AAA平臺中的身份認證機制探析

魏昌龍

摘 要：本文首先對基于AAA平臺的身份認證系統結構進行分析，基于單點登錄模型，分別從登錄協議以及注銷協議兩個方面，概括身份認證機制的流程與步驟，僅供參考。

關鍵詞：身份認證;AAA平臺;機制

一、身份認證系統結構

整套基于AAA平臺的身份認證系統結構由身份管理系統、用戶身份信息數據庫系統以及單點登錄管理器系統這三個部分構成。第一部分負責對用戶身份信息數據進行管理與維護，第二部分負責對用戶身份信息所對應數據集合進行存儲，第三部分負責在用戶發出對AAA平臺相關板塊登錄請求的情況下進行身份認證，確保用戶登錄狀態的合法性與用戶身份權限的正常性。在用戶面向業務系統發出訪問指令前，基于身份認證系統對用戶所提交身份信息進行驗證，在身份信息數據庫中對身份信息真實性與合法性進行查詢，在判定身份合法的情況下，支持該身份所對應用戶對業務系統進行合理范圍操作。特定時間內，對于已經完成對某一業務系統登錄的用戶而言，可基于權限允許范圍對授權系統進行反復多次訪問，省略多次重復性登錄的操作步驟，這也正是將單點登錄機制應用于身份認證中的優勢。

二、登錄協議

為滿足單點登錄需求，AAA平臺需專門配置登錄協議。以下對基于單點登錄的身份認證交互流程進行簡要概括。

第一步，對于客戶端而言，假定用戶U已經進入登錄狀態，與之對應身份認證信息定義為Auth（u），身份信息標志、業務系統A標志以及身份認證信息經匯總后一同發送至AAA服務器終端。

第二步，在AAA平臺終端服務器接收數據發送指令后，對已經登錄用戶列表進行搜尋，搜尋確認用戶U已登錄的情況下，對登錄系統有效時段進行檢查，在判定登錄狀態處于有效的情況下，將業務系統加入U所對應已登錄系統列表中，確認信息發送至客戶終端。除該情況以外，則判定為用戶U未登錄，需重新提供身份認證信息進行判定。

第三步，由AAA平臺客戶端對服務器終端所返回信息指令進行判定。在判定用戶U處于已登錄狀態的情況下，可直接提供用戶U與業務系統A之間的連接渠道，無須重復進行登錄認證，結束一次完整的身份認證交互過程。除該情況以外，應進一步構建針對用戶U所對應的簽名信息，將其定義為Sign（u），同時保留一份簽名信息并發送至AAA平臺服務器終端進行驗證。

第四步，由AAA平臺服務器終端接收簽名信息并進行驗證，在判定驗證合格的情況下服務器終端自動生成會話密鑰，被定義為Ku，對密鑰信息進行加密保存，形成與用戶身份權限所對應的在線信息，在用戶已登錄狀態系統中合并該業務系統。在此基礎之上，經數字證書加密的方式將Ku傳遞至客戶終端。

第五步，客戶終端負責接收自AAA平臺服務器終端所傳輸指令，經私鑰解密得到與之對應的Ku密鑰，并以加密的方式在本地儲存，方便后續用戶U身份認證過程中使用，并將業務系統A正常提供給用戶U訪問。

三、注銷協議

同樣為滿足單點登錄系統，AAA平臺需要專門配置如下圖（見圖1）所示注銷協議，以下結合圖1，對基于單點登錄的身份認證注銷交互流程進行簡要概括。

圖1;AAA平臺身份認證注銷協議示意圖

第一步，對于客戶端而言，假定對于用戶U而言，與之相對應的身份認證信息定義為Auth（u），將所需要注銷業務系統A、身份信息標識以及身份認證信息匯總后共同發送至AAA服務器終端。

第二步，在AAA平臺終端服務器接收數據發送指令的情況下，首先對用戶U所登錄身份的合法性進行驗證，驗證通過的情況下直接對已經登錄用戶列表進行受訓，在驗證待注銷業務系統A處于已登錄狀態的情況下，根據用戶U當前已登錄業務系統數量判定注銷協議應當對用戶U全部登錄信息進行刪除還是僅刪除業務系統A登錄信息，對其他系統登錄狀態進行保留。根據判定結果執行刪除操作并面向客戶端返回確認信息。上述操作過程中任意一個環節不通過，則返回業務系統A已處于注銷狀態。

第三步，整個操作過程當中，對于用戶U而言，至少需要有一業務系統狀態為在線，確保一定時間范圍內用戶在線狀態的可持續性。在面向其他相關業務系統發出登錄請求的情況下無需對身份信息進行重復驗證，以達到單點登錄的目的。

四、結語

通過上述分析認為，AAA平臺之所以能夠達到預期應用效果，核心在于身份認證過程中對單點登錄工作機制的應用，通過登錄協議以及注銷協議的優化設計，體現單點登錄工作機制，對進一步提高身份認證安全性、可靠性水平有重要價值，值得引起重視。

參考文獻

[1]桑安琪，沈蒙，祝烈煌等.基于區塊鏈的多方協作安全身份認證機制研究[J].南京信息工程大學學報，2019，11（5）：581—589.