一种在电信网上营业厅实现单点登录的方法

1.一种在电信网上营业厅实现单点登录的方法，其特征是：
A、在电信服务器上建立统一身份认证系统UAM，配置电信网上营业厅到各个业务子系统之间的接口模块；
B、将电信的三户信息即客户信息、账户信息、用户信息，统一在UAM进行存储，UAM向电信的各业务子系统提供三户数据的同步接口；电信三户信息进行集中认证，UAM向各个业务系统提供统一的集中认证接口；
C、配置UAM用户身份验证模块和电信网上营业厅之间的数字证书、配置UAM和各业务子系统之间身份认证的数字证书；
它包括以下步骤：
（1）用户访问电信网上营业厅受限资源；
（2）网上营业厅检查电信服务器中是否存在与用户客户端对应的局部Token即用户访问相应业务子系统的认证信息，如果存在则登录业务子系统成功；否则，转步骤（3）；
（3）网上营业厅重新向用户请求到统一认证平台UA；
（4）UA检查电信服务器中是否存在与用户客户端对应的全局Token即用户在网上营业厅或者任意一个业务系统实现过登录所生成的认证信息；
若全局Token不存在，UA向用户提供认证登录页面，提示用户输入三户信息中的任一认证信息，UA对用户进行认证，认证通过生成全局Token，转步骤（5）；如果认证失败，由UA弹出登录出错信息；
若全局Token存在，则转步骤（5）；
（5）UA生成本次认证用户在网上营业厅的Ticket及断言信息；
（6）UA将用户浏览器重定向到网上营业厅，同时附带本次认证的Ticket；
（7）网上营业厅根据传回的Ticket向UA查询该Ticket对应的断言信息；
（8）UA将该Ticket对应的断言信息返回给网上营业厅，并销毁该Ticket；
（9）网上营业厅生成局部Token,标记用户登录身份，登录成功；
（10）网上营业厅向用户浏览器显示登录成功页面；
由于全局Token存在，即可通过UAM认证，UAM就会生成一个合法认证信息给网上营业厅或者业务系统，这个合法认证信息称为断言，每一个断言有一个索引ID，这个索引ID称为Ticket。
2.根据权利要求1所述的一种在电信网上营业厅实现单点登录的方法，其特征是A中，配置电信网上营业厅到各个业务子系统之间的接口模块包括以下步骤：
（1）配置UAM基本信息，包括业务系统编码，平台接入地址，平台注册状态，平台接入状态信息；
（2）配置UAM业务平台信息，包括业务系统编码，业务系统名称，业务系统局部退出地址；
（3）配置UAM参数信息，包括UAM地址、网上营业厅系统编码、认证断言有效时长、集团UAM接口地址。
3.根据权利要求1所述的一种在电信网上营业厅实现单点登录的方法，其特征是C中，配置身份认证的数字证书包括以下步骤：
（1）生成UAM数字证书并部署,部署过程是将数字证书复制保存到UAM的应用服务器上；
（2）生成UAM用户身份验证模块和电信网上营业厅之间的数字证书并提供给网上营业厅；
（3）生成UAM和各业务子系统之间身份认证的数字证书并提供给各个业务系统。

一种在电信网上营业厅实现单点登录的方法\n技术领域\n[0001] 本发明涉及电信业务支撑系统，尤其是能实现各个支撑系统业务系统的集中认证、单点登录、电信客户信息、账户信息以及用户信息的数据同步的方法，具体地说是一种在电信网上营业厅实现单点登录的方法。\n背景技术\n[0002] 目前，中国电信目前的网上营业厅、营业厅、10000号、自助终端等渠道接触系统存在多种形式的认证体系，有基于CRM客户标识及客户密码的认证，基于产品标识及产品密码的认证，基于帐户的认证等；某些省份还在此基础上演化出新的认证形式：如产品标识和客户密码的认证、客户ID和两级客户密码的认证等。这使得现有的认证方式复杂多样。\n认证数据大多分布在MBOSS域的核心支撑系统之内，客观上使得CRM、计费帐务等支撑系统除了完成业务运营支撑功能之外，还需要为渠道接触系统提供客户、帐户、产品等实体的认证服务，从而加重核心支撑系统的负担。\n[0003] 同时，中国电信的企业转型也带动了增值业务的迅猛发展，亟需通过门户网站整合增值业务的业务资源，为电信客户提供集中统一的业务呈现和业务使用渠道。中国电信网上营业厅作为电信客户接触的重要渠道，迫切需要进一步提升其作为门户网站的地位，以门户建设带动业务整合，逐步发展为集客户服务、业务宣传、产品使用为一体的客户综合服务门户。\n[0004] 另外，随着电信增值业务的发展和业务平台的增多，用户除了记忆渠道接触系统的客户服务类帐号外，还需要记忆多种增值业务产品使用帐号，每次登录一个业务平台前都需要提供相应的身份认证信息，这带给用户不方便的使用感受，同时也不利于电信推广多种业务的捆绑销售。\n[0005] 因此需要建立针对MBOSS外部客户的统一认证中心（以下简称“统一认证平台”），一方面整合现有的各种认证体系，屏蔽CRM等核心支撑系统的认证，统一为渠道接触系统提供认证服务。另一方面当用户从网上营业厅等渠道接触系统集中使用各增值业务时，提供跨业务和平台的统一认证和单点登录，从而达到用户体验的提升。\n发明内容\n[0006] 本发明的目的是针对现有电信网上营业厅的登录流程繁复，电信用户需要记住多个业务系统的注册帐号和密码，且在电信网上营业厅路由到各个业务系统的过程中需要多次进行登录认证等问题所提供的一种具备结构合理、良好可扩展性、安全性等特征的基于Web和数字证书安全处理的技术架构。\n[0007] 本发明的技术方案是：\n[0008] 一种在电信网上营业厅实现单点登录的方法：\n[0009] A、在电信服务器上建立统一身份认证系统UAM，配置电信网上营业厅到各个业务子系统之间的接口模块；\n[0010] B、将电信的三户信息即客户信息、账户信息、用户信息，统一在UAM进行存储，UAM向电信的各业务子系统提供三户数据的同步接口；电信三户信息进行集中认证，UAM向业务子系统提供统一的集中认证接口；\n[0011] C、配置UAM用户身份验证模块和电信网上营业厅之间的数据证书、配置UAM和各业务子系统之间身份认证的数字证书。\n[0012] 本发明的A中，配置电信网上营业厅到各个业务子系统之间的接口模块包括以下步骤：\n[0013] （1）配置UAM基本信息，包括业务子系统平台编码，平台接入地址，平台注册状态，平台接入状态信息；\n[0014] （2）配置UAM业务平台信息，包括业务子系统编码，业务平台名称，业务平台局部推出地址；\n[0015] （3）配置UAM参数信息，包括UAM地址、网上营业厅系统编码、认证断言有效时长、集团UAM接口地址。\n[0016] 本发明的C中，配置身份认证的数字证书包括以下步骤：\n[0017] （1）生成UAM数字证书并部署,部署过程既是将数字整数复制保存到UAM的应用服务器上；\n[0018] （2）生成UAM用户身份验证模块和电信网上营业厅之间的数据证书并提供给网上营业厅；\n[0019] （3）生成UAM和各业务子系统之间身份认证的数字证书并提供给各个业务系统；\n[0020] 本发明以下步骤：\n[0021] （1）用户访问电信网上营业厅受限资源；\n[0022] （2）网上营业厅检查电信服务器中是否存在与用户客户端对应的局部Token即用户访问相应业务子系统的认证信息，如果存在则登录业务子系统成功；否则，转步骤3；\n[0023] （3）网上营业厅重新向用户请求到统一认证平台UA；\n[0024] （4）UA检查电信服务器中是否存在与用户客户端对应的全局Token即用户在网上营业厅或者任意一个业务系统实现过登录所生成的认证信息的认证信息；\n[0025] 若全局Token不存在，UA向用户提供认证登录页面，提示用户输入三户信息中的任一认证信息，UA对用户进行认证，认证通过生成全局Token，转步骤5；如果认证失败，由UA弹出登录出错信息；\n[0026] 若全局Token存在，则转步骤5；\n[0027] （5）UA生成本次认证用户在网上营业厅的Ticket及断言信息；断言信息是指本次认证确认合法的描述信息,Ticket是这个断言的索引；\n[0028] （6）UA将用户浏览器重定向到网上营业厅，同时附带本次认证的Ticket；\n[0029] （7）网上营业厅根据传回的Ticket向UA查询该Ticket对应的断言信息；\n[0030] （8）UA将该Ticket对应的断言信息返回给网上营业厅，并销毁该Ticket；\n[0031] （9）网上营业厅生成局部Token,标记用户登录身份，登录成功；\n[0032] （10）网上营业厅向用户浏览器显示登录成功页面。\n[0033] 由于全局Token存在，即可通过UAM认证，UAM就会生成一个合法认证信息给网上营业厅或者业务系统，这个合法认证信息称为断言，每一个断言有一个索引ID，这个索引ID称为Ticket。\n[0034] 本发明的有益效果：\n[0035] 1、提升客户使用体验：客户在同一渠道平台内登录之后，在业务平台之间实现一次认证、全业务访问。\n[0036] 2、促进以客户为中心的帐号经营：随着电信增值业务的快速发展，以客户为中心的帐号经营成为发展趋势，需要整合多种帐号体系；同样也需要提升面向客户的网上营业厅的门户地位，带动业务资源的整合，实现跨系统和平台的统一认证和单点登录，满足服务界面的一体化和客户体验的一致性要求。\n[0037] 3、优化IT架构：一方面减轻了核心支撑系统（如CRM、计费帐务等）的认证压力；另一方面构建统一认证、集中管理、数据共享、安全高效的认证体系，为其它业务平台的接入降低成本。\n附图说明\n[0038] 图1是UAM（统一认证）系统和支撑系统以及电信网上营业厅、各个业务系统之间的关系示意图。\n[0039] 图2是UAM（统一认证）实现单点登录的示意图。\n[0040] 图3是UAM（统一认证）实现联邦式单点登录的序列图。\n具体实施方式\n[0041] 下面结合附图和实施例对本发明作进一步的说明。\n[0042] 如图1所示，一种在电信网上营业厅实现单点登录的方法，它包括以下步骤：\n[0043] A、电信的三户信息即客户信息、账户信息、用户信息，统一在UAM进行存储，UAM提供三户数据的同步接口；\n[0044] B、电信三户信息进行集中认证，UAM提供统一的集中认证接口；\n[0045] C、用户在电信网上营业厅一次登录后，使用营业厅上面的业务子系统，不需要再次进行认证，由UAM实现单点登录；\n[0046] D、联邦式单点登录模式，网上营业厅、UAM、业务域的业务平台组成星型的身份联盟；\n[0047] E、单点登录过程做涉及到的敏感数据包，通过数字证书进行数字签名，保证数据的完整性和安全性。\n[0048] 如图2、3所示，网厅属于门户系统，互联星空属于接入到门户中的业务子系统。\n[0049] 本发明的UAM位于联邦认证星型的中心，负责对客户身份进行认证，网厅和业务平台，都信任统一认证平台的认证结果：客户从网厅登录时由UAM负责完成登录认证，并标识出客户身份以及该客户对应的产权关系；当客户点击网厅上业务平台链接访问该业务平台时，UAM根据客户的产权关系标识出其对应的业务平台帐号，并说明帐号已经登录具有访问合法性；业务平台对UAM发出的认证结果表示信任，允许用户不再输入帐号密码直接访问。\n[0050] 本发明实现步骤包括：\n[0051] A、配置网上营业厅到各个业务系统之间的接口模块，处理步骤：\n[0052] 1）配置UAM基本信息，包括平台编码，平台接入地址，平台注册状态，平台接入状态等信息；\n[0053] 2）配置UAM业务平台信息，包括业务平台编码，业务平台名称，业务平台局部推出地址；\n[0054] 3）配置UAM参数信息，包括UAM地址、网上营业厅系统编码、认证断言有效时长、集团UAM接口地址等；\n[0055] B、配置UAM和网上营业厅之间的数据证书、配置UAM和个业务系统之间的数字证书，其实现步骤包括：\n[0056] 1）生成UAM数字证书并部署；\n[0057] 2）生成网上营业厅数字证书并提供给网上营业厅；\n[0058] 3）生成业务系统数字证书并提供给各个业务系统；\n[0059] C、实现电信网上营业厅单点登录到业务系统的处理步骤：\n[0060] 1）用户访问网上营业厅受限资源；\n[0061] 2）网上营业厅检查局部Token是否存在，如果存在则直接到步骤13；\n[0062] 3）如果不存在，则重定向用户请求到UA；\n[0063] 4）UA检查全局Token是否存在；\n[0064] 5）全局Token不存在，UA向用户提供认证登录页面，提示用户输入帐号类型、帐号、密码类型、密码等认证信息；\n[0065] 若全局Token存在，则直接从第8步继续；\n[0066] 6）用户输入登录认证信息，提交给UA；\n[0067] 7）UA对用户进行认证，认证通过生成全局Token。如果认证失败，由UA弹出登录出错信息；\n[0068] 8）UA生成本次认证用户在网厅的Ticket及断言信息；\n[0069] 9）UA将用户浏览器重定向到网上营业厅，同时附带本次认证的Ticket；\n[0070] 10）网上营业厅根据传回的Ticket向UA查询该Ticket对应的断言信息；\n[0071] 11）UA将该Ticket对应的断言信息返回给网上营业厅，并销毁该Ticket；\n[0072] 12）网上营业厅生成局部Token,标记用户登录身份，登录成功；\n[0073] 13）网上营业厅向用户浏览器显示登录成功页面。\n[0074] 本发明未涉及部分均与现有技术相同或可采用现有技术加以实现。