7.2　身份鑒別組件

7.2.1　概述

身份鑒別組件是認證中間件中必需實現的組件之一，它的主要功能是完成對用戶身份進行鑒別以及與用戶之間的密鑰協商，身份鑒別組件結構如圖5所示。

身份鑒別組件由身份鑒別管理組件和不同的鑒別機制實現組件組成。身份鑒別管理組件負責整個身份鑒別組件的管理運作，向上與認證中間件管理組件交互，向下與鑒別機制實現組件進行交互。

身份鑒別組件實現了具體的鑒別過程。

認證中間件管理組件從客戶端獲取了對鑒別方式的選擇之后，需要通過身份鑒別組件來確定是否支持該鑒別方式，以及該鑒別方式能否正常實現。另外，在身份鑒別完成之后，身份鑒別組件返回身份鑒別結果給上層認證中間件管理組件。

身份鑒別管理組件提供了與各種鑒別機制交互的接口，用于啟動鑒別機制以及獲取鑒別結果。

鑒別機制實現組件完成具體的鑒別以及密鑰協商過程，并提供相應的接口由身份鑒別管理組件調用。

7.2.1　接口描述

身份鑒別組件提供兩個接口：鑒別執行接口IA_AE和鑒別機制接口IA_AM。

1.1.1.1　鑒別執行接口IA_AE

身份鑒別組件通過IA_AE接口與上層認證中間件管理組件進行交互，用于獲取鑒別方式并返回鑒別結果，它需要提供以下的輸入和輸出：

輸入：

a) 鑒別方式

鑒別方式指定認證中間件所使用的身份鑒別方式，身份鑒別管理組件首先檢查系統配置中是否存在對應的身份鑒別方式。如果存在，那么身份鑒別管理組件就會啟動相應的鑒別機制，并完成初始化。

a) 用戶上下文

用戶上下文包括了用戶的相關信息，此信息會傳遞給下層的鑒別機制在實現鑒別功能的時候使用。如果此參數為空，則身份鑒別組件只進行鑒別方式的檢查，然后返回鑒別機制初始化狀態。

輸出：

a) 鑒別結果

鑒別結果由身份鑒別結果和密鑰協商結果兩部分組成：身份鑒別管理組件根據鑒別機制與用戶交互后返回的身份鑒別結果和認證中間件管理組件的格式需求來生成相應的鑒別結果，它至少應包括用戶身份標識，鑒別方式以及鑒別時間三部分內容；身份鑒別管理組件根據鑒別機制與用戶交互后返回的密鑰協商結果和認證中間件管理組件的格式需求來生成相應的密鑰協商結果，它至少應包含協商密鑰值以及密鑰類型兩部分內容。

b) 狀態碼

根據身份鑒別組件處理結果的不同，有以下幾種狀態碼：

UNKOWN_AUTHMETHOD ——身份鑒別組件不支持此鑒別方式

IA_AMINIT_ERR ——鑒別機制初始化錯誤

IA_ERR ——身份鑒別管理組件錯誤

IA_AUTH_SUCC ——鑒別成功

IA_AUTH_FAILURE ——鑒別失敗

IA_AUTH_ERR ——鑒別錯誤

IA_CON_ERR ——與用戶連接錯誤

IA_AMINIT_SUCC ——鑒別機制初始化成功

IA_UNKOWN_USER ——未知用戶

IA_KA_ERR ——密鑰協商錯誤

IA_KA_FAILURE ——密鑰協商失敗

IA_AKA_SUCC ——鑒別密鑰協商成功

1.1.1.2　鑒別機制接口IA_AM

身份鑒別組件通過IA_AM接口與具體的鑒別機制進行交互，用于啟動相應的鑒別機制并獲取鑒別結果，它需要提供以下的輸入和輸出：

輸入：

a) 用戶上下文

由身份鑒別組件從認證中間件管理組件處獲取，根據用戶上下文，鑒別機制實現組件可以獲取與用戶交互完成鑒別需要的信息。

輸出：

a) 鑒別結果

鑒別結果由身份鑒別結果和密鑰協商結果兩部分組成：身份鑒別結果是鑒別結果中必須包含的內容，根據鑒別機制的不同，返回的身份鑒別結果形式是不同的，但是它輸出的主要信息就是鑒別過的用戶身份標識；根據鑒別機制的不同，除了身份鑒別結果，可能還包含有密鑰協商結果，密鑰協商結果至少應包含協商密鑰值以及密鑰類型這兩部分信息。

c) 狀態碼

根據鑒別機制處理結果的不同，有以下幾種狀態碼：

AM_INIT_ERR ——鑒別機制初始化錯誤

AM_INIT_SUCC ——鑒別機制初始化成功

AM_AUTH_SUCC ——鑒別成功

AM_AUTH_FAILURE ——鑒別失敗

AM_AUTH_ERR ——鑒別錯誤

AM_CON_ERR ——與用戶連接錯誤

AM_UNKOWN_USER ——未知用戶

AM_KA_ERR ——密鑰協商錯誤

AM_KA_FAILURE ——密鑰協商失敗

AM_AKA_SUCC ——鑒別密鑰協商成功