魏昌龙

摘 要：本文首先对基于AAA平台的身份认证系统结构进行分析，基于单点登录模型，分别从登录协议以及注销协议两个方面，概括身份认证机制的流程与步骤，仅供参考。

关键词：身份认证;AAA平台;机制

一、身份认证系统结构

整套基于AAA平台的身份认证系统结构由身份管理系统、用户身份信息数据库系统以及单点登录管理器系统这三个部分构成。第一部分负责对用户身份信息数据进行管理与维护，第二部分负责对用户身份信息所对应数据集合进行存储，第三部分负责在用户发出对AAA平台相关板块登录请求的情况下进行身份认证，确保用户登录状态的合法性与用户身份权限的正常性。在用户面向业务系统发出访问指令前，基于身份认证系统对用户所提交身份信息进行验证，在身份信息数据库中对身份信息真实性与合法性进行查询，在判定身份合法的情况下，支持该身份所对应用户对业务系统进行合理范围操作。特定时间内，对于已经完成对某一业务系统登录的用户而言，可基于权限允许范围对授权系统进行反复多次访问，省略多次重复性登录的操作步骤，这也正是将单点登录机制应用于身份认证中的优势。

二、登录协议

为满足单点登录需求，AAA平台需专门配置登录协议。以下对基于单点登录的身份认证交互流程进行简要概括。

第一步，对于客户端而言，假定用户U已经进入登录状态，与之对应身份认证信息定义为Auth（u），身份信息标志、业务系统A标志以及身份认证信息经汇总后一同发送至AAA服务器终端。

第二步，在AAA平台终端服务器接收数据发送指令后，对已经登录用户列表进行搜寻，搜寻确认用户U已登录的情况下，对登录系统有效时段进行检查，在判定登录状态处于有效的情况下，将业务系统加入U所对应已登录系统列表中，确认信息发送至客户终端。除该情况以外，则判定为用户U未登录，需重新提供身份认证信息进行判定。

第三步，由AAA平台客户端对服务器终端所返回信息指令进行判定。在判定用户U处于已登录状态的情况下，可直接提供用户U与业务系统A之间的连接渠道，无须重复进行登录认证，结束一次完整的身份认证交互过程。除该情况以外，应进一步构建针对用户U所对应的签名信息，将其定义为Sign（u），同时保留一份签名信息并发送至AAA平台服务器终端进行验证。

第四步，由AAA平台服务器终端接收签名信息并进行验证，在判定验证合格的情况下服务器终端自动生成会话密钥，被定义为Ku，对密钥信息进行加密保存，形成与用户身份权限所对应的在线信息，在用户已登录状态系统中合并该业务系统。在此基础之上，经数字证书加密的方式将Ku传递至客户终端。

第五步，客户终端负责接收自AAA平台服务器终端所传输指令，经私钥解密得到与之对应的Ku密钥，并以加密的方式在本地储存，方便后续用户U身份认证过程中使用，并将业务系统A正常提供给用户U访问。

三、注销协议

同样为满足单点登录系統，AAA平台需要专门配置如下图（见图1）所示注销协议，以下结合图1，对基于单点登录的身份认证注销交互流程进行简要概括。

图1;AAA平台身份认证注销协议示意图

第一步，对于客户端而言，假定对于用户U而言，与之相对应的身份认证信息定义为Auth（u），将所需要注销业务系统A、身份信息标识以及身份认证信息汇总后共同发送至AAA服务器终端。

第二步，在AAA平台终端服务器接收数据发送指令的情况下，首先对用户U所登录身份的合法性进行验证，验证通过的情况下直接对已经登录用户列表进行受训，在验证待注销业务系统A处于已登录状态的情况下，根据用户U当前已登录业务系统数量判定注销协议应当对用户U全部登录信息进行删除还是仅删除业务系统A登录信息，对其他系统登录状态进行保留。根据判定结果执行删除操作并面向客户端返回确认信息。上述操作过程中任意一个环节不通过，则返回业务系统A已处于注销状态。

第三步，整个操作过程当中，对于用户U而言，至少需要有一业务系统状态为在线，确保一定时间范围内用户在线状态的可持续性。在面向其他相关业务系统发出登录请求的情况下无需对身份信息进行重复验证，以达到单点登录的目的。

四、结语

通过上述分析认为，AAA平台之所以能够达到预期应用效果，核心在于身份认证过程中对单点登录工作机制的应用，通过登录协议以及注销协议的优化设计，体现单点登录工作机制，对进一步提高身份认证安全性、可靠性水平有重要价值，值得引起重视。

参考文献

[1]桑安琪，沈蒙，祝烈煌等.基于区块链的多方协作安全身份认证机制研究[J].南京信息工程大学学报，2019，11（5）：581—589.