中國互聯(lián)網(wǎng)十多年發(fā)展,門戶網(wǎng)站也走過了幾個階段。門戶網(wǎng)站發(fā)展的初期,各門戶網(wǎng)站不約而同地在內(nèi)容上和功能上發(fā)力,爭相提供新聞、BBS、電子郵件、搜索等基礎(chǔ)性服務(wù)。各增值業(yè)務(wù)系統(tǒng)用戶的急劇增加和分散管理使得門戶網(wǎng)站的管理和維護(hù)成本不斷增加,每日大量用戶的登錄和網(wǎng)絡(luò)活動,其口令等敏感信息的安全性傳輸和存儲問題也日益突出,這些問題直接影響著網(wǎng)站整體運營質(zhì)量和安全性。
以上問題在當(dāng)今競爭激烈的門戶網(wǎng)站運營市場是一個非常普遍性的問題。誰先解決這些問題,誰就先贏得商機。對于快速發(fā)展的門戶網(wǎng)站,建立一套高效、穩(wěn)定的統(tǒng)一身份認(rèn)證系統(tǒng)刻不容緩。以下以湖北某ASP的門戶網(wǎng)站建設(shè)為例加以說明。
需求描述
該門戶網(wǎng)站是一個集新聞、電子郵件、短信以及各種網(wǎng)絡(luò)增值業(yè)務(wù)和無線資訊為一體的綜合平臺。同時,視頻點播(VOD)、小靈通充值等多個電信增值業(yè)務(wù)系統(tǒng)也正規(guī)劃引入平臺內(nèi)。目前,該門戶網(wǎng)站總用戶數(shù)在100萬左右,但是沒有統(tǒng)一的用戶管理,各個業(yè)務(wù)系統(tǒng)相互獨立。用戶每次在訪問各業(yè)務(wù)系統(tǒng)時都需要以用戶名/口令的方式進(jìn)行登錄認(rèn)證。用戶需要記憶多個帳戶和口令,在使用時需要多次輸入,給用戶帶來了很大不便。同時,用戶的登錄認(rèn)證采用明文方式傳輸,容易造成口令等敏感信息的泄露、竊取,給業(yè)務(wù)系統(tǒng)帶來安全威脅。
綜合多方考慮,該門戶網(wǎng)站決定在對現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)不做大的改動的前提下,增加一定的設(shè)備和系統(tǒng),構(gòu)建統(tǒng)一身份認(rèn)證平臺,為異構(gòu)業(yè)務(wù)系統(tǒng)提供統(tǒng)一的身份認(rèn)證和綜合的安全服務(wù),以實現(xiàn)系統(tǒng)資源的整合、用戶的統(tǒng)一管理和認(rèn)證、多業(yè)務(wù)系統(tǒng)的單點登錄,提升門戶網(wǎng)站的管理和運營水平。
解決方案
根據(jù)該門戶網(wǎng)站的具體情況及SSO技術(shù),北京時代億信公司提供了集身份認(rèn)證、單點登錄、集中管理和安全通道為一體的解決方案。統(tǒng)一身份認(rèn)證平臺由管理系統(tǒng)、認(rèn)證服務(wù)器、認(rèn)證數(shù)據(jù)庫以及業(yè)務(wù)系統(tǒng)的認(rèn)證前置程序組成。實施統(tǒng)一認(rèn)證后系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示:
 |
| 圖1 |
在現(xiàn)有的系統(tǒng)結(jié)構(gòu)中需要增加數(shù)據(jù)庫服務(wù)器和認(rèn)證服務(wù)器兩部分,同時在各業(yè)務(wù)系統(tǒng)上需要部署認(rèn)證接入前置程序。
綜合該門戶網(wǎng)站的現(xiàn)狀考慮,建議統(tǒng)一身份認(rèn)證系統(tǒng)的WEB/應(yīng)用服務(wù)器通過兩臺以上主機做Cluster進(jìn)行負(fù)載均衡,認(rèn)證服務(wù)器和數(shù)據(jù)庫服務(wù)器分別用兩臺主機進(jìn)行主從熱備。
具體應(yīng)用
時代億信為該門戶網(wǎng)站構(gòu)建統(tǒng)一的管理平臺,增加了以下內(nèi)容:
1、門戶通行證和注冊入口:首先用戶通過在平臺上注冊信息,成為平臺用戶。通過門戶通行證登錄門戶系統(tǒng),經(jīng)平臺認(rèn)證的用戶可以根據(jù)自己權(quán)限訪問各個具體的業(yè)務(wù)系統(tǒng),而且用戶在通過平臺認(rèn)證后,只要IE瀏覽沒有關(guān)閉,用戶可在各業(yè)務(wù)系統(tǒng)間隨意切換,不需要再次的輸入用戶登錄信息,給網(wǎng)站用戶帶來了極大的方便。認(rèn)證原理如下圖所示:
 |
| 圖2 系統(tǒng)認(rèn)證原理 |
2、門戶中增加平臺管理系統(tǒng):平臺管理系統(tǒng)基于WEB方式來完成,主要包括:用戶管理、業(yè)務(wù)系統(tǒng)及其配置管理、訪問控制管理、監(jiān)控與日志。
3、門戶系統(tǒng)增加用戶與業(yè)務(wù)系統(tǒng)帳戶的Mapping頁面:用戶在使用門戶通行證登錄門戶后,第一次訪問業(yè)務(wù)系統(tǒng)時,需要完成與業(yè)務(wù)系統(tǒng)帳戶的映射(mapping),該頁面根據(jù)認(rèn)證平臺中業(yè)務(wù)系統(tǒng)的配置自動生成。
4、門戶首頁中各業(yè)務(wù)系統(tǒng)的鏈接地址更改為虛擬地址:實施統(tǒng)一認(rèn)證后,門戶首頁中的各業(yè)務(wù)系統(tǒng)鏈接地址均改為虛擬地址,用戶點擊該地址時,平臺首先檢查用戶是否已登錄門戶通行證,如果沒有則跳轉(zhuǎn)到門戶通行證的登錄頁面,登錄后在再通過認(rèn)證服務(wù)器和業(yè)務(wù)系統(tǒng)認(rèn)證前置程序之間的SSL加密通道自動認(rèn)證,直接進(jìn)入要訪問的業(yè)務(wù)系統(tǒng)。
改造后的門戶網(wǎng)站系統(tǒng),實現(xiàn)了一下功能:
資源整合:認(rèn)證平臺以資源整合為中心,通過平臺的管理系統(tǒng)和數(shù)據(jù)庫,統(tǒng)一用戶資源和各增值業(yè)務(wù)系統(tǒng),實現(xiàn)用戶的統(tǒng)一管理和訪問控制,實現(xiàn)各系統(tǒng)資源的統(tǒng)籌管理。
身份認(rèn)證和單點登錄:認(rèn)證平臺通過統(tǒng)一的用戶帳戶對用戶身份進(jìn)行認(rèn)證,在通過平臺認(rèn)證后,用戶可直接訪問各個業(yè)務(wù)系統(tǒng),實現(xiàn)用戶身份認(rèn)證信息的共享,從而達(dá)到多業(yè)務(wù)系統(tǒng)的單點登錄。
安全通道:認(rèn)證平臺提供兩種安全通道:一種是單向SSL加密,一種是雙向SSL加密安全通道,充分保證登錄認(rèn)證過程和業(yè)務(wù)系統(tǒng)訪問過程的安全性。
方案特點
對現(xiàn)有的網(wǎng)絡(luò)架構(gòu)改動較小,不影響現(xiàn)有的業(yè)務(wù)運行;
實現(xiàn)了對多個業(yè)務(wù)系統(tǒng)的用戶統(tǒng)一身份認(rèn)證、單點登錄和訪問控制;
實現(xiàn)了認(rèn)證過程中用戶帳戶信息的安全傳輸;
系統(tǒng)的部署實施簡便,且有強大的管理功能;
系統(tǒng)易于擴展,增加新的業(yè)務(wù)系統(tǒng)不影響其他業(yè)務(wù)系統(tǒng)的正常運行。
用戶操作使用方便,形式上易于接受。
