6.3　組件描述

6.3.1　認證中間件管理組件

認證中間件管理組件是認證中間件框架的必需部分，是保證整個中間件正常運轉的關鍵功能模塊。它根據中間件的配置完成組件的組裝，以及同鑒別適配點之間可信信道的建立。然后根據不同應用情景下的工作流程，通過一定的通信組件與用戶以及鑒別適配點交互，并且調用相應的組件完成既定的功能目標。認證中間件管理組件應支持安全相關的事件審計。

6.3.2　身份鑒別組件

身份鑒別組件是認證中間件框架中必需的部分，是完成用戶身份鑒別的核心。對外，該組件屏蔽了內部的具體鑒別機制，只提供一般的身份鑒別接口。對內，它可以支持各種不同身份鑒別機制的實現。
鑒別機制按照其實現結果的不同分為簡單身份鑒別機制與帶密鑰協商的身份鑒別機制。身份鑒別組件中至少應包含一種簡單身份鑒別機制的實現。對于帶密鑰協商的身份鑒別機制，在某些應用場景下可以不實現。
采用簡單身份鑒別機制，則認證中間件與用戶交互后，實現對用戶身份的識別與驗證。在簡單身份鑒別機制下，身份鑒別組件輸出的鑒別結果中只包含用戶的身份信息。同時，在鑒別過程中以及之后，需要通過其它的通信加密機制，如SSL等，來保護用戶與認證中間件以及應用系統之間的通信。簡單身份鑒別適用于認證中間件的直接鑒別工作模式以及代理鑒別工作模式。
采用帶密鑰協商的身份鑒別，則認證中間件與用戶交互后，不僅完成對用戶身份的識別，同時與用戶協商建立會話密鑰。在帶密鑰協商的身份鑒別機制下，身份鑒別組件輸出的鑒別結果中包含用戶的身份信息以及協商生成的會話密鑰。同時，在鑒別完成后，用戶與應用系統之間的通信通過該會話密鑰來保護。帶密鑰協商的身份鑒別主要適用于認證中間件的代理鑒別工作模式。

6.3.3　鑒別適配點組件

鑒別服務適配點組件是認證中間件框架中必需的部分，它主要負責對用戶鑒別狀態的過濾，以及對于鑒別斷言的解析。同時，當鑒別服務提供方不與用戶直接交互的情況下，該組件將負責二者通信信息的傳遞。
在簡單身份鑒別方式下，該組件負責將鑒別服務提供方發布的鑒別斷言解析為本地應用系統需要的鑒別結果形式，供應用系統獲取用戶身份信息。
在帶密鑰協商的身份鑒別方式下，該組件負責解析鑒別服務提供方發布的鑒別斷言，向應用系統輸出用戶身份信息，并儲存會話密鑰，負責對用戶與應用系統之間通信內容的加解密工作。

6.3.4　單點登錄組件

單點登錄組件是認證中間件框架中可選的部分，主要負責實現用戶訪問與一個認證中間件相連的多個應用系統時，可以獲得“一次登錄，多次訪問”的體驗過程。

6.3.5　隱私保護組件

隱私保護組件是認證中間件框架中可選的部分，主要負責提供保護用戶隱私信息的機制。
根據用戶需求的不同以及應用場景的不同，隱私信息包含的范圍和隱私保護所涉及的實體范圍都是不同的，本標準只考慮通過假名映射的方式保護用戶身份的隱私性。即，鑒別服務提供方向應用系統提供用戶的假名，從而避免應用系統獲得用戶的真實身份。

6.3.6　屬性查詢組件

屬性查詢組件是認證中間件框架中可選的部分，主要負責用戶身份鑒別之后，對用戶屬性信息的查詢。屬性查詢同時涉及數字身份管理以及授權訪問控制領域，因此本標準只規定通用的屬性查詢接口，具體的實現方式不予以規范。