項(xiàng)目背景

隨著中國(guó)移動(dòng)的業(yè)務(wù)網(wǎng)發(fā)展，其內(nèi)部用戶數(shù)量持續(xù)增加，網(wǎng)絡(luò)規(guī)模迅速擴(kuò)大，安全問題不斷出現(xiàn)。而每個(gè)業(yè)務(wù)網(wǎng)系統(tǒng)分別維護(hù)一套用戶信息數(shù)據(jù)，管理本系統(tǒng)內(nèi)的賬號(hào)和口令，孤立的以日志形式審計(jì)操作者在系統(tǒng)內(nèi)的操作行為?，F(xiàn)有的這種賬號(hào)口令管理、訪問控制及審計(jì)措施已遠(yuǎn)遠(yuǎn)不能滿足自身業(yè)務(wù)發(fā)展需求。

基于TongWeb構(gòu)建的B/S架構(gòu)的4A統(tǒng)一安全管理平臺(tái)解決方案能夠解決運(yùn)營(yíng)商當(dāng)前在賬號(hào)口令管理、訪問控制及審計(jì)措施方面所面臨的主要問題，將不同應(yīng)用、業(yè)務(wù)過程、后端系統(tǒng)、服務(wù)和信息、知識(shí)等內(nèi)容集成到一個(gè)軟件系統(tǒng)平臺(tái)內(nèi)。

連接多種應(yīng)用系統(tǒng)為不同角色的用戶提供快捷服務(wù)的門戶系統(tǒng)，其核心的基礎(chǔ)就是用戶身份的管控，包括用戶身份管理、角色和權(quán)限管理、網(wǎng)絡(luò)行為管控、統(tǒng)一用戶信息管理這幾個(gè)部分，即通常所說的4A：統(tǒng)一用戶帳號(hào)(Account)管理、統(tǒng)一認(rèn)證(Authentication)管理、統(tǒng)一授權(quán)(Authorization)管理和統(tǒng)一安全審計(jì)(Audit)四要素。

項(xiàng)目部署及解決方案

J2EE應(yīng)用服務(wù)器TongWeb部署在4A認(rèn)證系統(tǒng)的應(yīng)用服務(wù)器上集群。當(dāng)應(yīng)用服務(wù)器集群正常運(yùn)行時(shí)，所有主機(jī)上的的TongWeb都可以分擔(dān)請(qǐng)求，實(shí)現(xiàn)處理壓力的負(fù)載均衡；當(dāng)某一應(yīng)用服務(wù)器出現(xiàn)故障，其他服務(wù)器上的TongWeb將接替其工作以保證業(yè)務(wù)的延續(xù)，提高了系統(tǒng)的可用性，這一系列工作對(duì)前臺(tái)的用戶是透明的，沒有任何的影響。

針對(duì)安全管理TongWeb支持JAAS方式的認(rèn)證和授權(quán)，TongWeb應(yīng)用服務(wù)器提供靈活的、可擴(kuò)展的安全框架，支持可插拔的使用第三方的認(rèn)證模塊（Login Module），隨產(chǎn)品附帶的Login Module有：

◆文件方式

◆LDAP服務(wù)器方式

◆證書方式

TongWeb支持JACC架構(gòu)，提供完整的授權(quán)解決方案。TongWeb應(yīng)用服務(wù)器默認(rèn)提供一個(gè)符合JACC 規(guī)范的，基于policy文件的授權(quán)引擎，還可以配置使用第三方的JACC提供者來執(zhí)行授權(quán)。

4A認(rèn)證系統(tǒng)接口主要應(yīng)用于服務(wù)端提供功能調(diào)用、數(shù)據(jù)響應(yīng)等服務(wù)。接口的實(shí)現(xiàn)主要采用TongWeb的WEB SERVICE功能。TongWeb應(yīng)用服務(wù)器支持對(duì)服務(wù)實(shí)現(xiàn)而言至關(guān)重要的關(guān)鍵高性能WEB SERVICE標(biāo)準(zhǔn)。支持MTOM和XOP，使SOAP消息中的XML內(nèi)容能進(jìn)行***化的二進(jìn)制編碼，減少對(duì)網(wǎng)絡(luò)帶寬的占用。

TongWeb除基于傳輸層的安全（如SSL）來保證端到端的安全外，TongWeb應(yīng)用服務(wù)器還通過支持WS-Security來提供可互操作的消息內(nèi)容的完整性、機(jī)密性保護(hù)，保證消息在傳輸過程中的安全。

使用TongWeb應(yīng)用服務(wù)器可以輕松創(chuàng)建、部署和測(cè)試Web服務(wù)。開發(fā)人員可以采用JSR-181 Web服務(wù)注釋開發(fā)Web服務(wù),然后用命令行工具將Web服務(wù)發(fā)布。使用這種方式，開發(fā)人員可以很輕松的開發(fā)Web服務(wù)，并迅速的交付，與傳統(tǒng)的開發(fā)模式相比，這種方法降低了開發(fā)的復(fù)雜度，生產(chǎn)效率高。

通過TongWeb的管理控制臺(tái)，可以快速的部署Web服務(wù)，并且在部署完成后的頁(yè)面上還提供了測(cè)試功能，不需要開發(fā)人員單獨(dú)寫調(diào)用Web服務(wù)的程序，就可以方便的測(cè)試Web服務(wù)的功能，進(jìn)一步的提高了Web服務(wù)的開發(fā)效率。

項(xiàng)目意義

在大型的4A認(rèn)證系統(tǒng)中采用中間件技術(shù)產(chǎn)品來構(gòu)建業(yè)務(wù)應(yīng)用系統(tǒng)十分重要。因?yàn)橹虚g件產(chǎn)品為應(yīng)用的開發(fā)、運(yùn)行和管理維護(hù)提供了良好的體系結(jié)構(gòu)、應(yīng)用系統(tǒng)框架。在這一體系結(jié)構(gòu)中不但解決了大型分布式應(yīng)用所帶來的異構(gòu)應(yīng)用環(huán)境問題，更提供了必要的擴(kuò)展性、可靠性、可用性、伸縮性、分布式事務(wù)管理、資源調(diào)度控制等等系統(tǒng)級(jí)服務(wù)支撐。這些要求是分布式應(yīng)用系統(tǒng)需要面對(duì)的，但與應(yīng)用業(yè)務(wù)有沒有直接的關(guān)系（但缺之不可）。

應(yīng)用系統(tǒng)框架的概念也符合軟件系統(tǒng)的層次化、整體化要求。在中間件之上用戶得以專注于業(yè)務(wù)邏輯開發(fā)，而應(yīng)用系統(tǒng)框架負(fù)責(zé)整合應(yīng)用系統(tǒng)，負(fù)責(zé)在不同的技術(shù)之上共享資源、管理計(jì)算資源和網(wǎng)絡(luò)通訊，為應(yīng)用確保數(shù)據(jù)傳輸?shù)恼_性、可靠性、安全性和傳輸效率。在這個(gè)架構(gòu)之上來構(gòu)建應(yīng)用，開發(fā)簡(jiǎn)單方便、保障應(yīng)用系統(tǒng)運(yùn)行效率和伸縮性、健壯性、安全、管理維護(hù)方便，不但可以滿足當(dāng)前的應(yīng)用需求還可以滿足未來業(yè)務(wù)的發(fā)展。

中國(guó)移動(dòng)項(xiàng)目經(jīng)理表示，以TongWeb為基礎(chǔ)的4A認(rèn)證系統(tǒng)，提供包括帳號(hào)管理、統(tǒng)一認(rèn)證、命令授權(quán)和集中審計(jì)服務(wù)的集中安全管理平臺(tái)。在該系統(tǒng)支撐下，將用戶帳號(hào)、命令授權(quán)管理將納入統(tǒng)一、可控的框架內(nèi)；并提供安全認(rèn)證入口，實(shí)現(xiàn)IT基礎(chǔ)資源的單點(diǎn)登錄；同時(shí)，該方案提供靈活多樣的審計(jì)功能。把企業(yè)里各分散的信息系統(tǒng)資源有效的組織起來，以清晰靈活的管理流程來實(shí)現(xiàn)集中安全管理。相信，隨著企業(yè)門戶對(duì)安全管控需求的不斷細(xì)化，隨著技術(shù)的發(fā)展，以TongWeb為基礎(chǔ)4A認(rèn)證系統(tǒng)對(duì)企業(yè)門戶安全的貢獻(xiàn)將越來越突出。