目前，业务系统的安全已越来越重要，并有标准的安全协议，例如安全套接层（Secure Sockets Layer）协议，基于数字证书来认证服务器端，防钓鱼网站，保护客户端向服务器端的安全通信，不被窃取篡改。而在客户端，通常也相应的数字证书完成双向认证，如UKey个人证书。

基于安全协议的业务系统设计，是在最底层通信的安全设计，粗细粒度无法针对某一具体业务，在做定制化的用户认证加解密需求上，仍需要一个能与客户端相对应能完成自定义的安全设计接口，于是便有了应用网关。应用网关基于安全设备和业务系统层中间，业务系统无需要再直接跟安全设备打交道，使业务系统可以和客户端搭建一座安全桥梁。应用网关提供了相关加解密接口，此外应用网关还可以提供数据证书业务的接口。应用网关设计的业务系统安全通信的整体流程如下图。

建立会话

建立会话好比就是见面握手，首先需要相互信任认证，采用一致的密钥算法，产生会话密钥，保护整个会话过程安全。首先，客户端和服务器端出示各自证书，作为相互认可凭证，客户端证书一般在客户系统密钥存储区或以UKey载体保存，服务器端证书通过应用网关获取。服务器端作为会话主方，负责生成会话密钥，同时生成客户会话密钥回传给客户端。客户端和服务器端保存各自会话密钥，只有双方才能解开。应用网关这里需要为业务系统服务器提供证书验证、签名认证、生成随机密钥、加密会话密钥接口。

安全通信

建立会话后，之后就是客户端和应用系统服务器进行安全通信了。客户端准备好要发送到服务器的明文消息，在客户端先用自己私钥解密会话密钥，然后再用密钥加密明文得到密文（重要数据再签名），服务器端收到密文后，先解密会话密钥，然后再用密钥解密密文得到明文（有签名的需先验证签名），之后应用业务系统再做相应的处理。服务器返回给客户端消息过程，反之亦然。应用网关这里需要为业务系统服务器提供数据加解密、签名验证接口。

应用网关为业务系统提供了统一跨平台的安全接口，可以与不同类型的业务系统的进行系统集成。再配合客户端UKey设备，保护整个通信过程的安全。