身份、账号、权限及访问过程集中化、一体化管控实践——4A类平台化产品的前世今生和未来演进

前言

4A，是二十年前由中国移动提出的面向身份、权限及操作行为集中化管控的解决方案，进而成为行业类似平台常用的名称。4A以实现操作系统、应用层、数据库中为所有人员、网管等应用访问资产所建立账号的全生命周期集中化管理为目的，以“资产——人员和应用等访问者身份，即主账号——从账号”映射机制为基础，构建了基于用户身份、灵活的账号权限管理和用户访问通道、访问行为实时管控机制。

近日，业内很多文章非常及时地分析、转述《身份攻击向量》、《特权攻击向量》、《资产攻击向量》等文献的要点，也有同仁对4A、特别是4A是否存在身份管理功能、以及基于账户赋予身份内涵的方式等等进行了解读，相信这些文章有利于推动我国安全产业、重要用户凝聚共识，让大家逐步建立系统化解决以账号权限的创建、使用、审计在内的全程管控问题的技术框架，并实现账号权限映射到人（物）、实现基于身份、适应零信任时代的先进管理能力。

由于4A的发展历程较为漫长，其内涵早已不是字面上的4A所能概括，它只是这一类平台化解决方案的名称而已。同时，4A名称设计之初，单独面向操作系统层的专题化身份管理产品已经出现，而身份对应的是访问主体（从初期重点关注人的访问，到后来扩展到物，如网管系统访问资产、安全系统管理资产、各类应用系统之间互访）及其在组织中的岗位职责，在4A平台设计中，将身份具体化为“主账号”及其丰富的属性，而不再显性化强调身份的定义，通过主账号和从账号映射关系，实现千万个资产账号与自然人和应用程序等“数字用户”的对应，这种机制为4A顺利增加动态授权、实时验证机制提供了基础能力。因此，4A产品设计是包含身份管理机制的，并在技术设计规范中提出了与主账号没有关联的从账号为“孤立账号”“幽灵账号”等概念，在日常运营中，建立通过4A发现孤立账号的功能和对应的确认、处置流程。

作为过来人，虽然安全领域的新概念层出不穷，但依然相信4A等集中化、系统化身份、账号、权限、特权管理等解决方案在构建下一代安全技术体系架构中，将发挥基础性、关键性作用，也是强化全域管控的核心能力，也有责任对4A定位、系统化一体化设计身份、账号、权限、认证、特权管理的必要性和技术路径提供一些更加系统的解释，希望有利于推动安全行业在该领域进行产品研发、相关4A用户能够实现平滑演进。

本文在前期分四个部分陆续推出的4A技术介绍文章基础上，通过丰富一些历史背景，展开解释一些关键技术原理，为大家提供了解4A的窗口，理解4A等身份、账号、权限、认证、审计、特权管理等能力在整体安全技术体系设计中是如何发挥作用、如何提升安全效率的原理。

第一部分：4A缘起

中国移动创立并推动全面发展的4A，已经成为围绕IT资产各类人员、应用在网络设备和各类主机、服务器、瘦端点设备的操作系统层、应用层、数据库层的账号“事前授权、事中管控、事后审计”全生命周期，面向全球数百万资产的超大规模电信网络提供以面向人和应用程序在内的广义“用户”身份，建立身份目录框架下主账号和从账号映射关系，实现集中化账号管理（Account）、授权（Authorization）、认证（Authentication）、审计（Audit）基础功能，并融合访问入口（Access）收敛、单点登录（Single Sign On）、特权账号和指令管控（Privilege Account and Command Management）、程序调用接口、各类安全的多因素认证（MFA）、强密码自动修改、僵尸账号发现等技术，为内外部人员和应用提供统一的主机、网络设备、应用、数据库、云等全栈资源访问通道。因此，4A概念发展到今天，早已远远超越了简单的4个A的叠加，包含更多的“A”和其它功能，成为一体化、集中化身份、权限及操作行为集中化、系统化管控解决方案的代称，深入人心。“4”不再是特指，相信随着身份、权限及操作行为管理不断深化，可能还会有更多的新功能整合进来，而不用纠结要不要将4A修改为“5A”、“6A”、“7A”了，内涵更重要，不是吗？

2002年11月11日，结束在新加坡南洋理工大学的博士后工作，回到集团公司上班，我挑选大家最喜欢的“双十一”上班，足够有诚意吧。受到在新加坡期间接触的WEB应用统一账号管理、授权和认证解决方案ClearTrust的启发，并考虑到需要首先解决黑客攻击最喜欢的脆弱性之一——账号密码问题，于2003年年初申请启动编制技术标准，并于2004年底完成评审。因奥运会保障，首先于2008年在中国移动总部紧急部署。2009年，中国移动集团启动统一采购，从而拉开了全网部署的序幕。通过工信部安全考核标准，4A技术加速应用于整个通信行业，其价值也在其它行业逐步得到认可。

由于资产、身份、权限的梳理是一项庞大的工程，维护客户端及应用资源发布、超大并发处置机制、平台稳定性、时延控制非一日之功，因此，有理由相信，即便在如今零信任热炒的时代，尤其是对已经部署了4A在内的身份管理平台的用户而言，4A为代表的IAM产品必将作为完整的零信任解决方案中的资产、身份、应用发布、认证、策略管控的重要组件，继续发挥基础性作用，而不是过时、需要淘汰的技术，充分体现身份管理技术的自然演进的发展规律。

因此，从帮助大家了解4A、特别是更好地认识4A未来发展方向的角度，本公众号将陆续发布几篇文章，回顾4A的发展过程、设计理念、对于安全运维集中化的重要意义，并给出4A在零信任时代的演进路径建议。当然了，也会捎带回答经常遇到的几个问题，如4A是不是只是比3A多一个A？堡垒机和4A啥关系？4A的“4”要不要改成“6”还是其它？4A是否可以云化？总之，太多有趣的灵魂提出太多需要回答的问题，哈哈，爱思考的都是狠角色，向您致敬！

好了，言归正传，今天，带领大家乘坐时光机回到2000年，看看4A是从哪来的吧。

说正事之前，先说说我自己。因为，大千世界，芸芸众生，但我们一辈子很短，能遇到的人、事不多。遇到，恰好相知、相爱，这就是缘分。嗯，4A就是天意带给我的礼物。

2000年8月底，匆匆忙忙办理完停薪留职，来到新加坡南洋理工大学（NTU）EEE开始已经拖了几个月没有报到的博士后研究。那是互联网、特别是电子商务真正兴起的年代，包括某宝、某鹅也还在跌跌撞撞发展，在Hinny Kong Pe Hin教授的带领下学习e-commerce、mobile agent、data mining方面的技术，尝试做些安全方面的研究，帮助在NTU Innovation Center孵化的ASP中心，也就是类似于现在的PaaS云，编写安全管理手册。能力有限，没有给老师做出什么成绩，在这向教授道歉。

虽然不是计算机科学专业出身，但幸运的是，其中有一项工作是测评当时一家新加坡本地公司Sensecurity代理的Securant公司统一WEB应用身份管理、认证产品Clear Trust，将自己带入身份管理、认证、授权机制设计的奇妙世界。有谁知道Securant请举手！估计都保持沉默了。那有谁知道RSA公司？哈哈，都会抢着举手发言了吧。他们什么关系呢？

时光催人老，今天访问Sensecurity公司的官网，发现已经这样了，默哀三分钟。

Securant公司作为这个领域的先行者，抓住做网站就能上市的互联网暴富年代，为各类网站提供灵活的WEB应用账号权限管理解决方案，并提出了创新的smart rule概念，也就是基于用户账号属性的授权策略，实现灵活的权限管理。当然，还有所有IAM产品赖以勾引普罗大众接受、喜爱、沉溺于自己的SSO单点登录功能。

对Securant产品感兴趣的朋友可以留言给我。

我喜欢，有人更喜欢，这不，2001年，RSA公司捷足先登，把我“女朋友”给抢了，聘礼1.36亿美金，好歹，人家也是门当户对，退出竞争，以后回家自己再做一个。

财主豪横，接下来马不停蹄进行整合、并购，最终于2013年建立了完整的IAM产线。

在RSA强化安全帝国的同时，遥远的东方，有一拨穷的叮当响的人，在集团公司拿出10万元作为研究费用的情况下，开始了打造4A的艰难历程。

中国移动是电信运营商，日常维护的主体是各类通信网、业务系统、支撑系统，跨厂商环境，也有复杂的运维工具、脚本、平台，WEB类应用反而不是账号权限管理的重点，因此，在账号权限管理方面和Clear Trust有显著不同，这就是在中国推动4A研发最有意义的地方。

中国移动集团公司网络部网管中心安全组正式员工就几个人，所以将执笔编写的任务交由第三方承担，但能力需求、技术路线设计由我们主导。最先外包给北京国瑞数码，后来由北京华科广通信息技术有限公司接手，不是我见异思迁，而是故事太复杂。

系统名称，根据主要功能点的英文，取名为AAAA，因为太长，在评审前取名为4A。

2004年底，技术规范顺利通过了评审。

账号口令集中管理技术要求课题评审专家组名单

姓名	单位
***	国家信息安全工程技术研究中心、国家信息安全标准委员会
***	航天集团701所、国家信息办专家咨询委员会
***	信息产业部科技司、国家信息安全标准委员会
***	国家信息安全中心
***	中办
***	中国石化集团公司信息系统部
***	中国移动通信集团公司

4A是按照IT运维的内在规律，以日常运维必然掌控资源访问权限的事实为基点，集中化建设的核心技术手段，成为各类人员高度依赖的支撑平台。是否以基于掌握权限研发安全产品的理念，是否考虑运维痛点，是区分用户主导的安全产品与专业安全公司基于没有任何高价值信息基础上以扫描器思维研发产品的根本不同。我对运维手段的设计理念是“不能左手抓着一串钥匙，却像一个陌生人只能绕着房子、扒着窗户看里面有没有不安全因素”，网络安全的重要性提升之前，网管系统早已伴随着计算机、网络、IT系统的发展成为基本的运维手段，无一不以Telnet、SNMP、Syslog、Agent、CML等方式，使用分配的账号权限进行数据采集、指令控制，网络安全为什么就不行呢？

规范完成之后，进入比较提供商能力的阶段。虽然有Radius等AAA解决方案、CA公司eTrust产品等等作为候选方案，但与中国移动的需求相比，无一胜任，用户主导研发的模式就成为中国移动不得已的选择，从而进入厂商培育的漫长过程，困难重重，但也因此而自豪。

第二部分：4A成长史及其在新时期的借鉴意义

一.4A概念的独特性

1、兼顾账号权限管理的安全性和用户资源访问痛点的集中化设计理念

在2004年完稿的《中国移动信息系统集中账号口令管理（4A）技术要求》当中，明确了4A的含义及平台功能定位：

实现集中化的账号管理（Account）。管理员在一点上即可对不同系统中的账号进行管理，由系统自动同步不同系统下的账号，建立反映自然人身份、具有丰富的属性信息的主账号和从账号映射关系，账号创建、分配过程均留下电子记录，便于审计。
实现集中化的身份认证（Authentication）。管理员不仅可以根据需要选择不同的身份认证方式，而且在不更改或只对应用进行有限更改的情况下，即可在原来只有弱身份认证手段的应用上，增加强身份认证手段，提高系统安全性。
实现集中访问授权（Authorization）。对企业资产进行有效保护，防止私自授权或权限未及时收回对企业信息资产造成的安全损害；对应用实现基于角色的授权管理，在人员离职、岗位变动时，只需要在一处进行更改，即可在所有纳入4A框架的应用中改变权限；可以为授权增加特定的限制，如只有在规定的时间段、来自特定地域的人员才能访问指定的资源。
实现集中安全审计管理（Audit）。不仅能够对人员的登录过程、登录后进行的操作进行审计，而且能够将多个主机、设备、应用日志进行对比分析，从中发现问题。
实现单点登录（SSO，Single-Sign-On），方便管理员和普通用户登录不同系统。

4A规划首先源于安全方面的考虑，因此核心能力重在安全性保障方面，即实现“事前审批、事中控制、事后审计”的账号权限全生命周期管理。4A平台要自动发现并实现各类设备上账号，即4A的从账号的全生命周期管控，避免无主账号或者说幽灵账号长期无人维护成为弱密码重灾区。建立面向自然人或者应用程序的主账号，并与从账号关联，支撑自然人审计，将安全审计发现直接对应到责任人。实现基于角色、账号属性的授权，尤其是增加基于时间段、访问源地址等属性信息的细粒度授权，实现面向高权限账号、指令的双人制衡（二次审批）金库管理。支持不同安全级别的认证技术，并可以根据不同的访问权限、发起访问的位置进行选择。实现访问全过程、账号生命周期管理过程的全面记录、审计。

在后期建设过程中，为解决那些依然采用传统方式访问资源导致部分账号权限失控问题，引入了绕行控制机制，只有通过4A认证的用户才能访问资源，这一点是不是和当前热门的ZTA理念一致？

同时我们理解，4A将极大地改变大家访问资源的习惯，包括需要获取并在4A当中配置原来只有管理员才拥有的资源管理账号密码，必然引起很多人的抵触，需要从一开始就要考虑给大家带来什么直接的好处。人希望复杂事情简单化、能少做或者不做就不要麻烦的本性，是4A产品乃至后来其它各类安全管理技术的核心设计理念。因此，在提供用户使用便利性方面，一是通过SSO技术解决用户记忆所辖资源的所有账号密码，同时也规避了用户为了便于记忆设置相同或者完全有规律的账号密码的问题。二是将资源IP地址等没有明确含义的资源标识，替换为图标、系统或者设备带有功能标识的名称等，降低记忆难度。三是将所辖资源清晰呈现，维护范围或者说授权范围完全显性化。

2、4A不是A、A、A、A的堆砌

4A平台将账号管理（Account）、授权（Authorization）、认证（Authentication）、审计（Audit）统一在一个平台当中，而不像当时美国CA（Computer Association，美籍华人王嘉廉创立，曾经占据世界计算机行业的领导者地位，现在很多人可能已经不知道了）、IBM、Waveset等厂商将部分功能模块化、单独销售的思路，更不会走单独部署Identity Provisioning去实现账号与机构员工目录同步的道路，是充分考虑到要实现账号全程管控，必须实现账号创建、账号授权、账号认证、账号审计的高度一体化，

3、4A理念的创造性

在中国移动定义“4A”之前，业界主流产品主要是面向认证授权的AAA、面向账号管理的Identity Provisioning、面向审计的Audit产品、面向访问控制的Access Control等，在2002年realtimepublishers.com出版的《The Definitive Guide to Identity Management》一书中，提到了“FourAs”，将Authorization、Authentication、Access Control和Audit，放在一个段落当中进行了阐述，但将账号管理相关的Identity Provisioning在独立章节中进行描述，而我们认为， Authorization和Access Control其实都是授权的组成部分，一个是事前的静态权限设定、一个是用户访问过程中的权限赋予。

面对各省数以万计、十万计的电信运营商网络资源规模，覆盖所有IP化的软硬件资源、运维工具，也只有建设集中化4A，才能有效管控数十万、百万计的账号权限，

面向账号权限全生命周期管理的设计理念，是完整、系统地解决与账号相关的所有问题的最佳方法，是将账号管理相关事项解构之后，兼顾安全性和便利性的重构实践。

4、4A与堡垒机的关系

在通信行业大规模建设4A之后，很多人，特别是那些已经部署了堡垒机、尚在犹豫要不要建设4A的朋友，经常问起4A和堡垒机有什么不同。堡垒机作为一个发展的概念，特别是那些在最开始推出堡垒机并以堡垒机之名进行销售的厂商，也在借鉴4A的设计理念，实现其它缺失的功能，所以说，对某些厂商而言，技术趋同的趋势非常明显。因此，不能简单地说堡垒机和4A有什么区别，应该说哪个厂家的堡垒机和4A有什么区别更贴切。

4A概念提出之时，正是单点式部署的堡垒主机盛行的时期，有点像现在的代理服务器。在发展集中化4A技术的同时，简化版4A——堡垒机，与“堡垒主机”一字之差，横空出世，在降低资源发布、账号自动化采集、密码自动化修改等功能要求及适应复杂网络环境下的集中化管理要求的情况下，作为运维审计工具得到了快速发展。初期的堡垒机，主要面向安全管理诉求，落脚点在“审计”，基本上都是在不同运维入口部署不同的堡垒机，缺乏集中化管理能力。

二.兜兜转转的技术路线选择

1、2004年的4A架构设计

4A是一个涉及所有资源、所有维护人员、第三方支持人员、合作方的重要平台，最初设计的功能逻辑架构是非常简单的。

其中：

（1）集中化账号管理通过采集资源中已有的账号，建立资源与从账号对应关系。在4A侧，建立组织架构下的自然人树以及自然人与从账号对应关系。

（2）集中化授权的第一阶段以基于角色的授权方式为主。

（3）集中化访问控制是集中授权的第二个阶段，即访问授权阶段，一般通过采用访问控制技术，在访问链路上进行集中的权限认证和控制，使第一阶段的集中授权结果得到体现，保证网络资源受控、合法地被使用，用户只能根据自己的权限大小来访问系统资源，不得越权访问。访问控制模块通常由访问控制执行单元（AEF）和访问控制决策单元（ADF）组成：

这个模型和ZTA在用户通过认证之后进一步访问资源的管控逻辑，除没有时下的多维度评价外，基本一致。所以说，4A是最容易嵌入ZTA框架的IAM产品。

（4）支持用户名口令、令牌卡、PKI证书、生物识别认证技术、无感知认证技术。并支持根据用户不同的接入点、从账号级别选择不同等级的认证技术。需要特别介绍的是，2006年，在移动互联网还没有到来的年代，中国移动网络部提出基于SIM卡为各类互联网应用、内部运维提供无感知认证的新技术，由于各方面的局限性，当时没有得到应用。在移动互联网时代，中国移动应用该技术推出了连接众多行业的SIM认证服务，相信很多人已经在电子邮件、电子网银等众多应用中遇到过要求授权SIM卡认证的提示。

2、 Single Sign On（SSO）单点登录技术

SSO作为4A的一个重要能力，由于其实现机制的多样性以及不同实现方式存在明显的优缺点，也因此影响了整个4A的技术路线，需要在本节单独进行介绍。

SSO设计目的是为了简化人员、系统登录资产的复杂性，也为收走从账号密码管理权、即通过统一按照强口令策略修改密码从而提升系统安全性提供了手段。

SSO系统模型主要有：以服务器为中心的单点登录，以客户端为中心的单点登录和客户/服务器模式的单点登录。下面分别对这些模型进行分析比较。

（1）以服务器为中心的单点登录模型

在以服务器为中心的SSO模型中，所有的认证信息存储在服务器上的中央数据库中。当需要对用户进行认证时，这个中心服务器需要与每个网络设备，主机系统及应用服务器通信。这种通信需要中心SSO服务器与应用服务器集成，即在SSO服务器上开发应用系统的客户代理，这种模型的结构如下图所示。

以服务器为中心的单点登录模型

这种模型的登录过程为：

A. 用户用主帐号登录SSO服务器，并保持与SSO服务器的连接。

B. 用户通过SSO服务器在客户端展现的登录界面，访问应用系统、主机、网络识别。

C. 访问请求被SSO客户端发送到SSO服务器，由SSO服务器将主帐号对应的从帐号，及访问请求一起转发给所请求的应用系统、主机、服务器。

D. 用户从SSO服务器登出时，SSO服务器中断所有通过SSO服务器中转的连接，实现“一处登出，处处登出”，当然在应用服务器中也必须能够对这种非正常退出进行处理，不能因此而造成资源不能正常释放。

这种模型在WEBPortal系统中采用较多，它的优点是提供了单一的登录控制点，用户对网络资源的访问控制可以通过SSO服务器一点实现，因此权限比较容易和访问时间、访问者所处网段等结合进行控制。通过防火墙策略配置等手段，规定只有来自SSO服务器的访问才是合法的，则可以避免绕过SSO服务器的非法访问。

这种模型的缺点有：

A 对外部主机上的应用支持比较困难，需要在外部主机上安装代理程序；

B 从发起连接请求到断掉连接，用户需要一直保持与SSO服务器的连接；

C 为防止出现单点故障，SSO服务器需要冗余，要考虑负载均衡和备份；

D 技术上比较复杂，需要为端到端的集成进行定制开发。

（2）以客户端为中心的单点登录模型

以客户端为中心的SSO模型，与以服务器为中心的SSO模型正好相反，认证信息不是存储在一个中央数据库中，而是存放在用户端的工作终端上。这种单点登录模型如下图所示。

以客户端为中心的单点登录模型

这种模型的登录过程为：

A 在客户端部署专门的SSO客户端代理，支持所有应用。

B 用户先启动SSO客户端代理，用主帐号登录SSO服务器。登录成功后，SSO客户端代理自动将主帐号对应的所有从帐号从SSO服务器下载到本地，然后断开与SSO服务器的连接，SSO客户端代理继续运行，对客户机进行监视。

C 用户在需要的时候启动应用、主机、网络设备客户端，SSO客户端代理能检测到要求用户输入用户名和口令的窗口，从本地从帐号表中取出对应的从帐号/密码信息并自动填入认证窗口中，然后模拟用户点击，提交给服务器进行正常登录。

D 用户从SSO客户端代理登出时，SSO客户端代理清除本地缓存的从账号/密码，但不中断已经建立的连接。

这种模型的优点是不需要后端集成。典型的单点登录代理应该支持大部分的应用。另外由于认证信息存放在本地终端上，用户可以在任何时候访问业务应用系统。

这种模型的缺点是：

A. 应用、主机、网络设备仍然使用从账号/密码登录，只不过由SSO客户端代理代替用户填写从账号/密码而已。如果登录过程没有采用传输加密方案，从账号/密码可能被窃听。解决的办法就是采用传输加密方案。

B. 这种模型没有集中的访问控制点，如果用户知道从账号/密码，可以随时将SSO客户端停掉，直接用从账号登录资源。这样有可能造成某些非授权的访问。解决的办法一方面是采用避免客户端本地数据被破解、传输进行加密防止从账号被窃听，一方面是由SSO账号管理模块定期强制更改从账号密码，尽量减少被盗用的可能。

C. 由于没有集中的访问控制点，很难集中一点对用户进行细粒度的访问控制，包括将权限与访问时间、访问者所处网段等结合进行控制等都无法实现。但可以强化4A服务端与客户端侧同步策略控制的能力，实现细粒度授权和访问控制，即通过认证之后，将策略下拉到客户端执行。

（3）客户/服务器模式的单点登录模型

这种模型是前面两种模型的综合，具有单一的访问控制点并且由客户端侧的代理提供认证。模型如下图所示。

客户/服务器单点登录模型

在技术上，这种模型实现和维护的复杂性差不多是最大的。

这种模型的登录过程为：

A 在客户端部署专门的SSO客户端代理，支持所有应用。

B 用户先启动SSO客户端代理，用主帐号登录SSO服务器，主帐号验证成功后SSO客户端代理获得一个一次性的登录标识。

C 用户在需要的时候启动应用、主机、网络设备客户端，发出连接请求。

D SSO客户端代理捕获到连接请求，加上登录标识一起加密发送给服务器。

E 在服务器一侧有两种实现方法，一种是独立网关方式，即在服务器前面部署服务器端SSO代理，捕获到连接请求及登录标识后，解密，将登录标识转发给SSO服务器，查出登录标识对应的主帐号、从帐号，然后将从帐号及连接请求转发给服务器，完成正常登录；另一种是嵌入方式，即将服务器端SSO代理的功能以SSO API的形式集成到应用服务器中，实现上述通过登录标识完成登录的过程。网关方式比较适用于主机、网络设备，嵌入式方式适用于应用系统，为此，我们定义了应用系统API调用技术标准和软件包。

F 用户从SSO服务器登出时，SSO服务器废除原先颁发给用户的登录标识，SSO客户端代理中断所有连接，实现“一处登出，处处登出”，当然在应用服务器中也必须能够对这种非正常退出进行处理，不能因此而造成资源不能正常释放。

从上面的流程中，可以看到这种单点登录方案具有单一的访问控制点，并且由客户端侧的代理提供用户认证信息。

与以服务器为中心的SSO模型比较，这种模型对SSO服务器的负载压力要小得多，也不需要开发众多的端到端代理，便于集成主机和网络设备。

与以客户端为中心的SSO模型相比较，这种模型因为在服务器一侧具有单一访问控制点（服务器端SSO代理），不仅难以绕过，而且便于实现集中、细粒度的权限管理，另外由于不需要在客户端/服务器之间传递从账号/密码，就安全性来说也比以客户端为中心的SSO模型高。

（4）标准所建议的模型选择方案

从当时市场上的SSO产品来看，采用以服务器为中心的SSO模型的产品是最常见的，并且通常与Portal相结合，比较适用于集成B/S结构的应用，如在本系列文章的第一篇中提到的ClearTrust，但是对C/S结构的应用比较难集成。如果只需要集成B/S结构的应用，可以选购。

采用以客户端为中心的SSO模型的产品，在实施时基本上不需要对原有应用进行更改，对C/S结构的应用也能较好满足，但不能建立资源侧统一访问入口管控。通过客户端实现代填资源侧账号密码防护机制，通过4A服务端修改从账号密码，可以有效防止密码被抓取进行绕行访问、建立虚拟的资源侧访问入口。

采用客户/服务器SSO模型的产品要比采用前两种模型的产品少一些，但是这种模型是对前两种模型的综合，虽然实现相对复杂一些，但是兼有前面两种模型的优点，因此应该在采购时应优先选择。

本人倾向于采用第二或者第三种模型，不希望因为建立4A而将4A变成运维人员日常访问资源的瓶颈，但是，解决方案厂商选择了第一种。

（5）实践中的路线选择

在发布技术标准之后，部分厂家跟进启动了产品研发。

如采用第二种或者第三种混合模型，为适应管理员采用的UNIX、Windows等各类不同版本操作系统，需要提供不同的客户端，厂商的研发压力较大，以及在客户端中实现各类C/S、B/S、脚本的窗口抓取代填密码较为复杂，当时的厂商不约而同地采用了第一种模型，引入堡垒机建立资源发布和事中管控的能力，以B/S方式为4A用户提供单一的访问模式，将其它模型中的客户端适配要求放在了堡垒机上实现。

这些厂商采用的技术路线，让研发实现变得简单，但是，给4A带来了如何处理高并发情况下性能保障以及高度依赖CiTrix作为发布服务器产生的成本居高不下的问题，也带来了依赖客户端插件完成4A登录所导致的适配浏览器问题。

如果当时采用的是方案二、三，在动态授权功能不断强化、联合绕行控制措施的情况下，除了SPA机制，中国移动的4A就可能是全球最早的基于ZTA理念的解决方案了。今天，4A再次出发，向扩展身份管理系统演进。

3、技术选择的启示

技术路线选择真的是一个有趣的话题。技术路线各有利弊，厂家主要从开发难易程度、成本角度进行选择，而用户主要从安全性和便利性角度进行选择，一念之差，两种道路。

还好，都是可行的路线，在历史的长河中，这样的曲折不算什么。

最终效果交给时间验证。

三.实践中解决IAM产品需要克服的共性核心问题

IAM产品作为日常运维、访问各类应用的支撑平台、通道，成为日常工作高度依赖的工具，因此，其性能、功能、安全性、可靠性、细粒度控制能力、易用性等都必须得到有效保证。而实现对网络设备、主机、应用、数据库等各个层面，覆盖B/S、C/S等各类应用、指令行、脚本、批处理、多窗口等各类运维或者应用访问场景，必然对产品设计造成巨大挑战。

即便在今天SDP等ZTA解决方案成为热点的时代，这些问题依然是考验零信任解决方案提供商的重要方面，也是考察其产品真实能力的主要维度。至少是SDP、增强型IAM都是在传统IAM解决方案、实践成果的基础上的自然延伸，而不是推倒重来、无需积累的全新突破，不能认识这一点，无论是用户选择零信任产品还是厂商进行研发，都不会得偿所愿。

1、主账号和从账号的建立、映射问题

建立与管理架构一致的用户目录，全量采集所有应纳入管控范围的资产中的存量账户，建立自然人、应用程序与从账号对应关系，需要协调维护人员提供访问权限、梳理映射关系。

需要有强大的全量资产自动化发现技术支撑，避免资产游离在4A平台之外。

2、性能及稳定性问题

在数万人使用4A平台的环境，需要提前规划并保证高并发量情况下Citrix License数量，以及各个组件的处理能力。

通过4A进行访问，由于通过WEB方式转换各类C/S、批处理、指令行应用，尤其是GIS类应用，必然产生时延，需要通过发布服务器分离等技术进行优化。

在4A发布并供用户调用各类客户端、WEB浏览器、运维工具的平台，选择基于Citrix或者RDP，需要对比。

需要解决会话结束后资源能否正常释放的问题。

需要解决密码代填时，CRT、各类脚本、C/S、B/S应用窗口，特别是用户晃动鼠标的情况下准确抓取页面代填位置的问题等等。

3、密码自动化修改问题

通过4A修改从账号密码，一方面是实现密码定期修改的自动化，另一方面，也是提升4A平台使用率、避免管理员拥有从账号密码进行本地绕行。

在实现修改过程中，应规避4A侧密码和资源侧密码修改不一致问题，避免产生不同步情况下丢失资源账号密码、影响用户登录的问题。

4、备份解决可靠性问题

作为日常运维、资源访问的基础性手段，4A的可靠性极端重要。需要建立同城异地、不同省份的备份节点，并实现数据同步、以及故障情况下的平滑切换能力。

5、与VPN的整合

在4A建设的同时，运维部门针对远程运维需要部署了VPN，实现基于VPN账号的接入管控。因此，需要解决VPN、4A两次登录问题，实现完全的SSO单点登录。

当然，在强化4A客户端实现加密、特别是采用零信任SPA技术的情况下，VPN可以被完全替代。

6、图形审计

无论是独立的堡垒机还是4A中使用的图形堡垒，都存在如何审计图形应用访问日志的问题，需要通过标签化等技术予以解决。

7、双人制衡金库管理

针对容易导致敏感数据泄露、系统宕机等严重故障的指令操作，需要在4A常规细粒度访问控制能力基础上，提供高权限从账号、高危指令的事中审批控制机制，即双人制衡金库管理机制，是中国移动将银行领域的金库管理理念在细粒度访问控制方面的创造性应用。

正如边界访问控制从基于大的网段到内部划分小的区域、到主机到基于身份，在4A中或者联动其它安全组件实现对用户特权账号、指令的综合管控，即PIM、PAM等诉求，有其最便利的条件，将会在目前架构下继续完善。

四、长大成人

自从2003年技术规范编制立项、2004年通过评审、2008年第一套4A平台在中国移动集团上线，已经过去了十八年。所有参与技术规范编制、AAA等各类参照类产品比较、4A研发、部署、应用、优化的人员一起，经历无数的磨难，用巨大的付出、持续的努力，换来今天基本稳定甚至是让人感觉已经老了的样子。没有感觉，每天又在用，不正是一个产品做好以后该有的样子吗？正如人在没有疾病的时候，你不会感觉到皮肤、胃部一样。

通过纳入两部委考核，强制在整个通信行业部署、应用4A，其它行业广泛应用4A、4A纳入央采目录，4A技术吸收了各类使用场景中的有效需求，其逻辑功能架构也变成了今天的样子：

不同行业广泛接受4A理念，也吸引更多公司、催生了众多新兴公司参与到4A及堡垒机产品研发中来，形成了良性循环。

4A也从早期的Account、Authorization、Authentication、Audit，增加到了目前基于绕行控制措施在内的Access Point，即统一入口。未来，还会在安全态势感知、UEBA、SIEM、基于流分析的威胁检测技术不断成熟的情况下，增加Assessment……，4A变成5A、6A还是更多？其实，4A中的数字已经不重要，它代表的就是一个随着IT技术、其它安全分析技术发展而不断演进、不断完善的账号权限全生命周期管理解决方案。

4A的目标用户定位，也已经从早期的内部用户使用的平台，转化为面向云租户、个人用户的身份管理平台，如九州云腾就是将4A云化、赋能小型企业用户和个人用户的典型案例，相信身份管理解决方案在移动互联网、工业互联网、物联网时代，必将迎来新的春天。

作为4A技术的先行者，中国移动一批又一批的安全管理和IT运维人员，在实践的过程中，以遇山劈路、遇河架桥的勇气，持续为此做出了巨大贡献，感恩与大家一路同行。

第三部分：成为安全高效集中化安全管理能力建设的基础设施

1、甲乙方思维模式决定了各类安全解决方案设计思路和效果存在天壤之别

现实世界，大量安全管理解决方案基于无法拥有资产信息及其控制权这一假设作为安全产品设计、提供安全服务的前提，与系统运营者进行日常安全管理的基础能力完全不同，因此，甲方在采购、部署安全能力平台时，不能照搬照抄乙方基于这种思维设计的低效解决方案。具体来说，采用无资产控制权信息支撑的安全评估、安全检测、安全监测工作方法有着显著、致命性的局限：

（1）角色所限，只可远观。无法全面、透明了解防护对象内部的组网、资产构成、业务逻辑，看到的都是暴露面、局部、片段的信息，在此基础上发现的问题、给出的加固方案不可能是有深度、系统全面的。

（2）风险管理的A、V、T、P四元组全面碎片化，导致分析结果有限

① A：充其量知道IP地址段、域名，可扫描到公网可访问的部分IP，其它设备？信息？更多的信息缺失。

② V：远程扫描获取零星信息，扫描器功能不足、漏洞的本地或者远程可用性特性、网络策略限制、安全设备和设备自身对扫描类攻击的限制等等。

③ T：谁、通过什么途径、做什么

主要关注来自互联网的攻击。
一个系统有多少入口？只关注互联网入口，内部系统之间的影响丝毫不逊于互联网
不知内部资产，怎么能判断贼的兴趣？

④ P：攻击所用的物理或者网络途径是否存在、攻击目标是否有攻击者使用的技术或者管理漏洞、造成的后果是否具有足够的诱惑力

而从甲方、系统运营主体的角度看待上述要素，却能够在充分利用资产控制权基础上趋近全面、准确、实时的数据质量要求，从而进行全面安全管理，由此产生独特的管理和技术创新。

（1）运营主体

– 100%管理权

– 必有一个环节掌握全面信息

（2）拥有全面的基础信息，决定了作为基础网络和信息系统运营主体的基础网络和信息系统运营者，网络安全工作必须采取不同于黑盒测试模式的传统安全检测、监测方法，也必将取得完全不同于第三方的安全管理成果。

（3）面对复杂的网络环境和网络管理难题，决定了基础网络和信息系统运营者必须在新时期引领技术革新并有所作为。

二者核心区别在于是否拥有并基于连接资产的通达路径、访问资产的账号权限，那么问题来了，如何统筹考虑各类安全能力平台访问资产的账号权限、网络通达性问题？

共同利用4A与资产之间的连接能力就是解决问题的答案，4A相当于安全管理支撑手段大厦的基石，由此建设功能强大的整体安全管理支撑能力。

2、以4A网络物理连接通道和账号权限逻辑通道为核心的安全管理能力建设步骤

（1） 第一步：4A，打通任督二脉，建立起总部和下级机构两级管理中心到所有被管对象的神经系统，建立账号、权限、认证、审计（自动化审计）、金库管理、密码自动修改等核心功能，管好资产、人员、权限、操作。

（2） 第二步：基于两级分别建设的4A网络、访问各类资产的账号权限，快速搭建全网大集中的远程配置核查、弱口令核查、防火墙策略核查、安全域划分核查、端口服务异常检测、安全事件管理、系统和WEB漏洞管理等上层功能。基于4A程序调用接口方式，基本消除独立建设各个模块、各自分配访问资产的账号权限、配置各模块到资产的网络访问控制策略等工作量，缩短了平台部署周期。

（3） 第三步：完善平台自诊断和自动闭环管理能力

A通过自诊断，维持管理平台的高可用性，防止：

① 接入4A的老系统失联，导致上层安全管理功能失去管理对象

② 日志采集失控，如设备日志记录能力未开、未正确配置Syslog发送方向、网络故障导致数据传送故障

③ 不符合流程的设备变更

新增设备未纳入管理范围，导致盲点
下线设备未删除，导致系统垃圾信息
互联关系变化，导致访问控制策略失效、域结构受损或者管理平台中的信息冗余
功能、软件、进程变化，导致引入新的软件漏洞

① 绕行，规避4A控制，产生其他攻击入口

② 几乎所有管理类IT系统的相同问题，需要采用创新方法解决

B自动化闭环管理

① 目的：有问题必解决，避免大量的跟进协调等低效工作，摆脱对人的主动性的依赖。

② 方法：不同类型安全设备的例行任务按照维护作业计划设定，定期自动执行；发现影响管理平台可用性问题、安全漏洞问题、合规问题、异常等等，自动生成新的任务，按照不同类型问题的处理时限要求，进行自动跟踪，超过处理时限的，结合工单系统内部管理机制升级告警，影响员工绩效考核。

（4） 第四步：实现以“全面、标准、精准、自动高效、自适应、趋势管理、自我管理、可视化”为主要特征，集成大数据等核心技术，平台统一、架构开放、完全云化的全网网络安全运行管理大集中。

3、程序调用接口概述

程序调用接口或者“指令通道接口”（以下简称“接口”）是指为合规管理平台、智能巡检、集中备份、各类集中操作维护系统、维护人员自行开发的维护脚本等自动化程序提供的程序调用接口，用来解决这类自动化程序通过平台访问4A已接入资源的问题，工作逻辑见下图。

4A需要提供指令通道接口功能。指令通道接口具体功能包括：

1）自动化程序访问指令通道接口，提出需要访问的接入资源，必须提供的信息为主账号名、主账号口令、接入资源名称或IP、接入资源账号；

2）指令通道接口接收到访问需求后，向安全管控平台认证管理模块进行认证，核查其认证信息是否正确，如果认证成功要进一步核实该主账号是否有访问该资源的权限；

3）指令通道接口接收到认证和鉴权的结果后，如果认证、鉴权均成功，则指令通道接口为自动化程序打开访问资源的通道；

4）指令通道接口将所有指令行方式的操作日志发送到管控平台审计管理模块以便进行事后审计。

5）指令通道应该支持Telnet、SSH协议，并在此基础上具备支持扩展协议的能力。

指令通道不提供事务处理功能，包括指令执行的回退、重连、异常中断后继续执行等。

4、以4A为基础设施，快速构建安全高效的安全管理技术支撑体系

从市面上常见的各类等保合规检查箱、基线检查工具等产品，到基于网络和权限通道的适合常态化安全运营管理的自动化安全管理能力平台，支撑定时、周期性或者随机触发的自动化检测、闭环管理，从而建立了一种框架统一、模块化、接口开放的积木式平台建设架构。

安全管理的内容就是监督检查找问题、变更管理做配置、监测应急处意外，因此，几乎都和账号权限、访问资产有关。因此，以4A或者其它账号权限管理平台为基础建设能力平台，就成为一种安全、高效的实践模式。

第四部分：在零信任时代浴火重生

在NIST有关ZTA标准发布后，国内快速跟进，在制定技术标准、围绕该热点进行企业宣传等各个方面都有相应动作，也有很多关于SASE、ZTA关系的论述，以SDP产品为主的安全企业如雨后春笋，对提升我国网络安全能力有重要作用，但是，不难看到，由于对ZTA技术的理解还存在巨大的商榷空间，也存在部分SDP产品厂商不考虑用户账号权限管理复杂性、缺乏资源发布、访问性能设计、基于不准确规则进行动态策略管控风险等问题，错误引导用户，与用户已有堡垒机、4A等IDM产品并行部署，或者仅仅进行简单的数据同步，距离以零信任为思想进行网络安全能力演进、而不是所谓的彻底颠覆的发展方向依然相距甚远，。

一、关于ZTA实现方案的解读

从ZTA的本质来说，无论是NIST标准，还是国内安全行业，将SDP、基于身份的零信任、微隔离作为ZTA的三种技术的说法不科学。零信任技术的初衷，需要要解决的是基于IP的访问控制模式存在不能适应云化、虚拟化特别是迁移常态化引起的访问控制策略难以维护的问题，需要解决东西向防护问题，自然是一个兼顾各种访问场景的综合解决方案。

解决方案的重点之一就是基于身份的动态访问控制，因此需要实现人、资产、应用身份的数字化，并基于身份和主体、客体的安全状态进行动态、细粒度访问控制，因此，本质上，侧重南北向的SDP依然无法脱离身份管理问题，需要面对资源、权限、访问关系、资源发布等传统IDM产品解决的问题；微隔离依然需要在更微观的层级解决解决应用、进程身份数字化问题，权限管控问题，需要解决比主机数量高几个数量级的应用的特征识别问题，作为应用身份数字化和动态行为分析的基础。因此，作为必然同时面对内外部应用访问、运维访问、应用间访问的IT运营部门，不能将身份管理分散开来，并据此建设各自独立的SDP、IDM增强ZTA、微隔离产品，需要统筹身份管理这一核心功能，避免出现在不同的访问场景下需要用不同的账号访问不同的ZTA产品这种现象，也避免出现重复梳理、维护账号权限、账号身份等信息。

解决方案的重点之二，需要针对各种访问场景进行全面的方案设计，因此，完整的解决方案应该是在身份统一管理的前提下，整合SDP、IDM、微隔离技术，如引入敲门机制、安全代理，整合IDM产品的资源发布和策略管控功能、SDP的安全网关功能，建立统一PEP能力。

从ZTA的逻辑架构来说，NIST强调的是各个功能框为逻辑功能，不是物理上独立的实体。因此，也就将具体的ZTA解决方案设计权利留给了最终用户和安全行业。

综上分析，不是存在三种ZTA技术，而是在统一考虑身份管理、PEP功能设计的前提下，通过三种技术关键功能逻辑的融合，构建统一的覆盖IT运维中各种访问场景的单一解决方案。

二、4A为代表的IDM产品在ZTA架构中的演进模式

IDM产品已经成为各行各业的标配，运行多年，平台建设、运营过程在梳理资产、应用、用户树、权限关系等方面发挥了重大作用，在针对主机、网络设备、应用、脚本等各类资源的发布、并行访问能力方面进行了长期探索、积累了丰富的经验，在客户端设计方面也有基础，因此，通过引入原理简单的SPA单包授权认证为核心的隐身技术，整合自有或者第三方可靠的访问行为分析、SIEM、态势感知、网络流量分析技术之上的动态访问控制技术，在以身份为核心的访问控制架构建设时期必将占据独特地位。

4A作为以身份为核心、针对所有不确定源IP访问场景进行访问控制的解决方案，结合账号级别、命令级别的金库管理双人制衡机制，为运维人员、形态之间互访提供了强大的安全保护，实际上是ZTA的早期形态，其关键模块和业务逻辑如下：

与ZTA模型相比，缺乏的是网络隐身能力、基于UEBA等技术的实时动态检测，用户通过4A认证之后没有灵活的资源访问权限动态控制能力，客户端在检测用户终端环境安全、敏感数据管控方面能力不足，也没有提供客户端到PEP设备的加密机制。

动态权限管控能力的不足，可以通过4A认证、资源发布流程调整，将上图中的第三步指向PE模块，根据PE返回的结论，显示访问自研，并通过改造后的堡垒机，实现实时访问控制、数据加密。

针对网络隐身能力不足，可以结合门户和防火墙设备，针对不确定性源IP地址，引入SPA技术，进行网络隐身。

平滑的演进模式，给最终用户提供的是单一的入口、统一的身份管理、模块化的架构，以及对4A平台用户不变的使用感知，从而保障了用户投资、持续发挥4A建设、优化的经验价值。

三、甲方的选择策略

作为融合传统IDM、SPA机制、UEBA、SIEM、EDR、数据安全等多种技术的解决方案，需要确保各个功能模块均足够强大、有效，才能保证ZTA架构的可靠运行。比如，动态访问控制的决策依据如果不能保证准确性，就会严重影响实时访问的用户感知，甚严重重大故障处置运维工作。如果动态访问控制决策仅仅基于静态规则，如根据访问地址、访问时间，对用户权限进行动态调整，就不能实现ZTA的关键目标，而变成又一个虚假的ZTA解决方案。大家知道，原来的堡垒机、4A也有类似的功能啊。

从技术的复杂性和国内安全产业现状来看，很难有单一公司可以全部提供ZTA架构中所有模块并能够全部达到领先水平。从技术演进来看，鉴于很多用户已经部署了SIEM、4A、堡垒机、EDR、UEBA等产品，也需要按照集成思路，在统一规划ZTA架构前提下，以模块化、接口化为原则，抓住选择权、主导权。

基于身份进行持续验证、动态授权和全局防御是ZTA的灵魂，身份是基础，技术复杂性在动态授权，因此，PE、PA和PEP是ZTA解决方案的关键能力，需要提供商具备强大的安全事件分析背景、整合SIEM和UEBA等技术的丰富经验。这应该作为甲方选择主导厂商时重点考虑的方面。

第五部分：能力云化开启新的服务市场

在和头部4A解决方案提供商探讨的过程中，大家多次提到4A项目已经难以赚钱、用户也不知道该提出什么新需求的问题。从产品都有生命周期的角度来说，这很正常，4A在完善功能、解决稳定性、可靠性和并发能力等使用感知方面的问题之后，除了持续跟进覆盖新的资产形态、适应被管对象云化、容器化等技术发展趋势外，确实不能再在已有功能方面让用户继续掏钱。

在零信任时代，应更多地将4A的能力放在零信任框架下，解决部分能力解耦、与零信任其它组件协同问题。更多的资金，用于解决时时验证的数据多维性、准确性问题方面，放在架构适应IT多云化部署趋势方面。这些内容应该成为IAM等产品新功能方面的着力点。

由于商业用户、个人用户IT和数据资产日益多元，访问的系统数量呈现爆发式增长，账号权限使用不便的问题、安全管理意识也日益增强。同时，国家在网络空间身份管理方面也在进行规划，以身份、账号、授权、认证、审计等内容为核心并对外提供服务的专项安全服务能力云，将会逐步成为该类解决方案寻求的更大市场。