续(1)
8.4.2.2 信息检索服务认证技术规范
(1)用户帐号的表示方法
用户帐号的表示方法为:username
username为用户名
(2)用户身份认证流程
a)信息源分类
对不同种类的信源采用不同的用户认证方式。根据信息源认证方式的不同,将信息源划分成两类:
甲类:信息源采用标准HTTP认证机制,对信息源服务器不需进行改造,用户通过多媒体网代理服务器访问信息源。多媒体网代理服务器采用用户身份状态字方式(Cookie)对用户进行身份认证;信息源采用标准HTTP协议认证方式对代理服务器进行身份认证(对用户透明)。访问此类信息源的计费信息在代理服务器上采集。
乙类:信息源采用用户身份状态字认证机制,需对信息源服务器认证模块进行统一改造以满足认证和记费的要求。用户直接访问信息源,信息源服务器对用户身份直接进行认证。
访问此类信息源的计费信息在信息源上采集。
b)用户访问两类信息源的身份认证示意如图11所示。
-------- ------- -------
| 用户管理 | | |-----→| |
| | |代理服务器| |甲类信息源|
| 服务器 | | |←-----| |
-------- ------- -------
↑| ↑ /
|| // -------
|| // |乙类信息源|
|| // -------
|| // ↑/
|↓ /↓ //
------------- //
| |//
| 用户 |←
-------------
图11 多媒体通信网信息层用户身份认证示意
c)管理模式
各省建立省认证中心,用户信息保存在省认证中心的用户数据库中。省认证中心负责用户的身份认证和授权。信息层的身份认证采用用户身份状态字(Cookie)方式和代理服务器方式。在用户身份状态字认证方式中,采用两个用户身份状态字进行用户身份认证,即Local Cookie和Global Cookie。其中Local Cookie在一定范围内有效,Global Cookie全网有效。
d)身份认证流程
——初次登录的身份认证过程(用户没有获得任何Cookie):
①用户上网,首先访问开户地的省认证中心;
②省认证中心提示用户输入用户名和口令;
③用户输入用户名和口令后,省认证中心通过访问用户数据库验证用户身份;
④验证通过后,省认证中心给用户发放两个身份状态字:Local Cookie和Global Cookie。Local Cookie本省有效;Global Cookie跨省有效,否则回到②;
⑤用户携带身份标志访问:
·多媒体网代理服务器,通过代理服务器访问甲类信源;
·或直接访问乙类信源。
认证流程如图12所示。
--------------
| 用户访问开户地 |
| 的省认证中心 |
--------------
|
↓
--------------
| 省认证中心提示用户 |
| 输入用户名和口令 |
--------------
|
↓
--------------
| 用户输入用户名和口令 |
--------------
|
↓
--------------
| 省认证中心访问用户 |
| 数据库验证用户身份 |
--------------
|
↓
/\
/ \
/用户身份\
/ 正确? \-----
\ / NO |
\ / |
\ / |
\/ |
YES | |
↓ |
-------------- |
|为用户发放身份状态字: | |
|LocalCookie,GlobalCookie| |
-------------- |
|
----------- |
|拒绝,要求用户重新| |
|输入用户名和口令 |←--
-----------
图12 用户初次登录的身份认证流程
——访问本省乙类信源或代理服务器:
①用户携带Local Cookie和Global Cookie访问本省乙类信源或代理服务器;
②本省乙类信源或代理服务器验证Local Cookie是否有效;
③有效则返回用户浏览信息,否则拒绝用户访问。
认证流程如图13所示。
------------
|用户携带LocalCookie,|
|GlobalCookie访问本省|
|乙类信源或代理服务器|
------------
|
↓
/\
/ \
/ \
NO /LocalCookie \
--/有效? \
| \ /
| \ /
| \ /
| \ /
| \/
| |
| YES|
| ↓
| --------
| | 传输信息 |
| --------
|
|
| --------
--→| 拒绝访问 |
--------
