CA单点登录系统 – 合力金智

单点登录系统采用基于数字证书的加密和数字签名技术，对用户实行集中统一的管理和身份认证，并作为各应用系统的统一登录入口，同时为通过身份认证的合法用户签发针对各个应用系统的属性令牌（包含用户身份、权限等信息），从而实现“一点登录、多业务漫游”。

单点登录系统能够与统一权限管理系统实现无缝结合，签发合法用户的属性令牌，从而能够使合法用户进入其权限范围内的各应用系统，并执行符合其权限的操作。

1身份认证：

基于CA签发的数字证书，采用高强度的加密和数字签名技术。身份认证系统分为客户端和服务器端两部分，服务器端配置有用于标明平台系统服务器身份的数字证书；客户端则需要登录用户使用本人的数字证书，并能够与浏览器实现无缝的结合。
2 Web 环境的单点登录：

用户必须登录而且只需登录一次，系统可与 Web 应用集成，将一个用户的登录信息传送给各个应用系统，访问授权访问的基于 Web 的资源和应用。

3集中的授权管理：

通过属性令牌提供集中的权限管理控制。属性令牌包含用户的身份类别（个人用户或单位用户）、业务信息（定购的服务）、权限信息（访问应用系统的权限）等，可以根据具体应用的需要增加对用户其他权限信息的扩充。

4集中的安全策略管理：

建立一个整体的安全管理策略。所有安全策略的定制、修改和删除等操作都通过一个统一的平台来完成，从而达到统一管理企业内部安全策略的目标。

Ukey写入管理

5访问的记录和审计：

系统使用标准格式记录所有的访问尝试并生成易读的报告，并可以安全地被传输到一个第三方数据库系统之中，通过这些数据可以实现审计、跟踪和取证。

采用基于 PKI 技术的身份认证方式， PKI 是解决互联网上信任问题的最佳方案，它通过数字证书标识网上各方的真实身份，保证了身份的真实有效性：

● 集中管理用户信息

各应用系统可以根据需要省去各自的用户管理功能

● 用户一次登录，全网漫游

实现了集中的身份认证和不同信任域间的跨域访问认证

● 细粒度的权限控制和集中授权

● 方便用户使用

并对用户透明

● 高度开放性

连接的应用系统可以根据需要进行扩展

● 系统采用 B/S 结构，

遵循 HTTP 协议，方便与各应用系统的连接

● 安全标准规范

系统在加密和签名算法以及数字证书方面均遵循相应的安全技术标准

● 安全性高

高度安全性，对称算法密钥长度为 128 位，非对称算法密钥长度为 1024 位

● 系统审计日志

提供详细的系统审计日志

采用X.509v3标准证书
支持各种浏览器

Netscape Navigator，Microsoft Internet Explore 等。

用户数字证书

数字证书的存储介质有USB Key、IC卡、计算机嵌入认证等。

● 操作系统：Windows server

● 数据库：Oracle11g、mysql、sqlserver