3.4.2. Инициирование доставки
Примеры процедур информационного обмена, представленные в §3.4.1, инициировались претендентом с использованием запроса на проведение процедуры аутентификации. Тем не менее, для подтверждения подлинности объекта могут применяться описанные ранее подклассы способов, но в которых инициатором выступает проверяющая сторона, использующая для этого приглашение для участия в процедуре аутентификации. В таком случае число итераций доставки информации будет отличаться. Число итерации доставки информации для каждого такого случая представлено в Таблице 3.1 в §3.4.5.
3.4.3. Использование серт|ау
Способы аутентификации могут классифицироваться по типу средств, которые используются для получения (приобретения) проверочной ВИАУ. Такими средствами могут быть:
интерактивные СЕРТ|АУ;
независимые СЕРТ|АУ;
проверочная ВИАУ, полученная заблаговременно, например, по защищённым каналам.
СЕРТ|АУ может использоваться для защиты процедуры аутентификации на основе принципа d) в §3.1.3. СЕРТ|АУ обеспечивают защиту той ДТС, которая “привязана” к специфической проверочной ВИАУ с помощью конкретного УИД.
3.4.4. Обоюдная аутентификация
Для подклассов способов, основанных на одной итерации информационного обмена, может использоваться информационный обмен в той же самой форме (то есть, классы/подклассы «1», «2», «3» и «4а»), но в каждом направлении обоюдной аутентификации.
Рис. 3.16. Обоюдная аутентификация, использующая способы аутентификации,
которые основаны на встречных запросах
Способы аутентификации подкласса «4b» могут использоваться в обоих направлениях. Первый встречный запрос может быть передан вместе с запросом на проведение процедуры аутентификации, а преобразованные данные первого встречного запроса — вместе со вторым встречным запросом (рис. 3.16). В данном случае необходимо использовать такое же число итераций информационного обмена, как и при однонаправленной процедуре аутентификации.
Аналогично и при реализации способов аутентификации подкласса «4c», преобразованные данные первого встречного запроса могут передаваться вместе с запросом на проведение процедуры аутентификации, а преобразованные данные второго встречного запроса — с первым встречным запросом.
Способы аутентификации подкласса «4b» могут использоваться в сочетании со способами подкласса «4c». Две итерации информационного обмена реализуются в пределах обмена преобразованными данными. В случае использования симметричной криптографии предъявляемая и проверочная ВИАУ на каждой стороне соединения совпадают, а их преобразование осуществляется только один раз. В случае асимметричного шифрования на каждой стороне соединения осуществляются две процедуры преобразования.
При реализации способов подкласса «4d» для однонаправленной аутентификации необходимы три или более итераций информационного обмена. Обоюдная аутентификация требует четыре или более итераций информационного обмена.
Таблица 3.1
Класс/подкласс |
0 |
1 |
2 |
3 |
4а |
4b |
4c |
4d |
Уязвимости |
||||||||
Вскрытие (раскрытие) |
да |
нет |
нет |
нет |
нет |
нет |
нет |
нет |
«Повторная передача» от различных проверяющих сторон |
да |
да |
нет |
да |
нет |
нет |
нет |
нет |
«Повторная передача» от одной и той же проверяющей стороны |
да |
да |
да |
нет |
нет |
нет |
нет |
нет |
«Подмена», инициируемая нарушителем |
нет |
нет |
нет |
нет |
нет |
нет |
нет |
нет |
«Подмена», когда нарушитель — отвечающая сторона |
да |
нет |
нет |
нет |
нет |
нет |
нет |
нет |
Характеристики |
||||||||
Симметричный/асимметричный алгоритм |
симм. |
любой |
любой |
любой |
любой |
любой |
любой |
асимм. |
Криптографический(да)/ не криптографический(нет) метод |
нет |
любой |
любой |
любой |
любой |
любой |
да |
да |
Число итераций информационного обмена - инициатор претендент - инициатор проверяющая сторона |
1 2 |
1 2 |
1 2 |
1 2 |
1 2 |
3 2 |
3 4 |
3 4 |
Поддержка аутентификации источника данных |
да |
да |
да |
да |
да |
да |
нет |
да |