【IT168 资讯】概述

　　中国互联网十多年发展，门户网站也走过了几个阶段。门户网站发展的初期，各门户网站不约而同地在内容上和功能上发力，争相提供新闻、BBS、电子邮件、搜索等基础性服务。各增值业务系统用户的急剧增加和分散管理使得门户网站的管理和维护成本不断增加，每日大量用户的登录和网络活动，其口令等敏感信息的安全性传输和存储问题也日益突出，这些问题直接影响着网站整体运营质量和安全性。

　　以上问题在当今竞争激烈的门户网站运营市场是一个非常普遍性的问题。谁先解决这些问题，谁就先赢得商机。对于快速发展的门户网站，建立一套高效、稳定的统一身份认证系统刻不容缓。北京时代亿信科技有限公司基于多年安全认证系统的研发和验证，为门户网站提供安全易用的统一身份认证方案，以下以湖北某ASP的门户网站建设为例加以说明。

　　需求描述

　　该门户网站是一个集新闻、电子邮件、短信以及各种网络增值业务和无线资讯为一体的综合平台。同时，视频点播（VOD）、小灵通充值等多个电信增值业务系统也正规划引入平台内。目前，该门户网站总用户数在100万左右，但是没有统一的用户管理，各个业务系统相互独立。用户每次在访问各业务系统时都需要以用户名/口令的方式进行登录认证。用户需要记忆多个帐户和口令，在使用时需要多次输入，给用户带来了很大不便。同时，用户的登录认证采用明文方式传输，容易造成口令等敏感信息的泄露、窃取，给业务系统带来安全威胁。

　　综合多方考虑，该门户网站决定在对现有的网络结构不做大的改动的前提下，增加一定的设备和系统，构建统一身份认证平台，为异构业务系统提供统一的身份认证和综合的安全服务，以实现系统资源的整合、用户的统一管理和认证、多业务系统的单点登录，提升门户网站的管理和运营水平。

　　解决方案

　　时代亿信根据该门户网站的具体情况及SSO技术，提供了集身份认证、单点登录、集中管理和安全通道为一体的解决方案。统一身份认证平台由管理系统、认证服务器、认证数据库以及业务系统的认证前置程序组成。实施统一认证后系统的网络结构如下图所示：

　　在现有的系统结构中需要增加数据库服务器和认证服务器两部分，同时在各业务系统上需要部署认证接入前置程序。

　　综合该门户网站的现状考虑，建议统一身份认证系统的WEB/应用服务器通过两台以上主机做Cluster进行负载均衡，认证服务器和数据库服务器分别用两台主机进行主从热备。

　　具体应用

　　时代亿信为该门户网站构建统一的管理平台，增加了以下内容：

　　1> 门户通行证和注册入口：首先用户通过在平台上注册信息，成为平台用户。通过门户通行证登录门户系统，经平台认证的用户可以根据自己权限访问各个具体的业务系统，而且用户在通过平台认证后，只要IE浏览没有关闭，用户可在各业务系统间随意切换，不需要再次的输入用户登录信息，给网站用户带来了极大的方便。认证原理如下图所示：

　　图2 系统认证原理

　　2> 门户中增加平台管理系统：平台管理系统基于WEB方式来完成，主要包括：用户管理、业务系统及其配置管理、访问控制管理、监控与日志。

　　3> 门户系统增加用户与业务系统帐户的Mapping页面：用户在使用门户通行证登录门户后，第一次访问业务系统时，需要完成与业务系统帐户的映射（mapping），该页面根据认证平台中业务系统的配置自动生成。

　　4> 门户首页中各业务系统的链接地址更改为虚拟地址：实施统一认证后，门户首页中的各业务系统链接地址均改为虚拟地址，用户点击该地址时，平台首先检查用户是否已登录门户通行证，如果没有则跳转到门户通行证的登录页面，登录后在再通过认证服务器和业务系统认证前置程序之间的SSL加密通道自动认证，直接进入要访问的业务系统。

　　改造后的门户网站系统，实现了一下功能：

　　 资源整合：认证平台以资源整合为中心，通过平台的管理系统和数据库，统一用户资源和各增值业务系统，实现用户的统一管理和访问控制，实现各系统资源的统筹管理。

　　 身份认证和单点登录：认证平台通过统一的用户帐户对用户身份进行认证，在通过平台认证后，用户可直接访问各个业务系统，实现用户身份认证信息的共享，从而达到多业务系统的单点登录。

　　 安全通道：认证平台提供两种安全通道：一种是单向SSL加密，一种是双向SSL加密安全通道，充分保证登录认证过程和业务系统访问过程的安全性。

　　方案特点

　　 对现有的网络架构改动较小，不影响现有的业务运行；

　　 实现了对多个业务系统的用户统一身份认证、单点登录和访问控制；

　　 实现了认证过程中用户帐户信息的安全传输；

　　 系统的部署实施简便，且有强大的管理功能；

　　 系统易于扩展，增加新的业务系统不影响其他业务系统的正常运行。

　　 用户操作使用方便，形式上易于接受。