中國互聯網十多年發展，門戶網站也走過了幾個階段。門戶網站發展的初期，各門戶網站不約而同地在內容上和功能上發力，爭相提供新聞、BBS、電子郵件、搜索等基礎性服務。各增值業務系統用戶的急劇增加和分散管理使得門戶網站的管理和維護成本不斷增加，每日大量用戶的登錄和網絡活動，其口令等敏感信息的安全性傳輸和存儲問題也日益突出，這些問題直接影響著網站整體運營質量和安全性。
以上問題在當今競爭激烈的門戶網站運營市場是一個非常普遍性的問題。誰先解決這些問題，誰就先贏得商機。對于快速發展的門戶網站，建立一套高效、穩定的統一身份認證系統刻不容緩。以下以湖北某ASP的門戶網站建設為例加以說明。

需求描述
該門戶網站是一個集新聞、電子郵件、短信以及各種網絡增值業務和無線資訊為一體的綜合平臺。同時，視頻點播（VOD）、小靈通充值等多個電信增值業務系統也正規劃引入平臺內。目前，該門戶網站總用戶數在100萬左右，但是沒有統一的用戶管理，各個業務系統相互獨立。用戶每次在訪問各業務系統時都需要以用戶名/口令的方式進行登錄認證。用戶需要記憶多個帳戶和口令，在使用時需要多次輸入，給用戶帶來了很大不便。同時，用戶的登錄認證采用明文方式傳輸，容易造成口令等敏感信息的泄露、竊取，給業務系統帶來安全威脅。
綜合多方考慮，該門戶網站決定在對現有的網絡結構不做大的改動的前提下，增加一定的設備和系統，構建統一身份認證平臺，為異構業務系統提供統一的身份認證和綜合的安全服務，以實現系統資源的整合、用戶的統一管理和認證、多業務系統的單點登錄，提升門戶網站的管理和運營水平。

解決方案
根據該門戶網站的具體情況及SSO技術，北京時代億信公司提供了集身份認證、單點登錄、集中管理和安全通道為一體的解決方案。統一身份認證平臺由管理系統、認證服務器、認證數據庫以及業務系統的認證前置程序組成。實施統一認證后系統的網絡結構如下圖所示： 

圖1

在現有的系統結構中需要增加數據庫服務器和認證服務器兩部分，同時在各業務系統上需要部署認證接入前置程序。
綜合該門戶網站的現狀考慮，建議統一身份認證系統的WEB/應用服務器通過兩臺以上主機做Cluster進行負載均衡，認證服務器和數據庫服務器分別用兩臺主機進行主從熱備。

具體應用
時代億信為該門戶網站構建統一的管理平臺，增加了以下內容：
1、門戶通行證和注冊入口：首先用戶通過在平臺上注冊信息，成為平臺用戶。通過門戶通行證登錄門戶系統，經平臺認證的用戶可以根據自己權限訪問各個具體的業務系統，而且用戶在通過平臺認證后，只要IE瀏覽沒有關閉，用戶可在各業務系統間隨意切換，不需要再次的輸入用戶登錄信息，給網站用戶帶來了極大的方便。認證原理如下圖所示：

圖2 系統認證原理

2、門戶中增加平臺管理系統：平臺管理系統基于WEB方式來完成，主要包括：用戶管理、業務系統及其配置管理、訪問控制管理、監控與日志。
3、門戶系統增加用戶與業務系統帳戶的Mapping頁面：用戶在使用門戶通行證登錄門戶后，第一次訪問業務系統時，需要完成與業務系統帳戶的映射（mapping），該頁面根據認證平臺中業務系統的配置自動生成。
4、門戶首頁中各業務系統的鏈接地址更改為虛擬地址：實施統一認證后，門戶首頁中的各業務系統鏈接地址均改為虛擬地址，用戶點擊該地址時，平臺首先檢查用戶是否已登錄門戶通行證，如果沒有則跳轉到門戶通行證的登錄頁面，登錄后在再通過認證服務器和業務系統認證前置程序之間的SSL加密通道自動認證，直接進入要訪問的業務系統。
改造后的門戶網站系統，實現了一下功能：
資源整合：認證平臺以資源整合為中心，通過平臺的管理系統和數據庫，統一用戶資源和各增值業務系統，實現用戶的統一管理和訪問控制，實現各系統資源的統籌管理。
身份認證和單點登錄：認證平臺通過統一的用戶帳戶對用戶身份進行認證，在通過平臺認證后，用戶可直接訪問各個業務系統，實現用戶身份認證信息的共享，從而達到多業務系統的單點登錄。
安全通道：認證平臺提供兩種安全通道：一種是單向SSL加密，一種是雙向SSL加密安全通道，充分保證登錄認證過程和業務系統訪問過程的安全性。

方案特點
對現有的網絡架構改動較小，不影響現有的業務運行；
實現了對多個業務系統的用戶統一身份認證、單點登錄和訪問控制；
實現了認證過程中用戶帳戶信息的安全傳輸；
系統的部署實施簡便，且有強大的管理功能；
系統易于擴展，增加新的業務系統不影響其他業務系統的正常運行。
用戶操作使用方便，形式上易于接受。