只有建立了基于整个网络的、全面的统一身份认证系统，才能彻底解决门户网站的安全隐患。
统一身份认证平台是门户网站建设的基础,主要实现用户管理、身份认证、分级权限管理和单点登录等功能,以解决门户建设过程中用户定义模糊、用户身份组织零乱、交叉权限管理和应用系统出口多样性等棘手的问题。
统一认证三大部分
● 集成身份认证
门户网站的集成身份认证是指多个系统的用户账号、密码等信息资源集中在网站统一认证鉴权中心，各个系统以中心数据作为用户认证的唯一依据。用户可以通过相应接口来实现网站已有用户账号密码信息对于相关业务系统的共享，同时通过专有模块来进行各子系统权限控制。
● 单点登录（SSO）
网站系统的SSO是指以网站的统一认证（鉴权信息集中）为基础，各个数据业务系统的用户认证采用单点登录认证模式，一次登录即可在各个业务子系统中完成相应的认证工作。
● Passport会员服务
会员服务是指在网站统一认证的前提下，按照指定的规则将用户划分为不同用户群，可以为相关业务系统提供会员鉴权服务，还能为各个子系统定制不同的会员服务等级。
统一认证体系架构设计
● 系统架构与接口设计
门户网站的统一认证鉴权中心建议基于C/S模式设计，保障执行效率，并形成以J2EE为核心的应用体系构架，用DB+LDAP方式完成对用户各类信息的存储，可以保障存储和查询效率。
统一认证的核心问题是鉴权中心和各子系统之间的通信接口问题，用户认证接口协议可以基于标准化HTTP/HTTPS方式实现，使得第三方业务系统的接入不完全依赖于网络环境。
● 安全性设计
对于接入系统，认证中心接口协议调用采用HTTPS传输（128位SSL通道加密）的方式，通信安全问题将转化到HTTPS传输的安全性问题上，而对于HTTPS通道的攻击，可以由安全体系中监控管理单元的网络扫描等模块专门负责监控。
对于统一认证和SSO接口参数的信息安全，一方面网站可采用专有加密算法对参数内容进行加密，另一方面，可以采用IP认证策略来保证对接口双方的信任，系统通过通道安全和信息加密双保险的措施来保证统一认证体系的接口安全。
● 统一认证体系设计
统一认证鉴权中心面向用户端提供相应的应用服务模块，面向第三方系统提供相应的身份认证集成接口模块、单点登录集成接口模块、会员服务模块、后台管理模块。
用户单点登录系统（SSO）建议采用模块化的设计，包含功能模块、任务分发器模块、会话管理模块、会话密钥模块、平台管理模块、JAVA接口等多模块的设计，各功能模块得以相对独立，便于扩展和维护。这样可以使SSO流程最大限度地减少系统间数据交互，而平台本身的纵向扩展性和横向扩展性可以有效满足未来的扩容需求。
整个统一认证体系的设计核心在于和第三方系统的信息交互，因此必须考虑到未来第三方系统的横向扩充以及随着用户增长而造成的认证体系和第三方系统信息交互的纵向增长。这些都要求整个系统需具有良好性能和可扩展性，对于用户的增长以及接入子系统的增加等问题，可以由服务器的良好扩展性解决。

（c112）