6.4　鑒別斷言

在鑒別過程結束后，鑒別服務提供方應為鑒別后的用戶生成鑒別斷言以使得鑒別依賴方能夠驗證用戶的身份合法性。此處所述鑒別斷言是指由鑒別服務提供方生成，包含了用戶身份等信息的可信消息。本標準中使用的鑒別斷言可能包含用戶身份信息和密鑰協商信息等信息。其中身份信息至少包含用戶身份標識、鑒別方式和鑒別時間這三個部分，根據實際需求的不同還可以包含其它的一些信息，比如用戶IP地址等。密鑰協商信息至少包含會話密鑰值、密鑰類型這兩個部分，根據實際需求的不同還可以包含其它的一些信息，比如密鑰有效期等。

在實際應用中，可根據需要自行設計斷言格式。此時鑒別斷言必須采用相應的安全機制（例如，鑒別服務提供方的數字簽名）來保證用戶身份信息，鑒別服務提供方標識等信息的完整性，防止被篡改。

此外，在實際應用中，鑒別斷言中還可以同時包含如用戶屬性等在內的其它信息，本標準不對這些信息的內容進行限定，但這些信息不應影響斷言中用戶身份信息與密鑰協商信息的安全。