6.1　概述

認證中間件所采用的鑒別模型如圖1所示。聲稱方與驗證方交互完成身份的鑒別，然后由驗證方將鑒別結果以斷言的形式發布給依賴方。聲稱方與驗證方之間的身份鑒別過程可能是有可信第三方的參與。驗證方與依賴方可以是同一實體，也可以是分開的不同實體。

根據圖1中的鑒別模型，認證中間件的整體框架結構如圖2所示。認證中間件采用分布式架構，可以同時為多個應用系統服務。認證中間件由鑒別服務提供方與鑒別服務適配點組件兩部分共同組成。

鑒別服務提供方的主要功能是通過一定的身份鑒別機制，完成對用戶身份的鑒別，并將鑒別結果以斷言形式發布給各應用系統。鑒別服務提供方并不限定具體的身份鑒別機制，只是提供統一的接口，具體與用戶的鑒別交互過程由各鑒別機制的實現自己完成。同時，作為附加功能，它還可以提供用戶單點登錄、隱私保護以及屬性查詢功能。鑒別服務提供方對應于鑒別模型中的驗證方。

鑒別服務適配點作用于應用系統內，與鑒別服務提供方交互，輔助完成用戶身份鑒別過程。鑒別適配點與應用系統一起對應于鑒別模型中的依賴方。

鑒別服務適配點與鑒別服務提供方之間的通信默認是通過可信信道保護的。如果應用系統與鑒別服務提供方集成在一起，即驗證方與依賴方為統一實體，則這種可信信道為系統內部數據傳輸。如果應用系統與鑒別服務提供方分布在不同的系統中，彼此之間需要遠程通信，則這種可信信道為二者之間的加密信道。

用戶通過客戶端完成與認證中間件及應用系統的交互，從而完成對用戶身份的鑒別。客戶端根據不同的應用場景表現為不同的形式。例如：在普通的C/S應用中，本標準中的客戶端即為普通意義上的用戶端應用程序；在基于Web的應用中，本標準中的客戶端為用戶瀏覽器；在移動應用中，本標準中的客戶端為便攜設備。客戶端對應于鑒別抽象模型中的聲稱方。

用戶信息存儲點存放用戶身份信息。一個用戶的身份信息中需包含一個可區分標識符，用以唯一標識該用戶。在本標準中以用戶名指代該可區分標識符。

認證中間件的內部組成框架如圖3所示。在鑒別服務提供方內部，身份鑒別組件是必需組件，單點登錄組件、隱私保護組件以及屬性查詢組件是可選組件。這些組件獨立完成各自的功能，并通過認證中間件管理組件完成統一靈活的組裝與調用，以滿足不同應用場景的需求。