统一认证平台解决方案(sailing).pdf

《统一认证平台解决方案(sailing).pdf》由会员分享，可在线阅读，更多相关《统一认证平台解决方案(sailing).pdf（20页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、 IBM Corporation 2011.EasyBlue 新疆熙菱新疆熙菱 单点登录单点登录统一认证平台统一认证平台解决方案解决方案建议书建议书 鞋服&流通行业 店铺管理解决方案建议书 新疆熙菱单点登录统一认证平台解决方案建议书 国际商业机器（中国）有限公司 目目 录录 IBM Proposal Insert 文档说明文档说明 版本版本号号 方案方案整理整理 方案提供方案提供 与确认与确认 联系方式联系方式 完成日期完成日期 计划更新计划更新 日期日期 描述描述 1.0 LiuXiaoFang GCG PCoE Li Zhao Yu Zhao Yu Li/China/IBM 2011/12

2、/09 2012/12/09 新疆熙菱单点登录统一认证平台解决方案建议书 描述：描述：近年来，随着现代企业的信息化建设越来越完善，企业的应用系统越来越多，各种电子邮件系统、网络办公、电子财务、人事管理、以及针对特定行业的业务系统被广泛应用。无纸化办公和先进的办公自动化流程，使得企业运营依赖于一个又一个业务系统。如何使这些系统能够更有效地被使用，如何为企业带来更高的办公效率，却并不是简单容易的事情，如果系统设计不当，企业和员工就会被淹没在诸多系统的操作中。用户和企业需要这样的系统：对用户来讲，希望能够操作简便，可以方便地访问不同系统，轻松地在各业务系统间切换；对企业来讲，需要在部署这些应用和业务

3、系统的时候，确保安全性；而在系统管理方面，企业又需要大量的 IT 技术管理人员，分别管理和维护不同系统的用户信息。在对企业和用户需求深刻分析的基础上，新疆熙菱单点登录统一认证平台应运而生。本系统使用IBM WebSphere 中间件，通过实施单点登录功能，使用户只需一次登录就可以根据相关的规则去访问不同的应用系统，提高信息系统的易用性、安全性、稳定性易用性、安全性、稳定性；在此基础上进一步实现企业用户高速协同办公和企业知识管理功能。帮助建立可靠、安全、保密可靠、安全、保密的业务系统网络环境，保证企业业务不受破坏和干扰。新疆熙菱单点登录统一认证平台解决方案建议书 国际商业机器（中国）有限公司 目

4、目 录录 IBM 目目 录录 第第 1 章章 摘要摘要.1 1.1 我们对您的目标的理解.1 1.2 我们如何帮您实现目标（方案简述）.2 1.3 方案价值.2 1.4 成功案例分享.3 第第 2 章章 新疆熙菱单点登录统一认证系统功能特性新疆熙菱单点登录统一认证系统功能特性.4 2.1 单点登录，统一认证.4 2.2 单点登出.4 2.3 基于WEB的管理界面.4 2.4 无需 COOKIE的会话管理.5 2.5 外部应用集成.5 2.6 凭证保险库.5 2.7 自助式服务功能.6 2.8 同一网站，两种登录方式并存.6 2.9 单点登录，短信二次认证.6 2.10 实现数据缓冲机制，可承担

5、大数据量访问.6 2.11 实现飞信与统一认证接入.6 2.12 安全性，用户访问的纪录和审计.7 2.13 扩展性和高可用性架构.7 第第 3 章章 新疆熙菱单新疆熙菱单点登录统一认证系统总体设计点登录统一认证系统总体设计.8 3.1 单点登录统一认证系统原理.8 3.1.1 单点登入.9 新疆熙菱单点登录统一认证平台解决方案建议书 国际商业机器（中国）有限公司 目目 录录 IBM 3.1.2 单点登出.10 3.1.3 会话管理.10 3.1.4 SAILING SSO 网站管理.10 3.1.5 客户端插件.10 3.2 系统逻辑架构.11 3.3 应用支撑平台设计.11 第第 4 章章

6、 软件系统设计原则软件系统设计原则.13 4.1 硬件选型原则.13 4.2 软件设计开发原则.13 第第 5 章章 公司介绍公司介绍.14 第第 6 章章 附录附录.16 6.1 系统运行环境.16 6.2 术语解释.16 新疆熙菱单点登录统一认证平台解决方案建议书 国际商业机器（中国）有限公司 第 1 页 IBM 第第1章章 摘要摘要 1.1 我们对您的目标的理解我们对您的目标的理解 近年来，随着现代企业的信息化建设越来越完善，企业的应用系统越来越多，各种电子邮件系统、网络办公、电子财务、人事管理、以及针对特定行业的业务系统被广泛应用。无纸化办公和先进的办公自动化流程，使得企业运营依赖于一

7、个又一个业务系统。如何使这些系统能够更有效地被使用，如何为企业带来更高的办公效率，却并不是简单容易的事情，如果系统设计不当，企业和员工往往会被淹没在诸多系统的操作中。对用户来讲，在日常工作中，常常需要同时访问多个业务系统，同时还会经常浏览企业内网中的信息。由于各业务系统是相对独立的，用户就需要在各系统间频繁地切换。如果用户每次访问一个系统，都需要登陆一次，那么工作效率会大大降低。此外，用户在进行业务操作时，需要分别登录到不同的应用系统中，用户账号或密码遗忘现象时有发生。如果使用一套简单用户名和密码多系统使用，则会造成保密强度降低等问题。对企业来讲，在部署这些应用和业务系统的时候，面临双重的安全

8、挑战。首先，必须保证只有合法的用户才能访问相应的应用资源。其次，实施安全保护措施时应尽量避免增加用户的负担。例如，对于多个系统，如果每个用户需要记住多个口令，访问不同的应用系统采用不同的口令，这样虽然能够保证用户对应用资源的合法访问，但增加了用户的负担；而如果为了方便记忆，用户采用简单的口令或将口令记录下来，却又这大大降低了应用系统的安全性。另外，在安全性和系统管理方面，企业需要大量的 IT 技术管理人员，分别管理和维护不同系统（如：ERP、统计分析、OA、财务、Notes 系统等）的用户信息。综上所述，您的企业可能正在面临如下问题：企业的业务系统较多，用户需要重复登录；由于系统较多，用户账号

9、或密码遗忘现象时有发生，或者一套简单用户名和密码多系统使用，造成保密强度降低等问题；用户的登录信息是分布式管理，大大降低了应用的安全性和企业系统的完整性；企业各业务系统风格不统一，不同系统间切换操作带来不必要的麻烦；登陆简单却不安全；满足安全性却降低使用效率。为了解决您所面临的问题，就需要建立可靠、安全、保密的业务系统网络环境，保证企业业务不受破坏和干扰。新疆熙菱单点登录统一认证平台解决方案建议书 国际商业机器（中国）有限公司 第 2 页 IBM 1.2 我们如何帮您实现目标我们如何帮您实现目标（方案简述）（方案简述）针对上文分析的这种状况，企业需要通过建立企业级的单点登录系统和安全防护系统，

10、为企业用户提供统一的信息资源认证访问入口，建立统一的、基于角色的和个性化的信息访问、集成平台。熙菱单点登录统一认证平台通过实施单点登录功能，使用户只需一次登录就可以根据相关的规则去访问不同的应用系统，提高信息系统的易用性、安全性、稳定性；在此基础上进一步实现企业用户高速协同办公和企业知识管理功能。满足如下需求：对多个系统实现单点登录功能的需求 外部网络中的移动用户存在安全接入到内部网络并实现单点登录的需求 业务系统可以在不同的硬件架构中的需求 业务系统可以为异构系统，其运行的操作系统平台和应用服务器可以各部不同，客户端可以使用不同的浏览器的需求 用户单点登录时满足用户名/口令认证，证书认证的需

11、求。最少化改动现有的应用模式和业务系统的需求 对后续的业务系统扩充和扩展有良好的兼容性的需求 安全防护企业业务系统、以及内部网络用户的需求 提供多方位的安全防护功能和日志审计功能的需求 1.3 方案价值方案价值 降低了安全的风险安全的风险和管理的管理的成本成本。使用“单点登陆”整合应用系统，用户只需要登录一次就可以进入多个应用系统，而不需要重新登录，这不仅仅带来了更好的用户体验，更重要的是降低了安全风险和管理成本。减少企业信息化的重复投资信息化的重复投资“单点登录”为企业建立一个集中的用户管理，可以扩展为一个集中的授权管理，简化企业以后的应用系统的开发工作。提过企业不同服务之间的合作效率合作效

12、率 新疆熙菱单点登录统一认证平台解决方案建议书 国际商业机器（中国）有限公司 第 3 页 IBM“单点登录”还是 SOA 时代的需求之一。在面向服务的架构中，服务和服务之间，程序和程序之间，存在大量的通讯，服务之间的安全认证是 SOA 应用的难点之一，因此建立“单点登录”的系统体系能够大大简化 SOA的安全问题，提高服务之间的合作效率。1.4 成功案例分享成功案例分享 目前，熙菱单点登录统一认证系统已在新疆移动公司成功实施，运行状况良好。接入单点登录系统的网站有新疆网上营业厅，新疆彩铃，新疆彩音，一机多号，移动互联门户，新疆移动梦网，飞信。新疆熙菱单点登录统一认证平台解决方案建议书 国际商业机

13、器（中国）有限公司 第 4 页 IBM 第第2章章 新疆新疆熙菱单点登录统一认证系统熙菱单点登录统一认证系统功能特性功能特性 熙菱单点登录统一认证系统是由新疆熙菱信息技术公司自主研发的认证系统。单点登录英文名称为 Single Sign-On，简写为 SSO，它是一个用户认证的过程，允许用户一次性进行认证之后，能够访问系统中不同的应用；而不需要访问每个应用时，都重新输入用户名和密码。目前，此系统已经运行在新疆移动公司的几个大型网站上有：网上营业厅、新疆彩铃、彩音、新疆移动梦网、飞信、一机多号，新疆移动门户等大型网站，各系统运行状况良好。2.1 单点登录，统一认证单点登录，统一认证 我公司开发的

14、统一认证系统可实现链接跳转式和服务代理式单点登录功能，用户第一次登录A 网站，输入正确的用户名，密码，图形验证码，登录成功，在 IE 地址栏中填写 B 网站的 URL，此时，B 网站也是登录状态。用户登录到 A 网站，登录成功后点击 A 网站上的 C 网站链接，跳转到 C 网站也是已登录状态。2.2 单点登出单点登出 当用户点击任何一个已经登陆接入统一认证管理的网站的登出或者注销时，统一认证服务器可以对该用户所有已经登陆的网站做登出处理，用户再次访问先前已经登陆过的网站均需要再次登陆。例如：用户登录到 A 网站，用户从 A 网站跳转到 B 网站也是登录状态，点击任何一个网站的退出按钮，两个网站

15、都是退出状态。2.3 基于基于 web 的管理界面的管理界面 熙菱单点登录统一认证软件提供了一个功能全面的基于 Web 的管理员使用界面。所有的管理工作都可以通过这个 Web 工具非常轻松地完成。它的目的就是要为各种用户提供一个统一的、直观的、简单的、互动的、全面的管理工具。该界面的截图如下所示：新疆熙菱单点登录统一认证平台解决方案建议书 国际商业机器（中国）有限公司 第 5 页 IBM 2.4 无需无需 Cookie 的会话管理的会话管理 SAILING SSO 中的会话管理服务功能提供无 Cookie 的会话管理，所有接入的访问增强点都能使用此服务来追踪用户的会话，甚至包括用户使用一个单独

16、的访问增强点登录安全系统的情况。这样带来的好处是，避免了使用冗余 Cookie 来维护会话状态的需要，给会话管理带来了极大的方便。2.5 外部应用集成外部应用集成 熙菱单点登录统一认证软件的开放式设计允许您的组织对解决方案进行轻松的扩展。它提供了一整套的多语言(jsp，asp，,php)应用程序接口（API）来创建定制的接口，通过编码来完成定制的任务。熙菱单点登录统一认证软件的大多数自带功能都可以同外界系统进行整合，包括用户身份创建，属性管理，规则分析，Email 通知操作等。此外，还可以在显示层对原有 Web 用户界面进行改动，使得熙菱单点登录统一认证软件与您企业的标准应用的“观感”相一致。

17、2.6 凭证保险库凭证保险库 熙菱单点登录统一认证软件提供对应用中所有被管理系统的用户账号和密码同步功能。通过Credential Vault（凭证保险库），可以非常方便地与外部 B/S 架构的业务系统实现单点登录。凭证新疆熙菱单点登录统一认证平台解决方案建议书 国际商业机器（中国）有限公司 第 6 页 IBM 保险库会将当前登录用户在该系统中的身份信息传递到该系统进行认证，如果身份合法就直接进入系统，只有当凭证保险库中的用户对应关系不正确或密码修改后时，系统才会显示出该系统的用户登录界面。2.7 自助式服务功能自助式服务功能 熙菱单点登录统一认证软件的自助服务功能非常有用。自助式服务功能使用

18、户可以通过用户指派系统管理授权数据。利用 ACL 规则，用户可以对其他用户和委托管理员指派特定的权限，对个人数据执行某特定操作，如添加或移除。通过自助式服务功能，授权用户可以申请所要管理资源的访问权限。2.8 同一网站，两种登录方式并存同一网站，两种登录方式并存 用户访问网站时，网站会提供两种登录方式，单点登录方式和非单点登录方式，主要考虑到部分网站需要过度的过程，以保证现有的部分用户加入统一认证的过度，所以采用了原网站业务密码和统一认证服务密码两种登录方式并存的登录方式。2.9 单点登录，短信二次认证单点登录，短信二次认证 管理员可通过网站管理系统设置该网站是否需要短信二次认证。这样做增加了

19、登录的安全性，即使其他人知道您的用户名和服务密码，但在不知道短信验证码的情况下，也是不能登录的，保证安全性要求较高的网站登陆需要。2.10 实现数据缓冲机制，可承担大数据量访问实现数据缓冲机制，可承担大数据量访问 接入到单点登录统一认证系统的网站中，由于访问量较大，势必会造成统一认证服务端数据库压力过大，登入登出后冗余数据过多。单点登录服务端采用了将数据库中的必要信息缓存到内存中，减少了访问数据库的频率，提高了服务端运行的效率。服务端采用多线程的定时任务实时的更新，删除无效的数据。这样，即减轻了数据库服务器的压力，又降低了数据库磁盘存储空间。2.11 实现飞信与统一认证接入实现飞信与统一认证接

20、入 实现飞信与熙菱单点登录统一认证软件的连接，实现飞信与网上营业厅无缝集成。新疆熙菱单点登录统一认证平台解决方案建议书 国际商业机器（中国）有限公司 第 7 页 IBM 2.12 安全性，安全性，用户访问的纪录和审计用户访问的纪录和审计 单点登录服务端采用 SSL 证书认证，https 的安全方式进行访问，保证了访问时的安全性和可靠性。同时，服务端应用可采用短信认证和统一数据认证的双重认证方式，增加了系统的安全性。对于保护公司 Web 来说，对所有访问尝试进行记录和审计的能力是非常重要的。监视所有用户的访问尝试使管理员能够检测到安全方面的风险。SAILING SSO 使用标准格式记录所有的访问

21、尝试并生成易读的日志。这些记录一部分以文件的方式存储在服务器端，另一部分可以安全地被传输到一个第三方数据库系统之中，通过这些数据可以分析用户的使用模式。2.13 扩展性和高可用性架构扩展性和高可用性架构 熙菱单点登录统一认证软件被设计成为一个企业级安全解决方案，它的扩展性和高可靠性同时依赖于应用程序服务器技术。SAILING SSO 可以部署在应用服务器集群中，在前端加上负载均衡，用以提高故障恢复和扩展能力。SAILING SSO 服务器的集群能力对于用户是透明的，集群中某一资源失效时对用户没有任何干扰。最终的结果增加了产品的可用性和可靠性。这种服务器架构是柔性的，按照需要可以水平或垂直的扩展

22、。例如，采用单一的企业级服务器或服务器集群。新疆熙菱单点登录统一认证平台解决方案建议书 国际商业机器（中国）有限公司 第 8 页 IBM 第第3章章 新疆新疆熙菱单点登录统一认证系统熙菱单点登录统一认证系统总体设计总体设计 企业的单点登录需求特点是已经实现了多个业务系统，而且为异构系统（不同的平台上，使用不同的应用服务器建立不同的业务系统），没有完善独立单点登录门户，而且单点登录的规划和使用也是最终会成为用户统一管理，统一授权中的一部分，在具体实施过程中，采取首先建立完善的单点登录门户基础结构，然后逐步增加统一的用户数据库。这种方法的优点是可以保证单点登录门户的正确实施和应用可以不再影响和重复

23、用户数据库的统一的工作。在企业业务系统的单点登录规划和安全防护工作中我们推荐熙菱单点登录统一认证产品。首先熙菱单点登录统一认证软件的设计和研发人员有多年的统一身份认证、统一授权管理、统一资源管理、单点登录领域的技术研究经验。并且熟知国内大、中、小型企业应用当中面临的单点登录实际需求。其次，在单点登录技术领域，抛弃了系统综合集成、应用大包大揽的整合、以及异构系统异构解决（插件方式）等实现方法。而是将重点放在实际的单点登录解决中，其中最重要的是将“即插即用”、“应用无关”、“不知不觉中的单点登录”概念完美实现。3.1 单点登录统一认证系统原理单点登录统一认证系统原理 SAILING SSO 服务端

24、服务端 SAILING SSO Server 负责完成对用户的认证工作，SAILING SSO Server 需要独立部署，CAS Server 会处理用户名/密码等凭证(Credentials)，它可能会到数据库检索一条用户帐号信息，也可能在 XML 文件中检索用户密码，对这种方式，CAS 均提供一种灵活但同一的接口/实现分离的方式，SAILING SSO 究竟是用何种认证方式，跟统一认证协议是分离的。也就是，这个认证的实现细节可以自己定制和扩展。SAILING SSO 客户端客户端 SAILING SSO Client 负责部署在客户端（注意，我是指 Web 应用），原则上，SAILING

25、 SSO Client 的部署意味着，当有对本地 Web 应用的受保护资源的访问请求，并且需要对请求方进行身份认证，Web 应用不再接受任何的用户名密码等类似的 Credentials，而是重定向到 SAILING SSO Server 进行认证。目前，SAILING SSO Client 支持（某些在完善中）非常多的客户端，包括 JSP、.Net、Php、VBScript 等客户端，几乎可以这样说，SAILING SSO Server 能够适合任何语言编写的客户端应用。新疆熙菱单点登录统一认证平台解决方案建议书 国际商业机器（中国）有限公司 第 9 页 IBM 3.1.13.1.1 单点登入

26、单点登入 3.1.1.13.1.1.1 直接登录到门户直接登录到门户 熙菱单点登录统一认证软件实现基于表单（Form-Based SSO）的单点登陆功能，允许SAILING SSO 将已认证的用户透明地登陆到需要通过 HTML 表单认证的后台系统中，具体的登陆步骤可以参看下图：3.1.1.23.1.1.2 插件代理跳转认证插件代理跳转认证 假设用户已经登录到门户。1 用户点击门户页面上显示的其他网站的链接，地址被插件拦截将其重定向到统一认证服务器。2 SAILING SSO Server 通过代理检查 credential 的有效性，重定向到目标地址做本地登录处理。3 转入目标地址。新疆熙菱单

27、点登录统一认证平台解决方案建议书 国际商业机器（中国）有限公司 第 10 页 IBM 3.1.23.1.2 单点登出单点登出 用户点击应用中的退出链接或按钮，通过 SAILING SSO Serser 登出所有登录过的应用，当再次刷新页面时，返回登录区，提示登录。3.1.33.1.3 会话管理会话管理 1 各子系统，定期向统一认证服务器报告会话状态（只报告活跃的会话）。保证用户在统一认证服务器上的会话状态统一；2 统一认证服务器定期清理过期会话；3.1.43.1.4 SAILING SSO SAILING SSO 网站管理网站管理 网站管理系统是熙菱单点登录统一认证系统中独立的系统，它是为了维

28、护接入统一认证各系统的参数信息如网站首页地址，登出地址，注册页面地址，错误页面地址等。3.1.53.1.5 客户端插件客户端插件 单点登录客户插件是客户端应用与单点登录统一认证服务端的中间桥梁，起到了至关重要的作用。插件分为 jsp 客户端插件，asp客户端插件，php 客户端插件以及.net客户端插件。客户端插件由四个部分组成：1.SailingSSOEntry（.jsp/.php/.asp/.aspx）此文件由我公司统一开发，主要实现本地登录处理以及 session 对象的处理等。用户使用时无需任何改动。2.SailingSSOInclude（.jsp/.php/.asp/.aspx）此文

29、件中的方法(函数)主要实现本地登录处理的功能，由接入站点的开发人员开发。SailingSSOInclude 页面中包含三个已定义好的方法，用户根据自己应用系统的业务逻辑对这三个方法添加方法体。改造后的页面需包含到 SailingSSOEntry页面。3.SailingSSO(.jar/.dll/.php/)此文件是由我公司统一开发，无需客户改动。此文件是整个单点登录客户端插件的核心功能性文件，开发人员勿删除。4.SailingSSOLogout(.jsp/.php/.asp/.aspx)新疆熙菱单点登录统一认证平台解决方案建议书 国际商业机器（中国）有限公司 第 11 页 IBM 此文件是处理

30、客户端应用登出功能，开发人员无需改动。备注：客户端插件的配置说明请参考附件：单点登录客户端接入规范。3.2 系统逻辑架构系统逻辑架构 用户用户用户用户应用层网上营业厅移动互联移动梦网彩音彩铃网站统一认证单点登录服务端应用支撑BOSS接口日志管理网站管理短信二次认证统一登入统一登出数据缓存会话管理客户端插件集群访问中间件，系统及数据库WebLogic9.2Tomcat5.0WebSphereJBOSSORACLE10gWindows2003LINUXUNIX网络及硬件支撑内部局域网Intranet公网Internet网络基础设施安全保障系统数据安全通道SSL数据加密解密数据加密解密口令字/身份认

31、证访问权限控制应用级日志灾难备份系统日志安全审计安全操作系统安全数据库病毒防范软件防火墙路由器安全入侵检测硬件防火墙用户用户用户用户应用层网上营业厅移动互联移动梦网彩音彩铃网站统一认证单点登录服务端应用支撑BOSS接口日志管理网站管理短信二次认证统一登入统一登出数据缓存会话管理客户端插件集群访问中间件，系统及数据库WebLogic9.2Tomcat5.0WebSphereJBOSSORACLE10gWindows2003LINUXUNIX网络及硬件支撑内部局域网Intranet公网Internet网络基础设施安全保障系统数据安全通道SSL数据加密解密数据加密解密口令字/身份认证访问权限控制应用

32、级日志灾难备份系统日志安全审计安全操作系统安全数据库病毒防范软件防火墙路由器安全入侵检测硬件防火墙 3.3 应用支撑平台设计应用支撑平台设计 应用支撑平台是一个由应用基础框架和应用组件构成的复合平台。企业所设计的应用支撑平台基于 J2EE 规范，以符合 J2EE 规范的应用服务器(JBOSS、Websphere、Tomcat 等)为应用基础框架。应用支撑平台采用先进的、流行的三(多)层技术体系架构，分别为：用户层、业务逻辑层、数据存储层，如下图所示：新疆熙菱单点登录统一认证平台解决方案建议书 国际商业机器（中国）有限公司 第 12 页 IBM 用户界面层：通过用户权限和信息权限过滤后，统一用户

33、界面显示，接收用户界面操作和查询请求，将业务逻辑处理后的数据生成用户界面。业务逻辑层：负责按照用户界面层提交的请求，并按照业务逻辑提取、过滤和处理数据，并将处理完的数据包返回给用户界面层，进行显示。整个系统会有很多的应用子系统，用户通过SERVLET 调用应用子系统的功能。数据存储层：负责系统数据和信息的存储、检索、优化、自我故障诊断/恢复，以及业务数据。采用三层应用体系架构的优势在于：保证系统的安全性：中间层(业务逻辑层)隔离了客户(用户界面层)直接对数据库系统的访问，保护了数据库系统和数据的安全。提高系统的稳定性：三层分布式体系保证了网站系统更可靠的稳定性，满足 7*24 小时全天候服务：

34、1)业务逻辑层缓冲了用户与数据库系统的实际连接，使数据库系统的实际连接数量远小于应用数量。2)在访问量和业务量加大的情况下，可以用多台主机设备建立集群方式，共同工作，进行业务逻辑处理，实现负载均衡。3)系统易于维护：由于业务逻辑在中间服务器上，并且采用构件化方式设计，当业务规则变化后，用户界面层不做任何改动，就能立即适应。4)快速响应：通过负载均衡以及业务逻辑层缓存数据能力，可以提高对客户端的响应速度。新疆熙菱单点登录统一认证平台解决方案建议书 国际商业机器（中国）有限公司 第 13 页 IBM 第第4章章 软件系统设计原则软件系统设计原则 4.1 硬件选型原则硬件选型原则 1.提供的所有设备

35、必须是较新开发的产品，并保证所提供产品的数量、质量，特别是接口的兼容性。2.各种设备应采用功能分担、分布式结构，保证系统的安全可靠。3.主要设备能在不中断通信的情况下，可带电进行印刷电路板的插拔操作。提供的设备选用世界上高质量的元器件，生产过程中进行严格质量控制，出厂前要经买方人员严格测试和检查，确保设备长期稳定、可靠地运行。4.提供的设备具有很高的安全可靠性。系统整机平均无故障时间（MTBF）不低于 10000 小时。5.提供设备的具体电磁兼容指标、测试方法和测试数据。6.电源要求-设备应能在下列供电变化范围内正常工作：交流：220V 10，50Hz 5；直流：-48V -40V -57V。

36、4.2 软件设计开发原则软件设计开发原则 1.模块化结构，保证安全可靠，具有容错能力。2.满足确保全网（包括中心及节点）正常运行所需的管理、运营、维护等有关的全部软件。3.不同时期软件版本能够向下兼容，软件版本易于升级，且在升级的过程中 不影响网络的性能与运行。新疆熙菱单点登录统一认证平台解决方案建议书 国际商业机器（中国）有限公司 第 14 页 IBM 第第5章章 公司介绍公司介绍 熙菱信息最早成立于一九九二年，注册资本 3100 万元，国家双软认证及 CMMI3 级认证企业。是一家致力于软件研发、智能建筑、网络安全与服务的高新技术企业，公司拥有雄厚的研究开发实力和强大的生产及市场营销能力。

37、目前拥有熙菱软件科技发展有限公司、熙菱网格信息安全技术有限公司、熙菱智能建筑有限公司、熙菱信息西安研发中心、北京分公司、上海分公司、成都分公司等多家分支机构。现有员工 150余人，其中软件研发人员 80余人。新疆熙菱信息技术有限公司的管理体制为董事长领导下的总经理负责制，下设软件事业部、市场营销部、项目管理部、技术服务部、财务部和资源部；2003 年年末至 2004 年底，公司根据市场拓展情况及软件产品推广范围，先后在全国范围内成立了多家熙菱 3S 服务中心以保证熙菱产品用户的售后服务开展及后续服务支持的持续，归属熙菱技术支撑中心直接管辖和调度。现公司共设熙菱 3S 服务中心为 7 个，它们分

38、别是上海 3S 服务中心、北京 3S 服务中心、西安 3S 服务中心、新疆 3S服务中心、湖南 3S 服务中心、福建 3S服务中心和江西 3S 服务中心。软件事业部作为公司的主流业务部门，其人力资源占据公司总体人员构成的 67%，下设产品开发组、业务咨询组、测试组和配置管理组四个组织团队，负责完成软件产品研发过程中各环节工作职责。产品开发组的主要工作职责为：产品开发组的主要工作职责为：进行项目业务调查；完成项目“需求分析说明书”的编制和完善工作；完成项目“需求分析评审”工作；完成项目的概要设计和详细设计工作；编写系统详细设计。编写系统构件。制定代码编写规范。进行项目子系统各个功能模块的编码工作

39、。完成项目子系统“模快开发卷宗”的编制和完善工作。协助测试工程师完成“测试计划”的编制工作。协助测试工程师和测试员完成各个子系统的测试工作。培养和训练程序员。测试组的主要工作职责为：测试组的主要工作职责为：进行项目各个子系统的测试设计和管理工作；填写“测试日志”；新疆熙菱单点登录统一认证平台解决方案建议书 国际商业机器（中国）有限公司 第 15 页 IBM 完成项目各个子系统“测试计划说明书”和“测试总结报告”的编制和完善工作；配置管理组的主要工作职责配置管理组的主要工作职责为：为：收集项目和产品的阶段性成果。收集项目和产品开发的日、周、月报。定期整理项目和产品的相关文档资料并归档。拟订配置管

40、理的工作内容和工作流程(包括需求跟踪报告、需求变更控制报告，配置管理计划、配置库管理报告、配置项变更控制报告的编写和相关工作流程)。监督项目和产品的版本控制和配置管理。业务咨询组的主要工作职责为：业务咨询组的主要工作职责为：负责售前咨询。方案制作、讲解。作为专业的软件研发的专业企业，软件研发的技术人员是企业生存的命脉，现公司软件事业部全体人员均为本科以上学历，其中研究生以上学历人员占到总人员的 21%，具有国家中级以上技术职称人员占到总人员的 13%。软件公司共有员工 83 人，人员构成如下：管理人员 4 人，系统分析师 2 人，系统架构师 2 人，高级程序员 6 人，程序员 47 人，测试工

41、程师 4 人，测试员 8 人，配置管理工程师 2人，配置管理员 1 人，软件咨询师 5人，界面设计员 2 人。为高质高效地完成软件研发项目，公司成立之初就投入大量资金构建先进的用于软件开发的硬件设备环境，现公司拥有百余台 PC 机和专为软件开发配置的服务器数台，分别承担测试服务器、数据库服务器、配置服务器、开发服务器。经过多年努力，公司现拥有政府、石油、金融、烟草等多个行业用户，完成了一批颇具代表性的软件开发业绩，积累了丰富的软件开发、管理经验，并自主研发了软件产品，如：熙菱单点登陆统一认证系统，SAILING OA 协同办公应用平台、URAP 基础应用平台，思凯工商管理系统，纳税申报系统等成

42、熟软件产品。同时也涉足了各行各业：有办公自动化类型的自主产品（政府机关、烟草行业、社会劳动保障行业、工商系统、金融行业等），有企业 ERP类型的自主产品（烟草行业、石油行业），有业务处理类型的和数据分析及挖掘型的自主产品（石油行业）等等。经营理念经营理念：以人为本，以客为尊，以质为高，以技为精。市场求宽，服务求深，管理求严，意识求新。企业文化企业文化：提升客户价值、注重员工成长、关注速度与创新、追求卓越绩效。新疆熙菱单点登录统一认证平台解决方案建议书 国际商业机器（中国）有限公司 第 16 页 IBM 第第6章章 附录附录 6.1 系统运行环境系统运行环境 硬件建议配置如下：CPU：2志强 3

43、.0GHz 内存：4G 以上 硬盘：140G2 IDE/RAID 数据库:ORACLE9i 以上 操作系统：LINUX/WINDOWS 2003 Server SP2/UNIX/。应用服务器：TOMCAT/WEBLOGIC/WEBSPHERE。浏览器：IE6.0 以上/FireFox。网络环境：局域网/互联网专网 客户端：IE6.0以上/NetSailing SSOpe。备注：建议服务端中间件采用 weblogic9.2，weblogic9.2集群部署及配置请参考webloic9.2中文配置手册 6.2 术语术语解释解释 Sailing SSO（Sailing single sign-on）：

44、熙菱单点登录统一认证软件 现有系统、现有网站：需要整合到本系统中的网站。例如：客服中心、移动互联、移动梦网、彩信、彩音、彩铃、LBS、一机多号。SSO（single sign-on）：单点登录，或称单次登录，指用户只需登录一次就可以使用该用户授权使用的所有应用和信息资源，以下简称单点登录或者 SSO。用户名：用户用于登录本系统的唯一标识。SOA（Service-Oriented Architecture）：面向服务的体系结构，是一个组件模型，它将应用程序的不同功能单元（称为服务）通过这些服务之间定义良好的接口和契约联系起来。ACL（ACCESS CONTROL LIST）：控制对目录的访问的机制