产品描述:

   随着信息化的迅猛发展，政府、企业、机构等不断增加基于 Internet/Intranet 的业务系统，如各类网上申报系统，网上审批系统， OA 系统等。系统的业务性质，一般都要求实现用户管理、身份认证、授权等必不可少的安全措施；而新系统的涌现，在与已有系统的集成或融合上，特别是针对相同的用户群，会带来以下的问题：

   单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证，实现“一点登录、多点漫游”的目标，方便用户使用。

适用范围:

系统概述:

   单点登录系统采用基于数字证书的加密和数字签名技术，对用户实行集中统一的管理和身份认证，并作为各应用系统的统一登录入口，同时为通过身份认证的合法用户签发针对各个应用系统的登录票据，从而实现“一点登录、多点漫游”。

   必要时，单点登录系统能够与统一权限管理系统实现无缝结合，签发合法用户的权限票据，从而能够使合法用户进入其权限范围内的各应用系统，并完成符合其权限的操作。

   一个完整的单点登录系统包括身份认证系统、票据签发系统和票据解析系统三部分。它的系统逻辑结构图如下：

单点登录系统的工作流程如下：

系统功能:

  •  身份认证

   单点登录系统的身份认证系统采用基于北京数字证书认证中心颁发的数字证书技术，符合国际上通行的 X.509 标准，透明的支持 PKI 。

   身份认证系统分为客户端和服务器端两部分，服务器端配置有用于标明应用系统服务器身份的数字证书；客户端则需要登录用户使用本人的数字证书，并能够与浏览器实现无缝的结合。用户数字证书的存储介质有磁盘、 IC 卡、 USB Key 等。

   身份认证过程中采用高强度的加密和数字签名技术，保证了用户身份的真实性、保密性以及不可否认性。

  •  票据签发

   单点登录系统的票据签发系统使用高强度的加密和数字签名技术，对用户的登录票据进行加密和数字签名，保证票据的机密性、完整性和签发方身份的不可否认性。

   用户的登录票据中包含用户的身份类别（个人用户或单位用户）、基本信息（对个人用户有姓名、性别、证件类型、证件号码、电话、 Email 等，对单位用户有单位名称、单位组织机构代码、单位地税登记号、单位工商登记号、单位地址、单位联系电话等）等，必要时可以根据具体的应用系统需要增加用户的一些其他信息比如权限信息等。

   用户的登录票据分别针对具体的应用系统，并使用对应于该应用系统的数字证书进行加密，只有该应用系统才能对其进行解密，防止了用户信息泄漏给无关的应用系统。

•  票据解析

   单点登录系统的票据解析系统运行在各应用系统内，主要是接收用户的登录票据，验证票据的完整性、票据来源的真实可靠性，如果验证通过，则从票据中解析出应用系统需要的用户信息，并根据该应用系统的策略，判断用户的身份及权限，进行具体的业务处理。

系统特点: