|
|
 |
统一认证在北京移动门户网站的应用
北京移动通信有限责任公司 吴浩 |
| |
北京移动门户网站(www.bjmcc.net),作为北京移动的服务网站,在结合IT应用和通信数据业务上,做了大胆的尝试。通过对原有的各类业务网站服务的分析,北京移动提出了整合数据业务支持网站和门户网站用户认证的统一认证体系建设的概念。北京移动门户网站采用前端应用和后端应用相结合的模式向用户提供各类电信应用服务,由于其电信业务支持网站的独特性,决定了前端应用必须能够有很强的扩展性,以有效支持大用户量的访问,而后端应用部分则必须有很高的性能,以胜任复杂的电信级运算任务。
一、门户网站系统的IT应用
北京移动门户网站系统的前端应用服务中,我们采用了IBM eServer系列的中端B80服务器用于负载均衡和Web Server,其出色的性能保证了用户访问网站前端的畅通,由于移动公司网站业务以及注册用户增长比较迅速,B80服务器的高可扩展性为网站提供了快捷的扩展能力。
在网站后端应用中,我们采用了多台中高端IBM M85服务器运行DB2、LDAP和WAS服务,结合大容量7133磁盘阵列存储,承载网站的后端应用服务,M85的高性能可以有效保证网站后端数据的电信级运算要求。
同时,对于网站的安全、监控、分析、备份等管理单元,由多台中低端IBM X235系列服务器承载相应的功能,从而实现应用模块和经营管理模块的服务配置的高低搭配,构成整个北京移动门户网站的体系架构(系统架构如图1所示)。
|
 |
| |
| 图1 北京移动门户网站系统架构 |
| |
通过对北京移动已有数据业务分析发现,会议通系统(手机电话会议)、BJ1860移动邮件系统、统一消息系统(UM)等业务系统,其使用渠道的一个重要环节便是各自的服务网站(IT服务)。通常情况下,每个业务系统的IT支持网站都有各自的用户帐号注册、管理和身份认证模块,这种用户认证分散的状态会带来重复投资、用户使用不便、无法利用已有资源优势等问题。对此,北京移动提出了基于公司门户网站系统建设统一认证体系的构想,以网站为中心建立统一的用户资源和认证中心,来完成对各种移动数据业务的IT应用的支持。
二、统一认证体系
1.统一认证
北京移动门户网站的统一认证是指多个系统的用户帐号、密码等信息资源统一集中在网站统一认证鉴权中心,各个系统以中心数据作为用户认证的唯一依据。用户可以通过相应接口来实现网站已有用户帐号密码信息对于相关数据业务系统IT网站的共享,同时通过专有模块来进行各子系统权限控制。
2.单点登录(SSO)
对于北京移动而言,其网站系统的SSO是指以网站的统一认证(鉴权信息集中)为基础,各个数据业务系统的用户认证使用采用单点登录认证模式,一次登录即可在各个数据业务子系统中完成相应的认证工作的设计。
三、统一认证体系架构设计
1.系统架构与接口设计
北京移动门户网站的统一认证鉴权中心基于CS模式设计,以IBM 的WebSphere Application Server为核心应用体系构架,以DB2+LDAP方式完成对用户各类信息的存储(如图2所示)。
统一认证的核心问题是鉴权中心和各子系统之间的通信接口问题,北京移动门户网站的用户认证接口协议基于标准化HTTP/HTTPS方式实现,使得第三方系统(电信数据业务系统)的接入不完全依赖于网络环境。
|
| |
 |
| |
| 图2 认证中心和子系统的通信接口协议 |
| |
2.安全性设计
对于接入的系统,认证中心接口协议调用采用HTTPS传输(128位SSL通道加密)的方式,通信安全问题将转化到HTTPS传输的安全性问题上,而对于HTTPS通道的攻击,门户网站系统中则由专门的IBM
X235服务器承载的监控管理单元的网络扫描等模块专门负责监控。
统一认证和SSO接口参数的信息安全,一方面采用专有加密算法对参数内容进行加密,另一方面,采用IP认证策略来保证对接口双方的信任,通过通道安全和信息加密双保险的措施来保证统一认证体系的接口安全。
3.统一认证中心设计
统一认证鉴权中心面向用户端提供相应的应用服务模块,面向第三方系统提供相应的身份认证集成接口模块、单点登录集成接口模块、会员服务模块、后台管理模块。
用户单点登录系统(SSO)采用了模块化的设计,通过功能模块、任务分发器模块、会话管理模块、会话密匙模块、平台管理模块、JAVA接口等多模块的设计,各功能模块得以相对独立,便于扩展和维护。统一认证中心的设计方案使SSO流程最大限度地减少了系统间数据交互,而SSO平台是基于IBM
WAS 4.0X平台的, 所以SSO平台也继承了IBM WAS4.0X平台本身的垂直扩展性和横向扩展性,可以有效满足未来的可扩展性。
整个统一认证中心的设计,核心在于和第三方系统的信息交互,因此必须考虑到未来第三方系统的横向扩充以及随着用户增长而造成的认证中心和第三方系统信息交互的纵向增长。这些都要求整个系统需具有良好性能和可扩展性,而IBM
eServer系列服务器的高性能和高可扩展性正好为我们提供了可靠的保证。对于用户的增长以及接入子系统的增加等问题,可以由服务器的良好扩展性解决。
四、统一认证在北京移动的应用
随着北京门户网站统一认证体系的建立,在整合了原有部分系统的基础上,网站陆续加入了一批新的数据业务系统。
彩铃网站系统:北京移动核心数据业务之一,提供用户在线试听、购买、设置彩铃的功能,加入门户网站的统一认证体系后实现了用户认证帐号的共享和单点登录。
移动地址簿系统:门户网站的统一认证体系,进一步解决了地址簿系统和其他移动数据业务系统之间的用户身份认证问题,使得地址簿系统逐步成为了网站统一认证体系架构中的用户通讯录中心,广泛被邮件系统、彩铃等其他业务系统所使用。
BJ1860邮件系统:作为原有独立的第三方系统,BJ1860系统依托新的统一认证体系实现了用户帐号认证的整合,由于采用了统一认证系统的用户自主定制策略,系统实现了按需分配,释放了部分长期不使用的用户占用的系统资源。
会议通系统:选择性地只采用了统一认证体系中的用户身份认证模块功能。用户使用唯一账号、密码即可使用会议通系统网站,实现了北京移动门户网站全部用户都可以直接使用会议通系统的目的。
OTA系统:M-zone用户的OTA定制网站,通过加入网站统一认证体系成功实现OTA卡用户使用OTA服务网站的单点登录。
北京移动门户网站项目统一认证体系的建立,对于统一移动数据业务的用户认证,有非常重要的作用。运营企业可以集中用户帐号等信息资源优势,合理推广新业务系统,有效引导已有用户了解使用新业务系统,又可以降低各数据业务系统维护用户信息的成本和用户认证系统的建设成本,降低用户使用新业务的门槛。而对用户来说,采用统一的用户认证方式,用户只需要使用唯一的用户名和密码,就可以畅通使用移动公司推出的各种数据业务互联网支持系统,用户只需登录一次,便可以自由地在各个第三方系统间切换使用。
|
| |
|
|
|
|
