电信统一认证平台解决方案

电信统一认证平台解决方案内容摘要：

HTML页面 J2EE 组件技术 XML/SOAP 事务处理 连接池 数据库映射 缓存技术 数据库 数据 访问层 业务逻辑层 应用接入层 电信平台统一认证 方案 广州吉海通信科技有限公司 10 系统应用三层架构图 系统 罗辑 架构 图 系统 网络架构 认证系统的核心网络是一个基于交换式的以太网络组成的高速网络。 系统部署在电信平台统一认证 方案 广州吉海通信科技有限公司 11 内网（ LAN），内、外网间由防火 墙保证系统的安全。 系统由两台服务器（数据库服务器＋ WEB服务器）组成 .布署图如下： I n t e r n e tW E B 服 务 器数 据 库 服 务 器防 火 墙L A N 内 部 网客 户 端客 户 端内 部 用 户 3 系统功能设计 平台的总体框架 统一认证系统 应定位为信息安全的基础平台，所以在制定实施方案时要充分考虑其总体架构的安全性、用户信息存储和访问的安全性、认证过程中认证信息传递的安全性。 统一认证系统是企业门户系统的其中一个支撑平台，所以在介绍统一认证系统前先介绍一下企业门户系统的总体框架和功能。 吉海统一认证平台在内容展现过程中，涉及用户访问策略管理、信息内容的个性化展示、跨系统单点登录等多方面 内容。 我们可以将企业各系统的核心内容设计为三个支撑平台，即统一认证平台、 统一资源管理平台 和企业信息 统 一展 示平台。 三个平台共同构成企业各系统及管理核心。 统一认证平台 总体框架如下图所示： 电信平台统一认证 方案 广州吉海通信科技有限公司 12 客 户 层统 一 认证 平 台企 业 应 用领 导 、 员 工 、 合 作 伙 伴 、 客 户P C 、 P D A 、 移 动 电 话 等访 问 接 入统 一 展 现 管 理系 统与 安全 管理策 略 管 理访 问 控 制 、 内 容 / 应 用 聚 集统 一资 源管 理E R P系 统核 心业 务系 统生 产 系 统基 本 业 务 管 理工 程项 目管 理系 统财 务管 理人 力资 源管 理日 常 事 务 与 服 务信 息与 发布O A系 统交 流与 协作文 档管 理. . . 统一认证平台总体框架图 总体框架图 2 统一认证平台 统一认证平台将为用户提供跨系统访问的单一认证服务功能。 统一认证平台在系统设计中，与企业各系统展现层的业务逻辑相对独立，其目的是为企业建立起完整的单点登录支撑平台。 将用户认证功能与企业各系统展现平台相分离 业务系统用户 操作系统用户 数据库用户 业务系统菜单 业务系统权限 编程接口 统一认证 MOS服务 统一客户端 统一门户 电信平台统一认证 方案 广州吉海通信科技有限公司 13 的目的，是充分考虑用户的使用习惯以及未来的系统扩展。 用户在访问企业应用系统时，可以首先通过企业各系统的认证授权功能，获取访问其他应用系统的权限， 实现单点登录。 同时，用户也可以通过直接访问特定应用系统，由统一认证平台对用户进行认证，授予用户跨系统访问的权限。 通过统一认证平台，用户可以方便灵活的访问其所能访问的应用系统。 另外，将统一认证平台与企业门户系统相分离，可为今后的系统建设提供可扩展性，使新建系统能够方面的部署到企业门户系统访问体系中。 统一认证平台包括以统一用户管理、统一权限管理、统一认证管理、单点登录功能等几部分功能： 统一用户管理 统一用户管理 实现用户信息的集中管理，并提供标准接口。 统一用户管理的基本原理 如下： 一般来说，每个应用系统都 拥有独立的用户信息管理功能，用户信息的格式、命名与存储方式也多种多样。 当用户需要使用多个应用系统时就会带来用户信息同步问题。 用户信息同步会增加系统的复杂性，增加管理的成本。 例如，用户 X 需要同时使用 A 系统与 B 系统，就必须在 A 系统与 B 系统中都创建用户 X，这样在 A、 B 任一系统中用户 X 的信息更改后就必须同步至另一系统。 如果用户 X 需要同时使用 10 个应用系统，用户信息在任何一个系统中做出更改后就必须同步至其他 9个系统。 用户同步时如果系统出现意外，还要保证数据的完整性，因而同步用户的程序可能会非常复杂。 解决用户同 步问题的根本办法是建立统一用户管理系统（ UUMS）。 UUMS 统一存储所有应用系统的用户信息，应用系统对用户的相关操作全部通过 UUMS 完成，而授权等操作则由各应用系统完成，即统一存储、分布授权。 UUMS 应具备以下基本功能 : 1．用户信息规范命名、统一存储，用户 ID全局惟一。 用户 ID 犹如身份证，区分和标识了不同的个体。 2． UUMS 向各应用系统提供用户属性列表，如姓名、电话、地址、邮件等属性，各应用系统可以选择本系统所需要的部分或全部属性。 3．应用系统对用户基本信息的增加、修改、删除和查询等请求由 UUMS处理。 电信平台统一认证 方案 广州吉海通信科技有限公司 14 4．应用系统保留用户管理功能，如用户分组、用户授权等功能。 5． UUMS 应具有完善的日志功能，详细记录各应用系统对 UUMS 的操作。 统一用户认证是以 UUMS 为基础，对所有应用系统提供统一的认证方式和认证策略，以识别用户身份的合法性。 统一用户认证应支持以下几种认证方式 : 1. 匿名认证方式 : 用户不需要任何认证，可以匿名的方式登录系统。 2. 用户名 /密码认证 : 这是最基本的认证方式。 3. PKI/CA 数字证书认证 : 通过数字证书的方式认证用户的身份。 4. IP 地址认证 : 用户只能 从指定的 IP 地址或者 IP 地址段访问系统。 5. 时间段认证 : 用户只能在某个指定的时间段访问系统。 6. 访问次数认证 : 累计用户的访问次数，使用户的访问次数在一定的数值范围之内。 以上认证方式应采用模块化设计，管理员可灵活地进行装载和卸载，同时还可按照用户的要求方便地扩展新的认证模块。 认证策略是指认证方式通过与、或、非等逻辑关系组合后的认证方式。 管理员可以根据认证策略对认证方式进行增、删或组合，以满足各种认证的要求。 比如，某集团用户多人共用一个账户，用户通过用户名密码访问系统，访问必须限制在某个 IP 地址段上。 该认证策略可表示为 : 用户名 /密码 “ 与 ”IP 地址认证。 PKI/CA 数字证书认证虽不常用，但却很有用，通常应用在安全级别要求较高的环境中。 PKI（ Public Key Infrastructure）即公钥基础设施是利用公钥理论和数字证书来确保系统信息安全的一种体系。 在公钥体制中，密钥成对生成，每对密钥由一个公钥和一个私钥组成，公钥公布于众，私钥为所用者私有。 发送者利用接收者的公钥发送信息，称为数字加密，接收者利用自己的私钥解密。 发送者利用自己的私钥发送信息，称为数字签名，接收者利用发送 者的公钥解密。 PKI 通过使用数字加密和数字签名技术，保证了数据在传输过程中的机密性（不被非法授权者偷看）、完整性（不能被非法篡改）和有效性（数据不能被签发者否认）。 数字证书有时被称为数字身份证，数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。 身份验证机构的数字签名可以电信平台统一认证 方案 广州吉海通信科技有限公司 15 确保证书信息的真实性。 完整的 PKI 系统应具有权威认证机构 CA（ Certificate Authority）、证书注册系统 RA（ Registration Authority）、密钥管理中心 KMC（ Key Manage Center）、证书发布查询系统和备份恢复系统。 CA 是 PKI 的核心，负责所有数字证书的签发和注销。 RA 接受用户的证书申请或证书注销、恢复等申请，并对其进行审核。 KMC 负责加密密钥的产生、存贮、管理、备份以及恢复。 证书发布查询系统通常采用 OCSP（ Online Certificate Status Protocol，在线证书状态协议）协议提供查询用户证书的服务，用来验证用户签名的合法性。 备份恢复系统负责数字证书、密钥和系统数据的备份与恢复。 统一权限管理 通过 平台 对用户 在各个业务系统的 权限分配 进行统一 控制。 实现 各业务系统 对用户的权限控制、用户对 各成员系统 的权限控制。 用户向某 业务系统 申请分配权限时，需向该 业务系统 提供他的某些信息，这些信息就是用户提供给 业务系统 的权限，而成员站点通过 统一 身份认证后就可以查询用户信息，并给该用户分配权限，获得权限的用户通过 统一 身份认证后就可以以某种身份访问该 业务系统。 在统一认证的前 提下，按照指定的规则将用户划分为不同用户群，可以为相关业务系统提供会员鉴权服务，使各个子系统定制不同的会员服务等级。 统一认证 管理 用户认证是集中统一的，支持 PKI、用户名 /密码、 B/S 和 C/S 等多种身份认证方式。 统一 身份认证是指多个系统的用户账号、密码等信息资源统一集中在网站统一认证鉴权中心，各个系统以中心数据作为用户认证的唯一依据。 用户可以通过相应接口来实现网站已有用户账号密码信息对于相关业务系统的共享，同时通过专有模块来进行各子系统权限控制 统一认证的两种方式 统一身份认证系统的核心思想是将用户统一存 储 ,对应用系统统一授权 ,规范内容业务系统的用户认证方式 ,从而达到提高整个系统的整体性、可管理性和安全性的效果。 内容业务系统要想判断某一用户是否可以访问自己，必须和身份认证系统进行交互。 由身份认证系统负责对用户进行集中认证。 电信平台统一认证 方案 广州吉海通信科技有限公司 16 用户访问内容服务系统可以有两种方式：通过宽带门户网站访问内容服务系统，或者是直接访问内容服务系统。 根据这两种访问方式身份认证系统要提供两种认证方式。 第一种认证方式：用户直接登陆内容业务系统，内容业务系统将用户提供的用户名 /密码等转发给统一身份认证服务以检验其是否通过授权。 流程如图1所示 图 1 第一种身份认证方式 第二种认证方式：用户首先登录统一身份认证系统，验证其是否为合法注册用户，如果是合法用户可获取权限值。 由于合法用户不一定开通了所有的内容服务，所以使用这个权限值访问内容业务系统时，。