【正文】 ....... 18 4 實(shí)現(xiàn)技術(shù)方案 .......................................................................................................... 18 統(tǒng)一認(rèn)證實(shí)現(xiàn)技術(shù) ........................................................................................ 18 認(rèn)證流程 ............................................................................................ 18 CA 認(rèn)證技術(shù) ...................................................................................... 19 BSToken 和 UserToken ........................................................................ 19 統(tǒng)一認(rèn)證的有效期 .............................................................................. 20 統(tǒng)一認(rèn)證接口 ............................................................................................... 20 接口描述 ............................................................................................ 20 B/S 系統(tǒng)認(rèn)證接口 .............................................................................. 20 C/S 系統(tǒng)認(rèn)證接口 .............................................................................. 23 數(shù)據(jù)接口 ............................................................................................ 24 5 硬件及集成方案 ...................................................................................................... 24 系統(tǒng)硬件及其選型 ........................................................................................ 24 主機(jī)設(shè)計(jì)原則 ..................................................................................... 24 主機(jī)設(shè)備的選型 ................................................................................. 25 主機(jī)系統(tǒng)總體配置 .............................................................................. 26 系統(tǒng)軟件及其選型 ........................................................................................ 27 其它相關(guān)設(shè)備選型 ........................................................................................ 27 服務(wù)器機(jī)柜 ........................................................................................ 27 電信平臺(tái)統(tǒng)一認(rèn)證 方案 廣州吉海通信科技有限公司 4 交換機(jī) ............................................................................................... 27 6 技術(shù)支持與承諾 ...................................................................................................... 28 服務(wù)承諾 ...................................................................................................... 28 軟件系統(tǒng)一年免費(fèi)維護(hù) ................................................................................. 28 關(guān)鍵詞： 統(tǒng)一認(rèn)證，單點(diǎn)登錄， SSO，統(tǒng)一授權(quán) ，統(tǒng)一資源管理，統(tǒng)一展現(xiàn) 摘 要： 電信 統(tǒng)一認(rèn)證平臺(tái)。同時(shí)由于記憶口令不可能頻繁更改，那么口令就存在著被竊聽(tīng)、盜用、濫用的危險(xiǎn)，給企業(yè)的安全帶來(lái)巨大的威脅 。 電信平臺(tái)統(tǒng)一認(rèn)證 方案 廣州吉海通信科技有限公司 6 項(xiàng)目 建設(shè)目標(biāo) 在充分了解了 電信運(yùn)營(yíng)商的各種業(yè)務(wù)系統(tǒng)平臺(tái)和 各種 上網(wǎng) 需求 的基礎(chǔ)上 ， 通過(guò)反復(fù)的論證、測(cè)試，成功研發(fā)并建設(shè)了一個(gè)電信級(jí)的企業(yè) 業(yè)務(wù)統(tǒng)一認(rèn)證平 臺(tái) 。 電信平臺(tái)統(tǒng)一認(rèn)證 方案 廣州吉海通信科技有限公司 7 項(xiàng)目建設(shè)原則 ? 實(shí)用性 平臺(tái)必須具有實(shí)用性，用戶(hù)通過(guò)單點(diǎn)登錄，在使用便利性上有切實(shí)的提高。 ? 先進(jìn)性 系統(tǒng)能夠充分使用當(dāng)前最先進(jìn)，并且得到成熟應(yīng)用的技術(shù)，架構(gòu)，平臺(tái)以及產(chǎn)品，確保系統(tǒng)能夠在一定的時(shí)期內(nèi)保持技術(shù)的先進(jìn)性。在使用聯(lián)創(chuàng) SSO 安全網(wǎng)關(guān)后，用戶(hù)更可以?xún)H需要輸入一次用戶(hù)名、口令，就能對(duì)各個(gè) Web 應(yīng)用系統(tǒng)進(jìn)行訪(fǎng)問(wèn)。之前，江蘇電信為了保障企業(yè)數(shù)據(jù)安全性，內(nèi)外網(wǎng)是物理隔離的，遠(yuǎn)程用戶(hù)訪(fǎng)問(wèn)內(nèi)部網(wǎng)中的數(shù)據(jù)可以說(shuō)是不可能的，這 大大降低了人員的工作效率和對(duì)外提供服務(wù)的有效與及時(shí)性。 ? 應(yīng)用接入層 提供信息瀏覽、服務(wù)定位、數(shù)據(jù)接入 ? WEB 用戶(hù)界面，既提供了操作的方便性和靈活性，也降低了系統(tǒng)的維護(hù)成本。 系統(tǒng)由兩臺(tái)服務(wù)器（數(shù)據(jù)庫(kù)服務(wù)器＋ WEB服務(wù)器）組成 .布署圖如下： I n t e r n e tW E B 服 務(wù) 器數(shù) 據(jù) 庫(kù) 服 務(wù) 器防 火 墻L A N 內(nèi) 部 網(wǎng)客 戶(hù) 端客 戶(hù) 端內(nèi) 部 用 戶(hù) 3 系統(tǒng)功能設(shè)計(jì) 平臺(tái)的總體框架 統(tǒng)一認(rèn)證系統(tǒng) 應(yīng)定位為信息安全的基礎(chǔ)平臺(tái)，所以在制定實(shí)施方案時(shí)要充分考慮其總體架構(gòu)的安全性、用戶(hù)信息存儲(chǔ)和訪(fǎng)問(wèn)的安全性、認(rèn)證過(guò)程中認(rèn)證信息傳遞的安全性。用戶(hù)在訪(fǎng)問(wèn)企業(yè)應(yīng)用系統(tǒng)時(shí)，可以首先通過(guò)企業(yè)各系統(tǒng)的認(rèn)證授權(quán)功能，獲取訪(fǎng)問(wèn)其他應(yīng)用系統(tǒng)的權(quán)限， 實(shí)現(xiàn)單點(diǎn)登錄 。 例如，用戶(hù) X 需要同時(shí)使用 A 系統(tǒng)與 B 系統(tǒng)，就必須在 A 系統(tǒng)與 B 系統(tǒng)中都創(chuàng)建用戶(hù) X，這樣在 A、 B 任一系統(tǒng)中用戶(hù) X 的信息更改后就必須同步至另一系統(tǒng)。 3．應(yīng)用系統(tǒng)對(duì)用戶(hù)基本信息的增加、修改、刪除和查詢(xún)等請(qǐng)求由 UUMS處理。 5. 時(shí)間段認(rèn)證 : 用戶(hù)只能在某個(gè)指定的時(shí)間段訪(fǎng)問(wèn)系統(tǒng)。 PKI（ Public Key Infrastructure）即公鑰基礎(chǔ)設(shè)施是利用公鑰理論和數(shù)字證書(shū)來(lái)確保系統(tǒng)信息安全的一種體系。 CA 是 PKI 的核心，負(fù)責(zé)所有數(shù)字證書(shū)的簽發(fā)和注銷(xiāo) 。 在統(tǒng)一認(rèn)證的前 提下，按照指定的規(guī)則將用戶(hù)劃分為不同用戶(hù)群，可以為相關(guān)業(yè)務(wù)系統(tǒng)提供會(huì)員鑒權(quán)服務(wù)，使各個(gè)子系統(tǒng)定制不同的會(huì)員服務(wù)等級(jí) 。 第一種認(rèn)證方式：用戶(hù)直接登陸內(nèi)容業(yè)務(wù)系統(tǒng)，內(nèi)容業(yè)務(wù)系統(tǒng)將用戶(hù)提供的用戶(hù)名 /密碼等轉(zhuǎn)發(fā)給統(tǒng)一身份認(rèn)證服務(wù)以檢驗(yàn)其是否通過(guò)授權(quán)。遺憾的是 J2EE 規(guī)范并沒(méi)有規(guī)定安全上下文的格式，因此不能在不同廠商的 J2EE 產(chǎn)品之間傳遞安全上下文。 統(tǒng)一信息展現(xiàn) 概述 應(yīng)用系統(tǒng)可通過(guò)配置集成統(tǒng)一的 信息綜合展示 界面 ，同時(shí)，也可為用戶(hù)定制個(gè)性化的工作界面。當(dāng)用戶(hù)再次訪(fǎng)問(wèn)業(yè)務(wù)系統(tǒng)時(shí)，業(yè)務(wù)系統(tǒng)可以根據(jù)自身保存的BSToken 進(jìn)行判斷，而不需要向網(wǎng)上客服中心提交身份驗(yàn)證請(qǐng)求。統(tǒng)一認(rèn)證 接口 可以分為 B/S 系統(tǒng)認(rèn)證接口、 C/S 系統(tǒng)認(rèn)證接口與數(shù)據(jù)接口三種接口。 接口方法為： BSTokenResponse=BSTokenResponseValue 其中， ReturnURL 從 BSTokenRequest 中獲得。 OriginalUserToken 的格式如下 ： OriginalUserToken = UserID = value 。 要求 提供各個(gè)要進(jìn)行統(tǒng)一認(rèn)證系統(tǒng)的用戶(hù)資料，以便統(tǒng)一認(rèn)證平臺(tái)進(jìn)行數(shù)據(jù)關(guān)聯(lián)與數(shù)據(jù)整合。 4) 開(kāi)放性原則 走開(kāi)放系統(tǒng)的道路和系統(tǒng)體系結(jié)構(gòu)；系統(tǒng)設(shè)計(jì)的開(kāi)放性原則是指系統(tǒng)有適應(yīng)外界環(huán)境變化的能力，即在外界環(huán)境改變時(shí)，系統(tǒng)可以不做修改或僅做少量修改就能在新環(huán)境下運(yùn)行。采取各種安全保密措施，防范各種因素對(duì)系統(tǒng)的輕翻和攻擊，確保系統(tǒng)、信息安全可靠。 主機(jī)系統(tǒng)總體配置 主機(jī)系統(tǒng)配置應(yīng)從分考慮實(shí)際應(yīng)用的需求。 電信平臺(tái)統(tǒng)一認(rèn)證 方案 廣州吉海通信科技有限公司 29 4) 硬件系統(tǒng)按原供應(yīng)商售后協(xié)議維護(hù)。 數(shù)據(jù) 庫(kù)選用 Oracle 10g 企業(yè) 版。 6) 經(jīng)濟(jì)性和可擴(kuò)展性原則 應(yīng)盡可能地采用性能價(jià)格比高的產(chǎn)品，同時(shí)兼顧在技術(shù)、系統(tǒng)結(jié)構(gòu)、產(chǎn)品系列化和處理性能等各方面具有良好的擴(kuò)充、升級(jí)能力。開(kāi)放性是系統(tǒng)柔性的體現(xiàn)，具體反映在以下幾個(gè)方面： ? 能適應(yīng)計(jì)算機(jī)軟、硬件技術(shù)的迅速發(fā)展。 主機(jī)設(shè)計(jì)原則 統(tǒng)一認(rèn)證平臺(tái)最重要是安全性與方便性 ，因此在主機(jī)系統(tǒng)的建設(shè)時(shí)我們應(yīng)遵循以下原則進(jìn)行： 1) 標(biāo)準(zhǔn)化原則 計(jì)算機(jī)系統(tǒng)采用最新的技術(shù)和標(biāo)準(zhǔn)，并符合國(guó)際標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)。 該方法需要改過(guò)原有的應(yīng)用程序，技術(shù)難度在保證原程序的啟動(dòng)。 BSTokenResponseValue = Base64(BSID + “ $” + “ $” + Encrypt (Result + “ $” + UserID + “ $” ＋ TimeStamp + “ $” ＋ ExpireTime +