联通内部门户技术规范.docx

《联通内部门户技术规范.docx》由会员分享，可在线阅读，更多相关《联通内部门户技术规范.docx（46页珍藏版）》请在三一办公上搜索。

1、目录目 录1前 言41 总则51.1 背景51.2 编制目的51.3 适用范围51.4 文档结构51.5 规范起草单位61.6 规范解释权61.7 参考文献61.8 名词解释和缩略语62 概述73 系统总体架构73.1 省分（总部）门户系统逻辑架构73.2 两级门户体系架构83.3 省分（总部）门户系统参考物理架构94 门户系统总体功能概述104.1 门户系统应用104.1.1 用户管理104.1.2 认证管理104.1.3 访问策略管理104.1.4 安全管理104.1.5 个性化服务104.2 企业应用集成104.3 统一的用户目录管理104.4 用户认证及访问权限控制114.4.1 用户

2、认证流程114.4.2 访问权限控制115 两级门户互联125.1 门户互联访问类型125.2 门户互连实现技术125.2.1 门户互联技术列举125.2.2 推荐方式及性能对比135.3 统一待办集成135.3.1 概述135.3.2 集成方式145.3.3 表结构设计146 单点登录实现156.1 省分门户内的单点登录156.2 集中应用系统接入各门户系统的单点登录166.3 跨门户访问的单点登录186.4 CDSSO功能实现的技术细节197 网络组织207.1 网络拓扑结构207.2 门户系统与应用系统的网络层互连217.3 IP地址及DNS规划227.3.1 IP地址规划原则227.3

3、.2 DNS调整原则227.3.3 NTP配置要求237.3.4 邮件域名要求238 门户系统技术要求248.1 总体设计技术要求248.1.1 系统设计要求248.1.2 系统性能要求248.1.3 系统监控设计要求298.1.4 备份和恢复设计要求308.1.5 安全性设计要求318.1.6 接口要求328.1.7 编码原则338.2 门户对被集成系统的技术要求358.2.1 C/S接入系统技术要求358.2.2 B/S接入系统技术要求358.2.3 域内应用系统集成的实现方式358.3 主机设备378.4 操作系统378.5 存储备份硬件设备378.5.1 存储设备378.5.2 备份设

4、备388.6 数据库388.7 门户平台软件398.8 目录服务平台软件408.9 机房环境要求408.9.1 机房温、湿度要求418.9.2 防尘要求418.9.3 防电磁干扰要求418.9.4 接地418.9.5 其它环境条件419 系统安全429.1 系统的可靠性429.1.1 系统可靠性、稳定性保障机制429.1.2 硬件可靠性429.1.3 软件可靠性439.1.4 平台稳定性要求439.2 网络接入安全439.2.1 身份验证439.2.2 拨号访问保护439.3 信息传输的安全439.3.1 完整性策略439.3.2 数据机密性449.3.3 网络可用性449.3.4 设备审计4

5、49.3.5 配置确认449.3.6 监视记录网络的活动449.3.7 入侵检测449.4 应用系统的安全449.4.1 主机系统安全449.4.2 操作系统安全459.4.3 病毒防范459.5 数据安全459.5.1 数据备份459.5.2 数据恢复46前言本规范主要规定了中国联通企业内部门户系统门户子系统的技术规范，主要包括系统总体架构、总体功能、两级门户互联、单点登录、网络组织、技术要求和系统安全等内容。中国联通企业内部门户系统的建设是企业信息化的重要组成部分，门户子系统是管理支持系统的重要组成部分。本规范是针对开发、建设中国联通总部、省分公司内部门户系统的门户子系统的技术规范，作为总

6、部及各省（直辖市、自治区）分公司门户系统建设工作的指导依据。有关企业内部门户系统的规范主要包括： 中国联通IT系统MSS系统域企业内部门户系统业务规范，包括门户子系统部分和用户目录子系统部分。 中国联通IT系统MSS系统域企业内部门户系统技术规范，包括门户子系统部分和用户目录子系统部分。 中国联通IT系统MSS系统域企业内部门户系统测试规范本标准由中国联通公司信息化部提出。本标准由中国联通公司技术部归口。本标准主要起草单位： 中讯邮电咨询设计院、中国联通信息化部本标准主要起草人：xx xx xx本标准的修改和解释权属中国联通公司。1 总则1.1 背景随着经济全球化趋势和中国加入WTO，中国电信

7、市场的政府管制力度将越来越弱，市场更加开放，竞争更加激烈。国内外市场环境要求国内的公众电信运营企业在经营理念、管理模式上能上升到较高层次，以求在电信运营商的国际化竞争中立于不败之地。中国联通作为国内唯一一家对所有电信业务拥有经营权的电信运营商，拥有全国范围内相当规模的公用电信网，经营多种基础电信业务和增值电信业务，形成移动（GSM/CDMA）、长途（193）、数据（165）、IP电话、市话、增值业务等多种业务并存共同发展的格局。中国联通在全国31个省、市、自治区建有分公司，为了有效的发挥公司内部资源，提高内部管理效率，提高经营管理水平，中国联通逐步统一规划、建设全国范围内的MSS系统。2003

8、年联通总部编制并通过了中国联通管理支持系统（MSS）总体方案，制定了MSS的总体建设思路。2004年，为指导同年进行的全国范围的MSS一期工程的建设，又组织编制并通过了中国联通管理支持系统（MSS）技术规范，其中明确了2004年的建设重点是实现公文流转、经营信息展现、电子邮件和基础网络设施等四个方面。经过一年的实施，已基本实现了一期的建设目标，同时也为联通MSS的后期建设打下了坚实的基础，创造了良好的信息化环境。2005年联通总部制定了新的建设任务，其中一个重点就是建设门户系统，为MSS、ERP提供统一的接入、认证和安全管理平台，为用户提供个性化的展现平台。企业信息门户的实施是MSS系统建设过

9、程中一个重要目标任务。为规范门户系统的建设，中国联通总部组织制定了中国联通企业内部门户系统技术规范，本文件为中国联通IT系统MSS系统域企业内部门户系统技术规范门户子系统部分（以下简称“本规范”）。1.2 编制目的为了在前期的基础上更有效指导企业内部门户系统建设实施工作，中国联通有限公司特制定本规范。与本规范配套使用的还有中国联通IT系统 MSS系统域 企业内部门户系统业务规范 门户子系统部分（主要提出了企业内部门户系统应具备的功能需求和相关要求），将共同指导、约束企业内部门户系统建设实施的相关工作。本规范可作为中国联通总部及各省分的内部门户系统建设实施项目的设计、开发、验收的相关依据。1.3

10、 适用范围本规范指导并规范中国联通各省分公司进行门户子系统的建设。各省可依照本规范以及其它相关规范、标准，结合本地实际情况建设总部及省分的门户系统。1.4 文档结构第一部分：总则，描述本文的背景、编制目的、适用范围、文档结构、规范起草单位、解释权与修订权、名词解释和缩略语等内容；第二部分：概述，对规范的定位进行了概括性描述；第三部分：系统总体构架，从软件逻辑架构、两级门户架构及物理模型三方面进行了概括性描述；第四部分：门户系统总体功能，对门户的功能、门户集成的相关应用系统以及用户目录管理、认证流程进行了介绍；第五部分：两级门户互联，概要说明了门户互联的方式，并详细介绍了几种互联技术方法，并针对

11、全国门户、省分（总部）门户待办集成的细节做出了规范要求；第六部分：单点登录实现，分别从门户内部、跨门户及全国门户三个方面的流程及CDSSO技术细节进行深入阐述和要求；第七部分：网络组织，对于网络拓扑结构、门户系统与应用系统的网络互联、IP地址及DNS规划等几个方面做出了说明和规范要求；第八部分：门户系统技术要求，对主机、存储、安全、门户软件等几个方面作出了要求，对于集成应用系统的用户管理、展现及单点登录提出具体的技术要求和可选方案；第九部分：对总体系统的可靠性，网络安全性，信息安全性，应用系统的安全性，数据安全性进行了相关说明并提出了相关要求。1.5 规范起草单位本规范起草单位为中国联合通信有

12、限公司信息化部、中讯邮电咨询设计院。本规范增补、修订权属中国联合通信有限公司信息化部。1.6 规范解释权本规范的解释权为中国联合通信有限公司信息化部。1.7 参考文献中国联通IT系统总体技术体制v1.01.8 名词解释和缩略语BSS：Business Supporting System，业务支持系统。EAI：Enterprise Application Integration，企业应用集成。ERP：Enterprise Resource Planning，企业资源计划。LDAP：Lightweight Directory Access Protocol，轻量级目录访问协议。MSS：Manage

13、ment Supporting System，管理支持系统。Portal：门户，在本规范中指企业内部门户，是用户和管理支撑系统、业务系统之间的桥梁。门户系统将企业分散的应用和信息进行聚合，实现应用关联和信息共享，供决策支持服务。Portlet：是基于应用系统的展现端组件，通过与应用系统的接口获得应用数据和操作功能。Portlet可以是Portal系统的一部分，由Portal系统提供工具和运行环境实现Portlet的生成、运行、授权、维护等管理工作。SSO：Single Sign-on，单点登录，即用户登录后不需要再次提供认证信息就可以访问相关各应用系统。CDSSO：Cross Domain S

14、SO，跨域的单点登录，即在两个独立的安全域之间实现的单点登录。 TAM：Tivoli Access Manager 提供集中式的认证/授权/审计功能，并实现对门户及各种后台子系统的单点登陆。包括Policy Server和WebSeal两个主要的组件。 TIM：Tivoli Identity Manager 提供集中式的账户生命周期管理，通过TIM可以实现对各种后台子系统的账户管理，包括Domino/AD/ERP等系统的帐户信息。IDI：IBM Directory Integrator 通过各种标准的连接器与各种账户注册表进行连接，并通过流水线对数据进行处理，从而实现账户数据的同步。IDS:

15、IBM Tivoli Directory Server 基于LDAP标准的LDAP目录服务器,用户信息存储在这个目录服务器中,并可以根据联通公司的需求来灵活的定义用户的属性信息.LTPA: LightWeight Third Party Authentication，轻量级第三方认证（LTPA）的认证机制, LTPA 定义了存储在客户端上的令牌格式，运行在不同机器上的WEB 应用程序使用 LTPA实现用户认证信息的传递。iFrame: 主浏览器窗口的一个子窗口。从运行在它上面的软件的来看，iFrame是属于它自己的窗口，能够独立于包含自己的窗口之外而独立运行。NTP：网络时间协议（Networ

16、k Time Procotol）。它的目的是在互联网上传递统一、标准的时间。具体的实现方案是在网络上指定若干时钟源网站，为用户提供授时服务，并且这些网站间应该能够相互比对，提高准确度。2 概述企业信息门户系统包括门户子系统和用户目录子系统。对于“中国联通企业信息门户系统”的理解，可以从以下几个方面予以直观定义：（1） 是直接面向全部的联通员工（含各级领导，以下同）的内部信息服务界面，以支持日常管理工作为目的；（2） 是联通员工接触企业信息资源（获取必要的企业信息和数据、以及操作相关的应用系统）的统一入口、统一渠道，并根据登陆门户系统的员工角色来呈现相应的信息服务功能界面；（3） 从用户（即联通

17、员工）体验的角度，对单点登录（SSO）的支持是门户系统的典型特征；（4） 对企业机构组织及员工信息，以及应用系统和信息数据资源的访问权限进行统一管理，以确保企业信息和IT系统的安全性；（5） 从技术实现上讲，门户系统要解决企业信息内容和应用系统的聚集，即把企业信息通过有机的集中手段来展现、提供给用户。门户子系统和用户目录子系统共同实现中国联通企业信息门户系统。3 系统总体架构 本部分将从系统软件逻辑架构、两级门户架构及物理模型三个方面对内部门户系统进行概括性描述。3.1 省分（总部）门户系统逻辑架构图 3-1 联通企业信息门户系统层次划分示意图图中系统的描述了联通企业信息门户系统的层次划分：l

18、 用户端：中国联通信息门户系统的客户端目前考虑主要对普通的PC浏览器提供访问支持。在条件成熟时，可以对部分用户经常需要访问的应用：如办公系统、邮件系统等提供PDA和手机等移动终端访问的支持。l 接入层：接入层是直接接受用户访问请求的应用层，它的功能主要包括：用户的认证、用户动态信息访问请求的转发、对于静态内容的缓存等。接入层的主要作用一方面是提高系统效率，另一方面是保障门户系统的访问安全，防止非授权的非法访问。l 应用层：用以提供用户管理服务和门户服务的应用。主要是门户服务引擎和用于整合一系列后端应用的Portlet，另外在这一层还包括储存用户信息的目录服务器以及存放门户所需数据的数据库。l

19、应用系统层：主要是中国联通目前已有和准备将来建设的后端应用系统。3.2 两级门户体系架构无论总部门户、省分门户还是全国门户，域内体系架构都按照省分或总部协同办公系统逻辑架构统一建设。为了实现互连互通的业务目标，各级门户要综合考虑实现门户互访的技术要求，下图是两级门户体系架构的示意图。 图 3-2 MSS系统两级门户体系架构示意图由图3-2可以看出，为了实现两级门户体系，需要考虑以下的技术要点：l 总部门户、省分门户和全国门户使用一致的门户平台和统一认证平台产品；l 总部门户、省分门户和全国门户域内的结构按照总部门户、省分门户和全国门户体系结构设计实现；l 用户身份的确认也是通过两个单点登陆平台

20、的CDSSO模块来实现，单点登陆系统的CDSSO模块会按照一对一的原则对应到存储在本地用户目录中的远程用户；l 用户通过门户中提供的特殊连接，实现跨门户的互访；l 省分、总部、全国门户系统中用户信息需要同步；l 针对Portal中iFrame Portlet, 采用WebSEAL的CDSSO方式来实现；l 针对WSRP，全国Portal和总部Portal，省Portal之间采用LTPA方式，所有的Portal服务器采取相同的LTPA Key，相同的域名，和时钟同步。采用LTPA来实现Portal和Portal之间的身份传递，WebSEAL和Portal集成也为LTPA的方式。3.3 省分（总部

21、）门户系统参考物理架构门户系统物理构架需要考虑以下要求： l 物理架构设计的原则是高性能，高可扩展性和高可用性相结合。l 物理架构只作为实施阶段的参考，不强制严格按照本架构实现。具体物理架构图参见中国联通IT系统MSS系统域企业内部门户系统技术规范_用户目录子系统部分。4 门户系统总体功能概述本部分将就门户的功能、门户集成的相关应用系统以及用户目录管理、认证流程进行阐述。4.1 门户系统应用门户系统负责提供用户访问的安全控制手段、个性化内容展现、内容管理和门户相关服务功能等应用，具体包括：4.1.1 用户管理提供企业门户用户信息的管理手段，并与统一访问控制管理的人员目录管理机制相结合，为实现通

22、过门户系统访问内部资源的单一登录机制提供人员信息基础。4.1.2 认证管理提供支持多种认证方式，包括静态密码、动态密码、数字证书等，对用户访问进行身份认证。同时，可以直接利用已有系统中的用户账户信息，进行身份认证。4.1.3 访问策略管理为用户访问门户系统提供信息访问权限控制、访问渠道管理等多种功能，并为个性化服务提供访问策略控制定义。4.1.4 安全管理提供防侵入、防病毒等手段，保证企业内部资源的安全。同时，提供负载均衡、容灾等机制，保证系统的高效性和安全可靠性。4.1.5 个性化服务在系统统一控制管理的基础上，为员工提供个性化的管理平台。访问者可以根据自身工作性质和对企业资源的访问需求，设

23、置个性化的访问界面，并通过这种个性化的服务查阅、管理相关的信息。4.2 企业应用集成 企业应用集成包括分布在中国联通总部和各省分公司现有的信息系统，主要包括OA、邮件、经营分析等系统。4.3 统一的用户目录管理统一企业信息资源管理主要实现对企业内部所有的人员、组织、工作组、角色、应用系统等信息的统一保存和管理，为门户系统提供认证、访问授权和资源管理服务。统一信息资源管理一般通过LDAP技术以目录服务的形式实现。关于目录对象的具体定义、目录服务的管理和集成，参见中国联通IT系统MSS系统域企业内部门户系统技术规范_用户目录子系统部分。4.4 用户认证及访问权限控制4.4.1 用户认证流程用户认证

24、即用户登录到系统中，系统确认登录信息有效后，为其提供一个合法的身份。Tivoli Access Manager的WebSeal组件是所有应用系统的统一的认证入口。根据不同的安全需求，可以采用不同的认证方式进行用户身份的认证。 通过目录服务存储的用户ID和口令来认证用户身份； 采用X509v3电子证书，电子证书存放在客户端，通过调用客户端的证书进行身份认证。对于系统认证的方式可以根据现有系统的安全需求，采用某一种认证方式，或者使用多种认证方式以保证系统访问的安全性。鉴于现有应用系统的用户接入主要采用内网接入的方式，因此用户认证主要采用用户ID和口令的方式，部分安全级别较高的应用系统可以采用二次认

25、证的方式。用户认证通过WebSeal组件进行统一认证，用户进入系统的认证流程如下：图4-1用户认证流程说明：（1） 用户通过用户ID+密码进行系统登录。（2） WebSeal组件通过LDAP提供的接口从LDAP服务进行用户身份认证；（3） LDAP认证服务将用户认证信息返回到TAM策略管理组件，该组件根据用户角色决定用户能够使用的应用功能及个性化定制；（4） TAM策略管理模块把用户可以使用的相应的功能及个性化定制内容返回给门户系统；（5） 门户系统将用户可见的应用功能可内容展现到用户浏览器中。（6） 用户通过门户系统访问在门户上集成的应用系统时通过WebSeal组件完成单点登陆认证，具体单点

26、登陆认证实现参见中国联通IT系统MSS系统域企业内部门户系统技术规范_用户目录子系统部分。4.4.2 访问权限控制用户的权限包括对应用的访问权限和操作权限。访问权限用于控制不同用户对系统数据和功能的访问范围，可以根据用户所在的用户组或角色来控制用户在系统中的访问权限。操作权限是控制用户组或角色的对系统中资源的访问操作权限，操作权限由系统管理员来定义系统中的用户组或角色，并分配其相应的系统操作功能和访问页面。为更好的集中管理各系统中用户的访问权限，需要将系统的访问权限由Tivoli Access Manager系统统一进行管理，而系统的访问权限主要是通过管理用户的属性，也就是管理用户所在的用户组

27、或角色，来控制用户在系统中的访问权限。而对于操作权限，即用户组或角色的权限分配由原系统各自分配和管理。为规范新建系统实现统一授权管理，需要在统一用户管理的基础上，将各系统用户所在的用户组或角色信息，以用户属性的方式加载到统一用户目录中，然后由门户系统提供统一的用户授权页面，根据各系统中用户所属的用户组或角色，以实现用户访问门户系统的统一用户访问授权管理。5 两级门户互联本部分将概要说明门户互联的方式，详细介绍几种门户互联技术实现方法及对比，并针对全国门户、省分（总部）门户待办集成的细节作出规范要求。5.1 门户互联访问类型门户系统间的互连，主要是指某个用户通过本地门户访问异地的门户，主要支持下

28、面几种情况的门户互访：1） 总部用户能够通过总部门户访问各省分门户，并通过省分门户访问省分的办公自动化、经营分析等系统的数据和信息。2） 总部用户能够通过总部门户访问全国门户中的集中应用。3） 省分用户能够通过省分门户访问全国门户中的集中应用。在进行门户互访时需要解决的主要问题就是跨域单点登录，即需要在两个门户之间建立互相信任机制，通过这种信任机制允许对方系统的用户访问归属地的应用。5.2 门户互连实现技术5.2.1 门户互联技术列举 链接直接跳转链接直接跳转是指在需要访问到其他门户网站上的信息时直接跳转到另一个门户网站。用户在进行跨门户的跳转时，不同门户之间的用户信息的传递通过跨域的单点登录

29、(CDSSO)来实现。链接跳转是门户互联互通时最基本的一种互连方式，各省的门户均应实现与全国门户的链接跳转方式的互联，即各省用户能够通过连接跳转的方式跳转到全国门户中，全国门户能够识别用户的身份，并授予相应的访问权限。总部门户需要实现与全国门户以及各省门户的链接跳转式的互联互通。 iFrame各级门户之间通过Portal提供的iFrame Portlet实现远程门户内容在本地门户的展现。 WSRPWSRP是业界标准的门户之间互联的标准，WSRP可以实现在一个门户上调用另一个远程的门户上运行的portlet。它有两个步骤：1）服务提供者将本地的portlet以WSRP的方式发布出来。2)服务使用

30、者在远程portlet目录中浏览相应的服务，并将选中的服务添加到本地门户中。总部或者省分用户在需要在本地显示全国门户上特定Portlet内容时，可以使用WSRP方式。与链接跳转不同的是WSRP在显示源于其他门户上的信息时，仍然是在本地门户系统上进行，而链接方式将客户导引到远程的门户系统上。 通用Web服务通用Web服务与WSRP类似，也是在本地的门户上调用远程门户上的内容，他们的区别是WSRP是对远程门户上界面信息的远程调用，而通用Web服务是通过web服务方式，调用远程服务的数据以及流程。 RSSRSS(Rich Site Summary)是当前流行的一种信息发布格式，众多的公共网站都对该协

31、议提供了支持。RSS是通过xml的格式，发布内容的摘要和内容，供其它的RSS客户端进行远程的调用。各省分需要发布到总部或全国门户上的内容，以及总部希望发布到各省门户上的内容可以使用RSS进行发布。具体实现方式是内容的提供方以RSS格式提供内容，在使用方的门户上部署RSS portlet，将远程数据源上的RSS内容提供给门户的用户。 统一开发Portlet分别部署由总部或者总部指定的部门统一开发连接特定应用的portlet，然后由各省的管理员部署到全国及各省的门户系统中，并根据本省系统的实际情况进行参数配置。统一开发portlet分别部署能够有效重用开发资源，并且运行时有较高的运行效率。WSRP

32、、通用Web服务、RSS方式等方式都是在各个省分公司通过远程调用的方式获得已经在总部门户上部署好的内容，当总部门户内容发生变化是，WSRP等机制会把变化的内容直接反映到各个省分公司，不需要省分公司人员干预。而这种方式需要一个把在总部开发好的Portlet发送到各个省分公司，由省分公司管理员单独部署的过程。 所以这个方式和WSRP等方式最大的区别的是，WSRP方式是通过省分门户Portlet调用总部门户Porlet实现的，而这个方式是通过把统一开发好的Portlet部署到各个省分门户，然后通过这个Portlet调用总部具体的某个应用实现的，不需要借助访问总部门户系统。5.2.2 推荐方式及性能对

33、比为实现两级门户系统互联的业务目标，推荐链接直接跳转、iFrame和WSRP三种技术为可选的门户互联实现方式。通过试点阶段进行的性能对比测试可知：采用链接直接跳转和iFrame时，系统响应速度较快；采用WSRP时，系统响应速度较慢。因此建议优先采用链接直接跳转和iFrame两种技术。5.3 统一待办集成5.3.1 概述统一待办集成工作涉及三个独立部署的门户系统：全国门户、总部门户及省分门户，其中每个门户系统都包含自己的待办列表。总部或省分用户访问本地水平应用时产生的待办工作信息将统一展现在本地门户的待办列表中；而当总部或省分用户访问集中应用时，所产生的待办工作信息需统一集成到本地门户（总部或省

34、分门户）的待办列表中。5.3.2 集成方式统一待办集成的实现方式如下图：图5-1 统一待办实现示意图为避免在两个门户系统之间直接进行数据交换可能导致的性能和安全性问题，采用中间数据库的方式对数据交换操作进行缓冲，即在全国门户、总部门户和省分门户均部署中间数据库表，待办数据的交换将在这些库表间进行操作。全国集中应用生成的待办信息将实时存储到全国门户的中间数据库中，全国门户读取其中的信息生成待办工作列表，展现给未建设门户的省分的用户使用。总部门户及省分门户定期从全国门户的中间数据库中同步总部或本省的待办数据至本地的中间数据库，并生成统一待办列表展现在总部或省分门户上。定期同步的频率为每小时一次。总

35、部或省分用户在本地门户上点击待办工作链接，通过跨域认证（CDSSO）后可直接访问全国集中应用中的相应数据和功能。当用户完成业务处理后，全国集中应用将原来的待办工作自动转变为已办工作，并实时地写入全国门户的中间数据库中。此时全国门户的中间数据库将触发实时更新过程，将已办工作数据实时更新至总部或省分门户的中间数据库中。在完成上述每一步操作过程时，均须同步写入相应的日志数据。5.3.3 表结构设计一、 待办数据库字段： 表5-1 待办数据库字段属性名属性描述属性类型长度是否为空是否自增PendingID待办IDLong否是PendingCode待办信息的编号Varcher50否PendingTitl

36、e待办标题Varcher200否PendingDate待办时间Timesample否PendingPersonID待办人UserIDVarcher50否PendingURL待办信息URLVarcher200否PandingStatus待办状态Varcher1否PandingCityCode省分代码Varcher10否PandingType待办信息来源Varcher50示例：PandingCityCode：山东（SD）日志数据库字段如下表： 表5-2 日志数据库字段属性名属性描述属性类型长度是否为空是否自增ID日志IDLong否时UserID操作人IDVarcher50否OperDesc操作描述

37、Varcher200否OperDate操作时间Timestamp否其中，操作的记录格式为：对*表进行了（增加/修改/删除）操作，（增加/修改/删除了）编号*，标题*，指定待办人*的数据。6 单点登录实现中国联通门户系统中认证和访问授权控制使用独立的认证和授权系统实现。认证和授权系统基于Tivoli Access Manager建设。本部分将从门户内部、跨门户及全国门户三个方面的流程及技术细节进行深入阐述和要求。6.1 省分门户内的单点登录图6-1省分门户内的单点登录示意图省分门户内的门户系统主要用来向用户展现来自各个系统的信息。省分门户内单点登陆功能的实现是通过“省分单点登陆系统”模块来实现的

38、。它的功能包括有以下几个方面： 提供用户认证的功能，包括用户名/密码和动态密码的认证方式。 实现用户访问后台应用的单点登陆功能。 根据用户的角色和预先定义的权限，来判定用户可以访问那个应用系统。 记录下用户的登陆操作和访问后台应用的请求。用户访问门户的步骤可以用以下的步骤来描述： 用户通过“省分单点登陆系统”访问省分门户系统；“省分单点登陆系统”要求用户提供用户名/密码；用户向“省分单点登陆系统”提供有效的用户名/密码；“省分单点登陆系统”通过和存放在LDAP中的用户信息作比对成功后，要求用户提供动态口令；用户提供动态口令；单点登陆系统确认用户身份成功后，完成用户的认证工作，并且记录到日志信息

39、中。 在用户成功认证后，用户通过“省分单点登陆系统”连接到省分门户系统。根据用户访问省分门户系统中的不同页面，“省分单点登陆系统”会建立和后台应用系统的连接，并且完成单点登陆和向后台应用传递用户信息的功能，后台应用系统根据用户信息来判定用户的权限。6.2 集中应用系统接入各门户系统的单点登录图6-2 集中应用系统接入各门户系统的单点登录示意图用户在省分门户系统中访问集中应用系统的步骤如下：1. 用户通过访问本省的“省分单点登陆系统”访问省分门户系统，实现省分门户系统内的单点登陆。2. 通过省分门户系统中的特殊连接访问集中应用系统，当用户请求在省分门户和集中应用之间转发时，用户身份的确认也是通过

40、两个单点登陆平台的CDSSO模块来实现的。3. 当用户信息从“省分单点登陆系统”的CDSSO模块传递到“集中应用系统单点登陆系统”的CDSSO模块后，“集中应用系统单点登陆系统”的CDSSO模块会根据用户的相关信息来映射到本地的用户账号。4. 在映射到本地用户账号后，也完成了到集中应用系统的单点登陆的功能。这种单点登陆功能的实现和门户系统内的单点登陆功能的实现是一样的。6.3 跨门户访问的单点登录 图6-3 跨门户访问的单点登录示意图跨门户访问的步骤如图6-3所示：1. 用户登陆到总部单点登陆系统，可以访问总部门户系统中的所有资源。2. 通过门户系统中的特殊连接访问省分单点登陆系统，当用户请求

41、在总部门户和省分门户系统之间转发时，用户身份的确认也是通过两个单点登陆平台的CDSSO模块来实现的。3. 当用户信息从总部单点登陆系统的CDSSO模块传递到省分单点登陆系统的CDSSO模块后，省分单点登陆系统的CDSSO模块会根据用户的相关信息来映射到本地的用户账号。4. 在映射到本地用户账号后，也完成了到省分门户系统的单点登陆的功能。这种单点登陆功能的实现和门户系统内的单点登陆功能的实现是一样的。6.4 CDSSO功能实现的技术细节 图6-4标准环境中用户认证的工作模式示意图标准环境中用户认证的工作模式下，当接收到第一个用户请求时，WebSEAL意识到它并没有关于这个用户的信息，因此发出认证

42、挑战。用户响应挑战后并且验证了用户信息，WebSEAL为该用户建立了身份凭证。这个凭证和用户对话期间的某些保持不变的特性相联系，在这个例子里是SSL的对话ID。当接收到该用户的下一个请求时，WebSEAL从其长期特性中识别出该用户，并且采用代表该用户的身份凭证，这样该用户就无需再次进行身份认证了。图6-5 跨域环境中用户认证过程的第一个阶段工作模式示意图跨域环境中必须找到WebSEAL服务器能够将一个用户的身份信息传递给另一个安全领域的方法。而且必须通过安全的方式这样保证这些信息无法被截取，无法被别有用心的人用来在新的安全领域中冒充该用户。在不同安全域中的这种身份信息转移时两个阶段的过程。首先

43、，用户在本地领域的网站上点击一个特殊的链接来触发对本地WebSEAL服务器的跨域单点登录请求。这一触发请求的格式如下：作为对这一请求的回应，本地WebSEAL服务器创建并且加密一个包含本地用户信息的token。这个token和一个HTTP重定向请求一起发给用户浏览器。用户浏览器接收到重定向请求后，它转向新的安全领域的WebSEAL服务器，将它的请求（包括加密的token）一起提交，这样就触发了CDSSO的第二阶段过程。图6-6跨域环境中用户认证过程的第二个阶段工作模式示意图跨域认证过程的第二个阶段，新的安全领域的WebSEAL服务器接收到一个触发其CDSSO功能的HTTP请求。它对该token

44、进行解密（事先在两个安全域之间需要建立好共用的密钥），从而获得该用户的信息。接收方的WebSEAL可以从HTTP请求中的referrer header里发现创建token的WebSEAL服务器的DNS域名，通过该域名它可以知道采用哪一个预先建立好的共用密钥来对token进行解密。同时这也意味着出发链接必须在一个静态页面中，它不可以在浏览器的地址栏里手工键入。该用户的信息可能会先经过一个用户映射程序映射到本地用户，然后再新的安全领域里面为该用户创建身份凭证。接着如果普通的登录过程，WebSEAL再将这个新的用户凭证和用户与当前的SSL ID进行连接。这样用户就在新的安全领域里面创建了身份凭证，并

45、且与他们之间的SSL对话过程建立了链接关系，接下来用户就如同通过正常登录后一样继续访问新的安全领域中的各种资源。7 网络组织本部分将就IP、DNS、时钟同步、邮件域名等几个方面进行详细说明及明确具体的规范要求。7.1 网络拓扑结构门户系统是基于TCP/IP协议的计算机网络应用系统，通过各种数据通信手段将各种设备和各级子系统连接起来，形成完整的网络系统。整个门户系统网络拓扑结构示意图如下：图7-1 中国联通门户系统网络拓扑结构图门户系统的网络组织由三级构成： 总部和全国门户系统：总部门户部分负责总部门户系统的网络服务，包括各种网络接入服务，如LAN/WLAN、WAP、PDA、SMS等；全国门户部分提供全国垂直应用给各省分和地市用户使用。 省分公司门户系统：负责省分公司门户系统的网络服务，包括各种网络接入服务，如LAN/WLAN、WAP、PDA、SMS等； 地市分公司节点：负责提供地市分公司员工到省公司门户系统的网络访问，由省分公司集中建设。由于在MSS一期工程，联通总部和各省分公司已经建成了覆盖全国的MSS传输网和各级MSS内部局域网，因此门户系统可以