中国电信目前的网上营业厅、Wap营业厅、10000号、自助终端等渠道接触系统存在多种形式的账号密码认证体系,有基于客户标识及客户密码的认证,有基于产品标识及产品密码的认证,有基于账户的认证,客户在使用时需要记忆多套账号密码,不利于客户的操作使用体验。另外,这多种形式的账号密码数据存储在CRM系统之内,客观上使得CRM系统除了完成业务运营支撑功能之外,还需要为渠道接触系统提供客户、帐户、产品等实体的认证服务,从而加重CRM系统的负担。建设统一认证系统为上述渠道接触系统提供集中认证服务和单点登录功能,减轻CRM系统负担,提高客户访问渠道系统的操作使用体验。本文介绍中国电信客户统一认证系统平台(以下简称统一认证系统)的设计和实现。根据中国电信渠道系统和业务应用平台的现状,提出基于安全断言标记语言(SAML,Security Assertion Markup Language)规范,利用服务器端保存令牌Token和产生断言的机制实现统一认证系统。本文首先介绍了SAML规范协议和身份联邦互信体系,结合SAML和联邦互信探讨了统一认证系统的实现原理和系统间单点登录的交互流程。然后介绍了统一认证系统基础数据同步接口的设计,统一认证系统正是通过数据同步接口从CRM系统实时得到账号密码等认证数据,从而可以为渠道系统提供集中认证服务。接着介绍了集中认证服务的设计实现,集中认证服务的本质是对账号密码进行认证。最后介绍了单点登录功能的设计和实现,包括服务器端令牌token的产生、维持、注销功能的原理和实现、断言信息产生和查询功能,以及客户端和服务器端之间凭证票据信息的加密、传输和解密功能的原理和实现。本文最后介绍了统一认证系统的测试情况和应用情况。经过功能测试和性能测试,统一认证系统达到了设计标准,现已上线运行为广东电信网上营业厅等渠道系统提供集中认证服务和单点登录功能。