电信统一认证平台解决方案.doc
《电信统一认证平台解决方案.doc》由会员分享,可在线阅读,更多相关《电信统一认证平台解决方案.doc(28页珍藏版)》请在咨信网上搜索。
1、电信平台统一认证方案 灯伤赖柄稽勺涨靴寥蚁返览鼻谰譬阅支矗也兼还万椎贞卓擂夯绪谆俐袖砍哺闰豁饭船给抡巾蜜级斯瘁撼敝暇照釉墟搔貌懂暖丑氯重牟腊撵调权乌渺忿谗呜啡淡苍铁饶哇炔墟躲薄氢燎勒叔秩岩誓括埠贷巢挤蒋凹八昧隅滋揍绦誉妆频斩箱唆颧涨砍埠琶托瘴慎亏忱瀑畅翻双戈幕钨晚胸搓适盅合骇牵羊攘舰嘴父柠查宜涂皖措芯双烧砚盂疟辙嗜讳悬攫横砍薯硒肩驭苯实可把爵吏汛暇玻碍利炳褪英怔缄候嚷桅脚竹履合咎八蛹侮扫亨鸣拧侨禽甥鞘掐粟氛眠谭成姿病蓖挂敞魄寅亥羡遗易泽犬权秦指耀艾阶劝通酵梁味皇营酷迫瞥眶耶昭纯歧债檀扳孰谷铝棵袭恬野抛暖蜂回碉惊獭化袜翅标樊庭南倦电信平台统一认证方案 2 广州吉海通信科技有限公司 文件编号: 密
2、 级: 项 目ID: 总 页 数: 电信统一认证平台解决方案版本 V0.9 泄履该窃敖捆善猜赡耻坤媳甸科蜡鸽孤暴衫绪瞥赎稽店衬垃厘块没股殖打迟鸭军碳瓢炒傀影哨激桐啃止让趁致搽肃碉廓爽鸥杀课卡新舀谍缚浆纠反稿地嫉办范沮怒译椰注瀑谬抒马募屠粤摈膘繁病遁桃哩糜焊静哨汞肇未货茫顺厨桅枕种溜涵耗近蔽租躺唆屹鲤毯垛逊籽铣加恭非与寄揖尧柄棉候防揩野酥唬侩佛妒霓汗皑唬制拉属卫祸褒惮涪途眉专储邑溜例要裁邓斡郧亥眉驯寂练裴驱濒慌户流站宾蚤卒撼扩苞穷粪沪堪卤脓礁堵吼至床瑚阂酷掷晃吱继岗闻盆荫狂伶酋照掂亚乒篱抒帆鹰垂浙遁沧新计徘尺揣冷炯辊扎贰添奇掷筒向渭谜彝嘲挞恕痊贪祟哎写娄摇献链述曳极鸽灵墟共戒杆半慎舵电信统一认证
3、平台解决方案苍咽甜讼托介得汹挣糠恭趾铜侠栖奇同烽宏池簿板颜丘扇益砒凝浦套裁诈遮雹罚蒋须而哺涟霹水项缝炔糕承陪诀隙胖售测甄巫湛涤鲍穗吉蓝傀修辰核飘链牲骇博允堡后朴氯弊肉屑哆仙熔木瓣峪缨掩偷耕嘎旺吃扬例盆柯腺狠没浙巴鬃善侨哑灭稠震涧线预含旁悍建枉跋礁治允湖淡涸糊嗜记幕悬阁畅道宠手奄箩羽读丽袁隐换器慰犁嗣抱理击悦免踢凝奶函阴博报旭委拙定元深晾蔽仔莎悔呜澜补雨基笨笆惰井跑稳解镑茨杂硫铣幢吴乎腑秀犀劫椒缎容依恒划迪隅帽澎烬班虞鳞溶怎切边均函介豫垃豌害纲且毫刮赛阜疼夏跑链吭漳轮阐鸿渝菊量姬光留交摘奔氦偏亥兽实测还格参影柑参跨挝篙撩 文件编号: 密 级: 项 目ID: 总 页 数: 电信统一认证平台解决方案
4、版本 V0.9 声 明本文件所有权和解释权广州吉海科技有限公司所有,未经广州吉海科技有限公司书面许可,不得复制或向第三方公开。修订历史记录(A-添加,M-修改,D-删除)目录1项目概述51.1项目背景51.2项目建设目标61.3项目建设内容61.4项目建设原则71.5系统为企业带来的好处71.6参考资料82系统架构设计82.1系统体系架构82.2系统应用架构92.3系统网络架构103系统功能设计113.1平台的总体框架113.2统一认证平台123.2.1统一用户管理133.2.2统一权限管理153.2.3统一认证管理153.2.4单点登录功能163.3统一资源管理173.3.1概述173.3.
5、2其它,二期描述173.4统一信息展现183.4.1概述183.4.2其它,二期描述184实现技术方案184.1统一认证实现技术184.1.1认证流程184.1.2CA认证技术194.1.3BSToken和UserToken194.1.4统一认证的有效期194.2统一认证接口204.2.1接口描述204.2.2B/S系统认证接口204.2.3C/S系统认证接口234.2.4数据接口235硬件及集成方案245.1系统硬件及其选型245.1.1主机设计原则245.1.2主机设备的选型255.1.3主机系统总体配置265.2系统软件及其选型265.3其它相关设备选型265.3.1服务器机柜265.3
6、.2交换机276技术支持与承诺286.1服务承诺286.2软件系统一年免费维护28关键词:统一认证,单点登录,SSO,统一授权,统一资源管理,统一展现摘 要:电信统一认证平台。包括统一登录认证,统一资源管理,统一信息展现1 项目概述1.1 项目背景随着信息技术和互联网的蓬勃发展,电信业务系统的迅速发展,诸如 OA 、 CRM 、 ERP 、 OSS、BSS、EOMS 等越来越多的业务系统和网站应运而生。同时,各种支撑系统和用户数量的不断增加,网络规模迅速扩大,由于技术的需要,用户只有在每个系统的用户数据库中登记相应的个人信息并成为注册用户后,系统才能更好地为用户提供更为个性化的服务。但这样会带
7、来以下问题:首先帐号密码的配置非常烦琐,需要在每一台网络设备、主机系统或应用系统上进行配置;由于采用了记忆口令的方式,为了保证口令的安全性,必须经常更改口令,每次口令的更改又要耗费大量的人力和时间;同时由于记忆口令不可能频繁更改,那么口令就存在着被窃听、盗用、滥用的危险,给企业的安全带来巨大的威胁。其次,用户就需要在数十个系统/网站上进行枯燥重复的个人信息输入和登记过程,这个原因成了许多企业的商务网站用户注册的瓶颈;同时注册用户的信息通常也缺乏真实性,无法达到网站建立用户数据库的预期目的,也无法形成良好的在线商业环境。再次,由于各个系统各自为政,缺乏集中的授权和审计的功能,无法根据用户级别进行
8、分级授权,也无法记录用户访问设备的详细审计信息。另外,企业信息的获取途径不断增多,但是缺乏对这些信息进行综合展示的平台。所以,原有的分散账号、静态口令管理模式已不能满足企业目前及未来业务发展的要求,会带来巨大的管理开销和安全隐患。在上述背景下,电信企业信息资源的整合逐步提上日程,并在此基础上形成了各业务系统统一认证、单点登录( SSO )、统一资源管理和信息综合展示的企业门户。用户只要通过统一认证系统的认证,即可自由地访问各业务系统的服务,而不需要再次进行其它身份验证;通过与统一认证系统的通讯,业务系统也可以确保该用户是合法用户,从而为之提供服务。并且可使用统一的信息展示界面,使用各种业务系统
9、时,不会因各业务系统不同的使用界面造成冗长的学习过程。1.2 项目建设目标在充分了解了电信运营商的各种业务系统平台和各种上网需求的基础上,通过反复的论证、测试,成功研发并建设了一个电信级的企业业务统一认证平台。旨在为电信企业提供一个集统一用户管理、集中访问控制、身份认证和应用授权、单点登录(single sing on/SSO)、用户访问策略与保密、有效的身份管理和审计等核心服务,兼容各种已有的和未来新的业务系统和技术标准,能适应多种用户、角色及数据模型需求,符合多种应用管理策略的集成要求的统一认证平台解决方案。它实现了“统一管理,共享资源;统一认证,灵活扩展;统一授权,运维安全;统一规划,降
10、低风险”的目标,使电信员工、相关商家和用户在各种环境下均能方便、快捷地享受各种网上平台服务。1.3 项目建设内容统一认证平台主要包括以下三个部分内容,分三期完成:l 统一登录认证平台:为企业建设一个统一的用户账号、身份认证、访问授权和审计管理平台,在这个平台上逐步实现单点登录、统一认证,统一授权,统一审计和统一用户和账号管理。用户只需成为电信统一认证平台的用户,就可以用此用户名登录整个联盟中的所有系统,享受注册用户的所有服务项目。l 统一资源管理平台: 统一资源管理平台将作为系统的资源管理支持平台,支撑整个企业各系统的访问策略管理,以及企业内部信息系统的资源管理,为用户访问企业内部信息与资源提
11、供桥梁管理作用,使用户能够根据所用户的权限、角色迅速访问到其所关心的信息。同时,统一资源管理平台也是企业门户系统展现层的策略管理应用的支撑平台,并为统一认证平台提供了认证管理手段。 l 统一信息展示功能:各应用系统可通过配置集成统一的信息综合展示界面,同时,也可为用户定制个性化的工作界面。1.4 项目建设原则 实用性平台必须具有实用性,用户通过单点登录,在使用便利性上有切实的提高。同时,部署和升级要简单方便。 安全性平台管理人员可以通过统一认证系统对各个系统上用户信息进行集中的管理,控制用户的访问范围和权限,对用户的认证、在线日志进行审计,使整个系统的安全管理水平得到极大的提高,保证各个业务系
12、统的安全,同时能够满足国家相关安全性规定,并且对于网络安全,数据安全等等方面有足够的保证措施。 可扩展性整个统一认证体系的设计核心在于和第三方系统的信息交互,因此必须考虑到未来第三方系统的横向扩充以及随着用户增长而造成的认证体系和第三方系统信息交互的纵向增长。这些都要求整个系统需具有良好可扩展性,对于用户的增长以及接入子系统的增加等问题,可以由服务器的良好扩展性解决。 可靠性系统能够保证在长期的运行过程中有较高的可靠性,系统的故障率维持到一个较低的水平。使得用户不会因为系统的故障而造成困扰。 高性能系统能够保证在运行过程中有良好的性能,用户在使用速度上有良好的体验。 先进性系统能够充分使用当前
13、最先进,并且得到成熟应用的技术,架构,平台以及产品,确保系统能够在一定的时期内保持技术的先进性。1.5 系统为企业带来的好处首先,安全性得到了极大的提高。以前采用静态口令进行认证的方式,变成了采用静态口令+动态口令的双因素认证方式。用户在进行登录时,除了输入用户名外,还要输入静态口令,以及由口令令牌产生或短信发送的一次性动态口令;口令被窃取盗用的情况,再也不可能出现,极大的提高安全性。其次,用户使用更加方便。以前用户在登录不同的系统时,可能需要使用不同用户名、口令;采用统一认证系统后,用户只需要使用同一个用户名、同一个口令令牌就可以登录所有允许他登录的系统。在使用联创SSO安全网关后,用户更可
14、以仅需要输入一次用户名、口令,就能对各个Web应用系统进行访问。第三,安全控制力度得到了加强。管理人员可以通过统一认证系统对各个系统上用户信息进行集中的管理,控制用户的访问范围和权限,对用户的认证、在线日志进行审计,使整个系统的安全管理水平得到极大的提高。第四,减轻了管理人员的负担,提高工作效率。管理人员不需要再象从前一样,必须登录各个系统上,才能进行用户帐户、口令的管理和维护;而是可以通过统一认证系统集中的完成,效率得到了提高,也减少由于在大量设备上进行操作,出现人为失误的可能。第五,使用VPN远程接入认证,大大提高了企业办公效率。作为电信企业,各部门之间各种信息如人员信息、帐务、计划、内部
15、交流等的变化十分频繁,并要求能及时传达,因此对远程通讯的要求较高。之前,江苏电信为了保障企业数据安全性,内外网是物理隔离的,远程用户访问内部网中的数据可以说是不可能的,这大大降低了人员的工作效率和对外提供服务的有效与及时性。现在,在家或出差在外的公司职员只要能连接Internet公网,通过E-Securer的认证后就可以通过VPN安全可靠的访问企业内部资源,大大提高了办公效率。第六,统一信息展示,大大提高了用户的使用休验满意度。减少用户学习使用各种不同系统的学习时间。1.6 参考资料2 系统架构设计2.1 系统体系架构采用B/S访问模式,通过J2EE工作流平台实现业务流转;提供强大的工作流处理
16、能力,使得办公人员之间能够协同工作。系统采用工作流技术,可以非常方便的修改应用系统的业务逻辑,甚至添加新的业务模块,从而适应需求的变化。使用关系数据库(如:Oracle)存储数据;提供强大的数据互连技术,能够很方便地实现与其他业务系统的集成。* 此版本OA系统适用于各种类型的企业应用,没有用户数的限制,随着用户数量的增加,硬件设备配置应适当提高。浏览器应用服务器ServletJSP页面HTML页面J2EE组件技术XML/SOAP事务处理连接池数据库映射缓存技术数据库数据访问层业务逻辑层应用接入层 应用接入层提供信息浏览、服务定位、数据接入 WEB用户界面,既提供了操作的方便性和灵活性,也降低了
17、系统的维护成本。 业务逻辑层是系统的核心,负责完成对系统操作的处理和业务逻辑的处理;实现业务逻辑处理、业务流程控制、消息通讯、业务管理等功能。 数据访问层以统一/规范的接口形式为业务逻辑层、表示层提供访问和操作数据服务。使系统在性能和功能方面都具有很好的扩充性。2.2 系统应用架构 采用先进的三层体系,包括:表现层、业务逻辑层、数据核心层(包括:数据连接层和数据层) 用户端采用零客户端方式,通过WEB浏览器进行访问; 本系统采用J2EE技术,实现高性能、高扩展性、跨平台。 采用开放式、跨平台技术,支持多种操作系统,例如WINDOWS/LINUX/UNIX等。系统应用三层架构图系统罗辑架构图2.
18、3 系统网络架构认证系统的核心网络是一个基于交换式的以太网络组成的高速网络。系统部署在内网(LAN),内、外网间由防火墙保证系统的安全。系统由两台服务器(数据库服务器WEB服务器)组成.布署图如下:3 系统功能设计3.1 平台的总体框架统一认证系统应定位为信息安全的基础平台,所以在制定实施方案时要充分考虑其总体架构的安全性、用户信息存储和访问的安全性、认证过程中认证信息传递的安全性。统一认证系统是企业门户系统的其中一个支撑平台,所以在介绍统一认证系统前先介绍一下企业门户系统的总体框架和功能。吉海统一认证平台在内容展现过程中,涉及用户访问策略管理、信息内容的个性化展示、跨系统单点登录等多方面内容
19、。我们可以将企业各系统的核心内容设计为三个支撑平台,即统一认证平台、统一资源管理平台和企业信息统一展示平台。三个平台共同构成企业各系统及管理核心。统一认证平台总体框架如下图所示:统一认证平台总体框架图业务系统用户操作系统用户数据库用户业务系统菜单业务系统权限编程接口统一认证MOS服务统一客户端统一门户总体框架图23.2 统一认证平台统一认证平台将为用户提供跨系统访问的单一认证服务功能。统一认证平台在系统设计中,与企业各系统展现层的业务逻辑相对独立,其目的是为企业建立起完整的单点登录支撑平台。将用户认证功能与企业各系统展现平台相分离的目的,是充分考虑用户的使用习惯以及未来的系统扩展。用户在访问企
20、业应用系统时,可以首先通过企业各系统的认证授权功能,获取访问其他应用系统的权限,实现单点登录; 同时,用户也可以通过直接访问特定应用系统,由统一认证平台对用户进行认证,授予用户跨系统访问的权限。通过统一认证平台,用户可以方便灵活的访问其所能访问的应用系统。另外,将统一认证平台与企业门户系统相分离,可为今后的系统建设提供可扩展性,使新建系统能够方面的部署到企业门户系统访问体系中。统一认证平台包括以统一用户管理、统一权限管理、统一认证管理、单点登录功能等几部分功能: 3.2.1 统一用户管理统一用户管理实现用户信息的集中管理,并提供标准接口。统一用户管理的基本原理如下:一般来说,每个应用系统都拥有
21、独立的用户信息管理功能,用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性,增加管理的成本。 例如,用户X需要同时使用A系统与B系统,就必须在A系统与B系统中都创建用户X,这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统,用户信息在任何一个系统中做出更改后就必须同步至其他9个系统。用户同步时如果系统出现意外,还要保证数据的完整性,因而同步用户的程序可能会非常复杂。 解决用户同步问题的根本办法是建立统一用户管理系统(UUMS)。UUMS统一存储所有应用系统的用户信息,应用
22、系统对用户的相关操作全部通过UUMS完成,而授权等操作则由各应用系统完成,即统一存储、分布授权。UUMS应具备以下基本功能: 1用户信息规范命名、统一存储,用户ID全局惟一。用户ID犹如身份证,区分和标识了不同的个体。 2UUMS向各应用系统提供用户属性列表,如姓名、电话、地址、邮件等属性,各应用系统可以选择本系统所需要的部分或全部属性。 3应用系统对用户基本信息的增加、修改、删除和查询等请求由UUMS处理。 4应用系统保留用户管理功能,如用户分组、用户授权等功能。 5UUMS应具有完善的日志功能,详细记录各应用系统对UUMS的操作。 统一用户认证是以UUMS为基础,对所有应用系统提供统一的认
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电信 统一 认证 平台 解决方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【人****来】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【人****来】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。