中國電信MBOSS外部客戶統(tǒng)一認(rèn)證平臺規(guī)范

中中中 國國國 電電電 信信信 MBOSS 外外外 部部部 客客客 戶戶戶 統(tǒng)統(tǒng)統(tǒng) 一一一 認(rèn)認(rèn)認(rèn) 證證證 平平平 臺臺臺 規(guī)規(guī)規(guī) 范范范 2009 年 4 月 內(nèi)部資料，注意保密，未經(jīng)同意，請勿翻印 版本： 版本號 文檔信息 文檔名稱 文件編號 編制人 保密級別 修改過程 版本號 日期 負(fù)責(zé)人 概述 評審過程 版本號 日期 評審者 概述 分發(fā)范圍 I 目 錄 1 總則 . 1 1.1 文檔說明 . 1 1.2 解釋權(quán) . 1 1.3 參考文獻(xiàn) . 1 1.4 術(shù)語和縮略語 . 2 1.4.1 術(shù)語定義 . 2 1.4.2 縮略語 . 3 2 概述 . 3 2.1 背景 . 3 2.2 目標(biāo) . 4 2.3 業(yè)務(wù)定位 . 5 2.4 業(yè)務(wù)描述 . 5 2.4.1 業(yè)務(wù)場景 . 5 2.4.2 帳號規(guī)則 . 8 3 系統(tǒng)架構(gòu) . 9 3.1 總體思路 . 9 3.1.1 集中認(rèn)證 . 9 3.1.2 聯(lián)邦式單點(diǎn)登錄 . 10 3.2 網(wǎng)絡(luò)拓?fù)?. 12 3.3 與其他系統(tǒng)關(guān)系 . 12 3.4 兩級架構(gòu) . 13 4 流程 . 15 4.1 認(rèn)證流程 . 15 4.1.1 集中認(rèn)證 . 15 4.1.2 單點(diǎn)登錄 . 15 II 4.1.3 單點(diǎn)登出 . 22 4.2 數(shù)據(jù)同步流程 . 24 4.2.1 客戶 /產(chǎn)品 /帳戶新開 . 24 4.2.2 產(chǎn)品銷戶 . 25 4.2.3 產(chǎn)品改號 . 25 4.2.4 產(chǎn)權(quán)變更 . 26 4.2.5 密碼修改 . 26 4.2.6 狀態(tài)屬性變更 . 27 4.2.7 密碼重置 . 27 4.2.8 批量信息導(dǎo)入 . 28 5 功能要求 . 30 5.1 省平臺 . 30 5.1.1 認(rèn)證管理 . 30 5.1.2 帳號管理 . 33 5.1.3 系統(tǒng)管理 . 35 5.2 全國平臺 . 44 5.2.1 省平臺管理 . 44 6 接口要求 . 45 6.1 接口說明 . 45 6.1.1 接口概述 . 45 6.1.2 接口協(xié)議說明 . 45 6.2 接口全景 . 45 6.3 統(tǒng)一認(rèn)證平臺接口要求 . 47 6.3.1 認(rèn)證接口 . 47 6.3.2 數(shù)據(jù)同步接口 . 52 6.3.3 省級 UA 管理接口 . 61 6.4 外圍系統(tǒng)接口要求 . 64 6.4.1 對外圍系統(tǒng)改造要求 . 64 III 6.4.2 外圍系統(tǒng)接口 . 65 7 客戶身份認(rèn)證協(xié)議 . 69 7.1 協(xié)議框架 . 70 7.2 協(xié)議層次結(jié)構(gòu) . 71 7.2.1 協(xié)議數(shù)據(jù)格式 . 71 7.2.2 會(huì)話控制格式 . 71 7.2.3 業(yè)務(wù)數(shù)據(jù)格式 . 74 7.3 協(xié)議實(shí)體定義 . 75 7.3.1 認(rèn)證數(shù)據(jù)基類 . 75 7.3.2 認(rèn)證請求協(xié)議 . 76 7.3.3 票據(jù)解讀協(xié)議 . 80 7.3.4 省 UA 管理協(xié)議 . 83 7.3.5 數(shù)據(jù)同步協(xié)議 . 86 7.4 協(xié)議應(yīng)用實(shí)例 . 95 7.4.1 集中認(rèn)證 . 95 7.4.2 單點(diǎn)登錄 . 96 7.4.3 鏈接 SSO 登錄 . 97 7.4.4 省級 UA 管理 . 97 8 數(shù)據(jù)要求 . 99 8.1 核心業(yè)務(wù)實(shí)體分析 . 99 8.2 核心業(yè)務(wù)實(shí)體邏輯模型 . 99 8.3 系統(tǒng)管理員邏輯模型 . 100 8.4 實(shí)體屬性描述 . 100 9 系統(tǒng)性能需求 . 103 9.1 吞吐量 . 103 9.2 響應(yīng)時(shí)間 . 103 9.3 數(shù)據(jù)存儲(chǔ)性能 . 103 9.4 可靠性要求 . 105 IV 9.4.1 應(yīng)用可靠性 . 105 9.4.2 網(wǎng)絡(luò)可靠性 . 106 10 安全要求 . 108 10.1 認(rèn)證安全 . 108 10.1.1 加密要求 . 108 10.1.2 密鑰管理 . 109 10.1.3 平臺校驗(yàn) . 109 10.1.4 其他 . 109 10.2 網(wǎng)絡(luò)安全 . 109 10.2.1 網(wǎng)絡(luò)配置 . 109 10.2.2 傳輸安全 . 110 10.3 系統(tǒng)安全 . 110 10.3.1 口令管理 . 110 10.3.2 主機(jī)管理 . 110 10.4 機(jī)房 安全 . 111 10.4.1 環(huán)境安全 . 111 10.4.2 電源安全 . 111 11 實(shí)施要求 . 112 11.1 實(shí)施架構(gòu)要求 . 112 11.2 實(shí)施功能要求 . 112 11.3 實(shí)施軟硬件要求 . 113 12 附錄 . 117 12.1 操作結(jié)果編碼 . 117 12.2 接口協(xié)議編碼 . 118 12.3 系統(tǒng)平臺編碼規(guī)范 . 119 12.4 帳號類型編碼規(guī)范 . 119 12.5 密碼類型編碼規(guī)范 . 119 12.6 認(rèn)證方式編碼規(guī)范 . 120 V 12.7 省份標(biāo)識編碼規(guī)范 . 120 中國電信 MBOSS 外部客戶統(tǒng)一認(rèn)證平臺規(guī)范 1 1 總則 1.1 文檔說明 文檔共包括三冊：中國電信 MBOSS 外部客戶統(tǒng)一認(rèn)證平臺規(guī)范總冊、中國電信 MBOSS 外部客戶統(tǒng)一認(rèn)證平臺規(guī)范 業(yè)務(wù)系統(tǒng)改造分冊、中國電信MBOSS 外部客戶統(tǒng)一認(rèn)證平臺規(guī)范 Passport 互聯(lián)分冊 文檔總冊規(guī)范了中國電信 MBOSS 外部客戶統(tǒng)一認(rèn)證平臺（ UAM）的功能、流程、接口、性能等方面的要求。用于規(guī)范和指導(dǎo)中國電信集團(tuán)及各省 MBOSS外部客戶統(tǒng)一認(rèn)證平臺的建設(shè)，也可作為中國電信統(tǒng)一認(rèn)證平臺的 工程設(shè)計(jì) 、 網(wǎng)絡(luò)運(yùn)行、 業(yè)務(wù) 管理 等的技術(shù)參考。 業(yè)務(wù)系統(tǒng)改造分冊用于規(guī)范業(yè)務(wù)系統(tǒng)接入中國電信客戶統(tǒng)一認(rèn)證平臺時(shí)的需要進(jìn)行改造工作，明確中國電信客戶登錄網(wǎng)上營業(yè)廳后，經(jīng)過中國電信客戶統(tǒng)一認(rèn)證平臺單點(diǎn)登錄到業(yè)務(wù)系統(tǒng)時(shí)，所應(yīng)遵循的流程、接口、協(xié)議等技術(shù)要求。 Passport 互聯(lián)分冊用于規(guī)范 UAM 和 Passprot 兩個(gè)認(rèn)證能力平臺之間采用對等聯(lián)邦式互信方式實(shí)現(xiàn)認(rèn)證互通的技術(shù)要求，即：兩個(gè)認(rèn)證平臺互相信任對方的認(rèn)證結(jié)果，實(shí)現(xiàn)天翼 Live 到網(wǎng)上營業(yè)廳的單點(diǎn)登錄，和網(wǎng)上營業(yè)廳到 189郵箱的單點(diǎn)登錄。 1.2 解釋權(quán) 本規(guī)范的版權(quán)和解釋權(quán)屬于中國電信股份有限公司。 1.3 參考文獻(xiàn) 1 中國電信企業(yè)信息化戰(zhàn)略規(guī)劃 (ITSP)2.0 2 CTG-MBOSS 規(guī)范 1.0 3中國電信企業(yè)數(shù)據(jù)模型 3.0 4中國電信網(wǎng)上客服中心業(yè)務(wù)規(guī)范 （ V1.0）補(bǔ)充規(guī)范 中國電信 MBOSS 外部客戶統(tǒng)一認(rèn)證平臺規(guī)范 2 1.4 術(shù)語和縮略語 1.4.1 術(shù)語定義 外部客戶 指以產(chǎn)權(quán)關(guān)系界定的、在同一登記證件名下的中國電信產(chǎn)品的所有者（人或組織）。 外部客戶不包括以 電信企業(yè)內(nèi)部的 系統(tǒng)管理員、客戶代表、營業(yè)員等； 渠道 接觸 系統(tǒng) 包括 網(wǎng)上營業(yè)廳、 10000 號、營業(yè)廳、自助終端、 WAP 營業(yè)廳、短信營業(yè)廳； 客戶標(biāo)識 指唯一標(biāo)識客戶身份的編碼或序號； 產(chǎn)品標(biāo) 識 產(chǎn)品是指 中國電信在客戶購買產(chǎn)品后建立的的產(chǎn)品實(shí)例信息。 產(chǎn)品標(biāo)識是指可以唯一標(biāo)識產(chǎn)品身份的編碼或序號； 帳戶標(biāo)識 帳戶 是中國電信為其客戶建立 的 用來匯集客戶所需要支付的電信產(chǎn)品 /服務(wù)的各種消費(fèi)費(fèi)用的實(shí)體。帳戶標(biāo)識是指 可以唯一標(biāo)識客戶某一帳戶的編碼或序號； 注冊帳 號 本規(guī)范中專指網(wǎng)廳使 用的網(wǎng)站注冊帳號； 客戶密碼 是電信公司針對產(chǎn)權(quán)客戶設(shè)置的， 在電信系統(tǒng)中驗(yàn)證客戶身份的 一組數(shù)字序列，它是客戶辦理電信業(yè)務(wù)的身份憑證，目的是為了方便客戶、防止他人未經(jīng)客戶授權(quán)擅自辦理、修改、查詢相關(guān)業(yè)務(wù)。 客戶密碼與產(chǎn)權(quán)客戶構(gòu)成一對一的關(guān)系， 同一產(chǎn)權(quán) 客戶只有一個(gè)客戶密碼。 產(chǎn)品 密碼 又稱用戶密碼、服務(wù)密碼或業(yè)務(wù)密碼。是與客戶使用的某個(gè)電信產(chǎn)品（如普通電話、 ISDN、 ADSL、 LAN、小靈通）相關(guān)聯(lián)的電信服務(wù)密碼。產(chǎn)品密碼與電信產(chǎn)品號碼構(gòu)成一對一的關(guān)系，即每個(gè)電信產(chǎn)品原則上可以設(shè)置一個(gè)產(chǎn)品密碼，該密碼可作為客 戶辦理該電信產(chǎn)品相關(guān)業(yè)務(wù)的身份憑證。 鑒權(quán) 驗(yàn)證客戶或用戶是否有權(quán)辦理某項(xiàng)具體業(yè)務(wù)； 認(rèn)證 標(biāo)識和密碼的審核，驗(yàn)證是否存在合法的標(biāo)識和密碼及其對應(yīng)關(guān)系。不包括具體業(yè)務(wù)鑒權(quán)； 安全斷言標(biāo)記語言 (SAML) Security Assertion Markup Language， 是 由國際標(biāo)準(zhǔn)組織 OASIS （ the Organization for the Advancement of Structured Information Standards）制定的基于 XML 標(biāo)準(zhǔn)的數(shù)據(jù)交換和認(rèn)證授權(quán)安全領(lǐng)域的 規(guī)范。 中國電信 MBOSS 外部客戶統(tǒng)一認(rèn)證平臺規(guī)范 3 單點(diǎn)登陸 Single Sign On，簡稱 SSO。 SSO 的定義是在多個(gè)應(yīng)用系統(tǒng)中， 客戶或 用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。它包括可以將這次主要的登錄映射到其他應(yīng)用中用于同一個(gè)用戶的登錄的機(jī)制 。 認(rèn)證信息 關(guān)于某 認(rèn)證對象 可以相信、信任或具有權(quán)力的證件或證明書。對于不同的認(rèn)證方式， 認(rèn)證信息 有不同的表現(xiàn)形式，如在“帳號 +密碼”的認(rèn)證方式下，用 帳號標(biāo)識 和密碼為憑證；而在 CA 數(shù)字證書的認(rèn)證方式下，以數(shù)字證書和 PIN碼為憑證。 全局 令牌（ 全局 TOKEN） 客戶統(tǒng)一認(rèn)證平臺 頒發(fā)的代表 客 戶有效身份 的憑證。全局 TOKEN 保存在統(tǒng)一認(rèn)證平臺上，在客戶登錄的整個(gè)生命周期內(nèi)有效。 局部 令牌（ 局部 TOKEN） 網(wǎng)廳或 業(yè)務(wù)平臺 頒發(fā)的只在網(wǎng)廳、 業(yè)務(wù)平臺 等局部范圍內(nèi)有效的客戶身份憑證。 斷言（ Assertion） 由統(tǒng)一認(rèn)證平臺 產(chǎn)生，關(guān)于某個(gè)主體的認(rèn)證信息、屬性或授權(quán)信息的數(shù)據(jù)塊。 票據(jù) （ Ticket、 Artifact）斷言的索引。渠道或 業(yè)務(wù)平臺 根據(jù)票據(jù)通過后端信道去統(tǒng)一認(rèn)證平臺請求斷言，獲取認(rèn)證的具體信息。 1.4.2 縮略語 本規(guī)范涉及的縮略語如下表所示： 縮略語 英文全名 中文全名 UA Unified Authentification 統(tǒng)一認(rèn)證 CAP Customer Identity Authenticate Protocol 客戶 身份認(rèn)證 協(xié)議 2 概述 2.1 背景 中國電信目前的網(wǎng)上營業(yè)廳、營業(yè)廳、 10000 號、自助終端等渠道 接觸 系統(tǒng)存在多種形式的認(rèn)證體系，有基于 CRM 客戶標(biāo)識及客戶密碼的認(rèn)證，基于產(chǎn)品標(biāo)識及產(chǎn)品密碼的認(rèn)證，基于帳戶的認(rèn)證等；某些省份還在此基礎(chǔ)上演化出新的中國電信 MBOSS 外部客戶統(tǒng)一認(rèn)證平臺規(guī)范 4 認(rèn)證形式：如產(chǎn)品標(biāo)識和客戶密碼的認(rèn)證、客戶 ID 和兩級客戶密碼的認(rèn)證等。這使得現(xiàn)有的認(rèn)證方式復(fù)雜多樣。認(rèn)證數(shù)據(jù)大多分布在 MBOSS 域的 核心 支撐系統(tǒng)之內(nèi)， 客觀上使得 CRM、計(jì)費(fèi)帳務(wù)等支撐系統(tǒng)除了完成業(yè)務(wù)運(yùn)營支撐功能之外，還需要為 渠道接觸系統(tǒng) 提供客戶、帳戶、產(chǎn)品等實(shí)體的認(rèn)證服務(wù)，從而加重核心支撐系統(tǒng) 的負(fù)擔(dān)。 同時(shí)，中國電信的企業(yè)轉(zhuǎn)型也帶動(dòng)了增值業(yè)務(wù)的迅猛發(fā)展，亟需通過門戶網(wǎng)站整合增值業(yè)務(wù)的業(yè)務(wù)資源，為電信客戶提供集中統(tǒng)一的業(yè)務(wù)呈現(xiàn)和業(yè)務(wù)使用渠道。中國電信網(wǎng)上營業(yè)廳作為電信客戶接觸的重要渠道，迫切需要進(jìn)一步提升其作為門戶網(wǎng)站的地位，以門戶建設(shè)帶動(dòng)業(yè)務(wù)整合，逐步發(fā)展為集客戶服務(wù)、業(yè)務(wù)宣傳、產(chǎn)品使用為一體的客戶綜合服務(wù)門戶。 另外，隨著電信增值業(yè)務(wù)的發(fā)展和業(yè)務(wù)平臺的 增多，用戶除了記憶 渠道接觸系統(tǒng) 的客戶服務(wù)類帳號外，還需要記憶多種增值業(yè)務(wù)產(chǎn)品使用帳號，每次登錄一個(gè)業(yè)務(wù)平臺前都需要提供相應(yīng)的身份認(rèn)證信息，這帶給用戶不方便的使用感受，同時(shí)也不利于電信推廣多種業(yè)務(wù)的捆綁銷售。 因此需要建立針對 MBOSS 外部客戶的統(tǒng)一認(rèn)證中心 （以下簡稱“統(tǒng)一認(rèn)證平臺”） ，一方面整合現(xiàn)有的各種認(rèn)證體系，屏蔽 CRM 等 核心支撐系統(tǒng) 的認(rèn)證，統(tǒng)一為 渠道接觸系統(tǒng) 提供認(rèn)證服務(wù)。另一方面當(dāng)用戶從網(wǎng)上營業(yè)廳等 渠道接觸系統(tǒng) 集中使用各增值業(yè)務(wù)時(shí)，提供跨業(yè)務(wù)和平臺的統(tǒng)一認(rèn)證和單點(diǎn)登錄，從而達(dá)到用戶體驗(yàn)的提升。 2.2 目標(biāo) 統(tǒng)一認(rèn)證平臺是為各個(gè) 渠道接觸系統(tǒng) 提供統(tǒng)一的認(rèn)證入口，并在此基礎(chǔ)上提供 渠道接觸系統(tǒng) 到業(yè)務(wù)平臺的單點(diǎn)登錄功能，主要目標(biāo)有： 1、提升客戶使用體驗(yàn)：客戶在同一渠道平臺內(nèi)登錄之后，在業(yè)務(wù)平臺之間實(shí)現(xiàn)一次認(rèn)證、全業(yè)務(wù)訪問。 2、促進(jìn)以客戶為中心的帳號經(jīng)營：隨著電信增值業(yè)務(wù)的快速發(fā)展，以客戶為中心的帳號經(jīng)營成為發(fā)展趨勢，需要整合多種帳號體系；同樣也需要提升面向客戶的網(wǎng)上營業(yè)廳的門戶地位，帶動(dòng)業(yè)務(wù)資源的整合，實(shí)現(xiàn)跨系統(tǒng)和平臺的統(tǒng)一認(rèn)證和單點(diǎn)登錄， 滿足服務(wù)界面的一體化和客戶體驗(yàn)的一致性要求 。 中國電信 MBOSS 外部客戶統(tǒng)一認(rèn)證平臺規(guī)范 5 3、優(yōu)化 IT 架構(gòu)：一方面減輕了 核心支撐系統(tǒng) （如 CRM、計(jì)費(fèi)帳務(wù)等）的認(rèn)證壓力；另一方面構(gòu)建統(tǒng)一認(rèn)證、集中管理、數(shù)據(jù)共享、安全高效的認(rèn)證體系，為其它 業(yè)務(wù)平臺 的接入降低成本。 2.3 業(yè)務(wù)定位 統(tǒng)一認(rèn)證平臺應(yīng)該具有如下業(yè)務(wù)能力： 1、在 MBOSS 域內(nèi)部：統(tǒng)一為各 渠道接觸系統(tǒng) 提供認(rèn)證服務(wù)。 整合 多個(gè) 渠道接觸系統(tǒng) 的認(rèn)證功能，包括 網(wǎng)上營業(yè)廳、 10000 號、自助終端、營業(yè)廳、 WAP 營業(yè)廳、短信營業(yè)廳等 針對 多種帳號、多種密碼、多種身份 的復(fù)雜帳號認(rèn)證體系， 能夠提供集中認(rèn)證功能， 并標(biāo)識 對應(yīng)的 客戶 身份和客戶產(chǎn)權(quán)關(guān)系 遵循集中認(rèn)證、分散鑒權(quán)的原則， 認(rèn)證后代表的身份 及身份對應(yīng)的權(quán)限遵循現(xiàn)有 渠道接觸系統(tǒng) 的業(yè)務(wù)規(guī)則 2、在 MBOSS 域外部：提供到業(yè)務(wù)平臺的單點(diǎn)登錄能力。 提供 MBOSS 域 到業(yè)務(wù) 域 的單向 SSO，客戶在登錄網(wǎng)上營業(yè)廳之后，訪問其它相關(guān) 業(yè)務(wù)平臺 時(shí) 不需要進(jìn)行再次 輸入該 業(yè)務(wù)平臺 的帳號密碼 MBOSS 域到業(yè)務(wù)域的單向 SSO 前提是依賴于 CRM 產(chǎn)權(quán)關(guān)系的聯(lián)邦式認(rèn)證 ， CRM 里產(chǎn)品管理的程度決定 網(wǎng)上營業(yè)廳和 業(yè)務(wù)平臺 SSO 聯(lián)通的程度 現(xiàn)階段 不 考慮 實(shí)現(xiàn)和 聯(lián) 通 寬帶 一點(diǎn)通 。 2.4 業(yè)務(wù)描述 2.4.1 業(yè)務(wù)場景 用戶在下列多種渠道下使用中國電信業(yè)務(wù)時(shí)，涉及的認(rèn)證功能均可由統(tǒng)一認(rèn)證平臺支持，具體對應(yīng) 關(guān)系如下表所示： 網(wǎng)上 營業(yè)廳 短信 營業(yè)廳 Wap 營業(yè)廳 自助終端 10000 號 營業(yè)廳 中國電信 MBOSS 外部客戶統(tǒng)一認(rèn)證平臺規(guī)范 6 集中認(rèn)證 密碼取消 密碼重置 密碼修改 狀態(tài)屬性 修改 單點(diǎn)登錄（ 單 向SSO） 登錄漫游 登錄退出 2.4.1.1 集中 認(rèn)證 用戶通過網(wǎng)上營業(yè)廳、短信營業(yè)廳、 Wap 營業(yè)廳、自助終端、 10000 號、營業(yè)廳，進(jìn)行業(yè)務(wù)辦理或帳單 查詢 等操作時(shí)，對用戶輸入的帳號和 密碼 ，進(jìn)行驗(yàn)證。 目前支持的 集中認(rèn)證 方式包括： 客戶標(biāo)識 +客戶密碼 客戶卡號 +客戶密碼 產(chǎn)品標(biāo)識 +產(chǎn)品密碼 產(chǎn)品標(biāo)識 +客戶密碼 帳戶標(biāo)識 +帳戶 密碼 網(wǎng)廳注冊帳號 +注冊密碼（客戶密碼） 2.4.1.2 密碼取消 取消指