开放移动互联网平台(OMP)的研究与实践项目

1、开放移动互联网平台(OMP)的研究与实践项目1、 项目建设背景和目标1.1 项目实施背景近年来移动通信增值业务以强劲的增长速度、快速的市场渗透力创造了巨大的经济效益。在我国，移动增值业务为运营商带来了显著的经济效益，成为拉动总业务收入的生力军。然而，随着信息通信技术和互联网的快速发展，人们对移动通信增值业务的需求也逐步呈现综合化、多媒体化、多样化和个性化的发展趋势，使业务分布呈现了“长尾”型，也就是所谓的长尾效应。长尾效应对二八法则的挑战在于，80%的非主流元素形成的“长尾”不是仅占20%的份额，而是更多，可能达到甚至超过50%。迫使运营商不能仅贯彻“二八定律”，而忽视业务量比较少的小客户。但

2、是，对于这类个性化十足但用户量偏少的业务（单业务订购量偏少，但业务数量繁多），SP因利益至上而不愿投入，从而形成了“业务真空”另一方面，中国移动虽已经建设了多种形式的开放网关，如短信网关、彩信网关、行业网关等，但是不同于现有的互联网应用接口的简洁模式，这些平台的接口往往参数众多，调试繁琐，调用复杂，对于非电信技术背景的开发者，调用的相关电信能力的集成难度大。这就造成了能力虽然开放，但能力和具体应用的集成往往需要很长周期，很难满足互联网软件应用快速的研发模式。在国内，SP资质门槛很高，对于非SP的个人和小公司，即使有创意并具备开发能力，也因不具备SP资质而不允许发布电信增值业务，导致因创意缺失，

3、业务的同质化倾向严重。移动互联网上不仅仅只有短信、彩信能力可以开放，实际有大量的业务能力（GIS、天气预报、邮箱、语音、视频、会议、即时消息等等）可以开放给业务开发者，以便开发出丰富多彩的增值应用，但到目前为止，尚没有一个平台来管理和开放这些业务能力。辽宁公司现有业务网中存在诸多问题。现有业务能力开放度不足，业务功能重复建设比较严重。例如，视频监控业务，其他业务平台需要调用视频监控的能力时，只能自建视频监控功能，而不能使用现有的视频监控平台的功能。业务系统上线时，需要要与各网元调测，每个业务系统分别需要接短信网关、彩信网关和业务管理系统，严重影响业务上线的周期。现有梦网网关、彩信网关的协议格式

4、比较复杂，开发的门槛比较高，严重影响合作伙伴的广泛程度。精通短信网关、彩信网关的合作伙伴往往是电信的SP和电信厂商，在今后的移动互联网发展中，只拥有这些合作伙伴肯定是不够的。需要广泛地发展合作伙伴，需要降低合作伙伴的门槛。行业应用的开发周期比较长，但是上线后规模比较小，很难形成规模效益。开发行业应用需要硬件、软件等配套设施，业务运行环境的高要求导致开发门槛高，行业应用开放厂商往往是IT企业，IT企业对于电信的开发、建设不熟悉，导致开发周期长、建设不规范。各业务平台接入不统一，没有统一的业务门户与业务体验，给业务平台的建设厂商造成一定的不方便。同时，在IDC建设驱动不足，内容缺乏，限制了3G业务

5、开展和全业务运营的部署。开放移动互联网平台(OMP)的研究和实践，对辽宁公司存在以下意义：1、开放业务能力，节省投资。在各业务平台已有的业务能力可以开放给其他业务平台使用，避免造成投资浪费。同时已有的业务能力不再进行建设，减少了业务建设流程。2、丰富行业应用和IDC内容。对于行业应用的开发者和合作伙伴，提供REST或者WEBSERVICE接口，让其业务方便地接入移动网内，通过快速部署行业应用达到丰富行业应用的效果。对于生成的增值应用与行业应用，部署在移动IDC中，丰富我们IDC中的内容。3、更快更好地发展位置基地。通过对全网位置能力（GIS和定位）的运营，更好地管理、控制、运营位置能力，形成丰

6、富的位置业务应用。广泛地引入位置基地的合作伙伴，促进位置基地繁荣。4、降低合作伙伴的门槛。通过REST或者WEBSERVICE接口将移动的业务能力对合作伙伴开放。不再局限于SP、SI等有限的合作伙伴，将合作伙伴的范围扩大到普遍的IT公司甚至中小开发者。同时，提供应用运行环境和开发环境，简化建设流程。5、梳理业务网的结构要求。实现业务的统一接入，改变现有业务网网状网的现状，统一用户接入，保证用户信息安全。因此，对于移动互联网开放平台的研究和实践，在一定程度能够给辽宁公司的运营和发展带来好处，在移动互联网的竞争中，抢得先机。1.2 项目建设内容辽宁公司负责开放移动互联网平台(OMP)的研究与实践项

7、目，目前此项目已经建设完成。开放移动互联网平台(OMP)将面向合作伙伴开放移动能力，以扩大合作伙伴范围，降低合作伙伴的门槛。在自有业务和合作业务中，开放现有的短信、彩信、位置等能力，方便业务的快速部署，业务系统可以快速应用现有平台的能力，减少重复投资。开放移动互联网平台(OMP)能够满足以下四方面的需要：(1) 业务网结构梳理的需要。现有业务网结构比较松散，没有统一接入和统一鉴权，引入可解决该问题。(2) 业务网能力开放的需要。现有业务网能力开放不足，引入可解决该问题。(3) 发展位置基地的需要。位置基地现在有能力开放需求，引入可满足该需求；在广泛发展合作伙伴后可丰富位置类应用。(4) 简化建

8、设流程，节省投资的需要。各业务平台已有的业务能力不用再进行建设，可统一开放。业务平台建设可解决该问题。辽宁公司开放移动互联网平台(OMP)的研究与实践项目主要完成了以下具体建设内容：(1) 统一平台：建设了统一的开放移动互联网平台(OMP)。(2) 能力开放：满足10万企业用户和200万个人用户需求，将现有能力平台(本期短信-100条/秒、彩信-30条/秒、定位-10条/秒、GIS-50条/秒、点击拨号-10条/秒、WAP Push-30次/秒)的能力对自有系统或者合作系统进行开放，软硬件系统满足2011年底业务发展需求，未来将开放更多的能力。(3) 标准接口：对相关能力平台进行改造，通过开放

9、移动互联网平台(OMP)进行业务调用时，需要采用OMP提供的标准的能力开放接口。(4) 应用扩展：预留一定量的处理能力，实现行业应用的快速上线，以及中小应用开发的接入扩展能力。1.3 项目投资辽宁公司开放移动互联网平台(OMP) 的研究与实践项目总投资为4186742元人民币。2、 建设方案2.1 开放移动互联网平台(OMP)2.1.1 整体功能模块开放移动互联网平台(OMP)功能模块组成如下图所示，分为接入子系统、管理子系统、鉴权子系统3个子系统：图2.1-1 开放移动互联网平台(OMP)功能模块图(1) 接入子系统功能：接入子系统主要实现能力开放功能。能力开放功能主要通过提供轻量级的接口（

10、如REST接口）给各类应用来实现能力的开放。(2) 鉴权子系统功能：鉴权子系统主要包括安全及鉴权两模块，其中安全模块主要完成伪码管理，Token管理，证书管理，身份认证以及安全存储等功能；鉴权模块主要完成鉴权认证，鉴权认证，订购关系维护，话单生成，用户信息、开放者信息、计费信息以及话单等信息的同步等功能。 (3) 管理子系统功能：主要承担OMP的公共管理功能，如业务开发者管理、业务/产品管理、业务能力管理、用户管理、业务开发、测试、部署及监控等功能。提供四大门户功能，如开发者门户（实现开发者社区，业务申请、业务能力签约申请、购买申请，业务发布申请等功能），用户门户（实现业务展示、业务订购/退订

11、/下载等），运营商门户（实现业务受理/审核/监控/发布等功能），以及能力提供者门户（为能力提供者实现能力开放申请/审核/监控/发布等功能）。2.1.2 应用架构开放移动互联网平台(OMP)支持OMP应用和行业应用的应用孵化和能力统一接入， 当OMP需要支持ADC行业应用和基地类行业应用时，支持ADC行业应用和基地类行业应用通过OMP系统接入各个能力平台进行能力调用。OMP在北向采用REST和Web Service接口与行业应用系统连接，对行业应用开发者（SI）开放短彩、位置等能力；应用开发者通过在应用中封装OMP提供的能力SDK实现能力的调用。OMP在南向与行业网关和LBMP连接，完成各个能力

12、平台的统一接入，能力鉴权以及协议适配，与行业网关之间采用CMPP/MM7协议，与LBMP之间采用Gv接口。OMP负责能力的统一接入，鉴权及管理，以及行业应用孵化；ADC平台负责为EC提供统一门户以及相关的数据配置和应用管理；行业网关负责短彩类行业应用的认证鉴权及用户短彩下发；LBMP负责位置类行业应用的认证鉴权及位置信息获取。OMP行业应用支持ADC行业应用和基地类行业应用时与其他网元的关系如下图所示：图2.1-2 开放移动互联网平台(OMP)应用架构2.1.3 接入子系统 接入子系统体系架构接入子系统位于业务应用层与业务使能部件之间，它与鉴权子系统、管理子系统一起构成完整的开放

13、移动互联网平台(OMP)。接入子系统是网络能力中心，是各种能力的集成和抽象，它主要面向业务开发者，以及各类SP，提供与网络及技术无关的开放式接口，以便SP和业务开发者可以方便地使用来开发业务以及访问网络资源和信息。图2.1-3接入子系统体系架构图接入子系统按功能可以将其分为4层进行描述：(1) 开发者接口封装层：该层实现网络能力接口的封装，封装成标准的API函数供开发者调用，所支持的接口有（REST/Web Service），采用中国移动制定的接入子系统北向接口规范，REST/Web Service接口是在OMA定义的Parlay X/REST接口基础上进行的扩展以及OMA规范中尚未定义的能力

14、接口。(2) 接入子系统管理层：该层主要负责接入子系统的所有相关管理功能，如开发者/终端用户的接入认证授权、日志统计、能力管理、SLA控制、黑白名单检查等等。(3) 业务逻辑执行环境层（Service Logic Execute Environment）：是整个接入子系统业务逻辑控制中心，内含大量的能力集合（如短信、彩信能力等），并为每个能力集提供相应的SLA检查、鉴权、能力使用等业务逻辑控制。利用接入子系统SCE，业务经开发、测试，最终加载到业务逻辑执行环境中执行。业务逻辑由两大部分组成：基本电信业务能力，如短信、彩信、WAP Push、点击拨号能力等；(4) 适配层（Adaptation

15、Layer）是接入子系统和底层网元的南向接口协议适配层。由于各业务引擎使用的接口协议不同，如CMPP、MM7、Gv、HTTP、Web Service等，需要做相应的协议适配。协议适配由三部分组成，一部分为数据业务适配接口，如短信适配器、MMS适配器、定位适配器。 接入子系统软件架构接入子系统的重要功能就是将电信网络的能力开放给业务开发商，接入子系统高度抽象了底层网络的能力，彻底屏蔽了底层网络的复杂性，采用统一、标准的SOAP/REST接口对开发者开放。开发者即可通过该接口访问移动业务网络的业务能力。接入子系统（ACS）的系统结构如下图所示。ACS开放的业务能力可随着承载网络业务能

16、力的增加而增加，ACS的系统结构将保持不变。图2.1-4接入子系统软件模块图 接入子系统功能模块(1) 业务能力封装为进一步降低开发者的开发难度，需要将各种引擎的不同接口（如CMPP、MM7、Gv，SOAP）转化成标准、统一的外部接口（Web Service/REST），使开发者只需学会该接口协议，即可调用所有的电信网络能力。(2) 接入子系统管理功能1) 业务能力生命周期管理：包括业务能力部署、激活、去激活、卸载等功能；2) 开发者应用数据配置：接收并解析并配置来自业务管理系统的数据配置文件（XML），如开发者数据、业务数据、SLA数据等，数据配置完成后，生成相应的数据配置结果

17、文件，传送给业务管理系统。3) 认证授权：完成开发者接入认证、业务能力授权检查、黑名单、可信任接入，以及与业务管理系统交互完成用户定购关系鉴权等功能。4) 日志和统计：对业务用况进行实时采集并记录日志，在本地进行业务统计。5) 东向接口开关：为保证业务的不间断运行，接入子系统需要支持对东向接口开关的功能，在开关关闭时保存相关计费信息。6) 管理控制台：接入子系统的管理控制台为接入子系统的操作控制台，用于系统的配置、维护管理。接入子系统管理控制台操作界面和简单的客户端，应采用WEB浏览技术，允许管理员远程访问操作。7) 服务质量监控。实现接入子系统的各种监控功能，包括如下几个方面：8) 流程监控

18、：对开发者的业务流程进行监控，检查检测业务流程的正确性与完整性，防止对用户的流程欺诈；9) SLA控制：根据预配置的SLA信息对实际产生的业务用况进行实时检查，对违反了SLA中的规定的请求，按照运营商预设的策略进行处理；10) 内容过滤：对开发者下发的短信进行过滤，对包含不符合国家安全策略以及非法内容的业务请求进行阻截。 接入子系统业务逻辑控制图2.1-5 接入子系统业务处理流程业务逻辑执行环境及其加载的业务是整个接入子系统业务逻辑控制的中心，实现开发者请求接入认证、SLA检查、鉴权触发、能力使用等过程，主要实现以下业务逻辑：一、基本能力：(1) SMS能力。实现短信的AOMT单

19、发、AOMT群发、MOAT、长短信拆分，以及相应的业务路由转发、点播、订购等业务控制流程。(2) MMS能力。实现MMS的AOMT单发、AOMT群发、MOAT，以及相应的业务路由与转发等业务控制流程。二、定位能力：(1) 实现定位业务的立即定位、周期性定位、区域性触发定位，以及相应的业务路由转发等控制流程。(2) GIS能力。实现地理信息业务的地图信息获取、关键词搜索、路径导航、周边分类搜索，以及相应的业务路由转发等控制流程。三、协议适配：开发者调用应用开放接口访问电信业务能力时，接入子系统需要与移动网络中业务引擎及呼叫控制设备进行消息交互，业务功能的具体实现由业务引擎及呼叫控制设备完成。接入

20、子系统与业务引擎及呼叫控制设备间的交互消息采用这些网元所要求的协议。接入子系统业务能力适配就是开发者应用开放接口与移动网各网元协议转换过程。将开发者能力调用的接口转换成各业务引擎所支持的接口协议，如下：(1) 实现与短信网关的CMPP接口协议转换（支持多短信网关连接，版本支持2.0 /3.0）；(2) 实现与MMSG的MM7接口协议转换（多MMSG连接）；(3) 实现与行业网关的CMPP短信接口协议转换（版本支持2.0 /3.0）；(4) 实现与行业网关的MM7彩信接口协议转换；(5) 实现与行业位置引擎LBMP的Gv接口协议转换；(6) 实现与各位位置引擎LBAP的Gv接口协议转换；2.1.

21、4 管理子系统 管理子系统体系架构OMP管理子系统作为业务层的一个业务处于整个系统的最上层， 统一管理接入平台，提供最基本的功能组件供OMP管理子系统调用，下面一层是支撑层，负责协议适配，IP会话，数据库访问等底层的基本功能。图2.1-6 管理子系统体系架构 管理子系统功能描述管理子系统的主要功能如下：提供门户给用户，运营商，能力提供者使用；提供计费管理功能，对用户和开发者进行计费的管理，实现计费策略的同步，保存话单，接受鉴权子系统的用户账户同步信息等；提供网络管理功能，对系统内的网元的软硬件运行状态及时记录且能够同步给上一级网管；提供存储功能，对用户信息，开发者信

22、息，能力提供者信息，订购关系等重要的业务信息保存和管理；提供统计分析功能，能够分析用户数据和业务数据。图2.1-7 管理子系统功能2.1.5 鉴权子系统 鉴权子系统系统架构鉴权子系统采用分层的模块化结构，每个组件可以单独部署与维护。模块之间的通信采的通用消息总线和RMI接口。平台系统主要组件包括：(1) ISMAP负载均衡节点（iLBN）：包括负载均衡模块LBM，消息适配模块（ISMAP），系统服务模块SSM，数据服务模块DSM。(2) 鉴权控制节点（AuCN/AuS）：包括OMP应用鉴权模块和安全模块，行业应用模块和安全模块，计费模块CCM，系统服务模块SSM，数据服务模块DS

23、M。(3) 话单节点（CDR-N），即话单模块CDR Module。(4) 操作管理节点（AdmiN），即操作管理模块，提供系统管理和业务管理。(5) 接口代理节点（IPN），包括消息适配模块（HTTP），消息适配模块（FTP），页面容器，系统服务模块SSM，数据服务模块DSM。(6) 网管系统（OMC）。图2.1-8鉴权子系统系统架构 鉴权子系统实现功能(1) 提供平台侧的安全系统，从应用层面对开发者、用户的不同接入方式提供安全识别和鉴别，提供开放移动互联网平台(OMP)的平台安全、应用安全、隐私安全、数据安全和系统安全。(2) 提供统一的认证功能，向各个接入到开放移动互联网平

24、台(OMP)的平台类业务应用、终端类应用提供一致的身份认证方式。(3) 提供统一的业务订购功能，向开发者、用户提供统一的业务订购服务。(4) 提供统一的鉴权和计费服务，为接入子系统在用户使用应用时提供用户、应用、开发者、能力及相关订购关系等的鉴权、伪码转换功能，并在此基础上实现计费功能。(5) 提供强大的自身管理能力：面向各种角色的操作员和管理员提供不同权限的管理和维护系统的手段，包括运行参数管理、日志管理、数据管理、权限管理等。(6) 提供强大的扩容能力，采用标准的分布式组件技术实现7X24小时不间断运行，确保系统平滑在线升级。2.2 典型业务流程2.2.1 开发者（合作伙伴）注册流程 注册

25、流程：(1) 未注册的开发者进入开发者门户申请注册，点击注册按钮，首先进入个人开发者还是行业开发者的选择界面。(2) 个人开发者直接跳转至开发者注册填写页面。开发者填写开发者门户提供的表单中要求完成的身份信息(开用户名、开发者姓名、开发者描述信息等等)，提交注册申请（DevInfoReq）。（https加密）。(3) 管理子系统存储分析并验证：名称唯一性，邮箱是否有效，手机号码是否有效等，返回结果响应给开发者门户。(4) 开发者在开发者门户上选择是通过手机还是邮箱来收随机验证码。(5) “短信发送验证随机码的方式”对开发者进行验证（可选），开发者门户通过DEV门户管理子系统的验证随机码同步接口

26、将验证随机码发送至管理子系统，管理子系统通过MSACS的验证随机码同步接口讲验证随机码同步至到接入子系统，接入子系统通过短信网关下发给开发者。(6) 或者，门户直接通过E-mial来发送随机验证码给开发者，开发者在自己的E-mail里面读出随机验证码。(7) 开发者手机收到验证随机码之后，在开发者门户上进行确认。开发者门户通过DEV门户管理子系统的随机码验证结果通知接口将随机验证码发送至管理子系统。管理子系统验证随机码是否正确后，发送结果响应给开发者门户。(8) 管理子系统默认为自动审核，若审核开关打开，管理员登陆管理员账户审核并批准（可选）。(9) 管理子系统生成开发者ID并保存。开发者ID

27、生成法则：保证开发者ID全网唯一（ID类型（2位）+省编码（3位）+开发者类型（2位，00是个人业开发者，01是行业开发者）+序列号（9位），合计16位），开发者门户通过开发者申请的用户名、密码来识别用户，并且建立与开发者ID的关联。(10) 管理子系统通知鉴权子系统，使用开发者信息同步接口（开发者标识、开发者名称、开发者描述信息、开发者IP地址、开发者状态等）。(11) 鉴权子系统同步开发者信息，并生成开发者帐户信息。(12) 鉴权子系统同步开发者帐户信息到管理子系统，管理子系统返回帐户同步响应。(13) 管理子系统通知开发者门户注册成功并附加开发者ID。(14) 管理子系统发送短信给用户，

28、通知注册成功。(15) 开发者门户通知开发者注册成功（登陆后看到）。2.2.2 开发者（合作伙伴）订购能力产品流程说明：(1) 开发者登陆开发者门户，提交购买能力产品请求。(2) 开发者门户提交应用能力产品订购申请至管理子系统。(3) 管理子系统将订购关系请求发到鉴权子系统。 (4) 鉴权子系统对开发者帐户审核，生成订购关系，并扣费，生成开发者能力子账户。(5) 鉴权子系统同步开发者能力产品订购关系到管理子系统，管理子系统保存订购关系。(6) 管理子系统发送开发者能力差品订购关系同步至开发者门户，开发者保存订购关系。2.2.3 应用注册注册流程：(1) 开发者登录开发者社区。(2) 个人开发者

29、创建应用，填写相关信息-相关信息包括应用类型的选择（若是服务端应用，需要填写相关填写订购/退订URL，并选择是否具有门户，若具有门户，则还需填写门户URL）、应用名称、应用功能描述等。(3) 开发者门户发送应用申请至管理子系统。管理员审核后（可选，有开关），管理子系统生成APP_ID。(4) AppID创建原则：在开发者归属地的管理子系统创建，编码规则（应用分级（1位）+接入省编码（3位）+（00是个人业务者，01是行业开发者，02是EC）+序列号（以随机数的形式提供12位），合计18位）生成APPID后，管理子系统发送应用通知至鉴权子系统。(5) 当开发者申请的是终端应用时，不向鉴权子系统申

30、请Appkey，若是Web应用时，向鉴权子系统申请Appkey；(6) 鉴权回送Appkey申请响应，响应中携带Appkey；(7) 管理子系统发送APPID同步响应至开发者门户，响应中含有appkey（Web应用申请），则申请成功。2.2.4 应用产品发布应用产品发布流程：(1) 开发者申请应用产品发布。(2) 开发者门户向管理子系统提交应用产品发布申请。(3) 管理员对应用产品信息，应用信息，签约关系等等均做一个详细的严格的审核。(4) 若审核通过，管理员为应用分配唯一的应用接入码，若审核不通过，管理子系统通知审核失败结果至开发者门户，开发者需修改应用，改好后，可以再次发布应用产品。(5)

31、 管理子系统同步应用信息（含应用接入码）至鉴权子系统。(6) 鉴权子系统保存应用信息，然后对应用信息同步进行响应。(7) 管理子系统同步应用能力签约信息至鉴权子系统。(8) 鉴权子系统保存应用能力签约信息，然后对应用能力签约信息同步进行响应。(9) 管理子系统同步应用产品信息至鉴权子系统。(10) 鉴权子系统保存应用产品信息，并回复响应。(11) 管理子系统同步应用产品计费策略信息至鉴权子系统。(12) 鉴权子系统保存应用产品计费策略，并回复响应。(13) 管理子系统发送开发者信息同步至接入子系统，接入子系统返回响应。(14) 管理子系统发送应用信息同步至接入子系统，接入子系统返回响应。(15

32、) 管理子系统发送应用能力签约信息同步至接入子系统，接入子系统返回响应。(16) 管理员将默认的SLA信息同步至接入子系统，接入子系统返回响应。(17) 若应用为客户端应用，管理子系统发送Testkey替换通知请求至鉴权子系统，鉴权子系统对应用软件进行Testkey替换（Web端应用无需替换），替换成功后，用户可以在注册登陆用户门户下载该应用相关终端软件。(18) 管理子系统发送应用产品发布结果至开发者门户，结果中带有管理员为应用分配的接入码，开发者能够从开发者门户上获取该接入码。(19) 开发者门户将此应用和应用产品分别展现于门户。2.2.5 用户短信订购流程流程说明：(1) 用户发送订购应

33、用产品短信至接入子系统，请求订购应用产品。(2) 接入子系统发送应用订购鉴权批价消息至鉴权子系统。(3) 鉴权子系统验证用户状态和余额，生成伪码（PID）。(4) 鉴权子系统生成用户应用产品的订购关系。(5) 鉴权子系统将订购关系同步至管理子系统（UserOrderInfoSync）。(6) 管理子系统响应订购关系同步请求。(7) 管理子系统将订购关系同步至开发者门户。(8) 开发者门户响应订购关系同步请求。(9) 鉴权子系统发送鉴权批价响应消息给接入子系统。(10) 接入子系统发送订购结果通知给用户门户。(11) 鉴权子系统发送订购成功短信通知用户。2.2.6 短信能力调用流程流程说明：(1

34、) 用户A登录web应用，发送短信。(2) web应用判断接收方号码是否已注册，如果是，将调用短信能力。(3) 接入子系统接收【能力调用请求】（参数： PID，APPID，被叫MSISDN，Web应用授权WebToken），进行接入认证和SLA控制。(4) 接入子系统将【鉴权批价请求】（参数：msgid，PID，目标用户MSISDN，APPID，EAID，Web应用授权WebToken）转发到鉴权子系统。(5) 鉴权子系统解析请求和双方用户手机号，对应用能力订购关系进行鉴权（通过appid+pid找到apppid）和预扣费，对接收方是否订购应用进行鉴权。(6) 鉴权子系统对发送方用户B的订购关

35、系并预扣费，返回接入子系统鉴权成功。(7) 接入子系统【调用能力平台能力请求】（参数：平台id，能力id，目标用户MSISDN，短信内容）发送短信。(8) 接入子系统发送【批价确认请求】（参数，带msgid）给鉴权子系统。鉴权子系统对用户扣费，对应用扣费，返回批价确认结果响应。2.2.7 Web类-定位能力调用流程说明：(1) 用户从Web浏览器发起【应用调用请求】（参数： PID，APPPID，Web应用授权WebToken）给接入子系统。(2) 接入子系统解析调用请求得到能力EAID，发送【鉴权批价请求】（参数：msgid，PID，APPPID，EAID，Web应用授权WebToken）发

36、到平台鉴权子系统。(3) 平台鉴权子系统验证webTOken，转换伪码为用户号码。检查用户-应用签约关系，应用-能力签约关系，验证开发者帐户和用户账户。检查应用信息中时段授权字段是否为本时段已授权，如果是则跳过第四，第五步。(4) 平台鉴权子系统通过接入子系统短信和用户进行二次确认（可选），短信的确认内容包括以下选项：仅对本次定位授权或对下一时段授权。(5) 鉴权子系统根据短信内容返回的信息进行操作，如果为仅本次授权则执行第六步的扣费，如果为时段授权则在应用信息字段中填写时段授权信息。(6) 鉴权子系统对用户预扣费，应用预扣费。(7) 平台鉴权子系统返回鉴权批价结果给接入子系统。(8) 接入子

37、系统发送【调用能力平台能力请求】（参数：平台id，能力id，用户MSISDN）给能力平台。(9) 应用返回调用结果响应给平台接入子系统。(10) 平台接入子系统发送能力调用结果响应给应用平台。(11) 平台接入子系统发送【批价确认请求】（参数，带msgid）给鉴权子系统。鉴权子系统对用户扣费，对应用扣费，返回批价确认结果响应。(12) 鉴权子系统【同步话单信息】（MSISDN，APPPID，EAID，fee等）到BOSS.2.2.8 能力产品上线能力上线：(1) 能力提供者向管理子系统发出“能力上线申请”。(2) 管理子系统对“能力上线申请”进行审核，审核通过后进行能力数据配置,生成能力EAI

38、D。(3) 管理子系统将能力上线能力数据同步给接入子系统（能力信息同步接口EaInfoReq：能力名称、能力ID、能力所在的平台ID、能力提供者ID、能力状态）。(4) 管理子系统将能力上线能力数据同步给鉴权子系统（能力信息同步接口EnablerInfoReq（能力标识、能力接口列表、能力类型、能力提供者标识、能力平台标识）。2.2.9 开发者创建流程 流程说明：(1) 管理子系统收到来自BOSS/LBMP等系统发送的开发者信息。(2) 管理子系统根据获取的开发者信息为其创建开发者基本信息。(3) 行业开发者登录开发者门户后，应根据SIID及初始密码，在开发者门户的相关界面进行注册，申请开发者

39、用户名及密码，管理子系统将开发者用户名和SIID进行绑定，用于后续登录开发者门户的唯一身份标识。(4) 行业开发者门户开发者在门户上填写相关基本信息，门户将相关信息发送给管理子系统，管理子系统应根据相关信息为开发者分配DEVID。(5) 管理子系统向鉴权子系统同步开发者信息。(6) 鉴权子系统为开发者创建开发者账户。(7) 鉴权子系统向管理子系统返回开发者信息同步响应。(8) 鉴权子系统通过同步开发者帐户信息接口向管理子系统同步账户信息。(9) 管理子系统向鉴权子系统返回开发者账户信息响应。(10) 管理子系统通过门户向开发者展示相关信息。2.2.10 应用在线测试流程说明：(1) 行业开发者

40、提交行业应用测试申请。(2) 开发者门户向管理子系统提交应用测试申请。(3) 管理门户自动审核，并自动填写测试限制，然后管理子系统向鉴权子系统同步应用信息、应用能力签约关系，以及测试限制同步信息。(4) 鉴权子系统得到测试限制同步信息后，将行业应用的状态改为测试态。(5) 管理子系统向接入子系统同步开发者信息、应用信息、应用能力签约关系信息以及SLA信息。(6) 管理子系统向开发者门户发送测试申请结果通知，并将应用产品状态改为测试态。(7) 开发者门户改应用产品的状态改为测试态。(8) 开发者可以对其行业应用进行在线测试。(9) 测试过程结束，开发者发送测试结束申请，管理员门户回复响应，测试结

41、束。2.3 安全组件2.3.1 终端安全组件功能架构终端安全组件各模块作用描述如下： (1) 安全组件Java层接口，该接口按照中国移动OMP安全规范定义，与上层的第三方Java应用直接交互。 (2) 安全组件JNI层，负责安全组件Java层与Native层的数据通讯。 (3) 安全组件API Native接口实现，按OMP安全规范进行定制，实现中国移动OMP安全规范中定义的安全逻辑。 (4) 核心安全产品：核心技术，包含ActiveCloak Agent和Java访问控制等产品核心内容。 1) 加密解密模块：包含基于白箱（White Box）技术的加密算法，有效保证加密运算过程中密钥等敏感信

42、息的安全性。 2) 安全数据存储模块：控制对安全数据存储的操作。 3) 软件加固模块：为安全组件和应用提供软件加固功能，如应用/安全组件完整性校验，反动态调试，访问控制等。 4) XML模块：负责XML数据解析和生成。(5) 网络集成模块，用于管理OMP终端应用与OMP平台侧的通讯。包括对http、https、TCP/IP 等的管理。 2.3.2 终端安全组件业务流程(能力调用)2.3.3 WEB安全组件功能架构WEB安全解决架构将业务和安全逻辑层以动态链接库的形式提供给第三方SP, 供运行在其托管服务器上的应用程序调用, 各模块作用描述如下： (1) 安全组件Java层接口，该接口按照中国移

43、动OMP安全规范定义，与上层的第三方Java应用直接交互。 (2) 安全组件JNI层，负责安全组件Java层与Native层的数据通讯。 (3) 安全组件API Native接口实现，按中国移动OMP安全规范进行定制，实现中国移动OMP安全规范中定义的安全逻辑。 (4) 核心安全模块： 1) 加密解密模块：包含相关加密算法，有效保证加密运算过程中密钥等敏感信息的安全性。 2) 安全数据存储模块：控制对于安全数据存储的操作。 3) XML模块：负责XML数据解析和生成 4) 软件加固模块：为安全组件和应用提供软件加固功能，如完整性校验，反动态调试，访问控制等。 (5) 网络集成组件，用于管理OM

44、P终端应用与OMP平台侧的通讯。包括对http、https、TCP/IP 等的管理。 2.3.4 WEB安全组件业务流程(能力调用)2.4 位置SDK组件2.4.1 系统架构OMP将部分定位能力和部分GIS能力向位置应用开发进行开放，位置服务相关的应用被分为手机终端应用和WEB应用两大类，OMP平台分别通过两个接口为手机终端应用和WEB应用提供能力开发接口，被开放的定位能力和GIS能力资源被封装成开发包以API形式提供给开发者开发使用，其中为手机终端应用程序提供基于Ophone OMS1.5 /2.0、android、WM平台的SDK，为WEB应用提供基于AJAX的API组件。为了保证系统安全

45、分别在手机终端应用和WEB应用侧加入了终端安全组件和WEB安全组件。图2.4-1 位置SDK2.4.2 软件模块终端组件和AJAX组件实现的功能基本相同, 二者间的区别主要是开发语言实现和部署运行环境不同。图2.4-2 位置SDK软件模块图2.4.3 业务流程一、终端类定位能力场景描述：以用户在手机上使用位置定位软件进行自定位为例：(1) 用户使用手机；(2) 用户在手机上使用位置软件查询自己的位置信息；(3) 开放移动互联网平台(OMP)进行接入认证与SLA控制；(4) 开放移动互联网平台(OMP)进行认证鉴权处理；(5) 开放移动互联网平台(OMP)向位置定位中心请求位置定位查询服务；(6) 位置定位中心处理查询操作；(7) 位置定位中心将查询结果返回给开放移动互联网平台(OMP)；(8) 开放移动互联网平台(OMP)进行实际的扣费处理；(9) 开放移动互联网平台(OMP)发送到用户定位信息到用户的手机上；(10) 手机接收到用户定位信息后提示用户。二、Web类定位能力场景描述：用户在网站上使用位置查询软件查询用户所在的位置信息。(1) 用户登陆web网站；(2) 用户在网站上使用位置软件查询自己的位置信息；(3) 开放移动互联网平台(OMP)收到请求后进行接入认证与SLA控制；(4) 开放移动互联网平台(OMP)进行认证鉴权处理；(5