3.3. Запрос аутентификационного обмена
Аутентификационный обмен инициируется клиентом путем передачи запроса на аутентификацию с использованием указанного механизма. Клиент передает серверу сообщение, которое содержит имя механизма. Конкретный формат сообщений зависит от протокола.
Отметим, что имя механизма не защищено этим механизмом и может быть подменено атакующим, если не используется иных средств защиты.
Когда определен механизм, позволяющий клиенту первым передавать данные и протокольное сообщение для передачи запроса включает дополнительное поле начального отклика, клиент может включить отклик на изначальный запрос сервера (initial challenge) в свой запрос на аутентификацию.
3.4. Запросы и отклики
Аутентификационный обмен включает одну или несколько пар запросов сервера (server-challenge) и откликов клиента (clientresponse), детали которых определяются используемым механизмом. Эти запросы и отклики передаются в протокольных сообщениях, формат которых определяется протоколом.
С помощью таких запросов и откликов механизм может:
- аутентифицироать клиента на сервере;
- аутентифицировать сервер на стороне клиента;
- передать строку идентификации для проверки полномочий (authorization identity);
- согласовать уровень защиты;
- обеспечить другие типы сервиса.
Согласование уровня защиты может включать согласование защитных служб, обеспечиваемых этим уровнем, способов обеспечения защиты, а также индикацию максимального размера буфера шифрованных данных на каждой стороне, который уровень способен принять (см. параграф 3.6).
После получения запроса на аутентификацию или любого отклика от клиента сервер может передать свой запрос (challenge), прервать обмен или указать на его завершение. После получения запроса механизм на стороне клиента может передать отклик или прервать обмен.