(yīng)的動(dòng)態(tài)密碼云身份管理系統(tǒng)，以對用戶訪問受保護(hù)資源的行為進(jìn)行認(rèn)證和控制，并審計(jì)其操作，同時(shí)可以有效的管理和審計(jì)員工的操作行為，做到出現(xiàn)問題有據(jù)可查。此次項(xiàng)目部署實(shí)施過程中，本公司將負(fù)責(zé)項(xiàng)目集成與安全系統(tǒng)實(shí)施的工作。需要具體業(yè)務(wù)部門，如業(yè)務(wù)中心配合網(wǎng)絡(luò)調(diào)整等工作，將網(wǎng)絡(luò)數(shù)據(jù)鏡像提供給本系統(tǒng)。根據(jù)需求擴(kuò)展原有XXXX集團(tuán)公司原有的iKEY動(dòng)態(tài)認(rèn)證系統(tǒng)服務(wù)范圍，將東四機(jī)房SOC平臺(tái)的網(wǎng)絡(luò)設(shè)備及服務(wù)器納入統(tǒng)一管理。因此擬新增系統(tǒng)服務(wù)器4臺(tái)。設(shè)備連接位置：SOC平臺(tái)熱備以太網(wǎng)交換機(jī)二臺(tái)，分別通過端口鏡像配置將數(shù)據(jù)流鏡像至控制審計(jì)服務(wù)器的數(shù)據(jù)鏡像端口.同時(shí)4臺(tái)服務(wù)器的通訊口均接入交換機(jī)。同SOC平臺(tái)對接為了提高XXXX網(wǎng)絡(luò)安全管理能力，實(shí)現(xiàn)XXXX網(wǎng)絡(luò)集中化、體系化、層次化的安全管理，XXXX集團(tuán)已經(jīng)針對ChinaNet在集團(tuán)公司（北京）和江蘇兩地完成了網(wǎng)絡(luò)安全管理平臺(tái)（SOC）的試點(diǎn)建設(shè)°SOC平臺(tái)能夠在全局層面實(shí)現(xiàn)IP網(wǎng)安全策略的統(tǒng)一，對全局資源進(jìn)行統(tǒng)一調(diào)度，協(xié)同對各種網(wǎng)絡(luò)安全問題進(jìn)行有效的防范和處理，同時(shí)實(shí)現(xiàn)了對C網(wǎng)分組域和部分C網(wǎng)業(yè)務(wù)平臺(tái)的安全管理，有利于XXXXIP網(wǎng)網(wǎng)絡(luò)的健康、穩(wěn)定、安全運(yùn)營。在目前試點(diǎn)SOC平臺(tái)順利開展工作、XXXXIP網(wǎng)的網(wǎng)絡(luò)安全管理水平有了長足進(jìn)步的同時(shí)，網(wǎng)絡(luò)安全技術(shù)的發(fā)展對網(wǎng)絡(luò)安全管理平臺(tái)的功能提出了新的需求。目前SOC平臺(tái)管理全網(wǎng)2000多臺(tái)路由器、多個(gè)業(yè)務(wù)平臺(tái)、多個(gè)網(wǎng)管系統(tǒng)，對這些系統(tǒng)的帳號管理比較分散，帳號和口令分配、回收、增加、刪除等操作較為混亂，帶來不少安全隱患，而且對于外來人員的帳號口令也缺乏有效的管理。因此本期工程需要對SOC平臺(tái)升級集中的用戶認(rèn)證、口令管理功能，采用動(dòng)態(tài)密碼技術(shù)，加強(qiáng)密碼管理的安全性。同時(shí)根據(jù)工信部要求，需要具備較強(qiáng)的審計(jì)功能，以便事后追溯。本系統(tǒng)能夠同XXXX集團(tuán)公司現(xiàn)有的SOC平臺(tái)對接，實(shí)現(xiàn)單點(diǎn)登錄功能。管理員通過控制中心界面可以為用戶配置和SOC平臺(tái)對應(yīng)的從賬號，已授權(quán)用戶登錄系統(tǒng)用戶界面后即可看到SOC平臺(tái)的訪問鏈接，點(diǎn)擊打開即可實(shí)現(xiàn)無需重復(fù)登錄使用SOC平臺(tái)。以上功能需要SOC平臺(tái)的提供商配合，在完成一定二次開發(fā)的前提下實(shí)現(xiàn)4、項(xiàng)目服務(wù)保障措施及推廣應(yīng)用策略針對本項(xiàng)目，我司共建立了以下服務(wù)保障措施：建立項(xiàng)目專項(xiàng)管理制度，針對XXXX集團(tuán)的需求進(jìn)行了專門的調(diào)研，收集了大量一手資料，為可靠、安全、平穩(wěn)地實(shí)施項(xiàng)目奠定了基礎(chǔ)。配合XXXX進(jìn)行了詳細(xì)的方案論證，提出了完整的定制需求，減小了項(xiàng)目實(shí)施的風(fēng)險(xiǎn)，保證了系統(tǒng)平穩(wěn)地遷移。組織實(shí)施了嚴(yán)格的仿真測試和壓力測試，通過科學(xué)地分析，制定了嚴(yán)密的優(yōu)化方案，保證了項(xiàng)目目標(biāo)的順利實(shí)現(xiàn)。為本項(xiàng)目配備了專職維護(hù)與技術(shù)支持力量，建立了備品備件庫，制定了嚴(yán)格的維護(hù)與服務(wù)保障計(jì)劃，隨時(shí)響應(yīng)XXXX的要求。與此同時(shí)，我司還借鑒項(xiàng)目實(shí)施中獲得的經(jīng)驗(yàn)，優(yōu)化了推廣應(yīng)用策略:優(yōu)化應(yīng)用加載模板，提高用戶應(yīng)用業(yè)務(wù)整合的效率。豐富了訪問控制策略庫，為用戶提供更多的策略支持.為了更快地推廣和普及，正在計(jì)劃推出租用服務(wù)模式，減小用戶初次投入成本.四、主要應(yīng)用成果展示對項(xiàng)目應(yīng)用過程中取得的成果進(jìn)行圖文并茂的展示。本項(xiàng)目的實(shí)施使得管理層次更加科學(xué)、更加分明，有利于提高運(yùn)維管理水平。項(xiàng)目部署后五、市場需求情況分析及經(jīng)濟(jì)、社會(huì)效益預(yù)測1、項(xiàng)目當(dāng)前已經(jīng)取得的經(jīng)濟(jì)效益及社會(huì)效益分析;通過項(xiàng)目的實(shí)施，XXXX構(gòu)建一個(gè)統(tǒng)一的安全管理平臺(tái)基礎(chǔ)設(shè)施，解決了敏感數(shù)據(jù)安全管理問題,同時(shí)兼顧了后期向統(tǒng)一安全管理平臺(tái)建設(shè)的平滑過渡。已經(jīng)取得社會(huì)效益有:1、 實(shí)現(xiàn)對業(yè)務(wù)支撐系統(tǒng)、DCN網(wǎng)運(yùn)營管理系統(tǒng)以及操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備等各種IT資源的帳號、認(rèn)證、授權(quán)和審計(jì)的集中控制和管理。有效地保障業(yè)務(wù)支撐系統(tǒng)安全可靠地運(yùn)行。為業(yè)務(wù)支撐系統(tǒng)提供機(jī)制統(tǒng)一、多樣化的認(rèn)證與授權(quán)安全服務(wù)，實(shí)現(xiàn)平滑過渡并實(shí)現(xiàn)與其他統(tǒng)一安全管理平臺(tái)之間的數(shù)據(jù)交互。2、 實(shí)現(xiàn)集中化、基于角色的的主從帳號管理，實(shí)現(xiàn)角色屬性級別的細(xì)粒度權(quán)限分配和管理。自然人與其擁有的主帳號關(guān)聯(lián)，統(tǒng)一規(guī)劃用戶身份信息和角色，對不同系統(tǒng)中的帳號進(jìn)行創(chuàng)建、分配、同步，最終建立業(yè)務(wù)支撐系統(tǒng)中自然人的單一視圖（主帳號管理）、建立業(yè)務(wù)支撐系統(tǒng)中資源的單一視圖（從帳號管理）.3、 實(shí)現(xiàn)集中化的動(dòng)態(tài)身份認(rèn)證和統(tǒng)一訪問入口。根據(jù)安全需要選擇不同的身份認(rèn)證方式，在不更改或只對應(yīng)用進(jìn)行有限更改的情況下，即可在原來只有弱身份認(rèn)證手段的應(yīng)用上，增加強(qiáng)身份認(rèn)證手段。最終實(shí)現(xiàn)認(rèn)證手段和應(yīng)用的相對隔離和靈活使用。4、實(shí)現(xiàn)集中訪問授權(quán)，基于集中管控安全策略的訪問控制和角色的授權(quán)管理。對用戶使用業(yè)務(wù)支撐系統(tǒng)中資源的具體情況進(jìn)行合理分配，實(shí)現(xiàn)不同用戶對不同部分實(shí)體資源的訪問.最終建立完善的資源對自然人的授權(quán)管理。5、實(shí)現(xiàn)集中安全審計(jì)管理，收集、記錄用戶對業(yè)務(wù)支撐系統(tǒng)關(guān)鍵重要資源的使用情況.便于統(tǒng)計(jì)自然人對資源的訪問情況，在出現(xiàn)安全事故時(shí)，可以責(zé)任追蹤。對人員的登錄過程、操作行為進(jìn)行審計(jì)和處理。最終建立完善針對“自然人一資源〃訪問過程的完整審計(jì).2、國內(nèi)外市場推廣應(yīng)用前景和市場需求情況分析預(yù)測；今天人們訪問云計(jì)算技術(shù)端數(shù)據(jù)所依賴的認(rèn)證手段非常弱，可能還主要是用戶名和密碼.我們需要更強(qiáng)有力的手段，對于接入云計(jì)算技術(shù)服務(wù)的用戶進(jìn)行認(rèn)證.身份的戰(zhàn)略有一些核心的元素，首先,身份證必須是基于親自辦理、或者說親自證明。第二,正如在現(xiàn)實(shí)生活中一樣，每個(gè)人的身份可能會(huì)有各種形式，也就有更多的身份識別的證件，比如身份證、銀行卡、公司證件等等.而這些卡大部分在辦理時(shí)都要通過本人親自到場.第三,必須讓使用者能夠控制自己信息的流向，他能決定自己什么樣的信息能給什么樣的人。全世界的用戶，都非常關(guān)注自己的隱私，允許他們有能力來控制和什么樣的人分享什么樣的隱私信息，這點(diǎn)非常重要。通過一次性密碼(OTP)令牌、手機(jī)軟件(OTP)、手機(jī)短信(OTP)、基于證書的(PKI)認(rèn)證器的廣泛產(chǎn)品組合提供了全面支持，使組織在現(xiàn)在能夠?yàn)檫h(yuǎn)程訪問部署OTP，在未來能夠無縫擴(kuò)展以支持更先進(jìn)的安全解決方案.多因素身份驗(yàn)證對于組織的核心業(yè)務(wù)來說已變得越來越關(guān)鍵，這種趨勢已被云計(jì)算的采用和確保遠(yuǎn)程用戶訪問公司系統(tǒng)和數(shù)據(jù)(無論保存在何處)的需要而放大，通過提供一種從單個(gè)平臺(tái)管理所有訪問政策的集中化方式,幫助客戶最大限度地確保認(rèn)證安全并降低成本。以云計(jì)算為基礎(chǔ)的新IT體開始改變目前的應(yīng)用方式。無論何時(shí)何地只要有網(wǎng)絡(luò)和終端，通過安全認(rèn)證就可以在任意終端實(shí)現(xiàn)個(gè)性化及廉價(jià)應(yīng)用服務(wù)的需求。身份的識別和認(rèn)證就成為其中的關(guān)鍵.口令、密碼、證書、指紋、虹網(wǎng)膜等相信多種認(rèn)證的融合應(yīng)用將成為驗(yàn)證技術(shù)的嘗試和創(chuàng)新。安全認(rèn)證解決已成為必然.云計(jì)算商業(yè)模式的迅速發(fā)展將對XXIT業(yè)產(chǎn)生重要的影響，涉及服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)等基礎(chǔ)架構(gòu)以及中間件、操作系統(tǒng)、應(yīng)用軟件、網(wǎng)絡(luò)服務(wù)在內(nèi)的諸多領(lǐng)域，從而開創(chuàng)一種全新的IT應(yīng)用前景.在我國現(xiàn)階段ICT環(huán)境中，由于網(wǎng)絡(luò)和業(yè)務(wù)區(qū)隔不明確，因此無論是XX運(yùn)營商還是互聯(lián)網(wǎng)服務(wù)提供商都承擔(dān)若干角色，而且通常意義上講，用戶身份及身份管理與業(yè)務(wù)或者應(yīng)用緊耦合，這樣就造成同一用戶在不同應(yīng)用環(huán)境中使用不同身份、不同身份認(rèn)證機(jī)制以及帶來的潛在的用戶安全隱患；這種情況下，用戶身份和身份管理實(shí)際上被網(wǎng)絡(luò)或者業(yè)務(wù)應(yīng)用實(shí)體身份所代替，不能提供針對用戶身份的特定服務(wù)，例如為用戶提供個(gè)性化的3P服務(wù)(Presence,Preference,Profile)等；跨域場景中，例如跨不同運(yùn)營商網(wǎng)絡(luò)不能為用戶提供一致的用戶身份及身份管理。網(wǎng)絡(luò)和業(yè)務(wù)融合的飛速發(fā)展正在形成對于“獨(dú)立的第三方身份管理”的需求，形成用戶、業(yè)務(wù)服務(wù)提供商和身份服務(wù)提供商三方互動(dòng)，有效協(xié)同以網(wǎng)絡(luò)為中心、業(yè)務(wù)為中心的身份管理機(jī)制。這樣一個(gè)可信任、可共享的第三方數(shù)據(jù)信息,可以提供跨業(yè)務(wù)領(lǐng)域、跨國家行政部門公共身份數(shù)據(jù)信息，增強(qiáng)用戶體驗(yàn)，諸如單點(diǎn)登錄認(rèn)證、統(tǒng)一賬單服務(wù)等，既可有效保障用戶隱私，又能提高多業(yè)務(wù)環(huán)境中監(jiān)管的有效性。3、預(yù)期經(jīng)濟(jì)和社會(huì)效益,以及對現(xiàn)有服務(wù)模式的提升等.身份管理系統(tǒng)在未來云時(shí)代的作用1、 身份管理是網(wǎng)絡(luò)資源和業(yè)務(wù)資源虛擬化的基石云時(shí)代網(wǎng)絡(luò)資源和業(yè)務(wù)資源的虛擬化涉及到XX運(yùn)營商內(nèi)部不同系統(tǒng)、跨XX運(yùn)營商之間、與服務(wù)提供商之間、與內(nèi)容提供商之間、家鄉(xiāng)屬地和漫游屬地之間等不同網(wǎng)絡(luò)層面、業(yè)務(wù)層面的虛擬化，身份管理完全可以充當(dāng)其中的虛擬化橋梁，實(shí)現(xiàn)跨系統(tǒng)、跨域、跨平臺(tái)之間的虛擬化基礎(chǔ)；2、 身份管理能對云環(huán)境中的