7.1　組件規范

7.1.1　概述

認證中間件管理組件結構如圖4所示：

認證中間件管理組件負責整個認證中間件的初始化以及系統中各組件的運作管理。對外，它通過與具體應用相關的通信組件，實現和用戶以及鑒別服務適配點之間的交互。對內，它根據認證中間件的配置情況以及所完成的功能，與鑒別服務提供方中的各個組件進行交互。

認證中間件管理組件提供了一個接口處理來自用戶或者鑒別適配點組件的鑒別請求。用戶和鑒別適配組件通過這個接口來通知認證中間件管理組件進行鑒別處理，并獲取此次鑒別處理的鑒別斷言。

認證中間件可以提供不同的鑒別方式。當認證中間件支持用戶對鑒別方式進行選擇時，認證中間件管理組件提供了一個與用戶交互的接口，用以協商確定具體的鑒別方式。認證中間件管理組件應能夠對用戶選擇的鑒別方式進行檢查，以確定是否支持該方式，以及其實現組件能否正常啟動。

認證中間件管理組件還提供一個用于審計的接口，它會輸出當前鑒別用戶的信息，至少包括用戶名、鑒別方式、鑒別狀態、鑒別時間等，從而保證認證中間件中的用戶鑒別事件是可審計的。

在認證中間件內部，認證中間件管理組件并不實現具體的鑒別功能。因此，在認證中間件管理組件與其它的各個組件之間都存在著交互的接口。這些接口的具體描述參見第7節其它子節中各組件的接口規范。

7.1.2　接口描述

認證中間件管理組件提供三個接口：鑒別接口AMF_AUTH、鑒別方式協商接口AMF_AGREE以及審計接口AMF_AUDIT。

7.1.2.1　鑒別接口AMF_AUTH

AMF_AUTH接口用于啟動整個用戶身份鑒別流程，它需要提供以下輸入和輸出：

a)用戶上下文

用戶上下文包括用戶的相關信息，可以用于區分不同的用戶。從用戶上下文中可以獲取用戶的連接信息等內容。此接口可以由用戶或者鑒別適配組件來調用，分別對應于直接鑒別模式和代理鑒別模式。若是由用戶調用，則此參數為空，認證中間件管理組件會在后面與用戶的交互中來生成用戶上下文；如果是鑒別適配組件來調用，則需要由鑒別適配點來給出用戶上下文。

b)適配點會話標識

用戶在鑒別前與適配點建立連接的會話標識，此信息會被加入到最后輸出的鑒別斷言中，用以防止鑒別斷言被其他人截獲冒用或重放。

a)鑒別斷言

鑒別處理的結果將以鑒別斷言的形式輸出。

b)狀態碼

根據情況的不同，可能返回以下幾種狀態碼：
AMMC_ERR ——認證中間件管理組件錯誤
IA_ERR ——身份鑒別組件錯誤
IA_AM_ERR ——鑒別機制模塊錯誤
AMF_SYS_ERR ——系統錯誤
AMF_CON_ERR ——連接錯誤
AMF_AUTH_ERR ——鑒別錯誤
AMF_AUTH_FAILURE ——鑒別失敗
AMF_AUTH_SUCC ——鑒別成功
AMF_KA_ERR ——密鑰協商錯誤
AMF_KA_FAILURE ——密鑰協商失敗

7.1.2.2　鑒別方式協商接口AMF_AGREE

用戶和認證中間件管理組件通過AMF_AGREE接口來進行協商并確定此次鑒別所采用的鑒別方式，此接口需要提供以下的輸入和輸出：

a)鑒別方式

鑒別方式用于指定身份鑒別組件所采用的鑒別機制，如口令鑒別、證書鑒別以及其他鑒別協議等。這個參數會傳遞給身份鑒別組件來判斷是否支持相應的鑒別方式，如果支持，則返回協商成功；否則會返回錯誤信息。

a)狀態碼

根據認證中間件管理組件處理結果的不同，可能返回以下幾種狀態碼：
UNKOWN_AUTHMETHOD ——身份鑒別組件不支持用戶選擇的鑒別方式
AMMC_ERR ——認證中間件管理組件錯誤
AMF_AGREE_SUCC ——鑒別方式協商成功

7.1.2.3　審計信息接口AMF_AUDIT

審計系統可以通過此接口獲取用戶鑒別事件的相關信息，此接口需要提供以下的輸入和輸出：

a)審計信息

審計信息是一些與用戶此次鑒別相關的一些信息，可以用來識別和追蹤一些非法的用戶操作，從而保證系統的正常工作。審計信息一般包括以下幾個部分：用戶名、鑒別狀態、鑒別方式、鑒別時間等。

a)狀態碼：

根據認證中間件管理組件處理結果的不同，可能返回以下幾種狀態碼：
AMF_AUDIT_SUCC ——審計信息輸出成功
AMF_AUDIT_ERR ——審計信息輸出錯誤
AMF_AUDIT_FAILURE ——審計信息輸出失敗
AMF_UNKOWN_USER ——未知用戶