中国电信MBOSS外部客户统一认证平台规范.doc

中国电信MBOSS外部客户统一认证平台规范2009年4月内部资料，注意保密，未经同意，请勿翻印 版本：版本号文档信息文档名称文件编号编制人保密级别修改过程版本号日期负责人概述评审过程版本号日期评审者概述分发范围目 录1总则11.1文档说明11.2解释权11.3参考文献11.4术语和缩略语11.4.1术语定义11.4.2缩略语32概述32.1背景32.2目标42.3业务定位42.4业务描述52.4.1业务场景52.4.2帐号规则73系统架构93.1总体思路93.1.1集中认证93.1.2联邦式单点登录103.2网络拓扑123.3与其他系统关系123.4两级架构134流程154.1认证流程154.1.1集中认证154.1.2单点登录154.1.3单点登出204.2数据同步流程224.2.1客户/产品/帐户新开224.2.2产品销户234.2.3产品改号234.2.4产权变更244.2.5密码修改244.2.6状态属性变更254.2.7密码重置254.2.8批量信息导入265功能要求285.1省平台285.1.1认证管理285.1.2帐号管理315.1.3系统管理325.2全国平台355.2.1省平台管理356接口要求366.1接口说明366.1.1接口概述366.1.2接口协议说明366.2接口全景376.3统一认证平台接口要求386.3.1认证接口386.3.2数据同步接口426.3.3省级UA管理接口516.4外围系统接口要求546.4.1对外围系统改造要求546.4.2外围系统接口557客户身份认证协议587.1协议框架587.2协议层次结构597.2.1协议数据格式597.2.2会话控制格式607.2.3业务数据格式637.3协议实体定义647.3.1认证数据基类647.3.2认证请求协议657.3.3票据解读协议697.3.4省UA管理协议717.3.5数据同步协议747.4协议应用实例827.4.1集中认证827.4.2单点登录837.4.3链接SSO登录847.4.4省级UA管理848数据要求868.1核心业务实体分析868.2核心业务实体逻辑模型868.3系统管理员逻辑模型878.4实体属性描述879系统性能需求909.1吞吐量909.2响应时间909.3数据存储性能909.4可靠性要求929.4.1应用可靠性929.4.2网络可靠性9310安全要求9510.1认证安全9510.1.1加密要求9510.1.2密钥管理9510.1.3平台校验9610.1.4其他9610.2网络安全9610.2.1网络配置9610.2.2传输安全9610.3系统安全9710.3.1口令管理9710.3.2主机管理9710.4机房安全9810.4.1环境安全9810.4.2电源安全9811实施要求9911.1实施架构要求9911.2实施功能要求9911.3实施软硬件要求10012附录10412.1操作结果编码10412.2接口协议编码10412.3系统平台编码规范10512.4帐号类型编码规范10612.5密码类型编码规范10612.6认证方式编码规范10612.7省份标识编码规范1071 总则1.1 文档说明文档共包括三册：中国电信MBOSS外部客户统一认证平台规范总册、中国电信MBOSS外部客户统一认证平台规范业务系统改造分册、中国电信MBOSS外部客户统一认证平台规范Passport互联分册文档总册规范了中国电信MBOSS外部客户统一认证平台（UAM）的功能、流程、接口、性能等方面的要求。用于规范和指导中国电信集团及各省MBOSS外部客户统一认证平台的建设，也可作为中国电信统一认证平台的工程设计、网络运行、业务管理等的技术参考。业务系统改造分册用于规范业务系统接入中国电信客户统一认证平台时的需要进行改造工作，明确中国电信客户登录网上营业厅后，经过中国电信客户统一认证平台单点登录到业务系统时，所应遵循的流程、接口、协议等技术要求。Passport互联分册用于规范UAM和Passprot两个认证能力平台之间采用对等联邦式互信方式实现认证互通的技术要求，即：两个认证平台互相信任对方的认证结果，实现天翼Live到网上营业厅的单点登录，和网上营业厅到189邮箱的单点登录。1.2 解释权本规范的版权和解释权属于中国电信股份有限公司。1.3 参考文献1中国电信企业信息化战略规划(ITSP)2.02CTG-MBOSS规范1.03中国电信企业数据模型3.04中国电信网上客服中心业务规范（V1.0）补充规范1.4 术语和缩略语1.4.1 术语定义外部客户 指以产权关系界定的、在同一登记证件名下的中国电信产品的所有者（人或组织）。外部客户不包括以电信企业内部的系统管理员、客户代表、营业员等；渠道接触系统 包括网上营业厅、10000号、营业厅、自助终端、WAP营业厅、短信营业厅；客户标识 指唯一标识客户身份的编码或序号；产品标识 产品是指中国电信在客户购买产品后建立的的产品实例信息。产品标识是指可以唯一标识产品身份的编码或序号；帐户标识 帐户是中国电信为其客户建立的用来汇集客户所需要支付的电信产品/服务的各种消费费用的实体。帐户标识是指可以唯一标识客户某一帐户的编码或序号；注册帐号 本规范中专指网厅使用的网站注册帐号；客户密码 是电信公司针对产权客户设置的，在电信系统中验证客户身份的一组数字序列，它是客户办理电信业务的身份凭证，目的是为了方便客户、防止他人未经客户授权擅自办理、修改、查询相关业务。客户密码与产权客户构成一对一的关系，同一产权客户只有一个客户密码。产品密码 又称用户密码、服务密码或业务密码。是与客户使用的某个电信产品（如普通电话、ISDN、ADSL、LAN、小灵通）相关联的电信服务密码。产品密码与电信产品号码构成一对一的关系，即每个电信产品原则上可以设置一个产品密码，该密码可作为客户办理该电信产品相关业务的身份凭证。鉴权 验证客户或用户是否有权办理某项具体业务；认证 标识和密码的审核，验证是否存在合法的标识和密码及其对应关系。不包括具体业务鉴权；安全断言标记语言(SAML) Security Assertion Markup Language，是由国际标准组织OASIS（the Organization for the Advancement of Structured Information Standards）制定的基于XML标准的数据交换和认证授权安全领域的规范。单点登陆 Single Sign On，简称 SSO。SSO的定义是在多个应用系统中，客户或用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。认证信息 关于某认证对象可以相信、信任或具有权力的证件或证明书。对于不同的认证方式，认证信息有不同的表现形式，如在“帐号+密码”的认证方式下，用帐号标识和密码为凭证；而在CA数字证书的认证方式下，以数字证书和PIN码为凭证。全局令牌（全局TOKEN） 客户统一认证平台颁发的代表客户有效身份的凭证。全局TOKEN保存在统一认证平台上，在客户登录的整个生命周期内有效。局部令牌（局部TOKEN） 网厅或业务平台颁发的只在网厅、业务平台等局部范围内有效的客户身份凭证。断言（Assertion） 由统一认证平台产生，关于某个主体的认证信息、属性或授权信息的数据块。票据（Ticket、Artifact）断言的索引。渠道或业务平台根据票据通过后端信道去统一认证平台请求断言，获取认证的具体信息。1.4.2 缩略语本规范涉及的缩略语如下表所示：缩略语英文全名中文全名UAUnified Authentification统一认证CAPCustomer Identity Authenticate Protocol客户身份认证协议2 概述2.1 背景中国电信目前的网上营业厅、营业厅、10000号、自助终端等渠道接触系统存在多种形式的认证体系，有基于CRM客户标识及客户密码的认证，基于产品标识及产品密码的认证，基于帐户的认证等；某些省份还在此基础上演化出新的认证形式：如产品标识和客户密码的认证、客户ID和两级客户密码的认证等。这使得现有的认证方式复杂多样。认证数据大多分布在MBOSS域的核心支撑系统之内，客观上使得CRM、计费帐务等支撑系统除了完成业务运营支撑功能之外，还需要为渠道接触系统提供客户、帐户、产品等实体的认证服务，从而加重核心支撑系统的负担。同时，中国电信的企业转型也带动了增值业务的迅猛发展，亟需通过门户网站整合增值业务的业务资源，为电信客户提供集中统一的业务呈现和业务使用渠道。中国电信网上营业厅作为电信客户接触的重要渠道，迫切需要进一步提升其作为门户网站的地位，以门户建设带动业务整合，逐步发展为集客户服务、业务宣传、产品使用为一体的客户综合服务门户。另外，随着电信增值业务的发展和业务平台的增多，用户除了记忆渠道接触系统的客户服务类帐号外，还需要记忆多种增值业务产品使用帐号，每次登录一个业务平台前都需要提供相应的身份认证信息，这带给用户不方便的使用感受，同时也不利于电信推广多种业务的捆绑销售。因此需要建立针对MBOSS外部客户的统一认证中心（以下简称“统一认证平台”），一方面整合现有的各种认证体系，屏蔽CRM等核心支撑系统的认证，统一为渠道接触系统提供认证服务。另一方面当用户从网上营业厅等渠道接触系统集中使用各增值业务时，提供跨业务和平台的统一认证和单点登录，从而达到用户体验的提升。2.2 目标统一认证平台是为各个渠道接触系统提供统一的认证入口，并在此基础上提供渠道接触系统到业务平台的单点登录功能，主要目标有：1、提升客户使用体验：客户在同一渠道平台内登录之后，在业务平台之间实现一次认证、全业务访问。2、促进以客户为中心的帐号经营：随着电信增值业务的快速发展，以客户为中心的帐号经营成为发展趋势，需要整合多种帐号体系；同样也需要提升面向客户的网上营业厅的门户地位，带动业务资源的整合，实现跨系统和平台的统一认证和单点登录，满足服务界面的一体化和客户体验的一致性要求。3、优化IT架构：一方面减轻了核心支撑系统（如CRM、计费帐务等）的认证压力；另一方面构建统一认证、集中管理、数据共享、安全高效的认证体系，为其它业务平台的接入降低成本。2.3 业务定位统一认证平台应该具有如下业务能力：1、在MBOSS域内部：统一为各渠道接触系统提供认证服务。n 整合多个渠道接触系统的认证功能，包括网上营业厅、10000号、自助终端、营业厅、WAP营业厅、短信营业厅等n 针对多种帐号、多种密码、多种身份的复杂帐号认证体系，能够提供集中认证功能，并标识对应的客户身份和客户产权关系n 遵循集中认证、分散鉴权的原则，认证后代表的身份及身份对应的权限遵循现有渠道接触系统的业务规则 2、在MBOSS域外部：提供到业务平台的单点登录能力。n 提供MBOSS域到业务域的单向SSO，客户在登录网上营业厅之后，访问其它相关业务平台时不需要进行再次输入该业务平台的帐号密码n MBOSS域到业务域的单向SSO前提是依赖于CRM产权关系的联邦式认证，CRM里产品管理的程度决定网上营业厅和业务平台SSO联通的程度n 现阶段不考虑实现和联通宽带一点通。2.4 业务描述2.4.1 业务场景用户在下列多种渠道下使用中国电信业务时，涉及的认证功能均可由统一认证平台支持，具体对应关系如下表所示： 网上营业厅短信营业厅Wap营业厅自助终端10000号营业厅集中认证密码取消密码重置密码修改状态属性修改单点登录（单向SSO）登录漫游登录退出2.4.1.1 集中认证用户通过网上营业厅、短信营业厅、Wap营业厅、自助终端、10000号、营业厅，进行业务办理或帐单查询等操作时，对用户输入的帐号和密码，进行验证。目前支持的集中认证方式包括：n 客户标识+客户密码n 客户卡号+客户密码n 产品标识+产品密码n 产品标识+客户密码n 帐户标识+帐户密码n 网厅注册帐号+注册密码（客户密码）2.4.1.2 密码取消取消指定帐号对应的密码，一旦该帐号对应的密码被取消，则不能使用该帐号进行相关的业务操作或登录认证。2.4.1.3 密码重置重新初始化指定帐号所对应的密码，密码的生成规则在CRM中定义管理。2.4.1.4 修改密码修改指定帐号的密码，密码修改前需验证原密码。2.4.1.5 状态属性修改修改指定帐号的状态属性，如冻结、正常、以及普通客户密码升级为高等级客户密码等。2.4.1.6 单点登录客户登录网上营业厅，点击网厅上业务平台链接，无需再次输入业务平台的帐号密码，即可单点登录到业务平台。单点登录到业务平台的效果与客户在业务平台正常输入帐号、密码登录的效果一致。统一认证可以支持客户从网厅单点登录到本地业务平台，也可以支持登录到全网性业务平台（如189邮箱）客户能够从网厅单点登录到业务平台的前提为：1、 “登录网上营业厅的客户身份所拥有的产品实例”属于业务平台认可的产品类型；2、 “登录网上营业厅的客户身份所拥有的产品实例”已经激活/开通了业务平台的业务。2.4.1.7 登录漫游用户在网厅平台上登录成功后，在网厅平台上点击全网性业务平台的URL链接，可以访问非本省的业务平台。2.4.1.8 登录退出n 分为关闭网厅平台浏览器退出n 点击网厅或业务平台（已通过网厅单点登录进去）的全局退出链接2.4.2 帐号规则渠道接触系统调用统一认证平台接口进行帐号验证时，传递给统一认证的帐号信息包括：帐号类型，帐号标识，密码类型，密码标识。帐号类型包括：n 客户标识n 产品标识n 帐户标识密码类型包括：n 客户密码n 产品密码n 帐户密码统一认证平台支持的帐号体系如下：n 客户标识和客户密码n 产品标识和客户密码n 产品标识和产品密码n 帐户标识和帐户密码渠道接触系统可以把不同的帐号类型与密码类型进行组合，如：产品标识和产品密码，产品标识和客户密码等，统一认证平台负责验证帐号与对应的密码是否正确。注：统一认证平台不管理网厅注册帐号以及注册帐号和产品/客户的映射关系，客户注册帐号登录认证时，统一认证平台调用网厅的认证代理接口进行认证，认证成功后，网厅返回认证结果以及注册帐号所绑定的映射关系。3 系统架构3.1 总体思路3.1.1 集中认证统一认证平台遵循“认证能力水平化建设、认证数据集中化管理”原则：n 认证能力水平化建设：将垂直分布于渠道接触系统的认证能力分离出来，对于公共的认证设施进行水平化建设实施，实现业务逻辑域认证能力的分离，实现IT架构的松耦合化。n 认证数据集中化管理：帐号认证数据由统一认证平台集中管理，减轻CRM等核心支撑系统的认证负担，同时实现数据的一点存储和一点管理，帐号密码只在统一认证保留一份，以统一认证平台作为修改入口，修改流程由CRM控制发起（对于宽带帐号，在统一认证和Radius同时保存，CRM更改统一认证平台数据后再发起对Radius数据的更改）统一认证平台管理客户、帐户、产品（包括固话、宽带、PHS等类型）等帐号认证数据以及产权关系，集中认证的流程为（如下图所示）：n 统一认证平台接收渠道接触系统的认证请求（包含帐号类型、帐号标识、密码类型、密码等信息）n 统一认证平台判断请求类型，如果为“产品类型+客户密码”的认证形式，则首先从产权关系库中查找该产品对应的客户标识，再根据“客户标识+客户密码”向客户库确认认证信息的合法性n 若请求类型不为“产品类型+客户密码”的认证形式，则根据帐号类型，直接向相关的帐号库确认认证信息的合法性3.1.2 联邦式单点登录看不懂统一认证平台采用基于CRM产权关系的跨域联邦式单点登录方案实现MBOSS域到业务域的单向SSO。联邦式身份认证是基于系统间互信的SSO方案，结合电信的现状：网上营业厅、统一认证平台、业务域的业务平台组成星型的身份联盟。统一认证平台位于星型的中心，负责对客户身份进行认证，网厅和业务平台（如互联星空）都信任统一认证平台的认证结果：客户从网厅登录时由统一认证平台负责完成登录认证，并标识出客户身份以及该客户对应的产权关系；当客户点击网厅上业务平台链接访问该业务平台时，统一认证平台根据客户的产权关系标识出其对应的业务平台帐号，并说明帐号已经登录具有访问合法性；业务平台对统一认证平台发出的认证结果表示信任，允许用户不再输入帐号密码直接访问，如下图所示： 上述过程中：客户从网厅进入业务平台时，统一认证平台判断客户访问合法性的依据在于CRM产权关系3.2 网络拓扑3.3 与其他系统关系统一认证平台与MBOSS域内部其他系统相互协作，实现对外部客户的集中认证，同时为已登录网厅的客户提供向业务平台的单向的单点登录（SSO）服务：n 渠道接触系统渠道接触系统作为中国电信的客户接触渠道，为客户提供客户服务、业务宣传和产品使用的途径；客户登录渠道接触系统及申请关键业务时，渠道接触系统利用统一认证平台对客户身份进行认证。渠道接触系统原则上不保存客户认证信息。网厅负责维护客户注册帐号信息，并处理客户注册帐号与客户标识的对应关系，对于客户使用注册帐号登录网厅的情形，网厅系统应先完成注册帐号到客户标识的转换，再向统一认证平台提交客户认证请求。n 统一认证平台统一认证平台向渠道接触系统提供集中认证服务，但不进行业务鉴权逻辑的处理；统一认证平台还为外部客户从网厅到业务平台的访问提供单点登录服务。统一认证平台管理客户、帐户、固话、宽带、手机、小灵通等帐号的认证信息和产权关系信息，但不管理网厅注册帐号认证信息。n CRM系统CRM系统向统一认证平台提供客户帐号认证信息和产权关系信息的数据来源，并负责在上述数据发生变更的情况下，调用统一认证平台提供的服务接口完成帐号认证信息和产权关系信息的变更。n 业务平台业务平台负责向外部客户进行业务营销及执行业务交付处理；业务平台应按照本规范要求，提供相关的接口，以支持用户从网厅到业务平台SSO能力。3.4 两级架构中国电信客户统一认证平台为全国平台和省级平台两级架构，全国统一认证平台（简称全国UA）接入全网性业务平台，省级统一认证平台（简称省UA）接入本省业务平台。两级平台架构如下图所示：n 全国UA平台：1. 接入集团CRM，管理集团客户的身份认证信息2. 为集团大客户（大客户贴心服务系统）提供集中认证服务3. 配置管理枢纽，负责维护各省统一认证平台的接入配置信息4. 接入全网业务平台，接收来自全网业务平台的UA地址查询请求 n 省级认证平台：1. 接入本省支撑系统，管理本省客户的认证信息2. 为本省渠道接触系统提供集中认证服务3. 接入本省业务平台，提供到本省业务平台的单向SSO能力4 流程4.1 认证流程4.1.1 集中认证1. 用户输入帐号类型、帐号、密码类型、密码等信息。2. 网厅、营业厅、10000号等接入渠道根据用户输入的认证信息以后台接口方式调用UA的认证接口。3. UA根据接收到的认证信息进行用户认证。(对于产品标识+客户密码登录，需要先查询该产品标识对应的客户标识，以便进行客户级身份认证)，认证完成后，还需要取出状态属性。4. UA将认证结果及相应的状态属性返回到接入渠道。5. 接入渠道将认证结果返回到用户。4.1.2 单点登录单点登录的原则：1 客户输入认证信息的页面统一由UA平台提供。2 客户访问全网性业务平台时，该客户的身份凭证由归属省负责颁发3 只有统一认证平台通过的认证，才可以在网厅和各个业务平台之间认证互通；业务平台自有认证逻辑通过的认证，只在该平台内部有效4.1.2.1 网厅登录对于用户登录网厅的流程，规范制定两种方式，由各省根据情况选择其一：方式一：用户登录网厅的界面由UA负责提供，以嵌入网厅界面的形式向用户展现方式二：用户登录网厅的界面由网厅提供，网厅收集用户的认证信息后向UA提交认证请求对于方案二，网厅的登录界面定位于用户登录网厅弹出或访问网厅自有资源时弹出。并且网厅界面什么时候弹出（即用户什么时候需要认证）是由UA根据全局Token的状态决定。4.1.2.1.1 UA负责弹出登录界面1. 用户访问网上营业厅受限资源。2. 网上营业厅检查局部Token是否存在，如果存在则直接到步骤13。3. 如果不存在，则重定向用户请求到UA。4. UA检查全局Token是否存在。5. 全局Token不存在，UA向用户提供认证登录页面，提示用户输入帐号类型、帐号、密码类型、密码等认证信息（若全局Token存在，则直接从第8步继续）。6. 用户输入登录认证信息，提交给UA。7. UA对用户进行认证，认证通过生成全局Token。如果认证失败，由UA弹出登录出错信息。8. UA生成本次认证用户在网厅的Ticket及断言信息。9. UA将用户浏览器重定向到网上营业厅，同时附带本次认证的Ticket。10. 网上营业厅根据传回的Ticket向UA查询该Ticket对应的断言信息。11. UA将该Ticket对应的断言信息返回给网上营业厅，并销毁该Ticket。12. 网上营业厅生成局部Token,标记用户登录身份，登录成功。13. 网上营业厅向用户浏览器显示登录成功页面。注：用户如果在网厅首页直接输入认证信息登录时，流程从第6步直接开始执行。4.1.2.1.2 网厅负责弹出登录界面1. 用户访问网上营业厅受限资源2. 网上营业厅检查网厅局部Token是否存在，如果存在，则直接到步骤153. 若网厅局部Token不存在（即用户未登录网厅或网厅局部Token过期），则携带“登录成功后显示的URL”重定向到UA 4. UA检查是否存在全局Token（用户首次登录网厅，全局Token不存在）5. 全局Token不存在，重定向回网厅，并携带UATicket=-1，表示用户未登录过UA（若全局Token存在，即在“网厅局部Token失效、UA全局Token有效”的情况下，则流程从第10步继续）6. 网厅拦击URL，判断UATicket=-1，则弹出网厅登录界面7. 客户提交认证信息8. 网上营业厅将用户浏览器重定向到UA，用户认证信息的传递要求采用 HTTPS方式传递 9. UA根据用户提交的认证信息，对用户身份进行认证，生成全局Token10. UA生成本次认证的Ticket及断言信息11. UA将用户浏览器重定向到网上营业厅，同时附带本次认证的Ticket（如果第9步认证失败，则携带UATicket=-2，表示用户认证信息错误）12. 网厅拦击URL，取出UATicket的值，若UATicket=-2，则表示用户认证信息错误，否则根据传回的Ticket向UA查询该Ticket对应的断言信息13. UA将该Ticket对应的断言信息返回给网上营业厅，并销毁该Ticket14. 网上营业厅生成网厅局部Token，标记用户登录身份，登录成功15. 网上营业厅向用户浏览器显示登录成功页面4.1.2.2 网厅单点登录到本省业务平台如果用户在网厅上已经成功登录，点击网厅上本省业务平台的SSO连接时，认证流程如下图所示：1. 用户点击业务平台SSO链接。2. 业务平台接收到用户的SSO登录请求，判断是否存在局部Token，如有则直接到步骤113. 业务平台中不存在局部Token，将用户浏览器重定向到UA，同时附带该业务平台可接收的帐号类型。(帐号类型包括客户、固话、宽带、手机、小灵通等，详见帐号类型编码表)4. UA接收到用户的认证请求，检查是否存在全局Token。5. UA检查发现存在全局Token，生成本次认证的Ticket及断言信息。(断言信息中包含该业务平台可接收的帐号类型的所有帐号列表)，如果不存在全局Token，则由UA向用户提供认证登录页面，提示用户输入帐号类型、帐号标识、密码类型、密码等认证信息。用户输入登录认证信息，提交给UA。(同4.1.2.1中的第五步和第六步)6. UA将用户浏览器重定向回业务平台，同时附带Ticket。7. 业务平台根据传回的Ticket向UA查询该Ticket对应的断言信息。8. UA将该Ticket对应的断言信息返回给业务平台，并销毁该Ticket。9. 业务平台从断言的帐号列表中选择一个号码要登录的帐号。10. 业务平台生成局部Token,标记用户登录身份，登录成功。11. 业务平台向用户浏览器显示登录成功页面。4.1.2.3 网厅单点登录到全网性业务平台如果用户在网厅上已经成功登录，点击网厅上全网性业务平台的SSO连接时，认证流程如下图所示：1. 用户点击被访地业务平台SSO链接，同时将归属地作为参数传递到被访地业务平台。2. 被访地业务平台检查该帐号是否存在局部Token。3. 被访地业务平台检查不存在该帐号的局部Token，并检查归属地，判断为外省用户。4. 被访地业务平台调用全国UA查询出该归属地UA的地址。5. 全国UA将查询到的归属地UA地址返回给被访地业务平台。6. 被访地业务平台将用户浏览器重定向到归属地UA，同时附带该被访地业务平台可接收的帐号类型。7. 归属地UA接收到认证请求，首先检查是否存在全局Token。8. 归属地UA生成本次认证的Ticket及断言信息。(断言信息中包含该被访地业务平台可接收的帐号类型的所有帐号列表)。9. 归属地UA将用户浏览器重定向到被访地业务平台，同时附带本次认证的Ticket。10. 被访地业务平台根据传回的Ticket向归属地UA查询该Ticket对应的断言信息。11. 归属地UA将该Ticket对应的断言信息返回给被访地业务平台，并销毁该Ticket。12. 被访地业务平台从断言的帐号列表中选择一个号码要登录的帐号。13. 被访地业务平台生成局部Token,标记用户登录身份，登录成功。14. 被访地业务平台向用户浏览器显示登录成功页面。在该方案中，全国业务平台等同于省业务平台处理。4.1.3 单点登出4.1.3.1 关闭浏览器1. 用户关闭浏览器2. 业务平台上的局部Token和UA上的全局Token都会自动失效4.1.3.2 点击退出链接1. 用户点击UA的安全退出链接，UA销毁全局Token后，重新导向用户浏览器。2. 由用户浏览器发起请求销毁所有已登录的业务平台的局部Token3. 提示用户已安全退出4.2 数据同步流程4.2.1 客户/产品/帐户新开1. CRM操作员录入受理信息；2. CRM将客户标识，客户密码，产品标识，产品密码，帐户标识，帐户密码等信息发送给UA；3. UA将客户/产品/帐户信息入库；4. UA将同步的结果返回给CRM。4.2.2 产品销户1 操作员受理产品销户请求；2 CRM执行产品销户操作；3 CRM发送产品销户请求到UA；4 UA根据CRM发送过来的产品信息到产品库中校验发送过来的产品信息合法性；5 UA删除产品标识对应的客户产权关系数据；6 UA执行产品信息的删除操作；7 UA返回操作结果给CRM；4.2.3 产品改号1 操作员受理改号业务请求；2 CRM受理改号业务并将改号产品信息提交UA；3 UA验证产品信息的合法性，同步产品信息库；4 UA返回布尔类型的结果给CRM。4.2.4 产权变更1 CRM受理产权变更请求；2 CRM将新的产权信息发送到UA；3 UA校验客户信息和产品信息的合法性；4 UA根据发送过来的产权关系变更信息，更新产权关系库；5 UA返回结果给CRM4.2.5 密码修改1 CRM受理密码修改请求；2 CRM将客户/产品信息以及对应的新旧密码发送到UA；3 UA根据发送的请求是客户密码还是产品密码校验旧密码合法性；4 UA根据发送的请求是客户密码还是产品密码更新对应旧密码；5 UA将修改结果返回CRM。4.2.6 状态属性变更1 CRM受理状态属性变更请求； 2 CRM将受理的客户/产品信息以及对应的状态属性发送给UA；3 UA判断客户/产品信息的合法性；4 UA根据请求是客户级还是产品级修改对应的客户/产品密码的属性；4.2.7 密码重置1 CRM操作员受理密码重置请求；2 CRM将客户标识/产品标识以及客户标识对应的初始化密码/产品标识对应的初始化密码发送给UA，请求密码重置；3 UA校验客户标识/产品标识的合法性；4 UA将新密码更新到客户/产品信息中；4.2.8 批量信息导入批量信息的处理建议通过接口的方法，接口形式可以灵活采用接口表或者文件的形式，CRM提取批量客户信息，用户信息以及产权关系信息送接口，UA再通过接口将批量数据入库。4.2.8.1 批量客户信息导入4.2.8.2 批量产品信息导入4.2.8.3 批量帐户信息导入4.2.8.4 批量产权关系导入4.2.8.5 批量密码初始化批量密码初始化针对在UA中已经有客户/产品信息的密码初始化，由CRM提取需要批量设置初始密码的客户/产品信息和初始密码，送接口后，UA从接口提取批量信息，将信息批量写入客户/产品库。5 功能要求5.1 省平台5.1.1 认证管理5.1.1.1 集中认证中国电信用户在通过网厅、短信营业厅、WAP营业厅、10000号、自助终端等渠道接触系统进行登录、业务受理或账单查询等操作时，由统一认证平台集中对用户的帐号及密码信息进行验证。统一认证平台负责处理对用户帐号及密码的验证，由渠道接触系统进行鉴权。统一认证平台集中存储验证的帐号及密码，以及客户、产品的对应产权关系，统一认证平台初始的帐号及密码信息由各系统导入，CRM系统不再存储密码信息。密码及产权关系的新增维护由CRM发起，统一认证平台提供帐号及密码维护接口。统一认证平台支持的验证方式包括：n 客户标识和客户密码验证客户标识及客户密码是否一致n 产品标识和客户密码通过产品标识找到找到相应的客户标识，取得相应客户密码，验证客户密码是否一致。n 产品标识和产品密码验证产品标识及产品密码是否一致n 帐户标识和帐户密码验证帐户标识及帐户密码是否一致5.1.1.2 单点登录5.1.1.2.1 会话和全局令牌（Token）管理统一认证平台的会话管理的内容包括：n 会话过程中允许的最大空闲时间n 允许最大会话连接数n 会话在线时间统计n 当前在线会话统计n 提供能让用户持续访问应用的证明以免用户每次登录都需要提供登录密码，如用户登录的帐号信息全局令牌是用户会话的标志，通过全局令牌，统一认证平台可以查找到相应的会话数据。用户在单点登录到不同业务平台时，统一认证平台通过对令牌的校验，判断该用户身份的有效性，以进一步进行断言处理。令牌中包含的基本信息为用户的会话标识（一个随机字符串），帐号信息，已认证登录系统的信息，以及产生和维护用户会话的服务器信息为了加强Cookie的安全性，防止Cookie-Hijack，统一认证平台的令牌需要支持以下安全机制：n Cookie能和客户端IP绑定n Cookie的加密n 使用HTTPS协议5.1.1.2.2 票据（Ticket）和断言服务渠道接触系统（网厅）在进行单点登录到其它业务平台时，向统一认证平台请求Ticket，统一认证平台创建Ticket及相应的断言信息，同时把Ticket重定向到业务平台，业务平台通过该Ticket信息从统一认证平台获取断言，实现渠道接触系统（网厅）和业务平台的单点登录。如下图所示：为保证系统安全，在每次在进行单点登录时，Ticket都由统一认证平台随机生成唯一的序列号，用于关联相应的断言。断言(Assertion)，由统一认证平台创建，包含单点登录到业务平台需要的身份标识信息。断言提供以下类型的声明：n 认证声明：向业务平台说明该用户已在某时间、使用某认证方法通过了本IDP的身份认证。另外还可把其他的一些信息包括到认证上下文（authentication context）元素中n 属性声明：说明用户具有某些属性。所谓属性就是名称和取值对，业务平台基于这些信息进行访问控制。断言的主要信息包括：n <Version>断言的版本号n <IssueInstant>主体颁发该断言时的时间。n <Issuer>断言的颁发者。n <ds:Signature>使用XML签名对断言进行的签名，这样可以保护断言的完整性，同时可以验证断言的颁发者。n <Subject>断言的颁发对象。n <Conditions>断言有效的一些条件限制。验证断言有效性时，必须验证所有的条件。n <Statement>用户可以通过声明来添加自己的断言类型。n <AuthnStatement>身份验证声明。n