统一认证(SSO)项目技术建议书

黑龙江移动电子渠道三期工程统一认证与单点登录平台应用软件招标项目技术建议书北京炎黄新星网络科技有限公司二零一二年六月目 录1项目背景82建设目标82.1.1统一认证基础平台82.1.2提供省内业务接入认证中心的接入规范82.1.3统一认证目标92.1.4单点登录目标92.1.5本期工程建设的关键指标92.1.6本期需集中接入的业务平台93建设原则104系统架构104.1体系架构104.2功能架构124.3网络拓扑135功能实现145.1登录服务模块145.1.1综述145.1.2功能结构155.1.3单点登录管理155.1.4用户凭证管理175.1.5验证码管理185.1.6单点登录（SSO）会话管理195.1.7单点登出管理225.1.8公共Cookie维护225.1.9报活服务管理235.1.10查询依据管理255.2认证服务模块275.2.1综述275.2.2功能结构285.2.3用户认证服务295.2.4用户帐号加、解锁295.2.5用户归属地判断345.3业务平台改造要求345.3.1综述345.3.2功能结构355.3.3鉴权模块改造355.3.4登录服务改造365.3.5登出服务改造375.3.6业务会话管理375.3.7登录页面改造395.3.8SAML基础功能395.4日志处理395.4.1记录用户的访问情况395.4.2用于分析和统计405.4.3单点登录的响应时间分析405.5运维管理405.5.1管理员门户405.5.2运行监控415.5.3业务流量监控415.5.4配置管理415.5.5密钥管理425.6安全管理425.6.1安全加密管理425.6.2SSL应用功能435.6.33CA中心及证书435.7其它功能445.7.1用户通行证445.7.2认证中心域名设置要求475.7.3浏览器支持475.7.4系统要求475.7.5登录界面要求486平台接口开发506.1接口的技术实现506.1.1接口基本要求506.1.2信息安全506.2网站和认证中心接口516.2.1网站登录接口516.2.2获取身份凭证接口536.2.3单点登录会话报活接口586.2.4网站登出接口616.3省级认证中心与一级认证枢纽之间的单点登录接口646.3.1认证转发接口646.3.2查询用户身份凭证接口（单点登录接口）696.3.3单点登录会话报活接口746.3.4登出通知接口776.3.5用户通行证创建接口786.3.6重置互联网密码接口806.4省级认证中心登录服务模块和认证服务模块之间接口826.4.1认证服务接口826.4.2通行证创建接口836.4.3重置互联网密码846.5省级认证中心和省CRM客户管理功能域之间的接口846.5.1认证服务接口846.5.2通行证创建866.5.3重置互联网密码867应急预案877.1应急流程说明877.2应急方案描述897.2.1门户网站改造方案897.2.2SSO系统改造897.3故障解决方法908性能指标说明908.1并发处理能力指标908.2系统响应时间指标919项目实施919.1分工界面919.1.1分工界面示意图919.1.2买卖双方责任929.2工程进度表929.3工程实施安排939.3.1工程组织体系939.3.2职责分工959.4人员安排9710测试及验收9810.1总体原则9810.2工程测试验收步骤9810.2.1到货验收9810.2.2初步验收（初验）9810.2.3试运行9910.2.4最终验收（终验）9910.3其他9910.4测试标准10010.4.1硬件测试10010.4.2应用系统测试10011技术服务、支持与保修10811.1技术服务及支持10811.1.1技术支持承诺10811.1.2日常技术服务内容10811.1.3故障处理流程10911.1.4故障处理方式10911.2产品保修11012培训11112.1培训目标11112.2培训形式11212.3培训课程11212.3.1培训教材11212.3.2现场安装培训11212.3.3一般计算机知识培训11312.3.4应用系统使用培训11312.3.5系统管理员培训11313公司简介11313.1公司概述11313.2公司商务资质11513.2.1公司营业执照11513.2.2税务登记证11613.2.3组织机构代码证11613.2.4高新技术企业证书11713.3公司组织架构11713.4核心技术及产品11813.4.1CMS内容发布系统11813.4.2SSO统一认证系统11813.4.3统一接口平台11813.4.4电子商务综合平台11813.4.5网上商城系统11913.4.6用户行为分析系统11913.4.7营销策略引擎11913.4.8电子商务统一支付系统11913.4.9运营商营帐统一接口系统12013.4.10互联网、短信及WAP营业厅系统12013.5系统建设及维护经验12013.5.1建设并运营国内最大礼品网站12013.5.2与国内大型集团企业及电信运营商多年深入合作12013.5.3专业化的技术与维护服务12113.6互联网应用建设成功案例12213.6.1中国移动成功案例12213.6.2中国联通成功案例12313.6.3其他运营商成功案例12513.6.4其他大型网站建设成功案例1261 项目背景根据2010年5月中国移动通信有限公司业务支撑系统部起草并下发下了关于统一认证和单点登录的规范要求，中国移动门户网站统一认证与单点登录省级改造方案1.0.0实施建设我省的单点登录与统一认证平台。实现本地应用单点登录平台，实现两级门户、本省门户与各级业务平台进行统一认证鉴权。完成移动互联网通行业务，并建立一套支持两级互联的统一认证平台系统。实现用户的单点登录，增强中国移动的门户网站和各业务系统互联网访问用户的感知。炎黄新星做为一家和移动合作多年的公司，在电子渠道系统的开发和运营方面积累了丰富的经验，熟悉移动相关业务，为8省移动建设了SSO平台，平台运行良好，完全满足集团SSO技术及业务规范。与移动省分BOSS和各业务网站连接稳定，并与集团一级SSO平台顺利联调通过，良好的支撑了统一门户的统一认证和单点登录需求。2 建设目标2.1.1 统一认证基础平台根据总部中国移动门户网站统一认证与单点登录省级改造方案1.0.0和中国移动门户网站统一认证与单点登录省级改造方案1.0.0-补充修订规范，建立一套符合该规范的两级认证基础平台，提供实现与总部统一认证和单点登录的基础服务。并根据统一认证客户登录注册界面交互设计指导意见1.0版（草稿）规范提供认证中心的页面认证接口及认证逻辑。2.1.2 提供省内业务接入认证中心的接入规范统一认证基础平台建立之后，将建立一套接入黑龙江认证平台的一套技术规范，为其他业务平台的接入提供接入依据。2.1.3 统一认证目标通过实现统一认证后，实现认证数据源是集中管理的，这样既能避免各网站自行管理用户数据带来的数据不一致性从而提升用户体验，又能通过收敛认证点达到数据安全性保证的目的。授权部分由业务平台自行管理能提高灵活性，满足业务需求，认证数据源将通过CRM系统集中存储，并通过CRM系统开放的接口实现远程调用。2.1.4 单点登录目标通过实现单点登录，用户在登录到归属省级门户后，访问一级门户网站、归属省级业务平台和全网业务平台，以及用户在登录到一级门户网站后，访问归属省级门户网站、归属省级业务平台和全网业务平台时，在用户身份凭证有效期内，都不需要再次进行认证，用户不需要记忆多个网站帐号、密码，省去多次输入用户名和密码的繁琐操作，有效提升用户体验，提高用户对中国移动各类网站的认知度和使用率。2.1.5 本期工程建设的关键指标根据总部的规范1.0定义，本期项目实现的主要指标有：l 平台基本功能的各项指标：l 为省门户网站和省业务平台提供统一认证和单点登录平台，（提供统一的登录页面及登录服务功能接口两种模式）；l 省认证中心实现与一级认证枢纽的两级登录和认证；l 界面化的日常运维、监控、配置管理等功能；l 平台数据以CRM等为源头，实现与CRM等系统对接；2.1.6 本期需集中接入的业务平台门户网站、在线客服、彩铃平台、139邮箱，ADC平台等8个业务平台；3 建设原则 规范性：整个系统的各种软硬件均应符合相关国际、国内标准及移动集团公司的技术规范标准等，保持统一业务、统一功能、统一标准、统一界面。 实用性：依据目前用户规模、业务运营情况，在保证客户服务质量的前提下，设计系统规模和业务功能适用的系统，可操作性、可维护性强。 可靠性：整个系统应采用多种系统容错手段，主要设备采用双机方式，保证系统正常运行。主机系统如出现故障，都应在不间断业务的情况下自动切换，无需人员操作，保证数据完整。 扩展性：硬件平台应具有良好的可扩充、扩展能力，能够方便进行系统升级和更新，以适应业务、访问量的不断发展，能根据新业务的功能需求作平滑扩展。 安全性：系统提供有效的安全保密措施，确保系统和数据资源的安全，防止对系统资源的非法侵入；系统提供联机的数据备份能力，保证数据的安全性、完整性和有效性。4 系统架构4.1 体系架构中国移动统一认证和单点登录技术架构由“两级架构”组成，即包括一级认证枢纽和省级认证中心系统。通过建立集团公司和省公司门户网站的两级结构，达到有效整合门户网站资源，提升门户地位、市场营销能力、客户服务能力和运营管理能力的目的；在两级门户网站和各级业务平台进行统一认证鉴权，实现用户的单点登录。为避免网站和认证中心之间出现网状交互关系，方便管理维护，本架构中，一级认证枢纽负责收敛一级网站的登录和认证需求，省级认证中心负责收敛省级网站的登录和认证需求。一级认证枢纽和各省级认证中心进行交互实现一二级系统间的互通。体系结构图如下图：中国移动统一认证、单点登录的分为两级改造：1) 一级认证枢纽改造由集团公司负责改造，实现与一级门户，一级业务平台的登录和认证的收敛；为一级门户网站和一级业务平台提供统一入口（提供统一的登录页面，嵌入各个业务平台）；一级认证枢纽实现与省认证中心的单点登录和认证的接口。 实现中国移动一级门户和一级业务平台站层面的统一认证、单点登录。2) 省认证中心改造由省公司负责改造，实现与省门户网站，省业务平台的登录和认证的收敛；为省门户网站和省业务平台提供统一入口（提供统一的登录页面，嵌入各个业务平台）；省认证中心实现与一级认证枢纽的单点登录和认证的接口；与省CRM通过认证接口实现用户信息集中认证；实现中国移动省级门户网站和省级业务平台层面的统一认证、单点登录。通过一级认证枢纽和省级认证中心用户登录信息的交互，实现中国移动一级和省级门户、业务平台的统一认证、单点登录。4.2 功能架构省认证中心总体功能架构图：如上图，省认证中心主要由三个模块构成，图例上用前三种颜色标识，分别是：登录服务模块、认证服务模块和接口。周边系统的改造包含：门户网站、业务平台的改造以及省CRM系统的改造。【登录服务模块】主要包含功能，查询依据管理、用户凭证管理、SSO会话管理、公共Cookie维护、登录异常处理、日志管理、验证码管理、报活管理、单点登录管理和单点登出管理。【认证服务模块】主要包含功能，用户归属地判断、认证转发、用户帐号加锁、用户帐号解锁、Diameter基础功能和Diameter的NASREQ应用。【接口】主要包含四类接口，网站和省认证中心接口、省认证中心登录服务和认证服务之间的接口、省认证中心和一级认证枢纽之间接口以及省认证中心的认证服务模块和省CRM之际的接口。4.3 网络拓扑网络组网结果如下图：如上图，一级/省级门户网站和一级/省级业务平台的WEB服务放置在Internet/CMNET域，WEB服务要求能够支持横向扩展，WEB服务通过硬件做负载均衡。一级认证枢纽、一级门户/业务平台后端服务、省认证中心 和省级门户/业务平台后端服务放置在DMZ域，其中一级认证枢纽和省认证中心的数据存储设备要求主备方式。个人用户通过终端浏览器访问一级门户和一级业务平台提供的WEB服务；个人用户通过终端浏览器访问省级门户和省级业务平台提供的WEB服务；个人终端访问认证服务采用HTTPS协议，其他采用HTTP协议。一级门户和一级业务平台的WEB服务访问一级门户和一级网站的后端服按现有的系统访问方式；省级门户和省级业务平台的WEB服务访问省级门户和省级网站的后端服按现有的系统访问方式。一级门户和一级业务平台的WEB服务访问一级认证枢采用Socket通信方式；省级门户和省级业务平台的WEB服务访问省级认证中心采用Socket通信方式；两者均基于SSL安全通道。一级认证枢纽和省级认证中心通信采用Socket通信方式，基于SSL安全通道。5 功能实现5.1 登录服务模块5.1.1 综述登录服务主要为用户提供登录、登出，用户凭证管理和用户单点登录会话管理。5.1.2 功能结构【登录服务模块主要功能】询依据管理、用户凭证管理、单点登录会话管理、公共Cookie维护、登录异常处理、日志管理、验证码管理、报活管理、单点登录管理和单点登出管理。【与其他模块和系统间的关系】1、登录服务模块与认证服务模块之间的关系：认证模块为登录服务模块提供用户信息的认证、用户通行证的创建和用户密码的重置功能。2、登录服务模块与一级认证枢纽登录服务模块之间的关系：两级的登录服务模块的功能是对等的，如果用户首次在省级认证中心登录，用户的登录信息保存在省级认证中心，为一级认证枢纽提供用户身份凭证。反之，用户首次在一级认证枢纽登录，一级认证枢纽为省认证中心提供用户身份凭证信息。3、登录服务模块与门户网站和业务平台的关系：登录服务模块为纳入到统一认证、单点登录系统的门户网站、业务平台提供用户单点登录和单点登出等功能。5.1.3 单点登录管理【业务定义】单点登录是在省认证中心系统中用户身份信息认证过程。用户帐号和密码的认证通过后，无需再次认证，能够访问门户网站和多个业务平台。单点登录功能要求主要是针对用户登录过程中，涉及到的登录界面、门户网站、业务平台和登录服务的功能建设或改造要求。【功能要求】1、登录功能要求A、登录框样式设计要求 在“统一规划、统一标准、统一建设”的原则的指导下，所有省的登录页面都要求有统一的设计。登录框嵌入网站的具体位置，登录框的尺寸、登录框内字体大小，登录框中帐号、密码和验证码的输入框的尺寸等都有规定，在网页设计有详细描述（市场部会下发相关页面设计的样式和规范）。改造阶段可以参考登录框要求。登录框的样式要求支持灵活变换。B、省认证中心提供登录框的URL设置要求以省某网站为例，省某级网站的登录页面通过iFrame嵌入统一认证中心的登录页面实现，嵌入统一登录页面的地址可参考如下格式进行设置：其中serv ice是在认证中心登记的服务名称，style为登录框样式，continue为登录完成后重定向URL地址。C、登录框对输入信息验证要求对用户输入手机号码格式要求：1手机号码信息必须是数字字符；2目前中国移动手机号码以13、15或18开头。用户提交认证时，登录框在提交信息给登录服务之前，必须校验1.用户输入手机号是否为空；2. 用户输入密码是否为空；3.用户输入验证码是否为空；4.用户输入密码类型是否为空。其中密码类型是下拉选择方式，默认密码类型为服务密码。要求提示用户，要求提示用户输入相关信息后提交。比如：以用户输入密码为空为例，用户点击登录按钮，此时提示用户“尊敬的用户，请您输入密码后重试”。如果用户有多项没有填写点击登录，需要将没有填写的数据一次性提示给用户，此时提示用户“尊敬的用户，请您输入*、*和*后重试”。提示信息在登录页上显示，在市场部下发的页面规范中有相关设计。D、门户网站和业务平台针对登录框改造要求1、门户网站和业务平台要需要修改登录首页，提供相应的空间能够嵌入登录服务模块提供的登录框和登录之后用户信息展示框。2、单点登录管理要求管理用户登录和登出门户网站、业务平台。用户登录门户网站或业务平台，登录服务要求记录用户已经登录和登出的门户网站或者业务平台。用于用户登出统一认证、单点登录系统时通知各门户网站和业务平台登出。3、要求验证用户验证码是否过期（验证码有效期为3分钟）。如果过期提示用户重新获取。4、请求的发送和接收者要求按照SAML协议描述的规则实现，接口的具体要求见登录服务接口实现要求。5.1.4 用户凭证管理【业务定义】用户身份凭证是用户登录后省认证中心的登录服务模块创建，用以标识已经登录用户身份信息。用户身份凭证管理主要针对用户身份凭证的创建、省份凭证的维护和身份凭证的注销等管理。【功能要求】1、身份凭证的创建当用户输入用户认证信息认证通过之后，要求省登录服务模块生成一个代表用户凭证的UID，UID要求是一个32位由数字和字母组成的不可重复的字符串，用来标识用户。作为用户的标识在一级认证枢纽和省级认证中心传递。2、身份凭证的保存当身份凭证创建之后，身份凭证的信息缓存在登录服务模块，在用户登录期间一直有效。为门户网站和各业务平台提供身份认证，门户网站和各业务平台获得用户的UID之后需要将信息保存，以便于与其他接口交互时使用该参数。在5.1.8节中描述了Cookie信息，当用户获得凭证信息之后需要将用户的UID的信息写入Cookie的内容中。3、身份凭证的注销当用户做单点登出请求之后，省认证中心的登录服务模块接收用户的登出请求之后，登录服务做登录操作注销用户身份凭证。5.1.5 验证码管理【业务定义】验证码是长度为4位的不重复的数字和字母组合的一幅图片，在图片上有干扰因素。用户识别其中的验证码信息，并输入提交验证，验证码验证通过之后才做用户鉴权。验证码管理主要针对验证码生命周期的管理，包括验证码的生成、验证码的有效时长、验证码重新生成及验证码的失效的管理。验证码的作用主要是防止非法用户使用软件对用户的帐号采取暴力破解。验证码在省认证中心的使用：省认证中心提供的登录页面，除要求用户填写手机号码、用户密码、选择密码类型（网站密码或服务密码）以外，要求提供图片验证码的功能。【功能要求】1、验证码生成要求1. 在登录服务模块产生并缓存，认证失效后能够重新产生2. 验证码由随机数字和随机字母组成，长度为4位。3. 图片中应加入随机干扰像素，防止OCR4. 验证码在图片中的位置应随机出现5. 用户肉眼应能清楚地看到验证码6. 由于干扰像素，验证码可能会看不清楚，系统需要提供重新产生验证码2、用户首次获取或者重新获取验证码用户因访问受限页面，门户网站或者业务平台为用户自动转向到登录页面，界面提示用户操作得到图片验证码。3、验证码有效时长要求用户进入到登录页面，点击验证码，登录页面出现验证码图片开始计时。如果用户在3分钟之内用户不登录，验证码失效。用户在3分钟之后提交登录信息，此时登录服务在登录页面上提示用户“尊敬的用户，因您验证码生成后长时间没有登录而过期，请重新获取验证码”，登录服务模块为用户重新生成一个新的验证码。 4、验证码失效验证码的失效有两种方式：A、验证码因超过其有效时长没有使用而失效。B、验证码能且仅能够使用一次，使用一次之后此验证码失效。5.1.6 单点登录（SSO）会话管理【业务定义】单点登录会话是登录成功之后在省级认证中心或一级认证枢纽的登录服务模块创建用户的身份信息的唯一标识。由首次登录的登录服务负责创建和维护。如果用户首次登录的是一级网站，则一级认证枢纽的登录服务模块负责创建单点登录会话并进行维护。相反，如果用户首次登录的是某省省级网站，则该省省级认证中心的登录服务模块负责创建单点登录会话并进行维护。用户在单点登录过程中，其单点登录会话只保留在一级认证枢纽或者省级认证中心，而不会多处存在。单点登录会话的状态变迁过程如下图：状态变迁说明：1、用户在省认证中心和一级认证枢纽登录成功之后，创建用户单点登录会话，会话状态为存活状态。2、省认证中心或一级认证枢纽的登录服务会定期检查单点登录会话，如果会话的时间超过单点登录会话的最大存活时间，销毁用户单点登录会话，否者会话继续存活提供认证。3、门户网站和业务平台会定期报活单点登录会话。4、用户单点登出，此时省认证中心或一级认证枢纽的登录服务会销毁单点登录会话。【功能要求】1、单点登录会话创建A、单点登录会话构成：省登录服务模块创建单点登录会话信息，用于保存登录后用户身份的信息，单点登录的会话中信息如下表，可根据实际情况扩展。UID用户身份凭证的唯一编号，32字节包含数字和字母的字符串MSISDN认证帐号，唯一标识一个用户Province用户归属省代码（同CRM），如100表示北京，531表示山东Name中国移动客户姓名，字符串Brand中国移动用户品牌，取值范围：1：全球通2：神州行3：动感地带Customers_Level客户级别：01：钻卡用户02：金卡用户03：银卡用户04：普通用户ActiveTime业务平台最后报活作时间LastedTime统一登录会话的存活最大时间，1小时（以毫秒的形式保存）Status中国移动用户状态，取值范围：1：开机2：单向停机3：双向停机4：预销户5：销户NickName用户昵称（可为空）139MailStatuss139邮箱开通状态FetionStatus飞信开通状态B、单点登录会话创建用户发起登录请求，用户帐号、密码通过认证之后，省认证中心的登录服务模块为用户创建单点登录会话。2、单点登录会话维护要求A、单点登录会话的有效时长建议设置为1小时，时间设置过长在一级或者省级登录服务会产生大量的无用会话信息，时间设置过短调用报活服务的频率增加，增加网络压力。B、用户每登录到另一个网站，更新单点登录会话有效期，使得单点登录会话的有效时长为1小时。C、单点登录会话的时长要求各登录服务模块在建设的过程中考虑支持可配置。 D、用户单点登录会话不能丢失。省认证中心的登录服务为用户建立了单点登录会话之后，会话的信息不能丢失，除非用户发起登出操作或者会话超时，销毁用户的会话。登录服务模块需要有机制保证用户单点会话丢失之后能够找回，不要影响用户体验，最好在用户登录之后将会话信息固化到数据库中。 3、单点登录会话销毁A、当用户主动退出时，登录服务器应注销单点登录会话，并通知所有登录过的网站做登出处理。如果单点登录会话超时后，用户再次要求单点登录时，登录服务器应提示用户重新登录。B、单点登录会话因为用户长时间不操作而过期，认证中心系统检测单点登录会话过期，认证中心要销毁用户单点登录会话。C、用户关闭浏览器或者浏览器崩溃导致用户的单点登录会话没有销毁，用户再次登录，允许用户登录，为用户重新创建会话。D、当用户需要在两台不同的终端进行登录操作，允许用户登录，并为用户建立两个不同的会话。5.1.7 单点登出管理【业务定义】单点登出是在省认证中心的登录服务模块、门户网站和业务平台中心销毁用户唯一身份标识，用户在访问门户网站和业务平台时候需要重新登录，销毁用户唯一身份标识包括单点登录会话和所有的业务会话。 【功能要求】1、用户发起登出操作，省认证中心的登录服务模块收到用户发起的登出操作，登录服务模块实现以下功能：A、通知已经登录的门户网站网站和业务平台登出。B、如果用户在省认证中心登录，省登录服务销毁单点登录会话。C、通知一级认证枢纽登出。2、用户点击浏览器的的X按钮A、如果用户退出的是门户网站或者业务平台的首页，要求网站能够捕捉关闭浏览器事件，提示用户是否是登出本网站或者是已经登录的所有网站。如果用户选择登出，网站系统要通知登录服务模块做登出操作。B、如果用户退出不是首页，不用给用户提示，单点登录会话超时之后登录服务模块自动销毁单点登录会话，通知各网站登出。C、省门户网站和业务平台接收登录服务的登出请求，销毁业务会话。5.1.8 公共Cookie维护【业务定义】公共Cookie是指一级认证枢纽和省级认证中心之间建立联系以传递用户登录信息的Cookie，作用范围为，其中作用范围支持可配置。【功能要求】当门户网站或业务平台登录成功之后。省认证中心的登录服务要在相应的浏览器的cookie中写入相应的信息。用户在SSO的过程中，门户网站和业务平台读取Cookie中的内容。公共Cookie的定义如下：说明备注名称cmtokenid类型会话型cookie不设有效时间内容用户登录标识，格式为32位随机编码登录服务器域名。其中随机编号是用户本次登录的唯一标识，由一级认证枢纽或省认证中心负责产生，并保证其唯一性。样例如下：0f23dedc4b7710562117804301596812作用域IP地址.路径/根路径用户认证登录后，由省认证中心的登录服务模块会在用户终端固化一个cookie保存用户的身份UID，通过这个UID，用户获取保存在登录服务器上的身份凭证信息实现单点登录。为了增强安全性，将网站访问者的ip写入cookie中。如果用户的浏览器不支持COOKIE，系统检测到浏览器的安全级别较高，门户网站和业务平台提示用户浏览器的安全级别较高，请用户调整安全级别之后再试。5.1.9 报活服务管理【业务定义】报活是延长省认证中心或者一级认证枢纽的单点登录会话时长，单点登录会话时长增加一个单点登录会话的最大存活时长。用户登录门户网站或某个业务平台之后在此长时间的操作，操作时间大于单点登录会话最大存活时间。如果不存在报活机制，单点登录会话因为长时间没有访问而失效，即在省认证中心或一级认证枢纽系统上用户已经退出。用户能够浏览门户网站或者某个业务平台，但是无法单点登录到其他的业务平台。为了避免上述场景，要求门户网站和业务平台要向认证中心报活，延长单点登录会话的时间，由认证中心的登录服务提供报活服务，供门户网站或者业务平台调用，实现单点登录会话报活。【功能要求】1、单点登录会话属性要求属性1：最后一次报活时间，数据类型为长整型，时间单位精确到毫秒，将时间转换为毫秒的长整型数据。属性2：单点登录的会话维持时间，数据类型为长整型数据，时间单位精确到毫秒，如时长为1小时，会话维持的时间为：160601000 = 7200000毫秒。最后一次报活时间 = T1会话维持时间 = T2省认证中心或一级认证枢纽的登录服务模块所在系统当前时间 = T3最后一次报活时间与会话维持时间之和 =T = T1 + T2比较T和 T3如果 T = T3 单点登录会话有效；如果 T T3 单点登录会话失效。2、报活流程 省认证中心或一级认证枢纽的登录服务提供报活服务。报活服务接收来自门户网站和业务平台的报活请求，报活服务判断：如果单点登录会话有效，则执行报活服务；如果单点登录会话失效，此时返回出门户网站和各业务平台，登出该门户网站和业务平台。如图报活请求流程1、一级或省级的门户网站/业务平台发起报活请求。2、一级或省级的登录服务模块接收到报活请求之后，检查用户的SSO会话是否有效。3、如果会话有效，一级或省级的登录服务模块则执行报活处理。4、返回一级或省级的门户网站/业务平台报活处理结果其中报活处理将会话延长一个会话最大存活时间（3,6000,000毫秒）。返回报活结果：1、SSO会话有效，报活成功，一级或省级的门户网站/业务平台此次调用成功。2、SSO会话有效，报活失败，一级或省级的门户网站/业务平台此次调用失败，可继续第二次报活请求，最多调用三次。3、SSO会话失效，报活失败，一级或省级的门户网站/业务平台此次调用失败，做登出操作，同时提示用户重新登录。3、门户网站或业务平台要求A、用户在门户网站或某个业务平台的访问时间接近单点登录会话时，门户网站或业务平台调用登录服务模块报活服务进行单点登录会话报活。B、 要求门户网站或业务平台知道用户的在网站上的浏览时间，调用报活服务的时间点：距离单点登录会话失效前10分钟报活。例如：假如单点登录会话的时长为60分钟，业务平台要求在用户浏览50分钟的时候，激活报活接口延长用户会话，需要有机制保证报活成功。4、报活异常处理要求登录服务模块在接收到业务平台调用报活服务时候需要判断单点登录会话是否有效，如果有效，执行报活服务，否则通知登出，让用户重新登录。5.1.10 查询依据管理【业务定义】查询依据是省认证中心或一级认证枢纽的登录服务模块产生，由字母和数字构成的32位不重复的字符串。查询依据由登录服务模块产生并维护，是用户请求身份凭证的一个重要且唯一的依据，在门户网站或者业务平台与省级登录服务模块或一级登录服务模块之间作为获取用户凭证的参数。用户发起登录请求，登录成功之后，登录服务模块将查询依据通过用户浏览器反馈给门户网站或业务平台。门户网站或业务平台得到查询依据之后作为查询参数获取用户凭证。查询依据只能使用一次，使用完成之后就失效。查询依据管理主要针对查询依据的产生、查询依据的维护和查询依据的失效等等。以用户在省门户网站或业务平台为例来说明查询依据的过程：如上图用户单点登录的登录流程，其中查询依据artifate，1、用户访问门户网站、业务平台的受限页面。2、门户网站、业务平台将用户重定向到省级认证中心，省认证中心不存在用户凭证信息，返回登录页面。3、用户输入认证信息，提交省认证中心认证。4、省认证中心将用户的认证信息提交给省CRM认证。5、省CRM返回用户的认证信息。6、如果用户认证通过，此时在省认证中心创建用户查询依据，缓存用户的查询依据，并将查询依据重定向到门户网站或业务平台。7、门户网站和业务平台请求用户身份凭证，请求参数包含查询依据。8、省认证中心根据查询依据，查找用户身份凭证信息，返回给门户网站和业务平台，同时失效用户查询依据。【功能要求】1、查询依据构成：由32位随机的数字和字母组合。2、查询依据的创建：用户第一次访问门户或者某个业务平台的受限资源，如果用户已经在省认证中心或者一级认证枢纽登录，省认证中心或者一级认证枢纽的登录服务模块生成查询依据；如果用户没有登录，门户或者某个业务平台转向登录页面，要求用户输入登录信息，认证通过之后，省认证中心或者一级认证枢纽的登录服务模块生成查询依据。3、查询依据维护:查询依据产生之后，缓存在省认证中心或者一级认证枢纽的登录服务模块。4、查询依据失效:门户网站和业务平台，获得用户的查询依据之后，凭借此查询依据向省认证中心和一级认证枢纽请求用户身份凭证。省认证中心和一级认证枢纽的登录服务模块接受门户网站和业务平台凭证请求，并成功返回用户凭证信息后，失效此用户的查询依据。5.2 认证服务模块5.2.1 综述省认证服务模块为省认证中心的登录服务模块和一级枢纽认的证服务模块提供用户信息认证，认证服务中心处理用户帐号、密码信息，密码类型，不处理验证码信息。验证码信息在登录服务中处理，登录服务模块处理验证码成功之后向认证服务模块发认证请求，认证服务模块向省CRM系统发出认证请求，完成用户认证。并返回认证结果给一级认证枢纽的认证服务模块和省认证中心的登录服务模块。5.2.2 功能结构【认证服务模块主要功能】用户帐号加、解锁，用户归属地判断，用户认证和Diameter基础功能。【与其他模块或者系统间的关系】1、与登录服务模块间的关系：登录服务模块将用户从省门户网站或者省业务平台输入的认证信息、创用户通行证信息、密码重置信息发送给认证服务模块处理。2、与省CRM系统的关系：省CRM系统为登录服务模块提供用户认证和客户资料相关的信息。3、与一级认证枢纽的认证服务模块的关系：一级认证服务模块将用户从一级门户网站或者一级业务平台输入的用户认证信息、创用户通行证信息、密码重置信息发送给认证服务模块处理。5.2.3 用户认证服务【业务定义】用户认证是将登录服务模块和一级认证枢纽的认证请求，将请求转发给省CRM系统的做用户信息的鉴权，并将CRM的鉴权结果反馈给登录服务模块和一级认证枢纽。【功能要求】1、将将登录服务模块和一级认证枢纽的认证请求以代理的方式转发到省CRM系统认证。2、认证转发功能具有很好的扩展性，根据未来业务需要进行不断扩充。5.2.4 用户帐号加、解锁5.2.4.1 业务描述为了保证用户的安全，防止非法用户对某个用户帐号攻击，通过枚举、猜测或者其他的非法方式，验证某个帐号，盗取用户信息和财务。现在系统要求用户对某个帐号在一定的时间范围内（一般为24小时）认证错误达到一定的次数之后，系统自动锁定该帐号，在帐号解锁之前，统一认证、单点登录系统禁止该帐号登录。目前，系统是两极架构，用户可以在归属省认证中心登录，也可以在一级认证枢纽登录，对某个帐号的认证错误次数包含在一级枢纽认证的错误次数和在省级认证中心认证的错误次数之和。合法用户记不太清楚自己的密码，如果用户输入帐号密码的认证多次，用户在给定的次数内用户通过认证，此时需要将用户的认证次数清零。5.2.4.2 帐号锁定【业务定义】帐号锁定是用户在登录界面给定的时间内输入错误服务密码的累计次数不可多于限定次数。该帐号锁定，在给定的时间内不允许再输入认证。【锁定规则】错误认证计算：在给定的时间范围 = T用户手机号+服务密码认证错误次数 = N1用户手机号+互联网密码认证错误次数 = N2总的认证错误次数 = N = N1 + N2认证错误最大的限定次数 = M判断帐号是否锁定，只需要在给定的时间范围T内，比较M 与 N的大小即可。如果 N M ，用户可以继续输入帐号、密码认证，可以认证的次数为：M N 次。如果 N = M，此时锁定用户帐号，提示用户不可以在时间T内不允许登录，除非用户自己解锁帐号之后可以做登录请求。【锁定流程】帐号的认证来自省认证中心和一级认证枢纽，最终通过省级认证中心的认证服务模块与省CRM系统交互来完成认证，因此由省认证中心的认证服务模块完成锁定的判断，下面将以用户通过一级认证枢纽认证来判断帐号的锁定流程。锁定流程如下：用户在省级认证中心登录为例：1、用户在终端输入用户需要认证的信息；2、用户登录页面对手机号码和空置做校验，校验不成功，提示用户输入正 确后登录，如果成功提交一级认证枢纽；3、一级认证枢纽接收认证请求，做验证码校验，校验不通过提示用户，重新获取验证码，如果验证码验证成功，根据手机号码查找用户归属省，并将请求提交给用户归属省认证中心；4、省认证中心的认证服务模块接收到认证请求，进行如下操作：A、 判断账号帐号是否锁定，如果帐号锁定提示用户待帐号解锁后重新登录如果帐号未锁定，提交省CRM鉴权；B、 分析CRM鉴权返回结果：l 帐号在CRM系统中已经锁定，会回提示用户帐号已经通过其他渠道登录错误已经锁定，不能登录解锁后才能登录；l 帐号在CRM系统中认证失败，判断是否是第一次认证失败，如果是第一次认证失败，记录认证失败的时间和认证错误次数1次；如果不是第一次认证失败，在原来错误次数的基础上累加1次；提示用户已经认证失败多少次还有几次认证机会。l 帐号在CRM系统中认证成功，检查该帐号的认证错误次数是否为0，如果不是0，则将认证错误次数清0，提示用户认证成功；如果是，则直接提示用户认证。5、登录信息反馈。【业务功能】1、提供从一级和省级用户认证次数的锁定。2、对用户认证错误要求准确提示。3、锁定帐号的最大时间段支持可配置。4、锁定帐号的输入最大次数支持可配置。5.2.4.3 帐号解锁【业务定义】省级认证中心系统中帐号因锁定而不能登录，将用户帐号从锁定状态变为可登录即为帐号解锁。帐号的解锁分为系统自动解锁和用户为自己解锁。【业务规则】1、省认证中心系统自动解锁：A、用户在当天锁定之后，第二天凌晨0点0分将用户的状态值为解锁状态同时将锁定次数清零。B、用户在锁定之后，在给定的一段时间内是锁定状态，超出给定的时间段之后解除锁定将用户的状态值为解锁状态同时将锁定次数清零。两种解锁的方式省认证中心系统系统都必须实现，在其中任何一个解锁条件满足之后，省认证中心系统自动解锁锁定帐号。2、用户自己解锁：目前，用户可以在互联网上自己手动解锁，用户通过密码重置来解锁。以用户在一级认证枢纽登录为例，讲解用户解锁流程，流程如下操作流程：1、用户在一级认证枢纽输入用户密码重置信息之后，提交密码重置，页面验证手机号码格式是否正确、两次提交密码是否一致等，校验成功之后提交省认证中心；2、省认证中心接收用户重置密码请求之后，转给省CRM系统重置密码，省CRM系统重置密码成功之后，返回给省认证中心；3、省认证中心接收返回结果之后分析结果，如果重置成功，清除此帐号的锁定信息，如果重置失败，返回提示信息；4、将重置信息反馈给用户。【业务功能】1、重置用户密码。2、清除帐号锁定信息。5.2.5 用户归属地判断【业务定义】用户归属地是指用户手机号码所在省份。用户归属地判断是指用户输入手机号码之后，判断该号码所归属的省份。【业务功能】1、提供手机号码归属地判断。2、如果手机号码归属本身，调用认证转发服务。3、如果用户手机号码非本省用户，不做后续操作，提示用户归属省份到本用户所在归属省登录。5.3 业务平台改造要求5.3.1 综述在此次门户网站和业务平台的改造主要将原有的用户鉴权模式改造成适应统一认证、单点登录系统的鉴权模式，原有的用户授权方式不变。涉及到原有系统用户信息和如何改造成使用CRM系统中的用户信息，比如，有业务平台注册用户ID单纯的互联网用户不与中国移动手机号码存在任何关系，如何为这些用户鉴权，目前提供过渡期方案，原有的登录方式和统一登录方式在一定的时间内同时存在。5.3.2 功能结构1、业务功能：保持原有的门户网站和业务平台的功能不变，改变的是系统管理功能的鉴权模块。2、系统管理功能：用户的鉴权模式需要改动适应统一认证、单点登录的认证登录方式，单点登录成功之后，授权模块需对认证成功的用户授权，按照原有的授权模式不变。3、门户网站和业务平台改造：主要通过与省认证中心的服务端交流和门户网站、业务平台的鉴权模块交互完成用户的鉴权。改造包含登录服务改造、登出服务改造、业务会话管理、登录页面改造、SAML基础功能的实现。5.3.3 鉴权模块改造【业务定义】鉴权是对某个帐号和密码的认证，保护网络上的资源，防止非法用户使用，目的是保证用户能够正常使用中国移动门户网站和业务平台提供的服务。门户网站和业务平台的现有运行鉴权和统一鉴权：1、门户网站和业务平台现有运行的鉴权：大多数系统自有一套比较完整的鉴权和授权的体系，为用户提供服务。鉴权方式：有用户手机号作为帐号 + 密码、有自己网站注册的网站ID +密码等。用户访问多个网站需要多次输入鉴权。2、统一鉴权：将纳入到统一认证、单点登录系统的门户网站和业务平台，提供统一认证，用户一次鉴权，可以浏览门户网站和多个业务平台。鉴权模块的主要改造：1、保持现有的鉴权模式2、增加统一鉴权模式3、统一鉴权的返回结果与用户授权之间的对接【功能要求】1、改造原有的鉴权方式，适应统一鉴权。2、在过渡期内，保证两种鉴权方式同时并存。5.3.4 登录服务改造【业务定义】登录服务，现在运行的门户网站或者业务平台，当用户访问受限页面时，会提示用户输入用户认证，认证成功之后，获得用户的认证信息，门户网站或者业务平台将认证信息写入用户的业务会话。实现统一认证、单点登录系统之后，各门户网站和业务平台不存在用户认证，通过与省认证中心交互得到用户身份凭证信息。登录认证改造主要改造：1、用户的登录认证满足现有的运行流程。2、用户查询依据的获取。3、用户凭证的获取和管理。4、用户凭证信息和现有系统的认证信息的对接。【功能要求】1、要求将未登录的用户重定向到省认证中心。2、要求提供接收省认证中心反馈的用户查询依据功能，并对查询依据做校验。3、要求对有效的查询依据，发起用户身份凭证查询请求。4、要求提供接收省认证中心反馈的用户身份凭证功能。5、要求校验身份凭证中的属性，检验属性是否为空。6、要求对身份凭证做签名校验，采用非对称加密方式校验。7、要求对无误的省份信息写入业务会话。5.3.5 登出服务改造【业务定义】登出服务在现运行的门户网站和业务平台，当用户发起登出操作之后，门户网站和业务平台接收到用户的登出请求，户网站和业务平台销毁用户的鉴权和授权信息，完成登出过程。实现统一认证、单点登录系统之后，门户网站和业务平台的登出请求来自于省认证中心的登录服务，门户网站和业务平台接收到登出请求后，销毁用户的鉴权和授权信息，并反馈登出结果给省认证中心的登录服务，完成登出过程。登出服务改造主要改造原有的登录流程，适应统一认证、单点登出要求。【功能要求】1、改造原有的请求来源。 2、完成销毁用户的鉴权和授权信息之后，反馈给省认证中心的登录服务登出结果。 5.3.6 业务会话管理【业务定义】业务会话是门户网站和业务平台从对应登录服务器获取用户身份凭证后，在门户网站和业务平台创建用户身份信息的唯一标识。业务会话作用是用户后续访问门户网站或业务平台时，门户网站或业务平台根据用户业务会话识别用户的身份，避免频繁访问登录服务器，造成登录服务器负荷过重。业务会话管理主要针对业务会话的生命周期的管理，主要包含业务会话的创建、业务会话的有效时长和业务会话的注销。【业务功能】1、业务会话的创建A、业务会话的数据结构要求门户网站和业务平台应支持在内部创建用户业务会话，用于保存用户身份信息，用户会话必须包含的数据项如下表，可根据实际情况扩展。UID用户身份凭证的唯一编号，32字节包含数字和字母的字符串MSISDN认证帐号，唯一标识一个用户Province用户归属省代码（同CRM），如100表示北京，531表示山东Name中国移动客户姓名，字符串Brand中国移动用户品牌，取值范围：1：全球通2：神州行3：动感地带CardLevel客户卡级别：01：钻卡用户02：金卡用户03：银卡用户04：普通用户Status中国移动用户状态，取值范围：1：开机2：单向停机3：双向停机4：预销户5：销户CurrentPoint用户当前的积分值（可为空），用户第一次登录可以从省认证中心获得，以后各门户网站和业务平台维护。NickName用户昵称（可为空）139MailStatus139邮箱开通状态FetionStatus飞信开通状态B、业务会话的生成门户网站和业务平台获得用户省份凭证之后，对身份凭证信息的签名进行验证，确认签名无误之后，在门户网站和业务平台中创建用户的业务会话。2、业务会话的有效时长管理A、用户业务会话的有效期设置为30分钟，网站根据用户的访问进行有效期的更新。B、若果用户在30分钟的时间内没有访问门户网站和业务平台，业务会话的自动失效，失去对用户身份的验证。3、业务会话的注销用户请求登出门户网站或业务平台，省认证中心接收用户登出请求，省认证中心通知门户网站和业务平台登出。门户网站和业务平台注销用户业务会话。业务网站因为长时间没有访问，没有访问时长大于业务会话的最大有效时长，此时被注销。用户再次访问，如果省认证中心的单点登录的会话存在，用户不用输入登录信息可以访问门户网站和业务平台；如果省认证中心的单点登录的会话不存在，用户必须重新登录。用户由于关闭浏览器等任何原因导致客户端Cookie丢失，则业务会话中断。用户重新打开浏览器访问业务网站，用户需要重新登录。5.3.7 登录页面改造【功能要求】对于现在运行的门户网站和业务平台，为用户提供了登录信息输入界面，与之相应的有一套完整的认证体系。对于实现统一认证、单点登录系统之后，用户的登录信息的输入界面由省认证中心提供，用户的认证由省认证中心完成，界面有统一的格式和风格要求。登录页面的改造主要改造原有的登录界面登录，包括提供省认证中心登录界面的位置，与之相应界面的风格、尺寸等的改造。5.3.8 SAML基础功能实现SAML协议中的服务提供方（Service Provide）的功能。SAML协议中数据在传输的过程中，以XML的形式在各个系统之间传输。因此，对XML数据流的处理需要门户网站和业务平台生成和解