2-统一认证总体技术方案V100

中国移动统一认证中国移动统一认证总体技术方案GeneralTechnicalSpecificationforGeneralTechnicalSpecificationforIdentityManagementSystem版本号：版本号：1.0.0PAGEVII目 录TOC\o"1-4"\h\z\u前言 VIII1. 范围 12. 规范性引用文件 13. 术语、定义和缩略语 13.1. 术语、定义 23.2. 缩略语 24. 概述 34.1. 产品功能 34.2. 产品形式 34.3. 目标用户 44.4. 业务原则 44.5. 本期功能目标 55. 系统结构和组网 65.1. 系统结构 65.1.1. 系统描述及系统结构图 65.1.2. 网元功能 6. 统一认证平台 6. 业务平台 8. 统一认证中间件 9. SIM卡内的认证应用 9. 省CRM 95.2. 组网 105.2.1. 组网结构 105.2.2. 组网要求 106. 统一账号 116.1. 统一账号的数据结构 116.2. 统一账号的管理 117. 码号 127.1. 域名 127.2. 短信接入号码 127.3. 统一账号系统标识（PassID） 127.4. 用户单点登录标识 127.5. 统一认证平台标识 127.6. 浏览器cookie 137.7. 用户身份凭证 138. 用户使用流程 148.1. Web环境 158.1.1. 账号登录 16. 采用统一账号登录 16. 采用互联网通行证登录 19. 采用业务账号/移动通行证（手机号码/邮箱+业务密码/移动通行证密码）登录 22. 采用服务账号（手机号码+服务密码）登录 24. 采用电子渠道门户账号（手机号码+电渠门户密码）登录 26. 采用用户名登录 28. SIM快捷确认登录 30. 动态验证码登录 32. SIM盾登录 340. 第三方应用登录 368.1.2. 账号升级 37. 采用业务账号（手机号码/邮箱+业务密码）登录后的账号升级 37. 采用服务账号（手机号码+服务密码或者电渠门户密码）登录后的账号升级 40. 采用用户名登录后的账号升级 418.1.3. 单点登录 478.1.4. 单点登出 508.1.5. 从PC客户端到Web的单点登录 508.1.6. 用户报活 528.1.7. 基于SIM的交易确认 53. SIM快捷确认 53. SIM盾 558.1.8. 统一账号管理 56. 注册 56. 账号绑定 62. 更换绑定号码 64. 更换绑定邮箱 66. 设置密保问题 68. 更新密保问题 69. 密码修改 70. 密码重置（手机、邮箱、密保） 718.2. WAP环境 748.2.1. 账号登录 75. 采用统一账号登录 75. 采用互联网通行证登录 77. 采用业务账号/移动通行证（手机号码/邮箱+业务密码/移动通行证密码）登录 79. 采用服务账号（手机号码+服务密码）登录 81. 采用电渠门户账号（手机号码+电渠门户密码）登录 82. 采用用户名登录 83. SIM快捷确认登录 83. 动态验证码登录 86. SIM盾登录 878.2.2. 账号升级 88. 采用业务账号（手机号码/邮箱+业务密码）登录后的账号升级 88. 采用服务账号（手机号码+服务密码或者电渠门户密码）登录后的账号升级 90. 采用用户名登录 918.2.3. 单点登录 958.2.4. 单点登出 978.2.5. 用户报活 978.2.6. 基于SIM的交易确认 978.2.7. WAP环境下的流程与Web环境下的流程一致。统一账号管理 97. 注册 98. 设置密保问题 101. 更新密保问题 102. 密码修改 105. 密码重置 1058.3. 老版客户端 1098.3.1. 账号登录 109. 采用统一账号登录 109. 采用业务账号/移动通行证（手机号码/邮箱+业务密码/移动通行证密码）登录 110. 采用服务账号（手机号码+服务密码）登录 111. 采用电子渠道门户账号（手机号码+电渠门户密码）登录 1128.3.2. 单点登录 1128.3.1. 单点登出 1138.3.2. 用户报活 1138.3.3. 统一账号管理 113. 注册 113. 密码修改 116. 密码重置 1178.4. 新版客户端 1208.4.1. 账号登录 121. 采用统一账号登录 121. 采用互联网通行证登录 123. 采用业务账号/移动通行证（手机号码/邮箱+业务密码/移动通行证）登录 125. 采用服务账号（手机号码+服务密码） 128. 采用电子渠道门户账号（手机号码+电渠门户密码）登录 130. 采用用户名登录 132. 短信自动登录 133. CMWAP/CMNET接入认证自动登录 135. 第三方客户端登录 1378.4.2. 账号升级 1388.4.3. 单点登录 1388.4.4. 单点登出 1418.4.5. 基于SIM的交易确认 1418.4.6. 统一账号管理 1418.5. 短信环境 1428.5.1. 注册 1428.5.2. 重置密码 1438.5.3. 查询SIM卡能力 1448.6. 营业厅/IVR环境 1458.6.1. 注册 1458.6.2. 修改统一账号登录密码 1468.6.3. 查询用户状态 1468.6.4. IVR环境下的密码重置 1478.6.5. 口令重置（SIM快捷确认或SIM盾） 1478.6.6. 个人证书管理 148. 实名认证 149. 个人证书申请 150. 个人证书更新 1528.7. 其他 1538.7.1. 批量开户 1538.7.2. 默认开通统一账号 1548.7.3. 用户换卡 1558.7.4. 销户 1568.7.5. 统一账号查询 1568.7.6. 过户 1578.7.7. 统一认证平台间账号信息同步流程 1579. 政企业务管理流程 1599.1. 本省受理、本省支付业务流程 1609.1.1. 业务受理 1609.1.2. 成员添加 1609.1.3. 计费出账 1629.2. 有限公司一点受理、一点支付业务流程 1639.2.1. 业务受理 1639.2.2. 成员添加 1649.2.3. 计费出账 1649.3. 行业证书管理 1659.3.1. 证书申请 1659.3.2. 证书更新 1679.3.3. 证书撤销 17010. SIM卡能力获取 17110.1. Native卡，用户换卡，CRM同步用户信息 17210.2. Native卡，用户换卡，卡应用主动上报 17310.3. 多应用卡，预置SIM认证应用 17410.4. 多应用卡，通过NFC手机下载应用，客户端完成个人化 17410.4.1. 应用下载及个人化流程 17410.4.2. 删除SIM认证应用 17610.4.3. 更新SIM认证应用 17710.4.4. 更换SIM卡及注销手机号 17810.5. Native卡制发卡流程 17811. 接口 18011.1. 平台间后台接口通用字段 18011.1.1. 请求消息 18011.1.2. 响应消息 18011.2. 统一认证平台与业务平台之间的接口 18011.2.1. 通过浏览器跳转实现的接口 180. 请求用户认证（Authn） 181. 用户登出（BrowserLogout） 18211.2.2. 后台调用的接口 183. 获取身份凭证（GetToken） 183. 凭证验证（TokenValidate） 184. 用户登出（Logout） 185. SIM快捷确认（QuickAuthenticate） 186. 快捷确认结果推送（PushQuickAuthResult） 187. SIM盾（签名）请求（SignAuthenticate） 188. 签名结果推送（PushSignResult） 191. 用户注册（UserRegister） 193. 批量用户注册（BatchUserRegister） 1940. 获取全部密保问题(InquirySecurityList) 1961. 获取已设置密保问题（SettedSecurityList） 1962. 验证密保问题答案（SecurityAnswerValidate） 1973. 设置密保问题答案（SetSecurityAnswer） 1984. 更新密保问题答案（UpdateSecurityAnswer） 1985. 密码修改（ChangePassword） 1996. 请求短信验证码（SMSOTPRequest） 2007. 请求邮件验证（EmailValidationRequest） 2018. 密码重置（ResetPassword） 2029. 客服密码验证（CustomerPasswordValidate） 2030. 统一账号验证接口（AndPassportValidate） 2041. 业务账号验证接口（ServicePassportValidate） 2052. 统一账号信息获取接口（AndPassportInfoInquire） 2063. 业务账号信息获取接口（ServicePassportInfoInquire） 2074. 业务账号升级接口（ServicePassportUpgrade） 2075. SIM口令重置接口（SIMPasswordReset） 2076. 用户报活接口（UserActiveNotice） 2087. 用户信息同步接口 2098. 统一账号关联接口（AndPassportRelate） 20911.3. 浏览器和统一认证平台之间的接口 21011.3.1. 用户登录接口（Login） 21011.3.2. 请求升级页面接口（RequestUpgradePage） 21111.3.3. 用户升级接口（Upgrade） 21211.3.1. 请求关联页面接口（RequestRelatePage） 21311.3.2. 用户关联接口（Relate） 21311.4. 统一认证中间件与业务客户端 21411.4.1. 获取身份凭证（tryGetToken） 21411.4.2. 指定认证方式获取凭证（GetTokenByMethod） 21511.4.3. 单点登出（ssoLogout） 21711.5. 统一认证平台与SIM卡 21711.6. 统一认证平台与CA 21711.6.1. 接口模式及部署 21711.6.2. SOAP接口调用的一般格式 21811.6.3. 证书申请激活 21811.6.4. 证书更新提示 22011.6.5. 证书申请 22111.6.6. 证书发布 22311.6.7. 证书撤销 22411.6.8. 证书更新Nonce获取 22611.6.9. 证书更新 22711.6.10. 用户实名认证 22911.7. 统一认证平台之间 23211.7.1. 账号数据变更同步接口（UserDataSync） 23211.7.2. 一次性身份凭证获取(GetSToken) 23211.7.3. 平台间凭证验证（IDMPTokenValidate） 23311.7.4. 验证长期凭证（LTTokenValidate） 23511.7.5. 用户报活同步 23611.7.6. 用户登出同步 23711.7.7. 发送短信（SMSDelivery） 23711.8. 统一认证平台与BOSS 23812. 相关系统改造要求 23812.1. 业务平台 23812.1.1. 用户登录认证 23812.1.2. 用户升级 23912.1.3. 单点登录 23912.1.4. 单点登出 24012.1.5. 基于SIM的交易确认 24012.1.6. 统一账号管理 24012.2. 电子渠道 24112.3. 业务客户端 24112.4. 互联网用管中心 24112.5. BOSS/CRM 24112.5.1. 统一账号管理 24112.5.2. SIM认证应用管理 24212.5.3. 政企移动安全认证业务 24212.5.4. 中国移动个人签名业务 24313. 安全要求 24313.1. 平台安全 24313.2. 协议安全 24413.3. 密码安全 24413.4. 密钥管理 24413.5. 数字证书管理安全 24513.6. 安全评估 24514. 编制历史 24515. 附录A（渠道编码AppType定义） 24516. 附录B（业务平台SourceID编码定义） 24617. 附录C（密码算法） 24718. 附录D（省公司代码表） 24819. 附录E（证书管理接口错误代码定义） 24820. 附录F统一账号基本信息表结构 24921. 附录G应答码规则 25122. 附录H认证方法标识 253

前言统一认证是将用户身份认证功能从业务逻辑中剥离出来集中实现，用户一次认证即可自由登录所有业务和客服系统。统一认证主要包括用户身份认证、单点登录和用户身份管理三部分功能。统一认证是中国移动最为核心的能力之一，对于中国移动改善业务用户体验、加速业务发展、促进用户数据融合以及凝聚生态圈均有重要意义。为了使中国移动各数据业务能够在统一的架构下，基于标准的技术方案实现统一认证，特制定本方案。范围本方案规定了实现统一认证技术要求，包括设备功能、流程和接口要求。供中国移动内部和厂商共同使用；适用于统一认证平台的建设和维护，各数据业务平台及客户端与统一认证功能相关的建设、改造和维护。规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。序号标准编号标准名称发布单位[1]QB-W-001-2008中国移动防火墙部署总体技术要求中国移动通信集团公司[2]QB-X-XXX-XXXXXX中国移动设备通用安全功能和配置规范中国移动通信集团公司[3]QB-X-XXX-XXXXXX中国移动操作系统安全功能规范中国移动通信集团公司[4]QB-X-XXX-XXXXXX中国移动数据库设备安全功能规范中国移动通信集团公司[5]QB-X-XXX-XXXXXX中国移动路由器设备安全功能规范中国移动通信集团公司术语、定义和缩略语“必须”、“推荐”/“建议”、和“可选”等词语在本规范中的使用需遵循以下指导。“必选”/“必须”项是指业务、产品和设备所必须提供的功能或性能要求；对应于RFC2119MUST，REQUIRED，SHALL。“推荐”/“建议”/“应”项是指在标准中未作强制要求，若业务、产品和设备提供的功能或性能要求被认为更佳；对应于RFC2119RECOMMENDED，SHOULD。“可选”/“可”项指参考性要求，是业务、产品和设备在目前阶段可不提供的功能或性能要求；对应于RFC2119MAY，OPTIONAL。必不能，不能，不得：表示绝对的禁止；对应于RFC2119MUSTNOT，SHALLNOT。不推荐，不建议：表示若业务、产品和设备按照所述内容制作，被认为略次；对应于RFC2119SHOULDNOT，NOTRECOMMENDED。规范中除了明确指明为“推荐”/“建议”、“可选”外，均为必须要求。术语、定义表3-1：术语/定义术语/定义解释单点登录用户仅需参与一次认证过程，即可登录多个业务。“单点”是相对的概念，目的在于尽可能减少用户的参与。统一认证将原来在业务平台上分散实现的用户认证功能关联起来，在统一架构下实现认证，并将身份认证结果安全地传递给各业务平台，以实现单点登录，并降低业务平台复杂性。用户单点登录标识用户在统一认证平台认证通过后，统一认证平台为其随机生成的临时身份标识，该标识在登录状态有效期内用于唯一标识用户，过期后作废。利用该标识可以尽量避免在信令交互过程中传递用户真实号码、邮箱或其他永久标识，以提高安全性。统一账号统一账号是一套通行于各业务平台的用户账号，包含身份标识、认证数据及附属用户信息。用户可以使用统一账号在各业务平台、电子渠道认证身份并登录。用户可以凭手机号码或邮箱地址注册该账号，每个用户号码或邮箱地址仅能创建一个统一账号。身份凭证由统一认证平台或业务平台随机产生的临时标识，用于标识后续两者间需要传递的数据，如用户身份验证结果。该数据可代替用户身份信息在终端侧和网络侧间传递，以增强安全性并简化终端侧实现难度。该数据为一次性数据，查询后即作废。缩略语表3-2：缩略语缩略语英文全称中文含义IDMPIdentityManagementPlatform统一认证平台ISMGIntenetShortMessageGateway互联网短信网关SOAPSimpleObjectAccessProtocol简单对象访问协议SSLSecureSocketsLayer安全套接层SSOSingleSign-on单点登录TLSTransportLayerSecurity传输层安全XMLeXtensibleMarkupLanguage可扩展标记语言概述产品功能统一认证产品面向中国移动电子渠道、数据业务和第三方业务提供服务，使用户以统一的账号登录网上营业厅、所有自有数据业务和第三方业务，并提供单点登录服务和交易签名服务，其主要功能包括：统一管理用户账号统一执行用户认证，支持多种认证方式面向浏览器应用的认证方式用户名密码认证SIM快捷确认基于网络侧设备插入号码SIM盾签名认证面向客户端应用的认证方式用户名密码认证基于短信辅助认证基于网络侧设备插入号码安全级别认证方式适用场景低用户名/密码认证低风险和一般风险业务中基于短信辅助认证基于网络侧设备插入号码SIM快捷确认中风险业务高SIM盾签名高风险业务业务间无缝的单点登录Web应用间的单点登录客户端应用间的单点登录交易签名服务：使用SIM盾签名保护交易数据产品形式统一认证产品形式包括统一认证平台、终端中间件、卡应用、面向开发者的SDK。统一认证平台：提供认证逻辑、账号管理功能、自服务门户、系统管理等功能；终端中间件：管理终端客户端应用的登录状态，与统一认证平台密钥协商和会话保护机制，执行各种认证逻辑和客户端单点登录；卡应用:在卡侧实现与统一认证平台间交互，将平台侧下发的信息展现给用户，并使用卡内的用户密钥将用户操作结果进行保护后，上传到统一认证平台；面向开发者的SDK:向第三方开发者应用提供便利的工具，快速使用中国移动统一认证能力。目标用户用户类型服务内容个人客户包括中国移动在网客户和潜在客户，当此类用户使用中国移动自有业务服务和第三方业务时，为其提供统一认证服务（统一账号、统一身份管理和单点登录）。集团客户中国移动为集团客户提供服务，使集团客户可以利用中国移动的统一认证能力为其内部个人成员和外部个人客户提供认证服务。集团成员客户包括集团内部个人成员和集团外部个人客户，当此类用户使用集团客户提供的相关服务时涉及到认证功能时，由中国移动为其提供服务。第三方互联网应用提供者开发和提供互联网应用的个人或第三方企业，能够开发和提供集成了统一认证能力的应用。中国移动需要为第三方开发者提供能力订购、应用发布、应用管理、投诉和客服等服务，目前相关服务由产业平台开放域实现。统一认证平台管理员对个人客户的管理、对集团客户的管理、对CA的管理、对统一认证平台软硬件的管理等服务。集团客户管理员为集团客户管理所属的集团成员客户（含集团内部个人成员和集团外部个人客户）提供相关服务，包括增、删、改、查集团成员客户的信息以及相关的交易信息。业务原则用户范围包括中国移动在网客户和潜在客户用户标识手机号码和邮箱二者至少选其一，手机号码可是指中国移动在网客户手机号码（本阶段暂不支持异网手机号码），邮箱可以为任意邮箱。除手机号码和邮箱之外，其他标识（如用户名等）可选。账号密码账号密码包含两个密码，登录密码用于在业务平台、电子渠道登录认证时使用，服务密码用于中国移动自有用户办理高安全操作时使用。其中登录密码应具备较高安全强度，同时需兼顾用户使用难度。登录密码应至少包含数字、大写字母和小写字母中的两种，长度不低于6位。登录密码重置可以通过手机/邮箱找回，也可以通过密保问题找回。服务密码在中国移动自有用户办理高安全性操作时使用，为6位数字，其密码管理规则依照《中国移动有限公司服务密码业务管理办法》。本期功能目标本期统一认证主要面向中国移动自有一类数据业务、电子渠道提供认证服务，并面向第三方互联网应用和政企客户开放认证服务。本期实现的主要功能简述如下，具体参见《中国移动统一认证产品需求文档》。统一用户账号管理将在各业务上分散管理的用户账号统一起来，形成统一账号，使用户仅需记忆一个密码就可以登录所有自有业务和电子渠道。统一认证系统应能够将用户在各业务平台上的身份关联起来，建立统一的映射关系，应支持用户以中国移动用户号码、邮箱地址及异网用户号码等多种方式创建身份，以满足业务的需求。为了保证业务安全性，允许业务保留自有的交易密码或支付密码。单点登录从提升用户体验出发，需要在不同应用间实现单点登录以减少用户认证次数，使用户可以在多个业务间平滑切换和调用。本期需支持的单点登录功能包括以下几种场景。从Web/WAP到Web/WAP的单点登录从客户端到客户端的单点登录多级别安全认证统一认证系统需要支持多种安全级别的认证方式，以满足业务的不同安全需求。业务平台可在调用统一认证能力时，选择所使用的认证方式。本期支持的认证方式包括：基于用户名/密码方式基于动态短信的方式基于网关插入号码的认证方式（WAP网关、GGSN、短信网关）基于终端SIM/USIM卡应用认证方式面向第三方互联网应用和政企客户提供认证能力统一认证系统支持通过终端侧SDK或平台侧接口向第三方应用提供用户认证能力，将认证后的用户身份提供给第三方应用。为保护用户身份隐私，统一认证系统应支持以伪码标识用户身份。统一认证系统应支持向政企客户提供基于SIM卡的认证服务，用于政企客户内外部用户登录认证、高价值交易确认等。双中心数据同步根据公司整体规划，统一认证系统采取双中心部署，其中北方节点为新建平台，南方节点在现有互联网用户管理中心基础上改造。本期需要实现南北中心对接，并实现用户账号的数据同步和用户身份凭证的互通，以保证用户在全网业务上体验一致。系统结构和组网系统结构系统描述及系统结构图网元功能统一认证平台统一认证平台主要实现以下功能：用户认证为实现统一账号、单点登录，统一认证平台应统一实现用户身份认证功能。同时，满足业务需求，统一认证平台应至少至此后以下几种用户认证方式：根据用户统一通行证的用户名和密码认证；使用短信确认码方式认证（对于以手机号码注册的用户）；使用邮件确认链接方式认证（对于以邮箱地址注册的用户）；基于网关插入号码的认证方式（WAP网关、GGSN、短信网关）；基于终端SIM/USIM卡应用认证方式。登录管理单点登录状态维护用户认证通过后，统一认证平台为该用户生成用户单点登录身份标识，在登录状态有效期内维护该用户的登录状态。有效期过后或用户主动登出后，统一认证平台将该用户登录状态置为登出状态。为保证用户在两个统一认证平台上的认证结果互通，统一认证平台之间需通过共享cookie机制和登出通知等手段实现统一认证平台间的用户单点登录状态同步。用户身份凭证创建用户在统一认证平台认证通过后登录业务平台时，统一认证平台为其生成临时身份凭证，并通过浏览器重定向等方式将该身份凭证传递到业务平台。统一认证平台也支持后台为业务平台生成用户身份凭证，以便用户在登录业务WAP门户后，可通过链接方式跳转到其他业务WAP门户。用户身份凭证验证业务平台接收到从浏览器发送来的身份凭证后，应到统一认证平台请求验证该凭证的有效性。统一认证平台应检查该身份凭证是否由本平台生成、是否在有效期内以及是否未被验证过。若该凭证符合该条件，则统一认证平台根据凭证查询用户身份信息，并将身份信息返回至业务平台。用户身份信息查询业务平台可向统一认证平台查询用户身份信息，包括用户和账号标识、和ID、用户号码、邮箱等。。用户数据管理：统一认证平台负责维护用户统一账号数据的生命周期管理统一账号的创建、修改、暂停和注销用户在统一认证平台注册统一账号后，统一认证平台为其创统一账号，并在后台为其分配唯一的系统标识并与其身份信息关联起来。在通信证的生命周期内，统一认证平台保存用户身份信息并允许用户修改，但用户的统一账号系统标识在生命周期内不可更改。用户统一账号数据的存储统一认证平台维护统一账号的用户密码，并根据密码对用户认证请求进行验证。为了保护密码数据的安全性，统一认证平台应采用摘要和加密算法保护此类数据。用户统一账号数据的同步多个统一认证平台间应保持用户统一账号数据的同步，在用户创建、修改、暂停或注销统一账号时，应在统一认证平台间同步上述变更信息。密钥管理统一认证平台需安全保存本设备密钥和证书。包括用于对用户身份信息签名用的证书及私钥、用于与用户浏览器/客户端建立SSL/TLS安全连接的证书及私钥，以及用于与业务平台间建立安全连接的证书及对应私钥。统一认证平台同时还应配置与其对接的业务平台的证书、根证书或共享密钥。系统管理统一认证平台具备以下系统管理功能：配置管理。统一认证平台为管理员提供配置界面，用于配置平台参数、功能开关、策略等；访问控制功能。统一认证平台应对外部用户和管理员权限进行管理，限制对系统密钥、用户数据、审计日志等敏感数据的非法访问。网管功能。统一认证平台应能够将本设备系统状态信息如性能指标、网络状态、设备故障等，以及业务信息如认证次数、凭证查询次数等报给一级网管系统。统计功能。统一认证平台应支持对用户身份认证及单点登录情况进行统计并输出统计结果。门户统一认证平台提供门户具备以下功能：用户统一账号管理门户：用户通过统一账号管理门户可以修改、注销、暂停、恢复统一账号。管理员门户：管理员通过该门户登录统一认证平台配置系统参数、查看统计数据。用户认证Web页面：向用户展现认证页面，根据用户提交的认证数据对用户身份进行认证。该页面可以以独立页面形式展现，也可以以iFrame形式嵌入业务平台的网页中。Cookie管理：统一认证平台门户通过设置cookie跟踪用户在浏览器上的登录状态、标识用户单点登录会话，并根据用户登录状态的变化修改cookie内容。业务平台业务平台泛指所有接入统一认证平台、并依赖统一认证平台实现登录认证或SIM盾签名的信息系统，包括电子渠道、自有业务、第三方业务和政企客户业务系统。为了实现统一认证，业务平台需支持以下功能：单点登录功能业务平台在接收到未认证的用户请求时，如果需要验证用户身份，应能够根据请求中携带的用户身份凭证向身份管理查询用户身份信息，或将用户请求重定向到统一认证平台进行验证。单点登出功能业务平台在接收到统一认证平台发出的单点登出请求后，应能够结束与指定用户的会话，清除会话数据。对于单点登录用户，当用户在本业务登出时，业务平台应提示用户选择是否登出其他业务，并将用户的登出状态通知统一认证平台。身份认证功能对于老版客户端或WAP业务，本期用户认证界面由业务平台提供。业务平台可以使用本地用户账号或者统一账号数据认证用户身份。如果使用统一通信证认证用户，业务平台需向统一认证平台查询验证用户认证数据，。用户认证通过后，业务平台通过单点登录注册接口将用户登录状态通知VGOP统一认证平台，统一认证平台根据该通知消息创建用户单点登录标识（USessionID）。对于Web业务，统一账号认证界面应由统一认证平台提供，业务平台只需接收认证结果。对于用户名登录入口，由业务平台提供，业务平台根据本地用户账号或者统一账号认证用户身份。引导账号升级功能若用户在业务平台使用原业务账号或客服账号登录，登录后，业务平台应对尚未注册统一账号的用户提示升级，并引导至升级管理界面。安全功能业务平台应能够基于公钥证书与统一认证平台建立双向SSL/TLS安全通道，并能够安全地保存证书私钥。当业务平台需要与用户终端浏览器或客户端间传递用户密码、用户身份凭证及其他敏感信息时，应在平台与终端间建立加密传输通道，如采用HTTPS等。统一认证中间件统一认证中间件是安装在移动终端上的中间件，为终端上的客户端APP提供登录认证服务。中间件与统一认证平台密钥协商和会话保护机制，执行各种认证逻辑和客户端单点登录；中间件与客户端APP之间通过API接口调用方式完成交互。SIM卡内的认证应用SIM卡内的认证应用是在SIM卡上实现的应用程序，与统一认证平台进行交互，将平台侧下发的信息展现给用户，并使用卡内的用户密钥将用户操作结果进行保护后，上传到统一认证平台。根据认证级别的不同，认证应用分为两类：SIM快捷确认和SIM盾签名。SIM快捷确认是基于对称密钥的认证方式，无需用户申请数字证书，只要用户的SIM卡具备这种能力，用户即可直接使用；SIM盾签名是基于非对称密钥的认证方式，用户在使用前需申请数字证书，且需根据业务系统的不同而申请不同的证书。SIM快捷确认和SIM盾签名既可以用于登录认证，还可用于交易保护。省CRM统一认证平台与省CRM交互的最主要功能进行客户密码的验证。对于电子渠道系统，客户有时需要使用客服密码登录，统一认证平台在收到这种请求后，会将客服密码提交到省CRM请求验证。组网组网结构统一认证功能由统一认证平台及各数据业务平台、电子渠道和政企客户、第三方应用平台以及相关客户端配合实现。本期统一认证平台采用双中心异地建设方式。其中北方节点为新建平台，南方节点在现有互联网用户管理中心基础上改建。本期，两统一认证平台分别对接全网不同数据业务平台。根据业务的选择，在认证流程中路由到不同的统一认证平台上。统一认证平台与本期纳入单点登录与统一认证改造范围的业务平台通过CMNET连接。两统一认证平台间通过IP承载网连接。用户可使用PC客户端通过各类自有接入网络如GPRS/EDGE/TD-SCDMA/TD-LTE、WiFi及自有有线宽带，或其它运营商接入网络接入统一认证平台，对用户终端使用的APN不做要求。组网要求为保护单点登录流程中用户身份凭证及用户身份信息在各网元设备间传递的安全性，用统一认证平台与业务平台之间需建立安全连接，以防范相关信息被窃取或篡改。上述设备间安全连接应采用SSL3.0/TLS1.0方式，且应选择双向认证方式的TLS，即通信双方均基于对方证书验证对方身份。两统一认证平台之间通过IP专用承载网连接。统一账号统一账号是一套通行于各业务平台的用户身份标识、认证数据及其他用户信息。用户可以使用统一账号认证身份并登录各业务平台、电子渠道以及第三方应用，其用户身份标识可以被各业务平台识别和接受。用户可以以手机号码或邮箱地址注册统一账号，每个手机号码或邮箱地址仅能创建一个统一账号。统一账号的数据结构统一账号包含以下几部分数据，如图所示：系统标识(PassID)。系统标识是在统一认证系统以及所有应用系统中对用户的唯一标识，该标识对用户不可见，且永久不变、不回收。建议业务平台根据PassID维护本地用户信息和业务使用记录。系统标识为15位数字。用户标识。该标识是用户可见的账号标识，可以为手机号码、邮箱地址及“和ID”。其中手机号码可以为中国移动、中国电信和中国联通手机号码，邮箱地址可以为任意邮箱地址，“和ID”初始值为该账号系统标识。一个统一账号同时最多只能关联一个手机号码、一个邮箱地址和一个“和ID”。一个手机号码或一个邮箱地址同时也仅能申请一个统一账号。其中“和ID”为15为数字，手机号码为11位数字。用户认证数据。该数据为用户设定的、具有较高安全强度的密码，统一认证平台使用该数据认证用户身份。用户状态，包括用户号码状态和用户和通行证状态等。附加身份信息，包括用户昵称、用户在第三方业务平台上的伪码或第三方业务平台用户标识等。字段内容系统标识和通行证的唯一标识，仅系统内部使用，用户不可见、不可更改用户标识可为手机号码、邮箱地址或者“和ID”。注册时手机号码和邮箱地址用户认证数据用户密码用户状态用户号码状态和用户和通行证状态附加身份信息其他的身份信息，如昵称、第三方应用用户名称，用户伪码等。统一账号的管理统一账号由统一认证平台统一管理。各业务在自身网站或客户端上引导用户到统一认证平台的页面上创建统一账号，用户填写相关用户身份信息及密码后，统一认证平台对相关身份信息进行验证，验证无误则统一认证平台保存相关数据，统一账号创建成功。每个用户（即每一个手机号码或邮箱地址）仅允许创建一个统一账号。用户可以在统一认证平台上修改统一账号数据，包括更换密码、更换手机号码、邮箱地址、飞信号等。若用户更换手机号码或邮箱地址，则统一认证平台需要核实新手机号码/邮箱地址的真实性和有效性，如果核实通过，则允许用户更换，并通知所有相连接的业务平台。统一账号的相关用户密码数据仅在统一认证平台存储。各业务平台可调用统一认证平台接口来验证用户输入的统一账号及密码正确性，也可调用相关接口查询用户身份信息。码号域名为便于实施单点登录，特别是Web应用的单点登录功能，需要为统一认证平台分配域名。两个统一认证平台应在同一子域名下。建议统一认证系统子域名为,北方节点域名建议为，南方节点域名建议为。本期定向解析到北方节点，待下阶段实现南北方节点全局负载均衡后，由全局负载均衡设备根据策略动态将解析到南方或北方节点。短信接入号码为实现向自有用户号码发送短信验证码，需要为统一认证平台分配全网短信接入号码。南北两个统一认证平台应配置相同的短信接入号码。统一账号系统标识（PassID）统一认证平台创建统一账号后，应为其生成具有唯一性的系统标识，用于永久标识该通行证数据。系统标识号为系统分配的15位数字。用户单点登录标识用户登录成功后统一认证平台为其生成一个单点登录会话标识USessionID，用于标识该用户此次单点登录会话。同一个用户在不同设备上分别登录产生不同的USessionID。USessionID为56字节字符串，编码规则为：USessionID=“UD”+统一认证平台标识（3位数字和字母）+预留字段（6字节，默认为“000000”）生成USessionID时的系统时间毫秒数(13位)+随机串(32位数字和字母，区分大小写)。统一认证平台标识为了区分多个统一认证平台，需要为每个统一认证平台分配平台标识，标识为3字节的ASCII码，定义如下：“nid”：北方节点平台标识；“sid”：南方节点平台标识；浏览器cookie本规范中，为了实现单点登录需要浏览器支持cookie。本规范中cookie有以下两种类型：统一认证平台域的cookie，用于保存用户浏览器在统一认证平台上的登录凭证。该cookie仅统一认证平台域可访问，置于下，且为会话型cookie；公共域cookie，该cookie用于记载用户的认证状态，供10086.cn下的各子域使用，在10086.cn下的各子域可以通过该cookie了解该用户当前是否已在统一认证平台认证过。上述cookie定义如下：名称内容作用域cookie类型安全要求路径有效期LTToken用户在统一认证平台上的登录凭证。统一认证平台会话型secure/无，关闭浏览器即删除idmauth用户是否在统一认证平台认证通过，包含两部分内容，格式为A@B。A为用户是否认证通过，true表示认证通过，false表示认证未通过；B为统一认证平台域名。例如：true@会话型无/无，关闭浏览器即删除用户身份凭证在整个单点登录流程中，统一认证平台为用户生成两类身份凭证：长期身份凭证（LT-Token），该凭证在用户在Web浏览器上登录认证通过后，由统一认证平台生成并写入浏览器cookie中，且该cookie仅统一认证平台可读。该凭证有效期较长，在用户单点登录会话有效期内，该凭证一直有效。该凭证是在Web单点登录过程中，浏览器向统一认证平台提供的身份凭证。该凭证格式为：

LT-Token=“TG”+统一认证平台标识（3位字母或数字）+预留字段（6位字母或数字，默认为“000000”）+生成该Token时的系统时间毫秒数(13位数字，‘0’-‘9’)+随机串(32位数字和字母，区分大小写)。一次性身份凭证（S-Token），该凭证用于在单点登录过程中，从统一认证平台通过重定向方式向业务平台传递的用户身份凭证。该凭证为一次性使用，且有效期较短，有效期默认为5分钟，在业务平台向统一认证平台查询过或有效期过期后，该凭证作废。该凭证格式为：

S-Token=“ST”+统一认证平台标识（3位字母或数字）预留字段（6位字母或数字，默认为“000000”）+生成该Token时的系统时间毫秒数(13位数字，‘0’-‘9’)+随机串(32位数字和字母，区分大小写)。 一次性身份凭证（T-Token），该凭证用于客户端认证和单点登录过程中，由统一认证中间件生成并返回给业务客户端，并由客户端向业务平台传递的用户身份凭证。该凭证为一次性使用，在业务平台向统一认证平台查询过或有效期过期后，该凭证作废。该凭证格式为：

T-Token=“TT”+base64（T-TokenCore），其中T-TokenCore定义如下表，base64表示对括号内的内容进行base64编码的结果。字段值占用空间大小bytes说明Version_TAG0x011该字段固定值，标识该字段为VersionVersion_LENGTH2版本长度的数字Version_VALUEVersion_LENGTH版本的字符串B-TID_TAG0x021该字段固定值，标识该字段为B-TIDB-TID_LENGTH2B-TID的长度数字B-TID_VALUEB-TID_LENGTHB-TID的值SQN_TAG0x031该字段固定值，标识该字段为SQNSQN_LENGTH2SQN的长度数字SQN_VALUESQN_LENGTHSQN的值MAC_TAG0xFF1该字段固定值，标识该字段为MACMAC_LENGTH2MAC长度的数字MAC_VALUEMAC_LENGTHMAC的值用户使用流程本章定义流程是业务平台相关的方案，与电子渠道需要完善。初始条件下，用户只有业务账号，故用户所能经历的基本流程是：用户采用业务账户登录到业务平台；业务平台引导用户到统一认证平台升级账户；用户采用统一账户登录；用户实现单点登录；基于SIM卡的交易确认；上述所有流程都需考虑用户访问方式（Web、WAP、老版客户端、新版客户端）、用户标识（手机号/邮箱/用户名）的不同分别考虑。用户登录到业务平台后，业务平台将提示用户是否升级到统一账户，引导用户升级。只要用户未升级统一账户，用户每次进入业务平台，业务平台都将进行提示。若用户使用异网号码、第三方账号登录，业务平台不用做升级提示，相关升级功能在未来版本提供。Web环境对于Web方式，登录页面由统一认证平台统一提供。统一认证平台向各个业务平台提供登录页面的URL，业务平台根据URL获取这些页面，将登录界面嵌入到自己的页面中，也可以采用弹出对话框方式。用户在登录页面上输入自己的用户名/口令后，认证数据先提交到统一认证平台，统一认证平台再将其转发给业务平台完成认证，认证完成后引导用户进入业务平台。账号登录采用统一账号登录流程描述：浏览器从统一认证平台获得登录页面，统一认证平台获得业务平台的回调地址；用户输入统一账号（手机号、邮箱，以及统一账号的密码），并点击登录，浏览器将用户的登录请求发送到统一认证平台；统一认证平台验证统一账号，验证通过则生成用户单点登录标识，保存用户登录信息、进行Session处理并生成用户凭证；如果验证不通过，返回响应页面，提示账号验证失败：如果验证通过，则通过页面重定向方式把浏览器重定向到业务平台，并将统一认证平台cookie和公共cookie写入浏览器；业务平台向统一认证平台发送用户凭证解析请求，携带用户凭证；统一认证平台处理用户凭证解析请求，查询用户信息，生成用户凭证解析响应，销毁用户凭证；统一认证平台向业务平台返回用户凭证解析响应；业务平台从用户凭证解析响应中提取用户信息，进行用户初始化；业务平台将登录后的业务页面返回给用户。若业务平台检测到统一账号（手机号码、邮箱）在业务平台未注册业务，浏览器从业务平台获取用户名关联提示页面；用户在用户名关联提示页面输入用户名和密码；浏览器将用户名账号信息发送到业务平台；业务平台验证用户名和密码是否正确，若正确建立用户名和统一账号的对应关系；业务平台向浏览器返回用户名关联响应页面；用户可选择取消关联到业务账号；若统一认证平台通知业务平台用户在该业务上未选择过关联到统一账号，且业务平台检测到统一账号中包含的手机号码或者邮箱在业务平台注册过业务账号，，则浏览器从业务平台获取统一账号关联页面，统一账号关联页面有“关联到统一账号”和“取消”两个选项；若用户选择“关联到统一账号”，则未来在该业务上只能使用统一账号登录，浏览器向业务平台发送统一账号关联请求；业务平台向统一认证平台发送统一账号关联请求，携带业务平台的标识；统一认证平台返回统一账号关联响应；业务平台向浏览器返回统一账号关联响应页面。采用互联网通行证登录流程描述：浏览器从统一认证平台获得登录页面，统一认证平台获得业务平台的回调地址；用户输入互联网通行证账号信息，并点击登录，浏览器将用户的登录请求发送到统一认证平台；统一认证平台验证互联网通行证账号，验证通过则生成用户单点登录标识，保存用户登录信息、进行Session处理并生成用户凭证；如果验证不通过，返回登录页面并显示失败信息；如果验证通过，则通过页面重定向方式把浏览器重定向到业务平台，并将统一认证平台Cookie和公共cookie写入浏览器；业务平台向统一认证平台发送用户凭证解析请求，携带用户凭证；统一认证平台处理用户凭证解析请求，查询用户信息，生成用户凭证解析响应，销毁用户凭证；统一认证平台向业务平台返回用户凭证解析响应，在响应消息中携带提示，通知业务平台需告知用户已经升级到和通行证；业务平台从用户凭证解析响应中提取用户信息，进行用户初始化；业务平台将登录后的业务页面返回给用户，并告知用户互联网通行证已经升级到和通行证；若业务平台检测到统一账号（手机号码、邮箱）在业务平台未注册业务，浏览器从业务平台获取用户名关联提示页面；用户在用户名关联提示页面输入用户名和密码；浏览器将用户名账号信息发送到业务平台；业务平台验证用户名和密码是否正确，若正确建立用户名和统一账号的对应关系；业务平台向浏览器返回用户名关联响应页面；用户可选择取消关联到业务账号；若统一认证平台通知业务平台用户在该业务上未选择过关联到统一账号，且业务平台检测到统一账号中包含的手机号码或者邮箱在业务平台注册过业务账号，则浏览器从业务平台获取统一账号关联页面，统一账号关联页面有“关联到统一账号”和“取消”两个选项；若用户选择“关联到统一账号”，则未来在该业务上只能使用统一账号登录，浏览器向业务平台发送统一账号关联请求；业务平台向统一认证平台发送统一账号关联请求，携带业务平台的标识；统一认证平台返回统一账号关联响应；业务平台向浏览器返回统一账号关联响应页面。采用业务账号/移动通行证（手机号码/邮箱+业务密码/移动通行证密码）登录流程描述：终端浏览器从统一认证平台获取统一账号登录页面，统一认证平台获得业务平台的回调地址；用户在统一账号登录框输入手机号码、邮箱及登录密码，并点击登录，浏览器将用户的登录请求发送到统一认证平台；统一认证平台验证该手机号码/邮箱的状态：未注册显式统一账号或者已注册显式统一账号但未在该业务上关联到统一账号；已注册显式统一账号且已在该业务上关联到统一账号；对于“已注册显式统一账号且已在该业务上关联到统一账号”的情况，统一认证平台直接向浏览器返回账号错误提示；统一认证平台缓存该手机号码和对应的登录密码，并标记为中间状态；统一认证平台向业务平台发送业务账号验证请求；业务平台验证用户身份；如果验证不通过，业务平台向统一认证平台返回业务账号验证响应，提示验证失败；统一认证平台返回登录失败页面；如果验证通过，业务平台向统一认证平台返回业务账号验证响应，提示验证成功，并携带用户凭证；统一认证平台将账号、密码的状态改为正确状态；统一认证平台通过页面重定向方式把浏览器重定向到业务平台，携带用户凭证；业务平台向统一认证平台发送用户凭证解析请求，携带用户凭证；统一认证平台处理用户凭证解析请求，查询用户信息，生成用户凭证解析响应，销毁用户凭证；统一认证平台向业务平台返回用户凭证解析响应；业务平台从用户凭证解析响应中提取用户信息，进行用户初始化；业务平台将登录后的业务页面返回给用户；若统一认证平台通知业务平台用户在该业务上未选择过关联到统一账号，浏览器从业务平台获取统一账号关联页面，具体包含“关联到统一账号”和“取消关联到统一账号”两个选项；若用户选择“关联到统一账号”，未来在该业务上只能使用统一账号登录，浏览器向业务平台发送统一账号关联请求；业务平台向统一认证平台发送统一账号关联请求，携带业务平台的标识；统一认证平台返回统一账号关联响应；业务平台向浏览器返回统一账号关联响应页面。采用服务账号（手机号码+服务密码）登录流程描述：终端浏览器从统一认证平台获取统一账号登录页面，统一认证平台获得电子渠道的回调地址；用户选择使用服务密码登录；用户在统一账号登录框输入手机号码和服务密码，并点击登录，浏览器将用户的登录请求发送到统一认证平台；统一认证平台判断该手机号码/邮箱的状态（未注册统一账号、隐式统一账号或者已注册统一账号但未在电子渠道登录）；统一认证平台判断该请求来自电子渠道，需要验证的密码为服务密码；统一认证平台向归属省CRM发起服务密码验证请求，将手机号码和服务密码提交给归属省CRM；归属省CRM对服务密码进行验证；归属省CRM向统一认证平台返回服务密码验证响应，返回服务密码验证结果；若验证通过，统一认证平台生成登录验证使用的用户凭证；统一认证平台通过重定向消息将浏览器重定向到电子渠道，在重定向消息中携带用户凭证；电子渠道向统一认证平台发起用户凭证验证请求；统一认证平台验证用户凭证，若验证通过，销毁用户凭证；统一认证平台向电子渠道返回用户凭证验证响应；电子渠道提取用户信息，生成登录响应页面；电子渠道将登录后的业务页面返回给用户；采用电子渠道门户账号（手机号码+电渠门户密码）登录流程描述：终端浏览器从统一认证平台获取统一账号登录页面，统一认证平台获得电子渠道的回调地址；用户在统一账号登录框输入手机号码、邮箱及登录密码，并点击登录，浏览器将用户的登录请求发送到统一认证平台；统一认证平台验证该手机号码的状态：未注册显式统一账号或者已注册显式统一账号但未在该电子渠道上关联到统一账号；已注册显式统一账号且已在该电子渠道上关联到统一账号；对于“已注册显式统一账号且已在该业务上关联到统一账号”的情况，统一认证平台直接向浏览器返回账号错误提示；统一认证平台缓存该手机号码和对应的登录密码，并标记为中间状态；统一认证平台向电子渠道发送业务账号验证请求；电子渠道验证用户身份；如果验证不通过，电子渠道向统一认证平台返回业务账号验证响应，提示验证失败；统一认证平台返回登录失败页面；如果验证通过，电子渠道向统一认证平台返回业务账号验证响应，提示验证成功，并携带用户凭证；统一认证平台将账号、密码的状态改为正确状态；统一认证平台通过页面重定向方式把浏览器重定向到电子渠道，携带用户凭证；电子渠道向统一认证平台发送用户凭证解析请求，携带用户凭证；统一认证平台处理用户凭证解析请求，查询用户信息，生成用户凭证解析响应，销毁用户凭证；统一认证平台向电子渠道返回用户凭证解析响应；电子渠道从用户凭证解析响应中提取用户信息，进行用户初始化；电子渠道将登录后的业务页面返回给用户；若统一认证平台通知电子渠道用户在该业务上未选择过关联到统一账号，浏览器从电子渠道获取统一账号关联页面，具体包含“关联到统一账号”和“取消关联到统一账号”两个选项；若用户选择“关联到统一账号”，未来在该业务上只能使用统一账号登录，浏览器向电子渠道发送统一账号关联请求；电子渠道向统一认证平台发送统一账号关联请求，携带电子渠道的标识；统一认证平台返回统一账号关联响应；电子渠道向浏览器返回统一账号关联响应页面。采用用户名登录流程描述：终端浏览器从业务平台获取用户名登录页面；用户在业务门户的用户名登录页面输入用户名及密码，并点击登录；浏览器将用户的登录请求发送到业务平台；业务平台检查该用户名是否有关联的手机号码/邮箱；若没有关联的手机号码/邮箱，业务平台验证用户身份；业务平台向浏览器返回响应页面，并引导用户升级，详细流程见“采用用户名登录后的账号升级”；若有关联的手机号码/邮箱，业务平台找到用户名关联的手机号码/邮箱，向统一认证平台发起统一账号验证请求；统一认证平台对账号进行相应处理；统一认证平台向业务平台返回统一账号验证响应，如果是统一账号，返回认证结果，如果不是统一账号，给出相关提示；若用户名关联的手机/邮箱未注册统一账号，则业务平台验证用户身份；业务平台提取用户信息，进行用户初始化；业务平台返回给用户登录响应页面：若用户名关联的手机/邮箱已注册统一账号，且密码验证成功，返回登录成功页面；若用户名关联的手机/邮箱已注册统一账号，且密码验证成功，返回登录失败页面，告知用户用户名关联的某手机/邮箱已经注册了和通行证，请使用和通行证密码登录；若用户名关联的手机/邮箱未注册统一账号，则进入账号升级流程，参见“用户名已绑定手机/邮箱，基于该手机/邮箱建立统一账号”。SIM快捷确认登录流程描述：浏览器从统一认证平台获得登录页面；用户用浏览器访问业务平台，选在“一键登录”方式；用户填入自己的手机号；用户点击登录，提交登录请求，在登录请求中可携带页面脚本生成的安全码；统一认证平台判断并确认该用户的SIM卡具备SIM快捷确认能力；如果不支持，执行短信动态验证码登录的流程；如果支持，统一认证平台将登录提示消息封装成数据短信，在登录提示消息中可携带安全码；统一认证平台将封装好的数据短信通过短信网关发送给指定用户；SIM卡处理数据短信，将登录提示消息展示给用户看；用户浏览登录提示消息，并与浏览器弹出的登录提示消息进行比对，确认无误后点击确认；如果用户设置需要输入认证口令，或者业务平台要求用户输入口令，用户输入口令；SIM卡返回用户的确认消息给统一认证平台；统一认证平台验证用户的返回消息，包括MAC、用户手机号码的校验，并根据用户消息（确认、取消、未处理）生成相应的用户凭证；统一认证平台验证用户身份和用户状态，如果认证通过则生成单点登录会话标识，处理Session并生成用户凭证；统一认证平台检测该手机是否有对应的统一账号/互联网通行证，如果都没有，则生成相应的隐式统一账号；统一认证平台完成统一账号同步；统一认证平台向浏览器返回认证成功消息，携带用户凭证，将浏览器重定向到业务平台，；业务平台向统一认证平台发起用户凭证解析请求；统一认证平台处理请求，查询用户，并销毁用户凭证；统一认证平台向业务平台返回解析响应，主要携带用户认证通过后的断言；业务平台根据解析响应，向浏览器返回登录响应界面。动态验证码登录流程描述：用户选择SIM认证，统一认证平台检测到SIM卡不支持SIM快捷确认，统一认证平台向浏览器返回动态验证码输入页面；统一认证平台通过短信下发动态验证码到用户输入的手机号码对应的手机上；用户在浏览器的提示框中输入动态验证码；浏览器向统一认证平台提交登录请求；统一认证平台验证通过，则生成用户单点登录标识，保存用户登录信息、进行Session处理并生成查询凭证用户凭证；如果验证不通过，返回登录页面并显示失败信息；如果验证通过，则通过页面重定向方式将浏览器重定向到业务平台，并将统一认证平台cookie和公共cookie写入浏览器；统一认证平台检测该手机是否有对应的统一账号/互联网通行证，如果都没有，则生成相应的隐式统一账号；业务平台向统一认证平台发送凭证解析请求，携带用户凭证；统一认证平台处理凭证解析请求，查询用户信息，生成凭证解析响应，销毁用户凭证；统一认证平台返回凭证解析响应；业务平台从统一认证平台凭证解析响应中提取用户信息，进行用户初始化；业务平台返回给用户响应登录后的业务页面。SIM盾登录流程描述：用户用浏览器访问业务平台，选在“一键登录”登录方式；用户填入自己的手机号；用户点击登录，浏览器向统一认证平台提交登录请求，登录请求中可携带页面脚本生成的安全码；统一认证平台判断该用户的SIM卡具备SIM认证能力；如果不支持，返回登录页面并显示失败信息（SIM卡不支持SIM盾）；统一认证平台将登录提示消息封装成数据短信；统一认证平台将封装好的数据短信通过短信网关发送给指定用户；SIM卡处理数据短信，将登录提示消息展示给用户看；用户浏览消息，并与浏览器弹出的消息进行比对，确认无误后点击确认/取消；用户输入认证口令；SIM卡返回用户的确认/取消消息给统一认证平台；统一认证平台验证用户的返回消息，包括MAC、用户手机号码的校验，并根据用户消息（确认、取消、未处理）生成相应的用户凭证；统一认证平台检测该手机是否有对应的统一账号/互联网通行证，如果都没有，则生成相应的隐式统一账号；统一认证平台将浏览器重定向到业务平台，返回AuthnResponse消息，携带用户凭证；业务平台向统一认证平台发起用户凭证解析请求；统一认证平台处理请求，查询用户，并销毁用户凭证；统一认证平台向业务平台返回解析响应，主要携带用户认证通过后的断言；业务平台根据解析响应，向浏览器返回响应界面，如登录成功。第三方应用登录流程简述：用户登入第三方应用平台，选择使用中国移动统一认证登录；第三方应用随机生成state字段，将浏览器重定向到中国移动能力开放平台；浏览器向开放平台请求登录授权页面，携带应用ID、state和第三方应用重定向URL；开放平台保存第三方平台信息并生成临时relaystate；开放平台向浏览器返回指向统一认证平台登录页面的重定向响应消息；浏览器向统一认证平台请求登录页面，携带relaystate和重定向URL等字段；统一认证平台返回登录页面，进入登录过程；统一认证平台完成用户身份认证，生成一次性身份凭证SToken；统一认证平台向浏览器返回指向开放平台的重定向响应消息，携带relaystate和SToken；浏览器向开放平台请求授权页面，携带SToken和relaystate等参数；开放平台验证relaystate有效后，向统一认证平台发送凭证验证请求，携带SToken；统一认证平台验证SToken；统一认证平台向开放平台返回用户信息；开放平台根据应用ID检查可供用户授权的能力清单；开放平台根据可授权能力清单生成用户授权页面并向浏览器返回，包括当前已登录用户账号信息，及该应用的可授权API列表；用户在授权页面上对应用进行选择授权，并提交用户的授权结果；开放平台验证应用身份及redirectUrl合法性，保存用户的授权关系并生成authcode；开放平台根据redirect_uri返回重定向响应，指向第三方应用平台，携带authcode和第三方应用生成的state；浏览器向第三方平台请求登录，携带authcode和state；第三方应用验证state有效后，根据authcode向开放平台请求accesstoken；开放平台验证authcode后，生成accesstoken和在第三方应用的用户唯一标识uniqueID；开放平台向浏览器返回重定向响应，指向第三方应用平台，携带accesstoken和uniqueID；第三方应用向开放平台请求用户信息，携带accesstoken和uniqueID；开放平台验证accessToken，查询用户身份信息；开放平台向第三方应用返回用户信息；第三方应用向浏览器返回登录后页面。账号升级采用业务账号（手机号码/邮箱+业务密码）登录后的账号升级用户使用手机号码或者邮箱完成登录且手机号码或者邮箱未升级到统一账号，业务平台在登录后的提示页面提示将账号升级到统一账号，提示页面有“账号升级”和“跳过升级”两种选择，响应消息中包含业务平台为用户分配的用户临时标识。若用户选择“跳过升级”，可继续使用业务。若用户选择升级，则执行以下流程。流程描述：业务平台为用户生成用户临时标识，并保存用户临时标识和用户登录账号（手机/邮箱）之间的对应关系，浏览器从业务平台获取账号升级提示页面，下发临时标识；浏览器向统一认证平台请求账号升级页面，请求中携带业务平台为用户生成的临时标识；统一认证平台向业务平台发起业务账号信息查询请求，请求中携带用户临时标识；业务平台向统一认证平台返回业务账号信息查询响应，包含用户用于登录的账号（手机或者邮箱以及邮箱状态等）；统一认证平台向浏览器返回账号升级页面，页面提示手机或者邮箱；若用户登录使用的是手机，用户需要对手机完成验证，即用户需要获取填写短信验证码；用户设置密码；浏览器向统一认证平台提交账号升级请求；若用户登录使用的是邮箱，用户设置密码，若邮箱处于未激活状态，用户需要完成对邮箱的验证，；浏览器向统一认证平台提交账号升级请求；统一认证平台给邮箱发送验证邮件，用户进入邮箱激活账号；统一认证平台完成账号升级相关工作，包括向其他统一认证平台同步升级账号并收到确认，统一认证平台生成单点登录会话标识，生成用户凭证；统一认证平台向浏览器返回重定向消息，将浏览器重定向到业务平台，携带用户凭证；业务平台向统一认证平台发起用户凭证验证请求；统一认证平台验证用户凭证；统一认证平台向业务平台返回用户凭证验证响应；业务平台向浏览器返回升级后响应页面。采用服务账号（手机号码+服务密码或者电渠门户密码）登录后的账号升级流程描述：浏览器从电子渠道获取账号升级提示页面，业务平台向浏览器下发为用户生成的用户临时标识；浏览器向统一认证平台请求账号升级页面，请求中携带电子渠道为用户生成的临时标识；统一认证平台向电子渠道发起业务账号信息请求，请求中携带用户临时标识；电子渠道向统一认证平台返回业务账号信息响应，包含用户用于登录的手机号码；统一认证平台向浏览器返回账号升级页面，其中密码输入处为空白，并提示用户输入密码；用户在浏览器输入密码并提交请求；浏览器向统一认证平台提交账号升级请求；统一认证平台完成账号升级，向其他统一认证平台同步升级账号并收到确认，生成单点登录标识；统一认证平台生成用户凭证；统一认证平台向浏览器返回重定向消息，将浏览器重定向到电子渠道，携带用户凭证；电子渠道向统一认证平台发起用户凭证验证请求；统一认证平台验证用户凭证；统一认证平台向电子渠道返回用户凭证验证响应；电子渠道向浏览器返回升级后响应页面。采用用户名登录后的账号升级用户使用用户名完成登录，且用户身份认证是在业务平台完成的，业务平台在登录后给出提示页面，提示账号升级，在此响应消息中携带以下信息用户名；用户名状态，用户名状态包括用户名是否有绑定的手机/邮箱；升级后业务平台的回调地址。若用户选择取消升级可以继续使用业务。若用户选择关联到一个已经存在的统一账号，需要正确输入统一账号的信息。若用户选择生成一个新的统一账号，根据以下情况分别给出流程。1.用户名未绑定手机/邮箱，在升级过程中绑定手机；2.用户名未绑定手机/邮箱，在升级过程中绑定邮箱；3.用户名已经绑定手机/邮箱。关联到一个已经存在的统一账号浏览器从业务平台获取账号升级页面，业务平台向浏览器下发为用户生成的用户临时标识；用户选择关联到一个已有的统一账号；浏览器从统一认证平台获取统一账号关联页面，该页面提示用户输入一个自己已有的统一账号；用户输入统一账号的账号信息（手机、邮箱以及统一账号的密码）；用户提交统一账号信息，浏览器将相关信息发给统一认证平台；统一认证平台验证统一账号信息；若验证失败，统一认证平台向浏览器返回关联失败的响应页面；若验证成功，统一认证平台生成单点登录标识；统一认证平台生成用户凭证；统一认证平台向浏览器返回重定向消息，将浏览器重定向到业务平台，携带用户凭证和用户临时标识；业务平台向统一认证平台发起用户凭证验证请求；统一认证平台验证用户凭证；统一认证平台向业务平台返回用户凭证验证响应；业务平台进行账号信息处理，根据用户临时标识找到用户名，并建立用户名和统一账号之间的关联；业务平台向浏览器返回响应页面。建立一个新的统一账号用户名未绑定手机/邮箱，建立新的统一账号需要设置手机/邮箱浏览器从业务平台获取账号升级页面，浏览器从业务平台得到用户临时标识和用户名状态；用户选择创建一个统一账号；浏览器向统一认证平台请求账号升级页面，请求中携带用户临时标识和用户名状态，用户名状态表明该用户名未绑定手机或者邮箱，统一认证平台向浏览器返回账号升级页面，提示用户输入手机或者邮箱；用户输入手机或者邮箱，并设置密码，统一认证平台对手机或者邮箱进行验证，并检测密码，都符合要求建立统一账号，并完成统一认证平台之间的账号同步；统一认证平台生成单点登录标识；统一认证平台生成用户凭证；统一认证平台向浏览器返回重定向消息，将浏览器重定向到业务平台，携带用户凭证和用户临时标识；业务平台向统一认证平台发起用户凭证验证请求；统一认证平台验证用户凭证；统一认证平台向业务平台返回用户凭证验证响应；业务平台进行账号信息处理，根据用户临时标识找到用户名，并建立用户名和统一账号之间的关联；业务平台向浏览器返回响应页面。用户名已绑定手机/邮箱，基于该手机/邮箱建立统一账号浏览器从业务平台获取账号升级页面，浏览器从业务平台得到用户临时标识和用户名状态；浏览器向统一认证平台请求账号升级页面，请求中携带用户临时标识和用户名状态，以及业务平台的回调地址；统一认证平台根据用户名状态判断该用户名在业务平台有关联的手机/邮箱，统一认证平台向业务平台发起业务账号信息请求，请求中携带用户临时标识；业务平台向统一认证平台返回业务账号信息响应，包含手机、邮箱；如果有手机，需要完成手机的验证，用户需要获取填写短信验证码；用户设置密码；浏览器向统一认证平台提交账号升级请求；如果有邮箱且邮箱处于未激活状态，需要完成对邮箱的验证，用户设置密码；浏览器向统一认证平台提交账号升级请求；统一认证平台给邮箱发送验证邮件，用户进入邮箱激活账号；统一认证平台检测密码强度是否符合规则；统一认证平台检测密码强度是否符合规则统一认证平台完成账号升级相关工作，包括向其他统一认证平台同步升级账号并收到确认，并生成单点登录标识；统一认证平台生成用户凭证；统一认证平台向浏览器返回重定向消息，将浏览器重定向到业务平台，携带用户凭证和用户临时标识；业务平台向统一认证平台发起用户凭证验证请求；统一认证平台验证用户凭证；统一认证平台向业务平台返回用户凭证验证响应；业务平台进行账号信息处理，根据用户临时标识找到用户名，并建立用户名和统一账号之间的关联；业务平台向浏览器返回响应页面。单点登录用户采用统一账号完成登录后，再访问其他业务时，可实现单点登录。用户在地址栏输入域名或在已登录业务平台点击目标业务平台的链接，均可实现单