青少年科普網(wǎng)網(wǎng)站建設(shè)策劃方案

1、青少年科普網(wǎng)網(wǎng)站建設(shè)策劃方案項目概述青少年科普網(wǎng)定位于立于寧波，面向全國性的青少年數(shù)字科技 館，并逐步將其打造成為全市各科普場館的主要的網(wǎng)上科普基地，以 達(dá)到為公眾特別是青少年開展科普宣傳教育、提供共享服務(wù)的目的。 集成全國數(shù)字化科普產(chǎn)品和信息資源，為寧波基層科普組織及相關(guān)機 構(gòu)開展科普資源交流和共享服務(wù)；由于受眾人群主要為青少年，因此 建館在整體表現(xiàn)形式上將在固有特性的基礎(chǔ)上，充分發(fā)揮他的趣味 性，互動性，娛樂性等更為人性化的特點。通過網(wǎng)絡(luò)傳播科普知識， 普及科學(xué)方法，弘揚科學(xué)思想和科學(xué)精神，激發(fā)青少年對科學(xué)技術(shù)知 識的興趣，增強青少年的探索和傳新能力，提高青少年科學(xué)文化素質(zhì)， 打造寧波科教

2、強市，從而推動創(chuàng)新型國家的建設(shè)。寧波市青少年科普網(wǎng)將建成一個集現(xiàn)實虛擬技術(shù)和虛擬現(xiàn)實技術(shù) 綜合運用的數(shù)字科技館。以三維建模技術(shù)引入數(shù)字科技館建設(shè)，實現(xiàn) 實體館際的宏觀導(dǎo)覽和信息的交互式體驗，并以富媒體技術(shù)（指運用 包括Flash、360全景、VR等多種技術(shù)將場景、視頻、音頻、圖片、文 獻(xiàn)資料等多種信息集成的合成技術(shù)）實現(xiàn)實體館際微觀導(dǎo)覽和科普知 識信息獲取?！皩幉ㄊ星嗌倌昕破站W(wǎng)”的建設(shè)將遵循SOA技術(shù)架構(gòu)的思 想和PORTAL技術(shù)表現(xiàn)方式，使用CA數(shù)字證書安全體系，完成數(shù)據(jù)資 源聚合，形成統(tǒng)一的科普資源知識庫，并且系統(tǒng)將具備高可擴展性和 信息獲取效率。為貫徹全民科學(xué)素質(zhì)行動計劃綱要，加強寧波科

3、普教育基礎(chǔ)設(shè) 施建設(shè)，搭建數(shù)字科普教育活動基地，進(jìn)一步創(chuàng)新科普手段增加青少 年熱愛科學(xué)，學(xué)科學(xué)的興趣，增強青少年動手能力和創(chuàng)新能力，并青 少年發(fā)明創(chuàng)新、申請專利提供扶持，培養(yǎng)新一代小院士，提升科普工 作水平，樹立文明城市、文化大市形象。我們計劃建設(shè)寧波市青少年 科普網(wǎng)。建設(shè)科普網(wǎng)的重要意義和必要性寧波市青少年科普網(wǎng)是一項長期的公益性事業(yè)，他是實施將探索出一條 科普新路，并使有限的資金發(fā)揮更大的作用，從而對青少年和社會產(chǎn)生幾級 而深遠(yuǎn)的影響，具有重要的社會意義。其建設(shè)的意義和必要性：（1）是貫徹落實全民科學(xué)素質(zhì)行動計劃綱要的重要舉措，有利于 科普教育的開展，有力地促進(jìn)文明城市和文化大市的建設(shè)。（

4、2）是整合社會和科研院校、各界科研人員、教師、專家學(xué)者的一個 互動網(wǎng)絡(luò)資源服務(wù)平臺，真正做到人人為我，我為人人。（3）是網(wǎng)絡(luò)普及的必然產(chǎn)物，也是倡導(dǎo)綠色上網(wǎng)和網(wǎng)絡(luò)文明的有力手 段。由于網(wǎng)絡(luò)的普及，互聯(lián)網(wǎng)已成為人們學(xué)習(xí)和娛樂的不可或缺的方式。但 當(dāng)前的互聯(lián)網(wǎng)信息良莠不齊。而針對青少年的科普教育、娛樂網(wǎng)站較為匱乏。 數(shù)字科技館通過豐富、生動、直觀、互動、便捷的只是傳播，彌補書本教育 的不足，提高人們的興趣，引導(dǎo)青少年學(xué)習(xí)科普知識的熱情，減少青少年受 互聯(lián)網(wǎng)不良內(nèi)容的影響。努力成為新一代青少年上網(wǎng)的綠色通道?。?）突破了實體科技館在時間和空間上的限制，可隨時隨地訪問參觀， 是實體科技館生動的補充和延

5、續(xù)，是科普工作的新手段。（5）可有效結(jié)合實體科技館的資源，相互依存，互為補充。數(shù)字科技 館可介紹、演示實體科技館的各類展品，成為實體科技館宣傳和服務(wù)的有效 工具。同時，也可借助虛擬現(xiàn)實設(shè)備，進(jìn)行實體科技館漫游、展品虛擬操作 和控制等，使偏遠(yuǎn)地區(qū)的青少年也能享受實體科技館的資源。（6）使科技館進(jìn)校園、科技館進(jìn)社區(qū)、科技館進(jìn)農(nóng)村、科技館進(jìn)家庭 成為現(xiàn)實。（7）以參與者的沉浸式體驗、利用最新的Flash技術(shù)三維立體交互的 變現(xiàn)方式等，讓抽象的科學(xué)原理變得形象直觀、生動有趣，更容易被青少年 理解與接收，使用戶可以打破常規(guī)的思維模式，以最真實、最細(xì)致的感覺體 驗抽象的科學(xué)。（8）搭建了網(wǎng)絡(luò)科普教育活動的

6、基礎(chǔ)。數(shù)字科技館可通過網(wǎng)上社區(qū)的 方式，建立網(wǎng)上科普活動基地，也可進(jìn)行“網(wǎng)上競賽”等不受場地、人員、 時間等現(xiàn)實的新的教育活動，為青少年提供與專家交流的機會。（9）與寧波市的電子科普畫廊等現(xiàn)有的科普資源形成相互促進(jìn)、資源 共享、共同發(fā)展的局面，合理推進(jìn)寧波市的科普工作。（10）通過網(wǎng)上提供青少年專利申請服務(wù)支持，為青少年申請專利提 供方便，更為青少年專利的市場化、商業(yè)化提供牽線搭橋的作用。（11）通過虛擬3D技術(shù)充份提高青少年的想象力創(chuàng)造力以及動手能 力，開展線上線下發(fā)明創(chuàng)新大賽，為寧波培養(yǎng)小院士打下基礎(chǔ)。（12）協(xié)助熱愛科技的青年少申報專利，并通過網(wǎng)絡(luò)平臺促使發(fā)明專利進(jìn)行市場化轉(zhuǎn)化。青少年科

7、普網(wǎng)整體定位充分展示科學(xué)技術(shù)的美妙、神奇與趣味，以激發(fā)公眾 對科技的興趣；特別是利用生動、趣味的互動式游戲方式吸 引少年兒童對網(wǎng)上科技館的興趣，能過成績排名、名人樘、 等欄目提升青少年玩科教游戲的成就感！通過相關(guān)領(lǐng)域的科學(xué)發(fā)現(xiàn)、技術(shù)發(fā)明歷程和科技人 物，展示大自然的進(jìn)化過程和人類探索認(rèn)識自然、利用改造 自然的過程，揭示科技改變生活、科技推動社會進(jìn)步、科技 創(chuàng)造未來的巨大作用；不僅要傳播科技知識，還要展示科學(xué)家們在科學(xué)探索 和技術(shù)發(fā)明過程中體現(xiàn)的科學(xué)精神、科學(xué)思想和科學(xué)方法， 明確科學(xué)與偽科學(xué)的界限；展示人類在探索自然規(guī)律過程中的認(rèn)識局限性和不 合理運用技術(shù)所產(chǎn)生的負(fù)面效應(yīng)，展示各個領(lǐng)域里未解的

8、重 大科學(xué)之謎和技術(shù)難題；5 .貼近百姓生活，跟蹤重大科技事件和社會關(guān)注熱點， 關(guān)注科學(xué)技術(shù)的新突破、新進(jìn)展和知識的更新。網(wǎng)站主要面向青少年、以及相關(guān)學(xué)校的教育工作者為 主，為他們提供一個健康的、陽光的、有趣的、科學(xué)的數(shù)字 網(wǎng)絡(luò)平臺（綠色上網(wǎng)通道）。通過這個平臺，可以增加青少 年對科學(xué)的興趣、提高科學(xué)知識，并以互動游戲的方式讓青 少年以最喜愛的方式學(xué)會很多日?？茖W(xué)技能，增進(jìn)知識，普 及科學(xué)知識。為青少年提供科技創(chuàng)新的商化技術(shù)轉(zhuǎn)化平臺， 使青少年的科技支持創(chuàng)新能盡快的轉(zhuǎn)化為生產(chǎn)力，以最新的 互聯(lián)網(wǎng)技術(shù)進(jìn)行互動式教育；同時開放相關(guān)科學(xué)的教育課 件，為廣大教育工作者提供最快捷方便的科學(xué)教育手段。平臺

9、受眾分析廣大青少年兒童熱愛科學(xué)的愛好者青少年的教育工作者青少年家長、專家、學(xué)者如何吸引青少年通過最新的展示方式，如3D、Flash、互動等生動趣味的展示方 式最大限度的吸引青少年的好奇心、理。通過接近于游戲的型式讓青少年更容易喜歡和接受。通過多人團(tuán)隊參與方式加強參與性。通過各類游戲的排行榜、名人橙等方式吸引青少年不斷學(xué)習(xí)不斷 提升。通過積分、級別方式提升成長性空間。通過線上和線下活動宣傳讓青少年更加認(rèn)知網(wǎng)站。通過對家長的宣傳引導(dǎo)使家長更容易接受孩子上這個網(wǎng)站。通過與各大學(xué)校合作，共同引導(dǎo)孩子熱愛上科技網(wǎng)。通過在網(wǎng)站上經(jīng)常舉辦各種活動、大賽使青少年更喜歡、更關(guān)注 科技網(wǎng)。通過在線學(xué)習(xí)平臺，使青少

10、年學(xué)習(xí)科技知識更方便、更快捷， 滿足了青少年求知欲望。通過科技網(wǎng)公平、開放的展示平臺，可以讓更多優(yōu)秀的青少年 獲得更多的關(guān)注、展示機會！平臺結(jié)構(gòu)與欄目設(shè)計會員系統(tǒng)一站通會員系統(tǒng)：只要在網(wǎng)站任何地方注冊的會員，即可享受寧波市青少年科普網(wǎng)整站服務(wù)！會員屬性：會員姓名、性別、生日、電話、地址、Email、單位（學(xué)校）、QQ/msn會員類別：學(xué)生、家長、教師、專家、學(xué)者、嘉賓會員級別：1-20級會員積分：會員幣：用來在網(wǎng)上消費，可以在線充值；在線充值消費系統(tǒng)提供CA數(shù)字證書以及個人認(rèn)證系統(tǒng)確認(rèn)系統(tǒng)的安全可靠?？商峁┦謾C充值、充值卡充值、網(wǎng)銀充值、支付寶充值、財富通充值、服務(wù)點充值、郵政匯款等多種手段。

11、真正做到安全方便快捷！線在投稿作品上傳（二期工程主要是視頻發(fā)布，定價。）手機訂閱（二期工程）RSS輸出訂閱（二期工程）會員功能資料修改密碼修改頭像上傳安全問題/答案手機/郵箱綁定密碼找回積分/級別/虛擬幣查看在線投搞：可針對多個欄目作品上傳：專利/課件/動畫等二期在線充值手機充值、充值卡充值、網(wǎng)銀充值、支付寶充值、財富通充值、服務(wù)點充值、郵政匯款等多種手段。消費記錄查看二期（保留6個月記錄）網(wǎng)絡(luò)硬盤空間管理可升級購買空間我的博客一站通行集成博客所有管理功能我的論壇一站通行集成論壇所有管理功能在線消費（集成于具體應(yīng)用之中）電子錢包管理我的收藏站內(nèi)短信管理在線教學(xué)二期（集成于具體應(yīng)用之中）在線作業(yè)

12、二期（集成于具體應(yīng)用之中）五大館：宇宙館天文知識：望遠(yuǎn)鏡、天文器具、各類天文現(xiàn)象、專用術(shù)語解釋等航天知識：飛行器各種知識、火箭知識、中國發(fā)射的各種火刖星球知識：太陽系九大行星、衛(wèi)星、星座、銀河系、太空旅行地球館地理知識：氣象知識：災(zāi)害知識：環(huán)境保護(hù)：生物館人體知識：動物知識：植物知識：微生物世界:急救常識：歷史館歷史人物：歷史事件：歷史文物：科學(xué)館物理：身邊的物理現(xiàn)象化學(xué)：身邊的化學(xué)現(xiàn)象電子：電腦知識:信息技術(shù):網(wǎng)上科技館選擇一些具有代表性的科技館，利用三維技術(shù)讓廣大青少年瀏覽參 觀。網(wǎng)上博物館動物館、海洋館、生態(tài)農(nóng)莊、植物園等介紹。科學(xué)資源庫科技圖片專題展覽動漫作品（可選有償下載）音像作品（

13、可選有償下載）科普報告（可選有償下載）研究報告（可選有償下載）科普基地科技館展品博物館展品科普活動教學(xué)課件（可選有償下載）其它資源（可選有償下載）專利技術(shù)（可選有償購買）趣味學(xué)苑趣味學(xué)苑主要以動畫型式、或是互交式教育、乃至于以游戲的方式提 供青少年學(xué)習(xí)科學(xué)知識的一種方式，全面應(yīng)用3D技術(shù)、Flash動畫、 互動游戲等方式來實現(xiàn)教育的目的，讓青少年在玩的同時學(xué)習(xí)撐握知 識點。此欄目將不少于200件教程課件、500個動畫、1000張圖片在線教育系統(tǒng)/視頻教育（二期工程）在線考試系統(tǒng)（二期工程）在線作業(yè)系統(tǒng)（二期工程）學(xué)前智力發(fā)開專欄（二期有償服務(wù)項目）科技信息科技動態(tài)、科技政策、科技知識、科技創(chuàng)新

14、、高新產(chǎn)品、高新技術(shù)、本站動態(tài)校園科技博客與寧波各大學(xué)校共建頻道。主要面向師生，讓各大學(xué)校、師生在這里 分享，交流學(xué)科學(xué)、用科學(xué)的心得、體會！有專家博客、教師博客、 家長博客、學(xué)生博客、愛好者博客等等。博客功能像冊功能（50M免費存儲空間，可有償擴容）評論功能模塊功能（可選有償模板）網(wǎng)絡(luò)硬盤（二期，有償購買）科技論壇（可選）略科技B2C商城（二期工程）科技圖書、音像制品、科技模型科技玩具、教育用品等功能列表產(chǎn)品分類、產(chǎn)品例表、產(chǎn)品瀏覽、產(chǎn)品搜索、多條件排序產(chǎn)品收藏、產(chǎn)品購買、產(chǎn)品評價、用戶登錄、用戶支付、購 買記錄、購買評價后臺功能：產(chǎn)品分類管理 產(chǎn)品管理支付管理 交易管理評價管理搜索分析銷售

15、分析報表手機版（二期工程）主要是非視頻信息平臺的運營模式1、通過與各大小學(xué)、初中、高中、大學(xué)學(xué)校進(jìn)行合作運營模式， 要求每位學(xué)生教師都去注冊帳號。將來有可能實在網(wǎng)上科學(xué)教育、 遠(yuǎn)程科學(xué)教育，提升現(xiàn)在的教育手段和效果。并為廣大青少年提 供一站是健康向上休閑娛樂網(wǎng)站。2、發(fā)行實體充值卡，與各書報廳、學(xué)校合作代銷。同時可以要求 學(xué)校為學(xué)生集體代購一定額度的充值卡，充值卡一律在網(wǎng)上數(shù)字 館消費。3、網(wǎng)站將不定期在平臺上與各學(xué)校共同舉辦各種青少年科技活 動、比賽，例如倡導(dǎo)低碳的“節(jié)能在我身邊”中小學(xué)生創(chuàng)意設(shè)計 大賽、航模競賽、夏冬令營科普活動。4、與寧波科普電子畫廊、電視、報紙等其它媒體形成湖動，共同

16、開展各類市民感興趣并且積極參與的科普活動，如定期的科普打 擂臺等。5、結(jié)合科普日、科技活動周等科技活動，追蹤社會科技熱點，組 織大型的科普知識競賽等。在天文奇觀日（例如月全食）日，對 天文奇觀進(jìn)行全程專題跟蹤報道，做到最全面、專業(yè)。6、與本地各大門戶網(wǎng)站進(jìn)行合作，資源交換，頻道共建等方式加 大宣傳量。并與各大學(xué)校、機構(gòu)、科研組織、專業(yè)論壇進(jìn)行友情 鏈接，有效提升網(wǎng)站的權(quán)重PR值。7、通過SEO （搜索引擎優(yōu)化）技術(shù)優(yōu)化科技類關(guān)鍵詞的各大搜索 引擎上的排名，提升網(wǎng)站訪問量和知名度。8、網(wǎng)站適當(dāng)在各生活小區(qū)進(jìn)行廣告投放，同時也在本地一些科教 類報刊雜志上進(jìn)行一些廣告投放。9、印制各種宣傳單給學(xué)校，

17、向?qū)W生、家長宣傳。10、發(fā)行線下期刊或報刊，向?qū)W生、家長、教師收費訂閱服務(wù)。11、為專家、教師、科學(xué)愛好者提供科技作品上傳發(fā)布權(quán)限，可由 網(wǎng)站進(jìn)行有償下載，利益共享方針。12、通過網(wǎng)上商務(wù)對科技類產(chǎn)品進(jìn)行B2C網(wǎng)上銷購，贈加網(wǎng)站收 入。13、通過規(guī)劃出適量的廣告位進(jìn)行招商來增加網(wǎng)站收入。14、通過多渠道會員在線充值，并在線消費來增加網(wǎng)站收入。運營階段規(guī)劃為：第一年平臺開發(fā)建設(shè) 第二年宣傳推廣、提升網(wǎng)站知名度和訪問量（所有服務(wù)免費 開放）。第三年全面營收（來自于會員充值、廣告、期刊定閱、商城） 市場營收計劃 自網(wǎng)站正式運營開始，按保守算寧波總計30萬學(xué)生量，與 學(xué)校深度合作后30%（10萬）消費

18、人群。項目人均/年營收額會員點卡充值50元500萬元訂閱期刊、手機報30元300萬元廣告/贊助-50萬元課件收入（二期）10元100萬網(wǎng)上購物（二期）20200萬在線學(xué)習(xí)教育（二期）20200萬廣告/贊助（二期類）-80萬在上線后第二年將達(dá)到800多萬營業(yè)額，第三年（二期完工） 后將達(dá)到1400多萬元收入，具體良好的社會效益和經(jīng)濟效 益。平臺的架構(gòu)用戶界面層UI應(yīng)用羅輯/業(yè)務(wù)羅輯Web Server底層數(shù)據(jù)訪問數(shù)據(jù)庫User DataAPP Data網(wǎng)絡(luò)拓?fù)浼軜?gòu)網(wǎng)絡(luò)應(yīng)用圖例平臺的建設(shè)成本第一期系統(tǒng)建設(shè)成本590萬2010-6到2011-9平臺負(fù)載：支持200-500人同時在線視頻或是互動，30

19、00人同時在線，每月支持150萬人次訪問量。分項目名稱預(yù)算（萬元人民幣）備注總體方案策劃、設(shè)計完善5系統(tǒng)標(biāo)準(zhǔn)化10平臺軟件成本10Windows Server 操作系統(tǒng)MSSQL數(shù)據(jù)庫平臺硬件成本30包括四臺IBM網(wǎng)絡(luò)服務(wù)器、HP存儲系統(tǒng)、思可網(wǎng)絡(luò)路由器、網(wǎng)絡(luò)安全系統(tǒng)、機房以及 系統(tǒng)軟件等用戶安全認(rèn)證系統(tǒng)15/三年用戶CA數(shù)字認(rèn)證系統(tǒng)， 安全系統(tǒng)。平臺系統(tǒng)（SCMS）開發(fā)成本120會員系統(tǒng)、積份系統(tǒng)、實體卡 充值系統(tǒng)、在線支付充值系 統(tǒng)、信息發(fā)布平臺、視頻發(fā)布 系統(tǒng)、博客像冊系統(tǒng)、論壇系 統(tǒng)、視頻點播系統(tǒng)、有償下載 系統(tǒng)內(nèi)容制作成本2105大館不少于300件互動式 Flash作品，不少于100

20、0個知 識點制作?？茖W(xué)資源庫不小于500件作 品趣味學(xué)苑不少于200件互動 課件及科教游，500個動畫及 視頻，1000張圖片。網(wǎng)絡(luò)接入成本20-50/年100M光纜（雙線路可選）活動推廣宣傳成本60小區(qū)、報刊亭、以及戶外廣告 35萬、宣專單、宣傳冊、報 刊雜志15萬、網(wǎng)絡(luò)廣告、其 它等10萬。平臺系統(tǒng)維護(hù)成本80/年系統(tǒng)完善、內(nèi)容更新、硬件維 護(hù)合計590項目實施計劃第一期：2010-6至2011-9 （15個月）后面是運營至2012-9時間項目2010-3 至 2010-5項目策化/需求分析2010-5 至 2010-8資料收集/匯總2010-6 至 2010-7系統(tǒng)標(biāo)準(zhǔn)化數(shù)據(jù)庫架構(gòu)設(shè)計2

21、010-7 至 2010-9系統(tǒng)分析架構(gòu)設(shè)計2010-9 至 2011-85大館、1學(xué)苑、1資料庫3D建模、VR、Flash交互設(shè)計、內(nèi)容制作2010-9 至 2011-7系統(tǒng)平臺開發(fā)2011-5 至 2011-8系統(tǒng)測試、負(fù)載測試、羅輯測試2011-8 至 2011-9系統(tǒng)集成、上線發(fā)布2011-9 至 2011-10信息的發(fā)布、內(nèi)容補充、完善2011-10 至 2011-11組辦新聞發(fā)布會以及相豺艮道2011-11至 2012-2戶外廣告投放、相關(guān)媒體廣告投放、學(xué)校合作洽談、相關(guān)宣傳資料的印制等2012-2 至 2012-5聯(lián)合學(xué)校開通學(xué)生帳號，并舉辦第一次線上線下科教法動。2011-10

22、 至 2012-9執(zhí)行所有的線上宣傳，主要有SEO優(yōu)化、網(wǎng)站合 作、EDM宣傳、線上廣告投放、建設(shè)QQ群、各 大網(wǎng)站軟文宣傳、活動的線上推廣等。2012-2 至 2012-5實體充值卡設(shè)計、制作、和發(fā)行2012-5 至 2012-9與各報刊亭合作、發(fā)展各類代理匯道2011-9 至 2012-9各類功能的完善、并按運營需求開放各類線上活 動配套程序、以及代理匯道管理平臺的開發(fā)建設(shè)2012-5 至 2012-9網(wǎng)站相關(guān)的活動、競賽的舉辦。第二期系統(tǒng)建設(shè)成本640萬+? 2012-6到6-2013-6目標(biāo)達(dá)到支持1000-2000人在線視頻或是互動，1萬人同時在線，每月支持1500萬人次訪問量?？傮w

23、方案策劃、設(shè)計完善 5萬元軟件版本升級 系統(tǒng)硬件升級擴容 平系統(tǒng)優(yōu)化升級 功能開發(fā)系統(tǒng)標(biāo)準(zhǔn)化數(shù)據(jù)架構(gòu)升級5萬元10萬80萬（12-20臺服務(wù)器以及配套硬件）50萬200萬（支持在線教育/遠(yuǎn)程教育/線上作業(yè)/視頻上傳發(fā)布/手機訂閱/數(shù)字寧波館手機版/在線商城）內(nèi)容擴充200萬（140萬互動內(nèi)容制作+60萬在線教育視頻版權(quán)）平臺接入帶寬升級至1000Mb （或是租用電信VIP機房）價格未知 系統(tǒng)升級后維護(hù)成本升為100萬/年組織架構(gòu)需要的運營證有：營業(yè)執(zhí)照ICP備案ICP經(jīng)營許可性（電信增值服務(wù)經(jīng)營許可）網(wǎng)絡(luò)視聽節(jié)目許可證互聯(lián)網(wǎng)出版許可證網(wǎng)絡(luò)文化經(jīng)營許可證附錄名詞解釋：SOA:企業(yè)服務(wù)架構(gòu)（Ser

24、vice Oriented Architecture,簡稱 SOA）SOA是一種軟件系統(tǒng)架構(gòu)。SOA不是一種語言，也不是一種具體的技術(shù)，更不是一種 產(chǎn)品，它給出在特定環(huán)境下推薦采用的一種架構(gòu)，是一種理念架構(gòu)，是人們面向應(yīng)用服務(wù)的 解決方案框架。服務(wù)（service）是整個SOA實現(xiàn)的核心。SOA架構(gòu)的基本元素是服務(wù)，SOA指定 一組實體（服務(wù)提供者、服務(wù)消費者、服務(wù)注冊表、服務(wù)條款、服務(wù)代理和服務(wù)契約），這 些實體詳細(xì)說明了如何提供和消費服務(wù)。遵循SOA觀點的系統(tǒng)必須要有服務(wù)，這些服務(wù)是 可互操作的、獨立的、模塊化的、位置明確的、松耦合的并且可以通過網(wǎng)絡(luò)（UDDI）查找 其地址。SOA的靈活性

25、將給企業(yè)帶來巨大的好處。如果把企業(yè)的IT架構(gòu)抽象出來，將其功能 以粗粒度的服務(wù)形式表示出來，每種服務(wù)都清晰地表示其業(yè)務(wù)價值，那么這些服務(wù)的顧客（可 能在公司內(nèi)部，也可能是公司的某個業(yè)務(wù)伙伴）就可以選用這些服務(wù)，而不必考慮其后臺實 現(xiàn)的具體技術(shù)。IDC在2005年進(jìn)一步明確了 SOA的參考模型，提出了實現(xiàn)SOA所需要的 基本元素以及它們之間應(yīng)該具備的邏輯關(guān)系，指引著SOA的良性發(fā)展。Portal 技術(shù)：Portal在英語中是入口的意思。Portal認(rèn)證通常也稱為Web認(rèn)證，一般將Portal認(rèn)證網(wǎng)站稱 為門戶網(wǎng)站。未認(rèn)證用戶上網(wǎng)時，設(shè)備強制用戶登錄到特定站點，用戶可以免費訪問其中的服務(wù)。當(dāng)用戶

26、需要使用互聯(lián)網(wǎng)中的其它信息時，必須在門戶網(wǎng)站進(jìn)行認(rèn)證，只有認(rèn)證通過后才可以使用互 聯(lián)網(wǎng)資源。用戶可以主動訪問已知的Portal認(rèn)證網(wǎng)站，輸入用戶名和密碼進(jìn)行認(rèn)證，這種開始Portal認(rèn) 證的方式稱作主動認(rèn)證。反之，如果用戶試圖通過HTTP訪問其他外網(wǎng)，將被強制訪問Portal 認(rèn)證網(wǎng)站，從而開始Portal認(rèn)證過程，這種方式稱作強制認(rèn)證。Portal業(yè)務(wù)可以為運營商提供方便的管理功能，門戶網(wǎng)站可以開展廣告、社區(qū)服務(wù)、個性化 的業(yè)務(wù)等，使寬帶運營商、設(shè)備提供商和內(nèi)容服務(wù)提供商形成一個產(chǎn)業(yè)生態(tài)系統(tǒng)。Portal擴展功能Portal的擴展功能主要是指通過強制接入終端實施補丁和防病毒策略，加強網(wǎng)絡(luò)終端

27、對病毒 攻擊的主動防御能力。具體擴展功能如下：在Portal身份認(rèn)證的基礎(chǔ)上增加了安全認(rèn)證機制，可以檢測接入終端上是 否安裝了防病毒軟件、是否更新了病毒庫、是否安裝了非法軟件、是否更新了操 作系統(tǒng)補丁等；用戶通過身份認(rèn)證后僅僅獲得訪問部分互聯(lián)網(wǎng)資源（受限資源）的權(quán)限， 如病毒服務(wù)器、操作系統(tǒng)補丁更新服務(wù)器等；當(dāng)用戶通過安全認(rèn)證后便可以訪問 更多的互聯(lián)網(wǎng)資源（非受限資源）。Portal的系統(tǒng)組成Portal的典型組網(wǎng)方式如圖1所示，它由五個基本要素組成：認(rèn)證客戶端、接入設(shè)備、Portal 服務(wù)器、認(rèn)證/計費服務(wù)器和安全策略服務(wù)器。由于Portal服務(wù)器可以是接入設(shè)備之外的獨立實體，也可以是存在于

28、接入設(shè)備 之內(nèi)的內(nèi)嵌實體，本文稱之為“本地Portal服務(wù)器”，因此下文中除對本地支 持的Portal服務(wù)器做特殊說明之外，其它所有Portal服務(wù)器均指獨立的Portal 服務(wù)器，請勿混淆。圖 1 Portal 系統(tǒng)組成示意圖認(rèn)證客戶端安裝于用戶終端的客戶端系統(tǒng)，為運行HTTP/HTTPS協(xié)議的瀏覽器或運行Portal客戶端軟 件的主機。對接入終端的安全性檢測是通過Portal客戶端和安全策略服務(wù)器之間的信息交流 完成的。接入設(shè)備交換機、路由器等寬帶接入設(shè)備的統(tǒng)稱，主要有三方面的作用：在認(rèn)證之前，將認(rèn)證網(wǎng)段內(nèi)用戶的所有HTTP請求都重定向到Portal服務(wù) 器。在認(rèn)證過程中，與Portal服

29、務(wù)器、安全策略服務(wù)器、認(rèn)證/計費服務(wù)器交 互，完成身份認(rèn)證/安全認(rèn)證/計費的功能。在認(rèn)證通過后，允許用戶訪問被管理員授權(quán)的互聯(lián)網(wǎng)資源。Portal服務(wù)器接收Portal客戶端認(rèn)證請求的服務(wù)器端系統(tǒng)，提供免費門戶服務(wù)和基于Web認(rèn)證的界面，與接入設(shè)備交互認(rèn)證客戶端的認(rèn)證信息。認(rèn)證/計費服務(wù)器與接入設(shè)備進(jìn)行交互，完成對用戶的認(rèn)證和計費。安全策略服務(wù)器與Portal客戶端、接入設(shè)備進(jìn)行交互，完成對用戶的安全認(rèn)證，并對用戶進(jìn)行授權(quán)操作。以上五個基本要素的交互過程為：未認(rèn)證用戶訪問網(wǎng)絡(luò)時，在IE地址欄中輸入一個互聯(lián)網(wǎng)的地址，那么此 HTTP請求在經(jīng)過接入設(shè)備時會被重定向到Portal服務(wù)器的Web認(rèn)證主

30、頁上；若 需要使用Portal的擴展認(rèn)證功能，則用戶必須使用Portal客戶端。用戶在認(rèn)證主頁/認(rèn)證對話框中輸入認(rèn)證信息后提交，Portal服務(wù)器會將 用戶的認(rèn)證信息傳遞給接入設(shè)備；然后接入設(shè)備再與認(rèn)證/計費服務(wù)器通信進(jìn)行認(rèn)證和計費；認(rèn)證通過后，如果未對用戶采用安全策略，則接入設(shè)備會打開用戶與互聯(lián) 網(wǎng)的通路，允許用戶訪問互聯(lián)網(wǎng)；如果對用戶采用了安全策略，則客戶端、接入 設(shè)備與安全策略服務(wù)器交互，對用戶的安全檢測通過之后，安全策略服務(wù)器根據(jù) 用戶的安全性授權(quán)用戶訪問非受限資源。使用本地Portal服務(wù)器的Portal認(rèn)證系統(tǒng)系統(tǒng)組成本地Portal服務(wù)器功能是指，Portal認(rèn)證系統(tǒng)中不采用外部

31、獨立的Portal服務(wù)器，而由接入 設(shè)備實現(xiàn)Portal服務(wù)器功能。這種情況下，Portal認(rèn)證系統(tǒng)僅包括三個基本要素：認(rèn)證客戶 端、接入設(shè)備和認(rèn)證/計費服務(wù)器，如圖2所示。由于設(shè)備支持Web用戶直接認(rèn)證，因此就 不需要部署額外的Portal服務(wù)器，增強了 Portal認(rèn)證的通用性。圖2使用本地 Portal 服務(wù)器的 Portal 系統(tǒng)組成示意圖認(rèn)證害F卻荷嵌FortdlflH莎器常接A役普伊說明.使用本地Portal服務(wù)器的Portal認(rèn)證系統(tǒng)不支持Portal擴展功能，因此 不需要部署安全策略服務(wù)器。.內(nèi)嵌本地Portal服務(wù)器的接入設(shè)備實現(xiàn)了簡單的Portal服務(wù)器功能，僅能 給用戶提

32、供通過Web方式登錄、下線的基本功能，并不能完全替代獨立的Portal服務(wù)器。認(rèn)證客戶端和本地Portal服務(wù)器之間的交互協(xié)議認(rèn)證客戶端和內(nèi)嵌本地Portal服務(wù)器的接入設(shè)備之間可以采用HTTP和HTTPS協(xié)議通信。 若客戶端和接入設(shè)備之間交互HTTP協(xié)議，則報文以明文形式傳輸，安全性無法保證；若客 戶端和接入設(shè)備之間交互HTTPS協(xié)議，則報文基于SSL提供的安全機制以密文的形式傳輸， 數(shù)據(jù)的安全性有保障。本地Portal服務(wù)器支持用戶自定義認(rèn)證頁面本地Portal服務(wù)器支持由用戶自定義認(rèn)證頁面的內(nèi)容，即允許用戶編輯一套認(rèn)證頁面的 HTML文件，并在壓縮之后保存至設(shè)備的存儲設(shè)備中。該套自定義頁

33、面中包括六個認(rèn)證頁 面：登錄頁面、登錄成功頁面、在線頁面、下線成功頁面、登錄失敗頁面和系統(tǒng)忙頁面。本 地Portal服務(wù)器根據(jù)不同的認(rèn)證階段向客戶端推出對應(yīng)的認(rèn)證頁面，若不自定義，則分別推 出系統(tǒng)提供的缺省認(rèn)證頁面。Portal的認(rèn)證方式不同的組網(wǎng)方式下，可采用的Portal認(rèn)證方式不同。按照網(wǎng)絡(luò)中實施Portal認(rèn)證的網(wǎng)絡(luò)層次 來分，Portal的認(rèn)證方式分為兩種：二層認(rèn)證方式和三層認(rèn)證方式。哲說明二層認(rèn)證方式的支持情況與設(shè)備的型號有關(guān)，請以設(shè)備的實際情況為準(zhǔn)。二層認(rèn)證方式這種方式支持在接入設(shè)備連接用戶的二層端口上開啟Portal認(rèn)證功能，只允許源MAC地址 通過認(rèn)證的用戶才能訪問外部網(wǎng)絡(luò)資

34、源。目前，該認(rèn)證方式僅支持本地Portal認(rèn)證，即接入 設(shè)備作為本地Portal服務(wù)器向用戶提供Web認(rèn)證服務(wù)。另外，該方式還支持服務(wù)器下發(fā)授權(quán)VLAN和將認(rèn)證失敗用戶加入認(rèn)證失敗VLAN功能(三 層認(rèn)證方式不支持)。三層認(rèn)證方式這種方式支持在接入設(shè)備連接用戶的三層接口上開啟Portal認(rèn)證功能。三層接口 Portal認(rèn)證 又可分為三種不同的認(rèn)證方式：直接認(rèn)證方式、二次地址分配認(rèn)證方式和三層認(rèn)證方式。直 接認(rèn)證方式和二次地址分配認(rèn)證方式下，認(rèn)證客戶端和接入設(shè)備之間沒有三層轉(zhuǎn)發(fā)；三層認(rèn) 證方式下，認(rèn)證客戶端和接入設(shè)備之間可以跨接三層轉(zhuǎn)發(fā)設(shè)備。直接認(rèn)證方式用戶在認(rèn)證前通過手工配置或DHCP直接獲取

35、一個IP地址，只能訪問Portal服務(wù)器，以及 設(shè)定的免費訪問地址；認(rèn)證通過后即可訪問網(wǎng)絡(luò)資源。認(rèn)證流程相對二次地址較為簡單。二次地址分配認(rèn)證方式用戶在認(rèn)證前通過DHCP獲取一個私網(wǎng)IP地址，只能訪問Portal服務(wù)器，以及設(shè)定的免費 訪問地址；認(rèn)證通過后，用戶會申請到一個公網(wǎng)IP地址，即可訪問網(wǎng)絡(luò)資源。該認(rèn)證方式 解決了 IP地址規(guī)劃和分配問題，對未認(rèn)證通過的用戶不分配公網(wǎng)IP地址。例如運營商對于 小區(qū)寬帶用戶只在訪問小區(qū)外部資源時才分配公網(wǎng)IP。哲說明使用本地Portal服務(wù)器的Portal認(rèn)證不支持二次地址分配認(rèn)證方式。可跨三層認(rèn)證方式和直接認(rèn)證方式基本相同，但是這種認(rèn)證方式允許認(rèn)證用戶

36、和接入設(shè)備之間跨越三層轉(zhuǎn)發(fā)設(shè) 備。對于以上三種認(rèn)證方式，IP地址都是用戶的唯一標(biāo)識。接入設(shè)備基于用戶的IP地址下發(fā)ACL 對接口上通過認(rèn)證的用戶報文轉(zhuǎn)發(fā)進(jìn)行控制。由于直接認(rèn)證和二次地址分配認(rèn)證下的接入設(shè) 備與用戶之間未跨越三層轉(zhuǎn)發(fā)設(shè)備，因此接口可以學(xué)習(xí)到用戶的MAC地址，接入設(shè)備可以 利用學(xué)習(xí)到MAC地址增強對用戶報文轉(zhuǎn)發(fā)的控制粒度。二層Portal認(rèn)證過程1.二層Portal認(rèn)證流程目前，二層Portal認(rèn)證只支持本地Portal認(rèn)證，因此由接入設(shè)備作為本地Portal服務(wù)器向用 戶提供Web認(rèn)證服務(wù)，具體認(rèn)證過程如下。圖3二層 Portal 認(rèn)證流程圖Portal用戶通過HTTP或HTTP

37、S協(xié)議發(fā)起認(rèn)證請求。HTTP報文經(jīng)過配置了 本地Portal服務(wù)器的接入設(shè)備的端口時會被重定向到本地Portal服務(wù)器，本地 Portal服務(wù)器提供Web頁面供用戶輸入用戶名和密碼來進(jìn)行認(rèn)證。該本地Portal 服務(wù)器的監(jiān)聽IP地址為接入設(shè)備上一個與用戶之間路由可達(dá)的三層接口 IP地址(通常為 Loopback 接口 IP)。接入設(shè)備與RADIUS服務(wù)器之間進(jìn)行RADIUS協(xié)議報文的交互。接入設(shè)備上的本地Portal服務(wù)器向客戶端發(fā)送登錄成功頁面，通知客戶 端認(rèn)證(上線)成功。支持下發(fā)授權(quán)VLAN二層Portal認(rèn)證支持服務(wù)器下發(fā)授權(quán)VLAN。當(dāng)用戶通過Portal認(rèn)證后，如果授權(quán)服務(wù)器上 配

38、置了下發(fā)VLAN功能，那么服務(wù)器會將授權(quán)VLAN信息下發(fā)給接入設(shè)備，由接入設(shè)備將 認(rèn)證成功的用戶加入對應(yīng)的授權(quán)VLAN中，若該VLAN不存在，則接入設(shè)備首先創(chuàng)建VLAN， 而后將用戶加入授權(quán)VLAN中。通過支持下發(fā)授權(quán)VLAN，可實現(xiàn)對已認(rèn)證用戶可訪問網(wǎng)絡(luò)資源的控制。支持 Auth-Fail VLANAuth-Fail功能允許用戶在認(rèn)證失敗的情況下，可以訪問某一特定VLAN中的資源，比如獲 取客戶端軟件，升級客戶端或執(zhí)行其他一些用戶升級程序。這個VLAN稱之為Auth-Fail VLANo二層Portal認(rèn)證支持基于MAC的Auth-Fail VLAN,如果接入用戶的端口上配置了 Auth-F

39、ail VLAN，則端口上會基于認(rèn)證失敗的MAC地址生成相應(yīng)的MAC VLAN表項，認(rèn)證失敗的 用戶將會被加入Auth-Fail VLAN中。加入Auth-Fail VLAN中的用戶可以訪問該VLAN中 的非HTTP資源，但用戶的所有HTTP訪問請求會被重定向到接入設(shè)備上進(jìn)行認(rèn)證，若用戶 仍然沒有通過認(rèn)證，則將繼續(xù)處于Auth-Fail VLAN內(nèi)；若認(rèn)證成功，則回到加入Auth-Fail VLAN之前端口所在的VLAN。處于Auth-Fail VLAN中的用戶，若長時間無流量通過接入 端口，則將離開該VLAN。哲說明用戶加入授權(quán)VLAN或Auth-Fail VLAN后，需要自動或者手動更新客

40、戶端IP地 址，以保證可以與授權(quán)VLAN或Auth-Fail VLAN中的資源互通。三層Portal認(rèn)證過程直接認(rèn)證和可跨三層Portal認(rèn)證流程相同。二次地址分配認(rèn)證流程因為有兩次地址分配過 程，所以其認(rèn)證流程和另外兩種認(rèn)證方式有所不同。1.直接認(rèn)證和可跨三層Portal認(rèn)證的流程圖4直接認(rèn)證/可跨三層 Portal 認(rèn)證流程圖2.直接認(rèn)證/可跨三層Portal認(rèn)證流程:Portal用戶通過HTTP協(xié)議發(fā)起認(rèn)證請求。HTTP報文經(jīng)過接入設(shè)備時，對 于訪問Portal服務(wù)器或設(shè)定的免費訪問地址的HTTP報文，接入設(shè)備允許其通過； 對于訪問其它地址的HTTP報文，接入設(shè)備將其重定向到Portal

41、服務(wù)器。Portal 服務(wù)器提供Web頁面供用戶輸入用戶名和密碼來進(jìn)行認(rèn)證。Portal服務(wù)器與接入設(shè)備之間進(jìn)行CHAP (Challenge HandshakeAuthentication Protocol，質(zhì)詢握手驗證協(xié)議)認(rèn)證交互。若采用PAP(Password Authentication Protocol，密碼驗證協(xié)議)認(rèn)證則直接進(jìn)入下一步驟。Portal服務(wù)器將用戶輸入的用戶名和密碼組裝成認(rèn)證請求報文發(fā)往接入 設(shè)備，同時開啟定時器等待認(rèn)證應(yīng)答報文。接入設(shè)備與RADIUS服務(wù)器之間進(jìn)行RADIUS協(xié)議報文的交互。接入設(shè)備向Portal服務(wù)器發(fā)送認(rèn)證應(yīng)答報文。Portal服務(wù)器向客戶端

42、發(fā)送認(rèn)證通過報文，通知客戶端認(rèn)證(上線)成功。Portal服務(wù)器向接入設(shè)備發(fā)送認(rèn)證應(yīng)答確認(rèn)。客戶端和安全策略服務(wù)器之間進(jìn)行安全信息交互。安全策略服務(wù)器檢測接 入終端的安全性是否合格，包括是否安裝防病毒軟件、是否更新病毒庫、是否安 裝了非法軟件、是否更新操作系統(tǒng)補丁等。安全策略服務(wù)器根據(jù)用戶的安全性授權(quán)用戶訪問非受限資源，授權(quán)信息保 存到接入設(shè)備中，接入設(shè)備將使用該信息控制用戶的訪問。步驟(8)、(9)為Portal認(rèn)證擴展功能的交互過程。二次地址分配認(rèn)證方式的流程圖5二次地址分配認(rèn)證方式流程圖:咱J認(rèn)頓以(7用戶己獲律新IPCHAPH證變H.iAiiH計盟服務(wù)器4) RADIUSN1 以的iX

43、iiJ交豆安-藁略限務(wù)器E 發(fā)現(xiàn)用IP變化(9)檢測到用IP變化(10)通佃l|： HI-壯成功 ：(13)授權(quán)二次地址分配認(rèn)證流程：(6)同直接/可跨三層Portal認(rèn)證中步驟(1)(6)?？蛻舳耸盏秸J(rèn)證通過報文后，通過DHCP請求獲得新的公網(wǎng)IP地址，并通 知Portal服務(wù)器用戶已獲得新IP地址。Portal服務(wù)器通知接入設(shè)備客戶端獲得新公網(wǎng)IP地址。接入設(shè)備通過檢測ARP協(xié)議報文發(fā)現(xiàn)了用戶IP變化，并通告Portal服務(wù) 器已檢測到用戶IP變化。Portal服務(wù)器通知客戶端上線成功。Portal服務(wù)器向接入設(shè)備發(fā)送IP變化確認(rèn)報文?？蛻舳撕桶踩呗苑?wù)器之間進(jìn)行安全信息交互。安全策略服

44、務(wù)器檢測接 入終端的安全性是否合格，包括是否安裝防病毒軟件、是否更新病毒庫、是否安 裝了非法軟件、是否更新操作系統(tǒng)補丁等。安全策略服務(wù)器根據(jù)用戶的安全性授權(quán)用戶訪問非受限資源，授權(quán)信息保 存到接入設(shè)備中，接入設(shè)備將使用該信息控制用戶的訪問。步驟(12)、(13)為Portal認(rèn)證擴展功能的交互過程。4.使用本地Portal服務(wù)器的認(rèn)證流程圖6使用本地 Portal 服務(wù)器的認(rèn)證流程圖直接/可跨三層本地Portal認(rèn)證流程：Portal用戶通過HTTP或HTTPS協(xié)議發(fā)起認(rèn)證請求。HTTP報文經(jīng)過配置了 本地Portal服務(wù)器的接入設(shè)備的接口時會被重定向到本地Portal服務(wù)器，本地 Porta

45、l服務(wù)器提供Web頁面供用戶輸入用戶名和密碼來進(jìn)行認(rèn)證。該本地Portal 服務(wù)器的監(jiān)聽IP地址為接入設(shè)備上一個與用戶之間路由可達(dá)的三層接口 IP地 址。接入設(shè)備與RADIUS服務(wù)器之間進(jìn)行RADIUS協(xié)議報文的交互。接入設(shè)備中的本地Portal服務(wù)器向客戶端發(fā)送登錄成功頁面，通知客戶 端認(rèn)證(上線)成功。Portal支持雙機熱備1.概述在當(dāng)前的組網(wǎng)應(yīng)用中，用戶對網(wǎng)絡(luò)可靠性的要求越來越高，特別是在一些重點的業(yè)務(wù)入口或 接入點上需要保證網(wǎng)絡(luò)業(yè)務(wù)的不間斷性。雙機熱備技術(shù)可以保證這些關(guān)鍵業(yè)務(wù)節(jié)點在單點故 障的情況下，信息流仍然不中斷。所謂雙機熱備，其實是雙機業(yè)務(wù)備份?？梢苑謩e指定兩臺設(shè)備上的任意一個

46、支持備份接口功 能的以太網(wǎng)接口為備份接口，兩個備份接口通過備份鏈路相連?；蛘咴趦膳_設(shè)備上分別指定 相同的備份VLAN，專用于傳輸雙機熱備相關(guān)的報文。在設(shè)備正常工作時，對業(yè)務(wù)信息進(jìn)行 主備同步；在設(shè)備故障后，利用VRRP或動態(tài)路由(例如OSPF)機制實現(xiàn)業(yè)務(wù)流量切換到 備份設(shè)備，由備份設(shè)備繼續(xù)處理業(yè)務(wù)，從而保證了當(dāng)前的業(yè)務(wù)不被中斷。關(guān)于雙機熱備的詳 細(xì)介紹請參見“系統(tǒng)分冊”中的“雙機熱備配置”。圖7雙機熱備組網(wǎng)圖Router A國白way ASwitcii ARouter BG凱白way BSwitcii BHost AHast B如圖7所示，在一個典型的雙機熱備組網(wǎng)環(huán)境中，用戶通過Portal

47、認(rèn)證接入網(wǎng)絡(luò)，為避免 接入設(shè)備單機故障的情況下造成的Portal業(yè)務(wù)中斷，接入設(shè)備提供了 Portal支持雙機熱備功 能。該功能是指，接入設(shè)備Gateway A和Gateway B通過備份鏈路互相備份兩臺設(shè)備上的 Portal在線用戶信息，實現(xiàn)當(dāng)其中一臺設(shè)備發(fā)生故障時，另外一臺設(shè)備可以對新的Portal用 戶進(jìn)行接入認(rèn)證，并能夠保證所有已上線Portal用戶的正常數(shù)據(jù)通信。2.基本概念設(shè)備的工作狀態(tài).獨立運行狀態(tài)：設(shè)備未與其它設(shè)備建立備份連接時所處的一種穩(wěn)定狀態(tài)。.同步運行狀態(tài)：設(shè)備與對端設(shè)備之間成功建立備份連接，可以進(jìn)行數(shù)據(jù)備份時所處的一種穩(wěn)定狀態(tài)。用戶的工作模式.Stand-alone：表

48、示用戶數(shù)據(jù)只在一臺設(shè)備上存在。當(dāng)前設(shè)備處于獨立運行狀態(tài)，或者當(dāng)前設(shè)備處于同步運行狀態(tài)但用戶數(shù)據(jù)還未同步。. Primary：表明用戶是由本端設(shè)備上線，用戶數(shù)據(jù)由本端設(shè)備生成。本端設(shè) 備處于同步運行狀態(tài)，可以處理并接收服務(wù)器發(fā)送的報文。. Secondary：表明用戶是由對端設(shè)備上線，用戶數(shù)據(jù)是由對端設(shè)備同步到本 端設(shè)備上的。本端設(shè)備處于同步運行狀態(tài)，只接收并處理同步消息，不處理服務(wù) 器發(fā)送的報文。Portal支持多實例實際組網(wǎng)應(yīng)用中，某企業(yè)的各分支機構(gòu)屬于不同的VPN，且各VPN之間的業(yè)務(wù)相互隔離。 如果各分支機構(gòu)的Portal用戶要通過位于總部VPN中的服務(wù)器進(jìn)行統(tǒng)一認(rèn)證，則需要Portal

49、 支持多實例。通過Portal支持多實例，可實現(xiàn)Portal認(rèn)證報文通過MPLS VPN進(jìn)行交互。如下圖所示， 連接客戶端的PE設(shè)備作為NAS，通過MPLS VPN將私網(wǎng)客戶端的Portal認(rèn)證報文透傳給 網(wǎng)絡(luò)另一端的私網(wǎng)服務(wù)器，并在AAA支持多實例的配合下，實現(xiàn)對私網(wǎng)VPN客戶端的Portal 接入認(rèn)證，滿足了私網(wǎng)VPN業(yè)務(wù)隔離情況下的客戶端集中認(rèn)證，且各私網(wǎng)的認(rèn)證報文互不 影響。圖 8 Portal 支持多實例典型組網(wǎng)圖CA數(shù)字證書:CA是證書的簽發(fā)機構(gòu)，它是PKI的核心。CA是 負(fù)責(zé)簽發(fā)證書、認(rèn)證證書、管理已頒發(fā)證書的機關(guān)。 它要制定政策和具體步驟來驗證、識別用戶身份，并 對用戶證書進(jìn)行

50、簽名，以確保證書持有者的身份和公 鑰的擁有權(quán)。CA也擁有一個證書（內(nèi)含公鑰）和私鑰。網(wǎng)上 的公眾用戶通過驗證 CA的簽字從而信任 CA，任何人都可以得到 CA的證書（含公鑰），用以驗證它所簽發(fā)的證書。如果用戶想得到一份屬于自己的證書，他應(yīng)先向CA提出申請。在CA判明申請者的身份后，便為他分配一個公鑰，并且CA將該公鑰與申請者的身份信息綁在一起，并為之簽字后，便形成證書發(fā)給申請者。如果一個用戶想鑒別另一個證書的真?zhèn)危陀肅A的公鑰對那個證書上的簽字進(jìn)行驗證，一旦驗證通過，該證書就被認(rèn)為是有效的。證書1證書實際是由證書簽證機關(guān)（CA）簽發(fā)的對用戶的公鑰的認(rèn)證。證書的內(nèi)容包括：電子簽證機關(guān)的信息、

51、公鑰用戶信息、公鑰、權(quán)威機構(gòu)的簽字和有效期等等。目前，證書的格式和驗證方法普遍遵循X.509國際標(biāo)準(zhǔn)。加密：我們將文字轉(zhuǎn)換成不能直接閱讀的形式（即密文）的過程稱為加密。解密：我們將密文轉(zhuǎn)換成能夠直接閱讀的文字（即明文）的過程稱為解密。如何在電子文檔上實現(xiàn)簽名的目的呢？我們可以使用數(shù)字簽名。RSA公鑰體制可實現(xiàn)對數(shù)字信息的數(shù)字簽名，方法如下：信息發(fā)送者用其私鑰對從所傳報文中提取出的特征數(shù)據(jù)（或稱數(shù)字指紋）進(jìn)行 RSA算法操作，以保證發(fā)信人無法抵賴曾發(fā)過該信息（即不可抵賴性），同時也確 保信息報文在傳遞過程中未被篡改（即完整性）。當(dāng)信息接收者收到報文后，就可以 用發(fā)送者的公鑰對數(shù)字簽名進(jìn)行驗證。在

52、數(shù)字簽名中有重要作用的數(shù)字指紋是通過一類特殊的散列函數(shù)（HASH函數(shù)）生成的。對這些HASH函數(shù)的特殊要求是:1 .接受的輸入報文數(shù)據(jù)沒有長度限制;對任何輸入報文數(shù)據(jù)生成固定長度的摘要（數(shù)字指紋）輸出；.從報文能方便地算出摘要；.難以對指定的摘要生成一個報文，而由該報文可以算出該指定的摘要；.難以生成兩個不同的報文具有相同的摘要。驗證：收方在收到信息后用如下的步驟驗證您的簽名：1 .使用自己的私鑰將信息轉(zhuǎn)為明文；2.使用發(fā)信方的公鑰從數(shù)字簽名部分得到原摘要；.收方對您所發(fā)送的源信息進(jìn)行hash運算，也產(chǎn)生一個摘要；.收方比較兩個摘要，如果兩者相同，則可以證明信息簽名者的身份。如果兩摘要內(nèi)容不符

53、，會說明什么原因呢？可能對摘要進(jìn)行簽名所用的私鑰不是簽名者的私鑰，這就表明信息的簽名者不可信；也可能收到的信息根本就不是簽名者發(fā)送的信息，信息在傳輸過程中已經(jīng)遭到破 壞或篡改。數(shù)字證書：答：數(shù)字證書為實現(xiàn)雙方安全通信提供了電子認(rèn)證。在因特網(wǎng)、公司內(nèi)部網(wǎng)或外 部網(wǎng)中，使用數(shù)字證書實現(xiàn)身份識別和電子信息加密。數(shù)字證書中含有密鑰對（公鑰 和私鑰）所有者的識別信息，通過驗證識別信息的真?zhèn)螌崿F(xiàn)對證書持有者身份的認(rèn)證。使用數(shù)字證書能做什么？數(shù)字證書在用戶公鑰后附加了用戶信息及 CA的簽名。公鑰是密鑰對的一部分， 另一部分是私鑰。公鑰公之于眾，誰都可以使用。私鑰只有自己知道。由公鑰加密的 信息只能由與之相對

54、應(yīng)的私鑰解密。為確保只有某個人才能閱讀自己的信件，發(fā)送者 要用收件人的公鑰加密信件；收件人便可用自己的私鑰解密信件。同樣，為證實發(fā)件 人的身份，發(fā)送者要用自己的私鑰對信件進(jìn)行簽名；收件人可使用發(fā)送者的公鑰對簽 名進(jìn)行驗證，以確認(rèn)發(fā)送者的身份。在線交易中您可使用數(shù)字證書驗證對方身份。用數(shù)字證書加密信息，可以確保只 有接收者才能解密、閱讀原文，信息在傳遞過程中的保密性和完整性。有了數(shù)字證書 網(wǎng)上安全才得以實現(xiàn)，電子郵件、在線交易和信用卡購物的安全才能得到保證。認(rèn)證、數(shù)字證書和PKI解決的幾個問題？ 保密性-只有收件人才能閱讀信息。認(rèn)證性-確認(rèn)信息發(fā)送者的身份。完整性-信息在傳遞過程中不會被篡改。不可抵賴性-發(fā)送者不能否認(rèn)已發(fā)送的信息。SEO：SE