中中中 國國國 電電電 信信信 MBOSS 外外外 部部部 客客客 戶戶戶 統統統 一一一 認認認 證證證 平平平 臺臺臺 規規規 范范范 2009 年 4 月 內部資料，注意保密，未經同意，請勿翻印 版本： 版本號 文檔信息 文檔名稱 文件編號 編制人 保密級別 修改過程 版本號 日期 負責人 概述 評審過程 版本號 日期 評審者 概述 分發范圍 I 目 錄 1 總則 . 1 1.1 文檔說明 . 1 1.2 解釋權 . 1 1.3 參考文獻 . 1 1.4 術語和縮略語 . 2 1.4.1 術語定義 . 2 1.4.2 縮略語 . 3 2 概述 . 3 2.1 背景 . 3 2.2 目標 . 4 2.3 業務定位 . 5 2.4 業務描述 . 5 2.4.1 業務場景 . 5 2.4.2 帳號規則 . 8 3 系統架構 . 9 3.1 總體思路 . 9 3.1.1 集中認證 . 9 3.1.2 聯邦式單點登錄 . 10 3.2 網絡拓撲 . 12 3.3 與其他系統關系 . 12 3.4 兩級架構 . 13 4 流程 . 15 4.1 認證流程 . 15 4.1.1 集中認證 . 15 4.1.2 單點登錄 . 15 II 4.1.3 單點登出 . 22 4.2 數據同步流程 . 24 4.2.1 客戶 /產品 /帳戶新開 . 24 4.2.2 產品銷戶 . 25 4.2.3 產品改號 . 25 4.2.4 產權變更 . 26 4.2.5 密碼修改 . 26 4.2.6 狀態屬性變更 . 27 4.2.7 密碼重置 . 27 4.2.8 批量信息導入 . 28 5 功能要求 . 30 5.1 省平臺 . 30 5.1.1 認證管理 . 30 5.1.2 帳號管理 . 33 5.1.3 系統管理 . 35 5.2 全國平臺 . 44 5.2.1 省平臺管理 . 44 6 接口要求 . 45 6.1 接口說明 . 45 6.1.1 接口概述 . 45 6.1.2 接口協議說明 . 45 6.2 接口全景 . 45 6.3 統一認證平臺接口要求 . 47 6.3.1 認證接口 . 47 6.3.2 數據同步接口 . 52 6.3.3 省級 UA 管理接口 . 61 6.4 外圍系統接口要求 . 64 6.4.1 對外圍系統改造要求 . 64 III 6.4.2 外圍系統接口 . 65 7 客戶身份認證協議 . 69 7.1 協議框架 . 70 7.2 協議層次結構 . 71 7.2.1 協議數據格式 . 71 7.2.2 會話控制格式 . 71 7.2.3 業務數據格式 . 74 7.3 協議實體定義 . 75 7.3.1 認證數據基類 . 75 7.3.2 認證請求協議 . 76 7.3.3 票據解讀協議 . 80 7.3.4 省 UA 管理協議 . 83 7.3.5 數據同步協議 . 86 7.4 協議應用實例 . 95 7.4.1 集中認證 . 95 7.4.2 單點登錄 . 96 7.4.3 鏈接 SSO 登錄 . 97 7.4.4 省級 UA 管理 . 97 8 數據要求 . 99 8.1 核心業務實體分析 . 99 8.2 核心業務實體邏輯模型 . 99 8.3 系統管理員邏輯模型 . 100 8.4 實體屬性描述 . 100 9 系統性能需求 . 103 9.1 吞吐量 . 103 9.2 響應時間 . 103 9.3 數據存儲性能 . 103 9.4 可靠性要求 . 105 IV 9.4.1 應用可靠性 . 105 9.4.2 網絡可靠性 . 106 10 安全要求 . 108 10.1 認證安全 . 108 10.1.1 加密要求 . 108 10.1.2 密鑰管理 . 109 10.1.3 平臺校驗 . 109 10.1.4 其他 . 109 10.2 網絡安全 . 109 10.2.1 網絡配置 . 109 10.2.2 傳輸安全 . 110 10.3 系統安全 . 110 10.3.1 口令管理 . 110 10.3.2 主機管理 . 110 10.4 機房 安全 . 111 10.4.1 環境安全 . 111 10.4.2 電源安全 . 111 11 實施要求 . 112 11.1 實施架構要求 . 112 11.2 實施功能要求 . 112 11.3 實施軟硬件要求 . 113 12 附錄 . 117 12.1 操作結果編碼 . 117 12.2 接口協議編碼 . 118 12.3 系統平臺編碼規范 . 119 12.4 帳號類型編碼規范 . 119 12.5 密碼類型編碼規范 . 119 12.6 認證方式編碼規范 . 120 V 12.7 省份標識編碼規范 . 120 中國電信 MBOSS 外部客戶統一認證平臺規范 1 1 總則 1.1 文檔說明 文檔共包括三冊：中國電信 MBOSS 外部客戶統一認證平臺規范總冊、中國電信 MBOSS 外部客戶統一認證平臺規范 業務系統改造分冊、中國電信MBOSS 外部客戶統一認證平臺規范 Passport 互聯分冊 文檔總冊規范了中國電信 MBOSS 外部客戶統一認證平臺（ UAM）的功能、流程、接口、性能等方面的要求。用于規范和指導中國電信集團及各省 MBOSS外部客戶統一認證平臺的建設，也可作為中國電信統一認證平臺的 工程設計 、 網絡運行、 業務 管理 等的技術參考。 業務系統改造分冊用于規范業務系統接入中國電信客戶統一認證平臺時的需要進行改造工作，明確中國電信客戶登錄網上營業廳后，經過中國電信客戶統一認證平臺單點登錄到業務系統時，所應遵循的流程、接口、協議等技術要求。 Passport 互聯分冊用于規范 UAM 和 Passprot 兩個認證能力平臺之間采用對等聯邦式互信方式實現認證互通的技術要求，即：兩個認證平臺互相信任對方的認證結果，實現天翼 Live 到網上營業廳的單點登錄，和網上營業廳到 189郵箱的單點登錄。 1.2 解釋權 本規范的版權和解釋權屬于中國電信股份有限公司。 1.3 參考文獻 1 中國電信企業信息化戰略規劃 (ITSP)2.0 2 CTG-MBOSS 規范 1.0 3中國電信企業數據模型 3.0 4中國電信網上客服中心業務規范 （ V1.0）補充規范 中國電信 MBOSS 外部客戶統一認證平臺規范 2 1.4 術語和縮略語 1.4.1 術語定義 外部客戶 指以產權關系界定的、在同一登記證件名下的中國電信產品的所有者（人或組織）。 外部客戶不包括以 電信企業內部的 系統管理員、客戶代表、營業員等； 渠道 接觸 系統 包括 網上營業廳、 10000 號、營業廳、自助終端、 WAP 營業廳、短信營業廳； 客戶標識 指唯一標識客戶身份的編碼或序號； 產品標 識 產品是指 中國電信在客戶購買產品后建立的的產品實例信息。 產品標識是指可以唯一標識產品身份的編碼或序號； 帳戶標識 帳戶 是中國電信為其客戶建立 的 用來匯集客戶所需要支付的電信產品 /服務的各種消費費用的實體。帳戶標識是指 可以唯一標識客戶某一帳戶的編碼或序號； 注冊帳 號 本規范中專指網廳使 用的網站注冊帳號； 客戶密碼 是電信公司針對產權客戶設置的， 在電信系統中驗證客戶身份的 一組數字序列，它是客戶辦理電信業務的身份憑證，目的是為了方便客戶、防止他人未經客戶授權擅自辦理、修改、查詢相關業務。 客戶密碼與產權客戶構成一對一的關系， 同一產權 客戶只有一個客戶密碼。 產品 密碼 又稱用戶密碼、服務密碼或業務密碼。是與客戶使用的某個電信產品（如普通電話、 ISDN、 ADSL、 LAN、小靈通）相關聯的電信服務密碼。產品密碼與電信產品號碼構成一對一的關系，即每個電信產品原則上可以設置一個產品密碼，該密碼可作為客 戶辦理該電信產品相關業務的身份憑證。 鑒權 驗證客戶或用戶是否有權辦理某項具體業務； 認證 標識和密碼的審核，驗證是否存在合法的標識和密碼及其對應關系。不包括具體業務鑒權； 安全斷言標記語言 (SAML) Security Assertion Markup Language， 是 由國際標準組織 OASIS （ the Organization for the Advancement of Structured Information Standards）制定的基于 XML 標準的數據交換和認證授權安全領域的 規范。 中國電信 MBOSS 外部客戶統一認證平臺規范 3 單點登陸 Single Sign On，簡稱 SSO。 SSO 的定義是在多個應用系統中， 客戶或 用戶只需要登錄一次就可以訪問所有相互信任的應用系統。它包括可以將這次主要的登錄映射到其他應用中用于同一個用戶的登錄的機制 。 認證信息 關于某 認證對象 可以相信、信任或具有權力的證件或證明書。對于不同的認證方式， 認證信息 有不同的表現形式，如在“帳號 +密碼”的認證方式下，用 帳號標識 和密碼為憑證；而在 CA 數字證書的認證方式下，以數字證書和 PIN碼為憑證。 全局 令牌（ 全局 TOKEN） 客戶統一認證平臺 頒發的代表 客 戶有效身份 的憑證。全局 TOKEN 保存在統一認證平臺上，在客戶登錄的整個生命周期內有效。 局部 令牌（ 局部 TOKEN） 網廳或 業務平臺 頒發的只在網廳、 業務平臺 等局部范圍內有效的客戶身份憑證。 斷言（ Assertion） 由統一認證平臺 產生，關于某個主體的認證信息、屬性或授權信息的數據塊。 票據 （ Ticket、 Artifact）斷言的索引。渠道或 業務平臺 根據票據通過后端信道去統一認證平臺請求斷言，獲取認證的具體信息。 1.4.2 縮略語 本規范涉及的縮略語如下表所示： 縮略語 英文全名 中文全名 UA Unified Authentification 統一認證 CAP Customer Identity Authenticate Protocol 客戶 身份認證 協議 2 概述 2.1 背景 中國電信目前的網上營業廳、營業廳、 10000 號、自助終端等渠道 接觸 系統存在多種形式的認證體系，有基于 CRM 客戶標識及客戶密碼的認證，基于產品標識及產品密碼的認證，基于帳戶的認證等；某些省份還在此基礎上演化出新的中國電信 MBOSS 外部客戶統一認證平臺規范 4 認證形式：如產品標識和客戶密碼的認證、客戶 ID 和兩級客戶密碼的認證等。這使得現有的認證方式復雜多樣。認證數據大多分布在 MBOSS 域的 核心 支撐系統之內， 客觀上使得 CRM、計費帳務等支撐系統除了完成業務運營支撐功能之外，還需要為 渠道接觸系統 提供客戶、帳戶、產品等實體的認證服務，從而加重核心支撐系統 的負擔。 同時，中國電信的企業轉型也帶動了增值業務的迅猛發展，亟需通過門戶網站整合增值業務的業務資源，為電信客戶提供集中統一的業務呈現和業務使用渠道。中國電信網上營業廳作為電信客戶接觸的重要渠道，迫切需要進一步提升其作為門戶網站的地位，以門戶建設帶動業務整合，逐步發展為集客戶服務、業務宣傳、產品使用為一體的客戶綜合服務門戶。 另外，隨著電信增值業務的發展和業務平臺的 增多，用戶除了記憶 渠道接觸系統 的客戶服務類帳號外，還需要記憶多種增值業務產品使用帳號，每次登錄一個業務平臺前都需要提供相應的身份認證信息，這帶給用戶不方便的使用感受，同時也不利于電信推廣多種業務的捆綁銷售。 因此需要建立針對 MBOSS 外部客戶的統一認證中心 （以下簡稱“統一認證平臺”） ，一方面整合現有的各種認證體系，屏蔽 CRM 等 核心支撐系統 的認證，統一為 渠道接觸系統 提供認證服務。另一方面當用戶從網上營業廳等 渠道接觸系統 集中使用各增值業務時，提供跨業務和平臺的統一認證和單點登錄，從而達到用戶體驗的提升。 2.2 目標 統一認證平臺是為各個 渠道接觸系統 提供統一的認證入口，并在此基礎上提供 渠道接觸系統 到業務平臺的單點登錄功能，主要目標有： 1、提升客戶使用體驗：客戶在同一渠道平臺內登錄之后，在業務平臺之間實現一次認證、全業務訪問。 2、促進以客戶為中心的帳號經營：隨著電信增值業務的快速發展，以客戶為中心的帳號經營成為發展趨勢，需要整合多種帳號體系；同樣也需要提升面向客戶的網上營業廳的門戶地位，帶動業務資源的整合，實現跨系統和平臺的統一認證和單點登錄， 滿足服務界面的一體化和客戶體驗的一致性要求 。 中國電信 MBOSS 外部客戶統一認證平臺規范 5 3、優化 IT 架構：一方面減輕了 核心支撐系統 （如 CRM、計費帳務等）的認證壓力；另一方面構建統一認證、集中管理、數據共享、安全高效的認證體系，為其它 業務平臺 的接入降低成本。 2.3 業務定位 統一認證平臺應該具有如下業務能力： 1、在 MBOSS 域內部：統一為各 渠道接觸系統 提供認證服務。 整合 多個 渠道接觸系統 的認證功能，包括 網上營業廳、 10000 號、自助終端、營業廳、 WAP 營業廳、短信營業廳等 針對 多種帳號、多種密碼、多種身份 的復雜帳號認證體系， 能夠提供集中認證功能， 并標識 對應的 客戶 身份和客戶產權關系 遵循集中認證、分散鑒權的原則， 認證后代表的身份 及身份對應的權限遵循現有 渠道接觸系統 的業務規則 2、在 MBOSS 域外部：提供到業務平臺的單點登錄能力。 提供 MBOSS 域 到業務 域 的單向 SSO，客戶在登錄網上營業廳之后，訪問其它相關 業務平臺 時 不需要進行再次 輸入該 業務平臺 的帳號密碼 MBOSS 域到業務域的單向 SSO 前提是依賴于 CRM 產權關系的聯邦式認證 ， CRM 里產品管理的程度決定 網上營業廳和 業務平臺 SSO 聯通的程度 現階段 不 考慮 實現和 聯 通 寬帶 一點通 。 2.4 業務描述 2.4.1 業務場景 用戶在下列多種渠道下使用中國電信業務時，涉及的認證功能均可由統一認證平臺支持，具體對應 關系如下表所示： 網上 營業廳 短信 營業廳 Wap 營業廳 自助終端 10000 號 營業廳 中國電信 MBOSS 外部客戶統一認證平臺規范 6 集中認證 密碼取消 密碼重置 密碼修改 狀態屬性 修改 單點登錄（ 單 向SSO） 登錄漫游 登錄退出 2.4.1.1 集中 認證 用戶通過網上營業廳、短信營業廳、 Wap 營業廳、自助終端、 10000 號、營業廳，進行業務辦理或帳單 查詢 等操作時，對用戶輸入的帳號和 密碼 ，進行驗證。 目前支持的 集中認證 方式包括： 客戶標識 +客戶密碼 客戶卡號 +客戶密碼 產品標識 +產品密碼 產品標識 +客戶密碼 帳戶標識 +帳戶 密碼 網廳注冊帳號 +注冊密碼（客戶密碼） 2.4.1.2 密碼取消 取消指