一、应用背景

计算机和网络技术的迅速发展推动了企业或组织的信息化建设。然而，随着系统和人员的不断增加，骇客技术的迅速发展，应用系统使用的安全问题也愈见突出。目前针对应用系统的保护主要是针对网络边界安全的，如防火墙、入侵检测等，但是对系统的非授权访问和安全管理，则显得手段有限，有报道指出，80%的攻击来自网络系统内部，据近几年的频发案件，应用系统的使用普遍存在如下问题：

1. 身份认证的问题：目前各应用系统的身份认证方式大部份都是通过用户名和静态口令登陆系统，但静态口令本身存在极大安全隐患，易被截获和分析；猜测和破解；泄漏的机率大。一旦口令被他人所用，便可访问其没有权限的应用系统，使得机密信息被他人非法获取。甚至有些帐号和口令多人使用，在发生安全事故时，难于确定责任，而且平时也难于对帐号的扩散范围进行控制，容易造成各种安全漏洞。

2. 帐号管理问题：应用系统及企业IT设备越来越多，各系统及设备各自独立，都有各自一套独立的用户帐号管理模块，这些帐号各自独立，极易造成帐号管理混乱，并会给系统管理埋下安全隐患。

3. 访问控制的问题：各应用系统缺乏一个统一的访问控制入口，每个系统独立对外开放地址和端口以提供访问，系统管理员直接在各个系统上为增删用户并对其进行授权，随着系统的增多，无疑会增加非法人员进入系统的途径。

4. 系统登陆的问题：随着应用系统的增多，使用户经常需要在各处系统间切换，需要频繁输入用户名、口令进行登陆，给用户的工作带来了不便，影响工作效率。有些人员将多个系统设置成同一口令，危害到了应用系统的安全性。

5. 系统审计的问题：目前各个应用系统的审计也是独立的，缺乏集中统一的访问审计系统，对访问应用系统的人员和行为进行审计分析，及早发现在每个系统上的入侵行为。

6. 安全管理的问题：目前企业和组织中的各应用系统独立维护一套认证，授权和审计系统，并且由相应的管理员进行管理和维护，当系统增多时，系统管理员的工作复杂度会成倍增加，尤其是花费大量的时间在增加和删除用户，修改密码。并会往往会因为忘记将一个离职员工从系统中解除其权限，而造成极大的安全风险。

面对上述问题，各企业和组织不能再单纯满足应用系统能提供的功能，还应采取安全措施来保证系统访问和管理的安全性。尤其是各上市公司面临国外企业和法案的压力，更要在企业内部加强对重要业务系统的安全访问，以免重要信息被外部人员或是内部员工的非法获取或是篡改，以影响其在国际市场上的发展。

二、功能架构

系统支持数字证书认证用户身份，并提供单点登录，单点退出功能。

系统提供对第三方CA的路由功能，为用户签发可信的身份证书。

系统支持标准的签名验签接口，并提供大容量密钥的存储。

三、实施效益

工作效率提高：单点登录的实现提高了员工的工作效率，提高了使用应用系统的方便性。

增加了安全性：减少了因密码问题而带来的安全风险，不同的增强的身份认证也增加了安全性。

降低管理成本：减少了管理员的管理成本和工作强度，使得信息化工作人员可以投入到更多有意义的IT建设工作中。

实施风险最少：本系统的技术特点最大的保障了单点登录工程在短期内成功的实现，避免了部门间协调的麻烦和实施周期长而带来的经济损失。

投资利用率高：本系统采用的先进技术体系，为后续的应用开发提供了统一的用户身份权限管理框架，投资后利用率高，并且可扩展性好，可满足企事业单位不同发展阶段的需求。一次投资可长期使用，所有系统使用。

统一制证：用户只需要对接本系统的制证接口，有本系统负责对接第三方CA的业务系统，后期更换CA,客户端业务系统无需更改代码，可以做到无缝切换，降低对接成本。