Протоколы безопасного сетевого взаимодействия

Начальная аутентификация сообщения конечного участника


On-line сообщения, созданные конечным участником, запрашивающим сертификат, могут быть как аутентифицированы, так и нет. Требованием является аутентификация подлинности любых сообщений от конечного участника к PKI (CA/RA).

Подобная аутентификация может обеспечиваться следующим образом: PKI (CA/RA) передает конечному участнику секретное значение (ключ начальной аутентификации) и справочное значение (используемое для идентификации транзакции) некоторыми внешними способами. Ключ начальной аутентификации может затем использоваться для защиты соответствующих значений PKI.

Мы можем таким образом классифицировать схемы начальной регистрации / сертификации в соответствии с тем, аутентифицированы on-line сообщения EE к PKI или нет.

Замечание 1: мы не рассматриваем аутентификацию сообщений PKI к EE, т.к. она требуется ВСЕГДА. В любом случае открытый ключ СА может быть инсталлирован в оборудовании конечного участника или аутентификация может быть основана на ключе начальной аутентификации.

Замечание 2: процедура начальной регистрации / сертификации может быть безопасна, если сообщения от конечного участника аутентифицированы некоторыми внешними способами (например, непосредственным визитом).



Содержание раздела