一 、方案背景
　　校园信息化的主要特点是以校园网络为基础，利用信息技术把学校教育科研机构、教育科研基础设施、教学资源等进行数字化、网络化、信息化，使得校园内的教师、学生利用计算机网络进行各种教学、科研和管理。
　　在信息化为校园日常工作带来便利的同时，也不可避免地受到来自于网络上的各种安全风险，其中包括身份冒用、信息泄密、数据篡改等问题。因此如何确保数据在网络中传输的身份认证、机密性、完整性、合法性等问题已成为校园信息化工作进一步发展关键。

二 、需求分析
　　1、 统一的用户管理
　　随着校园内部信息应用系统越来越多，用户管理和维护也越来越复杂，而且这些系统的认证过程相互独立，用户在使用每个信息应用系统之前都必须注册、登录，必须牢牢记住每个系统的用户名和密码，一些用户会同时拥有数个账号和密码。这既增加了受到非法截获和破坏的可能性也增加了系统出错的机率，更不利于对用户的管理和分析。
　　2、 可靠的身份认证机制
　　传统的用户名/口令登录方式存在诸多安全隐患，缺乏真实可信的身份凭证，容易被第三方恶意窃取。
　　3、 安全的数据电文管理
　　校园内部应用系统中的信息数据在网络中以明文的方式传输，缺乏密码技术的保护，数据真实性、机密性以及完整性问题存在一定的安全隐患。

三、方案简介
　　1、设计思路
　　（1）数字证书作为数字身份的统一凭证
　　以数字证书为基础形成的公钥基础设施（PKI），是形成数字身份管理的一个良好的平台。由数字证书、CA认证中心、证书应用等形成的一套安全体系，能够实现数字身份管理所要求的数字身份全生命周期的管理。
　　（2）建设数字证书认证中心系统进行数字身份凭证管理
　　在校园内部建设数字证书发放和服务体系，进行数字身份凭证的管理。通过严格按照相关规范进行身份鉴证，实现对物理身份与数字身份的对应；并通过对数字证书的申请、发放、吊销、更新等管理过程，实现数字身份凭证的管理。
　　（3）以统一认证管理系统作为数字身份管理的基础设施平台
　　建立的统一认证管理系统，围绕整合的用户、应用系统等资源的管理，构建网络信任体系的基础设施平台。平台实现基于数字证书的身份认证；基于角色或资源的授权管理；实现统一的安全策略设定和维护；实现责任认定的安全审计。
　　（4）建立PKI应用支持系统，为校园内部其它应用系统提供可信的数据电文服务
　　2、方案设计
　　本方案通过在校园内网部署数字证书认证系统，为校内的所有人员（包括教师、学生等）提供数字证书的鉴证、签发、更新、吊销等服务；部署统一认证管理系统系统为校内其它应用系统提供统一的账户管理、授权服务以及单点登录服务；部署PKI应用支撑系统为校内其它应用系统的关键业务数据，提供数字签名、电子签章等服务。
　　同时为了确保校园内部开展电子认证服务工作的顺利开展，应建立与之配套的数字证书运行服务支撑体系、PKI应用规范支撑体系。