GB/T 30275—2013 信息安全技術 鑒別與授權 認證中間件框架與接口規范附 錄 A (資料性附錄) 認證中間件工作流程
本附錄介紹了認證中間件在不同工作模式下典型的工作流程,但并不限定只能按照這些流程執行。為簡化描述并突出流程,本附錄內容不涉及具體的通信協議。在具體實現時,應采用相應的通信組件對流程中的消息內容進行封裝。
- 身份鑒別流程
身份鑒別是認證中間件所執行的核心功能,在本附錄中,將對不同工作模式下的身份鑒別流程分別進行描述。
1) 直接鑒別模式下的身份鑒別流程
在直接鑒別模式下,認證中間件與用戶直接交互完成身份鑒別。在該模式下,一般不選擇帶密鑰協商的身份鑒別。
直接鑒別模式下的典型身份鑒別流程如圖9所示,具體表述如下:
a) 用戶對應用系統的訪問請求被部署在應用系統前端的鑒別服務適配點組件攔截;
b) 鑒別服務適配點組件檢查用戶是否經過鑒別,若未鑒別則建立一個新的用戶上下文,返回當前會話標識,并告知用戶需進行鑒別;
c) 用戶使用鑒別服務適配點組件返回的會話標識向鑒別服務提供方發出鑒別請求,啟動鑒別過程。認證中間件管理組件獲得該請求后建立新的用戶上下文;
a) 用戶與認證中間件管理組件協商,確定采用的具體鑒別機制;
b) 認證中間件管理組件調用身份鑒別組件,啟動相應鑒別機制實現;
c) 用戶與具體的鑒別機制實現組件進行交互,執行身份鑒別協議;
d) 身份鑒別組件向認證中間件管理組件返回鑒別結果;
如果認證中間件實現了單點登錄功能,則在本步驟中,在認證中間件管理組件從身份鑒別組件處獲取了鑒別結果后,需要將用戶上下文和鑒別結果發送給單點登錄組件進行鑒別狀態添加,并將單點登錄組件生成的唯一標識SID寫入用戶上下文,以便在之后的過程中實現單點登錄功能;
e) 認證中間件管理組件封裝鑒別斷言返回給用戶;
f) 用戶將獲得的鑒別斷言發送給鑒別服務適配點組件。該組件對鑒別斷言進行解析和校驗,檢查鑒別斷言中的會話標識與當前會話是否一致,并根據校驗結果對用戶請求進行相應處理。
2) 代理鑒別模式下的身份鑒別流程
在代理鑒別模式下,認證中間件與用戶通過鑒別服務適配點,間接交互完成身份鑒別。在該模式下,可以選擇簡單身份鑒別或帶密鑰協商的身份鑒別。
代理鑒別模式下的典型身份鑒別流程如圖10所示,具體表述如下:
a) 用戶對應用系統的訪問請求被部署在應用系統前端的鑒別服務適配點組件攔截;
b) 鑒別服務適配點組件檢查用戶是否經過鑒別,若未鑒別則建立新的用戶上下文,并將用戶上下文傳遞給鑒別服務提供方,啟動身份鑒別過程;
c) 鑒別服務提供方通過鑒別服務適配點組件向用戶發出鑒別請求;
d) 用戶與認證中間件管理組件進行協商,確定采用的具體鑒別機制,其傳輸數據由鑒別服務適配點組件進行轉發;
e) 認證中間件管理組件調用身份鑒別組件,啟動相應鑒別機制實現;
f) 用戶與鑒別服務提供方交互執行身份鑒別協議,其傳輸數據由鑒別服務適配點進行轉發;
身份鑒別組件向認證中間件管理組件返回鑒別結果;
h) 認證中間件管理組件將鑒別結果封裝為鑒別斷言返回給鑒別服務適配點組件;
i) 在收到鑒別服務提供方返回的鑒別斷言后,鑒別服務適配點組件對鑒別斷言進行解析和校驗,并根據校驗結果對用戶請求進行相應處理。
- 單點登錄流程
單點登錄需求多見于直接鑒別模式,因此本標準只討論該模式下的相關流程。
在單點登錄過程中,只考慮身份鑒別組件提供的是簡單身份鑒別結果的情況。對于帶密鑰協商的身份鑒別,本標準不考慮其單點登錄的情況。
假設用戶已經訪問過應用系統A,認證中間件已對其進行過身份鑒別,則用戶訪問新的應用系統B時,其單點登錄過程如圖11所示,具體表述如下:
a) 用戶訪問新的應用系統B,該訪問請求被部署在應用系統B前端的鑒別服務適配點組件攔截。鑒別服務適配點組件檢查用戶是否經過鑒別,若未鑒別則建立用戶上下文,返回當前會話標識,并告知用戶需進行鑒別;
b) 用戶使用鑒別服務適配點組件返回的會話標識向鑒別服務提供方發出鑒別請求,認證中間件管理組件從請求中獲取用戶上下文,;
c) 認證中間件管理組件根據用戶上下文,調用單點登錄組件查詢用戶鑒別狀態信息;
d) 單點登錄組件在其維護的用戶鑒別狀態信息中對當前用戶進行查詢,如果查詢到了有效的鑒別信息,則單點登錄組件向認證中間件管理組件返回用戶的鑒別結果;
e) 認證中間件管理組件將單點登錄組件返回的鑒別結果及適配點會話標識封裝為鑒別斷言發送給用戶。如果單點登錄組件未查詢到該用戶的鑒別狀態信息,則認證中間件管理組件改為調用身份鑒別組件啟動新的鑒別過程;
f) 用戶在收到鑒別服務提供方返回的身份鑒別斷言后,將該斷言返回給應用系統B中的鑒別服務適配點組件,在接收到身份鑒別斷言后,鑒別服務適配點組件對該身份鑒別斷言進行解析,檢查鑒別斷言中的會話標識與當前會話是否一致,并根據結果對用戶請求進行相應處理,從而實現單點登錄過程。
推薦文章: