AAA平臺(tái)中的身份認(rèn)證機(jī)制探析

魏昌龍

摘 要：本文首先對(duì)基于AAA平臺(tái)的身份認(rèn)證系統(tǒng)結(jié)構(gòu)進(jìn)行分析，基于單點(diǎn)登錄模型，分別從登錄協(xié)議以及注銷協(xié)議兩個(gè)方面，概括身份認(rèn)證機(jī)制的流程與步驟，僅供參考。

關(guān)鍵詞：身份認(rèn)證;AAA平臺(tái);機(jī)制

一、身份認(rèn)證系統(tǒng)結(jié)構(gòu)

整套基于AAA平臺(tái)的身份認(rèn)證系統(tǒng)結(jié)構(gòu)由身份管理系統(tǒng)、用戶身份信息數(shù)據(jù)庫(kù)系統(tǒng)以及單點(diǎn)登錄管理器系統(tǒng)這三個(gè)部分構(gòu)成。第一部分負(fù)責(zé)對(duì)用戶身份信息數(shù)據(jù)進(jìn)行管理與維護(hù)，第二部分負(fù)責(zé)對(duì)用戶身份信息所對(duì)應(yīng)數(shù)據(jù)集合進(jìn)行存儲(chǔ)，第三部分負(fù)責(zé)在用戶發(fā)出對(duì)AAA平臺(tái)相關(guān)板塊登錄請(qǐng)求的情況下進(jìn)行身份認(rèn)證，確保用戶登錄狀態(tài)的合法性與用戶身份權(quán)限的正常性。在用戶面向業(yè)務(wù)系統(tǒng)發(fā)出訪問(wèn)指令前，基于身份認(rèn)證系統(tǒng)對(duì)用戶所提交身份信息進(jìn)行驗(yàn)證，在身份信息數(shù)據(jù)庫(kù)中對(duì)身份信息真實(shí)性與合法性進(jìn)行查詢，在判定身份合法的情況下，支持該身份所對(duì)應(yīng)用戶對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行合理范圍操作。特定時(shí)間內(nèi)，對(duì)于已經(jīng)完成對(duì)某一業(yè)務(wù)系統(tǒng)登錄的用戶而言，可基于權(quán)限允許范圍對(duì)授權(quán)系統(tǒng)進(jìn)行反復(fù)多次訪問(wèn)，省略多次重復(fù)性登錄的操作步驟，這也正是將單點(diǎn)登錄機(jī)制應(yīng)用于身份認(rèn)證中的優(yōu)勢(shì)。

二、登錄協(xié)議

為滿足單點(diǎn)登錄需求，AAA平臺(tái)需專門配置登錄協(xié)議。以下對(duì)基于單點(diǎn)登錄的身份認(rèn)證交互流程進(jìn)行簡(jiǎn)要概括。

第一步，對(duì)于客戶端而言，假定用戶U已經(jīng)進(jìn)入登錄狀態(tài)，與之對(duì)應(yīng)身份認(rèn)證信息定義為Auth（u），身份信息標(biāo)志、業(yè)務(wù)系統(tǒng)A標(biāo)志以及身份認(rèn)證信息經(jīng)匯總后一同發(fā)送至AAA服務(wù)器終端。

第二步，在AAA平臺(tái)終端服務(wù)器接收數(shù)據(jù)發(fā)送指令后，對(duì)已經(jīng)登錄用戶列表進(jìn)行搜尋，搜尋確認(rèn)用戶U已登錄的情況下，對(duì)登錄系統(tǒng)有效時(shí)段進(jìn)行檢查，在判定登錄狀態(tài)處于有效的情況下，將業(yè)務(wù)系統(tǒng)加入U(xiǎn)所對(duì)應(yīng)已登錄系統(tǒng)列表中，確認(rèn)信息發(fā)送至客戶終端。除該情況以外，則判定為用戶U未登錄，需重新提供身份認(rèn)證信息進(jìn)行判定。

第三步，由AAA平臺(tái)客戶端對(duì)服務(wù)器終端所返回信息指令進(jìn)行判定。在判定用戶U處于已登錄狀態(tài)的情況下，可直接提供用戶U與業(yè)務(wù)系統(tǒng)A之間的連接渠道，無(wú)須重復(fù)進(jìn)行登錄認(rèn)證，結(jié)束一次完整的身份認(rèn)證交互過(guò)程。除該情況以外，應(yīng)進(jìn)一步構(gòu)建針對(duì)用戶U所對(duì)應(yīng)的簽名信息，將其定義為Sign（u），同時(shí)保留一份簽名信息并發(fā)送至AAA平臺(tái)服務(wù)器終端進(jìn)行驗(yàn)證。

第四步，由AAA平臺(tái)服務(wù)器終端接收簽名信息并進(jìn)行驗(yàn)證，在判定驗(yàn)證合格的情況下服務(wù)器終端自動(dòng)生成會(huì)話密鑰，被定義為Ku，對(duì)密鑰信息進(jìn)行加密保存，形成與用戶身份權(quán)限所對(duì)應(yīng)的在線信息，在用戶已登錄狀態(tài)系統(tǒng)中合并該業(yè)務(wù)系統(tǒng)。在此基礎(chǔ)之上，經(jīng)數(shù)字證書加密的方式將Ku傳遞至客戶終端。

第五步，客戶終端負(fù)責(zé)接收自AAA平臺(tái)服務(wù)器終端所傳輸指令，經(jīng)私鑰解密得到與之對(duì)應(yīng)的Ku密鑰，并以加密的方式在本地儲(chǔ)存，方便后續(xù)用戶U身份認(rèn)證過(guò)程中使用，并將業(yè)務(wù)系統(tǒng)A正常提供給用戶U訪問(wèn)。

三、注銷協(xié)議

同樣為滿足單點(diǎn)登錄系統(tǒng)，AAA平臺(tái)需要專門配置如下圖（見(jiàn)圖1）所示注銷協(xié)議，以下結(jié)合圖1，對(duì)基于單點(diǎn)登錄的身份認(rèn)證注銷交互流程進(jìn)行簡(jiǎn)要概括。

圖1;AAA平臺(tái)身份認(rèn)證注銷協(xié)議示意圖

第一步，對(duì)于客戶端而言，假定對(duì)于用戶U而言，與之相對(duì)應(yīng)的身份認(rèn)證信息定義為Auth（u），將所需要注銷業(yè)務(wù)系統(tǒng)A、身份信息標(biāo)識(shí)以及身份認(rèn)證信息匯總后共同發(fā)送至AAA服務(wù)器終端。

第二步，在AAA平臺(tái)終端服務(wù)器接收數(shù)據(jù)發(fā)送指令的情況下，首先對(duì)用戶U所登錄身份的合法性進(jìn)行驗(yàn)證，驗(yàn)證通過(guò)的情況下直接對(duì)已經(jīng)登錄用戶列表進(jìn)行受訓(xùn)，在驗(yàn)證待注銷業(yè)務(wù)系統(tǒng)A處于已登錄狀態(tài)的情況下，根據(jù)用戶U當(dāng)前已登錄業(yè)務(wù)系統(tǒng)數(shù)量判定注銷協(xié)議應(yīng)當(dāng)對(duì)用戶U全部登錄信息進(jìn)行刪除還是僅刪除業(yè)務(wù)系統(tǒng)A登錄信息，對(duì)其他系統(tǒng)登錄狀態(tài)進(jìn)行保留。根據(jù)判定結(jié)果執(zhí)行刪除操作并面向客戶端返回確認(rèn)信息。上述操作過(guò)程中任意一個(gè)環(huán)節(jié)不通過(guò)，則返回業(yè)務(wù)系統(tǒng)A已處于注銷狀態(tài)。

第三步，整個(gè)操作過(guò)程當(dāng)中，對(duì)于用戶U而言，至少需要有一業(yè)務(wù)系統(tǒng)狀態(tài)為在線，確保一定時(shí)間范圍內(nèi)用戶在線狀態(tài)的可持續(xù)性。在面向其他相關(guān)業(yè)務(wù)系統(tǒng)發(fā)出登錄請(qǐng)求的情況下無(wú)需對(duì)身份信息進(jìn)行重復(fù)驗(yàn)證，以達(dá)到單點(diǎn)登錄的目的。

四、結(jié)語(yǔ)

通過(guò)上述分析認(rèn)為，AAA平臺(tái)之所以能夠達(dá)到預(yù)期應(yīng)用效果，核心在于身份認(rèn)證過(guò)程中對(duì)單點(diǎn)登錄工作機(jī)制的應(yīng)用，通過(guò)登錄協(xié)議以及注銷協(xié)議的優(yōu)化設(shè)計(jì)，體現(xiàn)單點(diǎn)登錄工作機(jī)制，對(duì)進(jìn)一步提高身份認(rèn)證安全性、可靠性水平有重要價(jià)值，值得引起重視。

參考文獻(xiàn)

[1]桑安琪，沈蒙，祝烈煌等.基于區(qū)塊鏈的多方協(xié)作安全身份認(rèn)證機(jī)制研究[J].南京信息工程大學(xué)學(xué)報(bào)，2019，11（5）：581—589.