3.1.4.4. Фаза получения

В этой фазе претендент или проверяющая сторона могут получить необ­ходимую информацию для реализации определённой процедуры обмена ВИАУ, например, процедуры аутентификации. Различные процедуры могут за­просить обмен ВИАУ путём взаимодействия с ДТС или путём обмена сообще­ниями между аутентифицируемыми сторонами.

Например, когда используется центр распределения ключей (ЦРК) в ре­жиме реального времени, то претендент или проверяющая сторона может полу­чить из ЦРК некоторую информацию, такую как СЕРТ|АУ, с целью проведения процедуры аутентификации с другой стороной.

3.1.4.5. Доставка

В этой фазе ВИАУ для обмена доставляется претенденту и проверяющей стороне.

3.1.4.6. Проверка

В этой фазе предоставленная при обмене ВИАУ сравнивается с прове­рочной ВИАУ. Кроме этого, взаимодействующая сторона, не способная сама проверить предоставленную при обмене ВИАУ, может установить взаимодей­ствие с ДТС, которая и проверит эту ВИАУ. В таком случае, ДТС ответит, либо положительно, либо отрицательно.

3.1.4.7. Блокировка

В этой фазе состояние, сформированное взаимодействующей стороной, которая могла быть предварительно аутентифицирована, временно блокируется для проведения процедуры аутентификации.

3.1.4.8. Фаза отмены блокировки

В этой фазе заблокированное состояние, сформированное взаимодейст­вующей стороной, разблокируется.

3.1.4.9. Фаза деинсталляции

В этой фазе взаимодействующая сторона выделяется из группы взаимо­действующих сторон (персонифицируется).

3.1.5. Привлечение ДТС

Способы и средства аутентификации могут характеризоваться числом привлечённых (привлекаемых) ДТС.

3.1.5.1. Аутентификация без привлечения ДТС

В самой простой ситуации ни претендент, ни проверяющая сторона не привлекают какую-либо третью сторону для формирования и проведения об­мена ВИАУ и самой процедуры аутентификации (рис. 3.2). В этом случае про­верочная ВИАУ для взаимодействующей стороны должна быть инсталлирована на проверяющей стороне.

До тех пор, пока большинство объектов будут ограничены весьма незна­чительным числом возможных соединений с партнёрами, такой подход в круп­номасштабных прикладных системам будет использоваться очень редко. В наихудшем случае каждая проверяющая сторона должна будет иметь прове­рочную ВИАУ для каждого из всех объектов ССБ, а рост требуемой общей ин­формации будет пропорционален квадрату общего числа взаимодействующих объектов.

Рис. 3.2. Аутентификация без привлечения ДТС

3.1.5.2. Аутентификация с привлечением дтс

Проверочная ВИАУ может быть получена на основе информационного взаимодействия с ДТС. Целостность такой информации должна быть гаранти­рована. Последнее также необходимо и при обеспечении конфиденциальности предъявляемой ДТС ВИАУ и проверочной ВИАУ, если предъявляемая ВИАУ может быть получена из проверочной ВИАУ логическим путём.

Процедура аутентификации может затрагивать одну ДТС или группу ДТС (см. d) в §3.1.3). Введение дополнительных ДТС обеспечивает аутентифи­кацию среди большой группы объектов, при этом потребуется соответствую­щая информация только об ограниченном числе объектов (не обо всех других объектах). Таким образом, общий объём обрабатываемой информации будет расти линейно с ростом числа привлекаемых к аутентификации объектов.

Многосторонние связи (информационный обмен) могут характеризо­ваться в зависимости от требований к соединениям (число используемых ак­тивных каналов/линий связи) и в соответствие с наличием необходимого уровня административного управления, например, задержка, которая вполне естественна при аннулировании ВИАУ.

Поточная (in-line) аутентификация. В этом случае ДТС (промежуточная система, an intermediary) непосредственно «вклинивается» в аутентификацион­ный обмен между претендентом и проверяющей стороной (расположена на маршруте информационного взаимодействия). Взаимодействующая сторона ау­тентифицируется промежуточной системой, которая затем гарантированно под­тверждает её подлинность в последующем поточном аутентификационном об­мене (рис. 3.3).

Рис. 3.3. Поточная аутентификация

Поточная аутентификация требует, чтобы проверяющая сторона доверяла промежуточной системе с целью обеспечения информационного взаимодейст­вия с прошедшей корректную процедуру аутентификации противоположной стороной, и чтобы проверяющая сторона гарантировала подлинность промежу­точной системы на протяжении всей процедуры аутентификации.

С целью обеспечения регулярности (этапности и непрерывности) прове­дения процедуры аутентификации до начала следующего этапа может нала­гаться временный запрет на её проведение. Целесообразно, чтобы претендент обладал своей собственной аннулированной ВИАУ и поддерживал её в акту­альном состоянии, это позволит промежуточной системе (ДТС) незамедли­тельно обновлять текущее состояние претендента и отклонять какие-либо по­следующие попытки проведения аутентификации.

Иногда ситуация может измениться так, что гарантия будет получена от последовательной группы (цепочки) ДТС. В зависимости от реально дейст­вующей ПЛБ, ответственность за определение, является или нет группа ДТС правомерной и надёжной, несёт, либо проверяющая сторона, либо последняя в цепочке ДТС.

Рис. 3.4. Интерактивная аутентификация^

Интерактивная (on-line) аутентификация. В этом случае при каждом тре­бовании любой из сторон аутентификационного обмена привлекается функ­ционирующая одна или несколько ДТС. Однако, в отличие от поточной аутен­тификации, интерактивные ДТС не располагаются непосредственно на мар­шруте аутентификационного обмена между претендентом и проверяющей сто­роной (рис. 3.4). Интерактивные ДТС могут быть востребованы претендентом с целью формирования ВИАУ для обмена и могут содействовать проверяющей стороне в процедуре проверки ВИАУ для обмена. Интерактивная ДТС может выпускать интерактивные сертификаты для аутентификации.

Интерактивная аутентификация требует, чтобы имелась некоторая после­довательность ДТС, привлекаемых к формированию ВИАУ, используемой при обмене между проверяющей стороной и ДТС, которая может подтвердить под­линность предъявляемой объектом ВИАУ. В простейшем случае для прямого взаимодействия между претендентом или проверяющей стороной необходима лишь одна ДТС. Тем не менее, такой случай может быть расширен до взаимо­действия с последовательной группой ДТС, с которыми претендент или прове­ряющая сторона устанавливают прямые или опосредованные соединения.

С целью обеспечения регулярности (этапности и непрерывности) прове­дения процедуры аутентификации до начала следующего этапа может нала­гаться временный запрет на её проведение.

Примерами интерактивных ДТС могут быть серверы интерактивной ау­тентификации или ЦРК.

Независимая (off-line) аутентификация. Независимая (или автономная) аутентификация отличается тем, что для её проведения необходимо использо­вать сертифицированные перечни аннулированных сертификатов, списки сер­тификатов, восстановленных из аннулированных сертификатов, интервалы изъ­ятия сертификатов или другие опосредованные методы аннулирования прове­рочной ВИАУ (рис. 3.5).

При таком виде аутентификации одна или несколько ДТС обеспечивают процедуру аутентификации без своего непосредственного участия в ней после каждого запроса на её проведение. Автономная ДТС формирует и заблаговре­менно распространяет сертификаты для независимой аутентификации, которые проверяющая сторона может в последствие использовать для подтверждения подлинности аутентификационного обмена. Следовательно, аутентификацион­ный обмен осуществляется автономно (независимо), без вмешательства ДТС.

Так как ДТС не нужно принимать прямого участия в информационном обмене с претендентом или проверяющей стороной в период проведения про­цедуры аутентификации, такой вид аутентификации может быть более эффек­тивным с точки зрения числа требуемых процедур информационного обмена.

Рис. 3.5. Автономная (независимая) аутентификация

Процесс аннулирования должен зависеть от ряда дополнительных усло­вий, таких как окончание «времени жизни» сертификатов и возобновление их действия, а также от сертифицированных списков аннулированных сертифика­тов.

Примерами автономных ДТС являются УЦ, которые издают сертификаты для независимой аутентификации.