中国电信用户数据库- udb与bnet系统认证集成方案-v 2.0 20100426

中国电信用户数据库中国电信用户数据库中国电信用户数据库 UDB 与与与 BNET 系系系 统认证集成方案统认证集成方案统认证集成方案 V2.0 中国电信集团公司 2010 年 4 月 前 言 用户数据库（User Database，以下称 UDB）是实现中国电信应用层统一认 证的基础网元设备，也是有效支撑中国电信通行证业务的基础网络平台。通过 全国和省二级架构的 UDB 部署，将中国电信各个独立的自营应用系统，以及第 三方合作互信应用系统，整合成以统一帐号/统一认证为中心的综合电信服务平 台，有效提升中国电信客户感知和服务体验。 根据关于启动上海等 11 省市应用层统一认证（UDB）预商用试点推广工 作的通知 （中国电信2009687 号）的工作要求，UDB 项目组制定了中国电 信用户数据库-UDB 与 BNET 系统认证集成方案 V1.0 。在预商用试点总结基础 上，项目组进一步对 V1.0 版本技术规范进行完善，形成 中国电信用户数据库 -UDB 与 BNET 系统认证集成方案 V2.0 。 本规范定义了领航平台 BNET 与用户数据库 UDB 的统一认证集成规范， 包括 BNET 和 UDB 认证相关的功能要求、流程和接口要求等，是 UDB 和 BNET 厂商进行设计和研发的技术依据。 本规范由中国电信集团公司组织制定和颁布，是中国电信用户数据库的系 列规范之一。中国电信集团公司具有对本规范的解释和修订权，如与此前颁布 相关规范或规定有冲突，以本规范为准。 本规范起草单位：中国电信股份有限公司北京研究院 中国电信股份有限公司广州研究院 中国电信用户数据库UDB 与 BNET 系统认证集成方案 V2.0 - 3 - 目 录 1 适用范围 .5 2 引用标准 .5 3 缩略语 .5 4 UDB 与领航平台的集成 6 4.1 帐号管理功能界定 6 4.2 密码管理功能界定 7 4.3 绑定关系管理的功能界定 .8 4.4 认证功能界定 .9 5 对 UDB 相关功能要求 .9 5.1 帐号管理 .9 5.2 认证服务 .17 5.3 绑定关系管理 .19 5.4 短信验证码生成 21 5.5 激活邮件生成 .21 5.6 单点登录 .22 6 对领航平台相关功能要求 24 7 流程与接口要求 .25 7.1 接口流程 .25 7.1.1 领航帐号的开户/注销流程 .25 7.1.2 领航帐号的密码设置流程 26 7.1.3 领航帐号的别名设置流程 27 7.1.4 领航帐号绑定统一帐号流程 28 7.1.5 领航帐号绑定异网手机流程 29 7.1.6 领航帐号绑定电子邮箱流程 31 7.1.7 领航帐号的帐号解绑流程 31 7.1.8 领航平台的登录流程 .33 7.1.9 安全密钥的更新流程 .38 7.1.10 网厅到领航平台单点登录流程 38 7.2 UDB 提供的接口 40 7.2.1 领航帐号的开户/注销接口 .40 7.2.2 领航平台重定向令牌验证接口 .41 7.2.3 领航平台重定向认证请求接口 .43 7.2.4 重定向令牌注销接口 .46 7.2.5 领航平台后台登录认证接口 46 7.2.6 领航帐号的密码设置接口 47 7.2.7 领航帐号的别名设置接口 48 7.2.8 领航帐号的信息查询接口 49 7.2.9 领航帐号的帐号绑定/解绑接口 50 7.2.10 异网手机验证码下发接口 .52 7.2.11 领航用户的在线状态通知 53 7.2.12 领航平台临时身份信息查询接口 .54 7.3 BNET 提供的接口 55 7.3.1 领航平台重定向单点登录接口 .55 7.3.2 安全密钥发布接口 .56 1 适用范围 本规范规定了中国电信用户数据库（UDB）集成领航平台的认证能力的功 能要求、接口与流程等内容。 本规范适用于中国电信 UDB 系统集成领航平台认证功能的相关设计及研发， 是中国电信各级运营单位进行相关工作的招标采购、工程设计、网络运营、管 理、维护等方面的技术依据。 2 引用标准 下列文件通过本文的参考而成为本规范的条款。凡是注日期的参考文件， 其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本文，凡是不 注日期的参考文件，其最新版本适用于本文。 【1】 电信领航平台 BNET 规范集团 BNET 技术规范 【2】 中国电信集团领航平台业务规范 3.0 版 【3】 中国电信用户数据库总体规范 V2.0 【4】 中国电信用户数据库统一认证的业务指引 V2.0 【5】 中国电信用户数据库接口与流程规范 V2.0 【6】 中国电信用户数据库功能与设备规范 V2.0 【7】 中国电信用户数据库数据与编码规范 V2.0 【8】 中国电信用户数据库UDB 与应用系统认证集成方案 V2.0 3 缩略语 缩略语 中文全名 BNET 领航平台 UDB 用户数据库 统一帐号 参见中国电信用户数据库总体规范 4 UDB与领航平台的集成 用户数据库（UDB）是实现中国电信应用层统一认证的基础网元设备。 UDB 可通过公共接口与领航平台对接，为领航平台提供集中认证功能。 4.1 帐号管理功能界定 领航平台帐号分客户和用户两级: 1) 客户帐号是在客户第一次在营业厅订购商航产品时由 CRM 系统分配， 帐号由字母和数字组成，领航平台接收 CRM 同步过来的客户帐号资料。 2) 用户帐号由企业管理员在领航平台上管理，用户帐号格式为：xxx客 户帐号，xxx 由字母和数字组成。例如:客户帐号为 abc 时，企业管理员 添加的用户帐号为 aabc 。 UDB 应支持对领航平台用户账户、别名、绑定帐号及相应密码的存储与管 理。 1、领航平台 领航平台用户帐号开户：领航平台提供领航平台用户帐号管理功能，负责 领航平台用户帐号的生成，并将新增帐号同步给 UDB。 领航平台用户帐号销户：领航平台提供领航平台用户帐号销户功能，并将 领航平台用户帐号销户消息同步给 UDB。 领航平台用户帐号变更：领航平台提供领航平台用户帐号修改功能，并通 知 UDB 更新用户帐号信息。 用户登录状态管理：领航平台负责监控用户帐号的登录状态，用户登录/退 出时通知 UDB。 2、UDB 领航平台用户帐号开户：UDB 接收并保存领航平台同步给 UDB 用户帐号 信息。 中国电信用户数据库UDB 与 BNET 系统认证集成方案 V2.0 - 7 - 领航平台用户帐号销户：UDB 接收领航平台同步给 UDB 用户帐号销户消 息，删除 UDB 记录的领航平台用户帐号、设置的别名及所有绑定关系。 领航平台用户帐号变更：UDB 接收领航平台同步给 UDB 用户帐号的信息， 更新 UBD 记录的领航平台用户帐号相关信息。 用户登录状态管理：UDB 接收领航平台采集的用户帐号登录状态信息，建 立电信用户信息的全视图。 4.2 密码管理功能界定 领航平台用户登陆的密码包括领航平台密码，及绑定统一帐号的通用密码。 其中领航平台密码在领航平台设置，对于别名/绑定的异网号码/ 绑定邮箱的认证 密码使用领航平台密码；绑定的统一帐号（本网移动号码和固定号码）通用密 码则在 UDB 自服务门户设置。 1、领航平台 领航平台密码生成：新增领航平台用户帐号时，领航平台负责领航平台用 户账户的初始密码生成，并将包含初始密码的帐号信息同步给 UDB。 领航平台密码修改：领航平台提供领航平台密码的管理界面，用户在领航 平台设置领航平台密码，领航平台将用户输入的旧密码和设置的新密码消息同 步给 UDB，UDB 验证通过后修改成功。对于企业管理员修改其他领航平台用 户的密码，无需输入该帐号的旧密码，直接重置。 统一帐号密码修改：用户通过 UDB 自服务门户进行通用密码修改和设置。 2、UDB 领航平台密码生成：新增领航平台用户帐号时，UDB 接收并保存领航平台 同步给 UDB 的领航平台用户帐号和密码信息。 领航平台密码修改：UDB 接收领航平台同步给 UDB 的领航平台帐号和密 码的信息，并对旧密码匹配验证通过后更新 UBD 存储的领航平台密码。对于企 业管理员修改其他领航平台用户的密码，UDB 无需匹配旧密码，直接更新相应 用户的领航平台密码。 统一帐号密码修改：UDB 负责提供统一帐号的密码管理功能。 4.3 绑定关系管理的功能界定 领航平台用户可以在领航平台的服务界面上设置该账户的别名，或将领航 平台用户帐号与邮箱、异网手机号码、统一帐号（本网手机号码或固话号码） 进行绑定，设置或绑定成功后，用户可以使用别名或绑定帐号登录领航平台。 1、领航平台 别名设置：领航平台提供用户设置别名的界面，用户设置别名并提交请求 后，领航平台将别名设置请求转发给 UDB，UDB 设置并存储别名。 帐号绑定：领航平台提供用户绑定操作的界面，用户提交请求时，领航平 台将绑定请求转发给 UDB，UDB 完成绑定。对于统一账户的绑定，需用户输 入账户和通用密码；进行异网手机号码绑定时，用户需在界面上点击获取短信 验证码，并输入异网手机号码和短信验证码；对于邮箱绑定只需输入邮箱地址， 后续需用户登录邮箱进行激活操作。 帐号解绑：领航平台提供用户账户解绑操作的界面，用户提交请求后，领 航平台将解绑请求转发给 UDB，UDB 完成解绑。 2、UDB 别名设置：UDB 负责接收领航平台转发的别名设置请求，对别名进行验证 后完成别名设置与存储。 帐号绑定：UDB 负责接收领航平台转发的账户绑定请求，进行绑定帐号的 有效性及唯一性校验，完成绑定操作。对于邮箱的绑定，UDB 需生成激活邮件 并向该邮箱发送激活邮件，提示用户登录邮箱并点击激活链接，且 UDB 验证激 活操作通过后绑定关系生效。 帐号解绑：UDB 负责接收领航平台转发的账户解绑请求，并完成解绑操作。 中国电信用户数据库UDB 与 BNET 系统认证集成方案 V2.0 - 9 - 4.4 认证功能界定 领航平台用户有 5 类登录帐号：领航平台用户帐号，用户设置的领航平台 别名，用户绑定的邮箱、异网手机号、中国电信统一帐号（移动手机号码或固 定电话号码） 。 1、领航平台 认证：领航平台负责提供非统一帐号的用户登录界面，用户登录领航平台 并提交登录请求时，领航平台将认证请求转发给 UDB，UDB 完成帐号及密码 的校验。认证返回后，领航平台根据认证结果和用户权限提供用户使用界面。 如用户选择统一帐号（即中国电信通行证）登录，领航平台应能够重定向到 UDB 的统一认证界面，或直接在领航平台登录门户嵌入统一的登录框 （IFrame） 。 2、UDB 认证：对于非统一帐号的用户登录，由领航平台提供登录界面并提交登录 请求到 UDB，UDB 负责接收领航平台转发的认证请求，完成用户认证，向领 航平台返回认证结果和用户的领航平台用户帐号；对统一帐号的用户登录， UDB 提供重定向方式的用户登录界面，并完成用户认证，向领航平台返回认证 结果和用户的领航平台用户帐号。 5 对UDB相关功能要求 5.1 帐号管理 UDB 应支持领航平台用户帐号、领航平台用户别名、领航平台密码、绑定 号码等用户信息的存储与管理。 UDB 存储的领航平台用户帐号信息包括： 1）领航平台用户帐号 2）领航用户类型编号 3）领航平台用户别名 4）领航平台密码 5）领航平台密码有效期 6）领航平台密码 MD5 加密标识 7）领航平台用户登录状态 8）绑定的统一帐号数据信息，包括： 绑定的统一帐号数量 绑定的统一帐号列表 1 绑定的统一帐号列表 N 9）绑定的邮箱数据信息，包括： 绑定的邮箱数量 绑定的邮箱地址 1 邮箱绑定激活标志 1 绑定的邮箱地址 N 邮箱绑定激活标志 N 10）绑定的异网移动电话数据信息，包括： 绑定的异网移动电话数量 短信验证码有效期 绑定的异网移动电话号码 1 绑定的异网移动电话号码的短信验证码 1 绑定的异网移动电话号码 N 绑定的异网移动电话号码的短信验证码 N 11）全国 UDB 活跃用户标记（仅对于省 UDB 有效） 12）下传省 UDB 设备标识列表（仅对于全国 UDB 有效） 中国电信用户数据库UDB 与 BNET 系统认证集成方案 V2.0 - 11 - 扩展的领航平台应用系统数据信息包括： 1）领航平台应用系统的设备标识 2）领航平台应用系统的名称 3）领航平台应用系统的域名 对于领航平台用户帐号信息，具体要求为： 1）领航平台用户帐号 对于领航平台用户帐号，帐号命名规则为：xxx客户帐号。 其中 xxx 由字母和数字组成，由企业管理员在领航平台上设置，应支持 140 位不等长编号；客户帐号是在企业客户第一次在营业厅订购商航产品时 由 CRM 系统分配，由字母和数字组成。 全国 UDB 负责存储和管理全国领航平台设置的领航平台用户帐号，省 UDB 负责存储和管理省内领航平台设置的领航平台用户帐号。 2）领航用户类型编号 用于标识帐号类型，领航平台用户帐号的用户类型编号为 31，标识为领航 平台用户帐号。 3）领航平台用户别名 由用户自行在领航平台上设置并同步给 UDB，一个领航平台用户帐号只能 对应一个别名。别名应为长度为 5 到 15 个符号，并以英文字母或汉字开头，中 间可使用英文字母、汉字、数字、减号、下划线、小数点。别名应不允许采用 全数字的编码格式。别名使用的英文字母不区分大小写。 UDB 应支持领航平台用户别名领航平台密码的认证方式。 对于领航平台别名，由 UDB 维护在本 UDB 的唯一性，省 UDB 与全国 UDB 之间、省 UDB 与省 UDB 之间不做唯一性要求。 对于“全国 UDB 活跃用户标记”为标记状态的领航平台用户帐号，该信息需 省 UDB 同步给全国 UDB。全国 UDB 需同步给“下传省 UDB 设备标识列表”中 的相应省 UDB。 4）领航平台密码 领航平台密码是领航平台用户帐号对应的密码，是用户登录领航平台的认 证密码。一个领航平台用户帐号只能设置一个领航平台密码。 领航平台密码应支持 640 位数字、字母或符号不等长编号，英文字母区 分大小写。 帐号开通时，领航平台应能够在接口中标明向 UDB 发送领航平台密码为密 码明文或 MD5 加密后密文。领航平台密码修改时，领航平台应能够向 UDB 发 送密码明文。 领航平台密码由用户在领航平台上设置并同步给 UDB，对于领航平台用户 修改密码，需输入旧密码，并由 UDB 进行匹配；对于领航平台管理员可直接修 改其他用户的领航平台密码。 对于“全国 UDB 活跃用户标记”为标记状态的领航平台用户帐号，该信息需 省 UDB 同步给全国 UDB。全国 UDB 需同步给“下传省 UDB 设备标识列表”中 的相应省 UDB。 5）领航平台密码有效期 即由 UDB 管理员设置的领航平台密码有效期，默认为长期有效。 对于“全国 UDB 活跃用户标记”为标记状态的领航平台用户帐号，该信息需 省 UDB 同步给全国 UDB。全国 UDB 需同步给“下传省 UDB 设备标识列表”中 的相应省 UDB。 6）领航平台密码 MD5 加密标识 该参数主要表示领航平台帐号开通时，传送的领航平台密码是密码明文 （未加密，置 0）还是 MD5 加密后密文（加密，置 1） ，该标识默认为“未加密” 标记状态（置 0） 。 由于原有用户的领航平台密码在领航平台为 MD5 加密存储，对于此类用户， 在领航平台用户帐号开通时，UDB 应能根据帐号开通接口中的密码加密标识， 判断是否密码为 MD5 加密密文，对于加密密文的领航平台密码，应将“领航平 中国电信用户数据库UDB 与 BNET 系统认证集成方案 V2.0 - 13 - 台密码 MD5 加密标识”置为“加密” 标记状态（置 1） 。 7）领航平台用户登录状态信息 领航平台用户登录状态信息主要有：在线/离线。 用户通过登录或退出领航平台后，领航平台通过业务在线状态通知接口将 在线或离线状态通知 UDB，UDB 更新相应应用系统的在线状态信息。 该信息全国 UDB 与省 UDB 之间不进行同步。 8）绑定的统一帐号数据信息，包括： 绑定的统一帐号数量 该参数表示领航平台用户帐号已绑定的 UDB 统一帐号数量，默认为 0，最 大值为 N（N 可由 UDB 管理员进行设置，默认为 2） 。 用户通过领航平台进行领航平台用户帐号与 UDB 统一帐号的绑定，并同步 给 UDB，每绑定一个 UDB 统一帐号，该参数数值加 1，每解绑一个 UDB 统一 帐号，该参数数值减 1。当绑定数量为最大值 N 时，不允许用户再进行 UDB 统 一帐号绑定操作，当绑定数量为 0 时，不允许用户再进行 UDB 统一帐号解绑操 作。 对于“全国 UDB 活跃用户标记”为标记状态的领航平台用户帐号，该信息需 省 UDB 同步给全国 UDB。全国 UDB 需同步给“下传省 UDB 设备标识列表”中 的相应省 UDB。 绑定的统一帐号列表（1-N） 存储该领航平台用户帐号所绑定的 UDB 统一帐号。 N 表示绑定统一帐号数量的最大值，由 UDB 管理员进行设置，默认为 2。 UDB 应支持绑定的统一帐号通用密码的认证方式。 对于“全国 UDB 活跃用户标记”为标记状态的领航平台用户帐号，该信息需 省 UDB 同步给全国 UDB。全国 UDB 需同步给“下传省 UDB 设备标识列表”中 的相应省 UDB。 9）绑定的邮箱数据信息，包括： 绑定的邮箱数量 该参数表示领航平台用户帐号已绑定的邮箱数量，默认为 0，最大值为 N（N 可由 UDB 管理员进行设置，默认为 1） 。 用户通过领航平台进行领航平台用户帐号与邮箱的绑定，并同步给 UDB， 每绑定一个邮箱，该参数数值加 1，每解绑一个邮箱，该参数数值减 1。当绑定 数量为最大值 N 时，不允许用户再进行邮箱绑定操作，当绑定数量为 0 时，不 允许用户再进行邮箱解绑操作。 对于“全国 UDB 活跃用户标记”为标记状态的领航平台用户帐号，该信息需 省 UDB 同步给全国 UDB。全国 UDB 需同步给“下传省 UDB 设备标识列表”中 的相应省 UDB。 绑定邮箱地址（1N） 存储该领航平台用户帐号所绑定的邮箱地址。 UDB 应支持绑定的邮箱领航平台密码的认证方式。 N 表示绑定邮箱数量的最大值，由 UDB 管理员进行设置，默认为 1。 对于“全国 UDB 活跃用户标记”为标记状态的领航平台用户帐号，该信息需 省 UDB 同步给全国 UDB。全国 UDB 需同步给“下传省 UDB 设备标识列表”中 的相应省 UDB。 10）绑定的异网移动电话数据信息，包括： 绑定的异网移动电话数量 该参数表示领航平台用户帐号已绑定的异网移动号码数量，默认为 0，最 大值为 N（N 可由 UDB 管理员进行设置，默认为 1） 。 用户通过领航平台进行领航平台用户帐号与异网移动号码的绑定，并同步 给 UDB，每绑定一个异网移动号码，该参数数值加 1，每解绑一个异网移动号 码，该参数数值减 1。当绑定数量为最大值 N 时，不允许用户再进行异网移动 号码绑定操作，当绑定数量为 0 时，不允许用户再进行异网移动号码解绑操作。 对于“全国 UDB 活跃用户标记”为标记状态的领航平台用户帐号，该信息需 省 UDB 同步给全国 UDB。全国 UDB 需同步给“下传省 UDB 设备标识列表”中 中国电信用户数据库UDB 与 BNET 系统认证集成方案 V2.0 - 15 - 的相应省 UDB。 短信验证码有效期 即由 UDB 管理员设置的短信验证码有效期，默认为 5 分钟。 绑定的异网移动电话号码（1N） 存储该领航平台用户帐号所绑定的异网移动号码。 N 表示绑定异网手机号码数量的最大值，由 UDB 管理员进行设置，默认为 1。 UDB 应支持绑定的异网移动号码领航平台密码的认证方式。 对于“全国 UDB 活跃用户标记”为标记状态的领航平台用户帐号，该信息需 省 UDB 同步给全国 UDB。全国 UDB 需同步给“下传省 UDB 设备标识列表”中 的相应省 UDB。 绑定的异网移动电话号码的短信验证码（1N ） 对于异网移动号码的绑定操作，由 UDB 实现短信验证码的生成、下发（通 过 ISAG/短信网关/短信中心下发给用户手机）和验证。 短信验证码由 UDB 随机生成，格式同领航平台密码。 11）全国 UDB 活跃用户标记（仅对于省 UDB 有效） 该标记仅对于省 UDB 有效，主要有标记/未标记。默认为未标记。 如省 UDB 将该领航平台用户帐号信息上传至全国 UDB 后，将该标记置为 “标记”状态。 初期全国 UDB 与省 UDB 之间不做数据同步，即初期暂不启用“全国 UDB 活跃用户标记” （省 UDB）参数。 12）下传省 UDB 设备标识列表（仅对于全国 UDB 有效） 该参数仅对于全国 UDB 有效，主要保存全国 UDB 将该领航平台用户帐号 信息下传的省 UDB 设备标识。 如全国 UDB 将该领航平台用户帐号信息下传某省 UDB 后，将保存该省 UDB 的设备标识，如全国 UDB 中该领航平台用户帐号的通用密码等数据进行 更新，则全国 UDB 向列表中的省 UDB 发起用户信息更新请求。 初期全国 UDB 与省 UDB 之间不做数据同步，即初期暂不启用 “下传省 UDB 设备标识列表”（全国 UDB）参数。 对于扩展的领航平台应用系统数据信息，具体要求为： 1）领航平台应用系统的设备标识 用于 UDB 识别请求认证的发送端应用系统为领航平台，编码规则为： 【省份 2 位8 个 0系统类型 4 位设备号 2 位】 ，其中领航平台的系统 类型为 2002。 2）领航平台应用系统的名称 用于 UDB 存储领航平台业务名称。 3）领航平台应用系统的域名 用于 UDB 存储领航平台的域名。 UDB 应支持领航平台域名与领航平台应用系统的设备标识的对应关系查询。 客户订购商航产品后，领航平台应创建领航平台管理员帐号，并通过用户 帐号开通接口将该管理员帐号数据发送给相应的 UDB。企业管理员在领航平台 上创建领航平台用户帐号后，领航平台通过用户帐号开通接口，实时将该用户 帐号数据发送给相应的 UDB，UDB 生成领航平台用户帐号数据。 对于相同用户帐号的用户帐号开户请求，UDB 应能够返回失败结果及原因 值。 UDB 应支持对领航平台用户帐号数据的增加、删除、修改和查询等功能。 UDB 应能够根据实际情况平滑扩展领航平台帐号下的用户信息或某用户信 息的参数与属性。 中国电信用户数据库UDB 与 BNET 系统认证集成方案 V2.0 - 17 - 5.2 认证服务 UBD 应支持领航平台以下几种认证请求： 1、领航平台用户帐号领航平台密码 2、领航平台用户别名领航平台密码 3、绑定邮箱领航平台密码 4、绑定异网移动号码领航平台密码 5、绑定统一帐号（中国电信通行证）通用密码 UDB 应能够根据认证请求的发送端应用系统设备号，判断为领航平台的认 证请求，并启动领航平台的认证处理流程。 全国 UDB 负责全国领航平台的认证，省 UDB 负责本省领航平台的认证。 对于全国领航平台用户登录省领航平台，由省 UDB 将根据帐号归属地将认证请 求转发至全国 UDB 进行认证，不允许省领航平台用户登录全国领航平台或其他 省领航平台。 领航平台向 UDB 请求认证时，应能够根据用户选择的登录帐号类型，向 UDB 标明认证帐号类型。 对于领航平台用户帐号、领航平台用户别名、绑定邮箱、绑定异网移动号 码的认证请求，具体要求如下： 1、对于领航平台用户帐号、领航平台用户别名、绑定邮箱、绑定异网移动 号码的认证，由领航平台调用 UDB 提供的后台登录认证接口，向 UDB 发 送帐号验证请求。 2、UDB 应能够判别认证帐号的归属地： 对于全国 UDB，只有归属地标识为全国的认证请求才提供认证服务， 其他标识应返回认证失败结果及原因值。 对于省 UDB，只有归属地标识为本省的认证请求才提供认证服务。 如归属地标识为全国领航平台帐号，省 UDB 应将此认证请求转发 给全国 UDB，由全国 UDB 进行用户认证，并将认证结果通过省 UDB 返回省领航平台。其他归属地标识的认证请求应返回认证失败 结果及原因值。 3、如认证请求的领航平台用户帐号、领航平台用户别名、绑定邮箱、绑定 异网移动号码不存在，则 UDB 应返回认证失败结果及原因值。 4、如绑定的邮箱用户未激活（邮箱绑定激活标志为“未激活” 状态） ，则 UDB 应返回认证失败结果及原因值，领航平台根据原因值提示用户进行绑 定邮箱的激活。 5、UDB 返回的认证结果应携带其绑定的领航平台用户帐号。 6、如领航平台同步给 UDB 的领航平台密码为 MD5 加密后的密文，则 UDB 应根据“领航平台密码 MD5 加密标识”，对认证请求中的领航平台密 码进行 MD5 加密后再进行密码密文匹配验证。 对于统一帐号的认证请求，具体要求如下： 1、用户登录领航平台时，如选择“通行证登录” 方式（即统一帐号登录方式） ，领航平台应调用重定向认证请求接口重定向到 UDB，由 UDB 向用户展 示 UDB 的统一认证登录界面。或领航平台登录界面内嵌 UDB 登录框。 2、如认证请求的统一帐号不存在，则 UDB 应返回认证失败结果及原因值。 3、如统一帐号未被领航平台用户帐号绑定，则 UDB 应返回认证失败结果 及原因值。 4、如统一帐号用户状态为拆机状态，则 UDB 不提供认证服务，并应返回 认证失败结果及原因值。其他状态应提供认证服务。 5、如统一帐号对应的通用密码有效期超时，则 UDB 应返回认证失败结果 及原因值。 6、如统一帐号的“ 通行证注册激活标记 ”为“未注册激活”，则 UDB 应返回 认证失败结果及原因值。 7、如统一帐号认证通过，则 UDB 生成该统一帐号对应的 UDBTicket 信息； UDB 重定向并返回认证结果信息给领航平台，重定向消息中应携带 Ticket 中国电信用户数据库UDB 与 BNET 系统认证集成方案 V2.0 - 19 - 消息，并生成全局 Token 写入客户端浏览器的内存 Cookie。 8、UDB 返回的认证结果应携带对应的领航平台用户帐号、认证请求的统 一帐号和统一帐号用户状态信息。 UDB 应支持帐号审计功能，如果一个领航平台用户帐号/别名/ 绑定号码认 证的密码连续输入错误超过 N 次（UDB 管理员可配置，默认为 6） ，UDB 应延 时响应，如果一个领航平台用户帐号/别名/绑定号码认证的密码连续输入错误超 过 M 次之后（UDB 管理员可配置，默认为 10） ， UDB 应能够锁定这个此领航 平台用户帐号/别名/绑定号码，并发送告警，如锁定帐号为绑定的统一帐号，应 不影响该帐号登录其他应用系统。 5.3 绑定关系管理 UDB 应支持领航平台用户帐号绑定/解绑中国电信统一帐号（本网手机号 码或固话电话号码） 、异网手机号码、邮箱。 对于绑定的统一帐号、异网手机号码、邮箱，由 UDB 维护在本 UDB 的唯 一性，省 UDB 与全国 UDB 之间、省 UDB 与省 UDB 之间不做唯一性要求。 1、统一帐号的绑定 用户在领航平台进行领航平台用户帐号与中国电信统一帐号的绑定时，需 输入绑定的统一帐号和通用密码，领航平台将绑定请求转发给 UDB，并由 UDB 验证通过后返回绑定成功结果。如输入的通用密码错误，UDB 返回失败 结果及原因值。 如用户绑定的统一帐号在 UDB 中已经绑定了领航平台用户帐号，则 UDB 返回失败结果及原因值。 如用户绑定的统一帐号“ 通行证注册激活标记 ”为“未注册激活”，则 UDB 应 返回失败结果及原因值。 用户也可以在领航平台服务界面上解绑已绑定的统一帐号，解绑后将不允 许该统一帐号登录领航平台。如用户解绑的统一帐号在 UDB 中不存在，或该统 一帐号未绑定申请解绑的领航平台用户帐号，则 UDB 返回失败结果及原因值。 对于省 UDB，如用户绑定的统一帐号在 UDB 中不存在，则 UDB 返回失败 结果及原因值。 对于全国 UDB，如全国领航平台绑定某省的统一帐号，如全国 UDB 无此 帐号信息，则通过与相应省 UDB 的帐号信息查询接口，向该帐号归属的省 UDB 发起请求，省 UDB 应先判断该统一帐号的“ 通行证注册激活标记” ： 如为“已注册激活 ”，则省 UDB 通过帐号信息更新接口将该统一帐号的 用户信息上传全国 UDB，并将“全国 UDB 活跃用户标记” 置为“标记” 状 态。 如为“未注册激活 ”，则省 UDB 应返回失败结果及原因值。 2、异网移动电话号码的绑定 用户在领航平台进行领航平台用户帐号与异网移动号码的绑定时，需输入 绑定的异网移动号码和短信验证码，领航平台将绑定请求转发给 UDB，并由 UDB 验证通过后返回绑定成功结果。如输入的短信验证码错误，UDB 返回失 败结果及原因值。 对于短信验证码生成的相关要求参见 5.4 节。 如该异网移动号码在 UDB 中已经绑定了领航平台用户帐号，则 UDB 返回 失败结果及原因值。 用户也可以在领航平台服务界面上解绑已绑定的异网移动电话号码，解绑 后将不允许该异网移动号码登录领航平台。如用户解绑的异网移动电话号码在 UDB 中不存在，或该异网移动电话号码未绑定申请解绑的领航平台帐号，则 UDB 返回失败结果及原因值。 对于省 UDB，UDB 应支持对异网移动号码的归属省判别的功能，对于非 归属本省的异网移动号码，应不允许绑定，UDB 返回失败结果及原因值。对于 全国 UDB，应允许绑定任意省的异网移动号码。 3、邮箱的绑定 用户在领航平台进行领航平台用户账号与邮箱的绑定时，只需输入绑定的 邮箱地址，领航平台将绑定请求转发给 UDB， UDB 保存绑定的邮箱地址，并生 成激活邮件，提示用户登录邮箱并点击激活链接，且 UDB 验证激活操作通过后 中国电信用户数据库UDB 与 BNET 系统认证集成方案 V2.0 - 21 - 绑定关系生效。 对于激活邮件生成的相关要求参见 5.5 节。 如该邮箱在 UDB 中已经绑定了领航平台用户账号，则 UDB 返回失败结果及 原因值。 用户也可以在领航平台服务界面上解绑已绑定的邮箱，解绑后将不允许该 邮箱地址登录领航平台。如用户解绑的邮箱地址在 UDB 中不存在，或该邮箱地 址未绑定申请解绑的领航平台账号，则 UDB 返回失败结果及原因值。 5.4 短信验证码生成 短信验证码的生成主要用于用户绑定异网移动号码功能操作。 用户在领航平台进行领航平台用户帐号与异网移动号码的绑定时，需先点 击获取短信验证码的功能操作，领航平台将短信验证码获取请求发送给 UDB， UDB 随机生成短信验证码后向该异网移动号码发送短信。用户收到该短 信后，可在领航平台绑定界面输入异网移动号码和短信验证码，提交绑定申请。 短信验证码格式同领航平台密码。 如申请短信验证码的异网号码错误（如号码长度错误等） ，UDB 应返回失 败结果及原因值。 绑定验证成功后或短信验证码有效期超时后，UDB 应将该短信验证码失效。 UDB 在短信验证码验证时，应能够对请求中携带的时间戳进行判断，包括 时间戳格式、是否是合理的时间、是否是重复的时间（重复提交） 、时间戳是否 与当前时间差距大于一定时间段（如 3s）等，对于时间戳错误的短信密码获取 请求，应能够返回认证失败结果及原因值。 5.5 激活邮件生成 激活邮件的生成主要用于用户绑定邮箱功能操作。 UDB 应支持通过 SMTP 协议向邮箱发送邮件的功能，或能够调用 189 邮箱邮 件发送接口向绑定邮箱发送邮件。UDB 收到领航平台转发的邮箱绑定请求，应 先将该邮箱地址存储在该领航平台用户账号对应的绑定邮箱地址中，并将绑定 邮箱数量增 1，然后 UDB 向该邮箱发送激活邮件。 当用户登录该邮箱并点击链接激活后，UDB 对领航平台用户账号、绑定邮 箱地址、随机生成码、时间戳等信息进行验证，验证通过后绑定关系生效，将 该邮箱绑定激活标志置为“激活”状态。如超出激活有效期时间（默认 24 小时， UDB 管理员可设置）用户未激活，则 UDB 应删除存储的绑定邮箱地址，并将绑 定邮箱数量减 1。 激活邮件格式为 http 链接，内容包括 UDB 的 URL，并携带对应的领航平台 用户账号、绑定的该邮箱地址、随机生成码（格式同领航平台密码,并采用 MD5 加密） 、时间戳信息。 如激活成功，UDB 应能够弹出激活成功的提示窗口。如绑定的领航平台用 户账号、绑定邮箱地址、随机生成码、时间戳等信息验证存在错误，UDB 应能 够弹出绑定不成功的提示窗口。 如申请绑定的邮箱地址错误（如非有效邮箱地址格式等） ，UDB 应不发送激 活邮件，并返回失败结果及原因值。 5.6 单点登录 单点登录功能主要实现网厅到领航平台的单点登录、领航平台到其他应用 系统的单点登录。 1、网厅到领航平台的单点登录 用户可以采用领航平台用户帐号登录网厅，并点击网厅上的领航平台链接 实现到领航平台的单点登录。也可以采用领航平台用户帐号绑定的统一帐号登 录网厅，再点击网厅上的领航平台链接实现到领航平台的单点登录。 全国网厅只提供到全国领航平台的链接，各省网厅只提供到本省的领航平 台的链接。 对于领航平台用户帐号绑定的统一帐号登录网厅后，再单点登录到领航平 台的场景，具体要求同中国电信用户数据库功能与设备规范7.5.1 节的相 中国电信用户数据库UDB 与 BNET 系统认证集成方案 V2.0 - 23 - 关要求。 对于领航平台用户帐号登录网厅后，再单点登录到领航平台的场景，具体 要求如下： 用户使用领航平台帐号成功登录网厅之后，通过点击网厅上领航平台的链 接访问该领航平台时，无须进行二次认证，即可进入登录后服务界面。 该功能实现要求如下： 1) 用户通过领航平台用户帐号成功登录网厅，并点击网厅上的领航平台链 接，网厅将该请求重定向到省 UAM，并携带领航平台的 URL。省 UAM 根据全局 Token，生成当前用户的身份信息及对应的用户身份索 引（UAMTicket）。 2) 省 UAM 携带 UAMTicket，通过 UDB 提供的 UAM 单点登录接口，重 定向请求到 UDB。 3) UDB 保存重定向请求中的 UAMTicket，并根据 UAMTicket 通过客户身 份信息查询接口向省 UAM 查询用户身份信息，得到该用户的领航平台 用户帐号信息。 4) UDB 对用户身份信息中的帐号列表进行查询和判断，如帐号列表为空 （即帐号不存在） ，则将该请求重定向到被链接的领航平台首页，并销 毁保存的 UAMTicket。 5) UDB 查询领航平台用户帐号用户信息，判断该领航平台用户帐号是否 存在，如不存在，则将该请求重定向到被链接的领航平台首页，并销毁 保存的 UAMTicket。 6) UDB 调用领航平台的重定向单点登录接口，携带该领航平台用户帐号， 重定向到领航平台，领航平台验证重定向请求中的帐号是否合法，若帐 号合法，则领航平台向用户展示登录成功的界面；若否，则领航平台向 用户展示登录失败的界面。 2、领航平台到其他应用系统的单点登录 对于领航平台到其他应用系统的单点登录，只有采用统一帐号登录领航平 台时才实现领航平台到其他应用系统的单点登录功能。具体要求同中国电信 用户数据库功能与设备规范7.5.3 节的相关要求。 6 对领航平台相关功能要求 1、对于领航平台用户帐号开户、销户、帐号信息变更、登录状态变更，领 航平台应实时同步给 UDB。开户数据需提供领航平台用户帐号和初始领航平台 密码，销户数据只需提供领航平台用户帐号。 2、帐号开通时，领航平台应能够向 UDB 发送领航平台密码明文。如领航 平台的密码存储为 MD5 加密存储，则领航平台应在帐号开通时，应标明发送的 密码为 MD5 加密后密文。 3、领航平台应提供用户登录认证界面，用户登录领航平台时，应能够在界 面上选择登录的帐号类型（领航平台用户帐号/领航平台用户别名/ 中国电信通行 证/邮箱/异网移动电话号码） ，默认为领航平台用户帐号。 4、用户登录领航平台时，应能够在领航平台登录界面上提供用户登录帐号 归属地的选择，默认为本省（对于省领航平台）或全国（对于全国领航平台） 。 5、如用户选择“ 中国电信通行证 ”登录方式，领航平台应能够重定向到 UDB 的统一登录认证界面，或领航平台登录认证界面嵌入 UDB 登录框。 6、领航平台应能够根据重定向请求中的 UDB Ticket，通过用户身份信息 查询接口向 UDB 查询用户帐号信息。 7、对于非“中国电信通行证” 的登录认证，如用户未输入认证密码，领航平 台应提示用户输入认证密码，不向 UDB 发起认证请求。 8、用户登录领航平台并提交登录请求时，领航平台将认证请求转发给 UDB。领航平台应能够根据 UDB 返回的认证结果及原因值，提供相应的用户 使用界面或提示信息。 9、领航平台应提供服务界面，用户可以在领航平台的服务界面上设置该领 航平台用户账户的别名，修改领航平台密码、绑定/ 解绑邮箱、异网手机号、中 国电信通行证（本网手机号或固话号码） 。对于领航平台用户修改领航平台密码， 需提供“原密码” 、 “新密码”和“确认密码”输入框，输入的密码以圆点显示， 密码设置成功后提示“新密码设置成功” ；对于领航平台管理员修改其他用户的 中国电信用户数据库UDB 与 BNET 系统认证集成方案 V2.0 - 25 - 领航平台密码，只需输入“新密码”和“确认密码” ，密码设置成功后提示“新 密码设置成功” 。对于绑定中国电信通行证，需提供“统一帐号”和“通用密码” 的输入框，对于绑定异网手机号，需提供“获取短信验证码”按钮和相应的 “异网手机号”和“短信验证码”输入框，对于绑定邮箱，只需提供“邮箱地 址”输入框，并提示用户登录邮箱激活绑定关系。 10、领航平台应能够在领航平台密码更新接口中表明该请求是领航平台企 业管理员更改其他用户的领航平台密码，或领航平台用户更改自身的领航平台 密码。 11、领航平台一次绑定/解绑请求只能绑定/解绑一个帐号，其服务界面不提 供多个号码的同时绑定/解绑操作。 12、如领航平台企业管理员注销领航平台用户帐号或更换领航平台用户帐 号的使用者，应能够通过领航平台服务界面先将该领航平台用户帐号所设置的 别名、绑定的中国电信统一帐号（本网手机号码或固话电话号码） 、异网手机号 码、邮箱等，进行取消别名操作和解绑操作。 7 流程与接口要求 7.1 接口流程 本节主要针对 BNET 和 UDB 之间的核心流程进行描述，对于单点登录流 程，参考中国电信用户数据库-功能与设备规范 V2.0第 7.5.3 章节的相关描 述。 7.1.1 领航帐号的开户/注销流程 触发条件：企业管理员/系统管理员在领航平台进行帐号管理（包括管理员帐号 和普通用户帐号），创建/注销商航帐号。 交互流程： 企业管理员 / 系统 管理员 领航平台 U D B 1 、 企业管理员 / 系统管理员在领航平台 进行账号管理 ， 创建 / 注销商航账号 2 、 领航平台将新创建 / 注销商航账号的请 求传给 U D B 4 、 返回处理结果 3 、 保存 / 删除商航 账号 5 、 返回创建 / 注销账号结果 流程描述： 1. 企业管理员/系统管理员在领航平台进行帐号管理，创建 /注销用户商航帐号； 系统管理员是对企业管理员帐号进行管理操作，企业管理员是对普通用户 帐号进行管理操作。 2. 领航平台调用UDB提供的帐号开户/注销接口，将创建 /注销商航帐号的请求 发送给UDB； 3. UDB保存/删除商航帐号的相关信息记录； 4. UDB向领航平台返回处理结果； 5. 领航平台向企业管理员返回创建/注销帐号的结果。 7.1.2 领航帐号的密码设置流程 触发条件：用户在领航平台更新商航帐号密码。 交互流程： 用户 领航平台 U D B 1 、 用户在领航平台进行 商航账号密码更新操作 ， 输入原密码和新密码 2 、 领航平台将更新商航账号密码 的请求传给 U D B 4 、 返回处理结果 3 、 若是领航用户设置密 码 ， 则验证原密码通过 后更新密码 。 若是管理 员设置密码 ， 则直接更 新 5 、 返回更新商航账号密码结果 流程描述： 中国电信用户数据库UDB 与 BNET 系统认证集成方案 V2.0 - 27 - 1. 用户在领航平台进行领航帐号密码更新操作，输入原密码和新密码； 2. 领航平台调用UDB提供的领航帐号的密码设置接口，将更领航帐号密码的 请求发送给UDB； 3. 若是领航用户设置密码，则UDB验证原密码通过后，更新领航帐号密码； 若是管理员设置密码，则UDB直接更新领航帐号密码； 4. UDB向领航平台返回处理结果； 5. 领航平台向用户返回更新商航帐号密码的结果。 7.1.3 领航帐号的别名设置流程 触发条件：用户在领航平台进行别名设置。 交互流程： 用户 领航平台 U D B 1 、 用户在领航平台 进行别名设置的操作 2 、 领航平台将别名设置请求 转发给省 U D B 3 、 若该别名尚 未被设置 ， 则 为相应商航账 号设置该别名 4 、 返回处理结果 5 、 返回别名绑定结果 流程描述： 1. 用户在领航平台进行别名设置的操作； 2. 领航平台调用UDB提供的领航平台的别名设置接口，将别名设置请求转发 给UDB； 3. 若该别名尚未被设置，则UDB为相应商航帐号设置该别名； 4. UDB向领航平台返回处理结果； 5. 领航平台向用户返回别名设置的结果。 7.1.4 领航帐号绑定统一帐号流程 触发条件：用户在领航平台进行统一帐号绑定操作。 交互流程： 用户 领航平台 省 U D B 1 、 用户在领航平台 提供的账号绑定界面进行 统一账号绑定的操作 ， 要求 用户输入统一账号及对应的 通用密码 3 、 全国领航平台将 统一账号绑定请求转发给全国 U D B ， 携带通用密码 。 8 、 返回处理结果 ， 转到第 1 2 步 7 、 全国 U D B 对统一账号 及通用密码进行验证 。 若 通过 ， 且统一账号尚未被 绑定 ， 则将领航账号与该 统一账号进行绑定 1 2 、 返回统一账号绑定结果 全国 U D B 4 、 若全国 U D B 没有该统一账 号记录 ， 则向该账号所在省 U D B 进行查询 5 、 省 U D B 为该统一 账号打上标记 ， 标记 为全国活跃用户 6 、 返回该统一账号信息 1 1 、 返回处理结果 2 、 若是省领航平台 ， 则 直接转到第 9 步 1 0 、 若省 U D B 验证统一 账号与通用密码通过 ， 且统一账号尚未被绑 定 ， 则 U D B 将商务领航 账号与该统一账号进行 绑定 9 、 省领航平台将 统一账号绑定请求转发给省 U D B ， 携带通用密码 流程描述： 1. 用户在领航平台提供的帐号绑定界面，输入统一帐号和通用密码，进行统 一帐号的绑定操作； 2