【正文】 電信平臺統(tǒng)一認證 方案 廣州吉海通信科技有限公司 29 4) 硬件系統(tǒng)按原供應(yīng)商售后協(xié)議維護。 2) 接報后， 12 小時內(nèi)派人跟進，跟進人員先嘗試遠程維護 。, 200240V/24A, UTG0247, PT12 2 7188 Power Dist UnitSide Mount, Universal UTG0247 Connector 1 交換機 按照充分利用原有的硬件資源的原則，本次建設(shè)增加一臺接入層交換機，建議選用 CISCO WSC2950T24： 設(shè)備類型 快速以太網(wǎng)交換機 內(nèi)存 16MB DRAM 和 8MB 閃存 交換方式 存儲 轉(zhuǎn)發(fā) 背板帶寬（ Gbps） 包轉(zhuǎn)發(fā)率 VLAN 支持 支持 MAC 地址表 8000 網(wǎng)絡(luò) 網(wǎng)絡(luò)標準 IEEE ,10BaseT、 100BaseTX、 1000BaseT 端口上的 IEEE 全雙工操作 ,IEEE 生成樹協(xié)議 ,IEEE CoS,IEEE VLAN,IEEE 1000BaseTX 規(guī)范 ,IEEE 100BaseTx 規(guī)范 ,IEEE 10BaseTx 規(guī)范 傳輸速率 (Mbps) 10/100/1000 端口 端口類型 10/100BaseT,10/100/1000BaseT 電信平臺統(tǒng)一認證 方案 廣州吉海通信科技有限公司 28 端口數(shù) 24 模塊化插槽數(shù) 2 其它 是否支持全雙工 全雙工 網(wǎng)管功能 SNMP 管理信息庫 (MIB)II， SNMP MIB 擴展，橋接 MIB(RFC 1493) 堆疊 不支持 電氣規(guī)格 額定電壓（ V） 100 to 127/200 to 240 VAC 額定功率（ W） 30 外觀參數(shù) 重量 (Kg) 3 長度 (mm) 445 寬度 (mm) 242 高度 (mm) 44 環(huán)境參數(shù) 工作溫度（℃） 50 工作濕度 10% 95% 工作高度（米） 3000 存儲溫度（℃） 95 存儲濕度 10% 95% 存儲高度（米） 4500 6 技術(shù) 支持 與 承諾 服務(wù)承諾 我們的服務(wù)宗旨是“用戶至上，用心服務(wù)”，高速有效地為 客戶解決問題，最大限度的保護客戶投資和節(jié)約客戶資源，確保客戶系統(tǒng) 連續(xù)、穩(wěn)定、高效運行。 數(shù)據(jù) 庫選用 Oracle 10g 企業(yè) 版。 主機系統(tǒng)總體配置 主機系統(tǒng)配置應(yīng)從分考慮實際應(yīng)用的需求。目前 IBM 服務(wù)器已經(jīng)在稅務(wù)、金融、郵政、政府、軍隊、證券、教育、電信、制造、交通等關(guān)鍵應(yīng)用行業(yè)形成規(guī)?；?、持續(xù)應(yīng)用和推廣。在選擇服務(wù)器時 應(yīng)該考慮以下幾個因素： 服務(wù)器系統(tǒng)應(yīng)采用國際上較新的主流技術(shù)，并具有良好的向后擴展能力； 服務(wù)器系統(tǒng)應(yīng)具有高的可靠性，能長時間連續(xù)工作，并有容錯措施； 電信平臺統(tǒng)一認證 方案 廣州吉海通信科技有限公司 26 支持通用大型數(shù)據(jù)庫，如 SQL、 Oracle 等； 具有廣泛的軟件支持，軟件兼容性好，并支持多種傳輸協(xié)議； 能與 Inter 互聯(lián)，可提供互聯(lián)網(wǎng)的應(yīng)用，如 WWW 瀏覽服務(wù)， FTP 文件傳輸服務(wù)， Email電子郵件服務(wù)、 NEWS 新聞組討論等服務(wù)； 支持 SNMP 網(wǎng)絡(luò)管理協(xié)議，具有良好的可靠性和可維護性； 系統(tǒng)最好是業(yè)界知名品牌； 必須有規(guī)格齊全的產(chǎn)品系列； 整個系統(tǒng) 應(yīng)該具備優(yōu)秀的可管理性； 在數(shù)據(jù)保護方面應(yīng)該具備先進的技術(shù)； 售后服務(wù)和技術(shù)支持體系必須完善。 6) 經(jīng)濟性和可擴展性原則 應(yīng)盡可能地采用性能價格比高的產(chǎn)品，同時兼顧在技術(shù)、系統(tǒng)結(jié)構(gòu)、產(chǎn)品系列化和處理性能等各方面具有良好的擴充、升級能力。采取各種安全保密措施，防范各種因素對系統(tǒng)的輕翻和攻擊，確保系統(tǒng)、信息安全可靠。 ? 確保系統(tǒng)核心穩(wěn)定且具有動態(tài)可伸縮性。 ? 能滿足用戶 不斷提出的新要求。開放性是系統(tǒng)柔性的體現(xiàn)，具體反映在以下幾個方面： ? 能適應(yīng)計算機軟、硬件技術(shù)的迅速發(fā)展。 4) 開放性原則 走開放系統(tǒng)的道路和系統(tǒng)體系結(jié)構(gòu)；系統(tǒng)設(shè)計的開放性原則是指系統(tǒng)有適應(yīng)外界環(huán)境變化的能力，即在外界環(huán)境改變時，系統(tǒng)可以不做修改或僅做少量修改就能在新環(huán)境下運行。堅持以實際需求確定系統(tǒng)功能結(jié)構(gòu)與規(guī)模。系統(tǒng)的設(shè)備、安全性、數(shù)據(jù)流量、性能等能得到很好的堅實和控制，并可進行遠程管理和故障診斷。 主機設(shè)計原則 統(tǒng)一認證平臺最重要是安全性與方便性 ，因此在主機系統(tǒng)的建設(shè)時我們應(yīng)遵循以下原則進行： 1) 標準化原則 計算機系統(tǒng)采用最新的技術(shù)和標準，并符合國際標準、國家標準。 要求 提供各個要進行統(tǒng)一認證系統(tǒng)的用戶資料，以便統(tǒng)一認證平臺進行數(shù)據(jù)關(guān)聯(lián)與數(shù)據(jù)整合。該技術(shù)不需改動原有的系統(tǒng)，但技術(shù)要求高，設(shè)置相對麻煩些。由于 Automation 技術(shù)支持自動啟動，并能夠直接提供接口，用該技術(shù)較為理想，但缺點在必須修改原有的應(yīng)用程序使其支持 Automation 技術(shù)。 該方法需要改過原有的應(yīng)用程序，技術(shù)難度在保證原程序的啟動。 OriginalUserToken 的格式如下 ： OriginalUserToken = UserID = value 。該 cookie 必須設(shè)置屬性 only UserToken 的格式定義如下： UserToken = UserToken: usertoken 其中， usertoken 是加密后的字符串，加密算法采用 3DES，加密過程如下： a．生成摘要信息 Digest = Base64( Hash（ UserID） ) 其中， Hash 算法采用 SHA1， UserID 為用戶的唯一標識。其中第 1至第 8位的子串與第17至第 24 位的子串相同。 BSTokenResponseValue = Base64(BSID + “ $” + “ $” + Encrypt (Result + “ $” + UserID + “ $” ＋ TimeStamp + “ $” ＋ ExpireTime + “ $” + Digest)) 其中，加密算法采用 3DES， Key=BSSecret， BSSecret 是網(wǎng)上客服中心頒發(fā)給該業(yè)務(wù)系統(tǒng)的密鑰。 接口方法為： BSTokenResponse=BSTokenResponseValue 其中， ReturnURL 從 BSTokenRequest 中獲得。 BSTokenRequestValue = Base64(BSID + “ $” + “ $” + Encrypt(ReturnURL + “ $” + TimeStamp + “ $” + Digest)) 其中，加密算法采用 3DES， Key=SPSecret， SPSecret 是網(wǎng)上客服中心頒發(fā)給該 BS 的密鑰。 1）請求認證 接口采用重定向方式。 電信平臺統(tǒng)一認證 方案 廣州吉海通信科技有限公司 21 要求 提供各個要進行統(tǒng)一認證系統(tǒng)的登錄頁面的用戶帳號參數(shù)和密碼參數(shù)，以及登錄驗證頁面的 URL。統(tǒng)一認證 接口 可以分為 B/S 系統(tǒng)認證接口、 C/S 系統(tǒng)認證接口與數(shù)據(jù)接口三種接口。 統(tǒng)一認證接口 接口描述 統(tǒng)一認證平臺的目的是通過統(tǒng)一認證的方式實現(xiàn)企業(yè)所屬的全部系統(tǒng)的統(tǒng)一登錄，而不用二次登錄 。統(tǒng)一認證系統(tǒng)需要讓用戶再次輸入帳號密碼，進行身份驗證，生成新的UserToken。此時業(yè)務(wù)系統(tǒng)需要在用戶訪問時再次通過重定向技術(shù)向網(wǎng)上客服中心提交身份驗證請求，獲得新的 BSToken。當用戶再次訪問業(yè)務(wù)系統(tǒng)時，業(yè)務(wù)系統(tǒng)可以根據(jù)自身保存的BSToken 進行判斷，而不需要向網(wǎng)上客服中心提交身份驗證請求。當用戶登錄到統(tǒng)一認證系統(tǒng)后，統(tǒng)一認證系統(tǒng)根據(jù)用戶信息生成 UserToken，用于標識用戶的身份。其中， BSToken 包含用戶登錄信息和在該 BS（業(yè)務(wù)系統(tǒng)）上的授權(quán)信息，由業(yè)務(wù)系統(tǒng)負責保存； UserToken 包含用戶的登錄信息，由統(tǒng)一認證系統(tǒng)負責保存。 4 實現(xiàn) 技術(shù)方案 統(tǒng)一認證 實現(xiàn)技術(shù) 認證流程 統(tǒng)一認證流程圖如下： 電信平臺統(tǒng)一認證 方案 廣州吉海通信科技有限公司 19 1) 用戶登錄統(tǒng)一認證系統(tǒng)； 2) 統(tǒng)一認證系統(tǒng)顯示成功登錄； 3) 用戶通過統(tǒng)一認證系統(tǒng)上的鏈接連接到業(yè)務(wù)系統(tǒng)； 4) 業(yè)務(wù)系統(tǒng)向統(tǒng)一認證系統(tǒng)提交認證請求； 5) 統(tǒng)一認證系統(tǒng)驗證用戶已經(jīng)登錄； 6) 統(tǒng)一認證系統(tǒng)生成該用戶的 BSToken，返回給業(yè)務(wù)系統(tǒng)； 7) 業(yè)務(wù)系統(tǒng)向用戶返回相應(yīng)頁面。 統(tǒng)一信息展現(xiàn) 概述 應(yīng)用系統(tǒng)可通過配置集成統(tǒng)一的 信息綜合展示 界面 ，同時，也可為用戶定制個性化的工作界面。同時，統(tǒng)一資源管理平臺也是企業(yè)門戶系統(tǒng)展現(xiàn)層的策略管理應(yīng)用的支撐平臺，并為統(tǒng)一認證平臺提供了認證管理手段。 Session是一種服務(wù)器端機制，當客戶端訪問服務(wù)器時，服務(wù)器為客戶端創(chuàng)建一個惟一的SessionID， 以使在整個交互過程中始終保持狀態(tài)，而交互的信息則可由應(yīng)用自行指定，因此用 Session 方式實現(xiàn) SSO，不能在多個瀏覽器之間實現(xiàn)單點登錄，但卻可以跨域。 WebSphere 通過 Cookie 記錄認證信息，WebLogic 則是通過 Session 共享認證信息。遺憾的是 J2EE 規(guī)范并沒有規(guī)定安全上下文的格式，因此不能在不同廠商的 J2EE 產(chǎn)品之間傳遞安全上下文。單點登錄的實質(zhì)就是安全上下文（ Security Context）或憑證（ Credential）在多個應(yīng)用系統(tǒng)之間的傳遞或共享。 統(tǒng)一認證平臺 的 SSO 是指以電信平臺統(tǒng)一認證 方案 廣州吉海通信科技有限公司 17 平臺 的統(tǒng)一認證（鑒權(quán)信息集中）為基礎(chǔ)，各個數(shù)據(jù)業(yè)務(wù)系統(tǒng)的用戶認證采用單點登錄認證模式，一次登錄即可在各個業(yè)務(wù)子系統(tǒng)中完成相應(yīng)的認證工作 。由于合法用戶不一定開通了所有的內(nèi)容服務(wù)，所以使用這個權(quán)限值訪問內(nèi)容業(yè)務(wù)系統(tǒng)時，內(nèi)容業(yè)務(wù)系統(tǒng)將根據(jù)該權(quán)限值與統(tǒng)一身份認證服務(wù)進行交互，以檢驗訪問的合法性。 第一種認證方式：用戶直接登陸內(nèi)容業(yè)務(wù)系統(tǒng)，內(nèi)容業(yè)務(wù)系統(tǒng)將用戶提供的用戶名 /密碼等轉(zhuǎn)發(fā)給統(tǒng)一身份認證服務(wù)以檢驗其是否通過授權(quán)。 電信平臺統(tǒng)一認證 方案 廣州吉海通信科技有限公司 16 用戶訪問內(nèi)容服務(wù)系統(tǒng)可以有兩種方式：通過寬帶門戶網(wǎng)站訪問內(nèi)容服務(wù)系統(tǒng)，或者是直接訪問內(nèi)容服務(wù)系統(tǒng)。內(nèi)容業(yè)務(wù)系統(tǒng)要想判斷某一用戶是否可以訪問自己，必須和身份認證系統(tǒng)進行交互。 統(tǒng)一 身份認證是指多個系統(tǒng)的用戶賬號、密碼等信息資源統(tǒng)一集中在網(wǎng)站統(tǒng)一認證鑒權(quán)中心，各個系統(tǒng)以中心數(shù)據(jù)作為用戶認證的唯一依據(jù)。 在統(tǒng)一認證的前 提下，按照指定的規(guī)則將用戶劃分為不同用戶群，可以為相關(guān)業(yè)