3. Аутентификационный обмен
Каждый аутентификационный обмен состоит из клиентского сообщения серверу с запросом аутентификации на основе определенного механизма. После этого следует одна или несколько пар запросов (challenge) от сервера и откликов (response) от клиента. Завершает обмен сообщение от сервера, указывающее результат проверки.
Отметим, что обмен может быть прерван, как описано в параграфе 3.5.
Ниже приводится схематическое представление процесса аутентификационного обмена.
C: Запрос аутентификационного обмена S: Первоначальный запрос (challenge) сервера C: Первоначальный отклик <дополнительные сообщения challenge/response> S: Результат аутентификационного обмена
Если обмен завершился с положительным результатом проверки и согласован уровень защиты, этот уровень устанавливается, как описано в параграфе 3.7. Это правило применимо также к представленным ниже иллюстрациям.
Некоторые механизмы указывают, что первыми данными в процессе аутентификационного обмена являются данные от клиента, передаваемые серверу. Протоколы могут обеспечивать дополнительное поле начального отклика в сообщении с запросом для передачи таких данных. Когда механизм задает, что первыми передаются данные от клиента к серверу, протокол обеспечивает дополнительное поле начального отклика и клиент использует это поле, что позволяет сократить время обмена на один интервал кругового обхода:
C: Запрос аутентификационного обмена + Первоначальный отклик <дополнительные сообщения challenge/response> S: Результат аутентификационного обмена
Когда механизм задает передачу первыми данных от клиента к серверу и упомянутое поле недоступно или не используется, за клиентским запросом передается пустой запрос (challenge) от сервера.
C: Запрос аутентификационного обмена S: Пустой запрос (Challenge) C: Первоначальный отклик <дополнительные сообщения challenge/response> S: Результат аутентификационного обмена
Если клиент включит начальный отклик в свой запрос на организацию аутентификационного обмена в том случае, когда механизм не позволяет клиенту передавать данные первым, аутентификационный обмен завершится отказом.
Некоторые механизмы задают передачу сервером дополнительных данных, которые показывают клиенту успешное завершение обмена. Протоколы могут обеспечивать дополнительное поле данных в итоговом сообщении для переноса такой информации. Когда механизм задает передачу сервером дополнительной информации об успешном завершении обмена, протокол обеспечивает поле для передачи таких данных и сервер использует это поле, процесс обмена сокращается на один период кругового обхода:
C: Запрос аутентификационного обмена S: Первоначальный запрос (challenge) сервера C: Первоначальный отклик <дополнительные сообщения challenge/response> S: Результат аутентификационного обмена с дополнительными данными об успехе
Когда механизм задает возврат сервером дополнительных данных для клиента, а поле для таких данных недоступно или не используется, эти данные передаются как запрос, отклик на который будет пустым. После получения отклика сервер передает сообщение об успешном завершении.
C: Запрос аутентификационного обмена S: Первоначальный запрос (challenge) сервера C: Первоначальный отклик <дополнительные сообщения challenge/response> S: Дополнительный запрос (challenge) C: Пустой отклик S: Результат аутентификационного обмена
Когда механизм задает, что первыми в процессе обмена передаются данные от клиента к серверу, клиенту передаются дополнительные данные об успешном завершении обмена и протокол поддерживает поля для передачи дополнительной информации, обмен сокращается на два периода кругового обхода:
C: Запрос аутентификационного обмена + Первоначальный отклик <дополнительные сообщения challenge/response> S: Результат аутентификационного обмена с дополнительными данными об успехе
вместо:
C: Запрос аутентификационного обмена S: Пустой запрос (Challenge) C: Первоначальный отклик <дополнительные сообщения challenge/response> S: Дополнительный запрос (challenge) C: Пустой отклик S: Результат аутентификационного обмена