近年来,门户系统(网站)建设已经成为一种趋势,具有长远眼光的企业纷纷开始建设自己的企业门户。但门户系统的建设是一项覆盖面广的、大型复杂的系统工程,它与传统的公共信息网站相比,需支持更多的接入方式,提供单点登录、信息集成和应用集成、个性化服务、搜索功能等特性,而这些复杂的应用对门户的安全提出了更高挑战。一方面是由于门户系统自身的复杂性,单一的安全技术是无法保证门户系统的安全造成的,另一方面由于门户系统的开放性,需要在互联网上开放一些Web服务,将原本内部的信息暴露出去,又没有进行适当的保护造成的。因此,设计一个安全的企业门户具有比较重要的理论研究意义和现实的社会应用价值。本文的研究以国家发改委项目——重庆港务物流集团的门户项目为背景,针对该集团现有信息应用系统孤立、封闭的现状,建立了重庆港综合物流门户系统,实现用户单点登录,以及信息、资源的集成和共享。在此基础之上,对门户系统的安全包括加密技术、身份认证、单点登录、PKI公钥设施等进行了深入研究,以提高门户系统的安全性,完善重庆港门户系统的建设。本文针对现有门户安全方案的优缺点,提出了一种基于PKI的门户安全方案。该方案涉及了PKI的使用、信息加密签名、客户端验证、服务器端验证、会话管理等技术。其中,PKI公钥设施为系统信息加密签名、身份验证提供服务,为了简化PKI的使用,本文采用PKI代理方式,既简化了PKI系统的使用,又实现了门户系统与PKI系统解耦;针对本系统传输大量的XML格式数据,系统中的信息加密签名使用了WS-Security规范,并将数据加密分成长信息加密和短消息加密两种方式加密;客户端验证通过引入了USB Key验证机制增强了系统的接入安全;服务器端验证保证了用户的登录信息在不同应用系统之间安全交互,使得通过身份验证的用户可以无缝的访问各个业务系统的数据资源;会话管理为用户安全地保存了与门户系统会话过程中的上下文,维护用户的会话状态,本文通过对SSO票据和Cookie的保护,保护用户的会话状态。以上技术涵盖了门户安全的各个方面,方案通过对这些技术的使用,保证了用户从开始登录门户,到使用门户,最后注销退出门户的整个过程的安全。由于门户安全的复杂性,本论文采用从局部到整体的方法研究了门户的安全。首先,分别对各个部分的安全技术进行研究,然后将这些研究成果融合成一个整体,这样避免了在研究的初期陷入到纷繁复杂的门户技术中去,可以很快的进入研究主题。通过以上研究,作者设计出一种基于PKI的门户安全方案,并与重庆港门户系统项目结合,完成模型实现。该门户系统于09年初正式通过发改委的验收,已经完全交付用户使用。目前,该系统运行情况良好,给重庆港上下员工的日常工作带来很大的便利,提高了工作效率,得到客户一致好评。