【正文】 務(wù)系統(tǒng)提供會員鑒權(quán)服務(wù)，使各個子系統(tǒng)定制不同的會員服務(wù)等級 。 實現(xiàn) 各業(yè)務(wù)系統(tǒng) 對用戶的權(quán)限控制、用戶對 各成員系統(tǒng) 的權(quán)限控制。 備份恢復(fù)系統(tǒng)負責(zé)數(shù)字證書、密鑰和系統(tǒng)數(shù)據(jù)的備份與恢復(fù)。 KMC 負責(zé)加密密鑰的產(chǎn)生、存貯、管理、備份以及恢復(fù) 。 CA 是 PKI 的核心，負責(zé)所有數(shù)字證書的簽發(fā)和注銷 。身份驗證機構(gòu)的數(shù)字簽名可以電信平臺統(tǒng)一認證 方案 廣州吉海通信科技有限公司 15 確保證書信息的真實性。 PKI 通過使用數(shù)字加密和數(shù)字簽名技術(shù)，保證了數(shù)據(jù)在傳輸過程中的機密性（不被非法授權(quán)者偷看）、完整性（不能被非法篡改）和有效性（數(shù)據(jù)不能被簽發(fā)者否認）。發(fā)送者利用接收者的公鑰發(fā)送信息，稱為數(shù)字加密，接收者利用自己的私鑰解密 。 PKI（ Public Key Infrastructure）即公鑰基礎(chǔ)設(shè)施是利用公鑰理論和數(shù)字證書來確保系統(tǒng)信息安全的一種體系。該認證策略可表示為 : 用戶名 /密碼 “ 與 ”IP 地址認證。管理員可以根據(jù)認證策略對認證方式進行增、刪或組合，以滿足各種認證的要求。 以上認證方式應(yīng)采用模塊化設(shè)計，管理員可靈活地進行裝載和卸載，同時還可按照用戶的要求方便地擴展新的認證模塊。 5. 時間段認證 : 用戶只能在某個指定的時間段訪問系統(tǒng)。 3. PKI/CA 數(shù)字證書認證 : 通過數(shù)字證書的方式認證用戶的身份。統(tǒng)一用戶認證應(yīng)支持以下幾種認證方式 : 1. 匿名認證方式 : 用戶不需要任何認證，可以匿名的方式登錄系統(tǒng)。 5． UUMS 應(yīng)具有完善的日志功能，詳細記錄各應(yīng)用系統(tǒng)對 UUMS 的操作。 3．應(yīng)用系統(tǒng)對用戶基本信息的增加、修改、刪除和查詢等請求由 UUMS處理。用戶 ID 猶如身份證，區(qū)分和標(biāo)識了不同的個體。 UUMS 統(tǒng)一存儲所有應(yīng)用系統(tǒng)的用戶信息，應(yīng)用系統(tǒng)對用戶的相關(guān)操作全部通過 UUMS 完成，而授權(quán)等操作則由各應(yīng)用系統(tǒng)完成，即統(tǒng)一存儲、分布授權(quán)。用戶同步時如果系統(tǒng)出現(xiàn)意外，還要保證數(shù)據(jù)的完整性，因而同步用戶的程序可能會非常復(fù)雜。 例如，用戶 X 需要同時使用 A 系統(tǒng)與 B 系統(tǒng)，就必須在 A 系統(tǒng)與 B 系統(tǒng)中都創(chuàng)建用戶 X，這樣在 A、 B 任一系統(tǒng)中用戶 X 的信息更改后就必須同步至另一系統(tǒng)。當(dāng)用戶需要使用多個應(yīng)用系統(tǒng)時就會帶來用戶信息同步問題。 統(tǒng)一認證平臺包括以統(tǒng)一用戶管理、統(tǒng)一權(quán)限管理、統(tǒng)一認證管理、單點登錄功能等幾部分功能： 統(tǒng)一用戶管理 統(tǒng)一用戶管理 實現(xiàn)用戶信息的集中管理，并提供標(biāo)準(zhǔn)接口。通過統(tǒng)一認證平臺，用戶可以方便靈活的訪問其所能訪問的應(yīng)用系統(tǒng)。用戶在訪問企業(yè)應(yīng)用系統(tǒng)時，可以首先通過企業(yè)各系統(tǒng)的認證授權(quán)功能，獲取訪問其他應(yīng)用系統(tǒng)的權(quán)限， 實現(xiàn)單點登錄 。統(tǒng)一認證平臺在系統(tǒng)設(shè)計中，與企業(yè)各系統(tǒng)展現(xiàn)層的業(yè)務(wù)邏輯相對獨立，其目的是為企業(yè)建立起完整的單點登錄支撐平臺。三個平臺共同構(gòu)成企業(yè)各系統(tǒng)及管理核心。 吉海統(tǒng)一認證平臺在內(nèi)容展現(xiàn)過程中，涉及用戶訪問策略管理、信息內(nèi)容的個性化展示、跨系統(tǒng)單點登錄等多方面 內(nèi)容。 系統(tǒng)由兩臺服務(wù)器（數(shù)據(jù)庫服務(wù)器＋ WEB服務(wù)器）組成 .布署圖如下： I n t e r n e tW E B 服 務(wù) 器數(shù) 據(jù) 庫 服 務(wù) 器防 火 墻L A N 內(nèi) 部 網(wǎng)客 戶 端客 戶 端內(nèi) 部 用 戶 3 系統(tǒng)功能設(shè)計 平臺的總體框架 統(tǒng)一認證系統(tǒng) 應(yīng)定位為信息安全的基礎(chǔ)平臺，所以在制定實施方案時要充分考慮其總體架構(gòu)的安全性、用戶信息存儲和訪問的安全性、認證過程中認證信息傳遞的安全性。 瀏覽器 應(yīng)用服務(wù)器 Servlet JSP 頁面 HTML頁面 J2EE 組件技術(shù) XML/SOAP 事務(wù)處理 連接池 數(shù)據(jù)庫映射 緩存技術(shù) 數(shù)據(jù)庫 數(shù)據(jù) 訪問層 業(yè)務(wù)邏輯層 應(yīng)用接入層 電信平臺統(tǒng)一認證 方案 廣州吉海通信科技有限公司 10 系統(tǒng)應(yīng)用三層架構(gòu)圖 系統(tǒng) 羅輯 架構(gòu) 圖 系統(tǒng) 網(wǎng)絡(luò)架構(gòu) 認證系統(tǒng)的核心網(wǎng)絡(luò)是一個基于交換式的以太網(wǎng)絡(luò)組成的高速網(wǎng)絡(luò)。 系統(tǒng)應(yīng)用架構(gòu) ? 采用先進的三層體系，包括：表現(xiàn)層、業(yè)務(wù)邏輯層、數(shù)據(jù)核心層（包括：數(shù)據(jù)連接層和數(shù)據(jù)層） ? 用戶端采用零客戶端方式，通過 WEB 瀏覽器進行訪問； ? 本系統(tǒng)采用 J2EE 技術(shù)，實現(xiàn)高性能、高擴展性、跨平臺。 ? 數(shù)據(jù)訪問層 以統(tǒng)一 /規(guī)范的接口形式為業(yè)務(wù)邏輯層、表示層提供訪問和操作數(shù)據(jù)服務(wù)。 ? 應(yīng)用接入層 提供信息瀏覽、服務(wù)定位、數(shù)據(jù)接入 ? WEB 用戶界面，既提供了操作的方便性和靈活性，也降低了系統(tǒng)的維護成本。 使用關(guān)系數(shù)據(jù)庫（如： Oracle）存儲數(shù)據(jù)；提供 強大的數(shù)據(jù)互連技術(shù)，能夠很方便地實現(xiàn)與其他業(yè)務(wù)系統(tǒng)的集成 。 參考資料 2 系統(tǒng)架構(gòu)設(shè)計 系統(tǒng) 體系 架 構(gòu) 采用 B/S 訪問模式，通過 J2EE 工作流平臺實現(xiàn)業(yè)務(wù)流轉(zhuǎn)；提供 強大 的 工作流處理能力，使得辦公人員之間能夠協(xié)同工作 。 第六，統(tǒng)一信息展示，大大提高了用戶的使用休驗 滿意度 。之前，江蘇電信為了保障企業(yè)數(shù)據(jù)安全性，內(nèi)外網(wǎng)是物理隔離的，遠程用戶訪問內(nèi)部網(wǎng)中的數(shù)據(jù)可以說是不可能的，這 大大降低了人員的工作效率和對外提供服務(wù)的有效與及時性。 第五，使用 VPN 遠程接入認證，大大提高了企業(yè)辦公效率。 管理人員不需要再象從前一樣，必須登錄各個系統(tǒng)上，才能進行用戶帳戶、口令的管理和維護 。 管理人員可以通過統(tǒng)一認證系統(tǒng)對各個系統(tǒng)上用戶信息進行集中的管理，控制用戶的訪問范圍和權(quán)限，對用戶的認證、在線日志進行審計，使整個系統(tǒng)的安全管理水平得到極大的提高。在使用聯(lián)創(chuàng) SSO 安全網(wǎng)關(guān)后，用戶更可以僅需要輸入一次用戶名、口令，就能對各個 Web 應(yīng)用系統(tǒng)進行訪問。 以前用戶在登錄不同的系統(tǒng)時，可能需要使用不同用戶名、口令 ?？诹畋桓`取盜用的情況， 再也不可能出現(xiàn)，極大的提高安全性。 以前采用靜態(tài)口令進行認證的方式，變成了采用靜態(tài)口令 +動態(tài)口令的雙因素認證方式。 ? 先進性 系統(tǒng)能夠充分使用當(dāng)前最先進，并且得到成熟應(yīng)用的技術(shù)，架構(gòu)，平臺以及產(chǎn)品，確保系統(tǒng)能夠在一定的時期內(nèi)保持技術(shù)的先進性。使得用戶不會因為系統(tǒng)的故障而造成困擾。 這些都要求整個系統(tǒng)需具有良好可擴展性，對于用戶的增長以及接入子系統(tǒng)的增加等問題，可以由 服務(wù)器 的良好擴展性解決。 ? 安全性 平臺 管理人員可以通過統(tǒng)一認證系統(tǒng)對各個系統(tǒng)上用戶信息進行集中的管理，控制用戶的訪問范圍和權(quán)限，對用戶的認證、在線日志進行審計，使整個系統(tǒng)的安全管理水平得到極大的提高 ，保證各個業(yè)務(wù)系統(tǒng)的安全，同時能夠滿足國家相關(guān)安全性規(guī)定，并且對于網(wǎng)絡(luò)安全，數(shù)據(jù)安全等等 方面有足夠的保證措施。 電信平臺統(tǒng)一認證 方案 廣州吉海通信科技有限公司 7 項目建設(shè)原則 ? 實用性 平臺必須具有實用性，用戶通過單點登錄，在使用便利性上有切實的提高。同時，統(tǒng)一資源管理平臺也是企業(yè)門戶系統(tǒng)展現(xiàn)層的策略管理應(yīng)用的支撐平臺，并為統(tǒng)一認證 平臺提供了認證管理手段。用戶 只需成為電信統(tǒng)一認證平臺的用戶，就可以用此用戶名登錄整個聯(lián)盟 中的所有 系統(tǒng) ，享受注冊用戶的所有服務(wù)項目。它實現(xiàn)了“ 統(tǒng)一管理 ， 共享資源 ； 統(tǒng)一認證 ， 靈活擴展 ； 統(tǒng)一授權(quán) ， 運維安全 ； 統(tǒng)一規(guī)劃 ， 降低風(fēng)險 ”的目標(biāo)，使 電信員工、相關(guān) 商家和用戶在各種環(huán)境下均能方便、快捷地享受各種網(wǎng)上 平臺 服務(wù)。 電信平臺統(tǒng)一認證 方案 廣州吉海通信科技有限公司 6 項目 建設(shè)目標(biāo) 在充分了解了 電信運營商的各種業(yè)務(wù)系統(tǒng)平臺和 各種 上網(wǎng) 需求 的基礎(chǔ)上 ， 通過反復(fù)的論證、測試，成功研發(fā)并建設(shè)了一個電信級的企業(yè) 業(yè)務(wù)統(tǒng)一認證平 臺 。 用戶只要通過統(tǒng)一認證系統(tǒng)的認 證，即可自由地訪問各業(yè)務(wù)系統(tǒng)的服務(wù)，而不需要再次進行其它身份驗證；通過與統(tǒng)一認證系統(tǒng)的通訊，業(yè)務(wù)系統(tǒng)也可以確保該用戶是合法用戶，從而為之提供服務(wù)。 所以， 原有的分散賬號、靜態(tài)口令管理模式已不能滿足 企業(yè) 目前及未來業(yè)務(wù)發(fā)展的要求 ， 會帶來巨大的管理開銷和安全隱患。 再次， 由于各個系統(tǒng)各自為政，缺乏集中的授權(quán)和審計的功能，無法根據(jù)用戶級別進行分級授權(quán)，也無法記錄用戶訪問設(shè)備的詳細審計信息。同時由于記憶口令不可能頻繁更改，那么口令就存在著被竊聽、盜用、濫用的危險，給企業(yè)的安全帶來巨大的威脅 。但這 樣 會帶來 以下問題： 首先帳號密碼的配置非常煩瑣，需要在每一臺網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)或應(yīng)用系統(tǒng)上進行配置 。包括統(tǒng)一登錄認證，統(tǒng)一資源管理，統(tǒng)一信息展現(xiàn) 電信平臺統(tǒng)一認證 方案 廣州吉海通信科技有限公司 5 1 項目 概述 項目背景 隨著信息技術(shù)和 互聯(lián)網(wǎng)的蓬勃發(fā)展， 電信業(yè)務(wù)系統(tǒng)的迅速發(fā)展 ， 諸如 OA 、 CRM 、 ERP 、 OSS、 BSS、 EOMS 等越來越多的業(yè)務(wù)系統(tǒng) 和網(wǎng)站 應(yīng)運而生 。 電信統(tǒng)一認證平臺解決 方案 版本 文件編號： 密 級： 項 目 ID： 總 頁 數(shù)： 電信平臺統(tǒng)一認證 方案 廣州吉海通信科技有限公司 2 聲 明 本文件所有權(quán)和解釋權(quán)廣州吉?？萍加邢薰舅?，未經(jīng)廣州吉海科技有限公司書面許可，不得復(fù)制或向第三方公開。 修訂歷 史記錄 （ A添加， M修改， D刪除） 電信平臺統(tǒng)一認證 方案 廣州吉海通信科技有限公司 3 目錄 1 項目概述 ................................................................................................................... 5 項目背景 ............................................................................................