电信统一认证平台解决方案.doc

电信统一认证平台解决方案.doc

《电信统一认证平台解决方案.doc》由会员分享，可在线阅读，更多相关《电信统一认证平台解决方案.doc（29页珍藏版）》请在冰豆网上搜索。

电信平台统一认证方案

文件编号：

密级：

项目ID：

总页数：

电信统一认证平台解决方案

版本V0.9

声明

本文件所有权和解释权广州吉海科技有限公司所有，未经广州吉海科技有限公司书面许可，不得复制或向第三方公开。

修订历史记录

（A-添加，M-修改，D-删除）

目录

1 项目概述 5

1.1 项目背景 5

1.2 项目建设目标 6

1.3 项目建设内容 6

1.4 项目建设原则 7

1.5 系统为企业带来的好处 7

1.6 参考资料 8

2 系统架构设计 8

2.1 系统体系架构 8

2.2 系统应用架构 9

2.3 系统网络架构 10

3 系统功能设计 11

3.1 平台的总体框架 11

3.2 统一认证平台 12

3.2.1 统一用户管理 13

3.2.2 统一权限管理 15

3.2.3 统一认证管理 15

3.2.4 单点登录功能 16

3.3 统一资源管理 17

3.3.1 概述 17

3.3.2 其它,二期描述 17

3.4 统一信息展现 18

3.4.1 概述 18

3.4.2 其它,二期描述 18

4 实现技术方案 18

4.1 统一认证实现技术 18

4.1.1 认证流程 18

4.1.2 CA认证技术 19

4.1.3 BSToken和UserToken 19

4.1.4 统一认证的有效期 19

4.2 统一认证接口 20

4.2.1 接口描述 20

4.2.2 B/S系统认证接口 20

4.2.3 C/S系统认证接口 23

4.2.4 数据接口 23

5 硬件及集成方案 24

5.1 系统硬件及其选型 24

5.1.1 主机设计原则 24

5.1.2 主机设备的选型 25

5.1.3 主机系统总体配置 26

5.2 系统软件及其选型 26

5.3 其它相关设备选型 26

5.3.1 服务器机柜 26

5.3.2 交换机 27

6 技术支持与承诺 28

6.1 服务承诺 28

6.2 软件系统一年免费维护 28

关键词：

统一认证，单点登录，SSO，统一授权，统一资源管理，统一展现

摘要：

电信统一认证平台。

包括统一登录认证，统一资源管理，统一信息展现

1项目概述

1.1项目背景

随着信息技术和互联网的蓬勃发展，电信业务系统的迅速发展，诸如OA、CRM、ERP、OSS、BSS、EOMS等越来越多的业务系统和网站应运而生。

同时，各种支撑系统和用户数量的不断增加，网络规模迅速扩大，由于技术的需要，用户只有在每个系统的用户数据库中登记相应的个人信息并成为注册用户后，系统才能更好地为用户提供更为个性化的服务。

但这样会带来以下问题：

首先帐号密码的配置非常烦琐，需要在每一台网络设备、主机系统或应用系统上进行配置;由于采用了记忆口令的方式，为了保证口令的安全性，必须经常更改口令，每次口令的更改又要耗费大量的人力和时间;同时由于记忆口令不可能频繁更改，那么口令就存在着被窃听、盗用、滥用的危险，给企业的安全带来巨大的威胁。

其次，用户就需要在数十个系统/网站上进行枯燥重复的个人信息输入和登记过程，这个原因成了许多企业的商务网站用户注册的瓶颈；同时注册用户的信息通常也缺乏真实性，无法达到网站建立用户数据库的预期目的，也无法形成良好的在线商业环境。

再次，由于各个系统各自为政，缺乏集中的授权和审计的功能，无法根据用户级别进行分级授权，也无法记录用户访问设备的详细审计信息。

另外，企业信息的获取途径不断增多，但是缺乏对这些信息进行综合展示的平台。

所以，原有的分散账号、静态口令管理模式已不能满足企业目前及未来业务发展的要求，会带来巨大的管理开销和安全隐患。

在上述背景下，电信企业信息资源的整合逐步提上日程，并在此基础上形成了各业务系统统一认证、单点登录（SSO）、统一资源管理和信息综合展示的企业门户。

用户只要通过统一认证系统的认证，即可自由地访问各业务系统的服务，而不需要再次进行其它身份验证；通过与统一认证系统的通讯，业务系统也可以确保该用户是合法用户，从而为之提供服务。

并且可使用统一的信息展示界面，使用各种业务系统时，不会因各业务系统不同的使用界面造成冗长的学习过程。

1.2项目建设目标

在充分了解了电信运营商的各种业务系统平台和各种上网需求的基础上，通过反复的论证、测试，成功研发并建设了一个电信级的企业业务统一认证平台。

旨在为电信企业提供一个集统一用户管理、集中访问控制、身份认证和应用授权、单点登录（singlesingon/SSO）、用户访问策略与保密、有效的身份管理和审计等核心服务,兼容各种已有的和未来新的业务系统和技术标准,能适应多种用户、角色及数据模型需求,符合多种应用管理策略的集成要求的统一认证平台解决方案。

它实现了“统一管理，共享资源；统一认证，灵活扩展；统一授权，运维安全；统一规划，降低风险”的目标，使电信员工、相关商家和用户在各种环境下均能方便、快捷地享受各种网上平台服务。

1.3项目建设内容

统一认证平台主要包括以下三个部分内容，分三期完成：

l统一登录认证平台：

为企业建设一个统一的用户账号、身份认证、访问授权和审计管理平台，在这个平台上逐步实现单点登录、统一认证，统一授权，统一审计和统一用户和账号管理。

用户只需成为电信统一认证平台的用户，就可以用此用户名登录整个联盟中的所有系统，享受注册用户的所有服务项目。

l统一资源管理平台:

统一资源管理平台将作为系统的资源管理支持平台，支撑整个企业各系统的访问策略管理，以及企业内部信息系统的资源管理，为用户访问企业内部信息与资源提供桥梁管理作用，使用户能够根据所用户的权限、角色迅速访问到其所关心的信息。

同时，统一资源管理平台也是企业门户系统展现层的策略管理应用的支撑平台，并为统一认证平台提供了认证管理手段。

l统一信息展示功能：

各应用系统可通过配置集成统一的信息综合展示界面，同时，也可为用户定制个性化的工作界面。

1.4项目建设原则

Ø实用性

平台必须具有实用性，用户通过单点登录，在使用便利性上有切实的提高。

同时，部署和升级要简单方便。

Ø安全性

平台管理人员可以通过统一认证系统对各个系统上用户信息进行集中的管理，控制用户的访问范围和权限，对用户的认证、在线日志进行审计，使整个系统的安全管理水平得到极大的提高，保证各个业务系统的安全，同时能够满足国家相关安全性规定，并且对于网络安全，数据安全等等方面有足够的保证措施。

Ø可扩展性

整个统一认证体系的设计核心在于和第三方系统的信息交互，因此必须考虑到未来第三方系统的横向扩充以及随着用户增长而造成的认证体系和第三方系统信息交互的纵向增长。

这些都要求整个系统需具有良好可扩展性，对于用户的增长以及接入子系统的增加等问题，可以由服务器的良好扩展性解决。

Ø可靠性

系统能够保证在长期的运行过程中有较高的可靠性，系统的故障率维持到一个较低的水平。

使得用户不会因为系统的故障而造成困扰。

Ø高性能

系统能够保证在运行过程中有良好的性能，用户在使用速度上有良好的体验。

Ø先进性

系统能够充分使用当前最先进，并且得到成熟应用的技术，架构，平台以及产品，确保系统能够在一定的时期内保持技术的先进性。

1.5系统为企业带来的好处

首先，安全性得到了极大的提高。

以前采用静态口令进行认证的方式，变成了采用静态口令+动态口令的双因素认证方式。

用户在进行登录时，除了输入用户名外，还要输入静态口令，以及由口令令牌产生或短信发送的一次性动态口令;口令被窃取盗用的情况，再也不可能出现，极大的提高安全性。

其次，用户使用更加方便。

以前用户在登录不同的系统时，可能需要使用不同用户名、口令;采用统一认证系统后，用户只需要使用同一个用户名、同一个口令令牌就可以登录所有允许他登录的系统。

在使用联创SSO安全网关后，用户更可以仅需要输入一次用户名、口令，就能对各个Web应用系统进行访问。

第三，安全控制力度得到了加强。

管理人员可以通过统一认证系统对各个系统上用户信息进行集中的管理，控制用户的访问范围和权限，对用户的认证、在线日志进行审计，使整个系统的安全管理水平得到极大的提高。

第四，减轻了管理人员的负担，提高工作效率。

管理人员不需要再象从前一样，必须登录各个系统上，才能进行用户帐户、口令的管理和维护;而是可以通过统一认证系统集中的完成，效率得到了提高，也减少由于在大量设备上进行操作，出现人为失误的可能。

第五，使用VPN远程接入认证，大大提高了企业办公效率。

作为电信企业，各部门之间各种信息如人员信息、帐务、计划、内部交流等的变化十分频繁，并要求能及时传达，因此对远程通讯的要求较高。

之前，江苏电信为了保障企业数据安全性，内外网是物理隔离的，远程用户访问内部网中的数据可以说是不可能的，这大大降低了人员的工作效率和对外提供服务的有效与及时性。

现在，在家或出差在外的公司职员只要能连接Internet公网，通过E-Securer的认证后就可以通过VPN安全可靠的访问企业内部资源，大大提高了办公效率。

第六，统一信息展示，大大提高了用户的使用休验满意度。

减少用户学习使用各种不同系统的学习时间。

1.6参考资料

2系统架构设计

2.1系统体系架构

采用B/S访问模式，通过J2EE工作流平台实现业务流转；提供强大的工作流处理能力，使得办公人员之间能够协同工作。

系统采用工作流技术，可以非常方便的修改应用系统的业务逻辑，甚至添加新的业务模块，从而适应需求的变化。

使用关系数据库（如：

Oracle）存储数据；提供强大的数据互连技术，能够很方便地实现与其他业务系统的集成。

*此版本OA系统适用于各种类型的企业应用，没有用户数的限制，随着用户数量的增加，硬件设备配置应适当提高。

浏览器

应用服务器

Servlet

JSP页面

HTML页面

J2EE

组件技术

XML/SOAP

事务处理

连接池

数据库映射

缓存技术

数据库

数据访问层

业务逻辑层

应用接入层

•应用接入层提供信息浏览、服务定位、数据接入

•WEB用户界面，既提供了操作的方便性和灵活性，也降低了系统的维护成本。

•业务逻辑层是系统的核心，负责完成对系统操作的处理和业务逻辑的处理；实现业务逻辑处理、业务流程控制、消息通讯、业务管理等功能。

•数据访问层以统一/规范的接口形式为业务逻辑层、表示层提供访问和操作数据服务。

使系统在性能和功能方面都具有很好的扩充性。

2.2系统应用架构

Ø采用先进的三层体系，包括：

表现层、业务逻辑层、数据核心层（包括：

数据连接层和数据层）

Ø用户端采用零客户端方式，通过WEB浏览器进行访问；

Ø本系统采用J2EE技术，实现高性能、高扩展性、跨平台。

Ø采用开放式、跨平台技术，支持多种操作系统，例如WINDOWS/LINUX