电信我的e家”技术规范-终端综合管理系统v0.docx

中国电信“我的e家”技术规范 －终端综合管理系统技术规范（V2.0） 中国电信集团公司 2010年5月 目 录 1 范围 1 2 引用标准 2 3 缩略语 3 4 ITMS在业务网络中的位置 5 5 ITMS结构概述 6 6 ITMS功能模块 8 6.1 日常工作计划管理模块 8 6.2 网元管理模块 9 6.2.1 设备认证 9 6.2.2 状态监视 9 6.2.3 参数配置 11 6.2.4 软件升级 11 6.2.5 故障检测 12 6.2.6 告警 12 6.2.7 设备信息管理 15 6.2.8 版本/配置模板管理 17 6.2.9 业务代码管理 19 6.2.10 分组管理 19 6.2.11 中间件模块管理 20 6.3 系统管理模块 20 6.3.1 安全管理模块 20 6.3.2 日志管理 24 6.3.3 系统设备管理 25 6.3.4 报表管理 26 6.4 外部服务接口模块 29 7 系统运行流程 30 7.1 零接触自动配置流程 30 7.1.1 触发原因 30 7.1.2 系统功能前提 30 7.1.3 流程图示 31 7.1.4 流程描述 31 7.1.5 可扩展案例 32 7.2 批量设备升级流程 33 7.2.1 触发原因 33 7.2.2 系统功能前提 33 7.2.3 流程图示 34 7.2.4 流程描述 34 7.2.5 可扩展案例 36 7.3 批量设备业务配置流程 36 7.3.1 触发原因 36 7.3.2 系统功能前提 36 7.3.3 流程图示 37 7.3.4 流程描述 37 7.3.5 可扩展案例 38 7.4 单设备业务配置流程 38 7.4.1 触发原因 38 7.4.2 系统功能前提 39 7.4.3 流程图示 39 7.4.4 流程描述 40 7.4.5 可扩展案例 41 7.5 组状态监控流程 41 7.5.1 触发原因 41 7.5.2 系统功能前提 41 7.5.3 流程图示 42 7.5.4 流程描述 42 7.5.5 可扩展案例 44 7.6 故障诊断与定位流程 44 7.6.1 触发原因 44 7.6.2 系统功能前提 44 7.6.3 流程图示 45 7.6.4 流程描述 45 7.6.5 可扩展案例 46 8 系统可靠性要求 47 8.1 稳定性要求 47 8.2 备份、倒换和故障恢复要求 47 9 系统组网要求 48 10 系统软硬件要求 49 10.1 软件要求 49 10.1.1 总体要求 49 10.1.2 操作系统要求 49 10.1.3 应用软件要求 50 10.1.4 数据库要求 50 10.2 硬件要求 51 10.2.1 总体要求 51 10.2.2 主机系统要求 52 10.2.3 存储设备要求 52 10.2.4 备份设备要求 53 11 北向接口技术要求 54 11.1 北向接口概述 54 11.2 ITMS与BOSS系统接口定义 55 11.2.1 ITMS与BOSS系统接口描述图 55 11.2.2 ITMS与BOSS系统接口概述 55 11.2.3 业务发放接口 56 11.2.4 故障处理接口 59 11.2.5 设备管理接口 61 11.3 ITMS与e家终端综合报表系统接口定义 62 11.3.1 ITMS与e家终端综合报表系统接口概述 62 11.3.2 提供e家业务相关数据接口 63 11.4 ITMS与热点AP报表系统接口定义 67 11.4.1 ITMS与热点AP报表系统接口概述 67 11.5 ITMS与IPTV业务平台接口定义 71 11.5.1 ITMS与IPTV业务平台接口概述 71 1 范围 本标准定义了中国电信终端综合管理系统（以下简称ITMS）的总体功能要求、系统构架、模块功能、系统运行流程、软硬件要求、安全要求、性能要求及与其他相关系统或平台的接口要求。 本标准为中国电信终端管理系统的规划、建设以及业务开展提供基本依据，适用于中国电信e8、e9终端的远程管理。 2 引用标准 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注有日期的引用文件，其后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 TR-068 Base Requirements for an ADSL Modem with Routing TR-069 CPE WAN Managemennt Protocol TR-098 Internet Gateway Device Version1.1 Data Model for TR069 TR-104 Provisioning Parameters for VoIP CPE TR-110 Reference Models for VoIP Configuration in the DSL Home TR-111 Applying TR-069 to Remote Management of Home Networking Devices PD-069v5 TR-069 with Change Text from WT-121 PD-128v4.1 Interoperability Test Plan for TR-069 Plugfests WT-121v5 TR-069 Implementation Guidelines WT-131v3 ACS Northbound Interface Requirements WT-135v4 Data Model for a TR-069 Enabled STB 3 缩略语 ACL Access Control List 访问控制列表 ACS Auto-Configuration Server 自动配置服务器 ADSL Asymmetric Digital Subscriber Line 不对称数字用户线 ATM Asynchonous Transfer Mode 异步传输模式 ATUC ADSL Transceiver Unit Central ADSL局端收发单元 BOSS Business Operations Support Systems 电信业务运营支持系统 CA Certificate Authority 证书认证 CPE Customer Premises Equipment 用户e家终端设备 CRC Cyclic Redundancy Check 循环冗余校验 CRM Customer Relationship Management 客户关系管理 CSV Comma Separated Values 逗号分隔文件 DNS Domain Name System 域名系统 DSL Digital Subscriber Line 数字用户线 FEC Forward Error Correction 前向纠错 HGW Home Gateway 家庭网关 HTML Hyper Text Markup Language 超文本标记语言 HTTP Hyper Text Transfer Protocol 超文本传输协议 IP Internet Protocol 网络协议 IPTV Internet Protocol Television 网络电视 ITMS Integrated Terminal Management System 综合终端综合管理系统 I/O Input/Output 输入/输出 LAN Local Area Network 局域网 MAC Media Access Control 媒体访问控制层 MGCP Media Gateway Control Protocol 媒体网关控制协议 NMS Network Management System 网络管理系统 OUI Organizationally Unique Identifier 组织唯一标识符 PKI Public Key Infrastructure 公开密钥体系 PPPoE Point-to-Point Protocol over Ethernet 以太网点对点协议 PVC Permanent Virtual Circuit 永久虚电路 RAID Redundant Array of Inexpensive Disc 廉价冗余硬磁盘阵列 SCSI Small Computer System Interface 小型计算机系统接口 SIP Session Initiation Protocol 会话起始协议 SMP Symmetrical Multi-Processing 对称多处理器 STB Set Top Box 机顶盒 URI Uniform Resource Identifier 统一资源标识符 TCP Transmission Control Protocol 传输控制协议 OLTP Online Transaction Processing 联机事务处理 VPN Virtual Private Network 虚拟专用网 VC Virtual Circuit 虚电路 VoIP Voice over IP 基于IP的语音 WLAN Wireless Local Area Network 无线局域网 WAN Wide Area Network 广域网 4 ITMS在业务网络中的位置 终端综合管理系统（Integrated Terminal Management System，简称ITMS）是基于TR069协议各类宽带网关及应用终端（以下简称网元设备）的管理系统，它通过北向接口与BOSS系统，实现对各类网关及应用终端的统一管理。 ITMS在网络中的位置如下图所示： 图4-1 ITMS在网络中的位置图 5 ITMS结构概述 终端综合管理系统提供对用户侧e家终端网元设备，包括e家终端、机顶盒等设备、公共网络侧网元设备，包括热点AP等设备的统一管理和业务的远程配置、软件的远程升级、故障诊断等功能。所有接口规范参见《中国电信“我的e家”技术规范 － e家终端与终端综合管理系统接口》、《IPTV机顶盒与终端综合管理系统接口规范》和《WLAN热点接入设备与终端综合管理系统接口规范》。 图5-1 ITMS结构图 终端综合管理系统由四个模块构成，如下图所示： 日常工作计划管理模块：完成对特定或例行任务的日常工作计划编制，包括版本控制计划、配置管理计划、告警故障分析计划和系统维护计划； 网元管理模块：完成对网元设备的操作，包括设备认证、状态监视、参数配置、软件升级、故障检测及告警、用户设备信息、软件版本、配置模板、设备分组及业务代码、中间件的管理； 系统管理模块：提供对系统的安全、设备、日志、报表及数据库的管理功能； 外部服务接口模块：提供与外部系统（如BOSS系统）之间的接口服务功能。 6 ITMS功能模块 6.1 日常工作计划管理模块 日常工作计划管理是指系统在正常工作运行过程中，为了适应用户业务需求变化、提高系统总体性能指标、保障长期稳定运行而进行的日常管理工作，包括以下几种类型： Ø 版本控制计划 根据业务需要进行网元设备设备软件版本的更换，保证ITMS系统记录的网元设备版本和网元设备实际版本信息一致 Ø 配置管理计划 完成网元设备配置模板的增减更新，配置文件下发启用、配置结果的记录保存 Ø 告警故障分析计划 统计分析告警故障信息，为ITMS系统和网元设备的运行维护提供参考与保障 Ø 系统维护计划 检查清理ITMS系统资源，分析评价系统性能，清除潜在风险，提高可靠性 Ø 审核工作计划 在批处理网元设备升级和配置前，ITMS平台应支持操作校验，如先进行小批量升级和配置测试，如果没有异常，才有权限进行现网批量操作。所有大规模网元设备升级和配置前，必须进行小批量升级，对小批量升级结果进行确认，如全部升级成功后并成功注册，进行大规模升级。大规模网元设备升级数量的10％作为先期小批量升级的数量。（大批量和小批量的数值人工可调） Ø 异常工作计划 对网元设备软件远程升级和远程配置失败时的异常事件的工作计划策略。 在网元设备升级和配置失败时，如果网元设备未连上ITMS，ITMS不进行重试，如果网元设备连上ITMS后，ITMS重试一次，最多不超过三次，三次失败后，转为人工干预。 在批量网元设备升级和配置失败时，当升级或配置成功率小于80％，停止后续批量网元设备升级和配置。 日常工作计划分为定时单次执行计划和周期触发执行计划两种，由IMTS的运维管理人员定制执行的日期和时刻，系统在指定的时间自动触发执行。 ITMS的运维人员能够依据软件升级、参数配置、故障检测、故障告警等制订工作计划。 6.2 网元管理模块 网元管理模块负责解释执行日常工作计划对象布置的各项任务，包括设备认证、状态监视、参数配置、软件升级、故障检测及告警、设备信息、版本/配置文件信息、业务代码的管理，提供设备的分组管理及其绑定关系的管理功能。 数据库数据字典参见附录B。 6.2.1 设备认证 系统包含以下设备认证方式： Ø 基本认证：通过生产厂家提供的HGW数据（OUI+序列号），系统对网管进行上电连接认证； Ø Digest认证：WWW-Authentication摘要认证，网元设备配置缺省用户名为：hgw，缺省的密码为：hgw；ITMS配置缺省用户名为：itms，缺省的密码为：itms； Ø 证书认证：证书密码强度、密码有效期、强制更换时间等管理； Ø 复合认证：采用PKI方式和CA进行双向认证。 6.2.2 状态监视 Ø 系统支持以下状态监视方式： 查找终端支持的参数 查找终端支持的参数模型 Ø 监视的状态包含以下内容： e家终端： DSL状态和上下行数据 带宽同步速率 ATM VC状态和数据 PPPoE状态和数据（在线与否、帐号信息） IP地址数据（IP地址、子网掩码、DEFAULT GATEWAY、DNS） LAN端口状态和数据 WLAN端口状态和数据 IAD模块是否注册成功（针对e8-C设备） IPTV机顶盒： 总RAM大小 存储大小 丢包率 丢帧率 媒体流带宽 认证的总次数 认证失败的总次数 加入组播组的总次数 加入组播组失败总次数 单播申请的总次数 单播申请失败的总次数 Http请求的总次数 Http请求失败的总次数 异常断流的次数 热点AP: 工作时间 用户侧（无线侧）接收字节数 用户侧（无线侧）发送字节数 网络侧（有线侧）接收字节数 网络侧（有线侧）发送字节数 无线用户数 用户侧（无线侧）接收包数 用户侧（无线侧）发送包数 网络侧（有线侧）接收包数 网络侧（有线侧）发送包数 SSID Ø 支持以不同颜色来显示不同的状态;如红,绿来显示断线,在线等 6.2.3 参数配置 系统支持以下参数配置形式：（具体参见《中国电信“我的e家”技术规范 － e家终端与终端综合管理系统接口》、《IPTV机顶盒与终端综合管理系统接口规范》和《WLAN热点接入设备与终端综合管理系统接口规范》）。 Ø 支持所有TR－069参数配置 Ø 支持TR－098,TR－104,TR-135,TR－111等和将来的TR069扩展 Ø 支持配置参数的文件方式上传及管理 Ø 支持配置参数的文件方式的复原 Ø 支持配置参数更改的通知(VALUE CHANGE) 6.2.4 软件升级 系统支持以下软件升级形式 Ø 支持管理员人工升级 Ø 支持基于日常工作计划的初始安装第一次启动时自动升级 Ø 支持基于日常工作计划的Periodic Inform自动升级 Ø 支持基于日常工作计划的设备重新启动时自动升级 Ø 支持基于日常工作计划的下次连接到ITMS时自动升级 Ø 支持基于日常工作计划的其他事件触发时（如配置改变时）升级 6.2.5 故障检测 系统支持以下故障检测方式和类型 网元设备： Ø 支持远程重启(REBOOT) Ø 支持远程恢复出厂设置(FACTORYRESET) Ø 支持日志上传 e家终端： Ø 支持分层诊断：物理层(如：ADSL)、链路层(如：PVC)、传输层(如：PPPoE、IP连接),或服务层(如：DNS)的TR－069相关参数的查询 Ø 支持网络状态诊断 – PING, TRACE ROUTE, DNS QUERY, HTTP GET Ø 支持故障数据字典参见《中国电信“我的e家”技术规范 － e家终端与终端综合管理系统接口》。 IPTV机顶盒： 建议扩充 热点AP: Ø 支持分层诊断：物理层(如：ADSL)、链路层(如：PVC)、传输层(如：PPPoE、IP连接),或服务层(如：DNS)的TR－069相关参数的查询 Ø 支持网络状态诊断 – PING,HTTP GET 6.2.6 告警 n 告警包括设备运行中出现的与业务提供、操作管理、运行维护相关的各种异常事件。 n 告警管理的目的是使操作维护人员能及时了解设备出现的异常运行状态，帮助操作人员确定故障原因和故障位置，以便及时纠正问题，保证设备的正常运行。 1． 网元设备产生的告警不发向ITMS，只记录在本地系统日志文件中。 2． 管理系统根据需要（配合诊断、对重要客户进行监控等）以日常工作计划方式监控其告警。 3． 管理系统在正常情况下主要监控系统自身的告警。 n 告警阈值管理： 系统运行中任何告警的产生，都有一个渐进的过程，即从各监控点上的性能值的变化过程，可以达到预测系统性能的下降和告警的产生。当某个监控对象在一段时间内其性能参数值不能达到某一指标值时，系统自动向用户提供相关的提示信息。用户可以根据提示信息采取相应的维护措施以保证提供良好的业务质量，相应的性能指标计算模型可以由用户提供。 系统应支持对指定的网元设备进行设定告警门限、个性化设置功能，主要告警阈值应包括： IPTV机顶盒： 系统应支持IPTV机顶盒指标参数（如丢报率、丢帧率、流媒体带宽等）阈值设置功能，通过界面对具体的IPTV机顶盒设置参数阈值，当参数值高于或低于阈值时，将产生告警，上发到ITMS呈现告警。 热点AP: 系统对于设备路由可达性和双向时延、设备性能这两项内容，均通过阈值告警的方式来提供性能预警功能。 n 告警包含以下内容： Ø 告警编号：告警编号是告警的唯一标识。不同的告警对应不同的告警编号。但对于告警级别发生变化或告警被清除时产生的告警，使用与原来相同的告警编号； Ø 告警类型：包括五种告警：设备告警、服务质量告警、通信告警、处理失败告警和网管系统产生的告警； Ø 告警级别：包括六个级别：紧急告警、主要告警、次要告警、警告告警、不确定告警和清除告警； Ø 告警设备编号； Ø 告警状态：共有四项：未确认未清除告警、已确认未清除告警、未确认但已清除告警、已确认并已清除告警； Ø 可能原因：给出告警的可能原因； Ø 告警定位信息：包括告警的设备名/设备编号以及告警产生的具体模块； Ø 告警现象描述； Ø 告警发生时间：精确到年月日，时分秒； Ø 告警清除时间：未清除的告警此项不存在； Ø 修复建议：对该告警的可能修复方式； Ø 附加说明：以上参数以外，与此告警相关的信息。 n 告警的呈现支持以下内容 Ø 系统应能够以告警列表的方式呈现告警，同时可以在资源分组图中通过图标或文字变色的方式呈现分组的告警； Ø 告警应提供各种可视化表现，包括分组呈现、实时图表、数据查询等，并可根据网络的资源信息和用户信息实现面向用户的自定义报表； Ø 系统应提供对历史告警的查询功能。 n 告警的处理支持以下内容 Ø 告警确认：系统应提供告警自动和手工确认的功能；并提供告警批量确认的功能。不论是自动确认还是手工确认，都应该在告警字段中有明确的标志，以便于查询。 Ø 告警取消确认：用户可在告警列表上对已确认的告警取消确认。 Ø 告警清除：即活动告警的清除。当网元设备或终端综合管理系统检测到产生告警的条件已经不存在，或管理人员确认告警已经消除，系统将清除相关告警，告警清除的方式包括自动清除和手工清除。自动清除是指故障解除后，终端综合管理系统获得设备发出的故障清除信息，系统自动清除以前的告警，无需人工干预。手工清除是指对已解决、非真实或不重要的告警或运维人员确认故障已消除后，通过菜单工具的手工清除。不论是自动清除还是手工清除，都应该在告警字段中有明确的标志，以便于查询。 告警数据字典参见附录A。 6.2.7 设备信息管理 6.2.7.1 设备信息管理对象 设备信息的管理对象包括批量设备的通用信息和单台设备的个性化信息。 设备通用信息包含以下内容 Ø 设备类型信息： 设备类型 /*包括：e家终端、热点AP、IPTV机顶盒*/ 设备供应商 设备型号 设备硬件版本 OUI Ø 设备业务能力信息： 设备配置模板 /*业务参数配置文件*/ 设备支持的TR－069的参数列表 设备个性化信息包含以下内容 Ø 设备基本信息： 唯一ID编号 /*设备在平台数据库内部唯一标识号，OUI－设备序列号*/ 设备序列号 MAC地址 /*LAN口以太网MAC地址*/ 管理域 /*针对运营商运维人员的管理分组*/ 关联的用户帐号信息 /*ADSL接入上网帐号、用户身份证、LAN接入上网帐号、电信维护帐号、网元设备和ITMS认证帐号等*/ 管理域：基于设备分组的管理，针对网元设备所在物理地域、网元设备所属公司范围。对网元设备的唯一ID编号与上网帐号进行捆绑认证。 Ø 设备动态信息： IP地址 设备最近连接时间 设备当前注册状态 设备当前所属用户基本信息（用户名，身份证，帐号，电话，地址，Email） 设备当前配置参数 /*可以远程读到的配置参数*/ 设备当前状态 /*宽带连接状态为在线或离线状态*/ 设备当前软件版本 设备当前开通的业务代码 设备软件所支持的业务代码 ITMS对设备操作的历史信息 e家终端： 下挂应用终端列表，包括设备类型，设备序列号等信息 IPTV机顶盒： 所属e家终端信息，包括设备序列号等信息 6.2.7.2 设备信息操作管理 支持对设备信息进行增加、删除、修改及查询分组。 增加、删除、修改设备信息： 手动增加、删除、修改单个设备信息。 批量增加、删除设备，并可根据条件查询或分组结果修改批量设备信息。 支持通过外部服务接口模块进行设备信息的导入或导出，支持CSV文件方式的倒换。 支持设备信息与其他相关信息进行绑定。 支持对设备手工管理和自动计划管理的并发性冲突控制策略。 支持对设备扩充TR－069参数。 6.2.7.3 设备信息的统计 支持对以下设备信息进行统计 Ø 已经注册设备统计 （网元设备注册成功） Ø 未注册的设备统计（网元设备注册信息与ITMS通过北向工单获取信息不符、网元设备注册失败） Ø 设备在线状况统计 Ø 未开通特定业务设备统计 Ø 已开通特定业务设备统计 Ø 设备与系统的交互记录统计 支持按照7.2.10中定义的网元设备分组过滤条件进行统计。 6.2.8 版本/配置模板管理 6.2.8.1 版本/配置模板管理对象 支持管理的文件类型包括设备版本文件和设备配置模板。 文件管理信息包括以下内容： Ø 名称：遵循TR-068中第2.9节的规定 Ø 描述 Ø 大小 Ø 类型：支持版本文件或配置模板文件 Ø 存储路径 Ø 管理域 Ø 状态：已审核、未审核 6.2.8.2 版本/配置模板信息操作管理 支持增加、删除、修改的文件管理操作。 支持以菜单方式完成增加、删除、修改文件，支持以下字段通过菜单方式显示： Ø 文件类型 Ø 管理域 Ø 设备类型 Ø 适用业务 Ø 基本的配置参数，如果文件类型是配置模板 支持管理文件服务器的增加和删除 支持版本/配置模板信息与其他相关信息进行绑定 支持时间触发（如定时）对网元设备进行业务的配置和版本的升级操作； 支持事件触发对网元设备进行业务的配置和版本的升级操作； 支持批处理对多个网元设备进行业务的配置和版本的升级操作； 6.2.8.3 业务配置模板 e家终端： 业务一：多终端同时上网 路由模式：VPI/VCI、上网帐号、上网帐号对应密码、路由封装、DHCP协议启用、DHCP地址池的数量、DHCP地址分配IP地址范围、允许接入的MAC地址数量限制； 桥接模式：VPI/VCI、桥接封装 业务二：IPTV（暂不考虑无线IPTV） 路由模式：VPI/VCI、IPTV使用帐号、IPTV使用帐号对应密码、路由封装、DHCP协议启用、DHCP地址池的数量、DHCP地址分配IP地址范围 桥接模式：VPI/VCI、桥接封装 业务三：无线上网 路由模式：VPI/VCI、上网帐号、上网帐号对应密码、路由封装、DHCP协议启用、DHCP地址池的数量、DHCP地址分配IP地址范围、SSID、WEP或WPA的认证信息 桥接模式：VPI/VCI、桥接封装、SSID、WEP或WPA的认证信息 业务四：VoIP VPI/VCI、上网帐号、上网帐号对应密码、路由封装、DHCP协议启用、DHCP地址池的数量、DHCP地址分配IP地址范围、SIP Server 的IP地址和端口、电话号码、VoIP用户名和密码 IPTV机顶盒： 需要扩充 6.2.9 业务代码管理 6.2.9.1 业务代码管理对象 业务代码指的是对应特定的业务如：IPTV、VOIP、高速上网等的特定信息集合，多个业务代码可以指向同种类型的业务（同种类型业务的业务代码因设备类型而异），逻辑上每种业务代码对应一种适用的设备类型。 业务代码相关信息包括以下内容： Ø 业务代码编号 /*由运营商自己定义*/ Ø 业务名称 Ø 适用设备类型 Ø 适用配置模板 /*不由业务代码区分配置模板*/ 一个配置模板包含一系列业务设置和多个命令操作，例如，传输多个配置文件。 6.2.9.2 业务代码操作管理 支持增加、删除、修改的业务代码管理操作。 支持为新增的业务代码指定适用设备类型和适用配置模板。 支持通过外部服务接口模块从外部系统导入业务代码相关信息。 支持业务代码信息与其他相关信息进行绑定。 6.2.10 分组管理 设备信息分组管理 应包括以下或其组合的分组方式： Ø 唯一ID编号 Ø 设备类型 Ø 厂商 Ø 软件版本 Ø 上线状态 Ø 管理域 Ø IP地址 Ø 业务代码 以上分组均支持通配符方式的查询 6.2.11 中间件模块管理 系统必须具有对e家终端中间件模块管理的能力，支持http+xml接口。详见附录E。 6.3 系统管理模块 系统管理模块主要完成与ITMS本身管理相关的功能，包括安全管理、日志管理、系统设备管理及报表管理。 6.3.1 安全管理模块 安全管理模块为系统提供统一的安全和审计机制，保证整个管理系统的可靠运行。 6.3.1.1 安全策略管理 ITMS应提供统一的安全策略控制，包括： Ø ITMS出厂必须有初始用户名和密码。 Ø 登录策略管理，系统提供设置非法登录系统的次数及锁定时间，设置系统管理用户的账号有效期，设置登录超时退出时间等。 Ø 提供系统管理用户密码重置的功能，重置密码不得为空。 Ø 系统管理用户密码设置策略，限制系统管理用户设置的密码长度、密码组成等。 Ø 支持系统管理用户登录的IP管理策略，将登录的系统管理用户与IP地址绑定，保证用户访问的安全。 6.3.1.2 角色管理 角色表示一类特定的权限的集合，包括系统管理用户可以登录的客户端IP地址范围，系统管理用户可以进行的操作，系统管理用户可以管理的资源等。 通过安全管理可以动态地创建、删除和修改角色，形成新的权限集合，以便分配给系统管理用户，达到控制系统管理用户权限的目的。 角色管理功能应包含： Ø 系统应支持增加、删除、修改角色的功能； Ø 系统应能够给角色分配操作权限 从操作权限来说，系统应可以提供三类缺省的角色： Ø 系统管理员：可以执行系统提供的所有功能项，包括权限分配功能 Ø 配置管理员：可以执行系统提供的对设备和系统自身有数据修改权限的功能（不包括权限分配功能），如：资源维护、设备配置、版本升级、系统维护等 Ø 监视管理员：可以执行系统提供的对设备的监视和系统自身的查询和审计等功能，如：资源查询、告警监视、性能统计、日志查询等 系统应提供灵活的角色创建功能，如可以根据系统管理用户的需要再单独创建版本管理员、统计管理员等角色 从管理资源来说，这些操作权限都可以指定管理的范围。 6.3.1.3 帐号管理 1．对ITMS的管理帐号管理 对使用网元设备设备管理系统的系统管理用户帐号进行管理维护，包括增加、删除用户，查询用户信息，修改用户信息等。 1) 增加帐号； 2) 删除帐号； 3) 修改帐号信息； 4) 查询帐号信息。 系统管理用户帐号信息包括： Ø 用户账号 Ø 用户密码 Ø 密码有效期 Ø 用户所属角色 Ø 附加说明 支持同一个系统管理员帐号属于多个角色组。 2．对e家终端/热点AP的电信维护帐号的管理 e家终端/热点AP出厂后，首次连接到ITMS，（首次认证通过后）此时ITMS将对e家终端/热点AP的初始密码“telecomadmin”，进行更改，而对e家终端/热点AP的初始用户名“telecomadmin”不进行任何更改。 此外当电信运维人员上门使用过电信维护帐号后，ITMS接到e家终端/热点AP上报后，系统将原有电信维护帐号的密码进行修改，修改后的密码下发到e家终端/热点AP。 修改规则如下： 在原有密码上增加8位的随机数，如“telecomadminXXXXXXXX”所示，8位的XXXXXXXXX由ITMS系统自动产生的随机数。 3．对网元设备到ITMS的认证帐号的管理 网元设备出厂后，首次连接到ITMS，此时ITMS将对网元设备认证的初始密码“hgw”和网元设备对ITMS的初始密码“itms”，进行更改，并下发到网元设备。 修改规则如下： 在原有用户名hgw增加8位的随机数，如“hgwXXXXXXXX”所示，8位的XXXXXXXXX由ITMS系统自动产生的随机数。 在原有密码上增加8位的随机数，如“hgwXXXXXXXX”所示，8位的XXXXXXXXX由ITMS系统自动产生的随机数。 在原有用户名ITMS增加8位的随机数，如“hgwXXXXXXXX”所示，8位的XXXXXXXXX由ITMS系统自动产生的随机数。 在原有密码上增加8位的随机数，如“itmsXXXXXXXX”所示，8位的XXXXXXXXX由ITMS系统自动产生的随机数。 6.3.1.4 分权分域管理 分权分域管理将角色管理和设备的分组管理形成二维的组合管理，这些资源与操作权限的组合，形成二维的分权分域模型，形成新的权限集合，以便分配给系统管理用户，达到控制系统管理用户权限的目的。 系统支持创建管理域和用户帐号： 1、系统应支持创建、删除管理域；每个管理域代表可管理的设备（网元设备）范围； 2、系统应支持为管理域分配不同的角色；每个角色至少包括对系统各模块的查看、更改、删除等权限；每个角色内的权限避免冲突； 3、系统应支持创建、删除用户帐号； 4、系统应支持将用户帐号归属到不同的管理域；每个用户于所在的某个管理域内只有一个角色； 6.3.1.5 系统管理用户登录管理 ITMS应提供完善的用户登录管理功能。 Ø 只有在系统中已经注册的用户才能登录到ITMS，如果启动了访问控制列表功能，则客户端IP地址必须同时满足存在于ITMS ACL表中的用户才能登录到ITMS； Ø 登录的用户只具有已经被授权的指定操作； Ø 登录失败告警，使用同一系统管理帐号连续多次登录失败时，系统应产生非法登录告警，并对该系统管理帐号进行锁定； Ø 手工注销登录的用户； Ø 手工锁定或超时自动锁定客户端。 6.3.1.6 在线系统管理用户管理 1) 在线用户监视 能够实时监视在线用户的登录情况，包括登录用户、登录时间、操作网元设备信息。 2) 在线用户管理 超级用户能够查看一般用户所做的操作，并强制其退出。 6.3.2 日志管理 操作日志记录用户在系统中所执行的各种操作。授权用户可以对操作记录进行查询，并做进一步处理。查找到符合条件的操作日志后，可以将这些操作日志存储在外围存储器中。 6.3.2.1 日志查询 用户可以根据给定条件对日志进行查询，并可对查询到的日志进行排序。 查询的条件为： Ø 给定时间或时间段进行查询； Ø 给定用户进行查询； Ø 给定的日志类型。 可以查询到的信息包括： Ø 日志类型：包括操作日志、系统日志、安全日志 Ø 操作时间； Ø 操作人； Ø 操作名称； Ø 操作对象； Ø 操作内容； Ø 操作网元设备； Ø 操作结果（成功或失败）。 6.3.2.2 日志备份 将日志备份到指定的外围存储器中，支持手工备份和自动备份。 用户可以备份符合给定条件的日志，用户可以给定的条件包括： Ø 备份给定时间或时间段内的日志； Ø 备份给定用户的日志。 6.3.3 系统设备管理 6.3.3.1 资源监视 ITMS提供对自身的资源监视功能。包括： Ø 系统启动； Ø 系统初始化； Ø 系统关闭； Ø 硬盘占用率； Ø 内存占用率； Ø CPU资源监视； Ø 告警阈值设置。 6.3.3.2 软件管理 ITMS提供对自身软件的管理功能。包括： Ø 软件安装管理，提供详细、友好的软件安装向导； Ø 生成相应的日志文件； Ø 支持升级过程中及升级后数据不丢失。 6.3.3.3 数据管理 ITMS提供数据库备份、恢复功能。 ITMS通过自身界面可将指定的数据备份到指定的外围存储器中，外围存储器可以包括磁盘，磁带，数据库等。也可将指定外围存储器中的内容恢复到系统中，使得用户可以在线使用该信息。 ITMS提供数据导出功能，包含以下数据的导出：