魏昌龍

摘 要：本文首先對基于AAA平臺的身份認證系統(tǒng)結(jié)構(gòu)進行分析，基于單點登錄模型，分別從登錄協(xié)議以及注銷協(xié)議兩個方面，概括身份認證機制的流程與步驟，僅供參考。

關鍵詞：身份認證;AAA平臺;機制

一、身份認證系統(tǒng)結(jié)構(gòu)

整套基于AAA平臺的身份認證系統(tǒng)結(jié)構(gòu)由身份管理系統(tǒng)、用戶身份信息數(shù)據(jù)庫系統(tǒng)以及單點登錄管理器系統(tǒng)這三個部分構(gòu)成。第一部分負責對用戶身份信息數(shù)據(jù)進行管理與維護，第二部分負責對用戶身份信息所對應數(shù)據(jù)集合進行存儲，第三部分負責在用戶發(fā)出對AAA平臺相關板塊登錄請求的情況下進行身份認證，確保用戶登錄狀態(tài)的合法性與用戶身份權(quán)限的正常性。在用戶面向業(yè)務系統(tǒng)發(fā)出訪問指令前，基于身份認證系統(tǒng)對用戶所提交身份信息進行驗證，在身份信息數(shù)據(jù)庫中對身份信息真實性與合法性進行查詢，在判定身份合法的情況下，支持該身份所對應用戶對業(yè)務系統(tǒng)進行合理范圍操作。特定時間內(nèi)，對于已經(jīng)完成對某一業(yè)務系統(tǒng)登錄的用戶而言，可基于權(quán)限允許范圍對授權(quán)系統(tǒng)進行反復多次訪問，省略多次重復性登錄的操作步驟，這也正是將單點登錄機制應用于身份認證中的優(yōu)勢。

二、登錄協(xié)議

為滿足單點登錄需求，AAA平臺需專門配置登錄協(xié)議。以下對基于單點登錄的身份認證交互流程進行簡要概括。

第一步，對于客戶端而言，假定用戶U已經(jīng)進入登錄狀態(tài)，與之對應身份認證信息定義為Auth（u），身份信息標志、業(yè)務系統(tǒng)A標志以及身份認證信息經(jīng)匯總后一同發(fā)送至AAA服務器終端。

第二步，在AAA平臺終端服務器接收數(shù)據(jù)發(fā)送指令后，對已經(jīng)登錄用戶列表進行搜尋，搜尋確認用戶U已登錄的情況下，對登錄系統(tǒng)有效時段進行檢查，在判定登錄狀態(tài)處于有效的情況下，將業(yè)務系統(tǒng)加入U所對應已登錄系統(tǒng)列表中，確認信息發(fā)送至客戶終端。除該情況以外，則判定為用戶U未登錄，需重新提供身份認證信息進行判定。

第三步，由AAA平臺客戶端對服務器終端所返回信息指令進行判定。在判定用戶U處于已登錄狀態(tài)的情況下，可直接提供用戶U與業(yè)務系統(tǒng)A之間的連接渠道，無須重復進行登錄認證，結(jié)束一次完整的身份認證交互過程。除該情況以外，應進一步構(gòu)建針對用戶U所對應的簽名信息，將其定義為Sign（u），同時保留一份簽名信息并發(fā)送至AAA平臺服務器終端進行驗證。

第四步，由AAA平臺服務器終端接收簽名信息并進行驗證，在判定驗證合格的情況下服務器終端自動生成會話密鑰，被定義為Ku，對密鑰信息進行加密保存，形成與用戶身份權(quán)限所對應的在線信息，在用戶已登錄狀態(tài)系統(tǒng)中合并該業(yè)務系統(tǒng)。在此基礎之上，經(jīng)數(shù)字證書加密的方式將Ku傳遞至客戶終端。

第五步，客戶終端負責接收自AAA平臺服務器終端所傳輸指令，經(jīng)私鑰解密得到與之對應的Ku密鑰，并以加密的方式在本地儲存，方便后續(xù)用戶U身份認證過程中使用，并將業(yè)務系統(tǒng)A正常提供給用戶U訪問。

三、注銷協(xié)議

同樣為滿足單點登錄系統(tǒng)，AAA平臺需要專門配置如下圖（見圖1）所示注銷協(xié)議，以下結(jié)合圖1，對基于單點登錄的身份認證注銷交互流程進行簡要概括。

圖1;AAA平臺身份認證注銷協(xié)議示意圖

第一步，對于客戶端而言，假定對于用戶U而言，與之相對應的身份認證信息定義為Auth（u），將所需要注銷業(yè)務系統(tǒng)A、身份信息標識以及身份認證信息匯總后共同發(fā)送至AAA服務器終端。

第二步，在AAA平臺終端服務器接收數(shù)據(jù)發(fā)送指令的情況下，首先對用戶U所登錄身份的合法性進行驗證，驗證通過的情況下直接對已經(jīng)登錄用戶列表進行受訓，在驗證待注銷業(yè)務系統(tǒng)A處于已登錄狀態(tài)的情況下，根據(jù)用戶U當前已登錄業(yè)務系統(tǒng)數(shù)量判定注銷協(xié)議應當對用戶U全部登錄信息進行刪除還是僅刪除業(yè)務系統(tǒng)A登錄信息，對其他系統(tǒng)登錄狀態(tài)進行保留。根據(jù)判定結(jié)果執(zhí)行刪除操作并面向客戶端返回確認信息。上述操作過程中任意一個環(huán)節(jié)不通過，則返回業(yè)務系統(tǒng)A已處于注銷狀態(tài)。

第三步，整個操作過程當中，對于用戶U而言，至少需要有一業(yè)務系統(tǒng)狀態(tài)為在線，確保一定時間范圍內(nèi)用戶在線狀態(tài)的可持續(xù)性。在面向其他相關業(yè)務系統(tǒng)發(fā)出登錄請求的情況下無需對身份信息進行重復驗證，以達到單點登錄的目的。

四、結(jié)語

通過上述分析認為，AAA平臺之所以能夠達到預期應用效果，核心在于身份認證過程中對單點登錄工作機制的應用，通過登錄協(xié)議以及注銷協(xié)議的優(yōu)化設計，體現(xiàn)單點登錄工作機制，對進一步提高身份認證安全性、可靠性水平有重要價值，值得引起重視。

參考文獻

[1]桑安琪，沈蒙，祝烈煌等.基于區(qū)塊鏈的多方協(xié)作安全身份認證機制研究[J].南京信息工程大學學報，2019，11（5）：581—589.