電信統一認證平臺解決方案

1、 文件編號： 密 級： 項 目id： 總 頁 數： 電信統一認證平臺解決方案版本 v0.9 聲 明本文件所有權和解釋權廣州吉海科技有限公司所有，未經廣州吉海科技有限公司書面許可，不得復制或向第三方公開。修訂歷史記錄（a-添加，m-修改，d-刪除）目錄1項目概述51.1項目背景51.2項目建設目標61.3項目建設內容61.4項目建設原則71.5系統為企業(yè)帶來的好處71.6參考資料82系統架構設計82.1系統體系架構82.2系統應用架構92.3系統網絡架構103系統功能設計113.1平臺的總體框架113.2統一認證平臺123.2.1統一用戶管理133.2.2統一權限管理153.2.3統一認證管理1

2、53.2.4單點登錄功能163.3統一資源管理173.3.1概述173.3.2其它,二期描述173.4統一信息展現183.4.1概述183.4.2其它,二期描述184實現技術方案184.1統一認證實現技術184.1.1認證流程184.1.2ca認證技術194.1.3bstoken和usertoken194.1.4統一認證的有效期194.2統一認證接口204.2.1接口描述204.2.2b/s系統認證接口204.2.3c/s系統認證接口234.2.4數據接口235硬件及集成方案245.1系統硬件及其選型245.1.1主機設計原則245.1.2主機設備的選型255.1.3主機系統總體配置265.2

3、系統軟件及其選型265.3其它相關設備選型265.3.1服務器機柜265.3.2交換機276技術支持與承諾286.1服務承諾286.2軟件系統一年免費維護28關鍵詞：統一認證，單點登錄，sso，統一授權，統一資源管理，統一展現摘 要：電信統一認證平臺。包括統一登錄認證，統一資源管理，統一信息展現1 項目概述1.1 項目背景隨著信息技術和互聯網的蓬勃發(fā)展，電信業(yè)務系統的迅速發(fā)展，諸如 oa 、 crm 、 erp 、 oss、bss、eoms 等越來越多的業(yè)務系統和網站應運而生。同時，各種支撐系統和用戶數量的不斷增加，網絡規(guī)模迅速擴大，由于技術的需要，用戶只有在每個系統的用戶數據庫中登記相應的個

4、人信息并成為注冊用戶后，系統才能更好地為用戶提供更為個性化的服務。但這樣會帶來以下問題：首先帳號密碼的配置非常煩瑣，需要在每一臺網絡設備、主機系統或應用系統上進行配置;由于采用了記憶口令的方式，為了保證口令的安全性，必須經常更改口令，每次口令的更改又要耗費大量的人力和時間;同時由于記憶口令不可能頻繁更改，那么口令就存在著被竊聽、盜用、濫用的危險，給企業(yè)的安全帶來巨大的威脅。其次，用戶就需要在數十個系統/網站上進行枯燥重復的個人信息輸入和登記過程，這個原因成了許多企業(yè)的商務網站用戶注冊的瓶頸；同時注冊用戶的信息通常也缺乏真實性，無法達到網站建立用戶數據庫的預期目的，也無法形成良好的在線商業(yè)環(huán)境。

5、再次，由于各個系統各自為政，缺乏集中的授權和審計的功能，無法根據用戶級別進行分級授權，也無法記錄用戶訪問設備的詳細審計信息。另外，企業(yè)信息的獲取途徑不斷增多，但是缺乏對這些信息進行綜合展示的平臺。所以，原有的分散賬號、靜態(tài)口令管理模式已不能滿足企業(yè)目前及未來業(yè)務發(fā)展的要求，會帶來巨大的管理開銷和安全隱患。在上述背景下，電信企業(yè)信息資源的整合逐步提上日程，并在此基礎上形成了各業(yè)務系統統一認證、單點登錄（ sso ）、統一資源管理和信息綜合展示的企業(yè)門戶。用戶只要通過統一認證系統的認證，即可自由地訪問各業(yè)務系統的服務，而不需要再次進行其它身份驗證；通過與統一認證系統的通訊，業(yè)務系統也可以確保該用戶

6、是合法用戶，從而為之提供服務。并且可使用統一的信息展示界面，使用各種業(yè)務系統時，不會因各業(yè)務系統不同的使用界面造成冗長的學習過程。1.2 項目建設目標在充分了解了電信運營商的各種業(yè)務系統平臺和各種上網需求的基礎上，通過反復的論證、測試，成功研發(fā)并建設了一個電信級的企業(yè)業(yè)務統一認證平臺。旨在為電信企業(yè)提供一個集統一用戶管理、集中訪問控制、身份認證和應用授權、單點登錄(single sing on/sso)、用戶訪問策略與保密、有效的身份管理和審計等核心服務,兼容各種已有的和未來新的業(yè)務系統和技術標準,能適應多種用戶、角色及數據模型需求,符合多種應用管理策略的集成要求的統一認證平臺解決方案。它實現

7、了“統一管理，共享資源；統一認證，靈活擴展；統一授權，運維安全；統一規(guī)劃，降低風險”的目標，使電信員工、相關商家和用戶在各種環(huán)境下均能方便、快捷地享受各種網上平臺服務。1.3 項目建設內容統一認證平臺主要包括以下三個部分內容，分三期完成：l 統一登錄認證平臺：為企業(yè)建設一個統一的用戶賬號、身份認證、訪問授權和審計管理平臺，在這個平臺上逐步實現單點登錄、統一認證，統一授權，統一審計和統一用戶和賬號管理。用戶只需成為電信統一認證平臺的用戶，就可以用此用戶名登錄整個聯盟中的所有系統，享受注冊用戶的所有服務項目。l 統一資源管理平臺: 統一資源管理平臺將作為系統的資源管理支持平臺，支撐整個企業(yè)各系統的

8、訪問策略管理，以及企業(yè)內部信息系統的資源管理，為用戶訪問企業(yè)內部信息與資源提供橋梁管理作用，使用戶能夠根據所用戶的權限、角色迅速訪問到其所關心的信息。同時，統一資源管理平臺也是企業(yè)門戶系統展現層的策略管理應用的支撐平臺，并為統一認證平臺提供了認證管理手段。 l 統一信息展示功能：各應用系統可通過配置集成統一的信息綜合展示界面，同時，也可為用戶定制個性化的工作界面。1.4 項目建設原則 實用性平臺必須具有實用性，用戶通過單點登錄，在使用便利性上有切實的提高。同時，部署和升級要簡單方便。 安全性平臺管理人員可以通過統一認證系統對各個系統上用戶信息進行集中的管理，控制用戶的訪問范圍和權限，對用戶的認

9、證、在線日志進行審計，使整個系統的安全管理水平得到極大的提高，保證各個業(yè)務系統的安全，同時能夠滿足國家相關安全性規(guī)定，并且對于網絡安全，數據安全等等方面有足夠的保證措施。 可擴展性整個統一認證體系的設計核心在于和第三方系統的信息交互，因此必須考慮到未來第三方系統的橫向擴充以及隨著用戶增長而造成的認證體系和第三方系統信息交互的縱向增長。這些都要求整個系統需具有良好可擴展性，對于用戶的增長以及接入子系統的增加等問題，可以由服務器的良好擴展性解決。 可靠性系統能夠保證在長期的運行過程中有較高的可靠性，系統的故障率維持到一個較低的水平。使得用戶不會因為系統的故障而造成困擾。 高性能系統能夠保證在運行過

10、程中有良好的性能，用戶在使用速度上有良好的體驗。 先進性系統能夠充分使用當前最先進，并且得到成熟應用的技術，架構，平臺以及產品，確保系統能夠在一定的時期內保持技術的先進性。1.5 系統為企業(yè)帶來的好處首先，安全性得到了極大的提高。以前采用靜態(tài)口令進行認證的方式，變成了采用靜態(tài)口令+動態(tài)口令的雙因素認證方式。用戶在進行登錄時，除了輸入用戶名外，還要輸入靜態(tài)口令，以及由口令令牌產生或短信發(fā)送的一次性動態(tài)口令;口令被竊取盜用的情況，再也不可能出現，極大的提高安全性。其次，用戶使用更加方便。以前用戶在登錄不同的系統時，可能需要使用不同用戶名、口令;采用統一認證系統后，用戶只需要使用同一個用戶名、同一個

11、口令令牌就可以登錄所有允許他登錄的系統。在使用聯創(chuàng)sso安全網關后，用戶更可以僅需要輸入一次用戶名、口令，就能對各個web應用系統進行訪問。第三，安全控制力度得到了加強。管理人員可以通過統一認證系統對各個系統上用戶信息進行集中的管理，控制用戶的訪問范圍和權限，對用戶的認證、在線日志進行審計，使整個系統的安全管理水平得到極大的提高。第四，減輕了管理人員的負擔，提高工作效率。管理人員不需要再象從前一樣，必須登錄各個系統上，才能進行用戶帳戶、口令的管理和維護;而是可以通過統一認證系統集中的完成，效率得到了提高，也減少由于在大量設備上進行操作，出現人為失誤的可能。第五，使用vpn遠程接入認證，大大提高

12、了企業(yè)辦公效率。作為電信企業(yè)，各部門之間各種信息如人員信息、帳務、計劃、內部交流等的變化十分頻繁，并要求能及時傳達，因此對遠程通訊的要求較高。之前，江蘇電信為了保障企業(yè)數據安全性，內外網是物理隔離的，遠程用戶訪問內部網中的數據可以說是不可能的，這大大降低了人員的工作效率和對外提供服務的有效與及時性?，F在，在家或出差在外的公司職員只要能連接internet公網，通過e-securer的認證后就可以通過vpn安全可靠的訪問企業(yè)內部資源，大大提高了辦公效率。第六，統一信息展示，大大提高了用戶的使用休驗滿意度。減少用戶學習使用各種不同系統的學習時間。1.6 參考資料2 系統架構設計2.1 系統體系架構

13、采用b/s訪問模式，通過j2ee工作流平臺實現業(yè)務流轉；提供強大的工作流處理能力，使得辦公人員之間能夠協同工作。系統采用工作流技術，可以非常方便的修改應用系統的業(yè)務邏輯，甚至添加新的業(yè)務模塊，從而適應需求的變化。使用關系數據庫（如：oracle）存儲數據；提供強大的數據互連技術，能夠很方便地實現與其他業(yè)務系統的集成。* 此版本oa系統適用于各種類型的企業(yè)應用，沒有用戶數的限制，隨著用戶數量的增加，硬件設備配置應適當提高。瀏覽器應用服務器servletjsp頁面html頁面j2ee組件技術xml/soap事務處理連接池數據庫映射緩存技術數據庫數據訪問層業(yè)務邏輯層應用接入層 應用接入層提供信息瀏覽

14、、服務定位、數據接入 web用戶界面，既提供了操作的方便性和靈活性，也降低了系統的維護成本。 業(yè)務邏輯層是系統的核心，負責完成對系統操作的處理和業(yè)務邏輯的處理；實現業(yè)務邏輯處理、業(yè)務流程控制、消息通訊、業(yè)務管理等功能。 數據訪問層以統一/規(guī)范的接口形式為業(yè)務邏輯層、表示層提供訪問和操作數據服務。使系統在性能和功能方面都具有很好的擴充性。2.2 系統應用架構 采用先進的三層體系，包括：表現層、業(yè)務邏輯層、數據核心層（包括：數據連接層和數據層） 用戶端采用零客戶端方式，通過web瀏覽器進行訪問； 本系統采用j2ee技術，實現高性能、高擴展性、跨平臺。 采用開放式、跨平臺技術，支持多種操作系統，例如

15、windows/linux/unix等。系統應用三層架構圖系統羅輯架構圖2.3 系統網絡架構認證系統的核心網絡是一個基于交換式的以太網絡組成的高速網絡。系統部署在內網（lan），內、外網間由防火墻保證系統的安全。系統由兩臺服務器（數據庫服務器web服務器）組成.布署圖如下：3 系統功能設計3.1 平臺的總體框架統一認證系統應定位為信息安全的基礎平臺，所以在制定實施方案時要充分考慮其總體架構的安全性、用戶信息存儲和訪問的安全性、認證過程中認證信息傳遞的安全性。統一認證系統是企業(yè)門戶系統的其中一個支撐平臺，所以在介紹統一認證系統前先介紹一下企業(yè)門戶系統的總體框架和功能。吉海統一認證平臺在內容展現過

16、程中，涉及用戶訪問策略管理、信息內容的個性化展示、跨系統單點登錄等多方面內容。我們可以將企業(yè)各系統的核心內容設計為三個支撐平臺，即統一認證平臺、統一資源管理平臺和企業(yè)信息統一展示平臺。三個平臺共同構成企業(yè)各系統及管理核心。統一認證平臺總體框架如下圖所示：統一認證平臺總體框架圖業(yè)務系統用戶操作系統用戶數據庫用戶業(yè)務系統菜單業(yè)務系統權限編程接口統一認證mos服務統一客戶端統一門戶總體框架圖23.2 統一認證平臺統一認證平臺將為用戶提供跨系統訪問的單一認證服務功能。統一認證平臺在系統設計中，與企業(yè)各系統展現層的業(yè)務邏輯相對獨立，其目的是為企業(yè)建立起完整的單點登錄支撐平臺。將用戶認證功能與企業(yè)各系統展

17、現平臺相分離的目的，是充分考慮用戶的使用習慣以及未來的系統擴展。用戶在訪問企業(yè)應用系統時，可以首先通過企業(yè)各系統的認證授權功能，獲取訪問其他應用系統的權限，實現單點登錄; 同時，用戶也可以通過直接訪問特定應用系統，由統一認證平臺對用戶進行認證，授予用戶跨系統訪問的權限。通過統一認證平臺，用戶可以方便靈活的訪問其所能訪問的應用系統。另外，將統一認證平臺與企業(yè)門戶系統相分離，可為今后的系統建設提供可擴展性，使新建系統能夠方面的部署到企業(yè)門戶系統訪問體系中。統一認證平臺包括以統一用戶管理、統一權限管理、統一認證管理、單點登錄功能等幾部分功能： 3.2.1 統一用戶管理統一用戶管理實現用戶信息的集中管

18、理，并提供標準接口。統一用戶管理的基本原理如下：一般來說，每個應用系統都擁有獨立的用戶信息管理功能，用戶信息的格式、命名與存儲方式也多種多樣。當用戶需要使用多個應用系統時就會帶來用戶信息同步問題。用戶信息同步會增加系統的復雜性，增加管理的成本。 例如，用戶x需要同時使用a系統與b系統，就必須在a系統與b系統中都創(chuàng)建用戶x，這樣在a、b任一系統中用戶x的信息更改后就必須同步至另一系統。如果用戶x需要同時使用10個應用系統，用戶信息在任何一個系統中做出更改后就必須同步至其他9個系統。用戶同步時如果系統出現意外，還要保證數據的完整性，因而同步用戶的程序可能會非常復雜。 解決用戶同步問題的根本辦法是建

19、立統一用戶管理系統（uums）。uums統一存儲所有應用系統的用戶信息，應用系統對用戶的相關操作全部通過uums完成，而授權等操作則由各應用系統完成，即統一存儲、分布授權。uums應具備以下基本功能: 1用戶信息規(guī)范命名、統一存儲，用戶id全局惟一。用戶id猶如身份證，區(qū)分和標識了不同的個體。 2uums向各應用系統提供用戶屬性列表，如姓名、電話、地址、郵件等屬性，各應用系統可以選擇本系統所需要的部分或全部屬性。 3應用系統對用戶基本信息的增加、修改、刪除和查詢等請求由uums處理。 4應用系統保留用戶管理功能，如用戶分組、用戶授權等功能。 5uums應具有完善的日志功能，詳細記錄各應用系統對

20、uums的操作。 統一用戶認證是以uums為基礎，對所有應用系統提供統一的認證方式和認證策略，以識別用戶身份的合法性。統一用戶認證應支持以下幾種認證方式: 1. 匿名認證方式: 用戶不需要任何認證，可以匿名的方式登錄系統。 2. 用戶名/密碼認證: 這是最基本的認證方式。 3. pki/ca數字證書認證: 通過數字證書的方式認證用戶的身份。 4. ip地址認證: 用戶只能從指定的ip地址或者ip地址段訪問系統。 5. 時間段認證: 用戶只能在某個指定的時間段訪問系統。 6. 訪問次數認證: 累計用戶的訪問次數，使用戶的訪問次數在一定的數值范圍之內。 以上認證方式應采用模塊化設計，管理員可靈活地

21、進行裝載和卸載，同時還可按照用戶的要求方便地擴展新的認證模塊。 認證策略是指認證方式通過與、或、非等邏輯關系組合后的認證方式。管理員可以根據認證策略對認證方式進行增、刪或組合，以滿足各種認證的要求。比如，某集團用戶多人共用一個賬戶，用戶通過用戶名密碼訪問系統，訪問必須限制在某個ip地址段上。該認證策略可表示為: 用戶名/密碼“與”ip地址認證。 pki/ca數字證書認證雖不常用，但卻很有用，通常應用在安全級別要求較高的環(huán)境中。pki（public key infrastructure）即公鑰基礎設施是利用公鑰理論和數字證書來確保系統信息安全的一種體系。 在公鑰體制中，密鑰成對生成，每對密鑰由一

22、個公鑰和一個私鑰組成，公鑰公布于眾，私鑰為所用者私有。發(fā)送者利用接收者的公鑰發(fā)送信息，稱為數字加密，接收者利用自己的私鑰解密; 發(fā)送者利用自己的私鑰發(fā)送信息，稱為數字簽名，接收者利用發(fā)送者的公鑰解密。pki通過使用數字加密和數字簽名技術，保證了數據在傳輸過程中的機密性（不被非法授權者偷看）、完整性（不能被非法篡改）和有效性（數據不能被簽發(fā)者否認）。 數字證書有時被稱為數字身份證，數字證書是一段包含用戶身份信息、用戶公鑰信息以及身份驗證機構數字簽名的數據。身份驗證機構的數字簽名可以確保證書信息的真實性。 完整的pki系統應具有權威認證機構ca（certificate authority）、證書注

23、冊系統ra（registration authority）、密鑰管理中心kmc（key manage center）、證書發(fā)布查詢系統和備份恢復系統。ca是pki的核心，負責所有數字證書的簽發(fā)和注銷; ra接受用戶的證書申請或證書注銷、恢復等申請，并對其進行審核; kmc負責加密密鑰的產生、存貯、管理、備份以及恢復; 證書發(fā)布查詢系統通常采用ocsp（online certificate status protocol，在線證書狀態(tài)協議）協議提供查詢用戶證書的服務，用來驗證用戶簽名的合法性; 備份恢復系統負責數字證書、密鑰和系統數據的備份與恢復。 3.2.2 統一權限管理通過平臺對用戶在各個業(yè)

24、務系統的權限分配進行統一控制。實現各業(yè)務系統對用戶的權限控制、用戶對各成員系統的權限控制。用戶向某業(yè)務系統申請分配權限時，需向該業(yè)務系統提供他的某些信息，這些信息就是用戶提供給業(yè)務系統的權限，而成員站點通過統一身份認證后就可以查詢用戶信息，并給該用戶分配權限，獲得權限的用戶通過統一身份認證后就可以以某種身份訪問該業(yè)務系統。在統一認證的前提下，按照指定的規(guī)則將用戶劃分為不同用戶群，可以為相關業(yè)務系統提供會員鑒權服務，使各個子系統定制不同的會員服務等級。3.2.3 統一認證管理用戶認證是集中統一的，支持pki、用戶名/密碼、b/s和c/s等多種身份認證方式。統一身份認證是指多個系統的用戶賬號、密碼

25、等信息資源統一集中在網站統一認證鑒權中心，各個系統以中心數據作為用戶認證的唯一依據。用戶可以通過相應接口來實現網站已有用戶賬號密碼信息對于相關業(yè)務系統的共享，同時通過專有模塊來進行各子系統權限控制統一認證的兩種方式統一身份認證系統的核心思想是將用戶統一存儲,對應用系統統一授權,規(guī)范內容業(yè)務系統的用戶認證方式,從而達到提高整個系統的整體性、可管理性和安全性的效果。內容業(yè)務系統要想判斷某一用戶是否可以訪問自己，必須和身份認證系統進行交互。由身份認證系統負責對用戶進行集中認證。用戶訪問內容服務系統可以有兩種方式：通過寬帶門戶網站訪問內容服務系統，或者是直接訪問內容服務系統。根據這兩種訪問方式身份認證

26、系統要提供兩種認證方式。第一種認證方式：用戶直接登陸內容業(yè)務系統，內容業(yè)務系統將用戶提供的用戶名/密碼等轉發(fā)給統一身份認證服務以檢驗其是否通過授權。流程如圖1所示圖1 第一種身份認證方式第二種認證方式：用戶首先登錄統一身份認證系統，驗證其是否為合法注冊用戶，如果是合法用戶可獲取權限值。由于合法用戶不一定開通了所有的內容服務，所以使用這個權限值訪問內容業(yè)務系統時，內容業(yè)務系統將根據該權限值與統一身份認證服務進行交互，以檢驗訪問的合法性。流程如圖2所示 圖2 第二種身份認證方式3.2.4 單點登錄功能支持不同域內多個應用系統間的單點登錄。統一認證平臺的sso是指以平臺的統一認證（鑒權信息集中）為基

27、礎，各個數據業(yè)務系統的用戶認證采用單點登錄認證模式，一次登錄即可在各個業(yè)務子系統中完成相應的認證工作。單點登錄（sso，single sign-on）是一種方便用戶訪問多個系統的技術，用戶只需在登錄時進行一次注冊，就可以在多個系統間自由穿梭，不必重復輸入用戶名和密碼來確定身份。單點登錄的實質就是安全上下文（security context）或憑證（credential）在多個應用系統之間的傳遞或共享。當用戶登錄系統時，客戶端軟件根據用戶的憑證（例如用戶名和密碼）為用戶建立一個安全上下文，安全上下文包含用于驗證用戶的安全信息，系統用這個安全上下文和安全策略來判斷用戶是否具有訪問系統資源的權限。遺

28、憾的是j2ee規(guī)范并沒有規(guī)定安全上下文的格式，因此不能在不同廠商的j2ee產品之間傳遞安全上下文。目前業(yè)界已有很多產品支持sso，如ibm的websphere和bea的weblogic，但各家sso產品的實現方式也不盡相同。websphere通過cookie記錄認證信息，weblogic則是通過session共享認證信息。cookie是一種客戶端機制，它存儲的內容主要包括: 名字、值、過期時間、路徑和域，路徑與域合在一起就構成了cookie的作用范圍，因此用cookie方式可實現sso，但域名必須相同; session是一種服務器端機制，當客戶端訪問服務器時，服務器為客戶端創(chuàng)建一個惟一的ses

29、sionid，以使在整個交互過程中始終保持狀態(tài)，而交互的信息則可由應用自行指定，因此用session方式實現sso，不能在多個瀏覽器之間實現單點登錄，但卻可以跨域。 3.3 統一資源管理3.3.1 概述統一資源管理平臺將作為系統的資源管理支持平臺，支撐整個企業(yè)各系統的訪問策略管理，以及企業(yè)內部信息系統的資源管理，為用戶訪問企業(yè)內部信息與資源提供橋梁管理作用，使用戶能夠根據所用戶的權限、角色迅速訪問到其所關心的信息。同時，統一資源管理平臺也是企業(yè)門戶系統展現層的策略管理應用的支撐平臺，并為統一認證平臺提供了認證管理手段。3.3.2 其它,二期描述統一資源管理屬二期實現內容，以后描述，但在項目規(guī)劃

30、初期，要充分考慮此部分內容在平臺中的位置，及擴展性和兼容性。3.4 統一信息展現3.4.1 概述應用系統可通過配置集成統一的信息綜合展示界面，同時，也可為用戶定制個性化的工作界面。3.4.2 其它,二期描述統一信息展現屬二期實現內容，以后描述，但在項目規(guī)劃初期，要充分考慮此部分內容在平臺中的位置，及擴展性和兼容性。4 實現技術方案4.1 統一認證實現技術4.1.1 認證流程統一認證流程圖如下：1) 用戶登錄統一認證系統；2) 統一認證系統顯示成功登錄；3) 用戶通過統一認證系統上的鏈接連接到業(yè)務系統；4) 業(yè)務系統向統一認證系統提交認證請求；5) 統一認證系統驗證用戶已經登錄；6) 統一認證系

31、統生成該用戶的bstoken，返回給業(yè)務系統；7) 業(yè)務系統向用戶返回相應頁面。在上述流程中，要確保用戶輸入、提交帳號密碼的過程必須在ssl通道上進行4.1.2 ca認證技術通過ca技術實現平臺用戶的數字證書申請、簽發(fā)和管理；4.1.3 bstoken和usertoken統一認證系統通過使用bstoken和usertoken實現一點登錄的功能。其中，bstoken包含用戶登錄信息和在該bs（業(yè)務系統）上的授權信息，由業(yè)務系統負責保存；usertoken包含用戶的登錄信息，由統一認證系統負責保存。在統一認證系統的用戶有一個唯一的身份標識，統一認證系統通過該身份標識確定用戶的身份。當用戶登錄到統一

32、認證系統后，統一認證系統根據用戶信息生成usertoken，用于標識用戶的身份。當用戶通過統一認證系統的鏈接訪問業(yè)務系統時，業(yè)務系統通過重定向技術向網上客服中心提交身份驗證請求，網上客服中心判斷usertoken的合法性，通過，則生成bstoken并返回給業(yè)務系統，業(yè)務系統根據bstoken，可以得知用戶的合法性，從而可以為之提供服務，同時保存bstoken。當用戶再次訪問業(yè)務系統時，業(yè)務系統可以根據自身保存的bstoken進行判斷，而不需要向網上客服中心提交身份驗證請求。4.1.4 統一認證的有效期為了提高安全性，bstoken具有有效期屬性，當超過有效期后，bstoken不再有效。此時業(yè)務

33、系統需要在用戶訪問時再次通過重定向技術向網上客服中心提交身份驗證請求，獲得新的bstoken。同樣，usertoken也具有有效期屬性，當超過有效期后，usertoken不再有效。統一認證系統需要讓用戶再次輸入帳號密碼，進行身份驗證，生成新的usertoken。當統一認證系統接收到業(yè)務系統提交的身份驗證請求時，除了返回驗證結果，還需要延長相應usertoken的有效期。4.2 統一認證接口4.2.1 接口描述統一認證平臺的目的是通過統一認證的方式實現企業(yè)所屬的全部系統的統一登錄，而不用二次登錄。也就是說企業(yè)所屬的全部系統都可以通過統一認證平臺的統一認證方式登錄，而不用對不同的系統進行分別登錄。

34、統一認證接口可以分為b/s系統認證接口、c/s系統認證接口與數據接口三種接口。4.2.2 b/s系統認證接口 b/s系統的認證接口主要是指統一認證平臺根據b/s系統的登錄頁面的用戶帳號參數和密碼參數自動授與用戶帳號和密碼直接調用b/s系統的登錄驗證頁面進行b/s系統的登錄，做到b/s系統的自動登錄效果。要求提供各個要進行統一認證系統的登錄頁面的用戶帳號參數和密碼參數，以及登錄驗證頁面的url。統一認證系統根據其預先保存的業(yè)務系統ip地址以及頒發(fā)給業(yè)務系統的密鑰來辨認業(yè)務系統的身份。1）請求認證接口采用重定向方式。接口方法為：http:/www.*.com:80/login？bstokenreq

35、uestbstokenrequestvaluebstokenrequestvalue為接口參數值，包含如下信息：名稱說明數據類型長度（字節(jié)）bsid統一認證系統頒發(fā)給bs的唯一標識string8timestamp時間戳，從1970年1月1日0時開始的毫秒數string18returnurl統一認證系統返回認證結果時需要調用的urlstring100bstokenrequestvalue的生成算法如下：digest = base64(hash(returnurl + “$”+ timestamp)其中，hash算法采用sha-1。bstokenrequestvalue = base64(bsid

36、 + “$”+ “$”+ encrypt(returnurl + “$”+ timestamp + “$”+ digest)其中，加密算法采用3des，key=spsecret，spsecret是網上客服中心頒發(fā)給該bs的密鑰。2）返回認證結果接口采用重定向方式。接口方法為：http:/returnurl? bstokenresponse=bstokenresponsevalue其中，returnurl從bstokenrequest中獲得。bstokenresponsevalue 為接口參數值，包含如下信息：名稱說明數據類型長度（字節(jié)）bsid統一認證系統頒發(fā)給業(yè)務系統的唯一標識string8

37、timestamp時間戳，從1970年1月1日0時開始的毫秒數string18userid用戶的唯一標識string11expiretime失效時間，從1970年1月1日0時開始的毫秒數string18result認證結果：0：表示用戶認證通過-1：表示用戶不存在-2：表示用戶密碼錯誤-3：表示用戶狀態(tài)不正常-4：表示用戶未完成認證過程-5：包數據格式有誤-6：數據校驗不正確注：若result不為0，則userid、expiretime均取值為空int4bstokenresponsevalue的生成算法如下：digest = base64(hash(result + “$” + userid

38、+ “$” timestamp + “$” expiretime)其中，hash算法采用sha-1。bstokenresponsevalue = base64(bsid + “$”+ “$” + encrypt (result + “$” + userid + “$” timestamp + “$” expiretime + “$”+ digest)其中，加密算法采用3des，key=bssecret，bssecret是網上客服中心頒發(fā)給該業(yè)務系統的密鑰。2）編碼規(guī)則1. userid的編碼格式如下：識別碼 序列號(userid的格式同市場部下發(fā)的統一客戶視圖中對客戶編碼的規(guī)定)2. bsid

39、編碼格式如下：省份碼 序列號3. bssecret編碼格式bssecret為24個字節(jié)的字符串，其內容為數值，數值采用16進制表示，由網上客服中心為每一個業(yè)務系統自動生成。其中第1至第8位的子串與第17至第24位的子串相同。4. usertoken格式usertoken采用內存cookie的形式保存在用戶的瀏覽器端，其domain屬性設置為。該cookie必須設置屬性httponlyusertoken的格式定義如下：usertoken = usertoken: usertoken其中，usertoken是加密后的字符串，加密算法采用3des，加密過程如下： a生成摘要信息

40、digest = base64( hash（userid）)其中，hash算法采用sha-1，userid為用戶的唯一標識。 b采用3des算法對原始數據以及摘要信息進行加密，如下所示usertokenbase64（encrypt（originalusertoken$+digest）其中，3des算法的key=ct10000secret，ct10000 secret是各個省級中心用于加密cookie的統一密鑰。originalusertoken的格式如下：originalusertoken = userid = value ; expiretime = value4.2.3 c/s系統認證接口

41、c/s系統的認證接口實現方法主要有三種，分別如下，1、使用udp傳入登錄信息我們統一認證系統通過udp傳入登錄信息，格式如下：login_name，password例如傳入：wiseyao,123456原有應用系統通過接收udp包實現認證并登錄。該方法需要改過原有的應用程序，技術難度在保證原程序的啟動。2、用com的automation技術在原有的應用程序上改動成支持com automation技術，提供一個登錄接口，由統一認證系統調用傳入參數實現登錄。由于automation技術支持自動啟動，并能夠直接提供接口，用該技術較為理想，但缺點在必須修改原有的應用程序使其支持automation技術

42、。3、使用窗口讀取技術完成認證統一認證系統自動監(jiān)控原有系統的登錄框，當發(fā)現登錄框，自動填入登錄信息實現登錄。該技術不需改動原有的系統，但技術要求高，設置相對麻煩些。4.2.4 數據接口數據接口是指需要認證的各個系統與統一認證平臺用戶資料之間的數據關聯與數據整合所需的接口。要求提供各個要進行統一認證系統的用戶資料，以便統一認證平臺進行數據關聯與數據整合。5 硬件及集成方案5.1 系統硬件及其選型主機系統設計主要涉及到硬件平臺選型和操作系統及基本應用系統等軟件平臺選型，逐級平臺的建設成功與否是直接關系到整個應用系統能夠得到成功應用的關鍵因素之一。5.1.1 主機設計原則統一認證平臺最重要是安全性與

43、方便性，因此在主機系統的建設時我們應遵循以下原則進行：1) 標準化原則計算機系統采用最新的技術和標準，并符合國際標準、國家標準。2) 可靠性原則采用目前國際上商用管理計算機系統最先進且成熟可靠的軟硬件技術；在實現各種功能要求的前提下，系統設計應確保系統運行的正確性、傳輸的準確性以及為防止一場情況所必需的保護性設施。系統的設備、安全性、數據流量、性能等能得到很好的堅實和控制，并可進行遠程管理和故障診斷。3) 先進行和實用性原則計算機及網絡技術發(fā)展日新月異，新技術新產品不斷問世，新技術與新產品往往反映了技術發(fā)展方向，但在系統總體設計中要把握好采用新技術新產品的尺度，處理好實用性與先進行的矛盾。堅持

44、以實際需求確定系統功能結構與規(guī)模。因此在主機系統選擇上采用先進、成熟、穩(wěn)定的技術，滿足業(yè)務的實際需要。4) 開放性原則走開放系統的道路和系統體系結構；系統設計的開放性原則是指系統有適應外界環(huán)境變化的能力，即在外界環(huán)境改變時，系統可以不做修改或僅做少量修改就能在新環(huán)境下運行。系統在設計上采用開放的體系結構以便于與現有或今后的系統間的互連與溝通。開放性是系統柔性的體現，具體反映在以下幾個方面： 能適應計算機軟、硬件技術的迅速發(fā)展。在硬件上能采用新技術，簡便地重新組合成心的支撐環(huán)境；在軟件上能使基礎軟件的版本升級所造成的影響局限在可以控制的范圍內，或者消除其影響。 能滿足用戶不斷提出的新要求。系統在

45、體系結構上應由能力適應這一要求。 確保系統核心穩(wěn)定且具有動態(tài)可伸縮性。5) 安全性原則系統在開放性要求的前提下，要充分考慮安全保密問題。采取各種安全保密措施，防范各種因素對系統的輕翻和攻擊，確保系統、信息安全可靠。在主機選擇時要從軟、硬件兩方面同時考慮到安全問題。6) 經濟性和可擴展性原則應盡可能地采用性能價格比高的產品，同時兼顧在技術、系統結構、產品系列化和處理性能等各方面具有良好的擴充、升級能力。5.1.2 主機設備的選型可以說服務器是網絡計算的靈魂，因此服務器的選擇至關重要。在選擇服務器時應該考慮以下幾個因素：服務器系統應采用國際上較新的主流技術，并具有良好的向后擴展能力；服務器系統應具

46、有高的可靠性，能長時間連續(xù)工作，并有容錯措施；支持通用大型數據庫，如sql、oracle等；具有廣泛的軟件支持，軟件兼容性好，并支持多種傳輸協議；能與internet互聯，可提供互聯網的應用，如www瀏覽服務，ftp文件傳輸服務，e-mail電子郵件服務、news新聞組討論等服務；支持snmp網絡管理協議，具有良好的可靠性和可維護性；系統最好是業(yè)界知名品牌；必須有規(guī)格齊全的產品系列；整個系統應該具備優(yōu)秀的可管理性；在數據保護方面應該具備先進的技術；售后服務和技術支持體系必須完善。鑒于以上考慮，ibm作為世界上最大的服務器與增值服務的領先專業(yè)供應商，經過在該領域幾十年的探索和耕耘，已經發(fā)展成為世界服務器第一品牌。目前ibm服務器已經在稅務、金融、郵政、政府、軍隊、證券、教育、電信、制造、交通等關鍵應用行業(yè)形成規(guī)模化、持續(xù)應用和推廣。鑒于以上分析，我們建議用戶選擇性能價格比較高的ibm系列服務器統一認證平臺的服務器。5.1.3 主機系統總體配置主機系統配置應從分考慮實際應用的需求。根據前面所述原則，結合網上審批系統的具體情況，初步在外網設置服務器如下：數據庫服務器、應用服務器（1臺）選用ibm eserver xseries 460設備配置清單：型號配置數量x460-88722*xeon em64t mp 2.83/4mb l3，667mhz fsb/4-