ГОСТ Р ИСО/МЭК 9594-8-98 Информационная технология (ИТ). Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации

     10 Процедуры строгой аутентификации

10.1 Общее описание

Выше изложен основной подход к аутентификации, а именно подтверждение идентичности путем демонстрации обладания личным ключом. Возможно, однако, большое количество процедур аутентификации, использующих этот подход. В общем случае дело каждого конкретного применения - определить соответствующие процедуры, которые удовлетворяли бы стратегии защиты данного применения. В этом разделе описываются три конкретные процедуры аутентификации, которые могут быть полезны во всем диапазоне применений.

Примечание - Настоящий стандарт не определяет подробно процедур, требуемых для реализации. Однако могут быть предусмотрены дополнительные стандарты, которые могли бы выполнять это специфичным для применения либо универсальным способом.

Три указанные процедуры используют различное число сеансов обмена информацией аутентификации и, следовательно, обеспечивают различные степени гарантий своим участникам. В частности:

a) однонаправленная аутентификация, описанная в 10.2, использует одну передачу информации от одного пользователя (А), предназначенную для другого (В), и устанавливает следующее:

- подлинность пользователя А и подтверждение того, что маркер аутентификации был действительно сгенерирован А;

- подлинность пользователя В и подтверждение того, что маркер аутентификации был действительно предназначен для передачи к В;

целостность и новизну (передан не более одного раза) передаваемого маркера аутентификации.

Последние свойства могут быть также установлены для произвольных дополнительных данных, сопровождающих передачу;

b) двунаправленная аутентификация, описанная в 10.3, дополнительно использует ответ от В к А и кроме этого констатирует:

- что маркер аутентификации в ответе действительно был сгенерирован В и предназначен для передачи к А;

- целостность и новизну передаваемого маркера аутентификации в ответе;

- (факультативно) взаимную секретность маркеров;

c) трехнаправленная аутентификация, описанная в 10.4, дополнительно использует последующую передачу от А до В и устанавливает те же свойства, что и двунаправленная аутентификация, но делает это без необходимости соответствующей проверки отметок времени.

Во всех случаях использования строгой аутентификации А должен получить ключ общего пользования пользователя В и обратный путь сертификации от В до А. Это может обусловить обращение к справочнику, как описано в разделе 7. Любое такое обращение не упоминается ниже каждый раз при описании процедур.

Проверка отметок времени, упоминаемая в последующих разделах, используется только в случаях, когда в локальной среде используются синхронизированные часы, или если часы логически синхронизированы в соответствии с двусторонними соглашениями. В любом случае рекомендуется использовать всемирное координированное время.

Для каждой из описываемых ниже трех процедур аутентификации предполагается, что сторона А проверила действительность всех сертификатов в пути аутентификации.

10.2 Однонаправленная аутентификация

При однонаправленной аутентификации (рисунок 7) выполняются следующие шаги:

Рисунок 7 - Однонаправленная аутентификация

1) А создает (неповторяющийся номер), который используется для обнаружения повторных угроз и предотвращения подделок;

2) А посылает следующее сообщение к В:

В - А, А {, , В},

где - отметка времени, которая состоит из одной или двух дат: даты создания маркера (который является факультативным) и даты истечения срока действия. Как вариант, если аутентификация отправителя данных "sgnData" должна обеспечиваться цифровой подписью, сообщение будет иметь вид:

В - А, А {, , В, sgnData}.