2.4　请求与验证过程

SDP架构的请求与验证过程如下。

（1）一个或多个SDP控制器上线并连接至适当的可选验证和授权服务。例如，PKI提供证书验证、设备验证、地理定位、SAML、OpenID、OAuth、LDAP、Kerberos、多因子身份验证等服务。

（2）一个或多个AH上线，其与SDP控制器连接并进行身份验证，但不应答来自任何其他主机的通信，也不响应非预分配请求。

（3）每个上线的IH都与SDP控制器连接并进行身份验证。

（4）IH通过验证后，SDP控制器确定允许IH连接的AH列表。

（5）SDP控制器通知AH接受IH的连接，并加密所需的所有可选安全策略。

（6）SDP控制器向IH发送可接受连接的AH列表及可选安全策略。

（7）IH向每个可接受连接的AH发起SPA，创建双向加密连接。

（8）使用双向加密数据通道与目标系统通信。

SDP架构的请求与验证过程如图2-3所示（图中未描述最后一步）。

图2-3　SDP架构的请求与验证过程