设备安全集中管理系统需求规格说明书

1、上海国响信息技术有限公司 项目名称：NGB接入网设备统一用户管理系统NGB接入网设备统一用户管理系统需求规格说明书目录1引言41.1目标41.2预期读者41.3范围41.4术语42系统概述42.1综述42.2运行环境52.3限制52.4假设和依赖条件53外部接口需求53.1硬件接口53.2软件接口54总体功能描述54.1功能列表54.2流程图64.3系统角色85报文结构95.1包头结构115.2认证-Authentication包体结构125.3授权- Authorization包体结构155.4记账-Accounting包体结构196非功能需求226.1用户界面风格需求：226.2性能226

2、.3安全性22附件一：22版本历史姓名日期主要更新版本于清晓2012-9-15文档创建V 0.1于清晓2012-9-24文档修改V0.2于清晓2012-11-16文档修改V1.01引言1.1目标伴随东方有线NGB接入网的建设,接入网设备数量不断增加，用户数量快速增长，必须保证设备的安全、稳定运行。对设备的登陆用户进行统一管理，可以有效减少人为因素造成的设备重启等问题，提高运维管理安全性。1.2预期读者项目经理、设计人员、开发人员、测试人员1.3范围实现基于TACACS+协议的AAA认证管理，并提供对其他系统的日志接口1.4术语认证(Authentication)：验证用户的身份与可使用的网络服

3、务；授权(Authorization)：依据认证结果开放网络服务给用户；计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。NAS（Network Access Server）：网络接入设备，在此指OLT、HS2系统概述2.1综述设备安全集中管理系统基于B/S结构，实现对支持TACACS+协议的NGB接入网设备，如OLT、HS的认证、鉴权、记账管理。设备安全集中管理系统提供WEB方式管理界面，系统管理员可通过管理界面批量添加账号、批量配置命令以及日志查询功能，同时提供与其他系统的日志接口。2.2运行环境1. 操作系统：solaris 10U9，支持向linux等其他主

4、流操作系统迁移2. 应用服务器： X86架构服务器3. 数据库： oracle10g，支持向mysql迁移4. 开发语言： java2.3限制tacacs+协议版本1.78采用TCP/IP协议， 开放49端口响应NAS请求。2.4假设和依赖条件 无3外部接口需求3.1硬件接口无3.2软件接口 数据库：oracle，端口1521 INMS：日志接口，日志内容包括登陆IP、登陆用户、登陆时间、登陆结果、执行命令、命令操作结果、退出登陆时间； 添加设备接口，包括设备名称、设备IP、默认的key（ocn）Syslog：日志接口，日志内容包括登陆IP、登陆用户、登陆时间、登陆结果、执行命令、命令操作结果

5、、退出登陆时间4总体功能描述4.1功能列表4.2流程图1.创建系统管理员账号，包括账号名称、密码、权限。2.添加NAS设备。NAS设备默认从网管接口自动导入，其中KEY自动无法从网管处获得，默认值为“ocn”，其余均可获取，所有字段均为必填字段。设备型号管理macIPKEY所属分公司ELT5500-10B7c:08:d9:00:12:e4ocn长宁分公司HS4504Y-4MT7c:08:d9:00:12:e6ocn闵行子公司同时，支持手动录入NAS设备。3.添加配置命令设备型号命令命令参数HS4504Yconfig terminalE230enablen

6、oneELT5500-10Brebootnone4.添加用户组，选择该用户组所属的NAS设备及可执行的配置命令。用户组属性包括：名称、密码、所属分公司，关联的设备、关联的命令用户组首先要和设备建立绑定关系，某个用户组可以选择哪些设备，可以按所属分公司、IP、mac地址、设备型号多种条件任意交集组合选择；其次，用户组要和命令绑定。命令本身是与设备型号有关，不同型号的设备对应不同的命令集；绑定命令时，必选先选择设备型号，才出现此型号设备对应的命令。5.添加用户，选择对应的用户组用户基本信息包括：用户名、密码、所属用户组、所属分公司、描述信息6.NAS侧进行相应的配置（非系统功能）7.开始AAA认证

7、交互过程8.记录AAA认证日志，日志内容包括登陆IP、登陆用户、登陆时间、登陆结果、执行命令、命令操作结果、退出登陆时间日志格式分为认证日志、鉴权日志认证日志格式：时间用户用户登陆IP用户登陆设备IP登陆/退出结果鉴权日志格式：时间用户用户登陆IP用户登陆设备IP执行命令命令执行结果9.通过对外接口向其他系统，如网管、syslog提供日志日志格式同系统记录日志格式4.3系统角色NAS：与系统完成AAA认证交互过程DB：存储NAS设备数据、权限、日志等INMS：系统向INMS提供AAA日志；同时INMS提供NAS的导入Syslog：系统提供AAA日志给Syslog设备安全集中管理系统5功能描述5

8、.1系统管理模块5.1.1模块概述WEB管理界面的账号及权限控制。5.1.2WEB角色管理UCIDT512FLID对应的需求列表(用户需求ID)1业务名称WEB用户角色权限优先级高角色（Actor）WEB系统管理员使用频率高概述管理的是WEB系统的角色，并可将权限授予不同角色。典型事件流1、角色的增删改查：角色名称、角色描述；2、关联权限：给角色授予权限。3、查询角色异常事件流无数据字典l 角色名称l 角色状态l 角色描述l 权限验收标准所有正常情况和异常情况均完成其他5.1.3WEB用户管理UCIDT513FLID对应的需求列表(用户需求ID)2业务名称WEB用户管理优先级高角色（Actor

9、）WEB系统管理员使用频率高概述创建、修改、删除系统用户典型事件流1、 创建用户，包括用户账号、用户姓名、邮箱、电话、邮箱、是否启用、对应角色2、 删除用户3、 修改用户4、 查询用户异常事件流无数据字典l 账号l 用户姓名l 邮箱l 电话l 是否启用l 对应角色验收标准所有正常情况和异常情况均完成其他5.1.4WEB操作日志 UCIDT514FLID对应的需求列表(用户需求ID)3业务名称操作日志优先级低角色（Actor）WEB系统管理员使用频率低概述用户在系统中做的任何写操作，均需要记录下来，以备今后查证典型事件流1、 日志列表：系统默认展示当天用户操作日志2、 查询日志：通过操作事项、操

10、作类别、操作日期查询日志异常事件流无数据字典l 操作人l 操作事项l 操作菜单l 操作类别l 操作日期验收标准所有正常情况和异常情况均完成其他5.2用户管理模块5.2.1 模块概述登陆设备的账号及权限控制，通过此模块给用户分配能够登陆的设备和在设备上允许执行的命令5.2.2用户组管理UCIDT522FLID对应的需求列表(用户需求ID)4业务名称登陆设备的用户组权限优先级高角色（Actor）WEB系统管理员使用频率高概述WEB系统管理员设置登陆设备的用户组权限，可以登陆哪些设备，同时在设备上能够执行哪些权限典型事件流1、 创建用户组，包括用户组名称、用户组说明、所属分公司、不可访问的设备、不可

11、访问的命令。其中，选择所属分公司后默认关联该分公司下所有设备，可执行设备上的所有命令。2、 修改用户组3、 删除用户组4、 查询用户组，按用户组名称查询异常事件流无数据字典l 用户组名称l 用户组说明l 所属分公司l 不可访问的设备l 不可访问的命令验收标准所有正常情况和异常情况均完成其他5.2.3用户管理UCIDT523FLID对应的需求列表(用户需求ID)5业务名称登陆设备的用户优先级高角色（Actor）WEB系统管理员使用频率高概述WEB系统管理员设置登陆设备的用户典型事件流1、 创建用户，包括用户名、用户真实姓名、电话号码、邮箱、所属用户组、用户描述2、 修改用户3、 删除用户4、 查

12、询用户，按用户名称和真实姓名查询异常事件流无数据字典l 用户名l 用户真实姓名l 电话号码l 邮箱l 所属用户组l 用户描述验收标准所有正常情况和异常情况均完成其他5.3命令管理模块5.3.1模块概述录入所有类型设备上执行的命令5.3.2命令管理UCIDT532FLID对应的需求列表(用户需求ID)6业务名称设备上的命令优先级高角色（Actor）WEB系统管理员使用频率高概述WEB系统管理员录入设备上的命令集合典型事件流1、 新增命令，包括命令名称、设备类型和命令参数2、 删除命令3、 修改命令，但命令的设备类型无法修改4、 查询命令5、 批量导入命令，通过固定的模板批量导入命令异常事件流1、

13、 命令信息不完整提示未填字段2、录入命令唯一性校验，重复命令提示禁止录入数据字典l 命令名称l 设备类型l 命令参数验收标准所有正常情况和异常情况均完成其他5.4设备管理模块5.4.1模块概述录入系统管理的设备信息5.4.2设备管理UCIDT542FLID对应的需求列表(用户需求ID)7业务名称设备管理优先级高角色（Actor）WEB系统管理员使用频率高概述WEB系统管理员录入被管的设备典型事件流1、 新增设备，包括设备名称、型号、IP地址、MAC地址、设备KEY、所属分公司2、 删除设备3、 修改设备，其中设备型号无法修改4、 查询设备，可通过设备的名称、IP或所属分公司查询设备5、 设备批

14、量导入，可通过固定模板批量导入设备异常事件流1、 设备信息不完整提示未填字段2、 录入设备唯一性校验，重复设备提示禁止录入数据字典l 设备名称l 设备型号l IP地址l MAC地址l 设备KEYl 所属分公司验收标准所有正常情况和异常情况均完成其他5.4.3设备自动导入UCIDT543FLID对应的需求列表(用户需求ID)8业务名称设备自动导入优先级高角色（Actor）INMS、设备安全集中管理系统使用频率高概述设备安全集中管理系统通过与INMS的接口，自动完成被管设备的初始导入和更新典型事件流1、 通过与INMS接口，自动导入系统所有被管设备2、 INMS设备信息更新，通过接口传递给设备安全

15、集中管理系统异常事件流数据字典l 设备名称l 设备型号l IP地址l MAC地址l 设备KEYl 所属分公司验收标准所有正常情况和异常情况均完成其他5.5记账管理模块5.5.1模块概述记录用户登陆设备的所有记录，包括登陆结果，命令执行结果、登陆时间。5.5.2记账管理UCIDT552FLID对应的需求列表(用户需求ID)9业务名称记账管理优先级中角色（Actor）设备安全集中管理系统使用频率中概述记录设备的鉴权、授权结果典型事件流1、 日志查看，默认显示最近10条日志信息2、 日志查询，可通过设备IP和用户名查询日志异常事件流无数据字典l 设备IPl 用户名l 内容摘要l 指令类型l 指令内容

16、l验收标准所有正常情况和异常情况均完成其他5.6报文处理模块5.6.1模块概述底层报文处理模块，根据收到的报文种类分别进行处理。5.6.2认证报文处理UCIDT562FLID对应的需求列表(用户需求ID)10业务名称认证报文处理优先级高角色（Actor）NAS，设备安全集中管理系统使用频率高概述对用户登陆设备的账号进行认证典型事件流1、 用户登陆设备，设备发出认证报文2、 系统收到报文后，解析出设备的MAC、IP、登陆用户、密码，并进行判断3、 账号正确，且该用户有对此设备的权限，则发送报文通知设备运行用户登陆；否则拒绝用户登陆异常事件流无数据字典l 设备IPl 设备MACl 用户名l 密码验

17、收标准所有正常情况和异常情况均完成其他5.6.3授权报文处理UCIDT563FLID对应的需求列表(用户需求ID)11业务名称授权报文处理优先级高角色（Actor）NAS，设备安全集中管理系统使用频率高概述对用户在设备上执行的命令进行授权典型事件流1、 用户在设备执行命令，设备发出授权请求报文2、 系统收到授权请求报文，解析出用户执行的命令，并进行判断3、 用户有执行该命令的权限，系统向设备发送响应报文，设备运行此命令执行4、 否则设备禁止用户执行此命令异常事件流无数据字典l 设备IPl 设备MACl 用户名l 指令类型l 指令内容验收标准所有正常情况和异常情况均完成其他5.6.4记账报文处理

18、UCIDT564FLID对应的需求列表(用户需求ID)12业务名称记账报文处理优先级高角色（Actor）NAS，设备安全集中管理系统使用频率高概述记录设备的鉴权、授权结果典型事件流1、 设备发起记账请求报文2、 系统收到报文进行处理，并记录日志3、 设备发起记账结束报文，停止记录日志异常事件流无数据字典l 设备IPl 内容摘要l 指令类型l 指令内容验收标准所有正常情况和异常情况均完成其他6报文结构1、 设备发送连接请求认证2、 NAS提示输入用户名3、 设备发送用户名4、 NAS提供输入密码5、 设备发送密码6、 NAS提示认证是否成功7、 设备请求授权方式，默认shell方式8、 NAS通

19、知授权状态9、 请求记账10、 服务端接收记账信息11、 设备发送具体请求授权内容12、 NAS通知授权状态13、 发送授权信息给NAS14、 NAS记录该信息15、 结束记账请求16、 记账结束6.1包头结构 Major version： 0xc Minor version：0x0 Type： 0x01 (Authentication)、0x02 (Authorization)、0x03 (Accounting) Seq_no：当前session的序号，请求客户端从1开始，NAS以2返回，以此类推。客户端始终是奇数，服务端始终是偶数。 Flags：标识本包体是否采取了加密，0x01表示未加密

20、，用以调试系统，正式环境禁止使用；flags未设置，代表加密；0x04代表单连接多路复用 Session_id：用以维持连接状态的标识，作用类似httpSession。 Length：包体长度 包体规则：整个包体需全部加密、未使用的属性其长度为0、包体中data、message的属性值禁止以null结尾6.2认证-AUTHENTICATION包体结构6.2.1认证START请求包结构上述1-8标注的是每个field的大小。 Action：TAC_PLUS_AUTHEN_LOGIN = 0x01、TAC_PLUS_AUTHEN_CHPASS = 0x02、TAC_PLUS_AUTHEN_SEND

21、PASS = 0x03 (废弃)、TAC_PLUS_AUTHEN_SENDAUTH := 0x04 priv_lvl：服务权限等级，从0到15，级别有低到高，最高15.TAC_PLUS_PRIV_LVL_MAX := 0x0fTAC_PLUS_PRIV_LVL_ROOT := 0x0fTAC_PLUS_PRIV_LVL_USER := 0x01TAC_PLUS_PRIV_LVL_MIN := 0x00 authen_type： 本规范授权类型采用ASCII的形式，默认值0x01TAC_PLUS_AUTHEN_TYPE_ASCII := 0x01TAC_PLUS_AUTHEN_TYPE_PAP

22、:= 0x02TAC_PLUS_AUTHEN_TYPE_CHAP := 0x03TAC_PLUS_AUTHEN_TYPE_ARAP := 0x04TAC_PLUS_AUTHEN_TYPE_MSCHAP := 0x05 service：认证服务类型，目前系统默认提供LOGIN认证，其他方式留作扩展之用，NONE代表无其他服务方式可用时使用。TAC_PLUS_AUTHEN_SVC_NONE := 0x00TAC_PLUS_AUTHEN_SVC_LOGIN := 0x01TAC_PLUS_AUTHEN_SVC_ENABLE := 0x02TAC_PLUS_AUTHEN_SVC_PPP := 0x03

23、TAC_PLUS_AUTHEN_SVC_ARAP := 0x04TAC_PLUS_AUTHEN_SVC_PT := 0x05TAC_PLUS_AUTHEN_SVC_RCMD := 0x06TAC_PLUS_AUTHEN_SVC_X25 := 0x07TAC_PLUS_AUTHEN_SVC_NASI := 0x08TAC_PLUS_AUTHEN_SVC_FWPROXY := 0x09 user：用户名，可选。 port： 端口号，ASCII码格式。 rem_addr：以ASCII码格式描述远程地址，可选。 data：发送认证请求的内容。6.2.2认证REPLY包体结果如图： status：用以说

24、明当前认证的状态TAC_PLUS_AUTHEN_STATUS_PASS := 0x01-成功TAC_PLUS_AUTHEN_STATUS_FAIL := 0x02-失败TAC_PLUS_AUTHEN_STATUS_GETDATA := 0x03-需要额外数据TAC_PLUS_AUTHEN_STATUS_GETUSER := 0x04-要求客户端输入用户名TAC_PLUS_AUTHEN_STATUS_GETPASS := 0x05-要求客户端输入密码TAC_PLUS_AUTHEN_STATUS_RESTART := 0x06-重启认证TAC_PLUS_AUTHEN_STATUS_ERROR :=

25、 0x07-服务内部出错TAC_PLUS_AUTHEN_STATUS_FOLLOW := 0x21-继续 flags：默认0x01，亦可为空 Server_msg：可选，用以展示给用户的服务端信息。 Data：为NAS提供的用以描述认证信息6.2.3认证CONTINUE包体如图： user_msg len：user_msg属性的长度 data len：data属性的长度 flags：无意义，可为空 user_msg：用户输入的数据信息，如ASCII码格式的密码 data：该session过程中的行为和授权类型。6.3授权- AUTHORIZATION包体结构6.3.1授权请求包体 authen

26、_method：客户端用来获取授权信息的方式，默认采用0x06TAC_PLUS_AUTHEN_METH_NOT_SET := 0x00TAC_PLUS_AUTHEN_METH_NONE := 0x01TAC_PLUS_AUTHEN_METH_KRB5 := 0x02TAC_PLUS_AUTHEN_METH_LINE := 0x03TAC_PLUS_AUTHEN_METH_ENABLE := 0x04TAC_PLUS_AUTHEN_METH_LOCAL := 0x05TAC_PLUS_AUTHEN_METH_TACACSPLUS := 0x06TAC_PLUS_AUTHEN_METH_GUEST

27、 := 0x08TAC_PLUS_AUTHEN_METH_RADIUS := 0x10TAC_PLUS_AUTHEN_METH_KRB4 := 0x11TAC_PLUS_AUTHEN_METH_RCMD := 0x20 priv_lvl：等同于认证包中的priv_lvl. authen_type：等同于认证包中的authen_type。This field matches the authen_type field in the authentication sectionabove. It indicates the type of authentication that was perfo

28、rmed。 authen_service：等同于认证包中的authen_service。 user：认证包中的usr_name。 port：端口号。 rem_addr：客户端远程地址，ASCII格式。 arg_cnt：包体中参数的数量 arg：该属性用来描述说需要授权的command，以attribute-value pair(以下简写成AVP)的格式出现，如service=shell。最多255个字符，不可以NULL结尾具体arg的AVP如下：SN.KEYVALUE1Servviceslip, ppp, arap, shell, tty-daemon,connection, system f

29、irewall.2protocollcp, ip, ipx, atalk, vines,lat, xremote, tn3270, telnet, rlogin, pad, vpdn, ftp,http, deccp, osicp and unknown.3cmdShell command45676.3.2授权响应包体如图： Status：授权状态：TAC_PLUS_AUTHOR_STATUS_PASS_ADD := 0x01-通过授权，追加返回包体中参数TAC_PLUS_AUTHOR_STATUS_PASS_REPL := 0x02-通过授权，用返回包体参数替换TAC_PLUS_AUTHOR_STATUS_FAIL := 0x10-失败TAC_PLUS_AUTHOR_STATUS_ERROR := 0x11-服务器内部出错 server_msg：ASCII格式数据，用以展示给客户端。 Data：ASCII格式数据用以展示给管理员。6.4记账-ACCOUNTING包体结构记录client请求NAS网络许可服务器的用户名、所属组、task_id、t-Flags、持续时间，service、bytes-in、bytes-out、status等；NAS返回记账状态。管理员可以通过NAS的管理界面查看到Accounting的记账信息。6.4.1记账请求记账的请求包结构非常类似授权