宽带门户网站身份认证系统设计

　　摘 要 研究了湖南铁通宽带门户网站身份认证系统的功能需求，从统一认证、认证安全性和通用性等方面提出了一套全面的解决方案。方案利用集中用户管理实现统一认证；利用“一次一密”，两次认证的方式实现良好的安全性；利用WEB SERVICES架构实现系统的通用性。

　　关键词 统一身份认证；时间戳；Web Services

　　背景

　　在以前，宽带的速度是吸引用户的根本原因。当宽带用户以前所未有的速度成倍增长的时候，价格和速度已不是影响网民上网的主要因素，没有丰富的内容用户就不能真正享受“宽带之旅”。湖南铁通从各个不同的内容提供商手中获得多种内容服务，这些服务在窄带情况下用户享用起来比较困难，比如在线下载、VOD点播、在线游戏等。然后通过宽带门户网站进行集成，再提供给用户。用户通过访问宽带门户网站可以享受到多种内容服务。要想从用户处获取使用内容的费用，宽带门户网站就必须要有一个良好的认证计费系统，本文主要阐述身份认证系统的设计。

　　身份认证系统的目标功能

　　通过对整个宽带门户网站的需求分析，确定了身份认证系统必须具备以下的功能：

　　a)提供统一的认证途径。宽带门户网站的各个内容服务系统是从不同的内容提供商手中获得的，每个系统都有各自的用户系统和认证方式。让用户每访问一个内容服务系统就需要登录一次，显然是用户难以接受的认证方式。因此身份认证系统要提供一个统一的身份认证，让用户一次登录，可以访问全网的资源

　　b)系统具有良好的可扩展性和可集成性。宽带门户网站在发展过程中还会不断地提供新的内容服务，这就要求身份认证系统具有良好的扩展性和可集成性，不仅能支持现有的内容业务系统及其现有的用户系统，当有新的内容业务系统被部署或开发的时候，这个统一身份认证服务可以作为它的身份认证模块的形式工作，也就是说，新的内容业务系统可以不自带用户系统，可以通过集成该服务的形式来实现等价的功能。

　　c)系统提供跨平台认证的功能。各个内容业务系统各有特点，分别运行在不同的平台上，都要能和身份认证系统交互，这就要求身份认证系统提供跨平台认证的功能。

　　d)系统具有良好的安全性。由于使用内容业务系统，用户要付费，身份认证系统要保障用户的安全。

　　解决方案

　　1、统一认证的两种方式

　　统一身份认证系统的核心思想是将用户统一存储,对应用系统统一授权,规范内容业务系统的用户认证方式,从而达到提高整个系统的整体性、可管理性和安全性的效果。内容业务系统要想判断某一用户是否可以访问自己，必须和身份认证系统进行交互。由身份认证系统负责对用户进行集中认证。

　　用户访问内容服务系统可以有两种方式：通过宽带门户网站访问内容服务系统，或者是直接访问内容服务系统。根据这两种访问方式身份认证系统要提供两种认证方式。

　　第一种认证方式：用户直接登陆内容业务系统，内容业务系统将用户提供的用户名/密码等转发给统一身份认证服务以检验其是否通过授权。流程如图1所示

图1 第一种身份认证方式

　　第二种认证方式：用户首先登录统一身份认证系统，验证其是否为合法注册用户，如果是合法用户可获取权限值。由于合法用户不一定开通了所有的内容服务，所以使用这个权限值访问内容业务系统时，内容业务系统将根据该权限值与统一身份认证服务进行交互，以检验访问的合法性。流程如图2所示

图2 第二种身份认证方式