中国电信用户数据库- UDB与WLAN Portal认证集成方案-v2.0

中中中国国国电电电信信信用用用户户户数数数据据据库库库－－－UUUDDDBBB与与与月中国电信用户数据库－UDB与WLANPortal认证集成方案V2.0-2-前言用户数据库（UserDatabase，以下称UDB）是实现中国电信应用层统一认证的基础网元设备，也是有效支撑中国电信通行证业务的基础网络平台。通过全国和省二级架构的UDB部署，将中国电信各个独立的自营应用系统，以及第三方合作互信应用系统，整合成以统一帐号为中心的综合电信服务平台，有效提升中国电信客户感知和服务体验。根据《关于启动上海等11省市应用层统一认证（UDB）预商用试点推广工作的通知》（中国电信[2009]687号）的工作要求，《中国电信用户数据库-接口与流程规范V1.0》中提出了UDB与WLANPortal接入的单点登录方案。在第一期预商用试点的总结基础上，本期规范进一步对UDB与WLANPortal页面认证集成实现单点登录功能，独立提出《中国电信用户数据库-UDB与WLANPortal认证集成方案V2.0》规范分册。本规范由中国电信集团公司组织制定和颁布，是中国电信用户数据库的系列规范之一。中国电信集团公司具有对本规范的解释和修订权，如与此前颁布相关规范或规定有冲突，以本规范为准。本规范起草单位：中国电信股份有限公司北京研究院中国电信用户数据库－UDB与WLANPortal认证集成方案V2.0-3-目录1适用范围.............................................................................................................42引用标准.............................................................................................................43术语定义.............................................................................................................44集成概述.............................................................................................................54.1无线宽带WLAN......................................................................................54.2集成的功能目标.......................................................................................55集成方案.............................................................................................................66流程描述.............................................................................................................67接口消息.............................................................................................................97.1无线宽带上线通知...................................................................................97.2无线宽带重定向认证请求......................................................................108WLANPortal接入适配要求.................................................................................128.1宽带帐号的解析发送..............................................................................128.2Portal页面改造要求..................................................................................128.3安全密钥的协商配置..............................................................................131适用范围本规范规定了中国电信用户数据库（UDB）与WLANPortal接入的集成的功能目标、方案选择、流程和接口等内容。本规范适用于与中国电信UDB进行对接集成的WLANPortal系统的相关设计及研发，同时也是UDB设备设计和研发的技术依据。2引用标准下列文件通过本文的参考而成为本规范的条款。凡是注日期的参考文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本文，凡是不注日期的参考文件，其最新版本适用于本文。【1】《中国电信用户数据库－总体规范V2.0》【2】《中国电信用户数据库－统一认证的业务指引V2.0》【3】《中国电信用户数据库－功能与设备规范V2.0》【4】《中国电信用户数据库－接口与流程规范V2.0》【5】《中国电信用户数据库－UDB与天翼宽带客户端的集成方案v2.0》【6】《中国电信用户数据库－UDB与AAA系统认证集成方案V2.0》3术语定义统一认证：是指基于统一认证网元UDB，为中国电信所有的应用系统提供用户身份的集中认证服务，对用户帐号标识和密码信息进行审核，验证帐号标识的合法性，及帐号与密码的对应关系。用户数据库：是实现中国电信应用层统一认证的基础网元，主要完成用户基础信息的集中存储和管理，并为周边应用系统提供统一认证、单点登录、运营管理等功能。统一帐号：中国电信提供给用户使用电信业务的通用帐号，是中国电信内部的集中帐号名称。通过一个统一帐号即可使用中国电信宽带接入、189邮箱、互联星空、爱音乐等应用，及与中国电信互信的第三方SP应用。中国电信用户数据库－UDB与WLANPortal认证集成方案V2.0-5-中国电信通行证：中国电信统一帐号对外市场宣传的产品名称。统一帐号用户可通过免费方式注册/激活通行证。通用密码：通用密码是中国电信统一帐号用户的统一密码，通用密码可支持静态密码或短信密码，用户可在通行证注册时设置，或通行证自服务进行修改。应用系统：为实现某个业务功能而搭建的业务平台和应用平台，等同于“业务平台”、“应用系统”、“业务能力”等描述。单点登录：指用户成功登录应用系统A之后，再访问其他应用系统B时无需二次认证（输入帐号及密码），便可直接使用系统B业务。4集成概述4.1无线宽带WLAN无线宽带WLAN是指中国电信在全国范围内的机场、酒店、宾馆等区域布设WIFI热点，使用户可以随时随地登录互联网。WLAN是无线接入手段之一，作为有线宽带的功能补充和延伸，不作为单独产品存在，对外直接称呼“无线宽带”（中文）和“WLAN”（英文）。中国电信无线宽带接入具有移动性、漫游性和随身性特点。当个人用户进入中国电信WIFI网络环境时，打开任何网页，系统会自动弹出中国电信WIFI登录网络PORTAL页面。当用户选择接入密码为通用密码时，那么只需要用户登录WEBPORTAL时，输入统一帐号和通用密码，用户身份合法性验证通过后即可实现接入4.2集成的功能目标UDB与WLANPortal接入集成目标是借助WLANPortal首页，实现从用户宽带接入-应用系统的单点登录功能。用户通过无线宽带WLANPortal进行无线接入成功后，可以直接使用WLANPortal页面的业务链接（或直接输入业务网址）访问电信业务，无需再进行二次帐号认证。UDB只对已开通中国电信通行证帐号的手机、固话及宽带用户提供单点登录功能，非UDB的统一帐号用户不在服务之列。中国电信用户数据库－UDB与WLANPortal认证集成方案V2.0-6-5集成方案本分册集成规范，重点描述用户通过中国电信无线宽带WLANPortal接入ChinaNet网络，通过本浏览器即可直接单点登录中国电信的相关应用，如189邮箱、互联星空等。由于各省分公司的无线宽带Portal系统的实施方案差异较大，本规范力争对各省公司现有无线宽带接入造成的改动影响小：无线宽带接入的帐号及密码认证，仍完全由接入AAA系统完成，UDB不参与；手机用户的短信密码生成和下发，仍维持原来模式，UDB不参与；UDB与AAA之间不做交互，避免AAA系统改造所造成的影响面；WLANPortal页面的用户呈现，不做调整，不改变用户使用习惯。基于UDB和WLANPortal集成，实现用户接入-应用的单点功能的技术解决方案如下图：UDB通过在Portal浏览器写入Passport.189.cn域名的全局Token，使得该用户具备在Portal页面直接访问189邮箱等应用的单点登录权限。在跨省漫游的情况下，宽带接入层的漫游认证由无线宽带系统自身解决（借助WLAN全国漫游中心到归属省AAA验证），应用层的漫游用户的身份信息查询由UDB自身解决（借助全国UDB到归属省UDB查询），两者不存在交叉流程，故不再此分册规范讨论。6流程描述触发条件：用户在WLANPortal输入帐号、密码进行网络接入。交互流程：中国电信用户数据库－UDB与WLANPortal认证集成方案V2.0-7-流程描述1、用户通过WLANPortal，输入归属省、帐号及密码，发起上线请求；2、该请求由BRAS转发给AAA系统进行用户认证、鉴权等处理，通过之后，向BRAS返回用户成功上线消息（若用户漫游接入外省WLAN，则BRAS经由全国漫游认证服务器向归属省AAA发起认证请求）；3、BRAS在接收到AAA的上线通知后，通过调用无线宽带上线通知接口消息向UDB发布用户信息，包括接入用户的帐号、IP地址及验证码（由BRAS生成的随机字符串）。4、UDB保存接入用户的帐号、IP地址以及随机验证码（若用户漫游接入外省WLAN，则由漫游接入省UDB进行处理）；5、UDB向BRAS返回处理结果；中国电信用户数据库－UDB与WLANPortal认证集成方案V2.0-8-6、WLANPortal通过隐藏iframe的方式调用UDB的无线宽带重定向认证请求，携带该用户的接入帐号、IP地址及验证码（由BRAS在第2步中生成；要求Portal和BRAS内部共享此验证码）7、UDB通过与第四步中保存的信息进行比对，检查接收到的该用户帐号、IP地址及验证码是否匹配。若匹配成功，则UDB内部需进行宽带帐号与虚拟统一帐号的映射转换，并进一步核对通行证是否注册开通（注：对于漫游场景，接入省UDB需调用宽带漫游用户身份查询接口从归属省UDB获取用户信息）8、若匹配成功，且该接入帐号对应的通行证已注册，则向Portal浏览器返回并生成全局Token；若匹配不成功，或匹配成功但用户不属于通行证用户，则直接返回但不生成全局Token。9、WLANPoral显示用户正常登录成功页；且该页面向用户展示了大量可单点登录的应用链接（如189邮箱）。10、若全局Token已生成，则用