中国电信用户数据库- 总体规范 V1.0
中国电信用户数据库-总体规范
V1.0
中国电信集团公司
2009年6月
目 录
1 适用范围 (4)
2 引用标准 (5)
3 缩略语 (6)
4 规范体系 (7)
5 术语定义 (8)
6 需求约束 (10)
7 UDB在网络中的位置 (11)
8 UDB网络演进 (12)
9 UDB功能描述 (13)
10 UDB接口描述 (16)
10.1 UDB接口描述 (16)
10.2 UDB接口通信实现框架 (18)
10.3 UDB接口安全方案 (19)
11 数据编码规范 (20)
11.1 用户类型编号(U SER IDT YPE) (20)
11.2 用户状态编号(U SER IDS TATUS) (20)
11.3 通用密码格式编码 (21)
11.4 用户唯一标识(PU SER ID) (21)
11.5 用户证件类型(C ERTIFICATE T YPE) (22)
11.6 省别编号(P ROVINCE N O)及简写 (23)
11.7 地市编号(C ITY N O)及区号(A REA C ODE) (23)
12 业务场景 (24)
12.1 帐号申请流程 (24)
12.2 帐号绑定流程 (25)
12.3 帐号解绑流程 (26)
12.4 密码修改流程 (27)
12.5 帐号升级流程 (28)
12.6 用户使用基础账户登录BRAS流程 (29)
12.7 用户使用基础账户登录外网SP流程 (30)
12.8 用户使用基础账户登录网上营业厅流程 (31)
12.9 用户使用基础账户登录VNET,IPTV流程 (32)
前言
用户数据库是实现中国电信统一帐号业务的基础网元设备,也是有效支撑中国电信帐号经营的基础平台。通过用户数据库将中国电信各个独立业务系统/应用平台整合成以统一帐号为中心的一个大的服务平台,提升客户感知和服务体验。本规范基于用户数据库网元设备的全国二级组网目标架构,定义了用户数据库(UDB)的流程与接口规范,包括UDB与IT支撑系统、宽带接入系统、电信自营业务系统、第三方合作业务系统、综合业务管理平台、用户自服务门户及第三方认证服务商等。
本规范是中国电信统一用户数据库总体规范。分册包括:流程与接口规范、设备与功能规范与测试规范。
本规范由中国电信集团公司组织制定和颁布。中国电信集团公司具有本规范的制定权和解释权,如与此前相关规范或规定有冲突,具以本规范为准。
本规范起草单位:中国电信股份有限公司北京研究院
中国电信股份有限公司四川设计院
中国电信股份有限公司四川分公司
本标准主要起草人:何潇熊小明杨鑫潘卫黄鹏李根军等
1 适用范围
本方案规定了用户数据库(UDB)进行基础用户数据进行集中管理、应用、开放的功能、接口、流程、集成方面内容。
本规范适用于中国电信针对个人基础用户帐户,包括移动C网及3G网络帐户、PHS帐户及个人软交换帐户,进行宽带接入、业务网络使用、外网服务使用。
本规范设计与开发过程应保持“松耦合、模块化、可配置”原则,对于统一版本应在模块和代码中予以标识,对于各省定制开发部分,应在程序名称、模块区隔中提前设计明确位置,并在自开发文档说明中给出明确标识。
本规范适用于中国电信针对UDB的研发和升级,是中国电信各级运营单位进行UDB招标采购、工程设计、网络运营、管理、维护等方面的技术依据。
2 引用标准
本规范主要引用了下列标准包含的条文。在本规范制定时,所示版本均为有效。所有标准都有可能会被修订,使用本规范的各方应探讨使用下列标准最新版本的可能性。
CTG-MBOSS BSS-CRM 系统数据模型规范 V1.0
业务功能规范 V1.0
集成接口规范 V1.0
CTG-MBOSS OSS 服务开通系统业务功能规范(本地部
分) V1.0
中电信〔2008〕185 号 中国电信C+W PC版产品-业务规范
中国电信C+W PC版产品-技术规范 CT/T SN RC1 ISMP V1.0 中国电信宽带业务管理平台ISMP规范
总册(RC1.0)
ITU-T D 83 – E Report of the meeting of the Service
and Network Operations Group (SNO), 3GPP TR32.808 Study of Common Profile Storage
(CPS) Framework of User Data for
network services and management
3GPP TS23.008 Organization of subscriber data
3GPP TS23.240 3GPP Generic User Profile (GUP);
Architecture (Stage 2)
3 缩略语
缩略语 英文全称 中文描述
UDB User Database 用户数据库
UDB
User Database Router 用户数据路由
Routers
GUS Group User Service 用户组服务
HLR Home Location Register 位置寄存器
SOAP Simple Object Access Protocol 简单对象访问协议 RPC Remote Process Control 远程访问协议
RFC Remote Function Call 远程功能调用
HTTP Hypertext Transfer Protocol 超文本传输协议
XML eXtensible Markup Language 可扩展标记语言
IM Instant Messaging 即时通讯
CP Content Provider 内容提供商
SP Service Provider 服务提供商
SAG Service Access Gateway 业务接入网关
SS Service System 业务系统
OCS Online Charging System 在线计费系统
CRM Customer Relation Management 客户关系管理 HotBilling Hotline Billing Surport System 离线计费支撑系统 ISMAP Integrated Service Management Access Protocol综合业务管理接入协议 SIP Session Initial Protocol 会话起始协议
FTP File Transfer Protocol 文件传输协议
LDAP Lightweight Directory Access Protocol 轻量目录访问协议 AAA Authentication, Authorization, Accounting 服务,鉴权,计费 OTP One Time Password 一次性密码
CDMA Code Division Multiple Access 码分多址
TBD To Be Depend 待定义
4 规范体系
I、中国电信用户数据库(UDB)规范总册
II、中国电信用户数据库(UDB)规范
1.中国电信用户数据库(UDB)设备与功能规范
2.中国电信用户数据库(UDB)接口与流程规范
A.省公共接口部分(HTTP/ISAP/Web Service等)
B.全国中心接口部分
C.运营支撑系统接口(CRM/UAM等)
D.接入网元接口(ADSL AAA/WLAN AAA/LAN AAA等)
E.单点登录(SSO,Single Sigh On)接口
F.用户自服务接口
G.加密机接口(后期补充)
H.SCP接口(后期补充)
III、中国电信集团全国用户数据发布中心 UDB(用户分发中心)规范(后期补充)
IV、测试方案
5 术语定义
下述术语定义适用于中国电信用户数据库规范体系所有涉及的所有文档。
下述术语定义适用于中国电信用户数据库规范体系所有涉及的所有文档。
I、终端(Terminal):终端在个人通信领域等同于订户,在固定设备中区别于
订户,终端指发起一次通信的具备网络地址的设备,比如STB、监控点投影设备、软终端等。
II、重定向接口:通过UDB的前置服务器,在公网上提供HTTP入口,使用户可以通过登录UDB并反馈SP的形式进行第三方登陆。此接口也可用于提供给第三方进行单点登录。
III、计费(Billing): 根据批价结果,按照CRM的客户群组属性,进行最后的账单生成过程,也就是应收帐款的数据单据形成工作,以便后期的收费和营帐系统进行处理。
IV、接入 : 特指网络接入,即通过某种方式把终端设备连接到电信提供的通信网络中,包括语音电话的接入、IP网络(包括接入互联网)接入、iTV 机顶盒接入及移动终端接入等等。
V、接入服务: 在终端设备(电话、传真机、计算机、移动终端等)请求连接到电信网络时,用来确认该连接请求的合法性及远端用户身份的过程。VI、业务服务: 用户在访问电信所提供的服务(非接入服务)时,用来确认用户身份与访问的合法性的过程,这些应用系统往往有不同的域名和各自的帐号、密码体系。
VII、一次性密码:一次性密码(One Time Password,简称OTP),又称动态密码,是指只能使用一次的密码。解决使用者在密码的记忆与保存上的困难性。由于密码只能使用一次,而且因为是动态产生,所以不可预测,也只有一次的使用有效性,可以大为提升使用的安全程度。
VIII、第三方服务:电信用户在使用第三方提供的业务(电信SP业务或其它非电信业务)时,用来确认用户身份和访问合法性的过程。
IX、业务提供方(SP) Service Provider,指通过断言确定用户身份从而向用户提供应用服务的系统。
X、帐号(Account) 应用系统(SP)中提供给用户使用的用户标记。XI、帐号映射(Account Mapping)不同的帐号与同一个自然人使用者的对应关系。
6 需求约束
1.此文档作为架构人员设计架构的依据
2.此文档的系统架构图和接口为各业务系统改造提供原理上的支持
3.系统提供验证映射帐户的接口,可以通过配置是否启用该功能
4.系统采用开放式的设计思路,对服务方法,协议适配采用插件的方式,以
方便后续的扩展
7 UDB在网络中的位置
互联网业务SP 业务系统
A AA
图7-1.UDB在网络中的位置
1.漫游用户访问异地UDB,须经全国UDB交换中心进行交换操作,本省存取
本省个人用户信息。
2.用户开启通信服务号码、主动关停服务号码、欠费停机、号码升级等操作,
需要在运营支撑系统进行相应操作,并由支撑系统在UDB网元进行配置。3.自营业务平台使用自有帐号进行服务,原体系不变;使用个人通信服务帐
号登陆,转UDB服务。
4.用户使用原有帐户使用带宽接入业务,内部结构不变;使用个人通信服务
帐号登陆,转UDB服务。
5.用户使用UDB帐户登陆互联网业务,通过加密渠道访问内部UDB服务,并
映射到外部业务ID,进行互联网业务使用。
8 UDB网络演进
用户数据库(UDB)定义:中国电信统一帐号(移动号码、固网号码等核心号码资源)数据的安全状态服务网元。
一阶段:
用户数据库(UDB)主要数据:用户号码数据,包括C网、固话、小灵通号码数据;状态数据,包括预后付费的开机、拆机、复机等工作状态;密码数据,包括号码的固定、短信一次性、卡类一次性密码数据;配置数据,包括对于业务系统的开启和关停等操作。
用户数据库(UDB)主要功能:对于业务系统(包括移动、宽带、行业信息化等不同类别)的管理平台进行用户数据安全及状态寄存服务。帐号逻辑层面将号码落实到个人,业务层面拓展到接入和应用多层面全业务。
用户数据库(UDB)后台支撑:UDB统一产生一次性密码,并经两种渠道下发:1、短信一次性密码方式,使用ISAG激活短信中心下发UDB密码,并经SS 调用UDB进行验证;2、OTP 令牌方式,使用密码生成器和令牌卡方式,双方经同一算法进行同步生成一次性密码池,由渠道为用户提供令牌。
二阶段扩展:
在功能上,与CRM合作拓展群组管理,并增加个人通信录、呈现、自服务等用户能力,与支付、OCS、SCP、门户等业务能力进行集成,针对用户验证工作进行细化和拓展。
在架构上,未来逐步演进为为业务层和接入层提供核心号码及密码的安全和状态服务的综合认证平台。
9 UDB功能描述
UDB系统的主要工作是完成189账户的集中服务。它维护各个业务系统的账户到189帐户的映射关系,将各个独立的业务整合成以189帐号为中心的一个大的平台,用户只需要189帐号和密码,即可以使用诸如:IM,IPTV,VNET等各种业务。
系统还预留了统一余额的接口,以备将来可以平滑的和统一余额整合。系统的架构如图所示:
图8-1.中国电信用户数据库UDB架构图
我们将UDB系统划分为四大部分,即:协议适配,服务,后台管理,基础数据。
I、协议适配:该部分的组件主要用来和各种业务系统进行交互,从不同的网
络类型中接收不同的种类的协议封装的数据,统一转换成UDB可以识别的格式,当服务等操作完成后,又将数据封装成特定的协议,通过不同的网络类型返回给各应用系统。在该块中主要包含有如下的功能模块:
z网络通讯
完成网络数据包的发送和接收
z协议解析
将数据包按照各种协议进行分解或者将数据用特定的协议封装。例如:解析http,soap,xml等格式的数据成UDB统一识别的数据,在完成服务后,将服务的结果和其他信息包装成指定的协议(http,soap,xml等)。
II、服务:该部分是UDB系统的核心部分,它对各种业务系统的服务请求进行服务,这部分可以执行严谨的服务策略,可以实现多种服务方式。记录下服务结果,等等功能。
z服务策略
对请求服务的数据,进行服务策略的检查。例如:该模块获取到请求服务的业务系统来自于外部网络(IM),那么只能采取OTP的服务方式,如果来自内网采用记忆密码的方式进行服务。如:连续10次登录失败,将发送告警给管理员,并且暂时冻结该账户(可能是恶意密码猜测)
z服务处理
在服务策略检查后,按照服务策略进行服务。服务支持适配的模式,服务的基础数据可以存放在LDAP,DB,或者其他的数据源中。在服务完成后,系统也可以将服务的189用户对应的业务系统的用户信息作为服务结果的一部分返回。
III、后台管理:该部分包括系统管理,和CRM系统的接口封装,用户管理,登录审计等多种操作。
z CRM接口
用来和CRM系统进行连接。用来处理从CRM来的工单信息
z开通用户
从CRM接收数据,创建UDB的189账户
z注销用户
从CRM接收数据,注销UDB用户
z更新用户
从CRM接收数据,更新用户信息
z信息查询
此模块用来给UDB系统管理员查询帐户的相关信息
z资源管理
用户管理业务系统信息的维护,分配或者修改业务系统的名称,ID 等
z服务策略管理
配置服务策略,如:一个用户在密码不能连续出现10次登录错误等
z统一审计
对用户,管理员,业务开通人员的登录和操作行为进行审计
z支付申请接口
该部分是预留的一个接口,以备将来统一余额来使用
IV、基础数据
该部分是服务和用户管理联系的桥梁,用户管理部分所操作的服务策略,操作日志记录,等都保存到数据库中。而服务部分则使用这部分的数据。
10 UDB接口描述
10.1 UDB接口描述
UDB和周边系统接口表述见下:
图9-1.中国电信用户数据库UDB结构
1. 参考点A(省UDB与电信支撑系统BOSS之间的接口):
1) A1:省UDB与归属地CRM之间的接口:涉及业务受理时的帐号开通,
用户帐号信息更新的通知等。
2) A2:UDB与OCS的接口:预付费帐号。
3) A3:UDB与智能网的接口:预付费帐号欠费状态查询接口;
2. 参考点B(省UDB与全国UDB中心之间的接口):包括全国UDB到省UDB
的帐号信息查询、相互维护的帐号信息更新等;全国UDB平台做漫游认证的转发等服务。
3. 参考点C(UDB与宽带接入系统AAA Radius服务器之间的接口):
1) C1:UDB与固网AAA之间的接口;
2) C2:UDB与WLAN AAA之间的接口;
3) C3:UDB与CDMA AAA之间的接口;
4. 参考点D(UDB与业务系统之间的接口):
1) D1:UDB与电信自营业务系统之间的接口,主要是帐号认证、用户业
务注册和上线状态通知、业务密码设置、短信密码获取请求等消息交互。
z D11:UDB与VNET管理支撑平台之间的认证接口:涉及UDB与省VNET;
z D12:UDB与彩铃门户之间的接口(彩铃门户如果割接到ISMP,此接口取消);
z D13:UDB与省内其他业务系统之间的接口。
2) D2:UDB与综合业务管理系统平台之间的接口。
z D21:UDB与ISMP之间的接口,可以采取用户数据push给ISMP 和认证请求pull给UDB两种模式;
z D22:UDB与其他业务管理平台系统的接口(如商企等)
3) D3:UDB与第三方CP/SP业务系统之间的接口,主要是帐号绑定及认
证服务消息交互。
5. 参考点E(UDB自身管理配置的接口):主要传递系统管理操作员的登录认证
以及对UDB的配置、统计、管理维护操作信息交互。
6. 参考点F(UDB与用户自服务门户之间的接口):UDB与用户服务门户(单独
提供统一帐号管理或者纳入网上营业厅)之间有关帐号信息查询、设置及更新的接口操作。
7. 参考点G(UDB与短信网关/ISAG之间的接口):短信通知下发接口。
8. 参考点H(UDB与第三方身份认证服务的接口):对于涉及支付等高安全性的
认证可以采取动态密码/一次性密码等认证方案,UDB需要与第三方(如
verisign等)的OTP认证服务等进行二次认证交互。
10.2UDB接口通信实现框架
接口通信实现框架符合下图描述。
图接口框架逻辑图
通信协议层包括:Socket、FTP、HTTP、SOAP等。支持RADIUS和SAML 协议族,并通过UDB协议适配组件进行适配。
消息处理层包括两种情况:一种是对通信协议交互关系的处理,另一种是对应用数据提供基本的解析机制。为了提高系统的可扩展性,消息数据采取XML格式进行封装。
应用层:提供应用语义处理,实现各自接口的业务逻辑。
10.3 UDB接口安全方案
由于UDB系统需要和互联网业务相连接,我们需要从多个层次来保护UDB系统的安全性。我们从三个层面来考虑系统的安全性
?传输层
在传输层我们可以考虑使用如下的一种或者多种方法的组合:
a)考虑通过专线连接外网SP登录服务器与内网UDB服务器
b)不采用专线,连接通过internet,但系统不直接暴露在internet上,而是
放到受防火墙保护的DMZ区域,在防火墙本身设置策略,只是允许指
定的SP服务器的IP和PORT连接到UDB的指定端口
c)在各业务系统和UDB的连接中采用采用隧道加密形式。
?会话层方面
在会话层我们可以考虑使用如下的一种或者多种方法的组合:
1.UDB系统和外围系统的数据交互,建议采用加密协议进行(如:SSL加密)
2.SP的业务系统连接UDB系统的时候采用双向数字证书服务。确保是正确的
SP服务器连接到正确的UDB服务器
?应用层方面
在应用层我们可以考虑使用如下的一种或者多种方法的组合:
1.数据中189的密码全部加密保持到数据库中
2.由于internet上的业务很容易受到攻击,所以对外网业务使用OTP(one time
password)
3.对用户提供的密码实行强密码验证,系统管理员可以设置强密码规则。如:
密码必须有字母,数字,特殊符号组成,密码位数在8位-18位之间等
4.对用户服务,系统管理员的操作都记录详细的操作日志,记录下:访问人,
访问时间,访问原始IP,访问目标IP,访问的动作,访问的结果等
11 数据编码规范
11.1 用户类型编号(UserIDType)
2字节字符串(全国和省UDB通用,其他类型待扩展)
取值描述备注
手机号码
09 MSISDN
05 PHS 小灵通号码
04 固话固定电话号码
02 宽带宽带接入帐号
由于各省CRM对用户类型的编码不统一,为确保各省及全国UDB用户数据一致,各省与CRM对接时需要维护编码中间表进行转换。
11.2 用户状态编号(UserIDStatus)
定义各省及全国UDB统一的帐号状态属性。
取值描述对应各省CRM的用户状态
01 预开户预开户
02 正常状态开户、复机、取消停机保号、解
挂、在用
03 欠费单停欠停(单向)
04 欠费双停欠停(双向)
05 停机保号用户报停
06 其他停机挂失、违章停机、加锁停机等
07 拆机状态拆机、预拆机、违章拆机、欠费
拆机
08 暂停服务障碍、施工未完、资源封锁等
各省分公司CRM用户状态要与全国统一状态建立中间表转换表:以下是某省公司CRM的实际状态属性标识,需要归并同类状态属性。