联通内部门户技术规范模板.doc

1、目录目 录1前 言41 总则51.1 背景51.2 编制目标51.3 适用范围51.4 文档结构51.5 规范起草单位61.6 规范解释权61.7 参考文件61.8 名词解释和缩略语62 概述73 系统总体架构73.1 省分（总部）门户系统逻辑架构73.2 两级门户体系架构83.3 省分（总部）门户系统参考物理架构94 门户系统总体功效概述104.1 门户系统应用104.1.1 用户管理104.1.2 认证管理104.1.3 访问策略管理104.1.4 安全管理104.1.5 个性化服务104.2 企业应用集成104.3 统一用户目录管理104.4 用户认证及访问权限控制114.4.1 用户认

2、证步骤114.4.2 访问权限控制115 两级门户互联125.1 门户互联访问类型125.2 门户互连实现技术125.2.1 门户互联技术列举125.2.2 推荐方法及性能对比135.3 统一待办集成135.3.1 概述135.3.2 集成方法145.3.3 表结构设计146 单点登录实现156.1 省分门户内单点登录156.2 集中应用系统接入各门户系统单点登录166.3 跨门户访问单点登录186.4 CDSSO功效实现技术细节197 网络组织207.1 网络拓扑结构207.2 门户系统和应用系统网络层互连217.3 IP地址及DNS计划227.3.1 IP地址计划标准227.3.2 DNS

3、调整标准227.3.3 NTP配置要求237.3.4 邮件域名要求238 门户系统技术要求248.1 总体设计技术要求248.1.1 系统设计要求248.1.2 系统性能要求248.1.3 系统监控设计要求298.1.4 备份和恢复设计要求308.1.5 安全性设计要求318.1.6 接口要求328.1.7 编码标准338.2 门户对被集成系统技术要求358.2.1 C/S接入系统技术要求358.2.2 B/S接入系统技术要求358.2.3 域内应用系统集成实现方法358.3 主机设备378.4 操作系统378.5 存放备份硬件设备378.5.1 存放设备378.5.2 备份设备388.6 数

4、据库388.7 门户平台软件398.8 目录服务平台软件408.9 机房环境要求408.9.1 机房温、湿度要求418.9.2 防尘要求418.9.3 防电磁干扰要求418.9.4 接地418.9.5 其它环境条件419 系统安全429.1 系统可靠性429.1.1 系统可靠性、稳定性保障机制429.1.2 硬件可靠性429.1.3 软件可靠性439.1.4 平台稳定性要求439.2 网络接入安全439.2.1 身份验证439.2.2 拨号访问保护439.3 信息传输安全439.3.1 完整性策略439.3.2 数据机密性449.3.3 网络可用性449.3.4 设备审计449.3.5 配置确

5、定449.3.6 监视统计网络活动449.3.7 入侵检测449.4 应用系统安全449.4.1 主机系统安全449.4.2 操作系统安全459.4.3 病毒防范459.5 数据安全459.5.1 数据备份459.5.2 数据恢复46前言本规范关键要求了中国联通企业内部门户系统门户子系统技术规范，关键包含系统总体架构、总体功效、两级门户互联、单点登录、网络组织、技术要求和系统安全等内容。中国联通企业内部门户系统建设是企业信息化关键组成部分，门户子系统是管理支持系统关键组成部分。本规范是针对开发、建设中国联通总部、省分企业内部门户系统门户子系统技术规范，作为总部及各省（直辖市、自治区）分企业门户

6、系统建设工作指导依据。相关企业内部门户系统规范关键包含： 中国联通IT系统MSS系统域企业内部门户系统业务规范，包含门户子系统部分和用户目录子系统部分。 中国联通IT系统MSS系统域企业内部门户系统技术规范，包含门户子系统部分和用户目录子系统部分。 中国联通IT系统MSS系统域企业内部门户系统测试规范本标准由中国联通企业信息化部提出。本标准由中国联通企业技术部归口。本标准关键起草单位： 中讯邮电咨询设计院、中国联通信息化部本标准关键起草人：xx xx xx本标准修改和解释权属中国联通企业。1 总则1.1 背景伴随经济全球化趋势和中国加入WTO，中国电信市场政府管制力度将越来越弱，市场愈加开放，

7、竞争愈加猛烈。中国外市场环境要求中国公众电信运行企业在经营理念、管理模式上能上升到较高层次，以求在电信运行商国际化竞争中立于不败之地。中国联通作为中国唯一一家对全部电信业务拥有经营权电信运行商，拥有全国范围内相当规模公用电信网，经营多个基础电信业务和增值电信业务，形成移动（GSM/CDMA）、长途（193）、数据（165）、IP电话、市话、增值业务等多个业务并存共同发展格局。中国联通在全国31个省、市、自治区建有分企业，为了有效发挥企业内部资源，提升内部管理效率，提升经营管理水平，中国联通逐步统一计划、建设全国范围内MSS系统。联通总部编制并经过了中国联通管理支持系统（MSS）总体方案，制订了

8、MSS总体建设思绪。，为指导同年进行全国范围MSS一期工程建设，又组织编制并经过了中国联通管理支持系统（MSS）技术规范，其中明确了建设关键是实现公文流转、经营信息展现、电子邮件和基础网络设施等四个方面。经过十二个月实施，已基础实现了一期建设目标，同时也为联通MSS后期建设打下了坚实基础，发明了良好信息化环境。联通总部制订了新建设任务，其中一个关键就是建设门户系统，为MSS、ERP提供统一接入、认证和安全管理平台，为用户提供个性化展现平台。企业信息门户实施是MSS系统建设过程中一个关键目标任务。为规范门户系统建设，中国联通总部组织制订了中国联通企业内部门户系统技术规范，本文件为中国联通IT系统

9、MSS系统域企业内部门户系统技术规范门户子系统部分（以下简称“本规范”）。1.2 编制目标为了在前期基础上更有效指导企业内部门户系统建设实施工作，中国联通特制订本规范。和本规范配套使用还有中国联通IT系统 MSS系统域 企业内部门户系统业务规范 门户子系统部分（关键提出了企业内部门户系统应含有功效需求和相关要求），将共同指导、约束企业内部门户系统建设实施相关工作。本规范可作为中国联通总部及各省分内部门户系统建设实施项目标设计、开发、验收相关依据。1.3 适用范围本规范指导并规范中国联通各省分企业进行门户子系统建设。各省可依据本规范和其它相关规范、标准，结合当地实际情况建设总部及省分门户系统。1

10、.4 文档结构第一部分：总则，描述本文背景、编制目标、适用范围、文档结构、规范起草单位、解释权和修订权、名词解释和缩略语等内容；第二部分：概述，对规范定位进行了概括性描述；第三部分：系统总体构架，从软件逻辑架构、两级门户架构及物理模型三方面进行了概括性描述；第四部分：门户系统总体功效，对门户功效、门户集成相关应用系统和用户目录管理、认证步骤进行了介绍；第五部分：两级门户互联，概要说明了门户互联方法，并具体介绍了多个互联技术方法，并针对全国门户、省分（总部）门户待办集成细节做出了规范要求；第六部分：单点登录实现，分别从门户内部、跨门户及全国门户三个方面步骤及CDSSO技术细节进行深入叙述和要求；

11、第七部分：网络组织，对于网络拓扑结构、门户系统和应用系统网络互联、IP地址及DNS计划等多个方面做出了说明和规范要求；第八部分：门户系统技术要求，对主机、存放、安全、门户软件等多个方面作出了要求，对于集成应用系统用户管理、展现及单点登录提出具体技术要求和可选方案；第九部分：对总体系统可靠性，网络安全性，信息安全性，应用系统安全性，数据安全性进行了相关说明并提出了相关要求。1.5 规范起草单位本规范起草单位为中国联合通信信息化部、中讯邮电咨询设计院。本规范增补、修订权属中国联合通信信息化部。1.6 规范解释权本规范解释权为中国联合通信信息化部。1.7 参考文件中国联通IT系统总体技术体制v1.0

12、1.8 名词解释和缩略语BSS：Business Supporting System，业务支持系统。EAI：Enterprise Application Integration，企业应用集成。ERP：Enterprise Resource Planning，企业资源计划。LDAP：Lightweight Directory Access Protocol，轻量级目录访问协议。MSS：Management Supporting System，管理支持系统。Portal：门户，在本规范中指企业内部门户，是用户和管理支撑系统、业务系统之间桥梁。门户系统将企业分散应用和信息进行聚合，实现应用关联和信息

13、共享，供决议支持服务。Portlet：是基于应用系统展现端组件，经过和应用系统接口取得应用数据和操作功效。Portlet能够是Portal系统一部分，由Portal系统提供工具和运行环境实现Portlet生成、运行、授权、维护等管理工作。SSO：Single Sign-on，单点登录，即用户登录后不需要再次提供认证信息就能够访问相关各应用系统。CDSSO：Cross Domain SSO，跨域单点登录，即在两个独立安全域之间实现单点登录。 TAM：Tivoli Access Manager 提供集中式认证/授权/审计功效，并实现对门户及多种后台子系统单点登陆。包含Policy Server和W

14、ebSeal两个关键组件。 TIM：Tivoli Identity Manager 提供集中式账户生命周期管理，经过TIM能够实现对多种后台子系统账户管理，包含Domino/AD/ERP等系统帐户信息。IDI：IBM Directory Integrator 经过多种标准连接器和多种账户注册表进行连接，并经过流水线对数据进行处理，从而实现账户数据同时。IDS: IBM Tivoli Directory Server 基于LDAP标准LDAP目录服务器,用户信息存放在这个目录服务器中,并能够依据联通企业需求来灵活定义用户属性信息.LTPA: LightWeight Third Party Aut

15、hentication，轻量级第三方认证（LTPA）认证机制, LTPA 定义了存放在用户端上令牌格式，运行在不一样机器上WEB 应用程序使用 LTPA实现用户认证信息传输。iFrame: 主浏览器窗口一个子窗口。从运行在它上面软件来看，iFrame是属于它自己窗口，能够独立于包含自己窗口之外而独立运行。NTP：网络时间协议（Network Time Procotol）。它目标是在互联网上传输统一、标准时间。具体实现方案是在网络上指定若干时钟源网站，为用户提供授时服务，而且这些网站间应该能够相互比对，提升正确度。2 概述企业信息门户系统包含门户子系统和用户目录子系统。对于“中国联通企业信息门户

16、系统”了解，能够从以下多个方面给予直观定义：（1） 是直接面向全部联通职员（含各级领导，以下同）内部信息服务界面，以支持日常管理工作为目标；（2） 是联通职员接触企业信息资源（获取必需企业信息和数据、和操作相关应用系统）统一入口、统一渠道，并依据登陆门户系统职员角色来展现对应信息服务功效界面；（3） 从用户（即联通职员）体验角度，对单点登录（SSO）支持是门户系统经典特征；（4） 对企业机构组织及职员信息，和应用系统和信息数据资源访问权限进行统一管理，以确保企业信息和IT系统安全性；（5） 从技术实现上讲，门户系统要处理企业信息内容和应用系统聚集，即把企业信息经过有机集中手段来展现、提供给用户

17、。门户子系统和用户目录子系统共同实现中国联通企业信息门户系统。3 系统总体架构 本部分将从系统软件逻辑架构、两级门户架构及物理模型三个方面对内部门户系统进行概括性描述。3.1 省分（总部）门户系统逻辑架构图 3-1 联通企业信息门户系统层次划分示意图图中系统描述了联通企业信息门户系统层次划分：l 用户端：中国联通信息门户系统用户端现在考虑关键对一般PC浏览器提供访问支持。在条件成熟时，能够对部分用户常常需要访问应用：如办公系统、邮件系统等提供PDA和手机等移动终端访问支持。l 接入层：接入层是直接接收用户访问请求应用层，它功效关键包含：用户认证、用户动态信息访问请求转发、对于静态内容缓存等。接

18、入层关键作用首先是提升系统效率，其次是保障门户系统访问安全，预防非授权非法访问。l 应用层：用以提供用户管理服务和门户服务应用。关键是门户服务引擎和用于整合一系列后端应用Portlet，另外在这一层还包含储存用户信息目录服务器和存放门户所需数据数据库。l 应用系统层：关键是中国联通现在已经有和准备未来建设后端应用系统。3.2 两级门户体系架构不管总部门户、省分门户还是全国门户，域内体系架构全部根据省分或总部协同办公系统逻辑架构统一建设。为了实现互连互通业务目标，各级门户要综合考虑实现门户互访技术要求，下图是两级门户体系架构示意图。 图 3-2 MSS系统两级门户体系架构示意图由图3-2能够看出

19、，为了实现两级门户体系，需要考虑以下技术关键点：l 总部门户、省分门户和全国门户使用一致门户平台和统一认证平台产品；l 总部门户、省分门户和全国门户域内结构根据总部门户、省分门户和全国门户体系结构设计实现；l 用户身份确实定也是经过两个单点登陆平台CDSSO模块来实现，单点登陆系统CDSSO模块会根据一对一标准对应到存放在当地用户目录中远程用户；l 用户经过门户中提供特殊连接，实现跨门户互访；l 省分、总部、全国门户系统中用户信息需要同时；l 针对Portal中iFrame Portlet, 采取WebSEALCDSSO方法来实现；l 针对WSRP，全国Portal和总部Portal，省Por

20、tal之间采取LTPA方法，全部Portal服务器采取相同LTPA Key，相同域名，和时钟同时。采取LTPA来实现Portal和Portal之间身份传输，WebSEAL和Portal集成也为LTPA方法。3.3 省分（总部）门户系统参考物理架构门户系统物理构架需要考虑以下要求： l 物理架构设计标准是高性能，高可扩展性和高可用性相结合。l 物理架构只作为实施阶段参考，不强制严格根据本架构实现。具体物理架构图参见中国联通IT系统MSS系统域企业内部门户系统技术规范_用户目录子系统部分。4 门户系统总体功效概述本部分将就门户功效、门户集成相关应用系统和用户目录管理、认证步骤进行叙述。4.1 门户

21、系统应用门户系统负责提供用户访问安全控制手段、个性化内容展现、内容管理和门户相关服务功效等应用，具体包含：4.1.1 用户管理提供企业门户用户信息管理手段，并和统一访问控制管理人员目录管理机制相结合，为实现经过门户系统访问内部资源单一登录机制提供人员信息基础。4.1.2 认证管理提供支持多个认证方法，包含静态密码、动态密码、数字证书等，对用户访问进行身份认证。同时，能够直接利用已经有系统中用户账户信息，进行身份认证。4.1.3 访问策略管理为用户访问门户系统提供信息访问权限控制、访问渠道管理等多个功效，并为个性化服务提供访问策略控制订义。4.1.4 安全管理提供防侵入、防病毒等手段，确保企业内

22、部资源安全。同时，提供负载均衡、容灾等机制，确保系统高效性和安全可靠性。4.1.5 个性化服务在系统统一控制管理基础上，为职员提供个性化管理平台。访问者能够依据本身工作性质和对企业资源访问需求，设置个性化访问界面，并经过这种个性化服务查阅、管理相关信息。4.2 企业应用集成 企业应用集成包含分布在中国联通总部和各省分企业现有信息系统，关键包含OA、邮件、经营分析等系统。4.3 统一用户目录管理统一企业信息资源管理关键实现对企业内部全部人员、组织、工作组、角色、应用系统等信息统一保留和管理，为门户系统提供认证、访问授权和资源管理服务。统一信息资源管理通常经过LDAP技术以目录服务形式实现。相关目

23、录对象具体定义、目录服务管理和集成，参见中国联通IT系统MSS系统域企业内部门户系统技术规范_用户目录子系统部分。4.4 用户认证及访问权限控制4.4.1 用户认证步骤用户认证即用户登录到系统中，系统确定登录信息有效后，为其提供一个正当身份。Tivoli Access ManagerWebSeal组件是全部应用系统统一认证入口。依据不一样安全需求，能够采取不一样认证方法进行用户身份认证。 经过目录服务存放用户ID和口令来认证用户身份； 采取X509v3电子证书，电子证书存放在用户端，经过调用用户端证书进行身份认证。对于系统认证方法能够依据现有系统安全需求，采取某一个认证方法，或使用多个认证方法

24、以确保系统访问安全性。鉴于现有应用系统用户接入关键采取内网接入方法，所以用户认证关键采取用户ID和口令方法，部分安全等级较高应用系统能够采取二次认证方法。用户认证经过WebSeal组件进行统一认证，用户进入系统认证步骤以下：图4-1用户认证步骤说明：（1） 用户经过用户ID+密码进行系统登录。（2） WebSeal组件经过LDAP提供接口从LDAP服务进行用户身份认证；（3） LDAP认证服务将用户认证信息返回到TAM策略管理组件，该组件依据用户角色决定用户能够使用应用功效及个性化定制；（4） TAM策略管理模块把用户能够使用对应功效及个性化定制内容返回给门户系统；（5） 门户系统将用户可见应

25、用功效可内容展现到用户浏览器中。（6） 用户经过门户系统访问在门户上集成应用系统时经过WebSeal组件完成单点登陆认证，具体单点登陆认证实现参见中国联通IT系统MSS系统域企业内部门户系统技术规范_用户目录子系统部分。4.4.2 访问权限控制用户权限包含对应用访问权限和操作权限。访问权限用于控制不一样用户对系统数据和功效访问范围，能够依据用户所在用户组或角色来控制用户在系统中访问权限。操作权限是控制用户组或角色对系统中资源访问操作权限，操作权限由系统管理员来定义系统中用户组或角色，并分配其对应系统操作功效和访问页面。为愈加好集中管理各系统中用户访问权限，需要将系统访问权限由Tivoli Ac

26、cess Manager系统统一进行管理，而系统访问权限关键是经过管理用户属性，也就是管理用户所在用户组或角色，来控制用户在系统中访问权限。而对于操作权限，即用户组或角色权限分配由原系统各自分配和管理。为规范新建系统实现统一授权管理，需要在统一用户管理基础上，将各系统用户所在用户组或角色信息，以用户属性方法加载到统一用户目录中，然后由门户系统提供统一用户授权页面，依据各系统中用户所属用户组或角色，以实现用户访问门户系统统一用户访问授权管理。5 两级门户互联本部分将概要说明门户互联方法，具体介绍多个门户互联技术实现方法及对比，并针对全国门户、省分（总部）门户待办集成细节作出规范要求。5.1 门户

27、互联访问类型门户系统间互连，关键是指某个用户经过当地门户访问异地门户，关键支持下面多个情况门户互访：1） 总部用户能够经过总部门户访问各省分门户，并经过省分门户访问省分办公自动化、经营分析等系统数据和信息。2） 总部用户能够经过总部门户访问全国门户中集中应用。3） 省分用户能够经过省分门户访问全国门户中集中应用。在进行门户互访时需要处理关键问题就是跨域单点登录，即需要在两个门户之间建立相互信任机制，经过这种信任机制许可对方系统用户访问归属地应用。5.2 门户互连实现技术5.2.1 门户互联技术列举 链接直接跳转链接直接跳转是指在需要访问到其它门户网站上信息时直接跳转到另一个门户网站。用户在进行

28、跨门户跳转时，不一样门户之间用户信息传输经过跨域单点登录(CDSSO)来实现。链接跳转是门户互联互通时最基础一个互连方法，各省门户均应实现和全国门户链接跳转方法互联，即各省用户能够经过连接跳转方法跳转到全国门户中，全国门户能够识别用户身份，并授予对应访问权限。总部门户需要实现和全国门户和各省门户链接跳转式互联互通。 iFrame各级门户之间经过Portal提供iFrame Portlet实现远程门户内容在当地门户展现。 WSRPWSRP是业界标准门户之间互联标准，WSRP能够实现在一个门户上调用另一个远程门户上运行portlet。它有两个步骤：1）服务提供者将当地portlet以WSRP方法公

29、布出来。2)服务使用者在远程portlet目录中浏览对应服务，并将选中服务添加到当地门户中。总部或省分用户在需要在当地显示全国门户上特定Portlet内容时，能够使用WSRP方法。和链接跳转不一样是WSRP在显示源于其它门户上信息时，仍然是在当地门户系统上进行，而链接方法将用户导引到远程门户系统上。 通用Web服务通用Web服务和WSRP类似，也是在当地门户上调用远程门户上内容，她们区分是WSRP是对远程门户上界面信息远程调用，而通用Web服务是经过web服务方法，调用远程服务数据和步骤。 RSSRSS(Rich Site Summary)是目前流行一个信息公布格式，众多公共网站全部对该协议提

30、供了支持。RSS是经过xml格式，公布内容摘要和内容，供其它RSS用户端进行远程调用。各省分需要公布到总部或全国门户上内容，和总部期望公布到各省门户上内容能够使用RSS进行公布。具体实现方法是内容提供方以RSS格式提供内容，在使用方门户上布署RSS portlet，将远程数据源上RSS内容提供给门户用户。 统一开发Portlet分别布署由总部或总部指定部门统一开发连接特定应用portlet，然后由各省管理员布署到全国及各省门户系统中，并依据本省系统实际情况进行参数配置。统一开发portlet分别布署能够有效重用开发资源，而且运行时有较高运行效率。WSRP、通用Web服务、RSS方法等方法全部是

31、在各个省分企业经过远程调用方法取得已经在总部门户上布署好内容，当总部门户内容发生改变是，WSRP等机制会把改变内容直接反应到各个省分企业，不需要省分企业人员干预。而这种方法需要一个把在总部开发好Portlet发送到各个省分企业，由省分企业管理员单独布署过程。 所以这个方法和WSRP等方法最大区分是，WSRP方法是经过省分门户Portlet调用总部门户Porlet实现，而这个方法是经过把统一开发好Portlet布署到各个省分门户，然后经过这个Portlet调用总部具体某个应用实现，不需要借助访问总部门户系统。5.2.2 推荐方法及性能对比为实现两级门户系统互联业务目标，推荐链接直接跳转、iFra

32、me和WSRP三种技术为可选门户互联实现方法。经过试点阶段进行性能对比测试可知：采取链接直接跳转和iFrame时，系统响应速度较快；采取WSRP时，系统响应速度较慢。所以提议优先采取链接直接跳转和iFrame两种技术。5.3 统一待办集成5.3.1 概述统一待办集成工作包含三个独立布署门户系统：全国门户、总部门户及省分门户，其中每个门户系统全部包含自己待办列表。总部或省分用户访问当地水平应用时产生待办工作信息将统一展现在当地门户待办列表中；而当总部或省分用户访问集中应用时，所产生待办工作信息需统一集成到当地门户（总部或省分门户）待办列表中。5.3.2 集成方法统一待办集成实现方法以下图：图5-

33、1 统一待办实现示意图为避免在两个门户系统之间直接进行数据交换可能造成性能和安全性问题，采取中间数据库方法对数据交换操作进行缓冲，即在全国门户、总部门户和省分门户均布署中间数据库表，待办数据交换将在这些库表间进行操作。全国集中应用生成待办信息将实时存放到全国门户中间数据库中，全国门户读取其中信息生成待办工作列表，展现给未建设门户省分用户使用。总部门户及省分门户定时从全国门户中间数据库中同时总部或本省待办数据至当地中间数据库，并生成统一待办列表展现在总部或省分门户上。定时同时频率为每小时一次。总部或省分用户在当地门户上点击待办工作链接，经过跨域认证（CDSSO）后可直接访问全国集中应用中对应数据

34、和功效。当用户完成业务处理后，全国集中应用将原来待办工作自动转变为已办工作，并实时地写入全国门户中间数据库中。此时全国门户中间数据库将触发实时更新过程，将已办工作数据实时更新至总部或省分门户中间数据库中。在完成上述每一步操作过程时，均须同时写入对应日志数据。5.3.3 表结构设计一、 待办数据库字段： 表5-1 待办数据库字段属性名属性描述属性类型长度是否为空是否自增PendingID待办IDLong否是PendingCode待办信息编号Varcher50否PendingTitle待办标题Varcher200否PendingDate待办时间Timesample否PendingPersonID待

35、办人UserIDVarcher50否PendingURL待办信息URLVarcher200否PandingStatus待办状态Varcher1否PandingCityCode省分代码Varcher10否PandingType待办信息起源Varcher50示例：PandingCityCode：山东（SD）日志数据库字段以下表： 表5-2 日志数据库字段属性名属性描述属性类型长度是否为空是否自增ID日志IDLong否时UserID操作人IDVarcher50否OperDesc操作描述Varcher200否OperDate操作时间Timestamp否其中，操作统计格式为：对*表进行了（增加/修改/删

36、除）操作，（增加/修改/删除了）编号*，标题*，指定待办人*数据。6 单点登录实现中国联通门户系统中认证和访问授权控制使用独立认证和授权系统实现。认证和授权系统基于Tivoli Access Manager建设。本部分将从门户内部、跨门户及全国门户三个方面步骤及技术细节进行深入叙述和要求。6.1 省分门户内单点登录图6-1省分门户内单点登录示意图省分门户内门户系统关键用来向用户展现来自各个系统信息。省分门户内单点登陆功效实现是经过“省分单点登陆系统”模块来实现。它功效包含有以下多个方面： 提供用户认证功效，包含用户名/密码和动态密码认证方法。 实现用户访问后台应用单点登陆功效。 依据用户角色和

37、预先定义权限，来判定用户能够访问那个应用系统。 统计下用户登陆操作和访问后台应用请求。用户访问门户步骤能够用以下步骤来描述： 用户经过“省分单点登陆系统”访问省分门户系统；“省分单点登陆系统”要求用户提供用户名/密码；用户向“省分单点登陆系统”提供有效用户名/密码；“省分单点登陆系统”经过和存放在LDAP中用户信息作比对成功后，要求用户提供动态口令；用户提供动态口令；单点登陆系统确定用户身份成功后，完成用户认证工作，而且统计到日志信息中。 在用户成功认证后，用户经过“省分单点登陆系统”连接到省分门户系统。依据用户访问省分门户系统中不一样页面，“省分单点登陆系统”会建立和后台应用系统连接，而且完

38、成单点登陆和向后台应用传输用户信息功效，后台应用系统依据用户信息来判定用户权限。6.2 集中应用系统接入各门户系统单点登录图6-2 集中应用系统接入各门户系统单点登录示意图用户在省分门户系统中访问集中应用系统步骤以下：1. 用户经过访问本省“省分单点登陆系统”访问省分门户系统，实现省分门户系统内单点登陆。2. 经过省分门户系统中特殊连接访问集中应用系统，当用户请求在省分门户和集中应用之间转发时，用户身份确实定也是经过两个单点登陆平台CDSSO模块来实现。3. 当用户信息从“省分单点登陆系统”CDSSO模块传输到“集中应用系统单点登陆系统”CDSSO模块后，“集中应用系统单点登陆系统”CDSSO

39、模块会依据用户相关信息来映射到当地用户账号。4. 在映射到当地用户账号后，也完成了到集中应用系统单点登陆功效。这种单点登陆功效实现和门户系统内单点登陆功效实现是一样。6.3 跨门户访问单点登录 图6-3 跨门户访问单点登录示意图跨门户访问步骤图6-3所表示：1. 用户登陆到总部单点登陆系统，能够访问总部门户系统中全部资源。2. 经过门户系统中特殊连接访问省分单点登陆系统，当用户请求在总部门户和省分门户系统之间转发时，用户身份确实定也是经过两个单点登陆平台CDSSO模块来实现。3. 当用户信息从总部单点登陆系统CDSSO模块传输到省分单点登陆系统CDSSO模块后，省分单点登陆系统CDSSO模块会

40、依据用户相关信息来映射到当地用户账号。4. 在映射到当地用户账号后，也完成了到省分门户系统单点登陆功效。这种单点登陆功效实现和门户系统内单点登陆功效实现是一样。6.4 CDSSO功效实现技术细节 图6-4标准环境中用户认证工作模式示意图标准环境中用户认证工作模式下，当接收到第一个用户请求时，WebSEAL意识到它并没有相关这个用户信息，所以发出认证挑战。用户响应挑战后而且验证了用户信息，WebSEAL为该用户建立了身份凭证。这个凭证和用户对话期间一些保持不变特征相联络，在这个例子里是SSL对话ID。当接收到该用户下一个请求时，WebSEAL从其长久特征中识别出该用户，而且采取代表该用户身份凭证

41、，这么该用户就无需再次进行身份认证了。图6-5 跨域环境中用户认证过程第一个阶段工作模式示意图跨域环境中必需找到WebSEAL服务器能够将一个用户身份信息传输给另一个安全领域方法。而且必需经过安全方法这么确保这些信息无法被截取，无法被别有用心人用来在新安全领域中冒充该用户。在不一样安全域中这种身份信息转移时两个阶段过程。首先，用户在当地领域网站上点击一个特殊链接来触发对当地WebSEAL服务器跨域单点登录请求。这一触发请求格式以下：:/作为对这一请求回应，当地WebSEAL服务器创建而且加密一个包含当地用户信息token。这个token和一个HTTP重定向请求一起发给用户浏览器。用户浏览器接收

42、到重定向请求后，它转向新安全领域WebSEAL服务器，将它请求（包含加密token）一起提交，这么就触发了CDSSO第二阶段过程。图6-6跨域环境中用户认证过程第二个阶段工作模式示意图跨域认证过程第二个阶段，新安全领域WebSEAL服务器接收到一个触发其CDSSO功效HTTP请求。它对该token进行解密（事先在两个安全域之间需要建立好共用密钥），从而取得该用户信息。接收方WebSEAL能够从HTTP请求中referrer header里发觉创建tokenWebSEAL服务器DNS域名，经过该域名它能够知道采取哪一个预先建立好共用密钥来对token进行解密。同时这也意味着出发链接必需在一个静态

43、页面中，它不能够在浏览器地址栏里手工键入。该用户信息可能会先经过一个用户映射程序映射到当地用户，然后再新安全领域里面为该用户创建身份凭证。接着假如一般登录过程，WebSEAL再将这个新用户凭证和用户和目前SSL ID进行连接。这么用户就在新安全领域里面创建了身份凭证，而且和她们之间SSL对话过程建立了链接关系，接下来用户就如同经过正常登录后一样继续访问新安全领域中多种资源。7 网络组织本部分将就IP、DNS、时钟同时、邮件域名等多个方面进行具体说明及明确具体规范要求。7.1 网络拓扑结构门户系统是基于TCP/IP协议计算机网络应用系统，经过多种数据通信手段将多种设备和各级子系统连接起来，形成完

44、整网络系统。整个门户系统网络拓扑结构示意图以下：图7-1 中国联通门户系统网络拓扑结构图门户系统网络组织由三级组成： 总部和全国门户系统：总部门户部分负责总部门户系统网络服务，包含多种网络接入服务，如LAN/WLAN、WAP、PDA、SMS等；全国门户部分提供全国垂直应用给各省分和地市用户使用。 省分企业门户系统：负责省分企业门户系统网络服务，包含多种网络接入服务，如LAN/WLAN、WAP、PDA、SMS等； 地市分企业节点：负责提供地市分企业职员到省企业门户系统网络访问，由省分企业集中建设。因为在MSS一期工程，联通总部和各省分企业已经建成了覆盖全国MSS传输网和各级MSS内部局域网，所以

45、门户系统能够利用现有MSS网络构建门户系统网络。另外，门户系统能够依据系统需求，增加门户服务器、认证管理服务器、用户目录服务器等服务器设备，也能够综合利用现有服务器设备。7.2 门户系统和应用系统网络层互连门户系统和应用系统互连能够有两种方法： 在网络条件满足时，在门户系统和应用系统之间建立网络通道，由门户系统相关组件直接访问应用系统，提供用户访问服务，如门户系统嵌入MSS系统。对于和BSS、OSS连接，必需配置防火墙设备，以保障系统安全，此时防火墙需要开放80端口，以实现和门户系统接口。 在网络条件不成熟，或因为安全缘故，网络条件无法和门户系统直接连接时，经过专门网关服务器，进行数据中转。如门户系统和经营分析系统连接，以获取报表数据；和短信中心连接，以实现短信收发。7.3 IP地址及DNS计划7.3.1 IP地址计划标准现在各省分均分配有独立B类IP网段，范围以下：10.185.0.0/16、10.192.0.0/16-10.224.0.0/16、10.243.0.0/16。各省分有独立IP地址计划标准，省分之间不统一。考虑到现在各省分之间IP地址计划不统一，所以此次系统建设省分IP地址统一计划只细化到C类网