中国电信MBOSS外部客户统一认证平台规范

中中中 国国国 电电电 信信信 MBOSS 外外外 部部部 客客客 户户户 统统统 一一一 认认认 证证证 平平平 台台台 规规规 范范范 2009 年 4 月 内部资料，注意保密，未经同意，请勿翻印 版本： 版本号 文档信息 文档名称 文件编号 编制人 保密级别 修改过程 版本号 日期 负责人 概述 评审过程 版本号 日期 评审者 概述 分发范围 I 目 录 1 总则 . 1 1.1 文档说明 . 1 1.2 解释权 . 1 1.3 参考文献 . 1 1.4 术语和缩略语 . 2 1.4.1 术语定义 . 2 1.4.2 缩略语 . 3 2 概述 . 3 2.1 背景 . 3 2.2 目标 . 4 2.3 业务定位 . 5 2.4 业务描述 . 5 2.4.1 业务场景 . 5 2.4.2 帐号规则 . 8 3 系统架构 . 9 3.1 总体思路 . 9 3.1.1 集中认证 . 9 3.1.2 联邦式单点登录 . 10 3.2 网络拓扑 . 12 3.3 与其他系统关系 . 12 3.4 两级架构 . 13 4 流程 . 15 4.1 认证流程 . 15 4.1.1 集中认证 . 15 4.1.2 单点登录 . 15 II 4.1.3 单点登出 . 22 4.2 数据同步流程 . 24 4.2.1 客户 /产品 /帐户新开 . 24 4.2.2 产品销户 . 25 4.2.3 产品改号 . 25 4.2.4 产权变更 . 26 4.2.5 密码修改 . 26 4.2.6 状态属性变更 . 27 4.2.7 密码重置 . 27 4.2.8 批量信息导入 . 28 5 功能要求 . 30 5.1 省平台 . 30 5.1.1 认证管理 . 30 5.1.2 帐号管理 . 33 5.1.3 系统管理 . 35 5.2 全国平台 . 44 5.2.1 省平台管理 . 44 6 接口要求 . 45 6.1 接口说明 . 45 6.1.1 接口概述 . 45 6.1.2 接口协议说明 . 45 6.2 接口全景 . 45 6.3 统一认证平台接口要求 . 47 6.3.1 认证接口 . 47 6.3.2 数据同步接口 . 52 6.3.3 省级 UA 管理接口 . 61 6.4 外围系统接口要求 . 64 6.4.1 对外围系统改造要求 . 64 III 6.4.2 外围系统接口 . 65 7 客户身份认证协议 . 69 7.1 协议框架 . 70 7.2 协议层次结构 . 71 7.2.1 协议数据格式 . 71 7.2.2 会话控制格式 . 71 7.2.3 业务数据格式 . 74 7.3 协议实体定义 . 75 7.3.1 认证数据基类 . 75 7.3.2 认证请求协议 . 76 7.3.3 票据解读协议 . 80 7.3.4 省 UA 管理协议 . 83 7.3.5 数据同步协议 . 86 7.4 协议应用实例 . 95 7.4.1 集中认证 . 95 7.4.2 单点登录 . 96 7.4.3 链接 SSO 登录 . 97 7.4.4 省级 UA 管理 . 97 8 数据要求 . 99 8.1 核心业务实体分析 . 99 8.2 核心业务实体逻辑模型 . 99 8.3 系统管理员逻辑模型 . 100 8.4 实体属性描述 . 100 9 系统性能需求 . 103 9.1 吞吐量 . 103 9.2 响应时间 . 103 9.3 数据存储性能 . 103 9.4 可靠性要求 . 105 IV 9.4.1 应用可靠性 . 105 9.4.2 网络可靠性 . 106 10 安全要求 . 108 10.1 认证安全 . 108 10.1.1 加密要求 . 108 10.1.2 密钥管理 . 109 10.1.3 平台校验 . 109 10.1.4 其他 . 109 10.2 网络安全 . 109 10.2.1 网络配置 . 109 10.2.2 传输安全 . 110 10.3 系统安全 . 110 10.3.1 口令管理 . 110 10.3.2 主机管理 . 110 10.4 机房 安全 . 111 10.4.1 环境安全 . 111 10.4.2 电源安全 . 111 11 实施要求 . 112 11.1 实施架构要求 . 112 11.2 实施功能要求 . 112 11.3 实施软硬件要求 . 113 12 附录 . 117 12.1 操作结果编码 . 117 12.2 接口协议编码 . 118 12.3 系统平台编码规范 . 119 12.4 帐号类型编码规范 . 119 12.5 密码类型编码规范 . 119 12.6 认证方式编码规范 . 120 V 12.7 省份标识编码规范 . 120 中国电信 MBOSS 外部客户统一认证平台规范 1 1 总则 1.1 文档说明 文档共包括三册：中国电信 MBOSS 外部客户统一认证平台规范总册、中国电信 MBOSS 外部客户统一认证平台规范 业务系统改造分册、中国电信MBOSS 外部客户统一认证平台规范 Passport 互联分册 文档总册规范了中国电信 MBOSS 外部客户统一认证平台（ UAM）的功能、流程、接口、性能等方面的要求。用于规范和指导中国电信集团及各省 MBOSS外部客户统一认证平台的建设，也可作为中国电信统一认证平台的 工程设计 、 网络运行、 业务 管理 等的技术参考。 业务系统改造分册用于规范业务系统接入中国电信客户统一认证平台时的需要进行改造工作，明确中国电信客户登录网上营业厅后，经过中国电信客户统一认证平台单点登录到业务系统时，所应遵循的流程、接口、协议等技术要求。 Passport 互联分册用于规范 UAM 和 Passprot 两个认证能力平台之间采用对等联邦式互信方式实现认证互通的技术要求，即：两个认证平台互相信任对方的认证结果，实现天翼 Live 到网上营业厅的单点登录，和网上营业厅到 189邮箱的单点登录。 1.2 解释权 本规范的版权和解释权属于中国电信股份有限公司。 1.3 参考文献 1 中国电信企业信息化战略规划 (ITSP)2.0 2 CTG-MBOSS 规范 1.0 3中国电信企业数据模型 3.0 4中国电信网上客服中心业务规范 （ V1.0）补充规范 中国电信 MBOSS 外部客户统一认证平台规范 2 1.4 术语和缩略语 1.4.1 术语定义 外部客户 指以产权关系界定的、在同一登记证件名下的中国电信产品的所有者（人或组织）。 外部客户不包括以 电信企业内部的 系统管理员、客户代表、营业员等； 渠道 接触 系统 包括 网上营业厅、 10000 号、营业厅、自助终端、 WAP 营业厅、短信营业厅； 客户标识 指唯一标识客户身份的编码或序号； 产品标 识 产品是指 中国电信在客户购买产品后建立的的产品实例信息。 产品标识是指可以唯一标识产品身份的编码或序号； 帐户标识 帐户 是中国电信为其客户建立 的 用来汇集客户所需要支付的电信产品 /服务的各种消费费用的实体。帐户标识是指 可以唯一标识客户某一帐户的编码或序号； 注册帐 号 本规范中专指网厅使 用的网站注册帐号； 客户密码 是电信公司针对产权客户设置的， 在电信系统中验证客户身份的 一组数字序列，它是客户办理电信业务的身份凭证，目的是为了方便客户、防止他人未经客户授权擅自办理、修改、查询相关业务。 客户密码与产权客户构成一对一的关系， 同一产权 客户只有一个客户密码。 产品 密码 又称用户密码、服务密码或业务密码。是与客户使用的某个电信产品（如普通电话、 ISDN、 ADSL、 LAN、小灵通）相关联的电信服务密码。产品密码与电信产品号码构成一对一的关系，即每个电信产品原则上可以设置一个产品密码，该密码可作为客 户办理该电信产品相关业务的身份凭证。 鉴权 验证客户或用户是否有权办理某项具体业务； 认证 标识和密码的审核，验证是否存在合法的标识和密码及其对应关系。不包括具体业务鉴权； 安全断言标记语言 (SAML) Security Assertion Markup Language， 是 由国际标准组织 OASIS （ the Organization for the Advancement of Structured Information Standards）制定的基于 XML 标准的数据交换和认证授权安全领域的 规范。 中国电信 MBOSS 外部客户统一认证平台规范 3 单点登陆 Single Sign On，简称 SSO。 SSO 的定义是在多个应用系统中， 客户或 用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制 。 认证信息 关于某 认证对象 可以相信、信任或具有权力的证件或证明书。对于不同的认证方式， 认证信息 有不同的表现形式，如在“帐号 +密码”的认证方式下，用 帐号标识 和密码为凭证；而在 CA 数字证书的认证方式下，以数字证书和 PIN码为凭证。 全局 令牌（ 全局 TOKEN） 客户统一认证平台 颁发的代表 客 户有效身份 的凭证。全局 TOKEN 保存在统一认证平台上，在客户登录的整个生命周期内有效。 局部 令牌（ 局部 TOKEN） 网厅或 业务平台 颁发的只在网厅、 业务平台 等局部范围内有效的客户身份凭证。 断言（ Assertion） 由统一认证平台 产生，关于某个主体的认证信息、属性或授权信息的数据块。 票据 （ Ticket、 Artifact）断言的索引。渠道或 业务平台 根据票据通过后端信道去统一认证平台请求断言，获取认证的具体信息。 1.4.2 缩略语 本规范涉及的缩略语如下表所示： 缩略语 英文全名 中文全名 UA Unified Authentification 统一认证 CAP Customer Identity Authenticate Protocol 客户 身份认证 协议 2 概述 2.1 背景 中国电信目前的网上营业厅、营业厅、 10000 号、自助终端等渠道 接触 系统存在多种形式的认证体系，有基于 CRM 客户标识及客户密码的认证，基于产品标识及产品密码的认证，基于帐户的认证等；某些省份还在此基础上演化出新的中国电信 MBOSS 外部客户统一认证平台规范 4 认证形式：如产品标识和客户密码的认证、客户 ID 和两级客户密码的认证等。这使得现有的认证方式复杂多样。认证数据大多分布在 MBOSS 域的 核心 支撑系统之内， 客观上使得 CRM、计费帐务等支撑系统除了完成业务运营支撑功能之外，还需要为 渠道接触系统 提供客户、帐户、产品等实体的认证服务，从而加重核心支撑系统 的负担。 同时，中国电信的企业转型也带动了增值业务的迅猛发展，亟需通过门户网站整合增值业务的业务资源，为电信客户提供集中统一的业务呈现和业务使用渠道。中国电信网上营业厅作为电信客户接触的重要渠道，迫切需要进一步提升其作为门户网站的地位，以门户建设带动业务整合，逐步发展为集客户服务、业务宣传、产品使用为一体的客户综合服务门户。 另外，随着电信增值业务的发展和业务平台的 增多，用户除了记忆 渠道接触系统 的客户服务类帐号外，还需要记忆多种增值业务产品使用帐号，每次登录一个业务平台前都需要提供相应的身份认证信息，这带给用户不方便的使用感受，同时也不利于电信推广多种业务的捆绑销售。 因此需要建立针对 MBOSS 外部客户的统一认证中心 （以下简称“统一认证平台”） ，一方面整合现有的各种认证体系，屏蔽 CRM 等 核心支撑系统 的认证，统一为 渠道接触系统 提供认证服务。另一方面当用户从网上营业厅等 渠道接触系统 集中使用各增值业务时，提供跨业务和平台的统一认证和单点登录，从而达到用户体验的提升。 2.2 目标 统一认证平台是为各个 渠道接触系统 提供统一的认证入口，并在此基础上提供 渠道接触系统 到业务平台的单点登录功能，主要目标有： 1、提升客户使用体验：客户在同一渠道平台内登录之后，在业务平台之间实现一次认证、全业务访问。 2、促进以客户为中心的帐号经营：随着电信增值业务的快速发展，以客户为中心的帐号经营成为发展趋势，需要整合多种帐号体系；同样也需要提升面向客户的网上营业厅的门户地位，带动业务资源的整合，实现跨系统和平台的统一认证和单点登录， 满足服务界面的一体化和客户体验的一致性要求 。 中国电信 MBOSS 外部客户统一认证平台规范 5 3、优化 IT 架构：一方面减轻了 核心支撑系统 （如 CRM、计费帐务等）的认证压力；另一方面构建统一认证、集中管理、数据共享、安全高效的认证体系，为其它 业务平台 的接入降低成本。 2.3 业务定位 统一认证平台应该具有如下业务能力： 1、在 MBOSS 域内部：统一为各 渠道接触系统 提供认证服务。 整合 多个 渠道接触系统 的认证功能，包括 网上营业厅、 10000 号、自助终端、营业厅、 WAP 营业厅、短信营业厅等 针对 多种帐号、多种密码、多种身份 的复杂帐号认证体系， 能够提供集中认证功能， 并标识 对应的 客户 身份和客户产权关系 遵循集中认证、分散鉴权的原则， 认证后代表的身份 及身份对应的权限遵循现有 渠道接触系统 的业务规则 2、在 MBOSS 域外部：提供到业务平台的单点登录能力。 提供 MBOSS 域 到业务 域 的单向 SSO，客户在登录网上营业厅之后，访问其它相关 业务平台 时 不需要进行再次 输入该 业务平台 的帐号密码 MBOSS 域到业务域的单向 SSO 前提是依赖于 CRM 产权关系的联邦式认证 ， CRM 里产品管理的程度决定 网上营业厅和 业务平台 SSO 联通的程度 现阶段 不 考虑 实现和 联 通 宽带 一点通 。 2.4 业务描述 2.4.1 业务场景 用户在下列多种渠道下使用中国电信业务时，涉及的认证功能均可由统一认证平台支持，具体对应 关系如下表所示： 网上 营业厅 短信 营业厅 Wap 营业厅 自助终端 10000 号 营业厅 中国电信 MBOSS 外部客户统一认证平台规范 6 集中认证 密码取消 密码重置 密码修改 状态属性 修改 单点登录（ 单 向SSO） 登录漫游 登录退出 2.4.1.1 集中 认证 用户通过网上营业厅、短信营业厅、 Wap 营业厅、自助终端、 10000 号、营业厅，进行业务办理或帐单 查询 等操作时，对用户输入的帐号和 密码 ，进行验证。 目前支持的 集中认证 方式包括： 客户标识 +客户密码 客户卡号 +客户密码 产品标识 +产品密码 产品标识 +客户密码 帐户标识 +帐户 密码 网厅注册帐号 +注册密码（客户密码） 2.4.1.2 密码取消 取消指