认证技术白皮书
目录
1前言 (3)
2为什么使用认证 (3)
3认证相关技术 (4)
3.1PPP O E接入认证原理 (4)
3.2WEB接入认证原理 (9)
3.3802.1X接入认证原理 (15)
3.4绑定认证原理 (18)
3.5各种认证方式比较 (19)
1 前言
在数据网络中,包括企业网、INTERNET网络等等,追求的是网络简单、开放,所有人可以自由接入和使用。而在电信数据网络中,运营商(比如网络服务提供商NSP、业务提供商ISP等)关心的是网络可运营和可管理,要管理每个用户的接入、业务使用、费用等等。
在可运营、可管理网络中,引入了针对用户管理的AAA技术,包括认证(Authentication)、授权(Authorization)、计费(Accounting)三个技术:
认证
..,是在用户开始使用系统时对其身份进行的确认动作。
授权,是在网络安全中,授权某用户以特定的方式与某网络系统通信。
计费,是记录并提供关于经济活动的确切清单或数据。
认证是识别用户身份的过程,而授权是根据认证识别后的用户情况授予对应的网络使用权限(QoS、带宽限制、访问权限、用户策略),而计费也是根据认证后的用户身份采用对应的计费策略并记录、提供计费信息(时长、流量、位置等等),三个技术紧密联系但又相
互独立的。认证
..技术是用户管理最基本的技术。
目前网络中,有许多设备不支持认证,有许多设备只支持某一种认证,同时认证技术种类繁多、认证要求各不相同,造成网络中认证方案的混淆和混乱。
2 为什么使用认证
●电信数据网的困惑
在电信数据网络中,服务提供商(比如网络服务提供商NSP、业务提供商SP等)关心的是网络可运营和可管理,要管理每个用户的接入、业务使用、费用等等。而电信数据网络中大量使用的是广泛应用在企业网、INTERNET网络中的以太网交换机、路由器等设备,遵循的是典型的数据网络理念,追求的是网络简单、开放,自由接入和使用。
怎么才能够在电信数据网络中针对用户进行运营、管理呢?最基本的技术就是通过认证识别用户身份。
●成熟的认证技术
当前最为普遍主流认证技术有三种:PPPoE/PPPoEoA/PPPoA认证、WEB认证和802.1X 认证,这三种认证从标准状态、商用情况看,技术上都已经成熟。
3 认证相关技术
当前最为普遍主流认证技术有三种:PPPoE/PPPoEoA/PPPoA 认证、WEB 认证和802.1X 认证。严格意义上讲,这三种认证技术并不是真正的认证方式,每种认证技术都支持两种以上的认证方式,具体认证技术和认证方式关系如下表所示:
表1 认证技术和认证方式关系表
认证技术
认证方式
PPPoE 认证 PAP 、CHAP 、EAP WEB 认证 PAP 、CHAP 802.1X 认证
EAP
其中,EAP 定义了一个认证构架,包含了很多种认证方式:
图2 EAP 认证方式汇总
同时,针对特殊应用,还有绑定认证和快速认证等技术。
3.1 PPPoE 接入认证原理
PPP 是传统的认证方式之一,PPPoE 是利用以太网发送PPP 包的传输方法和支持在同一以太网上建立多个PPP 连接的接入技术。PPPoE 结合了以太网和PPP 连接的综合属性。
PPP 协议是一种点到点的链路层协议,它提供了点到点的一种封装、传递数据的一种方法。PPP 协议一般包括三个协商阶段:LCP (链路控制协议)阶段,认证阶段(比如CHAP/PAP ),NCP (网络层控制协议,比如IPCP)阶段。拨号后,用户计算机和局方的接入服务器在LCP
阶段协商底层链路参数,然后在认证阶段进行用户计算机将用户名和密码发送给接入服务器认证,接入服务器可以进行本地认证,可以通过RADIUS协议将用户名和密码发送给AAA服务器进行认证。认证通过后,在NCP(IPCP)协商阶段,接入服务器给用户计算机分配网络层参数如IP地址等。经过PPP的三个协商阶段后,用户就可以发送和接受网络报文。用户收发的所有网络层报文都封装在PPP报文中。PPP协议的一个重要的功能是提供了身份验证功能。
以太网是一种广播网络,其缺点是通讯双方无法相互验证对方身份,通讯是不安全的。PPP协议提供了通讯双方身份验证的功能,但是PPP协议是一种点对点的协议,协议中没有提供地址信息。如果PPP应用在以太网上,必须使用PPPoE再进行一次封装,PPPoE协议提供了在以太网广播链路上进行点对点通讯的能力。
3.1.1认证系统架构
对于基于PPPoE的认证系统,客户终端上的PPPoE客户端到PPPoE服务器之间为二层网络,PPPoE服务器负责终结PPPoE客户端发起的PPPoE协议,并利用PPP协议中支持的认证方法对客户终端的PPP连接请求进行认证。
基于PPPoE的认证系统架构见下图:
图3基于PPPoE的认证系统架构
基于PPPoE的认证系统功能实体协议栈见下图。在PPP的LCP协商阶段,进行认证。
PPPoE客户端客户终端PPPoE服务器
接入服务器
AAA服务器
图4基于PPPoE的认证系统功能实体协议栈
3.1.2接入流程
以PPP-CHAP为例,PPPoE用户的接入流程如下:
图 1 PPPoE认证流程
1)PPPOE客户端向PPPOE服务器设备发送一个PADI报文,开始PPPoE接入。
2)PPPOE服务器向客户端发送PADO报文。
3)客户端根据回应,发起PADR请求给PPPOE服务器。
4)PPPOE服务器产生一个session id,通过PADS发给客户端。
5)客户端和PPPOE服务器之间进行PPP的LCP协商,建立链路层通信。同时,协
商使用CHAP认证方式。
6)PPPOE服务器通过Challenge报文发送给认证客户端,提供一个128bit的
Challenge。
7)客户端收到Challenge报文后,将密码和Challenge做MD5算法后的,在Response
回应报文中把它发送给PPPOE服务器。
8)PPPOE服务器将Challenge、Challenge-Password和用户名一起送到RADIUS用户
认证服务器,由RADIUS用户认证服务器进行认证。
9)RADIUS用户认证服务器根据用户信息判断用户是否合法,然后回应认证成功/
失败报文到PPPOE服务器。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束。
10)PPPOE服务器将认证结果返回给客户端。
11)用户进行NCP(如IPCP)协商,通过PPPOE服务器获取到规划的IP地址等参
数。
12)认证如果成功,PPPOE服务器发起计费开始请求给RADIUS用户认证服务器。
13)RADIUS用户认证服务器回应计费开始请求报文。
用户此时通过认证,并且获得了合法的权限,可以正常开展网络业务。
当用户希望终止网络业务的时候,同样也可以通过PPPoE断开网络连接,此时会按照12)、13)中的格式发送计费终止报文。详细情况,请参见下节。
3.1.3下线流程
PPPoE用户下线流程包括用户主动下线和异常下线两种情况。
用户主动下线流程如下图所示。
图5用户主动下线流程
1)用户通过PPPoE客户端,主动向PPPoE服务器发送Terminate-Request;
2)PPPoE服务器向PPPoE客户端返回Terminate-Ack报文;
3)PPPoE服务器向AAA服务器发送计费停止请求的报文;
4)AAA服务器向认证点回计费停止请求报文的回应。
异常下线流程如下图所示。
图6异常下线流程
1)PPPoE服务器检测到用户已经不在线;
2)PPPoE服务器向AAA服务器发送计费停止请求的报文;
3)AAA服务器向认证点回计费停止请求报文的回应。
3.2 WEB接入认证原理
3.2.1认证系统架构
基于WEB的认证系统架构见下图。
接入服务器对来自STA的HTTP请求重定向到POTRAL服务器中,利用PORTAL页面对用户进行认证。
图7基于WEB的认证系统架构
基于WEB的认证系统功能实体协议栈见下图。
客户终端接入服务器Portal服务器
Portal服务器接入服务器AAA服务器
图8基于WEB的认证系统功能实体协议栈
3.2.2WEB接入认证流程
用户在WEB认证之前,必须先通过DHCP、静态配置等获得IP地址。用户如果被配置成强制WEB认证,则用户只需要输入自己喜欢的网页即可,系统自动下载认证网页。
用户提交了用户名和密码之后,接入服务器与WEB认证服务器协调工作,对用户进行认证。下面以普通动态用户为例,具体步骤如下:
图9 VLAN 用户接入流程(WEB 认证)
(1)-(4)为动态用户通过DHCP 协议获取地址的过程(静态用户手工配置地址即可。); (5)用户访问WEB 认证服务器的认证页面,并在其中输入用户名、密码,点击登陆按钮;
(6)WEB 认证服务器将用户的信息通过内部协议,通知接入服务器; (7)接入服务器到相应的AAA 服务器对该用户进行认证; (8)AAA 服务器返回认证结果给接入服务器; (9)接入服务器将认证结果通知WEB 认证服务器;
(10)WEB 认证服务器通过HTTP 页面将认证结果通知用户; (11)如果认证成功用户即可正常访问网络资源。
客户终端
接入服务器 DHCP 服务器
3.2.3三层用户的WEB认证
用户没有与接入服务器2层相连,中间存在路由器等3层设备,这样用户到接入服务器的报文中只有用户的IP地址没有MAC地址信息,这种类型的用户称为3层认证用户。
与2层认证用户不同的是3层认证用户的MAC地址接入服务器获取不到,因而不能进行MAC、IP的绑定检查安全性不高容易仿冒;ARP请求不能穿透路由器因而不能对用户进行ARP探测确定是否在线。
对此,接入服务器要求3层认证用户必须进行WEB认证,不能通过绑定认证等方式上线。
另外,接入服务器支持当网络发生问题用户原先的线路不同,但有另一条线路可以访问接入服务器的情况,此时接入服务器可以通过新的IP包找到到达用户的新路径更新相关的信息。
IP报文触发3层用户上线的流程如下图所示:
ó??§
WEBè??¤
·
t???÷
MA5200AAA SERVER
(1)
(3)
(4)
(5)
(6)
(7)
Internet
(8)
(2)
图10IP报文触发3层认证用户上线流程
(1)用户的IP报文到达接入服务器,接入服务器为其分配资源建立预连接;
(2)用户的HTTP请求被强制到(或用户主动访问)WEB认证服务器的认证页面,并在其中输入用户名、密码,点击登陆按钮;
(3)WEB认证服务器将用户的信息通过内部协议,通知接入服务器;
(4)接入服务器到相应的AAA服务器对该用户进行认证;
(5)AAA服务器返回认证结果给接入服务器;
(6)接入服务器将认证结果通知WEB认证服务器;
(7)WEB认证服务器通过HTTP页面将认证结果通知用户;
(8)如果认证成功用户即可正常访问网络资源。
3.2.4WEB认证用户下线流程
WEB认证用户下线流程包括用户主动下线和异常下线两种情况。
用户主动下线流程如下图所示。
图11用户正常下线流程
1)当用户需要下线时,可以点击认证结果页面上的下线机制,向Portal服务器发起一
个下线请求。
2)Portal服务器向接入服务器发起下线请求。
3)接入服务器返回下线结果给Portal服务器。
4)Portal服务器根据下线结果,推送含有对应的信息的页面给用户。
5)当接入服务器收到下线请求时,向RADIUS服务器发计费结束报文。
6)RADIUS服务器回应接入服务器的计费结束报文。
异常下线包含两种情况:
接入服务器侦测到用户下线
s
图12接入服务器检测到用户异常下线流程
1) 接入服务器检测到用户下线,向Portal服务器发出下线请求。
2) Portal服务器回应下线成功。
3) 当接入服务器收到下线请求时,向RADIUS用户认证服务器发计费结束报文。
4) RADIUS用户认证服务器回应接入服务器的计费结束报文。
Portal服务器侦测到用户下线
图13Portal服务器检测到用户异常下线流程
1) Portal 服务器侦测到用户下线,向接入服务器发出下线请求。
2) 接入服务器回应下线成功。
3) 当接入服务器收到下线请求时,向RADIUS用户认证服务器发计费结束报文。
4) RADIUS用户认证服务器回应接入服务器的计费结束报文。
3.3 802.1X接入认证原理
3.3.1认证系统架构
基于802.1x的认证系统架构见下图。在此种架构下,系统实现IEEE 802.1x中定义的认证请求者、认证点和认证服务器的三元结构。认证请求者对应客户终端,认证点可以对应接入服务器,认证服务器对应AAA服务器。
基于802.1x的认证系统利用EAP协议的扩展能力可以选用不同的认证算法。
图14基于802.1x的认证系统架构
基于802.1x的EAP认证系统各实体协议栈见下图。
认证请求者客户终端
认证点
接入服务器
认证服务器
AAA服务器
图15基于802.1x的认证系统功能实体透传方式协议栈
3.3.2802.1X接入认证流程
基于802.1x的认证系统利用EAP协议的扩展能力可以选用不同的认证算法。以EAP-MD5为例:
图16EAP-MD5认证方式交互图
流程描述如下:
1.在用户和接入服务器之间建立好物理连接后,用户客户端向接入服务器发送一
个EAPoL-Start报文(如果用户是动态分配地址的,可能是DHCP请求报文;如
果用户是手工配置地址的,可能是ARP请求报文),开始802.1x接入的开始。
2.接入服务器向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上
来。
3.客户端回应一个EAP-Response/Identity给接入服务器的请求,其中包括用户名。
4.接入服务器以EAP Over RADIUS的报文格式向RADIUS认证服务器发送
Access-Request报文,里面含有客户端发给接入服务器的EAP-Response/Identity
报文,将用户名提交RADIUS认证服务器。
5.接入服务器产生一个128 bit的Challenge。
6.RADIUS认证服务器回应接入服务器一个Access-Challenge报文,里面含有
EAP-Request/MD5-Challenge报文,送给接入服务器用户对应的Challenge。
7.接入服务器通过EAP-Request/MD5-Challenge发送给认证客户端,送给用户
Challenge。
8.客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法
后的Challenge-Password,在EAP-Response/MD5-Challenge回应中把它发送给接
入服务器。
9.接入服务器将Challenge-Password通过Access-Request报文送到RADIUS用户认
证服务器,由RADIUS用户认证服务器进行认证。
10.RADIUS用户认证服务器根据用户信息判断用户是否合法,然后回应认证成功/
失败报文到接入服务器。如果成功,携带协商参数,以及用户的相关业务属性
给用户授权。
11.接入服务器根据认证结果,给用户回应EAP-Success/EAP-Failure,通知用户认
证结果。如果认证失败,则流程到此结束。如果成功,可以进行后续的授权、
计费等流程。
3.3.3用户下线流程
用户下线流程包括用户主动下线和异常下线两类情况。
用户主动下线流程如下图所示。
图17用户主动下线流程
1)客户端主动向认证点发送EAP-Logoff消息;
2)认证点向认证服务器发送计费停止请求的报文;
3)认证服务器向认证点回计费停止请求报文的回应。
异常下线流程如下图所示:
图18认证点检测用户下线流程
1)认证点检测发现用户已经不在线;
2)认证点向认证服务器发送计费停止请求的报文;
3)认证服务器向认证点回计费停止请求报文的回应。
3.4 绑定认证原理
所谓绑定认证就是使用用户连接的物理信息进行认证。系统自动根据用户所在的端口、VLAN等物理信息到对应的AAA服务器进行认证,用户无需手工认证。
3.5 各种认证方式比较
表2各种认证方式比较表
同时,需要注意的是,上述认证方式都包含了两部分内容:
1.用户终端和接入服务器之间使用PPPoE、WEB和80
2.1X认证;
2.接入服务器和AAA服务器之间使用的标准的或者扩展的RADIUS协议。
主要差异都在第一部分中;第二部分除802.1X使用扩展的EAP属性外,其他都一样。
读书的好处
1、行万里路,读万卷书。
2、书山有路勤为径,学海无涯苦作舟。
3、读书破万卷,下笔如有神。
4、我所学到的任何有价值的知识都是由自学中得来的。——达尔文
5、少壮不努力,老大徒悲伤。
6、黑发不知勤学早,白首方悔读书迟。——颜真卿
7、宝剑锋从磨砺出,梅花香自苦寒来。
8、读书要三到:心到、眼到、口到
9、玉不琢、不成器,人不学、不知义。
10、一日无书,百事荒废。——陈寿
11、书是人类进步的阶梯。
12、一日不读口生,一日不写手生。
13、我扑在书上,就像饥饿的人扑在面包上。——高尔基
14、书到用时方恨少、事非经过不知难。——陆游
15、读一本好书,就如同和一个高尚的人在交谈——歌德
16、读一切好书,就是和许多高尚的人谈话。——笛卡儿
17、学习永远不晚。——高尔基
18、少而好学,如日出之阳;壮而好学,如日中之光;志而好学,如炳烛之光。——刘向
19、学而不思则惘,思而不学则殆。——孔子
20、读书给人以快乐、给人以光彩、给人以才干。——培根
H3C无感知认证技术白皮书 1概述 当下,各种智能终端层出不穷,特别是以iPhone、iPad等为代表的智能终端的流行,促使多媒体业务的应用急剧增加、人们对移动无线上网体验的要求也越来越高。无线通信市场竞争的热点逐渐从技术转向了用户体验上。用户体验的好坏,逐渐成为人们无线上网选择的重要标准。 目前Portal认证是WLAN网络的主流接入认证方式之一。当采用Portal认证时,用户每次接入WLAN网络时都需要在Portal页面中输入用户账号/密码信息,操作较为不便。特别是当前使用WiFi网络的iPad、智能手机等终端设备越来越多,而此类终端受到屏幕、浏览器等资源限制,在Portal页面中输入用户名/密码等信息时极为不便,使得用户上网体验大打折扣。针对此问题,H3C特提出Portal无感知认证方案,大大简化Portal接入流程,提升用户的接入体验。 Portal无感知认证方案具备“一次认证,多次使用”用户体验。如果开通了Portal无感知认证,用户首次登陆Portal页面成功认证后,后续只要关联WLAN SSID就可以用轻松实现认证上网。
2首次接入,Portal认证并绑定MAC 在Portal无感知认证解决方案,用户首次接入WLAN网络认证流程如图1所示。具体认证流程如下: 步骤1、用户连接WLAN网络SSID,并通过DHCP服务器获取IP地址信息。 步骤2、AC将监控用户的上网流量。 步骤3、当AC监控的用户流量达到阈值时,(例如流量阀值可设置为5分钟累积流量10KB),AC将向iMC UAM (负责对MAC地址进行绑定)服务器发起MAC 查询请求。 步骤4、iMC UAM服务器向AC返回查询结果:此终端MAC信息未绑定。(由于此终端用户是首次连接WLAN网络,所以iMC UAM服务器中无此终端的MAC地址信息) 步骤5、AC将按照正常Portal流程向终端重定向Portal认证页面。 步骤6、用户终端输入用户名、密码信息发起Portal认证。 步骤7、AC与Portal服务器之间完成Portal认证。 步骤8、AC向iMC UAM服务器发起MAC绑定请求,MAC绑定服务器完成此用户终端MAC地址信息的与Portal账号的绑定。
Ibot8.0产品白皮书 第 1 页共47 页
目录 1.前言 (6) 1.1.目的范围 (6) 1.2.产品定位 (6) 1.3.名词术语 (6) 2.公司简介 (8) 2.1.小I简介 (8) 2.2.小I发展历程 (8) 3.产品概述 (11) 3.1.智能机器人 (11) 3.2.产品架构 (11) 3.1.1.机器人前端平台 (12) 3.1.2.智能服务引擎平台 (12) 3.1.3.机器人统一管理平台 (14) 3.1.4.知识库组织说明 (14) 3.3.产品演进路径 (17) 3.4.技术特点 (17) 3.5.技术指标 (18) 3.6.扩展接口 (19) 3.7.优势特性 (19) 4.产品主要功能 (22) 4.1.基础智能问答 (22) 4.2.前端用户功能 (23) 4.2.1 Web机器人功能 (23) 4.2.2微信机器人功能 (28) 4.2.3IM机器人功能 (31) 4.2.4短信机器人功能 (33) 4.3.后台主要管理功能 (35) 4.3.1知识管理功能 (35) 4.3.2服务管理功能 (36) 4.3.3渠道管理功能 (36) 4.3.4素材管理功能 (37) 4.3.5语音管理功能 (38) 4.3.6运维管理功能 (38) 4.3.7系统管理功能 (39) 5产品实施 (39) 5.1.实施流程 (39)
5.2.知识建设 (39) 5.2.1 语言知识库构建 (40) 5.2.2 业务知识库构建 (41) 5.3.二次开发 (42) 5.4.系统部署 (44) 5.4.1 常规部署 (45) 5.4.2 扩展部署 (45) 5.4.3 集群部署 (47)
华为 802.1X 技术白皮书
华为802.1X技术 白皮书
华为 802.1X 技术白皮书
目录
1 2 概述...........................................................................................................................................1 802.1X 的基本原理..................................................................................................................1 2.1 体系结构...........................................................................................................................1 2.1.1 端口 PAE...................................................................................................................2 2.1.2 受控端口 ...................................................................................................................2 2.1.3 受控方向 ...................................................................................................................2 2.2 工作机制...........................................................................................................................2 2.3 认证流程...........................................................................................................................3 3 华为 802.1X 的特点.................................................................................................................3 3.1 基于 MAC 的用户特征识别............................................................................................3 3.2 用户特征绑定...................................................................................................................4 3.3 认证触发方式...................................................................................................................4 3.3.1 标准 EAP 触发方式 .................................................................................................4 3.3.2 DHCP 触发方式 .......................................................................................................4 3.3.3 华为专有触发方式 ...................................................................................................4 3.4 TRUNK 端口认证 ..............................................................................................................4 3.5 用户业务下发...................................................................................................................5 3.5.1 VLAN 业务 ................................................................................................................5 3.5.2 CAR 业务 ..................................................................................................................5 3.6 PROXY 检测 ......................................................................................................................5 3.6.1 Proxy 典型应用方式 ................................................................................................5 3.6.2 Proxy 检测机制 ........................................................................................................5 3.6.3 Proxy 检测结果处理 ................................................................................................6 3.7 IP 地址管理 ......................................................................................................................6 3.7.1 IP 获取 ......................................................................................................................6 3.7.2 IP 释放 ......................................................................................................................6 3.7.3 IP 上传 ......................................................................................................................7 3.8 基于端口的用户容量限制...............................................................................................7 3.9 支持多种认证方法...........................................................................................................7 3.9.1 PAP 方法 ...................................................................................................................7 3.9.2 CHAP 方法 ...............................................................................................................8 3.9.3 EAP 方法 ..................................................................................................................8 3.10 独特的握手机制...............................................................................................................8 3.11 对认证服务器的兼容.......................................................................................................8 3.11.1 EAP 终结方式 ..........................................................................................................8 3.11.2 EAP 中继方式 ..........................................................................................................9 3.12 内置认证服务器...............................................................................................................9 3.13 基于 802.1X 的受控组播.................................................................................................9 3.14 完善的整体解决方案.....................................................................................................10 4 典型组网.................................................................................................................................10
1
一、背景概述 (2) 1、研发背景 (2) 2、产品定位 (2) 二、产品方案功能介绍 (2) 1、设计理念 (2) 2、系统拓扑图 (2) 3、系统构架描述 (2) 4、系统功能介绍 (2) 5、产品方案规格 (2) 四、产品方案应用介绍 (3) 1、应用模式 (3) 2、应用流程 (3) 3、应用环境 (3) 五、产品方案特性介绍 (3) 1、技术特性 (3) 2、应用特性 (3) 3、系统特性 (3) 六、产品方案技术介绍 (3) 1、相关技术 (3) 2、技术指标 (4) 七、产品方案测评数据 (4) 八、实施运维方式说明 (4) 九、售后服务方式说明 (4)
一、背景概述 1、研发背景 介绍用户需求背景、该产品所在行业信息化建设背景、产品所涉及的相关政策简述等,以说明该产品的研发背景,以及满足的客户需求。 2、产品定位 为了满足客户以上需求,该产品具有什么功能,能够解决什么问题。 二、产品方案功能介绍 1、设计理念 该产品方案的设计思路。 2、系统拓扑图 使用统一的图标,制作系统拓扑图。 3、系统构架描述 按照系统的构成,分类对系统进行描述。 4、系统功能介绍 详细阐述系统的主要功能。 5、产品方案规格 产品方案不同的规格介绍,或者对产品方案技术规格的介绍。
四、产品方案应用介绍 1、应用模式 该产品方案包括的应用模式类型,或者针对不同类型客户的解决方案。 2、应用流程 该产品方案的应用流程。 3、应用环境 描述该产品所运行的应用环境。 五、产品方案特性介绍 1、技术特性 主要是性能先进性、功能齐全性、系统兼容性、技术稳定性等。 2、应用特性 主要是部署灵活性、可扩展性、管理方便性、易用性等。 3、系统特性 对系统的主要特性进行描述,根据产品不同和竞争优势的不同而不同。 六、产品方案技术介绍 1、相关技术 主要应用技术的介绍,以及该技术的优势。
华为eSight 产品技术白皮书 文档版本 01 发布日期 2016-05-30 华为技术有限公司
版权所有? 华为技术有限公司2015。保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标,由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证。 由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为技术有限公司 地址:深圳市龙岗区坂田华为总部办公楼邮编:518129 网址:https://www.doczj.com/doc/ff3983835.html,
目录 1 执行摘要 (4) 2 简介 (5) 3 解决方案 (7) 3.1 eSight系统介绍 (7) 3.1.1 关键技术特点 (7) 3.2 统一监控、诊断和恢复解决方案 (12) 3.2.1 性能采集和预测分析 (12) 3.2.1.1 整体方案介绍 (12) 3.2.1.2 关键技术点介绍 (13) 3.2.1.3 功能约束 (13) 3.2.1.4 典型场景应用 (14) 3.2.2 告警信息采集和通知 (14) 3.2.2.1 整体方案介绍 (14) 3.2.2.2 关键技术点介绍 (15) 3.2.2.3 功能约束 (16) 3.2.2.4 典型场景应用 (17) 3.2.3 网络故障诊断(智真会议) (17) 3.2.3.1 整体方案介绍 (17) 3.2.3.2 关键技术点介绍 (17) 3.2.3.3 功能约束 (18) 3.2.3.4 典型场景应用 (18) 3.2.4 通过设备配置备份数据快速修复故障 (20) 3.2.4.1 整体方案介绍 (20) 3.2.4.2 关键技术点介绍 (20) 3.2.4.3 功能约束 (21) 3.2.4.4 典型场景应用 (21) 3.3 安全管理解决方案介绍 (21) 4 结论 (22) A 缩略语 (23)
工程教育认证学校工作指南 1.申请 (1)申请学校须是经教育部批准或备案、学制不低于四年、以本科教育为主的普通高等学校,其申请认证的专业应该是中国工程教育专业认证协会认证专业领域范围内的,经教育部批准或备案的,已有三届毕业生、以培养工程技术人才为主要目标的工科专业。 (2)申请学校应向中国工程教育专业认证协会秘书处递交申请表(格式见附件1),学校的认证申请当年度有效。 (3)学校应根据认证协会秘书处的要求,对申请表中有关问题做出答复,或提供相关材料。 (4)学校申请被受理后,应在规定时间内按照国家核定标准交纳认证费用,交费后进入认证工作流程,开展自评工作。 (5)如申请因为不符合条件而未被受理,学校可在达到申请认证的基本条件后重新提出申请;如果申请符合要求,但因为年度认证专业数量所限未予受理的,其申请有效期可保留一年。 2.自评 2.1 自评目的 自评和撰写自评报告是工程教育认证的重要阶段,是接受认证专业对办学状况、办学质量的自我检查,主要检查办学条件、人才培养计划和培养结果是否达到《工程教育认证标准》所规定的要求,以及是否采取了充分措施,以保证教学培养计划的实施。 2.2 自评方法 自评工作由学校有计划地组织进行,贯彻“以评促建、以评促改、以评促管”
的精神,自始至终体现真实性、客观性、综合性,专业所在院(系)和学校应组织教师、学生和相关工作人员共同参与该项工作。自评工作应对照指标要求,从学校办学的特点出发,通过举证的方式,详细说明为了达成人才培养目标所开展的的具有自身特色的教育教学实践与取得的成效(包括人才培养方案的制定与实施、各教学环节的安排与保障、教学质量保证体系的建立和运行等),阐释其实现专业人才培养目标的途径以及目标达成的程度。 撰写自评报告是自评工作的主要内容。自评报告要对专业教育的各项内容进行自我评价、说明并附以证明材料,以供审核。 2.3 自评报告的内容和要求 自评报告的内容和格式要求见“工程教育认证自评报告撰写指导书”(附件2),自评报告撰写的有关问题及解答可参考附件3。 2.4 自评报告的补充修改 学校提交自评报告后,应根据专业类认证委员会的要求,对自评报告存在的问题进行修改或补充材料。补充修改的内容可作为自评报告附件单独提交,不必在原报告上进行修改。 3.现场考查准备 3.1 现场考查条件准备 现场考查将在学校正常教学期间进行,接受认证专业所在学校的学校应为现场考查专家组的入校考查做好如下准备工作: (1)应为现场考查专家组准备一间专用工作(会议)室,室内应备有供专家查阅的最基本的有关教学和教学管理等资料,如学生的作业、设计、试卷、报告、论文等; (2)应安排有专人负责配合现场考查专家组的工作; (3)应为专家组准备考查期间教学、实践等环节的课表;同时准备各类人员名单,供专家组抽取部分进行访谈;
白皮书
文档控制/Document Control 文档属性 模板修改记录 文档修改记录 审阅记录 分发
目录 第一章传统BPM面临的问题和挑战 (3) 1.1IT需要支撑业务在频繁的调整和优化 (3) 1.2传统BPM严重割裂业务 (3) 1.3对于复杂的中国特色企业管理的有效支撑 (3) 1.4高可扩展性和高性能的挑战 (4) 1.5移动端的挑战 (4) 第二章LBPM解决之道 (4) 2.1提出非常6+1接口规范来规约业务系统(去业务化解决方案) (4) 2.2不干预任何业务以避免割裂业务 (5) 2.3长期关注复杂的中国特色企业管理 (5) 2.4从底层架构就支持业务流程的高可扩展和高性能 (5) 2.5充分支持跨浏览器 (6) 第三章为何要使用LBPM? (6) 3.1快速应对市场和业务的频繁变化和调整 (6) 3.2业界性价比最高的BPM (7) 3.3多种手段提升业务系统与LBPM之间高效通讯 (7) 3.4完善的监控机制来保障快速跟踪和分析问题 (8) 第四章LBPM产品核心架构概述 (9) 4.1LBPM流程虚拟机 (10) 4.2LBPM流程引擎 (10) 4.3LBPM流程应用 (10) 4.4LBPM流程扩展服务 (10) 4.5LBPM集成引擎 (11) 第五章LBPM产品功能概述 (11) 5.1流程建模平台 (11) 5.1.1对接业务系统全局配置 (12) 5.1.2创建流程模板 (12) 5.1.3节点绑定业务表单 (13) 5.1.4业务字段映射配置 (13) 5.1.5节点的事件监听器配置业务逻辑 (14) 5.2流程运行平台 (15) 第六章LBPM流程分析平台 (16) 附录A 非常6+1参考 (17) 附录B BPM思想流派参考 (17)
UTrust SSO统一身份认证和单点登录平台技术白皮书 Version 4.0 北京神州融信信息技术有限公司 https://www.doczj.com/doc/ff3983835.html,
目录 1为什么需要单点登录 (3) 2单点登录技术 (4) 3UTRUST SSO简介 (4) 4UTRUST SSO功能 (5) 4.1.SSO单点登录 (6) 4.1.1基于B/S结构的应用系统单点登录 (6) 4.1.2基于C/S结构的应用系统单点登录 (7) 4.1.3与Windows域结合的单点登录 (7) 4.2.统一身份管理 (7) 4.2.1.多种身份认证方式 (7) 4.2.2.统一用户身份认证 (7) 4.2.3.统一用户身份管理 (8) 4.3.统一授权管理 (9) 4.3.1.访问资源管理 (9) 4.3.2.访问策略管理 (9) 4.3.3.分级授权管理 (9) 4.4.统一审计 (9) 4.5.安全管理 (10) 5UTRUST SSO特点 (10) 6UTRUST SSO解决方案 (12) 1、部署UTrust SSO (12) 2、应用系统整合 (13) 3、门户集成方案 (13) 4、UTrust SSO实施效益 (15)
1 为什么需要统一认证和单点登录 企事业经过多年的信息化建设,已经形成了一大批比较成熟的应用系统,其涉及的应用面覆盖了企事业的大部分生产或业务,政府部门包括办公系统,人事系统,财务系统、信息管理系统等,对于企业还有生产调度系统、劳资管理系统、设备管理系统、PDM或ERP系统等。 由于历史的原因,各应用系统在开发的初期都是独立进行的,造成了彼此之间操作上的割裂和数据之间通信的割断。每一个系统都需要用户输入用户名和密码才能登录。随着业务的发展,企事业将来会增加到几十个应用系统在网上运行。尤其对于一些权限较高或是涉及业务较多的用户,如果每一个系统都需要他们进行密码的验证,那么用户使用系统的不便性是可想而知的。因此经常会有一些用户将多个系统设置成同一密码或是将记不住的密码写在纸上贴在桌子上,这样,对业务系统的访问存在着极大的安全隐患,使一些别有用心的工作人员有机会利用他人密码登录系统,进行非法操作,也会给发生重大事故后的责任追查带来困难。 并且随着企业内控要求的加强,需要企业内部应用系统加强密码管理,每一个应用系统都需要在三个月内更换一次密码,记不住密码变得经常发生。而系统管理员的也被拖入了繁琐的重置用户密码的工作之中,无形中增加了管理员的Help Desk工作。 针对于上述情况,企事业单位需要建设一个单点登录平台,通过一次认证登录后就可访问所有有权访问的应用系统,避免频繁登录,并且能够保证用户身份的合法性和唯一性,对于应用系统的访问建立一套完整的安全防护和用户管理机制,当然在IT信息化规划初期建立这一平台是较好的考虑,以解决如下问题: ?如何避免记忆多个密码? ?如何避免频繁登录? ?如何确保用户身份的唯一性,确保系统访问的安全性? ?如何减少help-desk花费在用户上的时间? ?如何为新建系统架构统一用户身份和认证平台? ?如何对企业各应用系统的访问进行监控和跟踪,确保访问的安全性? ?如何不更改用户应用程序的情况下实现上述需求? ?如何在异构的环境中实现上述的需求?
深度操作系统 服务器产品技术白皮书 武汉深之度科技有限公司
目录 一、概述 (2) 二、深度操作系统服务器版 (3) 三、技术指标 (4) 四、应用需求 (6) 4.1 通用服务器应用 (6) 4.2 小型机替换 (6) 4.3 国产化应用 (7) 五、产品特点 (9) 六、技术特色 (10) 七、产品对比 (11) 八、应用场景 (13) 九、典型案例 (14) 9.1 国家工商总局法人库项目 (15) 9.2 国家工商总局商标局灾备项目 (16) 9.3国土资源部信访系统 (17) 9.4典型用户 (18) 十、产品资质 (19)
一、概述 深度操作系统将全球领先的技术和创新带入政府信息化建设和企业级信息技术基础架构,是当今国内增长最快的操作系统之一。许多政府和企业用户由于其易用性和可扩展性而选择深度操作系统,信息部门和运维部门则更重视深度操作系统提供给桌面终端的稳定性、安全性和灵活性。因为完全开放源代码和自下而上的自主研发,深度操作系统可以快速、轻松的增强和定制,而无需依赖国外厂家的产品维护周期。 深度操作系统服务器版提供对国产处理器与服务器的良好兼容,全面支持国产主流数据库、中间件和应用软件,并通过了工信部安全可靠软硬件测试认证,符合“自主可控”战略目标的要求,可以为国内电子政务、信息化管理等应用提供全国产一体化的架构平台。 深度操作系统服务器版通过对全生态环境的支撑,以及多应用场景解决方案的构建,能够满足企业级用户对服务器高稳定性、高可靠性、高可用性的要求。
二、深度操作系统服务器版 深度操作系统服务器版软件,是深度科技发布的符合POSIX系列标准和兼容LSB标准的服务器操作系统产品,广泛兼容各种数据库和应用中间件,支持企业级的应用软件和开发环境,并提供丰富高效的管理工具,体现了当今Linux服务器操作系统发展的最新水平。 深度操作系统服务器版软件,以安全可靠、高可用、高性能、易维护为核心关注点:基于稳定内核,对系统组件进行配置和优化,提升系统的稳定性和性能;在加密、认证、访问控制、内核参数等多方面进行增强,提高系统的整体安全性;提供稳定可靠的业务支撑,以及高效实用的运维管理,从容面对快速的业务增长和未来挑战。 产品分类产品名称 服务器操作系统产品深度操作系统服务器版软件(x86_64平台) 深度操作系统龙芯服务器版软件(龙芯平台,3B2000/3B3000等)深度操作系统申威服务器版软件(申威平台,1600/1610/1621等) 服务器应用软件产品 深度日志分析软件 深度高可用集群软件
CCC知识普及知识: 1、CCC代表什么意思? 认证标志的名称为“中国强制认证”(英文名称为“China Compulsory Certification”,英文缩写为“CCC”,也可简称为“3C”标志。) 2、认证的职能部门划分你了解吗? 3、CQC(中国质量认证中心)是一个什么组织?有何职责? 是一个检查机构,负责对CCC进行申请受理,工厂检查,证书发放,跟踪检查,申诉,投诉,暂停,撤消,注销证书工作 4、你了解CCC认证是什么时候实施吗? 2002年5月1日,中华人民共和国强制性产品认证制度开始正式实施。简称“CCC”标志认证。 5、实施CCC的意义是什么? 为保护广大消费者人身安全、保护动植物生命安全,保护环境、保护国家安全,依照法律法规实施的一种产品合格评定制度 6、CCC标志认证的基本流程是什么? 认证申请和受理;样品试验;初始工厂审查;认证结果评价和批准;获得认证后的监督7、认证制度的基本框架是什么? 一是认证制度的建立、二是认证的实施、三是对认证实施有效性的行政执法监督。制度的建立由中央政府负责,国家认监委负责按照法律法规和国务院的授权,协调有关部门建立国家强制性产品认证制度。指定的认证机构(如中国质量认证中心)在授权范围内承担具体产品的认证任务,向获证产品颁发CCC认证证书;地方质量技术监督局(如佛山市顺德区质量技术监督局)和各地出入境检验检疫局负责对国家要求认证的产品行政执法监督工作8、强制性产品认证的费用如何收取? 答:强制性产品认证的费用由国家统一制定。认证机构统一收取,由认证机构告知申请人应交纳的费用、金额以及银行帐号。认证费用不会因为认证申请人选择了不同的认证机构而导致费用的差异(工厂检查时检查员会告知,其它以电话、书信方式,国家部门的名义收费时应小心诈骗)。 9、工厂检查时合不合格所依据的标准是什么? 各产品认证实施细则及工厂质量保证能力要求(详细请参考各产品认证实施规则),相关国家标准及法律、法规,工厂检查结论分为4档,1档:工厂无不符合项目,通过;2档:工厂存在轻微的不符合项目,可以通过文件资料整改可以关闭的;3档需要通过审查小姐再次来工厂材料进行现场验证的,如计量证书失效的情况;4档:审厂不通过,如工厂生产或库存产品一致性存在问题,上次审厂提出的不符合项目没整改好,这次不能有效关闭等情况。 一、质量负责人必需知道的质量负责人是:__________ 1、产品送检时出现哪些不合格?如何整改的? 2、做为质量负责人,我有什么职责? a)负责建立满足规定要求的质量体系,并确保本文件的要求在工厂得到有效的实施 和保持; (就是建立一套满足CCC认证要求的文件制度、规程,如质量手册、各部门程序文件、工艺卡、作业指导书、生产设备的操作规程等,然后要求各部门及人员按文件要求执行,并保留执行的证据---记录) b)确保认证产品符合认证标准的要求并与已获型式试验合格样品一致;
卫士通证书密钥管理系统技术白皮书 公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N]
证书及密钥管理系统技术白皮书 Westone Host Security Module Serial White Paper 卫士通信息产业股份有限公司 Westone Information Industry Inc.
目录
前言 随着信息保障要求的不断提高,我们迫切需要一种能产生高质量随机数的发生设备。众所周知,密钥、密表的随机质量直接影响加密结果的安全性,而随机数作为密钥、密表的原始素材也就显得尤为重要。为此,卫士通信息产业股份有限公司于2003年研制成功了证书及密钥管理系统。 目前,许多银行、企事业单位安全系统已经不止一种安全产品应用于系统中。为各种安全产品分发密钥时,密钥的载体不相同(常用的存储密钥设备有存储卡、USBkey、智能IC卡);由于原有运行在PC机上的软件系统功能比较单一,一般是一种安全产品对应一套分发密钥的软件系统(发卡系统),这些已经越来越不适应发展的需要。为此,将不同设备分发密钥的软件系统制作成COM控件模块挂接到证书及密钥管理系统中,这样将大大提高设备本身的扩展性能和灵活性。
1产品概述 1.1产品简介 证书密钥管理系统(Manage System of Certificate & Key, 简称 MSCK)是卫士通信息产业股份有限公司自主研制的证书/密钥管理工具。该设备具有标准化、高安全、高可靠、高扩展性四大特性,其主要目是产生和分发密钥,及对用户信息和密钥进行管理,是专业的各类安全应用系统的密钥管理解决方案。 1.2产品组成 1.证书及密钥管理系统1台 2.智能IC卡4张 3.用户手册 1本 4.产品合格证1份 5.装箱清单 1份 1.3产品功能 证书及密钥管理系统主要功能如下: 系统管理 系统管理是MSCK的系统管理核心,包括系统用户和系统维护两大部分。系统用户是系统的管理者,负责和维护整个系统的正常运行。权限控制是主管对操 作员执行权限的控制。系统维护包括系统配置(系统备份和恢复)和日志管理 (登录日志和操作日志)两部分。 证书管理 证书管理是MSCK的证书管理核心,包括用户注册、注册审核、颁发证书、注销证书、证书发布和黑表发布六大部分。 密钥管理 密钥管理是MSCK的密钥管理核心,包括系统密钥和用户密钥两大部分。系统密钥包括主密钥、域密钥、主算法密表、主算法代码和保护算法密表。用户密 钥包括本地主密钥、RSA密钥对和保护算法密钥。
AS8000技术白皮书 1. 产品简介 浪潮AS8000存储系统是浪潮云时代DaaS存储产品的先导者,它传承了浪潮活性存储的产品设计理念,增加了云存储的技术内容,根据客户不同数据保护需求推出的业界领先的数据保护应用平台。在统一的管理系统中为客户提供异构虚拟化整合、业务连续保护、自动精简、无中断异构平台数据迁移、数据自动分层、持续数据保护、本地/异地容灾等高级功能,最大限度的保障用户数据安全,为不同需求的用户提供了多种级别的解决方案。 2. 产品优势 2.1 先进的系统架构设计 AS8000采用了全冗余架构、全模块化设计,无单点故障,保障业务系统持续运行; 标配两个DSE(Data System Engine)(active-active)引擎,可扩展为群集体系架构,实现多路径故障无缝自动切换、路径IO负载均衡的组网模式,并且随着节点的增加,系统性能线性增加; 丰富的扩展接口能够满足不同业务需求,充分保证了硬件的灵活性、可靠性
和扩展性; 实时监控设备运行状态,全方位的故障诊断机制,一目了然的硬件报警措施,极大的降低管理难度; 支持系统掉电保护 2.2 自动精简配置 存储资源的分配不再受存储物理空间大小的限制,实现100% 的随需分配; 当物理存储资源不足时,可在线实时扩容;降低初期IT 投入成本的同时,大幅度提高了资源使用效率。 2.3 容灾镜像保护 支持基于IP、FC的同步异步数据镜像,在异构存储间建立起本地或远程的数据容灾功能,打造数据级跨应用级容灾方案,实现数据零丢失; 支持多站点间的数据同步异步传输,建立大规模的全局数据容灾系统。 2.4 灵活的快照策略保护 可以基于虚拟系统或主机触发快照生成,用于备份、测试、数据挖掘等应用;增量的快照相比传统快照,空间缩减80%以上,有效降低系统负载。 2.5 持续数据保护 提供持续数据保护,可以将生产数据恢复到保护周期内的任意时间点,完全解决了连续快照方式只有有限时间点的弊端,实现真正意义上的持续数据保护。 2.6 便捷的管理 集中管理平台,对异构厂商存储设备实现统一管理; 支持FC SAN、IP SAN、NAS不同存储架构不同协议接入; 实时监控设备运行状态,全方位的故障诊断机制,一目了然的硬件报警措施,
姓名:工号:部门:日期: 3C 认证基础知识测试题 一、填空题(每空2 分,共30 分): 1.“ 3C”或“ CCC”的中文名是“”。 2.家用电器3C 认证包括认证和认证。 3.电磁兼容性是指设备产生的电磁能量。 4.写出3C 获证产品生产流程中各项工作的责任部门: a.材料的采购要符合关键零件清单要求-------------------------------责任部门; b.关键零件的材料来料检验要符合关键零件承认书要求-----------------责任部门; c.生产过程中对产品进行安规测试(即100%做高压、接地电阻测试)-----责任部门; d.对产品首件的关键零件、结构工艺、标志等进行一致性检查-----------责任部门; e.产品组装完成后对产品进行例行检验(即100%做高压、接地电阻测试)-责任部门; f.对成品的关键零件、结构工艺、标志等进行一致性抽查确认检验-------责任部门。 5.写出我们公司常见关键元件中的5 种:、、、、。 二、选择题。(每题5 分,共20 分) 1.3C 要求设备在正常使用或故障条件下均不出现危险,设计和结构要具备以下措施: ( ) A.防触电 B.防爆炸、防辐射 C.防过温升、防起火 D.防人身受机械不稳定性和运动部件的伤害 2.某获证机型的电压转换开关停产,要换新的开关,正确的做法是:() A.联络开发工程师确认新开关功能正常才可更改 B.采购寻找原厂商获得3C 认证的其它型号的新开关才可更改 C.采购寻找其它获得3C 认证的公司的新开关才可更改 D.联络3C 技术负责人对新开关进行报备、申请,获批才可更改 3.工厂内修理3C 获证产品发现电源开关坏了,以下正确的做法是:() A.用外形相似开关更换 B.用同厂商的其它外形相似开关更换 C.用同厂商、同规格、同型号开关更换 D.用其它获3C 认证的相似开关更换 4.3C 一致性要求,产品与标样一致,检查时要检查以下哪些项目?() A.关键零件的规格、型号、厂商一致 B.安全和电磁兼容的结构工艺一致 C.产品的认证标志、标识一致 D.产品功能良好 三、是非题:(正确填“√”,错误填“×”)(每题2 分,共20 分) 1、3C 认证模式为型式试验+初始工厂审查+获证后监督。() 2、3C 证书获得后,监督检查有问题也会导致证书被暂停或撤销。() 3、未获3C 认证的家用电器产品不能在中国市场销售。() 4、3C 获证产品关键零件的厂商、规格、型号必须提出变更报备、获批后才能更改。() 5、3C 认证证书获批后就可以永久使用。() 6、通过国际ISO9001 认证的公司的家用电器产品在中国市场销售无需通过3C 认证。() 7、工厂生产获证机器时,必须对其一致性进行检查并形成记录。() 8、3C 产品一致性就是指生产的产品要和标准样机一摸一样,包括材料、工艺等。() 9、工厂修理获证机器时,可用其它已获3C 认证的品牌的保险丝代换原保险丝。()
飞天开放平台技术白皮书
目录 文档图索引 (3) 1.概述 (4) 2. 体系架构 (5) 3. 飞天内核 (6) 4.分布式系统底层服务 (7) 4.1.协调服务(女娲) (7) 4.2.远程过程调用(夸父) (7) 4.3. 安全管理(钟馗) (8) 4.4. 分布式文件系统(盘古) (8) 4.5. 资源管理和任务调度(伏羲) (9) 4.6.集群监控和部署 (11)
文档图索引 图 1 飞天体系架构 (5)
1.概述 阿里云飞天开放平台是在数据中心的大规模Linux集群之上构建的一套综合性的软硬件系统,将数以千计的服务器联成一台“超级计算机”,并且将这台超级计算机的存储资源和计算资源,以公共服务的方式,输送给互联网上的用户或者应用系统。 阿里云致力于打造云计算的基础服务平台,注重为中小企业提供大规模、低成本的云计算服务。阿里云的目标是通过构建飞天这个支持多种不同业务类型的公有云计算平台,帮助中小企业在云服务上建立自己的网站和处理自己的业务流程,帮助开发者向云端开发模式转变,用方便、低廉的方式让互联网服务全面融入人们的生活,将网络济模式带入移动互联网,构建出以云计算为基础的全新互联网生态链。在此基础上,实现阿里云成为互联网数据分享第一平台的目标。
2. 体系架构 图 1 飞天体系架构 如图2.1所示是飞天的体系架构图。整个飞天平台包括飞天内核(图2.1中浅灰色组件)和飞天开放服务(图2.1中白色组件)两大组成部分。飞天内核为上层的飞天开放服务提供存储、计算和调度等方面的底层支持,对应于图2.1 中的协调服务、远程过程调用、安全管理、资源管理、分布式文件系统、任务调度、集群部署和集群监控模块。 飞天开放服务为用户应用程序提供了存储和计算两方面的接口和服务,包括弹性计算服务(Elastic Compute Service,简称ECS)、开放存储服务(OpenStorage Service,简称OSS)、开放结构化数据服务(Open Table Service,简称OTS)、关系型数据库服务(Relational Database Service,简称RDS)和开放数据处理服务(Open DataProcessing Service,简称ODPS),并基于弹性计算服务提供了云服务引擎(Aliyun Cloud Engine,简称ACE)作为第三方应用开发和Web应用运行和托管的平台。